爱心论坛互帮互助电脑应用 → [公告]信息安全一周通

分享到:

  共有8394人关注过本帖树形打印复制链接

主题:[公告]信息安全一周通

帅哥哟,离线,有人找我吗?
小猴乖乖
  1楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
[公告]信息安全一周通  发帖心情 Post By:2007/11/7 7:23:46 [只看该作者]

贴子已被锁定

随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势,这就需要我们通过一套安全规范来最大限度的防止黑客攻击的发生。
1、什么是DDoS?
  
  DDOS的中文名叫分布式拒绝服务攻击,是英文Distributed Denial of Service的缩写。
  DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;
  
2、被DDoS攻击时的现象有:
  
  1)被攻击主机上有大量等待的TCP连接;
  2)网络中充斥着大量的无用的数据包,源地址为假;
  3)制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
  4)利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求;
  5)严重时会造成系统死机;
  
3、如何判断是否被DDoS攻击?
  
  可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。
  
4、攻击运行原理:
  
图片点击可在新窗口打开查看
  
5、DDoS攻击一般分为几个阶段?
   
  第一阶段:目标确认。黑客在互联网上锁定一个企业网络的IP地址,如企业的Web服务器,DNS服务器,互联网网关等。
  第二个阶段:准备阶段。黑客在这些锁定的计算机中植入日后攻击目标所需的工具。
  第三个阶段:实际攻击阶段。黑客将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机)上,利用预先植入的攻击工具不断向攻击目标发送数据包,使得目标无法处理大量的数据或者频宽被占满。
  
6、当前主要有三种流行的DDOS攻击:
  
  1)SYN/ACK Flood攻击:通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。普通防火墙大多无法抵御此种攻击。
  2)TCP全连接攻击:通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务。特点是可绕过一般防火墙的防护而达到攻击目的,缺点是僵尸主机的IP是暴露的,因此容易被追踪。
  3)刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。特点是可以完全绕过普通的防火墙防护,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
  
7、怎么抵御DDOS?
  
  1)选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
  2)无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用。
  3)网络带宽直接决定了能抗受攻击的能力,当前至少要选择100M的共享带宽,最好的是挂在1000M的主干上了。同时也要注意主机上的网卡和交换机的限制大小,因为也会限制速度。
  4)在有网络带宽保证的前提下,请尽量提升硬件配置,起关键作用的主要是CPU和内存
  5)把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦;或适当放一些不做数据库调用脚本;使用调用数据库脚本的要拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
  6)Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。
  7)安装专业抗DDOS防火墙
  
结语
  DDoS攻击很狡猾,也很难预防,但是你可以借由以上方式及时减轻这种攻击对网络的影响。面对攻击,你只需要快速地响应和正确的方法,就可以及时发现攻击数据流并将其挡掉。

 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  2楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:24:18 [只看该作者]

DDOS的中文名叫分布式拒绝服务攻击,是英文Distributed Denial of Service的缩写。DDOS的攻击策略侧重于通过很多“僵尸主机”。

 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  3楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:24:51 [只看该作者]

11月5日消息,为Google的OpenSocial API平台发布的首个应用程序刚上场就被撤了下来,原因是它被发现存在一处可让黑客随意更改用户个人资料的漏洞.
  
  上周五在Plaxo的博客网页上,麦克里写道:“由于今天发现了几处漏洞,我们暂时取消了这个软件。很抱歉给大家带来了不便。此类应用尚处在早期阶段,因此难免会遇到一些波折……希望大家能多些耐心。”
  
  迈克尔-阿灵顿(Michael Arrington)说,“和谐小子”耗时不到45分钟就发现RockYou的“表情”程序上存在一处漏洞,利用该漏洞黑客可以不必经过麦克里同意便在他的Plaxo个人资料上添加表情符号,Plaxo随后拿下了这个软件。
  
  “和谐小子”表示,虽然更改用户的表情算不上是严重的恶意破解行为,但如果Google不加固其平台的话,更多有威胁的破解行为就可能会接踵而至.
  
