巧用系统控制台删除死顽固病毒

巧用系统控制台删除死顽固病毒
作者：五月 整理出处：天极安全

本人的一台操作系统为Win2000 Server的笔记本电脑最近被感染了病毒，我首先用相关杀毒软件来扫描计算机，扫描报告如下:
　　病毒名称:Hacktool
　　文件名:c:\winnt\system32\ntservice.exe
　　操作:删除失败，隔离失败，访问被拒绝
　　如何才能彻底 删除呢?
　　因为c:\winnt\system32\ntservice.exe已经在运行了，直接删除显然是不可能的。于是我运行Windows任务管理器，在进程选 项卡中选择结束ntservice.exe进程，结果系统显示“无法中止进程，拒绝访问”。
　　我突然想到在Win 2000(XP)的控制台状态下是可以用DOS命令的。
　　什么是控制台
　　控制台是Windows的一种简易运行模式，它可以不启动图形界面而在命令行状态下有限制地访问 FAT和NTFS分区，并对系统进行一些设置和操作。
　　通过控制台，我们可以更换系统文件、关闭或者禁用某个系统服务、禁用或卸载硬件 设备、修复引导扇区、新建分区以及格式化硬盘分区等。
　　启动控制台
　　对于Windows 2000，我们可以用光盘启动电脑，然后在安 装程序的选单中按R键选择“修复Windows 2000安装”，再从修复选单中按C键选择“故障恢复控制台修复Windows2000”。
　　对于 WindowsXP，同样是用光盘启动电脑，然后按R选择修复，就能直接进入控制台。
　　直接把控制台的相关选项安装到启动菜单中的方 法:把光盘放入光驱，然后直接在运行中输入“d:\i386\winnt32/cmdcons”之后回车(这里假设你的光驱是D)，再点击“是”，就可以把控 制台选项安装到高级启动菜单中，这样以后直接从硬盘就可以进入控制台中。这个方法适用于Windows 2000和Windows XP。
　　在控制台的命令提示符下，为安全起见，我首先对ntservice.exe进行备份，然后直接运行:del c:\winnt\system32\ntservice.exe就OK了。

