教你如何应对杀除病毒时提示清除失败
[ 2007-03-25 02:45:03 | 作者: sun ]
很多网友在保卫自己的爱机时,不管使用了哪些杀毒软件,几乎都会碰到储如此类的问题,如:
★清除病毒失败怎么办?
★杀毒出现清除失败怎么办?
★清除失败或未解决病毒怎么办?
★发现病毒时提示“删除失败”,怎么办?
★发现病毒时提示“清除失败”,怎么办?
★系统中了病毒、木马、蠕虫,清除、隔离、删除失败怎么办?
产生这些问题的主要原因在于:
1、病毒正在使用中;
2、病毒防止杀毒软件清除而做的自我保护;
3、病毒中有守护进程在保护病毒。
简单解释下这其中的原因:
1、这是较早期的杀毒软件无法清除病毒时的提示,比如一个文件,如果你正在打开使用它时,你是没有办法删除这个文件的, 因为文件正在使用中,受到系统正常的保护;同样病毒进程如果没有终止掉,直接删除病毒文件的话,同样会提示该信息。
2、 原因2与原因3可以归类来说,简单地讲,就相当于病毒躲在巨人的身后,你想要抓住这个“病毒”,首先要打败这个“巨人”,否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地,病毒为了防止自己不被杀毒软件查杀、剿灭,而使用了如:权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒,相互负责监控对方,如发现自己的保护对象不存在了,重新生成新的病毒体。
解决办法:
1、 重新启动电脑进入操作系统的安全模式, 使用杀毒软件清除或手工删除病毒体。
2、 使用终截者抗病毒中的“安全回归”功能,在电脑重新启动的同时迅速将病毒隔离,之后,你可以通过杀毒软件清除或手工删除。
小插曲:什么是安全回归?
安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀,在每次电脑开机启动后又重新发作的问题,安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态,并告知用户已经拦截了哪些危险程序,整个过程的感觉就像是上天给予了一次安全重来的机会。
安全回归基本原理
安全回归在计算机开机启动过程中,识别和判断所有将要运行的程序,包括病毒、木马等恶意程序,只允许运行合法的系统程序和用户在安全回归许的程序,其它的一律禁止。这样可以保证:
1、电脑启动完成后,没有任何病毒及流氓软件正在运行,同时也抑制了所有病毒程序对电脑破坏;
2、不用担心病毒程序先于安全回归运行,它有一夫当关,万夫莫开之功效;
3、使用安全回归不会删除用户任何数据,请用户放心使用。
安全回归可以解决什么问题?
1、解决顽固木马、病毒无法清除,或反复清除失败的问题;
2、拒绝流氓软件困扰、减少弹出窗口的干扰;
3、禁止了与安全无关的进程、服务及插件的运行,加快了系统运行速度。
★清除病毒失败怎么办?
★杀毒出现清除失败怎么办?
★清除失败或未解决病毒怎么办?
★发现病毒时提示“删除失败”,怎么办?
★发现病毒时提示“清除失败”,怎么办?
★系统中了病毒、木马、蠕虫,清除、隔离、删除失败怎么办?
产生这些问题的主要原因在于:
1、病毒正在使用中;
2、病毒防止杀毒软件清除而做的自我保护;
3、病毒中有守护进程在保护病毒。
简单解释下这其中的原因:
1、这是较早期的杀毒软件无法清除病毒时的提示,比如一个文件,如果你正在打开使用它时,你是没有办法删除这个文件的, 因为文件正在使用中,受到系统正常的保护;同样病毒进程如果没有终止掉,直接删除病毒文件的话,同样会提示该信息。
2、 原因2与原因3可以归类来说,简单地讲,就相当于病毒躲在巨人的身后,你想要抓住这个“病毒”,首先要打败这个“巨人”,否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地,病毒为了防止自己不被杀毒软件查杀、剿灭,而使用了如:权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒,相互负责监控对方,如发现自己的保护对象不存在了,重新生成新的病毒体。
解决办法:
1、 重新启动电脑进入操作系统的安全模式, 使用杀毒软件清除或手工删除病毒体。
2、 使用终截者抗病毒中的“安全回归”功能,在电脑重新启动的同时迅速将病毒隔离,之后,你可以通过杀毒软件清除或手工删除。
小插曲:什么是安全回归?
安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀,在每次电脑开机启动后又重新发作的问题,安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态,并告知用户已经拦截了哪些危险程序,整个过程的感觉就像是上天给予了一次安全重来的机会。
安全回归基本原理
安全回归在计算机开机启动过程中,识别和判断所有将要运行的程序,包括病毒、木马等恶意程序,只允许运行合法的系统程序和用户在安全回归许的程序,其它的一律禁止。这样可以保证:
1、电脑启动完成后,没有任何病毒及流氓软件正在运行,同时也抑制了所有病毒程序对电脑破坏;
2、不用担心病毒程序先于安全回归运行,它有一夫当关,万夫莫开之功效;
3、使用安全回归不会删除用户任何数据,请用户放心使用。
安全回归可以解决什么问题?
1、解决顽固木马、病毒无法清除,或反复清除失败的问题;
2、拒绝流氓软件困扰、减少弹出窗口的干扰;
3、禁止了与安全无关的进程、服务及插件的运行,加快了系统运行速度。
教你识辨几个容易被误认为病毒的文件
[ 2007-03-25 02:44:36 | 作者: sun ]
随着计算机的普及和信息技术的发展,“计算机病毒”一词对每一个人来说都已经不再陌生了,现如今计算机病毒可谓层出不穷,甚至让广大计算机用户几乎到了“谈毒色变”的程度。江民公司技术工程师发现有许多用户对操作系统下的文件不是很了解了解,以至于产生种种的怀疑。以下是用户经常怀疑是病毒的文件:
一、Thumb.db文件
Thumb.db文件被用户误认为是病毒的原因应该有三点:
1、该文件在一些操作系统中的带有图片的文件夹中都存在;
2、即使删除此文件,下次打开该文件夹时仍会生成;
3、该文件可能会不断增大。
其实,Thumb.db文件在Windows Me或更新的Windows版本中都会有,这是Windows对图片的缓存(也可以说是缓冲文件),它可以方便用户对图片进行预览,图片越多,这个文件可能就越大,这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”,就不会产生这种文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”
Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中,而且删除后可能还会重新生成。
Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限,当超出这个容量的时候,就会产生这个文件。当前程序运行在哪个目录,这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug,Win2000和me中自带的智能 ABC5.0已经修正了这个错误。
如果想让计算机中不再出现这个文件,有两种办法:
1、可以把4.0的智能ABC升级至高版本。
2、可以把Windowssystem目录下的*.rem文件删除,然后重启计算机。
三、Word的临时文件
用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件,它的图标与Word文档的图标相同,但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑,认为是病毒造成的。
其实这是一个正常的现象,这个文件是Word生成的,可以理解为是一个缓冲文件,它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失,用户不必担心。
四、jdbgmgr.exe文件
与以上几种文件不一样,该文件即不是出错时生成的文件也不是临时文件,是一个正常的系统文件。用户本来是注意不到它的,因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件,对收到邮件的用户发出警告,声称 “jdbgmgr.exe”文件是一种病毒,可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发,希望能帮助其他受害者清除这个病毒。
实际上,“jdbgmgr.exe”文件是Java调试管理器,是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后,可能会导致一些Javaapplets和JavaScript停止工作。
一、Thumb.db文件
Thumb.db文件被用户误认为是病毒的原因应该有三点:
1、该文件在一些操作系统中的带有图片的文件夹中都存在;
2、即使删除此文件,下次打开该文件夹时仍会生成;
3、该文件可能会不断增大。
其实,Thumb.db文件在Windows Me或更新的Windows版本中都会有,这是Windows对图片的缓存(也可以说是缓冲文件),它可以方便用户对图片进行预览,图片越多,这个文件可能就越大,这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”,就不会产生这种文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”
Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中,而且删除后可能还会重新生成。
Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限,当超出这个容量的时候,就会产生这个文件。当前程序运行在哪个目录,这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug,Win2000和me中自带的智能 ABC5.0已经修正了这个错误。
如果想让计算机中不再出现这个文件,有两种办法:
1、可以把4.0的智能ABC升级至高版本。
2、可以把Windowssystem目录下的*.rem文件删除,然后重启计算机。
三、Word的临时文件
用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件,它的图标与Word文档的图标相同,但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑,认为是病毒造成的。
其实这是一个正常的现象,这个文件是Word生成的,可以理解为是一个缓冲文件,它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失,用户不必担心。
四、jdbgmgr.exe文件
与以上几种文件不一样,该文件即不是出错时生成的文件也不是临时文件,是一个正常的系统文件。用户本来是注意不到它的,因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件,对收到邮件的用户发出警告,声称 “jdbgmgr.exe”文件是一种病毒,可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发,希望能帮助其他受害者清除这个病毒。
实际上,“jdbgmgr.exe”文件是Java调试管理器,是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后,可能会导致一些Javaapplets和JavaScript停止工作。
