2007年6月 - 查皮博客@blogbus

2007年06月06日

正面应对　迎战Rootkit造成的安全威胁 - [安全资讯]

正面应对　迎战Rootkit造成的安全威胁

来源：赛迪网作者：茫然的风

Rootkit可以说是最新的安全威胁之一。任何听说过它的人都知道它臭名昭著：无法删除，在一台计算机内部存在数年而不被发现，而且可通过操作系统发动攻击。

Rootkits：隐藏的安全威胁

什么是Rootkit呢？根据www.whatis.com的观点，一个Rootkit就是一个允许以管理员身份访问计算机或计算机网络的工具的集合（a Rootkit is “a collection oftools that enable administrator-level access to a computeror a computer network.”）。根据安全专家Greg HogLund的观点，Rootkit是一个设计出来在一个系统中隐藏自身和/或其它过程数据/活动的工具。虽然名声不好，Rootkit实际上却可以拥有十分重要的应用，如管理许可证或隐藏一些管理员不想让其他人看见的文件等。Rootkit的问题在于那些隐藏一些东西并为远程用户提供访问服务的程序，它们可被滥用引起各种安全问题。如今Rootkit可被用来危及计算机的安全，因此计算机用户必须清楚这些Rootkit。Rootkit基本上可作为间谍软件、特洛伊木马、钓鱼软件和其它有害程序的一个基础平台。关于Rootkit的好话我们就不多说了，先重点谈谈Rootkit被用来犯罪的工具问题。

计算机犯罪的理想工具

因为众所周知的经济方面上的原因，近年来Rootkit已经成为一个日益严重的问题。Rootkit的力量在于它允许远程用户控制受害人的系统。一旦它在你的系统上制造或发现一个后门,就可以收集各种各样的个人信息，如信用卡号等。

Rootkit常被用来利用间谍软件和键盘记录程序进行犯罪活动。Rootkit还可以作为蠕虫和病毒的快速启动的跳板。实际上，一些蠕虫就包含Rootkit，这些Rootkit安装在被感染蠕虫的计算机上，从而通过网络进一步扩散。Rootkit的最大危险在于它们可以给远程用户一种能够对系统实施“外壳访问”（shell access）的权限，也就是说黑客可以完全地控制目标系统。如此一来，Rootkit就可以拥有一种几乎无限的破坏潜力。

Rootkit阴险地潜入

Rootkit可存在于内核、库、和应用程序的层次上。内核级的Rootkit特别危险，是人们注意的中心，因为它们十分地难于检测。Rootkit的一个真正狡猾的特点就是：有一些类型的Rootkit可以将其自身与操作系统紧密地绑定，实际上，几乎不可能检测它们。其结果是，Rootkit可以以这种方式取代操作系统，如此一来，用户就不能相信操作系统传给用户的信息。

传统的反间谍软件和反病毒程序在这种情况下是无能为力的，因为它们依靠操作系统自身来寻求状态信息，而操作系统却已被控制。虽然一些Rootkit实际上相当阴险，不过，事实上许多Rootkit可通过关机，然后从另一个干净的磁盘重新启动来检测到。毕竟一个非活动的Rootkit是无法隐藏自己的。

感染了Rootkit怎么办？

有一种观点认为，在感染之前（或者没有被安装Rootkit）），只需备份系统，然后重新格式化磁盘再恢复系统是个好办法。无可否认，这是针对此问题的一个极端的方法。现在有多种免费的或开源的Rootkit检测工具来解决问题，不过这并非是真正的安全之道。用户应谨慎地选择这种软件。特别是免费的Rootkit检测工具并不能像商业软件那样及时更新，而此Rootkit的发展步伐又是如此之快，因此我们还要寻求其它的方法。

因为Rootkit经常被用作间谍软件的平台，配置最好的可以解决Rootkit问题的商业软件或硬件厂商通常是那些有着丰富的间谍软件检测和清除经验的公司。一个Rootkit的检测和清除程序使用多维向量来确认问题。这种程序还应该有最新的被确认的Rootkit的列表，从而确保那些新出现的Rootkit不会成为漏网之鱼。这也就是用户及时更新其签名文件的重要原因。

记住下面一点也是很重要的：并非所有的Rootkit都是恶意的。用户并不想要一个Rootkit检测程序只是检测那些它所能够发现的恶意的Rootkit。一个良好的Rootkit检测程序还应该分辨善意和恶意的Rootkit，并能让管理员禁用或启用这些Rootkit程序。

检测和清除Rootkit的策略

从一定意义上讲，Rootkit是难于清除的，特别是对于那些处于操作系统级的Rootkit来说。不过,这又依赖于Rootkit的执行、实施方法。用户可以在操作系统内核级上安装工具软件，也可以在用户模式水平上放置一些工具。总的来说，Rootkit的目的地是对用户隐藏信息、过程和文件,因此无论是检测还是清除都是相当困难的、复杂的。一般说来，删除比检测更难于实施，因为你要确保操作系统在清除Rootkit后还能正常工作。当今的大多数Rootkit都是可以从系统中安全地清除的，但今后一、两年内，清除Rootkit可能会是一个相当重大的挑战。

那么检测和清除Rootkit的最困难的方面是什么呢？我们说过，Rootkit就是来隐藏信息的。这样你就再也不能真正的相信操作系统本身。一旦你的机器感染了恶意的Rootkit，那么操作系统所告诉你的任何东西都不再是真正可信的信息。因此，从操作系统中清除一个Rootkit的首要一步就是引入能够理解操作系统最低级信息的技术。例如，磁盘如何被格式化。因此对操作系统之下的技术所掌握的能力能够使你确认任何可认为是Rootkit的蛛丝马迹。换句话说，对一个操作系统的更高深的知识和能力是非常关键的。

