解决ASP(图像)上传漏洞的方法
[ 2007-03-25 03:22:57 | 作者: sun ]
经常听说的ASP上传漏洞,即是将一些木马文件修改后缀名(修改为图像文件后缀),进行上传。
针对此情况使用下列函数进行辨别:
<%
'******************************************************************
'CheckFileType 函数用来检查文件是否为图片文件
'参数filename是本地文件的路径
'如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false
'******************************************************************
const adTypeBinary=1
dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>
那么在应用的时候
CheckFileType(server.mappath("cnbruce.jpg"))
或者
CheckFileType("F:/web/164/images/cnbruce.jpg"))
反正即是检测验证本地物理地址的图像文件类型,返回 true 或 false值
所以这个情况应用在图像上传中,目前的办法是先允许该“伪图像”文件的上传,接着使用以上的自定义函数判断该文件是否符合图像的规范,若是木马伪装的图像文件则FSO删除之,比如:
file.SaveAs Server.mappath(filename) '保存文件
If not CheckFileType(Server.mappath(filename)) then
response.write "错误的图像格式"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ficn = fso.GetFile(Server.mappath(filename))
ficn.delete
set ficn=nothing
set fso=nothing
response.end
end if
则是先将文件上传,接着立马使用自定义函数判断文件图像类型的吻合性,FSO做出删除该文件的操作。
ASP上传漏洞还利用"\0"对filepath进行手脚操作
http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635
针对这样的情况可使用如下函数
function TrueStr(fileTrue)
str_len=len(fileTrue)
pos=Instr(fileTrue,chr(0))
if pos=0 or pos=str_len then
TrueStr=true
else
TrueStr=false
end if
end function
接着就可判断后再做文件的上传
if TrueStr(filename)=false then
response.write "非法文件"
response.end
end if
file.SaveAs Server.mappath(filename)
所以,在Blog中的一文:(ASP)文件系统之化境无组件(v2.0)上传
关于upfile.asp的全新内容如下:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <!--#include file="upload.inc"--> <html> <head> <title>文件上传</title> <meta http-equiv="content-type" content="text/html;charset=gb2312"> </head> <body> <% on error resume next dim upload,f_folder,file,formPath,iCount,filename,fileExt,filesizemin,filesizemax '****************************************************************** 'CheckFileType 函数用来检查文件是否为图片文件 '参数filename是本地文件的路径 '如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false '****************************************************************** const adTypeBinary=1 dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47) dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61) function CheckFileType(filename) CheckFileType=false dim fstream,fileExt,stamp,i fileExt=mid(filename,InStrRev(filename,".")+1) set fstream=Server.createobject("ADODB.Stream") fstream.Open fstream.Type=adTypeBinary fstream.LoadFromFile filename fstream.position=0 select case fileExt case "jpg","jpeg" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false next case "gif" stamp=fstream.read(6) for i=0 to 5 if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false next case "png" stamp=fstream.read(4) for i=0 to 3 if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false next case "bmp" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false next end select fstream.Close set fseteam=nothing if err.number<>0 then CheckFileType=false end function function TrueStr(fileTrue) str_len=len(fileTrue) pos=Instr(fileTrue,chr(0)) if pos=0 or pos=str_len then TrueStr=true else TrueStr=false end if end function filesizemin=100 filesizemax=200*1024 set upload=new upload_5xSoft '建立上传对象 f_folder=upload.form("upfilefolder") '********************************列出所有上传文件*************************************************** For each formName in upload.objFile set file=upload.file(formName) If file.filesize>0 then '********************************检测文件大小*************************************************** If file.filesize<filesizemin Then response.write "你上传的文件太小了 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" ElseIf file.filesize>filesizemax then response.write "文件大小超过了 "&filesizemax&"字节 限制 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" End If '********************************检测文件类型**************************************************** fileExt=ucase(right(file.filename,4)) uploadsuc=false Forum_upload="RAR|ZIP|SWF|JPG|PNG|GIF|DOC|TXT|CHM|PDF|ACE|MP3|WMA|WMV|MIDI|AVI|RM|RA|RMVB|MOV|XLS" Forumupload=split(Forum_upload,"|") for i=0 to ubound(Forumupload) if fileEXT="."&trim(Forumupload(i)) then uploadsuc=true exit for else uploadsuc=false end if next if uploadsuc=false then response.write "文件格式不正确 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" response.end end if '********************************建立文件上传的目录文件夹**************************************** Set upf=Server.CreateObject("Scripting.FileSystemObject") If Err<>0 Then Err.Clear response.write("您的服务器不支持FSO") response.end End If f_type= replace(fileExt,".","") f_name= year(now)&"-"&month(now) If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type&"/"&f_name))=False Then If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type))=False Then If upf.FolderExists(Server.MapPath(f_folder))=False Then upf.CreateFolder Server.MapPath(f_folder) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If End If f_ftn=f_folder&"/"&f_type&"/"&f_name Set upf=Nothing '********************************保存上传文件至文件夹***************************************** randomize ranNum=int(90000*rnd)+10000 filename=f_ftn&"/"&day(now)&"-"&ranNum&"-"&file.filename if TrueStr(filename)=false then response.write "非法文件" response.end end if if file.filesize>filesizemin and file.filesize<filesizemax then file.SaveAs Server.mappath(filename) '保存文件 if f_type="JPG" or f_type="GIF" or f_type="PNG" then If not CheckFileType(Server.mappath(filename)) then response.write "错误的图像格式 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" Set fso = CreateObject("Scripting.FileSystemObject") Set ficn = fso.GetFile(Server.mappath(filename)) ficn.delete set ficn=nothing set fso=nothing response.end end if response.write "<script>parent.cn_bruce.cn_content.value+='!["&filename&"]("&filename&")
'</script>" ElseIf f_type="ZIP" or f_type="RAR" or f_type="DOC" or f_type="TXT" then response.write "<script>parent.cn_bruce.cn_content.value+='"&filename&"'</script>" 'ElseIf else response.write "<script>parent.cn_bruce.cn_content.value+=' "&filename&" '</script>" end if iCount=iCount+1 end if set file=nothing end if next set upload=nothing '删除此对象 response.write (iCount&" 个文件上传成功! <a href=# onclick=history.go(-1)>继续上传</a>") %> </body> </html>
[Ctrl+A 全部选择 提示:你可先修改部分代码,再按运行]
另外,请各位调试是否具有上传漏洞:
http://www.164.cc/2006/upf/
针对此情况使用下列函数进行辨别:
<%
'******************************************************************
'CheckFileType 函数用来检查文件是否为图片文件
'参数filename是本地文件的路径
'如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false
'******************************************************************
const adTypeBinary=1
dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>
那么在应用的时候
CheckFileType(server.mappath("cnbruce.jpg"))
或者
CheckFileType("F:/web/164/images/cnbruce.jpg"))
反正即是检测验证本地物理地址的图像文件类型,返回 true 或 false值
所以这个情况应用在图像上传中,目前的办法是先允许该“伪图像”文件的上传,接着使用以上的自定义函数判断该文件是否符合图像的规范,若是木马伪装的图像文件则FSO删除之,比如:
file.SaveAs Server.mappath(filename) '保存文件
If not CheckFileType(Server.mappath(filename)) then
response.write "错误的图像格式"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ficn = fso.GetFile(Server.mappath(filename))
ficn.delete
set ficn=nothing
set fso=nothing
response.end
end if
则是先将文件上传,接着立马使用自定义函数判断文件图像类型的吻合性,FSO做出删除该文件的操作。
ASP上传漏洞还利用"\0"对filepath进行手脚操作
http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635
针对这样的情况可使用如下函数
function TrueStr(fileTrue)
str_len=len(fileTrue)
pos=Instr(fileTrue,chr(0))
if pos=0 or pos=str_len then
TrueStr=true
else
TrueStr=false
end if
end function
接着就可判断后再做文件的上传
if TrueStr(filename)=false then
response.write "非法文件"
response.end
end if
file.SaveAs Server.mappath(filename)
所以,在Blog中的一文:(ASP)文件系统之化境无组件(v2.0)上传
关于upfile.asp的全新内容如下:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <!--#include file="upload.inc"--> <html> <head> <title>文件上传</title> <meta http-equiv="content-type" content="text/html;charset=gb2312"> </head> <body> <% on error resume next dim upload,f_folder,file,formPath,iCount,filename,fileExt,filesizemin,filesizemax '****************************************************************** 'CheckFileType 函数用来检查文件是否为图片文件 '参数filename是本地文件的路径 '如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false '****************************************************************** const adTypeBinary=1 dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47) dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61) function CheckFileType(filename) CheckFileType=false dim fstream,fileExt,stamp,i fileExt=mid(filename,InStrRev(filename,".")+1) set fstream=Server.createobject("ADODB.Stream") fstream.Open fstream.Type=adTypeBinary fstream.LoadFromFile filename fstream.position=0 select case fileExt case "jpg","jpeg" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false next case "gif" stamp=fstream.read(6) for i=0 to 5 if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false next case "png" stamp=fstream.read(4) for i=0 to 3 if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false next case "bmp" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false next end select fstream.Close set fseteam=nothing if err.number<>0 then CheckFileType=false end function function TrueStr(fileTrue) str_len=len(fileTrue) pos=Instr(fileTrue,chr(0)) if pos=0 or pos=str_len then TrueStr=true else TrueStr=false end if end function filesizemin=100 filesizemax=200*1024 set upload=new upload_5xSoft '建立上传对象 f_folder=upload.form("upfilefolder") '********************************列出所有上传文件*************************************************** For each formName in upload.objFile set file=upload.file(formName) If file.filesize>0 then '********************************检测文件大小*************************************************** If file.filesize<filesizemin Then response.write "你上传的文件太小了 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" ElseIf file.filesize>filesizemax then response.write "文件大小超过了 "&filesizemax&"字节 限制 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" End If '********************************检测文件类型**************************************************** fileExt=ucase(right(file.filename,4)) uploadsuc=false Forum_upload="RAR|ZIP|SWF|JPG|PNG|GIF|DOC|TXT|CHM|PDF|ACE|MP3|WMA|WMV|MIDI|AVI|RM|RA|RMVB|MOV|XLS" Forumupload=split(Forum_upload,"|") for i=0 to ubound(Forumupload) if fileEXT="."&trim(Forumupload(i)) then uploadsuc=true exit for else uploadsuc=false end if next if uploadsuc=false then response.write "文件格式不正确 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" response.end end if '********************************建立文件上传的目录文件夹**************************************** Set upf=Server.CreateObject("Scripting.FileSystemObject") If Err<>0 Then Err.Clear response.write("您的服务器不支持FSO") response.end End If f_type= replace(fileExt,".","") f_name= year(now)&"-"&month(now) If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type&"/"&f_name))=False Then If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type))=False Then If upf.FolderExists(Server.MapPath(f_folder))=False Then upf.CreateFolder Server.MapPath(f_folder) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If End If f_ftn=f_folder&"/"&f_type&"/"&f_name Set upf=Nothing '********************************保存上传文件至文件夹***************************************** randomize ranNum=int(90000*rnd)+10000 filename=f_ftn&"/"&day(now)&"-"&ranNum&"-"&file.filename if TrueStr(filename)=false then response.write "非法文件" response.end end if if file.filesize>filesizemin and file.filesize<filesizemax then file.SaveAs Server.mappath(filename) '保存文件 if f_type="JPG" or f_type="GIF" or f_type="PNG" then If not CheckFileType(Server.mappath(filename)) then response.write "错误的图像格式 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" Set fso = CreateObject("Scripting.FileSystemObject") Set ficn = fso.GetFile(Server.mappath(filename)) ficn.delete set ficn=nothing set fso=nothing response.end end if response.write "<script>parent.cn_bruce.cn_content.value+='
[Ctrl+A 全部选择 提示:你可先修改部分代码,再按运行]
另外,请各位调试是否具有上传漏洞:
http://www.164.cc/2006/upf/
SNMP网络安全性配置指南
[ 2007-03-25 03:22:44 | 作者: sun ]
如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性呢?SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据,并且在整个公司网络范围内管理基于 Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。
通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问” 尝试,并且可能会发送一条SNMP陷阱消息。
SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。
“IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。
创建筛选器列表
要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。
单击“管理IP筛选器列表”选项卡,然后单击添加。
在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击使用“添加向导”复选框,将其清除,然后单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,选择添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定,在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定 在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。
创建IPSec策略
要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:
右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。
“IP安全策略向导”启动。
单击下一步。
在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中,键入Force IPSec for SNMP Communications,然后单击下一步。
单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。
在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。
单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。
单击筛选器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory默认值(KerberosV5协议)
使用此字符串(预共享密钥)
在新规则属性对话框中,单击应用,然后单击确定。
在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。
在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。
通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问” 尝试,并且可能会发送一条SNMP陷阱消息。
SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。
“IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。
创建筛选器列表
要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。
单击“管理IP筛选器列表”选项卡,然后单击添加。
在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击使用“添加向导”复选框,将其清除,然后单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,选择添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定,在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定 在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。
创建IPSec策略
要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:
右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。
“IP安全策略向导”启动。
单击下一步。
在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中,键入Force IPSec for SNMP Communications,然后单击下一步。
单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。
在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。
单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。
单击筛选器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory默认值(KerberosV5协议)
使用此字符串(预共享密钥)
在新规则属性对话框中,单击应用,然后单击确定。
在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。
在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。
安全杂谈之个人电脑防黑的安全准则
[ 2007-03-25 03:22:34 | 作者: sun ]
在这个网络时代,每个人都可以轻易地从网络上得到各种简单易用的黑客工具,于是,众多“黑客”就诞生了。这些人多半是一些无所事事的网虫,天生就有破坏的欲望。于是无聊+表现欲促使他们拿着从网上找来的各种“炸弹”之类的东西开始在浩大的网络中寻找可以炫耀一下自己本事的猎物。当你在网络上冲浪,或是正在同别人聊天时,机器突然死机了或是蓝屏了,网页不能浏览了,QQ登录不上去了,这时你就该想想自己是不是中毒了,或是被黑了。那么为防止我们的个人电脑被黑客攻击,我们使用电脑时该遵循些什么样的安全准则呢?
