許多人都抱怨Windows漏洞太多,有的人甚至為這一個又一個的漏洞煩惱。為此,本文簡要的向您介紹怎樣才能架起網絡安全防線。
網絡安全第一線:禁用沒用的服務
Windows提供了許許多多的服務,其實有許多我們是根本也用不上的。或許你還不知道,有些服務正為居心叵測的人開啟后門。
Telnet就是一個非常典型的例子!讓我們先看看在Windows2000的服務中是怎么解釋的:“允許遠程用戶登錄到系統并且使用命令行運行控制臺程序。”你說,這樣的服務,你需要嗎?我個人建議禁止該服務。
還有一個值得一提的就是NetBIOS.對于他的功能,本文就不做過多地介紹了。從前,我從沒有注意到該服務,直到我在學習網絡監聽和隱藏時才發現該項服務存在極大的安全隱患!因此,我個人建議禁止該服務。
Windows還有許多服務,在此不做過多地介紹。大家可以根據自己實際情況禁止某些服務(Windows 9x的用戶,可以用新版的優化大師禁用服務)。禁用不必要的服務,除了可以減少安全隱患,還可以增加Windows運行速度,何樂而不為呢?
網絡安全第二線:打補丁
Microsofe公司時不時就會在網上免費提供一些補丁,有時間可以去打打補丁。除了可以增強兼容性外,更重要的是堵上已發現的安全漏洞。
本人不贊成將所有補丁都打上。因為,這樣無形中就增加了Windows的負擔。特別是用戶根本不用的服務的相關補丁,根本沒有打的必要!因此,我建議有能力的朋友可以根據自己的實際情況根據情況打適合自己補丁。
網絡安全第三線:反病毒監控
我有深刻的體會:我的反病毒監控一個月至少能在我上網時截獲3個或更多的病毒。可見,網上病毒實在太多了。一不小心,就會被感染。
我認為最好還是選擇國產反病毒軟件。有的人喜歡追求國際權威,當然我不是否認國際權威反病毒軟件的防毒能力。但是,不知道大家有沒有聽過“遠水不能救近火”這句話呢?當然,國際權威對付國際上流行的病毒是絕對沒問題的,但是對付本國土生土長的病毒呢?恐怕就不一定行了。況且,國際權威往往還會存在這樣的兩個問題:第一,全世界的黑客都以攻破國際權威反病毒軟件的防線為榮;第二,國際權威防病毒軟件會不會為未來戰爭留下后門呢?
反病毒軟件不是拿來聽的,也不是拿來看的!用反病毒軟件的根本目的是防病毒!所以,上述所講的內容請大家三思。另外,安裝反病毒軟件后必須對其進行必要的設置和時刻開啟反病毒監控。這樣才能發揮其最大的威力。
網絡安全第四線:網絡防火墻
對于怎樣選擇網絡防火墻方面,我個人認為除了上面講的選擇國產品牌外,我還補充一點:選擇功能強大而不起眼的產品。為什么要這樣呢?主要原因還是為了安全。正所謂樹大好招風,那些被所有人都認可產品固然功能強大,但是卻樹敵太多。每一位聽說過它的黑客都想攻破它。你說,這樣的安全性還能高嗎?
因此,我建議選擇功能強大而不起眼的產品。
或許,你會問,為什么我在介紹選擇反病毒軟件時沒提到選擇功能強大而不起眼的產品呢?
其實,原因很簡單,制作好的反病毒軟件技術要比制作好的網絡防火墻要難得多!大家可以想想,現在讓人放心的反病毒軟件所有品牌都是經過千錘百煉出來的。國際上有Norton、PC-cillin等,國內有瑞星、殺毒王,他們這品牌創立的多久?經歷了多少風風雨雨?反病毒技術不是說一朝一夕就能成熟的,因此我在介紹選擇反病毒軟件時沒提到選擇功能強大而不起眼的產品。
網絡安全第五線:數據備份
數據備份我就不想多說了,不過我建議用Ghost進行備份。有條件的朋友可以將備份刻錄到光盤中。這樣就可以在必要時毫不費力的恢復自己的數據。
專家教你QQ聊天防盜五大絕招
[ 2007-03-25 04:06:37 | 作者: sun ]
你被盜過QQ嗎?我被盜過。而且如果密碼保護沒有設置,或者是自己忘記了,QQ找回密碼非常困難。而QQ對于經常上網的用戶來說卻非常重要,上面有大量的朋友信息,一旦丟失,費時、費力,還找來很多不必要的麻煩。怎樣讓自己的QQ不容易被盜呢?今天在ZOL論壇“拒絕浪漫”為我們分享了QQ防盜的五大絕招,和大家分享一下:
最近,盜QQ的卑鄙小人泛濫!一不小心就會中招!我們要提高自己的安全意識!
1.要安裝好的殺毒軟件和好的防火墻!別忘了經常更新啊!(卡巴斯基除了占資源多以外還是不錯的,防火墻我一直用天網,除了天網還有好多好的,如blackice……)
2.最好還要裝上掃描木馬的軟件!(木馬清道夫、木馬克星等)
3.注意不要上一些不知名的網站!
4.在網上下載的東西要注意殺毒,不要輕易的運行!有些垃圾把后門程序綁定在文件里。不要相信網上下載的東西!
5.及時更新系統,打好補丁!
注:如果qq提示你:在別處登陸,被迫下線!
請馬上上線更改密碼!
最好申請密碼保護!
在公共計算機上登陸qq后,退出時請把自己qq的文件夾刪掉!(最好不要在公共計算機使用自己的qq)
巧妙防止QQ密碼被盜的五個絕招:
第一招:復制粘貼防木馬
每次登錄QQ前,新建一個文本文件,并鍵入密碼后復制,關閉文本文件后(不要保存)打開QQ,用“Ctrl+V”把密碼粘貼到密碼欄里,這樣可以防范絕大部分的QQ木馬。
第二招:常換密碼保安全
登錄QQ時使用一個密碼,使用完畢后在“新口令”欄中輸入另一個密碼,所以可以準備兩個常用的密碼,也可以防范大多數的QQ木馬。
第三招:移花巧接木
如果中了鍵盤記錄機,那么你可以參考這種方法。假如你的QQ密碼是“5009”,在輸入時不要按順序一次輸入,這樣鍵盤會被木馬直接記錄下來,你可以先輸入“509”,然后把光標移到“5”后面再輸入“0”,這樣你輸入的密碼依然是“5009”,但在“木馬”看來你輸入的就是“5090”,這樣密碼就被保護了。
第四招:隱私保護顯神通
隱私保護設置
可以借助有隱私保護功能的殺毒軟件,以KV2004為例。首先應當把“實時監控”中的“隱私保護監視”打上勾。然后點擊“工具→選項→實時監控”,點開“隱私保護設置”,彈出“隱私信息設置”窗口,在“檢測到秘密信息后處理方式”中選擇,“禁止發送私密信息”。
在選擇完處理方式后,就可以單擊“增加”按鈕選擇要保護的信息類型,然后填入相關信息,按“確定”后,個人隱私內容即可得到很好的保護了。
這樣也可以有效保護你的密碼。
第五招:暗戰超級密文
用一個16進制的編輯器,譬如UltraEdit,新建一個10個字節的文件,輸入“B92CB92CB92CB92C”,將其保存為Test.txt。如果你用記事本打開這個Test.txt,你什么也看不到,因為這都是不可見的字符,但是可以使用快捷鍵“Ctrl+A”,將其全部選中,然后“Ctrl+C”復制。這時,剪貼板的內容就可以作為你的密碼了,直接在密碼欄按“Ctrl+V”,密碼就輸入進去了。
看到這里,也許你會問,這也沒什么奇怪的地方啊?你再打開寫字板,把剪貼板里的內容“Ctrl+V”一下。你看,不一樣了吧?你會發現里面出現了4個“?”符號,奇怪吧,不僅在寫字板里這樣,在Word或WPS以及網頁里,都會有同樣的效果。明白了吧,如果有人知道了你的“密碼找回”并試圖使用的話,他會在返回的網頁里看見幾個“?”符號,錯誤的認為那就是密碼,這樣當然是進不去QQ的了。這里筆者只是做一個例子,實際上每一個B92C的組合都會產生一個“?”(真正的“?”符號的ASCLL碼是63),而是要有一個組合就可以起到保密的作用,其余的字節你可以隨意填寫,這樣就不怕你的密碼被人偷盜了。
最近,盜QQ的卑鄙小人泛濫!一不小心就會中招!我們要提高自己的安全意識!
