禁用Scripting Host 防范网页的黑手
[ 2007-03-25 03:36:09 | 作者: sun ]
来自网络的攻击手段越来越多了,一些恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序、javaScript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,
强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。
目前来自网页黑手的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页等,关于此方面的文章比较多。下面就来介绍一些针对破坏Windows系统的网页黑手的防范方法。
黑手之一 格式化硬盘
这是一种非常危险的网页黑手,它会通过IE执行ActiveX部件并调用Format.com或Deltree.exe将硬盘格式化或者删除文件夹。在感染此类破坏程序后,会出现一个信息提示框,提示:“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?yes,no”,如果单击“是”,那么硬盘就会被迅速格式化,而这一切都是在后台运行的,不易被察觉。
防范的方法是:将本机的Format.com或Deltree.exe命令改名字。另外,对于莫名出现的提示问题,不要轻易回答“是”。可以按下[Ctrl+Alt+Del]组合键在弹出的“关闭程序”窗口中,将不能确认的进程中止执行。
黑手之二 耗尽系统资源
这种网页黑手会执行一段Java Script代码并产生一个死循环,以至不断消耗本机系统资源,最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中,只要打开附件程序后,屏幕上就会出现无数个IE窗口,最后只有重新启动计算机。
防范的方法是:不要轻易进入不了解的网站,也不要随便打开陌生人发来的E-mail中的附件,比如扩展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法读取文件
此类黑手会通过对ActiveX、JavaScript和WebBrowser control的调用来达到对本地文件进行读取。它还可以利用浏览器漏洞实现对本地文件的读取,避免此类攻击可以关闭禁用浏览器的JavaScript功能。
黑手之四 获取控制权限
此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于“下载已签名的ActiveX控件”进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支:
解决方法是在注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
对于来自网上的种种攻击,在提高防范意识的同时,还需做好预防工作。
1.设定安全级别
鉴于很多攻击是通过包含有恶意脚本实现攻击,可以提高IE的级别。在IE中执行“工具/Internet选项”命令,然后选择“安全”选项卡,选择“Internet”后单击[自定义级别]按钮,在“安全设置”对话框中,将“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”,另外设定安全级别为“高”。需要注意的是,如果选择了“禁用”,一些需要使用ActiveX和脚本的网站可能无法正常显示。
2.过滤指定网页
对于一些包含有恶意代码的网页,可以将其屏蔽,执行“工具/Internet选项”命令,选择内容选项卡,在“分级审查”中单击[启用]按钮,打开“分级审查”对话框,选择“许可站点”选项卡,输入需要屏蔽网址,然后单击[从不]按钮,再单击[确定]按钮。 3.卸载或升级WSH
有些利用VBScript编制的病毒、蠕虫病毒,比如 “I LOVE YOU”和“Newlove”,它们都包含了一个以 VBS为后缀名的附件,打开附件后,用户就会被感染。这些病毒会利用Windows内嵌的 Windows Scripting Host 即WSH进行启动和运行。也就是说,如果将WSH禁用,隐藏在VB脚本中的病毒就无法被激活了。
在Windows 98中禁用WSH,打开“添加/删除”程序,选择“Windows 设置/附件”,并单击“详细资料”,取消“Windows Scripting Host”选项,完成后单击[确定]按钮即可。
在Windows 2000中禁用WSH的方法是,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[确定]即可。
另外,还可以升级WSH 5.6,IE浏览器可以被恶意脚本修改,就是因为IE 5.5以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilr ActiveX对象读取浏览者的注册表,可以在http://www.microsoft.com/下载最新版本的WSH。
4.禁用远程注册表服务
在Windows 2000/XP中,可以点击“控制面板/管理工具/服务”,用鼠标右键单击“Remote Registry”,然后在弹出的快捷方式中选择“属性”命令,在“常规”选项卡中单击[停止]按钮,这样可以拦截部分恶意脚本代码。
5.安装防火墙和杀毒软件
安装防火墙和杀毒软件可以拦截部分恶意代码程序,比如可以安装瑞星杀毒软件。
种植木马的方法及防范策略
[ 2007-03-25 03:35:57 | 作者: sun ]
相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。今天,笔者就以最新的一款木马程序——黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。
操作步骤:
一、种植木马
现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) { getURL("动画.files/abc.exe"); }”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。
二、使用木马
成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。
文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧?
进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。
窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。
视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为Media Play可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧?
