2009年04月21日
让系统安全裸奔

首先定义系统"裸奔"的意思,就是指不用杀软的监控.自己定义规则来预防病毒.即使受到了病毒和木马的席卷,系统也不会被感染.

声明这 篇文章有可能涉及到杀软厂商攫取利润的直接利益.惰惰猴只以现在主流的windows XP 专业版为例介绍如何建立自己的HIPS,给广大深受毒害的朋友一点启发.看贴的人必须要有良好的windows系统基础知识,了解系统文件夹结构.如果连 起码的system32文件夹都不知道在哪的菜鸟,那看懂确实有点困难了,不过人总是要成长的.例子给你了,能不能举一反三就看各位看官的能力了.好了言 归正传:

不管是病毒木马还是杀软几乎都让我们头疼,那么病毒木马会干些什么呢?废话嘛,当然是拖慢系统,让系统故障,破坏数据,甚至 让系统无法启动.那杀软就会阻止病毒和木马的破坏,那么越是检查严格的杀软就越是占用系统的资源,如果你硬件配置不高而以为追求高性能杀软,,反而得不偿 失.病毒拖慢系统,杀软也拖慢系统.而且病毒木马出生在前,杀软跟进在后.厉害关系尽人皆知.但是如何建立HIPS赋予系统免疫力让系统即使受到了病毒和 木马的席卷,也不会被感染呢?恐怕菜鸟只有跪地企求VB.那黑客怎么办?

一,堵住路口,启用系统自带防火墙

打开始 菜单-开运行输入secpol.msc开启本地安全策略(XP专业版本才有,XP HOME没有).右击软件限制策略,选择创建新的策略.然后软件限制策略下会自动创建多个子项..别的地方都不用改.其他规则才是我们要任意发挥水平的地 方.注意其他规则里有系统默认的四个注册表规则,不能修改,否则系统将崩溃.现在再右击"其他规则".会发现他的菜单里有个新路径规则.好我们就要在路径 规则里做文章.这里允许使用通配符",""?""%"比如"%windows%"就表示c:\windows d:\windows等不管你windows文件夹在哪个分区,都给你认出来.

实例1_杜绝阴暗角落的袭击:

很 多病毒木马为了逃过用户的追杀都藏在很隐秘的地方,比如回收站,System Volume Information(系统还原文件夹)等,加上隐藏属性,用户很难发觉.而实际上这些文件夹在正常情况下是不会有任何可执行程序的.所以我们可以建立 如下规则(右击其他规则,在菜单中选择新建路径规则):

在路径框中输入 ?:\Recycled\*.* 安全级别设置为"不允许的"

特 别注意。如果分区文件系统是NTFS,在Windows的NT架构的系统中,即Windows NT/2000/XP/2003,会为系统中的每位用户创建各自的回收站文件夹,如果分区文件系统是NTFS,则会保存在Recycler这个文件夹里, 而不是Recycled文件夹,因此不用担心是病毒文件夹。则会保存在Recycler这个文件夹里.(在这特别感谢发现问题的cml45朋友)那我们应 该:

在路径框中输入 ?:\Recycler\*.* 安全级别设置为"不允许的"

在路径框中输入 ?:\System Volume Information\*.* 安全级别设置为"不允许的"

在路径框中输入 %windir%\system32\Drivers\*.* 安全级别设置为"不允许的"

在路径框中输入 %windir%\system\*.* 安全级别设置为"不允许的"

通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行.完美防御了这一类病毒木马的进攻.放心这种格式是不会秒杀掉诸如.txt .jpg

这样的文本或者图片文件的.至于这四个文件的功能和重要性,菜鸟自己去百度知道.惰惰猴不想费口水.

实例2_杜绝仿冒危险程序:

进 程仿冒是病毒和木马用得最多的手段.比如system32文件夹下的svchost.exe系统文件,病毒就可以同样用svchost.exe命名,然后 放到windows其他任意文件夹下.那运行是XP默认的任务管理器就只会显示svchost.exe进程,而XP正常情况下本来就有很多个 svchost.exe进程.这就欺骗了一般的用户.而一般的杀软也只有干瞪眼.本地安全策略则可以永久的免疫这种方式的木马和病毒.我们只需两条规则 (右击其他规则,在菜单中选择新建路径规则,在路径中写规则):

在路径框中输入 svchost.exe 安全级别设置为"不允许的"

在路径框中输入 %windir%\system32\svchost.exe 安全级别设置为"不受限的"注意是不受限的

2 手把手教你让系统裸奔

学过程序的人知道优先级关系,那么第二条使用绝对路径的优先级高于第一条基于文件名的路径.也就是system32下的svchost.exe是允许运行的,而其他任意文件夹下的svchost.exe都是是不允许运行的.

