多種方法防范非法用戶侵入
[ 2007-03-25 03:14:21 | 作者: sun ]
第一招:屏幕保護
在Windows中啟用了屏幕保護之后,只要我們離開計算機(或者不操作計算機)的時間達到預設的時間,系統就會自動啟動屏幕保護程序,而當用戶移動鼠標或敲擊鍵盤想返回正常工作狀態時,系統就會打開一個密碼確認框,只有輸入正確的密碼之后才能返回系統,不知道密碼的用戶將無法進入工作狀態,從而保護了數據的安全。
提示:部分設計不完善的屏幕保護程序沒有屏蔽系統的“Ctrl+Alt+Del”的組合鍵,因此需要設置完成之后測試一下程序是否存在這個重大Bug。
不過,屏幕保護最快只能在用戶離開1分鐘之后自動啟動,難道我們必須坐在計算機旁等待N分鐘看到屏幕保護激活之后才能再離開嗎?其實我們只要打開Windows安裝目錄里面的system子目錄,然后找到相應的屏幕保護程序(擴展名是SCR),按住鼠標右鍵將它們拖曳到桌面上,選擇彈出菜單中的“在當前位置創建快捷方式”命令,在桌面上為這些屏幕保護程序建立一個快捷方式。此后,我們在離開計算機時雙擊這個快捷方式即可快速啟動屏幕保護。
第二招:巧妙隱藏硬盤
在“按Web頁”查看方式下,進入Windows目錄時都會彈出一句警告信息,告訴你這是系統文件夾如果“修改該文件夾的內容可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,這時單擊“顯示文件”就可以進入該目錄了。原因是在Windows根目錄下有desktop.ini和folder.htt兩個文件作祟。將這兩個文件拷貝到某個驅動器的根目錄下(由于這兩個文件是隱藏文件,之前必須在文件夾選項中單擊“查看”標簽,選擇“顯示所有文件”,這樣就可以看見這兩個文件了)。再按“F5”鍵刷新一下,看看發生了什么,是不是和進入Windows目錄時一樣。
接下來我們用“記事本”打開folder.htt,這是用HTML語言編寫的一個文件,發揮你的想像力盡情地修改吧。如果你不懂HTML語言也沒關系,先找到“顯示文件”將其刪除,找到“修改該文件夾的內可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,將其改為自己喜歡的文字,例如“安全重地,閑雜人等請速離開”,將“要查看該文件夾的內容,請單擊”改為“否則,后果自負!”,接著向下拖動滑塊到倒數第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”這是顯示警告信息時窗口右下角齒輪圖片的路徑,將其改為自己圖片的路徑,例如用“d:\tupian\tupian1.jpg”替換“//”后面的內容,記住這里必須將圖片的后綴名打出,否則將顯示不出圖片。當然,你還可以用像Dreamweaver、FrontPage這樣的網頁工具做出更好的效果,然后只要將原文件拷貝到下面這段文字的后面,覆蓋掉原文件中“~”之間的內容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”鍵刷新一下,是不是很有個性?接下來要作的就是用“超級兔子”將你所要的驅動器隱藏起來,不用重新啟動就可以欣賞自己的作品了。最后告訴大家一招更絕的,就是干脆將folder.htt原文件中“~”之間的內容全部刪除,這樣就會給打開你的驅動器的人造成一種這是一個空驅動器的假象,使其中的文件更安全。
第三招:禁用“開始”菜單命令
在Windows 2000/XP中都集成了組策略的功能,通過組策略可以設置各種軟件、計算機和用戶策略在某種方面增強系統的安全性。運行“開始→運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動Windows XP組策略編輯器。在“本地計算機策略”中,逐級展開“用戶配置→管理模板→任務欄和開始菜單”分支,在右側窗口中提供了“任務欄”和“開始菜單”的有關策略。
在禁用“開始”菜單命令的時候,在右側窗口中,提供了刪除“開始”菜單中的公用程序組、“我的文檔”圖標、“文檔”菜單、“網上鄰居”圖標等策略。清理“開始”菜單的時候只要將不需要的菜單項所對應的策略啟用即可,比如以刪除“我的文檔”圖標為例,具體操作步驟為:
1)在策略列表窗口中用鼠標雙擊“從開始菜單中刪除我的文檔圖標”選項。
2)在彈出窗口的“設置”標簽中,選擇“已啟用”單選按鈕,然后單擊“確定”即可。
第四招:桌面相關選項的禁用
Windows XP的桌面就像你的辦公桌一樣,有時需要進行整理和清潔。有了組策略編輯器之后,這項工作將變得易如反掌,只要在“本地計算機策略”中展開“用戶配置→管理模板→桌面”分支,即可在右側窗口中顯示相應的策略選項。
1)隱藏桌面的系統圖標
倘若隱藏桌面上的系統圖標,傳統的方法是通過采用修改注冊表的方式來實現,這勢必造成一定的風險性,采用組策略編輯器,即可方便快捷地達到此目的。
若要隱藏桌面上的“網上鄰居”和“Internet EXPlorer”圖標,只要在右側窗口中將“隱藏桌面上網上鄰居圖標”和“隱藏桌面上的Internet EXPlorer圖標”兩個策略選項啟用即可。如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啟用即可。當啟用了“刪除桌面上的我的文檔圖標”和“刪除桌面上的我的電腦圖標”兩個選項以后,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失了。如果在桌面上你不再喜歡“回收站”這個圖標,那么也可以把它給刪除,具體方法是將“從桌面刪除回收站”策略項啟用。
2)禁止對桌面的某些更改
如果你不希望別人隨意改變計算機桌面的設置,請在右側窗口中將“退出時不保存設置”這個策略選項啟用。當你啟用這個了設置以后,其他用戶可以對桌面做某些更改,但有些更改,諸如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷后都無法保存。
第五招:禁止訪問“控制面板”
如果你不希望其他用戶訪問計算機的控制面板,你只要運行組策略編輯器,并在左側窗口中展開“本地計算機策略→用戶配置→管理模板→控制面板”分支,然后將右側窗口的“禁止訪問控制面板”策略啟用即可。
此項設置可以防止控制面板程序文件的啟動,其結果是他人將無法啟動控制面板或運行任何控制面板項目。另外,這個設置將從“開始”菜單中刪除控制面板,同時這個設置還從Windows資源管理器中刪除控制面板文件夾。
提示:如果你想從上下文菜單的屬性項目中選擇一個“控制面板”項目,會出現一個消息,說明該設置防止這個操作。
第六招:設置用戶權限
當多人共用一臺計算機時,在Windows XP中設置用戶權限,可以按照以下步驟進行:
1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開“計算機配置→Windows設置→安全設置→本地策略→用戶權限指派”分支。
3)雙擊需要改變的用戶權限,單擊“添加用戶或組”按鈕,然后雙擊想指派給權限的用戶賬號,最后單擊“確定”按鈕退出。
第七招:文件夾設置審核
Windows XP可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件,而審核文件和NTFS分區下的文件夾可以保證文件和文件夾的安全。為文件和文件夾設置審核的步驟如下:
1)在組策略窗口中,逐級展開右側窗口中的“計算機配置→Windows設置→安全設置→本地策略”分支,然后在該分支下選擇“審核策略”選項。
2)在右側窗口中用鼠標雙擊“審核對象訪問”選項,在彈出的“本地安全策略設置”窗口中將“本地策略設置”框內的“成功”和“失敗”復選框都打上勾選標記,然后單擊“確定”按鈕。
3)用鼠標右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的“屬性”命令,接著在彈出的窗口中選擇“安全”標簽。
4)單擊“高級”按鈕,然后選擇“審核”標簽。
5)根據具體情況選擇你的操作:
倘若對一個新組或用戶設置審核,可以單擊“添加”按鈕,并且在“名稱”框中鍵入新用戶名,然后單擊“確定”按鈕打開“審核項目”對話框。
要查看或更改原有的組或用戶審核,可以選擇用戶名,然后單擊“查看/編輯”按鈕。
要刪除原有的組或用戶審核,可以選擇用戶名,然后單擊“刪除”按鈕即可。
6)如有必要的話,在“審核項目”對話框中的“應用到”列表中選取你希望審核的地方。
7)如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇“僅對此容器內的對象和/或容器應用這些審核項”復選框。
注意:必須是管理員組成員或在組策略中被授權有“管理審核和安全日志”權限的用戶可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,你必須啟用組策略中“審核策略”的“審核對象訪問”。否則,當你設置完文件、文件夾審核時會返回一個錯誤消息,并且文件、文件夾都沒有被審核。
在Windows中啟用了屏幕保護之后,只要我們離開計算機(或者不操作計算機)的時間達到預設的時間,系統就會自動啟動屏幕保護程序,而當用戶移動鼠標或敲擊鍵盤想返回正常工作狀態時,系統就會打開一個密碼確認框,只有輸入正確的密碼之后才能返回系統,不知道密碼的用戶將無法進入工作狀態,從而保護了數據的安全。
提示:部分設計不完善的屏幕保護程序沒有屏蔽系統的“Ctrl+Alt+Del”的組合鍵,因此需要設置完成之后測試一下程序是否存在這個重大Bug。
不過,屏幕保護最快只能在用戶離開1分鐘之后自動啟動,難道我們必須坐在計算機旁等待N分鐘看到屏幕保護激活之后才能再離開嗎?其實我們只要打開Windows安裝目錄里面的system子目錄,然后找到相應的屏幕保護程序(擴展名是SCR),按住鼠標右鍵將它們拖曳到桌面上,選擇彈出菜單中的“在當前位置創建快捷方式”命令,在桌面上為這些屏幕保護程序建立一個快捷方式。此后,我們在離開計算機時雙擊這個快捷方式即可快速啟動屏幕保護。
第二招:巧妙隱藏硬盤
在“按Web頁”查看方式下,進入Windows目錄時都會彈出一句警告信息,告訴你這是系統文件夾如果“修改該文件夾的內容可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,這時單擊“顯示文件”就可以進入該目錄了。原因是在Windows根目錄下有desktop.ini和folder.htt兩個文件作祟。將這兩個文件拷貝到某個驅動器的根目錄下(由于這兩個文件是隱藏文件,之前必須在文件夾選項中單擊“查看”標簽,選擇“顯示所有文件”,這樣就可以看見這兩個文件了)。再按“F5”鍵刷新一下,看看發生了什么,是不是和進入Windows目錄時一樣。
接下來我們用“記事本”打開folder.htt,這是用HTML語言編寫的一個文件,發揮你的想像力盡情地修改吧。如果你不懂HTML語言也沒關系,先找到“顯示文件”將其刪除,找到“修改該文件夾的內可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,將其改為自己喜歡的文字,例如“安全重地,閑雜人等請速離開”,將“要查看該文件夾的內容,請單擊”改為“否則,后果自負!”,接著向下拖動滑塊到倒數第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”這是顯示警告信息時窗口右下角齒輪圖片的路徑,將其改為自己圖片的路徑,例如用“d:\tupian\tupian1.jpg”替換“//”后面的內容,記住這里必須將圖片的后綴名打出,否則將顯示不出圖片。當然,你還可以用像Dreamweaver、FrontPage這樣的網頁工具做出更好的效果,然后只要將原文件拷貝到下面這段文字的后面,覆蓋掉原文件中“~”之間的內容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”鍵刷新一下,是不是很有個性?接下來要作的就是用“超級兔子”將你所要的驅動器隱藏起來,不用重新啟動就可以欣賞自己的作品了。最后告訴大家一招更絕的,就是干脆將folder.htt原文件中“~”之間的內容全部刪除,這樣就會給打開你的驅動器的人造成一種這是一個空驅動器的假象,使其中的文件更安全。
第三招:禁用“開始”菜單命令
在Windows 2000/XP中都集成了組策略的功能,通過組策略可以設置各種軟件、計算機和用戶策略在某種方面增強系統的安全性。運行“開始→運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動Windows XP組策略編輯器。在“本地計算機策略”中,逐級展開“用戶配置→管理模板→任務欄和開始菜單”分支,在右側窗口中提供了“任務欄”和“開始菜單”的有關策略。
在禁用“開始”菜單命令的時候,在右側窗口中,提供了刪除“開始”菜單中的公用程序組、“我的文檔”圖標、“文檔”菜單、“網上鄰居”圖標等策略。清理“開始”菜單的時候只要將不需要的菜單項所對應的策略啟用即可,比如以刪除“我的文檔”圖標為例,具體操作步驟為:
1)在策略列表窗口中用鼠標雙擊“從開始菜單中刪除我的文檔圖標”選項。
2)在彈出窗口的“設置”標簽中,選擇“已啟用”單選按鈕,然后單擊“確定”即可。
第四招:桌面相關選項的禁用
Windows XP的桌面就像你的辦公桌一樣,有時需要進行整理和清潔。有了組策略編輯器之后,這項工作將變得易如反掌,只要在“本地計算機策略”中展開“用戶配置→管理模板→桌面”分支,即可在右側窗口中顯示相應的策略選項。
1)隱藏桌面的系統圖標
倘若隱藏桌面上的系統圖標,傳統的方法是通過采用修改注冊表的方式來實現,這勢必造成一定的風險性,采用組策略編輯器,即可方便快捷地達到此目的。
若要隱藏桌面上的“網上鄰居”和“Internet EXPlorer”圖標,只要在右側窗口中將“隱藏桌面上網上鄰居圖標”和“隱藏桌面上的Internet EXPlorer圖標”兩個策略選項啟用即可。如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啟用即可。當啟用了“刪除桌面上的我的文檔圖標”和“刪除桌面上的我的電腦圖標”兩個選項以后,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失了。如果在桌面上你不再喜歡“回收站”這個圖標,那么也可以把它給刪除,具體方法是將“從桌面刪除回收站”策略項啟用。
2)禁止對桌面的某些更改
如果你不希望別人隨意改變計算機桌面的設置,請在右側窗口中將“退出時不保存設置”這個策略選項啟用。當你啟用這個了設置以后,其他用戶可以對桌面做某些更改,但有些更改,諸如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷后都無法保存。
第五招:禁止訪問“控制面板”
如果你不希望其他用戶訪問計算機的控制面板,你只要運行組策略編輯器,并在左側窗口中展開“本地計算機策略→用戶配置→管理模板→控制面板”分支,然后將右側窗口的“禁止訪問控制面板”策略啟用即可。
此項設置可以防止控制面板程序文件的啟動,其結果是他人將無法啟動控制面板或運行任何控制面板項目。另外,這個設置將從“開始”菜單中刪除控制面板,同時這個設置還從Windows資源管理器中刪除控制面板文件夾。
提示:如果你想從上下文菜單的屬性項目中選擇一個“控制面板”項目,會出現一個消息,說明該設置防止這個操作。
第六招:設置用戶權限
當多人共用一臺計算機時,在Windows XP中設置用戶權限,可以按照以下步驟進行:
1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開“計算機配置→Windows設置→安全設置→本地策略→用戶權限指派”分支。
3)雙擊需要改變的用戶權限,單擊“添加用戶或組”按鈕,然后雙擊想指派給權限的用戶賬號,最后單擊“確定”按鈕退出。
第七招:文件夾設置審核
Windows XP可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件,而審核文件和NTFS分區下的文件夾可以保證文件和文件夾的安全。為文件和文件夾設置審核的步驟如下:
1)在組策略窗口中,逐級展開右側窗口中的“計算機配置→Windows設置→安全設置→本地策略”分支,然后在該分支下選擇“審核策略”選項。
2)在右側窗口中用鼠標雙擊“審核對象訪問”選項,在彈出的“本地安全策略設置”窗口中將“本地策略設置”框內的“成功”和“失敗”復選框都打上勾選標記,然后單擊“確定”按鈕。
3)用鼠標右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的“屬性”命令,接著在彈出的窗口中選擇“安全”標簽。
4)單擊“高級”按鈕,然后選擇“審核”標簽。
5)根據具體情況選擇你的操作:
倘若對一個新組或用戶設置審核,可以單擊“添加”按鈕,并且在“名稱”框中鍵入新用戶名,然后單擊“確定”按鈕打開“審核項目”對話框。
要查看或更改原有的組或用戶審核,可以選擇用戶名,然后單擊“查看/編輯”按鈕。
要刪除原有的組或用戶審核,可以選擇用戶名,然后單擊“刪除”按鈕即可。
6)如有必要的話,在“審核項目”對話框中的“應用到”列表中選取你希望審核的地方。
7)如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇“僅對此容器內的對象和/或容器應用這些審核項”復選框。
注意:必須是管理員組成員或在組策略中被授權有“管理審核和安全日志”權限的用戶可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,你必須啟用組策略中“審核策略”的“審核對象訪問”。否則,當你設置完文件、文件夾審核時會返回一個錯誤消息,并且文件、文件夾都沒有被審核。
金豬報喜專殺工具 與 金豬報喜防范
[ 2007-03-25 03:14:07 | 作者: sun ]
1月30日,江民科技反病毒中心監測到,肆虐互聯網的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專家提醒用戶,春節臨近,謹防春節期間病毒借人們互致祝福之際大面積爆發。
專家介紹,“熊貓燒香”去年11月中旬被首次發現,短短兩個月時間,新老變種已達700多種個,據江民反病毒預警中心監測到的數據顯示,“熊貓燒香”病毒去年12月一舉闖入病毒排名前20名,1月份更是有望進入前10名。疫情最嚴重的地區分別為:廣東、山東、江蘇、北京和遼寧。
中了該毒后請不要慌張,也不要急于怎么處理,應該報有平常心來對待,下面我來說下中了“金豬報喜”后的癥狀:
所有根目錄及移動存儲生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
刪除隱藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
創建啟動項:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夾隱藏選項
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
嘗試關閉窗口
QQKav、QQAV、天網防火墻進程、VirusScan、網鏢殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、木馬清道夫、QQ病毒注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任務管理器、esteem procs、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、小沈Q盜殺手、pjf(ustc)、IceSword
嘗試關閉進程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
刪除以下啟動項
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
專家介紹,“熊貓燒香”去年11月中旬被首次發現,短短兩個月時間,新老變種已達700多種個,據江民反病毒預警中心監測到的數據顯示,“熊貓燒香”病毒去年12月一舉闖入病毒排名前20名,1月份更是有望進入前10名。疫情最嚴重的地區分別為:廣東、山東、江蘇、北京和遼寧。
中了該毒后請不要慌張,也不要急于怎么處理,應該報有平常心來對待,下面我來說下中了“金豬報喜”后的癥狀:
所有根目錄及移動存儲生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
刪除隱藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
創建啟動項:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夾隱藏選項
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
嘗試關閉窗口
QQKav、QQAV、天網防火墻進程、VirusScan、網鏢殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、木馬清道夫、QQ病毒注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任務管理器、esteem procs、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、小沈Q盜殺手、pjf(ustc)、IceSword
嘗試關閉進程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
刪除以下啟動項
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
反思熊貓燒香病毒給我們的啟示錄
[ 2007-03-25 03:13:36 | 作者: sun ]
隨著“熊貓燒香”作者承諾不在更新新的版本,一場轟轟烈烈“殺貓”大戰看似已經逐漸平靜下來。但是這場風波帶給我們的啟示確不應該讓大家這么快的忘記……
熊貓本身
在這個“金錢至上”的年代,“熊貓”確是一個非常另類的病毒。因為它的最終目的不是為得到經濟利益。難道“熊貓”是回到早先的黑客們為錄炫耀自己的技術而誕生的?或者是作者為了對早期黑客單純目的表示敬意?但是從目前我們能看到的信息來看,作者的目的是對普通用戶的一次警醒,更是對安全廠商的一次嘲弄!從技術上來說該病毒并沒有什么創新之處,但是它卻借鑒很多經典病毒,木馬甚至是劫持軟件的長處。這樣一個沒有尖端技術卻擁有最成熟技術的病毒綜合體來到我們面前。
“熊貓燒香”的名字的由來應該是被病毒感染后EXE文件圖標會變成一個動態的在燒香熊貓。但是大家有沒有想過作者為什么要如此煞費苦心的突出這個熊貓呢?而這個燒香熊貓到底如此“虔誠”的在祈求什么呢?這答案值得每個人細細品位。
用戶
“熊貓”很厲害但是跟以往病毒大規模感染不同,用戶明顯分成2個陣營一個根本不知“熊貓”為何物一個被這只熊貓折磨的痛苦不堪。為什么會這樣呢?感染熊貓后清除是極其麻煩的,顯然沒有什么機器能幸免,那問題一定都出在“防”上!“熊貓”猶如一柄石中劍,它考驗用戶的機器綜合安全體系以及上網習慣。
廠商
面對反病毒技術沒有突破性的進步,面對廠商的一次一次升級一次一次的廣告攻勢。面對用戶的盲從。這只熊貓代來了“諷刺”也帶來了答案!任何一個技術單一拿出來安全軟件都能應付,但是綜合到一起了呢?經濟利益推動的升級在這只熊貓面前漏出本來的面目……熊貓不是賣點,它僅是測試,安全對軟件的測試。
沒有走遠的熊貓
“熊貓燒香”作者承諾不在更新新的版本。但是不要指望你會擺脫它的困擾,因為有更有的“非標準”版本在醞釀而且更可怕并不是“熊貓“本身而是在病毒/木馬制作思路上的變化,以后用多少新的病毒/木馬會借鑒“熊貓”的經驗呢?一切才剛剛開始!
