識別文本文件型郵件附件的欺騙方法
[ 2007-03-25 03:10:40 | 作者: sun ]
在眾多媒體的宣傳報道下,今天的我們都知道了不能輕易打開電子郵件里的可執行文件類的附件,但是顯然那些破壞活動的制造者們也看了那些警告防范的文章,他們開始玩一些新的把戲,讓您以為那些附件只不過是沒有危險的文本文件或是圖像文件等就是其手段之一。由于目前大多數人使用的是windows系列操作系統,windows的默認設置是隱藏已知文件擴展名的,而當你去點擊那個看上去很友善的文件,那些破壞性的東西就跳出來了。您可能說這我早就知道了,那么下面講述的.txt文件的新欺騙方法及原理您知道嗎?
假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關聯的意思。但是存成文件名的時候它并不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內容如下:
您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,并且自動在后臺開始格式化d盤,同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會以html文件的形式運行,這是它能運行起來的先決條件。
文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者,在其中可以加載帶有破壞性質的命令。那么第2行又是干什么的呢?您可能已經注意到了第2行里的“WSCript”,對!就是它導演了全幕,它是實際行動總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器,位于c:\WINDOWS下,正是它使得腳本可以被執行,就象執行批處理一樣。在Windows Scripting Host腳本環境里,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。
下面我們通過一個小例子來說明Windows Scripting Host功能是如何的強大,使用又是怎樣的簡單,被有心人利用后的威脅有多大。例如有內容如下的*.vbs文件:
Set so=CreateObject("Scripting.FileSystemObject")
so.GetFile(c:\windows\winipcfg.exe).Copy("e:\winipcfg.exe")
就是這么兩行就可以拷貝文件到指定地點。第一行是創建一個文件系統對象,第二行前面是打開這個腳本文件,c:\windows\winipcfg.exe指明是這個程序本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件復制到e盤根目錄下。這也是大多數利用VBscript編寫的病毒的一個特點。從這里可以看出,禁止了FileSystemObject這個對象就可以很有效的控制這種病毒的傳播。用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。
欺騙識別及防范方法:這種帶有欺騙性質的.txt文件顯示出來的并不是文本文件的圖標,它顯示的是未定義文件類型的標志,這是區分它與正常.txt文件的最好方法。識別的另一個辦法是在“按WEB頁方式”查看時在“我的電腦”左面會顯示出其文件名全稱,此時可以看到它不是真正的txt文件。問題是很多初學者經驗不夠,老手也可能因為沒留意而打開它,在這里再次提醒您,注意您收到的郵件中附件的文件名,不僅要看顯示出來的擴展名,還要注意其實際顯示的圖標是什么。對于附件中別人發來的看起來是.txt的文件,可以將它下載后用鼠標右鍵選擇“用記事本打開”,這樣看會很安全。
好了,現在您知道.txt文件也不能輕易打開了吧?您知道了?那我寫這篇文章的目的就達到了!
挑戰黑客入侵 安全虛擬主機配置
[ 2007-03-25 03:10:25 | 作者: sun ]
注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見。跨站攻擊,遠程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置,干脆就將所有的網站都放在同一個目錄中,然后將上級目錄設置為站點根目錄。有些呢,則將所有的站點的目錄都設置為可執行、可寫入、可修改。有些則為了方便,在服務器上掛起了QQ,也裝上了BT。更有甚者,竟然把Internet來賓帳號加入到Administrators組中!汗……!普通的用戶將自己的密碼設置為生日之類的6位純數字,這種情況還可以原諒,畢竟他們大部分都不是專門搞網絡研究的,中國國民的安全意識提高還需要一段時間嘛,但如果是網絡管理員也這樣,那就怎么也有點讓人想不通了。網絡安全問題日益突出,最近不又有人聲稱“萬網:我進來玩過兩次了!”。這么有名氣的網絡服務商,也難免一逃啊!網站注入漏洞是最近還頻頻在報刊雜志上曝光的高校入侵……一句話,目前很大部分的網站安全狀況讓人擔憂!
這里就我個人過去的經歷和大家一同來探討有關安全虛擬主機配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例,跟大家共同探討虛擬主機配置問題。
一、建立Windows用戶
為每個網站單獨設置windows用戶帳號cert,刪除帳號的User組,將cert加入Guest用戶組。將用戶不能更改密碼,密碼永不過期兩個選項選上。
二、設置文件夾權限
1、設置非站點相關目錄權限
Windows安裝好后,很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務器安全帶來極大的隱患。這里就我個人的一些經驗提一些在入侵中較常用的目錄。
C:\;D:\;……
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「開始」菜單\程序\
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\
以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶的查看、修改和執行等權限。由于篇幅關系,這里僅簡單提及。
2、設置站點相關目錄權限:
A、設置站點根目錄權限:將剛剛建立的用戶cert給對應站點文件夾,假設為D:\cert設置相應的權限:Adiministrators組為完全控制;cert有讀取及運行、列出文件夾目錄、讀取,取消其它所有權限。
B、設置可更新文件權限:經過第1步站點根目錄文件夾權限的設置后,Guest用戶已經沒有修改站點文件夾中任何內容的權限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權限設置。當然這個可能對虛擬主機提供商來說有些不方便。客戶的站點的需更新的文件內容之類的可能都不一樣。這時,可以規定某個文件夾可寫、可改。如有些虛擬主機提供商就規定,站點根目錄中uploads為web可上傳文件夾,data或者database為數據庫文件夾。這樣虛擬主機服務商就可以為客戶定制這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣,給客戶做一個程序,讓客戶自己設定。可能要做到這樣,服務商又得花不小的錢財和人力哦。
三、配置IIS
基本的配置應該大家都會,這里就提幾個特殊之處或需要注意的地方。
1、主目錄權限設置:這里可以設置讀取就行了。寫入、目錄瀏覽等都可以不要,最關鍵的就是目錄瀏覽了。除非特殊情況,否則應該關閉,不然將會暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認就可以了。
2、應用程序配置:在站點屬性中,主目錄這一項中還有一個配置選項,點擊進入。在應用程序映射選項中可以看到,默認有許多應用程序映射。將需要的保留,不需要的全部都刪除。在入侵過程中,很多程序可能限制了asp,php等文件上傳,但并不對cer,asa等文件進行限制,如果未將對應的應用程序映射刪除,則可以將asp的后綴名改為cer或者asa后進行上傳,木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個應用程序擴展名映射,可執行文件可以任意選擇,后綴名為.mdb。這是為了防止后綴名為mdb的用戶數據庫被下載。
