windows系統(tǒng)安全技術(shù)

1、.,windows系統(tǒng)安全技術(shù),哈爾濱工程大學(xué) xxx,.,提綱,Windows賬號(hào)和密碼安全 Windows安全結(jié)構(gòu) Windows文件系統(tǒng)安全 Windows注冊(cè)表的安全 Windows系統(tǒng)中查殺后門木馬技術(shù) Windows系統(tǒng)中常用安全命令 Windows安全產(chǎn)品線 Windows升級(jí)服務(wù)（WSUS） Windows安全檢查清單,.,Windows帳號(hào)與密碼,.,帳號(hào)定義,所謂用戶帳號(hào)，是計(jì)算機(jī)使用者的身份標(biāo)識(shí)。每一個(gè)使用計(jì)算機(jī)的人，必須憑借他的用戶帳號(hào)才能進(jìn)入計(jì)算機(jī)，進(jìn)而使用計(jì)算機(jī)中的資源。 默認(rèn)賬號(hào) 管理員創(chuàng)建的帳號(hào),.,默認(rèn)帳號(hào),Administor root Administra

2、tor:系統(tǒng)管理員帳號(hào)、具有最高權(quán)限。在域中和計(jì)算機(jī)中具有不受限制的權(quán)利，可以管理本地或域中的任何計(jì)算機(jī)，如創(chuàng)建帳號(hào)、創(chuàng)建組、實(shí)施安全策略等。 從不被鎖定 選裝passprop.exe 不能刪除，可重命名 誘騙 Honey Pot 采用另外的管理員帳號(hào) Guest 默認(rèn)被禁用 不能刪除，可重命名,.,默認(rèn)帳號(hào),其他帳號(hào) 如用戶帳號(hào)，特定服務(wù)，應(yīng)用程序 由Administrator創(chuàng)建 一般可被禁用或刪除 如果要用IIS(Internet Information Server)建設(shè)各類站點(diǎn)，則以下兩個(gè)帳號(hào)不能停用： IUSERcomputername IIS匿名訪問(wèn)賬號(hào) IWAMcomputer

3、name IIS匿名執(zhí)行腳本的賬號(hào) 這兩個(gè)賬號(hào)默認(rèn)有密碼，是由系統(tǒng)分配的，用戶不要更改其密碼，更不要?jiǎng)h除，否則IIS不能匿名訪問(wèn)和執(zhí)行腳本,.,組,所謂組，是一組相關(guān)賬號(hào)的集合。可以按照不同用戶的操作需求和資源訪問(wèn)需求來(lái)創(chuàng)建不同的組，實(shí)現(xiàn)對(duì)用戶的統(tǒng)一配置和管理。使用組的目的：簡(jiǎn)化對(duì)網(wǎng)絡(luò)的管理，通過(guò)組可以一次性地為一批用戶授權(quán)。組是強(qiáng)有力的管理工具之一，使用組可以減少需要直接管理的對(duì)象數(shù)量，從而簡(jiǎn)化了網(wǎng)絡(luò)維護(hù)與管理。,.,常用內(nèi)置組,Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問(wèn)權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完

4、全控制。所以，只有受信任的人員才可成為該組的成員。 Power Users，高級(jí)用戶組，Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于Administrators的。,.,常用內(nèi)置組(cons.),Users:普通用戶組。分配給該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users 組提供了一個(gè)最安全的

5、程序運(yùn)行環(huán)境。在經(jīng)過(guò) NTFS 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。 Guests:來(lái)賓組，按默認(rèn)值，來(lái)賓跟普通Users的成員有同等訪問(wèn)權(quán)，但來(lái)賓帳號(hào)的限制更多。 Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組,.,添加/刪除帳號(hào),Win2000/XP下 管理工具計(jì)算機(jī)管理本地用戶和組 命令行方式 net user 用戶名密碼/add /delete 將用戶加入到組 ne

6、t localgroup 組名用戶名/add /delete,.,密碼復(fù)雜性要求,強(qiáng)壯密碼的組成 大寫(xiě)字母 小寫(xiě)字母 數(shù)字 非字母、數(shù)字的字符 密碼長(zhǎng)度：不小于8字節(jié)長(zhǎng),.,強(qiáng)壯密碼應(yīng)符合的規(guī)則,個(gè)人名字或呢稱,電話號(hào)碼、生日等敏感信息,輸入8字符以上密碼,記錄于紙上或放置于辦公處,使用重復(fù)的字符,.,密碼存放位置,注冊(cè)表HKEY_LOCAL_MACHINESAM Winnt/system32/config/sam,.,Win XP 本地安全設(shè)置,在“開(kāi)始”“運(yùn)行”窗口中輸入“secpol.msc”并回車就可以打開(kāi)“本地安全設(shè)置窗口”?；蛘咄ㄟ^(guò)“控制面板”“管理工具”“本地安全策略”來(lái)打開(kāi)這個(gè)

