當人們上網瀏覽時，他們會通過網頁上的信息獲取一些機密信息么？IT安全專家提醒公司在網站上發布信息時需要慎重，否則將可能給黑客或商業間諜以可乘之機。針對企業網站安全性問題，專家們提供了一些建議。


周密考慮


Natick公司負責數據安全系統的總裁Sandy Sherizen建議說，負責公司網站內容的管理員應該學習"像偷竊者一樣進行思考"，這里所指的偷竊者，是指試圖竊取公司信息或搜集商業機密的黑客或商業間諜。公司網站上一些看上去并不重要的信息片段，一旦被偷竊者匯集并歸納，其后果可能導致公司內部機構設置、戰略合作伙伴關系、核心客戶等重要信息被泄露。


Sherizen指出：維護公司網站的安全不僅僅只是網站管理員和公共關系部門的責任。在網站貼出任何信息之前，公司的IT安全人員應該從安全性角度對信息內容進行審核。畢竟，他們的職責正是檢查存在哪些技術弱點，并采用適當方式防止破壞產生。換句話說，專業的IT安全人員已經被訓練成"像偷竊者一樣思考問題"了。


具備責任意識


隨著新的責任法律的實施（例如：薩班斯-奧克斯利法案（Sarbanes-Oxley Act），金融服務現代化法案（Gramm-Leach Bliley Act）等），Sherizen提醒說：網站上被疏忽的安全問題可能導致公司必須承擔相應的法律責任。尤其是安全問題涉及到與公司密切聯系的供應鏈和商業合作伙伴，或者涉及到公司網站收集的客戶信息時。


Sherizen引用了一個法律個案進行說明。當某人登錄A公司網站后，由于該網站缺乏充分的安全防護，使他能夠利用A公司網站入侵到B公司的信息系統，并可能采取更進一步的破壞活動。B公司以受到損害為由起訴A公司并取得勝訴，盡管具體實施入侵活動的是作為第三者的黑客。


"最小特權原則"


互聯網安全企業RedSiren負責產品策略的副總裁Nick Brigman建議：公司網站應該積極采用"最小特權原則"（rule of least-privilege）。一方面必須確保賦予使用者"必不可少"的功能操作，另一方面需要警惕IT安全管理的執行。他指出：首先應該為公司網站確定目標和使用權限。如果公司設立網站的目標僅僅在于吸引更多的客戶關注，把他們導向銷售團隊，那么不需要將公司的內部信息公布在網站上。 Brigman進一步解釋說，過多的信息可能會泄露公司的商業機密。


RedSiren公司為客戶提供了一項名為"公開信息偵察"（public information reconnaissance）的服務，它能夠在互聯網上搜索任何找得到的、與客戶有關的公開訊息。Brigman說："通常說來，只要多花費一些時間，就能夠獲取到想要的信息。甚至一些僅供內部參考的網頁也可能被搜獲，因為這些網頁被不經意的上載。即便是公司網站并未提供這些網頁鏈接的情況下，只需利用Google或其他搜索引擎強大的索引功能，便能進行相關的信息查找和利用"。


Brigman強調說某些信息決不應該張貼在全球信息網上，即便公司認為已經采取了充分的安全防范，并將使用者的訪問權限制在極小的特權范圍內。諸如戰略計劃、未來銷售策略、以及與合作伙伴談判的相關信息，都應該受到嚴格的安全保護。


信息技術和工程服務公司Anteon負責Fairfax本地安全的主管Ray Donahue認為，公司對自己的網站內容進行審查的同時，需要留意其主要供貨商的網站，了解他們是如何對你的公司進行描述。站在你的商業伙伴角度上考慮，他們或許認為通過網站宣布其新的戰略合作，可能造成極好的廣告宣傳效應；然而，如果商業伙伴的網站缺乏充分的安全防范，那些通過互聯網傳播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用哪種軟件系統或網絡設備，他們將試圖利用系統或網絡的安全漏洞對該公司發起攻擊。


Caesar， Rivise，Bernstein，Cohen & Pokotilow律師事務所的合伙人兼知識產權法律師Barry Stein指出，如果公司的網站內容缺乏嚴格審核，公司將面臨法律后果和潛在的財產損失。因此，需要盡可能小心的避免公司商業機密的泄露，并考慮專利權問題。他強調，由于互聯網具有全球性，可申請發明專利的方案其詳細內容如果泄漏；如果此前沒有申請專利，那么該方案有可能失去獲得國外專利權的機會。