1.要安裝好的殺毒軟件和好的防火墻!別忘了經常更新啊!(卡巴斯基除了占資源多以外還是不錯的,防火墻我一直用天網,除了天網還有好多好的,如blackice……)
2.最好還要裝上掃描木馬的軟件!(木馬清道夫、木馬克星等)
3.注意不要上一些不知名的網站!
4.在網上下載的東西要注意殺毒,不要輕易的運行!有些垃圾把后門程序綁定在文件里。不要相信網上下載的東西!
5.及時更新系統,打好補丁!
注:如果qq提示你:在別處登陸,被迫下線!
請馬上上線更改密碼!
最好申請密碼保護!
在公共計算機上登陸qq后,退出時請把自己qq的文件夾刪掉!(最好不要在公共計算機使用自己的qq)
巧妙防止QQ密碼被盜的五個絕招:
第一招:復制粘貼防木馬
每次登錄QQ前,新建一個文本文件,并鍵入密碼后復制,關閉文本文件后(不要保存)打開QQ,用“Ctrl+V”把密碼粘貼到密碼欄里,這樣可以防范絕大部分的QQ木馬。
第二招:常換密碼保安全
登錄QQ時使用一個密碼,使用完畢后在“新口令”欄中輸入另一個密碼,所以可以準備兩個常用的密碼,也可以防范大多數的QQ木馬。
第三招:移花巧接木
如果中了鍵盤記錄機,那么你可以參考這種方法。假如你的QQ密碼是“5009”,在輸入時不要按順序一次輸入,這樣鍵盤會被木馬直接記錄下來,你可以先輸入“509”,然后把光標移到“5”后面再輸入“0”,這樣你輸入的密碼依然是“5009”,但在“木馬”看來你輸入的就是“5090”,這樣密碼就被保護了。
第四招:隱私保護顯神通
隱私保護設置
可以借助有隱私保護功能的殺毒軟件,以KV2004為例。首先應當把“實時監控”中的“隱私保護監視”打上勾。然后點擊“工具→選項→實時監控”,點開“隱私保護設置”,彈出“隱私信息設置”窗口,在“檢測到秘密信息后處理方式”中選擇,“禁止發送私密信息”。
在選擇完處理方式后,就可以單擊“增加”按鈕選擇要保護的信息類型,然后填入相關信息,按“確定”后,個人隱私內容即可得到很好的保護了。
這樣也可以有效保護你的密碼。
第五招:暗戰超級密文
用一個16進制的編輯器,譬如UltraEdit,新建一個10個字節的文件,輸入“B92CB92CB92CB92C”,將其保存為Test.txt。如果你用記事本打開這個Test.txt,你什么也看不到,因為這都是不可見的字符,但是可以使用快捷鍵“Ctrl+A”,將其全部選中,然后“Ctrl+C”復制。這時,剪貼板的內容就可以作為你的密碼了,直接在密碼欄按“Ctrl+V”,密碼就輸入進去了。
看到這里,也許你會問,這也沒什么奇怪的地方啊?你再打開寫字板,把剪貼板里的內容“Ctrl+V”一下。你看,不一樣了吧?你會發現里面出現了4個“?”符號,奇怪吧,不僅在寫字板里這樣,在Word或WPS以及網頁里,都會有同樣的效果。明白了吧,如果有人知道了你的“密碼找回”并試圖使用的話,他會在返回的網頁里看見幾個“?”符號,錯誤的認為那就是密碼,這樣當然是進不去QQ的了。這里筆者只是做一個例子,實際上每一個B92C的組合都會產生一個“?”(真正的“?”符號的ASCLL碼是63),而是要有一個組合就可以起到保密的作用,其余的字節你可以隨意填寫,這樣就不怕你的密碼被人偷盜了。
計算機密碼的安全設定技巧
[ 2007-03-25 04:06:24 | 作者: sun ]
最好的密碼應該是這樣的,比如說:
*z9Hi31/i0DsoK)B:\
當然你可以再加幾位
設密碼有幾個要點就是:
1、密碼的位數不要短于6位,使用大寫字母和小寫字母、標點和數字的集合
2、不要以任何單詞、生日、數字、手機號做為密碼,這種太容易就能破解了,比如說生日吧,看似有8位,但我們一般都是出生在19XX的,一年只有12個月,一個月最多只有31天,XXX,不要幾分鐘就可以試出來,還不需要程序來算了
3、密碼中的英文最好有大小之分
4、如果在程序允許的情況下,最好能加上英文半角的符號
5、不要用a、b、c等比較小順序的字母或數字開頭,因為用字典暴力破解的程序,一般都是從數字或英文字母排序開始算的,如果設為z的話,破解的機率就小很多
6、因為這種無規律性的密碼不好記憶,有種比較簡單的方法,比如說你的密碼是blueidea吧,首先加頭,在前面加一個$號,就成為了$blueidea,然后就是加尾,加上一個)號,就成了$blueidea)號了,這種還是不安全,我們再把中間的打亂,$ideablue),嘻嘻,還不錯,隨便把中間的某幾個改為大字字母吧,$IdeabLue),這種看起來差不多了……等會,加上一兩上數字吧$I1de9ab9Lu8e20),這不就成為了一個非常安全的密碼了嗎,如果你覺得還不安全的話,可以把中間的字母打亂就OK了
7、一些程序或注冊入口對密碼設定的比較死,只能用數字和字母,那樣怎么辦了,還是以剛才的來做實驗吧,先是blueidea,改大小寫bLUeIdEa,打亂EaIdbLUe,加數字E9aI4db2LU6e,OK,這就安全了
8、可以用一句話來設定密碼,比如說“好好學習,天天向上”吧,先取拼音的第一個字母,hhxxttxs,變h2x2ttxs,再變H2X2tTXs,再變tTXsH2X2,加個頭和尾,ItTXsH2X2O,一個密碼就成功了
9、如果認為這種方法比較麻煩的話,可以強記兩到三個比較復雜的密碼,用的時候把它們重新排序,比如說常用密碼為ItTXs和Lu8e20,組合ItTXsLu8e20,打散Lu8eItTXs20,新密碼誕生了
10、注意在自己的電腦中安全比較可靠的殺毒軟件,如果你的電腦里有木馬的話,再復雜的密碼也是沒有任何作用的,不要上不可信的網站,不要讓別人很容易的得到你的信息。這包括身份證號碼、電話號碼、社會安全號碼、您的手機號碼、您所居住的街道的名字,等等
11、最好只注冊那種用MD5算法加密論壇,那樣管理員就無法知道你的密碼了,我見過很多論壇因為加密不好,被別人破了管理員密碼,最后把論壇用戶的QQ,信箱等等都破了。
12、定期更改密碼,比如說每個月的第一個星期五,也不用重新想,就是把密碼的排序改一下就行了,好記
13、不要所有的地方都用一個密碼,根據重要和非重要的原則來設定密碼,比如說我一般不是很重要的地方,都用111111來做密碼
14、最后一點就是,不要把自己的密碼寫在別人可以看到的地方,比如說筆記本,紙巾上等等,最好是強記在腦子里,不要在輸入密碼的時候讓別人看到,多練幾次,打快了,旁人自然就看不到了,更不能把自己的密碼告訴別人,這樣對自己對別人都是很不負責任的,保護好你的密碼,尊重自己.