除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。
三、隐藏
随着杀毒软件病毒库的升级,木马会很快被杀毒软件查杀,所以为了使木马服务端辟开杀毒软件的查杀,长时间的隐藏在别人的电脑中,在木马为黑客提供几种可行的办法。
1.木马的自身保护
就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。
2.捆绑服务端
用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。
3.制做自己的服务端
上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以若能对现有的木马进行伪装,让杀毒软件无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。
如果我们用杀毒软件对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳。
现在,我们就需要对软件进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。
脱壳完成后,我们需要为服务端加一个新壳,加壳的软件很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀,你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。
四、防范
防范重于治疗,在我们的电脑还没有中木马前,我们需要做很多必要的工作,比如:安装杀毒软件和网络防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行来路不明的软件和打开来路不明的邮件。
最后笔者要特别提醒大家,木马除了拥有强大的远程控制功能外,还包括极强的破坏性。我们学习它,只是为了了解它的技术与方法,而不是用于盗窃密码等破坏行为,希望大家好自为之。
小知识:反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是,客户端首先登录到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用“netstat -a”命令检查自己的端口,发现的也是类似“TCPUserIP:3015ControllerIP:httpESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样就可以轻易的突破防火墙的限制
操作步骤:
一、种植木马
现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) { getURL("动画.files/abc.exe"); }”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。
二、使用木马
成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。
文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧?
进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。
窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。
视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为Media Play可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧?
除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。
三、隐藏
随着杀毒软件病毒库的升级,木马会很快被杀毒软件查杀,所以为了使木马服务端辟开杀毒软件的查杀,长时间的隐藏在别人的电脑中,在木马为黑客提供几种可行的办法。
1.木马的自身保护
就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。
2.捆绑服务端
用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。
3.制做自己的服务端
上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以若能对现有的木马进行伪装,让杀毒软件无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。
如果我们用杀毒软件对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳。
现在,我们就需要对软件进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。
脱壳完成后,我们需要为服务端加一个新壳,加壳的软件很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀,你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。
四、防范
防范重于治疗,在我们的电脑还没有中木马前,我们需要做很多必要的工作,比如:安装杀毒软件和网络防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行来路不明的软件和打开来路不明的邮件。
最后笔者要特别提醒大家,木马除了拥有强大的远程控制功能外,还包括极强的破坏性。我们学习它,只是为了了解它的技术与方法,而不是用于盗窃密码等破坏行为,希望大家好自为之。
小知识:反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是,客户端首先登录到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用“netstat -a”命令检查自己的端口,发现的也是类似“TCPUserIP:3015ControllerIP:httpESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样就可以轻易的突破防火墙的限制
社会工程学:一个行骗游戏的新玩法
[ 2007-03-25 03:35:43 | 作者: sun ]
在今天的计算机犯罪领域中,罪犯不需要借助英特网进入,他们只要通过简单的询问就能获得信息。当心友好的内部人员或是职务上看起来是外部的人员,他们可能会利用你的好心或天真来获得他们要的东西。举几个例子来说明吧…
一位部门秘书接到一个电话,"我是Josie Bass,有什么能帮您的吗?"
“你好,我是计算机中心的Martin White,我们认为可能有人入侵了文件服务器,我能和你们技术主管谈谈吗?”
“现在是周五下午,这里只有我一个人 。”Josie说。
“你的工作怎么样,Josie?”
“还好,你呢?”
深呼一口气,“不算太坏,除了现在是周五的下午而且我们要处理堆积如山的文件。总之,如我所说的,我们认为你的文件服务器受到了威胁。”
“你为什么这么认为呢?”
“你的帐号是jbass,是吗?”
“是。”
“我们在你的文件服务器上检测到了异常的通信。”
“好,你能不能具体点告诉我这是怎么回事?”
“当然,我正在搜索,但有太多文件了。”翻页的声音。“我真正担心的是,当我这样搜索时,坏人可以从你们的服务器下载并修改资料,也许你应该把你的服务器与网络断开或者修改你的系统密码。”
“Jeez,我不知道该怎么做。”
Martin叹息,“这真糟糕,入侵者可能没有完全地破坏你的系统。”手指翻动书,发出翻页的声音。“我刚才想到一件事,我正好在线,如果我有你的密码的话,只要几分钟就可查出来了。”沉重的叹息,“为什么我之前没有想到呢?持续一个星期了—看了很多小时的数字。”一番停顿后,“Ok,你的密码多少?”
“我…er….”Josie犹豫了。
“哦,好的,你不会把它拿出来,我明白了。”翻页的声音。“这也是个好办法。”停顿了一下,“这些家伙会尝试不同的方法入侵…”翻页。
“嘿,”Josie说,“我们会整晚都在这里,忘了告诉你:我的密码是jb2cats。”
“谢谢,好的,稍等。”密码输入的声音。“好了,让我仔细检查一下。”更多的输入。“找到了,好消息,他们没能进入你的系统。”停顿,“非常感谢,Josie,我们一起为这件无效的事上折腾了半夜,顺便说一声,一旦他们跳过了你的服务器,再回来就是很罕见的事了,你的系统现在状况良好。”
“谢谢,祝你有一个愉快的周末。”Josie放心地回答。
“你也是。”
“Martin White”和他的同伙将会有一个愉快的周末,从这个部门修改他们选修课程的学生等级——为了学费,当然。(译者注:这里的意思应该是Martin的课程没及格,需要重修,把成绩修改了,自然就不需要交纳学费了。)
这是一个被称为“社会工程学”的例子,一个信息技术犯罪的非技术表象描述。用其它方法表达就是“欺骗艺术家”Martin玩的一个“行骗游戏”。意思很简单:欺骗受害人,获得有用的机密信息,或采取不正当行动为攻击者获得利益。
大部分人对我们都是有益并且值得信赖的—许多人这样认为。我们想要做好邻居并有许多好邻居,社会工程师利用了人类这一合作倾向。他们经常使用胁迫和扮演角色手段,也使用老式但清晰的摄像头进行偷窥和偷听。
当被偷窃的信息增加时,我们需要知道更多信息盗窃使用的迂回方法。
例如:
一个糊涂的醉鬼会打电话给办事员请求更改他的密码。
一个似乎很重要的人扮成主管人员打电话给新来的网络管理员要求马上开通他的账户!
