七招全面围剿“灰鸽子”
[ 2007-03-25 02:41:19 | 作者: sun ]
灰鸽子木马引发的激烈论战正在网络安全界进行,电脑安全问题随之受到网友们的高度关注。
金山公司公开指责灰鸽子工作室2007年2月底推出的“灰鸽子2007 beta2版本”隐蔽性更强,隐藏病毒的进程,所有盗取用户信息的操作,远程计算机的操作人员可能毫不知情。灰鸽子工作室则回应称,灰鸽子远程控制系列软件产品在对外授权时,已经充分告知用户要遵守中国法律法规的规定。
这场论战仍在进行。不论结果如何,眼下如何保护保证自己的经济不受损失,避免因为隐私外泄而受到敲诈,成为当务之急。
应对办法——
途径1:设置屏幕保密码
保护电脑安全,不光是防陌生人,有时也要向同事保密。如果您不想在离开座位后,自己电脑里的东西被别人看光光的话,设置屏保密码是个简便的方式。
以WindowsXP系统来说,您只要在桌面的空白处右击鼠标,从菜单中选择“属性”栏目,打开“显示属性”对话框,再点击“屏幕保护程序”栏目即可。在这个窗口的“屏幕保护程序”下拉框中,任意选择一种屏幕保护程序。随后,您只要选中“在恢复时使用密码保护”框,再单击“应用”按钮就可以了。
注意事项:需要提醒大家的是,在WinXP中无需您输入具体的“密码”,Windows在屏保运行后,会自动退出当前用户登录,退回到Windows登录窗口。这时您作为这台电脑的主人,只要输入登录Windows时的密码就能够使用Windows了。对于不知道您登录密码的人,自然只能“望机兴叹”了。
途径2:及时下载补丁
除了杀毒软件帮您防范入侵的黑客和病毒,Windows自身的网络安全设置,也在帮您抵挡不怀好意的“入侵者”。不过,要想让Windows能够完全施展开拳脚,还要留意以下几点。
首先,在IE浏览器的工具栏里,选择“INTERNET选项”,单击其中的“安全”一栏。此时在菜单里,单击“自定义级别”,并在“重置自定义设置”选项里,选中“安全级—高”一栏,并单击“确定”按钮。
每当Windows自动升级时,系统总会提示下载了一些更新程序。这时,有些用户由于担心C盘空间不大,装的程序太多容易拖慢系统速度,就不安装这些更新程序和补丁。其实,这是不对的。有些Windows自身的漏洞极易成为黑客的攻击重点。仅靠杀毒软件,有时无法杜绝这些问题。
注意事项:对于C盘空间不大的用户来说,建议您首先不要在桌面上放一些程序、文件、文档,以免占用宝贵的C盘空间。另外,对于必须使用但又不是系统文件的程序、软件,建议您把它们一律安装到D盘或者E盘里,照样可以正常使用。
途径3:银行数字证书随身带
如今,几乎全部的网上银行,在您支付款项时,都会用到数字证书。不过让我们有些忧心的是,数字证书长期存在电脑硬盘里,一旦在您上网时有人通过某些病毒或黑客程序远程操作、查询您电脑里的相关内容,就可能备份您的银行数字证书、窃取您的银行账号和密码,并且趁您不使用电脑的时候,操控您的屏幕,划走您的钱。
注意事项:建议您最好在开通您的银行卡网上银行功能时,按照各家银行的提示操作步骤,把您的数字证书,导出存在U盘里,有些银行则是直接向用户出售存有数字证书的U盘。总之尽量不要把数字证书存在电脑硬盘里,以免被别人远程控制。
途径4:利用杀毒软件体检
正因为灰鸽子这类木马在中毒电脑上了无痕迹,用户往往无法判断自己的电脑是否已经被植入木马,反病毒专家介绍说,用户可以通过使用升级到最新病毒库的杀毒软件来扫描自己的电脑。金山和瑞星等很多安全厂商此前都推出了灰鸽子专杀工具。此外,用户还可以到安全厂商的官方网站上学习手动查杀。
注意事项:看杀毒软件是否过期。“明明安了杀毒软件,怎么又中招了”,这是当前不少电脑用户的疑问。人们往往在安装了杀毒软件后,就以为一切都搞定了,自己的电脑“百毒不侵”了。需要提醒大家的是,安装完杀毒软件,一定要及时运行,并把各种选项的配置情况确认一下。如果软件没有开启自动升级、扫描电子邮件、扫描压缩文件内部等功能,一定要立即开启;此外,新病毒变种频出,建议您把杀毒软件一定要配置为“最高防护级别”,这样您上网时才会更加安全。
另外,即使开启了自动升级功能,建议您也要经常手动更新一下自己的杀毒软件,一旦发现厂商提供的病毒库有所更新,就要及时跟进。另外,在杀毒软件的使用上,一定要用正版。有时,一些盗版杀毒软件本身就暗藏病毒。
注意事项:检查您使用的杀毒软件是否过期,使用盗版杀毒软件(或者一个正版ID用在多台计算机上),不能正常升级的,特别需要检查。
途径5:word加密
以Word 2000来说,如果您的文档中有不想让其他人看见的个人隐私,或者这个文件中涉及单位的机密信息,您就需要阻止别人查看自己的文档了。需要对Word文档进行加密。
首先打开这个需要加密的Word文档。单击“工具”栏里的“选项”一行。这时,会弹出一个菜单,您需要选择“保存”这个栏目,然后分别在“打开权限密码”和“修改权限密码”这两个空白栏中输入您设置的任意密码。输入后,您需要单击“确定”按钮。这时,系统会再次弹出窗口,要您再次键入一遍“打开权限密码”和“修改权限密码”。分别单击“确定”按钮后,设定就完成了。
注意事项:您在关闭这个Word文档时,记得还要单击“是”,以便保存您刚才的一切操作。另外,要记住自己的密码,以免忘了密码后自己也进不去而耽误事。
途径6:设置登录密码
开机时输对登录密码,才能使用这台电脑,这是Windows自带的重要安全设置,也是防范他人入侵自己个人空间的一大功能。对于WinXP来说,如果在安装系统时您没有设置密码,也没关系,这项功课还是可以补上的。
首先,您进入“我的电脑”,双击控制面板,选择自己原本没有密码的那个用户账户。接下来,您需要选择“设定我的密码”,键入一个至少8位的密码,并再输一遍,然后设定自己的密码提示问题,最后按提示单击“是”这个按钮,就可以了。
注意事项:如果您所使用的电脑是单位公用的,您和您的同事也可以在同一台电脑里分别设定自己不同的账户和登录密码,大家互不干扰。
途径7:硬件加密一箩筐
除了软加密,部分电脑还能够通过先进的硬件,实现硬加密。
例如有些电脑就配备有先进的指纹系统,只有指纹符合者,才能启用这台电脑。还有的电脑具备了人脸识别功能,机主的相貌就是通行证。
同时,一些厂家还推出了各种电子安全锁,通常是以U盘的形式存在。通过预先设置,只有插入这个U盘,电脑才能够正常工作。
注意事项:当然,如果您希望启用这些更加严密的安防措施,就需要额外破费一番了。
金山公司公开指责灰鸽子工作室2007年2月底推出的“灰鸽子2007 beta2版本”隐蔽性更强,隐藏病毒的进程,所有盗取用户信息的操作,远程计算机的操作人员可能毫不知情。灰鸽子工作室则回应称,灰鸽子远程控制系列软件产品在对外授权时,已经充分告知用户要遵守中国法律法规的规定。
这场论战仍在进行。不论结果如何,眼下如何保护保证自己的经济不受损失,避免因为隐私外泄而受到敲诈,成为当务之急。
应对办法——
途径1:设置屏幕保密码
保护电脑安全,不光是防陌生人,有时也要向同事保密。如果您不想在离开座位后,自己电脑里的东西被别人看光光的话,设置屏保密码是个简便的方式。
以WindowsXP系统来说,您只要在桌面的空白处右击鼠标,从菜单中选择“属性”栏目,打开“显示属性”对话框,再点击“屏幕保护程序”栏目即可。在这个窗口的“屏幕保护程序”下拉框中,任意选择一种屏幕保护程序。随后,您只要选中“在恢复时使用密码保护”框,再单击“应用”按钮就可以了。
注意事项:需要提醒大家的是,在WinXP中无需您输入具体的“密码”,Windows在屏保运行后,会自动退出当前用户登录,退回到Windows登录窗口。这时您作为这台电脑的主人,只要输入登录Windows时的密码就能够使用Windows了。对于不知道您登录密码的人,自然只能“望机兴叹”了。
途径2:及时下载补丁
除了杀毒软件帮您防范入侵的黑客和病毒,Windows自身的网络安全设置,也在帮您抵挡不怀好意的“入侵者”。不过,要想让Windows能够完全施展开拳脚,还要留意以下几点。
首先,在IE浏览器的工具栏里,选择“INTERNET选项”,单击其中的“安全”一栏。此时在菜单里,单击“自定义级别”,并在“重置自定义设置”选项里,选中“安全级—高”一栏,并单击“确定”按钮。
每当Windows自动升级时,系统总会提示下载了一些更新程序。这时,有些用户由于担心C盘空间不大,装的程序太多容易拖慢系统速度,就不安装这些更新程序和补丁。其实,这是不对的。有些Windows自身的漏洞极易成为黑客的攻击重点。仅靠杀毒软件,有时无法杜绝这些问题。
注意事项:对于C盘空间不大的用户来说,建议您首先不要在桌面上放一些程序、文件、文档,以免占用宝贵的C盘空间。另外,对于必须使用但又不是系统文件的程序、软件,建议您把它们一律安装到D盘或者E盘里,照样可以正常使用。
途径3:银行数字证书随身带
如今,几乎全部的网上银行,在您支付款项时,都会用到数字证书。不过让我们有些忧心的是,数字证书长期存在电脑硬盘里,一旦在您上网时有人通过某些病毒或黑客程序远程操作、查询您电脑里的相关内容,就可能备份您的银行数字证书、窃取您的银行账号和密码,并且趁您不使用电脑的时候,操控您的屏幕,划走您的钱。
注意事项:建议您最好在开通您的银行卡网上银行功能时,按照各家银行的提示操作步骤,把您的数字证书,导出存在U盘里,有些银行则是直接向用户出售存有数字证书的U盘。总之尽量不要把数字证书存在电脑硬盘里,以免被别人远程控制。
途径4:利用杀毒软件体检
正因为灰鸽子这类木马在中毒电脑上了无痕迹,用户往往无法判断自己的电脑是否已经被植入木马,反病毒专家介绍说,用户可以通过使用升级到最新病毒库的杀毒软件来扫描自己的电脑。金山和瑞星等很多安全厂商此前都推出了灰鸽子专杀工具。此外,用户还可以到安全厂商的官方网站上学习手动查杀。
