【正文】 登錄名，這個(gè)信息可能會(huì)被一些非法分子利用，而給用戶造成威脅，為此我們有必要隱藏上機(jī)用戶登錄的名字 。 接 下 來 的 每 一 行 或 代 表 一 個(gè) 鍵 值 的 聲 明 或 者 為 注 釋 性 的 說 明 信 息。 下 次 系 統(tǒng) 啟 動(dòng) 時(shí)， 新 設(shè) 置 就 會(huì) 生 效。 61 BNCC 注冊(cè)表的修改 ? 一、直 接 修 改 注 冊(cè) 表 的 基 本 方 法 對(duì) 于 熟 悉 注 冊(cè) 表 項(xiàng) 設(shè) 置 的 高 級(jí) 用 戶， 如 果 使 用 控 制 面 板 和 策 略 文 件 不 能 達(dá) 到 目 的， 也 就 只 能 采 用 這 種 最 直 接、 最 全 面 的 處 理 方 法。要注意的是，這種情況只發(fā)生在您直接編輯注冊(cè)表時(shí)。一般來說，系統(tǒng)信息優(yōu)先于用戶等級(jí)。 如果這些相同的分支出現(xiàn)在兩個(gè)不同的根鍵中，那么，哪個(gè)根鍵有效呢 ? 注冊(cè)表的子鍵都有嚴(yán)格的組織。 60 BNCC 注冊(cè)表的雙重入口問題 ? 在注冊(cè)表中經(jīng)常出現(xiàn)雙重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的鍵同樣會(huì)在 HKEY_LOCAL_MACHINE中出現(xiàn)。在注冊(cè)表編輯器中也是以十六進(jìn)制的方式表示。在本站中以a=hex:01,00,00,00方式表示。 59 BNCC 注冊(cè)表的構(gòu)造 在注冊(cè)表中二進(jìn)制值是沒有長度限制的，可以是任意字節(jié)長。通常由字母和數(shù)字組成，也可以是漢字，最大長度不能超過 255個(gè)字符。在注冊(cè)表編輯器右窗格中顯示的都是鍵值項(xiàng)數(shù)據(jù)。 HKEY_CURRENT_USER：當(dāng)前登錄用戶控制面板選項(xiàng)和桌面等的設(shè)置，以及映射的網(wǎng)絡(luò)驅(qū)動(dòng)器 HKEY_LOCAL_MACHINE：計(jì)算機(jī)硬件與應(yīng)用程序信息 HKEY_DYN_DATA：即插即用和系統(tǒng)性能的動(dòng)態(tài)信息 HKEY_CURRENT_CONFIG：計(jì)算機(jī)硬件配置信息 58 BNCC 注冊(cè)表的構(gòu)造 注冊(cè)表中的鍵值項(xiàng)數(shù)據(jù) 注冊(cè)表通過鍵和子鍵來管理各種信息。注冊(cè)表編輯器則是來對(duì)注冊(cè)表進(jìn)行各種編輯工作。 統(tǒng)信息，如安裝的硬件和設(shè)備驅(qū)動(dòng)程序的有關(guān)信息 ，如桌面設(shè)置，墻紙和窗口顏色設(shè)置等。 ? !exec cgi=” /cgibin/” 將會(huì)執(zhí)行 CGI程序 54 BNCC 惡意程序 ? 防范方法 ” Options Includes ExecCGI”這行代碼刪除； 在 IIS中，要禁用 exec 命令，可修改 SSIExecDisable 元數(shù)據(jù)庫； 55 BNCC Windows注冊(cè)表 ? 注冊(cè)表的介紹 ? 注冊(cè)表的修改 56 BNCC 注冊(cè)表的基本概念 ? 所謂注冊(cè)表就是一個(gè)龐大的數(shù)據(jù)庫，其中容納了應(yīng)用程序和計(jì)算機(jī)系統(tǒng)的全部配置信息， Windows 9x系統(tǒng)和應(yīng)用程序的初始化信息，應(yīng)用程序和文檔文件的關(guān)聯(lián)關(guān)系，硬件設(shè)備的說明，狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。 52 BNCC 惡意程序 ? 網(wǎng)頁執(zhí)行 exe文件 SSI有什么用 ? 目前，主要有以下幾種用用途： 顯示服務(wù)器端環(huán)境變量 echo 將文本內(nèi)容直接插入到文檔中 include 顯示 WEB文檔相關(guān)信息 flastmod fsize (如文件制作日期 /大小等 ) 直接執(zhí)行服務(wù)器上的各種程序 exec(如 CGI或其他可執(zhí)行程序 ) 設(shè)置 SSI信息顯示格式 config(如文件制作日期 /大小顯示方式 ) 高級(jí) SSIXSSI可設(shè)置變量使用 if條件語句。而能解釋執(zhí)行他們的就是 。 不過，不能用于 .asp的文件。不過，這次要介紹的就是 exec。不過，自己要使用注冊(cè)表編輯器 ？因此我們還要在此前事先準(zhǔn)備一把“鑰匙”，以便打開這把“鎖”！ 