保护好我的文件 赤手空拳给文件加密
[ 2007-03-25 04:05:34 | 作者: sun ]
通常电脑上都有一些隐私文件需要加密或隐藏,不论是使用加密工具还是EFS,一旦遇到密码丢失,或者文件损坏,重要数据将很难挽回,后果不堪设想。如果能够不使用其他辅助软件而只通过设置一些技巧就能达到加密的目的,那该多好,下面介绍几个简单的加密方法:
路径的分隔符号文件夹加密法
加密:大家都知道在WINDOWS中不论是一个“\”还是两个“\ ”符号都代表是路径的分隔符号,比如“C:\WINDOWS\System..exe”的意思就是C分区中的WINDOWS文件夹中的System..exe文件,如果文件名中包含有“\”符号,就会把文件名分成“\”前的目录部分和“\”后的文件名部分,WINDOWS无法打开这种含有“\”的文件,会提示出错。
如果你想在“资源管理器”或“我的电脑”中再创建“S\”,WINDOWS会提示你“\”符号不能作为文件,文件夹的名字。但这类文件名在WINDOWS的命令行下却是有效的。
为检验这个结论,我们可以在D:下建立一个Test目录,点“开始/运行”,输入“CMD”进入命令行方式,具体验证过程如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>md s。。\(代表在test下建立S.目录,系统没有报错,成功创建S.文件夹,不过在“资
源管理器”和“我的电脑”中打开这个文件夹都会报错。为检验这个文件夹能否正常使用,我们可以再
拷贝一个文件123.log到test文件夹中)
D:\test>copy 123.log s..\(系统提示已复制1个文件,说明文件复制成功)
通过上面步骤我们成功隐藏了一个文件夹s..\,并拷贝一个文件123.log到这个文件夹中,无论你怎么设置使用“资源管理器”和“我的电脑”都是不可能打开这个文件夹看到里面的文件的。
提示:如果在建立文件夹时,我们建立的文件夹名为”s..\a”,就可以使文件夹完全隐藏,在任何地方都无法看见。
解密:由于我们无法直接打开这个文件夹,也无法看到里面的内容,为了使用,我们可以把里面的内容拷贝出来。具体操作是:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>copy s..\a\123.log(把123.log拷贝到当前目录下,即可使用)
为方便使用,可以对本办法进行改进,具体步骤如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)D:\test>md s..\(在TEXT下建立S.目录)
D:\md s(在TEXT下建立S目录)
D:\test>copy 123.log s..\(拷贝123.log到s..\内,此时无法打开s..\)
建立一个批处理jiami.bat放在TEXT目录下,内容如下:
copys\*s.\*
del/qs\*
再建立一个jiemi.bat放在test目录下,内容如下:
Copys.\*s\*
操作时,把要加密的文件都拷贝到S目录里,运行jiami.bat,即可机密所有文件,要使用时运行jiemi.bat即可在S目录下还原出所有文件。
DOS命令结合类表识符加解密文件夹法
加密:现在的操作系统越来越大,计算机内的程序没有上万也有上千,即使是文件夹也好多层,平时不小心忘了文件放哪,找起来也相当麻烦,如果我们能将要加密的文件夹依次拷贝转移到一个多层目录下,就能够起到一定的保护作用,具体的操作步骤如下:
在D:下建立一个test目录,在test目录下再建立一个jm目录,然后建立一个批处理文件jiami2.bat,内容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
将需要加密的文件拷贝到d:\test\jm目录下,执行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系统文件夹,一般人不敢随便打开,起到了一定的加密作用。
解密:要使用时,可使用批处理jiemi2.bat来实现,内容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
这种加密方法并没有隐藏文件夹本身,如果有人不小心打开你的c:\winnt\system32,就有可能发现你的秘密,如何能做到不被其他人所识别呢?使用类表识符是一个好想法,当一个文件夹命名中包含类表识符时,文件夹将显示为该类表识符所对应的文件类型图表,并使用相应的关联程序打开这个文件夹。
我们可以在桌面上新建一个文件夹,命名为s.wav.{00020C01—0000—0000—C000—000000000046},确定后,我们发现看到的是一个S.wav的WAV文件,双击,则启动media player提示文件格式错误。如果我们把需要加密的文件夹为伪装成wav文件,那么别人想要获得我们的机密文件就是难上加难了。
这里给出加密批处理jiami3.bat的内容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批处理jiemi3.bat的内容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介绍的是两种隐藏文件夹的方法,如果想隐藏一个文件,那就更简单了,改个文件名,换个深一点的目录,做成自解压程序等,方法还有很多种。
路径的分隔符号文件夹加密法
加密:大家都知道在WINDOWS中不论是一个“\”还是两个“\ ”符号都代表是路径的分隔符号,比如“C:\WINDOWS\System..exe”的意思就是C分区中的WINDOWS文件夹中的System..exe文件,如果文件名中包含有“\”符号,就会把文件名分成“\”前的目录部分和“\”后的文件名部分,WINDOWS无法打开这种含有“\”的文件,会提示出错。
如果你想在“资源管理器”或“我的电脑”中再创建“S\”,WINDOWS会提示你“\”符号不能作为文件,文件夹的名字。但这类文件名在WINDOWS的命令行下却是有效的。
为检验这个结论,我们可以在D:下建立一个Test目录,点“开始/运行”,输入“CMD”进入命令行方式,具体验证过程如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>md s。。\(代表在test下建立S.目录,系统没有报错,成功创建S.文件夹,不过在“资
源管理器”和“我的电脑”中打开这个文件夹都会报错。为检验这个文件夹能否正常使用,我们可以再
拷贝一个文件123.log到test文件夹中)
D:\test>copy 123.log s..\(系统提示已复制1个文件,说明文件复制成功)
通过上面步骤我们成功隐藏了一个文件夹s..\,并拷贝一个文件123.log到这个文件夹中,无论你怎么设置使用“资源管理器”和“我的电脑”都是不可能打开这个文件夹看到里面的文件的。
提示:如果在建立文件夹时,我们建立的文件夹名为”s..\a”,就可以使文件夹完全隐藏,在任何地方都无法看见。
解密:由于我们无法直接打开这个文件夹,也无法看到里面的内容,为了使用,我们可以把里面的内容拷贝出来。具体操作是:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)
D:\test>copy s..\a\123.log(把123.log拷贝到当前目录下,即可使用)
为方便使用,可以对本办法进行改进,具体步骤如下:
C:\>d:(进入D盘)
D:\>CD test(进入TEST目录)D:\test>md s..\(在TEXT下建立S.目录)
D:\md s(在TEXT下建立S目录)
D:\test>copy 123.log s..\(拷贝123.log到s..\内,此时无法打开s..\)
建立一个批处理jiami.bat放在TEXT目录下,内容如下:
copys\*s.\*
del/qs\*