*z9Hi31/i0DsoK)B:\
當然你可以再加幾位
設密碼有幾個要點就是:
1、密碼的位數不要短于6位,使用大寫字母和小寫字母、標點和數字的集合
2、不要以任何單詞、生日、數字、手機號做為密碼,這種太容易就能破解了,比如說生日吧,看似有8位,但我們一般都是出生在19XX的,一年只有12個月,一個月最多只有31天,XXX,不要幾分鐘就可以試出來,還不需要程序來算了
3、密碼中的英文最好有大小之分
4、如果在程序允許的情況下,最好能加上英文半角的符號
5、不要用a、b、c等比較小順序的字母或數字開頭,因為用字典暴力破解的程序,一般都是從數字或英文字母排序開始算的,如果設為z的話,破解的機率就小很多
6、因為這種無規律性的密碼不好記憶,有種比較簡單的方法,比如說你的密碼是blueidea吧,首先加頭,在前面加一個$號,就成為了$blueidea,然后就是加尾,加上一個)號,就成了$blueidea)號了,這種還是不安全,我們再把中間的打亂,$ideablue),嘻嘻,還不錯,隨便把中間的某幾個改為大字字母吧,$IdeabLue),這種看起來差不多了……等會,加上一兩上數字吧$I1de9ab9Lu8e20),這不就成為了一個非常安全的密碼了嗎,如果你覺得還不安全的話,可以把中間的字母打亂就OK了
7、一些程序或注冊入口對密碼設定的比較死,只能用數字和字母,那樣怎么辦了,還是以剛才的來做實驗吧,先是blueidea,改大小寫bLUeIdEa,打亂EaIdbLUe,加數字E9aI4db2LU6e,OK,這就安全了
8、可以用一句話來設定密碼,比如說“好好學習,天天向上”吧,先取拼音的第一個字母,hhxxttxs,變h2x2ttxs,再變H2X2tTXs,再變tTXsH2X2,加個頭和尾,ItTXsH2X2O,一個密碼就成功了
9、如果認為這種方法比較麻煩的話,可以強記兩到三個比較復雜的密碼,用的時候把它們重新排序,比如說常用密碼為ItTXs和Lu8e20,組合ItTXsLu8e20,打散Lu8eItTXs20,新密碼誕生了
10、注意在自己的電腦中安全比較可靠的殺毒軟件,如果你的電腦里有木馬的話,再復雜的密碼也是沒有任何作用的,不要上不可信的網站,不要讓別人很容易的得到你的信息。這包括身份證號碼、電話號碼、社會安全號碼、您的手機號碼、您所居住的街道的名字,等等
11、最好只注冊那種用MD5算法加密論壇,那樣管理員就無法知道你的密碼了,我見過很多論壇因為加密不好,被別人破了管理員密碼,最后把論壇用戶的QQ,信箱等等都破了。
12、定期更改密碼,比如說每個月的第一個星期五,也不用重新想,就是把密碼的排序改一下就行了,好記
13、不要所有的地方都用一個密碼,根據重要和非重要的原則來設定密碼,比如說我一般不是很重要的地方,都用111111來做密碼
14、最后一點就是,不要把自己的密碼寫在別人可以看到的地方,比如說筆記本,紙巾上等等,最好是強記在腦子里,不要在輸入密碼的時候讓別人看到,多練幾次,打快了,旁人自然就看不到了,更不能把自己的密碼告訴別人,這樣對自己對別人都是很不負責任的,保護好你的密碼,尊重自己.
打造安全的.mdb數據庫
[ 2007-03-25 04:06:14 | 作者: sun ]
什么是mdb數據庫呢?凡是有點制作網站經驗的網絡管理員都知道,目前使用“IIS+ASP+ACCESS”這套組合方式建立網站是最流行的,大多數中小型Internet網站都使用該“套餐”,但隨之而來的安全問題也日益顯著。其中最容易被攻擊者利用的莫過于mdb數據庫被非法下載了。
mdb數據庫是沒有安全防范的,只要入侵者猜測或者掃描到mdb數據庫的路徑后就可以使用下載工具輕松將其下載到本地硬盤,再結合暴力破解工具或一些超級破解工具可以輕松的查看里頭的數據庫文件內容,企業的隱私和員工的密碼從此不在安全。難道我們就沒有辦法加強mdb數據庫的安全嗎?難道即便我們只有一點點數據資料也要麻煩sql server或者oracle嗎?答案是否定的,本篇文章筆者將告訴大家打造安全的mdb數據庫文件的獨門秘訣。
一、危機起因:
一般情況下基于ASP構建的網站程序和論壇的數據庫的擴展名默認為mdb,這是很危險的。只要猜測出了數據庫文件的位置,然后在瀏覽器的地址欄里面輸入它的URL,就可以輕易地下載文件。就算我們對數據庫加上了密碼并且里面管理員的密碼也被MD5加密,被下載到本地以后也很容易被破解。畢竟目前MD5已經可以通過暴力來破解了。因此只要數據庫被下載了,那數據庫就沒有絲毫安全性可言了。
二、常用的補救方法:
目前常用的數據庫文件防止被非法下載的方法有以下幾種。
(1)把數據庫的名字進行修改,并且放到很深的目錄下面。比如把數據庫名修改為Sj6gf5.mdb,放到多級目錄中,這樣攻擊者想簡單地猜測數據庫的位置就很困難了。當然這樣做的弊端就是如果ASP代碼文件泄漏,那無論隱藏多深都沒有用了。
(2)把數據庫的擴展名修改為ASP或者ASA等不影響數據查詢的名字。但是有時候修改為ASP或者ASA以后仍然可以被下載,比如我們將其修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet或影音傳送帶等專業的下載工具就可以直接把數據庫文件下載下來。不過這種方法有一定的盲目性,畢竟入侵者不能確保該文件就一定是MDB數據庫文件修改擴展名的文件,但是對于那些有充足精力和時間的入侵者來說,可以將所有文件下載并全部修改擴展名來猜測。該方法的防范級別將大大降低。
三、筆者的旁門左道:
在筆者的測試過程中就遇到了ASP和ASA文件也會被下載的問題,所以經過研究發現了以下的方法。
如果在給數據庫的文件命名的時候,將數據庫文件命名為“#admin.asa”則可以完全避免用IE下載,但是如果破壞者猜測到了數據庫的路徑,用FlashGet還是可以成功地下載下來,然后把下載后的文件改名為“admin.mdb”,則網站秘密就將暴露。所以我們需要找到一種FlashGet無法下載的方法,但是如何才能讓他無法下載呢?大概是因為以前受到unicode漏洞攻擊的緣故,網站在處理包含unicode碼的鏈接的時候將會不予處理。所以我們可以利用unicode編碼(比如可以利用“%3C ”代替“<”等),來達到我們的目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”這一段unicode編碼形式的字符轉化成了“(”,所以你向FlashGet提交一個 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下載鏈接,它卻解釋成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我們上面的網址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解釋為了“(xadminsxx.mdb”,當我們單擊“確定”按鈕進行下載的時候,它就去尋找一個名為“(xadminsxx.mdb”的文件。也就是說FlashGet給我們引入了歧途,它當然找不到,所以提示失敗了。
不過如果提示下載失敗,攻擊者肯定要想采取其他的攻擊方法。由此我們可以采用另一個防范的方法,既然FlashGet去找那個名為“(xadminsxx.mdb”的文件了,我們可以給它準備一個,我們給它做一個仿真的數據庫名為“(xadminsxx.mdb”,這樣當入侵者想下載文件的時候的的確確下載了一個數據庫回去,只不過這個數據庫文件是虛假的或者是空的,在他們暗自竊喜的時候,實際上最終的勝利是屬于我們的。
總結:
通過本次旁門左道保護MDB數據庫文件方法的介紹,我們可以明確兩點安全措施,一是迷惑法,也就是將黑客想得到的東西進行改變,例如改變MDB文件的文件名或者擴展名;二是替代法,也就是將黑客想得到的東西隱藏,用一個沒有實際意義的東西替代,這樣即使黑客成功入侵,拿到的也是一個虛假的信息,他們還會以為入侵成功而停止接下來的攻擊。
mdb數據庫是沒有安全防范的,只要入侵者猜測或者掃描到mdb數據庫的路徑后就可以使用下載工具輕松將其下載到本地硬盤,再結合暴力破解工具或一些超級破解工具可以輕松的查看里頭的數據庫文件內容,企業的隱私和員工的密碼從此不在安全。難道我們就沒有辦法加強mdb數據庫的安全嗎?難道即便我們只有一點點數據資料也要麻煩sql server或者oracle嗎?答案是否定的,本篇文章筆者將告訴大家打造安全的mdb數據庫文件的獨門秘訣。
一、危機起因:
一般情況下基于ASP構建的網站程序和論壇的數據庫的擴展名默認為mdb,這是很危險的。只要猜測出了數據庫文件的位置,然后在瀏覽器的地址欄里面輸入它的URL,就可以輕易地下載文件。就算我們對數據庫加上了密碼并且里面管理員的密碼也被MD5加密,被下載到本地以后也很容易被破解。畢竟目前MD5已經可以通過暴力來破解了。因此只要數據庫被下載了,那數據庫就沒有絲毫安全性可言了。
二、常用的補救方法:
目前常用的數據庫文件防止被非法下載的方法有以下幾種。
(1)把數據庫的名字進行修改,并且放到很深的目錄下面。比如把數據庫名修改為Sj6gf5.mdb,放到多級目錄中,這樣攻擊者想簡單地猜測數據庫的位置就很困難了。當然這樣做的弊端就是如果ASP代碼文件泄漏,那無論隱藏多深都沒有用了。
(2)把數據庫的擴展名修改為ASP或者ASA等不影響數據查詢的名字。但是有時候修改為ASP或者ASA以后仍然可以被下載,比如我們將其修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet或影音傳送帶等專業的下載工具就可以直接把數據庫文件下載下來。不過這種方法有一定的盲目性,畢竟入侵者不能確保該文件就一定是MDB數據庫文件修改擴展名的文件,但是對于那些有充足精力和時間的入侵者來說,可以將所有文件下載并全部修改擴展名來猜測。該方法的防范級別將大大降低。
三、筆者的旁門左道:
在筆者的測試過程中就遇到了ASP和ASA文件也會被下載的問題,所以經過研究發現了以下的方法。