科学的检测技术应位于操作系统之下，我们可以将操作系统在机器上所看到的与检测软件在操作系统最低层上所看到的相比较。如果二者匹配，操作系统极有可能是干净的、安全的，但如果二者有差异，那你就应该好好看一下了，因为这有可能是一个潜在的Rootkit感染的迹象。

用户可以采取以下几方面的步骤来减少总体的暴露程度和被Rootkit感染的风险：

1.通过尽快地确保计算机打上最新的补丁来保证系统的健康，特别是如果你采用微软的操作系统的话。不过，这条忠告适用于任何其它的操作系统或应用程序。

2.建议用户以非超级用户的身份登录。说来容易做来难。不过，事实是：如果你减少登录用户的权限，你就是在大大地减少被Rootkit感染的风险。

3.总是同时地、及时地更新你的反间谍软件和反病毒软件。

笔者还要建议此文的阅读者：一定要小心所谓的免费下载！一些所谓的免费下载并不是真得免费。因为你是要付出代价的。很多所谓的“免费”下载可能会包含恶意软件或Rootkit，用户完全应该采取预防措施以防止这种事情的发生。尽量从可信任的站点下载，因为它们可为用户提供一定的安全保障，但并非绝对。

Tag：Rootkit 安全威胁防范

chapi 发表于21时22分58秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年06月06日

防黑秘笈　抵御来自 Sniffer的嗅探攻击 - [安全资讯]

防黑秘笈　抵御来自 Sniffer的嗅探攻击

作者：systec_hd　来源：赛迪网安全社区

1.怎样发现 Sniffer

Sniffer最大的危险性就是它很难被发现，在单机情况下发现一个Sniffer还是比较容易的，可以通过查看计算机上当前正在运行的所有程序来实现，当然这不一定可靠。

在UNIX系统下可以使用下面的命令：ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。

在Windoos系统下，可以按下Ctrl＋Alt＋Del键，查看任务列表。不过，编程技巧高的Sniffer即使正在运行，也不会出现在这里。

另一个方法就是在系统中搜索，查找可怀疑的文件。但人侵者用的可能是他们自己写的程序，所以这给发现Sniffer造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式，从而发现是否有一个Sniffer正在运行。但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的，因为Sniffer是一种被动攻击软件，它并不对任何主机发出数据包，而只是静静地运行着，等待着要捕获的数据包经过。

2．抵御 Sniffer

虽然发现一个Sniffer是非常困难的，但是我们仍然有办法抵御Sniffer的嗅探攻击。既然Sniffer要捕获我们的机密信息，那我们干脆就让它捕获，但事先要对这些信息进行加密，黑客即使捕捉到了我们的机密信息，也无法解密，这样，Sniffer就失去了作用。

黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。

SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户／服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。

SSH后来发展成为F－SSH，提供了高层次的、军方级别的对通信过程的加密。它为通过TCP／IP的网络通信提供了通用的最强的加密。如果某个站点使用F—SSH，用户名和口令就不再重要了。目前，还没有人突破过这种加密方法。即使是Sniffer，收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。

另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里，或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器（Hub）的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听。

所有的问题都归结到信任上面。计算机为了和其他计算机进行通信，它就必须信任那台计算机。系统管理员的工作就是决定一个方法，使得计算机之间的信任关系很小。这样，就建立了一种框架，告诉你什么时候放置了一个Sniffer，它放在哪里，是谁放的等等。

如果局域网要和Internet相连，仅仅使用防火墙是不够的。人侵者已经能从一个防火墙后面扫描，并探测正在运行的服务。应该关心的是一旦人侵者进人系统，他能得到些什么。你必须考虑一条这样的路径，即信任关系有多长。举个例子，假设你的Web服务器对计算机A是信任的，那么有多少计算机是A信任的呢？又有多少计算机是受这些计算机信任的呢？一句话，就是确定最小信任关系的那台计算机。在信任关系中，这台计算机之前的任何一台计算机都可能对你的计算机进行攻击并成功。你的任务就是保证一旦出现Sniffer，它只对最小范围有效。

Sniffr往往是在攻击者侵人系统后使用的，用来收集有用的信息。因此，防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试，防止安全隐患。同时要控制拥有相当权限的用户的数量，因为许多攻击往往来自网络内部。

3．防止 Sniffer的工具 Antisnff

Antisniff是由著名黑客组织（现在是安全公司了）L0pht开发的工具，用于检测本地网络是否有机器处于混杂模式（即监听模式）。

一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说，了解哪台机器正处于混杂模式以作进一步的调查研究是非常重要的。

Antisniff 1.X版运行在以太网的WindOWS NT系统中，并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。这些测试方法与其操作系统本身无关。

Antisniff运行在本地以太网的一个网段上。如果在非交换式的C类网络中运行，Antisniff能监听整个网络；如果网络交换机按照工作组来隔离，则每个工作组中都需要运行一个Antisniff。原因是某些特殊的测试使用了无效的以太网地址，另外某些测试需要进行混杂模式下的统计（如响应时间、包丢失率等）。

Antisniff的用法非常简便，在工具的图形界面中选择需要进行检查的机器，并且指定检查频率。对于除网络响应时间检查外的测试，每一台机器会返回一个确定的正值或负值。返回的正值表示该机器正处于混杂模式，这就有可能已经被安装了Sniffer。

对于网络响应时间测试的返回值，建议根据第一次返回的数值计算标准值，然后再对在flood和非flood两次测试时返回的结果有较大变化的机器进行检查。一旦这些机器退出混杂模式返回到正常操作模式下，Antisniff的下一次测试将会记录到混杂模式和非混杂模式的差值（正值）。

应该周期性地运行Antisniff，具体周期值根据不同的站点、不同的网络负荷、测试的机器数量和网站策略等而有所不同。

管理工具变入侵利器　深入分析Sniffit

来源：赛迪网安全社区作者：systec_hd

1.Sniffit 既是个优秀的管理工具也是个危险的侵入工具。可被管理员用来检查网络中到底传输了些什么，学习各种tcp/ip协议的工作方法，也能被攻击者利用，主要是记录密码。

