人是最坚固的防火墙

为了对抗社会工程攻击，必须组建“由人组成的防火墙”，同时抛弃网络架构刀枪不入之类的幻想。

对员工进行培训，使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训的难度要小得多。因此，只要组织措施得当，“人”将不再成为信息安全链中最薄弱的一环，而是成为最安全的后盾。

　　现实中发生的许多网络安全案例，破坏者使用的手法并不是十分高明，仅仅是通过一些非常简单的技术对系统进行破解。比如口令的暴力猜测，这些攻击并不需要太高深的技术，仅仅使用一些现成的软件和一点耐心就能实现。甚至还有一种技术含量更低的破解网络安全防御系统的方法，它通过种种手段骗取操作网络内部的人员提供必要的信息（如管理员口令），从而获取网络的访问权。这种方法称为“社会工程学”（Social Engineering）。

一、社会工程的黑客陷阱

　　社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，例如：用户名单、用户密码及网络结构。还比如，只要有一个人抗拒不了本身的好奇心看了邮件，病毒就可以大行肆虐。

　　大家熟知的Mydoom与Bagle都是利用社会工程学陷阱得逞的病毒。如果您从事网络安全工作已经有了一段时间，就能说出这位最“臭名昭著”的黑客名字：Kevin Mitnick--他曾被媒体作为新闻标题、被电视节目作为评说对象。有人曾用这样的语句形容他:“他旁若无人地站在白宫走廊的一角，目光深邃。一台笔记本电脑与他寸步不离，他不时在键盘上敲下某些神秘的指令……”。我们可以引用他最著名的黑客理论：“赢得别人的信任，然后利用这种信任取乐或取利，在现实世界中此类现象比比皆是，在网络世界中也同样存在。人是一种社会动物，希望被喜欢、被信任，一旦这种天性被我们利用……”

二、e时代的信任危机

　　在2000--2003年的时候，如果你利用漏洞扫描软件在10分钟内就能轻易地发现100台以上的脆弱主机。在网络安全技术不断发展的今天，各种安全防护设备与措施使得网络和系统本身的漏洞已经较少了。然而黑客入侵事件却总在不断上演，这是为什么?网络使用者的安全防护意识起着关键作用。我们可以将服务器系统安全加固交给网络安全服务商完成；可以将网络安全的常识通过培训介绍给企业的每一个员工，但是，任意设置简单易猜的口令、随处留下自己的邮箱行为还是比比皆是，这都使得善于利用社会工程学的黑客能够很轻易地完成对某些目标的入侵。

　　可以说现在CIO们最怕的不是系统灾难，因为完整的灾难恢复机制已经让他们可以坦然面对。最近流行的“网络钓鱼”，其实并不是一种新的入侵方法，而是入侵者通过技术手段伪造出一些以假乱真的网站诱惑受害者根据指定方法操作的Email等，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）。入侵者并不需要主动攻击，他只需要静静等候这些钓竿的反应，就像是“姜太公钓鱼，愿者上钩”。我们可以将它归纳为有一定技术含量的、被动的社会工程入侵。那么，没有任何黑客技术含量的主动入侵存在吗？回答当然是肯定的。

　　我们举一个例子：对方公司的销售人员想获得你的客户信息，他会通过电话、Mail或者QQ等了解到贵公司销售人员的通信方式。在通过冒充客户咨询的电话中，你都可能透露出真实的个人信息，然后以你的身份再次打进电话来，询问其他员工来获取网管员的电话。剩下的事情只需要向网管员申诉自己的邮箱出现问题了，要求将密码更改过来，如果网管员稍有疏忽，这一入侵行为就已成功结束了。

　　还有一种攻击也最为常见，那就是胁迫攻击。攻击者假装成权威人士，要么是组织内的高层人员，要么是执法人员。攻击者会选择其职位之下的几个不同层次的人作为目标。攻击者会制造一个借口来要求重设口令、改变账号、访问系统或敏感信息。如果遇到抵制，攻击者会利用职权胁迫这些员工就范。社会工程学基于最基本的生活常识，最简单的心理学原理：越简单的东西越不容易出错，而越复杂的事物越可能出现漏洞，世界上最复杂的就是人和人的思想，利用人们的信息信任--这就是“社交工程学”被信息安全专业人员所恐惧的主要原因。

三、完善制度重于技术防御

　　社会工程学，并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益；即使最先进的网络防火墙，一样无法阻挡没有电信号的信息泄露。企业在制定社会工程攻击防护方法时一定要充分考虑自身的特点，千万不能生搬硬套。根据受到过攻击的企业所提供“亡羊补牢”的方法大致归纳如下：

四、建立事故响应小组

　　从信息安全的观点，任何外部威胁的处理（包括社会工程）将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是，事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成，他们要经过良好培训并随时准备对社会工程攻击做出反应，有效的分析出入侵的目的与方式。

五、制定规章与教育相结合

　　防范社会工程攻击的困难在于大多数物理硬件和安全控制措施是无效的。因为社会工程攻击的目标是人，所以其防范措施需要集中在信息安全的管理部分。一个有效的防御措施就是建立全员的信息安全策略，策略指导应包含所有员工的“信息安全行为规则”。另外，有效的抵抗措施就是用户意识培训，在整个公司的层面上，将这个信息传递给所有员工是非常关键的。这样，整个公司在所有层次上都非常警觉。

六、模拟入侵程序

　　模拟入侵测试是一种从外部观点来评价安全控制措施的方法，是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度，也可以采用模拟入侵测试来发现一些证据。但是必须注意的是，尽管渗透性测试是评估组织的控制措施的最好方法之一，但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外，制定立即通告制度也很重要，一旦员工发现一个社会工程攻击的企图，必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤，以及精心配备的事故响应小组也要将其效能最大化。

其他

　　尽可能应用其他技术措施，比如电话录音、客户访问记录、文档等级制度。这里需要提醒的是如果制定更多的员工行为监视和审核制度有可能遭到员工反对，或者触及到个人隐私，所以要在法律允许的范围内进行，以避免企业的违法行为发生。

防治 ARP 攻击 哪种方式最让您轻松无忧

来源：赛迪网 作者：张建清

防治ARP攻击，哪种方式让您轻松无忧？由于最近ARP欺骗/攻击反反复复，而市场上的各种防制方式让广大读者应接不暇，如何才能有效防制ARP，是今天我们所有技术人员都要应对的问题。最近一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。Qno的技术服务人员接到很多用户反应说有些ARP防制方法很容易操作和实施，但经过实际深入了解后，发现长期效果都不大。

对于ARP攻击防制，Qno技术服务人员的建议，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此本文解释了ARP攻击防制的基本思想。我们认为读者如果能了解这个基本思想，就能自行判断何种防制方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

一、不坚定的ARP协议

一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给“张三”，只在马路上问“张三住那儿？”，并投递给最近和他说“我就是！”或“张三住那间！”，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防制，常见的方法，可以分为以下三种作法：

1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。

2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。

3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

PK 赛之“ARP echo”

ARP echo是最早开发出来的ARP攻击解决方案，但随着ARP攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。