实例3_杜绝双面病毒木马:

用双扩展名迷惑用户的病毒木马也不少.比如mv.jpg.exe 免费得QQ会员的方法.txt.exe等等,再改个扩展名图标,不少火候不够热爱装逼的系统伪高手们就会误以为是个图片文件和文本文件而掉以轻心.中毒再所难免.

安全策略就能阻止,当然这可以自由发挥惰惰猴只举两个例子右击其他规则,在菜单中选择新建路径规则,在路径中写规则):

在路径框中输入 *jpg.exe 安全级别设置为"不允许的"

在路径框中输入 *txt.exe 安全级别设置为"不允许的"

实例4_不禁用U盘,光驱也能防U盘,光驱,病毒

假设你的U盘或者光驱的盘符是I和J

在路径框中输入 G:\*exe 安全级别设置为"不允许的"

在路径框中输入 G:\*com 安全级别设置为"不允许的"

当然如果你需要用光驱安装软件或者程序的时候就要把G:\*exe和G:\*com 改成不受限的.

防止U盘病毒那么就:

在路径框中输入 I:\*exe 安全级别设置为"不允许的"

在路径框中输入 I:\*com 安全级别设置为"不允许的"

一般的U盘病毒还会自己在U盘根目录下建立隐藏的System Volume Information文件夹和Recycled文件夹(哈哈,Recycled其实就是回收站文件夹)那么我给的第一个策略就挡住了.

还有就是注意不要死板.尽量多设置几个盘符,比如I,J,K,F.因为电脑一般有多个USB接口,好了费话不说接着来.

实例5_对付文件名伪装的病毒和木马:

文件名伪装最初是那些菜鸟黑客用的老掉牙的技术.可是我们仍不能不防.

比 如windows桌面就是explorer.exe那么黑客现在把explorer.exe其中的字母L和O换成数字的0和1.怎样?眼睛疼了吧看得你吐 血,你也不见得看清.有些病毒还会老到以.pif为后缀.他和.exe.com同样是可执行文件,但他们的扩展名,即使在你选择了显示隐藏文件夹扩展名 后.都不会显示.废话不说,写

在路径框中输入expl0rer.exe注意把字母O换成数字0 安全级别设置为"不允许的"

在路径框中输入exp1orer.exe注意把字母L换成数字1 安全级别设置为"不允许的"

在路径框中输入exp10rer.exe注意把字母L,O换成数字1,0 安全级别设置为"不允许的"

在路径框中输入explorer.com 安全级别设置为"不允许的"

在路径框中输入*.pif 安全级别设置为"不允许的"

以下是设置好后的图片

二,扩展系统防火墙,保护IE和临时文件

介 绍了本地安全策略-其他规则-路径规则的应用,那大家是否发现路径规的安全级别设置似乎只有"不允许的"和"不受限的两种"那么惰惰猴再来教大家扩展,事 实上微软还在XP上隐藏了很多安全级别.有一个叫基本用户.什么意思呢?就是界于管理员和受限帐户之间的用户权限.类似windows Vista中的大部分权限.好,废话不说,我们马上开启.

打开注册表(XP系统的打开方法是,开始-运行-regedit)找到

HKEY_LOCAL_MACHINE\software \Policies\Microsoft\Windows\Safer\Codeldentifiers新建一个名为Levels的DWORD值.数值设 置为一个十进制数131072.关闭注册表.重新注销系统.然后再登陆.打开本地安全策略(运行secpol.msc)本地安全策略-其他规则-路径规则 的安全级别设置里就多了个基本用户.好下面我们利用基本用户来写出策略.防止病毒,木马通过捆绑IE浏览器感染临时文件夹.

实例_1给IE加盾.挡住网页挂马

我 们可以用基本用户权限来加载IE防止木马病毒和恶意网站通过IE强行修改系统设置.方法同上,右击其他规则,打开新建路径规则,在打开的路径规则栏里输 入%ProgramFiles%InternetExplorer\ieplorer.exe(浏览器路径位置也可以用浏览定位,%是通配符表示无论该文 件夹在硬盘哪个分区都有效).然后在的安全级别设置中选基本用户.点击确定后退出,在运行中输入gpupdate /force(/号前有空格)回车执行刷新组策略设置.这样IE在上网时就安全多了.最好在把历史记录保存天数设置成0.