再建立一个jiemi.bat放在test目录下,内容如下:
Copys.\*s\*
操作时,把要加密的文件都拷贝到S目录里,运行jiami.bat,即可机密所有文件,要使用时运行jiemi.bat即可在S目录下还原出所有文件。
DOS命令结合类表识符加解密文件夹法
加密:现在的操作系统越来越大,计算机内的程序没有上万也有上千,即使是文件夹也好多层,平时不小心忘了文件放哪,找起来也相当麻烦,如果我们能将要加密的文件夹依次拷贝转移到一个多层目录下,就能够起到一定的保护作用,具体的操作步骤如下:
在D:下建立一个test目录,在test目录下再建立一个jm目录,然后建立一个批处理文件jiami2.bat,内容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
将需要加密的文件拷贝到d:\test\jm目录下,执行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系统文件夹,一般人不敢随便打开,起到了一定的加密作用。
解密:要使用时,可使用批处理jiemi2.bat来实现,内容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
这种加密方法并没有隐藏文件夹本身,如果有人不小心打开你的c:\winnt\system32,就有可能发现你的秘密,如何能做到不被其他人所识别呢?使用类表识符是一个好想法,当一个文件夹命名中包含类表识符时,文件夹将显示为该类表识符所对应的文件类型图表,并使用相应的关联程序打开这个文件夹。
我们可以在桌面上新建一个文件夹,命名为s.wav.{00020C01—0000—0000—C000—000000000046},确定后,我们发现看到的是一个S.wav的WAV文件,双击,则启动media player提示文件格式错误。如果我们把需要加密的文件夹为伪装成wav文件,那么别人想要获得我们的机密文件就是难上加难了。
这里给出加密批处理jiami3.bat的内容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批处理jiemi3.bat的内容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介绍的是两种隐藏文件夹的方法,如果想隐藏一个文件,那就更简单了,改个文件名,换个深一点的目录,做成自解压程序等,方法还有很多种。
Php脚本木马的高级防范
[ 2007-03-25 04:05:21 | 作者: sun ]
首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:
php_admin_value open_basedir /usr/local/apache/htdocs
这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木马执行webshell
打开safe_mode, 在php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选
3、防止php木马读写文件目录
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php处理文件的函数
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成为
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木马拿我们没辙了,遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
php_admin_value open_basedir /usr/local/apache/htdocs
这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木马执行webshell
打开safe_mode, 在php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选
3、防止php木马读写文件目录
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php处理文件的函数
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成为
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木马拿我们没辙了,遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
推荐:网络攻击概述 几类攻击与防御手法
[ 2007-03-25 04:05:09 | 作者: sun ]
1、服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
防御:在防火墙上过滤掉UDP应答消息。
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
防御:在防火墙上过滤掉UDP应答消息。
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
一、 引言
特洛伊木马是 Trojan Horse 的中译,是借自"木马屠城记"中那只木马的名字。古希腊有大军围攻特洛伊城,逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到"木马"这个奇异的战利品,全城饮酒狂欢。到午夜时份,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今计算机术语借用其名,意思是"一经进入,后患无穷"。特洛伊木马原则上它和Laplink 、 PCanywhere 等程序一样,只是一种远程管理工具。而且本身不带伤害性,也没有感染力,所以不能称之为病毒 (也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的网络客户/服务程序。
1、基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。
2、程序实现:
可以使用VB或VC的Winsock控件来编写网络客户/服务程序, 实现方法如下:
服务器端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen(再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
3、实现木马的控制功能
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述, 主要是使用Windows API函数。
(1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作。
mouse_event模拟一次鼠标事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标
(2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
(3)获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)
e.取得系统版本 GetVersionEx
f.当前显示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。
c.让对方掉线 RasHangUp
d.终止进程 ExitProcess
e.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
(5)远程文件操作
