隱藏在背後的陰謀 瀏覽器劫持的攻與防
「瀏覽器劫持」,通俗點說就是故意誤導瀏覽器的行進路線的一種現象,常見的瀏覽器劫持現象有:訪問正常網站時被轉向到惡意網頁、當輸入錯誤的網址時被轉到劫持軟件指定的網站、輸入字符時瀏覽器速度嚴重減慢、IE瀏覽器主頁/搜索頁等被修改為劫持軟件指定的網站地址、自動添加網站到「受信任站點」、不經意的插件提示安裝、收藏夾裡自動反覆添加惡意網站鏈接等,不少用戶都深受其害。那麼,這類現象是如何引起的呢?用戶又該如何防範應對呢?這就是本文要介紹的內容。
一、「攻」之解說
1、整體認識。
瀏覽器劫持(Browser Hijack)是一種惡意程序軟件,通過惡意修改用戶個人電腦的瀏覽器默認設置,以引導用戶登錄被其修改的或並非用戶本意要瀏覽的網頁。大多數瀏覽器劫持者是在用戶訪問其網站時,通過修改其瀏覽器默認首頁或搜索結果頁,達到劫持網民瀏覽器的目的。這些載體可以直接寄生於瀏覽器的模塊裡,成為瀏覽器的一部分,進而直接操縱瀏覽器的行為。「瀏覽器劫持」的後果非常嚴重,用戶只有在受到劫持後才會發現異常情況;目前,瀏覽器劫持已經成為Internet用戶最大的威脅之一。
2、現象分析。
「瀏覽器劫持」的攻擊手段可以通過被系統認可的「合法途徑」來進行。所謂「合法途徑」,即是說大部分瀏覽器劫持的發起者,都是通過一種被稱為「BHO」(Browser Helper Object,瀏覽器輔助對象)的技術手段來植入系統。
而BHO是微軟早在1999年推出的作為瀏覽器對第三方程序員開放交互接口的業界標準,它是一種可以讓程序員使用簡單代碼進入瀏覽器領域的「交互接口」,由於BHO的交互特性,程序員還可以使用代碼去控制瀏覽器的行為,比如常見的修改替換瀏覽器工具欄、在瀏覽器界面上添加自己的程序按鈕等操作,這些操作都被系統視為「合法」,這就是「瀏覽器劫持」現象賴以存在的根源。
二、「防」之細談
這類現象確實難以防範,用戶永遠處於被動地位。我們只能通過一些設置與軟件的應用,讓這種影響減至最低。以下辦法可供大家參考。
個別劫持現象的手動修正。
Windows登錄窗口被劫持。
在註冊表中打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Winlogon分支,然後將其下的「LegalNoticeCaption」和「LegalNoticeText」主鍵刪除即可解決問題。
在網頁中單擊鼠標右鍵,在彈出的菜單裡顯示網頁廣告。
在註冊表中打開HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支,IE瀏覽器中顯示的附加右鍵菜單都在這裡設置,常見的網際快車單擊右鍵下載的信息也存放在這裡,只需找到顯示廣告的主鍵條目刪除即可。
三、總結
瀏覽器一旦被劫持,就意味這你無法決定自己的電腦裡將被存放進什麼資料,這無疑存在巨大安全隱患。而如今的互聯網絡環境可謂處處是「瀏覽器劫持」式的陷阱,單憑普通用戶被動的事後修正無異於亡羊補牢;更多的需要全世界互聯網使用者把好公眾輿論和道德走向一關。
安全知識:怎麼守住你的錢包 網上購物的安全忠告
一.網上購物一般面臨兩方面的風險:
1.購物網站的信用風險--即該網站是否真實經營?是否有欺騙性質?其將不能保證其交貨義務的履行。
2.購物網站的經營性風險--即該網站是真實誠信經營,但該網站經營不善,隨者網絡泡沫一起破滅.對購物本身並無影響,但對在其購買需保修的電器等產品的售後保修服務等,將無法進行,或其承諾的積分制,購物券等將無法實行.
二.網上購物的提醒、忠告:
1.選擇歷史較長的網站購物,如本網4-5年前電子商務剛興起時就創建的一批網站,經歷網絡泡沫後,一直健康發展下來的網站,該批網站,信用服務一般都較好,信用及服務水平普遍高於傳統購物;有欺騙性的網站,一般才建立2-3個月,3-4個月到半年,不會長久.----歷史越長,可信度越高.
2.選擇訪問量較高的網站購物,現有許多新網站,產品也較多,頁面也較美觀,看上去很像樣,但一看他的訪問量,就會發現,按其訪問量,一天內可能都不會賣出一件商品,如何正常經營呢?--- 訪問量越高,可信度越高,(涉及色情內容,或特殊手段除外)
3.在自銷售式的購物網站購物,一些出租櫃檯式的購物網站,信用一般沒問題,但其自己不銷售,收取入住費\廣阿告費,所以一般價格較高,切且服務不能整齊化一;另一種拍賣網站,主要提供給個人銷售舊貨,拍賣網站一般信用到沒問題,但售貨的是個人,其信用風險很大,要特別謹慎. ---- 自己銷售-自己負責 式的購物網站,可信度高。
4.選擇口碑好的網站購物, 信用服務好的網站,一般都會在網民心中有較好口碑,如本網在廣大網友中,已形成良好印象,用我們優質的服務,博得了良好的口碑,其中不乏一些日本,韓國的網友,也向其朋友推薦本網.
5.選擇可貨到付款的網站購物,全國範圍貨到付款需要一定的實力規模,所以只有一定規模的正規網站才做得到,同時避免先付款的風險.
6.欺騙性網站相對集中的特徵:
A.銷售手機\電器[香港貨,走私貨]\偷拍器材的網站,該範圍也有很多信用很好的網站,不能一蓋而論。
B.個人購物網站,從其聯繫方法就可看出.列如:24小時電話,正規公司不會24小時工作的;聯繫電話是手機,QQ聯繫,正規公司不會用個人的手機作為公司電話的...,該範圍也有很多信用很好的網站,不能一蓋而論。
C.個人拍賣網站,產品多,價格特低,什麼都有,正規商店是不可能什麼都賣的,20元就可買勞力士手錶...,在此拍賣網站受騙,網站一般都不負責,該範圍也有很多信用很好的網站,不能一蓋而論。
D.網站很漂亮,但根本沒真實的產品供應,對銷售的產品不具專業知識,訪問量很小,(如您向其購買,可能就是唯一上當的)如很多熟悉網絡技術的個人,很快做個網站,但他們根本沒有產品,更不具供貨、發貨能力。
安全知識:經驗共享---如何防禦網絡遊戲外掛木馬
目前,很多人在各絕對女神論壇中發佈各種所謂的外掛程序,或者不明網站的鏈接,我們奉勸各位,千萬不要點擊。因為那很有可能會捆綁一個「鍵盤紀錄器」。
為了您賬號的安全,請您留心一下這些隱藏在誘惑中的「黑手」。建議您下載專業殺木馬軟件。
防範方法:
1、請將IE的"INTERNET選項"的"高級"設置為"恢復默認設置"。
2、不要安裝和下載一些來歷不明的軟件,特別是一些所謂的女神外掛程序。
3、不要隨便打開來歷不明信件的附件。
4、安裝最新殺毒軟件,並定時升級病毒庫。
5、小心網吧的計算機上安裝有記錄鍵盤操作的軟件,或被安裝了木馬。使用網吧計算機時,需先
按ctrl,alt,del三個鍵,看看是否有來歷不明的程序正在運行,如果有,則立即將該程序結束
任務。
6、網吧上網的用戶,最好是在上機器前去華軍軟件園下載LDM木馬檢查工具
(bj.onlinedown.net/soft/11555.htm),先掃瞄一下機器看是否有木馬程序。
· 針對於一些暴力破解密碼的軟件,破解用戶的帳號密碼
這種方法主要是通過使用一些暴力破解密碼的軟件,用窮舉法逐個的嘗試用戶的帳號密碼,但需要使用者有一定的電腦知識,而且破解需要很長時間。
防範方法:
1、儘量避免將遊戲帳號暴露在公眾論壇和其他網站。
2、用戶在設置密碼時,儘量設置的複雜一點,最好設置為8位數以上的字母、數字和其他符號的組
合。
3、不要使用可輕易獲得的關於您的信息作為密碼。這包括生日、身份證號碼、手機號碼、您所居住的街道的名字等等。
4、經常更換密碼,因為8位數以上的字母、數字和其他符號的組合也不是無懈可擊的。
5、申請密碼保護,也就是設置安全碼,安全碼不要和密碼設置的一樣。如果您沒有設置安全碼,
那麼別人一旦破解您的密碼,就可以把您的密碼和註冊資料(除證件號碼外)全部修改。
· 木馬防禦全攻略
1、您的計算機是否已被裝了木馬?如何檢測?
