电脑系统知识([系统知识]对CPU资源占用100%的解决方法)

首页 相册 标签 系统漏洞(4) 漏洞入侵(4) 行内跟踪(4) 安全防御(4) 系统知识(6) 软件下载(6) 小说文学(9) 【罗兰攻城】(1) 【游戏下载】(1) 【动漫游戏】(2) 【爆笑动画】(1) 【常用软件】(1) 穌薄(4) 【MV古战场】(1)系统知识对CPU资源占用100的解决方法 2006-6-29 | By: 棋子 1、驱动没有经过认证，造成CPU资源占用100。大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。 2、防、杀毒软件造成故障。由于一些防、杀毒软加入了对网页、插件、邮件的随机监控，无疑增大了系统负担，可以根据情况有选择的开启服务。3、病毒、木马造成。大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法：使用最新的杀毒软件在DOS模式下进行杀毒。经常性更新升级杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。 4、开始运行msconfig启动，关闭不必要的启动项，重启。 5、查看“svchost”进程。 Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个，而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。 如何才能辨别哪些是正常的Svchost.exe进程，而哪些是病毒进程呢？ Svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost”，每个键值表示一个独立的Svchost.exe组。 微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。 如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。 还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。 上面简单的介绍了Svchost.exe进程的相关情况。总而言之，Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。 6、查看网络连接。主要是网卡。 7、把网卡、显卡、声卡卸载，然后重新安裝一下驱动。 8、重装系统、常用软件、当然也要装驱动，用几天看一下。若不会出现这种问题，再装上其他软件，但是最好是一个软件装完，先用几天。现会出现问题再接着装！阅读全文(475) | 回复(0) | 引用通告(0)穌薄伯圓圖畫 2006-6-28 22:40:00 | By: 棋子 阅读全文(146) | 回复(0) | 引用通告(0)穌薄伯圓圖畫 2006-6-28 22:33:00 | By: 棋子 阅读全文(142) | 回复(0) | 引用通告(1)系统知识Windows系统的六大用户组 2006-6-28 21:32:00 | By: 棋子 在Windows系统中，用户名和密码对系统安全的影响毫无疑问是最重要。通过一定方式获得计算机用户名，然后再通过一定的方法获取用户名的密码，已经成为许多黑客的重要攻击方式。即使现在许多防火墙软件不端涌现，功能也逐步加强，但是通过获取用户名和密码的攻击方式仍然时有发生。其实通过加固Windows系统用户的权限，在一定程度上对安全有着很大的帮助。 Windows是一个支持多用户、多任务的操作系统，不同的用户在访问这台计算机时，将会有不同的权限。同时，对用户权限的设置也是是基于用户和进程而言的，Windows NT里，用户被分成许多组，组和组之间都有不同的权限，并且一个组的用户和用户之间也可以有不同的权限。以下就是常见的用户组。1Users：普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以创建本地组，但只能修改自己创建的本地组。Users 可以关闭工作站，但不能关闭服务器。2Power Users：高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。3Administrators：管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。一般来说，应该把系统管理员或者与其有着同样权限的用户设置为该组的成员。4Guests：来宾组，来宾组跟普通组Users的成员有同等访问权，但来宾账户的限制更多。5Everyone：所有的用户，这个计算机上的所有用户都属于这个组。6SYSTEM组：这个组拥有和Administrators一样甚至更高的权限，在察看用户组的时候它不会被显示出来，也不允许任何用户的加入。这个组主要是保证了系统服务的正常运行，赋予系统及系统服务的权限。