注意事项:看杀毒软件是否过期。“明明安了杀毒软件,怎么又中招了”,这是当前不少电脑用户的疑问。人们往往在安装了杀毒软件后,就以为一切都搞定了,自己的电脑“百毒不侵”了。需要提醒大家的是,安装完杀毒软件,一定要及时运行,并把各种选项的配置情况确认一下。如果软件没有开启自动升级、扫描电子邮件、扫描压缩文件内部等功能,一定要立即开启;此外,新病毒变种频出,建议您把杀毒软件一定要配置为“最高防护级别”,这样您上网时才会更加安全。
另外,即使开启了自动升级功能,建议您也要经常手动更新一下自己的杀毒软件,一旦发现厂商提供的病毒库有所更新,就要及时跟进。另外,在杀毒软件的使用上,一定要用正版。有时,一些盗版杀毒软件本身就暗藏病毒。
注意事项:检查您使用的杀毒软件是否过期,使用盗版杀毒软件(或者一个正版ID用在多台计算机上),不能正常升级的,特别需要检查。
途径5:word加密
以Word 2000来说,如果您的文档中有不想让其他人看见的个人隐私,或者这个文件中涉及单位的机密信息,您就需要阻止别人查看自己的文档了。需要对Word文档进行加密。
首先打开这个需要加密的Word文档。单击“工具”栏里的“选项”一行。这时,会弹出一个菜单,您需要选择“保存”这个栏目,然后分别在“打开权限密码”和“修改权限密码”这两个空白栏中输入您设置的任意密码。输入后,您需要单击“确定”按钮。这时,系统会再次弹出窗口,要您再次键入一遍“打开权限密码”和“修改权限密码”。分别单击“确定”按钮后,设定就完成了。
注意事项:您在关闭这个Word文档时,记得还要单击“是”,以便保存您刚才的一切操作。另外,要记住自己的密码,以免忘了密码后自己也进不去而耽误事。
途径6:设置登录密码
开机时输对登录密码,才能使用这台电脑,这是Windows自带的重要安全设置,也是防范他人入侵自己个人空间的一大功能。对于WinXP来说,如果在安装系统时您没有设置密码,也没关系,这项功课还是可以补上的。
首先,您进入“我的电脑”,双击控制面板,选择自己原本没有密码的那个用户账户。接下来,您需要选择“设定我的密码”,键入一个至少8位的密码,并再输一遍,然后设定自己的密码提示问题,最后按提示单击“是”这个按钮,就可以了。
注意事项:如果您所使用的电脑是单位公用的,您和您的同事也可以在同一台电脑里分别设定自己不同的账户和登录密码,大家互不干扰。
途径7:硬件加密一箩筐
除了软加密,部分电脑还能够通过先进的硬件,实现硬加密。
例如有些电脑就配备有先进的指纹系统,只有指纹符合者,才能启用这台电脑。还有的电脑具备了人脸识别功能,机主的相貌就是通行证。
同时,一些厂家还推出了各种电子安全锁,通常是以U盘的形式存在。通过预先设置,只有插入这个U盘,电脑才能够正常工作。
注意事项:当然,如果您希望启用这些更加严密的安防措施,就需要额外破费一番了。
phpbb2.0.12全路径泄露漏洞
[ 2007-03-25 02:41:05 | 作者: sun ]
phpbb是强大的可升级的开放源代码电子公告系统。最新的版本和低版本都存在路径泄露问题。
测试方法:
论坛路径/viewtopic.php?p=6&highlight=\[xiaohua]
将会出现下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
问题代码:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解决方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同时设置为On
测试方法:
论坛路径/viewtopic.php?p=6&highlight=\[xiaohua]
将会出现下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
问题代码:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解决方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同时设置为On
推荐:系统关键进程的查看和比较
[ 2007-03-25 02:40:53 | 作者: sun ]
我们都知道进程是系统当前运行的执行程序,所以打开系统进程列表来查看哪些进程正在运行,通
过进程名及路径判断和比较是否有病毒是一种经常做的常规工作,如果怀疑病毒进程只要记下它的进程
名,结束该进程,然后删除病毒程序即可。但是哪些是正常进程哪些不是正常的进程呢?
1 、查看进程的方法
A。用三键大法:按Ctrl+Alt+Del组合键,然后单击“任务管理器”,打开“Windows 任务管理
器”,然后单击“进程”标签即可查看。
B。右击任务条,打开任务管理器,然后看“进程”也可以。我常用的就是这个了。
2。进程的具体路径
开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务。是不是看到了。。
3。比较关键的进程
(1)Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。这个是不能关的。。
(2)Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这个也不是能关的。。。
(3)Explorer.exe:资源管理器。这个知道是什么吧?你关一下试试看,呵呵。关了以后别怕啊。可以再在任务管理器中的新任务中再建一个。。。
(4)Smss.exe:这是一个会话管理子系统,负责启动用户会话。这个不能关的。。。
(5)Services.exe:系统服务的管理工具,包含很多系统服务。当然也不能关的。。
(6)system: Windows系统进程,当然不关。
(7)System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。晕,这个大家一看就知道。
(8)Spoolsv.exe:管理缓冲区中的打印和传真作业。不能关的。
(9)Svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
WINXP一般是五个进程,记住!
(10)winlogon.exe: 管理用户登录,你关关试试看,重新启动了不是??
(11)internat.exe这是什么东西?呵呵。输入法了。
(12)taskmagr.exe这又是什么?就是任务管理器!
(13) systray.exe是哪儿冒出来的。什么东西。呵呵。右下角的小喇叭。
4。常见病毒的进程名
avserve.exe 震荡波病毒的进程
java.exe、services.exe MyDoom 病毒的进程
svch0st.exe、expl0er、user32.exe 网银大盗的进程
dllhost.exe 冲击波病毒的进程
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒 Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒 Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛 Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒 Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒 Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒 Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手 Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林 Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush Zonealarm.exe → 将死者病毒
注意:进程名为nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系统正常的进程外,其余的凡是带
32数字你可要注意一下.这很可能就是病毒进程;Expiorer.exe → Acid Battery 你看它只和资源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之类一列不是好东西!当然我们
也要小心了例如魔波会利用SVCHOST进程(它是全大写)可怕的··
5。如何处理可疑进程
(1).试验法
将可疑进程结束后,通过“开始→搜索→文件或文件夹”,然后输入可颖进程名作为关键字对硬盘进行
搜索,找到对应的程序后,记下它的路径,将它移到U盘或软盘上,然后对电脑上的软件都运行一遍,
如果都能正常运行,说明这个进程是多余的或者是病毒,就算不是病毒把它删了也可给系统减肥。如果
有软件不能正常运行则要将它还原。
(2).搜索求救法
如果你对“不明进程”是否是病毒拿不定主意,可以把该进程的全名为关键字在百度或GOOGLE搜索
引擎上搜索,找它的相关资料看它是不是病毒,如果是则赶快删除。
(3)软件法
赶快到安全模式下去用杀毒软件吧,当然必须是升级到最新杀软!
过进程名及路径判断和比较是否有病毒是一种经常做的常规工作,如果怀疑病毒进程只要记下它的进程
名,结束该进程,然后删除病毒程序即可。但是哪些是正常进程哪些不是正常的进程呢?
