保護(hù)你的系統(tǒng)仔細(xì)查看與比較關(guān)鍵進(jìn)程
[ 2007-03-25 02:41:59 | 作者: sun ]
我們都知道進(jìn)程是系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序,所以打開(kāi)系統(tǒng)進(jìn)程列表來(lái)查看哪些進(jìn)程正在運(yùn)行,通
過(guò)進(jìn)程名及路徑判斷和比較是否有病毒是一種經(jīng)常做的常規(guī)工作,如果懷疑病毒進(jìn)程只要記下它的進(jìn)程
名,結(jié)束該進(jìn)程,然后刪除病毒程序即可。但是哪些是正常進(jìn)程哪些不是正常的進(jìn)程呢?
1 、查看進(jìn)程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務(wù)管理器”,打開(kāi)“Windows 任務(wù)管理
器”,然后單擊“進(jìn)程”標(biāo)簽即可查看。
B。右擊任務(wù)條,打開(kāi)任務(wù)管理器,然后看“進(jìn)程”也可以。我常用的就是這個(gè)了。
2。進(jìn)程的具體路徑
開(kāi)始→程序→附件→系統(tǒng)工具→系統(tǒng)信息→軟件環(huán)境→正在運(yùn)行的任務(wù)。是不是看到了。。
3。比較關(guān)鍵的進(jìn)程
(1)Csrss.exe:這是子系統(tǒng)服務(wù)器進(jìn)程,負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境。這個(gè)是不能關(guān)的。。
(2)Lsass.exe:管理IP安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。這個(gè)也不是能關(guān)的。。。
(3)Explorer.exe:資源管理器。這個(gè)知道是什么吧?你關(guān)一下試試看,呵呵。關(guān)了以后別怕啊。可以再在任務(wù)管理器中的新任務(wù)中再建一個(gè)。。。
(4)Smss.exe:這是一個(gè)會(huì)話管理子系統(tǒng),負(fù)責(zé)啟動(dòng)用戶會(huì)話。這個(gè)不能關(guān)的。。。
(5)Services.exe:系統(tǒng)服務(wù)的管理工具,包含很多系統(tǒng)服務(wù)。當(dāng)然也不能關(guān)的。。
(6)system: Windows系統(tǒng)進(jìn)程,當(dāng)然不關(guān)。
(7)System Idle Process:這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上,并在系統(tǒng)不處理其它線程的時(shí)候分派處理器的時(shí)間。暈,這個(gè)大家一看就知道。
(8)Spoolsv.exe:管理緩沖區(qū)中的打印和傳真作業(yè)。不能關(guān)的。
(9)Svchost.exe:系統(tǒng)啟動(dòng)的時(shí)候,Svchost.exe將檢查注冊(cè)表中的位置來(lái)創(chuàng)建需要加載的服務(wù)列表,如果多個(gè)Svchost.exe同時(shí)運(yùn)行,則表明當(dāng)前有多組服務(wù)處于活動(dòng)狀態(tài);多個(gè)DLL文件正在調(diào)用它。
WINXP一般是五個(gè)進(jìn)程,記住!
(10)winlogon.exe: 管理用戶登錄,你關(guān)關(guān)試試看,重新啟動(dòng)了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務(wù)管理器!
(13) systray.exe是哪兒冒出來(lái)的。什么東西。呵呵。右下角的小喇叭。
4。常見(jiàn)病毒的進(jìn)程名
avserve.exe 震蕩波病毒的進(jìn)程
java.exe、services.exe MyDoom 病毒的進(jìn)程
svch0st.exe、expl0er、user32.exe 網(wǎng)銀大盜的進(jìn)程
dllhost.exe 沖擊波病毒的進(jìn)程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲(chóng)病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網(wǎng)絡(luò)精靈
Checkdll.exe → 網(wǎng)絡(luò)公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達(dá)病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛(ài)情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國(guó)黑客病毒 Svchost.exe (線程105) → 藍(lán)色代碼
Scanrew.exe → 傳奇終結(jié)者 Sysedit32.exe → SCKISS愛(ài)情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網(wǎng)絡(luò)神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達(dá)病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲(chóng)病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無(wú)霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛(ài)情森林
Winver.exe → Sckiss愛(ài)情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達(dá)病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進(jìn)程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統(tǒng)正常的進(jìn)程外,其余的凡是帶
32數(shù)字你可要注意一下.這很可能就是病毒進(jìn)程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當(dāng)然我們
也要小心了例如魔波會(huì)利用SVCHOST進(jìn)程(它是全大寫)可怕的··
5。如何處理可疑進(jìn)程
(1).試驗(yàn)法
將可疑進(jìn)程結(jié)束后,通過(guò)“開(kāi)始→搜索→文件或文件夾”,然后輸入可穎進(jìn)程名作為關(guān)鍵字對(duì)硬盤進(jìn)行
搜索,找到對(duì)應(yīng)的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對(duì)電腦上的軟件都運(yùn)行一遍,
如果都能正常運(yùn)行,說(shuō)明這個(gè)進(jìn)程是多余的或者是病毒,就算不是病毒把它刪了也可給系統(tǒng)減肥。如果
有軟件不能正常運(yùn)行則要將它還原。
(2).搜索求救法
如果你對(duì)“不明進(jìn)程”是否是病毒拿不定主意,可以把該進(jìn)程的全名為關(guān)鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關(guān)資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當(dāng)然必須是升級(jí)到最新殺軟!
過(guò)進(jìn)程名及路徑判斷和比較是否有病毒是一種經(jīng)常做的常規(guī)工作,如果懷疑病毒進(jìn)程只要記下它的進(jìn)程
名,結(jié)束該進(jìn)程,然后刪除病毒程序即可。但是哪些是正常進(jìn)程哪些不是正常的進(jìn)程呢?
1 、查看進(jìn)程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務(wù)管理器”,打開(kāi)“Windows 任務(wù)管理
器”,然后單擊“進(jìn)程”標(biāo)簽即可查看。
B。右擊任務(wù)條,打開(kāi)任務(wù)管理器,然后看“進(jìn)程”也可以。我常用的就是這個(gè)了。
2。進(jìn)程的具體路徑
開(kāi)始→程序→附件→系統(tǒng)工具→系統(tǒng)信息→軟件環(huán)境→正在運(yùn)行的任務(wù)。是不是看到了。。
3。比較關(guān)鍵的進(jìn)程
(1)Csrss.exe:這是子系統(tǒng)服務(wù)器進(jìn)程,負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境。這個(gè)是不能關(guān)的。。
(2)Lsass.exe:管理IP安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。這個(gè)也不是能關(guān)的。。。
(3)Explorer.exe:資源管理器。這個(gè)知道是什么吧?你關(guān)一下試試看,呵呵。關(guān)了以后別怕啊。可以再在任務(wù)管理器中的新任務(wù)中再建一個(gè)。。。
(4)Smss.exe:這是一個(gè)會(huì)話管理子系統(tǒng),負(fù)責(zé)啟動(dòng)用戶會(huì)話。這個(gè)不能關(guān)的。。。
(5)Services.exe:系統(tǒng)服務(wù)的管理工具,包含很多系統(tǒng)服務(wù)。當(dāng)然也不能關(guān)的。。
(6)system: Windows系統(tǒng)進(jìn)程,當(dāng)然不關(guān)。
(7)System Idle Process:這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上,并在系統(tǒng)不處理其它線程的時(shí)候分派處理器的時(shí)間。暈,這個(gè)大家一看就知道。
(8)Spoolsv.exe:管理緩沖區(qū)中的打印和傳真作業(yè)。不能關(guān)的。
(9)Svchost.exe:系統(tǒng)啟動(dòng)的時(shí)候,Svchost.exe將檢查注冊(cè)表中的位置來(lái)創(chuàng)建需要加載的服務(wù)列表,如果多個(gè)Svchost.exe同時(shí)運(yùn)行,則表明當(dāng)前有多組服務(wù)處于活動(dòng)狀態(tài);多個(gè)DLL文件正在調(diào)用它。
WINXP一般是五個(gè)進(jìn)程,記住!
(10)winlogon.exe: 管理用戶登錄,你關(guān)關(guān)試試看,重新啟動(dòng)了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務(wù)管理器!
(13) systray.exe是哪兒冒出來(lái)的。什么東西。呵呵。右下角的小喇叭。
4。常見(jiàn)病毒的進(jìn)程名
avserve.exe 震蕩波病毒的進(jìn)程
java.exe、services.exe MyDoom 病毒的進(jìn)程
svch0st.exe、expl0er、user32.exe 網(wǎng)銀大盜的進(jìn)程
dllhost.exe 沖擊波病毒的進(jìn)程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲(chóng)病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網(wǎng)絡(luò)精靈
Checkdll.exe → 網(wǎng)絡(luò)公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達(dá)病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛(ài)情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國(guó)黑客病毒 Svchost.exe (線程105) → 藍(lán)色代碼
Scanrew.exe → 傳奇終結(jié)者 Sysedit32.exe → SCKISS愛(ài)情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網(wǎng)絡(luò)神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達(dá)病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲(chóng)病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無(wú)霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛(ài)情森林
Winver.exe → Sckiss愛(ài)情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達(dá)病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進(jìn)程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統(tǒng)正常的進(jìn)程外,其余的凡是帶
32數(shù)字你可要注意一下.這很可能就是病毒進(jìn)程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當(dāng)然我們
也要小心了例如魔波會(huì)利用SVCHOST進(jìn)程(它是全大寫)可怕的··
5。如何處理可疑進(jìn)程
(1).試驗(yàn)法
將可疑進(jìn)程結(jié)束后,通過(guò)“開(kāi)始→搜索→文件或文件夾”,然后輸入可穎進(jìn)程名作為關(guān)鍵字對(duì)硬盤進(jìn)行
搜索,找到對(duì)應(yīng)的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對(duì)電腦上的軟件都運(yùn)行一遍,
如果都能正常運(yùn)行,說(shuō)明這個(gè)進(jìn)程是多余的或者是病毒,就算不是病毒把它刪了也可給系統(tǒng)減肥。如果
有軟件不能正常運(yùn)行則要將它還原。
(2).搜索求救法
如果你對(duì)“不明進(jìn)程”是否是病毒拿不定主意,可以把該進(jìn)程的全名為關(guān)鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關(guān)資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當(dāng)然必須是升級(jí)到最新殺軟!
切斷 Windows 服務(wù)器系統(tǒng)默認(rèn)共享通道
[ 2007-03-25 02:41:46 | 作者: sun ]
在Windows服務(wù)器系統(tǒng)中,每當(dāng)服務(wù)器啟動(dòng)成功時(shí),系統(tǒng)的C盤、D盤等都會(huì)被自動(dòng)設(shè)置成隱藏共享,盡管通過(guò)這些默認(rèn)共享可以讓服務(wù)器管理維護(hù)起來(lái)更方便一些;但在享受方便的同時(shí),這些默認(rèn)共享常常會(huì)被一些非法攻擊者利用,從而容易給服務(wù)器造成安全威脅。
如果你不想讓服務(wù)器輕易遭受到非法攻擊的話,就必須及時(shí)切斷服務(wù)器的默認(rèn)共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務(wù)器的默認(rèn)共享。
功能配置法
這種方法是通過(guò)Windows XP或Windows 2003系統(tǒng)中的msconfig命令,來(lái)實(shí)現(xiàn)切斷服務(wù)器默認(rèn)共享“通道”目的的。使用該方法時(shí),可以按照如下步驟來(lái)進(jìn)行:
依次單擊“開(kāi)始”/“運(yùn)行”命令,在隨后出現(xiàn)的系統(tǒng)運(yùn)行設(shè)置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開(kāi)一個(gè)標(biāo)題為系統(tǒng)配置實(shí)用程序的設(shè)置窗口;
單擊該窗口中的“服務(wù)”選項(xiàng)卡,在其后打開(kāi)的選項(xiàng)設(shè)置頁(yè)面中,找到其中的“Server”項(xiàng)目,并檢查該項(xiàng)目前面是否有勾號(hào)存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動(dòng)服務(wù)器系統(tǒng)時(shí),服務(wù)器的C盤、D盤等就不會(huì)被自動(dòng)設(shè)置成默認(rèn)共享了。
