浏览模式: 普通 | 列表

推荐日志 判断你的系统是否被流氓侵犯

[ 2007-03-25 03:41:25 | 作者: sun ]
江湖规矩“人不犯我,我不犯人”,但是流氓软件并不遵守这条规矩,它们唯恐无法入侵,一旦有机会,你便被其缠身。流氓软件的龙头大哥──3721就采取了“无孔不入”的手段,不管你是在安装软件、浏览网站时它都会在用户不知情的情况下伺机入驻电脑中。那么,如何才能知道自己的电脑是否招流氓了呢?


1.根据表象初步判断

医生判断一个病人是否感冒了,可以从是否流鼻涕,是否鼻塞、是否附带咳嗽等表象进行判断,而要想判断系统是否感染了流氓软件,也可以从表象来判断。当系统感染了流氓软件后一般有以下几种可疑迹象可以通过感觉来判断:

① 系统运行速度越来越慢

安装了病毒防火墙,系统中最近也并没安装什么软件,但是系统的运行速度一天比一天慢,而杀毒软件也没有进行病毒警告,这种情况下,十之八九中了流氓软件的招。

② 部分软件(特别是浏览器)设置被强行修改

由于流氓软件表面上是为用户提供了一些有用的功能,但实质上,它们是为了达到宣传自己的网站、自己的产品等目的。因此,流氓软件一旦成功入侵电脑,它们便会在一些软件上提供相应的插件工具栏,以浏览器类软件居多,在浏览器家族中又以IE最受流氓软件欢迎。当发现日常使用的软件的工具栏被增加了一些项目或是像浏览器的设置被修改了,也足可以说明系统中可能感染了流氓软件。

③ 自动弹出广告窗口

在正常使用电脑过程中,时而不时地自动弹出一些广告窗口,关闭后隔一断时间又会出现,做广告本是流氓软件的一个目的,因此,当你频繁地看到自动弹出的广告时,系统也有可能感染了流氓软件。

④ 自动打开网站

与自动弹出广告类似,有些流氓软件更猖狂,会自动启动浏览器并打开一些网站,如果你遇到了这种情况也说明系统有招流氓软件的迹象了。

2.利用工具检测

根据表象判断只是精略地推断是否感染流氓软件,就像医生给病毒看病一样,先是通过询问等方式来大致地判断病情,最后还会使用相关的医疗机器进行确诊。判断系统是否招流氓软件也应该通过工具来“确诊”。

① 使用系统的任务管理器

当系统感染了流氓软件后,只要流氓软件正在运行的话,一般都是可以通过系统的任务管理器来寻觅其踪影:

按下“Ctrl+Shift+Esc”打开任务管理器窗口,再单击“进程”选项卡,在进程列表中将会看到流氓软件的踪影了。不过,这种方法只适合那些对电脑系统比较熟悉并对流氓软件对应的进程有所了解的朋友们采用。

② 使用专用检测工具

使用任务管理器这个系统自带的工具来检测流氓软件对用户的要求相对高些,为此,笔者推荐大多数用户使用专业的流氓软件检测工具来检测,这样既直观,操作也会方便很多。

现在检测流氓软件的工具有不少,例如:超级兔子、Upiea、恶意软件清理助手、360安全卫士、Windows Defender等。而流氓软件检测数目要数360安全卫士最多。


本文向大家介绍一下网管最常用的一些命令,如ping、 nbtstat、netstat……希望对大家有所帮助。

  一,ping

  它是用来检查网络是否通畅或者网络连接速度的命令。

  作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧,在DOS窗口中键入:ping /? 回车,出现如图1。所示的帮助画面。在此,我们只掌握一些基本的很有用的参数就可以了(下同)。

  -t 表示将不间断向目标IP发送数据包,直到我们强迫其停止。试想,如果你使用100M的宽带接入,而目标IP是56K的小猫,那么要不了多久,目标IP就因为承受不了这么多的数据而掉线,呵呵,一次攻击就这么简单的实现了。   

  -l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用,会有更好的效果哦。   

  -n 定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,3次对我们来说也浪费了不少时间,因为现在我们的目的仅仅是判断目标IP是否存在,那么就定义为一次吧。   

  说明一下,如果-t 参数和 -n参数一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。   

  下面我们举个例子来说明一下具体用法。   

  这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒,从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的操作系统,之所以说“初步判断”是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。

  (小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)

