病毒 news

[psac]

已知病毒徹底預防、徹底殺除-介紹反病毒三大技術
於病毒，經歷過電腦病毒多次侵害的人們，想必已經非常熟悉了。人們也使用了許多種反病毒軟體，但仍經常受到病毒的攻擊，大家都沒弄太清楚，到底怎麼做，才能保證電腦每分每秒的安全。經歷過CIH、「美麗莎」病毒的洗禮，人們已知道了「查殺病毒不可能一勞永逸」的道理，已經明白維護電腦的安全是一項漫長的程序。

目前成熟的反病毒技術已經完全可以做到對所有的已知病毒徹底預防、徹底殺除，主要涉及以下三大技術：

實時監視技術
這個技術為電腦構築起一道動態、實時的反病毒防線，通過修改操作系統，使操作系統本身具備反病毒功能，拒病毒於電腦系統之門外。時刻監視系統當中的病毒活動，時刻監視系統狀況，時刻監視軟碟、光碟、網際網路、電子郵件上的病毒傳染，將病毒阻止在操作系統外部。且優秀的反病毒軟體由於採用了與操作系統的底層無縫連接技術，實時監視器佔用的系統資源極小，用戶一方面完全感覺不到對機器性能的影響，一方面根本不用考慮病毒的問題。 　　只要實時反病毒軟體實時地在系統中工作，病毒就無法侵入我們的電腦系統。可以保證反病毒軟體只需一次安裝，今後電腦執行的每一秒鐘都會執行嚴格的反病毒檢查，使網際網路、光碟、軟碟等途徑進入電腦的每一個文件都安全無毒，如有毒則自動殺除。

自動解壓縮技術
目前我們在網際網路、光碟以及Windows中接觸到的大多數文件都是以壓縮狀態存放，以便節省傳輸時間或節約存放空間，這就使得各類壓縮檔案已成為了電腦病毒傳播的溫床。

如果用戶從網上下載了一個帶病毒的壓縮檔案包，或從光碟裡執行一個壓縮過的帶毒文件，用戶會放心地使用這個壓縮檔案包，然後自己的系統就會不知不覺地被壓縮檔案包中的病毒感染。而且現在流行的壓縮標準有很多種，相互之間有些還並不相容，全面覆蓋各種各樣的壓縮格式，就要求瞭解各種壓縮格式的算法和資料模型，這就必須和壓縮軟體的生產廠商有很密切的技術合作關係，否則，解壓縮就會出問題。

全平台反病毒技術
目前病毒活躍的平台有：DOS、Windows、Windows NT、Netware、NOTES、Exchange等。為了反病毒軟體做到與系統的底層無縫連接，可靠地實時檢查和殺除病毒，必須在不同的平台上使用相應平台的反病毒軟體，如你用的是Windows的平台，則你必須用Windows版本的反毒軟體。如果是企業網路，各種版本的平台都有，那麼就要在網路的每一個Server、Client端上安裝DOS、Windows 95/98/NT 等平台的反病毒軟體，每一個點上都安裝了相應的反病毒模組，每一個點上都能實時地抵禦病毒攻擊。只有這樣，才能做到網路的真正安全和可靠。

瑞星反病毒報告 垃圾桶V(Worm.Lentin.l)將發作

　　本周熱門病毒：垃圾桶V(Worm.Lentin.l)：警惕程度★★★★，蠕蟲病毒，通過郵件傳播。它釋放3個病毒體：MSNMSG32. EXE、NAV32.EXE、WINREG.EXE到系統目錄，並且關聯所有.exe文件，執行任何一個.exe程序，病毒都會被啟動。

　　本周發作病毒：１我的照片(Worm.MyPics.d)：警惕程度★★★☆，蠕蟲病毒。２雪花(Trojan.snow.13.b)：警惕程度★★★，木馬病毒。

　　本周昇級版本：瑞星殺毒軟體每週一般昇級2次，每週昇級的新病毒總數不少於200個！《瑞星殺毒軟體2003版》本周將昇級至15.33版。新增可查殺病毒302個。望廣大用戶及時昇級或進行在線殺毒。

借名「非典」瘋狂傳播 江民反病毒組妙手成功截獲
來自江民反病毒小組的最新消息，4月23日一種名為SARS的蠕蟲病毒被江民公司成功截獲。

江民反病毒專家介紹，該病毒在每個小時的1分1秒或開啟郵件時就會顯示一個SARS病毒的視窗，並且把當前的主頁改成改成世界衛生組織的SARS專頁的網址http://www.who.int/csr/don/2003_04_19/en ，而且，SARS病毒會直接連到SMTP伺服器上，在每個小時的1分1秒，按照位址簿中的位址發送郵件傳播。

郵件來源位址有以下幾種情況:

'sars@hotmail.com',　　'sars2@hotmail.com',　　'corona@hotmail.com'　　'virus@yahoo.com'

'deaths@china.com'　　'virus@china.com'　　'virus2@china.com'

郵件的正文有以下幾種情況

SARS

Severe Acute Respiratory Syndrome

I need your help

Severe Acute Respiratory Syndrome

Virus Alert!

SARS Virus

Corona Virus

honk kong

hongkong.exe

bye

deaths virus

SARS

SEE Ya

SARS Virus

SARS Corona Virus

附件文件有以下幾種情況

deaths.exe

corona.exe

sars2.exe

cv.exe

sars.exe

virus.exe

江民公司提醒用戶，及時更新昇級KV江民殺毒王2003至最新版本，開啟六套實時監控系統，就可對此病毒進行有效地前殺和清除。另外，江民公司網站已正式推出病毒庫離線增量昇級包，沒有條件上網的用戶可以在其它電腦上下載病毒庫進行增量升
危險病毒Yanker現身，以RAR壓縮包形式危害網路


以兩種方式被啟動：當用戶開啟 webpage.htm 文件或在資料管理器裡瀏覽images目錄。 用戶一旦進行以上操作，Yanker病毒就可以在系統中開始它的輕鬆破壞之旅：該病毒將感染電腦IP位址和所有系統密碼中的ip.txt文件，並發送給 xdvirus@peoplemail.com.cn；將該RAR壓縮檔案發送給Outlook位址簿名單中所有人進一步傳播；修改系統註冊表；刪除所有磁牒包括移動驅動器上與系統無關的所有資料夾.