实例_2不让临时文件夹成为病毒木马的温床

经常中毒但有心的朋友可能会留意,目前大部分网络木马病毒都会感染临时文件夹temp.那么惰惰猴就交大家保护TEMP文件夹.方法同上:

在路径框中输入 %USERPROFILE%\Local Settings\Temp\*.* 安全级别设置为"基本用户"

在路径框中输入 %USERPROFILE%\Local Settings\Temp\**\** 安全级别设置为"基本用户"

修改完后,在运行中输入gpupdate /force(/号前有空格)回车执行刷新组策略设置.

这 样一个免费的HIPS防火墙就做好了,那接下来我们要做的就是在编好规则后加固系统.由于篇幅过大.惰惰猴只有分成上,下两篇帖子来介绍用windows XP专业版 系统自造黑客的HIPS防御体系.上篇就说到这里.希望朋友们能举一反三.不要拘泥于形式,有兴趣的朋友且看我敢"裸奔" 手把手教你提高系统免疫力 唾弃VB100的下篇.

归类于: 本本 — 水兵琪 @ 3:35 pm 评论(0)
2009年04月20日
重新安装TCP/IP协议
1、开始——运行——regedit.exe,打开注册表编辑器,删除以下两个键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
 
2、用记事本打开%winroot%\inf\nettcpip.inf文件,找到:
[MS_TCPIP.PrimaryInstall]
Characteristics = 0xa0 <——把此处的0Xa0改为0×80 保存退出 (如果是2000系统,这里已经是0×80了,跳过此步)
 
3、打开本地连接的TCP/IP属性—添加协议——从磁盘——浏览找到刚刚保存的nettcpip.inf(%winroot%\inf\nettcpip.inf)文件,
 
然后选择“TCP/IP协议”(不要选择那个TCP/IP 版本6)。
经过这一步之后,又返回网络连接的窗口,但这个时候,那个“卸载”按钮已经是可用的了。点这个“卸载”按钮来把TCP/IP协议删
 
除,然后重启一次机器。
 
4、重启后再照着第3步,重新安装一次TCP/IP协议便可。
 
5、再重启一次,这时应该可以了,可以根据需要,设置一下IP地址。
归类于: 微软 — 水兵琪 @ 11:39 am 评论(0)
2009年04月16日
使用WinXP“系统还原”时,哪些内容会被还原?
问题描述

   

使用“系统还原”时,哪些内容会被还原?

   

总结

      

以下内容将会被还原::
注册表
配置文件(仅限本地配置文件,漫游用户的配置文件不受系统还原影响)
• COM+ DB
• WFP.dll 缓存
• WMI DB
• IIS 元数据
• SDK 文档受监视文件扩展中说明的受系统还原监视的文件类型

    不会还原的内容:
• DRM 设置
• SAM 配置单元中的密码
• WPA 设置(Windows 身份验证信息不会被还原)
• “平台 SDK”系统还原一节中受监视文件扩展部分列出的特定目录/文件,例如我的文档文件夹
所有受系统还原监视的文件类型(例如 .doc.jpg 等)。
在注册表的 Filesnottobackup KeysnottoRestore 中列出的项目(hklm->system->controlset001->control->backuprestore->filesnottobackup keysnottorestore
在用户配置文件中存储的用户创建的数据
重定向文件夹中的内容

归类于: 微软 — 水兵琪 @ 4:42 pm 评论(2)
2009年04月13日
一些关于无线的知识 WIFI CDMA WAPI

什么是WIFI

  WIFI全称Wireless Fidelity,又称802.11b标准,它的最大优点就是传输速度较高,可以达到11Mbps,另外它的有效距离也很长,同时也与已有的各种802.11 DSSS设备兼容。今夏最流行的笔记本电脑技术——迅驰技术就是基于该标准的,无线上网已经成为现实。

  什么是WAPI

  WAPI是WLAN Authentication and Privacy Infrastructure的英文缩写。它像红外线、蓝牙、GPRS、CDMA1X等协议一样,是无线传输协议的一种,只不过跟它们不同的是它是无线局域网(WLAN)中的一种传输协议而已,它与现行的802.11B传输协议比较相近。那么,为什么制定传输协议的标准呢?我们知道,不同的传输协议将数据包在两台以上的电子设备间进行传输所用的原理和实现的手段是不同的,它们多数都不兼容,如果不制定无线传输协议的标准的话,无线电子设备的通用性就会受到很大的限制,例如,你的笔记本电脑在A地方也许可以无线上网,但去到了B地方,可能就会由于传输协议不统一而无法实现无线上网了,而如果所有的无线产品都使用同一种传输协议的话,那么,你的笔记本电脑无论走到哪里,只要有WLAN信号的地方都可以轻松实现无线上网了。

  什么是GSM?

