Windows平台内核级文件访问_绕过安全软件
[ 2007-03-25 02:42:53 | 作者: sun ]
背景
在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软件,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此我们需要一个底层的“windows平台内核级文件访问”的方法来确保我们能够看到正确的干净的文件系统。
直接访问FSD的内核级别文件访问
FSD(FileSystemDriver)层是文件API函数经过本地系统服务层(native API)最后到达的驱动层次。如果我们可以模仿操作系统,在我们自己的驱动程序里直接向FSD发送IRP,就可以绕过那些native API 和win32 API了,也就可以绕过设置在这些层次上面的API钩子等监控措施。
文件的Create和Open
文件的Create和Open可以通过发送IRP_MJ_Create给FSD,或者调用IoCreateFile函数来完成。Create和Open的区别实际上在于IoCreateFile/IRP_MJ_Create的一个参数Disposition的取值。
通过发送IRP_MJ_Create给FSD的方法与此类似,可以参考IFSDDK document的IRP_MJ_Create说明。不同于上面方法的是需要自己创建一个FILE_OBJECT,好于上面方法的是这种方法不需要一个HANDLE,HANDLE是线程依赖的,FileObject则是线程无关。
文件的Read和Write
我们通过给FSD发送IRP_MJ_READ来读取文件,给FSD发送IRP_MJ_WRITE来改写文件。
如果我们是通过一个HANDLE来执行(如使用IoCreateFile打开的文件),就要先用ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。
之后我们使用IoAllocateIrp分配一个IRP。根据FileObject->DeviceObject->Flags的值,我们判断目标文件系统使用什么样的IO方式。
对每种不同的IO方式使用不同的地址传递方式。随后我们填充IRP内的各个参数域,就可以发送IRP了。
接着要考虑如果IRP不能及时完成,会异步的返回的情况,我们安装一个CompletionRoutine,在CompletionRoutine里面设置一个事件为已激活,通知我们的主线程读取或者写入操作已经完成。
现在可以发送IRP了。如果不采取特殊的措施的话,IRP发送目标是FileObject对应的DeviceObject。发送后,等待IRP的完成并且释放资源,返回。
文件的Delete
Delete实际上是通过向FSD发送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass设置为FileDispositionInformation,用一个FILE_DISPOSITION_INFORMATION结构填充buffer来执行的。
文件的Rename
类似于Delete,Rename是向FSD发送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass设置为FileRenameInformation,填充buffer为FILE_RENAME_INFORMATION结构。
综上,于是我们可以在驱动里面通过发送IRP来直接访问文件系统了,绕过了native API 和win32 API层次。
绕过文件系统过滤驱动和钩子
有了以上的内容,我们目前可以直接给FSD发送请求操作文件。但是这还不够,因为有很多的杀毒软件或者监视工具使用FSD Filter Driver或者FSD Hook的办法来监控文件操作
对付文件系统过滤驱动
文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常的FSD也是作为一个过滤驱动存在的。磁盘文件对象的对应的最底层的FDO是Ftdisk.sys,它已经因为过于底层而不能处理我们投递的IRP请求。
其实正常的FSD信息存储在一个Vpb结构中,我们可以使用IoGetBaseFileSystemDeviceObject这个未公开的内核函数来得到它。它就是我们发送IRP的目标了。
对付替换DispatchRoutine的FSD Hook
这是一种常用的FSD Hook方式。我们需要得到原本的DispatchRoutine,向原本的DispatchRoutine发送我们的IRP。这里提供一个思路:我们可以读取原本FSD驱动的.INIT段或者.TEXT段,查找其DriverEntry函数,在它的DriverEntry函数中肯定设置了自己的DriverObject的各个DispatchRoutine。在这个函数中我们就能找到我们想要的DispatchRoutine的地址。只需要使用特征码搜索的方法就可以搜索到这个值。
对付Inline Hook DispatchRoutine函数本身的FSD Hook
这种Hook方法比较狠毒,但不是非常常见于安全产品中,一般应用在木马和rootkit上,比如我自己写的rootkit。它没有更改DriverObject里面的DispatchRoutine的函数指针,而是向函数开头写入汇编指令的JMP来跳转函数。对付它的基本思路就是读取存在磁盘上的FSD的文件,加载到内存一份干净的备份,察看我们要调用的DispatchRoutine开头的几个字节和这个干净备份是否一致。如果不一致,尤其是存在JMP,RET,INT3一类的汇编指令的时候,很可能就是存在了Inline Hook。(但要充分考虑重定位的情况。)如果存在Inline Hook,我们就把干净的函数开头拷贝过来覆盖掉被感染的函数头。然后在发送IRP,就不会被Inline Hook监视或篡改了。
在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软件,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此我们需要一个底层的“windows平台内核级文件访问”的方法来确保我们能够看到正确的干净的文件系统。
直接访问FSD的内核级别文件访问
FSD(FileSystemDriver)层是文件API函数经过本地系统服务层(native API)最后到达的驱动层次。如果我们可以模仿操作系统,在我们自己的驱动程序里直接向FSD发送IRP,就可以绕过那些native API 和win32 API了,也就可以绕过设置在这些层次上面的API钩子等监控措施。
文件的Create和Open
文件的Create和Open可以通过发送IRP_MJ_Create给FSD,或者调用IoCreateFile函数来完成。Create和Open的区别实际上在于IoCreateFile/IRP_MJ_Create的一个参数Disposition的取值。