删除文件:File delete
拷贝文件:File copy
共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
(6)注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
三、特洛伊木马隐身方法
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动,木马会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。
四、 特洛伊木马防御原理
知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。
4.查找文件
查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
五、结束语
只要你有一点点的疏忽,就有可能被人安装了木马。所以平时不要随便从网站上下载软件,不要随便运行别人给的软件,经常检查自己的系统文件、注册表、端口,经常去安全站点查看最新的木马公告等等,提高自己的网络安全意识,了解木马的常见伎俩,这样对于保证自己电脑的安全不无裨益。
特洛伊木马是 Trojan Horse 的中译,是借自"木马屠城记"中那只木马的名字。古希腊有大军围攻特洛伊城,逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到"木马"这个奇异的战利品,全城饮酒狂欢。到午夜时份,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今计算机术语借用其名,意思是"一经进入,后患无穷"。特洛伊木马原则上它和Laplink 、 PCanywhere 等程序一样,只是一种远程管理工具。而且本身不带伤害性,也没有感染力,所以不能称之为病毒 (也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的网络客户/服务程序。
1、基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。
2、程序实现:
可以使用VB或VC的Winsock控件来编写网络客户/服务程序, 实现方法如下:
服务器端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen(再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
3、实现木马的控制功能
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述, 主要是使用Windows API函数。
(1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作。
mouse_event模拟一次鼠标事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标
(2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
(3)获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)
e.取得系统版本 GetVersionEx
f.当前显示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。
c.让对方掉线 RasHangUp
d.终止进程 ExitProcess
e.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
(5)远程文件操作
删除文件:File delete
拷贝文件:File copy
共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
(6)注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
三、特洛伊木马隐身方法
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动,木马会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。
四、 特洛伊木马防御原理
知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。
4.查找文件
查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
五、结束语
只要你有一点点的疏忽,就有可能被人安装了木马。所以平时不要随便从网站上下载软件,不要随便运行别人给的软件,经常检查自己的系统文件、注册表、端口,经常去安全站点查看最新的木马公告等等,提高自己的网络安全意识,了解木马的常见伎俩,这样对于保证自己电脑的安全不无裨益。
教你识破十种电子邮件诈骗术
[ 2007-03-25 04:04:41 | 作者: sun ]
一、提供商业机会
这些电子邮件通常都宣称,你可以不必花太多时间或金钱就能赚得优渥之报酬,或声称可提供一个网际网路相关事业的赚钱途径。这些邮件大都有一长串的承诺,但却很少提及详细内容,而这些可能是非法多层次传销业者所伪装之商业机会。
二、提供'大宗电子邮件'商机
这些诈骗者在电子邮件中宣称,他可以出售电子邮件地址名单,内容数以百万笔,以提供你寄出自己的'大宗电子邮件'给这些人而交易获利;有些则宣称可提供自动送出电子邮件给成千上万收信者的电脑软体,或宣称可提供代你寄出大宗邮件的服务;有的则仅是告诉你可以用这种方法赚到许多钱。不过实际上传送'大宗电子邮件'可能违反网际网路服务提供业者(ISP)之规定,而所谓的软体也可能因ISP业者的封锁,只用一次就无法再使用。目前台湾已有类似的受害案例出现。
三、连锁信函
你是否曾有这种经验?收到一封好友或素未谋面的陌生人来信,告诉你他最近如何如何的不顺,结果因为写了这封'幸运函'后,变得多幸运;并且要你像他一样,将这封'幸运函'继续传播给更多的人。而且,信中还告诉你,如果你不理会这封信,你将会遭受到多大的灾厄,如果你把这封信传播出去,将有多大的幸运降临。这种老式的连锁信函(即幸运函)出现在电子邮件中是很自然的事,只是原来的'幸运'被改成了'财富'在这些电子邮件中,你会被要求寄出小额的金钱给名单上的四或五个人,同时把名单中第一个人的名字换上你自己的名字,再把修正后的电子邮件寄出给名单上的这些人,然后就等其他人'寄钱给你',你将收到一笔可观的财富。但几乎所有参加连锁信函的人都会损失他们的金钱。
四、家庭代工骗局
从报纸广告到电子邮件广告,这些家庭代工骗局都使用同一技俩。业者通常会宣称有很好的工作机会,而要求应征者做某一加工或组合工作,而这种诈骗方式通常需要先投资金钱在设备或材料上,并花相当多的时间生产某一公司答应要买回的产品上。但当你花了金钱及投入时间去完成加工组合产品,你可能发现促销者声称你的作品并未达到他们的'品质标准',而拒绝付钱给你。
五、健身及瘦身减肥骗局
这些电子邮件中声称,他有能让你不必运动或改变日常饮食,就可减轻体重的药丸,可融化脂肪细胞使身体吸收的草药秘方,及治疗阳萎与秃头掉发等,这都是充斥电子邮件信箱的诈骗术之一。这些广告通常都有某些消费者'证实'十分有效,或一些从你从未听过的'外国著名医学专家'所做的证词,而且使用如'科技大突破 '、'奇迹般的痊愈'、'独一无二的产品'、'秘方'及'祖传秘方'等之广告用语。事实上,这些'秘方'产品可能使你花钱又伤身。
六、不劳而获的所得
有些电子邮件宣称他们有目前最时髦的快速致富方式,如在世界货币市场上套汇赚取无止境的利润;这些简讯中通常都描述着各种轻松赚钱的机会。而实际情形是,如果这些方法真的有效,这些人为什么不赶快去赚钱,还要在网路上打广告,找人一起'赚钱'呢?
