教你如何應對殺除病毒時提示清除失敗
[ 2007-03-25 02:45:03 | 作者: sun ]
很多網(wǎng)友在保衛(wèi)自己的愛機時,不管使用了哪些殺毒軟件,幾乎都會碰到儲如此類的問題,如:
★清除病毒失敗怎么辦?
★殺毒出現(xiàn)清除失敗怎么辦?
★清除失敗或未解決病毒怎么辦?
★發(fā)現(xiàn)病毒時提示“刪除失敗”,怎么辦?
★發(fā)現(xiàn)病毒時提示“清除失敗”,怎么辦?
★系統(tǒng)中了病毒、木馬、蠕蟲,清除、隔離、刪除失敗怎么辦?
產(chǎn)生這些問題的主要原因在于:
1、病毒正在使用中;
2、病毒防止殺毒軟件清除而做的自我保護;
3、病毒中有守護進程在保護病毒。
簡單解釋下這其中的原因:
1、這是較早期的殺毒軟件無法清除病毒時的提示,比如一個文件,如果你正在打開使用它時,你是沒有辦法刪除這個文件的, 因為文件正在使用中,受到系統(tǒng)正常的保護;同樣病毒進程如果沒有終止掉,直接刪除病毒文件的話,同樣會提示該信息。
2、 原因2與原因3可以歸類來說,簡單地講,就相當于病毒躲在巨人的身后,你想要抓住這個“病毒”,首先要打敗這個“巨人”,否則就會受到“巨人”的干擾而讓你無法順利抓到這個“病毒”。同樣地,病毒為了防止自己不被殺毒軟件查殺、剿滅,而使用了如:權(quán)限提升到系統(tǒng)級、阻止病毒進程被終止、阻止病毒體被刪除、電腦中同時存在2個以上的病毒,相互負責監(jiān)控對方,如發(fā)現(xiàn)自己的保護對象不存在了,重新生成新的病毒體。
解決辦法:
1、 重新啟動電腦進入操作系統(tǒng)的安全模式, 使用殺毒軟件清除或手工刪除病毒體。
2、 使用終截者抗病毒中的“安全回歸”功能,在電腦重新啟動的同時迅速將病毒隔離,之后,你可以通過殺毒軟件清除或手工刪除。
小插曲:什么是安全回歸?
安全回歸看似是“重新啟動”,它主要是針對目前許多惡意病毒無法徹底查殺,在每次電腦開機啟動后又重新發(fā)作的問題,安全回歸行為識別技術(shù)提供一個快速解決方案。用戶只須輕點擊“安全回歸用戶電腦將在一次重新啟動電腦的過程中恢復到一個無病毒、無流氓軟件運行的安全狀態(tài),并告知用戶已經(jīng)攔截了哪些危險程序,整個過程的感覺就像是上天給予了一次安全重來的機會。
安全回歸基本原理
安全回歸在計算機開機啟動過程中,識別和判斷所有將要運行的程序,包括病毒、木馬等惡意程序,只允許運行合法的系統(tǒng)程序和用戶在安全回歸許的程序,其它的一律禁止。這樣可以保證:
1、電腦啟動完成后,沒有任何病毒及流氓軟件正在運行,同時也抑制了所有病毒程序?qū)﹄娔X破壞;
2、不用擔心病毒程序先于安全回歸運行,它有一夫當關(guān),萬夫莫開之功效;
3、使用安全回歸不會刪除用戶任何數(shù)據(jù),請用戶放心使用。
安全回歸可以解決什么問題?
1、解決頑固木馬、病毒無法清除,或反復清除失敗的問題;
2、拒絕流氓軟件困擾、減少彈出窗口的干擾;
3、禁止了與安全無關(guān)的進程、服務及插件的運行,加快了系統(tǒng)運行速度。
★清除病毒失敗怎么辦?
★殺毒出現(xiàn)清除失敗怎么辦?
★清除失敗或未解決病毒怎么辦?
★發(fā)現(xiàn)病毒時提示“刪除失敗”,怎么辦?
★發(fā)現(xiàn)病毒時提示“清除失敗”,怎么辦?
★系統(tǒng)中了病毒、木馬、蠕蟲,清除、隔離、刪除失敗怎么辦?
產(chǎn)生這些問題的主要原因在于:
1、病毒正在使用中;
2、病毒防止殺毒軟件清除而做的自我保護;
3、病毒中有守護進程在保護病毒。
簡單解釋下這其中的原因:
1、這是較早期的殺毒軟件無法清除病毒時的提示,比如一個文件,如果你正在打開使用它時,你是沒有辦法刪除這個文件的, 因為文件正在使用中,受到系統(tǒng)正常的保護;同樣病毒進程如果沒有終止掉,直接刪除病毒文件的話,同樣會提示該信息。
2、 原因2與原因3可以歸類來說,簡單地講,就相當于病毒躲在巨人的身后,你想要抓住這個“病毒”,首先要打敗這個“巨人”,否則就會受到“巨人”的干擾而讓你無法順利抓到這個“病毒”。同樣地,病毒為了防止自己不被殺毒軟件查殺、剿滅,而使用了如:權(quán)限提升到系統(tǒng)級、阻止病毒進程被終止、阻止病毒體被刪除、電腦中同時存在2個以上的病毒,相互負責監(jiān)控對方,如發(fā)現(xiàn)自己的保護對象不存在了,重新生成新的病毒體。
解決辦法:
1、 重新啟動電腦進入操作系統(tǒng)的安全模式, 使用殺毒軟件清除或手工刪除病毒體。
2、 使用終截者抗病毒中的“安全回歸”功能,在電腦重新啟動的同時迅速將病毒隔離,之后,你可以通過殺毒軟件清除或手工刪除。
小插曲:什么是安全回歸?
安全回歸看似是“重新啟動”,它主要是針對目前許多惡意病毒無法徹底查殺,在每次電腦開機啟動后又重新發(fā)作的問題,安全回歸行為識別技術(shù)提供一個快速解決方案。用戶只須輕點擊“安全回歸用戶電腦將在一次重新啟動電腦的過程中恢復到一個無病毒、無流氓軟件運行的安全狀態(tài),并告知用戶已經(jīng)攔截了哪些危險程序,整個過程的感覺就像是上天給予了一次安全重來的機會。
安全回歸基本原理
安全回歸在計算機開機啟動過程中,識別和判斷所有將要運行的程序,包括病毒、木馬等惡意程序,只允許運行合法的系統(tǒng)程序和用戶在安全回歸許的程序,其它的一律禁止。這樣可以保證:
1、電腦啟動完成后,沒有任何病毒及流氓軟件正在運行,同時也抑制了所有病毒程序?qū)﹄娔X破壞;
2、不用擔心病毒程序先于安全回歸運行,它有一夫當關(guān),萬夫莫開之功效;
3、使用安全回歸不會刪除用戶任何數(shù)據(jù),請用戶放心使用。
安全回歸可以解決什么問題?
1、解決頑固木馬、病毒無法清除,或反復清除失敗的問題;
2、拒絕流氓軟件困擾、減少彈出窗口的干擾;
3、禁止了與安全無關(guān)的進程、服務及插件的運行,加快了系統(tǒng)運行速度。
教你識辨幾個容易被誤認為病毒的文件
[ 2007-03-25 02:44:36 | 作者: sun ]
隨著計算機的普及和信息技術(shù)的發(fā)展,“計算機病毒”一詞對每一個人來說都已經(jīng)不再陌生了,現(xiàn)如今計算機病毒可謂層出不窮,甚至讓廣大計算機用戶幾乎到了“談毒色變”的程度。江民公司技術(shù)工程師發(fā)現(xiàn)有許多用戶對操作系統(tǒng)下的文件不是很了解了解,以至于產(chǎn)生種種的懷疑。以下是用戶經(jīng)常懷疑是病毒的文件:
一、Thumb.db文件
Thumb.db文件被用戶誤認為是病毒的原因應該有三點:
1、該文件在一些操作系統(tǒng)中的帶有圖片的文件夾中都存在;
2、即使刪除此文件,下次打開該文件夾時仍會生成;
3、該文件可能會不斷增大。
其實,Thumb.db文件在Windows Me或更新的Windows版本中都會有,這是Windows對圖片的緩存(也可以說是緩沖文件),它可以方便用戶對圖片進行預覽,圖片越多,這個文件可能就越大,這是正常的。在Windows XP系統(tǒng)下可以在“文件夾選項”里面選擇“不緩存縮略圖”,就不會產(chǎn)生這種文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后綴是無窮AVB)”
Mfm1992文件用戶誤認為是病毒的主要原因應該是:此文件可能生成在任何一個文件夾中,而且刪除后可能還會重新生成。
Mfm1992文件是由于智能ABC的詞庫出錯而產(chǎn)生的一個文件。由于智能ABC輸入法的詞庫容量有限,當超出這個容量的時候,就會產(chǎn)生這個文件。當前程序運行在哪個目錄,這個文件就在該目錄下產(chǎn)生。這個文件的大小一般為43KB。這是智能ABC4.0的一個Bug,Win2000和me中自帶的智能 ABC5.0已經(jīng)修正了這個錯誤。
如果想讓計算機中不再出現(xiàn)這個文件,有兩種辦法:
1、可以把4.0的智能ABC升級至高版本。
2、可以把Windowssystem目錄下的*.rem文件刪除,然后重啟計算機。
三、Word的臨時文件
用戶在打開一個Word文檔時會發(fā)現(xiàn)在同一個目錄下出現(xiàn)了一個與原文檔名稱相同但前面加了一個“~$”符號的文件,它的圖標與Word文檔的圖標相同,但是“灰”顏色的(即具有隱藏屬性)。許多用戶覺得可疑,認為是病毒造成的。
其實這是一個正常的現(xiàn)象,這個文件是Word生成的,可以理解為是一個緩沖文件,它的作用是最大限度的保存由于意外原因(如突然死機等)造成的用戶對修改或建立的Word文檔在未進行保存時的損失。其實這個文件在關(guān)閉了Word文檔后即會自動消失,用戶不必擔心。
四、jdbgmgr.exe文件
與以上幾種文件不一樣,該文件即不是出錯時生成的文件也不是臨時文件,是一個正常的系統(tǒng)文件。用戶本來是注意不到它的,因為它存在于系統(tǒng)目錄下。但很多用戶把它認為是病毒的原因是由于一封具有欺騙性的電子郵件在網(wǎng)上四處散發(fā)。這封被偽裝成一份病毒防治報告的電子郵件,對收到郵件的用戶發(fā)出警告,聲稱 “jdbgmgr.exe”文件是一種病毒,可以在感染PC兩周后損害整個電腦系統(tǒng)。這一謊言被許多相信自己已經(jīng)被感染的PC用戶四處散發(fā),希望能幫助其他受害者清除這個病毒。
實際上,“jdbgmgr.exe”文件是Java調(diào)試管理器,是所有Windows系統(tǒng)中所安裝Java軟件的一個組成部分。該文件一旦被刪除之后,可能會導致一些Javaapplets和JavaScript停止工作。
一、Thumb.db文件
Thumb.db文件被用戶誤認為是病毒的原因應該有三點:
1、該文件在一些操作系統(tǒng)中的帶有圖片的文件夾中都存在;
2、即使刪除此文件,下次打開該文件夾時仍會生成;
3、該文件可能會不斷增大。
其實,Thumb.db文件在Windows Me或更新的Windows版本中都會有,這是Windows對圖片的緩存(也可以說是緩沖文件),它可以方便用戶對圖片進行預覽,圖片越多,這個文件可能就越大,這是正常的。在Windows XP系統(tǒng)下可以在“文件夾選項”里面選擇“不緩存縮略圖”,就不會產(chǎn)生這種文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后綴是無窮AVB)”
Mfm1992文件用戶誤認為是病毒的主要原因應該是:此文件可能生成在任何一個文件夾中,而且刪除后可能還會重新生成。
Mfm1992文件是由于智能ABC的詞庫出錯而產(chǎn)生的一個文件。由于智能ABC輸入法的詞庫容量有限,當超出這個容量的時候,就會產(chǎn)生這個文件。當前程序運行在哪個目錄,這個文件就在該目錄下產(chǎn)生。這個文件的大小一般為43KB。這是智能ABC4.0的一個Bug,Win2000和me中自帶的智能 ABC5.0已經(jīng)修正了這個錯誤。
如果想讓計算機中不再出現(xiàn)這個文件,有兩種辦法:
1、可以把4.0的智能ABC升級至高版本。
2、可以把Windowssystem目錄下的*.rem文件刪除,然后重啟計算機。
三、Word的臨時文件
用戶在打開一個Word文檔時會發(fā)現(xiàn)在同一個目錄下出現(xiàn)了一個與原文檔名稱相同但前面加了一個“~$”符號的文件,它的圖標與Word文檔的圖標相同,但是“灰”顏色的(即具有隱藏屬性)。許多用戶覺得可疑,認為是病毒造成的。
其實這是一個正常的現(xiàn)象,這個文件是Word生成的,可以理解為是一個緩沖文件,它的作用是最大限度的保存由于意外原因(如突然死機等)造成的用戶對修改或建立的Word文檔在未進行保存時的損失。其實這個文件在關(guān)閉了Word文檔后即會自動消失,用戶不必擔心。
四、jdbgmgr.exe文件
與以上幾種文件不一樣,該文件即不是出錯時生成的文件也不是臨時文件,是一個正常的系統(tǒng)文件。用戶本來是注意不到它的,因為它存在于系統(tǒng)目錄下。但很多用戶把它認為是病毒的原因是由于一封具有欺騙性的電子郵件在網(wǎng)上四處散發(fā)。這封被偽裝成一份病毒防治報告的電子郵件,對收到郵件的用戶發(fā)出警告,聲稱 “jdbgmgr.exe”文件是一種病毒,可以在感染PC兩周后損害整個電腦系統(tǒng)。這一謊言被許多相信自己已經(jīng)被感染的PC用戶四處散發(fā),希望能幫助其他受害者清除這個病毒。
實際上,“jdbgmgr.exe”文件是Java調(diào)試管理器,是所有Windows系統(tǒng)中所安裝Java軟件的一個組成部分。該文件一旦被刪除之后,可能會導致一些Javaapplets和JavaScript停止工作。
Viking變種清除史上最完美攻略
[ 2007-03-25 02:44:20 | 作者: sun ]
經(jīng)過了兩天的日夜奮戰(zhàn),今天凌晨時終于把viking變種完全搞定。在之前在這里我也曾發(fā)過貼求助,但沒有正確答案。所以在這里我把總結(jié)出的經(jīng)驗分享一下。
以下是我前兩天的遭遇:
一次上網(wǎng)過后發(fā)現(xiàn)了一些可疑的進程。使用ecq-ps進程王來查看它們的路徑,有些是病毒文件。有些則是通過正常系統(tǒng)進程如“svchost.exe csrss.exe“等作為勾子運行的dll和sys文件,我心里又想,這些小毛毒又來了,(我的系統(tǒng)裝于04年,一直使用至今,中過無數(shù)次病毒,都被我統(tǒng)統(tǒng)搞定了,心想這次又來一個殺一個,來兩個殺一雙吧)。我用的雙系統(tǒng),重啟進win98的dos手動刪除以上路徑的文件,再進winxp,刪除以上文件相關(guān)的注冊表鍵值。再進服務里邊檢查一下發(fā)現(xiàn)病毒殘留的服務項目,還偽裝得很好的。描述還和正常服務一個模樣,什么管理系統(tǒng)應用程序的128位密鑰傳輸?shù)脑S可證服務。看了我都想笑。不過再看看源路徑(文件名忘了)和依存關(guān)系,就露陷了。心想麻外行還可以。。二話不說machine\system\currentcontrol\sevices\下揪出來刪!