在机场当你输入你的电讯信用卡或ATM号码时有人会往你肩膀上看(肩窥),他们甚至使用双筒望远镜和摄象机。
一个访客会偷看你在键盘上输入的注册ID和密码。
一个自信的人打电话给电脑工作人员并要他或她在控制台输入几行指令。
一个攻击者搜集你的废纸(垃圾数据探究),寻找线索解开你的保密信息。
不同于技术的目标,社会工程学是一个古老行当的新名字,它常常成功,因为我们的文化没有赶上我们拥有的技术。一个社会工程师从一个保险箱里获得东西比获得密码要更困难,即使这个东西就在健康俱乐部的带锁储物柜里。最好的防御很简单:教育,训练和意识。
记住:密码就像一把牙刷一样,每三个月更换一次,并不让其他人使用它。(即使有人声称自己来自处理Internet上各项安全问题的专责机构)。
一位部门秘书接到一个电话,"我是Josie Bass,有什么能帮您的吗?"
“你好,我是计算机中心的Martin White,我们认为可能有人入侵了文件服务器,我能和你们技术主管谈谈吗?”
“现在是周五下午,这里只有我一个人 。”Josie说。
“你的工作怎么样,Josie?”
“还好,你呢?”
深呼一口气,“不算太坏,除了现在是周五的下午而且我们要处理堆积如山的文件。总之,如我所说的,我们认为你的文件服务器受到了威胁。”
“你为什么这么认为呢?”
“你的帐号是jbass,是吗?”
“是。”
“我们在你的文件服务器上检测到了异常的通信。”
“好,你能不能具体点告诉我这是怎么回事?”
“当然,我正在搜索,但有太多文件了。”翻页的声音。“我真正担心的是,当我这样搜索时,坏人可以从你们的服务器下载并修改资料,也许你应该把你的服务器与网络断开或者修改你的系统密码。”
“Jeez,我不知道该怎么做。”
Martin叹息,“这真糟糕,入侵者可能没有完全地破坏你的系统。”手指翻动书,发出翻页的声音。“我刚才想到一件事,我正好在线,如果我有你的密码的话,只要几分钟就可查出来了。”沉重的叹息,“为什么我之前没有想到呢?持续一个星期了—看了很多小时的数字。”一番停顿后,“Ok,你的密码多少?”
“我…er….”Josie犹豫了。
“哦,好的,你不会把它拿出来,我明白了。”翻页的声音。“这也是个好办法。”停顿了一下,“这些家伙会尝试不同的方法入侵…”翻页。
“嘿,”Josie说,“我们会整晚都在这里,忘了告诉你:我的密码是jb2cats。”
“谢谢,好的,稍等。”密码输入的声音。“好了,让我仔细检查一下。”更多的输入。“找到了,好消息,他们没能进入你的系统。”停顿,“非常感谢,Josie,我们一起为这件无效的事上折腾了半夜,顺便说一声,一旦他们跳过了你的服务器,再回来就是很罕见的事了,你的系统现在状况良好。”
“谢谢,祝你有一个愉快的周末。”Josie放心地回答。
“你也是。”
“Martin White”和他的同伙将会有一个愉快的周末,从这个部门修改他们选修课程的学生等级——为了学费,当然。(译者注:这里的意思应该是Martin的课程没及格,需要重修,把成绩修改了,自然就不需要交纳学费了。)
这是一个被称为“社会工程学”的例子,一个信息技术犯罪的非技术表象描述。用其它方法表达就是“欺骗艺术家”Martin玩的一个“行骗游戏”。意思很简单:欺骗受害人,获得有用的机密信息,或采取不正当行动为攻击者获得利益。
大部分人对我们都是有益并且值得信赖的—许多人这样认为。我们想要做好邻居并有许多好邻居,社会工程师利用了人类这一合作倾向。他们经常使用胁迫和扮演角色手段,也使用老式但清晰的摄像头进行偷窥和偷听。
当被偷窃的信息增加时,我们需要知道更多信息盗窃使用的迂回方法。
例如:
一个糊涂的醉鬼会打电话给办事员请求更改他的密码。
一个似乎很重要的人扮成主管人员打电话给新来的网络管理员要求马上开通他的账户!
