2 木马攻击
*攻击原理:
木马,即后门程序,它包括两个部分:服务端和控制端,当目标机器运行了服务端后,黑客就可以利用控制端来控制你的机器了。
如果你中了木马,那么它有可能对你的电脑做以下事情:创建,移动,复制,上传,删除你的文件;管理共享,格式化硬盘;记录键盘并从中提取密码;查找隐藏密码并发送到指定邮箱;控制进程,远程关机,重起,锁定鼠标和热键;操作注册表,包括浏览,增删,复制主键;向被控方法送信息等。
*感染方式:
1)欺骗法:利用一切欺骗行为引诱你运行服务端
2)捆绑法:与正常程序捆绑,让你无防备的运行服务端(比如与flash捆绑)
3)改名法:更改木马的图标并将程序改名为*.jpg.exe或*.tex.exe形式,因为windows默认不显示文件后缀,让你以为不是可执行文件,从而运行
4)网页法:在网页中插入恶意代码
*常见木马:
国产的冰河、蓝色火焰、广外女生等,国外的软件有Back Orifice、NetBus等,(树大招风这个道理大家知道吧,由于这些木马太有名了,所以各大杀毒软件都能够查杀它们,但一些不知名的小木马,或个人写的木马程序,防火墙也许就无能为力了)
*防范办法:
1)不执行陌生,可疑的文件,必要时用杀毒软件查杀(但不要过于相信杀毒软件)
2)对于捆绑程序,要注意文件大小,如果你发现600k的txt文件,那你应该小心了
3)让windows显示文件后缀:文件夹选项-查看-把‘显示已知文件的扩展名'前的勾去掉
4)不要随便观看可疑的网页(不过,谁也说不好哪个网页可疑)
5)定期使用查毒软件或查杀木马软件检查系统,如Iparmor
6)安装防火墙
如果你确定你已经中了木马,你可以在网上寻找相应的清除方法加以清除,我在此不做过多介绍了。
3 OICQ安全
虽然OICQ并不是WIN98系统的一部分,但98用户问题最多的可能就是关于OICQ了,而且一些木马也可能通过OICQ传到你的电脑,因此在次我们将讨论一下OICQ的安全防护。
*攻击类型:
1)获取信息
攻击描述:受害者一般都是在公共场合(或多人登陆一台电脑)使用OICQ,倘若你选择了保存密码登陆,则别人可以轻而易举地登录到你的帐号下,这样你的密码、好友名单、聊天记录就毫无任何安全可言了,还有更高级的,就是利用一个叫做oicqreader的软件,只要选好oicq的安装路径,则oicq安装目录下的所有oicq帐号都在劫难逃,好友名单和聊天记录就都乖乖地展示在入侵者眼前。
解决方法:不使用保存密码登陆;下线后删除以你号码命名的文件夹
2)记录/破解密码
攻击描述:破解可分为本地破解和远程破解,本地破解又可分为暴力破解和后台记录
本地暴力破解:用破解软件对本地相应文件加进行破解,破解成功将直接获得密码
本地后台记录:用密码记录软件或键盘记录软件对密码进行后台记录,并将密码保存到相应文件或发送到指定邮箱
远程暴力破解:在联网的情况下对密码进行强行猜解,从而直接获得密码,但猜解速度与网络情况有关,老牌软件比如:ICQ Hack
解决方法:设置一个安全,复杂的密码;公共场所下线后,删除以你号码命名的文件夹
3)轰炸帐号
攻击描述:简单地讲就是在极短的时间内发出大量的数据给某个oicq帐号,使之应接不暇,系统速度变慢直至下线或当机。
此类攻击首先得知道他的ip地址和端口,以前大家都用相关的软件来查,比如冯志宏的oicqsniffer,第三只眼的xoicq等,但现在有了更简便的方法,就是使用能显示对方IP和端口的OICQ,比如珊瑚虫工作室的,很好用的。
攻击软件有oicqbomb、oicqnuke、oicqspy 、oicqjoke等众多软件,而且都是傻瓜型,不会用都很难。由于此类攻击并不是利用什么漏洞,而是基于TCP/IP协议,发送大量数据,因此并不是很好防范。
解决方法:使用代理服务器(可隐藏自己真实IP);安装防火墙
*以下为使用QQ的注意事项:
一、没有申请“密码保护”功能和刚申请到号码之后的网友应该立刻申请密码保护 http://www.tencent.com/service/
二、QQ的密码不要太简单,许多破QQ密码的工具,都是采用的穷举法。所以你的密码最好设为8位数以上,数字字母和特殊符号相结合;
三、在网吧输入密码时不要让旁边的人看到,上完后把c:\program files\OICQ\中你的QQ号目录删除(shift+del);