  
图片点击可在新窗口打开查看

 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  4楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:25:33 [只看该作者]

 手机病毒虽说有防止感染的办法,但要小心翼翼地接受彩信、战战兢兢地上网、如履薄冰地使用蓝牙……颇有些惊弓之鸟的味道,用手机反而成为一种负担,如果想感受手机“Freedom”D的精神,我们大可不必如此小心,因为无处不在的软件厂商已经关注到了手机领域,面对越来越猖狂的手机病毒,各种杀毒软件厂商也纷纷跟进,推出了基于手机平台的手机杀毒软件,提供给手机一个全面的安全保障平台。

  金山毒霸手机版

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

  官方网站:http://mobile.duba.net/

  支持系统:SymbianS60WindowsMobile

  金山毒霸也是通过文件扫描方式,检查手机及存储卡内的所有文档,发现病毒进行提示并查杀。金山毒霸可以对任意牵关系到文件改变的动作进行自动监控,包括下载文件、接收短信等等,整个过程完全由毒霸自动处理,无需用户干预。全面保护内存和存储卡中的资料不被感染破坏。

  软件的病毒库可以通过互联网进行升级,或者直接更新产品本身。通过GPRS方式联网进行自动升级即可。

  作为特色,金山毒霸手机版专门提供了一个专业、直观的任管理器,不仅可用于查看、激活和停止当前运行程序,也可用于手工停止运行着的病毒程序。

  江民杀毒软件手机版

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

  官方网站:http://forum.jiangmin.com/jmmobile/cphone.htm

  支持系统:  SymbianS60、S80、S90、UIQ;WindowsMobile

  江民杀毒软件手机版拥有出色的兼容性,继承了电脑版江民杀毒软件的特点,各平台版本与手机操作系统均能完美的融合在一起。通过手动扫描,可以检测系统中所有位置的文件是否被病毒感染,并自动清理病毒。由于经过了特别的优化。江民杀毒软件的实时监控功能可以检测任何手机文件(WAP下载,蓝牙传输,短信接收)的变化,并且占用资源小,基本不影响手机的使用效率。

  另外,软件拥有完善的日志功能,所有的操作均有迹可循。拥有独立的隔离区,将被病毒感染的文件自动放置到病毒隔离区里,以待日后备用。
  
  瑞星杀毒软件手机版

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

 

  官方网站:http://mobile.rising.com.cn/

  支持系统:Symbian  S60、UIQ、WindowsMoble

  瑞星杀毒软件允许初始化查杀智能设备上的病毒,查杀病毒先查杀所有正在运行的进程,保证正在运行的病毒能够被清除,再扫描设备中的文件。用户也可单独置顶查杀目录、查杀文件类型等相关信息。但是目前瑞星杀毒软件对实时监控的支持并不是特别理想。

  在病毒库升级方面,软件所提供的智能升级可以使用户获取软件的最新版本,用户可以定期更新瑞星杀毒软件手机版,通过GPRS或者电脑两种途径更新软件均可。

  短信/电话防火墙和进程管理器功能是该软件的一大特色,通过设置黑名单,可以实现防御垃圾短信、阻止恶意号码来电。进程管理则可以查看系统当前进程信息、进程的线程信息,用户可以用此方法结束某些恶意程序。

  网秦手机杀毒软件

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

 

  官方网站:http://www.netqin.Com

  支持系统:SymbianS60、UIQ、WindowsMobile

  在全面扫描方面,网秦手机杀毒软件的核心扫描引擎采用其独创的病毒“核”特征分层映射技术,从而可以准确全面的对用户的手机进行扫描。同时,考虑到手机的资源限制和电量限制,在扫描算法和策略上进行了有效的优化,以最低的耗电量进行扫描工作。在扫描过程中,用户可以随时进行暂停,停止等操作。

  另外,网秦还拥有全面实时的文件监控功能,可以对网络连接、文件系统等进行实施的监控,在第一时间发现并拦截病毒入侵,将短信、彩信、蓝牙、GPRS等病毒可能传播来源完全至于系统的监视之下,保证手机的信息安全。用户可直接通过GPRS对软件进行在线更新。出于节约用户成本的考虑,网秦在更新信息上对下载数据进行高压缩率的压缩处理,尽可能减少用户的通信费用。