加鎖方法如下： (1)運(yùn)行注冊(cè)表編輯器 ； (2)展開注冊(cè)表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一個(gè)名為 DisableRegistryTools的 DWORD值，并將其值改為“ 1”，即可禁止使用注冊(cè)表編輯器 。請(qǐng)放心，刪除這個(gè)組件不會(huì)影響到你正常瀏覽網(wǎng)頁的。唉，有利就有弊，你還是自己看著辦吧。具體方法是：在 IE窗口中點(diǎn)擊“工具 →Inter 選項(xiàng)，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有 ActiveX插件和控件以及 Java相關(guān)全部選擇“禁用”即可。 48 BNCC 惡意程序 ? 瀏覽主頁硬盤共享 防御防范： 不要輕易去一些自己并不了解的站點(diǎn)，特別是那些看上去美麗誘人的網(wǎng)址更不要貿(mào)然前往，否則吃虧的往往是你。 46 BNCC 惡意程序 ? JAVA 炸彈防范 唯一的防范方法就是你在聊天室聊天時(shí)，特別是支持 HTML的聊天室（比如湛江，新疆等）請(qǐng)你一定記住關(guān)掉你瀏覽器里的 java功能，還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級(jí)鏈接，這樣可以避免遭到惡作劇者的攻擊 . 47 BNCC 惡意程序 ? 瀏覽主頁硬盤共享 “萬花谷”，如果進(jìn)入該網(wǎng)頁瀏覽者注冊(cè)表會(huì)被修改，好多系統(tǒng)功能因此受到限制。 45 BNCC 惡意程序 ? JAVA 炸彈原理 很多人在聊天室中被炸了以后，就以為是被別人黑了，其實(shí)不是的。 防 范 將你的 Windows95馬上升級(jí)到 Windows98，首先修正 Win95的 BUG，在微軟主頁的附件中有對(duì)于 Win95和 OSR2以前的版本的補(bǔ)丁程序， Win98不需要。 44 BNCC 惡意程序 ? 端口攻擊防范 常見的端口攻擊器有【 uKe23】【 voob】【 WINNUKE2】。這樣你不但不能回報(bào)對(duì)方，還會(huì)使自己的郵箱徹底完結(jié)！ 42 BNCC 惡意程序 ? 郵件炸彈防范 ⒍你還可以用一些工具軟件防止郵件炸彈，下面本站就提供一個(gè)供大家下載： 【 echom201】這是一個(gè)功能強(qiáng)大的砍信機(jī)，每分鐘能砍到 1000封電子郵件，是對(duì)付郵件炸彈的好東西 43 BNCC 惡意程序 ? 端口攻擊原理 這類軟件是利用 Window95/NT系統(tǒng)本身的漏洞，這與 Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序 OOB（ Out of Band）有關(guān)。在收信時(shí)，一旦看見郵件列表的數(shù)量超過平時(shí)正常郵件的數(shù)量的若干倍，應(yīng)當(dāng)馬上停止下載郵件，然后再從服務(wù)器刪除炸彈郵件。 41 BNCC 惡意程序 ? 郵件炸彈防范 ⒊當(dāng)某人不停炸你信箱時(shí)，你可以先打開一封信，看清對(duì)方地址，然后在收件工具的過濾器中選擇不再接收這地址的信，直接從服務(wù)器刪除。 ⒉最好用 POP3收信，你可以用 Outlook 或Foxmail等 POP收信工具收取 Email。 39 BNCC 惡意程序 ? 郵件炸彈原理 EMAIL炸彈原本泛指一切破壞電子郵箱的辦法，一般的電子郵箱的容量在 5， 6M以下，平時(shí)大家收發(fā)郵件，傳送軟件都會(huì)覺得容量不夠，如果電子郵箱一下子被幾百，幾千甚至上萬封電子郵件所占據(jù)，這是電子郵件的總?cè)萘烤蜁?huì)超過電子郵箱的總?cè)萘?，以至造成郵箱超負(fù)荷而崩潰。然后關(guān)閉計(jì)算機(jī)，稍候一下啟動(dòng)計(jì)算機(jī) (注意：不要選重新啟動(dòng) )。 你還可以運(yùn)行系統(tǒng)配置實(shí)用程序 (開始 ― 運(yùn)行 ―msconfig) ，在啟動(dòng)欄里，你亦可發(fā)現(xiàn) “WindowsAgent”(就是上文提到的 “定義注冊(cè)表鍵名 ”,可能會(huì)是其它鍵名 ) 38 BNCC OICQ木馬程序 ? GOP木馬的清除 在注冊(cè)表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵下添加一個(gè)鍵值來讓木馬自動(dòng)運(yùn)行，該木馬也不例外。如果有的話，那么 “恭喜 ”你了， 100%中了木馬。當(dāng)然，即使你中了木馬，在你還沒有用OICQ的時(shí)候是不會(huì)有這個(gè)文件的。 GOP木馬在這里顯示的版本為： “不能用 ”。當(dāng)你在運(yùn)行了什么東西之后覺得有問題的時(shí)候就看看這里?？雌渲械能浖h(huán)境 → 正在運(yùn)行的任務(wù)。