几乎可以这样说,如果你有免费电子邮箱,你收到垃圾邮件的机会将会很高。对付垃圾邮件除了各方共同努力外,对于普通用户来讲,注意以下几点是可以防范垃圾邮件的:
一、不要响应不请自来的电子邮件或者垃圾邮件,绝对不要回复垃圾邮件,如果你回复甚至警告他们不要再发,这无疑也相当于告诉对方你的邮件地址实际存在,今后你可能会收到更多的垃圾邮件。所以,即使垃圾邮件上写有“如果不需要此邮件的话请回信告知”等句子,也决不要回复,这一点非常重要。
二、不要试图点击垃圾邮件中的任何链接,某些垃圾邮件发送者会自动收集点击者的信息,事实上当你点击链接进入相应网站时就无疑高速对方这个电子邮件地址是存在的(不然谁会去点击?)。
三、不要把您的邮件地址在因特网页面上到处登记,如果经常用某个邮件地址在网上大量注册(很多论坛都要求填写email地址然后给你发送密码),相信你今后收到垃圾邮件的次数会越来越多,那怎么办呢?告诉你一个方法:由于网络上收集电子邮件地址通常是用软件进行,而目前的电子邮箱表示法中都会包含“@”这个符号,所以当你注册成功后不妨再次进入论坛,将电子邮箱中的”@”改为其他符号如“#”,这样其他用户查看时会知道你的email的,但对付那些软件就有效多了;不过有些网站,检测地址的合法性,所以此法肯定行不通,那也有办法——将电邮地址修改为其他的字符组合,比如增加字符长度等。
四、不要登陆并注册那些许诺在垃圾邮件列表中删除你名字的站点。
五、保管好自己的邮件地址,不要把它告诉给你不信任的人。
六、不订阅不健康的电子杂志,以防止被垃圾邮件收集者收集。
七、谨慎使用邮箱的“自动回复”功能。为了体现互联网高效、快捷的特点,很多网站和邮件收发工具中都设置了“自动回复”功能,这虽然方便,但是如果两个联系人之间都设置了“自动回复”,想想看有何后果?恐怕双方的邮箱中都是一些“自动回复”的垃圾信件。换句话说,此功能使用不当,人人都会变成垃圾邮件发送者。
八、发现收集或出售电子邮件地址的网站或消息,请告诉相应的主页提供商或主页管理员,将您删除,以避免邮件地址被他们利用。
九、用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。
一、不要响应不请自来的电子邮件或者垃圾邮件,绝对不要回复垃圾邮件,如果你回复甚至警告他们不要再发,这无疑也相当于告诉对方你的邮件地址实际存在,今后你可能会收到更多的垃圾邮件。所以,即使垃圾邮件上写有“如果不需要此邮件的话请回信告知”等句子,也决不要回复,这一点非常重要。
二、不要试图点击垃圾邮件中的任何链接,某些垃圾邮件发送者会自动收集点击者的信息,事实上当你点击链接进入相应网站时就无疑高速对方这个电子邮件地址是存在的(不然谁会去点击?)。
三、不要把您的邮件地址在因特网页面上到处登记,如果经常用某个邮件地址在网上大量注册(很多论坛都要求填写email地址然后给你发送密码),相信你今后收到垃圾邮件的次数会越来越多,那怎么办呢?告诉你一个方法:由于网络上收集电子邮件地址通常是用软件进行,而目前的电子邮箱表示法中都会包含“@”这个符号,所以当你注册成功后不妨再次进入论坛,将电子邮箱中的”@”改为其他符号如“#”,这样其他用户查看时会知道你的email的,但对付那些软件就有效多了;不过有些网站,检测地址的合法性,所以此法肯定行不通,那也有办法——将电邮地址修改为其他的字符组合,比如增加字符长度等。
四、不要登陆并注册那些许诺在垃圾邮件列表中删除你名字的站点。
五、保管好自己的邮件地址,不要把它告诉给你不信任的人。
六、不订阅不健康的电子杂志,以防止被垃圾邮件收集者收集。
七、谨慎使用邮箱的“自动回复”功能。为了体现互联网高效、快捷的特点,很多网站和邮件收发工具中都设置了“自动回复”功能,这虽然方便,但是如果两个联系人之间都设置了“自动回复”,想想看有何后果?恐怕双方的邮箱中都是一些“自动回复”的垃圾信件。换句话说,此功能使用不当,人人都会变成垃圾邮件发送者。
八、发现收集或出售电子邮件地址的网站或消息,请告诉相应的主页提供商或主页管理员,将您删除,以避免邮件地址被他们利用。
九、用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。
木马防御技巧之Wincfg和Svhost后门清除
[ 2007-03-25 03:15:25 | 作者: sun ]
最近发现有一种木马:包括的进程名字有:Wincfgs.exe和Svchost.EXE。
目前发现的现象是:启动时候会自动弹出记事本,且会在进程的启动项中多增加Adobe的进程,不过Adobe是被木马调用的,本身不是木马。(这是很菜的木马,一般按我提供以下方法可以清除)
个人分析:这种木马很可能是通过WORD文件在磁盘介质进程传播。警告大家在使用U盘,软盘拷贝WORD和其他文本文件时候,最好先杀毒。
以下是手动清除:在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。
(1)清除Svchost.exe
windows\system32里面的svchost.exe一般是正常的系统程序。如果在在WINDOWS目录下的,如果发现svchost.exe,先结束掉系统进程,在把该文件删除(注意:在XP系统中,很多个的进程都是svchost,但一般的系统进程用户都是SYSTEM,如果该进程是与你的用户名字使用,说明是木马程序)
(2)清除Wincfgs.exe
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下,也同样是先结束进程,再删除该文件。
然后进入注册表:regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中,如果出现上面2个进程名字,则删除键属性值。
同样进入MSCONFIG,把启动项的钩去掉。然后重新启动。
目前发现的现象是:启动时候会自动弹出记事本,且会在进程的启动项中多增加Adobe的进程,不过Adobe是被木马调用的,本身不是木马。(这是很菜的木马,一般按我提供以下方法可以清除)
个人分析:这种木马很可能是通过WORD文件在磁盘介质进程传播。警告大家在使用U盘,软盘拷贝WORD和其他文本文件时候,最好先杀毒。
以下是手动清除:在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。
(1)清除Svchost.exe
windows\system32里面的svchost.exe一般是正常的系统程序。如果在在WINDOWS目录下的,如果发现svchost.exe,先结束掉系统进程,在把该文件删除(注意:在XP系统中,很多个的进程都是svchost,但一般的系统进程用户都是SYSTEM,如果该进程是与你的用户名字使用,说明是木马程序)
(2)清除Wincfgs.exe
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下,也同样是先结束进程,再删除该文件。
然后进入注册表:regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中,如果出现上面2个进程名字,则删除键属性值。
同样进入MSCONFIG,把启动项的钩去掉。然后重新启动。
菜鸟电脑木马查杀大全
[ 2007-03-25 03:15:07 | 作者: sun ]
常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell
\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
快速关闭端口防止病毒与黑客入侵
[ 2007-03-25 03:14:33 | 作者: sun ]
你的操作系统系统是不是WindowsXP SP1,但是安装了2005瑞星杀毒软件后总是提示系统有 MS-4011 Exploit 和Blaster Rpc Exploit 两个漏洞。
最直接的办法,把系统不用的端口都关闭掉,然后重新启动。如果瑞星还提示有漏洞攻击,就没办法了。注:关闭的端口有,135、137、138、139、445、1025、2475、3127、6129、3389、593,还有tcp.
具体操作如下:默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WindowsXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
最直接的办法,把系统不用的端口都关闭掉,然后重新启动。如果瑞星还提示有漏洞攻击,就没办法了。注:关闭的端口有,135、137、138、139、445、1025、2475、3127、6129、3389、593,还有tcp.
