许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。
网络安全第一线:禁用没用的服务
Windows提供了许许多多的服务,其实有许多我们是根本也用不上的。或许你还不知道,有些服务正为居心叵测的人开启后门。
Telnet就是一个非常典型的例子!让我们先看看在Windows2000的服务中是怎么解释的:“允许远程用户登录到系统并且使用命令行运行控制台程序。”你说,这样的服务,你需要吗?我个人建议禁止该服务。
还有一个值得一提的就是NetBIOS.对于他的功能,本文就不做过多地介绍了。从前,我从没有注意到该服务,直到我在学习网络监听和隐藏时才发现该项服务存在极大的安全隐患!因此,我个人建议禁止该服务。
Windows还有许多服务,在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务(Windows 9x的用户,可以用新版的优化大师禁用服务)。禁用不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度,何乐而不为呢?
网络安全第二线:打补丁
Microsofe公司时不时就会在网上免费提供一些补丁,有时间可以去打打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。
本人不赞成将所有补丁都打上。因为,这样无形中就增加了Windows的负担。特别是用户根本不用的服务的相关补丁,根本没有打的必要!因此,我建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。
网络安全第三线:反病毒监控
我有深刻的体会:我的反病毒监控一个月至少能在我上网时截获3个或更多的病毒。可见,网上病毒实在太多了。一不小心,就会被感染。
我认为最好还是选择国产反病毒软件。有的人喜欢追求国际权威,当然我不是否认国际权威反病毒软件的防毒能力。但是,不知道大家有没有听过“远水不能救近火”这句话呢?当然,国际权威对付国际上流行的病毒是绝对没问题的,但是对付本国土生土长的病毒呢?恐怕就不一定行了。况且,国际权威往往还会存在这样的两个问题:第一,全世界的黑客都以攻破国际权威反病毒软件的防线为荣;第二,国际权威防病毒软件会不会为未来战争留下后门呢?
反病毒软件不是拿来听的,也不是拿来看的!用反病毒软件的根本目的是防病毒!所以,上述所讲的内容请大家三思。另外,安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。
网络安全第四线:网络防火墙
对于怎样选择网络防火墙方面,我个人认为除了上面讲的选择国产品牌外,我还补充一点:选择功能强大而不起眼的产品。为什么要这样呢?主要原因还是为了安全。正所谓树大好招风,那些被所有人都认可产品固然功能强大,但是却树敌太多。每一位听说过它的黑客都想攻破它。你说,这样的安全性还能高吗?
因此,我建议选择功能强大而不起眼的产品。
或许,你会问,为什么我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品呢?
其实,原因很简单,制作好的反病毒软件技术要比制作好的网络防火墙要难得多!大家可以想想,现在让人放心的反病毒软件所有品牌都是经过千锤百炼出来的。国际上有Norton、PC-cillin等,国内有瑞星、杀毒王,他们这品牌创立的多久?经历了多少风风雨雨?反病毒技术不是说一朝一夕就能成熟的,因此我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品。
网络安全第五线:数据备份
数据备份我就不想多说了,不过我建议用Ghost进行备份。有条件的朋友可以将备份刻录到光盘中。这样就可以在必要时毫不费力的恢复自己的数据。
专家教你QQ聊天防盗五大绝招
[ 2007-03-25 04:06:37 | 作者: sun ]
你被盗过QQ吗?我被盗过。而且如果密码保护没有设置,或者是自己忘记了,QQ找回密码非常困难。而QQ对于经常上网的用户来说却非常重要,上面有大量的朋友信息,一旦丢失,费时、费力,还找来很多不必要的麻烦。怎样让自己的QQ不容易被盗呢?今天在ZOL论坛“拒绝浪漫”为我们分享了QQ防盗的五大绝招,和大家分享一下:
最近,盗QQ的卑鄙小人泛滥!一不小心就会中招!我们要提高自己的安全意识!
1.要安装好的杀毒软件和好的防火墙!别忘了经常更新啊!(卡巴斯基除了占资源多以外还是不错的,防火墙我一直用天网,除了天网还有好多好的,如blackice……)
2.最好还要装上扫描木马的软件!(木马清道夫、木马克星等)
3.注意不要上一些不知名的网站!
4.在网上下载的东西要注意杀毒,不要轻易的运行!有些垃圾把后门程序绑定在文件里。不要相信网上下载的东西!
5.及时更新系统,打好补丁!
注:如果qq提示你:在别处登陆,被迫下线!
请马上上线更改密码!
最好申请密码保护!
在公共计算机上登陆qq后,退出时请把自己qq的文件夹删掉!(最好不要在公共计算机使用自己的qq)
巧妙防止QQ密码被盗的五个绝招:
第一招:复制粘贴防木马
每次登录QQ前,新建一个文本文件,并键入密码后复制,关闭文本文件后(不要保存)打开QQ,用“Ctrl+V”把密码粘贴到密码栏里,这样可以防范绝大部分的QQ木马。
第二招:常换密码保安全
登录QQ时使用一个密码,使用完毕后在“新口令”栏中输入另一个密码,所以可以准备两个常用的密码,也可以防范大多数的QQ木马。
第三招:移花巧接木
如果中了键盘记录机,那么你可以参考这种方法。假如你的QQ密码是“5009”,在输入时不要按顺序一次输入,这样键盘会被木马直接记录下来,你可以先输入“509”,然后把光标移到“5”后面再输入“0”,这样你输入的密码依然是“5009”,但在“木马”看来你输入的就是“5090”,这样密码就被保护了。
第四招:隐私保护显神通
隐私保护设置
可以借助有隐私保护功能的杀毒软件,以KV2004为例。首先应当把“实时监控”中的“隐私保护监视”打上勾。然后点击“工具→选项→实时监控”,点开“隐私保护设置”,弹出“隐私信息设置”窗口,在“检测到秘密信息后处理方式”中选择,“禁止发送私密信息”。
在选择完处理方式后,就可以单击“增加”按钮选择要保护的信息类型,然后填入相关信息,按“确定”后,个人隐私内容即可得到很好的保护了。
这样也可以有效保护你的密码。
第五招:暗战超级密文
用一个16进制的编辑器,譬如UltraEdit,新建一个10个字节的文件,输入“B92CB92CB92CB92C”,将其保存为Test.txt。如果你用记事本打开这个Test.txt,你什么也看不到,因为这都是不可见的字符,但是可以使用快捷键“Ctrl+A”,将其全部选中,然后“Ctrl+C”复制。这时,剪贴板的内容就可以作为你的密码了,直接在密码栏按“Ctrl+V”,密码就输入进去了。
看到这里,也许你会问,这也没什么奇怪的地方啊?你再打开写字板,把剪贴板里的内容“Ctrl+V”一下。你看,不一样了吧?你会发现里面出现了4个“?”符号,奇怪吧,不仅在写字板里这样,在Word或WPS以及网页里,都会有同样的效果。明白了吧,如果有人知道了你的“密码找回”并试图使用的话,他会在返回的网页里看见几个“?”符号,错误的认为那就是密码,这样当然是进不去QQ的了。这里笔者只是做一个例子,实际上每一个B92C的组合都会产生一个“?”(真正的“?”符号的ASCLL码是63),而是要有一个组合就可以起到保密的作用,其余的字节你可以随意填写,这样就不怕你的密码被人偷盗了。
最近,盗QQ的卑鄙小人泛滥!一不小心就会中招!我们要提高自己的安全意识!