 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  5楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:26:20 [只看该作者]

光华反病毒软件手机版

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

 

  官方网站:http://www.viruschina.com/mobile/index.htm

  支持系统:SymbianS60、UIQ、S80、S90;WindowsMobile;Linux;PalmOS

  软件工有五个功能模块,手动杀毒模块是对手机中的文件进行杀毒,可以指定文件目录等杀毒目标、设置过滤参数、对扫描到的病毒处理的方式,并在杀毒过程中实时显示状态信息,如果设置了询问方式,则在查到病毒后提示用户如何处理。在实时保护方面,当手机收到彩信、安装新软件、访问WAP的时候,软件会自动进行扫描,发现病毒自动解除,或设置询问方式提示用户如何处理。软件还人性化地集成了一个垃圾信息过滤系统,提供了短信息和WAP信息的多种过滤方式。

  该软件提供了自动升级设定,在计划任务模块中,不仅可以对杀毒设置计划任务,也可以定时升级系统病毒库。升级可以指定升级的类型(WAp,SMS,Cable

~);如果是WAP类型,系统会从默认的WAP地址升级,并且可以修改默认设置。还可以设置升级成功后,自动进行一次全面杀毒。

  入门用户看过来:图解江民杀毒软件手机版使用图解

  1.从官方网站上下载安装文件,同普通软件开始安装。

图片点击可在新窗口打开查看

  2.建议如果空间充足的话,将本软件安装到手机存储空间而不是存储卡上。

图片点击可在新窗口打开查看

  3.一路安装完成。桌面上出现江民杀毒软件的图标。

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看
  
  4.运行程序,主界面出现,显示诸如病毒库日期等相关信息。

 

图片点击可在新窗口打开查看

  5.左软键弹出菜单,杀毒软件的功能在这里全能体现

图片点击可在新窗口打开查看

  6.扫描病毒开始,所有的盘都不放过。

图片点击可在新窗口打开查看

图片点击可在新窗口打开查看

  7.扫描结束,耗时一分多一点,扫描速度果然很快,小天的手机目前安全,没种病毒。

图片点击可在新窗口打开查看

  扫描完成其余功能展示

  软件可直接制定扫描文件夹,单文件夹扫描十分方便。

图片点击可在新窗口打开查看

  设置界面,可以设置的东西很丰富。

图片点击可在新窗口打开查看

  主菜单里的二级菜单展示,可以查看各种日志。

图片点击可在新窗口打开查看

  通过GPRS可以方便的进行在线升级。

图片点击可在新窗口打开查看

  尾声

  和前几年的“狼来了”相比,今天手机病毒已经真正开始威胁到了我们,而且手机病毒的流行程度和危害程度都在以惊人的速度增长,虽说道高一尺魔高一丈,但新的防治方法会很快跟进,在使用过程中留个心眼,或者使用杀毒软件,就能这些恼人的病毒。


 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  6楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:27:06 [只看该作者]

 江民卡巴斯基瑞星先后发布了2008版杀毒软件,各自声称自己的产品具有突破性、重大技术进展,是反病毒市场的重大变革。笔者从三家官方网站分别下载了最新版的正式产品,从七个方面对三大2008版杀毒软件进行了横向评测。

  测试环境:

  CPU:AMD 2500+ 1.4G
  内存:512M
  测试系统:windows XP SP2

  测试产品版本号:
  江民KV2008杀毒软件 病毒库日期:2007.8.14
  瑞星2008 病毒库日期:2007.8.14
  卡巴斯基反病毒软件单机版7.0 病毒库日期:2007.8.14

  一、扫描设置测试

  本项测试主要检测杀毒软件在扫描设置方面是否全面,是否具备扫描速度设定、对扫描对象、文件类型的设置,是否支持内存扫描、嵌入式扫描、分类扫描、系统启动前扫描等。通过对比测试,发现国产杀毒软件与国外杀毒软件相比功能更全面,以江民KV2008为首的系统启动前扫描以及扫描速度自动调节功能更符合国内用户使用习惯,而国外杀毒软件在这方面有所欠缺。

