黑客知识之CC攻击的思路及防范方法

黑客知识之CC攻击的思路及防范方法

作者：火柴盒　来源：赛迪网安全社区

前段时间上海一家游戏娱乐公司的网站遭到了基于页面请求的DDOS分布式拒绝服务攻击，网站陷入完全瘫痪状态，并被黑客的匿名信勒索，金额高达10万元，而在勒索过程中，这群黑客还表示会对腾讯QQ等网站下手，随后QQ“服务器维护”几天。12月5号的时候，全球BitTorrent服务器也受到了很强烈的DDOS攻击，一度陷入瘫痪。而DDOS攻击中最流行的也是威力最大的就是基于页面的DDOS以及将这个攻击理论发挥得淋漓尽致的攻击工具CC，本文特邀CC作者和我们共同了解CC的相关攻击原理和防范方法，希望能让更多的朋友了解这样的攻击方式并能防范它。

很多朋友都知道木桶理论，一桶水的最大容量不是由它最高的地方决定的，而是由它最低的地方决定，服务器也是一样，服务器的安全性也是由它最脆弱的地方决定的，最脆弱的地方有多危险服务器就有多危险。DDOS也是一样，只要你的服务器存在一个很耗资源的地方，限制又不够，就马上成为别人DDOS的对象。比如SYN-FLOOD，它就是利用服务器的半连接状态比完全连接状态更耗资源，而SYN发动方只需要不停的发包，根本不需要多少资源。

一个好的DDOS攻击必须是通过自己极少资源的消耗带来对方较大的资源消耗，否则比如ICMP-FLOOD和UDP-FLOOD都必须和别人一样大的带宽，对方服务器消耗多少资源自己也得赔上多少资源，效率极其低下，又很容易被人发现，现在基本没有什么人用了。

攻击原理

CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，对不？！一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观，现在知道为什么很多空间服务商都说大家不要上传论坛，聊天室等东西了吧。

一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的体积有200MB大小，系统很可能就要在这200MB大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。

CC就是充分利用了这个特点，模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作，就是需要大量CPU时间的页面)。很多朋友问到，为什么要使用代理呢？因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。

使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接(我知道的记录是有人利用2000个代理产生了35万并发连接)。

可能很多朋友还不能很好的理解，我来描述一下吧。我们假设服务器A对Search.asp的处理时间需要0.01S(多线程只是时间分割，对结论没有影响)，也就是说他一秒可以保证100个用户的Search请求，服务器允许的最大连接时间为60s，那么我们使用CC模拟120个用户并发连接，那么经过1分钟，服务器的被请求了7200次，处理了6000次，于是剩下了1200个并发连接没有被处理。有的朋友会说：丢连接！丢连接！问题是服务器是按先来后到的顺序丢的，这1200个是在最后10秒的时候发起的，想丢？！还早，经过计算，服务器满负开始丢连接的时候，应该是有7200个并发连接存在队列，然后服务器开始120个/秒的丢连接，我们发动的连接也是120个/秒，服务器永远有处理不完的连接，服务器的CPU 100%并长时间保持，然后丢连接的60秒服务器也判断处理不过来了，新的连接也处理不了，这样服务器达到了超级繁忙状态。

我们假设服务器处理Search只用了0.01S，也就是10毫秒(这个速度你可以去各个有开放时间显示的论坛看看)，我们使用的线程也只有120，很多服务器的丢连接时间远比60S长，我们的使用线程远比120多，可以想象可怕了吧，而且客户机只要发送了断开，连接的保持是代理做的，而且当服务器收到SQL请求，肯定会进入队列，不论连接是否已经断开，而且服务器是并发的，不是顺序执行，这样使得更多的请求进入内存请求，对服务器负担更大。

当然，CC也可以利用这里方法对FTP进行攻击，也可以实现TCP-FLOOD，这些都是经过测试有效的。

防范方法

说了攻击原理，大家肯定会问，那么怎么防御？使用硬件防火墙我不知道如何防范，除非你完全屏蔽页面访问，我的方法是通过页面的编写实现防御。

1、使用Cookie认证。这时候朋友说CC里面也允许Cookie，但是这里的Cookie是所有连接都使用的，所以启用IP+Cookie认证就可以了。

2、利用Session。这个判断比Cookie更加方便，不光可以IP认证，还可以防刷新模式，在页面里判断刷新，是刷新就不让它访问，没有刷新符号给它刷新符号。给些示范代码吧，Session：

程序代码：〈% if session(“refresh”)〈〉 1 then Session(“refresh”)

=session(“refresh”)+1 Response.redirect “index.asp” End if %〉

这样用户第一次访问会使得Refresh=1，第二次访问，正常，第三次，不让他访问了，认为是刷新，可以加上一个时间参数，让多少时间允许访问，这样就限制了耗时间的页面的访问，对正常客户几乎没有什么影响。

3、通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP，这招完全可以找到发动攻击的人，当然，不是所有的代理服务器都发送，但是有很多代理都发送这个参数。详细代码：

程序代码： 〈%

Dim fsoObject

Dim tsObject

dim file

if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then

response.write "无代理访问"

response.end

end if

Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")

file = server.mappath("CCLog.txt")

if not fsoObject.fileexists(file) then

fsoObject.createtextfile file,true,false

end if

set tsObject = fsoObject.OpenTextFile(file,8)

tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")

&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now()

Set fsoObject = Nothing

Set tsObject = Nothing

response.write "有代理访问"

%〉

这样会生成CCLog.txt，它的记录格式是：真实IP [代理的IP] 时间，看看哪个真实IP出现的次数多，就知道是谁在攻击了。将这个代码做成Conn.asp文件，替代那些连接数据库的文件，这样所有的数据库请求就连接到这个文件上，然后马上就能发现攻击的人。

4、还有一个方法就是把需要对数据查询的语句做在Redirect后面，让对方必须先访问一个判断页面，然后Redirect过去。

5、在存在多站的服务器上，严格限制每一个站允许的IP连接数和CPU使用时间，这是一个很有效的方法。

CC的防御要从代码做起，其实一个好的页面代码都应该注意这些东西，还有SQL注入，不光是一个入侵工具，更是一个DDOS缺口，大家都应该在代码中注意。举个例子吧，某服务器，开动了5000线的CC攻击，没有一点反应，因为它所有的访问数据库请求都必须一个随机参数在Session里面，全是静态页面，没有效果。突然发现它有一个请求会和外面的服务器联系获得，需要较长的时间，而且没有什么认证，开800线攻击，服务器马上满负荷了。

代码层的防御需要从点点滴滴做起，一个脚本代码的错误，可能带来的是整个站的影响，甚至是整个服务器的影响，慎之！

网络安全之小技巧保护(IIS)Web服务器

网络安全之小技巧保护(IIS)Web服务器

作者：smtk　来源：赛迪网安全社区

通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外，它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。

正因为如此，我在这里将为预算而头疼的大学IT经理们提供一些技巧，以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的，但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上，这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。

首先，开发一套安全策略

保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产，那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分，那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。

网络管理员为各方面资源建立安全性的直接结果是什么呢？一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层，管理层人员又会去质问网络管理员究竟发生了什么。那么，网络管理员没办法建立支持他们安全工作的文档，因此，冲突发生了。

通过标注Web服务器安全级别以及可用性的安全策略，网络管理员将能够从容地在不同的操作系统上部署各种软件工具。

IIS安全技巧

微软的产品一向是众矢之的，因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后，网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单，服务器操作员也许会发现这是非常有用的。

1. 保持Windows升级：

你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以Web的形式将文件发布出来。通过这些工作，你可以防止你的Web服务器接受直接的Internet访问。

2. 使用IIS防范工具：

这个工具有许多实用的优点，然而，请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用，请首先测试一下防范工具，以确定它已经被正确的配置，保证其不会影响Web服务器与其他服务器之间的通讯。

3. 移除缺省的Web站点：

很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后，因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址)，他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹，且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。

4. 如果你并不需要FTP和SMTP服务，请卸载它们：

进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

5. 有规则地检查你的管理员组和服务：

有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

6. 严格控制服务器的写访问权限：

这听起来很容易，然而，在大学校园里，一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的，然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

7. 设置复杂的密码：

我最近进入到教室，从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深，以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词)，那么黑客能快速并简单的入侵这些用户的账号。

8. 减少/排除Web服务器上的共享：

如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\\命令寻找Everyone/完全控制权限的共享。

9. 禁用TCP/IP协议中的NetBIOS：

这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用，他们便不能这么做了。另一方面，随着NETBIOS被禁用，黑客就不能看到你局域网上的资源了。这是一把双刃剑，如果网络管理员部署了这个工具，下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。

10. 使用TCP端口阻塞：

这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口，那么你可以进入你网络接口卡的属性选项卡，选择绑定的TCP/IP协议，阻塞所有你不需要的端口。你必须小心的使用这一工具，因为你并不希望将自己锁在Web服务器之外，特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节，点击这里。

11. 仔细检查*.bat和*.exe 文件：

每周搜索一次*.bat和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

12. 管理IIS目录安全：

IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部网，这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源，也可以对特定的用户提供。

13. 使用NTFS安全：

缺省地，你的NTFS驱动器使用的是EVERYONE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在

Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

14.管理用户账户：

如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。

15. 审计你的Web服务器：

审计对你计算机的性能有着较大的影响，因此如果你不经常察看的话，还是不要做审计了。如果你真的能用到它，请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具，审计就不那么重要了。缺省地，IIS总是纪录访问， WhosOn 会将这些纪录放置在一个非常容易易读的数据库中，你可以通过Access或是 Excel打开它。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

总结

上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署，结果可能让你损失惨重，你可能需要重启，从而遗失访问。

最后的技巧： 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接，然后你将有一大堆的调查和研究要做了。

命令行和脚本设置安全用户账户匿名FTP

该方案不能用在带有受控的访问保护概要文件（CAPP）和评估保证级别 4+（EAL4+）功能的系统中。

1. 通过输入以下命令验证 bos.net.tcp.client 文件集已安装到您的系统上：

lslpp -L | grep bos.net.tcp.client

如果没有收到输出，则该文件集未安装。

2. 通过输入以下命令验证系统的 /home 目录下是否至少有 8 MB 的可用空间：

df -k /home

步骤4中的脚本需要 /home 目录下至少有 8 MB 可用空间来安装所需的文件和目录。

3. 使用 root 权限，更改为 /usr/samples/tcpip 目录。例如：

cd /usr/samples/tcpip

4. 要设置账户，请运行以下脚本：

./anon.ftp

5. 当提示确定要修改 /home/ftp？时，输入 yes。输出类似于以下显示：

Added user anonymous.

Made /home/ftp/bin directory.

Made /home/ftp/etc directory.

Made /home/ftp/pub directory.

Made /home/ftp/lib directory.

Made /home/ftp/dev/null entry.

Made /home/ftp/usr/lpp/msg/en_US directory.

6. 更改到 /home/ftp 目录。例如：

cd /home/ftp

7. 通过输入以下命令创建 home 子目录：

mkdir home

8. 通过输入以下命令将 /home/ftp/home 目录的许可权更改为 drwxr-xr-x：

chmod 755 home

9. 通过输入以下命令更改到 /home/ftp/etc 目录：

cd /home/ftp/etc

10. 通过输入以下命令创建 objrepos 子目录：

mkdir objrepos

11. 通过输入以下命令将 /home/ftp/etc/objrepos 目录的许可权更改为 drwxrwxr-x：

chmod 775 objrepos

12. 通过输入以下命令将 /home/ftp/etc/objrepos 目录的所有者和组更改为 root 用户和 system 组：

chown root:system objrepos

13. 通过输入以下命令创建 security 子目录：

mkdir security

14. 通过输入以下命令将 /home/ftp/etc/security 目录的许可权更改为 drwxr-x---：

chmod 750 security

15. 通过输入以下命令将 /home/ftp/etc/security 目录的所有者和组更改为 root 用户和 security 组：

chown root:security security

16. 通过输入以下命令更改为 /home/ftp/etc/security 目录：

cd security

17. 通过输入以下 SMIT 快速路径来添加用户：

smit mkuser

在本例中，我们要添加一个名为 test 的用户。

18. 在 SMIT 字段中，输入以下值：

用户名 [test]

管理用户？ true

主组 [staff]

组集 [staff]

另一用户可 SU 至用户？ true

主目录 [/home/test]

输入更改之后，按下回车键创建用户。在 SMIT 过程完成后，退出 SMIT。

19. 用以下命令为该用户创建密码：

passwd test

当提示时，输入期望的密码。必须再一次输入新密码以确认。

20. 通过输入以下命令更改到 /home/ftp/etc 目录：

cd /home/ftp/etc

21. 通过输入以下命令复制 /etc/passwd 文件到 /home/ftp/etc/passwd 文件：

cp /etc/passwd /home/ftp/etc/passwd

22. 使用您喜欢的编辑器，编辑 /home/ftp/etc/passwd 文件。例如：

vi passwd

23. 从复制的内容中删除除 root、ftp 和 test 用户以外的所有行。编辑之后，内容看起来应该与以下类似：

root:!:0:0::/:/bin/ksh

ftp:*:226:1::/home/ftp:/usr/bin/ksh

test:!:228:1::/home/test:/usr/bin/ksh

24. 保存更改并退出编辑器。

25. 通过输入以下命令将 /home/ftp/etc/passwd 文件的许可权更改为 -rw-r--r--：

chmod 644 passwd

26. 通过输入以下命令将 /home/ftp/etc/passwd 目录的所有者和组更改为 root 用户和 security 组：

chown root:security passwd

27. 通过输入以下命令将 /etc/security/passwd 文件内容复制到 /home/ftp/etc/security/passwd 文件：

cp /etc/security/passwd /home/ftp/etc/security/passwd

28. 使用您喜欢的编辑器，编辑 /home/ftp/etc/security/passwd 文件。例如：

vi ./security/passwd

29. 从复制的内容中删去除 test 用户之外的所有节。

30. 从 test 用户节中除去 flags = ADMCHG 行。编辑之后，内容看起来应该与以下类似：

test:

password = 2HaAYgpDZX3Tw

lastupdate = 990633278

31. 保存更改并退出编辑器。

32. 通过输入以下命令将 /home/ftp/etc/security/passwd 文件的许可权更改为 -rw-------：

chmod 600 ./security/passwd

33. 通过输入以下命令将 /home/ftp/etc/security/passwd 目录的所有者和组更改为 root 用户和 security 组：

chown root:security ./security/passwd

34. 使用您喜欢的编辑器，编辑 /home/ftp/etc/security/group 文件。例如：

vi ./security/group

35. 将以下行添加到文件中：

system:*:0:

staff:*:1:test

36. 保存更改并退出编辑器，并对/home/ftp/etc/group 文件执行同样的操作。

37. 使用以下命令将相应的内容复制到 /home/ftp/etc/objrepos 目录：

cp /etc/objrepos/CuAt ./objrepos

cp /etc/objrepos/CuAt.vc ./objrepos

cp /etc/objrepos/CuDep ./objrepos

cp /etc/objrepos/CuDv ./objrepos

cp /etc/objrepos/CuDvDr ./objrepos

cp /etc/objrepos/CuVPD ./objrepos

cp /etc/objrepos/Pd* ./objrepos

38. 通过输入以下命令更改到 /home/ftp/home 目录：

cd ../home

39. 通过输入以下命令为您的用户新建一个主目录：

mkdir test

这将是新的 ftp 用户的主目录。

40. 通过输入以下命令将 /home/ftp/home/test 目录的所有者和组更改为 test 用户和 staff 组：

chown test:staff test

41. 通过输入以下命令将 /home/ftp/home/test 文件的许可权更改为 -rwx------：

chmod 700 test

此时，您已经在机器上设置了 ftp 子登录。您可以用以下的过程来测试它。

1. 使用 ftp，连接到您创建 test 用户的主机。例如：

ftp MyHost

2. 以 anonymous 登录。当提示输入密码时，按下回车键。

3. 通过使用以下命令更改至新近创建的 test 用户：

user test

当提示输入密码时，使用您在步骤 19中创建的密码。

4. 使用 pwd 命令来验证用户的主目录是存在的。例如：

ftp> pwd

/home/test

输出显示 /home/test 作为 ftp 子目录。主机上的全路径名称实际上是 /home/ftp/home/test。

提高操作系统安全从管理Cookies开始

提高操作系统安全从管理Cookies开始

你是否为服务器被入侵而苦恼？你是否对计算机中宝贵数据被泄露而生气？你又是否疑惑为什么服务器保护的很好却还是出现安全问题呢？俗话说攘外必先安内，在我们安装防火墙更新补丁防范外部黑客入侵的同时，首先要做的就是对自己服务器进行全面扫描，将服务器内部蛀虫全部赶走。