具体操作如下:默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WindowsXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
多种方法防范非法用户侵入
[ 2007-03-25 03:14:21 | 作者: sun ]
第一招:屏幕保护
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。
提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。
不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
第二招:巧妙隐藏硬盘
在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。
接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”,将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
第三招:禁用“开始”菜单命令
在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。
在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为:
1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。
2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。
第四招:桌面相关选项的禁用
Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。
1)隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2)禁止对桌面的某些更改
如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
第五招:禁止访问“控制面板”
如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。
此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。
提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
第六招:设置用户权限
当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。
3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。
第七招:文件夹设置审核
Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。
2)在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记,然后单击“确定”按钮。
3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。
4)单击“高级”按钮,然后选择“审核”标签。
5)根据具体情况选择你的操作:
倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。
6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。
7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。
提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。
不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
第二招:巧妙隐藏硬盘
在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。
接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”,将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
第三招:禁用“开始”菜单命令
在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。
在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为:
1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。
2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。
第四招:桌面相关选项的禁用
Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。
1)隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2)禁止对桌面的某些更改
如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
第五招:禁止访问“控制面板”
如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。
此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。
提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
第六招:设置用户权限
当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。
3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。
第七招:文件夹设置审核
Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。
2)在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记,然后单击“确定”按钮。
3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。
4)单击“高级”按钮,然后选择“审核”标签。
5)根据具体情况选择你的操作:
倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。
6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。
7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
金猪报喜专杀工具 与 金猪报喜防范
[ 2007-03-25 03:14:07 | 作者: sun ]
1月30日,江民科技反病毒中心监测到,肆虐互联网的“熊猫烧香”又出新变种。此次变种把“熊猫烧香”图案变成“金猪报喜”。江民反病毒专家提醒用户,春节临近,谨防春节期间病毒借人们互致祝福之际大面积爆发。
专家介绍,“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个,据江民反病毒预警中心监测到的数据显示,“熊猫烧香”病毒去年12月一举闯入病毒排名前20名,1月份更是有望进入前10名。疫情最严重的地区分别为:广东、山东、江苏、北京和辽宁。
中了该毒后请不要慌张,也不要急于怎么处理,应该报有平常心来对待,下面我来说下中了“金猪报喜”后的症状:
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
尝试关闭窗口
QQKav、QQAV、天网防火墙进程、VirusScan、网镖杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、木馬清道夫、QQ病毒注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、小沈Q盗杀手、pjf(ustc)、IceSword
尝试关闭进程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
专家介绍,“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个,据江民反病毒预警中心监测到的数据显示,“熊猫烧香”病毒去年12月一举闯入病毒排名前20名,1月份更是有望进入前10名。疫情最严重的地区分别为:广东、山东、江苏、北京和辽宁。
中了该毒后请不要慌张,也不要急于怎么处理,应该报有平常心来对待,下面我来说下中了“金猪报喜”后的症状:
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
尝试关闭窗口
QQKav、QQAV、天网防火墙进程、VirusScan、网镖杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、木馬清道夫、QQ病毒注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、小沈Q盗杀手、pjf(ustc)、IceSword
尝试关闭进程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
反思熊猫烧香病毒给我们的启示录
[ 2007-03-25 03:13:36 | 作者: sun ]
随着“熊猫烧香”作者承诺不在更新新的版本,一场轰轰烈烈“杀猫”大战看似已经逐渐平静下来。但是这场风波带给我们的启示确不应该让大家这么快的忘记……
熊猫本身
在这个“金钱至上”的年代,“熊猫”确是一个非常另类的病毒。因为它的最终目的不是为得到经济利益。难道“熊猫”是回到早先的黑客们为录炫耀自己的技术而诞生的?或者是作者为了对早期黑客单纯目的表示敬意?但是从目前我们能看到的信息来看,作者的目的是对普通用户的一次警醒,更是对安全厂商的一次嘲弄!从技术上来说该病毒并没有什么创新之处,但是它却借鉴很多经典病毒,木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。
“熊猫烧香”的名字的由来应该是被病毒感染后EXE文件图标会变成一个动态的在烧香熊猫。但是大家有没有想过作者为什么要如此煞费苦心的突出这个熊猫呢?而这个烧香熊猫到底如此“虔诚”的在祈求什么呢?这答案值得每个人细细品位。
用户
“熊猫”很厉害但是跟以往病毒大规模感染不同,用户明显分成2个阵营一个根本不知“熊猫”为何物一个被这只熊猫折磨的痛苦不堪。为什么会这样呢?感染熊猫后清除是极其麻烦的,显然没有什么机器能幸免,那问题一定都出在“防”上!“熊猫”犹如一柄石中剑,它考验用户的机器综合安全体系以及上网习惯。
厂商
面对反病毒技术没有突破性的进步,面对厂商的一次一次升级一次一次的广告攻势。面对用户的盲从。这只熊猫代来了“讽刺”也带来了答案!任何一个技术单一拿出来安全软件都能应付,但是综合到一起了呢?经济利益推动的升级在这只熊猫面前漏出本来的面目……熊猫不是卖点,它仅是测试,安全对软件的测试。
没有走远的熊猫
“熊猫烧香”作者承诺不在更新新的版本。但是不要指望你会摆脱它的困扰,因为有更有的“非标准”版本在酝酿而且更可怕并不是“熊猫“本身而是在病毒/木马制作思路上的变化,以后用多少新的病毒/木马会借鉴“熊猫”的经验呢?一切才刚刚开始!
应对
目前所有的下载网站杀毒软件的下载有非常热门,可见用户对其投入的关注度已经非常高。但是补丁,防火墙的下载却相对很少,这正体现目前用户安全防御上蹩脚走路的状况。但是以后要面对的将考验你安全上的综合措施,仅仅依靠一个或几个杀毒软件带给你的将不在是安全。
熊猫本身
在这个“金钱至上”的年代,“熊猫”确是一个非常另类的病毒。因为它的最终目的不是为得到经济利益。难道“熊猫”是回到早先的黑客们为录炫耀自己的技术而诞生的?或者是作者为了对早期黑客单纯目的表示敬意?但是从目前我们能看到的信息来看,作者的目的是对普通用户的一次警醒,更是对安全厂商的一次嘲弄!从技术上来说该病毒并没有什么创新之处,但是它却借鉴很多经典病毒,木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。
“熊猫烧香”的名字的由来应该是被病毒感染后EXE文件图标会变成一个动态的在烧香熊猫。但是大家有没有想过作者为什么要如此煞费苦心的突出这个熊猫呢?而这个烧香熊猫到底如此“虔诚”的在祈求什么呢?这答案值得每个人细细品位。
用户
“熊猫”很厉害但是跟以往病毒大规模感染不同,用户明显分成2个阵营一个根本不知“熊猫”为何物一个被这只熊猫折磨的痛苦不堪。为什么会这样呢?感染熊猫后清除是极其麻烦的,显然没有什么机器能幸免,那问题一定都出在“防”上!“熊猫”犹如一柄石中剑,它考验用户的机器综合安全体系以及上网习惯。
厂商
面对反病毒技术没有突破性的进步,面对厂商的一次一次升级一次一次的广告攻势。面对用户的盲从。这只熊猫代来了“讽刺”也带来了答案!任何一个技术单一拿出来安全软件都能应付,但是综合到一起了呢?经济利益推动的升级在这只熊猫面前漏出本来的面目……熊猫不是卖点,它仅是测试,安全对软件的测试。
没有走远的熊猫
“熊猫烧香”作者承诺不在更新新的版本。但是不要指望你会摆脱它的困扰,因为有更有的“非标准”版本在酝酿而且更可怕并不是“熊猫“本身而是在病毒/木马制作思路上的变化,以后用多少新的病毒/木马会借鉴“熊猫”的经验呢?一切才刚刚开始!