密码安全准则
不要使用简单的密码。不要简单地用生日、单词或电话号码作为密码,密码的长度至少要8个字符以上,包含数字、大、小写字母和键盘上的其他字符混合。对于不同的网站和程序,要使用不同口令,以防止被黑客破译。要记录好你的ID和密码以免忘记,但不要将记录存放在上网的电脑里。不要为了下次登录方便而保存密码;还有,要经常更改密码和不要向任何人透露您的密码。
电子邮件安全准则
不要轻易打开电子邮件中的附件,更不要轻易运行邮件附件中的程序,除非你知道信息的来源。要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序,如Happy99就会自动加在E-mail附件当中。不要在网络上随意公布或者留下您的电子邮件地址,去转信站申请一个转信信箱,因为只有它是不怕炸的。在E-mail客户端软件中限制邮件大小和过滤垃圾邮件;使用远程登录的方式来预览邮件;最好申请数字签名;对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。
IE的安全准则
对于使用公共机器上网的网民,一定要注意IE的安全性。因为IE的自动完成功能在给用户填写表单和输入Web地址带来一定便利的同时,也给用户带来了潜在的泄密危险,最好禁用IE的自动完成功能。IE的历史记录中保存了用户已经访问过的所有页面的链接,在离开之前一定要清除历史记录;另外IE的临时文件夹(\Windows\Temporary Internet Files)内保存了用户已经浏览过的网页,通过IE的脱机浏览特性或者是其他第三方的离线浏览软件,其他用户能够轻松地翻阅你浏览的内容,所以离开之前也需删除该路径下的文件。还要使用具有对Cookie程序控制权的安全程序,因为Cookie程序会把信息传送回网站,当然安装个人防火墙也可对Cookie的使用进行禁止、提示或启用。
聊天软件的安全准则
在使用聊天软件的时候,最好设置为隐藏用户,以免别有用心者使用一些专用软件查看到你的IP地址,然后采用一些针对IP 地址的黑客工具对你进行攻击。在聊天室的时候,还要预防Java炸弹,攻击者通常发送一些带恶意代码的HTML语句使你的电脑打开无数个窗口或显示巨型图片,最终导致死机。你只需禁止Java脚本的运行和显示图像功能就可以避免遭到攻击了,但这时你就没法访问一些交互式网页了,这需要你个人权衡。
防止特洛伊木马安全准则
不要太容易信任别人,不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序,如果你一旦安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的电脑。笔者并不是让大家不信任来自Internet的任何东西,因为即使是很大的网站,都有可能遭到黑客的破坏。对于此类软件,即使通过了一般反病毒软件的检查也不要轻易运行,要用如Cleaner等专门的黑客程序清除软件检查,并且需要提醒大家注意的是这些软件的病毒库文件要经常更新。同时不要让他人随意在您的计算机上安装软件。另外如果是购买二手电脑,不要购买或者使用那些曾经受过入侵,但仍未清理过硬盘的二手电脑。因为这样很可能为黑客提供了入侵你的电脑的机会,最好是重新格式化硬盘,并重装操作系统。
定期升级你的系统
很多常用的程序和操作系统的内核都会发现漏洞,某些漏洞会让入侵者很容易进入到你的系统,这些漏洞会以很快的速度在黑客中传开。如近期流传极广的尼姆达病毒就是针对微软信件浏览器的弱点和Windows NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒。因此,用户一定要小心防范。软件的开发商会把补丁公布,以便用户补救这些漏洞。建议用户订阅关于这些漏洞的邮件列表,以便及时知道这些漏洞后打上补丁,以防黑客攻击。当然最好使用最新版本的浏览器软件、电子邮件软件以及其他程序,但不要是测试版本。
安装防火墙
不要在没有防火墙的情况下上网冲浪。如果你使用的是宽带连接,例如ADSL或者光纤,那么你就会在任何时候都连上Internet,这样,你就很有可能成为那些闹着玩的黑客的目标。最好在不需要的时候断开连接,如可以在你的电脑上装上防黑客的防火墙——一种反入侵的程序作为你的电脑的门卫,以监视数据流动或是断开网络连接。如Lockdown2000 、ZoneAlarm、天网或者其他的一些个人防火墙软件。另外如瑞星、江民、金山公司的最新版杀毒软件都附有防火墙,可以起到杀毒、防黑的双重功效,值得信赖。
禁止文件共享
局域网里的用户喜欢将自己的电脑设置为文件共享,以方便相互之间资源共享,但是如果你设了共享的话,就为那些黑客留了后门,这样他们就有机可乘进入你的电脑偷看你的文件,甚至搞些小破坏。建议在非设共享不可的情况下,最好为共享文件夹设置一个密码,否则公众以及你的对手将可以自由地访问你的那些共享文件。
如果你在上网时遵守了以上这些准则的话,就可以在一定程度上保证个人电脑的安全,避免黑客的攻击。
熊猫烧香病毒超强分析(手工查杀方法)
[ 2007-03-25 03:22:23 | 作者: sun ]
本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。
在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
3.找回被熊猫烧香病毒删除的ghost(.gho)文件,请使用EasyRecovery Pro。.gho文件所在分区进行的写操作越少,找回来的几率越大。
4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
被感染的程序(实际图)
以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\Windows\System32\Drivers\spoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分区根目录生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序,可用专杀工具进行修复。
金山熊猫烧香病毒专杀工具
安天熊猫烧香病毒专杀工具
江民熊猫烧香病毒专杀工具
瑞星熊猫烧香病毒专杀工具
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:Windows\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:Windows\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:Windows\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www。victim.net:3389
www。victim.net:80
www。victim.com:80
www。victim.net:80
1
1
120
50000
解决方案:
1. 断开网络
2. 结束病毒进程:%System%\FuckJacks.exe
3. 删除病毒文件:%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
手动恢复中毒文件(在虚拟机上通过测试,供参考)
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-Windoes设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
3.找回被熊猫烧香病毒删除的ghost(.gho)文件,请使用EasyRecovery Pro。.gho文件所在分区进行的写操作越少,找回来的几率越大。
4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
被感染的程序(实际图)
以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\Windows\System32\Drivers\spoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分区根目录生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
“%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7.修复被感染的程序,可用专杀工具进行修复。
金山熊猫烧香病毒专杀工具
安天熊猫烧香病毒专杀工具
江民熊猫烧香病毒专杀工具
瑞星熊猫烧香病毒专杀工具
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:Windows\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:Windows\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:Windows\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www。victim.net:3389
www。victim.net:80
www。victim.com:80
www。victim.net:80
1
1
120
50000
解决方案:
1. 断开网络
2. 结束病毒进程:%System%\FuckJacks.exe
3. 删除病毒文件:%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
手动恢复中毒文件(在虚拟机上通过测试,供参考)
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-Windoes设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
最牛、最全“熊猫烧香”整体解决方案推荐:如何预防“熊猫烧香”系列病毒?
[ 2007-03-25 03:22:11 | 作者: sun ]
近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于已经感染“熊猫烧香”病毒的用户,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于已经感染“熊猫烧香”病毒的用户,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
远离网络钓鱼的44种途径
[ 2007-03-25 03:21:46 | 作者: sun ]
这是一类能够产生数十亿美元金钱的骗局,甚至只要有百分之五的命中率就可以做到,它严重地威胁到客户与电子商铺之间的在线交易。而在那些犯罪者和安全防御人士之间的角逐就如同一场持续的猫鼠游戏——钓鱼攻击、信用卡、名牌欺骗攻击、电子欺骗攻击——总之无论你称它什么都好,无法避免的事实就是这类型的欺诈手段所带给我们的危险性是与日俱增的。
这些侵犯者有着他们自己可以支配的装备——包含在电子邮件内改写后的冒牌站点的看似无害的链接,诱使你输入敏感信息的弹出窗口,突然出现真实网址的伪装后的URL,还有那些当你输入用户名和密码时进行监视和捕获的装置。你并不是一定要成为一个技术精通者才能够保护自己免受钓鱼攻击,只要你能够对自己保持清醒的判断力,意识到并非互联网上所有的站点都是真实可靠的,那就足够了。下面我们就一起来看看44条关于反钓鱼攻击,保护自己的小贴士。
网络钓鱼示意图
简单,但却非常有效的几个方法
1、不要相信陌生人:这条你在孩童时代就已经被教授过的规则在此也同样起作用;绝对不要打开来自你不认识的人所发的电子邮件。将你的垃圾邮件过滤器设置好,让它只能够将那些来自存在于你地址簿中的邮件投递给你。
2、回避这些链接:如果你的垃圾邮件过滤器犯傻了,将一些垃圾邮件投入到了你的收件箱中,而你又碰巧将它们打开了怎么办呢?非常简单——永远不要点击这些邮件中的链接!
3、保护你的隐私:你的鼠标有可能会不小心移到某个链接上,你瞧!你就被输送到了另一个要求你提供例如用户名、银行账户号码、密码、信用卡密码和社会安全号码这样敏感信息的网站。只有一个词送给你——不要!