小提示:盡管Windows 2000服務(wù)器系統(tǒng)沒(méi)有系統(tǒng)配置實(shí)用程序功能,但考慮到該系統(tǒng)的內(nèi)核與Windows 2003系統(tǒng)內(nèi)核比較接近,因此你可以將Windows 2003系統(tǒng)中的msconfig.exe文件和msconfig.chm文件直接復(fù)制到Windows 2000系統(tǒng)目錄中,以后你也可以在該系統(tǒng)的運(yùn)行對(duì)話框中,直接啟動(dòng)系統(tǒng)配置實(shí)用程序功能了。如果在啟動(dòng)該功能的過(guò)程中,遇到有錯(cuò)誤提示窗口彈出時(shí),你可以不必理會(huì),不停單擊“取消”按鈕就可以看到系統(tǒng)配置實(shí)用程序設(shè)置窗口了。
“強(qiáng)行”停止法
所謂“強(qiáng)行”停止法,其實(shí)就是借助Windows服務(wù)器的計(jì)算機(jī)管理功能,來(lái)對(duì)已經(jīng)存在的默認(rèn)共享文件夾,“強(qiáng)制”停止共享命令,以便讓其共享狀態(tài)取消,同時(shí)確保這些文件夾下次不能被自動(dòng)設(shè)置成共享。在“強(qiáng)行”停止默認(rèn)共享文件夾的共享狀態(tài)時(shí),你可以按照下面的步驟來(lái)進(jìn)行:
依次單擊“開(kāi)始”/“運(yùn)行”命令,在打開(kāi)的系統(tǒng)運(yùn)行設(shè)置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開(kāi)打開(kāi)Windows服務(wù)器系統(tǒng)的“計(jì)算機(jī)管理”界面;
在該界面的左側(cè)列表區(qū)域中,用鼠標(biāo)逐一展開(kāi)“系統(tǒng)工具”、“共享文件夾”、“共享”文件夾,在對(duì)應(yīng)“共享”文件夾右邊的子窗口中,你將會(huì)發(fā)現(xiàn)服務(wù)器系統(tǒng)中所有已被共享的文件文件夾都被自動(dòng)顯示出來(lái)了,其中共享名稱后面帶有“$”符號(hào)的共享文件夾,就是服務(wù)器自動(dòng)生成的默認(rèn)共享文件夾;
要取消這些共享文件夾的共享狀態(tài),你只要先用鼠標(biāo)逐一選中它們,然后再用右鍵單擊之,在其后打開(kāi)的快捷菜單中,選中“停止共享”選項(xiàng),隨后屏幕上將打開(kāi)一個(gè)如圖2所示的對(duì)話框,要求你確認(rèn)一下是否真的想停止已經(jīng)選擇的共享,此時(shí)你再單擊一下“是”按鈕,所有選中的默認(rèn)共享文件夾的共享標(biāo)志就會(huì)自動(dòng)消失了,這表明它們的共享狀態(tài)已經(jīng)被“強(qiáng)行”停止了,以后哪怕是重新啟動(dòng)服務(wù)器系統(tǒng),服務(wù)器的C盤、D盤也不會(huì)被自動(dòng)設(shè)置成默認(rèn)共享了。
逐一刪除法
所謂“逐一刪除法”,其實(shí)就是借助Windows服務(wù)器內(nèi)置的“net share”命令,來(lái)將已經(jīng)處于共享狀態(tài)的默認(rèn)共享文件夾,一個(gè)一個(gè)地刪除掉(當(dāng)然這里的刪除,僅僅表示刪除默認(rèn)共享文件夾的共享狀態(tài),而不是刪除默認(rèn)文件夾中的內(nèi)容),但該方法有一個(gè)致命的缺陷,就是無(wú)法實(shí)現(xiàn)“一勞永逸”的刪除效果,只要服務(wù)器系統(tǒng)重新啟動(dòng)一下,默認(rèn)共享文件夾又會(huì)自動(dòng)生成了。在使用該方法刪除默認(rèn)共享文件夾的共享狀態(tài)時(shí),可以參考如下的操作步驟:
首先在系統(tǒng)的開(kāi)始菜單中,執(zhí)行“運(yùn)行”命令,打開(kāi)系統(tǒng)運(yùn)行設(shè)置框,在該對(duì)話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務(wù)器系統(tǒng)就會(huì)自動(dòng)切換到DOS命令行工作狀態(tài);
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務(wù)器中C盤分區(qū)的共享狀態(tài)就被自動(dòng)刪除了;如果服務(wù)器中還存在D盤分區(qū)、E盤分區(qū)的話,你可以按照相同的辦法,分別執(zhí)行字符串命令“net share d$ /del”、“net share e$ /del”來(lái)刪除它們的共享狀態(tài);
此外,對(duì)應(yīng)IP$、Admin$之類的默認(rèn)共享文件夾,你們也可以執(zhí)行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來(lái)將它們的隱藏共享狀態(tài)取消,這樣的話非法攻擊者就無(wú)法通過(guò)這些隱藏共享“通道”,來(lái)隨意攻擊Windows服務(wù)器了。
“自動(dòng)”刪除法
如果服務(wù)器中包含的隱藏共享文件夾比較多的話,依次通過(guò)“net share”命令來(lái)逐一刪除它們時(shí),將顯得非常麻煩。其實(shí),我們可以自行創(chuàng)建一個(gè)批處理文件,來(lái)讓服務(wù)器一次性刪除所有默認(rèn)共享文件夾的共享狀態(tài)。在創(chuàng)建批處理文件時(shí),只要打開(kāi)類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對(duì)話框中輸入文件名為“delshare.bat”,并設(shè)置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動(dòng)刪除默認(rèn)共享文件夾的批處理文件創(chuàng)建工作了。以后需要?jiǎng)h除這些默認(rèn)共享文件夾的共享狀態(tài)時(shí),只要雙擊“delshare.bat”批處理文件,服務(wù)器系統(tǒng)中的所有默認(rèn)共享“通道”就能被自動(dòng)切斷
如果你不想讓服務(wù)器輕易遭受到非法攻擊的話,就必須及時(shí)切斷服務(wù)器的默認(rèn)共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務(wù)器的默認(rèn)共享。
功能配置法
這種方法是通過(guò)Windows XP或Windows 2003系統(tǒng)中的msconfig命令,來(lái)實(shí)現(xiàn)切斷服務(wù)器默認(rèn)共享“通道”目的的。使用該方法時(shí),可以按照如下步驟來(lái)進(jìn)行:
依次單擊“開(kāi)始”/“運(yùn)行”命令,在隨后出現(xiàn)的系統(tǒng)運(yùn)行設(shè)置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開(kāi)一個(gè)標(biāo)題為系統(tǒng)配置實(shí)用程序的設(shè)置窗口;
單擊該窗口中的“服務(wù)”選項(xiàng)卡,在其后打開(kāi)的選項(xiàng)設(shè)置頁(yè)面中,找到其中的“Server”項(xiàng)目,并檢查該項(xiàng)目前面是否有勾號(hào)存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動(dòng)服務(wù)器系統(tǒng)時(shí),服務(wù)器的C盤、D盤等就不會(huì)被自動(dòng)設(shè)置成默認(rèn)共享了。
小提示:盡管Windows 2000服務(wù)器系統(tǒng)沒(méi)有系統(tǒng)配置實(shí)用程序功能,但考慮到該系統(tǒng)的內(nèi)核與Windows 2003系統(tǒng)內(nèi)核比較接近,因此你可以將Windows 2003系統(tǒng)中的msconfig.exe文件和msconfig.chm文件直接復(fù)制到Windows 2000系統(tǒng)目錄中,以后你也可以在該系統(tǒng)的運(yùn)行對(duì)話框中,直接啟動(dòng)系統(tǒng)配置實(shí)用程序功能了。如果在啟動(dòng)該功能的過(guò)程中,遇到有錯(cuò)誤提示窗口彈出時(shí),你可以不必理會(huì),不停單擊“取消”按鈕就可以看到系統(tǒng)配置實(shí)用程序設(shè)置窗口了。
“強(qiáng)行”停止法
所謂“強(qiáng)行”停止法,其實(shí)就是借助Windows服務(wù)器的計(jì)算機(jī)管理功能,來(lái)對(duì)已經(jīng)存在的默認(rèn)共享文件夾,“強(qiáng)制”停止共享命令,以便讓其共享狀態(tài)取消,同時(shí)確保這些文件夾下次不能被自動(dòng)設(shè)置成共享。在“強(qiáng)行”停止默認(rèn)共享文件夾的共享狀態(tài)時(shí),你可以按照下面的步驟來(lái)進(jìn)行:
依次單擊“開(kāi)始”/“運(yùn)行”命令,在打開(kāi)的系統(tǒng)運(yùn)行設(shè)置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開(kāi)打開(kāi)Windows服務(wù)器系統(tǒng)的“計(jì)算機(jī)管理”界面;
在該界面的左側(cè)列表區(qū)域中,用鼠標(biāo)逐一展開(kāi)“系統(tǒng)工具”、“共享文件夾”、“共享”文件夾,在對(duì)應(yīng)“共享”文件夾右邊的子窗口中,你將會(huì)發(fā)現(xiàn)服務(wù)器系統(tǒng)中所有已被共享的文件文件夾都被自動(dòng)顯示出來(lái)了,其中共享名稱后面帶有“$”符號(hào)的共享文件夾,就是服務(wù)器自動(dòng)生成的默認(rèn)共享文件夾;
要取消這些共享文件夾的共享狀態(tài),你只要先用鼠標(biāo)逐一選中它們,然后再用右鍵單擊之,在其后打開(kāi)的快捷菜單中,選中“停止共享”選項(xiàng),隨后屏幕上將打開(kāi)一個(gè)如圖2所示的對(duì)話框,要求你確認(rèn)一下是否真的想停止已經(jīng)選擇的共享,此時(shí)你再單擊一下“是”按鈕,所有選中的默認(rèn)共享文件夾的共享標(biāo)志就會(huì)自動(dòng)消失了,這表明它們的共享狀態(tài)已經(jīng)被“強(qiáng)行”停止了,以后哪怕是重新啟動(dòng)服務(wù)器系統(tǒng),服務(wù)器的C盤、D盤也不會(huì)被自動(dòng)設(shè)置成默認(rèn)共享了。
逐一刪除法
所謂“逐一刪除法”,其實(shí)就是借助Windows服務(wù)器內(nèi)置的“net share”命令,來(lái)將已經(jīng)處于共享狀態(tài)的默認(rèn)共享文件夾,一個(gè)一個(gè)地刪除掉(當(dāng)然這里的刪除,僅僅表示刪除默認(rèn)共享文件夾的共享狀態(tài),而不是刪除默認(rèn)文件夾中的內(nèi)容),但該方法有一個(gè)致命的缺陷,就是無(wú)法實(shí)現(xiàn)“一勞永逸”的刪除效果,只要服務(wù)器系統(tǒng)重新啟動(dòng)一下,默認(rèn)共享文件夾又會(huì)自動(dòng)生成了。在使用該方法刪除默認(rèn)共享文件夾的共享狀態(tài)時(shí),可以參考如下的操作步驟:
首先在系統(tǒng)的開(kāi)始菜單中,執(zhí)行“運(yùn)行”命令,打開(kāi)系統(tǒng)運(yùn)行設(shè)置框,在該對(duì)話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務(wù)器系統(tǒng)就會(huì)自動(dòng)切換到DOS命令行工作狀態(tài);
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務(wù)器中C盤分區(qū)的共享狀態(tài)就被自動(dòng)刪除了;如果服務(wù)器中還存在D盤分區(qū)、E盤分區(qū)的話,你可以按照相同的辦法,分別執(zhí)行字符串命令“net share d$ /del”、“net share e$ /del”來(lái)刪除它們的共享狀態(tài);
此外,對(duì)應(yīng)IP$、Admin$之類的默認(rèn)共享文件夾,你們也可以執(zhí)行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來(lái)將它們的隱藏共享狀態(tài)取消,這樣的話非法攻擊者就無(wú)法通過(guò)這些隱藏共享“通道”,來(lái)隨意攻擊Windows服務(wù)器了。
“自動(dòng)”刪除法
如果服務(wù)器中包含的隱藏共享文件夾比較多的話,依次通過(guò)“net share”命令來(lái)逐一刪除它們時(shí),將顯得非常麻煩。其實(shí),我們可以自行創(chuàng)建一個(gè)批處理文件,來(lái)讓服務(wù)器一次性刪除所有默認(rèn)共享文件夾的共享狀態(tài)。在創(chuàng)建批處理文件時(shí),只要打開(kāi)類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對(duì)話框中輸入文件名為“delshare.bat”,并設(shè)置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動(dòng)刪除默認(rèn)共享文件夾的批處理文件創(chuàng)建工作了。以后需要?jiǎng)h除這些默認(rèn)共享文件夾的共享狀態(tài)時(shí),只要雙擊“delshare.bat”批處理文件,服務(wù)器系統(tǒng)中的所有默認(rèn)共享“通道”就能被自動(dòng)切斷
家庭用戶如何使用防火墻軟件
[ 2007-03-25 02:41:32 | 作者: sun ]
由于黑客泛濫,所以為了防止惡意攻擊,防火墻軟件應(yīng)運(yùn)而生。但是我們應(yīng)該能夠正確使用防火墻軟件,讓它真正為我們服務(wù)。
防火墻都定義了安全級(jí)別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級(jí)別調(diào)整到“高安全級(jí)”,認(rèn)為安全級(jí)別越高越好。其實(shí)不是這樣。如果你的電腦太安全了,你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)游戲就無(wú)法啟動(dòng)了,而且視頻程序也就無(wú)法訪問(wèn)到網(wǎng)上的視頻文件了(這對(duì)于ADSL用戶是一個(gè)極大損失)。那么到底各種安全級(jí)別是什么意思呢?
低安全級(jí):計(jì)算機(jī)將開(kāi)放所有服務(wù),但禁止互聯(lián)網(wǎng)上的機(jī)器訪問(wèn)文件、打印機(jī)共享服務(wù)。適用于在局域網(wǎng)中的提供服務(wù)的用戶。這是自由度最大的安全級(jí)別,所以僅限于“網(wǎng)絡(luò)高手”使用。
中安全級(jí):禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù)( 如HTTP , FTP等)。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問(wèn)文件、打印機(jī)共享服務(wù)。 使用動(dòng)態(tài)規(guī)則管理,允許授權(quán)運(yùn)行的程序開(kāi)放的端口服務(wù),比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)。而且能夠保證例如收發(fā)郵件和傳輸文件的一般用戶,所以一般這個(gè)安全級(jí)別是缺省值。
高安全級(jí):系統(tǒng)會(huì)屏蔽掉向外部開(kāi)放的所有端口;禁止訪問(wèn)本機(jī)提供所有服務(wù),對(duì)常見(jiàn)的木馬程序和攻擊進(jìn)行攔截;提供嚴(yán)格控制的網(wǎng)絡(luò)訪問(wèn)能力;適用于僅僅是上網(wǎng)瀏覽網(wǎng)頁(yè)的用戶。當(dāng)然網(wǎng)絡(luò)游戲你就玩不了了。
另外,所有的安全級(jí)都會(huì)控制應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的權(quán)限。
防火墻都定義了安全級(jí)別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級(jí)別調(diào)整到“高安全級(jí)”,認(rèn)為安全級(jí)別越高越好。其實(shí)不是這樣。如果你的電腦太安全了,你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)游戲就無(wú)法啟動(dòng)了,而且視頻程序也就無(wú)法訪問(wèn)到網(wǎng)上的視頻文件了(這對(duì)于ADSL用戶是一個(gè)極大損失)。那么到底各種安全級(jí)別是什么意思呢?