图片点击可在新窗口打开查看
  
  二、系统实时监视功能测试

  本项测试主要检测杀毒软件在病毒实时监控方面的全面性。除了传统的文件监视、邮件监视、网页监视、即时通讯、脚本监视外,还检测了LINUX格式文件监视、引导区监视、NTFS文件流监视、网络端口数据流监视、文件创建\修改时监视、创建进程\线程时监视。经过测试,除了瑞星2008不支持创建进程\线程监视外,三大杀毒软件基本符合全部支持上述实时监视功能。通过检测也可以看出,三大杀毒软件在技术上确实在不断进步,并在实时监视,尤其是病毒主动防御方面均有了很大的进展。

图片点击可在新窗口打开查看

  三、主动防御功能测试

  主动防御是三大08版杀毒软件宣传的卖点,江民、瑞星以及卡巴都不约而同地打出主动防御牌。经过测试,在网页防木马墙方面,江民KV2008独具特色,而在恶意程序攻击主动防御方面,瑞星2008则略胜一筹。卡巴斯基竞然不支持系统漏洞检测功能,在网页木马通过系统漏洞疯狂传播的今天,这一功能的缺失无疑是卡巴斯基的最大败笔。

图片点击可在新窗口打开查看
  
  四、未知病毒检测测试

  本项测试主要考核三款杀毒软件对未知病毒的识别和判断能力。经过测试,江民KV2008对于未知病毒的检测功能是最为全面、具体的。而瑞星2008的未知病毒检测附属于文件监控的设置类型下,在编辑以及扫描自定义样本库方面没有涉及; 卡巴斯基7.0对于未知病毒扫描的检测并没有单独进行设计,功能方面也比较单一。

图片点击可在新窗口打开查看

  五、系统漏洞检查测试

  在系统漏洞检查功能上,笔者对三款杀毒软件的系统漏洞检查功能进行了测试。结果显示,江民KV2008与瑞星2008均具有漏洞扫描及自动修复功能,而卡巴斯基无修复功能。此外,KV2008还能够扫描系统弱口令以及对共享漏洞进行扫描,功能更加全面。

图片点击可在新窗口打开查看

  六、文件扫描速度测试

  为了测试三款杀毒软件的文件扫描速度,笔者选择了一个大小为5.20GB,文件数约为18767个文件的文件夹作为扫描对象进行扫描测试。通过模拟测试,可以测试软件的实际执行效率。还可以体现出各个软件的实际使用性能。经过测试,江民2008采用了类似“文件指纹”的扫描技术,第二次扫描时速度提升十分明显;瑞星采用了扫描智能提速技术,两次扫描时间基本相同;卡巴斯基采用了分发式分析器以及iChecker\iSwift技术提高扫描速度。相比较之下,江民2008在单核机扫描环境下扫描速度最快,在双核机环境下瑞星2008扫描速度较为突出,两种状态下卡巴斯基的扫描速度都是最慢的。

  1.单核机测

图片点击可在新窗口打开查看

  2.双核机测试

图片点击可在新窗口打开查看
  
  七、病毒包查杀能力测试

 

  1.普通病毒包查杀能力测试:

  选择三个经过压缩的带有普通病毒样本的病毒包,三个病毒包文件夹名分别为“AtoZvirus”、“Cab”、“Virus101”。经测试,江民KV2008与瑞星2008查杀病毒数量基本相当,卡巴斯基查杀病毒数量最少,与两款国产杀毒软件比,漏杀近50个病毒。

图片点击可在新窗口打开查看

  2.流行病毒包查杀能力测试:

  选择包含流行病毒样本的病毒压缩包,命名为“流行Virus测试包”,使用三款杀毒软件对该压缩包进行全面扫描,结果显示,江民KV2008查杀病毒数量为243个,位居第一;瑞星2008查杀病毒数量为236个,名例第二,卡巴斯基查杀病毒数量为222个,名列第三。