應對
目前所有的下載網站殺毒軟件的下載有非常熱門,可見用戶對其投入的關注度已經非常高。但是補丁,防火墻的下載卻相對很少,這正體現目前用戶安全防御上蹩腳走路的狀況。但是以后要面對的將考驗你安全上的綜合措施,僅僅依靠一個或幾個殺毒軟件帶給你的將不在是安全。
熊貓本身
在這個“金錢至上”的年代,“熊貓”確是一個非常另類的病毒。因為它的最終目的不是為得到經濟利益。難道“熊貓”是回到早先的黑客們為錄炫耀自己的技術而誕生的?或者是作者為了對早期黑客單純目的表示敬意?但是從目前我們能看到的信息來看,作者的目的是對普通用戶的一次警醒,更是對安全廠商的一次嘲弄!從技術上來說該病毒并沒有什么創新之處,但是它卻借鑒很多經典病毒,木馬甚至是劫持軟件的長處。這樣一個沒有尖端技術卻擁有最成熟技術的病毒綜合體來到我們面前。
“熊貓燒香”的名字的由來應該是被病毒感染后EXE文件圖標會變成一個動態的在燒香熊貓。但是大家有沒有想過作者為什么要如此煞費苦心的突出這個熊貓呢?而這個燒香熊貓到底如此“虔誠”的在祈求什么呢?這答案值得每個人細細品位。
用戶
“熊貓”很厲害但是跟以往病毒大規模感染不同,用戶明顯分成2個陣營一個根本不知“熊貓”為何物一個被這只熊貓折磨的痛苦不堪。為什么會這樣呢?感染熊貓后清除是極其麻煩的,顯然沒有什么機器能幸免,那問題一定都出在“防”上!“熊貓”猶如一柄石中劍,它考驗用戶的機器綜合安全體系以及上網習慣。
廠商
面對反病毒技術沒有突破性的進步,面對廠商的一次一次升級一次一次的廣告攻勢。面對用戶的盲從。這只熊貓代來了“諷刺”也帶來了答案!任何一個技術單一拿出來安全軟件都能應付,但是綜合到一起了呢?經濟利益推動的升級在這只熊貓面前漏出本來的面目……熊貓不是賣點,它僅是測試,安全對軟件的測試。
沒有走遠的熊貓
“熊貓燒香”作者承諾不在更新新的版本。但是不要指望你會擺脫它的困擾,因為有更有的“非標準”版本在醞釀而且更可怕并不是“熊貓“本身而是在病毒/木馬制作思路上的變化,以后用多少新的病毒/木馬會借鑒“熊貓”的經驗呢?一切才剛剛開始!
應對
目前所有的下載網站殺毒軟件的下載有非常熱門,可見用戶對其投入的關注度已經非常高。但是補丁,防火墻的下載卻相對很少,這正體現目前用戶安全防御上蹩腳走路的狀況。但是以后要面對的將考驗你安全上的綜合措施,僅僅依靠一個或幾個殺毒軟件帶給你的將不在是安全。
2007個人計算計安全配置手冊
[ 2007-03-25 03:13:25 | 作者: sun ]
前言
幾年前在社區中也發過類似的帖子,但是之后時間由于各種原因并沒更新重發。今年由于熊貓的原因我決定發布新版本的安全手冊。
本貼僅面相普通的計算機使用用戶,說以我盡量避免使用復雜的系統設置圖解而是盡可能用第三方軟件代替。軟件的使用宗旨也是盡量使用免費軟件和中文軟件。
思路我的重點并沒有放到查殺上,而是注重防上。一切都圍繞這個主題進行。
由于這是一個很龐雜的帖子,一次不可能完成所以帖子會不斷進行更新,某些內容可能來源其它網友我會盡可能署上作者姓名,如有 相關問題請聯系我:)更新前后會效仿軟件的版本號的形式注明。我已經向社區的版主征集相關的稿件,并會把相關的內容及時更新上來。
為了統一版面,以及后續的編譯更新本貼將關閉回復功能。但是會開一個新的專門帖子供大家回復,回復貼地址http://forum.ikaka.com/topic.asp?board=28&artid=8261955因為本貼非常需要大家的意見及建議。說以希望大家能多多的灌水:)
面相對象
目前本貼僅面相單機普通個人用戶的系統安全。但是考慮到很多朋友已經擁有二臺或兩臺以上的計算機設備,而且多機聯網可以有更大的安全空間,和更多安全選擇以及更好的安全效果。說以相關的內容會在后面的時間更新(已經在朋友那里組建完畢三機〔兩臺式一筆記本〕測試平臺,目前正在測試并收集相關的數據)
系統安裝前
分區應該是大家在安裝系統前最先碰到的一個問題,也是第一個被大家忽略的問題。給大家的意見就是系統盤也就是大家說的c盤應該在10G左右考慮到新系統(VISTA)可適當的擴展到15G。而工具盤也是說的D盤也應該在10G左右的空間。剩下的盤符大家可以自便,但是最后一個區空間應該適當的大一些因為我們用它來作資料備份使用。
磁盤格式的選擇
強烈建議大家的把C,D兩個盤符分成NTFS格式。因為WINDOWS的安全全都是建立在NTFS基礎之上的。拋棄了NTFS也就不要談什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分區的,你看到的C:應該是NTFS分區之后的那FAT32個區,但是借助其它軟件也可以查看DOS下的 NTFS的 數據)但是我也不推薦全部分區都使用NTFS,因為這樣你備份以及一些其它的操作可能會受到一些影響。所以個人的意見是把最后一個區也就是備份區分成FAT32。
系統選擇
微軟的VISTA系統已經上市了,但是由于其極高的硬件要求更因為第三方軟件軟件兼容性上的問題。我們暫時沒有選擇VISTA而是選擇成熟的 WINDOWS XP SP2 PRO。(放棄了2003是因為其設置上對于很多用戶是巨大的瓶頸,而且2003對很多軟件尤其是安全軟件都存在兼容性的問題。但是在以后涉及到多機安全上我們將涉及2003或服務器版本的 VISTA)
系統安裝
對于普通用戶來說系統安裝是最簡單的問題了,看似沒有說的必要。但是往往問題都是出在我們忽略的小事情上。比如系統,補丁,驅動等的安裝順序上。我的建議是系統→SP補丁(當然目前的XPSP2已經沒有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驅動的順序進行安裝。當然并不是說你不安這個順序安裝有什么問題,但是這樣作做少會降低很多不必要的隱患。
首次備份時間點
這樣安裝完驅動后,我們的系統就基本本宣告安裝完畢了。此時建議你使用備份軟件對系統進行備份,并最好把備份文件進行光盤存檔。
軟件提示
由于眾所周知的問題,在進行以上安裝的時候用戶會碰到第一個棘手的問題。就是無法下載WINDOWS的安全更新!此時建議相關的用戶安裝Windows Updates Downloader,該軟件是免費軟件,首次使用需要到其官方網站下載相應語言版本的文件(有WINDOWS和OFFICE二種)之后就可以點擊DOWNLOAD更新,它不僅僅提供安全更新,還提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是該軟件不會檢測你 系統中已經安裝的補丁,它之會把所有更新全部列出,所以用戶下載時請酌情下載相應的補丁。它還會下載非關鍵更新OTHER:)但是不一定沒有用,很有意思哦!
操作系統設置
以前是非常難說的問題,也是最費筆墨的一個部分。但是現在有了XP-ANTISPY這個軟件一切都變的非常簡單了!它同樣也是一個免費軟件,它將系統設置的各個的方面以選項的的 形式放在用戶面前,最讓人興奮的的 是每個選項作者都給出了詳細說明,用戶根據提示就可以把為復雜的系統的設置變成簡單的點擊。
非管理員賬戶的創建及設置
說VISTA的安全性的 提高,一個重要的原因就是。微軟借鑒LINUX的對管理員賬戶進行嚴格管制的思路,不讓用戶直接進入管理員賬戶即使要進入也輸入密碼……其實我們在非VISTA系統也可以這樣作。(由于時間的關系該內容以后更新)
密碼管理
(由于時間的關系該內容以后更新)
安全軟件的選擇
前言
對于防病毒軟件來說,沒有什么完美的軟件。甚至在一線和二線廠商之間也沒有什么大的分別。因為幾乎每一個我們知道或不知道的廠商都有自己獨特的反病毒技術,正是因為這種理念的不同就使的各個軟件在不同方面都有自己的優點及缺陷。對于用戶來說沒有最好的,只有最適合自己的。當然這種分寸拿捏是需要用戶對自己系統了解,以及對各個軟件長時間反復測試才能的出。對于普通用戶來說這顯然是很困難的。所以我給出是一個最大眾化的配置,它在各個方面都不會是最出色的配置,但是它也應該是綜合性能最優秀的一個。
普通用戶方案
主殺毒軟件
瑞星二〇〇七
并非是因為我是IKAKA的版主或因為本貼是在社區首發,而推薦瑞星二〇〇七的。因為這個版本的瑞星改進的脫殼程序完善了網友對瑞興詬病最多的木馬查殺環節,使用“碎甲”技術,完善了啟發查毒以及對虛擬機的成功應用,這一切都讓瑞星成了用戶的不二選擇。而且只要對瑞星進行合理的設置就基本可以抵御用戶面對安全問題。
安全建議:社區有不少二〇〇七優化方案的 帖子大家最好看看:)
輔助殺毒
這里的殺毒軟件僅僅是對 主殺毒軟件的一個補充,因為目前的安全形式已經很難讓用戶用單一的安全手段面對日益增長威脅。輔助殺毒一般不會有實時監控程序即使有也建議用戶取消,僅僅只在下載新軟件后手動調用輔助殺毒程序進行查殺(也就是鼠標右鍵)
推薦1
Cureit它是鼎鼎大名的Dr.web的 免費版。Dr.web是俄科學院研制供俄羅斯軍方專業的殺毒軟件,其引擎對木馬脫殼能力應該是眾多殺毒軟件中最強大的,即使是卡巴斯基單從引擎上 說也遜色三分。Cureit根Dr.web的 區別僅僅是沒有實時監控程序,其它諸如引擎和病毒庫上都是完全相同的。
優點:完全免費,資源占用少 缺點:沒有中文版。
推薦二
**
**就不用說了,其根瑞星的淵源我也不用細細道來了,選用**的理由很簡單就是其設計的初衷!一款主動防御軟件。具體的 說明大家有興趣可以到其官方網站了解。
優點:國貨!對主殺毒程序兼容好 缺點:付費軟件,資源占用稍大。
防火墻
前言
沒有安全的墻!目前大家對防火墻評測基本都是國外網站的測試的結果,而且流行的無非都是那幾款。但是非常遺憾的告訴大家這些墻都有或大或小的安全BUG,而且即使是ZA這種被網友“力捧”的墻在其設計構架中都存在致命的缺陷。最關鍵不是你看別人說什么墻好,而是你了解什么墻你會用什么墻。
瑞星二〇〇七防火墻
又是瑞星?沒錯!首先它是瑞星殺毒軟件標準版中就附帶,而且經過不斷的改進瑞星防火墻已經成為一款成熟的產品。瑞星殺毒軟件+瑞星防火墻+注冊表監控,用戶只要運用好這3樣工具就基本可以從容的應付常見的安全威脅。
社區有網友提供瑞星防火墻規則包建議大家安裝,不錯的:)有時間我可能會更新一個新包上來:)
其它防火墻
(由于時間的關系該內容以后更新)
花絮:一樣的外衣不一樣的心
很多人都關系某某部門用了什么軟件或軍方用了什么軟件,其實這完全沒有什么意義因為首先你不可能享受到想這些部門一樣的服務。其次這些殺毒軟件的DAT或防火墻的規則你是根本就接觸甚至看不到的。編譯好自己的規則才時最關鍵的。
HIPS
什么是HIPS
HIPSPS(主機入侵防御體系),也被稱為系統防火墻,今年開始在比較專業的用戶中開始流行,甚至一些殺毒軟件廠商研究新病毒的時候都用它們來最終分析。HIPS可以控制限制進程調用,或者禁止更改或者添加注冊表文件。當某進程或者程序試圖偷偷運行時,這個行為就會被所HIPS檢測,然后彈出警告,詢問用戶是否允許運行。如果用戶擁有足夠的軟件和系統進程方面知識的情況下,利用HIPS軟件能非常有效的防止木馬或者病毒的偷偷運行。如果運用的好甚至可以擺脫對殺毒軟件的依靠!(現在開始風行的行為殺毒其實就是HIPS功能的智能化)。的功能分類有Application Defend(簡稱AD)應用程序防御體系, Registry Defend(簡稱RD)注冊表防御體系(比如瑞星的注冊表監控), File Defend(簡稱FD)文件防御體系三類。
第一次使用HIPS時用戶進行各種操作軟件都會有提示,用戶安提示操作就可以了以后只要文件沒有被病毒或木馬破壞就不會有相關的提示,但是這也要求使用HIPS一定要不怕麻煩,并能認真閱讀HIPS的提示信息。否則HIPS對你不但沒有什么幫助,也會徒增你的煩惱
推薦
System Safety Monitor(簡稱SSM)是目前最紅的HIPS軟件,經過幾年的開發,現在SSM2.2已經基本成熟了,系統資源占用也越來越少,它擁有AD和RD功能,可以察看運行程序的父子關系,就是界面設計的有些煩瑣,上手比較麻煩,擁有MD5和更強大的256位SHA效驗算法可以選擇。同時也有中文語言包,雖然價格比較高,但是還有免費的版本提供,不過少了磁盤底層寫入監視和RD(正因為瑞星又RD功能,所以我推薦SSM作為普通用戶方案HIPS的搭配)
注意:SSM有付費和免費兩種版本,免費版僅缺少幾項項監控。用戶可根據自己的情況選擇!建議大家用免費版本:)
第二次備份時間點
使用上述軟件對 系統進行完全掃描后,用戶就可以進行第二次的備份操作!備份文件直接備份備份區分即可刻在光盤上也不錯:)
幾年前在社區中也發過類似的帖子,但是之后時間由于各種原因并沒更新重發。今年由于熊貓的原因我決定發布新版本的安全手冊。
本貼僅面相普通的計算機使用用戶,說以我盡量避免使用復雜的系統設置圖解而是盡可能用第三方軟件代替。軟件的使用宗旨也是盡量使用免費軟件和中文軟件。
思路我的重點并沒有放到查殺上,而是注重防上。一切都圍繞這個主題進行。
由于這是一個很龐雜的帖子,一次不可能完成所以帖子會不斷進行更新,某些內容可能來源其它網友我會盡可能署上作者姓名,如有 相關問題請聯系我:)更新前后會效仿軟件的版本號的形式注明。我已經向社區的版主征集相關的稿件,并會把相關的內容及時更新上來。
為了統一版面,以及后續的編譯更新本貼將關閉回復功能。但是會開一個新的專門帖子供大家回復,回復貼地址http://forum.ikaka.com/topic.asp?board=28&artid=8261955因為本貼非常需要大家的意見及建議。說以希望大家能多多的灌水:)
面相對象
目前本貼僅面相單機普通個人用戶的系統安全。但是考慮到很多朋友已經擁有二臺或兩臺以上的計算機設備,而且多機聯網可以有更大的安全空間,和更多安全選擇以及更好的安全效果。說以相關的內容會在后面的時間更新(已經在朋友那里組建完畢三機〔兩臺式一筆記本〕測試平臺,目前正在測試并收集相關的數據)
系統安裝前
分區應該是大家在安裝系統前最先碰到的一個問題,也是第一個被大家忽略的問題。給大家的意見就是系統盤也就是大家說的c盤應該在10G左右考慮到新系統(VISTA)可適當的擴展到15G。而工具盤也是說的D盤也應該在10G左右的空間。剩下的盤符大家可以自便,但是最后一個區空間應該適當的大一些因為我們用它來作資料備份使用。
磁盤格式的選擇
強烈建議大家的把C,D兩個盤符分成NTFS格式。因為WINDOWS的安全全都是建立在NTFS基礎之上的。拋棄了NTFS也就不要談什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分區的,你看到的C:應該是NTFS分區之后的那FAT32個區,但是借助其它軟件也可以查看DOS下的 NTFS的 數據)但是我也不推薦全部分區都使用NTFS,因為這樣你備份以及一些其它的操作可能會受到一些影響。所以個人的意見是把最后一個區也就是備份區分成FAT32。
系統選擇
微軟的VISTA系統已經上市了,但是由于其極高的硬件要求更因為第三方軟件軟件兼容性上的問題。我們暫時沒有選擇VISTA而是選擇成熟的 WINDOWS XP SP2 PRO。(放棄了2003是因為其設置上對于很多用戶是巨大的瓶頸,而且2003對很多軟件尤其是安全軟件都存在兼容性的問題。但是在以后涉及到多機安全上我們將涉及2003或服務器版本的 VISTA)
系統安裝
對于普通用戶來說系統安裝是最簡單的問題了,看似沒有說的必要。但是往往問題都是出在我們忽略的小事情上。比如系統,補丁,驅動等的安裝順序上。我的建議是系統→SP補丁(當然目前的XPSP2已經沒有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驅動的順序進行安裝。當然并不是說你不安這個順序安裝有什么問題,但是這樣作做少會降低很多不必要的隱患。
首次備份時間點
這樣安裝完驅動后,我們的系統就基本本宣告安裝完畢了。此時建議你使用備份軟件對系統進行備份,并最好把備份文件進行光盤存檔。
軟件提示
由于眾所周知的問題,在進行以上安裝的時候用戶會碰到第一個棘手的問題。就是無法下載WINDOWS的安全更新!此時建議相關的用戶安裝Windows Updates Downloader,該軟件是免費軟件,首次使用需要到其官方網站下載相應語言版本的文件(有WINDOWS和OFFICE二種)之后就可以點擊DOWNLOAD更新,它不僅僅提供安全更新,還提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是該軟件不會檢測你 系統中已經安裝的補丁,它之會把所有更新全部列出,所以用戶下載時請酌情下載相應的補丁。它還會下載非關鍵更新OTHER:)但是不一定沒有用,很有意思哦!
