近两年,熊猫烧香、灰鸽子、磁碟机等不断衍生,其变种更是呈几何级数地增长,令传统安全产品疲于应付;在破坏性方面,从网络拥堵到感染可执行文件,再到击破硬盘还原等等,给信息系统带来了巨大的损失。其中,最具摧毁性的无疑是 root kit 类攻击工具,因为它是基于操作系统内核级的,危及面覆盖信息系统里的所有业务应用及数据,前段时间疯狂作恶的磁碟机病毒,在侵入系统时就加载了大量 root kit 组件进行破坏。
1、ROOT KIT的狠招
系统中病毒时,管理员们通常的做法是查看可疑进程,然后一路追杀到文件目录进行清除。随着攻击技术水平的提升,像制造疑似系统进程名这样的初级手段已少有人用,攻击者往往直接将攻击进程嵌入系统进程,这时候,只有借助专门的进程管理器(如 procexp 等)才能发现。Rootkit则更进一步,这种内核级后门通过自身的伪装和隐藏,运行时根本没有进程显示。
我们知道,程序运行的时候,系统会在内存中写入一些数据结构,进程管理器就是通过这些数据结构来显示进程的。Root kit 的做法是在内核层修改这些数据结构,用自带的ps 、top等程序替代原有系统程序,从而达到隐藏进程的目的。很显然,现在再用 Pslist 进程查看工具已经无济于事了。 在隐藏文件时, root kit也是在系统内核层做手脚。具体做法是修改内核文件系统的代码,用自己编写的 ls 程序来替换,从而使原有的 ls 文件目录查看工具形同虚设。
底层控制,终结内核级杀手
用组策略锁定系统分区
在我们电脑的硬盘中,有一些重要的数据和秘密的文件,我们是不希望别人能够看到的,特别是在公司中的办公电脑中,我们总会存有一些私人的或是机密的文件,不愿意让任何人看到。
当然,做为安装操作系统的C 盘,其中有一些重要的系统文件,是不能让别人随便修改的或移动的。而且还有些时候,为了保护我们电脑光驱,增长其使用寿命,我们不想让别人随便使用自己的光驱等驱动器读取光盘、安装程序等操作。在Windows XP 操作系统以前的版本中,如果要实现以上所述的这些功能,我们必须修改注册表或修改系统文件来实现这些功能,或是利用第三方软件为我们的电脑硬盘驱动器加把锁。
现在我们不用再去修改繁琐的注册表了,系统为我们的提供了“组策略”这一强大的功能,我们可以通过设置“组策略”中的详细参数,来实现限制驱动器和隐藏驱器。而且操作起来非常的方便,稍有电脑基础知识的用户都能方便实现这一功能。下面就详细的介绍一下操作过程。
修复系统中的2个疑难问题
系统又坏了……为了保护C盘的数据,不得不只进行‘修复’安装XP。
{ZHUAXIA8cb1ae6af459d9d9fec16259f7e84847Union}
以前没进行过修复安装过,在最后碰到了个问题。提示说:“安装程序在硬盘上执行了维护操作,您必须重新启动计算机来继续安装程序。”那我当然是重启了,步骤依旧,结果还是这个提示。有点郁闷了,想了下,可能启动扇区有问题。
接下来,依旧是光盘启动,这次不进行安装操作了,直接选择‘R’进入控制台,输入管理员密码,然后输入命令:fixboot。然后再重启,光盘引导,这回不选择‘控制台’了,选择回车,进入后F8,再按R,执行修复,这回检查通过,复制文件也完成,机器自动重启了。
然后和一般的装机一样了,等跳过光驱的启动提示,就进入了硬盘的启动了,但是第二个问题来了,电脑安装的进程,卡在了39分钟的位置上,也就是说,系统安装到了39分钟位置停止了。这个问题有点悬了,实在不懂了,反正不会是光盘问题。这个能肯定,我想到了,是不是USB接口的鼠标问题呢?就把鼠标换了,然后再执行安装,还是不行。
Read MoreVBS脚本病毒
我们写的脚本是WSH windwos script Host (脚本主机)来解释运行的,具体是由Wscript.exe 和Cscript.exe这个程序来执行的.. 因为脚本还可以直接嵌在网页中,所谓的动态网页设计,现在还有VBS脚本病毒生成器
在脚本语言里可以不存在内存管理之类乱七八糟让初学者不知所措的东西,一切变量在脚本运行结束后都会由WSH来负责释放,这里用不着你操心.所以你不必在代码最后加上set someclass = Nothing 这类话来显式销毁对象WSH内有两大强有力的对象FSO 和WSH ,FSO可以创建,修改,删除文件,WSH嘛功能太强大了,说不完 。从操作注册表(我指的是直接写注册表某个键值,而不是用什么.REG文件来导入)到管理桌面的快捷方式,应有尽有.