重啟,觀察進程。一切恢復正常。喝口水。看會網(wǎng)絡(luò)電視休息了。。可是就在這時真正的死神出現(xiàn)了。系統(tǒng)進程里突然暴出NN多病毒進程。瑞星也被關(guān)閉了,有些是剛才的有些不是。我慌了。先刪除染毒的瑞星。(是昨天才升級的最新版啊)急忙用剛才的方法反復查殺多次,但每次啟動后不久又會出現(xiàn)。。。且在98的純dos下刪除病毒文件時提示access denied(拒絕訪問)時應該是內(nèi)存駐留型的。于是冷啟動再用windowsPE啟動盤啟動光盤里的PE操作系統(tǒng),我想,PE內(nèi)核都不一樣,我看你還咱辦。于是在PE里邊刪除病毒文件,果然這次啟動進程恢復正常了。恢復完注冊表。我就打開訊雷看一下我下載的工具軟件,結(jié)果,又中標了。。。我開始總結(jié):應該是把EXE文件感染了。不然怎么會無端多出些病毒進程出來。于是仔細看目錄,發(fā)現(xiàn)被感染的exe文件下有exe.exe擴展名的文件,比如是acdsee.exe就會有acdsee.exe.exe并且文件圖標丟失(不是網(wǎng)上說的那種在同目錄下生成_desktop.ini文件,那是老版維金。我這個也有_desktop.ini,不過在c:\下,而且在D盤還會生成autorun.inf 及iexplorer.pif文件) 于是刪除所有*.exe.exe文件,再次光盤啟動刪毒。這下進程雖然又恢復正常了。但是桌面上大多數(shù)的圖標變成白的了。。心想這下完了,病毒感染了大多數(shù)exe文件。很多年沒有遇到這樣了。我又不敢啟動這些程序,一啟動包又中標,于是我安卡巴。安了6。0307,升級最新,安全模式下掃,正常模式下掃。。掃不出一點東西。又安6。04XX 還安5XXbeta最新的了,中英文都安過了,,掃不出。。。。。。。。。怒火!!!!(網(wǎng)上明明說卡巴掃得到的,我想都是針對舊版維金吧)于是再來賣咖啡(mcafee),在線升級mcafee,掃描。。。結(jié)果賣咖啡也賣不脫。。。暴怒!!!!再于是找到金山、瑞星的專殺工具來,也是一個掃不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盤里的文件比較足足多了近60K。而且每個受感染的文件都同樣多了近60K ,證明感染的是都是vking!!。。。江民的專殺工具能殺,不過還好我點停止點得快。。。因為我看了一下,它的所謂殺大多數(shù)都是刪除!!!刪除了我好幾個exe文件呢。就算保留,保留下來的也是不能運行的僵尸文件。什么exe修復機根本不頂用。一邊涼快!!
這下完了。絕望。這么多exe文件,打死我也不愿意格盤刪'除。
在網(wǎng)上看了一下維金的免疫方法。突然想起什么。。經(jīng)過自己內(nèi)心激烈的思想斗爭于是作出了以下決定:
我做了個試驗,先將C盤做了個ghost,然后雙擊一個感染文件,系統(tǒng)進程出現(xiàn)viking,然后被雙擊這個exe文件圖標,大小恢復正常.進程里首先出來三個文件。ghost恢復恢復。。這下有點眉目了
就是在病毒原有目錄下建一些0字節(jié)txt文件,改成病毒進程名,如:logon_1.exe 偽裝一下,把它們改成只讀,然后一個一個的點exe文件,讓EXE文件中的異常代碼釋放入內(nèi)存,再結(jié)束相應進程
說干就干。仿照先前三個文件在c:\windows\建立 logon_1.exe richdll.dll (有些維金版本不是這個dll名字,變種有不同。路徑也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,設(shè)只讀
找出所有exe文件,網(wǎng)上說過只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中標了,再次證明不是網(wǎng)上說的那種viking。。。開始 一 一雙擊釋放。。。。。就這樣。。。就這樣。。它們快樂地流浪,就這樣。它們?yōu)閻鄹璩!!@菒凵稀!!!E荆。⊥炅伺茴}挨臭雞蛋了。
*.*
不是。。我只是形容一下上千個文件一 一打開的漫長。。過了幾個小時后。終于完成。。舒展下酸痛的腰。。重建圖標緩存。。。。冷啟動。。。
。。。。。。。。大功告成。。。至此。全部viking一個不留
已經(jīng)很久沒有這樣fighting過了
經(jīng)過了這么長時間的周旋。已經(jīng)對這個變種病毒的原理有初步了解。以下列出本人總結(jié)出的該病毒特征及清除方案:
viking"維金"病毒 變種
應該算一個木馬。互聯(lián)網(wǎng)高度發(fā)展的產(chǎn)物
首先在被種植機器的系統(tǒng)盤下\windows目錄下生成logon_1.exe RUNDL132.exe 還有一個dll文件,我的是richdll.dll,還有網(wǎng)上說的dll.dll vtd.dll什么五花八門的,反正就是dll文件,并加載入系統(tǒng)進程。刪除不掉.
這些文件相互關(guān)聯(lián),結(jié)束進程并刪除后馬上又會出現(xiàn)。
自動禁用殺毒防火墻,并且感染防火墻文件
然后調(diào)用net share 命令打開$ipc命名管道共享。以傳播到局域網(wǎng)上其它機器上.
釋放出諸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注冊表exe文件,網(wǎng)站鏈接,scr文件,未知(打開方式)文件,等常用文件的關(guān)聯(lián)為iexplore.pif或以上的其它某個病毒程序.將exe文件改為自創(chuàng)的winfile文件類型,從而讓每個exe文件運行時同時調(diào)用病毒,這招太狠了;更改文件查找檢索方式關(guān)聯(lián)為finder.com ;把原本用rundll32.exe文件調(diào)用的程序,如網(wǎng)上鄰居屬性,通過注冊表改為帶有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run鍵值下添加名為load等字樣的木馬加載項。在currentversion\logon下也有。。。另外還改了些其它鍵值,這些只是較明顯的。
檢測可用驅(qū)動器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 讓雙擊操作變?yōu)椤白詣硬シ挪《尽彼灾荒苡覔舸蜷_了。。。
最最可恨的就是感染所有驅(qū)動器上大于大約27KB的exe文件。加上約60KB的數(shù)據(jù),文件圖標丟失,目的在于被清除病毒后通過exe文件復活,當調(diào)用該句柄時自我釋放為logon_1.exe rundl132.exe
并且恢復exe文件以便讓它正常運行。。。
同時會自動從網(wǎng)上下載多達幾十種其它類型的病毒,QQ盜號木馬,熱門網(wǎng)絡(luò)游戲木馬。至此,taskmgr任務管理器一團糟。。
因為木馬眾多會影響清除效率及難度,內(nèi)存占用超大,危險系數(shù)也大。這點不得不佩服。。
如果你的系統(tǒng)有以上狀況,那么請follow they step:
首先你斷開internet網(wǎng),刪除殺毒軟件。因為它已被病毒感染,它在內(nèi)存里只是添麻煩而已
重新安裝殺毒軟件,比較可以的有卡巴斯基、mcafee、江民,推薦用卡巴,安完馬上重啟。不要停留不然新的殺軟會又中標的。安全模式下因為不能啟用msiexec所以很多軟件安不了
冷啟動或關(guān)機,撥電源也可,待光電鼠標燈不亮了再開機(呵呵太夸張了)
進入帶網(wǎng)絡(luò)連接的安全模式,(如果不能上網(wǎng)就還是進正常模式),用文件夾選項里面打開顯示所有文件;取消隱藏系統(tǒng)文件復選框,選中顯示已知文件擴展名;下載viking專殺工具,這里推薦江民的。下載"瑞星卡卡助手"用于以后修復注冊表,如果為exe文件最好改下后綴名。以后運行時再改回來。升級殺毒軟件為最新版。升了馬上重啟進入純安全模式,只運行系統(tǒng)盤掃描。掃到的病毒名及路徑用筆記下來。
冷啟動。。光盤或U盤啟動dos,查找剛才記下來那些文件,有就刪。我用的是windowsPE啟動盤啟動。所以免去了dos命令帶來的麻煩,最主要要找到并刪除上文說到的那些文件,這里很關(guān)鍵,一定要仔細找。
進入安全模式,運行regedit.exe (記住一定要輸入.exe,因為如果沒刪干凈,exe文件會被再度被作為winfile文件類型中的病毒命令行打開。)
按ctrl+f查找以上述文件的文件名的鍵值刪除。
進入正常模式,這時可能因為殺毒引起不能上網(wǎng)了,用剛才下載的“瑞星卡卡助手”修復IE和注冊表吧。順便也掃一下剛才可能viking下載有的其它木馬及殘留(切記不要啟動寬帶撥號程序,因為Enternet500這類撥號程序己被感染,如果是xp下的默認撥號,也最好不要去動)
接下來進程應該干凈了,就要處理被感染的exe文件了,如果你不想要這些文件可以選擇直接用專查工具把它們殺爛,或查找直接刪除,還省了下邊的步驟。因為以下步驟最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文檔.txt,建三個,分別改為以上三個文件名。并且設(shè)為只讀。放在平時它們感染的目錄下。目錄位置上文己提及。目的用于免疫,防止染毒exe文件釋放出同名病毒文件。
也可使用gpedit.msc,組策略中用戶配置\管理模板\系統(tǒng)\不要運行windows程序中,啟用并添加logon_1.exe
rundl132.exe
也可使用mcafee殺毒軟件中的文件規(guī)則,禁止在硬盤中新建*.exe *.com 文件
后兩種限制方法我沒試過,但理論上說是成立的
接下來按順序分別查找每個盤上的exe文件。按大小排列結(jié)果,降序排列。旁邊打開個任務管理器窗口,記下任務條目及數(shù)量。如進程數(shù):22
雙擊空白圖標exe文件,注意任務管理器變化。例:如果雙擊game.exe則, 已染毒現(xiàn)象:任務管理器會多出一個進程叫g(shù)ame.exe 這時你再雙擊。或反復再雙擊。會看到又會多出game.exe,如果是基于16位兼容模式的程序,會出現(xiàn)一個ntvdm的進程,不影響,可結(jié)束。稍后你可能會發(fā)現(xiàn)net 和 net1 進程一閃而過,持續(xù)不到1秒,而后出現(xiàn)一個或多個cmd進程。這時請結(jié)束所有g(shù)ame.exe,cmd進程也會結(jié)束。病毒從內(nèi)存中得到釋放。可以再次雙擊如果不再產(chǎn)生cmd進程或能恢復正常圖標,或能正常運行,證明該文件不再帶毒。第二種情況:game.exe一會自動消失
或每雙擊一次多出一個game.exe而沒其它進程。說明此文件未被感染
一個一個分區(qū),一個一個文件的測試。修復。當然,你要是煩了,可以將不重要的文件放一邊。專心找自己心愛的exe文件。反正剩下的不重要的exe文件就留給江民專殺來殺爛得了。。無所謂
辛苦工作完成后,也不必要重啟,打開江民專殺來清理漏網(wǎng)之魚吧。
查毒軟推薦使用Mcafee(賣咖啡),查毒功能較強,且最強最具特色最實用之處在于他可以像設(shè)置IP安全策略那樣設(shè)置禁止任何類型文件的建立,寫入,修改,甚至讀取!!,這在我們訪問不可信站點或發(fā)現(xiàn)有木馬苗頭的時候大有幫助。即使查不出來我也不準你建文件改文件!強吧??