7、設(shè)置界面。 在“本地安全設(shè)置”窗口的左側(cè)展開(kāi)“賬戶策略”“密碼策略”，在右邊窗格中就會(huì)出現(xiàn)一系列的密碼設(shè)置項(xiàng)進(jìn)行設(shè)置： 密碼復(fù)雜性要求 啟用密碼長(zhǎng)度最小值 6位強(qiáng)制密碼歷史 5 次強(qiáng)制密碼歷史 42 天,.,.,開(kāi)啟帳號(hào)鎖定策略,復(fù)位帳號(hào)鎖定計(jì)數(shù)器 20分鐘帳號(hào)鎖定時(shí)間 20分鐘帳號(hào)鎖定閾值 3次,.,打開(kāi)審核策略,開(kāi)啟安全審核是win2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式（如嘗試用戶密碼,改變帳號(hào)策略，未經(jīng)許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來(lái)。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。 審核系統(tǒng)登陸事件 成功，失敗審核帳號(hào)管理 成功

8、，失敗審核登陸事件 成功，失敗審核對(duì)象訪問(wèn) 成功審核策略更改 成功，失敗審核特權(quán)使用 成功，失敗審核系統(tǒng)事件 成功，失敗,.,確保可信的登陸界面,將您的計(jì)算機(jī)設(shè)置成登錄Windows之前必須按“CtrlAltDelete”組合鍵，是為了保護(hù)計(jì)算機(jī)免受某些特洛伊木馬的攻擊。一些特洛伊木馬程序可以模仿Windows登錄界面，欺騙用戶輸入用戶名和密碼。使用“CtrlAltDelete”組合鍵可以確保您看到的是真實(shí)可信的Windows登錄界面。為了使連接到域中計(jì)算機(jī)的這一設(shè)置有效，您需要使用管理員身份登錄，在控制面板中打開(kāi)“用戶賬戶”圖標(biāo)，選擇“高級(jí)”選項(xiàng)卡，在“安全登錄”項(xiàng)目中，選中“要求用戶按Ct

9、rlAltDelete”復(fù)選框，然后點(diǎn)擊“確定”按鈕。,.,組合鍵鎖定計(jì)算機(jī),在離開(kāi)辦公桌的時(shí)候，為確保計(jì)算機(jī)的安全，需要鎖定您的計(jì)算機(jī)，這樣只有輸入密碼才能夠再次使用。 如果您的計(jì)算機(jī)已經(jīng)登錄到域中，只需按下“CtrlAltDelete”組合鍵，然后點(diǎn)擊“鎖定計(jì)算機(jī)”按鈕即可。 當(dāng)您返回后，再次按下“CtrlAltDelete”組合鍵，輸入密碼即可。,.,給“休眠”和“待機(jī)”加個(gè)密碼,只有“屏幕保護(hù)”有密碼是遠(yuǎn)遠(yuǎn)不夠安全的，我們還要給“休眠”和“待機(jī)”加上密碼，這樣才會(huì)更安全。讓我們來(lái)給“休眠”和“待機(jī)”加上密碼吧。在“組策略”窗口中展開(kāi)“用戶配置管理模板系統(tǒng)電源管理”，在右邊的窗格中雙擊“

10、從休眠/掛起恢復(fù)時(shí)提示輸入密碼”，將其設(shè)置為“已啟用” ，那么當(dāng)我們從“待機(jī)”或“休眠”狀態(tài)返回時(shí)將會(huì)要求你輸入用戶密碼。,.,把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”,“everyone” 在win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成”everyone”組。 包括打印共享，默認(rèn)的屬性就是”everyone”組的。,.,客戶端安全調(diào)置,拔號(hào)上網(wǎng)安全性 設(shè)置復(fù)雜密碼 關(guān)閉所有不必要的共享 禁止Netbios over TCP/IP協(xié)議,.,客戶端安全設(shè)置,沖浪上網(wǎng)安全性 下載軟件的注意事項(xiàng) Cookie的安全性 A

