大灰狼

计算机安全知识大全


一、未雨绸缪——
做好预防措施
  1.一个好,两个妙
  无论是菜鸟还是飞鸟,杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件,就好像给你的机器“穿”上了一层厚厚的“保护衣”,就算不能完全杜绝网络病毒的袭击,起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多,功能也十分接近,大家可以根据需要去购买正版的(都不算贵),也可以在网上下载免费的共享杀毒软件(网上有不少哦),但千万不要使用一些破解的杀毒软件,以免因小失大。安装软件后,要坚持定期更新病毒库和杀毒程序,以最大限度地发挥出软件应有的功效,给计算机“铁桶”般的保护。
  2.下载文件仔细查
  网络病毒之所以得以泛滥,很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后,最好立即用杀毒软件扫描一遍,不要怕麻烦,尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心,因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。
  3.拒绝不良诱惑
  很多中了网页病毒的朋友,都是因为访问不良站点惹的祸,因此,不去浏览这类网页会让你省心不少。另外,当你在论坛、聊天室等地方看到有推荐浏览某个URL时,要千万小心,以免不幸“遇害”,或者尝试使用以下步骤加以防范:
  1)打开杀毒软件和网络防火墙;
  2)把Internet选项的安全级别设为“高”;
  3)尽量使用以IE为内核的浏览器(如MyIE2),然后在MyIE2中新建一个空白标签,并关闭Script、javaApple、ActiveX功能后再输入URL。
  小提示:该方法不但能有效对付网页病毒,而且对“蠕虫病毒”也有一定作用。
  4.免费午餐:在线查毒
  虽然目前网络上的“免费午餐”越来越少,但仍有一些网站坚持向网民们提供免费的在线查毒服务,实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友,可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”:
  小提示:1)各网站的在线查毒服务都有所不同,使用前要仔细阅读网站上的相关说明后再进行操作,争取把病毒赶尽杀绝;
  2)由于查毒时需要调用浏览器的ActiveX控件,因此查毒前要先在IE的“Internet选项”\“安全”页面中检查该功能是否打开,并相应降低安全级别(一般“中等”即可)再查毒。
  5.千呼万唤终不应
  如果你发现有“你中奖啦!”、“打开附件会有意外惊喜哦!”这些话,可千万别信!看到类似广告的邮件标题,最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式),不要随便打开,如果是你熟悉的朋友发来的,可以先与对方核实后再作处理。同时,也有必要采取一定措施来预防邮件病毒:
  1)尽量不要用Outlook作为你的邮件客户端,改以Foxmail等代替,同时以文本方式书写和阅读邮件,这样就不用担心潜伏在HTML中的病毒了;
  2)多使用远程邮箱功能,利用远程邮箱的预览功能(查看邮件Header和部分正文),可以及时找出垃圾邮件和可疑邮件,从而把病毒邮件直接从服务器上赶走;
  3)不要在Web邮箱中直接阅读可疑邮件,因为这种阅读方法与浏览网页的原理一样,需要执行一些脚本或Applet才能显示信息,有一定危险性。
  6.修修补补,填充漏洞
  当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多),我们平时除了注意及时对系统软件和网络软件进行必要升级外,还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能,让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件),以便及早发现漏洞。
  7.给危险文件加把“锁”
  不管网络病毒如何“神通广大”,它要对计算机进行破坏,总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等),根据这个特点,我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范,让病毒无从下手。
  8.有“备”无患,打造最后防线
  正所谓“智者千虑,必有一失”,为保证计算机内重要数据的安全,定时备份少不了。如果我们能做好备份工作,即使遭受网络病毒的全面破坏,也能把损失减至最小。当然,前提条件是必须保证备份前数据没被感染病毒,否则只能是徒劳无功。另外,要尽量把备份文件刻录到光盘上或存放到隐藏分区中,以免“全军覆没”。
  二、见招拆招——杀毒软件的常见问题
  安装杀毒软件后与其他软件发生冲突怎么办?
  1)由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的,因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙,然后尝试暂时关闭杀毒软件和防火墙的监测功能,再看看问题是否已经解决;
  2)到杀毒软件的主页网站看看是否出了相关补丁或升级版本,有则打上补丁或升级到最新版本;
  3)如果以上措施还不能解决问题,可以通过E-mail联系作者,寻求解决方法。
  不能正常升级怎么办?
  1)如果使用的是正版软件,可以先试着完全卸载旧版本,再安装新版本(为安全起见,建议卸载前先进行备份);
  2)检查是否安装了多种杀毒软件,卸载其他杀毒软件后再安装;
  3)检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏,有问题的请与经销商联系解决;
  4)尝试以下操作方法:清空Temp文件夹→关闭打开的杀毒软件→换路径重新安装→把安装光盘中的安装目录拷贝到硬盘上,然后运行目录里的“Setup.exe”。
  无法清除病毒怎么办?
  1)先升级病毒库再杀毒;
  2)用一张干净的系统引导盘启动机器后,在DOS状态下进行杀毒;
  3)备份染毒文件并隔离,然后把病毒样本寄给作者,得到新病毒库后再杀毒。
  三、亡羊补牢——病毒发作后的急救措施
  虽然已经做足了防范措施,但正所谓:“天有不测之风云”,万一中招了,我们还有什么急救措施呢?
  1.软件方面
  1)首先断开全部网络连接,以免病毒向其他在线电脑传播,然后马上用杀毒软件进行扫描杀毒工作(记得要先扫描内存、引导区);
  2)赶快备份和转移重要文档到安全地方(软盘、光盘),记录账号、密码等资料,等病毒清除完毕后再作处理;
  3)平时曾用GHOST备份的,可以利用映像文件来恢复系统,这样不但能马上恢复工作,而且连同所有病毒也一并清除了,当然,这要求你的GHOST备份是没有感染病毒的。另外,恢复系统前同样要先做好备份重要资料的工作。
  4)没有进行GHOST备份,并且机器中数据并不重要的,可以用干净的引导盘启动机器后格式化硬盘,然后再重新安装系统和程序。
  2.硬件方面
  1)BIOS或CMOS被破坏的,需要找寻相同类型的主板,然后用热插拔的方法进行恢复。此方法存在着极大的危险性,最好找专业技术人员代你进行恢复。
  2)硬盘引导区或主引导扇区被破坏的,可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。
  做好了上面这些防范和应对措施,网络病毒再也别想骚扰到你,冲浪当然更安全了!

电脑安全知识:防御计算机病毒十大必知步骤
近日全球计算机病毒猖獗,怎样有效防御计算机病毒、蠕虫和特洛伊木马呢?请详细阅读以下十大必知步骤:
  1、用常识进行判断
  决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗,认为你知道附件的内容,即使附件看来好象是. jpg文件 -- 因为Windows允许用户在文件命名时使用多个后缀,而许多电子邮件程序只显示第一个后缀,例如,你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行一个恶意的VBScript病毒,而不是你的.jpg察看器。
  2、安装防病毒产品并保证更新最新的病毒定义码
  建议你至少每周更新一次病毒定义码,因为防病毒软件只有最新才最有效。需要提醒你的是,你所是购买的诺顿防病毒软件,不仅是更新病毒定义码,而且同时更新产品的引擎,这是与其它防病毒软件所不一样的。这样的好处在于,可以满足新引擎在侦破和修复方面的需要,从而有效地抑制病毒和蠕虫。
  3、首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描
  当你首次在计算机上安装防病毒软件时,一定要花费些时间对机器做一次彻底的病毒扫描,以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序,当用户在初装其产品时自动执行。
   4、插入软盘、光盘和其他可插拔介质前,一定对它们进行病毒扫描。
  确保你的计算机对插入的软盘、光盘和其他的可插拔介质,及对电子邮件和互联网文件都会做自动的病毒检查。
   5、不要从任何不可靠的渠道下载任何软件
  这一点比较难于做到,因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染,但是提供软件下载的网站实在太多了,我们无法肯定它们一定都采取了防病毒的措施,所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
  6、警惕欺骗性的病毒
  如果你收到一封来自朋友的邮件,声称有一个最具杀伤力的新病毒,并让你将这封警告性质的邮件转发给你所有认识的人,这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商,证实确有其事。这些欺骗性的病毒,不仅浪费收件人的时间,而且可能与其声称的病毒一样有杀伤力。
  7、使用其它形式的文档,如.rtf(Rich Text Format)和.pdf(Portable Document Format)
  常见的宏病毒使用Microsoft Office的程序传播,减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件,这并不表明仅在文件名称中用.rtf后缀,而是要在Microsoft Word中,用“另存为”指令,在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象,但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的,而且更为安全。当然,这也不是能够彻底避开病毒的万全之计。

::::::::::恶意网页病毒十三大症状分析及简单修复方法::::::::::::
一、对IE浏览器产生破坏的网页病毒:
  
  (一).默认主页被修改
  
  1.破坏特性:默认主页被自动改为某网站的网址。
  
  2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
  
  3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开: HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
  
  危害程度:一般
  
  (二).默认首页被修改
  
  1.破坏特性:默认首页被自动改为某网站的网址。
  
  2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
  
  3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。
  
  危害程度:一般
  
  (三).默认的微软主页被修改
  
  1.破坏特性:默认微软主页被自动改为某网站的网址。
  
  2.表现形式:默认微软主页被篡改。
  
  3.清除方法:
  
  (1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到 Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
  "default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
  
  危害程度:一般
  
  (四).主页设置被屏蔽锁定,且设置选项无效不可更改
  
  1.破坏特性:主页设置被禁用。
  
  2.表现形式:主页地址栏变灰色被屏蔽。
 
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建 “ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
  "HomePage"=dword:00000000
  
  危害程度:轻度
  
  (五).默认的IE搜索引擎被修改
  
  1.破坏特性:将IE的默认微软搜索引擎更改。
  
  2.表现形式:搜索引擎被篡改。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,即可对其键值进行输入为: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,然后再找到“CustomizeSearch”键值名,将其键值修改为: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
  "SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
  "CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
  
  危害程度:一般
  
  (六).IE标题栏被添加非法信息
  1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。
  
  2.表现形式:在IE顶端蓝色标题栏上多出了什么“正点网,即使正点网! http://www.zhengdian.com "尾巴。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新。
  
  第二,按如下顺序依次打开:HKEY_CURRENT_MACHINE\Software\ Microsoft\InternetExplorer\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
  "Window Title"="Microsoft Internet Explorer"
  
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
  "Window Title"="Microsoft Internet Explorer"
  
  危害程度:一般
  
  (七).OE标题栏被添加非法信息破坏特性:
  
  破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
  表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。
  
  清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到WindowTitle以及Store Root键值名,将其键值均设为空。按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
  "WindowTitle"=""
  "Store Root"=""
  
  危害程度:一般
  
  (八).鼠标右键菜单被添加非法网站链接:
  
  1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
  
  2.表现形式:添加“网址之家”等诸如此类的链接信息。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。
  
  4.危害程度:一般
  
  (九).鼠标右键弹出菜单功能被禁用失常:
  
  1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
  
  2.表现形式:在IE中点击右键毫无反应。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按F5 键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
  "NoBrowserContextMenu"=dword:00000000
  
  危害程度:轻度
  
  (十).IE收藏夹被强行添加非法网站的地址链接
  
  破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。
  
  表现形式:躲藏在收藏夹下。
  
  清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
  
  危害程度:一般
  
  (十一).在IE工具栏非法添加按钮
  
  破坏特性:工具栏处添加非法按钮。
  
  表现形式:有按钮图标。
  
  清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。
  
  危害程度:一般
  
  (十二).锁定地址栏的下拉菜单及其添加文字信息
  
  破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
  
  表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
  
  清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按F5键刷新生效。
  
  危害程度:轻度
  
  (十三).IE菜单“查看”下的“源文件”项被禁用
  
  破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
  
  表现形式:“源文件”项不可用。
  
  清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
  
  按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
  "NoViewSource"=dword:00000000
  
  [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]
  "NoViewSource"=dword:00000000
  
  危害程度:轻度

 

 

:::::::::::::::::::::::常见用户提出的几个疑问:::::::::::::::::::::
用户在使用计算机的过程中经常会提出下面的一些问题,下面做出简要的解答。
1、我的计算机为什么突然变慢?
答:计算机可能感染蠕虫病毒,不停往外发送数据包,在命令提示符下面用netstat –an察看一下计算机是否对局域网其他机器发送数据包,主要看是否往其他机器的445端口发送数据包,检查计算机是否感染蠕虫,可以用最新的杀毒软件,附录中给出最近一些常见蠕虫的杀查方法。
2、我的计算机为什么流量突然增加?
答:计算机可能感染了蠕虫,或者种了木马程序而被别人设置了代理。用户可以用“netstat –an”命令察看自己的计算机是否往局域网其他计算机发送数据包。

4、我的计算机为什么突然丢失文件,而且多了一个未知的账号?
答:多发生于Win2k操作系统,计算机可能由于没有设置口令或者口令过于简单导致系统被蠕虫病毒攻破,而病毒会自动在你的系统里面添加一个管理员账户,并且植入一个木马程序。或者网络上的一些上网用户通过文件: //202.118.118.118/c$这样的命令访问你的计算机,如果管理员帐户没有设置口令或者口令过于简单,计算机马上就能被控制。解决的方法,设置复杂的口令,更改Administrator帐户名称。
5、我的计算机安装了操作系统补丁(windows update),安装了防病毒软件,而且也按时升级病毒定义文件,为什么还是被种了木马程序?
答:有几个原因,可能是由于管理员口令过于简单,或者没有设置口令,导致被口令蠕虫病毒攻击;可能是由于打开了不明邮件的附件导致;可能是由于下载了不明软件或者程序导致。
针对上面的这些问题最彻底的解决方法就是格式化系统盘重新安装操作系统,否则不能保证杀毒软件能够彻底杀除病毒,更不能确定系统是否留有后门。在后面的附录中给出近期常见蠕虫和杀查方法。


\-------------------------木马专题----------------------------\
一、win2000口令设置方法:
当前用户口令:
在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。
其他用户口令:
在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

二、113端口木马的清除(仅适用于windows系统):
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具需要下载,例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程, 并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找
到那个程序,并将相关的键值全部删掉。
5. 到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、IPcpass.dic、 IPcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
6.重新启动机器。