应对
目前所有的下载网站杀毒软件的下载有非常热门,可见用户对其投入的关注度已经非常高。但是补丁,防火墙的下载却相对很少,这正体现目前用户安全防御上蹩脚走路的状况。但是以后要面对的将考验你安全上的综合措施,仅仅依靠一个或几个杀毒软件带给你的将不在是安全。
2007个人计算计安全配置手册
[ 2007-03-25 03:13:25 | 作者: sun ]
前言
几年前在社区中也发过类似的帖子,但是之后时间由于各种原因并没更新重发。今年由于熊猫的原因我决定发布新版本的安全手册。
本贴仅面相普通的计算机使用用户,说以我尽量避免使用复杂的系统设置图解而是尽可能用第三方软件代替。软件的使用宗旨也是尽量使用免费软件和中文软件。
思路我的重点并没有放到查杀上,而是注重防上。一切都围绕这个主题进行。
由于这是一个很庞杂的帖子,一次不可能完成所以帖子会不断进行更新,某些内容可能来源其它网友我会尽可能署上作者姓名,如有 相关问题请联系我:)更新前后会效仿软件的版本号的形式注明。我已经向社区的版主征集相关的稿件,并会把相关的内容及时更新上来。
为了统一版面,以及后续的编译更新本贴将关闭回复功能。但是会开一个新的专门帖子供大家回复,回复贴地址http://forum.ikaka.com/topic.asp?board=28&artid=8261955因为本贴非常需要大家的意见及建议。说以希望大家能多多的灌水:)
面相对象
目前本贴仅面相单机普通个人用户的系统安全。但是考虑到很多朋友已经拥有二台或两台以上的计算机设备,而且多机联网可以有更大的安全空间,和更多安全选择以及更好的安全效果。说以相关的内容会在后面的时间更新(已经在朋友那里组建完毕三机〔两台式一笔记本〕测试平台,目前正在测试并收集相关的数据)
系统安装前
分区应该是大家在安装系统前最先碰到的一个问题,也是第一个被大家忽略的问题。给大家的意见就是系统盘也就是大家说的c盘应该在10G左右考虑到新系统(VISTA)可适当的扩展到15G。而工具盘也是说的D盘也应该在10G左右的空间。剩下的盘符大家可以自便,但是最后一个区空间应该适当的大一些因为我们用它来作资料备份使用。
磁盘格式的选择
强烈建议大家的把C,D两个盘符分成NTFS格式。因为WINDOWS的安全全都是建立在NTFS基础之上的。抛弃了NTFS也就不要谈什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分区的,你看到的C:应该是NTFS分区之后的那FAT32个区,但是借助其它软件也可以查看DOS下的 NTFS的 数据)但是我也不推荐全部分区都使用NTFS,因为这样你备份以及一些其它的操作可能会受到一些影响。所以个人的意见是把最后一个区也就是备份区分成FAT32。
系统选择
微软的VISTA系统已经上市了,但是由于其极高的硬件要求更因为第三方软件软件兼容性上的问题。我们暂时没有选择VISTA而是选择成熟的 WINDOWS XP SP2 PRO。(放弃了2003是因为其设置上对于很多用户是巨大的瓶颈,而且2003对很多软件尤其是安全软件都存在兼容性的问题。但是在以后涉及到多机安全上我们将涉及2003或服务器版本的 VISTA)
系统安装
对于普通用户来说系统安装是最简单的问题了,看似没有说的必要。但是往往问题都是出在我们忽略的小事情上。比如系统,补丁,驱动等的安装顺序上。我的建议是系统→SP补丁(当然目前的XPSP2已经没有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驱动的顺序进行安装。当然并不是说你不安这个顺序安装有什么问题,但是这样作做少会降低很多不必要的隐患。
首次备份时间点
这样安装完驱动后,我们的系统就基本本宣告安装完毕了。此时建议你使用备份软件对系统进行备份,并最好把备份文件进行光盘存档。
软件提示
由于众所周知的问题,在进行以上安装的时候用户会碰到第一个棘手的问题。就是无法下载WINDOWS的安全更新!此时建议相关的用户安装Windows Updates Downloader,该软件是免费软件,首次使用需要到其官方网站下载相应语言版本的文件(有WINDOWS和OFFICE二种)之后就可以点击DOWNLOAD更新,它不仅仅提供安全更新,还提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是该软件不会检测你 系统中已经安装的补丁,它之会把所有更新全部列出,所以用户下载时请酌情下载相应的补丁。它还会下载非关键更新OTHER:)但是不一定没有用,很有意思哦!
操作系统设置
以前是非常难说的问题,也是最费笔墨的一个部分。但是现在有了XP-ANTISPY这个软件一切都变的非常简单了!它同样也是一个免费软件,它将系统设置的各个的方面以选项的的 形式放在用户面前,最让人兴奋的的 是每个选项作者都给出了详细说明,用户根据提示就可以把为复杂的系统的设置变成简单的点击。
非管理员账户的创建及设置
说VISTA的安全性的 提高,一个重要的原因就是。微软借鉴LINUX的对管理员账户进行严格管制的思路,不让用户直接进入管理员账户即使要进入也输入密码……其实我们在非VISTA系统也可以这样作。(由于时间的关系该内容以后更新)
密码管理
(由于时间的关系该内容以后更新)
安全软件的选择
前言
对于防病毒软件来说,没有什么完美的软件。甚至在一线和二线厂商之间也没有什么大的分别。因为几乎每一个我们知道或不知道的厂商都有自己独特的反病毒技术,正是因为这种理念的不同就使的各个软件在不同方面都有自己的优点及缺陷。对于用户来说没有最好的,只有最适合自己的。当然这种分寸拿捏是需要用户对自己系统了解,以及对各个软件长时间反复测试才能的出。对于普通用户来说这显然是很困难的。所以我给出是一个最大众化的配置,它在各个方面都不会是最出色的配置,但是它也应该是综合性能最优秀的一个。
普通用户方案
主杀毒软件
瑞星二〇〇七
并非是因为我是IKAKA的版主或因为本贴是在社区首发,而推荐瑞星二〇〇七的。因为这个版本的瑞星改进的脱壳程序完善了网友对瑞兴诟病最多的木马查杀环节,使用“碎甲”技术,完善了启发查毒以及对虚拟机的成功应用,这一切都让瑞星成了用户的不二选择。而且只要对瑞星进行合理的设置就基本可以抵御用户面对安全问题。
安全建议:社区有不少二〇〇七优化方案的 帖子大家最好看看:)
辅助杀毒
这里的杀毒软件仅仅是对 主杀毒软件的一个补充,因为目前的安全形式已经很难让用户用单一的安全手段面对日益增长威胁。辅助杀毒一般不会有实时监控程序即使有也建议用户取消,仅仅只在下载新软件后手动调用辅助杀毒程序进行查杀(也就是鼠标右键)
推荐1
Cureit它是鼎鼎大名的Dr.web的 免费版。Dr.web是俄科学院研制供俄罗斯军方专业的杀毒软件,其引擎对木马脱壳能力应该是众多杀毒软件中最强大的,即使是卡巴斯基单从引擎上 说也逊色三分。Cureit根Dr.web的 区别仅仅是没有实时监控程序,其它诸如引擎和病毒库上都是完全相同的。
优点:完全免费,资源占用少 缺点:没有中文版。
推荐二
**
**就不用说了,其根瑞星的渊源我也不用细细道来了,选用**的理由很简单就是其设计的初衷!一款主动防御软件。具体的 说明大家有兴趣可以到其官方网站了解。
优点:国货!对主杀毒程序兼容好 缺点:付费软件,资源占用稍大。
防火墙
前言
没有安全的墙!目前大家对防火墙评测基本都是国外网站的测试的结果,而且流行的无非都是那几款。但是非常遗憾的告诉大家这些墙都有或大或小的安全BUG,而且即使是ZA这种被网友“力捧”的墙在其设计构架中都存在致命的缺陷。最关键不是你看别人说什么墙好,而是你了解什么墙你会用什么墙。
瑞星二〇〇七防火墙
又是瑞星?没错!首先它是瑞星杀毒软件标准版中就附带,而且经过不断的改进瑞星防火墙已经成为一款成熟的产品。瑞星杀毒软件+瑞星防火墙+注册表监控,用户只要运用好这3样工具就基本可以从容的应付常见的安全威胁。
社区有网友提供瑞星防火墙规则包建议大家安装,不错的:)有时间我可能会更新一个新包上来:)
其它防火墙
(由于时间的关系该内容以后更新)
花絮:一样的外衣不一样的心
很多人都关系某某部门用了什么软件或军方用了什么软件,其实这完全没有什么意义因为首先你不可能享受到想这些部门一样的服务。其次这些杀毒软件的DAT或防火墙的规则你是根本就接触甚至看不到的。编译好自己的规则才时最关键的。
HIPS
什么是HIPS