1)檢查註冊表
看HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows/Curren Version 和
HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion下,所有以"Run"開頭的鍵值
名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
2)檢查啟動組
木馬們如果隱藏在啟動組雖然不是十分隱蔽,但這裡的確是自動加載運行的好場所,因此還是有
木馬喜歡在這裡駐留的。啟動組對應的文件夾為:C:windowsstart menuprogramsstartup,在注
冊表中的位置:
HKEY_CURRENT_USER/Software/MicrosoftWindows/Current Version/ExplorerShell Folders
Startup="C:windowsstart menuprogramsstartup"。要注意經常檢查這兩個地方哦!
3)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方。
比方說,Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程序的,如果
有了那就要小心了,看看是什麼;在System.ini的[boot]小節的Shell=Explorer.exe後面也是加
載木馬的好場所,因此也要注意這裡了。當你看到變成這樣:
Shell=Explorer.exewind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。
4)檢查C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。木馬們也很可能隱藏在
那裡。
5)如果是EXE文件啟動,那麼運行這個程序,看木馬是否被裝入內存,端口是否打開。如果是,則
說明要麼是該文件啟動木馬程序,要麼是該文件捆綁了木馬程序,只好再找一個這樣的程序,重
新安裝一下了。
6)木馬啟動都有一個方式,它只是在一個特定的情況下啟動,所以,平時多注意一下你的端口,查
看一下正在運行的程序,用此來監測大部分木馬應該沒問題的。
2、目前已經有一些專門的清除木馬的軟件,在新推出天網防火牆裡面捆綁有強大的木馬清除功能,清除一般木馬的機制原理主要是:
1)檢測木馬。
2)找到木馬啟動文件,一般在註冊表及與系統啟動有關的文件裡能找到木馬文件的位置。
3)刪除木馬文件,並且刪除註冊表或系統啟動文件中關於木馬的信息。
但對於一些十分狡滑的木馬,這些措施是無法把它們找出來的,現在檢測木馬的手段無非是通過網絡連接和查看系統進程,事實上,一些技術高明的木馬編制者完全可以通過合理的隱藏通訊和進程使木馬很難被檢測到。
3、木馬防範工具。
防範木馬工具有很多,請您務必安裝一個,以提高您的計算機的安全性。
安全知識:清除不明進程msser 珊瑚病毒防範技巧
有不少帖子反映發現不明程序msser.exe,通過大家提供的信息發現它和「珊瑚蟲QQ」有著密切的關係,隨後經過一番實驗,該問題也基本得到瞭解決。
這個問題其實是「珊瑚蟲QQ」裡附帶的「ebay易趣購物工具」引起的,安裝「珊瑚蟲QQ」,默認會選擇安裝上「ebay易趣購物工具」,而安裝了「ebay易趣購物工具」,則會出現以下一系列「問題」。
涉及的相關文件有七個,分別為:
C:\windows\temp\Install\setup.exe
%System%\appmgmt\msser.exe
%System%\cba\task.exe
%System%\inetsrv\inet.exe
%System%\dllcache\mstunint.dll
%System%\dllcache\mstunmsr.dll
%System%\dllcache\mstuntsk.dll
對這些文件進行比較發現,其中:
%System%\appmgmt\msser.exe和%System%\dllcache\mstunmsr.dll內容是一樣的;
%System%\cba\task.exe和%System%\dllcache\mstuntsk.dll內容是一樣的;
%System%\inetsrv\inet.exe和%System%\dllcache\mstunint.dll也是一樣的。
(同時也從它們的文件名發現這些文件之間是存在某些關聯的)
C:\windows\temp\Install\setup.exe,從名字看像是安裝程序吧,運行後釋放其它幾個文件,並建立啟動項
%System%\appmgmt\msser.exe,運行後會把%System%\cba\task.exe運行起來,它和%System%\cba\task.exe都會嘗試從遠程計算機上下載文件,下載的可能是程序的更新吧;
%System%\inetsrv\inet.exe,運行後則會創建%System%\appmgmt\msser.exe的啟動項。
通過觀察還發現它們會從遠程計算機(服務器吧)上讀取一些信息,從臨時文件中發現了download.htm和download.ini,其中有類似「select * from download where datetime='日期'」的數據庫語句,可能記錄的是程序的更新信息,也可能是每天都有那些信息需要下載。
簡單的說明就這些吧,下面說一下如何除掉它們。
首先你可以看一看進程裡有沒有%System%\appmgmt\msser.exe和%System%\cba\task.exe的進程,如果它們不在進程裡,那麼就先直接找到這些文件刪除掉。
刪除了文件後再到註冊表編輯器裡刪除以下兩個啟動項,另外還有這個位置,也是它們建立的,一起刪除了吧。
如果要避免這個問題,大家在安裝「珊瑚蟲QQ」的時候選擇自定義安裝,把「ebay易趣購物工具」前的勾去掉不裝它就行。從這個問題也可以提醒大家以後在安裝一些共享軟件的時候要注意先查看一下到底會安裝哪些東西到計算機裡面,如果自己不想要的可以選擇自定義安裝來去掉不裝,軟件安裝前的授權許可協議信息也要稍微看一下(最好是仔細閱讀),如果該程序會附帶安裝其它程序一般會在其中說明,比如像很多共享軟件都會帶上「很棒小秘書」,另外還有「MyIMLite」、「Desktop Media」等等,這些都是經常「困擾」大家的,哦差點忘記幾個更「有名」的了,就是大家非常熟悉的「3721上網助手/網絡實名」和「CNNIC中文域名程序」。
安全知識:智能引發病毒侵襲---防範手機病毒有招
手機也會被病毒感染,這已經在兩年前就成為現實,截止到目前,主流的手機操作系統平台都已經發現病毒的蹤影。權威統計表明,手機通常的更換頻率大約為1至2年之間,在某些經濟發達地區,更換頻率會更高。由此,我們自然會產生這樣的問題:我的下一部手機會被病毒光顧嗎?
