黑客入侵监视器_黑客入侵监视器怎么办
文字简介:
- 1、怀疑mac被黑客入侵,下键盘记录之类的木马,如何查证?
- 2、黑客是如何窃取服务器文件的
- 3、个人电脑怎样进入国家的视频监控,就是路上的监视器
- 4、如何防范黑客入侵的 ***
- 5、IDS的主要功能有哪些?
- 6、黑客侵入某个部门的电脑系统是不是一定得通过互联网?
怀疑mac被黑客入侵,下键盘记录之类的木马,如何查证?
mac的话你可以下载腾讯电脑管家mac专用版本,可以拦截恶意网页和病毒木马
因为mac系统比较特殊,封闭性强,所以基本上就很少受到病毒和木马的攻击
为了你的电脑安全,建议不要关闭杀毒软件,以防中毒后电脑文件遭到破坏造成损失
建议你安装腾讯电脑管家,这个的安全防护功能可以保护你的电脑安全, *** 、u盘等等可以为你提供特殊保护,而且无需单独开启,很方便也很安全,推荐你试试
黑客是如何窃取服务器文件的
我的经验就是打补丁,装杀毒软件,防火墙。不过还是转一篇文章楼主看下吧,其实想找的话,这样的文章百度上一堆。
服务器安全配置精华技巧
Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统。
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,更好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户,把它的权限设置成更低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的 *** 的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个 *** 是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也更好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在_blank"防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的之一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体 *** 为:
网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测 *** 。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10.到微软网站下载最新的补丁程序
很多 *** 管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一 *** 。
高级篇:
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:\winntFAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
解决办法:
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板系统属性高级启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从 *** *** 问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好 *** 。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决 *** 。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
SF的必须开放端口,极其解决端口安全的 ***
传奇服务器开放端口+花生壳+一些必须端口
可以将这些端口使用TCP/IP筛选,只开放这些端口增加安全性,(开设其他服务,端口自己再加入)
TCP/IP筛选端口- TCP断口
端口7220 .... RunGate 1 端口
端口7210 .... RunGate 2 端口 同时开启3个RunGate
端口7200 .... RunGate 3 端口
端口7100
端口7012
端口6000
端口5600
端口5500
端口5100
端口5000
端口4900
端口3389
端口3372