阅读全文(276) | 回复(0) | 引用通告(1)系统知识网络安全之彻底认识加密技术 2006-6-28 21:31:00 | By: 棋子 今日网络社会的人们感到谈网色变，无所适从。但我们必须清楚地认识到，安全问题的解决不可能一蹴而就。现代的电脑加密技术就是适应网络安全的需要应运而生的，它为一般的电子商务活动提供了安全保障，如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。下面就详细介绍一下加密技术的方方面面。 加密的概念 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。 加密的理由 网络安全方面，除了加密外我们别无选择。在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素，尤其是一些大公司和一些机密文件在网络上传输时。而且这种不安全性是互联网存在基础TCP/IP协议所固有的，包括一些基于TCP/IP的服务。解决上述难题的方案就是加密，加密后的口令即使被黑客获得也是不可读的，加密后的文件没有收件人的私钥无法解开，文件成为一大堆无任何实际意义的乱码。加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。需要强调一点的就是，文件加密其实不只用于电子邮件或网络上的文件传输，也可应用静态的文件保护，如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密，以防他人窃取其中的信息。 两种加密方法 加密技术通常分为两大类:“对称式”和“非对称式”。 对称式加密就是加密和解密使用同一个密钥，通常称之为“Session Key”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的Session Key长度为56Bits。 非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个需要配对使用，否则不能打开加密文件。这里的公钥是指可以对外公布的，私钥则只有持有者自己知道。在网络上，对称式的加密方法很难公开密钥，而非对称式的公钥是可以公开的，不怕别人知道，收件人解密时只要用自己的“私钥”即可以，这样就很好地避免了密钥的传输安全性问题。 加密技术中的摘要函数(MAD、MAD和MAD)摘要是一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。如果改变了输入消息中的任何信息，输出的摘要将会发生不可预测的改变。也就是说输入消息的每一位对输出摘要都有影响。摘要算法从给定的文本块中产生一个数字签名(fingerprint或mes?鄄sage digest)，数字签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容和进行身份认证。摘要算法的数字签名原理在很多加密算法中都被使用，如SO/KEY和PIP(pretty good privacy)。 现在流行的摘要函数有MAD和MAD，但要记住客户机和服务器必须使用相同的算法，无论是MAD还是MAD，MAD客户机不能和MAD服务器交互。它的设计是出于利用32位RISC结构来实现其最大吞吐量，而不需要大量的替换表(substitution table)。 MAD算法是以消息给予的长度作为输入，产生一个128位的“指纹”或“消息化”。要产生两个具有相同消息化的文字块或者产生任何具有预先给定“指纹”的消息，都被认为在计算上是不可能的。 MAD摘要算法是个数据认证标准。MAD的设计思想是要找出速度更快，比MAD更安全的一种算法，MAD的设计者通过使MAD在计算上慢下来，以及对这些计算做了一些基础性的改动来解决安全性这一问题，是MAD算法的一个扩展 。阅读全文(277) | 回复(0) | 引用通告(0)系统知识Win2003系统安装SQLSever2000后1433端口未开放的解释 2006-6-28 21:30:00 | By: 棋子 用了几年的Windows2003了，也用了好多年SQL Server，不过这个问题倒是头次遇到。下午朋友遇到个现象，在Win2003简体中文服务器版上安装SQL Server2000，默认安装，一切正常，但是在安装完成后查看端口，1433端口居然未开放，当然更不用说远程连接了。一般分析的都是这样：1、sql server服务没有启动；检查服务启动，重新启动服务故障依然。2、修改了端口号；打开网络实用工具，检查启用的协议中有TCP/IP协议，查看端口，是1433没错。3、客户端实用工具作了改动；打开客户端实用工具，检查协议端口正常，重新创建一个别名，依然不行。4、安装的问题；因为没有看他怎么安装的sql，怀疑安装步骤有问题。据张烨这个牛人讲，如果修改了默认的实例名，而又未正确配置，会出现这样的现象。遂卸载重装，一切默认，故障依然。