子鱼 ' Blog

随着各地ADSL网络的蓬勃发展，实现永久连接、随时在线已不再是遥远的梦，但是，我们必须明白，永久连入Internet同样也意味着遭受入侵的可能性大大增加。知己知彼，方能百战不殆，让我们了解一下黑客入侵ADSL用户的方法和防范手段吧。　

黑客入侵ADSL用户的方法

在很多地方都是包月制的，这样的话，黑客就可以用更长的时间进行端口以及漏洞的扫描，甚至采用在线暴力破解的方法盗取密码，或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。

要完成一次成功的网络攻击，一般有以下几步。第一步就是要收集目标的各种信息，为了对目标进行彻底分析，必须尽可能收集攻击目标的大量有效信息，以便最后分析得到目标的漏洞列表。分析结果包括：操作系统类型，操作系统的版本，打开的服务，打开服务的版本，网络拓扑结构，网络设备，防火墙。　

黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种：　　

1.TCP ISN采样：寻找初始化序列规定长度与特定的OS是否匹配。　　

2.FIN探测：发送一个FIN包（或者是任何没有ACK或SYN标记的包）到目标的一个开放的端口，然后等待回应。许多系统会返回一个RESET（复位标记）。　　

3.利用BOGUS标记：通过发送一个SYN包，它含有没有定义的TCP标记的TCP头，利用系统对标记的不同反应，可以区分一些操作系统。　　

4.利用TCP的初始化窗口：只是简单地检查返回包里包含的窗口长度，根据大小来唯一确认各个操作系统。　

扫描技术虽然很多，原理却很简单。这里简单介绍一下扫描工具Nmap(Network mapper)。这号称是目前最好的扫描工具，功能强大，用途多样，支持多种平台，灵活机动，方便易用，携带性强，留迹极少；不但能扫描出TCP/UDP端口，还能用于扫描/侦测大型网络。　　

注意这里使用了一些真实的域名，这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描，否则后果可要你自己承担哦。　　


nmap -v target.example.com　　


这个命令对target.example.com上所有的保留TCP端口做了一次扫描，-v表示用详细模式。　　


nmap -sS -O target.example.com/24　　


这个命令将开始一次SYN的半开扫描，针对的目标是target.example.com所在的C类子网，它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限，因为用到了半开扫描以及系统侦测。

发动攻击的第二步就是与对方建立连接，查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源，它对于程序间的通讯很重要，在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$，黑客可以与对方建立一个空连接（无需用户名和密码），而利用这个空连接，就可以获得对方的用户列表。　　

第三步，使用合适的工具软件登录。打开命令行窗口，键入命令：net use 222.222.222.222ipc$ “administrator” /user:123456

这里我们假设administrator的密码是123456。如果你不知道管理员密码，还需要找其他密码破解工具帮忙。登录进去之后，所有的东西就都在黑客的控制之下了。　

防范方法

因为ADSL用户一般在线时间比较长，所以安全防护意识一定要加强。每天上网十几个小时，甚至通宵开机的人不在少数吧，而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。　　

步骤一，一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，选择“高级”选项卡。单击“高级”按钮，弹出本地用户和组窗口。在Guest帐号上面点击右键，选择属性，在“常规”页中选中“帐户已停用”。　　


步骤二，停止共享。Windows 2000安装好之后，系统会创建一些隐藏的共享。点击开始→运行→cmd，然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点“停止共享”就行了。　　

步骤三，尽量关闭不必要的服务，如Terminal Services、IIS（如果你没有用自己的机器作Web服务器的话）、RAS（远程访问服务）等。还有一个挺烦人的Messenger服务也要关掉，否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务，看见没用的就关掉。　　

步骤四，禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：　　

(1)修改注册表：　　


HKEY_Local_MachineSystemCurrent-ControlSetControlLSA　　



下，将DWORD值RestrictAnonymous的键值改成1。

(2)修改Windows 2000的本地安全策略：　　

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。　　

步骤五，如果开放了Web服务，还需要对IIS服务进行安全配置：　　

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。　　

(2) 删除原默认安装的Inetpub目录。　　

(3) 删除以下虚拟目录： _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 　　

(4) 删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa即可。　　

(5) 备份IIS配置。可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复IIS的安全配置。

不要以为这样就万事大吉，微软的操作系统我们又不是不知道，bug何其多，所以一定要把微软的补丁打全。　　

最后，建议大家选择一款实用的防火墙。比如Network ICE Corporation公司出品的Black ICE。它的安装和运行十分简单，就算对网络安全不太熟悉也没有关系，使用缺省的配置就能检测绝大多数类型的黑客攻击。对于有经验的用户，还可以选择“Tools”中的“Advanced Firewall Settings”，来针对特定的IP地址或者UDP的特定端口进行接受或拒绝配置，以达到特定的防御效果。