七、免费赠品
有些电子邮件宣称免费提供价值不菲的物品,如电脑、大哥大或其他高价值电子产品,但这些赠品赠奖邮件会要求你先缴交一笔'行政费用'--如'邮寄包装费用 '或'15%的所得税'-或其他费用;当你付了这些费用后,奖品可能永远不会来,也可能奖品只是外面夜市或地摊上的便宜货,价值不及其所宣的十分之一,而你所交的'邮寄费'或'所得税'远比奖品价值还高。有的赠品赠奖邮件则要你先付费加入成为俱乐部会员,然后你将被告知,如果要得到免费奖品,你必需引介一定人数加入成为俱乐部会员。但几乎所有的所得都归于领头促销者,很少或几乎没有任何所得可归于付费参加的消费者。
八、投资机会
这种投资诈骗方式通常会在电子邮件中承诺可观的高投资报酬率且宣称没有任何风险,以吸引投资消费大众。这些信函中对投资本身描述模糊,但却强调高报酬率。他们会声称,公司与高层有财务关系,他们有私人管道可通内线消息,保证该项投资一定成功,或宣称在一段时间后他们会买回该项投资。事实上,他们是利用后加入者的钱支付给较早加入者,使先加入者相信投资方法确实有效,而鼓励他们投资更多。而最后,因为没有足够的钱来继续刺激收入,整个投资计划终将失败,损失的仍是一般投资人。
九、以宽松条件保证获得贷款或信用卡
就像报纸小广告一样,这些电子邮件宣称可提供不需任何条件的小额贷款、汽车质押贷款或房屋二胎贷款,或是声称,不管你个人以往信用如何,保证可以取得免担保信用卡。通常,诈骗者会宣称这些资金是由'海外银行提供',或是'主妇集资',而实际上可能只是骗局,或根本就是由地下钱庄所作之广告,利率永远高得吓人,而且可能有黑道在背后主事。而当你提供资料申请信用卡后,信用卡可能永远到不了你的手上,而你却可能因别人冒用'你的'信用卡而背负一身债。有时候他们会要你吸收'会员',号称可提供你赚钱的机会,目的就是要你吸收更多人受骗上当。
十、渡假村广告或旅游奖品促销
你可能会收到一些电子邮件,恭喜你'中奖',可以用非常吸引人的价格获得一次不可思议的渡假旅游,或说你已经被'特别筛询,可以获得电视、录影机、高级音响,条件是请你与你的配偶一起去听一次为你们'特别安排'的渡假旅游说明会,这也是充满电子邮件信箱的骗术之一。通常,这类的骗术是,你会被要求先以信用卡刷下一堆帐单,预定你的行程,或你会被以紧迫钉人,听四、五个小时以上疲劳轰炸的'说明会'方式,以信用卡分期付款,买下某一渡假村的权利。但是,实际上你所预订的邮轮可能看起来像港口的拖船,旅馆住宿设备可能是普通的,而你如果想升级,则可能必需要付更多的钱。依照你想要的时间安排行程也可能需要额外的费用,渡假村也能是一个普通的旅馆或与世隔绝的小村落。
这些诈骗型态实际上都可能在平面媒体或以其他方式出现过,如公平会以往曾处分过的家庭代工及旅游渡假村广告,只是现在转换成利用网际网路传播,其行为更加隐秘,也较不容易发现邮寄的来源或广告主。公平会建议,民众在使用网际网路时,应该慎防这些骗术,如果有发现这些不法行为,立即向相关单位举发,如果是涉及诈财或吸金行为,可向公安部门(网络犯罪防治中心)检举,而若有涉及不公平竞争行为之不实广告或非法多层次传销行为,可向工商局检举,工商局只要接获检举,一定会严查到底。
浅谈安全扫描软件的检测技术
[ 2007-03-25 04:04:28 | 作者: sun ]
安全扫描通常采用两种策略,第一种是被动式策略,第二种是主动式策略。所谓被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查;而主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描,利用主动式策略扫描称为网络安全扫描。
一、目前安全扫描主要涉及的检测技术
相信读者已经对安全扫描有了一个初步的认识,这里进一步介绍安全扫描的四种检测技术:
① 基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。
② 基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。通常,它涉及到系统的内核,文件的属性,操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确的定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
③ 基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件,系统目标,系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
④ 基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
优秀的安全扫描产品应该是综合了以上4种方法的优点,最大限度的增强漏洞识别的精度。
二、安全扫描在企业部署安全策略中处于重要地位
从前面的介绍可以看出安全扫描在维护计算机安全方面起到的重要作用,但仅仅装备安全扫描软件是不够的。
现有的信息安全产品中主要包括以下几个部分(安全扫描属于评估部分):防火墙,反病毒,加强的用户认证,访问控制和认证,加密,评估,记录报告和预警,安全固化的用户认证,认证,物理安全。这样,在部署安全策略时,有许多其它的安全基础设施要考虑进来,如防火墙,病毒扫描器,认证与识别产品,访问控制产品,加密产品,虚拟专用网等等。如何管理这些设备,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含在安全扫描系统中)的职责。通过监视事件日志,系统受到攻击后的行为和这些设备的信号,作出反应。这样,安全扫描系统就把这些设备有机地结合在一起。因此,而安全扫描是一个完整的安全解决方案中的一个关键部分,在企业部署安全策略中处于非常重要的地位。
大家可能已经注意到防火墙和安全扫描的同时存在,这是因为防火墙是不够的。防火墙充当了外部网和内部网的一个屏障,但是并不是所有的外部访问都是通过防火墙的。比如,一个未经认证的调制解调器把内部网连到了外部网,就对系统的安全构成了威胁。此外,安全威胁往往并不全来自外部,很大一部分来自内部。另外,防火墙本身也很有可能被黑客攻破。
结合了入侵侦测功能后,安全扫描系统具有以下功能:
① 协调了其它的安全设备;
② 使枯燥的系统安全信息易于理解,告诉了你系统发生的事情;
③ 跟踪用户进入,在系统中的行为和离开的信息;
④ 可以报告和识别文件的改动;
⑤ 纠正系统的错误设置;
⑥ 识别正在受到的攻击;
⑦ 减轻系统管理员搜索最近黑客行为的负担;
⑧ 使得安全管理可由普通用户来负责;