因此卡巴斯基實驗室病毒分析專家警告用戶，立即更新Kaspersky（原名：AVP）病毒資料庫。

[psac]

個人安全解決方案

個人安全解決方案
作者：孤獨劍客
網站：http://www.janker.org

關鍵字：病毒（Virus） 黑客（Hacker） 安全（Security）
內容提要：
本文在遵循「簡單易懂、安全穩定、經濟實用」的原則下，旨在幫助個人網路用戶通過對安全威脅的瞭解和安全知識的學習，從而能夠採取有效的安全防範措施來達到保護自己的資料和尊嚴不受侵犯的目的。本文主要由三大部分構成，首先對安全威脅的主要來源進行了分析，然後針對安全威脅提出了相應的安全解決方案，最後還給出了經濟實用的推薦方案。本文內容不僅適用於家庭網路用戶，若單從對用戶系統的安全防範角度考慮的話，同樣適用於企業服務機構中的網路客戶。當然，若你認為你的個人電腦系統不值得保護或者願意忍受一遍又一遍重裝系統的話，本文並不適合你。
一、主要威脅來源（Baleful Source）
1、物理接觸（Physical Touch）
通過物理地接觸進行非授權訪問和破壞，是一種很簡單有效的攻擊方式，幸運的是能物理接觸你的電腦的人大多是可信的。但是，俗話說：「害人之心不可有，防人之心不可無」，為了你的電腦及資料的安全，還是要瞭解一下物理攻擊的途徑，主要方式如下：
（1）軟碟啟動（Floppy Booting）：通過使用軟碟啟動你的電腦可以輕鬆地非法訪問你的資料，根據專家研究表明，此方法目前對所有的Windows和Unix都十分有效。
（2）硬碟失竊（Hard Disk Stolen）：電腦放置的環境不安全的話，很可能會發生直接把你的硬碟甚至電腦偷走的情況。
（3）密碼偷看（Password Record）：在鍵碟上輸入密碼的時候很容易被不懷好意的人看到並記下，不管你信與否，的確有人能在幾米外記下你快速敲過的字串，甚至包括字母的大小寫和特殊字串。
2、病毒感染（Virus Infection）
在幾年前，大家對病毒的概念還主要是引導型和文件型病毒，但網路發展是如此之快，稍加注意就會發現近年來危害更大的是在網路上漫遊的蠕蟲類程序，它們在整個網路中漫遊著，轉播速度非常迅速，不僅造成了無休止的網路阻塞，而且傷及了眾多的無辜者，對編製此類程序者的詛咒的同時，還是來瞭解一下它們的入侵方式吧，主要的途徑見下：
（1）軟碟（Floppy Disk）：毫無防護的使用軟碟有可能會給你帶來引導區或可執行文件類的電腦病毒。儘管引導區病毒已經幾乎沒有了生存的環境，但假如你不小心使用早年前已被感染引導區病毒的軟碟的話，儘管它不能成功地隱蔽駐留在你的電腦上，但有可能它的嘗試感染會破壞你的硬碟分區，導致資料盡失，欲苦無淚。
（2）光碟（CDROM）：輕率地使用光碟與軟碟一樣有害，甚至超過軟碟，因為光碟是只讀的，即便發現有病毒等有害程序也無法殺除，很容易誤使用，更令人堪憂的是，盜版光碟在迅速傳播，而大多都已經被病毒感染。
（3）電子郵件（Email）：隨著Internet網路的發展，電子郵件被頻繁的使用，給蠕蟲類病毒提供了良好的生存空間，大量事實證明，僅僅收到一封郵件，就算你不開啟正文或附件，僅僅選郵件的標題頭，就有可能帶來滅頂之災。
（4）有害網頁（Malicious Homepage）：瀏覽網站是絕大多數上網人員所要做的事情，遺憾的是，過去一直被認為瀏覽網站是安全的概念接連不斷的被打破了，大量的攻擊事件表明，僅僅通過使用瀏覽器觀看某些惡意網站的網頁，完全可能在你的電腦上執行二進制程式碼，意思就是說可以在你電腦上執行任何程序，包括木馬和格式化硬碟的程序等。
（5）網路共享（Network Share）：網路當初的設計目的就是為了資源共享，所以大多數的操作系統都可設置共享資料夾，以便和其它網路用戶共享信息，不幸的是，病毒會感染共享文件，然後繼而感染所有使用此共享文件的系統。
3、網路攻擊（Network Attack）
隨著網路科技的發展，良莠不齊的東西都來了，尤其是網路攻擊事件的頻繁發生，無不都和「黑客（Hacker）」有關聯，這個曾經代表具有頂尖系統網路技術的美譽，而今幾乎墮落到了良心的深淵，公眾對之敬而遠之，受害的企業仍心有餘悸，而它那能在網路縱橫的魅力卻有吸引著一批批的指令碼小子（Script Kids），致力於要成就所謂真正的黑客，帶來的後果卻是眾多企業服務機構的網站首頁無辜被塗鴉，網路系統莫名奇妙的崩潰，個人隱私被在網路上披露，在他們體驗掌控網路快感而歡呼的時候，卻不知道已經給企業和個人帶來了難以估量的損失，並且已經觸犯了國家法律。分析其網路攻擊的手法將有助於做好安全防範，不外乎主要有以下幾種方式：
（1）拒絕服務（Denial of Service）：簡稱D.O.S，就是通過發送特殊畸形的資料包導致系統崩潰當機或者是提交大量正常資料包進行洪水式（Flood）的淹沒攻擊，均可可導致系統喪失提供正常服務的能力，即被稱為拒絕攻擊。目前網路上有大量的此類程序存在，並且可輕鬆下載，常見的有：WinNuker、Teardrop、SYN Flooder等。
（2）黑客闖入（Hacker Inbreak）：使用掃瞄程序發現系統開放的連接阜和漏洞，然後通過特殊的程序或進行特定的操作就能夠控制整個系統，能做到這樣的人，一般被稱為「黑客」。事實上，大量的黑客事件證明，目前預設安裝的大多數操作系統都幾乎無安全性可言，這就意味著假如沒有施以安全措施的話，就等於是處於開放狀態。
（3）木馬程序（Trojan）：這個希臘神話裡面的名詞，經過多個世紀後終於在現在的網路中復活了，你的系統一旦被安裝了木馬程序就意味著你的電腦可以被別人像你一樣自由的使用，你的一舉一動都在他人的掌控之中，甚至可以強迫你去做你不願意做的事情，而這個人很可能是在地球的另一面。
（4）網路嗅探器（Network Sniffer）：最初設計網路的時候主要是為了教育和科研使用，所以沒有考慮太多安全性，資料在網路上的傳輸都是明文的，於是嗅探類程序就應運而生，它們潛伏在網路中，悄悄地捕獲著網路上所有的資料包，包括ftp、telnet等帳號密碼信息及郵件內容等，如此，網路已無安全性可言。
二、安全解決方案（Security Solution）
一個好的解決方案不僅要內容全面完整，而且要主次分明、重點突出，從而把技術、產品和服務有機的組織起來，形成一個比較完善的結合體，才能真正發揮其作用。從安全的角度來講，那麼要從環境、自身、產品和意識等方面出發，進行綜合分析，逐個解決存在的問題，把可能的危險排除在發生之前，那麼也就達到了安全防護的目的。個人安全解決方案框架圖見下：