通过发送IRP_MJ_Create给FSD的方法与此类似,可以参考IFSDDK document的IRP_MJ_Create说明。不同于上面方法的是需要自己创建一个FILE_OBJECT,好于上面方法的是这种方法不需要一个HANDLE,HANDLE是线程依赖的,FileObject则是线程无关。
文件的Read和Write
我们通过给FSD发送IRP_MJ_READ来读取文件,给FSD发送IRP_MJ_WRITE来改写文件。
如果我们是通过一个HANDLE来执行(如使用IoCreateFile打开的文件),就要先用ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。
之后我们使用IoAllocateIrp分配一个IRP。根据FileObject->DeviceObject->Flags的值,我们判断目标文件系统使用什么样的IO方式。
对每种不同的IO方式使用不同的地址传递方式。随后我们填充IRP内的各个参数域,就可以发送IRP了。
接着要考虑如果IRP不能及时完成,会异步的返回的情况,我们安装一个CompletionRoutine,在CompletionRoutine里面设置一个事件为已激活,通知我们的主线程读取或者写入操作已经完成。
现在可以发送IRP了。如果不采取特殊的措施的话,IRP发送目标是FileObject对应的DeviceObject。发送后,等待IRP的完成并且释放资源,返回。
文件的Delete
Delete实际上是通过向FSD发送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass设置为FileDispositionInformation,用一个FILE_DISPOSITION_INFORMATION结构填充buffer来执行的。
文件的Rename
类似于Delete,Rename是向FSD发送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass设置为FileRenameInformation,填充buffer为FILE_RENAME_INFORMATION结构。
综上,于是我们可以在驱动里面通过发送IRP来直接访问文件系统了,绕过了native API 和win32 API层次。
绕过文件系统过滤驱动和钩子
有了以上的内容,我们目前可以直接给FSD发送请求操作文件。但是这还不够,因为有很多的杀毒软件或者监视工具使用FSD Filter Driver或者FSD Hook的办法来监控文件操作
对付文件系统过滤驱动
文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常的FSD也是作为一个过滤驱动存在的。磁盘文件对象的对应的最底层的FDO是Ftdisk.sys,它已经因为过于底层而不能处理我们投递的IRP请求。
其实正常的FSD信息存储在一个Vpb结构中,我们可以使用IoGetBaseFileSystemDeviceObject这个未公开的内核函数来得到它。它就是我们发送IRP的目标了。
对付替换DispatchRoutine的FSD Hook
这是一种常用的FSD Hook方式。我们需要得到原本的DispatchRoutine,向原本的DispatchRoutine发送我们的IRP。这里提供一个思路:我们可以读取原本FSD驱动的.INIT段或者.TEXT段,查找其DriverEntry函数,在它的DriverEntry函数中肯定设置了自己的DriverObject的各个DispatchRoutine。在这个函数中我们就能找到我们想要的DispatchRoutine的地址。只需要使用特征码搜索的方法就可以搜索到这个值。
对付Inline Hook DispatchRoutine函数本身的FSD Hook
这种Hook方法比较狠毒,但不是非常常见于安全产品中,一般应用在木马和rootkit上,比如我自己写的rootkit。它没有更改DriverObject里面的DispatchRoutine的函数指针,而是向函数开头写入汇编指令的JMP来跳转函数。对付它的基本思路就是读取存在磁盘上的FSD的文件,加载到内存一份干净的备份,察看我们要调用的DispatchRoutine开头的几个字节和这个干净备份是否一致。如果不一致,尤其是存在JMP,RET,INT3一类的汇编指令的时候,很可能就是存在了Inline Hook。(但要充分考虑重定位的情况。)如果存在Inline Hook,我们就把干净的函数开头拷贝过来覆盖掉被感染的函数头。然后在发送IRP,就不会被Inline Hook监视或篡改了。
安全第一 识别文本型邮件附件欺骗方法
[ 2007-03-25 02:42:39 | 作者: sun ]
在众多媒体的宣传报道下,今天的我们都知道了不能轻易打开电子邮件里的可执行文件类的附件,但是显然那些破坏活动的制造者们也看了那些警告防范的文章,他们开始玩一些新的把戏,让您以为那些附件只不过是没有危险的文本文件或是图像文件等就是其手段之一。由于目前大多数人使用的是windows系列操作系统,windows的默认设置是隐藏已知文件扩展名的,而当你去点击那个看上去很友善的文件,那些破坏性的东西就跳出来了。您可能说这我早就知道了,那么下面讲述的.txt文件的新欺骗方法及原理您知道吗?
假如您收到的邮件附件中有一个看起来是这样的文件:QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化d盘,同时显示“Windows is configuring the system。Plase do not interrupt this process。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢?您可能已经注意到了第2行里的“WSCript”,对!就是它导演了全幕,它是实际行动总指挥。
WScript全称Windows Scripting Host,它是Win98新加进的功能, 是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
假如您收到的邮件附件中有一个看起来是这样的文件:QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化d盘,同时显示“Windows is configuring the system。Plase do not interrupt this process。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢?您可能已经注意到了第2行里的“WSCript”,对!就是它导演了全幕,它是实际行动总指挥。
WScript全称Windows Scripting Host,它是Win98新加进的功能, 是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
知根知底 完全解析木马驻留系统的方式
[ 2007-03-25 02:42:27 | 作者: sun ]
木马病毒,我们大家都是非常的熟悉,这个病毒传播危害大,那么它都通过那些方式传播的你知道吗?