一、内部蛀虫有哪些

寄居在系统中的内部蛀虫有很多种，例如间谍软件，恶意插件等。不过这些蛀虫都是可以通过系统优化工具和杀毒软件来解决的。而有些蛀虫让我们这些网络管理员很无奈，例如存储在本地硬盘中的cookies文件，他们记录着计算机操作者的隐私信息，包括用户名和加密的密码以及经常访问的网页信息，总之网站通过cookies文件记录用户的隐私，了解用户浏览的信息。

小提示：

什么是Cookies？Cookies是数据包，可以让网页具有记忆功能，在某台电脑上记忆一定的信息。Cookies的工作原理是，第一次由服务器端写入到客户端的系统中。以后每次访问这个网页，都是先由客户端将Cookies发送到服务器端，再由服务器端进行判断，然后再产生HTML代码返回给客户端。通过这个原理服务器就可以根据不同用户产生不同cookies文件，这样当该用户再次访问同一个站点时就可以根据不同的cookies文件返回不同的页面信息了。

二、如何防范Cookies

Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的，当我们浏览某个站点时，该站点很可能将记录我们隐私的cookies文件上传到本地硬盘。那么我们如何防范阻止cookies文件泄露我们的隐私呢？实际上我们可以通过浏览器设置不容许计算机接收cookies文件即可。方法如下：

第一步：进入系统打开IE浏览器。

第二步：通过菜单栏中的“工具->internet选项”打开internet设置窗口。

第三步：找到“隐私”标签，将设置的滑动按钮调节到最高，这样将阻止来自所有网站的cookie，而且计算机上的现有cookie文件都将不能被网站读取

第四步：确定后我们完成设置，任何站点都不会将cookie文件强制塞入我们的计算机。我们的隐私也不会再泄露了。

三、Cookies取舍我做主

根据上面的设置我们将所有的cookies文件都阻挡在计算机之外，然而在实际使用中有的站点是需要cookies文件的支持的，特别是一些论坛。如果你禁止了cookies文件的话，这些站点将无法访问。如何解决这些站点的访问问题呢？可能有的读者会说将IE浏览器的隐私设置进行调节不就可以了吗？然而级别调低后计算机的安全性也随之降低了，也许很多我们本来不希望记录的cookies文件也随着隐私级别降低而下载。笔者在网上搜索到一款小软件，通过他可以轻轻松松的管理本地服务器的所有cookies文件，查看他们的信息，删除不必要的cookies。

IECookiesView是一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据，包括是哪一个网站写入Cookies的，内容有什么，写入的时间日期及此Cookies的有效期限等等资料。对于那些常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯的用户来说，使用软件来看看这些Cookies的内容都是些什么，这样就不会再担心怀疑了。此软件只对IE浏览器的Cookies有效。

第一步：下载该软件后解压缩。

第二步：该软件是绿色的，不用安装，只有一个主程序——iecv.exe。运行该程序启动软件。软件会自动扫描驻留在本地计算机IE浏览器中的cookies文件。

第三步：我们随便选中一个cookies后就可以从下面的内容显示区域看到他的地址，参数以及过期时间等信息了。如果是一个红色的叉子说明该cookies已经过期，无法使用；如果是一个绿色的对勾说明该cookies还可以使用。

第四步：找到一个有效的cookies文件后双击打开属性窗口，在这里我们可以看到该cookies的名称和参数，其中参数包括了cookies保存的论坛用户名和经过加密的密码。例如笔者查看的bbs.it168.com，可以看到该论坛保存的cookies记录了用户的。（用户名（softer），用户级别（入门用户）以及密码

第五步：如果你对于某个站点非常反感，不希望计算机下载该站点对应的cookies文件的话，可以将该站点所有cookies删除。方法是在软件上方窗处将某个站点的cookies选中，然后点鼠标右键选择“delete selected cookies files”即可，当然直接点菜单上的红色叉子也是一样的总之该工具有很多功能，例如管理cookies文件，编辑cookies文件，还可以轻松完成对已有cookies文件的导出导入。

坚固Windows组策略 有效阻止黑客

在本篇技术指南中，将概要介绍你如何修改最重要的组策略安全设置。

你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法，或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息，我准备介绍一下如何设置基于Windows Server 2003的域名。请记住，这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点，这些设置可以保持或者破坏Windows的安全。而且由于设置的不同，你的进展也不同。因此，我鼓励你在使用每一个设置之前都进行深入的研究，以确保这些设置能够兼容你的网络。如果有可能的话，对这些设置进行试验(如果你很幸运有一个测试环境的话)。

如果你没有进行测试，我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程，你就上载GPMC，扩展你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。

1.确定一个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

2.为了防止自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置：

·账号关闭持续时间(确定至少5-10分钟)

·账号关闭极限(确定最多允许5至10次非法登录)

·随后重新启动关闭的账号(确定至少10-15分钟以后)

3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能：

·检查账号管理

·检查策略改变

·检查权限使用

·检查系统事件

理想的情况是，你要启用记录成功和失败的登录。但是，这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住，启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击，你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置：

·账号：重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)

·账号：重新命名客户账号(确定一个新名字)

·交互式登录：不要显示最后一个用户的名字(设置为启用)

·交互式登录：不需要最后一个用户的名字(设置为关闭)

·交互式登录： 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本)，内容大致为“这是专用和受控的系统。如果你滥用本系统，你将受到制裁。--首先让你的律师运行这个程序”)

·交互式登录： 为企图登录的用户提供的消息题目--在警告!!!后面写的东西

·网络接入：不允许SAM账号和共享目录(设置为“启用”)

·网络接入：将“允许每一个人申请匿名用户”设置为关闭

·网络安全：“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”

·关机：“允许系统在没有登录的情况下关闭”设置为“关闭”

·关机：“清除虚拟内存的页面文件”设置为“启用”

如果你没有Windows Server 2003域名控制器，你在这里可以找到有哪些Windows XP本地安全设置的细节，以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息，请查看微软的专门网页。

系统安全之用Windows自带功能保护秘密

系统安全之用Windows自带功能保护秘密

Windows自带的功能，为了方便我们的使用，有自动记录的功能，但是这些功能有些事情也把我们的“行踪”给暴露了，这个时候应该怎么办呢？请看本文为你介绍的八种方法，可以让你使用的电脑了无痕迹。

1.彻底地一次删除文件

首先，应从系统中清除那些你认为已肯定不用的文件，这里我们指的是你丢弃到回收站中的所有垃圾文件。当然，我们还可以在任何想起的时候把回收站清空(双击回收站图标，然后选择“文件”菜单，再选择“清空回收站(B)” 命令)，但更好的方法是关闭回收站的回收功能。要彻底地一次删除文件，可右击回收站图标，选择“属性”，然后进入“全局”选项卡，选择“所有驱动器均使用同一设置(U):”，并在“删除时不将文件移入回收站，而是彻底删除(R)”复选框打上选中标记。

本步骤是不让已经被删除的文件继续潜藏在回收站中。

2.不留下已删除文件的蛛丝马迹

即使窥探者无法直接浏览文档内容，他们也能通过在MicrosoftWord或Excel的“文件”菜单中查看你最近使用过哪些文件来了解你的工作情况。这个临时列表中甚至列出了最近已经被你删除的文件，因此最好关闭该项功能。在 Word或Excel中，选择“工具”菜单，再选择“选项”菜单项，然后进入“常规”选项卡，在“常规选项”中取消“列出最近所用文件(R)”前面的复选框的选中标记。

本步骤是消除最近被删除的文件留下的踪迹，为此，在 Word、Excel和其它常用应用程序中清除“文件”菜单中的文件清单。

3.隐藏文档内容

应隐藏我们目前正在使用着的文档的踪迹。打开“开始”菜单，选择“文档”菜单项，其清单列出了你最近使用过的约 15个文件。这使得别人能够非常轻松地浏览你的工作文件或个人文件，甚至无需搜索你的硬盘。要隐藏你的工作情况，就应将该清单清空。为此，你可以单击“开始”菜单中的“设置”菜单项，然后选择“任务栏和开始菜单”，进入“任务栏和开始菜单”，再选择“高级”选项卡，单击该选项卡中的“清除(C)”按钮即可。

本步骤是在Windows“开始”菜单中，清除“文档”菜单项所包含的文件，把这些文件隐藏起来。

4.清除临时文件

Microsoft Word和其它应用程序通常会临时保存你的工作结果，以防止意外情况造成损失。即使你自己没有保存正在处理的文件，许多程序也会保存已被你删除、移动和复制的文本。应定期删除各种应用程序在WINDOWSTEMP文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录(如 FAX和WORDXX目录)中相应的所有文件。虽然很多文件的扩展名为TMP，但它们其实是完整的DOC文件、HTML文件，甚至是图像文件。

本步骤是清除硬盘上的临时文件和无用文件。

5.保护重要文件

对重要文件进行口令保护，这在 Word和Excel中很容易实现。依次选择“文件”、“另存为”，然后选择“工具”中的“常规选项”，在“打开权限密码”和“修改权限密码”中输入口令，最好不要使用真正的单词和日期作为口令，可以混合使用字母、数字和标点符号，这样口令就很难破译。当然，以后每当你打开和修改文档时，都必须输入口令。

本步骤可以为我们重要的文件加上一把锁。

6.改写网页访问历史记录

浏览器是需要保护的另一个部分。现在大多数的用户因为安装了微软公司的视窗系统，所以使用Internet Explorer作为上网所使用的浏览器。Internet Explorer会把访问过的所有对象都会列成清单，其中包括浏览过的网页、进行过的查询以及曾输入的数据。Internet Explorer 把网页访问历史保存在按周划分或按网址划分的文件夹中。我们可以单个地删除各个“地址(URL)”，但最快的方法是删除整个文件夹。要清除全部历史记录，可在“工具”菜单中选择“Internet 选项”，然后选择“常规”选项卡，并单击“清除历史记录”按钮。

本步骤是清除浏览器的历史记录。

7.输入网址但不被记录

Internet Explorer记录你在浏览器中输入的每个网址，你不妨验证一下:在工具栏下边的地址窗口中输入一个 URL地址，浏览器将把该地址　记录在下拉菜单中，直到有其它项目取代了它。你可以通过下面的方法访问网站，而所使用的网址将不被记录:在浏览器中可以按下Ctrl-O键，然后在对话框中输入URL地址即可。

本步骤可以使访问过的网址不被记录。

8.清除高速缓存中的信息

Internet Explorer在硬盘中缓存你最近访问过的网页。当你再次访问这些网页时，高速缓存信息能够加快网页的访问速度，但这也向窥探者揭开了你的秘密。要清除高速缓存中的信息，在Internet Explorer中，应在“工具”菜单中选择“Internet 选项”，然后进入“常规”选项卡，单击“删除文件”按钮。

Windows操作系统常见安全问题解决方法

Windows操作系统常见安全问题解决方法

作者：smtk　来源：赛迪网安全社区

使用Windows的人非常多，而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多，安全隐患也很多，不过经过适当的设置和调整，你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整，希望对你有用。

这篇文章将针对一些常见的安全问题给你一些解决方法，其中大部分的操作都是针对Windows 2000/XP的，不保证在Windows 98/Me上可行。

准备活动

给系统安装补丁程序的重要性是不言而喻的，尤其是一些重要的安全补丁和针对IE，OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序，这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性的访问Windows Update网站 。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加进步了，可以自动检查更新，在后台下载，完成后通知你下载完成并询问是否开始安装。对于Windows 2000/XP的用户，微软还提供了一个检查安全性的实用工具：基准安全分析器(Microsoft Baseline Security Analyzer)，这个程序可以自动对你的系统进行安全性检测，并且对于出现的问题，都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。

在你安装了所有的补丁程序后，下面开始我们的调整设置。

重命名和禁用默认的帐户

安装好Windows后，系统会自动建立两个账户：Administrator和Guest，其中Administrator拥有最高的权限，Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题，他将轻易的得知你的超级用户的名称，剩下的就是寻找密码了。因此，安全的做法是把Administrator账户的名称改掉，然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是：

在运行中输入secpol.msc然后回车，打开“Local Security Settings(本地安全设置)”对话框，依次展开Local Policies(本地策略)-Security Options(安全选项)，在右侧窗口有一个“Accounts: Rename administrator (guest) account(账户：重命名Administrator/Guest账户)”的策略，双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户，以迷惑闯入者。

安全选项的设置

同样是在Local Security Settings中，展开Local Policies-Security Options，这里还有很多其它的设置，经过合理的配置，可以使你的系统更加安全。一下列举的选项最好全部禁止：

Interactive logon: Do not require CTRL+ALT+DEL，交互式登录：不需要按Ctrl+Alt+Del。

Network access: Allow anonymous SID/name translation，网络访问：允许匿名SID/名称转换。

Network access: Let Everyone permissions apply to anonymous users，网络访问：让Everyone权限应用到匿名用户。

Recovery console: Allow automatic administrative logon，故障恢复控制台：允许自动系统管理级登录。

而以下的选项最好启用：

Devices: Restrict CD-ROM access to locally logged-on user only,设备：只有本地登录的用户才能访问CD-ROM。

Devices: Restrict floppy access to locally logged-on user only，设备：只有本地登录的用户才能访问软驱。

Interactive logon: Do not display last user name，交互式登录：不显示上一次使用的用户名。

Network access: Do not allow anonymous enumeration of SAM accounts，网络访问：不允许匿名SAM帐户的匿名枚举。