2.工作原理：为什么能检查密码和不是传送给自己的数据呢？

在典型的LAN环境中，（指共享式HUB上连接的两个用户A和B），基于共享式HUB的工作原理，用户A发出的所有tcp/ip请求在HUB的每个端口上广播，正常情况下，B不接收这些目标地址不是自己的数据，但是一旦我们在B机上运行sniffit一类的监听工具，就能置网卡于第三种叫混杂模式的状态下（前两种为tcp,udp模式），在该状态下，网卡接受所有的数据，不管是发给自己的，还是不发给自己的，都被网卡接收并直接传给最上层应用层，交由相应的软件如sniffit处理。

3.常见用法

a.检测telnet/ftp/pop3密码：

#sniffit -a -A. -p 23 -b -t 192.168.11.@

#sniffit -a -A. -p 110 -b -t 192.168.11.1 (pop3 server)

b.查看http头信息

#sniffit -a -A. -p 80 -b -s 1.2.3.4 (1.2.3.4是防火墙外部地址）

c.记录输出到文件

#sniffit -p 21 -l 0 -b -s 192.168.11.2 &

d.查看icmp消息

#sniffit -p icmp -b -s 192.168.1.2

e.交互式界面

#sniffit -i

f.检查本网段内发出名字广播的机器

#sniffit -a -A. -P udp -p 137 -b -s 192.168.11.255

g.注意防火墙的情况

若要检查防火墙内部网卡上的包eth1，可能你要设置 -F eth1参数，因为默认地sniffit 假设为eth0。

4.哪些信息是敏感的和易被检测的？

Telnet/ftp/pop3的密码都是明文传送的，都是易被检测的，apache的基本方式的用户名/密码认证也是UU编码后的口令，也是易被检测的。

5.怎样阻止？

硬件：不要用普通的共享式HUB，用交换机来代替它，目前只有交换机和路由器能阻止sniffit的作用。

软件：用带加密功能的tcp/ip连接，象ssh/scp全面代替telnet/ftp/pop3，用MD5方式的apache认证。

6.作用范围:

仅在逻辑子网内有效，不能跨子网，因为广播不被路由器传递，但若是在服务器上运行sniffit，则任何方法均无效，对防火墙来说，通常sniffit攻击是第二层攻击，就是先得到一个普通帐号进入再探寻更多的口令。

7.怎样判断是否有人在用sniffit?

可检测网络接口（ifconfig)看是否处于混杂模式来确认是否被侵入并安装了sniffit，只限本机。

Tag：防黑 Sniffer 嗅探攻击

chapi 发表于21时19分01秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年06月06日

Windows桌面常遇故障解决方法 - [排疑解难]

Windows桌面常遇故障解决方法

　　在使用Windows的时候，系统桌面故障会造成我们使用的时候非常的不方便，这个时候我们应该怎么办呢?下面我们给出了一些解决的方法。

　　一、加载explorer.exe

　　大多数情况下，无法显示桌面图标是因为系统启动的时候无法加载explorer.exe，下面就教大家在注册表中加载explorer.exe:

　　1、在“开始”“运行”处输入regedit，启动注册表，找到下面路径,如果shell下没有explorer.exe那就自己鼠标右键新建一个explorer.exe即可路径:\HKEY_LOCAL_MACHINE\SOFTWARE\Micrososft\Windows NT\CurrentVersion\Winlogon\Shell

　　2、如果手动加载也不行的话，可能是Explorer.exe文件坏了，到别人的电脑上复制一个回来就行了。

　　3、找原因。可能是病毒损坏了explorer.exe文件。

　　二、图标显示速度很慢

　　都说Windows系统越用越慢，就拿桌面图标来说，越来越多的快捷方式使桌面的显示速度非常的慢，每次刷新桌面都会出现迟滞。

　　对症:系统用一块称为图标缓存的区域来保存已经建立的快捷方式图标，刷新桌面显示时就无需重新建立，只需从缓存中读取即可，而Windows默认的缓存较小，建立的快捷方式过多后就超出了缓存的存储范围，并影响了显示速度。步骤如下:在注册表中加大图标缓存的大小，首先打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer],在右侧窗格创建一个名为“Max Cached Icons”的字符串值，设置它的值为“8192”(注意:最大只能为8192)重启系统后即可生效。

　　三、手动启用桌面

　　壁纸

　　有些电脑是禁用了桌面壁纸的，禁用桌面壁纸有以下几种途径。

　　如果使用多用户登录的话可以给相应的用户配置权限来达到禁用壁纸的目的，如果是单用户自动登录，给莫个用户设置权限并不能解决问题。那么有以下几种方:

　　障眼法——在设置好桌面壁纸后，依次单击“开始”——“运行”，输入“gpedit.msc”回车打开“组策略编辑器”，依次定位到“用户配置——控制面板——显示”在右侧窗格中窗击“禁止更改壁纸，然后将其设置为”启用”。保存设置并退出，这样设置后在“显示”属性中就找不到“背景”这个选项了。不过在IE的图片上右击，再选择设置为背景，该图片还是可以作为背景，如果将组策略中的设置改为“未配置”就可以解决此问题。

　　NTSF权限法:依次打开“开始——运行”输入“regedt32”(在Windows 2000中用regedt32可以设置权限，而regedit不可以)，打开注册表编辑器，依次展开[HKCU\Control Panel\Desktop]分支，然后依次选择菜单“安全——权限”，在弹出的权限设置窗口中取消用户或组的写权限，保存设置并退出“注册表编辑器”重启系统即可。

四、Windows2000/xp explorer.exe出错，重新刷新桌面

　　相信有很多人都碰到过这个故障，使用windows的时候，无故弹出“explorer.exe出错，重新刷新桌面”的抱错窗口，点击“确定”后重新生成桌面，虽然还可以继续使用，但是很多程序都不能正常运行，会出现这样那样的错误。很多人都选择重新安装系统，但是这样做很费时间。实际上通过重新生成用户配置文件夹可以解决这个问题。

