史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-08-19, 08:29 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 狙擊波」防範及殺毒全攻略!

這幾天網路上最「紅」的病毒就是被稱為歷史上最快利用微軟漏洞攻擊電腦的病毒「狙擊波」 (Worm.Zotob.A)。

該病毒利用了8月9日微軟發佈的即插即用中的漏洞(MS05-039),病毒傳播者通過病毒會向未感染的機器傳送漏洞溢位資料包,如果攻擊失敗,受攻擊的機器會發生崩潰,出現倒計時對話視窗,然後系統開始頻繁重啟。此外,該病毒還可以通過IRC接受黑客指令,使被感染電腦被黑客完全控制,並且該病毒還會禁止用戶更新安全軟體。


在微軟發佈安全公告後短短的5天之內,網際網路上就出現了該蠕蟲病毒!而到目前為止,該病毒已經出現了超過10個變種!

該病毒最早可能源自歐洲芬蘭,之後在歐洲迅速流傳。昨天從美國傳來消息,美國部分重要企業和政府機構遭受此次蠕蟲狂潮的襲擊,並造成網路癱瘓。不過,該蠕蟲病毒目前在中國內地的疫情還比較緩和,並未出現大規模氾濫。原因並不是國內的電腦比國外的要安全性好,據瞭解,而最主要的還是目前截獲的「狙擊波」及變種均為國外作者編寫,可完全攻擊和感染英文版的Windows系統。所以對於中文Windows系統,該病毒雖然可以攻擊電腦致使倒計時重啟,卻不能致使感染。

不過要是當該病毒出現針對中文版Windows的時候,國內的疫情形勢就會非常嚴峻!據有關人士表示,由於Windows2000以及WindowsXP SP1系統用戶是該病毒的主要對象,這樣的話估計國內有六成電腦用戶受到安全威脅!因此,不管你是否已經被該病毒「騷擾」,都應該先做到防範於未然,可不要等到中了病毒再來亡羊補牢。

該病毒呈現以下特徵:
  1. 病毒將自身複製到以下目錄:%system%\botzor.exe
  2. 在註冊表中增加如下鍵值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
  "WINDOWS SYSTEM" = "botzor.exe"
  ——(以在每次啟動時執行)
  3. 修改以下服務
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
  "Start" = 0x00000004
  ——(以阻止WinXP原有的的防火牆執行)
  4.通過MS05-039進行攻擊
  // -=PNP445=- //transfer complete to ip:
  5.病毒會新增以下互斥量,以保證系統只一個工作執行
  B-O-T-Z-O-R
  6.病毒文件中含有以下作者訊息
  Botzor2005 By DiablO
  7.病毒會連接
  diabl0.turk*****s.net網站的IRC頻道,以接受病毒傳播者的控制.
  8. 修改Host文件,遮閉大量國內外反病毒和安全廠商的網址,並顯示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的電腦還未中「狙擊波」 (Worm.Zotob.A)病毒,請:
一,立即下載微軟MS05-039的修正檔並安裝

  •WinXP系統安全更新修正檔 (KB899588)

  •Win2000系統安全更新修正檔(KB899588)

  •WinXP-64系統安全更新修正檔(KB899588)

  •WinServer 2003 系統安全更新修正檔(KB899588)

二,昇級你的殺毒軟體病毒庫,並開啟病毒既時監控。

如果你的電腦已經不幸中了「狙擊波」 (Worm.Zotob)病毒,
手動殺毒辦法:
一,在個人防火牆上增加新規則,阻止TCP連接阜139和445;
二,在工作管理器裡面結束botzor.exe工作
三,執行REGEDIT,開啟註冊表編輯器,移除病毒在註冊表中增加的啟動項
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "WINDOWS SYSTEM" = botzor.exe

四,將病毒在系統目錄下新增botzor.exe文件移除,大小為22528字元。
五,結束上述步驟後,接著按照未中病毒的步驟進行——安裝微軟MS05-039的修正檔,昇級你的殺毒軟體病毒庫,並開啟病毒既時監控即可。

自動殺毒方法:
一,在個人防火牆上增加新規則,阻止TCP連接阜139和445;

二,使用各病毒廠商發佈的「狙擊波」 (Worm.Zotob.A)病毒專殺工具查殺病毒。

諾頓狙擊波專殺工具
本機下載位址:http://file2.mydrivers.com/tools/others/nd.zip
賽門鐵克公司發佈的狙擊波病毒專殺工具。這個是8月18日剛發佈的1.40版,可清除「狙擊波」病毒及其變種:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙擊波專殺工具
本機下載位址:http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司發佈的狙擊波病毒專殺工具。這個是8月17日剛發佈的1.0版,可清除「狙擊波」病毒及其變種:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。

江民狙擊波專殺工具
本機下載位址:http://file2.mydrivers.com/tools/others/jm.zip
江民公司發佈的狙擊波病毒專殺工具。這個是8月17日剛發佈的1.0版,可清除「狙擊波」病毒及其變種:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

金山狙擊波專殺工具
本機下載位址:http://file2.mydrivers.com/tools/others/js.zip
金山公司發佈的狙擊波病毒專殺工具。這個是8月16日剛發佈的3.0版,可清除「狙擊波」病毒及其變種:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

三,安裝微軟MS05-039的修正檔,昇級你的殺毒軟體病毒庫,並開啟病毒既時監控即可。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-08-22, 01:54 PM   #2 (permalink)
註冊會員
 
Ajeffery 的頭像
榮譽勳章
UID - 17110
在線等級: 級別:30 | 在線時長:1063小時 | 升級還需:22小時級別:30 | 在線時長:1063小時 | 升級還需:22小時級別:30 | 在線時長:1063小時 | 升級還需:22小時級別:30 | 在線時長:1063小時 | 升級還需:22小時級別:30 | 在線時長:1063小時 | 升級還需:22小時
註冊日期: 2002-12-24
VIP期限: 2009-04
住址: 不為人知的角落
文章: 878
精華: 0
現金: 3 金幣
資產: 157211 金幣
預設

太感謝了 家裡四台電腦 已經兩台中標 ...
Ajeffery 目前離線  
送花文章: 215, 收花文章: 91 篇, 收花: 967 次
舊 2005-08-23, 09:47 AM   #3 (permalink)
sff
註冊會員
 
sff 的頭像
榮譽勳章
UID - 4374
在線等級: 級別:26 | 在線時長:809小時 | 升級還需:28小時級別:26 | 在線時長:809小時 | 升級還需:28小時級別:26 | 在線時長:809小時 | 升級還需:28小時級別:26 | 在線時長:809小時 | 升級還需:28小時級別:26 | 在線時長:809小時 | 升級還需:28小時級別:26 | 在線時長:809小時 | 升級還需:28小時
註冊日期: 2002-12-07
文章: 858
精華: 0
現金: 921 金幣
資產: 715466 金幣
預設

