底层控制,终结内核级杀手

       近两年,熊猫烧香、灰鸽子、磁碟机等不断衍生,其变种更是呈几何级数地增长,令传统安全产品疲于应付;在破坏性方面,从网络拥堵到感染可执行文件,再到击破硬盘还原等等,给信息系统带来了巨大的损失。其中,最具摧毁性的无疑是 root kit 类攻击工具,因为它是基于操作系统内核级的,危及面覆盖信息系统里的所有业务应用及数据,前段时间疯狂作恶的磁碟机病毒,在侵入系统时就加载了大量 root kit 组件进行破坏。
       1、ROOT KIT的狠招
       系统中病毒时,管理员们通常的做法是查看可疑进程,然后一路追杀到文件目录进行清除。随着攻击技术水平的提升,像制造疑似系统进程名这样的初级手段已少有人用,攻击者往往直接将攻击进程嵌入系统进程,这时候,只有借助专门的进程管理器(如 procexp 等)才能发现。Rootkit则更进一步,这种内核级后门通过自身的伪装和隐藏,运行时根本没有进程显示。
       我们知道,程序运行的时候,系统会在内存中写入一些数据结构,进程管理器就是通过这些数据结构来显示进程的。Root kit 的做法是在内核层修改这些数据结构,用自带的ps 、top等程序替代原有系统程序,从而达到隐藏进程的目的。很显然,现在再用 Pslist 进程查看工具已经无济于事了。    在隐藏文件时, root kit也是在系统内核层做手脚。具体做法是修改内核文件系统的代码,用自己编写的 ls 程序来替换,从而使原有的 ls 文件目录查看工具形同虚设。
 

Read More

用组策略锁定系统分区

       在我们电脑的硬盘中,有一些重要的数据和秘密的文件,我们是不希望别人能够看到的,特别是在公司中的办公电脑中,我们总会存有一些私人的或是机密的文件,不愿意让任何人看到。
       当然,做为安装操作系统的C 盘,其中有一些重要的系统文件,是不能让别人随便修改的或移动的。而且还有些时候,为了保护我们电脑光驱,增长其使用寿命,我们不想让别人随便使用自己的光驱等驱动器读取光盘、安装程序等操作。在Windows XP 操作系统以前的版本中,如果要实现以上所述的这些功能,我们必须修改注册表或修改系统文件来实现这些功能,或是利用第三方软件为我们的电脑硬盘驱动器加把锁。 
       现在我们不用再去修改繁琐的注册表了,系统为我们的提供了“组策略”这一强大的功能,我们可以通过设置“组策略”中的详细参数,来实现限制驱动器和隐藏驱器。而且操作起来非常的方便,稍有电脑基础知识的用户都能方便实现这一功能。下面就详细的介绍一下操作过程。

Read More

小技巧-给电脑上把锁

给自己的电脑上锁,让电脑在插入自己的优盘后才能启动,否则启动后即自动关闭。

首先确定优盘的盘符,可以将自己的优盘插上,然后看到盘符,很重要,弄错就……

在优盘里创建一个文件,文件名和扩展名任意输入,例:abc.abc

在本地磁盘上创建一个批处理文件(记事本创建保存为.bat)内容为:
    ifnotexist?:\abc.abcshutdown-s-t10-c“你无权使用我的计算机!”
 

Read More