3、目錄安全性設置:在站點屬性中選擇目錄安全性,點擊匿名訪問和驗證控制,選擇允許匿名訪問,點擊編輯。如下圖所示。刪除默認用戶,瀏覽選擇對應于前面為cert網站設定的用戶,并輸入密碼。可以選中允許IIS控制密碼。這樣設定的目的是為了防止一些像站長助手、海洋等木馬的跨目錄跨站點瀏覽,可以有效阻止這類的跨目錄跨站入侵。
4、可寫目錄執行權限設置:關閉所有可寫目錄的執行權限。由于程序方面的漏洞,目前非常流行上傳一些網頁木馬,絕大部分都是用web進行上傳的。由于不可寫的目錄木馬不能進行上傳,如果關閉了可寫目錄的執行權限,那么上傳的木馬將不能正常運行。可以有效防止這類形式web入侵。
5、處理運行錯誤:這里有兩種方法,一是關閉錯誤回顯。IIS屬性――主目錄――配置――應用程序調試――腳本錯誤消息,選擇發送文本錯誤信息給客戶。二是定制錯誤頁面。在IIS屬性――自定義錯誤信息,在http錯誤信息中雙擊需要定制的錯誤頁面,將彈出錯誤映射屬性設置框。消息類型有默認值、URL和文件三種,可以根據情況自行定制。這樣一方面可以隱藏一些錯誤信息,另外一方面也可以使錯誤顯示更加友好。
四、配置FTP
Ftp是絕大部分虛擬主機提供商必備的一項服務。用戶的站內文件大部分都是使用ftp進行上傳的。目前使用的最多的ftp服務器非Serv-U莫屬了。這里有幾點需要說明一下。
1、管理員密碼必須更改
如果入侵愛好者們肯定對Serv-U提權再熟悉莫過了。這些提權工具使用的就是Serv-U默認的管理員的帳號和密碼運行的。因為Serv-U管理員是以超級管理員的身份運行的。如果沒有更改管理員密碼,這些工具使用起來就再好用不過了。如果更改了密碼,那這些工具要想正常運行,那就沒那么簡單嘍。得先破解管理員密碼才行。
2、更改安裝目錄權限
Serv-U的默認安裝目錄都是everyone可以瀏覽甚至可以修改的。安裝的時候如果選擇將用戶信息存儲在ini文件中,則可以在ServUDaemon.ini得到用戶的所有信息。如果Guests有修改權限,那么黑客就可以順利建立具有超級權限的用戶。這可不是一件好事。所以在安裝好Serv-U之后,得修改相應的文件夾權限,可以取消Guests用戶的相應權限。
五、命令行相關操作處理
1、禁止guests用戶執行com.exe:
我們可以通過以下命令取消guests執行com.exe的權限cacls C:\WINNT\system32\Cmd.exe /e /d guests。
2、禁用Wscript.Shell組件:
Wscript.Shell可以調用系統內核運行DOS基本命令。可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名為其它的名字。將兩項clsid的值也改一下HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\項目的值和HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\項目的值,也可以將其刪除。
3、禁用Shell.Application組件
Shell.Application也可以調用系統內核運行DOS基本命令。可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。Shell.Application.1\ 改名為其它的名字。將HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值更改或刪除。同時,禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令:
cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject組件
FileSystemObject可以對文件進行常規操作可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。對應注冊表項為HKEY_CLASSES_ROOT\scripting.FileSystemObject\。可以禁止guests用戶使用或直接將其刪除。考慮到很多的上傳都會使用到這個組件,為了方便,這里不建議更改或刪除。
5、禁止telnet登陸
在C:\WINNT\system32目錄下有個login.cmd文件,將其用記事本打開,在文件末尾另取一行,加入exit保存。這樣用戶在登陸telnet時,便會立即自動退出。
注:以上修改注冊表操作均需要重新啟動WEB服務后才會生效。
六、端口設置
端口窗體底端就是門,這個比喻非常形象。如果我們服務器的所有端口都開放的話,那就意味著黑客有好多門可以進行入侵。所以我個人覺得,關閉未使用的端口是一件重要的事情。在控制面板――網絡與撥號連接――本地連接――屬性――Internet協議(TCP/IP)屬性,點擊高級,進入高級TCP/IP設置,選擇選項,在可選的設置中選擇TCP/IP篩選,啟用TCP/IP篩選。添加需要的端口,如21、80等,關閉其余的所有未使用的端口。
七、關閉文件共享
系統默認是啟用了文件共享功能的。我們應給予取消。在控制面板――網絡和撥號連接――本地連接――屬性,在常規選項種,取消Microsoft 網絡文件和打印共享。服務最少原則是保障安全的一項重要原則。非必要的服務應該給予關閉。系統服務可以在控制面板――管理工具――服務中進行設定。
八、關閉非必要服務
類似telnet服務、遠程注冊表操作等服務應給予禁用。同時盡可能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題。有些網管在服務器上安裝QQ,利用服務器掛QQ,這種做法是極度錯誤的。
九、關注安全動態及時更新漏洞補丁
更新漏洞補丁對于一個網絡管理員來說是非常重要的。更新補丁,可以進一步保證系統的安全。
HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\
DOS下清除熊貓的簡單方法
[ 2007-03-25 03:10:10 | 作者: sun ]
昨晚電腦不幸中了毒,癥狀為每個盤都有個熊貓圖標的setup.exe和autorun.inf文件,
c:\windows\system32\drivers里面有個spoclsv.exe文件。用刪掉了過兩三秒又自動生成。用
ctrl+alt+del鍵打開資源管理器,剛打開就被關掉了,然后發現防火墻被關了,卡巴也打不開,想裝木馬清道夫也是剛啟動就自動關閉了。上網查了下,這是個蠕蟲病毒,會盜取帳號什么的。
據金山毒霸反病毒專家介紹,“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。 據金山毒霸反病毒專家介紹,“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
等一下在后面貼出來,這里只是介紹我的dos操作的簡單快速清除的方法:(爽,dos原來這么有用的。)
一、再任一個盤中,建立一個bat文件,內容如下:(我的電腦有6個盤c,d,e,f,g,h.故要刪除這六個盤的病毒文件。這個開你電腦的情況)
attrib -h -s -r d:\autorun.inf
attrib -h -s -r d:\setup.exe
del d:\autorun.inf
del d:\setup.exe
md d:\setup.exe
attrib -h -s -r c:\autorun.inf
attrib -h -s -r c:\setup.exe
del c:\autorun.inf
del c:\setup.exe
md c:\setup.exe
attrib -h -s -r e:\autorun.inf
attrib -h -s -r e:\setup.exe
del e:\autorun.inf
del e:\setup.exe
md e:\setup.exe
attrib -h -s -r f:\autorun.inf
attrib -h -s -r f:\setup.exe
del f:\autorun.inf
del f:\setup.exe
md f:\setup.exe
attrib -h -s -r g:\autorun.inf
attrib -h -s -r g:\setup.exe
del g:\autorun.inf
del g:\setup.exe
md g:\setup.exe
