Archive for the ‘黑客安全’ Category
传奇游戏木马及防范工具下载全攻略
06月 17th, 2005 | 
Author: 如今国内传奇游戏玩家众多,网上虚拟装备交易火爆,一件好的装备或高级的账号卖出上千块人民币已不足为奇,于是大批针对传奇游戏的木马病毒涌现。当你运行某个含木马外挂、或者点击了陌生人发来的Email附件,打开恶意网站网页的时候,木马就会潜入你的电脑,一旦你登陆传奇游戏,木马就会偷偷记录你键入的帐号密码,发送给它的主人,供盗号者出售获利。为了帮助玩家远离可恶的传奇木马,下面我们分篇介绍目前流行的传奇木马及其防范方法。
当前流行的传奇木马篇
目前专门针对传奇游戏的木马很多,而且不断出现新变种,这类木马刚开始偷账号密码,现在已经发展到能阻止杀毒软件、反木马软件的运行,其中危害较大的有网吧传奇杀手、传奇男孩、传奇黑面、传奇盗号木马、蜜蜂大盗。
1、网吧传奇杀手(Trojan.PSW.LMir.qh)
该木马破解了传奇游戏的加密解密算法,专门针对在网吧玩“传奇”游戏的用户。只要有人在网吧中一台电脑上运行此木马,整个网吧全体传奇玩家的账号密码、装备等信息就会被偷走,相当恐怖!因为该木马会截取局域网中的数据包,分析“传奇”游戏通讯协议,从而截获网吧内所有玩家的信息。
2、传奇黑面(Win32.Troj.Mir2HAK)
传奇黑面会监视玩家的输入,自动记录你键入的传奇账号密码,并发送到病毒作者的邮箱中,给你带来经济损失。该木马发作时会将自己拷贝到Windows\system32目录下,木马及其DLL文件的名称,与Windows系统程序及其DLL文件非常相似,你稍不注意还以为它们是系统文件,具有很大的欺骗性。
3、传奇男孩(Troj.MirBoy)
传奇男孩是针对传奇游戏的木马病毒,专门偷取用户的传奇账户与密码,发送到黑客指定的邮箱中。该病毒侵入玩家电脑后,会将自身拷贝到系统目录,然后在注册表中修改键值,以便系统启动时自动加载;它还会终止系统中各类反病毒软件,例如天网防火墙、ZoneAlarm等。
4、传奇盗号木马(Win32.Troj.Sincom.e)
该木马运行后会窃取用户的传奇账号和密码,并把这些信息发送给木马种植者,导致被感染机器的玩家,在传奇游戏中的角色完全被他人控制。另外,它还会关闭常见的杀毒软件,防止自己被杀毒软件清除掉。
5、蜜蜂大盗(Win32.Troj.MiFeng70)
该木马偷窃传奇游戏的密码,并将密码发到指定的信箱。此外,它还能盗窃以下软件的密码:QQ、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ。木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"%VIRUSNAME%" "%1";在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG
木马运行后硬盘会狂运作,监听UDP2222端口,监视杀毒软件木马克星、瑞星。木马通过ip.loveroot.com/showip.php获得感染机器的IP信息,会到freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。
传奇木马防范篇
今年的传奇木马非常猖獗,有些黑客网站竟然公开在网上贱卖带有后门的木马病毒,教唆别人用木马盗窃密码,为网上木马的泛滥推波助澜,广大传奇玩家现在一定要有安全意识,否则下一个丢密码的将会是你!为此,你应该采用以下的防范措施:
一、及时安装升级杀毒软件
在网吧等公共场所上网时,你一定要选择有杀毒软件保护的正规网吧,以免自己的游戏帐号被盗,要知道“网吧传奇杀手”可以窃取网吧内全体玩家的密码!注意查看网吧安装的杀毒软件,瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外,游戏前要查杀一下自己的电脑,下网前一定要更换自己的密码,下次游戏时使用新密码。
如果你在家上网,应该安装带有隐私信息保护的杀毒软件(例如KV2004、诺顿安全特警等),注意及时升级到最新病毒库,打开病毒实时监控,因为有些比较厉害的木马,如果杀毒软件未升级到最新版是查不出来的。
此外,你还要启动杀毒软件的隐私信息保护监视功能,将传奇账号及密码设为隐私保护状态,这样即使你不小心中了木马,也不用担心帐号、密码被木马窃取。
二、安装第三方防火墙
建议你安装诺顿安全特警、ZoneAlarm Pro、天网防火墙、金山网镖6等第三方防火墙,这些防火墙功能强大,一旦发现木马病毒和黑客入侵,就会自动报警,而且还可以保护你的游戏帐号密码等隐私信息,确保你上网安全。
其中金山网镖6有一个独特功能,就是可以检查你的系统是否有漏洞,如果查出漏洞,它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下,然后再启动第三方防火墙上网玩游戏。下面我们介绍诺顿安全特警、ZoneAlarm Pro的使用方法,其他防火墙限于篇幅,我们就不展开介绍了。
1、诺顿安全特警
最新版本:诺顿安全特警2004中文版
软件大小:77,483KB
运行平台:WinXP/2000/NT/Me/9X
诺顿安全特警(NIS2004)是塞门铁克公司推出了优秀的网络安全软件,具备个人防火墙功能,能够查杀木马病毒、进行入侵检测;具有“隐私控制”功能,可以防止你的帐号密码被盗。只要你将所有的游戏帐号、密码,都添加到诺顿安全特警的保护列表中,当你使用“Web”、“即时信息”和“电子邮件”程序时,诺顿安全特警会保护你输入的信息。只要你在任何一个网页、邮件或是即时消息中,输入与保护信息相关的内容,诺顿就会自动将它全部转换成“*”。即使木马将你的密码信息,通过邮件或其它手段发给它的“主人”时,对方看到的也只是“*”,这样一来就确保了密码的安全。
2、ZoneAlarm Pro
最新版本:5.5.062.004
软件大小:6499KB
运行平台:WinXP/2000/NT/Me/9X
ZoneAlarm是目前最优秀的个人综合防火墙,它功能强大,易于操作,提供了防火墙功能,可以防止木马在你的电脑中偷偷作乱,具备邮件监视、网页过滤、弹出广告屏蔽功能,同时还具有强大的网关管理功能,能够让高级用户制定专家级的规则,自由控制上网资源。
与其他个人防火墙软件相比,ZoneAlarm占用资源少,能保护个人隐私安全,只要你在ZoneAlarm中如下设置,即可阻止木马发送你的密码。
设置方法:单击“ID锁”,在“常规”选项卡中,把“ID封锁”调为“高”;然后打开“个人隐私”选项卡(如下图),点击“添加”按钮,输入要保护的帐号、密码,把你的密码全部添加进去。这样以后一旦你的密码向外发送,ZoneAlarm就会报警,即使对方收到密码,也全部都是“*”而无法阅读。
三、使用专杀木马的软件
有些传奇木马,运行后会自动关闭杀毒软件和防火墙,这时候,专杀木马工具就有用了,它们可以查杀系统中的木马。目前专杀木马的软件很多,著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
1、木马克星(Iparmor)
软件版本:5.46
软件大小:3709KB
木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。
2、金山毒霸木马专杀工具
软件版本:2004.9.27.2
软件大小:9.06 MB
金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
3、其他木马专杀软件
除了金山毒霸木马专杀、木马克星,还有许多木马专杀软件,例如TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等,使用方法大同小异,这里我们就逐一介绍了。
| 木马专杀软件名 | 最新版本 | 大小 | 下载地址 |
| TrojanHunter | 3.9 | 6942KB | |
| Anti-Trojan Shield | 1.4.15 | 4451KB | |
| The Cleaner Professional | 4.1 | 4519KB |
|
| 木马清除大师 | 2.15 | 4634KB |
四、使用进程查看工具
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
有些传奇木马,运行后会自动关闭杀毒软件和防火墙,这时候,专杀木马工具就有用了,它们可以查杀系统中的木马。目前专杀木马的软件很多,著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
1、木马克星(Iparmor)
软件版本:5.46
软件大小:3709KB
木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。
2、金山毒霸木马专杀工具
软件版本:2004.9.27.2
软件大小:9.06 MB
金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
3、其他木马专杀软件
除了金山毒霸木马专杀、木马克星,还有许多木马专杀软件,例如TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等,使用方法大同小异,这里我们就逐一介绍了。
| 木马专杀软件名 | 最新版本 | 大小 | 下载地址 |
| TrojanHunter | 3.9 | 6942KB | |
| Anti-Trojan Shield | 1.4.15 | 4451KB | |
| The Cleaner Professional | 4.1 | 4519KB |
|
| 木马清除大师 | 2.15 | 4634KB |
四、使用进程查看工具
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
今年的传奇木马非常猖獗,有些黑客网站竟然公开在网上贱卖带有后门的木马病毒,教唆别人用木马盗窃密码,为网上木马的泛滥推波助澜,广大传奇玩家现在一定要有安全意识,否则下一个丢密码的将会是你!为此,你应该采用以下的防范措施:
一、及时安装升级杀毒软件
在网吧等公共场所上网时,你一定要选择有杀毒软件保护的正规网吧,以免自己的游戏帐号被盗,要知道“网吧传奇杀手”可以窃取网吧内全体玩家的密码!注意查看网吧安装的杀毒软件,瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外,游戏前要查杀一下自己的电脑,下网前一定要更换自己的密码,下次游戏时使用新密码。
如果你在家上网,应该安装带有隐私信息保护的杀毒软件(例如KV2004、诺顿安全特警等),注意及时升级到最新病毒库,打开病毒实时监控,因为有些比较厉害的木马,如果杀毒软件未升级到最新版是查不出来的。
此外,你还要启动杀毒软件的隐私信息保护监视功能,将传奇账号及密码设为隐私保护状态,这样即使你不小心中了木马,也不用担心帐号、密码被木马窃取。
二、安装第三方防火墙
建议你安装诺顿安全特警、ZoneAlarm Pro、天网防火墙、金山网镖6等第三方防火墙,这些防火墙功能强大,一旦发现木马病毒和黑客入侵,就会自动报警,而且还可以保护你的游戏帐号密码等隐私信息,确保你上网安全。
