入侵检测(IDS)应该与操作系统绑定
[ 2007-03-25 03:35:20 | 作者: sun ]
黑客攻击的目标主要是用户终端,如果入侵检测系统不能和操作系统内核很好地配合,那么产品再多,做得再好,也是治标不治本。
主流的入侵检测方法有三种
通常,入侵检测系统按照其工作原理主要分为三种类型:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛,国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包,与受保护网段内的主机无关,适用范围比较广,并且一般不影响网络流量和受保护主机的性能;基于主机的入侵检测系统检测的数据来源于系统日志、审计记录,与受保护主机的操作系统等有关,因此一般只适用保护特定的计算机。
分布式入侵检测系统这种工作方式比较新,目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。
在漏报率方面国内产品有待提高
现在国际上比较有名的入侵检测系统有ISS公司的RealSecure、Enterasys公司的 Dragon等。他们将基于主机和基于网络的入侵检测技术基础集成在一起,扩大了检测的数据源,降低了漏报率,并且对于检测针对主机的攻击效果比较好。但是这种方法的实施难度特别大,还要考虑到网络中不同计算机操作系统的差异,需要将数据格式进行转换,以达到统一。这些产品系统性能相对比较稳定,特征知识库更新速度比较快。
国内公司生产的入侵检测系统也比较多,如上海复旦光华信息股份有限公司的光华S-Audit网络入侵检测与安全审计系统V3.0、常州远东科技有限公司的“黑客煞星”、长沙天一银河信息产业有限公司的“天一猎鹰入侵检测系统(V1.0)、上海三零卫士信息安全有限公司的鹰眼网络安全监测仪、上海金诺网安的KIDS Ver3.0等。它们的体系结构大同小异,性能相差不大,都能检测到以下一些攻击事件,如多数的扫描、嗅探、后门、病毒、拒绝服务、分布式拒绝服务、非授权访问、欺骗等。由于它们大多是以误用检测的分析方法为主,因此有的漏报率相对高一些,特征知识库更新速度相对也要慢一些。
入侵检测应该与操作系统绑定
目前的入侵检测产品的固有缺陷是,与操作系统结合程度不紧,这样对于新出现的、比较隐秘的攻击手法和技术,一般很难检测出来,即使对于同一种攻击手法和技术,如果变化复杂些,也很难发现。它们也不能确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了一个系统等。由于一般情况下,只要有攻击,入侵检测系统就会发出警报,这样就可能被黑客利用,不停地发送具有攻击特征的数据包,虽然这对被攻击对象没有什么危险,但能使入侵检测系统淹没在一片报警声中,从而使入侵检测系统失效。此外,它们还会对数据包的内容进行检查,因此对于加密了的数据包,这部分功能就失效了。
由于计算机网络出现的初衷是为了方便通信和交流,充分利用资源,在其发展之初没考虑到安全方面的问题,因此在到了出现网络安全事故时候,才开始采取补救措施,而这种补救是外加的,如现在流行的防火墙、入侵检测系统等,很少涉及到通信协议的修改。操作系统出现之初,也很少考虑到安全,如操作系统的核心是内存管理、进程管理、文件管理,只是考虑如何有效地去管理资源,没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患,由于整个系统庞大,不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,现在的lids在这方面进行了比较深入的研究,否则无论做得怎样好,也是治标不治本。
数据分析的两类常用方法
入侵检测系统进行数据分析有两种常用方法:误用检测、异常检测。误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。特征知识库是将已知的攻击方法和技术的特征提取出来,来建立的一个知识库。
异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同,这样发现与正常行为有不同时,则判断存在攻击。这需要建立正常行为的标准,如登录时错误次数为多少时视为正常。
相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充,但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,问题是正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。
主流的入侵检测方法有三种
通常,入侵检测系统按照其工作原理主要分为三种类型:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛,国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包,与受保护网段内的主机无关,适用范围比较广,并且一般不影响网络流量和受保护主机的性能;基于主机的入侵检测系统检测的数据来源于系统日志、审计记录,与受保护主机的操作系统等有关,因此一般只适用保护特定的计算机。
分布式入侵检测系统这种工作方式比较新,目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。
在漏报率方面国内产品有待提高
现在国际上比较有名的入侵检测系统有ISS公司的RealSecure、Enterasys公司的 Dragon等。他们将基于主机和基于网络的入侵检测技术基础集成在一起,扩大了检测的数据源,降低了漏报率,并且对于检测针对主机的攻击效果比较好。但是这种方法的实施难度特别大,还要考虑到网络中不同计算机操作系统的差异,需要将数据格式进行转换,以达到统一。这些产品系统性能相对比较稳定,特征知识库更新速度比较快。
国内公司生产的入侵检测系统也比较多,如上海复旦光华信息股份有限公司的光华S-Audit网络入侵检测与安全审计系统V3.0、常州远东科技有限公司的“黑客煞星”、长沙天一银河信息产业有限公司的“天一猎鹰入侵检测系统(V1.0)、上海三零卫士信息安全有限公司的鹰眼网络安全监测仪、上海金诺网安的KIDS Ver3.0等。它们的体系结构大同小异,性能相差不大,都能检测到以下一些攻击事件,如多数的扫描、嗅探、后门、病毒、拒绝服务、分布式拒绝服务、非授权访问、欺骗等。由于它们大多是以误用检测的分析方法为主,因此有的漏报率相对高一些,特征知识库更新速度相对也要慢一些。
入侵检测应该与操作系统绑定