attrib -h -s -r h:\autorun.inf
attrib -h -s -r h:\setup.exe
del h:\autorun.inf
del h:\setup.exe
md h:\setup.exe
del c:\windows\system32\drivers\spoclsv.exe
運行dat文件后setup.exe,autorun.inf成功刪掉。
但c:\windows\system32\drivers下 的spoclsv.exe刪不掉,估計是在運行當中,但直接在資源管理器關閉又行不通,管理器打不開阿。所以進行下一步,在dos下關閉再刪除,下面是操作過程。絲毫沒改動過的。二、開始-〉運行->cmd->確定,打開cmd
c:\documents and settings\administrator>d:
d:\>attrib -h -r -s autorun.inf
d:\>del autorun.inf
找不到 d:\autorun.inf
d:\>dir
d:\>attrib -h -r autorun.inf
未重設系統文件 - d:\autorun.inf
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc
d:\>attirb -h -r -s autorun.inf
d:\>tasklist /svc /////用來查看系統打開進程。顯示圖像名 和 pid服務號,但copy不出來,sorry了。
d:\ntsd -c q -p 133440 ////////133440為病毒程序spoclsv.exe的pid號。用來關掉該病毒進程。
由于我對命令記得不太清楚了才進行了這么多操作,其實只要這幾步就行了:
c:\documents and settings\administrator
c:\documents and settings\administrator cd d:\ //////////進入d盤殺安全點。
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc /////用來查看系統打開進程。顯示 圖像名 和 pid服務號,但copy不出來,sorry了。
d:\ntsd -c q -p 133440 ////////133440為病毒程序spoclsv.exe的pid號。用來關掉該病毒進程。
三、成功關閉spoclsv.exe,打開c:\windows\system32\drivers,刪掉spoclsv.exe。呵呵,大功告成!這是你可以隨便打開殺毒軟件清除殘余的注冊表信息了。殺完毒后就可以吧各個盤上由于運行上面建立的bat文件生成的setup。exe文件夾刪掉了。
c:\windows\system32\drivers里面有個spoclsv.exe文件。用刪掉了過兩三秒又自動生成。用
ctrl+alt+del鍵打開資源管理器,剛打開就被關掉了,然后發現防火墻被關了,卡巴也打不開,想裝木馬清道夫也是剛啟動就自動關閉了。上網查了下,這是個蠕蟲病毒,會盜取帳號什么的。
據金山毒霸反病毒專家介紹,“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。 據金山毒霸反病毒專家介紹,“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
等一下在后面貼出來,這里只是介紹我的dos操作的簡單快速清除的方法:(爽,dos原來這么有用的。)
一、再任一個盤中,建立一個bat文件,內容如下:(我的電腦有6個盤c,d,e,f,g,h.故要刪除這六個盤的病毒文件。這個開你電腦的情況)
attrib -h -s -r d:\autorun.inf
attrib -h -s -r d:\setup.exe
del d:\autorun.inf
del d:\setup.exe
md d:\setup.exe
attrib -h -s -r c:\autorun.inf
attrib -h -s -r c:\setup.exe
del c:\autorun.inf
del c:\setup.exe
md c:\setup.exe
attrib -h -s -r e:\autorun.inf
attrib -h -s -r e:\setup.exe
del e:\autorun.inf
del e:\setup.exe
md e:\setup.exe
attrib -h -s -r f:\autorun.inf
attrib -h -s -r f:\setup.exe
del f:\autorun.inf
del f:\setup.exe
md f:\setup.exe
attrib -h -s -r g:\autorun.inf
attrib -h -s -r g:\setup.exe
del g:\autorun.inf
del g:\setup.exe
md g:\setup.exe
attrib -h -s -r h:\autorun.inf
attrib -h -s -r h:\setup.exe
del h:\autorun.inf
del h:\setup.exe
md h:\setup.exe
del c:\windows\system32\drivers\spoclsv.exe
運行dat文件后setup.exe,autorun.inf成功刪掉。
但c:\windows\system32\drivers下 的spoclsv.exe刪不掉,估計是在運行當中,但直接在資源管理器關閉又行不通,管理器打不開阿。所以進行下一步,在dos下關閉再刪除,下面是操作過程。絲毫沒改動過的。二、開始-〉運行->cmd->確定,打開cmd
c:\documents and settings\administrator>d:
d:\>attrib -h -r -s autorun.inf
d:\>del autorun.inf
找不到 d:\autorun.inf
d:\>dir
d:\>attrib -h -r autorun.inf
未重設系統文件 - d:\autorun.inf
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc
d:\>attirb -h -r -s autorun.inf
d:\>tasklist /svc /////用來查看系統打開進程。顯示圖像名 和 pid服務號,但copy不出來,sorry了。
d:\ntsd -c q -p 133440 ////////133440為病毒程序spoclsv.exe的pid號。用來關掉該病毒進程。
由于我對命令記得不太清楚了才進行了這么多操作,其實只要這幾步就行了:
c:\documents and settings\administrator
c:\documents and settings\administrator cd d:\ //////////進入d盤殺安全點。
d:\>attrib -h -r -s autorun.inf
d:\>tasklist /svc /////用來查看系統打開進程。顯示 圖像名 和 pid服務號,但copy不出來,sorry了。
d:\ntsd -c q -p 133440 ////////133440為病毒程序spoclsv.exe的pid號。用來關掉該病毒進程。
三、成功關閉spoclsv.exe,打開c:\windows\system32\drivers,刪掉spoclsv.exe。呵呵,大功告成!這是你可以隨便打開殺毒軟件清除殘余的注冊表信息了。殺完毒后就可以吧各個盤上由于運行上面建立的bat文件生成的setup。exe文件夾刪掉了。
怎樣查找打開的端口和如何關閉端口
[ 2007-03-25 03:09:58 | 作者: sun ]
計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口。其中硬件領域的端口又稱接口,如:USB端口、串行端口等。軟件領域的端口是一種抽象的軟件結構,包括一些數據結構和I/O(基本輸入輸出)緩沖區。
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在
怎樣查找打開的端口和如何關閉端口
[ 2007-03-25 03:09:45 | 作者: sun ]