但是这种作法，明显有几个问题：第一，即使时时提醒，但由于快递员意志不坚定，仍会有部份的信件因为要发出时刚好收到错误的信息，以错误的方式送出去；这种情况如果是错误的信息频率特高，例如有一个人时时在快递员身边连续提供信息，即使打电话提醒也立刻被覆盖，效果就不好；第二，由于必须时时提醒，而且为了保证提醒的效果好，还要加大提醒的间隔时间，以防止被覆盖，就好比快递员一直忙于接听总部打来的电话，根本就没有时间可以发送信件，耽误了正事；第三，还要专门指派一位人时时打电话给快递员提醒，等于要多派一个人手负责，而且持续地提醒，这个人的工作也很繁重。

以ARP echo方式对应ARP攻击，也会发生相似的情况。第一，面对高频率的新式ARP攻击，ARP echo发挥不了效果，掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二，ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。



图一：ARP攻击防制 方法之“ARP echo”图示说明

常见的ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的ARP攻击防制效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。

此外，ARP echo一般是发送网关及私服的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。

PK赛之“ARP绑定”

ARP echo的作法是不断提醒计算机正确的ARP对照表，ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。

但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。

双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。



图二：ARP攻击防制 方法之侠诺“ARP双向绑定”图示说明

另外，对于有自动通过局域网安装软件的网络，例如网吧的收费系统、无盘系统，都可以透过自动的批次档，自动在开机时完成绑定的工作，网管只要撰写一个统一的批次文件程序即可，不必一一配置。

二、现阶段较佳解决方案——双向绑定

以上以思想不坚定的快递员情况，说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚，只有以培训的方式让ARP协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。

面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。ARP双向绑定虽然对网管带来一定的工作量，但是其效果确是从根本上有效，而且网管也可参考自动批次档的作法，加快配置自动化的进行，更有效地对抗ARP攻击。

软件名称： arp巡警v1.0 绿色版

软件大小： 237



arp巡警具有以下功能：

1.可以彻底杜绝本机被arp病毒欺骗。不同于arp -s的方法，比arp -s更可靠。

2.发现本机中arp病毒时可以强行关机并将中毒的计算机内所有进程和窗口资料发送到监控器上供管理员分析。

3.程序很小只160k，速度快，占用很少计算机资源，无须安装，绿色免费

arp巡警V1.0 绿色版

免费的安全大餐：15款安全软件完全免费

免费的安全大餐：15款安全软件完全免费


防火墙软件:


Comodo Firewall Pro


虽然ZoneAlarm极为流行,但并不是说它就是你所能找到的最优秀的免费防火墙了.Comodo Firewall Pro就是个强有力的竞争者,独立测试网站Matousec曾把它评为最好的防火墙.Matousec发现,Comodo提供了最高级别的防泄露保护功能(这是评估防火墙效果的一个指标).Comodo提供了真正双向的防火墙保护,具有高可配置性,还为了解系统和互联网连接的情况提供了清晰视图(这有别于其他大多数防火墙).


ZoneAlarm


Check Point软件公司的ZoneAlarm很可能是世界上最受欢迎的防火墙,如今最新版本终于可以保护Vista机器了.可以这么说,ZoneAlarm这个产品使每个人都认识到需要防火墙保护.它用起来非常容易,配置出站保护的方法也特别有用.只要某个程序试图建立出站互联网连接,ZoneAlarm就会弹出警告信息.然后可以选择暂时性还是永久性允许连接或者禁止连接.只要移动几个滑块,即可配置保护级别,就是这么简单.虽然该软件的免费版本完全是个防火墙,但Check Point公司还提供收费的安全套件.不过要是你寻找的仅仅是防火墙,这个免费版本就够用了.


Avast


是不是对臃肿庞大、价格过高的安全套件感到了厌倦?这些套件不但降低了系统的运行速度,价格还贵得要命,而实际上需要的可能只是反病毒软件.如果是这样,就用Avast吧,这款一流的反病毒软件对家庭和个人用户而言是免费的.因为这个软件很小巧,所以给系统资源和内存带来的负担比较小.尽管如此,它能够截杀病毒,还有许多额外功能,包括能够一开始防止病毒感染PC的实时扫描.Avast还能够扫描普通电子邮件和基于Web的电子邮件以查找病毒,另外它还能防范即时通信病毒、点对点软件病毒及其他病毒.


AVG Anti-Rootkit


最可怕的其中一种恶意软件就是rootkit,而许多类型的反恶意软件都检测不到这种恶意软件.坏人利用rootkit把特洛伊木马隐藏起来,然后利用木马在你毫不知情的情况下控制PC,这种情况并不少见.AVG Anti-Rootkit就是专门用来查找及清除rootkit的.启动后,它就能扫描PC,查找rootkit,并且清除找到的任何恶意软件(注意:该实用程序无法与Windows Vista协同工作.)


Spyware Blaster


几种最烦人的间谍软件:自动拨号软件、主页劫持软件及其他恶意软件会把自己作为ActiveX控件来安装.Spyware Blaster可以保护PC远离它们,阻止恶意软件及其他类型的间谍软件通过ActiveX控件的形式来安装,并且清除跟踪性质的cookie,以免泄露隐私.该程序可与Firefox、Opera或者IE等浏览器协同工作,并且防止浏览器跳转到危险网站.特别实用的一个特性就是该实用程序的System Snapshot(系统快照),它可以为PC拍下快照,那样一旦后来计算机受到感染,照样能返回到干净版本.


评估系统面临的风险


安全不安全?无论提问的对象是你自己的系统、想访问的网站、还是忍不住去点击的链接,都需要合适的工具帮你知道相关的风险级别.下面这些实用程序可以分析局面,并进行合理评估.


AOL Active Security Monitor


这款简单、直观的应用程序能够查看PC的安全状态、报告发现结果,并给出建议.它可以检查是否安装了反病毒软件;如果已安装,病毒定义是不是最新的.然后它会对反间谍软件进行同样的检查,测试是否启用了防火墙,检查是否存在可能会带来危险的点对点软件.这个监控软件本身没有任何保护功能,但可以提醒用户是否需要一些保护功能.不过要注意:该软件无法与Windows Vista协同工作.也不要完全听信它给出的建议:该软件声称像AOL Privacy Wall这些收费的AOL软件其效果好于免费软件,实际上可能不如后者.


LinkScanner Lite


这是另一个可以确定网站是否藏有危险内容的优秀工具.打开LinkScanner Lite,输入某个网站的URL,该实用程序就会检查该网站,查找恶意脚本、恶意下载件及其他有危险的内容.它还能对网络钓鱼网站及其他可能存在欺诈的网上操作给出警告,并且能像McAfee SiteAdvisor那样与搜索网站集成起来,把图标放在搜索结果旁边,表明这些网站是不是危险的.但是与Site Advisor不同,它并不检查网站是否藏有广告软件或者间谍软件.


McAfee SiteAdvisor


不像在真实世界,在网上闲逛时很难发现旁边的坏人.实际上,最漂亮、最诱人的网站可能隐藏各种各样的恶意软件.这时候,McAfee SiteAdvisor就能派上用场.如果准备访问或者已经在访问的网站可能存在危险,它就会提出警告.可以把它作为IE工具栏或者FireFox插件来安装.这样一来,使用谷歌或者其他某种搜索引擎进行搜索时,它会在每个搜索结果旁边显示标上色码的图标,表明访问的这个网站是安全的(绿色)、有问题的(黄色),还是明显不安全的(红色).它还会检查网站是否含有可能危险的下载件,以及是否有迹象表明:要是向网站提供电子邮件地址,它会不会发送垃圾邮件.至于目前在访问的网站,工具栏会给出这方面的类似报告.