1.要安装好的杀毒软件和好的防火墙!别忘了经常更新啊!(卡巴斯基除了占资源多以外还是不错的,防火墙我一直用天网,除了天网还有好多好的,如blackice……)
2.最好还要装上扫描木马的软件!(木马清道夫、木马克星等)
3.注意不要上一些不知名的网站!
4.在网上下载的东西要注意杀毒,不要轻易的运行!有些垃圾把后门程序绑定在文件里。不要相信网上下载的东西!
5.及时更新系统,打好补丁!
注:如果qq提示你:在别处登陆,被迫下线!
请马上上线更改密码!
最好申请密码保护!
在公共计算机上登陆qq后,退出时请把自己qq的文件夹删掉!(最好不要在公共计算机使用自己的qq)
巧妙防止QQ密码被盗的五个绝招:
第一招:复制粘贴防木马
每次登录QQ前,新建一个文本文件,并键入密码后复制,关闭文本文件后(不要保存)打开QQ,用“Ctrl+V”把密码粘贴到密码栏里,这样可以防范绝大部分的QQ木马。
第二招:常换密码保安全
登录QQ时使用一个密码,使用完毕后在“新口令”栏中输入另一个密码,所以可以准备两个常用的密码,也可以防范大多数的QQ木马。
第三招:移花巧接木
如果中了键盘记录机,那么你可以参考这种方法。假如你的QQ密码是“5009”,在输入时不要按顺序一次输入,这样键盘会被木马直接记录下来,你可以先输入“509”,然后把光标移到“5”后面再输入“0”,这样你输入的密码依然是“5009”,但在“木马”看来你输入的就是“5090”,这样密码就被保护了。
第四招:隐私保护显神通
隐私保护设置
可以借助有隐私保护功能的杀毒软件,以KV2004为例。首先应当把“实时监控”中的“隐私保护监视”打上勾。然后点击“工具→选项→实时监控”,点开“隐私保护设置”,弹出“隐私信息设置”窗口,在“检测到秘密信息后处理方式”中选择,“禁止发送私密信息”。
在选择完处理方式后,就可以单击“增加”按钮选择要保护的信息类型,然后填入相关信息,按“确定”后,个人隐私内容即可得到很好的保护了。
这样也可以有效保护你的密码。
第五招:暗战超级密文
用一个16进制的编辑器,譬如UltraEdit,新建一个10个字节的文件,输入“B92CB92CB92CB92C”,将其保存为Test.txt。如果你用记事本打开这个Test.txt,你什么也看不到,因为这都是不可见的字符,但是可以使用快捷键“Ctrl+A”,将其全部选中,然后“Ctrl+C”复制。这时,剪贴板的内容就可以作为你的密码了,直接在密码栏按“Ctrl+V”,密码就输入进去了。
看到这里,也许你会问,这也没什么奇怪的地方啊?你再打开写字板,把剪贴板里的内容“Ctrl+V”一下。你看,不一样了吧?你会发现里面出现了4个“?”符号,奇怪吧,不仅在写字板里这样,在Word或WPS以及网页里,都会有同样的效果。明白了吧,如果有人知道了你的“密码找回”并试图使用的话,他会在返回的网页里看见几个“?”符号,错误的认为那就是密码,这样当然是进不去QQ的了。这里笔者只是做一个例子,实际上每一个B92C的组合都会产生一个“?”(真正的“?”符号的ASCLL码是63),而是要有一个组合就可以起到保密的作用,其余的字节你可以随意填写,这样就不怕你的密码被人偷盗了。
计算机密码的安全设定技巧
[ 2007-03-25 04:06:24 | 作者: sun ]
最好的密码应该是这样的,比如说:
*z9Hi31/i0DsoK)B:\
当然你可以再加几位
设密码有几个要点就是:
1、密码的位数不要短于6位,使用大写字母和小写字母、标点和数字的集合
2、不要以任何单词、生日、数字、手机号做为密码,这种太容易就能破解了,比如说生日吧,看似有8位,但我们一般都是出生在19XX的,一年只有12个月,一个月最多只有31天,XXX,不要几分钟就可以试出来,还不需要程序来算了
3、密码中的英文最好有大小之分
4、如果在程序允许的情况下,最好能加上英文半角的符号
5、不要用a、b、c等比较小顺序的字母或数字开头,因为用字典暴力破解的程序,一般都是从数字或英文字母排序开始算的,如果设为z的话,破解的机率就小很多
6、因为这种无规律性的密码不好记忆,有种比较简单的方法,比如说你的密码是blueidea吧,首先加头,在前面加一个$号,就成为了$blueidea,然后就是加尾,加上一个)号,就成了$blueidea)号了,这种还是不安全,我们再把中间的打乱,$ideablue),嘻嘻,还不错,随便把中间的某几个改为大字字母吧,$IdeabLue),这种看起来差不多了……等会,加上一两上数字吧$I1de9ab9Lu8e20),这不就成为了一个非常安全的密码了吗,如果你觉得还不安全的话,可以把中间的字母打乱就OK了
7、一些程序或注册入口对密码设定的比较死,只能用数字和字母,那样怎么办了,还是以刚才的来做实验吧,先是blueidea,改大小写bLUeIdEa,打乱EaIdbLUe,加数字E9aI4db2LU6e,OK,这就安全了
8、可以用一句话来设定密码,比如说“好好学习,天天向上”吧,先取拼音的第一个字母,hhxxttxs,变h2x2ttxs,再变H2X2tTXs,再变tTXsH2X2,加个头和尾,ItTXsH2X2O,一个密码就成功了
9、如果认为这种方法比较麻烦的话,可以强记两到三个比较复杂的密码,用的时候把它们重新排序,比如说常用密码为ItTXs和Lu8e20,组合ItTXsLu8e20,打散Lu8eItTXs20,新密码诞生了
10、注意在自己的电脑中安全比较可靠的杀毒软件,如果你的电脑里有木马的话,再复杂的密码也是没有任何作用的,不要上不可信的网站,不要让别人很容易的得到你的信息。这包括身份证号码、电话号码、社会安全号码、您的手机号码、您所居住的街道的名字,等等
11、最好只注册那种用MD5算法加密论坛,那样管理员就无法知道你的密码了,我见过很多论坛因为加密不好,被别人破了管理员密码,最后把论坛用户的QQ,信箱等等都破了。
12、定期更改密码,比如说每个月的第一个星期五,也不用重新想,就是把密码的排序改一下就行了,好记
13、不要所有的地方都用一个密码,根据重要和非重要的原则来设定密码,比如说我一般不是很重要的地方,都用111111来做密码
14、最后一点就是,不要把自己的密码写在别人可以看到的地方,比如说笔记本,纸巾上等等,最好是强记在脑子里,不要在输入密码的时候让别人看到,多练几次,打快了,旁人自然就看不到了,更不能把自己的密码告诉别人,这样对自己对别人都是很不负责任的,保护好你的密码,尊重自己.