低安全級(jí):計(jì)算機(jī)將開(kāi)放所有服務(wù),但禁止互聯(lián)網(wǎng)上的機(jī)器訪問(wèn)文件、打印機(jī)共享服務(wù)。適用于在局域網(wǎng)中的提供服務(wù)的用戶。這是自由度最大的安全級(jí)別,所以僅限于“網(wǎng)絡(luò)高手”使用。
中安全級(jí):禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù)( 如HTTP , FTP等)。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問(wèn)文件、打印機(jī)共享服務(wù)。 使用動(dòng)態(tài)規(guī)則管理,允許授權(quán)運(yùn)行的程序開(kāi)放的端口服務(wù),比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)。而且能夠保證例如收發(fā)郵件和傳輸文件的一般用戶,所以一般這個(gè)安全級(jí)別是缺省值。
高安全級(jí):系統(tǒng)會(huì)屏蔽掉向外部開(kāi)放的所有端口;禁止訪問(wèn)本機(jī)提供所有服務(wù),對(duì)常見(jiàn)的木馬程序和攻擊進(jìn)行攔截;提供嚴(yán)格控制的網(wǎng)絡(luò)訪問(wèn)能力;適用于僅僅是上網(wǎng)瀏覽網(wǎng)頁(yè)的用戶。當(dāng)然網(wǎng)絡(luò)游戲你就玩不了了。
另外,所有的安全級(jí)都會(huì)控制應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的權(quán)限。
七招全面圍剿“灰鴿子”
[ 2007-03-25 02:41:19 | 作者: sun ]
灰鴿子木馬引發(fā)的激烈論戰(zhàn)正在網(wǎng)絡(luò)安全界進(jìn)行,電腦安全問(wèn)題隨之受到網(wǎng)友們的高度關(guān)注。
金山公司公開(kāi)指責(zé)灰鴿子工作室2007年2月底推出的“灰鴿子2007 beta2版本”隱蔽性更強(qiáng),隱藏病毒的進(jìn)程,所有盜取用戶信息的操作,遠(yuǎn)程計(jì)算機(jī)的操作人員可能毫不知情。灰鴿子工作室則回應(yīng)稱,灰鴿子遠(yuǎn)程控制系列軟件產(chǎn)品在對(duì)外授權(quán)時(shí),已經(jīng)充分告知用戶要遵守中國(guó)法律法規(guī)的規(guī)定。
這場(chǎng)論戰(zhàn)仍在進(jìn)行。不論結(jié)果如何,眼下如何保護(hù)保證自己的經(jīng)濟(jì)不受損失,避免因?yàn)殡[私外泄而受到敲詐,成為當(dāng)務(wù)之急。
應(yīng)對(duì)辦法——
途徑1:設(shè)置屏幕保密碼
保護(hù)電腦安全,不光是防陌生人,有時(shí)也要向同事保密。如果您不想在離開(kāi)座位后,自己電腦里的東西被別人看光光的話,設(shè)置屏保密碼是個(gè)簡(jiǎn)便的方式。
以WindowsXP系統(tǒng)來(lái)說(shuō),您只要在桌面的空白處右擊鼠標(biāo),從菜單中選擇“屬性”欄目,打開(kāi)“顯示屬性”對(duì)話框,再點(diǎn)擊“屏幕保護(hù)程序”欄目即可。在這個(gè)窗口的“屏幕保護(hù)程序”下拉框中,任意選擇一種屏幕保護(hù)程序。隨后,您只要選中“在恢復(fù)時(shí)使用密碼保護(hù)”框,再單擊“應(yīng)用”按鈕就可以了。
注意事項(xiàng):需要提醒大家的是,在WinXP中無(wú)需您輸入具體的“密碼”,Windows在屏保運(yùn)行后,會(huì)自動(dòng)退出當(dāng)前用戶登錄,退回到Windows登錄窗口。這時(shí)您作為這臺(tái)電腦的主人,只要輸入登錄Windows時(shí)的密碼就能夠使用Windows了。對(duì)于不知道您登錄密碼的人,自然只能“望機(jī)興嘆”了。
途徑2:及時(shí)下載補(bǔ)丁
除了殺毒軟件幫您防范入侵的黑客和病毒,Windows自身的網(wǎng)絡(luò)安全設(shè)置,也在幫您抵擋不懷好意的“入侵者”。不過(guò),要想讓Windows能夠完全施展開(kāi)拳腳,還要留意以下幾點(diǎn)。
首先,在IE瀏覽器的工具欄里,選擇“INTERNET選項(xiàng)”,單擊其中的“安全”一欄。此時(shí)在菜單里,單擊“自定義級(jí)別”,并在“重置自定義設(shè)置”選項(xiàng)里,選中“安全級(jí)—高”一欄,并單擊“確定”按鈕。
每當(dāng)Windows自動(dòng)升級(jí)時(shí),系統(tǒng)總會(huì)提示下載了一些更新程序。這時(shí),有些用戶由于擔(dān)心C盤空間不大,裝的程序太多容易拖慢系統(tǒng)速度,就不安裝這些更新程序和補(bǔ)丁。其實(shí),這是不對(duì)的。有些Windows自身的漏洞極易成為黑客的攻擊重點(diǎn)。僅靠殺毒軟件,有時(shí)無(wú)法杜絕這些問(wèn)題。
注意事項(xiàng):對(duì)于C盤空間不大的用戶來(lái)說(shuō),建議您首先不要在桌面上放一些程序、文件、文檔,以免占用寶貴的C盤空間。另外,對(duì)于必須使用但又不是系統(tǒng)文件的程序、軟件,建議您把它們一律安裝到D盤或者E盤里,照樣可以正常使用。
途徑3:銀行數(shù)字證書隨身帶
如今,幾乎全部的網(wǎng)上銀行,在您支付款項(xiàng)時(shí),都會(huì)用到數(shù)字證書。不過(guò)讓我們有些憂心的是,數(shù)字證書長(zhǎng)期存在電腦硬盤里,一旦在您上網(wǎng)時(shí)有人通過(guò)某些病毒或黑客程序遠(yuǎn)程操作、查詢您電腦里的相關(guān)內(nèi)容,就可能備份您的銀行數(shù)字證書、竊取您的銀行賬號(hào)和密碼,并且趁您不使用電腦的時(shí)候,操控您的屏幕,劃走您的錢。
注意事項(xiàng):建議您最好在開(kāi)通您的銀行卡網(wǎng)上銀行功能時(shí),按照各家銀行的提示操作步驟,把您的數(shù)字證書,導(dǎo)出存在U盤里,有些銀行則是直接向用戶出售存有數(shù)字證書的U盤。總之盡量不要把數(shù)字證書存在電腦硬盤里,以免被別人遠(yuǎn)程控制。
途徑4:利用殺毒軟件體檢
正因?yàn)榛银澴舆@類木馬在中毒電腦上了無(wú)痕跡,用戶往往無(wú)法判斷自己的電腦是否已經(jīng)被植入木馬,反病毒專家介紹說(shuō),用戶可以通過(guò)使用升級(jí)到最新病毒庫(kù)的殺毒軟件來(lái)掃描自己的電腦。金山和瑞星等很多安全廠商此前都推出了灰鴿子專殺工具。此外,用戶還可以到安全廠商的官方網(wǎng)站上學(xué)習(xí)手動(dòng)查殺。
注意事項(xiàng):看殺毒軟件是否過(guò)期。“明明安了殺毒軟件,怎么又中招了”,這是當(dāng)前不少電腦用戶的疑問(wèn)。人們往往在安裝了殺毒軟件后,就以為一切都搞定了,自己的電腦“百毒不侵”了。需要提醒大家的是,安裝完殺毒軟件,一定要及時(shí)運(yùn)行,并把各種選項(xiàng)的配置情況確認(rèn)一下。如果軟件沒(méi)有開(kāi)啟自動(dòng)升級(jí)、掃描電子郵件、掃描壓縮文件內(nèi)部等功能,一定要立即開(kāi)啟;此外,新病毒變種頻出,建議您把殺毒軟件一定要配置為“最高防護(hù)級(jí)別”,這樣您上網(wǎng)時(shí)才會(huì)更加安全。
另外,即使開(kāi)啟了自動(dòng)升級(jí)功能,建議您也要經(jīng)常手動(dòng)更新一下自己的殺毒軟件,一旦發(fā)現(xiàn)廠商提供的病毒庫(kù)有所更新,就要及時(shí)跟進(jìn)。另外,在殺毒軟件的使用上,一定要用正版。有時(shí),一些盜版殺毒軟件本身就暗藏病毒。
注意事項(xiàng):檢查您使用的殺毒軟件是否過(guò)期,使用盜版殺毒軟件(或者一個(gè)正版ID用在多臺(tái)計(jì)算機(jī)上),不能正常升級(jí)的,特別需要檢查。
途徑5:word加密
以Word 2000來(lái)說(shuō),如果您的文檔中有不想讓其他人看見(jiàn)的個(gè)人隱私,或者這個(gè)文件中涉及單位的機(jī)密信息,您就需要阻止別人查看自己的文檔了。需要對(duì)Word文檔進(jìn)行加密。
首先打開(kāi)這個(gè)需要加密的Word文檔。單擊“工具”欄里的“選項(xiàng)”一行。這時(shí),會(huì)彈出一個(gè)菜單,您需要選擇“保存”這個(gè)欄目,然后分別在“打開(kāi)權(quán)限密碼”和“修改權(quán)限密碼”這兩個(gè)空白欄中輸入您設(shè)置的任意密碼。輸入后,您需要單擊“確定”按鈕。這時(shí),系統(tǒng)會(huì)再次彈出窗口,要您再次鍵入一遍“打開(kāi)權(quán)限密碼”和“修改權(quán)限密碼”。分別單擊“確定”按鈕后,設(shè)定就完成了。
注意事項(xiàng):您在關(guān)閉這個(gè)Word文檔時(shí),記得還要單擊“是”,以便保存您剛才的一切操作。另外,要記住自己的密碼,以免忘了密碼后自己也進(jìn)不去而耽誤事。
途徑6:設(shè)置登錄密碼
開(kāi)機(jī)時(shí)輸對(duì)登錄密碼,才能使用這臺(tái)電腦,這是Windows自帶的重要安全設(shè)置,也是防范他人入侵自己個(gè)人空間的一大功能。對(duì)于WinXP來(lái)說(shuō),如果在安裝系統(tǒng)時(shí)您沒(méi)有設(shè)置密碼,也沒(méi)關(guān)系,這項(xiàng)功課還是可以補(bǔ)上的。
首先,您進(jìn)入“我的電腦”,雙擊控制面板,選擇自己原本沒(méi)有密碼的那個(gè)用戶賬戶。接下來(lái),您需要選擇“設(shè)定我的密碼”,鍵入一個(gè)至少8位的密碼,并再輸一遍,然后設(shè)定自己的密碼提示問(wèn)題,最后按提示單擊“是”這個(gè)按鈕,就可以了。
注意事項(xiàng):如果您所使用的電腦是單位公用的,您和您的同事也可以在同一臺(tái)電腦里分別設(shè)定自己不同的賬戶和登錄密碼,大家互不干擾。
途徑7:硬件加密一籮筐
除了軟加密,部分電腦還能夠通過(guò)先進(jìn)的硬件,實(shí)現(xiàn)硬加密。
例如有些電腦就配備有先進(jìn)的指紋系統(tǒng),只有指紋符合者,才能啟用這臺(tái)電腦。還有的電腦具備了人臉識(shí)別功能,機(jī)主的相貌就是通行證。
同時(shí),一些廠家還推出了各種電子安全鎖,通常是以U盤的形式存在。通過(guò)預(yù)先設(shè)置,只有插入這個(gè)U盤,電腦才能夠正常工作。
注意事項(xiàng):當(dāng)然,如果您希望啟用這些更加嚴(yán)密的安防措施,就需要額外破費(fèi)一番了。
金山公司公開(kāi)指責(zé)灰鴿子工作室2007年2月底推出的“灰鴿子2007 beta2版本”隱蔽性更強(qiáng),隱藏病毒的進(jìn)程,所有盜取用戶信息的操作,遠(yuǎn)程計(jì)算機(jī)的操作人員可能毫不知情。灰鴿子工作室則回應(yīng)稱,灰鴿子遠(yuǎn)程控制系列軟件產(chǎn)品在對(duì)外授權(quán)時(shí),已經(jīng)充分告知用戶要遵守中國(guó)法律法規(guī)的規(guī)定。
這場(chǎng)論戰(zhàn)仍在進(jìn)行。不論結(jié)果如何,眼下如何保護(hù)保證自己的經(jīng)濟(jì)不受損失,避免因?yàn)殡[私外泄而受到敲詐,成為當(dāng)務(wù)之急。
應(yīng)對(duì)辦法——
途徑1:設(shè)置屏幕保密碼
保護(hù)電腦安全,不光是防陌生人,有時(shí)也要向同事保密。如果您不想在離開(kāi)座位后,自己電腦里的東西被別人看光光的話,設(shè)置屏保密碼是個(gè)簡(jiǎn)便的方式。
以WindowsXP系統(tǒng)來(lái)說(shuō),您只要在桌面的空白處右擊鼠標(biāo),從菜單中選擇“屬性”欄目,打開(kāi)“顯示屬性”對(duì)話框,再點(diǎn)擊“屏幕保護(hù)程序”欄目即可。在這個(gè)窗口的“屏幕保護(hù)程序”下拉框中,任意選擇一種屏幕保護(hù)程序。隨后,您只要選中“在恢復(fù)時(shí)使用密碼保護(hù)”框,再單擊“應(yīng)用”按鈕就可以了。
注意事項(xiàng):需要提醒大家的是,在WinXP中無(wú)需您輸入具體的“密碼”,Windows在屏保運(yùn)行后,會(huì)自動(dòng)退出當(dāng)前用戶登錄,退回到Windows登錄窗口。這時(shí)您作為這臺(tái)電腦的主人,只要輸入登錄Windows時(shí)的密碼就能夠使用Windows了。對(duì)于不知道您登錄密碼的人,自然只能“望機(jī)興嘆”了。
途徑2:及時(shí)下載補(bǔ)丁
除了殺毒軟件幫您防范入侵的黑客和病毒,Windows自身的網(wǎng)絡(luò)安全設(shè)置,也在幫您抵擋不懷好意的“入侵者”。不過(guò),要想讓Windows能夠完全施展開(kāi)拳腳,還要留意以下幾點(diǎn)。
首先,在IE瀏覽器的工具欄里,選擇“INTERNET選項(xiàng)”,單擊其中的“安全”一欄。此時(shí)在菜單里,單擊“自定義級(jí)別”,并在“重置自定義設(shè)置”選項(xiàng)里,選中“安全級(jí)—高”一欄,并單擊“確定”按鈕。
每當(dāng)Windows自動(dòng)升級(jí)時(shí),系統(tǒng)總會(huì)提示下載了一些更新程序。這時(shí),有些用戶由于擔(dān)心C盤空間不大,裝的程序太多容易拖慢系統(tǒng)速度,就不安裝這些更新程序和補(bǔ)丁。其實(shí),這是不對(duì)的。有些Windows自身的漏洞極易成為黑客的攻擊重點(diǎn)。僅靠殺毒軟件,有時(shí)無(wú)法杜絕這些問(wèn)題。
注意事項(xiàng):對(duì)于C盤空間不大的用戶來(lái)說(shuō),建議您首先不要在桌面上放一些程序、文件、文檔,以免占用寶貴的C盤空間。另外,對(duì)于必須使用但又不是系統(tǒng)文件的程序、軟件,建議您把它們一律安裝到D盤或者E盤里,照樣可以正常使用。
途徑3:銀行數(shù)字證書隨身帶
如今,幾乎全部的網(wǎng)上銀行,在您支付款項(xiàng)時(shí),都會(huì)用到數(shù)字證書。不過(guò)讓我們有些憂心的是,數(shù)字證書長(zhǎng)期存在電腦硬盤里,一旦在您上網(wǎng)時(shí)有人通過(guò)某些病毒或黑客程序遠(yuǎn)程操作、查詢您電腦里的相關(guān)內(nèi)容,就可能備份您的銀行數(shù)字證書、竊取您的銀行賬號(hào)和密碼,并且趁您不使用電腦的時(shí)候,操控您的屏幕,劃走您的錢。
注意事項(xiàng):建議您最好在開(kāi)通您的銀行卡網(wǎng)上銀行功能時(shí),按照各家銀行的提示操作步驟,把您的數(shù)字證書,導(dǎo)出存在U盤里,有些銀行則是直接向用戶出售存有數(shù)字證書的U盤。總之盡量不要把數(shù)字證書存在電腦硬盤里,以免被別人遠(yuǎn)程控制。
途徑4:利用殺毒軟件體檢
正因?yàn)榛银澴舆@類木馬在中毒電腦上了無(wú)痕跡,用戶往往無(wú)法判斷自己的電腦是否已經(jīng)被植入木馬,反病毒專家介紹說(shuō),用戶可以通過(guò)使用升級(jí)到最新病毒庫(kù)的殺毒軟件來(lái)掃描自己的電腦。金山和瑞星等很多安全廠商此前都推出了灰鴿子專殺工具。此外,用戶還可以到安全廠商的官方網(wǎng)站上學(xué)習(xí)手動(dòng)查殺。
注意事項(xiàng):看殺毒軟件是否過(guò)期。“明明安了殺毒軟件,怎么又中招了”,這是當(dāng)前不少電腦用戶的疑問(wèn)。人們往往在安裝了殺毒軟件后,就以為一切都搞定了,自己的電腦“百毒不侵”了。需要提醒大家的是,安裝完殺毒軟件,一定要及時(shí)運(yùn)行,并把各種選項(xiàng)的配置情況確認(rèn)一下。如果軟件沒(méi)有開(kāi)啟自動(dòng)升級(jí)、掃描電子郵件、掃描壓縮文件內(nèi)部等功能,一定要立即開(kāi)啟;此外,新病毒變種頻出,建議您把殺毒軟件一定要配置為“最高防護(hù)級(jí)別”,這樣您上網(wǎng)時(shí)才會(huì)更加安全。
另外,即使開(kāi)啟了自動(dòng)升級(jí)功能,建議您也要經(jīng)常手動(dòng)更新一下自己的殺毒軟件,一旦發(fā)現(xiàn)廠商提供的病毒庫(kù)有所更新,就要及時(shí)跟進(jìn)。另外,在殺毒軟件的使用上,一定要用正版。有時(shí),一些盜版殺毒軟件本身就暗藏病毒。
注意事項(xiàng):檢查您使用的殺毒軟件是否過(guò)期,使用盜版殺毒軟件(或者一個(gè)正版ID用在多臺(tái)計(jì)算機(jī)上),不能正常升級(jí)的,特別需要檢查。
途徑5:word加密
以Word 2000來(lái)說(shuō),如果您的文檔中有不想讓其他人看見(jiàn)的個(gè)人隱私,或者這個(gè)文件中涉及單位的機(jī)密信息,您就需要阻止別人查看自己的文檔了。需要對(duì)Word文檔進(jìn)行加密。
首先打開(kāi)這個(gè)需要加密的Word文檔。單擊“工具”欄里的“選項(xiàng)”一行。這時(shí),會(huì)彈出一個(gè)菜單,您需要選擇“保存”這個(gè)欄目,然后分別在“打開(kāi)權(quán)限密碼”和“修改權(quán)限密碼”這兩個(gè)空白欄中輸入您設(shè)置的任意密碼。輸入后,您需要單擊“確定”按鈕。這時(shí),系統(tǒng)會(huì)再次彈出窗口,要您再次鍵入一遍“打開(kāi)權(quán)限密碼”和“修改權(quán)限密碼”。分別單擊“確定”按鈕后,設(shè)定就完成了。
注意事項(xiàng):您在關(guān)閉這個(gè)Word文檔時(shí),記得還要單擊“是”,以便保存您剛才的一切操作。另外,要記住自己的密碼,以免忘了密碼后自己也進(jìn)不去而耽誤事。
途徑6:設(shè)置登錄密碼