HIPSPS(主机入侵防御体系),也被称为系统防火墙,今年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用它们来最终分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所HIPS检测,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!(现在开始风行的行为杀毒其实就是HIPS功能的智能化)。的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系(比如瑞星的注册表监控), File Defend(简称FD)文件防御体系三类。
第一次使用HIPS时用户进行各种操作软件都会有提示,用户安提示操作就可以了以后只要文件没有被病毒或木马破坏就不会有相关的提示,但是这也要求使用HIPS一定要不怕麻烦,并能认真阅读HIPS的提示信息。否则HIPS对你不但没有什么帮助,也会徒增你的烦恼
推荐
System Safety Monitor(简称SSM)是目前最红的HIPS软件,经过几年的开发,现在SSM2.2已经基本成熟了,系统资源占用也越来越少,它拥有AD和RD功能,可以察看运行程序的父子关系,就是界面设计的有些烦琐,上手比较麻烦,拥有MD5和更强大的256位SHA效验算法可以选择。同时也有中文语言包,虽然价格比较高,但是还有免费的版本提供,不过少了磁盘底层写入监视和RD(正因为瑞星又RD功能,所以我推荐SSM作为普通用户方案HIPS的搭配)
注意:SSM有付费和免费两种版本,免费版仅缺少几项项监控。用户可根据自己的情况选择!建议大家用免费版本:)
第二次备份时间点
使用上述软件对 系统进行完全扫描后,用户就可以进行第二次的备份操作!备份文件直接备份备份区分即可刻在光盘上也不错:)
几年前在社区中也发过类似的帖子,但是之后时间由于各种原因并没更新重发。今年由于熊猫的原因我决定发布新版本的安全手册。
本贴仅面相普通的计算机使用用户,说以我尽量避免使用复杂的系统设置图解而是尽可能用第三方软件代替。软件的使用宗旨也是尽量使用免费软件和中文软件。
思路我的重点并没有放到查杀上,而是注重防上。一切都围绕这个主题进行。
由于这是一个很庞杂的帖子,一次不可能完成所以帖子会不断进行更新,某些内容可能来源其它网友我会尽可能署上作者姓名,如有 相关问题请联系我:)更新前后会效仿软件的版本号的形式注明。我已经向社区的版主征集相关的稿件,并会把相关的内容及时更新上来。
为了统一版面,以及后续的编译更新本贴将关闭回复功能。但是会开一个新的专门帖子供大家回复,回复贴地址http://forum.ikaka.com/topic.asp?board=28&artid=8261955因为本贴非常需要大家的意见及建议。说以希望大家能多多的灌水:)
面相对象
目前本贴仅面相单机普通个人用户的系统安全。但是考虑到很多朋友已经拥有二台或两台以上的计算机设备,而且多机联网可以有更大的安全空间,和更多安全选择以及更好的安全效果。说以相关的内容会在后面的时间更新(已经在朋友那里组建完毕三机〔两台式一笔记本〕测试平台,目前正在测试并收集相关的数据)
系统安装前
分区应该是大家在安装系统前最先碰到的一个问题,也是第一个被大家忽略的问题。给大家的意见就是系统盘也就是大家说的c盘应该在10G左右考虑到新系统(VISTA)可适当的扩展到15G。而工具盘也是说的D盘也应该在10G左右的空间。剩下的盘符大家可以自便,但是最后一个区空间应该适当的大一些因为我们用它来作资料备份使用。
磁盘格式的选择
强烈建议大家的把C,D两个盘符分成NTFS格式。因为WINDOWS的安全全都是建立在NTFS基础之上的。抛弃了NTFS也就不要谈什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分区的,你看到的C:应该是NTFS分区之后的那FAT32个区,但是借助其它软件也可以查看DOS下的 NTFS的 数据)但是我也不推荐全部分区都使用NTFS,因为这样你备份以及一些其它的操作可能会受到一些影响。所以个人的意见是把最后一个区也就是备份区分成FAT32。
系统选择
微软的VISTA系统已经上市了,但是由于其极高的硬件要求更因为第三方软件软件兼容性上的问题。我们暂时没有选择VISTA而是选择成熟的 WINDOWS XP SP2 PRO。(放弃了2003是因为其设置上对于很多用户是巨大的瓶颈,而且2003对很多软件尤其是安全软件都存在兼容性的问题。但是在以后涉及到多机安全上我们将涉及2003或服务器版本的 VISTA)
系统安装
对于普通用户来说系统安装是最简单的问题了,看似没有说的必要。但是往往问题都是出在我们忽略的小事情上。比如系统,补丁,驱动等的安装顺序上。我的建议是系统→SP补丁(当然目前的XPSP2已经没有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驱动的顺序进行安装。当然并不是说你不安这个顺序安装有什么问题,但是这样作做少会降低很多不必要的隐患。
首次备份时间点
这样安装完驱动后,我们的系统就基本本宣告安装完毕了。此时建议你使用备份软件对系统进行备份,并最好把备份文件进行光盘存档。
软件提示
由于众所周知的问题,在进行以上安装的时候用户会碰到第一个棘手的问题。就是无法下载WINDOWS的安全更新!此时建议相关的用户安装Windows Updates Downloader,该软件是免费软件,首次使用需要到其官方网站下载相应语言版本的文件(有WINDOWS和OFFICE二种)之后就可以点击DOWNLOAD更新,它不仅仅提供安全更新,还提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是该软件不会检测你 系统中已经安装的补丁,它之会把所有更新全部列出,所以用户下载时请酌情下载相应的补丁。它还会下载非关键更新OTHER:)但是不一定没有用,很有意思哦!
操作系统设置
以前是非常难说的问题,也是最费笔墨的一个部分。但是现在有了XP-ANTISPY这个软件一切都变的非常简单了!它同样也是一个免费软件,它将系统设置的各个的方面以选项的的 形式放在用户面前,最让人兴奋的的 是每个选项作者都给出了详细说明,用户根据提示就可以把为复杂的系统的设置变成简单的点击。
非管理员账户的创建及设置
说VISTA的安全性的 提高,一个重要的原因就是。微软借鉴LINUX的对管理员账户进行严格管制的思路,不让用户直接进入管理员账户即使要进入也输入密码……其实我们在非VISTA系统也可以这样作。(由于时间的关系该内容以后更新)
密码管理
(由于时间的关系该内容以后更新)
安全软件的选择
前言
对于防病毒软件来说,没有什么完美的软件。甚至在一线和二线厂商之间也没有什么大的分别。因为几乎每一个我们知道或不知道的厂商都有自己独特的反病毒技术,正是因为这种理念的不同就使的各个软件在不同方面都有自己的优点及缺陷。对于用户来说没有最好的,只有最适合自己的。当然这种分寸拿捏是需要用户对自己系统了解,以及对各个软件长时间反复测试才能的出。对于普通用户来说这显然是很困难的。所以我给出是一个最大众化的配置,它在各个方面都不会是最出色的配置,但是它也应该是综合性能最优秀的一个。
普通用户方案
主杀毒软件
瑞星二〇〇七
并非是因为我是IKAKA的版主或因为本贴是在社区首发,而推荐瑞星二〇〇七的。因为这个版本的瑞星改进的脱壳程序完善了网友对瑞兴诟病最多的木马查杀环节,使用“碎甲”技术,完善了启发查毒以及对虚拟机的成功应用,这一切都让瑞星成了用户的不二选择。而且只要对瑞星进行合理的设置就基本可以抵御用户面对安全问题。
安全建议:社区有不少二〇〇七优化方案的 帖子大家最好看看:)
辅助杀毒
这里的杀毒软件仅仅是对 主杀毒软件的一个补充,因为目前的安全形式已经很难让用户用单一的安全手段面对日益增长威胁。辅助杀毒一般不会有实时监控程序即使有也建议用户取消,仅仅只在下载新软件后手动调用辅助杀毒程序进行查杀(也就是鼠标右键)
推荐1
Cureit它是鼎鼎大名的Dr.web的 免费版。Dr.web是俄科学院研制供俄罗斯军方专业的杀毒软件,其引擎对木马脱壳能力应该是众多杀毒软件中最强大的,即使是卡巴斯基单从引擎上 说也逊色三分。Cureit根Dr.web的 区别仅仅是没有实时监控程序,其它诸如引擎和病毒库上都是完全相同的。
优点:完全免费,资源占用少 缺点:没有中文版。
推荐二
**
**就不用说了,其根瑞星的渊源我也不用细细道来了,选用**的理由很简单就是其设计的初衷!一款主动防御软件。具体的 说明大家有兴趣可以到其官方网站了解。
优点:国货!对主杀毒程序兼容好 缺点:付费软件,资源占用稍大。
