现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?
你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。
木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。
阻止木马运行——查杀更彻底
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
根除木马——文件并联型木马的查杀
某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!
[1] [2] [3] [4] [5] [6] [7] [8] [9]
为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。
什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“\"%1\" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 \"%1\" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。
根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。
如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。
对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
更多内容请看系统安全专题,或用户们总会用层出不穷的方法给自己惹上麻烦。他们会使用共享软件使自己暴露在入侵者面前或者忘记使用电压保护装置。与您的用户分享这个傻事清单,能够避免他们犯这些 原本可以避免发生的错误。
我们都做过傻事,计算机用户当然也不例外。无意中按错组合键或者在不知情的情况下在报错对话框上选了“确定”都可能会改变重要设置,这样会影响计算机的行为,甚至导致 系统崩溃。
紧张的新手经常会害怕某个错误操作会永久破坏计算机。幸运的是,结果并没有想象的那么严重。虽然如此,但是用户还是经常给计算机以及您的网络创造各种麻烦。以下是一些 您和您的用户能够引以为戒,远离可预防的问题的常见错误。
#1:使用没有过电压保护的电源
这个错误真的能够毁掉计算机设备以及上面所保存的数据。您可能以为只在雷暴发生时,系统才会有危险,但其实任何能够干扰电路使电流回流的因素都能烧焦你的设备元件。有 时甚至一个简单的动作,比如打开与电脑设备同在一个电路中的设备(特别是电吹风、电加热器或者空调等高压电器)就能导致电涌,或者树枝搭上电线也能导致电涌。如果遇到 停电,当恢复电力供应时也会出现电涌。
使用电涌保护器就能够保护系统免受电涌的危害,但是请记住,大部分价钱便宜的电涌保护器只能抵御一次电涌,随后需要进行更换。不间断电源(UPS)更胜于电涌保护器,UPS 的电池能使电流趋于平稳,即使断电,也能给你提供时间从容的关闭设备。
#2:不使用防火墙就上网
许多家庭用户会毫不犹豫的将电脑接上漂亮的新电缆或者DSL调制解调器开始上网,而没有意识到他们正将自己暴露在病毒和入侵者面前。无论是宽带调制解调器或者路由器中内置 的防火墙,还是调制解调器或路由器与电脑之间的独立防火墙设备,或者是在网络边缘运行防火墙软件的服务器,或者是电脑上安装的个人防火墙软件(如Windows XP中内置的ICF/Windows 防火墙,或者类似Kerio 或ZoneAlarm的第三方防火墙软件),总之,所有与互联网相连的计算机都应该得到防火墙的保护。
[1] [2] [3] [4] [5] [6] [7] [8] [9]
笔记本电脑上安装的个人防火墙的好处在于,当用户带着电脑上路或者插入酒店DSL或电缆端口,或者与无线热点相连接时,已经有了防火墙。拥有防火墙不是全部,你还需要确认 防火墙已经开启,并且配置得当,能够发挥保护作用。
#3: 忽视防病毒软件和防间谍软件的运行和升级
让我们面对现实: 防病毒程序非常令人讨厌。他们总是阻断一些你想要使用的应用,有时你不得不在安装新软件时先停止防病毒程序。而且为了保证效用,不得不经常进行升级。好象原来的版本总 是要过期,并催促您进行升级,在很多情况下,升级都是收费的。但是在现在的环境下,你无法承担不使用防病毒所带来的后果。 病毒、木马、蠕虫等恶意程序不仅会削弱和破坏系统,还能通过您的电脑向网络其他部分散播病毒。在极端情况下,甚至能够破坏整个网络。
间谍软件是另外一种不断增加的威胁;这些软件能够自行在电脑上进行安装(通常都是在你不知道的情况下),搜集系统中的情报然后发送给间谍软件程序的作者或销售商。防病 毒程序经常无法察觉间谍软件,因此请务必使用一个专业的间谍软件探测清除软件。