　　1、假设你登录的用户名为ralph，首先注销，然后以administrator帐户登录，进入系统后，将C:Documents and Settings(C为安装系统盘符)下的ralph文件夹改名，这里改成ralph1。这个ralph文件夹就是用户配置文件夹。

　　2、接着注销administrator，再以ralph这个帐号登录，进入系统后在C:Documents and Settings文件夹下你会发现系统重新生成了一个ralph文件夹，现在这个问题就已经解决了，但是你会发现收藏夹，邮件都不见了，不要急。我们再继续恢复。

　　3、将C:Documents and Settings alph1下的Favorites文件夹复制到ralph文件夹下覆盖同名文件夹，这样就把收藏夹找回来了。然后将“C:Documents and Settings alph1桌面”这个文件夹下的内容复制到ralph文件夹下的同名目录中，这样桌面上的东西也找回来了。

　　五、粘起撕裂的图标

　　如果桌面图标从中间分开，像被人撕开一样，这同样是图标缓存出了问题，因为图标的数据是以链接的形式存放在缓存区域中，如果链表中每个元素的开始与结束位置发生了错位，就会出现这种情况。

　　这个故障可以通过手动重置图标缓存来解决。首先右击桌面空白处选择“属性”切换到“外观” 选项卡,在“项目”栏的下拉列表中选择“图标”，改变一下图标的大小，然后在变回原设置即可，这样系统就会自动清空并重建缓存中的数据，原来的错位也就消除了。

　　六、桌面无法显示我的电脑

　　系统设置法:在桌面上右键——属性——桌面——自定义桌面——在我的电脑处打勾。

　　

　　注册表法:“开始→运行”，键入“Regedit”后回车，然后在注册表编辑器中依次展开[HKEY_CURRENT_　USER\Software\Microsoft\Windows\CurrentVersion\Explore]分支，删除右侧窗口中的“StuckRects”主键，然后重新启动计算机。

　　桌面图标无法显示,且鼠标右键点击桌面无反应!!

　　安全模式下可以进入系统表明系统没有遭遇毁灭性打击，这样都是有救的首先打开注册表:运行:regedit然后选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run把这个项下的所有的全部干掉，这是系统的自启动项目。然后运行:msconfig在启动里面那项把所有的全部取消。这样就消除了所有随系统启动的故障了。

　　然后在控制面版用户里把登陆方式改一下，改成不使用欢迎界面。

　　最后把系统优化一下:

　　注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters，有一个键EnablePrefetcher把它的数值改为“1”就可以减少滚动条滚动的次数。

快来看看如何加快 XP启动速度

　　Windows 2000、XP、2003系统有时会自行关闭硬盘的DMA模式，自动改用PIO模式运行！这就造成在使用以上系统中硬盘性能突然下降，其中最明显的现象有：系统起动速度明显变慢，一般来说正常Windows XP系统启动时那个由左向右运动的滑条最多走2～4次系统就能启动，但这一问题发生时可能会走5～8次或更多！而且在运行系统时进行硬盘操作时明显感觉变慢，在运行一些大的软件时CPU占用率时常达到100%而产生停顿，玩一些大型3D游戏时（比如极品飞车6）画面时有明显停顿（很多人这时以为是自己的显卡问题，当然如果你使用的是三年前的显卡玩这些游戏是有点老了，但如果你用的是今年才买的GF显卡那就不是它的问题了），出现以上问题时大家最好看看自己硬盘的DMA模式是不是被Windows 系统自行关闭了。查看自己的系统是否打开DMA模式：

　　1. 双击“管理工具”，然后双击“计算机管理”；

　　2. 单击“系统工具”，然后单击“设备管理器”；

　　3. 展开“IDE ATA/ATAPI 控制器”节点；

　　4. 双击您的“主要IDE控制器”；

　　5. 点击“高级设置”。

　　看到“设备0”，下面的传输模式应设为“DMA（若可用）”，再下面“当前传输模式”，如果是“Ultra DMA Mode *（*为数字，DMA33为2，DMA66为4，DMA100为5、DMA133为6）”，那么你的系统正常，但如果以前你自己设的是“Ultra DMA Mode 6”又没有改动，而现在是“Ultra DMA Mode 4”或“Ultra DMA Mode 2”更或者是“PIO 模式”而且改不过来！可能就是系统自行关闭了DMA模式了。

　　分析问题：

　　好了，先来说说问题是如何产生的。在Windows 2000/XP/2003中有这样一个设定： Windows IDE/ATAPI 端口驱动程序 (Atapi.sys) 累积收到总共6个超时或循环冗余检验 (CRC) 错误后，驱动程序将把通信速度（传送模式）从最快的直接内存访问 (DMA) 模式分步骤降为较慢的 DMA 模式。如果驱动程序继续收到超时或 CRC 错误，则驱动程序最终将把传送模式降为最慢的模式（PIO 模式）。

　　问题就在这里！一般来说一个正常的硬盘很少会有超时或循环冗余检验 (CRC) 错误，但是当我们使用这些系统里的挂起（也有叫休眠）并恢复计算机后就很容易造成超时或循环冗余检验 (CRC) 错误。因为系统设定的超时值为4秒，当系统向 ATA 磁盘发出读取请求时如果硬盘回应时间超过 4 秒的超时值时才会产生超时或循环冗余检验 (CRC) 错误，但因为系统在挂起（也有叫休眠）时硬盘是在停转状态中，恢复计算机时硬盘有个从停止到运动的过程，这就很容易造成大部分硬盘回应时间超过 4 秒的超时值。

　　也就是说当我们使用计算机挂起6次后系统就会把通信速度（传送模式）从最快的直接内存访问 (DMA) 模式分步骤降为较慢的 DMA 模式。如果挂起6次以上则驱动程序最终将把传送模式降为最慢的模式（PIO 模式）。这就是Windows 系统突然变慢的原因。