操作系統設置
以前是非常難說的問題,也是最費筆墨的一個部分。但是現在有了XP-ANTISPY這個軟件一切都變的非常簡單了!它同樣也是一個免費軟件,它將系統設置的各個的方面以選項的的 形式放在用戶面前,最讓人興奮的的 是每個選項作者都給出了詳細說明,用戶根據提示就可以把為復雜的系統的設置變成簡單的點擊。
非管理員賬戶的創建及設置
說VISTA的安全性的 提高,一個重要的原因就是。微軟借鑒LINUX的對管理員賬戶進行嚴格管制的思路,不讓用戶直接進入管理員賬戶即使要進入也輸入密碼……其實我們在非VISTA系統也可以這樣作。(由于時間的關系該內容以后更新)
密碼管理
(由于時間的關系該內容以后更新)
安全軟件的選擇
前言
對于防病毒軟件來說,沒有什么完美的軟件。甚至在一線和二線廠商之間也沒有什么大的分別。因為幾乎每一個我們知道或不知道的廠商都有自己獨特的反病毒技術,正是因為這種理念的不同就使的各個軟件在不同方面都有自己的優點及缺陷。對于用戶來說沒有最好的,只有最適合自己的。當然這種分寸拿捏是需要用戶對自己系統了解,以及對各個軟件長時間反復測試才能的出。對于普通用戶來說這顯然是很困難的。所以我給出是一個最大眾化的配置,它在各個方面都不會是最出色的配置,但是它也應該是綜合性能最優秀的一個。
普通用戶方案
主殺毒軟件
瑞星二〇〇七
并非是因為我是IKAKA的版主或因為本貼是在社區首發,而推薦瑞星二〇〇七的。因為這個版本的瑞星改進的脫殼程序完善了網友對瑞興詬病最多的木馬查殺環節,使用“碎甲”技術,完善了啟發查毒以及對虛擬機的成功應用,這一切都讓瑞星成了用戶的不二選擇。而且只要對瑞星進行合理的設置就基本可以抵御用戶面對安全問題。
安全建議:社區有不少二〇〇七優化方案的 帖子大家最好看看:)
輔助殺毒
這里的殺毒軟件僅僅是對 主殺毒軟件的一個補充,因為目前的安全形式已經很難讓用戶用單一的安全手段面對日益增長威脅。輔助殺毒一般不會有實時監控程序即使有也建議用戶取消,僅僅只在下載新軟件后手動調用輔助殺毒程序進行查殺(也就是鼠標右鍵)
推薦1
Cureit它是鼎鼎大名的Dr.web的 免費版。Dr.web是俄科學院研制供俄羅斯軍方專業的殺毒軟件,其引擎對木馬脫殼能力應該是眾多殺毒軟件中最強大的,即使是卡巴斯基單從引擎上 說也遜色三分。Cureit根Dr.web的 區別僅僅是沒有實時監控程序,其它諸如引擎和病毒庫上都是完全相同的。
優點:完全免費,資源占用少 缺點:沒有中文版。
推薦二
**
**就不用說了,其根瑞星的淵源我也不用細細道來了,選用**的理由很簡單就是其設計的初衷!一款主動防御軟件。具體的 說明大家有興趣可以到其官方網站了解。
優點:國貨!對主殺毒程序兼容好 缺點:付費軟件,資源占用稍大。
防火墻
前言
沒有安全的墻!目前大家對防火墻評測基本都是國外網站的測試的結果,而且流行的無非都是那幾款。但是非常遺憾的告訴大家這些墻都有或大或小的安全BUG,而且即使是ZA這種被網友“力捧”的墻在其設計構架中都存在致命的缺陷。最關鍵不是你看別人說什么墻好,而是你了解什么墻你會用什么墻。
瑞星二〇〇七防火墻
又是瑞星?沒錯!首先它是瑞星殺毒軟件標準版中就附帶,而且經過不斷的改進瑞星防火墻已經成為一款成熟的產品。瑞星殺毒軟件+瑞星防火墻+注冊表監控,用戶只要運用好這3樣工具就基本可以從容的應付常見的安全威脅。
社區有網友提供瑞星防火墻規則包建議大家安裝,不錯的:)有時間我可能會更新一個新包上來:)
其它防火墻
(由于時間的關系該內容以后更新)
花絮:一樣的外衣不一樣的心
很多人都關系某某部門用了什么軟件或軍方用了什么軟件,其實這完全沒有什么意義因為首先你不可能享受到想這些部門一樣的服務。其次這些殺毒軟件的DAT或防火墻的規則你是根本就接觸甚至看不到的。編譯好自己的規則才時最關鍵的。
HIPS
什么是HIPS
HIPSPS(主機入侵防御體系),也被稱為系統防火墻,今年開始在比較專業的用戶中開始流行,甚至一些殺毒軟件廠商研究新病毒的時候都用它們來最終分析。HIPS可以控制限制進程調用,或者禁止更改或者添加注冊表文件。當某進程或者程序試圖偷偷運行時,這個行為就會被所HIPS檢測,然后彈出警告,詢問用戶是否允許運行。如果用戶擁有足夠的軟件和系統進程方面知識的情況下,利用HIPS軟件能非常有效的防止木馬或者病毒的偷偷運行。如果運用的好甚至可以擺脫對殺毒軟件的依靠!(現在開始風行的行為殺毒其實就是HIPS功能的智能化)。的功能分類有Application Defend(簡稱AD)應用程序防御體系, Registry Defend(簡稱RD)注冊表防御體系(比如瑞星的注冊表監控), File Defend(簡稱FD)文件防御體系三類。
第一次使用HIPS時用戶進行各種操作軟件都會有提示,用戶安提示操作就可以了以后只要文件沒有被病毒或木馬破壞就不會有相關的提示,但是這也要求使用HIPS一定要不怕麻煩,并能認真閱讀HIPS的提示信息。否則HIPS對你不但沒有什么幫助,也會徒增你的煩惱
推薦
System Safety Monitor(簡稱SSM)是目前最紅的HIPS軟件,經過幾年的開發,現在SSM2.2已經基本成熟了,系統資源占用也越來越少,它擁有AD和RD功能,可以察看運行程序的父子關系,就是界面設計的有些煩瑣,上手比較麻煩,擁有MD5和更強大的256位SHA效驗算法可以選擇。同時也有中文語言包,雖然價格比較高,但是還有免費的版本提供,不過少了磁盤底層寫入監視和RD(正因為瑞星又RD功能,所以我推薦SSM作為普通用戶方案HIPS的搭配)
注意:SSM有付費和免費兩種版本,免費版僅缺少幾項項監控。用戶可根據自己的情況選擇!建議大家用免費版本:)
第二次備份時間點
使用上述軟件對 系統進行完全掃描后,用戶就可以進行第二次的備份操作!備份文件直接備份備份區分即可刻在光盤上也不錯:)
遏制僵尸網絡 DDoS攻擊不是“絕癥”
[ 2007-03-25 03:13:12 | 作者: sun ]
新聞事件回放
2006年12月20日,亞洲最大機房—網通北京亦莊機房遭受了最嚴重的攻擊。當天,最高攻擊流量超過12G,而亦莊機房的帶寬約為7G,這造成了機房的間歇性癱瘓。
亦莊機房請求CNCERT/CC協助進行調查,據CNCERT/CC預估,黑客此次至少同時調集了2萬臺機器對亦莊機房進行攻擊,這是CNCERT/CC所見過的國內最大黑客攻擊案。
在這起事件里,由2萬臺機器所組成的僵尸網絡成為了黑客手中最“得力”的工具。僵尸網絡已經成為令人頭痛的問題,就在上期《網絡世界》的一篇文章中,微軟公司的Internet安全執法小組高級律師就認為,僵尸網絡由于其集中的力量,已經成為發生嚴重計算機犯罪的溫床,是當前最大的威脅。早在2004年,國內就發生了首例僵尸網絡攻擊案,一名唐山的黑客操控6萬臺電腦組成的僵尸網絡對北京一家音樂網站進行了連續三個月的分布式拒絕服務(DDoS)攻擊,造成經濟損失達700余萬元。
僵尸網絡難以根除
僵尸網絡實際上是垃圾郵件、病毒和特洛伊木馬發展的最終結果。所謂僵尸網絡,就是黑客利用僵尸程序控制大量互聯網用戶的計算機,這些計算機就像“僵尸”一樣被黑客所操縱,隨時按照黑客的指令展開DDoS攻擊或發送垃圾信息,而真正的用戶卻毫不知情,就仿佛沒有自主意識的僵尸一般。成千上萬臺被感染的計算機組成的僵尸網絡,可以在統一號令下同時對網絡的某個節點發動攻擊,從而形成極強的破壞力,成為一支網絡上可以用于進行各種破壞活動的力量。
制止僵尸網絡的辦法之一就是讓ISP出面來查找惡意行為并鏟除它們。最近,英國電信宣布將使用來自某公司的產品和服務來檢測向外發送的垃圾郵件。另外,還有很多協同捕獲僵尸網絡的工具也正在被開發出來。
ISP們利用的另一項技術是:讓各ISP公司和其他公司結合成網絡,并與享有聲望的安全公司共同分享關于僵尸計算機(bots)的信息,并將這些數據與他們自己內部的數據進行協調。
通過使用這些數據,系統能夠在bots登錄互聯網或者發送電子郵件的時候,將其識別出來,繼而使用網絡訪問控制技術,將系統隔離在一個單獨的子網里。此時用戶會被提醒要注意一些問題,網絡會提供一些資源來修復用戶的機器,或是登錄時網絡要求其下載一些工具,以確保安全性,同時網絡會要求他們進行操作系統升級。
但是研究僵尸網絡的專家們依然感覺不樂觀,因為僵尸網絡是如此龐大和復雜,很難將其打敗。一位專家表示,僵尸網絡已經發展到了不需要尋找和記下任何命令和控制的地步。而在過去,命令和控制曾經是脆弱的一個環節。如今,有足夠的冗余和可替代的控制渠道可以使得僵尸網絡能夠生存下去。
盡管每個ISP只要使用正確的工具都能夠將自己的網絡清理干凈,但是人們還是不得不擔心。事實上,在這場較量中,找到工具并不是什么難題。難題在于,與此同時ISP也對自己的用戶關上了大門。另一方面,即使諸如此類的工具能夠被廣泛使用,它們仍舊不會普及到足以清除僵尸計算機的程度。因為僵尸計算機的數量實在是太多了,而且它們反應迅速、難以對付。
盡管境況不樂觀,但我們還是可以從幾個方面入手來遏制僵尸網絡:
● 個人防范。對于可能成為“犯罪幫兇”的個人電腦用戶,應該增強安全意識并了解基本的安全知識,及時更新軟件補丁,并安裝個人防火墻等安全軟件,盡量避免使自己的計算機成為僵尸網絡的一部分。
● 保證服務器安全。由于管理方面的問題,眾多在IDC機房中的中小公司服務器系統往往得不到很好的加固與維護,容易被攻擊者所利用,而且此類服務器由于性能高,又直接連接在有高帶寬資源的鏈路當中,當其被黑客利用時,破壞力更大。
● 從主干網絡上入手。由于僵尸網絡是綜合傳播的結果,阻擋僵尸網絡,應從主干網絡上入手,才能獲取最佳的效果。在骨干鏈接上過濾惡意編碼可以顯著減少國內與國際骨干網絡的負載,從而可以大量節省成本。
● 攜手合作。對僵尸網絡的打擊,需要如CNCERT、公安部、專業安全公司、運營商等多部門和企業來進行配合工作。同時通過在運營商以及最終客戶端進行防護與緩解,才有可能從源頭上對僵尸網絡進行遏制。
DDoS攻擊不是“絕癥”
發動DDoS攻擊是僵尸網絡最大的“用途”之一,對亦莊機房的攻擊就是一次典型的DDoS攻擊。據綠盟科技解決方案中心抗拒絕服務系統產品市場經理韓永剛介紹,在世界范圍內,DDoS攻擊所造成的損失連年排在網絡安全問題的第二位,僅次于蠕蟲和病毒。這是因為發動DDoS攻擊越來越容易,而且隨著信息產業與互聯網的不斷發展,從理論上講,黑客有可能掌握的資源是沒有上限的。而現在獲得DDoS攻擊資源的成本越來越低,甚至有人把提供攻擊資源作為新的牟利方式。
由于國內的互聯網發展迅速,連接網絡的主機與服務器越來越多,而目前國內的網絡安全意識總體水平還不夠高,這就造成了有大量的網絡資源可以被攻擊者所利用。自從2006年年中開始,DDoS攻擊在國內呈現出越來越瘋狂的趨勢。以前700M、800M的攻擊就是很大規模了,但近期的攻擊事件表明,DDoS攻擊已經進入到一個新的規模—n個G的時代。目前,接近1G的攻擊在各地時常發生,而3~5個G、最多10G以上的攻擊都開始出現。當攻擊量到達了這個程度,攻擊所造成的影響就不再是針對具體的單個目標了,而是整條鏈路都會被堵死,所以鏈路的其他使用者也無法幸免。網通亦莊機房碰到的就是這樣的問題,海量的DDoS攻擊最終影響的將是運營商的基礎網絡自身。
那么DDoS攻擊會不會成為網絡的“不治之癥”?答案是否定的,也就是說我們還不至于太過悲觀絕望。比較好的防DDoS攻擊產品可以實現DDoS異常流量檢測、DDoS攻擊凈化防護、取證與數據分析,從而形成了一套完整的解決方案。如果在亦莊機房部署防DDoS攻擊產品,可以避免此次事件的發生。而產品的部署方式也很有講究。對于如此大流量的攻擊,普通防DDoS攻擊產品的串聯方式肯定是行不通的,而是需要采用旁路集群方式,將多臺防DDoS攻擊設備進行集群配置,再加上基于流量牽引的旁路技術,將攻擊流量牽引至多臺設備組成的“泄洪區”進行流量凈化,凈化的同時又不干擾其他正常流量的經過。這樣將對海量DDoS攻擊起到很好的緩解與抑制作用,保障IDC的正常運行。
還有更理想的防DDoS攻擊部署方式,就是在最終用戶到運營商的網絡中進行多級部署,在基礎鏈路(如城域網)上部署設備集群,成為防DDoS攻擊的基礎;之后再在重點地區如IDC或大客戶接入處進行重點細粒度的部署,形成多層次的梯度防護,這樣才能真正有效地解決DDoS攻擊問題。
2006年12月20日,亞洲最大機房—網通北京亦莊機房遭受了最嚴重的攻擊。當天,最高攻擊流量超過12G,而亦莊機房的帶寬約為7G,這造成了機房的間歇性癱瘓。
亦莊機房請求CNCERT/CC協助進行調查,據CNCERT/CC預估,黑客此次至少同時調集了2萬臺機器對亦莊機房進行攻擊,這是CNCERT/CC所見過的國內最大黑客攻擊案。
在這起事件里,由2萬臺機器所組成的僵尸網絡成為了黑客手中最“得力”的工具。僵尸網絡已經成為令人頭痛的問題,就在上期《網絡世界》的一篇文章中,微軟公司的Internet安全執法小組高級律師就認為,僵尸網絡由于其集中的力量,已經成為發生嚴重計算機犯罪的溫床,是當前最大的威脅。早在2004年,國內就發生了首例僵尸網絡攻擊案,一名唐山的黑客操控6萬臺電腦組成的僵尸網絡對北京一家音樂網站進行了連續三個月的分布式拒絕服務(DDoS)攻擊,造成經濟損失達700余萬元。
僵尸網絡難以根除
僵尸網絡實際上是垃圾郵件、病毒和特洛伊木馬發展的最終結果。所謂僵尸網絡,就是黑客利用僵尸程序控制大量互聯網用戶的計算機,這些計算機就像“僵尸”一樣被黑客所操縱,隨時按照黑客的指令展開DDoS攻擊或發送垃圾信息,而真正的用戶卻毫不知情,就仿佛沒有自主意識的僵尸一般。成千上萬臺被感染的計算機組成的僵尸網絡,可以在統一號令下同時對網絡的某個節點發動攻擊,從而形成極強的破壞力,成為一支網絡上可以用于進行各種破壞活動的力量。
制止僵尸網絡的辦法之一就是讓ISP出面來查找惡意行為并鏟除它們。最近,英國電信宣布將使用來自某公司的產品和服務來檢測向外發送的垃圾郵件。另外,還有很多協同捕獲僵尸網絡的工具也正在被開發出來。
ISP們利用的另一項技術是:讓各ISP公司和其他公司結合成網絡,并與享有聲望的安全公司共同分享關于僵尸計算機(bots)的信息,并將這些數據與他們自己內部的數據進行協調。
通過使用這些數據,系統能夠在bots登錄互聯網或者發送電子郵件的時候,將其識別出來,繼而使用網絡訪問控制技術,將系統隔離在一個單獨的子網里。此時用戶會被提醒要注意一些問題,網絡會提供一些資源來修復用戶的機器,或是登錄時網絡要求其下載一些工具,以確保安全性,同時網絡會要求他們進行操作系統升級。
但是研究僵尸網絡的專家們依然感覺不樂觀,因為僵尸網絡是如此龐大和復雜,很難將其打敗。一位專家表示,僵尸網絡已經發展到了不需要尋找和記下任何命令和控制的地步。而在過去,命令和控制曾經是脆弱的一個環節。如今,有足夠的冗余和可替代的控制渠道可以使得僵尸網絡能夠生存下去。
盡管每個ISP只要使用正確的工具都能夠將自己的網絡清理干凈,但是人們還是不得不擔心。事實上,在這場較量中,找到工具并不是什么難題。難題在于,與此同時ISP也對自己的用戶關上了大門。另一方面,即使諸如此類的工具能夠被廣泛使用,它們仍舊不會普及到足以清除僵尸計算機的程度。因為僵尸計算機的數量實在是太多了,而且它們反應迅速、難以對付。
盡管境況不樂觀,但我們還是可以從幾個方面入手來遏制僵尸網絡:
● 個人防范。對于可能成為“犯罪幫兇”的個人電腦用戶,應該增強安全意識并了解基本的安全知識,及時更新軟件補丁,并安裝個人防火墻等安全軟件,盡量避免使自己的計算機成為僵尸網絡的一部分。
● 保證服務器安全。由于管理方面的問題,眾多在IDC機房中的中小公司服務器系統往往得不到很好的加固與維護,容易被攻擊者所利用,而且此類服務器由于性能高,又直接連接在有高帶寬資源的鏈路當中,當其被黑客利用時,破壞力更大。
● 從主干網絡上入手。由于僵尸網絡是綜合傳播的結果,阻擋僵尸網絡,應從主干網絡上入手,才能獲取最佳的效果。在骨干鏈接上過濾惡意編碼可以顯著減少國內與國際骨干網絡的負載,從而可以大量節省成本。
● 攜手合作。對僵尸網絡的打擊,需要如CNCERT、公安部、專業安全公司、運營商等多部門和企業來進行配合工作。同時通過在運營商以及最終客戶端進行防護與緩解,才有可能從源頭上對僵尸網絡進行遏制。
DDoS攻擊不是“絕癥”
發動DDoS攻擊是僵尸網絡最大的“用途”之一,對亦莊機房的攻擊就是一次典型的DDoS攻擊。據綠盟科技解決方案中心抗拒絕服務系統產品市場經理韓永剛介紹,在世界范圍內,DDoS攻擊所造成的損失連年排在網絡安全問題的第二位,僅次于蠕蟲和病毒。這是因為發動DDoS攻擊越來越容易,而且隨著信息產業與互聯網的不斷發展,從理論上講,黑客有可能掌握的資源是沒有上限的。而現在獲得DDoS攻擊資源的成本越來越低,甚至有人把提供攻擊資源作為新的牟利方式。