5、安装版本的问题；查看安装光盘，是久经考验的安装盘，应该不会出问题。6、系统的问题；也看不出有什么其它的问题，难道是系统的问题？不过重装系统可太过麻烦，还是先想想其它的办法，看能不能找到问题所在。检查系统日志，这个应该是一个比较好的习惯。仔细翻了一遍重新安装后的日志，赫然发现如下内容：您运行的 Microsoft SQL Server 2000 版本或 Microsoft SQL Server 2000 Desktop Engine (也称为 MSDE) 和 Microsoft Windows Server 2003 家族使用时存在已知的 安全弱点。为了减少计算机被某些病毒的攻击，Microsoft SQL Server 2000，MSDE 或 两者的 TCP/IP 和 UDP 网络端口被禁用。要启用这些端口，您必须从 或 安装一个修补程序， 或 Microsoft SQL Server 2000 或 MSDE 的最新服务包。 有关更多信息，请参阅在 的帮助和支持 终于找到问题了，原来是Windows的一个小小的安全考虑。那么为什么以前就没遇到过呢，原来搞惯安全的人，安装好sql以后，在使用前一定会先修补漏洞，所以一直未注意过这个问题。看来什么样的习惯都会有一些弊端！既然找到问题就简单了，安装SQL Server SP4后一切正常。从上面的问题我们得出结论：1、不要惯性思维；2、要多看看微软写的日志，其实微软作的比想象的要好很多；3、处处留心皆学问啊；阅读全文(241) | 回复(0) | 引用通告(0)安全防御用注册表为操作系统砌堵安全墙 2006-6-28 21:29:00 | By: 棋子 众所周知，操作系统的注册表是一个藏龙卧虎的地方，所有系统设置都可以在注册表中找到踪影，所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。 然而，正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此，偷偷摸摸地干着罪恶勾当，威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭，保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。 特别提示:在进行修改之前，一定要备份原有注册表。 1.拒绝“信”骚扰 安全隐患:在Windows 2000/XP系统中，默认Messenger服务处于启动状态，不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。 解决方法:首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services”项下的各个选项来进行管理，其中的每个子键就是系统中对应的“服务”，如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值，将该值修改为4即可。这样该服务就会被禁用，用户就再也不会受到“信”骚扰了。 2.关闭“远程注册表服务” 安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(Remote Registry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。 解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。 找到注册表中“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services”下的RemoteRegistry项，右键点击该项选择“删除”(图1)，将该项删除后就无法启动该服务了。 图1在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。 3.请走“默认共享” 安全隐患:大家都知道在Windows 2000/XP/2003中，系统默认开启了一些“共享”，它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。 解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control LSA”的RestrictAnonymous项设置为“1”，这样就可以禁止IPC$的连接。 对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters”项。如果系统为Windows 2000 Server或Windows 2003，则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”，值为“0”)。如果系统为Windows 2000 PRO，则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”，值为“0”)。 