如果在給數據庫的文件命名的時候,將數據庫文件命名為“#admin.asa”則可以完全避免用IE下載,但是如果破壞者猜測到了數據庫的路徑,用FlashGet還是可以成功地下載下來,然后把下載后的文件改名為“admin.mdb”,則網站秘密就將暴露。所以我們需要找到一種FlashGet無法下載的方法,但是如何才能讓他無法下載呢?大概是因為以前受到unicode漏洞攻擊的緣故,網站在處理包含unicode碼的鏈接的時候將會不予處理。所以我們可以利用unicode編碼(比如可以利用“%3C ”代替“<”等),來達到我們的目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”這一段unicode編碼形式的字符轉化成了“(”,所以你向FlashGet提交一個 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下載鏈接,它卻解釋成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我們上面的網址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解釋為了“(xadminsxx.mdb”,當我們單擊“確定”按鈕進行下載的時候,它就去尋找一個名為“(xadminsxx.mdb”的文件。也就是說FlashGet給我們引入了歧途,它當然找不到,所以提示失敗了。
不過如果提示下載失敗,攻擊者肯定要想采取其他的攻擊方法。由此我們可以采用另一個防范的方法,既然FlashGet去找那個名為“(xadminsxx.mdb”的文件了,我們可以給它準備一個,我們給它做一個仿真的數據庫名為“(xadminsxx.mdb”,這樣當入侵者想下載文件的時候的的確確下載了一個數據庫回去,只不過這個數據庫文件是虛假的或者是空的,在他們暗自竊喜的時候,實際上最終的勝利是屬于我們的。
總結:
通過本次旁門左道保護MDB數據庫文件方法的介紹,我們可以明確兩點安全措施,一是迷惑法,也就是將黑客想得到的東西進行改變,例如改變MDB文件的文件名或者擴展名;二是替代法,也就是將黑客想得到的東西隱藏,用一個沒有實際意義的東西替代,這樣即使黑客成功入侵,拿到的也是一個虛假的信息,他們還會以為入侵成功而停止接下來的攻擊。
Windows服務器:切斷默認共享通道七招
[ 2007-03-25 04:05:59 | 作者: sun ]
在Windows服務器系統中,每當服務器啟動成功時,系統的C盤、D盤等都會被自動設置成隱藏共享,盡管通過這些默認共享可以讓服務器管理維護起來更方便一些;但在享受方便的同時,這些默認共享常常會被一些非法攻擊者利用,從而容易給服務器造成安全威脅。如果你不想讓服務器輕易遭受到非法攻擊的話,就必須及時切斷服務器的默認共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務器的默認共享。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
重裝系統后要做十件大事
[ 2007-03-25 04:05:45 | 作者: sun ]
Windows系統是越用越慢,這是不爭的事實。因此,使用Windows就免不了要重新安裝系統。當然,重新安裝系統并不難,但是安裝完系統后你知道我們有多少事情必須要做嗎?這可容不得絲毫的松懈,一旦馬虎,將可能會導致前功盡棄,甚至有可能會造成數據丟失、信息泄密!
第1件大事:不要急著接入網絡
在安裝完成Windows后,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補丁,存在各種漏洞,非常容易感染病毒和被入侵。 此時要加上沖擊波和震撼波補丁后并重新啟動再聯入互聯網。
第2件大事:給系統打補丁/安裝殺毒軟件
不用多說,沖擊波和震蕩波病毒的補丁是一定要打上的,如果你安裝了Windows XP SP2則不用再另行安裝。
Windows XP沖擊波(Blaster)病毒補丁
震蕩波(Sasser)病毒補丁安裝完系統后,一定要安裝反病毒軟件,同時將其更新到最新版本。
第3件大事:關閉系統還原
系統還原是Windows ME和Windows XP、Windows 2003中具有的功能,它允許我們將系統恢復到某一時間狀態,從而可以避免我們重新安裝操作系統。不過,有的人在執行系統還原后,發現除C盤外,其它的D盤、E盤都恢復到先前的狀態了,結果里面保存的文件都沒有了,造成了嚴重的損失!
這是由于系統還原默認是針對硬盤上所有分區而言的,這樣一旦進行了系統還原操作,那么所有分區的數據都會恢復。因此,我們必須按下Win+Break鍵,然后單擊“系統還原”標簽,取消“在所有驅動器上關閉系統還原”選項,然后選中D盤,單擊“設置”按鈕,在打開的窗口中選中“關閉這個驅動器上的系統還原”選項。
依次將其他的盤上的系統還原關閉即可。這樣,一旦系統不穩定,可以利用系統還原工具還原C盤上的系統,但同時其他盤上的文件都不會有事。
第4件大事:給Administrator打上密碼
可能有的人使用的是網上下載的萬能Ghost版來安裝的系統,也可能是使用的是Windows XP無人值守安裝光盤安裝的系統,利用這些方法安裝時極有可能沒有讓你指定Administrator密碼,或者Administrator的密碼是默認的123456或干脆為空。這樣的密碼是相當危險的,因此,在安裝完系統后,請右擊“我的電腦”,選擇“管理”,再選擇左側的“計算機管理(本地)→系統工具→本地用戶和組→用戶”,選中右側窗口中的Administrator,右擊,選擇“設置密碼”。
在打開窗口中單擊“繼續”按鈕,即可在打開窗口中為Administrator設置密碼。
另外,選擇“新用戶”,設置好用戶名和密碼,再雙擊新建用戶,單擊“隸屬于”標簽,將其中所有組(如果有)都選中,單擊下方的“刪除”按鈕。再單擊“添加”按鈕,然后再在打開窗口中單擊“高級”按鈕,接著單擊“立即查找”按鈕,找到PowerUser或User組,單擊“確定”兩次,將此用戶添加PowerUser或User組。注銷當前用戶,再以新用戶登錄可以發現系統快很多。
第5件大事:關閉默認共享
Windows安裝后,會創建一些隱藏共享,主要用于管理員遠程登錄時管理系統時使用,但對于個人用戶來說,這個很少用到,也不是很安全。所以,我們有必要要切斷這個共享:先在d:下新建一個disshare.bat文件,在其中寫上如下語句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下來,將d:disshare.bat拷貝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下。然后按下Win+R,輸入gpedit.msc,在打開窗口中依次展開“用戶配置→Windows設置→腳本(登錄/注銷)”文件夾,在右側窗格中雙擊“登錄”項,在彈出的窗口中,單擊“添加”命令,選中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下的disshare.bat文件。
完成上述設置后,重新啟動系統,就能自動切斷Windows XP的默認共享通道了,如果你有更多硬盤,請在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
第6件大事:啟用DMA傳輸模式
啟用DMA模式之后,計算機周邊設備(主要指硬盤)即可直接與內存交換數據,這樣能加快硬盤讀寫速度,提高數據傳輸速率:打開“設備管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,雙擊之,單擊“高級設置”,該對話框會列出目前IDE接口所連接設備的傳輸模式,單擊列表按鈕將“傳輸模式”設置為“DMA(若可用)”。重新啟動計算機即可生效。
第7件大事:啟用高級電源管理
有時候安裝Windows XP之前會發現沒有打開BIOS電源中的高級電源控制,安裝Windows XP后,關閉Windows時,電源不會自動斷開。這時,很多人選擇了重新打開BIOS中的高級電源控制,并重新安裝Windows XP。事實上,用不著這么麻煩,只要大家確認已經在BIOS中打開高級電源控制選項,再從http://www.yaguo.com/~mig25/acpi.exe下載并安裝這個程序,同時選擇ACPI Pc,一定不要選錯,否則重啟后可能無法進入Windows),并重新啟動電腦,電腦可能會重新搜索并自動重新安裝電腦的硬件,之后就可以使其支持高級電源控制了。
第8件大事:取消壓縮文件夾支持
單擊開始→運行,輸入“regsvr32 /u zipfldr.dll”回車,出現提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的壓縮文件夾支持。另外,輸入regsvr32 shdocvw.dll可以取消“圖片和傳真”與圖片文件的關聯。
第9件大事:取消“磁盤空間不足”通知
當磁盤驅動器的容量少于200MB時Windows XP便會發出“磁盤空間不足”的通知,非常煩人。可以打開“注冊表編輯器”,定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer,在“Explorer”上單擊右鍵,選擇右鍵菜單上的“新建”→“DWORD 值”,將這個值命名為“NoLowDiskSpaceChecks”,雙擊該值將其中的“數值數據”設為“1”。
第10件大事:啟用驗證碼
安裝SP2后,大多數用戶發現在訪問某些需要填寫驗證碼的地方,都無法顯示驗證碼圖片(顯示為一個紅色小叉),這是一個非常嚴重的Bug。解決辦法為:運行“Regedit”命令打開注冊表編輯器,依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”,在窗口右邊新建一個名為“BlockXBM”的REG_ DWORD值,將其值設置為“0”(十六進制值)。
第1件大事:不要急著接入網絡
在安裝完成Windows后,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補丁,存在各種漏洞,非常容易感染病毒和被入侵。 此時要加上沖擊波和震撼波補丁后并重新啟動再聯入互聯網。
第2件大事:給系統打補丁/安裝殺毒軟件
不用多說,沖擊波和震蕩波病毒的補丁是一定要打上的,如果你安裝了Windows XP SP2則不用再另行安裝。
Windows XP沖擊波(Blaster)病毒補丁
震蕩波(Sasser)病毒補丁安裝完系統后,一定要安裝反病毒軟件,同時將其更新到最新版本。
第3件大事:關閉系統還原
系統還原是Windows ME和Windows XP、Windows 2003中具有的功能,它允許我們將系統恢復到某一時間狀態,從而可以避免我們重新安裝操作系統。不過,有的人在執行系統還原后,發現除C盤外,其它的D盤、E盤都恢復到先前的狀態了,結果里面保存的文件都沒有了,造成了嚴重的損失!