感謝大大
受益良多
學校的電腦最近中毒,來去檢查看看
sff 目前離線  
送花文章: 1961, 收花文章: 158 篇, 收花: 363 次
舊 2006-03-10, 05:02 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

新手盲點:查殺病毒的N個誤區

1、對染毒軟碟DIR操作會導致硬碟被感染(錯)
  如果電腦的記憶體沒有病毒,那麼只有在執行了帶有病毒的程序(文件)後,才會感染電腦。而DIR指令是DOS的內部指令,不需要執行任何外部的程序(文件),因此對染毒軟碟進行DIR操作不會感染病毒。
  不過需要注意的是,如果電腦記憶體已有病毒(或者說電腦已染毒),如果對沒有染毒的軟碟進行DIR操作, 就可能感染軟碟。說可能會感染是因為有些病毒不會通過DIR操作傳播。
2、將文件改為只讀方式可免受病霉的感染(錯)
  某些人認為通過DOS的外部指令ATTRIB,將文件設定為只讀會十分有效地抵禦病毒。 其實修改一個文件的內容只需要使用幾個DOS中斷就可以了,因此說ATTRIB指令對於阻止病毒的感染及傳播幾乎無能為力。
3、病毒能感染寫保護的磁(錯)
  由於病毒可感染唯讀檔,不少人由此認為病毒也能修改在寫保護磁牒上的文件。事實上,磁碟機可以判斷磁牒是否寫保護,是否應該對其進行寫操作,這一切都是由硬體來控制的,您可以物理地解除PC的寫保護傳感器,卻不能用軟體來做這件事。
  如果您的軟式磁碟機是正常的,而軟碟的寫保護一次也沒有取下來,絕對不會感染病毒。但是如果您取下來了,並且用帶毒的機器DIR過,則完全有可能感染病毒。注意這個DIR是從機器向軟碟感染病毒,而不是把病毒從軟碟傳染到機器。
  寫保護和文件只讀方式不同,設定文件只讀方式是通過電腦,所以病毒能插上一手,可是寫保護非要人手參與不可,病毒可沒辦法把寫保護弄掉。電腦不能對寫保護磁牒進行改寫,這是任何操作都無法改變的(除非您把驅動器弄壞)。
4、反病毒軟體能夠殺除所有已知病毒(錯)
  病毒感染方式很多,有些病毒會強行覆蓋執行程序的某一部分,將自身程式碼嵌入其中,以達到不改變被感染文件長度的目的,被這樣的病毒覆蓋掉的程式碼無法復原,因此這種病毒是無法安全殺除的。 病毒破壞了文件的某些內容, 在殺除這種病毒後是不能恢覆文件的原貌的。
5、使用殺毒軟體可以免受病毒的侵擾(錯)
  目前市場上出售的殺毒軟體,都只能在病毒氾濫之後才「一展身手」。但在殺毒之前病毒已經造成了工作的延誤、資料的破壞或其他更為嚴重的後果。所以,應該選項一套完善的反毒系統,它不僅應包括一般的查、殺病毒功能,還應該同時包括有既時防毒功能,能既時地監測、跟蹤對文件的各種操作,一旦發現病毒,立即報警,只有這樣才能最大程度地減少被病毒感染的機會。
6、磁牒文件損壞多為病毒所為(錯)
  文件的損壞有多種原因,電源電壓波動、掉電、磁化、磁牒品質低劣、硬體錯誤、其他軟體中的錯誤、灰塵、煙灰、茶水,甚至一個噴嚏都可能導致資料遺失。以上所舉對文件造成的損壞,會比病毒造成的損失更一般,更嚴重。
7、如果做制作備份的時候,制作備份了病霉,那麼這些制作備份是無用的(錯)
  有兩種情況:1軟碟制作備份:制作備份中含有啟始型病毒。這種情況下,只要不用這張軟碟試圖啟動您的電腦,它將和無毒制作備份一樣安全。2磁帶制作備份:制作備份中的資料檔案中不會有病毒,如果其中的可執行文件中含有病毒,那麼執行文件就白制作備份了,但是制作備份中的資料檔案還是可用的。
8、反病毒軟體可以隨時隨地防範任何病霉(錯)
  很顯然,這種反病毒軟體是不存在的。新病毒不斷出現,要求反病毒軟體必須快速昇級。對抗病毒,我們需要的是一種安全原則和一個完善的反病毒系統,用制作備份作為防病毒的第一道防線,將反病毒軟體作為第二道防線。 同時,軟體的及時昇級是加固第二道防線的唯一方法。使用反病毒軟體是為了輔助防毒,它不可能是刀槍不入的保鏢。
9、正版軟體不會帶病毒,可以安全使用(錯)
  電腦用戶常被告知,「為了防範病毒的侵害,不要使用來歷不明的軟體」。這話不錯,所謂「來歷不明的軟體」確實是電腦病毒傳播主要途徑之一。那麼使用有「來歷」的軟體是否就可以高枕無憂呢?非也!實際上電腦報刊媒體已經多次報導過「正版軟體」。「商品軟體」帶病毒問題。使用商品軟體也不可掉以輕心,甚至新購買的電腦包括
  原裝電腦在使用前都須進行病毒檢測。如確實由於原版軟體帶有病毒而造成重大的損失,應尋求法律保護。
10、「能殺毒的就行」和「有一個殺毒軟體就夠了」(錯)
  「能殺毒的就行」和「有一個殺毒軟體就夠了」,這是一部分人在選項殺毒軟體時的想法。一種一般的情況是,當您的電腦不正常時,找來一大堆殺毒軟體,不管是正版還是盜版,能查能殺病毒就是好樣的。其實很多電腦的故障並不是病毒導致,這樣,很多的殺毒軟體都「無效」;另一種更一般的情況是用戶一般並不注意「查毒」與「殺毒」的區別,使用某種殺毒軟體時,首選「殺毒」操作。於是,當它用這種殺毒軟體將系統「殺毒」了一次以後,用其他殺毒軟體,就再也找不到病毒了,那就認定這個軟體是最好的。
  目前還沒有一個殺毒軟體能囊括所有病毒而殺之,這是誰也做不到的。由於各種病毒標本的來源不同,再加上程序編製者的實力有別,總存在一種軟體能查殺的病毒,別的軟體卻不能查殺。或者由於一些程序BUG(程序錯誤),使某些軟體本來可以查殺的病毒,在它的一些版本中卻不能查殺或誤查誤殺了。所以一般不建議用戶革一的選項一種殺毒軟體。
  在選項殺毒軟體時,請首先拋開您所有關於「好」與「不好」的成見,也拒絕廣告詞上的種種誘惑,認真地去瞭解一下殺病毒軟體廠商在技術實力、服務品質、軟體效能等方面的東西。特別應該瞭解軟體廠商在昇級、退貨、損壞更換等方面的措施和承諾的可信度。同時,您應該請廠商直接闡述一下他們在廣告中的各種術語的具體含義,要知道,這是您作為消費者的合法權益。
  現在的反病毒軟體市場就像「戰國時代」,各家都說各家好。但消費者感到不放心,到底用誰的軟體好?只用一個好還是用幾個好?世上沒有「萬靈丹」,一個軟體再好,也不是所有的病毒都能殺,不能「包治百病」。各軟體廠家獲取病毒樣本的時間不同,因此,在每一個時間段,各軟體廠家都是各有側重,只有一個不保險。除了「萬能的主」之外,這個世界上恐怕再也找不到萬能的東西了。為防止「重複建設」,專家認為,選購兩個優勢互補的反病毒軟體即可,這是提高「安全係數」的最佳方法。千萬別把好幾個反病毒軟體都在同一台電腦上安裝,大多了沒必要,而且有可能出現相互之間搶佔資源、判斷失誤、當機等問題。
11、發現CMOS中有病毒(錯)
