如何准确检测出你电脑上的间谍软件
[ 2007-03-25 03:39:12 | 作者: sun ]
如何准确检测出你电脑上的间谍软件前言
你应该有过这样的遭遇,就是电脑感染上了间谍软件或广告软件。在这种情况下,解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。我最近研究了我的主要网络内的几台机器,以找到间谍软件和广告软件的感染信息。我个人建议,最好能利用一些有效的商业软件和免费软件经常进行这样的检查。
下面介绍一下步骤:
1.在使用某种商业软件或免费软件的工具检查之前,尽可能的将机器清理干净。运行防病毒软件或反间谍软件扫描,一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是,在进入下一步之前,专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。
2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP,那再方便不过了,这样很快就能建立一个系统恢复点(依次打开:开始菜单――帮助和支持――使用系统还原恢复你对系统的改变,然后点击创建一个还原点的按钮)。当然还有其他的方法(对于那些使用Windows家族其他操作系统的人来说是唯一的方法)就是创建一整套系统的备份,包括系统状态信息(如果其他办法都不可行的话,你可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。这样的话,万一在接下来的步骤中出了差错,还可以将您的系统恢复到前一个正确的状态。
3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象,因此先退出所有应用程序再启动反间谍程序运行检查,可以节省大量时间。
4.运行反间谍程序。在这一步,我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录,然后双击HijackThis.exe这个执行文件,会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下,日志文件会保存在“我的文档”中,我发现在保存的日志文件名称中加入日期和时间信息很有用,这样的话,一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log(hh.mm是24小时制的几点几分)。这样的话,以后你任何时候再次运行Hijack This(一旦开始运行,它会自动清空以前的日志),都不必担心丢失以前的日志。因此,时间标记不愧是个很好的方法,这对将来你的日志文件分析非常有用。
5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的,并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目,按下“Fix Checked“按钮, Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件,你可以对其进行快速扫描,以决定在这时采取何种操作。实际上,真正存在的问题是识别出哪些文件具有潜在的威胁,哪些是必须的,而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住,现在不要关闭Hijack This的查找结果窗口,也不需要进行核选操作,因为在接下来的步骤中我们还会返回这个窗口。
具体方法
6.用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话,我个人倾向于Help2Go Detective,但这两个都值得一试。在Hijack This日志里,你会发现每一个入侵(线程)的特殊信息和相关处理建议,包括哪些可以保留,哪些可以删除(但却是无害的),哪些是可疑文件(或许应该删除,但是还需要进一步分析研究),以及哪些必须删除(因为确定是恶意病毒)。这时,你可疑检查所有被确认为恶意病毒的选项,或者与已知的间谍软件和广告软件有关的选项。
7.检查可疑项目(包括可选的激活项目)。有时你可以查看注册表名称或者相关文件和目录信息,来检查即使通过分析程序(使用Hijack This很明显发现的)也没有识别出的项目,这是可能是你故意安装或使用的程序的一部分。这些项目经常会被单独的遗留下来。如果检查程序和你人为的都没有发现这些项目,安全选项就会将它们备份然后删除(然而如果你采取了这个步骤,那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果你想知道你在查看的是什么文件,就进入下一个附加步骤,用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目,最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。