什麼樣的手機容易感染病毒
專家分析,不是所有的手機都能夠感染病毒,只有那些具備相當強大的計算能力,使用比較高版本的操作系統的手機才和手機病毒有關。要想知道手機是否符合這樣的條件,可以這樣簡單地檢查一下:第一,看看手機是不是比別人的個頭更大、屏幕更大;第二,手機是不是可以和電腦連接交換數據;第三,手機是不是可以執行更多的多媒體應用,比如彩信、下載遊戲。
手機中毒有何反應
手機中毒的症狀有哪些?實驗室研究表明,未來的手機病毒可以導致的威脅包括:修改手機操作界面;導致手機操作系統崩潰(死機);過量消耗手機電力;自動撥打電話;遙控竊聽;盜取手機中的信息;作為攻擊PC網絡的跳板。
病毒進入手機的途徑
據分析,手機病毒進入的途徑主要有下面幾種:其一,接收並運行不可靠的程序,例如遊戲;其二,通過PC安裝的小程序;其三,未經安全確認,使用別的手機的存儲卡;通過紅外線、藍牙等方式,與別的手機交換數據。
安全知識:與腳本病毒做鬥爭 幾種常見的殺毒方法
有過網吧或者機房管理經驗朋友肯定知道,如果機子中了病毒的話是很讓人頭疼的事情,現在的病毒大多都具有複製能力特別強,能夠通過局域網傳播,大量耗費系統資源等特點,一個局域網內只要有一台機子中了病毒,如果不及時的殺毒和隔離的話,其他的機子很快便會感染病毒,如何防止病毒,和快速的殺毒成了每個網管所迫切考慮的事情。
其實網吧內的常見的病毒有兩種,一種是類似與CIH的病毒這種高破壞性的病毒,中了之後系統會無法啟動,這種病毒的危害大,但是中毒的幾率相對很少;另一中就是腳本病毒。這類病毒一味的耗費系統資源,直到系統崩潰死機,比起CIH病毒來說,它們看似很不起眼,但卻做讓人頭疼。有沒有克制腳本病毒的方法呢?筆者在實踐中總結了以下幾條經驗。
第一,裝系統的時候要用光盤啟動硬盤來裝,光盤要保證以前用過的沒有攜帶病毒的,硬盤一定要沒有任何文件,否則殘留的文件裡面很可能就感染了病毒,這一點一定要毫不留情,不要為了要備份一個驅動或者一個軟件不把它刪除。否則你剛裝完系統發現已經中了病毒,那可就後悔莫及了。
第二,裝完系統後,再裝驅動之前,最好先用裝個殺毒軟件,殺毒軟件首先要保證自己沒有病毒,其實你可以把WIN98安裝文件,殺毒軟件等,網吧機器的驅動放在一起用EasyBoot做個啟動光盤。有了這張盤,你在裝其他軟件和遊戲之前就可以保證母盤不感染病毒了。
第三,裝好驅動後先上網把殺毒軟件更新到最新,然後開著病毒防火牆,從事先準備好的機器上調用軟件和遊戲的安裝文件來安裝網吧的必備軟件和常玩的遊戲,一切都弄好後測試一遍遊戲和軟件,然後在C盤目錄下建立一個ADMIN的文件夾,把專殺工具包,硬盤工具包,網絡克隆工具,還有備份的註冊表放到裡面備用。一般樣板盤做成這樣就很好了,當然如果系統配置不高,為了不影響玩遊戲的速度,在克隆完之後要把病毒防火牆的自啟動取消。
裝殺毒軟件不是讓它老開著防火牆,因為一來它耗費系統資源,二來平時安裝著還原精靈,有病毒重啟一下就好了,它主要用在以後升級遊戲或者調用文件的時候把防火牆打開防止調用文件中的病毒感染系統,更何況人非聖賢,孰能無過,再謹慎的人也不會保證以後肯定不會出病毒,所以一定要為每台機子裝上殺毒工具,但平時沒必要啟用它的保護功能。
在網絡上的人肯定都中過愛情森林,新歡樂時光等這些頑固的病毒,尤其是在局域網裡,往往是所有的機子都感染病毒,每個機子能殺出幾百個到上千個病毒,我曾經在一台機子上用瑞星殺出過8000多個病毒。
這些病毒非常惡劣,一般在WINDOWS下是不容易殺乾淨的,每次殺完病毒,緊接著再殺的時候就會發現殺毒軟件本身還有EXPLOR.EXE等進程依然感染著病毒,你無論怎麼殺也殺乾淨,這樣的話最好是重起到安全模式下再殺,殺毒的時候不要打開任何的窗口,因為有些病毒只要你打開窗口就會激活,它佔用到內存的話就很難清除了。殺完後重起再進安全模式再殺,一般這樣幾次病毒就會殺乾淨了。如果還不行的話就要到DOS下查殺了,一般的殺毒軟件都有它的DOS 版本。重啟動到純DOS模式下,跳轉到安裝目錄下運行那個程序會有個提示,不過這樣查殺病毒的速度一般很慢。值得注意的是如果所有的機子都中了病毒的話,一定要把交換機關掉一台一台的殺,殺完後備份C盤,並用保護卡保護起來。
腳本病毒這樣清除就可以了,但是對於CIH等病毒來說,除了殺完毒後還有做恢復工作,一般來說它就是破壞分區表和主引導程序,嚴重的話破壞BIOS。我們可以分別來對待,如果損壞的僅僅是主引導記錄,可以用乾淨的啟動軟盤或光盤啟動系統運行fdisk /mbr就可以了,也可以用DISKMAN,DISKGEN等小工具來重建主引導記錄。如果損壞的是分區表,首先考慮的是用DISKMAN的恢復分區表功能,破壞的不太嚴重的話一般可以恢復的。不過,如果你對磁盤結構,分區表,I/O表,FAT表不熟悉的話,筆者還是建議專業人員來修理好些,畢竟這樣安全係數更大。
安全知識:計算機加鎖--把U盤變成打開電腦的鑰匙
在辦公室和宿舍等公共場合,你當然不喜歡讓別人輕易使用自己的電腦。要是能給電腦加一把硬件鎖就好了!如果能將U盤變成電腦的硬件鎖,在開機登錄系統時必須插上U盤,利用存儲在其中的加密信息對用戶進行認證,那無疑將進一步提高系統的安全性。沒有U盤這把「開機鑰匙」,誰也別想進入你的電腦系統。現在有不少軟件能利用U盤對系統加密,但相比之下,筆者發現了一款最富個性的軟件——Natural Login。
Natural Login不僅具有極高的安全性,還提供了自動登錄、賬戶管理、多個U盤自由綁定、應急登錄設置、個性化頭像、交互式問答登錄、鼠標「畫圖」登錄等「獨門」絕技。下面就由筆者來向大家介紹一下具體的操作方法吧。
安裝Naturallogin
Natural Login的運行環境是Windows NT/2000/XP。正常運行安裝和運行Natural Login,用戶需要具有系統管理員權限。首次運行Natural Login出現嚮導界面,在步驟一窗體中需要用戶輸入註冊號,如果沒有的話,點擊Skip按鈕跳過。在步驟二窗體中選擇相應的USB設備,在步驟三窗體中輸入當前用戶的Windows登錄密碼,在步驟四窗體中輸入密碼提示問題及答案,在步驟五窗體中可以設置應急登錄信息。首先輸入當前用戶的Windows 登錄密碼,在問題及回答區中設置三到五個問題及對應的答案信息,這樣,當忘記登錄密碼或丟失USB設備時,在登錄系統的時,在Natural Login運行界面右下角點擊「EMERGENCY LOGIN」按鈕,根據預設的問題,依次輸入答案,就能順利進入系統。
配置Natural Login
重啟系統後,Natural Login將完全控制Windows登錄界面,除了使用應急帳號外,必須插上U盤,點擊安裝時綁定的用戶名,才能進入系統。在任務欄系統托盒中右擊 Natural Login圖標,選擇「Natural Login administration」項,打開設置窗口,在Accounts面板中顯示已經和U盤綁定的用戶信息,選中某個用戶名,點擊「Edit」按鈕能夠編輯配置信息。