  CMOS是微機中的一種特殊儲存於器,記錄了微機的硬體設定參數及系統日期時間。開機密碼等重要資料。由於CMOS設定十分重要,所以可能成為電腦病毒破壞攻擊的目標。目前確實已發現了改寫CMOS的「CMOS設定破壞者」病毒,但在CMOS中並不存在病毒。
  有時,機器發生問題,問題出在CMOS設定上,有人認為,這是躲藏在CMOS裡面的病毒!因而誤認為殺毒軟體不行,採取對CMOS儲存於器又是放電、又是短路的措施,重新設定CMOS參數後,機器恢復了正常,從此確信CMOS中有病毒。這種行為及其危險,很容易將主機板搞壞。我們說「CMOS設定破壞者病毒,不等於CMOS中有病毒!病毒不能將自身自動傳染到CMOS裡面而存留和被啟動!」,「病毒可以將CMOS設定改變或加密,但用戶也可以重新設定和恢復。」
  某些情況下,如CMOS電源不足、外界電源衝擊性波動、軟體崩潰、硬體不穩定、操作上的失誤、病毒改寫等都會導致CMOS 設定紊亂,也可以說,是紊亂性加密,因而,造成機器不能啟始或不能正常工作。這時,一般情況下可以重新對CMOS設定和用專用軟體來清理紊亂性密碼,然後再設定正確參數。
  CMOS中不會有病毒寄生,因為:
  (1)CMOS是通過I/O讀寫與CPU交換資料的, CPU的物理機能決定了只能讀寫CMOS的資料,不能把CMOS中的資料當作指令程式碼來執行。而病毒想要工作的話就一定要執行其程序碼,但CMOS只是用來存放資料的,在CMOS中的資料不是可執行的,所以並沒有CMOS病毒,只有會破壞CMOS資料的病毒。
  (2)如果把一段病毒程序寫入CMOS,則必然破壞微機的硬體設定以至於微機根本不能執行,儲存於在CMOS中的「病毒程序」將毫無作用,病毒不能在CMOS中蔓延或藏身於其中。
  (3)CMOS的有效儲存於容量只有128個字元,不足以容納病毒。可見CMOS不具備病毒寄生和被啟動的條件,不可能有病毒存在。
12、發現快取中有病毒(錯)
  與CMOS中沒有病毒一樣,快取中也是根本不可能存在病毒的。
  我們知道,程序執行時,資料流是這樣被傳送的:
  外存(軟/硬碟)
  網路=>記憶體(RAM)=>快取->CPU
  快取物理器件上是一塊高速快取晶片,它被設定在RAM與CPU之間,是RAM到CPU的一條必由通道。由於CPU的運算速度越來越快,而電腦的記憶體(RAM)的速度總是顯得跟不上CPU。「為了緩解CPU與RAM之間的速度矛盾,一般採用在它們之間加入一塊高速快取晶片快取,使同一時間下 RAM為CPU準備的程式碼不再是單一的指令/資料,而是一長段指令序列或可訪問資料塊。
  可見快取中存放的是非靜態資料(電腦用語中的「資料」包括「程序程式碼」), 它總是隨程序的執行在不斷重新整理,被RAM中的資料不斷更換。它的內容總是RAM中資料的某一部分的制作備份。
  如果RAM中有了病毒,其病毒程式碼將經由快取送到CPU,由CPU解碼執行。病毒程式碼「流經」 快取這一現象並不能稱為「有快取病毒」,就好像我們不能因為病毒程式碼在CPU中執行就認為有CPU病毒一樣。事實上,從PC機的組成原理來看,所有病毒都必須經由快取進入CPU,因為所有正常或非正常資料都是這樣進入CPU中解碼執行的。
  此外,快取中不可能有病毒的重要原因之一也在於快取不能被軟體編址,無法人為控制。
  和CMOS不一樣的是,快取並沒有專用電源供電。因而快取中的資料將在關機後自動清除,在開機時自動重新整理。這樣的環境中的「病毒」是既無法儲存於又無法複製的。可見,快取並不是病毒的安樂窩, 沒有人會考慮在這樣的環境中置放病毒。
13、病毒不感染資料檔案(錯)
  通常是這樣。因為病毒是一段程序,而資料檔案一般不包含程序,當然就不會感染病毒.TXT、.PCX等文件因為肯定不包含程序,所以可能不會感染病毒。不過有些病毒會破壞各種文件,所以制作備份資料檔案還是非常必要的。作為例外的是,若資料檔案包含了可執行碼,那麼它就能夠被病毒感染了。關於這方面的一個好的例子Microsoft Word文件(.DOC和.DOT)。雖然word文件是技術上的資料檔案,但Word中可以包含一段程序,因此它們能夠容納病毒,並因為是可執行文件,故而是容易受病毒感染的。目前大部分的病毒感染報告都是來源於巨集病毒。
14、安裝有既時殺毒功能的防火牆,就萬事大吉了(錯)
  有很多用戶持一種錯誤的觀念,以為只要買了殺毒軟體,特別是只要安裝了有既時殺毒功能的防火牆,就能擋住所有病毒,萬事大吉了—這是大錯而特錯的。從 1999年4月26日CIH病毒大發作的情況來看,安裝了病毒防火牆且於1998年9月以後至少昇級過一次的,都沒有受到CIH病毒的攻擊,而那些雖然安裝且執行病毒防火牆,卻太久沒有昇級的用戶,有相當大的比例不幸成為CIH病毒的犧牲品。究其原因,完全是沒有及時昇級,使原有的殺毒軟體無法具備防範查殺、阻擊CIH病毒的能力。因此,我們要再一次特別鄭重地提醒用戶,不管您使用的是什麼樣的殺毒軟體,它的生命力在於及時地不停昇級,否則,當一個全新的病毒襲來的時候,舊版本的殺毒軟體將會形同虛設。請用戶一定要隨時關注反病毒廠家關於新病毒的流行通報,及時昇級,以免造成不必要的損失。
15、不用軟碟,不會感染病毒,因而無需選項殺毒軟體(錯)
  「不用軟碟,就不會感染病毒」是常在初級用戶中聽到的一種言論,它和「使用軟碟,就會感染病毒」是一對孿生姊妹,是兩種相同檔案類型的錯誤論調。
  病毒的傳染是通過帶病毒軟體進行的,但軟碟並不是「帶病毒軟體」的唯一媒體。可以說,凡是可以得到程序(軟體)的地方,都可能「得到」病毒。也就是說,使用光碟、硬碟、磁帶,或者通過局域/廣域網路、Internet、BBS(電子公告板)使用或下載軟體,都潛在感染病毒的危險。尤其是近年來 Internet和BBS的廣泛使用,使得國內外病毒大面積、高速度的流行傳播成為可能。這些具有國際性的電腦訊息傳播媒體,是潛在的病毒毒源和導管(當然,這些網路體系中也具有安全性較高的防/殺病毒系統),使每一個電腦用戶都受到染毒的威脅。 —恐怕沒有人會說他的電腦永遠不會連上Internet。
  人不可能不生病,所以電腦絕不可能不感染病毒,所以您必須選項殺毒軟體。
  人不可能都是醫生,所以您沒有必要獨自去面對病毒,所以您必須選項殺毒軟體。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-03-10, 05:10 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