缺點就是占用內(nèi)存資源太高,優(yōu)化版的我都發(fā)現(xiàn)有七個進程。。暈。。。魚和熊掌不可兼得啊。。
寫了這么多,我盡量想到的都想到了。我曾如此辛苦,故不希望大家都繞彎路。但愿對大家有所幫助。
最后發(fā)表我的一點看法,殺毒軟件只是一個輔助工具。每個廠商的殺軟都有優(yōu)點有缺點。很多人就是把殺軟看成無敵的了。認為中了毒,清一色殺毒掃描的做法。其實,很多時候甚至是心理安慰,障眼法。。我是從dos時代一路走來的,中過多種病毒。看到老師們用pctools及debug手動殺過不少毒,總結(jié)出:手動才是王道!!手動萬歲。。
在E時代,我們要發(fā)揚取長補短的做法,把殺軟的效率化,全面化,結(jié)合人工的仔細,靈活。這樣才能盡心盡力像對待生活那樣對待電腦
以下是我前兩天的遭遇:
一次上網(wǎng)過后發(fā)現(xiàn)了一些可疑的進程。使用ecq-ps進程王來查看它們的路徑,有些是病毒文件。有些則是通過正常系統(tǒng)進程如“svchost.exe csrss.exe“等作為勾子運行的dll和sys文件,我心里又想,這些小毛毒又來了,(我的系統(tǒng)裝于04年,一直使用至今,中過無數(shù)次病毒,都被我統(tǒng)統(tǒng)搞定了,心想這次又來一個殺一個,來兩個殺一雙吧)。我用的雙系統(tǒng),重啟進win98的dos手動刪除以上路徑的文件,再進winxp,刪除以上文件相關(guān)的注冊表鍵值。再進服務里邊檢查一下發(fā)現(xiàn)病毒殘留的服務項目,還偽裝得很好的。描述還和正常服務一個模樣,什么管理系統(tǒng)應用程序的128位密鑰傳輸?shù)脑S可證服務。看了我都想笑。不過再看看源路徑(文件名忘了)和依存關(guān)系,就露陷了。心想麻外行還可以。。二話不說machine\system\currentcontrol\sevices\下揪出來刪!
重啟,觀察進程。一切恢復正常。喝口水。看會網(wǎng)絡(luò)電視休息了。。可是就在這時真正的死神出現(xiàn)了。系統(tǒng)進程里突然暴出NN多病毒進程。瑞星也被關(guān)閉了,有些是剛才的有些不是。我慌了。先刪除染毒的瑞星。(是昨天才升級的最新版啊)急忙用剛才的方法反復查殺多次,但每次啟動后不久又會出現(xiàn)。。。且在98的純dos下刪除病毒文件時提示access denied(拒絕訪問)時應該是內(nèi)存駐留型的。于是冷啟動再用windowsPE啟動盤啟動光盤里的PE操作系統(tǒng),我想,PE內(nèi)核都不一樣,我看你還咱辦。于是在PE里邊刪除病毒文件,果然這次啟動進程恢復正常了。恢復完注冊表。我就打開訊雷看一下我下載的工具軟件,結(jié)果,又中標了。。。我開始總結(jié):應該是把EXE文件感染了。不然怎么會無端多出些病毒進程出來。于是仔細看目錄,發(fā)現(xiàn)被感染的exe文件下有exe.exe擴展名的文件,比如是acdsee.exe就會有acdsee.exe.exe并且文件圖標丟失(不是網(wǎng)上說的那種在同目錄下生成_desktop.ini文件,那是老版維金。我這個也有_desktop.ini,不過在c:\下,而且在D盤還會生成autorun.inf 及iexplorer.pif文件) 于是刪除所有*.exe.exe文件,再次光盤啟動刪毒。這下進程雖然又恢復正常了。但是桌面上大多數(shù)的圖標變成白的了。。心想這下完了,病毒感染了大多數(shù)exe文件。很多年沒有遇到這樣了。我又不敢啟動這些程序,一啟動包又中標,于是我安卡巴。安了6。0307,升級最新,安全模式下掃,正常模式下掃。。掃不出一點東西。又安6。04XX 還安5XXbeta最新的了,中英文都安過了,,掃不出。。。。。。。。。怒火!!!!(網(wǎng)上明明說卡巴掃得到的,我想都是針對舊版維金吧)于是再來賣咖啡(mcafee),在線升級mcafee,掃描。。。結(jié)果賣咖啡也賣不脫。。。暴怒!!!!再于是找到金山、瑞星的專殺工具來,也是一個掃不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盤里的文件比較足足多了近60K。而且每個受感染的文件都同樣多了近60K ,證明感染的是都是vking!!。。。江民的專殺工具能殺,不過還好我點停止點得快。。。因為我看了一下,它的所謂殺大多數(shù)都是刪除!!!刪除了我好幾個exe文件呢。就算保留,保留下來的也是不能運行的僵尸文件。什么exe修復機根本不頂用。一邊涼快!!
這下完了。絕望。這么多exe文件,打死我也不愿意格盤刪'除。
在網(wǎng)上看了一下維金的免疫方法。突然想起什么。。經(jīng)過自己內(nèi)心激烈的思想斗爭于是作出了以下決定:
我做了個試驗,先將C盤做了個ghost,然后雙擊一個感染文件,系統(tǒng)進程出現(xiàn)viking,然后被雙擊這個exe文件圖標,大小恢復正常.進程里首先出來三個文件。ghost恢復恢復。。這下有點眉目了
就是在病毒原有目錄下建一些0字節(jié)txt文件,改成病毒進程名,如:logon_1.exe 偽裝一下,把它們改成只讀,然后一個一個的點exe文件,讓EXE文件中的異常代碼釋放入內(nèi)存,再結(jié)束相應進程
說干就干。仿照先前三個文件在c:\windows\建立 logon_1.exe richdll.dll (有些維金版本不是這個dll名字,變種有不同。路徑也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,設(shè)只讀
找出所有exe文件,網(wǎng)上說過只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中標了,再次證明不是網(wǎng)上說的那種viking。。。開始 一 一雙擊釋放。。。。。就這樣。。。就這樣。。它們快樂地流浪,就這樣。它們?yōu)閻鄹璩!!@菒凵稀!!!E荆。⊥炅伺茴}挨臭雞蛋了。
*.*
不是。。我只是形容一下上千個文件一 一打開的漫長。。過了幾個小時后。終于完成。。舒展下酸痛的腰。。重建圖標緩存。。。。冷啟動。。。
。。。。。。。。大功告成。。。至此。全部viking一個不留
已經(jīng)很久沒有這樣fighting過了
經(jīng)過了這么長時間的周旋。已經(jīng)對這個變種病毒的原理有初步了解。以下列出本人總結(jié)出的該病毒特征及清除方案:
viking"維金"病毒 變種
應該算一個木馬。互聯(lián)網(wǎng)高度發(fā)展的產(chǎn)物
首先在被種植機器的系統(tǒng)盤下\windows目錄下生成logon_1.exe RUNDL132.exe 還有一個dll文件,我的是richdll.dll,還有網(wǎng)上說的dll.dll vtd.dll什么五花八門的,反正就是dll文件,并加載入系統(tǒng)進程。刪除不掉.
這些文件相互關(guān)聯(lián),結(jié)束進程并刪除后馬上又會出現(xiàn)。
自動禁用殺毒防火墻,并且感染防火墻文件
然后調(diào)用net share 命令打開$ipc命名管道共享。以傳播到局域網(wǎng)上其它機器上.
釋放出諸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注冊表exe文件,網(wǎng)站鏈接,scr文件,未知(打開方式)文件,等常用文件的關(guān)聯(lián)為iexplore.pif或以上的其它某個病毒程序.將exe文件改為自創(chuàng)的winfile文件類型,從而讓每個exe文件運行時同時調(diào)用病毒,這招太狠了;更改文件查找檢索方式關(guān)聯(lián)為finder.com ;把原本用rundll32.exe文件調(diào)用的程序,如網(wǎng)上鄰居屬性,通過注冊表改為帶有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run鍵值下添加名為load等字樣的木馬加載項。在currentversion\logon下也有。。。另外還改了些其它鍵值,這些只是較明顯的。
檢測可用驅(qū)動器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 讓雙擊操作變?yōu)椤白詣硬シ挪《尽彼灾荒苡覔舸蜷_了。。。
最最可恨的就是感染所有驅(qū)動器上大于大約27KB的exe文件。加上約60KB的數(shù)據(jù),文件圖標丟失,目的在于被清除病毒后通過exe文件復活,當調(diào)用該句柄時自我釋放為logon_1.exe rundl132.exe
并且恢復exe文件以便讓它正常運行。。。
同時會自動從網(wǎng)上下載多達幾十種其它類型的病毒,QQ盜號木馬,熱門網(wǎng)絡(luò)游戲木馬。至此,taskmgr任務管理器一團糟。。
因為木馬眾多會影響清除效率及難度,內(nèi)存占用超大,危險系數(shù)也大。這點不得不佩服。。
如果你的系統(tǒng)有以上狀況,那么請follow they step:
首先你斷開internet網(wǎng),刪除殺毒軟件。因為它已被病毒感染,它在內(nèi)存里只是添麻煩而已
重新安裝殺毒軟件,比較可以的有卡巴斯基、mcafee、江民,推薦用卡巴,安完馬上重啟。不要停留不然新的殺軟會又中標的。安全模式下因為不能啟用msiexec所以很多軟件安不了
冷啟動或關(guān)機,撥電源也可,待光電鼠標燈不亮了再開機(呵呵太夸張了)
進入帶網(wǎng)絡(luò)連接的安全模式,(如果不能上網(wǎng)就還是進正常模式),用文件夾選項里面打開顯示所有文件;取消隱藏系統(tǒng)文件復選框,選中顯示已知文件擴展名;下載viking專殺工具,這里推薦江民的。下載"瑞星卡卡助手"用于以后修復注冊表,如果為exe文件最好改下后綴名。以后運行時再改回來。升級殺毒軟件為最新版。升了馬上重啟進入純安全模式,只運行系統(tǒng)盤掃描。掃到的病毒名及路徑用筆記下來。
冷啟動。。光盤或U盤啟動dos,查找剛才記下來那些文件,有就刪。我用的是windowsPE啟動盤啟動。所以免去了dos命令帶來的麻煩,最主要要找到并刪除上文說到的那些文件,這里很關(guān)鍵,一定要仔細找。
進入安全模式,運行regedit.exe (記住一定要輸入.exe,因為如果沒刪干凈,exe文件會被再度被作為winfile文件類型中的病毒命令行打開。)
按ctrl+f查找以上述文件的文件名的鍵值刪除。
進入正常模式,這時可能因為殺毒引起不能上網(wǎng)了,用剛才下載的“瑞星卡卡助手”修復IE和注冊表吧。順便也掃一下剛才可能viking下載有的其它木馬及殘留(切記不要啟動寬帶撥號程序,因為Enternet500這類撥號程序己被感染,如果是xp下的默認撥號,也最好不要去動)
接下來進程應該干凈了,就要處理被感染的exe文件了,如果你不想要這些文件可以選擇直接用專查工具把它們殺爛,或查找直接刪除,還省了下邊的步驟。因為以下步驟最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文檔.txt,建三個,分別改為以上三個文件名。并且設(shè)為只讀。放在平時它們感染的目錄下。目錄位置上文己提及。目的用于免疫,防止染毒exe文件釋放出同名病毒文件。
也可使用gpedit.msc,組策略中用戶配置\管理模板\系統(tǒng)\不要運行windows程序中,啟用并添加logon_1.exe
rundl132.exe
也可使用mcafee殺毒軟件中的文件規(guī)則,禁止在硬盤中新建*.exe *.com 文件
后兩種限制方法我沒試過,但理論上說是成立的
接下來按順序分別查找每個盤上的exe文件。按大小排列結(jié)果,降序排列。旁邊打開個任務管理器窗口,記下任務條目及數(shù)量。如進程數(shù):22
雙擊空白圖標exe文件,注意任務管理器變化。例:如果雙擊game.exe則, 已染毒現(xiàn)象:任務管理器會多出一個進程叫g(shù)ame.exe 這時你再雙擊。或反復再雙擊。會看到又會多出game.exe,如果是基于16位兼容模式的程序,會出現(xiàn)一個ntvdm的進程,不影響,可結(jié)束。稍后你可能會發(fā)現(xiàn)net 和 net1 進程一閃而過,持續(xù)不到1秒,而后出現(xiàn)一個或多個cmd進程。這時請結(jié)束所有g(shù)ame.exe,cmd進程也會結(jié)束。病毒從內(nèi)存中得到釋放。可以再次雙擊如果不再產(chǎn)生cmd進程或能恢復正常圖標,或能正常運行,證明該文件不再帶毒。第二種情況:game.exe一會自動消失
或每雙擊一次多出一個game.exe而沒其它進程。說明此文件未被感染
一個一個分區(qū),一個一個文件的測試。修復。當然,你要是煩了,可以將不重要的文件放一邊。專心找自己心愛的exe文件。反正剩下的不重要的exe文件就留給江民專殺來殺爛得了。。無所謂
辛苦工作完成后,也不必要重啟,打開江民專殺來清理漏網(wǎng)之魚吧。
查毒軟推薦使用Mcafee(賣咖啡),查毒功能較強,且最強最具特色最實用之處在于他可以像設(shè)置IP安全策略那樣設(shè)置禁止任何類型文件的建立,寫入,修改,甚至讀取!!,這在我們訪問不可信站點或發(fā)現(xiàn)有木馬苗頭的時候大有幫助。即使查不出來我也不準你建文件改文件!強吧??