11、ctiveX控件和Java Applet,.,網(wǎng)絡(luò)安全設(shè)置,WindowsXP自帶ICF功能,.,檢查異常進(jìn)程,netstat an 和net session 利用任務(wù)管理器結(jié)束異常任務(wù)和進(jìn)程 Ctrl+Alt+Del鍵 右鍵點(diǎn)擊任務(wù)欄空白處，選任務(wù)管理器 利用個(gè)人防火墻或防病毒軟件定期掃描 如：天網(wǎng)個(gè)人防火墻,.,客戶端安全設(shè)置,設(shè)置防病軟件的自動(dòng)升級(jí)功能 設(shè)置Windows自動(dòng)下載更新功能 系統(tǒng)設(shè)置 http:/ 時(shí)常關(guān)注相關(guān)的安全公告 http:/ http:/ http:/ http:/,.,安全威脅,來(lái)自外部的威脅 口令破解（字典、暴力）

12、 病毒攻擊 非法服務(wù) 拒絕服務(wù),.,安全威脅,來(lái)自內(nèi)部的威脅 物理安全 誤用和濫用 不當(dāng)?shù)慕尤敕绞?數(shù)據(jù)監(jiān)聽(tīng)(Sniffer) 劫持攻擊,.,Windows文件系統(tǒng)安全,.,NTFS與FAT32,NTFS 文件系統(tǒng)是推薦的文件系統(tǒng)，因?yàn)樗诳煽啃院桶踩苑矫婢哂袃?yōu)勢(shì)，還因?yàn)樗谴笕萘框?qū)動(dòng)器必需的。FAT 和 FAT32 文件系統(tǒng)彼此相似，除了 FAT32 比 FAT 適于更大的硬盤(pán)。NTFS 一直是比 FAT 或 FAT32 更強(qiáng)大的文件系統(tǒng)。 在ghost2000之前的版本是看不到NTFS分區(qū)的；掛主從硬盤(pán)時(shí)也看不到從盤(pán)的NTFS分區(qū)。 NTFS可以支持的分區(qū)大小可以達(dá)到2TB（2048GB

13、）,而FAT32支持分區(qū)的大小最大為32GB。,.,NTFS的優(yōu)勢(shì),權(quán)限：可對(duì)單個(gè)文件設(shè)置而不僅僅是對(duì)文件夾設(shè)置。 文件加密：大大增強(qiáng)了安全性。 Active Directory：可用來(lái)方便地查看和控制網(wǎng)絡(luò)資源。 域：它是Active Directory的一部分，可用于在簡(jiǎn)化管理任務(wù)的同時(shí)微調(diào)安全選項(xiàng)。域控制器必須NTFS。 磁盤(pán)活動(dòng)的故障恢復(fù)日志：在發(fā)生斷電或其他系統(tǒng)問(wèn)題時(shí)，幫助您快速地還原信息。NTFS可以自動(dòng)地修復(fù)磁盤(pán)錯(cuò)誤而不會(huì)顯示出錯(cuò)信息。 硬盤(pán)配額：可用于監(jiān)視和控制單個(gè)用戶使用的磁盤(pán)空間大小。,.,磁盤(pán)分區(qū),因?yàn)椴僮飨到y(tǒng)目錄的權(quán)限是非常嚴(yán)格的，把Windows NT放置自己?jiǎn)为?dú)的分區(qū)

14、內(nèi)是個(gè)明智的選擇。 通常分為3個(gè)區(qū) 系統(tǒng) 程序 數(shù)據(jù) 盡管這種分區(qū)需要額外地策劃，但它還是很有吸引力，特別是簡(jiǎn)化了對(duì)于目錄權(quán)限的管理。目錄可以根據(jù)需要分開(kāi)。如果 你在運(yùn)行一個(gè)設(shè)備如WEB服務(wù)器，你可能會(huì)考慮使用HTML，圖像和其它一些靜態(tài)文件在一個(gè)分區(qū)上，而你的腳本文件則放到另一個(gè)分區(qū)上。你可以將腳本設(shè)置成只可以執(zhí)行那些靜態(tài)文件可允許讀取。這種策略的結(jié)果就是易于管理文件和目錄的權(quán)限。,.,如何選擇分區(qū)格式,如果在WindowsXP中使用大于32GB的分區(qū)，唯一可以選擇的是NTFS格式。 如果計(jì)算機(jī)不考慮安全性問(wèn)題，更注重與Win9X的兼容性，那么FAT32格式是最好的選擇。 如果注重計(jì)算機(jī)系統(tǒng)

