【正文】 ttings\All Users\Documents\DrWatson”下。在 Windows NT中被存儲(chǔ)在“ \WINNT\”中， everyone組至少有讀取權(quán)限。 21 BNCC 越權(quán)訪問 ? drwtsn32 參數(shù) drwtsn32 [i] [g] [p pid] [e event] [?] i 將 DrWtsn32 當(dāng)作默認(rèn)應(yīng)用程序錯(cuò)誤調(diào)試程序 g 被忽略，但作為 WINDBG 和 NTSD 的兼容而被提供 p pid 要調(diào)試的進(jìn)程 id e event 表示進(jìn)程附加完成的事件 ? 這個(gè)屏幕 22 BNCC 木馬程序原理 ? 木馬的分類 木馬程序技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了 4代，第一代，即是簡單的密碼竊取，發(fā)送等，沒有什么特別之處。第三代木馬在數(shù)據(jù)傳遞技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了 ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度?；蛘邟旖覲SAPI,實(shí)現(xiàn)木馬程序的隱藏，甚至在 Windows NT/2023下，都達(dá)到了良好的隱藏效果。 23 BNCC 木馬程序原理 ? 木馬程序的隱藏技術(shù) ? 進(jìn)程 ：一個(gè)正常的 Windows應(yīng)用程序，在運(yùn)行之后，都會(huì)在系統(tǒng)之中產(chǎn)生一個(gè)進(jìn)程，同時(shí)，每個(gè)進(jìn)程，分別對應(yīng)了一個(gè)不同的 PID（ Progress ID, 進(jìn)程標(biāo)識(shí)符）這個(gè)進(jìn)程會(huì)被系統(tǒng)分配一個(gè)虛擬的內(nèi)存空間地址段，一切相關(guān)的程序操作，都會(huì)在這個(gè)虛擬的空間中進(jìn)行。 服務(wù) ：一個(gè)進(jìn)程當(dāng)以服務(wù)的方式工作的時(shí)候，它將會(huì)在后臺(tái)工作，不會(huì)出現(xiàn)在任務(wù)列表中，但是，在 Windows NT/2023下，你仍然可以通過服務(wù)管理器檢查任何的服務(wù)程序是否被啟動(dòng)運(yùn)行。 //取得 Windows的版本號 if (dwVersion = 0x80000000) // Windows 9x隱藏任務(wù)列表 { int (CALLBACK *rsp)(DWORD,DWORD)。 //裝入 rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,RegisterServiceProcess)。 //注冊服務(wù) FreeLibrary(dll)。 } 25 BNCC 木馬程序原理 ? 程序的自加載運(yùn)行技術(shù) 集成到程序中 在 隱藏在配置文件中 隱形于啟動(dòng)組中 潛伏在 隱蔽在 偽裝在普通文件中 捆綁在啟動(dòng)文件中 內(nèi)置到注冊表中 設(shè)置在超級連接中 26 BNCC 木馬程序原理 ? 木馬程序的建立連接的隱藏 合并端口法，也就是說，使用特殊的手段，在一個(gè)端口上同時(shí)綁定兩個(gè) TCP或者 UDP連接，這聽起來不可思議，但事實(shí)上確實(shí)如此，而且已經(jīng)出現(xiàn)了使用類似方法的程序，通過把自己的木馬端口綁定于特定的服務(wù)端口之上，（比如 80端口的 HTTP，誰懷疑他會(huì)是木馬程序呢？）從而達(dá)到隱藏端口的目地。之所以具有這種特點(diǎn)，是因?yàn)?ICMP不同于 TCP， UDP， ICMP工作于網(wǎng)絡(luò)的應(yīng)用層不使用 TCP協(xié)議。顧名思義，它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出。在使用 CGI程序時(shí)你可能接觸過MIME類型，其中有一行叫作 Contenttype的語句，它用來指明傳遞的就是 MIME類型的文件(如 text/html或 text/plain)。 31 BNCC OICQ的安全 ? 縱觀針對 OICQ的攻擊，主要分為 IP探測、消息炸彈、密碼和本地消息破解、木馬植入及其它方式。 32 BNCC OICQ的安全 ? IP探測 由于 OICQ采用的是 UDP數(shù)據(jù)包通訊，攻擊者只要向你發(fā)送一個(gè)信息，他就可以通過監(jiān)視 UDP數(shù)據(jù)包來獲得你的 IP和 OICQ的端口號，從理論上說，在直接通訊的模式下，想避免攻擊者發(fā)現(xiàn)你的 IP地址是十分困難。 