Internet Threat Meter


网上似乎每天都会出现新的威胁.赛门铁克公司的Internet Threat Meter让用户可以随时了解出现的最新威胁,还提供了一个链接,指向赛门铁克的一个网站,在上面可找到更多信息和解决办法.该程序作为Windows XP中的小巧窗口组件或者作为Windows Vista中的侧边栏工具来运行,它可以搜集有关最新威胁的数据,并汇报结果.


趋势科技HijackThis


没有哪一款反间谍软件程序能够检测及清除所有的间谍软件.因此,即使是你最青睐的反恶意软件工具也不能完全保护你.要是怀疑自己已经中了间谍软件的招,可是使用平常的诊断软件又查不出问题的根源,不妨试一试HijackThis.它能够全面分析注册表和文件设置,并且创建报告结果的日志文件.如果系统已感染了间谍软件,这个文件就会包含相关的一些蛛丝马迹.虽然安全专家能够分析日志从而查出问题根源,但还是不要试着自己进行任何的高级分析,除非有相关专长.只要把日志文件上传到HijackThis网站,请那里的社区帮助分析就可以了.


掩盖行踪、清除垃圾


加密隐私信息、禁用可能有害的脚本、清理不断堆积起来的碎片,这些方法都能够加强安全.下面这些下载软件可以确保系统井然有序.


Kruptos 2


是不是担心有人可能窥视电脑里最隐私的文件?Krupto 2使用功能强大的128位加密技术来加密文件和文件夹,那样只有你自己才能读取它们.它对USB闪存和可移动存储设备来说特别有用,可以采用全盘加密.Kruptos 2还可以创建经过加密的自解压文档;还能粉碎已删除文件,那样这些文件的所有痕迹就会从硬盘上消失;对文件进行加密时,它甚至还能隐藏文件名.


Transaction Guard


商业安全软件厂商趋势科技的这款免费软件其实结合了两个安全软件.首先,这款能够检测及清除间谍软件的软件可实时监控系统,查找间谍软件,并且清除发现的任何间谍软件.第二,它采用了“秘密键盘”,确保密码及其他敏感信息不会被人在网上窃取.如果访问需要密码的网站,不要直接输入密码,应在“秘密键盘”上输入,它会把密码拷贝到剪贴板,然后密码直接剪贴到Web表单.该软件作为ActiveX控件在系统中运行.


CCleaner


在上网浏览时,上网活动会留下很多痕迹.大量的临时文件、历史记录、cookie、自动完成记录及其他众多内容占据着PC的空间.另外,许多程序也会生成临时文件、文件列表及其他垃圾信息.Windows本身在不断监控用户的所作所为,并且把有关信息记入日志.其实,只要窥视一下PC上的众多无用信息,就很容易从中搜集到用户的大量信息.CCleaner能把所有类似痕迹从系统中清除出去.这不仅保护了隐私,还释放了硬盘空间.笔者第一次使用这个实用程序时,它就删掉了多达835M的文件.


NoScript


上网浏览时面临的最大威胁之一就是,被人设下陷阱的Java、JavaScript脚本和小应用程序.不法分子可以把这些有害的代码片段伪装成有用工具,或者在执行恶意程序时完全隐藏起来.遗憾的是,没有切实可行的办法能把好人与坏人区分开来.不过NoScript这个免费的Firefox扩展程序却能防止所有的JavaScript和Java小应用程序运行,除非是在指定安全的网站上才可以运行.这个扩展程序显示了安全网站列表,用户可以把安全网站添加到上面.NoScript禁止了网站上的Java或者JavaScript后,就会告诉用户.这个功能异常强大、异常灵活的工具还能阻止 Java、Flash及其他插件在你不信任的网站上运行,从而提供了额外保护.


File Shredder 2


文件删除后,是不是就从PC上消失了呢?并非如此.即使你删除了某个文件,而且清空了回收站,有些专用软件还是可以把它找回来.当然,一般来说,在删除文件时希望它们彻底消失.File Shredder 2使用二进制数据的随机字符串覆盖任何文件或者文件夹,而且可以覆盖多次.有五种不同的清除算法可供选择,这个程序用起来也很简单:只需选择要删除的文件,告诉该程序加以清除,这些文件就会彻底删除.

免费的绿色病毒扫描器 Dr.Web CureIt!

CureIt! 是 Dr.web 公司出品的一款反病毒和反恶意软件的免费扫描器,完全绿色安装,不与任何其他杀毒软件冲突,并且可以有效的帮助您快速扫描和修复受感染的系统,是您辅助杀毒的不二之选!

每天更新的 CureIt! 封装有最新的病毒特征码,在高危病毒时期 CureIt! 的更新频率可高达每小时两次.







系统要求：Windows 95/ 98 / Me / NT 4.0 / 2000 / XP / 2003 / Vista


官方网址：http://www.freedrweb.com/cureit/

认识黑客入侵的利器 嗅探软件逐个了解

来源：赛迪网 作者：杜莉 译

如果我告诉我的同事说我正在嗅探网络，他们会觉得我在开玩笑。嗅探器(也称网络分析器)是种能够察看网络传输、将其解码并为网管提供可用的数据的一种软件。网管可以使用它提供的数据来诊断网络存在的问题。而恶意用户还会利用嗅探器来从网络上获取存储在文本中的密码。下面列举一些常用的专用嗅探器：NAI嗅探器（商用）、Wireshark（以前叫Ethereal，是一种Linux，Windows以及其他平台上使用的开发源码的图形用户界面的嗅探器）、TCPDump（开放源码命令行嗅探器，在Unix类的操作系统上使用，如Linux或者FreeBSD），还有它的Windows版——WinDump。

首先我们来说明一下一些网络基本知识。大多数的以太网都是一根总线的拓扑结构，使用同轴电缆或者双绞线和hub连通。网络上的所有节点（计算机和其他设备）都可以通过同样的线路通信，并且使用称为载波监听多路访问/冲突检测（CSMA/CD）的方案依次发送数据。你可以把CSMA/CD看作是在一个很吵闹的宴会中的两人对话，你需要等一会儿，等别人说话的间歇才有机会发言。网络上的所有节点都有自己唯一的MAC（媒体访问控制）地址，他们使用该地址互相发送信息包。通常，节点只会关注目的地是自己的MAC地址的那些信息包。但是如果网卡被设置成混杂模式的话，那它就会察看它连接的线路上的所有数据包。

为了减少冲突数量、降低嗅探不属于某节点的数据的可能性，大多数网络都使用了交换机。在网络中，hub是种无源设备，它会将接收到的所有传输发送到它的所有端口。而交换机则察看它所连接的所有节点的MAC地址以及所在端口，然后把那些数据包只发给它的目标节点。交换机大大降低了网路中的冲突数量，增大了网络的吞吐量。理论上，使用交换机的网络中，每个节点只能收到广播消息（发给局域网上所有计算机的消息）以及专门发送给它的MAC地址的数据包，还有偶尔出现的不知道目标地址的数据包。但是即使在局域网中使用交换机，它还是有可能被人使用某些交换机上的镜像端口而嗅探（这些镜像端口本来是网管分析网络问题时使用的），嗅探者可以误导交换机使其将数据映射给所有端口或者使用一种称为ARP病毒的技术（后面会详细讲到）。