（一）RM、RMVB文件中加入木马的方式

Helix Producer Plus是一款图形化的专业流媒体文件制作工具，这款软件把其他格式的文件转换成RM或RMVB格式，也可以对已存在的RM文件进行重新编辑，在编辑的同时，我们可以把事先准备好的网页木马插入其中。这样只要一打开这个编辑好的媒体文件，插入在其中的网页木马也会随之打开，甚至还能控制网页木马打开的时间，让网页木马更隐蔽。

（二）WMV、WMA文件中加入木马的方式

对于WMA、WMV文件，是利用其默认的播放器Windows Media Player的“Microsoft Windows媒体播放器数字权限管理加载任意网页漏洞”来插入木马。当播放已经插入木马的恶意文件时，播放器首先会弹出一个提示窗口，说明此文件经过DRM加密需要通过URL验证证书，而这个URL就是事先设置好的网页木马地址，当用户点击“是”进行验证时，种马便成功了。和RM文件种马一样，在WMV文件中插入木马我们还需要一样工具――WMDRM打包加密器，这是一款可以对WMA、WMV进行DRM加密的文件，软件本身是为了保护媒体文件的版权，但在攻击者手中，便成了黑客的帮凶。

（三）防御方法

1.看影片之前，用Helix Producer Plus 9的rmevents.exe清空了影片的剪辑信息，这样就不会出现指定时间打开指定窗口的事件了。（适合RM木马）

2.升级所有的IE补丁，毕竟RM木马实际上也是靠IE漏洞执行的。（适合RM木马）

3.用网络防火墙屏蔽RealPlayer对网络的访问权限。（适合RM木马）

4.换其他播放器，如：梦幻鼎点播放器、暴风影音、Mplayer等。（适合两款木马）

5.及时升级杀毒软件的病毒库，升级两个媒体播放软件的补丁。（适合两款木马）

一、ARP协议工作原理

在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。

TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。

二、ARP协议的缺陷
ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。

三、常见ARP欺骗形式
1、假冒ARP reply包（单播）
XXX,I have IP YYY and my MAC is ZZZ!
2、假冒ARP reply包（广播）
Hello everyone! I have IP YYY and my MAC is ZZZ!
向所有人散布虚假的IP/MAC
3、假冒ARP request（广播）
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面为找IP ZZZ的MAC,实际是广播虚假的IP、MAC映射（XXX,YYY）
4、假冒ARP request（单播）
已知IP ZZZ的MAC
Hello IP ZZZ! I have IP XXX and my MAC is YYY.
5、假冒中间人
欺骗主机(MAC为MMM)上启用包转发
向主机AAA发假冒ARP Reply:
AAA,I have IP BBB and my MAC is MMM,
向主机BBB发假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化机制，有时还需要做周期性连续欺骗。

四、ARP欺骗的防范

1、运营商可采用Super VLAN或PVLAN技术
所谓Super VLAN也叫VLAN聚合，这种技术在同一个子网中化出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合(Super VLAN)，所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。Super VLAN的例子参见：
http://publish.it168.com/2004/0316/200403160005101.shtml

PVLAN即私有VLAN(Private VLAN) ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。
PVLAN的例子参见：
http://network.51cto.com/art/200509/3644.htm
PVLAN和SuperVLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。

2、单位局域网可采用IP与MAC绑定
在PC上IP+MAC绑，网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1（现在大多都已经打过了）等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。
如果网络设备上只做IP+MAC绑定，其实也是不安全的，假如同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关，还是会造成网关把流量送到欺骗者所连的那个（物理）端口从而造成网络不通。

对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙，支持arp协议规则自定义。

最后就是使用ARPGuard啦（才拉到正题上），但它只是保护主机和网关间的通讯。

五、ARPGuard的原理

ARPGuard可以保护主机和网关的通讯不受ARP欺骗的影响。
1、第一次运行（或检测到网关IP改变）时获取网关对应的MAC地址，将网卡信息、网关IP、网关MAC等信息保存到配置文件中，其他时候直接使用配置文件。
2、移去原默认路由（当前网卡的）
3、产生一个随机IP，将它添加成默认网关。
4、默认网关IP 和网关的MAC绑定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表项）
5、周期性检测ARP Cache中原默认网关(不是随机IP那个) 网关的MAC在ARP Cache的值是否被改写，若被改写就报警。
6、针对有些攻击程序只给网关设备（如路由器或三层交换机）发欺骗包的情况。由于此时本机ARP Cache中网关MAC并未被改变，因此只有主动防护，即默认每秒发10个ARP reply包来维持网关设备的ARP Cache（可选）
7、程序结束时恢复默认网关和路由。