這裡以新建用戶為例,說明如何實現新用戶登錄信息和U盤的綁定。點擊「New...」按鈕打開添加用戶窗口,在 Account Name 中輸入在登錄界面顯示的用戶名稱,在Windows Account列表中選擇系統存在的用戶賬號,選擇「Exclude from login list」,表示在登錄界面不顯示該用戶名;點擊「Change...」按鈕,可以改變用戶頭像,Natural Login提供了很多頭像圖片。在Windows Password中輸入用戶密碼。
如果選擇「Ask for Windows password at login time」,在登錄系統時必須輸入用戶密碼,如果選擇「Auto Login」,在系統登錄時,插上U盤就能自動登錄。點擊「*Add...」按鈕,為該用戶選擇對應的USB設備。事實上,Natural Login的安全性能是很高的,即使設置了自動登錄,仍可以進一步加強安全性。
在Associated Keys列表中選中為該用戶綁定的USB設備名,點擊「Additional Security ...」按鈕,打開附加安全設置窗口,在其中點擊「New...」按鈕,在打開的窗口的Scheme Type列表中如果選擇「Question && Answer」,在下面輸入問題和答案。
當登錄系統時,不管是否自動登錄,必須回答此處預設的問題。如果答錯,將不能進入系統。如果選擇「Graphical Password」,就會出現一個5×5點陣的圖像方框,用戶首先在Question中設定一個問題,然後用鼠標在該圖像方框點擊,「畫」出一個簡單的圖案,這樣在登錄系統時,必須在對應的問題下的5×5點陣的圖像方框中畫出相同的圖案,方能進入系統。以此類推,可以設置多個這樣的附加安全項目。這樣,即使「入侵者」拿到U盤也無法進入系統。
在主窗口的Keys面板中顯示和不同用戶綁定的USB設備,可以建立新的USB設備信息,或者編輯存在USB設備信息。USB設備信息由設備名和實際的驅動器盤符組成。這樣,在Accounts面板中建立用戶和U盤綁定時,根據預設的設備名,就能方便的選擇
安全知識:系統安全:WindowsXP八種安全模式揭密
經常使用電腦的人可能都聽說過,當電腦出了故障時,Windows會提供一個名為「安全模式」的平台,在這裡用戶能解決很多問題--不管是硬件(驅動)還是軟件的。然而你會使用這個安全模式麼?今天我們就來帶您認識一下它的真面目。
初識安全模式
要進入安全模式,只要在啟動時不停地按F8,就會出現選項菜單,再用鍵盤上的上下光標鍵進行選擇即可進入不同的啟動模式。選項菜單包括了以下幾個:
1.安全模式
只使用基本文件和驅動程序。如鼠標(USB串行鼠標除外)、監視器、鍵盤、硬盤、基本視頻、默認系統服務等,但無網絡連接。
如果採用安全模式也不能成功啟動計算機,則可能需要使用恢復控制台功能來修復系統。
2.帶網絡連接的安全模式
在普通安全模式的基礎上增加了網絡連接。但有些網絡程序可能無法正常運行,如MSN等,還有很多自啟動的應用程序不會自動加載,如防火牆、殺毒軟件等。所以在這種模式下一定不要忘記手動加載,否則惡意程序等可能會入侵在你修覆電腦的過程中。
3.帶命令行提示符的安全模式
只使用基本的文件和驅動程序來啟動,在登錄之後,屏幕上顯示命令提示符,而非Windows圖形界面。
說明:在這種模式下,如果你不小心關閉了命令提示符窗口,屏幕會全黑。可按下組合鍵Ctrl+Alt+Del,調出「任務管理器」,單擊「新任務」,再在彈出對話框的「運行」後輸入「C:\WINDOWS\explorer.exe」,可馬上啟動Windows XP的圖形界面,與上述三種安全模式下的界面完全相同。如果輸入「c:\windows\system32\cmd」也能再次打開命令提示符窗口。事實上,在其它的安全模式甚至正常啟動時也可通過這種方法來啟動命令提示符窗口。
4.啟用啟動日誌
以普通的安全模式啟動,同時將由系統加載(或沒有加載)的所有驅動程序和服務記錄到一個文本文件中。該文件稱為 ntbtlog.txt,它位於 %windir% (默認為c:\windows\)目錄中。啟動日誌對於確定系統啟動問題的準確原因很有用。
5.啟用VGA模式
利用基本VGA驅動程序啟動。當安裝了使Windows不能正常啟動的新視頻卡驅動程序時,這種模式十分有用。事實上,不管以哪種形式的安全模式啟動,它總是使用基本的視頻驅動程序。因此,在這些模式下,屏幕的分辨率為640×480且不能改動。但可重新安裝驅動程序。
6.最後一次正確的配置
使用Windows上一次關閉時所保存的註冊表信息和驅動程序來啟動 。最後一次成功啟動以來所作的任何更改將丟失。因此一般只在配置不對(主要是軟件配置)的情況下,才使用最後一次正確的配置。但是它不能解決由於驅動程序或文件被損壞或丟失所導致的問題。
7.目錄服務恢復模式
這是針對服務器操作系統的,並只用於恢復域控制器上的SYSVOL目錄和Active Directory目錄服務。
8.調試模式
啟動時通過串行電纜將調試信息發送到另一台計算機。
如果正在或已經使用遠程安裝服務在您的計算機上安裝 Windows,則您可以看到與使用遠程安裝服務還原或恢復系統相關的附加選項。
現實應用
1.筆者過去用的是一款舊顯示器,又是初學者,初學者最愛干的是什麼,換點牆紙,設一下分辨率也覺得很有成就感,沒想到誤將分辨率和刷新率調得太高,下次啟動時屏幕花屏,害得的重新安裝了操作系統才算了事。
現在想起來那時也真的傻瓜可愛,只要將其重啟到安全模式(前四種模式都行)下,刪除顯卡驅動程序,再重啟電腦即可,重啟(正常啟動)時,系統會自動掃瞄顯卡並安裝驅動程序,屏幕即可恢復正常顯示。
還有些問題也可用這種方法來處理,比如Windows XP會自動識別硬件並安裝驅動程序,但有時總是老眼昏花,而且在設備管理器下不會顯示出錯信息。但就是工作不正常,如上不了網(網卡驅動有錯)、屏幕顯示不對(顯卡驅動有錯)等,也可在安全模式重新安裝驅動程序。
2.揪出惡意的自啟動程序或服務
如果電腦出現一些莫名其妙的錯誤,比如上不了網,按常規思路又查不出問題,可啟動到帶網絡連接的安全模式下看看,如果在這裡能上,則說明是某些自啟動程序或服務影響了網絡的正常連接。
可在帶網絡連接的安全模式下,用帶重定向的命令提示符工具TaskList >d:\Anquan.txt將當時的進程記錄到D:盤根目錄下的文本文件 Anquan.txt中。接著,以正常的方式啟動電腦,將Anquan.txt中記錄到的進程與此時的進程進行比較,你會發現此時的進程要多得多,請逐個結束多出來的進程,並檢查網絡連接是否正常。如果結束到某一進程時網絡連接正常了,則說明就是剛結束的進程就是罪魁禍首。查出後,可刪除與進程相關的可執行文件。但還要注意的是,由於它是自動運行的,強行刪除後,可能會引起啟動時報「找不到某文件」的錯誤,還得將其與自啟動有關的設置全部清除,包括「系統配置實用程序」的「啟動」、「Win.ini」下的內容、註冊表下的內容、啟動腳本下的內容、「開始」菜單「啟動」下的內容等。