8.在Hijack This结果窗口核选有害文件和不确定的可疑项目,然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目,并通过单击来高亮选择单独的项目,接着通过点击"Info on selected item…."(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适,因为这时分析工具的速度更快而且面向对象更友好。
9.重启系统查看运行情况。如果系有统运行不正常现象,如应用程序不工作或变得异常,或者系统看上去不太对劲时,你需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动,在系统启动之初按下F8键,直到启动进入安全启动菜单,选择最后一次正确的配置。这样启动就没有问题了,系统启动之后你还需要退回到恢复点,或者恢复到在第二步备份的状态。如果你接收这个选项的话,就不需要保存改动了,可以直接越过第10步。
10.最后再运行依次Hijack This扫描:重复步骤4,但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除,或者只需保存你电脑状态的快照,快速清除就可以了(这样会对下一次进行同样的操作产生一个有意义的参照状态)。
安全专家嘱咐的5条要诀
[ 2007-03-25 03:39:01 | 作者: sun ]
1、换掉Internet Explorer浏览器:这大概是你能做的最重要的一件事了。换成Firefox, Mozilla, Safari, 任何不是IE的浏览器。尽管微软要发布被寄予厚望的IE7,传说中比其他任何浏览器都安全一光年的东西。它太具革命性了,以至于要强制升级!作者看来还是远离一个有争议的东西而使用替代品比较稳妥。
2、加强浏览器的安全:NoScript,Netcraft 反钓鱼工具栏,E-Bay工具栏,Google工具栏都是不错的选择。这些工具能够挫败“钓鱼网站”,防止被黑,密码外泄等。
3、不要点email里的链接:一盎司的偏执换来的是一磅的补丁。无论何时何地都要尽量不点击email里的链接,特别是某些链接本身就很危险,而钓鱼email有时又很难察觉。如果你和一个网站有生意往来,它给你发邮件,让你“点击这里”来更新身份数据,而不是让你手动登录它的网站,那你要当心了。而有的邮件的链接相对安全一些,比如你注册、修改密码后的几分钟内发过来的确认邮件。
4、防护你的Web邮箱:使用较长的难猜测的密码,每六个月更换一次。不要在任何其他地方使用这个密码。删掉带有敏感信息的邮件。许多人把所有重要的帐号都集中关联在一个邮箱地址,如果有人得到你的email帐户,所有关联的帐号都会有危险。你能做的最好的就是使用不容易猜的密码,且绝不要用在其他地方。如能删除含有敏感信息的邮件则更佳。
5、使用单一的信用卡进行在线购物:我们在线购物的信用卡号被偷的可能性还是存在的。最好把可能的损失限制在最小。只使用一张信用卡可能是监视异常交易的最好方法。还有,千万别用借记卡在线购物,因为缺乏法律保护。
2、加强浏览器的安全:NoScript,Netcraft 反钓鱼工具栏,E-Bay工具栏,Google工具栏都是不错的选择。这些工具能够挫败“钓鱼网站”,防止被黑,密码外泄等。
3、不要点email里的链接:一盎司的偏执换来的是一磅的补丁。无论何时何地都要尽量不点击email里的链接,特别是某些链接本身就很危险,而钓鱼email有时又很难察觉。如果你和一个网站有生意往来,它给你发邮件,让你“点击这里”来更新身份数据,而不是让你手动登录它的网站,那你要当心了。而有的邮件的链接相对安全一些,比如你注册、修改密码后的几分钟内发过来的确认邮件。
4、防护你的Web邮箱:使用较长的难猜测的密码,每六个月更换一次。不要在任何其他地方使用这个密码。删掉带有敏感信息的邮件。许多人把所有重要的帐号都集中关联在一个邮箱地址,如果有人得到你的email帐户,所有关联的帐号都会有危险。你能做的最好的就是使用不容易猜的密码,且绝不要用在其他地方。如能删除含有敏感信息的邮件则更佳。
5、使用单一的信用卡进行在线购物:我们在线购物的信用卡号被偷的可能性还是存在的。最好把可能的损失限制在最小。只使用一张信用卡可能是监视异常交易的最好方法。还有,千万别用借记卡在线购物,因为缺乏法律保护。
防止病毒侵害 保护你的假日交易
[ 2007-03-25 03:38:50 | 作者: sun ]
如果要买一块手表,你会怎么做?专门花几天时间,将所有表店一一逛遍,累得死去活来,挑得头昏眼花;还是等到专门去香港澳门或者国外出差的机会才出手?伴随着网络商务的不断发展,相信更多人会选择一边喝着咖啡,一边上网,几天后,快递就将打了折的手表送到手中。
的确,网络商务繁荣改变了人们的生活习惯,通过网络采购一些书本、音像制品已经不是一种时尚,人们足不出户就能购买到大多数的生活用品,完成金融交易。不过就在人们享受网络带来便利的同时,一些黑客也在利用病毒,窃取别人的帐号、密码,达到对他人的钱财非法占有的目的。
根据赛门铁克公司最新的一期《互联网安全威胁报告》指出,家用计算机正面临日益增加的网络攻击,包括隐私盗窃,欺诈以及其他受金融利益驱使的网络犯罪,因为家用电脑更容易忽略采用必要的安全防范措施。此外,攻击者现在正使用各种技术,逃避检测,延长其在系统上驻留的时间,以伺机盗取信息,为市场行销目的劫持计算机,提供远程接入,或盗取机密信息获得经济利益。