脚本语言强大的地方,就是直接访问 WMI(Windows Management Instrumentation) ,本人也是一知半解,因为WMI内,各个子对象太多了,有3000多个包括主板,内存,显卡,进程,服务等各方面的属性和方法. 说的直白一点就是,脚本语言可以通过访问WMI 来达到终止某个程序的运行,或让个程序以隐藏方式运行,可以查看到CPU的型号,内存容量,硬盘状态.关闭计算机。
镜像劫持
如果中了镜像劫持类病毒,通常很麻烦,很多时候需要重装系统,其实,镜像劫持就是注册表中的一个应用程序重定向键值所造成的。
以自己的电脑的输入法图标为例,在输入法图标驻留在任务栏中的情况,通过镜像劫持,可以让用户无法关闭高级文字服务,导致任务栏上不显示输入法,而只能通过快捷键来切换自己想要的文字输入法。
实验如下:
点击开始菜单,选择运行,输入regedit,打开注册表编辑器,展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options,新建项名为ctfmon.exe,在该项中新建字符串值,名为debugger,值为ntsd -d。
DNS缓存攻击原理
通过网络找到一下解释:
就是恶意程序修改你电脑上DNS缓存中的内容,一是让你不能正常上网,比如把www.sina.com.cn的IP地址修改为127.0.0.1,这样无论如何也不能找到新浪网了,二是将某些恶意IP地址放进DNS缓存,比如把www.sina.com.cn对应的IP地址修改为恶意网站地址,当你在地址栏输入www.sina.com.cn的时候,访问的却是恶意网站。由于操作系统在进行DNS解析的时候首先查询DNS缓存,如果在缓存中能查到,就不会再找DNS服务器了。这样一旦dns缓存被修改,你去修改DNS服务器之类的网络参数也是无效的。
1.用IPCONFIG/displaydns命令栏查看当前dns缓存里的内容。 (可以查看)
2.用ipconfig /flushdns命令刷新dns缓存中的内容。 (可以使用)
3.若要防止dns缓存攻击,应禁用dns缓存,方法:
禁用客户端 DNS 缓存
1. 启动注册表编辑器 (Regedit.exe)。
2. ……
IP流量的分析(SNMP、RMON、NetStream、sFlow)
1.基于SNMP的流量分析
SNMP(Simple Network Management Protocal,简单网络管理协议)是一种广为使用的网络协议,基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息。典型工具有MRTG(Multi Router Traffic Grapher),MRTG是一个实用的免费软件,MRTG使用起来很方便,能够非常直观地显示端口流量负载。但MRTG的功能比较单一,其收集到的流量信息仅是简单的端口出、入流量统计信息,不能用于深入的流量分析。
2.RMON
RMON(Remote Monitoring.远程控制)是由IETF定义的一种远程监控标准,RMON是对SNMP标准的扩展,它定义了标准功能以及网管站和远程监控器之间的接口实现对一个网段乃至整个网络的数据流量的监视功能。
RMON监控器可用两种方法收集数据:一种是通过专用的RMON探针(Probe),流量探针安装方便,但是流量探针价格昂贵,不合适大面积部署。另一种方法是将RMON代理直接植入网络设备(路由器、交换机等),但这种方式受网络设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集统计量、历史、告警、事件等四个组的信息。
……
Read More邮件地址被伪造了……
[IMG]upload/伪造邮件.gif[/IMG]
收到这邮件的时候吓了一跳,我想我什么时候给自己发了一封这样的邮件,还担心自己邮箱被偷了,呵呵,其实只是被仿冒了地址,想想自己的邮箱地址被这样准确的仿冒了,其他看起来像来自某些‘系统’的邮件也要注意防伪造了,淘宝的,银行的,腾讯的。没试过通过OE打开这样的邮件的结果,不知道杀毒软件的邮件防火墙对这样的邮件会不会识别下,难不成……为了安全,还要用OE收发邮件了……。
网上,搜索了下,邮件地址仿冒的技术。大致为一下两个。其实也不是什么技术……,就是个SMTP的原理吧,不关心这些。就罗列下吧。
自己动手恢复被格式化文件
很不幸运又很幸运的一天。U盘突然出现了大问题,可能导致数据丢失,那我这段时间的工作成果可就白忙了。可看以下截图,不知道是否都遇到过。过去遇到这样的情况也就格式化了事。这回有重要数据了。网上搜索解决办法,搜索不到。最后换了思路,只能格式化了,但要想办法把数据提取出来。早就听说大名鼎鼎的EasyRecovery了,这回要亲自操刀它来恢复我宝贵的数据了。
[IMG]upload/sjhf-1.gif[/IMG]
网络攻击行为解释
1.Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测方法:判断网络数据包的源地址和目标地址是否相同。
反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
局域网内升级杀毒软件(试验方案)
单位的电脑彻底没的上网了,又不打算使用单位的赛门铁克的杀软,想继续使用卡巴,如何让卡巴在局域网内升级,从网上搜集了3种方法。
我只需要第三种方法即可。打算星期一去单位试试,可能不行的话,还是要装赛门铁克了。
一,局域网代理在线升级
……
二,局域网内线升级
……
三,离线升级
……
用上了FreeEIM
为了迎接奥运,维护企业网络安全,彻底成了企业内部网了,从此和外界的互联网告别了!