以上讲述的是以太网络的一些基本知识，而WiFi（801.11a/801.11b/801.11g/801.11n）则与之完全不同。无线局域网很像使用hub的以太局域网。局域网中所有计算机都能看到发送给别的计算机的数据，但通常他们可以设置成忽略这些信息。（事实上，比这复杂，但是我篇幅有限，就不详细讲那错综复杂的80.211网络了）。但如果网卡是设置成混杂模式的话，那么它就不会忽略发送给其他计算机的数据，而是会察看这些数据，允许使用嗅探器的用户看到附在同一访问点的发送给其他用户的数据。混杂模式在Windows和Linux（或者其他类似Unix的操作系统）的有线网卡上运行得很有效，但是并不是所有的无线网卡都能很好地支持该模式（比如Intel的叫做IPW2200的Centrino 802.11g芯片）。如果嗅探器的网卡不支持混杂模式，那么嗅探者就得把它附到无线网络的WAP（无线接入点）上才能看到其他数据。如果攻击者使用的是Linux（或者类似Unix的操作系统），如果网卡支持的话，它可能可以使用监听模式。在监听模式下，无线网卡直接监听无线电波中的原始信息包而无需WAP的辅助。从攻击者角度看，监听模式的好处是：由于不需要WAP，他们的活动不会留下任何痕迹，也不用在网络上发送数据包。

由于WiFi网络使用的安全协议各有不同，因此嗅探WiFi网络变得更加复杂。如果你的网卡支持混杂模式并且你能使用WEP（也就是说你知道WEP密钥）连接到无线网络，你就可以嗅探几乎所有你想要获得的信息。如果网络使用的是WPA，就没那么容易了，因为即使你知道密码，你也不一定能解码那些你没有参与的网络对话中的所有数据。但是，你却有可能进行ARP病毒攻击或者使用其它的MitM（有人参与其中）攻击，从而获得数据路由。

网管们应当注意嗅探器的很多合法用途。网管可以用它们找出网络上出问题的计算机，比如占用太多带宽，网络设置错误或者正在运行恶意软件等等。我觉得它们在找出黑客攻击方面非常有用，我可以用它们嗅探自己的服务器找出那些不正常的传输。学会用嗅探器来找出网络的问题的话，每个系统管理员都能很好地完成自己的工作，我推荐你们使用Wireshark，因为它是免费的、跨平台的并且能够找到大量的相关资料（可以从本文结尾的链接中找到更多信息）。

那些想要绕过安全措施的人也可以用嗅探器。很多流行的应用协议把登陆凭证（用户名和密码）以纯文本的形式传递或者使用加密性差的形式传送。这些不安全的协议包括FTP、Telnet、POP3、SMTP还有HTTP基本验证。这种情况下应尽量使用替代它们的SFTP，SSH（安全保护套件），以及HTTPS（SSL）。也许你很难从FTP协议切换到别的协议，因为使用像SFTP这样更安全的协议的客户端并不一定总是有。较新版本的Windows（命令行的ftp.exe以及图形用户界面形式的浏览器）都支持FTP客户端，但是你也可以下载支持SFTP的Filezilla和PSFTP的免费客户端。有些嗅探器拥有很强的提取密码的能力，比如Cain，Dsniff以及Ettercap。这三个都是免费或者开放源码的。Cain只支持Windows而Dsniff和Ettercap通常在Unix环境中运行，但也有相应的Windows版本。

ARP欺骗/ARP病毒

ARP是指地址解析协议，它允许网络将IP地址解析成MAC地址。基本上，ARP是这样工作的：当某个使用局域网IP的主机想要与另一台主机联络的时候，它需要那台主机的MAC地址。首先，它会查询自己的ARP缓存（想要查看你的ARP缓存，在命令行中输入ARP），看看是否已经知道那台主机的MAC地址，如果没有，它会发出广播ARP请求，询问谁拥有我正在找的主机的IP地址？ 如果拥有该地址的主机收到该ARP请求，它就会用自己的MAC地址响应，于是两台主机就可以使用IP进行对话了。通常，在像以太网这样使用Hub或者801.11b标准的总线网络中，所有NICs（网络接口卡）为混杂模式的主机都能收到所有的传输，但是在使用交换机的网络中却有所不同。交换机会查看发送给它的数据，并只把数据包传给它的目标MAC地址所属主机。使用交换机的网络更安全一些并且能够提高网速，因为它只把数据包发给需要去的地方。但是仍然有突破这种网络的方法。使用Arpspoof（Dsniff的部分功能），Ettercap或者Cain我们就可以欺骗局域网中的其他主机，告诉它们，我们就是它们要找的那个主机，把它们传输通过我们来转发。

即使是使用交换机的网络，攻击者也可以很容易地从恢复启动CD中使用Dsniff或者Ettercap，来进行ARP欺骗并将传输转为通过它们来进行。这些工具甚至能够自动解析出用户名和密码，这给使用者提供极大的便利。如果攻击者在网关和FTP服务器之间进行ARP欺骗，那么它就能嗅探传输并在用户试图从站点外获取数据的时候提取用户名和密码，使用SMTP和POP3也是一样。即使是用SFTP、SSL以及SSH，仍然可以用Ettercap嗅探密码，因为该工具可以代理那些类型的连接。用户可能会收到警告说，他们试图获得的服务器的公共密钥已经被修改，或者可能不合法，但是我们中有多少人只是将那些信息关闭而根本不读呢？

图1中的图片说明了ARP欺骗/ARP病毒如何工作的。基本上，攻击者跟Alan的电脑说，他就是Brain的电脑，反之亦然。这样，攻击者把Alan和Brain之间的网络传输全部接收过来了。一旦攻击者在两个节点之间进行了ARP欺骗，他就可以用任何他喜欢的工具进行嗅探（TCPDump、Wireshark、Ngrep等等）。在网关和电脑之间进行ARP欺骗的话，攻击者可以看到电脑正在发送和从网上接收的所有数据。本文中我只会讲到如何使用这些工具。



图1

使用Dsniff和Ettercap快速演示ARP欺骗

让我们从Dug Song的、支持Dsniff的ARPspoof程序开始吧。我使用的Unix版本，但是你可以找到Win32版本的。运行Dsniff最简单的方法就是从恢复启动CD启动。首先你应该确定包转发已经开启，不然我们的机器会丢弃所有我们想要嗅探的主机之间的传输，导致服务无响应。我用的一些工具会自动进行这项工作（比如Ettercap），但是保险起见，你也许会希望自己来做这件事。根据操作系统的不同，你可以使用如下的命令：