3.調整分區
有一次,筆者帶著本本兒出差,途中想處理一下下車即用的報表文件,可本本兒偏不爭氣,啟動時報分區錯誤。天啊,出門在外的,又沒帶任何工具軟件,好在天無絕人之路,還能啟動到安全模式下——有法了,命令行工具Diskpart能勝任分區魔術師的一切工作(可能還少有朋友聽說吧)。Diskpart功能非常強大,它工作於一個集成的環境,輸入Diskpart後,顯示圖1所示的專用提示符即Diskpart>(注意:這不是一個路徑),在這一環境下可輸入很多與之相關的同時也是它的專用子命令。下面就來演示分區的擴容功能。說明在先:以下的操作是在台式機上記錄下來的。
①啟動到帶命令提示符的安全模式下,輸入命令Diskpart。再輸入list partition 顯示一下分區,顯然,其中有兩個主分區、兩個擴展分區。
②輸入「Select Parttition 3」使第3分區(5004MB的那個),使該分區具有焦點屬性。再輸入「Delete Partition」即可刪除該分區。請將圖3第1、2兩個「List partition」命令後的值進行比較,不難看出,原分區3確實已被刪除了。
③輸入「Select partition 1」使其具有焦點屬性,再輸入「Extend」,剛才被刪除分區所空出來的末分配空間就能自動添加到第1分區中去。
為分區擴容,這可是分區魔術師的專利,「diskpart」也能實現,看來,Windows server 2003不支持分區魔術師是有道理的。再輸入「List partition」可觀察到第1個分區的容量變化情況。
說明:將帶有焦點的分區擴展為最鄰近的未分配空間時。對於普通分區,未分配的空間必須在同一磁盤上,並且必須接著帶有焦點的分區。
如果要被擴容的分區是NTFS格式,擴容後不會丟失任何數據。如果是非 NTFS 的文件系統格式,此命令就會失敗,但不會對分區作任何更改也不會破壞數據。不能擴展當前系統分區或啟動分區,也不能對包含頁面文件的分區進行擴容。從圖中可看出,我的電腦中有兩個主分區,分區5才是活動分區。不然,不能對分區1進行擴容操作。
語法:extend
參數說明: size=n :添加到當前分區的空間大小 (MB)。如果不指定大小,磁盤就擴展為佔用所有最鄰近的未分配空間。
④不管對硬盤分區做了什麼樣的改動,包括創建、刪除、擴容等,都用不著重新啟動電腦即可生效(這是分區魔術師不能做到的),但在「我的電腦」卻看不到這些分區,這是為什麼呢,原來,還沒為其指定驅動器號(也就是盤符),怎樣指定盤符呢?下面以為第一個分區指定盤符為例進行說明。
使第1個分區具有焦點屬性,再輸入命令「Assign」,Diskpart就會自動為其分配一個。當然也可用命令「AssignLetter=X」來手動指定,手動指定時,不能與已存在的盤符如C等相同。經過這樣的處理後,就能在「我的電腦」下查看到這些分區了。
⑤將分區5設為活動分區,先用Select Parttition 5使其具有焦點屬性再用Active激活即可。最後輸入Exit,退出Diskpart集成環境,讓電腦自動重啟。
說明:如果用慣了DiskPart,你就會覺得它的設計很符合人們的思維習慣,一般是先指定焦點,再進行操作,操作過程中還可隨顯示分區狀態以便掌握進度。輸入Help可查看到所有的子命令,輸入有錯時,它還會自動列出子命令列表及簡要說明,將你引導到正路上來。另外,安裝Windows 2003後,大家最熟悉的分區魔術師(非服務器版)不能正常運行,使用Diskpart確實是一個不錯的選擇。
如前所述,在Diskpart下進行任何操作前都必須指定焦點,即指明對哪一對象進行操作,這一方面使的我的操作邏輯清楚,但另一方面,如果對誤指定了焦點又執行了破壞性的命令,如刪除分區等,會造成無可挽回的損失。所以,請隨時用List命令查看各分區狀態,焦點分區前有一個星號(*)標誌。
此外,你還可以借助安全模式來完成病毒的清除工作。比如有的殺毒軟件能報告病毒但卻不能清除甚至隔離、刪除,遇到這種情況,可啟動到安全模式下嘗試刪除這些病毒文件。當然,這裡我們也只是介紹了一些比較常見的安全模式用途,算是拋磚引玉吧,希望各位能夠在實際的電腦使用中,逐步體驗其更多的便捷之處。
安全知識:系統安全:WindowsXP八種安全模式揭密
經常使用電腦的人可能都聽說過,當電腦出了故障時,Windows會提供一個名為「安全模式」的平台,在這裡用戶能解決很多問題--不管是硬件(驅動)還是軟件的。然而你會使用這個安全模式麼?今天我們就來帶您認識一下它的真面目。
初識安全模式
要進入安全模式,只要在啟動時不停地按F8,就會出現選項菜單,再用鍵盤上的上下光標鍵進行選擇即可進入不同的啟動模式。選項菜單包括了以下幾個:
1.安全模式
只使用基本文件和驅動程序。如鼠標(USB串行鼠標除外)、監視器、鍵盤、硬盤、基本視頻、默認系統服務等,但無網絡連接。
如果採用安全模式也不能成功啟動計算機,則可能需要使用恢復控制台功能來修復系統。
2.帶網絡連接的安全模式
在普通安全模式的基礎上增加了網絡連接。但有些網絡程序可能無法正常運行,如MSN等,還有很多自啟動的應用程序不會自動加載,如防火牆、殺毒軟件等。所以在這種模式下一定不要忘記手動加載,否則惡意程序等可能會入侵在你修覆電腦的過程中。
3.帶命令行提示符的安全模式
只使用基本的文件和驅動程序來啟動,在登錄之後,屏幕上顯示命令提示符,而非Windows圖形界面。
說明:在這種模式下,如果你不小心關閉了命令提示符窗口,屏幕會全黑。可按下組合鍵Ctrl+Alt+Del,調出「任務管理器」,單擊「新任務」,再在彈出對話框的「運行」後輸入「C:\WINDOWS\explorer.exe」,可馬上啟動Windows XP的圖形界面,與上述三種安全模式下的界面完全相同。如果輸入「c:\windows\system32\cmd」也能再次打開命令提示符窗口。事實上,在其它的安全模式甚至正常啟動時也可通過這種方法來啟動命令提示符窗口。
4.啟用啟動日誌
以普通的安全模式啟動,同時將由系統加載(或沒有加載)的所有驅動程序和服務記錄到一個文本文件中。該文件稱為 ntbtlog.txt,它位於 %windir% (默認為c:\windows\)目錄中。啟動日誌對於確定系統啟動問題的準確原因很有用。
5.啟用VGA模式
利用基本VGA驅動程序啟動。當安裝了使Windows不能正常啟動的新視頻卡驅動程序時,這種模式十分有用。事實上,不管以哪種形式的安全模式啟動,它總是使用基本的視頻驅動程序。因此,在這些模式下,屏幕的分辨率為640×480且不能改動。但可重新安裝驅動程序。
6.最後一次正確的配置
使用Windows上一次關閉時所保存的註冊表信息和驅動程序來啟動 。最後一次成功啟動以來所作的任何更改將丟失。因此一般只在配置不對(主要是軟件配置)的情況下,才使用最後一次正確的配置。但是它不能解決由於驅動程序或文件被損壞或丟失所導致的問題。
7.目錄服務恢復模式