計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口。其中硬件領域的端口又稱接口,如:USB端口、串行端口等。軟件領域的端口是一種抽象的軟件結構,包括一些數據結構和I/O(基本輸入輸出)緩沖區。
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在出現的設置窗口中也可以根據實現情況設置端口的打開和關閉,默認是未啟用TCP/IP篩選。
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在出現的設置窗口中也可以根據實現情況設置端口的打開和關閉,默認是未啟用TCP/IP篩選。
安全基礎之代理服務器知識菜鳥普及篇
[ 2007-03-25 03:09:32 | 作者: sun ]
作為網絡管理員的你如何有效的管理網絡呢?雖然很多網管工具可以幫助你,但是最有效的還是建立一個代理服務器來過濾非法信息,因此作為網絡管理員的我們需要對代理服務器的相關知識有所了解。
今天主要為各位讀者介紹什么時候用到代理,代理服務分哪幾種。
一、什么時候用到代理
顧名思義代理就是幫助你上網的某種服務,作為網絡管理員來說代理有什么用呢?我們公司有好幾個機房,原來使用操作系統的共享連接來接入網絡,實際中發現很多上網的用戶經常運行非法程序,病毒和黑客工具無孔不入,更有甚者在上班時間玩網絡游戲。
如何禁止這些行為呢?代理服務器可以提供幫助,我在公司網絡出口那臺服務器安裝了ISA2000后啟用了他的代理功能,這樣機房中的計算機就只能通過IE瀏覽器訪問網頁信息了,游戲和聊天工具都無法正常使用了。因此代理服務器在實際工作中應用還是非常廣泛的,他可以幫助我們這些管理員有效的管理網絡資源。
小提示:代理服務器的工作機制很象我們生活中常常提及的代理商,假設你自己的機器為A機,你想獲得的數據由服務器B提供,代理服務器為C。那實際工作中A機需要B機的數據,A直接與C機建立連接,C機接收到A機的數據請求后,與B機建立連接,下載A機所請求的B機上的數據到本地,再將此數據發送至A機,從而完成代理任務。
二、代理的種類
代理的種類非常多,也有很多種劃分方法。我們對此一一講解。
1、透明代理和傳統代理:
按照代理的設置方式劃分可以分為透明代理和傳統代理。
(1)透明代理(Transparent proxy)實質上屬于DNAT的一種,也就是類似于在NAT中的宣告主機。它主要指內網主機需要訪問外網主機時,不需要做任何設置,完全意識不到防火墻的存在,而完成內外網的通信。但其基本原理是防火墻代替內部網絡主機完成與外網主機通信,然后把結果傳回給內網主機,在這個過程中,無論內網主機還是外網主機都意識不到它們其實是在和防火墻通信。而從外網只能看到防火墻,這就隱藏了內網網絡,提高了安全性。
(2)傳統代理的工作原理與透明代理相似,所不同的是它需要在客戶端設置代理服務器。我們經常在IE瀏覽器中設置代理服務器使用的就是傳統代理。
可能有的讀者還有疑惑,那么筆者教大家一個好記憶的方法。那就是如果你在本機設置了代理那么使用的就是傳統代理,如果本地計算機沒有設置,而所有設置工作都在路由器或服務器上執行的話,你采用的代理方式就是透明代理。
2、HTTP代理,FTP代理,SOCKS代理:
代理服務器有很多種,有的只提供某些服務。例如HTTP代理只提供HTTP的代理服務,使用HTTP代理的用戶只能通過代理訪問網站和頁面,不能訪問FTP站點。按照提供服務的不同代理分為HTTP代理、FTP代理、SOCKS代理等。
(1)HTTP代理:能夠代理客戶機的HTTP訪問,主要是代理瀏覽器訪問網頁,它的端口一般為80、8080、3128等。
(2)FTP代理:能夠代理客戶機上的FTP軟件訪問FTP服務器,它的端口一般為21、2121。
(3)RTSP代理:代理客戶機上的Realplayer訪問Real流媒體服務器的代理,其端口一般為554。
(4)POP3代理:代理客戶機上的郵件軟件用POP3方式收發郵件,端口一般為110。
(5)SSL代理:支持最高128位加密強度的http代理,可以作為訪問加密網站的代理。加密網站是指以https://開始的網站。ssl的標準端口為443。
(6)Telnet代理:能夠代理通信機的telnet,用于遠程控制,入侵時經常使用。其端口一般為23。
(7)SOCKS代理:SOCKS代理與其他類型的代理不同,它只是簡單地傳遞數據包,而并不關心是何種應用協議,既可以是HTTP請求也可以是FTP等其他請求,所以SOCKS代理服務器比其他類型的代理服務器速度要快得多。其標準端口為1080。
小提示:SOCKS代理又分為SOCKS4和SOCKS5,二者不同的是SOCKS4代理只支持TCP協議,而SOCKS5代理支持TCP協議的同時也支持UDP協議,還支持各種身份驗證機制、服務器端域名解析等。SOCK4能做到的SOCKS5都可得到,但SOCKS5能夠做到的SOCKS則不一定能做到,比如我們常用的聊天工具QQ在使用代理時就要求用SOCKS5代理,因為它需要使用UDP協議來傳輸數據。
3、匿名代理:
如果從隱藏使用代理用戶的級別上劃分,代理可以分為三種,即高度匿名代理、普通匿名代理和透明代理。
(1)高度匿名代理不改變客戶機的請求,這樣在服務器看來就像有個真正的客戶瀏覽器在訪問它,這時客戶的真實IP是隱藏的,服務器端不會認為我們使用了代理。
(2)普通匿名代理能隱藏客戶機的真實IP,但會改變我們的請求信息,服務器端有可能會認為我們使用了代理。不過使用此種代理時,雖然被訪問的網站不能知道你的ip地址,但仍然可以知道你在使用代理,當然某些能夠偵測ip的網頁仍然可以查到你的ip。
(3)透明代理,它不但改變了我們的請求信息,還會傳送真實的IP地址。
三者隱藏使用代理者身份的級別依次為高度匿名代理最隱蔽,其次是普通匿名代理,最差的是透明代理。
小提示:這里所說的透明代理是根據匿名的情況來命名的,而上面所到的透明代理是根據啟用代理方式區分的。兩者是有區別的,不能混為一潭。
總結:在實際工作中建立代理服務器時一定要先想想自己所要建立代理的種類。不同的代理類型適用于不同的情況,不能同一論。
如何利用交換機處理蠕蟲病毒的入侵?
[ 2007-03-25 03:09:19 | 作者: sun ]
互聯網蠕蟲的泛濫在最近幾年造成了巨大的損失,讓很多服務運營商和企業網絡的管理員甚為頭疼的不僅是其不斷的發展變種,而且發作造成的損害也越來越嚴重。盡管蠕蟲本身通常并不破壞任何的數據,但它所帶來的直接和間接的破壞使得網絡和系統擁塞。受感染的端系統的計算資源會受到嚴重影響,而病毒的傳播則消耗大量的鏈路帶寬,更可怕的是網絡基礎設備受到影響而造成網絡的不穩定甚至癱瘓。以SQL Slammer為例,發生感染傳播高峰時造成的平均包丟失率為20%,網絡的不穩定引起了銀行ATM自動提款機不能工作,航空公司的售票系統癱瘓,僅僅兩天的時間,就有30萬臺主機感染了SQL Slammer,造成的損失達數十億美元。
今天的企業越來越多地把關鍵業務應用、語音、視頻等新型應用融合到IP網絡上,一個安全、可靠的網絡是企業業務成功的關鍵。而企業網絡的內部和外部的界限越來越模糊,用戶的移動性越來越強,過去我們認為是安全的內部局域網已經潛伏著威脅。我們很難保證病毒不會被帶入我們的企業網絡,而局域網的廣泛分布和高速連接,也使其很可能成為蠕蟲快速泛濫的溫床。如何應對現在新的網絡安全環境呢?如何在我們的局域網上防范蠕蟲,及時地發現、跟蹤和阻止其泛濫,是每個網絡管理人員所思考的問題。
也許這是一個非常大的命題,事實上也確實需要一個系統的、協同的安全策略才能實現。從網絡到主機,從核心層到分布層、接入層,我們要采取全面的企業安全策略來保護整個網絡和其所連接的系統,另外即使當蠕蟲發生時我們要有措施將其影響盡量緩解,并保護我們的網絡基礎設施,保證網絡的穩定運行。
本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。
首先我們要了解蠕蟲的異常行為,并有手段來盡早發現其異常行為。發現可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。
但是我們知道,接入交換機遍布于每個配線間,為企業的桌面系統提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監控是不實際的。
怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst交換機所集成的安全特性和Netflow,就可以做到!