　　成功以后:主要IDE控制器和次要IDE控制器全部变成英文的了,正常Windows XP系统启动时那个由左向右运动的滑条最多走2次系统就能启动，但这一问题发生时可能会走5～10次或更多！

　　而且也没有了高级设置这一项了,看来再也不会出现把传送模式从最快的直接内存访问DMA降为最慢的模式（PIO 模式）。

　　编者提示：不是所有进入系统慢的现象都是硬盘模式惹得祸哦。

Tag：Windows 桌面故障解决 explorer 图标启动提速

chapi 发表于21时13分41秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年06月06日

做黑客很简单　用IE浏览器实现远程控制 - [安全资讯]

做黑客很简单　用IE浏览器实现远程控制

作者：systec_hd　来源：赛迪网安全社区

听说过灰鸽子、冰河等可以实现远程控制，但你听说过IE也可以实现吗？不错，一款基于IE的新鲜工具——rmtSvc&vIDC即可让微软的IE成为一个超级黑客帮凶。本文除了将为你展现rmtSvc&vIDC是如何基于IE远程控制肉鸡以外，更在如何“暗杀”杀毒软件、攻击思路上有较强的指导性。

如果我问你IE能做什么？你的答案绝对不完整！IE可不仅仅能浏览网页。如果我再告诉你IE还能用来远程控制、远程传输、进程管理、代理服务，甚至远程开启Telnet、FTP服务等等呢？你一定觉得不可思议吧，有了rmtSvc&vIDC，这一切皆有可能！

一、有IE 想黑就黑

简单点说，rmtSvc是一款集FTP、Telnet服务、Proxy服务以及vIDC服务的远程控制工具。用户可以通过此款工具方便地对远程计算机进行控制。此工具和其它远程控制工具不同，它采用B/S结构（无需安装），用户可通过浏览器进行远程控制（我们的口号是：有IE，想黑就黑！）。

下面，笔者就以入侵控制的实例来为大家分别介绍rmtSvc常用功能的使用方法及技巧。解压下载后的压缩包，先别急着让rmtSvc.exe在目标机运行（未加壳的程序会遭到杀毒软件的查杀），笔者先告诉大家如何给源程序加壳从而避免被查杀吧（不然就没得玩了-_-|）。运行该软件，进入“选项”菜单，勾选“保留额外数据”，然后“打开文件”，选择源程序rmtSvc.exe后就会自动压缩了。

特别提醒：压缩后的rmtSvc.exe不会被杀毒软件查杀，而且文件体积会减少近50%（经过金山毒霸6增强版、KV2005、诺顿2005测试）,如果想进一步增强隐蔽性，请参考2004年第50期G9版《披着羊皮的狼——将Radmin改造为百分百木马》一文介绍的“超级捆绑”软件的使用方法。木马程序的欺骗发送本文就不作进一步讨论了。

二、武装RmtSvc “暗杀”杀毒软件

1．打开浏览器输入http://IP:port（其中IP为被控机的IP地址，port为rmtSvc的服务端口，默认为7778）。连接成功后将会看到如图1的欢迎登录画面，输入访问密码（默认为123456），就可以进行rmtSvc所支持的操作（如果之前已经连同msnlib.dll和webe目录都发给了对方，那么rmtSvc将会多出用MSN进行远程控制和HTTP方式文件管理的功能）。

2．欢迎登录画面的上方为rmtSvc的系统菜单，从左至右的功能依次为：Pview （进程查看）、Spy++（远程控制管理）、Proxy（启动或停止rmtSvc的代理服务）、vIDC（设置vIDCs的访问权限）、logoff（注销对rmtSvc登录）、Option（配置rmtSvc的运行参数）、About（rmtsvc欢迎/登录画面）。

3．第一次登录需进入rmtSvc的参数设置更改敏感信息（图2），这样才能保障其安全性。先在“Modify Password”修改rmtSvc访问密码，再在“Service Port”更改rmtSvc服务端口为任意一个4位不常用的端口(需要重启服务才会生效，建议设为高端端口）。然后将“Start Control、Stolen mode”选上，这样rmtSvc会自动安装为Windows服务随机启动且服务为隐藏属性，这也就意味着在下次启动时，你可以继续控制目标机器。

4．接下来在“Start mode”选项中，设置rmtSvc运行后自动启动FTP和Telnet服务（另外还有Proxy、vIDCs映射等）。通过FTP可以方便地进行文件上传下载。再将“Auto install service”和“Forbid detaching Dll”选择上，这样每次程序运行时会自动检测rmtSvc服务是否已安装，如果没有安装则自动安装为服务（相当于自我修复功能）并释放一个DLL文件（可修改文件名，默认为inject.dll）,这是为了防止自动释放的未加壳的DLL被杀毒软件查杀，用户可以选择不释放DLL。手工将加壳后的DLL拷入到被控机的系统目录下，在释放DLL的名称处填入你加壳后的DLL名称。

高手传经：rmtSvc释放的DLL主要有以下用处：隐藏进程、模拟“Ctrl+Alt+Del”按键、显示密码框密码、监视rmtSvc运行情况。如果异常退出或被杀掉则会自动重新启动，将配置参数写入rmtSvc程序本身（强烈建议选择）。

5.接下来在“Killed Program”中，设定rmtSvc监视并自动杀掉的进程名称,如有多个进程，各个名称之间以逗号分隔。例如输入：PFW.exe,KAVSvc.exe就可以把金山毒霸和天网防火墙关闭。

6.一切设置无误后，点击“Save”保存当前配置，在弹出的对话框中输入reg，将配置参数写入到注册表。输入self则是将配置参数写入该EXE文件自身，如果填写其它则会生成相应文件名的.exe的副本，并将配置参数写入此EXE副本。例如：输入c:\abc.exe，将在c盘根目录下生成一个abc.exe副本，并将配置参数写入此副本。

