通過HttpModule實現數據庫防注入
[ 2007-03-25 02:58:07 | 作者: sun ]
通過相應的關鍵字去識別是否有 Sql注入攻擊代碼
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.
而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種
我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環節都載入這個類去做處理, 那太麻煩了.
如果寫一個ISAPI當然也能完成這個功能的實現, 但在.NET 中 HttpModule幫我們實現了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.
我們現在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.
REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")
If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
End If
再來看看我在百度上找的sql防攻擊代碼
// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;
namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數據</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數據庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.
而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種
我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環節都載入這個類去做處理, 那太麻煩了.
如果寫一個ISAPI當然也能完成這個功能的實現, 但在.NET 中 HttpModule幫我們實現了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.
我們現在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.
REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")
If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
End If
再來看看我在百度上找的sql防攻擊代碼
// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;
namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數據</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數據庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />
巧妙的搭建一個Windows下的蜜罐系統
[ 2007-03-25 02:57:52 | 作者: sun ]
搭建一個基于*nix系統的蜜罐網絡相對說來需要比較多系統維護和網絡安全知識的基礎,但是做一個windows系統的蜜罐(下面簡稱winpot)的門檻就比較低,而且大部分朋友都會M$的select & click :),今天我們就一起嘗試搭建一個windows下的蜜罐系統
由于win和*nix系統不一樣,我們很難使用有效的工具來完整的追蹤入侵者的行為,因為win下有各式各樣的遠程管理軟件(VNC,remote-anything),而對于這些軟件,大部分殺毒軟件是不查殺他們的,而我們也沒有象LIDS那樣強大的工具來控制Administrator的權限,相對而言,winpot的風險稍微大了點,而且需要花更加多的時間和精力去看管他,沒辦法,門檻低了,風險當然就會相對高了。
OK,開始
先介紹一下我們需要的軟件
vpc Virtual pc,他是一個虛擬操作系統的軟件,當然你也可以選擇vmware.
ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器
evtsys_exe.zip 一個把系統日志發送到log服務器的程序
comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程序,不會在進程列表中顯示,因為入侵者運行的的確是cmd.exe :)
Kiwi_Syslog_Daemon_7 一個很專業的日志服務器軟件
norton antivirus enterprise client 我最喜歡的殺毒軟件,支持win2k server。當然,如果你覺得其他的更加適合你,你有權選擇
ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下一個很出名的sniffer,當然,如果你已經在你的honeynet中布置好了
sniffer,這個大可不必了,但是本文主要還是針對Dvldr 蠕蟲的,而且ethereal的decode功能很強,用他來獲取irc MSG很不錯的
WinPcap_3_0_beta.exe ethereal需要他的支持。
md5sum.exe windows下用來進行md5sum校驗的工具
綠色警戒防火墻 對入侵者做限制
windows 2000 professional的ISO鏡象 用vpc虛擬操作系統的時候需要用到他
除了windows 2000 professional的ISO鏡象,本文涉及的所有程序都可以在鄭州大學網絡安全園下載的到
http://www.520hack.com
Dvldr蠕蟲簡介
他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解隨機生成的ip的機器,如果成功,則感染機器,并植入VNC修改版
本,并向一個irc列表匯報已經感染主機的信息,同時繼續向其他機器感染。可以訪問鄭州大學網絡安全園或者關于他更詳細的信息。
一:使用VPC安裝一個win2k pro,具體的安裝方法本文就省略了,打上所有的補丁,只留一個漏洞,就是dvldr蠕蟲需要的administrator的空
密碼。
二:安裝norton antivirus enterprise client,升級到最新的病毒庫,并啟動實時監控
三:用cmdlog替換cmd.exe程序,把comlog101.zip解壓縮后有五個文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和
readme.txt都是說明文件,md5.txt包含這五個文件的md5校驗和的值,我們可以使用md5sum.exe工具來檢測一下他們是否遭受修改
D:comlog101>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe
484c4708c17b5a120cb08e40498fea5f *com101.pl
001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt
121bf60bc53999c90c6405440567064b *md5.txt
eb574b236133e60c989c6f472f07827b *md5sum.exe
42605ecfa6fe0f446c915a41396a7266 *README.TXT
把這些數字和md5.txt的數字對比,如果出現不一致,就證明程序遭受修改,請勿使用并通知我
在校驗無誤之后,我們開始覆蓋系統的cmd.exe。先打開資源管理器-->工具-->文件夾選項-->查看,把"隱藏受保護的操作系統文件"的鉤去掉,
并選擇"顯示所有文件和文件夾"-->確定
然后去到C:WINNTsystem32dllcache目錄,并找到cmd.exe,并把他改名成cm_.exe,再把comlog101下的cmd.exe和com101.pl復制到這里,并把C
:WINNTsystem32下的cmd.exe也改成cm_.exe,同樣把comlog101目錄下的cmd.exe和com101.pl復制到這里。在這段時間,系統會提醒你系統
文件遭到修改,問你是否修復,選擇取消就可以了。然后在C:WINNTHelp目錄下建一個叫"Tutor"的目錄,這里是用來放cmd.exe的命令記錄的地方,當然你同樣可以修改com101.pl來選擇日志的存放位置。
現在我們運行cmd.exe,你會發現窗口一閃而過,這是因為我們還沒裝perl解析器。運行ActivePerl-5.8.0.805-MSWin32-x86.msi,一路next就OK了。
現在我們運行cmd.exe,這回我們可愛的cmd窗口就跳出來了,隨便敲幾個東西進去,然后去到C:WINNTHelpTutor目錄下,你就可以看到記錄了。為了避免記錄自己在cmd.exe的操作,我們可以把原來的cmd.exe改成另外一個名字來執行。
四:安裝日志服務器,我們選擇Kiwi的Syslog Daemon 7是因為他夠專業并且有很多統計信息和支持產品,一路next并啟動服務即可。
netstat -an我們可以看到514端口
UDP 0.0.0.0:514 *:*
五:安裝evtsys_exe,解壓縮之后有兩個程序evtsys.exe和evtsys.dll,同樣需要檢測文件是否被修改
D:evtsys_exe>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll
dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe
eb574b236133e60c989c6f472f07827b *md5sum.exe
如果一切正常的話,執行evtsys.exe /?
D:evtsys_exe>evtsys.exe /?
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i Install service (安裝服務)
-u Uninstall service (卸載服務)
-d Debug: run as console program (以debug模式運行)
-h host Name of log host (日志服務器IP地址)
-p port Port number of syslogd (日志服務器端口,默認是514)
-q char Quote messages with character
Default port: 514
我們運行D:evtsys_exe>evtsys.exe -h 日志服務器IP -i來安裝服務
這樣你系統的應用程序日志,系統日志,安全日志都會發到日志服務器去了,這樣我們就可以更加真實的了解到系統的運行情況。
六:安裝WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe
下面針對本案例大概的說說ethereal的使用
先啟動ethereal
capture->start
capture packets in promiscuous mode
不選這個,因為我們只需要得到本機的信息,不需要以混雜模式運行
filter
filter name:irc
string:ip host urip and tcp port 6667
只能有一條規則,但是可以使用邏輯符號
否定(`!' or `not')
交集(`&&' or `and')
并集(`||' or `or')
還有=,>=,+,&等等
更加詳細的設置請查看ethereal的manual
先自己測試一下sniffer是否工作
連接上IRC,并發言,我們可以看到一些結果
然后選擇一個記錄,并且按”follow tcp stream”就可以查看IRC的聊天內容了
七:安裝設置綠色警戒防火墻 關閉“進入請求通知”,開放共享,把所有的入侵檢測對策的“攔截”都改成“警告”,警告級別都改成“記錄”,我們主要是想了解一下大概的攻擊情況
接著打掃戰場,把你下載的軟件,臨時文件,歷史記錄,文檔的記錄全部刪除,但是別忘記用regsnap做個鏡象哦,最后再次開啟ethereal
現在剩下的就是等蠕蟲感染來了………………
由于win和*nix系統不一樣,我們很難使用有效的工具來完整的追蹤入侵者的行為,因為win下有各式各樣的遠程管理軟件(VNC,remote-anything),而對于這些軟件,大部分殺毒軟件是不查殺他們的,而我們也沒有象LIDS那樣強大的工具來控制Administrator的權限,相對而言,winpot的風險稍微大了點,而且需要花更加多的時間和精力去看管他,沒辦法,門檻低了,風險當然就會相對高了。
OK,開始
先介紹一下我們需要的軟件
vpc Virtual pc,他是一個虛擬操作系統的軟件,當然你也可以選擇vmware.
ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器
evtsys_exe.zip 一個把系統日志發送到log服務器的程序
comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程序,不會在進程列表中顯示,因為入侵者運行的的確是cmd.exe :)
Kiwi_Syslog_Daemon_7 一個很專業的日志服務器軟件
norton antivirus enterprise client 我最喜歡的殺毒軟件,支持win2k server。當然,如果你覺得其他的更加適合你,你有權選擇
ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下一個很出名的sniffer,當然,如果你已經在你的honeynet中布置好了
sniffer,這個大可不必了,但是本文主要還是針對Dvldr 蠕蟲的,而且ethereal的decode功能很強,用他來獲取irc MSG很不錯的
WinPcap_3_0_beta.exe ethereal需要他的支持。
md5sum.exe windows下用來進行md5sum校驗的工具
綠色警戒防火墻 對入侵者做限制
windows 2000 professional的ISO鏡象 用vpc虛擬操作系統的時候需要用到他
除了windows 2000 professional的ISO鏡象,本文涉及的所有程序都可以在鄭州大學網絡安全園下載的到
http://www.520hack.com
Dvldr蠕蟲簡介
他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解隨機生成的ip的機器,如果成功,則感染機器,并植入VNC修改版
本,并向一個irc列表匯報已經感染主機的信息,同時繼續向其他機器感染。可以訪問鄭州大學網絡安全園或者關于他更詳細的信息。
一:使用VPC安裝一個win2k pro,具體的安裝方法本文就省略了,打上所有的補丁,只留一個漏洞,就是dvldr蠕蟲需要的administrator的空
密碼。
二:安裝norton antivirus enterprise client,升級到最新的病毒庫,并啟動實時監控
三:用cmdlog替換cmd.exe程序,把comlog101.zip解壓縮后有五個文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和
readme.txt都是說明文件,md5.txt包含這五個文件的md5校驗和的值,我們可以使用md5sum.exe工具來檢測一下他們是否遭受修改
D:comlog101>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe
484c4708c17b5a120cb08e40498fea5f *com101.pl
001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt
121bf60bc53999c90c6405440567064b *md5.txt
eb574b236133e60c989c6f472f07827b *md5sum.exe
42605ecfa6fe0f446c915a41396a7266 *README.TXT
把這些數字和md5.txt的數字對比,如果出現不一致,就證明程序遭受修改,請勿使用并通知我
在校驗無誤之后,我們開始覆蓋系統的cmd.exe。先打開資源管理器-->工具-->文件夾選項-->查看,把"隱藏受保護的操作系統文件"的鉤去掉,
并選擇"顯示所有文件和文件夾"-->確定
然后去到C:WINNTsystem32dllcache目錄,并找到cmd.exe,并把他改名成cm_.exe,再把comlog101下的cmd.exe和com101.pl復制到這里,并把C
:WINNTsystem32下的cmd.exe也改成cm_.exe,同樣把comlog101目錄下的cmd.exe和com101.pl復制到這里。在這段時間,系統會提醒你系統
文件遭到修改,問你是否修復,選擇取消就可以了。然后在C:WINNTHelp目錄下建一個叫"Tutor"的目錄,這里是用來放cmd.exe的命令記錄的地方,當然你同樣可以修改com101.pl來選擇日志的存放位置。
現在我們運行cmd.exe,你會發現窗口一閃而過,這是因為我們還沒裝perl解析器。運行ActivePerl-5.8.0.805-MSWin32-x86.msi,一路next就OK了。
現在我們運行cmd.exe,這回我們可愛的cmd窗口就跳出來了,隨便敲幾個東西進去,然后去到C:WINNTHelpTutor目錄下,你就可以看到記錄了。為了避免記錄自己在cmd.exe的操作,我們可以把原來的cmd.exe改成另外一個名字來執行。
四:安裝日志服務器,我們選擇Kiwi的Syslog Daemon 7是因為他夠專業并且有很多統計信息和支持產品,一路next并啟動服務即可。
netstat -an我們可以看到514端口
UDP 0.0.0.0:514 *:*
五:安裝evtsys_exe,解壓縮之后有兩個程序evtsys.exe和evtsys.dll,同樣需要檢測文件是否被修改
D:evtsys_exe>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll
dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe
eb574b236133e60c989c6f472f07827b *md5sum.exe
如果一切正常的話,執行evtsys.exe /?