#4:安装和卸载大量程序,特别是测试版程序
由于用户对最新技术的渴望,经常安装和尝试新软件。免费提供的测试版程序能够使您有机会抢先体验新的功能。另外还有许多可以从网上下载的免费软件和共享软件。我们知道 有些用户还曾经安装盗版软件或者“warez”。
您安装的软件数量越多,您使用含有恶意代码的软件,或者使用编写不合理能够导致系统工作不正常或者崩溃的软件的几率就更高。这样的风险远高于使用盗版软件。
即使您只会安装经过授权的最终版本的的商业软件,过多的安装和卸载也会弄乱注册表。不是所有的卸载步骤都能将程序剩余部分清理干净,这样的行为会导致系统逐渐变慢。
您应该只安装您真正需要使用的软件,只使用合法软件,并且尽量减少安装和卸载软件的数量。
#5: 磁盘总是满满的并且非常凌乱
频繁安装和卸载程序(或增加和删除任何类型的数据)都会使磁盘变得零散。信息在磁盘上的保存方式导致了磁盘碎片的产生:在新的空磁盘中保存文件时,文件被保存在连续的 簇上。如果您删除的文件占用了5个簇,然后保存了一个占用8个簇的文件,那么头5个簇的数值会保存在删除产生的5个空簇中,剩余的3个则保存在下三个空的簇中。这样就使得文 件变得零散或者分裂。然后在访问文件时,磁头不会同时找到文件的所有部分,而是到磁盘的不同地址上找回全部文件。这样使得访问速度变慢。如果文件是程序的一部分,程序 的运行速度就会变慢。过于零散的磁盘运行速度极慢就象在爬行一样。
你可以使用Windows里带有的磁盘碎片整理工具(程序 附件 系统工具) 或者第三方磁盘碎片整理工具defrag来重新安排文件的各个部分,以使文件在磁盘上能够连续存放。
另外一个常见的能够导致性能问题和应用行为不当的原因是磁盘过满。许多程序都会生成临时文件,运行时需要磁盘提供额外空间。你可以使用Windows XP的磁盘清理工具或者第三方程序查找和删除很少用到的文件,或者你也可以手动删除文件来释放磁盘空间。
#6: 打开所有的附件
有些人就是无法控制自己:收到带有附件的电子邮件就好象收到一份意料之外的礼物。你只是想窥视一下是什么附件。但是就好象您门前的包裹里可能有炸弹一样,电子邮件中的 文件附件可能包含能够删除文件或系统文件夹,或者向地址簿中所有联系人发送病毒的编码。
最容易被洞察的危险附件是可执行文件(即可以运行的编码),扩展名为.exe,.cmd以及其他很多类型(参见http://antivirus.about.com/od/securitytips/a/fileextview.htm 查看不同类型的可执行文件扩展名列表)。不能自行运行的文件,如Word的.doc文件,以及Excel的.xls文件,能够含有内置的宏。脚本(Visual Basic, javascript, Flash等) 不能被计算机直接执行,但是可以通过程序进行运行。
过去一般认为纯文本文件(.txt)或图片文件(.gif, .jpg, .bmp)是安全的,但是现在不是了。文件扩展名也可以伪装;入侵者能够利用Windows默认的不显示普通的文件扩展名的设置,将可执行文件名称设为类似greatfile.jpg.exe这样。 实际的扩展名被隐藏起来,只显示为greatfile.jpg。这样收件人会以为它是图片文件,但实际上却是恶意程序。
您只能在确信附件来源可靠并且您知道是什么内容的情况下才可以打开附件。即使带有附件的邮件看起来似乎来自你可以信任的人,也有可能是某些人将他们的地址伪装成这样, 甚至是发件人的电脑已经感染了病毒,在他们不知情的情况下发送了附件。
#7:点击所有链接
打开附件不是鼠标所能带给您的唯一麻烦。点击电子邮件或者网页上的超级链接能将您带入植入ActiveX控制或者脚本的网页,利用这些就可能进行各种类型的恶意行为,如清除硬 盘,或者在计算机上安装后门软件,这样黑客就可以潜入并夺取控制权。
[1] [2] [3] [4] [5] [6] [7] [8] [9]
点错链接也可能会带您进入具有色情图片,盗版音乐或软件等不良内容的网站。如果您使用的是工作电脑可能会因此麻烦缠身,甚至惹上官司。
请不要向“点击狂燥症”屈服。在点击链接之前请务必考虑一下。有些链接可能被伪装在网络钓鱼信息或者那些可能将你带到别的网站的网页里。例如,链接地址可能是 www.safesite.com,但是实际上会指向www.gotcha.com。一般情况下,您可以用鼠标在链接上滑过而不要点击,就可以看到实际的URL。
#8: 共享或类似共享的行为
老师教导我们分享是一种良好的行为,但是在网络上,分享则可能将你暴露在危险之中。如果您允许文件和打印机共享,别人就可以远程与您的电脑连接,并访问您的数据。即使 您没有设置共享文件夹,在默认情况下,Windows系统会隐藏每块磁盘根目录上可管理的共享。一个黑客高手有可能利用这些共享侵入您的电脑。解决方法之一就是,如果您不需要 网络访问您电脑上的任何文件,就请关闭文件和打印机共享。如果您是通过公用无线热点上使用笔记本进行连接,这个建议非常重要。你可以在以下地址得到一些指导。 http://www.pcmag.com/article2/0,1895,1277222,00.ASP
