社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 社区论坛任务 迷你宠物
  • 185516阅读
  • 60回复

网络安全专题不断更新~~

级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
隐藏在背后的阴谋 浏览器劫持的攻与防 4jpF^&y7u^  
T*IudxW  
“浏览器劫持”,通俗点说就是故意误导浏览器的行进路线的一种现象,常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等,不少用户都深受其害。那么,这类现象是如何引起的呢?用户又该如何防范应对呢?这就是本文要介绍的内容。 c nzPq\  
}/VHeHd  
  一、“攻”之解说 nTAsy0p]  
Ut+mm\7  
  1、整体认识。 TO.NCO\x  
\&H%k   
  浏览器劫持(Browser Hijack)是一种恶意程序软件,通过恶意修改用户个人电脑的浏览器默认设置,以引导用户登录被其修改的或并非用户本意要浏览的网页。大多数浏览器劫持者是在用户访问其网站时,通过修改其浏览器默认首页或搜索结果页,达到劫持网民浏览器的目的。这些载体可以直接寄生于浏览器的模块里,成为浏览器的一部分,进而直接操纵浏览器的行为。“浏览器劫持”的后果非常严重,用户只有在受到劫持后才会发现异常情况;目前,浏览器劫持已经成为Internet用户最大的威胁之一。 VxCH}&!  
)~`zjVx_  
  2、现象分析。 1 f=L8Dr  
89paR[  
  “浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”,即是说大部分浏览器劫持的发起者,都是通过一种被称为“BHO”(Browser Helper Object,浏览器辅助对象)的技术手段来植入系统。 ZZTV >:  
XP7A.I#q0  
  而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”, 由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作,这些操作都被系统视为“合法”,这就是“浏览器劫持”现象赖以存在的根源。 (; "ICk&  
so7;h$h!H  
  二、“防”之细谈 ;VuIQ*@m"  
0e7!_ /9  
^6*? a9jO>  
  这类现象确实难以防范,用户永远处于被动地位。我们只能通过一些设置与软件的应用,让这种影响减至最低。以下办法可供大家参考。 1jL?z6S  
UZ1 lI>  
  个别劫持现象的手动修正。 lwU&jo*@  
DB0xIP~i,?  
  Windows登录窗口被劫持。 /a q%l]hQ@  
% Y @3)  
  在注册表中打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支,然后将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可解决问题。 78%2#;;G  
N(9'U0z  
  在网页中单击鼠标右键,在弹出的菜单里显示网页广告。 :.dQY=6I  
#xc[)Y,W  
  在注册表中打开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支,IE浏览器中显示的附加右键菜单都在这里设置,常见的网际快车单击右键下载的信息也存放在这里,只需找到显示广告的主键条目删除即可。 Cn,jLy  
R8 m/N t2  
   rLwc=(|  
  三、总结 `# R$  
'/j`j>'!^  
  浏览器一旦被劫持,就意味这你无法决定自己的电脑里将被存放进什么资料,这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱,单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 1 发表于: 2006-08-22
怎么守住你的钱包 网上购物的安全忠告
安全知识:怎么守住你的钱包 网上购物的安全忠告 "%Jx,L\f{  
,Xn%-OT  
一.网上购物一般面临两方面的风险: Rwr0$_A  
IOA{l N6  
  1.购物网站的信用风险--即该网站是否真实经营?是否有欺骗性质?其将不能保证其交货义务的履行。 68y.yX[  
p;@PfhEz)  
  2.购物网站的经营性风险--即该网站是真实诚信经营,但该网站经营不善,随者网络泡沫一起破灭.对购物本身并无影响,但对在其购买需保修的电器等产品的售后保修服务等,将无法进行,或其承诺的积分制,购物券等将无法实行. j.z#fU  
Ev()2 80  
  二.网上购物的提醒、忠告: (~P&$$qfD  
l- X|3,  
  1.选择历史较长的网站购物,如本网4-5年前电子商务刚兴起时就创建的一批网站,经历网络泡沫后,一直健康发展下来的网站,该批网站,信用服务一般都较好,信用及服务水平普遍高于传统购物;有欺骗性的网站,一般才建立2-3个月,3-4个月到半年,不会长久.----历史越长,可信度越高. '1w<<?vX?  
78X;ZMY  
  2.选择访问量较高的网站购物,现有许多新网站,产品也较多,页面也较美观,看上去很像样,但一看他的访问量,就会发现,按其访问量,一天内可能都不会卖出一件商品,如何正常经营呢?--- 访问量越高,可信度越高,(涉及色情内容,或特殊手段除外) +q4T];<  
?*T`a oB  
  3.在自销售式的购物网站购物,一些出租柜台式的购物网站,信用一般没问题,但其自己不销售,收取入住费\广阿告费,所以一般价格较高,切且服务不能整齐化一;另一种拍卖网站,主要提供给个人销售旧货,拍卖网站一般信用到没问题,但售货的是个人,其信用风险很大,要特别谨慎. ---- 自己销售-自己负责 式的购物网站,可信度高。 +b{\v1b  
[)*fN|Hy  
  4.选择口碑好的网站购物, 信用服务好的网站,一般都会在网民心中有较好口碑,如本网在广大网友中,已形成良好印象,用我们优质的服务,博得了良好的口碑,其中不乏一些日本,韩国的网友,也向其朋友推荐本网. tly:$;K  
u4S3NLG)  
  5.选择可货到付款的网站购物,全国范围货到付款需要一定的实力规模,所以只有一定规模的正规网站才做得到,同时避免先付款的风险. .VUZ4e  
wy^>i$TC  
  6.欺骗性网站相对集中的特征: H1l' \  
`S!`=26Z!  
  A.销售手机\电器[香港货,走私货]\偷拍器材的网站,该范围也有很多信用很好的网站,不能一盖而论。 K9*K4'#R  
!XFN/-Q ,  
  B.个人购物网站,从其联系方法就可看出.列如:24小时电话,正规公司不会24小时工作的;联系电话是手机,QQ联系,正规公司不会用个人的手机作为公司电话的...,该范围也有很多信用很好的网站,不能一盖而论。 YFW+l~[#  
aA:Ky&5e  
  C.个人拍卖网站,产品多,价格特低,什么都有,正规商店是不可能什么都卖的,20元就可买劳力士手表...,在此拍卖网站受骗,网站一般都不负责,该范围也有很多信用很好的网站,不能一盖而论。 g~cWBr%>  
m:h]nm  
  D.网站很漂亮,但根本没真实的产品供应,对销售的产品不具专业知识,访问量很小,(如您向其购买,可能就是唯一上当的)如很多熟悉网络技术的个人,很快做个网站,但他们根本没有产品,更不具供货、发货能力。
[ 此贴被ヾ1.嗰rёn在2006-08-25 13:27重新编辑 ]
级别: 大掌柜
发帖
575
铜板
19287
人品值
400
贡献值
12
交易币
0
好评度
579
信誉值
1
金币
0
所在楼道
学一楼
只看该作者 2 发表于: 2006-08-23
学习一下 这些事最近很少关注 只是了解一点
2003、2004、2005、2006、2007、2008、2009.....
UeBbs.Net    我们在路上....
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 3 发表于: 2006-08-25
安全知识:经验共享---如何防御网络游戏外挂木马
安全知识:经验共享---如何防御网络游戏外挂木马  ztTpMj  
P[Qr[74 )  
目前,很多人在各绝对女神论坛中发布各种所谓的外挂程序,或者不明网站的链接,我们奉劝各位,千万不要点击。因为那很有可能会捆绑一个“键盘纪录器”。 sx/g5 ?zh  
I\[*vgjm3G  
  为了您账号的安全,请您留心一下这些隐藏在诱惑中的“黑手”。建议您下载专业杀木马软件。 \O^= Z{3y  
EqOB 0\  
  防范方法: Vbwbc5m}  
AD8~  
  1、请将IE的"INTERNET选项"的"高级"设置为"恢复默认设置"。 A\=:h  AQ  
&AoWT:Ea  
  2、不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序。 ^c=@2#^\  
OyH:  
  3、不要随便打开来历不明信件的附件。 N%^mR>.`  
$H_4Y-xOi  
  4、安装最新杀毒软件,并定时升级病毒库。 [rQ#skf  
V-jo2+Y5=  
  5、小心网吧的计算机上安装有记录键盘操作的软件,或被安装了木马。使用网吧计算机时,需先 !x,3k\M  
C5eol &  
  按ctrl,alt,del三个键,看看是否有来历不明的程序正在运行,如果有,则立即将该程序结束 (V |P6C  
D,X$66T ^  
  任务。 QJ$]~)w?H  
2)U3/TNe  
  6、网吧上网的用户,最好是在上机器前去华军软件园下载LDM木马检查工具 MM^tk{2?.  