不要用簡單的英文和純數(shù)字作為密碼，應(yīng)該是大小寫、數(shù)字、符號(hào)的混合，不要少于八位，這樣的話密碼就不容易被破了 ? 二、攻擊注冊(cè)郵箱防范 個(gè)人資料里和你申請(qǐng)?zhí)柎a時(shí)所填的 mail地址不要一樣，除非你對(duì)你的密碼很有信心。 另一種獲得 OICQ密碼的手段是通過攻擊你的注冊(cè)郵箱，由于騰訊有一個(gè)忘記密碼功能，它將用戶的 OICQ密碼發(fā)送到用戶注冊(cè)時(shí)的郵箱里，攻擊者一旦拿到這個(gè)郵箱，即可以很簡單的拿到你的密碼。 34 BNCC OICQ的安全 ? 消息炸彈 消息炸彈攻擊原理是利用 UDP數(shù)據(jù)通訊不需要驗(yàn)證確認(rèn)的弱點(diǎn)，只要拿到用戶的 IP地址和 OICQ通訊端口即可發(fā)動(dòng)攻擊。另一種阻止攻擊者與你直接通訊的方法是通過代理上 OICQ或者隱身登陸，這樣攻擊者所看到的 IP地址是代理服務(wù)巧刪OICQ登錄號(hào)碼器的 IP，隱身登陸的消息傳遞是通過服務(wù)器中轉(zhuǎn)，這樣傳給攻擊者的數(shù)據(jù)包的 IP地址是騰訊服務(wù)器的地址。 IP探測(cè)的另一個(gè)方法是通過端口掃描， OICQ的通訊端口值默認(rèn)情況下是 8000，攻擊者可以通過集中掃描某一地址段的 8000端口來獲得那些正在使用 OICQ的 IP地址。推出該安全手冊(cè)的目的是為了能讓大多數(shù)對(duì)網(wǎng)絡(luò)安全不熟悉的網(wǎng)民們能夠簡單的防御這些攻擊。 30 BNCC 瀏覽網(wǎng)頁也會(huì)中木馬 IE是如何處理附件的：一般情況下如果附件是文本文件， IE會(huì)讀它，如果是VIDEO CLIP， IE會(huì)查看它；如果附件是圖形文件， IE就會(huì)顯示它；如果附件是一個(gè)EXE文件呢？ IE會(huì)提示用戶是否執(zhí)行！但令人恐懼的是，當(dāng)攻擊者更改 MIME類型后，IE就不再提示用戶是否執(zhí)行而直接運(yùn)行該附件！從而使攻擊者加在附件中的程序、攻擊命令能夠按照攻擊者設(shè)想的情況進(jìn)行?，F(xiàn)在它已經(jīng)演化成一種指定文件類型 (Inter的任何形式的消息： ， use新聞和 Web)的通用方法。 27 BNCC 木馬程序原理 木馬程序的建立連接的隱藏 28 BNCC 木馬程序原理 29 BNCC 瀏覽網(wǎng)頁也會(huì)中木馬 ? MIME(Multipurpose Inter Mail Extentions)，一般譯作“多用途的網(wǎng)際郵件擴(kuò)充協(xié)議”。另外一種辦法，是使用 ICMP（ Inter Control Message Protocol）協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送 ,原理是修改 ICMP頭的構(gòu)造，加入木馬的控制字段，這樣的木馬，具備很多新的特點(diǎn)，不占用端口的特點(diǎn)，使用戶難以發(fā)覺，同時(shí)，使用ICMP可以穿透一些防火墻，從而增加了防范的難度。 //釋放 DLL模塊 } } catch (Exception exception) //處理異常事件 { //處理異常事件 } return 0。 //找到RegisterServiceProcess的入口 rsp(NULL,1)。 HINSTANCE dll=LoadLibrary()。 24 BNCC 木馬程序原理 ? WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int) { try { DWORD dwVersion = GetVersion()。 線程 ：一個(gè)進(jìn)程，可以存在一個(gè)或多個(gè)線程，線程之間同步執(zhí)行多種操作，一般地，線程之間是相互獨(dú)立的，當(dāng)一個(gè)線程發(fā)生錯(cuò)誤的時(shí)候，并不一定會(huì)導(dǎo)致整個(gè)進(jìn)程的崩潰。相信，第五代木馬很快也會(huì)被編制出來。第四代木馬在進(jìn)程隱藏方面，做了大的改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入 DLL線程。第二代木馬，在技術(shù)上有了很大的進(jìn)步，冰河可以說為是國內(nèi)木馬的典型代表之一。 由于 存鏡像，所以可能導(dǎo)致各種敏感信息泄漏，例如帳號(hào)、口令、郵件、瀏覽過的網(wǎng)頁、正在編輯的文件等等，具體取決于崩潰的應(yīng)用程序和在此之前用戶進(jìn)行了那些操作。權(quán)限為Everyone完全控制。注冊(cè)表項(xiàng)： [HKEY_LOCAL_MACHINE\Software\Microsoft\