4、不要害怕:通常,这些欺骗性的网站都伴随着一些威胁和警示,告知如果你不确认你的用户信息你的账户将存在被撤销的危险,或是如果你不遵从这个页面上所写的内容,税务局将随时会找你的麻烦。对于这些,你只需要忽略它们。
5、拿起你的电话并拨打:如果你心存疑问,这些可能会是一个合法的请求,而你的银行又确实有要求你在网上输入一些敏感信息的话,那么请在你有勇无谋地做任何事之前先打电话给你的客户代表向他咨询。
6、使用你的键盘,而不要总是用鼠标:用键盘输入URL地址,而不要通过点击链接进入网上商店或是银行站点这些通常会要求你输入信用卡号和账户号码的地方。
7、寻找一把锁:合法的站点通常会使用加密手段以保证你的敏感信息能够安全地传达,会以一把锁为特征出现在你浏览器窗口的右下角,而不是在网页上。它们的地址通常也都是以https://开头,而不是平常所见的http://。
8、探明不同之处:有时,只是单独地出现锁头标志就足以证明这个站点的可靠。而如果要证明它是名副其实的,则可以双击这个锁头来显示这个站点的安全认证书,再核对一下在认证书上的这个名称是否与地址栏中的相匹配。如果不是的话,你就处在一个有问题的站点,那么赶紧摆脱这个糟糕的境地吧。
9:第二次就会是正确的:如果你担心自己进入了一个模仿成你的银行页面的钓鱼网站,有些时候,最简单的检查方法就是输入一个错误的密码。伪装的站点就会接受这个错误的密码,接着你通常会被带到一个页面,被告知他们正遇到一些技术问题,因此要求你是否能够稍后再试。而真正的银行网站是不会允许你进入的。
10、在此,“不同的”是一个关键词:对不同的站点使用不同的密码;我明白,这是一个有些令你感到有些棘手的要求,好一段时间你的大脑中某些技能总是要经历一些技术性的锻炼,但这确实是一个好的方法,能够防止自己免受钓鱼者获得你所有的敏感事务,即使在他们成功获取了其中一处的情况下。
11、睁大你的双眼:垃圾邮件都充满了语法错误,且通常都不是很个性化,常常是带有一些链接或是值得怀疑的附件。及时地辨认出它们,并揭示出它们是垃圾邮件。
12、熟知详情你就能蔑视他们:你并不能确保当收到电子邮件时能从中辨认出哪些是钓鱼者所发送的?也许你也看到一些例子能够让你知道他们通常都是怎样进行欺骗的。不久后,你就能熟知如何认出伪造的站点。
13、贪婪是不会有好结果的:永远不要参加那些要求你的敏感信息而能够提供金钱的调查。这些通常都是诈骗的攻击行为,以试图掌握你的个人详情。也许你能够获得所承诺的20美元,但更可能的是,你会发现你的账户被扣除了更高的代价。
14、不要离开:千万不要在你登录你的银行账户或在购物网站提供完信用卡信息后让你的计算机无人伴随左右。
15、适时地关闭账户:一旦你完成了你的业务,请适时地登出,而不要仅仅是关闭浏览器窗口,特别是如果你使用的是公共的电脑终端。
16、再仔细认真,也不算过分:定期地登录你的银行账户并密切关注你的资金情况。你也不想哪个美好的日子一早醒来就发现某个钓鱼者正在时不时地榨取了你几百美元。
17、多了解知识没有坏处:保持自己能知晓关于钓鱼的最新的新闻和信息。
18、硬件中留下迹象:当你处理旧计算机或硬盘时要格外留心。回收的计算机曾有过被找出保留的有关网上银行的机密信息的例子。请使用软件删除并对你硬盘上的数据进行反复读写,以确保它无法恢复。
这些侵犯者有着他们自己可以支配的装备——包含在电子邮件内改写后的冒牌站点的看似无害的链接,诱使你输入敏感信息的弹出窗口,突然出现真实网址的伪装后的URL,还有那些当你输入用户名和密码时进行监视和捕获的装置。你并不是一定要成为一个技术精通者才能够保护自己免受钓鱼攻击,只要你能够对自己保持清醒的判断力,意识到并非互联网上所有的站点都是真实可靠的,那就足够了。下面我们就一起来看看44条关于反钓鱼攻击,保护自己的小贴士。
网络钓鱼示意图
简单,但却非常有效的几个方法
1、不要相信陌生人:这条你在孩童时代就已经被教授过的规则在此也同样起作用;绝对不要打开来自你不认识的人所发的电子邮件。将你的垃圾邮件过滤器设置好,让它只能够将那些来自存在于你地址簿中的邮件投递给你。
2、回避这些链接:如果你的垃圾邮件过滤器犯傻了,将一些垃圾邮件投入到了你的收件箱中,而你又碰巧将它们打开了怎么办呢?非常简单——永远不要点击这些邮件中的链接!
3、保护你的隐私:你的鼠标有可能会不小心移到某个链接上,你瞧!你就被输送到了另一个要求你提供例如用户名、银行账户号码、密码、信用卡密码和社会安全号码这样敏感信息的网站。只有一个词送给你——不要!
4、不要害怕:通常,这些欺骗性的网站都伴随着一些威胁和警示,告知如果你不确认你的用户信息你的账户将存在被撤销的危险,或是如果你不遵从这个页面上所写的内容,税务局将随时会找你的麻烦。对于这些,你只需要忽略它们。
5、拿起你的电话并拨打:如果你心存疑问,这些可能会是一个合法的请求,而你的银行又确实有要求你在网上输入一些敏感信息的话,那么请在你有勇无谋地做任何事之前先打电话给你的客户代表向他咨询。
6、使用你的键盘,而不要总是用鼠标:用键盘输入URL地址,而不要通过点击链接进入网上商店或是银行站点这些通常会要求你输入信用卡号和账户号码的地方。
7、寻找一把锁:合法的站点通常会使用加密手段以保证你的敏感信息能够安全地传达,会以一把锁为特征出现在你浏览器窗口的右下角,而不是在网页上。它们的地址通常也都是以https://开头,而不是平常所见的http://。
8、探明不同之处:有时,只是单独地出现锁头标志就足以证明这个站点的可靠。而如果要证明它是名副其实的,则可以双击这个锁头来显示这个站点的安全认证书,再核对一下在认证书上的这个名称是否与地址栏中的相匹配。如果不是的话,你就处在一个有问题的站点,那么赶紧摆脱这个糟糕的境地吧。
9:第二次就会是正确的:如果你担心自己进入了一个模仿成你的银行页面的钓鱼网站,有些时候,最简单的检查方法就是输入一个错误的密码。伪装的站点就会接受这个错误的密码,接着你通常会被带到一个页面,被告知他们正遇到一些技术问题,因此要求你是否能够稍后再试。而真正的银行网站是不会允许你进入的。
10、在此,“不同的”是一个关键词:对不同的站点使用不同的密码;我明白,这是一个有些令你感到有些棘手的要求,好一段时间你的大脑中某些技能总是要经历一些技术性的锻炼,但这确实是一个好的方法,能够防止自己免受钓鱼者获得你所有的敏感事务,即使在他们成功获取了其中一处的情况下。
11、睁大你的双眼:垃圾邮件都充满了语法错误,且通常都不是很个性化,常常是带有一些链接或是值得怀疑的附件。及时地辨认出它们,并揭示出它们是垃圾邮件。
12、熟知详情你就能蔑视他们:你并不能确保当收到电子邮件时能从中辨认出哪些是钓鱼者所发送的?也许你也看到一些例子能够让你知道他们通常都是怎样进行欺骗的。不久后,你就能熟知如何认出伪造的站点。
13、贪婪是不会有好结果的:永远不要参加那些要求你的敏感信息而能够提供金钱的调查。这些通常都是诈骗的攻击行为,以试图掌握你的个人详情。也许你能够获得所承诺的20美元,但更可能的是,你会发现你的账户被扣除了更高的代价。
14、不要离开:千万不要在你登录你的银行账户或在购物网站提供完信用卡信息后让你的计算机无人伴随左右。
15、适时地关闭账户:一旦你完成了你的业务,请适时地登出,而不要仅仅是关闭浏览器窗口,特别是如果你使用的是公共的电脑终端。
16、再仔细认真,也不算过分:定期地登录你的银行账户并密切关注你的资金情况。你也不想哪个美好的日子一早醒来就发现某个钓鱼者正在时不时地榨取了你几百美元。
17、多了解知识没有坏处:保持自己能知晓关于钓鱼的最新的新闻和信息。
18、硬件中留下迹象:当你处理旧计算机或硬盘时要格外留心。回收的计算机曾有过被找出保留的有关网上银行的机密信息的例子。请使用软件删除并对你硬盘上的数据进行反复读写,以确保它无法恢复。
WIN下的PHP环境设置防范PHP木马
[ 2007-03-25 03:21:34 | 作者: sun ]
1. 防止PHP木马跳转其他目录
我们可以把PHP环境下的网站目录锁定,使其不能跳出指定的目录,有两种方法设置
一是可以在http.conf文件设置,假设你的网站目录是E:\yourweb\home,那么就可以在http.conf文件内加上: php_admin_value open_basedir E:\yourweb\home
二是可以在php.ini文件那里设置,找到openbase_dir,把他前面的分号去掉,改为open_basedir=” E:\yourweb\home”
两种方法,有兴趣深入讨论的可以自己找下相关资料下,个人认为还是第二种好,by the way第二种不受safe_mode影响,我建议还是用第二种好,我找了下相关资料,也没有分清两种设置的区别,有这方面的见解的请讨论下,thx
再改php.ini里的allow_url_fopen设为off禁止远程使用文件
2. 防范PHP木马执行系统命令
PHP执行系统命令的方法一般要调用以下几个函数: passthru,exec,shell_exec,system
很多人就是把safe_mode打开了,然后就以为安全了,其实不然,因为每个apache的版本不同,多种方法绕过safe_mode,如XY7今年年初写的imap函数(imap函数默认是关的),还有最近新出的方法绕过safe_mode的,如errorlog方法绕过safe_mode,有兴趣的朋友可以在网上找下相关资料,绕过的方法是蛮多的,综合上述,关了safe_mode后,还有在php.ini里面改以下这东东:
disable_functions= passthru,exec,shell_exec,system
3.关闭错误提示
改了以上东东以后,我们还要改一下错误选择, display_errors = Off,这个在程度测试的时候可以打开,程序正式发布后强烈建议关了
magic_quotes_gpc = On,这个默认是开的,转义用的, get,post,cookie里的引号变为斜杠,如值 (It's "PHP!") 会自动转换成 (It\'s \"PHP!\") 如果不想转成”\”的话,可以在magic_quotes_sybase = On设置为开,他就把单引号转成双引了,这个可以虚张声势.
4.关闭上传
在PHP.ini文件里上传的相关设置,有利也有不利的,看你如何使用了,如: file_uploads = On默认是开的,这个是支持http上传的,如果为了免去上传漏洞使其上传PHP木马的话,你可以把他给Off的了,但,其他的相关http上传就不能用了,权量而用吧.
5.系统权限设置
在WIN下的apache是以系统身份运行的,这时我们可以新建立一个底权限的user组用户,然后,打开”服务”那里,找到apache的服务,把系统权限运置换为低权限的用户,最后设置设置WEB上当下的相关文件权限,如一些用来上传的文件夹设置为可写,其他的设置为只读.安实际情况而定吧.