D:evtsys_exe>evtsys.exe /?
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i Install service (安裝服務)
-u Uninstall service (卸載服務)
-d Debug: run as console program (以debug模式運行)
-h host Name of log host (日志服務器IP地址)
-p port Port number of syslogd (日志服務器端口,默認是514)
-q char Quote messages with character
Default port: 514
我們運行D:evtsys_exe>evtsys.exe -h 日志服務器IP -i來安裝服務
這樣你系統的應用程序日志,系統日志,安全日志都會發到日志服務器去了,這樣我們就可以更加真實的了解到系統的運行情況。
六:安裝WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe
下面針對本案例大概的說說ethereal的使用
先啟動ethereal
capture->start
capture packets in promiscuous mode
不選這個,因為我們只需要得到本機的信息,不需要以混雜模式運行
filter
filter name:irc
string:ip host urip and tcp port 6667
只能有一條規則,但是可以使用邏輯符號
否定(`!' or `not')
交集(`&&' or `and')
并集(`||' or `or')
還有=,>=,+,&等等
更加詳細的設置請查看ethereal的manual
先自己測試一下sniffer是否工作
連接上IRC,并發言,我們可以看到一些結果
然后選擇一個記錄,并且按”follow tcp stream”就可以查看IRC的聊天內容了
七:安裝設置綠色警戒防火墻 關閉“進入請求通知”,開放共享,把所有的入侵檢測對策的“攔截”都改成“警告”,警告級別都改成“記錄”,我們主要是想了解一下大概的攻擊情況
接著打掃戰場,把你下載的軟件,臨時文件,歷史記錄,文檔的記錄全部刪除,但是別忘記用regsnap做個鏡象哦,最后再次開啟ethereal
現在剩下的就是等蠕蟲感染來了………………
修改注冊表清除黑客程序保證計算機安全
[ 2007-03-25 02:57:40 | 作者: sun ]
在網絡給我們的工作學習帶來極大方便的同時,病毒、木馬、后門以及黑客程序也嚴重影響著信息的安全。這些程序感染計算機的一個共同特點是在注冊表中寫入信息,來達到如自動運行、破壞和傳播等目的。以下是筆者在網上收集的,通過修改注冊表來對付病毒、木馬、后門以及黑客程序,保證個人計算機的安全。
1.清理訪問“網絡鄰居”后留下的字句信息
在HEKY_CURRENT_USER/Network/Recent下,刪除下面的主鍵。
2.取消登陸時自動撥號
在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/RealModeNet下修改右邊窗口中的“autologon”為“01 00 00 00 00”。
3.取消登錄時選擇用戶
已經刪除了所有用戶,但登錄時還要選擇用戶,我們要取消登錄時選擇用戶,就要在HKEY_LOCAL_MACHINENetworkLogon下,在右邊的窗口中,修改"UserProfiles"值為"0"。
4.隱藏上機用戶登錄的名字
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右邊的窗口中新建字符串"DontDisplayLastUserName",設值為"1"。
5.預防Acid Battery v1.0木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“Explorer”鍵值,則說明中了YAI木馬,將它刪除。
6.預防YAI木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“Batterieanzeige”鍵值,則說明中了YAI木馬,將它刪除。
7.預防Eclipse 2000木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“bybt”鍵值,則將它刪除。然后在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下刪除右邊的鍵值“cksys”,重新啟動電腦。
8.預防BO2000的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“umgr32.exe”鍵值,則說明中了BO2000,將它刪除。
9.預防愛蟲的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發現了“MSKernel32”鍵值,就將它刪除。
10.禁止出現IE菜單中“工具”欄里“interner選項”
把c:windowssystem下的名為inetcpl.cpl更名為inetcpl.old或則別的名字后就會出現禁止使用的情況把名字再換回來,就可以恢復使用。
11.預防BackDoor的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發現了“Notepad”鍵值,就將它刪除。
12.預防WinNuke的破壞
在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右邊的窗口中新建或修改字符串“BSDUrgent”,設其值為0。
13.預防KeyboardGhost的破壞
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下如發現KG.EXE這一鍵值,就將它刪除,并查找KG.exe文件和kg.dat文件,將它們都刪除
14.查找NetSpy黑客程序
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,在右邊的窗口中尋找鍵"NetSpy",如果存在,就說明已經裝有NetSpy黑客程序,把它刪除.
1.清理訪問“網絡鄰居”后留下的字句信息
在HEKY_CURRENT_USER/Network/Recent下,刪除下面的主鍵。
2.取消登陸時自動撥號
在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/RealModeNet下修改右邊窗口中的“autologon”為“01 00 00 00 00”。
3.取消登錄時選擇用戶
已經刪除了所有用戶,但登錄時還要選擇用戶,我們要取消登錄時選擇用戶,就要在HKEY_LOCAL_MACHINENetworkLogon下,在右邊的窗口中,修改"UserProfiles"值為"0"。
4.隱藏上機用戶登錄的名字
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右邊的窗口中新建字符串"DontDisplayLastUserName",設值為"1"。
5.預防Acid Battery v1.0木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“Explorer”鍵值,則說明中了YAI木馬,將它刪除。
6.預防YAI木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“Batterieanzeige”鍵值,則說明中了YAI木馬,將它刪除。
7.預防Eclipse 2000木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“bybt”鍵值,則將它刪除。然后在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下刪除右邊的鍵值“cksys”,重新啟動電腦。
8.預防BO2000的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發現了“umgr32.exe”鍵值,則說明中了BO2000,將它刪除。
9.預防愛蟲的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發現了“MSKernel32”鍵值,就將它刪除。
10.禁止出現IE菜單中“工具”欄里“interner選項”
把c:windowssystem下的名為inetcpl.cpl更名為inetcpl.old或則別的名字后就會出現禁止使用的情況把名字再換回來,就可以恢復使用。
11.預防BackDoor的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發現了“Notepad”鍵值,就將它刪除。
12.預防WinNuke的破壞
在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右邊的窗口中新建或修改字符串“BSDUrgent”,設其值為0。
13.預防KeyboardGhost的破壞
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下如發現KG.EXE這一鍵值,就將它刪除,并查找KG.exe文件和kg.dat文件,將它們都刪除
14.查找NetSpy黑客程序
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,在右邊的窗口中尋找鍵"NetSpy",如果存在,就說明已經裝有NetSpy黑客程序,把它刪除.
BBSxp/LeadBBS后臺上傳Webshell的防范
[ 2007-03-25 02:57:28 | 作者: sun ]
關于BBSxp/LeadBBS的后臺上傳Webshell的防范
作者:kEvin1986 更新日期:2005-04-01 類別:網絡安全->安全防御 總瀏覽/今日:650/1
最近弄了兩個BBS系統,發現后臺傳/改Webshell的時候都做了一定限度的防范,使得很多新手不知道如何去傳Webshell控制主機.其實這個問題很簡單......幾分鐘就能解決
1.BBSXP
昨天朋友弄進去一個BBSXP的論壇,這個論壇以前問題多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且對腳本安全基本知識缺乏了解,導致了很多漏洞,而現在已經不是是很流行了.但是新版的還是新版的,也要看看...
后臺大致瀏覽了一下發現可以和Dvbbs的后臺一樣通過備份數據庫來獲取Webshell,可是問題是如果備份成ASP的話,后臺有一個驗證,提示不能備份成.ASP文件.其實這個東西是個名副其實的雞肋防范策略,因為我們還知道有CdxCerAsaHtr等格式也可以執行ASP腳本.而BBSXP并沒有想到.......所以,我們把備份的改為.asa等就可以傳了.........BBSXP還是那么菜啊.....
2.LeadBBS.
LeadBBS總體來說還是個強悍的論壇,但是最近還是被Lin給發現了Cookie欺騙漏洞.呵呵.那么在很多人利用的時候,都發現沒辦法傳WebShell.其中包括Sniper .哈哈/
其實我們可以編輯后臺的一個ASP文件,而這個文件是檢測server和<%這兩個字符的.看起來是做了不錯的防范,可是還是有問題的.
我們可以通過include來寫一個ASP木馬.
首先從論壇上傳一個JPG后綴的ASP木馬,這個木馬最好是直接使用FSO或ADODB.STREAM在當前目錄生成一個Newmm.ASP這樣的代碼.因為Include是無法接收數據的.
然后在后臺的編輯文件那里寫上
然后訪問這個文件,最后訪問生成的ASP木馬地址就可以了.......
作者:kEvin1986 更新日期:2005-04-01 類別:網絡安全->安全防御 總瀏覽/今日:650/1
最近弄了兩個BBS系統,發現后臺傳/改Webshell的時候都做了一定限度的防范,使得很多新手不知道如何去傳Webshell控制主機.其實這個問題很簡單......幾分鐘就能解決
1.BBSXP
昨天朋友弄進去一個BBSXP的論壇,這個論壇以前問題多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且對腳本安全基本知識缺乏了解,導致了很多漏洞,而現在已經不是是很流行了.但是新版的還是新版的,也要看看...
后臺大致瀏覽了一下發現可以和Dvbbs的后臺一樣通過備份數據庫來獲取Webshell,可是問題是如果備份成ASP的話,后臺有一個驗證,提示不能備份成.ASP文件.其實這個東西是個名副其實的雞肋防范策略,因為我們還知道有CdxCerAsaHtr等格式也可以執行ASP腳本.而BBSXP并沒有想到.......所以,我們把備份的改為.asa等就可以傳了.........BBSXP還是那么菜啊.....
2.LeadBBS.
LeadBBS總體來說還是個強悍的論壇,但是最近還是被Lin給發現了Cookie欺騙漏洞.呵呵.那么在很多人利用的時候,都發現沒辦法傳WebShell.其中包括Sniper .哈哈/
其實我們可以編輯后臺的一個ASP文件,而這個文件是檢測server和<%這兩個字符的.看起來是做了不錯的防范,可是還是有問題的.
我們可以通過include來寫一個ASP木馬.
首先從論壇上傳一個JPG后綴的ASP木馬,這個木馬最好是直接使用FSO或ADODB.STREAM在當前目錄生成一個Newmm.ASP這樣的代碼.因為Include是無法接收數據的.
然后在后臺的編輯文件那里寫上
然后訪問這個文件,最后訪問生成的ASP木馬地址就可以了.......