端口3100
端口3000
端口1027
端口1025
端口0135
\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体 *** 为:
网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选,添加需要的tcp,协议即可。
我开了3个RunGate端口,解决多个玩家同时登陆访问时会出现7200错误而使服务器突然狂卡,开3个效果比较好。是*(ggggg7原创)
开3个RunGate端口的 *** :
RunGate文件夹再复制2份 分别为RunGate1,RunGate2,RunGate3 将里面的Mirgate.ini分别改为GatePort=7200,GatePort=7210,GatePort=7220
DBSrv200文件夹下的!serverinfo.txt改为127.0.0.1 127.0.0.1 7200 127.0.0.1 7210 127.0.0.1 7220
Mir200文件夹下的!servertable.txt改为
1 127.0.0.1 7200
2 127.0.0.1 7210
3 127.0.0.1 7220
然后运行RunGate1,RunGate2,RunGate3 下的3个RunGate.exe
M2Server会提示:
Gate 0 opened
Gate 1 opened
Gate 2 opened
适当的加点防火墙会更好
个人电脑怎样进入国家的视频监控,就是路上的监视器
某些地方的监视器,开放了向群众进入查看的帐号,这是经允许查看的。
如果要黑进去,你我都不行。有一定专业知识的黑客可以黑进去,但这行为不受法律保护。
如何防范黑客入侵的 ***
*** 时代,越来越多的人喜欢上在 *** 上“晒”自己创作的文字、影像等。但是,又有很多人的私人影像资料等在未经本人允许的情况下被黑客窃取,甚至流传到网上,让很多普通人被迫成了“网红”。
近日,一位女大学生就面临着 *** 入侵的侵害。一位读大学的19岁大连女孩,把自己的电脑送去电脑店修理,但让她没想到的是,修好后的电脑中被植入了 *** 软件,摄像头也被远程操控。
摄像头入侵(图文无关)
电脑故障,送维修店修理
刚成年的大连女孩肖婷在外地读大学。2007年国庆节期间肖婷回到大连与家人团聚。由于在外读书期间,自己的笔记本出现了一些故障,肖婷便趁着回家把笔记本送到家乡的一加电脑维修店进行修理。几天后,肖婷取回了修好的笔记本,电脑故障排除,一切都毫无异样,肖婷也就没在关心修电脑的事情。
警方联系,电脑竟成监控
笔记本电脑摄像头
电脑故障排除后,肖婷一直在正常使用着自己的电脑。一直到了12月6日,人在外地的肖婷突然接到大连警方打来的 *** 。民警告诉肖婷,她的电脑里被人安装了 *** 软件,可以远程控制电脑摄像头!起初,肖婷还以为遇到了骗子,但经过核实,才发现民警说的都是真的。
维修工做手脚,偷装监控软件
*** 监控平台(图文无关)
而经过调查后发现,植入偷窥软件的正是售后服务站的维修工程师。这位维修工程师表示,电脑被植入 *** 软件后,这位女大学生在女生寝室里的一举一动,都被拍下了视频,还被直播了出去,更夸张的是,这位女生全寝室换衣服都都曾被公开直播。
普通人如何防范 *** 入侵
1.使用正版操作系统
虽然正版的操作系统也有被 *** 入侵的风险,但是相对于盗版操作系统要小得多。很多消费者习惯到电脑店安装盗版操作系统,价格20元左右不等,或者到 *** 上自己下载破解的操作系统安装。事实上,这些操作系统本身甚至已经被植入了木马、病毒等,很容易就会成为黑客的监视器。
2.谨慎使用 *** 摄像头
*** 摄像头(图文无关)
很多家庭都在使用 *** 摄像头进行家庭监控,其可以随时随地查看监控信息的功能深得消费者们的喜爱。但是,这些 *** 摄像头依然有被黑客入侵的风险。消费者应当选购大公司的产品,并且定期修改监控账号的密码。安装摄像头时,应避免将摄像头对准浴室等隐私位置。
3.使用正版杀毒软件
如果电脑无法避免在病毒风险中使用,应当安装正版的杀毒软件定期对电脑进行扫描。
IDS的主要功能有哪些?
几乎所有当前市场上的 *** 入侵检测系统都是基于一种被动数据收集方式的协议分析
,我们可以预见,这种方式在本质上是有缺陷的。
毫无疑问,这样的入侵检测系统会监视整个 *** 环境中的数据流量,并且总是与一种