6.其他
目前还有很多的函数设置还没有搞得完全明白,学习ING中,今天遇到一台服务器,全部是用默认的,里面被挂了N多的马,服务器环境是没有杀毒软件的,于是用了**的超级无敌PHP木马追杀器,如果那个东东能自定义关键字就好了
最后感谢今天给予帮助我的朋友,帅哥XY7,剑心,MX,alpha.
我们可以把PHP环境下的网站目录锁定,使其不能跳出指定的目录,有两种方法设置
一是可以在http.conf文件设置,假设你的网站目录是E:\yourweb\home,那么就可以在http.conf文件内加上: php_admin_value open_basedir E:\yourweb\home
二是可以在php.ini文件那里设置,找到openbase_dir,把他前面的分号去掉,改为open_basedir=” E:\yourweb\home”
两种方法,有兴趣深入讨论的可以自己找下相关资料下,个人认为还是第二种好,by the way第二种不受safe_mode影响,我建议还是用第二种好,我找了下相关资料,也没有分清两种设置的区别,有这方面的见解的请讨论下,thx
再改php.ini里的allow_url_fopen设为off禁止远程使用文件
2. 防范PHP木马执行系统命令
PHP执行系统命令的方法一般要调用以下几个函数: passthru,exec,shell_exec,system
很多人就是把safe_mode打开了,然后就以为安全了,其实不然,因为每个apache的版本不同,多种方法绕过safe_mode,如XY7今年年初写的imap函数(imap函数默认是关的),还有最近新出的方法绕过safe_mode的,如errorlog方法绕过safe_mode,有兴趣的朋友可以在网上找下相关资料,绕过的方法是蛮多的,综合上述,关了safe_mode后,还有在php.ini里面改以下这东东:
disable_functions= passthru,exec,shell_exec,system
3.关闭错误提示
改了以上东东以后,我们还要改一下错误选择, display_errors = Off,这个在程度测试的时候可以打开,程序正式发布后强烈建议关了
magic_quotes_gpc = On,这个默认是开的,转义用的, get,post,cookie里的引号变为斜杠,如值 (It's "PHP!") 会自动转换成 (It\'s \"PHP!\") 如果不想转成”\”的话,可以在magic_quotes_sybase = On设置为开,他就把单引号转成双引了,这个可以虚张声势.
4.关闭上传
在PHP.ini文件里上传的相关设置,有利也有不利的,看你如何使用了,如: file_uploads = On默认是开的,这个是支持http上传的,如果为了免去上传漏洞使其上传PHP木马的话,你可以把他给Off的了,但,其他的相关http上传就不能用了,权量而用吧.
5.系统权限设置
在WIN下的apache是以系统身份运行的,这时我们可以新建立一个底权限的user组用户,然后,打开”服务”那里,找到apache的服务,把系统权限运置换为低权限的用户,最后设置设置WEB上当下的相关文件权限,如一些用来上传的文件夹设置为可写,其他的设置为只读.安实际情况而定吧.
6.其他
目前还有很多的函数设置还没有搞得完全明白,学习ING中,今天遇到一台服务器,全部是用默认的,里面被挂了N多的马,服务器环境是没有杀毒软件的,于是用了**的超级无敌PHP木马追杀器,如果那个东东能自定义关键字就好了
最后感谢今天给予帮助我的朋友,帅哥XY7,剑心,MX,alpha.
2007年实现网络安全要注意的七项举措
[ 2007-03-25 03:21:23 | 作者: sun ]
我们时刻都面临着网络安全问题,每天都要防止恶意邮件的入侵,还要担心系统遭受zero-day病毒的攻击。除了来自外部的攻击以外,还要考虑各种各样来自内部的威胁,比如把感染了病毒的笔记本电脑拿到防火墙内部来使用。
面对如此压力,我们应该采取什么样的举措才能让2007年成为安全的一年?我们要防止重蹈过去的覆辙,不能把时间浪费在处理病毒泛滥带来的可怕后果上,不能再使用大量的时间进行头疼的系统清理。现在让我来介绍一下我认为的应该采取的一些措施。
在这里我不会深入介绍近来在网络安全领域中的一些概念,比如“unified threat management”或者“network admission control”,这是因为我们的焦点是七种措施而不是向大家推荐七种工具。比如,我认为加密解密的应用是一项重要的举措,而不是把它当作一种工具来进行介绍。我只是介绍这种措施,相信大家针对各自不同的情况可以找到适合自己的相应工具。事实上目前这样的工具,无论是商业工具还是开源工具都很多。
下面是我所列出的七项举措,按照重要的程度进行排列。
1) 制定实施企业安全政策
2) 开展安全意识培训
3) 经常开展信息安全自我评估
4) 进行有规律的公司自我评估
5) 在全公司范围能应用加密解密技术
6) 估计、保护、管理和跟踪所有公司资产
7) 考察和测试公司业务连续性和应急规划
上面列出的这些举措并不是全部,还有很多其他举措我没有列举出来。我只列举了上面七项措施是因为对它们的实施可以涵盖了对大部分的风险的解除,如果你一一实施了这七项措施,那么很快就能看见自己的系统在网络中安全性的提高。
下面对这七项举措进行详细地说明。
1) 制定实施企业安全政策
如果你的公司目前还没有任何安全政策,那么现在是时候制定一部了。目前有很多非常好的安全政策模式可以直接拿来使用,大多数这样的模式都是免费的,部分会收取很少的费用。这些模式中我最喜欢的是COBIT模式和ISO
27001/17799模式。前者是应用于电子商务领域的PCI模式,后者则是一个已经相当成熟的国际标准模式。这些模式都可以作为一个很好的开端,只要当你开始使用这些模式,但是很快你就会发现自己需要对它们进行具体化,扩充或者修改。这是为了让公司中任何一个人都可以理解这些政策。一般而言,公司中的大部分都不是信息安全方面的专家,因此需要制定一套通俗易懂的政策,这些政策要考虑到公司中每一个部门的具体情况,而且要让所有人都可以理解和执行。例如,如果是对于IT公司来说,把标准模式具体化,需要你的CIO来协助制定一套网络安全政策。
如果觉得这些标准的模式对于你而言太纷繁复杂了,那么可以考虑从公司已有的安全政策开始。但是有一个原则,那就是这个政策必须覆盖所有可能的行为,哪怕刚开始的时候这些政策总共只有一页纸的内容,那么作为大纲它也必须包含基本的规则,让所有的行为都有所依据。基本的规则需要包括类似于权限控制,密码管理,灾备恢复等等。举个例子,你必须有一条政策来说明在突然事故中如何备份商业数据和客户私人数据,如何为系统建立镜像等等。
制定了安全政策之后还需要做哪些工作呢?你还需要同政策的执行者一起考虑这样的问题,就是如果有人违反了这些政策该怎么办?违反安全政策的行为是恶意的吗?例如,政策中规定数据库中数据是只允许察看的,如果有一个员工违反了这个政策,把数据库中的记载雇员情况的数据拷贝出来,并且张贴在公共网站上。如果遇到这样的问题,你该怎么办?事实上类似这样事件的发生,并不一定是源于恶意的泄漏机密,而是源自政策制定的不完整,没有让所有员工都了解这一政策,或者是没有明确地规定违反政策所应该采取的措施。你应该让所有的员工都了解这一政策并且明确规定违反这一政策的后果。
2) 开展安全意识培训
我们无数次地看见这样的事情,很多内部员工在不知情的情况下受到网络上其他人的攻击,比如网络钓鱼等,由此导致了公司内部数据的泄漏。比如一些员工喜欢浏览各种新闻网页,或者使用即时消息工具聊天,他们都有可能成为受到攻击的目标。他们可能不了解密码的设置需要注意些什么,不知道为什么不能打开未知地址发来的邮件中的附件。你需要对公司员工进行这方面的培训,指导他们正确使用公司的资源,保护公司的信息安全。
进行专门的课程培训,让这些培训在轻松的环境下进行。结合实际情况介绍一些安全常识。比如,向他们介绍在使用即时通信工具的时候应该注意些什么。或者当你在做邮件日志记录的时候往往需要按照一定的规范进行,这时候告诉员工们你都做了些什么样的工作,以及为什么要这样做。通过一些现实的例子来告诉他们在紧急情况下应该怎么办。让员工们理解为什么要求定期更换自己的密码,为什么不能把自己的密码写在便笺纸上。
整理出一套常见的问题解答,同时采取其他一些奖励措施,让员工们时刻保持对信息安全的兴趣,长此以往,能让员工们在日常的工作中养成良好的遵守安全政策的习惯。这是我们的真正目标。
目前有很多进行专门安全意识培训的公司,他们往往可以提供一些免费的资料,介绍了他们可以提供的培训的内容。另外还有一些安全手册一类的海报或者小卡片,可以随意贴在办公桌前,营造一个能时刻提醒员工信息安全重要性的环境。
3) 经常开展信息安全自我评估
你最近一次检查防火墙和入侵防御系统(IPS)的补丁和更新是否完成是在什么时候?