7.随后rmtSvc服务会重新启动运行。

高手传经：隐藏模式下才可以将配置参数写入EXE本身，如果没有保存，每次在rmtSvc正常退出时也会将配置参数写入EXE本身。

8.再次使用新设密码登录后，单击Pview进入“进程查看”页面，在这里将显示三个部分的信息：系统信息、进程/模块信息、CPU/内存使用信息。在页面的右边为进程模块显示区域，点击某个进程名则显示此进程的相关模块信息，点击“Kill It”按钮就可以杀掉该进程（需要注意的是进程列表不会实时自动刷新，用户必须手工刷新）。现在你的rmtSvc已经被武装到了牙齿，还等什么，可以出手了。

三、用IE控制过把瘾

把挡路的安全软件给“暗杀”后，接下来就可以趁对方不在时使用Spy++远程控制管理来远程控制机器了。当然在控制前我们需要将相关参数设置妥当，这样才能得到更好的控制效果。

1．在“Quality”显示效果中选择Good(好)，“Stretch”设置捕获图像的缩小比率80%。最后将“Cursor”选上，这样在捕获远程计算机屏幕时就会连同鼠标光标一起捕捉，以便用户知道当前鼠标光标位置。设置好后点击“Set”使上述三个参数生效。

2．接下来就可以尝试控制了。当远程桌面图像处于焦点状态（鼠标在图像区域内），你就可以直接敲击键盘发送按键信息，和你操作本地机器一样。但是对于输入大段的文本这是非常不方便的，因为你的每次按键动作都会作为一次HTTP请求发出，输入速度很慢。

如果你想输入大段文本，可以将鼠标选中Input输入框，然后输入你想要发送的文本，按下回车即可；如果选中了Crlf复选框，则在你输入的文本后面会自动加入回车换行。

3．但是在进行远程计算机登录时，有些机器可能无法通过Input输入框直接输入登录密码，只能通过模拟键盘输入登录密码。方法如下：通过鼠标直接点击桌面图像，系统会自动识别你的鼠标的单击、双击键信息。如果你在按下鼠标的同时按下了“Shift”、“Alt”或“Ctrl”键，系统也能自动识别。

4．为了更方便地控制远程桌面，可以将远程桌面图像设为自动刷新，这样就不会出现有动作发出而图像没有变化需要手工刷新的情况了。方法如下，勾选“Auto-refresh”项，在右边输入自动刷新间隔，默认为500ms。

高手传经：如果想知道远程被控机中密码框中的密码。则需要用到Password→Text项，在有密码框时此项会变为Text→Password。此时只要用鼠标左键点击远程桌面图像的密码输入框，则远程被控机密码框中的密码会被翻译成明文显示。如果你取消此项功能，点击Text→Password项即可，此时此项就会变为Password→Text。

5.如果要远程执行程序，选择Start下拉列表框的Run项，输入你要远程执行的文件名和参数即可，使用方法和Windows的开始菜单的运行命令一致。

如此这般，通过IE就能像操作本机一样控制目标机了。

四、FTP/Telnet 一个都不能少

远程控制似乎并不能让我们感到满足，那就再来开启对方的FTP/Telnet服务，彻底过把入侵瘾吧。

1．进入“FTP&Telnet”菜单，点击FTP/Telnet服务旁边的“Run”就可以启动相关服务了。FTP/Telnet port：设置FTP/Telnet服务的端口，默认FTP为2121，Telnet为2323。Anonymous access：设置访问FTP服务的权限，是否允许匿名访问（enable），如果不允许则设置访问的用户名和密码。

2．另外，我们还要允许设置不同访问的账号，每个账号可以指定是否可写/可删除/可执行以及设置不同的FTP根目录。可以在FTP设置的文本输入框中输入多个访问账号信息，各个账号信息用回车换行分隔，账号信息格式如下：

[账号名] SP [密码] SP [访问权限] SP [允许访问的目录] CRLF

高手传经：设置PERMISSION（访问权限）时，0:仅仅只读，1:可写，3:可写并且可删除 7:可写可删除可执行。例如：[cytkk] sp [123456] sp [7] sp [c:] 就建立了一个拥有管理员权限，密码为123456的cytkk账户。

3．此时FTP账号信息仅仅写入注册表保存，不会保存到EXE中。

现在就可以利用FTP工具和Windows自带的Telnet工具进行登录和操作了，此时你想怎么玩就怎么玩吧！

到此，RmtSvc基本功能的使用大家就已经学会了，限于篇幅，它更多的功能就不在此一一举例了。

网络入侵的提高方法

现在要入侵一个网站直接跟据服务器开的一些端口，用那些溢出方式来搞下网站服务器，想必不太可能了，要是现在还能用1433能轻松的搞定一台服务器，那你就能买彩票去了哦。

现在的管理员们的安全意识也越来越高了，系统里面打上该打的补丁就没问题了。那用溢出工具怎么也搞不定，现在网上流行的就是注入和上传还有旁注。别的太高深的技术，偶可不会，所以就以本人的理解和学习的过程给大家。

下面谈入侵的提高：

一开始的时候或许什么也不懂，可以用工具来注入，但是不能一直用这些工具来注入，那样只会使我们的水平停滞不前。当我们熟悉了这些工具之后，就试着用手工来查找一个网站的注入点。有的注入点工具是找不到的，多多用手工注入。有的东西是工具所替代不了的，平时的时候也不要一直做一些一点意义都没有的入侵，要试着提高自己的水平。工具会用了，要是不会数据库语言就去学习学习，像access、mysql等，会了你就会懂得那工具注入的时候提交的参数是什么意思了。

像and 1=1 and 1=2

检测表段and exists(select *from[]……

检测字段and exists(select[admin]from[admin])……等，要是你不学习和了解这些，那么你永远可能都不会手工注入，更别说提高自己的水平了。