開(kāi)機(jī)時(shí)輸對(duì)登錄密碼,才能使用這臺(tái)電腦,這是Windows自帶的重要安全設(shè)置,也是防范他人入侵自己個(gè)人空間的一大功能。對(duì)于WinXP來(lái)說(shuō),如果在安裝系統(tǒng)時(shí)您沒(méi)有設(shè)置密碼,也沒(méi)關(guān)系,這項(xiàng)功課還是可以補(bǔ)上的。
首先,您進(jìn)入“我的電腦”,雙擊控制面板,選擇自己原本沒(méi)有密碼的那個(gè)用戶賬戶。接下來(lái),您需要選擇“設(shè)定我的密碼”,鍵入一個(gè)至少8位的密碼,并再輸一遍,然后設(shè)定自己的密碼提示問(wèn)題,最后按提示單擊“是”這個(gè)按鈕,就可以了。
注意事項(xiàng):如果您所使用的電腦是單位公用的,您和您的同事也可以在同一臺(tái)電腦里分別設(shè)定自己不同的賬戶和登錄密碼,大家互不干擾。
途徑7:硬件加密一籮筐
除了軟加密,部分電腦還能夠通過(guò)先進(jìn)的硬件,實(shí)現(xiàn)硬加密。
例如有些電腦就配備有先進(jìn)的指紋系統(tǒng),只有指紋符合者,才能啟用這臺(tái)電腦。還有的電腦具備了人臉識(shí)別功能,機(jī)主的相貌就是通行證。
同時(shí),一些廠家還推出了各種電子安全鎖,通常是以U盤的形式存在。通過(guò)預(yù)先設(shè)置,只有插入這個(gè)U盤,電腦才能夠正常工作。
注意事項(xiàng):當(dāng)然,如果您希望啟用這些更加嚴(yán)密的安防措施,就需要額外破費(fèi)一番了。
phpbb2.0.12全路徑泄露漏洞
[ 2007-03-25 02:41:05 | 作者: sun ]
phpbb是強(qiáng)大的可升級(jí)的開(kāi)放源代碼電子公告系統(tǒng)。最新的版本和低版本都存在路徑泄露問(wèn)題。
測(cè)試方法:
論壇路徑/viewtopic.php?p=6&highlight=\[xiaohua]
將會(huì)出現(xiàn)下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
問(wèn)題代碼:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解決方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同時(shí)設(shè)置為On
測(cè)試方法:
論壇路徑/viewtopic.php?p=6&highlight=\[xiaohua]
將會(huì)出現(xiàn)下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
問(wèn)題代碼:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解決方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同時(shí)設(shè)置為On
推薦:系統(tǒng)關(guān)鍵進(jìn)程的查看和比較
[ 2007-03-25 02:40:53 | 作者: sun ]
我們都知道進(jìn)程是系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序,所以打開(kāi)系統(tǒng)進(jìn)程列表來(lái)查看哪些進(jìn)程正在運(yùn)行,通
過(guò)進(jìn)程名及路徑判斷和比較是否有病毒是一種經(jīng)常做的常規(guī)工作,如果懷疑病毒進(jìn)程只要記下它的進(jìn)程
名,結(jié)束該進(jìn)程,然后刪除病毒程序即可。但是哪些是正常進(jìn)程哪些不是正常的進(jìn)程呢?
1 、查看進(jìn)程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務(wù)管理器”,打開(kāi)“Windows 任務(wù)管理
器”,然后單擊“進(jìn)程”標(biāo)簽即可查看。
B。右擊任務(wù)條,打開(kāi)任務(wù)管理器,然后看“進(jìn)程”也可以。我常用的就是這個(gè)了。
2。進(jìn)程的具體路徑
開(kāi)始→程序→附件→系統(tǒng)工具→系統(tǒng)信息→軟件環(huán)境→正在運(yùn)行的任務(wù)。是不是看到了。。
3。比較關(guān)鍵的進(jìn)程
(1)Csrss.exe:這是子系統(tǒng)服務(wù)器進(jìn)程,負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境。這個(gè)是不能關(guān)的。。
(2)Lsass.exe:管理IP安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。這個(gè)也不是能關(guān)的。。。
(3)Explorer.exe:資源管理器。這個(gè)知道是什么吧?你關(guān)一下試試看,呵呵。關(guān)了以后別怕啊。可以再在任務(wù)管理器中的新任務(wù)中再建一個(gè)。。。
(4)Smss.exe:這是一個(gè)會(huì)話管理子系統(tǒng),負(fù)責(zé)啟動(dòng)用戶會(huì)話。這個(gè)不能關(guān)的。。。
(5)Services.exe:系統(tǒng)服務(wù)的管理工具,包含很多系統(tǒng)服務(wù)。當(dāng)然也不能關(guān)的。。
(6)system: Windows系統(tǒng)進(jìn)程,當(dāng)然不關(guān)。
(7)System Idle Process:這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上,并在系統(tǒng)不處理其它線程的時(shí)候分派處理器的時(shí)間。暈,這個(gè)大家一看就知道。
(8)Spoolsv.exe:管理緩沖區(qū)中的打印和傳真作業(yè)。不能關(guān)的。
(9)Svchost.exe:系統(tǒng)啟動(dòng)的時(shí)候,Svchost.exe將檢查注冊(cè)表中的位置來(lái)創(chuàng)建需要加載的服務(wù)列表,如果多個(gè)Svchost.exe同時(shí)運(yùn)行,則表明當(dāng)前有多組服務(wù)處于活動(dòng)狀態(tài);多個(gè)DLL文件正在調(diào)用它。
WINXP一般是五個(gè)進(jìn)程,記住!
(10)winlogon.exe: 管理用戶登錄,你關(guān)關(guān)試試看,重新啟動(dòng)了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務(wù)管理器!
(13) systray.exe是哪兒冒出來(lái)的。什么東西。呵呵。右下角的小喇叭。
4。常見(jiàn)病毒的進(jìn)程名
avserve.exe 震蕩波病毒的進(jìn)程
java.exe、services.exe MyDoom 病毒的進(jìn)程
svch0st.exe、expl0er、user32.exe 網(wǎng)銀大盜的進(jìn)程
dllhost.exe 沖擊波病毒的進(jìn)程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲(chóng)病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網(wǎng)絡(luò)精靈
Checkdll.exe → 網(wǎng)絡(luò)公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達(dá)病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛(ài)情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國(guó)黑客病毒 Svchost.exe (線程105) → 藍(lán)色代碼
Scanrew.exe → 傳奇終結(jié)者 Sysedit32.exe → SCKISS愛(ài)情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網(wǎng)絡(luò)神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達(dá)病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲(chóng)病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無(wú)霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛(ài)情森林
Winver.exe → Sckiss愛(ài)情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達(dá)病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進(jìn)程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統(tǒng)正常的進(jìn)程外,其余的凡是帶
32數(shù)字你可要注意一下.這很可能就是病毒進(jìn)程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當(dāng)然我們
也要小心了例如魔波會(huì)利用SVCHOST進(jìn)程(它是全大寫)可怕的··
5。如何處理可疑進(jìn)程
(1).試驗(yàn)法
將可疑進(jìn)程結(jié)束后,通過(guò)“開(kāi)始→搜索→文件或文件夾”,然后輸入可穎進(jìn)程名作為關(guān)鍵字對(duì)硬盤進(jìn)行
搜索,找到對(duì)應(yīng)的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對(duì)電腦上的軟件都運(yùn)行一遍,
如果都能正常運(yùn)行,說(shuō)明這個(gè)進(jìn)程是多余的或者是病毒,就算不是病毒把它刪了也可給系統(tǒng)減肥。如果
有軟件不能正常運(yùn)行則要將它還原。
(2).搜索求救法
如果你對(duì)“不明進(jìn)程”是否是病毒拿不定主意,可以把該進(jìn)程的全名為關(guān)鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關(guān)資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當(dāng)然必須是升級(jí)到最新殺軟!
過(guò)進(jìn)程名及路徑判斷和比較是否有病毒是一種經(jīng)常做的常規(guī)工作,如果懷疑病毒進(jìn)程只要記下它的進(jìn)程
名,結(jié)束該進(jìn)程,然后刪除病毒程序即可。但是哪些是正常進(jìn)程哪些不是正常的進(jìn)程呢?
1 、查看進(jìn)程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務(wù)管理器”,打開(kāi)“Windows 任務(wù)管理
器”,然后單擊“進(jìn)程”標(biāo)簽即可查看。
B。右擊任務(wù)條,打開(kāi)任務(wù)管理器,然后看“進(jìn)程”也可以。我常用的就是這個(gè)了。
2。進(jìn)程的具體路徑
開(kāi)始→程序→附件→系統(tǒng)工具→系統(tǒng)信息→軟件環(huán)境→正在運(yùn)行的任務(wù)。是不是看到了。。
3。比較關(guān)鍵的進(jìn)程
(1)Csrss.exe:這是子系統(tǒng)服務(wù)器進(jìn)程,負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境。這個(gè)是不能關(guān)的。。
(2)Lsass.exe:管理IP安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。這個(gè)也不是能關(guān)的。。。
(3)Explorer.exe:資源管理器。這個(gè)知道是什么吧?你關(guān)一下試試看,呵呵。關(guān)了以后別怕啊。可以再在任務(wù)管理器中的新任務(wù)中再建一個(gè)。。。
(4)Smss.exe:這是一個(gè)會(huì)話管理子系統(tǒng),負(fù)責(zé)啟動(dòng)用戶會(huì)話。這個(gè)不能關(guān)的。。。
(5)Services.exe:系統(tǒng)服務(wù)的管理工具,包含很多系統(tǒng)服務(wù)。當(dāng)然也不能關(guān)的。。
(6)system: Windows系統(tǒng)進(jìn)程,當(dāng)然不關(guān)。
(7)System Idle Process:這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上,并在系統(tǒng)不處理其它線程的時(shí)候分派處理器的時(shí)間。暈,這個(gè)大家一看就知道。
(8)Spoolsv.exe:管理緩沖區(qū)中的打印和傳真作業(yè)。不能關(guān)的。
(9)Svchost.exe:系統(tǒng)啟動(dòng)的時(shí)候,Svchost.exe將檢查注冊(cè)表中的位置來(lái)創(chuàng)建需要加載的服務(wù)列表,如果多個(gè)Svchost.exe同時(shí)運(yùn)行,則表明當(dāng)前有多組服務(wù)處于活動(dòng)狀態(tài);多個(gè)DLL文件正在調(diào)用它。
WINXP一般是五個(gè)進(jìn)程,記住!
(10)winlogon.exe: 管理用戶登錄,你關(guān)關(guān)試試看,重新啟動(dòng)了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務(wù)管理器!
(13) systray.exe是哪兒冒出來(lái)的。什么東西。呵呵。右下角的小喇叭。
4。常見(jiàn)病毒的進(jìn)程名
avserve.exe 震蕩波病毒的進(jìn)程
java.exe、services.exe MyDoom 病毒的進(jìn)程
svch0st.exe、expl0er、user32.exe 網(wǎng)銀大盜的進(jìn)程
dllhost.exe 沖擊波病毒的進(jìn)程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲(chóng)病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網(wǎng)絡(luò)精靈
Checkdll.exe → 網(wǎng)絡(luò)公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達(dá)病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛(ài)情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國(guó)黑客病毒 Svchost.exe (線程105) → 藍(lán)色代碼
Scanrew.exe → 傳奇終結(jié)者 Sysedit32.exe → SCKISS愛(ài)情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網(wǎng)絡(luò)神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達(dá)病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲(chóng)病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無(wú)霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛(ài)情森林
Winver.exe → Sckiss愛(ài)情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達(dá)病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進(jìn)程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統(tǒng)正常的進(jìn)程外,其余的凡是帶
32數(shù)字你可要注意一下.這很可能就是病毒進(jìn)程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當(dāng)然我們
也要小心了例如魔波會(huì)利用SVCHOST進(jìn)程(它是全大寫)可怕的··
5。如何處理可疑進(jìn)程
(1).試驗(yàn)法
將可疑進(jìn)程結(jié)束后,通過(guò)“開(kāi)始→搜索→文件或文件夾”,然后輸入可穎進(jìn)程名作為關(guān)鍵字對(duì)硬盤進(jìn)行
搜索,找到對(duì)應(yīng)的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對(duì)電腦上的軟件都運(yùn)行一遍,
如果都能正常運(yùn)行,說(shuō)明這個(gè)進(jìn)程是多余的或者是病毒,就算不是病毒把它刪了也可給系統(tǒng)減肥。如果
有軟件不能正常運(yùn)行則要將它還原。
(2).搜索求救法
如果你對(duì)“不明進(jìn)程”是否是病毒拿不定主意,可以把該進(jìn)程的全名為關(guān)鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關(guān)資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當(dāng)然必須是升級(jí)到最新殺軟!