⑨ 为制定安全规则提供依据。不过必须注意,安全扫描系统不是万能的。首先,它不能弥补由于认证机制薄弱带来的问题,不能弥补由于协议本身的问题;此外,它也不能处理所有的数据包攻击,当网络繁忙时它也分析不了所有的数据流;当受到攻击后要进行调查,离不开安全专家的参与。
三、网络安全和系统安全主要薄弱环节
要正确部署安全策略、有针对性的使用安全扫描产品,有必要了解一下安全的主要薄弱环节在哪里。下面提到的三个问题是产生安全漏洞的主要原因:
① 软件自身安全性差。很多软件在设计时忽略或者很少考虑安全性问题,考虑了安全性的软件产品也往往因为开发人员缺乏安全培训、没有安全经验而造成了安全漏洞。这样产生的安全漏洞分为两类:第一类,是由于操作系统本省设计缺陷带来的安全漏洞,这类漏洞将被运行在该系统上的应用程序所继承;第二类是应用软件程序的安全漏洞。第二类漏洞更为常见,更需要得到广泛的关注。
② 安全策略不当。保证系统安全不是仅仅使用个别安全工具就能做到的,需要在对网络进行总体分析的前提下制定安全策略,并且用一系列的安全软件来实现一个完整的安全解决方案。常见的错误例子是使用了防火墙而忽略了扫描系统,或者相反。
③ 人员缺乏安全意识。前面阐述的一切都是在技术层面上对网络安全进行分析和讨论,所有这一切都需要人来完成。保证系统的安全,仅靠安全软件是不够的,同时要注重安全管理人才的培养,提高安全防范意识,最终做到安全有效的防范。而当前人员安全意识的培养还远远不够,在现在的网络环境中,绝大多数漏洞存在的原因在于管理员对系统进行了错误的配置,或者没有及时的升级系统软件到最新的版本。
四、安全扫描技术的发展趋势
安全扫描软件从最初的专门为UNIX系统编写的一些只具有简单功能的小程序,发展到现在,已经出现了多个运行在各种操作系统平台上的、具有复杂功能的商业程序。今后的发展趋势,我们认为有以下几点:
① 使用插件(plugin)或者叫做功能模块技术。每个插件都封装一个或者多个漏洞的测试手段,主扫描程序通过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能,扫描更多漏洞。在插件编写规范公布的情况下,用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。
② 使用专用脚本语言。这其实就是一种更高级的插件技术,用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比较简单易学,往往用十几行代码就可以定制一个简单的测试,为软件添加新的测试项。脚本语言的使用,简化了编写新插件的编程工作,使扩充软件功能的工作变得更加容易,也更加有趣。
③ 由安全扫描程序到安全评估专家系统。最早的安全扫描程序只是简单的把各个扫描测试项的执行结果罗列出来,直接提供给测试者而不对信息进行任何分析处理。而当前较成熟的扫描系统都能够将对单个主机的扫描结果整理,形成报表,能够并对具体漏洞提出一些解决方法,但对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案。未来的安全扫描系统,应该不但能够扫描安全漏洞,还能够智能化的协助网络信息系统管理人员评估本网络的安全状况,给出安全建议,成为一个安全评估专家系统。
五、用户选择安全扫描产品应注意的问题
谈到这里,也许有些计算机安全管理人员开始考虑购买一套安全扫描系统,那么,购买此类产品需要考虑哪些方面呢?我们认为以下几点是要注意的:
① 升级问题。由于当今应用软件功能日趋复杂化、软件公司在编写软件时很少考虑安全性等等多种原因,网络软件漏洞层出不穷,这使优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此,在选择产品时,首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握,同时要注意产品制造者有没有足够的技术力量来保证对新出现漏洞作出迅速的反应。
② 可扩充性。对具有比较深厚的网络知识,并且希望自己扩充产品功能的用户来说,应用了功能模块或插件技术的产品应该是首选。
③ 全面的解决方案。前面已经指出,网络安全管理需要多种安全产品来实现,仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统,要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。
④ 人员培训。前面已经分析过,网络安全中人是薄弱的一环,许多安全因素是与网络用户密切相关的,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此,在选择安全扫描产品时,要考虑制造商有无能力提供安全技术培训。
有关安全扫描的知识就谈到这里,希望能够有助于读者增加安全知识、提高安全意识,在大家的共同的努力下,加强我国的网络安全建设。
一、目前安全扫描主要涉及的检测技术
相信读者已经对安全扫描有了一个初步的认识,这里进一步介绍安全扫描的四种检测技术:
① 基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。
② 基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。通常,它涉及到系统的内核,文件的属性,操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确的定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
③ 基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件,系统目标,系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
④ 基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
优秀的安全扫描产品应该是综合了以上4种方法的优点,最大限度的增强漏洞识别的精度。
二、安全扫描在企业部署安全策略中处于重要地位
从前面的介绍可以看出安全扫描在维护计算机安全方面起到的重要作用,但仅仅装备安全扫描软件是不够的。
现有的信息安全产品中主要包括以下几个部分(安全扫描属于评估部分):防火墙,反病毒,加强的用户认证,访问控制和认证,加密,评估,记录报告和预警,安全固化的用户认证,认证,物理安全。这样,在部署安全策略时,有许多其它的安全基础设施要考虑进来,如防火墙,病毒扫描器,认证与识别产品,访问控制产品,加密产品,虚拟专用网等等。如何管理这些设备,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含在安全扫描系统中)的职责。通过监视事件日志,系统受到攻击后的行为和这些设备的信号,作出反应。这样,安全扫描系统就把这些设备有机地结合在一起。因此,而安全扫描是一个完整的安全解决方案中的一个关键部分,在企业部署安全策略中处于非常重要的地位。