而报告同时表示,金融领域同样是黑客猖獗,其中网页仿冒最为严重。在赛门铁克网页仿冒报告网络和赛门铁克Brightmail反垃圾邮件在此期间跟踪的所有网页仿冒网站中占到了84%。一旦攻击者通过其中一个攻击获准接入攻击目标的帐户,那么他们可以进行转帐、挪用资金、申请贷款、赊帐或盗用信用卡。
据报告显示,十大网页仿冒中有九个来自金融领域,进一步证明了网页仿冒活动高度集中在金融领域,不法分子试图窃取多家网上银行的账号和密码,给用户带来经济损失。
伴随着圣诞节,元旦,情人节,春节等节日的先后到来,我们又即将迎来新一波的网络购物的高峰期,许多计划出游的朋友开始着手在各大电子商务网站上淘自己需要的出行物品。这时也恰恰是那些心怀不轨的网络黑客最忙碌的时机。我们必须及时更新杀毒软件,防止病毒侵害。使用经过验证的综合性安全套件是进行自我防护非常好的手段。最新的诺顿网络安全特警2007就是一款非常不错的选择。
此外,在网络购物时,尽可能选择大、中型交易网站。由于小型网站由于本身实力和技术原因,一般没有提供可靠的交易工具,小型电子商务交易网站也有可能不具备为用户分担风险或提供担保的实力。而大、中型电子商务网站可以被监管部门密切注视,积极监管。
而在支付环节尽可能利用大型网站现有的交易支付工具;充分掌握交易网站公布的防诈骗方法以及网站对交易的担保细则;支付前要协商确定运输中的责任问题,尽力争取要求到“货到免责”;经常了解网站、网友、论坛公布的诈骗手法、事件和名单曝光。
如果你具有打心底里喜欢上网“血拼”,喜欢在网上刷信用卡,提前享受;有用鼠标来决定购买的“控制欲”;不喜欢或者没时间为了一件奢侈品四处奔波;喜欢24小时随时都可以尽情Shopping,希望以上的忠告能帮助您减少网络购物的风险,保护你的假日交易。
的确,网络商务繁荣改变了人们的生活习惯,通过网络采购一些书本、音像制品已经不是一种时尚,人们足不出户就能购买到大多数的生活用品,完成金融交易。不过就在人们享受网络带来便利的同时,一些黑客也在利用病毒,窃取别人的帐号、密码,达到对他人的钱财非法占有的目的。
根据赛门铁克公司最新的一期《互联网安全威胁报告》指出,家用计算机正面临日益增加的网络攻击,包括隐私盗窃,欺诈以及其他受金融利益驱使的网络犯罪,因为家用电脑更容易忽略采用必要的安全防范措施。此外,攻击者现在正使用各种技术,逃避检测,延长其在系统上驻留的时间,以伺机盗取信息,为市场行销目的劫持计算机,提供远程接入,或盗取机密信息获得经济利益。
而报告同时表示,金融领域同样是黑客猖獗,其中网页仿冒最为严重。在赛门铁克网页仿冒报告网络和赛门铁克Brightmail反垃圾邮件在此期间跟踪的所有网页仿冒网站中占到了84%。一旦攻击者通过其中一个攻击获准接入攻击目标的帐户,那么他们可以进行转帐、挪用资金、申请贷款、赊帐或盗用信用卡。
据报告显示,十大网页仿冒中有九个来自金融领域,进一步证明了网页仿冒活动高度集中在金融领域,不法分子试图窃取多家网上银行的账号和密码,给用户带来经济损失。
伴随着圣诞节,元旦,情人节,春节等节日的先后到来,我们又即将迎来新一波的网络购物的高峰期,许多计划出游的朋友开始着手在各大电子商务网站上淘自己需要的出行物品。这时也恰恰是那些心怀不轨的网络黑客最忙碌的时机。我们必须及时更新杀毒软件,防止病毒侵害。使用经过验证的综合性安全套件是进行自我防护非常好的手段。最新的诺顿网络安全特警2007就是一款非常不错的选择。
此外,在网络购物时,尽可能选择大、中型交易网站。由于小型网站由于本身实力和技术原因,一般没有提供可靠的交易工具,小型电子商务交易网站也有可能不具备为用户分担风险或提供担保的实力。而大、中型电子商务网站可以被监管部门密切注视,积极监管。
而在支付环节尽可能利用大型网站现有的交易支付工具;充分掌握交易网站公布的防诈骗方法以及网站对交易的担保细则;支付前要协商确定运输中的责任问题,尽力争取要求到“货到免责”;经常了解网站、网友、论坛公布的诈骗手法、事件和名单曝光。
如果你具有打心底里喜欢上网“血拼”,喜欢在网上刷信用卡,提前享受;有用鼠标来决定购买的“控制欲”;不喜欢或者没时间为了一件奢侈品四处奔波;喜欢24小时随时都可以尽情Shopping,希望以上的忠告能帮助您减少网络购物的风险,保护你的假日交易。
网站服务器通用和专用保护方法分析比较
[ 2007-03-25 03:38:38 | 作者: sun ]
一:网站的通用保护方法
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
二:网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
比较方法
在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
三:网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
四:结论
本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
二:网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
比较方法