0|HhA,u  
  (bj.onlinedown.net/soft/11555.htm),先扫描一下机器看是否有木马程序。 KKOu":b  
+[cm  
  · 针对于一些暴力破解密码的软件,破解用户的帐号密码 7C&`i}/t  
UH[ YH;3O  
  这种方法主要是通过使用一些暴力破解密码的软件,用穷举法逐个的尝试用户的帐号密码,但需要使用者有一定的电脑知识,而且破解需要很长时间。 %';n9M  
^goS? p/z  
  防范方法: z`TI<B  
1pcSfN:"1  
  1、尽量避免将游戏帐号暴露在公众论坛和其他网站。 N'^ 0:zK:  
u]zb<)'_  
  2、用户在设置密码时,尽量设置的复杂一点,最好设置为8位数以上的字母、数字和其他符号的组 ^P]: etld9  
F`Pu$>8C  
  合。 d`^@/1tO  
ysL8w"t  
  3、不要使用可轻易获得的关于您的信息作为密码。这包括生日、身份证号码、手机号码、您所居住的街道的名字等等。 (2%C% #]8  
FCI38?`%  
  4、经常更换密码,因为8位数以上的字母、数字和其他符号的组合也不是无懈可击的。 C@KYg/nYw  
AjZT- Q0L  
  5、申请密码保护,也就是设置安全码,安全码不要和密码设置的一样。如果您没有设置安全码, 4h(aTbHaQ  
(s}9N   
  那么别人一旦破解您的密码,就可以把您的密码和注册资料(除证件号码外)全部修改。 v}iJ :'  
u_mm*o~)g  
  · 木马防御全攻略 8^M5u>=t;  
Q>X ;7nt0  
  1、您的计算机是否已被装了木马?如何检测? >0512_J+  
XLM 9+L  
  1)检查注册表 /AWHG._  
Wqy8ZgSC  
  看HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows/Curren Version 和 IMVoNKW-  
:s8,i$Ex  
  HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion下,所有以"Run"开头的键值 -"(e*&TJ#  
!WbQ`]uN/#  
  名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。 H4%wq  
qHv W{0E  
  2)检查启动组 J_`.w  
%S@XY3jZY  
  木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有 TzPVO>s  
`5x,N%9{  
  木马喜欢在这里驻留的。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注 ujwI4oj"c  
6C)OO"Bc  
  册表中的位置: %d*}:295  
9N9|hy  
  HKEY_CURRENT_USER/Software/MicrosoftWindows/Current Version/ExplorerShell Folders sz}Nal$AC  
@^`-VF  
  Startup="C:windowsstart menuprogramsstartup"。要注意经常检查这两个地方哦! ]Q^oc  
A~h8 >zz*  
  3)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方。 6Q\n<&,{  
O  89BN6p  
  比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果 G|H\(3hHLZ  
L9G=+T9  
  有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加 Xst&QKU  
j8N8|\n-  
  载木马的好场所,因此也要注意这里了。当你看到变成这样: !n !~Bw  
!M}&dW2  
  Shell=Explorer.exewind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。 sba0Q[IY  
lJq %me;4m  
  4)检查C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。木马们也很可能隐藏在 kV-a'"W5  
aIkxN&  
  那里。 .]8 Jeb  
`GH6$\:  
  5)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是,则 Ph-3,cC  
~PS%^zxyn  
  说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重 R|tjvp-[}  
~~h9yvW7&  
  新安装一下了。 t6LTGWs/_o  
*6k (xL  
  6)木马启动都有一个方式,它只是在一个特定的情况下启动,所以,平时多注意一下你的端口,查 F[~qgS*;  
.llAiv  
  看一下正在运行的程序,用此来监测大部分木马应该没问题的。 C10A$=!  
mA{gj[@:x  
  2、目前已经有一些专门的清除木马的软件,在新推出天网防火墙里面捆绑有强大的木马清除功能,清除一般木马的机制原理主要是: ]%NCKOM  
3{,Mpb@  
  1)检测木马。 Qza[~6  
h j9 b Mj  
  2)找到木马启动文件,一般在注册表及与系统启动有关的文件里能找到木马文件的位置。 $k}+,tHtJO  
{>5c,L$  
  3)删除木马文件,并且删除注册表或系统启动文件中关于木马的信息。 G.c s-f  
GVFD_;j'  
  但对于一些十分狡滑的木马,这些措施是无法把它们找出来的,现在检测木马的手段无非是通过网络连接和查看系统进程,事实上,一些技术高明的木马编制者完全可以通过合理的隐藏通讯和进程使木马很难被检测到。 4?8GK  
S0kH/A  
  3、木马防范工具。 gSC8qip  
=(v/pLLK?  
  防范木马工具有很多,请您务必安装一个,以提高您的计算机的安全性。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 4 发表于: 2006-08-25
清除不明进程msser 珊瑚病毒防范技巧
清除不明进程msser 珊瑚病毒防范技巧 W5sVQ`S-  
o$2fML  
有不少帖子反映发现不明程序msser.exe,通过大家提供的信息发现它和“珊瑚虫QQ”有着密切的关系,随后经过一番实验,该问题也基本得到了解决。 R-Uj\M>  
$8X?|fV)  
  这个问题其实是“珊瑚虫QQ”里附带的“ebay易趣购物工具”引起的,安装“珊瑚虫QQ”,默认会选择安装上“ebay易趣购物工具”,而安装了“ebay易趣购物工具”,则会出现以下一系列“问题”。 4|x5-m+T  
O+(Z`,^  
  涉及的相关文件有七个,分别为: `\#Q r|GC  
cjH ~H8  
  C:\windows\temp\Install\setup.exe TS@EE&Wq  
6V!yfps)  
  %System%\appmgmt\msser.exe LP.-  
>uxak2nM-  
  %System%\cba\task.exe 5>$*#0%"}  
=OhhMAn  
  %System%\inetsrv\inet.exe +Hv%m8'0|  
qC IZW  
  %System%\dllcache\mstunint.dll ZH.l^'(W  
&Gxk~p<  
  %System%\dllcache\mstunmsr.dll vFy /  
cLJ|VD7  
  %System%\dllcache\mstuntsk.dll 33-=Z9|r  
4AUY8Pxp  
  对这些文件进行比较发现,其中: Vs m06Rj{  
-.:1nI  
  %System%\appmgmt\msser.exe和%System%\dllcache\mstunmsr.dll内容是一样的; %`%1W MO  
?T?%x(]I  
  %System%\cba\task.exe和%System%\dllcache\mstuntsk.dll内容是一样的; p5>TL!4M  
kU4Zij-O  
  %System%\inetsrv\inet.exe和%System%\dllcache\mstunint.dll也是一样的。 mrk Q20D  
hnH:G`[F  
  (同时也从它们的文件名发现这些文件之间是存在某些关联的) , lT8gQ|u  
U{{RRK|  
  C:\windows\temp\Install\setup.exe,从名字看像是安装程序吧,运行后释放其它几个文件,并建立启动项 aU5t|S6  
vk.Y2 :  
  %System%\appmgmt\msser.exe,运行后会把%System%\cba\task.exe运行起来,它和%System%\cba\task.exe都会尝试从远程计算机上下载文件,下载的可能是程序的更新吧; !0E$9Xon  
^!E;+o' t  
  %System%\inetsrv\inet.exe,运行后则会创建%System%\appmgmt\msser.exe的启动项。 '$l*FWOEal  
mqwN<:  