1 、查看进程的方法
A。用三键大法:按Ctrl+Alt+Del组合键,然后单击“任务管理器”,打开“Windows 任务管理
器”,然后单击“进程”标签即可查看。
B。右击任务条,打开任务管理器,然后看“进程”也可以。我常用的就是这个了。
2。进程的具体路径
开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务。是不是看到了。。
3。比较关键的进程
(1)Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。这个是不能关的。。
(2)Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这个也不是能关的。。。
(3)Explorer.exe:资源管理器。这个知道是什么吧?你关一下试试看,呵呵。关了以后别怕啊。可以再在任务管理器中的新任务中再建一个。。。
(4)Smss.exe:这是一个会话管理子系统,负责启动用户会话。这个不能关的。。。
(5)Services.exe:系统服务的管理工具,包含很多系统服务。当然也不能关的。。
(6)system: Windows系统进程,当然不关。
(7)System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。晕,这个大家一看就知道。
(8)Spoolsv.exe:管理缓冲区中的打印和传真作业。不能关的。
(9)Svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
WINXP一般是五个进程,记住!
(10)winlogon.exe: 管理用户登录,你关关试试看,重新启动了不是??
(11)internat.exe这是什么东西?呵呵。输入法了。
(12)taskmagr.exe这又是什么?就是任务管理器!
(13) systray.exe是哪儿冒出来的。什么东西。呵呵。右下角的小喇叭。
4。常见病毒的进程名
avserve.exe 震荡波病毒的进程
java.exe、services.exe MyDoom 病毒的进程
svch0st.exe、expl0er、user32.exe 网银大盗的进程
dllhost.exe 冲击波病毒的进程
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒 Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒 Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛 Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒 Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒 Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒 Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手 Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林 Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush Zonealarm.exe → 将死者病毒
注意:进程名为nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系统正常的进程外,其余的凡是带
32数字你可要注意一下.这很可能就是病毒进程;Expiorer.exe → Acid Battery 你看它只和资源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之类一列不是好东西!当然我们
也要小心了例如魔波会利用SVCHOST进程(它是全大写)可怕的··
5。如何处理可疑进程
(1).试验法
将可疑进程结束后,通过“开始→搜索→文件或文件夹”,然后输入可颖进程名作为关键字对硬盘进行
搜索,找到对应的程序后,记下它的路径,将它移到U盘或软盘上,然后对电脑上的软件都运行一遍,
如果都能正常运行,说明这个进程是多余的或者是病毒,就算不是病毒把它删了也可给系统减肥。如果
有软件不能正常运行则要将它还原。
(2).搜索求救法
如果你对“不明进程”是否是病毒拿不定主意,可以把该进程的全名为关键字在百度或GOOGLE搜索
引擎上搜索,找它的相关资料看它是不是病毒,如果是则赶快删除。
(3)软件法
赶快到安全模式下去用杀毒软件吧,当然必须是升级到最新杀软!
ARP欺骗原理分析与安全防范
[ 2007-03-25 02:40:41 | 作者: sun ]
本来不打算写这接下的一系列讨论欺骗的文章(计划中有arp欺骗、icmp欺骗、路由rip欺骗、ip地址欺骗等),这主要是自己有些担心有些人会给网管增加日常工作量,但是想想还是写的好,因为通常在你猛打完补丁后,你可能觉得你的系统安全了,但是,实际上,打补丁只是安全措施里的一个很基本的步骤而已,通常一个hacker要进入你的系统,他所要做的并不是你打补丁就可以避免的,象这些欺骗都要求你必须掌握相当的网络底层知识和合理安排物理布线才可阻止得了的。特别是多种手法混用的时候,特别要说明的是:有些人往往以为会使用某些工具入侵就觉得自己是个hacker,呵呵。。其实,我认为这只是入门而已(有些是连门都找不到),通过本文,我想让人们知道,一个hacker在真正入侵系统时,他并不是依靠别人写的什么软件的。更多是靠对系统和网络的深入了解来达到这个目的。
我想我会尽可能将我知道的写出来,同时也将尽可能把防止欺骗的解决办法写出来,当然,这只是我知道的而已,如果有失误的地方,欢迎指正。呵呵。。
首先还是得说一下什么是ARP,如果你在UNIXShell下输入arp-a(9x下也是),你的输出看起来应该是这样的:
程序代码
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................
这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。
可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。
为什么要将ip转化成mac呢?呵呵。。解释下去太多了,简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip 包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别,也就是说,只有mac地址和该ip包中的mac地址相同的机器才会应答这个ip包(好象很多余,呵呵。。),因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个arp-->mac的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这 捎谝姨谧油闵系拇涫强?8位的mac地址而决定的。
通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址,如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:
“我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请报上你的mac来”
ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:
“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2”
于是,主机刷新自己的ARP缓存。然后发出该ip包。
了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样
一个例子:
一个入侵者想非法进入某台主机,他知道这台主机的火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:
1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。
2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
4、这段时间里,入侵者把自己的ip改成192.0.0.3
5、他发一个ping(icmp0)给主机,要求主机更新主机的arp转换表。
6、主机找到该ip,然后在arp表中加如新的http://www.520hack.com对应关系。
7、火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
(好象很罗嗦,呵呵。。不过这是很典型的例子)
现在,假如该主机不只提供telnet,它还提供r命令(rsh,rcopy,rlogin等)那么,所有的安全约定将无效,入侵者可以放心的使用这台主机的资源而不用担心被记录什么。
有人也许会说,这其实就是冒用ip嘛。。呵呵。。不错,是冒用了ip,但决不是ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。
上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,利用交换集线器或网桥是无法阻止ARP欺骗的,只有路由分段是有效的阻止手段。(也就是ip包必须经过路由转发。在有路由转发的情况下,ARP欺骗如配合ICMP欺骗将对网络造成极大的危害,从某种角度将,入侵者可以跨过路由监听网络中任何两点的通讯,如果有装火墙,请注意火墙有没有提示过类似:某某IP是局域IP但从某某路由来等这样的信息。详细实施以后会讨论到。)
在有路由转发的情况下,发送到达路由的ip的主机其arp对应表中,ip的对应值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主机中,http://www.520hack.com的IP对应项不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些网络软件通过交换路由ARP可以得到远程IP的MAC)
有兴趣做深入一步的朋友可以考虑这样一种情况:
假设这个入侵者很不幸的从化学食堂出来后摔了一跤,突然想到:我要经过一个路由才可以走到那台有火墙的主机!!!^^^^
于是这个不幸的入侵者开始坐下来痛苦的思考:
1、我的机器可以进入那个网段,但是,不是用192.0.0.3的IP
2、如果我用那个IP,就算那台正版192.0.0.3的机器死了,那个网络里的机器也不会把ip包丢到路由传给我。
3、所以,我要骗主机把ip包丢到路由。
通过多种欺骗手法可以达到这个目的。所以他开始这样做:
1、为了使自己发出的非法ip包能在网络上活久一点,他开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255.(ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)
2、他从贴身口袋中掏出一张软盘,这张有体温的软盘中有他以前用sniffer时保存的各种ip包类型。3、他用一个合法的ip进入网络,然后和上面一样,发个洪水包让正版的 192.0.0.3死掉,然后他用192.0.0.3进入网络。
4、在该网络的主机找不到原来的192.0.0.3的mac后,将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据,然后对网络广播说“能响应 ip为192.0.0.3的mac是我”。
5、好了,现在每台主机都知道了,一个新的MAC地址对应ip192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
6、他开始再修改软盘中的有关ICMP广播包的数据,然后发送这个包,告诉网络中的主机:“到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由哦。”
7、主机接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的ip通讯都丢给路由器。
8、不幸的入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口,用ip192.0.0.3.9、这个入侵者一把冲出芙蓉一(229),对着楼下来往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,这只是一个典型的例子,在实际操作中要考虑的问题还不只这些。
现在想想,如果他要用的是sniffer会怎样?
假如这个入侵者实在是倒霉(因为喊“一二一。。”而被女生痛殴),当他从地上爬起来后突然发现:其实我要经过好几个路由才可以到那台主机啊。。。。。这时他要怎么做?
呵呵。。。有兴趣做更深入了解的朋友可以自己构思。通常入侵者是这样做的:
1、苦思冥想六天六夜。。。。。
N、一把冲出芙蓉一(229),狂叫一声,一头栽向水泥马路。可见,利用ARP欺骗,一个入侵者可以得到:
1、利用基于ip的安全性不足,冒用一个合法ip来进入主机。
2、逃过基于ip的许多程序的安全检查,如NSF,R系列命令等。
甚至可以得到:
栽账嫁祸给某人,让他跳到黄河洗不清,永世不得超生。
那么,如何防止ARP欺骗呢?从我收集整理的资料中,我找出这几条:(欢迎补充)
1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
以下是我收集的资料,供做进一步了解ARP协议和掌握下次会说到的snifferonarpspoofing
ARP的缓存记录格式:
每一行为:
IFIndex:PhysicalAddress:IPAddress:Type
其中:IFIndex为:
1乙太网
2实验乙太网
3X.25
4ProteonProNET(TokenRing)
5混杂方式
6IEEE802.X
7ARC网
ARP广播申请和应答结构
硬件类型:协议类型:协议地址长:硬件地址长:操作码:发送机硬件地址:发送机IP地址:接受机硬件地址:接受机IP地址。
其中:协议类型为:512XEROXPUP
程序代码
513PUP地址转换
1536XEROXNSIDP
2048Internet协议(IP)
2049X.752050NBS
2051ECMA
2053X.25第3层
2054ARP
2055XNS
4096伯克利追踪者
21000BBSSimnet
24577DECMOP转储/装载
24578DECMOP远程控制台
24579DEC网IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域网桥
如果你用过NetXRay,那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个网络。
我想我会尽可能将我知道的写出来,同时也将尽可能把防止欺骗的解决办法写出来,当然,这只是我知道的而已,如果有失误的地方,欢迎指正。呵呵。。
首先还是得说一下什么是ARP,如果你在UNIXShell下输入arp-a(9x下也是),你的输出看起来应该是这样的:
程序代码
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................