33 BNCC OICQ的安全 ? 防范 IP探測的主要方法是：一、阻止攻擊者與你直接通訊，在 OICQ的個(gè)人設(shè)定里修改身份驗(yàn)證默認(rèn)值為 需要身份認(rèn)證才能把我加為好友 ，這樣攻擊者也還是可以通過某些特殊的信息發(fā)送軟件跟你通訊，所以你還應(yīng)該在系統(tǒng)參數(shù)設(shè)置里把拒絕陌生人消息的選項(xiàng)選上。 修改 OICQ通訊端口默認(rèn)值是避免被攻擊者掃描的唯一方法，它還能防止攻擊者給你發(fā)送垃圾消息。 35 BNCC OICQ的安全 ? 密碼和本地消息破解 通過暴力解密是一種破解手段，有些攻擊者還采用一些鍵盤記錄程式來記錄你輸入的帳號和密碼，讓你防不勝防。 36 BNCC OICQ的安全 ? 一、本地破解防范 破解密碼通常是窮舉。選擇一個(gè)好密碼也是一個(gè)好辦法！ 37 BNCC OICQ木馬程序 ? 剖析 GOP木馬程序 ? GOP木馬的檢查 該木馬運(yùn)行的時(shí)候在 Windows的任務(wù)窗口中是看不到的 ,你可以點(diǎn)任務(wù)條上的 “開始 ”、 “運(yùn)行 ”、 “msinfo32”(就是 Windows自帶的系統(tǒng)信息，在 “附件 ”中 )。這才是 Windows現(xiàn)在全部運(yùn)行的任務(wù)。如果有一個(gè)項(xiàng)目有程序名和路徑，而沒有版本、廠商和說明，你就應(yīng)該緊張一下了。如果你發(fā)現(xiàn) GOP木馬，先關(guān)掉你的貓 (斷網(wǎng) )，然后脫機(jī)重新登錄一次你的 OICQ，查找電腦中是否有 (每個(gè)盤都應(yīng)該查一下！絕不放過！ )(這是 GOP記錄 OICQ密碼的文檔，如果你的OICQ密碼被監(jiān)控到了就一定會(huì)有。反正現(xiàn)在不在網(wǎng)上，不用擔(dān)心密碼被發(fā)走 )。不信？用記事本打開那個(gè) ，看看有沒有你的寶貝 OICQ的號碼和密碼。運(yùn)行 regedit，進(jìn)入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵，記住那個(gè)在系統(tǒng)信息中查到的那個(gè)文件，也可在 msconfig― 啟動(dòng) ― 名稱里找到 (在 “剖析木馬的設(shè)置 ”中，我們知道木馬文件名是可以任意定制的，所以無法確定具體的文件名 )的存放路徑，刪除該鍵值。然后進(jìn)入文件的存放路徑刪除木馬文件即可。 【 kaboom3】【 upyours4】【 Avalanche 】 40 BNCC 惡意程序 ? 郵件炸彈防范 ⒈不要將自己的郵箱地址到處傳播，特別是申請上網(wǎng)帳號時(shí) ISP送的電子信箱，那可是要按字節(jié)收費(fèi)的喲！去申請幾個(gè)免費(fèi)信箱對外使用，隨便別人怎么炸，大不了不要了。例如用Outlook，你可以選擇“工具” /“收件箱助理”，然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對各種條件的 Email的處理方式。 4。 ⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能，就可以將發(fā)炸彈的人報(bào)復(fù)回來，那是十分愚蠢的！發(fā)件人有可能是用的假地址發(fā)信，這個(gè)地址也許填得與收件人地址相同。只要對方以 OOB的方式，就可以通過 TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的 Port139上，該地址的電腦系統(tǒng)即（ WINDOWS95/NT）就會(huì) “ 應(yīng)封包而死 ” ，自動(dòng)重新開機(jī)，你未存檔的所有工作就得重新再做一遍了。如果你還是用的 win95，那您就要當(dāng)心了。然后學(xué)會(huì)隱藏自己的 IP，包括將 ICQ中 IP隱藏 打開，注意避免在會(huì)顯示 IP的 BBS和聊天室上暴露真實(shí)身份，特別在去黑客站點(diǎn)訪問時(shí)最好先運(yùn)行隱藏 IP的程序。炸彈有很多種，有的是造成電腦直接死機(jī)，有的是通過 HTML語言，讓你的瀏覽器吃完你的系統(tǒng)資源，然后你就死機(jī)了。最近又聽說有網(wǎng)友在瀏覽網(wǎng)頁時(shí)硬盤被共享，危害似乎更大！ 其實(shí)，所謂的瀏覽網(wǎng)頁硬盤被共享，和“萬花谷”一樣，受害者都是在瀏覽了含有有害代碼的 ActiveX網(wǎng)頁文件后中招的。 運(yùn)行 IE，點(diǎn)擊“工具 →Inter 選項(xiàng) → 安全 →Inter 區(qū)域的安全級別，把安全極別由“中”改為“高” 由于該類網(wǎng)頁是含有有害代碼的 ActiveX網(wǎng)頁文件，因此在 IE設(shè)置中將 ActiveX插件和控件、 Java腳本等全部禁止就可以避免中招。