  通过观察还发现它们会从远程计算机(服务器吧)上读取一些信息,从临时文件中发现了download.htm和download.ini,其中有类似“select * from download where datetime='日期'”的数据库语句,可能记录的是程序的更新信息,也可能是每天都有那些信息需要下载。 R3%T}^;f  
Q8T4_p [-o  
  简单的说明就这些吧,下面说一下如何除掉它们。 m[]p IXc(  
QMHeU>  
  首先你可以看一看进程里有没有%System%\appmgmt\msser.exe和%System%\cba\task.exe的进程,如果它们不在进程里,那么就先直接找到这些文件删除掉。 %%kl R{  
CSwNsFDR%  
  删除了文件后再到注册表编辑器里删除以下两个启动项,另外还有这个位置,也是它们建立的,一起删除了吧。 Z A7u66  
@^#y23R U  
  如果要避免这个问题,大家在安装“珊瑚虫QQ”的时候选择自定义安装,把“ebay易趣购物工具”前的勾去掉不装它就行。从这个问题也可以提醒大家以后在安装一些共享软件的时候要注意先查看一下到底会安装哪些东西到计算机里面,如果自己不想要的可以选择自定义安装来去掉不装,软件安装前的授权许可协议信息也要稍微看一下(最好是仔细阅读),如果该程序会附带安装其它程序一般会在其中说明,比如像很多共享软件都会带上“很棒小秘书”,另外还有“MyIMLite”、“Desktop Media”等等,这些都是经常“困扰”大家的,哦差点忘记几个更“有名”的了,就是大家非常熟悉的“3721上网助手/网络实名”和“CNNIC中文域名程序”。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 5 发表于: 2006-08-25
智能引发病毒侵袭---防范手机病毒有招
手机也会被病毒感染,这已经在两年前就成为现实,截止到目前,主流的手机操作系统平台都已经发现病毒的踪影。权威统计表明,手机通常的更换频率大约为1至2年之间,在某些经济发达地区,更换频率会更高。由此,我们自然会产生这样的问题:我的下一部手机会被病毒光顾吗? 2-UZ|y  
ukvz#hdE  
  什么样的手机容易感染病毒 $F;$-2  
}MuXN<DDb  
  专家分析,不是所有的手机都能够感染病毒,只有那些具备相当强大的计算能力,使用比较高版本的操作系统的手机才和手机病毒有关。要想知道手机是否符合这样的条件,可以这样简单地检查一下:第一,看看手机是不是比别人的个头更大、屏幕更大;第二,手机是不是可以和电脑连接交换数据;第三,手机是不是可以执行更多的多媒体应用,比如彩信、下载游戏。 u;1#eP\;  
|M0 XLCNd_  
  手机中毒有何反应 v;jrAND  
Ff%m.A8d,4  
  手机中毒的症状有哪些?实验室研究表明,未来的手机病毒可以导致的威胁包括:修改手机操作界面;导致手机操作系统崩溃(死机);过量消耗手机电力;自动拨打电话;遥控窃听;盗取手机中的信息;作为攻击PC网络的跳板。 !>gc!8Y'o  
cidS/OH  
  病毒进入手机的途径 &Lk@Xq1  
GsE?<3  
  据分析,手机病毒进入的途径主要有下面几种:其一,接收并运行不可靠的程序,例如游戏;其二,通过PC安装的小程序;其三,未经安全确认,使用别的手机的存储卡;通过红外线、蓝牙等方式,与别的手机交换数据。
级别: 经院博士
发帖
3975
铜板
4727
人品值
1147
贡献值
565
交易币
0
好评度
3833
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 6 发表于: 2006-08-25
各个杀毒厂商都有针对手机病毒的 杀毒软件
引用

引用
想找我?如果我即不在 石家庄经济学院论坛www.uebbs.net,也不在宿舍,那,我肯定是在去的路上

引用
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 7 发表于: 2006-08-25
我的同学手机中毒1分钟给我发了N条空白短信~~~~还总给我打电话~~~~
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 8 发表于: 2006-08-25
与脚本病毒做斗争 几种常见的杀毒方法
安全知识:与脚本病毒做斗争 几种常见的杀毒方法 E2!;W8M  
>:KPvq!0  
有过网吧或者机房管理经验朋友肯定知道,如果机子中了病毒的话是很让人头疼的事情,现在的病毒大多都具有复制能力特别强,能够通过局域网传播,大量耗费系统资源等特点,一个局域网内只要有一台机子中了病毒,如果不及时的杀毒和隔离的话,其他的机子很快便会感染病毒,如何防止病毒,和快速的杀毒成了每个网管所迫切考虑的事情。 Ca?pK_Y  
3Mr)oM< Q  
  其实网吧内的常见的病毒有两种,一种是类似与CIH的病毒这种高破坏性的病毒,中了之后系统会无法启动,这种病毒的危害大,但是中毒的几率相对很少;另一中就是脚本病毒。这类病毒一味的耗费系统资源,直到系统崩溃死机,比起CIH病毒来说,它们看似很不起眼,但却做让人头疼。有没有克制脚本病毒的方法呢?笔者在实践中总结了以下几条经验。 ;y4 "wBX  
_pjpPSV6J  
  第一,装系统的时候要用光盘启动硬盘来装,光盘要保证以前用过的没有携带病毒的,硬盘一定要没有任何文件,否则残留的文件里面很可能就感染了病毒,这一点一定要毫不留情,不要为了要备份一个驱动或者一个软件不把它删除。否则你刚装完系统发现已经中了病毒,那可就后悔莫及了。 * RN*Bh|$  
q^O{LGN  
  第二,装完系统后,再装驱动之前,最好先用装个杀毒软件,杀毒软件首先要保证自己没有病毒,其实你可以把WIN98安装文件,杀毒软件等,网吧机器的驱动放在一起用EasyBoot做个启动光盘。有了这张盘,你在装其他软件和游戏之前就可以保证母盘不感染病毒了。 mbJ#-^}V  
p.8G]pS  
  第三,装好驱动后先上网把杀毒软件更新到最新,然后开着病毒防火墙,从事先准备好的机器上调用软件和游戏的安装文件来安装网吧的必备软件和常玩的游戏,一切都弄好后测试一遍游戏和软件,然后在C盘目录下建立一个ADMIN的文件夹,把专杀工具包,硬盘工具包,网络克隆工具,还有备份的注册表放到里面备用。一般样板盘做成这样就很好了,当然如果系统配置不高,为了不影响玩游戏的速度,在克隆完之后要把病毒防火墙的自启动取消。 EC?!%iO`  
tGv4 S\  
  装杀毒软件不是让它老开着防火墙,因为一来它耗费系统资源,二来平时安装着还原精灵,有病毒重启一下就好了,它主要用在以后升级游戏或者调用文件的时候把防火墙打开防止调用文件中的病毒感染系统,更何况人非圣贤,孰能无过,再谨慎的人也不会保证以后肯定不会出病毒,所以一定要为每台机子装上杀毒工具,但平时没必要启用它的保护功能。 j31 Sc3vG  
+!.=M8[  
  在网络上的人肯定都中过爱情森林,新欢乐时光等这些顽固的病毒,尤其是在局域网里,往往是所有的机子都感染病毒,每个机子能杀出几百个到上千个病毒,我曾经在一台机子上用瑞星杀出过8000多个病毒。 evu@uq  
1u)I}"{W>  
  这些病毒非常恶劣,一般在WINDOWS下是不容易杀干净的,每次杀完病毒,紧接着再杀的时候就会发现杀毒软件本身还有EXPLOR.EXE等进程依然感染着病毒,你无论怎么杀也杀干净,这样的话最好是重起到安全模式下再杀,杀毒的时候不要打开任何的窗口,因为有些病毒只要你打开窗口就会激活,它占用到内存的话就很难清除了。杀完后重起再进安全模式再杀,一般这样几次病毒就会杀干净了。如果还不行的话就要到DOS下查杀了,一般的杀毒软件都有它的DOS版本。重启动到纯DOS模式下,跳转到安装目录下运行那个程序会有个提示,不过这样查杀病毒的速度一般很慢。值得注意的是如果所有的机子都中了病毒的话,一定要把交换机关掉一台一台的杀,杀完后备份C盘,并用保护卡保护起来。 T"dWrtO  
6i{W=$ RQ  
  脚本病毒这样清除就可以了,但是对于CIH等病毒来说,除了杀完毒后还有做恢复工作,一般来说它就是破坏分区表和主引导程序,严重的话破坏BIOS。我们可以分别来对待,如果损坏的仅仅是主引导记录,可以用干净的启动软盘或光盘启动系统运行fdisk /mbr就可以了,也可以用DISKMAN,DISKGEN等小工具来重建主引导记录。如果损坏的是分区表,首先考虑的是用DISKMAN的恢复分区表功能,破坏的不太严重的话一般可以恢复的。不过,如果你对磁盘结构,分区表,I/O表,FAT表不熟悉的话,笔者还是建议专业人员来修理好些,毕竟这样安全系数更大。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 9 发表于: 2006-08-25
计算机加锁--把U盘变成打开电脑的钥匙
安全知识:计算机加锁--把U盘变成打开电脑的钥匙 _oe2 pL&  
GJ{]}fl  
在办公室和宿舍等公共场合,你当然不喜欢让别人轻易使用自己的电脑。要是能给电脑加一把硬件锁就好了!如果能将U盘变成电脑的硬件锁,在开机登录系统时必须插上U盘,利用存储在其中的加密信息对用户进行认证,那无疑将进一步提高系统的安全性。没有U盘这把“开机钥匙”,谁也别想进入你的电脑系统。现在有不少软件能利用U盘对系统加密,但相比之下,笔者发现了一款最富个性的软件——Natural Login。 4*F+-fu  
3 T& m  
  Natural Login不仅具有极高的安全性,还提供了自动登录、账户管理、多个U盘自由绑定、应急登录设置、个性化头像、交互式问答登录、鼠标“画图”登录等“独门”绝技。下面就由笔者来向大家介绍一下具体的操作方法吧。 Jw"'ZW#W  
)CihqsA2  
安装Naturallogin z4_>6sf{  
tw\/1wa.  