大家可能已经注意到防火墙和安全扫描的同时存在,这是因为防火墙是不够的。防火墙充当了外部网和内部网的一个屏障,但是并不是所有的外部访问都是通过防火墙的。比如,一个未经认证的调制解调器把内部网连到了外部网,就对系统的安全构成了威胁。此外,安全威胁往往并不全来自外部,很大一部分来自内部。另外,防火墙本身也很有可能被黑客攻破。
结合了入侵侦测功能后,安全扫描系统具有以下功能:
① 协调了其它的安全设备;
② 使枯燥的系统安全信息易于理解,告诉了你系统发生的事情;
③ 跟踪用户进入,在系统中的行为和离开的信息;
④ 可以报告和识别文件的改动;
⑤ 纠正系统的错误设置;
⑥ 识别正在受到的攻击;
⑦ 减轻系统管理员搜索最近黑客行为的负担;
⑧ 使得安全管理可由普通用户来负责;
⑨ 为制定安全规则提供依据。不过必须注意,安全扫描系统不是万能的。首先,它不能弥补由于认证机制薄弱带来的问题,不能弥补由于协议本身的问题;此外,它也不能处理所有的数据包攻击,当网络繁忙时它也分析不了所有的数据流;当受到攻击后要进行调查,离不开安全专家的参与。
三、网络安全和系统安全主要薄弱环节
要正确部署安全策略、有针对性的使用安全扫描产品,有必要了解一下安全的主要薄弱环节在哪里。下面提到的三个问题是产生安全漏洞的主要原因:
① 软件自身安全性差。很多软件在设计时忽略或者很少考虑安全性问题,考虑了安全性的软件产品也往往因为开发人员缺乏安全培训、没有安全经验而造成了安全漏洞。这样产生的安全漏洞分为两类:第一类,是由于操作系统本省设计缺陷带来的安全漏洞,这类漏洞将被运行在该系统上的应用程序所继承;第二类是应用软件程序的安全漏洞。第二类漏洞更为常见,更需要得到广泛的关注。
② 安全策略不当。保证系统安全不是仅仅使用个别安全工具就能做到的,需要在对网络进行总体分析的前提下制定安全策略,并且用一系列的安全软件来实现一个完整的安全解决方案。常见的错误例子是使用了防火墙而忽略了扫描系统,或者相反。
③ 人员缺乏安全意识。前面阐述的一切都是在技术层面上对网络安全进行分析和讨论,所有这一切都需要人来完成。保证系统的安全,仅靠安全软件是不够的,同时要注重安全管理人才的培养,提高安全防范意识,最终做到安全有效的防范。而当前人员安全意识的培养还远远不够,在现在的网络环境中,绝大多数漏洞存在的原因在于管理员对系统进行了错误的配置,或者没有及时的升级系统软件到最新的版本。
四、安全扫描技术的发展趋势
安全扫描软件从最初的专门为UNIX系统编写的一些只具有简单功能的小程序,发展到现在,已经出现了多个运行在各种操作系统平台上的、具有复杂功能的商业程序。今后的发展趋势,我们认为有以下几点:
① 使用插件(plugin)或者叫做功能模块技术。每个插件都封装一个或者多个漏洞的测试手段,主扫描程序通过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能,扫描更多漏洞。在插件编写规范公布的情况下,用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。
② 使用专用脚本语言。这其实就是一种更高级的插件技术,用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比较简单易学,往往用十几行代码就可以定制一个简单的测试,为软件添加新的测试项。脚本语言的使用,简化了编写新插件的编程工作,使扩充软件功能的工作变得更加容易,也更加有趣。
③ 由安全扫描程序到安全评估专家系统。最早的安全扫描程序只是简单的把各个扫描测试项的执行结果罗列出来,直接提供给测试者而不对信息进行任何分析处理。而当前较成熟的扫描系统都能够将对单个主机的扫描结果整理,形成报表,能够并对具体漏洞提出一些解决方法,但对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案。未来的安全扫描系统,应该不但能够扫描安全漏洞,还能够智能化的协助网络信息系统管理人员评估本网络的安全状况,给出安全建议,成为一个安全评估专家系统。
五、用户选择安全扫描产品应注意的问题
谈到这里,也许有些计算机安全管理人员开始考虑购买一套安全扫描系统,那么,购买此类产品需要考虑哪些方面呢?我们认为以下几点是要注意的:
① 升级问题。由于当今应用软件功能日趋复杂化、软件公司在编写软件时很少考虑安全性等等多种原因,网络软件漏洞层出不穷,这使优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此,在选择产品时,首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握,同时要注意产品制造者有没有足够的技术力量来保证对新出现漏洞作出迅速的反应。
② 可扩充性。对具有比较深厚的网络知识,并且希望自己扩充产品功能的用户来说,应用了功能模块或插件技术的产品应该是首选。
③ 全面的解决方案。前面已经指出,网络安全管理需要多种安全产品来实现,仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统,要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。
④ 人员培训。前面已经分析过,网络安全中人是薄弱的一环,许多安全因素是与网络用户密切相关的,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此,在选择安全扫描产品时,要考虑制造商有无能力提供安全技术培训。
有关安全扫描的知识就谈到这里,希望能够有助于读者增加安全知识、提高安全意识,在大家的共同的努力下,加强我国的网络安全建设。
禁用Scripting Host防范网页黑手
[ 2007-03-25 04:04:15 | 作者: sun ]
来自网络的攻击手段越来越多了,一些恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序、javaScript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。
目前来自网页黑手的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页等,关于此方面的文章比较多。下面就来介绍一些针对破坏Windows系统的网页黑手的防范方法。
黑手之一 格式化硬盘