如果你确实需要共享某些文件夹,请务必通过共享级许可和文件级(NTFS)许可对文件夹进行保护。另外还要确保您的帐号和本地管理帐号的密码足够安全。
#9:用错密码
这也是使得我们暴露在入侵者面前的又一个常见错误:用错密码。即使您的网络环境中没有管理员强迫您选择强大的密码并定期更换,您也应该这样做。不要选用容易被猜中的密 码,如您的生日,爱人的名字,社会保险号码等。密码越长越不容易被破解,因此您的密码至少为8位,14位就更好。常用的密码破解方法采用“字典”破解法,因此不要使用字典 中能查到的单词做为密码。为安全起见,密码应该由字母、数字以及符号组合而成。
很长的无意义的字符串密码很难被破解,但是如果你因为记不住密码而不得不将密码写下来的话,就违背了设置密码的初衷,因为入侵者可能会找到密码。可以造一个容易记住的 短语,并使用每个单词的第一个字母,以及数字和符号生成一个密码。例如,使用“My cat ate a mouse on the 5th day of June”可以得到密码“Mc8amot5doJ。”
#10:忽视对备份和恢复计划的需要
即使您听取了所有的建议,入侵者依然可能弄垮您的系统,您的数据可能遭到篡改,或因硬件问题而被擦除。因此备份重要信息,制定系统故障时的恢复计划具有相当重要的地位。
大部分计算机用户都知道应该备份,但是许多用户从来都不进行备份,或者最初做过备份但是从来都不定期对备份进行升级。使用内置的Windows备份程序(Windows NT, 2000, 及XP 中内置的Ntbackup.exe)或者第三方备份程序以及可以自动进行备份的定期备份程序。所备份的数据应当保存在网络服务器或者远离计算机自身的可移动驱动器中,以防止洪水、火 灾以及龙卷风等灾难情况的发生。
请牢记数据是您计算机上最重要的东西。操作系统和应用都可以重新安装,但是重建原始数据则是难度很高甚至根本无法完成的任务。
尽管如此,备份系统信息也可以节省时间,减少受挫。你可以使用常用的Ghost或者克窿程序创建磁盘镜像。这样就可以快速恢复系统,而无需经过冗长乏味的安装过程。
更多内容请看系统安全专题,或随着电脑越来越深入到普通用户的生活、工作之中,原来只有专业人员才会遇到的问题,例如配置小型(家庭)网络,现在普通用户也会经常遇到。Windows系列操作系统一直以易用著称,力图让本来复杂的任务通过简单的操作即可完成。 但是有的时候,易用性和安全是相互冲突的;同时,由于网络的广泛使用,每一台上网的PC实际上就是一个Internet的节点,所以安全是每一个用户必须关注的问题。XP作为Windows最新的版本,当然也是最容易使用的操作系统;另一方面,为了提高易用性而采用的许多默认设置却带来了安全风险。
一、简单文件共享为了让网络上的用户只需点击几下鼠标就可以实现文件共享,XP加入了一种称为“简单文件共享”的功能,但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是:打开“我的电脑”,选择菜单“工具”→“文件夹选项”,点击“查看”,在“高级设置”中取消“使用简单文件共享(推荐)”。
二、FAT32凡是新买的机器,许多硬盘驱动器都被格式化成FAT32。要想提高安全性,可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限,进而还可以使用加密文件系统(EFS,Encrypting File System),从文件分区这一层次保证数据不被窃取。在“我的电脑”中用右键点击驱动器并选择“属性”,可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS,先备份一下重要的文件,选择菜单“开始”→“运行”,输入cmd,点击“确定”。然后,在命令行窗口中,执行convert x: /fs:ntfs(其中x是驱动器的盘符)。
[1] [2] [3] [4] [5] [6] [7] [8] [9]
三、Guest帐户Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户,最好禁用它。在Win XP Pro中,打开“控制面板”→“管理工具”,点击“计算机管理”。在左边列表中找到“本地用户和组”并点击其中的“用户”,在右边窗格中,双击Guest帐户,选中“帐户已停用”。WinXP Home不允许停用Guest帐户,但允许为Guest帐户设置密码:先在命令行环境中执行Net user guest password命令,然后进入“控制面板”、“用户设置”,设置Guest帐户的密码。