4.严禁系统隐私泄露 安全隐患:在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。 解决方法:找到“HKEY_LOACL_MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion AeDebug”，将AUTO键值设置为0，现在DR.WATSON就不会记录系统运行时的出错信息了。同时，依次点击“Documents and SettingsALL UsersDocumentsdrwatson”，找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。 提示:如果已经禁止了DR.WATSON程序的运行，则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。5.拒绝ActiveX控件的恶意骚扰 安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序，从而达到破坏本地系统的目的。为了保证系统安全，我们应该阻止ActiveX控件私自运行程序。 解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行程序的，所以我们可以先删除“system32”目录下的wshom.ocx文件，这样ActiveX控件就不能调用Windows scripting host了。然后，在注册表中找到“HKEY_LOCAL_MACHINE SOFTWARE assesCLSIDF935DC2 2-1CF0-11D0-ADB9-00C04FD58A0B”，将该项删除。通过以上操作，ActiveX控件就再也无法私自调用脚本程序了。 6.防止页面文件泄密 安全隐患:Windows 2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象，因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息，而硬盘中的信息则极易被获取。 解决方法:找到“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SessionManager MemoryManagement”，将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。这样，每当重新启动后，系统都会将页面文件删除，从而有效防止信息外泄。 图27.密码填写不能自动化 安全隐患:使用Windows系统冲浪时，常会遇到密码信息被系统自动记录的情况，以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。 解决方法:在“HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion policies”分支中找到network子项(如果没有可自行添加)，在该子项下建立一个新的双字节值，名称为disablepasswordcaching，并将该值设置为1。重新启动计算机后，操作系统就不会自作聪明地记录密码了。 8.禁止病毒启动服务 安全隐患:现在的病毒很聪明，不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢? 解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services”分支，接着点击菜单栏中的“安全权限”，在弹出的Services权限设置窗口中单击“添加”按钮，将Everyone账号导入进来，然后选中“Everyone”账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。 图39.不准病毒自行启动 安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的，我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。 解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINE SOFTWARE Microsoft Windows CurrentVersion RUN”分支，将Everyone对该分支的“读取”权限设置为“允许”，取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。 病毒和木马是不断“发展”的，我们也要不断学习新的防护知识，才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀，不如提前做好防御工作，修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情，“防患于未然”才是我们应该追求的。