技術

拒絕服務技術的創新已經基本塵埃落定，而上個世紀最后十年的發明也逐漸遙遠。然而，隨著寬帶接入、自動化和如今家庭計算機功能的日益強大，使得對拒絕服務攻擊的研究有些多余。尤其是當我們發現一些本已在90年代末銷聲匿跡的古老的攻擊方式，(例如land ，其使用類似的源和目標 IP 地址和端口發送 UDP 信息包)這些攻擊技術 現在又卷土重來時，這個結論就更加顯而易見。在這一方面唯一的進步就是可以發起并行任務，從而可以通過簡單的 486 處理器所無法實現的方式來顯著提高攻擊強度。


另一個要考慮的重點是事實上IP堆棧似乎并未正確地安裝補丁程序。計算機不再會因為單一的信息包而崩潰；但是，CPU操作會為了處理這種信息包而保持高速運行。因為補丁失效期間生成的信息包是有限的，所以要實現有效的攻擊并不容易。可能是技術提高得太快。不管是什么原因，這些陳舊過時的攻擊方式現在又卷土重來，而且還非常有效。


使用拒絕服務


拒絕服務攻擊開始可能只是為了“取樂”，對系統操作員進行某種報復或是實現各種復雜的攻擊，例如對遠程服務的隱形欺騙。某人因在某一信道上遭到侮辱后也經常會將IRC服務器作為攻擊目標。這種情況下的網絡和因特網使用是“保密的”，這些攻擊對其造成的影響微乎其微。


隨著時間的流逝，因特網逐漸成為一種通信渠道，hacktivism（網絡激進主義）越來越流行。地理政治形勢、戰爭、宗教問題、生態等任何動機都可能成為對公司、政治組織或甚至國家的IT基礎架構發動進攻的動機。


最近的拒絕服務攻擊更多的是與聯機游戲有關。某些玩家對在游戲中被人殺死或丟失他們喜愛的武器不滿意，因此發動拒絕服務攻擊，許多服務器已經成為這種攻擊的犧牲品。


但是如今使用拒絕服務的目的大多數是純粹的敲詐勒索。越來越多的企業開始依賴他們的IT基礎架構。郵件、關鍵數據、甚至電話都通過網絡來處理。如果沒有這些主要的通信渠道，大多數公司都難以在競爭中幸存。而且，因特網還是一種生產工具。例如，搜索引擎和博彩web 站點都完全依賴網絡連接。


因此，隨著公司直接或間接地依賴因特網，原有的敲詐信逐漸轉變成數字形式。首先在短暫而非緊要的時間段內發動攻擊。然后受害者就不得不支付“保護費”。


網絡協議攻擊


這些攻擊瞄準傳輸信道，并因此以IP堆棧作為攻擊目標，IP堆棧是內存和 CPU 之類關鍵資源的進入點。


SYN洪水


SYN洪水是典型的基于概念的拒絕服務攻擊，因為這種攻擊完全依賴于TCP連接的建立方式。在最初的 3 向握手期間，服務器填寫保存內存中會話信息的 TCB（傳輸控制塊）表。當服務器收到來自客戶機的初始 SYN 信息包時，向客戶機發送回一個 SYN-ACK 信息包并在 TCB 中創建一個入口。只要服務器在等待來自客戶機的最終 ACK 信息包，該連接便處于 TIME_WAIT 狀態。如果最終沒有收到 ACK 信息包，則將另一個 SYN-ACK 發送到客戶機。最后，如果經多次重試后，客戶機沒有認可任何 SYN-ACK 信息包，則關閉會話并從 TCB 中刷新會話。從傳輸第一個 SYN-ACK 到會話關閉這段時間通常大約為 30 秒。


在這段時間內，可能會將數十萬個SYN信息包發送到開放的端口且絕不會認可服務器的SYN-ACK 信息包。TCB 很快就會超過負荷，且堆棧無法再接受任何新的連接并將現有的連接斷開。因為攻擊者不用接收來自服務器的 SYN-ACK 信息包，所以他們可以偽造初始 SYN 信息包的源地址。這就使得跟蹤攻擊的真實來源更加困難。此外，因為 SYN-ACK 信息包沒有發送到攻擊者，所以這樣還為攻擊者節省了帶寬。