Viking变种清除史上最完美攻略
[ 2007-03-25 02:44:20 | 作者: sun ]
经过了两天的日夜奋战,今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助,但没有正确答案。所以在这里我把总结出的经验分享一下。
以下是我前两天的遭遇:
一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径,有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件,我心里又想,这些小毛毒又来了,(我的系统装于04年,一直使用至今,中过无数次病毒,都被我统统搞定了,心想这次又来一个杀一个,来两个杀一双吧)。我用的双系统,重启进win98的dos手动删除以上路径的文件,再进winxp,删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目,还伪装得很好的。描述还和正常服务一个模样,什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系,就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删!
重启,观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了,有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊)急忙用刚才的方法反复查杀多次,但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied(拒绝访问)时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统,我想,PE内核都不一样,我看你还咱办。于是在PE里边删除病毒文件,果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件,结果,又中标了。。。我开始总结:应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录,发现被感染的exe文件下有exe.exe扩展名的文件,比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失(不是网上说的那种在同目录下生成_desktop.ini文件,那是老版维金。我这个也有_desktop.ini,不过在c:\下,而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件,再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了,病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序,一启动包又中标,于是我安卡巴。安了6。0307,升级最新,安全模式下扫,正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了,中英文都安过了,,扫不出。。。。。。。。。怒火!!!!(网上明明说卡巴扫得到的,我想都是针对旧版维金吧)于是再来卖咖啡(mcafee),在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒!!!!再于是找到金山、瑞星的专杀工具来,也是一个扫不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ,证明感染的是都是vking!!。。。江民的专杀工具能杀,不过还好我点停止点得快。。。因为我看了一下,它的所谓杀大多数都是删除!!!删除了我好几个exe文件呢。就算保留,保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快!!
这下完了。绝望。这么多exe文件,打死我也不愿意格盘删'除。
在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定:
我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了
就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存,再结束相应进程
说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll (有些维金版本不是这个dll名字,变种有不同。路径也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,设只读
找出所有exe文件,网上说过只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中标了,再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪,就这样。它们为爱歌唱。。。狼爱上。。。。啪!!完了跑题挨臭鸡蛋了。
*.*
不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。
。。。。。。。。大功告成。。。至此。全部viking一个不留
已经很久没有这样fighting过了
经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案:
viking"维金"病毒 变种
应该算一个木马。互联网高度发展的产物
首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件,我的是richdll.dll,还有网上说的dll.dll vtd.dll什么五花八门的,反正就是dll文件,并加载入系统进程。删除不掉.
这些文件相互关联,结束进程并删除后马上又会出现。
自动禁用杀毒防火墙,并且感染防火墙文件
然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.
释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注册表exe文件,网站链接,scr文件,未知(打开方式)文件,等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型,从而让每个exe文件运行时同时调用病毒,这招太狠了;更改文件查找检索方式关联为finder.com ;把原本用rundll32.exe文件调用的程序,如网上邻居属性,通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值,这些只是较明显的。
检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。
最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据,文件图标丢失,目的在于被清除病毒后通过exe文件复活,当调用该句柄时自我释放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒,QQ盗号木马,热门网络游戏木马。至此,taskmgr任务管理器一团糟。。
因为木马众多会影响清除效率及难度,内存占用超大,危险系数也大。这点不得不佩服。。
如果你的系统有以上状况,那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染,它在内存里只是添麻烦而已
重新安装杀毒软件,比较可以的有卡巴斯基、mcafee、江民,推荐用卡巴,安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了
冷启动或关机,拨电源也可,待光电鼠标灯不亮了再开机(呵呵太夸张了)
进入带网络连接的安全模式,(如果不能上网就还是进正常模式),用文件夹选项里面打开显示所有文件;取消隐藏系统文件复选框,选中显示已知文件扩展名;下载viking专杀工具,这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表,如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式,只运行系统盘扫描。扫到的病毒名及路径用笔记下来。
冷启动。。光盘或U盘启动dos,查找刚才记下来那些文件,有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦,最主要要找到并删除上文说到的那些文件,这里很关键,一定要仔细找。
进入安全模式,运行regedit.exe (记住一定要输入.exe,因为如果没删干净,exe文件会被再度被作为winfile文件类型中的病毒命令行打开。)
按ctrl+f查找以上述文件的文件名的键值删除。
进入正常模式,这时可能因为杀毒引起不能上网了,用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留(切记不要启动宽带拨号程序,因为Enternet500这类拨号程序己被感染,如果是xp下的默认拨号,也最好不要去动)
接下来进程应该干净了,就要处理被感染的exe文件了,如果你不想要这些文件可以选择直接用专查工具把它们杀烂,或查找直接删除,还省了下边的步骤。因为以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文档.txt,建三个,分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫,防止染毒exe文件释放出同名病毒文件。
也可使用gpedit.msc,组策略中用户配置\管理模板\系统\不要运行windows程序中,启用并添加logon_1.exe
rundl132.exe
也可使用mcafee杀毒软件中的文件规则,禁止在硬盘中新建*.exe *.com 文件
后两种限制方法我没试过,但理论上说是成立的
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果,降序排列。旁边打开个任务管理器窗口,记下任务条目及数量。如进程数:22
双击空白图标exe文件,注意任务管理器变化。例:如果双击game.exe则, 已染毒现象:任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe,如果是基于16位兼容模式的程序,会出现一个ntvdm的进程,不影响,可结束。稍后你可能会发现net 和 net1 进程一闪而过,持续不到1秒,而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标,或能正常运行,证明该文件不再带毒。第二种情况:game.exe一会自动消失
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区,一个一个文件的测试。修复。当然,你要是烦了,可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓
辛苦工作完成后,也不必要重启,打开江民专杀来清理漏网之鱼吧。
查毒软推荐使用Mcafee(卖咖啡),查毒功能较强,且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立,写入,修改,甚至读取!!,这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件!强吧??