避免電子郵件地址泄露重要信息


公司在網站上張貼信息時，最普遍也是最危險的情況是使用"詳情請與某人聯系"的電子郵件地址。Nick Brigman提醒說：不法者可以通過直接使用網站上公開的電子郵件名稱，輕易獲取到他們想要的信息。通常，惡意垃圾郵件制造者正是利用這些網站上公布的郵件地址和掩碼地址進行垃圾郵件散布。這些地址和名稱信息也可能被心存惡意的黑客利用，通過偽造電子郵件進行蠕蟲或其他病毒的傳播。


Brigman同時建議：避開這種潛在危險的一個方法是利用Web表單（Web form），取代用戶與公司內部電子郵件系統的直接聯系方式。


Ray Donahue建議：公司需要對他們網站上公布的其他聯系方式進行測試。例如：如果公司在網站上公布了一個用于解答用戶問題的電話號碼，那么需要確定的是，負責回答該電話線路的工作人員應該清楚哪些信息是用于共享的。警惕那些心懷惡意的詢問者，期望借此機會竊取公司內部重要信息和客戶資料，或者從事其他破壞活動。


避免泄露基礎設施的相關信息


IT技術顧問公司Razorfish的技術負責人Ray Velez指出：一些公司錯誤地將URL公布在網站上，這可能導致與之相關的應用服務器類型或主機信息被泄露。例如：舊版Sun One應用服務器的URL里包含一個標準的目錄，在URL中命名為NASAPP。 Velez建議應該移除這個目錄。


此外，Nick Brigman還指出Web制作者一個經常性的錯誤操作，即直接從公司網絡上擷取一個圖標或文檔，將它們放置在網頁中。"這種錯誤的操作方法，使文件名、系統名、甚至文件結構等重要信息都可能通過數據被泄露。一旦不法者捕獲到認為有用的信息，他們將利用工具和網狀功能，實施更進一步的入侵并獲取更多的信息。"


從html/asp/jsp/php原始文件中刪除技術評論


Ray Velez解釋這一做法是考慮到程序開發者的相關技術評論可能泄露某些重要信息，如你正在運行的技術類型，及其破解之道。這些技術評論可能會出現在終端用戶的瀏覽器中。Velez提醒說，黑客通常喜歡瀏覽訊息留言板或相關的貼文，因此他們很清楚最新發布的安全補丁用于修復何種漏洞。這種隱患的存在，無論對未進行最新補丁升級的公司或者個人來說，都意味著將面臨被攻擊的可能。因此，必須警惕黑客試圖利用這些"開發者"的技術評論作為破解網站安全防護的指南。


此外，那些看上去仿佛只是由于技術故障而出現的錯誤消息應該避免被暴露。因為這些錯誤消息將顯示代碼中存在的弱點，并會泄露技術基礎的相關信息。針對這個問題，Velez建議替換404狀態碼和其他40x錯誤訊息，采用能夠讓用戶更容易了解，并且不會透露基礎技術信息的錯誤提示頁。


在網站上使用非編輯模式的文檔和圖標


SwiftView公司產品部經理Glenn Widener指出，網站上不妥當的信息公布方式也可能受到攻擊。這是由于以原格式（如：Word、Visio、AutoCAD）存儲的文檔或圖標不受數據篡改驗證（tamper-proof）的保護；此外，Adobe Acrobat writing軟件的任何使用者都可以對PDF文件進行篡改或編輯。考慮到防止數據篡改的安全措施可能錯綜復雜并且耗廢大量時間，Glenn Widener建議網站上公布的文檔或圖標盡可能使用PCL、HPGL、TIFF、JPG等通用格式，從而避免受到惡意篡改或編輯。


針對PCL格式，Widener建議：公司允許業務合作伙伴能夠對一份業務計劃的文本進行抽取，但不能對信息進行任何形式的編輯。業務合作伙伴能夠使用任何形式的閱讀器（如：SwiftView's）對文本進行查看，選擇和打印。


由于PCL格式具備良好的安全性，因此它在金融領域得到廣泛運用，如：抵押銀行通常采取PCL格式進行機密文檔的傳送。


樹立安全意識


"這是我們從客戶那里聽到的一個觀念，如今我們把它運用到自己的市場策略中，"Nick Brigman說。911事件之后，人們逐漸樹立起更強的安全意識。需要緊記的是，對網站上可能被利用的信息應嚴格審查。有些重要信息沒有直接出現在網站上，但并不表明這些信息不會被竊取。網站可能正是重要信息被泄露的一個漏洞。因此，對網站內容進行審查至關重要。如果公司的IT部門不能對網站內容提供專業的安全保護，那么就有必要聘請專業的第三方來履行這個安全責任。