图片点击可在新窗口打开查看

  产品总评:

  江民杀毒KV2008:

  江民KV2008在本次对比测试中延续了技术方面的优势,相比之下在技术创新、产品性能、功能全面性、以及病毒查杀能力上较为突出。特别是在扫描、监视、升级、以及未知病毒检测等功能方面,明显体现出自身的特色与优势。江民KV2008在技术方面的创新表现在①.主动防御能力主动出击防御病毒、阻止恶意程序的执行,而且用户可以通过自定义的原则开启防御功能,提供更高的安全性。②.基于主要功能下的辅助系统安全功能较为全面,多方面考虑了用户的需求,如“系统诊断”功能等。

  但是,江民KV2008杀毒软件也有潜在的不足之处,需要在不断创新的同时能够追求细节方面的完善。

  瑞星2008:

  瑞星2008版杀毒软件,在设计上也是下足了功夫。在扫描、监视、升级等原始功能方面不断提高,充分把握用户的需求为设计出发点。而且瑞星2008产品也延续了以往的习惯,使用的同时能够获得很好的体验感。瑞星的“系统防御”功能设计较为突出,其总体界面设计上也有了改动,能够体现出其方便性和易用性。相比较之下,瑞星2008管理的集中性与可管理的范围仍然有不足之处。

  卡巴斯基反病毒软件单机版7.0:

  卡巴斯基向来以查毒引擎著称,然而在此次评测中表现却表现平平,尤其是在对基本病毒和流行病毒的扫描,远远落后于国产杀毒软件。但是其在扫描上所采用的分发式分析器、iChecker\iSwift技术值得国产杀毒软件借鉴,另外在主动防护功能测试中,卡巴的表现也较为出色。

  总体上来说,三款杀毒软件都各有所长,在新的版本的功能的设计上都考虑的比较全面,都算是最具有影响力的杀毒软件,江民杀毒软件KV2008在功能全面性和创新性方面表现突出,成为2008版杀毒软件之新版杀毒王。希望三款杀毒软件能够各取所长,在做强自身特色功能的同时,充分借鉴对方的优点并找出自身的不足,为广大电脑用户做出更加出色的杀毒软件。


 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  7楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:27:44 [只看该作者]

  特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在你并不知情的的状态下控制你或者监视你的电脑。下面就讲讲木马经常藏身的地方和清除方法。

  首先查看自己的电脑中是否有木马

  1、集成到程序中

  其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。

  2、隐藏在配置文件中

  木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。

  3、潜伏在Win.ini中

  木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe

  这时你就要小心了,这个file.exe很可能是木马哦。

  4、伪装在普通文件中

  这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
  
  5、内置到注册表中

  上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

  6、在System.ini中藏身

  木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。

  7、隐形于启动组中

  有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

  Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

  8、隐蔽在Winstart.bat中

  按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

  9、捆绑在启动文件中

  即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

  10、设置在超级连接中

  木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。

 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  8楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:28:28 [只看该作者]

 下面再看木马的清除方法

  1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。

  2、删除上述可疑键在硬盘中的执行文件。

  3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。

  4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\  Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。

  5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和  HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。

  6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。

  至此,病毒完全删除! 笔者建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多,所以尽量自己杀毒

 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  9楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:29:07 [只看该作者]

  “远程破解”与前面的“本地破解”正好相反,是指QQ盗号者通过网络盗窃远端QQ用户的密码。这种QQ破解有很多方法,如在线密码破解、登录窗口破解、邮箱破解、消息诈骗以及形形色色的QQ木马病毒等。下面就让我们一同来看看这些QQ密码的远程破解是怎么实现的。

  1、在线密码破解

  大家知道QQ可以利用代理服务器登录,这是一种保护措施。它不仅可以隐藏用户的真实IP地址,以避免遭受网络攻击,还可以加快登录速度,保证登录的稳定性。

  在线密码破解和本地密码破解采用的技术方法类似,都是穷举法,只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描,只要想盗的QQ号码在线,就可利用在线盗号工具实现远程TCP/IP的追捕,从而神不知鬼不觉地盗取QQ密码!