这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。
可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。
为什么要将ip转化成mac呢?呵呵。。解释下去太多了,简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip 包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别,也就是说,只有mac地址和该ip包中的mac地址相同的机器才会应答这个ip包(好象很多余,呵呵。。),因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个arp-->mac的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这 捎谝姨谧油闵系拇涫强?8位的mac地址而决定的。
通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址,如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:
“我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请报上你的mac来”
ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:
“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2”
于是,主机刷新自己的ARP缓存。然后发出该ip包。
了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样
一个例子:
一个入侵者想非法进入某台主机,他知道这台主机的火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:
1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。
2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
4、这段时间里,入侵者把自己的ip改成192.0.0.3
5、他发一个ping(icmp0)给主机,要求主机更新主机的arp转换表。
6、主机找到该ip,然后在arp表中加如新的http://www.520hack.com对应关系。
7、火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
(好象很罗嗦,呵呵。。不过这是很典型的例子)
现在,假如该主机不只提供telnet,它还提供r命令(rsh,rcopy,rlogin等)那么,所有的安全约定将无效,入侵者可以放心的使用这台主机的资源而不用担心被记录什么。
有人也许会说,这其实就是冒用ip嘛。。呵呵。。不错,是冒用了ip,但决不是ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。
上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,利用交换集线器或网桥是无法阻止ARP欺骗的,只有路由分段是有效的阻止手段。(也就是ip包必须经过路由转发。在有路由转发的情况下,ARP欺骗如配合ICMP欺骗将对网络造成极大的危害,从某种角度将,入侵者可以跨过路由监听网络中任何两点的通讯,如果有装火墙,请注意火墙有没有提示过类似:某某IP是局域IP但从某某路由来等这样的信息。详细实施以后会讨论到。)
在有路由转发的情况下,发送到达路由的ip的主机其arp对应表中,ip的对应值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主机中,http://www.520hack.com的IP对应项不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些网络软件通过交换路由ARP可以得到远程IP的MAC)
有兴趣做深入一步的朋友可以考虑这样一种情况:
假设这个入侵者很不幸的从化学食堂出来后摔了一跤,突然想到:我要经过一个路由才可以走到那台有火墙的主机!!!^^^^
于是这个不幸的入侵者开始坐下来痛苦的思考:
1、我的机器可以进入那个网段,但是,不是用192.0.0.3的IP
2、如果我用那个IP,就算那台正版192.0.0.3的机器死了,那个网络里的机器也不会把ip包丢到路由传给我。
3、所以,我要骗主机把ip包丢到路由。
通过多种欺骗手法可以达到这个目的。所以他开始这样做:
1、为了使自己发出的非法ip包能在网络上活久一点,他开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255.(ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)
2、他从贴身口袋中掏出一张软盘,这张有体温的软盘中有他以前用sniffer时保存的各种ip包类型。3、他用一个合法的ip进入网络,然后和上面一样,发个洪水包让正版的 192.0.0.3死掉,然后他用192.0.0.3进入网络。
4、在该网络的主机找不到原来的192.0.0.3的mac后,将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据,然后对网络广播说“能响应 ip为192.0.0.3的mac是我”。
5、好了,现在每台主机都知道了,一个新的MAC地址对应ip192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
6、他开始再修改软盘中的有关ICMP广播包的数据,然后发送这个包,告诉网络中的主机:“到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由哦。”
7、主机接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的ip通讯都丢给路由器。
8、不幸的入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口,用ip192.0.0.3.9、这个入侵者一把冲出芙蓉一(229),对着楼下来往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,这只是一个典型的例子,在实际操作中要考虑的问题还不只这些。
现在想想,如果他要用的是sniffer会怎样?
假如这个入侵者实在是倒霉(因为喊“一二一。。”而被女生痛殴),当他从地上爬起来后突然发现:其实我要经过好几个路由才可以到那台主机啊。。。。。这时他要怎么做?
呵呵。。。有兴趣做更深入了解的朋友可以自己构思。通常入侵者是这样做的:
1、苦思冥想六天六夜。。。。。
N、一把冲出芙蓉一(229),狂叫一声,一头栽向水泥马路。可见,利用ARP欺骗,一个入侵者可以得到:
1、利用基于ip的安全性不足,冒用一个合法ip来进入主机。
2、逃过基于ip的许多程序的安全检查,如NSF,R系列命令等。
甚至可以得到:
栽账嫁祸给某人,让他跳到黄河洗不清,永世不得超生。
那么,如何防止ARP欺骗呢?从我收集整理的资料中,我找出这几条:(欢迎补充)
1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
以下是我收集的资料,供做进一步了解ARP协议和掌握下次会说到的snifferonarpspoofing
ARP的缓存记录格式:
每一行为:
IFIndex:PhysicalAddress:IPAddress:Type
其中:IFIndex为:
1乙太网
2实验乙太网
3X.25
4ProteonProNET(TokenRing)
5混杂方式
6IEEE802.X
7ARC网
ARP广播申请和应答结构
硬件类型:协议类型:协议地址长:硬件地址长:操作码:发送机硬件地址:发送机IP地址:接受机硬件地址:接受机IP地址。
其中:协议类型为:512XEROXPUP
程序代码
513PUP地址转换
1536XEROXNSIDP
2048Internet协议(IP)
2049X.752050NBS
2051ECMA
2053X.25第3层
2054ARP
2055XNS
4096伯克利追踪者
21000BBSSimnet
24577DECMOP转储/装载
24578DECMOP远程控制台
24579DEC网IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域网桥
如果你用过NetXRay,那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个网络。
专家建议网民无需恐慌灰鸽子病毒
[ 2007-03-25 02:40:26 | 作者: sun ]
熊猫烧香余热未尽,一场病毒与非病毒之争,上周起在金山与灰鸽子工作室之间展开。
金山总裁雷军日前在接受媒体采访时表示:“灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香十倍。”
记者发现病毒竟有自己网站
昨日,被称为“灰鸽子病毒产业链之首”的灰鸽子工作室在官网上发表声明称:鉴于近日某杀毒软件公司进行公关宣传时,使用了灰鸽子字样,使广大网民误以为本工作室的软件产品具有病毒特征。为了避免公众受到此类商业公关行为的误导,澄清事实。灰鸽子工作室于2003年年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均是商业化的远程控制软件,提供给网吧、企业用户及个人用户进行电脑软件管理使用;上述软件均已经取得国家颁布的计算机软件著作权登记证书,受著作权法保护。当前受到媒体关注的灰鸽子病毒,并非灰鸽子工作室的产品。
记者在其官网除看到“灰鸽子专杀工具”外,还在其左侧看到一栏“免责声明”:本站无法鉴别判断用户使用软件的用途,敬请用户合法使用本站所提供的软件。用户一旦因非法使用本站软件而违反国家法律法规,其造成的一切不良后果由行为人独立承担,本站概不负责也不承担任何法律责任。
同行直指“灰鸽子”诡辩
针对灰鸽子工作室发布声明,声称“灰鸽子是一款商业化的远程控制软件”等言论,金山却认为,该声明完全是混淆视听、愚弄公众的诡辩之词。一位业内人士却表示,随着互联网的兴起及逐渐普及,病毒传播已出现一个新的转折点,通过网络传播的第二代病毒开始出现。其本质与基于文件的第一代病毒有很大差异,它的传播基于网络、邮件和浏览器,蠕虫(worm)和木马(Trojan horse)无疑是其中的典型代表。
不过目前业内多将“木马”称为恶意程序,它们是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”,从而窃取用户的信息。在业界,一个被控制的电脑叫“肉鸡”。在国内每“只”可卖到1元左右,这样的“肉鸡”可使用几天;如果可以使用半个月以上,则可以卖到几十元。对于病毒或恶意程序的制造者和“经纪人”而言,如果控制了几十万甚至上百万台这样的“肉鸡”,盈利空间是难以想象的。