Network access: Do not allow anonymous enumeration of SAM accounts & shares，网络访问：不允许SAM账户和共享的匿名枚举。

Network security: Do not store LAN Manager hash value on next password change，网络安全：不要在下次更改密码时存储LAN Manager的Hash值。

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ，系统对象：增强内部系统对象的默认权限(例如Symbolic Links)。

可靠的密码

尽管绝对安全的密码时不存在的，但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy，经过这里的配置，你就可以建立一个完备密码策略，并且你的密码也可以得到最大限度的保护。

Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换，配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age这个策略，就能保证密码安全了。默认情况下，这个策略不保存用户的密码，你可以自己设置，建议保存5个以上，而最多可以保存24个。

Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。

Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用，而最大值为999。

Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码。建议的密码长度不能小于6位。

Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略，则在设置和更改一个密码的时候，系统将会按照下面的规则检查密码是否有效：密码不能包含全部或者部分的用户名。

最少包括6个字符。

并且在字符的使用上还要遵循以下的规则，密码必须是：

英文字母，A-Z，大小写敏感。

基本的10个数字，0-9。

不能包含特殊字符，例如!,$,#,%等等。

如果启用了这个策略，相信你的密码就会比较安全了。

Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显，这个策略最好不要启用。

安全使用Internet Explorer

Internet Explorer是当今最流行的浏览器软件。因为使用的人多，因此IE被发现的安全性问题也就最多，不过没关系，看过本节，你完全可以使你的IE更加安全。需要注意的是，以下的叙述全部以IE 6.0版为准，如果你使用了较低的版本，有些细节方面可能会不一样。

打开Internet Explorer，依次点击工具-Internet选项，然后打开安全选项卡。

在安全选项卡中选择“Internet”，就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置，不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口，这里显示了所有的IE安全设置。

Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的，并且你可以设置为允许下载这种控件，除非你不想安装任何ActiveX控件，或者你想自己从一些网站下载，例如Windows Update，还有播放Flash的插件等。

Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比，未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用，或禁用，或者设置为询问，这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。

Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的，如果你之前都设置为禁用，那么这个选项同样禁用就可以，否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。

Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX控件和插件的运行，那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。

Script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。

Active scripting(活动脚本)。现在各种的脚本程序非常流行，通过脚本程序可以建立很多实用的网页，例如Windows Update网页，就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序，一些网页将不能正常浏览。这里建议你设置为禁用，至于少数重要的但是不能正常浏览的网页，我们将在后面看到解决办法。

Allow paste operations via script(允许通过脚本进行粘贴操作)。这个选项允许网页通过脚本把文件复制进你的剪贴板，为了安全考虑最好禁用。

Scripting of Java applets(JAVA小程序脚本)。javascript是一种公开的，多平台，面向对象的脚本语言。很多网页中都使用了JAVA脚本，但是安全起见最好禁用它。

如果以上的设置会影响到少数你必须要访问的站点(例如Windows Update网站)，但是安全起见你又不想把Internet区域的安全级别设置的太低，那么你可以把一些你信任的站点添加到Trusted sites(信任站点)中去。方法是：

在Internet选项的安全选项卡下，点击Trusted sites(信任站点)，然后点击Sites(站点)按钮，会出现图四的窗口，在新窗口中输入我们希望添加的网络地址(例如https://windowsupdate.microsoft.com)然后点击右侧的Add(添加)，这样就可以了。

现在，打开Internet选项中的Content(内容)选项卡，点击AutoComplete(自动完成)，在这里也有一些东西需要调整。

对于所列出来的每一项，自动完成功能都会保存特定的内容，其中Web address(Web地址)会保存你在IE地址栏中输入过的内容; Forms(表单)会保存你在网页中填写的资料，例如论坛上的发言(除用户名和密码)，搜索引擎中使用过的关键字;User names and passwords on forms(表单上的用户名和密码)会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间，但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆，你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整，决定哪些内容可以自动保存，哪些不行。

现在我们转到Internet选项的高级选项卡。这里有一下几点需要注意：

Use Passive FTP (for firewall & DSL modem compatibility)(使用被动FTP，为防火墙和DSL调制解调器兼容性)，这个设置将会允许在使用IE浏览FTP服务器时使用被动模式 ,这种模式更加安全，因为服务器方无法获得你的IP地址，如果某些FTP服务器你不能正常访问，就可以试试启用或者禁用这个设置。

Check for publisher’s certificate revocation(检查发行商的证书吊销)，如果选择了这个选项，当你访问某些需要认证的站点时，IE会首先检查给站点提供的证书是否依然有效。一般情况下，建议你启用这个设置。

Check for server certificate revocation(检查服务器的证书吊销)，这个选项将会使IE检查站点服务器的证书是否仍然有效，一般也应该启用这个设置。

Check for signatures on downloaded programs(检查下载的程序的签名)，如果启用了这个设置，在你下载了程序后IE会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。

Do not save encrypted page to disk(不将加密的页面存入硬盘)，启用了这个选项后，对于加密页面(主要是URL以https打头的)将不会保存到Internet临时文件夹中。如果多人共用同一台电脑，这个选项是很有必要的，这样别人就无法通过Internet临时文件窥探到你访问过的加密网页了(例如某些电子商务网站的信用卡付费页面)。

接下来的三个设置：Use SSL 2.0, Use SSL 3.0 & Use TLS 1.0( 使用SSL 2.0, 使用SSL 3.0和使用 TLS 1.0)都跟在Internet上通过协议加密数据有关。例如一些网站的身分认证和重要数据的传输，在这过程中都会使用到SSL加密。因此最佳建议是这三个选项全部启用。但是如果启用后你访问某些加密站点时出现错误，那么可以禁用除SSL 2.0之外的其它两个协议，因为不同版本之间可能会有冲突，而SSL 2.0是被采用的最广泛的，一般的加密站点都会支持。

Warn about invalid site certificates(对无效站点证书发出警告)，启用这个设置之后，在遇到无效的站点证书时IE就会发出警告，提醒你注意。一般情况下可以启用这个。

Warn about changing between secure & not secure mode(在安全和非安全模式之间转换时发出警告)，当启用这个设置之后，如果你要从一个安全的网页(可能是经过SSL加密的)进入到一个不安全的网页的时候，IE会发出警告提醒你，以避免你在不知情的情况下泄漏一些私人的信息。

Warn if forms submittal is being redirected(重定向提交的表单时发出警告)，启用这个设置后，你在某些论坛或类似的地方提交的一些信息如果被发送到了其它的服务器上，IE就会发出警报提醒你。所以安全起见这个也应当启用。　安全使用Outlook Express

Outlook Express是Windows自带的一个电子邮件程序，通过OE不仅可以收发电子邮件，还可以浏览新闻组，十分方便。不过很多人并不喜欢这个程序，还想千方百计的把它从自己的系统中卸载掉，主要是因为使用OE容易传染病毒。菜刀也容易伤人呢，但是每个家庭都得有个菜刀吧，所以，与其考虑怎么卸载OE还不如考虑一下怎么设置才能让OE更安全。本节全部以OE 6为主，如果你使用得是较低的版本，某些细节方面可能会不同。

OE的主要设置都可以在工具-选项下看到，在这里我们主要关注的是安全选项卡。

Select the Internet Explorer security zone to use(选择要使用的Internet Explorer安全区域)，这个设置可以让你决定把电子邮件(尤其是使用HTML语言的电子邮件)当作什么安全区域对待(也就是我们在Internet Explorer的Internet选项中设置的不同安全级别的区域).把它设置为Restricted sites zone(受限制的区域)是比较明智和安全的做法。这样，如果你收到的HTML邮件中含有一些有害的代码就不会危害到你的系统了。

Warn me when other applications try to send mail as me(当其他程序以我的名义发送电子邮件时提醒我)，这也是一个很有效的安全策略，曾经有很多病毒都是通过OE的地址簿中的联系人地址来发送含病毒的右键来扩散的，而启用这个设置就可以有效的解决这个问题。一旦有其他程序通过OE发送电子邮件，OE会首先询问你是否发送，对于那些可疑的右键，只要取消发送就可以了。

Do not allow attachments to be saved or opened that could potentially be a virus(不允许可能包含病毒的附件被保存或者被打开)，当启用这个设置后，电子邮件中某些格式的附件就不能被保存和打开了，这时如果你收到了含有附件的右键，保存和打开附件的选项将为不可用，进一步增强了安全性。

加固你的Internet连接

默认情况下，为了建立网络连接，Windows会安装很多协议和运行很多服务其中一些协议和服务都不是必须的，例如NetBIOS、文件和打印机共享等，而“最小的服务+最小的权限=最大的安全”这个等式是永远成立的，因此我们有必要关掉不需要的服务，卸载不需要的协议，来增强我们的系统安全。

对于Windows 9x/Me的系统

1.在控制面板中双击网络图标

2.选择Microsoft网络客户端，然后点击卸载

3.禁用文件和打印机共享，如果你确实需要共享，可以给它们设置一个密码

4.选择TCP/IP，然后点击属性按钮，打开NetBIOS选项卡，取消对“我要在TCP/IP上使用NetBIOS的选择。然后选择DNS设置选项卡，并选择禁用DNS(如果你确实不需要的话)。在WINS设置选项卡下，选中禁用WINS解析

5.确定，然后重启动电脑

对于Windows 2000/XP的系统

1.打开控制面板中的网络连接，右键点击Internet连接，选择属性

2.如果你不需要共享文件和打印机，那么选中并卸载(可以不卸载，但是至少不要再使用)Windows网络的文件和打印机共享

3.双击Internet 协议 (TCP/IP)，然后点击高级按钮

4.打开WINS选项卡，取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的NetBIOS

5.在运行中输入Services.msc然后回车

6.找到TCP/IP NetBIOS Helper这个服务，把这个服务停止掉，并且设置启动类型为手动或者禁止

7. 重启动电脑

防火墙和杀毒软件

不管你做了怎样的设置，只要你连接在Internet上，防火墙都是必要的。防火墙可以完全保护你的系统，把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种，一是Symantec公司的Norton Internet Security，这个软件不仅包含网络防火墙，还包含Norton Antivirus，一个著名的杀毒软件。Norton Internet Security的功能非常强大，不仅可以防病毒，防黑客，还可以帮助你过滤浏览网页时看到的广告，过滤收到的电子邮件，过滤网络中的一些色情和其它非法内容。不过Norton Internet Security对系统的要求比较高老的电脑运行起来可能会慢一些。这样的话你可以试试Zone Alarm或者国产的天网，他们对系统的要求都不错，功能也够强大，还有一点，他们两者都可以从互联网上免费下载到。

对于使用Windows XP的用户也可以用系统自带的防火墙，虽然没有那么多花哨的功能，不过最基本的防护还是可以胜任的。启用的方法是：打开控制面板-网络和Internet连接，双击网络连接打开属性对话框，在高级选项卡下，选中在我的电脑上使用Internet连接防火墙，之后还可以点击设置进行更进一步的配置。

总结

经过以上的设置，你的系统安全应该提高不少了，不过需要注意的是，不管在系统和软件上做怎样的防护，正确的使用习惯才是最重要的，因此从现在就开始养成良好的使用习惯的，否则在怎么防护也是白搭。希望你能有一个安全的系统!

巧妙恢复 WindowsXP系统的管理员密码

巧妙恢复 WindowsXP系统的管理员密码

作者：smtk　来源：赛迪网安全社区

秘诀1

大家知道，WindowsXP的密码存放在系统所在的Winnt\System32\Config下SAM文件中，SAM文件即账号密码数据库文件。当我们登录系统的时候，系统会自动地和Config中的SAM自动校对，如发现此次密码和用户名全与SAM文件中的加密数据符合时，你就会顺利登录；如果错误则无法登录。既然如此，我们的第一个方法就产生了：删除SAM文件来恢复密码。

如果你不用管本来系统卡包含的任意账号，而且有两个操作系统的话，可以使用另外一个能访问NTFS的操作系统启动电脑，或者虽然没有安装两个系统，但可以使用其他工具来访问NTFS。然后删除C：\WINNT\system32\config目录下的SAM文件，重新启动。这时，管理员Administrator账号就没有密码了。当然，取下硬盘换到其他机器上来删除SAM文件也算个好办法。

小提示：WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器（Security AccountManager，SAM）的机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。安全标识是惟一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原未的权限 .

安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库，所有用户的登录名及口令等相关信息部会保存在这个文件中。

秘诀2

使用Off1ine NT Password & Registry Editor。用该软件可以制作Linux启动盘，这个启动盘可以访问NTFS文件系统，因此可以很好地支持Windows2000/XP.使用该软盘中的一个运行在Linux的工具Ntpasswd就可以解决问题。并且可以读取注册表并重写账号密码。使用的方法很简单，只需根据其启动后的提示一步一步做就可以了。在此，建议你使用快速模式，这样会列出用户供你选择修改哪个用户的密码。默认选择Admin组的用户，自动找到把Administrator的名字换掉的用户，十分方便。

秘诀3

使用Windows Key 5.0。该软件包含在PasswareKit5.0中，用于恢复系统管理员的密码，运行后生成3个文件：txtsetup.oem.winkey.sys和winkey.inf，3个文件一共才50KB，短小精悍。把这3个文件放到任何软盘中，然后使用XP安装光盘启动电脑，启动过程中按F6键让系统安装第三方的驱动程序。此时，正是我们切入的最好时机，放人该软盘就会自动跳到WindowsKey的界面。它会强行把Administrator的密码换成“12345”，如此一来何愁大事不成？呵呵！当你重新启动以后，你会被要求再次修改你的密码。

秘诀4

使用NTFS DOS。这个可以从DOS下写NTFS分区的工具。用该软件制作一个DOS启动盘，然后到C；\Winnt\System32下将屏幕保护程序logon.scr改名，接着拷贝command.com到C：\Winnt\system32下（2000可以用cmd.exe），并将该文件改名为logon.scr.这样启动机器后等待5分钟，本应该出现的屏幕保护现在变成了命令行模式，而且是具有Administrator权限的，通过它就可以修改密码或者添加新的管理员账号了。改完后不要忘了把屏幕保护程序的名字改回去啊。

秘诀5

下面介绍一个比较与众不同的方法。你可以在别的分区上再装一个XP，硬盘分区格式要和原来的一样，并且请你注意一定不要和原来的XP安装在同一分区！在开始之前，一定要事先备份引导区MBR（Master Boot Record）。备份MBR的方法有很多，可以自己编程，或使用工具软件，如杀毒软件KV3000等。装完后用Administrator登录，现在你对原来的XP就有绝对的写权限了。你可以把原来的SAM拷下来，用lOphtcrack得到原来的密码。也可以把新安装的XP的Winnt\System32\Config\下的所有文件覆盖到C\Winnt\System32\Config目录中（假设原来的XP安装在这里），然后用KV3000恢复以前备份的主引导区MBR，现在你就可以用Administrator身份登陆以前的XP了。