缺點就是占用內(nèi)存資源太高,優(yōu)化版的我都發(fā)現(xiàn)有七個進程。。暈。。。魚和熊掌不可兼得啊。。
寫了這么多,我盡量想到的都想到了。我曾如此辛苦,故不希望大家都繞彎路。但愿對大家有所幫助。
最后發(fā)表我的一點看法,殺毒軟件只是一個輔助工具。每個廠商的殺軟都有優(yōu)點有缺點。很多人就是把殺軟看成無敵的了。認為中了毒,清一色殺毒掃描的做法。其實,很多時候甚至是心理安慰,障眼法。。我是從dos時代一路走來的,中過多種病毒。看到老師們用pctools及debug手動殺過不少毒,總結(jié)出:手動才是王道!!手動萬歲。。
在E時代,我們要發(fā)揚取長補短的做法,把殺軟的效率化,全面化,結(jié)合人工的仔細,靈活。這樣才能盡心盡力像對待生活那樣對待電腦
淺談TCP/IP篩選與IPSec 策略
[ 2007-03-25 02:43:53 | 作者: sun ]
配置 TCP/IP 安全:
1. 單擊開始,指向設(shè)置,單擊控制面板,然后雙擊網(wǎng)絡(luò)和撥號連接。
2. 右鍵單擊要在其上配置入站訪問控制的接口,然后單擊屬性。
3. 在選定的組件被這個連接所使用框中,單擊 Internet 協(xié)議 (TCP/IP),然后單擊屬性。
4. 在 Internet 協(xié)議 (TCP/IP) 屬性對話框中,單擊高級。
5. 單擊選項選項卡。
6. 單擊 TCP/IP 篩選,然后單擊屬性。
7. 選中啟用 TCP/IP 篩選(所有適配器)復選框。選中此復選框后,將對所有適配器啟用篩選,但您要逐個為適配器配置篩選器。同一篩選器并不適用于所有適配器。
8. 該窗口中一共有三列,分別標記為:
TCP 端口
UDP 端口
IP 協(xié)議在每一列中,都必須選擇下面的某個選項:
全部允許。如果要允許 TCP 或 UDP 通信的所有數(shù)據(jù)包,請保留全部允許處于選中狀態(tài)。
僅允許。如果只允許選定的 TCP 或 UDP 通信,請單擊僅允許,再單擊添加,然后在添加篩選器對話框中鍵入相應的端口。
如果要阻止所有 UDP 或 TCP 流量,請單擊僅允許,但不要在 UDP 端口或 TCP 端口列中添加任何端口號。如果您為 IP 協(xié)議選中了僅允許并排除了 IP 協(xié)議 6 和 17,并不能阻止 UDP 或 TCP 通信。
請注意,即使在 IP 協(xié)議列中選擇了僅允許而且不添加 IP 協(xié)議 1,也無法阻止 ICMP 消息。
“TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量,也不影響為接受來自出站請求的響應而創(chuàng)建的響應端口。如果需要更好地控制出站訪問,請使用 IPSec 策略或數(shù)據(jù)包篩選。
以下是關(guān)于IPSec 策略的官方說明
Internet 協(xié)議安全 (IPSec) 循序漸進指南
在進行IPSec完整性配置時,有兩個選項 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,簡稱SHA1)。后者的安全度更高,但需要更多的 CPU資源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 認證協(xié)議
當兩個系統(tǒng)互相交換加密數(shù)據(jù)之前,需要相互對加密的數(shù)據(jù)包進行安全認定。這個安全認定成為安全協(xié)定(security association,簡稱SA)。在相互通信之前,兩個系統(tǒng)必須認定對同一SA。
因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange,簡稱IKE)管理著用于IPSec連接的 SA協(xié)議過程。IKE是因特網(wǎng)工程任務組(Internet Engineering Task Force,簡稱IETF)制定的關(guān)于安全協(xié)議和密鑰交換的標準方法。IKE的操作分兩階段:第一階段確保通信信道的安全,第二階段約定SA的操作。
為了建立IPSec通信,兩臺主機在SA協(xié)定之前必須互相認證,有三種認證方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省認證方式。 Kerberos能在域內(nèi)進行安全協(xié)議認證,使用時,它既對用戶的身份也對網(wǎng)絡(luò)服務進行驗證。Kerberos的優(yōu)點是可以在用戶和服務器之間相互認證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環(huán)境系統(tǒng)之間提供認證服務。
公鑰證書 (PKI) - PKI用來對非受信域的成員,非Windows客戶,或者沒有運行Kerberos v5 認證協(xié)議的計算機進行認證,認證證書由一個作為證書機關(guān)(CA)系統(tǒng)簽署。
預先共享密鑰 -在預先共享密鑰認證中,計算機系統(tǒng)必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合。
IPSec加密協(xié)議
IPSec提供三種主要加密方法,如下
數(shù)據(jù)加密標準 (DES 40位) - 該加密方法性能最好,但安全性較低。該 40位數(shù)據(jù)加密標準(Data Encryption Standard,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer,簡稱SSL)。適用于數(shù)據(jù)安全性要求較低的場合。
數(shù)據(jù)加密標準 (DES 56位) - 通過IPSec策略,可以使用56位 DES的加密方法。1977年美國國家標準局公布了DES算法,它可以在通信過程中經(jīng)常生成密鑰。該功能可防止因為一個DES密鑰被破譯而整個數(shù)據(jù)集的安全受到影響。但是在商業(yè)中被認為過時了,僅用于傳統(tǒng)的應用支持,有專門的硬件可以破譯標準的 56位密鑰。
3DES - IPSec策略可以選擇一個強大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密鑰,但使用了三個。結(jié)果3DES成為 168位加密算法,用于諸如美國政府這樣的高機密的環(huán)境中。采用該策略的所有計算機將都遵守這樣的機制。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數(shù)據(jù)在網(wǎng)絡(luò)中是如何發(fā)送和加密的。在傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 。
隧道模式僅僅在隧道點或者網(wǎng)關(guān)之間加密數(shù)據(jù)。隧道模式提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性。當數(shù)據(jù)在客戶和服務器之間傳輸時,僅當數(shù)據(jù)到達網(wǎng)關(guān)時才得到加密,其余路徑不受保護。一旦到達網(wǎng)關(guān),就采用IPSec進行加密,等到達目的網(wǎng)關(guān)之后,數(shù)據(jù)包被解密和驗證,之后數(shù)據(jù)發(fā)送到不受保護的目的主機。隧道模式通常適用于數(shù)據(jù)必須離開安全的LAN或者WAN的范圍,且在諸如互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)中傳輸?shù)膱龊稀?
我看了幾個朋友的服務器配置,每一個人都使用的是TCP/IP篩選對網(wǎng)站的訪問端口進行設(shè)定,這到?jīng)]什么關(guān)系,但對IPSec 策略最多也只設(shè)定封一下ICMP,別的都沒設(shè)定,出于安全考慮,這樣做不是很好,因為...
嘻嘻,我來做個比較
TCP/IP篩選只可只設(shè)定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,或限定IP訪問,每增加一次就要重啟服務器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進行正常訪問,加了N個端口,累的要死(因為FTP軟件連接到FTP服務器的話,會隨機使用一些端口,因為設(shè)定問題,就看不到目錄了)...現(xiàn)在想起來也好笑.
IPSec 策略可設(shè)定即時生效,不用重啟服務器,可對端口或IP進行封鎖或訪問,可拒絕一些不安全端口的訪問,也可像TCP/IP篩選一樣只設(shè)定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,可選擇性要大很多,其中的許可比拒絕優(yōu)先,這樣就可以設(shè)定優(yōu)先通過某一些特定的IP,也可設(shè)定某個IP只能訪問某個端口之類的,只要你有想像力,哈哈,就很簡單了,這里我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快
如安全方面的話,TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters
中的EnableSecurityFilters值上設(shè)定,當為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設(shè)的再多也等于零
IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下
我給出兩個IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服務器版
說明一下,這些設(shè)定只是針對端口或IP進行管理的,沒什么很高深的東西,而且有一些功能是無法進行設(shè)定的(如果什么都能設(shè)定的話,那還需要防火墻做什么),但這是WEB服務器的第一道關(guān)口,如果不設(shè)置好的話,后面很容易出問題的,我剛給出的只是一個例子,破TCP/IP篩選有幾種方法,這里就不好說明了,總結(jié)一下,TCP/IP篩選只是開胃菜,IPSec 策略是紅酒,防火墻是面包,防火墻是主菜(硬件級的),一樣也不能少,都要做好設(shè)定,那就這樣!
1. 單擊開始,指向設(shè)置,單擊控制面板,然后雙擊網(wǎng)絡(luò)和撥號連接。
2. 右鍵單擊要在其上配置入站訪問控制的接口,然后單擊屬性。
3. 在選定的組件被這個連接所使用框中,單擊 Internet 協(xié)議 (TCP/IP),然后單擊屬性。
4. 在 Internet 協(xié)議 (TCP/IP) 屬性對話框中,單擊高級。
5. 單擊選項選項卡。
6. 單擊 TCP/IP 篩選,然后單擊屬性。
7. 選中啟用 TCP/IP 篩選(所有適配器)復選框。選中此復選框后,將對所有適配器啟用篩選,但您要逐個為適配器配置篩選器。同一篩選器并不適用于所有適配器。
8. 該窗口中一共有三列,分別標記為:
TCP 端口
UDP 端口
IP 協(xié)議在每一列中,都必須選擇下面的某個選項:
全部允許。如果要允許 TCP 或 UDP 通信的所有數(shù)據(jù)包,請保留全部允許處于選中狀態(tài)。
僅允許。如果只允許選定的 TCP 或 UDP 通信,請單擊僅允許,再單擊添加,然后在添加篩選器對話框中鍵入相應的端口。
如果要阻止所有 UDP 或 TCP 流量,請單擊僅允許,但不要在 UDP 端口或 TCP 端口列中添加任何端口號。如果您為 IP 協(xié)議選中了僅允許并排除了 IP 協(xié)議 6 和 17,并不能阻止 UDP 或 TCP 通信。
請注意,即使在 IP 協(xié)議列中選擇了僅允許而且不添加 IP 協(xié)議 1,也無法阻止 ICMP 消息。
“TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量,也不影響為接受來自出站請求的響應而創(chuàng)建的響應端口。如果需要更好地控制出站訪問,請使用 IPSec 策略或數(shù)據(jù)包篩選。
以下是關(guān)于IPSec 策略的官方說明
Internet 協(xié)議安全 (IPSec) 循序漸進指南
在進行IPSec完整性配置時,有兩個選項 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,簡稱SHA1)。后者的安全度更高,但需要更多的 CPU資源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 認證協(xié)議
當兩個系統(tǒng)互相交換加密數(shù)據(jù)之前,需要相互對加密的數(shù)據(jù)包進行安全認定。這個安全認定成為安全協(xié)定(security association,簡稱SA)。在相互通信之前,兩個系統(tǒng)必須認定對同一SA。
因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange,簡稱IKE)管理著用于IPSec連接的 SA協(xié)議過程。IKE是因特網(wǎng)工程任務組(Internet Engineering Task Force,簡稱IETF)制定的關(guān)于安全協(xié)議和密鑰交換的標準方法。IKE的操作分兩階段:第一階段確保通信信道的安全,第二階段約定SA的操作。
為了建立IPSec通信,兩臺主機在SA協(xié)定之前必須互相認證,有三種認證方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省認證方式。 Kerberos能在域內(nèi)進行安全協(xié)議認證,使用時,它既對用戶的身份也對網(wǎng)絡(luò)服務進行驗證。Kerberos的優(yōu)點是可以在用戶和服務器之間相互認證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環(huán)境系統(tǒng)之間提供認證服務。
公鑰證書 (PKI) - PKI用來對非受信域的成員,非Windows客戶,或者沒有運行Kerberos v5 認證協(xié)議的計算機進行認證,認證證書由一個作為證書機關(guān)(CA)系統(tǒng)簽署。
預先共享密鑰 -在預先共享密鑰認證中,計算機系統(tǒng)必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合。
IPSec加密協(xié)議
IPSec提供三種主要加密方法,如下
數(shù)據(jù)加密標準 (DES 40位) - 該加密方法性能最好,但安全性較低。該 40位數(shù)據(jù)加密標準(Data Encryption Standard,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer,簡稱SSL)。適用于數(shù)據(jù)安全性要求較低的場合。
數(shù)據(jù)加密標準 (DES 56位) - 通過IPSec策略,可以使用56位 DES的加密方法。1977年美國國家標準局公布了DES算法,它可以在通信過程中經(jīng)常生成密鑰。該功能可防止因為一個DES密鑰被破譯而整個數(shù)據(jù)集的安全受到影響。但是在商業(yè)中被認為過時了,僅用于傳統(tǒng)的應用支持,有專門的硬件可以破譯標準的 56位密鑰。
3DES - IPSec策略可以選擇一個強大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密鑰,但使用了三個。結(jié)果3DES成為 168位加密算法,用于諸如美國政府這樣的高機密的環(huán)境中。采用該策略的所有計算機將都遵守這樣的機制。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數(shù)據(jù)在網(wǎng)絡(luò)中是如何發(fā)送和加密的。在傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 。
隧道模式僅僅在隧道點或者網(wǎng)關(guān)之間加密數(shù)據(jù)。隧道模式提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性。當數(shù)據(jù)在客戶和服務器之間傳輸時,僅當數(shù)據(jù)到達網(wǎng)關(guān)時才得到加密,其余路徑不受保護。一旦到達網(wǎng)關(guān),就采用IPSec進行加密,等到達目的網(wǎng)關(guān)之后,數(shù)據(jù)包被解密和驗證,之后數(shù)據(jù)發(fā)送到不受保護的目的主機。隧道模式通常適用于數(shù)據(jù)必須離開安全的LAN或者WAN的范圍,且在諸如互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)中傳輸?shù)膱龊稀?