权威声音立即向公安机关报案
研究互联网多年的于国富律师,昨日接受记者采访时说道:“首先,在讨论灰鸽子问题时,先要弄清楚什么是灰鸽子。据我所知,灰鸽子是很老的一段开源程序。有很多程序员在从事这段开源程序的开发和使用,有些人从它基础上发展出了商业性的远程控制软件,另外一些人则从自身角度对其进行了某种程度的滥用。至于媒体报道的灰鸽子工作室,其商业性的远程控制软件,由于不具备自我复制、自我传播的特性,显然并不符合病毒的概念。”这类软件的生产企业有很多,就连微软生产的windows系统也有远程控制类的模块监控,但如果这个是违法的那微软肯定不会做。
于国富认为:“软件仅是一种工具,有人会用它做合法的事情,例如远程办公、远程维护等。但也会有人用它做非法的事情,如果有网民不慎被植入了灰鸽子远程监控程序,应该立即向公安机关报案,追究行为人的法律责任。实际上不管是中了木马也好、远程服务终端也好,有无对自己造成侵害,应由公安机关查处、判定。”
专家建议网民无需恐慌
瑞星和江民等反病毒厂商均对此提出异议,称该病毒存在已久,目前并未大规模爆发。上周四,国家计算机病毒应急处理中心相关工作人员也表示,目前并未监测到“灰鸽子病毒”有大规模爆发的迹象。但也表示,他们注意到了网上的相关报道,也在密切关注此事。
昨日,一位来自杀毒软件厂商的不愿透露姓名的反病毒工程师表示,近半年来并没有监测到灰鸽子病毒的大面积爆发。其中一位告诉记者,从长期的检测数据来看,这个远程控制(木马)软件的感染量较大。目前80%以上远程监控软件因具备开后门的类似“木马”的功能,因此除了被用来进行公司跨地区的远程监控外,还有一些以牟利为目的的黑客用来盗取虚拟账号及物品。“灰鸽子”只是其中的一种,只要平时注意计算机日常防护,及时升级杀毒软件的病毒库,就能有效地将之拒之门外。信报记者徐娅萍
业内说法灰鸽子产生6万多变种
金山毒霸反病毒工程师李铁军接受记者采访时说,大量网络用户因为灰鸽子提供的“远程摄像头控制”、“键盘记录”的功能而丢失网游、网银、QQ账号及密码,暴露大量个人隐私,造成了巨大损失。5年来,灰鸽子产生6万多个变种。
据其介绍,一旦用户电脑不幸感染,黑客或不法分子便可以通过控制程序随时阅读、复制、删除用户的文件,甚至是开关机、格式化磁盘等操作,可以说用户的一举一动都在黑客的监控之下,灰鸽子的使用者甚至可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头录像,拍下网友的隐私。
信报记者贺文华
【相关链接】如何手工检测灰鸽子
一位业内人士在接受记者采访时指出,既然该安全风险由来已久,也尽管危险级别不高,但如果有时间,建议没有安装或及时升级杀毒软件的用户通过以下3步进行自检:
系统进入Windows启动画面前,按下F8键,选择“Safe Mode”或“安全模式”即可。
第一步:打开“我的电脑”→选择菜单“工具”→“文件夹选项”→点击“查看”→取消“隐藏受保护的操作系统文件”前的对勾→在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”→点击“确定”。
第二步:打开Windows的“搜索文件”→文件名称输入“_hook.dll”→搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
第三步:经过搜索,在Windows目录(不包含子目录)下查找有没有文件名以“_hook.dll”结尾的文件。
要清除灰鸽子只需要我们常用的杀毒软件即可。如果遇到的变种不易被杀,清除2000/XP系统,步骤如下:
1.打开注册表→点击“开始”→“运行”并输入“Regedit.exe”,点击确定→打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2.点击菜单“编辑”→“查找”→“查找目标”输入查出的被感染的文件名,点击确定,就可以找到灰鸽子的服务项。
3.运行注册表,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,将该项删除即可。
金山总裁雷军日前在接受媒体采访时表示:“灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香十倍。”
记者发现病毒竟有自己网站
昨日,被称为“灰鸽子病毒产业链之首”的灰鸽子工作室在官网上发表声明称:鉴于近日某杀毒软件公司进行公关宣传时,使用了灰鸽子字样,使广大网民误以为本工作室的软件产品具有病毒特征。为了避免公众受到此类商业公关行为的误导,澄清事实。灰鸽子工作室于2003年年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均是商业化的远程控制软件,提供给网吧、企业用户及个人用户进行电脑软件管理使用;上述软件均已经取得国家颁布的计算机软件著作权登记证书,受著作权法保护。当前受到媒体关注的灰鸽子病毒,并非灰鸽子工作室的产品。
记者在其官网除看到“灰鸽子专杀工具”外,还在其左侧看到一栏“免责声明”:本站无法鉴别判断用户使用软件的用途,敬请用户合法使用本站所提供的软件。用户一旦因非法使用本站软件而违反国家法律法规,其造成的一切不良后果由行为人独立承担,本站概不负责也不承担任何法律责任。
同行直指“灰鸽子”诡辩
针对灰鸽子工作室发布声明,声称“灰鸽子是一款商业化的远程控制软件”等言论,金山却认为,该声明完全是混淆视听、愚弄公众的诡辩之词。一位业内人士却表示,随着互联网的兴起及逐渐普及,病毒传播已出现一个新的转折点,通过网络传播的第二代病毒开始出现。其本质与基于文件的第一代病毒有很大差异,它的传播基于网络、邮件和浏览器,蠕虫(worm)和木马(Trojan horse)无疑是其中的典型代表。
不过目前业内多将“木马”称为恶意程序,它们是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”,从而窃取用户的信息。在业界,一个被控制的电脑叫“肉鸡”。在国内每“只”可卖到1元左右,这样的“肉鸡”可使用几天;如果可以使用半个月以上,则可以卖到几十元。对于病毒或恶意程序的制造者和“经纪人”而言,如果控制了几十万甚至上百万台这样的“肉鸡”,盈利空间是难以想象的。
权威声音立即向公安机关报案
研究互联网多年的于国富律师,昨日接受记者采访时说道:“首先,在讨论灰鸽子问题时,先要弄清楚什么是灰鸽子。据我所知,灰鸽子是很老的一段开源程序。有很多程序员在从事这段开源程序的开发和使用,有些人从它基础上发展出了商业性的远程控制软件,另外一些人则从自身角度对其进行了某种程度的滥用。至于媒体报道的灰鸽子工作室,其商业性的远程控制软件,由于不具备自我复制、自我传播的特性,显然并不符合病毒的概念。”这类软件的生产企业有很多,就连微软生产的windows系统也有远程控制类的模块监控,但如果这个是违法的那微软肯定不会做。
于国富认为:“软件仅是一种工具,有人会用它做合法的事情,例如远程办公、远程维护等。但也会有人用它做非法的事情,如果有网民不慎被植入了灰鸽子远程监控程序,应该立即向公安机关报案,追究行为人的法律责任。实际上不管是中了木马也好、远程服务终端也好,有无对自己造成侵害,应由公安机关查处、判定。”
专家建议网民无需恐慌
瑞星和江民等反病毒厂商均对此提出异议,称该病毒存在已久,目前并未大规模爆发。上周四,国家计算机病毒应急处理中心相关工作人员也表示,目前并未监测到“灰鸽子病毒”有大规模爆发的迹象。但也表示,他们注意到了网上的相关报道,也在密切关注此事。
昨日,一位来自杀毒软件厂商的不愿透露姓名的反病毒工程师表示,近半年来并没有监测到灰鸽子病毒的大面积爆发。其中一位告诉记者,从长期的检测数据来看,这个远程控制(木马)软件的感染量较大。目前80%以上远程监控软件因具备开后门的类似“木马”的功能,因此除了被用来进行公司跨地区的远程监控外,还有一些以牟利为目的的黑客用来盗取虚拟账号及物品。“灰鸽子”只是其中的一种,只要平时注意计算机日常防护,及时升级杀毒软件的病毒库,就能有效地将之拒之门外。信报记者徐娅萍
业内说法灰鸽子产生6万多变种
金山毒霸反病毒工程师李铁军接受记者采访时说,大量网络用户因为灰鸽子提供的“远程摄像头控制”、“键盘记录”的功能而丢失网游、网银、QQ账号及密码,暴露大量个人隐私,造成了巨大损失。5年来,灰鸽子产生6万多个变种。
据其介绍,一旦用户电脑不幸感染,黑客或不法分子便可以通过控制程序随时阅读、复制、删除用户的文件,甚至是开关机、格式化磁盘等操作,可以说用户的一举一动都在黑客的监控之下,灰鸽子的使用者甚至可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头录像,拍下网友的隐私。
信报记者贺文华
【相关链接】如何手工检测灰鸽子
一位业内人士在接受记者采访时指出,既然该安全风险由来已久,也尽管危险级别不高,但如果有时间,建议没有安装或及时升级杀毒软件的用户通过以下3步进行自检:
系统进入Windows启动画面前,按下F8键,选择“Safe Mode”或“安全模式”即可。
第一步:打开“我的电脑”→选择菜单“工具”→“文件夹选项”→点击“查看”→取消“隐藏受保护的操作系统文件”前的对勾→在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”→点击“确定”。
第二步:打开Windows的“搜索文件”→文件名称输入“_hook.dll”→搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
第三步:经过搜索,在Windows目录(不包含子目录)下查找有没有文件名以“_hook.dll”结尾的文件。
要清除灰鸽子只需要我们常用的杀毒软件即可。如果遇到的变种不易被杀,清除2000/XP系统,步骤如下:
1.打开注册表→点击“开始”→“运行”并输入“Regedit.exe”,点击确定→打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2.点击菜单“编辑”→“查找”→“查找目标”输入查出的被感染的文件名,点击确定,就可以找到灰鸽子的服务项。
3.运行注册表,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,将该项删除即可。
简简单单,让隐藏的程序“跳”出来
[ 2007-03-25 02:40:10 | 作者: sun ]
执行一个软件,会双击其主程序。如果这个软件在很深的一个文件夹里,我们就得一层一层得打开该文件夹,找出“隐藏”在深处的程序。为了方便,我们会为这些程序在桌面上建立一个快捷方式,但是因为方便而带来的麻烦就是满屏幕的快捷方式。
不知大家是否注意到,在“开始”菜单的“运行”中输入“CMD”,会打开“命令提示符”,输入“gpedit.msc”会打开“组策略”,这些程序都存在于较深的目录中,我们只要在“运行”中输入程序名就可以直接打开该程序,那是否可以让别的程序也利用这样的方法。在“运行”中直接输入名称就可以运行呢?