第一招:利用系统启动文件
1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
第二招:关联类型文件使木马运行
在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)
注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了
当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊
第三招:文件捆绑使木马运行
捆绑和关联文件不同,关联是修改注册表,但捆绑类似于病毒的“感染”,就是把木马的进程感染到其他的执行文件上,业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。
网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下,下次开机自动运行,同时服务端在运行时会自动捆绑以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自动搜索系统启动项程序,捆绑之。比如qq.exe realplay.exe
除非把以上文件全部删除,否则无法清除,但系统文件删除后系统就无法正常运行,所以大多数人只能重装系统。确实牛。
第四招: 进程保护
两个木马进程,互相监视,发现对方被关闭后启动对方。技术其实不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//检查对方进程是否关闭,关闭的话再打开。
}
第五招:巧用启动文件夹
开始菜单的启动文件夹内的文件在系统启动后会随系统启动,假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内,太明显,但设置隐藏属性后不会被系统启动。
有一个办法,将启动文件夹改名为启动a,并将该文件隐藏,然后再新建一个启动文件夹,将原启动文件夹内的所有内容复制到新建的启动文件夹,这样就可以了。(其实系统还是会启动原来的启动文件夹内的内rogn,也就是现在被改为"启动a"的文件夹,而现在我们新建的"启动"文件夹只是一个摆设而已,因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值,当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会改为“C:\Documents and Settings\All Users\开始\Programs\启动a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动,和run不同,run是系统启动后加载,runservices是系统登录时就启动
在系统根目录下放置Explorer.exe文件,在Explorer.exe文件中去启动正常的Explorer.exe文件,可以在C盘和D盘下都放上。
第一招:利用系统启动文件
1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
第二招:关联类型文件使木马运行
在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)
注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了
当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊
第三招:文件捆绑使木马运行
捆绑和关联文件不同,关联是修改注册表,但捆绑类似于病毒的“感染”,就是把木马的进程感染到其他的执行文件上,业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。
网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下,下次开机自动运行,同时服务端在运行时会自动捆绑以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自动搜索系统启动项程序,捆绑之。比如qq.exe realplay.exe
除非把以上文件全部删除,否则无法清除,但系统文件删除后系统就无法正常运行,所以大多数人只能重装系统。确实牛。
第四招: 进程保护
两个木马进程,互相监视,发现对方被关闭后启动对方。技术其实不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//检查对方进程是否关闭,关闭的话再打开。
}
第五招:巧用启动文件夹
开始菜单的启动文件夹内的文件在系统启动后会随系统启动,假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内,太明显,但设置隐藏属性后不会被系统启动。
有一个办法,将启动文件夹改名为启动a,并将该文件隐藏,然后再新建一个启动文件夹,将原启动文件夹内的所有内容复制到新建的启动文件夹,这样就可以了。(其实系统还是会启动原来的启动文件夹内的内rogn,也就是现在被改为"启动a"的文件夹,而现在我们新建的"启动"文件夹只是一个摆设而已,因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值,当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会改为“C:\Documents and Settings\All Users\开始\Programs\启动a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动,和run不同,run是系统启动后加载,runservices是系统登录时就启动
在系统根目录下放置Explorer.exe文件,在Explorer.exe文件中去启动正常的Explorer.exe文件,可以在C盘和D盘下都放上。
经验谈:家庭用户如何使用防火墙软件
[ 2007-03-25 02:42:13 | 作者: sun ]
由于黑客泛滥,所以为了防止恶意攻击,防火墙软件应运而生。但是我们应该能够正确使用防火墙软件,让它真正为我们服务。
防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。
另外,所有的安全级都会控制应用程序访问网络的权限。
防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。
另外,所有的安全级都会控制应用程序访问网络的权限。
保护你的系统仔细查看与比较关键进程
[ 2007-03-25 02:41:59 | 作者: sun ]
我们都知道进程是系统当前运行的执行程序,所以打开系统进程列表来查看哪些进程正在运行,通
过进程名及路径判断和比较是否有病毒是一种经常做的常规工作,如果怀疑病毒进程只要记下它的进程
名,结束该进程,然后删除病毒程序即可。但是哪些是正常进程哪些不是正常的进程呢?
1 、查看进程的方法
A。用三键大法:按Ctrl+Alt+Del组合键,然后单击“任务管理器”,打开“Windows 任务管理
器”,然后单击“进程”标签即可查看。
B。右击任务条,打开任务管理器,然后看“进程”也可以。我常用的就是这个了。
2。进程的具体路径
开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务。是不是看到了。。
3。比较关键的进程
(1)Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。这个是不能关的。。
(2)Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这个也不是能关的。。。
(3)Explorer.exe:资源管理器。这个知道是什么吧?你关一下试试看,呵呵。关了以后别怕啊。可以再在任务管理器中的新任务中再建一个。。。
(4)Smss.exe:这是一个会话管理子系统,负责启动用户会话。这个不能关的。。。
(5)Services.exe:系统服务的管理工具,包含很多系统服务。当然也不能关的。。
(6)system: Windows系统进程,当然不关。
(7)System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。晕,这个大家一看就知道。
(8)Spoolsv.exe:管理缓冲区中的打印和传真作业。不能关的。
(9)Svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
WINXP一般是五个进程,记住!
(10)winlogon.exe: 管理用户登录,你关关试试看,重新启动了不是??
(11)internat.exe这是什么东西?呵呵。输入法了。
(12)taskmagr.exe这又是什么?就是任务管理器!