我看了幾個朋友的服務器配置,每一個人都使用的是TCP/IP篩選對網(wǎng)站的訪問端口進行設(shè)定,這到?jīng)]什么關(guān)系,但對IPSec 策略最多也只設(shè)定封一下ICMP,別的都沒設(shè)定,出于安全考慮,這樣做不是很好,因為...
嘻嘻,我來做個比較
TCP/IP篩選只可只設(shè)定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,或限定IP訪問,每增加一次就要重啟服務器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進行正常訪問,加了N個端口,累的要死(因為FTP軟件連接到FTP服務器的話,會隨機使用一些端口,因為設(shè)定問題,就看不到目錄了)...現(xiàn)在想起來也好笑.
IPSec 策略可設(shè)定即時生效,不用重啟服務器,可對端口或IP進行封鎖或訪問,可拒絕一些不安全端口的訪問,也可像TCP/IP篩選一樣只設(shè)定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,可選擇性要大很多,其中的許可比拒絕優(yōu)先,這樣就可以設(shè)定優(yōu)先通過某一些特定的IP,也可設(shè)定某個IP只能訪問某個端口之類的,只要你有想像力,哈哈,就很簡單了,這里我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快
如安全方面的話,TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters
中的EnableSecurityFilters值上設(shè)定,當為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設(shè)的再多也等于零
IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下
我給出兩個IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服務器版
說明一下,這些設(shè)定只是針對端口或IP進行管理的,沒什么很高深的東西,而且有一些功能是無法進行設(shè)定的(如果什么都能設(shè)定的話,那還需要防火墻做什么),但這是WEB服務器的第一道關(guān)口,如果不設(shè)置好的話,后面很容易出問題的,我剛給出的只是一個例子,破TCP/IP篩選有幾種方法,這里就不好說明了,總結(jié)一下,TCP/IP篩選只是開胃菜,IPSec 策略是紅酒,防火墻是面包,防火墻是主菜(硬件級的),一樣也不能少,都要做好設(shè)定,那就這樣!
讓Windows XP更安全的超級必殺技
[ 2007-03-25 02:43:36 | 作者: sun ]
[轉(zhuǎn)載]
大家使用Windows XP已經(jīng)有很長一段時間了,對與Windows XP操作系統(tǒng)已經(jīng)是非常熟悉了吧!有沒有總結(jié)出一些的經(jīng)驗來與大家共享呢?下面筆者就把在使用Windows XP操作系統(tǒng)過程中積累的一些經(jīng)驗共享出來,也便能讓你在使用Windows XP操作系統(tǒng)的過程中能快速上手。熟練的掌握XP的使用技巧就能更好的享受XP系統(tǒng)帶給你的強大功能。
1、恢復被破壞的Win XP系統(tǒng)文件
如果Windows XP的系統(tǒng)文件被病毒或其它原因破壞了,我們可以從Windows XP的安裝盤中恢復那些被破壞的文件。
具體方法:在Windows XP的安裝盤中搜索被破壞的文件,需要注意的是,文件名的最后一個字符用底線“_”代替,例如:如果要搜索“Notepad.exe”則需要用“Notepad.ex_”來進行搜索。
搜索到了之后,打開命令行模式(在“運行”中輸入“cmd”),然后輸入:“EXPAND 源文件的完整路徑 目標文件的完整路徑”。例如:EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一點需要注意的是,如果路徑中有空格的話,那么需要把路徑用雙引號(英文引號)包括起來。
找到當然是最好的,但有時我們在Windows XP盤中搜索的時候找不到我們需要的文件。產(chǎn)生這種情況的一個原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”當作一個文件夾,所以對于Windows XP系統(tǒng)來說,只需要把“CAB”文件右拖然后復制到相應目錄即可。
如果使用的是其他Windows平臺,搜索到包含目標文件名的“CAB”文件。然后打開命令行模式,輸入:“EXTRACT /L 目標位置 CAB文件的完整路徑”,例如:EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一樣,如同路徑中有空格的話,則需要用雙引號把路徑包括起來。
2、拒絕“分組相似任務欄”
雖然Windows XP “分組相似任務欄按鈕”設(shè)置雖然可以讓你的任務欄少開窗口,保持干凈,但對于一些需要打開同類多個窗口的工作非常不便,。如你是經(jīng)常用QQ這樣的通訊軟件和人在線聊天的話,如果有兩個以上的好友同時和你交談,你馬上會感到XP這種默認設(shè)置造成的不便 D D每次你想切換交談對象的時候,要先點擊組,然后彈出的菜單里再選要交談的好友,而且每個好友在組里顯示的都是一樣的圖標,談話對象多的時候,你可能要一個個的點擊來看到底剛才是誰回復了話,在等著你反應,而且選錯了一個,又得從組開始選,很麻煩。顯然地,這樣不如原來的開出幾個窗口,在任務欄里的各個小窗口點擊一次就可進行開始聊天。更改方法:點擊“開始→控制面板→外觀和主題→任務欄和‘開始’菜單”,在彈出的窗口內(nèi),將“分組相似任務欄按鈕”選項前面的鉤去掉。
3、通過注冊表卸載無用的動態(tài)鏈接
資源管理器經(jīng)常在內(nèi)存中留下無用的動態(tài)鏈接,為了消除這種現(xiàn)象,你可以打開注冊表編輯器,設(shè)置鍵值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1將其設(shè)為0,這一功能就會被關(guān)閉。注意:為了讓設(shè)置生效,需要重新啟動計算機。
4、清除prefetch文件夾中的預讀文件
當Win XP使用一段時間后,預讀文件夾里的文件會變得很大,里面會有死鏈文件,這會減慢系統(tǒng)時間。建議:定期刪除這些文件。(Windows\prefetch)
5、Windows XP減肥法
以下方法為本人目前的winXP的減肥法,經(jīng)過使用,覺得比較安全,效果明顯,至少可以減少300m空間。注意:不建議初學者使用。
刪除驅(qū)動備份: Windows\Driver cache\i386目錄下的Driver.cab文件(73MB) 但是以后我們每次安裝新硬件時必須插入Windows的安裝光盤。
刪除系統(tǒng)文件備份(一般不怎么用到的): 運行命令行sfc /purgecache
刪掉備用的dll文件: 只要你拷貝了安裝文件或者有安裝光盤,可以這樣做。Windows\system32\dllcache下文件(減去200——300mb)。
6、了解Win XP啟動時間
盡管Windows XP的啟動速度已經(jīng)能讓我們感到滿意了,但微軟仍然為我們提供了一款用于了解的Windows XP啟動時具體所消耗啟動時間的小工具,以及查看CPU的使用率、Disk I/O等等,由于該工具用圖形的方式顯示出來,因此一目了然。工具可到此處下載。
7、恢復EXE文件關(guān)聯(lián)
EXE文件關(guān)聯(lián)出錯非常的麻煩,因為這種情況的出現(xiàn)多是由于病毒引起的,而殺毒軟件的主文件都是EXE文件,既然EXE文件關(guān)聯(lián)出錯,又怎能運行得了殺毒軟件呢?還好XP提供了安全模式下的命令行工具供我們使用,可以利用命令行工具來解決這個問題。
在安全模式下輸入:assoc<空格 >.exe=exefile<回車>,屏幕上將顯示“.exe=exefile”。現(xiàn)在關(guān)閉命令提示符窗口,按Ctrl+Alt+Del組合鍵調(diào)出“Windows安全”窗口,按“關(guān)機”按鈕后選擇“重新啟動”選項,按正常模式啟動Windows后,所有的EXE文件都能正常運行了!