*z9Hi31/i0DsoK)B:\
当然你可以再加几位
设密码有几个要点就是:
1、密码的位数不要短于6位,使用大写字母和小写字母、标点和数字的集合
2、不要以任何单词、生日、数字、手机号做为密码,这种太容易就能破解了,比如说生日吧,看似有8位,但我们一般都是出生在19XX的,一年只有12个月,一个月最多只有31天,XXX,不要几分钟就可以试出来,还不需要程序来算了
3、密码中的英文最好有大小之分
4、如果在程序允许的情况下,最好能加上英文半角的符号
5、不要用a、b、c等比较小顺序的字母或数字开头,因为用字典暴力破解的程序,一般都是从数字或英文字母排序开始算的,如果设为z的话,破解的机率就小很多
6、因为这种无规律性的密码不好记忆,有种比较简单的方法,比如说你的密码是blueidea吧,首先加头,在前面加一个$号,就成为了$blueidea,然后就是加尾,加上一个)号,就成了$blueidea)号了,这种还是不安全,我们再把中间的打乱,$ideablue),嘻嘻,还不错,随便把中间的某几个改为大字字母吧,$IdeabLue),这种看起来差不多了……等会,加上一两上数字吧$I1de9ab9Lu8e20),这不就成为了一个非常安全的密码了吗,如果你觉得还不安全的话,可以把中间的字母打乱就OK了
7、一些程序或注册入口对密码设定的比较死,只能用数字和字母,那样怎么办了,还是以刚才的来做实验吧,先是blueidea,改大小写bLUeIdEa,打乱EaIdbLUe,加数字E9aI4db2LU6e,OK,这就安全了
8、可以用一句话来设定密码,比如说“好好学习,天天向上”吧,先取拼音的第一个字母,hhxxttxs,变h2x2ttxs,再变H2X2tTXs,再变tTXsH2X2,加个头和尾,ItTXsH2X2O,一个密码就成功了
9、如果认为这种方法比较麻烦的话,可以强记两到三个比较复杂的密码,用的时候把它们重新排序,比如说常用密码为ItTXs和Lu8e20,组合ItTXsLu8e20,打散Lu8eItTXs20,新密码诞生了
10、注意在自己的电脑中安全比较可靠的杀毒软件,如果你的电脑里有木马的话,再复杂的密码也是没有任何作用的,不要上不可信的网站,不要让别人很容易的得到你的信息。这包括身份证号码、电话号码、社会安全号码、您的手机号码、您所居住的街道的名字,等等
11、最好只注册那种用MD5算法加密论坛,那样管理员就无法知道你的密码了,我见过很多论坛因为加密不好,被别人破了管理员密码,最后把论坛用户的QQ,信箱等等都破了。
12、定期更改密码,比如说每个月的第一个星期五,也不用重新想,就是把密码的排序改一下就行了,好记
13、不要所有的地方都用一个密码,根据重要和非重要的原则来设定密码,比如说我一般不是很重要的地方,都用111111来做密码
14、最后一点就是,不要把自己的密码写在别人可以看到的地方,比如说笔记本,纸巾上等等,最好是强记在脑子里,不要在输入密码的时候让别人看到,多练几次,打快了,旁人自然就看不到了,更不能把自己的密码告诉别人,这样对自己对别人都是很不负责任的,保护好你的密码,尊重自己.