在机场当你输入你的电讯信用卡或ATM号码时有人会往你肩膀上看(肩窥),他们甚至使用双筒望远镜和摄象机。
一个访客会偷看你在键盘上输入的注册ID和密码。
一个自信的人打电话给电脑工作人员并要他或她在控制台输入几行指令。
一个攻击者搜集你的废纸(垃圾数据探究),寻找线索解开你的保密信息。
不同于技术的目标,社会工程学是一个古老行当的新名字,它常常成功,因为我们的文化没有赶上我们拥有的技术。一个社会工程师从一个保险箱里获得东西比获得密码要更困难,即使这个东西就在健康俱乐部的带锁储物柜里。最好的防御很简单:教育,训练和意识。
记住:密码就像一把牙刷一样,每三个月更换一次,并不让其他人使用它。(即使有人声称自己来自处理Internet上各项安全问题的专责机构)。
入侵检测(IDS)应该与操作系统绑定
[ 2007-03-25 03:35:20 | 作者: sun ]
黑客攻击的目标主要是用户终端,如果入侵检测系统不能和操作系统内核很好地配合,那么产品再多,做得再好,也是治标不治本。
主流的入侵检测方法有三种
通常,入侵检测系统按照其工作原理主要分为三种类型:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛,国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包,与受保护网段内的主机无关,适用范围比较广,并且一般不影响网络流量和受保护主机的性能;基于主机的入侵检测系统检测的数据来源于系统日志、审计记录,与受保护主机的操作系统等有关,因此一般只适用保护特定的计算机。
分布式入侵检测系统这种工作方式比较新,目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。
在漏报率方面国内产品有待提高
现在国际上比较有名的入侵检测系统有ISS公司的RealSecure、Enterasys公司的 Dragon等。他们将基于主机和基于网络的入侵检测技术基础集成在一起,扩大了检测的数据源,降低了漏报率,并且对于检测针对主机的攻击效果比较好。但是这种方法的实施难度特别大,还要考虑到网络中不同计算机操作系统的差异,需要将数据格式进行转换,以达到统一。这些产品系统性能相对比较稳定,特征知识库更新速度比较快。
国内公司生产的入侵检测系统也比较多,如上海复旦光华信息股份有限公司的光华S-Audit网络入侵检测与安全审计系统V3.0、常州远东科技有限公司的“黑客煞星”、长沙天一银河信息产业有限公司的“天一猎鹰入侵检测系统(V1.0)、上海三零卫士信息安全有限公司的鹰眼网络安全监测仪、上海金诺网安的KIDS Ver3.0等。它们的体系结构大同小异,性能相差不大,都能检测到以下一些攻击事件,如多数的扫描、嗅探、后门、病毒、拒绝服务、分布式拒绝服务、非授权访问、欺骗等。由于它们大多是以误用检测的分析方法为主,因此有的漏报率相对高一些,特征知识库更新速度相对也要慢一些。
入侵检测应该与操作系统绑定
目前的入侵检测产品的固有缺陷是,与操作系统结合程度不紧,这样对于新出现的、比较隐秘的攻击手法和技术,一般很难检测出来,即使对于同一种攻击手法和技术,如果变化复杂些,也很难发现。它们也不能确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了一个系统等。由于一般情况下,只要有攻击,入侵检测系统就会发出警报,这样就可能被黑客利用,不停地发送具有攻击特征的数据包,虽然这对被攻击对象没有什么危险,但能使入侵检测系统淹没在一片报警声中,从而使入侵检测系统失效。此外,它们还会对数据包的内容进行检查,因此对于加密了的数据包,这部分功能就失效了。
由于计算机网络出现的初衷是为了方便通信和交流,充分利用资源,在其发展之初没考虑到安全方面的问题,因此在到了出现网络安全事故时候,才开始采取补救措施,而这种补救是外加的,如现在流行的防火墙、入侵检测系统等,很少涉及到通信协议的修改。操作系统出现之初,也很少考虑到安全,如操作系统的核心是内存管理、进程管理、文件管理,只是考虑如何有效地去管理资源,没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患,由于整个系统庞大,不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,现在的lids在这方面进行了比较深入的研究,否则无论做得怎样好,也是治标不治本。
数据分析的两类常用方法
入侵检测系统进行数据分析有两种常用方法:误用检测、异常检测。误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。特征知识库是将已知的攻击方法和技术的特征提取出来,来建立的一个知识库。
异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同,这样发现与正常行为有不同时,则判断存在攻击。这需要建立正常行为的标准,如登录时错误次数为多少时视为正常。