由于國內的互聯網發展迅速,連接網絡的主機與服務器越來越多,而目前國內的網絡安全意識總體水平還不夠高,這就造成了有大量的網絡資源可以被攻擊者所利用。自從2006年年中開始,DDoS攻擊在國內呈現出越來越瘋狂的趨勢。以前700M、800M的攻擊就是很大規模了,但近期的攻擊事件表明,DDoS攻擊已經進入到一個新的規模—n個G的時代。目前,接近1G的攻擊在各地時常發生,而3~5個G、最多10G以上的攻擊都開始出現。當攻擊量到達了這個程度,攻擊所造成的影響就不再是針對具體的單個目標了,而是整條鏈路都會被堵死,所以鏈路的其他使用者也無法幸免。網通亦莊機房碰到的就是這樣的問題,海量的DDoS攻擊最終影響的將是運營商的基礎網絡自身。
那么DDoS攻擊會不會成為網絡的“不治之癥”?答案是否定的,也就是說我們還不至于太過悲觀絕望。比較好的防DDoS攻擊產品可以實現DDoS異常流量檢測、DDoS攻擊凈化防護、取證與數據分析,從而形成了一套完整的解決方案。如果在亦莊機房部署防DDoS攻擊產品,可以避免此次事件的發生。而產品的部署方式也很有講究。對于如此大流量的攻擊,普通防DDoS攻擊產品的串聯方式肯定是行不通的,而是需要采用旁路集群方式,將多臺防DDoS攻擊設備進行集群配置,再加上基于流量牽引的旁路技術,將攻擊流量牽引至多臺設備組成的“泄洪區”進行流量凈化,凈化的同時又不干擾其他正常流量的經過。這樣將對海量DDoS攻擊起到很好的緩解與抑制作用,保障IDC的正常運行。
還有更理想的防DDoS攻擊部署方式,就是在最終用戶到運營商的網絡中進行多級部署,在基礎鏈路(如城域網)上部署設備集群,成為防DDoS攻擊的基礎;之后再在重點地區如IDC或大客戶接入處進行重點細粒度的部署,形成多層次的梯度防護,這樣才能真正有效地解決DDoS攻擊問題。
在PHP中全面阻止SQL注入式攻擊之一
[ 2007-03-25 03:12:45 | 作者: sun ]
一、引言
PHP是一種力量強大但相當容易學習的服務器端腳本語言,即使是經驗不多的程序員也能夠使用它來創建復雜的動態的web站點。然而,它在實現因特網服務的秘密和安全方面卻常常存在許多困難。在本系列文章中,我們將向讀者介紹進行web開發所必需的安全背景以及PHP特定的知識和代碼-你可以借以保護你自己的web應用程序的安全性和一致性。首先,我們簡單地回顧一下服務器安全問題-展示你如何存取一個共享宿主環境下的私人信息,使開發者脫離開生產服務器,維持最新的軟件,提供加密的頻道,并且控制對你的系統的存取。
然后,我們討論PHP腳本實現中的普遍存在的脆弱性。我們將解釋如何保護你的腳本免于SQL注入,防止跨站點腳本化和遠程執行,并且阻止對臨時文件及會話的“劫持”。
在最后一篇中,我們將實現一個安全的Web應用程序。你將學習如何驗證用戶身份,授權并跟蹤應用程序使用,避免數據損失,安全地執行高風險性的系統命令,并能夠安全地使用web服務。無論你是否有足夠的PHP安全開發經驗,本系列文章都會提供豐富的信息來幫助你構建更為安全的在線應用程序。
二、什么是SQL注入
如果你打算永遠不使用某些數據的話,那么把它們存儲于一個數據庫是毫無意義的;因為數據庫的設計目的是為了方便地存取和操作數據庫中的數據。但是,如果只是簡單地這樣做則有可能會導致潛在的災難。這種情況并不主要是因為你自己可能偶然刪除數據庫中的一切;而是因為,當你試圖完成某項“無辜”的任務時,你有可能被某些人所"劫持"-使用他自己的破壞性數據來取代你自己的數據。我們稱這種取代為“注入”。
其實,每當你要求用戶輸入構造一個數據庫查詢,你是在允許該用戶參與構建一個存取數據庫服務器的命令。一位友好的用戶可能對實現這樣的操作感覺很滿意;然而,一位惡意的用戶將會試圖發現一種方法來扭曲該命令,從而導致該被的扭曲命令刪除數據,甚至做出更為危險的事情。作為一個程序員,你的任務是尋找一種方法來避免這樣的惡意攻擊。
三、SQL注入工作原理
構造一個數據庫查詢是一個非常直接的過程。典型地,它會遵循如下思路來實現。僅為說明問題,我們將假定你有一個葡萄酒數據庫表格“wines”,其中有一個字段為“variety”(即葡萄酒類型):
1.提供一個表單-允許用戶提交某些要搜索的內容。讓我們假定用戶選擇搜索類型為“lagrein”的葡萄酒。
2.檢索該用戶的搜索術語,并且保存它-通過把它賦給一個如下所示的變量來實現:
$variety = $_POST[''variety''];
因此,變量$variety的值現在為:
lagrein
3.然后,使用該變量在Where子句中構造一個數據庫查詢:
$query = "Select * FROM wines Where variety=''$variety''";
所以,變量$query的值現在如下所示:
Select * FROM wines Where variety=''lagrein''
4.把該查詢提交給MySQL服務器。
5.MySQL返回wines表格中的所有記錄-其中,字段variety的值為“lagrein”。
到目前為止,這應該是一個你所熟悉的而且是非常輕松的過程。遺憾的是,有時我們所熟悉并感到舒適的過程卻容易導致我們產生自滿情緒。現在,讓我們再重新分析一下剛才構建的查詢。
1.你創建的這個查詢的固定部分以一個單引號結束,你將使用它來描述變量值的開始:
$query = " Select * FROM wines Where variety = ''";
2.使用原有的固定不變的部分與包含用戶提交的變量的值:
$query .= $variety;
3.然后,你使用另一個單引號來連接此結果-描述該變量值的結束:
$ query .= "''";
于是,$query的值如下所示:
Select * FROM wines Where variety = ''lagrein''
這個構造的成功依賴用戶的輸入。在本文示例中,你正在使用單個單詞(也可能是一組單詞)來指明一種葡萄酒類型。因此,該查詢的構建是無任何問題的,并且結果也會是你所期望的-一個葡萄酒類型為"lagrein"的葡萄酒列表。現在,讓我們想象,既然你的用戶不是輸入一個簡單的類型為"lagrein"的葡萄酒類型,而是輸入了下列內容(注意包括其中的兩個標點符號):
lagrein'' or 1=1;
現在,你繼續使用前面固定的部分來構造你的查詢(在此,我們僅顯示$query變量的結果值):
Select * FROM wines Where variety = ''
然后,你使用包含用戶輸入內容的變量的值與之進行連接(在此,以粗體顯示):
Select * FROM wines Where variety = ''lagrein'' or 1=1;
最后,添加上下面的下引號:
Select * FROM wines Where variety = ''lagrein'' or 1=1;''
于是,這個查詢結果與你的期望會相當不同。事實上,現在你的查詢包含的不是一條而是兩條指令,因為用戶輸入的最后的分號已經結束了第一條指令(進行記錄選擇)從而開始了一條新的指令。在本例中,第二條指令,除了一個簡單的單引號之外別無意義;但是,第一條指令也不是你所想實現的。當用戶把一個單引號放到他的輸入內容的中間時,他結束了期望的變量的值,并且引入了另一個條件。因此,不再是檢索那些variety為"lagrein"的記錄,而是在檢索那些滿足兩個標準中任何一個(第一個是你的,而第二個是他的-variety為"lagrein"或1等于1)的記錄。既然1總是1,因此,你會檢索到所有的記錄!
你可能反對:我不會使用雙引號來代替單引號來描述用戶提交的變量嗎?不錯,這至少可以減慢惡意用戶的攻擊。(在以前的文章中,我們提醒過你:應該禁止所有對用戶的錯誤通知信息。如果在此生成一條錯誤消息,那么,它有可能恰恰幫助了攻擊者-提供一個關于他的攻擊為什么失敗的具體的解釋。)
在實踐中,使你的用戶能夠看到所有的記錄而不只是其中的一部分乍看起來似乎不太費事,但實際上,這的確費事不少;看到所有的記錄能夠很容易地向他提供有關于該表格的內部結構,從而也就向他提供了使其以后實現更為惡毒目的的一個重要參考。如果你的數據庫中不是包含顯然無害的酒之類信息而是包含例如一個含有雇員年收入的列表,那么,剛才描述情形會是特別真實的。
而從理論角度分析,這種攻擊也的確是一件很可怕的事情。由于把意外的內容注入到你的查詢中,所以,此用戶能夠實現把你的數據庫存取轉化為用于實現他自己的目的。因此現在,你的數據庫已經對他打開-正如對你敞開一樣。
四、PHP和MySQL注入
如我們前面所描述的,PHP,從本身設計來說,并沒有做什么特別的事情-除了按照你的指示操作之外。因此,如果為惡意用戶所用,它也只是按照要求"允許"特別設計的攻擊-例如我們前面所描述的那樣。
我們將假定,你不會故意地或甚至是偶然地構造一個具有破壞性效果的數據庫查詢-于是,我們假定問題出在來自你的用戶的輸入方面。現在,讓我們來更為細致地分析一下用戶可能向你的腳本提供信息的各種途徑。
五、用戶輸入的類型
如今,用戶能夠影響你的腳本的行為已變得越來越復雜。
用戶輸入最明顯的來源當然是表單上的一個文本輸入域。使用這樣的一個域,你簡直是在故意教唆一個用戶輸入任意數據。而且,你向用戶提供了一個很大的輸入范圍;沒有什么辦法能夠使你提前限制一個用戶能夠輸入的數據類型(盡管你能夠選擇限制它的長度)。這正是絕大多數的注入式攻擊源主要來自于無防備的表單域的原因。
但是,還存在其它的攻擊源,并且稍加思考你就會想到的一種潛于表單后臺的技術-POST方法!通過簡單地分析顯示在瀏覽器的導航工具欄中的URI,一個善于觀察的用戶能夠很容易地看出是什么信息傳遞到了一個腳本。盡管典型情況下這樣的URI是以編程方式生成的,但是,沒有什么辦法能夠阻止一個惡意的用戶簡單地把一個帶有一個不適當的變量值的URI輸入到一個瀏覽器中-而這樣潛在地打開一個可能會被其濫用的數據庫。
限制用戶輸入內容的一個常用策略是在一個表單中提供一個選擇框,而不是一個輸入框。這種控件能夠強制用戶從一組預定義的值中進行選擇,并且能夠在一定程度上阻止用戶輸入期望不到的內容。但是正如一個攻擊者可能“哄騙”一個URI(也即是,創建一個能夠模仿一個可信任的卻無效的URI)一樣,他也可能模仿創建你的表單及其自己的版本,并因此在選項框中使用非法的而不是預定義的安全選擇。要實現這點是極其簡單的;他僅需要觀察源碼,然后剪切并且粘貼該表單的源代碼-然后一切為他敞開大門。
在修改該選擇之后,他就能夠提交表單,并且他的無效的指令就會被接受,就象它們是原始的指令一樣。因此,該用戶可以使用許多不同的方法試圖把惡意的代碼注入到一個腳本中。
PHP是一種力量強大但相當容易學習的服務器端腳本語言,即使是經驗不多的程序員也能夠使用它來創建復雜的動態的web站點。然而,它在實現因特網服務的秘密和安全方面卻常常存在許多困難。在本系列文章中,我們將向讀者介紹進行web開發所必需的安全背景以及PHP特定的知識和代碼-你可以借以保護你自己的web應用程序的安全性和一致性。首先,我們簡單地回顧一下服務器安全問題-展示你如何存取一個共享宿主環境下的私人信息,使開發者脫離開生產服務器,維持最新的軟件,提供加密的頻道,并且控制對你的系統的存取。
然后,我們討論PHP腳本實現中的普遍存在的脆弱性。我們將解釋如何保護你的腳本免于SQL注入,防止跨站點腳本化和遠程執行,并且阻止對臨時文件及會話的“劫持”。
在最后一篇中,我們將實現一個安全的Web應用程序。你將學習如何驗證用戶身份,授權并跟蹤應用程序使用,避免數據損失,安全地執行高風險性的系統命令,并能夠安全地使用web服務。無論你是否有足夠的PHP安全開發經驗,本系列文章都會提供豐富的信息來幫助你構建更為安全的在線應用程序。
二、什么是SQL注入
如果你打算永遠不使用某些數據的話,那么把它們存儲于一個數據庫是毫無意義的;因為數據庫的設計目的是為了方便地存取和操作數據庫中的數據。但是,如果只是簡單地這樣做則有可能會導致潛在的災難。這種情況并不主要是因為你自己可能偶然刪除數據庫中的一切;而是因為,當你試圖完成某項“無辜”的任務時,你有可能被某些人所"劫持"-使用他自己的破壞性數據來取代你自己的數據。我們稱這種取代為“注入”。
其實,每當你要求用戶輸入構造一個數據庫查詢,你是在允許該用戶參與構建一個存取數據庫服務器的命令。一位友好的用戶可能對實現這樣的操作感覺很滿意;然而,一位惡意的用戶將會試圖發現一種方法來扭曲該命令,從而導致該被的扭曲命令刪除數據,甚至做出更為危險的事情。作為一個程序員,你的任務是尋找一種方法來避免這樣的惡意攻擊。
三、SQL注入工作原理
構造一個數據庫查詢是一個非常直接的過程。典型地,它會遵循如下思路來實現。僅為說明問題,我們將假定你有一個葡萄酒數據庫表格“wines”,其中有一個字段為“variety”(即葡萄酒類型):
1.提供一個表單-允許用戶提交某些要搜索的內容。讓我們假定用戶選擇搜索類型為“lagrein”的葡萄酒。
2.檢索該用戶的搜索術語,并且保存它-通過把它賦給一個如下所示的變量來實現:
$variety = $_POST[''variety''];
因此,變量$variety的值現在為:
lagrein
3.然后,使用該變量在Where子句中構造一個數據庫查詢:
$query = "Select * FROM wines Where variety=''$variety''";
所以,變量$query的值現在如下所示:
Select * FROM wines Where variety=''lagrein''
4.把該查詢提交給MySQL服務器。
5.MySQL返回wines表格中的所有記錄-其中,字段variety的值為“lagrein”。
到目前為止,這應該是一個你所熟悉的而且是非常輕松的過程。遺憾的是,有時我們所熟悉并感到舒適的過程卻容易導致我們產生自滿情緒。現在,讓我們再重新分析一下剛才構建的查詢。
1.你創建的這個查詢的固定部分以一個單引號結束,你將使用它來描述變量值的開始:
$query = " Select * FROM wines Where variety = ''";
2.使用原有的固定不變的部分與包含用戶提交的變量的值:
$query .= $variety;
3.然后,你使用另一個單引號來連接此結果-描述該變量值的結束:
$ query .= "''";
于是,$query的值如下所示:
Select * FROM wines Where variety = ''lagrein''
這個構造的成功依賴用戶的輸入。在本文示例中,你正在使用單個單詞(也可能是一組單詞)來指明一種葡萄酒類型。因此,該查詢的構建是無任何問題的,并且結果也會是你所期望的-一個葡萄酒類型為"lagrein"的葡萄酒列表。現在,讓我們想象,既然你的用戶不是輸入一個簡單的類型為"lagrein"的葡萄酒類型,而是輸入了下列內容(注意包括其中的兩個標點符號):
lagrein'' or 1=1;
現在,你繼續使用前面固定的部分來構造你的查詢(在此,我們僅顯示$query變量的結果值):
Select * FROM wines Where variety = ''
然后,你使用包含用戶輸入內容的變量的值與之進行連接(在此,以粗體顯示):
Select * FROM wines Where variety = ''lagrein'' or 1=1;
最后,添加上下面的下引號:
Select * FROM wines Where variety = ''lagrein'' or 1=1;''
于是,這個查詢結果與你的期望會相當不同。事實上,現在你的查詢包含的不是一條而是兩條指令,因為用戶輸入的最后的分號已經結束了第一條指令(進行記錄選擇)從而開始了一條新的指令。在本例中,第二條指令,除了一個簡單的單引號之外別無意義;但是,第一條指令也不是你所想實現的。當用戶把一個單引號放到他的輸入內容的中間時,他結束了期望的變量的值,并且引入了另一個條件。因此,不再是檢索那些variety為"lagrein"的記錄,而是在檢索那些滿足兩個標準中任何一個(第一個是你的,而第二個是他的-variety為"lagrein"或1等于1)的記錄。既然1總是1,因此,你會檢索到所有的記錄!