針對ASP類網站的Win 2003硬盤安全設置
[ 2007-03-25 02:57:15 | 作者: sun ]
C:分區部分:
c:
administrators 全部
iis_wpg 只有該文件夾
列出文件夾/讀數據
讀屬性
讀擴展屬性
讀取權限
c:inetpubmailroot
administrators 全部
system 全部
service 全部
c:inetpubftproot
everyone 只讀和運行
c:windows
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
Users 讀取和運行,列出文件夾目錄,讀取
c:Program Files
Everyone 只有該文件夾
不是繼承的
列出文件夾/讀數據
administrators 全部
iis_wpg 只有該文件夾
列出文件/讀數據
讀屬性
讀擴展屬性
讀取權限
c:Program FilesCommon Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users(如果有這個用戶)
修改,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行,列出文件夾目錄,讀取
如果安裝了我們的軟件:
c:Program FilesLIWEIWENSOFT
Everyone 讀取和運行,列出文件夾目錄,讀取
administrators 全部
IIS_WPG 讀取和運行,列出文件夾目錄,讀取
c:Program FilesDimac(如果有這個目錄)
Everyone 讀取和運行,列出文件夾目錄,讀取
administrators 全部
c:Program FilesComPlus Applications (如果有)
administrators 全部
c:Program FilesGflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行,列出文件夾目錄,讀取
Everyone 讀取和運行,列出文件夾目錄,讀取
c:Program FilesInstallShield Installation Information (如果有)
c:Program FilesInternet Explorer (如果有)
c:Program FilesNetMeeting (如果有)
administrators 全部
c:Program FilesWindowsUpdate
Creator owner
不是繼承的
只有子文件夾及文件
完全
administrators 全部
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
D:分區部分:
d: (如果用戶網站內容放置在這個分區中)
administrators 全部權限
d:FreeHost (如果此目錄用來放置用戶網站內容)
administrators 全部權限
SERVICE 全部權限
E:分區部分:
從安全角度,我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中,例如E:
E:(如果webeasymail安裝在這個盤中)
administrators 全部權限
system 全部權限
IUSR_*,默認的Internet來賓帳戶(如果這個網站用這個用戶來運行)
不是繼承的
只有子文件夾
讀取權限
E:WebEasyMail (如果webeasymail安裝在這個目錄中)
administrators 全部
system 全部權限
SERVICE 全部
IUSR_*,默認的Internet來賓帳戶 全部權限(如果這個網站用這個用戶來運行)
關于IUSR_*,我們不建議用這個用戶來運行Webeasymail,應該用平臺開一個虛擬主機來運行Webeasymail。
----------------不知道2000是不是一樣設置
針對PHP木馬攻擊的防御之道操作系統常遇木馬的預防技巧
[ 2007-03-25 02:56:58 | 作者: sun ]
木馬程序是目前比較流行的一類病毒文件,它與一般的病毒不同,它不會自我繁殖,也并不刻意地去感染其他文件。它通過將自身偽裝吸引用戶下載執行,或以捆綁在網頁中的形式,當用戶瀏覽網頁時受害。
木馬程序向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件和隱私,甚至遠程操控被種者的電腦。木馬的原理和計算機網絡中常常要用到的遠程控制軟件相似,但由于遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;而木馬程序則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是毫無價值的。
木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控制端進入運行了服務端的電腦,甚至可以控制被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作系統從Win9X過渡到WinNT系統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作系統下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什么是動態嵌入式DLL木馬,我們必須要先了解Windows系統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它并不能獨立運行,DLL文件一般都是由進程加載并調用的。
因為DLL文件不能獨立運行,所以在進程列表中并不會出現DLL.所以木馬的開發者就通過編寫動態嵌入式DLL木馬,并且通過別的進程來運行它,那么無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而并不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT系統,DLL木馬一般都藏在System32目錄下(因為System32是系統文件存放的目錄,里面的文件很多,在里面隱藏當然很方便了),針對這一點我們可以在安裝好系統和必要的應用程序后,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd\回車,再輸入cd C:\Windows\System32回車,這就轉換目錄到了System32目錄(要還是不知道怎么進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發現系統異常而用傳統的方法又查不出問題時,則要考慮是不是系統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然后運行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件,并將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然后通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站里,若系統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最后,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火墻,并及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作系統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家只要做好安全防護工作,防治木馬并不是那么可怕的。
木馬程序向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件和隱私,甚至遠程操控被種者的電腦。木馬的原理和計算機網絡中常常要用到的遠程控制軟件相似,但由于遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;而木馬程序則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是毫無價值的。
木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控制端進入運行了服務端的電腦,甚至可以控制被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作系統從Win9X過渡到WinNT系統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作系統下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什么是動態嵌入式DLL木馬,我們必須要先了解Windows系統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它并不能獨立運行,DLL文件一般都是由進程加載并調用的。
因為DLL文件不能獨立運行,所以在進程列表中并不會出現DLL.所以木馬的開發者就通過編寫動態嵌入式DLL木馬,并且通過別的進程來運行它,那么無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而并不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT系統,DLL木馬一般都藏在System32目錄下(因為System32是系統文件存放的目錄,里面的文件很多,在里面隱藏當然很方便了),針對這一點我們可以在安裝好系統和必要的應用程序后,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd\回車,再輸入cd C:\Windows\System32回車,這就轉換目錄到了System32目錄(要還是不知道怎么進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發現系統異常而用傳統的方法又查不出問題時,則要考慮是不是系統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然后運行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件,并將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然后通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站里,若系統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最后,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火墻,并及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作系統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家只要做好安全防護工作,防治木馬并不是那么可怕的。
針對PHP木馬攻擊的防御之道
[ 2007-03-25 02:56:44 | 作者: sun ]
本文通過介紹一些技巧介紹了針對PHP木馬攻擊的防御之道,通過這些方面你可以更好的防范木馬程序。 1、防止跳出web目錄 首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,還可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那么在httpd.conf里加上這么幾行: php_admin_value open_basedir /usr/local/apache/htdocs 這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木馬執行webshell 打開safe_mode, 在,php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
2、防止php木馬執行webshell 打開safe_mode, 在,php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
教你如何用手工迅速剿滅QQ廣告彈出木馬
[ 2007-03-25 02:56:32 | 作者: sun ]
將殺毒軟件升級到最新也不能查殺,打開瀏覽器,上網搜索,發現也有朋友中了這種木馬,但該網友提供的方法并不能刪除木馬,無奈之下只好自己“動手”了,以下就是我的整個手工清除木馬的過程,寫出來與大家分享。
具體的不知道從哪天起,我的Maxthon瀏覽器好像不能攔截一些網站的廣告了,屏幕的右下角也不時的出現如QQ廣告一樣的東西,一開始以為是網站和QQ的廣告。但越用越不對勁,仔細一看,右下角的根本就不是QQ的廣告,出來的整個廣告就是一個鏈接,不像QQ廣告外面還有一個框,鼠標放在上面是不會變成手形的,而這個廣告,無論鼠標放在什么地方都是手形的。我開始懷疑我中招了,將殺毒軟件升級到最新也不能查殺,打開瀏覽器,上網搜索,發現也有朋友中了這種木馬,但該網友提供的方法并不能刪除木馬,無奈之下只好自己“動手”了,以下就是我的整個手工清除木馬的過程,寫出來與大家分享。
1、常規操作
打開任務管理器,查看進程,并沒有發現什么不良進程。
2、深入挖掘
運行Regedit,依次展開
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
一看,果然多了個新家伙Advapi32,一看鍵值,竟然加載的是一個Dll文件,而這個文件位于C:\WINDOWS\Downloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬文件就行了,但到了C:\WINDOWS\Downloaded Program Files目錄一看,發現這些文件根本看不到(開啟了顯示隱藏文件項)。且重啟之后啟動項又出現了,很顯然,這個木馬監視注冊表,且文件隱藏。為了剿滅徹底,以下步驟是進入安全模式后進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動菜單出現)。
在第三步之前,我曾嘗試直接用第四步的方法刪除木馬文件,但發現重啟之后木馬并沒有消失,因此初步判斷該木馬存在備份文件。
3、清除木馬備份文件
打開“我的電腦”進入C:\Windows目錄,發現一個可疑目錄Backup,進去一看,果然啟動項加載的Dll文件也在里面,但啟動項加載的卻不是這個目錄中的文件,很顯然這個目錄就是木馬的備份,先刪除這個備份目錄再說,但剛剛刪除,大概一兩秒的時間這個目錄又被重新建立。這個木馬還真狡猾,竟然在安全模式還能自動加載且監視備份文件,一旦備份文件被刪除,馬上又會建立。正所謂“以彼之道還施彼身”,它能監視且能自動建立備份目錄,我如果能先將目錄刪除,然后搶在它的前面建立目錄不就行了嗎?因為Windows是不允許同一目錄下有兩個文件或目錄同名的。但從備份目錄被刪除到被重新建立中間的間隔太短了,手工肯定是不行的,那么就用Dos時代的批處理吧!先建立如下的批處理文件,命名為Kill.bat,雙斜杠之后是注釋,實際操作時無需輸入。Move c:\windows\backup c:\windows\bak //將Backup目錄重命名為BakMd c:\windows\backup //在C:\windows下建立Backup目錄這時再打開“我的電腦”,依次進入C:\windows目錄,將Bak目錄刪除,即完成了木馬備份文件的刪除。
4、清除木馬文件
重新建立一個批處理文件,命名為Kill2.bat,內容如下。cd c:\ //將當前路徑改為C:盤的根目錄cd C:\WINDOWS\Downloaded Program Files //將當前路徑改為C:\WINDOWS\Downloaded Program Filesmove _IS_0518 c:\bak//將當前目錄下的_IS_0518目錄移動到C:根目錄下并重命名為bak打開“我的電腦”,進入C:\,刪除Bak目錄,再進入C:\windows目錄,刪除Backup目錄,即完成了木馬文件的清除。
5、清理注冊表
運行Regedit,分別將下面所列的鍵刪除。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32
HKEY_CURRENT_USER/Software/advapi32
至此,Advapi32木馬(因為在網上也沒查到此木馬的名字,所以就用它的自啟動項鍵名來代替了)手工清理完畢。注:
1.第三步和第四步順序千萬不能對調,因為只有先刪除備份文件,再刪除木馬文件,這時因為木馬文件沒有了,備份文件也沒有了,所以木馬也就沒辦法重新建立文件了。
2.以前也在報刊上看到過手工清除木馬的例子,但大部分都是一些利用進程查看工具結束進程來實現的,由于此木馬進程偽裝隱蔽,筆者曾用IceSword查看,雖能初步判斷木馬隱藏在Svchost.exe進程中,但由于Windows XP中Svchost.exe進程比較多,所以不好判斷其具體的隱藏位置,結束進程的方法也就不好實現了,反而用本文所提的方法就能輕松將木馬剿滅。
3.本方法在Windows XP Pro + SP2下測試通過。
做自己的救世主--系統安全保衛戰
[ 2007-03-25 02:56:21 | 作者: sun ]
一. 誰是救世主
相信看過《黑客帝國》系列的朋友都不會對主人公尼奧感到陌生,這位闖入虛擬世界的程序員一次又一次演繹了“救世主”的角色,保護了城市居民,其形象早已深入人心。
而離開電影后,我們廣大的計算機用戶要面對的又是另一種亦真亦假的數字虛擬世界——網絡,這里同樣潛伏著許多危險,同樣存在“黑客帝國”,但這里卻沒有尼奧這個人的存在,我們能看到的,只有形形色色的安全廠商和他們所提供的安全工具,除此之外,似乎已經沒有別的選擇。
于是乎,許多用戶把各種安全工具看成了這個世界中的“救世主”,我們看到許多關于安全工具的廣告,我們購買市面上流行的防病毒軟件,我們在聽聞每周一次的“新病毒預警”時趕緊升級病毒特征庫,我們每周都對電腦進行一次漫長的病毒掃描……許多人都這樣做,許多人不得不這樣做,因為我們把一切都交給殺毒工具了,我們什么都不需要做了,我們只管肆無忌彈的上網聊天看電影下軟件,因為我們有殺毒工具,這些工具都具備一個“實時監測”的功能,它每時每刻都會檢查我們剛下載的文件,我們感到自己很安全,我們以為這就是網絡中的防御。
然而,事實真的如此美好嗎?依稀記得有一句話好像是這么說的,“無論你做什么事情,你都不可避免要付出一定的代價”,在我們安然自得的享受由殺毒工具帶來的安全防御的同時,我們也在付出相應的代價。為什么呢?因為殺毒工具是一套在系統啟動的時候就開始運行直到關機或者用戶退出它的時候才會停止運行的程序,它們的檢測和防御機制的效率是不能和尼奧相比的。舉個簡單例子,學過編程的人大概都知道,象棋程序是最難寫得完美的,因為象棋的走法從來都沒有一個固定的模式,我們能創造出許多花樣,但是程序不能,它只能按照有限的判斷機制去決定每一步棋怎么走,這就是為什么如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說,做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了,這個象棋程序必然無敵。這樣是可行的,但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了,因為程序在每走一步棋之前都要把所有盡可能遇到的情況都“思考”一遍,這樣是要付出時間作為代價的,如果要縮短時間,就要讓程序在同一時刻思考多種走法,但著時候,代價就變成龐大的系統資源消耗了——你能忍受么?