1、確保物理安全（Physical Security）
物理安全是非常之重要，是一切安全的基礎，可以試想，你的住家若安置在洪水經常氾濫的地方，就算你有再好的安全報警裝置，身體多麼的健康強壯，也很難保你的人身安全不受威脅。當然，若僅僅把家安置在不受自然災害的地方是遠遠不夠的，你還要有足夠的安全措施，比如：防盜門窗、監控電視等，你也不能忘記購買窗簾，以免洩漏自己的隱私，但你不能忘記必要的時候要把窗簾拉上，否則也無濟於事。如此，你應該能很好地理解物理安全的重要性了，對於個人電腦系統也是一樣的，重點需要注意的幾點如下：
（1）環境安全（Environment）：無論如何你要首先確保你的電腦所在的環境是安全的，要盡量避免或減輕來自諸如洪水、雷電、地震等自然災害的安全威脅，當然，門窗也必須有必要的防範措施，否則偷竊者可能會如入無人之境，儘管他可能對你的資料並不感興趣，但很有可能你會連資料和電腦盡失，如此以來就幾乎無安全可言了。
（2) 設備安全（Device）：不要給別人創造能輕易接觸你的電腦的機會，刻意接觸並操作你電腦的人大多是覬覦你的資料，不能以為不開機器就是安全的，否則你無法防備有人會把硬碟拿走複製資料後再拿回來，而你卻一無所知，電腦的資料複製技術是如此的完美，以致於可以做出完全一樣的拷貝卻不留下任何痕跡。若可能的話，最好能把你的機箱鎖住，把不用的設備在系統中禁止掉，以防止別人從你的軟驅或USB等接頭竊取資料。
（3）密碼安全（Password）：有安全觀念的人都會在自己的電腦上設置開機密碼，並且設置進入CMOS的密碼，因為他知道寄希望於操作系統的密碼來阻止非授權訪問是很困難的，他知道他的密碼不能太簡單，否則很容易被人猜中，當然他不會把密碼寫在紙條上然後貼在顯示器上，因為他清楚這樣的話就不用要密碼了。
（4）啟動安全（Boot）：大多數的機器出廠的時候在CMOS裡面預設系統優先從軟碟啟動的，本意是好讓用戶用軟碟啟動機器後用光碟等安裝操作系統或其他軟體，不幸的是大多數用戶在安裝完軟體後忘記設置優先從硬碟啟動了，如此，就給能物理接觸電腦的人大開方便之門，只要用一張軟碟就能啟動你的機器，然後自由地訪問你的資料，從而繞開了操作系統的密碼驗證功能，所以，若不需要軟碟啟動的時候，一定要在CMOS裡面設置系統優先從硬碟啟動。
2、加固操作系統（Secure Operating System）
至今為止還沒有發現任何操作系統是絕對安全的，並且隨著技術的發展，操作系統越來越複雜，程式碼量越來越大，參與開發的程序員越來越多，從而導致了操作系統自身的臭蟲（Bugs）也越來越多，所以很多操作系統廠商在推出產品以後不斷地發佈服務程序包（Service Pack）或更新程序（Update）等，不管它們用什麼名字來掩飾，總之就是一個目的，把以前發佈的操作系統的臭蟲堵住或不完善之處更正，當然同時也會增加一些優化程式碼或其他功能。前面提到過，目前預設安裝的大多數操作系統都幾乎無安全性可言，Windows和Unix等操作系統出現的眾多安全漏洞都說明了這點，事實上即便安裝了這些修正檔程序也不能夠徹底解決問題，諸如開放沒有使用的功能和系統設置不當，都會留下安全隱患。所以，加固操作系統勢在必行，主要從以下幾個方面做起：
（1）安裝系統修正檔（Install patches）：一般來說，大多數操作系統的廠商都會在它們的網站上公佈有關係統更新的信息，只要稍加注意就能夠找到，需要注意的是，下載修正檔程序前一定要仔細閱讀附帶的安裝說明書，以便做好資料制作備份等預防工作，因為不恰當的安裝修正檔程序可能會導致系統無法啟動或資料破壞等情況。
（2）最小化系統（Minimize System）：在系統集成的時候，往往會採用系統的最大化安裝，為的是方便偵錯連通，而事實上不少功能模組是你說不需要的，安全之相反，遵循最小化原則，也就是說能不裝的一定不裝，一定要裝的要盡量少裝，因為每多一項不必要的模組，無疑就多了一份不安全的因素，所以，對系統要嚴格檢查，去掉各種不必要的模組，以提高系統的安全性。
（3）進行安全設置（Security Configure）：在電腦系統中有諸多的因素需要設置才有較好的安全性，如：用戶權限的分配、共享目錄的開放與否、磁牒空間的限制、註冊表的安全配置、瀏覽器的安全等級等等，系統預設的配置適合大多數人使用，但其安全性往往是較差的，所以要對系統中和安全有關的項目進行仔細的設置，以使得系統達到較高的安全性。
3、使用個人防火牆（Personal Firewall）
個人防火牆是抵禦來自網路攻擊最有效的手段之一，即便你的系統存在諸多你無法解決的安全問題，防火牆的使用將把你受攻擊的可能性降到最低，它能夠在很大程度上保護你的系統資訊不向外洩漏，並且能夠監控和你通信的網路資料包，把有害的連接拒絕於門外。所以，對於連接在網路上的電腦而言，使用防火牆來保護自己的系統是非常必要的選項，至少它可以在以下幾個方面有效地幫你抵擋來自網路的攻擊：
（1）抵禦拒絕服務（Defend D.O.S）：諸如WinNuker、Teardrop、IGMP Nuker等各種通過發送畸形資料包而達到拒絕服務目的的炸彈程序，個人防火牆均可以識別出來並處理報警。
（2）關閉不必要的連接阜：連接在網路上的電腦是不安全的，一個很重要的因素就是因為開放的連接阜太多，對於個人電腦而言，對外開放很多連接阜往往不是必需的，個人防火牆的連接阜阻塞功能，可以替你關閉不必要的連接阜，有效地保護系統資訊不向外洩漏，並且降低了黑客利用開放的連接阜入侵的可能性，從而大大提高了系統的安全性。
（3）監控不明程序工作：因為木馬類程序往往隱藏在正常的程序中，一不小心就會被釋放出來，而木馬類程序往往是隱蔽的執行然後通過網路和外界進行聯繫，沒有專業技能和手段的話是很難發現的，而個人防火牆的監控網路連接工作功能，可以有效地阻擋含有木馬的不明程序在你系統上的執行，從而達到安全防護的目的。
4、使用反病毒軟體個人版（Personal Anti-Virus）
在具有安全觀念的人士之中，即便他的電腦並不和網路連接，即便他是專業反病毒專家，也很難見到他的電腦系統中會不安裝反病毒軟體，數量如此巨大的電腦病毒，達幾萬種之多，傳播途徑如此之廣，有軟碟、光碟、Email等等，再加上病毒的加密變形等隱藏技術，頭腦再複雜的你也很難勝任手工去識別電腦病毒的工作，而這一切反病毒軟體輕鬆幫你解決，你所做的就是經常輕鬆點一個滑鼠或設定一個計劃任務來昇級你的病毒碼特徵庫即可。具體來說，反病毒軟體可以為我們做以下一些事情：
（1）發現並殺死（Scan and Kill）：反病毒軟體的掃瞄功能能夠為你確定不明軟碟、硬碟、光碟等介質裡面的文件是否含有病毒程序，值得注意的是由於光碟是只讀的，即便發現病毒也無法殺死，可以通過先把有毒文件複製到硬碟，然後再進去行查殺來處理，一般來說，若系統中沒有病毒的話，僅僅複製有毒的文件是不會啟動病毒的。
（2）監控並殺死（Watch and Kill）：木馬程序、炸彈網頁、郵件蠕蟲等這些基於網路的有害程序幾乎把系統搞的一團糟，可喜的是，反病毒軟體現在都具備了實時檢測功能，能夠有效地把這些有害程序拒之門外。
（3）識別並隔離（Recognize and Insulate）：病毒和反病毒永遠是一對矛盾，目前大多反病毒軟體的檢測原理都是基於特徵碼的識別，也就是說反病毒程序總是要比病毒遲後一步，那麼是不是新的病毒就無法防範了呢？不是的，病毒的感染和傳播，儘管是千變萬化的，但總是有規律可循的，正是通過對病毒規律性的研究，現在的反病毒軟體引擎能夠有效的識別出新的品種或變種的病毒來，儘管無法殺除，但卻可把它和你的系統完全隔離開來，通過對隔離區文件上報分析後昇級你的反病毒軟體就能夠達到查殺該病毒的目的。
5、使用加密檔案（Encrypt Software）
在對系統施加了防火牆和反病毒等安全防護措施後，並不等於你就處於安全的狀態了，比如：你的資料仍然可能被人檢視，因為它是明文的；你的Email內容也有可能會被截獲，也因為它是明文的。在這些時候，加密類軟體就大顯神通了，它可以把你的資料變換成看似雜亂無章的東西，當你需要的時候只需要輸入密碼字就能恢復原狀，而此密碼字只有你本人才知道，如此即便別人拿到了你的資料，沒有密碼字的話他只有失望了。這就是加密檔案的神奇之處，它能為我們在以下幾個方面提供資料的安全保密：
（1）資料加密（Data Encrypt）：此功能可以對磁牒、目錄、文件、Email等進行加密處理，只有擁有密碼字或特定的解鎖文件才能恢復到原狀，否則你看到的將永遠是無法識別的亂碼。
（2）數字簽名（Digital Sign）：在這數字化的網路時代，人們在驚歎資料複製的精確度是如此之高的同時，卻又陷入了經常被假冒的困惑，數字簽名的出現有效地解決了此問題，通過對文件或Email等進行數字簽名後，接受人可以輕鬆地判斷出其真實性。
6、提高安全意識（Security Consciousness）
在前面所述中主要體現的是技術防護層次，事實上，網路安全本身是一個比較大的概念，涉及法律、道德、知識、管理、技術、策略等多個方面，是一個有機的結合體，而不是功能的簡單疊加。就目前來看，整個社會對網路安全的意識淡薄，這是很可怕的事情，從大量的安全事件來看，缺乏安全意識是導致事件發生的重要因素之一，所以要向真正地起到安全防護的效果，在做好技術防護的同時，還需要把安全意識的提高放到日程上來，具體來說有以下一些方面需要多加注意和關註：
（1）在需要密碼的地方要盡可能設置複雜些並且不同，而且還要定期更換。
（2）一定要經常更新你的防火牆和反病毒等需要頻繁更新的安全防護類軟體。
（3）不要輕易執行來歷不明的程序，實在必需也要先用反病毒軟體檢查後才用。
（4）瀏覽網頁、下載文件和接收Email的時候要確保開啟了反病毒軟體的實時監控功能。
（5）不要在公眾場所尤其是網咖的電腦上使用你的個人信息。
（6）任何未經驗證的索要你帳號等重要信息的請求都要拒絕。
（7）要會清理電腦上留下的重要信息，比如Cookie、歷史記錄等。
（8）在自己電腦上執行黑客類程序等於玩火，因為你的資料可能會被偷偷發走。
（9）遇到藍屏當機、程序執行緩慢、系統自動重啟等不正常情況的時候要儘快檢查，必要時向專家求助。
（10）關注網路安全公司發佈的安全公告信息，確定自己的系統是否存在相關問題，及時解決。
三、實用方案推薦
在本文中講了很多的安全方面的知識，好像個人做好安全防護是一件很複雜的事情，其實不然，雖然說不上簡單，但難度絕對不大，下面就介紹幾種實用的個人安全解決方案，其中有些可能需要有些花費，但也有免費的可以使用，最終會達到一個目的，那就是能夠在很大程度上確保你的系統安全，雖然不能夠解決全部安全問題，但一定能解決絕大部分問題，完全可以滿足大多數人的安全需求。
1、普通用戶型
操作系統：Windows 98或Windows Me
應用軟體：Office系列、Outlook Express或Foxmail、Game、QQ等
主要用戶：辦公、瀏覽網站、收發Email、下載軟體、遊戲、聊天等
解決方案：
（1）加固操作系統
（2）天網防火牆
（3）金山毒霸
（4）PGP加密
2、專業用戶型
操作系統：Windows 2000 Professional或Windows XP Professional
應用軟體：Office系列、Outlook Express或Foxmail、Visual Studio、Delphi等
主要用戶：辦公、開發偵錯、瀏覽網站、收發Email、下載軟體等
解決方案：
（1）加固操作系統
（2）BlackICE個人防火牆
（3）諾頓NAV
（4）PGP加密