你可能反對:我不會使用雙引號來代替單引號來描述用戶提交的變量嗎?不錯,這至少可以減慢惡意用戶的攻擊。(在以前的文章中,我們提醒過你:應該禁止所有對用戶的錯誤通知信息。如果在此生成一條錯誤消息,那么,它有可能恰恰幫助了攻擊者-提供一個關于他的攻擊為什么失敗的具體的解釋。)
在實踐中,使你的用戶能夠看到所有的記錄而不只是其中的一部分乍看起來似乎不太費事,但實際上,這的確費事不少;看到所有的記錄能夠很容易地向他提供有關于該表格的內部結構,從而也就向他提供了使其以后實現更為惡毒目的的一個重要參考。如果你的數據庫中不是包含顯然無害的酒之類信息而是包含例如一個含有雇員年收入的列表,那么,剛才描述情形會是特別真實的。
而從理論角度分析,這種攻擊也的確是一件很可怕的事情。由于把意外的內容注入到你的查詢中,所以,此用戶能夠實現把你的數據庫存取轉化為用于實現他自己的目的。因此現在,你的數據庫已經對他打開-正如對你敞開一樣。
四、PHP和MySQL注入
如我們前面所描述的,PHP,從本身設計來說,并沒有做什么特別的事情-除了按照你的指示操作之外。因此,如果為惡意用戶所用,它也只是按照要求"允許"特別設計的攻擊-例如我們前面所描述的那樣。
我們將假定,你不會故意地或甚至是偶然地構造一個具有破壞性效果的數據庫查詢-于是,我們假定問題出在來自你的用戶的輸入方面。現在,讓我們來更為細致地分析一下用戶可能向你的腳本提供信息的各種途徑。
五、用戶輸入的類型
如今,用戶能夠影響你的腳本的行為已變得越來越復雜。
用戶輸入最明顯的來源當然是表單上的一個文本輸入域。使用這樣的一個域,你簡直是在故意教唆一個用戶輸入任意數據。而且,你向用戶提供了一個很大的輸入范圍;沒有什么辦法能夠使你提前限制一個用戶能夠輸入的數據類型(盡管你能夠選擇限制它的長度)。這正是絕大多數的注入式攻擊源主要來自于無防備的表單域的原因。
但是,還存在其它的攻擊源,并且稍加思考你就會想到的一種潛于表單后臺的技術-POST方法!通過簡單地分析顯示在瀏覽器的導航工具欄中的URI,一個善于觀察的用戶能夠很容易地看出是什么信息傳遞到了一個腳本。盡管典型情況下這樣的URI是以編程方式生成的,但是,沒有什么辦法能夠阻止一個惡意的用戶簡單地把一個帶有一個不適當的變量值的URI輸入到一個瀏覽器中-而這樣潛在地打開一個可能會被其濫用的數據庫。
限制用戶輸入內容的一個常用策略是在一個表單中提供一個選擇框,而不是一個輸入框。這種控件能夠強制用戶從一組預定義的值中進行選擇,并且能夠在一定程度上阻止用戶輸入期望不到的內容。但是正如一個攻擊者可能“哄騙”一個URI(也即是,創建一個能夠模仿一個可信任的卻無效的URI)一樣,他也可能模仿創建你的表單及其自己的版本,并因此在選項框中使用非法的而不是預定義的安全選擇。要實現這點是極其簡單的;他僅需要觀察源碼,然后剪切并且粘貼該表單的源代碼-然后一切為他敞開大門。
在修改該選擇之后,他就能夠提交表單,并且他的無效的指令就會被接受,就象它們是原始的指令一樣。因此,該用戶可以使用許多不同的方法試圖把惡意的代碼注入到一個腳本中。
主動預防惡意軟件應如何著手
[ 2007-03-25 03:12:32 | 作者: sun ]
近幾年,間諜軟件對企業和計算機用戶來說,都造成了巨大的安全威脅。作為企業的IT管理者,如果你擔心在上網時個人信息會被散布到網上,或者你的瀏覽習慣會被記錄,那么你應該建議企業安裝一套流行的廣告軟件/間諜軟件清除工具。
目前這類軟件有很多都是免費的,包括Lavasoft的Ad-Aware 和CyberDefenderFREE 。就連微軟也推出了自己的間諜軟件清除工具Windows Defender 。另外,我們還有豐富的付費安全軟件可以選擇,每一個軟件都提供了廣告軟件/間諜軟件清除功能。
雖然有些廣告軟件/間諜軟件是通過免費的CD光盤的形式傳播到用戶手中的,但是這類軟件的主要傳播途徑還是通過互聯網。當用戶在瀏覽互聯網上的某些網頁時,黑客或不法分子就會將惡意軟件悄悄安裝到用戶的系統中。具有跟蹤功能的cookie和網頁程序可以被自動安裝,而莫名其妙彈出來的窗口可以告訴用戶,自己的電腦已經處于危險中了。
大多數人都知道,互聯網是一個缺乏法律約束的環境。經驗告訴我們,不要隨便安裝來自免費CD中的程序,因為天上不會掉餡餅。而如果你的自我保護意識非常強,那么連可信網站的免費軟件也不要安裝,甚至不要瀏覽。當然,這是不現實的。
每個用戶都會安裝一些他們所需的軟件,也沒有人會為了安全而拒絕接入互聯網。那么怎么在上網風險和個人信息保護之間獲得一個折中的方案呢?下面我們就通過一個實際案例來討論目前的解決方案。
如果你運行了一個廣告軟件/間諜軟件刪除程序,它就會對對你系統中所安裝的程序或cookie進行檢測,換句話說,這類安全工具只能在你的系統被感染后才能發現問題。如果你的系統已經被感染了,那么就意味著你的個人信息或上網瀏覽記錄已經被盜取了。
公平地說, 這類安全軟件確實可以通過刪除或者屏蔽惡意軟件的方式來降低用戶所受到的損失,這是它的優勢。但是我們還要考慮一個因素,比如病毒程序的作者,這些人會編寫一些可以自行改變的病毒,從而逃避安全軟件的檢測。
這導致大多數用戶不得不經常運行安全軟件掃描并清除新出現的惡意軟件(有時候還會同時運行好幾種安全軟件)。這就是我們所說的“被動安全”。雖然被動安全比沒有任何安全措施要好,但是我們都知道,更好的安全措施應該是“主動安全”。換句話說,就是在惡意軟件還沒有造成破壞時就進行相應的清除工作。
由于惡意軟件大部分來自互聯網和網絡瀏覽過程,因此在瀏覽某一網站前,獲知這一網站是否具有潛在的安全風險,是至關重要的主動防御措施。
這就是諸如McAfee SiteAdvisor這類安全軟件的功能了。傳統的安全軟件將焦點集中在如何清理已經入侵系統的病毒或惡意軟件,而McAfee SiteAdvisor則是在用戶訪問一個惡意網站前對用戶進行警告。
這類安全軟件可以作為用戶已有的殺毒軟件的良好補充,它可以彌補普通殺毒軟件所忽略的方面,比如間諜軟件攻擊,在線欺詐以及網絡釣魚站點等。SiteAdvisor可以工作在IE或者Firefox瀏覽器中,它根據網站的安全級別將網站標記上綠色、黃色或者紅色的標簽,用戶根據標簽的顏色即可了解網站的安全性。另外,SiteAdvisor還提供以下功能:
安全搜索等級: 讓用戶提前獲知某個搜索列表是否帶有廣告、病毒、垃圾郵件或欺詐內容。
安全瀏覽等級: 告知用戶某網站是否帶有影響瀏覽的內容,比如過多的彈出窗口。
漏洞保護:該功能可以防止用戶訪問一個會導致瀏覽器崩潰的頁面。
總結
根據目前的形勢,廣告軟件和間諜軟件并不會很快消失,而來自流氓網站的瀏覽器攻擊也變得日益頻繁。 因此用戶需要一種主動的安全解決方案,可以讓用戶在瀏覽一個網站前就知道該網站是否安全,而不是在被惡意軟件攻擊后才去被動的殺毒。
目前這類軟件有很多都是免費的,包括Lavasoft的Ad-Aware 和CyberDefenderFREE 。就連微軟也推出了自己的間諜軟件清除工具Windows Defender 。另外,我們還有豐富的付費安全軟件可以選擇,每一個軟件都提供了廣告軟件/間諜軟件清除功能。
雖然有些廣告軟件/間諜軟件是通過免費的CD光盤的形式傳播到用戶手中的,但是這類軟件的主要傳播途徑還是通過互聯網。當用戶在瀏覽互聯網上的某些網頁時,黑客或不法分子就會將惡意軟件悄悄安裝到用戶的系統中。具有跟蹤功能的cookie和網頁程序可以被自動安裝,而莫名其妙彈出來的窗口可以告訴用戶,自己的電腦已經處于危險中了。
大多數人都知道,互聯網是一個缺乏法律約束的環境。經驗告訴我們,不要隨便安裝來自免費CD中的程序,因為天上不會掉餡餅。而如果你的自我保護意識非常強,那么連可信網站的免費軟件也不要安裝,甚至不要瀏覽。當然,這是不現實的。
每個用戶都會安裝一些他們所需的軟件,也沒有人會為了安全而拒絕接入互聯網。那么怎么在上網風險和個人信息保護之間獲得一個折中的方案呢?下面我們就通過一個實際案例來討論目前的解決方案。
如果你運行了一個廣告軟件/間諜軟件刪除程序,它就會對對你系統中所安裝的程序或cookie進行檢測,換句話說,這類安全工具只能在你的系統被感染后才能發現問題。如果你的系統已經被感染了,那么就意味著你的個人信息或上網瀏覽記錄已經被盜取了。
公平地說, 這類安全軟件確實可以通過刪除或者屏蔽惡意軟件的方式來降低用戶所受到的損失,這是它的優勢。但是我們還要考慮一個因素,比如病毒程序的作者,這些人會編寫一些可以自行改變的病毒,從而逃避安全軟件的檢測。
這導致大多數用戶不得不經常運行安全軟件掃描并清除新出現的惡意軟件(有時候還會同時運行好幾種安全軟件)。這就是我們所說的“被動安全”。雖然被動安全比沒有任何安全措施要好,但是我們都知道,更好的安全措施應該是“主動安全”。換句話說,就是在惡意軟件還沒有造成破壞時就進行相應的清除工作。
由于惡意軟件大部分來自互聯網和網絡瀏覽過程,因此在瀏覽某一網站前,獲知這一網站是否具有潛在的安全風險,是至關重要的主動防御措施。
這就是諸如McAfee SiteAdvisor這類安全軟件的功能了。傳統的安全軟件將焦點集中在如何清理已經入侵系統的病毒或惡意軟件,而McAfee SiteAdvisor則是在用戶訪問一個惡意網站前對用戶進行警告。
這類安全軟件可以作為用戶已有的殺毒軟件的良好補充,它可以彌補普通殺毒軟件所忽略的方面,比如間諜軟件攻擊,在線欺詐以及網絡釣魚站點等。SiteAdvisor可以工作在IE或者Firefox瀏覽器中,它根據網站的安全級別將網站標記上綠色、黃色或者紅色的標簽,用戶根據標簽的顏色即可了解網站的安全性。另外,SiteAdvisor還提供以下功能:
安全搜索等級: 讓用戶提前獲知某個搜索列表是否帶有廣告、病毒、垃圾郵件或欺詐內容。
安全瀏覽等級: 告知用戶某網站是否帶有影響瀏覽的內容,比如過多的彈出窗口。
漏洞保護:該功能可以防止用戶訪問一個會導致瀏覽器崩潰的頁面。
總結
根據目前的形勢,廣告軟件和間諜軟件并不會很快消失,而來自流氓網站的瀏覽器攻擊也變得日益頻繁。 因此用戶需要一種主動的安全解決方案,可以讓用戶在瀏覽一個網站前就知道該網站是否安全,而不是在被惡意軟件攻擊后才去被動的殺毒。
幾個小絕招增強系統對木馬和病毒防范
[ 2007-03-25 03:12:19 | 作者: sun ]
一、問題的提出
大部分的木馬及部分的病毒是通過注冊表的自啟動項或文件關聯或通過系統服務實現自啟動的,那是否有一種方法可以防止木馬或病毒修改注冊表項及增加服務呢?
二、問題的解決
Windows2000/XP/2003的注冊表是可以設置權限的,只是我們比較少用到。設置以下注冊表鍵的權限:
1、設置注冊表自啟動項為everyone只讀(Run、RunOnce、RunService),防止木馬、病毒通過自啟動項目啟動
2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為everyone只讀,防止木馬、病毒通過文件關聯啟動
3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為everyone只讀,防止木馬、病毒以"服務"方式啟動
注冊表鍵的權限設置可以通過以下方式實現:
1、如果在域環境里,可能通過活動目錄的組策略實現的
2、本地計算機的組策略來(命令行用secedit)
3、本文通過setacl這個程序加批處理實現。
4、手工操作可以通過regedt32(Windows2000系統,在菜單“安全”下的“權限”)或regedit(Windows2003/XP,在“編輯”菜單下的“權限”)
批處理代碼在后面給出。
如果只有users組權限,以上鍵值默認是只讀的,就可以不用這么麻煩了。
三、適用人群
1)、對電腦不是很熟悉,不經常安裝/卸載軟件的人
2)、喜歡在網上下載軟件安裝的朋友
3)、每臺電腦的操作人員都有管理員權限,這些人的電腦水平又參差不齊的企業
四、還存在的問題
1)、安裝殺毒軟件,打補丁的時候都可能對那些注冊表進行操作,這樣就得先恢復權限設置,再安裝,安裝完成后重新設置。不方便
2)、防不住3721,不知是不是3721的權限太高了(聽說3721是通過驅動程序啟動的,有ring 0級權限)
3)、只適合Windows2000/XP/2003,其他的就沒辦法了
4)、只能對付那些簡單的病毒和木馬
五、批處理源代碼
@goto start
==============================================================
名稱:反特洛伊木馬
功能:
1、禁用自啟動項目(run runonce runservices)
2、禁止修改.txt、.com、.exe、.inf、.ini、.bat等等文件關聯
3、禁止修改"服務"信息
原理:設置注冊表權限為只讀
版本修訂情況
版本號 修訂日期 修訂人 修訂內容
1.0 2004-12-22 netu0 創建本腳本
:start
@SETLOCAL
@rem 活動代碼頁設為中文
@chcp 936>nul 2>nul
@echo.