個人電腦詳細的安全性設定方法

由於現在家用電腦所使用的操作系統多數為Win XP 和Win2000
pro(建議還在使用98的朋友換換系統,連微軟都放棄了的系統你還用它幹嘛?)所以後面我將主要講一下關於這兩個操作系統的安全防範。

  個人電腦一般的被入侵方式

  談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:

  (1) 被他人盜取密碼;

  (2) 系統被木馬攻擊;

  (3) 瀏覽網頁時被惡意的java scrpit程序攻擊;

  (4) QQ被攻擊或洩漏訊息;

  (5) 病毒感染;

  (6) 系統存在漏洞使他人攻擊自己。

  (7) 黑客的惡意攻擊。

  下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。

本文主要防範方法
察看本機共享資源
移除共享

移除ipc$空連接
帳號密碼的安全原則

關閉自己的139連接阜
445連接阜的關閉

3389的關閉
4899的防範

一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾

禁用服務
本機原則

本機安全原則
用戶權限分配原則

終端服務組態
用戶和群組原則

防止rpc漏洞
自己動手DIY在本機原則的安全性選項

工具介紹
避免被惡意程式碼 木馬等病毒攻擊


  1.察看本機共享資源

  執行CMD輸入net
share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。

  2.移除共享(每次輸入一個)

  net share admin$ /delete
  net share c$ /delete
  net share d$ /delete(如果有e,f,……可以繼續移除)

  3.移除ipc$空連接

  在執行內輸入regedit,在註冊表中找到
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項裡數值名稱RestrictAnonymous的數值資料由0改為1。

  4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。

  關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
5.防止rpc漏洞

  開啟系統管理工具——服務——找到RPC(Remote Procedure Call (RPC)
Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。

  XP SP2和2000 pro sp4,均不存在該漏洞。

  6.445連接阜的關閉

  修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled
為REG_DWORD檔案類型鍵值為 0這樣就ok了

  7.3389的關閉

  XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。

  Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal
Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。(該方法在XP同樣適用)

  使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro
開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal
Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務,可以關閉3389,其實在2000pro
中根本不存在Terminal Services。

  8.4899的防範

  網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。

  4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的。

  所以只要你的電腦做了基本的安全組態,黑客是很難通過4899來控制你的。

  9、禁用服務

  開啟控制台,進入系統管理工具——服務,關閉以下服務

  1.Alerter[通知選定的用戶和電腦管理警報]
  2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
  3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠端電腦無法訪問共享
  4.Distributed Link Tracking Server[適用區域網路分佈式連接? U倏突I朔?馷
  5.Human Interface Device Access[啟用對人體學接頭設備(HID)的通用輸入訪問]
  6.IMAPI CD-Burning COM Service[管理 CD 錄製]
  7.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容,洩露訊息]
  8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
  9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
  10.Messenger[警報]
  11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
  12.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
  13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
  14.Print Spooler[列印機服務,沒有列印機就禁止吧]
  15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠端協助]
  16.Remote Registry[使遠端電腦用戶修改本機註冊表]
  17.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
  18.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
  19.Special Administration Console Helper[允許管理員使用緊急管理服務遠端訪問指令行提示號]
  20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS
名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
  21.Telnet[允許遠端用戶登入到此電腦並執行程序]
  22.Terminal Services[允許用戶以交互方式連線到遠端電腦]
  23.Window s Image Acquisition (WIA)[照相服務,套用與數碼攝像機]

  如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端
10、帳號密碼的安全原則

  首先禁用guest帳號,將系統內建的administrator帳號改名∼∼(改的越複雜越好,最好改成中文的),而且要設定一個密碼,最好是8位以上字母數位符號組合。
(讓那些該死的黑客慢慢猜去吧∼)

  如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登入下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入安全模式,將sam文件移除,從而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了。
  
  開啟系統管理工具.本機安全性設定.密碼原則

     1.密碼必須符合複雜要求性.啟用
     2.密碼最小值.我設定的是8
     3.密碼最長使用期限.我是預設設定42天
     4.密碼最短使用期限0天
     5.強制密碼歷史 記住0個密碼
     6.用可還原的加密來儲存於密碼 禁用
  
  11、本機原則:

  這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動,還可以說明 我們將來追查黑客。

  (雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.稽核原則

     1.稽核原則更改 成功失敗
     2.稽核登入事件 成功失敗
     3.稽核對像訪問 失敗
     4.稽核跟蹤程序 無稽核
     5.稽核目錄服務訪問 失敗
     6.稽核特權使用 失敗
     7.稽核系統事件 成功失敗
     8.稽核帳戶登入時間 成功失敗
     9.稽核帳戶管理 成功失敗
     &nb sp;然後再到系統管理工具找到
     事件檢視器
     應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
     安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
     系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件