打造安全的.mdb数据库
[ 2007-03-25 04:06:14 | 作者: sun ]
什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道,目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的,大多数中小型Internet网站都使用该“套餐”,但随之而来的安全问题也日益显著。其中最容易被攻击者利用的莫过于mdb数据库被非法下载了。
mdb数据库是没有安全防范的,只要入侵者猜测或者扫描到mdb数据库的路径后就可以使用下载工具轻松将其下载到本地硬盘,再结合暴力破解工具或一些超级破解工具可以轻松的查看里头的数据库文件内容,企业的隐私和员工的密码从此不在安全。难道我们就没有办法加强mdb数据库的安全吗?难道即便我们只有一点点数据资料也要麻烦sql server或者oracle吗?答案是否定的,本篇文章笔者将告诉大家打造安全的mdb数据库文件的独门秘诀。
一、危机起因:
一般情况下基于ASP构建的网站程序和论坛的数据库的扩展名默认为mdb,这是很危险的。只要猜测出了数据库文件的位置,然后在浏览器的地址栏里面输入它的URL,就可以轻易地下载文件。就算我们对数据库加上了密码并且里面管理员的密码也被MD5加密,被下载到本地以后也很容易被破解。毕竟目前MD5已经可以通过暴力来破解了。因此只要数据库被下载了,那数据库就没有丝毫安全性可言了。
二、常用的补救方法:
目前常用的数据库文件防止被非法下载的方法有以下几种。
(1)把数据库的名字进行修改,并且放到很深的目录下面。比如把数据库名修改为Sj6gf5.mdb,放到多级目录中,这样攻击者想简单地猜测数据库的位置就很困难了。当然这样做的弊端就是如果ASP代码文件泄漏,那无论隐藏多深都没有用了。
(2)把数据库的扩展名修改为ASP或者ASA等不影响数据查询的名字。但是有时候修改为ASP或者ASA以后仍然可以被下载,比如我们将其修改为ASP以后,直接在IE的地址栏里输入网络地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。如果使用FlashGet或影音传送带等专业的下载工具就可以直接把数据库文件下载下来。不过这种方法有一定的盲目性,毕竟入侵者不能确保该文件就一定是MDB数据库文件修改扩展名的文件,但是对于那些有充足精力和时间的入侵者来说,可以将所有文件下载并全部修改扩展名来猜测。该方法的防范级别将大大降低。
三、笔者的旁门左道:
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的问题,所以经过研究发现了以下的方法。
如果在给数据库的文件命名的时候,将数据库文件命名为“#admin.asa”则可以完全避免用IE下载,但是如果破坏者猜测到了数据库的路径,用FlashGet还是可以成功地下载下来,然后把下载后的文件改名为“admin.mdb”,则网站秘密就将暴露。所以我们需要找到一种FlashGet无法下载的方法,但是如何才能让他无法下载呢?大概是因为以前受到unicode漏洞攻击的缘故,网站在处理包含unicode码的链接的时候将会不予处理。所以我们可以利用unicode编码(比如可以利用“%3C ”代替“<”等),来达到我们的目的。而FlashGet在处理包含unicode码的链接的时候却“自作聪明”地把unicode编码做了对应的处理,比如自动把“%29”这一段unicode编码形式的字符转化成了“(”,所以你向FlashGet提交一个 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我们上面的网址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当我们单击“确定”按钮进行下载的时候,它就去寻找一个名为“(xadminsxx.mdb”的文件。也就是说FlashGet给我们引入了歧途,它当然找不到,所以提示失败了。
不过如果提示下载失败,攻击者肯定要想采取其他的攻击方法。由此我们可以采用另一个防范的方法,既然FlashGet去找那个名为“(xadminsxx.mdb”的文件了,我们可以给它准备一个,我们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时候的的确确下载了一个数据库回去,只不过这个数据库文件是虚假的或者是空的,在他们暗自窃喜的时候,实际上最终的胜利是属于我们的。
总结:
通过本次旁门左道保护MDB数据库文件方法的介绍,我们可以明确两点安全措施,一是迷惑法,也就是将黑客想得到的东西进行改变,例如改变MDB文件的文件名或者扩展名;二是替代法,也就是将黑客想得到的东西隐藏,用一个没有实际意义的东西替代,这样即使黑客成功入侵,拿到的也是一个虚假的信息,他们还会以为入侵成功而停止接下来的攻击。
mdb数据库是没有安全防范的,只要入侵者猜测或者扫描到mdb数据库的路径后就可以使用下载工具轻松将其下载到本地硬盘,再结合暴力破解工具或一些超级破解工具可以轻松的查看里头的数据库文件内容,企业的隐私和员工的密码从此不在安全。难道我们就没有办法加强mdb数据库的安全吗?难道即便我们只有一点点数据资料也要麻烦sql server或者oracle吗?答案是否定的,本篇文章笔者将告诉大家打造安全的mdb数据库文件的独门秘诀。
一、危机起因:
一般情况下基于ASP构建的网站程序和论坛的数据库的扩展名默认为mdb,这是很危险的。只要猜测出了数据库文件的位置,然后在浏览器的地址栏里面输入它的URL,就可以轻易地下载文件。就算我们对数据库加上了密码并且里面管理员的密码也被MD5加密,被下载到本地以后也很容易被破解。毕竟目前MD5已经可以通过暴力来破解了。因此只要数据库被下载了,那数据库就没有丝毫安全性可言了。
二、常用的补救方法:
目前常用的数据库文件防止被非法下载的方法有以下几种。
(1)把数据库的名字进行修改,并且放到很深的目录下面。比如把数据库名修改为Sj6gf5.mdb,放到多级目录中,这样攻击者想简单地猜测数据库的位置就很困难了。当然这样做的弊端就是如果ASP代码文件泄漏,那无论隐藏多深都没有用了。
(2)把数据库的扩展名修改为ASP或者ASA等不影响数据查询的名字。但是有时候修改为ASP或者ASA以后仍然可以被下载,比如我们将其修改为ASP以后,直接在IE的地址栏里输入网络地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。如果使用FlashGet或影音传送带等专业的下载工具就可以直接把数据库文件下载下来。不过这种方法有一定的盲目性,毕竟入侵者不能确保该文件就一定是MDB数据库文件修改扩展名的文件,但是对于那些有充足精力和时间的入侵者来说,可以将所有文件下载并全部修改扩展名来猜测。该方法的防范级别将大大降低。
三、笔者的旁门左道:
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的问题,所以经过研究发现了以下的方法。
如果在给数据库的文件命名的时候,将数据库文件命名为“#admin.asa”则可以完全避免用IE下载,但是如果破坏者猜测到了数据库的路径,用FlashGet还是可以成功地下载下来,然后把下载后的文件改名为“admin.mdb”,则网站秘密就将暴露。所以我们需要找到一种FlashGet无法下载的方法,但是如何才能让他无法下载呢?大概是因为以前受到unicode漏洞攻击的缘故,网站在处理包含unicode码的链接的时候将会不予处理。所以我们可以利用unicode编码(比如可以利用“%3C ”代替“<”等),来达到我们的目的。而FlashGet在处理包含unicode码的链接的时候却“自作聪明”地把unicode编码做了对应的处理,比如自动把“%29”这一段unicode编码形式的字符转化成了“(”,所以你向FlashGet提交一个 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我们上面的网址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当我们单击“确定”按钮进行下载的时候,它就去寻找一个名为“(xadminsxx.mdb”的文件。也就是说FlashGet给我们引入了歧途,它当然找不到,所以提示失败了。
不过如果提示下载失败,攻击者肯定要想采取其他的攻击方法。由此我们可以采用另一个防范的方法,既然FlashGet去找那个名为“(xadminsxx.mdb”的文件了,我们可以给它准备一个,我们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时候的的确确下载了一个数据库回去,只不过这个数据库文件是虚假的或者是空的,在他们暗自窃喜的时候,实际上最终的胜利是属于我们的。
总结:
通过本次旁门左道保护MDB数据库文件方法的介绍,我们可以明确两点安全措施,一是迷惑法,也就是将黑客想得到的东西进行改变,例如改变MDB文件的文件名或者扩展名;二是替代法,也就是将黑客想得到的东西隐藏,用一个没有实际意义的东西替代,这样即使黑客成功入侵,拿到的也是一个虚假的信息,他们还会以为入侵成功而停止接下来的攻击。
Windows服务器:切断默认共享通道七招
[ 2007-03-25 04:05:59 | 作者: sun ]
在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁。如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”。下面,本文就为大家推荐以下几则妙招,以便让你轻松禁止掉服务器的默认共享。
功能配置法
这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;
单击该窗口中的“服务”选项卡,在其后打开的如图1所示的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。
小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。
“强行”停止法
所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:
依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;