小提示：MBR俗称“主引导区”，它的作用是读取磁盘分区表（Partition Table）里面所设定的活动分区 （Active Partition），位于硬盘的柱面0、磁头0、扇区1的位置，也即俗你的0磁道位置。它是由分区命令fdisk产生的。MBR包括硬盘引导程序和分区表这两部分。MBR结束标志为55AA，用杀毒软件KV3000的F6功能即可查看，其默认画面即为MBR.如果MBR找不到活动分区，就会在屏幕上显示像Missing operating System等错误讯息，所以，如果你的WindowsXP无法正常开启。而你又在屏幕上看到类似这样的错误讯息，原因大多就是出在这里了。

系统安全之清空密码进入WINDOWS2000

WINDOWS200所在的winnt\System32\Config下有一个SAM文件（即账号密码数据库文件），它保存了WINDOWS2000中所有的用户名和密码，当你登录时，系统就会把你输入 的用户名和密码与SAM文件中的加密数据进行校对，如果两者完全相符，则会顺利进入系统，否则将无法的登录，因此我们可以使用删除SAM文件的方法来恢复管理员的密码。

提示：

1、不能在WINDOWS XP/2003上使用，如果删除SAM文件，会引起系统崩溃。

2、WINDOWSW NT/2000/XP 中对用户账户的安全管理使用了安全账号管理器的（Security Account Manager, SAM）机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也就同时被子删除，安全标识是维一的，即使是相同的用户名，在每次创建时获得的安全标识也是完全不同的。因此，一旦某个账号被删除，它的安全标识了也不再存在了，即使用相同的用户名重新建账号，也会被赋予不同的安全标识，不会保留原来的权限。安全账号管理器的具体表现就是%SystemRoot%system32configsam文件，SAM文件是WINDOWS NT/2000/XP的用户账号数据库，所有用户的登录名及口令等相关的信息全部保存在这个文件中。

首先把带有自启动功能的光盘放到光驱中，启动计算机进行到命令行提示符下。

输入命令切换到WINNT\system32的config目录下，通过dir sa,*.*命令，查找所有的关于sam的文件。

接着输入“del sam*.*”命令，删除所有的sam文件，当整个过程结束后，把光盘从光驱中取出，重新启动计算机到WINDOWS 2000的登录窗口，输入管理员账号，密码为空直接回车，就可以进入系统了。

希望使用Windows2000的朋友在忘记密码的时候看看吧，希望问题能够得到美满的解决。

新手也能对付病毒：杀毒十大错误观念

新手也能对付病毒：杀毒十大错误观念

作者：HIT -- 宇　来源：赛迪网安全社区

对染毒软盘DIR操作会导致硬盘被感染

如果计算机的内存没有病毒，那么只有在执行了带有病毒的程序（文件）后，才会感染计算机。而DIR命令是DOS的内部命令，不需要执行任何外部的程序（文件），因此对染毒软盘进行DIR操作不会感染病毒。

不过需要注意的是，如果计算机内存已有病毒（或者说计算机已染毒），如果对没有染毒的软盘进行DIR操作， 就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。

将文件改为只读方式可免受病霉的感染

某些人认为通过DOS的外部命令ATTRIB，将文件设置为只读会十分有效地抵御病毒。 其实修改一个文件的属性只需要调用几个DOS中断就可以了，因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。

病毒能感染写保护的磁盘

由于病毒可感染只读文件，不少人由此认为病毒也能修改在写保护磁盘上的文件。事实上，磁盘驱动器可以判断磁盘是否写保护，是否应该对其进行写操作，这一切都是由硬件来控制的，您可以物理地解除PC的写保护传感器，却不能用软件来做这件事。

如果您的软驱是正常的，而软盘的写保护一次也没有取下来，绝对不会感染病毒。但是如果您取下来了，并且用带毒的机器DIR过，则完全有可能感染病毒。注意这个DIR是从机器向软盘感染病毒，而不是把病毒从软盘传染到机器。

写保护和文件只读方式不同，设置文件只读方式是通过计算机，所以病毒能插上一手，可是写保护非要人手参与不可，病毒可没办法把写保护弄掉。计算机不能对写保护磁盘进行改写，这是任何操作都无法改变的（除非您把驱动器弄坏）。

反病毒软件能够杀除所有已知病毒

病毒感染方式很多，有些病毒会强行覆盖执行程序的某一部分，将自身代码嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，因此这种病毒是无法安全杀除的。 病毒破坏了文件的某些内容， 在杀除这种病毒后是不能恢复文件的原貌的。

使用杀毒软件可以免受病毒的侵扰

目前市场上出售的杀毒软件，都只能在病毒泛滥之后才“一展身手”。 但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以，应该选择一套完善的反毒系统，它不仅应包括常见的查、杀病毒功能，还应该同时包括有实时防毒功能，能实时地监测、跟踪对文件的各种操作，一旦发现病毒，立即报警，只有这样才能最大程度地减少被病毒感染的机会。

磁盘文件损坏多为病毒所为

文件的损坏有多种原因，电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其他软件中的错误、灰尘、烟灰、茶水，甚至一个喷嚏都可能导致数据丢失。以上所举对文件造成的损坏，会比病毒造成的损失更常见，更严重。

如果做备份的时候，备份了病霉，那么这些备份是无用的

有两种情况：①软盘备份：备份中含有引导型病毒。这种情况下，只要不用这张软盘试图启动您的计算机，它将和无毒备份一样安全。②磁带备份：备份中的数据文件中不会有病毒，如果其中的可执行文件中含有病毒，那么执行文件就白备份了，但是备份中的数据文件还是可用的。

反病毒软件可以随时随地防范任何病毒

很显然，这种反病毒软件是不存在的。新病毒不断出现，要求反病毒软件必须快速升级。对抗病毒，我们需要的是一种安全策略和一个完善的反病毒系统，用备份作为防病毒的第一道防线，将反病毒软件作为第二道防线。 同时， 软件的及时升级是加固第二道防线的唯一方法。使用反病毒软件是为了辅助防毒，它不可能是刀枪不入的保镖。

新手也能对付病毒：全手工清除落雪

病毒介绍：

“落雪”顾名思义，就是说中了该木马后，向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”（ Trojan/PSW.GamePass,Trojan.PSW.Snow.a，Troj.LMir2.ky），由VB 程序语言编写，通过 北斗3.1 加壳处理，该木马文件一般是红色图标。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。

中毒症状：

1、系统运行缓慢。

2、右下方任务栏的杀软和防火墙图标消失（被无故关闭）但杀软的右键扫描可用。

3、D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。

4、打开任务管理器，可以看到有一个当前用户所属的1.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

5、打开注册表：在运行程序中运行“regedit”，会看到

（1）、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里有一个Torjan pragramme，这是木马。

（2）、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

6、可执行文件.exe打不开（包括杀软，防火墙）。

7、开机进入系统时会跳出一个警告框，说文件“1”找不到。（由于杀软查杀后，无法对木马更改的注册表项进行修复）。

病毒复活方式：

1、在开始－运行里运行：msocnfig，command，regedit这些命令，病毒将全部恢复。

2、双击病毒所有文件中的任何一个文件，病毒将完全恢复。

3、双击D盘。

中毒后对系统的改动：

向C盘释放：（其实都是同一个文件）

c:\windows\winlogon.exe

C:\WINDOWS\1.com

C:\WINDOWS\ExERoute.exe

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\system32\command.pif

C:\Windows\system32\command.com

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\finder.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\system32\rundll32.com

C:\Windows\WINLOGON.EXE

C:\WINDOWS\services.exe

C:\WINDOWS\Debug\DebugProgramme.exe

C:\Program Files\Common Files\iexplore.com

C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr

向D盘释放：

D:\autorun.inf

D:\pagefile.com

向注册表添加：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下

的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

处理方式：

一、GHOST法，（建议菜鸟及无手动清除病毒经验者使用）

1、先在D盘以外的其他盘新建了两个文本文件，在显示文件名扩展名的情况下，分别改为autorun.inf和pagefile.com，然后拷贝到D盘，覆盖了病毒在D盘的两个病毒源文件，这样这两个文件都可以正常显示了，随即直接删除，也可以在以后删除，D盘毒源就此清除。

2、然后GHOST一遍镜像，恢复系统到从前正常状态，至此OK，如果没有镜像，建议在第一步以后重新安装系统。

为什么不逐个清理病毒程序：

逐个清理病毒文件比较麻烦，操作需要经验加细心，由于病毒文件如上面非常多不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，或双击磁盘 ，所有的这些文件全会自己补充回来！并且清理完成后有些后遗症，例如某些文件打不开，IE需要修复等等。

二、逐个手动清理法（中途注意不要双击到其中任何一个文件）（必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名）

1、打开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme

2、然后注销！ 重新进入系统后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com和D:\autorun.inf删掉， 然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的日期判断。

3、头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉

可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它！

手工病毒清除后的系统修复

1、把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令：

assoc .exe=exefile （assoc与.exe之间有空格）

ftype exefile="%1" %*

这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复,将扩展名EXE改成COM，就可打开。

2、开机跳出找不到文件“1.com”

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

Windows操作系统常遇木马的预防技巧

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回车。

这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。

最后，防治木马的危害，专家建议大家应采取以下措施:

第一，安装反病毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，使用安全性比较好的浏览器和电子邮件客户端工具。

第四，操作系统的补丁要经常进行更新。

第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

超级巡警否认是熊猫烧香幕后推手

超级巡警否认是熊猫烧香幕后推手

新浪科技

　　新浪科技讯 1月31日消息，超级巡警杀毒软件制作商就涉嫌“熊猫烧香”病毒幕后推手的报道做出回应，在一份公开的声明中表示，江民公司的类似猜测是在恶意误导媒体，并保留将江民及该媒体法律追究的权力。

　　中国互联网企业间正陷入一场关于流氓软件的混战，由于监管的缺位，不少企业被认为利用病毒进行流氓式推广，这其中也有一些企业表示自己遭到诬陷。

　　上海一家媒体今天援引江民反病毒工程师的言论，表示超级巡警软件提供方--数据安全实验室是近期疯狂肆虐的“熊猫烧香”病毒幕后推手，并暗示已在网上发现了网游装备产销一条龙的产业链。

　　数据安全实验室表示这是无端的猜测，已为其带来了极大的名誉损害，“这是极不负责任的行为。”该实验室表示，超级巡警是一款完全免费的安全产品，安装过程不会捆绑任何插件和商业产品，认为超级巡警通过病毒获利纯属无端的猜测。

　　超级巡警是最早实现查杀“熊猫烧香”病毒的安全软件之一，数据安全实验室负责人吴鲁加对新浪科技表示，可能是由于超级巡警对“熊猫烧香”的封杀，致使病毒作者故意误导安全公司从业人员认为超级巡警是幕后推手。

　　吴鲁加表示将会与当事媒体及江民公司进行沟通，不排除通过法律手段恢复名誉。

　　以下为数据安全实验室声明全文：

　　关于江民公司针对熊猫烧香病毒发布不负责任言论的严正声明

　　数据安全实验室

　　2007年01月31日，每日经济新闻以“熊猫烧香”谁炮制？ 流氓软件被指幕后黑手“为题报道的熊猫烧香病毒事件，其中提到：

　　”据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。“

　　此无端的恶意言论给数据安全实验室带来极大的名誉损害，特此发布严正声明：

　　1、数据安全实验室(dswlab.com)是以终端安全为研究方向的研究团队，我们致力保护终端用户的安全。

　　2、数据安全实验室的超级巡警产品在本次熊猫烧香病毒风潮中众所周知最早提供了查杀方案，一度成为最受网民关注的对抗熊猫烧香病毒工具。所以得到了广大网民的自发拥护和广泛传播，某些公司的技术人员对超级巡警无端猜测，用恶意的言论误导媒体，这是极为不负责任的行为。

　　3、 超级巡警作为完全免费的安全产品，以保障用户的桌面安全为唯一诉求，安装过程中不捆绑任何其他插件和商业产品，因此对超级巡警通过病毒获利的任何无端猜测，都是站不住脚的。

　　4、某些变种病毒体内的留言：“超级巡警终于火了”，这种低级而可笑的嫁祸手段恰恰反映了病毒作者对超级巡警强大查杀技术的无奈和泄愤，病毒作者与

杀毒软件之间的对决和挑衅，往往可以通过这类字串体现，病毒作者之所以有如此留言，恰恰说明病毒作者认为超级巡警才是他们的头号对手，以此作为怀疑超级巡警的证据的人显然不是缺少基本的思辩能力或根本就是别有用心。实际上，在行业内，拥有领先技术地位的安全产品往往会受到那些作恶者的公然挑衅，这样的例子比比皆是，作为安全行业从业人员，因此而造成误判，让人不得不表示遗憾。

　　5、数据安全实验室会积极配合政府相关部门对熊猫烧香病毒进行调查，提供必要的技术支持，抑制病毒的泛滥，也欢迎广大网民积极监督，提供线索，协助有关部门抓获真凶，同时，我们也奉劝病毒作者，尽早投案自首，争取宽大处理，才是最正确的选择。

　　6、数据安全实验室保留对散布该消息的公司、媒体保留法律追究权力。

　　2007年01月31日

　　数据安全实验室

江民声明从未发布熊猫烧香与超级巡警有关言论

新浪科技

　　新浪科技讯 1月31日下午，针对媒体报道《熊猫烧香”谁炮制？流氓软件被指后黑手》中称，“据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。”

　　江民否认接受过该媒体采访，并向新浪科技发来声明，声明全文如下：

　　2007年1月31日，每日经济新闻以《熊猫烧香”谁炮制？ 流氓软件被指幕后黑手》为题报道的熊猫烧香

病毒事件，其中提到：

　　“据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。”

　　对此，江民科技郑重声明，从未接受过该媒体采访，也从未对外发布过熊猫烧香与“超级巡警”有关的任何言论。江民科技将视事态发展保留起诉该媒体及追究该记者不实报道责任的权利，该言论与江民科技没有任何关系，特此声明！

熊猫烧香化身金猪 密谋大闹春节

太平洋电脑网

　　春节将至，然而广大网络用户仍没有彻底摆脱"熊猫烧香"的阴霾。伴随着大量"熊猫烧香"变种的出现，对用户的危害一浪高过一浪。1月29日，来自金山毒霸反病毒中心最新消息："熊猫烧香"化身"金猪"，危害指数再度升级，被感染的电脑中不但"熊猫"成群，而且"金猪"满圈。但象征财富的金猪仍然让用户无法摆脱"系统被破坏，大量应用软件无法应用"的噩梦。



熊猫变金猪

　　"昨天打开电脑的时候，发现C盘目录下的可执行文件全部变为金色的小猪，起初还觉得很可爱，但紧接着发现办公软件都不好用了，而且

杀毒软件也被终止了。"用户张小姐非常无奈的表示。

　　"刚刚把

熊猫查杀干净，今天一开电脑，又发现了N只小金猪，真是郁闷！"用户黄先生气愤地表示。

　　金山毒霸反

病毒专家戴光剑指出，伴随着各大杀毒厂商对"熊猫烧香"病毒的集中绞杀，该病毒正在不断"繁衍"新的变种，密谋更加隐蔽的传播方式。据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。