相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充,但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,问题是正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。
主流的入侵检测方法有三种
通常,入侵检测系统按照其工作原理主要分为三种类型:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛,国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包,与受保护网段内的主机无关,适用范围比较广,并且一般不影响网络流量和受保护主机的性能;基于主机的入侵检测系统检测的数据来源于系统日志、审计记录,与受保护主机的操作系统等有关,因此一般只适用保护特定的计算机。
分布式入侵检测系统这种工作方式比较新,目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。
在漏报率方面国内产品有待提高
现在国际上比较有名的入侵检测系统有ISS公司的RealSecure、Enterasys公司的 Dragon等。他们将基于主机和基于网络的入侵检测技术基础集成在一起,扩大了检测的数据源,降低了漏报率,并且对于检测针对主机的攻击效果比较好。但是这种方法的实施难度特别大,还要考虑到网络中不同计算机操作系统的差异,需要将数据格式进行转换,以达到统一。这些产品系统性能相对比较稳定,特征知识库更新速度比较快。
国内公司生产的入侵检测系统也比较多,如上海复旦光华信息股份有限公司的光华S-Audit网络入侵检测与安全审计系统V3.0、常州远东科技有限公司的“黑客煞星”、长沙天一银河信息产业有限公司的“天一猎鹰入侵检测系统(V1.0)、上海三零卫士信息安全有限公司的鹰眼网络安全监测仪、上海金诺网安的KIDS Ver3.0等。它们的体系结构大同小异,性能相差不大,都能检测到以下一些攻击事件,如多数的扫描、嗅探、后门、病毒、拒绝服务、分布式拒绝服务、非授权访问、欺骗等。由于它们大多是以误用检测的分析方法为主,因此有的漏报率相对高一些,特征知识库更新速度相对也要慢一些。
入侵检测应该与操作系统绑定
目前的入侵检测产品的固有缺陷是,与操作系统结合程度不紧,这样对于新出现的、比较隐秘的攻击手法和技术,一般很难检测出来,即使对于同一种攻击手法和技术,如果变化复杂些,也很难发现。它们也不能确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了一个系统等。由于一般情况下,只要有攻击,入侵检测系统就会发出警报,这样就可能被黑客利用,不停地发送具有攻击特征的数据包,虽然这对被攻击对象没有什么危险,但能使入侵检测系统淹没在一片报警声中,从而使入侵检测系统失效。此外,它们还会对数据包的内容进行检查,因此对于加密了的数据包,这部分功能就失效了。
由于计算机网络出现的初衷是为了方便通信和交流,充分利用资源,在其发展之初没考虑到安全方面的问题,因此在到了出现网络安全事故时候,才开始采取补救措施,而这种补救是外加的,如现在流行的防火墙、入侵检测系统等,很少涉及到通信协议的修改。操作系统出现之初,也很少考虑到安全,如操作系统的核心是内存管理、进程管理、文件管理,只是考虑如何有效地去管理资源,没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患,由于整个系统庞大,不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,现在的lids在这方面进行了比较深入的研究,否则无论做得怎样好,也是治标不治本。
数据分析的两类常用方法
入侵检测系统进行数据分析有两种常用方法:误用检测、异常检测。误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。特征知识库是将已知的攻击方法和技术的特征提取出来,来建立的一个知识库。
异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同,这样发现与正常行为有不同时,则判断存在攻击。这需要建立正常行为的标准,如登录时错误次数为多少时视为正常。
相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充,但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,问题是正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。
休闲聊天轻轻松松避开网络木马的攻击
[ 2007-03-25 03:34:56 | 作者: sun ]
QQ的密码、个人资料和聊天记录能否安全成为至关重要的问题,为了有效地防止聊天记录等本地信息的丢失和被窃,可以采取以下措施:
1.设置本地消息口令
首先按下鼠标右键,从QQ图标上选择“系统参数”,在“系统参数”中选择“安全设置”标签。接着选择“启用本地消息加密”,再依次输入口令并确认口令即可。