8、讓Win XP能自動更新
當Windows 有了更新時,自動更新系統(tǒng)會提示你進行Windows的升級工作,當然這項功能會在上網(wǎng)之后才會有真正的效果。有一點可以肯定的就是,要想實現(xiàn)自動更新,系統(tǒng)必定會收集用戶的電腦信息,然后傳送到微軟站點,通過反饋信息來決定是否要進行升級工作。這項設(shè)置也是在“系統(tǒng)屬性”窗口,切換到“自動更新”選項卡可以看到這里有三個選擇,選了最后一個“關(guān)閉自動更新”,這樣系統(tǒng)就不會出現(xiàn)經(jīng)常提示你進行自動更新了,如果你沒用正版的Windows XP操作系統(tǒng),建議你關(guān)閉此功能,因為他可能會讓你在不知道的情況就把系統(tǒng)升級至Windows XP SP2版,這樣會造成系統(tǒng)的不穩(wěn)定。
9、在Home版中安裝IIS
大家知道,Windows XP Home版不能安裝IIS或者PWS。按照一般的方法,你只能升級到XP Professional或者使用Windows 2000,不過只要略使手段,你就可以在Windows XP Home上安裝IIS了。
首先在“開始”菜單的“運行”中輸入“c:\Windows\inf\sysoc.inf”,系統(tǒng)會自動使用記事本打開sysoc.inf這個文件。在sysoc.inf中找到“[Components]”這一段,并繼續(xù)找到類似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把這一行替換為“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并關(guān)閉。
把Windows 2000 Professional的光盤插入光驅(qū),同時按下Shift鍵禁止光驅(qū)的自動運行。在運行中輸入“CMD”然后回車,打開命令行模式,在命令行下輸入下列的兩條命令,在每一行命令結(jié)束后回車(假設(shè)光驅(qū)是D盤):
EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll
EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf
這時,打開你的控制面板,并點擊“添加刪除程序”圖標,之后點擊“添加刪除Windows組件”。
請仔細看,在“開始”菜單中顯示的操作系統(tǒng)是Windows XP Home,但是經(jīng)過修改,已經(jīng)有了添加IIS的選項了。
然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我們只安裝了WWW服務。系統(tǒng)會開始復制文件,這需要一些時間。并且在這起見,請保持Windows 2000 Professional的光盤還在光驅(qū)中。
在安裝結(jié)束后,你可以打開“控制面板→性能和選項→管理工具”,“Internet信息服務管理”已經(jīng)出現(xiàn)在那里。
如果你想要驗證IIS是否運行正常,而已打開IE,在地址欄中輸入“http://localhost”然后回車,如果能看到圖三的界面,那么你的IIS就全部正常運行了。
最后還有一點注意的:如果你在安裝過程中,系統(tǒng)需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll這個文件,那是因為你按照默認的選項安裝了IIS。要解決這個問題,只要在安裝IIS的時候先點擊“詳細信息”,然后取消對SMTP的選擇(即不要安裝SMTP服務器),那么復制文件的時候就不會需要那兩個文件了。
如果在你安裝的到圖1的位置后發(fā)現(xiàn),已經(jīng)顯示了Internet信息服務(IIS)的安裝項目,但是它們根本無法被選中,那很可能因為你使用的iis.dl_和iis.in_是從Windows XP Professional中取出的,只要換成Windows 2000 Professional中的就可以繼續(xù)正常安裝了。
經(jīng)過驗證,WWW、FTP等幾個服務經(jīng)過這樣的修改都可以在Windows XP Home上正常運行。
大家使用Windows XP已經(jīng)有很長一段時間了,對與Windows XP操作系統(tǒng)已經(jīng)是非常熟悉了吧!有沒有總結(jié)出一些的經(jīng)驗來與大家共享呢?下面筆者就把在使用Windows XP操作系統(tǒng)過程中積累的一些經(jīng)驗共享出來,也便能讓你在使用Windows XP操作系統(tǒng)的過程中能快速上手。熟練的掌握XP的使用技巧就能更好的享受XP系統(tǒng)帶給你的強大功能。
1、恢復被破壞的Win XP系統(tǒng)文件
如果Windows XP的系統(tǒng)文件被病毒或其它原因破壞了,我們可以從Windows XP的安裝盤中恢復那些被破壞的文件。
具體方法:在Windows XP的安裝盤中搜索被破壞的文件,需要注意的是,文件名的最后一個字符用底線“_”代替,例如:如果要搜索“Notepad.exe”則需要用“Notepad.ex_”來進行搜索。
搜索到了之后,打開命令行模式(在“運行”中輸入“cmd”),然后輸入:“EXPAND 源文件的完整路徑 目標文件的完整路徑”。例如:EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一點需要注意的是,如果路徑中有空格的話,那么需要把路徑用雙引號(英文引號)包括起來。
找到當然是最好的,但有時我們在Windows XP盤中搜索的時候找不到我們需要的文件。產(chǎn)生這種情況的一個原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”當作一個文件夾,所以對于Windows XP系統(tǒng)來說,只需要把“CAB”文件右拖然后復制到相應目錄即可。
如果使用的是其他Windows平臺,搜索到包含目標文件名的“CAB”文件。然后打開命令行模式,輸入:“EXTRACT /L 目標位置 CAB文件的完整路徑”,例如:EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一樣,如同路徑中有空格的話,則需要用雙引號把路徑包括起來。
2、拒絕“分組相似任務欄”
雖然Windows XP “分組相似任務欄按鈕”設(shè)置雖然可以讓你的任務欄少開窗口,保持干凈,但對于一些需要打開同類多個窗口的工作非常不便,。如你是經(jīng)常用QQ這樣的通訊軟件和人在線聊天的話,如果有兩個以上的好友同時和你交談,你馬上會感到XP這種默認設(shè)置造成的不便 D D每次你想切換交談對象的時候,要先點擊組,然后彈出的菜單里再選要交談的好友,而且每個好友在組里顯示的都是一樣的圖標,談話對象多的時候,你可能要一個個的點擊來看到底剛才是誰回復了話,在等著你反應,而且選錯了一個,又得從組開始選,很麻煩。顯然地,這樣不如原來的開出幾個窗口,在任務欄里的各個小窗口點擊一次就可進行開始聊天。更改方法:點擊“開始→控制面板→外觀和主題→任務欄和‘開始’菜單”,在彈出的窗口內(nèi),將“分組相似任務欄按鈕”選項前面的鉤去掉。
3、通過注冊表卸載無用的動態(tài)鏈接
資源管理器經(jīng)常在內(nèi)存中留下無用的動態(tài)鏈接,為了消除這種現(xiàn)象,你可以打開注冊表編輯器,設(shè)置鍵值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1將其設(shè)為0,這一功能就會被關(guān)閉。注意:為了讓設(shè)置生效,需要重新啟動計算機。
4、清除prefetch文件夾中的預讀文件
當Win XP使用一段時間后,預讀文件夾里的文件會變得很大,里面會有死鏈文件,這會減慢系統(tǒng)時間。建議:定期刪除這些文件。(Windows\prefetch)
5、Windows XP減肥法
以下方法為本人目前的winXP的減肥法,經(jīng)過使用,覺得比較安全,效果明顯,至少可以減少300m空間。注意:不建議初學者使用。
刪除驅(qū)動備份: Windows\Driver cache\i386目錄下的Driver.cab文件(73MB) 但是以后我們每次安裝新硬件時必須插入Windows的安裝光盤。
刪除系統(tǒng)文件備份(一般不怎么用到的): 運行命令行sfc /purgecache
刪掉備用的dll文件: 只要你拷貝了安裝文件或者有安裝光盤,可以這樣做。Windows\system32\dllcache下文件(減去200——300mb)。
6、了解Win XP啟動時間
盡管Windows XP的啟動速度已經(jīng)能讓我們感到滿意了,但微軟仍然為我們提供了一款用于了解的Windows XP啟動時具體所消耗啟動時間的小工具,以及查看CPU的使用率、Disk I/O等等,由于該工具用圖形的方式顯示出來,因此一目了然。工具可到此處下載。
7、恢復EXE文件關(guān)聯(lián)
EXE文件關(guān)聯(lián)出錯非常的麻煩,因為這種情況的出現(xiàn)多是由于病毒引起的,而殺毒軟件的主文件都是EXE文件,既然EXE文件關(guān)聯(lián)出錯,又怎能運行得了殺毒軟件呢?還好XP提供了安全模式下的命令行工具供我們使用,可以利用命令行工具來解決這個問題。
在安全模式下輸入:assoc<空格 >.exe=exefile<回車>,屏幕上將顯示“.exe=exefile”。現(xiàn)在關(guān)閉命令提示符窗口,按Ctrl+Alt+Del組合鍵調(diào)出“Windows安全”窗口,按“關(guān)機”按鈕后選擇“重新啟動”選項,按正常模式啟動Windows后,所有的EXE文件都能正常運行了!
8、讓Win XP能自動更新
當Windows 有了更新時,自動更新系統(tǒng)會提示你進行Windows的升級工作,當然這項功能會在上網(wǎng)之后才會有真正的效果。有一點可以肯定的就是,要想實現(xiàn)自動更新,系統(tǒng)必定會收集用戶的電腦信息,然后傳送到微軟站點,通過反饋信息來決定是否要進行升級工作。這項設(shè)置也是在“系統(tǒng)屬性”窗口,切換到“自動更新”選項卡可以看到這里有三個選擇,選了最后一個“關(guān)閉自動更新”,這樣系統(tǒng)就不會出現(xiàn)經(jīng)常提示你進行自動更新了,如果你沒用正版的Windows XP操作系統(tǒng),建議你關(guān)閉此功能,因為他可能會讓你在不知道的情況就把系統(tǒng)升級至Windows XP SP2版,這樣會造成系統(tǒng)的不穩(wěn)定。
9、在Home版中安裝IIS
大家知道,Windows XP Home版不能安裝IIS或者PWS。按照一般的方法,你只能升級到XP Professional或者使用Windows 2000,不過只要略使手段,你就可以在Windows XP Home上安裝IIS了。
首先在“開始”菜單的“運行”中輸入“c:\Windows\inf\sysoc.inf”,系統(tǒng)會自動使用記事本打開sysoc.inf這個文件。在sysoc.inf中找到“[Components]”這一段,并繼續(xù)找到類似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把這一行替換為“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并關(guān)閉。
把Windows 2000 Professional的光盤插入光驅(qū),同時按下Shift鍵禁止光驅(qū)的自動運行。在運行中輸入“CMD”然后回車,打開命令行模式,在命令行下輸入下列的兩條命令,在每一行命令結(jié)束后回車(假設(shè)光驅(qū)是D盤):
EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll
EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf
這時,打開你的控制面板,并點擊“添加刪除程序”圖標,之后點擊“添加刪除Windows組件”。
請仔細看,在“開始”菜單中顯示的操作系統(tǒng)是Windows XP Home,但是經(jīng)過修改,已經(jīng)有了添加IIS的選項了。
然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我們只安裝了WWW服務。系統(tǒng)會開始復制文件,這需要一些時間。并且在這起見,請保持Windows 2000 Professional的光盤還在光驅(qū)中。
在安裝結(jié)束后,你可以打開“控制面板→性能和選項→管理工具”,“Internet信息服務管理”已經(jīng)出現(xiàn)在那里。
如果你想要驗證IIS是否運行正常,而已打開IE,在地址欄中輸入“http://localhost”然后回車,如果能看到圖三的界面,那么你的IIS就全部正常運行了。
最后還有一點注意的:如果你在安裝過程中,系統(tǒng)需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll這個文件,那是因為你按照默認的選項安裝了IIS。要解決這個問題,只要在安裝IIS的時候先點擊“詳細信息”,然后取消對SMTP的選擇(即不要安裝SMTP服務器),那么復制文件的時候就不會需要那兩個文件了。
如果在你安裝的到圖1的位置后發(fā)現(xiàn),已經(jīng)顯示了Internet信息服務(IIS)的安裝項目,但是它們根本無法被選中,那很可能因為你使用的iis.dl_和iis.in_是從Windows XP Professional中取出的,只要換成Windows 2000 Professional中的就可以繼續(xù)正常安裝了。
經(jīng)過驗證,WWW、FTP等幾個服務經(jīng)過這樣的修改都可以在Windows XP Home上正常運行。
巧妙利用三招保護局域網(wǎng)中的 IP 地址
[ 2007-03-25 02:43:23 | 作者: sun ]
局域網(wǎng)中IP地址被占用或篡改的情況時有發(fā)生,為你提供幾個實用招數(shù)。
停用網(wǎng)絡(luò)連接服務
要限制用戶隨意修改TCP/IP參數(shù),最簡單的方法是讓用戶無法打開TCP/IP參數(shù)設(shè)置窗口。打開“開始”中“運行”輸入“services.msc”命令,選中“Network Connections”服務,右鍵單擊,從屬性中選擇其中的停用按鈕,將“啟動類型”選為“已禁用”,并確定。這樣,你如果從“開始”進入“網(wǎng)絡(luò)連接”里,就找不到“本地連接”圖標。這也會給自己網(wǎng)絡(luò)參數(shù)修改帶來麻煩,可以將“Plug and play”服務停用,就不影響你正常網(wǎng)絡(luò)訪問了
限制修改網(wǎng)絡(luò)參數(shù)法
修改注冊表的相關(guān)網(wǎng)絡(luò)鍵值就能實現(xiàn)。進入“運行”輸入“regedit”命令,打開注冊表編輯,確定在
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network
分支上,在右側(cè)區(qū)域中,依次選擇“編輯”、“新建”、“Dword值”選項,將新建的Dword值命名為“NoNetSetup”,將其數(shù)值輸入為“1”,重新啟動電腦,系統(tǒng)就會提示無法進入網(wǎng)絡(luò)屬性設(shè)置窗口了。
隱藏本地連接圖標法
本地連接圖標與系統(tǒng)的Netcfgx.dll、Netshell.dll、Netman.dll這三個動態(tài)鏈接文件有關(guān),一旦將這三個動態(tài)鏈接文件反注冊的話,那么本地連接圖標就會被自動隱藏起來了。在反注冊上面三個動態(tài)鏈接文件時,可以先打開系統(tǒng)運行框,并在其中輸入字符串命令“regsvr32 Netcfgx.dll/u”命令,單擊一下“確定”按鈕后,就能把Netcfgx.dll文件反注冊了。
停用網(wǎng)絡(luò)連接服務
要限制用戶隨意修改TCP/IP參數(shù),最簡單的方法是讓用戶無法打開TCP/IP參數(shù)設(shè)置窗口。打開“開始”中“運行”輸入“services.msc”命令,選中“Network Connections”服務,右鍵單擊,從屬性中選擇其中的停用按鈕,將“啟動類型”選為“已禁用”,并確定。這樣,你如果從“開始”進入“網(wǎng)絡(luò)連接”里,就找不到“本地連接”圖標。這也會給自己網(wǎng)絡(luò)參數(shù)修改帶來麻煩,可以將“Plug and play”服務停用,就不影響你正常網(wǎng)絡(luò)訪問了