值得说明的是程序中限定了发包间隔不低于100ms,主要是怕过量的包对网络设备造成负担。如果你遭受的攻击太猛烈，你也可以去掉这个限制，设定一个更小的数值，保证你的通讯正常。

附ARPGuard 源码：http://allyesno.gbaopan.com/files/580c66c8b1fa438285f20a5c2d208b6e.gbp

除了ADSL拨号上网外，小区宽带上网也是很普遍的上网方式。如果你采用的是小区宽带上网，是否觉得路由器仅仅就是个上网工具呢？其实不然，利用好你的路由器，还能够防范黑客的攻击呢。下面就让我们来实战一番。

　　目的：限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。

　　前提：Router接内部网络的接口是Ethernet0/1，每一个命令之后按Enter执行，以Cisco路由为准。

　　步骤1 在开始菜单中选择运行，在弹出的对话框中输入“cmd”并回车，出现窗口后，在提示符下连接路由器，指令格式为“telnet 路由器IP地址”。当屏幕上要求输入telnet password时(多数路由器显示的是“Login”字样)，输入密码并确认无误后，再输入指令enable，屏幕上显示要求输入enable password时输入密码。

　　提示：这两个密码一般由路由器生产厂商或者经销商提供，可以打电话查询。

　　步骤2 输入指令Router# configure termihal即可进入路由器的配置模式，只有在该模式下才能对路由器进行设置。

　　步骤3 进入配置模式后，输入指令Router (config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet，该指令的作用是设定访问列表(access list)，该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口(Port) 23(telnet)的任何请求。

　　步骤4 输入Router (config)#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。

　　步骤5 最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问，这需要输入指令Router(config)#access list 101 deny tcp any host 192.168.0.1 eq 3128来完成。

　　步骤6 到此，已经设置好我们预期的访问列表了，但是，为了让其他的所有IP能够顺利访问，我们还需要输入Router(config)#aceess -list 101 permit ip any any来允许其他访问请求。

　　但是，为了让路由器能够执行我们所做的访问列表，我们还需要把这个列表加入到接口检查程序，具体操作如下。

　　输入指令Router(config)#interface eO/1进入接口(interface) ethernet 0/1，然后键入指令Router(config-if)#ip access-group 101 out 将访问列表实行于此接口上。这样一来，任何要离开接口的TCP封包，均须经过此访问列表规则的检查，即来自任何地方对IP地址为192.168.0.1的主机，端口(port)属于telnet(23)，www(80)，3128的访问一律拒绝通过。最后，输入指令write将设定写入启动配置，就大功告成了。

　　这样一来，你的主机就安全多了，虽然只是禁止了几个常用端口，但是能把不少搞恶作剧的人拒之门外。另外，如果看见有什么端口可能会遭到攻击或者有漏洞了，你也可以通过上面的方法来将漏洞堵住。

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。


“控制面板”的“管理工具”中的“服务”中来配置。


1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下TCP/IP服务：Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。


2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。


3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。


4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。


5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。


6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的其他操作。


7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。


关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。


对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

大家在使用DOS的过程中，经常在命令行方式下遇到一些错误信息提示，由于往往是英文的，导致一些人看到后不知是怎么回事，更不知该如何解决了。下面，我就将常见的DOS命令行方式下的错误信息向大家介绍一下。

[英文] Bad command or file name

[译文] 错误的命令或文件名

错误原因和解决：

这大概是大家最常见到的错误提示了，它的意思是输入的命令无效。当输入的命令既不是DOS内部命令，而且系统在查找路径或指定路径中找不到相应的可执行文件的话，就会出现此错误信息。您可以检查输入的命令是否正确，如是否打错了字母等。

[英文] Access Denied

[译文] 拒绝存取

错误原因和解决：

这也是一个常见的错误，出现的情况很多，如在用DEL命令删除具有只读属性的文件，或者在多任务环境下有多个进程同时存取同一文件，以及试图在设有只读权限的网络文件夹中写入文件的时候。解决的方法也很简单，只需去掉文件的只读、隐含等属性，或保证同一时候只有一个进程在读写文件，及去掉网络文件夹的只读权限即可。