三、3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
win2000关闭的方法:
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

四、4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件。

五、5800,5900端口:
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\explorer.exe)
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项
5.重新启动机器。

六、6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。
关闭6129端口:
选择开始-->设置-->控制面板-->管理工具-->服务,找到DameWareMini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

八、45576端口:
这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带来额外的流量)
关闭代理软件:
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
3.到该程序所在目录下将该程序删除。


:::::::::::::::手工去除13种木马:::::::::::::::
一、BO2000
  查看注册表\ HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。重新启动电脑,并将\Windows\System中的Umgr32.exe删除。
二、NetSpy(网络精灵)
  国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\ system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\ windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。
  清除方法:
  1.进入dos,在C:\windows\system\目录下输入以下命令:del netspy.exe 回车;
  2.进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\,删除Netspy.exe和Spynotify.exe的键值即可安全清除Netspy。
三、Happy99
  此程序运行时,会在打开一个名为“Happy new year 1999”的窗口,并出现美丽的烟花,它会复制到Windows主文件夹的“System”目录下,更名为Ska.exe,并创建文件Ska.dll,同时修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。另外,用户可以检查注册\HEKY-LOCAL- MACHINE\Softwre\Microsoft\Windows\ Current Version\RunOnce中有无键值Ska.exe。有则将其删除,并删除\Windows\System中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll。
四、NetBus(网络公牛)
  国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:
  win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe;
  winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
  服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根,如下:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
  网络公牛没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
  清除方法:
  1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
  2.把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。
  3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们。然后点击“开始- >附件->系统工具->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如: realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些软件卸载,再重新安装。
五、Asylum
  这个木马程序是修改了system.ini win.ini两个文件,先查一下system.ini文件下面的[BOOT]项,看看"shell=explorer.exe”,如不是则删除它,用回上面的设置,并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件,看在[windows]项下的"run=”是不是有什么文件名,一般情况下是没有任何加载值的,如有记下它以便回过头过在纯DOS下删除相应的文件名。
六、冰河
  冰河标准版的服务器端程序为G- server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\ Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
  清除方法:
  用纯DOS启动进入系统(以防木马的自动恢复),删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件,注意如果系统提示你不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要先改掉它们的隐藏、只读属性,就可以删除。
  删除后进入windows系统进入注册表中,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe% 1”,如是改回"notepad.exe %1” 。
七、GOP
  GOP木马会在注册表HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值让自己自动运行。所以,首先要禁止该项。点击“开始”→“运行”,输入“msinfo32”,查看其中的“软件环境”→“正在运行的任务”,如果发现哪个项目只有程序名和路径,而没有版本、厂商和说明,你就应该提高警惕了。一般说来,GOP木马在这里显示的版本为“不能用”。现在运行regedit,进入到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,记住刚才那个身份不明的运行项目,找到后删除该键值。然后关闭计算机,稍候一下启动计算机。还记得刚才查看到的项目路径吧?那就是木马的程序的藏身之处!接下来的任务是删除木马程序本身。
八、Nethief(网络神偷)
  反弹端口型木马。大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务端的 IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。
  清除方法:
  1.网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除;
  2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
九、广外女生
  广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!该木马程序运行后,将会在系统的 SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE 文件无法打开的问题。
  清除方法:
  1.由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除;
  2.由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;
  3.回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);
  4.找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*;
  5.找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值;
  6.关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
十、SubSeven
  最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。
  清除方法:
  1.运行Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="c:\windows \system\***"。(注:加载器和文件名是随意改变的)
  2.打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。
  3.打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。
  4.重新启动Windows,删除相对应的木马程序,一般在c:\windows\system下,例如vqpbk.exe。
十一、WAY2.4(火凤凰、无赖小子)
  国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表*控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从试验情况来看,WAY2.4的注册表*作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!WAY2.4在注册表*控方面可以说是木马老大。
  WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,很隐蔽,文件大小 235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值 Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\ system\msgsvc.exe赫然在列!
  清除方法:
  要清除WAY,只要删除它在注册表中的键值,再删除C:\ windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了!在删除前请做好备份。
十二、聪明基因
  国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成 GENUESERVER.htm文件,还是用来迷惑你的!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:\WINDOWS\ MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢!Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易!聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易!
  清除方法:
  1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。
  2.删除自启动文件。展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除键值 “MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软!
  3. 恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\ WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\ open\command下,将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。
  4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\ explore32.exe %1,因此要恢复成原值:C:\WINDOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\ command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。
十三、黑洞2001
  国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。黑洞2001服务端被执行后,会在c:\windows\system下生成两个文件,一个是S_Server.exe, S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是 windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被种入!
  清除方法:
  1.将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
  2.将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
  3.将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows删除。
  4.将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。
  5.到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞 2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止 windows.exe这个进程,然后再将它删除。


::::::::::::::::::::::::::::104种木马清除方法::::::::::::::::::::::::::
1. 冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的两个路径,并删除
" C:windowssystem kernel32.exe"
" C:windowssystem sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK

2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer ="C:WINDOWSexpiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:windowsexpiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE"
关闭Regedit
重新启动。OK

4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:Windows zcn32.exe
重新启动。OK

5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C: command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C: americ~1.0buddyl~1.exe(删除前取消文件的隐含属性)
删除C: windowssystemnorton~1regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的WinProfile = c:command.exe
关闭Regedit,重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK

7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:windowssystem wscan.exe
OK

8. Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的"C:WINDOWSCmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:WINDOWSCmctl32.exe
OK

9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的‘c:windowsnotpa.exe /o=yes‘
关闭Regedit,重新启动到MSDOS系统中
删除c:windowsnotpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK

10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:windowssystem .exe(空格exe文件)
OK

11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:windows目录下,用attrib libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
的子键WinLibUpdate = "c:windowslibupdate.exe -hide"
将此子键删除。

12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Systemdoor = "C:WINDOWSSystemmprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:WINDOWSSystemmprdll.exe和
C:WINDOWSsystemrundll.exe
注意:不要删除C:WINDOWSRUNDLL.EXE正确文件。
并删除两个文件。
OK

13. BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
可以找到System-Tray = "c:-Somethingsomething.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的DirrectLibrarySupport ="C:WINDOWSSYSTEMDllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:WindowsSystemDllclient.exe
OK

清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK

15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
右边有 ??? = "C:WINDOWSsystemBRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:WINDOWSsystemBRAINSPY .exe
OK

16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:windowsmsabel32.exe
并删除它。OK

17. Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:msie5.exe木马文件
OK

18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的‘System Protect‘ = winprot.exe
重新启动Windows
查找到C:windowssystem winprot.exe,并删除。
OK

19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的‘RunTime‘ = C:windowsmsgsrv36.exe
重新启动Windows
查找到C:windows msgsrv36.exe,并删除。
OK

20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的Load MSchv Drv = C:windowssystemMSchv.exe
保存Regedit,重新启动Windows
查找到C:windowssystemMSchv.exe,并删除。
OK

21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:windowssystem winfunctions.exe,并删除。

:::::::::::::::::::::::木马病毒的通用解法:::::::::::::::::::::::::
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
  “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:-),“木马”会在每次用户启动时自动装载服务端, Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
  在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
  在 system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
  在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion \Run”目录下,查看键值杏忻挥凶约翰皇煜さ淖远舳募┱姑狤XE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows \CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\ CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
  知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和 “load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell= explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。


木马病毒的通用解法 了解“木马”工作原理
很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
  “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
  当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:-),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
  在 win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如 “AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini 文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是 “shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
  在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows \CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\ CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可


如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL- MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的 “木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
  小知识:


  “木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。


自己动手清除电脑中的木马程序【转贴】
特络伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在你并不知情的的状态下控制你或者监视你的电脑。下面就讲讲木马经常藏身的地方和清除方法。
  首先查看自己的电脑中是否有木马
  1、集成到程序中
  其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
  2、隐藏在配置文件中
  木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
  木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\ file.exe load=c:\windows\file.exe
  这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中
  这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
3、潜伏在Win.ini中
  木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子: run=c:\windows\file.exe load=c:\windows\file.exe
  这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中
  这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
7、隐形于启动组中
  有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
  8、隐蔽在Winstart.bat中
  按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat 中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
  即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
  10、设置在超级连接中
  木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。
面再看木马的清除方法
  1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
  2、删除上述可疑键在硬盘中的执行文件。
  3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
  4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\  Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
  5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和  HKEY_CLASSES_ROOT\ txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改. txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
  6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。
  至此,病毒完全删除! 笔者建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多,所以尽量自己杀毒(较简单的病毒、木马)。


::::::::::::::::::::冲击波”病毒全面答疑(6大问题::::::::::::::::::::

金山公司反病毒专家陈飞舟,经过对冲击波病毒的仔细研究后针对目前用户的重大
困惑做出权威答疑如下:
一、提防“冲击波”病毒
“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影
响的系统包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产
品,有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于
难。

二、什么是RPC漏洞
Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,
RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统
上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻
击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处
理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用
此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如
安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
通俗地说:利用这个漏洞,一个攻击者可以随意在远程计算机上执行任何指
令!!!

三、被攻击的机器有哪些现象
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!

四、如何解决
任何紧张和恐惧都是不解决问题的,虽然严重但也绝对没到删除所有文件,格式化
硬盘的地步!使用以下几步就可以解决:
1、首要是给系统打补丁,亡羊补牢尤未晚已。
关于这个漏洞的介绍:
<http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp>
http://www.microsoft.com/china/technet/security/bulletin/MS03-026asp
下载补丁:
Windows2000简体中文版:
<http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-68
58b759e977/Windows2000-KB823980-x86-CHS.exe>
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-685
8b759e977/Windows2000-KB823980-x86-CHS.exe
WindowsXP简体中文版:
<http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85
e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe>
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e
42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows2000英文版:
<http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4
b9d42049d5/Windows2000-KB823980-x86-ENU.exe>
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b
9d42049d5/Windows2000-KB823980-x86-ENU.exe
WindowsXP英文版:
<http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7
a52a983f01/WindowsXP-KB823980-x86-ENU.exe>
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a
52a983f01/WindowsXP-KB823980-x86-ENU.exe
2、然后下载专杀工具清除:
下载冲击波专杀工具: <http://www.duba.net/download/3/91.shtml>
http://www.duba.net/download/3/91.shtml

3、升级反病毒软件


一、对于已经感染而不能打开补丁链接的问题:
可以这么解决:方法1、先打开IE浏览器,把补丁链接复制到浏览器的地址栏
里就可以下载了。如果不幸复制粘贴也不能用了,那只好照着上面的内容在地址栏
里输入了;方法2、打开网络蚂蚁或网络快车,把上面的地址复制或输入到下载的
任务里就行了。

二、怎么知道我是否成功地打上了这个补丁?
根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这
一项。
打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入
“regedit"(不要引号)。
在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资
源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看
HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。
展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分
别:
1、对于WindowsNT4.0: 找到 Updates,Windows NT, SP6,看看里面有没
有kb823980
2、对于Windows2000: 找到 Updates,Windows 2000,SP5,看看里面有没
有kb823980
3、对于WindowsXP: 找到 Updates,Windows XP, SP1,看看里面有没
有kb823980
4、对于WindowsXP SP1:找到 Updates,Windows XP, SP2,看看里面有没
有kb823980
如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。

 

“冲击波”肆虐第2天:金山毒霸四大救援措施全面出台

8月3日,金山反病毒中心警告,该中心捕获的“流言”病毒(Worm.SdBotRPC)是
国内出现的第一个针对Windows RPC服务漏洞进行攻击的病毒,并预计破坏性不亚
于两年前在我国爆发的恶性病毒“红色代码”。

8月12日,金山公司接到潮水般的客户求助电话,“冲击波”(新流言)的蠕虫病
毒开始在国内大面积爆发,当日仅仅金山反病毒中心就接到近2000遭受攻击用户求
助。

8月12日下午,金山毒霸“冲击波”病毒专杀工具完成并公布在 www.duba.net
<http://www.duba.net> 供用户下载。

8月13日,“冲击波”病毒在全球包括美国、欧洲、台湾等地进一步疯狂传播,金
山反病毒专家陈飞舟提醒更要提防新变种的可能性。

国内著名反病毒骨干企业金山公司通知金山毒霸单机版以及企业版用户紧急更新病
毒库,并向全社会提供四大紧急救援措施:

1.首要是给系统打补丁,亡羊补牢尤未晚已。
下载补丁:
Windows2000简体中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-685
8b759e977/Windows2000-KB823980-x86-CHS.exe
<http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-68
58b759e977/Windows2000-KB823980-x86-CHS.exe>
WindowsXP简体中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e
42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
<http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85
e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe>
Windows2000英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b
9d42049d5/Windows2000-KB823980-x86-ENU.exe
<http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4
b9d42049d5/Windows2000-KB823980-x86-ENU.exe>
WindowsXP英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a
52a983f01/WindowsXP-KB823980-x86-ENU.exe
<http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7
a52a983f01/WindowsXP-KB823980-x86-ENU.exe>
2、下载专杀工具清除病毒:
下载冲击波专杀工具: http://www.duba.net/download/3/91.shtml
<http://www.duba.net/download/3/91.shtml>

3. 公布800紧急救援电话 8008105770

4.全面开通短信紧急救援服务 用户编写“毒霸:XXXXXXXXXX(描述机器故障),移
动用户发送到6008;联通用户发送到9008。

 