四、Administrator帐户黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限,但不一定非用“Administrator”这个名称不可。所以,无论在XP Home还是Pro中,最好创建另一个拥有全部权限的帐户,然后停用Administrator帐户。另外,在WinXP Home中,修改一下默认的所有者帐户名称。最后,不要忘记为所有帐户设置足够复杂的密码。 五、交换文件即使你的操作完全正常,Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件,但黑客肯定会。你首先要做的是,要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的“开始”菜单,选择“运行”,执行Regedit。在注册表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然后创建或修改ClearPageFileAtShutdown,把这个DWORD值设置为1。
六、转储文件系统在遇到严重问题时,会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题,但对一般用户来说没有用;另一方面,就象交换文件一样,转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下:打开“控制面板”→“系统”,找到“高级”,然后点击“启动和故障恢复”下面的“设置”按钮,将“写入调试信息”这一栏设置成“(无)”。类似于转储文件,Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是:在注册表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug,把Auto值改成“0”。然后在Windows资源管理器中打开Documents and Settings\All Users\Shared Documents\DrWatson,删除User.dmp和Drwtsn32.log这两个文件。
七、多余的服务为了方便用户,WinXP默认启动了许多不一定要用到的服务,同时也打开了入侵系统的后门。如果你不用这些服务,最好关闭它们:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打开“控制面板”→“管理工具”→“服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。
更多内容请看系统安全专题,或一、IP地址盗用方法分析
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1、静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
2、成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
[1] [2] [3] [4] [5] [6] [7] [8] [9]
3、动态修改IP地址
对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
二、防范技术研究
针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
1、交换机控制
解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
2、路由器隔离
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如:
a. 使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
b. 向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
c. 修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
3、防火墙与代理服务器
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。
更多内容请看系统安全专题,或第一招:批处理
我们知道在命令行下用netsh命令更改IP的步骤是:1。在运行栏裡输入cmd打开命令提示符2。输入netsh 回车3。输入int ip 回车 4。输入set address name="本地连接" source="static" addr=ip mask=255.255.255.0 Gateway 1解释一下:set address 是更改IP的命令name = 你要更改IP的连接名称source = 设置成静态的IPaddr = 要更改成的IPmask=子网掩码gateway是你的网关IP,后面的1是到达网关的跃点数等待几秒鐘会出现一个”确定“的信息,表示你的IP已经更改成功了,不信用ipconfig /all检验一下。知道了命令的用户我们就可以把它写成批处理如下:
@ echo offecho This Programe will change your Ipaddress and Gateway.echo Press any key to continuepause >nul
rem 设置变量set Nic=本地连接 rem //可以根据你的需要更改,set Add=202.96.134.9 rem //可以根据你的需要更改set Gat=202.96.134.60
netsh interface ip set address name=%Nic% source=static addr=%add% mask=255.255.255.0 %Gat% 1rem //顺便把DNS也改掉netsh interface ip set dns name=%Nic% source=static addr=%add% primary
[1] [2] [3] [4] [5] [6] [7] [8] [9]
echo OK!
注:把上面代码复制到空白的记事本裡,把“Nic=、Add= Gat=”更改成你自己的值然后另存為*.bat即可
第二招 利用Dump导出导入配置文件在命令提示符下输入netsh -c int ip dump >c:\net.txt然后打开C盘,你将会看到一个net.txt的文本文档打开它会看到下列信息注:各人电脑上的信息会有所不同
# ---------------------------------- # 介面 IP 设定 # ---------------------------------- pushd interface ip
# "Local Area Connection" 的介面 IP 设定
set address name="Local Area Connection" source=static addr=202.96.134.9 mask=255.255.255.0set address name="Local Area Connection" gateway=202.96.134.60 gwmetric=0set dns name="Local Area Connection" source=static addr=202.96.134.60 register=PRIMARYadd dns name="Local Area Connection" addr=202.96.134.1 index=2set wins name="Local Area Connection" source=static addr=none
popd# 介面 IP 设定结束,把“addr=、gateway= 改成你自巳的值即可 注意第一个addr =后面跟著的是你的IP地址、第二个addr = 后面跟著的是你的主DNS地址,更改后把它别存為net1.txt。再次打开命令提示符,输入netsh -f c:\net1.txt,稍等一会,使用Ipconfig /all查查看ip是不是已经更改成功了。以后你就可以使用netsh -f c:\net1.txt或进netsh -f c:\net.txt 在两者之间快速切换了。当然你也可以把它们写成两个批处理或者创建一个快捷方式更方便的执行。
第三招 利用Netsh 的exec命令打开记事本输入int ipset address name="Local Area Connection" source=static addr=202.96.134.9 mask=255.255.255.0 202.96.134.60 1set dns name="Local Area Connection" source=static addr=202.96.134.60 register=PRIMARY注:addr=更改成你自己的值。然后把它另存為c:\*.sh打开命令提示符输入netsh exec c:\*.sh
稍等一会你的IP就更改成功了。
利用上面的三种方法再加以优化我相信你一定会把更改IP做得更好更简单.例如我们可以把第三种方法改成一键更改IP地址。新建了一个*.sh文件之后我们在桌面上新建一个快捷方式,命令指向為c:\windows\system32\netsh.exe exec c:\*.sh 把它取一个名字。然后右击你刚创建的快捷方式切换到“快捷方式”选项卡在“快捷键”裡指定一个快捷键例如F6,在“运行方式”裡选择“最小化”。单击确定以后你只要按一下F6键就可以悄无声息的更改IP了。够快够简单吧!