注意：本文所講述之設置方法與環境：適用于Microsoft Windows 2000 Server/Win2003 SERVER | IIS5.0/IIS6.0

1、首先我們來看看一般ASP木馬、Webshell所利用的ASP組件有那些？我們以海洋木馬為列：



<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74">
</object>
<object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228">
</object>

shellStr="Shell"
applicationStr="Application"
if cmdPath="wscriptShell"
set sa=server.cr&#101;ateObject(shellStr&"."&applicationStr)
set streamT=server.cr&#101;ateObject("adodb.stream")
set domainObject = GetObject("WinNT://.")



以上是海洋中的相關代碼，從上面的代碼我們不難看出一般ASP木馬、Webshell主要利用了以下幾類ASP組件：

① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

⑦ Shell.applicaiton....


hehe，這下我們清楚了危害我們WEB SERVER IIS的最罪魁禍首是誰了!!開始操刀,come on...


2:解決辦法：


① 刪除或更名以下危險的ASP組件：

WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application

開始------->運行--------->Regedit，打開注冊表編輯器，按Ctrl+F查找，依次輸入以上Wscript.Shell等組件名稱以及相應的ClassID，然后進行刪除或者更改名稱(這里建議大家更名，如果有部分網頁ASP程序利用了上面的組件的話呢，只需在將寫ASP代碼的時候用我們更改后的組件名稱即可正常使用。當然如果你確信你的ASP程序中沒有用到以上組件，還是直

接刪除心中踏實一些^_^,按常規一般來說是不會做到以上這些組件的。刪除或更名后，iisreset重啟IIS后即可升效。)

[注意：由于Adodb.Stream這個組件有很多網頁中將用到，所以如果你的服務器是開虛擬主機的話，建議酢情處理。]


② 關于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常說的FSO的安全問題，如果您的服務器必需要用到FSO的話，(部分虛擬主機服務器一般需開FSO功能)可以參照本人的另一篇關于FSO安全解決辦法的文章:Microsoft Windows 2000 Server FSO 安全隱患解決辦法。如果您確信不要用到的話，可以直接反注冊此組件即可。


③ 直接反注冊、卸載這些危險組件的方法：(實用于不想用①及②類此類煩瑣的方法)


卸載wscript.shell對象，在cmd下或直接運行：regsvr32 /u %windir%\system32\WSHom.Ocx


卸載FSO對象,在cmd下或直接運行：regsvr32.exe /u %windir%\system32\scrrun.dll


卸載stream對象,在cmd下或直接運行： regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"



如果想恢復的話只需要去掉 /U 即可重新再注冊以上相關ASP組件例如：regsvr32.exe %windir%\system32\scrrun.dll


④ 關于Webshell中利用set domainObject = GetObject("WinNT://.")來獲取服務器的進程、服務以及用戶等信息的防范，大家可以將服務中的Workstation[提供網絡鏈結和通訊]即Lanmanworkstation服務停止并禁用即可。此處理后，Webshell顯示進程處將為空白。


3 按照上1、2方法對ASP類危險組件進行處理后，用阿江的asp探針測試了一下,"服務器CPU詳情"和"服務器操作系統"根本查不到,內容為空白的。再用海洋測試Wsript.Shell來運行cmd命令也是提示Active無法創建對像。大家就都可以再也不要為ASP木馬危害到服務器系統的安全而擔擾了。


當然服務器安全遠遠不至這些，這里為大家介紹的僅僅是本人在處理ASP木馬、Webshell上的一些心得體會。在下一篇中將為大家介紹如何簡簡單單的防止別人在服務器上執行如net user之類的命令，防溢出類攻擊得到cmdshell，以及執行添加用戶、改NTFS設置權限到終端登錄等等的最簡單有效的防范方法。


本文作者：李泊林/LeeBolin 資深系統工程師、專業網絡安全顧問。 已成功為國內多家大中型企業，ISP服務商提供了完整的網絡安全解決方案。尤其擅長于整體網絡安全方案的設計、大型網絡工程的策劃、以及提供完整的各種服務器系列安全整體解決方案。

在系統運行時, 病毒通過病毒載體即系統的外存儲器進入系統的內存儲器, 常駐內存。該病毒在系統內存中監視系統的運行, 當它發現有攻擊的目標存在并滿足條件時,便從內存中將自身存入被攻擊的目標, 從而將病毒進行傳播。 而病毒利用系統INT 13H讀寫磁盤的中斷又將其寫入系統的外存儲器軟盤或硬盤中, 再感染其他系統。


可執行文件感染病毒后又怎樣感染新的可執行文件?