  至于利用ping命令可以快速查找局域网故障,可以快速搜索最快的QQ服务器,可以对别人进行ping攻击……这些就靠大家自己发挥了。

  二,nbtstat

  该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。   


  -a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息如图3(下同)。   

  -A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。

  -n 列出本地机器的NETBIOS信息。   

  当得到了对方的IP或者机器名的时候,就可以使用nbtstat命令来进一步得到对方的信息了,这又增加了我们入侵的保险系数。   

  三,netstat

  这是一个用来查看网络状态的命令,操作简便功能强大。   

  -a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息,如图4。   

  这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。

  -r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。

  四,tracert

  跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。   

  这里说明数据从本地机器传输到192.168.0.1的机器上,中间没有经过任何中转,说明这两台机器是在同一段局域网内。用法:tracert IP。

五,net

  这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。   


  在这里,我们重点掌握几个入侵常用的子命令。   

  net view   

  使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。   

  net use

  把远程主机的某个共享资源影射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \IPsharename。上面一个表示把192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接(net use \IPIPC$ "password" /user:"name")。   

  建立了IPC$连接后,呵呵,就可以上传文件了:copy nc.exe \192.168.0.7admin$,表示把本地目录下的nc.exe传到远程主机,结合后面要介绍到的其他DOS命令就可以实现入侵了。   

  net start

  使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername,如图9,成功启动了telnet服务。   

  net stop

  入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。   

  net user

  查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的,最重要的,它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户,包括已经禁用的。下面分别讲解。

  1,net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。

  2,net user abcd /del,将用户名为abcd的用户删除。

  3,net user abcd /active:no,将用户名为abcd的用户禁用。

  4,net user abcd /active:yes,激活用户名为abcd的用户。

  5,net user abcd,查看用户名为abcd的用户的情况。   

  net localgroup

  查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中,我们一般利用它来把某个帐户提升为administrator组帐户,这样我们利用这个帐户就可以控制整个远程主机了。用法:net localgroup groupname username /add。   

  现在我们把刚才新建的用户abcd加到administrator组里去了,这时候abcd用户已经是超级管理员了,呵呵,你可以再使用net user abcd来查看他的状态,和图10进行比较就可以看出来。但这样太明显了,网管一看用户情况就能漏出破绽,所以这种方法只能对付菜鸟网管,但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员,这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。   

  net time

  这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面,那么也许就用不到这个命令了。但简单的入侵成功了,难道只是看看吗?我们需要进一步渗透。这就连远程主机当前的时间都需要知道,因为利用时间和其他手段(后面会讲到)可以实现某个命令和程序的定时启动,为我们进一步入侵打好基础。用法:net time \IP。

  六,at

  这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \computer。
  

  表示在6点55分时,让名称为a-01的计算机开启telnet服务(这里net start telnet即为开启telnet服务的命令)。   

七,ftp

  大家对这个命令应该比较熟悉了吧?网络上开放的ftp的主机很多,其中很大一部分是匿名的,也就是说任何人都可以登陆上去。现在如果你扫到了一台开放ftp服务的主机(一般都是开了21端口的机器),如果你还不会使用ftp的命令怎么办?下面就给出基本的ftp命令使用方法。

  首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。   

  大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。  

  首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了,这里以匿名ftp为例介绍。   

  用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。这里因为是匿名登陆,所以用户显示为Anonymous。
  
  接下来就要介绍具体命令的使用方法了。   

  dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。

  cd 进入某个文件夹。

  get 下载文件到本地机器。

  put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了,如果可以,呵呵,该怎么 利用就不多说了,大家就自由发挥去吧。

  delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。

  bye 退出当前连接。

  quit 同上。   

  八,telnet

  功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。   

  然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。   

  当输入用户名和密码都正确后就成功建立了telnet连接,这时候你就在远程主机上具有了和此用户一样的权限,利用DOS命令就可以实现你想干的事情了,如图19。这里我使用的超级管理员权限登陆的。   

  到这里为止,网络DOS命令的介绍就告一段落了,这里介绍的目的只是给菜鸟网管一个印象,让其知道熟悉和掌握网络DOS命令的重要性。其实和网络有关的DOS命令还远不止这些,这里只是抛砖引玉,希望能对广大菜鸟网管有所帮助。学好DOS对当好网管有很大的帮助,特别的熟练掌握了一些网络的DOS命令。

  另外大家应该清楚,任何人要想进入系统,必须得有一个合法的用户名和密码(输入法漏洞差不多绝迹了吧),哪怕你拿到帐户的只有一个很小的权限,你也可以利用它来达到最后的目的。所以坚决消灭空口令,给自己的帐户加上一个强壮的密码,是最好的防御弱口令入侵的方法。