這是由于系統還原默認是針對硬盤上所有分區而言的,這樣一旦進行了系統還原操作,那么所有分區的數據都會恢復。因此,我們必須按下Win+Break鍵,然后單擊“系統還原”標簽,取消“在所有驅動器上關閉系統還原”選項,然后選中D盤,單擊“設置”按鈕,在打開的窗口中選中“關閉這個驅動器上的系統還原”選項。
依次將其他的盤上的系統還原關閉即可。這樣,一旦系統不穩定,可以利用系統還原工具還原C盤上的系統,但同時其他盤上的文件都不會有事。
第4件大事:給Administrator打上密碼
可能有的人使用的是網上下載的萬能Ghost版來安裝的系統,也可能是使用的是Windows XP無人值守安裝光盤安裝的系統,利用這些方法安裝時極有可能沒有讓你指定Administrator密碼,或者Administrator的密碼是默認的123456或干脆為空。這樣的密碼是相當危險的,因此,在安裝完系統后,請右擊“我的電腦”,選擇“管理”,再選擇左側的“計算機管理(本地)→系統工具→本地用戶和組→用戶”,選中右側窗口中的Administrator,右擊,選擇“設置密碼”。
在打開窗口中單擊“繼續”按鈕,即可在打開窗口中為Administrator設置密碼。
另外,選擇“新用戶”,設置好用戶名和密碼,再雙擊新建用戶,單擊“隸屬于”標簽,將其中所有組(如果有)都選中,單擊下方的“刪除”按鈕。再單擊“添加”按鈕,然后再在打開窗口中單擊“高級”按鈕,接著單擊“立即查找”按鈕,找到PowerUser或User組,單擊“確定”兩次,將此用戶添加PowerUser或User組。注銷當前用戶,再以新用戶登錄可以發現系統快很多。
第5件大事:關閉默認共享
Windows安裝后,會創建一些隱藏共享,主要用于管理員遠程登錄時管理系統時使用,但對于個人用戶來說,這個很少用到,也不是很安全。所以,我們有必要要切斷這個共享:先在d:下新建一個disshare.bat文件,在其中寫上如下語句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下來,將d:disshare.bat拷貝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下。然后按下Win+R,輸入gpedit.msc,在打開窗口中依次展開“用戶配置→Windows設置→腳本(登錄/注銷)”文件夾,在右側窗格中雙擊“登錄”項,在彈出的窗口中,單擊“添加”命令,選中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下的disshare.bat文件。
完成上述設置后,重新啟動系統,就能自動切斷Windows XP的默認共享通道了,如果你有更多硬盤,請在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
第6件大事:啟用DMA傳輸模式
啟用DMA模式之后,計算機周邊設備(主要指硬盤)即可直接與內存交換數據,這樣能加快硬盤讀寫速度,提高數據傳輸速率:打開“設備管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,雙擊之,單擊“高級設置”,該對話框會列出目前IDE接口所連接設備的傳輸模式,單擊列表按鈕將“傳輸模式”設置為“DMA(若可用)”。重新啟動計算機即可生效。
第7件大事:啟用高級電源管理
有時候安裝Windows XP之前會發現沒有打開BIOS電源中的高級電源控制,安裝Windows XP后,關閉Windows時,電源不會自動斷開。這時,很多人選擇了重新打開BIOS中的高級電源控制,并重新安裝Windows XP。事實上,用不著這么麻煩,只要大家確認已經在BIOS中打開高級電源控制選項,再從http://www.yaguo.com/~mig25/acpi.exe下載并安裝這個程序,同時選擇ACPI Pc,一定不要選錯,否則重啟后可能無法進入Windows),并重新啟動電腦,電腦可能會重新搜索并自動重新安裝電腦的硬件,之后就可以使其支持高級電源控制了。
第8件大事:取消壓縮文件夾支持
單擊開始→運行,輸入“regsvr32 /u zipfldr.dll”回車,出現提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的壓縮文件夾支持。另外,輸入regsvr32 shdocvw.dll可以取消“圖片和傳真”與圖片文件的關聯。
第9件大事:取消“磁盤空間不足”通知
當磁盤驅動器的容量少于200MB時Windows XP便會發出“磁盤空間不足”的通知,非常煩人。可以打開“注冊表編輯器”,定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer,在“Explorer”上單擊右鍵,選擇右鍵菜單上的“新建”→“DWORD 值”,將這個值命名為“NoLowDiskSpaceChecks”,雙擊該值將其中的“數值數據”設為“1”。
第10件大事:啟用驗證碼
安裝SP2后,大多數用戶發現在訪問某些需要填寫驗證碼的地方,都無法顯示驗證碼圖片(顯示為一個紅色小叉),這是一個非常嚴重的Bug。解決辦法為:運行“Regedit”命令打開注冊表編輯器,依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”,在窗口右邊新建一個名為“BlockXBM”的REG_ DWORD值,將其值設置為“0”(十六進制值)。
保護好我的文件 赤手空拳給文件加密
[ 2007-03-25 04:05:34 | 作者: sun ]
通常電腦上都有一些隱私文件需要加密或隱藏,不論是使用加密工具還是EFS,一旦遇到密碼丟失,或者文件損壞,重要數據將很難挽回,后果不堪設想。如果能夠不使用其他輔助軟件而只通過設置一些技巧就能達到加密的目的,那該多好,下面介紹幾個簡單的加密方法:
路徑的分隔符號文件夾加密法
加密:大家都知道在WINDOWS中不論是一個“\”還是兩個“\ ”符號都代表是路徑的分隔符號,比如“C:\WINDOWS\System..exe”的意思就是C分區中的WINDOWS文件夾中的System..exe文件,如果文件名中包含有“\”符號,就會把文件名分成“\”前的目錄部分和“\”后的文件名部分,WINDOWS無法打開這種含有“\”的文件,會提示出錯。
如果你想在“資源管理器”或“我的電腦”中再創建“S\”,WINDOWS會提示你“\”符號不能作為文件,文件夾的名字。但這類文件名在WINDOWS的命令行下卻是有效的。
為檢驗這個結論,我們可以在D:下建立一個Test目錄,點“開始/運行”,輸入“CMD”進入命令行方式,具體驗證過程如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>md s。。\(代表在test下建立S.目錄,系統沒有報錯,成功創建S.文件夾,不過在“資
源管理器”和“我的電腦”中打開這個文件夾都會報錯。為檢驗這個文件夾能否正常使用,我們可以再
拷貝一個文件123.log到test文件夾中)
D:\test>copy 123.log s..\(系統提示已復制1個文件,說明文件復制成功)
通過上面步驟我們成功隱藏了一個文件夾s..\,并拷貝一個文件123.log到這個文件夾中,無論你怎么設置使用“資源管理器”和“我的電腦”都是不可能打開這個文件夾看到里面的文件的。
提示:如果在建立文件夾時,我們建立的文件夾名為”s..\a”,就可以使文件夾完全隱藏,在任何地方都無法看見。
解密:由于我們無法直接打開這個文件夾,也無法看到里面的內容,為了使用,我們可以把里面的內容拷貝出來。具體操作是:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>copy s..\a\123.log(把123.log拷貝到當前目錄下,即可使用)
為方便使用,可以對本辦法進行改進,具體步驟如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)D:\test>md s..\(在TEXT下建立S.目錄)
D:\md s(在TEXT下建立S目錄)
D:\test>copy 123.log s..\(拷貝123.log到s..\內,此時無法打開s..\)
建立一個批處理jiami.bat放在TEXT目錄下,內容如下:
copys\*s.\*
del/qs\*
再建立一個jiemi.bat放在test目錄下,內容如下:
Copys.\*s\*
操作時,把要加密的文件都拷貝到S目錄里,運行jiami.bat,即可機密所有文件,要使用時運行jiemi.bat即可在S目錄下還原出所有文件。
DOS命令結合類表識符加解密文件夾法
加密:現在的操作系統越來越大,計算機內的程序沒有上萬也有上千,即使是文件夾也好多層,平時不小心忘了文件放哪,找起來也相當麻煩,如果我們能將要加密的文件夾依次拷貝轉移到一個多層目錄下,就能夠起到一定的保護作用,具體的操作步驟如下:
在D:下建立一個test目錄,在test目錄下再建立一個jm目錄,然后建立一個批處理文件jiami2.bat,內容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
將需要加密的文件拷貝到d:\test\jm目錄下,執行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系統文件夾,一般人不敢隨便打開,起到了一定的加密作用。
解密:要使用時,可使用批處理jiemi2.bat來實現,內容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
這種加密方法并沒有隱藏文件夾本身,如果有人不小心打開你的c:\winnt\system32,就有可能發現你的秘密,如何能做到不被其他人所識別呢?使用類表識符是一個好想法,當一個文件夾命名中包含類表識符時,文件夾將顯示為該類表識符所對應的文件類型圖表,并使用相應的關聯程序打開這個文件夾。
我們可以在桌面上新建一個文件夾,命名為s.wav.{00020C01—0000—0000—C000—000000000046},確定后,我們發現看到的是一個S.wav的WAV文件,雙擊,則啟動media player提示文件格式錯誤。如果我們把需要加密的文件夾為偽裝成wav文件,那么別人想要獲得我們的機密文件就是難上加難了。
這里給出加密批處理jiami3.bat的內容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批處理jiemi3.bat的內容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介紹的是兩種隱藏文件夾的方法,如果想隱藏一個文件,那就更簡單了,改個文件名,換個深一點的目錄,做成自解壓程序等,方法還有很多種。
路徑的分隔符號文件夾加密法
加密:大家都知道在WINDOWS中不論是一個“\”還是兩個“\ ”符號都代表是路徑的分隔符號,比如“C:\WINDOWS\System..exe”的意思就是C分區中的WINDOWS文件夾中的System..exe文件,如果文件名中包含有“\”符號,就會把文件名分成“\”前的目錄部分和“\”后的文件名部分,WINDOWS無法打開這種含有“\”的文件,會提示出錯。
如果你想在“資源管理器”或“我的電腦”中再創建“S\”,WINDOWS會提示你“\”符號不能作為文件,文件夾的名字。但這類文件名在WINDOWS的命令行下卻是有效的。
為檢驗這個結論,我們可以在D:下建立一個Test目錄,點“開始/運行”,輸入“CMD”進入命令行方式,具體驗證過程如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>md s。。\(代表在test下建立S.目錄,系統沒有報錯,成功創建S.文件夾,不過在“資
源管理器”和“我的電腦”中打開這個文件夾都會報錯。為檢驗這個文件夾能否正常使用,我們可以再
拷貝一個文件123.log到test文件夾中)
D:\test>copy 123.log s..\(系統提示已復制1個文件,說明文件復制成功)
通過上面步驟我們成功隱藏了一個文件夾s..\,并拷貝一個文件123.log到這個文件夾中,無論你怎么設置使用“資源管理器”和“我的電腦”都是不可能打開這個文件夾看到里面的文件的。
提示:如果在建立文件夾時,我們建立的文件夾名為”s..\a”,就可以使文件夾完全隱藏,在任何地方都無法看見。
解密:由于我們無法直接打開這個文件夾,也無法看到里面的內容,為了使用,我們可以把里面的內容拷貝出來。具體操作是:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>copy s..\a\123.log(把123.log拷貝到當前目錄下,即可使用)
為方便使用,可以對本辦法進行改進,具體步驟如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)D:\test>md s..\(在TEXT下建立S.目錄)
D:\md s(在TEXT下建立S目錄)
D:\test>copy 123.log s..\(拷貝123.log到s..\內,此時無法打開s..\)
建立一個批處理jiami.bat放在TEXT目錄下,內容如下:
copys\*s.\*
del/qs\*