[psac]

入侵檢測系統FAQ

入侵者如何進入系統?
-入侵者為什麼要侵入系統?

-入侵者如何獲得密碼?

-典型的入侵程序?

-一般的侵入類型有哪些?

-什麼是漏洞(exploits)?

-什麼是偵察(reconnaisance)[譯注:原文如此，疑為reconnaissance?]

-什麼是拒絕服務(DoS)?

-現在的攻擊有多危險?

-哪裡可以找到現在攻擊行為的統計?

2.架構

-入侵如何被檢測?

-NIDS如何分辨流入資料?

-檢測到被攻擊後NIDS作些什麼?

-除了NIDS還有什麼類似的措施?

-我應該在網路的什麼地方安裝NIDS?

-如何讓IDS適合安全架構的其他部分?

-如何檢測是否執行了IDS?

3.對策

-如何提高WinNT下的入侵檢測和預防?

-如何提高Win95/98下的入侵檢測和預防?

-如何提高Unix下的入侵檢測和預防?

-如何提高Macintosh下的入侵檢測和預防?

-如何提高企業的入侵檢測和預防?

-怎樣在企業內實現入侵檢測?

-被攻擊後我應該作什麼?

-有人說他們從我這裡被攻擊,我應怎麼作?

-如何收集足夠多的關於入侵者的證據?

4.產品

-有哪些自由軟體(freeware)或者共享軟體(shareware)的入侵檢測系統?

-有哪些商業的入侵檢測系統?

-什麼是"網路搜尋"(network grep)系統?

-入侵者使用什麼工具進入我的系統?

-我應該關心的其他的入侵檢測系統?

6.資源

-哪裡可以發現新的系統漏洞的更新?

-其他的有關安全和入侵檢測的資源?

-有哪些值得注意的站點?

7.IDS和防火牆(firewall)

-為什麼有了防火牆還需要IDS?

-有了入侵檢測，還需要防火牆麼?

-IDS從哪裡取得信息?防火牆麼?

8.實現指南

-我應該問IDS提供商哪些問題?

-我如何在持續(on-going)的基礎上維護系統?

-我如何制止不適當的網路瀏覽?

-我如何建立我自己的IDS(寫程式碼)?

-NIDS合法麼(既然這是一種竊聽)?

-如何保護日誌文件不被篡改證據?

9.NIDS的局限

-交換網路(固有的局限)

-資源局限

-NIDS攻擊

-簡單原因

-複雜原因

-工具

10.雜項

-哪些標準/互操作的努力

11.蜜罐和欺騙系統

-什麼是蜜罐?