ARP欺騙原理分析與安全防范
[ 2007-03-25 02:40:41 | 作者: sun ]
本來(lái)不打算寫這接下的一系列討論欺騙的文章(計(jì)劃中有arp欺騙、icmp欺騙、路由rip欺騙、ip地址欺騙等),這主要是自己有些擔(dān)心有些人會(huì)給網(wǎng)管增加日常工作量,但是想想還是寫的好,因?yàn)橥ǔT谀忝痛蛲暄a(bǔ)丁后,你可能覺(jué)得你的系統(tǒng)安全了,但是,實(shí)際上,打補(bǔ)丁只是安全措施里的一個(gè)很基本的步驟而已,通常一個(gè)hacker要進(jìn)入你的系統(tǒng),他所要做的并不是你打補(bǔ)丁就可以避免的,象這些欺騙都要求你必須掌握相當(dāng)?shù)木W(wǎng)絡(luò)底層知識(shí)和合理安排物理布線才可阻止得了的。特別是多種手法混用的時(shí)候,特別要說(shuō)明的是:有些人往往以為會(huì)使用某些工具入侵就覺(jué)得自己是個(gè)hacker,呵呵。。其實(shí),我認(rèn)為這只是入門而已(有些是連門都找不到),通過(guò)本文,我想讓人們知道,一個(gè)hacker在真正入侵系統(tǒng)時(shí),他并不是依靠別人寫的什么軟件的。更多是靠對(duì)系統(tǒng)和網(wǎng)絡(luò)的深入了解來(lái)達(dá)到這個(gè)目的。
我想我會(huì)盡可能將我知道的寫出來(lái),同時(shí)也將盡可能把防止欺騙的解決辦法寫出來(lái),當(dāng)然,這只是我知道的而已,如果有失誤的地方,歡迎指正。呵呵。。
首先還是得說(shuō)一下什么是ARP,如果你在UNIXShell下輸入arp-a(9x下也是),你的輸出看起來(lái)應(yīng)該是這樣的:
程序代碼
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................
這里第一列顯示的是ip地址,第二列顯示的是和ip地址對(duì)應(yīng)的網(wǎng)絡(luò)接口卡的硬件地址(MAC),第三列是該ip和mac的對(duì)應(yīng)關(guān)系類型。
可見(jiàn),arp是一種將ip轉(zhuǎn)化成以ip對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議,或者說(shuō)ARP協(xié)議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議,它靠維持在內(nèi)存中保存的一張表來(lái)使ip得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。
為什么要將ip轉(zhuǎn)化成mac呢?呵呵。。解釋下去太多了,簡(jiǎn)單的說(shuō),這是因?yàn)樵趖cp網(wǎng)絡(luò)環(huán)境下,一個(gè)ip包走到哪里,要怎么走是靠路由表定義,但是,當(dāng)ip 包到達(dá)該網(wǎng)絡(luò)后,哪臺(tái)機(jī)器響應(yīng)這個(gè)ip包卻是靠該ip包中所包含的mac地址來(lái)識(shí)別,也就是說(shuō),只有mac地址和該ip包中的mac地址相同的機(jī)器才會(huì)應(yīng)答這個(gè)ip包(好象很多余,呵呵。。),因?yàn)樵诰W(wǎng)絡(luò)中,每一臺(tái)主機(jī)都會(huì)有發(fā)送ip包的時(shí)候,所以,在每臺(tái)主機(jī)的內(nèi)存中,都有一個(gè)arp-->mac的轉(zhuǎn)換表。通常是動(dòng)態(tài)的轉(zhuǎn)換表(注意在路由中,該arp表可以被設(shè)置成靜態(tài))。也就是說(shuō),該對(duì)應(yīng)表會(huì)被主機(jī)在需要的時(shí)候刷新。這 捎諞姨謐油閔系拇涫強(qiáng)?8位的mac地址而決定的。
通常主機(jī)在發(fā)送一個(gè)ip包之前,它要到該轉(zhuǎn)換表中尋找和ip包對(duì)應(yīng)的mac地址,如果沒(méi)有找到,該主機(jī)就發(fā)送一個(gè)ARP廣播包,看起來(lái)象這樣子:
“我是主機(jī)xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機(jī)請(qǐng)報(bào)上你的mac來(lái)”
ip為xxx.xxx.xxx.xx1的主機(jī)響應(yīng)這個(gè)廣播,應(yīng)答ARP廣播為:
“我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2”
于是,主機(jī)刷新自己的ARP緩存。然后發(fā)出該ip包。
了解這些常識(shí)后,現(xiàn)在就可以談在網(wǎng)絡(luò)中如何實(shí)現(xiàn)ARP欺騙了,可以看看這樣
一個(gè)例子:
一個(gè)入侵者想非法進(jìn)入某臺(tái)主機(jī),他知道這臺(tái)主機(jī)的火墻只對(duì)192.0.0.3(假設(shè))這個(gè)ip開(kāi)放23口(telnet),而他必須要使用telnet來(lái)進(jìn)入這臺(tái)主機(jī),所以他要這么做:
1、他先研究192.0.0.3這臺(tái)主機(jī),發(fā)現(xiàn)這臺(tái)95的機(jī)器使用一個(gè)oob就可以讓他死掉。
2、于是,他送一個(gè)洪水包給192.0.0.3的139口,于是,該機(jī)器應(yīng)包而死。
3、這時(shí),主機(jī)發(fā)到192.0.0.3的ip包將無(wú)法被機(jī)器應(yīng)答,系統(tǒng)開(kāi)始更新自己的arp對(duì)應(yīng)表。將192.0.0.3的項(xiàng)目搽去。
4、這段時(shí)間里,入侵者把自己的ip改成192.0.0.3
5、他發(fā)一個(gè)ping(icmp0)給主機(jī),要求主機(jī)更新主機(jī)的arp轉(zhuǎn)換表。
6、主機(jī)找到該ip,然后在arp表中加如新的http://www.520hack.com對(duì)應(yīng)關(guān)系。
7、火墻失效了,入侵的ip變成合法的mac地址,可以telnet了。
(好象很羅嗦,呵呵。。不過(guò)這是很典型的例子)
現(xiàn)在,假如該主機(jī)不只提供telnet,它還提供r命令(rsh,rcopy,rlogin等)那么,所有的安全約定將無(wú)效,入侵者可以放心的使用這臺(tái)主機(jī)的資源而不用擔(dān)心被記錄什么。
有人也許會(huì)說(shuō),這其實(shí)就是冒用ip嘛。。呵呵。。不錯(cuò),是冒用了ip,但決不是ip欺騙,ip欺騙的原理比這要復(fù)雜的多,實(shí)現(xiàn)的機(jī)理也完全不一樣。
上面就是一個(gè)ARP的欺騙過(guò)程,這是在同網(wǎng)段發(fā)生的情況,但是,提醒注意的是,利用交換集線器或網(wǎng)橋是無(wú)法阻止ARP欺騙的,只有路由分段是有效的阻止手段。(也就是ip包必須經(jīng)過(guò)路由轉(zhuǎn)發(fā)。在有路由轉(zhuǎn)發(fā)的情況下,ARP欺騙如配合ICMP欺騙將對(duì)網(wǎng)絡(luò)造成極大的危害,從某種角度將,入侵者可以跨過(guò)路由監(jiān)聽(tīng)網(wǎng)絡(luò)中任何兩點(diǎn)的通訊,如果有裝火墻,請(qǐng)注意火墻有沒(méi)有提示過(guò)類似:某某IP是局域IP但從某某路由來(lái)等這樣的信息。詳細(xì)實(shí)施以后會(huì)討論到。)
在有路由轉(zhuǎn)發(fā)的情況下,發(fā)送到達(dá)路由的ip的主機(jī)其arp對(duì)應(yīng)表中,ip的對(duì)應(yīng)值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主機(jī)中,http://www.520hack.com的IP對(duì)應(yīng)項(xiàng)不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些網(wǎng)絡(luò)軟件通過(guò)交換路由ARP可以得到遠(yuǎn)程IP的MAC)
有興趣做深入一步的朋友可以考慮這樣一種情況:
假設(shè)這個(gè)入侵者很不幸的從化學(xué)食堂出來(lái)后摔了一跤,突然想到:我要經(jīng)過(guò)一個(gè)路由才可以走到那臺(tái)有火墻的主機(jī)!!!^^^^
于是這個(gè)不幸的入侵者開(kāi)始坐下來(lái)痛苦的思考:
1、我的機(jī)器可以進(jìn)入那個(gè)網(wǎng)段,但是,不是用192.0.0.3的IP
2、如果我用那個(gè)IP,就算那臺(tái)正版192.0.0.3的機(jī)器死了,那個(gè)網(wǎng)絡(luò)里的機(jī)器也不會(huì)把ip包丟到路由傳給我。
3、所以,我要騙主機(jī)把ip包丟到路由。
通過(guò)多種欺騙手法可以達(dá)到這個(gè)目的。所以他開(kāi)始這樣做:
1、為了使自己發(fā)出的非法ip包能在網(wǎng)絡(luò)上活久一點(diǎn),他開(kāi)始修改ttl為下面的過(guò)程中可能帶來(lái)的問(wèn)題做準(zhǔn)備。他把ttl改成255.(ttl定義一個(gè)ip包如果在網(wǎng)絡(luò)上到不了主機(jī)后,在網(wǎng)絡(luò)上能存活的時(shí)間,改長(zhǎng)一點(diǎn)在本例中有利于做充足的廣播)
2、他從貼身口袋中掏出一張軟盤,這張有體溫的軟盤中有他以前用sniffer時(shí)保存的各種ip包類型。3、他用一個(gè)合法的ip進(jìn)入網(wǎng)絡(luò),然后和上面一樣,發(fā)個(gè)洪水包讓正版的 192.0.0.3死掉,然后他用192.0.0.3進(jìn)入網(wǎng)絡(luò)。
4、在該網(wǎng)絡(luò)的主機(jī)找不到原來(lái)的192.0.0.3的mac后,將更新自己的ARP對(duì)應(yīng)表。于是他趕緊修改軟盤中的有關(guān)ARP廣播包的數(shù)據(jù),然后對(duì)網(wǎng)絡(luò)廣播說(shuō)“能響應(yīng) ip為192.0.0.3的mac是我”。
5、好了,現(xiàn)在每臺(tái)主機(jī)都知道了,一個(gè)新的MAC地址對(duì)應(yīng)ip192.0.0.3,一個(gè)ARP欺騙完成了,但是,每臺(tái)主機(jī)都只會(huì)在局域網(wǎng)中找這個(gè)地址而根本就不會(huì)把發(fā)送給192.0.0.3的ip包丟給路由。于是他還得構(gòu)造一個(gè)ICMP的重定向廣播。
6、他開(kāi)始再修改軟盤中的有關(guān)ICMP廣播包的數(shù)據(jù),然后發(fā)送這個(gè)包,告訴網(wǎng)絡(luò)中的主機(jī):“到192.0.0.3的路由最短路徑不是局域網(wǎng),而是路由,請(qǐng)主機(jī)重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由哦。”
7、主機(jī)接受這個(gè)合理的ICMP重定向,于是修改自己的路由路徑,把對(duì)192.0.0.3的ip通訊都丟給路由器。
8、不幸的入侵者終于可以在路由外收到來(lái)自路由內(nèi)的主機(jī)的ip包了,他可以開(kāi)始telnet到主機(jī)的23口,用ip192.0.0.3.9、這個(gè)入侵者一把沖出芙蓉一(229),對(duì)著樓下來(lái)往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,這只是一個(gè)典型的例子,在實(shí)際操作中要考慮的問(wèn)題還不只這些。
現(xiàn)在想想,如果他要用的是sniffer會(huì)怎樣?
假如這個(gè)入侵者實(shí)在是倒霉(因?yàn)楹啊耙欢弧!!倍慌礆?dāng)他從地上爬起來(lái)后突然發(fā)現(xiàn):其實(shí)我要經(jīng)過(guò)好幾個(gè)路由才可以到那臺(tái)主機(jī)啊。。。。。這時(shí)他要怎么做?
呵呵。。。有興趣做更深入了解的朋友可以自己構(gòu)思。通常入侵者是這樣做的:
1、苦思冥想六天六夜。。。。。
N、一把沖出芙蓉一(229),狂叫一聲,一頭栽向水泥馬路。可見(jiàn),利用ARP欺騙,一個(gè)入侵者可以得到:
1、利用基于ip的安全性不足,冒用一個(gè)合法ip來(lái)進(jìn)入主機(jī)。
2、逃過(guò)基于ip的許多程序的安全檢查,如NSF,R系列命令等。
甚至可以得到:
栽賬嫁禍給某人,讓他跳到黃河洗不清,永世不得超生。
那么,如何防止ARP欺騙呢?從我收集整理的資料中,我找出這幾條:(歡迎補(bǔ)充)
1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在ip基礎(chǔ)上或mac基礎(chǔ)上,(rarp同樣存在欺騙的問(wèn)題),理想的關(guān)系應(yīng)該建立在ip+mac基礎(chǔ)上。
2、設(shè)置靜態(tài)的mac-->ip對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對(duì)應(yīng)表中。
4、使用ARP服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由,確保ip地址能到達(dá)合法的路徑。(靜態(tài)配置路由ARP條目),注意,使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。
7、管理員定期用響應(yīng)的ip包中獲得一個(gè)rarp請(qǐng)求,然后檢查ARP響應(yīng)的真實(shí)性。
8、管理員定期輪詢,檢查主機(jī)上的ARP緩存。
9、使用火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下,ARP的欺騙有可能導(dǎo)致陷阱包丟失。
以下是我收集的資料,供做進(jìn)一步了解ARP協(xié)議和掌握下次會(huì)說(shuō)到的snifferonarpspoofing
ARP的緩存記錄格式:
每一行為:
IFIndex:PhysicalAddress:IPAddress:Type
其中:IFIndex為:
1乙太網(wǎng)
2實(shí)驗(yàn)乙太網(wǎng)
3X.25
4ProteonProNET(TokenRing)
5混雜方式
6IEEE802.X
7ARC網(wǎng)
ARP廣播申請(qǐng)和應(yīng)答結(jié)構(gòu)
硬件類型:協(xié)議類型:協(xié)議地址長(zhǎng):硬件地址長(zhǎng):操作碼:發(fā)送機(jī)硬件地址:發(fā)送機(jī)IP地址:接受機(jī)硬件地址:接受機(jī)IP地址。
其中:協(xié)議類型為:512XEROXPUP
程序代碼
513PUP地址轉(zhuǎn)換
1536XEROXNSIDP
2048Internet協(xié)議(IP)
2049X.752050NBS
2051ECMA
2053X.25第3層
2054ARP
2055XNS
4096伯克利追蹤者
21000BBSSimnet
24577DECMOP轉(zhuǎn)儲(chǔ)/裝載
24578DECMOP遠(yuǎn)程控制臺(tái)
24579DEC網(wǎng)IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域網(wǎng)橋
如果你用過(guò)NetXRay,那么這些可以幫助你了解在細(xì)節(jié)上的ARP欺騙如何配合ICMP欺騙而讓一個(gè)某種類型的廣播包流入一個(gè)網(wǎng)絡(luò)。
我想我會(huì)盡可能將我知道的寫出來(lái),同時(shí)也將盡可能把防止欺騙的解決辦法寫出來(lái),當(dāng)然,這只是我知道的而已,如果有失誤的地方,歡迎指正。呵呵。。
首先還是得說(shuō)一下什么是ARP,如果你在UNIXShell下輸入arp-a(9x下也是),你的輸出看起來(lái)應(yīng)該是這樣的:
程序代碼
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................