(13) systray.exe是哪儿冒出来的。什么东西。呵呵。右下角的小喇叭。
4。常见病毒的进程名
avserve.exe 震荡波病毒的进程
java.exe、services.exe MyDoom 病毒的进程
svch0st.exe、expl0er、user32.exe 网银大盗的进程
dllhost.exe 冲击波病毒的进程
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒 Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒 Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛 Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒 Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒 Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒 Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手 Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林 Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush Zonealarm.exe → 将死者病毒
注意:进程名为nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系统正常的进程外,其余的凡是带
32数字你可要注意一下.这很可能就是病毒进程;Expiorer.exe → Acid Battery 你看它只和资源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之类一列不是好东西!当然我们
也要小心了例如魔波会利用SVCHOST进程(它是全大写)可怕的··
5。如何处理可疑进程
(1).试验法
将可疑进程结束后,通过“开始→搜索→文件或文件夹”,然后输入可颖进程名作为关键字对硬盘进行
搜索,找到对应的程序后,记下它的路径,将它移到U盘或软盘上,然后对电脑上的软件都运行一遍,
如果都能正常运行,说明这个进程是多余的或者是病毒,就算不是病毒把它删了也可给系统减肥。如果
有软件不能正常运行则要将它还原。
(2).搜索求救法
如果你对“不明进程”是否是病毒拿不定主意,可以把该进程的全名为关键字在百度或GOOGLE搜索
引擎上搜索,找它的相关资料看它是不是病毒,如果是则赶快删除。
(3)软件法
赶快到安全模式下去用杀毒软件吧,当然必须是升级到最新杀软!
过进程名及路径判断和比较是否有病毒是一种经常做的常规工作,如果怀疑病毒进程只要记下它的进程
名,结束该进程,然后删除病毒程序即可。但是哪些是正常进程哪些不是正常的进程呢?
1 、查看进程的方法
A。用三键大法:按Ctrl+Alt+Del组合键,然后单击“任务管理器”,打开“Windows 任务管理
器”,然后单击“进程”标签即可查看。
B。右击任务条,打开任务管理器,然后看“进程”也可以。我常用的就是这个了。
2。进程的具体路径
开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务。是不是看到了。。
3。比较关键的进程
(1)Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。这个是不能关的。。
(2)Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这个也不是能关的。。。
(3)Explorer.exe:资源管理器。这个知道是什么吧?你关一下试试看,呵呵。关了以后别怕啊。可以再在任务管理器中的新任务中再建一个。。。
(4)Smss.exe:这是一个会话管理子系统,负责启动用户会话。这个不能关的。。。
(5)Services.exe:系统服务的管理工具,包含很多系统服务。当然也不能关的。。
(6)system: Windows系统进程,当然不关。
(7)System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。晕,这个大家一看就知道。
(8)Spoolsv.exe:管理缓冲区中的打印和传真作业。不能关的。
(9)Svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
WINXP一般是五个进程,记住!
(10)winlogon.exe: 管理用户登录,你关关试试看,重新启动了不是??
(11)internat.exe这是什么东西?呵呵。输入法了。
(12)taskmagr.exe这又是什么?就是任务管理器!
(13) systray.exe是哪儿冒出来的。什么东西。呵呵。右下角的小喇叭。
4。常见病毒的进程名
avserve.exe 震荡波病毒的进程
java.exe、services.exe MyDoom 病毒的进程
svch0st.exe、expl0er、user32.exe 网银大盗的进程
dllhost.exe 冲击波病毒的进程
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒 Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒 Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛 Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒 Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒 Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒 Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手 Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林 Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush Zonealarm.exe → 将死者病毒
注意:进程名为nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系统正常的进程外,其余的凡是带
32数字你可要注意一下.这很可能就是病毒进程;Expiorer.exe → Acid Battery 你看它只和资源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之类一列不是好东西!当然我们
也要小心了例如魔波会利用SVCHOST进程(它是全大写)可怕的··
5。如何处理可疑进程
(1).试验法
将可疑进程结束后,通过“开始→搜索→文件或文件夹”,然后输入可颖进程名作为关键字对硬盘进行
搜索,找到对应的程序后,记下它的路径,将它移到U盘或软盘上,然后对电脑上的软件都运行一遍,
如果都能正常运行,说明这个进程是多余的或者是病毒,就算不是病毒把它删了也可给系统减肥。如果
有软件不能正常运行则要将它还原。
(2).搜索求救法
如果你对“不明进程”是否是病毒拿不定主意,可以把该进程的全名为关键字在百度或GOOGLE搜索
引擎上搜索,找它的相关资料看它是不是病毒,如果是则赶快删除。
(3)软件法
赶快到安全模式下去用杀毒软件吧,当然必须是升级到最新杀软!