阅读全文(297) | 回复(0) | 引用通告(0)漏洞入侵首种会聊天的蠕虫现身可关闭安全软件 2006-6-28 21:28:00 | By: 棋子 美国当地时间本周二，即时通讯安全专业厂商IMlogic公司警告称，针对AIM用户的一种新蠕虫被认为将是首款能够与用户聊天的蠕虫病毒，它能够诱惑用户激活一个恶意的负载。据IMlogic称，这一名为IM.Myspace04.AIM的蠕虫是随内容为“lol thats cool”的即时通讯消息传播的，其中包含一个指向恶意文件clarissa17.pif的链接。当用户响应这一消息，询问附件中是否包含有病毒时，该蠕虫会回答：“lol no its not its a virus”(不，其中没有病毒)。 IMlogic表示，恶意代码能够关闭安全软件，安装后门儿软件，调整系统文件。然后，它就会故伎重演，试图向用户即时通讯服务好友列表中的其他用户传播。IMlogic的产品管理主管安德鲁表示，这是第一种能够与用户聊天的病毒。他说，这一蠕虫的传播范围还不够广，黑客正在尝试这种新技术。我们会看到1或2个攻击实例，首先是小规模发作，然后就会大规模爆发。包含即时通讯bot是即时通讯蠕虫正在越来越复杂的另一个迹象。在本周二发现的另一种蠕虫则采取了一种更传统的策略：伪装为圣诞贺卡传播。安全专业人士建议，在点击即时通讯消息中的链接时，用户应当小心谨慎，即使是它似乎来自朋友，或者使用最新版本的反病毒软件。当在即时通讯消息中收到链接时，用户最好是首先向发送者验证是否发送了消息。阅读全文(280) | 回复(0) | 引用通告(0)安全防御轻松设置防止win2003泄密 2006-6-28 21:28:00 | By: 棋子 一直以来，Windows 2003系统是大家公认在安全方面做得比较好的操作系统，以致于很多人在使用了Windows 2003操作系统后就认为自己的系统安全已经“高枕无忧”了。可事实并非如此，细心的朋友可能会发现，Windows 2003系统在给人们带来强大稳定性的同时，其缺省设置同样也存在安全隐患！为此，我们有必要对Windows 2003缺省设置进行适当调整，以便让系统“拒绝”对外泄密。 大家知道，在默认状态下Windows 2003系统会将你输入的密码内容自做主张地记忆下来保存在系统特定的缓存中，日后想再次调用密码时，不需要重复输入密码，只需要输入密码的前几个字符，剩余的密码内容就会自动被系统补全。很明显，保存在Windows 2003系统特定缓存中的密码记录，一旦被黑客利用的话，就可能给系统带来安全威胁。为了确保密码信息不被泄露，你可以按照下面的步骤禁止系统把密码信息写入缓存，这样就能切断黑客获得密码信息的“通道”了： 依次单击系统桌面中的“开始”/“运行”命令，在弹出的运行对话框中，输入注册表编辑命令“regedit”；然后依次单击注册表编辑窗口中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpolicies分支，检查“policies”分支下面是否包含“Network”子项；倘若找不到“Network”子项时，你不妨选中“policies”主键并用鼠标右键单击之，从弹出的快捷菜单中依次执行“新建”/“项”命令，并将该项命名为“Network”。 接着再将“Network”项选中，并用鼠标右键单击该项右侧区域中的空白位置，再执行右键菜单中的“新建”命令，选中下面的“DWORD”命令；然后将新建的DWORD值名称设置为“DisablePasswordCaching”，将其数值设置为“0x00000001”，最后单击“确定”按钮退出注册表编辑界面；完成上面设置后，将系统重新启动一下，就能使上面的设置生效了。颜色也能泄密，会不会搞错呀？相信许多人都会发出这样的疑惑！不错，如果你和其他人使用同一台计算机，那么你在使用Windows 2003内置的IE上网后，网页中超级链接的颜色变化会让其他人知道你上网的痕迹。由于不少网页的超级链接颜色在访问之前与访问之后都是不同的，其他人一旦打开你刚才访问的页面，就能清楚你的上网“行踪”了。因此，你也有必要对Windows 2003中的IE浏览器进行一下合适设置，让超级链接的颜色“拒绝”对外泄密：运行IE程序，依次执行浏览界面中的“工具”/“Internet选项”，再单击选项设置窗口中的“常规”标签，然后单击对应标签页面中的“辅助功能”按钮，在弹出的设置界面中，将“不使用Web页中指定的颜色”选中。 接着单击Internet“常规”标签页面中的“颜色”按钮，在随后出现的设置窗口中，选中“使用Windows颜色”选项，并且在“链接”设置项中，将访问过的链接颜色和没有访问过的链接颜色设为相同，之后单击“确定”按钮，来结束整个颜色设置；如此一来，IE中的超级链接颜色就不会将你的上网“痕迹”泄露出去了。 