预定义的可疑行为模式来进行对照,甚至所谓的入侵行为分析技术也只是简单地从单位时
间状态事件技术上做了些组合工作,事实上离真正实用的复杂黑客入侵行为的剖析和理解
还有很远的距离。
对于这种检测技术的可靠性,我们可以通过自定义的三种可行性很强的攻击方式来验
证――插入攻击、逃避攻击和拒绝服务攻击。我们可以看到,当一个入侵者实施了这样的
入侵策略以后,所谓的入侵检测系统便妥协了。我们的结论是这种入侵检测系统不是放之
四海而皆准的,除非它们从根本上被重新设计过。
入侵检测系统的作用及其功能
真正实用的入侵检测系统的存在价值就是能够察觉黑客的入侵行为并且进行记录和处
理,当然,人们也会根据自己的需求提出需要强大的日志记录策略、黑客入侵诱导等等。
不同的入侵检测系统存在不同的入侵分析特征。一个企图检测Web入侵的系统可能只会
考虑那些常见的恶意HTTP协议请求;同样道理,一个监视动态路由协议的系统可能只会考
虑 *** 是否存在RIP欺骗攻击等等。目前国内市场上的大部分入侵检测系统使用同一个入侵
行为定义库,如著名的SNORT特征库,这说明我们在技术挖掘方面的投入还不够,事实上我
国在基础研究设施的投入上也存在严重不足。
入侵检测系统现在已经成为重要的安全组件,它有效地补充和完善了其他安全技术和
手段,如近乎快过时的基于协议和端口的防火墙。入侵检测系统为管理人员提供相应的警
告信息、报告可能发生的潜在攻击,从而抵挡了大部分“只是对系统设计好奇”的普通入
侵者。
世界上已经开发出了很多种入侵检测系统,我们可以用通用的入侵检测体系结构(CI
DF:Common Intrusion Detection Framework)来定义常见的入侵检测系统的功能组件。这
些功能组件通常包括事件产生器、分析引擎、存储机制、攻击事件对策。
许多入侵检测系统在设计之时就仅仅被考虑作为警报器。好在多数商业化的入侵检测
系统配置了可用的防御性反攻击模块,起码可以切断TCP连接或动态地更改互动防火墙过滤
规则。这样就可以阻止黑客沿着同一路径继续他的攻击行为。一些入侵检测系统还配置了
很好的攻击诱骗模块,可以为系统提供进一步的防护,也为进一步深入研究黑客行为提供
了依据。
IDS到底有那些不足
IDS的基本原理
对于比较普遍的两种入侵检测模式--基于 *** 的入侵检测和基于主机的入侵检测,我
们可以这样考虑:基于主机的入侵检测系统对于特定主机给予了定制性的保护,对于发生
在本地的、用户级的、特征性比较明显的入侵行为有防范作用。但是,这种模式对于发生
在 *** 传输层的入侵通常是无可奈何的,想让应用级特征比较强的系统同时把系统级和网
络底层技术实现得比较完善是不太现实的。虽然我们可以看到在伟大的Linux系统上实现了
Lids,毕竟象Solaris,NT这样的系统,我们能够了解的只是皮毛。
基于 *** 的入侵检测系统需要监视整个 *** 的流量,匹配可疑行为特征。它的技术实
现通常必须从 *** 和系统的底层入手,而且它同时保护的是 *** 上的一批主机,无论它们
使用的什么系统。基于 *** 的入侵检测系统显然不会关心某一台主机之上正在进行着什么
操作,只要这些操作数据不会扩散到 *** 上来。因为 *** 入侵检测系统是以行为模式匹配
为基础的,我们可以断定它有匹配失误的可能,有因为不能确定某种行为是入侵而将其放
行的可能。那么当一个“聪明”的入侵者骗过了这种系统,顺利地进入一台主机,该系统
的厄运开始了。
被动的 *** 监视器通常利用 *** 的混杂模式工作,它们直接从 *** 媒介获得 *** 中数
据包的拷贝,而不考虑这些包本来是不应该被它们接收的。当然,这种被动的 *** 底层协
议分析总是“安静地”存在于 *** 的某个地方,它只是根据 *** 媒介提供的这种特征,在
其他主机不知不觉的时候将 *** 数据拷贝一份。同时,需要考虑到,根据引擎端实现平台
的不同,各平台实现的 *** 数据包捕获机制的不同,在混杂模式下丢包的程度是不同的。
事实上,对于大多数还需要从内核读取数据的应用级包过滤系统,只能考虑以更快的方式
把数据读取到用户空间,进而发送给其它进程。 这样处理的化,要求从技术上增加用户空
间的缓冲区尺寸,如在BSD(BPF)的系统上,能够利用BIOCSBLEN ioctl调用来增加缓冲区尺
寸。
攻击IDS的原理
入侵检测系统地最重要的特征莫过于其检测的“精确性”。因此IDS要对捕获到的数据
包进行详细的分析,所以对IDS的攻击就是针对IDS在分析数据时的弱点和漏洞。