-蜜罐有哪些優點?

-蜜罐有哪些不利?

-如何設置我自己的蜜罐?

-蜜罐有哪些類型?

-建立一個可被攻擊的系統的正反作用?

-有人們使用蜜罐的例子麼?

-有哪些蜜罐的產品?

-什麼是欺騙對策?

<正文>

1.介紹

1.1 什麼是網路侵入檢測系統(NIDS)?

入侵是指一些人(稱為'黑客', '駭客')試圖進入或者濫用你的系統。詞語

'濫用'的範圍是很廣泛的，可以包括從嚴厲的偷竊機密資料到一些次要的

事情，比如濫用你的電子郵件系統發垃圾郵件(雖然對我們中許多人呢，

這個是主要的)。

侵入檢測系統(IDS)是用來檢測這些入侵的系統。根據這個FAQ的打算，IDS

可以有如下的分類:

網路侵入檢測系統(NIDS) 監視網線的資料包並試圖是否有黑客/駭客試圖

進入系統(或者進行拒絕服務攻擊DoS)。一個典型的例子是一個系統觀察

到一個目標主機的很多不同連接阜的大量TCP連接請求(SYN),來發現是否有人

正在進行TCP的連接阜掃瞄。一個NIDS可以執行在目標主機上觀察他自己的

流量(通常集成在協議棧或服務本身),也可以執行在獨立主機上觀察整個

網路的流量(集線器, 路由器, 探測器[probe])。注意一個"網路"IDS監視

很多主機，然而其他的只是監視一個主機(他們所安裝的)。

系統完整檢驗(SIV) 監視系統檔案試圖發現是否有侵入者更改了文件(可能

留個後門)。這樣系統最著名的就是Tripwire。一個SIV也應該能監視其他

的組件，比如Windows的註冊表和chron的配置, 目的是發現知名的跡象。

他也應該能檢測到一個一般用戶偶然獲得root/Administrator級別權限。

這個領域更多的產品應該被認為是工具而不是一個系統：比如Tripwire

類似的工具檢測臨界系統組件的更改，卻不能產生實時的告警。

日誌文件監視器(LFM) 監視網路設備產生的日誌文件。同NIDS類似，這些

系統通過對日誌文件的模式匹配提出是否有入侵者攻擊的建議。一個典型的

例子就是分析HTTP日誌文件來發現入侵者試圖一些知名漏洞(比如phf攻擊)

實例有swatch。

誘騙系統(包括decoys,lures,fly-traps,honeypots) 還有一些偽服務，目

的是模擬一些知名 洞來誘陷黑客。參見 掌N 統工具包中的例子:

[url]http://www.all.net/dtk/。久/url]]可以簡單的通過重新命名NT的系統管理員

帳號，然後建立一個無權限的虛帳號進行廣泛的審計。在此我的文件後面有關於

誘騙系統的更多描述。同時參見

http://www.enteract.com/~lspitz/honeypot.html

其他

更多信息參見: http://www.icsa.net/idswhite/.

1.2 誰在濫用(misusing)系統?

有兩個詞來描述攻擊者: 黑客和駭客。黑客是一個一般術語：喜歡進入東西

的人。良性的黑客是那些喜歡進入他/她自己的電腦發現如何工作的人。

惡意的黑客是那些喜歡進入其他人系統的人。良性黑客希望媒體能停止對

所有黑客的苛刻批評，使用駭客來做替代。很不幸，這個想法沒有被接受

無論如何，在這個FAQ使用的詞語是'入侵者'，來一般表示那些想要進入其

他人系統的人。

侵入者可以被分為兩類:

外部的: 你網路外面的侵入者，或者可能攻擊你的外部存在(亂改的web

伺服器,通過e-mail伺服器轉來的垃圾郵件)。外部的侵入者可能來自

Internet, 撥號線, 物理介入, 或者從同你網路連接的夥伴網路(賣主,

客戶, 中間商等)。

內部的: 合法使用你的互連網路的侵入者。包括濫用權力的人(比如社會

安全僱員因為不喜歡某人就將其標誌為死亡)和模仿更改權力的人(比如使用

別人的終端)。一個常被引用的統計就是80%的安全問題同內部人有關。

有幾種類型的侵入者: '快樂騎士'(Joy riders)因能而黑;'文化破壞者'

(Vandals)意於毀壞或更改Web頁面; 奸商 (Profiteers)意於利益，如控制

系統勒索或者竊取資料得利。

1.3 入侵者如何進入系統?

入侵者進入系統的主要途徑:

物理侵入: 如果一個侵入者對主機有物理進入權限。(比如他們能使用鍵盤

或者參與系統),應該可以進入。方法包括控制台特權一直到物理參與系統

並且移走磁牒(在另外的機器讀/寫)。甚至BIOS保護也很容易穿過的: 事實

上所有的BIOS都有後門密碼。

系統侵入: 這類侵入表現為侵入者已經擁有在系統用戶的較低權限。如果系

統沒有打最新的漏洞修正檔，就會給侵入者提供一個利用知名漏洞獲得系統

管理員權限的機會。

遠端侵入: 這類入侵指入侵者通過網路遠端進入系統。侵入者從無特權開始

這種侵入方式包括多種形式。比如如果在他/她和受害主機之間有防火牆存在

侵入者就複雜得多。

應該注意網路侵入檢測系統主要關心遠端侵入。

1.4 入侵者為什麼能侵入系統?

軟體總是存在bug。系統管理員和開發人員永遠無法發現和解決所有的可能

漏洞。侵入者只要發現一個漏洞就可以入侵系統。

1.4.1 軟體bug

軟體bug存在於伺服器後台程序(Daemons), 客戶程序, 操作系統, 網路

協議棧。軟體bug可以分為如下幾種:

緩衝區溢出: 我們讀來的幾乎所有的安全漏洞歸於這一類。一個典型的

例子是一個開發人員設定了一個256字串長的緩衝區來存儲用戶名。

開發人員想當然的認為沒有人的名字比這個長。但是黑客想，如果我

輸入一個錯誤的很長的用戶名會發生什麼呢? 附加的字串會去哪裡?