　　此外学生寒假开始，上网人群短期内集中上升，病毒的传播速度也空前加快，所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解，前几天在网络上出现了"熊猫烧香"作者声称不再有变种出现，而"金猪"的出现再次粉碎了人们的美梦，再次将人们拉回到熊猫烧香的梦魇之中。专家称，按照目前"熊猫烧香"破坏程度，威胁将延伸至春节。

　　根据熊猫烧香病毒传播特点，专家建议，对于未安装金山毒霸的用户，可以[点击这里下载]最新版金山毒霸2007来实现对"熊猫烧香"的免疫，也可点击这里免费获取熊猫烧香的专杀工具。同时，我们还为广大用户提供了完整的手动解决方案。(作者：金山科技)

流氓软件被指为熊猫烧香幕后黑手

　　何勇 每日经济新闻

　　“‘流氓软件’和病毒之间的界限已变得越来越模糊。为了达到更好的传播效果，并减少成本，不少中小厂商直接使用病毒进行‘流氓推广’。”昨日，反病毒专家直指流氓软件是这次“熊猫烧香”幕后黑手。

　　据江民公司反病毒工程师称，已经发现了近期疯狂肆虐的“熊猫烧香”幕后势力的痕迹，“熊猫烧香”病毒被怀疑是由“超级巡警”软件的提供方在幕后推动，网上已经发现了产销一条龙盗窃销售网游设备的产业链。

　　而从瑞星截获的“熊猫烧香(Worm.Nimaya)”样本进行分析，也有不少变种运行后会去从网上下载盗取“江湖”、“大话西游”、“魔兽”等网络游戏账号的木马。用户的计算机一旦被感染这些木马，游戏的账号、装备等就会被黑客窃取。黑客通过在网上倒卖网游账号、装备等获利。

　　流氓软件分化：部分“洗白” 部分病毒化

　　去年下半年开始的全民范围内的讨伐使流氓软件开始出现“分化”。

　　昨日，北京瑞星股份有限公司反病毒工程师史瑀向《每日经济新闻》表示，迫于技术和舆论的压力，制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”，将软件的“流氓”程度降低，还有一些厂商干脆放弃推广“流氓软件”。然而，仍有大量的中小厂商是通过“流氓软件”起家的，通过“流氓软件”进行广告推广已经成为其公司主要甚至是唯一的收入来源。2006年下半年开始，一些厂商为了生存，不惜铤而走险，使用更加卑劣的手段进行流氓推广，并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。

　　据瑞星公司客户服务中心的统计数据表明，从2006年6月开始，用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。

　　据专家介绍，这一时期的“流氓软件”有两大特点：一是编写病毒化。不少“流氓软件”为了防止被杀毒软件或流氓软件卸载工具发现，采用了病毒常用的Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定，防止被发现和删除。带有Rootkit的“流氓软件”就像练就了“金钟罩”、“铁布杉”，不除去这层保护根本难伤其毫发。更有一些流氓软件，采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件，便运行恶意代码，直接造成计算机死机、蓝屏，让用户误以为是杀毒软件存在问题。

　　二是传播病毒化。为了达到更好的传播效果，并减小成本，不少中小厂商直接使用病毒进行“流氓推广”。用户的计算机感染病毒后，病毒会自动在后台运行，下载并安装“流氓软件”。同时，“流氓软件”安装后也会去从互联网自动下载运行病毒。大量的“流氓软件”开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。“流氓软件”和病毒之间的界限已变得越来越模糊。随着“流氓软件”不断朝着病毒的方向发展，要想彻底杀灭“流氓软件”就必须采用反病毒技术。

　　利益驱使 流氓软件制造“熊猫烧香”？

　　史瑀表示，2006年11月14日，瑞星发布流氓软件专用清除工具———卡卡上网安全助手3.0，首次将反病毒技术应用于反流氓软件当中。就在卡卡刚刚发布24小时，就有一个名为“my123”的恶意程序顶风作案，疯狂采用病毒化的编写技术来逃避卡卡的追杀，随后又出现了名为“3448.com”和“7939.com”两个流氓软件，它们锁定用户浏览器的首页以提高其网站访问量。

　　此后，部分流氓软件开始和病毒合作。早先一个传播较广的蠕虫病毒“威金蠕虫(Worm.Viking)”，就会从病毒作者指定的网站去下载流氓软件、盗号木马等，并种植在用户的计算机上。

　　“大量‘流氓软件’开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。”史瑀称，“‘熊猫烧香’病毒成为一个‘教科书’式的病毒，势必有大量的病毒会模仿它的特征进行编写。”

　　1月29日，金山毒霸反病毒中心最新消息：“熊猫烧香”化身“金猪”，危害指数再度升级，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。而在瑞星全球反病毒监测网27日监测结果显示，27日一个“电眼间谍变种BSF(Trojan.Spy.Delf.bsf)”病毒又出现，该病毒与“熊猫烧香”病毒类似。

　　而业内人士称，近日由于地震引起海底光缆中断，造成数百万使用国外杀毒软件的个人用户、数十万企业和政府局域网用户无法升级。这又意味着这些用户的电脑完全向病毒和黑客敞开了大门。

　　“在没有法律法规出台前，流氓软件是不会缩手的，不排除’熊猫烧香‘是流氓软件所为。”昨日，中国反流氓软件联盟李佳衡表示：“只要有利益驱使，流氓软件就会变化形式，以更不容易察觉的病毒方式毫无忌惮地牟取利益。”

　　“熊猫”多变种 警惕新病毒春节大爆发

　　春节将至，广大网络用户仍没有彻底摆脱“熊猫烧香”的阴霾。昨日，记者从金山毒霸反病毒中心获悉，“熊猫烧香”化身“金猪”，春节大爆发。

　　“长假是病毒的高发期，特别是长假之后，病毒综合症接踵而来。”金山毒霸反病毒专家戴光剑向记者说，“目前我们已经截获‘金猪’的变种。被感染的电脑中不但‘熊猫’成群，而且‘金猪’能使系统被破坏，大量软件无法应用。”

　　这一观点得到了上海市计算机病毒防范服务中心的认同。中心近日发布预警，学生寒假开始，上网人群短期内集中上升，病毒的传播速度也空前加快，所以用户在上网的过程中要更加警惕病毒的入侵。

　　中心称，目前已接到几个投诉电话。用户张小姐反映，“昨天，我打开电脑的时候，发现C盘目录下的可执行文件全部变为金色的小猪，起初我还觉得很可爱，但紧接着发现办公软件都不好用了，而且杀毒软件也被终止了。”另一用户黄先生则称，“刚刚把熊猫查杀干净，今天一开电脑，又发现了一些新病毒，真是郁闷。”

　　至此，据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。

　　反防毒专家表示，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。

　　反病毒专家建议，用户不打开可疑邮件和可疑网站，不要随便运行不知名程序或打开陌生人邮件的附件。

　　一旦中毒，用户也不用慌张，用户可拨打上海市信息化服务热线电话9682000寻求帮助。张丹

首个企业用户熊猫烧香解决方案出台

　　张丹 每日经济新闻

　　“熊猫烧香”已经在互联网上肆虐了一段时日。昨日，记者从金山软件有限公司信息安全事业群市场部处获悉，首个针对企业用户的“熊猫烧香”整体解决方案出台。

　　金山软件反病毒专家李铁军昨日告诉记者：“企业内用户比较多，一些用户可能因为工作繁忙而忘记给杀毒软件的客户端及时升级，从而导致系统感染熊猫烧香。”据他介绍，目前该熊猫的变种数已超过50个。首先要用专杀工具进行全面查杀，市面上的金山、江民和瑞星均可以。如果有未能直接清除的病毒文件，可能是因为被程序占用，建议在安全模式下查杀。

　　整体解决方案的具体步骤如下：

　　1.立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母、数字、特殊字符的组合，自己记得住，别让病毒猜到就行。

　　修改方法：右键单击我的电脑———选择管理———浏览到本地用户和组———在右边的窗格中，选择具备管理员权限的用户名———单击右键———选择设置密码———输入新密码；

　　2.利用组策略，关闭所有驱动器的自动播放功能。

　　步骤：单击开始———运行———输入gpedit.msc———打开组策略编辑器———浏览到计算机配置———管理模板———系统———在右边的窗格中选择关闭自动播放———双击(该配置缺省状态下为未配置)———在下拉框中选择所有驱动器———再选取已启用———确定后关闭———在开始运行中输入gpupdate命令———确定———策略生效；

　　3.修改文件夹选项，以查看不明文件的真实属性，避免由于无意中双击了骗子程序而中毒。

　　步骤：打开资源管理器(按windows徽标键＋E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名；

　　4.时刻保持操作系统获得最新的安全更新。

　　5.启用windows防火墙保护本地计算机。

　　6.下载补丁，并且将客户端升级为最新版本。

“熊猫烧香”病毒攻略：防御和解除方法

　　计世网消息 在2007年新年出现的“PE_FUJACKS”就是最近让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”(文件末签名”WhBoy”)，这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码，通过网络共享,文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。

　　不幸中招的用户都知道，“熊猫烧香”会占用局域网带宽，使得电脑变得缓慢，计算机会出现以下症状：熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图标变成熊猫烧香图标；硬盘的根目录出现setup.exe auturun.INF文件 ；同时浏览器会莫名其妙地开启或关闭。

　　该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染，其中网络共享和文件感染的风险系数较高，而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装，生成注册列表和病毒文件%System%\drivers\spoclsv.exe ，并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf 。

　　熊猫烧香有很多变种，其原理和和以前的PE_Looked一样。

　　趋势科技病毒专家提醒，可以采用以下方法进行防御和解除：

　　1、下载sysclean工具：

　　www.trendmicro.com/ftp/products/tsc/sysclean.com

　　2、下载病毒特征码压缩包：

　　www.trendmicro.com/download/pattern.asp

　　3、将下载的病毒特征码压缩包解压缩得到病毒特征码文件lpt$vpn.xxx(其中xxx是三位数字)

　　4、将sysclean工具和病毒特征码文件放在同一个文件夹下

　　5、重启进入安全模式

　　6、运行sysclean工具，对系统进行全盘扫描

　　7、重启回到正常模式，检查病毒是否已被清除。

　　最后，趋势科技病毒专家还提醒大家，养成以下良好习惯，以防熊猫烧香的入侵：

　　1 建立良好的安全习惯，不要打开可疑邮件和访问可疑网站

　　2 平时上网的时候一定要打开ocse的实时监控功能。

　　3 经常升级安全补丁。建议用户应该定期到微软网站去下载最新的安全补丁，切实做好防范工作。

　　4 在打开一个陌生文件时，请用最新病毒库的杀毒软件进行扫描。

　　5 请经常更新病毒库，防止病毒的侵入。

　　6 关闭网络共享，如果必须共享，请设置复杂密码。

　　7 使用U盘等移动存储设备请一定要做好防范措施，建议使用趋势维C片

修改注册表提高Windows2000抗DDOS能力

修改注册表提高Windows2000抗DDOS能力

从正确看待DoS与DDoS说起

相信大家都一定不会对这两个这个词感到陌生，是的，拒绝服务攻击（Denial of Service），以及分布式拒绝服务攻击(Distributed Denial of Service）。

所谓拒绝服务，是指在特定攻击发生后， 被攻击的对象不能及时提供应有的服务，例如本来应提供网站服务（HTTP Service）而

不能提供网站服务，电子邮件服务器(SMTP，POP3)不能提供收发信件等等的功能，基本上，阻绝服务攻击通常利用大量的网络数据包，以瘫痪对方之网络及主机，使得正常的使用者无法获得主机及时的服务。

分布式拒绝服务，简单的说就是用远超过目标处理能力的海量数据包消耗可用系统，以及网络带宽，造成网络服务瘫痪。

也许是和媒体的过分关注有关，DoS攻击特别是DDoS攻击，似乎一夜之间就流行了起来，搞的大大小小的网管们，只要服务器一有故障，就异常兴奋的高呼“我被DDoS了！”，脸上仿佛写着无比的光荣和骄傲。

其实在我们的周围，真正意义上的DDoS其实并不多，毕竟发动一次DDoS攻击所需要的资源非常的多，但实实在在的攻击却又不停的发生着，这里面，绝大多数，都是普通的拒绝服务攻击。普通级别的攻击，如何防护，也成为很多网络管理员最头疼的问题，于是到处打听，结果往往千篇一律，“购买我们的硬件防火墙吧”。

硬件防火墙，包括专用抗拒绝服务攻击产品的确是好，但基本价格都十分昂贵，效果虽然好，可从投资以及保护投资的角度来说，未免有些过火。

其实从操作系统角度来说，本身就藏有很多的功能，只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下修改注册表，增强系统的抗DoS能力。

细节：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接第二个网关，通过关闭它可以优化网络。

"EnableDeadGWDetect"=dword:00000000

禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。

"EnableICMPRedirects"=dword:00000000

不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。

注意系统必须安装SP2以上

"NoNameReleaseOnDemand"=dword:00000001

发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。

"KeepAliveTime"=dword:000493e0

禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。

"EnablePMTUDiscovery"=dword:00000000

启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

"SynAttackProtect"=dword:00000002

同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064

判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

"TcpMaxHalfOpenRetried"=dword:00000050

设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为2。

"TcpMaxConnectResponseRetransmissions"=dword:00000001

设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003

设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005

禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。

"DisableIPSourceRouting"=dword:0000002

限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

"TcpTimedWaitDelay"=dword:0000001e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。

"BacklogIncrement"=dword:00000003

最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。

"MaxConnBackLog"=dword:000003e8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]

配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。

"EnableDynamicBacklog"=dword:00000001

配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。

"MinimumDynamicBacklog"=dword:00000014

最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以增加5000个，这里设为20000。

"MaximumDynamicBacklog"=dword:00002e20

每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为10。

"DynamicBacklogGrowthDelta"=dword:0000000a　

以下部分需要根据实际情况手动修改

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

启用网卡上的安全过滤

"EnableSecurityFilters"=dword:00000001

同时打开的TCP连接数，这里可以根据情况进行控制。

"TcpNumConnections"= 该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。

"TcpMaxSendFree"= [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\

Interfaces\{自己的网卡接口}]

禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。

"PerformRouterDiscovery "=dword:00000000

系统安全之Windows下DNS ID欺骗解析

系统安全之Windows下DNS ID欺骗解析

域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53 端口监听，并返回用户所需的相关信息。

一．DNS协议的相关数据结构

DNS数据报：

typedef struct dns

{

　unsigned short id；

　//标识，通过它客户端可以将DNS的请求与应答相匹配；

　unsigned short flags；

　//标志：[QR | opcode | AA| TC| RD| RA | zero | rcode ]

　unsigned short quests；

　//问题数目；

　unsigned short answers；

　//资源记录数目；

　unsigned short author；

　//授权资源记录数目；

　unsigned short addition；

　//额外资源记录数目；

}DNS,*PDNS；

在16位的标志中：QR位判断是查询/响应报文，opcode区别查询类型，AA判断是否为授权回答，TC判断是否可截断，RD判断是否期望递归查询，RA判断是否为可用递归，zero必须为0，rcode为返回码字段。