Windows 2003系统为用户提供的简单文件共享功能可以让局域网之中的用户很方便地相互“沟通交流”，不过简单文件共享功能同时也给系统带来了不少安全漏洞，这些漏洞会在不经意间将系统的隐私泄露出去；为此，当系统不需要与其他用户进行“沟通交流”时，可以按下面的步骤，将简单文件共享功能暂时屏蔽掉，以确保系统不对外泄密： 双击Windows 2003桌面中的“我的电脑”图标，在弹出的“我的电脑”窗口中，依次单击菜单栏中的“工具”/“文件夹选项”命令。 在随后出现的文件夹参数设置界面中，选中“查看”选项，并在对应选项的设置页面中，取消“高级设置”项中的“使用简单文件共享”选项，再单击“确定”按钮，就能让系统“拒绝”共享泄密了。这里所提到的“报告”，其实就是Windows 2003系统中的“发送错误报告”功能；在Windows 2003系统出错时，你常常会看到错误报告窗口，如果你单击该窗口中的“发送错误报告”按钮，系统中的一些隐私信息也会一并被提交到微软公司手中。尽管该“报告”功能可以有效帮助微软公司搜集操作系统的缺憾，可是对于不少普通电脑用户来说，“报告”功能只会泄露系统隐私，不会给自己带来任何好处；为了操作的便利以及系统的安全，笔者建议你屏蔽掉Windows 2003系统中的“发送错误报告”功能；在屏蔽该功能时，可以按如下方法来进行： 首先在Windows 2003系统的控制面板窗口中，双击系统图标进入到系统属性窗口，再选中该窗口中的“高级”标签，然后单击该标签页面中的“错误报告”按钮，在随后出现的错误报告设置界面中，将“禁用错误汇报”选中，当然最好也将“但在发生严重错误时通知我”选中，如此一来系统日后遇到错误时，你仍然可以看到和错误有关的提示界面，只不过该界面已经不会要求你提交错误信息了。完成上面的设置后，单击“确定”按钮就能使设置生效了。此外，你还能通过停止服务的方法来屏蔽Windows 2003系统中的“发送错误报告”功能；在使用这种方法时，你可以先打开系统运行对话框，然后执行“msconfig”系统实用程序配置命令，接着选中“服务”标签，并在弹出的标签页面中，取消服务列表中的“Error Reporting Service”选中状态，最后重新启动一下计算机系统就能使设置生效了。这里所提到的“网页泄密”，主要是指浏览了恶意网页后，本地系统的硬盘有可能被网页设置成共享，这样Internet中的用户就能查看到本地系统中的隐私信息，从而给系统安全带来致命的威胁。为了确保本地硬盘不被非法共享，你必须进行如下的操作，来切断恶意网页非法共享本地硬盘的“通道”：依次单击“开始”/“运行”命令，在弹出的运行对话框中执行注册表编辑命令，在随后出现的编辑窗口中，将鼠标定位于HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan分支，检查“LanMan”主键下面是否包含“RWC$”选项，倘若找到的话，就说明当前你的本地硬盘已经被设置为了非法共享，此时你可以将“RWC$”键值选中并删除，这样就能将恶意网页私下创建的非法共享给删除了； 为了防止日后本地硬盘再次被恶意网页非法共享，你可以打开“我的电脑”窗口，找到Windows系统安装路径下面的system目录，并用鼠标右键单击该目录窗口中的“Vserver.vxd”文件（该文件是文件与打印机共享虚拟设备的驱动文件），从弹出的快捷菜单中执行“删除”命令，将它从系统中删除掉；下面再打开注册表编辑窗口，用鼠标依次展开注册表分支HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesVxD，接着将“VxD”主键下面的“Vserver”选项选中，并执行菜单栏中的“编辑”/“删除”命令，以便将“Vserver”选项删除掉；最后将计算机系统重新启动一下，这样来自Internet中的任意网页，日后都无法将本地硬盘设置为隐藏共享了。Windows 2003系统中的日志功能保存着系统整体性能以及软硬件方面的错误信息，同时还记录着所有用户访问系统时的操作信息和安全信息，通过查看分析日志文件，系统管理员能够有效地找到企图破坏系统的“可疑分子”。不过系统日志文件在默认状态下，可以被Guest帐号或者匿名帐号访问到，如此一来攻击者可能会冒用Guest或匿名帐号登录系统，并偷看系统日志文件，甚至能将他们的攻击“痕迹”从日志文件中删除，这样的话系统管理员就会无法通过日志文件及时知道系统是否已经遭受了“入侵”；所以，为了“拒绝”日志文件对外泄密，你可以“阻止”Guest或匿名帐号访问日志文件： 打开系统注册表编辑界面，将鼠标定位于HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesEventLog Application注册表分支，然后在对应的右边子窗口中右击空白位置，并执行快捷菜单中的“新建”/“双字节值”命令； 接着将新建好的双字节值名称设置为“RestrictGuestAccess”，将它的数值设置为“1”，再单击“确定”按钮，并刷新一下注册表，就可以“阻止”Guest或匿名帐号来访问应用日志文件了； 