在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;
要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。
逐一删除法
所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:
首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;
然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;
此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。
“自动”删除法
如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断了。
功能配置法
这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;
单击该窗口中的“服务”选项卡,在其后打开的如图1所示的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。
小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。
“强行”停止法
所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:
依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;
在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;
要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。
逐一删除法
所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:
首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;
然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;
此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。
“自动”删除法
如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断了。
重装系统后要做十件大事
[ 2007-03-25 04:05:45 | 作者: sun ]
Windows系统是越用越慢,这是不争的事实。因此,使用Windows就免不了要重新安装系统。当然,重新安装系统并不难,但是安装完系统后你知道我们有多少事情必须要做吗?这可容不得丝毫的松懈,一旦马虎,将可能会导致前功尽弃,甚至有可能会造成数据丢失、信息泄密!
第1件大事:不要急着接入网络
在安装完成Windows后,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。 此时要加上冲击波和震撼波补丁后并重新启动再联入互联网。
第2件大事:给系统打补丁/安装杀毒软件
不用多说,冲击波和震荡波病毒的补丁是一定要打上的,如果你安装了Windows XP SP2则不用再另行安装。
Windows XP冲击波(Blaster)病毒补丁
震荡波(Sasser)病毒补丁安装完系统后,一定要安装反病毒软件,同时将其更新到最新版本。
第3件大事:关闭系统还原
系统还原是Windows ME和Windows XP、Windows 2003中具有的功能,它允许我们将系统恢复到某一时间状态,从而可以避免我们重新安装操作系统。不过,有的人在执行系统还原后,发现除C盘外,其它的D盘、E盘都恢复到先前的状态了,结果里面保存的文件都没有了,造成了严重的损失!
这是由于系统还原默认是针对硬盘上所有分区而言的,这样一旦进行了系统还原操作,那么所有分区的数据都会恢复。因此,我们必须按下Win+Break键,然后单击“系统还原”标签,取消“在所有驱动器上关闭系统还原”选项,然后选中D盘,单击“设置”按钮,在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。
依次将其他的盘上的系统还原关闭即可。这样,一旦系统不稳定,可以利用系统还原工具还原C盘上的系统,但同时其他盘上的文件都不会有事。
第4件大事:给Administrator打上密码
可能有的人使用的是网上下载的万能Ghost版来安装的系统,也可能是使用的是Windows XP无人值守安装光盘安装的系统,利用这些方法安装时极有可能没有让你指定Administrator密码,或者Administrator的密码是默认的123456或干脆为空。这样的密码是相当危险的,因此,在安装完系统后,请右击“我的电脑”,选择“管理”,再选择左侧的“计算机管理(本地)→系统工具→本地用户和组→用户”,选中右侧窗口中的Administrator,右击,选择“设置密码”。
在打开窗口中单击“继续”按钮,即可在打开窗口中为Administrator设置密码。
另外,选择“新用户”,设置好用户名和密码,再双击新建用户,单击“隶属于”标签,将其中所有组(如果有)都选中,单击下方的“删除”按钮。再单击“添加”按钮,然后再在打开窗口中单击“高级”按钮,接着单击“立即查找”按钮,找到PowerUser或User组,单击“确定”两次,将此用户添加PowerUser或User组。注销当前用户,再以新用户登录可以发现系统快很多。
第5件大事:关闭默认共享
Windows安装后,会创建一些隐藏共享,主要用于管理员远程登录时管理系统时使用,但对于个人用户来说,这个很少用到,也不是很安全。所以,我们有必要要切断这个共享:先在d:下新建一个disshare.bat文件,在其中写上如下语句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下来,将d:disshare.bat拷贝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下。然后按下Win+R,输入gpedit.msc,在打开窗口中依次展开“用户配置→Windows设置→脚本(登录/注销)”文件夹,在右侧窗格中双击“登录”项,在弹出的窗口中,单击“添加”命令,选中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下的disshare.bat文件。
完成上述设置后,重新启动系统,就能自动切断Windows XP的默认共享通道了,如果你有更多硬盘,请在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
第6件大事:启用DMA传输模式
启用DMA模式之后,计算机周边设备(主要指硬盘)即可直接与内存交换数据,这样能加快硬盘读写速度,提高数据传输速率:打开“设备管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,双击之,单击“高级设置”,该对话框会列出目前IDE接口所连接设备的传输模式,单击列表按钮将“传输模式”设置为“DMA(若可用)”。重新启动计算机即可生效。
第7件大事:启用高级电源管理
有时候安装Windows XP之前会发现没有打开BIOS电源中的高级电源控制,安装Windows XP后,关闭Windows时,电源不会自动断开。这时,很多人选择了重新打开BIOS中的高级电源控制,并重新安装Windows XP。事实上,用不着这么麻烦,只要大家确认已经在BIOS中打开高级电源控制选项,再从http://www.yaguo.com/~mig25/acpi.exe下载并安装这个程序,同时选择ACPI Pc,一定不要选错,否则重启后可能无法进入Windows),并重新启动电脑,电脑可能会重新搜索并自动重新安装电脑的硬件,之后就可以使其支持高级电源控制了。
第8件大事:取消压缩文件夹支持
单击开始→运行,输入“regsvr32 /u zipfldr.dll”回车,出现提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的压缩文件夹支持。另外,输入regsvr32 shdocvw.dll可以取消“图片和传真”与图片文件的关联。
第9件大事:取消“磁盘空间不足”通知
当磁盘驱动器的容量少于200MB时Windows XP便会发出“磁盘空间不足”的通知,非常烦人。可以打开“注册表编辑器”,定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer,在“Explorer”上单击右键,选择右键菜单上的“新建”→“DWORD 值”,将这个值命名为“NoLowDiskSpaceChecks”,双击该值将其中的“数值数据”设为“1”。
第10件大事:启用验证码
安装SP2后,大多数用户发现在访问某些需要填写验证码的地方,都无法显示验证码图片(显示为一个红色小叉),这是一个非常严重的Bug。解决办法为:运行“Regedit”命令打开注册表编辑器,依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”,在窗口右边新建一个名为“BlockXBM”的REG_ DWORD值,将其值设置为“0”(十六进制值)。
第1件大事:不要急着接入网络
在安装完成Windows后,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。 此时要加上冲击波和震撼波补丁后并重新启动再联入互联网。
第2件大事:给系统打补丁/安装杀毒软件
不用多说,冲击波和震荡波病毒的补丁是一定要打上的,如果你安装了Windows XP SP2则不用再另行安装。
Windows XP冲击波(Blaster)病毒补丁
震荡波(Sasser)病毒补丁安装完系统后,一定要安装反病毒软件,同时将其更新到最新版本。
第3件大事:关闭系统还原
系统还原是Windows ME和Windows XP、Windows 2003中具有的功能,它允许我们将系统恢复到某一时间状态,从而可以避免我们重新安装操作系统。不过,有的人在执行系统还原后,发现除C盘外,其它的D盘、E盘都恢复到先前的状态了,结果里面保存的文件都没有了,造成了严重的损失!