防火墙
前言
没有安全的墙!目前大家对防火墙评测基本都是国外网站的测试的结果,而且流行的无非都是那几款。但是非常遗憾的告诉大家这些墙都有或大或小的安全BUG,而且即使是ZA这种被网友“力捧”的墙在其设计构架中都存在致命的缺陷。最关键不是你看别人说什么墙好,而是你了解什么墙你会用什么墙。
瑞星二〇〇七防火墙
又是瑞星?没错!首先它是瑞星杀毒软件标准版中就附带,而且经过不断的改进瑞星防火墙已经成为一款成熟的产品。瑞星杀毒软件+瑞星防火墙+注册表监控,用户只要运用好这3样工具就基本可以从容的应付常见的安全威胁。
社区有网友提供瑞星防火墙规则包建议大家安装,不错的:)有时间我可能会更新一个新包上来:)
其它防火墙
(由于时间的关系该内容以后更新)
花絮:一样的外衣不一样的心
很多人都关系某某部门用了什么软件或军方用了什么软件,其实这完全没有什么意义因为首先你不可能享受到想这些部门一样的服务。其次这些杀毒软件的DAT或防火墙的规则你是根本就接触甚至看不到的。编译好自己的规则才时最关键的。
HIPS
什么是HIPS
HIPSPS(主机入侵防御体系),也被称为系统防火墙,今年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用它们来最终分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所HIPS检测,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!(现在开始风行的行为杀毒其实就是HIPS功能的智能化)。的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系(比如瑞星的注册表监控), File Defend(简称FD)文件防御体系三类。
第一次使用HIPS时用户进行各种操作软件都会有提示,用户安提示操作就可以了以后只要文件没有被病毒或木马破坏就不会有相关的提示,但是这也要求使用HIPS一定要不怕麻烦,并能认真阅读HIPS的提示信息。否则HIPS对你不但没有什么帮助,也会徒增你的烦恼
推荐
System Safety Monitor(简称SSM)是目前最红的HIPS软件,经过几年的开发,现在SSM2.2已经基本成熟了,系统资源占用也越来越少,它拥有AD和RD功能,可以察看运行程序的父子关系,就是界面设计的有些烦琐,上手比较麻烦,拥有MD5和更强大的256位SHA效验算法可以选择。同时也有中文语言包,虽然价格比较高,但是还有免费的版本提供,不过少了磁盘底层写入监视和RD(正因为瑞星又RD功能,所以我推荐SSM作为普通用户方案HIPS的搭配)
注意:SSM有付费和免费两种版本,免费版仅缺少几项项监控。用户可根据自己的情况选择!建议大家用免费版本:)
第二次备份时间点
使用上述软件对 系统进行完全扫描后,用户就可以进行第二次的备份操作!备份文件直接备份备份区分即可刻在光盘上也不错:)
遏制僵尸网络 DDoS攻击不是“绝症”
[ 2007-03-25 03:13:12 | 作者: sun ]
新闻事件回放
2006年12月20日,亚洲最大机房—网通北京亦庄机房遭受了最严重的攻击。当天,最高攻击流量超过12G,而亦庄机房的带宽约为7G,这造成了机房的间歇性瘫痪。
亦庄机房请求CNCERT/CC协助进行调查,据CNCERT/CC预估,黑客此次至少同时调集了2万台机器对亦庄机房进行攻击,这是CNCERT/CC所见过的国内最大黑客攻击案。
在这起事件里,由2万台机器所组成的僵尸网络成为了黑客手中最“得力”的工具。僵尸网络已经成为令人头痛的问题,就在上期《网络世界》的一篇文章中,微软公司的Internet安全执法小组高级律师就认为,僵尸网络由于其集中的力量,已经成为发生严重计算机犯罪的温床,是当前最大的威胁。早在2004年,国内就发生了首例僵尸网络攻击案,一名唐山的黑客操控6万台电脑组成的僵尸网络对北京一家音乐网站进行了连续三个月的分布式拒绝服务(DDoS)攻击,造成经济损失达700余万元。
僵尸网络难以根除
僵尸网络实际上是垃圾邮件、病毒和特洛伊木马发展的最终结果。所谓僵尸网络,就是黑客利用僵尸程序控制大量互联网用户的计算机,这些计算机就像“僵尸”一样被黑客所操纵,随时按照黑客的指令展开DDoS攻击或发送垃圾信息,而真正的用户却毫不知情,就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸网络,可以在统一号令下同时对网络的某个节点发动攻击,从而形成极强的破坏力,成为一支网络上可以用于进行各种破坏活动的力量。
制止僵尸网络的办法之一就是让ISP出面来查找恶意行为并铲除它们。最近,英国电信宣布将使用来自某公司的产品和服务来检测向外发送的垃圾邮件。另外,还有很多协同捕获僵尸网络的工具也正在被开发出来。
ISP们利用的另一项技术是:让各ISP公司和其他公司结合成网络,并与享有声望的安全公司共同分享关于僵尸计算机(bots)的信息,并将这些数据与他们自己内部的数据进行协调。
通过使用这些数据,系统能够在bots登录互联网或者发送电子邮件的时候,将其识别出来,继而使用网络访问控制技术,将系统隔离在一个单独的子网里。此时用户会被提醒要注意一些问题,网络会提供一些资源来修复用户的机器,或是登录时网络要求其下载一些工具,以确保安全性,同时网络会要求他们进行操作系统升级。
但是研究僵尸网络的专家们依然感觉不乐观,因为僵尸网络是如此庞大和复杂,很难将其打败。一位专家表示,僵尸网络已经发展到了不需要寻找和记下任何命令和控制的地步。而在过去,命令和控制曾经是脆弱的一个环节。如今,有足够的冗余和可替代的控制渠道可以使得僵尸网络能够生存下去。
尽管每个ISP只要使用正确的工具都能够将自己的网络清理干净,但是人们还是不得不担心。事实上,在这场较量中,找到工具并不是什么难题。难题在于,与此同时ISP也对自己的用户关上了大门。另一方面,即使诸如此类的工具能够被广泛使用,它们仍旧不会普及到足以清除僵尸计算机的程度。因为僵尸计算机的数量实在是太多了,而且它们反应迅速、难以对付。
尽管境况不乐观,但我们还是可以从几个方面入手来遏制僵尸网络:
● 个人防范。对于可能成为“犯罪帮凶”的个人电脑用户,应该增强安全意识并了解基本的安全知识,及时更新软件补丁,并安装个人防火墙等安全软件,尽量避免使自己的计算机成为僵尸网络的一部分。
● 保证服务器安全。由于管理方面的问题,众多在IDC机房中的中小公司服务器系统往往得不到很好的加固与维护,容易被攻击者所利用,而且此类服务器由于性能高,又直接连接在有高带宽资源的链路当中,当其被黑客利用时,破坏力更大。
● 从主干网络上入手。由于僵尸网络是综合传播的结果,阻挡僵尸网络,应从主干网络上入手,才能获取最佳的效果。在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载,从而可以大量节省成本。
● 携手合作。对僵尸网络的打击,需要如CNCERT、公安部、专业安全公司、运营商等多部门和企业来进行配合工作。同时通过在运营商以及最终客户端进行防护与缓解,才有可能从源头上对僵尸网络进行遏制。
DDoS攻击不是“绝症”
发动DDoS攻击是僵尸网络最大的“用途”之一,对亦庄机房的攻击就是一次典型的DDoS攻击。据绿盟科技解决方案中心抗拒绝服务系统产品市场经理韩永刚介绍,在世界范围内,DDoS攻击所造成的损失连年排在网络安全问题的第二位,仅次于蠕虫和病毒。这是因为发动DDoS攻击越来越容易,而且随着信息产业与互联网的不断发展,从理论上讲,黑客有可能掌握的资源是没有上限的。而现在获得DDoS攻击资源的成本越来越低,甚至有人把提供攻击资源作为新的牟利方式。
由于国内的互联网发展迅速,连接网络的主机与服务器越来越多,而目前国内的网络安全意识总体水平还不够高,这就造成了有大量的网络资源可以被攻击者所利用。自从2006年年中开始,DDoS攻击在国内呈现出越来越疯狂的趋势。以前700M、800M的攻击就是很大规模了,但近期的攻击事件表明,DDoS攻击已经进入到一个新的规模—n个G的时代。目前,接近1G的攻击在各地时常发生,而3~5个G、最多10G以上的攻击都开始出现。当攻击量到达了这个程度,攻击所造成的影响就不再是针对具体的单个目标了,而是整条链路都会被堵死,所以链路的其他使用者也无法幸免。网通亦庄机房碰到的就是这样的问题,海量的DDoS攻击最终影响的将是运营商的基础网络自身。