  最后,由衷的说一句,培养良好的安全意识才是最重要的。

推荐日志 安全防护初级讲座

[ 2007-03-25 03:40:07 | 作者: sun ]
引子一:上个月某班上成绩最好的一同学7位的手机靓号QQ被盗窃。今天某兄弟舍友的qq密码都被盗窃了,好不郁闷哦,晕死哦。尽管是计算机专业的,但是他们基本对计算机安全一无所知:有嫌麻烦从不安装杀毒软件的,有使用两个数字来设置密码的,有看到E-mail或者IM软件发来的网址链接就随手点开的,还有从不知道升级病毒库和给系统打补丁的,甚至有重新安装系统后还以为安全了,却被我指出来看才发现硬盘所有盘都共享了。
  现在遇到麻烦了,才发现后悔莫及。那兄弟某舍友说已经不是第一次被偷了,全怪自己不吸取教训。要我帮他们偷回来。呵呵,我说太麻烦了。我从来不重视号码位数,号码好坏,对我来说qq不过是一个普通聊天工具而已。好的号码我有不少,都不是偷的。他们如果那么在乎自己的号码,又何必那么不重视它的安全呢?其实,他们当初还笑我那么注意安全,简直太可笑了呢?呵呵,现在才发现安全意识是多么的重要。在圈里混了很久了,那些无知的媒体朋友宣传的什么所谓黑客高手都是不用任何防护措施的,遇到毒就手工杀毒,呵呵,简直晕死。

引子二:一个正在黑别人的人,却没发现自己早已经是肉鸡了,盗窃别人qq的人,却发现自己的qq没有保护好.

黑客并不神秘,黑客也并不可怕。“最好的防御是最好的反击!”是十三哥我不变的信条,我从来没有被黑过!

忽视、淡忘网络安全的情况还有很多很多,以上列出的只是最常见的几种情况;但只要你看过文章之后能够时刻警醒,注意网络安全,那么密码被盗,病毒入侵的危险就会减少一些。俗话说"防患于未然",为确保我们的计算机不受到恶意的侵害,我们要设的第一道防线便是要增强我们的计算机网络安全意识,为做到这些,我们应该注意以下几点:

1.配置好自己系统,使用尽量安全的密码
一般建议使用最新版本的系统。如果不行,也要打好补丁。然后设置xp防火墙,去掉网络客户端,去掉文件和打印机共享,过滤端口,保护注册表,应用组策略等等.这些很简单,大家可以自己摸索着来设置。提醒下ip协议在iptcp协议簇的代码是6。防火墙一定要有,特别是我这种有特别重要资料的计算机上。防火墙就不推荐了,反正不是天网,不是诺顿。我用zonealarm pro基本感觉很不错。使用尽量安全的密码这点就不说了。什么,你问我什么样的怎么设置密码才是安全的,是不是位数多就安全?地球人都知道了,你不知道?我晕死!建议去看看技术站(www.juntuan.net)各种安全文章,里面很容易找到密码保护相关知识的,

2.慎用软件
  因为不管是病毒程序还是黑客程序首先都要骗你在自己的机器上运行它,所以对来历不明的软件不要轻易尝试,来历不明的地址不要点,来历不明的文件传送不要接受,即使是qq好友发过来。
  今天的蠕虫病毒之所以能够动辄全球肆虐,往往不是因为病毒程序设计得好,而是因为我们用户安全意识太差。不管内存是128M,还是256M,都请安装一套有正版系列好的杀毒软件,启动其实时防护功能,起码每周一次进行网上升级。虽然对速度有影响,但是为安全牺牲一点内存是应该的。同时,当Windows和浏览器有补丁公布的时候,别忘记及时下载安装。 本人使用卡巴思基,nod32十分不错。

3.检测并清除特洛伊木马程序

  这里不说什么中木马的症状。也可以使用一些清除软件,也不说什么手动什么一大堆了,我只说要使用防护木马的软件来保护你的计算机。有很多这样的软件,支持在线升级,很方便。很简单。开机就是先检查一遍。  

4.保证浏览安全
相信大部分朋友是用的ie。ie不能被暴这样那样的漏洞。而很多朋友上网除了qq就是用ie了。加强浏览时的安全,注意安全意识的培养真的很重要。最近流行的通过浏览网页来盗取qq就很能说明这个问题。所以不要随便开一些莫名其妙的网页,特别是不健康的内容和在网络上广为宣传的内容。使用电子邮件的时候注意不要随便看陌生人的邮件,熟人发来的邮件的附件也要注意杀毒。
  还有一点就是Cookies方面的安全。我们要注意防范Cookies泄密。Internet的属性里自己找去。很简单的,能看懂中文的都会。建议自己仔细研究下,各个地方点着看看摸索下,自己会明白该怎么设置是安全的。另外,由于Cookies的信息并不都是以文件形式存放在计算机里,还有部分信息保存在内存里。比如你在浏览网站的时候,Web服务器会自动在内存中生成Cookie,当你关闭IE浏览器的时候又自动把Cookie删除,那样上面介绍的两种方法就起不了作用,我们需要借助注册表编辑器来修改系统设置。这里也不说了,推荐使用一个比较好用的软件就可以了,没有必要那么麻烦。另外有点很重要:杜绝Cookies虽然可以增强你电脑的信息安全程度,但这样做同样会有一些弊端。比如在一些需要Cookies支持的网页上,会发生一些莫名其妙的错误,典型的例子就是你以后不能使用某些网站的免费信箱或者论坛了。比如军团的免费blog。