缺点就是占用内存资源太高,优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。
写了这么多,我尽量想到的都想到了。我曾如此辛苦,故不希望大家都绕弯路。但愿对大家有所帮助。
最后发表我的一点看法,杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒,清一色杀毒扫描的做法。其实,很多时候甚至是心理安慰,障眼法。。我是从dos时代一路走来的,中过多种病毒。看到老师们用pctools及debug手动杀过不少毒,总结出:手动才是王道!!手动万岁。。
在E时代,我们要发扬取长补短的做法,把杀软的效率化,全面化,结合人工的仔细,灵活。这样才能尽心尽力像对待生活那样对待电脑
以下是我前两天的遭遇:
一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径,有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件,我心里又想,这些小毛毒又来了,(我的系统装于04年,一直使用至今,中过无数次病毒,都被我统统搞定了,心想这次又来一个杀一个,来两个杀一双吧)。我用的双系统,重启进win98的dos手动删除以上路径的文件,再进winxp,删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目,还伪装得很好的。描述还和正常服务一个模样,什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系,就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删!
重启,观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了,有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊)急忙用刚才的方法反复查杀多次,但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied(拒绝访问)时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统,我想,PE内核都不一样,我看你还咱办。于是在PE里边删除病毒文件,果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件,结果,又中标了。。。我开始总结:应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录,发现被感染的exe文件下有exe.exe扩展名的文件,比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失(不是网上说的那种在同目录下生成_desktop.ini文件,那是老版维金。我这个也有_desktop.ini,不过在c:\下,而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件,再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了,病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序,一启动包又中标,于是我安卡巴。安了6。0307,升级最新,安全模式下扫,正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了,中英文都安过了,,扫不出。。。。。。。。。怒火!!!!(网上明明说卡巴扫得到的,我想都是针对旧版维金吧)于是再来卖咖啡(mcafee),在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒!!!!再于是找到金山、瑞星的专杀工具来,也是一个扫不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ,证明感染的是都是vking!!。。。江民的专杀工具能杀,不过还好我点停止点得快。。。因为我看了一下,它的所谓杀大多数都是删除!!!删除了我好几个exe文件呢。就算保留,保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快!!
这下完了。绝望。这么多exe文件,打死我也不愿意格盘删'除。
在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定:
我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了
就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存,再结束相应进程
说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll (有些维金版本不是这个dll名字,变种有不同。路径也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,设只读
找出所有exe文件,网上说过只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中标了,再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪,就这样。它们为爱歌唱。。。狼爱上。。。。啪!!完了跑题挨臭鸡蛋了。
*.*
不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。
。。。。。。。。大功告成。。。至此。全部viking一个不留
已经很久没有这样fighting过了
经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案:
viking"维金"病毒 变种
应该算一个木马。互联网高度发展的产物
首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件,我的是richdll.dll,还有网上说的dll.dll vtd.dll什么五花八门的,反正就是dll文件,并加载入系统进程。删除不掉.
这些文件相互关联,结束进程并删除后马上又会出现。
自动禁用杀毒防火墙,并且感染防火墙文件
然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.
释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注册表exe文件,网站链接,scr文件,未知(打开方式)文件,等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型,从而让每个exe文件运行时同时调用病毒,这招太狠了;更改文件查找检索方式关联为finder.com ;把原本用rundll32.exe文件调用的程序,如网上邻居属性,通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值,这些只是较明显的。
检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。
最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据,文件图标丢失,目的在于被清除病毒后通过exe文件复活,当调用该句柄时自我释放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒,QQ盗号木马,热门网络游戏木马。至此,taskmgr任务管理器一团糟。。
因为木马众多会影响清除效率及难度,内存占用超大,危险系数也大。这点不得不佩服。。
如果你的系统有以上状况,那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染,它在内存里只是添麻烦而已
重新安装杀毒软件,比较可以的有卡巴斯基、mcafee、江民,推荐用卡巴,安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了
冷启动或关机,拨电源也可,待光电鼠标灯不亮了再开机(呵呵太夸张了)
进入带网络连接的安全模式,(如果不能上网就还是进正常模式),用文件夹选项里面打开显示所有文件;取消隐藏系统文件复选框,选中显示已知文件扩展名;下载viking专杀工具,这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表,如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式,只运行系统盘扫描。扫到的病毒名及路径用笔记下来。
冷启动。。光盘或U盘启动dos,查找刚才记下来那些文件,有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦,最主要要找到并删除上文说到的那些文件,这里很关键,一定要仔细找。
进入安全模式,运行regedit.exe (记住一定要输入.exe,因为如果没删干净,exe文件会被再度被作为winfile文件类型中的病毒命令行打开。)
按ctrl+f查找以上述文件的文件名的键值删除。
进入正常模式,这时可能因为杀毒引起不能上网了,用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留(切记不要启动宽带拨号程序,因为Enternet500这类拨号程序己被感染,如果是xp下的默认拨号,也最好不要去动)
接下来进程应该干净了,就要处理被感染的exe文件了,如果你不想要这些文件可以选择直接用专查工具把它们杀烂,或查找直接删除,还省了下边的步骤。因为以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文档.txt,建三个,分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫,防止染毒exe文件释放出同名病毒文件。
也可使用gpedit.msc,组策略中用户配置\管理模板\系统\不要运行windows程序中,启用并添加logon_1.exe
rundl132.exe
也可使用mcafee杀毒软件中的文件规则,禁止在硬盘中新建*.exe *.com 文件
后两种限制方法我没试过,但理论上说是成立的
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果,降序排列。旁边打开个任务管理器窗口,记下任务条目及数量。如进程数:22
双击空白图标exe文件,注意任务管理器变化。例:如果双击game.exe则, 已染毒现象:任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe,如果是基于16位兼容模式的程序,会出现一个ntvdm的进程,不影响,可结束。稍后你可能会发现net 和 net1 进程一闪而过,持续不到1秒,而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标,或能正常运行,证明该文件不再带毒。第二种情况:game.exe一会自动消失
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区,一个一个文件的测试。修复。当然,你要是烦了,可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓
辛苦工作完成后,也不必要重启,打开江民专杀来清理漏网之鱼吧。
查毒软推荐使用Mcafee(卖咖啡),查毒功能较强,且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立,写入,修改,甚至读取!!,这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件!强吧??
缺点就是占用内存资源太高,优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。
写了这么多,我尽量想到的都想到了。我曾如此辛苦,故不希望大家都绕弯路。但愿对大家有所帮助。
最后发表我的一点看法,杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒,清一色杀毒扫描的做法。其实,很多时候甚至是心理安慰,障眼法。。我是从dos时代一路走来的,中过多种病毒。看到老师们用pctools及debug手动杀过不少毒,总结出:手动才是王道!!手动万岁。。
在E时代,我们要发扬取长补短的做法,把杀软的效率化,全面化,结合人工的仔细,灵活。这样才能尽心尽力像对待生活那样对待电脑
浅谈TCP/IP筛选与IPSec 策略
[ 2007-03-25 02:43:53 | 作者: sun ]
配置 TCP/IP 安全:
1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选,然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列,分别标记为:
TCP 端口
UDP 端口
IP 协议在每一列中,都必须选择下面的某个选项:
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
IPSec加密协议
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
3DES - IPSec策略可以选择一个强大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密钥,但使用了三个。结果3DES成为 168位加密算法,用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。
IPSec传输模式
IPSec可以在两种不同的模式下运作:传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下,IPSec的保护贯穿全程:从源头到目的地,被称为提供终端到终端的传输安全性 。
隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时,仅当数据到达网关时才得到加密,其余路径不受保护。一旦到达网关,就采用IPSec进行加密,等到达目的网关之后,数据包被解密和验证,之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围,且在诸如互联网这样的公共网络中传输的场合。
我看了几个朋友的服务器配置,每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定,这到没什么关系,但对IPSec 策略最多也只设定封一下ICMP,别的都没设定,出于安全考虑,这样做不是很好,因为...