同时为了保险一定要勾选“启用本地消息加密口令提示”,设定提示问题和问题答案,按下“确定”使设定生效。在启动QQ输入账号和密码后,软件还会要求输入本地消息口令,否则不能进入。
2.避开木马软件的攻击
当前网络上可以找到很多盗取QQ密码的木马软件,但这些木马软件一般只记录号码位数不超过9位数的QQ登录密码,可以针对这个特点,在登录QQ的时候选择“注册向导”,在“使用已有的QQ号码”中输入的QQ号码前加入一长串0,其位数与原有的QQ号位数相加超过9位数就可以,这样的结果是既不影响正常的QQ登录,又可以避开木马软件对QQ密码的秘密监视了。
3.隐身登录
首先找到以前成功登录过的QQ,在“QQ用户登录”框中找到自己的号码,选中下面“隐身登录”前面的方框,你就可以隐身登录了。
假如你是第一次在这台电脑上登录QQ,登录成功后别人很容易获取你的地址,最好马上选择“离线”,过一会儿你再选择“隐身登录”,这样别人就找不到你的地址了。
4.设置“拒绝陌生人消息”
在“系统设置”的“基本设置”标签里选择“拒绝陌生人消息”。
5.使用“选择代理服务器”
找一个代理服务器,然后在QQ中设置好,别人就只能看到这个代理服务器的IP地址了。
6.知己知彼,减少风险
黑客入侵要经过一套入侵的流程,包括查找IP、扫描通讯录、作业系统分析、弱点分析、密码破解等,总要花费一些时间。所以,滞留在网上的时间越长,黑客完成入侵程序植入的几率就越大。所以没有事情的时候不要挂网,以减少被黑的风险。
1.设置本地消息口令
首先按下鼠标右键,从QQ图标上选择“系统参数”,在“系统参数”中选择“安全设置”标签。接着选择“启用本地消息加密”,再依次输入口令并确认口令即可。
同时为了保险一定要勾选“启用本地消息加密口令提示”,设定提示问题和问题答案,按下“确定”使设定生效。在启动QQ输入账号和密码后,软件还会要求输入本地消息口令,否则不能进入。
2.避开木马软件的攻击
当前网络上可以找到很多盗取QQ密码的木马软件,但这些木马软件一般只记录号码位数不超过9位数的QQ登录密码,可以针对这个特点,在登录QQ的时候选择“注册向导”,在“使用已有的QQ号码”中输入的QQ号码前加入一长串0,其位数与原有的QQ号位数相加超过9位数就可以,这样的结果是既不影响正常的QQ登录,又可以避开木马软件对QQ密码的秘密监视了。
3.隐身登录
首先找到以前成功登录过的QQ,在“QQ用户登录”框中找到自己的号码,选中下面“隐身登录”前面的方框,你就可以隐身登录了。
假如你是第一次在这台电脑上登录QQ,登录成功后别人很容易获取你的地址,最好马上选择“离线”,过一会儿你再选择“隐身登录”,这样别人就找不到你的地址了。
4.设置“拒绝陌生人消息”
在“系统设置”的“基本设置”标签里选择“拒绝陌生人消息”。
5.使用“选择代理服务器”
找一个代理服务器,然后在QQ中设置好,别人就只能看到这个代理服务器的IP地址了。
6.知己知彼,减少风险
黑客入侵要经过一套入侵的流程,包括查找IP、扫描通讯录、作业系统分析、弱点分析、密码破解等,总要花费一些时间。所以,滞留在网上的时间越长,黑客完成入侵程序植入的几率就越大。所以没有事情的时候不要挂网,以减少被黑的风险。
跨站点脚本XSS漏洞危害性
[ 2007-03-25 03:34:43 | 作者: sun ]
安全专家,开发人员或者商业从业人员都明白像SQL注入这样高风险的漏洞的危害。例如,需要注入到存在SQL注入漏洞的应用程序中的xp_cmdshell,它就可以被用来示范攻击者如何用SQL注入的方法,从运行微软SQL Server的主机上获得command prompt。此类范例的影响是看得见的,并且这些漏洞的危害也很明显。
而跨站点脚本(XSS)就会麻烦的多,安全分析师很难给出看得见的范例来清楚说明该漏洞可能造成的后果。通常安全分析师通过注入像alert('xss')的JAVAScript代码来说明XSS的危害,该代码能够导致应用程序显示带有“xss”字样的弹出窗口。从技术角度来说,这种范例确实证明XSS漏洞的存在性,但是它没有真实地反映XSS漏洞的危害性。为了找到自动给出XSS范例的工具或方法,我访问了BeEF。它的站点声称:BeEF是浏览器发掘平台。它的目的就是提供简单的可集成的结构来实时示范浏览器以及XSS的危害。 这种模块结构主要是用BeEF中现存的智能使模块开发成为一个很简单的过程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是个基于PHP的网络应用,它捕捉那些有XSS应用漏洞的用户浏览器的请求。在你的机器上运行BeEF,然后用它发现受XSS影响,而通过XSS请求你的主机(有BeEF)上的资源的应用程序。一旦受害者的浏览器请求BeEF资源,BeEF将发出警告并允许你注入JavaScript代码,执行JavaScript端口扫描(例如受害浏览器将发起扫描:在受害浏览器可能访问的内网环境中进行的端口扫描酒有可能被攻击者利用)等等。这个Flash指南很好地示范了BeEF。
同时,我的一个好朋友也在从事跟BeEF类似的工程。如果他决定对外公开一个可用的版本,我将在此发布。
=============================================