[英文] Drive not ready

[译文] 驱动器未准备好

错误原因和解决：

相信大家都遇到过这个错误信息吧！尤其是在存取可移动磁盘（包括软盘和光盘）的时候更是常见到。解决方法是将磁盘插好后重试即可。

[英文] Write protect error

[译文] 写保护错误

错误原因和解决：

当试图向写了保护的磁盘（通常是软盘）写入信息的时候就会出现该错误。将磁盘的写保护去掉即可。

[英文] General error

[译文] 常规错误

错误原因和解决：

此错误通常出现在DOS无法识别指定的磁盘的格式的情况下，如软盘未格式化。用FORMAT等命令格式化磁盘或转换成DOS能识别的格式即可。

[英文] Abort,Retry,Ignore,Fail?

[译文] 中止，重试，忽略，失败？

错误原因和解决：

此错误信息的出现频率非常高，比如在磁盘未准备好的时候。输入A则取消操作，然后返回DOS提示符下，输入R则表示再试一次，输入I则表示忽略此错误并继续，最好不要使用，输入F则表示跳过此错误，经常选择此项。

[英文] File not found

[译文] 文件未找到

错误原因和解决：

在使用很多命令的时候若找不到指定的文件就会出现该提示。例如使用DIR命令的时候，若指定的文件不存在，该错误信息就会出现。解决方法是将文件名输入正确。

[英文] Incorrect DOS version

[译文] 错误的DOS版本

错误原因和解决：

当要执行的命令发现当前的DOS版本与这个命令所期待的DOS版本不相同的时候就会出现此错误信息。具体情况和解决方法请见本站的“DOS文章”栏目中的文章。

[英文] Invalid directory

[译文] 非法目录

错误原因和解决：

如果输入了不存在或无效的目录的时候就会出现该提示。可检查是否输入有误。

[英文] Invalid Drive Specification

[译文] 指定的驱动器非法

错误原因和解决：

当输入的驱动器不存在的时候就会出现该提示。请检查是否存在该驱动器。有些驱动器（如NTFS卷，光驱，网络驱动器等）则需要加载相应的驱动程序才能被识别。

[英文] Syntax error

[译文] 语法错误

错误原因和解决：

此命令在使用一些批处理命令（如IF，FOR等）时比较常见，可检查是否输入了无效的语法。以FOR命令为例，它的语法是FOR %F IN (文件名) DO 命令，不能将此语法格式弄错了（如输反了或漏了等），必须输入正确的命令才能得到相就的结果。

[英文] Required parameter missing

[译文] 缺少必要的参数

错误原因和解决：

如果在执行命令（如DEL）漏掉了它要正常完成功能所需的参数时，就会出现该提示。

[英文] Invalid parameter

[译文] 非法参数

错误原因和解决：

出现在执行命令时输入了无效的参数。可以检查输入的参数是否正确，有没有拼写错误等。如果您不知道有哪些参数的话，通常可以使用此命令的/?选项来看参数列表。


[英文] Not enough memory 或 Insufficient memory

[译文] 内存不足

错误原因和解决：

如果在执行程序时程序发现所需的内存大于可以使用的内存（通常是指常规内存）时就会出现此信息。造成内存不足的情况如执行了过多过大的内存驻留程序，或系统内存未经过很好的配置等。大家可以看本栏目中的“DOS下内存的配置”。

[英文] Divide overflow 或 Divide by zero

[译文] 除数为零

错误原因和解决：

如果在系统不稳定，与其它程序有冲突，或程序本身有问题的情况下运行程序的话就会出现此错误。可以重新启动系统后再运行此程序试试。

[英文] Runtime error xxx

[译文] 运行时间错误xxx

错误原因和解决：

和以上的“除数为零”错误类似。如果xxx的值为200的话，可以见“DOS文章”栏目。

[英文] Error in EXE file

[译文] EXE文件有错误

错误原因和解决：

通常是这个可执行文件已经损坏，已不能够再使用。使用一个好的就可以了。

以上是常见的DOS命令行方式下的错误信息，大家可以利用上文将故障排除。

自带的关于网络的命令行工具很多，比如大家熟悉的Ping、Tracert、Ipconfig、Telnet、Ftp、Tftp、Netstat，还有不太熟悉的Nbtstat、Pathping、Nslookup、Finger、Route、Netsh等等。