目前的入侵检测产品的固有缺陷是,与操作系统结合程度不紧,这样对于新出现的、比较隐秘的攻击手法和技术,一般很难检测出来,即使对于同一种攻击手法和技术,如果变化复杂些,也很难发现。它们也不能确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了一个系统等。由于一般情况下,只要有攻击,入侵检测系统就会发出警报,这样就可能被黑客利用,不停地发送具有攻击特征的数据包,虽然这对被攻击对象没有什么危险,但能使入侵检测系统淹没在一片报警声中,从而使入侵检测系统失效。此外,它们还会对数据包的内容进行检查,因此对于加密了的数据包,这部分功能就失效了。
由于计算机网络出现的初衷是为了方便通信和交流,充分利用资源,在其发展之初没考虑到安全方面的问题,因此在到了出现网络安全事故时候,才开始采取补救措施,而这种补救是外加的,如现在流行的防火墙、入侵检测系统等,很少涉及到通信协议的修改。操作系统出现之初,也很少考虑到安全,如操作系统的核心是内存管理、进程管理、文件管理,只是考虑如何有效地去管理资源,没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患,由于整个系统庞大,不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,现在的lids在这方面进行了比较深入的研究,否则无论做得怎样好,也是治标不治本。
数据分析的两类常用方法
入侵检测系统进行数据分析有两种常用方法:误用检测、异常检测。误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。特征知识库是将已知的攻击方法和技术的特征提取出来,来建立的一个知识库。
异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同,这样发现与正常行为有不同时,则判断存在攻击。这需要建立正常行为的标准,如登录时错误次数为多少时视为正常。
相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充,但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,问题是正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。
休闲聊天轻轻松松避开网络木马的攻击
[ 2007-03-25 03:34:56 | 作者: sun ]
QQ的密码、个人资料和聊天记录能否安全成为至关重要的问题,为了有效地防止聊天记录等本地信息的丢失和被窃,可以采取以下措施:
1.设置本地消息口令
首先按下鼠标右键,从QQ图标上选择“系统参数”,在“系统参数”中选择“安全设置”标签。接着选择“启用本地消息加密”,再依次输入口令并确认口令即可。
同时为了保险一定要勾选“启用本地消息加密口令提示”,设定提示问题和问题答案,按下“确定”使设定生效。在启动QQ输入账号和密码后,软件还会要求输入本地消息口令,否则不能进入。
2.避开木马软件的攻击
当前网络上可以找到很多盗取QQ密码的木马软件,但这些木马软件一般只记录号码位数不超过9位数的QQ登录密码,可以针对这个特点,在登录QQ的时候选择“注册向导”,在“使用已有的QQ号码”中输入的QQ号码前加入一长串0,其位数与原有的QQ号位数相加超过9位数就可以,这样的结果是既不影响正常的QQ登录,又可以避开木马软件对QQ密码的秘密监视了。
3.隐身登录
首先找到以前成功登录过的QQ,在“QQ用户登录”框中找到自己的号码,选中下面“隐身登录”前面的方框,你就可以隐身登录了。
假如你是第一次在这台电脑上登录QQ,登录成功后别人很容易获取你的地址,最好马上选择“离线”,过一会儿你再选择“隐身登录”,这样别人就找不到你的地址了。
4.设置“拒绝陌生人消息”
在“系统设置”的“基本设置”标签里选择“拒绝陌生人消息”。
5.使用“选择代理服务器”
找一个代理服务器,然后在QQ中设置好,别人就只能看到这个代理服务器的IP地址了。
6.知己知彼,减少风险
黑客入侵要经过一套入侵的流程,包括查找IP、扫描通讯录、作业系统分析、弱点分析、密码破解等,总要花费一些时间。所以,滞留在网上的时间越长,黑客完成入侵程序植入的几率就越大。所以没有事情的时候不要挂网,以减少被黑的风险。
1.设置本地消息口令
首先按下鼠标右键,从QQ图标上选择“系统参数”,在“系统参数”中选择“安全设置”标签。接着选择“启用本地消息加密”,再依次输入口令并确认口令即可。
同时为了保险一定要勾选“启用本地消息加密口令提示”,设定提示问题和问题答案,按下“确定”使设定生效。在启动QQ输入账号和密码后,软件还会要求输入本地消息口令,否则不能进入。
2.避开木马软件的攻击
当前网络上可以找到很多盗取QQ密码的木马软件,但这些木马软件一般只记录号码位数不超过9位数的QQ登录密码,可以针对这个特点,在登录QQ的时候选择“注册向导”,在“使用已有的QQ号码”中输入的QQ号码前加入一长串0,其位数与原有的QQ号位数相加超过9位数就可以,这样的结果是既不影响正常的QQ登录,又可以避开木马软件对QQ密码的秘密监视了。
3.隐身登录
首先找到以前成功登录过的QQ,在“QQ用户登录”框中找到自己的号码,选中下面“隐身登录”前面的方框,你就可以隐身登录了。
假如你是第一次在这台电脑上登录QQ,登录成功后别人很容易获取你的地址,最好马上选择“离线”,过一会儿你再选择“隐身登录”,这样别人就找不到你的地址了。
4.设置“拒绝陌生人消息”
在“系统设置”的“基本设置”标签里选择“拒绝陌生人消息”。
5.使用“选择代理服务器”
找一个代理服务器,然后在QQ中设置好,别人就只能看到这个代理服务器的IP地址了。
6.知己知彼,减少风险
黑客入侵要经过一套入侵的流程,包括查找IP、扫描通讯录、作业系统分析、弱点分析、密码破解等,总要花费一些时间。所以,滞留在网上的时间越长,黑客完成入侵程序植入的几率就越大。所以没有事情的时候不要挂网,以减少被黑的风险。
跨站点脚本XSS漏洞危害性
[ 2007-03-25 03:34:43 | 作者: sun ]
安全专家,开发人员或者商业从业人员都明白像SQL注入这样高风险的漏洞的危害。例如,需要注入到存在SQL注入漏洞的应用程序中的xp_cmdshell,它就可以被用来示范攻击者如何用SQL注入的方法,从运行微软SQL Server的主机上获得command prompt。此类范例的影响是看得见的,并且这些漏洞的危害也很明显。