如果黑客恰巧做對了, 他們發送300個字串, 包括了被伺服器執行的

程式碼，並且，他們進入了系統。黑客們通過幾個方法發現這些bug。

首先，很多服務的來源碼在網路上是公開的。黑客們經常讀這些程式碼

尋找有緩衝區溢出問題的程序。第二，黑客們可以讀程序本身來看是否

有問題存在，雖然讀彙編程式碼輸出真的很難。第三，黑客們會檢查程序

所有的輸入並且試圖利用隨機資料來溢出。如果程序崩潰了，就會存在

讓黑客認真構造輸入並且允許進入的機會。應該注意這個問題在C/C++

編寫的程序中普遍存在，卻很少出現在Java的程序當中。

意外結合: 程序通常被組合成很多層程式碼，包括了潛在的作為最下面

的操作系統層。侵入者常可以發送一些對於一層無意義的輸入, 卻對

其他層有意義。Web上最常見的控制用戶輸入的語言就是Perl。Perl寫

的程序往往發送這些輸入到其他的程序來進一步的處理。一個常見的

黑客技術就是輸入字串串"|mail 是因為操作系統為這個輸入啟動一個附加的程序。然而操作系統解釋

管道符"|"並且按語義啟動"mail"程序，結果是將password文件寄給

侵入者。

未處理的輸入: 很多程序寫成處理有效的輸入，很多程序員不知道

當一些人的輸入不符合規格的後果。

競爭(Race)條件: 現在的許多系統是多任務/多線程的。這就意味著他

們可以同時執行多個程序。如果兩個程序同時訪問同一個資料就會發生

危險。想像A和B的兩個程序，需要修改同一個文件。為了修改，每個

程序將文件讀入記憶體，在記憶體中改變內容，然後將記憶體複製到文件。

當程序A將文件讀入記憶體並且進行修改的時候，產生了一個競爭條件。

在A寫文件前，程序B執行並且獲得讀寫權限。現在程序A將記憶體複製到

文件中。因為程序A 在B修改前開始，所有B的修改丟失了。因為你必須

獲得正確的執行順序，所以競爭條件是非常稀有的。侵入者通常不得不

試上千次，然後獲得權限，進入系統。

1.4.2 系統配置

系統配置bug可以分為如下類別:

預設配置: 許多系統交付給客戶的時候採用的預設的易用的配置。不幸

的是，"易用"就意味著"易侵入"。幾乎所有的交付給你的Unix和WinNT

系統可以很容易的被攻擊。

懶惰的系統管理員: 驚人的數字的主機被配置成沒有系統管理員密碼。

這個是因為系統管理員太懶惰了以至於懶得馬上配置一個，他們只是

希望系統最好能少麻煩的儘快啟動執行。不幸，他們再也不回來設置一

個，讓侵入者輕易的進來。侵入者最容易的事情就是先掃瞄所有的機器

找沒有密碼的主機。

產生的漏洞: 事實上所有的程序可能被配置成一個非安全的模式。有的

時候系統管理員將不注意的在主機上開啟一個漏洞。許多系統管理員

手冊都建議系統管理員關掉所有不是絕對必要的程序和服務來避免意外

漏洞。應該注意安全審計包通常可以發現這些漏洞並且提醒系統管理員

信任的關係: 侵入者常用"島跳"的方法利用信任關係攻擊網路。一個

互相信任主機的網路和他們最脆弱的連結一樣安全。

1.4.3 密碼解密

這個是一個特殊的部分。

真正脆弱的密碼: 很多人使用他們自己的名字，孩子的名字，配偶的名

字，寵物的名字，或者小車的型號做密碼。也有的用戶使用"password"

或者簡單到什麼也沒有。這給出了侵入者可以自己鍵入的不多與30個

可能性的列表。

字典攻擊: 上述攻擊失敗後，侵入者開始試圖"字典攻擊"。這種方法,

侵入者利用程序嘗試字典中的單詞的每種可能。字典攻擊可以利用重複

的登陸或者收集加密的密碼並且試圖同加密後的字典中單詞匹配。侵入

者通常利用一個英語字典或其他語言的字典。他們也使用附加的類字典

資料庫，比如名字和常用的密碼。

強力攻擊(Brute force attacks): 同字典攻擊類似，侵入者可能嘗試

所有的字串組合方式。一個4個由小寫字母組成的密碼可以在幾分鐘內

被破解。(大約的共有50萬個可能的組合)一個較長的由大小寫字母組成

的密碼，包括數字和標點(10萬億種可能的組合)可以在一個月內破解，

如果你可以每秒試100萬種組合。(實際上，一個單機每秒可以算上幾千

次。)

1.4.4 監聽不安全的通信

共享媒體: 傳統的以太網中, 你只要在線上啟動Sniffer就可以看到在

一個網段的所有通信。現在這個方法由於更多公司採用交換以太網而困

難。

伺服器監聽: 然而在一個交換的網路裡，如果你可以在一個伺服器(特

別是做路由器的)安裝sniffer程序，你就可以可以使用得到的信息來

攻擊客戶主機和信任主機。比如，你可能不知道某個用戶的密碼，通過

在他登陸的時候監聽Telnet會話，就可以得到他的密碼。

遠端監聽: 大量的主機可以RMON，帶有公共團體字串串。當帶寬非常低

的時候(你不能監聽所有的通信)，則呈現有趣的可能性。

1.4.5 設計的缺點

甚至當一個軟體完全按照設計來實現的時候，仍然可能因為設計時的

bug帶來被侵入。

TCP/IP 協議缺點: TCP/IP協議在我們有很多被黑經驗前被設計。結果

有很多可能引起安全問題的設計缺點。一些例子比如smurf攻擊,ICMP

不可達的連結, IP哄騙, 和SYN floods。最大的問題是IP協議本身非常

信任: 黑客自由的偽造和更改IP資料。IPSec被設計成解決了很多的

缺點，但是沒有被廣泛的套用。

Unix 設計缺點: 有很多Unix固有的缺點使得Unix系統頻繁的被入侵。

主要問題是權限控制系統, 只有"root"才是系統管理員權限。結果:

1.5 入侵者如何獲得密碼?

入侵者利用如下方法獲得密碼:

明文監聽: 一些協議(Telnet, FTP, 基本HTTP)使用明文的密碼，意味著

他們在比如客戶/伺服器傳輸程序中不進行加密。入侵者可以使用一個協議

分析儀觀察線纜上的這樣的密碼。不需要更多的努力；入侵者馬上可以使用

這些密碼來登陸。

密文監聽: 許多協議，使用加密的密碼。這種情況下，入侵者就需要執行

字典或者強力攻擊密碼來試圖解密。應該注意到你不能發現入侵者的存在，

因為他/她是完全被動並且不用向線纜傳送任何東西。密碼破解在入侵者利

用自己的機器來鑒權的時候，不許要發送人和東西到線纜。

重放(Replay)攻擊: 很多情況下，入侵者不必解密密碼。他們可以使用加密

的格式來替代登陸系統。這通常需要重新編碼客戶端軟體來使用加密的密碼

密碼文件竊取: 所有的用戶資料庫通常存儲在磁牒上的一個單個文件。UNIX

下這個文件是/etc/passwd(或者這個文件的其他鏡像),WinNT下，是SAM文件

每個方法，一旦入侵者取得了這個文件，他/她就能執行解密程序(如上面所

述)來發現文件中一些脆弱的密碼。

觀察: 一個傳統的密碼安全問題是密碼必須長而且難猜(使得字典和強力攻

擊不合理的困難)。然而，這樣的密碼往往很難記憶，所以用戶就在某地寫

下來。入侵者常可以搜尋一個個人辦公桌來發現寫到小字條上的密碼(一般

在鍵盤下面)。入侵者也可以自己訓練在用戶後面觀察密碼的鍵入。

交際工程: 一個普通(且成功)的技巧是簡單的打個電話給用戶並且說 "hi,

我是MIS組的Bob, 我們正跟蹤網路上的一些問題，並且出現在你的機器裡。

你用的是什麼密碼呢?"許多用戶會在這種情況下放棄他們的密碼。(許多公

司有政策讓用戶永遠不要給出他們的密碼，甚至他們自己的MIS部門，但是

這個伎倆仍然成功。一個簡單的解決方法就是MIS組打電話給6個月的僱員

問他們密碼，然後批評他們的錯誤，這樣他們就不會忘記了:-)

1.6典型的入侵程序?