接着可以试着去学习网页语言像html、asp、jsp等，学会了注入的时候工具检测不出来，用手工会有意想不到的结果。由其在你得到webshell而没法提权的时候，如果你会asp语言，你看网页源代码就会得到你想要的东东。如得到它数据库的路经等，从而使你更快的提权。

没有现成的书来学习这些东西，网上多的是，要学会在baidu和google里面来学习，要学会利用网络资源。还有就是对于注入网站，要学会找方法，一种不行时，要应该学会从多方法来考虑，这样我们的水平才能慢慢的提高。另外在注入成功后，一些人就习惯性的去找后台的密码，来进入后台后，上传马儿，得到webshell来提权。偶建议先看看是不是sa权限的，要是是的话，那么我们就可以试试能不能执行系统的一些命令，如加管理员帐号开telnet服务等，同时看看是不是开了3389端口，这样可以使我们少走一些不必要的路。

小心提防出现四种新的浏览器严重漏洞

太平洋电脑网

　　作者：BlackWing

　　最近又有四个新的针对Internet Explorer和Firefox的漏洞被公布，其中各自占两个。安全研究员Michal Zalewski首先发现了这四个漏洞，并在周一发送到公告邮件列表中。

　　最严重的Bug是IE中的一个可能导致cookie被偷窃或者设置，页面劫持，以及内存崩溃的漏洞。Zalewski 把它叫做“引诱与切换隐患”。

　　同一域中从某网页导航到另一个网页会允许攻击者执行恶意的JavaScript代码，这些代码在前一页中已经得到验证。这个问题也影响到完全打好补丁的IE6与IE7。

　　在Firefox中的隐患被认为是次严重的漏洞。在此漏洞中，存在一种跨站点IFRAME劫持攻击。攻击者可以用about:blank页面在浏览器中发动键盘记录与内容欺骗攻击。

　　出现在Firefox中的另一个问题会导致未经同意就下载文件或导致文件的执行。所谓的“模糊”与“聚焦”操作绕过延迟计数器和下载确认过程，结果导致了这个漏洞的出现。

　　最后，在IE6中存在的欺骗漏洞允许一些特殊处理过的网站改变地址栏中的数据，而IE7并不受影响。

Tag：黑客浏览器远程控制入侵漏洞

chapi 发表于21时09分39秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年06月06日

系统安全之紧急救护受损的Windows系统 - [系统技巧]

系统安全之紧急救护受损的Windows系统

作者：systec_hd　来源：赛迪网安全社区

很多时候我们会发现自己的系统问题越来越多，如果将就使用，那系统运行效率肯定不会很高，甚至还无法正常运行，如果选择重新安装系统，那不但麻烦不说，而且还会耗费很长的等待时间。其实，当Windows系统一旦遇到无法启动或者运行出错的故障时，我们不妨使用下面的六项措施，来快速而有效地“急救”受损的Windows系统，说不定能收获奇效！

1、最后一次配置

Windows2000以上版本的操作系统，每次成功启动之后都会对系统注册表进行自动备份，一旦我们发现Windows系统本次不能正常启动时，那多半是我们上一次对系统进行了错误的操作或者对某些软件进行了错误的安装，从而破坏了系统注册表的相关设置。此时，我们可以尝试使用上一次成功启动时的配置来重新启动一下计算机系统：只要在重新启动系统的过程中，及时按下F8功能键，调出系统启动菜单，然后选中“最后一次正确的配置”项目，这样的话Windows系统说不定又能启动正常了。

2、修复系统文件

如果Windows系统的某些核心文件不小心被损坏的话，那么即使使用“最后一次配置”，Windows系统也很难保证就能启动正常。如果Windows系统只是有少量的系统文件受损的话，那我们不妨借助Windows系统内置的SFC扫描修复命令，来尝试对那些已经遭受破坏的系统文件进行修复，一旦修复成功后，那Windows系统的启动又会恢复正常状态了。在修复受损系统文件时，只要依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“sfc/scannow”，单击回车键后，该命令程序就会对系统每个角落处的系统文件进行搜索扫描，一旦发现系统文件的版本不正确或者系统文件已经损坏的话，它就能自动弹出提示界面,要求我们插入Windows系统的安装光盘，以便从中提取正常的系统文件来替代不正常的系统文件，从而达到修复系统文件的目的。要是系统修复操作成功的话，相信我们重新启动计算机系统时，就不会看到有什么不正常的现象了。

3、注销当前用户

如果Windows系统的受损部位只是由于安装了不恰当的软件，或者是对软件进行了不合适的设置引起的话，那么我们通常可以通过“注销当前用户”的方法，来对受损的Windows系统进行急救，因为软件对系统设置的影响往往只能限于当前登录的用户，一旦在当前用户状态下系统不能正常运行的话，我们完全可以注销当前用户，并以其他的用户重新登录系统，这样Windows一般又能恢复正常运行状态了。

在注销当前用户、换用其他用户登录系统之前，我们需要先打开系统的控制面板窗口，然后双击其中的“用户帐户”项目，再单击其后界面中的“添加”按钮，来重新创建一个新的登录帐号，同时为该帐号设置一个合适的访问密码，并将对应的帐号设置为超级管理员权限。

由于换用其他帐号登录Windows系统后，保存在当前用户目录下的一些重要数据可能就访问不到了，为此在注销用户之前，我们有必要打开系统的资源管理器窗口，找到当前帐号所对应的用户目录，例如要是当前登录系统的帐号为aaaa的话，那么系统默认的帐号目录应该为“C:\Windows\DocumentsandSettings\aaaa”，将该目录下面的一些重要数据全部备份到系统分区以外的其他分区目录中。

做好了上面的准备工作后，现在我们就能依次执行“开始”/“注销aaaa”命令，来将当前的登录帐号注销掉，然后重新用刚刚创建好的帐号登录Windows系统；在用新帐号成功登录进Windows系统后，我们再把前面备份好的重要数据恢复到当前帐号所对应的新用户目录下面，这样的话受损Windows系统就能恢复以前的正常运行状态了。