其实要让程序实现这样的功能很简单,只需要改动一下“注册表”就行了。在“运行”中输入“regedit.exe”打开注册表编辑器,来到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”展开这项我们可以看到很多以程序的名称命名的项目,在“运行”中直接输入这些名称就可以打开相应的程序。我们以最常用的软件QQ为例,在“App Paths”下点右键,“新建→项”,将这个新建的项命名为“QQ.exe”,选中QQ.exe项后,在右边的窗口中会出现一个默认的键值,双击这个默认得键值,在“数值数据”一栏中输入QQ.exe的路径,例如“D:\网络\QQ2007\QQ.exe”,点确定后即可生效
我们在“运行”中输入“QQ”,回车后QQ是不是正常运行了呢。其他程序都可以使用这个方法进行设置,让我们和快捷方式说再见吧。
不知大家是否注意到,在“开始”菜单的“运行”中输入“CMD”,会打开“命令提示符”,输入“gpedit.msc”会打开“组策略”,这些程序都存在于较深的目录中,我们只要在“运行”中输入程序名就可以直接打开该程序,那是否可以让别的程序也利用这样的方法。在“运行”中直接输入名称就可以运行呢?
其实要让程序实现这样的功能很简单,只需要改动一下“注册表”就行了。在“运行”中输入“regedit.exe”打开注册表编辑器,来到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”展开这项我们可以看到很多以程序的名称命名的项目,在“运行”中直接输入这些名称就可以打开相应的程序。我们以最常用的软件QQ为例,在“App Paths”下点右键,“新建→项”,将这个新建的项命名为“QQ.exe”,选中QQ.exe项后,在右边的窗口中会出现一个默认的键值,双击这个默认得键值,在“数值数据”一栏中输入QQ.exe的路径,例如“D:\网络\QQ2007\QQ.exe”,点确定后即可生效
我们在“运行”中输入“QQ”,回车后QQ是不是正常运行了呢。其他程序都可以使用这个方法进行设置,让我们和快捷方式说再见吧。
隐藏在Ghost系统背后可怕的陷阱
[ 2007-03-25 02:39:54 | 作者: sun ]
如今世面上和网上流行各种windowsxp系统万能ghost安装光盘和文件,使用起来也确实方便,安装一个系统只需要恢复下ghost镜像文件,装点驱动,断断十多分钟就完成了。但是各种万能ghost版本系统光盘其中有精品,也有垃圾,更有暗留了后门的陷阱!
一、xp万能ghost系统分析:
万能ghost系统制作时,是在安装成功后删除windows自带的多余文件,并且删除硬件信息,然后进行系统封装。如果在安装前,制作者有意将某个系统文件替换成木马后门,或者在系统中打开某些端口,开启某些危险服务,留下某些空口令帐户,那么制作出来的ghost系统就会存在各种安全漏洞。这些ghost系统流传出去后使用这些系统的用户可能被作者控制为肉鸡。。。
二、ghost版系统常见漏洞一览:
1:空密码远程桌面漏洞,可以用空密码进行3389远程登陆,可以远程进行任务系统操作。用途利用3389漏洞刷q币,盗取adsl密码账号等等。
2:隐藏共享漏洞,任何用户都可以访问共享,非默认的ipc$共享,可以发现共享权限为everyone完全控制。用途很多,guest组用户也可以格式化你的硬盘。
3:administrator用户密码漏洞,不多做介绍了。
4:起用危险服务,在服务工具中可以发现很多危险服务都被打开,并且远程选项卡中允许用户远程连接到此计算机被启动。
5:防火墙作过手脚,在系统防火墙可看到默认未开启允许通过的项目都被勾选。
6:流氓软件与后门木马,私自为用户安装很多流氓软件。更恐怖的是将系统文件换成灰鸽子木马!(并且现在有克隆系统文件版本信息的软件,可以把木马文件伪装的外表上看上去和系统文件一样包括标识大小标注等等!)
三、危险ghostxp系统版本检测
目前已知有问题的版本列表如下:
1:番茄花园系列番茄花园windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木风系列雨林木风ghostwinxp2v2.0装机版纯净会员版y1.7v1.85以及新版本
3:东海电脑公司版ghostxp_sp2电脑公司特别版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系统属性对话框中查看自己系统版本判断是否存在问题,网上流传的其他ghost系统版本也或多或少的存在如上的安全问题!请谨慎使用!
一、xp万能ghost系统分析:
万能ghost系统制作时,是在安装成功后删除windows自带的多余文件,并且删除硬件信息,然后进行系统封装。如果在安装前,制作者有意将某个系统文件替换成木马后门,或者在系统中打开某些端口,开启某些危险服务,留下某些空口令帐户,那么制作出来的ghost系统就会存在各种安全漏洞。这些ghost系统流传出去后使用这些系统的用户可能被作者控制为肉鸡。。。
二、ghost版系统常见漏洞一览:
1:空密码远程桌面漏洞,可以用空密码进行3389远程登陆,可以远程进行任务系统操作。用途利用3389漏洞刷q币,盗取adsl密码账号等等。
2:隐藏共享漏洞,任何用户都可以访问共享,非默认的ipc$共享,可以发现共享权限为everyone完全控制。用途很多,guest组用户也可以格式化你的硬盘。
3:administrator用户密码漏洞,不多做介绍了。
4:起用危险服务,在服务工具中可以发现很多危险服务都被打开,并且远程选项卡中允许用户远程连接到此计算机被启动。
5:防火墙作过手脚,在系统防火墙可看到默认未开启允许通过的项目都被勾选。
6:流氓软件与后门木马,私自为用户安装很多流氓软件。更恐怖的是将系统文件换成灰鸽子木马!(并且现在有克隆系统文件版本信息的软件,可以把木马文件伪装的外表上看上去和系统文件一样包括标识大小标注等等!)
三、危险ghostxp系统版本检测
目前已知有问题的版本列表如下:
1:番茄花园系列番茄花园windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木风系列雨林木风ghostwinxp2v2.0装机版纯净会员版y1.7v1.85以及新版本
3:东海电脑公司版ghostxp_sp2电脑公司特别版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系统属性对话框中查看自己系统版本判断是否存在问题,网上流传的其他ghost系统版本也或多或少的存在如上的安全问题!请谨慎使用!
彻底保护你的网站不受RDS攻击的威胁
[ 2007-03-25 02:39:41 | 作者: sun ]
最迅速和最彻底的取消对RDS的支持。(但是如果你确实需要RDS,那么你最好往下读)
----------------------------------------------------------------------
-
----[ 1. 问题
RDS攻击不是一个简单的问题,虽然IIS 4.0存在许多各种各样的安全漏洞,
但是微软从来没有为同一个安全漏洞发布过如此多的补丁程序,一共是发布了三个不同的补丁程序,但是RDS仍然存在问题。
所以我们需要的是真正掌握什么是RDS。然后你就会知道如何来自己修补
这个问题。这个问题从根本上说,是由于Jet 3.5允许调用VBA的shell()函数造成的。
该函数允许你执行外壳命令,具体的过程我想还是不详细介绍了。
现在的问题是,IIS 4.0默认的情况下是安装有MDAC 1.5的,它包含有RDS,
从而允许通过浏览器远程访问ODBC组件,具体的实现是通过一个位
于/msadc/msadcs.dll
的特定的dll文件来实现的。现在你应该可以明白,问题其实是由两部分组成。其实还有个“第三者”,那就是跟随RDS SDK包安装附带的例子程序组件VbBusObj,它可以允许你
饶过那些就是已经安装了微软发布的RDS补丁的情况。
下面将分别就上面三种情况做详细的解决方案描述。
----[ 2. 解决方案
问题是目前有许多种方法来解决,同时这些方法还可以被不同的组合使用。
在这里尽量描述详细。
-解决方案 #1: 移走cmd.exe (ULG推荐的补丁方法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html
我推荐ULG的解决方法,虽然该方法仍然存在问题。因为虽然mdac.pl是使用了
cmd.exe
来实现RDS攻击的,但是,要知道
CMD.EXE并不是RDS攻击方法的唯一实现途径
-解决方案 #2: 升级MDAC 1.5 到 2.0
MDAC 2.0将Jet 3.5升级到Jet 3.52。但是仍然存在VBA shell()攻击问题(而这恰好是
RDS攻击的必要条件),并且默认情况下还是支持使用RDS的。事实上,就是你删除了RDS系统还是会重新安装的,其中一些应该注意的事情是:
* 默认的Jet引擎变成了3.52 (仍然有安全漏洞)
* 允许自定义处理 (可以解决匿名RDS使用问题)
* 生成 Microsoft.Jet.OLEDB.3.51* 提供
注意这种解决方法,它的默认设置不是非常好。你需要修改注册表来限制自定义使用RDS处理。注册表中位置是:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo\
Keyname: HandlerRequired
Value: DWORD:1 (safe) or 0 (unsafe)
推荐是将它的数值改成1。这其实也是使用微软提供的补丁'handsafe.exe/.reg'完成的。
现在,你可以保护你的系统不被远程RDS攻击了,但是你仍然存在被ODBC其他方式攻击的可能性,
包括Excel, Word, 和 Access木马文件等。所以这个解决方案也有一些不足。
-解决方案 #3: 升级你的MDAC 1.5 到 2.1
MDAC 2.1 将Jet 3.5 升级到Jet 4.0引擎,这个引擎不存在RDS攻击安全漏洞。
但是同时也印证了一个亘古不变的法则,东西越安全它的兼容性能也就越差,
由于3.5和4.0之间存在太大的差异,许多人不愿意为了这些兼容性能而升级。
因为一旦升级后许多现在正在使用的程序将完全不能够使用。具体细节是:
* 默认的数据库引擎为Jet 4.0 (没有这个安全漏洞)
* 支持自定义处理 (可以禁止匿名使用RDS)
但是,自定义处理默认的情况下并不是使用的。你同样需要象上面一样来修改注册表。
-解决方案 #4: 升级你的MDAC 1.5到2.0,然后再到2.1
现在,如果你是一个优秀的管理员,你应该保证你一直升级你的系统。如果你经常升级,就应该服从按顺序升级的次序。虽然同样你需要修改注册表使
能'HandlerRequired'
,同样由于使用了2.1的Jet 4.0(没有漏洞)作为默认的数据库引擎。但是由于你是通过
从2。0的升级,所以你将拥有Microsoft.Jet.OLEDB.3.51.