在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
三:网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
四:结论
本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。
连根拔起 破解恶意网页的十大奇妙招术
[ 2007-03-25 03:38:25 | 作者: sun ]
1、修改IE的起始主页
IE的起始主页就是每次打开IE时最先进入的页面,随时点击IE工具栏中的“主页”按钮也能进入起始主页,它一般是我们需要频繁查看的页面,但有些恶意网页会将起始主页改为某些乌七八糟的网址,以达到其不可告人的目的。
要修复IE起始主页方法很简单,在IE“工具”菜单中单击“Internet选项”(以IE5为例,下同),选择“常规”选项卡,在“主页”文本框中输入起始页的网址即可。
如果进行上述设置后不起作用,那肯定是在Windows的“启动”组中加载了恶意程序,使每次启动电脑时自动运行程序来对IE进行非法设置。可通过注册表编辑器,将此类程序从“启动”组清除。
方法是:点击“开始→运行”,输入“Regedit”后回车,在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主键,右部窗口中显示的是所有启动时加载的程序项,将包含可疑程序的键值名删除。
除了起始主页,还有默认主页被修改的情况。我们还是通过注册表编辑器来修复默认主页。展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主键,右部窗口中的键值名“Default-Page-URL”决定IE的默认主页,双击该键值名,在“键值”文本框中输入网址,该网址将成为新的IE默认主页。
2、修改IE工具栏
IE的工具栏包括工具按钮、地址栏、链接等几个项目,恶意网页可能会自作主张的在工具栏上添加按钮,或者在地址栏的下拉列表中加入一些并未访问过的网址,甚至会通过篡改链接栏的标题显示一些恶心的文字。
要去掉不需要的按钮,方法很简单,对工具栏按钮点右键选“自定义”,在“当前工具栏按钮”下拉框中选定不需要的按钮后点击“删除”即可。
要去掉多余的地址列表,可通过注册表编辑器展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\TypeURLs]主键,将右部窗口中“url1”、“url2”等键值名全部删除即可。
要修复链接栏标题,首先展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Toolbar]主键,在右部窗口中对键值名“LinksFolderName”双击,修改其键值为欲显示的信息,或直接将该键值名删除,链接栏的标题将恢复为默认的“链接”字样。
3、修改默认的搜索引擎
在IE的工具栏中有一个“搜索”按钮,它链接到一个指定的搜索引擎,可实现网络搜索。被恶意网页修改后的该按钮并不能进行搜索工作,而是链接到由恶意网页指定的网页上去了。
要修复搜索引擎,首先展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Search]主键,在右部窗口中将“CustomizeSearch”、“SearchAssistant”这两个键值名对应的网址改为某个搜索引擎的网址即可。
4、修改IE标题栏
我们浏览网页时,IE标题栏显示的是由当前网页决定的标题信息。但某些恶意网页通过修改注册表,使IE无论浏览什么网页都要在标题后附加一段信息,要么是某个网站的名称,要么是一些垃圾广告,甚至是一些政治反动或不堪入目的信息。
要修复IE标题栏,在注册表编辑器中展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主键,将右部窗口中的“Window Title”键值名直接删除即可。
5、修改或禁止IE右键
有些恶意网页对IE右键快捷菜单进行修改,加入一些无聊信息,或是加入指向其网站的链接,以为这样人们就会经常光顾他们的网站,真是很可笑。
要删除右键菜单中的垃圾内容,可通过注册表编辑器展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\MenuExt]主键,将下面的垃圾内容全部删除即可,也可直接把“MenuExt”子键删除掉,因为“MenuExt”子键下是右键菜单的扩展内容,把它删除,右键菜单便恢复为默认样式。
有些恶意网页为禁止下载,竟然禁止使用右键,简直太可恶了。展开[HKEY_CURRENT_USER\Software\Policies\Wicrosoft\Internet Explorer\Restrictions]主键(注意这里是Policies分支下的Internet Explorer),在右部窗口中将键值名“NoBrowserContextMenu”的Dword键值改为“0”即可,或者将该键值名删除,甚至可将“Restrictions”子键删除,“Restrictions”子键下是一些限制IE功能的设置。