發現可疑流量。 我們利用Cisco Netflow所采集和輸出的網絡流量的統計信息,可以發現單個主機發出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發或網絡濫用的跡象。因為蠕蟲的特性就是在發作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統IDS的一個重要區別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發現可疑流量,而且不受“0日”的局限。如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。
了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發起大量的(例如1000個)活動的流就是非正常的了。
追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環境中,用戶可以在整個園區網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。
搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數據包做深層分析,我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。
有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!
檢測可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流經網絡的流量信息。這些信息采集和統計都通過硬件ASCI完成,所以對系統性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資。
追蹤可疑源頭。 Catalyst 集成的安全特性提供了基于身份的網絡服務(IBNS),以及DHCP監聽、源IP防護、和動態ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就沒有意義了。 用戶一旦登錄網絡,就可獲得這些信息。結合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當發現可疑流量時,就能以email的方式,把相關信息發送給網絡管理員。
在通知email里,報告了有不正常網絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(這個時間是腳本所定義的)發出的flow和packet數量。
掌握了這些信息后,網管員就可以馬上采取以下行動了:
通過遠程SPAN捕獲可疑流量。Catalyst交換機上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上,例如將接入層交換機上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網絡分析或入侵檢測設備(例如Cat6500集成的網絡分析模塊NAM或IDS模塊),作進一步的分析和做出相應的動作。
整個過程需要多長時間呢?對于一個有經驗的網管員來說,在蠕蟲發生的5分鐘內就能完成,而且他不需要離開他的座位!
我們可以看到,這個解決方案結合了Catalyst上集成的多種安全特性功能,從擴展的802.1x,到DHCP 監聽、動態ARP檢測、源IP防護和Netflow。這些安全特性的綜合使用,為我們提供了一個在企業局域網上有效防范蠕蟲攻擊的解決方案,這個方案不需更多額外投資,因為利用的是集成在Catalyst 上的IOS中的功能特性,也帶給我們一個思考:如何利用網絡來保護網絡?這些我們在選擇交換機時可能忽略的特性,會帶給我們意想不到的行之有效的安全解決方案!
今天的企業越來越多地把關鍵業務應用、語音、視頻等新型應用融合到IP網絡上,一個安全、可靠的網絡是企業業務成功的關鍵。而企業網絡的內部和外部的界限越來越模糊,用戶的移動性越來越強,過去我們認為是安全的內部局域網已經潛伏著威脅。我們很難保證病毒不會被帶入我們的企業網絡,而局域網的廣泛分布和高速連接,也使其很可能成為蠕蟲快速泛濫的溫床。如何應對現在新的網絡安全環境呢?如何在我們的局域網上防范蠕蟲,及時地發現、跟蹤和阻止其泛濫,是每個網絡管理人員所思考的問題。
也許這是一個非常大的命題,事實上也確實需要一個系統的、協同的安全策略才能實現。從網絡到主機,從核心層到分布層、接入層,我們要采取全面的企業安全策略來保護整個網絡和其所連接的系統,另外即使當蠕蟲發生時我們要有措施將其影響盡量緩解,并保護我們的網絡基礎設施,保證網絡的穩定運行。
本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。
首先我們要了解蠕蟲的異常行為,并有手段來盡早發現其異常行為。發現可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。
但是我們知道,接入交換機遍布于每個配線間,為企業的桌面系統提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監控是不實際的。
怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst交換機所集成的安全特性和Netflow,就可以做到!
發現可疑流量。 我們利用Cisco Netflow所采集和輸出的網絡流量的統計信息,可以發現單個主機發出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發或網絡濫用的跡象。因為蠕蟲的特性就是在發作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統IDS的一個重要區別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發現可疑流量,而且不受“0日”的局限。如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。
了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發起大量的(例如1000個)活動的流就是非正常的了。
追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環境中,用戶可以在整個園區網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。
搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數據包做深層分析,我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。
有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!
檢測可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流經網絡的流量信息。這些信息采集和統計都通過硬件ASCI完成,所以對系統性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資。
追蹤可疑源頭。 Catalyst 集成的安全特性提供了基于身份的網絡服務(IBNS),以及DHCP監聽、源IP防護、和動態ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就沒有意義了。 用戶一旦登錄網絡,就可獲得這些信息。結合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當發現可疑流量時,就能以email的方式,把相關信息發送給網絡管理員。
在通知email里,報告了有不正常網絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(這個時間是腳本所定義的)發出的flow和packet數量。
掌握了這些信息后,網管員就可以馬上采取以下行動了:
通過遠程SPAN捕獲可疑流量。Catalyst交換機上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上,例如將接入層交換機上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網絡分析或入侵檢測設備(例如Cat6500集成的網絡分析模塊NAM或IDS模塊),作進一步的分析和做出相應的動作。
整個過程需要多長時間呢?對于一個有經驗的網管員來說,在蠕蟲發生的5分鐘內就能完成,而且他不需要離開他的座位!
我們可以看到,這個解決方案結合了Catalyst上集成的多種安全特性功能,從擴展的802.1x,到DHCP 監聽、動態ARP檢測、源IP防護和Netflow。這些安全特性的綜合使用,為我們提供了一個在企業局域網上有效防范蠕蟲攻擊的解決方案,這個方案不需更多額外投資,因為利用的是集成在Catalyst 上的IOS中的功能特性,也帶給我們一個思考:如何利用網絡來保護網絡?這些我們在選擇交換機時可能忽略的特性,會帶給我們意想不到的行之有效的安全解決方案!
BT下載的捆馬者都去死
[ 2007-03-25 03:09:04 | 作者: sun ]
現在的時代,捆馬成風,什么東西里都捆馬。五花八門的方式都出來了,就連一個游戲也要捆馬。我在BT之家看到場了一個搶灘登陸2006 就他的介紹看來是不錯的。捆馬的人自己敢聲稱:經KV2005把關無毒,說明他對自己的免殺的功力是很有自信的。下面,就讓我們來一步步的揭開他的騙局。
下載得到搶灘登陸2006.exe的確KV2005下提示無毒,用瑞星金山全部提示無毒,用PEID檢查為看上去沒有問題,但是一個安裝包怎么可能是Microsoft Visual C++ 6.0?一個安裝包竟然要用vmprotect處理?這是為什么?要免殺嗎?這就更加懷疑了。
下面開始和捆馬者正面較量!