Linux：

echo 1 > /proc/sys/net/ipv4/ip_forward

BSD：

sysctl -w net.inet.ip.forwarding=1

现在你的计算机将把转发所有的传输，现在你可以开始ARP欺骗了。我们假设你想要嗅探一个主机和网关之间的所有传输，这样你就可以看到它发送到网络上的所有数据。如果想要获得双向的所有传输，你应当使用如下2个命令行：

arpspoof -t 192.168.1.1 192.168.1.2 & >/dev/null

arpspoof -t 192.168.1.2 192.168.1.1 & >/dev/null

“& >/dev/nul”部分是为了使它在终端运行起来更容易，但是为了debug，你可能想要忽略它。现在你可以使用你想要的任何套件来嗅探连接。新手的话，我推荐使用Dsniff，它支持ARPspoof来嗅探纯文本密码。用Dsniff开始嗅探，你只需退出到命令窗口并输入：

dsniff

Dsniff找到用户名和密码后，它会将它们显示在屏幕上。如果你想要查看所有其他传输，我推荐你使用TCPDump或者 Wireshark。如果想要停止ARP欺骗，输入如下命令：

killall arpspoof

这会关闭上面启动的2个Arpspoof。

另一个很棒的工具是Ettercap，它相当于ARP病毒和密码嗅探界的瑞士军刀。我通常在非互动模式中使用它，但是默认情况下它的交互界面非常友好，使用起来很方便。如果你想要使用Ettercap来进行ARP病毒，你可以使用下面示范的命令例句。如果我们的目标是网络上的所有主机，想要嗅探每个节点之间的所有传输，我们可以用下列命令：

ettercap -T -q -M ARP // //

你应当谨慎的使用上面那段命令，因为如果把一个大网络中所有的传输都通过一台很慢的计算机的话，那么这很有可能使整个网络连接瘫痪。

我们可以找个替罪羊，来看看Ip地址为192.168.1.1的主机，我们可以使用如下命令：

ettercap -T -q -M ARP /192.168.1.1/ //

如果192.168.1.1是网关，我们应该可以看到所有的输出传输。下面是这些命令行选项的功能：

-T 告诉Ettercap使用文字界面，我最喜欢这个选项，因为GUI模式太复杂了。

-q 让Ettercap安静些，换句话说就是少些冗长的文字报告。

-M 让Ettercap我们想要使用的MITM（人参与其中）方式，本例中是ARP病毒。

其他工具

我还想说很多其他的工具。首先就是Cain，这个Windows用户会觉得很好用。总之，它功能强大，操作简单。

如果你喜欢漂亮的图形界面，Cain就是你很好的选择之一。它不像Ettercap那么多选项，但是很酷也有很多Windows附加功能。

还有为了查看特定内容的专门的嗅探器。Driftnet能够分析出人们上网看到的图片。

这些也是嗅探器比如P0f，它让你被动得知网络传输的操作系统。

以上说的只是众多专门的嗅探器中的一小部分，仅仅是冰山的一角。

减轻嗅探攻击的危害

人们可以使用不少方法来缓解嗅探攻击的危害：

1.不使用像HTTp验证以及Telnet这些不安全的协议。事实上，你应当嗅探自己的网络，看看这些工具都列出了哪些能提取的密码。

2.如果你不得不使用不安全的协议，那你最好能把敏感信息加密后再传送出去。

3.察看临界工作站和服务器之间的静态ARP表。这种方法不易维持，但是可以限制arp欺骗。

4.运行ARPWatch等软件来检测你的网络物理地址，看看它是不是变成指向嗅探器的了。

5.运行Sniffdet和Sentinel来检测网卡是否出于混杂模式，是否运行了嗅探软件。

6.让从外部进入你的设备的、使用Wi-Fi的笔记本使用VPN来连接到网络。

7.锁住工作站，这样用户就无法安装嗅探软件或者像Knoppix那样从CD运行嗅探软件。

8.把员工工作站和服务器与公共终端隔离到不同的局域网中。

希望这篇文章能给你提供些许帮助。

注意：这些现象不是病毒惹的祸

注意：这些现象不是病毒惹的祸

　　你有没有中过病毒？尽管新病毒层出不穷，但是普通用户真正能够“切身体会”到的病毒却并不多，无外乎是灾难般的冲击波、振荡波，还有被好友消息迷惑的QQ尾巴病毒。当系统出现非常“典型”的病毒现象时，很有可能是遭遇了系统故障假扮的“伪病毒”！

　　区分真病毒和系统故障的方法

　　①文件型病毒会让所有程序不能打开，而系统故障通常只让部分系统功能无法使用。

　　②感染病毒后(特别是网页病毒)，“注册表编辑器”、“进程管理器”很有可能被禁用。

　　③系统突然无法启动或出现奇怪故障时，回忆一下在这之前是否对服务进行过优化，或者安装了与系统底层相关的软件(如杀毒软件、网络防火墙等)。

　　一、系统缺胳膊断腿找谁

　　故障现象:系统组件无法运行或丢失 病毒相似度:★★★★★

　　Windows的某个功能突然无法使用或者干脆丢失了，抓破头皮也只能想出病毒这一种合理的解释。实际上并非如此，比如搜索面板丢失、快速启动栏无法启动、开始菜单中没有“运行”、任务栏中没有托盘区等等，引起组件无法运行或丢失的原因通常有以下3个:①组件没有安装;②系统服务没有启动;③系统文件损坏或丢失。

　　排障实例:找回系统的“救命稻草”

　　单击“开始→帮助和支持”菜单或按F1键时，系统没有任何反应或者提示“帮助和支持错误”。无反应可能是文件丢失或系统组件没有被安装造成的，而提示错误则是由于服务没有启动造成的。

　　第一步:点击“开始→运行”，输入“helpctr -regserver”命令对帮助组件再次注册。

　　第二步:如果故障依旧存在，那么打开C:\Windows\inf目录(该目录属性为隐藏，需要在“资源管理器”中设置“显示所有文件和文件夹”方可访问)，找到pchealth.inf文件，右击选择“安装”，系统重新安装帮助组件(安装过程中系统会提示插入Windows XP安装盘)。

　　小提示

　　对于文件损坏的故障，我们还可以通过运行“SFC /Scannow”命令进行Windows文件保护验证，如果遇到系统文件被改动或者丢失的情况，系统会提示插入Windows XP安装盘，并将安装盘里相关文件拷贝到系统中。

　　第三步:运行services.msc”命令打开“服务”管理窗口，在右侧窗格找到名为“Help and Support”的服务，双击打开，在“常规”选项卡中将“启动类型”设置为“自动”，“服务状态”设置为“已启动”(Help and Support服务依赖于Remote Procedure Call (RPC)服务，请确认RPC服务已经被启用，否则设置会失败)。

　　故障黄金眼

　　打开系统组件没有反应，尝试在Google中搜索“组件名称 regsvr32”或者“组件名称 -regserver”，就能找出组件丢失后的注册命令。如果打开系统组件时提示错误，应该想想在故障发生前禁用了哪些服务(很多优化软件自作主张关掉了部分系统服务)可以在“服务管理”里查找相应的系统服务并恢复启动状态。

二、程序“迷路”了怎么办

　　故障现象:运行程序提示“找不到XXX文件” 病毒相似度:★★★★

　　常见的有2种情况，一种是在“开始→运行”中打开某个程序却提示“Windows找不到文件”，而另一种则是运行某个程序时提示“找不到xxx.dll文件”，难道是病毒把文件给删除了？谁能想到真正的原因竟然是系统中用来指向文件位置的“环境变量”丢失。

　　排障实例:无法运行Msconfig.exe

　　无法在“运行”中打开Msconfig.exe，却能通过搜索找到Msconfig.exe，这是一个比较典型的环境变量中没有包括程序执行路径而造成的故障。

　　把Msconfig.exe拷贝到环境变量Path所指定的路径，即%SystemRoot%\system32目录或者%SystemRoot%目录;或者通过Windows+Break组合热键打开系统属性，单击“高级”选项卡下的“环境变量”，双击“Path”，然后把Msconfig.exe所在目录添加为系统环境变量。