生成這種攻擊很容易，只要在命令行輸入一條命令就足夠了。


#hping3--rand-source–S –L 0 –p


存在的變體也很少，通常為了增加CPU的使用率會將某些異常添加到SYN 信息包。這些可能是序列號或源端口0等合法的異常。



SYN-ACK洪水


SYN-ACK洪水的作用基礎是令CPU資源枯竭。從理論上講，這種信息包是 TCP 3 向握手的第二步，而且在 TCB 中應該有對應的入口。瀏覽 TCB 將會使用 CPU 資源，尤其 TCB 很大時會耗用更多的 CPU 資源。因此，負荷較重時，這種對資源的使用會影響系統性能。


這也就是SYN-ACK攻擊所仰仗的利器。向系統發送一個巨荷的SYN-ACK 信息包會顯著增加系統 CPU 的使用率。因此，用于組織 TCB 的哈希算法和哈希表大小之選擇會影響攻擊的效率（請參閱“概念”和“邏輯缺陷”）。而且，因為這些 SYN-ACK 信息包不屬于現有的連接，所以目標機器不得不將 RST 信息包發送到源機器，從而增加了鏈路上的帶寬占用率。對于 SYN 洪水，攻擊者為了避免接收到 RST，當然可以偽造源機器的 IP 地址，這樣還可以提高攻擊者的可用帶寬。


這也只需要一條簡單的命令就可以進行這種攻擊。


一個重要因子是由第三方服務器基于反射機制而生成SYN-ACK信息包的能力。在將SYN 信息包發送到服務器的開放端口時，該服務器將 SYN-ACK 信息包發送回源機器。此時任何服務器都可能為這種攻擊充當中繼。發送到服務器的簡單 SYN 信息包帶有偽造的源，其發送到目標時生成 SYN-ACK 返回目標。這種技術讓跟蹤更加困難。而且，在某些情況下，還可以繞過某些防偽機制。尤其當目標和攻擊者屬于同一干道而且部署的 uRPF (參閱“防偽”) 距離目標機器和攻擊者足夠遠時，更有可能避開防偽機制。


通過與SYN洪水聯結還可以提高此種攻擊的強度。SYN洪水在TCB 中創建入口，而TCB因此變得越來越大。由于此時瀏覽 TCB 所需的時間更長，所以 SYN-ACK 洪水的功效大大增加。


UDP洪水


UDP同樣天生就是拒絕服務攻擊的傳播媒介。按照指定，在封閉端口上接收UDP信息包的服務器將無法到達 ICMP 端口的信息包發送回給源機器。ICMP 信息包的數據部分填充有原始 UDP 信息包中的至少前 64 個字節。因為沒有標準限度或額度，所以很可能在封閉的端口上發送巨量的信息包。在為生成 ICMP 而進行負荷極大的必需操作時，，錯誤的信息包消耗了大量 CPU 資源，最終導致CPU 資源枯竭。


同樣，也可以從命令行生成這種攻擊。而且，也可以通過偽造而使得ICMP信息包不會降低攻擊者的帶寬。

隨著不限時寬帶的普及，為了方便BT下載，很多朋友都愛24小時掛機。全天候的在線，這給一些病毒、木馬“入侵”系統帶來了極大便利，他們可以在半夜入侵我們的電腦，肆意為非作歹。近日筆者在幫助一位朋友殺毒的時候，就遭遇一個“無法刪除的病毒”，下面將查殺經驗與大家共享。

1.驚現病毒。朋友的電腦安裝的是Windows XP專業版，近來常常徹夜開機用BT下載電影，沒想到在一次開機的時候，Norton就報告在下發現病毒“exporer.exe”，不過使用Norton掃描后，雖然可以發現病毒，但Norton提示無法隔離和刪除病毒文件。

2.查殺。一般來說，病毒如果無法被直接刪除，大多是由于病毒進程在運行導致的，打開任務管理器，找到病毒進程“exporer.exe”順利將其終止，按照Norton提供病毒文件路徑，找到病毒文件后，按住Shift鍵右擊選擇“刪除”，奇怪的是系統卻提示無法刪除文件，再次打開任務管理器，我已經確信病毒進程被終止了，而且也不是在寫保護狀態，為什么無法刪除?我試圖把文件夾刪除，但同樣遭到系統拒絕，重啟電腦多次仍然是同樣的結果。