这是一种非常危险的网页黑手,它会通过IE执行ActiveX部件并调用Format.com或Deltree.exe将硬盘格式化或者删除文件夹。在感染此类破坏程序后,会出现一个信息提示框,提示:“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?yes,no”,如果单击“是”,那么硬盘就会被迅速格式化,而这一切都是在后台运行的,不易被察觉。
防范的方法是:将本机的Format.com或Deltree.exe命令改名字。另外,对于莫名出现的提示问题,不要轻易回答“是”。可以按下[Ctrl+Alt+Del]组合键在弹出的“关闭程序”窗口中,将不能确认的进程中止执行。
黑手之二 耗尽系统资源
这种网页黑手会执行一段Java Script代码并产生一个死循环,以至不断消耗本机系统资源,最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中,只要打开附件程序后,屏幕上就会出现无数个IE窗口,最后只有重新启动计算机。
防范的方法是:不要轻易进入不了解的网站,也不要随便打开陌生人发来的E-mail中的附件,比如扩展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法读取文件
此类黑手会通过对ActiveX、JavaScript和WebBrowser control的调用来达到对本地文件进行读取。它还可以利用浏览器漏洞实现对本地文件的读取,避免此类攻击可以关闭禁用浏览器的JavaScript功能。
黑手之四 获取控制权限
此类黑手会利用IE执行Actives时候发生,虽然说IE提供对于“下载已签名的ActiveX控件”进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支:
解决方法是在注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
对于来自网上的种种攻击,在提高防范意识的同时,还需做好预防工作。
1.设定安全级别
鉴于很多攻击是通过包含有恶意脚本实现攻击,可以提高IE的级别。在IE中执行“工具/Internet选项”命令,然后选择“安全”选项卡,选择“Internet”后单击[自定义级别]按钮,在“安全设置”对话框中,将“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”,另外设定安全级别为“高”。需要注意的是,如果选择了“禁用”,一些需要使用ActiveX和脚本的网站可能无法正常显示。
2.过滤指定网页
对于一些包含有恶意代码的网页,可以将其屏蔽,执行“工具/Internet选项”命令,选择内容选项卡,在“分级审查”中单击[启用]按钮,打开“分级审查”对话框,选择“许可站点”选项卡,输入需要屏蔽网址,然后单击[从不]按钮,再单击[确定]按钮。
3.卸载或升级WSH
有些利用VBScript编制的病毒、蠕虫病毒,比如 “I LOVE YOU”和“Newlove”,它们都包含了一个以 VBS为后缀名的附件,打开附件后,用户就会被感染。这些病毒会利用Windows内嵌的 Windows Scripting Host 即WSH进行启动和运行。也就是说,如果将WSH禁用,隐藏在VB脚本中的病毒就无法被激活了。
在Windows 98中禁用WSH,打开“添加/删除”程序,选择“Windows 设置/附件”,并单击“详细资料”,取消“Windows Scripting Host”选项,完成后单击[确定]按钮即可。
在Windows 2000中禁用WSH的方法是,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[确定]即可。
另外,还可以升级WSH 5.6,IE浏览器可以被恶意脚本修改,就是因为IE 5.5以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilr ActiveX对象读取浏览者的注册表,可以在http://www.microsoft.com/下载最新版本的WSH。
4.禁用远程注册表服务
在Windows 2000/XP中,可以点击“控制面板/管理工具/服务”,用鼠标右键单击“Remote Registry”,然后在弹出的快捷方式中选择“属性”命令,在“常规”选项卡中单击[停止]按钮,这样可以拦截部分恶意脚本代码。
5.安装防火墙和杀毒软件
安装防火墙和杀毒软件可以拦截部分恶意代码程序,比如可以安装瑞星杀毒软件。
巧妙利用Hosts文件防止QQ病毒的侵害
[ 2007-03-25 04:04:03 | 作者: sun ]
近来,QQ病毒十分猖獗,此类病毒主要是通过QQ发送能感染病毒的恶意网站地址。
那么,如何防止因误操作而进入那些已知的恶意网站呢?这里笔者向大家介绍一种简单而有效的防范方法——利用Hosts文件防止误进恶意网站!
分析
当我们使用域名访问一个网站的时候,网络中的DNS服务器会将域名解释成相应的IP地址。如果在恶意网站的域名解释成相应的IP地址前就干扰了其解释结果,不就达到了我们的目的了吗?
解决方法
Hosts文件就可帮我们实现这一设想。以Win98系统为例,Hosts文件位于“C:\Windows”目录下,它可以看成本机的一个DNS系统,且它的优先级要高于网络中的DNS服务器。我们可以用记事本打开它,你会看到里面有Hosts文件的使用说明。举个例子,我们可以写入下面的一行:
127.0.0.1 www.test.com
保存后在MS-DOS窗口中运行:
ping www.test.com
大家看到了什么?对!系统把www.test.com这个域名解释成了127.0.0.1(本机IP),这正是我们想要的效果!当然,我们也可以指定成我们常去的网站的IP地址。这下大家明白了吧?我们可以把已知的恶意网站的域名全部解释成本机的IP地址,即:127.0.0.1。这样设置后,当我们误访问恶意网站时,Hosts就会把域名解释成本机的地址,以实现防止误进入恶意网站的目的。笔者把几个举例的网站地址(举例说明,不是真实网址)写进了Hosts文件中后,大家再访问这些网址时,会直接访问127.0.0.1:
127.0.0.1 www.123.com
127.0.0.1 321.123.com
127.0.0.1 213.123.com
127.0.0.1 321.123.com
注意事项:Hosts文件默认保存的文件名是Hosts.sam,大家修改后要一定将扩展名.sam去掉,否则无效。
在保存完Hosts文件后,尽量多刷新几次系统。
那么,如何防止因误操作而进入那些已知的恶意网站呢?这里笔者向大家介绍一种简单而有效的防范方法——利用Hosts文件防止误进恶意网站!