　　故障黄金眼

　　系统中的Path环境变量如果丢失，可以在环境变量设置框的“系统变量”里输入“%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem”恢复。有些软件还会在“XXX的用户变量”的“Path”里留下软件的路径，比如UltraEdit，这类软件可以通过恢复安装或者重新安装的方式修复环境变量。

　　三、赶不走的软件“尸体”

　　故障现象:奇怪的系统服务/启动后倒计时重启 病毒相似度:★★★★★

　　很多软件都需要在系统底层建立服务或者装入虚拟设备驱动，比如杀毒软件、网络防火墙、服务器软件，甚至SnagIt等截图软件。在卸载了此类软件后，有时会因为卸载程序本身的问题而导致这些服务或者虚拟设备没有被删除掉，造成了兼容性问题，而启动后倒计时重启的现象更是像极了冲击波、振荡波……解决方法是手动删除相关的服务和虚拟设备。

　　排障实例:删除已经注册的服务

　　某个软件只要系统启动后就会以管理员身份自动运行，在卸载该软件时总是提示“程序正在运行，无法进行卸载”。这是由于该程序在安装时已被注册成为系统服务，而且服务采用了无法手动终止的保护模式。

　　第一步:运行“services.msc”打开服务管理，找到程序对应的服务(大多数情况下服务名中包含软件名称或者其公司名称)，将其“启动类型”设置为“手动”或“禁止”，并停止该服务(注意:有些服务“停止”按钮是灰色不可用的，必须重启生效)，重启系统。

　　第二步:重新进入系统后，运行regedit.exe打开“注册表编辑器”，定位到[HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services]分支，这里罗列的就是当前系统服务的注册表键值了，我们将该分支下的对应的服务项删除，就可以将该服务从控制台列表中清理掉了。

排障实例:删除杀毒软件残留的虚拟设备

　　杀毒软件的使用期限快到了，卸载后换了个新的杀毒软件，但却因此不法正常启动系统了。这是由于杀毒软件卸载时虚拟设备没有清除干净，导致新的杀毒软件的虚拟设备与其抢占系统底层控制权，造成系统无法正常启动(以Windows XP/McAfee 8.0i为例)。

　　第一步:开机按住F8进入“安全模式”，在“开始→运行”输入services.msc，打开服务管理，将McAfee新增的几个系统服务的启动方式设置为“手动”，运行msconfig.exe打开“系统配置实用程序”，在“启动”选项卡中去除McAfee自启动项前的勾选，点击“确定”。

　　第二步:右击“我的电脑”选择“管理”，定位到“设备管理器”，选择菜单“查看→显示隐藏的设备”，然后在“非即插即用驱动程序”分支下根据名称删除杀毒软件留下的残骸(很多软件的系统服务、程序安装目录名称、虚拟设备名都是使用其公司名称的，比如McAfee的公司名“Network Associates”)。

　　故障黄金眼

　　如果已经安装了较新版本的杀毒软件和网络防火墙，一般是不会感染冲击波和振荡波的，出现了倒数重启的错误时，最有可能的是新安装的程序加载的系统服务或者虚拟设备出了问题，如果按照上面的方法无法删除虚拟设备，可以试试刚才下载的srvinstw.zip服务管理工具，在向导中勾选“Include device drivers”就能删除设备了。

　　四、开机时的自启动错误

　　故障现象:开机时弹出错误/打开固定文件夹 病毒相似度:★★★

　　开机时总是自动打开同一个文件夹，虽然并不影响稳定，但总感觉是木马在作怪;还有一些电脑开机时总是弹出找不到文件的错误提示，难道也是病毒干的？

　　排障实例:系统登录后自动打开system32目录

　　如果注册表自启动项目中包含了弹出文件夹所在的路径，或者包含空白值、一个英文双引号(如:"abc或abc")、“..”、“/”，都有可能导致此故障。

　　如果是Windows XP，则直接运行msconfig打开“系统配置实用程序”，在“启动”选项卡中取消开机打开文件夹的勾选，点击确定即可;Windows 2000由于没有“系统配置实用程序”，则需要下载Upiea点击下载、SREng点击下载，并借助它们的启动项管理功能去除打开文件夹的项目。除此之外，组策略中也包含自启动项目，运行gpedit.msc打开“组策略编辑器”(Windows XP Home版本不包含此功能)，展开“计算机配置→Windows设置→脚本”和“计算机配置→管理模板→系统→登陆”，分别查看启动或登录选项是否存在打开“system32”目录，如果有就将其删除。

　　故障黄金眼

　　开机时错误提示有很大一部分是杀毒软件在删除病毒或木马文件后，没有修复启动项造成的，只需手动将启动项里残留的内容删除即可解决此故障。“系统配置实用程序”

还给我！修复被病毒感染的EXE文件

　　病毒，这个谈之色变的东西如今花样越来越多。你可能并不屑一顾，因为你有强悍的杀毒软件，但有一类病毒却绝非用杀毒软件就能解决。

　　经常听到有人说中了某病毒后，即使重装系统也无济于事，因为所有可执行文件图标异常，无奈之下只能删除所有可执行文件，甚至全盘重新分区，格式化，数据损失重大。杀毒软件再厉害，也只能主观上判定文件是否感染，可杀毒操作却需要将文件删除解决，难道就没有直接进入文件内进行杀毒的方法吗？

　　一、借我一双“慧眼”

　　一款“慧眼”软件彻底解决这个问题，它通过分析可执行文件的结构来判断是否有病毒感染的嫌疑，然后强行将可疑结构清除，由于病毒特征为通用特征，所以病毒变形不会影响本软件的查杀，因此不需要更新病毒库，当然也不能保证清除后的文件与染毒前文件完全相同，幸好杀毒后的文件都可以正常运行，一些带自校验的文件则需要重新安装。

　　二、“慧眼”看程序

　　下面我们就以一个实例来看看慧眼的功效。

　　现在系统中了某病毒，所有可执行文件图标异常，为了保证慧眼不被病毒感染，其自身增加了文件校验功能，运行软件，扫描目标中使用默认的“所有介质”，文件类型选择“*.exe;*.com;*.scr;*.pif”，如果想更全面扫描系统，推荐选择“*.*”，接着点击“扫描”按钮开始文件扫描。

　　完成后会将硬盘中所有可能感染病毒的文件显示出来，注意看每个文件的性质，有前置和后置之分，这表明病毒可能感染的文件位置，看一下所有文件中哪个更多（如图1）。



图1 查看前置和后置状态

无名提示：虽然文件分为前置和后置，但事实上感染的方式只有一种，所以我们选择数量较多的方式。

　　本例中前置方式比较多，我们在主界面右上方选择“前置”，再次扫描即可清除所有病毒（如图2）。



图2 清除病毒

　　无名提示：如果大家没有中此类病毒，扫描相对正常的系统时也会出现部分文件被感染的提示。此时不要惊慌，由于采用通用特征判断，存在部分误报情况，只要不是大量的（甚至所有的）可执行文件被提示感染，就说明系统属于正常状态。