這是針對服務器操作系統的,並只用於恢復域控制器上的SYSVOL目錄和Active Directory目錄服務。
8.調試模式
啟動時通過串行電纜將調試信息發送到另一台計算機。
如果正在或已經使用遠程安裝服務在您的計算機上安裝 Windows,則您可以看到與使用遠程安裝服務還原或恢復系統相關的附加選項。
現實應用
1.筆者過去用的是一款舊顯示器,又是初學者,初學者最愛干的是什麼,換點牆紙,設一下分辨率也覺得很有成就感,沒想到誤將分辨率和刷新率調得太高,下次啟動時屏幕花屏,害得的重新安裝了操作系統才算了事。
現在想起來那時也真的傻瓜可愛,只要將其重啟到安全模式(前四種模式都行)下,刪除顯卡驅動程序,再重啟電腦即可,重啟(正常啟動)時,系統會自動掃瞄顯卡並安裝驅動程序,屏幕即可恢復正常顯示。
還有些問題也可用這種方法來處理,比如Windows XP會自動識別硬件並安裝驅動程序,但有時總是老眼昏花,而且在設備管理器下不會顯示出錯信息。但就是工作不正常,如上不了網(網卡驅動有錯)、屏幕顯示不對(顯卡驅動有錯)等,也可在安全模式重新安裝驅動程序。
2.揪出惡意的自啟動程序或服務
如果電腦出現一些莫名其妙的錯誤,比如上不了網,按常規思路又查不出問題,可啟動到帶網絡連接的安全模式下看看,如果在這裡能上,則說明是某些自啟動程序或服務影響了網絡的正常連接。
可在帶網絡連接的安全模式下,用帶重定向的命令提示符工具TaskList >d:\Anquan.txt將當時的進程記錄到D:盤根目錄下的文本文件 Anquan.txt中。接著,以正常的方式啟動電腦,將Anquan.txt中記錄到的進程與此時的進程進行比較,你會發現此時的進程要多得多,請逐個結束多出來的進程,並檢查網絡連接是否正常。如果結束到某一進程時網絡連接正常了,則說明就是剛結束的進程就是罪魁禍首。查出後,可刪除與進程相關的可執行文件。但還要注意的是,由於它是自動運行的,強行刪除後,可能會引起啟動時報「找不到某文件」的錯誤,還得將其與自啟動有關的設置全部清除,包括「系統配置實用程序」的「啟動」、「Win.ini」下的內容、註冊表下的內容、啟動腳本下的內容、「開始」菜單「啟動」下的內容等。
3.調整分區
有一次,筆者帶著本本兒出差,途中想處理一下下車即用的報表文件,可本本兒偏不爭氣,啟動時報分區錯誤。天啊,出門在外的,又沒帶任何工具軟件,好在天無絕人之路,還能啟動到安全模式下——有法了,命令行工具Diskpart能勝任分區魔術師的一切工作(可能還少有朋友聽說吧)。Diskpart功能非常強大,它工作於一個集成的環境,輸入Diskpart後,顯示圖1所示的專用提示符即Diskpart>(注意:這不是一個路徑),在這一環境下可輸入很多與之相關的同時也是它的專用子命令。下面就來演示分區的擴容功能。說明在先:以下的操作是在台式機上記錄下來的。
①啟動到帶命令提示符的安全模式下,輸入命令Diskpart。再輸入list partition 顯示一下分區,顯然,其中有兩個主分區、兩個擴展分區。
②輸入「Select Parttition 3」使第3分區(5004MB的那個),使該分區具有焦點屬性。再輸入「Delete Partition」即可刪除該分區。請將圖3第1、2兩個「List partition」命令後的值進行比較,不難看出,原分區3確實已被刪除了。
③輸入「Select partition 1」使其具有焦點屬性,再輸入「Extend」,剛才被刪除分區所空出來的末分配空間就能自動添加到第1分區中去。
為分區擴容,這可是分區魔術師的專利,「diskpart」也能實現,看來,Windows server 2003不支持分區魔術師是有道理的。再輸入「List partition」可觀察到第1個分區的容量變化情況。
說明:將帶有焦點的分區擴展為最鄰近的未分配空間時。對於普通分區,未分配的空間必須在同一磁盤上,並且必須接著帶有焦點的分區。
如果要被擴容的分區是NTFS格式,擴容後不會丟失任何數據。如果是非 NTFS 的文件系統格式,此命令就會失敗,但不會對分區作任何更改也不會破壞數據。不能擴展當前系統分區或啟動分區,也不能對包含頁面文件的分區進行擴容。從圖中可看出,我的電腦中有兩個主分區,分區5才是活動分區。不然,不能對分區1進行擴容操作。
語法:extend
參數說明: size=n :添加到當前分區的空間大小 (MB)。如果不指定大小,磁盤就擴展為佔用所有最鄰近的未分配空間。
④不管對硬盤分區做了什麼樣的改動,包括創建、刪除、擴容等,都用不著重新啟動電腦即可生效(這是分區魔術師不能做到的),但在「我的電腦」卻看不到這些分區,這是為什麼呢,原來,還沒為其指定驅動器號(也就是盤符),怎樣指定盤符呢?下面以為第一個分區指定盤符為例進行說明。
使第1個分區具有焦點屬性,再輸入命令「Assign」,Diskpart就會自動為其分配一個。當然也可用命令「AssignLetter=X」來手動指定,手動指定時,不能與已存在的盤符如C等相同。經過這樣的處理後,就能在「我的電腦」下查看到這些分區了。
⑤將分區5設為活動分區,先用Select Parttition 5使其具有焦點屬性再用Active激活即可。最後輸入Exit,退出Diskpart集成環境,讓電腦自動重啟。
說明:如果用慣了DiskPart,你就會覺得它的設計很符合人們的思維習慣,一般是先指定焦點,再進行操作,操作過程中還可隨顯示分區狀態以便掌握進度。輸入Help可查看到所有的子命令,輸入有錯時,它還會自動列出子命令列表及簡要說明,將你引導到正路上來。另外,安裝Windows 2003後,大家最熟悉的分區魔術師(非服務器版)不能正常運行,使用Diskpart確實是一個不錯的選擇。
如前所述,在Diskpart下進行任何操作前都必須指定焦點,即指明對哪一對象進行操作,這一方面使的我的操作邏輯清楚,但另一方面,如果對誤指定了焦點又執行了破壞性的命令,如刪除分區等,會造成無可挽回的損失。所以,請隨時用List命令查看各分區狀態,焦點分區前有一個星號(*)標誌。
此外,你還可以借助安全模式來完成病毒的清除工作。比如有的殺毒軟件能報告病毒但卻不能清除甚至隔離、刪除,遇到這種情況,可啟動到安全模式下嘗試刪除這些病毒文件。當然,這裡我們也只是介紹了一些比較常見的安全模式用途,算是拋磚引玉吧,希望各位能夠在實際的電腦使用中,逐步體驗其更多的便捷之處。
網絡安全知識:教你如何手工清除QQ廣告彈出木馬
具體的不知道從哪天起,我的Maxthon瀏覽器好像不能攔截一些網站的廣告了,屏幕的右下角也不時的出現如QQ廣告一樣的東西,一開始以為是網站和QQ的廣告。但越用越不對勁,仔細一看,右下角的根本就不是QQ的廣告,出來的整個廣告就是一個鏈接,不像QQ廣告外面還有一個框,鼠標放在上面是不會變成手形的,而這個廣告,無論鼠標放在什麼地方都是手形的。我開始懷疑我中招了,將殺毒軟件升級到最新也不能查殺,打開瀏覽器,上網搜索,發現也有朋友中了這種木馬,但該網友提供的方法並不能刪除木馬,無奈之下只好自己「動手」了,以下就是我的整個手工清除木馬的過程,寫出來與大家分享。