这是由于系统还原默认是针对硬盘上所有分区而言的,这样一旦进行了系统还原操作,那么所有分区的数据都会恢复。因此,我们必须按下Win+Break键,然后单击“系统还原”标签,取消“在所有驱动器上关闭系统还原”选项,然后选中D盘,单击“设置”按钮,在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。
依次将其他的盘上的系统还原关闭即可。这样,一旦系统不稳定,可以利用系统还原工具还原C盘上的系统,但同时其他盘上的文件都不会有事。
第4件大事:给Administrator打上密码
可能有的人使用的是网上下载的万能Ghost版来安装的系统,也可能是使用的是Windows XP无人值守安装光盘安装的系统,利用这些方法安装时极有可能没有让你指定Administrator密码,或者Administrator的密码是默认的123456或干脆为空。这样的密码是相当危险的,因此,在安装完系统后,请右击“我的电脑”,选择“管理”,再选择左侧的“计算机管理(本地)→系统工具→本地用户和组→用户”,选中右侧窗口中的Administrator,右击,选择“设置密码”。
在打开窗口中单击“继续”按钮,即可在打开窗口中为Administrator设置密码。
另外,选择“新用户”,设置好用户名和密码,再双击新建用户,单击“隶属于”标签,将其中所有组(如果有)都选中,单击下方的“删除”按钮。再单击“添加”按钮,然后再在打开窗口中单击“高级”按钮,接着单击“立即查找”按钮,找到PowerUser或User组,单击“确定”两次,将此用户添加PowerUser或User组。注销当前用户,再以新用户登录可以发现系统快很多。
第5件大事:关闭默认共享
Windows安装后,会创建一些隐藏共享,主要用于管理员远程登录时管理系统时使用,但对于个人用户来说,这个很少用到,也不是很安全。所以,我们有必要要切断这个共享:先在d:下新建一个disshare.bat文件,在其中写上如下语句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下来,将d:disshare.bat拷贝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下。然后按下Win+R,输入gpedit.msc,在打开窗口中依次展开“用户配置→Windows设置→脚本(登录/注销)”文件夹,在右侧窗格中双击“登录”项,在弹出的窗口中,单击“添加”命令,选中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下的disshare.bat文件。
完成上述设置后,重新启动系统,就能自动切断Windows XP的默认共享通道了,如果你有更多硬盘,请在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
第6件大事:启用DMA传输模式
启用DMA模式之后,计算机周边设备(主要指硬盘)即可直接与内存交换数据,这样能加快硬盘读写速度,提高数据传输速率:打开“设备管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,双击之,单击“高级设置”,该对话框会列出目前IDE接口所连接设备的传输模式,单击列表按钮将“传输模式”设置为“DMA(若可用)”。重新启动计算机即可生效。
第7件大事:启用高级电源管理
有时候安装Windows XP之前会发现没有打开BIOS电源中的高级电源控制,安装Windows XP后,关闭Windows时,电源不会自动断开。这时,很多人选择了重新打开BIOS中的高级电源控制,并重新安装Windows XP。事实上,用不着这么麻烦,只要大家确认已经在BIOS中打开高级电源控制选项,再从http://www.yaguo.com/~mig25/acpi.exe下载并安装这个程序,同时选择ACPI Pc,一定不要选错,否则重启后可能无法进入Windows),并重新启动电脑,电脑可能会重新搜索并自动重新安装电脑的硬件,之后就可以使其支持高级电源控制了。
第8件大事:取消压缩文件夹支持
单击开始→运行,输入“regsvr32 /u zipfldr.dll”回车,出现提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的压缩文件夹支持。另外,输入regsvr32 shdocvw.dll可以取消“图片和传真”与图片文件的关联。
第9件大事:取消“磁盘空间不足”通知
当磁盘驱动器的容量少于200MB时Windows XP便会发出“磁盘空间不足”的通知,非常烦人。可以打开“注册表编辑器”,定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer,在“Explorer”上单击右键,选择右键菜单上的“新建”→“DWORD 值”,将这个值命名为“NoLowDiskSpaceChecks”,双击该值将其中的“数值数据”设为“1”。
第10件大事:启用验证码
安装SP2后,大多数用户发现在访问某些需要填写验证码的地方,都无法显示验证码图片(显示为一个红色小叉),这是一个非常严重的Bug。解决办法为:运行“Regedit”命令打开注册表编辑器,依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”,在窗口右边新建一个名为“BlockXBM”的REG_ DWORD值,将其值设置为“0”(十六进制值)。
保护好我的文件 赤手空拳给文件加密
[ 2007-03-25 04:05:34 | 作者: sun ]
通常电脑上都有一些隐私文件需要加密或隐藏,不论是使用加密工具还是EFS,一旦遇到密码丢失,或者文件损坏,重要数据将很难挽回,后果不堪设想。如果能够不使用其他辅助软件而只通过设置一些技巧就能达到加密的目的,那该多好,下面介绍几个简单的加密方法:
路径的分隔符号文件夹加密法
加密:大家都知道在WINDOWS中不论是一个“\”还是两个“\ ”符号都代表是路径的分隔符号,比如“C:\WINDOWS\System..exe”的意思就是C分区中的WINDOWS文件夹中的System..exe文件,如果文件名中包含有“\”符号,就会把文件名分成“\”前的目录部分和“\”后的文件名部分,WINDOWS无法打开这种含有“\”的文件,会提示出错。
如果你想在“资源管理器”或“我的电脑”中再创建“S\”,WINDOWS会提示你“\”符号不能作为文件,文件夹的名字。但这类文件名在WINDOWS的命令行下却是有效的。
为检验这个结论,我们可以在D:下建立一个Test目录,点“开始/运行”,输入“CMD”进入命令行方式,具体验证过程如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>md s。。\(代表在test下建立S.目录,系统没有报错,成功创建S.文件夹,不过在“资
源管理器”和“我的电脑”中打开这个文件夹都会报错。为检验这个文件夹能否正常使用,我们可以再
拷贝一个文件123.log到test文件夹中)
D:\test>copy 123.log s..\(系统提示已复制1个文件,说明文件复制成功)
通过上面步骤我们成功隐藏了一个文件夹s..\,并拷贝一个文件123.log到这个文件夹中,无论你怎么设置使用“资源管理器”和“我的电脑”都是不可能打开这个文件夹看到里面的文件的。
提示:如果在建立文件夹时,我们建立的文件夹名为”s..\a”,就可以使文件夹完全隐藏,在任何地方都无法看见。
解密:由于我们无法直接打开这个文件夹,也无法看到里面的内容,为了使用,我们可以把里面的内容拷贝出来。具体操作是:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>copy s..\a\123.log(把123.log拷贝到当前目录下,即可使用)
为方便使用,可以对本办法进行改进,具体步骤如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)D:\test>md s..\(在TEXT下建立S.目录)
D:\md s(在TEXT下建立S目录)
D:\test>copy 123.log s..\(拷贝123.log到s..\内,此时无法打开s..\)
建立一个批处理jiami.bat放在TEXT目录下,内容如下:
copys\*s.\*
del/qs\*
再建立一个jiemi.bat放在test目录下,内容如下:
Copys.\*s\*
操作时,把要加密的文件都拷贝到S目录里,运行jiami.bat,即可机密所有文件,要使用时运行jiemi.bat即可在S目录下还原出所有文件。
DOS命令结合类表识符加解密文件夹法