這里第一列顯示的是ip地址,第二列顯示的是和ip地址對(duì)應(yīng)的網(wǎng)絡(luò)接口卡的硬件地址(MAC),第三列是該ip和mac的對(duì)應(yīng)關(guān)系類型。
可見(jiàn),arp是一種將ip轉(zhuǎn)化成以ip對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議,或者說(shuō)ARP協(xié)議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議,它靠維持在內(nèi)存中保存的一張表來(lái)使ip得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。
為什么要將ip轉(zhuǎn)化成mac呢?呵呵。。解釋下去太多了,簡(jiǎn)單的說(shuō),這是因?yàn)樵趖cp網(wǎng)絡(luò)環(huán)境下,一個(gè)ip包走到哪里,要怎么走是靠路由表定義,但是,當(dāng)ip 包到達(dá)該網(wǎng)絡(luò)后,哪臺(tái)機(jī)器響應(yīng)這個(gè)ip包卻是靠該ip包中所包含的mac地址來(lái)識(shí)別,也就是說(shuō),只有mac地址和該ip包中的mac地址相同的機(jī)器才會(huì)應(yīng)答這個(gè)ip包(好象很多余,呵呵。。),因?yàn)樵诰W(wǎng)絡(luò)中,每一臺(tái)主機(jī)都會(huì)有發(fā)送ip包的時(shí)候,所以,在每臺(tái)主機(jī)的內(nèi)存中,都有一個(gè)arp-->mac的轉(zhuǎn)換表。通常是動(dòng)態(tài)的轉(zhuǎn)換表(注意在路由中,該arp表可以被設(shè)置成靜態(tài))。也就是說(shuō),該對(duì)應(yīng)表會(huì)被主機(jī)在需要的時(shí)候刷新。這 捎諞姨謐油閔系拇涫強(qiáng)?8位的mac地址而決定的。
通常主機(jī)在發(fā)送一個(gè)ip包之前,它要到該轉(zhuǎn)換表中尋找和ip包對(duì)應(yīng)的mac地址,如果沒(méi)有找到,該主機(jī)就發(fā)送一個(gè)ARP廣播包,看起來(lái)象這樣子:
“我是主機(jī)xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機(jī)請(qǐng)報(bào)上你的mac來(lái)”
ip為xxx.xxx.xxx.xx1的主機(jī)響應(yīng)這個(gè)廣播,應(yīng)答ARP廣播為:
“我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2”
于是,主機(jī)刷新自己的ARP緩存。然后發(fā)出該ip包。
了解這些常識(shí)后,現(xiàn)在就可以談在網(wǎng)絡(luò)中如何實(shí)現(xiàn)ARP欺騙了,可以看看這樣
一個(gè)例子:
一個(gè)入侵者想非法進(jìn)入某臺(tái)主機(jī),他知道這臺(tái)主機(jī)的火墻只對(duì)192.0.0.3(假設(shè))這個(gè)ip開(kāi)放23口(telnet),而他必須要使用telnet來(lái)進(jìn)入這臺(tái)主機(jī),所以他要這么做:
1、他先研究192.0.0.3這臺(tái)主機(jī),發(fā)現(xiàn)這臺(tái)95的機(jī)器使用一個(gè)oob就可以讓他死掉。
2、于是,他送一個(gè)洪水包給192.0.0.3的139口,于是,該機(jī)器應(yīng)包而死。
3、這時(shí),主機(jī)發(fā)到192.0.0.3的ip包將無(wú)法被機(jī)器應(yīng)答,系統(tǒng)開(kāi)始更新自己的arp對(duì)應(yīng)表。將192.0.0.3的項(xiàng)目搽去。
4、這段時(shí)間里,入侵者把自己的ip改成192.0.0.3
5、他發(fā)一個(gè)ping(icmp0)給主機(jī),要求主機(jī)更新主機(jī)的arp轉(zhuǎn)換表。
6、主機(jī)找到該ip,然后在arp表中加如新的http://www.520hack.com對(duì)應(yīng)關(guān)系。
7、火墻失效了,入侵的ip變成合法的mac地址,可以telnet了。
(好象很羅嗦,呵呵。。不過(guò)這是很典型的例子)
現(xiàn)在,假如該主機(jī)不只提供telnet,它還提供r命令(rsh,rcopy,rlogin等)那么,所有的安全約定將無(wú)效,入侵者可以放心的使用這臺(tái)主機(jī)的資源而不用擔(dān)心被記錄什么。
有人也許會(huì)說(shuō),這其實(shí)就是冒用ip嘛。。呵呵。。不錯(cuò),是冒用了ip,但決不是ip欺騙,ip欺騙的原理比這要復(fù)雜的多,實(shí)現(xiàn)的機(jī)理也完全不一樣。
上面就是一個(gè)ARP的欺騙過(guò)程,這是在同網(wǎng)段發(fā)生的情況,但是,提醒注意的是,利用交換集線器或網(wǎng)橋是無(wú)法阻止ARP欺騙的,只有路由分段是有效的阻止手段。(也就是ip包必須經(jīng)過(guò)路由轉(zhuǎn)發(fā)。在有路由轉(zhuǎn)發(fā)的情況下,ARP欺騙如配合ICMP欺騙將對(duì)網(wǎng)絡(luò)造成極大的危害,從某種角度將,入侵者可以跨過(guò)路由監(jiān)聽(tīng)網(wǎng)絡(luò)中任何兩點(diǎn)的通訊,如果有裝火墻,請(qǐng)注意火墻有沒(méi)有提示過(guò)類似:某某IP是局域IP但從某某路由來(lái)等這樣的信息。詳細(xì)實(shí)施以后會(huì)討論到。)
在有路由轉(zhuǎn)發(fā)的情況下,發(fā)送到達(dá)路由的ip的主機(jī)其arp對(duì)應(yīng)表中,ip的對(duì)應(yīng)值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主機(jī)中,http://www.520hack.com的IP對(duì)應(yīng)項(xiàng)不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些網(wǎng)絡(luò)軟件通過(guò)交換路由ARP可以得到遠(yuǎn)程IP的MAC)
有興趣做深入一步的朋友可以考慮這樣一種情況:
假設(shè)這個(gè)入侵者很不幸的從化學(xué)食堂出來(lái)后摔了一跤,突然想到:我要經(jīng)過(guò)一個(gè)路由才可以走到那臺(tái)有火墻的主機(jī)!!!^^^^
于是這個(gè)不幸的入侵者開(kāi)始坐下來(lái)痛苦的思考:
1、我的機(jī)器可以進(jìn)入那個(gè)網(wǎng)段,但是,不是用192.0.0.3的IP
2、如果我用那個(gè)IP,就算那臺(tái)正版192.0.0.3的機(jī)器死了,那個(gè)網(wǎng)絡(luò)里的機(jī)器也不會(huì)把ip包丟到路由傳給我。
3、所以,我要騙主機(jī)把ip包丟到路由。
通過(guò)多種欺騙手法可以達(dá)到這個(gè)目的。所以他開(kāi)始這樣做:
1、為了使自己發(fā)出的非法ip包能在網(wǎng)絡(luò)上活久一點(diǎn),他開(kāi)始修改ttl為下面的過(guò)程中可能帶來(lái)的問(wèn)題做準(zhǔn)備。他把ttl改成255.(ttl定義一個(gè)ip包如果在網(wǎng)絡(luò)上到不了主機(jī)后,在網(wǎng)絡(luò)上能存活的時(shí)間,改長(zhǎng)一點(diǎn)在本例中有利于做充足的廣播)
2、他從貼身口袋中掏出一張軟盤,這張有體溫的軟盤中有他以前用sniffer時(shí)保存的各種ip包類型。3、他用一個(gè)合法的ip進(jìn)入網(wǎng)絡(luò),然后和上面一樣,發(fā)個(gè)洪水包讓正版的 192.0.0.3死掉,然后他用192.0.0.3進(jìn)入網(wǎng)絡(luò)。
4、在該網(wǎng)絡(luò)的主機(jī)找不到原來(lái)的192.0.0.3的mac后,將更新自己的ARP對(duì)應(yīng)表。于是他趕緊修改軟盤中的有關(guān)ARP廣播包的數(shù)據(jù),然后對(duì)網(wǎng)絡(luò)廣播說(shuō)“能響應(yīng) ip為192.0.0.3的mac是我”。
5、好了,現(xiàn)在每臺(tái)主機(jī)都知道了,一個(gè)新的MAC地址對(duì)應(yīng)ip192.0.0.3,一個(gè)ARP欺騙完成了,但是,每臺(tái)主機(jī)都只會(huì)在局域網(wǎng)中找這個(gè)地址而根本就不會(huì)把發(fā)送給192.0.0.3的ip包丟給路由。于是他還得構(gòu)造一個(gè)ICMP的重定向廣播。
6、他開(kāi)始再修改軟盤中的有關(guān)ICMP廣播包的數(shù)據(jù),然后發(fā)送這個(gè)包,告訴網(wǎng)絡(luò)中的主機(jī):“到192.0.0.3的路由最短路徑不是局域網(wǎng),而是路由,請(qǐng)主機(jī)重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由哦。”
7、主機(jī)接受這個(gè)合理的ICMP重定向,于是修改自己的路由路徑,把對(duì)192.0.0.3的ip通訊都丟給路由器。
8、不幸的入侵者終于可以在路由外收到來(lái)自路由內(nèi)的主機(jī)的ip包了,他可以開(kāi)始telnet到主機(jī)的23口,用ip192.0.0.3.9、這個(gè)入侵者一把沖出芙蓉一(229),對(duì)著樓下來(lái)往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,這只是一個(gè)典型的例子,在實(shí)際操作中要考慮的問(wèn)題還不只這些。
現(xiàn)在想想,如果他要用的是sniffer會(huì)怎樣?
假如這個(gè)入侵者實(shí)在是倒霉(因?yàn)楹啊耙欢弧!!倍慌礆?dāng)他從地上爬起來(lái)后突然發(fā)現(xiàn):其實(shí)我要經(jīng)過(guò)好幾個(gè)路由才可以到那臺(tái)主機(jī)啊。。。。。這時(shí)他要怎么做?
呵呵。。。有興趣做更深入了解的朋友可以自己構(gòu)思。通常入侵者是這樣做的:
1、苦思冥想六天六夜。。。。。
N、一把沖出芙蓉一(229),狂叫一聲,一頭栽向水泥馬路。可見(jiàn),利用ARP欺騙,一個(gè)入侵者可以得到:
1、利用基于ip的安全性不足,冒用一個(gè)合法ip來(lái)進(jìn)入主機(jī)。
2、逃過(guò)基于ip的許多程序的安全檢查,如NSF,R系列命令等。
甚至可以得到:
栽賬嫁禍給某人,讓他跳到黃河洗不清,永世不得超生。
那么,如何防止ARP欺騙呢?從我收集整理的資料中,我找出這幾條:(歡迎補(bǔ)充)
1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在ip基礎(chǔ)上或mac基礎(chǔ)上,(rarp同樣存在欺騙的問(wèn)題),理想的關(guān)系應(yīng)該建立在ip+mac基礎(chǔ)上。
2、設(shè)置靜態(tài)的mac-->ip對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對(duì)應(yīng)表中。
4、使用ARP服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由,確保ip地址能到達(dá)合法的路徑。(靜態(tài)配置路由ARP條目),注意,使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。
7、管理員定期用響應(yīng)的ip包中獲得一個(gè)rarp請(qǐng)求,然后檢查ARP響應(yīng)的真實(shí)性。
8、管理員定期輪詢,檢查主機(jī)上的ARP緩存。
9、使用火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下,ARP的欺騙有可能導(dǎo)致陷阱包丟失。
以下是我收集的資料,供做進(jìn)一步了解ARP協(xié)議和掌握下次會(huì)說(shuō)到的snifferonarpspoofing
ARP的緩存記錄格式:
每一行為:
IFIndex:PhysicalAddress:IPAddress:Type
其中:IFIndex為:
1乙太網(wǎng)
2實(shí)驗(yàn)乙太網(wǎng)
3X.25
4ProteonProNET(TokenRing)
5混雜方式
6IEEE802.X
7ARC網(wǎng)
ARP廣播申請(qǐng)和應(yīng)答結(jié)構(gòu)
硬件類型:協(xié)議類型:協(xié)議地址長(zhǎng):硬件地址長(zhǎng):操作碼:發(fā)送機(jī)硬件地址:發(fā)送機(jī)IP地址:接受機(jī)硬件地址:接受機(jī)IP地址。
其中:協(xié)議類型為:512XEROXPUP
程序代碼
513PUP地址轉(zhuǎn)換
1536XEROXNSIDP
2048Internet協(xié)議(IP)
2049X.752050NBS
2051ECMA
2053X.25第3層
2054ARP
2055XNS
4096伯克利追蹤者
21000BBSSimnet
24577DECMOP轉(zhuǎn)儲(chǔ)/裝載
24578DECMOP遠(yuǎn)程控制臺(tái)
24579DEC網(wǎng)IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域網(wǎng)橋
如果你用過(guò)NetXRay,那么這些可以幫助你了解在細(xì)節(jié)上的ARP欺騙如何配合ICMP欺騙而讓一個(gè)某種類型的廣播包流入一個(gè)網(wǎng)絡(luò)。
專家建議網(wǎng)民無(wú)需恐慌灰鴿子病毒
[ 2007-03-25 02:40:26 | 作者: sun ]
熊貓燒香余熱未盡,一場(chǎng)病毒與非病毒之爭(zhēng),上周起在金山與灰鴿子工作室之間展開(kāi)。
金山總裁雷軍日前在接受媒體采訪時(shí)表示:“灰鴿子已不再是一個(gè)單純的病毒,其背后是一條制造病毒、販賣病毒、病毒培訓(xùn)為一體的黑色產(chǎn)業(yè)鏈,從某種意義上講,灰鴿子的危害超出熊貓燒香十倍。”
記者發(fā)現(xiàn)病毒竟有自己網(wǎng)站