DNS查询数据报：

　typedef struct query

{

　unsinged char　*name；

　//查询的域名,这是一个大小在0到63之间的字符串；

　unsigned short type；

　//查询类型，大约有20个不同的类型

　unsigned short classes；

　//查询类,通常是A类既查询IP地址。

}QUERY,*PQUERY；

　DNS响应数据报：

　typedef struct response

{

　unsigned short name；

　//查询的域名

　unsigned short type；

　//查询类型

　unsigned short classes；

　//类型码

　unsigned int　 ttl；

　//生存时间

　unsigned short length；

　//资源数据长度

　unsigned int　 addr；

　//资源数据

}RESPONSE,*PRESPONSE；

二．Windows下DNS ID欺骗的原理

我们可以看到，在DNS数据报头部的id（标识）是用来匹配响应和请求数据报的。现在，让我们来看看域名解析的整个过程。客户端首先以特定的标识向DNS服务器发送域名查询数据报，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据报。这时客户端会将收到的DNS响应数据报的ID和自己发送的查询数据报ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。

假如我们能够伪装DNS服务器提前向客户端发送响应数据报，那么客户端的DNS缓存里域名所对应的IP就是我们自定义的IP了，同时客户端也就被带到了我们希望的网站。条件只有一个，那就是我们发送的ID匹配的DSN响应数据报在DNS服务器发送的响应数据报之前到达客户端。下图清楚的展现了DNS ID欺骗的过程：

Client ＜--response--| . . . . . .. . . . . . . . . . DNS Server

　　　|＜--[a.b.c == 112.112.112.112]-- Your Computer

到此，我想大家都知道了DNS ID欺骗的实质了，那么如何才能实现呢？这要分两种情况：

1. 本地主机与DNS服务器，本地主机与客户端主机均不在同一个局域网内,方法有以下几种：向客户端主机随机发送大量DNS响应数据报，命中率很低；向DNS服务器发起拒绝服务攻击，太粗鲁；BIND漏洞，使用范围比较窄。

2. 本地主机至少与DNS服务器或客户端主机中的某一台处在同一个局域网内：我们可以通过ARP欺骗来实现可靠而稳定的DNS ID欺骗，下面我们将详细讨论这种情况。　　

首先我们进行DNS ID欺骗的基础是ARP欺骗，也就是在局域网内同时欺骗网关和客户端主机（也可能是欺骗网关和DNS服务器，或欺骗DNS服务器和客户端主机）。我们以客户端的名义向网关发送ARP响应数据报，不过其中将源MAC地址改为我们自己主机的MAC地址；同时以网关的名义向客户端主机发送ARP响应数据报，同样将源MAC地址改为我们自己主机的MAC地址。这样以来，网关看来客户端的MAC地址就是我们主机的MAC地址；客户端也认为网关的MAC地址为我们主机的MAC地址。由于在局域网内数据报的传送是建立在MAC地址之上了，所以网关和客户端之间的数据流通必须先通过本地主机。

在监视网关和客户端主机之间的数据报时，如果发现了客户端发送的DNS查询数据报（目的端口为53），那么我们可以提前将自己构造的DNS响应数据报发送到客户端。注意，我们必须提取有客户端发送来的DNS查询数据报的ID信息，因为客户端是通过它来进行匹配认证的，这就是一个我们可以利用的DNS漏洞。这样客户端会先收到我们发送的DNS响应数据报并访问我们自定义的网站，虽然客户端也会收到DNS服务器的响应报文，不过已经来不及了，哈哈。

三．核心代码分析

主程序创建两个线程，一个线程进行实时的ARP欺骗，另一个线程监听接收到的数据报，若发现有域名服务查询数据报，则立即向客户端发送自定义的DSN响应数据报。测试环境：Windows2000 + VC6.0 + Winpcap_3.0_alpha，注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\

IPEnableRouter = 0x1。

1.sniff线程：

PacketSetHwFilter（lpadapter,NDIS_PACKET_TYPE_PROMISCUOUS）；

//将网卡设置为混杂模式

PacketSetBuff（lpadapter,500*1024）；

//设置网络适配器的内核缓存；

PacketSetReadTimeout（lpadapter,1）；

//设置等待时间；

PacketReceivePacket（lpadapter,lppacketr,TRUE）；

//接收网络数据报；

checksum（（USHORT *）temp,sizeof（PSD）+sizeof（UDPHDR）+sizeof（DNS）+ulen+sizeof

（QUERY）+sizeof（RESPONSE））；

//计算校验和；

PacketInitPacket（lppackets,sendbuf,sizeof（ETHDR）+sizeof（IPHDR）+sizeof（UDPHDR）

+sizeof（DNS）+ulen+4+sizeof（RESPONSE））；

//初始化一个_PACKET结构，发送DNS响应数据报；

2.arpspoof线程；

PacketInitPacket（lppackets,sendbuf,sizeof（eth）+sizeof（arp））；

//初始化ARP响应数据报；

PacketSendPacket（lpadapter,lppackets,TRUE）；

//发送ARP欺骗的响应数据报；

　　

3.getmac（）函数

GetAdaptersInfo（padapterinfo,&adapterinfosize）；

//获取网络适配器的属性；

SendARP（destip,0,pulmac,&ullen）；

//发送ARP请求数据报，过去网络主机的MAC地址；

　　

4.main（）函数

PacketGetAdapterNames（（char *）adaptername,&adapterlength）；

//获得本地主机的网络适配器列表和描述；

lpadapter=PacketOpenAdapter（adapterlist[open-1]）；　

//打开指定的网络适配器；

CreateThread（NULL,0,sniff,NULL,0,&threadrid）；

CreateThread（NULL,0,arpspoof,NULL,0,&threadsid）；

//创建两个线程；

WaitForMultipleObjects（2,thread,FALSE,INFINITE）；

//等待其中的某个线程结束；

四．小结与后记

局域网内的网络安全是一个值得大家关注的问题，往往容易发起各种欺骗攻击，这是局域网自身的属性所决定的--网络共享。本文所讲解的DNS ID欺骗是基于ARP欺骗之上的网络攻击，如果在广域网上，则比较麻烦。不过也有一些例外情况：如果IE中使用代理服务器，欺骗不能进行，因为这时客户端并不会在本地进行域名请求；如果你访问的不是网站主页，而是相关子目录的文件，这样你在自定义的网站上不会找到相关的文件，登陆以失败告终。如果你不幸被欺骗了，先禁用本地连接，然后启用本地连接就可以清除DNS缓存。

系统安全Windows2000动态DNS安全考虑

Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows 2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。

一、安全动态更新

在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。

与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。

在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。

下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。

1．Windows2000本机模式

在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为"本机模式"。

当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。

第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。

第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。

2．Windows2000混杂模式

在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。

先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。

3．安全动态更新

在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。

Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "（GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义。

二、区域

1．区域的类型

Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。

主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于

8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。

如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。

2．区域传输或复制的类型

Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。

当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。

多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。

多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。

3．区域传输的安全

如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。

当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。

在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。

当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。

三、活动目录集成DNS 区域

在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。

1．文件系统

使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先

前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。

NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。

NTFS和共享权限可以被用来非常精确的控制权限和继承关系。

2．注册表

使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。

3．Enterprise管理员和Schema管理员组

在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。

4．加密文件系统

Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。

5．活动目录中的DNS

DNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。

DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。

如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。

6．资源记录的所有权

DHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字，当这台机器被升级到Windows2000时，这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权，所以Windows 2000客户不能更新它自己的名字。

7．WINS查找

作为Windows2000最终的告诫，我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢？对所有非Windows2000客户，NetBios解析仍是必需的。同样，所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中：WINS和WINS-R。这分别为WINS做正向和反向记录查找。

四、结论

总之，理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotchas"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。

系统安全之各类脱壳方法与注意事项

系统安全之各类脱壳方法与注意事项

作者：hackmaster　来源：赛迪网安全社区

最近一个月才接触壳这样东西，虽然俺是个新手，不过俺很努力，也会脱很多软件的壳。

下面就让我介绍一下俺所知道的各种脱壳方法！

先介绍一下脱壳的基本知识吧！

常见脱壳知识：1.PUSHAD （压栈） 代表程序的入口点

2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近拉！

3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），

只要我们找到程序真正的OEP，就可以立刻脱壳。

开始正式介绍方法啦！！

方法一：

1.用OD载入，不分析代码！

2.单步向下跟踪F8，是向下跳的让它实现

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——运行到所选）

4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！

5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，这样很快就能到程序的OEP

6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

7.一般有很大的跳转，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。

方法二：

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）

1.开始就点F8，注意观察OD右上角的寄存器中ESP有没出现。

2.在命令行下：dd 0012FFA4(指在当前代码中的ESP地址)，按回车！

3.选种下断的地址，下硬件访问WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP，脱壳

方法三：

内存跟踪：

1：用OD打开软件！

2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！

3：按ALT+M,DA 打开内存镜象，找到第一个.rsrc.按F2下断点，

然后按SHIFT+F9运行到断点，接着再按ALT+M,DA 打开内存镜象，找到.RSRC上面的CODE，按

F2下断点！然后按SHIFT+F9，直接到达程序OEP，脱壳！

方法四：

一步到达OEP（前辈们总结的经验）

1.开始按Ctrl+F,输入：popad（只适合少数壳，包括ASPACK壳），然后按下F2，F9运行到此处

2.来到大跳转处，点下F8，脱壳之！

方法五：

1：用OD打开软件！

2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序！

3：一开是程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按F9到程序

运行的次数！

4：CTRL+F2重载程序，按SHIFT+F9（次数为程序运行的次数-1次

5：在OD的右下角我们看见有一个SE 句柄，这时我们按CTRL+G，输入SE 句柄前的地址！

6：按F2下断点！然后按SHIFT+F9来到断点处！

7：去掉断点，按F8慢慢向下走！

8：到达程序的OEP，脱壳！

系统安全系列之浅谈程序脱壳后的优化

写这篇文章的目的是想让大家了解如何利用现有的工具来优化脱壳后的程序。 因为要让脱壳优化过的程序可以用汉化工具正常汉化的话，要求要稍微高一些，我就基于优化后的文件可正常用汉化工具汉化这样的目标来讲解。这篇文章主要是为新手服务的，所以肯定比较罗唆，高手可以略过。

这篇文章中我采用 dwing 的 WinUpack 0.39 final 讲述。采用 WinUpack 来讲解的原因主要是这款壳把 PE 头搞得很让人郁闷，修复其它脱壳后的程序不需要修复 PE 文件头，而修复 WinUpack 却要考虑修复 PE 头的问题，而且这个壳加壳后把原程序的各个区段都合并了，修复的步骤要多一些，这样也方便大家了解的更详细一点。我准备分两部分来讲述，第一部分我采用 WinUpack 0.39 final 来给我自己用 MASM 写的一个示例程序加壳，然后来进行脱壳优化，第二部分直接讲解 WinUpack 0.39 final 中的那个中文版 WinUpackC.exe 的脱壳优化。其实本来直接写 WinUpackC.exe 的脱壳优化就可以了，不过我开始的时候没准备写 WinUpack 主程序的脱壳，写到后来才发现用自己写的示例程序加壳后再谈脱壳后的优化，有点自说自话的感觉，所以临时决定加一个 WinUpack 主程序的脱壳优化。

一、示例程序的脱壳优化

1、脱壳

这里的目标程序是我用 MASM 写的一个对话框的简单例子，我采用 WinUpack 的默认选项把原程序 test.exe 加壳，加壳后的程序名为 test1.exe，大小由原来的 6.5K 变为 4.4K。因为 WinUpack 给程序加壳时修改了 PE 头的缘故，普通 OD 可能加载不了用 winUpack 加壳后的程序，所以我们换用看雪兄修改的 OllyICE 载入加壳后的 test1.exe，会出现一个“32 位可执行文件格式错误或未知”的错误对话框，不用管，点确定，又出现一个“无法在内存中分配 XXXXX 字节”的错误对话框，继续点确定，我们停在这里：

00401018 > BE B0114000 MOV ESI,test1.004011B0

0040101D AD LODS DWORD PTR DS:[ESI] ; ESI地址处的值就是OEP

0040101E 50 PUSH EAX

WinUpack 的壳比较好脱，F8 到上面的第二条指令时，ESI 所显示的值就是存放 OEP 的地址。我这里在信息窗口中看到的是以下内容：

DS:[ESI]=[004011B0]=00401000

现在我在反汇编窗口中按 CTR+G 直接来到地址 00401000 处，按 F4，就停在 OEP 处了：

00401000 6A 00 PUSH 0

00401002 E8 79010000 CALL test1.00401180 ; JMP 到 kernel32.GetModuleHandleA

00401007 A3 1C304000 MOV DWORD PTR DS:[40301C],EAX

现在我们用 LordPE 完全转存 test1.exe 的进程，另存为 dumped.exe，现在可以看到这个 dumped.exe 大小有 64K 了。不要关 OD，打开 ImportREC，选择进程 test1.exe，OEP 填入 1000，选“自动查找 IAT”，会有一个“发现一些信息”的对话框，点确定，再点“获取输入表”，现在我们就得到了完整的输入表了。我们先来保存一下树文件，另存为 test_tree.txt。不要关 OD 和 ImportREC，让它们都暂时开在那，先复制一份我们刚才用 LordPE 完全转存出来的 dumped.exe 备份。

2、根据对齐值分析区段中的内容

在开始之前，我们先了解一下对齐的一些概念：文件区块有两种对齐值，一种是磁盘文件中的，另一种是内存中的。PE文件被映射到内存时，区块总是至少以一个页边界为开始，在x86系统中，每个内存页的大小是4K，也就是0x1000字节，所以在x86系统中，PE文件区块的内存对齐值一般等于0x1000，每个区块按0x1000之倍数内存偏移位置开始。另一种是磁盘对齐值，这个实例磁盘对齐值是0x1000，每个区块按0x1000之倍数的文件偏移位置开始。有时为了使磁盘文件更小些，你可以用0x200对齐值。

有了上面的预备知识，我们现在用 LordPE 的 PE 编辑器打开 dumped.exe 来看看。

现在我们点击一下区段按钮，看看各个区段中有什么内容。

因为上面我们已经看到文件块对齐是 1000H，我们就按 1000H 大小的倍数来在16进制编辑器中选择块，分析数据中是否有区段。先在16进制编辑器中查看一下第一个区段。

偏移 2000 是第二个区段开始的地方。有人可能要问你怎么知道这是原来的第二个区段开始处？呵呵，因为我前面看到文件对齐粒度为 1000，所以我在16进制编辑器中主要注意与 1000 的倍数对应的偏移地址。当我翻到偏移地址为 2000 时，在这个地址的上面是由一大片 0 填充的，到这个地址后又开始有数据了，所以我确定偏移 2000 处应该是另一个区段的开始处。如果你在16进制编辑器中看到一大片 0 后突然看见有数据，你再根据文件对齐粒度注意一下数据的开始地址，一般就可以确定是否已到另一个区段了。由16进制窗口中查看到的信息，我们可以确定 WinUpack 把我们原来的区段都合并了，现在我们要把它们分离出来。