瑞星“利剑”行动对抗“冲击波” 紧急发放20万张免费救援光盘

8月12日开始泛滥的“冲击波”病毒在国内造成了大规模感染,到目前为止瑞星技术服务部门已经统计有数千个企事业单位的局域网瘫痪,“中招”的个人用户更是难以计数。从目前的形势判断,“冲击波”病毒在国内的泛滥程度几乎超过当年的“CIH”和“红色代码”。
针对这一严峻形势,瑞星公司决定在全国范围内展开一场“层层设防、彻底查杀、不留死角”的大规模扫毒行动,并将这一系列行动统一命名为“利剑”行动。
8月14日,瑞星“利剑”行动的第一个举措紧急出炉:联合1000余家软件经销商,在全国范围内紧急发放20万张免费救援光盘。
据了解,8月13日瑞星公司各个部门全部停止正常的工作,全力接受用户的救援请求和技术咨询,同时24小时赶制光盘光盘并预定已全国各地的航班,争取在14日中午将第一批光盘送达全国各主要城市。请广大用户关注瑞星在各城市主要软件店面的光盘发放消息。
瑞星副总裁毛一丁表示,从12、13日两天的形势看,“冲击波”病毒在国内的蔓延速度几乎失控,到13日晚上20:00点为止,瑞星公司累计收到用户求助信息8100多个。我们判断近几天“冲击波”将继续在全国各地泛滥,局势非常紧迫。他认为,这个时候正是反病毒厂商和经销商为用户解决问题,回报社会的时候,因此瑞星公司几乎暂停了所有的正常工作,全力投入到这场战斗中来。
毛一丁解释,此次免费光盘发放的对象是已经被感染的用户,这些用户的机器被感染后根本无法上网并下载补丁程序和专杀工具,因此只能用光盘来恢复系统并彻底查杀病毒。瑞星救援光盘的内容包括各种版本的系统补丁程序、RPC漏洞的补丁程序、瑞星专杀工具、瑞星杀毒软件最新版本的升级程序。

光盘使用说明:
一、将光盘放入光驱。
二、安装系统补丁程序:
1.WINDOWS NT系统的用户: 需要安装Service Pack 6补丁程序包
路径为: 光盘\系统补丁程序\NT4SP6_CN\sp6i386.exe
2.WINDOWS 2000系统的用户:需要安装Service Pack 3补丁程序包
路径为: 光盘\系统补丁程序\WIN2K SP3_CN\W2KSP3.exe
3.WINDOWS XP系统的用户: 需要安装Service Pack 1补丁程序包
路径为: 光盘\系统补丁程序\WINDOWS XP SP1_CN\xpsp1.exe
三、安装RPC漏洞的补丁程序:
1.WINDOWS NT系统的用户:
需要安装针对WINDOWS NT的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\WINNT-SERVER\CHS\CHSQ823980I.EXE
2.WINDOWS 2000系统的用户:
需要安装针对WINDOWS 2000的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\WIN2000\CHS\WINDOWS2000-KB823980-X86-CHS.EXE
3.WINDOWS XP系统的用户:
需要安装针对WINDOWS XP的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\WINXP-32\CHS\WINDOWSXP-KB823980-X86-CHS.EXE
4.WINDOWS SERVER 2003系统的用户:
需要安装针对WINDOWS SERVER 2003的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\SERVER2003-32\CHS\WINDOWSSERVER2003-KB823980-X86-CHS.EXE

四、使用瑞星专杀工具:
瑞星专杀工具的路径为:光盘\瑞星程序\ravzerg.exe,用户直接运行该工具,按照提示操作即可清除“冲击波”病毒。
五、瑞星杀毒软件最新版本的升级程序:
路径为:光盘\瑞星程序\upgrade.exe文件,
运行瑞星杀毒软件最新版本的升级程序,即可升级本机的瑞星杀毒软件,而后打开实时监控,进行全盘杀毒即可。

“冲击波”两变种今日再现,金山毒霸一路追杀

8月14日上午,金山毒霸反病毒中心监测到“冲击波”病毒的两个最新变种, 请广大用户提高警惕,及时升级杀毒软件或者下载专杀工具。
金山反病毒工程师经过初步分析,认为该病毒变种并没有在原始病毒上做太多的改动,造成的影响和第一个版本的病毒是无出其右的,这两个变种病毒只是重新采用了新的压缩方式来压缩病毒体,在原始病毒体外增加了一层外壳,并改变了病毒文件名称和注册表键值。可以认为,这种改动的目的完全是为了躲避杀毒软件的追杀。
金山公司将会密切关注“冲击波”的最新动态,并随时向广大用户报告此病毒的最新走向。
再次提醒广大用户,警惕RPC漏洞,及时修补系统漏洞,安装官方发布的补丁 程序,详情请参照
<http://www.duba.net/c/2003/08/12/88900.shtml>

“冲击波”病毒背景材料
8月3日,金山反病毒中心警告,该中心捕获的“流言”病毒(Worm.SdBotRPC)是 国内出现的第一个针对WindowsRPC服务漏洞进行攻击的病毒,并预计破坏性不亚于两年前在我国爆发的恶性病毒“红色代码”。
8月12日,金山公司接到潮水般的客户求助电话,“冲击波”(新流言)的蠕虫病毒开始在国内大面积爆发,当日仅仅金山反病毒中心就接到近2000遭受攻击用户求助。

8月12日下午,金山毒霸“冲击波”病毒专杀工具完成并公布在 www.duba.net <http://www.duba.net/> 供用户下载。

8月13日,“冲击波”病毒在全球包括美国、欧洲、台湾等地进一步疯狂传播,金山反病毒专家陈飞舟提醒更要提防新变种的可能性。
“冲击波”病毒解决方案
首要是给系统打补丁,亡羊补牢尤未晚已。
下载补丁:
< Windows2000简体中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
< WindowsXP简体中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
< Windows2000英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
< WindowsXP英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

2、下载专杀工具清除病毒:
下载冲击波专杀工具: http://www.du, ba.net/download/3/91.shtml

3. 公布800紧急救援电话 8008105770
4.全面开通短信紧急救援服务 用户编写“毒霸:XXXXXXXXXX(描述机器故障),移动用户发送到6008;联通用户发送到9008。

10 万套《金山毒霸“冲击波”整体解决方案包》光盘赶制中
金山公司紧急对外界通知:决定制作《“冲击波”整体解决方案包》光盘免费向全社会派发。据悉,首批2万套光盘昨日已进入生产,可望明天就可以赶赴全国各地。
随着冲击波病毒进一步泛滥,感染率直线上升。没有清除病毒和给系统打补丁国内用户全面置身于威胁当中。由于该病毒的感染现象是用户上网发生重启以及倒计时推出,更是严重影响网络传输速度。目下网上的种种解决方案会有相当部分的用户无法顺利得到。
另外,众所周知该病毒是针对Windows RPC服务漏洞进行攻击的病毒,所有使用Windows NT、Windows 2000、Windows XP、Windows Server2003的用户都需要完成补丁安装才能确保不受重复感染,对于众多普通用户完成相应程序以及相应语言补丁下载具有知识和时间上的障碍。
再有,完成病毒解决还需要有金山网镖这样的高级个人网络防火墙进行关闭端口的步骤。以及在未来几天内更有可能会出现各种“冲击波”变种病毒的出现。为确保国内计算机个人及企业用户的信息安全,早在8月3日便全国首家截获病毒的著名反病毒厂商金山公司经过紧急讨论决定耗资赶制一批包含“冲击波”专杀工具,各种系统补丁,金山毒霸V、金山网镖V试用程序,以及近年来其它诸如“求职信”、“尼姆达”、“蠕虫王”等病毒的专杀工具打包成《“冲击波”整体解决方案包》,免费在各大中城市的软件专卖店进行免费发放。此举将给广大个人、企业用户带来及时有效的防范。同时,金山公司发言人还声称将于近期开展面向中国10 万企业举办大规模的金山毒霸网络版的免费发放工作,以进一步提升全社会尤其是可能损失更大的企业用户的信息安全意识和水平。


::::::::::::病毒防范知识:常见病毒分类及怎样清除病毒的方式:::::::::::
有了杀毒软件并不意味着高枕无忧了,了解一些病毒知识对于使用好你手头的杀毒软件有帮助。先简单介绍一下病毒的分类,帮助大家对于病毒有一个认识。
  常见病毒分类
  1.Windows病毒
  主要指针对Win9X操作系统的病毒。现在的电脑用户一般都安装Windows系统,Windows病毒一般感染Win9X系统,其中最典型的病毒有 CIH病毒。但这并不意味着可以忽略系统是WindowsNT系列(包括Windows2000)的计算机。一些Windows病毒不仅在 Windows9X上容易感染,还可以感染WinNT上的其它文件。主要感染的文件扩展名为EXE、SCR、DLL、OCX等。
  2.DOS病毒
  电脑病毒发展初期因为操作系统大多为DOS系统,指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒,由于Windows9X病毒的出现,DOS病毒几乎绝迹。但DOS病毒在Win9X环境中仍可以发生感染,因此若执行染毒文件,Win9X用户也会被感染。
  3.蠕虫类病毒
  通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。可以说这是Windows病毒的一个分支,但它比一般只感染EXE文件通过文件传播的Windows病毒更凶狠。像蠕虫病毒尼坶达,它不但会感染EXE文件,还会通过局域网,电子邮件网页等途径进行传播。
  4.木马类程序
  之所以叫它是程序而不是病毒,是因为这类的程序定义界限比较模糊。一个木马程序可以被用作正常的途径,也可以被一些别有用心的人利用来做非法的事情。木马程序一般被用来进行远程控制,常被一些别有用心的人用来偷取别人机器上的一些重要文件或是QQ密码等东西。
  不同类型病毒的清除方式
  1.感染EXE文件的病毒
  一般对于此类染毒文件,杀毒软件可以安全地清除文件中的病毒代码还你一个干净的文件(即:清除病毒后文件还能正常使用)。但也有一些病毒因为编写时的 BUG或编写者的恶毒用心,感染的文件清除病毒后可能也无法正常地使用。如:被求职信感染的EXE文件,清除病毒后就可能无法正常使用。
  特别说明:有些EXE文件是由病毒生成的,并不是感染了病毒的文件,对于这样的文件杀毒软件采取的就是删除文件操作,即:按下“清除病毒”=“删除病毒文件”。
  2.感染了DOC,XLS等Office文档的宏病毒
  此类病毒一般杀毒软件都能安全清除病毒,清除病毒后的文件可以正常使用。
  3.木马类程序
  此类程序其程序本身就是一个危害系统的文件,所以杀毒软件对它的操作都是删除文件,即:“清除病毒”=“删除病毒文件”。
  最后提醒大家,注意定期更新你的杀毒软件和给系统打补丁,别等到暴风骤雨来了以后才慌乱打补丁升级。

:::::::::::::::防范技巧:如何全面防范和抵制黑客攻击::::::::::::::::::

先谈谈怎样发现您的电脑被入侵。
 
  那些“病毒”文件都存放在D:\winnt\system32\hack\下,有nc.exe、opentelnet.exe等。明显这些不是病毒,而是黑客工具,若您电脑有这种情况,说明电脑被黑客入侵了。
  进入了D:\Documents and settings\,发现除了使用的Administrator用户和默认的ALL USERS文件夹之外,还多出了一个Justme文件夹。这类黑客都是先给系统添加一个合法用户,再打开服务器的终端服务登入,最后把这些服务器作为跳板来入侵别人的。打开services.msc,若发现服务中多了一个Terminal Services。则您的电脑也被入侵.
拒绝黑客  
  从服务器管理中删除这个Justme用户后,开始查找黑客可能留下的后门。运行cmd.exe并输入netstat -an,发现在一些正常的端口中多出了一个可疑7777端口。用TELNET去连接它,返回了一个指向D:\winnt\system32\hack\的路径,并且随意输入一个命令它都能够正确执行。看来这的确是黑客留下的一个后门,那它使用的是哪个程序呢?下面我要查看系统的进程。
  在进程管理中,看到了一个十分不愿意看到的进程——svchosts.exe。它无法手工结束,每次结束的操作都会弹出一个拒绝访问的提示框。看来是我目前的权限不够,那么这个比Administrators权限还要高的进程一定是以System权限运行的。当我再次打开service.msc时,发现一个叫 Kent的服务,所执行的文件就是这个svchosts.exe。于是马上终止了这个服务,并找工具删除了它。就这样,可恶的进程和它的7777端口一起消失了。再仔细地通查了注册表和服务的DLL,直到确定全部安全为止。
  这个黑客是怎么进来的呢?我看了看安装过的安全补丁,发现只有微软 MS-03049号安全公告中的补丁未打上,并且Windows事件查看器里也有WORKSTATION服务异常的记录。这下可以确定黑客是通过MS- 03049的安全漏洞进入了表弟的电脑。接下来的事情就是打补丁,安装并开启防火墙。
骚扰黑客  
  从hack文件夹里复制了 nc.exe到C盘,然后把其他文件删除。运行cmd.exe后.在C:\下新建了一个文本文件haha.txt,写上一些话后保存。在cmd窗口中输入 “c:\nc.exe -vv -L -p 7777 < c:\haha.txt”,看到屏幕显示了“listening on [any] 7777 ...”而把这个cmd窗口放在那里,只时不时地注意一下动静。这是因为,黑客一旦发现失去了这台电脑的控制权,就会利用他所布置的后门再次入侵。利用这个心理,骚扰黑客.