一個典型的入侵程序也許如下:

步驟1.外部偵查--

入侵者會盡可能地找出實際上並不直接給予他們的資訊.

他們常通過公開資訊或偽裝成正常的使用者.

用這種方式的入侵者, 將使你實在難以察覺. 如你的

網路跟你的Domain Name 一起 註冊的(例如 foobar.com),入侵者可以

使用'whois'這種查表(lookup)來盡量找出你的網路(network)資訊.

入侵者也許經由你的DNS表(使用'nslookup','dig',或

其他的工具程序 來作 domain 的轉換)來找出你機器的名字.

入侵者會瀏覽其他的公開資訊, 例如 你的公開站點和

匿名(anonymous)FTP 站點. 入侵者也許會尋找關於你公司的

新聞文件和報刊的發行品.

步驟2.內部偵查--

入侵者使用更具侵略性的技術來對資訊掃瞄,但不會破壞

任何東西.他們將由你全部的網頁來找出CGI scripts(CGI

scripts 經常是容易被入侵的).他們也許會為了試探主機的存

在而使用'ping'.他們也許會用 UDP/TCP scan/strob(掃瞄)來

找出目標主機的可獲得服務(services).他們也許會執行一個

如同 'rpcinfo','showmount', 'snmpwalk'等等 的工具程序

, 來尋找可獲得的資訊.關於這點,入侵者只是做出"正常的"

網路行為,並且沒有作出任何被歸類為闖入(intrusion)的舉動.

針對這點,NIDS會告訴你"有人在檢查你的大門握把",但沒有人

真的去試著把門開啟.

步驟3.入侵--

入侵者違越了規矩,並開始對目標主機作了可能的漏洞入侵.

入侵者嘗試 在一個輸入資料裡,傳遞一個shell 指令,因而

危及CGI script.入侵者試圖以傳遞大量的資料的方式,來侵害

一個已知的緩衝區溢位(buffer-overrun)漏洞.入侵者開始檢查

有無 簡單可猜(甚至 沒有)密碼的戶帳號.一個黑客,會由

幾個階段性的入侵.例如,如果黑客可以得到一個用戶的帳號,

他將試圖作更進一步的入侵舉動來獲得 root/admin.

步驟4.立足--

在這階段中,入侵者已經由機器的入侵,成功地在你的網路中立足.

入侵者主要的目的就是藏匿入侵證據(修改稽核(audit trail)與log檔)

並驗證他可以再次侵入.他們也許會安裝可讓他們執行的'toolkits'

.用他們有著後門(backdoor)密碼的木馬(Trojanhorses)置換原先的服務

,或 創造一個屬於自己的使用者帳戶.System IntegrityVerifiers

(SIVs)可以 注意到 檔案的改變 而對使用這些手段的入侵者

做出檢測.由於大部分的網路難以防禦來自內部的侵害,入侵者將利用

這個機器作為其他機器的跳島.

步驟5.利益--

入侵者利用他們的優勢偷取機密資料,濫用系統資源(階段性的由其他機器

侵擾你的機器)或破壞你的網頁.

其他的情節也許開始情況不同.不管是入侵特定的站點或者是隨機地在

網路世界中掃瞄特定的漏洞.例如 入侵者可能會企圖掃瞄有著

SendMail DEBUG漏洞機器的整個網路.他們可以輕易入侵有漏洞的機器.

他們不會直接針對你,甚至不知道你是誰.(就好像'birthdayattack'般,

列出已知的系統漏洞與IP位置,憑運氣的找到有著其中一項漏洞的機器)

1.7一般的入侵類型有哪些?

有三種攻擊方式:

偵察--包括ping掃瞄,DNS zone 轉換,e-mail偵察,

TCP 或 UDP 連接阜(port)掃瞄(scan),與經由公開網頁伺服

器可能的索引(indexing),來發現CGI漏洞.

漏洞--入侵者將會利用隱密的特性或缺陷(bugs)來存取系統.

拒絕服務(denial-of-service)(DOS)攻擊--入侵者試圖

破壞服務(或機器),使網路連結(link)超載,CPU超載,填滿硬碟.

入侵者不是想獲得資訊,而是僅僅以如破壞者般的

行為而不讓你使用機器.

1.8 常見漏洞有哪些?

1.8.1 CGI指令碼(scripts)

CGI程式是惡名昭彰地不安全.典型的安全漏洞

包括 經由shell特殊字元(metacharacters)

的利用,直接傳遞變質的輸入 於 指令shell裡.

使用隱藏的變數,指定系統裡的檔案名(filename)

,或揭示更多系統的種種.最為人知的CGI缺陷就是

裝載於NCSA httptd的'phf'資料庫(library).

'phf'library 假定為允許 伺服解析(sever-parsed)HTML,

而造成 傳回任何檔案 的漏洞. 其他入侵者試圖使用的

知名CGI指令碼漏洞有:TextCounter, GuestBook, EWS,

info2www, Count.cgi, handler, webdist.cgi,

php.cgi, files.pl, nph-test-cgi, nph-publish,

Anyform, formMail.如果你發現有人試圖存取上述

的CGI指令碼(但你沒有使用他們),這便清楚顯示了一

個入侵的意圖(假設你沒有把你想使用的CGI指令碼

用那個缺陷版本安裝).

1.8.2 Web 伺服器(server) 攻擊

在CGI程序執行後,Web伺服器可能有了其他的漏洞.

非常多的self-written Web伺服器(包括IIS 1.0 與 NetWare2.x)

會因為在一 檔案名

之中,能把一連串的"../"寫在路徑(path)名裡,

因而跳到 系統檔案 的其他地方,得到任何檔案.

其他的一般漏洞,就是在 請求(request)域(field) ,

或 其他 HTTP資料 的 緩衝區溢出.

Web伺服器常因為與其底層的operating system

有著互動的關係 ,而產生漏洞.在Microsoft IIS

裡有個古老的漏洞被使用,因檔案有兩個檔案名--

一個 長檔名與 一個短的相應8.3形式名 ,有時能

繞過允許機制 而獲得存取.NTFS (the new file system)

有一個特色,名為--"alternate data streams" 相似於

Macintosh系統的 資料與 資源 forks.你可以在通過stream

name時,增加上"::$DATA"(這是為了看他的指令碼而不是執行什麼)

,來存取他的檔案.

伺服器長久以來因URLs而存在著問題.例如

"death by a thousand slashes"

問題,導致Apache產生大量的

CPU負載,因它試著在數以千計的"/" URL中處理每一個目錄.

1.8.3 Web瀏覽器 攻擊

Microsoft與Netscape的Web瀏覽器,都有安全漏洞(當然啦,雖然

最新版本的,我們還沒發現),這包括了URL, HTTP, HTML,

javascript, Frames, Java, 與 ActiveX 攻擊.

URL資料段,會有緩衝區溢位的情況,當它由HTTP標頭(header)

被解悉時,在螢幕上顯示時,或於某種形式被處理(如

由cache history儲存).而且,有著古老Internet

Explorer漏洞的在瀏覽器,在執行 LNK或URL指令時會伴隨著

能在內部造成影響的漏洞.