那么DDoS攻击会不会成为网络的“不治之症”?答案是否定的,也就是说我们还不至于太过悲观绝望。比较好的防DDoS攻击产品可以实现DDoS异常流量检测、DDoS攻击净化防护、取证与数据分析,从而形成了一套完整的解决方案。如果在亦庄机房部署防DDoS攻击产品,可以避免此次事件的发生。而产品的部署方式也很有讲究。对于如此大流量的攻击,普通防DDoS攻击产品的串联方式肯定是行不通的,而是需要采用旁路集群方式,将多台防DDoS攻击设备进行集群配置,再加上基于流量牵引的旁路技术,将攻击流量牵引至多台设备组成的“泄洪区”进行流量净化,净化的同时又不干扰其他正常流量的经过。这样将对海量DDoS攻击起到很好的缓解与抑制作用,保障IDC的正常运行。
还有更理想的防DDoS攻击部署方式,就是在最终用户到运营商的网络中进行多级部署,在基础链路(如城域网)上部署设备集群,成为防DDoS攻击的基础;之后再在重点地区如IDC或大客户接入处进行重点细粒度的部署,形成多层次的梯度防护,这样才能真正有效地解决DDoS攻击问题。
2006年12月20日,亚洲最大机房—网通北京亦庄机房遭受了最严重的攻击。当天,最高攻击流量超过12G,而亦庄机房的带宽约为7G,这造成了机房的间歇性瘫痪。
亦庄机房请求CNCERT/CC协助进行调查,据CNCERT/CC预估,黑客此次至少同时调集了2万台机器对亦庄机房进行攻击,这是CNCERT/CC所见过的国内最大黑客攻击案。
在这起事件里,由2万台机器所组成的僵尸网络成为了黑客手中最“得力”的工具。僵尸网络已经成为令人头痛的问题,就在上期《网络世界》的一篇文章中,微软公司的Internet安全执法小组高级律师就认为,僵尸网络由于其集中的力量,已经成为发生严重计算机犯罪的温床,是当前最大的威胁。早在2004年,国内就发生了首例僵尸网络攻击案,一名唐山的黑客操控6万台电脑组成的僵尸网络对北京一家音乐网站进行了连续三个月的分布式拒绝服务(DDoS)攻击,造成经济损失达700余万元。
僵尸网络难以根除
僵尸网络实际上是垃圾邮件、病毒和特洛伊木马发展的最终结果。所谓僵尸网络,就是黑客利用僵尸程序控制大量互联网用户的计算机,这些计算机就像“僵尸”一样被黑客所操纵,随时按照黑客的指令展开DDoS攻击或发送垃圾信息,而真正的用户却毫不知情,就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸网络,可以在统一号令下同时对网络的某个节点发动攻击,从而形成极强的破坏力,成为一支网络上可以用于进行各种破坏活动的力量。
制止僵尸网络的办法之一就是让ISP出面来查找恶意行为并铲除它们。最近,英国电信宣布将使用来自某公司的产品和服务来检测向外发送的垃圾邮件。另外,还有很多协同捕获僵尸网络的工具也正在被开发出来。
ISP们利用的另一项技术是:让各ISP公司和其他公司结合成网络,并与享有声望的安全公司共同分享关于僵尸计算机(bots)的信息,并将这些数据与他们自己内部的数据进行协调。
通过使用这些数据,系统能够在bots登录互联网或者发送电子邮件的时候,将其识别出来,继而使用网络访问控制技术,将系统隔离在一个单独的子网里。此时用户会被提醒要注意一些问题,网络会提供一些资源来修复用户的机器,或是登录时网络要求其下载一些工具,以确保安全性,同时网络会要求他们进行操作系统升级。
但是研究僵尸网络的专家们依然感觉不乐观,因为僵尸网络是如此庞大和复杂,很难将其打败。一位专家表示,僵尸网络已经发展到了不需要寻找和记下任何命令和控制的地步。而在过去,命令和控制曾经是脆弱的一个环节。如今,有足够的冗余和可替代的控制渠道可以使得僵尸网络能够生存下去。
尽管每个ISP只要使用正确的工具都能够将自己的网络清理干净,但是人们还是不得不担心。事实上,在这场较量中,找到工具并不是什么难题。难题在于,与此同时ISP也对自己的用户关上了大门。另一方面,即使诸如此类的工具能够被广泛使用,它们仍旧不会普及到足以清除僵尸计算机的程度。因为僵尸计算机的数量实在是太多了,而且它们反应迅速、难以对付。
尽管境况不乐观,但我们还是可以从几个方面入手来遏制僵尸网络:
● 个人防范。对于可能成为“犯罪帮凶”的个人电脑用户,应该增强安全意识并了解基本的安全知识,及时更新软件补丁,并安装个人防火墙等安全软件,尽量避免使自己的计算机成为僵尸网络的一部分。
● 保证服务器安全。由于管理方面的问题,众多在IDC机房中的中小公司服务器系统往往得不到很好的加固与维护,容易被攻击者所利用,而且此类服务器由于性能高,又直接连接在有高带宽资源的链路当中,当其被黑客利用时,破坏力更大。
● 从主干网络上入手。由于僵尸网络是综合传播的结果,阻挡僵尸网络,应从主干网络上入手,才能获取最佳的效果。在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载,从而可以大量节省成本。
● 携手合作。对僵尸网络的打击,需要如CNCERT、公安部、专业安全公司、运营商等多部门和企业来进行配合工作。同时通过在运营商以及最终客户端进行防护与缓解,才有可能从源头上对僵尸网络进行遏制。
DDoS攻击不是“绝症”
发动DDoS攻击是僵尸网络最大的“用途”之一,对亦庄机房的攻击就是一次典型的DDoS攻击。据绿盟科技解决方案中心抗拒绝服务系统产品市场经理韩永刚介绍,在世界范围内,DDoS攻击所造成的损失连年排在网络安全问题的第二位,仅次于蠕虫和病毒。这是因为发动DDoS攻击越来越容易,而且随着信息产业与互联网的不断发展,从理论上讲,黑客有可能掌握的资源是没有上限的。而现在获得DDoS攻击资源的成本越来越低,甚至有人把提供攻击资源作为新的牟利方式。
由于国内的互联网发展迅速,连接网络的主机与服务器越来越多,而目前国内的网络安全意识总体水平还不够高,这就造成了有大量的网络资源可以被攻击者所利用。自从2006年年中开始,DDoS攻击在国内呈现出越来越疯狂的趋势。以前700M、800M的攻击就是很大规模了,但近期的攻击事件表明,DDoS攻击已经进入到一个新的规模—n个G的时代。目前,接近1G的攻击在各地时常发生,而3~5个G、最多10G以上的攻击都开始出现。当攻击量到达了这个程度,攻击所造成的影响就不再是针对具体的单个目标了,而是整条链路都会被堵死,所以链路的其他使用者也无法幸免。网通亦庄机房碰到的就是这样的问题,海量的DDoS攻击最终影响的将是运营商的基础网络自身。
那么DDoS攻击会不会成为网络的“不治之症”?答案是否定的,也就是说我们还不至于太过悲观绝望。比较好的防DDoS攻击产品可以实现DDoS异常流量检测、DDoS攻击净化防护、取证与数据分析,从而形成了一套完整的解决方案。如果在亦庄机房部署防DDoS攻击产品,可以避免此次事件的发生。而产品的部署方式也很有讲究。对于如此大流量的攻击,普通防DDoS攻击产品的串联方式肯定是行不通的,而是需要采用旁路集群方式,将多台防DDoS攻击设备进行集群配置,再加上基于流量牵引的旁路技术,将攻击流量牵引至多台设备组成的“泄洪区”进行流量净化,净化的同时又不干扰其他正常流量的经过。这样将对海量DDoS攻击起到很好的缓解与抑制作用,保障IDC的正常运行。
还有更理想的防DDoS攻击部署方式,就是在最终用户到运营商的网络中进行多级部署,在基础链路(如城域网)上部署设备集群,成为防DDoS攻击的基础;之后再在重点地区如IDC或大客户接入处进行重点细粒度的部署,形成多层次的梯度防护,这样才能真正有效地解决DDoS攻击问题。
在PHP中全面阻止SQL注入式攻击之一
[ 2007-03-25 03:12:45 | 作者: sun ]
一、引言
PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服务的秘密和安全方面却常常存在许多困难。在本系列文章中,我们将向读者介绍进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你自己的web应用程序的安全性和一致性。首先,我们简单地回顾一下服务器安全问题-展示你如何存取一个共享宿主环境下的私人信息,使开发者脱离开生产服务器,维持最新的软件,提供加密的频道,并且控制对你的系统的存取。
然后,我们讨论PHP脚本实现中的普遍存在的脆弱性。我们将解释如何保护你的脚本免于SQL注入,防止跨站点脚本化和远程执行,并且阻止对临时文件及会话的“劫持”。
在最后一篇中,我们将实现一个安全的Web应用程序。你将学习如何验证用户身份,授权并跟踪应用程序使用,避免数据损失,安全地执行高风险性的系统命令,并能够安全地使用web服务。无论你是否有足够的PHP安全开发经验,本系列文章都会提供丰富的信息来帮助你构建更为安全的在线应用程序。