后來筆者在查看“exporer.exe”屬性(看看文件生成日期和大小，以便搜索一下病毒還有沒有同伙)時，意外發現屬性窗口還有一個“安全”標簽，點擊后可以看到在用戶權限列表“特別權限”的拒絕選項被打上小勾，會不會是文件權限不夠導致無法刪除?單擊的“高級”按鈕，在彈出的窗口我看到一個“拒絕刪除”的權限，單擊“編輯”終于看到文件無法刪除的真正原因了，原來當前用戶的刪除權限被施毒者設置為拒絕了，但是卻允許“讀取和運行，取消拒絕的權限后，返回文件屬性窗口，勾選“允許完全控制”，單擊“確定”退出后順利刪除“exporer.exe”。

小提示

文件(夾)屬性“安全”標簽只會在NTFS格式的分區出現，如果看不到此標簽，打開我的電腦，單擊“工具→文件夾選項→查看”，然后在高級設置選項下去除“簡單文件共享(推薦)”前的小勾。

筆者在刪除“exporer.exe” 后試圖刪除文件夾，遭到系統拒絕后，通過查看文件夾的“安全”屬性，同樣可以發現刪除權限(刪除子文件夾及文件、刪除)被拒絕了，同上，取消這個限制后順利把病毒“掃地出門”。對于文件(夾)，如果是由于權限原因被拒絕操作，一般將權限設置為“完全控制”即可。

小技巧

(1)權限是可以繼承的，有時候打開某個文件安全屬性標簽后，可能在圖4不會有“拒絕刪除”權限，但是如果它的父文件夾設置了“拒絕刪除子文件夾及文件”，該文件還是無法被刪除的，解決方法是將文件權限設置為完全控制。

(2)文件權限是和文件所有者相關聯的，對于辦公室多帳戶電腦，一些別有用心的人可能還會將木馬和用戶對應起來(以針對電腦操作水平較低帳戶，警惕性不高易于竊取資料)，如果發現木馬毒會和對應帳戶關聯，即有些用戶登錄后木馬會運行，而有些則不會(木馬文件權限被設置為禁止讀取和刪除)，這時可以用系統管理員身份登錄，強行將木馬文件所有者更改為當前用戶，然后設置為完全控制將木馬刪除。

(3)一點經驗。Windows XP/2000的文件(夾)權限，是系統一項特殊功能，它允許靈活設置不同用戶的不同權限，一些牧馬者通過將病毒程序文件設置為允許“讀取和運行”、拒絕“刪除”，從而實現更好的“自我保護”。由于更改文件權限操作比較復雜，施毒者一般要在宿主機上親自操作，對于喜愛全天候掛機的朋友，安裝一款防護能力較好的防火墻，關閉一些不必要端口，可以有效防止此類病毒的襲擊，如果發現病毒無法刪除，在終止進程情況下，大家一定要看看文件權限是否被更改了。

在本篇技術指南中，將概要介紹你如何修改最重要的組策略安全設置。



你可以在采用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法，或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息，我準備介紹一下如何設置基于Windows Server 2003的域名。請記住，這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點，這些設置可以保持或者破壞Windows的安全。而且由于設置的不同，你的進展也不同。因此，我鼓勵你在使用每一個設置之前都進行深入的研究，以確保這些設置能夠兼容你的網絡。如果有可能的話，對這些設置進行試驗(如果你很幸運有一個測試環境的話)。


如果你沒有進行測試，我建議你下載和安裝微軟的組策略管理控制臺(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程，你就上載GPMC，擴展你的域名，用鼠標右鍵點擊“缺省域名策略”，然后選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象，你可以在“開始”菜單中運行“gpedit.msc”。


1.確定一個缺省的口令策略，使你的機構設置位于“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。


2.為了防止自動口令破解，在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置:


·賬號關閉持續時間(確定至少5-10分鐘)


·賬號關閉極限(確定最多允許5至10次非法登錄)


·隨后重新啟動關閉的賬號(確定至少10-15分鐘以后)


3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啟用如下功能:


·檢查賬號管理


·檢查登錄事件


·檢查策略改變


·檢查權限使用


·檢查系統事件


理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住，啟用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。


4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊，你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置:


·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)


·賬號:重新命名客戶賬號(確定一個新名字)


·交互式登錄:不要顯示最后一個用戶的名字(設置為啟用)


·交互式登錄:不需要最后一個用戶的名字(設置為關閉)


·交互式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本)，內容大致為“這是專用和受控的系統。


如果你濫用本系統，你將受到制裁。--首先讓你的律師運行這個程序)