HTTP 頭可能因為傳遞給只收特定值的函數而產生漏洞

HTML常會存在漏洞,如 MIME-type 緩衝區溢位 於

Netscape Communicator的 指令.

javascript長久以來都很受喜愛,並常常試著經由

產生一個檔名 與 自動地隱藏"SUBMIT" button

來侵害 "file upload" 函式 . 已有許多不同的這

種漏洞被修正了,然而會有新發現的方法來繞過修正.

Frames 常如 javascript的一部份般, 或 Java hack

來使用 經由一個像素大小的螢幕,把網頁隱藏)

但它們呈現了特別的問題.如 我能 包含一個連結 到

一個可信賴的 使用者frames 的站點,然後以我自己站

點的網頁置換那些frames的一部份,於是它們將會以那

個遠端站點的一部份般 出現在你面前.

Java

有一個健全的安全模型(model),但經證實那個模型有著

特殊的漏洞(雖然與其他的任何事物相比,它被證實是整個系統

最為安全的元件之一).再者,它的健全安全性,也許是

它的undoing:正常的Java applets 無法存取當地

(local)系統,但有時,如果他們真能存取當地系統的話,

它們將會更為有用.因此,"信任(trust)"模型的完成,更容易被入侵.

ActiveX 甚至比 Java更危險, 當它是由一個 信任模型

純粹運作

並 執行 原有的(native)程序碼. 你甚至會偶然地

感染到病毒(virus)( 在販售商的程序碼中意外

地被植入(imbeded)).

1.8.4 SMTP (SendMail) 攻擊

SendMail 是一個極端複雜並被廣泛使用的程序, 是以,

它頻為安全漏洞的來源. 在過去( '88 Morris Worm的時期),

黑客 會利用 DEBUG 指令的漏洞 或 隱藏 WIZ 的特徵,

來闖入 SMTP. 近來, 他們經常試著用 緩衝區溢位 手段.

SMTP 也被用做偵察(reconnaissance) 攻擊, 如利用

VRFY 指令找出使用者名子.

1.8.5 Access

失敗的 login 企圖,失敗的檔案存取企圖, password

cracking,

管理者權力的濫用.

1.8.6 IMAP

使用者經由 IMAP 協定從伺服器收email (在對比之下, SMTP 介於

伺服器之間傳送e-mail ). 黑客

已在一些受歡迎的IMAP伺服器裡發現漏洞.

1.8.7 IP spoofing

有些類型的攻擊是利用技術來偽造(或 'spoof')你的IP位址.

一個 原始位址 伴隨著 每個IP包(packet)被傳送時,

實際上它可以不是被用於routing. 這表示當與服務

器交談(talkin)時,一個入侵者可以佯裝成你 . 入侵者

不會收到回應(response)包 (雖然你的機器有見到,

但把他們丟棄了, 因為 它們不符合你之前傳遞的任何

請求(request) ). 入侵者不會經由這種方式取得資料,

而是仍假裝成你,傳送指令給伺服器.

IP spoofing 經常有如其他的攻擊的部分般使用著:

SMURF

以偽造的源位址廣播方式ping,導致大量的機器

回應,經由位址,回覆到 受害者, 使它 (或 它的連結)負載.

TCP序號預選

在 TCP連接 的起始, 你這端必須選項一個 序號, 而

伺服器端也必須選項一個序號. 較老的 TCP

棧選項一個可預測的有續數字, 而讓入侵者由一個 偽造的

IP位址(他們本來不應該看到回應包)想必能繞過安全機制.

DNS 通過可預知序號中毒

DNS伺服器 會 "遞回" 解析 DNS 名.

因此,在它滿足一個用戶端 要求(request) 時,它本身也

成為遞回鏈下個伺服器的客戶

它使用的有序號是可預測的.

因此, 一個入侵者可以傳送 一個要求到DNS伺服器 並

傳送一個 回應 到 伺服器 以偽裝成為 鏈結中的

下一個伺服器. 它會相信 偽裝 回應, 並使用它來

滿足其他的用戶端.

1.8.8 緩衝區溢位

一些其他的 緩衝區溢位 攻擊有:

DNS 溢位.

過長的 DNS名,傳送到伺服器中. DNS名 限制了

每一個次要成分(subcomponent)是64-bytes而總體是於256-bytes.

statd 溢位

當提交了過長的 檔案名.

1.8.9 DNS 攻擊

DNS 是一個首要的目標.因為如果你能侵害(corrupt)

DNS伺服器, 你便能利用 信任關係 .

DNS 快取中毒

每個 DNS包, 包括了一個 "詢問(Question)" 節

與"回答(Answer)"節. 有缺陷的伺服器 將會

相信 (並 快取)在傳送問題時伴隨的 回答

大部分,但不

是全部的 DNS 伺服器 已於 1998 11月,被修正檔(patched) .

DNS poisoning through sequence prediction

如上

DNS 溢位

如上

1.10 什麼是拒絕服務? (DoS)?

1.10.1 Ping-of-Death

傳送一個 開始於包(packet)的尾末之前 ,但

擴展到包的尾末之後的無效片段(fragment).

1.10.2 SYN 氾濫(Flood)

很快速地傳送 TCP SYN包(做為連接(connection)的開啟)

, 讓受害者處於 等待完成大量連接 的狀態, 造成他 資

源的耗盡 與 丟棄合法的連接. 一個新的

防範措施 --"SYN cookies". 每一個連結端 有

他自己的序數(sequence-number).對於一個SYN的反應,

被攻擊的機器 產生一個 特別的序數(一個連結的"cookie")

然後 忘卻關於連接的一切 . 然後當一個合法的連接的包來到

時,它便能 再創造 關於連接的遺漏資訊.

1.10.3 Land/Latierra

傳送與 來源/目的 位址/阜號 相同的

偽造SYN包 ,受害系統便 試著完成TCP連接

的無窮回路(infinite loop).

1.10.4 WinNuke

在TCP連接時 傳送 OOB/URG資料 到

阜號139(NetBIOS Session/SM上,

造成Windows系統(當機)hang.

[psac]

Q:
電腦機器被病毒感染 system.exe&internet.exe
系統2003英文企業版.

機器被病毒感染,在任務管理器中發現system.exe和internet.exe工作，這兩個並不是我啟動的。檢視路徑為c:\windows\internet.exe和c:\windows\system32\system.exe。用NORTON掃瞄結果為：
已發現病毒！病毒名稱: Hacktool.Flooder 位於文件: C:\WINDOWS\Internet.exe 由: 實時防護掃瞄。操作: 清除 失敗 : 隔離 失敗 : 拒絕訪問.
已發現病毒！病毒名稱: Hacktool.Flooder 位於文件: C:\WINDOWS\system32\system.exe 由: 實時防護掃瞄。操作: 清除 失敗 : 隔離 失敗 : 拒絕訪問.

也就是說無法查殺病毒，每次啟動都會出現，我把system.exe和internet.exe兩個文件刪除後，下次啟動又來了。
問：如何能夠清除這兩個病毒，最好說說如何手工清除。


A:
在安全模式下執行諾頓就可以刪掉病毒了。