1、常規操作
打開任務管理器,查看進程,並沒有發現什麼不良進程。
2、深入挖掘
運行Regedit,依次展開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然加載的是一個Dll文件,而這個文件位於C:\ WINDOWS\Downloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬文件就行了,但到了C:\WINDOWS\ Downloaded Program Files目錄一看,發現這些文件根本看不到(開啟了顯示隱藏文件項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視註冊表,且文件隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動菜單出現)。
在第三步之前,我曾嘗試直接用第四步的方法刪除木馬文件,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份文件。
3、清除木馬備份文件
打開「我的電腦」進入C:\Windows目錄,發現一個可疑目錄Backup,進去一看,果然啟動項加載的Dll文件也在裡面,但啟動項加載的卻不是這個目錄中的文件,很顯然這個目錄就是木馬的備份,先刪除這個備份目錄再說,但剛剛刪除,大概一兩秒的時間這個目錄又被重新建立。這個木馬還真狡猾,竟然在安全模式還能自動加載且監視備份文件,一旦備份文件被刪除,馬上又會建立。正所謂「以彼之道還施彼身」,它能監視且能自動建立備份目錄,我如果能先將目錄刪除,然後搶在它的前面建立目錄不就行了嗎?因為Windows是不允許同一目錄下有兩個文件或目錄同名的。但從備份目錄被刪除到被重新建立中間的間隔太短了,手工肯定是不行的,那麼就用Dos時代的批處理吧!先建立如下的批處理文件,命名為Kill.bat,雙斜槓之後是註釋,實際操作時無需輸入。
Move c:\windows\backup c:\windows\bak //將Backup目錄重命名為Bak
Md c:\windows\backup //在C:\windows下建立Backup目錄
這時再打開「我的電腦」,依次進入C:\windows目錄,將Bak目錄刪除,即完成了木馬備份文件的刪除。
4、清除木馬文件
重新建立一個批處理文件,命名為Kill2.bat,內容如下。
cd c:\ //將當前路徑改為C:盤的根目錄
cd C:\WINDOWS\Downloaded Program Files //將當前路徑改為C:\WINDOWS\Downloaded Program Files
move _IS_0518 c:\bak//將當前目錄下的_IS_0518目錄移動到C:根目錄下並重命名為bak
打開「我的電腦」,進入C:\,刪除Bak目錄,再進入C:\windows目錄,刪除Backup目錄,即完成了木馬文件的清除。
5、清理註冊表
運行Regedit,分別將下面所列的鍵刪除。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32
HKEY_CURRENT_USER/Software/advapi32
至此,Advapi32木馬(因為在網上也沒查到此木馬的名字,所以就用它的自啟動項鍵名來代替了)手工清理完畢。
註:
1.第三步和第四步順序千萬不能對調,因為只有先刪除備份文件,再刪除木馬文件,這時因為木馬文件沒有了,備份文件也沒有了,所以木馬也就沒辦法重新建立文件了。
2.以前也在報刊上看到過手工清除木馬的例子,但大部分都是一些利用進程查看工具結束進程來實現的,由於此木馬進程偽裝隱蔽,筆者曾用IceSword 查看,雖能初步判斷木馬隱藏在Svchost.exe進程中,但由於Windows XP中Svchost.exe進程比較多,所以不好判斷其具體的隱藏位置,結束進程的方法也就不好實現了,反而用本文所提的方法就能輕鬆將木馬剿滅。
3.本方法在Windows XP Pro + SP2下測試通過。
安全知識:打響數據庫保衛戰 建一面「銅牆鐵壁」
數據庫對於一個網站來說意味著什麼?可能有很多站長會說只是一個記錄數據的工具。這種說法固然沒錯,但是卻遺漏了重要的一點,數據庫也是一個網站安全的中心,一旦數據庫被黑客得到,那麼輕則得到網站數據和用戶隱私信息,重則滲透網站,影響整個服務器的安全。正因為很多站長對數據庫的安全意識不夠,才導致很多安全問題的發生。本文將讓大家瞭解數據庫對一個網站的重要性,並為數據庫建造一面「銅牆鐵壁」。
一、數據庫的獲取
數據庫對網站重要性不言而喻,那麼黑客是通過什麼手段得到網站數據庫的呢?
1.默認的數據庫路徑
很多站長建站或論壇使用的都是現成的整站程序,這就造成了一個很大的安全隱患,即默認的數據庫的路徑。雖然在這些程序的說明文檔中都提示修改數據庫的默認路徑,但是仍有些安全意識不高的站長不屑於修改或者不會修改。這樣當黑客在該網站的地址後輸入默認數據庫的路徑,就可以輕易下載到數據庫。
2.暴庫顯示路徑
什麼叫「暴庫」,簡單得說就是構造特殊地址使網站程序運行出錯,從出錯的信息中得到數據庫的路徑。暴庫並不是一門十分高深的技術,但是卻可以很快得找到數據庫路徑,而且成功率很高。要想進行暴庫,首先需要對IE進行設置,運行IE,點擊「工具」菜單→「Internet選項」,切換到「高級」標籤,將「顯示友好HTTP錯誤信息」前面的勾去掉,然後保存,這樣做是讓瀏覽器返回真實的錯誤信息,而不是類似505錯誤,405錯誤等經過處理後的錯誤信息。找到一個存在暴庫漏洞的程序,例如較早版本的「動力文章系統」。打開「「動力文章系統」的任意頁面,在IE地址欄中將該頁面地址出現的最後一個「/」替換為「%5c」,然後回車,如果暴庫漏洞存在,那麼數據庫路徑將會馬上顯示出來。
3.防下載設置不夠嚴密
排除程序的原因,數據庫被下載很大一部分的原因是人為因素。有些站長已經認識到數據庫的重要性,雖然沒有修改默認的路徑,但是將數據庫默認的後綴名「mdb」改為了「asp」,這樣即使別人知道了數據庫的路徑,也無法在瀏覽器中進行下載,而是直接在頁面中顯示數據庫的內容,當然都是一些亂碼。不過我們雖然無法在瀏覽器中下載,卻可以借用專用的下載軟件來實現數據庫的下載,或者將頁面中出現的所有內容複製到一個文本文檔中,然後將這個文檔的後綴名改為「mdb」。
還有一種情況就是站長在數據庫的文件名中加入了「#」符號,例如原來的數據庫名為123.mdb,加入「#」號後變成「#123.mdb」,這樣當我們在地址欄中直接輸入「http://www.***.com/#123.mdb」,是無法下載數據庫的,而是顯示「無法找到網頁」。這是因為瀏覽器的編碼格式會默認將「#」號變為「%23」,這樣就成了另外一個網址,當然不可能下載到數據庫。那麼我們反過來將「%23」替換為「#」,填入到網址中,數據庫不就可以正確下載了嗎?