大多数的入侵防御系统都可以自动更新,但是至少你要检查系统地这项功能是被激活的。你是否检查了是否存在入侵网络的无线设备?每天有多少笔记本电脑会进出于公司?这些移动设备是否都使用了防火墙是否更新了病毒库?等等。
MITRE 是由美国国土安全部资助的一个项目,用来继续发展CVE系统(the Common Vulnerabilities and Exposures)。这个系统已经有八年历史了,它已经被接受为跟踪计算机和网络设备缺陷的国际标准。可以以CVE的条款为依据,看看在你的所有机器中有多少至少包含一条CVE?有关CVE的详细信息可以在美国国家标准与技术研究院(NIST)的网站上找到。NIST拥有一系列实用的指导系统安装配置的条款,这些条款叫做STIGs,它们都被美国很多联邦政府大量采用。
我们可以好好利用已有的这些资源。美国国防信息系统局(DISA)提供了面向公众的直接对STIGs的访问,在DISA的网站上可以注册加入“STIG-News”邮件列表,这样随时能得到有关STIGs的最新信息。
你现在就可以开始研究一下STIG中有关windows服务器中的内容,检查一下是否能够对你的服务器提供一些原来你没有考虑到的配置建议。当然,类似的服务器设置指导或者条款还有很多,事实上他们中间的任何一个都能够给你足够的帮助。
使用上面说到的这些条款来对自己的系统进行一下安全评估,你可以多少找到一些目前系统中存在的安全漏洞。记录下这些漏洞,并且制定一个可行的计划和步骤来弥补这些漏洞,增强网络的安全性。网络安全是一个过程而不是一个产品。因此需要不断地通过自我评估发现问题,在不断地解决问题的过程中实现网络的安全。
4) 进行有规律的公司自我评估
现在公司中的各级主管,CEO,CFO和CIO们都承受着巨大的压力。一方面因为他们需要管理越来越多的员工,需要保护系统的安全和信息的安全。同时他们还需要负责进行IT规章(IT
compliance)中要求的各方面记录,以应付审核。现在很多公司针对这一问题请专门的顾问公司来协助解决。但是这些专门的顾问公司也不会承诺他们的工作一定可以通过审核。在这个问题上倒是没有必要浪费额外的花销去请顾问公司。
无论公司是否正在进行某个IT规章的审核,这些公司都应该先自己进行一下自我评估,熟悉那些影响公司日常组织工作的规范。这些规范包括银行界使用的GLBA,健康和保险业使用的HIPAA,还有电子商务上使用的PCI等等。美国不同的州可能有自己不同的规范。比如在加利福尼亚州,如果某个系统被黑客攻破,那么被攻击的公司必须把这些信息发布到他们的网站上。同时还规定,如果某些用户的数据信息被身份不明的人访问了,那么这些数据的管理者必须将此事通知数据信息的持有人,比如说用户的姓名,账号,驾照号码,账户信息等。如果是美国联邦政府所属的机构,则必须遵守13231号总统令(Executive order 13231)。该规范要求这些机构保证信息系统畅通,包括应急通信能力以及相关物理设备配置等。
保证你的公司符合一定规范的第一步是记录下为了保护数据所做的所有工作。这样才能够证明你已经遵循了必要的规范,使用了适当的工具,采取了正确的措施来对数据安全性进行了有效的保护。在经过一段时间对照各种规范进行有规律的自我检查和评估之后,你就能发现暴露出的可以产生恶意攻击的问题已经很少了。如果在这样的情况下,你的网络还是被黑客入侵导致数据丢失,至少这时你已经做了所有可以做的事情,并且已经把数据丢失可能造成的损失降低了最小的程度了。
5) 在全公司范围能应用加密解密技术
在二次大战的时候有一句流行语:“口风不紧船舰沉”。如果我们观察一下所有的ID盗窃事件就能发现,发生这种事情大部分都是针对没有进行加密保护的系统。以电子商务网站为例,它之所以能够被攻击,不仅仅因为系统本身具有一些公共的漏洞和缺陷,同时也因为电子商务公司没有认识到数据加密的重要性。说到数据加密,简单通过SSL保护会话数据是远远不够的。
一般的电子商务网站的数据库服务器是最招黑客们喜欢的。他们可以把用户的数据偷出来在黑市上销售,目前这是一个很大的市场。
首先要做的是检查一下系统中所有可能的数据流通通道,包括即时消息传递,文件拷贝,电子邮件,在线会议系统。同时检查所有数据处理的过程,包括数据创建,更改,删除和恢复。另外我们需要考虑用户的数据是怎么保存和保护的?仅仅靠数据备份是不够的。
根据上面的问题,我们需要建立一套VPN,保证网络外部与网络内部的通信是通过一条加密管道的。另外在数据的保存上,可以加密所有的数据,从整个硬盘加密到电子邮件加密或者文件加密,当前存在很多现成的工具可以完成这些工作。
使用加密的方式保护数据不是一项轻松的工作,需要考虑密钥的存储和访问等问题。比如某个用户的密钥和口令丢失了,那么系统必须可以为用户颁发新的密钥和口令,而且需要将使用原来密钥加密的数据解密,然后使用新的密钥加密。
你可能会发现你现在正在使用的系统就包括加密和解密的功能,你只需要简单地在选项前面画个勾就可以启用这项功能。就像现在的笔记本一样,如果笔记本丢失了,但是偷窃者没有密码或者密钥,那么他不能获取任何数据信息。如果有人窃听VoIP的电话,事实上他听不到任何有用的信息,因为在网络上传递的数据都被加密了。
6) 估计、保护、管理和跟踪公司中所有IT设备
你应该注意紧密跟踪和检查公司中所有的IT设备,包括VoIP电话系统、笔记本电脑、服务器和其他网络设备。这些设备对于公司的价值可远远大于设备本身的价值。设想一下要是有人偷走了一台公司的笔记本电脑,那么所损失的电脑上的数据需要花多大的代价才能弥补?或者万一电脑上存放了公司的商业机密信息,造成的损失更是不可估量。
为公司的设备建立一个完整的清单,这个清单不但要列出所有的设备,更重要的是要列出这些设备的价值。比如一个文件服务器,他的价值不是简单的3000美元,而是存放在它上面的代码的价值,可能是20个人一年工作量的价值。
为所有的设备都建立起来这样的价值清单之后,你就能够很清楚地知道该如何更好地调配资源保护这些设备了。
7) 考察和测试公司业务连续性和应急规划
公司业务的连续性就像是“让灯一直亮着”,灾备系统就像是说“当灯灭了的时候我们怎么办?”,我们需要让等持续亮着。
你需要经常性地测试一下,看公司业务的持续性怎么样,灾备计划是不是能够被很好地实施。这种测试最好每年都进行几次,在非业务高峰的时候进行,比如周日晚上。
进行这样的测试最好可以从一些常见问题的解决方案开始,让员工们了解如果出现下面的情况该怎么办。
a) 电源断电
b) 路由器死机
c) 电话系统中断
d) 互联网中断
e) 服务器掉线
f) 某一硬件设备故障
g) 某一应用程序崩溃
h) 网络中出现可以被攻击的漏洞
i) 空调故障
j) 自然灾害
k) 流行感冒席卷全公司
=============================================
断网断腕 本土杀毒厂商发起自残式反击
[ 2007-03-25 03:21:06 | 作者: sun ]
中国台湾海域发生地震,造成通讯光缆受损。诺顿、卡巴斯基等国外杀毒软件由于升级服务器地处国外总部,病毒库升级服务受阻。因势利导,瑞星、金山、江民互有默契地导演了一场轰轰烈烈的“自残式”反击战。
本报记者 窦毅北京报道 “伤敌1000,自损800”。台湾地震导致国际海底光缆中断,却无意中给了身处外敌压境威胁中的中国防病毒软件厂商一次反击的机会。
1月15日,瑞星发布2007版网络杀毒软件,宣告再度向企业级市场提供免费杀毒服务试用计划。耐人寻味的是,此时距离其开放个人版免费试用仅仅两周多一点儿时间。如此密集地发布产品对于这家国内老牌防病毒软件企业而言相当少见。
在记者一再追问之下,瑞星市场部经理马刚最终承认:原定网络版发布在春节之后,而本次有意提前是为了利用断网机遇,再一次围剿国外的对手。
2006年12月26日晚8时,中国台湾省海域发生地震,造成通讯光缆受损。诺顿、卡巴斯基等国外杀毒软件由于升级服务器地处国外总部,病毒库升级服务受阻。而偏在此时,熊猫烧香(又名:武汉男生)、MY123等大批恶性病毒、流氓软件集中爆发,致使大批互联网用户遭受无安全防范软件保护的尴尬。
因势利导,瑞星、金山、江民互有默契地导演了一场轰轰烈烈的“自残式”反击战。
惊魂72小时
记者了解到,断网后次日——2006年12月27日一大早,瑞星、金山客服人员相继接到大批客户问询电话,到28日两家客服电话几近被打爆的状态。来电者除了一小部分瑞星、金山客户外,更有大量是诺顿、卡巴斯基等国外杀毒厂商的用户。
金山软件副总裁毒霸负责人王全国回忆当时的场面:“很多用户并不管自己使用的是哪个品牌的产品,出了问题挨家找杀毒软件公司问罪。”此时在几家专业的防病毒论坛网站上,也开始相继增多各种寻求帮助的讨论帖。
瑞星、金山内部各自迅速展开行动。瑞星副总裁毛一丁当时非常紧张:2006年12月27日起公司就开始进入紧急状态,中午左右召开内部会议,并提出了几套方案。而经过公司各部门反复讨论和沟通,最终决定采用最为“极端”的方案——提供一个月免费的下载版软件产品。
不过这套看似极具杀伤力的方案究竟能否见效?相当多的人心里并没底。免费在杀毒领域的商战中并不算是“创新”。俄罗斯卡巴斯基实验室早在两三年前就以轰轰烈烈的免费行为来“入侵”中国市场,抢走了大量的中国用户。
2006年12月28日,瑞星技术部开始准备产品和服务器调试工作。由于考虑到免费将会造成流量迅速增大,一旦服务器和带宽不足,造成“当机(死机)”,反而造成负面影响,不堪想象。公司为技术部门留下了一天时间去调整。
同时这一天,市场部准备对外发布的“免费”新闻稿。
此外不为人所知的是,瑞星还有专人时刻跟进了解电信部门对海底通讯光缆的修复信息,对于这一信息毛一丁等人相当紧张:因为一旦修复成功,免费方案需要立即停止,而如果29日发布免费后几天之内便修复,对瑞星而言,也将是灭顶之灾。
2006年12月29日一大早,通过新浪、搜狐等重要门户网站将“一个月免费”的消息发出后,瑞星下载服务器开始接受来自四面八方的大批下载请求,下载量直线飞涨。
但少许兴奋之后,毛一丁很快开始进入更高度的紧张状态。由于新下载客户大部分是冲着免费一个月而来的,这些用户不会用手机为此充值10元的月使用费,瑞星网络销售业绩直线下滑。1月15日毛一丁向记者表示:“当然很揪心了,毕竟是大把大把的钱全收不上来了。幸好再有不到两周就结束。”
同时,瑞星还必须要安抚传统光盘形式的渠道。尽管毛一丁表示“网络免费对传统光盘销售渠道影响不大”,但据记者了解到,事实上并非完全如此。而且最关键的是销售商开始恐慌,大批用户开始习惯于网络购买获得瑞星后,光盘业务必然在免费事件后受到很大的影响。这样的事情曾经在2003年“非典”期间发生过一次,大批用户在习惯在线购买瑞星后,不再回到卖场购买光盘版产品了。
集体的冒险游戏
从2006年12月26日晚到29日清晨发布免费信息之间的近三天时间中,瑞星上上下下还有一项很重要的工作,那就是时刻盯着竞争对手的动作——诺顿、卡巴斯基这样的外资病毒软件厂商是瑞星的狙击对象,而金山这样的国内同道者是不是会有更狠的招数呢?