有些恶意网页更狡猾,当使用鼠标右键时不会显示菜单,而是弹出对话框警告你不要“侵权”,或是强迫你阅读他们的垃圾广告,这种情况并未修改注册表,所以退出这个网页就不会有事了。如果非要在这个网页中使用右键,可采取变通的方法:当弹出对话框后,先按下键盘上的“属性”键(右侧Ctrl键左边的一个键)不放,再按回车键,弹出几次对话框就按几次回车键,最后放开“属性”键,右键快捷菜单便出来了文字。
6、系统启动时弹出网页或对话框
若出现启动Windows时弹出网页,这是恶意网页对Windows的“启动”组动了手脚的缘故。我们在注册表中将“启动”组内相应项目删除即可解决。
方法是:展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主键,在右部窗口中将包含有url、htm、html、asp、php等网址属性的键值名全部删除。
恶意网页还有一种类似的伎俩是,启动Windows时会弹出对话框,以显示它们的广告信息。解决办法是:展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version]主键,该主键下的子键“Winlogon”可以使Windows启动时显示信息提示框,直接将该子键删除即可避免启动时出现垃圾信息了。
7、定时弹出IE新窗口
IE浏览器中每隔一段时间就会弹出新的窗口去访问别的网页,这种情况也是典型的恶意网页中毒症状。恶意网页是通过在Windows的“启动”组添加hta文件来达到目的的。同样,我们利用第6条中的方法,将启动组内包含hta文件的项目全部删除即可。
8、禁止修改注册表
这是恶意网页最无耻的行径了,恶意网页修改了我们的系统,当我们使用注册表编辑器Regedit.exe时去修复注册表时,系统提示“注册表编辑器被管理员所禁止”。恶意网页试图通过禁止Regedit.exe的使用,来阻止我们修复注册表,可谓用心险恶。
但注册表编辑工具除了Regedit.exe外还有很多种,随便从网上下载一个注册表编辑器,展开[HKEY_CURRENT_USER\Software\Wicrosoft\Windows\Current Version\Policies\System]主键,将键值名“DisableRegistryTools”的键值改为“0”,或将该键值名删除,这样便可使用Windows自带的注册表编辑器了。
如果找不到其它编辑器,利用记事本编写以下三行内容:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"disableregistrytools"=dword:0
将以上内容保存为aaa.reg,文件名可任取,但扩展名一定要为reg,然后双击这个文件,提示信息成功输入注册表之后,你便又可使用Regedit.exe了。
9、下载运行木马程序
恶意网页最阴险的一招就是下载并运行木马程序,从而控制访问者的电脑。这利用的是IE5.0的一个漏洞,恶意网页通过一段恶代码链接一个嵌入了exe文件(木马)的eml文件(E-mail文件),当访问者浏览这类网页并点击经过伪装的链接时,便会自动下载eml文件并运行其中的exe文件(木马),并且不会有任何提示信息,一切在悄无声息中进行。
如此罪恶的行径,我们却没有什么好的对付办法。唯有升级IE版本了,因为这个漏洞在IE5.0以上版本中都不复存在。
10、格式化硬盘
恶意网页能把你的硬盘格式化!?你没看错,这可是恶意网页最狠毒的一招了,后果不堪设想,简直太恐怖了。恶意网页是利用IE执行ActiveX功能,调用Windows下的Format.com程序对硬盘进行格式化,由于使用了一个微软未曾公开的运行参数,Format.com格式化硬盘时无需经过你的确认而自动进行,同时窗口处于最小化状态,很可能你还没反应过来,你的系统就已经完蛋了。此招真是太卑鄙了。
但险招有险象,当你访问此类恶意网页时,由于要使用ActiveX功能,IE会提示当前页面含有不安全的ActivcX,可能会对系统造成危害,并询问是否执行,这时你就要提高警惕了,千万不要随便选择“是”,而且这种提示信息还可能经过伪装,例如:“浏览器将使用防毒功能,避免你受到恶意攻击,是否继续?”真是颠倒是非,让你雾里看花,你得小心再小心,否则没有后悔药给你吃。
其实最安全的办法是,将你电脑中的Format.com程序改名,使恶意网页调用程序无门、行恶不成。在Windows中还有一个危险命令Deltree.exe,它的作用是删除整个目录,也可带参数自动运行,为了不让恶意网页有机可乘,你不妨也把它改名大吉。
以上揭露的只是恶意网页最普遍的十种罪行,除此之外,还有一些五花八门的小伎俩,也给我们上网带来不少麻烦。另外,以上提出的解决办法,都是在受到恶意网页危害后的解救措施,并不保证以后就太平无事了。若要避免或减轻危害,还得从预防做起。
最简单的预防措施是升级IE版本和使用杀毒软件的病毒防火墙:
a、升级IE版本
很多恶意网页只对IE5.0及以下版本有效。高版本软件一般都修复了低版本中的Bug,我们使用高版本IE就相对安全得多。
b、启用病毒防火墙
现在的杀毒软件大都有病毒防火墙功能,例如瑞星。病毒防火墙可以智能的识别、查杀、隔离恶意网页,除此之外,杀毒软件还是各种木马程序的“克星”。杀毒软件总是站在与电脑界的各种恶魔抗争的最前线,让反毒战士来保护我们,准没错!