不過，這樣做在以后的網(wǎng)頁瀏覽過程中可能會(huì)造成一些正常使用ActiveX的網(wǎng)站無法瀏覽。 對于 Windows98用戶，請打開C:\WINDOWS\JAVA\Packages\，把其中的“ ”刪掉；對于 WindowsMe用戶，請打開C:\WINDOWS\JAVA\Packages\，把其中的“ ”刪掉。 49 BNCC 惡意程序 既然這類網(wǎng)頁是通過修改注冊表來破壞我們的系統(tǒng)，那么我們可以事先把注冊表加鎖：禁止修改注冊表，這樣就可以達(dá)到預(yù)防的目的。 解鎖方法如下： 用記事本編輯一個(gè)任意名字的 .reg文件，比如 ，內(nèi)容如下： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] DisableRegistryTools=dword:00000000 50 BNCC 惡意程序 51 BNCC 惡意程序 ? 網(wǎng)頁執(zhí)行 exe文件 在服務(wù)器端執(zhí)行文件是靠 SSI來實(shí)現(xiàn)的，SSI是服務(wù)器端包含的意思（不是 SSL），我們經(jīng)常使用的 include 就是服務(wù)器端包含的指令之一。就是他可以實(shí)現(xiàn)服務(wù)器端執(zhí)行指令。而只能stm、 .shtm 和 .shtml這些擴(kuò)展名。所以，你寫好的代碼必須保存成 .stm等格式才能確保服務(wù)器能執(zhí)行。 53 BNCC 惡意程序 ? !exec cmd=” cat /etc/passwd” 將會(huì)顯示密碼文件 ? !exec cmd=” dir /b” 將會(huì)顯示當(dāng)前目錄下文件列表 ? !exec cgi=” /cgibin/” 將會(huì)執(zhí)行 CGI程序 。他有兩個(gè)部分組成：注冊表數(shù)據(jù)庫（包括兩個(gè)文件： ）和注冊表編輯器。他們的自備份文件為 。 57 BNCC 注冊表的構(gòu)造 系統(tǒng)對注冊表預(yù)定了六個(gè)主管鍵字： HKEY_CLASSES_ROOT：文件擴(kuò)展名與應(yīng)用的關(guān)聯(lián)及 OLE信息 HKEY_USERS：用戶根據(jù)個(gè)人愛好設(shè)置的信息。但是注冊表中的所有信息都是以各種形式的鍵值項(xiàng)數(shù)據(jù)保存的。這些鍵值項(xiàng)數(shù)據(jù)可以分為三種類型： 在注冊表中，字符串值一般用來表示文件的描述和硬件的標(biāo)識(shí)。在本例中以 a=***表示。在注冊表編輯器中，二進(jìn)制以十六進(jìn)制的方式表示。 DWORD值是一個(gè) 32位 (4個(gè)字節(jié) )的數(shù)值。在本站中以 a=dword:00000001表示。注冊表中經(jīng)常出現(xiàn)雙重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的鍵同樣會(huì)在 HKEY_LOCAL_MACHINE中出現(xiàn)。某些相同的信息會(huì)出現(xiàn)在超過一個(gè)的子鍵中，如果您只修改了一個(gè)子鍵，那么該修改是否作用于系統(tǒng)依賴于該子鍵的等級。例如，一個(gè)設(shè)置項(xiàng)同時(shí)出現(xiàn)在 HKEY_LOCAL_MACHINE和 HKEY_USER子鍵中，通常由 HKEY_LOCAL_MACHINE中的數(shù)據(jù)起作用。如果您從“控制面板”中更改系統(tǒng)配置，則所有出現(xiàn)該設(shè)置項(xiàng)的地方均會(huì)發(fā)生相應(yīng)的改變。 具 體 使 用 方 法 是 的 Regedit. exe( 注 冊 表 編 輯 器 ) 到 本 地 硬 盤 上 運(yùn) 行， 去 掉 注 冊 表 只 讀 方 式， 對 系 統(tǒng) 注 冊 表 項(xiàng) 進(jìn) 行 修 改， 完 成 后 應(yīng) 存 盤 退 出。 62 BNCC 注冊表的修改 二、 間 接 修 改 注 冊 表 的 簡 易 方 法 在 注 冊 表 文 本 文 件 的 首 行 必 須 用 命 令 字 符 串 “ REGEDIT”， 其 作 用 是 通 知 系 統(tǒng) 調(diào) 用 regedit 來 完 成 注 冊 信 息 的 合 并 工 作。 主 鍵 及 其 默 認(rèn) 鍵 值 的 聲 明 格 式 為： 根 鍵 \ 一 級 主 鍵 \ 二 級 主 鍵\......= 默 認(rèn) 鍵 值 63 BNCC 注冊表的修改 ? 三、 備 份 注 冊 表 的 方 法 不 少 安 裝 程 序 ( 或 你 自 己 直 接 處 理 ) 都 可 能 搞 亂 你 系 統(tǒng) 的 注 冊 表