*** IDS捕获到 *** 上传输的数据包并进行分析,以便知道一个对象对另一个对象做了
什么。IDS总是通过 *** 上交换的数据包来对终端系统上发生的信息行为进行判断。假设一
个带有错误UDP校验和的IP数据包,大多数操作系统会丢弃这样的数据。某些比较陈旧的系
统也可能会接受。IDS需要了解每一个终端系统的具体情况,否则IDS按照自己的方式构造
出来的逻辑在终端系统上的应用会有不同。某些操作系统有可能会接受一个明显存在问题
的数据包,如允许一个有错误的校验和的IP包。当然,IDS如果不进行分辨,必然会丢掉这
些本来终端系统会接受的数据。
就算IDS系统知道 *** 都有些什么操作系统,它也没有办法通过查看一个包而知道是否
一个终端系统会接受这个包。原因很简单,CPU耗尽、内存不足都可能导致系统发生丢包现
象。
IDS全部的信息来源就是它捕获到的数据包。但是,IDS应该多了解一些关于终端系统
的 *** 行为,应该了解终端系统如何处理各种 *** 数据。但是,实际上,这是不可能的。
在处理所谓的拒绝服务攻击时,存在两种常见的情况:某些IDS系统在自己处于停机状
态时,可以保持 *** 正常的信息流通,这种属于“fail-open”型;另一种则是“fail-cl
osed”型,即当IDS系统出现问题时,整个 *** 也随之瘫痪了。
*** 检测系统是被动的。它们不控制 *** 本身,也不会以任何方式维护 *** 的连接。
如果一个IDS系统是fail-open的,入侵者通过各种手段使IDS资源不可用了,那时IDS就没
有任何防范入侵的作用了。正是因为这样,IDS系统加强自身抗拒绝服务攻击的能力显得极
为重要。
当然,许多攻击方式讨论的都是针对基于嗅探模式的IDS系统。这些类型的攻击都企图
阻止协议分析,阻止特征模式匹配,阻止IDS获得足够信息以得出结论。
针对入侵检测系统弱点的攻击探讨
有时IDS系统会接受终端系统丢弃了的数据包。因为IDS认为终端系统接受并且处理了
这些数据,而事实上终端系统由于种种原因丢弃了这些数据包。一个入侵者就可以利用这
一点,制造那种他所想要入侵的主机会丢弃而IDS系统将接受并作出判断的数据包,以使I
DS与终端系统得到不同的结论。
我们可以把这种攻击称为“插入式”攻击。道理很简单,假设一个入侵者发往终端系
统的数据是attack,但是,他通过精心构造在数据流中加入了一个多余的t。对于终端系统
而言,这个t是被丢掉不被处理的;而对于IDS系统而言,它得到的最终上下文关系是attt
ack,这个结论使IDS认为这次行为并没有对终端系统形成攻击而不作处理,事实上,终端
系统已经接受了attack数据。
现在让我们来分析一下这种方式的攻击如何阻止特征分析。特征分析通常的方式是根
据固定模式判断某个特定的字串是否被存在于一个数据流中,例如,对待一个phf的HTTP攻
击,IDS通常检查这个字串的存在与否,“GET /cgi-bin/phf?”, IDS系统判断这种情况很
容易,只需要简单的子串搜索功能便可以做到,然而,但是,如果一个入侵者通过插入式
攻击的思想在这次HTTP请求中增加了这样的内容,GET /cgi-bin/pleasedontdetectthisf
orme?,里面同样包含了phf,但是在IDS看来,味道已经不一样了。
插入式攻击的的结果就是IDS系统与终端系统重组得到了不一样的内容。通常,插入式
攻击在IDS没有终端系统处理数据那么严格的时候都存在。可能好的解决 *** 就是让IDS系
统在处理 *** 中需要重组的数据的时候,作出严格的判断和处理,尽可能地与终端系统处
理地效果一个样。可是,引来了另外一个问题,这便是另一种攻击方式,相对地叫做“逃
避式“攻击模式。
相对的,有些数据包是IDS不会接受的,而终端系统却会对这些数据作出处理。当然,
IDS由于不接受某些包,而会导致与这些数据相关的上下文关系无法了解。
问题的现象是因为IDS在对数据包进行审核处理的时候过于严格,使得往往某些数据在
终端系统而言,是要进行接受重组处理的,而在IDS本身,仅仅是不作处理,导致许多攻击
在这种严格的分析引擎的鼻子地下躲过。
逃避式攻击和插入式攻击都有效地愚弄了模式匹配引擎系统。结果都是入侵者使得ID
S与终端系统接受处理了不同的数据流,在逃避式攻击中,终端系统比IDS接受了更多的内
容而遭受攻击。
还是上面的phf的例子,入侵者发送了一个HTTP请求,使得原本的GET /cgi-bin/phf?