而跨站点脚本(XSS)就会麻烦的多,安全分析师很难给出看得见的范例来清楚说明该漏洞可能造成的后果。通常安全分析师通过注入像alert('xss')的JAVAScript代码来说明XSS的危害,该代码能够导致应用程序显示带有“xss”字样的弹出窗口。从技术角度来说,这种范例确实证明XSS漏洞的存在性,但是它没有真实地反映XSS漏洞的危害性。为了找到自动给出XSS范例的工具或方法,我访问了BeEF。它的站点声称:BeEF是浏览器发掘平台。它的目的就是提供简单的可集成的结构来实时示范浏览器以及XSS的危害。 这种模块结构主要是用BeEF中现存的智能使模块开发成为一个很简单的过程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是个基于PHP的网络应用,它捕捉那些有XSS应用漏洞的用户浏览器的请求。在你的机器上运行BeEF,然后用它发现受XSS影响,而通过XSS请求你的主机(有BeEF)上的资源的应用程序。一旦受害者的浏览器请求BeEF资源,BeEF将发出警告并允许你注入JavaScript代码,执行JavaScript端口扫描(例如受害浏览器将发起扫描:在受害浏览器可能访问的内网环境中进行的端口扫描酒有可能被攻击者利用)等等。这个Flash指南很好地示范了BeEF。
同时,我的一个好朋友也在从事跟BeEF类似的工程。如果他决定对外公开一个可用的版本,我将在此发布。
=============================================
而跨站点脚本(XSS)就会麻烦的多,安全分析师很难给出看得见的范例来清楚说明该漏洞可能造成的后果。通常安全分析师通过注入像alert('xss')的JAVAScript代码来说明XSS的危害,该代码能够导致应用程序显示带有“xss”字样的弹出窗口。从技术角度来说,这种范例确实证明XSS漏洞的存在性,但是它没有真实地反映XSS漏洞的危害性。为了找到自动给出XSS范例的工具或方法,我访问了BeEF。它的站点声称:BeEF是浏览器发掘平台。它的目的就是提供简单的可集成的结构来实时示范浏览器以及XSS的危害。 这种模块结构主要是用BeEF中现存的智能使模块开发成为一个很简单的过程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是个基于PHP的网络应用,它捕捉那些有XSS应用漏洞的用户浏览器的请求。在你的机器上运行BeEF,然后用它发现受XSS影响,而通过XSS请求你的主机(有BeEF)上的资源的应用程序。一旦受害者的浏览器请求BeEF资源,BeEF将发出警告并允许你注入JavaScript代码,执行JavaScript端口扫描(例如受害浏览器将发起扫描:在受害浏览器可能访问的内网环境中进行的端口扫描酒有可能被攻击者利用)等等。这个Flash指南很好地示范了BeEF。
同时,我的一个好朋友也在从事跟BeEF类似的工程。如果他决定对外公开一个可用的版本,我将在此发布。
=============================================
元旦期间,受银行网点休假影响,许多市民可能选择网上银行办理转账、付款等业务。不法分子乘机设套诈骗市民的私人信息。为此,沪上银行提醒,元旦假期市民更要提防假网银。
第一、在任何情况下,银行是不会主动向用户索取网上银行账户、密码的;
第二、对那些要求提供密码、卡号或账户等信息的不明短信、电子邮件都要格外提防,切莫轻信;
第三、遇到可疑状况,应及时打电话与银行进行核实,不要轻易打开不认识的邮件,尤其是一些可执行文件等;
第四、每次登录网银,尽量选择直接输入网址登录,不要从非银行网站的链接间接访问;最好选用数字证书(U盾等)登录作为安全手段。
第一、在任何情况下,银行是不会主动向用户索取网上银行账户、密码的;
第二、对那些要求提供密码、卡号或账户等信息的不明短信、电子邮件都要格外提防,切莫轻信;
第三、遇到可疑状况,应及时打电话与银行进行核实,不要轻易打开不认识的邮件,尤其是一些可执行文件等;
第四、每次登录网银,尽量选择直接输入网址登录,不要从非银行网站的链接间接访问;最好选用数字证书(U盾等)登录作为安全手段。
电脑反复中病毒的防范
[ 2007-03-25 03:34:19 | 作者: sun ]
在很多情况下,同一台电脑经常会发生反复中同一种病毒的事件。比如,中了小邮差后刚杀完毒暂时没事儿了,可过一段时间,病毒又不请自来。这就是所谓的“同一病毒的再感染”。 其实,如何防止病毒再感染是有一些小窍门的。
病毒再感染一般有两个原因:一是病毒有了新的变种,二是没有封堵住病毒的传播途径。对第一种原因,我们采用对杀毒软件在线升级到最新版后,就可以完全解决;第二种原因常会在使用电脑的过程中引发以下多种情况。我们只要认真区别对待,就能解决病毒再感染的相关问题。
1. 系统、工具软件的漏洞
很多病毒利用操作系统和网络工具的漏洞进行传播,比如求职信、小邮差、Bugbear等,它会利用微软浏览器软件的“Iframe”漏洞,即使用户没有打开邮件的附件,仅仅是点击了邮件,病毒就会自动运行了。
2. 病毒伪装,引诱用户上当
这是大多数蠕虫、木马类病毒的常用手段。信件标题或是内容有引诱用户打开附件的文字,利用聊天工具传播藏有恶意代码的网址等等。
3. 用户安全意识不够高
一些用户为图使用方便,对于密码的管理过于简单、过于松懈。比如将密码保存到电脑里,使用一些有规律而且很简单的密码,如1234、abcd等,甚至空密码,这样就会给一些有猜密码功能的病毒创造传播的途径。
4. 局域网管理的松懈
局域网里的所有电脑都可以互联,非常随意地使用共享资源,对共享资源的使用没有设置相应的权限等。
5. 没有共同防毒
朋友、家人、联系人之间,如果只有少部分用户在防毒,同样会造成病毒的泛滥。
以上所有的这些因素都会造成病毒的再感染,在现实使用过程中我们经常只是在中毒后简单地进行杀毒,而没有阻断病毒入侵的通道,这就会使我们经常遭受病毒的骚扰,还抱怨杀毒软件不中用,严重影响正常工作。
现今的病毒可谓是“面面俱到”,部分恶性病毒,例如“Bugbear”,把能用上的传播方法都捆绑于一身,极大增强了病毒传染的效率。为了防止这类病毒的感染,不仅仅需要杀毒软件厂商的高效工作,还需要互联网用户提高自身的防范意识。同样防病毒只有部分人在做,或只是防住了病毒传播的某一途径,也达不到全面防毒的真正目的。所以,只有广大用户都提高了防毒的安全意识,堵住病毒传染的所有途径,才能真正的让病毒无机可乘,无孔而入。
网络安全趣谈:七类黑客各有“黑招”
[ 2007-03-25 03:34:08 | 作者: sun ]
黑客原来也有分别,崆峒,峨嵋,少林,武当,七种黑客,你是哪一种?