这些命令又可分成三类：网络检测（如Ping）、网络连接（如Telnet）和网络配置（如Netsh）。前面两种相对简单，本文只介绍两个网络配置工具。

Netsh

在远程Shell中使用Netsh首先要解决一个交互方式的问题。前面说过，很多Shell不能再次重定向输出输出，所以不能在这种环境下交互地使用Ftp等命令行工具。解决的办法是，一般交互式的工具都允许使用脚本（或者叫应答文件）。比如ftp -s:filename。Netsh也是这样：netsh -f filename。

Netsh命令的功能非常多，可以配置IAS、DHCP、RAS、WINS、NAT服务器，TCP/IP协议，IPX协议，路由等。我们不是管理员，一般没必要了解这么多，只需用netsh来了解目标主机的网络配置信息。

1、TCP/IP配置


echo interface ip >s
echo show config >>s
netsh -f s
del s


由此你可以了解该主机有多个网卡和IP，是否是动态分配IP(DHCP)，内网IP是多少（如果有的话）。

这个命令和ipconfig /all差不多。

注意，以下命令需要目标主机启动remoteaccess服务。如果它被禁用，请先通过导入注册表解禁，然后


net start remoteaccess

<strong>2、ARP</strong>

echo interface ip >s
echo show ipnet >>s
netsh -f s
del s


这个比arp -a命令多一点信息。


3、TCP/UDP连接


echo interface ip >s
echo show tcpconn >>s
echo show udpconn >>s
netsh -f s
del s


这组命令和netstat -an一样。

4、网卡信息

如果Netsh命令都有其他命令可代替，那它还有什么存在的必要呢？下面这个就找不到代替的了。


echo interface ip >s
echo show interface >>s
netsh -f s
del s


Netsh的其他功能，比如修改IP，一般没有必要使用（万一改了IP后连不上，就“叫天不应叫地不灵”了），所以全部略过。

IPSec

首先需要指出的是，IPSec和TCP/IP筛选是不同的东西，大家不要混淆了。TCP/IP筛选的功能十分有限，远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。

XP系统用ipseccmd，2000下用ipsecpol。遗憾的是，它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中，ipsecpol在2000 Resource Kit里。而且，要使用ipsecpol还必须带上另外两个文件：ipsecutil.dll和text2pol.dll。三个文件一共119KB。

IPSec可以通过组策略来控制，但我找遍MSDN，也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以，组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local)，理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放，读取和修改都很困难。相比之下，上传命令行工具更方便。

关于Ipsecpol和Ipseccmd的资料，网上可以找到很多，因此本文就不细说了，只是列举一些实用的例子。

在设置IPSec策略方面，ipseccmd命令的语法和ipsecpol几乎完全一样，所以只以ipsecpol为例：

1、防御Rpc-dcom攻击


ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp
*+0:445:tcp *+0:445:udp -n BLOCK -w reg -x


这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。

具体含义如下：


-p myfirewall 指定策略名为myfirewall
-r rpc-dcom 指定规则名为rpc-dcom
-f ...... 建立7个筛选器。*表示任何地址(源)；0表示本机地址(目标)；+表示镜像(双向)筛选。
详细语法见ipsecpol -?
-n BLOCK 指定筛选操作是"阻塞"。注意，BLOCK必须是大写。
-w reg 将配置写入注册表，重启后仍有效。
-x 立刻激活该策略。



2、防止被Ping


ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x


如果名为myfirewall的策略已存在，则antiping规则将添加至其中。

注意，该规则同时也阻止了该主机ping别人。

3、对后门进行IP限制

假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出，应该限制对其服务端口6129的访问。


ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x


这样就只有123.45.67.89可以访问该主机的6129端口了。

如果你是动态IP，应该根据IP分配的范围设置规则。比如：


ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x


这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。

在写规则的时候，应该特别小心，不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样，可以先用计划任务"留下后路"。例如：


c:\>net start schedule
Task Scheduler 服务正在启动 ..
Task Scheduler 服务已经启动成功。

c:\>time /t
12:34

c:\>at 12:39 ipsecpol -p myfw -y -w reg


新加了一项作业，其作业 ID = 1。

然后，你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。

如果测试结果不理想，就删除该策略。


c:\>ipsecpol -p myfw -o -w reg


注意，删除策略前必须先确保它已停止。不停止它的话，即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间，默认是180分钟。

如果测试通过，那么就启用它。


c:\>ipsecpol -p myfw -x -w reg


最后说一下查看IPSec策略的办法。

对于XP很简单，一条命令搞定--ipseccmd show filters

而ipsecpol没有查询的功能。需要再用一个命令行工具netdiag。它位于2000系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。（已经上传了三个文件，也就不在乎多一个了。）