下面再将鼠标定位于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogSystem注册表分支，再在该分支下面新建一个名称为“RestrictGuestAcc-ess”的双字节值，并将它的数值设置为“1”，这样一来就能“阻止”Guest或匿名帐号访问系统日志文件了；按照相同的办法，你可以将鼠标定位于HKEY_LOCAL_MACHINESYSTEMCurrentContr-olSetServicesEventLogSecurity注册表分支，并在该分支下面创建一个名字为“RestrictGuestAccess”的双字节值，并将其数值也设置为“1”，就能“阻止”Guest或匿名帐号访问安全日志文件了。由于任何Windows 2003系统在默认状态下，都已经创建好了Guest、Administrator帐号；创建默认这些帐号的本意是方便用户登录系统，可是许多黑客常常会利用这些默认帐号来攻击系统，导致系统隐私信息在不经意间被泄露；为此，你可以停用这些默认帐号，以便切断黑客利用默认帐号攻击系统的通道，从而确保系统的安全： 首先选中开始菜单中的“控制面板”选项，接着单击下级菜单中的“管理工具”、“计算机管理”命令，在随后出现的界面中展开“本地用户和组”分支，然后选中下面的“用户”图标，在对应“用户”选项的右边子窗口中，双击Guest帐户，随后你会发现在默认状态下，该帐号已被停止使用；倘若没有被停止的话，你就必须在Guest帐户属性设置框中将它停用。 接着双击帐号列表中的Administrator选项，并在弹出窗口中选中“常规”标签，再在标签页面中，选中“帐户已禁用”选项。当然，为了确保自己日后能以管理员的身份登录到系统中，你最好在禁用Administrator帐号之前先创建一个新的帐号，并将新帐号添加到Administrator组中。大家知道，通过设置IE6.0程序的安全级别，就能控制恶意网页攻击系统；不过该安全级别在默认状态下却无法控制Internet用户对本地硬盘的访问，这样的话黑客就可能通过IE“偷看”到本地硬盘中的隐私信息。为了确保本地硬盘信息不被Internet用户随意访问到，你可以通过如下步骤来让IE程序的安全级别，也能控制“我的电脑”： 打开注册表编辑器，并在其编辑界面中逐步单击HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones0分支，在对应“0”主键的右边子窗口中，创建一个名称为“Flags”的二进制值，再将其数值设置为“1”，完成设置后单击“确定”按钮退出注册表编辑界面；接着关闭已经打开的IE窗口，再重新启动一下IE程序，并单击菜单栏中的“工具”/“Internet选项”，选中“安全”标签后，你将发现“我的电脑”图标已经出现在安全标签页面中了，这说明IE的安全级别也能控制本地硬盘的访问了； 接下来可以选中界面中的“我的电脑”选项，然后单击该界面中的“自定义级别”按钮，在其后打开的设置界面中，将“运行ActiveX控件和插件”设置为“禁用”，同时将“下载ActiveX控件”选项也设置为“禁用”，这样Internet用户就无法通过IE“偷看”到本地硬盘中的信息了。在默认状态下，Windows 2003系统开启了很多服务，不过其中有不少服务是“聋子的耳朵摆设”，甚至有的服务还能给系统安全带来潜在威胁；因此，你最好将一些不常用到的服务统统屏蔽掉，以免黑客或攻击者利用这些“闲置”的服务，来窃取系统的隐私信息： 依次单击系统桌面中的“开始”/“控制面板”/“管理工具”/“服务”命令，在弹出的服务列表窗口中，你会清楚地看到每一个服务的运行状态和注释说明。在该列表中，你可以将系统暂时用不到的服务全部停止掉，比方说Remote Registry服务、telnet服务、Error Reporting Service服务、NetMeeting Remote Desktop Sharing服务等； 在停用某个具体服务时，你可以先在服务列表中双击目标服务，例如telnet服务，在弹出的服务属性设置窗口中，选中“启动类型”下拉列表中的“手动”选项，再单击“停止”按钮，就能使该目标服务暂时停用了。也许你常会看到自己明明没有进行任何操作，可计算机的硬盘信号灯却在不停地闪烁，这是为什么呢？原来Windows 2003系统的许多操作，都是在系统“后台”默默进行的；因此，在你没有执行任何操作的情况下，硬盘信号灯仍然不停闪烁时，多半是Windows系统在“幕后”偷偷交换文件呢！