二、什么是SQL注入
如果你打算永远不使用某些数据的话,那么把它们存储于一个数据库是毫无意义的;因为数据库的设计目的是为了方便地存取和操作数据库中的数据。但是,如果只是简单地这样做则有可能会导致潜在的灾难。这种情况并不主要是因为你自己可能偶然删除数据库中的一切;而是因为,当你试图完成某项“无辜”的任务时,你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。我们称这种取代为“注入”。
其实,每当你要求用户输入构造一个数据库查询,你是在允许该用户参与构建一个存取数据库服务器的命令。一位友好的用户可能对实现这样的操作感觉很满意;然而,一位恶意的用户将会试图发现一种方法来扭曲该命令,从而导致该被的扭曲命令删除数据,甚至做出更为危险的事情。作为一个程序员,你的任务是寻找一种方法来避免这样的恶意攻击。
三、SQL注入工作原理
构造一个数据库查询是一个非常直接的过程。典型地,它会遵循如下思路来实现。仅为说明问题,我们将假定你有一个葡萄酒数据库表格“wines”,其中有一个字段为“variety”(即葡萄酒类型):
1.提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为“lagrein”的葡萄酒。
2.检索该用户的搜索术语,并且保存它-通过把它赋给一个如下所示的变量来实现:
$variety = $_POST[''variety''];
因此,变量$variety的值现在为:
lagrein
3.然后,使用该变量在Where子句中构造一个数据库查询:
$query = "Select * FROM wines Where variety=''$variety''";
所以,变量$query的值现在如下所示:
Select * FROM wines Where variety=''lagrein''
4.把该查询提交给MySQL服务器。
5.MySQL返回wines表格中的所有记录-其中,字段variety的值为“lagrein”。
到目前为止,这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是,有时我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在,让我们再重新分析一下刚才构建的查询。
1.你创建的这个查询的固定部分以一个单引号结束,你将使用它来描述变量值的开始:
$query = " Select * FROM wines Where variety = ''";
2.使用原有的固定不变的部分与包含用户提交的变量的值:
$query .= $variety;
3.然后,你使用另一个单引号来连接此结果-描述该变量值的结束:
$ query .= "''";
于是,$query的值如下所示:
Select * FROM wines Where variety = ''lagrein''
这个构造的成功依赖用户的输入。在本文示例中,你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。因此,该查询的构建是无任何问题的,并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在,让我们想象,既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型,而是输入了下列内容(注意包括其中的两个标点符号):
lagrein'' or 1=1;
现在,你继续使用前面固定的部分来构造你的查询(在此,我们仅显示$query变量的结果值):
Select * FROM wines Where variety = ''
然后,你使用包含用户输入内容的变量的值与之进行连接(在此,以粗体显示):
Select * FROM wines Where variety = ''lagrein'' or 1=1;
最后,添加上下面的下引号:
Select * FROM wines Where variety = ''lagrein'' or 1=1;''
于是,这个查询结果与你的期望会相当不同。事实上,现在你的查询包含的不是一条而是两条指令,因为用户输入的最后的分号已经结束了第一条指令(进行记录选择)从而开始了一条新的指令。在本例中,第二条指令,除了一个简单的单引号之外别无意义;但是,第一条指令也不是你所想实现的。当用户把一个单引号放到他的输入内容的中间时,他结束了期望的变量的值,并且引入了另一个条件。因此,不再是检索那些variety为"lagrein"的记录,而是在检索那些满足两个标准中任何一个(第一个是你的,而第二个是他的-variety为"lagrein"或1等于1)的记录。既然1总是1,因此,你会检索到所有的记录!
你可能反对:我不会使用双引号来代替单引号来描述用户提交的变量吗?不错,这至少可以减慢恶意用户的攻击。(在以前的文章中,我们提醒过你:应该禁止所有对用户的错误通知信息。如果在此生成一条错误消息,那么,它有可能恰恰帮助了攻击者-提供一个关于他的攻击为什么失败的具体的解释。)
在实践中,使你的用户能够看到所有的记录而不只是其中的一部分乍看起来似乎不太费事,但实际上,这的确费事不少;看到所有的记录能够很容易地向他提供有关于该表格的内部结构,从而也就向他提供了使其以后实现更为恶毒目的的一个重要参考。如果你的数据库中不是包含显然无害的酒之类信息而是包含例如一个含有雇员年收入的列表,那么,刚才描述情形会是特别真实的。
而从理论角度分析,这种攻击也的确是一件很可怕的事情。由于把意外的内容注入到你的查询中,所以,此用户能够实现把你的数据库存取转化为用于实现他自己的目的。因此现在,你的数据库已经对他打开-正如对你敞开一样。
四、PHP和MySQL注入
如我们前面所描述的,PHP,从本身设计来说,并没有做什么特别的事情-除了按照你的指示操作之外。因此,如果为恶意用户所用,它也只是按照要求"允许"特别设计的攻击-例如我们前面所描述的那样。
我们将假定,你不会故意地或甚至是偶然地构造一个具有破坏性效果的数据库查询-于是,我们假定问题出在来自你的用户的输入方面。现在,让我们来更为细致地分析一下用户可能向你的脚本提供信息的各种途径。
五、用户输入的类型
如今,用户能够影响你的脚本的行为已变得越来越复杂。
用户输入最明显的来源当然是表单上的一个文本输入域。使用这样的一个域,你简直是在故意教唆一个用户输入任意数据。而且,你向用户提供了一个很大的输入范围;没有什么办法能够使你提前限制一个用户能够输入的数据类型(尽管你能够选择限制它的长度)。这正是绝大多数的注入式攻击源主要来自于无防备的表单域的原因。
但是,还存在其它的攻击源,并且稍加思考你就会想到的一种潜于表单后台的技术-POST方法!通过简单地分析显示在浏览器的导航工具栏中的URI,一个善于观察的用户能够很容易地看出是什么信息传递到了一个脚本。尽管典型情况下这样的URI是以编程方式生成的,但是,没有什么办法能够阻止一个恶意的用户简单地把一个带有一个不适当的变量值的URI输入到一个浏览器中-而这样潜在地打开一个可能会被其滥用的数据库。
限制用户输入内容的一个常用策略是在一个表单中提供一个选择框,而不是一个输入框。这种控件能够强制用户从一组预定义的值中进行选择,并且能够在一定程度上阻止用户输入期望不到的内容。但是正如一个攻击者可能“哄骗”一个URI(也即是,创建一个能够模仿一个可信任的却无效的URI)一样,他也可能模仿创建你的表单及其自己的版本,并因此在选项框中使用非法的而不是预定义的安全选择。要实现这点是极其简单的;他仅需要观察源码,然后剪切并且粘贴该表单的源代码-然后一切为他敞开大门。
在修改该选择之后,他就能够提交表单,并且他的无效的指令就会被接受,就象它们是原始的指令一样。因此,该用户可以使用许多不同的方法试图把恶意的代码注入到一个脚本中。
PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服务的秘密和安全方面却常常存在许多困难。在本系列文章中,我们将向读者介绍进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你自己的web应用程序的安全性和一致性。首先,我们简单地回顾一下服务器安全问题-展示你如何存取一个共享宿主环境下的私人信息,使开发者脱离开生产服务器,维持最新的软件,提供加密的频道,并且控制对你的系统的存取。