我開始把他想簡單了,以為可以直接用安裝包解開工具直接處理,沒想到的是我的所有安裝包解開工具都提示無法解開,原因我想應該是vmprotect改變了文件的一些結構,從而無法識別。好的,我們來簡單的。直接運行安裝包,不過要先記得拔掉網線。
這里提供一個好工具icesword 1.18 利用icesword 1.18的線程監控功能,我們可以輕易的發現馬的一切動作。
我們運行他,什么也不要再點,直接來看,2006.exe就是安裝包主文件,仔細看好了,2006.exe啟動了一個2.tmp和3.tmp,然后就創建了awaress.cn文件。進而,awaress.cn創建了iexplorer.exe這個東西看起來象個網站,其實就是鴿子的主體文件,下面我們把他檢測一下。通過virustotal檢測我們可以看到,這個家伙用了nspack pe_patch兩個加殼工具不過ewido/卡巴還是能查殺他。
木馬已經進入了系統,下面我們把他抓出來,看看服務: 瞧,和他的主文件名一樣,這個文件就是他釋放出的馬了。結合icesword可以看見紅色的iexplorer.exe,即為木馬的進程。木馬已經抓出來了,下面就是對他處理處理。可以抓到后臺的捆馬的人,找出他的IP。然后嘛,拿出我們的強力攻擊工具搞死他。哈哈 我個人習慣把文件改成DLL,這樣一來可以防止誤運行,又可以被PE工具檢測。我們可以看到,是nspcak的加殼,可以進一步確認為NsPacK V3.7 -> LiuXingPing *的。
為了能夠反向抓出捆馬的人,我們首先來脫殼。用Ollydbg加再使用ESP定理,在0012ffc0上下memory access端點,我們回來到這里難道脫殼沒有成功?不,這個捆馬著加了兩次NSPACK,同樣的方法,我們解決問題,回來到這里。這里是捆馬的家伙自己寫的花指令,一路跟蹤下去。我們最終會到達以下地方。從這里開始,所有的殼已經被解開開,作者還寫好了Ultra String Reference,項目 864。
Address=004A2ED7 Disassembly=push Awarenes.004A2FD6 Text String=雨花石專版服務端安裝成功!
哈哈,名字就在這里,我們等會再去看看,先解決反向連接的IP,我們來到這里:
堆棧 ss:[0012FF70]=00E63874 edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107 A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41 243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7 D2230BA5DE94B7D6FB) 堆棧 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn") edx=00000000 堆棧 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb") edx=00000000 堆棧 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn") edx=00000000 堆棧 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn") edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn") 堆棧 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn") edx=00000000 Awareness 管理卷影復制服務拍攝的軟件卷影復制。
由以上幾個方面的內容,很簡單的就獲得的全部的配置:
C:\>ping flkano.noip.cn Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data: Reply from 202.110.91.221: bytes=32 time=78ms TTL=112
捆馬的人正在線呢。
我們要搞死他可以使用DDOS工具攻擊他的*80斷口,他的很快就會不上線了。
好了。我們還有一件事情沒有做完。起先的那個游戲是個捆綁的版本,我們還要分離出無馬的純凈版本。既然他是個捆綁機釋放出的兩個文件:2.tmp和3.tmp,其中2.tmp就是游戲的真正的安裝文件,我們把他復制出來。再用icesword看看,我命名為了2.exe瞧,沒有再產生新文件了吧,說明這個就是真正的游戲。這就是用PEID再次掃描的結果,確實是個安裝包了。說明解包成功,我們獲得了真正的純凈的安裝包。
接下來,我們來學習學習他的免殺的方法。鴿子的主文件叫awareness.cn,這個名字具有相當大的隱蔽性,容易被當成一個合法的網站空間。使用了兩次的NsPacK V3.7 -> LiuXingPing *加殼,并且用了自己編寫的花指令,成功的實現了大范圍內的免殺。我們再來看看原始的帶馬的安裝包,是一個捆綁機,使用了VMProtect加密入口處代碼,并且將VMProtect自動產生的vmp0,vmp1兩個區段修改成了rsrc1,vmp1一避人耳目。然后,再次使用花指令,這個花指令是VC++6。0的入口處代碼。
在帶馬的安裝包啟動時,自動釋放出鴿子并且改名成3.tmp在臨時目錄運行,再釋放出真正的安裝包為2.tmp在臨時目錄運行,只要我們復制出2.tmp并且改名為2.exe就能夠得當純凈版本的游戲其中2.exe就是純凈版本的游戲,awareness.exe就是馬,我們的工作順利完成了。
總結一下,利用icesword我們能夠輕易的發現問題,讓這里的捆綁馬的人顯出原形。
如果你有什么文件值得懷疑,那么可以在icesword的監控中運行,然后就能夠輕易的發現是不是存在問題,這種方法比filemon/regmon聯合監控的效果還要好,強烈推薦!
對付這些惡意的捆馬者,我們要能輕松的識破他們的詭計,如果你想反向攻擊攻擊惡意的捆馬者,可以使用些掃描工具或者溢出工具攻擊攻擊。如果實在沒有辦法可以使用SYN攻擊工具直接攻擊他的鴿子上線端口,這樣絕對能讓鴿子上線失效,當然,你要去免費域名商去把他的免費域名報告要求封閉也可以,具體的就大家自己干吧。
最后希望大家逃離掛馬捆馬的苦海,同時也希望那些以掛馬捆馬為榮耀的人停手吧,這樣做對你們的技術提高有什么好處?
下載得到搶灘登陸2006.exe的確KV2005下提示無毒,用瑞星金山全部提示無毒,用PEID檢查為看上去沒有問題,但是一個安裝包怎么可能是Microsoft Visual C++ 6.0?一個安裝包竟然要用vmprotect處理?這是為什么?要免殺嗎?這就更加懷疑了。
下面開始和捆馬者正面較量!
我開始把他想簡單了,以為可以直接用安裝包解開工具直接處理,沒想到的是我的所有安裝包解開工具都提示無法解開,原因我想應該是vmprotect改變了文件的一些結構,從而無法識別。好的,我們來簡單的。直接運行安裝包,不過要先記得拔掉網線。
這里提供一個好工具icesword 1.18 利用icesword 1.18的線程監控功能,我們可以輕易的發現馬的一切動作。
我們運行他,什么也不要再點,直接來看,2006.exe就是安裝包主文件,仔細看好了,2006.exe啟動了一個2.tmp和3.tmp,然后就創建了awaress.cn文件。進而,awaress.cn創建了iexplorer.exe這個東西看起來象個網站,其實就是鴿子的主體文件,下面我們把他檢測一下。通過virustotal檢測我們可以看到,這個家伙用了nspack pe_patch兩個加殼工具不過ewido/卡巴還是能查殺他。
木馬已經進入了系統,下面我們把他抓出來,看看服務: 瞧,和他的主文件名一樣,這個文件就是他釋放出的馬了。結合icesword可以看見紅色的iexplorer.exe,即為木馬的進程。木馬已經抓出來了,下面就是對他處理處理。可以抓到后臺的捆馬的人,找出他的IP。然后嘛,拿出我們的強力攻擊工具搞死他。哈哈 我個人習慣把文件改成DLL,這樣一來可以防止誤運行,又可以被PE工具檢測。我們可以看到,是nspcak的加殼,可以進一步確認為NsPacK V3.7 -> LiuXingPing *的。
為了能夠反向抓出捆馬的人,我們首先來脫殼。用Ollydbg加再使用ESP定理,在0012ffc0上下memory access端點,我們回來到這里難道脫殼沒有成功?不,這個捆馬著加了兩次NSPACK,同樣的方法,我們解決問題,回來到這里。這里是捆馬的家伙自己寫的花指令,一路跟蹤下去。我們最終會到達以下地方。從這里開始,所有的殼已經被解開開,作者還寫好了Ultra String Reference,項目 864。
Address=004A2ED7 Disassembly=push Awarenes.004A2FD6 Text String=雨花石專版服務端安裝成功!