  12、本機安全原則:

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.安全性選項
    
     1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
     2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
     3.網路訪問.可匿名的共享 將後面的值移除
     4.網路訪問.可匿名的命名管道 將後面的值移除
     5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
     6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
     7.網路訪問.限制匿名訪問命名管道和共享
     8.帳戶.(前面已經詳細講過拉 )

13、用戶權限分配原則:

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.用戶權限分配
    
     1.從網路訪問電腦 裡面一般預設有5個用戶,除Admin外我們移除4個,當然,等下我們還得建一個屬於自己的ID
     2.從遠端系統強制關機,Admin帳戶也移除,一個都不留    
     3.拒絕從網路訪問這台電腦 將ID移除
     4.從網路訪問此電腦,Admin也可移除,如果你不使用類似3389服務
     5.通過遠端強制關機。刪掉
附: 那我們現在就來看看Windows
2000的預設權限設定到底是怎樣的。對於各個磁碟區的根目錄,預設給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統磁碟區下有三個目錄比較特殊,系統預設給了他們有限制的權限,這三個目錄是Documents
and settings、Program files和Winnt。對於Documents and
settings,預設的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power
users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program
files,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power
users有完全控制權;SYSTEM同Administrators;Terminal server
users擁有完全控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有完全控制權;Creator
owner擁有特殊權限;Power
users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統磁碟區下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!


  14、終端服務組態

  開啟系統管理工具
  
  終端服務組態

    1.開啟後,點連接,右鍵,內容,遠端控制,點不允許遠端控制
    2.一般,加密等級,高,在使用標準Windows驗證上點√!
    3.網路卡,將最多連接數上設定為0
    4.進階,將裡面的權限也移除.[我沒設定]
    再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話

  15、用戶和群組原則

  開啟系統管理工具

  電腦管理.本機用戶和組.用戶;

    移除Support_388945a0用戶等等
    只留下你更改好名字的adminisrator權限  

  電腦管理.本機用戶和組.組
    
    組.我們就不分組了,每必要把

  16、自己動手DIY在本機原則的安全性選項
    
    1)當登入時間用完時自動註銷用戶(本機) 防止黑客密碼滲透.
    2)登入螢幕上不顯示上次登入名(遠端)如果開放3389服務,別人登入時,就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
    3)對匿名連接的額外限制
    4)禁止按 alt+crtl +del(沒必要)
    5)允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
    6)只有本機登入用戶才能訪問cd-rom
    7)只有本機登入用戶才能訪問軟式磁碟機
    8)取消關機原因的提示
     A、開啟控制台視窗,雙按「電源選項」圖示,在隨後出現的電源內容視窗中,進入到「進階」標籤頁面;
     B、在該頁面的「電源按鈕」設定項處,將「在按下電腦電源按鈕時」設定為「關機」,按下「確定」按鈕,來結束設定框;
     C、以後需要關機時,可以直接按下電源按鍵,就能直接電腦關機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
    D4、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將「啟用休眠」選項選就可以了。

    9)禁止關機事件跟蹤
  開始「Start ->」執行「 Run ->輸入」gpedit.msc 「,在出現的視窗的左邊部分,選項
」電腦設定「(Computer Configuration )-> 」管理範本「(Administrative
Templates)-> 」系統「(System),在右邊視窗雙按「Shutdown Event Tracker」
在出現的對話視窗中選項「禁止」(Disabled),點擊然後「確定」(OK)儲存後結束這樣,你將看到類似於Windows
2000的關機視窗

  17、一般連接阜的介紹
            
  TCP
21   FTP
22   SSH
23   TELNET
25   TCP SMTP
53   TCP DNS
80   HTTP
135  epmap
138  [衝擊波]
139  smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389   Terminal Services
4444[衝擊波]

垗DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP
Agent

恞鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080,那麼,我們只運 行本地機使用4000這幾個連接阜就行了



附:1 連接阜基礎知識大全(絕對好帖,加精吧!)

連接阜分為3大類
1) 公認連接阜(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些連接阜的通訊明確表明了某種服
務的傳輸協定。例如:80連接阜實際上總是h++p通訊。

2) 註冊連接阜(Registered Ports):從1024到49151。它們鬆散地綁定於一些服
務。也就是說有許多服務綁定於這些連接阜,這些連接阜同樣用於許多其它目的。例如: 許多系統處理動態連接阜從1024左右開始。

3) 動態和/或私有連接阜(Dynamic and/or Private Ports):從49152到65535。
理論上,不應為服務分配這些連接阜。實際上,機器通常從1024起分配動態連接阜。但也 有例外:SUN的RPC連接阜從32768開始。

本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。

記住:並不存在所謂 ICMP連接阜。如果你對解讀ICMP資料感興趣,請參看本文的其它部分。

0 通常用於分析* 作系統。這一方*能夠工作是因為在一些系統中「0」是無效連接阜,當你試 圖使用一
種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄:使用IP位址為 0.0.0.0,設定ACK位並在乙太網層廣播。

1 tcpmux這顯示有人在尋找SGIIrix機
器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris
機器在發怖時含有幾個預設的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag,
EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記移除這些帳戶。因此Hacker們在Internet上搜尋 tcpmux 並利用這些帳戶。

7Echo你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0和x.x.x.255的信
息。一般的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器傳送到另
一個UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。(參見 Chargen)
另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做 Resonate Global
Dispatch」,它與DNS的這一連接阜連接以確定最近的路 由。Harvest/squid
cache將從3130連接阜傳送UDPecho:「如果將cache的 source_ping on選項開啟,它將對原始主機的UDP
echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。

11 sysstat這是一種UNIX服務,它會列出電腦上所有正在執行的工作以及是什麼啟動
了這些工作。這為入侵者提供了許多訊息而威脅機器的安全,如暴露已知某些弱點或
帳戶的程序。這與UNIX系統中「ps」指令的結果相似再說一遍:ICMP沒有連接阜,ICMP port 11通常是ICMPtype=1119
chargen 這是一種僅僅傳送字串的服務。UDP版本將 會在收到UDP包後回應含有LJ字串的包。TCP連
接時,會傳送含有LJ字串的資料流知道連接關閉。Hacker利用IP欺騙可以發動DoS 攻擊偽造兩
個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限
的往返資料通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標
位址的這個連接阜廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過 載。
21 ftp最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方*。這些伺服器
帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序)
和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。