切断 Windows 服务器系统默认共享通道
[ 2007-03-25 02:41:46 | 作者: sun ]
在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁。
如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”。下面,本文就为大家推荐以下几则妙招,以便让你轻松禁止掉服务器的默认共享。
功能配置法
这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;
单击该窗口中的“服务”选项卡,在其后打开的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。
小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。
“强行”停止法
所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:
依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;
在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;
要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。
逐一删除法
所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:
首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;
然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;
此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。
“自动”删除法
如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断
如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”。下面,本文就为大家推荐以下几则妙招,以便让你轻松禁止掉服务器的默认共享。
功能配置法
这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;
单击该窗口中的“服务”选项卡,在其后打开的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。
小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。
“强行”停止法
所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:
依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;
在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;
要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。
逐一删除法
所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:
首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;
然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;
此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。
“自动”删除法
如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断
家庭用户如何使用防火墙软件
[ 2007-03-25 02:41:32 | 作者: sun ]
由于黑客泛滥,所以为了防止恶意攻击,防火墙软件应运而生。但是我们应该能够正确使用防火墙软件,让它真正为我们服务。
防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。
另外,所有的安全级都会控制应用程序访问网络的权限。
防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。
另外,所有的安全级都会控制应用程序访问网络的权限。
七招全面围剿“灰鸽子”
[ 2007-03-25 02:41:19 | 作者: sun ]
灰鸽子木马引发的激烈论战正在网络安全界进行,电脑安全问题随之受到网友们的高度关注。
金山公司公开指责灰鸽子工作室2007年2月底推出的“灰鸽子2007 beta2版本”隐蔽性更强,隐藏病毒的进程,所有盗取用户信息的操作,远程计算机的操作人员可能毫不知情。灰鸽子工作室则回应称,灰鸽子远程控制系列软件产品在对外授权时,已经充分告知用户要遵守中国法律法规的规定。
这场论战仍在进行。不论结果如何,眼下如何保护保证自己的经济不受损失,避免因为隐私外泄而受到敲诈,成为当务之急。
应对办法——
途径1:设置屏幕保密码
保护电脑安全,不光是防陌生人,有时也要向同事保密。如果您不想在离开座位后,自己电脑里的东西被别人看光光的话,设置屏保密码是个简便的方式。
以WindowsXP系统来说,您只要在桌面的空白处右击鼠标,从菜单中选择“属性”栏目,打开“显示属性”对话框,再点击“屏幕保护程序”栏目即可。在这个窗口的“屏幕保护程序”下拉框中,任意选择一种屏幕保护程序。随后,您只要选中“在恢复时使用密码保护”框,再单击“应用”按钮就可以了。
注意事项:需要提醒大家的是,在WinXP中无需您输入具体的“密码”,Windows在屏保运行后,会自动退出当前用户登录,退回到Windows登录窗口。这时您作为这台电脑的主人,只要输入登录Windows时的密码就能够使用Windows了。对于不知道您登录密码的人,自然只能“望机兴叹”了。
途径2:及时下载补丁
除了杀毒软件帮您防范入侵的黑客和病毒,Windows自身的网络安全设置,也在帮您抵挡不怀好意的“入侵者”。不过,要想让Windows能够完全施展开拳脚,还要留意以下几点。
首先,在IE浏览器的工具栏里,选择“INTERNET选项”,单击其中的“安全”一栏。此时在菜单里,单击“自定义级别”,并在“重置自定义设置”选项里,选中“安全级—高”一栏,并单击“确定”按钮。
每当Windows自动升级时,系统总会提示下载了一些更新程序。这时,有些用户由于担心C盘空间不大,装的程序太多容易拖慢系统速度,就不安装这些更新程序和补丁。其实,这是不对的。有些Windows自身的漏洞极易成为黑客的攻击重点。仅靠杀毒软件,有时无法杜绝这些问题。