@echo ************************************************************
@echo #
@echo # 歡迎使用反特洛伊木馬程序
@echo #
@echo #
@echo ************************************************************
:chkOS
@echo.
@ver find "2000" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2000
@ver find "Microsoft Windows [版本 5" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2003
@ver find "XP" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :XP
@echo.
@echo #您的操作系統不是Windows 2000/XP/2003中的一種,無法使用。
@goto quit
@rem 在下面語句插不同系統的不同命令
:2000
@set UpdatePolicy=secedit /refreshpolicy machine_policy>nul 2>nul
@goto Selection
:XP
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection
:2003
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection
:Selection
@rem User Choice
@echo.
@echo 請輸入以下選項前面的數字
@echo.
@echo 1: 安裝反特洛伊木馬保護
@echo 2: 刪除反特洛伊木馬保護(恢復默認設置)
@echo 3: 查看技術信息
@echo 4: 退出
@echo.
@set /p UserSelection=輸入您的選擇(1、2、3、4)
@if "%UserSelection%"=="1" goto install
@if "%UserSelection%"=="2" goto uninstall
@if "%UserSelection%"=="3" goto information
@if "%UserSelection%"=="4" goto quit
@rem 輸入其他字符
@cls
@goto Selection
:information
@cls
@echo
============================================================
@echo #
@echo # 歡迎使用反特洛伊木馬程序
@echo #
@echo #功能:
@echo #
@echo # 1、設置注冊表自啟動項為只讀(Run、RunOnce、RunService),
@echo # 防止木馬、病毒通過自啟動項目啟動
@echo # 2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為只讀,
@echo # 防止木馬、病毒通過文件關聯啟動
@echo # 3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為只讀
@echo # 防止木馬、病毒以"服務"方式啟動
@echo #
@echo #注意事項:
@echo # 某些安裝程序也會用到以上注冊表鍵,請在安裝前運行本程序,
@echo # 然后選擇2,恢復默認設置。安裝完成后,重新運行本程序,
@echo # 然后選擇1,實施反特洛伊木馬保護
@echo ==============================================================
@echo.
@echo 按任意鍵,返回選擇
@pause>nul 2>nul
@cls
@goto Selection
:install
@set OP=/grant everyone /read /p:no_dont_copy
@goto Doit
:uninstall
@set OP=/revoke everyone /read /p:yes
@goto Doit
:Doit
@echo.
@echo 正在執行操作...
@rem HKLM
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@rem HKCU
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /
registry %OP%>nul 2>nul
@rem USERS
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /
registry %OP%>nul 2>nul
@rem Services
@setacl MACHINE\SYSTEM\CurrentControlSet\Services /registry %OP%>nul 2>nul
@rem CLASSES_ROOT
@setacl CLASSES_ROOT\exefile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\inifile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\txtfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\comfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\batfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\inffile\shell\open\command /registry %OP%>nul 2>nul
@echo 正在更新帳戶策略、審核策略......
@REM [刷新本地安全策略]
@%UpdatePolicy%>nul 2>nul
@echo 帳戶策略、審核策略更新完成
:complete
@echo 操作完成
@echo.
@echo.
@echo 請按任意鍵退出。
@pause>nul 2>nul
:quit
@rem Clear
@del %systemroot%\system32\setacl.exe>nul 2>nul
@del %systemroot%\system32\AntiTrojanhorse.bat>nul 2>nul
@ENDLOCAL
大部分的木馬及部分的病毒是通過注冊表的自啟動項或文件關聯或通過系統服務實現自啟動的,那是否有一種方法可以防止木馬或病毒修改注冊表項及增加服務呢?
二、問題的解決
Windows2000/XP/2003的注冊表是可以設置權限的,只是我們比較少用到。設置以下注冊表鍵的權限:
1、設置注冊表自啟動項為everyone只讀(Run、RunOnce、RunService),防止木馬、病毒通過自啟動項目啟動
2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為everyone只讀,防止木馬、病毒通過文件關聯啟動
3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為everyone只讀,防止木馬、病毒以"服務"方式啟動
注冊表鍵的權限設置可以通過以下方式實現:
1、如果在域環境里,可能通過活動目錄的組策略實現的
2、本地計算機的組策略來(命令行用secedit)
3、本文通過setacl這個程序加批處理實現。
4、手工操作可以通過regedt32(Windows2000系統,在菜單“安全”下的“權限”)或regedit(Windows2003/XP,在“編輯”菜單下的“權限”)
批處理代碼在后面給出。
如果只有users組權限,以上鍵值默認是只讀的,就可以不用這么麻煩了。
三、適用人群
1)、對電腦不是很熟悉,不經常安裝/卸載軟件的人
2)、喜歡在網上下載軟件安裝的朋友
3)、每臺電腦的操作人員都有管理員權限,這些人的電腦水平又參差不齊的企業
四、還存在的問題
1)、安裝殺毒軟件,打補丁的時候都可能對那些注冊表進行操作,這樣就得先恢復權限設置,再安裝,安裝完成后重新設置。不方便
2)、防不住3721,不知是不是3721的權限太高了(聽說3721是通過驅動程序啟動的,有ring 0級權限)
3)、只適合Windows2000/XP/2003,其他的就沒辦法了
4)、只能對付那些簡單的病毒和木馬
五、批處理源代碼
@goto start
==============================================================
名稱:反特洛伊木馬
功能:
1、禁用自啟動項目(run runonce runservices)
2、禁止修改.txt、.com、.exe、.inf、.ini、.bat等等文件關聯
3、禁止修改"服務"信息
原理:設置注冊表權限為只讀
版本修訂情況
版本號 修訂日期 修訂人 修訂內容
1.0 2004-12-22 netu0 創建本腳本
:start
@SETLOCAL
@rem 活動代碼頁設為中文
@chcp 936>nul 2>nul
@echo.
@echo ************************************************************
@echo #
@echo # 歡迎使用反特洛伊木馬程序
@echo #
@echo #
@echo ************************************************************
:chkOS
@echo.
@ver find "2000" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2000
@ver find "Microsoft Windows [版本 5" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2003
@ver find "XP" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :XP
@echo.
@echo #您的操作系統不是Windows 2000/XP/2003中的一種,無法使用。
@goto quit
@rem 在下面語句插不同系統的不同命令
:2000
@set UpdatePolicy=secedit /refreshpolicy machine_policy>nul 2>nul
@goto Selection
:XP
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection
:2003
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection
:Selection
@rem User Choice
@echo.
@echo 請輸入以下選項前面的數字
@echo.
@echo 1: 安裝反特洛伊木馬保護
@echo 2: 刪除反特洛伊木馬保護(恢復默認設置)
@echo 3: 查看技術信息
@echo 4: 退出
@echo.
@set /p UserSelection=輸入您的選擇(1、2、3、4)
@if "%UserSelection%"=="1" goto install
@if "%UserSelection%"=="2" goto uninstall
@if "%UserSelection%"=="3" goto information
@if "%UserSelection%"=="4" goto quit
@rem 輸入其他字符
@cls
@goto Selection
:information
@cls
@echo
============================================================
@echo #
@echo # 歡迎使用反特洛伊木馬程序
@echo #
@echo #功能:
@echo #
@echo # 1、設置注冊表自啟動項為只讀(Run、RunOnce、RunService),
@echo # 防止木馬、病毒通過自啟動項目啟動
@echo # 2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為只讀,
@echo # 防止木馬、病毒通過文件關聯啟動
@echo # 3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為只讀
@echo # 防止木馬、病毒以"服務"方式啟動
@echo #
@echo #注意事項:
@echo # 某些安裝程序也會用到以上注冊表鍵,請在安裝前運行本程序,
@echo # 然后選擇2,恢復默認設置。安裝完成后,重新運行本程序,
@echo # 然后選擇1,實施反特洛伊木馬保護
@echo ==============================================================
@echo.
@echo 按任意鍵,返回選擇
@pause>nul 2>nul
@cls
@goto Selection
:install
@set OP=/grant everyone /read /p:no_dont_copy
@goto Doit
:uninstall
@set OP=/revoke everyone /read /p:yes
@goto Doit
:Doit
@echo.
@echo 正在執行操作...
@rem HKLM
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@rem HKCU
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /
registry %OP%>nul 2>nul
@rem USERS
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /
registry %OP%>nul 2>nul
@rem Services
@setacl MACHINE\SYSTEM\CurrentControlSet\Services /registry %OP%>nul 2>nul
@rem CLASSES_ROOT
@setacl CLASSES_ROOT\exefile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\inifile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\txtfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\comfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\batfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\inffile\shell\open\command /registry %OP%>nul 2>nul
@echo 正在更新帳戶策略、審核策略......
@REM [刷新本地安全策略]
@%UpdatePolicy%>nul 2>nul
@echo 帳戶策略、審核策略更新完成
:complete
@echo 操作完成
@echo.
@echo.
@echo 請按任意鍵退出。
@pause>nul 2>nul
:quit
@rem Clear
@del %systemroot%\system32\setacl.exe>nul 2>nul
@del %systemroot%\system32\AntiTrojanhorse.bat>nul 2>nul
@ENDLOCAL
卡巴斯基6.0設置技巧大全
[ 2007-03-25 03:12:01 | 作者: sun ]
俄羅斯著名的反病毒工具卡巴斯基(Kaspersky)近日推出了最新中文版本:卡巴斯基6.0,面對日益復雜的病毒威脅,卡巴斯基帶給我們怎樣的驚喜呢?
卡巴斯基提供了四重立體防御體系,現在幾乎所有類型的安全威脅,卡巴斯基都能進行有效防護:
1.文件保護,最為傳統的反病毒功能。
2.郵件保護,郵件病毒已經很普遍,它讓你遠離郵件病毒。
3.Web反病毒保護,網絡作為現今病毒的主要傳播源頭,該功能的加強非常有必要。
4.主動防御,卡巴斯基6的最大亮點,它會分析安裝在你計算機上應用程序的行為,監控系統注冊表的改變。這些組件使用啟發式分析,助你及時發現隱蔽威脅,以及各種類型的惡意程序。
當然,功能強勁的背后也是有代價的,筆者推薦卡巴斯基6給幾個朋友使用,他們不約而同的反應是:這個版本的卡巴斯基相當不好用,主要問題集中在如下幾點:
1.資源占用高,卡巴斯基真的讓系統變的超級"卡"。
2."病毒"提示太多,實在不勝其煩。
這是怎么回事呢?下面筆者略做解答:
1.資源占用高,軟件功能強勁的同時,帶來了資源占用的攀升。目前卡巴斯基自有的4種保護功能全開的情況下,資源占用是較高的。
2.提示超多,因為現在卡巴斯基提供了全方位的安全防護,也就是說,部分提示與病毒無關,只能作為殺毒參考,普通用戶完全不必理會。
看來,卡巴斯基6是一個需要精心設置的殺毒軟件,下面請大家跟筆者來仔細了解卡巴斯基6的優化設置吧。
卡巴斯基安裝成功后,會在系統任務欄區顯示軟件圖標,鼠標右鍵點擊圖標調用,如圖1。
圖1 選擇"打開 卡巴斯基防病毒軟件 6.0"進入軟件主界面,如圖2。
圖2
卡巴斯基的主界面比較簡單,它分為成左右兩個窗口,左邊窗口是導航欄,幫助您快速找到并運行程序模塊,執行掃描任務和獲取程序的相關支持;右邊窗口部分是通知面板界面,它顯示你在左邊窗口選擇組件的相關信息,您也可以通過這個窗口實現病毒掃描、隔離文件、備份文件、管理許可文件等操作。
注:程序中所有帶下劃線的文字均可點擊進入相關設置。
要高效的允許軟件,合理設置是必須的,點擊主窗口右上"設置"按鈕,進入軟件設置,下面我們所有的內容均圍繞"設置"展開。
卡巴斯基6對于"風險軟件"的定義又有了許多變化,分為三種,如圖3:
圖3
1.病毒,蠕蟲,木馬以及rootkits程序。
2.間諜軟件,廣告軟件以及撥號軟件。
3.潛在的危險軟件:遠程控制軟件,惡作劇程序。
可以看到,對"風險軟件"的廣泛定義,也意味著系統報警幾率的提升,除了第1類是必選之外,2、3類別是否啟用,就看大家如何取舍了。
例:筆者在網上下載了某個漢化版軟件,眾所周知,目前國內許多漢化軟件中都捆綁了 "流氓程序",現在它們在卡巴斯基的監控下變得無所遁形。這不,系統自動彈出警告提示:檢測到廣告程序,原來安裝程序中加載有某大名鼎鼎的國產流氓程序,如圖4。
圖4
如果你怕了這個東西了,恐怕這個漢化軟件你也不打算安裝了,直接點擊"刪除"了事。當然,你執意要安裝,請點擊"添加到信任區域"鏈接,系統會自動轉入"排除內容"對話框,點擊"確定"即可。
我們可以自行設置不必由軟件監控的項目,點擊圖3中的"信任區域"按鈕進入,如圖5。
圖5
對于我們來說,被系統定義為危險軟件的某些程序,可能不具有惡意功能,我們仍然打算使用它,這時不妨將這些文件添加進排除列表中。在對話框中可以看到目前所有的排除項目,你也可以添加自己定義排除規則。它可以是某個文件夾、文件,甚至是某個特定類型的風險軟件定義。