  Natural Login的运行环境是Windows NT/2000/XP。正常运行安装和运行Natural Login,用户需要具有系统管理员权限。首次运行Natural Login出现向导界面,在步骤一窗体中需要用户输入注册号,如果没有的话,点击Skip按钮跳过。在步骤二窗体中选择相应的USB设备,在步骤三窗体中输入当前用户的Windows登录密码,在步骤四窗体中输入密码提示问题及答案,在步骤五窗体中可以设置应急登录信息。首先输入当前用户的Windows登录密码,在问题及回答区中设置三到五个问题及对应的答案信息,这样,当忘记登录密码或丢失USB设备时,在登录系统的时,在Natural Login运行界面右下角点击“EMERGENCY LOGIN”按钮,根据预设的问题,依次输入答案,就能顺利进入系统。 "d%":F(  
txTDuS  
配置Natural Login R &T(S  
Y 1LE.{  
  重启系统后,Natural Login将完全控制Windows登录界面,除了使用应急帐号外,必须插上U盘,点击安装时绑定的用户名,才能进入系统。在任务栏系统托盒中右击Natural Login图标,选择“Natural Login administration”项,打开设置窗口,在Accounts面板中显示已经和U盘绑定的用户信息,选中某个用户名,点击“Edit”按钮能够编辑配置信息。 v3.JG]zLpP  
OC"W=[Myl  
  这里以新建用户为例,说明如何实现新用户登录信息和U盘的绑定。点击“New...”按钮打开添加用户窗口,在Account Name 中输入在登录界面显示的用户名称,在Windows Account列表中选择系统存在的用户账号,选择“Exclude from login list”,表示在登录界面不显示该用户名;点击“Change...”按钮,可以改变用户头像,Natural Login提供了很多头像图片。在Windows Password中输入用户密码。 d}ue/hdw  
f u\M2"e  
  如果选择“Ask for Windows password at login time”,在登录系统时必须输入用户密码,如果选择“Auto Login”,在系统登录时,插上U盘就能自动登录。点击“*Add...”按钮,为该用户选择对应的USB设备。事实上,Natural Login的安全性能是很高的,即使设置了自动登录,仍可以进一步加强安全性。 el-%#0  
e @=Bl-  
  在Associated Keys列表中选中为该用户绑定的USB设备名,点击“Additional Security ...”按钮,打开附加安全设置窗口,在其中点击“New...”按钮,在打开的窗口的Scheme Type列表中如果选择“Question && Answer”,在下面输入问题和答案。 '.d el7s  
gQ,PG  
  当登录系统时,不管是否自动登录,必须回答此处预设的问题。如果答错,将不能进入系统。如果选择“Graphical Password”,就会出现一个5×5点阵的图像方框,用户首先在Question中设定一个问题,然后用鼠标在该图像方框点击,“画”出一个简单的图案,这样在登录系统时,必须在对应的问题下的5×5点阵的图像方框中画出相同的图案,方能进入系统。以此类推,可以设置多个这样的附加安全项目。这样,即使“入侵者”拿到U盘也无法进入系统。 1_XdL?h#o  
I9k o*f  
  在主窗口的Keys面板中显示和不同用户绑定的USB设备,可以建立新的USB设备信息,或者编辑存在USB设备信息。USB设备信息由设备名和实际的驱动器盘符组成。这样,在Accounts面板中建立用户和U盘绑定时,根据预设的设备名,就能方便的选择
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 10 发表于: 2006-08-26
系统安全:WindowsXP八种安全模式揭密
安全知识:系统安全:WindowsXP八种安全模式揭密 $6BXoh!  
a|lcOU  
经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为“安全模式”的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的。然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。   g2w0#-  
BEifUgCh  
  初识安全模式     N\<M4 fn  
co@Q   
  要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:     ? vk;b!  
I:bi8D6  
  1.安全模式      K`PF|=z  
kCLz@9>FQ  
  只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。      A$[@AY$MI  
h]vA%VuE'E  
  如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。    nOp\43no  
rjx6Ad/\  
  2.带网络连接的安全模式     ZIkXy*<(  
^'6!)y#  
  在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。 4~DFtWbf  
Lc0^I<Y  
  3.带命令行提示符的安全模式      LF{d'jJ&K  
<gQw4  
  只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。  0rjxWPc  
G\|VTqu  
  说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:\WINDOWS\explorer.exe”,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:\windows\system32\cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。    L%U-MOS=  
Fl<BCJY  
  4.启用启动日志     |jO&qT]{  
W32bBzhL  
  以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:\windows\)目录中。启动日志对于确定系统启动问题的准确原因很有用。 7`|$uIM`  
T>.*c6I b  
  5.启用VGA模式      k0!b@ c  
K"#np!Y)  
  利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。      SA)}---"  
v; &-]ka  
  6.最后一次正确的配置      8b[ ^6]rM  
/i"L@t)\t  
  使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。   bj ZcWYT  
aj|I[65  
  7.目录服务恢复模式    ]B5qv6  
wh[XJ_xY  
  这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。   '8}*erAg  
uiPfAPZ  
  8.调试模式    89k9#i X  
-[".km  
  启动时通过串行电缆将调试信息发送到另一台计算机。    Qpe&_.&RE  
XGbtmmQG  
  如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。 ZlUd^6|:3  
59F AhEg  
  现实应用   tTX2>8Gmr  
-c~nmPEG6  
  1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。 RxjC sjg  
  现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。 jDqe)uVvtV  
XjuAVNY  
  还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。     (/-2bO  
a=.A/;|0*  
  2.揪出恶意的自启动程序或服务    Z)~.OqRw]  
gp$oQh#37;  
  如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接。   -;Y*;xe  
  可在带网络连接的安全模式下,用带重定向的命令提示符工具TaskList >d:\Anquan.txt将当时的进程记录到D:盘根目录下的文本文件 Anquan.txt中。接着,以正常的方式启动电脑,将Anquan.txt中记录到的进程与此时的进程进行比较,你会发现此时的进程要多得多,请逐个结束多出来的进程,并检查网络连接是否正常。如果结束到某一进程时网络连接正常了,则说明就是刚结束的进程就是罪魁祸首。查出后,可删除与进程相关的可执行文件。但还要注意的是,由于它是自动运行的,强行删除后,可能会引起启动时报“找不到某文件”的错误,还得将其与自启动有关的设置全部清除,包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。 Q]uxZ;}aF  
4S`2")V  
  3.调整分区     _qR1M):yJ  
>Ke4lO"  
  有一次,笔者带着本本儿出差,途中想处理一下下车即用的报表文件,可本本儿偏不争气,启动时报分区错误。天啊,出门在外的,又没带任何工具软件,好在天无绝人之路,还能启动到安全模式下——有法了,命令行工具Diskpart能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。Diskpart功能非常强大,它工作于一个集成的环境,输入Diskpart后,显示图1所示的专用提示符即Diskpart>(注意:这不是一个路径),在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。说明在先:以下的操作是在台式机上记录下来的。   +DY% Y `0  
 ?; ZTJ  
  ①启动到带命令提示符的安全模式下,输入命令Diskpart。再输入list partition 显示一下分区,显然,其中有两个主分区、两个扩展分区。    {AoH  
t"cGv32b  
  ②输入“Select Parttition 3”使第3分区(5004MB的那个),使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第1、2两个“List partition”命令后的值进行比较,不难看出,原分区3确实已被删除了。      T&H[JQ/h  
Pe6MDWR  
  ③输入“Select partition 1”使其具有焦点属性,再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1分区中去。   UpF,e>s  
BlF>TI%2  
  为分区扩容,这可是分区魔术师的专利,“diskpart”也能实现,看来,Windows server 2003不支持分区魔术师是有道理的。再输入“List partition”可观察到第1个分区的容量变化情况。    "W?<BpV~@!  