加密:现在的操作系统越来越大,计算机内的程序没有上万也有上千,即使是文件夹也好多层,平时不小心忘了文件放哪,找起来也相当麻烦,如果我们能将要加密的文件夹依次拷贝转移到一个多层目录下,就能够起到一定的保护作用,具体的操作步骤如下:
在D:下建立一个test目录,在test目录下再建立一个jm目录,然后建立一个批处理文件jiami2.bat,内容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
将需要加密的文件拷贝到d:\test\jm目录下,执行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系统文件夹,一般人不敢随便打开,起到了一定的加密作用。
解密:要使用时,可使用批处理jiemi2.bat来实现,内容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
这种加密方法并没有隐藏文件夹本身,如果有人不小心打开你的c:\winnt\system32,就有可能发现你的秘密,如何能做到不被其他人所识别呢?使用类表识符是一个好想法,当一个文件夹命名中包含类表识符时,文件夹将显示为该类表识符所对应的文件类型图表,并使用相应的关联程序打开这个文件夹。
我们可以在桌面上新建一个文件夹,命名为s.wav.{00020C01—0000—0000—C000—000000000046},确定后,我们发现看到的是一个S.wav的WAV文件,双击,则启动media player提示文件格式错误。如果我们把需要加密的文件夹为伪装成wav文件,那么别人想要获得我们的机密文件就是难上加难了。
这里给出加密批处理jiami3.bat的内容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批处理jiemi3.bat的内容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介绍的是两种隐藏文件夹的方法,如果想隐藏一个文件,那就更简单了,改个文件名,换个深一点的目录,做成自解压程序等,方法还有很多种。
路径的分隔符号文件夹加密法
加密:大家都知道在WINDOWS中不论是一个“\”还是两个“\ ”符号都代表是路径的分隔符号,比如“C:\WINDOWS\System..exe”的意思就是C分区中的WINDOWS文件夹中的System..exe文件,如果文件名中包含有“\”符号,就会把文件名分成“\”前的目录部分和“\”后的文件名部分,WINDOWS无法打开这种含有“\”的文件,会提示出错。
如果你想在“资源管理器”或“我的电脑”中再创建“S\”,WINDOWS会提示你“\”符号不能作为文件,文件夹的名字。但这类文件名在WINDOWS的命令行下却是有效的。
为检验这个结论,我们可以在D:下建立一个Test目录,点“开始/运行”,输入“CMD”进入命令行方式,具体验证过程如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>md s。。\(代表在test下建立S.目录,系统没有报错,成功创建S.文件夹,不过在“资
源管理器”和“我的电脑”中打开这个文件夹都会报错。为检验这个文件夹能否正常使用,我们可以再
拷贝一个文件123.log到test文件夹中)
D:\test>copy 123.log s..\(系统提示已复制1个文件,说明文件复制成功)
通过上面步骤我们成功隐藏了一个文件夹s..\,并拷贝一个文件123.log到这个文件夹中,无论你怎么设置使用“资源管理器”和“我的电脑”都是不可能打开这个文件夹看到里面的文件的。
提示:如果在建立文件夹时,我们建立的文件夹名为”s..\a”,就可以使文件夹完全隐藏,在任何地方都无法看见。
解密:由于我们无法直接打开这个文件夹,也无法看到里面的内容,为了使用,我们可以把里面的内容拷贝出来。具体操作是:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>copy s..\a\123.log(把123.log拷贝到当前目录下,即可使用)
为方便使用,可以对本办法进行改进,具体步骤如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)D:\test>md s..\(在TEXT下建立S.目录)
D:\md s(在TEXT下建立S目录)
D:\test>copy 123.log s..\(拷贝123.log到s..\内,此时无法打开s..\)
建立一个批处理jiami.bat放在TEXT目录下,内容如下:
copys\*s.\*
del/qs\*
再建立一个jiemi.bat放在test目录下,内容如下:
Copys.\*s\*
操作时,把要加密的文件都拷贝到S目录里,运行jiami.bat,即可机密所有文件,要使用时运行jiemi.bat即可在S目录下还原出所有文件。
DOS命令结合类表识符加解密文件夹法
加密:现在的操作系统越来越大,计算机内的程序没有上万也有上千,即使是文件夹也好多层,平时不小心忘了文件放哪,找起来也相当麻烦,如果我们能将要加密的文件夹依次拷贝转移到一个多层目录下,就能够起到一定的保护作用,具体的操作步骤如下:
在D:下建立一个test目录,在test目录下再建立一个jm目录,然后建立一个批处理文件jiami2.bat,内容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
将需要加密的文件拷贝到d:\test\jm目录下,执行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系统文件夹,一般人不敢随便打开,起到了一定的加密作用。
解密:要使用时,可使用批处理jiemi2.bat来实现,内容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
这种加密方法并没有隐藏文件夹本身,如果有人不小心打开你的c:\winnt\system32,就有可能发现你的秘密,如何能做到不被其他人所识别呢?使用类表识符是一个好想法,当一个文件夹命名中包含类表识符时,文件夹将显示为该类表识符所对应的文件类型图表,并使用相应的关联程序打开这个文件夹。
我们可以在桌面上新建一个文件夹,命名为s.wav.{00020C01—0000—0000—C000—000000000046},确定后,我们发现看到的是一个S.wav的WAV文件,双击,则启动media player提示文件格式错误。如果我们把需要加密的文件夹为伪装成wav文件,那么别人想要获得我们的机密文件就是难上加难了。
这里给出加密批处理jiami3.bat的内容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批处理jiemi3.bat的内容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介绍的是两种隐藏文件夹的方法,如果想隐藏一个文件,那就更简单了,改个文件名,换个深一点的目录,做成自解压程序等,方法还有很多种。
Php脚本木马的高级防范
[ 2007-03-25 04:05:21 | 作者: sun ]
首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:
php_admin_value open_basedir /usr/local/apache/htdocs
这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木马执行webshell
打开safe_mode, 在php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选
3、防止php木马读写文件目录
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php处理文件的函数
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成为
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木马拿我们没辙了,遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
php_admin_value open_basedir /usr/local/apache/htdocs
这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木马执行webshell
打开safe_mode, 在php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选