然后,我们讨论PHP脚本实现中的普遍存在的脆弱性。我们将解释如何保护你的脚本免于SQL注入,防止跨站点脚本化和远程执行,并且阻止对临时文件及会话的“劫持”。
在最后一篇中,我们将实现一个安全的Web应用程序。你将学习如何验证用户身份,授权并跟踪应用程序使用,避免数据损失,安全地执行高风险性的系统命令,并能够安全地使用web服务。无论你是否有足够的PHP安全开发经验,本系列文章都会提供丰富的信息来帮助你构建更为安全的在线应用程序。
二、什么是SQL注入
如果你打算永远不使用某些数据的话,那么把它们存储于一个数据库是毫无意义的;因为数据库的设计目的是为了方便地存取和操作数据库中的数据。但是,如果只是简单地这样做则有可能会导致潜在的灾难。这种情况并不主要是因为你自己可能偶然删除数据库中的一切;而是因为,当你试图完成某项“无辜”的任务时,你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。我们称这种取代为“注入”。
其实,每当你要求用户输入构造一个数据库查询,你是在允许该用户参与构建一个存取数据库服务器的命令。一位友好的用户可能对实现这样的操作感觉很满意;然而,一位恶意的用户将会试图发现一种方法来扭曲该命令,从而导致该被的扭曲命令删除数据,甚至做出更为危险的事情。作为一个程序员,你的任务是寻找一种方法来避免这样的恶意攻击。
三、SQL注入工作原理
构造一个数据库查询是一个非常直接的过程。典型地,它会遵循如下思路来实现。仅为说明问题,我们将假定你有一个葡萄酒数据库表格“wines”,其中有一个字段为“variety”(即葡萄酒类型):
1.提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为“lagrein”的葡萄酒。
2.检索该用户的搜索术语,并且保存它-通过把它赋给一个如下所示的变量来实现:
$variety = $_POST[''variety''];
因此,变量$variety的值现在为:
lagrein
3.然后,使用该变量在Where子句中构造一个数据库查询:
$query = "Select * FROM wines Where variety=''$variety''";
所以,变量$query的值现在如下所示:
Select * FROM wines Where variety=''lagrein''
4.把该查询提交给MySQL服务器。
5.MySQL返回wines表格中的所有记录-其中,字段variety的值为“lagrein”。
到目前为止,这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是,有时我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在,让我们再重新分析一下刚才构建的查询。
1.你创建的这个查询的固定部分以一个单引号结束,你将使用它来描述变量值的开始:
$query = " Select * FROM wines Where variety = ''";
2.使用原有的固定不变的部分与包含用户提交的变量的值:
$query .= $variety;
3.然后,你使用另一个单引号来连接此结果-描述该变量值的结束:
$ query .= "''";
于是,$query的值如下所示:
Select * FROM wines Where variety = ''lagrein''
这个构造的成功依赖用户的输入。在本文示例中,你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。因此,该查询的构建是无任何问题的,并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在,让我们想象,既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型,而是输入了下列内容(注意包括其中的两个标点符号):
lagrein'' or 1=1;
现在,你继续使用前面固定的部分来构造你的查询(在此,我们仅显示$query变量的结果值):
Select * FROM wines Where variety = ''
然后,你使用包含用户输入内容的变量的值与之进行连接(在此,以粗体显示):
Select * FROM wines Where variety = ''lagrein'' or 1=1;
最后,添加上下面的下引号:
Select * FROM wines Where variety = ''lagrein'' or 1=1;''
于是,这个查询结果与你的期望会相当不同。事实上,现在你的查询包含的不是一条而是两条指令,因为用户输入的最后的分号已经结束了第一条指令(进行记录选择)从而开始了一条新的指令。在本例中,第二条指令,除了一个简单的单引号之外别无意义;但是,第一条指令也不是你所想实现的。当用户把一个单引号放到他的输入内容的中间时,他结束了期望的变量的值,并且引入了另一个条件。因此,不再是检索那些variety为"lagrein"的记录,而是在检索那些满足两个标准中任何一个(第一个是你的,而第二个是他的-variety为"lagrein"或1等于1)的记录。既然1总是1,因此,你会检索到所有的记录!
你可能反对:我不会使用双引号来代替单引号来描述用户提交的变量吗?不错,这至少可以减慢恶意用户的攻击。(在以前的文章中,我们提醒过你:应该禁止所有对用户的错误通知信息。如果在此生成一条错误消息,那么,它有可能恰恰帮助了攻击者-提供一个关于他的攻击为什么失败的具体的解释。)
在实践中,使你的用户能够看到所有的记录而不只是其中的一部分乍看起来似乎不太费事,但实际上,这的确费事不少;看到所有的记录能够很容易地向他提供有关于该表格的内部结构,从而也就向他提供了使其以后实现更为恶毒目的的一个重要参考。如果你的数据库中不是包含显然无害的酒之类信息而是包含例如一个含有雇员年收入的列表,那么,刚才描述情形会是特别真实的。
而从理论角度分析,这种攻击也的确是一件很可怕的事情。由于把意外的内容注入到你的查询中,所以,此用户能够实现把你的数据库存取转化为用于实现他自己的目的。因此现在,你的数据库已经对他打开-正如对你敞开一样。
四、PHP和MySQL注入
如我们前面所描述的,PHP,从本身设计来说,并没有做什么特别的事情-除了按照你的指示操作之外。因此,如果为恶意用户所用,它也只是按照要求"允许"特别设计的攻击-例如我们前面所描述的那样。
我们将假定,你不会故意地或甚至是偶然地构造一个具有破坏性效果的数据库查询-于是,我们假定问题出在来自你的用户的输入方面。现在,让我们来更为细致地分析一下用户可能向你的脚本提供信息的各种途径。
五、用户输入的类型
如今,用户能够影响你的脚本的行为已变得越来越复杂。
用户输入最明显的来源当然是表单上的一个文本输入域。使用这样的一个域,你简直是在故意教唆一个用户输入任意数据。而且,你向用户提供了一个很大的输入范围;没有什么办法能够使你提前限制一个用户能够输入的数据类型(尽管你能够选择限制它的长度)。这正是绝大多数的注入式攻击源主要来自于无防备的表单域的原因。
但是,还存在其它的攻击源,并且稍加思考你就会想到的一种潜于表单后台的技术-POST方法!通过简单地分析显示在浏览器的导航工具栏中的URI,一个善于观察的用户能够很容易地看出是什么信息传递到了一个脚本。尽管典型情况下这样的URI是以编程方式生成的,但是,没有什么办法能够阻止一个恶意的用户简单地把一个带有一个不适当的变量值的URI输入到一个浏览器中-而这样潜在地打开一个可能会被其滥用的数据库。
限制用户输入内容的一个常用策略是在一个表单中提供一个选择框,而不是一个输入框。这种控件能够强制用户从一组预定义的值中进行选择,并且能够在一定程度上阻止用户输入期望不到的内容。但是正如一个攻击者可能“哄骗”一个URI(也即是,创建一个能够模仿一个可信任的却无效的URI)一样,他也可能模仿创建你的表单及其自己的版本,并因此在选项框中使用非法的而不是预定义的安全选择。要实现这点是极其简单的;他仅需要观察源码,然后剪切并且粘贴该表单的源代码-然后一切为他敞开大门。
在修改该选择之后,他就能够提交表单,并且他的无效的指令就会被接受,就象它们是原始的指令一样。因此,该用户可以使用许多不同的方法试图把恶意的代码注入到一个脚本中。