5.保证IP地址安全
很多朋友一上网第一件要做的事情就是开QQ。现在大部分人基本用的就是显ip的版本。如果不用代理,真实的IP地址会暴露你的老巢,让你的计算机完全展现在某些别有用心的人眼中,成为攻击的目标。所以我们必须隐藏IP地址,一般使用代理。但是代理不一定安全通过代理服务器上网,可以增强安全防护的作用。但是从别人那里“借道”难免会留下痕迹,你的上网资料完全可以记录在代理服务器的日志中。所以,从网上搜来的来历不明的代理服务器最好不要使用。
  通过代理用QQ时,更应使用腾讯提供的官方代理服务器。   

总结:内容很初级,但我想基本够用,你想谁愿意费那么大劲去黑你呢,如果你已经做的很好了。呵呵,除非你得罪人家,或者那个家伙有病。哈哈,全是废话,总之目前随着攻击方式日趋多样化,网络安全隐患也呈现出突发性、隐藏性等特点,网络安全形势日益严峻,网络安全问题日益成为人们关注的热门话题。要解决网络安全问题,首先应该重在“防”,然后才是“治”,普及网络用户病毒防范意识,是减少网络安全隐患的第一环,也是极其关键的一环。再次提醒大家一方面要注意提高安全意识,另一方面注意多多学习网络安全知识
(文章里的毒不仅仅是病毒)

你的电脑安全吗?你的电脑可以防黑吗?

我现在就跟大家说说手动杀毒的几个常用的方法。你也许会说现在的杀毒软件那么多啊,为什么我们还要学习用手动来杀毒呢?你想想病毒的产生肯定是比你的杀毒软件的升级快很多的,既然是那个样子的话,我们学习手动杀毒就对我们很有帮助,也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。费话多说了,现在我们开始。因为我使用的是XP操作系统,那这里就以XP的版本先给大家讲解一下。

首先,对于自己的计算机要有洞悉力,说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。因为是讲手工杀毒那就先讲中毒的几个特别征兆,例如:你的电脑在上网的时候自己会打开不知名的网站(恶意代码也是会这样的啊,我们也把它暂时当病毒吧);你的电脑的速度变得很慢很慢,特别是开机的时候要很久;你的电脑文件有的开不了;有时候点一个陌生的文件突然一闪而过;有时候总跳出非法操作……可以说你觉得很可疑的时候,都可能是中了病毒。那么我们就要找到病毒。

1.找到病毒

进程法:有的病毒在热启动(CTRL+ALT+DEL)就可以看出来,它们总是想隐藏自己成为系统里面的特殊文件,仔细看就可以看出猫腻了。什么把l(字母)写成1(数字)啦,把O(字母)变成了0的啊,更好笑的是连大小写都出来了,其实只要认真看问题就简单。如果你对进程不是很了解的话,建议把它名字记下来去百度找找,应该可以找到答案。特别要注意的是你在用热启动的时候,最好不要开任何文件和软件,这样比较好辨认。

启动法:现在的病毒和木马都会自己随系统而启动,那么我们就可以根据这个把它找到。开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置,把你觉得十分可疑的前面的沟去掉就可以了。记下那些可疑的启动项命令的地址,将来杀的时候能够用到。这样可就看到病毒了,也可以在运行里面输入regedit(注册表),HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce,还有RunServices和Run,还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce,以及RunServices和Run的可疑的启动文件都删就好。

文件法:这个比较难麻烦,一步步来就好。我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件(推荐)”的勾去掉,选择显示所有文件和文件夹,去以下的文件夹看看有没有可疑的文件。


(系统盘用X:/表示)
X:/
X:/WINOWS
X:/WINDOWS/SYSTEM32
X:/WINDOWS/SYSTEM
X:/Program Files/Internet Explorer
X:/windows/Temporary Internet Files/Temporary Internet Files
X:/temp 还有X:/winows/temp
X:/Documents and Settings/Administrator/Templates
x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files
X:/Documents and Settings/Administrator/Local Settings/Temp


还有各个分区的这些文件夹里面都是病毒常常光顾的地方。有的文件很多,象SYSTEM32就有几百个,怎么找呢?建议使用右键排列图标——修改时间,这样就快很多了。

系统编辑器法:运行——sysedit看有没有可疑的文件,可是这个最好不要乱修改(比较危险),不确定的话还是去搜索下比较好。

2.杀毒

前面说了几种的找毒的方法,根据上面的话,我们就可以知道病毒的名称和地址。那么还不开工,杀毒最好是在断网和在安全模式的时候,为什么呢?据说是在DOS下杀毒的时候最好,可是对于杀毒新手的话,我还是认为先从安全模式下杀比较好,有GUI(图形系统)比那黑白DOS强多了。开机——按F8进入安全模式,使用文件法的前几步使隐藏文件显示,进去我的电脑按F3搜索界面,接着是搜索删文件。记得,在更多搜索选项要全选。删掉了之后还要记得在各个盘的回收站里面的东西全删去,每个盘的回收站都是叫Recycled的。