更多内容请看系统安全专题,或一、密码安全 无论你是申请邮箱还是玩网络游戏,都少不了要注册,这样你便会要填密码。大多数人都会填一些简单好记的数字或字母。还把自己的几个邮箱、几个QQ和网络游戏的密码都设成一样。 在网上你有可能会因为需要而把密码告诉朋友,但若那位朋友的好奇心很强的话,他可能会用你给他的这个密码进入你的其他邮箱或QQ,你的网上秘密便成了他举手可得的资料了。
因此建议,你最常用的那个邮箱密码设置一个不少于7位的有字母、数字和符号组成的没有规律的密码,并至少每月改一次。其他不常用的几个邮箱密码不要和主邮箱的密码设成一样,密码可以相对简单点,也可以相同。不过密码内容千万不要涉及自己的名字、生日、电话(很多密码字典都是根据这些资料做出来的)。其他的密码设置也是同样道理,最常用的那个密码要设置的和其他不同,免得被人“一路破”。 顺便提醒一下,不要把写有你密码的那本笔记本放在你认为安全的地方。
二、QQ安全
[1] [2] [3] [4] [5] [6] [7] [8] [9]
QQ即OICQ,是腾讯公司出品的网络即时聊天工具,现在的用户多的惊人!所以现在针对QQ的工具也十分之多。这里在提一下QQ的密码安全,你在申请完QQ后第一件事就是去腾讯公司的主页上的服务专区申请密码保护,这点很重要,但也很容易被忽略。
现在言归正转,说QQ的安全,在网上用QQ查IP地址(IP地址是一个32位二进制数,分为4个8位字节,是使用TCP/IP协议的网络中用于识别计算机和网络设备的唯一标识)的事情极为普遍。QQ查IP可以用专门的软件,也可以用防火墙或DOS命令,这里不详细说明。IP被查到后,不怀好意的人可以用各种各样的炸弹攻击你,虽然这些攻击对你的个人隐私没什么危害,但常常被人炸下线,这滋味一定不好。
解决办法有两种: 1.不要让陌生人或你不信任的人加入你的QQ(但这点很不实用,至少我这样认为)。2.使用代理服务器(代理服务器英文全称Proxy Sever,其功能就是代理网络用户去取得网络信息,更确切地说,就是网络信息的中转站)。设置方法是点击QQ的菜单==>系统参数==>网络设置==>代理设置==>点击使用SOCKS5代理服务器,填上代理服务器地址和端口号,确定就好了,然后退出QQ,再登陆,这就搞定了。(代理服务器的地址可以到“古巴星云”或“代理猎手http://ipsky.3322.net”去找) QQ密码的破解工具也很多,你只要把密码设的复杂点,一般不容易被破解。所以恶意攻击者可能会使用GOP木马,这是一款针对QQ密码的木马,具体我没用过,所以不在这里乱说。据了解,运行GOP木马后会弹出窗口说“恭喜你!你以中了大奖!请到本公司认领奖品!附带你的有关证件,切记!”。具体关于木马,我会在下下节说。
三、代理服务器安全 使用代理服务器后可以很有效的防止恶意攻击者对你的破坏。但是天下没有白吃的午餐,因为你再使用代理服务器后你的上网资料都会记录在代理服务起的日志中,要是那个网管想“关照”你一下的话,你是一点生还余地都没有的。(除非你进入代理服务器删了他的日志:P)
四、木马防范 木马,也称为后门,直截了当的说,木马有二个程序组成:一个是服务器程序,一个是控制器程序。当你的计算机运行了服务器后,恶意攻击者可以使用控制器程序进入如你的计算机,通过指挥服务器程序达到控制你的计算机的目的。千万不要小看木马,它可以所定你的鼠标、记录你的键盘按键、修改注册表、远程关机、重新启动等等功能。想知道木马的危害有多大的话,建议你去http://www.starkun.com下载一个“冰河”研究。这可是能让你一步成为纵横网络菜菜鸟中的极品工具,可不要因为“冰河”而学坏了呀~~ 想不中木马,先要了解木马的传播途径: 1、邮件传播:
木马很可能会被放在邮箱的附件里发给你。因此一般你不认识的人发来的带有附件的邮件,你最好不要下载运行,尤其是附件名为*.exe的。
2、QQ传播:
因为QQ有文件传输功能,所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起,然后骗你说是一个好玩的东东,你接受后运行的话,你就成了木马的牺牲品了。 3、下载传播:
在一些个人网站下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。 万一你不幸中了木马的话,立刻开启你的杀毒程序,接下来等着木马杀!杀!杀!(现在的杀毒程序能查杀大不份的木马)。另外手工清除木马的方法我就不说了,这涉及注册表知识,而且也没杀毒程序来得方便(我这样认为)。
五、病毒防杀 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。 从目前发现的病毒来看,计算机感染病毒后的主要症状有: 1:由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来,磁盘坏簇莫名其妙地增多。 2:由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量加大。 3:由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。 4:由于病毒程序本身或其复制品不断入侵占系统空间,使可用系统空间变小。 5:由于病毒程序的异常活动,造成异常的磁盘访问。 6:由于病毒程序附加或占用引导部分,使系统引导变慢。 7:丢失数据和程序。 8:中断向量发生变化。 9:打印出现问题。 10:死机现象增多。 11:生成不可见的表格文件或特定文件。 12:系统出现异常活动。 13:出现一些无意义的画面问候语等。 14:程序运行出现异常现象或不合理的结果。 15:磁盘卷标名发生变化。 16:系统不认识磁盘或硬盘,不能引导系统等。 17:在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。 18:在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。 19:异常要求用户输入口令。 你想尝试一下中病毒的滋味的话可去cn.yeah.net>http://badbocn.yeah.net下载病毒感染模拟器。 若你现在发生以上状况,千万不要迟疑,遵循以下步骤处理: 1、立刻关掉电源。 2、找“决对干净”的DOS系统磁盘启动计算机。这时,记得要关上这张磁盘个写保护。 3、用杀毒软件开始扫描病毒。 4、若侦测到是文件中毒时,则有三种方试处理:删除文件、重命名文件或是请除病毒。记住:千万不要对中毒文件置之不理,特别是不能让其停留在可执行文件中。 5、若侦测到的是硬盘分区或引导区的病毒时,则你可以用干净的DOS磁盘中的FDISK指令,执行FDISK/MBR命令,以恢复硬盘的引导信息;或是在A驱中执行A:/>SYS C:(C:为中毒磁盘),以救回硬盘引导区的资料。 6、现在,可以重新建文件、重新安装软件或 ,准备备份资料,请切记,备份资料在重新导入系统前,应先进行扫描,以防万一。 7、千万记住,重新建文档到开始运行之前。应再次扫描整个系统,以免中毒文件不小心又被存入系统中。 8、现在可以安心的开始操作计算机了。 注意:每周至少更新一次病毒库。
[1] [2] [3] [4] [5] [6] [7] [8] [9]
六、网吧安全 这里的内容很简单,让你一看就懂。如果你在网吧上网时使用QQ,进过自己的邮箱(或其他需要你输入密码的地方)。那就请你在离开网吧是,到C:Program FilesTencent将自己的QQ号所在的文件夹删了。再到C:WINDOWSCookies把里面和你有关的内容都删了。接下来你就可以放心的走了,因为涉及你密码的资料以被你删了。 不过现在很多网吧都装有“美萍”这类安全软件,所以你无法直接访问本地C盘,所以建议在网吧不要使用QQ和进入需要密码的地方(更有些可恶的网管在网吧设置键盘记录)。如果你现在正坐在某网吧看这篇文章,还有QQ和朋友聊的热火朝天。那你可以在腾讯的浏览器的地址栏上键入C:,这样你就能访问C盘了。不过现在大多网吧的安全软件都升过级,这招不一定能用。
(出处:http://www.sheup.com)