就在瑞星2006年12月29日清晨发布“免费一个月”的方案后,金山几乎同时也发布了“免费37天”的方案,此外还推出了为预付费2006年12月的用户自动延长一个月使用的承诺。如此计算,金山等于完全放弃了1月份的毒霸网络服务的收入。王全国透露:公司的CEO雷军亲自拍板,整个毒霸销售团队咬牙接受现实。王全国估计损失可能会大于毒霸月销售收入的15%。“熊猫烧香等大型恶意病毒泛滥,应该是杀毒软件挣钱的最好机会。且光缆一断,必然会有大量用户购买国内杀毒产品。本来是一个发财日,最终全放弃了,损失可见有多大。”
瑞星、金山相继免费后,2006年12月30日,江民被“逼”出手,开始提供免费一个月的杀毒软件。之所以称之为被逼,有知情人告诉记者:“做出免费举措,江民远比瑞星和金山要艰难。”江民刚刚在2006年9月将2007年江民KV软件的全国销售权拍卖,按省为单位,价高者以“买断”方式固定金额拿走一省一年的销售权。也就是说无论销售出多少套都是一个价。随着江民推出免费一个月,这些大代理的销售不可避免地要受到很大影响。记者了解到,江民就此事与各省大代理的协调工作一直在继续。
“整个过程中最担心的就是网络短时间即被恢复过来。”王全国说出自己的担心:那时候,免费策略已经放出去收不回来了,而大量的诺顿、卡巴斯基用户又不再需要转换服务平台了,最终结果可能是赔了夫人又折兵。
1月15日,电信运营商在承诺的修缮日期后未能如愿,并将通网时间延续到2月1日。可以想象的出,毛一丁、王全国二人心中必定大喜。瑞星乐观估算免费一个月至少能新增“潜在用户”1500万。而金山透露,截至1月16日,毒霸2007下载数量已经从2006年12月26日的700万猛增到1600万。
新增用户大部分都是原来的诺顿和卡巴斯基使用者。尽管这些新增用户在网络修复后,会有一部分用户回到原来的软件平台上,但马刚认为:还有相当多的用户会更了解到国产软件的好处。
台湾地震断网后,国内杀毒软件厂商借机展开了一场冒险游戏。
本报记者 窦毅北京报道 “伤敌1000,自损800”。台湾地震导致国际海底光缆中断,却无意中给了身处外敌压境威胁中的中国防病毒软件厂商一次反击的机会。
1月15日,瑞星发布2007版网络杀毒软件,宣告再度向企业级市场提供免费杀毒服务试用计划。耐人寻味的是,此时距离其开放个人版免费试用仅仅两周多一点儿时间。如此密集地发布产品对于这家国内老牌防病毒软件企业而言相当少见。
在记者一再追问之下,瑞星市场部经理马刚最终承认:原定网络版发布在春节之后,而本次有意提前是为了利用断网机遇,再一次围剿国外的对手。
2006年12月26日晚8时,中国台湾省海域发生地震,造成通讯光缆受损。诺顿、卡巴斯基等国外杀毒软件由于升级服务器地处国外总部,病毒库升级服务受阻。而偏在此时,熊猫烧香(又名:武汉男生)、MY123等大批恶性病毒、流氓软件集中爆发,致使大批互联网用户遭受无安全防范软件保护的尴尬。
因势利导,瑞星、金山、江民互有默契地导演了一场轰轰烈烈的“自残式”反击战。
惊魂72小时
记者了解到,断网后次日——2006年12月27日一大早,瑞星、金山客服人员相继接到大批客户问询电话,到28日两家客服电话几近被打爆的状态。来电者除了一小部分瑞星、金山客户外,更有大量是诺顿、卡巴斯基等国外杀毒厂商的用户。
金山软件副总裁毒霸负责人王全国回忆当时的场面:“很多用户并不管自己使用的是哪个品牌的产品,出了问题挨家找杀毒软件公司问罪。”此时在几家专业的防病毒论坛网站上,也开始相继增多各种寻求帮助的讨论帖。
瑞星、金山内部各自迅速展开行动。瑞星副总裁毛一丁当时非常紧张:2006年12月27日起公司就开始进入紧急状态,中午左右召开内部会议,并提出了几套方案。而经过公司各部门反复讨论和沟通,最终决定采用最为“极端”的方案——提供一个月免费的下载版软件产品。
不过这套看似极具杀伤力的方案究竟能否见效?相当多的人心里并没底。免费在杀毒领域的商战中并不算是“创新”。俄罗斯卡巴斯基实验室早在两三年前就以轰轰烈烈的免费行为来“入侵”中国市场,抢走了大量的中国用户。
2006年12月28日,瑞星技术部开始准备产品和服务器调试工作。由于考虑到免费将会造成流量迅速增大,一旦服务器和带宽不足,造成“当机(死机)”,反而造成负面影响,不堪想象。公司为技术部门留下了一天时间去调整。
同时这一天,市场部准备对外发布的“免费”新闻稿。
此外不为人所知的是,瑞星还有专人时刻跟进了解电信部门对海底通讯光缆的修复信息,对于这一信息毛一丁等人相当紧张:因为一旦修复成功,免费方案需要立即停止,而如果29日发布免费后几天之内便修复,对瑞星而言,也将是灭顶之灾。
2006年12月29日一大早,通过新浪、搜狐等重要门户网站将“一个月免费”的消息发出后,瑞星下载服务器开始接受来自四面八方的大批下载请求,下载量直线飞涨。
但少许兴奋之后,毛一丁很快开始进入更高度的紧张状态。由于新下载客户大部分是冲着免费一个月而来的,这些用户不会用手机为此充值10元的月使用费,瑞星网络销售业绩直线下滑。1月15日毛一丁向记者表示:“当然很揪心了,毕竟是大把大把的钱全收不上来了。幸好再有不到两周就结束。”
同时,瑞星还必须要安抚传统光盘形式的渠道。尽管毛一丁表示“网络免费对传统光盘销售渠道影响不大”,但据记者了解到,事实上并非完全如此。而且最关键的是销售商开始恐慌,大批用户开始习惯于网络购买获得瑞星后,光盘业务必然在免费事件后受到很大的影响。这样的事情曾经在2003年“非典”期间发生过一次,大批用户在习惯在线购买瑞星后,不再回到卖场购买光盘版产品了。
集体的冒险游戏
从2006年12月26日晚到29日清晨发布免费信息之间的近三天时间中,瑞星上上下下还有一项很重要的工作,那就是时刻盯着竞争对手的动作——诺顿、卡巴斯基这样的外资病毒软件厂商是瑞星的狙击对象,而金山这样的国内同道者是不是会有更狠的招数呢?
就在瑞星2006年12月29日清晨发布“免费一个月”的方案后,金山几乎同时也发布了“免费37天”的方案,此外还推出了为预付费2006年12月的用户自动延长一个月使用的承诺。如此计算,金山等于完全放弃了1月份的毒霸网络服务的收入。王全国透露:公司的CEO雷军亲自拍板,整个毒霸销售团队咬牙接受现实。王全国估计损失可能会大于毒霸月销售收入的15%。“熊猫烧香等大型恶意病毒泛滥,应该是杀毒软件挣钱的最好机会。且光缆一断,必然会有大量用户购买国内杀毒产品。本来是一个发财日,最终全放弃了,损失可见有多大。”
瑞星、金山相继免费后,2006年12月30日,江民被“逼”出手,开始提供免费一个月的杀毒软件。之所以称之为被逼,有知情人告诉记者:“做出免费举措,江民远比瑞星和金山要艰难。”江民刚刚在2006年9月将2007年江民KV软件的全国销售权拍卖,按省为单位,价高者以“买断”方式固定金额拿走一省一年的销售权。也就是说无论销售出多少套都是一个价。随着江民推出免费一个月,这些大代理的销售不可避免地要受到很大影响。记者了解到,江民就此事与各省大代理的协调工作一直在继续。
“整个过程中最担心的就是网络短时间即被恢复过来。”王全国说出自己的担心:那时候,免费策略已经放出去收不回来了,而大量的诺顿、卡巴斯基用户又不再需要转换服务平台了,最终结果可能是赔了夫人又折兵。
1月15日,电信运营商在承诺的修缮日期后未能如愿,并将通网时间延续到2月1日。可以想象的出,毛一丁、王全国二人心中必定大喜。瑞星乐观估算免费一个月至少能新增“潜在用户”1500万。而金山透露,截至1月16日,毒霸2007下载数量已经从2006年12月26日的700万猛增到1600万。
新增用户大部分都是原来的诺顿和卡巴斯基使用者。尽管这些新增用户在网络修复后,会有一部分用户回到原来的软件平台上,但马刚认为:还有相当多的用户会更了解到国产软件的好处。
台湾地震断网后,国内杀毒软件厂商借机展开了一场冒险游戏。
堵住日常操作易泄密的漏洞
[ 2007-03-25 03:20:55 | 作者: sun ]
进入Windows 9X/2000中的一切操作,无论是工作、学习或娱乐,自进入Windows系统开始,都将被Windows以及它所有的服务(程序)记录在案,并保存在硬盘中,此项“功能”原本是系统设计者为了方便用户而设置的,但会成为泄露您所进行的工作的漏洞。窥探者在您刚用过的计算机中查找一阵后,就会发现大量信息:已经被您删除的收到和发出的邮件、您访问过的Internet网站、搜索规则及您在网页表单中输入的数据。这些“记录”可能会把您的“隐私”泄露,使您的信息安全受到威胁,这也许是您所不希望发生的。泄密的漏洞都在哪儿?
“运行”记录
使用Windows 9X“开始”选单中的“运行”选单项运行程序或打开文件,退出后,“运行”中运行过的程序及所打开文件的路径与名称会被记录下来,并在下次进入“运行”项时,在下拉列表框中显示出来供选用。这些“记录”会被窥视,需要清除。
通过修改注册表项可以达到清除这些“记录”的目的。首先通过Regedit进入注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\RunMRU这时在右边窗口将显示出“运行”下拉列表显示的文件名,如果您不想让别人知道某些记录的程序名,将它们删除就可以了。具体方法是:用鼠标选中要删除的程序,再选注册表编辑口的“编辑”选单中的“删除”项,“确认”即可。关闭计算机后,再启动计算机,刚才删除的项就不再显示出来了。
“历史” 记录
用IE 5.X 浏览器浏览文件后,在Windows\History文件夹中将“自动”记录最近数天(最多可记录99天)的一切操作过程,包括去过什么网站、看过什么图片等信息。这个文件夹相当独特,不能进行备份,但会暴露您在网上的“行踪”。不想让他人知道您的“历史”的话,记住删除Windows\History文件夹中的一切。有两种方法可以将“历史”记录删除:
方法一,从资源管理器中进入该文件夹并删除其中的所有文件;方法二,单击“开始”→“设置”→“控制面板”→“Internet属性”→“常规”标签,在“网页保存在历史记录中的天数”输入框中敲入“0”→“应用”(或“清除历史记录”)按钮。
“剪贴板”中的信息
剪贴板是Windows平台上程序之间静态交换“住处”的驿站,它是由Windows在内存中开辟的临时存储空间。不管什么时候剪切、复制和粘贴信息,在新的信息存入之前或是退出Windows之前,都一直保存着已有的“内容”信息。而且,Word 2000(包括Office 2000家族系列软件)的“剪贴板”可以存储12个“剪切”信息。所以,需要保守您的“秘密”的话,可不能忽略了“剪贴板”啊!
“文档”选单
“开始”的“文档”选单中,以快捷方式“保存”着您最近使用过的约15个文件(包括您刚从网上Download下来并打开过的文件)。通过它,我们可以迅速地访问一段时间前编辑过的文档。但对于那些使用计算机编辑个人文件或机密文件的朋友们来说,这种设置却会向他人泄露自己的秘密。
清除方法:
单击“开始”→“设置”→“任务栏和开始选单”,点击“开始选单程序”栏目下的文档项目的“清除”按钮,就把“文档”选单中的历史记录全部清除掉。若要不完全清除,从资源管理器中进入\windows\Recent文件夹,删除需要删除的项目即可。
“被挽救的文档”
我们在使用Word 97/2000等Office软件的过程中,有时会遇到“非法操作”提示,或是操作中机器突然掉电等一些意外情况,这样,在硬盘中(一般是安装Office软件的分区的根目录)或桌面上会冒出一些“被挽救的文档”,这些“被挽救的文档”,可能就是您刚刚编辑的文稿的全部或部分内容。所以,要提防“秘密”在此泄露:删除它!