注意事项:对于C盘空间不大的用户来说,建议您首先不要在桌面上放一些程序、文件、文档,以免占用宝贵的C盘空间。另外,对于必须使用但又不是系统文件的程序、软件,建议您把它们一律安装到D盘或者E盘里,照样可以正常使用。
途径3:银行数字证书随身带
如今,几乎全部的网上银行,在您支付款项时,都会用到数字证书。不过让我们有些忧心的是,数字证书长期存在电脑硬盘里,一旦在您上网时有人通过某些病毒或黑客程序远程操作、查询您电脑里的相关内容,就可能备份您的银行数字证书、窃取您的银行账号和密码,并且趁您不使用电脑的时候,操控您的屏幕,划走您的钱。
注意事项:建议您最好在开通您的银行卡网上银行功能时,按照各家银行的提示操作步骤,把您的数字证书,导出存在U盘里,有些银行则是直接向用户出售存有数字证书的U盘。总之尽量不要把数字证书存在电脑硬盘里,以免被别人远程控制。
途径4:利用杀毒软件体检
正因为灰鸽子这类木马在中毒电脑上了无痕迹,用户往往无法判断自己的电脑是否已经被植入木马,反病毒专家介绍说,用户可以通过使用升级到最新病毒库的杀毒软件来扫描自己的电脑。金山和瑞星等很多安全厂商此前都推出了灰鸽子专杀工具。此外,用户还可以到安全厂商的官方网站上学习手动查杀。
注意事项:看杀毒软件是否过期。“明明安了杀毒软件,怎么又中招了”,这是当前不少电脑用户的疑问。人们往往在安装了杀毒软件后,就以为一切都搞定了,自己的电脑“百毒不侵”了。需要提醒大家的是,安装完杀毒软件,一定要及时运行,并把各种选项的配置情况确认一下。如果软件没有开启自动升级、扫描电子邮件、扫描压缩文件内部等功能,一定要立即开启;此外,新病毒变种频出,建议您把杀毒软件一定要配置为“最高防护级别”,这样您上网时才会更加安全。
另外,即使开启了自动升级功能,建议您也要经常手动更新一下自己的杀毒软件,一旦发现厂商提供的病毒库有所更新,就要及时跟进。另外,在杀毒软件的使用上,一定要用正版。有时,一些盗版杀毒软件本身就暗藏病毒。
注意事项:检查您使用的杀毒软件是否过期,使用盗版杀毒软件(或者一个正版ID用在多台计算机上),不能正常升级的,特别需要检查。
途径5:word加密
以Word 2000来说,如果您的文档中有不想让其他人看见的个人隐私,或者这个文件中涉及单位的机密信息,您就需要阻止别人查看自己的文档了。需要对Word文档进行加密。
首先打开这个需要加密的Word文档。单击“工具”栏里的“选项”一行。这时,会弹出一个菜单,您需要选择“保存”这个栏目,然后分别在“打开权限密码”和“修改权限密码”这两个空白栏中输入您设置的任意密码。输入后,您需要单击“确定”按钮。这时,系统会再次弹出窗口,要您再次键入一遍“打开权限密码”和“修改权限密码”。分别单击“确定”按钮后,设定就完成了。
注意事项:您在关闭这个Word文档时,记得还要单击“是”,以便保存您刚才的一切操作。另外,要记住自己的密码,以免忘了密码后自己也进不去而耽误事。
途径6:设置登录密码
开机时输对登录密码,才能使用这台电脑,这是Windows自带的重要安全设置,也是防范他人入侵自己个人空间的一大功能。对于WinXP来说,如果在安装系统时您没有设置密码,也没关系,这项功课还是可以补上的。
首先,您进入“我的电脑”,双击控制面板,选择自己原本没有密码的那个用户账户。接下来,您需要选择“设定我的密码”,键入一个至少8位的密码,并再输一遍,然后设定自己的密码提示问题,最后按提示单击“是”这个按钮,就可以了。
注意事项:如果您所使用的电脑是单位公用的,您和您的同事也可以在同一台电脑里分别设定自己不同的账户和登录密码,大家互不干扰。
途径7:硬件加密一箩筐
除了软加密,部分电脑还能够通过先进的硬件,实现硬加密。
例如有些电脑就配备有先进的指纹系统,只有指纹符合者,才能启用这台电脑。还有的电脑具备了人脸识别功能,机主的相貌就是通行证。
同时,一些厂家还推出了各种电子安全锁,通常是以U盘的形式存在。通过预先设置,只有插入这个U盘,电脑才能够正常工作。
注意事项:当然,如果您希望启用这些更加严密的安防措施,就需要额外破费一番了。
金山公司公开指责灰鸽子工作室2007年2月底推出的“灰鸽子2007 beta2版本”隐蔽性更强,隐藏病毒的进程,所有盗取用户信息的操作,远程计算机的操作人员可能毫不知情。灰鸽子工作室则回应称,灰鸽子远程控制系列软件产品在对外授权时,已经充分告知用户要遵守中国法律法规的规定。
这场论战仍在进行。不论结果如何,眼下如何保护保证自己的经济不受损失,避免因为隐私外泄而受到敲诈,成为当务之急。
应对办法——
途径1:设置屏幕保密码
保护电脑安全,不光是防陌生人,有时也要向同事保密。如果您不想在离开座位后,自己电脑里的东西被别人看光光的话,设置屏保密码是个简便的方式。
以WindowsXP系统来说,您只要在桌面的空白处右击鼠标,从菜单中选择“属性”栏目,打开“显示属性”对话框,再点击“屏幕保护程序”栏目即可。在这个窗口的“屏幕保护程序”下拉框中,任意选择一种屏幕保护程序。随后,您只要选中“在恢复时使用密码保护”框,再单击“应用”按钮就可以了。
注意事项:需要提醒大家的是,在WinXP中无需您输入具体的“密码”,Windows在屏保运行后,会自动退出当前用户登录,退回到Windows登录窗口。这时您作为这台电脑的主人,只要输入登录Windows时的密码就能够使用Windows了。对于不知道您登录密码的人,自然只能“望机兴叹”了。
途径2:及时下载补丁
除了杀毒软件帮您防范入侵的黑客和病毒,Windows自身的网络安全设置,也在帮您抵挡不怀好意的“入侵者”。不过,要想让Windows能够完全施展开拳脚,还要留意以下几点。
首先,在IE浏览器的工具栏里,选择“INTERNET选项”,单击其中的“安全”一栏。此时在菜单里,单击“自定义级别”,并在“重置自定义设置”选项里,选中“安全级—高”一栏,并单击“确定”按钮。
每当Windows自动升级时,系统总会提示下载了一些更新程序。这时,有些用户由于担心C盘空间不大,装的程序太多容易拖慢系统速度,就不安装这些更新程序和补丁。其实,这是不对的。有些Windows自身的漏洞极易成为黑客的攻击重点。仅靠杀毒软件,有时无法杜绝这些问题。
注意事项:对于C盘空间不大的用户来说,建议您首先不要在桌面上放一些程序、文件、文档,以免占用宝贵的C盘空间。另外,对于必须使用但又不是系统文件的程序、软件,建议您把它们一律安装到D盘或者E盘里,照样可以正常使用。
途径3:银行数字证书随身带
如今,几乎全部的网上银行,在您支付款项时,都会用到数字证书。不过让我们有些忧心的是,数字证书长期存在电脑硬盘里,一旦在您上网时有人通过某些病毒或黑客程序远程操作、查询您电脑里的相关内容,就可能备份您的银行数字证书、窃取您的银行账号和密码,并且趁您不使用电脑的时候,操控您的屏幕,划走您的钱。