同樣的缺陷正在殺毒軟件身上發生,我們知道,大部分殺毒軟件是采用“特征碼”技術去搜索病毒的,就是說,殺毒軟件引擎讀取一個程序或文件內容,并與自身數據庫里儲存的已被確認為病毒程序體內某段特定代碼進行匹配,一旦兩者相同,殺毒軟件就“確認”此文件為病毒。隨著病毒家族的龐大,這個數據庫體積的增長也到了不可忽視的地步,加載的速度也就慢了。而且數據庫每增加一個病毒特征碼,殺毒引擎的判斷分支就要增多一條,相應的時間也會延長,為了避免出現掃描一個文件需要半小時的尷尬情況,殺毒軟件會采用各種提高匹配速度的方案,但這些方案無一例外都要瘋狂剝削用戶的系統資源,如果一臺電腦的配置并不是很高,那么在用戶查毒的時候,他基本上已經不能正常做其他工作了,找個電視臺慢慢看連續劇吧,這就是尼奧的代價。
那么,誰才是我們的救世主?答案就是——你自己。能信任的人永遠只有自己,只要肯努力,每個人都可以做尼奧,不過這也是有代價的,因為它把系統資源的消耗轉變為腦子的消耗,把判斷分支和經驗寫入腦子里,在處理分支的效率上,人永遠比程序要靈活,而且這樣一來就不會出現依賴的惡性循環了,離開了殺毒軟件,我們要學會靠自己來保護自己不被這個虛擬世界傷害到。現在,就讓我們來做自己的救世主吧。
二. 做自己的救世主
小時候曾經看過一個故事《另一種侵略》,被人類打敗的宇宙侵略者送給人類一種水晶,只要人類拿起它想一種物品,這個物品就會出現在自己面前,于是每個人都開始沉浸于無盡的享受中,再也沒人去鉆研科技國防了,幾十年后,人類開始出現退化現象。這時候,宇宙侵略者又來訪問地球了,這次它們只用了一條條鞭子就征服了地球,在最后一個人類被驅逐進囚籠之前,他回頭含糊不清的說了句什么話——連他的舌頭都退化得差不多了,也許他是說:“地球完了。”
以上的故事或許只是虛無的幻想,但類似的行為卻正在當代發生,如果一個用戶懷疑自己的電腦感染了后門,他的第一個反應大概會是打開殺毒工具。故事里的人類太依賴水晶的魔力,現實中的我們太依賴殺毒軟件的方便快捷!也許有人會反對,既然能使用工具方便快捷的保護計算機安全,我又何必自尋煩惱學習安全防御?會這樣想的用戶沒有想到網絡的復雜,能闖進計算機的“客人”并非就是在各大安全工具廠商通緝名單上的成員,因為網絡中還流傳著一部分小規模使用而且沒有被公開的“私人后門”(例如大部分DDoS后門工具其實都是自己寫自己用的),有能力的人都可以自己寫“私人后門”,然后通過多種途徑放到別人的計算機上執行。這時候,“病毒庫特征碼”技術的局限性就開始顯露了,被感染了“私人后門”的用戶偶爾會察覺到計算機異常,然后他會開始查毒,結果因為滲透進系統的后門程序并沒有在病毒特征庫里“登記”過,殺毒軟件就認不出它了,用戶只能在浪費大量時間后看著殺毒軟件報告的“沒有發現病毒”消息繼續“享受”被入侵的感覺。這個事實可笑嗎?我們只能在自己信賴的尼奧面前被敵人殺死——甚至這個尼奧也不復存在了,如果后門能把它踢出內存并刪除掉的話。
還是那句話,能信任的人只有自己,更何況這是網絡。所以,我們不能再戰戰兢兢的躲在掩體里等待救世主消滅所有敵人了,我們要做自己的救世主!
三. 捕獲不請自來的“客人”
“600型機器人包裹的是橡膠外皮,很容易被認出來,但現在的101型機器人是生化技術制造的,有真實皮膚,會呼吸、流血、甚至口臭,一切都和人類一樣,直到它開始攻擊,你才能知道它不是人類。”
“那你們怎么辦?”
“我們用狗識別終結者。”
——《終結者》
在《終結者》里,狗是唯一可以區分敵我的工具,因為它判斷對方的方式并不僅僅靠眼睛——眼睛是可以被欺騙的,但是氣息不能,一個機器人無論偽裝得再怎么逼真,都不能具備生命體的氣息,但是它能欺騙人類的視覺和聽覺,這就足夠了。
后門技術從誕生到現在,已經發展了好幾代,對自身的偽裝技術也越來越成熟了,從最初的啟動項結合隱藏進程方式,到最新的Ring0驅動方式,我們越來越難發現這些“客人”的痕跡,當它開始破壞的時候,已經來不及做補救措施了,所以,我們需要一種可以嗅出后門氣息的“狗”。
1.準備工作
在進行一切工作之前,用戶需要對系統有點了解,例如注冊表、啟動項、服務、常見的程序和進程名等,這是學習手工查毒最基本的要求,在初期可以多參考一些介紹系統概念的文章如到處都流傳的“系統進程詳解”、“WinXP系統服務簡介及優化措施”等,并做一點筆記,力求日積月累盡快記住一些最常見的系統程序和相關工具的使用方法,如果過不了這個門檻,后面的工作也就無從談起。
首先,我們必須了解Windows系統的三大知識點:注冊表(Registry)、進程(Process)和權限(Privilege)。
“注冊表”是出現在Windows 95及以后版本的一種數據庫。在這之前,用戶要對軟硬件工作環境進行配置,就要修改一種被稱為“配置設置”(INI)的文件來完成,但是由于每種設備或應用程序都得有自己的INI文件,無形中增加了管理難度,為了解決這個問題,微軟開始統一標準并將各種信息資源集中起來存儲,最終形成了將應用程序和計算機系統配置信息容納在一起的“注冊表”,用來管理應用程序和文件的關聯、硬件設備說明、狀態屬性以及各種狀態信息和數據等,注冊表維持著整個系統的正常運作。
注冊表采用一種類似文件目錄的結構樹來描述配置信息,最頂端的5個項目稱為“根鍵”(ROOT_KEY),系統能識別的所有的數據都是從它們這里展開的,這5個根鍵分別是:
HKEY_CLASSES_ROOT(負責各種組件注冊類別和文件并聯信息)
HKEY_CURRENT_USER(當前登錄用戶的環境信息)
HKEY_LOCAL_MACHINE(整個系統的公共環境信息)
HKEY_USERS(所有用戶的環境配置信息)
HKEY_CURRENT_CONFIG(當前的配置信息)
其中,我們主要關注的是前面三個根鍵里的數據,它們是后門最愛篡改的地方,分別是三個啟動項目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”,一般的后門都要通過修改這里加入自己的配置信息以達到跟隨系統啟動的目的;除此之外就是文件并聯信息“HKEY_CLASSES_ROOT”,并聯型后門最愛更改這里的.exe、.bat、.scr、.com等可執行文件的注冊信息,讓自己搶先一步運行。更多涉及到的注冊表內容以后會提到,現在讓我們來看看進程是什么。
“進程”,是指一個可執行文件在運行期間請求系統在內存里開辟給它的數據信息塊,系統通過控制這個數據塊為運行中的程序提供數據交換和決定程序生存期限,任何程序都必須擁有至少一個進程,否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質復制在內存中的映像,它通常和某個在磁盤上的文件保持著對應關系,一個完整的進程信息包括很多方面的數據,我們使用進程查看工具看到的“應用程序”選項卡包含的是進程的標題,而“進程”選項卡包含的是進程文件名、進程標識符、占用內存等,其中“進程文件名”和“進程標識符”是必須掌握的關鍵,“進程標識符”是系統分配給進程內存空間時指定的唯一數字,進程從載入內存到結束運行的期間里這個數字都是保持不變的,而“進程文件名”則是對應著的介質存儲文件名稱,根據“進程文件名”我們就可以找到最初的可執行文件位置。
最后是“權限”,這里涉及的權限是指80386模式的Ring權限。操作系統是由內核(Kernel)和外殼(Shell)兩部分組成的,內核負責一切實際的工作,包括CPU任務調度、內存分配管理、設備管理、文件操作等,外殼是基于內核提供的交互功能而存在的界面,它負責指令傳遞和解釋。由于內核和外殼負責的任務不同,它們的處理環境也不同,因此處理器提供了多個不同的處理環境,把它們稱為運行級別(Ring),Ring讓程序指令能訪問的計算機資源依次逐級遞減,目的在于保護計算機遭受意外損害——內核運行于Ring 0級別,擁有最完全最底層的管理功能,而到了外殼部分,它只能擁有Ring 3級別,這個級別能操作的功能極少,幾乎所有指令都需要傳遞給內核來決定能否執行,一旦發現有可能對系統造成破壞的指令傳遞(例如超越指定范圍的內存讀寫),內核便返回一個“非法越權”標志,發送這個指令的程序就有可能被終止運行,這就是大部分常見的“非法操作”的由來,這樣做的目的是為了保護計算機免遭破壞,如果外殼和內核的運行級別一樣,用戶一個不經意的點擊都有可能破壞整個系統。但是現在,Ring已經屢屢被后門木馬利用成為一個令人頭痛的兇器。
2.進程偽裝型后門的殲滅
最初的后門靠注冊“系統服務”的方法在Win9x系統里隱藏自己的運行信息,到了NT架構里,這個方法失效了——NT家族自帶的任務管理器(Task Manager,TaskMgr.exe)把所有普通進程都一視同仁的顯示出來,連初級用戶都能輕易發現后門運行的痕跡,于是后門制造者開始攻克心理學和障眼法,讓后門進程在任務管理器里把自己標榜為“系統關鍵進程”,達到欺騙用戶的目的。
我們都知道,任務管理器列出的眾多進程里包含著一部分“關鍵進程”,它們是無法通過任務管理器中止的,而且許多文章也會提到相關進程名,久而久之,我們又養成一個習慣:查看進程信息時,只要看到熟悉甚至類似的進程名就忽略不計了,僅僅去尋找不熟悉的進程名,于是后門制造者就直接利用這個心理暗角配合路徑遍歷法則,讓后門進程顯示為“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等關鍵進程名就欺騙了用戶和任務管理器。
在這種情況下,系統自己的任務管理器已經不能信任了,因為它遺漏了最重要的路徑信息,后門就利用了這一點——它可以把自己偽裝成svchost.exe放到Windows目錄下,然后在注冊表啟動項里加上不帶路徑信息的“svchost.exe”信息,系統在根據目錄遍歷法則一層層深入尋找svchost.exe時會在Windows目錄里發現并執行它,而真正的關鍵進程svchost.exe是在SYSTEM32里的,而且它也必須通過“服務管理器”(Service Control Manager,SCM)加載,于是任務管理器會顯示多個svchost.exe進程,但是由于缺乏路徑指示,我們根本不知道系統已經多了一個假的svchost.exe。即使我們發現了它是假的,也無法用任務管理器終止它的運行,因為任務管理器只是簡單的判斷了文件名就認為它是“關鍵進程”了,自然不會讓你終止。類似的后門偽裝文件名還有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”(NT架構里根本沒有rundll.exe這個程序)、“SYSTEMservices.exe”等,要發現并殲滅這些后門,除了要求我們對常見的系統關鍵進程有所了解以外,還需要第三方提供的擴展任務管理器協助,例如Windows優化大師攜帶的進程查看器,用它便可迅速發現路徑不對的“假兄弟”。
其實最迅速的查找方法是運行“系統配置實用程序”(MSCONFIG.EXE),切換到“啟動項”,如果在這里發現了“系統關鍵程序”的信息,那它一定是假的。
3.服務欺騙型后門的戰役