Office的“文件”选单
大家知道,使用Microsoft Office家族的Word、office/9.shtml target= _blank class= article >Excel等软件进行工作后,会在“文件”选单中留下“记录”,由于“工具”的“选项”中设置“列出最近所用文件数”的不同,“文件”选单“记录”数也不同,但都会记录下您最新的操作。不想让他人知道的话,可按“Ctrl + Alt + -(减号)”键,光标会变成一个粗“减号”,打开“文件”选单后,用粗“减号”单击需要删除的文档即可。也可在Word中单击“工具”选单→“选项”→“常规”标签→选择“列出最近所有文件”选项,在其后的输入框中输入“0”,最后单击“确定”按钮。
Word 2000等Office 2000系列软件的“打开”对话框新增了一个“历史”按钮,利用它可以快速打开最近使用过的数十个文档。所以,此处也须提防。
Temp中的“物件”
我们常用的Word 97/2000和其他应用程序通常会临时保存您的工作结果,以防止意外情况造成损失。即使您自己没有保存正在处理的文件,许多程序也会保存已被您删除、移动和复制的文本。这些“内容”被存放在\Windows\Temp目录下。应定期删除各种应用程序在\Windows\Temp文件夹中存储的临时文件,以清除上述这些零散的文本。还应删除其子目录中相应的所有文件。虽然很多文件的扩展名为TMP,但它们其实是完整的DOC文件、HTML文件,甚至是图像文件。
还有,在Foxmail中打开邮件的“附件”,也会在\Windows\Temp文件夹中留下“备份”。所以,对于\Windows\Temp文件夹中近乎“纯垃圾”的内容,一定不要忘记予以坚决地清除。
Foxmail的“废件箱”
Foxmail 3.0 beta2及以后的版本,提供了和“回收站”类似的“废件箱”,Foxmail在清除“废件箱”中的邮件时并没有真正将其从硬盘上删除,而是像数据库系统那样只是打上删除标记而已,只有用户执行“压缩”操作之后被删除邮件才会被真正删除,这就为窥视者提供了恢复被删除邮件的可能。
所以,在公用计算机上使用 3.0 beta2及以后版本的Foxmail,记住把不需要的信件从“收件箱”清除时,按“Shift+Del”直接删除,使其不转入“废件箱”,并对邮箱进行压缩。
“日志”文件
存放在Windows目录下的Schedlog.txt是“计划任务”的“日志”,忠实地记录了“以往计划任务的执行情况”,以及您每次开机启动Windows系统的“时刻”信息,可以用任何字处理软件打开它。所以,您的“开机”及一些“任务”(程序)的执行信息,都会由此“暴露”。
要修改Schedlog.txt删除您的“行踪”记录吗?需要费一些周折,因为,用Windows系统下的任何编辑软件都只能打开但不能做修改后保存。例如,“记事本”打开“Schedlog.txt”后,可以在屏幕上做添加、删除等编辑操作,试图将改动过的“Schedlog.txt”存盘时,系统提示“无法创建文件C:\Windows\Schedlog.txt,请确定路径及文件名是否正确。”,按“确定”按钮后,自行退出“记事本”。即使进入Windows的MS-DOS方式,用“Edit”编辑也不行!只能以纯DOS方式启动计算机,再去Del、Edit或……随您的便,怎样处置这个“Schedlog.txt”都成!
使用OICQ后
若是按默认目录安装,那么,在C:\Program Files\oicq\下可以看到许多账号。双击进入任意一个账号,可以看到.cfg的文件,那是本账号的配置文件。还会有很多.msg文件,.msg文件的文件名就是您的OICQ的朋友的账号。如果有Tempfiles.tmp文件,通常是其他人用“语音传送”发来的声音文件,Tempfiler.tmp通常是本账号用户发给其他人的声音文件,可以用录音机打开播放。
解决的办法(很简单,也很有效):
下网后删除自己用的账号目录,尤其是在“网吧”。下次使用时选注册向导,选“使用已有的OICQ号码”,再逐步注册就行。
曾访问的网页
为了加快浏览速度,IE会自动把您浏览过的网页作为“临时文件”,保存在\Windows\Temporary Internet Files 文件夹中,这些“记录”文件会被MS IE Cache Explorer一类的程序一览无遗。
解决办法:
从资源管理器中进入该文件夹中,全选所有网页,删除即可。或者打开IE属性,在“常规”栏目下单击“Internet 临时文件”项目的“删除文件”按钮(这种方法不太彻底,会留少许Cookies在目录内)。如果浏览过的网页较少且希望保留部分网页时,在上述目录中查找并删除不想要的网页即可。
“小甜饼”
Cookie翻译为中文就是“小甜饼”。打开\Windows\Cookies,该目录下有很多Cookies!这些“小甜饼”都是一些网站“白送”的,当您访问这些网站时,它们便会自动记录您所访问的内容、浏览的网页,并“储存”在Cookies中,以便下次达到快速链接,加快浏览速度。\Windows\Cookies文件夹中的“数据”,类型如yyy@202.102.224.68![[1]](styles/default/images/smilies/1.gif)
,大都是:Windows用户名+ @ + 域名或IP地址,并以文本文件形式保存。“小甜饼”多了,不但会撑破硬盘肚皮,而且会暴露您的行踪。所以,不能贪图“甜”,该舍弃的就要扔!
解决办法:
将\Windows\Cookies文件夹中的文件(除系统自身所形成的“Index.dat"外),删除掉。
浏览过的地址(URL)
下网后,按一下地址栏的下拉选单,已访问过的站点无一遗漏尽在其中。怎么办?用鼠标右键点击桌面上的IE图标,打开属性,在“常规”栏目下点历史记录项目的“清除历史记录”。若只想清除部分记录,单击浏览器工具栏上的“历史”按钮,在右栏的地址历史记录中,用鼠标右键选中某一需要清除的地址或其下的一网页,选取“删除”。
注意,在Win 98/2000中,还有一处“隐藏”的“地址”栏,它同样会记录您曾去过的网址。该“地址”栏在“任务栏”上(在“任务栏”的空白处单击鼠标右键→“工具栏” →选择“地址”),在这个“地址”栏中输入网址便能激活IE浏览器上网,输入的网址就被记录下来。还好,此处的“记录”被放在Windows\History文件夹中,非常容易清除。在此说明的是,不要因为IE浏览器的“地址”栏和资源管理器的“地址”栏中没“记录”,就觉得“完事”了。
“拨号口令”
很多用户喜欢让Windows替他来记住口令,即建立拨号连接后,随着“连接到”窗口的出现,输入用户名,再输入登录口令(即密码),输入时密码以星号(“*”)的形式出现在口令栏中,在下面的“保存口令”前打勾,这样每当出现“连接到”窗口时您就不必重复输入用户名和口令了。但是,使用Revelation 这个大小只有70kB的软件可以轻松地得到您的密码。为了安全起见,建议不要在“保存口令”前打勾了。
另外,在\Windows文件夹中 .PWL文件记录着拨号上网的账户,注意删除掉。
文档的“属性”信息
对于存储在公用计算机的Word文档,许多用户采取设定“打开权限密码”以防止未经授权用户打开的办法,来防止泄露有关该文档的信息。但是,该文档的“属性”信息,会帮“倒忙”——泄密。
Word 97的“属性”对话框包括“常规”、“摘要信息”、“统计信息”、“内容”和“自定义”五张选项卡。自动存储到“摘要信息”选项卡上的信息有三项,“作者”、“单位”和安装Word时输入的用户信息。第一次保存文档时,将文档中第一行的内容存放到“标题”框中(通常是您写作的“题目”)。
查看文档的“属性”对话框,虽然依据文件名无法判断出文档的内容,但“摘要信息”选项卡“标题”框中(该文档第一行)的内容,却会泄露文档的秘密。由于“打开权限密码”只限制打开文档,并不限制打开“属性“对话框,所以,“标题”框是一个易被忽视的泄密漏洞。
堵住这个泄密漏洞的方法是:第一次保存文档后,打开“属性”对话框,将“摘要信息”选项卡上“标题”框中的内容删除(“内容”选项卡上的内容就会自动删除)即可。
ACDSee 32看图程序的“记录”
在默认的情况下,ACDSee 32看图程序的历史记录是“隐藏”的。但若是这样:单击“工具”选单→“选项”→“浏览”标签→选择“显示路径框”,按“确定”按钮,那么,您以前看过的图片就会显露。 ACDSee 32看图程序的历史记录,在其“工具”栏的下方。清除方法是,用Regedit打开注册表,展开左窗口的“HKEY_CURRENT_USER\Software\ACD Systems\ACDSee32”分支,再把ACDSee32主键对应的右窗口的“HistFileFilers”、“HistFindScope”和“HistPaths”三项内容删除即可。
“收藏夹”中的记录
大多数朋友上网时,常把喜爱的网址添加到“收藏夹”中,甚至设置为“允许脱机使用”,其优点当然是便于下次快速地进行浏览。但您的爱好和兴趣就必然暴露给他人了。\Windows\Favorites文件夹,即是“收藏夹”的位置,要想清除“收藏夹”中的历史记录,只要进入它,选中目标文件,执行“删除”操作即可。
“记事本”和“写字板”中的记录
记事本的历史记录保存与否,受制于Windows系统的设置。以Win 98为例,若保存,则仅存在于Win 98的“文档”选单中,而写字板的历史记录则同时存在于它的“文件”选单和Win 98的“文档”选单中。
对于“文档”中的记录很容易清除,这里不再赘述。至于“写字板”中的记录,可用修改注册表的方法来清除:用Regedit打开注册表,展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets\Wordpad\Recent FileList”分支,将其对应的主键值全部删除,再重新启动计算机,即可清除写字板的“文件”选单中的历史记录。
“回收站”
“回收站”是已删文件的暂时存放处。在“清空回收站”之前,存放在那里(回收站)的文件并没有真正从硬盘上删除。Windows操作系统,除了在“桌面”上放置一个图标为灰色的“垃圾筒”外,在每个硬盘(分区)的根目录下建立了一个隐藏属性的文件夹——Recycled,这个“Recycled”子目录(文件夹)就是回收站实际的位置所在。窥探者可以从“回收站”中恢复(还原)被删除的文件,发现您的工作内容。所以,每次结束操作,离开计算机之前,要记住“清空回收站”。
其它地方
Windows的“附件”中的“画图”、“娱乐”用的“Windows Media Player ”等工具,其“文件”选单都蕴藏着丰富的记录,不可小视。
WPS 97/2000、CCED 2000等字表处理软件的“文件”选单,也饱含着最近编辑(或打开查看)的文件,同样需要做清理。
好了,不再危言耸听了!本文的介绍,只是希望给朋友们有所启示:电脑应用中存在着一些“副”作用,需要引起足够的注意,以更好、更安全地使电脑为我们服务。
“运行”记录
使用Windows 9X“开始”选单中的“运行”选单项运行程序或打开文件,退出后,“运行”中运行过的程序及所打开文件的路径与名称会被记录下来,并在下次进入“运行”项时,在下拉列表框中显示出来供选用。这些“记录”会被窥视,需要清除。
通过修改注册表项可以达到清除这些“记录”的目的。首先通过Regedit进入注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\RunMRU这时在右边窗口将显示出“运行”下拉列表显示的文件名,如果您不想让别人知道某些记录的程序名,将它们删除就可以了。具体方法是:用鼠标选中要删除的程序,再选注册表编辑口的“编辑”选单中的“删除”项,“确认”即可。关闭计算机后,再启动计算机,刚才删除的项就不再显示出来了。
“历史” 记录
用IE 5.X 浏览器浏览文件后,在Windows\History文件夹中将“自动”记录最近数天(最多可记录99天)的一切操作过程,包括去过什么网站、看过什么图片等信息。这个文件夹相当独特,不能进行备份,但会暴露您在网上的“行踪”。不想让他人知道您的“历史”的话,记住删除Windows\History文件夹中的一切。有两种方法可以将“历史”记录删除:
方法一,从资源管理器中进入该文件夹并删除其中的所有文件;方法二,单击“开始”→“设置”→“控制面板”→“Internet属性”→“常规”标签,在“网页保存在历史记录中的天数”输入框中敲入“0”→“应用”(或“清除历史记录”)按钮。
“剪贴板”中的信息
剪贴板是Windows平台上程序之间静态交换“住处”的驿站,它是由Windows在内存中开辟的临时存储空间。不管什么时候剪切、复制和粘贴信息,在新的信息存入之前或是退出Windows之前,都一直保存着已有的“内容”信息。而且,Word 2000(包括Office 2000家族系列软件)的“剪贴板”可以存储12个“剪切”信息。所以,需要保守您的“秘密”的话,可不能忽略了“剪贴板”啊!