其中金山网镖6有一个独特功能,就是可以检查你的系统是否有漏洞,如果查出漏洞,它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下,然后再启动第三方防火墙上网玩游戏。下面我们介绍诺顿安全特警、ZoneAlarm Pro的使用方法,其他防火墙限于篇幅,我们就不展开介绍了。
1、诺顿安全特警
最新版本:诺顿安全特警2004中文版
软件大小:77,483KB
运行平台:WinXP/2000/NT/Me/9X
诺顿安全特警(NIS2004)是塞门铁克公司推出了优秀的网络安全软件,具备个人防火墙功能,能够查杀木马病毒、进行入侵检测;具有“隐私控制”功能,可以防止你的帐号密码被盗。只要你将所有的游戏帐号、密码,都添加到诺顿安全特警的保护列表中,当你使用“Web”、“即时信息”和“电子邮件”程序时,诺顿安全特警会保护你输入的信息。只要你在任何一个网页、邮件或是即时消息中,输入与保护信息相关的内容,诺顿就会自动将它全部转换成“*”。即使木马将你的密码信息,通过邮件或其它手段发给它的“主人”时,对方看到的也只是“*”,这样一来就确保了密码的安全。
2、ZoneAlarm Pro
最新版本:5.5.062.004
软件大小:6499KB
运行平台:WinXP/2000/NT/Me/9X
ZoneAlarm是目前最优秀的个人综合防火墙,它功能强大,易于操作,提供了防火墙功能,可以防止木马在你的电脑中偷偷作乱,具备邮件监视、网页过滤、弹出广告屏蔽功能,同时还具有强大的网关管理功能,能够让高级用户制定专家级的规则,自由控制上网资源。
与其他个人防火墙软件相比,ZoneAlarm占用资源少,能保护个人隐私安全,只要你在ZoneAlarm中如下设置,即可阻止木马发送你的密码。
设置方法:单击“ID锁”,在“常规”选项卡中,把“ID封锁”调为“高”;然后打开“个人隐私”选项卡(如下图),点击“添加”按钮,输入要保护的帐号、密码,把你的密码全部添加进去。这样以后一旦你的密码向外发送,ZoneAlarm就会报警,即使对方收到密码,也全部都是“*”而无法阅读。
三、使用专杀木马的软件
有些传奇木马,运行后会自动关闭杀毒软件和防火墙,这时候,专杀木马工具就有用了,它们可以查杀系统中的木马。目前专杀木马的软件很多,著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
1、木马克星(Iparmor)
软件版本:5.46
软件大小:3709KB
木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。
2、金山毒霸木马专杀工具
软件版本:2004.9.27.2
软件大小:9.06 MB
金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
3、其他木马专杀软件
除了金山毒霸木马专杀、木马克星,还有许多木马专杀软件,例如TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等,使用方法大同小异,这里我们就逐一介绍了。
| 木马专杀软件名 | 最新版本 | 大小 | 下载地址 |
| TrojanHunter | 3.9 | 6942KB | |
| Anti-Trojan Shield | 1.4.15 | 4451KB | |
| The Cleaner Professional | 4.1 | 4519KB |
|
| 木马清除大师 | 2.15 | 4634KB |
四、使用进程查看工具
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
有些传奇木马,运行后会自动关闭杀毒软件和防火墙,这时候,专杀木马工具就有用了,它们可以查杀系统中的木马。目前专杀木马的软件很多,著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
1、木马克星(Iparmor)
软件版本:5.46
软件大小:3709KB
木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。
2、金山毒霸木马专杀工具
软件版本:2004.9.27.2
软件大小:9.06 MB
金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
3、其他木马专杀软件
除了金山毒霸木马专杀、木马克星,还有许多木马专杀软件,例如TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等,使用方法大同小异,这里我们就逐一介绍了。
| 木马专杀软件名 | 最新版本 | 大小 | 下载地址 |
| TrojanHunter | 3.9 | 6942KB | |
| Anti-Trojan Shield | 1.4.15 | 4451KB | |
| The Cleaner Professional | 4.1 | 4519KB |
|
| 木马清除大师 | 2.15 | 4634KB |
四、使用进程查看工具
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
|
木马名
|
运行的进程名
|
木马文件的位置
|
| 传奇幽灵 | internet | c:\windows\internet.exe |
| 传奇叛逆 | Intel | c:\windows\system\internet.exe |
| 传奇密码使者 | Microsoft | c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe |
| 传奇猎手 | winsys | c:\windows\system\winsys.exe |
| 传奇终结者 | scanrew | c:\windows\scanrew.exe |
| 传奇天使 | kiss | c:\windows\kiss.exe |
| 传奇黑眼睛 | Taskmon32 | c:\windows\Taskmon32.exe |
进程查看工具下载地址:
ManaSoft进程管理
Windows进程管理大师
飞鹰超级进程管理器
日华进程管理器
进程管理
五、其他注意事项
为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明Email的附件。
为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“Ctrl+V”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
Posted in 
了解你的敌人 十招妙招轻松制服间谍软件
最新的调查报告显示了反间谍软件工具的不足,“间谍”仍在网络上肆无忌惮地活动。但也不必垂头丧气,学习并遵循以下的十招办法,间谍软件将对你束手无策。
有的时候,真理和善良总是受到伤害,我们刚刚在反垃圾邮件上取得了一些进展,然而,间谍软件却又将填补这项空白。未来几年里,你将不得不耗费宝贵的时间,在工作中、在家里与间谍软件作斗争。
虽然市面上有数十种新的反间谍软件工具供我们使用,而且这些程序确实很有帮助,但是,运行反间谍软件实用程序只是解决方案的一部分,还有很多其他事情需要你做,请按照我们提供的10个步骤指南开始行动吧。
1. 了解你的敌人
如果你天真地把间谍软件定义为Web网站留下来的小cookie文件的话,那么,你的挫折将永无止境。所有类型的变脸软件(Scumware)都将为你带来不幸,主要的四大类型是:
间谍软件(Spyware):一种可以秘密地收集有关你计算机信息的软件,并且可能向一些未知网站发送数据,包括“键盘记录软件”或“按键捕获寄生虫”(不要与“恶意软件(malware)”混淆,恶意软件包括病毒、蠕虫和特洛伊木马程序)。
广告软件(Adware):一种可以随机或者根据当前浏览器内容弹出广告和条幅的软件。
劫持软件(Hijackers):可以改变浏览器主页、缺省搜索引擎,甚至改变你的方向,使你无法到达你想到达的网站。
小甜饼文件(Cookies):可以跟踪Web网站参数选择和口令的小型文件。软件可以在用户不知道的情况下收集和扩散该信息。
以上四种类型中,广告软件是最讨厌的,而劫持软件和间谍软件却是危害最大的。
2. 退出Internet Explorer
我们无法指控微软公司犯下了生成间谍软件的罪行。但是,Windows的设计,而且尤其是Internet Explorer却肯定使微软公司成了“间谍”的“同谋”。我们鼓励用户转向其他产品,例如Firefox或者Opera,两者均缺省设置封锁弹出文字。Firefox是免费的且已很普及,Opera则需要花几美元。
需要证据来证明Internet Explorer存在着问题?在笔者运行Windows XP Home的主要测试PC上,使用Internet Explorer和Outlook Express,结果发现了739个间谍软件。而在笔者的个人PC上,运行Firefox和Mozilla公司的Thunderbird电子邮件应用,结果才发现了11个间谍软件范例。而且,这11个间谍软件均是在笔者不得不使用Internet Explorer进入某些Web网站的时候,偷偷溜进这台PC的。
然而,不幸的是,有些网站却需要Internet Explorer,而那些与微软公司的Outlook电子邮件客户端有密切联系的用户也必须使用它。不过,还是有办法可以把感染Internet Explorer间谍软件的速度降下来。首先,禁止微软 ActiveX支持。在Internet Explorer里,点击Tools→Internet Options→Security→Custom Level,然后,点击迫使ActiveX控制在运行之前请求允许的检查框。
其次,安装Google Toolbar,它也可以封锁弹出文字。它适用于Internet Explorer 5.5及更高级产品,因此,你或许还需要升级浏览器。同样地,也可以运行只在Internet Explorer之内工作的弹出文字封锁软件,如StopZilla、123Ghosts Popup Killer、Ad Killer、Ad Muncher以及Anti Popup Pro。
3. 阻止下载
仔细遵守如下要求:千万不要让技术新手尝试下载任何东西。然后,为他们下载并安装Google Toolbar。
用户希望从Web上下载“免费”程序,但是,请教会他们如何区分为了获得实用程序而访问的网站(如PCWorld.com或Tucows.com ),与出现在弹出广告和垃圾邮件里的网站。
下定决心,千万别泄气,接受教育是不完善的这个事实。间谍软件传播者在说服人们下载间谍软件方面通常做的比你更好。所以,有必要对用户解释清楚,在浏览器页面旁边看起来象广告或朋友发给他们的那些链接,实际上是间谍软件散播的最常见方式。提醒你的用户对一些危险信号一定要敏感,如弹出的条幅广告说可以提供免费间谍软件检查(这是对信任的最残酷的滥用)。
4. 教授备份和恢复的基本知识