可執行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內存的條件是在執行被傳染的文件時進入內存的。


一旦進入內存,便開始監視系統的運行。當它發現被傳染的目標時, 進行如下操作：


（1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒；


（2）當條件滿足, 利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間, 并存大磁盤中；


（3）完成傳染后, 繼續監視系統的運行, 試圖尋找新的攻擊目標。


操作系統型病毒是怎樣進行傳染的?


正常的PC DOS啟動過程是：


（1）加電開機后進入系統的檢測程序并執行該程序對系統的基本設備進行檢測；


（2）檢測正常后從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000: 7C00處；


（3）轉入Boot執行之；


（4）Boot判斷是否為系統盤, 如果不是系統盤則提示；


non-system disk o&#114; disk error


Replace and strike any key when ready


否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件；


（5）執行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入內存；


（6）系統正常運行, DOS啟動成功。


如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為：


（1）將Boot區中病毒代碼首先讀入內存的0000: 7C00處；


（2）病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視系統的運行；


（3）修改INT 13H中斷服務處理程序的入口地址, 使之指向病毒控制模塊并執行之。因為任何一種病毒要感染軟盤或者硬盤,都離不開對磁盤的讀寫操作, 修改INT13H中斷服務程序的入口地址是一項少不了的操作；


（4）病毒程序全部被讀入內存后才讀入正常的Boot內容到內存的0000: 7C00處, 進行正常的啟動過程；


（5）病毒程序伺機等待隨時準備感染新的系統盤或非系統盤。


如果發現有可攻擊的對象, 病毒要進行下列的工作：


（1）將目標盤的引導扇區讀入內存, 對該盤進行判別是否傳染了病毒；


（2）當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁盤的引導區程序寫入磁盤特寫位置；


（3）返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染。

盡管網絡安全專家都在著力開發抗DoS攻擊的辦法，但收效不大，因為DoS攻擊利用了TCP協議本身的弱點。在交換機上進行設置，并安裝專門的DoS識別和預防工具，能最大限度地減少DoS攻擊造成的損失。
　　利用三層交換建立全面的網絡安全體系，其基礎必須是以三層交換和路由為核心的智能型網絡，有完善的三層以上的安全策略管理工具。

　　局域網層

　　在局域網層上，可采取很多預防措施。例如，盡管完全消除IP分組假冒現象幾乎不可能，但網管可構建過濾器，如果數據帶有內部網的信源地址，則通過限制數據輸入流量，有效降低內部假冒IP攻擊。過濾器還可限制外部IP分組流，防止假冒IP的DoS攻擊被當作中間系統。

　　其他方法還有：關閉或限制特定服務，如限定UDP服務只允許于內部網中用于網絡診斷目的。

　　但是，這些限制措施可能給合法應用（如采用UDP作為傳輸機制的RealAudio）帶來負面影響。

　　網絡傳輸層

　　以下對網絡傳輸層的控制可對以上不足進行補充。

　　獨立于層的線速服務質量(QoS)和訪問控制

帶有可配置智能軟件、獨立于層的QoS和訪問控制功能的線速多層交換機的出現，改善了網絡傳輸設備保護數據流完整性的能力。


　　在傳統路由器中，認證機制（如濾除帶有內部地址的假冒分組）要求流量到達路由器邊緣，并與特定訪問控制列表中的標準相符。但維護訪問控制列表不僅耗時，而且極大增加了路由器開銷。

　　相比之下，線速多層交換機可靈活實現各種基于策略的訪問控制。

　　這種獨立于層的訪問控制能力把安全決策與網絡結構決策完全分開，使網管員在有效部署了DoS預防措施的同時，不必采用次優的路由或交換拓撲。結果，網管員和服務供應商能把整個城域網、數據中心或企業網環境中基于策略的控制標準無縫地集成起來，而不管它采用的是復雜的基于路由器的核心服務，還是相對簡單的第二層交換。此外，線速處理數據認證可在后臺執行，基本沒有性能延遲。