限制修改網(wǎng)絡(luò)參數(shù)法
修改注冊表的相關(guān)網(wǎng)絡(luò)鍵值就能實現(xiàn)。進入“運行”輸入“regedit”命令,打開注冊表編輯,確定在
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network
分支上,在右側(cè)區(qū)域中,依次選擇“編輯”、“新建”、“Dword值”選項,將新建的Dword值命名為“NoNetSetup”,將其數(shù)值輸入為“1”,重新啟動電腦,系統(tǒng)就會提示無法進入網(wǎng)絡(luò)屬性設(shè)置窗口了。
隱藏本地連接圖標法
本地連接圖標與系統(tǒng)的Netcfgx.dll、Netshell.dll、Netman.dll這三個動態(tài)鏈接文件有關(guān),一旦將這三個動態(tài)鏈接文件反注冊的話,那么本地連接圖標就會被自動隱藏起來了。在反注冊上面三個動態(tài)鏈接文件時,可以先打開系統(tǒng)運行框,并在其中輸入字符串命令“regsvr32 Netcfgx.dll/u”命令,單擊一下“確定”按鈕后,就能把Netcfgx.dll文件反注冊了。
Windows平臺內(nèi)核級文件訪問_繞過安全軟件
[ 2007-03-25 02:42:53 | 作者: sun ]
背景
在windows平臺下,應用程序通常使用API函數(shù)來進行文件訪問,創(chuàng)建,打開,讀寫文件。從kernel32的CreateFile/ReadFile/WriteFile函數(shù),到本地系統(tǒng)服務,再到FileSystem及其FilterDriver,經(jīng)歷了很多層次。在每個層次上,都存在著安全防護軟件,病毒或者后門作監(jiān)視或者過濾的機會。作為安全產(chǎn)品開發(fā)者,我們需要比別人走得更遠,因此我們需要一個底層的“windows平臺內(nèi)核級文件訪問”的方法來確保我們能夠看到正確的干凈的文件系統(tǒng)。
直接訪問FSD的內(nèi)核級別文件訪問
FSD(FileSystemDriver)層是文件API函數(shù)經(jīng)過本地系統(tǒng)服務層(native API)最后到達的驅(qū)動層次。如果我們可以模仿操作系統(tǒng),在我們自己的驅(qū)動程序里直接向FSD發(fā)送IRP,就可以繞過那些native API 和win32 API了,也就可以繞過設(shè)置在這些層次上面的API鉤子等監(jiān)控措施。
文件的Create和Open
文件的Create和Open可以通過發(fā)送IRP_MJ_Create給FSD,或者調(diào)用IoCreateFile函數(shù)來完成。Create和Open的區(qū)別實際上在于IoCreateFile/IRP_MJ_Create的一個參數(shù)Disposition的取值。
通過發(fā)送IRP_MJ_Create給FSD的方法與此類似,可以參考IFSDDK document的IRP_MJ_Create說明。不同于上面方法的是需要自己創(chuàng)建一個FILE_OBJECT,好于上面方法的是這種方法不需要一個HANDLE,HANDLE是線程依賴的,FileObject則是線程無關(guān)。
文件的Read和Write
我們通過給FSD發(fā)送IRP_MJ_READ來讀取文件,給FSD發(fā)送IRP_MJ_WRITE來改寫文件。
如果我們是通過一個HANDLE來執(zhí)行(如使用IoCreateFile打開的文件),就要先用ObReferenceObjectByHandle函數(shù)來獲得這個Handle對應的FileObject。我們只能給FileObject發(fā)送IRP。
之后我們使用IoAllocateIrp分配一個IRP。根據(jù)FileObject->DeviceObject->Flags的值,我們判斷目標文件系統(tǒng)使用什么樣的IO方式。
對每種不同的IO方式使用不同的地址傳遞方式。隨后我們填充IRP內(nèi)的各個參數(shù)域,就可以發(fā)送IRP了。
接著要考慮如果IRP不能及時完成,會異步的返回的情況,我們安裝一個CompletionRoutine,在CompletionRoutine里面設(shè)置一個事件為已激活,通知我們的主線程讀取或者寫入操作已經(jīng)完成。
現(xiàn)在可以發(fā)送IRP了。如果不采取特殊的措施的話,IRP發(fā)送目標是FileObject對應的DeviceObject。發(fā)送后,等待IRP的完成并且釋放資源,返回。
文件的Delete
Delete實際上是通過向FSD發(fā)送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass設(shè)置為FileDispositionInformation,用一個FILE_DISPOSITION_INFORMATION結(jié)構(gòu)填充buffer來執(zhí)行的。
文件的Rename
類似于Delete,Rename是向FSD發(fā)送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass設(shè)置為FileRenameInformation,填充buffer為FILE_RENAME_INFORMATION結(jié)構(gòu)。
綜上,于是我們可以在驅(qū)動里面通過發(fā)送IRP來直接訪問文件系統(tǒng)了,繞過了native API 和win32 API層次。
繞過文件系統(tǒng)過濾驅(qū)動和鉤子
有了以上的內(nèi)容,我們目前可以直接給FSD發(fā)送請求操作文件。但是這還不夠,因為有很多的殺毒軟件或者監(jiān)視工具使用FSD Filter Driver或者FSD Hook的辦法來監(jiān)控文件操作
對付文件系統(tǒng)過濾驅(qū)動
文件系統(tǒng)過濾驅(qū)動Attach在正常的文件系統(tǒng)之上,監(jiān)視和過濾我們的文件訪問。文件系統(tǒng)驅(qū)動棧就是由這一連串的Attach起來的過濾驅(qū)動組成。我們可以用IoGetRelatedDeviceObject這個函數(shù)來獲得一個FileObject對應的最底層的那個功能驅(qū)動對象(FDO)。但是這樣雖然繞過了那些過濾驅(qū)動,卻同時也繞過了正常的FSD如Ntfs/Fastfat,因為正常的FSD也是作為一個過濾驅(qū)動存在的。磁盤文件對象的對應的最底層的FDO是Ftdisk.sys,它已經(jīng)因為過于底層而不能處理我們投遞的IRP請求。
其實正常的FSD信息存儲在一個Vpb結(jié)構(gòu)中,我們可以使用IoGetBaseFileSystemDeviceObject這個未公開的內(nèi)核函數(shù)來得到它。它就是我們發(fā)送IRP的目標了。
對付替換DispatchRoutine的FSD Hook
這是一種常用的FSD Hook方式。我們需要得到原本的DispatchRoutine,向原本的DispatchRoutine發(fā)送我們的IRP。這里提供一個思路:我們可以讀取原本FSD驅(qū)動的.INIT段或者.TEXT段,查找其DriverEntry函數(shù),在它的DriverEntry函數(shù)中肯定設(shè)置了自己的DriverObject的各個DispatchRoutine。在這個函數(shù)中我們就能找到我們想要的DispatchRoutine的地址。只需要使用特征碼搜索的方法就可以搜索到這個值。
對付Inline Hook DispatchRoutine函數(shù)本身的FSD Hook
這種Hook方法比較狠毒,但不是非常常見于安全產(chǎn)品中,一般應用在木馬和rootkit上,比如我自己寫的rootkit。它沒有更改DriverObject里面的DispatchRoutine的函數(shù)指針,而是向函數(shù)開頭寫入?yún)R編指令的JMP來跳轉(zhuǎn)函數(shù)。對付它的基本思路就是讀取存在磁盤上的FSD的文件,加載到內(nèi)存一份干凈的備份,察看我們要調(diào)用的DispatchRoutine開頭的幾個字節(jié)和這個干凈備份是否一致。如果不一致,尤其是存在JMP,RET,INT3一類的匯編指令的時候,很可能就是存在了Inline Hook。(但要充分考慮重定位的情況。)如果存在Inline Hook,我們就把干凈的函數(shù)開頭拷貝過來覆蓋掉被感染的函數(shù)頭。然后在發(fā)送IRP,就不會被Inline Hook監(jiān)視或篡改了。
在windows平臺下,應用程序通常使用API函數(shù)來進行文件訪問,創(chuàng)建,打開,讀寫文件。從kernel32的CreateFile/ReadFile/WriteFile函數(shù),到本地系統(tǒng)服務,再到FileSystem及其FilterDriver,經(jīng)歷了很多層次。在每個層次上,都存在著安全防護軟件,病毒或者后門作監(jiān)視或者過濾的機會。作為安全產(chǎn)品開發(fā)者,我們需要比別人走得更遠,因此我們需要一個底層的“windows平臺內(nèi)核級文件訪問”的方法來確保我們能夠看到正確的干凈的文件系統(tǒng)。
直接訪問FSD的內(nèi)核級別文件訪問
FSD(FileSystemDriver)層是文件API函數(shù)經(jīng)過本地系統(tǒng)服務層(native API)最后到達的驅(qū)動層次。如果我們可以模仿操作系統(tǒng),在我們自己的驅(qū)動程序里直接向FSD發(fā)送IRP,就可以繞過那些native API 和win32 API了,也就可以繞過設(shè)置在這些層次上面的API鉤子等監(jiān)控措施。
文件的Create和Open
文件的Create和Open可以通過發(fā)送IRP_MJ_Create給FSD,或者調(diào)用IoCreateFile函數(shù)來完成。Create和Open的區(qū)別實際上在于IoCreateFile/IRP_MJ_Create的一個參數(shù)Disposition的取值。
通過發(fā)送IRP_MJ_Create給FSD的方法與此類似,可以參考IFSDDK document的IRP_MJ_Create說明。不同于上面方法的是需要自己創(chuàng)建一個FILE_OBJECT,好于上面方法的是這種方法不需要一個HANDLE,HANDLE是線程依賴的,FileObject則是線程無關(guān)。
文件的Read和Write
我們通過給FSD發(fā)送IRP_MJ_READ來讀取文件,給FSD發(fā)送IRP_MJ_WRITE來改寫文件。
如果我們是通過一個HANDLE來執(zhí)行(如使用IoCreateFile打開的文件),就要先用ObReferenceObjectByHandle函數(shù)來獲得這個Handle對應的FileObject。我們只能給FileObject發(fā)送IRP。
之后我們使用IoAllocateIrp分配一個IRP。根據(jù)FileObject->DeviceObject->Flags的值,我們判斷目標文件系統(tǒng)使用什么樣的IO方式。
對每種不同的IO方式使用不同的地址傳遞方式。隨后我們填充IRP內(nèi)的各個參數(shù)域,就可以發(fā)送IRP了。
接著要考慮如果IRP不能及時完成,會異步的返回的情況,我們安裝一個CompletionRoutine,在CompletionRoutine里面設(shè)置一個事件為已激活,通知我們的主線程讀取或者寫入操作已經(jīng)完成。
現(xiàn)在可以發(fā)送IRP了。如果不采取特殊的措施的話,IRP發(fā)送目標是FileObject對應的DeviceObject。發(fā)送后,等待IRP的完成并且釋放資源,返回。
文件的Delete
Delete實際上是通過向FSD發(fā)送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass設(shè)置為FileDispositionInformation,用一個FILE_DISPOSITION_INFORMATION結(jié)構(gòu)填充buffer來執(zhí)行的。
文件的Rename
類似于Delete,Rename是向FSD發(fā)送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass設(shè)置為FileRenameInformation,填充buffer為FILE_RENAME_INFORMATION結(jié)構(gòu)。
綜上,于是我們可以在驅(qū)動里面通過發(fā)送IRP來直接訪問文件系統(tǒng)了,繞過了native API 和win32 API層次。
繞過文件系統(tǒng)過濾驅(qū)動和鉤子
有了以上的內(nèi)容,我們目前可以直接給FSD發(fā)送請求操作文件。但是這還不夠,因為有很多的殺毒軟件或者監(jiān)視工具使用FSD Filter Driver或者FSD Hook的辦法來監(jiān)控文件操作
對付文件系統(tǒng)過濾驅(qū)動
文件系統(tǒng)過濾驅(qū)動Attach在正常的文件系統(tǒng)之上,監(jiān)視和過濾我們的文件訪問。文件系統(tǒng)驅(qū)動棧就是由這一連串的Attach起來的過濾驅(qū)動組成。我們可以用IoGetRelatedDeviceObject這個函數(shù)來獲得一個FileObject對應的最底層的那個功能驅(qū)動對象(FDO)。但是這樣雖然繞過了那些過濾驅(qū)動,卻同時也繞過了正常的FSD如Ntfs/Fastfat,因為正常的FSD也是作為一個過濾驅(qū)動存在的。磁盤文件對象的對應的最底層的FDO是Ftdisk.sys,它已經(jīng)因為過于底層而不能處理我們投遞的IRP請求。
其實正常的FSD信息存儲在一個Vpb結(jié)構(gòu)中,我們可以使用IoGetBaseFileSystemDeviceObject這個未公開的內(nèi)核函數(shù)來得到它。它就是我們發(fā)送IRP的目標了。
對付替換DispatchRoutine的FSD Hook
這是一種常用的FSD Hook方式。我們需要得到原本的DispatchRoutine,向原本的DispatchRoutine發(fā)送我們的IRP。這里提供一個思路:我們可以讀取原本FSD驅(qū)動的.INIT段或者.TEXT段,查找其DriverEntry函數(shù),在它的DriverEntry函數(shù)中肯定設(shè)置了自己的DriverObject的各個DispatchRoutine。在這個函數(shù)中我們就能找到我們想要的DispatchRoutine的地址。只需要使用特征碼搜索的方法就可以搜索到這個值。
對付Inline Hook DispatchRoutine函數(shù)本身的FSD Hook
這種Hook方法比較狠毒,但不是非常常見于安全產(chǎn)品中,一般應用在木馬和rootkit上,比如我自己寫的rootkit。它沒有更改DriverObject里面的DispatchRoutine的函數(shù)指針,而是向函數(shù)開頭寫入?yún)R編指令的JMP來跳轉(zhuǎn)函數(shù)。對付它的基本思路就是讀取存在磁盤上的FSD的文件,加載到內(nèi)存一份干凈的備份,察看我們要調(diào)用的DispatchRoutine開頭的幾個字節(jié)和這個干凈備份是否一致。如果不一致,尤其是存在JMP,RET,INT3一類的匯編指令的時候,很可能就是存在了Inline Hook。(但要充分考慮重定位的情況。)如果存在Inline Hook,我們就把干凈的函數(shù)開頭拷貝過來覆蓋掉被感染的函數(shù)頭。然后在發(fā)送IRP,就不會被Inline Hook監(jiān)視或篡改了。
安全第一 識別文本型郵件附件欺騙方法
[ 2007-03-25 02:42:39 | 作者: sun ]
在眾多媒體的宣傳報道下,今天的我們都知道了不能輕易打開電子郵件里的可執(zhí)行文件類的附件,但是顯然那些破壞活動的制造者們也看了那些警告防范的文章,他們開始玩一些新的把戲,讓您以為那些附件只不過是沒有危險的文本文件或是圖像文件等就是其手段之一。由于目前大多數(shù)人使用的是windows系列操作系統(tǒng),windows的默認設(shè)置是隱藏已知文件擴展名的,而當你去點擊那個看上去很友善的文件,那些破壞性的東西就跳出來了。您可能說這我早就知道了,那么下面講述的.txt文件的新欺騙方法及原理您知道嗎?