22 sshPcAnywhere建立TCP和這一連接阜的連接可能是為了尋找ssh。這一服務有許多弱
點。如果組態成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端
口執行ssh)還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。
它會掃瞄整個域的ssh主機。你有時會被使用這一程序的人無意中掃瞄到。UDP(而不
是TCP)與另一端的5632連接阜相連意味著存在搜尋pcAnywhere的掃瞄。5632 (十六進
制的0x1600)位交換後是0x0016(使進制的22)。

23 Telnet入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃瞄這一連接阜是
為了找到機器執行的*作系統。此外使用其它技術,入侵者會找到密碼。
#2

25 smtp攻擊者(spammer)尋找SMTP伺服器是為了傳送他們的spam。入侵者的帳戶總
被關閉,他們需要撥號連線到高帶寬的e-mail伺服器上,將簡單的訊息傳送到不同的
位址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方*之一,因為它們必須
完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。

53 DNSHacker或crackers可能是試圖進行區域傳送(TCP),欺騙DNS(UDP)或隱藏
其它通訊。因此防火牆常常過濾或記錄53連接阜。 需要注意的是你常會看到53連接阜做為
UDP源連接阜。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker 常使用這種方*穿透防火牆。

67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看
見大量傳送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個
位址分配。Hacker常進入它們分配一個位址把自己作為局部路由器而發起大量的「中
間人」(man-in-middle)攻擊。客戶端向68連接阜(bootps)廣播請求組態,伺服器
向67連接阜(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發 送的IP位址。69 TFTP(UDP)
許多伺服器與bootp一起提供這項服務,便於從系統下載 啟動程式碼。但是它們常常錯誤組態而從系統提供任何文件,如密碼文件。它們也可用
於向系統寫入文件

79 finger Hacker用於獲得用戶訊息,查詢*作系統,探測已知的緩衝區溢位錯誤, 回應從自己機器到其它機器finger掃瞄。

98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p伺服器在98端
口提供關於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任
區域網路,在/tmp下建立Internet可訪問的文件,LANG環境變數有緩衝區溢位。 此外
因為它包含整合的伺服器,許多典型的h++p漏洞可
能存在(緩衝區溢位,歷遍目錄等)109 POP2並不像POP3那樣有名,但許多伺服器同
時提供兩種服務(向後相容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用
戶名和密碼交換緩衝區溢位的弱點至少有20個(這意味著Hacker可以在真正登入繼續 入系統)。成功登入後還有其它緩衝區溢位錯誤。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是
掃瞄系統檢視允許哪些RPC服務的最早的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd,
rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提 供 服務的特定連接阜測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程序訪問以便發現到底發生 了什麼。

113 Ident auth .這是一個許多電腦上執行的傳輸協定,用於鑒別TCP連接的用戶。使用
標準的這種服務可以獲得許多機器的訊息(會被Hacker利用)。但是它可作為許多服 務的記錄器,尤其是FTP, POP, IMAP,
SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務,你將會看到許多這個連接阜的連接請求。記住,如果你阻斷這個
連接阜客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在
TCP連接的阻斷程序中發回T,著將回停止這一緩慢的連接。

119 NNTP news新聞組傳輸傳輸協定,承載USENET通訊。當你連接到諸 如:news.security.firewalls/.
的位址時通常使用這個連接阜。這個連接阜的連接 企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新
聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或傳送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE RPC end-
point mapper為它的DCOM服務。這與UNIX 111連接阜的功能很相似。使用DCOM和/或 RPC的服務利用
電腦上的end-point mapper註冊它們的位置。遠
端客戶連線到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄
機器的這個連接阜是為了找到諸如:這個電腦上運 行Exchange Server嗎?是什麼版 本?
這個連接阜除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些 DoS攻 擊直接針對這個連接阜。

137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最一般的訊息,請仔
細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
通過這個連接阜進入的連接試圖獲得NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件
和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。 大
量針對這一連接阜始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5
VisualBasicScripting)開始將它們自己拷貝到這個連接阜,試圖在這個連接阜繁殖。

143 IMAP和上面POP3的安全問題一樣,許多IMAP伺服器有緩衝區溢位漏洞執行登入過
程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個連接阜繁殖,因此許多這個端
口的掃瞄來自不知情的已被感染的用戶。當RadHat在他們的Linux發怖版本中預設允
許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一連接阜還被用於IMAP2,但並不流行。
已有一些報導發現有些0到143連接阜的攻擊源 於指令碼。

161 SNMP(UDP)入侵者常探測的連接阜。SNMP允許遠端管理設備。所有組態和執行訊息
都儲存在資料庫中,通過SNMP客獲得這些訊息。許多管理員錯誤組態將它們暴露於
Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們 可能會試驗所有可能的組合。
SNMP包可能會被錯誤的指向你的網路。Windows機器常 會因為錯誤組態將HP JetDirect rmote
management軟體使用SNMP。HP OBJECT
IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem,
DSL)查詢sysName和其它信
息。

162 SNMP trap 可能是由於錯誤組態

177 xdmcp 許多Hacker通過它訪問X-Windows控制台,它同時需要開啟6000連接阜。

513 rwho 可能是從使用cable modem或DSL登入到的子網中的UNIX機器發出的廣播。
這些人為Hacker進入他們的系統提供了很有趣的訊息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個連接阜
的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利 用這些訊息進入系統。
600 Pcserver backdoor 請檢視1524連接阜一些玩script的孩
子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃瞄的一個流行的Bug。大多數對這個端
口的掃瞄是關於UDP的,但關於TCP 的mountd有所增加(mountd同時執行於兩個端
口)。記住,mountd可執行於任何連接阜(到底在哪個連接阜,需要在連接阜111做portmap
查詢),只是Linux預設為635連接阜,就像NFS通常執行於2049
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-22, 07:12 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

查殺「衝擊波」
「衝擊波」病毒仍在肆虐,並且正改頭換面躲避「追殺」。今天8時30分,「衝擊波」病毒的兩個最新變種被截獲,分別命名為:衝擊波Ⅱ(Worm.Blaster.B)、衝擊波Ⅲ(Worm.Blaster.C)。公安部電腦病毒應急處理中心截至昨天已接到1.5萬個求助電話。全球最大的網際網路安全技術與解決方案供應商賽門鐵克公司稱,截至目前已經發現超過12.7萬台電腦系統被感染,這個數位正在成倍增長。被「衝擊波」病毒擊中的電腦總是在啟動1分鍾後就反覆重啟,讓人無法下載殺毒工具或打修正檔。


  反病毒專家介紹了兩種辦法:先將網路中斷連線,使用啟動碟,在DOS環境下清除病毒。用DOS系統啟動碟啟動進入DOS環境下,進入C碟的作業系統目錄(操作指令集:C:;CDC:@windows或CDc:@winnt);搜尋目錄中的「msblast.exe」病毒文件(操作指令集:dirmsblast.exesp);找到後進入病毒所在的子目錄,然後直接將該病毒文件移除(Delmsblast.exe)。