哈哈,名字就在這里,我們等會再去看看,先解決反向連接的IP,我們來到這里:
堆棧 ss:[0012FF70]=00E63874 edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107 A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41 243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7 D2230BA5DE94B7D6FB) 堆棧 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn") edx=00000000 堆棧 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb") edx=00000000 堆棧 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn") edx=00000000 堆棧 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn") edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn") 堆棧 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn") edx=00000000 Awareness 管理卷影復制服務拍攝的軟件卷影復制。
由以上幾個方面的內容,很簡單的就獲得的全部的配置:
C:\>ping flkano.noip.cn Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data: Reply from 202.110.91.221: bytes=32 time=78ms TTL=112
捆馬的人正在線呢。
我們要搞死他可以使用DDOS工具攻擊他的*80斷口,他的很快就會不上線了。
好了。我們還有一件事情沒有做完。起先的那個游戲是個捆綁的版本,我們還要分離出無馬的純凈版本。既然他是個捆綁機釋放出的兩個文件:2.tmp和3.tmp,其中2.tmp就是游戲的真正的安裝文件,我們把他復制出來。再用icesword看看,我命名為了2.exe瞧,沒有再產生新文件了吧,說明這個就是真正的游戲。這就是用PEID再次掃描的結果,確實是個安裝包了。說明解包成功,我們獲得了真正的純凈的安裝包。
接下來,我們來學習學習他的免殺的方法。鴿子的主文件叫awareness.cn,這個名字具有相當大的隱蔽性,容易被當成一個合法的網站空間。使用了兩次的NsPacK V3.7 -> LiuXingPing *加殼,并且用了自己編寫的花指令,成功的實現了大范圍內的免殺。我們再來看看原始的帶馬的安裝包,是一個捆綁機,使用了VMProtect加密入口處代碼,并且將VMProtect自動產生的vmp0,vmp1兩個區段修改成了rsrc1,vmp1一避人耳目。然后,再次使用花指令,這個花指令是VC++6。0的入口處代碼。
在帶馬的安裝包啟動時,自動釋放出鴿子并且改名成3.tmp在臨時目錄運行,再釋放出真正的安裝包為2.tmp在臨時目錄運行,只要我們復制出2.tmp并且改名為2.exe就能夠得當純凈版本的游戲其中2.exe就是純凈版本的游戲,awareness.exe就是馬,我們的工作順利完成了。
總結一下,利用icesword我們能夠輕易的發現問題,讓這里的捆綁馬的人顯出原形。
如果你有什么文件值得懷疑,那么可以在icesword的監控中運行,然后就能夠輕易的發現是不是存在問題,這種方法比filemon/regmon聯合監控的效果還要好,強烈推薦!
對付這些惡意的捆馬者,我們要能輕松的識破他們的詭計,如果你想反向攻擊攻擊惡意的捆馬者,可以使用些掃描工具或者溢出工具攻擊攻擊。如果實在沒有辦法可以使用SYN攻擊工具直接攻擊他的鴿子上線端口,這樣絕對能讓鴿子上線失效,當然,你要去免費域名商去把他的免費域名報告要求封閉也可以,具體的就大家自己干吧。
最后希望大家逃離掛馬捆馬的苦海,同時也希望那些以掛馬捆馬為榮耀的人停手吧,這樣做對你們的技術提高有什么好處?
系統泄露密碼入侵分析
[ 2007-03-25 03:08:50 | 作者: sun ]
WINDOWS訪問139端口時自動用當前用戶、密碼連接,造成泄露用戶密碼,雖然其密碼是加密的,但一樣可以用來攻擊。
下面是SMB的密碼認證方式。WINDOWS的139口的訪問過程,箭頭表示數據方向:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
認證方式就是用戶級認證還是共享級認證和密碼加密不,key是服務器隨機生成的8個字節,WIN2000已經支持16個字節的 key。
4.客戶端--------------用戶名、加密后密碼----------------->服務端
WIN9X、WINNT、WIN2000這有個漏洞,不經過提示等就把當前用戶名,密碼加密后發過去了,導致密碼泄漏。這兒加密是DES的變形,lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY,key是作為DES變形的待加密數據。
5.客戶端<---------------認證成功否-----------------------服務端
WINDOWS客戶端第4步有漏洞,顯然服務端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定,因為這是服務方提供的,usname、pass是客戶端當前訪問者用戶名和密碼。這兒的加密變換不可逆,但已經可以用暴力法破解了,也已經有了這樣的程序。其實我們有時并不一定要得到密碼明文的,只要能提供連接需要的就可以了。我們來看得到lockedpass有什么用,我們反過去訪問看看,telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供,那么我們考慮用同樣加密算法傳密碼密文的服務呢?比如就是NETBIOS共享服務。前面是服務端得到東西,那現在就是站在客戶端了,再看前面那過程,顯然其實我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是現在的服務端提供的。看看我們有 usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定,大家一看顯然只要key=key2那么就需要的我們都有了是不是?所以我們要使得key=key2.
好我們再仔細看看連接過程,別人連接兩步1、2:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
下面就該
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務回去。顯然這而需要連接回去的11,22,33共3步(為了區分連接回去的步子用重號表示)才能得到key2,顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務然后等這用戶來訪問,這可能有時間超時等處理,或者等到任意IP連接NETBIOS服務后馬上連回去,反正怎么處理方便、滿足需要就怎么處理。
下面顯然就是設置 key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由處理了,要不返回密碼錯誤,后面就是44、55……
總的來就是1,2,11,22,33,3,4,5,44,55……顯然你就是以那機器訪問你的用戶的身份去訪問他的NETBIOS服務了,能干什么那就看那用戶的權限了。
注意有興趣的可以把SAMB包的客戶端程序修改加上一點服務的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當前用戶名、加密密碼漏洞。還有這需要別人來訪問你的機器,這好辦,郵件或者主頁等里面來個
IMGsrc”="http://www.520hack.com/" ...