%V%*0S|U  
  说明:将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区,未分配的空间必须在同一磁盘上,并且必须接着带有焦点的分区。      D'$ki[{,  
 W>.KV7  
  如果要被扩容的分区是NTFS格式,扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式,此命令就会失败,但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区,也不能对包含页面文件的分区进行扩容。从图中可看出,我的电脑中有两个主分区,分区5才是活动分区。不然,不能对分区1进行扩容操作。    /bjyV]N  
_?x*F?5=  
  语法:extend      f R$E*Jd  
7q&Ru|T33  
  参数说明: size=n :添加到当前分区的空间大小 (MB)。如果不指定大小,磁盘就扩展为占用所有最邻近的未分配空间。    qL/4mM0  
KB0 HM  
  ④不管对硬盘分区做了什么样的改动,包括创建、删除、扩容等,都用不着重新启动电脑即可生效(这是分区魔术师不能做到的),但在“我的电脑”却看不到这些分区,这是为什么呢,原来,还没为其指定驱动器号(也就是盘符),怎样指定盘符呢?下面以为第一个分区指定盘符为例进行说明。    K?+iu|$ &  
R^.E";/h  
  使第1个分区具有焦点属性,再输入命令“Assign”,Diskpart就会自动为其分配一个。当然也可用命令“AssignLetter=X”来手动指定,手动指定时,不能与已存在的盘符如C等相同。经过这样的处理后,就能在“我的电脑”下查看到这些分区了。      D1}Bn2BM$  
,B_Nz}\8  
  ⑤将分区5设为活动分区,先用Select Parttition 5使其具有焦点属性再用Active激活即可。最后输入Exit,退出Diskpart集成环境,让电脑自动重启。      (j@3=-%6G  
#2<.0@@ TI  
  说明:如果用惯了DiskPart,你就会觉得它的设计很符合人们的思维习惯,一般是先指定焦点,再进行操作,操作过程中还可随显示分区状态以便掌握进度。输入Help可查看到所有的子命令,输入有错时,它还会自动列出子命令列表及简要说明,将你引导到正路上来。另外,安装Windows 2003后,大家最熟悉的分区魔术师(非服务器版)不能正常运行,使用Diskpart确实是一个不错的选择。     <7NY.zvwk]  
=;#+8w=^  
  如前所述,在Diskpart下进行任何操作前都必须指定焦点,即指明对哪一对象进行操作,这一方面使的我的操作逻辑清楚,但另一方面,如果对误指定了焦点又执行了破坏性的命令,如删除分区等,会造成无可挽回的损失。所以,请随时用List命令查看各分区状态,焦点分区前有一个星号(*)标志。  B[%FZm$`M  
"CI#2tnL7  
  此外,你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除,遇到这种情况,可启动到安全模式下尝试删除这些病毒文件。当然,这里我们也只是介绍了一些比较常见的安全模式用途,算是抛砖引玉吧,希望各位能够在实际的电脑使用中,逐步体验其更多的便捷之处。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 11 发表于: 2006-08-26
恶意网页修改注册表的十二种现象及解决办法
恶意网页修改注册表的十二种现象及解决办法 eb%`ox@&  
P| c[EUT  
最近,屡屡发生网友在浏览网页时,造成注册表被修改,使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址(多为广告信息及其它的讨厌信息),更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告,并会自动打开很多的网页,而且有愈演愈烈之势,尤其在办公室中,一不小心便中招,让你措手不及,遇到这种情况我们该怎样办呢? 4L<h% 'Zn  
?? ffDh 0mDN  
??一、注册表被修改的原因及解决办法 #( G>J4E,  
??其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。 CRXIVver  
?? i~1bfl   
??1、IE默认连接首页被修改 N<XS-XB,  
?? )> >Tj7  
IE浏览器上方的标题栏被改成“欢迎访问******网站”的样式,这是最常见的篡改手段,受害者众多。 'VVEd[  
??受到更改的注册表项目为: R)}ab{A  
??HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page A6-K~z^  
??HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page Jw"fqr  
??通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“*****”就会将你的IE默认连接首页修改为 http://ppw.****.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。 a@+n  
?? dZ]['y%  
??解决办法: qkHdr2  
??A. 注册表法: NHI(}Ea|]  
??①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; W:5,zFW  
??②展开注册表到 N`o[iHUj \  
??HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可; G!Gbg3:4e5  
??③同理,展开注册表到?HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main YS$42J_T  
??在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。 R1A|g =kF  
??④退出注册表编辑器,重新启动计算机,一切OK了! V!^5#A<  
?? :<Z>?x  
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。 |t<Uh,Bt  
?? oXW51ty  
??解决办法: #>[BSgW  
?? f&5'1tG  
??运行注册表编辑器regedit.exe,然后依次展开 Tw`n3y?  
??HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。 e$ pXnMx7  
?? y+jOk6)W75  
?? ^)wTCkH&y  
2、篡改IE的默认页 Wycood*  
??有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改: `?M?WaP  
??HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ kx3?'=0;5  
Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。 CGYZEPRR  
?? l:Hm|9UZ  
??解决办法: TDqH"q0  
?? L_ &`  
??A.运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那 0 rge]w.X  
??些篡改网站的网址改掉就好了,或者设置为IE的默认值。 TAd~#jB9  
?? E![Ye@w  
??B.msconfig 有的还是将程序写入硬盘中,重启计算机后 首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始-运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。 S8_>Lw  
()cqax4  
a%FM)/oI|T  
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。 ^*-6PV#Z  
??主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选): d<,'9/a>  
??[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan n\/ JNzd3  
??el]"Settings"=dword:1 8l<4OgoK  
??[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan ; fOkR+  
??el]"Links"=dword:1 j*7#1<T  
??[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan >)+ -:  
??el]"SecAddSites"=dword:1 D=>[~u3H  
?? KO!.VxG]_  
??解决办法: K*"Wq:T;B  
??将上面这些DWORD值改为“0”即可恢复功能。 JI5%fU%O#n  
?? )fGIe rS  
??4、IE的默认首页灰色按扭不可选 8? U!PW  
??这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet E EklcnM|6  
??xplorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“ 655OL)|cD6  
??1”(即为灰色不可选状态)。 &xgKHbg  
?? qcWY8sYf  
??解决办法: sFrerv&0  
?? -% ,3qhsd  
??将“homepage”的键值改为“0”即可。 &N+i3l6`  
?? Mtw7aK  
5、IE标题栏被修改 PKxI09B  
?? @Q%9b)\\  
??在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。 j92X"yB  
?? LtK= nK  
??具体说来受到更改的注册表项目为: gt>k]0  
??HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title ?D?l dg  
??HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title $eSSW+8q"  
?? _G62E $=  
??解决办法: cOa){&u  
?? l>t0 H($  
??①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; hKjG/g:#G  
??②展开注册表到 :svKE.7{  
??HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字; R?Ou=p .  
??③同理,展开注册表到 X?B\+dq  
??HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然后按②中所述方法处理。 %@ ,! (  
??④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了! 4DTT/ER'qA  
?? <Na .6P  
??6、IE右键菜单被修改 2m8|0E|@  
??受到修改的注册表项目为: 6[k7e!&  
??HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现! s` $YY_  
?? K'@lXA:  
??解决办法: FpYeuH%  
?? r:~q{  
??打开注册标编辑器,找到 j7>a ^W  
??HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt :T9 P9<  
??删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除非你不想在IE的右键菜单中见到它们。 4))5l9kc.  
?? wV{jJyRl  
7、IE默认搜索引擎被修改 . l>.  
?? Pxy+W*t  
??在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改: a<W.}0ZY  
??HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch tupAU$h?!  
??HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant $p)e.ZMgE  
?? ]ME2V  
??解决办法: e&\+o}S  
?? 2E$K='H:,  
??运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssis OTmw/#ug  
??tant”的键值改为某个搜索引擎的网址即可。 ']__V[  
?? h2_A'  
??8、系统启动时弹出对话框 C(J+tbk  
??受到更改的注册表项目为: xWuvT,^  
??HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon )/FEjo  
?? QP~Iz*J'  
??在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“L C.(<IcSG  
??egalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由 $a.,; :  
??于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网 m2j]wUh"  
??页的广告信息!你瞧,多讨厌啊! I*`;1+`  
?? yLY$1#Sa  
??解决办法: OBEHUJ5  
?? .*~t2 :  
??打开注册表编辑器,找到 G]k+0&X  
??HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon i$jzn ga  
??这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeTex {;^GKb+  
??t”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。 6Q~(ibKx  
?? 3:mZ1+  
??9、浏览网页注册表被禁用 zk^uS#  
?? QZ2a1f'G  
??这是由于注册表 "*HVL  
??HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System mFx \[S  
??下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“ M=t;t0  
??0”即可恢复注册表的使用。 ~gA^tc3G  
?? 4%"Df1 U  
??解决办法 N;|:Ks#!  
?? gaC [%M  
??用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了: j|DjO?._'  
??REGEDIT4 #8CeTR23cw  
??[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System go!jx6~;x  
??]“DisableRegistryTools”=dword:00000000 \]Y=*+{  
?? M}\p/r=  
??10、浏览网页开始菜单被修改 pdq5EUdS  
??这是最“狠”的一种,让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的 "Gc\"'^r  
??那些症状,还会有以下更悲惨的遭遇: l", X  
?? ?atHZLF  
??1)禁止“关闭系统” S '(K  
?? m2>$)\-;  
??2)禁止“运行” )n{9*{Ch  
?? B{2WvPX~q  
??3)禁止“注销” t+IrQf,P[  
?? $l/w.z  
??4)隐藏C盘——你的C盘找不到了! D`hg+64}  
?? Rxl/)H[Lc"  
??5)禁止使用注册表编辑器regedit G"|c_qX  
?? #``Alh8  
??6)禁止使用DOS程序 9}<iS w[  
?? !JnxNIr&i|  
??7)使系统无法进入“实模式” ~aL&,0  
?? /?B%,$~  
??8)禁止运行任何程序 v%4zP%4Ak[  
?? xv 9 G%  
??具体的原因和解决办法请看天极网e企业之安全之路栏目的这篇文章:《浏览网页注册表被修改之迷及解决办法》。 ^2-+MWW.  