嘻嘻,我来做个比较
TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的访问,也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,可选择性要大很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的IP,也可设定某个IP只能访问某个端口之类的,只要你有想像力,哈哈,就很简单了,这里我写的都是一些知识,没有写操作步骤,因为操作很简单,只要说一下原理,懂原理比操作更快
如安全方面的话,TCP/IP筛选会在注册表中的
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters
中的EnableSecurityFilters值上设定,当为"EnableSecurityFilters"=dword:00000001,即TCP/IP筛选生效,当为"EnableSecurityFilters"=dword:00000000,即TCP/IP筛选失效,这样就给我们一个漏洞了,用regedit -e导出以上三个键值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你设的再多也等于零
IPSec 策略就没有这个安全隐患,上面还有IPSec 策略的一些加密说明,安全吧??!!而且IP策略可以备份为文件方便在不同的电脑上使用,不过2K和XP或2K3使用的不同,这点到是要注意一下
我给出两个IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服务器版
说明一下,这些设定只是针对端口或IP进行管理的,没什么很高深的东西,而且有一些功能是无法进行设定的(如果什么都能设定的话,那还需要防火墙做什么),但这是WEB服务器的第一道关口,如果不设置好的话,后面很容易出问题的,我刚给出的只是一个例子,破TCP/IP筛选有几种方法,这里就不好说明了,总结一下,TCP/IP筛选只是开胃菜,IPSec 策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定,那就这样!
1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选,然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列,分别标记为:
TCP 端口
UDP 端口
IP 协议在每一列中,都必须选择下面的某个选项:
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
IPSec加密协议
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
3DES - IPSec策略可以选择一个强大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密钥,但使用了三个。结果3DES成为 168位加密算法,用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。
IPSec传输模式
IPSec可以在两种不同的模式下运作:传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下,IPSec的保护贯穿全程:从源头到目的地,被称为提供终端到终端的传输安全性 。
隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时,仅当数据到达网关时才得到加密,其余路径不受保护。一旦到达网关,就采用IPSec进行加密,等到达目的网关之后,数据包被解密和验证,之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围,且在诸如互联网这样的公共网络中传输的场合。
我看了几个朋友的服务器配置,每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定,这到没什么关系,但对IPSec 策略最多也只设定封一下ICMP,别的都没设定,出于安全考虑,这样做不是很好,因为...
嘻嘻,我来做个比较
TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的访问,也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,可选择性要大很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的IP,也可设定某个IP只能访问某个端口之类的,只要你有想像力,哈哈,就很简单了,这里我写的都是一些知识,没有写操作步骤,因为操作很简单,只要说一下原理,懂原理比操作更快
如安全方面的话,TCP/IP筛选会在注册表中的
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters
中的EnableSecurityFilters值上设定,当为"EnableSecurityFilters"=dword:00000001,即TCP/IP筛选生效,当为"EnableSecurityFilters"=dword:00000000,即TCP/IP筛选失效,这样就给我们一个漏洞了,用regedit -e导出以上三个键值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你设的再多也等于零
IPSec 策略就没有这个安全隐患,上面还有IPSec 策略的一些加密说明,安全吧??!!而且IP策略可以备份为文件方便在不同的电脑上使用,不过2K和XP或2K3使用的不同,这点到是要注意一下
我给出两个IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服务器版
说明一下,这些设定只是针对端口或IP进行管理的,没什么很高深的东西,而且有一些功能是无法进行设定的(如果什么都能设定的话,那还需要防火墙做什么),但这是WEB服务器的第一道关口,如果不设置好的话,后面很容易出问题的,我刚给出的只是一个例子,破TCP/IP筛选有几种方法,这里就不好说明了,总结一下,TCP/IP筛选只是开胃菜,IPSec 策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定,那就这样!
让Windows XP更安全的超级必杀技
[ 2007-03-25 02:43:36 | 作者: sun ]
[转载]
大家使用Windows XP已经有很长一段时间了,对与Windows XP操作系统已经是非常熟悉了吧!有没有总结出一些的经验来与大家共享呢?下面笔者就把在使用Windows XP操作系统过程中积累的一些经验共享出来,也便能让你在使用Windows XP操作系统的过程中能快速上手。熟练的掌握XP的使用技巧就能更好的享受XP系统带给你的强大功能。
1、恢复被破坏的Win XP系统文件
如果Windows XP的系统文件被病毒或其它原因破坏了,我们可以从Windows XP的安装盘中恢复那些被破坏的文件。
具体方法:在Windows XP的安装盘中搜索被破坏的文件,需要注意的是,文件名的最后一个字符用底线“_”代替,例如:如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。
搜索到了之后,打开命令行模式(在“运行”中输入“cmd”),然后输入:“EXPAND 源文件的完整路径 目标文件的完整路径”。例如:EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一点需要注意的是,如果路径中有空格的话,那么需要把路径用双引号(英文引号)包括起来。
找到当然是最好的,但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”当作一个文件夹,所以对于Windows XP系统来说,只需要把“CAB”文件右拖然后复制到相应目录即可。
如果使用的是其他Windows平台,搜索到包含目标文件名的“CAB”文件。然后打开命令行模式,输入:“EXTRACT /L 目标位置 CAB文件的完整路径”,例如:EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一样,如同路径中有空格的话,则需要用双引号把路径包括起来。
2、拒绝“分组相似任务栏”
虽然Windows XP “分组相似任务栏按钮”设置虽然可以让你的任务栏少开窗口,保持干净,但对于一些需要打开同类多个窗口的工作非常不便,。如你是经常用QQ这样的通讯软件和人在线聊天的话,如果有两个以上的好友同时和你交谈,你马上会感到XP这种默认设置造成的不便 D D每次你想切换交谈对象的时候,要先点击组,然后弹出的菜单里再选要交谈的好友,而且每个好友在组里显示的都是一样的图标,谈话对象多的时候,你可能要一个个的点击来看到底刚才是谁回复了话,在等着你反应,而且选错了一个,又得从组开始选,很麻烦。显然地,这样不如原来的开出几个窗口,在任务栏里的各个小窗口点击一次就可进行开始聊天。更改方法:点击“开始→控制面板→外观和主题→任务栏和‘开始’菜单”,在弹出的窗口内,将“分组相似任务栏按钮”选项前面的钩去掉。
3、通过注册表卸载无用的动态链接
资源管理器经常在内存中留下无用的动态链接,为了消除这种现象,你可以打开注册表编辑器,设置键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1将其设为0,这一功能就会被关闭。注意:为了让设置生效,需要重新启动计算机。
4、清除prefetch文件夹中的预读文件
当Win XP使用一段时间后,预读文件夹里的文件会变得很大,里面会有死链文件,这会减慢系统时间。建议:定期删除这些文件。(Windows\prefetch)
5、Windows XP减肥法
以下方法为本人目前的winXP的减肥法,经过使用,觉得比较安全,效果明显,至少可以减少300m空间。注意:不建议初学者使用。
删除驱动备份: Windows\Driver cache\i386目录下的Driver.cab文件(73MB) 但是以后我们每次安装新硬件时必须插入Windows的安装光盘。
删除系统文件备份(一般不怎么用到的): 运行命令行sfc /purgecache
删掉备用的dll文件: 只要你拷贝了安装文件或者有安装光盘,可以这样做。Windows\system32\dllcache下文件(减去200——300mb)。
6、了解Win XP启动时间
尽管Windows XP的启动速度已经能让我们感到满意了,但微软仍然为我们提供了一款用于了解的Windows XP启动时具体所消耗启动时间的小工具,以及查看CPU的使用率、Disk I/O等等,由于该工具用图形的方式显示出来,因此一目了然。工具可到此处下载。
7、恢复EXE文件关联
EXE文件关联出错非常的麻烦,因为这种情况的出现多是由于病毒引起的,而杀毒软件的主文件都是EXE文件,既然EXE文件关联出错,又怎能运行得了杀毒软件呢?还好XP提供了安全模式下的命令行工具供我们使用,可以利用命令行工具来解决这个问题。
在安全模式下输入:assoc<空格 >.exe=exefile<回车>,屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口,按Ctrl+Alt+Del组合键调出“Windows安全”窗口,按“关机”按钮后选择“重新启动”选项,按正常模式启动Windows后,所有的EXE文件都能正常运行了!