::::::::::::防范Linux系统下缓冲区溢出漏洞攻击::::::::::::::

虽然Linux病毒屈指可数,但是基于缓冲区溢出(Buffer Overflow)漏洞的攻击还是让众多Linux用户大吃一惊。所谓“世界上第一个Linux病毒”——reman,严格地说并不是真正的病毒,它实质上是一个古老的、在Linux/Unix(也包括Windows等系统)世界中早已存在的“缓冲区溢出”攻击程序。reman只是一个非常普通的、自动化了的缓冲区溢出程序,但即便如此,也已经在Linux界引起很大的恐慌。
  缓冲区溢出漏洞是一个困扰了安全专家30多年的难题。简单来说,它是由于编程机制而导致的、在软件中出现的内存错误。这样的内存错误使得黑客可以运行一段恶意代码来破坏系统正常地运行,甚至获得整个系统的控制权。
  Linux系统特性
  利用缓冲区溢出改写相关内存的内容及函数的返回地址,从而改变代码的执行流程,仅能在一定权限范围内有效。因为进程的运行与当前用户的登录权限和身份有关,仅仅能够制造缓冲区溢出是无法突破系统对当前用户的权限设置的。因此尽管可以利用缓冲区溢出使某一程序去执行其它被指定的代码,但被执行的代码只具有特定的权限,还是无法完成超越权限的任务。
  但是,Linux(包括Unix)系统本身的一些特性却可以被利用来冲破这种权限的局限性,使得能够利用缓冲区溢出获得更高的、甚至是完全的权限。主要体现在如下两方面:
  1.Linux(包括Unix)系统通过设置某可执行文件的属性为SUID或SGID,允许其它用户以该可执行文件拥有者的用户ID或用户组ID来执行它。如果该可执行文件的属性是root,同时文件属性被设置为SUID,则该可执行文件就存在可利用的缓冲区溢出漏洞,可以利用它以root的身份执行特定的、被另外安排的代码。既然能够使得一个具有root权限的代码得以执行,就能够产生一个具有超级用户root权限的Shell,那么掌握整个系统的控制权的危险就产生了。
  2.Linux(包括Unix)中的许多守护进程都是以root权限运行。如果这些程序存在可利用的缓冲区溢出,即可直接使它以root身份去执行另外安排的代码,而无须修改该程序的SUID或SGID属性。这样获得系统的控制权将更加容易。
  随着现代网络技术的发展和网络应用的深入,计算机网络所提供的远程登录机制、远程调用及执行机制是必须的。这使得一个匿名的Internet用户有机会利用缓冲区溢出漏洞来获得某个系统的部分或全部控制权。实际上,以缓冲区溢出漏洞为攻击手段的攻击占了远程网络攻击中的绝大多数,这给Linux系统带来了极其严重的安全威胁。
  途径分析
  通常情况下攻击者会先攻击root程序,然后利用缓冲区溢出时发生的内存错误来执行类似“exec(sh)”的代码,从而获得root的一个Shell。为了获得root权限的Shell,攻击者需要完成如下的工作:
  1.在程序的地址空间内安排适当的特定代码。一般使用如下两种方法在被攻击的程序地址空间内安排攻击代码。
  2.通过适当地初始化寄存器和存储器,使程序在发生缓冲区溢出时不能回到原来的执行处,而是跳转到被安排的地址空间执行。
  当攻击者找到一种途径可以改变原程序的执行代码和流程时,攻击的危险就产生了。
  防范措施
  Linux下的缓冲区溢出攻击威胁既来自于软件的编写机制,也来自于Linux(和Unix)系统本身的特性。实际上,缓冲区溢出攻击及各种计算机病毒猖獗的根本原因在于现代计算机系统都是采用冯·诺依曼“存储程序”的工作原理。这一基本原理使得程序和数据都可以在内存中被繁殖、拷贝和执行。因此,要想有效地防范缓冲区溢出攻击就应该从这两个方面双管其下。
  确保代码正确安全
  缓冲区溢出攻击的根源在于编写程序的机制。因此,防范缓冲区溢出漏洞首先应该确保在Linux系统上运行的程序(包括系统软件和应用软件)代码的正确性,避免程序中有不检查变量、缓冲区大小及边界等情况存在。比如,使用grep工具搜索源代码中容易产生漏洞的库调用,检测变量的大小、数组的边界、对指针变量进行保护,以及使用具有边界、大小检测功能的C 编译器等。
  基于一定的安全策略设置系统
  攻击者攻击某一个Linux系统,必须事先通过某些途径对要攻击的系统做必要的了解,如版本信息等,然后再利用系统的某些设置直接或间接地获取控制权。因此,防范缓冲区溢出攻击的第二个方面就是对系统设置实施有效的安全策略。这些策略种类很多,由于篇幅有限只列举几个典型措施:
  (1)在装有Telnet服务的情况下,通过手工改写“/etc/inetd.conf”文件中的Telnet设置,使得远程登录的用户无法看到系统的提示信息。具体方法是将Telnet设置改写为:
  telnet stream tcp nowait root /usr/sbin/tcpd/in.telnetd -h

  末尾加上“-h”参数可以让守护进程不显示任何系统信息,只显示登录提示。
(2)改写“rc.local”文件。默认情况下,当登录 Linux系统时系统运行rc.local文件,显示该Linux发行版本的名字、版本号、内核版本和服务器名称等信息,这使得大量系统信息被泄露。将 “rc.local”文件中显示这些信息的代码注释掉,可以使系统不显示这些信息。
  一种方法是在显示这些信息的代码行前加“#”:
……
# echo "">/etc/issue
# echo "$R">>/etc/issue
# echo "Kernel $ (uname -r)on $a $(uname -m)">>/etc/issue
#
# echo >>/etc/issue
……
  另一种方法是将保存有系统信息的文件/etc/issue.net和issue删除。这两个文件分别用于在远程登录和本地登录时向用户提供相关信息。删除这两个文件的同时,仍需要完成方法一中的注释工作,否则,系统在启动时将会自动重新生成这两个文件。
  (3)禁止提供finger服务。在Linux系统中,使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息。禁止提供finger服务的有效方法是,通过修改该文件属性、权限(改为600)使得只有root用户才可以执行该命令。
  (4)处理“inetd.conf”文件。Linux系统通过inetd(超级服务器)程序根据网络请求装入网络程序。该程序通过 “/etc/inetd.conf”文件获得inetd在监听哪些网络端口,为每个端口启动哪些特定服务等信息。因此,该文件同样会泄露大量的敏感信息。解决问题的方法是,通过将其权限改为600只允许root用户访问,并通过改写“/etc/inetd.conf”文件将不需要的服务程序禁止掉,最后修改该文件的属性使其不能被修改。
  结束语
  缓冲区溢出攻击之所以能成为一种常见的攻击手段,其原因在于缓冲区溢出漏洞太普遍,且易于实现攻击,因此缓冲区溢出问题一直是个难题。
  所幸的是,OpenBSD开发组为解决这一安全难题采用了三种新的有效策略。相信不久的将来,Linux用户可以不再为缓冲区溢出攻击而寝食难安了。
RAR文件在Linux下用起来
要在Linux下处理.rar文件,需要安装RAR for Linux。该软件可以从网上下载,但要记住,它不是免费的。大家可从http://www.onlinedown.net/sort/125_1.htm下载RAR for Linux 3.2.0,然后用下面的命令安装:
# tar -xzpvf rarlinux-3.2.0.tar.gz
# cd rar
# make

  安装后就有了rar和unrar这两个程序,rar是压缩程序,unrar是解压程序。它们的参数选项很多,这里只做简单介绍,依旧举例说明一下其用法:
# rar a all *.mp3

  这条命令是将所有.mp3的文件压缩成一个rar包,名为all.rar,该程序会将.rar 扩展名将自动附加到包名后。
# unrar e all.rar

  这条命令是将all.rar中的所有文件解压出来。

:::::::::::::::数据恢复: 从电脑硬盘的数据结构谈起:::::::::::::::
说到数据恢复,我们就不能不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据,理解了这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。
  
  硬盘数据结构
  初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们恢毖赜玫较衷诘腤in9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分(其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加)。
  主引导扇区
  主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。值得一提的是, MBR是由分区程序(例如DOS 的Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。
  操作系统引导扇区
   OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一个文件读入内存,并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。
  文件分配表
  FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择,Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非没有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
  目录区
  DIR是Directory即根目录区的简写,DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真正意义上的数据存储区,即DATA区。
  数据区
  DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的 DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破坏的话,也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复(当然了,这需要一个前提,那就是你没有覆盖这个文件……)。
  硬盘分区方式
  我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。
  主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。
  扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。
  所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
  需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。
  数据存储原理
  既然要进行数据的恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数据的删除和硬盘的格式化相关问题……
  文件的读取
  操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0023。
  操作系统从0023簇读取相应的数据,然后再找到FAT的0023单元,如果内容是文件结束标志(FF),则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。
  文件的写入
  当我们要保存文件时,操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息,然后在Data区找到闲置空间将文件保存,并将Data区的第一个簇写入DIR区,其余的动作和上边的读取动作差不多。
  文件的删除
  看了前面的文件的读取和写入,你可能没有往下边继续看的信心了,不过放心,Win9x的文件删除工作却是很简单的,简单到只在目录区做了一点小改动――将目录区的文件的第一个字符改成了E5就表示将改文件删除了。
  Fdisk和Format的一点小说明
  和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复…… 

 

QQ安全:谁动了我的小企鹅—QQ密码盗窃

相信很多网友都有QQ号码被盗的机构能力,那么你的QQ密码是如何丢失的呢?一般来说盗取QQ密码有两种途径:一种是本地暴力破解QQ密码,另一种是利用键盘记录器这类木马程序远程盗取密码。
  对于暴力破解,前提是本地电脑上留有用户登录过的QQ文件(这也是在网吧和公共机房用QQ容易丢失密码的原因),然后利用破解软件对密码进行穷举法猜解。所谓穷举法,就是对键盘上所有可能输入的数字或字母进行逐个排列组合与试验,最后得出正确的密码。虽然暴力破解显得十分费力和笨拙,但是如果你遇上一个不坏好意又非常耐心,并且还带着一款优秀破解软件的人,那你的小企鹅十有八九还是会被他夺走的。
远程QQ密码被盗窃,大多数是由于QQ用户的电脑中了木马。有的木马程序有着与QQ登录一样的界面,其实就是在QQ程序外部加了一个“壳”,当用户在此登录时,木马就会自动记录用户的登录信息,并将其保留在硬盘上或者直接发送到指定的电子邮箱中。
   另一种类似于键盘记录器的木马程序,它会驻留在用户的电脑内存中,当用户登录QQ时木马就被激活,并记录下用户的键盘信息(键盘输入的号码和密码)发送到指定的邮箱(建议使用2004版的QQ,通过电击软键盘完成输入)。
   利用木马远程盗窃QQ密码需要事先将木马安装到用户电脑上。诱骗受害者将木马安装到电脑上有多种方法:利用邮件给用户发送木马附件,利用捆绑程序将木马邦定到Flash图片或歌曲上,用花言巧语骗受害者访问带有木马病毒的网站……

 