Windows的任務管理器不可終止兩種程序的運行:一種是關鍵進程,另一種是通過服務管理器SCM啟動的系統服務程序(NT-Service),所以一部分后門制造者設法把后門做成服務形式,讓SCM直接幫助啟動服務進程,不再借用注冊表啟動項加載,這樣即使是對注冊表啟動項有一定了解的用戶也難以發現異常,而且就算他想終止任務管理器里顯示的奇怪進程,也會被拒絕,如果用戶對服務管理器的了解不深,那他將會在眼花繚亂的服務面前變得束手無策。
這時候,我們又需要請“系統配置實用程序”出山了,切換到“服務”選項卡,把“隱藏所有Microsoft服務”,這里就只顯示非微軟開發的普通服務程序列表了,包括服務欺騙型后門的服務項,一般它會包含欺騙性質的字符或者偽裝成某廠商的服務名,如“Rising Virus Monitor”(瑞星監控)、“Macromedia License”等,記住這里顯示的列表名稱,接著運行“服務管理器”(Services.msc)找到對應的項目,看看屬性里的文件和路徑是不是真的,如果你并沒有安裝KAV、MCAFEE這些殺毒軟件而SCM里卻找到對應項目的話,它就是狡猾的后門沒錯了。一些間諜軟件還會自作主張的把自己命名為“Windows Print Controller”,簡直就是無視系統自身的“Print Spooler”服務。
找到這類后門后,不要急著終止它的運行,既然后門作者知道SCM能直接停止它們,就必然會做一些復活措施,所以我們必須先把后門服務的“啟動類型”設置為“禁止”,然后重啟一次確保后門程序無法跟隨系統啟動,這時候才能開始清理后門。其中文件的路徑信息SCM已經提供給我們了,直接在磁盤上找到刪除即可,但是服務項目不能直接用SCM刪除,要刪除這個殘留的服務項,首先要對系統服務有個最初的概念。
官方對系統服務的定義如下:
在NT架構系統中,服務是指執行指定系統功能的程序、例程或進程,以便支持其他程序,尤其是底層(接近硬件)程序。通過網絡提供服務時,服務可以在Active Directory中發布,從而促進了以服務為中心的管理和使用。服務是一種應用程序類型,它在后臺運行。服務應用程序通常可以在本地和通過網絡為用戶提供一些功能,例如客戶端/服務器應用程序、Web服務器、數據庫服務器以及其他基于服務器的應用程序。 既然服務自身也是獨立出來的程序,它就必須有一個加載的入口,我們可以把這個入口理解為第二個啟動項,這個入口是由SCM負責的,無論是什么身份的用戶進入系統,SCM啟動服務的位置都固定在注冊表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里,所以只要找這個分支就可以發現所有服務——也許你會說,這里顯示的名字似乎都毫無意義,我怎么知道哪個是我正在找的?其實很簡單,我們回到SCM,查看一個服務的屬性,例如“DNS Client”服務,它的屬性里寫著“顯示名稱:DNS Client 服務名稱:Dnscache”,現在回到注冊表分支,查找“Dnscache”,就會看到它是CurrentControlSet ServicesDnscache,這就是我們在SCM里看到的“DNS Client”服務,如果你刪除掉“Dnscache”項目,那么整個“DNS Client”服務也就消失了。以此類推,很快就可以清理掉服務欺騙型后門。
4.最艱難的尋找:Ring 0后門
隨著安全技術的發展和計算機用戶群的技術提高,一般的木馬后門越來越難生存,于是一部分有能力的后門作者把眼光投向了系統底層——Ring 0。
位于Ring 0層的是系統核心模塊和各種驅動程序模塊,所以位于這一層的木馬也是以驅動的形式生存的,而不是一般的EXE。后門作者把后門寫成符合WDM規范(Windows Driver Model)的驅動程序模塊,把自身添加進注冊表的驅動程序加載入口,便實現了“無啟動項”運行。一般的進程查看器都只能枚舉可執行文件EXE的信息,所以通過驅動模塊和執行文件結合的后門程序便得以生存下來,由于它運行在Ring 0級別,擁有與系統核心同等級的權限,因此它可以更輕易的把自己隱藏起來,無論是進程信息還是文件體,甚至通訊的端口和流量也能被隱藏起來,在如此強大的隱藏技術面前,無論是任務管理器還是系統配置實用程序,甚至系統自帶的注冊表工具都失去了效果,我們不得不借助于更強大的第三方工具。幸好,一部分持有編寫Ring 0程序能力的人并沒有加入Ring 0木馬的陣營,而是把技術用到了安全檢查方面,于是我們有了IceSword、RootkitRevealer、knlsc等優秀的檢測工具。
一般的進程工具是運行在Ring 3級別的,它們讀取的依據來自Ring 0層,這些數據是可以被運行于Ring 0級別的木馬修改的,所以它們根本無法得知木馬程序信息,而IceSword等檢測工具不同,它們和Ring 0木馬一樣,也是通過驅動的模式進入Ring 0層工作的,不再需要從Ring 0層獲取信息,所以它們能得到未被木馬篡改的原始鏈表數據,例如最原始的進程信息,它是不能被更改的,如果木馬把它自身從原始進程信息里刪除,就意味著它要自我終結了。所以一旦有進程工具從 Ring 0層直接讀取了原始數據,再把這個數據和Ring 3層獲取到的進程列表比較一下,就能迅速發現哪個是拼命隱藏自身的木馬程序了。很巧合的是,驅動程序和系統服務共享同一個加載入口,即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,只要查找相應的Ring 0木馬文件名,就會發現它,刪除掉注冊表的加載數據后重新啟動計算機,再刪除掉木馬文件就可以解決了。
5.清理不受歡迎的附屬產品
“21世紀什么最貴?人才!”
——《天下無賊》
黎叔說的這句話固然無可厚非,只是他大概不知道,在21世紀的網絡上,網民最恨的就是一部分利用歪點子制造“廣告軟件”(Adware)和“流氓/間諜軟件”(Spyware)的“人才”。如今的網絡已經被這些不受歡迎的軟件使用捆綁戰術給占領了,隨便下載個共享工具,有點良心的會在安裝界面里默認打上“安裝附屬產品”的勾,更多的則是一口氣給你把所有附屬工具都裝上了,許多用戶在安裝了一些共享軟件后,突然發現瀏覽器多了一堆這個條那個霸的,想要卸載時卻發現所謂的卸載程序只是個把用戶當小孩來哄的界面!可以說,這些惡意軟件才是當今網絡最令人厭惡的東西,“流氓軟件猛于后門也”!
與各種后門木馬的意圖不同,惡意捆綁軟件的立場是自家公司的利益,它們一般不會攜帶破壞性質的代碼(但不代表沒有),通常還會擁有一些號稱“服務大眾”的功能,這些功能或許可以讓它得到一些用戶的擁戴,但是這種光環并不能掩蓋其“服務大眾”背后的暴利黑幕。首先,惡意捆綁軟件可以輕易收集到用戶信息,任何一臺被安裝了“X手X霸X豬X搜”的計算機都不再與“個人隱私”這個詞語有緣。其次,惡意捆綁軟件可以借用廣大計算機作為它無償彈出公司廣告的殖民地,如果每條廣告都能給該軟件背后的公司帶來一點利潤,那么一年下來這個公司就已經從廣大用戶群的身上搜刮到一大筆可觀的錢財了。天下并沒有免費的午餐,在你使用這些捆綁軟件提供的“快捷服務”時,你就已經付出了代價。
最初,捆綁軟件都比較單純,僅僅使用BHO技術(Browser Helper Objects,瀏覽器輔助模塊)把自己安家在瀏覽器上而已,但是現在,也許因為被用戶清理得多了,一些公司惱羞成怒把ring 0級別的木馬技術應用在了自家產品上,配合一種令人厭惡的強制安裝技術,再利用金錢開路,讓一些網站加載自己的產品,只要用戶瀏覽某個頁面,就會不知不覺被安裝上一堆BHO,這已經不是一般的強盜行為了,而由于商業關系,一般的殺毒程序是不能去查殺它們的,即使它們與木馬后門的特征無異,這時候,用戶就要靠自己來了。
首先,瀏覽器的BHO加載項目是固定在系統目錄的“Downloaded Program Files”文件夾里的,對于在瀏覽器上出現的欄目,只要簡單的在這個文件夾里選中刪除即可,但是其余殘留文件就只能自行尋找了,由于制作惡意捆綁BHO的公司太多,文件存放位置也不同,這里無法給出很全面的刪除方法,所以只能推薦兩個工具:Upiea和RogueCleaner,使用它們即可快速卸載掉惹人討厭的附屬產品。
四. 生存法則
在森林里,鹿媽媽會警告小鹿不要去到太偏僻或者太遠的地方玩耍,因為那里可能隱藏著惡狼。在網絡上有更多的惡狼存在,但是卻沒有人能收到有效的警告。要成為自己的救世主,必須把那一份多余的好奇心收起來,直到已經掌握了清理“不速之客”的技術以后,方可放開好奇心到處看看,否則一不小心被自己的好奇心弄得系統出毛病了,又沒法判斷清理,最終恐怕還是會回到依賴殺毒軟件的用戶群去。最后還有一句恒古不變的真理:網絡充滿風險,勤打系統補丁。
相信看過《黑客帝國》系列的朋友都不會對主人公尼奧感到陌生,這位闖入虛擬世界的程序員一次又一次演繹了“救世主”的角色,保護了城市居民,其形象早已深入人心。
而離開電影后,我們廣大的計算機用戶要面對的又是另一種亦真亦假的數字虛擬世界——網絡,這里同樣潛伏著許多危險,同樣存在“黑客帝國”,但這里卻沒有尼奧這個人的存在,我們能看到的,只有形形色色的安全廠商和他們所提供的安全工具,除此之外,似乎已經沒有別的選擇。
于是乎,許多用戶把各種安全工具看成了這個世界中的“救世主”,我們看到許多關于安全工具的廣告,我們購買市面上流行的防病毒軟件,我們在聽聞每周一次的“新病毒預警”時趕緊升級病毒特征庫,我們每周都對電腦進行一次漫長的病毒掃描……許多人都這樣做,許多人不得不這樣做,因為我們把一切都交給殺毒工具了,我們什么都不需要做了,我們只管肆無忌彈的上網聊天看電影下軟件,因為我們有殺毒工具,這些工具都具備一個“實時監測”的功能,它每時每刻都會檢查我們剛下載的文件,我們感到自己很安全,我們以為這就是網絡中的防御。
然而,事實真的如此美好嗎?依稀記得有一句話好像是這么說的,“無論你做什么事情,你都不可避免要付出一定的代價”,在我們安然自得的享受由殺毒工具帶來的安全防御的同時,我們也在付出相應的代價。為什么呢?因為殺毒工具是一套在系統啟動的時候就開始運行直到關機或者用戶退出它的時候才會停止運行的程序,它們的檢測和防御機制的效率是不能和尼奧相比的。舉個簡單例子,學過編程的人大概都知道,象棋程序是最難寫得完美的,因為象棋的走法從來都沒有一個固定的模式,我們能創造出許多花樣,但是程序不能,它只能按照有限的判斷機制去決定每一步棋怎么走,這就是為什么如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說,做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了,這個象棋程序必然無敵。這樣是可行的,但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了,因為程序在每走一步棋之前都要把所有盡可能遇到的情況都“思考”一遍,這樣是要付出時間作為代價的,如果要縮短時間,就要讓程序在同一時刻思考多種走法,但著時候,代價就變成龐大的系統資源消耗了——你能忍受么?