　　可定制的過濾和“信任鄰居”機制

　　智能多層訪問控制的另一優點是，能簡便地實現定制過濾操作，如根據特定標準定制對系統響應的控制粒度。多層交換可把分組推送到指定的最大帶寬限制的特定QoS配置文件上，而不是對可能是DoS攻擊的組制訂簡單的“通過”或“丟棄”決策。這種方式，既可防止DoS攻擊，也可降低丟棄合法數據包的危險。

　　另一個優點是能定制路由訪問策略，支持具體系統之間的“信任鄰居”關系，防止未經授權使用內部路由。

　　定制網絡登錄配置

　　網絡登錄采用惟一的用戶名和口令，在用戶獲準進入前認證身份。網絡登錄由用戶的瀏覽器把動態主機配置協議（DHCP）遞交到交換機上，交換機捕獲用戶身份，向RADIUS服務器發送請求，進行身份認證，只有在認證之后，交換機才允許該用戶發出的分組流量流經網絡。

徹底刪除缺省共享

WINDOWS 2000 默認共享有：


C$、D$ 、 E$ 、F$ 、Admin$ 、ipc$


處理方法

一、批處理

在記事本中輸入如下面內容：


net share C$ /del&#101;te
net share d$ /del&#101;te
net share e$ /del&#101;te
net share f$ /del&#101;te
net share admin$ /del&#101;te
net share ipc$ /del&#101;te



以 .bat為后綴名保存，如noshare.bat，將其放到“開始”——“啟動”文件中。重起即可。

二、修改注冊表鍵值

禁止C$、D$ 、 E$ 、F$之類共享，修改如下：


HKEY_OCAL_MACHINE\SYSTEM\Currentcontrolset\services\lanman server\
parameters.Autoshare server.REG_dword.0X0
(注：0為零)


禁止ADMIN$共享，修改如下：


HKEY_OCAL_MACHINE\SYSTEM\Currentcontrolset\services\lanman server\
parameters.Autoshare WKS.REG_dword.0X0
(注：0為零)


禁止ipc$之類共享，修改如下：


HKEY_OCAL_MACHINE\SYSTEM\Currentcontrolset\control\lsarestrictanonymous_
REG_dword.0X0
(注：0為零)


總結

0X1 匿名用戶無法理舉本機用戶列表。

0X2 匿名用戶無法連接本機IPC$共享。

一般不設為2，因為這可能會造成服務器里一些服務無法啟動，例如；SQL SERVER等。

電腦病毒激發后，就可能進行破壞活動，輕者干擾屏幕顯示，降低電腦運行速度，重者使電腦軟硬盤文件、數據被肆意篡改或全部丟失，甚至使整個電腦系統癱瘓。

常見的破壞方式有

（1）刪除磁盤上特定的可執行文件或數據文件。 如“黑色星期五”、“新世紀”病毒。

（2）修改或破壞文件中的數據。如DBASE病毒。

（3）在系統中產生無用的新文件。如APOLLO病毒。

（4）對系統中用戶儲存的文件進行加密或解密。 如“Frethem/index.htm" target="_blank"

style=&#39;text-decoration: underline;color: #0000FF&#39;>密碼”病毒。

（5）毀壞文件分配表。如SRI848病毒。

（6）改變磁盤上目標信息的存儲狀態。如DIR病毒。

（7）更改或重新寫入磁盤的卷標。如Brain病毒。

（8）在磁盤上產生“壞”的扇區，減少盤空間， 達到破壞有關程序或數據文件的目的。如“雪球”病毒。

（9）改變磁盤分配，使數據寫入錯誤的盤區。

（10）對整個磁盤或磁盤的特定磁道進行格式化。如“磁盤殺手”。

（11）系統空掛，造成顯示屏幕或鍵盤的封鎖狀態。 如1701病毒。

（12）影響內存常駐程序的正常運行。

（13）改變系統的正常運行過程。

（14）盜取有關用戶的重要數據。

總之，病毒是程序，它能夠做程序所能做的一切事情。

然而，電腦病毒的本質是程序，它也只能做程序所能做的事，并不是無所不能的，它不可能侵入未開機的ＲＡＭ，也不可能傳染一個貼上“寫保護”的軟盤（除非軟盤驅動器物理故障），也不能破壞主機板、燒毀電源，病毒并不是硬件故障和軟件問題的“替罪羊”。