::::::::::::::::::针对QQ木马 安全防范另类新技巧12则::::::::::::::::::
一、 QQ中防范木马的新方法
  大家知道,目前黑客工具实在是太多了,木马就是其中之一,特别是针对QQ的木马就更是数不胜数了。那么有什么办法避免木马记录我们输入的密码呢?这里推荐一个小方法,可以使你的QQ密码安全许多!具体方法是:假如你的QQ密码是5009,在输入时最后不直接输入该密码,这样直接输入会被直接记录下来。你可以先输入508,然后把光标移到8后面再按0,这样你输入的密码依然是5008,但在木马看来你输入的就是5080,一字之差,谬之千里。这样你的QQ 密码就安全多了!
  二、使用中文做密码
  打开记事本,把你要作为密码的中文写入其中,用鼠标右键点击屏幕右下角的QQ图标,在弹出菜单中选“个人设定”,此时会弹出“修改用户资料”对话框,点击其中的“网络安全”,选“修改密码”,输入旧口令,在“新口令”栏中把记事本里的中文密码粘贴进去就可以了。要注意的是:一个中文占两个字符的空间,QQ最大支持16位密码,所以你的中文密码不能超过8个字。
  三、利用QQ注册向导采隐身登录
  首先打开QQ登录框选择“注册向导”填好号码和密码,点击两下“下一步”这时你看见登录框页面—亡有一个“会员功能”的选项。把“使用HTTP协议登录 (仅限会员使用)”前面打个小勾,然后在弹出的使用HTTP协议确认界面中点击“选择”,这时再点击“下一步”后显示“已将您的好友列表读取到本地,点击完成启动QQ”,接着却弹出一个“登录失败”的警告对话框,上面写着“您不是会员,不能使用HTTP代理功能”。不要管它,点击“OK”,这时候看见右下角任务栏的小QQ是灰色的离线状态,双击弹出,在QQ主界面左下角打开“QQ2000”主菜单按钮,选择“系统参数”选项,在“会员功能”里,把“使用 HTTP协议登录”前面的勾去掉,如图2所示,然后,点击“确定’’。再单击QQ小企鹅,选择“隐身”状态。出现一个错误提示符,不要理它;点“确定”,再次选择隐身登录看,QQ已经隐身登录了。
  四、另类攻击
  关于QQ还有一种另类攻击方法,虽然危害不是很大,但也有必要告诉大家。相信吗?在你的QQ所在文件夹下随便写个文件或者建立一个目录,你的QQ就运行不了啦!如果你不相信,就和我一起做个试验吧。
  首先,点击“我的电脑”进入QQ所在的文件夹,默认安装在C:\ProgramFiles\Tencent下。然后点击鼠标右键,选“新建”一“文件夹”,将这个新建的文件夹命名为ws2_32.dll。现在,运行QQ,输入你的QQ密码,猜猜会怎么样?如果你使用的是版本号为QQ2000c系列的 QQ,如0630、510、0305b、0305等各版本,QQ将无法启动,而且没有任何提示信息!如果使用的是版本号为QQ2000b系列的QQ,将会出现如图3所示窗口,让你输入本地消息密码(本地消息密码可以在QQ的“系统参数”一“安全设置”中设置)。此时,无论你.是否设置过本地消息密码,而且不管你输入的密码是否正确,点击“确定”都无法进入QQ,会一直让你输入不止。点击“取消”则退出QQ。怎么样?无法进入QQ了吧?
  为什么会出现这种现象呢?原因是微软把目录和文件作为同级的东西来处理了,而QQ作为网络通讯类的程序,必然要调用Winsock的一系列API,而这些API是存放在winsock.dH和ws2_32.dll文件里的。Window有个特点,就是找动态链接库的时候,会先在应用程序当前目录搜索,然后才会搜索 Windows所在目录,再次是system32和system所在目录。而我们前面做的试验正是利用了这个特点,在QQ所在目录中建立一个名字为ws2 —32.dll的“目录”,系统会把它当作一个文件优先调用,而实际上ws2_32.dll是目录而非QQ所需的文件,所以QQ就给“憋死了”!
  上面我们是建立名为ws2_32.dll的目录,,下面我们再建立一个名为ws2_32.dll的文件,看看会怎么样?结果完全相同,还是无法登陆QQ!这也证明了我们上面的分析是正确的。
  最后,再告诉大家一个好方法:如果有人在QQ上不断地用语言侮辱你,在忍无可忍时,可以点击对方的头像,然后选择“传送文件”,发送给对方一个长度为0 字节的文件(用记事本新建一个文件,什么都不输入,保存退出,即可得到一个长度为0的文件),之后,你就不会看到他喋喋不休的废话了,因为他的QQ已经崩溃了!要提醒大家的是不要乱用此方法,当心进入别人的“黑名单”哦。
  五、防范飘叶0ICQ千夫指的攻击
  飘叶OICQ千夫指属于 QQ消息炸弹,通过给你的QQ发送大量的洪水信息,使你不得不下线。目前,飘叶千夫指现在出了第四代,可攻击各种版本的QQ,使得被攻击方QQ不得不关闭,或者出现非法操作。只要你升级到最新版本的QQ,那么上一版本的飘叶千夫指的这项功能就没有用了。另外,你也可以采用下线再上来的方法来对付它,但这样实在是太“示弱”了,而且,也不是从根本上解决问题的方法。那该怎么办呢?
  我们可以采用一个简便的方法对付它,具体做法是:运行QQ,用鼠标右键点击任务栏中的QQ图标,在弹出的菜单中选择“个人设定”,会弹出“修改用户资料”对话框,在该对话框中点击“基本资料”标签,在“用户呢称”前加上“275297”(注意输入时没有引号);接下来采在该对话框中点击“联系方法”标签,然后在“电子邮件”栏中把你的E—maU改成作者飘叶的QQ号码 “275297”就可以了。这样只要有人用飘叶OICQ千夫指向你发消息,他(她)的计算机就会重新启动!那些讨厌的洪水消息当然也就被拒之门外了!
  这个方法的原理就是作者飘叶在该软件中留下的后门——飘叶在程序中做了处理,屏蔽了对QQ号码“275297”的攻击,一旦该号码遭到飘叶千夫指的攻击,就会调动程序中相关代码,重新启动攻击者的电脑!
  六、打造属于自己的QQ彩蛋
  在我们常用的软件当中隐藏了一些有趣的小东东,这些小东东我们称之为复活节彩蛋(EasterEggs)o复活节彩蛋有许多种表现形式,比方说开发人员名单,一个小游戏,一段动听的音乐,几个卡通人物,一幅幽默的图片,几句玩笑话,精彩的3D影音游戏……这么说吧,复活节彩蛋可以是文字,可以是音乐,可以是图片,也可以是游戏,它几乎可以可以是任何形式。它是软件开发者为了增加软件的趣味性专门设计的特殊软件功能,在我们熟悉的QQ中也隐藏了这样一枚彩蛋一一“给你一千年的回忆”。我们按下QQ界面左下角的“QQ2000”长条按钮,在弹出的菜单里选择“帮助”一“关于”,然后在“关于QQ”窗口对着显示板本号信息的那一行(http://www.tencent.com下面那行),用鼠标左键点击大约10下左右,注意不要点击太快,一秒钟一下就可以了,然后你就会发现版本号突然变为“给你一千年回忆”。要再次打开这个彩蛋,需要启动QQ。如果你使用的是打过IP补丁的版本,得到的彩蛋将会有所不同。如果你对这个彩蛋感兴趣,也可以做个自己的QQ彩蛋,方法很简单。我们要用到的工具软件是UltraEdit。Ultraedit是个16进制编辑器,可以用16进制方式编辑文件,修改文件的内容。UltraEdit下载地址http://61.177.64.99/down/uedit32.zip。
  运行UltraEdit,点击“文件”彩蛋中的“打开”,在“打开”对话框中找到QQ2000b.EXE,采用默认安装方式的QQ2000b.EXE文件在C:\ProgramFiles\Tencent文件夹下,点击“打开”按钮打开QQ的主文件QQ2000b.EXE,再点击“搜索”菜单下的“查找”,在弹出的“查找”对话框的“查找什么”栏中输入B8F8C4E3D2 BBC7A7C4EAB5 C4 BBD8D2E4”,之所以输入这个字串,是因为它们就是“给你一千年的回忆”的16进制编码。当然不用输入这么多,多输入些是为了防止查找到重复字串。点击“下一个”按钮。怎么样,你发现了秘密所在吧?要想DIY自己的QQ彩蛋,只要将“给你一千年的回忆”替换为你想显示的文本就可以了。比方说,你可以把“给你—一千年的回忆”换为“天马行空任我纵横”,方法是:点击“文件”菜单下的“新建”,然后输入:天马行空任我纵横,再点击“编辑”菜单下的“16 进制编辑”,你会发现其l6进制编码。
  用这个新字串代替原位置的字串,点击“保存”即可。关闭UttraEdit,运行QQ,再按上面的方法检查,你发现彩蛋变为“天马行空任我纵横”了!
  要提醒大家注意的是,你输入的文本最好不要多于8个汉字,否则很容易出错。如果少于8个汉字,多余出来的地方用“00”代替,直到添满8个汉字为止。
  是不是很容易啊?如果想让你的QQ多些自己的色彩,不妨试试这个方法。要说明的是,用这个DIY方法制作的彩蛋也有个小缺陷,那就是当你运行QQ时会弹出个“警告”窗口,提示:您的QQ.exe文件可能已经被修改,建议您重新下载安装。不过,并不影响使用。
  七、让QQ在IE工具栏中“高就”
  用记事本编辑一个文件,命名为QQ.reg文件,输入如下内容:
  REGEDIT4
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{S888Y888P-8888-YHC8-W888-SONGYUPENG8}]
  "ButtonText"="QQ"
  "Default Visible"="Yes"
  "Exec"="C:\\Program Files\\Tencent\\QQ2000b.EXE"
  "HotIcon"="C:\\Program Files\\Tencent\\QQ2000b.EXE,100"
  "Icon"="C:\\Program Files\\Tencent\\QQ2000b.EXE,323"
  "CLISD"="{1FBA04EE-3204-11D2-8F1F-0000F87ABD16}"
  "MenuStatusBar"="Super QQ"
  "MenuText"="&QQ2000"
  保存完毕,双击QQ.reg将其导人注册表即可实现上述功能!是不是很方便、很简单、很容易呀?惟一要注意的是书写REG文件时要留意它的格式要求:如果你的操作系统是Windows95/98/Me/NT等,开头第一行规定必须是“REGEDIT4”,并且一定要大写且顶格书写;最后一行输入完毕要按一次“Enter”键,然后再保存文件。如果你是Windows2000/XP用户,则以 “WindowsRegistryEditorVersion5.00”开头,其他要求不变。
  八、突破网吧限制删除QQ记录
  绝大多数网吧为了防止个人对计算机设置的任意修改,都将“运行”、“查找”、“资源管理器”、“我的电脑”等隐藏,这就使我们无法找到以自己的QQ号命名的文件夹。不过不要紧,只要点击在线好友的头像,选择“传送文件”,然后会让你选择文件,在这个过程中你就可以通过浏览硬盘,找到QQ的安装目录,一般都在 C:\ProgramFiles\Tencent文件夹下,将该文件夹下以自己号码命名的文件夹删除即可。
  九、隐身也能传文件
  我想给隐身的朋友传文件,但系统提示只能传给在线的朋友,在这种情况下有别的方法吗?有!只要你拥有带IP补丁的QQ就可以。你和朋友说话的时候(对方隐身),他的名字就会以在线的方式显示出来,而且会保留一段时间。但你这个时候却看不到他的IP。不过不要紧,你可以对他进行“二人世界”和传文件,这是利用QQ的一个Bug。有一点要说明的是,你自己必须是在在线状态。带IP补丁的QQ可以在网上搜索到。
  十、同时运行两个同号QQ带来的问题
  如果在同一台机器上把一个号码的QQ打开两次,恰在此时对方给你发送过来一条消息,那么是哪个QQ来接收这条消息呢?是前者,还是后者?或者是两个QQ 同时接收到消息?答案是先运行的那个QQ接收信息。除非你用第二个QQ和对方说话,否则第二个QQ永远接收不到对方的信息。这是什么道理呢?不知道你安装过带IP补丁的QQ没有?注意IP后面的端口号,就算你在同一个机器使用同一个号码的QQ,那么它们的端口号也是不同的。一般情况下腾讯的服务器会把消息传给端口号低的那个QQ。但是你用另外一个QQ发消息情况就不一样了,那就属于点对点进行IP传输信息,对方的QQ接收的是你那个IP和所相对应端口号的信息,和腾讯默认的设置就不同了。
  假如我在两个不同的地方打开同一个QQ,又会怎么样呢?双方虽然不是同一个IP地址,但是端口号都是一样的 (默认都是4000);但这里也有一个登录先后的问题,假如你是不同IP,那么在登录腾讯服务器的时候,系统会先记录第一登录机器的IP地址,并把其当作默认的接收地址,这样就不会出现同时接收消息的情况了。
  十一、查QQ上陌生人和隐身人IP
  目前流行使用带补丁的QQ,使用这样的 QQ可以查看到好友的IP。但如果是QQ上的陌生人和你说话,或你的好友隐身了,再使用带补丁的QQ就无法查到他们的IP了,该怎么办呢?使用 NetXRay就可以了!只要他们的确在线,不管是你发消息给他们,还是他们发消息给你,只要一产生连接就可以发现他们的IP。从网上下载NetXRay (这是一款嗅探软件,用于高级分组检错),它可以帮我们的忙。首先,运行NetXRay,在菜单中选取“TOOlS”一“Matrix”,弹出如图9所示画面,选择选择画面下端的"IP"标签,按右键,在弹出的菜单中选中"Show Select Nodes"(图10),现在,打开QQ和你想查IP的隐身好友聊上一句,同时观察窗口,在数据包发送的那一瞬间,颜色有变化的数据线就是你和她之间的 IP连线。看看数据线的另一头,就是她的IP地址。
  十二、在QQ中把发送的字符横过来
  现在用QQ聊天时用字母组成图案发送给自己朋友已经不稀奇了,要想让自己在MM的心目中更有分量、更与众不同,就得想点别的办法了,在QQ中把发送的字符横过来就是吸引对方注意的办法之一。并且,不需要使用任何软件就可以达到目的,前提条件是你的QQ版本必须是0630版本以上的。然后,在你要发送的字符前面加个"@"就行了,不过在此之前,要选好字体大小,因为加上"@"之后,就不能修改字体打消了。好了,赶快上QQ,让你的朋友惊喜一番吧!


:::::::::::::::;windows系统漏洞攻防:::::::::::::::::::;