在IDS处理的结论中变成了GET /gin/f,当然,这个结论对于大多数IDS系统来说,几乎没
有任何意义。
从技术上来看, 插入式和逃避式这两种对付检测系统的方式也不是这容易就被入侵者
所利用,因为实现这种攻击要求入侵具备相当的知识面和实践能力。
现在的许多 *** 协议是简单的并且容易分析的。比如一个普通的 *** 分析器就能够容易的
判断一个UDP DNS请求的目的。
其它的一些协议则复杂的多,在得出实际传输的内容之前,需要对许多单个的数据包
进行考虑。这样的话, *** 监视器必须总是监视内容的数据流,跟踪包含在数据流中的信
息。例如,为了解析出一个TCP连接中发生了什么,必须重组这次连接中的整个数据流。
象TCP这样的协议,允许在IP更大包尺寸范围内的任意大小的数据被包含于每一个分散
的数据包中,数据可以无序地到达目的地,每个数据包都具有一个序列号来表明自己在数
据流中的位置。TCP数据流的接受者有责任重新按照序列号进行数据包的重新排序和组合,
并解析出数据发送者的意思。这有一套TCP的数据重组机制来完成。在IP层,IP也定义了一
种自己的机制,叫做“碎片“,这种机制允许主机把一个数据包切分为更小的数据分片。
每一个片都有一个标记,标记自己原来属于原始数据包的什么相对位置,叫做”偏移值“
。IP实现允许接受这样的IP碎片包,并且根据偏移值来重组原始数据包。插入式攻击通过
增加一些数据包到数据流中导致终端系统重组很困难。 *** 入的数据包能够改变数据流的
先后顺序,进而阻止IDS正确地处理紧跟着的正确的数据包。包的插入重叠了老的数据,在
IDS系统上重写了数据流。某些情况下,插入数据包,改变了数据流原来的意思。
逃避式攻击则是导致IDS系统在进行流重组的时候错过了其中的部分关键内容,被IDS忽略
的数据包可能对于数据流的顺序来说是至关重要的;IDS系统可能在逃避式攻击之后不知道
该如何对这些数据下结论了。许多情况下,入侵者产生整个躲避IDS系统检测的数据流是相
对简单的。
“插入式”和“逃避式”IDS攻击都不是很容易防范的,除非IDS通过了第二信息源的配合
,能够对当前监视的 *** 拓扑结构以及对作为被监视对象的终端系统所能够接收什么样的
数据包进行跟踪分析,否则问题依然存在,这是目前必须要提出来的对被检测 *** 的诠释
技术,尽可能通过配合第二信息源的方式,让IDS对它所检测的 *** 中的终端系统以及 ***
实际环境有一个成熟的了解。如果一个攻击能够造成实现插入任意的IP数据包,那么,插
入一个UDP或者ICMP也是没有问题的。所以可以看出IDS系统在IP层实现对这两种入侵手段
的免疫将是很重要的。一个最容易的让终端系统丢弃IP数据包的方式是让数据包具有不正
确的IP头部信息。如RFC731定义。入侵者所使用的这些头部信息有问题的数据包在现实中
可能会遇到问题,除非攻击对象IDS系统处在同一个局域网之内,例如如果version域不是
4,而是其他的值,这种数据包实际上是不会被路由的。当然,对于其他的一些域值,比如
IP包长度或者IP头长度,一个不规范的长度将阻止IDS系统正确定位IP中的传输层的位置等
。
在IP头域信息中,最容易被忽略的是校验值。似乎对于一个IDS系统去校验每一个捕获的I
P数据包的校验是没有必要的。然而,一个带有病态的校验值的数据报对于大多数IP实现来
说都是不会被处理的。一个IDS系统在设计的时候考虑到有问题的校验了么?如果没有考虑
到校验的必要性,那么很难避免“插入式“攻击。TTL域表示了一个数据包在到达目的系统
的过程中需要经过多少路由器。每一次,一个路由器转发一个数据包,数据包所带的TTL信
息将会被消耗。TTL消耗尽时,包也被丢弃了。所以,入侵者可以构建一个TTL的值,使得
发送的数据包刚好可以到达IDS系统,但是TTL刚好耗尽了,数据本来应该到达的目标却没
有到。相类似的另一个问题与IP头部的DF标志有关。DF标志置位使得转发设备即便是在包
超出标准大小尺寸的时候也不要对数据进行IP分片,紧紧通知简单的丢弃掉这些包。
这两个不明确的问题的解决要求IDS系统能够了解它所监视的 *** 拓扑结构。
IP校验和问题很好解决;一个IDS系统可以假设如果校验和是错误的,那么数据包将会被目
标系统所不接受。而IP的选项域的存在又导致一些不同的可能性。许多操作系统可以配置
为自动拒绝源路由数据包。除非IDS了解是否一个源路由数据包的目标主机拒绝这样的数据
包,否则不可能正确处理这样情况。
对IP数据包中的源路由项进行检查或许是一个明显的必要。然而,其他的一些选项也是必
须应该考虑的。例如,“timestamp“选项要求特定的数据包的接受者在数据包里放置一个
时间戳标记。如果这个选项出现问题,处理事件戳选项的代码将强迫丢弃这个包。如果ID
S没有如同终端系统那样核实时间戳选项的话,便存在问题。
同一个LAN上的入侵者能够指引链路层的数据帧到IDS系统,不必允许作为IP目标的主机看
到这个包。如果一个入侵者知道了IDS的MAC地址,他便能将他的欺骗包发往IDS系统,LAN