由于许多用户不会留意你的警告,因此,应该教会他们如何从灾难当中恢复过来。如今,人们在计算机上有太多的东西,以致于他们懒得做各种备份选择。 存满备份数据的外部磁盘、磁带系统或CD可以减轻充斥着间谍软件的系统所带来的麻烦,并使其回到早期没有间谍软件的情况,从而使一切恢复正常。
教会用户如何在XP里生成恢复点,以及如何在每次从非知名网站下载之前设置一个恢复点。在大多新式的PC上,磁盘空间不是问题,而且,即使它们的硬盘存满了东西,创造一些恢复点也比清除间谍软件感染容易得多。
5. 制作一张 反间谍软件CD
把反间谍软件实用程序烧录到你的CD上,制作自己的间谍软件工具集也是个不错的办法。当你需要清除间谍软件时,寻找和等待工具软件的下载很浪费时间,CD-ROM磁盘目前价格很低廉,因此,多制作一些拷贝并把它们送给你的用户也是有效的手段。就笔者自己而言,有三个免费的实用程序,还有三个商业实用程序的测试版本。这些程序的容量为2M至10M字节,因此,标准CD上有足够的空间容纳它们。
6. 运行至少两种间谍软件清除程序
根据我们的经验,没有任何一种间谍软件清除程序能够清除恶意代码的每一部分。所有实用程序都有盲点,而间谍软件编程人员却正好可以利用这些盲点。每家厂商都称其产品可以捕获所有的东西,但是,不管何时人们用一种反间谍工具清除100项威胁的时候,另一个工具还能再找出另外十几项威胁。
每一种间谍软件清除程序都会检查注册表,但是,由于间谍软件遵循微软的注册表词条规则,因此,它根本不可能完全清除间谍软件。
定期运行多个不同的实用程序,并确信它们都是最新的,做到这一点十分重要。付费清除程序可以提供更持续的文件更新,即使免费件也会定期增加一些新功能。运行,更新,再运行,再更新,对付间谍软件就要不断重复上述步骤。笔者的一般做法是:清除系统,重新启动进入安全模式,然后,使用另一种工具进行清除,然后,再重新启动。
7. 封堵桌面通信漏洞
每一次间谍软件上传信息都意味着更多的未来问题,因为间谍软件可以进行自我更新,并增加新“性能”。封锁出站信息可以提高用户安全等级。
有一些(但不是全部)常驻反间谍软件实用程序可以封锁间谍软件上载,商用产品更好一些。不过,安装个人防火墙同样可以封锁上载。ZoneAlarm和Sygate Personal Firewall都很棒。
如今出售的几乎所有品牌路由器都包括防火墙保护。寻找可以对入站和出站信息包进行全状态检查的产品。个人防火墙和路由器控制的组合并非大材小用,尤其是对于那些无法抵制各种新鲜网站诱惑的用户来说更有必要。
8. 处理DRM
在未来几年里,间谍软件还将继续存在的一个原因就是,各公司都在增加数字权利管理(DRM)在娱乐文件以及授权许可文件之上的使用。为这些应用留下的漏洞还将被间谍软件利用好几年的时间。跟踪诸如在线商店回头客之类的Cookie文件使得Web网站更人性化。但问题是,这些Cookie文件看起来很像间谍软件,从而很难在不杀死正常文件的情况下做出分辨。
对于新出现的娱乐播放应用情况也是一样,你下载的MP3音乐文件需要确认你有在移动设备上播放这些文件的权力,而新的反间谍软件有可能封锁对授权数据库进行的DRM查询,因为这不就是符合未经许可把系统信息发送给第三方的间谍软件定义吗?这一定义适用于商业应用许可文件和DRM应用许可文件等,至少在应用接口水平是这样。
一种解决办法就是避免诸如音乐播放程序之类的DRM应用,如果你喜欢音乐,那么,寻找一种能够定期更新其间谍软件数据库的反间谍软件,因为它可以协调好保护与音乐服务。
9. 充分发挥AOL成员资格的优势
供AOL成员免费下载的间谍软件保护是另一项非常有用的添加产品,笔者发现其扫描速度虽然比其他许多间谍软件清除程序慢,但是,该程序却在CounterSpy和SpyBot进行清除之后又发现了另外7个间谍软件范例。
AOL还为用户提供一些非常有价值的保护,包括为其成员提供免费的技术支持。
10. 推荐Macintosh或Linux系统
间谍软件主要攻击微软操作系统,通过Internet Explorer漏洞进入并隐藏在Windows的薄弱之处。有些间谍软件,尤其是恶意Cookie文件,可以在任何浏览器之内发生作用,但是,这只是间谍软件当中很小的一部分。
微软的一些软件产品,如Internet Explorer、Word、Outlook和Media Player,一旦下载就将自动执行,从而使间谍软件很容易乘虚而入。Linux和Mac操作系统不允许这种自动执行,从而使它们更易抵制间谍软件。更重要的是,Windows允许任何用户(或间谍软件)把动态链接库装载至内核之中,Linux的系统访问却要求拥有与之相对应的管理员特权。虽然这个办法不适合大多数人,但是,如果确实因为间谍软件变得太痛苦的话,那么,Apple和Linux将会非常欢迎你。
网络安全技术纵览
21世纪全世界的计算机都将通过Internet联到一起,随着Internet的发展,网络丰富的信息资源给用户带来了极大的方便,但同时也给上网用户带来了安全问题。由于Internet的开放性和超越组织与国界等特点,使它在安全性上存在一些隐患。而且信息安全的内涵也发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
一、网络安全的概念
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
二、Internet上存在的主要安全隐患
Internet的安全隐患主要体现在下列几方面:
1. Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2. Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。
3. Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。
4.在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。
5.电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。
6.计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。
三、网络安全防范的内容
一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。
四、确保网络安全的主要技术
1,防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。具体如下:
(1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)网络地址转化-NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程是:在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
2.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。具体如下:
(1)对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。
(2)非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.虚拟专用网技术
虚拟专用网(Virtual Private Network,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。
虚拟专用网实际上就是将Internet看作一种公有数据网,这种公有网和PSTN网在数据传输上没有本质的区别,从用户观点来看,数据都被正确传送到了目的地。相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1)隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
(2)加解密技术
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
(4)使用者与设备身份认证技术
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
VPN整合了范围广泛的用户,从家庭的拨号上网用户到办公室连网的工作站,直到ISP的Web服务器。用户类型、传输方法,以及由VPN使用的服务的混合性,增加了VPN设计的复杂性,同时也增加了网络安全的复杂性。如果能有效地采用VPN技术,是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。
5.安全隔离
网络的安全威胁和风险主要存在于三个方面:物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断,属于物理层的威胁;网络地址伪装、Teardrop碎片攻击、SYNFlood等则属于协议层的威胁;非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看,基于物理层的攻击较少,基于网络层的攻击较多,而基于应用层的攻击最多,并且复杂多样,难以防范。
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念–"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网间信息的安全交换。
隔离概念的出现,是为了保护高安全度网络环境,隔离产品发展至今共经历了五代。
第一代隔离技术,完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络,做到了完全的物理隔离,但需要多套网络和系统,建设和维护成本较高。
第二代隔离技术,硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,它仍然存在使用不便、可用性差等问题,有的设计上还存在较大的安全隐患。
第三代隔离技术,数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。
第四代隔离技术,空气开关隔离。该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。
第五代隔离技术,安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。
[QQ专题]QQ也能做你的木马
[QQ专题]QQ也能做你的木马
大家都用过木马吧?是不是觉得木马在当今的网络世界里越来越难栖身了?那是因为
现在的杀毒软件霸道啊,一发现木马就会自动查杀,真实让我们伤透脑筋啊!没关系
,我来教大家作一个不会被查杀的木马—-利用QQ文件共享功能制作木马。这一点也
不夸张,只要你看完这个教程,你就能轻松的制作出自己的木马了。 首先登陆自
己的QQ,进入QQ后,调出“QQ菜单”,然后选择“工具,”,这时会弹出一个子菜单
,选择“共享文件”,,接着在你的桌面上会弹出一个新的窗口.