8、让Win XP能自动更新
当Windows 有了更新时,自动更新系统会提示你进行Windows的升级工作,当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是,要想实现自动更新,系统必定会收集用户的电脑信息,然后传送到微软站点,通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口,切换到“自动更新”选项卡可以看到这里有三个选择,选了最后一个“关闭自动更新”,这样系统就不会出现经常提示你进行自动更新了,如果你没用正版的Windows XP操作系统,建议你关闭此功能,因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版,这样会造成系统的不稳定。
9、在Home版中安装IIS
大家知道,Windows XP Home版不能安装IIS或者PWS。按照一般的方法,你只能升级到XP Professional或者使用Windows 2000,不过只要略使手段,你就可以在Windows XP Home上安装IIS了。
首先在“开始”菜单的“运行”中输入“c:\Windows\inf\sysoc.inf”,系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段,并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。
把Windows 2000 Professional的光盘插入光驱,同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车,打开命令行模式,在命令行下输入下列的两条命令,在每一行命令结束后回车(假设光驱是D盘):
EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll
EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf
这时,打开你的控制面板,并点击“添加删除程序”图标,之后点击“添加删除Windows组件”。
请仔细看,在“开始”菜单中显示的操作系统是Windows XP Home,但是经过修改,已经有了添加IIS的选项了。
然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我们只安装了WWW服务。系统会开始复制文件,这需要一些时间。并且在这起见,请保持Windows 2000 Professional的光盘还在光驱中。
在安装结束后,你可以打开“控制面板→性能和选项→管理工具”,“Internet信息服务管理”已经出现在那里。
如果你想要验证IIS是否运行正常,而已打开IE,在地址栏中输入“http://localhost”然后回车,如果能看到图三的界面,那么你的IIS就全部正常运行了。
最后还有一点注意的:如果你在安装过程中,系统需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll这个文件,那是因为你按照默认的选项安装了IIS。要解决这个问题,只要在安装IIS的时候先点击“详细信息”,然后取消对SMTP的选择(即不要安装SMTP服务器),那么复制文件的时候就不会需要那两个文件了。
如果在你安装的到图1的位置后发现,已经显示了Internet信息服务(IIS)的安装项目,但是它们根本无法被选中,那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的,只要换成Windows 2000 Professional中的就可以继续正常安装了。
经过验证,WWW、FTP等几个服务经过这样的修改都可以在Windows XP Home上正常运行。
大家使用Windows XP已经有很长一段时间了,对与Windows XP操作系统已经是非常熟悉了吧!有没有总结出一些的经验来与大家共享呢?下面笔者就把在使用Windows XP操作系统过程中积累的一些经验共享出来,也便能让你在使用Windows XP操作系统的过程中能快速上手。熟练的掌握XP的使用技巧就能更好的享受XP系统带给你的强大功能。
1、恢复被破坏的Win XP系统文件
如果Windows XP的系统文件被病毒或其它原因破坏了,我们可以从Windows XP的安装盘中恢复那些被破坏的文件。
具体方法:在Windows XP的安装盘中搜索被破坏的文件,需要注意的是,文件名的最后一个字符用底线“_”代替,例如:如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。
搜索到了之后,打开命令行模式(在“运行”中输入“cmd”),然后输入:“EXPAND 源文件的完整路径 目标文件的完整路径”。例如:EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一点需要注意的是,如果路径中有空格的话,那么需要把路径用双引号(英文引号)包括起来。
找到当然是最好的,但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”当作一个文件夹,所以对于Windows XP系统来说,只需要把“CAB”文件右拖然后复制到相应目录即可。
如果使用的是其他Windows平台,搜索到包含目标文件名的“CAB”文件。然后打开命令行模式,输入:“EXTRACT /L 目标位置 CAB文件的完整路径”,例如:EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一样,如同路径中有空格的话,则需要用双引号把路径包括起来。
2、拒绝“分组相似任务栏”
虽然Windows XP “分组相似任务栏按钮”设置虽然可以让你的任务栏少开窗口,保持干净,但对于一些需要打开同类多个窗口的工作非常不便,。如你是经常用QQ这样的通讯软件和人在线聊天的话,如果有两个以上的好友同时和你交谈,你马上会感到XP这种默认设置造成的不便 D D每次你想切换交谈对象的时候,要先点击组,然后弹出的菜单里再选要交谈的好友,而且每个好友在组里显示的都是一样的图标,谈话对象多的时候,你可能要一个个的点击来看到底刚才是谁回复了话,在等着你反应,而且选错了一个,又得从组开始选,很麻烦。显然地,这样不如原来的开出几个窗口,在任务栏里的各个小窗口点击一次就可进行开始聊天。更改方法:点击“开始→控制面板→外观和主题→任务栏和‘开始’菜单”,在弹出的窗口内,将“分组相似任务栏按钮”选项前面的钩去掉。
3、通过注册表卸载无用的动态链接
资源管理器经常在内存中留下无用的动态链接,为了消除这种现象,你可以打开注册表编辑器,设置键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1将其设为0,这一功能就会被关闭。注意:为了让设置生效,需要重新启动计算机。
4、清除prefetch文件夹中的预读文件
当Win XP使用一段时间后,预读文件夹里的文件会变得很大,里面会有死链文件,这会减慢系统时间。建议:定期删除这些文件。(Windows\prefetch)
5、Windows XP减肥法
以下方法为本人目前的winXP的减肥法,经过使用,觉得比较安全,效果明显,至少可以减少300m空间。注意:不建议初学者使用。
删除驱动备份: Windows\Driver cache\i386目录下的Driver.cab文件(73MB) 但是以后我们每次安装新硬件时必须插入Windows的安装光盘。
删除系统文件备份(一般不怎么用到的): 运行命令行sfc /purgecache
删掉备用的dll文件: 只要你拷贝了安装文件或者有安装光盘,可以这样做。Windows\system32\dllcache下文件(减去200——300mb)。
6、了解Win XP启动时间
尽管Windows XP的启动速度已经能让我们感到满意了,但微软仍然为我们提供了一款用于了解的Windows XP启动时具体所消耗启动时间的小工具,以及查看CPU的使用率、Disk I/O等等,由于该工具用图形的方式显示出来,因此一目了然。工具可到此处下载。
7、恢复EXE文件关联
EXE文件关联出错非常的麻烦,因为这种情况的出现多是由于病毒引起的,而杀毒软件的主文件都是EXE文件,既然EXE文件关联出错,又怎能运行得了杀毒软件呢?还好XP提供了安全模式下的命令行工具供我们使用,可以利用命令行工具来解决这个问题。
在安全模式下输入:assoc<空格 >.exe=exefile<回车>,屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口,按Ctrl+Alt+Del组合键调出“Windows安全”窗口,按“关机”按钮后选择“重新启动”选项,按正常模式启动Windows后,所有的EXE文件都能正常运行了!