再建立一個jiemi.bat放在test目錄下,內容如下:
Copys.\*s\*
操作時,把要加密的文件都拷貝到S目錄里,運行jiami.bat,即可機密所有文件,要使用時運行jiemi.bat即可在S目錄下還原出所有文件。
DOS命令結合類表識符加解密文件夾法
加密:現在的操作系統越來越大,計算機內的程序沒有上萬也有上千,即使是文件夾也好多層,平時不小心忘了文件放哪,找起來也相當麻煩,如果我們能將要加密的文件夾依次拷貝轉移到一個多層目錄下,就能夠起到一定的保護作用,具體的操作步驟如下:
在D:下建立一個test目錄,在test目錄下再建立一個jm目錄,然后建立一個批處理文件jiami2.bat,內容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
將需要加密的文件拷貝到d:\test\jm目錄下,執行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系統文件夾,一般人不敢隨便打開,起到了一定的加密作用。
解密:要使用時,可使用批處理jiemi2.bat來實現,內容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
這種加密方法并沒有隱藏文件夾本身,如果有人不小心打開你的c:\winnt\system32,就有可能發現你的秘密,如何能做到不被其他人所識別呢?使用類表識符是一個好想法,當一個文件夾命名中包含類表識符時,文件夾將顯示為該類表識符所對應的文件類型圖表,并使用相應的關聯程序打開這個文件夾。
我們可以在桌面上新建一個文件夾,命名為s.wav.{00020C01—0000—0000—C000—000000000046},確定后,我們發現看到的是一個S.wav的WAV文件,雙擊,則啟動media player提示文件格式錯誤。如果我們把需要加密的文件夾為偽裝成wav文件,那么別人想要獲得我們的機密文件就是難上加難了。
這里給出加密批處理jiami3.bat的內容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批處理jiemi3.bat的內容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介紹的是兩種隱藏文件夾的方法,如果想隱藏一個文件,那就更簡單了,改個文件名,換個深一點的目錄,做成自解壓程序等,方法還有很多種。
Php腳本木馬的高級防范
[ 2007-03-25 04:05:21 | 作者: sun ]
首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,還可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那么在httpd.conf里加上這么幾行:
php_admin_value open_basedir /usr/local/apache/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木馬執行webshell
打開safe_mode, 在php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php處理文件的函數
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成為
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木馬拿我們沒轍了,遺憾的是這樣的話,利用文本數據庫的那些東西就都不能用了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啟apache服務,ok,apache運行在低權限下了。
實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。
php_admin_value open_basedir /usr/local/apache/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木馬執行webshell
打開safe_mode, 在php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php處理文件的函數
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成為
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木馬拿我們沒轍了,遺憾的是這樣的話,利用文本數據庫的那些東西就都不能用了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啟apache服務,ok,apache運行在低權限下了。
實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。
推薦:網絡攻擊概述 幾類攻擊與防御手法
[ 2007-03-25 04:05:09 | 作者: sun ]
1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由于在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,并且在對包的標題頭進行讀取之后,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防御:現在所有的標準TCP/IP實現都已實現對付超大尺寸的包,并且大多數防火墻能夠自動過濾這些攻擊,包括:從windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火墻進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防御:服務器應用最新的服務包,或者在設置防火墻時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就生成在兩臺主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防御:關掉不必要的TCP/IP服務,或者對防火墻進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用于創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防御:在防火墻上過濾來自同一主機的后續連接。
未來的SYN洪水令人擔憂,由于釋放洪水的并不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址,此舉將導致接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鐘)。
防御:打最新的補丁,或者在防火墻進行配置,將那些在外部接口上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網絡的所有主機都對此ICMP應答請求作出答復,導致網絡阻塞,比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防御:為了防止黑客利用你的網絡攻擊他人,關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊,在防火墻上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP。
防御:在防火墻上過濾掉UDP應答消息。
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬。
防御:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防御:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一臺主機而且發現了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防御:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
最有效的一種叫做后門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用于控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的后門程序透明運行。
防御:避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防御:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
3、信息收集型攻擊
信息收集型攻擊并不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務。
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防御:在防火墻上過濾掉ICMP應答消息。
端口掃描
概覽:通常使用一些軟件,向大范圍的主機連接一系列的TCP端口,掃描軟件報告它成功的建立了連接的主機所開的端口。
防御:許多防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然后根據返回“hostunreachable”這一消息特征判斷出哪些主機是存在的。目前由于正常的掃描活動容易被防火墻偵測到,黑客轉而使用不會觸發防火墻規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防御:NAT和非路由代理服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。
慢速掃描
概覽:由于一般掃描偵測器的實現是通過監視某個時間楨里一臺特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。
防御:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的數據庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由于每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與數據庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防御:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用于識別的端口擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS服務器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防御:在防火墻處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶的信息。
防御:關閉finger服務并記錄嘗試連接該服務的對方IP地址,或者在防火墻上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網絡內部的系統和它們的用戶的信息。
防御:對于刺探內部網絡的LDAP進行阻斷并記錄,如果在公共機器上提供LDAP服務,那么應把LDAP服務器放入DMZ。
4、假消息攻擊
用于攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證,這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。
防御:在防火墻上過濾入站的DNS更新,外部DNS服務器不應能更改你的內部服務器對內部機器的認識。
偽造電子郵件
概覽:由于SMTP并不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識并相信的人,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防御:使用PGP等安全工具并安裝電子郵件證書。
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由于在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,并且在對包的標題頭進行讀取之后,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防御:現在所有的標準TCP/IP實現都已實現對付超大尺寸的包,并且大多數防火墻能夠自動過濾這些攻擊,包括:從windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火墻進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防御:服務器應用最新的服務包,或者在設置防火墻時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就生成在兩臺主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防御:關掉不必要的TCP/IP服務,或者對防火墻進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用于創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防御:在防火墻上過濾來自同一主機的后續連接。