,看到了吗?在新的 窗口里面有一个“新建共享”,用鼠标去点击它,创建一个共享
盘。好了,文件共享已经作完了。去你的QQ文件目录里看看吧!是不是多了一个文件.
。你可以把这个“ShareInfo.db”复制到别的QQ文件目录里,(我把它复制到了
314064349的QQ目录里了),等到下次上QQ是,就调出QQ的菜单,然后选择“工具”,
在新窗口的地址栏里输入你打开共享的那个QQ号码,。接着选择新窗口左面的“浏览共
享”,,看到了吗?和网上邻居里看到的文件一样。剩下的该怎么做就不用我说了吧?
关于如何利用QQ变成木马的方法街道这里就介绍完了。只要大家平时多注意身边
的事物,总有一天,你也会找到更好的东东做你的木马。
超强windows密码设置及破解
超强windows密码设置及破解
在使用电脑的过程中,难免要与各类密码打交道,以下九种密码可能是大家用的最多的:BIOS密码、安装密码、用户密码、电源管理密码、屏保密码、开机密码、上网密码、分级审查密码和共享密码。今天,我们就谈谈这些和我们息息相关的密码,本篇文章先讲九大常用密码的前五种密码。
一、BIOS密码
BIOS(Basic Input Output System)即基本输入/输出系统,它实际上是被固化到计算机主板上的ROM芯片中的一组程序,为计算机提供最低级的、最直接的硬件控制。和其它程序不同的是,BIOS是储存在BIOS芯片中的,而不是储存在磁盘中,由于它属于主板的一部分,因此大家有时就称呼它一个既不同于软件也不同于硬件的名字“Firmware”(固件),它主要用于存放自诊断测试程序(POST程序)、系统自举装入程序、系统设置程序和主要I/O设备的I/O驱动程序及中断服务程序。
如果你不希望别人用自己的电脑,可设置BIOS的密码功能给电脑加一把“锁”。遗忘BIOS密码该怎么办呢?不要着急,以下几招可以帮助你。
根据用户设置的不同,开机密码一般分为两种不同情况,一种就是SetUP密码(采用此方式时,系统可直接启动,而仅仅只在进入BIOS设置时要求输入密码);另一种就是System密码(采用此方式时,无论是直接启动还是进行BIOS设置都要求输入密码,没有密码将一事无成)。对于用户设置的这两种密码,我们的破解方法是有所区别的:
(一)破解SETUP密码
如果计算机能正常引导,只是不能进入BIOS设置(即设置了SetUP密码),那么我们有以下几种办法供您选择:
方法一:Dubug法
在遗忘密码之后只需在DOS状态下启动Debug,然后输入如下命令即可手工清除密码:
_ o 70 16
_ o 71 16
_ q
另外,不熟悉Debug的用户也可下载一个专门破解CMOS密码的工具软件Cmospwd。然后在DOS启动该程序,它就会将用户的CMOS密码显示出来(Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS),使用非常方便。
方法二:软件破解
现在有很多检测系统或开机密码的软件,最常见的有BiosPwds、Cmospwd等。其中BiosPwds是其中比较优秀的一个,可以检测出BIOS版本、BIOS更新日期、管理员密码、CMOS密码、密码类型等,而且使用方法简单,单击窗口中的“获取密码”按钮即可显示出BiosPwds所检测到的所有信息。
但是由于软件破解密码时,是对BIOS编码过的密码进行逆向解码,所以有时也许会发现程序的密码和真实的密码并不相同,这也属于正常现象,所以这一招有时会不灵的。
方法三:自己编制文件破解
进入MS-DOS环境,在DOS提示符号下输入EDIT并回车(若你发现按EDIT出现错误,就是说你没有edit.com这个文件,请看下一条方法),输入:
ALT+179 ALT+55 ALT+136 ALT+216 ALT+230 ALT+112 ALT+176 ALT+32 ALT+230 ALT+113 ALT+254 ALT+195 ALT+128 ALT+251 ALT+64 ALT+117 ALT+241 ALT+195
注:输入以上数据先按下ALT键,接着按下数字键盘里(按键盘上面那一排数字键是没有作用的)的数字键,输完一段数字后再松开ALT键,然后再按下ALT键。在操作过程中,屏幕上会出现一个乱字符,我们不用管它。然后在“file”菜单下选择“save”,保存为Cmos.com文件,接着退出到MS-DOS环境下,找到cmos.com这个文件,看看他是否是20个字节,若不是就说明你输入错了,须重新输入。确认后,直接运行cmos.com,屏幕上应该没有任何提示信息,然后重新启动计算机即可清除CMOS里的密码,当然,CMOS里的其它设置也会同时被清除,这就需要我们重新设置了。
方法四:DOS下破解
这个方法直接在MS-DOS环境下便可完成,在MS-DOS环境下输入:COPY CON CMOS.COM后回车,继续输入如下十个字符:ALT+176 ALT+17 ALT+230 p ALT+176 ALT+20 ALT+230 q ALT+205 <空格>,然后按“F6”键,再按回车保存,运行Cmos.com文件后,重新开机即可。
(二)破解System密码
若没有密码根本不能启动计算机(即设置了System密码),那我们就无法通过软件来解决密码遗忘的问题了。此时你可以采用以下几种办法:
第一招:通用密码
每个主板厂家都有主板设置的通用密码,以便于提供技术支持之用。如果我们知道了该主板的通用密码,那么无论是开
机,还是进行CMOS设置都可以“穿墙而入”当然不要用这个去干坏事哟!
需要注意的是各主板厂家出于某些原因,不同时期主板的通用密码会有所不同,因此这一招并不能通行天下,我们只有多尝试几次,是否有用就要看运气了!
Award BIOS通用密码:j256、LKWPPETER、wantgirl、Ebbb、Syxz、aLLy、AWARD?SW、AWARD_SW、j262、HLT、SER、SKY_FOX、BIOSTAR、ALFAROME、lkwpeter、589721、awkard、h996、CONCAT、589589。
AWI BIOS通用密码:AMI、BIOS、PASSWORD、HEWITT RAND、AMI_SW、LKWPETER、A.M.I。
第二招:CMOS放电
目前的主板大多数使用纽扣电池为BIOS提供电力,也就是说,如果没有电,它里面的信息就会丢失了。当它再次通上电时,BIOS就会回到未设置的原始状态,当然BIOS密码也就没有了。
我们先要打开电脑机箱,找到主板上银白色的纽扣电池。小心将它取下,再把机箱尾部电源插头拔掉,用金属片短接电池底坐上的弹簧片,大概隔30秒后,再将电池装上。
此时CMOS将因断电而失去内部储存的信息,OK!将它装回,合上机箱开机,系统就会提示“CMOS Checksum Error-DeFaults Loaded”,那就是提示你“CMOS在检查时发现了错误,已经载入了系统的默认值”BIOS密码破解成功。
第三招:跳线短接
如果主板的CMOS芯片与电池整合在了一块,或者是电池直接被焊死在了主板上,还有就是我们用了第二招“CMOS放电法”,结果没起作用,那么我们就要用跳线短接这一招了。
打开机箱后,在主板CMOS电池附近会有一个跳线开关,在跳线旁边一般会注有RESET CMOS(重设CMOS)、CLEAN CMOS (清除CMOS)、CMOS CLOSE(CMOS关闭)或CMOS RAM RESET(CMOS内存重设)等字样,用跳线帽短接,然后将它跳回就行了!