上的其他系统不会处理这个数据包,但是,如果IDS不检查接受到的数据包的MAC地址,它
是不会知道发生了什么情况的。
逃避式攻击则是导致IDS系统在进行流重组的时候错过了其中的部分关键内容,被IDS忽略
的数据包可能对于数据流的顺序来说是至关重要的;IDS系统可能在逃避式攻击之后不知道
该如何对这些数据下结论了。许多情况下,入侵者产生整个躲避IDS系统检测的数据流是相
对简单的。
因为终端系统将重组IP碎片,所以IDS系统能够进行IP碎片重组也是重要的。一个不能正确
的重组碎片的IDS系统将是容易受到攻击的,入侵者仅仅通过人工生产碎片便可以愚弄IDS
。IP碎片的数据流通常有序到达。但是,协议允许碎片以任何次序到达。一个终端系统必
须能够重组无序到达的数据包分片。 IDS系统如果不能处理IP碎片无序到达这种情况的话
,也是存在问题的;一个入侵者能够故意捣乱他的碎片来逃避IDS检测。而且IDS必须在全
部的碎片都被接收到以后才进行碎片重组。当然了,接收到的分片必须被存储下来,直到
分片流可以被重组为一个完整的IP数据包。一个入侵者如果利用分片的形式来对 *** 进行
flooding攻击,那么IDS系统通常会资源耗尽。
每个终端系统也必须处理这个问题。许多系统根据TTL来丢弃分片,而避免这种由于大量碎
片请求造成的内存不足。许多入侵者能够刻意地通过构造病态的IP分片躲避传统的包过滤
器,他们使用的是尽可能小的分片包,因为单个的分片所包含的数据不足以达到过滤规则
的长度。另外,出现的问题是重叠的分片处理问题,可能性是这样的,具有不同尺寸和分
片先后到达系统,并且分片的数据位置处于重叠状态,既是说,如果一个分片迟于另外一
个分片达到系统,两个分片对于重组参数来说是同一个,这时新到的数据可能会覆盖掉已
经先到达的老的一些数据。这便又提出了一个问题,如果一个IDS系统没有能够以它所监视
和保护的终端系统处理分片的方式处理分片包的话,可能面对同一个数据分片流,IDS系统
将重组出于终端系统得到的安全不同的数据包。一个了解这种IDS与终端系统之间矛盾的入
侵者可能会采用这种入侵方式。对于重叠分片的取舍是更加复杂的,对于这些又冲突的分
片数据是否被采纳往往取决于他们所在的位置,而根据不同的操作系统的对IP碎片重叠情
况的不同处理也不一样。有些情况,新的数据被承认而有的时候是旧的被承认,而新的被
丢弃。当然,IDS不能正确分析这种情况,将面临“逃脱”式攻击。
IDS系统并不是处理这种重叠分片出现问题的唯一IP实现,终端系统的IP驱动程序同样会有
问题。或许正是因为IP碎片重组的困难和复杂才使得出现了那么多不正确的处理。所以,
除非一个IDS系统准确的知道它所监视的系统都是什么不同的IP驱动,否则精确地重组每一
个系统接受地数据是不可能的。
例如:Windows NT在处理重叠分片时,总是保留已有的数据。这与BSD4.4刚好相反。
IP包的选项域是应该考虑到的。当一个IP包被分片时,来自于原始数据包的选项是否应该
被携带到全部的分片中去。RFC791声明某些IP选项如(security)将出现在每一个分片里
,而其它的一些必须只出现在之一个分片中。对于严格的IP实现将丢弃那些具有不正确选
项的分片。但是IDS许多系统不是这样的。如果IDS没能象终端系统那样精确的处理这种情
况的话,将面临前面提到的两类攻击。
对于IP第四代协议,现实是任何人都可以进行IP地址伪造。使IDS系统判断出来好像是来自
多处的攻击。对于无连接的协议来说,更为严重。
在面向连接的协议中,关于一次连接回话的起源问题基于是否一个可用的连接被产生了;
象TCP这样的连接协议使用了序列号机制,这种机制提供了一种确认 *** , 可是,对于无
连接协议,这种相对严格的确认机制却是没有的;可以看到,一个入侵DNS的破坏者其实可
以是来自任何地方。看来,IDS系统的管理者对于IDS系统给出的 *** 地址的准确性是应该
仔细考虑的。事实上,被IDS检测到的大部分攻击是通过TCP连接的。所以,IDS对TCP会话
数据流的重组能力成为关键。而假如IDS没有能够使用与它所检测的 *** 中的终端系统同样
的重组规则的话,将是脆弱的。对于正常的TCP连接,就像一次由远程登录发起的连接,这
很容易做到的。也存在许多实现TCP连接监视的 *** 。对于IDS而言,没有一个对捕获到的
TCP数据流如何进行处理的标准规范成了最主要的问题。
IDS系统为了能够重建TCP连接的信息,TCP片段使用的序列号信息是必须知道的。我们可以
把这种IDS去判断当前连接的可用序列号的过程叫“同步”。当然,在判断序列号时出现问
题,可以叫“失去同步”。当IDS系统在一次TCP连接中失去序列号同步了,就不能够对这
次连接的信息数据进行有效的重组了。在许多情况下,IDS系统由此变得不再处理这一次连
接中的任何数据信息。所以,入侵者通常把让IDS系统失去同步作为一个主要目标。
TCP标准定义了一个流控制机制,用来阻止建立连接的一方发送过多的数据到连接的另外一