同樣的缺陷正在殺毒軟件身上發生,我們知道,大部分殺毒軟件是采用“特征碼”技術去搜索病毒的,就是說,殺毒軟件引擎讀取一個程序或文件內容,并與自身數據庫里儲存的已被確認為病毒程序體內某段特定代碼進行匹配,一旦兩者相同,殺毒軟件就“確認”此文件為病毒。隨著病毒家族的龐大,這個數據庫體積的增長也到了不可忽視的地步,加載的速度也就慢了。而且數據庫每增加一個病毒特征碼,殺毒引擎的判斷分支就要增多一條,相應的時間也會延長,為了避免出現掃描一個文件需要半小時的尷尬情況,殺毒軟件會采用各種提高匹配速度的方案,但這些方案無一例外都要瘋狂剝削用戶的系統資源,如果一臺電腦的配置并不是很高,那么在用戶查毒的時候,他基本上已經不能正常做其他工作了,找個電視臺慢慢看連續劇吧,這就是尼奧的代價。
那么,誰才是我們的救世主?答案就是——你自己。能信任的人永遠只有自己,只要肯努力,每個人都可以做尼奧,不過這也是有代價的,因為它把系統資源的消耗轉變為腦子的消耗,把判斷分支和經驗寫入腦子里,在處理分支的效率上,人永遠比程序要靈活,而且這樣一來就不會出現依賴的惡性循環了,離開了殺毒軟件,我們要學會靠自己來保護自己不被這個虛擬世界傷害到。現在,就讓我們來做自己的救世主吧。
二. 做自己的救世主
小時候曾經看過一個故事《另一種侵略》,被人類打敗的宇宙侵略者送給人類一種水晶,只要人類拿起它想一種物品,這個物品就會出現在自己面前,于是每個人都開始沉浸于無盡的享受中,再也沒人去鉆研科技國防了,幾十年后,人類開始出現退化現象。這時候,宇宙侵略者又來訪問地球了,這次它們只用了一條條鞭子就征服了地球,在最后一個人類被驅逐進囚籠之前,他回頭含糊不清的說了句什么話——連他的舌頭都退化得差不多了,也許他是說:“地球完了。”
以上的故事或許只是虛無的幻想,但類似的行為卻正在當代發生,如果一個用戶懷疑自己的電腦感染了后門,他的第一個反應大概會是打開殺毒工具。故事里的人類太依賴水晶的魔力,現實中的我們太依賴殺毒軟件的方便快捷!也許有人會反對,既然能使用工具方便快捷的保護計算機安全,我又何必自尋煩惱學習安全防御?會這樣想的用戶沒有想到網絡的復雜,能闖進計算機的“客人”并非就是在各大安全工具廠商通緝名單上的成員,因為網絡中還流傳著一部分小規模使用而且沒有被公開的“私人后門”(例如大部分DDoS后門工具其實都是自己寫自己用的),有能力的人都可以自己寫“私人后門”,然后通過多種途徑放到別人的計算機上執行。這時候,“病毒庫特征碼”技術的局限性就開始顯露了,被感染了“私人后門”的用戶偶爾會察覺到計算機異常,然后他會開始查毒,結果因為滲透進系統的后門程序并沒有在病毒特征庫里“登記”過,殺毒軟件就認不出它了,用戶只能在浪費大量時間后看著殺毒軟件報告的“沒有發現病毒”消息繼續“享受”被入侵的感覺。這個事實可笑嗎?我們只能在自己信賴的尼奧面前被敵人殺死——甚至這個尼奧也不復存在了,如果后門能把它踢出內存并刪除掉的話。
還是那句話,能信任的人只有自己,更何況這是網絡。所以,我們不能再戰戰兢兢的躲在掩體里等待救世主消滅所有敵人了,我們要做自己的救世主!
三. 捕獲不請自來的“客人”
“600型機器人包裹的是橡膠外皮,很容易被認出來,但現在的101型機器人是生化技術制造的,有真實皮膚,會呼吸、流血、甚至口臭,一切都和人類一樣,直到它開始攻擊,你才能知道它不是人類。”
“那你們怎么辦?”
“我們用狗識別終結者。”
——《終結者》
在《終結者》里,狗是唯一可以區分敵我的工具,因為它判斷對方的方式并不僅僅靠眼睛——眼睛是可以被欺騙的,但是氣息不能,一個機器人無論偽裝得再怎么逼真,都不能具備生命體的氣息,但是它能欺騙人類的視覺和聽覺,這就足夠了。
后門技術從誕生到現在,已經發展了好幾代,對自身的偽裝技術也越來越成熟了,從最初的啟動項結合隱藏進程方式,到最新的Ring0驅動方式,我們越來越難發現這些“客人”的痕跡,當它開始破壞的時候,已經來不及做補救措施了,所以,我們需要一種可以嗅出后門氣息的“狗”。
1.準備工作
在進行一切工作之前,用戶需要對系統有點了解,例如注冊表、啟動項、服務、常見的程序和進程名等,這是學習手工查毒最基本的要求,在初期可以多參考一些介紹系統概念的文章如到處都流傳的“系統進程詳解”、“WinXP系統服務簡介及優化措施”等,并做一點筆記,力求日積月累盡快記住一些最常見的系統程序和相關工具的使用方法,如果過不了這個門檻,后面的工作也就無從談起。
首先,我們必須了解Windows系統的三大知識點:注冊表(Registry)、進程(Process)和權限(Privilege)。
“注冊表”是出現在Windows 95及以后版本的一種數據庫。在這之前,用戶要對軟硬件工作環境進行配置,就要修改一種被稱為“配置設置”(INI)的文件來完成,但是由于每種設備或應用程序都得有自己的INI文件,無形中增加了管理難度,為了解決這個問題,微軟開始統一標準并將各種信息資源集中起來存儲,最終形成了將應用程序和計算機系統配置信息容納在一起的“注冊表”,用來管理應用程序和文件的關聯、硬件設備說明、狀態屬性以及各種狀態信息和數據等,注冊表維持著整個系統的正常運作。
注冊表采用一種類似文件目錄的結構樹來描述配置信息,最頂端的5個項目稱為“根鍵”(ROOT_KEY),系統能識別的所有的數據都是從它們這里展開的,這5個根鍵分別是:
HKEY_CLASSES_ROOT(負責各種組件注冊類別和文件并聯信息)
HKEY_CURRENT_USER(當前登錄用戶的環境信息)
HKEY_LOCAL_MACHINE(整個系統的公共環境信息)
HKEY_USERS(所有用戶的環境配置信息)
HKEY_CURRENT_CONFIG(當前的配置信息)
其中,我們主要關注的是前面三個根鍵里的數據,它們是后門最愛篡改的地方,分別是三個啟動項目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”,一般的后門都要通過修改這里加入自己的配置信息以達到跟隨系統啟動的目的;除此之外就是文件并聯信息“HKEY_CLASSES_ROOT”,并聯型后門最愛更改這里的.exe、.bat、.scr、.com等可執行文件的注冊信息,讓自己搶先一步運行。更多涉及到的注冊表內容以后會提到,現在讓我們來看看進程是什么。
“進程”,是指一個可執行文件在運行期間請求系統在內存里開辟給它的數據信息塊,系統通過控制這個數據塊為運行中的程序提供數據交換和決定程序生存期限,任何程序都必須擁有至少一個進程,否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質復制在內存中的映像,它通常和某個在磁盤上的文件保持著對應關系,一個完整的進程信息包括很多方面的數據,我們使用進程查看工具看到的“應用程序”選項卡包含的是進程的標題,而“進程”選項卡包含的是進程文件名、進程標識符、占用內存等,其中“進程文件名”和“進程標識符”是必須掌握的關鍵,“進程標識符”是系統分配給進程內存空間時指定的唯一數字,進程從載入內存到結束運行的期間里這個數字都是保持不變的,而“進程文件名”則是對應著的介質存儲文件名稱,根據“進程文件名”我們就可以找到最初的可執行文件位置。
最后是“權限”,這里涉及的權限是指80386模式的Ring權限。操作系統是由內核(Kernel)和外殼(Shell)兩部分組成的,內核負責一切實際的工作,包括CPU任務調度、內存分配管理、設備管理、文件操作等,外殼是基于內核提供的交互功能而存在的界面,它負責指令傳遞和解釋。由于內核和外殼負責的任務不同,它們的處理環境也不同,因此處理器提供了多個不同的處理環境,把它們稱為運行級別(Ring),Ring讓程序指令能訪問的計算機資源依次逐級遞減,目的在于保護計算機遭受意外損害——內核運行于Ring 0級別,擁有最完全最底層的管理功能,而到了外殼部分,它只能擁有Ring 3級別,這個級別能操作的功能極少,幾乎所有指令都需要傳遞給內核來決定能否執行,一旦發現有可能對系統造成破壞的指令傳遞(例如超越指定范圍的內存讀寫),內核便返回一個“非法越權”標志,發送這個指令的程序就有可能被終止運行,這就是大部分常見的“非法操作”的由來,這樣做的目的是為了保護計算機免遭破壞,如果外殼和內核的運行級別一樣,用戶一個不經意的點擊都有可能破壞整個系統。但是現在,Ring已經屢屢被后門木馬利用成為一個令人頭痛的兇器。
2.進程偽裝型后門的殲滅
最初的后門靠注冊“系統服務”的方法在Win9x系統里隱藏自己的運行信息,到了NT架構里,這個方法失效了——NT家族自帶的任務管理器(Task Manager,TaskMgr.exe)把所有普通進程都一視同仁的顯示出來,連初級用戶都能輕易發現后門運行的痕跡,于是后門制造者開始攻克心理學和障眼法,讓后門進程在任務管理器里把自己標榜為“系統關鍵進程”,達到欺騙用戶的目的。
我們都知道,任務管理器列出的眾多進程里包含著一部分“關鍵進程”,它們是無法通過任務管理器中止的,而且許多文章也會提到相關進程名,久而久之,我們又養成一個習慣:查看進程信息時,只要看到熟悉甚至類似的進程名就忽略不計了,僅僅去尋找不熟悉的進程名,于是后門制造者就直接利用這個心理暗角配合路徑遍歷法則,讓后門進程顯示為“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等關鍵進程名就欺騙了用戶和任務管理器。
在這種情況下,系統自己的任務管理器已經不能信任了,因為它遺漏了最重要的路徑信息,后門就利用了這一點——它可以把自己偽裝成svchost.exe放到Windows目錄下,然后在注冊表啟動項里加上不帶路徑信息的“svchost.exe”信息,系統在根據目錄遍歷法則一層層深入尋找svchost.exe時會在Windows目錄里發現并執行它,而真正的關鍵進程svchost.exe是在SYSTEM32里的,而且它也必須通過“服務管理器”(Service Control Manager,SCM)加載,于是任務管理器會顯示多個svchost.exe進程,但是由于缺乏路徑指示,我們根本不知道系統已經多了一個假的svchost.exe。即使我們發現了它是假的,也無法用任務管理器終止它的運行,因為任務管理器只是簡單的判斷了文件名就認為它是“關鍵進程”了,自然不會讓你終止。類似的后門偽裝文件名還有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”(NT架構里根本沒有rundll.exe這個程序)、“SYSTEMservices.exe”等,要發現并殲滅這些后門,除了要求我們對常見的系統關鍵進程有所了解以外,還需要第三方提供的擴展任務管理器協助,例如Windows優化大師攜帶的進程查看器,用它便可迅速發現路徑不對的“假兄弟”。
其實最迅速的查找方法是運行“系統配置實用程序”(MSCONFIG.EXE),切換到“啟動項”,如果在這里發現了“系統關鍵程序”的信息,那它一定是假的。
3.服務欺騙型后門的戰役
Windows的任務管理器不可終止兩種程序的運行:一種是關鍵進程,另一種是通過服務管理器SCM啟動的系統服務程序(NT-Service),所以一部分后門制造者設法把后門做成服務形式,讓SCM直接幫助啟動服務進程,不再借用注冊表啟動項加載,這樣即使是對注冊表啟動項有一定了解的用戶也難以發現異常,而且就算他想終止任務管理器里顯示的奇怪進程,也會被拒絕,如果用戶對服務管理器的了解不深,那他將會在眼花繚亂的服務面前變得束手無策。