安全帐号管理器SAM文件基础知识
[ 2007-03-25 03:38:12 | 作者: sun ]
Windows NT及Windows2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。
安全账号管理器的具体表现就是%SystemRoot%\\system32\\config\\sam文件。SAM文件是Windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。SAM文件可以认为类似于Unix系统中的Passwd文件,不过没有这么直观明了。Passwd使用的是存文本的格式保存信息,这是一个Linux Passwd文件内容的例子:
0: root:8L7v6:0:0:root:/root:/bin/bash
1: bin:*:1:1:bin:/bin:
2: daemon:*:2:2:daemon:/sbin:
3: adm:*:3:4:adm:/var/adm:
4: lp:*:4:7:lp:/var/spool/lpd:
5: sync:*:5:0:sync:/sbin:/bin/sync
6: shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
7: halt:*:7:0:halt:/sbin:/sbin/halt
8: mail:*:8:12:mail:/var/spool/mail:
9: news:*:9:13:news:/var/spool/news:
10: uucp:*:10:14:uucp:/var/spool/uucp:
11: operator:*:11:0perator:/root:
12: games:*:12:100:games:/usr/games:
13: gopher:*:13:30:gopher:/usr/lib/gopher-data:
14: ftp:*:14:50:FTP User:/home/ftp:
15: nobody:I0iJ.:99:99:Nobody:/home/httpd:/bin/bash
16: david:c6CuzM:500:500::/home/david:/bin/bash
17: dummy:fIVTl4IgU:501:503::/home/dummy:/bin/bash
18: msql:!!:502:504::/home/msql:/bin/bash
Unix中的Passwd文件中每一行都代表一个用户资料,每一个账号都有七部分资料,不同资料中使用“:”分割格式如下,
账号名称:密码:uid:gid:个人资料:用户目录:shell
除了密码是加密的以外(这里的密码部分已经Shadow了)其他项目非常清楚明了。
而NT中就不是这样,虽然他也是用文件保存账号信息,不过如果我们用编辑器打开这些NT的SAM文件,除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理,一般的编辑器是无法直接读取这些信息的。注册表中的
HKEY_LOCAL_MACHINE\\SAM\\SAM
HKEY_LOCAL_MACHINE\\SECURITY\\SAM
保存的就是SAM文件的内容,在正常设置下仅对System是可读写的。
NT的帐号信息在SAM文件中是如何存储的呢?
在SAM文件中保存了两个不同的口令信息:LanManager(LM)口令散列算法和更加强大的加密NT版,LM就是NT口令文件的弱点。我们来看看LM口令算法是如何加密口令的,考虑这样一个口令:Ba01cK28tr,这样的口令已经可以称的上是一个安全的口令了,虽然没有!#等特殊字符,但是已经包含大写字母,小写字母和数字,并且具有无规律性。可以认为是符合安全的要求的一个口令。
LM对口令的处理方法是:如果口令不足14位,就用0把口令补足14位,并把所有的字母转称大写字母。之后将处理后的口令分成两组数字,每组是7位。刚才我们所提到的口令经处理后就变成BA01CK2和8TR0000部分。然后由这两个7位的数字分别生成8位的DES KEY,每一个8位的DES KEY都使用一个魔法数字(将0x4B47532140232425用全是1的一个KEY进行加密获得的)再进行一次加密,将两组加密完后的字符串连在一起,这就是最终的口令散列。这个字符传看起来是个整体,但是象L0phtcrack这样的破解软件,他能将口令字符串的两部分独立的破解。因此,破解上面所提到口令(10位),由于口令已经被分解为两部分破解,而后面的那部分口令由于只有3位,破解难度可想而知并不困难。实际的难度就在前面的七位口令上了。因此就NT而言,一个10位的口令与一个7位的口令相比并没有太高的安全意义。由此还可以了解:1234567*$#这样的口令可能还不如SHic6这样的口令安全。(关于如何设置安全口令的问题不是本文的范围,有兴趣的可以参考相关文章)
而正式的口令(加密NT版)是将用户的口令转换成unicode编码,然后使用MD4算法将口令加密。
NT之所以保留两种不同版本的口令是由于历史原因造成的,在一个纯NT的环境中应该将LAN manager口令关闭。因为LAN manager口令使用了较弱的DES密钥和算法,比较容易破解。相比较之下,使用较强加密算法的NT正式口令要安全些。
但是这两种口令的加密方法从总体上来说强度还是不足,因此,微软在Win NT4的SP3之和以后的补丁中,提供了一个Syskey.exe的小工具来进一步加强NT的口令。这个软件是可以选择使用的,管理员只要运行一下这个程序并回答一些设置问题就可以添加这项增强功能。(Windows2000已经作为缺省安装设置了)
Syskey被设计用来防止轻易获得SAM口令,它是如何工作的呢?
当Syskey被激活,口令信息在存入注册表之前还进行了一次加密处理。然而,在机器启动后,一个旧的格式的信息还是会保存在内存中。因为,这个旧格式的口令信息是进行网络验证的所需要的。
可以这样认为:Syskey使用了一种方法将口令信息搞乱。或者说使用了一个密钥,这个密钥是激活Syskey由用户选择保存位置的。这个密钥可以保存在软盘,或者在启动时由用户生成(通过用户输入的口令生成),又或者直接保存在注册表中。由于没有官方的正式技术说明如何关闭Syskey,所以Syskey一旦启用就无非关闭,除非用启用Syskey之前的注册表备份恢复注册表。
将Syskey激活后系统有什么发生了什么,如何关掉Syskey呢?