·交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫的東西


·網絡接入:不允許SAM賬號和共享目錄(設置為“啟用”)


·網絡接入:將“允許每一個人申請匿名用戶”設置為關閉


·網絡安全:“不得存儲局域網管理員關于下一個口令變化的散列值”設置為“啟用”


·關機:“允許系統在沒有登錄的情況下關閉”設置為“關閉”


·關機:“清除虛擬內存的頁面文件”設置為“啟用”


如果你沒有Windows Server 2003域名控制器，你在這里可以找到有哪些Windows XP本地安全設置的細節，以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息，請查看微軟的專門網頁。

木馬是一種非常特殊的程序，它與病毒和惡意代碼不同。木馬程序（Trojan horses）隱蔽性很強，您根本不知道它們在運行。但是它們產生的危害并不亞于病毒。一旦您的機器中了木馬，則網上有人可以通過它來獲取您的密碼和一些資料。甚至一些高級的黑客可以遠程控制您的電腦。下面我們就向大家介紹有效防范木馬的招術。

小心下載軟件

由于黑客軟件被人們濫用，網上很多站點所提供下載的軟件或多或少摻雜木馬或病毒。一但該軟件被用戶下載到硬盤且滿足運行條件，木馬和病毒就會對電腦系統和用戶的信息安全構成巨大的威脅，而這一切，畢竟是普通用戶所不能察覺的。惟一能避免木馬和病毒橫行的，并不一定全依賴反病毒軟件，而是靠用戶的自制能力。如不要去訪問不知名的站點，不要去登錄染色站點，不要從上面下載撥號器或是黑客站點下載看似安全的軟件。同時，下載的時候一定要開啟防火墻。

不隨意打開附件

有很多不懷好意的人喜歡把木馬加在郵件附件中，甚至把木馬和正常文件混合在一起，然后再起上一個具有吸引力的郵件名來誘惑無辜的網友們去打開附件。此外，通過QQ間的文件傳遞也能發出木馬來。因此，我們不可以隨便打開陌生人發來的郵件，尤其是其中的附件，而.doc，.exe，.swf的附件更是要小心謹慎。如果實在要打開，可以先把這個附件文件保存到硬盤上，用郵件監控或反病毒掃描一番后再打開。

使用殺毒軟件

新的木馬和病毒一出來，惟一能控制其蔓延的就是不斷地更新防毒軟件中的病毒庫。除開啟防毒軟件的保護功能外，我們還可以多運行一些其他的軟件，如天網等，它可以監控網絡之間正常的數據流通和不正常的數據流通并隨時對用戶發出相關提示。如果我們懷疑機器染了木馬，還可以從http://download.zol.com.cn上下載個木馬克星來徹底掃描木馬，保護系統的安全。主要的木馬查殺程序有Trojan Defense、Antiy Ghostbusters、Digital Patrol、PestPatrol、Tauscan、TDS-3 Trojan Defence Suite和Trojan Remover等，而且有的是免費軟件，大家下載后可以免費使用。

查看文件擴展名

木馬的擴展名多數為VBS、PIF等，甚至有的木馬根本就沒有擴展名。利用這個特征我們只要打開“我的電腦”，依次選擇“查看→文件夾選項”命令，再單擊“查看”標簽，用鼠標向下拖動滾動欄，去掉“隱藏已知文件的擴展名”前的小鉤讓文件的擴展名顯示出來。以后看到擴展名為VBS、PIF等文件時就要多加小心了。

編后語：以上都是一些操作習慣，但對于我們抵御木馬是相當有幫助的。由于木馬程序每天都會出現新的種類，所以一般的木馬程序都會提供即時在線更新服務，以便讓它能夠即時檢測出系統中的木馬。

“瀏覽器劫持”，通俗點說就是故意誤導瀏覽器的行進路線的一種現象，常見的瀏覽器劫持現象有:訪問正常網站時被轉向到惡意網頁、當輸入錯誤的網址時被轉到劫持軟件指定的網站、輸入字符時瀏覽器速度嚴重減慢、IE瀏覽器主頁/搜索頁等被修改為劫持軟件指定的網站地址、自動添加網站到“受信任站點”、不經意的插件提示安裝、收藏夾里自動反復添加惡意網站鏈接等，不少用戶都深受其害。那么，這類現象是如何引起的呢?用戶又該如何防范應對呢?這就是本文要介紹的內容。