恶作剧型:喜欢进入他人网站,以删除某些文字或图像、篡改网址、主页信息来显示自己的厉害,此做法多为增添笑话自娱或娱人。或者进入他人网站内,将其主页内商品资料内容、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。
隐蔽攻击型:躲在暗处以匿名身份对网络发动攻击,往往不易被人识破;或者干脆冒充网络合法用户,侵入网络“行黑"。这种行为由于是在暗处实施的主动攻击行为,因此对社会危害极大。
定时炸弹型:在实施时故意在网络上布下陷阱,或故意在网络维护软件内安插逻辑炸弹或后门程序,在特定的时间或特定条件下,引发一系列具有连锁反应性质的破坏行动,或干扰网络正常运行或致使网络完全瘫痪。此种黑客在原公司离职后,通过连线,在得知原公司Internet地址密码的情形下,可从网上再次了解到原公司网络密址及电子邮件中各项文件资料,进而大量截取原公司最新资料,作为不正当竞争之用。这类黑客是企业内部蛀虫,其危害和影响巨大,有时几乎导致企业的破产倒闭。而混在政府内的这类黑客,破坏性更大。
矛盾制造型:非法进入他人网络,修改其电子邮件的内容或厂商签约日期,进而破坏甲乙双方交易,并借此方式了解双方商谈的报价价格,乘机介入其商品竞争。有些黑客还利用政府上网的机会,修改公众信息,挑起社会矛盾。
职业杀手型:此种黑客以职业杀手著称,经常以监控方式将他人网站内由国外传来的资料迅速清除,使得原网站使用公司无法得知国外最新资料或订单;或者将电脑病毒植入他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,任意修改军方首脑的指示和下级通过网络传递到首脑机关的情报,篡改军事战略部署,导致部队调防和军事运输上的障碍,达到干扰和摧毁国防军事系统的目的。
窃密高手型:出于某些集团利益的需要或者个人的私利,利用高技术手段窃取网络上的加密信息,使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员,导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报,一旦被黑客截获,还可能引发局部地区或全球的经济危机或政治动荡。
业余爱好型:计算机爱好者受到好奇心驱使,往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,属于无意识攻击行为。这种人可以帮助某些内部网堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。
恶作剧型:喜欢进入他人网站,以删除某些文字或图像、篡改网址、主页信息来显示自己的厉害,此做法多为增添笑话自娱或娱人。或者进入他人网站内,将其主页内商品资料内容、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。
隐蔽攻击型:躲在暗处以匿名身份对网络发动攻击,往往不易被人识破;或者干脆冒充网络合法用户,侵入网络“行黑"。这种行为由于是在暗处实施的主动攻击行为,因此对社会危害极大。
定时炸弹型:在实施时故意在网络上布下陷阱,或故意在网络维护软件内安插逻辑炸弹或后门程序,在特定的时间或特定条件下,引发一系列具有连锁反应性质的破坏行动,或干扰网络正常运行或致使网络完全瘫痪。此种黑客在原公司离职后,通过连线,在得知原公司Internet地址密码的情形下,可从网上再次了解到原公司网络密址及电子邮件中各项文件资料,进而大量截取原公司最新资料,作为不正当竞争之用。这类黑客是企业内部蛀虫,其危害和影响巨大,有时几乎导致企业的破产倒闭。而混在政府内的这类黑客,破坏性更大。
矛盾制造型:非法进入他人网络,修改其电子邮件的内容或厂商签约日期,进而破坏甲乙双方交易,并借此方式了解双方商谈的报价价格,乘机介入其商品竞争。有些黑客还利用政府上网的机会,修改公众信息,挑起社会矛盾。
职业杀手型:此种黑客以职业杀手著称,经常以监控方式将他人网站内由国外传来的资料迅速清除,使得原网站使用公司无法得知国外最新资料或订单;或者将电脑病毒植入他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,任意修改军方首脑的指示和下级通过网络传递到首脑机关的情报,篡改军事战略部署,导致部队调防和军事运输上的障碍,达到干扰和摧毁国防军事系统的目的。
窃密高手型:出于某些集团利益的需要或者个人的私利,利用高技术手段窃取网络上的加密信息,使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员,导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报,一旦被黑客截获,还可能引发局部地区或全球的经济危机或政治动荡。
业余爱好型:计算机爱好者受到好奇心驱使,往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,属于无意识攻击行为。这种人可以帮助某些内部网堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。
通用排查 看清木马藏身地
[ 2007-03-25 03:33:48 | 作者: sun ]
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
关闭注册表,打开C:\Autoexec.bat文件,删除如下两行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并关闭Autoexec.exe文件。
●IndocTrination v0.1-v0.11注册表清除实例:
在注册表中打开如下子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
将这些子键右边窗口中的如下键值项删除:
Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注册表清除实例:
打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的键值项数据,将它删除。
打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:\Windowskernel16.dl文件。
●广外女生注册表清除实例:
退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
●Netbull(网络公牛)注册表清除实例:
该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在这些子键下删除键值项“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
●聪明基因注册表清除实例:
删除C:\Windows下的MBBManager.exe和Explore32.exe,再删除C:\WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:\WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:\Windowswinhlp32.exe %1”,恢复hlp文件关联。
以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。
安防策略 即时剖解防范DOS攻击
[ 2007-03-25 03:33:36 | 作者: sun ]
意用户越来越猖獗的今天,网络中不再是风平浪静,作为一名保卫计算机安全的管理人员,了解恶意用户的攻击手段与原理是必然的,知已知彼方能更好将安全系数提升至另一个境界,而DOS、DDOS攻击类型方式的兴起,也让网管员再次忙活了起来……
DOS攻击原理详探
DOS攻击可以使被攻击目标达到无法正常访问并不能面对用户提供正常提供服务,其攻击方式是一对一式的通常称为点对点式,采用消耗资源、服务中止和物理破坏形式,但当被攻击机器的性能优越于攻击者机器时,DOS无明显效果。此时分布式拒绝服务攻击手法DDOS应运而生,此攻击是在DOS基础上利用大量计算机一起发动大规模攻击,从而导至目标机资淅耗尽而崩溃,因为DDOS式攻击可让恶意用户控制傀儡机进行跨机攻击,隐匿性非常强,所以受害机往往很难查出真正发起攻击的恶意用户到底是来自那个地区,后果非常糟糕也十分可怕。
常见DOS攻击及防范
目前网络中流行的其DOS类攻击有很多种,而下面的四种却是恶意用户最常用的攻击手法,其危害大、操作相对简单。
一、UDP Flood攻击
此种攻击方法也是让目标机产生拒绝服务的手段之一,此UDP连接无需任何协议技持即可进行远程数据传输,当恶意用户向目标机发送4字节的数据包时,此时将会产生UDP淹没攻击,目标计算机接收数据包的应用程序,并进行等待确定,一但发现端口中不存在等待连接的应用程序,此时将产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址,随着数据包往复发送的次数变多,此时目标机的处理能力慢慢变低,最终将导至计算机无法提供正常服务系统崩溃。
针对此种攻击的网络管理人员要充分利用硬件产品与计算机安全策略相互交错运行,禁用或者过滤监控和响应服务,并过滤或禁用其它的UDP服务,对指定的UDP服务可以通过其代理机制来实行网络访问。
二、SYN FLOOD攻击原理防法方案
此攻击方法利用了TCP协议中三次握手中的缺憾,并因此为传输依据向目标主机发送大量伪造的TCP连接请求,重复一次又一次的SYN报文后依次中断,让目标机接收的连接请求保存在一个有限空间缓存队列中,并越聚越多,从而使目标机出现CPU满载运行与内存资源耗尽,无法及时回应并处理正常的服务请求,导至服务器不停地处理大量虚假SYN包 ,使堆栈溢出陷入崩溃边缘,从而造成服务器的拒绝服务。
由于SYN Flood攻击的效果取决于目标机上的半连接数,这个值等于SYN攻击的频度乘以SYN Timeout,所以通过缩短SYN Timeout时间以确定报文无效并丢弃该连接即可抵御,其修改方法如下:首先在计算机运行项里输入regedit.exe调出注册表项,并依次展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters键值,并在右侧窗体中建立DWORD值名为SynAttackProtect,设置其键值范围为2(提示:此值减少SYN攻击时采取的保护措施,0为无保护)并再次建立DWORD值命名为TcpMaxHalfOpen,此值的设置要根据实际情况进行设定,用以控制系统允许打开的半连接数,最后再次建立DWORD名为TcpMaxHalfOpenRetriec,此值决定系统于何种情况下自动打开SYN攻击保护,修改注册表键值将针对攻击频率不高的SYN Flood攻击产生效果。
三、ICMP Flood攻击原理及防法
ICMP攻击是通过Ping产生的大量数据包,使目标计算机的CPU占用率满载继而当机,此类的攻击方法更加简单,恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文,此时目标用户即受到ICMP洪水攻击,计算机因此逐渐变慢,从而死机。
用户或管理人员可以通过在运行菜单中输入regedit.exe调出注册表,打开HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters键值并在其右窗口中创建DWORD键值命名为EnableICMPRedirects键值数为0,此时即可禁止计算机响应ICMP得定向报文,以达保护目的,而还有一种方法是通过修改注册表禁止响应ICMP路由通告报文,来守护此类攻击,依次打开注册表如下键值HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右侧窗体中创建DWORD值命名为PerformRouterDiscovery其键值为0即可停止响应。
DDOS攻击
DDoS是英文Distributed Denial of Service的缩写(网络统称为:分布式拒绝服务)。其原理是主攻击利用所控制的N台中间人计算机(傀儡主机)一起向目标机器发送大量看似合法的数据包,造成目标机网络阻塞或服务器资源耗尽而导致拒绝服务产生,导至合法的网络数据包被虚假的网络数据包淹没而无法到达主机,形成合法用户无法正常访问,也可以通过大量的攻击数据包导至主机的CPU满裁、内存耗尽造成目标机也无法对正常用户提供网络服务,威力更加庞大。
了解了DOS及DDOS的几类攻击手法后,那么用户或管理人员如何才能做到有效地防备呢?首先要安装专业抗DDOS防火墙,安装完成对利用端口扫描软件对本机进行扫描,发现高危端口时使用新建防火墙规则,对其进行拦截或过滤某些特定的数据包,在系统安全上要经常打上最新的安全补丁程序,建立备份机制删除多余用户,禁止不必要的网络服务,并建立路由器、防火墙等负载均衡设备策略,当网络被恶意用户DDOS时最先崩溃的是路由器,此时当一台路由器被攻击死机时,另一台则马上进行工作,而内部计算机在其保护之下完好无损,崩溃的路由器经重启很快便于能进入替补角色,从而最大程度的削减了DDOS的攻击,做到防危滴漏!