昨日,被稱為“灰鴿子病毒產(chǎn)業(yè)鏈之首”的灰鴿子工作室在官網(wǎng)上發(fā)表聲明稱:鑒于近日某殺毒軟件公司進(jìn)行公關(guān)宣傳時(shí),使用了灰鴿子字樣,使廣大網(wǎng)民誤以為本工作室的軟件產(chǎn)品具有病毒特征。為了避免公眾受到此類商業(yè)公關(guān)行為的誤導(dǎo),澄清事實(shí)。灰鴿子工作室于2003年年初成立,定位于遠(yuǎn)程控制、遠(yuǎn)程管理、遠(yuǎn)程監(jiān)控軟件開(kāi)發(fā),主要產(chǎn)品為灰鴿子遠(yuǎn)程控制系列軟件產(chǎn)品。灰鴿子工作室的軟件產(chǎn)品,均是商業(yè)化的遠(yuǎn)程控制軟件,提供給網(wǎng)吧、企業(yè)用戶及個(gè)人用戶進(jìn)行電腦軟件管理使用;上述軟件均已經(jīng)取得國(guó)家頒布的計(jì)算機(jī)軟件著作權(quán)登記證書,受著作權(quán)法保護(hù)。當(dāng)前受到媒體關(guān)注的灰鴿子病毒,并非灰鴿子工作室的產(chǎn)品。
記者在其官網(wǎng)除看到“灰鴿子專殺工具”外,還在其左側(cè)看到一欄“免責(zé)聲明”:本站無(wú)法鑒別判斷用戶使用軟件的用途,敬請(qǐng)用戶合法使用本站所提供的軟件。用戶一旦因非法使用本站軟件而違反國(guó)家法律法規(guī),其造成的一切不良后果由行為人獨(dú)立承擔(dān),本站概不負(fù)責(zé)也不承擔(dān)任何法律責(zé)任。
同行直指“灰鴿子”詭辯
針對(duì)灰鴿子工作室發(fā)布聲明,聲稱“灰鴿子是一款商業(yè)化的遠(yuǎn)程控制軟件”等言論,金山卻認(rèn)為,該聲明完全是混淆視聽(tīng)、愚弄公眾的詭辯之詞。一位業(yè)內(nèi)人士卻表示,隨著互聯(lián)網(wǎng)的興起及逐漸普及,病毒傳播已出現(xiàn)一個(gè)新的轉(zhuǎn)折點(diǎn),通過(guò)網(wǎng)絡(luò)傳播的第二代病毒開(kāi)始出現(xiàn)。其本質(zhì)與基于文件的第一代病毒有很大差異,它的傳播基于網(wǎng)絡(luò)、郵件和瀏覽器,蠕蟲(chóng)(worm)和木馬(Trojan horse)無(wú)疑是其中的典型代表。
不過(guò)目前業(yè)內(nèi)多將“木馬”稱為惡意程序,它們是一些表面上看似有用的電腦軟件,實(shí)際上卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的程序。它可以成為別人控制這臺(tái)計(jì)算機(jī)的“后門”,從而竊取用戶的信息。在業(yè)界,一個(gè)被控制的電腦叫“肉雞”。在國(guó)內(nèi)每“只”可賣到1元左右,這樣的“肉雞”可使用幾天;如果可以使用半個(gè)月以上,則可以賣到幾十元。對(duì)于病毒或惡意程序的制造者和“經(jīng)紀(jì)人”而言,如果控制了幾十萬(wàn)甚至上百萬(wàn)臺(tái)這樣的“肉雞”,盈利空間是難以想象的。
權(quán)威聲音立即向公安機(jī)關(guān)報(bào)案
研究互聯(lián)網(wǎng)多年的于國(guó)富律師,昨日接受記者采訪時(shí)說(shuō)道:“首先,在討論灰鴿子問(wèn)題時(shí),先要弄清楚什么是灰鴿子。據(jù)我所知,灰鴿子是很老的一段開(kāi)源程序。有很多程序員在從事這段開(kāi)源程序的開(kāi)發(fā)和使用,有些人從它基礎(chǔ)上發(fā)展出了商業(yè)性的遠(yuǎn)程控制軟件,另外一些人則從自身角度對(duì)其進(jìn)行了某種程度的濫用。至于媒體報(bào)道的灰鴿子工作室,其商業(yè)性的遠(yuǎn)程控制軟件,由于不具備自我復(fù)制、自我傳播的特性,顯然并不符合病毒的概念。”這類軟件的生產(chǎn)企業(yè)有很多,就連微軟生產(chǎn)的windows系統(tǒng)也有遠(yuǎn)程控制類的模塊監(jiān)控,但如果這個(gè)是違法的那微軟肯定不會(huì)做。
于國(guó)富認(rèn)為:“軟件僅是一種工具,有人會(huì)用它做合法的事情,例如遠(yuǎn)程辦公、遠(yuǎn)程維護(hù)等。但也會(huì)有人用它做非法的事情,如果有網(wǎng)民不慎被植入了灰鴿子遠(yuǎn)程監(jiān)控程序,應(yīng)該立即向公安機(jī)關(guān)報(bào)案,追究行為人的法律責(zé)任。實(shí)際上不管是中了木馬也好、遠(yuǎn)程服務(wù)終端也好,有無(wú)對(duì)自己造成侵害,應(yīng)由公安機(jī)關(guān)查處、判定。”
專家建議網(wǎng)民無(wú)需恐慌
瑞星和江民等反病毒廠商均對(duì)此提出異議,稱該病毒存在已久,目前并未大規(guī)模爆發(fā)。上周四,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心相關(guān)工作人員也表示,目前并未監(jiān)測(cè)到“灰鴿子病毒”有大規(guī)模爆發(fā)的跡象。但也表示,他們注意到了網(wǎng)上的相關(guān)報(bào)道,也在密切關(guān)注此事。
昨日,一位來(lái)自殺毒軟件廠商的不愿透露姓名的反病毒工程師表示,近半年來(lái)并沒(méi)有監(jiān)測(cè)到灰鴿子病毒的大面積爆發(fā)。其中一位告訴記者,從長(zhǎng)期的檢測(cè)數(shù)據(jù)來(lái)看,這個(gè)遠(yuǎn)程控制(木馬)軟件的感染量較大。目前80%以上遠(yuǎn)程監(jiān)控軟件因具備開(kāi)后門的類似“木馬”的功能,因此除了被用來(lái)進(jìn)行公司跨地區(qū)的遠(yuǎn)程監(jiān)控外,還有一些以牟利為目的的黑客用來(lái)盜取虛擬賬號(hào)及物品。“灰鴿子”只是其中的一種,只要平時(shí)注意計(jì)算機(jī)日常防護(hù),及時(shí)升級(jí)殺毒軟件的病毒庫(kù),就能有效地將之拒之門外。信報(bào)記者徐婭萍
業(yè)內(nèi)說(shuō)法灰鴿子產(chǎn)生6萬(wàn)多變種
金山毒霸反病毒工程師李鐵軍接受記者采訪時(shí)說(shuō),大量網(wǎng)絡(luò)用戶因?yàn)榛银澴犹峁┑摹斑h(yuǎn)程攝像頭控制”、“鍵盤記錄”的功能而丟失網(wǎng)游、網(wǎng)銀、QQ賬號(hào)及密碼,暴露大量個(gè)人隱私,造成了巨大損失。5年來(lái),灰鴿子產(chǎn)生6萬(wàn)多個(gè)變種。
據(jù)其介紹,一旦用戶電腦不幸感染,黑客或不法分子便可以通過(guò)控制程序隨時(shí)閱讀、復(fù)制、刪除用戶的文件,甚至是開(kāi)關(guān)機(jī)、格式化磁盤等操作,可以說(shuō)用戶的一舉一動(dòng)都在黑客的監(jiān)控之下,灰鴿子的使用者甚至可以連續(xù)捕獲遠(yuǎn)程電腦屏幕,還能監(jiān)控被控電腦上的攝像頭,自動(dòng)開(kāi)機(jī)(不開(kāi)顯示器)并利用攝像頭錄像,拍下網(wǎng)友的隱私。
信報(bào)記者賀文華
【相關(guān)鏈接】如何手工檢測(cè)灰鴿子
一位業(yè)內(nèi)人士在接受記者采訪時(shí)指出,既然該安全風(fēng)險(xiǎn)由來(lái)已久,也盡管危險(xiǎn)級(jí)別不高,但如果有時(shí)間,建議沒(méi)有安裝或及時(shí)升級(jí)殺毒軟件的用戶通過(guò)以下3步進(jìn)行自檢:
系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前,按下F8鍵,選擇“Safe Mode”或“安全模式”即可。
第一步:打開(kāi)“我的電腦”→選擇菜單“工具”→“文件夾選項(xiàng)”→點(diǎn)擊“查看”→取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾→在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”→點(diǎn)擊“確定”。
第二步:打開(kāi)Windows的“搜索文件”→文件名稱輸入“_h(yuǎn)ook.dll”→搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為C:\windows,2k/NT為C:\Winnt)。
第三步:經(jīng)過(guò)搜索,在Windows目錄(不包含子目錄)下查找有沒(méi)有文件名以“_h(yuǎn)ook.dll”結(jié)尾的文件。
要清除灰鴿子只需要我們常用的殺毒軟件即可。如果遇到的變種不易被殺,清除2000/XP系統(tǒng),步驟如下:
1.打開(kāi)注冊(cè)表→點(diǎn)擊“開(kāi)始”→“運(yùn)行”并輸入“Regedit.exe”,點(diǎn)擊確定→打開(kāi)HKEY_LOCAL_M(jìn)ACHINE\SYSTEM\CurrentControlSet\Services注冊(cè)表項(xiàng)。
2.點(diǎn)擊菜單“編輯”→“查找”→“查找目標(biāo)”輸入查出的被感染的文件名,點(diǎn)擊確定,就可以找到灰鴿子的服務(wù)項(xiàng)。
3.運(yùn)行注冊(cè)表,打開(kāi)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng),將該項(xiàng)刪除即可。
金山總裁雷軍日前在接受媒體采訪時(shí)表示:“灰鴿子已不再是一個(gè)單純的病毒,其背后是一條制造病毒、販賣病毒、病毒培訓(xùn)為一體的黑色產(chǎn)業(yè)鏈,從某種意義上講,灰鴿子的危害超出熊貓燒香十倍。”
記者發(fā)現(xiàn)病毒竟有自己網(wǎng)站
昨日,被稱為“灰鴿子病毒產(chǎn)業(yè)鏈之首”的灰鴿子工作室在官網(wǎng)上發(fā)表聲明稱:鑒于近日某殺毒軟件公司進(jìn)行公關(guān)宣傳時(shí),使用了灰鴿子字樣,使廣大網(wǎng)民誤以為本工作室的軟件產(chǎn)品具有病毒特征。為了避免公眾受到此類商業(yè)公關(guān)行為的誤導(dǎo),澄清事實(shí)。灰鴿子工作室于2003年年初成立,定位于遠(yuǎn)程控制、遠(yuǎn)程管理、遠(yuǎn)程監(jiān)控軟件開(kāi)發(fā),主要產(chǎn)品為灰鴿子遠(yuǎn)程控制系列軟件產(chǎn)品。灰鴿子工作室的軟件產(chǎn)品,均是商業(yè)化的遠(yuǎn)程控制軟件,提供給網(wǎng)吧、企業(yè)用戶及個(gè)人用戶進(jìn)行電腦軟件管理使用;上述軟件均已經(jīng)取得國(guó)家頒布的計(jì)算機(jī)軟件著作權(quán)登記證書,受著作權(quán)法保護(hù)。當(dāng)前受到媒體關(guān)注的灰鴿子病毒,并非灰鴿子工作室的產(chǎn)品。
記者在其官網(wǎng)除看到“灰鴿子專殺工具”外,還在其左側(cè)看到一欄“免責(zé)聲明”:本站無(wú)法鑒別判斷用戶使用軟件的用途,敬請(qǐng)用戶合法使用本站所提供的軟件。用戶一旦因非法使用本站軟件而違反國(guó)家法律法規(guī),其造成的一切不良后果由行為人獨(dú)立承擔(dān),本站概不負(fù)責(zé)也不承擔(dān)任何法律責(zé)任。
同行直指“灰鴿子”詭辯
針對(duì)灰鴿子工作室發(fā)布聲明,聲稱“灰鴿子是一款商業(yè)化的遠(yuǎn)程控制軟件”等言論,金山卻認(rèn)為,該聲明完全是混淆視聽(tīng)、愚弄公眾的詭辯之詞。一位業(yè)內(nèi)人士卻表示,隨著互聯(lián)網(wǎng)的興起及逐漸普及,病毒傳播已出現(xiàn)一個(gè)新的轉(zhuǎn)折點(diǎn),通過(guò)網(wǎng)絡(luò)傳播的第二代病毒開(kāi)始出現(xiàn)。其本質(zhì)與基于文件的第一代病毒有很大差異,它的傳播基于網(wǎng)絡(luò)、郵件和瀏覽器,蠕蟲(chóng)(worm)和木馬(Trojan horse)無(wú)疑是其中的典型代表。
不過(guò)目前業(yè)內(nèi)多將“木馬”稱為惡意程序,它們是一些表面上看似有用的電腦軟件,實(shí)際上卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的程序。它可以成為別人控制這臺(tái)計(jì)算機(jī)的“后門”,從而竊取用戶的信息。在業(yè)界,一個(gè)被控制的電腦叫“肉雞”。在國(guó)內(nèi)每“只”可賣到1元左右,這樣的“肉雞”可使用幾天;如果可以使用半個(gè)月以上,則可以賣到幾十元。對(duì)于病毒或惡意程序的制造者和“經(jīng)紀(jì)人”而言,如果控制了幾十萬(wàn)甚至上百萬(wàn)臺(tái)這樣的“肉雞”,盈利空間是難以想象的。
權(quán)威聲音立即向公安機(jī)關(guān)報(bào)案
研究互聯(lián)網(wǎng)多年的于國(guó)富律師,昨日接受記者采訪時(shí)說(shuō)道:“首先,在討論灰鴿子問(wèn)題時(shí),先要弄清楚什么是灰鴿子。據(jù)我所知,灰鴿子是很老的一段開(kāi)源程序。有很多程序員在從事這段開(kāi)源程序的開(kāi)發(fā)和使用,有些人從它基礎(chǔ)上發(fā)展出了商業(yè)性的遠(yuǎn)程控制軟件,另外一些人則從自身角度對(duì)其進(jìn)行了某種程度的濫用。至于媒體報(bào)道的灰鴿子工作室,其商業(yè)性的遠(yuǎn)程控制軟件,由于不具備自我復(fù)制、自我傳播的特性,顯然并不符合病毒的概念。”這類軟件的生產(chǎn)企業(yè)有很多,就連微軟生產(chǎn)的windows系統(tǒng)也有遠(yuǎn)程控制類的模塊監(jiān)控,但如果這個(gè)是違法的那微軟肯定不會(huì)做。
于國(guó)富認(rèn)為:“軟件僅是一種工具,有人會(huì)用它做合法的事情,例如遠(yuǎn)程辦公、遠(yuǎn)程維護(hù)等。但也會(huì)有人用它做非法的事情,如果有網(wǎng)民不慎被植入了灰鴿子遠(yuǎn)程監(jiān)控程序,應(yīng)該立即向公安機(jī)關(guān)報(bào)案,追究行為人的法律責(zé)任。實(shí)際上不管是中了木馬也好、遠(yuǎn)程服務(wù)終端也好,有無(wú)對(duì)自己造成侵害,應(yīng)由公安機(jī)關(guān)查處、判定。”
專家建議網(wǎng)民無(wú)需恐慌
瑞星和江民等反病毒廠商均對(duì)此提出異議,稱該病毒存在已久,目前并未大規(guī)模爆發(fā)。上周四,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心相關(guān)工作人員也表示,目前并未監(jiān)測(cè)到“灰鴿子病毒”有大規(guī)模爆發(fā)的跡象。但也表示,他們注意到了網(wǎng)上的相關(guān)報(bào)道,也在密切關(guān)注此事。