　　一、“攻”之解說

　　1、整體認識。

　　瀏覽器劫持(Browser Hijack)是一種惡意程序軟件，通過惡意修改用戶個人電腦的瀏覽器默認設置，以引導用戶登錄被其修改的或并非用戶本意要瀏覽的網頁。大多數瀏覽器劫持者是在用戶訪問其網站時，通過修改其瀏覽器默認首頁或搜索結果頁，達到劫持網民瀏覽器的目的。這些載體可以直接寄生于瀏覽器的模塊里，成為瀏覽器的一部分，進而直接操縱瀏覽器的行為。“瀏覽器劫持”的后果非常嚴重，用戶只有在受到劫持后才會發現異常情況;目前，瀏覽器劫持已經成為Internet用戶最大的威脅之一。

　　2、現象分析。

　　“瀏覽器劫持”的攻擊手段可以通過被系統認可的“合法途徑”來進行。所謂“合法途徑”，即是說大部分瀏覽器劫持的發起者，都是通過一種被稱為“BHO”(Browser Helper Object，瀏覽器輔助對象)的技術手段來植入系統。

　　而BHO是微軟早在1999年推出的作為瀏覽器對第三方程序員開放交互接口的業界標準，它是一種可以讓程序員使用簡單代碼進入瀏覽器領域的“交互接口”， 由于BHO的交互特性，程序員還可以使用代碼去控制瀏覽器的行為，比如常見的修改替換瀏覽器工具欄、在瀏覽器界面上添加自己的程序按鈕等操作，這些操作都被系統視為“合法”，這就是“瀏覽器劫持”現象賴以存在的根源。

　　二、“防”之細談


　　這類現象確實難以防范，用戶永遠處于被動地位。我們只能通過一些設置與軟件的應用，讓這種影響減至最低。以下辦法可供大家參考。

　　1、個別劫持現象的手動修正。

　　Windows登錄窗口被劫持。

　　在注冊表中打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支，然后將其下的“LegalNoticeCaption”和“LegalNoticeText”主鍵刪除即可解決問題。

　　在網頁中單擊鼠標右鍵，在彈出的菜單里顯示網頁廣告。

　　在注冊表中打開HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支，IE瀏覽器中顯示的附加右鍵菜單都在這里設置，常見的網際快車單擊右鍵下載的信息也存放在這里，只需找到顯示廣告的主鍵條目刪除即可。

　　2、通用修正法。

　　雖然“瀏覽器劫持”一般都需要手工修正，但仍可以通過一些檢測瀏覽器劫持工具如HijackThis、Browser Hijack Recover等來實現修正工作。下面以HijackThis為例，簡要說明修正過程。

　　軟件下載地址:http://www.mydown.com/soft/187/187841.html。下載完成后雙擊即可啟動到如圖所示主界面。單擊左下角“掃描”按鈕，軟件會自動對系統進行全方位的安全檢測;稍等之后即會返回系統中所有可疑內容，每個可疑項目前都有一個編號，這些編號代表了不同的類別;勾選某個項目后單擊右下角的“顯示所選項目信息”按鈕可以查看到更詳細的信息;然后單擊“修復”按鈕即可進行修復。

　　三、總結

　　瀏覽器一旦被劫持，就意味這你無法決定自己的電腦里將被存放進什么資料，這無疑存在巨大安全隱患。而如今的互聯網絡環境可謂處處是“瀏覽器劫持”式的陷阱，單憑普通用戶被動的事后修正無異于亡羊補牢;更多的需要全世界互聯網使用者把好公眾輿論和道德走向一關。

IIS（Internet Information Server）作為目前最為流行的Web服務器平臺，發揮著巨大的作用。因此，了解如何加強IIS的安全機制，建立一個高安全性能的Web服務器就顯得尤為重要。

　　保證系統的安全性

　　因為IIS是建立在操作系統下，安全性也應該建立在系統安全性的基礎上，因此，保證系統的安全性是IIS安全性的基礎，為此，我們要做以下事情。

　　1、 使用NTFS文件系統

　　在NT系統中應該使用NTFS系統，NTFS可以對文件和目錄進行管理，而FAT文件系統只能提供共享級的安全，而且在默認情況下，每建立一個新的共享，所有的用戶就都能看到，這樣不利于系統的安全性。和FAT文件系統不同，在NTFS文件下，建立新共享后可以通過修改權限保證系統安全。