这意味着你的运用程序(包括RDS)对数据库的调用情况都能够被日志记录下来。而那些
老版本的OLEDB是实现不了的。
你应该从注册表中将老的hooks/providers数值去掉。一个方法是删除下面的键值入口:
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51Errors
但是,你仍然需要面对的问题是兼容性能问题。
-解决方案 #5: 安装JetCopkg.exe (见微软发布的安全公告MS99-030)
JetCopkg.exe是一个修改过的Jet 3.5引擎,它增强了更多的安全特性来防止被攻击。
它主要是对注册表中下列键值的修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\engines\SandboxMode
它的值如下:
0 禁止一切
1 使能访问ACCESS,但是禁止其它
2 禁止访问ACCESS,但是使能其他
3 使能一切
(详细的解释可以参考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注意的是,默认的允许修改键值权限是不安全的。你必须只能够让有权限的
帐号才能够修改该键值。不然该键值会带来很多安全上的隐患。切记,切记。
只要将键值该成2或则3就可以将一切对RDS的攻击拒绝了。所以,这个解决方案是最好的。
并且由于它仍然使用的是Jet 3.5引擎,所以你不用担心兼容性能的问题。并且同时你还是可以
使用RDS的,虽然已经不能够再使用RDS进行攻击了,但是问题是匿名使用RDS还是会将你的数据库中的信息给
泄露出去的。所以你需要对RDS有较深入的编程基础,我可以建议你禁止使用RDS或则将ODBC升级到
MDAC 2.0,这样你就可以只让有权限的人才能够使用RDS,而拒绝匿名用户使用。
-解决方案 #6: 删除/禁止RDS功能
就是我在本文最开始的位置提到的方法,删除下面这个文件:
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的调用接口。下面是一些更详细彻底清除RDS(如果你确信你的网站不需要该功能的话)的步骤:
* 从IIS控制台删除/msadc虚拟目录
* 删除下面的注册表键值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 删除下面这个文件目录
?:\Program Files\Common Files\System\Msadc
----[ 3. 情况
-情况 #1: 我确实需要RDS
首先你需要升级你的系统到MDAC 2.0。记住别忘了安装JetCopkg,或者你直接升级到MDAC 2.1.
确保你修改了'HandlerRequired'注册表中的数值,解释见上。同时确保你已经删除了所有的
RDS的例子程序。同时取消匿名帐号对/msadc目录的访问权限,而使用自定义帐号来进行处理。
详细的步骤可以参考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
-情况 #2:我还是想使用那些例子该怎么办?
那么唯一的方法就是你必须禁止匿名帐号对RDS的访问权限。但是例子中的
VbBusObjcls会跳过自定义
访问的限制,如果例子是安装在
?:\Program Files\Common Files\System\Msadc\Samples
的话,那么你应该按照下面的步骤来解决:
*删除下面这个目录下所有的东西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 删除注册表中的键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls
----------------------------------------------------------------------
-
----[ 1. 问题
RDS攻击不是一个简单的问题,虽然IIS 4.0存在许多各种各样的安全漏洞,
但是微软从来没有为同一个安全漏洞发布过如此多的补丁程序,一共是发布了三个不同的补丁程序,但是RDS仍然存在问题。
所以我们需要的是真正掌握什么是RDS。然后你就会知道如何来自己修补
这个问题。这个问题从根本上说,是由于Jet 3.5允许调用VBA的shell()函数造成的。
该函数允许你执行外壳命令,具体的过程我想还是不详细介绍了。
现在的问题是,IIS 4.0默认的情况下是安装有MDAC 1.5的,它包含有RDS,
从而允许通过浏览器远程访问ODBC组件,具体的实现是通过一个位
于/msadc/msadcs.dll
的特定的dll文件来实现的。现在你应该可以明白,问题其实是由两部分组成。其实还有个“第三者”,那就是跟随RDS SDK包安装附带的例子程序组件VbBusObj,它可以允许你
饶过那些就是已经安装了微软发布的RDS补丁的情况。
下面将分别就上面三种情况做详细的解决方案描述。
----[ 2. 解决方案
问题是目前有许多种方法来解决,同时这些方法还可以被不同的组合使用。
在这里尽量描述详细。
-解决方案 #1: 移走cmd.exe (ULG推荐的补丁方法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html
我推荐ULG的解决方法,虽然该方法仍然存在问题。因为虽然mdac.pl是使用了
cmd.exe
来实现RDS攻击的,但是,要知道
CMD.EXE并不是RDS攻击方法的唯一实现途径
-解决方案 #2: 升级MDAC 1.5 到 2.0
MDAC 2.0将Jet 3.5升级到Jet 3.52。但是仍然存在VBA shell()攻击问题(而这恰好是
RDS攻击的必要条件),并且默认情况下还是支持使用RDS的。事实上,就是你删除了RDS系统还是会重新安装的,其中一些应该注意的事情是:
* 默认的Jet引擎变成了3.52 (仍然有安全漏洞)
* 允许自定义处理 (可以解决匿名RDS使用问题)
* 生成 Microsoft.Jet.OLEDB.3.51* 提供
注意这种解决方法,它的默认设置不是非常好。你需要修改注册表来限制自定义使用RDS处理。注册表中位置是:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo\
Keyname: HandlerRequired
Value: DWORD:1 (safe) or 0 (unsafe)
推荐是将它的数值改成1。这其实也是使用微软提供的补丁'handsafe.exe/.reg'完成的。
现在,你可以保护你的系统不被远程RDS攻击了,但是你仍然存在被ODBC其他方式攻击的可能性,
包括Excel, Word, 和 Access木马文件等。所以这个解决方案也有一些不足。
-解决方案 #3: 升级你的MDAC 1.5 到 2.1
MDAC 2.1 将Jet 3.5 升级到Jet 4.0引擎,这个引擎不存在RDS攻击安全漏洞。
但是同时也印证了一个亘古不变的法则,东西越安全它的兼容性能也就越差,
由于3.5和4.0之间存在太大的差异,许多人不愿意为了这些兼容性能而升级。
因为一旦升级后许多现在正在使用的程序将完全不能够使用。具体细节是:
* 默认的数据库引擎为Jet 4.0 (没有这个安全漏洞)
* 支持自定义处理 (可以禁止匿名使用RDS)
但是,自定义处理默认的情况下并不是使用的。你同样需要象上面一样来修改注册表。
-解决方案 #4: 升级你的MDAC 1.5到2.0,然后再到2.1
现在,如果你是一个优秀的管理员,你应该保证你一直升级你的系统。如果你经常升级,就应该服从按顺序升级的次序。虽然同样你需要修改注册表使
能'HandlerRequired'
,同样由于使用了2.1的Jet 4.0(没有漏洞)作为默认的数据库引擎。但是由于你是通过
从2。0的升级,所以你将拥有Microsoft.Jet.OLEDB.3.51.