而跨站点脚本(XSS)就会麻烦的多,安全分析师很难给出看得见的范例来清楚说明该漏洞可能造成的后果。通常安全分析师通过注入像alert('xss')的JAVAScript代码来说明XSS的危害,该代码能够导致应用程序显示带有“xss”字样的弹出窗口。从技术角度来说,这种范例确实证明XSS漏洞的存在性,但是它没有真实地反映XSS漏洞的危害性。为了找到自动给出XSS范例的工具或方法,我访问了BeEF。它的站点声称:BeEF是浏览器发掘平台。它的目的就是提供简单的可集成的结构来实时示范浏览器以及XSS的危害。 这种模块结构主要是用BeEF中现存的智能使模块开发成为一个很简单的过程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是个基于PHP的网络应用,它捕捉那些有XSS应用漏洞的用户浏览器的请求。在你的机器上运行BeEF,然后用它发现受XSS影响,而通过XSS请求你的主机(有BeEF)上的资源的应用程序。一旦受害者的浏览器请求BeEF资源,BeEF将发出警告并允许你注入JavaScript代码,执行JavaScript端口扫描(例如受害浏览器将发起扫描:在受害浏览器可能访问的内网环境中进行的端口扫描酒有可能被攻击者利用)等等。这个Flash指南很好地示范了BeEF。
同时,我的一个好朋友也在从事跟BeEF类似的工程。如果他决定对外公开一个可用的版本,我将在此发布。
=============================================
元旦期间,受银行网点休假影响,许多市民可能选择网上银行办理转账、付款等业务。不法分子乘机设套诈骗市民的私人信息。为此,沪上银行提醒,元旦假期市民更要提防假网银。
第一、在任何情况下,银行是不会主动向用户索取网上银行账户、密码的;
第二、对那些要求提供密码、卡号或账户等信息的不明短信、电子邮件都要格外提防,切莫轻信;
第三、遇到可疑状况,应及时打电话与银行进行核实,不要轻易打开不认识的邮件,尤其是一些可执行文件等;
第四、每次登录网银,尽量选择直接输入网址登录,不要从非银行网站的链接间接访问;最好选用数字证书(U盾等)登录作为安全手段。
第一、在任何情况下,银行是不会主动向用户索取网上银行账户、密码的;
第二、对那些要求提供密码、卡号或账户等信息的不明短信、电子邮件都要格外提防,切莫轻信;
第三、遇到可疑状况,应及时打电话与银行进行核实,不要轻易打开不认识的邮件,尤其是一些可执行文件等;
第四、每次登录网银,尽量选择直接输入网址登录,不要从非银行网站的链接间接访问;最好选用数字证书(U盾等)登录作为安全手段。
电脑反复中病毒的防范
[ 2007-03-25 03:34:19 | 作者: sun ]
在很多情况下,同一台电脑经常会发生反复中同一种病毒的事件。比如,中了小邮差后刚杀完毒暂时没事儿了,可过一段时间,病毒又不请自来。这就是所谓的“同一病毒的再感染”。 其实,如何防止病毒再感染是有一些小窍门的。
病毒再感染一般有两个原因:一是病毒有了新的变种,二是没有封堵住病毒的传播途径。对第一种原因,我们采用对杀毒软件在线升级到最新版后,就可以完全解决;第二种原因常会在使用电脑的过程中引发以下多种情况。我们只要认真区别对待,就能解决病毒再感染的相关问题。
1. 系统、工具软件的漏洞
很多病毒利用操作系统和网络工具的漏洞进行传播,比如求职信、小邮差、Bugbear等,它会利用微软浏览器软件的“Iframe”漏洞,即使用户没有打开邮件的附件,仅仅是点击了邮件,病毒就会自动运行了。
2. 病毒伪装,引诱用户上当
这是大多数蠕虫、木马类病毒的常用手段。信件标题或是内容有引诱用户打开附件的文字,利用聊天工具传播藏有恶意代码的网址等等。
3. 用户安全意识不够高
一些用户为图使用方便,对于密码的管理过于简单、过于松懈。比如将密码保存到电脑里,使用一些有规律而且很简单的密码,如1234、abcd等,甚至空密码,这样就会给一些有猜密码功能的病毒创造传播的途径。
4. 局域网管理的松懈
局域网里的所有电脑都可以互联,非常随意地使用共享资源,对共享资源的使用没有设置相应的权限等。
5. 没有共同防毒
朋友、家人、联系人之间,如果只有少部分用户在防毒,同样会造成病毒的泛滥。
以上所有的这些因素都会造成病毒的再感染,在现实使用过程中我们经常只是在中毒后简单地进行杀毒,而没有阻断病毒入侵的通道,这就会使我们经常遭受病毒的骚扰,还抱怨杀毒软件不中用,严重影响正常工作。
现今的病毒可谓是“面面俱到”,部分恶性病毒,例如“Bugbear”,把能用上的传播方法都捆绑于一身,极大增强了病毒传染的效率。为了防止这类病毒的感染,不仅仅需要杀毒软件厂商的高效工作,还需要互联网用户提高自身的防范意识。同样防病毒只有部分人在做,或只是防住了病毒传播的某一途径,也达不到全面防毒的真正目的。所以,只有广大用户都提高了防毒的安全意识,堵住病毒传染的所有途径,才能真正的让病毒无机可乘,无孔而入。
网络安全趣谈:七类黑客各有“黑招”
[ 2007-03-25 03:34:08 | 作者: sun ]
黑客原来也有分别,崆峒,峨嵋,少林,武当,七种黑客,你是哪一种?