最近，一個叫“熊貓燒香”的病毒把電腦用戶折騰得苦不堪言，在人們心目中，“熊貓”這個國寶似乎不再可愛，而成了人人喊打的過街老鼠。

“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞，導致大量應用軟件無法使用，而且還可刪除擴展名為gho的所有文件，造成用戶的系統備份文件丟失，從而無法進行系統恢復；同時該病毒還能終止大量反病毒軟件進程，大大降低用戶系統的安全性。

這幾天“熊貓燒香”的變種更是表象異常活躍，近半數的網民深受其害。用戶除了可以從http://tool.duba.net/zhuansha/253.shtml下載金山毒霸的“熊貓燒香”專殺來對付該病毒外，金山毒霸技術專家還總結的以下預防措施，幫你遠離“熊貓燒香”病毒的騷擾。

【專家總結】

1、立即檢查本機administrator組成員口令，一定放棄簡單口令甚至空口令，安全的口令是字母數字特殊字符的組合，自己記得住，別讓病毒猜到就行。

修改方法：右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗中，選擇具備管理員權限的用戶名，單擊右鍵，選擇設置密碼，輸入新密碼就行。

2、利用組策略，關閉所有驅動器的自動播放功能。

步驟：單擊開始，運行，輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置，管理模板，系統，在右邊的窗格中選擇關閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅動器，再選取已啟用，確定后關閉。最后，在開始，運行中輸入gpup&#100;ate，確定后，該策略就生效了。

3、修改文件夾選項，以查看不明文件的真實屬性，避免無意雙擊騙子程序中毒。

步驟：打開資源管理器（按windows徽標鍵＋E），點工具菜單下文件夾選項，再點查看，在高級設置中，選擇查看所有文件，取消隱藏受保護的操作系統文件，取消隱藏文件擴展名。

4、時刻保持操作系統獲得最新的安全更新，建議用毒霸的漏洞掃描功能。

5、啟用windows防火墻保護本地計算機。

對于未感染的用戶，專家建議，不要登陸不良網站，及時下載微軟公布的最新補丁，來避免病毒利用漏洞襲擊用戶的電腦，同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。

許多人或工具在監測分布式拒絕服務攻擊時常犯的錯誤是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等。要建立網絡入侵監測系統（NIDS）對這些工具的監測規則，人們必須著重觀察分析DDoS網絡通訊的普遍特征，不管是明顯的，還是模糊的。

　　DDoS工具產生的網絡通訊信息有兩種：控制信息通訊（在DDoS客戶端與服務器端之間）和攻擊時的網絡通訊（在DDoS服務器端與目標主機之間）。

　　根據以下異常現象在網絡入侵監測系統建立相應規則，能夠較準確地監測出DDoS攻擊。

　　異常現象0：雖然這不是真正的"DDoS"通訊，但卻能夠用來確定DDoS攻擊的來源。根據分析，攻擊者在進行DDoS攻擊前總要解析目標的主機名。BIND域名服務器能夠記錄這些請求。由于每臺攻擊服務器在進行一個攻擊前會發出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。

　　異常現象1：當DDoS攻擊一個站點時，會出現明顯超出該網絡正常工作時的極限通訊流量的現象。現在的技術能夠分別對不同的源地址計算出對應的極限值。當明顯超出此極限值時就表明存在DDoS攻擊的通訊。因此可以在主干路由器端建立ACL訪問控制規則以監測和過濾這些通訊。

　　異常現象2：特大型的ICP和UDP數據包。正常的UDP會話一般都使用小的UDP包，通常有效數據內容不超過10字節。正常的ICMP消息也不會超過64到128字節。那些大小明顯大得多的數據包很有可能就是控制信息通訊用的，主要含有加密后的目標地址和一些命令選項。一旦捕獲到（沒有經過偽造的）控制信息通訊，DDoS服務器的位置就無所遁形了，因為控制信息通訊數據包的目標地址是沒有偽造的。

　　異常現象3：不屬于正常連接通訊的TCP和UDP數據包。最隱蔽的DDoS工具隨機使用多種通訊協議（包括基于連接的協議）通過基于無連接通道發送數據。優秀的防火墻和路由規則能夠發現這些數據包。另外，那些連接到高于1024而且不屬于常用網絡服務的目標端口的數據包也是非常值得懷疑的。