昨日,一位來(lái)自殺毒軟件廠商的不愿透露姓名的反病毒工程師表示,近半年來(lái)并沒(méi)有監(jiān)測(cè)到灰鴿子病毒的大面積爆發(fā)。其中一位告訴記者,從長(zhǎng)期的檢測(cè)數(shù)據(jù)來(lái)看,這個(gè)遠(yuǎn)程控制(木馬)軟件的感染量較大。目前80%以上遠(yuǎn)程監(jiān)控軟件因具備開(kāi)后門的類似“木馬”的功能,因此除了被用來(lái)進(jìn)行公司跨地區(qū)的遠(yuǎn)程監(jiān)控外,還有一些以牟利為目的的黑客用來(lái)盜取虛擬賬號(hào)及物品。“灰鴿子”只是其中的一種,只要平時(shí)注意計(jì)算機(jī)日常防護(hù),及時(shí)升級(jí)殺毒軟件的病毒庫(kù),就能有效地將之拒之門外。信報(bào)記者徐婭萍
業(yè)內(nèi)說(shuō)法灰鴿子產(chǎn)生6萬(wàn)多變種
金山毒霸反病毒工程師李鐵軍接受記者采訪時(shí)說(shuō),大量網(wǎng)絡(luò)用戶因?yàn)榛银澴犹峁┑摹斑h(yuǎn)程攝像頭控制”、“鍵盤記錄”的功能而丟失網(wǎng)游、網(wǎng)銀、QQ賬號(hào)及密碼,暴露大量個(gè)人隱私,造成了巨大損失。5年來(lái),灰鴿子產(chǎn)生6萬(wàn)多個(gè)變種。
據(jù)其介紹,一旦用戶電腦不幸感染,黑客或不法分子便可以通過(guò)控制程序隨時(shí)閱讀、復(fù)制、刪除用戶的文件,甚至是開(kāi)關(guān)機(jī)、格式化磁盤等操作,可以說(shuō)用戶的一舉一動(dòng)都在黑客的監(jiān)控之下,灰鴿子的使用者甚至可以連續(xù)捕獲遠(yuǎn)程電腦屏幕,還能監(jiān)控被控電腦上的攝像頭,自動(dòng)開(kāi)機(jī)(不開(kāi)顯示器)并利用攝像頭錄像,拍下網(wǎng)友的隱私。
信報(bào)記者賀文華
【相關(guān)鏈接】如何手工檢測(cè)灰鴿子
一位業(yè)內(nèi)人士在接受記者采訪時(shí)指出,既然該安全風(fēng)險(xiǎn)由來(lái)已久,也盡管危險(xiǎn)級(jí)別不高,但如果有時(shí)間,建議沒(méi)有安裝或及時(shí)升級(jí)殺毒軟件的用戶通過(guò)以下3步進(jìn)行自檢:
系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前,按下F8鍵,選擇“Safe Mode”或“安全模式”即可。
第一步:打開(kāi)“我的電腦”→選擇菜單“工具”→“文件夾選項(xiàng)”→點(diǎn)擊“查看”→取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾→在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”→點(diǎn)擊“確定”。
第二步:打開(kāi)Windows的“搜索文件”→文件名稱輸入“_h(yuǎn)ook.dll”→搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為C:\windows,2k/NT為C:\Winnt)。
第三步:經(jīng)過(guò)搜索,在Windows目錄(不包含子目錄)下查找有沒(méi)有文件名以“_h(yuǎn)ook.dll”結(jié)尾的文件。
要清除灰鴿子只需要我們常用的殺毒軟件即可。如果遇到的變種不易被殺,清除2000/XP系統(tǒng),步驟如下:
1.打開(kāi)注冊(cè)表→點(diǎn)擊“開(kāi)始”→“運(yùn)行”并輸入“Regedit.exe”,點(diǎn)擊確定→打開(kāi)HKEY_LOCAL_M(jìn)ACHINE\SYSTEM\CurrentControlSet\Services注冊(cè)表項(xiàng)。
2.點(diǎn)擊菜單“編輯”→“查找”→“查找目標(biāo)”輸入查出的被感染的文件名,點(diǎn)擊確定,就可以找到灰鴿子的服務(wù)項(xiàng)。
3.運(yùn)行注冊(cè)表,打開(kāi)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng),將該項(xiàng)刪除即可。
簡(jiǎn)簡(jiǎn)單單,讓隱藏的程序“跳”出來(lái)
[ 2007-03-25 02:40:10 | 作者: sun ]
執(zhí)行一個(gè)軟件,會(huì)雙擊其主程序。如果這個(gè)軟件在很深的一個(gè)文件夾里,我們就得一層一層得打開(kāi)該文件夾,找出“隱藏”在深處的程序。為了方便,我們會(huì)為這些程序在桌面上建立一個(gè)快捷方式,但是因?yàn)榉奖愣鴰?lái)的麻煩就是滿屏幕的快捷方式。
不知大家是否注意到,在“開(kāi)始”菜單的“運(yùn)行”中輸入“CMD”,會(huì)打開(kāi)“命令提示符”,輸入“gpedit.msc”會(huì)打開(kāi)“組策略”,這些程序都存在于較深的目錄中,我們只要在“運(yùn)行”中輸入程序名就可以直接打開(kāi)該程序,那是否可以讓別的程序也利用這樣的方法。在“運(yùn)行”中直接輸入名稱就可以運(yùn)行呢?
其實(shí)要讓程序?qū)崿F(xiàn)這樣的功能很簡(jiǎn)單,只需要改動(dòng)一下“注冊(cè)表”就行了。在“運(yùn)行”中輸入“regedit.exe”打開(kāi)注冊(cè)表編輯器,來(lái)到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”展開(kāi)這項(xiàng)我們可以看到很多以程序的名稱命名的項(xiàng)目,在“運(yùn)行”中直接輸入這些名稱就可以打開(kāi)相應(yīng)的程序。我們以最常用的軟件QQ為例,在“App Paths”下點(diǎn)右鍵,“新建→項(xiàng)”,將這個(gè)新建的項(xiàng)命名為“QQ.exe”,選中QQ.exe項(xiàng)后,在右邊的窗口中會(huì)出現(xiàn)一個(gè)默認(rèn)的鍵值,雙擊這個(gè)默認(rèn)得鍵值,在“數(shù)值數(shù)據(jù)”一欄中輸入QQ.exe的路徑,例如“D:\網(wǎng)絡(luò)\QQ2007\QQ.exe”,點(diǎn)確定后即可生效
我們?cè)凇斑\(yùn)行”中輸入“QQ”,回車后QQ是不是正常運(yùn)行了呢。其他程序都可以使用這個(gè)方法進(jìn)行設(shè)置,讓我們和快捷方式說(shuō)再見(jiàn)吧。
不知大家是否注意到,在“開(kāi)始”菜單的“運(yùn)行”中輸入“CMD”,會(huì)打開(kāi)“命令提示符”,輸入“gpedit.msc”會(huì)打開(kāi)“組策略”,這些程序都存在于較深的目錄中,我們只要在“運(yùn)行”中輸入程序名就可以直接打開(kāi)該程序,那是否可以讓別的程序也利用這樣的方法。在“運(yùn)行”中直接輸入名稱就可以運(yùn)行呢?
其實(shí)要讓程序?qū)崿F(xiàn)這樣的功能很簡(jiǎn)單,只需要改動(dòng)一下“注冊(cè)表”就行了。在“運(yùn)行”中輸入“regedit.exe”打開(kāi)注冊(cè)表編輯器,來(lái)到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”展開(kāi)這項(xiàng)我們可以看到很多以程序的名稱命名的項(xiàng)目,在“運(yùn)行”中直接輸入這些名稱就可以打開(kāi)相應(yīng)的程序。我們以最常用的軟件QQ為例,在“App Paths”下點(diǎn)右鍵,“新建→項(xiàng)”,將這個(gè)新建的項(xiàng)命名為“QQ.exe”,選中QQ.exe項(xiàng)后,在右邊的窗口中會(huì)出現(xiàn)一個(gè)默認(rèn)的鍵值,雙擊這個(gè)默認(rèn)得鍵值,在“數(shù)值數(shù)據(jù)”一欄中輸入QQ.exe的路徑,例如“D:\網(wǎng)絡(luò)\QQ2007\QQ.exe”,點(diǎn)確定后即可生效
我們?cè)凇斑\(yùn)行”中輸入“QQ”,回車后QQ是不是正常運(yùn)行了呢。其他程序都可以使用這個(gè)方法進(jìn)行設(shè)置,讓我們和快捷方式說(shuō)再見(jiàn)吧。
隱藏在Ghost系統(tǒng)背后可怕的陷阱
[ 2007-03-25 02:39:54 | 作者: sun ]
如今世面上和網(wǎng)上流行各種windowsxp系統(tǒng)萬(wàn)能ghost安裝光盤和文件,使用起來(lái)也確實(shí)方便,安裝一個(gè)系統(tǒng)只需要恢復(fù)下ghost鏡像文件,裝點(diǎn)驅(qū)動(dòng),斷斷十多分鐘就完成了。但是各種萬(wàn)能ghost版本系統(tǒng)光盤其中有精品,也有垃圾,更有暗留了后門的陷阱!
一、xp萬(wàn)能ghost系統(tǒng)分析:
萬(wàn)能ghost系統(tǒng)制作時(shí),是在安裝成功后刪除windows自帶的多余文件,并且刪除硬件信息,然后進(jìn)行系統(tǒng)封裝。如果在安裝前,制作者有意將某個(gè)系統(tǒng)文件替換成木馬后門,或者在系統(tǒng)中打開(kāi)某些端口,開(kāi)啟某些危險(xiǎn)服務(wù),留下某些空口令帳戶,那么制作出來(lái)的ghost系統(tǒng)就會(huì)存在各種安全漏洞。這些ghost系統(tǒng)流傳出去后使用這些系統(tǒng)的用戶可能被作者控制為肉雞。。。
二、ghost版系統(tǒng)常見(jiàn)漏洞一覽:
1:空密碼遠(yuǎn)程桌面漏洞,可以用空密碼進(jìn)行3389遠(yuǎn)程登陸,可以遠(yuǎn)程進(jìn)行任務(wù)系統(tǒng)操作。用途利用3389漏洞刷q幣,盜取adsl密碼賬號(hào)等等。
2:隱藏共享漏洞,任何用戶都可以訪問(wèn)共享,非默認(rèn)的ipc$共享,可以發(fā)現(xiàn)共享權(quán)限為everyone完全控制。用途很多,guest組用戶也可以格式化你的硬盤。
3:administrator用戶密碼漏洞,不多做介紹了。
4:起用危險(xiǎn)服務(wù),在服務(wù)工具中可以發(fā)現(xiàn)很多危險(xiǎn)服務(wù)都被打開(kāi),并且遠(yuǎn)程選項(xiàng)卡中允許用戶遠(yuǎn)程連接到此計(jì)算機(jī)被啟動(dòng)。
5:防火墻作過(guò)手腳,在系統(tǒng)防火墻可看到默認(rèn)未開(kāi)啟允許通過(guò)的項(xiàng)目都被勾選。
6:流氓軟件與后門木馬,私自為用戶安裝很多流氓軟件。更恐怖的是將系統(tǒng)文件換成灰鴿子木馬!(并且現(xiàn)在有克隆系統(tǒng)文件版本信息的軟件,可以把木馬文件偽裝的外表上看上去和系統(tǒng)文件一樣包括標(biāo)識(shí)大小標(biāo)注等等!)
三、危險(xiǎn)ghostxp系統(tǒng)版本檢測(cè)
目前已知有問(wèn)題的版本列表如下:
1:番茄花園系列番茄花園windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木風(fēng)系列雨林木風(fēng)ghostwinxp2v2.0裝機(jī)版純凈會(huì)員版y1.7v1.85以及新版本
3:東海電腦公司版ghostxp_sp2電腦公司特別版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系統(tǒng)屬性對(duì)話框中查看自己系統(tǒng)版本判斷是否存在問(wèn)題,網(wǎng)上流傳的其他ghost系統(tǒng)版本也或多或少的存在如上的安全問(wèn)題!請(qǐng)謹(jǐn)慎使用!
一、xp萬(wàn)能ghost系統(tǒng)分析:
萬(wàn)能ghost系統(tǒng)制作時(shí),是在安裝成功后刪除windows自帶的多余文件,并且刪除硬件信息,然后進(jìn)行系統(tǒng)封裝。如果在安裝前,制作者有意將某個(gè)系統(tǒng)文件替換成木馬后門,或者在系統(tǒng)中打開(kāi)某些端口,開(kāi)啟某些危險(xiǎn)服務(wù),留下某些空口令帳戶,那么制作出來(lái)的ghost系統(tǒng)就會(huì)存在各種安全漏洞。這些ghost系統(tǒng)流傳出去后使用這些系統(tǒng)的用戶可能被作者控制為肉雞。。。
二、ghost版系統(tǒng)常見(jiàn)漏洞一覽:
1:空密碼遠(yuǎn)程桌面漏洞,可以用空密碼進(jìn)行3389遠(yuǎn)程登陸,可以遠(yuǎn)程進(jìn)行任務(wù)系統(tǒng)操作。用途利用3389漏洞刷q幣,盜取adsl密碼賬號(hào)等等。
2:隱藏共享漏洞,任何用戶都可以訪問(wèn)共享,非默認(rèn)的ipc$共享,可以發(fā)現(xiàn)共享權(quán)限為everyone完全控制。用途很多,guest組用戶也可以格式化你的硬盤。
3:administrator用戶密碼漏洞,不多做介紹了。
4:起用危險(xiǎn)服務(wù),在服務(wù)工具中可以發(fā)現(xiàn)很多危險(xiǎn)服務(wù)都被打開(kāi),并且遠(yuǎn)程選項(xiàng)卡中允許用戶遠(yuǎn)程連接到此計(jì)算機(jī)被啟動(dòng)。
5:防火墻作過(guò)手腳,在系統(tǒng)防火墻可看到默認(rèn)未開(kāi)啟允許通過(guò)的項(xiàng)目都被勾選。
6:流氓軟件與后門木馬,私自為用戶安裝很多流氓軟件。更恐怖的是將系統(tǒng)文件換成灰鴿子木馬!(并且現(xiàn)在有克隆系統(tǒng)文件版本信息的軟件,可以把木馬文件偽裝的外表上看上去和系統(tǒng)文件一樣包括標(biāo)識(shí)大小標(biāo)注等等!)
三、危險(xiǎn)ghostxp系統(tǒng)版本檢測(cè)
目前已知有問(wèn)題的版本列表如下:
1:番茄花園系列番茄花園windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木風(fēng)系列雨林木風(fēng)ghostwinxp2v2.0裝機(jī)版純凈會(huì)員版y1.7v1.85以及新版本
3:東海電腦公司版ghostxp_sp2電腦公司特別版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系統(tǒng)屬性對(duì)話框中查看自己系統(tǒng)版本判斷是否存在問(wèn)題,網(wǎng)上流傳的其他ghost系統(tǒng)版本也或多或少的存在如上的安全問(wèn)題!請(qǐng)謹(jǐn)慎使用!