這時候,我們又需要請“系統配置實用程序”出山了,切換到“服務”選項卡,把“隱藏所有Microsoft服務”,這里就只顯示非微軟開發的普通服務程序列表了,包括服務欺騙型后門的服務項,一般它會包含欺騙性質的字符或者偽裝成某廠商的服務名,如“Rising Virus Monitor”(瑞星監控)、“Macromedia License”等,記住這里顯示的列表名稱,接著運行“服務管理器”(Services.msc)找到對應的項目,看看屬性里的文件和路徑是不是真的,如果你并沒有安裝KAV、MCAFEE這些殺毒軟件而SCM里卻找到對應項目的話,它就是狡猾的后門沒錯了。一些間諜軟件還會自作主張的把自己命名為“Windows Print Controller”,簡直就是無視系統自身的“Print Spooler”服務。
找到這類后門后,不要急著終止它的運行,既然后門作者知道SCM能直接停止它們,就必然會做一些復活措施,所以我們必須先把后門服務的“啟動類型”設置為“禁止”,然后重啟一次確保后門程序無法跟隨系統啟動,這時候才能開始清理后門。其中文件的路徑信息SCM已經提供給我們了,直接在磁盤上找到刪除即可,但是服務項目不能直接用SCM刪除,要刪除這個殘留的服務項,首先要對系統服務有個最初的概念。
官方對系統服務的定義如下:
在NT架構系統中,服務是指執行指定系統功能的程序、例程或進程,以便支持其他程序,尤其是底層(接近硬件)程序。通過網絡提供服務時,服務可以在Active Directory中發布,從而促進了以服務為中心的管理和使用。服務是一種應用程序類型,它在后臺運行。服務應用程序通常可以在本地和通過網絡為用戶提供一些功能,例如客戶端/服務器應用程序、Web服務器、數據庫服務器以及其他基于服務器的應用程序。 既然服務自身也是獨立出來的程序,它就必須有一個加載的入口,我們可以把這個入口理解為第二個啟動項,這個入口是由SCM負責的,無論是什么身份的用戶進入系統,SCM啟動服務的位置都固定在注冊表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里,所以只要找這個分支就可以發現所有服務——也許你會說,這里顯示的名字似乎都毫無意義,我怎么知道哪個是我正在找的?其實很簡單,我們回到SCM,查看一個服務的屬性,例如“DNS Client”服務,它的屬性里寫著“顯示名稱:DNS Client 服務名稱:Dnscache”,現在回到注冊表分支,查找“Dnscache”,就會看到它是CurrentControlSet ServicesDnscache,這就是我們在SCM里看到的“DNS Client”服務,如果你刪除掉“Dnscache”項目,那么整個“DNS Client”服務也就消失了。以此類推,很快就可以清理掉服務欺騙型后門。
4.最艱難的尋找:Ring 0后門
隨著安全技術的發展和計算機用戶群的技術提高,一般的木馬后門越來越難生存,于是一部分有能力的后門作者把眼光投向了系統底層——Ring 0。
位于Ring 0層的是系統核心模塊和各種驅動程序模塊,所以位于這一層的木馬也是以驅動的形式生存的,而不是一般的EXE。后門作者把后門寫成符合WDM規范(Windows Driver Model)的驅動程序模塊,把自身添加進注冊表的驅動程序加載入口,便實現了“無啟動項”運行。一般的進程查看器都只能枚舉可執行文件EXE的信息,所以通過驅動模塊和執行文件結合的后門程序便得以生存下來,由于它運行在Ring 0級別,擁有與系統核心同等級的權限,因此它可以更輕易的把自己隱藏起來,無論是進程信息還是文件體,甚至通訊的端口和流量也能被隱藏起來,在如此強大的隱藏技術面前,無論是任務管理器還是系統配置實用程序,甚至系統自帶的注冊表工具都失去了效果,我們不得不借助于更強大的第三方工具。幸好,一部分持有編寫Ring 0程序能力的人并沒有加入Ring 0木馬的陣營,而是把技術用到了安全檢查方面,于是我們有了IceSword、RootkitRevealer、knlsc等優秀的檢測工具。
一般的進程工具是運行在Ring 3級別的,它們讀取的依據來自Ring 0層,這些數據是可以被運行于Ring 0級別的木馬修改的,所以它們根本無法得知木馬程序信息,而IceSword等檢測工具不同,它們和Ring 0木馬一樣,也是通過驅動的模式進入Ring 0層工作的,不再需要從Ring 0層獲取信息,所以它們能得到未被木馬篡改的原始鏈表數據,例如最原始的進程信息,它是不能被更改的,如果木馬把它自身從原始進程信息里刪除,就意味著它要自我終結了。所以一旦有進程工具從 Ring 0層直接讀取了原始數據,再把這個數據和Ring 3層獲取到的進程列表比較一下,就能迅速發現哪個是拼命隱藏自身的木馬程序了。很巧合的是,驅動程序和系統服務共享同一個加載入口,即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,只要查找相應的Ring 0木馬文件名,就會發現它,刪除掉注冊表的加載數據后重新啟動計算機,再刪除掉木馬文件就可以解決了。
5.清理不受歡迎的附屬產品
“21世紀什么最貴?人才!”
——《天下無賊》
黎叔說的這句話固然無可厚非,只是他大概不知道,在21世紀的網絡上,網民最恨的就是一部分利用歪點子制造“廣告軟件”(Adware)和“流氓/間諜軟件”(Spyware)的“人才”。如今的網絡已經被這些不受歡迎的軟件使用捆綁戰術給占領了,隨便下載個共享工具,有點良心的會在安裝界面里默認打上“安裝附屬產品”的勾,更多的則是一口氣給你把所有附屬工具都裝上了,許多用戶在安裝了一些共享軟件后,突然發現瀏覽器多了一堆這個條那個霸的,想要卸載時卻發現所謂的卸載程序只是個把用戶當小孩來哄的界面!可以說,這些惡意軟件才是當今網絡最令人厭惡的東西,“流氓軟件猛于后門也”!
與各種后門木馬的意圖不同,惡意捆綁軟件的立場是自家公司的利益,它們一般不會攜帶破壞性質的代碼(但不代表沒有),通常還會擁有一些號稱“服務大眾”的功能,這些功能或許可以讓它得到一些用戶的擁戴,但是這種光環并不能掩蓋其“服務大眾”背后的暴利黑幕。首先,惡意捆綁軟件可以輕易收集到用戶信息,任何一臺被安裝了“X手X霸X豬X搜”的計算機都不再與“個人隱私”這個詞語有緣。其次,惡意捆綁軟件可以借用廣大計算機作為它無償彈出公司廣告的殖民地,如果每條廣告都能給該軟件背后的公司帶來一點利潤,那么一年下來這個公司就已經從廣大用戶群的身上搜刮到一大筆可觀的錢財了。天下并沒有免費的午餐,在你使用這些捆綁軟件提供的“快捷服務”時,你就已經付出了代價。
最初,捆綁軟件都比較單純,僅僅使用BHO技術(Browser Helper Objects,瀏覽器輔助模塊)把自己安家在瀏覽器上而已,但是現在,也許因為被用戶清理得多了,一些公司惱羞成怒把ring 0級別的木馬技術應用在了自家產品上,配合一種令人厭惡的強制安裝技術,再利用金錢開路,讓一些網站加載自己的產品,只要用戶瀏覽某個頁面,就會不知不覺被安裝上一堆BHO,這已經不是一般的強盜行為了,而由于商業關系,一般的殺毒程序是不能去查殺它們的,即使它們與木馬后門的特征無異,這時候,用戶就要靠自己來了。
首先,瀏覽器的BHO加載項目是固定在系統目錄的“Downloaded Program Files”文件夾里的,對于在瀏覽器上出現的欄目,只要簡單的在這個文件夾里選中刪除即可,但是其余殘留文件就只能自行尋找了,由于制作惡意捆綁BHO的公司太多,文件存放位置也不同,這里無法給出很全面的刪除方法,所以只能推薦兩個工具:Upiea和RogueCleaner,使用它們即可快速卸載掉惹人討厭的附屬產品。
四. 生存法則
在森林里,鹿媽媽會警告小鹿不要去到太偏僻或者太遠的地方玩耍,因為那里可能隱藏著惡狼。在網絡上有更多的惡狼存在,但是卻沒有人能收到有效的警告。要成為自己的救世主,必須把那一份多余的好奇心收起來,直到已經掌握了清理“不速之客”的技術以后,方可放開好奇心到處看看,否則一不小心被自己的好奇心弄得系統出毛病了,又沒法判斷清理,最終恐怕還是會回到依賴殺毒軟件的用戶群去。最后還有一句恒古不變的真理:網絡充滿風險,勤打系統補丁。
武裝到牙齒 07個人電腦安全配置手冊
[ 2007-03-25 02:56:05 | 作者: sun ]
前言
幾年前在社區中也發過類似的帖子,但是之后時間由于各種原因并沒更新重發。今年由于熊貓的原因我決定發布新版本的安全手冊。
本貼僅面相普通的計算機使用用戶,說以我盡量避免使用復雜的系統設置圖解而是盡可能用第三方軟件代替。軟件的使用宗旨也是盡量使用免費軟件和中文軟件。
思路我的重點并沒有放到查殺上,而是注重防上。一切都圍繞這個主題進行。
由于這是一個很龐雜的帖子,一次不可能完成所以帖子會不斷進行更新,某些內容可能來源其它網友我會盡可能署上作者姓名,如有 相關問題請聯系我:)更新前后會效仿軟件的版本號的形式注明。我已經向社區的版主征集相關的稿件,并會把相關的內容及時更新上來。
面相對象
目前本貼僅面相單機普通個人用戶的系統安全。但是考慮到很多朋友已經擁有二臺或兩臺以上的計算機設備,而且多機聯網可以有更大的安全空間,和更多安全選擇以及更好的安全效果。說以相關的內容會在后面的時間更新(已經在朋友那里組建完畢三機〔兩臺式一筆記本〕測試平臺,目前正在測試并收集相關的數據)
系統安裝前
分區應該是大家在安裝系統前最先碰到的一個問題,也是第一個被大家忽略的問題。給大家的意見就是系統盤也就是大家說的c盤應該在10G左右考慮到新系統(VISTA)可適當的擴展到15G。而工具盤也是說的D盤也應該在10G左右的空間。剩下的盤符大家可以自便,但是最后一個區空間應該適當的大一些因為我們用它來作資料備份使用。
磁盤格式的選擇
強烈建議大家的把C,D兩個盤符分成NTFS格式。因為WINDOWS的安全全都是建立在NTFS基礎之上的。拋棄了NTFS也就不要談什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分區的,你看到的C:應該是NTFS分區之后的那FAT32個區,但是借助其它軟件也可以查看DOS下的 NTFS的 數據)但是我也不推薦全部分區都使用NTFS,因為這樣你備份以及一些其它的操作可能會受到一些影響。所以個人的意見是把最后一個區也就是備份區分成FAT32。
系統選擇
微軟的VISTA系統已經上市了,但是由于其極高的硬件要求更因為第三方軟件軟件兼容性上的問題。我們暫時沒有選擇VISTA而是選擇成熟的 WINDOWS XP SP2 PRO。(放棄了2003是因為其設置上對于很多用戶是巨大的瓶頸,而且2003對很多軟件尤其是安全軟件都存在兼容性的問題。但是在以后涉及到多機安全上我們將涉及2003或服務器版本的 VISTA)
系統安裝
對于普通用戶來說系統安裝是最簡單的問題了,看似沒有說的必要。但是往往問題都是出在我們忽略的小事情上。比如系統,補丁,驅動等的安裝順序上。我的建議是系統→SP補丁(當然目前的XPSP2已經沒有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驅動的順序進行安裝。當然并不是說你不安這個順序安裝有什么問題,但是這樣作做少會降低很多不必要的隱患。
首次備份時間點
這樣安裝完驅動后,我們的系統就基本本宣告安裝完畢了。此時建議你使用備份軟件對系統進行備份,并最好把備份文件進行光盤存檔。
軟件提示
由于眾所周知的問題,在進行以上安裝的時候用戶會碰到第一個棘手的問題。就是無法下載WINDOWS的安全更新!此時建議相關的用戶安裝Windows Updates Downloader,該軟件是免費軟件,首次使用需要到其官方網站下載相應語言版本的文件(有WINDOWS和OFFICE二種)之后就可以點擊DOWNLOAD更新,它不僅僅提供安全更新,還提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是該軟件不會檢測你 系統中已經安裝的補丁,它之會把所有更新全部列出,所以用戶下載時請酌情下載相應的補丁。它還會下載非關鍵更新OTHER:)但是不一定沒有用,很有意思哦!