Netdiag需要RemoteRegistry服务的支持。所以先启动该服务：

Net start remoteregistry

不启动RemoteRegistry就会得到一个错误：


[FATAL] Failed to get system information of this machine.


netdiag这个工具功能十分强大，与网络有关的信息都可以获取！不过，输出的信息有时过于详细，超过命令行控制台cmd.exe的输出缓存，而不是每个远程cmd shell都可以用more命令来分页的。

查看Ipsec策略的命令是：


netdiag /debug /test:ipsec


然后是一长串输出信息。IPSec策略位于最后。

软件安装

一个软件/工具的安装过程，一般来说只是做两件事：拷贝文件到特定目录和修改注册表。只要搞清楚具体的内容，那么就可以自己在命令行下实现了。（不考虑安装后需要注册激活等情况）

WinPcap是个很常用的工具，但必须在窗口界面下安装。在网上也可以找到不用GUI的版本（但还是有版权页），其实我们完全可以自己做一个。

以WinPcap 3.0a 为例。通过比较安装前后的文件系统和注册表快照，很容易了解整个安装过程。

除去反安装的部分，关键的文件有三个：wpcap.dll，packet.dll和npf.sys。前面两个文件位于system32目录下，第三个在system32\drivers下。而注册表的变化是增加了一个系统服务NPF。注意，是系统服务（即驱动）不是Win32服务。

作为系统服务，不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是，并不需要手动添加它，winpcap被调用时会自动搞定。甚至完全不用手动修改注册表，所有的事winpcap都会自己完成，只需要将三个文件复制到合适的位置就行了。


作为范例，还是演示一下如何修改注册表：利用前面说过的inf文件来实现。


[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys


将上面这些内容保存为_wpcap_.inf文件。

再写一个批处理_wpcap_.bat：


rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
:END
del %0


然后用Winrar将所有文件（5个）打包为自解压的exe，并将『高级自解压选项』->『解压后运行』设置为_wpcap_.bat，命令行的winpcap安装包就制作完成了。

注意，批处理最后一行没有回车符。否则会因为正在运行而无法删除自己。

所有的软件安装，基本上可以套用这个思路。但也有例外的，那就是系统补丁的安装。

由于系统补丁有可能要替换正在被执行或访问的文件，所以用copy命令是不行的。

幸好，Windows补丁包支持命令行安装。

比如：


KB824146.exe -n -z -q

-n 不保留备份
-z 不重起
-q 安静模式


如果有一堆补丁要打，那么用RAR打包成自解压文件，外加一个批处理。


for %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0


Windows脚本

很多事用脚本来做是很简洁的。下面给出几个常用脚本的echo版。

1、显示系统版本


@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs


2、列举进程


@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs


3、终止进程


@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs


要终止PID为123的进程，使用如下语法：


cscript pk.vbs 123


如果显示一个0，表示终止成功。

然后：


del pk.vbs


4、重启系统


@echo for each os in getobject _ >rb.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs


5、列举自启动的服务


@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs


6、列举正在运行的服务

@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs



7、显示系统最后一次启动的时间


@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs

VoIP存在很多安全隐患，面临很多安全威胁，但是这不是说VoIP的安全性就不可救药，实际上随着安全事件的屡次发生，众多VoIP厂商也在不断的实践中积累着经验，通过一些措施来更大限度的保障VoIP的安全。

　　但提高VoIP的安全性要双管齐下，除了VoIP厂商要摒弃VoIP安全是一个附加产品的观念，将安全技术一并根植于VoIP产品本身外；对于VoIP使用者而言，要充分意识到, VoIP设备的安全直接影响着整个企业基础网络的安全，作为管理者不要认为采用VoIP产品仅仅是添加了一部网络电话，如果不做好完备的防护措施，它很有可能将成为黑客轻松进入企业内网的一扇门，因此企业应选用来自IT或数据部门的专业人士来管理IP通讯系统，而并非原有的语音部门，这些人必须比管理传统PBX的专业人员更谨慎小心。

　　可以看出VoIP面临的安全问题实际上大部分是IP网络所面临的问题。因此常规的安全措施是首先要保证的，另外VoIP应用的特殊性使其需要特殊的措施来加强安全性，下面笔者推荐几种防范小措施。这几个措施可能并没有使用什么高深的技术，但采取这几种措施之后可能会帮助你的网络堵住VoIP大漏洞。