?? Q4B(NYEu(  
??以上是比较常见的修改浏览者注册表的现象,今天在浏览网页时,无意中来到某个 Nc\jA=  
??个人网站,又遇到了以前没有碰到过的问题: .-?Txkwb  
?? xW+ XN`77  
??11、IE中鼠标右键失效 @s8wYcW  
??浏览网页后在IE中鼠标右键失效,点击右键没有任何反应! yo]8QO]97  
?? 0RGqpJxk  
??12、查看““源文件”菜单被禁用 D22jWm2  
?? TFYp=xK(  
??在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。 Mp_SL^g|  
??我在浏览网页时并没有注意到上面这两个问题,因为当时正好朋友叫我有事,于是 2bt).gGm  
??我就退出电脑了,晚上吃完饭开启电脑连线上网,就发现IE中鼠标右键失效,“查看” =(Pk7{  
??菜单中的“源文件”被禁用。不能查看源文件也就罢了,但是无法使用鼠标右键真是太 ofy)}/i  
??不方便了。得想个办法! ,nGZ( EBD  
?? ; -,VJCPi  
??找出最新版的超级兔子魔法设置试试吧,呀!不能解决!看来是个新问题,不过自 # |^yWw^  
??己好歹也是“老革命”了,这点问题应该难不住我。于是到注册表中一番搜寻,经过一 'da$i  
??番查找终于弄明白了问题的所在。 _64<[2  
?? 9HG"}CGZP  
??原来,恶意网页修改了我的注册表,具体的位置为: ZL+46fj  
?? |3dIq=~1"Y  
??在注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer s&D>'J  
6r}w  
?下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:“ %R@&8  
??NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。 6(-c$d`C.0  
??在注册表 5@yBUwMSj  
??HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restric 41 #YtZ  
??tions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为 22gh,e2o  
??了“1”。 2^ kK2D$o  
?? YE[{Y(5;q  
??通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“ P.'$L\  
??源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到 @i=_y+|d_  
??的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。 ~09kIO)  
?? Q'c[yu  
??解决办法: ~NZ}@J{00_  
?? w(UZmZb}  
??明白了道理,问题解决起来就容易多了,具体解决办法为:将以下内容另存为后缀 A}MF>.!}C  
??名为reg的注册表文件,比方说unlock.reg,双击unlock.reg导入注册表,不用重启电脑 t&nK5p95(  
??,重新运行IE就会发现IE的功能恢复正常了。 )( W%Hmi  
??REGEDIT4 Tk:%YS;=  
??[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer 1)!?,O\ey  
??\Restrictions] Bt(U,nFB  
??“NoViewSource”=dword:00000000 T~)zgu%q_  
??"NoBrowserContextMenu"=dword:00000000 i?IV"*Ob1N  
??[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer eJ_$Etc  
??\Restrictions] n*y@3.  
??“NoViewSource”=dword:00000000 cW?~]E'<  
??“NoBrowserContextMenu”=dword:00000000 x4[ Fn3JL  
?? (&xIB F_6  
??要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写 xG|n7w*  
??,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有 4]m?8j) 6b  
??空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上 ;`rz]7,*  
??面所说的内容,这回该注意点喽。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。 G ;  
?? V u1|5  
??二、预防办法 *(j -jbA  
?? ;;<[_gp,E  
??1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美 2/RW(U  
??丽诱人的网址更不要贸然前往,否则吃亏的往往是你。 ?Y'r=Q{w  
?? EQ2HQz ]  
??2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插 #r;uM+  
??件和控件、Java脚本等全部禁止就可以避免中招。 Qvm[2mb  
?? p ^U#1c  
??具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安 ],w+4;+  
??全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有Ac }`D-]/T8.  
??tiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览 PLs(+>H  
??过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,你还是自己 c2Up<#t  
??看着办吧。 &d&nsQ  
?? jU_#-<'r  
??3、对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中?的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开 "<1-9CMl  
??C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉 A}z1~Z+  
??。请放心,删除这个组件不会影响到你正常浏览网页的。 z:p9&mi  
?? R\:t 73  
??4、下载超级兔子魔法设置软件后安装,如果出现问题,可以用它来恢复。不过 “兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效,“查看”菜单中的 “源文件”被禁用这两种现象无法恢复。 :AM_C^j~ D  
?? &8@ a"  
??5、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表 ;1L7+.A  
??加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器 a 8.Xy])!  
??regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“ {14sI*b16  
??锁”! nWsR;~pK  
?? (m& ''yaH  
??加锁方法如下: X:d[eAu0  
?? ;BjJ<?^{  
??(1)运行注册表编辑器regedit.exe; sT+\ z  
??(2)展开注册表到 y>|AX/n  
??HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。 $Y<(~E$FX  
?? HFTDea+#  
??解锁方法如下: D0@d}N  
?? (5&l<u"K~  
??用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下: ky0,#ZOF  
??REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System zR_yxs'  
??]“DisableRegistryTools”=dword:00000000存盘,你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为Windows RegistryEditor Version 5.00。 *[0)]|r  
?? VIg=| Oe),  
??6、对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务“R <G#z;]N  
??emote Registry Service”禁用,来对付该类网页。具体方法是:点击“管理工具→服 F>co#  
??务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可。 n8 e4`-cY  
?? jW0aIS2O  
??7、如果觉得手动修改注册表太危险,可以下载如下reg文件,双击之可恢复被修改 vp..>BMJ  
??的注册表。 wm s@1~I  
?? IXt cHAgX  
??8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进 Fa A7m  
??入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点: P<s:dH"  
??打开IE,点击“工具”→“Internet选项”→“内容”→“分级审查”,点“启用 p="K4E8~H  
??”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站 A3mSSc6  
??网址,如输入:http://***.****.com,按“从不”按钮,再点击“确定”即大功告成! iBPx97a  