防御后记
网络用户在以后的网络中遇上此类攻击,相信在了解其原理的情况下,能即时应对所发生的突发事件,在情节处理上要做到稳而不乱,忙而能静的攻守原则,在硬件上下下功夫做好防火墙与策略的把关工作,定能大事化小小事化了
DOS攻击原理详探
DOS攻击可以使被攻击目标达到无法正常访问并不能面对用户提供正常提供服务,其攻击方式是一对一式的通常称为点对点式,采用消耗资源、服务中止和物理破坏形式,但当被攻击机器的性能优越于攻击者机器时,DOS无明显效果。此时分布式拒绝服务攻击手法DDOS应运而生,此攻击是在DOS基础上利用大量计算机一起发动大规模攻击,从而导至目标机资淅耗尽而崩溃,因为DDOS式攻击可让恶意用户控制傀儡机进行跨机攻击,隐匿性非常强,所以受害机往往很难查出真正发起攻击的恶意用户到底是来自那个地区,后果非常糟糕也十分可怕。
常见DOS攻击及防范
目前网络中流行的其DOS类攻击有很多种,而下面的四种却是恶意用户最常用的攻击手法,其危害大、操作相对简单。
一、UDP Flood攻击
此种攻击方法也是让目标机产生拒绝服务的手段之一,此UDP连接无需任何协议技持即可进行远程数据传输,当恶意用户向目标机发送4字节的数据包时,此时将会产生UDP淹没攻击,目标计算机接收数据包的应用程序,并进行等待确定,一但发现端口中不存在等待连接的应用程序,此时将产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址,随着数据包往复发送的次数变多,此时目标机的处理能力慢慢变低,最终将导至计算机无法提供正常服务系统崩溃。
针对此种攻击的网络管理人员要充分利用硬件产品与计算机安全策略相互交错运行,禁用或者过滤监控和响应服务,并过滤或禁用其它的UDP服务,对指定的UDP服务可以通过其代理机制来实行网络访问。
二、SYN FLOOD攻击原理防法方案
此攻击方法利用了TCP协议中三次握手中的缺憾,并因此为传输依据向目标主机发送大量伪造的TCP连接请求,重复一次又一次的SYN报文后依次中断,让目标机接收的连接请求保存在一个有限空间缓存队列中,并越聚越多,从而使目标机出现CPU满载运行与内存资源耗尽,无法及时回应并处理正常的服务请求,导至服务器不停地处理大量虚假SYN包 ,使堆栈溢出陷入崩溃边缘,从而造成服务器的拒绝服务。
由于SYN Flood攻击的效果取决于目标机上的半连接数,这个值等于SYN攻击的频度乘以SYN Timeout,所以通过缩短SYN Timeout时间以确定报文无效并丢弃该连接即可抵御,其修改方法如下:首先在计算机运行项里输入regedit.exe调出注册表项,并依次展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters键值,并在右侧窗体中建立DWORD值名为SynAttackProtect,设置其键值范围为2(提示:此值减少SYN攻击时采取的保护措施,0为无保护)并再次建立DWORD值命名为TcpMaxHalfOpen,此值的设置要根据实际情况进行设定,用以控制系统允许打开的半连接数,最后再次建立DWORD名为TcpMaxHalfOpenRetriec,此值决定系统于何种情况下自动打开SYN攻击保护,修改注册表键值将针对攻击频率不高的SYN Flood攻击产生效果。
三、ICMP Flood攻击原理及防法
ICMP攻击是通过Ping产生的大量数据包,使目标计算机的CPU占用率满载继而当机,此类的攻击方法更加简单,恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文,此时目标用户即受到ICMP洪水攻击,计算机因此逐渐变慢,从而死机。
用户或管理人员可以通过在运行菜单中输入regedit.exe调出注册表,打开HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters键值并在其右窗口中创建DWORD键值命名为EnableICMPRedirects键值数为0,此时即可禁止计算机响应ICMP得定向报文,以达保护目的,而还有一种方法是通过修改注册表禁止响应ICMP路由通告报文,来守护此类攻击,依次打开注册表如下键值HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右侧窗体中创建DWORD值命名为PerformRouterDiscovery其键值为0即可停止响应。
DDOS攻击
DDoS是英文Distributed Denial of Service的缩写(网络统称为:分布式拒绝服务)。其原理是主攻击利用所控制的N台中间人计算机(傀儡主机)一起向目标机器发送大量看似合法的数据包,造成目标机网络阻塞或服务器资源耗尽而导致拒绝服务产生,导至合法的网络数据包被虚假的网络数据包淹没而无法到达主机,形成合法用户无法正常访问,也可以通过大量的攻击数据包导至主机的CPU满裁、内存耗尽造成目标机也无法对正常用户提供网络服务,威力更加庞大。
了解了DOS及DDOS的几类攻击手法后,那么用户或管理人员如何才能做到有效地防备呢?首先要安装专业抗DDOS防火墙,安装完成对利用端口扫描软件对本机进行扫描,发现高危端口时使用新建防火墙规则,对其进行拦截或过滤某些特定的数据包,在系统安全上要经常打上最新的安全补丁程序,建立备份机制删除多余用户,禁止不必要的网络服务,并建立路由器、防火墙等负载均衡设备策略,当网络被恶意用户DDOS时最先崩溃的是路由器,此时当一台路由器被攻击死机时,另一台则马上进行工作,而内部计算机在其保护之下完好无损,崩溃的路由器经重启很快便于能进入替补角色,从而最大程度的削减了DDOS的攻击,做到防危滴漏!
防御后记
网络用户在以后的网络中遇上此类攻击,相信在了解其原理的情况下,能即时应对所发生的突发事件,在情节处理上要做到稳而不乱,忙而能静的攻守原则,在硬件上下下功夫做好防火墙与策略的把关工作,定能大事化小小事化了
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
关闭注册表,打开C:\Autoexec.bat文件,删除如下两行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并关闭Autoexec.exe文件。
●IndocTrination v0.1-v0.11注册表清除实例:
在注册表中打开如下子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
将这些子键右边窗口中的如下键值项删除:
Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注册表清除实例:
打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的键值项数据,将它删除。
打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:\Windowskernel16.dl文件。
●广外女生注册表清除实例:
退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
●Netbull(网络公牛)注册表清除实例:
该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在这些子键下删除键值项“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