二、破解數據庫中的管理員賬戶信息
網絡安全:加強網絡安全 打一場QQ攻擊的反擊戰
讓我們先來剖析一下由QQ產生的兩種攻擊形式:
洩漏的網絡信息導致攻擊
QQ也是通過互聯網傳播信息的,所以它也必須遵循網絡的數據包傳輸方式,既然如此,它的信息包文件也必定包括了本機的網絡信息,如此一來,通過QQ就可以獲得對方的詳細IP地址,騰訊開發的自動顯示對方IP的「IP版QQ」就是使用頻率較高的。如圖1所示,這就是一個「IP版QQ」所顯示的信息,它不僅可以有限顯示對方的IP地址;還可以追加出對方所在的地域位置。黑客通過QQ偵測到對方的詳細IP地址;端口號後,再利用這些信息實施進一步的攻擊。如利用黑客軟件攻擊或者堵塞掉xxx.xxx.xxx.xxx主機地址上的xxxx QQ端口,使QQ無法上線,或者消息不能發送等等。
提示:黑客們一般通過觀察對方QQ所使用的端口號來判斷對方是否在主機上使用QQ。因為QQ默認使用的端口號為「4000」,如果是4001、4002 等端口,說明是在主機上同時使用幾個QQ,如果對方QQ的端口號離「4000」較遠,說明對方可能是通過這台電腦代理服務器上網。
知道了由QQ洩漏網絡信息產生攻擊的道理,就可以對症下藥了。這同樣是「IP版QQ」所顯示出來的信息,但它絲毫沒有洩漏對方的網絡信息,這是怎麼回事呢?這正HTTP代理上網後的效果。
如何在QQ裡,啟用HTTP代理呢?單擊QQ軟件主界面下面的「系統菜單」按鈕(軟件最下面,灰色有「QQ2000」字樣的按鈕),選擇[系統參數]→ [QQ參數設置]→[網絡設置]項,勾選「有效HTTP1.1代理設置」,然後輸入代理服務器地址、端口,以及其他一些相關信息就可以了。
使用HTTP代理可以有效地防止QQ洩漏本機的網絡信息,且HTTP的代理服務器網上也有很多免費提供。如果你實在找不到合適代理服務器,可以直接使用騰訊公司提供的HTTP代理服務器。不過騰訊的代理服務器只提供給會員使用。
除了有效的代理手段,還可以使用網絡防火牆防止QQ外洩本機信息。網絡防火牆的「網絡規則」相關設置裡都可以限制本機發送的IP包頭,防止QQ的發送的信息把本機的IP外漏。但使用網絡防火牆的同時會給QQ帶來副作用。例如:使用防火牆做出了針對QQ的設置後,很可能會導致QQ消息無法發送;無法登錄 QQ等情況。
對QQ自身的信息攻擊
「壞人」可以採取「信息炸彈」的形式來攻擊QQ。所謂「信息炸彈」,就是利用QQ的及時通訊形式,發送上萬條的信息,如此以來,不但影響了正常的信息收發,信息發送量過大的情況下還會使QQ掉線。最棘手的是,普通的網絡防火牆會認為這是正常的QQ消息,不會將其攔截。
對於信息炸彈而言,沒有一個完全有效的阻止方式。我只能提供一些相對的防範方式:
1.不要輕易添加來路不明的陌生人,因為他們很可能是不懷好意而來。不要在QQ上惹是生非,以免惹禍上身。
2.在騰訊新推出的版本裡面採取了一定安全措施阻止信息炸彈,經試驗,在新版QQ裡如果在規定時間裡連續發信數量過大,會被系統拒絕。所以要防止信息炸彈最好是常常升級QQ版本。最後還應該設置「拒絕陌生人消息」。方法是:按前面所介紹的步驟,打開「QQ參數設置」窗口,選擇「參數設置」項,勾選「拒絕陌生人消息」就可以了。
安全攻略:經驗共享-企業內部網絡計算機安全技術
幾乎所有企業對於網絡安全的重視程度一下子提高了,紛紛採購防火牆等設備希望堵住來自Internet的不安全因素。然而,Intranet內部的攻擊和入侵卻依然猖狂。事實證明,公司內部的不安全因素遠比外部的危害更恐怖。
大多企業重視提高企業網的邊界安全,暫且不提它們在這方面的投資多少,但是大多數企業網絡的核心內網還是非常脆弱的。企業也對內部網絡實施了相應保護措施,如:安裝動輒數萬甚至數十萬的網絡防火牆、入侵檢測軟件等,並希望以此實現內網與Internet的安全隔離,然而,情況並非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅,從某種意義來講,企業耗費巨資配備的防火牆已失去意義。這種接入方式的存在,極有可能使得黑客繞過防火牆而在企業毫不知情的情況下侵入內部網絡,從而造成敏感數據洩密、傳播病毒等嚴重後果。實踐證明,很多成功防範企業網邊界安全的技術對保護企業內網卻沒有效用。於是網絡維護者開始大規模致力於增強內網的防衛能力。
下面給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防禦策略,同時也是一個提高大型企業網絡安全的策略。
1、注意內網安全與網絡邊界安全的不同
內網安全的威脅不同於網絡邊界的威脅。網絡邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制局域網絡內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別,即只需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網絡資源的權限。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此,既然不能控制合作者的網絡安全策略和活動,那麼就應該為每一個合作企業創建一個 DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網絡利用情況並記錄與該計算機對話的文件服務器。總之,要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網絡服務器
大型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務器在運行但是又不具有文件服務器作用的,關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台(例如30000台)機子,那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對服務器做效益分析評估,然後對內網的每一台網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產,並做好在內網的定位和權限限制工作。
7、建立可@@的無線訪問
審查網絡,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網絡訪問的強制性和可利用性,並提供安全的無線訪問接口。將訪問點置於邊界防火牆之外,並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的權限。許多安全技術人員執行的「內部無Internet訪問」的策略,使得員工給客戶一些非法的訪問權限,導致了內網實時跟蹤的困難。因此,須在邊界防火牆之外建立過客訪問網絡塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企業網絡的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果一個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。
10、可@@的安全決策
網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺,例如不知道 RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火牆之間的不同等等,但是他們作為公司的合作者,也是網絡的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網絡安全策略。
另外,在技術上,採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。
中國黑客聯盟 By不明
全站熱搜
留言列表