?? Jej-b<HmQ  
??9、升级你的IE为6.0版本,可以有效防范上面这些症状。 虽然不是最终版本,但它可以无法再随意修改你的注册表. :j( D&?ao  
?? &{(8EvuDd  
??10、下载微软最新的Microsoft Windows Script 5.6,可以预防上面所说的现象, ?KtvXTy{m  
??更可预防目前流行的、可恶的混客绝情炸弹
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 12 发表于: 2006-08-26
教你如何手工清除QQ广告弹出木马
网络安全知识:教你如何手工清除QQ广告弹出木马 e \ rb  
?ne!LDlE|  
具体的不知道从哪天起,我的Maxthon浏览器好像不能拦截一些网站的广告了,屏幕的右下角也不时的出现如QQ广告一样的东西,一开始以为是网站和QQ的广告。但越用越不对劲,仔细一看,右下角的根本就不是QQ的广告,出来的整个广告就是一个链接,不像QQ广告外面还有一个框,鼠标放在上面是不会变成手形的,而这个广告,无论鼠标放在什么地方都是手形的。我开始怀疑我中招了,将杀毒软件升级到最新也不能查杀,打开浏览器,上网搜索,发现也有朋友中了这种木马,但该网友提供的方法并不能删除木马,无奈之下只好自己“动手”了,以下就是我的整个手工清除木马的过程,写出来与大家分享。 et0yS%7+?@  
TLiA>`r=  
  1、常规操作 vV+>JM6<K  
  打开任务管理器,查看进程,并没有发现什么不良进程。 LTt| "D  
  2、深入挖掘 rCFTch"  
  运行Regedit,依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,一看,果然多了个新家伙Advapi32,一看键值,竟然加载的是一个Dll文件,而这个文件位于C:\WINDOWS\Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了,先删除了启动项,再删除对应的木马文件就行了,但到了C:\WINDOWS\Downloaded Program Files目录一看,发现这些文件根本看不到(开启了显示隐藏文件项)。且重启之后启动项又出现了,很显然,这个木马监视注册表,且文件隐藏。为了剿灭彻底,以下步骤是进入安全模式后进行的(开机时按住F8键或Ctrl键不放直到启动菜单出现)。 \J?5K l[*c  
   {uuvgFC  
在第三步之前,我曾尝试直接用第四步的方法删除木马文件,但发现重启之后木马并没有消失,因此初步判断该木马存在备份文件。 }%I)bU  
  3、清除木马备份文件 V;SXa|,  
  打开“我的电脑”进入C:\Windows目录,发现一个可疑目录Backup,进去一看,果然启动项加载的Dll文件也在里面,但启动项加载的却不是这个目录中的文件,很显然这个目录就是木马的备份,先删除这个备份目录再说,但刚刚删除,大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾,竟然在安全模式还能自动加载且监视备份文件,一旦备份文件被删除,马上又会建立。正所谓“以彼之道还施彼身”,它能监视且能自动建立备份目录,我如果能先将目录删除,然后抢在它的前面建立目录不就行了吗?因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了,手工肯定是不行的,那么就用Dos时代的批处理吧!先建立如下的批处理文件,命名为Kill.bat,双斜杠之后是注释,实际操作时无需输入。 .3*VkAs  
Move c:\windows\backup c:\windows\bak //将Backup目录重命名为Bak &+>)H$5  
Md c:\windows\backup //在C:\windows下建立Backup目录 7]6HXR@  
这时再打开“我的电脑”,依次进入C:\windows目录,将Bak目录删除,即完成了木马备份文件的删除。 (8/Qt\3jv  
  4、清除木马文件 4<QS ot  
  重新建立一个批处理文件,命名为Kill2.bat,内容如下。 a?QDf5C q  
cd c:\ //将当前路径改为C:盘的根目录 uSi/|  
cd C:\WINDOWS\Downloaded Program Files //将当前路径改为C:\WINDOWS\Downloaded Program Files (Jb[_d*  
move _IS_0518 c:\bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak WmT(>JBO  
打开“我的电脑”,进入C:\,删除Bak目录,再进入C:\windows目录,删除Backup目录,即完成了木马文件的清除。 B)`^/^7  
  5、清理注册表 9XPQ1LSx  
  运行Regedit,分别将下面所列的键删除。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32  %Jc>joU  
HKEY_CURRENT_USER/Software/advapi32 fG\]&LFBU  
至此,Advapi32木马(因为在网上也没查到此木马的名字,所以就用它的自启动项键名来代替了)手工清理完毕。 ; (;J  
注: a,U@ !}K  
  1.第三步和第四步顺序千万不能对调,因为只有先删除备份文件,再删除木马文件,这时因为木马文件没有了,备份文件也没有了,所以木马也就没办法重新建立文件了。 8{Id+Q>Vo,  
  2.以前也在报刊上看到过手工清除木马的例子,但大部分都是一些利用进程查看工具结束进程来实现的,由于此木马进程伪装隐蔽,笔者曾用IceSword查看,虽能初步判断木马隐藏在Svchost.exe进程中,但由于Windows XP中Svchost.exe进程比较多,所以不好判断其具体的隐藏位置,结束进程的方法也就不好实现了,反而用本文所提的方法就能轻松将木马剿灭。 HJ,sZ4*]]  
  3.本方法在Windows XP Pro + SP2下测试通过。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 13 发表于: 2006-08-26
打响数据库保卫战 建一面“铜墙铁壁”
安全知识:打响数据库保卫战 建一面“铜墙铁壁” wOy1i/oj  
y/m^G=Q6g#  
数据库对于一个网站来说意味着什么?可能有很多站长会说只是一个记录数据的工具。这种说法固然没错,但是却遗漏了重要的一点,数据库也是一个网站安全的中心,一旦数据库被黑客得到,那么轻则得到网站数据和用户隐私信息,重则渗透网站,影响整个服务器的安全。正因为很多站长对数据库的安全意识不够,才导致很多安全问题的发生。本文将让大家了解数据库对一个网站的重要性,并为数据库建造一面“铜墙铁壁”。 <~}t;ji  
h !~u9  
  一、数据库的获取 _F *(" o  
S4]xxc  
  数据库对网站重要性不言而喻,那么黑客是通过什么手段得到网站数据库的呢? 3d.JV'C'c  
Oifu ?f<r  
  1.默认的数据库路径 pX]*&[X?  
 kQ$Q}3f  
  很多站长建站或论坛使用的都是现成的整站程序,这就造成了一个很大的安全隐患,即默认的数据库的路径。虽然在这些程序的说明文档中都提示修改数据库的默认路径,但是仍有些安全意识不高的站长不屑于修改或者不会修改。这样当黑客在该网站的地址后输入默认数据库的路径,就可以轻易下载到数据库。 +_?;%PKkuF  
b+NF: -fO  
  2.暴库显示路径 8E/]k\  
.6[xX?i^T  
  什么叫“暴库”,简单得说就是构造特殊地址使网站程序运行出错,从出错的信息中得到数据库的路径。暴库并不是一门十分高深的技术,但是却可以很快得找到数据库路径,而且成功率很高。要想进行暴库,首先需要对IE进行设置,运行IE,点击“工具”菜单→“Internet选项”,切换到“高级”标签,将“显示友好HTTP错误信息”前面的勾去掉,然后保存,这样做是让浏览器返回真实的错误信息,而不是类似505错误,405错误等经过处理后的错误信息。找到一个存在暴库漏洞的程序,例如较早版本的“动力文章系统”。打开““动力文章系统”的任意页面,在IE地址栏中将该页面地址出现的最后一个“/”替换为“%5c”,然后回车,如果暴库漏洞存在,那么数据库路径将会马上显示出来。 HlB'yOHv!  
@$~ BU;kR  
  3.防下载设置不够严密 S #X$QD  
W9?Yzl  
  排除程序的原因,数据库被下载很大一部分的原因是人为因素。有些站长已经认识到数据库的重要性,虽然没有修改默认的路径,但是将数据库默认的后缀名“mdb”改为了“asp”,这样即使别人知道了数据库的路径,也无法在浏览器中进行下载,而是直接在页面中显示数据库的内容,当然都是一些乱码。不过我们虽然无法在浏览器中下载,却可以借用专用的下载软件来实现数据库的下载,或者将页面中出现的所有内容复制到一个文本文档中,然后将这个文档的后缀名改为“mdb”。 ;C%D+"l1g  
Jr18faEZw  
  还有一种情况就是站长在数据库的文件名中加入了“#”符号,例如原来的数据库名为123.mdb,加入“#”号后变成“#123.mdb”,这样当我们在地址栏中直接输入“http://www.***.com/#123.mdb”,是无法下载数据库的,而是显示“无法找到网页”。这是因为浏览器的编码格式会默认将“#”号变为“%23”,这样就成了另外一个网址,当然不可能下载到数据库。那么我们反过来将“%23”替换为“#”,填入到网址中,数据库不就可以正确下载了吗? 2k[i7Rl \c  
ih?_ fW  
  二、破解数据库中的管理员账户信息 TD-d5P^Kek  
p1HU2APFP  
  得到数据库后可以做什么?@梢怨榻嵛?韵录傅悖?.破解得到网站管理员的账户名与密码;2.得到网站注册用户的信息;3.查看一些普通用户无法查看到的资料。其中最有价值的就是保存在数据库中的管理员账户信息。能成功得到管理员的账户密码,我们就成功了一半。 \K)"@gdW  
6-#f1D 6  