可是有的病毒是很狡猾的啊,那么我们就要用到工具。介绍几个我常用来辅助杀毒的工具:一个是Tcpview,查看端口是否存在问题,如果有木马可是一看就能发现的。还有就是IceSword和windows优化大师的WinProcess,我个人比较喜欢的是WinProcess,因为它查看进程的时候可以在网上搜索到跟进程相似的东西,省去自己上网输入进程名字的步骤,方法是进程描述中的更多相关信息。

推荐日志 我们如何才能保护自己

[ 2007-03-25 03:39:46 | 作者: sun ]

电脑病毒总是突如其来、在我们不经意的时候光顾,而它们经常是通过我们非常熟悉且为之做好准备的方式来访。好像两年前,在宏病毒盛行的时代,美丽莎(Melissa)病毒借助Word宏疯狂肆虐了一把。而在蠕虫病毒频频闹事之际,爱虫(ILOVEYOU)病毒在Outlook地址簿上搜索到联系人后,“情书”一时满天飞,一句“I Love you”让人读到心潮澍湃,激情万分!


最新版的Outlook 2002却不再让您打开像宏这样的特殊类型的附件了,同时还会防止恶意代码盗取您的Outlook地址簿,以免向外大量发送带毒邮件。

然而,病毒作者似乎早预料到这种防范方法一定会在曾经对他们完全开放的电子邮件领域出现。不过,道高一尺,魔高一丈,他们也很快适应下来,并以新的方式编写了许多新一代病毒。所幸的是,病毒编写者们不会有多大创新性的做法了,仅仅是将在互联网上找到的恶意代码拷贝并按照他们的意图进行修改罢了。

尽管如此,还是有些新的技巧近年被用在蠕虫及病毒上了,这无疑让人看到新一代病毒正在被不断编写出来。下面是最近出现的新病毒发展趋势,并就如何保护自己给出了一些建议:

一、借助邮件客户端

由于Outlook已变得越来越安全,新病毒只好通过邮件客户端了。如笑哈哈(Shoho)病毒利用自带的SMTP引擎发送带毒邮件,这就使得它在邮件客户端处躲过了任何软件的防范了。

而Tariprox.B病毒则使用了不同的方法:它通过劫持您的邮件,记下邮件客户端,并将恶意代码写入邮件客户端。幸运的是,Tariprox并未传播开来。即使这样,防范这种病毒最好的方法就是在您的个人PC上安装防火墙,若还没有安装,那就赶快行动吧!

二、通过URL及附件

过去曾对URL及附件有着某种神圣的信任感。然后,最近新出现的病毒无疑会让这种信任感大打折扣。以MYParty病毒为例,当您点击一个链接连到过某个网页后,您就不自觉地中招了!而Gigger病毒在您点击名为mmsn_offline.htm的邮件附件时,您的爱机就于无声中被“撞了一下腰”。这是因为Outlook2002并没有设计用来阻止直接的网页链接或.htm文件。

对此的建议是,首先千万别打开附件。第二,若您无需Windows Script Hosting,那就请关掉吧。Gigger便是利用Windows Script Hosting来感染用户的一种JavaScript蠕虫。

三、瞄准即时信息

攻击MSN Messenger的即时信息病毒,虽然较少,但它们是完全抛开了电子邮件而借助即时聊天工具来传播的病毒。前不久出现的CoolNow病毒就能够从MSN Messenger中获取联系人地址,然后将其副本向这些联系人发送,并且在所发送的信息当中,诱使用户进入一个感染了恶意Javascript的网页。针对于此,您最好通过浏览微软Update站点或查看微软的技术服务网络来获取微软产品的最新安全补丁。

四、病毒加黑客的双重攻击

去年夏季出现的尼姆达病毒,本不该令我们感到震惊,但病毒与黑客的双重攻击确实让我们吃惊不小。它利用了服务器及电脑的几个常见漏洞。对于服务器,它会攻击微软的IIS,并创建被感染的网页让您下载。在台式电脑上,它会创建带毒的邮件并发送给地址簿中的所有联系人,同时或通过共享网络传播。

综观全文,我们知道新一代病毒是如何工作的了吧?仅从编写病毒的最新趋势来判断,它们可能完全通过Outlook或感染即时信息客户端。不管哪种方式,遇到病毒时你我都不必惊慌,或许来袭的病毒我们曾似曾相识,所以希望我们为迎战新病毒时代作好准备吧!