　　VoIP统一到一个VLAN中 便于设置QoS策略

　　笔者见到很多用户部署VoIP时，往往采用VoIP和一般性数据混合在一个网络之中。这种部署方式的最大软肋在于，因VoIP对带宽以及QoS的需求与一般数据并不相同，将直接导致交换、路由器以及网络上诸多安全设备的传输效能大大降低。

　　将VoIP数据与一般性数据进行甄别之后，分开传输无疑是最恰当的方法。而这一方法也是思科等VoIP设备供应商们的推荐方法之一。

　　具体方法是，将语音和数据划分到不同的虚拟局域网（VLAN）中分开，让语音和数据在不同的虚拟局域网上传输；将VoIP统一到同一个VLAN中，在同一VLAN中传输的数据对服务质量（QoS）要求相同，可以简化服务质量（QoS）设置。QoS设置简化后，用户只需为VoIP虚拟局域网赋予优先级即可。有一点需要注意，当VoIP如果要通过路由器进行传输，仍需要第三层服务质量。

　　这种方法带来直接的好处是，两者分开还可以将语音网络从数据VLAN中隐藏起来，可以有效地解决数据欺骗、DoS攻击等，因此没有了可能会发起攻击的计算机，你的VoIP网络就会安全很多。

加固你的VoIP服务器防范窃听

　　实际上，将VoIP信号统一到同一个VLAN中，除了上述优点之外，还可以大大降低窃听电话现象的发生。如果语音包被人用分析仪获取，重放语音就轻而易举。虚拟局域网可以阻止有人从外面发动攻击。

　　俗话说"家贼难防"，上述方法只能防范外部网络电话的窃听行为，对内部攻击却难以预防。因为内部人员只要将任意一个终端设备接入网络之中，进行适当配置，披上伪装成为VoIP虚拟局域网的一部分，就可以任意窃听。要防止这种破坏，最好的办法就是购买具有强加密功能的VoIP电话，而这种方法要奏效，每只电话都要有加密功能。这种防范方法造价高，其保密效果到底能提升到何种程度，都很难说。

　　另外一种更为直接有效的方法是"釜底抽薪"。也就是将VoIP服务器从物理上杜绝内部和外部攻击者，以避免别有用心者利用侦听技术来截取VoIP信息。具体方法是，锁定能够访问VoIP管理界面的IP地址和MAC地址，同时在SIP网关前放置防火墙，以达到只允许合法用户才可以进入相关VoIP系统。

　　譬如说，Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布，如今其产品已通过了认证，能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP，那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。

　　有些用户不仅使用防火墙，还对相关的VoIP数据包进行加密。然而你可知道，仅仅加密发送出去的数据是不够的，还必须加密所有呼叫信号。加密语音数据包可以防止语音插入。例如可以通过实时安全协议（SRTP）来加密节点之间的通信，通过TLS来加密整个过程。

　　监视跟踪、网络冗余等手段抵御DoS攻击

　　窃取VoIP帐号是黑客借助VoIP网络伪装成合法客户，进入企业网络最常用的方法之一。为了窃取帐号，黑客可以说是不择手段，甚至是采用暴力破解方法来攻击某一个帐号的密码，试图破解控制它。这势必会引起网络流量骤增，引发DoS攻击几率大大增加。

　　通过部署合适的监视工具和入侵检测系统，可以帮助你发现试图攻入你的VoIP网络的各种尝试。通过仔细观察这些工具所记录下来的日志，有助于你及时发现各种数据流量的异常状况，从而可以发现是否有人试图使用暴力破解帐号进入网络。

　　不得不承认，无论你的防范多么严密，总会有攻击的发生，因此请做好准备应对DoS攻击或病毒导致网络瘫痪，其中一个办法就是增加冗余设计，一旦现在运行着的系统遭受攻击或出现意外，可以自动切换到另一套设备上，这样可以最大限度地减少损失，为你发现并解决问题提供充裕的时间。

　　VoIP网络的安全性很大程度上取决于网络内设备的操作系统和运行在其上的各种应用。及时维护操作系统和VoIP应用系统的补丁，对于防范来自恶意软件或病毒的威胁是非常重要的。事实上，很多攻击都是利用了系统的漏洞。这一点与IP网络的安全防御是一致的。

　　制定一个计划，把自己的角色转换成一个黑客的身份，那么尝试用各种办法来攻击你的VoIP系统吧，尽管找不到攻击入口并不代表你的VoIP系统就是安全的，但是如果能找到入口，那么别人也可以，赶快采取办法来堵住这个漏洞。

　　加固VoIP网络的办法绝不仅如此，本文只捡一些必要的几点进行介绍。然而这并不是最重要的，比这更重要的是，我们要正确面对VoIP存在的安全问题，既要承认它的存在，又要相信通过合理、良好的设计和良好的安全习惯，我们可以把其安全风险控制在可以接受的范围之内。

这些东西恶心程度..我不想再说了..如题写分析..