8、让Win XP能自动更新
当Windows 有了更新时,自动更新系统会提示你进行Windows的升级工作,当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是,要想实现自动更新,系统必定会收集用户的电脑信息,然后传送到微软站点,通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口,切换到“自动更新”选项卡可以看到这里有三个选择,选了最后一个“关闭自动更新”,这样系统就不会出现经常提示你进行自动更新了,如果你没用正版的Windows XP操作系统,建议你关闭此功能,因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版,这样会造成系统的不稳定。
9、在Home版中安装IIS
大家知道,Windows XP Home版不能安装IIS或者PWS。按照一般的方法,你只能升级到XP Professional或者使用Windows 2000,不过只要略使手段,你就可以在Windows XP Home上安装IIS了。
首先在“开始”菜单的“运行”中输入“c:\Windows\inf\sysoc.inf”,系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段,并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。
把Windows 2000 Professional的光盘插入光驱,同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车,打开命令行模式,在命令行下输入下列的两条命令,在每一行命令结束后回车(假设光驱是D盘):
EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll
EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf
这时,打开你的控制面板,并点击“添加删除程序”图标,之后点击“添加删除Windows组件”。
请仔细看,在“开始”菜单中显示的操作系统是Windows XP Home,但是经过修改,已经有了添加IIS的选项了。
然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我们只安装了WWW服务。系统会开始复制文件,这需要一些时间。并且在这起见,请保持Windows 2000 Professional的光盘还在光驱中。
在安装结束后,你可以打开“控制面板→性能和选项→管理工具”,“Internet信息服务管理”已经出现在那里。
如果你想要验证IIS是否运行正常,而已打开IE,在地址栏中输入“http://localhost”然后回车,如果能看到图三的界面,那么你的IIS就全部正常运行了。
最后还有一点注意的:如果你在安装过程中,系统需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll这个文件,那是因为你按照默认的选项安装了IIS。要解决这个问题,只要在安装IIS的时候先点击“详细信息”,然后取消对SMTP的选择(即不要安装SMTP服务器),那么复制文件的时候就不会需要那两个文件了。
如果在你安装的到图1的位置后发现,已经显示了Internet信息服务(IIS)的安装项目,但是它们根本无法被选中,那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的,只要换成Windows 2000 Professional中的就可以继续正常安装了。
经过验证,WWW、FTP等几个服务经过这样的修改都可以在Windows XP Home上正常运行。
巧妙利用三招保护局域网中的 IP 地址
[ 2007-03-25 02:43:23 | 作者: sun ]
局域网中IP地址被占用或篡改的情况时有发生,为你提供几个实用招数。
停用网络连接服务
要限制用户随意修改TCP/IP参数,最简单的方法是让用户无法打开TCP/IP参数设置窗口。打开“开始”中“运行”输入“services.msc”命令,选中“Network Connections”服务,右键单击,从属性中选择其中的停用按钮,将“启动类型”选为“已禁用”,并确定。这样,你如果从“开始”进入“网络连接”里,就找不到“本地连接”图标。这也会给自己网络参数修改带来麻烦,可以将“Plug and play”服务停用,就不影响你正常网络访问了
限制修改网络参数法
修改注册表的相关网络键值就能实现。进入“运行”输入“regedit”命令,打开注册表编辑,确定在
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network
分支上,在右侧区域中,依次选择“编辑”、“新建”、“Dword值”选项,将新建的Dword值命名为“NoNetSetup”,将其数值输入为“1”,重新启动电脑,系统就会提示无法进入网络属性设置窗口了。
隐藏本地连接图标法
本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关,一旦将这三个动态链接文件反注册的话,那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时,可以先打开系统运行框,并在其中输入字符串命令“regsvr32 Netcfgx.dll/u”命令,单击一下“确定”按钮后,就能把Netcfgx.dll文件反注册了。
停用网络连接服务
要限制用户随意修改TCP/IP参数,最简单的方法是让用户无法打开TCP/IP参数设置窗口。打开“开始”中“运行”输入“services.msc”命令,选中“Network Connections”服务,右键单击,从属性中选择其中的停用按钮,将“启动类型”选为“已禁用”,并确定。这样,你如果从“开始”进入“网络连接”里,就找不到“本地连接”图标。这也会给自己网络参数修改带来麻烦,可以将“Plug and play”服务停用,就不影响你正常网络访问了
限制修改网络参数法
修改注册表的相关网络键值就能实现。进入“运行”输入“regedit”命令,打开注册表编辑,确定在
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network
分支上,在右侧区域中,依次选择“编辑”、“新建”、“Dword值”选项,将新建的Dword值命名为“NoNetSetup”,将其数值输入为“1”,重新启动电脑,系统就会提示无法进入网络属性设置窗口了。
隐藏本地连接图标法
本地连接图标与系统的Netcfgx.dll、Netshell.dll、Netman.dll这三个动态链接文件有关,一旦将这三个动态链接文件反注册的话,那么本地连接图标就会被自动隐藏起来了。在反注册上面三个动态链接文件时,可以先打开系统运行框,并在其中输入字符串命令“regsvr32 Netcfgx.dll/u”命令,单击一下“确定”按钮后,就能把Netcfgx.dll文件反注册了。
Windows平台内核级文件访问_绕过安全软件
[ 2007-03-25 02:42:53 | 作者: sun ]
背景
在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软件,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此我们需要一个底层的“windows平台内核级文件访问”的方法来确保我们能够看到正确的干净的文件系统。
直接访问FSD的内核级别文件访问
FSD(FileSystemDriver)层是文件API函数经过本地系统服务层(native API)最后到达的驱动层次。如果我们可以模仿操作系统,在我们自己的驱动程序里直接向FSD发送IRP,就可以绕过那些native API 和win32 API了,也就可以绕过设置在这些层次上面的API钩子等监控措施。
文件的Create和Open
文件的Create和Open可以通过发送IRP_MJ_Create给FSD,或者调用IoCreateFile函数来完成。Create和Open的区别实际上在于IoCreateFile/IRP_MJ_Create的一个参数Disposition的取值。
通过发送IRP_MJ_Create给FSD的方法与此类似,可以参考IFSDDK document的IRP_MJ_Create说明。不同于上面方法的是需要自己创建一个FILE_OBJECT,好于上面方法的是这种方法不需要一个HANDLE,HANDLE是线程依赖的,FileObject则是线程无关。
文件的Read和Write
我们通过给FSD发送IRP_MJ_READ来读取文件,给FSD发送IRP_MJ_WRITE来改写文件。
如果我们是通过一个HANDLE来执行(如使用IoCreateFile打开的文件),就要先用ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。
之后我们使用IoAllocateIrp分配一个IRP。根据FileObject->DeviceObject->Flags的值,我们判断目标文件系统使用什么样的IO方式。
对每种不同的IO方式使用不同的地址传递方式。随后我们填充IRP内的各个参数域,就可以发送IRP了。
接着要考虑如果IRP不能及时完成,会异步的返回的情况,我们安装一个CompletionRoutine,在CompletionRoutine里面设置一个事件为已激活,通知我们的主线程读取或者写入操作已经完成。