推荐日志 批处理实现对网站的监测

[ 2007-03-25 03:39:35 | 作者: sun ]
由于多数监测软件是商业性质,同时使用过一个付费的监测服务感觉效果并不理想,于是动手弄了一个自己的监测系统,使用DOS批处理操作。

原理:
使用了一个Wget.exe 的Win32版本用以从网站下载文件,利用批处理命令检测文件是否抓取成功,如果成功,删除已经下载的文件,退出批处理,如果不成功,利用安装在电脑上的modem拨打某个电话号码,使用特定的振铃次数通知网站发生故障。

测试后将批处理放到windows中的计划任务中周期执行。

注意:wget.exe需要放置到与批处理相同的目录,或者放入windows系统目录。

批处理文件:

monitor.bat
@echo off
echo.>>wget.log
rem 使用wget下载网页首页文件,并记录日志
.\wget -a wget.log -d http://www.xxx.com
rem 判断index.html文件是否下载成功
if exist index.html goto end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo error occurred>>system.log
rem 调用一个拨号批处理
call .\dial.bat
exit

:end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo ok>>system.log
echo y|del .\index.html
exit

dial.bat
@echo off
rem 使用at指令传送到串口拨号
echo atdtxxxxxxx >com1
rem 延时14秒,振铃3次
choice /c yn /d y /n /t 14 >nul
rem 挂机
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
编辑评论:服务器的安全对于管理员来说是非常重要的,只要服务器不出问题啥事都好办,服务器的器的安全是值得每个管理员关注的,那么管理员如何能把保障服务器安全工作做的更好呢,下面就来看看本文讲的一些小技巧吧。

对于一个网络而言,维护其服务器安全的重要性是不言而喻的,那么作为管理员的你如何来更好地保障服务器的安全呢?本文较系统地给您介绍一些实用的技巧。

技巧一:从基本做起

黑客开始对你的网络发起攻击的时候,他们首先会检查是否存在一般的安全漏洞。因此,当你服务器上的数据都存在一个FAT的磁盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的。

因此,你需要从基本做起。将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的。同时,可以为Exchange Server安装反病毒软件,将被感染的邮件在到达用户以前隔离起来。

技巧二:保护你的备份

备份实际上是一个巨大的安全漏洞。应该考虑通过密码保护你的磁带,并且如果你的备份程序支持加密功能,你还可以加密这些数据,如果窃贼还是把磁带弹出来带走的话,磁带上的数据也就毫无价值了。

技巧三:使用RAS回叫功能

Windows NT最酷的功能之一就是对服务器进行远程访问(RAS)的支持。不幸的是,一个RAS服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门。黑客们所需要的一切只是一个电话号码。

你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS。如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机,建议你使用回叫功能,它允许远程用户登录以后切断连接。然后RAS服务器拨通一个预先定义的电话号码再次接通用户。黑客也就没有机会设定服务器回叫的号码了。

另一个可选的办法是限定所有的远程用户都访问单一的服务器。这样,即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上。

最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议,迷惑一些不加提防的黑客。

技巧四:考虑工作站的安全问题

工作站是通向服务器的一个端口,在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。你也可以使用Windows NT。锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。

另一个技术是将工作站的功能限定一个“聪明的”哑终端,让程序和数据驻留在服务器上但却在工作站上运行。所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服务器上的应用程序的图标。当你点击一个图标运行程序时,这个程序将使用本地的资源来运行,而不是消耗服务器的资源。这比你运行一个完全的哑终端程序对服务器造成的压力要小得多。

技巧五:使用流行的补丁程序

微软雇佣了一个程序员团队来检查安全漏洞并修补它们。这些补丁被捆绑进一个大的软件包并做为服务包(service pack)发布。通常有两种不同的补丁程序版本:一个40位的版本和一个128位的版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。微软定期将重要的补丁程序发布在它的FTP站点上。这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序。要经常查看热点补丁。但要记住一定要按逻辑顺序使用这些补丁。避免导致一些文件的版本错误。

技巧六:使用强有力的安全政策

要提高安全性,另一个可以做的工作就是制定一个好的,强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。如果你使用Windows 2000 Server,你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权,可以授予这种删除和禁用账号权限并限制创建用户或是更改许可等这些活动的权限了。

技巧七:反复检查防火墙

防火墙是网络的一个重要部分,因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。

你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见。但是,工作站和其他服务器的IP地址必须被隐藏起来。

你还可以查看端口列表验证你已经关闭了所有并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通讯,因此你可能并不想堵掉这个端口。但是,你也许永远都不会用端口81,因此它应该被关掉。你可以在Internet上找到每个端口使用用途的列表。

如果你不希望紧要的数据被病毒或是黑客破坏或是被一个可能用这些数据来对付你的人窃取。就必须掌握一些维护服务器安全的技巧来保障它的安全。

堵住路由器的漏洞

对于黑客来说,利用路由器的漏洞发起攻击通常是一件比较容易的事情。保护路由器安全需要网管员在配置和管理路由器过程中采取相应的安全措施。

堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。

避免身份危机

黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。

禁用不必要服务

拥有众多路由服务是件好事,但近来许多安全事件都突显了禁用不需要本地服务的重要性。另一个需要用户考虑的因素是定时,即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。