假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時候它并不會顯現(xiàn)出來,您看到的就是個.txt文件,這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內(nèi)容如下:
您可能以為它會調(diào)用記事本來運行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來運行,并且自動在后臺開始格式化d盤,同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現(xiàn)原理:當您雙擊這個偽裝起來的.txt時候,由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會以html文件的形式運行,這是它能運行起來的先決條件。
文件內(nèi)容中的第2和第3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動的執(zhí)行者,在其中可以加載帶有破壞性質(zhì)的命令。那么第2行又是干什么的呢?您可能已經(jīng)注意到了第2行里的“WSCript”,對!就是它導演了全幕,它是實際行動總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執(zhí)行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在Windows Scripting Host腳本環(huán)境里,預定義了一些對象,通過它自帶的幾個內(nèi)置對象,可以實現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。
假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時候它并不會顯現(xiàn)出來,您看到的就是個.txt文件,這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內(nèi)容如下:
您可能以為它會調(diào)用記事本來運行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來運行,并且自動在后臺開始格式化d盤,同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現(xiàn)原理:當您雙擊這個偽裝起來的.txt時候,由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會以html文件的形式運行,這是它能運行起來的先決條件。
文件內(nèi)容中的第2和第3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動的執(zhí)行者,在其中可以加載帶有破壞性質(zhì)的命令。那么第2行又是干什么的呢?您可能已經(jīng)注意到了第2行里的“WSCript”,對!就是它導演了全幕,它是實際行動總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執(zhí)行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在Windows Scripting Host腳本環(huán)境里,預定義了一些對象,通過它自帶的幾個內(nèi)置對象,可以實現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。
知根知底 完全解析木馬駐留系統(tǒng)的方式
[ 2007-03-25 02:42:27 | 作者: sun ]
木馬病毒,我們大家都是非常的熟悉,這個病毒傳播危害大,那么它都通過那些方式傳播的你知道嗎?
第一招:利用系統(tǒng)啟動文件
1 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關(guān)的子鍵
2 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關(guān)的子鍵
3 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數(shù)據(jù)
4 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數(shù)據(jù)
第二招:關(guān)聯(lián)類型文件使木馬運行
在業(yè)內(nèi)著名的木馬冰河就是這樣啟動的,它關(guān)聯(lián)的是exe類型的文件,方法如下:(以下方法是我在我的win2003中測試通過的)
注冊表 ClassRoot 下的.exe 文件打開方式為exefile,我們就找到exefile子鍵,然后exefile該鍵下有一個shell子鍵,在shell子鍵下有open子鍵,在open下有command子鍵,command里有default鍵,value為"%1" %* 我們把它改變?yōu)?木馬路徑 "%1" %* 就可以了
當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊
第三招:文件捆綁使木馬運行
捆綁和關(guān)聯(lián)文件不同,關(guān)聯(lián)是修改注冊表,但捆綁類似于病毒的“感染”,就是把木馬的進程感染到其他的執(zhí)行文件上,業(yè)內(nèi)著名木馬“網(wǎng)絡(luò)公牛 - Netbull”就是利用這種方法進行啟動。
網(wǎng)絡(luò)公牛服務端名稱newserver.exe,運行后自動脫殼到c:\windows\system\checkdll.exe目錄下,下次開機自動運行,同時服務端在運行時會自動捆綁以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自動搜索系統(tǒng)啟動項程序,捆綁之。比如qq.exe realplay.exe
除非把以上文件全部刪除,否則無法清除,但系統(tǒng)文件刪除后系統(tǒng)就無法正常運行,所以大多數(shù)人只能重裝系統(tǒng)。確實牛。
第四招: 進程保護
兩個木馬進程,互相監(jiān)視,發(fā)現(xiàn)對方被關(guān)閉后啟動對方。技術(shù)其實不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//檢查對方進程是否關(guān)閉,關(guān)閉的話再打開。
}
第五招:巧用啟動文件夾
開始菜單的啟動文件夾內(nèi)的文件在系統(tǒng)啟動后會隨系統(tǒng)啟動,假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內(nèi),太明顯,但設(shè)置隱藏屬性后不會被系統(tǒng)啟動。
有一個辦法,將啟動文件夾改名為啟動a,并將該文件隱藏,然后再新建一個啟動文件夾,將原啟動文件夾內(nèi)的所有內(nèi)容復制到新建的啟動文件夾,這樣就可以了。(其實系統(tǒng)還是會啟動原來的啟動文件夾內(nèi)的內(nèi)rogn,也就是現(xiàn)在被改為"啟動a"的文件夾,而現(xiàn)在我們新建的"啟動"文件夾只是一個擺設(shè)而已,因為在這里的"啟動a"對應著注冊表local_machine\software\microsoft\windows\currentversion\explorer\startmenu內(nèi)的common startup鍵值,當我們更該原來系統(tǒng)的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:\Documents and Settings\All Users\開始\Programs\啟動a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實現(xiàn)自啟動,和run不同,run是系統(tǒng)啟動后加載,runservices是系統(tǒng)登錄時就啟動
在系統(tǒng)根目錄下放置Explorer.exe文件,在Explorer.exe文件中去啟動正常的Explorer.exe文件,可以在C盤和D盤下都放上。
第一招:利用系統(tǒng)啟動文件
1 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關(guān)的子鍵
2 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關(guān)的子鍵
3 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數(shù)據(jù)
4 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數(shù)據(jù)
第二招:關(guān)聯(lián)類型文件使木馬運行
在業(yè)內(nèi)著名的木馬冰河就是這樣啟動的,它關(guān)聯(lián)的是exe類型的文件,方法如下:(以下方法是我在我的win2003中測試通過的)
注冊表 ClassRoot 下的.exe 文件打開方式為exefile,我們就找到exefile子鍵,然后exefile該鍵下有一個shell子鍵,在shell子鍵下有open子鍵,在open下有command子鍵,command里有default鍵,value為"%1" %* 我們把它改變?yōu)?木馬路徑 "%1" %* 就可以了
當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊
第三招:文件捆綁使木馬運行
捆綁和關(guān)聯(lián)文件不同,關(guān)聯(lián)是修改注冊表,但捆綁類似于病毒的“感染”,就是把木馬的進程感染到其他的執(zhí)行文件上,業(yè)內(nèi)著名木馬“網(wǎng)絡(luò)公牛 - Netbull”就是利用這種方法進行啟動。
網(wǎng)絡(luò)公牛服務端名稱newserver.exe,運行后自動脫殼到c:\windows\system\checkdll.exe目錄下,下次開機自動運行,同時服務端在運行時會自動捆綁以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自動搜索系統(tǒng)啟動項程序,捆綁之。比如qq.exe realplay.exe
除非把以上文件全部刪除,否則無法清除,但系統(tǒng)文件刪除后系統(tǒng)就無法正常運行,所以大多數(shù)人只能重裝系統(tǒng)。確實牛。
第四招: 進程保護
兩個木馬進程,互相監(jiān)視,發(fā)現(xiàn)對方被關(guān)閉后啟動對方。技術(shù)其實不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//檢查對方進程是否關(guān)閉,關(guān)閉的話再打開。
}
第五招:巧用啟動文件夾
開始菜單的啟動文件夾內(nèi)的文件在系統(tǒng)啟動后會隨系統(tǒng)啟動,假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內(nèi),太明顯,但設(shè)置隱藏屬性后不會被系統(tǒng)啟動。
有一個辦法,將啟動文件夾改名為啟動a,并將該文件隱藏,然后再新建一個啟動文件夾,將原啟動文件夾內(nèi)的所有內(nèi)容復制到新建的啟動文件夾,這樣就可以了。(其實系統(tǒng)還是會啟動原來的啟動文件夾內(nèi)的內(nèi)rogn,也就是現(xiàn)在被改為"啟動a"的文件夾,而現(xiàn)在我們新建的"啟動"文件夾只是一個擺設(shè)而已,因為在這里的"啟動a"對應著注冊表local_machine\software\microsoft\windows\currentversion\explorer\startmenu內(nèi)的common startup鍵值,當我們更該原來系統(tǒng)的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:\Documents and Settings\All Users\開始\Programs\啟動a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實現(xiàn)自啟動,和run不同,run是系統(tǒng)啟動后加載,runservices是系統(tǒng)登錄時就啟動
在系統(tǒng)根目錄下放置Explorer.exe文件,在Explorer.exe文件中去啟動正常的Explorer.exe文件,可以在C盤和D盤下都放上。
經(jīng)驗談:家庭用戶如何使用防火墻軟件
[ 2007-03-25 02:42:13 | 作者: sun ]
由于黑客泛濫,所以為了防止惡意攻擊,防火墻軟件應運而生。但是我們應該能夠正確使用防火墻軟件,讓它真正為我們服務。
防火墻都定義了安全級別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級別調(diào)整到“高安全級”,認為安全級別越高越好。其實不是這樣。如果你的電腦太安全了,你會發(fā)現(xiàn)網(wǎng)絡(luò)游戲就無法啟動了,而且視頻程序也就無法訪問到網(wǎng)上的視頻文件了(這對于ADSL用戶是一個極大損失)。那么到底各種安全級別是什么意思呢?
低安全級:計算機將開放所有服務,但禁止互聯(lián)網(wǎng)上的機器訪問文件、打印機共享服務。適用于在局域網(wǎng)中的提供服務的用戶。這是自由度最大的安全級別,所以僅限于“網(wǎng)絡(luò)高手”使用。
中安全級:禁止訪問系統(tǒng)級別的服務( 如HTTP , FTP等)。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務。 使用動態(tài)規(guī)則管理,允許授權(quán)運行的程序開放的端口服務,比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發(fā)郵件和傳輸文件的一般用戶,所以一般這個安全級別是缺省值。
高安全級:系統(tǒng)會屏蔽掉向外部開放的所有端口;禁止訪問本機提供所有服務,對常見的木馬程序和攻擊進行攔截;提供嚴格控制的網(wǎng)絡(luò)訪問能力;適用于僅僅是上網(wǎng)瀏覽網(wǎng)頁的用戶。當然網(wǎng)絡(luò)游戲你就玩不了了。
另外,所有的安全級都會控制應用程序訪問網(wǎng)絡(luò)的權(quán)限。
防火墻都定義了安全級別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級別調(diào)整到“高安全級”,認為安全級別越高越好。其實不是這樣。如果你的電腦太安全了,你會發(fā)現(xiàn)網(wǎng)絡(luò)游戲就無法啟動了,而且視頻程序也就無法訪問到網(wǎng)上的視頻文件了(這對于ADSL用戶是一個極大損失)。那么到底各種安全級別是什么意思呢?
低安全級:計算機將開放所有服務,但禁止互聯(lián)網(wǎng)上的機器訪問文件、打印機共享服務。適用于在局域網(wǎng)中的提供服務的用戶。這是自由度最大的安全級別,所以僅限于“網(wǎng)絡(luò)高手”使用。
中安全級:禁止訪問系統(tǒng)級別的服務( 如HTTP , FTP等)。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務。 使用動態(tài)規(guī)則管理,允許授權(quán)運行的程序開放的端口服務,比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發(fā)郵件和傳輸文件的一般用戶,所以一般這個安全級別是缺省值。
高安全級:系統(tǒng)會屏蔽掉向外部開放的所有端口;禁止訪問本機提供所有服務,對常見的木馬程序和攻擊進行攔截;提供嚴格控制的網(wǎng)絡(luò)訪問能力;適用于僅僅是上網(wǎng)瀏覽網(wǎng)頁的用戶。當然網(wǎng)絡(luò)游戲你就玩不了了。
另外,所有的安全級都會控制應用程序訪問網(wǎng)絡(luò)的權(quán)限。