现在可以发送IRP了。如果不采取特殊的措施的话,IRP发送目标是FileObject对应的DeviceObject。发送后,等待IRP的完成并且释放资源,返回。
文件的Delete
Delete实际上是通过向FSD发送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass设置为FileDispositionInformation,用一个FILE_DISPOSITION_INFORMATION结构填充buffer来执行的。
文件的Rename
类似于Delete,Rename是向FSD发送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass设置为FileRenameInformation,填充buffer为FILE_RENAME_INFORMATION结构。
综上,于是我们可以在驱动里面通过发送IRP来直接访问文件系统了,绕过了native API 和win32 API层次。
绕过文件系统过滤驱动和钩子
有了以上的内容,我们目前可以直接给FSD发送请求操作文件。但是这还不够,因为有很多的杀毒软件或者监视工具使用FSD Filter Driver或者FSD Hook的办法来监控文件操作
对付文件系统过滤驱动
文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常的FSD也是作为一个过滤驱动存在的。磁盘文件对象的对应的最底层的FDO是Ftdisk.sys,它已经因为过于底层而不能处理我们投递的IRP请求。
其实正常的FSD信息存储在一个Vpb结构中,我们可以使用IoGetBaseFileSystemDeviceObject这个未公开的内核函数来得到它。它就是我们发送IRP的目标了。
对付替换DispatchRoutine的FSD Hook
这是一种常用的FSD Hook方式。我们需要得到原本的DispatchRoutine,向原本的DispatchRoutine发送我们的IRP。这里提供一个思路:我们可以读取原本FSD驱动的.INIT段或者.TEXT段,查找其DriverEntry函数,在它的DriverEntry函数中肯定设置了自己的DriverObject的各个DispatchRoutine。在这个函数中我们就能找到我们想要的DispatchRoutine的地址。只需要使用特征码搜索的方法就可以搜索到这个值。
对付Inline Hook DispatchRoutine函数本身的FSD Hook
这种Hook方法比较狠毒,但不是非常常见于安全产品中,一般应用在木马和rootkit上,比如我自己写的rootkit。它没有更改DriverObject里面的DispatchRoutine的函数指针,而是向函数开头写入汇编指令的JMP来跳转函数。对付它的基本思路就是读取存在磁盘上的FSD的文件,加载到内存一份干净的备份,察看我们要调用的DispatchRoutine开头的几个字节和这个干净备份是否一致。如果不一致,尤其是存在JMP,RET,INT3一类的汇编指令的时候,很可能就是存在了Inline Hook。(但要充分考虑重定位的情况。)如果存在Inline Hook,我们就把干净的函数开头拷贝过来覆盖掉被感染的函数头。然后在发送IRP,就不会被Inline Hook监视或篡改了。
在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软件,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此我们需要一个底层的“windows平台内核级文件访问”的方法来确保我们能够看到正确的干净的文件系统。
直接访问FSD的内核级别文件访问
FSD(FileSystemDriver)层是文件API函数经过本地系统服务层(native API)最后到达的驱动层次。如果我们可以模仿操作系统,在我们自己的驱动程序里直接向FSD发送IRP,就可以绕过那些native API 和win32 API了,也就可以绕过设置在这些层次上面的API钩子等监控措施。
文件的Create和Open
文件的Create和Open可以通过发送IRP_MJ_Create给FSD,或者调用IoCreateFile函数来完成。Create和Open的区别实际上在于IoCreateFile/IRP_MJ_Create的一个参数Disposition的取值。
通过发送IRP_MJ_Create给FSD的方法与此类似,可以参考IFSDDK document的IRP_MJ_Create说明。不同于上面方法的是需要自己创建一个FILE_OBJECT,好于上面方法的是这种方法不需要一个HANDLE,HANDLE是线程依赖的,FileObject则是线程无关。
文件的Read和Write
我们通过给FSD发送IRP_MJ_READ来读取文件,给FSD发送IRP_MJ_WRITE来改写文件。
如果我们是通过一个HANDLE来执行(如使用IoCreateFile打开的文件),就要先用ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。
之后我们使用IoAllocateIrp分配一个IRP。根据FileObject->DeviceObject->Flags的值,我们判断目标文件系统使用什么样的IO方式。
对每种不同的IO方式使用不同的地址传递方式。随后我们填充IRP内的各个参数域,就可以发送IRP了。
接着要考虑如果IRP不能及时完成,会异步的返回的情况,我们安装一个CompletionRoutine,在CompletionRoutine里面设置一个事件为已激活,通知我们的主线程读取或者写入操作已经完成。
现在可以发送IRP了。如果不采取特殊的措施的话,IRP发送目标是FileObject对应的DeviceObject。发送后,等待IRP的完成并且释放资源,返回。
文件的Delete
Delete实际上是通过向FSD发送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass设置为FileDispositionInformation,用一个FILE_DISPOSITION_INFORMATION结构填充buffer来执行的。
文件的Rename
类似于Delete,Rename是向FSD发送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass设置为FileRenameInformation,填充buffer为FILE_RENAME_INFORMATION结构。
综上,于是我们可以在驱动里面通过发送IRP来直接访问文件系统了,绕过了native API 和win32 API层次。
绕过文件系统过滤驱动和钩子
有了以上的内容,我们目前可以直接给FSD发送请求操作文件。但是这还不够,因为有很多的杀毒软件或者监视工具使用FSD Filter Driver或者FSD Hook的办法来监控文件操作
对付文件系统过滤驱动
文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常的FSD也是作为一个过滤驱动存在的。磁盘文件对象的对应的最底层的FDO是Ftdisk.sys,它已经因为过于底层而不能处理我们投递的IRP请求。
其实正常的FSD信息存储在一个Vpb结构中,我们可以使用IoGetBaseFileSystemDeviceObject这个未公开的内核函数来得到它。它就是我们发送IRP的目标了。
对付替换DispatchRoutine的FSD Hook
这是一种常用的FSD Hook方式。我们需要得到原本的DispatchRoutine,向原本的DispatchRoutine发送我们的IRP。这里提供一个思路:我们可以读取原本FSD驱动的.INIT段或者.TEXT段,查找其DriverEntry函数,在它的DriverEntry函数中肯定设置了自己的DriverObject的各个DispatchRoutine。在这个函数中我们就能找到我们想要的DispatchRoutine的地址。只需要使用特征码搜索的方法就可以搜索到这个值。
对付Inline Hook DispatchRoutine函数本身的FSD Hook
这种Hook方法比较狠毒,但不是非常常见于安全产品中,一般应用在木马和rootkit上,比如我自己写的rootkit。它没有更改DriverObject里面的DispatchRoutine的函数指针,而是向函数开头写入汇编指令的JMP来跳转函数。对付它的基本思路就是读取存在磁盘上的FSD的文件,加载到内存一份干净的备份,察看我们要调用的DispatchRoutine开头的几个字节和这个干净备份是否一致。如果不一致,尤其是存在JMP,RET,INT3一类的汇编指令的时候,很可能就是存在了Inline Hook。(但要充分考虑重定位的情况。)如果存在Inline Hook,我们就把干净的函数开头拷贝过来覆盖掉被感染的函数头。然后在发送IRP,就不会被Inline Hook监视或篡改了。
安全第一 识别文本型邮件附件欺骗方法
[ 2007-03-25 02:42:39 | 作者: sun ]
在众多媒体的宣传报道下,今天的我们都知道了不能轻易打开电子邮件里的可执行文件类的附件,但是显然那些破坏活动的制造者们也看了那些警告防范的文章,他们开始玩一些新的把戏,让您以为那些附件只不过是没有危险的文本文件或是图像文件等就是其手段之一。由于目前大多数人使用的是windows系列操作系统,windows的默认设置是隐藏已知文件扩展名的,而当你去点击那个看上去很友善的文件,那些破坏性的东西就跳出来了。您可能说这我早就知道了,那么下面讲述的.txt文件的新欺骗方法及原理您知道吗?