一、漏洞基础知识
微软公司的操作系统可谓目前世界个人计算机上使用最广泛的操作系统,从最初的DOS1.0发展至目前的Windows XP,微软的操作系统经历的重大发展如下所述:
(1)从DOS系统至Windows 95的转变,实现微软在个人操作系统领域的垄断。
(2)从Windows 9x/2000至Windows XP的进化,使用户拥有更稳定且更易掌握的系统。
然而当用户摒弃DOS,投向Windows的怀抱时,发现并非如想象中的完美,蓝屏、死机、上网后资料遗失、服务器遭受攻击等问题层出不穷,这些即日常所言之“系统漏洞”。
1.系统漏洞简介
(1)什么是系统漏洞:
漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述:
如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。
对用户操作造成不便,如不明原因的死机和丢失文件等。
综上所述,仅有堵住系统漏洞,用户才会有一个安全和稳定的工作环境。
(2)为什么会存在漏洞:
漏洞的产生大致有三个原因,具体如下所述:
编程人员的人为因素,在程序编写过程,为实现不可告人的目的,在程序代码的隐蔽处保留后门。
受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
当然,Windows漏洞层出不穷也有其客观原因,即任何事物都非十全十美,作为应用于桌面的操作系统──Windows也是如此,且由于其在桌面操作系统的垄断地位,使其存在的问题会很快暴露。此外和Linux等开放源码的操作系统相比,Windows属于暗箱操作,普通用户无法获取源代码,因此安全问题均由微软自身解决。
2.如何检测Windows系统漏洞
用户应及时了解自身的Windows系统存在哪些已知漏洞,做到“防患于未然”。对于常见和较重大的系统漏洞,本文将会详细说明,同时建议用户通过专用软件对系统进行全面检测。
本文推荐使用的Windows系统检测工具为微软开发的Baseline Security Analyzer(基准安全分析器,简称MBSA。
Baseline Security Analyzer软件为免费软件,仅可运行于Windows 2000和Windows XP系统中,该软件可检测与系统相关的不正确安全设置并给出建议,官方下载网址为:http://download.microsoft.com/download/win2000platform/Install/1.0/NT5XP/EN-US/mbsasetup.msi。
1.0 版本的 MBSA可对本地或远程的Windows 系统进行检测,检测内容包括为微软产品的漏洞及缺少的补丁,如Windows NT 4.0、Windows 2000、Windows XP、IIS、SQL Server、 Internet Explorer及办公软件Office 2000等,并可为每台检测过的计算机创建和保存独立的XML格式安全报告。
3.如何处理系统中的漏洞
Windows操作系统的漏洞,某些由于软件设计失误而产生,另一些则由于用户设置不当所引发,均会严重影响系统安全。针对两种不同的错误需采用不同的方式加以解决,如下所述:
(1)针对设计错误,微软公司会及时推出补丁程序,用户只需及时下载并安装即可,因此建议用户经常浏览微软的安全公告,并及时下载补丁,官方网址为:http://www.microsoft.com/china/security/Bulletins/default.asp。
(2)对于设置错误,则应及时修改配置,使系统更加安全可靠。
二、Windows 98系统漏洞
1.IGMP漏洞
漏洞描述:
IGMP漏洞是一个较有名且危险的系统漏洞,可使用户计算机中断网络连接或出现蓝屏和死机。
解释:
IGMP 全称为Internet Group Management Protocol,即互联网组管理协议。目前有很多可发动IGMP攻击的工具,如Winnuke、Sping和Tardrop等,通过这些工具可向某个 IP地址的100端口不断发送大量IGMP数据包,当被攻击的计算机收到数据包后,即无法对数据进行处理,从而导致TCP/IP崩溃,引起系统中断网络连接,出现蓝屏现象,重启系统才可解决该问题。此外如攻击者进行端口监听,还可对其他端口进行攻击。
对策:
(1)下载相关的补丁程序,网址如下所述:
Windows 98第一版:http://www.virusview.net/download/patch/oob/up98igmp.zip;Windows 98第二版:http://www.virusview.net/download/patch/oob/up98oem2igmp.zip
(2)为计算机安装防火墙系统,屏蔽IGMP数据。
2.系统文件检查器漏洞
漏洞描述:
运行系统文件检查工具检测系统后无法重新启动。
解释:
出现该问题的原因在于系统文件检查器检测系统时,向Windows 98系统提供了错误的系统文件放置信息,而这些错误信息导致检查器用错误文件替换系统中受损或丢失的Windows 98系统文件,从而导致死机、无法重启或无法登录。
对策:
利用启动盘启动Windows 98,在DOS状态下运行“extract.exe”恢复被错误替换的系统文件。
3.共享密码校验漏洞
漏洞描述:
用户可任意访问Windows 98系统中的共享文件,即使共享目录已受口令保护,攻击者仍不需获取真实口令即可访问。
解释:
Windows 9x系统提供的文件和打印共享服务可设置口令保护,以避免非法用户访问。但微软的NetBIOS协议的口令校验机制存在严重漏洞,使保护形同虚设。
由于服务端对客户端口令进行校验时以客户端发送的数据长度为依据,因此客户端在发送口令认证数据包时可设置长度域为1, 同时发送一个字节的明文口令给服务端,服务端会将客户端发送的口令与服务端保存的共享口令的第一个字节进行明文比较,如匹配即认为通过验证。因此攻击者仅需猜测共享口令的第一个字节即可。
Windows 98的远程管理也采用共享密码认证方式,因此也受该漏洞影响。
对策:
(1)下载并安装补丁程序,网址如下所述:
http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE
(2)在未获取并安装补丁程序前,建议暂时关闭文件共享服务。
4.共享访问客户端类型检测漏洞
漏洞描述:
恶意攻击者提供已修改的文件共享服务器,当Windows 98客户访问其共享资源时,会导致对客户的拒绝服务攻击。
解释:
当Windows 9x客户访问文件共享服务时,会比较服务端传送的驱动类型,如服务器返回服务类型并非实际的“?????”、“A:”、“LPT1:”、“COMM”、 “IPC”五种类型中的一种,客户端会错误地获取并不存在的第6种类型,因此进行转换时会获取错误的驱动头指针,从而调用错误的驱动函数地址,造成客户端不稳定甚至崩溃。
对策:
(1)不随意访问不可信主机的共享服务。
(2)禁止通过TCP/IP协议使用NetBIOS程序。
5.共享服务文件句柄漏洞
漏洞描述:
文件和打印共享服务程序存在安全漏洞,该漏洞允许恶意用户远程攻击Windows 98的文件共享服务,导致服务崩溃。
解释:
Windows 98系统的共享服务程序仅分配了有限的空间用于存储句柄转换指针,因此所能接收客户端的文件句柄范围为0至0x3ff(十六进制)。但服务程序在处理 SMBfindclose等命令的时候,未正确检查客户端发送的文件句柄范围,因此可能获取错误的指针,导致非法访问错误的内存地址,多次重复攻击后会地址系统共享服务崩溃。
对策:
取消TCP/IP协议中绑定的“文件和打印机共享”服务。
6.NetBIOS over TCP/IP耗尽资源漏洞
漏洞描述:
NetBIOS会由于一个远程漏洞而导致拒绝服务攻击,攻击者可通过连接NBT(NetBIOS over TCP/IP)端口而使系统耗尽网络资源并停止工作,甚至导致系统崩溃。
解释:
如攻击者对被攻击计算机初始化很多连接,然后关闭,使目标机的TCP始终处于FINWAIT-1状态,尽管最终将超时并释放,但攻击者可持续发送更多请求,初始化并关闭新连接,从而耗尽任何网络资源,最终导致NetBIOS拒绝正常服务。
总而言之,DDOS攻击基本是无法解决的,从SYN FLOOD理论分析,仅需有限带宽的服务均会被攻击至拒绝服务,对服务器可能仅为拒绝服务,对一般计算机则会导致系统资源耗尽。
对策:
下载补丁程序,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25114
7.NetBIOS漏洞
漏洞描述:
该漏洞可泄漏计算机和工作组的名称,从而使入侵者按这些信息获取IP地址。此外该漏洞还可使对方访问计算机内的文件。
解释:
NetBIOS(NETwork Basic Input/Output System)是网络的基本输入/输出系统,是由IBM开发的网络标准,微软在此基础上继续开发,其客户机/服务器网络系统均基于NetBIOS,应用程序也通过标准的NetBIOS API调用,实现NetBIOS命令和数据在各种协议中传输,微软网络在Windows NT操作系统中利用NetBIOS完成大量的内部联网。
虽然NetBIOS API为局域网开发,但目前已发展成为标准接口,无论在面向连接或非连接的通信中,应用程序均可使用其访问传输层联网协议。
NetBIOS 接口为NetBEUI、NWLink、TCP/IP及其他协议而开发,由于这些协议均支持NetBIOS API,因此均提供建立会话和启动广播的功能。网络上的每台计算机均须唯一地与NetBIOS名等同,在建立会话或发送广播时也需使用该名字。当通过该名字使用NetBIOS会话时,发送方必须将NetBIOS名转化为IP地址。由于IP地址和名字均必为需,因此在进行成功通信前,所有名字转换方法必须提供正确的IP地址。
NetBIOS是一个不可路由的协议,但可绑定至任意的协议中,因此其非常容易成为系统中的后门。
对策:
对于不需登录至NT/2000局域网的拨号用户,只需在系统的网络属性中删除“Microsoft网络用户”,而仅使用“Microsoft友好登陆”。
8.屏幕保护程序漏洞
漏洞描述:
不输入屏保密码即可访问硬盘,甚至运行程序。
解释:
当计算机使用的屏幕保护程序为Windows自带的“频道屏幕保护程序”后,在屏幕上单击鼠标右键或按键盘,出现屏保密码输入窗口后,用鼠标拖动输入框,使密码输入窗口的“取消”按钮位于在屏幕中央的图片上,然后将鼠标对准“取消”按钮,同时按下左右键,此时会弹出IE的右键菜单。
在弹出的菜单中选择“图片另存为”,即弹出“保存图片”对话框,此时即可访问硬盘。
对策:
建议不使用Windows自带的“频道屏幕保护程序”。
三、Windows 2000系统漏洞
1.输入法漏洞
漏洞描述:
通过该漏洞用户可浏览计算机上的所有文件,且可执行net.exe命令添加Administrator级别的管理员用户,从而完全控制计算机。
解释:
在Windows 2000的登陆窗口中,按Ctrl+Shift键,切换至全拼输入法。在输入法状态条上按鼠标右键,选择“帮助”的“输入指南”,然后选择“选项”,按右键选择“跳转到URL”命令,随后即可输入各类命令。如使用系统的“net”命令,即可添加系统管理员用户,随后即可通过该帐户登录。
对策:
(1)卸载不用的输入法,并删除输入法的帮助文件。
(2)安装Windows 2000的Service Pack 1以上的版本。
2.Unicode漏洞
漏洞描述:
攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件。
解释:
Unicode 标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode均为每个字符提供独一无二的序号,如向IIS服务器发出包括非法 Unicode UTF-8序列的URL,攻击者可使服务器逐字“进入或退出”目录并执行任意程序,该攻击即称为目录转换攻击。
Unicode 用“%2f”和“%5c”分别代表“/”和“\”字符,但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符,如用“%c0% af”代表“/”字符。由于IIS不对超长序列进行检查,因此在URL中添加超长的Unicode序列后,可绕过微软的安全检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可执行文件。
对策:
(1)为避免该类攻击,建议下载最新补丁,网址如下所述:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
(2)安装IIS Lockdown和URL Scan来加固系统,从而避免该类攻击。
IIS Lockdown的下载地址如下所述:
http://www.microsoft.com/technet/security/tools/locktool.asp 
URLScan的下载地址如下所述:
http://www.microsoft.com/technet/security/URLScan.asp
(3)安装Windows 2000的Service Pack 2以上的版本。
3.ISAPI 缓冲区扩展溢出漏洞
漏洞描述:
攻击者向装有IIS5.0的Windows 2000服务器发送特定数据,造成缓冲区溢出,从而控制IIS服务器,甚至获取服务器的最高权限。
解释:
IIS是在很多Windows NT和Windows 2000系统中使用的服务器软件。安装IIS后会自动安装多个ISAPI extensions。
ISAPI,即Internet Services Application Programming Interface,允许开发人员使用DLL扩展IIS服务器性能,然而某些动态连接库,如“IDQ.DLL”存在错误,使其进行不正确的边界检查。当外部攻击实施向ISAPI扩展发送特定参数的“Buffer Over Run”攻击时,即可从外部执行服务器的所有程序。
IDQ.DLL缓冲区溢出漏洞将影响Microsoft Index Server 2.0和Windows 2000中的Indexing Service,而打印机缓冲区溢出漏洞将影响Windows 2000 Server、Advanced Server 和安装IIS 5.0的Server Data Center Edition。
对策:
(1)管理员应及时检查并取消不需的ISAPI扩展,并使让系统运行于工作所需的最少服务状态中。
(2)下载补丁程序,网址如下所述:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
(3)安装Windows 2000的Serive Pack 2以上的版本。
4.MS SQL Server的SA空密码漏洞
漏洞描述:
攻击者可在安装MS SQL Server的Windows 2000服务器上新建Administrators组用户。
解释:
在Windows 2000中,企业级用户一般均使用微软的数据库管理软件 MS SQL Server,在安装MS SQL Server后,会将产生默认的SA用户,且初始密码在管理员未设置的情况下为空,但SA为SQL Server中非常重要的安全模块成员,因此入侵者即可通过SQL Server客户端进行数据库远程连接,然后通过SQL的远程数据库管理命令进行命令操作,从而在MS SQL Server服务器上新建管理员级别的Administrators组用户。
对策:
(1)安装SQL Server后应立即修改SA的空密码。
(2)安装Windows 2000的Service Pack 3。
5.系统管理权限漏洞
漏洞描述:
操作系统权限有可能被登录至Windows 2000的普通用户所窃取。
解释:
该漏洞发现于网络连接管理器(Network Connection Manager,即NCM)中,网络连接管理器是管理并设置系统网络连接的组件。在建立网络连接时,连接管理器将调用某个处理程序,,由于连接管理器中的安全漏洞,因此经过某些复杂的操作步骤,被调用的处理程序将在局部系统权限下运行,且有可能调用其他处理程序。
如作为处理程序而指定任意程序后,该程序将在局部系统权限下运行,而该权限即Windows系统自身的执行权限,且基本未受任何限制,因此在该权限下任何程序均可运行,普通用户即可控制整个系统。
对策:
安装Windows 2000的Service Pack 3。
6.路径优先漏洞
漏洞描述:
本地攻击者可利用该漏洞在系统中放置木马,并以系统登录用户安全权限执行。
解释:
Windows 2000在应用程序的绝对路径未指定的情况下会使用“Path”的系统变量进行搜索,而该搜索方法存在缺陷,本地攻击者可利用该漏洞在系统中放置木马,并以同系统登录用户的安全权限执行。
在Windows 2000中,默认对系统的“ROOT”文件夹提供“Everyone”组的全部访问权限。一般系统“ROOT”并未包含在搜索路径中,但在某些情况,如登录或应用程序直接“开始”菜单的“运行”菜单项调用时,其会包含在搜索路径中。该情况可导致攻击者使用木马程序对同一系统用户进行攻击,即通过在系统 ROOT目录中建立和原系统程序相同名程的木马程序,然后等待其他用户登录系统和调用木马程序。
对策:
微软目前还未推出相应的补丁程序,建议通过对系统ROOT目录设置权限来减小该漏洞的危害。
7.NetDDE消息权限提升漏洞
漏洞描述:
网络动态数据交换(Network Dynamic Data Exchange,即NetDDE)是一种在不同Windows应用程序间动态共享数据的技术,该共享通过受信任共享的通信通道完成,受信任共享由网络DDE代理服务管理。
本地机器的进程可向网络DDE代理发出请求,包括指定针对某个受信任共享应运行的应用程序,但由于网络DDE代理运行在本地系统用户的安全范围中并处理所有请求,因此攻击者可使网络DDE代理在本地系统用户的安全范围中执行其指定代码,从而提升权限并完全控制本地机器。
解释:
Network DDE服务负责维护所有活动的网络DDE共享列表并管理NetDDE连接。当该服务启动时,在当前登录用户的桌面将创建隐藏的IPC窗口,用于和打开 DDE特性的应用程序进行通信。该窗口名称为“NetDDE Agent”,类名为“NDDEAgent”,由于窗口由Winlogon创建,因此窗口过程将运行于Winlogon的进程空间中,并以SYSTEM的权限来处理消息。
“WM_COPYDATA”消息是该窗口所处理的消息之一,DDE用该消息将内存从进程传送送至另一个进程。WM_COPYDATA消息由“SendMessage”函数发送,并由底层消息子系统作为特殊情况进行处理。
当缓冲区的特殊数据传送至窗口过程时,将首先检查前12个字节的值,如不同,则消息处理过程将返回错误,否则即取出两个ASCII字符串并将其转换为 Unicode串后检查共享名,以确保存在且为受信任的共享,但由于默认情况在系统中可存在多个受信任共享,因此可对其进行穷举,对每个共享名均尝试运行命令直至获取受信任的共享。
对策:
(1)禁止DDE共享,但会导致某些须使用DDE共享的程序无法正常工作。
(2)以管理员身份运行ddeshare.exe,删除不必要的受信任共享。
(3)下载并安装补丁程序,网址如下所述:
英文版: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27526
中文版: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27530
(4)安装Windows 2000的Service Pack3。
8.RDP拒绝服务漏洞
漏洞描述:
向RDP服务端口提交多个畸形包会导致服务器崩溃。
解释:
RDP(Remote Desktop Protocol),即远程桌面协议,是终端服务器和客户端间的通信协议,其允许远程用户使用键盘和鼠标通过网络在应用程序间进行通信。Windows 2000的服务器和高级服务器版本在以终端服务器形式使用时易受到拒绝服务攻击。
向RDP服务端口提交多个畸形的包会导致服务器崩溃,未保存数据将丢失,需重启服务器才可恢复正常功能。
对策:
(1)补丁下载,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27500
(2)安装Windows 2000的Service Pack 2以上的版本。
9.域控制器拒绝服务漏洞
漏洞描述:
提交至域控制器的大量无效请求将导致系统停止响应。
解释:
Windows 2000域控制器存在拒绝服务的情况,使向域控制器提交大量的无效请求会导致系统停止响应。
开启了464号UDP端口的Windows 2000服务器容易收到UDP的Ping攻击,只需向该端口发送的数据包的源端口使用19号端口,即可使服务器的CPU占用率大为升高。
对策:
(1)补丁下载,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28064
(2)安装Windows 2000的Service Pack 2以上的版本。
10.事件查看器存在缓冲区溢出
漏洞描述:
攻击者可使事件查看器崩溃或执行任意代码。
解释:
Windows 2000的事件查看器在显示事件记录细节情况时存在缓冲区溢出,通过在事件记录字段中填入特殊构造的数据,攻击者可使事件查看器崩溃或执行任意代码。
对策:
(1)对于Windows 2000建议下载补丁,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27842
(2)安装Windows 2000的Service Pack 2以上的版本。
11.UDP套接字拒绝服务漏洞
漏洞描述:
当接收恶意电子邮件或访问某恶意网站时,Windows 2000会停止DNS解析,而Windows 98则会拒绝接受新的TCP连接。
解释:
Windows 2000和Windows 98容易受到拒绝服务的影响。当收到一封恶意构造的电子邮件或者访问某个恶意的网站时,Windows 2000可能会停止DNS解析,而Windows 98则会拒绝接受新的TCP连接,这些情况由于应用程序在分配网络套接字时缺少限制所引起,网站的恶意Java Applet程序可利用该漏洞使系统拒绝服务。
对策:
在浏览器中禁止执行Java Applet。
12.安全帐户管理漏洞
漏洞描述:
安全帐户管理数据库可由Administrator帐户和Administrator组中的所有成员、备份操作员、服务器操作员及所有具有备份特权的人员所复制。
解释:
SAM数据库的一个备份可被某些工具所利用于破解口令,Windows 2000在对用户进行身份验证时,仅可实现加密RSA水平。在该情况下,甚至不需使用工具即可猜测明文口令。
对策:
限制Administrator组和备份组帐户的成员资格,并加强对这些帐户的跟踪,尤其对Administrator帐户的登录失败和注销。
13.IIS 5.0 的HTR映射远程堆溢出漏洞
漏洞描述:
Windows 2000的IIS 5.0对“htr”文件的映射请求处理存在堆溢出漏洞,远程攻击者可利用该漏洞获取主机普通用户的访问权限。
解释:
默认安装的IIS提供对“htr”文件请求的支持,一般htr文件用于设置基于Web的口令,其请求被映射为一个ISAPI扩展,并由ISM.DLL来处理。当请求传送至ISM.DLL 的ISAPI过滤器处理时,某些特殊请求将导致处理过程中发生堆溢出问题,原因为ISM.DLL分配的缓冲区比实际接受的用户输入数据长度小一个字节,因此导致一个单字节溢出的发生。
如攻击者使用随机数据,可使IIS服务崩溃(即IIS 5.0会自动重启),某些发送的数据,也可使程序执行任意代码。如成功利用该漏洞,远程攻击者可获取IIS4.0中的SYSTEM权限和IIS5.0中的IWAM_computername用户权限。
对策:
(1)建议在不需使用“htr”映射时,立刻删除“htr”脚本映射。
(2)下载补丁,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824
(3)安装Windows 2000的Serive Pack 2以上的版本。
14.IIS5.0的ASP缓冲溢出漏洞
漏洞描述:
IIS 5.0 ASP 的ISAPI过滤器存在远程缓冲区溢出漏洞,远程攻击者可利用该漏洞获取主机普通用户访问权限。
解释:
默认安装的IIS 5.0服务器加载ASP ISAPI过滤器,在处理分块编码传送机制的代码中存在缓冲区溢出漏洞,攻击者可通过提交恶意分块编码数据来覆盖内存数据,并通过指定的数据重写任意地址的4字节内存。
如攻击者使用随机数据,可使IIS服务崩溃(IIS 5.0会自动重启)。成功利用该漏洞,攻击者可获取IIS 5.0的 IWAM_computername用户权限。
对策:
(1)下载补丁,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824
(2)如不使用ASP脚本,可删除“asp”脚本映射。
(3)安装Windows 2000的Serive Pack 2以上的版本。
15.Narrator本地密码信息泄露漏洞
漏洞描述:
恶意攻击者可使计算机读出用户名和密码。
解释:
Windows 2000包含可选用功能――Narrator,该功能用于将文本翻译为语音。Narrator在登录至终端服务进程时存在设计问题,本地攻击者可利用该漏洞获取密码信息。
当Narrator登录至终端服务进程时,会将用户名、域名和相关的密码以语音方式输出,导致密码信息泄露。
对策:
目前暂无相关补丁,建议不安装该功能。
16.SMTP认证漏洞
漏洞描述:
SMTP 用户认证可跳过。
解释:
SMTP 服务属于Windows 2000 server和Internet Mail Connector缺省安装的部分。当Windows 2000 SMTP service和Exchange Server 5.5 IMC 接收NTLM验证层用户验证通知时,在赋予该用户合法访问权限前会进行多余的验证,在某些情况下会进行不正确的验证,使攻击者可获取用户级的非法访问权。
对策:
下载安装补丁,网址如下所述:
Microsoft Windows 2000 Server, Professional and Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID= 36556
Exchange Server 5.5:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=33423
17.IIS 5.0/5.1 验证漏洞
漏洞描述:
IIS 验证漏洞导致泄露系统信息及帐户可通过暴力法破解。
解释:
IIS 提供了Web、FTP和Mail等服务,并支持匿名访问,当Web服务器验证用户失败时,将返回“401 Access Denied”信息,如服务器支持基本认证方式,攻击者可将主机头域置空后,Web服务器将返回包含内部地址的信息,因此可利用该问题对服务器的用户口令进行暴力法破解。
对策:
(1)如服务器访问不需认证,建议关闭基本认证和集成的Windows认证。
(2)设置帐号策略以防止暴力法破解。
18.SQL Server的函数库漏洞
漏洞描述:
在Windows 2000 和SQL Server7.0/2000系统中,由于函数库本身问题会导致内存溢出和拒绝服务。本地攻击者利用该漏洞可获取系统特权或进行D.o.S 攻击,并可运行攻击程序,使其产生拒绝服务。
解释:
SQL Server 7.0和2000提供很多函数使数据库查询产生文字信息,这些文字信息保存于变量中,这些函数存在两种漏洞,如下所述:
(1)函数库本身问题,产生内存溢出,且可按需执行程序或引起其SQL Server 服务产生错误。
(2)呼叫SQL Server函数库时,产生C runtime函数库内格式字符串漏洞。
由于这两个漏洞产生原因不同,因此需分别修补,建议按需对C runtime进行修正。
对策:
(1)建议用户按 SQL Server和C runtime的不同方式进行修补安装。
(20下载安装补丁,网址如下所述:
SQL Server:
SQL Server 7.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=35066
SQL Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=35067
C Runtime:
Windows NT 4.0 和 Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=33500
Windows XP: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=35023
19.IIS5.0 伪造“Content-Length”拒绝服务漏洞
漏洞描述:
通过向IIS 5.0发送某些请求,可导致IIS 5.0拒绝服务。
解释:
当IIS 5.0接收包含伪造的“Content-Length”域的GET请求时,会以异常方式处理该请求,即IIS 5.0保持该连接且不超时,但不再响应其他请求,仅重启才可恢复正常工作。
对策:
目前还未有关于该漏洞的补丁程序,建议限制非信任主机对80端口的访问。
20.调试寄存器漏洞
漏洞描述:
通过该漏洞,可提升用户权限。
解释:
如在Windows 2000系统执行程序,通过该漏洞可提升用户权限。该漏洞的原因在于x86调试寄存器的DR0至DR7寄存器对于所有进程均为全局性。因此在进程中所设的硬件断点会影响其他进程和服务,如该断点在某个服务中被触发,会引发单步异常,该进程活服务即被终止。
对策:
安装Windows 2000的Service Pack 3。
21.drwtsn32.exe文件漏洞
漏洞描述:
drwtsn32.exe文件的故障使文件默认权限设置不当,可能导致敏感信息泄漏。
解释:
drwtsn32.exe(Dr. Watson)是Windows系统内置的程序错误调试器,在默认状态下,出现程序错误时Dr. Watson 将自动启动,除非系统安装VC等其他具有调试功能的软件。
由于user.dmp中存储内容为当前用户的部分内存镜像,因此可导致各种敏感信息泄漏,如帐号、口令、邮件、浏览过的网页和编辑的文件等,具体取决于崩溃的应用程序和在此之前用户进行的操作。由于多种原因可导致Windows系统崩溃,因此无法排除恶意用户利用该漏洞获取非授权信息的可能。
对策:
(1)输入不带参数的drwtsn32,更改故障文件至特权路径或取消“建立故障转储文件”选项。
(2)删除注册表项“[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ AeDebug]”下的相关键值。
(3)使用其他调试工具。
22.快捷方式漏洞
漏洞描述:
Windows快捷方式可导致本地拒绝服务和用户口令散列值泄漏及执行恶意程序。
解释:
Windows 快捷方式即扩展名为lnk、pif或url的文件。其中url文件为纯文本格式,lnk和pif文件为二进制文件。这三种快捷方式均可自定义图标文件,当将图标文件名设置为Windows的默认设备名时,由于设备名称解析漏洞,可导致Windows9X系统崩溃。由于图标搜索由资源浏览器自动完成,因此只需快捷方式在资源管理器中出现,即可导致系统崩溃。
对于Windows NT/2000系统不会由于设备名称解析而崩溃,但如创建一个完全由ASCII字符填充组成的pif文件时会出现很多故障,如下所述:
对一个大于369字节的非法pif文件调用查看属性的“程序”页时,资源管理器会出错,提示“"0x77650b82"指令引用的"0x000000000"内存。该内存无法为‘read’”,但该错误不会引发缓冲溢出的安全问题。
对策:
不轻易将邮件附件导出,尤其不导出至桌面,不轻易打开邮件中的各种快捷方式附件。
23.UTF漏洞
漏洞描述:
IIS 存在 UTF 目录遍历漏洞,攻击者利用该漏洞执行任意代码。
解释:
IIS一般会阻断 HTTP 请求中对Web 根目录外文件的访问,但通过使用特殊的 UTF 编码,攻击者可绕过过滤机制非法访问系统文件,并执行任意代码。
利用该漏洞,远程攻击者通过Web客户端能以IUSR_machinename 帐号身份访问系统文件:
对策:
安装Windows 2000的Service Pack 3。
24.IIS 5.0 SEARCH方法远程攻击漏洞
漏洞描述:
IIS 5.0的 SEARCH方法存在漏洞,易导致远程攻击。
解释:
WebDAV是HTTP协议的扩展,允许远程编写和管理Web内容。微软IIS 5.0的WebDAV在处理某些畸形的请求时存在缺陷,当提交超长的SEARCH请求时可使IIS 服务重启。
对策:
(1)下载的补丁程序,网址如下所述:
Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28564
(2)先停止IIS服务,然后禁止“Everyone”用户访问Httpext.dll,最后再启动IIS服务。
25.LDAP 漏洞
漏洞描述:
远程攻击者利用 Microsoft LDAP 漏洞可改变管理员口令。
解释:
LDAP 服务器可被配置为通过SSL支持的LDAP,主要目的在于允许用户改变目录属主的数据性质,但当目录属主为域用户且数据特性为域口令时,服务器将不检查请求的合法性。
利用该漏洞,攻击者可改变任何用户,包括管理员的域登录口令。此外Windows 缺省安装无该漏洞,仅在 LDAP 服务器上安装数字证书才可建立通过 SSL 的 LDAP,如跳过防火墙阻断 TCP 636 端口,则攻击者无法利用该漏洞。
对策:
下载并安装补丁程序,网址如下所述:
Windows 2000 Server and Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31065
26.IIS5.0 拒绝服务漏洞
漏洞描述:
利用设备文件导致IIS拒绝服务。
解释:
当使用FSO(File System Object)组件 打开或读取设备文件时(如“com1”或“com2”等)将导致 ASP-processor停止响应。对于本地攻击者,如有创建 ASP文件的权限,可导致服务器死机。
对策:
修补FSO组件的相关代码,使其在打开文件前须检查其是否存在。
27.Telnet漏洞
漏洞描述:
Windows 2000 Telnet 服务存在很多重大安全漏洞。
解释:
(1)提升权限漏洞:
当Telnet 服务进程建立时,该服务会创建有名管道,并执行命令,但该管道的名字可被预见。如Telnet 发现已存在的管道名,将直接使用。
利用该漏洞,可预建管道名,当下一次Telnet创建服务进程时,会在本地环境中运行攻击者的代码。
(2)拒绝服务漏洞:
有四个漏洞可引起 D.o.S 攻击,如下所述:
攻击者可建立大量空闲Telnet登录进程从而阻止其他合法用户登录。
攻击者反复建立、终止Telnet进程耗尽服务器的句柄,从而造成拒绝服务。
攻击者通过构造特殊登录命令导致Telnet拒绝服务。
使用普通用户权限通过系统调用终止Telnet服务。
(3)泄露敏感信息漏洞:
攻击者通过 Telnet 服务可获得 GUEST 帐号的一些敏感信息。
对策:
下载并安装补丁,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30508
28.登录服务恢复模式空密码漏洞
漏洞描述:
恶意用户可对系统进行物理访问,并拥有管理员权限。
解释:
该漏洞允许恶意用户对域管理器进行物理访问并在管理器中安装软件。在执行引导进程时,Windows 2000提供大量的操作系统模式,以帮助管理员修复问题。
“服务器配置”工具用于调节域的控制状态,并将空口令分配至操作系统,即导致恶意用户对系统进行物理访问,并拥有管理员的权限。
利用本漏洞需满足三个条件,如下所述:
(1)恶意用户从物理上接触域控制器并选择启动模式菜单。
(2)使用Configure工具将系统提升为域控制器。
(3)Configure工具仅运行于网络的第一个域控制器中。
对策:
安装Windows 2000的Serive Pack 2以上的版本。
29.默认注册许可漏洞
漏洞描述:
一些Windows注册键值被设置为错误的默认值,使攻击者改变系统设置,甚至远程控制主机。
解释:
Windows 2000中的SNMP服务可远程管理计算机,给予“KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SNMP\Parameters”不可靠的许可权,导致恶意用户可访问注册表,并读取存储在ValidCommunities键值中的 SNMP组名,导致恶意用户通过SNMP管理计算机。
恶意用户也可通过修改注册表键值来改变组名,可拒绝授权用户通过SNMP访问主机。
对策:
安装Windows 2000的 Service Pack 2以上的版本。
30.域帐号锁定漏洞
漏洞描述:
微软Windows 2000域帐号锁定可被绕过。
解释:
在特定情况中可在系统中绕过域帐号锁定策略,使穷举密码攻击成为可能。域帐号锁定策略目的在于单词不成功登录后禁止该帐号,如未实现该策略,则可域帐号的密码进行穷举。
在使用NTLM认证的域中,Windows 2000主机无法识别针对本地的用户制订的域帐号锁定策略,在域控制器无法实施认证的情况下,缓存的凭证将被使用。
不使用NTLM进行认证的Windows 2000系统不受本漏洞的影响,因此作为Windows 2000域成员的客户端不存在本漏洞。
对策:
安装Windows 2000的Serive Pack 2以上的版本。
31.终端服务器登录缓存溢出漏洞
漏洞描述:
该漏洞允许恶意用户引发终端服务崩溃或在服务器上执行恶意代码。
解释:
终端服务登录的一个未经检查的缓冲区将允许恶意用户执行任意代码,即恶意用户不需成功登录即可实现攻击。如连接请求未被过滤,该漏洞可远程使用。终端服务默认监听的TCP端口为3389,该端口可在防火墙及路由器中锁定。
对策:
安装Windows 2000的Serive Pack 2以上的版本。
32.ActiveX 参数漏洞
漏洞描述:
该漏洞可允许恶意用户在另一台主机上运行代码。
解释:
ActiveX控制器包含未经检查的缓冲区,如控制器被Web或HTML以畸形参数调用时,可由于缓冲区溢出而导致在主机上执行代码,仅当ActiveX在IE、 Outlook或Outlook Express中被激活时,该漏洞才会被利用。
对策:
(1)下载并安装补丁程序,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25532
(2)安装Windows 2000的Serive Pack 2以上的版本。
33.IIS5.0 Cross-Site Scripting漏洞
漏洞描述:
该漏洞可影响运行于Web服务器的任何软件,接受用户输入并生成Web页。
解释:
该漏洞又称Cross-Site Scripting(CSS),由于在动态Web页上使用Web应用程序前未正确验证输入而导致。
对策:
安装Windows 2000的Serive Pack 2以上的版本。
34.组策略漏洞
漏洞描述:
以独占方式打开组策略文件导致组策略应用被阻塞,攻击者可阻止组策略的应用。
解释:
通过保存在域控制器上的活动目录和系统卷,Windows 2000可实现组策略的应用,这些存储位置称为组策略对象。当用户和计算机登录至域时,会读取和应用包含在组策略中的配置。
当Windows 2000以“排他读”的方式读取文件时,会导致攻击者锁定组策略文件,从而使组策略无法正常应用至所有受的用户和计算机。利用该漏洞可正常登录至域,然后以“排他读”的方式打开组策略文件,随后即可二次登录。
该漏洞可导致使用最近应用的策略设置,而其他用户在组策略锁定时不应用新的策略设置。
对策:
下载补丁程序,网址如下所述:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36844
35.Outlook Express数字签名缓冲区溢出漏洞
漏洞描述:
允许攻击者运行其代码。
解释:
为校验邮件信息真实性,Outlook Express 支持数字签名,当数字签名相关的特殊错误发生时,代码的缓存溢出漏洞将导致警告信息。攻击者可创建一个具有数字签名的电子邮件并添加特殊数据,然后将其发送至用户,当接收者打开或预览邮件时,攻击者可使邮件客户端崩溃或利用该邮件在用户系统中运行攻击代码。
该漏洞仅影响Outlook Express 用户,而Outlook用户不会受影响。
对策:
对用户帐户使用相应的限制。
36.ActiveX控件漏洞
漏洞描述:
使Windows 9x以上的版本拒绝服务。
解释:
Windows 的所有版本均提供信用注册服务的 ActiveX 控件,该控件主要用于支持基于网络的信用注册。
当该控件被用于提交“PKCS #10”的信用请求,并在请求得到许可后,会将其存放于用户信用存储区。该控件可使网页通过复杂的过程来删除用户系统的信用账号。
利用该漏洞可破坏经确认的根证书、EFS编码证书和电子邮件签名证书,从而导致用户无法使用这些证书。
攻击者还可建立利用该漏洞的网页,以攻击访问该站点的用户或直接将网页作为邮件发送来攻击。
对策:
下载补丁程序,网址如下所述:
Microsoft Windows 98:http://www.microsoft.com/Windows 98/downloads/Contents/WUCritical/q323172/default.asp
Microsoft Windows 98 Second Edition:http://www.microsoft.com/Windows 98/downloads/contents/WUCritical/q323172/default.asp
Microsoft Windows Me:http://download.microsoft.com/download/WINME/PATCH/ 24421/WINME/EN-US/323172USAM.EXE
Microsoft Windows NT 4.0:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41747
Microsoft Windows NT 4.0, Terminal Server Edition:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41361
Microsoft Windows 2000:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41568
Microsoft Windows XP:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598
Microsoft Windows XP 64-bit Edition:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41594
37.SMB漏洞
漏洞描述:
拒绝服务。
解释:
SMB(Server Message Block)是Windows系统用于共享文件、打印机、并行通信口及在计算机间通过命名管道和信使进行通信的协议。在网络环境中,服务器使文件系统和资源可被客户端使用,客户发送对某些资源的 SMB 请求,服务器端将发送 SMB 回应,SMB 是客户端/服务器结构和请求/回应机制的协议。攻击者通过发送请求包使服务器拒绝服务且系统崩溃。
对策:
(1)可通过禁止匿名访问来防止攻击,也可通过禁止未经信任网络的 SMB 访问,防止受到未经信任的类似攻击。
(2)下载补丁程序,网址如下所述:
Microsoft Windows 2000:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41468
Microsoft Windows XP:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41524
Microsoft Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41549
38.网络连接管理器漏洞
漏洞描述:
导致用户权限的提升。
解释:
网络连接管理器(NCM,即Network Connection Manager)是由主机管理的网络连接所使用的控制机制。网络连接建立后,NCM即调用处理例程。由于设计存在的缺陷,未经授权的用户可通过一系列复杂过程,利用该缺陷使该处理例程运行。
攻击者可利用该漏洞指定代码,然后建立网络连接,使NCM激活这些代码,并获取系统权限执行。
对策:
(1)建议不允许未经授权的用户登录至关键业务的服务器。
(2)下载补丁程序,网址如下所述:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41406
四、Windows XP系统漏洞
1.UPNP服务漏洞
漏洞描述:
允许攻击者执行任意指令。
解释:
Windows XP默认启动的UPNP服务存在严重安全漏洞。UPNP(Universal Plug and Play)体系面向无线设备、PC机和智能应用,提供普遍的对等网络连接,在家用信息设备、办公用网络设备间提供TCP/IP连接和Web访问功能,该服务可用于检测和集成 UPNP 硬件。
UPNP 协议存在安全漏洞,使攻击者可非法获取任何 Windows XP 的系统级访问、进行攻击,还可通过控制多台 XP 机器发起分布式的攻击。
对策:
(1)建议禁用UPNP服务。
(2)下载补丁程序,网址如下所述:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-059.asp
2.升级程序漏洞
漏洞描述:
如将Windows XP升级至Windows XP Pro,IE 6.0即会重新安装,以前的补丁程序将被全部清除。
解释:
Windows XP的升级程序不仅会删除IE的补丁文件,还会导致微软的升级服务器无法正确识别IE是否存在缺陷,即Windows XP Pro系统存在两个潜在威胁,如下所述
(1)某些网页或HTML邮件的脚本可自动调用Windows的程序。
(2)可通过IE漏洞窥视用户的计算机文件。
对策:
如IE浏览器未下载升级补丁可至微软网站下载最新补丁程序。
3.帮助和支持中心漏洞
漏洞描述:
删除用户系统的文件。
解释:
帮助和支持中心提供集成工具,用户通过该工具获取针对各种主题的帮助和支持。在目前版本的 Windows XP 帮助和支持中心存在漏洞,该漏洞使攻击者可跳过特殊的网页(在打开该网页时,调用错误的函数,并将存在的文件或文件夹的名字作为参数传送)来使上传文件或文件夹的操作失败,随后该网页可在网站上公布,以攻击访问该网站的用户或被作为 邮件传播来攻击。
该漏洞除使攻击者可删除文件外,不会赋予其他权利,攻击者既无法获取系统管理员的权限,也无法读取或修改文件。
对策:
安装 Windows XP的Service pack 1。
4.压缩文件夹漏洞
漏洞描述:
Windows XP 压缩文件夹可按攻击者的选择运行代码。
解释:
在安装“Plus!”包的Windows XP系统中,“压缩文件夹”功能允许将Zip文件作为普通文件夹处理。“压缩文件夹”功能存在两个漏洞,如下所述:
(1)在解压缩Zip文件时会有未经检查的缓冲存在于程序中以存放被解压文件,因此很可能导致浏览器崩溃或攻击者的代码被运行。
(2)解压缩功能在非用户指定目录中放置文件,可使攻击者在用户系统的已知位置中放置文件。
建议:
不接收不信任的邮件附件,也不下载不信任的文件。
5.服务拒绝漏洞
漏洞描述:
服务拒绝。
解释:
Windows XP支持点对点的协议(PPTP),是作为远程访问服务实现的虚拟专用网技术,由于在控制用于建立、维护和拆开 PPTP 连接的代码段中存在未经检查的缓存,导致Windows XP 的实现中存在漏洞。通过向一台存在该漏洞的服务器发送不正确的 PPTP 控制数据,攻击者可损坏核心内存并导致系统失效,中断所有系统中正在运行的进程。
该漏洞可攻击任何一台提供 PPTP 服务的服务器,对于 PPTP 客户端的工作站,攻击者只需激活PPTP会话即可进行攻击。对任何遭到攻击的系统,可通过重启来恢复正常操作。
对策:
建议不默认启动PPTP。
6.Windows Media Player漏洞
漏洞描述:
可能导致用户信息的泄漏;脚本调用;缓存路径泄漏。
解释:
Windows Media Player漏洞主要产生两个问题:一是信息泄漏漏洞,它给攻击者提供了一种可在用户系统上运行代码的方法,微软对其定义的严重级别为“严重”。二是脚本执行漏洞,当用户选择播放一个特殊的媒体文件,接着又浏览一个特殊建造的网页后,攻击者就可利用该漏洞运行脚本。由于该漏洞有特别的时序要求,因此利用该漏洞进行攻击相对就比较困难,它的严重级别也就比较低。
对策:
Windows Media Player的信息泄漏漏洞不会影响在本地机器上打开的媒体文件。因此,建议将要播放的文件先下载到本地再播放,即可不受利用此漏洞进行的攻击。脚本执行漏洞仅有完全按下面的顺序进行一系列操作,攻击者才可能利用该漏洞进行一次成功攻击,否则,攻击将不会成功。具体的操作如下:用户必须播放位于攻击者那边的一个特殊的媒体文件;播放该特殊文件后,该用户必须关闭Windows Media Player而不再播放其他文件;用户必须接着浏览一个由攻击者构建的网页。因此,只需用户不按照该顺序进行操作,即可不受攻击。
7.RDP漏洞
漏洞描述:
信息泄露并拒绝服务。
解释:
Windows 操作系统通过RDP(Remote Data Protocol)为客户端提供远程终端会话。RDP 协议将终端会话的相关硬件信息传送至远程客户端,其漏洞如下所述:
(1)与某些 RDP 版本的会话加密实现有关的漏洞。
所有RDP 实现均允许对RDP 会话中的数据进行加密,然而在Windows 2000和Windows XP版本中,纯文本会话数据的校验在发送前并未经过加密,窃听并记录 RDP 会话的攻击者可对该校验密码分析攻击并覆盖该会话传输。
(2)与Windwos XP中的 RDP 实现对某些不正确的数据包处理方法有关的漏洞。
当接收这些数据包时,远程桌面服务将会失效,同时也会导致操作系统失效。攻击者只需向一个已受影响的系统发送这类数据包时,并不需经过系统验证。
对策:
Windows XP 默认并未启动它的远程桌面服务。即使远程桌面服务启动,只需在防火墙中屏蔽3389端口,即可避免该攻击。
8.VM漏洞
漏洞描述:
可能造成信息泄露,并执行攻击者的代码。
解释:
攻击者可通过向 JDBC 类传送无效的参数使宿主应用程序崩溃,攻击者需在网站上拥有恶意的Java applet 并引诱用户访问该站点。
恶意用户可在用户机器上安装任意DLL,并执行任意的本机代码,潜在地破坏或读取内存数据。
对策:
建议经常进行相关软件的安全更新。
9.热键漏洞
漏洞描述:
设置热键后,由于Windows XP的自注销功能,可使系统“假注销”,其他用户即可通过热键调用程序。
解释:
热键功能是系统提供的服务,当用户离开计算机后,该计算机即处于未保护情况下,此时Windows XP会自动实施“自注销”,虽然无法进了桌面,但由于热键服务还未停止,仍可使用热键启动应用程序。
对策:
(1)由于该漏洞被利用的前提为热键可用,因此需检查可能会带来危害的程序和服务的热键。
(2)启动屏幕保护程序,并设置密码。
(3)建议在离开计算机时锁定计算机。
10.帐号快速切换漏洞
漏洞描述:
Windows XP快速帐号切换功能存在问题,可被造成帐号锁定,使所有非管理员帐号均无法登录。
解释:
Windows XP设计了帐号快速切换功能,使用户可快速地在不同的帐号间切换,但其设计存在问题,可被用于造成帐号锁定,使所有非管理员帐号均无法登录。
配合帐号锁定功能,用户可利用帐号快速切换功能,快速重试登录另一个用户名,系统则会认为判别为暴力破解,从而导致非管理员帐号锁定。
对策:
暂时禁止帐户快速切换功能。

posted on 2007-10-23 21:08  段兴传  阅读(8432)  评论(0编辑  收藏  举报

导航