由于各个主板的跳线设置情况不太一样,所以在用这一招的时候,最好先查阅主板说明书。忘了说一件事,在CMOS放电或者清除CMOS中的数据时,不要在系统开机的情况下进行,建议断掉电脑电源。
二、Windows的安装密码
首先谈谈安装密码。安装密码即Windows CDKEY,是安装Windows时所必须的,输入完毕会记录在注册表中。点击“开始”菜单下的“运行”,输入regedit打开注册表编辑器,你会发现Windows的安装密码在注册表的如下位置:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProductId和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProductKey,如果哪天忘记了Windows的安装密码到这里来看看就知道了。事实上,该密码并不重要,只是在重装Windows时有用处,安装后自动记录于此。如果你要重新安装Windows,又没有安装密码,不妨先到这里来看看并记录下来,以备后用。
三、用户密码
关于用户密码,很多人都存在一个误区,即认为用户密码就是开机密码。事实上Windows在默认的情况下,是没有开机密码的。那么用户密码是用来干什么的呢?是用来保护“个性”的!系统允许设置多个用户,其目的并不是为了保护用户的隐私。而是为每一个用户保存了一组系统外观的配置,以适应不同用户不同的使用习惯,就像目前流行的“皮肤”一样,只不过要输入密码而已。所以这个密码根本起不到保密的作用,只是个摆设罢了。
用户密码可以在控制面板的“密码”或“用户”工具中设置:在控制面板中,双击“用户”图标,点击“新建”按钮,会出现“添加用户”窗口,点击“下一步”按钮,输入新添加的用户名,然后再点击“下一步”,在出现的窗口中输入新用户密码,接着点击“下一步”按钮,会出现“个性化设置”窗口,选择你需要的项目(不选也可以),然后再次点击“下一步”按钮,就可以为本机添加一个新用户。用同样的方法给每个可以使用此机器的用户建立一个用户名,然后你就可以输入密码了,当然也可以留到用户登录后自己修改密码。
对Windows有点了解的人都知道在Windows 9X系统中,这个密码系统是毫无安全性可言的。它在开机或更换用户登陆时启动,输入正确的密码后就可以使用系统,但是即使不知道密码也可以用ESC键跳过登陆程序,直接进入系统。这时我们可以通过更改注册表,来强制用户在开机时必须要输入用户名和密码才能进入Windows。实现方法:点击“开始”菜单中的“运行”,输入regedit,打开注册表编辑器,依次打开到HKEY_LOCAL_MACHINE\Network\Logon,然后新建一个DWORD值,将其命名为“Mustbevalidated”,值改为1,就可以了。
和Windows 9X不同,Windows 2000在这一方面作了很大的改进,如果把系统设定为:用户必须输入用户名和密码才能使用本机,那么如果不输入正确的用户名密码就不能进入系统;同时将用户分为管理者、用户和来宾三类,各有其不同的权限。这为规范管理计算机用户提供了手段。
另外,熟悉Windows 9x系统的用户都知道,有关用户密码信息都存贮在Windows目录下扩展名为“.pwl”的文件中。这里告诉你一个简单而有效的保护方法:单击“开始”→“运行”,输入sysedit命令,打开“系统配置实用程序”。选中关于文件System.ini文件。这时你会发现在其列表项中有一项标题为[Password Lists]的项,这就是有关用户密码文件的链接记录,其中SSJ=C:\WINDOWS\SSJ.PWL(等号前的“SSJ”为用户名,等号后为该用户密码文件的存放路径及文件名)。知道了这点,我们就可以对其进行修改,以便任意指定文件。比如,你可以事先将源文件SSJ.PWL改名并复制到另一目录中,如在DOS方式下,执行命令:COPY C:\WINDOWS\SSJ.PWL C:\WINDOWS\SYSTEM\S1.DAT。而后再将System.ini中密码文件的存放路径改为SSJ=C:\WINDOWS\SYSTEM\S1.DAT。这样,就没有人再能轻松地找到你的密码文件了。
如果遗忘Windows的用户密码会怎么样呢?放心,这不会影响系统的启动,但它将导致用户无法进入自己的个人设置,因此破解Windows的启动密码以找回丢失的“个性”也是很有必要的。为此,我们可删除Windows安装目录下的*.PWL密码文件及Profiles子目录下的所有个人信息文件,然后重新启动Windows,系统就会弹出一个不包含任何用户名的密码设置框,我们无需输入任何内容,直接单击“确定”按钮,Windows密码即被删除。另外,将注册表HKEY_LOCAL_MACHINE\Network\Logon分支下的UserProfiles修改为“0”,然后重新启动Windows也可达到同样的目的。
四、电源管理密码
Windows的电源管理功能也可以设置密码,设置此功能后,系统在从节能状态返回时就会要求输入密码,此后不知道密码的用户就无法令计算机从“挂起”状态返回正常状态,这就进一步地保证了计算机数据的安全。
在Windows 98中为电源管理功能设置密码的步骤为:
1、单击
“开始”按钮,然后依次选择“设置”→“控制面板”,启动Windows 98的控制面板。
2、双击“控制面板”中的“电源管理”图标,打开“电源管理属性”设置框。
3、从“电源管理属性”设置框中选择“高级”选项卡。
4、在“计算机退出待机状态时,提示输入密码”选项前打上“√”。
5、选择“电源管理属性”设置框中的“电源方案”选项卡。
6、在“系统等待状态”列表框中选择计算机在没有操作之后自动启动电源管理功能(即进入“挂起”状态)的时间间隔,主要有“从1分钟之后”到“从不”等不同选项,用户可自行选择。
7、为“关闭显示器”和“关闭硬盘”设置合适的时间间隔。
8、单击“确定”按钮,关闭“电源管理属性”设置框。
这样我们就启动了Windows 98的电源管理功能,并为其设置了适当的密码。值得注意的是,Windows 98电源管理功能的密码是以Windows 98本身的用户密码为基础的,也就是说我们首先必须为Windows 98设置用户密码,然后才能使用它的电源管理密码功能,否则无效。另外,Windows 98电源管理功能并没有单独的密码,它的密码与Windows 98的用户密码完全一样,这也就省去了用户同时记忆多个密码的不便。但从另一个角度来说,电源管理功能的密码与用户密码完全一样,会很不安全,我们只要按照前面的方法破解了Windows的用户密码,其电源管理密码也就不攻自破了。
五、屏保密码
接下来再说说屏保密码。它的作用主要是在你暂时离开计算机,不想关机,又怕此时有人趁机在你的电脑中看到你在干什么或乱动你的机子,此时屏保密码可以起到一定的保护作用,而且它比用户密码的口碑要比用户密码稍微好那么一点点。如果密码不对,是很难通过的。
我们先来看看屏保密码如何设置。首先在桌面空白处
右击鼠标,从快捷菜单中选择“属性”命令,就会打开“显示属性”对话框,该对话框中有“背景”、“屏幕保护程序”、“外观”、“效果”、“Web”、“设置”六个标签项。点击“屏幕保护程序标签”就会打开“显示属性”,在该窗口的“屏幕保护程序”下拉列表框中有Windows附带的各种屏幕保护程序,当我们从中选择了某种屏幕保护程序后,点击“预览”就会出现屏幕保护程序的效果,单击“预览”还可以全屏显示(点击鼠标就会还原)。“设置”按钮可以对屏幕保护程序的显示效果进行设置,在“等待”微调框中可以输入或调整启动屏幕保护程序的时间。更诱人的是,屏幕保护程序还有一定的保密功能呢!如果你希望在自己在离开时他人无法使用计算机,那么最简单的一个方法就是启用屏幕保护程序的密码功能,勾选中“密码保护”框,单击“更改”按钮将出现一个“更改密码”对话框,然后把密码输入两次并确认就可以了。
如果一不小心忘了屏幕保护程序的密码,怎么办?直接关机吗?那可太野蛮了;而且,万一你的工作没有保存,岂不是前功尽弃!现在,只要你知道自己机器的IP地址,采用下面这个方法,你的难题就迎刃而解了!