就可以了。
我實驗了去掉機器139口服務(要不有139口要影響后面端口重定向),用端口重定向程序把來向139口定向回去,找另一個WINNT機器用http://www.520hack.com/訪問那重定向139口的機器,結果是沒有密碼提示就看到WINNT機器本身了。其實這時重定向端口程序那臺機器已經用WINNT機器的當前用戶訪問WINNT了,只是由于沒有客戶端的處理界面不能操作。
下面是SMB的密碼認證方式。WINDOWS的139口的訪問過程,箭頭表示數據方向:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
認證方式就是用戶級認證還是共享級認證和密碼加密不,key是服務器隨機生成的8個字節,WIN2000已經支持16個字節的 key。
4.客戶端--------------用戶名、加密后密碼----------------->服務端
WIN9X、WINNT、WIN2000這有個漏洞,不經過提示等就把當前用戶名,密碼加密后發過去了,導致密碼泄漏。這兒加密是DES的變形,lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY,key是作為DES變形的待加密數據。
5.客戶端<---------------認證成功否-----------------------服務端
WINDOWS客戶端第4步有漏洞,顯然服務端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定,因為這是服務方提供的,usname、pass是客戶端當前訪問者用戶名和密碼。這兒的加密變換不可逆,但已經可以用暴力法破解了,也已經有了這樣的程序。其實我們有時并不一定要得到密碼明文的,只要能提供連接需要的就可以了。我們來看得到lockedpass有什么用,我們反過去訪問看看,telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供,那么我們考慮用同樣加密算法傳密碼密文的服務呢?比如就是NETBIOS共享服務。前面是服務端得到東西,那現在就是站在客戶端了,再看前面那過程,顯然其實我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是現在的服務端提供的。看看我們有 usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定,大家一看顯然只要key=key2那么就需要的我們都有了是不是?所以我們要使得key=key2.
好我們再仔細看看連接過程,別人連接兩步1、2:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
下面就該
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務回去。顯然這而需要連接回去的11,22,33共3步(為了區分連接回去的步子用重號表示)才能得到key2,顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務然后等這用戶來訪問,這可能有時間超時等處理,或者等到任意IP連接NETBIOS服務后馬上連回去,反正怎么處理方便、滿足需要就怎么處理。
下面顯然就是設置 key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由處理了,要不返回密碼錯誤,后面就是44、55……
總的來就是1,2,11,22,33,3,4,5,44,55……顯然你就是以那機器訪問你的用戶的身份去訪問他的NETBIOS服務了,能干什么那就看那用戶的權限了。
注意有興趣的可以把SAMB包的客戶端程序修改加上一點服務的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當前用戶名、加密密碼漏洞。還有這需要別人來訪問你的機器,這好辦,郵件或者主頁等里面來個
IMGsrc”="http://www.520hack.com/" ...
就可以了。
我實驗了去掉機器139口服務(要不有139口要影響后面端口重定向),用端口重定向程序把來向139口定向回去,找另一個WINNT機器用http://www.520hack.com/訪問那重定向139口的機器,結果是沒有密碼提示就看到WINNT機器本身了。其實這時重定向端口程序那臺機器已經用WINNT機器的當前用戶訪問WINNT了,只是由于沒有客戶端的處理界面不能操作。
清除無法顯示隱藏文件的病毒
[ 2007-03-25 03:08:30 | 作者: sun ]
選擇“顯示隱藏文件”這一選項后,發現U盤有個文件閃出來一下就馬上又消失了,而再打開文件夾選項時,發現仍就是“不顯示隱藏文件”這一選項。而且剛發現點擊C、D等盤符圖標時會另外打開一個窗口!
總結:
I、病情描述:
1、無法顯示隱藏文件;
2、點擊C、D等盤符圖標時會另外打開一個窗口;
3、用winrar查看時發現C、D等根目錄下有autorun.inf和tel.xls.exe兩個惡心的文件;
4、任務管理器中的應用進程一欄里有個莫明其妙的kill;
5、開機啟動項中有莫明其妙的SocksA.exe。
II、解決辦法:
用了一些專殺工具和DOS下的批處理文件,都不好使,只好DIY。注意在以下整個過程中不要雙擊硬盤分區,需要打開時用鼠標右鍵—>打開。
一、關閉病毒進程
在任務管理器應用程序里面查找類似kill等你不認識的進程,右鍵—>轉到進程,找到類似SVOHOST.exe(也可能就是某個svchost.exe)的進程,右鍵—>結束進程樹。
二、顯示出被隱藏的系統文件
開始—>運行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL
刪除CheckedValue鍵值,單擊右鍵 新建—>Dword值—>命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
三、刪除病毒
在分區盤上單擊鼠標右鍵—>打開,看到每個盤跟目錄下有autorun.inf 和tel\.xls\.exe 兩個文件,將其刪除,U盤同樣。
四、刪除病毒的自動運行項
開始—>運行—>msconfig—>啟動—>刪除類似sacksa.exe、SocksA.exe之類項,或者打開注冊表運行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除類似C:\WINDOWS\system32\SVOHOST.exe 的項。
五、刪除遺留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目錄下刪除SVOHOST.exe(注意系統有一個類似文件,圖標怪異的那個類似excel的圖標的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel類似圖標的文件,每個文件夾兩個,不要誤刪哦,自己注意。重啟電腦后,基本可以了。
總結:
I、病情描述:
1、無法顯示隱藏文件;
2、點擊C、D等盤符圖標時會另外打開一個窗口;
3、用winrar查看時發現C、D等根目錄下有autorun.inf和tel.xls.exe兩個惡心的文件;
4、任務管理器中的應用進程一欄里有個莫明其妙的kill;
5、開機啟動項中有莫明其妙的SocksA.exe。
II、解決辦法:
用了一些專殺工具和DOS下的批處理文件,都不好使,只好DIY。注意在以下整個過程中不要雙擊硬盤分區,需要打開時用鼠標右鍵—>打開。
一、關閉病毒進程
在任務管理器應用程序里面查找類似kill等你不認識的進程,右鍵—>轉到進程,找到類似SVOHOST.exe(也可能就是某個svchost.exe)的進程,右鍵—>結束進程樹。
二、顯示出被隱藏的系統文件
開始—>運行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL
刪除CheckedValue鍵值,單擊右鍵 新建—>Dword值—>命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
三、刪除病毒
在分區盤上單擊鼠標右鍵—>打開,看到每個盤跟目錄下有autorun.inf 和tel\.xls\.exe 兩個文件,將其刪除,U盤同樣。
四、刪除病毒的自動運行項
開始—>運行—>msconfig—>啟動—>刪除類似sacksa.exe、SocksA.exe之類項,或者打開注冊表運行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除類似C:\WINDOWS\system32\SVOHOST.exe 的項。
五、刪除遺留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目錄下刪除SVOHOST.exe(注意系統有一個類似文件,圖標怪異的那個類似excel的圖標的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel類似圖標的文件,每個文件夾兩個,不要誤刪哦,自己注意。重啟電腦后,基本可以了。