  全球移动通讯系统(Global system for Mobile communications)的英文缩写。2G的主流技术,数据速率为9.6kb/s。

  什么是GPRS?

  通用分组无线业务(General Packet Radio Service)的英文缩写。是一种基于GSM系统的无线分组交换技术。是2.5G的主流技术。理论最高数据速率为171.2kb/s。

什么是CDMA?

  CDMA是码分多址的英文缩写(Code Division Multiple I Access),它是在数字技术的分支——扩频通信技术上发展起来的。CDMA是为现代移动通信网所要求的大容量、高质量、综合业务、软切换、国际漫游等要求而设计的一种移动通讯技术。

  CDMA技术的原理是基于扩频技术,即将需传送的具有一定信号带宽信息数据,用一个带宽远大于信号带宽的高速伪随机码进行调制,使原数据信号的带宽被扩展,再经载波调制并发送出去。接收端使用完全相同的伪随机码,与接收的带宽信号作相关处理,把宽带信号换成原信息数据的窄带信号即解扩,以实现信息通信。

  CDMA移动通信网是由扩频、多址接入、蜂窝组网和频率复用等几种技术结合而成,含有频域、时域和码域三维信号处理的一种协作,因此它具有抗干扰性好,抗多径衰落,保密安全性高,同频率可在多个小区内重复使用,容量和质量之间可做权衡取舍等属性。这些属性使CDMA比其它系统有很大的优势

归类于: 本本 — 水兵琪 @ 3:32 pm 评论(0)
2009年04月08日
手动清除BDguard.sys

关于如何手动清除BDguard.sys,下面这个方法非常适合我们这些菜鸟用!~
  首先打开C盘windows下的system32目录 然后在此目录下备份drivers文件夹,将此文件夹重命名为drivers01
  接着请在drivers01文件夹内删除BDguard.sys
(复制时可能会有杀毒软件提示遇到BDguard.sys不能继续复制,没关系,你直接打开DRIVERS文件夹复制立面的子文件,跳过BDGUARD不要复制就好,不过千万别漏掉其他的哦,最好复制完后察看文件夹属性对下文件的个数)
  重启电脑,按住F8进入“带命令行的安全模式”
在dos环境下进行下列操作:
cd.. *此命令意思是退回上级目录
退到C盘目录下后
cd windows *意思是进入windows目录,2000操作系统请输入winnt.
cd system32
ren drivers drivers02 *意思是将drivers文件夹名修改成drivers02
ren drivers01 drivers *将之前我们备份的drivers01文件夹名字改为drivers
(DOS的东西我是一窍不通,据说如果要退出DOS的话在c:\windows>后面输入WIN敲回车。不过我是用了CRTL+ALT+DEL任务管理器的关机按钮)
  重启进入WINDOWS,删除drivers02文件夹、C:\WINDOWS\system32\Bdguard.dat、C:\WINDOWS\system32\Bdguard1.dat、C:\Program Files\Baidu,并清理注册表内信息。
(经实践证明要先删掉SYSTEM32底下的两个BDGUARD文件才能删掉DRIVER02 文件夹)
然后再运行“REGEDIT”打开注册表“编辑”-“查找”关键字输BDGUARD找到相关的就删除然后接着“查找下一个”一直到查不出为止
如果删除不掉则右击选择“权限”在“完全控制”后面划钩。确定后再去删除就可以了
OVER!!!!!

归类于: 病毒 — 水兵琪 @ 4:03 pm 评论(0)
2009年04月01日
修改计算机名
启动注册表编辑器。 
  
  打开[HKEY_LOCAL_MACHINE\   SOFTWARE\   Microsoft\   Windows NT\   CurrentVersion]分支  
  在CurrentVersion子键下面有三个有关注册信息的键值名(在右窗口中):
RegisteredOrganization(用于注册单位)RegisteredOwner(用于注册姓名)和ProductID(产品标识)。
要修改这此信息,可双击相应的键值名,
归类于: 本本 — 水兵琪 @ 1:09 pm 评论(0)