  先將網路中斷連線,進入安全模式,搜尋C碟,搜尋msblast.exe文件,找到後直接將該檔案移除,然後再次正常啟動電腦。當用戶手動式清除病毒體後,應上網下載相應的修正檔程序,可以先進入微軟網站,下載相應的系統修正檔。

  選使用IP包過濾技術,增加TCP、UDP的135、139、445連接阜,最新捕獲得的"新流言"病毒還要關閉TCP4444和UDP69連接阜。

http://www.microsoft.com/china/techn...n/MS03-026.asp

被「衝擊波」病毒感染的機器,最一般的現象就是系統在啟動1分鍾後就反覆重啟,用戶這時候根本就沒有時間上網去下載專殺工具或打修正檔,那該怎麼辦呢?瑞星反病毒專家告訴你一個辦法,讓你在一分鍾之內搞定系統。

  一、使用啟動碟,在DOS環境下清除病毒。1.當用戶中招出現以上現象後,用DOS系統啟動碟啟動進入DOS環境下,進入C碟的作業系統目錄.操作指令集:C:CD C:\windows (或CD c:\winnt)

  2.搜尋目錄中的「msblast.exe」病毒文件。指令操作集:dir msblast.exe /s/p

  3.找到後進入病毒所在的子目錄,然後直接將該病毒文件移除。Del msblast.exe

  二、進入安全模式,手動式清除病毒如果用戶手頭沒有DOS啟動碟,還有一個方法,就是啟動系統後進入安全模式,然後搜尋C碟,搜尋msblast.exe文件,找到後直接將該檔案移除,然後再次正常啟動電腦即可。

  三、當用戶手動式清除了病毒體後,應上網先進入微軟網站,下載相應的系統修正檔,給系統打上修正檔。

  四、打完修正檔後,用戶應下載一個瑞星專殺工具,再次清除一下系統,然後到瑞星網站將瑞星殺毒軟體昇級到最新版,開啟既時監控。

  五、如果用戶在手動式清除完病毒後,一上網就再次感染病毒並重啟,這時就只能再次手動式清除病毒,然後通過非上網的方式給系統打修正檔,然後再做其它操作。

  此外,不少用戶下了微軟「衝擊波」修正檔後打不上去,原因是沒有打過SP2以上的修正檔包,此處是SP4的下載位址集合。




熱門病毒:「高速路」病毒

  (TrojanSpy.Win32.Superway.d.enc):警惕程度★★★☆,監控型木馬病毒,通過網路傳播,依賴系統: WIN9X/NT/2000/XP。病毒啟動後病毒會將自己安裝到系統目錄下(C:\WINDOWS或C:\WINNT目錄)並修改註冊表的自啟動項,在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」中加入「TaskMontier= C:\WINNT\Mon.exe」的鍵值,
以便下次系統啟動時病毒能自動執行。該病毒還會將自己分別拷貝到D碟根目錄和E碟根目錄下並且產生一個相應的Autorun.inf文件,這樣,只要用戶瀏覽這兩個分區,病毒就能被執行,從而增大了病毒的感染機會。病毒啟動後,會駐停留系統,然後監控整個電腦,與外部的病毒程序溝通,可以造成用戶電腦被控制、重要訊息被洩露等後果。

  「若虎」病毒(Trojan.PSW.Rohu.server.enc):警惕程度★★★,木馬病毒,通過網路傳播,依賴系統: WIN9X/NT/2000/XP。該病毒由三部分構成:製造程序、伺服器端GetPin.exe和客戶端GETPIN.dll。病毒執行時會通過製造程序,來設定接收密碼的郵信箱,並產生病毒伺服器程序。然後病毒伺服器程序GetPin.exe會將客戶端GetPin.dll解壓縮到目標電腦中,這時該病毒就能截取用戶各種的輸入訊息來獲得用戶的各種密碼訊息。




Windows 2000 Service Pack 4 簡體中文版下載位址:

http://download.microsoft.com/downlo.../w2ksp4_cn.exe

Windows 2000 Service Pack 4 英文版下載位址:
http://download.microsoft.com/downlo.../W2KSP4_EN.EXE


Windows 2000 Service Pack 4 繁體中文版下載位址:
http://download.microsoft.com/downlo.../W2KSP4_tw.EXE

Windows 2000 Service Pack 4 Hong Kong中文版下載位址:
http://download.microsoft.com/downlo.../W2KSP4_hk.EXE

微軟RPC緩衝區漏洞修正檔

http://download.sina.com.cn/cgi-bin/....cgi?s_id=9021
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-05-14, 01:14 AM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

必須掌握的病毒知識

1.經常當機:病毒開啟了許多文件或佔用了大量記憶體;不穩定(如記憶體品質差,硬體超頻效能差等);執行了大容量的軟體佔用了大量的記憶體和磁牒空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;執行網路上的軟體時經常當機也許是由於網路速度太慢,所執行的程序太大,或者自己的工作站硬體組態太低。

2.系統無法啟動:病毒修改了硬碟的啟始檔案,或移除了某些啟動檔案。如啟始型病毒啟始文件損壞;硬碟損壞或參數設定不正確;系統檔案人為地誤移除等。

3.文件打不開:病毒修改了文件格式;病毒修改了文件連接位置。文件損壞;硬碟損壞;文件建立捷逕對應的連接位置發生了變化;原來編輯文件的軟體移除了;如果是在區域網路中多表現為伺服器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間開啟了檔案總管)。

4.經常報告記憶體不夠:病毒非法佔用了大量記憶體;開啟了大量的軟體;執行了需記憶體資源的軟體;系統組態不正確;記憶體本就不夠(目前基本記憶體要求為128M)等。

5.提示硬碟空間不夠:病毒複製了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在區域網路中系統管理員為每個用戶設定了工作站用戶的「私人盤」使用空間限制,因檢視的是整個網路盤的大小,其實「私人盤」上容量已用完了。

6.軟碟等設備未訪問時出讀寫信號:病毒感染;軟碟取走了還在開啟曾經在軟碟中開啟過的文件。

7.出現大量來歷不明的文件:病毒複製文件;可能是一些軟體安裝中產生的臨時文件;也或許是一些軟體的配置資訊及執行記錄。

8.啟動無顯示:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就當機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主機板故障;超頻過度;CPU損壞等等

9.資料遺失:病毒移除了文件;硬碟扇區損壞;因恢覆文件而覆蓋原文件;如果是在網路上的文件,也可能是由於其它用戶誤移除了。

10.鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意「木馬」;鍵盤或滑鼠損壞;主機板上鍵盤或滑鼠接頭損壞;執行了某個鍵盤或滑鼠鎖定程序,所執行的程序太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。

11.系統執行速度慢:病毒佔用了記憶體和CPU資源,在後台執行了大量非法操作;硬體組態低;開啟的程序太多或太大;系統組態不正確;如果是執行網路上的程序時多數是由於你的機器組態太低造成,也有可能是此時網路上正忙,有許多用戶同時開啟一個程序;還有一種可能就是你的硬碟空間不夠用來執行程序時作臨時交換資料用。

12.系統自動執行操作:病毒在後台執行非法操作;用戶在註冊表或啟動組中設定了有關程序的自動執行;某些軟體安裝或昇級後需自動重新啟動系統。

通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。


必掌握的病毒知識(二)

要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的瞭解,而且越詳細越好!