不过现在大家用起来FreeEIM这个聊天软件,无需服务器,文本消息发送、文件收发、记录查询、语音聊天、远程桌面控制。
体积的确小,才1M多。哈,在公司里没的上外网又需要内部聊天的,的确可以一用!推荐!
哎,下个星期省公司的信息安全专家要来扫描网络了,谁的电脑有病毒漏洞就要追究责任呢,汗。他们来检查的两天我就局域网都不上了。扫歪歪,听说很厉害,反正天网,网镖这种网络防火墙都挡不住人家。物理断网最保险。
FreeEIM的网址:http://www.freeeim.com/
提供一些路由器的性能评测数据
从暗流的blog上,看到一篇题为使用D-LINK路由器组建网络赚钱!的文章。觉得实现这样的想法对路由器的并发连接的要求还是有要求的,无线的话,其实对无线的距离,穿墙能力等都要考量。
华硕的RX3041X:
LAN到WAN应用层性能测试结果
每秒新建连接数:505
并发连接数:2048
小技巧-给电脑上把锁
给自己的电脑上锁,让电脑在插入自己的优盘后才能启动,否则启动后即自动关闭。
①首先确定优盘的盘符,可以将自己的优盘插上,然后看到盘符,很重要,弄错就……
②在优盘里创建一个文件,文件名和扩展名任意输入,例:abc.abc
③在本地磁盘上创建一个批处理文件(记事本创建保存为.bat)内容为:
ifnotexist?:\abc.abcshutdown-s-t10-c“你无权使用我的计算机!”
正确安装双硬盘
硬盘作为常用的外部存储设备,也是用来存放操作系统、应用程序及数据的载体。随着操作系统和应用软件功能的增强,他们所占用的硬盘空间也越来越大;同时随着Internet的普及,能被下载的数据越来越多,他们所需的空间也很大;另外用一个单独的硬盘来备份重要数据比用一个硬盘另外的分区来备份安全得多,综合以上因素,有不少同仁都更愿意使用双硬盘。本文将详细说明市面上常用的IDE接口硬盘的“双挂”方法。
Read MoreBIOS终极优化
对BIOS进行优化,有利于你对电脑的操作和速度的提升,大家可以参照个人电脑的BIOS进行优化,达到最好的效果。一般主板进入BIOS是按键盘上的Delete键,也有特殊点的按F2键。下面进行对BIOS的终极优化,出发吧。
一、优化启动速度
二、优化运行速度
三、优化磁盘读写速度
四、优化显示速度
五、优化开启方式
还原windowsXP两招(2招)
系统还原的启动
系统还原的启动都是通过运行rstrui.exe程序来运行的,我们可以找到系统还原的后台程序,进入C:\WINDOWS\system32\Restore目录,找到rstrui.exe文件,然后右键单击选择“发送到→桌面快捷方式”,以后只需要双击该快捷键方式便可快速启动系统还原。单击“开始→运行”输入“C:\WINDOWS\system32\Restore\rstrui”后回车,与可以同样启动系统还原。
利用命令行运行系统还原
当系统已经崩溃连安全模式也无法进入,但能进入“带命令行提示符的安全模式”时,我们可以在命令行提示符后面输入“C:\WINDOWS\system32\Restore\rstrui”并回车,也可以进行系统还原。
解决应用程序初始化(0x00000ba)失败
遇到过这样的情况:某天杀毒软件运行出现没反应,或是提示“应用程序初始化”(0x00000ba)失败,那可要当心了,这个是病毒耍的小花招了。用“资源管理器”进入杀毒软件安装目录,回看到一个名为ws2-32.dll的文件或文件夹。通常这个程序是在C:\Windows\System32文件夹下,这个文件或文件夹处于隐藏状态,需要修改该文件或文件夹属性为可见,状态修改在资源管理器的“工具——文件夹选项——查看”。由于一般程序都要调用此DLL,病毒就利用这点阻止了杀毒软件的正常运行,删除此文件或者文件夹问题即可解决。
Read MoreCMOS和BIOS的区分
CMOS是互补金属氧化物半导体的缩写。本意是指制造大规模集成电路芯片用的一种技术或用这种技术制造出来的芯片。其实,在这里是指主板上一块可读写的存储芯片。它存储了微机系统的时钟信息和硬件配置信息等,共计128个字节。系统加电引导时,要读取CMOS信息,用来初始化机器各个部件的状态。它靠系统电源或后备电池来供电,关闭电源信息不会丢失。
BIOS是基本输入输出系统的缩写。指集成在主板上的一个ROM芯片,其中保存了微机系统最重要的基本输入输出程序、系统开机自检程序等。它负责开机时,对系统各项硬件进行初始化设置和测试,以保证系统能正常工作。……