　　2、 關閉默認共享

　　在Windows 2000中，有一個“默認共享”，這是在安裝服務器的時候，把系統安裝分區自動進行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務器的安全考慮，最好關閉這個“默認共享”，以保證系統安全。方法是：單擊“開始/運行”，在運行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\lanmanworkstation\parameters”，在右側窗口中創建一個名為“AutoShare-Wks”的雙字節值，將其值設置為0，這樣就可以徹底關閉“默認共享”。

3、 設置用戶密碼

　　用戶一定要設置密碼，用戶的密碼盡量使用數字與字母大小混排的口令，還需要經常修改密碼，封鎖失敗的登錄嘗試，并且設定嚴格的賬戶生存時間。應避免設置簡單的密碼，且用戶的密碼盡可能不要和用戶名有任何關聯。

　　保證IIS自身的安全性

　　在保證系統具有較高安全性的情況下，還要保證IIS的安全性，主要請注意以下事情：

　　1、要盡量避免把IIS安裝在網絡中的主域控制器上。因為在安裝完IIS后，會在所安裝的計算機上生成IUSR_Computername的匿名賬戶。這個賬戶會被添加到域用戶組中，從而把應用于域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶，這樣不僅不能保證IIS的安全性，而且會威脅到主域控制器。

　　2、限制網站的目錄權限。目前有很多的腳本都有可能導致安全隱患，因此在設定IIS中網站的目錄權限時，要嚴格限制執行、寫入等權限。

　　3、經常到微軟的站點下載IIS的補丁程序，保證IIS最新版本。

　　只要提高安全意識，經常注意系統和IIS的設置情況，IIS就會是一個比較安全的服務器平臺，能為我們提供安全穩定的服務。

2006年 5月15日，著名的反病毒安全軟件廠商KasperskyLab發布了劃時代的安全軟件套裝Kaspersky Internet Security 6（簡稱KIS6）以及 Kaspersky AntiVirus 6.0（簡稱KAV6）。KIS6/KAV6比卡罷以前的產品有了質的提高。KIS6包含了文件防毒、郵件防毒、網頁防毒、事前防衛（包括進程行為監控，監視各類代碼注入、安裝全局鉤子、加載驅動/服務等行為；文件完整性檢查；檢查各類運用RK技術的文件/進程/端口/注冊表隱藏；Office宏保護等）；反間諜軟件、防火墻、反垃圾郵件等功能。KAV6比KIS6缺少了防火墻模塊。

整體來說，KIS6非常強大。 Руткит 討論組里，我們一致公認KIS6是目前最強的個人類安全套裝。卡巴實驗室里的確實都是精英，實力雄厚，許多東西都運用的Undocumented技術，導致我上一版本的WinDbg一進入內核調試狀態就崩潰。KIS6的注冊表監控的非常全：NoWinodwsApp，ShellServiceObjectDelayLoad，ShellExcuteHooks，SharedTaskScheduler，SafeBoot，\Winlogon\Notify，AppInit_DLLs，開關機腳本等其他安全軟件較少監控的自啟動鍵值他都監控了；另外KIS6監控了各類代碼注入，包括SetThreadContext的方法；監控了加載驅動、服務加載、通過\\Device\\PhysicalMemory對象進Ring0等；監控全局鉤子的安裝；文件完整性檢查；反Rootkit，檢測隱藏文件隱藏進程隱藏端口隱藏注冊表；值的一提的是涂改PspIdTable方法隱藏進程的方法KIS6也能查。另外KIS6的防火墻的控管規則也比較細，不像國內的個人防火墻是以進程為最小控管單位，KIS6如國外的其他一些防火墻把控制策略細化到具體進程的某個端口，比如默認情況下只允許Explorer.exe訪問HTTP80端口，而不是完全允許Explorer.exe進程訪問網絡。

夸KIS6夸完了，現在來說說他的弱點：關于KIS6監控采用遠程線程代碼注入的行為時，他只對注入IE等進程有反映，而他防火墻默認的控管規則里卻允許Svchost等進程訪問HTTP等端口，那木馬程序只要用遠程線程的方法注入svchost等進程，就能完完全全逃過卡巴了。