四、密码要不定期地更换;
五、安装防火墙(如天网)和防毒软件(如金山毒霸),提防别人对你的机器进行扫描、安装木马;
六、使用最新版本的OICQ,将系统参数设置项打开,选择安全设置项,将高级安全设置中的拒绝旧版陌生人消息或拒绝旧版所有消息打上钩;
七、个人资料上填写的E-mail和申请密码保护所用E-mail不要相同;
八、OICQ密码、上网账号密码和信箱密码不要相同;
九、如果同时拥有几个号码,又不经常上网。那么要在每个号码上都加上好友,防止腾讯回收号码;
十、上网时谦虚谨慎,在聊天室里不要恶意辱骂、中伤网友,要明白一山还有一山高的道理。
4 恶意代码
*攻击原理:恶意网页中包含有恶意代码,利用浏览器或者其他已知系统弱点/漏洞,对访问者的电脑进行非法设置和恶意攻击。
*攻击类型:
1修改注册表
利用IE的文本漏洞通过编辑的脚本程序修改注册表,如修改IE的起始主页,工具栏,默认的搜索引擎,IE标题栏,修改或禁止IE右键,定时弹出IE新窗口;禁止修改注册表;系统启动时弹出网页或对话框
常用恢复工具:超级兔子魔法配置,优化大师,3721魔宝石,杀毒王自带的IE修复器等(建议初学者用工具修复)
2无聊恶意网页
这一类网页是利用编写JAVASCRIPT代码,比如弹出无数关不完的窗口,让CPU资源耗尽重新启动。
防范方法:将JAVA禁用(但对个别正常网页稍有影响),升级IE到高版本
3利用IE漏洞
此类攻击方法是利用IE漏洞对用户进行攻击,由于WIN98用户IE版本都比较低,如果没有及时打补丁,将很容易受到此方法攻击。
1)格式化硬盘
2)执行.exe文件
3)自动运行木马程序(利用IE的MIME头错误漏洞)
4)泄露用户的信息(IE框架漏洞)
解决方法:
最简便安全的就是升级你的IE,并将它进行配置。
以下是一些常用的防范恶意代码的方法:
1)要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2)运行IE,点击“工具→Internet选项→安全→Internet区域的安全级别,把安全极别由“中”改为“高”。
3)由于这些网页往往是含有有害代码的ActiveX或Applet、Javascript的网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。
不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,您还是自己看着办吧。
4)对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你。
5)安装网络防火墙,特别是安装了Norton2001后,进入该类网页就会报警提示有脚本写注册表,国产反病毒软件KVW3000也有此类功效,建议您也安装一个这样的软件。
6)虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点:
打开IE,点击“工具”→ “Internet选项”→“内容”→“分级审查”,点“启用”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,如输入: http://www.XXX.com ,按“从不”按钮,再点击“确定”即大功告成!
7)设置注册表相关值项,为注册表"加锁"
(1)运行注册表编辑器regedit.exe;
(2)在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,增加名为DisableRegistryTools的DWORD值项,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
如果你由于其它原因需要修改注册表,可用如下解锁方法:
用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
REGEDIT4
;这里一定要空一行,否则将修改失败
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
对于WIN 2000或XP,把 REGEDIT4 改为Windows Registry Editor Version 5.00即可。(未完待续)
|