點擊"添加"按鈕進入"排除內容"對話框,大家可以看到規則描述中的文字都帶有下劃線,點擊進入自定義設置,如圖6。
圖6
步驟一:點擊"對象名:指定",創建排除文件,如圖7。
圖7
你可以指定文件名,文件夾名或關鍵字來設置排除保護,當然最簡單的還是點擊"瀏覽"按鈕,然后瀏覽選擇排除的文件夾、文件即可。不過你還可試試使用關鍵字的方法:
*.exe,排除所有*.exe的文件。
C:\dir\*.exe,排除在C:\dir\中所有擴展名為.exe的文件。
步驟二:點擊"判定類型:指定",創建判定類型,如圖8。
圖8
可以填寫的內容都是軟件內部定義的名稱,如:not-a-virus:AdWare.Win32.Dudu.c這樣的。當然如果你并不明白該如何填寫,下面規則適合大家。
not-a-virus*,從掃描中排除存在潛在危險的程序,比如玩笑程序。
*Riskware.*,從掃描中排除風險軟件。
*RemoteAdmin.*,從掃描中排除所有遠程控制程序。
卡巴斯基提供的四重防御體系中,文件保護、郵件保護、Web反病毒保護都是較傳統的反病毒手段,筆者這里就不做介紹了,大家根據自己的需要確定是否啟用,筆者重點講講"主動防御"的設置。
卡巴斯基的主動防御,簡單說就是讓電腦免受已知威脅和未知新威脅的感染,它主要由四個項目組成:程序活動分析、程序完整性保護、注冊表防護、Office防護,如圖9。
圖9
"主動防御"既然是防護未知病毒,那么誤報也自然難免。雖然程序并沒有將可疑程序定義為病毒,但不停的警告用戶有可疑程序,足以讓普通用戶暈菜,如圖10。"主動防御"中的"程序活動分析"是警告頻繁的根源。
圖10
筆者啟用"程序活動分析"后,上網短短的二十幾分鐘,遇到了不下三十次的警告提示。例:運行著名的QQ珊瑚蟲版外掛,軟件會提示一個危險的進程試圖注入另外一個進程,如圖11。
圖11
對于"主動防御",特別是其中的"程序活動分析"是否啟用,筆者的建議是:你有一定的電腦基礎,又十分在意安全,那么不妨啟動它。如果你對于電腦不是太了解,不停的報警實在讓人不知如何是好,那么還是關閉這個功能好啦。
QUOTE:
總結:可以看到,卡巴斯基的設置是相當自由的,豐簡由人,你完全可以根據自己的情況作設置。只要大家進行適當的設置,可以說除非發現病毒,軟件的提示會變得非常之少,讓大家安心上網。
卡巴斯基提供了四重立體防御體系,現在幾乎所有類型的安全威脅,卡巴斯基都能進行有效防護:
1.文件保護,最為傳統的反病毒功能。
2.郵件保護,郵件病毒已經很普遍,它讓你遠離郵件病毒。
3.Web反病毒保護,網絡作為現今病毒的主要傳播源頭,該功能的加強非常有必要。
4.主動防御,卡巴斯基6的最大亮點,它會分析安裝在你計算機上應用程序的行為,監控系統注冊表的改變。這些組件使用啟發式分析,助你及時發現隱蔽威脅,以及各種類型的惡意程序。
當然,功能強勁的背后也是有代價的,筆者推薦卡巴斯基6給幾個朋友使用,他們不約而同的反應是:這個版本的卡巴斯基相當不好用,主要問題集中在如下幾點:
1.資源占用高,卡巴斯基真的讓系統變的超級"卡"。
2."病毒"提示太多,實在不勝其煩。
這是怎么回事呢?下面筆者略做解答:
1.資源占用高,軟件功能強勁的同時,帶來了資源占用的攀升。目前卡巴斯基自有的4種保護功能全開的情況下,資源占用是較高的。
2.提示超多,因為現在卡巴斯基提供了全方位的安全防護,也就是說,部分提示與病毒無關,只能作為殺毒參考,普通用戶完全不必理會。
看來,卡巴斯基6是一個需要精心設置的殺毒軟件,下面請大家跟筆者來仔細了解卡巴斯基6的優化設置吧。
卡巴斯基安裝成功后,會在系統任務欄區顯示軟件圖標,鼠標右鍵點擊圖標調用,如圖1。
圖1 選擇"打開 卡巴斯基防病毒軟件 6.0"進入軟件主界面,如圖2。
圖2
卡巴斯基的主界面比較簡單,它分為成左右兩個窗口,左邊窗口是導航欄,幫助您快速找到并運行程序模塊,執行掃描任務和獲取程序的相關支持;右邊窗口部分是通知面板界面,它顯示你在左邊窗口選擇組件的相關信息,您也可以通過這個窗口實現病毒掃描、隔離文件、備份文件、管理許可文件等操作。
注:程序中所有帶下劃線的文字均可點擊進入相關設置。
要高效的允許軟件,合理設置是必須的,點擊主窗口右上"設置"按鈕,進入軟件設置,下面我們所有的內容均圍繞"設置"展開。
卡巴斯基6對于"風險軟件"的定義又有了許多變化,分為三種,如圖3:
圖3
1.病毒,蠕蟲,木馬以及rootkits程序。
2.間諜軟件,廣告軟件以及撥號軟件。
3.潛在的危險軟件:遠程控制軟件,惡作劇程序。
可以看到,對"風險軟件"的廣泛定義,也意味著系統報警幾率的提升,除了第1類是必選之外,2、3類別是否啟用,就看大家如何取舍了。
例:筆者在網上下載了某個漢化版軟件,眾所周知,目前國內許多漢化軟件中都捆綁了 "流氓程序",現在它們在卡巴斯基的監控下變得無所遁形。這不,系統自動彈出警告提示:檢測到廣告程序,原來安裝程序中加載有某大名鼎鼎的國產流氓程序,如圖4。
圖4
如果你怕了這個東西了,恐怕這個漢化軟件你也不打算安裝了,直接點擊"刪除"了事。當然,你執意要安裝,請點擊"添加到信任區域"鏈接,系統會自動轉入"排除內容"對話框,點擊"確定"即可。
我們可以自行設置不必由軟件監控的項目,點擊圖3中的"信任區域"按鈕進入,如圖5。
圖5
對于我們來說,被系統定義為危險軟件的某些程序,可能不具有惡意功能,我們仍然打算使用它,這時不妨將這些文件添加進排除列表中。在對話框中可以看到目前所有的排除項目,你也可以添加自己定義排除規則。它可以是某個文件夾、文件,甚至是某個特定類型的風險軟件定義。
點擊"添加"按鈕進入"排除內容"對話框,大家可以看到規則描述中的文字都帶有下劃線,點擊進入自定義設置,如圖6。
圖6
步驟一:點擊"對象名:指定",創建排除文件,如圖7。
圖7
你可以指定文件名,文件夾名或關鍵字來設置排除保護,當然最簡單的還是點擊"瀏覽"按鈕,然后瀏覽選擇排除的文件夾、文件即可。不過你還可試試使用關鍵字的方法:
*.exe,排除所有*.exe的文件。
C:\dir\*.exe,排除在C:\dir\中所有擴展名為.exe的文件。
步驟二:點擊"判定類型:指定",創建判定類型,如圖8。
圖8
可以填寫的內容都是軟件內部定義的名稱,如:not-a-virus:AdWare.Win32.Dudu.c這樣的。當然如果你并不明白該如何填寫,下面規則適合大家。
not-a-virus*,從掃描中排除存在潛在危險的程序,比如玩笑程序。
*Riskware.*,從掃描中排除風險軟件。
*RemoteAdmin.*,從掃描中排除所有遠程控制程序。
卡巴斯基提供的四重防御體系中,文件保護、郵件保護、Web反病毒保護都是較傳統的反病毒手段,筆者這里就不做介紹了,大家根據自己的需要確定是否啟用,筆者重點講講"主動防御"的設置。
卡巴斯基的主動防御,簡單說就是讓電腦免受已知威脅和未知新威脅的感染,它主要由四個項目組成:程序活動分析、程序完整性保護、注冊表防護、Office防護,如圖9。
圖9
"主動防御"既然是防護未知病毒,那么誤報也自然難免。雖然程序并沒有將可疑程序定義為病毒,但不停的警告用戶有可疑程序,足以讓普通用戶暈菜,如圖10。"主動防御"中的"程序活動分析"是警告頻繁的根源。
圖10
筆者啟用"程序活動分析"后,上網短短的二十幾分鐘,遇到了不下三十次的警告提示。例:運行著名的QQ珊瑚蟲版外掛,軟件會提示一個危險的進程試圖注入另外一個進程,如圖11。
圖11
對于"主動防御",特別是其中的"程序活動分析"是否啟用,筆者的建議是:你有一定的電腦基礎,又十分在意安全,那么不妨啟動它。如果你對于電腦不是太了解,不停的報警實在讓人不知如何是好,那么還是關閉這個功能好啦。
QUOTE:
總結:可以看到,卡巴斯基的設置是相當自由的,豐簡由人,你完全可以根據自己的情況作設置。只要大家進行適當的設置,可以說除非發現病毒,軟件的提示會變得非常之少,讓大家安心上網。
黑客攻擊手段揭秘及預防措施全面分析
[ 2007-03-25 03:11:48 | 作者: sun ]
黑客一詞,源于英文Hacker,原指熱心于計算機技術,水平高超的電腦專家,尤其是程序設計人員。美國大片《黑(駭)客帝國》的熱映,使得黑客文化得到了廣泛的傳播,也許很多人會覺得黑客一詞是用來形容那些專門利用電腦搞破壞或惡作劇的家伙,而對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。不管是叫黑客還是駭客,他們根本的區別是:黑客們建設、維護,而駭客們入侵、破壞。
目前造成網絡不安全的主要因素是系統、協議及數據庫等的設計上存在缺陷。由于當今的計算機網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用時的方便性,導致了系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。
網絡互連一般采用TCP/IP協議,它是一個工業標準的協議簇,但該協議簇在制訂之初,對安全問題考慮不多,協議中有很多的安全漏洞。同樣,數據庫管理系統(DBMS)也存在數據的安全性、權限管理及遠程訪問等方面問題,在DBMS或應用程序中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。
由此可見,針對系統、網絡協議及數據庫等,無論是其自身的設計缺陷,還是由于人為的因素產生的各種安全漏洞,都可能被一些另有圖謀的黑客所利用并發起攻擊。因此若要保證網絡安全、可靠,則必須熟知黑客網絡攻擊的一般過程。只有這樣方可在黒客攻擊前做好必要的防備,從而確保網絡運行的安全和可靠。
一、黑客攻擊網絡的一般過程
1、信息的收集
信息的收集并不對目標產生危害,只是為進一步的入侵提供有用信息。黑客可能會利用下列的公開協議或工具,收集駐留在網絡系統中的各個主機系統的相關信息:
(1)TraceRoute程序 能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。
(2)SNMP協議 用來查閱網絡系統路由器的路由表,從而了解目標主機所在網絡的拓撲結構及其內部細節。
(3)DNS服務器 該服務器提供了系統中可以訪問的主機IP地址表和它們所對應的主機名。
(4)Whois協議 該協議的服務信息能提供所有有關的DNS域和相關的管理參數。
(5)Ping實用程序 可以用來確定一個指定的主機的位置或網線是否連通。
2、系統安全弱點的探測
在收集到一些準備要攻擊目標的信息后,黑客們會探測目標網絡上的每臺主機,來尋求系統內部的安全漏洞,主要探測的方式如下:
(1)自編程序 對某些系統,互聯網上已發布了其安全漏洞所在,但用戶由于不懂或一時疏忽未打上網上發布的該系統的“補丁”程序,那么黒客就可以自己編寫一段程序進入到該系統進行破壞。
(2)慢速掃描 由于一般掃描偵測器的實現是通過監視某個時間段里一臺特定主機發起的連接的數目來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。
(3)體系結構探測 黑客利用一些特殊的數據包傳送給目標主機,使其作出相對應的響應。由于每種操作系統的響應時間和方式都是不一樣的,黒客利用這種特征把得到的結果與準備好的數據庫中的資料相對照,從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息。
二、協議欺騙攻擊及其防范措施
1、源IP地址欺騙攻擊
許多應用程序認為若數據包可以使其自身沿著路由到達目的地,并且應答包也可回到源地,那么源IP地址一定是有效的,而這正是使源IP地址欺騙攻擊成為可能的一個重要前提。
假設同一網段內有兩臺主機A和B,另一網段內有主機X。B 授予A某些特權。X 為獲得與A相同的特權,所做欺騙攻擊如下:首先,X冒充A,向主機 B發送一個帶有隨機序列號的SYN包。主機B響應,回送一個應答包給A,該應答號等于原序列號加1。
然而,此時主機A已被主機X利用拒絕服務攻擊 “淹沒”了,導致主機A服務失效。結果,主機A將B發來的包丟棄。為了完成三次握手,X還需要向B回送一個應答包,其應答號等于B向A發送數據包的序列號加1。此時主機X 并不能檢測到主機B的數據包(因為不在同一網段),只有利用TCP順序號估算法來預測應答包的順序號并將其發送給目標機B。如果猜測正確,B則認為收到的ACK是來自內部主機A。此時,X即獲得了主機A在主機B上所享有的特權,并開始對這些服務實施攻擊。
要防止源IP地址欺騙行為,可以采取以下措施來盡可能地保護系統免受這類攻擊:
(1)拋棄基于地址的信任策略 阻止這類攻擊的一種十分容易的辦法就是放棄以地址為基礎的驗證。不允許r類遠程調用命令的使用;刪除.rhosts 文件;清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠程通信手段,如telnet、ssh、skey等等。
(2)使用加密方法 在包發送到 網絡上之前,我們可以對它進行加密。雖然加密過程要求適當改變目前的網絡環境,但它將保證數據的完整性、真實性和保密性。
(3)進行包過濾 可以配置路由器使其能夠拒絕網絡外部與本網內具有相同IP地址的連接請求。而且,當包的IP地址不在本網內時,路由器不應該把本網主機的包發送出去。有一點要注意,路由器雖然可以封鎖試圖到達內部網絡的特定類型的包。但它們也是通過分析測試源地址來實現操作的。因此,它們僅能對聲稱是來自于內部網絡的外來包進行過濾,若你的網絡存在外部可信任主機,那么路由器將無法防止別人冒充這些主機進行IP欺騙。
2、源路由欺騙攻擊
在通常情況下,信息包從起點到終點所走的路是由位于此兩點間的路由器決定的,數據包本身只知道去往何處,而不知道該如何去。源路由可使信息包的發送者將此數據包要經過的路徑寫在數據包里,使數據包循著一個對方不可預料的路徑到達目的主機。下面仍以上述源IP欺騙中的例子給出這種攻擊的形式:
主機A享有主機B的某些特權,主機X想冒充主機A從主機B(假設IP為aaa.bbb.ccc.ddd)獲得某些服務。首先,攻擊者修改距離X最近的路由器,使得到達此路由器且包含目的地址aaa.bbb.ccc.ddd的數據包以主機X所在的網絡為目的地;然后,攻擊者X利用IP欺騙向主機B發送源路由(指定最近的路由器)數據包。當B回送數據包時,就傳送到被更改過的路由器。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護數據。
為了防范源路由欺騙攻擊,一般采用下面兩種措施:
· 對付這種攻擊最好的辦法是配置好路由器,使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。
· 在路由器上關閉源路由。用命令no ip source-route。
三、拒絕服務攻擊及預防措施
在拒絕服務攻擊中,攻擊者加載過多的服務將對方資源全部使用,使得沒有多余資源供其他用戶無法使用。SYN Flood攻擊是典型的拒絕服務攻擊。
SYN Flood常常是源IP地址欺騙攻擊的前奏,又稱半開式連接攻擊,每當我們進行一次標準的TCP連接就會有一個三次握手的過程,而SYN Flood在它的實現過程中只有三次握手的前兩個步驟,當服務方收到請求方的SYN并回送SYN-ACK確認報文后,請求方由于采用源地址欺騙等手段,致使服務方得不到ACK回應,這樣,服務方會在一定時間內處于等待接收請求方ACK報文的狀態,一臺服務器可用的TCP連接是有限的,如果惡意攻擊方快速連續的發送此類連接請求,則服務器的系統可用資源、網絡可用帶寬急劇下降,將無法向其它用戶提供正常的網絡服務。
為了防止拒絕服務攻擊,我們可以采取以下的預防措施:
(1) 建議在該網段的路由器上做些配置的調整,這些調整包括限制Syn半開數據包的流量和個數。
(2)要防止SYN數據段攻擊,我們應對系統設定相應的內核參數,使得系統強制對超時的Syn請求連接數據包復位,同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。
(3)建議在路由器的前端做必要的TCP攔截,使得只有完成TCP三次握手過程的數據包才可進入該網段,這樣可以有效地保護本網段內的服務器不受此類攻擊。
(4)對于信息淹沒攻擊,我們應關掉可能產生無限序列的服務來防止這種攻擊。比如我們可以在服務器端拒絕所有的ICMP包,或者在該網段路由器上對ICMP包進行帶寬方面的限制,控制其在一定的范圍內。
總之,要徹底杜絕拒絕服務攻擊,最好的辦法是惟有追根溯源去找到正在進行攻擊的機器和攻擊者。 要追蹤攻擊者可不是一件容易的事情,一旦其停止了攻擊行為,很難將其發現。惟一可行的方法是在其進行攻擊的時候,根據路由器的信息和攻擊數據包的特征,采用逐級回溯的方法來查找其攻擊源頭。這時需要各級部門的協同配合方可有效果。
四、其他網絡攻擊行為的防范措施
協議攻擊和拒絕服務攻擊是黑客慣于使用的攻擊方法,但隨著網絡技術的飛速發展,攻擊行為千變萬化,新技術層出不窮。下面將闡述一下網絡嗅探及緩沖區溢出的攻擊原理及防范措施。
1、針對網絡嗅探的防范措施
網絡嗅探就是使網絡接口接收不屬于本主機的數據。計算機網絡通常建立在共享信道上,以太網就是這樣一個共享信道的網絡,其數據報頭包含目的主機的硬件地址,只有硬件地址匹配的機器才會接收該數據包。一個能接收所有數據包的機器被稱為雜錯節點。通常賬戶和口令等信息都以明文的形式在以太網上傳輸,一旦被黑客在雜錯節點上嗅探到,用戶就可能會遭到損害。
對于網絡嗅探攻擊,我們可以采取以下措施進行防范:
(1)網絡分段 一個網絡段包括一組共享低層設備和線路的機器,如交換機,動態集線器和網橋等設備,可以對數據流進行限制,從而達到防止嗅探的目的。
(2)加密 一方面可以對數據流中的部分重要信息進行加密,另一方面也可只對應用層加密,然而后者將使大部分與網絡和操作系統有關的敏感信息失去保護。選擇何種加密方式這就取決于信息的安全級別及網絡的安全程度。
(3)一次性口令技術 口令并不在網絡上傳輸而是在兩端進行字符串匹配,客戶端利用從服務器上得到的Challenge和自身的口令計算出一個新字符串并將之返回給服務器。在服務器上利用比較算法進行匹配,如果匹配,連接就允許建立,所有的Challenge和字符串都只使用一次。
(4)禁用雜錯節點 安裝不支持雜錯的網卡,通常可以防止IBM兼容機進行嗅探。
2、緩沖區溢出攻擊及其防范措施
緩沖區溢出攻擊是屬于系統攻擊的手段,通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其它指令,以達到攻擊的目的。當然,隨便往緩沖區中填東西并不能達到攻擊的目的。最常見的手段是通過制造緩沖區溢出使程序運行一個用戶shell,再通過shell執行其它命令。如果該程序具有root權限的話,攻擊者就可以對系統進行任意操作了。
緩沖區溢出對網絡系統帶來了巨大的危害,要有效地防止這種攻擊,應該做到以下幾點:
(1)程序指針完整性檢查 在程序指針被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程序的指針,由于系統事先檢測到了指針的改變,因此這個指針將不會被使用。
(2)堆棧的保護 這是一種提供程序指針完整性檢查的編譯器技術,通過檢查函數活動記錄中的返回地址來實現。在堆棧中函數返回地址后面加了一些附加的字節,而在函數返回時,首先檢查這個附加的字節是否被改動過。如果發生過緩沖區溢出的攻擊,那么這種攻擊很容易在函數返回前被檢測到。但是,如果攻擊者預見到這些附加字節的存在,并且能在溢出過程中同樣地制造他們,那么他就能成功地跳過堆棧保護的檢測。
(3)數組邊界檢查 所有的對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內進行。最直接的方法是檢查所有的數組操作,通常可以采用一些優化技術來減少檢查次數。目前主要有這幾種檢查方法:Compaq C編譯器、Jones & Kelly C數組邊界檢查、Purify存儲器存取檢查等。