3、防止php木马读写文件目录
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php处理文件的函数
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成为
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木马拿我们没辙了,遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
推荐:网络攻击概述 几类攻击与防御手法
[ 2007-03-25 04:05:09 | 作者: sun ]
1、服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
防御:在防火墙上过滤掉UDP应答消息。
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
防御:在防火墙上过滤掉UDP应答消息。
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
一、 引言
特洛伊木马是 Trojan Horse 的中译,是借自"木马屠城记"中那只木马的名字。古希腊有大军围攻特洛伊城,逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到"木马"这个奇异的战利品,全城饮酒狂欢。到午夜时份,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今计算机术语借用其名,意思是"一经进入,后患无穷"。特洛伊木马原则上它和Laplink 、 PCanywhere 等程序一样,只是一种远程管理工具。而且本身不带伤害性,也没有感染力,所以不能称之为病毒 (也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的网络客户/服务程序。
1、基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。
2、程序实现:
可以使用VB或VC的Winsock控件来编写网络客户/服务程序, 实现方法如下:
服务器端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen(再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
3、实现木马的控制功能
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述, 主要是使用Windows API函数。
(1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作。
mouse_event模拟一次鼠标事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标
(2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
(3)获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)
e.取得系统版本 GetVersionEx
f.当前显示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。
c.让对方掉线 RasHangUp
d.终止进程 ExitProcess
e.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
(5)远程文件操作
删除文件:File delete
拷贝文件:File copy
共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
(6)注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
三、特洛伊木马隐身方法
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动,木马会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。
四、 特洛伊木马防御原理
知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。
4.查找文件
查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
五、结束语
只要你有一点点的疏忽,就有可能被人安装了木马。所以平时不要随便从网站上下载软件,不要随便运行别人给的软件,经常检查自己的系统文件、注册表、端口,经常去安全站点查看最新的木马公告等等,提高自己的网络安全意识,了解木马的常见伎俩,这样对于保证自己电脑的安全不无裨益。
特洛伊木马是 Trojan Horse 的中译,是借自"木马屠城记"中那只木马的名字。古希腊有大军围攻特洛伊城,逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到"木马"这个奇异的战利品,全城饮酒狂欢。到午夜时份,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今计算机术语借用其名,意思是"一经进入,后患无穷"。特洛伊木马原则上它和Laplink 、 PCanywhere 等程序一样,只是一种远程管理工具。而且本身不带伤害性,也没有感染力,所以不能称之为病毒 (也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的网络客户/服务程序。
1、基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。
2、程序实现:
可以使用VB或VC的Winsock控件来编写网络客户/服务程序, 实现方法如下:
服务器端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen(再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
3、实现木马的控制功能
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述, 主要是使用Windows API函数。
(1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作。
mouse_event模拟一次鼠标事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标
(2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
(3)获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)
e.取得系统版本 GetVersionEx
f.当前显示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。
c.让对方掉线 RasHangUp
d.终止进程 ExitProcess
e.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
(5)远程文件操作
删除文件:File delete
拷贝文件:File copy
共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
(6)注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
三、特洛伊木马隐身方法
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动,木马会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。
四、 特洛伊木马防御原理
知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。
4.查找文件
查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
五、结束语
只要你有一点点的疏忽,就有可能被人安装了木马。所以平时不要随便从网站上下载软件,不要随便运行别人给的软件,经常检查自己的系统文件、注册表、端口,经常去安全站点查看最新的木马公告等等,提高自己的网络安全意识,了解木马的常见伎俩,这样对于保证自己电脑的安全不无裨益。