“文档”选单
“开始”的“文档”选单中,以快捷方式“保存”着您最近使用过的约15个文件(包括您刚从网上Download下来并打开过的文件)。通过它,我们可以迅速地访问一段时间前编辑过的文档。但对于那些使用计算机编辑个人文件或机密文件的朋友们来说,这种设置却会向他人泄露自己的秘密。
清除方法:
单击“开始”→“设置”→“任务栏和开始选单”,点击“开始选单程序”栏目下的文档项目的“清除”按钮,就把“文档”选单中的历史记录全部清除掉。若要不完全清除,从资源管理器中进入\windows\Recent文件夹,删除需要删除的项目即可。
“被挽救的文档”
我们在使用Word 97/2000等Office软件的过程中,有时会遇到“非法操作”提示,或是操作中机器突然掉电等一些意外情况,这样,在硬盘中(一般是安装Office软件的分区的根目录)或桌面上会冒出一些“被挽救的文档”,这些“被挽救的文档”,可能就是您刚刚编辑的文稿的全部或部分内容。所以,要提防“秘密”在此泄露:删除它!
Office的“文件”选单
大家知道,使用Microsoft Office家族的Word、office/9.shtml target= _blank class= article >Excel等软件进行工作后,会在“文件”选单中留下“记录”,由于“工具”的“选项”中设置“列出最近所用文件数”的不同,“文件”选单“记录”数也不同,但都会记录下您最新的操作。不想让他人知道的话,可按“Ctrl + Alt + -(减号)”键,光标会变成一个粗“减号”,打开“文件”选单后,用粗“减号”单击需要删除的文档即可。也可在Word中单击“工具”选单→“选项”→“常规”标签→选择“列出最近所有文件”选项,在其后的输入框中输入“0”,最后单击“确定”按钮。
Word 2000等Office 2000系列软件的“打开”对话框新增了一个“历史”按钮,利用它可以快速打开最近使用过的数十个文档。所以,此处也须提防。
Temp中的“物件”
我们常用的Word 97/2000和其他应用程序通常会临时保存您的工作结果,以防止意外情况造成损失。即使您自己没有保存正在处理的文件,许多程序也会保存已被您删除、移动和复制的文本。这些“内容”被存放在\Windows\Temp目录下。应定期删除各种应用程序在\Windows\Temp文件夹中存储的临时文件,以清除上述这些零散的文本。还应删除其子目录中相应的所有文件。虽然很多文件的扩展名为TMP,但它们其实是完整的DOC文件、HTML文件,甚至是图像文件。
还有,在Foxmail中打开邮件的“附件”,也会在\Windows\Temp文件夹中留下“备份”。所以,对于\Windows\Temp文件夹中近乎“纯垃圾”的内容,一定不要忘记予以坚决地清除。
Foxmail的“废件箱”
Foxmail 3.0 beta2及以后的版本,提供了和“回收站”类似的“废件箱”,Foxmail在清除“废件箱”中的邮件时并没有真正将其从硬盘上删除,而是像数据库系统那样只是打上删除标记而已,只有用户执行“压缩”操作之后被删除邮件才会被真正删除,这就为窥视者提供了恢复被删除邮件的可能。
所以,在公用计算机上使用 3.0 beta2及以后版本的Foxmail,记住把不需要的信件从“收件箱”清除时,按“Shift+Del”直接删除,使其不转入“废件箱”,并对邮箱进行压缩。
“日志”文件
存放在Windows目录下的Schedlog.txt是“计划任务”的“日志”,忠实地记录了“以往计划任务的执行情况”,以及您每次开机启动Windows系统的“时刻”信息,可以用任何字处理软件打开它。所以,您的“开机”及一些“任务”(程序)的执行信息,都会由此“暴露”。
要修改Schedlog.txt删除您的“行踪”记录吗?需要费一些周折,因为,用Windows系统下的任何编辑软件都只能打开但不能做修改后保存。例如,“记事本”打开“Schedlog.txt”后,可以在屏幕上做添加、删除等编辑操作,试图将改动过的“Schedlog.txt”存盘时,系统提示“无法创建文件C:\Windows\Schedlog.txt,请确定路径及文件名是否正确。”,按“确定”按钮后,自行退出“记事本”。即使进入Windows的MS-DOS方式,用“Edit”编辑也不行!只能以纯DOS方式启动计算机,再去Del、Edit或……随您的便,怎样处置这个“Schedlog.txt”都成!
使用OICQ后
若是按默认目录安装,那么,在C:\Program Files\oicq\下可以看到许多账号。双击进入任意一个账号,可以看到.cfg的文件,那是本账号的配置文件。还会有很多.msg文件,.msg文件的文件名就是您的OICQ的朋友的账号。如果有Tempfiles.tmp文件,通常是其他人用“语音传送”发来的声音文件,Tempfiler.tmp通常是本账号用户发给其他人的声音文件,可以用录音机打开播放。
解决的办法(很简单,也很有效):
下网后删除自己用的账号目录,尤其是在“网吧”。下次使用时选注册向导,选“使用已有的OICQ号码”,再逐步注册就行。
曾访问的网页
为了加快浏览速度,IE会自动把您浏览过的网页作为“临时文件”,保存在\Windows\Temporary Internet Files 文件夹中,这些“记录”文件会被MS IE Cache Explorer一类的程序一览无遗。
解决办法:
从资源管理器中进入该文件夹中,全选所有网页,删除即可。或者打开IE属性,在“常规”栏目下单击“Internet 临时文件”项目的“删除文件”按钮(这种方法不太彻底,会留少许Cookies在目录内)。如果浏览过的网页较少且希望保留部分网页时,在上述目录中查找并删除不想要的网页即可。
“小甜饼”
Cookie翻译为中文就是“小甜饼”。打开\Windows\Cookies,该目录下有很多Cookies!这些“小甜饼”都是一些网站“白送”的,当您访问这些网站时,它们便会自动记录您所访问的内容、浏览的网页,并“储存”在Cookies中,以便下次达到快速链接,加快浏览速度。\Windows\Cookies文件夹中的“数据”,类型如yyy@202.102.224.68
,大都是:Windows用户名+ @ + 域名或IP地址,并以文本文件形式保存。“小甜饼”多了,不但会撑破硬盘肚皮,而且会暴露您的行踪。所以,不能贪图“甜”,该舍弃的就要扔!
解决办法:
将\Windows\Cookies文件夹中的文件(除系统自身所形成的“Index.dat"外),删除掉。
浏览过的地址(URL)
下网后,按一下地址栏的下拉选单,已访问过的站点无一遗漏尽在其中。怎么办?用鼠标右键点击桌面上的IE图标,打开属性,在“常规”栏目下点历史记录项目的“清除历史记录”。若只想清除部分记录,单击浏览器工具栏上的“历史”按钮,在右栏的地址历史记录中,用鼠标右键选中某一需要清除的地址或其下的一网页,选取“删除”。
注意,在Win 98/2000中,还有一处“隐藏”的“地址”栏,它同样会记录您曾去过的网址。该“地址”栏在“任务栏”上(在“任务栏”的空白处单击鼠标右键→“工具栏” →选择“地址”),在这个“地址”栏中输入网址便能激活IE浏览器上网,输入的网址就被记录下来。还好,此处的“记录”被放在Windows\History文件夹中,非常容易清除。在此说明的是,不要因为IE浏览器的“地址”栏和资源管理器的“地址”栏中没“记录”,就觉得“完事”了。
“拨号口令”
很多用户喜欢让Windows替他来记住口令,即建立拨号连接后,随着“连接到”窗口的出现,输入用户名,再输入登录口令(即密码),输入时密码以星号(“*”)的形式出现在口令栏中,在下面的“保存口令”前打勾,这样每当出现“连接到”窗口时您就不必重复输入用户名和口令了。但是,使用Revelation 这个大小只有70kB的软件可以轻松地得到您的密码。为了安全起见,建议不要在“保存口令”前打勾了。
另外,在\Windows文件夹中 .PWL文件记录着拨号上网的账户,注意删除掉。
文档的“属性”信息
对于存储在公用计算机的Word文档,许多用户采取设定“打开权限密码”以防止未经授权用户打开的办法,来防止泄露有关该文档的信息。但是,该文档的“属性”信息,会帮“倒忙”——泄密。
Word 97的“属性”对话框包括“常规”、“摘要信息”、“统计信息”、“内容”和“自定义”五张选项卡。自动存储到“摘要信息”选项卡上的信息有三项,“作者”、“单位”和安装Word时输入的用户信息。第一次保存文档时,将文档中第一行的内容存放到“标题”框中(通常是您写作的“题目”)。
查看文档的“属性”对话框,虽然依据文件名无法判断出文档的内容,但“摘要信息”选项卡“标题”框中(该文档第一行)的内容,却会泄露文档的秘密。由于“打开权限密码”只限制打开文档,并不限制打开“属性“对话框,所以,“标题”框是一个易被忽视的泄密漏洞。
堵住这个泄密漏洞的方法是:第一次保存文档后,打开“属性”对话框,将“摘要信息”选项卡上“标题”框中的内容删除(“内容”选项卡上的内容就会自动删除)即可。
ACDSee 32看图程序的“记录”
在默认的情况下,ACDSee 32看图程序的历史记录是“隐藏”的。但若是这样:单击“工具”选单→“选项”→“浏览”标签→选择“显示路径框”,按“确定”按钮,那么,您以前看过的图片就会显露。 ACDSee 32看图程序的历史记录,在其“工具”栏的下方。清除方法是,用Regedit打开注册表,展开左窗口的“HKEY_CURRENT_USER\Software\ACD Systems\ACDSee32”分支,再把ACDSee32主键对应的右窗口的“HistFileFilers”、“HistFindScope”和“HistPaths”三项内容删除即可。
“收藏夹”中的记录
大多数朋友上网时,常把喜爱的网址添加到“收藏夹”中,甚至设置为“允许脱机使用”,其优点当然是便于下次快速地进行浏览。但您的爱好和兴趣就必然暴露给他人了。\Windows\Favorites文件夹,即是“收藏夹”的位置,要想清除“收藏夹”中的历史记录,只要进入它,选中目标文件,执行“删除”操作即可。
“记事本”和“写字板”中的记录
记事本的历史记录保存与否,受制于Windows系统的设置。以Win 98为例,若保存,则仅存在于Win 98的“文档”选单中,而写字板的历史记录则同时存在于它的“文件”选单和Win 98的“文档”选单中。
对于“文档”中的记录很容易清除,这里不再赘述。至于“写字板”中的记录,可用修改注册表的方法来清除:用Regedit打开注册表,展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets\Wordpad\Recent FileList”分支,将其对应的主键值全部删除,再重新启动计算机,即可清除写字板的“文件”选单中的历史记录。
“回收站”
“回收站”是已删文件的暂时存放处。在“清空回收站”之前,存放在那里(回收站)的文件并没有真正从硬盘上删除。Windows操作系统,除了在“桌面”上放置一个图标为灰色的“垃圾筒”外,在每个硬盘(分区)的根目录下建立了一个隐藏属性的文件夹——Recycled,这个“Recycled”子目录(文件夹)就是回收站实际的位置所在。窥探者可以从“回收站”中恢复(还原)被删除的文件,发现您的工作内容。所以,每次结束操作,离开计算机之前,要记住“清空回收站”。
其它地方
Windows的“附件”中的“画图”、“娱乐”用的“Windows Media Player ”等工具,其“文件”选单都蕴藏着丰富的记录,不可小视。
WPS 97/2000、CCED 2000等字表处理软件的“文件”选单,也饱含着最近编辑(或打开查看)的文件,同样需要做清理。
好了,不再危言耸听了!本文的介绍,只是希望给朋友们有所启示:电脑应用中存在着一些“副”作用,需要引起足够的注意,以更好、更安全地使电脑为我们服务。