　　異常現象4：數據段內容只包含文字和數字字符（例如，沒有空格、標點和控制字符）的數據包。這往往是數據經過BASE64編碼后而只會含有base64字符集字符的特征。TFN2K發送的控制信息數據包就是這種類型的數據包。TFN2K（及其變種）的特征模式是在數據段中有一串A字符（AAA……），這是經過調整數據段大小和加密算法后的結果。如果沒有使用BASE64編碼，對于使用了加密算法數據包，這個連續的字符就是“\0”。

　　異常現象5：數據段內容只包含二進制和high-bit字符的數據包。雖然此時可能在傳輸二進制文件，但如果這些數據包不屬于正常有效的通訊時，可以懷疑正在傳輸的是沒有被BASE64編碼但經過加密的控制信息通訊數據包。（如果實施這種規則，必須將20、21、80等端口上的傳輸排除在外。）

前一陣子，在論壇里看到一人，介紹他的盜QQ、游戲密碼的木馬，只要設置好E-mail的用戶名及該E-mail的密碼，就可以盜號了。是否知道這個木馬是包含后門的？在你用它來幫你盜號的同時，盜取的用戶名及密碼也都會發送給木馬作者一份，而我們就是要利用嗅探工具來得到這個木馬作者所用E-mail的用戶名及密碼。然后，來個“為民除害”。最后希望大家不要使用木馬，不然害人的同時還會害己(有些木馬還會盜取你的賬號及密碼)。

下面就以一款針對某網絡游戲的木馬來做分析，來看看如何得到木馬中的一些“隱藏”信息。首先要準備的一些必要的工具：

①下載我們所需要的嗅探工具，解壓后得到xsniff.exe;

②一個傳奇木馬軟件，網絡上有很多。

下面就來開始抓獲這個木馬中的諜中諜。

第一步：點擊“開始→運行”，輸入“CMD”(不含引號)，打開“命令提示符窗口”。

第二步：進入嗅探工具所在目錄，輸入“xsniff.exe -pass -hide -log pass.log”(不含引號)，這樣局域網里的明文密碼(包括本機)都會被記錄到pass.log中。

第三步：下面打開該網游的木馬，輸入你的郵箱地址，點擊發送測試郵件的按鈕，顯示發送成功后，再打開生成的pass.log文件(括號內的文字為注釋，并不包含在pass.log文件中)：


TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
(前面的IP是發信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口)
USER: ZXhlY3V0YW50[admin]
(USER是信箱用戶名，前面的ZXhlY3V0YW50為加密的數據，后面[]內的為用戶ID)

TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
PASS: YWRtaW5zdXA=[adminsup]
(PASS是郵箱的密碼，YWRtaW5zdXA=為加密數據，后面[]內的為密碼)

TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
MAIL FROM:
(類似于發郵件時的信息，指信息發送的目的郵箱)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
RCPT T <1@1.***>
(測試信箱的地址)


第四步：現在我們已經知道了這個木馬是使用admin@1234.***郵箱來發信的，用戶名是admin，密碼是adminsup。于是，進入這個郵箱，刪掉那些信吧。

第五步：不要以為這就結束了，木馬是狡猾的，很多木馬還包含一個隱藏后門。執行剛剛生成的木馬服務器端(沒有手動清理病毒能力的讀者請勿輕易嘗試，并對系統進行備份，以便還原)。

第六步：使用前面的命令，讓xsniff開始嗅探，進入該游戲，隨便申請一個ID，接著退出，再去看看pass.log文件。


TCP [04/08/04 19:20:39]
61.187.***.160->61.135.***.125 Port: 1157->25
PASS: YWRtaW5zdXA=[admin]

TCP [04/08/04 19:20:40]
61.187.***.160->61.135.***.125 Port: 1157->25
MAIL FROM:



看到了嗎？木馬終于漏出了狐貍尾巴，用戶名為admin，密碼為admin，郵箱是為admin@12345.***，這個郵箱才是作者的后門程序，木馬真正的后門。

第七步：最后，將該郵箱里的盜號郵件清除，然后恢復系統。

木馬是一種基于遠程控制的病毒程序，該程序具有很強的隱蔽性和危害性，它可以在人不知鬼不覺的狀態下控制你或者監視你。有人說，既然木馬這么厲害，那我離它遠一點不就可以了！然而這個木馬實在是“淘氣”，它可不管你是否歡迎，只要它高興，它就會想法設法地闖到你“家”中來的！哎呀，那還了得，趕快看看自己的電腦中有沒有木馬，說不定正在“家”中興風作浪呢！那我怎么知道木馬在哪里呢，相信不熟悉木馬的菜鳥們肯定想知道這樣的問題。下面就是木馬潛伏的詭招，看了以后不要忘記采取絕招來對付這些損招喲！