运行 logo1_.exe
释放文件
C:\WINDOWS\logo1_.exe (与威金病毒文件存放路径和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
-----------------------------------------------------
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"-
-----------------------------------------------------
logo1_.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X为某个盘..
而后感染 X 盘内的所有 .exe 文件..
感染后同样释放一个同名文件 后辍为 .exe.tmp
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
新添加的..
X 盘内的每个文件夹内释放一个 _desktop.ini
是学威金 还是 本来就出自 威金作者手里呢?
同时连入网络下载木马..这次文件名换了..
分别为
C:\WINDOWS\1.exe(Dro&#112;per.LMir.agi)
C:\WINDOWS\2.exe(瑞星不报)
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..头部写入:19613字节尾部:5字节
汇编还看到些东西..
尝试结束进程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
up&#100;aterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊猫一道? 熊猫干威金 威金干熊猫精彩)
作者留下的字..还是不变..
地址=004081B7
反汇编=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油！！！！！！
--------------------------------------------------------------
简单说说变化..
⒈ 感染的速度比上次那个快多了..上次是一个盘一个盘来..这次是除系统盘..其他盘一次性感染..
⒉ go.exe 和 autorun.inf 飞走咯..
⒊ _desktop.ini 都跟威金 学吧..
⒋ 结束安全软件进程和熊猫进程..

在浩浩互联网中，安全问题越来越重要，如何维护博客用户的利益，保障网站的信息安全?

　　日前，有消息称，病毒可在博客日志系统中随意嵌入恶意代码，这些恶意代码可以传播有害程序，从而让博客网站称为病毒的源头。在浩浩互联网中，安全问题越来越重要，如何维护博客用户的利益，保障网站的信息安全?

　　日前笔者就此采访了有关博客网站的技术负责人。

　　他们一致认为网站安全是博客网站的头等大事。为此各家博客网站都做了一定的预防病毒措施。技术专家介绍国内外的博客网站在安全问题上已经进行了多年的探索，并已经形成一套有效的安全机制。

　　我们可以从以下方面略作分析：

　　1，JavaScript代码由系统管理

　　博客网站向来倡导自由化，个性化，为了使用户的页面更加生动有趣，博客网站允许用户自行定制JavaScript特效，但为了防止用户嵌入危险的JavaScript代码，博客网站为用户提供的JavaScript代码是由博客网站自己提供，用户自身不得编写JavaScript代码，而且提供的JavaScript代码通过了安全专家的精心挑选，这样便从根本上杜绝了恶意代码的滋生。

　　2，全方位监控回复内容

　　博客网站采用先进的智能识别技术，其中之一便是能够对来自同一IP的评论内容进行拦截，还可以通过先进的算法发现两篇评论的相似性，这样便阻止了大量垃圾评论信息的产生，其次还通过智能学习功能，一旦发现评论中的恶意链接，就将其记录到数据库，防止其在此的出现。而且博客网站还允许用户自行管理评论内容，这样双管齐下，有效治理了回复中的安全隐患。

　　3，安全的附件监控

　　信息时代到来，人们已经不能仅仅满足于文字的阅读，而是更希望看到声色并茂的有趣内容，博客网站为了满足用户追求，允许用户在自己的页面中加入Flash等有趣的多媒体内容，但博客网站一贯重视用户的信息安全，通过大量工作，提出了一揽子解决方案，这些方案的实施既确保了用户内容的声色并茂，同时也保证了安全，这些方案中比如限制用户上载文件的类型，通过分析程序对危险的flash进行过滤都是很有效的方法。

　　技术专家介绍说，博客网站在努力提高自身技术的同时，也在努力工作在世界科技的最尖端，通过研究搜索引擎恶意链接分析技术(Search Engine SPAM)，目前已经自行研发了一套有效的解决方案，消除了LinkSPAM ,保证了博客网站整体的清新。这样就可以让户在发表自己的文章时悠然自得，倍感惬意!

　　博客中国的技术专家透露，博客网正在努力的寻求与世界知名信息安全公司的合作，开发了一套类似Email filter的保护系统，称为blog filter ，这套系统的背后便是整套的安全解决体系，全方位的保护用户的安全。