　　系统扫描以后，再次进入相关文件夹查看，文件图标已经恢复到正常状态（如图3）。



图3 恢复正常

　　三、一点技巧

　　在使用慧眼过程中，有一些技巧可以帮助大家更彻底的清除病毒。

　　1.清除病毒后立即恢复C盘或者重新安装系统，因为有些病毒不但修改了exe文件，而且还有病毒原文件，随时可能再次感染整个系统。

　　2.杀毒前最好先使用辅助工具菜单中的功能，清理开机启动项和非系统进程，避免清除病毒时出现无法读写的问题。

　　针对一些有文件校验的程序，在扫描以后就无法使用了，这需要大家重新下载程序替换，但比起将系统中所有程序替换的工作来说，这已经很有效率了。

如何解决双击打不开硬盘分区的问题

　　【IT168 有问必答】双击分区打开时，只能显示选择打开方式，而不是像以往一样直接打开硬盘。是不是中毒了呢？还是其他问题，谁帮助解决一下！

编辑解答：你很可能是中了一些U盘病毒，你可以下载U盘病毒专杀的工具查杀病毒。也可以试一试以下的手动方法：

1、如果各分区下带autorun.inf一类的隐藏文件，删除后最好重新启动电脑。

2、在文件类型中重新设置打开方式（以XP为例）

打开 我的电脑－－工具－－文件夹选项－－文件类型，找到“驱动器”或“文件夹”（具体选哪个根据你所遇问题，若属于双击打不开驱动器则选择“驱动器”，打不开文件夹则选择“文件夹”）。点下方的“高级”，在“编辑文件类型”对话框里的“新建”，操作里填写“open”（这个可随意填写，如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马，则选择“编辑”），用于执行操作的应用程序里填写explorer.exe，确定。随后返回到“编辑文件类型”窗口，选中“open”，设为默认值，确定。现在再打开分区或文件夹看下，是不是已恢复正常？

3、注册表法：

a、对于分区不能双击打开者

开始－－运行－－输入regedit，找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除，然后关闭注册表，按键盘F5刷新，双击分区再看。

b、对于文件夹不能双击打开者

开始－－运行－－输入regedit，找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的全部删除，然后关闭注册表，按键盘F5刷新，双击分区再看。

Vista系统下的恶意软件Rootkit攻防手册

Vista系统下的恶意软件Rootkit攻防手册

　　Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

　　Windows Vista自身对恶意软件的防护主要是通过驱动程序数字签名、用户访问控制(UAC)和WindowsDefender来实现的，前两者对Rootkit类恶意软件的防御尤为重要。因为Rootkit的隐藏功能实现需要加载驱动，我们就先说说Vista的驱动程序加载管理：Vista驱动程序的安装加载管理和原有的Windows版本相比有较大的改进，在Microsoft的设计中，Vista不允许加载没有经过数字签名的驱动程序，而在之前的Windows2000、XP、2003系统上，系统虽然会在安装未签名或老版本驱动程序时会有提示，但安装好之后是能够加载的。

　　出于Microsoft意料之外的是，“有数字签名的驱动程序才能被Vista所加载”这个设定对Rootkit类的防护作用并不是很大。去年的Blackhat会议上，曾有研究人员演示过在VistaX64Beta2版本上通过修改磁盘上页面文件来加载未经数字签名的驱动程序，虽然这个漏洞稍后被Microsoft补上，但已经说明通过技术手段来突破Vista的驱动加载管理并非不可能。但要突破Vista驱动加载管理的更好途径是在数字签名本身上做功夫，之前曾有安全研究人员提到，Vista驱动程序的数字签名申请的审核并不严格，只需要有合法的申请实体，并交纳少许的申请费用即可。

　　这样，通过注册或借用一个公司的名义，Rootkit作者完全可以从Microsoft拿到合法的驱动数字签名，也就是说，很有可能会出现拥有Microsoft数字签名的、“合法”的Rootkit程序。攻击者还可以使用特殊的加载程序来加载没经数字签名的程序，安全公司LinchpinLabs最近就发布了一个叫做Astiv的小工具，这个工具实现的原理就是使用经过数字签名的系统组件来加载未经数字签名的驱动程序，而且用这种方式加载的驱动程序并不会出现在正常驱动程序列表中，更增强了加载目标驱动程序的隐蔽。

　　用户访问控制(UAC)是Vista防御恶意软件的另外一个手段

　　在开启了UAC的Vista系统上，用户的权限相当于被限制了的管理员权限，如果用户程序要对系统盘及注册表等地方进行修改的话，需要用户进行交互的二次确认。如果用户拒绝或者是目标程序比较特殊(比如木马、后门等)不出现UAC提示，因为对系统目录和注册表的访问被Vista所拒绝，除了极个别不写入系统目录的之外，大部分目标程序是无法安装成功的。Rootkit程序在UAC环境中同样会因为权限问题而无法安装成功，但很多情况下，攻击者会使用社会工程学的方法来诱骗用户信任攻击者所提供的程序，并在UAC提示时选择允许操作。

　　至此可以得出一个结论，由于WindowsVista从设计开始就很重视安全性，因此对它推出之前的Rootkit等恶意软件的防御水平到达了一个新的高度，攻击者单纯靠技术手段攻击的成功率已经比在原先的Windows2000/XP/2003平台上大为下降。但我们也应该注意到，攻击者会更多的使用社会工程手段，伪造和利用各种信任关系，欺骗用户安装恶意软件。

　　如何在Vista下对Rootkit类恶意程序进行防护?用户可以参考以下几点：

　　1、保持Vista的系统补丁版本为最新。

　　2、不在不可信的来源获取软件，并在安装使用时留意系统的各种提示，尤其是有关数字签名的提示。

　　3、注意UAC的提示信息，及时拦截试图修改系统的危险操作。

　　4、使用反病毒软件并保持病毒库版本为最新，为防护恶意软件多加一层保障。

　　5、定期使用支持Vista的反Rootkit工具对系统进行扫描检查。

教你Rootkit技术的木马知识

自从“广外幽灵”开创了dll木马时代的先河以来，现在采用线程注射的dll木马和恶意程序已经随处可见了，除了普遍被采用的另行编写dll加载器程序躲在启动项里运行加载dll主体之外，“求职信”还带来了一种比较少见的通过注册表“hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls”项目加载自身dll的启动方法，而相对于以上几种早期方法，现在更有一种直接利用系统服务启动自身的木马程序，这才是真正的难缠！ “服务”是windows系统的一大核心部分，在nt架构系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是底层(接近硬件)程序。通过网络提供服务时，服务可以在active directory中发布，从而促进了以服务为中心的管理和使用。服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、web服务器、数据库服务器以及其他基于服务器的应用程序。 “服务”自身也是一种程序，由于使用的领域和作用不同，服务程序也有两种形式：exe和dll，采用dll形式的服务是因为dll能实现hook，这是一些服务必需的数据交换行为，而nt架构系统采用一个被称为“svchost.exe”的程序来执行dll的加载过程，所有服务dll都统一由这个程序根据特定分组载入内存，然而，如今越来越多病毒作者瞄上了这个系统自带的加载器，因为它永远也不能被查杀。