限制逻辑访问

限制逻辑访问主要是借助于合理处置访问控制列表,使用入站访问控制将特定服务引导至对应的服务器。为了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。用户还可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。

监控配置更改

用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大,提供消息加密功能的SNMP。为进一步确保安全管理,用户可以利用SSH与路由器建立加密的远程会话。配置管理的一个重要部分就是确保网络使用合理的路由协议。

实施配置管理

用户应该实施控制存放、检索及更新路由器配置的配置管理策略,并将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

推荐日志 如何准确检测出你电脑上的间谍软件

[ 2007-03-25 03:39:12 | 作者: sun ]

如何准确检测出你电脑上的间谍软件前言


你应该有过这样的遭遇,就是电脑感染上了间谍软件或广告软件。在这种情况下,解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。我最近研究了我的主要网络内的几台机器,以找到间谍软件和广告软件的感染信息。我个人建议,最好能利用一些有效的商业软件和免费软件经常进行这样的检查。


下面介绍一下步骤:


1.在使用某种商业软件或免费软件的工具检查之前,尽可能的将机器清理干净。运行防病毒软件或反间谍软件扫描,一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是,在进入下一步之前,专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。


2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP,那再方便不过了,这样很快就能建立一个系统恢复点(依次打开:开始菜单――帮助和支持――使用系统还原恢复你对系统的改变,然后点击创建一个还原点的按钮)。当然还有其他的方法(对于那些使用Windows家族其他操作系统的人来说是唯一的方法)就是创建一整套系统的备份,包括系统状态信息(如果其他办法都不可行的话,你可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。这样的话,万一在接下来的步骤中出了差错,还可以将您的系统恢复到前一个正确的状态。


3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象,因此先退出所有应用程序再启动反间谍程序运行检查,可以节省大量时间。


4.运行反间谍程序。在这一步,我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录,然后双击HijackThis.exe这个执行文件,会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下,日志文件会保存在“我的文档”中,我发现在保存的日志文件名称中加入日期和时间信息很有用,这样的话,一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log(hh.mm是24小时制的几点几分)。这样的话,以后你任何时候再次运行Hijack This(一旦开始运行,它会自动清空以前的日志),都不必担心丢失以前的日志。因此,时间标记不愧是个很好的方法,这对将来你的日志文件分析非常有用。


5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的,并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目,按下“Fix Checked“按钮, Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件,你可以对其进行快速扫描,以决定在这时采取何种操作。实际上,真正存在的问题是识别出哪些文件具有潜在的威胁,哪些是必须的,而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住,现在不要关闭Hijack This的查找结果窗口,也不需要进行核选操作,因为在接下来的步骤中我们还会返回这个窗口。


具体方法


6.用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话,我个人倾向于Help2Go Detective,但这两个都值得一试。在Hijack This日志里,你会发现每一个入侵(线程)的特殊信息和相关处理建议,包括哪些可以保留,哪些可以删除(但却是无害的),哪些是可疑文件(或许应该删除,但是还需要进一步分析研究),以及哪些必须删除(因为确定是恶意病毒)。这时,你可疑检查所有被确认为恶意病毒的选项,或者与已知的间谍软件和广告软件有关的选项。


7.检查可疑项目(包括可选的激活项目)。有时你可以查看注册表名称或者相关文件和目录信息,来检查即使通过分析程序(使用Hijack This很明显发现的)也没有识别出的项目,这是可能是你故意安装或使用的程序的一部分。这些项目经常会被单独的遗留下来。如果检查程序和你人为的都没有发现这些项目,安全选项就会将它们备份然后删除(然而如果你采取了这个步骤,那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果你想知道你在查看的是什么文件,就进入下一个附加步骤,用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目,最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。



8.在Hijack This结果窗口核选有害文件和不确定的可疑项目,然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目,并通过单击来高亮选择单独的项目,接着通过点击"Info on selected item…."(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适,因为这时分析工具的速度更快而且面向对象更友好。


9.重启系统查看运行情况。如果系有统运行不正常现象,如应用程序不工作或变得异常,或者系统看上去不太对劲时,你需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动,在系统启动之初按下F8键,直到启动进入安全启动菜单,选择最后一次正确的配置。这样启动就没有问题了,系统启动之后你还需要退回到恢复点,或者恢复到在第二步备份的状态。如果你接收这个选项的话,就不需要保存改动了,可以直接越过第10步。


10.最后再运行依次Hijack This扫描:重复步骤4,但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除,或者只需保存你电脑状态的快照,快速清除就可以了(这样会对下一次进行同样的操作产生一个有意义的参照状态)。

推荐日志 安全专家嘱咐的5条要诀

[ 2007-03-25 03:39:01 | 作者: sun ]
1、换掉Internet Explorer浏览器:这大概是你能做的最重要的一件事了。换成Firefox, Mozilla, Safari, 任何不是IE的浏览器。尽管微软要发布被寄予厚望的IE7,传说中比其他任何浏览器都安全一光年的东西。它太具革命性了,以至于要强制升级!作者看来还是远离一个有争议的东西而使用替代品比较稳妥。