  得到网站的数据库后(这里指的是Access数据库),将数据库的后缀名改为mdb,这样我们就可以使用“Microsoft Office Access”来打开数据库,通常在“admin”表中的就是管理员的账户信息。对于安全性不高的网站程序,管理员的账户名和密码会以明文的形式显示,这样我们就省去了破解这一步。而绝大部分的网站程序都对管理员的密码进行了md5加密。md5是一种不可逆的加密算法,加密过的数据不可能再还原,因此我们必须通过暴力破解,来获取密码原文。 OxqbHe  
)@3ce'  
  1.网站破解 _VR Sdr5  
&G@*/2A  
  破解md5的最快方法是通过专门的破解网站。登陆“http://www.xmd5.org/go_cn.htm”,点击页面中的“解密”链接进行破解,将加密后的密文填入到文本框中,然后点击“给我转”,即可破解得到密码,但是这类网站有其局限性,只能破解简单的密码,而遇到强悍的密码就无能为力了。 &j/ WjZPF  
2C %{A  
  2.软件破解 \qAMs^1-  
0gVylQ  
  除了通过网站破解,我们还可以使用专门的md5密码破解工具。下载“md5crack”,无需安装可直接运行。运行后可以看到两个设置选项,分别是“密文设置”、“字符设置”,在“字符设置”中可以对破解形式进行选择。我们将需要破解的密文输入到“密文设置”中的“破解单个密文”文本框中,软件也可以同时破解多个密文,选中“破解多个密文”,点“设置”即可。 F]W'spF,  
vhEPk2wD,  
  软件对md5密文采用两种破解方式,“暴力破解”和“字典破解”,前者采用猜解来得到密码,后者是通过字典中已存在密码与需要破解的密文进行对比得出密码。对于比较常见的密码,使用“字典破解”的成功率是很高的。这里我们选择“暴力破解”来演示。在“字符设置”中选中“使用字符集”,然后勾选“数字”,这样就可以破解密码为数字的密文,当然我们也可以同时选中其他选项,不过破解时间会相应变长。设置完成后点击“开始”,即可开始破解工作。软件的破解速度很快,对于不太复杂的密码可以很快破解。 kF~}htv.=  
"gdm RE{x  
  三、利用网站数据库备份功能,得到webshell W;,.OoDc>  
K$Y!d"D  
@3[Z Q F  
  由于各种网站程序的编写越来越人性化,都在其后台管理增加了数据库的备份恢复功能,而这个功能却被黑客敞开了大门,通过数据库备份功能,我们可以轻易得得到网站的webshell,从而进一步渗透。 ;tI=xNre`1  
IR>^U  
  我们以著名的动网论坛7.0sp3版本为例,假设我们已经下载到了数据库,并利用数据库里的数据,破解得到了管理员的账户名和密码。我们以管理员的身份登陆,在论坛发表一篇帖子,然后将我们的asp木马以附件的形式上传到服务器,这里需要将asp木马的后缀名改为jpg,才能正常上传。上传成功后得到类似“UploadFile\2006-3\123.jpg”的地址。登陆论坛的后台管理页面,点击页面中的“恢复数据库”选项,接着会出现“恢复数据库”页面,在其中的“备份数据库路径(相对)”中填入我们上传附件成功后的地址,然后在“目标数据库路径(相对)”中填入muma.asp,点击“恢复数据”即可。这样就会在论坛的根目录中生成我们的muma.asp,直接输入地址就可以得到webshell了。 ?N#mD  
K/G|MT)  
  四、数据库的恶梦,C/S型asp木马 (]>c8;o#b  
K2L+tw  
@5zL4n@w  
  所谓的C/S型asp木马,就是客户端和服务端分开的asp木马。这种asp木马运作方式是:先将服务端代码插入到网站的数据库中,然后通过客户端程序进行连接,连接上后就可以像普通asp木马那样进行操作。不过C/S木马的运行条件是目标数据库的后缀名必须已改为asp或asa,对于后缀名为mdb的数据库则不起任何作用。下面我们通过C/S木马来获取一个webshell。 6@!<' l%z  
K(Otgp+zb  
  首先需要得到目标网站的数据库路径,并且确认数据库的后缀名为asp或asa。然后来到网站任何可以将数据写入数据库的地方,将我们的asp木马服务端“”(其中cmd是连接密码,可以修改为自己的密码)提交到网站上,这样数据库中就有了我们的木马服务端。然后我们运行目前较为成熟的C/S木马“lanker微型asp后门”,在“木马地址”中写入网站数据库的路径,然后在“基本功能列表”中选择“环境变量”,点“提交”就可以成功连接到服务端了。连接后可以在“基本功能列表中”选择相应的功能进行操作,和一般的webshell无异。 [dsH0 D&T  
:n>m">4  
  五、打造数据库的“铜墙铁壁” $dci?7q  
4NwGP^ n  
D<}KTyG]  
  数据库的防下载其实并不难,如果自己对网站所在的服务器有管理权,那么防下载只需在网站程序上做一下简单的设置。如果网站是建立在虚拟主机上的,也只需编写一个数据库防下载的asp文件即可解决问题。 l{aXX[E&1  
Aa.bE,W  
  1.更改数据库路径 E$f.&<>T  
]BCH9%zLj  
  如果自己对网站所在的服务器有管理权,那么我们可以将网站程序和数据库放在不同的目录中,例如将网站程序放在c:\web文件夹中,将数据库放在d:\data文件夹中,然后在网站程序中将数据库的指向改为“d:\data\数据库文件”即可。因为数据库不在网站目录下,因此不存在被下载的问题。 npz*4\4  
g!D?Yj4  
  2.编写防下载asp文件 9wC q  
G[6V=G  
  如果网站是建立在虚拟主机上的,可以在数据库中添加防下载表。首先将网站数据库改为asp后缀,然后用记事本打开“数据库防下载.asp”(本文相关软件包中有提供),将第二行中的数据库地址改为自己网站的数据库地址,然后将这个asp文件上传到网站上,用浏览器执行一次即可。文件执行完毕后会在数据库中添加防下载表,这样当输入数据库地址时会出现“无法显示该页”的错误信息。 ]m(Uv8/6  
$t-HJ<!  
  3.入侵后的补救措施 sxl29y^*  
A[;R_  
  黑客利用下载数据库入侵后,通常会留下一些asp木马,作为后门控制网站。因此如果发现网站被入侵,检测asp木马是否存在也是一件十分重要的事。对于asp木马的检测,可以使用“思易asp木马追捕”,它可以像杀毒软件一样通过特征码来查找存在于网站中的asp木马。因此有“越轨操作”的asp文件都会被其列入黑名单。同时对于每个asp文件所拥有的权限都将以列表的形式显示,具有危险性的asp文件一目了然
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 14 发表于: 2006-08-26
加强网络安全 打一场QQ攻击的反击战
网络安全:加强网络安全 打一场QQ攻击的反击战 ^ {-J Y  
pb}QP  
让我们先来剖析一下由QQ产生的两种攻击形式: {?l#*XH;  
r.[!n)*  
 ?泄漏的网络信息导致攻击 zhKb|SV  
Jp xJZJ  
 ?QQ也是通过互联网传播信息的,所以它也必须遵循网络的数据包传输方式,既然如此,它的信息包文件也必定包括了本机的网络信息,如此一来,通过QQ就可以获得对方的详细IP地址,腾讯开发的自动显示对方IP的“IP版QQ”就是使用频率较高的。如图1所示,这就是一个“IP版QQ”所显示的信息,它不仅可以有限显示对方的IP地址;还可以追加出对方所在的地域位置。黑客通过QQ侦测到对方的详细IP地址;端口号后,再利用这些信息实施进一步的攻击。如利用黑客软件攻击或者堵塞掉xxx.xxx.xxx.xxx主机地址上的xxxx QQ端口,使QQ无法上线,或者消息不能发送等等。 U9IN#;W  
G*mk 19Z  
??提示:黑客们一般通过观察对方QQ所使用的端口号来判断对方是否在主机上使用QQ。因为QQ默认使用的端口号为“4000”,如果是4001、4002等端口,说明是在主机上同时使用几个QQ,如果对方QQ的端口号离“4000”较远,说明对方可能是通过这台电脑代理服务器上网。 yu<sd}@  
5X nA.?F^  
??知道了由QQ泄漏网络信息产生攻击的道理,就可以对症下药了。这同样是“IP版QQ”所显示出来的信息,但它丝毫没有泄漏对方的网络信息,这是怎么回事呢?这正HTTP代理上网后的效果。 \NS\>Q+d  
]gHw;ry  
??如何在QQ里,启用HTTP代理呢?单击QQ软件主界面下面的“系统菜单”按钮(软件最下面,灰色有“QQ2000”字样的按钮),选择[系统参数]→[QQ参数设置]→[网络设置]项,勾选“有效HTTP1.1代理设置”,然后输入代理服务器地址、端口,以及其他一些相关信息就可以了。 &voyEvX/S  
U8?QyG 2A  
 ?使用HTTP代理可以有效地防止QQ泄漏本机的网络信息,且HTTP的代理服务器网上也有很多免费提供。如果你实在找不到合适代理服务器,可以直接使用腾讯公司提供的HTTP代理服务器。不过腾讯的代理服务器只提供给会员使用。 6jiVz%`=Z  
zy8W8h(?  
 ?除了有效的代理手段,还可以使用网络防火墙防止QQ外泄本机信息。网络防火墙的“网络规则”相关设置里都可以限制本机发送的IP包头,防止QQ的发送的信息把本机的IP外漏。但使用网络防火墙的同时会给QQ带来副作用。例如:使用防火墙做出了针对QQ的设置后,很可能会导致QQ消息无法发送;无法登录QQ等情况。 Sh*LD QL<?  
4rc4}Yu,JI  
 ?对QQ自身的信息攻击 ;a XcGa  
t@>Uc`%  
 ?“坏人”可以采取“信息炸弹”的形式来攻击QQ。所谓“信息炸弹”,就是利用QQ的及时通讯形式,发送上万条的信息,如此以来,不但影响了正常的信息收发,信息发送量过大的情况下还会使QQ掉线。最棘手的是,普通的网络防火墙会认为这是正常的QQ消息,不会将其拦截。 :U0z;  
65\'(99y U  
 ?对于信息炸弹而言,没有一个完全有效的阻止方式。我只能提供一些相对的防范方式: 7P?z{x':T  
dMQtW3stY  
 ?1.不要轻易添加来路不明的陌生人,因为他们很可能是不怀好意而来。不要在QQ上惹是生非,以免惹祸上身。 GG5wiN*2S  
gsqlWfa  
 ?2.在腾讯新推出的版本里面采取了一定安全措施阻止信息炸弹,经试验,在新版QQ里如果在规定时间里连续发信数量过大,会被系统拒绝。所以要防止信息炸弹最好是常常升级QQ版本。最后还应该设置“拒绝陌生人消息”。方法是:按前面所介绍的步骤,打开“QQ参数设置”窗口,选择“参数设置”项,勾选“拒绝陌生人消息”就可以了。
描述
快速回复

您目前还是游客,请 登录注册
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
认证码:
验证问题:
3+5=?,请输入中文答案:八 正确答案:八