1、集成到程序中

其實木馬也是一個服務器-客戶端程序，它為了不讓用戶能輕易地把它刪除，就常常集成到程序里，一旦用戶激活木馬程序，那么木馬文件和某一應用程序捆綁在一起，然后上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那么每一次Windows啟動均會啟動木馬。

2、隱藏在配置文件中

木馬實在是太狡猾，知道菜鳥們平時使用的是圖形化界面的操作系統，對于那些已經不太重要的配置文件大多數是不聞不問了，這正好給木馬提供了一個藏身之處。而且利用配置文件的特殊作用，木馬很容易就能在大家的計算機中運行、發作，從而偷窺或者監視大家。不過，現在這種方式不是很隱蔽，容易被發現，所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心哦。

3、潛伏在Win.ini中

木馬要想達到控制或者監視計算機的目的，必須要運行，然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然，木馬也早有心理準備，知道人類是高智商的動物，不會幫助它工作的，因此它必須找一個既安全又能在系統啟動時自動運行的地方，于是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看，在它的[windows]字段中有啟動命令“load=”和“run=”，在一般情況下“＝”后面是空白的，如果有后跟程序，比方說是這個樣子：run=c:＼windows＼file.exe load=c:＼windows＼file.exe 這時你就要小心了，這個file.exe很可能是木馬哦。

4、偽裝在普通文件中

這個方法出現的比較晚，不過現在很流行，對于不熟練的windows操作者，很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖標改成Windows的默認圖片圖標,再把文件名改為*.jpg.exe,由于Win98默認設置是"不顯示已知的文件后綴名",文件將會顯示為*.jpg,不注意的人一點這個圖標就中木馬了(如果你在程序中嵌一張圖片就更完美了)。

5、內置到注冊表中

上面的方法讓木馬著實舒服了一陣，既沒有人能找到它，又能自動運行，真是快哉！然而好景不長，人類很快就把它的馬腳揪了出來，并對它進行了嚴厲的懲罰！但是它還心有不甘，總結了失敗教訓后，認為上面的藏身之處很容易找，現在必須躲在不容易被人發現的地方，于是它想到了注冊表！的確注冊表由于比較復雜，木馬常常喜歡藏在這里快活，趕快檢查一下，有什么程序在其下，睜大眼睛仔細看了，別放過木馬哦：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS＼.Default＼Software＼Microsoft＼Windows＼CurrentVersion下所有以“run”開頭的鍵值。

6、在System.ini中藏身

木馬真是無處不在呀！什么地方有空子，它就往哪里鉆！這不，Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。還是小心點，打開這個文件看看，它與正常文件有什么不同，在該文件的[boot]字段中，是不是有這樣的內容，那就是shell=Explorer.exe file.exe，如果確實有這樣的內容，那你就不幸了，因為這里的file.exe就是木馬服務端程序！另外，在System.ini中的[386Enh]字段，要注意檢查在此段內的“driver=路徑＼程序名”，這里也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個字段，這些段也是起到加載驅動程序的作用，但也是增添木馬程序的好場所，現在你該知道也要注意這里嘍。


7、隱形于啟動組中

有時木馬并不在乎自己的行蹤，它更注意的是能否自動加載到系統中，因為一旦木馬加載到系統中，任你用什么方法你都無法將它趕跑(哎，這木馬臉皮也真是太厚)，因此按照這個邏輯，啟動組也是木馬可以藏身的好地方，因為這里的確是自動加載運行的好場所。動組對應的文件夾為：C:＼windows＼start menu＼programs＼startup，在注冊表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ShellFolders Startup="C:＼windows＼start menu＼programs＼startup"。要注意經常檢查啟動組哦！

8、隱蔽在Winstart.bat中

按照上面的邏輯理論，凡是利于木馬能自動加載的地方，木馬都喜歡呆。這不，Winstart.bat也是一個能自動被Windows加載運行的文件，它多數情況下為應用程序及Windows自動生成，在執行了Win.com并加載了多數驅動程序之后開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行，危險由此而來。

9、捆綁在啟動文件中

即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。

10、設置在超級連接中

木馬的主人在網頁上放置惡意代碼，引誘用戶點擊，用戶點擊的結果不言而喻：開門揖盜！奉勸不要隨便點擊網頁上的鏈接，除非你了解它，信任它，為它死了也愿意等等。