-1-
将Syskey激活后,在注册表HKLM\\System\\CurrentControlSet\\Control\\Lsa下被添加了新的键值\'SecureBoot\'中保存了Syskey的设置:
1 - KEY保存在注册表中
2 - KEY由用户登录时输入的口令生成
3 - KEY保存在软盘中
但是把主键删除或者把值设成0并没能将Syskey关闭,看来还有其他的地方。
-2-
HKLM\\SAM\\Domains\\Account\\F 是一个二进制的结构,通常保存着计算机的SID和其他的描述信息。当syskey被激活后,其中的内容就变大了(大小大约是原来的两倍) 增加的部分估计是加密的KEY+一些标记和其他的数值,这些标记和数值中一定有一部分包括 SecureBoot 相同的内容。所以,在NT4(已安装SP6补丁包)将这些标记位设为0可能就可以关闭Syskey了。在改变这些设置时系统给出了一个错误提示说明SAM和系统设置相互冲突,但是在重新启动计算机后,系统已经不再使用Syskey了。
-3-
再Windows2000中还有另一个地方还存储着关于syskey的信息
HKLM\\security\\Policy\\PolSecretEncryptionKey\\
这也是一个二进制的结构,也是使用同样的存储方式,将这里相应部分同样设为0,syskey就已经从Windows2000中移除了。(如果这三部分修改出现错误(不一致),系统会在下次启动是自动恢复为默认值)
-4-
然后就是口令信息部分。旧的口令信息是长度是16字节,但使用Syskey后长度全部被增加到20字节。其中头四个字节看起来想是某种计数器,可能是历史使用记录计数器。奇怪的是,当Syskey被激活时,他并不立即记录,而是在系统下次启动时才记录。而且,当密钥被改变时,口令信息似乎并没有相应更新。
别杀错了:一步一步教你来识别病毒
[ 2007-03-25 03:37:50 | 作者: sun ]
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“CIH”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“Sasser”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack.木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor.该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke.也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder.这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
决不做“肉鸡” 从零开始自检系统漏洞
[ 2007-03-25 03:37:37 | 作者: sun ]
近来黑客攻击事件频频发生,我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势,能够掌握攻击他人系统技术的人越来越多了,只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序,就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?
一、要命的端口
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
在Windows 98下,通过“开始”选取“运行”,然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务,就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则,在“数据包方向”中选择“接受”,在“对方IP地址”中选择“任何地址”,在TCP选项卡的本地端口中填写从4899到0,对方端口填写从0到0,在“当满足上面条件时”中选择“拦截”,这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序,有些服务级的进程却被隐藏因而无法看到了,不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32,打开“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程,还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具,如春光系统修改器等。
但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,所以这里推荐一款强大的杀木马工具──“木马克星”,它可以查杀8000多种国际木马,1000多种密码偷窃木马,功能十分强大,实在是安全上网的必备工具!
三、小心,远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题,如本报43期G12版介绍的强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞,黑客可以利用这个漏洞在系统上执行任意指令。所以,要安全地远程使用它就要进行IP限制。这里以Windows 2000远程桌面为例,谈谈6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则。在“数据包方向”中选择“接受”,在“对方IP地址”中选择“指定地址”,然后填写你的IP地址,在TCP选项卡的本地端口中填写从6129到0,对方端口填写从0到0,在“当满足上面条件时”中选择“通行”,这样一来除了你指定的那个IP(这里假定为192.168.1.70)之外,别人都连接不到你的电脑上了。
安装最新版的远程控制软件也有利于提高安全性,比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
四、“专业人士”帮你免费检测
很多安全站点都提供了在线检测,可以帮助我们发现系统的问题,如天网安全在线推出的在线安全检测系统──天网医生,它能够检测你的计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。
天网医生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目,可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线(http://www.china-yk.com/tsfw/)以及蓝盾在线检测(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿,http://bcheck.scanit.be/bcheck/就是一个专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。
五、自己扫描自己
天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果你有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。
我们知道,黑客在入侵他人系统之前,常常用自动化工具对目标机器进行扫描,我们也可以借鉴这个思路,在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan,当然小蓉流光也很不错。
以X-Scan为例,它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项,更为重要的是列出系统漏洞之外,它还给出了十分详尽的解决方案,我们只需要“按方抓药”即可。
例如,用X-Scan对隔壁某台计算机进行完全扫描之后,发现如下漏洞:
[192.168.1.70]: 端口135开放: Location Service
[192.168.1.70]: 端口139开放: NET BIOS Session Service
[192.168.1.70]: 端口445开放: Mi crosoft-DS
[192.168.1.70]: 发现 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 发现 “NetBios信息”
从其中我们可以发现,Windows 2000弱口令的问题,这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135~139端口。
六、别小瞧Windows Update
微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要点击“开始”菜单中的Windows Update,就到了微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能把黑客和病毒拒之门外。
一、要命的端口
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
在Windows 98下,通过“开始”选取“运行”,然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务,就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则,在“数据包方向”中选择“接受”,在“对方IP地址”中选择“任何地址”,在TCP选项卡的本地端口中填写从4899到0,对方端口填写从0到0,在“当满足上面条件时”中选择“拦截”,这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序,有些服务级的进程却被隐藏因而无法看到了,不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32,打开“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程,还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具,如春光系统修改器等。
但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,所以这里推荐一款强大的杀木马工具──“木马克星”,它可以查杀8000多种国际木马,1000多种密码偷窃木马,功能十分强大,实在是安全上网的必备工具!