方;IDS追踪TCP连接的每一方的window域的值。TCP也允许数据流中发送所谓的OOB数据(
带外数据),它利用了定义的紧急指针。
对于 *** 中的终端系统,与之相关的每次连接的状态信息的收集处理是没有问题的,每种
TCP实现必须管理自己的TCB――TCP控制块,以便理解那一次建立的连接情况。一个 *** I
DS系统也必须能够维护它所监视的每一次连接对应的TCB。
任何 *** IDS系统都定义了针对所探测到的新的TCP连接而产生TCB的机制,同时也对那些不
再有关的连接进行释放和消除工作。在讨论IDS的TCP问题中,我们独立地分析三个方面,
可以看到,在IDS处理这三种情况时可能出现问题。首先是TCP creation,通过它IDS决定对
一个新探测到地TCP连接产生TCB;其次是数据流重组,IDS根据它所维护地TCB信息对数据
流进行重组,当然这一步受到上一步地关联;再者是TCB拆卸,IDS通过它撤销一个TCB。通
过分析可以看到,“插入式”攻击的实现将影响到以上提到的几个方面,插入式攻击使得
IDS系统分不清到底什么数据事实上到达了终端系统。比如在数据流重组上下文关系中,数
据插入式攻击使得一次可靠的TCP会话监视几乎成为不可能的事;所以说IDS能够针对插入
式攻击做处理是非常重要的也是很难实现的。
对于IP协议,可以有几种不同的 *** 可以实现往IDS系统中插入数据包,而对于TCP,问题
会复杂一些,但是同样有一些手段能够导致IDS去主动丢弃某些特定的数据包,以达到入侵
者的目的,无论如何,如果一个IDS系统不能够以它所监视的终端相同的方式来处理TCP包
的话,对待”插入式“将受到威胁。
在一次TCP交互中,如果接收方对应回应了一个信息,那么一个TCP片段就是被认可的,我
们进一步可能分析回应的是RST信息还是ACK信息。IDS能够通过对这些认可信息的辨识判断
一个片段是否是存在问题的。包含在TCP包里面的数据能够被提取出来进行重组,而不去考
虑TCP的头域的某些部分。这种不严格的处理情况使得容易做出对于“插入式“攻击手段显
得脆弱的TCP会话监视器,所以,在处理TCP数据的时候,先严格考虑TCP头域的信息可用性
显得很重要了。一个极易被忽略的头域是“CODE“,这个头域决定了TCP片段中发送的信息
的类型。这个域是一系列二进制标志位。可以看到,某些标志位的组合是不正常的,通常
在 *** 中导致包被丢弃掉。另外,许多TCP实现就不去接收没有ACK位被设置的TCP片段中的
数据信息。
根据TCP的标准定义,TCP实现应该接受包含在SYN类型片段中的数据信息。而对这种定义的
理解却变成了多种味道,导致一些TCP实现没有正确地处理这类信息。如果一个IDS系统没
能考虑SYN数据,那么一个随便的“逃避式”攻击就可以对它进行威胁;反之,如果这个I
DS系统能够很好地考虑SYN数据了,在针对某些没有正确实现这种定义的终端系统的时候,
它显得当不住入侵者刻画的“插入式”攻击。
另外的经常被忽略的TCP输入处理问题是校验和,全部的TCP实现被强制性地要求验证 ***
校验,许多IDS系统不能做这种检查;所以通过构建有错误校验值的TCP片段就可以简单地
插入数据包到IDS系统。
就像处理IP的选项域一样,IDS能够正确的处理TCP的选项域也是十分重要的。可是不幸的
是,由于TCP的选项域某些内容被产生和利用的时间还比较短,如timestamp、windows sc
ale这些选项;另外对于何时TCP的选项能够出现在连接的上下文中,TCP有专门的规定。某
些选项在某些连接状态或许就是不可用或者是非法的。RFC1323[13]中介绍了两个TCP的选
项,这两个选项被设计来增加TCP在高速环境下的可靠性和性能。但是规定这些选项仅仅可
以出现在非SYN的分段之中。
因为某些TCP实现会拒绝包含了这些没有见过的选项的非SYN片段,所以IDS也不可盲目的都
接受这些有选项的数据包。另外,也有一些终端系统通过忽略这些选项,继续处理这些数
据包;所以,可见IDS必须清楚地知道终端系统是如何处理各种数据包的,才能以相对于特
定的终端系统正确的处理方式来进行处理而避免如插入和逃避式攻击。
RFC1323 定义了的另外一个叫做PAWS的概念,全称是“protection against wrapped seq
uence numbers”。使用PAWS的系统将会跟踪分段中的timestamps选项;根据分段中的tim
estamps响应值判断数据包是否被丢弃,一个入侵者可以很简单的产生一个人工的timesta
mp值,目的是使得支持PAWS的TCP堆栈不用作出进一步的处理就丢弃这个数据包。IDS不仅
仅需要知道是否终端系统支持PAWS,而且还需要知道终端系统对于timestamps的threshol
d的值是什么。如果没有这些信息,IDS将会错误地处理不正确地TCP片段,或者对一个片段
的合法性作出错误的猜测。如前面提到的三点,其中TCB creation(可以叫作TCB创造)是