病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。

如按傳染對像來分,病毒可以劃分為以下幾類:

a、啟始型病毒

這類病毒攻擊的對象就是磁牒的啟始扇區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是啟始扇區,所以造成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。

b、文件型病毒

早期的這類病毒一般是感染以exe、com等為副檔名的可執行文件,這樣的話當你執行某個可執行文件時病毒程序就跟著啟動。近期也有一些病毒感染以dll、ovl、sys等為副檔名的文件,因為這些文件通常是某程式的組態、連接文件,所以執行某程式時病毒也就自動被子載入了。它們載入的方法是通過插入病毒程式碼整段落或分散插入到這些文件的空白字元中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中,感染後通常文件的字元數並不見增加,這就是它的隱蔽性的一面。

c、網路型病毒

這種病毒是近幾來網路的高速發展的產物,感染的對象不再局限於單一的模式和單一的可執行文件,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的移除、修改文件到現在進行文件加密、竊取用戶有用訊息(如黑客程序)等,傳播的途經也發生了質的飛躍,不再局限磁牒,而是通過更加隱蔽的網路進行,如電子郵件、電子廣告等。

d、復合型病毒

把它歸為「復合型病毒」,是因為它們同時具備了「啟始型」和「文件型」病毒的某些特點,它們即可以感染磁牒的啟始扇區文件,也可以感染某此可執行文件,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成啟始扇區文件和可執行文件的感染,所以這類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。


必掌握的病毒知識(三)

如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:

a、良性病毒:

這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水準。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣,只是想竊取你電腦中的一些通訊訊息,如密碼、IP位址等,以備有需要時用。

b、惡性病毒

我們把只對軟體系統造成干擾、竊取訊息、修改系統資訊,不會造成硬體損壞、資料遺失等嚴重後果的病毒歸之為「惡性病毒」,這類病毒入侵後系統除了不能正常使用之外,別無其它損失,系統損壞後一般只需要重裝系統的某個部分文件後即可恢復,當然還是要殺掉這些病毒之後重裝系統。

c、極惡性病毒

這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常啟動,你保分留在硬碟中的有用資料也可能隨之不能獲取,輕一點的還只是移除系統檔案和應用程式等。

d、災難性病毒

這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁牒的啟始扇區文件、修改mbr和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的資料也就很難獲取了,所造成的損失是非常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性制作備份,還好現在大多數大型企業都已認識到制作備份的意義所在,花巨資在每天的系統和資料制作備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這「萬一」。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主機板的BIOS等硬體造成破壞。
必掌握的病毒知識(四)

如按病毒的入侵的方式來分為以下幾種:

a、來源碼嵌入攻擊型

從它的名字我們就知道這類病毒入侵的主要是進階語言的源程序,病毒是在源程序編譯之前插入病毒程式碼,最後隨源程序一起被編譯成可執行文件,這樣剛產生的文件就是帶毒文件。當然這類文件是極少數,因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序,況且這種入侵的方式難度較大,需要非常專業的編程水準。

b、程式碼取代攻擊型

這類病毒主要是用它自身的病毒程式碼取代某個入侵程序的整個或部分模組,這類病毒也少見,它主要是攻擊特定的程序,針對性較強,但是不易被發現,清除起來也較困難。

c、系統修改型

這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到使用或替代作業系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒檔案類型,多為文件型病毒。

d、外殼附加型

這類病毒通常是將其病毒附加在正常程序的頭部或尾部,相當於給程序增加了一個外殼,在被感染的程序執行時,病毒程式碼先被執行,然後才將正常程序調入記憶體。目前大多數文件型的病毒屬於這一類。

有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。

1、反病毒軟體的掃瞄法

這恐怕是我們絕大數朋友首選,也恐怕是唯一的選項,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著電腦程序開發語言的技術性提高、電腦網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水準!

2、觀察法

這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。如硬碟啟始時經常出現當機、系統啟始時間較長、執行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:

a、記憶體觀察

這一方法一般用在DOS下發現的病毒,我們可用DOS下的「mem/c/p」指令來檢視各程序佔用記憶體的情況,從中發現病毒佔用記憶體的情況(一般不單獨佔用,而是依附在其它程序之中),有的病毒佔用記憶體也比較隱蔽,用「mem/c/p」發現不了它,但可以看到總的基本記憶體640K之中少了那麼區區1k或幾K。

b、註冊表觀察法

這類方法一般適用於近來出現的所謂黑客程序,如木馬程序,這些病毒一般是通過修改註冊表中的啟動、載入組態來達到自動啟動或載入的,一般是在如下幾個地方實現:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

c、系統組態文件觀察法

這類方法一般也是適用於黑客類程序,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個"shell=」項,而在wini.ini文件中有「load= 」、「run= 」項,這些病毒一般就是在這些項目中載入它們自身的程序的,注意有時是修改原有的某個程序。我們可以執行Win9x/WinME中的msconfig.exe程序來一項一項檢視。

d、特徵字元串觀察法

這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵程式碼,如CIH病毒就會在入侵的文件中寫入「CIH」這樣的字元串,當然我們不可能輕易地發現,我們可以對主要的系統檔案(如Explorer.exe)運用16進制程式碼編輯器進行編輯就可發現,當然編輯之前最好還要要制作備份,畢竟是主要系統檔案。

e、硬碟空間觀察法

有些病毒不會破壞你的系統檔案,而僅是產生一個隱藏的文件,這個文件一般內容很少,但所佔硬碟空間很大,有時大得讓你的硬碟無法執行一般的程序,但是你查又看不到它,這時我們就要開啟檔案總管,然後把所檢視的內容內容設定成可檢視所有內容的文件(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形的,因為病毒一般把它設定成隱藏內容的。到時移除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修程序中見到幾例,明明只安裝了幾個常用程序,為什麼在C碟之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:01 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1