三、小心,远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题,如本报43期G12版介绍的强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞,黑客可以利用这个漏洞在系统上执行任意指令。所以,要安全地远程使用它就要进行IP限制。这里以Windows 2000远程桌面为例,谈谈6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则。在“数据包方向”中选择“接受”,在“对方IP地址”中选择“指定地址”,然后填写你的IP地址,在TCP选项卡的本地端口中填写从6129到0,对方端口填写从0到0,在“当满足上面条件时”中选择“通行”,这样一来除了你指定的那个IP(这里假定为192.168.1.70)之外,别人都连接不到你的电脑上了。
安装最新版的远程控制软件也有利于提高安全性,比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
四、“专业人士”帮你免费检测
很多安全站点都提供了在线检测,可以帮助我们发现系统的问题,如天网安全在线推出的在线安全检测系统──天网医生,它能够检测你的计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。
天网医生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目,可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线(http://www.china-yk.com/tsfw/)以及蓝盾在线检测(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿,http://bcheck.scanit.be/bcheck/就是一个专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。
五、自己扫描自己
天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果你有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。
我们知道,黑客在入侵他人系统之前,常常用自动化工具对目标机器进行扫描,我们也可以借鉴这个思路,在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan,当然小蓉流光也很不错。
以X-Scan为例,它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项,更为重要的是列出系统漏洞之外,它还给出了十分详尽的解决方案,我们只需要“按方抓药”即可。
例如,用X-Scan对隔壁某台计算机进行完全扫描之后,发现如下漏洞:
[192.168.1.70]: 端口135开放: Location Service
[192.168.1.70]: 端口139开放: NET BIOS Session Service
[192.168.1.70]: 端口445开放: Mi crosoft-DS
[192.168.1.70]: 发现 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 发现 “NetBios信息”
从其中我们可以发现,Windows 2000弱口令的问题,这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135~139端口。
六、别小瞧Windows Update
微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要点击“开始”菜单中的Windows Update,就到了微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能把黑客和病毒拒之门外。
安全知识基础杀毒软件跟防火墙的区别
[ 2007-03-25 03:37:21 | 作者: sun ]
在计算机的安全防护中,我们经常要用到杀毒软件和防火墙,而这两者在计算机安全防护中所起到的作用也是不同的。
1.防火墙是位于计算机和它所连接的网络之间的软件,安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步,选择一款合适的防火墙,是保护信息安全不可或缺的一道屏障。
2.因为杀毒软件和防火墙软件本身定位不同,所以在安装反病毒软件之后,还不能阻止黑客攻击,用户需要再安装防火墙类软件来保护系统安全。
3.杀毒软件主要用来防病毒,防火墙软件用来防黑客攻击。
4.病毒为可执行代码,黑客攻击为数据包形式。
5.病毒通常自动执行,黑客攻击是被动的。
6.病毒主要利用系统功能,黑客更注重系统漏洞。
7.当遇到黑客攻击时反病毒软件无法对系统进行保护。
8.对于初级用户,可以选择使用防火墙软件配置好的安全级别。
9.防火墙软件需要对具体应用进行规格配置。
10.防火墙不处理病毒。
不管是Funlove病毒也好,还是CIH也好,在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。
看到这里,或许您原本心目中的防火墙已经被我拉下了神台。是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识,而非技术!”请牢记这句话。
不管怎么样,防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。
最后,要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作,只是迈向安全的步骤。
附录:
防火墙能够作到些什么?
1.包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS(入侵检测系统)来完成了。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
网络安全界永恒不变的10大安全法则
[ 2007-03-25 03:37:10 | 作者: sun ]
1.如果攻击者能够说服您在自己的计算机上运行他的程序,那么该计算机便不再属于您了。
2.如果攻击者能够在您的计算机上更改操作系统,那么该计算机便不再属于您了。
3.如果攻击者能够不受限制地实地访问您地计算机,那么该计算机便不再属于您了。
4.如果您允许攻击者上载程序到您地Web站点,那么该计算机便不再属于您了。
5.再强大地安全性也会葬送在脆弱地密码手里。
6.计算机地安全性受制于管理员的可靠性。
7.加密数据的安全性受制于解密密钥的安全性。
8.过时的病毒扫描程序比没有病毒扫描程序好不了多少。
9.绝对的匿名无论在现实中还是在Web中都不切实际。
10.技术不是万能药。