注意事项:建议您最好在开通您的银行卡网上银行功能时,按照各家银行的提示操作步骤,把您的数字证书,导出存在U盘里,有些银行则是直接向用户出售存有数字证书的U盘。总之尽量不要把数字证书存在电脑硬盘里,以免被别人远程控制。
途径4:利用杀毒软件体检
正因为灰鸽子这类木马在中毒电脑上了无痕迹,用户往往无法判断自己的电脑是否已经被植入木马,反病毒专家介绍说,用户可以通过使用升级到最新病毒库的杀毒软件来扫描自己的电脑。金山和瑞星等很多安全厂商此前都推出了灰鸽子专杀工具。此外,用户还可以到安全厂商的官方网站上学习手动查杀。
注意事项:看杀毒软件是否过期。“明明安了杀毒软件,怎么又中招了”,这是当前不少电脑用户的疑问。人们往往在安装了杀毒软件后,就以为一切都搞定了,自己的电脑“百毒不侵”了。需要提醒大家的是,安装完杀毒软件,一定要及时运行,并把各种选项的配置情况确认一下。如果软件没有开启自动升级、扫描电子邮件、扫描压缩文件内部等功能,一定要立即开启;此外,新病毒变种频出,建议您把杀毒软件一定要配置为“最高防护级别”,这样您上网时才会更加安全。
另外,即使开启了自动升级功能,建议您也要经常手动更新一下自己的杀毒软件,一旦发现厂商提供的病毒库有所更新,就要及时跟进。另外,在杀毒软件的使用上,一定要用正版。有时,一些盗版杀毒软件本身就暗藏病毒。
注意事项:检查您使用的杀毒软件是否过期,使用盗版杀毒软件(或者一个正版ID用在多台计算机上),不能正常升级的,特别需要检查。
途径5:word加密
以Word 2000来说,如果您的文档中有不想让其他人看见的个人隐私,或者这个文件中涉及单位的机密信息,您就需要阻止别人查看自己的文档了。需要对Word文档进行加密。
首先打开这个需要加密的Word文档。单击“工具”栏里的“选项”一行。这时,会弹出一个菜单,您需要选择“保存”这个栏目,然后分别在“打开权限密码”和“修改权限密码”这两个空白栏中输入您设置的任意密码。输入后,您需要单击“确定”按钮。这时,系统会再次弹出窗口,要您再次键入一遍“打开权限密码”和“修改权限密码”。分别单击“确定”按钮后,设定就完成了。
注意事项:您在关闭这个Word文档时,记得还要单击“是”,以便保存您刚才的一切操作。另外,要记住自己的密码,以免忘了密码后自己也进不去而耽误事。
途径6:设置登录密码
开机时输对登录密码,才能使用这台电脑,这是Windows自带的重要安全设置,也是防范他人入侵自己个人空间的一大功能。对于WinXP来说,如果在安装系统时您没有设置密码,也没关系,这项功课还是可以补上的。
首先,您进入“我的电脑”,双击控制面板,选择自己原本没有密码的那个用户账户。接下来,您需要选择“设定我的密码”,键入一个至少8位的密码,并再输一遍,然后设定自己的密码提示问题,最后按提示单击“是”这个按钮,就可以了。
注意事项:如果您所使用的电脑是单位公用的,您和您的同事也可以在同一台电脑里分别设定自己不同的账户和登录密码,大家互不干扰。
途径7:硬件加密一箩筐
除了软加密,部分电脑还能够通过先进的硬件,实现硬加密。
例如有些电脑就配备有先进的指纹系统,只有指纹符合者,才能启用这台电脑。还有的电脑具备了人脸识别功能,机主的相貌就是通行证。
同时,一些厂家还推出了各种电子安全锁,通常是以U盘的形式存在。通过预先设置,只有插入这个U盘,电脑才能够正常工作。
注意事项:当然,如果您希望启用这些更加严密的安防措施,就需要额外破费一番了。
phpbb2.0.12全路径泄露漏洞
[ 2007-03-25 02:41:05 | 作者: sun ]
phpbb是强大的可升级的开放源代码电子公告系统。最新的版本和低版本都存在路径泄露问题。
测试方法:
论坛路径/viewtopic.php?p=6&highlight=\[xiaohua]
将会出现下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
问题代码:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解决方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同时设置为On
测试方法:
论坛路径/viewtopic.php?p=6&highlight=\[xiaohua]
将会出现下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
问题代码:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解决方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同时设置为On
推荐:系统关键进程的查看和比较
[ 2007-03-25 02:40:53 | 作者: sun ]
我们都知道进程是系统当前运行的执行程序,所以打开系统进程列表来查看哪些进程正在运行,通
过进程名及路径判断和比较是否有病毒是一种经常做的常规工作,如果怀疑病毒进程只要记下它的进程
名,结束该进程,然后删除病毒程序即可。但是哪些是正常进程哪些不是正常的进程呢?
1 、查看进程的方法
A。用三键大法:按Ctrl+Alt+Del组合键,然后单击“任务管理器”,打开“Windows 任务管理
器”,然后单击“进程”标签即可查看。
B。右击任务条,打开任务管理器,然后看“进程”也可以。我常用的就是这个了。
2。进程的具体路径
开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务。是不是看到了。。
3。比较关键的进程
(1)Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。这个是不能关的。。
(2)Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这个也不是能关的。。。
(3)Explorer.exe:资源管理器。这个知道是什么吧?你关一下试试看,呵呵。关了以后别怕啊。可以再在任务管理器中的新任务中再建一个。。。
(4)Smss.exe:这是一个会话管理子系统,负责启动用户会话。这个不能关的。。。
(5)Services.exe:系统服务的管理工具,包含很多系统服务。当然也不能关的。。
(6)system: Windows系统进程,当然不关。
(7)System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。晕,这个大家一看就知道。
(8)Spoolsv.exe:管理缓冲区中的打印和传真作业。不能关的。
(9)Svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
WINXP一般是五个进程,记住!