假如您收到的邮件附件中有一个看起来是这样的文件:QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化d盘,同时显示“Windows is configuring the system。Plase do not interrupt this process。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢?您可能已经注意到了第2行里的“WSCript”,对!就是它导演了全幕,它是实际行动总指挥。
WScript全称Windows Scripting Host,它是Win98新加进的功能, 是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
假如您收到的邮件附件中有一个看起来是这样的文件:QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化d盘,同时显示“Windows is configuring the system。Plase do not interrupt this process。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢?您可能已经注意到了第2行里的“WSCript”,对!就是它导演了全幕,它是实际行动总指挥。
WScript全称Windows Scripting Host,它是Win98新加进的功能, 是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
知根知底 完全解析木马驻留系统的方式
[ 2007-03-25 02:42:27 | 作者: sun ]
木马病毒,我们大家都是非常的熟悉,这个病毒传播危害大,那么它都通过那些方式传播的你知道吗?
第一招:利用系统启动文件
1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
第二招:关联类型文件使木马运行
在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)
注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了
当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊
第三招:文件捆绑使木马运行
捆绑和关联文件不同,关联是修改注册表,但捆绑类似于病毒的“感染”,就是把木马的进程感染到其他的执行文件上,业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。
网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下,下次开机自动运行,同时服务端在运行时会自动捆绑以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自动搜索系统启动项程序,捆绑之。比如qq.exe realplay.exe
除非把以上文件全部删除,否则无法清除,但系统文件删除后系统就无法正常运行,所以大多数人只能重装系统。确实牛。
第四招: 进程保护
两个木马进程,互相监视,发现对方被关闭后启动对方。技术其实不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//检查对方进程是否关闭,关闭的话再打开。
}
第五招:巧用启动文件夹
开始菜单的启动文件夹内的文件在系统启动后会随系统启动,假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内,太明显,但设置隐藏属性后不会被系统启动。
有一个办法,将启动文件夹改名为启动a,并将该文件隐藏,然后再新建一个启动文件夹,将原启动文件夹内的所有内容复制到新建的启动文件夹,这样就可以了。(其实系统还是会启动原来的启动文件夹内的内rogn,也就是现在被改为"启动a"的文件夹,而现在我们新建的"启动"文件夹只是一个摆设而已,因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值,当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会改为“C:\Documents and Settings\All Users\开始\Programs\启动a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动,和run不同,run是系统启动后加载,runservices是系统登录时就启动
在系统根目录下放置Explorer.exe文件,在Explorer.exe文件中去启动正常的Explorer.exe文件,可以在C盘和D盘下都放上。
第一招:利用系统启动文件
1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
第二招:关联类型文件使木马运行
在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)
注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了
当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊
第三招:文件捆绑使木马运行
捆绑和关联文件不同,关联是修改注册表,但捆绑类似于病毒的“感染”,就是把木马的进程感染到其他的执行文件上,业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。
网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下,下次开机自动运行,同时服务端在运行时会自动捆绑以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自动搜索系统启动项程序,捆绑之。比如qq.exe realplay.exe
除非把以上文件全部删除,否则无法清除,但系统文件删除后系统就无法正常运行,所以大多数人只能重装系统。确实牛。
第四招: 进程保护
两个木马进程,互相监视,发现对方被关闭后启动对方。技术其实不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//检查对方进程是否关闭,关闭的话再打开。
}
第五招:巧用启动文件夹
开始菜单的启动文件夹内的文件在系统启动后会随系统启动,假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内,太明显,但设置隐藏属性后不会被系统启动。
有一个办法,将启动文件夹改名为启动a,并将该文件隐藏,然后再新建一个启动文件夹,将原启动文件夹内的所有内容复制到新建的启动文件夹,这样就可以了。(其实系统还是会启动原来的启动文件夹内的内rogn,也就是现在被改为"启动a"的文件夹,而现在我们新建的"启动"文件夹只是一个摆设而已,因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值,当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会改为“C:\Documents and Settings\All Users\开始\Programs\启动a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动,和run不同,run是系统启动后加载,runservices是系统登录时就启动
在系统根目录下放置Explorer.exe文件,在Explorer.exe文件中去启动正常的Explorer.exe文件,可以在C盘和D盘下都放上。
经验谈:家庭用户如何使用防火墙软件
[ 2007-03-25 02:42:13 | 作者: sun ]
由于黑客泛滥,所以为了防止恶意攻击,防火墙软件应运而生。但是我们应该能够正确使用防火墙软件,让它真正为我们服务。
防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。
另外,所有的安全级都会控制应用程序访问网络的权限。
防火墙都定义了安全级别,为了给不同需要的用户不同的安全控制,但是很多用户并不是特别懂这些,为了安全,就盲目的把安全级别调整到“高安全级”,认为安全级别越高越好。其实不是这样。如果你的电脑太安全了,你会发现网络游戏就无法启动了,而且视频程序也就无法访问到网上的视频文件了(这对于ADSL用户是一个极大损失)。那么到底各种安全级别是什么意思呢?
低安全级:计算机将开放所有服务,但禁止互联网上的机器访问文件、打印机共享服务。适用于在局域网中的提供服务的用户。这是自由度最大的安全级别,所以仅限于“网络高手”使用。
中安全级:禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。而且能够保证例如收发邮件和传输文件的一般用户,所以一般这个安全级别是缺省值。
高安全级:系统会屏蔽掉向外部开放的所有端口;禁止访问本机提供所有服务,对常见的木马程序和攻击进行拦截;提供严格控制的网络访问能力;适用于仅仅是上网浏览网页的用户。当然网络游戏你就玩不了了。
另外,所有的安全级都会控制应用程序访问网络的权限。