恶作剧型:喜欢进入他人网站,以删除某些文字或图像、篡改网址、主页信息来显示自己的厉害,此做法多为增添笑话自娱或娱人。或者进入他人网站内,将其主页内商品资料内容、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。
隐蔽攻击型:躲在暗处以匿名身份对网络发动攻击,往往不易被人识破;或者干脆冒充网络合法用户,侵入网络“行黑"。这种行为由于是在暗处实施的主动攻击行为,因此对社会危害极大。
定时炸弹型:在实施时故意在网络上布下陷阱,或故意在网络维护软件内安插逻辑炸弹或后门程序,在特定的时间或特定条件下,引发一系列具有连锁反应性质的破坏行动,或干扰网络正常运行或致使网络完全瘫痪。此种黑客在原公司离职后,通过连线,在得知原公司Internet地址密码的情形下,可从网上再次了解到原公司网络密址及电子邮件中各项文件资料,进而大量截取原公司最新资料,作为不正当竞争之用。这类黑客是企业内部蛀虫,其危害和影响巨大,有时几乎导致企业的破产倒闭。而混在政府内的这类黑客,破坏性更大。
矛盾制造型:非法进入他人网络,修改其电子邮件的内容或厂商签约日期,进而破坏甲乙双方交易,并借此方式了解双方商谈的报价价格,乘机介入其商品竞争。有些黑客还利用政府上网的机会,修改公众信息,挑起社会矛盾。
职业杀手型:此种黑客以职业杀手著称,经常以监控方式将他人网站内由国外传来的资料迅速清除,使得原网站使用公司无法得知国外最新资料或订单;或者将电脑病毒植入他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,任意修改军方首脑的指示和下级通过网络传递到首脑机关的情报,篡改军事战略部署,导致部队调防和军事运输上的障碍,达到干扰和摧毁国防军事系统的目的。
窃密高手型:出于某些集团利益的需要或者个人的私利,利用高技术手段窃取网络上的加密信息,使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员,导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报,一旦被黑客截获,还可能引发局部地区或全球的经济危机或政治动荡。
业余爱好型:计算机爱好者受到好奇心驱使,往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,属于无意识攻击行为。这种人可以帮助某些内部网堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。
恶作剧型:喜欢进入他人网站,以删除某些文字或图像、篡改网址、主页信息来显示自己的厉害,此做法多为增添笑话自娱或娱人。或者进入他人网站内,将其主页内商品资料内容、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。
隐蔽攻击型:躲在暗处以匿名身份对网络发动攻击,往往不易被人识破;或者干脆冒充网络合法用户,侵入网络“行黑"。这种行为由于是在暗处实施的主动攻击行为,因此对社会危害极大。
定时炸弹型:在实施时故意在网络上布下陷阱,或故意在网络维护软件内安插逻辑炸弹或后门程序,在特定的时间或特定条件下,引发一系列具有连锁反应性质的破坏行动,或干扰网络正常运行或致使网络完全瘫痪。此种黑客在原公司离职后,通过连线,在得知原公司Internet地址密码的情形下,可从网上再次了解到原公司网络密址及电子邮件中各项文件资料,进而大量截取原公司最新资料,作为不正当竞争之用。这类黑客是企业内部蛀虫,其危害和影响巨大,有时几乎导致企业的破产倒闭。而混在政府内的这类黑客,破坏性更大。
矛盾制造型:非法进入他人网络,修改其电子邮件的内容或厂商签约日期,进而破坏甲乙双方交易,并借此方式了解双方商谈的报价价格,乘机介入其商品竞争。有些黑客还利用政府上网的机会,修改公众信息,挑起社会矛盾。
职业杀手型:此种黑客以职业杀手著称,经常以监控方式将他人网站内由国外传来的资料迅速清除,使得原网站使用公司无法得知国外最新资料或订单;或者将电脑病毒植入他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,任意修改军方首脑的指示和下级通过网络传递到首脑机关的情报,篡改军事战略部署,导致部队调防和军事运输上的障碍,达到干扰和摧毁国防军事系统的目的。
窃密高手型:出于某些集团利益的需要或者个人的私利,利用高技术手段窃取网络上的加密信息,使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员,导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报,一旦被黑客截获,还可能引发局部地区或全球的经济危机或政治动荡。
业余爱好型:计算机爱好者受到好奇心驱使,往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,属于无意识攻击行为。这种人可以帮助某些内部网堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。
通用排查 看清木马藏身地
[ 2007-03-25 03:33:48 | 作者: sun ]
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
关闭注册表,打开C:\Autoexec.bat文件,删除如下两行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并关闭Autoexec.exe文件。
●IndocTrination v0.1-v0.11注册表清除实例:
在注册表中打开如下子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
将这些子键右边窗口中的如下键值项删除:
Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注册表清除实例:
打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的键值项数据,将它删除。
打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:\Windowskernel16.dl文件。
●广外女生注册表清除实例:
退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
●Netbull(网络公牛)注册表清除实例:
该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在这些子键下删除键值项“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
●聪明基因注册表清除实例:
删除C:\Windows下的MBBManager.exe和Explore32.exe,再删除C:\WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:\WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:\Windowswinhlp32.exe %1”,恢复hlp文件关联。
以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。