未來的競爭是信息競爭,而網絡信息是競爭的重要組成部分。其實質是人與人的對抗,它具體體現在安全策略與攻擊策略的交鋒上。為了不斷增強信息系統的安全防御能力,必須充分理解系統內核及網絡協議的實現,真正做到洞察對方網絡系統的“細枝末節”,同時應該熟知針對各種攻擊手段的預防措施,只有這樣才能盡最大可能保證網絡的安全。
(4)利用公開的工具軟件 像審計網絡用的安全分析工具SATAN、Internet的電子安全掃描程序IIS等一些工具對整個網絡或子網進行掃描,尋找安全方面的漏洞。
3、建立模擬環境,進行模擬攻擊
根據前面兩小點所得的信息,建立一個類似攻擊對象的模擬環境,然后對此模擬目標進行一系列的攻擊。在此期間,通過檢查被攻擊方的日志,觀察檢測工具對攻擊的反應,可以進一步了解在攻擊過程中留下的“痕跡”及被攻擊方的狀態,以此來制定一個較為周密的攻擊策略。
4、具體實施網絡攻擊
入侵者根據前幾步所獲得的信息,同時結合自身的水平及經驗總結出相應的攻擊方法,在進行模擬攻擊的實踐后,將等待時機,以備實施真正的網絡攻擊。
·關于黑客
黑客(hacker),源于英語動詞hack,意為“劈,砍”,引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中,“黑客”則有“惡作劇”之意,尤指手法巧妙、技術高明的惡作劇。在日本《新黑客詞典》中,對黑客的定義是“喜歡探索軟件程序奧秘,并從中增長了其個瞬鷗傻娜恕?/P>
他們不象絕大多數電腦使用者那樣,只規規矩矩地了解別人指定了解的狹小部分知識。”由這些定義中,我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識,并有能力通過創新的方法剖析系統。“黑客”能使更多的網絡趨于完善和安全,他們以保護網絡為目的,而以不正當侵入為手段找出網絡漏洞。
另一種入侵者是那些利用網絡漏洞破壞網絡的人。他們往往做一些重復的工作(如用暴力法破解口令),他們也具備廣泛的電腦知識,但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當然還有一種人兼于黑客與入侵者之間。
一般認為,黑客起源于50年代麻省理工學院的實驗室中,他們精力充沛,熱衷于解決難題。60、70年代,“黑客”一詞極富褒義,用于指代那些獨立思考、奉公守法的計算機迷,他們智力超群,對電腦全身心投入,從事黑客活動意味著對計算機的最大潛力進行智力上的自由探索,為電腦技術的發展做出了巨大貢獻。正是這些黑客,倡導了一場個人計算機革命,倡導了現行的計算機開放式體系結構,打破了以往計算機技術只掌握在少數人手里的局面,開了個人計算機的先河,提出了“計算機為人民所用”的觀點,他們是電腦發展史上的英雄。現在黑客使用的侵入計算機系統的基本技巧,例如破解口令(password cracking),開天窗(trapdoor),走后門(backdoor),安放特洛伊木馬(Trojan horse)等,都是在這一時期發明的。從事黑客活動的經歷,成為后來許多計算機業巨子簡歷上不可或缺的一部分。例如,蘋果公司創始人之一喬布斯就是一個典型的例子。
在60年代,計算機的使用還遠未普及,還沒有多少存儲重要信息的數據庫,也談不上黑客對數據的非法拷貝等問題。到了80、90年代,計算機越來越重要,大型數據庫也越來越多,同時,信息越來越集中在少數人的手里。這樣一場新時期的“圈地運動”引起了黑客們的極大反感。黑客認為,信息應共享而不應被少數人所壟斷,于是將注意力轉移到涉及各種機密的信息數據庫上。而這時,電腦化空間已私有化,成為個人擁有的財產,社會不能再對黑客行為放任不管,而必須采取行動,利用法律等手段來進行控制。黑客活動受到了空前的打擊。
但是,政府和公司的管理者現在越來越多地要求黑客傳授給他們有關電腦安全的知識。許多公司和政府機構已經邀請黑客為他們檢驗系統的安全性,甚至還請他們設計新的保安規程。在兩名黑客連續發現網景公司設計的信用卡購物程序的缺陷并向商界發出公告之后,網景修正了缺陷并宣布舉辦名為“網景缺陷大獎賽”的競賽,那些發現和找到該公司產品中安全漏洞的黑客可獲1000美元獎金。無疑黑客正在對電腦防護技術的發展作出貢獻。
目前造成網絡不安全的主要因素是系統、協議及數據庫等的設計上存在缺陷。由于當今的計算機網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用時的方便性,導致了系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。
網絡互連一般采用TCP/IP協議,它是一個工業標準的協議簇,但該協議簇在制訂之初,對安全問題考慮不多,協議中有很多的安全漏洞。同樣,數據庫管理系統(DBMS)也存在數據的安全性、權限管理及遠程訪問等方面問題,在DBMS或應用程序中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。
由此可見,針對系統、網絡協議及數據庫等,無論是其自身的設計缺陷,還是由于人為的因素產生的各種安全漏洞,都可能被一些另有圖謀的黑客所利用并發起攻擊。因此若要保證網絡安全、可靠,則必須熟知黑客網絡攻擊的一般過程。只有這樣方可在黒客攻擊前做好必要的防備,從而確保網絡運行的安全和可靠。
一、黑客攻擊網絡的一般過程
1、信息的收集
信息的收集并不對目標產生危害,只是為進一步的入侵提供有用信息。黑客可能會利用下列的公開協議或工具,收集駐留在網絡系統中的各個主機系統的相關信息:
(1)TraceRoute程序 能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。
(2)SNMP協議 用來查閱網絡系統路由器的路由表,從而了解目標主機所在網絡的拓撲結構及其內部細節。
(3)DNS服務器 該服務器提供了系統中可以訪問的主機IP地址表和它們所對應的主機名。
(4)Whois協議 該協議的服務信息能提供所有有關的DNS域和相關的管理參數。
(5)Ping實用程序 可以用來確定一個指定的主機的位置或網線是否連通。
2、系統安全弱點的探測
在收集到一些準備要攻擊目標的信息后,黑客們會探測目標網絡上的每臺主機,來尋求系統內部的安全漏洞,主要探測的方式如下:
(1)自編程序 對某些系統,互聯網上已發布了其安全漏洞所在,但用戶由于不懂或一時疏忽未打上網上發布的該系統的“補丁”程序,那么黒客就可以自己編寫一段程序進入到該系統進行破壞。
(2)慢速掃描 由于一般掃描偵測器的實現是通過監視某個時間段里一臺特定主機發起的連接的數目來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。
(3)體系結構探測 黑客利用一些特殊的數據包傳送給目標主機,使其作出相對應的響應。由于每種操作系統的響應時間和方式都是不一樣的,黒客利用這種特征把得到的結果與準備好的數據庫中的資料相對照,從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息。
二、協議欺騙攻擊及其防范措施
1、源IP地址欺騙攻擊
許多應用程序認為若數據包可以使其自身沿著路由到達目的地,并且應答包也可回到源地,那么源IP地址一定是有效的,而這正是使源IP地址欺騙攻擊成為可能的一個重要前提。
假設同一網段內有兩臺主機A和B,另一網段內有主機X。B 授予A某些特權。X 為獲得與A相同的特權,所做欺騙攻擊如下:首先,X冒充A,向主機 B發送一個帶有隨機序列號的SYN包。主機B響應,回送一個應答包給A,該應答號等于原序列號加1。
然而,此時主機A已被主機X利用拒絕服務攻擊 “淹沒”了,導致主機A服務失效。結果,主機A將B發來的包丟棄。為了完成三次握手,X還需要向B回送一個應答包,其應答號等于B向A發送數據包的序列號加1。此時主機X 并不能檢測到主機B的數據包(因為不在同一網段),只有利用TCP順序號估算法來預測應答包的順序號并將其發送給目標機B。如果猜測正確,B則認為收到的ACK是來自內部主機A。此時,X即獲得了主機A在主機B上所享有的特權,并開始對這些服務實施攻擊。
要防止源IP地址欺騙行為,可以采取以下措施來盡可能地保護系統免受這類攻擊:
(1)拋棄基于地址的信任策略 阻止這類攻擊的一種十分容易的辦法就是放棄以地址為基礎的驗證。不允許r類遠程調用命令的使用;刪除.rhosts 文件;清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠程通信手段,如telnet、ssh、skey等等。
(2)使用加密方法 在包發送到 網絡上之前,我們可以對它進行加密。雖然加密過程要求適當改變目前的網絡環境,但它將保證數據的完整性、真實性和保密性。
(3)進行包過濾 可以配置路由器使其能夠拒絕網絡外部與本網內具有相同IP地址的連接請求。而且,當包的IP地址不在本網內時,路由器不應該把本網主機的包發送出去。有一點要注意,路由器雖然可以封鎖試圖到達內部網絡的特定類型的包。但它們也是通過分析測試源地址來實現操作的。因此,它們僅能對聲稱是來自于內部網絡的外來包進行過濾,若你的網絡存在外部可信任主機,那么路由器將無法防止別人冒充這些主機進行IP欺騙。
2、源路由欺騙攻擊
在通常情況下,信息包從起點到終點所走的路是由位于此兩點間的路由器決定的,數據包本身只知道去往何處,而不知道該如何去。源路由可使信息包的發送者將此數據包要經過的路徑寫在數據包里,使數據包循著一個對方不可預料的路徑到達目的主機。下面仍以上述源IP欺騙中的例子給出這種攻擊的形式:
主機A享有主機B的某些特權,主機X想冒充主機A從主機B(假設IP為aaa.bbb.ccc.ddd)獲得某些服務。首先,攻擊者修改距離X最近的路由器,使得到達此路由器且包含目的地址aaa.bbb.ccc.ddd的數據包以主機X所在的網絡為目的地;然后,攻擊者X利用IP欺騙向主機B發送源路由(指定最近的路由器)數據包。當B回送數據包時,就傳送到被更改過的路由器。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護數據。
為了防范源路由欺騙攻擊,一般采用下面兩種措施:
· 對付這種攻擊最好的辦法是配置好路由器,使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。
· 在路由器上關閉源路由。用命令no ip source-route。
三、拒絕服務攻擊及預防措施
在拒絕服務攻擊中,攻擊者加載過多的服務將對方資源全部使用,使得沒有多余資源供其他用戶無法使用。SYN Flood攻擊是典型的拒絕服務攻擊。
SYN Flood常常是源IP地址欺騙攻擊的前奏,又稱半開式連接攻擊,每當我們進行一次標準的TCP連接就會有一個三次握手的過程,而SYN Flood在它的實現過程中只有三次握手的前兩個步驟,當服務方收到請求方的SYN并回送SYN-ACK確認報文后,請求方由于采用源地址欺騙等手段,致使服務方得不到ACK回應,這樣,服務方會在一定時間內處于等待接收請求方ACK報文的狀態,一臺服務器可用的TCP連接是有限的,如果惡意攻擊方快速連續的發送此類連接請求,則服務器的系統可用資源、網絡可用帶寬急劇下降,將無法向其它用戶提供正常的網絡服務。
為了防止拒絕服務攻擊,我們可以采取以下的預防措施:
(1) 建議在該網段的路由器上做些配置的調整,這些調整包括限制Syn半開數據包的流量和個數。
(2)要防止SYN數據段攻擊,我們應對系統設定相應的內核參數,使得系統強制對超時的Syn請求連接數據包復位,同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。
(3)建議在路由器的前端做必要的TCP攔截,使得只有完成TCP三次握手過程的數據包才可進入該網段,這樣可以有效地保護本網段內的服務器不受此類攻擊。
(4)對于信息淹沒攻擊,我們應關掉可能產生無限序列的服務來防止這種攻擊。比如我們可以在服務器端拒絕所有的ICMP包,或者在該網段路由器上對ICMP包進行帶寬方面的限制,控制其在一定的范圍內。
總之,要徹底杜絕拒絕服務攻擊,最好的辦法是惟有追根溯源去找到正在進行攻擊的機器和攻擊者。 要追蹤攻擊者可不是一件容易的事情,一旦其停止了攻擊行為,很難將其發現。惟一可行的方法是在其進行攻擊的時候,根據路由器的信息和攻擊數據包的特征,采用逐級回溯的方法來查找其攻擊源頭。這時需要各級部門的協同配合方可有效果。
四、其他網絡攻擊行為的防范措施
協議攻擊和拒絕服務攻擊是黑客慣于使用的攻擊方法,但隨著網絡技術的飛速發展,攻擊行為千變萬化,新技術層出不窮。下面將闡述一下網絡嗅探及緩沖區溢出的攻擊原理及防范措施。
1、針對網絡嗅探的防范措施
網絡嗅探就是使網絡接口接收不屬于本主機的數據。計算機網絡通常建立在共享信道上,以太網就是這樣一個共享信道的網絡,其數據報頭包含目的主機的硬件地址,只有硬件地址匹配的機器才會接收該數據包。一個能接收所有數據包的機器被稱為雜錯節點。通常賬戶和口令等信息都以明文的形式在以太網上傳輸,一旦被黑客在雜錯節點上嗅探到,用戶就可能會遭到損害。
對于網絡嗅探攻擊,我們可以采取以下措施進行防范:
(1)網絡分段 一個網絡段包括一組共享低層設備和線路的機器,如交換機,動態集線器和網橋等設備,可以對數據流進行限制,從而達到防止嗅探的目的。
(2)加密 一方面可以對數據流中的部分重要信息進行加密,另一方面也可只對應用層加密,然而后者將使大部分與網絡和操作系統有關的敏感信息失去保護。選擇何種加密方式這就取決于信息的安全級別及網絡的安全程度。
(3)一次性口令技術 口令并不在網絡上傳輸而是在兩端進行字符串匹配,客戶端利用從服務器上得到的Challenge和自身的口令計算出一個新字符串并將之返回給服務器。在服務器上利用比較算法進行匹配,如果匹配,連接就允許建立,所有的Challenge和字符串都只使用一次。
(4)禁用雜錯節點 安裝不支持雜錯的網卡,通常可以防止IBM兼容機進行嗅探。
2、緩沖區溢出攻擊及其防范措施
緩沖區溢出攻擊是屬于系統攻擊的手段,通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其它指令,以達到攻擊的目的。當然,隨便往緩沖區中填東西并不能達到攻擊的目的。最常見的手段是通過制造緩沖區溢出使程序運行一個用戶shell,再通過shell執行其它命令。如果該程序具有root權限的話,攻擊者就可以對系統進行任意操作了。
緩沖區溢出對網絡系統帶來了巨大的危害,要有效地防止這種攻擊,應該做到以下幾點:
(1)程序指針完整性檢查 在程序指針被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程序的指針,由于系統事先檢測到了指針的改變,因此這個指針將不會被使用。
(2)堆棧的保護 這是一種提供程序指針完整性檢查的編譯器技術,通過檢查函數活動記錄中的返回地址來實現。在堆棧中函數返回地址后面加了一些附加的字節,而在函數返回時,首先檢查這個附加的字節是否被改動過。如果發生過緩沖區溢出的攻擊,那么這種攻擊很容易在函數返回前被檢測到。但是,如果攻擊者預見到這些附加字節的存在,并且能在溢出過程中同樣地制造他們,那么他就能成功地跳過堆棧保護的檢測。
(3)數組邊界檢查 所有的對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內進行。最直接的方法是檢查所有的數組操作,通常可以采用一些優化技術來減少檢查次數。目前主要有這幾種檢查方法:Compaq C編譯器、Jones & Kelly C數組邊界檢查、Purify存儲器存取檢查等。
未來的競爭是信息競爭,而網絡信息是競爭的重要組成部分。其實質是人與人的對抗,它具體體現在安全策略與攻擊策略的交鋒上。為了不斷增強信息系統的安全防御能力,必須充分理解系統內核及網絡協議的實現,真正做到洞察對方網絡系統的“細枝末節”,同時應該熟知針對各種攻擊手段的預防措施,只有這樣才能盡最大可能保證網絡的安全。
(4)利用公開的工具軟件 像審計網絡用的安全分析工具SATAN、Internet的電子安全掃描程序IIS等一些工具對整個網絡或子網進行掃描,尋找安全方面的漏洞。
3、建立模擬環境,進行模擬攻擊
根據前面兩小點所得的信息,建立一個類似攻擊對象的模擬環境,然后對此模擬目標進行一系列的攻擊。在此期間,通過檢查被攻擊方的日志,觀察檢測工具對攻擊的反應,可以進一步了解在攻擊過程中留下的“痕跡”及被攻擊方的狀態,以此來制定一個較為周密的攻擊策略。
4、具體實施網絡攻擊
入侵者根據前幾步所獲得的信息,同時結合自身的水平及經驗總結出相應的攻擊方法,在進行模擬攻擊的實踐后,將等待時機,以備實施真正的網絡攻擊。
·關于黑客
黑客(hacker),源于英語動詞hack,意為“劈,砍”,引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中,“黑客”則有“惡作劇”之意,尤指手法巧妙、技術高明的惡作劇。在日本《新黑客詞典》中,對黑客的定義是“喜歡探索軟件程序奧秘,并從中增長了其個瞬鷗傻娜恕?/P>
他們不象絕大多數電腦使用者那樣,只規規矩矩地了解別人指定了解的狹小部分知識。”由這些定義中,我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識,并有能力通過創新的方法剖析系統。“黑客”能使更多的網絡趨于完善和安全,他們以保護網絡為目的,而以不正當侵入為手段找出網絡漏洞。
另一種入侵者是那些利用網絡漏洞破壞網絡的人。他們往往做一些重復的工作(如用暴力法破解口令),他們也具備廣泛的電腦知識,但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當然還有一種人兼于黑客與入侵者之間。
一般認為,黑客起源于50年代麻省理工學院的實驗室中,他們精力充沛,熱衷于解決難題。60、70年代,“黑客”一詞極富褒義,用于指代那些獨立思考、奉公守法的計算機迷,他們智力超群,對電腦全身心投入,從事黑客活動意味著對計算機的最大潛力進行智力上的自由探索,為電腦技術的發展做出了巨大貢獻。正是這些黑客,倡導了一場個人計算機革命,倡導了現行的計算機開放式體系結構,打破了以往計算機技術只掌握在少數人手里的局面,開了個人計算機的先河,提出了“計算機為人民所用”的觀點,他們是電腦發展史上的英雄。現在黑客使用的侵入計算機系統的基本技巧,例如破解口令(password cracking),開天窗(trapdoor),走后門(backdoor),安放特洛伊木馬(Trojan horse)等,都是在這一時期發明的。從事黑客活動的經歷,成為后來許多計算機業巨子簡歷上不可或缺的一部分。例如,蘋果公司創始人之一喬布斯就是一個典型的例子。
在60年代,計算機的使用還遠未普及,還沒有多少存儲重要信息的數據庫,也談不上黑客對數據的非法拷貝等問題。到了80、90年代,計算機越來越重要,大型數據庫也越來越多,同時,信息越來越集中在少數人的手里。這樣一場新時期的“圈地運動”引起了黑客們的極大反感。黑客認為,信息應共享而不應被少數人所壟斷,于是將注意力轉移到涉及各種機密的信息數據庫上。而這時,電腦化空間已私有化,成為個人擁有的財產,社會不能再對黑客行為放任不管,而必須采取行動,利用法律等手段來進行控制。黑客活動受到了空前的打擊。
但是,政府和公司的管理者現在越來越多地要求黑客傳授給他們有關電腦安全的知識。許多公司和政府機構已經邀請黑客為他們檢驗系統的安全性,甚至還請他們設計新的保安規程。在兩名黑客連續發現網景公司設計的信用卡購物程序的缺陷并向商界發出公告之后,網景修正了缺陷并宣布舉辦名為“網景缺陷大獎賽”的競賽,那些發現和找到該公司產品中安全漏洞的黑客可獲1000美元獎金。無疑黑客正在對電腦防護技術的發展作出貢獻。