其实方法很简单,首先要在你的机器所在的局域网内利用另外一台机器作为解码机,将解码机的IP地址改为你的IP地址,利用硬件冲突的优先级较高的原理就可以使_blank>操作系统跳过屏幕保护程序了。
具体实现方法如下:
在这台解码机上找到“开始菜单”中“设置”一项,单击“控制面板”,进入“控制面板”,双击“网络”的图标,进入“网络”对话框。
选择“配置”选项卡,然后双击“TCP/IP”,进入“TCP/IP属性”对话框,选择“IP地址”选项卡,将解码机的IP地址改为你的IP地址,完成后单击“确定”按钮.
系统会提示你新的设置要重新启动计算机才能生效,确认并重新启动计算机。
这样,在局域网内就有两台机器的IP地址是相同的。当解码机的启动完成后,在你的机器和解码机上会同时弹出“IP地址产生硬件冲突”的提示框,这时只要在你的机器上点击确定,猜猜会发生什么情况?没错,系统不要求你输入屏幕保护程序的密码,就直接进入操作系统的桌面了!
这下你不必为忘记密码而发愁了吧?不过值得注意的是,在整个破解的过程中,要确保你的机器上没有请求输入屏保程序密码的对话框,否则确定硬件冲突后,系统还会继续要求你输入屏幕保护程序的密码。
系统的屏幕保护密码是非常脆弱的。我们在遗忘密码之后只需使用“复位”键强行启动计算机(某些设计不完善的屏幕保护程序甚至可以使用Ctrl+Alt+Del强行关闭,其操作就更简单了),然后右击桌面空白处并从弹出的快捷菜单中执行“属性”命令,打开“显示属性”设置框并单击“屏幕保护”选项卡,最后取消“密码保护”选项即可(取消该选项时无需确认密码)。
这里再告诉大家一个更简便的方法。大家都知道,屏幕保护密码最多为16个字符。微软内置了16字节的密钥:48 EE 76 1D 67 69 A1 1B 7A 8C 47 F8 54 95 97 5F。Windows便用上述密钥加密你输入的密码。其加密过程为:首先将你输入的密码字符逐位转换为其16进制的ASCⅡ码值(小写字母先转为大写字母),再依次与对应密钥逐位进行异或运算,把所得16进制值的每一位当作字符,转换为其16进制ASCII码,并在其尾加上00作为结束标志,存入注册表HKEY_CURRENT_USER\Control Panel\desktop下的二进制键ScreenSave_Data中。所以把存放在注册表的HKEY_CURRENT_USERS\ControlPanel\Desktop\ScreenSave_Data主键下的Windows屏保密码的密文,删掉就可以了!
另外,目前市面上还出现了一种专门用于破解屏幕保护密码的光盘。插入该光盘之后,它就会利用Windows 98的自动运行功能启动保存在光盘上的屏幕保护密码破解程序,对屏幕保护功能的密码进行分析、破译,最后再将密码显示在屏幕上或写到软盘上,这就更方便了。
关于屏保密码还有一个烦恼——有些朋友总喜欢鼓捣电脑,经常给屏幕保护设置密码,如果是自己家里的也就罢了,如果是学校机房或街头网吧里的电脑,那就有些麻烦了。有此屏保密码烦恼的朋友不要急,我们可以把屏幕保护密码的功能给屏蔽掉,使其无法设置密码,这样就可以解决这些麻烦事了。具体的操作方法如下:点击“开始”→“运行”菜单,在打开的“运行”对话框中输入Regedit,回车,就打开了注册表编辑器,找到HKEY_CURRENT_USER\ControlPanel\desktop\ScreenSaveUsePassword(如果没有“ScreenSaveUsePassword”就新建这个Dword值,方法是:右键点击“Desktop”,在弹出的菜单中选择“新建”→“DWORD值”,并将其命名为“ScreenSaveUsePassword”即可),就是这个键决定屏幕保护程序是否使用密码,其键值为0或1,为“0”时表示不设置密码,为“1”则表示使用预设的密码。我们将这个值改为“0”就可以禁止屏幕保护程序使用密码。
Linux Kernel蓝牙栈 本地权限提升root漏洞
Linux Kernel蓝牙栈 本地权限提升root漏洞
文章出处:kingsoft
Linux Kernel是开放源代码操作系统Linux的内核。
linux kernel支持蓝牙。在这个蓝牙栈中发现了本地root漏洞。
受影响系统:
Linux kernel 2.6.9
Linux kernel 2.6.8
Linux kernel 2.6.7
Linux kernel 2.6.6
Linux kernel 2.6.5
Linux kernel 2.6.4
Linux kernel 2.6.3
Linux kernel 2.6.2
Linux kernel 2.6.10
Linux kernel 2.6.1
Linux kernel 2.6
Linux kernel 2.4.9
Linux kernel 2.4.8
Linux kernel 2.4.7
Linux kernel 2.4.6
Linux kernel 2.4.5
Linux kernel 2.4.4
Linux kernel 2.4.3
Linux kernel 2.4.29
Linux kernel 2.4.28
Linux kernel 2.4.27
Linux kernel 2.4.26
Linux kernel 2.4.25
Linux kernel 2.4.24
Linux kernel 2.4.23
Linux kernel 2.4.22
Linux kernel 2.4.21
Linux kernel 2.4.20
Linux kernel 2.4.2
Linux kernel 2.4.19
Linux kernel 2.4.18
Linux kernel 2.4.17
Linux kernel 2.4.16
Linux kernel 2.4.15
Linux kernel 2.4.14
Linux kernel 2.4.13
Linux kernel 2.4.12
Linux kernel 2.4.11
Linux kernel 2.4.10
Linux kernel 2.4.1
Linux kernel 2.4
受影响系统:
Linux kernel 2.6.11.6
Linux kernel 2.4.30 rc3
解决方案:
厂商补丁:
Linux
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/pub/linux/kernel/v2.4/testing/patch-2.4.30.log
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.11.6
插翅难逃 根据Web服务器的记录来追踪黑客
插翅难逃 根据Web服务器的记录来追踪黑客
摘要:本文主要讲述如何分析Web服务器记录,在众多记录里查找黑客攻击的蛛丝马迹,并针对当今流行的两类Web服务器给出具体的一些实例。
关键词:Web服务器,IIS,Apache,logging记录
现今的网络,安全越来越受到大家的重视,在构建网络安全环境时,在技术手段,管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安全是个全方位的问题,忽略哪一点都会造成木桶效应,使得整个安全系统虚设。本文从分析Web服务器的logging记录来找出漏洞,防范攻击,从而加强Web服务器安全。
Web服务是Internet所提供最多,最丰富的服务,各种Web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击和入侵,其中查看Web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。下面就对最流行的两类Web服务器:Apache和IIS做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范。
1.默认的web记录
对于IIS,其默认记录存放在c:\\winnt\\system32\\logfiles\\w3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法(GET or POST…)、请求的资源、HTTP状态(用数字表示)等。对于其中的HTTP状态,我们知道200-299表明访问成功;300-399表明需要客户端反应来满足请求;400-499和500-599表明客户端和服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止。
Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标示(一般为空)、用户名(如果需要认证)、访问方式(GET or POST…)、HTTP状态、传输的字节数等。
2.收集信息
我们模拟黑客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵。我们使用的工具是netcat1.1 for windows,Web服务器ip为10.22.1.100,客户端IP为:10.22.1.80。
C:>nc -n 10.22.1.100 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Oct 2002 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
在IIS和Apache的log里显示如下:
IIS: 15:08:44 10.22.1.80 HEAD /Default.asp 200
Linux: 10.22.1.80- – [08/Oct/2002:15:56:39 -0700] \"HEAD / HTTP/1.0\" 200 0
以上的活动看上去很正常,也不会对服务器产生任何影响,但这是通常攻击的前奏。
3. Web站点镜像
黑客经常镜像一个站点来帮助攻击服务器,常用来镜像的工具有Windows下的Teleport pro和Unix下的Wget。
下面我们看使用这两个工具后在服务器记录里的信息:
16:28:52 10.22.1.80 GET /Default.asp 200
16:28:52 10.22.1.80 GET /robots.txt 404
16:28:52 10.22.1.80 GET /header_protecting_your_privacy.gif 200
16:28:52 10.22.1.80 GET /header_fec_reqs.gif 200
16:28:55 10.22.1.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 10.22.1.80 GET /g2klogo_white_bgd.gif 200
16:28:55 10.22.1.80 GET /header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET /Default.asp 200
16:49:01 10.22.1.81 GET /robots.txt 404
16:49:01 10.22.1.81 GET /header_contribute_on_line.gif 200
16:49:01 10.22.1.81 GET /g2klogo_white_bgd.gif 200
16:49:01 10.22.1.81 GET /photo_contribs_sidebar.jpg 200
16:49:01 10.22.1.81 GET /header_fec_reqs.gif 200
16:49:01 10.22.1.81 GET /header_protecting_your_privacy.gif 200
10.22.1.80是使用Wget的Unix客户端,10.22.1.81是使用Teleport pro的Windows客户端,都请求robots.txt文件,Robots.txt是请求没有被镜像的文件时所要用到的。所以看到有对robots.txt文件的请求,表明有镜像的企图。当然,在Wget和Teleport pro客户端,可以手工禁止对robots.txt文件的访问,这时,辨别方法可以看是否有从同一IP地址来的重复资源请求。