之一点。一个IDS系统TCB创造策略决定了IDS如何开始记录一次给定的TCP连接的数据信息
,比如象序列号等。这使得IDS可以同步一次需要监视的TCP会话。然而TCB创造是个麻烦的
问题。可以用多种 *** 可以被利用来判断何时打开一个TCB,但是,这些 *** 中的每一个似
乎证明都是有问题的。TCB创造建立一次连接的初始化状态,包括了连接序列号等信息;通
过对IDS的TCB的欺骗行为,入侵者能够破坏那些与这一次被利用的连
黑客侵入某个部门的电脑系统是不是一定得通过互联网?
你在 *** 上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何 *** 软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑.
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你更好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视 *** 的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,rylxk11就让你利用软件如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 ,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,rylxk11已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马.
rylxk11曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口.
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首显灰个端口扫描器,rylxk11推荐“ *** 猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的 *** 软件,因为可能开放的端口会被误认为是木马的端口,然后让 *** 猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。
排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得----在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过.
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。
Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:WINDOWSREGEDIT.EXE进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。
另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。
SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,rylxk11倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。
而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。rylxk11在自己的电脑中做了这样一个实验,将SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到 *** 传呼机、信箱工具等 *** 工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:WINDOWSDRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但C:WINDOWSDRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用 *** 猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中.
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp;
排除了木马以后,你就可以监视端口,悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
最后,注意计算机的异常变化。当你正在聊天的时候,突然鼠标不听你指挥了,或者计算机突然重新启动了,又或者突然出现一个新的窗口等,这些迹象表明你使用的计算机遭到了别人的控制。更好的防范办法,是下载天网个人防火墙,切断与 *** 的连接,天网同时也会自动记录下入侵者的IP。