文件交换时产生的一些隐私信息可能会被黑客通过专业的工具轻易捕捉到，为此，你应该通过下面的步骤及时将文件交换时产生的隐私信息自动清除掉：打开系统注册表编辑界面，将鼠标定位于HKEY_local_machinesystemcurrentcontr-olsetcontrolsessionmanager memory management注册表分支，在对应“memory management”分支的右侧区域中，找到ClearPageFileAtShutdown键值，倘若没找到的话，可以重新创建一个双字节值，并将它的名称设置为“ClearPageFileAtShutdown，将它的数值设置为“1”，最后单击“确定”按钮，就能使文件交换时产生的隐私信息在系统关闭之前被自动清除掉了。阅读全文(230) | 回复(0) | 引用通告(0)漏洞入侵绝处逢生：Windwos2003下权限提升 2006-6-28 21:27:00 | By: 棋子 前几天渗透了某大型网站，兴奋中。拿到WebShell后，第一个念头就是提升权限，把偶亲爱的后门挂到系统里。熟练的打开CMD，输入NET USER。 不是好兆头，接着在WSCRIPT组件前打钩，再次执行NET USER。 提示倒是换了，但是结果一样。接着偶想到了上传CMD.EXE，但是Windows 2003的上传在默认时是有限制的，不能大于200K，于是我上传了经典的Serv-U本地溢出程序，使用在Windows 2000下没有禁用WSCRIPT时的无敌调用提权大法。其实就是在调用CMD的地方写上本地溢出程序的路径及参数，一般在没有禁止WSCRIPT组件时，此法的成功率很高。但是结果依然是“禁止访问”，看来Windows 2003在默认情况下，安全性比Windows 2000默认时要强许多。失望之余，想到干脆去首页挂个马吧，最近正在玩PcShare，嘿嘿。跑到首页，加入偶的木马代码，点保存，“没有权限”，偶倒！太BT了吧？连修改首页的权限都没？管理员一定是把IIS用户降低到了GUEST组，或者给IIS目录单独设置了一个GUEST组的用户，并去掉了修改文件的权限。上帝太不公平了，怎么说都是偶辛辛苦苦搞来的Shell啊，现在一点用都没有！ 没办法，看看服务器里有啥好东西吧。翻来翻去，忽然眼前一亮：在某个目录里发现了congif.aspx文件。写到这里各位以为偶是要使用SA账号，通过SQLROOTKIT执行系统命令吧？错，偶看过了，账号不是SA权限的，是PU权限，什么都不能做，而且也不属于本文的介绍范围。偶注意的“ASPX”这个后缀，在默认安装情况下，IIS 6.0是支持.net的，也就是ASPX文件，但是在IIS 6.0里，ASP和ASPX两个扩展使用的却是2个不同的用户角色，ASP使用的是IUSER用户，管理员一般都比较注意这个账号，害怕被提升权限，所以把权限都降低到了GUEST，所以在ASP的WebShell里什么也不能做了。但是网管往往忽略了ASPX！由于.net使用的系统账号是ASPNET，而在默认情况下，这个账号是属于USER组的，这样我们上传一个.NET的后门上去，会以USER组的用户ASPNET执行命令，权限会有很大的提高，就可以提权了！ 说做就做，立即上传了一个ASPX的后门上去，打开CMD模块执行NET USER。 哇哈哈，果然不出偶所料，终于可以执行CMD了！来看看权限，输入“net localgroup guests”。 看到了吧？刚才我们在AspWebShell中使用的账号是IUSER_WEBSITE，属于GUESTS组，难怪什么权限都没有呢。再来看一下USERS组。 ASPNET就是现在我们的AspxShell使用的账号，权限是USERS，比Guest大好多，嘿嘿！其实这并不算是什么漏洞，只是由于管理员粗心大意造成的隐患而已。算是提升权限的一个思路吧。如果管理员把ASPNET也降低权限，或者删除ASPX这个扩展，本文的方法就不管用了，不过这样的管理员到目前我还没遇到过。总之，整体安全才是最重要的。不要放过每一个细节。阅读全文(229) | 回复(0) | 引用通告(0)首页 上一页下一页尾页页次：1/4页 10篇日志/页转到：黑客技术伯圓論壇欢迎你来到我们的田地,希望可以给你带来快乐和开心,这是我们最大的荣誉!时 间 记 忆日一二三四五六123456789101112131415161718192021222324252627282930最 新 评 论 Re:CCProxyv6 回复:周星驰QQ表情 回复:搞笑表情-最色情的美女QQ 回复:周星驰QQ表情 回复:搞笑表情-最色情的美女QQ 回复:周星驰QQ表情 回复:周星驰QQ表情 回复:CCProxyv6 回复:周星驰QQ表情 回复:周星驰QQ表情最 新 日 志 对CPU资源占用100的解决方法 伯圓圖畫 伯圓圖畫 Windows系统的六大用户组 网络安全之彻底认识加密技术 Win2003系统安装SQLSev 用注册表为操作系统砌堵安全墙 轻松设置防止win2003泄密 首种会聊天的蠕虫现身可关闭安全软件 绝处逢生：Windwos2003下最 新 留 言 签写留言 不错 连接 做的不错哦搜 索窗体顶端窗体底端用 户 登 录窗体顶端用户名：密码：记住密码用户注册忘记密码窗体底端友 情 连 接奇迹联盟想要听歌 详细信息 站内订阅(0) 加为好友 发送短信 日志:42 评论:11 留言:10 访问:34608