操作系統設置
以前是非常難說的問題,也是最費筆墨的一個部分。但是現在有了XP-ANTISPY這個軟件一切都變的非常簡單了!它同樣也是一個免費軟件,它將系統設置的各個的方面以選項的的 形式放在用戶面前,最讓人興奮的的 是每個選項作者都給出了詳細說明,用戶根據提示就可以把為復雜的系統的設置變成簡單的點擊。
非管理員賬戶的創建及設置
說VISTA的安全性的 提高,一個重要的原因就是。微軟借鑒LINUX的對管理員賬戶進行嚴格管制的思路,不讓用戶直接進入管理員賬戶即使要進入也輸入密碼……其實我們在非VISTA系統也可以這樣作。(由于時間的關系該內容以后更新)
密碼管理
前言
為什么要設置密碼,很多用戶都不去設置密碼或設置簡單得罪你密碼都是為了方便。但是在實際情況中,用戶擁有什么權限病毒木馬就有什么樣的權限。沒有權限控制的的計算機也就對病毒木馬全開綠燈。最關鍵是用戶不要以為有了安全軟件和防火墻就可以不設置密碼了因為這是完全沒有關系的二個安全體系。由于密碼設置的特使原因我無法對所有的密碼管理都進行詳盡的設置,用戶最好根據自己的軟、硬件使用說明以及自己的使用情況進行設置!但是唯一要提醒用戶你自己最好不要忘記自己設置的密碼:)
系統賬戶密碼
首先我們必須要對ADMINISTRATOR賬戶進行密碼設置而且密碼應該是12位以上(因為木馬病毒都帶有弱口令密碼字典,而且黑客賬戶都帶有各種密碼字典在可接受的時間內它們可以暴力破解95%以上的用戶密碼)。而且在我的電腦→管理→計算機管理→“本地用戶和組”中用戶應該停用除ADMINISTRATOR賬外的所有賬戶比如GUEST賬戶,即使用戶需要某些賬戶也應該對這些賬戶設置足夠強健的密碼。
請給你的安全軟件設置密碼
在安全軟件中很多軟件都有密碼控制的選項,用戶很多時候都沒有理會。但是為了這些軟件自身的安全以及保護你的軟件設置請給你的安全軟件設置密碼。
硬件密碼
ADSL MODEM在默認情況下都有默認的出廠密碼,一些別有用心的人就可以通過這個“漏洞”控制并攻擊用戶!所以請參照你的硬件說明更改密碼!
安全軟件的選擇
前言
對于防病毒軟件來說,沒有什么完美的軟件。甚至在一線和二線廠商之間也沒有什么大的分別。因為幾乎每一個我們知道或不知道的廠商都有自己獨特的反病毒技術,正是因為這種理念的不同就使的各個軟件在不同方面都有自己的優點及缺陷。對于用戶來說沒有最好的,只有最適合自己的。當然這種分寸拿捏是需要用戶對自己系統了解,以及對各個軟件長時間反復測試才能的出。對于普通用戶來說這顯然是很困難的。所以我給出是一個最大眾化的配置,它在各個方面都不會是最出色的配置,但是它也應該是綜合性能最優秀的一個。
普通用戶方案
主殺毒軟件
瑞星二??七
并非是因為我是IKAKA的版主或因為本貼是在社區首發,而推薦瑞星二??七的。因為這個版本的瑞星改進的脫殼程序完善了網友對瑞興詬病最多的木馬查殺環節,使用“碎甲”技術,完善了啟發查毒以及對虛擬機的成功應用,這一切都讓瑞星成了用戶的不二選擇。而且只要對瑞星進行合理的設置就基本可以抵御用戶面對安全問題。
安全建議:社區有不少二??七優化方案的 帖子大家最好看看:)
輔助殺毒
這里的殺毒軟件僅僅是對 主殺毒軟件的一個補充,因為目前的安全形式已經很難讓用戶用單一的安全手段面對日益增長威脅。輔助殺毒一般不會有實時監控程序即使有也建議用戶取消,僅僅只在下載新軟件后手動調用輔助殺毒程序進行查殺(也就是鼠標右鍵)
推薦1
Cureit它是鼎鼎大名的Dr.web的 免費版。Dr.web是俄科學院研制供俄羅斯軍方專業的殺毒軟件,其引擎對木馬脫殼能力應該是眾多殺毒軟件中最強大的,即使是卡巴斯基單從引擎上 說也遜色三分。Cureit根Dr.web的 區別僅僅是沒有實時監控程序,其它諸如引擎和病毒庫上都是完全相同的。
優點:完全免費,資源占用少 缺點:沒有中文版。
推薦二
**
**就不用說了,其根瑞星的淵源我也不用細細道來了,選用**的理由很簡單就是其設計的初衷!一款主動防御軟件。具體的 說明大家有興趣可以到其官方網站了解。
優點:國貨!對主殺毒程序兼容好 缺點:付費軟件,資源占用稍大。
防火墻
前言
沒有安全的墻!目前大家對防火墻評測基本都是國外網站的測試的結果,而且流行的無非都是那幾款。但是非常遺憾的告訴大家這些墻都有或大或小的安全BUG,而且即使是ZA這種被網友“力捧”的墻在其設計構架中都存在致命的缺陷。最關鍵不是你看別人說什么墻好,而是你了解什么墻你會用什么墻。
瑞星二??七防火墻
又是瑞星?沒錯!首先它是瑞星殺毒軟件標準版中就附帶,而且經過不斷的改進瑞星防火墻已經成為一款成熟的產品。瑞星殺毒軟件+瑞星防火墻+注冊表監控,用戶只要運用好這3樣工具就基本可以從容的應付常見的安全威脅。
社區有網友提供瑞星防火墻規則包建議大家安裝,不錯的:)有時間我可能會更新一個新包上來:)
花絮:一樣的外衣不一樣的心
很多人都關系某某部門用了什么軟件或軍方用了什么軟件,其實這完全沒有什么意義因為首先你不可能享受到想這些部門一樣的服務。其次這些殺毒軟件的DAT或防火墻的規則你是根本就接觸甚至看不到的。編譯好自己的規則才時最關鍵的。
HIPS一
什么是HIPS
HIPSPS(主機入侵防御體系),也被稱為系統防火墻,今年開始在比較專業的用戶中開始流行,甚至一些殺毒軟件廠商研究新病毒的時候都用它們來最終分析。HIPS可以控制限制進程調用,或者禁止更改或者添加注冊表文件。當某進程或者程序試圖偷偷運行時,這個行為就會被所HIPS檢測,然后彈出警告,詢問用戶是否允許運行。如果用戶擁有足夠的軟件和系統進程方面知識的情況下,利用HIPS軟件能非常有效的防止木馬或者病毒的偷偷運行。如果運用的好甚至可以擺脫對殺毒軟件的依靠!(現在開始風行的行為殺毒其實就是HIPS功能的智能化)。的功能分類有Application Defend(簡稱AD)應用程序防御體系, Registry Defend(簡稱RD)注冊表防御體系(比如瑞星的注冊表監控), File Defend(簡稱FD)文件防御體系三類。
第一次使用HIPS時用戶進行各種操作軟件都會有提示,用戶安提示操作就可以了以后只要文件沒有被病毒或木馬破壞就不會有相關的提示,但是這也要求使用HIPS一定要不怕麻煩,并能認真閱讀HIPS的提示信息。否則HIPS對你不但沒有什么幫助,也會徒增你的煩惱
推薦
System Safety Monitor(簡稱SSM)是目前最紅的HIPS軟件,經過幾年的開發,現在SSM2.2已經基本成熟了,系統資源占用也越來越少,它擁有AD和RD功能,可以察看運行程序的父子關系,就是界面設計的有些煩瑣,上手比較麻煩,擁有MD5和更強大的256位SHA效驗算法可以選擇。同時也有中文語言包,雖然價格比較高,但是還有免費的版本提供,不過少了磁盤底層寫入監視和RD(正因為瑞星又RD功能,所以我推薦SSM作為普通用戶方案HIPS的搭配)
注意:SSM有付費和免費兩種版本,免費版僅缺少幾項項監控。用戶可根據自己的情況選擇!建議大家用免費版本:)
第二次備份時間點
使用上述軟件對 系統進行完全掃描后,用戶就可以進行第二次的備份操作!備份文件直接備份備份區分即可刻在光盤上也不錯:)
免費方案
免費軟件已經不是一個陌生的名詞,免費的安全盛宴也不可不稱“豐富”。用好這些免費軟件你同樣可以擁有安全。還是那句話沒有最好的軟件,只有最合理的使用方法。
PS:根據免費軟件的使用協議,您如果使用后依然中毒,或導致系統沖突,進而引起數據損毀甚至硬件損壞等不良后果一概由您自行承擔。因此如果您對軟件尚不甚了解,請到論壇各專區學習,或請專人指導,或發帖求助。同樣出于時間的問題我也無法給出這些軟件的兼容性測試。建議用戶首次使用時僅用在學習交流測試中。
主殺毒軟件
推薦1
AntiVir PersonalEdition Classic就是網友說的“小紅傘”。一款來自德國的安全產品今年在瑞星參加過的德國的AV-test測試上基本保持第一第二的地位。它的免費版殺毒軟件也只是少了很少功能,引擎和病毒庫和收費版本完全相同。在國際上非常有名,在國內更是有著不小的影響。在免費殺毒軟件首推AntiVir是因為其是以出色的啟發”查毒。
PS: Classic是免費版本Premiun是付費版本,還有免費版也顯示有時限日期不用理會到時軟件會自動更新新的授權。
優點:免費難道不是最大優點嗎?缺點:沒有中文版
推薦2
捷克的AVG Anti-Virus是歐洲著名的殺毒軟件,今年發布的7.5版本功能全面,無論是啟發還是特征碼殺毒技術都很成熟。它可能是提供了功能縮水最少的免費版殺毒軟件,只是有部分功能無法設定,其它都和收費版本相同!
優點:同上 缺點:同上
PS:免費的國產殺毒軟件有“東方衛士”抵抗英文的朋友可以用一下。
輔助殺毒
推薦一
羅馬尼亞BitDefender Antivirus 8 Free Edition其實它也很有明,其付費版我 也曾經試用過,感覺很不錯:)號稱世界上病毒庫最多的安全軟件
PS: 繁體中文版下www.bitdefender.com.hk/site/Main/view/Download-Free-Products.html
優點:繁體中文也是中文呀! 缺點:沒有監控所以用在輔助殺毒也不是問題了……
推薦二
Novatix Cyberhawk這個是什么什么東東?嘿嘿!它就是美國版的WEIDIAN但是人家是免費的!
優點:免費的主動防御工具 缺點:沒有中文版
防火墻
前言
免費的防火墻實在是太多太多了,熱評排名的帖子有很多但是針對免費防火墻測試帖子還沒有看到。但是就是有誰又能知道其權威性呢?還是那句最關鍵不是你看別人說什么墻好,而是你了解什么墻你會用什么墻。
推薦一
費爾防火墻3.0
我個人力推的免費軟件,最近更新了3.0界面和性能都有很大的提高,極力推薦大家試用一下。其它國產防火墻風云,傲盾等等都有自己令人稱道一面大家可以根據自己的需要試用。
優點:國產軟件
推薦二
Comodo Personal Firewall Pro來自英國的功能強大、高效而容易使用的防火墻,提供了針對網絡和個人用戶的最高級別的保護,從而阻擋黑客的進入和個人資料的泄露。以上都是官方的說法……但是推薦的理由完全是另一個原因,因為科摩多防火墻是第一個在內置國際語言中有中文的軟件!!!
優點:新墻,老外的但是支持中文沒有什么理由不試一試。
HIPS二
ProSecurity是今年發布的新東東,當前的是1.25版。它占用系統資源很少,設定也很簡單。同時擁有了AD和RD功能。穩定也不錯,對于AD控制采用了先進的SHA效驗技術,也提供了免費版本。用夠了SMM嗎?用ProSecurity吧!
優點:免費而且有直接支持中文哦!
虛擬還原
有社區的朋友說上面的方法都非常的麻煩,使用殺毒軟件+防火墻+虛擬機的組合,的確目前還是沒有可以感染虛擬機的病毒,但是個人認為這樣組合在某些方面是不錯但是仍有些問題讓人撓頭。我依舊給出一個軟件但是比虛擬機要方便一些。
推薦
PowerShadow Master。它是原聯想部門經理鮑禹卿開發的,它開發出影子系統后,在國內共享軟件難以見到收益的環境下,暫時放棄國內市場,開發英文版并在歐美市場采用代理方式銷售后,現在軟件認知度很高,國內漸漸也有很多用戶。在2006年底,鮑禹卿決定將這款優秀軟件打入中國市場,以獲得更龐大的用戶群,如果是個人用戶使用,它還是免費的!
它有兩種模式:一種是保護系統分區,一切對系統的更改在下次啟動后全部無效,對非系統分區的更改是有效的,一種是全盤保護模式。它獨創的影子模式讓真正的系統具有隱身的能力,使你擁有一個真正自修復免維護的系統。