再來看在KIS6下怎樣實現自啟動。KIS6監控注冊表確實監控得很全，而且還監控服務之類的，初看你在自啟動方面是無處下手。不過可愛的卡巴斯基又犯了讓我悲哀的低級錯誤，開始菜單里的啟動文件夾他竟然沒監控。免得被人說這樣做太猥瑣，那就再說個方法，因為可愛的卡巴在監控遠程線程代碼注入時只IE等進程進行提示，從而我們可以注入Winlogon，注入Winlogon后我們就可以Defeat SFP，然后感染文件實現自啟動，雖然卡巴有文件完整性檢查，不過問題不大，你自己試了就明白為什么了，呵呵。

再說點底層的，KIS6監控加載驅動監控得不全，嘿嘿，使用ZwSetSystemInformation我們照樣可以加載驅動了，能加載驅動了天下還不是我們的了？ 恢復SSDT表呀，DKOM，Miniport NDIS Hook，任我們玩了。

vxk的補充：

除了XYZREG說的幾個地方，卡巴斯基在面對BOOT.INI+NTOSKRNL.EXE改寫大法（這個方法很無恥），還有HOTPATCH（幾乎通吃FireWall）大法時都很脆弱啊！

hotPatch能夠動態的改寫某些dll的，比如kernel32.dll，我就不多說了。你在kernel32.dll里做一個code injection然后在適當的進程內部加載我們的DLL，好了，一切搞定。

朋友電腦中了木馬，因為在異地，所以有了這次不很方便的查殺。

她用的是卡巴，卡巴也報出了病毒GAAKEY.DLL，顯示是鴿子“HUPIGON”。不過進程里沒有IE。我記得灰鴿子是往IE里邊插的，讓她用卡巴查殺了一下內存，汗，好多的病毒。插入了EXPLORER等眾多進程中，而且卡巴無法刪除。也是，那些進程都用著呢。對方是個MM，電腦小白的MM，遠控總是斷。費盡九牛二虎之力讓她明白了如何進入安全模式。當時我是這么想的，肯定還有GAAHOOK.DLL，GAA.EXE這樣的文件在%systemroot%下邊。所以叮囑她進入安全模式以后找這三個東東，然后刪除掉。沒想到的是她找不到，當時電話聯系著。問，你看你C盤下有沒有BOOT.INI什么文件，顯示顏色有點淡的（就是隱藏文件，之前已經叫她把系統那些保護和隱藏文件都顯示了的）？答曰：無。

看來木馬用了手段，這些看不到。讓她重啟回來，QQ上給她“System Repair Engineer”。使用“智能掃描”，按下“掃描”按鈕進行掃描，掃描完成后按下“保存報告”按鈕保存報告日志文件（SREng.LOG），把保存的報告日志文件給我。我一看發現有GADMIN GADMINISTRATOR兩個服務。

把System Repair Engineer和KILLBOXE.exe給準備好，然后我把文本發給她，讓她保存到桌面，進安全模式進行刪除。

文本內容如下：

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

重新啟動電腦, 開機檢測完后, 不停按[F8]鍵(可以一直按到啟動菜單出來為止), 選擇安全模式進入Windows，這個你應該可以操作了。

運行(雙擊)System Repair Engineer(就是我給你那個“SREng.exe”），

點啟動項目，服務，然后點“Win32服務應用程序”。勾選“隱藏微軟服務”，好了，然后要選擇病毒服務了。選中病毒服務Gadmin / GAadministrator，選擇“刪除服務”點“設置”選擇“否”


雙擊打開KillBox.exe，分別刪除

C:\WINDOWS\GAadmin

C:\WINDOWS\GAaKey.DLL

c:\windows\gaa.dll(這個找不到或者沒有刪除都沒有關系，等下交給殺毒軟件就可以搞定的了。)


刪除時勾選“刪除前先結束Explorer.EXE進程”，可能會沒有了桌面，不過等一會兒就會出來了。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

不過可惜的是MM的桌面一直沒出來，汗！我讓她強行關機了，然后重啟。哇哈哈，再用卡巴掃描清理了一下，世界清靜了，MM笑了

大家知道，DOS下有一個不為大家所常用的命令——重定向命令，這個小東西非常有用，該命令同樣可以用于Win9x/ME/2000/XP下，靈活的使用這個命令可以給我們帶來很大的方便——無論是入侵還是防守抑或是系統應用，都會帶來很大的便利。今天就讓我們來看幾個重定向命令在安全方面的應用實例。
　　一、命令格式

　　DOS的標準輸入輸出通常是在標準設備鍵盤和顯示器上進行的，利用重定向,可以方便地將輸入輸出改向磁盤文件或其它設備。其中:

　　1.大于號“>”將命令發送到文件或設備，例如打印機>prn。使用大于號“>”時，有些命令輸出(例如錯誤消息)不能重定向。

　　2.雙大于號“>>”將命令輸出添加到文件結尾而不刪除文件中已有的信息。

　　3.小于號“<”從文件而不是鍵盤上獲取命令所需的輸入。

　　4.>&符號將輸出從一個默認I/O流(stdout,stdin,stderr)重新定向到另一個默認I/O流。例如，command >output_file 2>&1將處理command過程中的所有錯誤信息從屏幕重定向到標準文件輸出中。標準輸出的數值如下所示:

　　標準輸出 等價的數值

　　Stdin 0
　　Stdout 1
　　Stderr 2

　　其中，1和2都創建一個文件用于存放數據;4可能不能夠在DOS下使用。

　　二、重定向命令的輸出

　　幾乎所有的命令均將輸出發送到屏幕。即使是將輸出發送到驅動器或打印機的命令，也會在屏幕上顯示消息和提示。要將輸出從屏幕重定向到文件或打印機，請使用大于號(>)。大多數命令中均可以使用大于號。例如，在以下命令中，dir命令生成的目錄列表重定向到Dirlist.txt文件:dir>dirlist.txt，如果Dirlist.txt文件不存在，系統將創建該文件。如果Dirlist.txt存在，系統將使用dir命令的輸出替換文件中的信息。

　　要將命令輸出添加到文件結尾而不丟失文件中的任何信息，請使用雙大于號(>>)。例如，在以下命令中，dir命令生成的目錄列表附加到Dirlist.txt文件中:dir>dirlist.txt，將輸入重定向到一個命令，就象可以將命令輸出發送到文件或打印機而不是屏幕一樣，您可以從文件而不是從鍵盤獲取命令的輸入。要從文件獲取輸入，請使用小于號(<)。例如，以下命令將從List.txt文件中獲取sort命令的輸入:sort

合理保護無線訪問點的目的在于，將無線網絡與無權使用服務的外人隔離開來。往往說來容易做時難。就安全而言，無線網絡通常比固定有線網絡更難保護，這是因為有線網絡的固定物理訪問點數量有限，而在天線輻射范圍內的任何一點都可以使用無線網絡。盡管本身存在著困難，但合理保護無線網絡系統是保護系統避免嚴重安全問題的關鍵所在。為了最大限度地堵住這些安全漏洞，就要確保網絡人員采取保護無線網絡的六項措施。

　　規劃天線的放置

　　要部署封閉的無線訪問點，第一步就是合理放置訪問點的天線，以便能夠限制信號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近，因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心，盡量減少信號泄露到墻外。當然，完全控制信號泄露幾乎是不可能的，所以還需要采取其它措施。

　　使用WEP

　　無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。盡管存在重大缺陷，但WEP仍有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產品，交付設備時關閉了WEP功能。但一旦采用這做法，黑客就能立即訪問無線網絡上的流量，因為利用無線嗅探器就可以直接讀取數據。

　　變更SSID及禁止SSID廣播

　　服務集標識符(SSID)是無線訪問點使用的識別字符串，客戶端利用它就能建立連接。該標識符由設備制造商設定，每種標識符使用默認短語，如101就是3Com設備的標識符。倘若黑客知道了這種口令短語，即使未經授權，也很容易使用你的無線服務。對于部署的每個無線訪問點而言，你要選擇獨一無二并且很難猜中的SSID。如果可能的話，禁止通過天線向外廣播該標識符。這樣網絡仍可使用，但不會出現在可用網絡列表上。

　　禁用DHCP

　　對無線網絡而言，這很有意義。如果采取這項措施，黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數。無論黑客怎樣利用你的訪問點，他仍需要弄清楚IP地址。

　　禁用或改動SNMP設置

　　如果你的訪問點支持SNMP，要么禁用，要么改變公開及專用的共用字符串。如果不采取這項措施，黑客就能利用SNMP獲得有關你方網絡的重要信息。

　　使用訪問列表

　　為了進一步保護無線網絡，請使用訪問列表，如果可能的話。不是所有的無線訪問點都支持這項特性，但如果你的網絡支持，你就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議(TFTP)，定期下載更新的列表，以避免管理員必須在每臺設備上使這些列表保持同步的棘手問題