这意味着你的运用程序(包括RDS)对数据库的调用情况都能够被日志记录下来。而那些
老版本的OLEDB是实现不了的。
你应该从注册表中将老的hooks/providers数值去掉。一个方法是删除下面的键值入口:
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51Errors
但是,你仍然需要面对的问题是兼容性能问题。
-解决方案 #5: 安装JetCopkg.exe (见微软发布的安全公告MS99-030)
JetCopkg.exe是一个修改过的Jet 3.5引擎,它增强了更多的安全特性来防止被攻击。
它主要是对注册表中下列键值的修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\engines\SandboxMode
它的值如下:
0 禁止一切
1 使能访问ACCESS,但是禁止其它
2 禁止访问ACCESS,但是使能其他
3 使能一切
(详细的解释可以参考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注意的是,默认的允许修改键值权限是不安全的。你必须只能够让有权限的
帐号才能够修改该键值。不然该键值会带来很多安全上的隐患。切记,切记。
只要将键值该成2或则3就可以将一切对RDS的攻击拒绝了。所以,这个解决方案是最好的。
并且由于它仍然使用的是Jet 3.5引擎,所以你不用担心兼容性能的问题。并且同时你还是可以
使用RDS的,虽然已经不能够再使用RDS进行攻击了,但是问题是匿名使用RDS还是会将你的数据库中的信息给
泄露出去的。所以你需要对RDS有较深入的编程基础,我可以建议你禁止使用RDS或则将ODBC升级到
MDAC 2.0,这样你就可以只让有权限的人才能够使用RDS,而拒绝匿名用户使用。
-解决方案 #6: 删除/禁止RDS功能
就是我在本文最开始的位置提到的方法,删除下面这个文件:
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的调用接口。下面是一些更详细彻底清除RDS(如果你确信你的网站不需要该功能的话)的步骤:
* 从IIS控制台删除/msadc虚拟目录
* 删除下面的注册表键值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 删除下面这个文件目录
?:\Program Files\Common Files\System\Msadc
----[ 3. 情况
-情况 #1: 我确实需要RDS
首先你需要升级你的系统到MDAC 2.0。记住别忘了安装JetCopkg,或者你直接升级到MDAC 2.1.
确保你修改了'HandlerRequired'注册表中的数值,解释见上。同时确保你已经删除了所有的
RDS的例子程序。同时取消匿名帐号对/msadc目录的访问权限,而使用自定义帐号来进行处理。
详细的步骤可以参考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
-情况 #2:我还是想使用那些例子该怎么办?
那么唯一的方法就是你必须禁止匿名帐号对RDS的访问权限。但是例子中的
VbBusObjcls会跳过自定义
访问的限制,如果例子是安装在
?:\Program Files\Common Files\System\Msadc\Samples
的话,那么你应该按照下面的步骤来解决:
*删除下面这个目录下所有的东西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 删除注册表中的键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls
"熊猫烧香"告一段落 资深黑客为"灰鸽子"支招防毒
[ 2007-03-25 02:39:29 | 作者: sun ]
黑色产业链”说引发恐慌
沸沸扬扬的“熊猫烧香”病毒事件刚刚告一段落,一个名叫“灰鸽子”的病毒及其变种再次引发恐慌。金山公司总裁雷军日前在接受媒体采访时表示,“灰鸽子”背后是一条制造、贩卖、培训病毒为一体的“黑色产业链”。雷军此言一出,立刻引发网民集体恐慌。
晨报记者昨日与上海信息化服务热线反病毒工程师汪浩取得联系,他介绍,“目前‘灰鸽子’的投诉情况尚不严重,据我们所知,金山公司发表此次言论,与金山公司网站被黑有关,瑞星、江民等杀毒软件公司并未对该软件特别重视。”据悉,从3月14日晚10时开始,不明身份黑客组成庞大的“计算机僵尸网络”,向金山毒霸官方网站进行了疯狂攻击。事发3小时之后,毒霸官网才恢复正常。
金山公司公关部黄菁昨日下午告诉晨报记者,事发后,有一不明身份男子致电金山公司,自称来自“灰鸽子工作室”,威胁金山公司程序员说“(追查)再进行下去后果自负”。随后,金山公司发表了针对远程控制软件商“灰鸽子”病毒的有关言论,该工作室随即在主页声明相关病毒与自己无关,认为金山公司言论属“公关宣传”。金山公司针对该声明,撰文《四问“灰鸽子工作室”》进行反驳。
汪浩认为,引发这次纠纷和恐慌的病毒,并非“灰鸽子工作室”的商用软件,而是黑客将相关软件改成变种病毒,对金山公司网站发动攻击。
上海网民16万元网上被盗
上海某美资软件公司总经理蔡中3月10日发现,自己的网上银行账户中16万余元人民币不翼而飞。经查,被盗的款项全部被转入云南的一个账户,后又被多次转账,目前已经“蒸发”在茫茫网海之中。有关部门认为,蔡中的电脑可能被人“安放”木马病毒,通过“网络后门”盗走了资金。
网络银行用户在使用网银时,均安装了银行方面提供的控件,但在“灰鸽子”等网络木马病毒泛滥的今天,控件到底能否彻底保证用户财产的安全?昨日下午,晨报记者拨通沪上一家银行信用卡服务热线,客服小姐针对这一问题的回应是:银行的安全控件并不能完全保证网银的安全,“用户需要就电脑杀毒软件安装的相关问题咨询技术人员,保证自己的电脑不被病毒感染,否则就可能被人盗窃财产。”
客服小姐介绍,如果客户财产被黑客盗走,公司会对资金去向进行查证,如果确定是因为病毒盗号原因造成用户财产损失,“会给予用户一定程度补偿”。她没有透露具体的补偿金额比例。
黑客描述“灰鸽子”的厉害
昨日傍晚,资深黑客“冰刀”面对晨报记者,解析了“灰鸽子”之类木马软件的使用方法。“我曾经看过‘灰鸽子’的部分代码,这个软件在目前基本算是最厉害的木马程序,其设计已经到了‘所见即所得’的水平,与最初的一边‘黑’别人,一边还要输代码的木马程序有很大不同。”
“冰刀”演示说,“灰鸽子”客户端(黑客使用端)界面的主要内容有远程文件、控制命令、注册表、命令广播等部分,黑客可以每过一段时间就扫描网上的IP地址,看有多少电脑已经感染了“灰鸽子”木马程序,然后就可以实现远程控制功能。“几乎就像在本地使用别人家的电脑一样,可以实现复制、粘贴、修改、删除等许多功能。我在本地可以看到被感染电脑的屏幕,并操纵对方的QQ程序。有一次我关掉了对方的QQ,对方居然又打开了QQ并输入密码,此时他的密码立刻被我安装的键盘记录软件传了过来……用同样的方法,可以盗取用户的网络银行账号等信息。”
“冰刀”经历了网络木马病毒的全部发展进程,“目前的木马程序已经比最初厉害了很多,而且种类繁多,只要一种病毒开放了代码,很快就会被其他黑客修改成变种,最后变得不可收拾。这种情况的一个重要原因,就是各大院校学程序设计的毕业生越来越多,有些年轻人的一大兴趣就是黑别人的机器!”
[黑客忠告]
多种措施防御“灰鸽子”
黑客“冰刀”介绍,用户加强安全防范意识,必须了解病毒传播机理。他针对“灰鸽子”的传播方式,向晨报读者提出了几点防御木马建议。
●操作系统打补丁
由于WINDOWSXP等操作系统存在许多漏洞,很容易被木马发布者利用,因此,用户必须及时下载操作系统补丁,这可以有效防范“灰鸽子”等木马病毒。
●对杀毒软件进行科学搭配
在目前的网络环境下,一种杀毒软件往往不能彻底防御网络入侵。需要科学搭配杀毒软件,目前比较有效的防毒软件搭配是卡巴斯基+360安全卫士。
●调整IE选项
由于目前许多病毒通过IE浏览器的临时文件传播,应该把IE“internet选项”的安全、隐私防御级别调到最高。
●提高防范意识
用户最好学习一定的计算机知识,并以此为基础提高防范意识。感染病毒后,鼠标出现莫明其妙的移动、机器运行缓慢、出现弹出窗口,都要引起警惕。下载程序时,如果实际下载的文件大小只有几十K,应该考虑这是否是病毒。
善于利用代码实现对 IP 的访问限制
[ 2007-03-25 02:39:14 | 作者: sun ]
这是以前用ASP写的,本想改成ASP.net的给大家,后来想大家能看懂算法就行了。IP比对的关键是IP地址的线性化,下面就是代码。
'可以进入的ip
'218.7.44.0 - 218.7.45.253
'61.180.240.0 - 61.180.240.253
'202.118.208.0 - 202.118.223.253
'
'218.7.44.0 3657903103
'218.7.45.253 3657903612
'
'61.180.240.0 1035268095
'61.180.240.253 1035268348
'
'202.118.208.0 3396784127
'202.118.223.253 3396788220
ip=request.servervariables("remote_addr")
sip=split(ip,".")
num=cint(sip(0))*256*256*256+cint(sip(1))*256*256+cint(sip(2))*256+cint(sip(3))-1
response.write(ip)
response.write("<br>")
if ((num>=3657903103 and num<=3657903612) or (num>=1035268095 and num<=1035268348)
or (num>=3396784127 and num<=3396788220)) then
response.write("抱歉,您的ip不合法!")
response.End()
else
response.write("您的ip合法")
end if