3、分离区段

要说明一下，分离区段和下面的一节修正 PE 头在其他脱壳文件的优化中并不是必须的，这里主要针对 WinUpack 的壳。现在关掉 LordPE，用 WinHEX 打开 dumped.exe，ALT+G，填入偏移 1000，转到相应位置，在偏移 1000 处点右键，选择定义选块，输入相应数据后点确定。

在选好的选块上右键选择复制选块->进入新文件，另存为 text.bin。

其实这个偏移 1000H，长度 1000H 的段不保存也无所谓，这里主要是让大家熟悉一下保存的方法。同样，我们把起始偏移为 3000H，大小为 1000H 的那个段也另存为 data.bin。有人可能要问了，你为什么不把起始偏移为 2000H，大小为 1000H 的那个区段也保存下来？呵呵，因为我知道这里是原来的放输入表信息的那个段，现在已经被破坏了，我就不要了。同样，偏移 4000H 以后的段我也不保存了，那里是资源段，因为在修正过程中我可能要用另外的 RVA 地址来重建资源，所以不保存了。现在我们在 WinHEX 中再定义一个选块，从偏移 2000H 直到文件尾，选中后删除这个选块。

4.修正PE头

现在我们还要做一件事，因为 WinUpack 把 PE 头搞得太乱，我们要找个正常的替换一下。这里我选择 XP_SP2 下的记事本，用 WinHEX 打开记事本，从文件开始偏移为 0 的地方选择一个大小为 1000H 的选块，右键选择复制选块->以十六进制数值方式，现在转到我们正在 WinHEX 中编辑的 dumped.exe，定位到文件开始偏移处，右键选择剪贴板数据->写入(从当前位置覆写)，把记事本的文件头粘贴过来。

完成上述工作后保存 dumped.exe，现在文件大小变成 8K 了，用 PETools 的 PE 编辑器来打开这个文件，进行一些修改。先点击文件头按钮。

把区段数由 3 改成 1 后确定，再点击可选头按钮。

改一下上面的镜像基址为 00400000，点击确定。这里可以参考原来备份的 dumped.exe 文件来修改（我前面已经说过要备份原来的那个 dumped.exe 文件用作参考，你不会没备份吧？）。

5、修正及添加区段

现在点击区段按钮，修改一下区段的一些属性。因为前面我们已经把区段改为 1 了，现在打开区段后，只看到一个 .text 区段。在这个区段上右击，选择编辑区段头。

因为我们现在的 .text 段是从偏移 1000H 开始的，大小为 1000H，所以我们要把上面的虚拟偏移和 RAW 偏移都改成 1000，虚拟大小和 RAW 大小也要改成 1000。在弹出的对话框上进行设置。

完成上述修改后点确定，回到区段编辑器中，现在我们要添加一个大小为 1000H 的段，用来存放输入表。这里可能大家也有疑问：你是知道原来的输入表段大小为 1000H，如果你不知道呢？你知道要添加多大的一个区段？其实我这里添加区段的大小是根据 ImportREC 的新建输入表信息中的大小来的。

我们可以在 ImportREC 中看到新建输入表的大小是 18CH，根据区段的对齐粒度 1000H，我这里就选大小为 1000H，已经够用了。这里要留一点余量，有时脱一些壳修复时，余量留的过小则修复的输入表不完全，这时可以从文件中删除这个区段，再按 1000H 的对齐粒度新建一个大一点的区段，重新修复输入表。现在继续我们前面的话题，在区段编辑器中右键点击，选择添加区段菜单项，在弹出的对话框上进行设置。

PETools 默认添加区段的名称是 .NewSH，为了便于识别这个段是用于存放输入表信息的，我们把名称选为 idata。其他的 RAW 数据及虚拟数据大小我们都填 1000，选择用 0x00 填充区段，现在点确定，一个新区段就添加进来了。

我们可以看出 .idata 段的虚拟偏移是 13000，这肯定不正确，我们应该保证各个段的虚拟地址都是连续的。.text 段的虚拟偏移是 1000H，虚拟大小是 1000H，这样虚拟偏移 ＋ 虚拟大小 ＝ 1000H ＋ 1000H ＝ 2000H，可知下一个区段的虚拟偏移应该是 2000H。同样道理 RAW 偏移也应该是连续的，虽然有时候我们看到有类似这样的：第一个区段：RAW 偏移：400H，RAW 大小：1D0；第二个区段：RAW 偏移：600H，RAW 大小：1B8，这样看起来好像并不连续啊。因为 400 ＋ 1D0 ＝ 5D0，下一个区段应该从 5D0 开始才对。但如果你用16进制工具打开文件看一下就知道了。这种情况是文件粒度按 200H 对齐，区段中的实际数据没有 200，这里显示的只是实际的数据大小，剩下的按 200H 对齐的部分用 0x00 填充了。所以下一个区段还是按文件对齐粒度设置偏移的。同样，文件对齐粒度是其他数值时也存在这种情况。说了这么多，大家应该也明白了，编辑一下 .idata 的区段头，把虚拟偏移 13000 改成 2000。至于后面那个特征值为什么可以改成 C0000040，我就不多说了，在编辑区段的时候点一下特征值后面那个 ... 按钮，上面应该可以看到详细的说明。

6、修正输入表

现在我们的前期工作暂告一个段落，保存好我们的修改退出 PETools，现在轮到 ImportREC 上场了。你的 ImportREC 应该没关吧？我们把添加一个新的节前面的勾去掉，在新建输入表信息中 RVA 填 00002000（就是我们新建的那个 ,idata 段的偏移地址），点击修复转存文件，选择我们刚才修改的 dumped.exe 进行修复，得到 dumped_.exe。

7、修正资源

到这还有两个重要的事别忘了，一个是我们保存的那个数据段（data.bin）要放进程序里来，还有个就是资源还没有。现在我们先把资源弄出来。拿出 dREAMtHEATER 兄的 FixRes，选择我们原来备份的那个 dumped.exe，使用 FixRes 的 Dump 功能，把资源段按我们定义的 RVA Dump 出来。

因为前面还有一个数据段 RVA 是 3000，大小是 1000，所以我们把新建资源段的 RVA 设为 4000。按上面那样设置好后我们就可以点击 Dump Resource 按钮来 Dump 资源了，文件被保存为 rsrc.bin。

8、装配文件

现在进入最后的装配工作了，用 LordPE 的 PE 编辑器打开 dumped_.exe，点击区段按钮，进入区段编辑功能中。

现在我们要把磁盘上的 data.bin 和 rsrc.bin 都添加到程序中来，右键选择从磁盘载入段，按顺序添加 data.bin 和 rsrc.bin，添加好后改一下区段名和标志。

现在退出区段编辑，点目录按钮，修正一下资源及其他的目录。在这个程序中输入表目录已经不需要我们再改了，我们要改的就是资源目录的 RVA 及大小，把其他没用到的目录 RVA 和 大小清零。我们再用一个 LordPE 的 PE 编辑器打开备份的 dumped.exe 文件来做参考。

9、修正可选头及最终优化

保存以上工作后关掉 LordPE，我们可以看到 dumped_.exe 的图标已经出来了，说明资源已经修复。现在再用 PETools 的 PE 编辑器打开 dumped_.exe（这里换 PETools 的原因是因为 PETools 编辑 PE 头的功能比较强），点击可选头按钮，进入可选头编辑器。现在主要要修改的就是代码基址和数据基址，代码基址一般就是第一个区段（我们这里是 .text 段）的 RVA，所以这里应该填 1000，数据基址一般指除了代码外的部分开始的 RVA，我们这里代码部分 RVA 是 1000，大小是 1000，加起来就知道除了代码外的数据 RVA 是 2000，就是我们第二个段 .idata 的 RVA。修改完这些内容后最后要纠正一下镜像大小，否则程序还是不能运行。

代码大小和已初始化数据大小改不改都无所谓，我是为了好看点把它改了。一般的代码大小就是指 .text 段的大小，.text 段后面所有段的大小加起来就可以作为已初始化数据大小。全部改完后点镜像大小后面的那个“?”按钮，纠正一下镜像大小，现在就可以保存退出 PETools 了。

到这基本工作已经完成了，修复后的 dumped_.exe 大小为 20K，运行一下，一切正常。不过这里的 20K 大小还和我们原来的 6.5K 有差距，如果手工修改的话我们可以先把文件对齐的粒度设为 200，再用16进制工具打开程序，把按照 200H 倍数对齐的各个区段的多余的全是 0 的部分删掉，再根据保留下来的部分调整一下区段的 RAW 偏移和大小。当然你可以用 PETools 或 LordPE 的重建功能来重建一下程序，也会完成上述功能。不过我们这里是希望能用汉化工具正常汉化的，所以我们不能用 PETools 或 LordPE 的重建功能来重建程序， 因为它们重建的程序虽然可以正常使用，也比较小，但若用来汉化是很容易出错的。这里还是不要手工来调整了，我们直接用一下 PE Optimizer 这个工具来优化程序一下，这个工具优化出来的程序基本上和手工修改的差不多。优化后我们再看一下大小：20K->6.5K，呵呵，和我们原来的程序一样大。

二、 WinUpack 主程序的脱壳及优化

如果文章写到这里收工的话，估计会有人说你自己编个程序，再加个壳来谈脱壳后的优化，你完全可以对照原程序来进行啊。OK，那我们就来个没有对照的，冒着被 dwing 狂扁的危险，我就拿 WinUpack 0.39 final 中的那个中文版 WinUpackC.exe 来开刀。不过 dwing 要来了，大家要掩护我逃跑啊，呵呵。

WinUpackC.exe 脱壳我就不多说了，OEP 是 0040A4BE，直接在 OD 中 CTR+G 转到地址 0040A4BE，F4 运行到这，就可以用 LordPE 完全转存了。我们还是把转存后的文件保存为 dumped.exe。现在不要关 OD，在 ImportREC 中选择 WinUpackC.exe 的进程，输入 OEP：A4BE，选自动查找 IAT，可以得到正确的输入表，大小是 00000B18。保存一下树文件备用。让 OD 和 ImportREC 都开在那，现在我们用 LordPE 的16进制编辑区段功能来观察一下第一个区段中的内容。具体怎么分析原来区段的起始地址我前面已经说过了，此处只谈结果。经分析可知偏移 1000-AFFF应该是代码段，大小为 A000；B000-DFFF 应该是数据段，E000-FFFF 应该是另一个段；功能我不是很清楚 ，可能原来也用于存放输入表信息的。我就把它和前面的 B000-DFFF 一起当成数据段，这样数据段就大小就是10000 － B000 ＝ 5000；10000-11FFF 应该是资源段；12000-12FFF 包含了部分输入表的信息，应该是加壳后搞出来的。不过这个段对我们毫无作用，不作考虑。现在对我们有用的就是偏移 1000-FFFF 的部分，这里有两个区段。根据 ImportREC 中所显示的输入表大小 00000B18 及前面两个段用到的偏移，我们只要在偏移 10000 处添加一个大小为 1000 的段用来存放输入表信息就可以了。因此资源段我们应该让它从 11000 开始。分析完了就可以开工了，先把 dumped.exe 复制一份留作参考，WinHEX 上场，ALT+G 转到偏移 10000 处，从此处开始选择一个直到文件结尾的块，删除。我们还是借用一下 XP_SP2 记事本的文件头，把记事本偏移 0-FFF，大小为 1000 的内容复制过来，覆盖到 dumped.exe 的对应位置。全部完成后保存 dumped.exe。现在由 PETools 上场，用其 PE 编辑器打开 dumped.exe，先把区段数改为 2，再修正一下镜像基址为 00400000，然后转到区段编辑器，根据我们上面分析的两个区段的偏移及大小调整区段的虚拟偏移、大小；RAW 偏移、大小。完成后再新建一个区段用来保存输入表信息，偏移是 10000，大小为 1000，再修改一下特征值。

现在关掉 PETools，我们开始用 ImportREC 来修正输入表。去掉添加一个新的节前面的勾，在新建输入表信息中填入 RVA：00010000，点修复转存文件，选择我们修改过的 dumped.exe 来修复，完成后我们得到 dumped_.exe。到这就要开始把资源加进去了。 FixRes 上，选我们原来备份的那个 dumped.exe，新建 RVA 为 11000，文件对齐为 200，Dump 资源为 rsrc.bin。

再让 LordPE 上场吧（有人要说了，这么多工具换来换去你也不嫌累？这个...是比较累，本来是打算自己写一个工具来减小工作量的。不过因为太懒，能将就就将就了）。用 LordPE 打开修正过输入表的那个 dumped_.exe，点区段按钮，在区段编辑窗口中右键选择从磁盘载入段，把我们前面 Dump 的那个 rsrc.bin 添加进来。编辑一下区段。

现在关掉区段编辑，点击目录按钮，再用 LordPE 打开备份的 dumped.exe 进行参考，我们来编辑一下 dumped_.exe 的目录，主要是调整一下资源目录的 RVA 和大小，把其他一些没用到的目录 RVA 和 大小清零。

完成后退出 LordPE，再用 PETools 打开 dumped_.exe，编辑可选头中的一些内容及调整镜像大小。

保存我们所做的工作，退出 PETools，现在 dumped_.exe 文件大小是 72.5K。运行一下 dumped_.exe，呵呵，正常运行了。把 dumped_.exe 复制一份保存为复件 dumped_.exe，用 dumped_.exe 给复件 dumped_.exe 用默认选项加个壳看看， 72.5K->27.3K，原版未脱壳前是 26.6K，看来还是有差距啊。不管了，用 PE Optimizer 来优化一下 dumped_.exe，72.5K->59.5K，收工。

WinUpack 加壳时合并了区段，而一些其他的壳给程序加壳时并没有合并区段，也没有破坏 PE 头，这样脱壳后的程序优化起来要简单一点，可以省掉前面的到脱壳后的第一个段中判断区段及修正 PE 头的步骤，只要把有用的段给保存下来，没用的去掉，选好位置重建输入表和资源，再装配起来就可以了。要想优化后的程序可以用汉化工具汉化的话，一般都要把资源放在最后一个区段，否则容易出错。而对应 DLL 这样的文件修复时要考虑重定位和输出表，重定位可以采用 ReloX 来修复，同样可以指定位置重建。输出表可以采用看雪兄的工具 PeMove 来挪移，同样这个工具也可以挪移重定位表。关于 DLL 这类文件的脱壳后优化我就不讲了，基本方法类似。

黑客技巧系列之常见的一些留后门手法

无法查看这则摘要。请 点击此处查看博文。

深入分析利用反弹技术进行DDoS攻击

深入分析利用反弹技术进行DDoS攻击

攻击者可以通过反弹技术使我们对DDOS攻击更难以防御——利用反弹服务器反弹DDOS的洪水包，也就是说，通过发送大量的欺骗请求数据包（来源地址为victim，受害服务器，或目标服务器）给Internet上大量的服务器群，而这些服务器群收到请求后将发送大量的应答包给victim。结果是原来用于攻击的洪水数据流被大量的服务器所稀释，并最终在受害者处汇集为洪水，使受害者更难以隔离攻击洪水流，并且更难以用Traceback 跟踪技术去找到洪水流的来源。