4、重注册DLL文件

Windows系统有时之所以会频繁受到损伤，主要是许多应用程序常常共享调用一些DLL文件，一旦有的应用程序在使用完毕被自动卸载掉后，这些应用程序所调用的DLL文件往往也会跟着被删除掉了，这么一来Windows系统或系统中的其他应用程序再次调用那些共享了的DLL文件时，就自然会发生错误现象了。

在急救那些由于系统DLL文件丢失引起的Windows系统运行不正常故障时，我们根本不需要重新安装操作系统，只需要对那些已经丢失了的DLL文件进行一下重新注册，就能让系统恢复正常运行状态了。考虑到我们并不知道究竟是哪一个或哪几个DLL文件被损坏了或丢失了，我们不妨通过下面的方法，来对系统所有的DLL文件都重新注册一下，而不需要单独对某一个或某几个DLL文件进行注册：

首先打开类似记事本这样的文件编辑程序，然后在对应的程序界面中输入如下命令行代码：

@echooff

for%1in(%windir%\system32\*.dll)doregsvr32.exe/s%1

将上面的命令行代码保存成一个扩展名为BAT的批处理文件，例如这里笔者假设将该代码内容保存为了repair.bat文件；其次为repair.bat文件创建一个快捷图标，并将该快捷图标直接拖放到系统的桌面上，等到日后需要对系统中的所有DLL文件进行重新注册时，我们只需要双击repair.bat文件的快捷图标，系统就会自动开始对所有的DLL文件执行重新注册操作了。一旦所有DLL文件被重新注册过之后，此时我们不妨再尝试运行一下Windows系统，相信此时的系统肯定会十分正常了！

5、恢复原始文件

如果Windows系统不正常运行的故障是由于系统注册表被意外破坏引起的话，那么我们完全可以借助常规的copy命令，来将系统原始的注册表信息直接复制到系统对应的目录下，这样可以快速地实现恢复受损系统文件的目的。由于Windows系统第一次被安装成功后，原始的注册表信息都会被自动备份保存到系统安装目录下面的Repair子目录中，因此我们只要将Repair子目录下面的注册表信息直接复制到系统的配置目录中就可以了：

如果本地计算机只安装了一个操作系统的话，那我们不妨借助Windows98启动光盘，来将系统先引导到DOS命令行状态；如果本地计算机中安装了两个以上操作系统的话，那只需要将系统切换另外一个能正常运行的系统中就可以了；接下来在DOS命令行状态，通过CD命令将当前目录切换到“%windir%\Repair”子目录状态下，并依次执行如下字符串命令：

copysam%windir%\system32\config

copysystem%windir%\system32\config

copysoftware%windir%\system32\config

copydefault%windir%\system32\config

copysecurity%windir%\system32\config

一旦在执行上面的字符串命令过程中，系统弹出提示询问是否将以前的文件覆盖掉时，我们直接进行肯定回答就可以了。等到系统的注册表信息被所有原始注册表文件替换掉后，我们再次重新启动一下系统，相信此时系统肯定能正常运行了。

6、系统还原功能

要是我们的计算机中安装的是WindowsXP系统的话，那除了通过上面的方法来急救受损的系统外，还能借助WindowsXP系统特有的“系统还原功能”，来将Windows系统的运行状态恢复到正常，下面就是该方法的具体实施步骤：

依次单击“开始”/“程序”/“附件”/“系统工具”/“系统还原”命令，在其后弹出的系统还原设置向导界面中，将“恢复我的计算机到一个较早的时间”项目选中，然后单击“下一步”按钮；在其后弹出的系统还原点列表窗口中，我们一般选择一个离当前时间比较近的一个还原点来还原系统，一旦选好目标还原点后，继续单击“下一步”按钮，Windows系统就能被自动恢复到以前的正常工作状态了。值得一提的是，在使用该功能之前，我们一定要在Windows系统运行正常的状态下，及时创建好合适的系统还原点，以便日后恢复系统时所用！

XP升级到Vista时失败后无法启动的解决

　　当您在升级到 Windows Vista 失败后尝试启动，但却不能进入Windows XP 系统也无法进入vista，而是显示黑屏以及一条闪烁的底线。

　　当出现这种问题时该如何解决呢？(vista之家)www.vista123.com为你提供如下操作步骤：

　　1、使用 Windows XP CD 启动计算机。

　　2、在“欢迎使用安装程序”屏幕上，按 R 修复 Windows。

　　3、登录到要修复的 Windows XP 安装中。

　　4、键入 fixboot，然后按 Enter。

　　5、键入 y，然后按 Enter 确认要向系统分区中写入新的启动扇区。执行此操作时，将显示以下信息：

　　成功地写入了新的启动扇区。

　　6、键入 exit，然后按 Enter 退出恢复控制台。

　　7、重新启动计算机，然后完成 Windows Vista 升级操作。

vista下IE临时文件夹在那？

　　vista下IE临时文件夹在那？

　　回答：

　　首先我们要显示隐藏的文件和文件夹。

　　(1)控制面板-〉外观和个性话-〉(右侧)文件夹选项。

　　(2)弹出文件夹选项卡-〉选中“隐藏的文件和文件夹”这个好像上次说过。这样我们就可以看见隐藏的文件夹了，如果不喜欢这样之后可以在点回去！

　　然后就是找到ie的临时文件夹了。

　　(1)我的文档-〉用户-〉AppData-〉Local-〉Microsoft-〉Windows-〉Temporary Internet Files。

　　这样我们就可以看见IE临时文件夹了。其实我们有的时候会找不到AppData这个文件夹主要原因是他本身被隐藏了。

　　好了解决问题！

Tag：Windows 系统修复升级 Vista 解决

chapi 发表于21时04分02秒 | 阅读全文 | 评论 0 | 编辑 | 分享