未來的SYN洪水令人擔憂,由于釋放洪水的并不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址,此舉將導致接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鐘)。
防御:打最新的補丁,或者在防火墻進行配置,將那些在外部接口上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網絡的所有主機都對此ICMP應答請求作出答復,導致網絡阻塞,比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防御:為了防止黑客利用你的網絡攻擊他人,關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊,在防火墻上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP。
防御:在防火墻上過濾掉UDP應答消息。
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬。
防御:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防御:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一臺主機而且發現了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防御:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
最有效的一種叫做后門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用于控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的后門程序透明運行。
防御:避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防御:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
3、信息收集型攻擊
信息收集型攻擊并不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務。
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防御:在防火墻上過濾掉ICMP應答消息。
端口掃描
概覽:通常使用一些軟件,向大范圍的主機連接一系列的TCP端口,掃描軟件報告它成功的建立了連接的主機所開的端口。
防御:許多防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然后根據返回“hostunreachable”這一消息特征判斷出哪些主機是存在的。目前由于正常的掃描活動容易被防火墻偵測到,黑客轉而使用不會觸發防火墻規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防御:NAT和非路由代理服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。
慢速掃描
概覽:由于一般掃描偵測器的實現是通過監視某個時間楨里一臺特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。
防御:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的數據庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由于每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與數據庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防御:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用于識別的端口擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS服務器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防御:在防火墻處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶的信息。
防御:關閉finger服務并記錄嘗試連接該服務的對方IP地址,或者在防火墻上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網絡內部的系統和它們的用戶的信息。
防御:對于刺探內部網絡的LDAP進行阻斷并記錄,如果在公共機器上提供LDAP服務,那么應把LDAP服務器放入DMZ。
4、假消息攻擊
用于攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證,這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。
防御:在防火墻上過濾入站的DNS更新,外部DNS服務器不應能更改你的內部服務器對內部機器的認識。
偽造電子郵件
概覽:由于SMTP并不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識并相信的人,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防御:使用PGP等安全工具并安裝電子郵件證書。
一、 引言
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名字。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計制造一只高二丈的大木馬假裝作戰馬神,攻擊數天后仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿于木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵涌入,焚屠特洛伊城。后世稱這只木馬為"特洛伊木馬",現今計算機術語借用其名,意思是"一經進入,后患無窮"。特洛伊木馬原則上它和Laplink 、 PCanywhere 等程序一樣,只是一種遠程管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒 (也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
二、木馬攻擊原理
特洛伊木馬是一個程序,它駐留在目標計算機里,可以隨計算機自動啟動并在某一端口進行偵聽,在對接收的數據識別后,對目標計算機執行特定的操作。木馬,其實質只是一個通過端口進行通信的網絡客戶/服務程序。
1、基本概念:網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監聽(Listen), 如果有客戶機向服務器的這一端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對于特洛伊木馬,被控制端就成為一臺服務器,控制端則是一臺客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。
2、程序實現:
可以使用VB或VC的Winsock控件來編寫網絡客戶/服務程序, 實現方法如下:
服務器端:
G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)
G_Server.Listen(等待連接)
客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)
G_Client.RemotePort=7626(設遠程端口為冰河的默認端口)
(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個)
G_Client.Connect(調用Winsock控件的連接方法)
一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客戶端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)
如果客戶斷開連接,則關閉連接并重新監聽端口
Private Sub G_Server_Close()
G_Server.Close (關閉連接)
G_Server.Listen(再次監聽)
End Sub
客戶端上傳一個命令,服務端解釋并執行命令。
3、實現木馬的控制功能
由于Win98開放了所有的權限給用戶,因此,以用戶權限運行的木馬程序幾乎可以控制一切,下面僅對木馬的主要功能進行簡單的概述, 主要是使用Windows API函數。
(1)遠程監控(控制對方鼠標、鍵盤,并監視對方屏幕)
keybd_event模擬一個鍵盤動作。
mouse_event模擬一次鼠標事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統中的一個絕對位置
MOUSEEVENTF_MOVE 移動鼠標
MOUSEEVENTF_LEFTDOWN 模擬鼠標左鍵按下
MOUSEEVENTF_LEFTUP 模擬鼠標左鍵抬起
MOUSEEVENTF_RIGHTDOWN 模擬鼠標右鍵按下
MOUSEEVENTF_RIGHTUP 模擬鼠標右鍵按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠標坐標
(2)記錄各種口令信息
keylog begin:將擊鍵記錄在一個文本文件里,同時還記錄執行輸入的窗口名
(3)獲取系統信息
a.取得計算機名 GetComputerName
b.更改計算機名 SetComputerName
c.當前用戶 GetUserName
d.系統路徑
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系統對象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系統目錄)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安裝目錄)
e.取得系統版本 GetVersionEx
f.當前顯示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
當uFlags=EWX_LOGOFF 中止進程,然后注銷
=EWX_SHUTDOWN 關掉系統但不關電源
=EWX_REBOOT 重新引導系統
=EWX_FORCE強迫中止沒有響應的進程
=EWX_POWERDOWN 關掉系統及關閉電源
b.鎖定鼠標,ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把鼠標隱藏起來也可以,RECT是定義的一個矩形。
c.讓對方掉線 RasHangUp
d.終止進程 ExitProcess
e.關閉窗口 利用FindWindow函數找到窗口并利用SendMessage函數關閉窗口
(5)遠程文件操作
刪除文件:File delete
拷貝文件:File copy
共享文件:Export list(列出當前共享的驅動器、目錄、權限及共享密碼)
(6)注冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,RegValue
獲取鍵值:RegEdit.RegRead (Value)
三、特洛伊木馬隱身方法
木馬程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“系統服務”可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是“木馬”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,一般情況下,它們的等號后面什么都沒有,如果發現后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。
在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的“木馬”程序生成的文件很像系統自身文件,想通過偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。