在分布式DOS攻击（DDOS）中，攻击者事先入侵了大量服务器，并在这些服务器上植入了DDOS攻击程序，然后结合这些被入侵的服务器的网络传输力量发动攻击。利用大量的服务器发动攻击不仅增加了攻击的力度，而且更难于防范。

以往DDOS攻击的结构：一个主机，主服务器（Master），作用是发送控制消息给事先入侵并已植入DDOS程序的从服务器群（Slave），控制从服务器群发起对目标服务器的攻击。从服务器群将产生高容量的源地址为伪造的或随机的网络数据流，并把这些数据流发送给目标服务器。因为数据流的源地址是伪造的，增加了追查的难度。

利用成百上千的从服务器不仅可以另追查的难度加大（因为难以识别大量不同的来源，需要查询大量的路由器），而且极大的阻碍了当成功追查后所需采取的行动（因为这要与大量的网络管理员联系，安装大量的网络过滤器）。

而今考虑周密的攻击者可以通过利用反弹服务器（Reflector），更好的组织他们的攻击。反弹服务器是指，当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的WEB服务器，DNS服务器，及路由器都是反弹服务器，因为他们会对SYN报文或其他TCP报文回应SYN

ACKs或RST报文，以及对一些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发动DDOS攻击。

攻击者首先锁定大量的可以做为反弹服务器的服务器群，比如说100万台（这并不是件很难的工作，因为在Internet上光是WEB服务器就不止这么多的，更何况还有更多其他的机器可以作为反弹服务器）。然后攻击者们集中事先搞定的从服务器群，向已锁定的反弹服务器群发送大量的欺骗请求数据包（来源地址为victim，受害服务器或目标服务器）。反弹服务器将向受害服务器发送回应数据报。结果是：到达受害服务器的洪水数据报不是几百个，几千个的来源，而是上百万个来源，来源如此分散的洪水流量将堵塞任何其他的企图对受害服务器的连接。

受害服务器不需要追查攻击的来源，因为所有攻击数据报的源IP都是真实的，都是反弹服务器群的IP。而另一方面，反弹服务器的管理人员则难以追查到从服务器的位置，因为他所收到的数据报都是伪造的（源IP为受害服务器的IP）。

原则上，我们可以在反弹服务器上利用追踪技术来发现从服务器的的位置。但是，反弹服务器上发送数据报的流量远小于从服务器发送的流量。每一个从服务器可以把它发送的网络流量分散到所有或者一大部分反弹服务器。例如：如果这里有Nr个反弹服务器，Ns个从服务器，每个从服务器发送的网络流量为F，那么每一个反弹服务器将产生的网络流量为，而Nr远大于Ns。所以，服务器根据网络流量来自动检测是否是DDOS攻击源的这种机制将不起作用。

值得注意的是，不象以往DDOS攻击，利用反弹技术，攻击者不需要把服务器做为网络流量的放大器（发送比攻击者发送的更大容量的网络数据）。他们甚至可以使洪水流量变弱，最终才在目标服务器回合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器，使其更容易找到足够数量的反弹服务器，用以发起攻击。

我们的分析显示，有三种特别具威胁性的反弹服务器是：DNS服务器、Gnutella服务器、和基于TCP-IP的服务器（特别是WEB 服务器），基于TCP的实现将遭受可预测初始序列号的威胁。

用防火墙防止DDOS分布式拒绝服务攻击

DoS（Denial of Service拒绝服务）和DDoS（Distributed Denial of Service分布式拒绝服务）攻击是大型网站和网络服务器的安全威胁之一。2000年2月，Yahoo、亚马逊、CNN被攻击等事例，曾被刻在重大安全事件的历史中。SYN Flood由于其攻击效果好，已经成为目前最流行的DoS和DDoS攻击手段。

SYN Flood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。针对SYN Flood，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。

SYN网关 防火墙收到客户端的SYN包时，直接转发给服务器；防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。

被动式SYN网关 设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包，服务器发往客户端的SYN/ACK包、以及客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止SYN Flood攻击。

SYN中继 SYN中继防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送SYN包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。

网络安全之TCP端口作用、漏洞及操作

网络安全之TCP端口作用、漏洞及操作

在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“21”，21就表示端口号。那么端口到底是什么意思呢？怎样查看端口号呢？一个端口是否成为网络恶意攻击的大门呢？，我们应该如何面对形形色色的端口呢？下面就将介绍这方面的内容,以供大家参考。

21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。

端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。

23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。

端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。

端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。

端口漏洞：

1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。

端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。

操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口

67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。

端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。

端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。

操作建议：建议关闭该端口。

69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。

端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

操作建议：建议关闭该端口。

79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息，可以在命令行中键入“finger user01@www.abc.com”即可。

端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

操作建议：建议关闭该端口。

80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。

端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如http://www.cce.com.cn:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。

操作建议：为了能正常上网冲浪，我们必须开启80端口。

99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

操作建议：建议关闭该端口。

109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。

端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口。

端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。

操作建议：如果是执行邮件服务器，可以打开该端口。

111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。

端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。

端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超

113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。

端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。

端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。

操作建议：建议关闭该端口。

119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。

端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。

端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。

操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。

135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。

137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。

端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

操作建议：建议关闭该端口。

139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。

143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP）。

端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。

端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。

操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。

161端口：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。

端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。

在Windows 2000/XP中要安装SNMP服务，我们首先可以打开“Windows组件向导”，在“组件”中选择“管理和监视工具”，单击“详细信息”按钮就可以看到“简单网络管理协议（SNMP）”，选中该组件；然后，单击“下一步”就可以进行安装。

端口漏洞：因为通过SNMP可以获得网络中各种设备的状态信息，还能用于对网络设备的控制，所以黑客可以通过SNMP漏洞来完全控制网络。

操作建议：建议关闭该端口。

443端口：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。

端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。

端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。

操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。

554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。

端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。

端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。

操作建议：为了能欣赏并下载到RTSP协议的流媒体文件，建议开启554端口。

1024端口：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。

端口说明：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。之前，我们曾经提到过动态端口的范围是从1024～65535，而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务，在关闭服务的时候，就会释放1024端口，等待其他服务的调用。

端口漏洞：著名的YAI木马病毒默认使用的就是1024端口，通过该木马可以远程控制目标计算机，获取计算机的屏幕图像、记录键盘事件、获取密码等，后果是比较严重的。

操作建议：一般的杀毒软件都可以方便地进行YAI病毒的查杀，所以在确认无YAI病毒的情况下建议开启该端口。

系统安全基础之CPU占用率高的九种可能

系统安全基础之CPU占用率高的九种可能

1、防杀毒软件造成故障

由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控，无疑增大了系统负担。处理方式：基本上没有合理的处理方式，尽量使用最少的监控服务吧，或者，升级你的硬件配备。

2、驱动没有经过认证，造成CPU资源占用100%

大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。 处理方式：尤其是显卡驱动特别要注意，建议使用微软认证的或由官方发布的驱动，并且严格核对型号、版本。

3、病毒、木马造成

大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法：用可靠的杀毒软件彻底清理系统内存和本地硬盘，并且打开系统设置软件，察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。

4、系统服务

控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键，改为手动。

5、启动项

开始->；运行->；msconfig->；启动，关闭不必要的启动项，重启。

6、查看“Svchost”进程

Svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。

7、查看网络连接

主要是网卡。

8、查看网络连接

当安装了Windows XP的计算机做服务器的时候，收到端口 445 上的连接请求时，它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候，CPU占用率可能过高，这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确，服务器的响应能力可能会受到影响，或者某个用户独占太多系统资源。

要解决此问题，我们可以通过修改注册表来解决：在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver ]分支，在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值，在打开的窗口中键入下列数值并保存退出：

如果计算机有512MB以上的内存，键入“1024”；如果计算机内存小于512 MB，键入“256”。

9、看看是不是Windows XP使用鼠标右键引起CPU占用100%：

前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用，我们来看看是怎么回事？

征兆：

在资源管理器里面，当你右键点击一个目录或一个文件，你将有可能出现下面所列问题：

任何文件的拷贝操作在那个时间将有可能停止相应

网络连接速度将显著性的降低

所有的流输入/输出操作例如使用Windows Media Player听音乐将有可能是音乐失真成因：

当你在资源管理器里面右键点击一个文件或目录的时候，当快捷菜单显示的时候，CPU占用率将增加到100%，当你关闭快捷菜单的时候才返回正常水平。

解决方法：

方法一：关闭“为菜单和工具提示使用过渡效果”

1、点击“开始”--“控制面板”

2、在“控制面板”里面双击“显示”

3、在“显示”属性里面点击“外观”标签页

4、在“外观”标签页里面点击“效果”

5、在“效果”对话框里面，清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。

方法二：在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。

系统安全之WindowsXP修复控制台详解

系统安全之WindowsXP修复控制台详解

Windows XP（包括 Windows 2000）的控制台命令是在系统出现一些意外情况下的一种非常有效的诊断和测试以及恢复系统功能的工具。（当然大家可以在系统启动后按F8，插入XP系统光盘进入）这次整理了一下，希望对大家有所帮助：

Bootcfg

Bootcfg 命令启动配置和故障恢复（对于大多数计算机，即 boot.ini 文件）。

含有下列参数的 bootcfg 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 bootcfg 命令。

用法：

bootcfg /default　　设置默认引导项。

bootcfg /add　　　　向引导列表中添加 Windows 安装。

bootcfg /rebuild　　重复全部 Windows 安装过程并允许用户选择要添加的内容。

注意：使用 bootcfg /rebuild 之前，应先通过 bootcfg /copy 命令备份 boot.ini 文件。

bootcfg /scan　　　 扫描用于 Windows 安装的所有磁盘并显示结果。

注意：这些结果被静态存储，并用于本次会话。如果在本次会话期间磁盘配置发生变化，为获得更新的扫描，必须先重新启动计算机，然后再次扫描磁盘。

bootcfg /list　　　列出引导列表中已有的条目。

bootcfg /disableredirect 在启动引导程序中禁用重定向。

bootcfg /redirect [ PortBaudRrate] |[ useBiosSettings]

在启动引导程序中通过指定配置启用重定向。

范例：

bootcfg /redirect com1 115200

bootcfg /redirect useBiosSettings

Hkdsk

创建并显示磁盘的状态报告。Chkdsk 命令还可列出并纠正磁盘上的错误。

含有下列参数的 chkdsk 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 chkdsk 命令。

vol [drive:] [ chkdsk [drive:] [/p] [/r]

参数　　无

如果不带任何参数，chkdsk 将显示当前驱动器中的磁盘状态。

drive: 指定要 chkdsk 检查的驱动器。

/p　　 即使驱动器不在 chkdsk 的检查范围内，也执行彻底检查。该参数不对驱动器做任何更改。

/r　　 找到坏扇区并恢复可读取的信息。隐含着 /p 参数。

注意

Chkdsk 命令需要 Autochk.exe 文件。如果不能在启动目录（默认为 ＼%systemroot%＼System32）中找到该文件，将试着在 Windows 安装 CD 中找到它。如果有多引导系统的计算机，必须保证是在包含 Windows 的驱动器上使用该命令。

Diskpart

创建和删除硬盘驱动器上的分区。diskpart 命令仅在使用故障恢复控制台时才可用。

diskpart [ /add |/delete] [device_name |drive_name |partition_name] [size]

参数 无

如果不带任何参数，diskpart 命令将启动 diskpart 的 Windows 字符模式版本。

/add

创建新的分区。

/delete

删除现有分区。

Device_name

要创建或删除分区的设备。设备名称可从 map 命令的输出获得。例如，设备名称：

＼Device＼HardDisk0

Drive_name

以驱动器号表示的待删除分区。仅与 /delete 同时使用。以下是驱动器名称的范例：

D:

partition_name

以分区名称表示的待删除分区。可代替 drive_name 使用。仅与 /delete 同时使用。以下是分区名称的范例：

＼Device＼HardDisk0＼Partition1

大小

要创建的分区大小，以兆字节 (MB)表示。仅与 /add 同时使用。

范例

下例将删除分区：

diskpart /delete ＼ Device＼ HardDisk0＼ Partition3

diskpart /delete F:

下例将在硬盘上添加一个 20 MB 的分区：

diskpart /add ＼ Device＼ HardDisk0 20

Fixboot

向系统分区写入新的分区引导扇区。只有在使用故障恢复控制台时，才能使用 fixboot 命令。

fixboot [drive]

参数　　驱动器

将要写入引导扇区的驱动器。它将替代默认的驱动器（即用户登录的系统分区）。例如，驱动器：D:

范例

下列命令范例向驱动器 D: 的系统分区写入新的分区引导扇区：

fixboot d:

注意: 如果不带任何参数，fixboot 命令将向用户登录的系统分区写入新的分区引导扇区。

Fixmbr

修复启动磁盘的 主启动记录。fixmbr 命令仅在使用故障恢复控制台时才可用。

fixmbr [ device_name]

参数

device_name

要写入新的主引导记录的设备（驱动器）。设备名称可从 map 命令的输出获得。例如，设备名称：

＼Device＼HardDisk0

范例

下列命令示例向指定设备写入一个新的主引导记录：

fixmbr ＼Device＼HardDisk0

注意：如果不指定 device_name，新的主引导记录将被写入引导设备，即装载主系统的驱动器。

如果系统检测到无效或非标准分区表标记，将提示用户是否继续执行该命令。除非您访问驱动器有问题，否则不要继续进行。向系统分区写入新的主引导记录可能破坏分区表并导致分区无法访问。

Format

将指定的驱动器格式化为指定的文件系统。含有下列参数的 format 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 format 命令。

format [ drive:] [ /fs:file-system]

参数

drive:

指定要格式化的驱动器。不能从故障恢复控制台格式化软盘。

/q

对驱动器进行快速格式化。不扫描驱动器看是否有坏区域，

因此只应对以前格式化过的驱动器使用该参数。

/fs:file-system

指定要使用的文件系统：FAT、FAT32 或 NTFS 。如果未指定文件系统，

将使用现有的文件系统格式。

Map

显示驱动器号与物理设备名称的映射。该信息在运行 fixboot 和 fixmbr 命令时非常有用。

Map 命令仅在使用故障恢复控制台时才可用。

Map [ arc]

参数

arc

指示 map 命令显示高级 RISC 计算 (ARC)设备名称而不是设备名称。以下是 ARC 设备名称的范例：

multi(0)disk(0)rdisk(0)partition(1)

等价的设备名称是：

＼Device＼HardDisk0＼Partition1

范例

下例将物理设备名映射为使用 ARC 设备名称的驱动器号：

map arc

注意：如果不使用 arc 参数，则 map 命令显示设备名称。map 命令还显示文件系统的类型和每个磁盘的大小（MB）