  在线破解改变了本地破解那种被动的破解方式,只要是在线的QQ号码都可以破解,适用范围较广。但是由于它仍然采用穷举法技术,所以在枚举密钥位数长度以及类型时,校验时间很长,破解效率不高。同样,这种方法还受到电脑速度、网速等诸多因素的影响,因此比前面的本地破解更麻烦。

  目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步:第一步,在QQ起始号码和结束号码中填上想要盗取的QQ号码(此号码必须在线);第二步,在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码(如果你嫌自己寻找QQ代理服务器麻烦,可以使用一些现代的QQ代理公布软件);第三步,点击“添加&测试”按钮,软件先自动检测此服务器是否正常,确定后将它加入代理服务器列表(此软件可填入多个代理服务器的地址,并且能够自动筛选不可用或者速度慢的服务器);第四步,点击“开始”按钮,开始在线密码破解……

图片点击可在新窗口打开查看

QQExporer是一款QQ密码在线破解软件
  
  2、登录窗口破解

  伪造QQ登录窗口的盗号方法非常简单,这是一种比较另类的木马破解方法(后面对木马破解有专门讲述)。先用盗号软件生成一个伪装的QQ主程序,它运行后会出现跟腾讯QQ一模一样的登录窗口,只要用户在这个伪登录窗口中登录,输入的QQ号及密码就会被记录下来,并通过电子邮件发送到盗号者指定的油箱中,在此以一款叫“狐Q”的软件为例,首次运行它时,它会把自身复制到QQ目录中,并把原来的QQ.exe文件改名为QQ.com(这样的更改不会影响QQ的正常运行)。设置完毕后,“狐Q”的原程序就会消失,伪装成QQ等待“猎物”上钩……在其软件设置中,有一项设置可以决定真假QQ交替运行的次数,可以减少用户在使用QQ时产生的怀疑。比如说将“生效次数”设定为3,那么用户第一次运行的是真QQ了,也就是说在第三次运行时,用户的QQ号便被盗了!在QQ密码发送的过程中,如果发送失败,它还会把QQ号和密码记下来,等待下一次发送。

  即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码,如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后,它也会将密码实时发送到盗号者指定的邮箱中。其代表性的盗号软件是“密码使者”,它几乎可以捕获Windows 9x/2000/XP下所有登录窗口中的密码,并且还能够盗取在网页中登录的各种密码。盗号在使用这款软件时,只须填上用于接收别人QQ密码的邮箱地址及保护密码,并把生成的盗号器文件传过去哄骗别人运行,然后就可以坐等密码上门!此软件与传统的键盘记录器不同,它在电脑每次开机时隐藏自启动,不管密码是用键盘输入的,还是复制、粘贴的,都能够有效地实时拦截!其注册版本居然还带有自动升级的功能,破坏力十分巨大。

图片点击可在新窗口打开查看

“密码使者”几


 回到顶部
帅哥哟,离线,有人找我吗?
小猴乖乖
  10楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
  发帖心情 Post By:2007/11/7 7:29:41 [只看该作者]

乎可以捕获系统所有登录窗口中的密码

  3、邮箱破解

  利用邮箱盗取QQ密码也是一种比较常用的方法。我们都知道,腾讯公司在对用户的QQ号码进行验证时需要用户填写电子邮箱。对于申请了“密码保护”功能的用户,在腾讯主页上找回遗忘的密码时,密码会被发送到用户注册时的邮箱中。所以,只要盗号者破解了对方的电子邮箱,就有机会得到其QQ密码!通常我们在对方QQ注册时填写的邮箱。至于如何破解电子邮箱,具体的操作方法有多种,由于它有点超出文本的范畴,所以大家可以自己上网查询相关资料,在此就不赘述了。
  
  4、消息诈骗

 

  孔子曰:上士杀人用笔端,中士杀人用语言,下士杀人用石盘。远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法,那就是利用不少人爱贪小便宜的弱点,进行人为的欺骗!