病毒作者将木马主体写成一个符合微软开发文档规范的服务性质dll模块文件，然后通过一段安装程序，将木马dll放入系统目录，并在服务管理器（scm）里注册自身为通过svchost.exe加载的服务dll组件之一，为了提高隐蔽性，病毒作者甚至直接替换系统里某些不太重要而默认开启的服务加载代码，如“distributed link tracking client”，其默认的启动命令是“svchost -k netsvcs”，如果有个病毒替换了启动命令为自己建立的分组“netsvsc”，即“svchost -k netsvsc”，在这种旁门左道加社会工程学的攻势下，即使是具备一般查毒经验的用户也难以在第一时间内察觉到问题出自服务项，于是病毒得以成功逃离各种查杀。

目前被发现使用此方法的木马已经出现，其中一个进程名为“ad1.exe”的广告程序就是典型例子，它通过替换“distributed link tracking client”服务的svchost启动项来躲过一般的手工查杀，同时它自身还是个病毒下载器，一旦系统感染了这个恶意程序，各种木马都有可能光临你的机器。

要清理dll木马，用户需要借助于sysinternals出品的第三方进程管理工具“process explorer”，利用它的“find handle or dll”功能，能迅速搜索到某个dll依附的进程信息并终结，让dll失去载体后就能成功删除，而dll木马的文件名为了避免和系统dll发生冲突，一般不会起得太专业，甚至有“safaf.dll”、“est.dll”这样的命名出现，或者在某些系统下根本不会出现的文件名，如“kernel.dll”、“rundll32.dll”等。除了使用“process explorer”查找并终止进程以外，还可以用icesword强行卸载某个进程里的dll模块来达到效果。

对于服务性质的dll，我们仍然使用“process explorer”进行查杀，由于它的层次结构，用户可以很直观的看到进程的启动联系，如果一台机器感染了杀不掉的顽固木马，有经验的用户做的第一件事情就是禁止掉不相关或者不重要的程序和服务在开机时运行，然后使用“process explorer”观察各个进程的情况，通过svchost.exe启动的dll木马虽然狡猾，但是它释放出exe文件运行时，一切都暴露了：一个svchost.exe服务进程执行了一个ad1.exe，还有比这更明显的吗？

svchost的分组信息位于注册表的“hkey_local_machine\software\microsoft\windows nt\currentversion\svchost”项目，这是svchost加载dll时的分组依据，如果用户发现了一个奇怪的分组信息，那就要提高警惕了。

隐藏技术发展的颠峰：Rootkit木马

随着安全技术的发展和计算机用户群的技术提高，一般的木马后门越来越难生存，于是一部分有能力的后门作者把眼光投向了系统底层——ring 0。位于ring 0层的是系统核心模块和各种驱动程序模块，所以位于这一层的木马也是以驱动的形式生存的，而不是一般的exe。后门作者把后门写成符合wdm规范（windows driver model）的驱动程序模块，把自身添加进注册表的驱动程序加载入口，便实现了“无启动项”运行。一般的进程查看器都只能枚举可执行文件exe的信息，所以通过驱动模块和执行文件结合的后门程序便得以生存下来，由于它运行在ring 0级别，拥有与系统核心同等级的权限，因此它可以更轻易的把自己隐藏起来，无论是进程信息还是文件体，甚至通讯的端口和流量也能被隐藏起来，在如此强大的隐藏技术面前，无论是任务管理器还是系统配置实用程序，甚至系统自带的注册表工具都失去了效果，这种木马，就是让人问之色变的Rootkit。

要了解Rootkit木马的原理，就必须从系统原理说起，我们知道，操作系统是由内核（kernel）和外壳（shell）两部分组成的，内核负责一切实际的工作，包括cpu任务调度、内存分配管理、设备管理、文件操作等，外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。由于内核和外壳负责的任务不同，它们的处理环境也不同，因此处理器提供了多个不同的处理环境，把它们称为运行级别（ring），ring让程序指令能访问的计算机资源依次逐级递减，目的在于保护计算机遭受意外损害——内核运行于ring 0级别，拥有最完全最底层的管理功能，而到了外壳部分，它只能拥有ring 3级别，这个级别能操作的功能极少，几乎所有指令都需要传递给内核来决定能否执行，一旦发现有可能对系统造成破坏的指令传递（例如超越指定范围的内存读写），内核便返回一个“非法越权”标志，发送这个指令的程序就有可能被终止运行，这就是大部分常见的“非法操作”的由来，这样做的目的是为了保护计算机免遭破坏，如果外壳和内核的运行级别一样，用户一个不经意的点击都有可能破坏整个系统。

由于ring的存在，除了由系统内核加载的程序以外，由外壳调用执行的一般程序都只能运行在ring 3级别，也就是说，它们的操作指令全部依赖于内核授权的功能，一般的进程查看工具和杀毒软件也不例外，由于这层机制的存在，我们能看到的进程其实是内核“看到”并通过相关接口指令（还记得api吗？）反馈到应用程序的，这样就不可避免的存在一条数据通道，虽然在一般情况下它是难以被篡改的，但是不能避免意外的发生，Rootkit正是“制造”这种意外的程序。简单的说，Rootkit实质是一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改，最常见的是修改内核枚举进程的api，让它们返回的数据始终“遗漏”Rootkit自身进程的信息，一般的进程工具自然就“看”不到Rootkit了。更高级的Rootkit还篡改更多api，这样，用户就看不到进程（进程api被拦截），看不到文件（文件读写api被拦截），看不到被打开的端口（网络组件sock api被拦截），更拦截不到相关的网络数据包（网络组件ndis api被拦截）了，我们使用的系统是在内核功能支持下运作的，如果内核变得不可信任了，依赖它运行的程序还能信任吗？

但即使是Rootkit这一类恐怖的寄生虫，它们也并非所向无敌的，要知道，既然Rootkit是利用内核和ring 0配合的欺骗，那么我们同样也能使用可以“越权”的检查程序，绕过api提供的数据，直接从内核领域里读取进程列表，因为所有进程在这里都不可能把自己隐藏，除非它已经不想运行了。也就是说，内核始终拥有最真实的进程列表和主宰权，只要能读取这个原始的进程列表，再和进程api枚举的进程列表对比，便能发现Rootkit进程，由于这类工具也“越权”了，因而对Rootkit进行查杀也就不再是难事，而Rootkit进程一旦被清除，它隐藏自身的措施也就不复存在，内核就能把它“供”出来了，用户会突然发现那个一直“找不到”的Rootkit程序文件已经老实的呆在文件管理器的视图里了。这类工具现在已经很多，例如icesword、patchfinder、gdb等。

道高一尺，魔高一丈，因为目前的主流Rootkit检测工具已经能检测出许多Rootkit木马的存在，因此一部分Rootkit作者转而研究Rootkit检测工具的运行检测算法机制，从而制作出新一代更难被检测到的木马——futo Rootkit。

国产优秀检测工具icesword在futo面前败下阵来，因为futo编写者研究的检测工具原型就是一款与之类似的black & light，所以我们只能换用另一款Rootkit检测工具darkspy，并开启“强力模式”，方可正常查杀Rootkit。

但是由于检测机制的变化，darkspy要检测到futo的存在，就必须保证自己的驱动比futo提前加载运行，这就涉及到优先级的问题，也是让业界感觉不太满意的一种方式，因为这样做的后果会导致系统运行效率下降，不到紧急关头，都不要轻易采用这种方法，然而现在的瑞星卡卡助手所推广的“破甲”技术，实现原理是与之类似的，它也会对系统造成一定影响，因而，这个介于安全和效率之间的选择，唯有留给用户自己思考了。