2、加强浏览器的安全:NoScript,Netcraft 反钓鱼工具栏,E-Bay工具栏,Google工具栏都是不错的选择。这些工具能够挫败“钓鱼网站”,防止被黑,密码外泄等。

3、不要点email里的链接:一盎司的偏执换来的是一磅的补丁。无论何时何地都要尽量不点击email里的链接,特别是某些链接本身就很危险,而钓鱼email有时又很难察觉。如果你和一个网站有生意往来,它给你发邮件,让你“点击这里”来更新身份数据,而不是让你手动登录它的网站,那你要当心了。而有的邮件的链接相对安全一些,比如你注册、修改密码后的几分钟内发过来的确认邮件。

4、防护你的Web邮箱:使用较长的难猜测的密码,每六个月更换一次。不要在任何其他地方使用这个密码。删掉带有敏感信息的邮件。许多人把所有重要的帐号都集中关联在一个邮箱地址,如果有人得到你的email帐户,所有关联的帐号都会有危险。你能做的最好的就是使用不容易猜的密码,且绝不要用在其他地方。如能删除含有敏感信息的邮件则更佳。

5、使用单一的信用卡进行在线购物:我们在线购物的信用卡号被偷的可能性还是存在的。最好把可能的损失限制在最小。只使用一张信用卡可能是监视异常交易的最好方法。还有,千万别用借记卡在线购物,因为缺乏法律保护。

推荐日志 防止病毒侵害 保护你的假日交易

[ 2007-03-25 03:38:50 | 作者: sun ]
如果要买一块手表,你会怎么做?专门花几天时间,将所有表店一一逛遍,累得死去活来,挑得头昏眼花;还是等到专门去香港澳门或者国外出差的机会才出手?伴随着网络商务的不断发展,相信更多人会选择一边喝着咖啡,一边上网,几天后,快递就将打了折的手表送到手中。

的确,网络商务繁荣改变了人们的生活习惯,通过网络采购一些书本、音像制品已经不是一种时尚,人们足不出户就能购买到大多数的生活用品,完成金融交易。不过就在人们享受网络带来便利的同时,一些黑客也在利用病毒,窃取别人的帐号、密码,达到对他人的钱财非法占有的目的。

根据赛门铁克公司最新的一期《互联网安全威胁报告》指出,家用计算机正面临日益增加的网络攻击,包括隐私盗窃,欺诈以及其他受金融利益驱使的网络犯罪,因为家用电脑更容易忽略采用必要的安全防范措施。此外,攻击者现在正使用各种技术,逃避检测,延长其在系统上驻留的时间,以伺机盗取信息,为市场行销目的劫持计算机,提供远程接入,或盗取机密信息获得经济利益。

而报告同时表示,金融领域同样是黑客猖獗,其中网页仿冒最为严重。在赛门铁克网页仿冒报告网络和赛门铁克Brightmail反垃圾邮件在此期间跟踪的所有网页仿冒网站中占到了84%。一旦攻击者通过其中一个攻击获准接入攻击目标的帐户,那么他们可以进行转帐、挪用资金、申请贷款、赊帐或盗用信用卡。

据报告显示,十大网页仿冒中有九个来自金融领域,进一步证明了网页仿冒活动高度集中在金融领域,不法分子试图窃取多家网上银行的账号和密码,给用户带来经济损失。

伴随着圣诞节,元旦,情人节,春节等节日的先后到来,我们又即将迎来新一波的网络购物的高峰期,许多计划出游的朋友开始着手在各大电子商务网站上淘自己需要的出行物品。这时也恰恰是那些心怀不轨的网络黑客最忙碌的时机。我们必须及时更新杀毒软件,防止病毒侵害。使用经过验证的综合性安全套件是进行自我防护非常好的手段。最新的诺顿网络安全特警2007就是一款非常不错的选择。

此外,在网络购物时,尽可能选择大、中型交易网站。由于小型网站由于本身实力和技术原因,一般没有提供可靠的交易工具,小型电子商务交易网站也有可能不具备为用户分担风险或提供担保的实力。而大、中型电子商务网站可以被监管部门密切注视,积极监管。

而在支付环节尽可能利用大型网站现有的交易支付工具;充分掌握交易网站公布的防诈骗方法以及网站对交易的担保细则;支付前要协商确定运输中的责任问题,尽力争取要求到“货到免责”;经常了解网站、网友、论坛公布的诈骗手法、事件和名单曝光。

如果你具有打心底里喜欢上网“血拼”,喜欢在网上刷信用卡,提前享受;有用鼠标来决定购买的“控制欲”;不喜欢或者没时间为了一件奢侈品四处奔波;喜欢24小时随时都可以尽情Shopping,希望以上的忠告能帮助您减少网络购物的风险,保护你的假日交易。