与间谍软件抗击时寻找网络安全的源头

2005年对企业网络的最大威胁是什么?间谍软件成为头号公敌。在与之抗击的同时，我们应该去寻找网络安全的源头。
　　网上钓鱼，欺诈性网站，间谍软件……这些网络威胁迫使企业电脑安全问题的关注点由外向内转移。浏览网站被盗取密码，网上聊天被窃取机密，互联网为人们带来远程办公便利的同时，也为信息泄露增添了更多的机会。
　　2006年，Webroot反间谍软件公司报告显示，经过了2005年的回落之后，2006年间谍软件的感染率又达到了2004年以来的顶点。
　　造成这种趋势的原因包括:新的间谍软件传播途径、复杂性增强和用户多半依赖免费的反间谍程序。
　　这个报告还发现，间谍软件找到了一些新的温床，比如MySpace 等社会性网络网站。
　　与此同时，垃圾邮件发送者们也将间谍软件列为了他们谋取钱财的一个手段，诱惑受害者的间谍软件(Spyware)网站数量正在增长。
　　威胁，可能来自内部
　　互联网威胁监视公司Websense 9月份发布的安全公告称，一种假冒的电子邮件鼓励收件人安装一个修复微软在MS05-039安全公告中介绍的一个Windows安全漏洞。
　　Websense公司称，因为这个电子邮件利用人们对自己系统的安全漏洞的担心，因此可能会取得一些成功。他说，人们仍容易上这个当。黑客很容易利用人们的恐惧心理。
　　这个欺骗活动比早些时候欺骗人们在计算机中安装特洛伊木马程序的做法在技术上有了改进，因为这次的欺骗活动是以微软修复的一个真正的安全漏洞为背景的。
　　除了垃圾邮件，间谍软件也对网络安全构成很大的威胁。
　　间谍软件的一个共同特点是，能够附着在共享文件、可执行图像以及免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。
　　间谍软件的主要用途是跟踪用户的上网习惯，有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起，用户很难发现它们是什么时候安装的。
　　一旦间谍软件进入计算机系统，要想彻底清除它们就会十分困难，而且间谍软件往往成为不法分子手中的危险工具。
　　间谍软件不仅可以窃取口令、信用卡号，而且还可以偷走各种类型的身份信息，用于一些更加险恶的目的。如捕捉和传送Word和Excel文档，窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道，那么用户面临的危险将是不可预料的。
　　在国外安全公司WatchGuard的调查中，有67%的IT专业人士抱怨，认为在2005年，对他们的网络来说，间谍软件是最大的安全威胁。如图所示。
　　构筑防线
　　强制使用安全策略是防止间谍软件的一道防线，具体措施包括:使用微软的域名安全策略来配置桌面浏览器和Outlook;阻断ActiveX和其他可执行文件;管理脚本文件;通过HTTP代理来过滤Web内容。
　　如果员工不需要使用Internet来完成自己的工作，还可以断开他们的网络连接。
　　此外，对员工进行培训，使他们知道如何在Web上安全冲浪，在培训中需要注意以下几点:不要下载对等程序或任何无法确定其安全性的程序;不要点击来历不明的图片;在咨询IT部门之前，不要下载免费软件;最关键的原则是，如果工作不需要，就不要点击无关内容。
　　即使用户已经实施了上述策略，间谍软件仍有可能乘虚而入。过滤软件厂商Websense推出了一种被称为客户端策略管理(CPM)的产品，并在其中增加了一些全新的反间谍软件功能。
　　该组件可以作为插件安装到Websense Enterprise集中管理器，能在间谍软件进入网络中的计算机之前拦截它们。如果一些间谍软件通过了这道屏障，CPM也可以利用内核中的过滤驱动程序阻止其执行。
　　这一驱动程序可以对间谍程序进行分类查找，并阻止间谍软件离开。通过这种方式，Websense可以找到那些穿过防线的间谍软件。Websense还可以通过报告机制通知管理员应当对哪些计算机采取措施。
　　除了Websense CPM外，赛门铁克也推出了针对网关的网络安全产品Symantec Web Security 2.0，它能够对病毒、恶意代码和不适当的Web内容提供一次性扫描，从而在HTTP/FTP网关上防护Web流量，预防已知和未知病毒及与业务不相关Web站点造成的危害。
　　利用商业工具和一些免费软件，也能减小电脑感染间谍软件的概率。杀毒软件能够阻止部分间谍软件发作，桌面工具也可以清除机器上的间谍软件。但可以肯定的是，Web过滤是较有效的办法，它可以将大部分的间谍软件拒之门外。

拨开迷雾看仔细 DLL注入木马简介
出处：电脑迷
作者：冰河洗剑

　　目前网络上十分流行的木马形式：DLL木马，究竟什么是DLL木马？
　　后缀名为.DLL的文件是Windows中的库链接文件，是Windows系统中许多驱动和程序运行时必需的文件。DLL文件与EXE文件不同，是不能直接运行的，必须通过其它程序运行加载来实现一定的功能。所谓的DLL木马就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。

图1 系统中的DLL文件
　　DLL木马设置注入的进程，往往是公认比较“安全”的。比如 “iexplore.exe”或“svchost.exe”，这些进程是默认被防火墙许可访问网络的，所以木马便可混在这些进程中瞒过防火墙的封锁，因此隐蔽性极高。另外，DLL木马与一般的木马与众不同的地方还在于：杀毒软件即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用，无法删除。
　　要防范DLL木马，最好是不要随意下载并安装来路不明的软件，另外就是要安装强力防火墙和杀毒软件，对防火墙报告的隐藏进程访问网络的情况需要特别注意。确认自己中了何种木马后，应该马上上网查找专杀工具或手工清除办法。