目前,除了上面介紹的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技術。驅動程序及動態鏈接庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽端口,而采用替代系統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:系統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的端口(所以不能用端口監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控制端向被控端發出特定的信息后,隱藏的程序就立即開始運作。
四、 特洛伊木馬防御原理
知道了木馬的攻擊原理和隱身方法,我們就可以采取措施進行防御了。
1.端口掃描
端口掃描是檢查遠程機器有無木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口, 如果成功, 則說明端口開放,如果失敗或超過某個特定的時間(超時), 則說明端口關閉。但對于驅動程序/動態鏈接木馬, 掃描端口是不起作用的。
2.查看連接
查看連接和端口掃描的原理基本相同,不過是在本地機上通過netstat -a(或某個第三方程序)查看所有的TCP/UDP連接,查看連接要比端口掃描快,但同樣是無法查出驅動程序/動態鏈接木馬,而且僅僅能在本地使用。
3.檢查注冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過注冊表啟動(好像現在大部分的木馬都是通過注冊表啟動的,至少也把注冊表作為一個自我保護的方式),那么,我們同樣可以通過檢查注冊表來發現冰河在注冊表里留下的痕跡。
4.查找文件
查找木馬特定的文件也是一個常用的方法,木馬的一個特征文件是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個文件,木馬就已經不起作用了。如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了, sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上。
另外,對于驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用Windows的"系統文件檢查器",通過"開始菜單"-"程序"-"附件"-"系統工具"-"系統信息"-"工具"可以運行"系統文件檢查器", 用“系統文件檢查器”可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統安全和穩定。
五、結束語
只要你有一點點的疏忽,就有可能被人安裝了木馬。所以平時不要隨便從網站上下載軟件,不要隨便運行別人給的軟件,經常檢查自己的系統文件、注冊表、端口,經常去安全站點查看最新的木馬公告等等,提高自己的網絡安全意識,了解木馬的常見伎倆,這樣對于保證自己電腦的安全不無裨益。
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名字。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計制造一只高二丈的大木馬假裝作戰馬神,攻擊數天后仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿于木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵涌入,焚屠特洛伊城。后世稱這只木馬為"特洛伊木馬",現今計算機術語借用其名,意思是"一經進入,后患無窮"。特洛伊木馬原則上它和Laplink 、 PCanywhere 等程序一樣,只是一種遠程管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒 (也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
二、木馬攻擊原理
特洛伊木馬是一個程序,它駐留在目標計算機里,可以隨計算機自動啟動并在某一端口進行偵聽,在對接收的數據識別后,對目標計算機執行特定的操作。木馬,其實質只是一個通過端口進行通信的網絡客戶/服務程序。
1、基本概念:網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監聽(Listen), 如果有客戶機向服務器的這一端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對于特洛伊木馬,被控制端就成為一臺服務器,控制端則是一臺客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。
2、程序實現:
可以使用VB或VC的Winsock控件來編寫網絡客戶/服務程序, 實現方法如下:
服務器端:
G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)
G_Server.Listen(等待連接)
客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)
G_Client.RemotePort=7626(設遠程端口為冰河的默認端口)
(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個)
G_Client.Connect(調用Winsock控件的連接方法)
一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客戶端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)
如果客戶斷開連接,則關閉連接并重新監聽端口
Private Sub G_Server_Close()
G_Server.Close (關閉連接)
G_Server.Listen(再次監聽)
End Sub
客戶端上傳一個命令,服務端解釋并執行命令。
3、實現木馬的控制功能
由于Win98開放了所有的權限給用戶,因此,以用戶權限運行的木馬程序幾乎可以控制一切,下面僅對木馬的主要功能進行簡單的概述, 主要是使用Windows API函數。
(1)遠程監控(控制對方鼠標、鍵盤,并監視對方屏幕)
keybd_event模擬一個鍵盤動作。
mouse_event模擬一次鼠標事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統中的一個絕對位置
MOUSEEVENTF_MOVE 移動鼠標
MOUSEEVENTF_LEFTDOWN 模擬鼠標左鍵按下
MOUSEEVENTF_LEFTUP 模擬鼠標左鍵抬起
MOUSEEVENTF_RIGHTDOWN 模擬鼠標右鍵按下
MOUSEEVENTF_RIGHTUP 模擬鼠標右鍵按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠標坐標
(2)記錄各種口令信息
keylog begin:將擊鍵記錄在一個文本文件里,同時還記錄執行輸入的窗口名
(3)獲取系統信息
a.取得計算機名 GetComputerName
b.更改計算機名 SetComputerName
c.當前用戶 GetUserName
d.系統路徑
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系統對象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系統目錄)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安裝目錄)
e.取得系統版本 GetVersionEx
f.當前顯示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
當uFlags=EWX_LOGOFF 中止進程,然后注銷
=EWX_SHUTDOWN 關掉系統但不關電源
=EWX_REBOOT 重新引導系統
=EWX_FORCE強迫中止沒有響應的進程
=EWX_POWERDOWN 關掉系統及關閉電源
b.鎖定鼠標,ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把鼠標隱藏起來也可以,RECT是定義的一個矩形。
c.讓對方掉線 RasHangUp
d.終止進程 ExitProcess
e.關閉窗口 利用FindWindow函數找到窗口并利用SendMessage函數關閉窗口
(5)遠程文件操作
刪除文件:File delete
拷貝文件:File copy
共享文件:Export list(列出當前共享的驅動器、目錄、權限及共享密碼)
(6)注冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,RegValue
獲取鍵值:RegEdit.RegRead (Value)
三、特洛伊木馬隱身方法
木馬程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“系統服務”可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是“木馬”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,一般情況下,它們的等號后面什么都沒有,如果發現后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。
在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的“木馬”程序生成的文件很像系統自身文件,想通過偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。
目前,除了上面介紹的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技術。驅動程序及動態鏈接庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽端口,而采用替代系統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:系統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的端口(所以不能用端口監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控制端向被控端發出特定的信息后,隱藏的程序就立即開始運作。
四、 特洛伊木馬防御原理
知道了木馬的攻擊原理和隱身方法,我們就可以采取措施進行防御了。
1.端口掃描
端口掃描是檢查遠程機器有無木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口, 如果成功, 則說明端口開放,如果失敗或超過某個特定的時間(超時), 則說明端口關閉。但對于驅動程序/動態鏈接木馬, 掃描端口是不起作用的。
2.查看連接
查看連接和端口掃描的原理基本相同,不過是在本地機上通過netstat -a(或某個第三方程序)查看所有的TCP/UDP連接,查看連接要比端口掃描快,但同樣是無法查出驅動程序/動態鏈接木馬,而且僅僅能在本地使用。
3.檢查注冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過注冊表啟動(好像現在大部分的木馬都是通過注冊表啟動的,至少也把注冊表作為一個自我保護的方式),那么,我們同樣可以通過檢查注冊表來發現冰河在注冊表里留下的痕跡。
4.查找文件
查找木馬特定的文件也是一個常用的方法,木馬的一個特征文件是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個文件,木馬就已經不起作用了。如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了, sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上。
另外,對于驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用Windows的"系統文件檢查器",通過"開始菜單"-"程序"-"附件"-"系統工具"-"系統信息"-"工具"可以運行"系統文件檢查器", 用“系統文件檢查器”可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統安全和穩定。
五、結束語
只要你有一點點的疏忽,就有可能被人安裝了木馬。所以平時不要隨便從網站上下載軟件,不要隨便運行別人給的軟件,經常檢查自己的系統文件、注冊表、端口,經常去安全站點查看最新的木馬公告等等,提高自己的網絡安全意識,了解木馬的常見伎倆,這樣對于保證自己電腦的安全不無裨益。