4.漏洞扫描
随着攻击的发展,我们可以用一些Web漏洞检查的软件,如Whisker,它可以检查已知晓的各种漏洞,如cgi程序导致的安全隐患等。下面是运行Whisker1.4的IIS和Apache的相关记录:
IIS
12:07:56 10.22.1.81 GET /SiteServer/Publishing/viewcode.asp 404
12:07:56 10.22.1.81 GET /msadc/samples/adctest.asp 200
12:07:56 10.22.1.81 GET /advworks/equipment/catalog_type.asp 404
12:07:56 10.22.1.81 GET /iisadmpwd/aexp4b.htr 200
12:07:56 10.22.1.81 HEAD /scripts/samples/details.idc 200
12:07:56 10.22.1.81 GET /scripts/samples/details.idc 200
12:07:56 10.22.1.81 HEAD /scripts/samples/ctguestb.idc 200
12:07:56 10.22.1.81 GET /scripts/samples/ctguestb.idc 200
12:07:56 10.22.1.81 HEAD /scripts/tools/newdsn.exe 404
12:07:56 10.22.1.81 HEAD /msadc/msadcs.dll 200
12:07:56 10.22.1.81 GET /scripts/iisadmin/bdir.htr 200
12:07:56 10.22.1.81 HEAD /carbo.dll 404
12:07:56 10.22.1.81 HEAD /scripts/proxy/ 403
12:07:56 10.22.1.81 HEAD /scripts/proxy/w3proxy.dll 500
12:07:56 10.22.1.81 GET /scripts/proxy/w3proxy.dll 500
Apache
10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfcache.map HTTP/1.0\" 404 266
10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfide/Administrator/startstop.html HTTP/1.0\" 404 289
10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cfappman/index.cfm HTTP/1.0\" 404 273
10.22.1.80-[08/Oct/2002:12:57:28 -0700] \"GET /cgi-bin/ HTTP/1.0\" 403 267
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"GET /cgi-bin/dbmlparser.exe HTTP/1.0\" 404 277
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /_vti_inf.html HTTP/1.0\" 404 0
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /_vti_pvt/ HTTP/1.0\" 404 0
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/webdist.cgi HTTP/1.0\" 404 0
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/handler HTTP/1.0\" 404 0
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/wrap HTTP/1.0\" 404 0
10.22.1.80-[08/Oct/2002:12:57:29 -0700] \"HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0\" 404
检查这种攻击的关键是看同一IP地址对cgi目录(IIS是scripts,Apache是cgi-bin)文件请求出现多个404状态。这时就要检查相应cgi目录里的程序安全性。
5.远程攻击
下面我们以针对IIS的MDAC攻击为例,来了解远程攻击在log里的记录情况。MDAC漏洞使得攻击者可以在Web服务器端执行任何命令。
17:48:49 10.22.1.80 GET /msadc/msadcs.dll 200
17:48:51 10.22.1.80 POST /msadc/msadcs.dll 200
当攻击发生后,在log会留下对msadcs.dll请求的记录。
另一个有名的攻击是asp源代码泄漏的漏洞,当这种攻击发生时,log文件会有如下记录:
17:50:13 10.22.1.81 GET /default.asp+.htr 200
对于未授权访问的攻击记录,Apache log会显示:
[08/Oct/2002:18:58:29 -0700] \"GET /private/ HTTP/1.0\" 401 462
6.总结
管理一个安全站点要求系统管理人员具备安全的常识和警惕性,从不同的渠道了解安全的知识不仅能对付已发生的攻击,还能对将会发生的攻击做到较好的防范。而通过Log文件来了解、防范攻击是很重要但又经常容易忽略的手段。
IDS(入侵检测系统)能帮助你很多,但不能完全代替安全管理。仔细检查Log,IDS所遗漏的东西,就可能在这里发现。
Web网站安全需澄清五个误解
Web网站安全需澄清五个误解
目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。
随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面对Web网站下手。市场研究公司Gartner的分析师指出,目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性,首先要澄清五个误解。
一、“Web网站使用了SSL加密,所以很安全”
单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。
二、“Web网站使用了防火墙,所以很安全”
防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
三、“漏洞扫描工具没发现任何问题,所以很安全”
自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。
漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。
四、“网站应用程序的安全问题是程序员造成的”
程序员确实造成了一些问题,但有些问题程序员无法掌控。
比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。
很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。
五、“我们每年会对Web网站进行安全评估,所以很安全”
一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。
网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。
防黑全攻略——端口扫描技术
防黑全攻略——端口扫描技术
本文讲述了TCP联接的建立过程,以及介绍了一些经典的扫描器以及所谓的SYN扫描器的使用,以及隐藏攻击源的技术,最好介绍了另外一些扫描技术。考虑了一些不是基于TCP端口和主要用来进行安全扫描的扫描工具(例如SATAN)。另外分析了使用扫描器的栈指纹。栈指纹通过检测主机TCP并将应答跟已知操作系统TCP/IP协议栈应答相比较,解决了识别操作系统的问题。 TCP/IP,UDP,三阶段握手,SYN扫描,FIN扫描,秘密扫描,间接扫描,诱骗扫描,指纹,协作扫描。
——————————————————————————–
正文:
端口扫描技术
前言
第一部分,我们讲述TCP连接的建立过程(通常称作三阶段握手),然后讨论与扫描程序有关的一些实现细节。
然后,简单介绍一下经典的扫描器(全连接)以及所谓的SYN(半连接)扫描器。
第三部分主要讨论间接扫描和秘密扫描,还有隐藏攻击源的技术。
秘密扫描基于FIN段的使用。在大多数实现中,关闭的端口对一个FIN 段返回一个RST,但是打开的端口通常丢弃这个段,不作任何回答。间接扫描,就像它的名字,是用一个欺骗主机来帮助实施,这台主机通常不是自愿的。
第四部分介绍了一种与应用协议有关扫描。这些扫描器通常利用协议实现中的一些缺陷或者错误。认证扫描(ident scanning)也被成为代理扫描(proxy scanning)。
最后一部分,介绍了另外一些扫描技术。考虑了一些不是基于TCP端口和主要用来进行安全扫描的扫描工具(例如SATAN)。另外分析了使用扫描器的栈指纹。栈指纹通过检测主机TCP并将应答跟已知操作系统TCP/IP协议栈应答相比较,解决了识别操作系统的问题。
一:TCP/IP相关问题
连接端及标记
IP地址和端口被称作套接字,它代表一个TCP连接的一个连接端。为了获得TCP服务,必须在发送机的一个端口上和接收机的一个端口上建立连接。TCP连接用两个连接端来区别,也就是(连接端1,连接端2)。连接端互相发送数据包。
一个TCP数据包包括一个TCP头,后面是选项和数据。一个TCP头包含6个标志位。它们的意义分别为:
SYN: 标志位用来建立连接,让连接双方同步序列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接。
FIN: 表示发送端已经没有数据要求传输了,希望释放连接。
RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。
URG: 为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效。
ACK: 为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效。
PSH: 如果置位,接收端应尽快把数据传送给应用层。
TCP连接的建立
TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。 TCP的可靠性通过校验和,定时器,数据序号和应答来提供。通过给每个发送的字节分配一个序号,接收端接收到数据后发送应答,TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序,剔除重复的数据。在一个TCP会话中,有两个数据流(每个连接端从另外一端接收数据,同时向对方发送数据),因此在建立连接时,必须要为每一个数据流分配ISN(初始序号)。为了了解实现过程,我们假设客户端C希望跟服务器端S建立连接,然后分析连接建立的过程(通常称作三阶段握手):
1: C –SYN XXà S
2: C ?-SYN YY/ACK XX+1——- S
3: C —-ACK YY+1–à S
1:C发送一个TCP包(SYN 请求)给S,其中标记SYN(同步序号)要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的ISN(XX是一个例子)。
2:服务器端发回应答,包含自己的SYN信息ISN(YY)和对C的SYN应答,应答时返回下一个希望得到的字节序号(YY+1)。
3:C 对从S 来的SYN进行应答,数据发送开始。
一些实现细节
大部分TCP/IP实现遵循以下原则:
1:当一个SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。
2:当一个RST数据包到达一个监听端口,RST被丢弃。
3:当一个RST数据包到达一个关闭的端口,RST被丢弃。
4:当一个包含ACK的数据包到达一个监听端口时,数据包被丢弃,同时发送一个RST数据包。
5:当一个SYN位关闭的数据包到达一个监听端口时,数据包被丢弃。
6:当一个SYN数据包到达一个监听端口时,正常的三阶段握手继续,回答一个SYN ACK数据包。
7:当一个FIN数据包到达一个监听端口时,数据包被丢弃。"FIN行为"(关闭得端口返回RST,监听端口丢弃包),在URG和PSH标志位置位时同样要发生。所有的URG,PSH和FIN,或者没有任何标记的TCP数据包都会引起"FIN行为"。
二:全TCP连接和SYN扫描器
全TCP连接
全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口,connect()会获得成功,否则返回-1,表示端口不可访问。由于通常情况下,这不需要什么特权,所以几乎所有的用户(包括多用户环境下)都可以通过connect来实现这个技术。
这种扫描方法很容易检测出来(在日志文件中会有大量密集的连接和错误记录)。Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外,TCP Wrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描。
TCP SYN扫描
在这种技术中,扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST,那么说明端口是关闭的,按照设定就探听其它端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息,传送一个RST给目标机从而停止建立连接。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
三:秘密扫描与间接扫描
秘密扫描技术
由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多。另外,FIN数据包能够通过只监测SYN包的包过滤器。
秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN,URG和PUSH标记,而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。
秘密扫描通常适用于UNIX目标主机,除过少量的应当丢弃数据包却发送reset信号的操作系统(包括CISCO,BSDI,HP/UX,MVS和IRIX)。在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都发送RST。
跟SYN扫描类似,秘密扫描也需要自己构造IP 包。
间接扫描
间接扫描的思想是利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息,所以必须监控欺骗主机的IP行为,从而获得原始扫描的结果。间接扫描的工作过程如下:
假定参与扫描过程的主机为扫描机,隐藏机,目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色,在扫描机扫描目的机的时候,它不能发送任何数据包(除了与扫描有关的包)。
四:认证扫描和代理扫描
认证扫描
到目前为止,我们分析的扫描器在设计时都只有一个目的:判断一个主机中哪个端口上有进程在监听。然而,最近的几个新扫描器增加了其它的功能,能够获取监听端口的进程的特征和行为。
认证扫描是一个非常有趣的例子。利用认证协议,这种扫描器能够获取运行在某个端口上进程的用户名(userid)。认证扫描尝试与一个TCP端口建立连接,如果连接成功,扫描器发送认证请求到目的主机的113TCP端口。认证扫描同时也被成为反向认证扫描,因为即使最初的RFC建议了一种帮助服务器认证客户端的协议,然而在实际的实现中也考虑了反向应用(即客户端认证服务器)。
代理扫描
文件传输协议(FTP)支持一个非常有意思的选项:代理ftp连接。这个选项最初的目的(RFC959)是允许一个客户端同时跟两个FTP服务器建立连接,然后在服务器之间直接传输数据。然而,在大部分实现中,实际上能够使得FTP服务器发送文件到Internet的任何地方。许多攻击正是利用了这个缺陷。最近的许多扫描器利用这个弱点实现ftp代理扫描。
ftp端口扫描主要使用ftp代理服务器来扫描tcp端口。扫描步骤如下:
1:假定S是扫描机,T是扫描目标,F是一个ftp服务器,这个服务器支持代理选项,能够跟S和T建立连接。
2:S与F建立一个ftp会话,使用PORT命令声明一个选择的端口(称之为p-T)作为代理传输所需要的被动端口。
3:然后S使用一个LIST命令尝试启动一个到p-T的数据传输。
4:如果端口p-T确实在监听,传输就会成功(返回码150和226被发送回给S)。否则S回收到"425无法打开数据连接"的应答。
5:S持续使用PORT和LIST命令,直到T上所有的选择端口扫描完毕。
FTP代理扫描不但难以跟踪,而且当ftp服务器在_blank">防火墙后面的时候
五:其它扫描方法
Ping扫描
如果需要扫描一个主机上甚至整个子网上的成千上万个端口,首先判断一个主机是否开机就非常重要了。这就是Ping扫描器的目的。主要由两种方法用来实现Ping扫描。
1:真实扫描:例如发送ICMP请求包给目标IP地址,有相应的表示主机开机。
2:TCP Ping:例如发送特殊的TCP包给通常都打开且没有过滤的端口(例如80端口)。对于没有root权限的扫描者,使用标准的connect来实现。否则,ACK数据包发送给每一个需要探测的主机IP。每一个返回的RST表明相应主机开机了。另外,一种类似于SYN扫描端口80(或者类似的)也被经常使用。
安全扫描器
安全扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。象其它端口扫描器一样,它们查询端口并记录返回结果。但是它们。它们主要要解决以下问题:
1:是否允许匿名登录。
2:是否某种网络服务需要认证。
3:是否存在已知安全漏洞。
可能SATAN是最著名的安全扫描器。1995年四月SATAN最初发布的时候,人们都认为这就是它的最终版本,认为它不但能够发现相当多的已知漏洞,而且能够针对任何很难发现的漏洞提供信息。但是,从它发布以来,安全扫描器一直在不断地发展,其实现机制也越来越复杂。
栈指纹
绝大部分安全漏洞与缺陷都与操作系统相关,因此远程操作系统探测是系统管理员关心的一个问题。
远程操作系统探测不是一个新问题。近年来,TCP/IP实现提供了主机操作系统信息服务。FTP,TELNET,HTTP和DNS服务器就是很好的例子。然而,实际上提供的信息都是不完整的,甚至有可能是错误的。最初的扫描器,依靠检测不同操作系统对TCP/IP的不同实现来识别操作系统。由于差别的有限性,现在只能最多只能识别出10余种操作系统。
最近出现的两个扫描器,QueSO和NMAP,在指纹扫描中引入了新的技术。 QueSO第一个实现了使用分离的数据库于指纹。NMAP包含了很多的操作系统探测技术,定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入,NMAP指纹数据库是不断增长的,它能识别的操作系统也越来越多。
这种使用扫描器判断远程操作系统的技术称为(TCP/IP)栈指纹技术。
另外有一种技术称为活动探测。活动探测把TCP的实现看作一个黑盒子。通过研究TCP对探测的回应,就可以发现 TCP实现的特点。TCP/IP 栈指纹技术是活动探测的一个变种,它适用于整个TCP/IP协议的实现和操作系统。栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统的细微区别。这些信息用来创建一个指纹,然后跟已知的指纹进行比较,就可以判断出当前被扫描的操作系统。
栈指纹扫描包含了相当多的技术。下面是一个不太完整的清单:
1:FIN探测
2:BOGUS标记探测
3:TCP ISN 取样
4:TCP 初始窗口
5:ACK值
6:ICMP错误信息
7:ICMP信息
8:服务类型
9:TCP选项
保护(IIS)web服务器的15个技巧
来源:http://www.enet.com.cn
通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。
高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。
正因为如此,我在这里将为预算而头疼的大学IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的,但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上,这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。
首先,开发一套安全策略
保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。
网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。
通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。
IIS安全技巧
微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。
1. 保持Windows升级:
你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。
2. 使用IIS防范工具:
这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。
3. 移除缺省的Web站点:
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。
4. 如果你并不需要FTP和SMTP服务,请卸载它们:
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
5. 有规则地检查你的管理员组和服务:
有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。
6. 严格控制服务器的写访问权限:
这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。
7. 设置复杂的密码:
我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。
8. 减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。
9. 禁用TCP/IP协议中的NetBIOS:
这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。
10. 使用TCP端口阻塞:
这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。
11. 仔细检查*.bat和*.exe 文件: 每周搜索一次*.bat
和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
12. 管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
13. 使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
14.管理用户账户:如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。
15. 审计你的Web服务器:
审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了.