●聪明基因注册表清除实例:
删除C:\Windows下的MBBManager.exe和Explore32.exe,再删除C:\WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:\WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:\Windowswinhlp32.exe %1”,恢复hlp文件关联。
以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
关闭注册表,打开C:\Autoexec.bat文件,删除如下两行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并关闭Autoexec.exe文件。
●IndocTrination v0.1-v0.11注册表清除实例:
在注册表中打开如下子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
将这些子键右边窗口中的如下键值项删除:
Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注册表清除实例:
打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的键值项数据,将它删除。
打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:\Windowskernel16.dl文件。
●广外女生注册表清除实例:
退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
●Netbull(网络公牛)注册表清除实例:
该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在这些子键下删除键值项“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
●聪明基因注册表清除实例:
删除C:\Windows下的MBBManager.exe和Explore32.exe,再删除C:\WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:\WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:\Windowswinhlp32.exe %1”,恢复hlp文件关联。
以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。
菜鸟电脑安全防范技巧
[ 2007-03-25 03:33:10 | 作者: sun ]
大家好,今天是我第一次写点东西给大家分享有点紧张。如果哪里写的不对请高手给予指正。
今天我所讲的一切都是关于个人计算机安全,也都是我所知道的知识。我想大家都有过这样的经历,我们都是研究HACK技术的,经常会有一少部分人会给我们下木马病毒(损人不利己的事)!很多人都会黑某些WEB主机、攻击/入侵对方计算机。但是做同样的事情的也有别人,在我们攻击别人的时候,也会有人在攻击我们的电脑,我想那些人也不是吃素的,一般的杀毒软件、防火墙,我想对他们来说也是可以轻松突破的。
毕竟世界上没有绝对完美的防御。没有什么电脑可以一点漏洞都没有。所以我们大家都会入侵某某网站、个人计算机。但是相对于我们这方面的技术,欠缺的是防御自己计算机方面的方法与意识。今天我就把我个人知道的一些方法和知识写出来,和大家一起分享。
安全软件:杀毒软件、防火墙、病毒木马专杀软件、流氓软件清理类。(Windows系统上最好安装上这些安全产品)
Windows 的系统更新对于计算机安全来说由为重要,系统更新一定要打开,以及时修补计算机漏洞。
必要的计算机设置,比如:关闭潜在危险的服务telnet、ftp、3389、netbios等;给管理员用户设置一个强度密码,不要使用弱口令;删除其他无用的用户帐号、禁用guest用户、删除默认共享 $admin $c\d\e\f $ipc。
还有一些安全常识,要知道:有些木马病毒的隐藏性很好,而且事先一定做好了病毒免杀,所以不要把系统的安全全部放在杀毒软件上,也不要过分依赖于软件,要学会手动查杀计算机病毒木马。一般来说计算机病毒木马程序分为:键盘记录、远程控制、后门类等。因为杀毒软件的隐藏性都很好,一般是加载到启动项,这样系统在下次启动的时候就可以秘密的启动病毒木马程序。现在我要说一下病毒木马的几种启动方式:加载到win.ini、注册表启动项、引导扇区,一般来说就算病毒木马经过了免杀处理也就是:改变程序的入口点、插入进程技术等。使用病毒木马专杀工具就可以很有效的清除病毒木马程序。但是如果上面的方式都无法清除病毒木马程序的话,你可以尝试手动清理的方式,经常听见大家说手动清理病毒木马程序,但是有很多朋友还是不知道怎么清理。今天我就为大家介绍如何实现手动清理病毒木马程序。有几个病毒木马程序隐藏的地方我先告诉大家:注册表、引导扇区、win.ini、system32目录等,都是病毒木马程序隐藏的地方。一般来说首先要先删除病毒木马程序的启动项,然后再删除病毒木马程序的源文件,清理一下引导扇区、内存就可以了。
入侵一般是冲着你电脑里的重要资料来的,或者是广泛的入侵(大范围扫描)。所以之前最好对自己电脑里的数据资料做加密处理,这样才能有效的保护好你的资料不被其他人下载和阅读。
还有就是大家最好都有些安全意识。比如你的电脑感染了木马程序(这里指键盘记录程序),首先你运行了某些程序之后大概过了几分钟之后你的程序突然掉了,那就不要在登陆帐号了,因为很有可能你的电脑已经感染了病毒木马,感染这类木马你也不需要太过担心只要你不登陆帐号你也不怕什么的,有些木马程序是全局范围的,只要你在Windows上的text框输入字符木马程序都会记录下来并发送出去。而有些木马则是记录指定程序的,你不运行指定程序的时候那木马是不会工作的。
在你怀疑自己电脑感染了病毒木马程序的时候首先你可以先用专杀工具查杀一便,也可以看看有没有什么可疑进程在运行,有没有开放可疑端口。一般隐藏好的木马这两点是不会暴露的。找到了可疑木马病毒程序你可以在注册表和计算机的系统盘搜索一下,把注册表启动项目删除,再把分区内的源文件删除。然后再检测一下内存、引导扇区,应该没问题了。
还有一些是针对黑客入侵,大家都知道HACK技术入侵之前要做的事情。先会扫描我们计算机是否存在漏洞,我们可以先用安全工具检测一下自己的电脑是否也存在安全漏洞。比如默认共享要关闭、IPC共享、ADMIN共享。还有文件和打印机共享。此漏洞存在远程缓冲区溢出漏洞。
系统管理员密码最好是高强度密码,千万不要使用弱口令。远程连接服务不需要的话也一定要关闭:telnet、ftp、3389之类的。
因为我不经常使用那些软件,我的爱好是计算机编程。虽然我现在还在学习阶段,也不经常用软件。我建议大家不要过分依赖于软件。有的人使用了好几年的软件最后还都不知道软件实现的原理。
如果你要是学会了一门计算机语言那对你以后学习HACK技术会有很大帮助,只是会用工具、对黑客来说会有很大的局限性,做的事也很受限制。
再回到计算机防御上来说吧,防御好自己的计算机一点都不简单,我上面所说的也只是针对一般性的入侵。但对于真正的黑客我想可能也是没用的,我相信真正的黑客一定掌握着一种以上没被发现的漏洞。因为他没有公布所以很少人知道此漏洞。MS也不知道吧?