分析
当我们使用域名访问一个网站的时候,网络中的DNS服务器会将域名解释成相应的IP地址。如果在恶意网站的域名解释成相应的IP地址前就干扰了其解释结果,不就达到了我们的目的了吗?
解决方法
Hosts文件就可帮我们实现这一设想。以Win98系统为例,Hosts文件位于“C:\Windows”目录下,它可以看成本机的一个DNS系统,且它的优先级要高于网络中的DNS服务器。我们可以用记事本打开它,你会看到里面有Hosts文件的使用说明。举个例子,我们可以写入下面的一行:
127.0.0.1 www.test.com
保存后在MS-DOS窗口中运行:
ping www.test.com
大家看到了什么?对!系统把www.test.com这个域名解释成了127.0.0.1(本机IP),这正是我们想要的效果!当然,我们也可以指定成我们常去的网站的IP地址。这下大家明白了吧?我们可以把已知的恶意网站的域名全部解释成本机的IP地址,即:127.0.0.1。这样设置后,当我们误访问恶意网站时,Hosts就会把域名解释成本机的地址,以实现防止误进入恶意网站的目的。笔者把几个举例的网站地址(举例说明,不是真实网址)写进了Hosts文件中后,大家再访问这些网址时,会直接访问127.0.0.1:
127.0.0.1 www.123.com
127.0.0.1 321.123.com
127.0.0.1 213.123.com
127.0.0.1 321.123.com
注意事项:Hosts文件默认保存的文件名是Hosts.sam,大家修改后要一定将扩展名.sam去掉,否则无效。
在保存完Hosts文件后,尽量多刷新几次系统。
单凭防火墙再也不足以保护网上资产。如今,黑客及其攻击策略是越来越精明、越来越危险。当前的一大威胁就是应用层攻击,这类攻击可以偷偷潜入防火墙、直至潜入Web应用。没错,这类攻击有不少喜欢把宝贵的客户数据作为下手目标。
那么,为什么普通防火墙阻止不了这类攻击呢?因为这类攻击伪装成正常流量,没有特别大的数据包,地址和内容也没有可疑的不相配,所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击(SQL injection)。在这种攻击中,黑客利用你自己的其中一张HTML表单,未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序,狡猾的黑客就可以在服务器上随意执行命令。
另一些攻击比较简单。譬如说,HTML注释里面往往含有敏感信息,包括不谨慎的编程人员留下的登录信息。于是,针对应用层的攻击手段,从篡改cookies到更改HTML表单里面的隐藏字段,完全取决于黑客的想象力。不过好消息是,大多数这类攻击是完全可以阻止的。
如果结合使用,两种互为补充的方案可以提供稳固防线。首先,使用应用扫描器彻底扫描你的Web应用,查找漏洞。然后,使用Web应用防火墙阻止不法分子闯入。
应用扫描器基本上可以对你的服务器发动一系列模拟攻击,然后汇报结果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在详细列出缺陷、建议补救方法方面的功能都相当全面。AppScan Audit尤其值得关注,因为这款产品具有事后检查功能,可以帮助编程人员在编制代码时就查出漏洞。不过,这些工具包没有一款比得上安全专业人士的全面审查。
一旦你设法堵住了漏洞,接下来就是部署Web应用防火墙。这类防火墙的工作方式很有意思:弄清楚进出应用的正常流量的样子,然后查出不正常流量。为此,Web应用防火墙必须比普通防火墙更深层地检查数据包。Check Point在这方面最出名,不过KaVaDo、NetContinuum、Sanctum和Teros等其它厂商的名气相对要小。这类防火墙有的采用软件,有的采用硬件,还有一些则兼而有之。不过别误以为这类防火墙是即插即用的,即便采用硬件的也不能。与入侵检测系统一样,你也要认真调整Web应用防火墙,以减少误报,又不让攻击潜入进来。
由于垃圾邮件以及越来越狡猾的攻击,如果您以为安装防火墙就万事大吉,高枕无忧的话,您就应该好好想想上面所说您该如何应对。
偷窥五式
一、你在输入账号时,没有发觉背后有眼,有人暗暗记下了你的账号。
二、你在网吧上网,上网后留下了记录,有人用解密工具将你的密码解读了出来。
三、你去维修电脑,机器上存留的号码被维修电脑人记了下来。
四、美女或美男计。网友甜言蜜语口口声声“美女”、“帅哥”地求你将你的顶级账号借给她(他)玩玩,然后你的装备瞬间易主。
五、伪装成官方服务人员,要求搜集玩家资料,从而骗取账号和密码。
种木马五式
一、直接安装。在一些没有正式营业执照的网吧,图谋不轨的人员向网吧机器上直接安装木马。
二、与流行软件捆绑法。如与一些大家经常下载使用的输入法、QQ、网络游戏外挂等等程序捆绑,在你下载安装这些程序时,木马也被安装到机器中。
三、嵌入恶意网页。一些心怀叵测之徒在网页中嵌入木马程序,专为盗取受害者的账号和密码。
四、通过电子邮件传播。
五、通过远程扫描查找开放端口或是系统漏洞,然后远程侵入盗取账号或安装木马