  标题:腾讯关于xxxxx获奖通知

  “QQ幸运儿:恭喜!!!您已经成为QQ在线网友齐抽奖的中奖用户。您将获赠精美T恤1件,并有机会得到NOKIA 7110手机1部。腾讯公司(tencent.com)注:奖品是以邮寄方式寄出,请您认真填写以下资料。如果填写错误,将被作为自动放弃获奖机会处理。> > QQ号码:> 密码:> 姓名:> E-mail地址:> 身份证号码:> 通讯地址:> 联系电话:> 邮编:”

  比如我们的QQ经常会收到如下的陌生人消息。

  如果你真的如实填写这些资料并傻傻的发送回去,不一会儿QQ密码就被盗了。

  还有类似这样的消息:“亲爱的***号QQ用户,恭喜你你已经成为腾讯的幸运号码,腾讯公司送你QQ靓号:12345,密码:54321。请尽快登陆并修改密码,感谢您对腾讯公司的支持!”不少人一看,以为白捡的便宜来了 ,登录一试还是真的,于是就大大咧咧地笑纳了。但是,很多人为了方便,不管什么东西都爱使用相同的密码,所以当这个QQ号的密码被你改为与自己QQ号相同的密码时,自己QQ号的连同这个赠送的QQ号都得玩完!这是因为,赠送的QQ号已被盗号者申请过密码保护,当你更改密码后他就利用腾讯的密码保护功能把它收了回去,同时也收走你的QQ密码。如果你的QQ没有申请过密码保护,此刻就只能和它永别了。

  5、更多的木马破解

  “古希腊大军围攻特洛伊城,久攻不破,遂造一大木马藏匿将士于其中,大部队假装撤退而弃木马。城中得知敌退,将木马作战利品拖入城内。午夜时分,匿于木马中的将士开启城门四处纵火,城外伏兵涌入,里应外合,焚屠特洛伊城。”这是古希腊神话《木马屠城记》的故事,其中那只木马被黑客程序借用其名,表“一经潜入,后患无穷”之意。一个完整的木马程序由服务器端和控制端组成。所谓“中了木马”,是指用户的电脑中被安装了木马的服务器端,而拥有控制端的盗号者就通过网络远程控制该电脑,从而轻而易举地盗得该电脑中的QQ密码。

  针对QQ的木马程序多不胜数,其中专门盗取QQ密码的也有一大堆,它们被偷偷地安装在用户的电脑中,随电脑启动而自动运行,如果用户使用QQ,那么其账号和密码就会被这些木马记录下来,并发送到木马安装者的邮箱中。前面已经介绍了两款通过登录窗口盗号的QQ木马,下面再介绍两款典型的。

  第一款:极品QQ盗号2004

  这是“极品QQ盗号”木马的最新版本。它的使用方法跟前面介绍的“密码使者”差不多,先再“设置”栏中填入接收QQ密码的邮箱地址和发送邮件的标题,然后把生成的盗号器偷偷地安装到别人的电脑里……这个木马声称可以避过主流的杀毒软件,盗取QQ最新版本的密码,即QQ2004和QQ2004奥运特别版的密码。

图片点击可在新窗口打开查看

“极品QQ盗号2004”声称可以盗取QQ2004

  第二款:QQ间谍3.0

  使用此木马软件时,点击工具条上的“服务端”,按照提示生成服务端程序,然后把它偷偷地传到别人的电脑中,当受害者不小心运行了它,木马就被种上了。这个木马不仅可以盗号,还能悄悄地在后台记录受害者的QQ聊天信息,并下载可执行文件实现远程升级和远程执行脚本程序。另外再注册之后,它还可以直接远程监控对方电脑上的QQ聊天记录。

  利用木马软件盗取QQ密码,显然比用前面介绍的那些破解方法更有效率!不仅节省时间,而且成功率也高。但是,如何把木马程序的服务器端安装在用户的电脑中,这是一个费心思的事儿。另外,很多功能强大的木马程序都是需要花钱注册,才能使用其全部功能。因此,对于那些水平参差不齐的盗号者而言,要想玩转木马程序,还得费点劲。


 回到顶部