下面介绍一下常见的病毒木马欺骗的方法,以提高大家的安全意识。
WEB挂马,我想大家也都知道有些站点被黑客入侵以后首页被挂上了木马程序。只要用户打开对应的页面,木马就会利用浏览器的漏洞自动下载并执行。(所以本地电脑最好把杀毒软件的WEB监视功能打开)。
不要轻易接受陌生网友传送过来的文件和图片,软件有可能被恶意捆绑木马病毒程序。
尽量要去一些大型、专业的网站下载软件,打开软件之前要先查毒。
要禁得住诱惑!要知道天上没掉馅饼的时候,不要轻易去点别人发给你的连接地址(地址很有可能已经被挂上了木马病毒程序)。
因为现在大部分的漏洞也都是针对IE,如果不是很有必要就不要使用IE了,个人推荐使用Firefox浏览器。
把杀毒软件的下载更新打开、或者定期下载杀毒软件的更新补丁,以保持杀毒软件的最新病毒库。不然你的杀毒软件就行同虚设。
一些病毒木马在注册表的启动项键值:
1、HEKY_LOCAL_MACHINE\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
2、HKEY_CURRENT_USER\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
3、HKEY_USERS\.DEFAULT\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
今天我所讲的一切都是关于个人计算机安全,也都是我所知道的知识。我想大家都有过这样的经历,我们都是研究HACK技术的,经常会有一少部分人会给我们下木马病毒(损人不利己的事)!很多人都会黑某些WEB主机、攻击/入侵对方计算机。但是做同样的事情的也有别人,在我们攻击别人的时候,也会有人在攻击我们的电脑,我想那些人也不是吃素的,一般的杀毒软件、防火墙,我想对他们来说也是可以轻松突破的。
毕竟世界上没有绝对完美的防御。没有什么电脑可以一点漏洞都没有。所以我们大家都会入侵某某网站、个人计算机。但是相对于我们这方面的技术,欠缺的是防御自己计算机方面的方法与意识。今天我就把我个人知道的一些方法和知识写出来,和大家一起分享。
安全软件:杀毒软件、防火墙、病毒木马专杀软件、流氓软件清理类。(Windows系统上最好安装上这些安全产品)
Windows 的系统更新对于计算机安全来说由为重要,系统更新一定要打开,以及时修补计算机漏洞。
必要的计算机设置,比如:关闭潜在危险的服务telnet、ftp、3389、netbios等;给管理员用户设置一个强度密码,不要使用弱口令;删除其他无用的用户帐号、禁用guest用户、删除默认共享 $admin $c\d\e\f $ipc。
还有一些安全常识,要知道:有些木马病毒的隐藏性很好,而且事先一定做好了病毒免杀,所以不要把系统的安全全部放在杀毒软件上,也不要过分依赖于软件,要学会手动查杀计算机病毒木马。一般来说计算机病毒木马程序分为:键盘记录、远程控制、后门类等。因为杀毒软件的隐藏性都很好,一般是加载到启动项,这样系统在下次启动的时候就可以秘密的启动病毒木马程序。现在我要说一下病毒木马的几种启动方式:加载到win.ini、注册表启动项、引导扇区,一般来说就算病毒木马经过了免杀处理也就是:改变程序的入口点、插入进程技术等。使用病毒木马专杀工具就可以很有效的清除病毒木马程序。但是如果上面的方式都无法清除病毒木马程序的话,你可以尝试手动清理的方式,经常听见大家说手动清理病毒木马程序,但是有很多朋友还是不知道怎么清理。今天我就为大家介绍如何实现手动清理病毒木马程序。有几个病毒木马程序隐藏的地方我先告诉大家:注册表、引导扇区、win.ini、system32目录等,都是病毒木马程序隐藏的地方。一般来说首先要先删除病毒木马程序的启动项,然后再删除病毒木马程序的源文件,清理一下引导扇区、内存就可以了。
入侵一般是冲着你电脑里的重要资料来的,或者是广泛的入侵(大范围扫描)。所以之前最好对自己电脑里的数据资料做加密处理,这样才能有效的保护好你的资料不被其他人下载和阅读。
还有就是大家最好都有些安全意识。比如你的电脑感染了木马程序(这里指键盘记录程序),首先你运行了某些程序之后大概过了几分钟之后你的程序突然掉了,那就不要在登陆帐号了,因为很有可能你的电脑已经感染了病毒木马,感染这类木马你也不需要太过担心只要你不登陆帐号你也不怕什么的,有些木马程序是全局范围的,只要你在Windows上的text框输入字符木马程序都会记录下来并发送出去。而有些木马则是记录指定程序的,你不运行指定程序的时候那木马是不会工作的。
在你怀疑自己电脑感染了病毒木马程序的时候首先你可以先用专杀工具查杀一便,也可以看看有没有什么可疑进程在运行,有没有开放可疑端口。一般隐藏好的木马这两点是不会暴露的。找到了可疑木马病毒程序你可以在注册表和计算机的系统盘搜索一下,把注册表启动项目删除,再把分区内的源文件删除。然后再检测一下内存、引导扇区,应该没问题了。
还有一些是针对黑客入侵,大家都知道HACK技术入侵之前要做的事情。先会扫描我们计算机是否存在漏洞,我们可以先用安全工具检测一下自己的电脑是否也存在安全漏洞。比如默认共享要关闭、IPC共享、ADMIN共享。还有文件和打印机共享。此漏洞存在远程缓冲区溢出漏洞。
系统管理员密码最好是高强度密码,千万不要使用弱口令。远程连接服务不需要的话也一定要关闭:telnet、ftp、3389之类的。
因为我不经常使用那些软件,我的爱好是计算机编程。虽然我现在还在学习阶段,也不经常用软件。我建议大家不要过分依赖于软件。有的人使用了好几年的软件最后还都不知道软件实现的原理。
如果你要是学会了一门计算机语言那对你以后学习HACK技术会有很大帮助,只是会用工具、对黑客来说会有很大的局限性,做的事也很受限制。
再回到计算机防御上来说吧,防御好自己的计算机一点都不简单,我上面所说的也只是针对一般性的入侵。但对于真正的黑客我想可能也是没用的,我相信真正的黑客一定掌握着一种以上没被发现的漏洞。因为他没有公布所以很少人知道此漏洞。MS也不知道吧?
下面介绍一下常见的病毒木马欺骗的方法,以提高大家的安全意识。
WEB挂马,我想大家也都知道有些站点被黑客入侵以后首页被挂上了木马程序。只要用户打开对应的页面,木马就会利用浏览器的漏洞自动下载并执行。(所以本地电脑最好把杀毒软件的WEB监视功能打开)。
不要轻易接受陌生网友传送过来的文件和图片,软件有可能被恶意捆绑木马病毒程序。
尽量要去一些大型、专业的网站下载软件,打开软件之前要先查毒。
要禁得住诱惑!要知道天上没掉馅饼的时候,不要轻易去点别人发给你的连接地址(地址很有可能已经被挂上了木马病毒程序)。
因为现在大部分的漏洞也都是针对IE,如果不是很有必要就不要使用IE了,个人推荐使用Firefox浏览器。
把杀毒软件的下载更新打开、或者定期下载杀毒软件的更新补丁,以保持杀毒软件的最新病毒库。不然你的杀毒软件就行同虚设。
一些病毒木马在注册表的启动项键值:
1、HEKY_LOCAL_MACHINE\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
2、HKEY_CURRENT_USER\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
3、HKEY_USERS\.DEFAULT\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