(10)winlogon.exe: 管理用户登录,你关关试试看,重新启动了不是??
(11)internat.exe这是什么东西?呵呵。输入法了。
(12)taskmagr.exe这又是什么?就是任务管理器!
(13) systray.exe是哪儿冒出来的。什么东西。呵呵。右下角的小喇叭。
4。常见病毒的进程名
avserve.exe 震荡波病毒的进程
java.exe、services.exe MyDoom 病毒的进程
svch0st.exe、expl0er、user32.exe 网银大盗的进程
dllhost.exe 冲击波病毒的进程
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒 Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒 Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛 Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒 Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒 Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒 Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手 Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林 Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush Zonealarm.exe → 将死者病毒
注意:进程名为nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系统正常的进程外,其余的凡是带
32数字你可要注意一下.这很可能就是病毒进程;Expiorer.exe → Acid Battery 你看它只和资源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之类一列不是好东西!当然我们
也要小心了例如魔波会利用SVCHOST进程(它是全大写)可怕的··
5。如何处理可疑进程
(1).试验法
将可疑进程结束后,通过“开始→搜索→文件或文件夹”,然后输入可颖进程名作为关键字对硬盘进行
搜索,找到对应的程序后,记下它的路径,将它移到U盘或软盘上,然后对电脑上的软件都运行一遍,
如果都能正常运行,说明这个进程是多余的或者是病毒,就算不是病毒把它删了也可给系统减肥。如果
有软件不能正常运行则要将它还原。
(2).搜索求救法
如果你对“不明进程”是否是病毒拿不定主意,可以把该进程的全名为关键字在百度或GOOGLE搜索
引擎上搜索,找它的相关资料看它是不是病毒,如果是则赶快删除。
(3)软件法
赶快到安全模式下去用杀毒软件吧,当然必须是升级到最新杀软!
过进程名及路径判断和比较是否有病毒是一种经常做的常规工作,如果怀疑病毒进程只要记下它的进程
名,结束该进程,然后删除病毒程序即可。但是哪些是正常进程哪些不是正常的进程呢?
1 、查看进程的方法
A。用三键大法:按Ctrl+Alt+Del组合键,然后单击“任务管理器”,打开“Windows 任务管理
器”,然后单击“进程”标签即可查看。
B。右击任务条,打开任务管理器,然后看“进程”也可以。我常用的就是这个了。
2。进程的具体路径
开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务。是不是看到了。。
3。比较关键的进程
(1)Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。这个是不能关的。。
(2)Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这个也不是能关的。。。
(3)Explorer.exe:资源管理器。这个知道是什么吧?你关一下试试看,呵呵。关了以后别怕啊。可以再在任务管理器中的新任务中再建一个。。。
(4)Smss.exe:这是一个会话管理子系统,负责启动用户会话。这个不能关的。。。
(5)Services.exe:系统服务的管理工具,包含很多系统服务。当然也不能关的。。
(6)system: Windows系统进程,当然不关。
(7)System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。晕,这个大家一看就知道。
(8)Spoolsv.exe:管理缓冲区中的打印和传真作业。不能关的。
(9)Svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
WINXP一般是五个进程,记住!
(10)winlogon.exe: 管理用户登录,你关关试试看,重新启动了不是??
(11)internat.exe这是什么东西?呵呵。输入法了。
(12)taskmagr.exe这又是什么?就是任务管理器!
(13) systray.exe是哪儿冒出来的。什么东西。呵呵。右下角的小喇叭。
4。常见病毒的进程名
avserve.exe 震荡波病毒的进程
java.exe、services.exe MyDoom 病毒的进程
svch0st.exe、expl0er、user32.exe 网银大盗的进程
dllhost.exe 冲击波病毒的进程
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒 Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒 Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛 Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒 Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒 Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒 Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手 Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林 Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush Zonealarm.exe → 将死者病毒
注意:进程名为nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系统正常的进程外,其余的凡是带
32数字你可要注意一下.这很可能就是病毒进程;Expiorer.exe → Acid Battery 你看它只和资源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之类一列不是好东西!当然我们
也要小心了例如魔波会利用SVCHOST进程(它是全大写)可怕的··
5。如何处理可疑进程
(1).试验法
将可疑进程结束后,通过“开始→搜索→文件或文件夹”,然后输入可颖进程名作为关键字对硬盘进行
搜索,找到对应的程序后,记下它的路径,将它移到U盘或软盘上,然后对电脑上的软件都运行一遍,
如果都能正常运行,说明这个进程是多余的或者是病毒,就算不是病毒把它删了也可给系统减肥。如果
有软件不能正常运行则要将它还原。
(2).搜索求救法
如果你对“不明进程”是否是病毒拿不定主意,可以把该进程的全名为关键字在百度或GOOGLE搜索
引擎上搜索,找它的相关资料看它是不是病毒,如果是则赶快删除。
(3)软件法
赶快到安全模式下去用杀毒软件吧,当然必须是升级到最新杀软!