15、的安全性的話，建議用戶采用NTFS格式。 如果要使用多個(gè)操作系統(tǒng)，需要安裝Win9X或其它操作系統(tǒng)，建議用戶做成多啟動(dòng)系統(tǒng)，一個(gè)分區(qū)采用FAT32格式，另外的分區(qū)采用NTFS格式，并且將WindowdsXP安裝在NTFS格式分區(qū)下，其它操作系統(tǒng)安裝在FAT32格式下。,.,安裝windows注意事項(xiàng),使用可靠安裝盤(pán) 將系統(tǒng)安裝在NTFS分區(qū)上 系統(tǒng)和數(shù)據(jù)要分開(kāi)存放在不同的磁盤(pán) 最少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，因?yàn)槲④浀腎IS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。 最小化安裝服務(wù) 只安裝必需的協(xié)議,.,

16、安裝windows注意事項(xiàng)(cons.),設(shè)置BIOS密碼 改變安裝的默認(rèn)路徑 安裝最新的補(bǔ)丁程序 安裝必要的防病毒軟件 安裝合適的防火墻軟件 Ghost備份安裝的系統(tǒng),.,安裝windows注意事項(xiàng)(cons.),建立和選擇分區(qū) 選擇安裝目錄 不安裝多余的組件 停止多余的服務(wù) 安裝系統(tǒng)補(bǔ)丁,.,改變?nèi)笔“惭b目錄,在2000的安裝過(guò)程中通常使用缺省目錄C:WINNT。 很多黑客工具將這個(gè)目錄用到他們的程序代碼中。 在安裝過(guò)程中選擇其他目錄作為安裝目錄通?？梢允勾罅亢诳凸ぞ呤?。,.,Windows 2k安全結(jié)構(gòu),.,Windows 2k 的安全包括 6 個(gè)主要的安全元素：,Audit, Adm

17、inistration, Encryption, Access Control, User Authentication, Corporate Security Policy,.,Windows 2k 安全組件：,靈活的訪問(wèn)控制：允許對(duì)象的屬主能夠完全控制，誰(shuí)可以訪問(wèn)這個(gè)對(duì)象以及什么樣的訪問(wèn)權(quán)限。 對(duì)象再利用：Windows 2k明確地阻止所有應(yīng)用程序不可以訪問(wèn)被另一應(yīng)用程序所占用資源內(nèi)的信息（比如內(nèi)存和磁盤(pán)）。 強(qiáng)制登錄：與Windows 2k在用戶能訪問(wèn)任何資源前必須通過(guò)登錄來(lái)驗(yàn)證他們的身份。 審計(jì)：Windows 2k采用單獨(dú)的機(jī)制來(lái)控制對(duì)任何資源的訪問(wèn)，所以這種機(jī)制可以集中地記錄下所有

18、的訪問(wèn)活動(dòng)。 控制對(duì)象的訪問(wèn)：Windows 2k不允許直接訪問(wèn)系統(tǒng)里的資源，這種不許直接訪問(wèn)是訪問(wèn)控制的關(guān)鍵。在允許訪問(wèn)之前，用戶或應(yīng)用程序的權(quán)限首先被驗(yàn)證。,.,Windows 2k的對(duì)象,為實(shí)現(xiàn)其安全特色，Windows 2K把所有的資源都處理成特殊的對(duì)象。（包括資源本身、機(jī)制和需要訪問(wèn)的程序）把所有封裝成對(duì)象并建立單獨(dú)的機(jī)制來(lái)使用它們，微軟創(chuàng)建單獨(dú)的方法來(lái)對(duì)那些對(duì)象實(shí)行訪問(wèn)控制。基于這種方法，Windows 2K被稱為基于對(duì)象的操作系統(tǒng)。,.,Windows 2K對(duì)象類別,文件 目錄 打印機(jī) 輸入輸出設(shè)備 窗口 線程 進(jìn)程 內(nèi)存,.,Windows NT安全子系統(tǒng)的組件,Securit

19、y identifiers ，安全標(biāo)識(shí)符 Access tokens ，訪問(wèn)令牌 Security descriptors ，安全描述符 Access control lists ，訪問(wèn)控制列表 Access Control Entries，訪問(wèn)控制條目,.,安全標(biāo)識(shí)符（ Security Identifiers ） :,即我們經(jīng)常說(shuō)的 SID ，每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一 SID ，當(dāng)你重新安裝 Windows NT 后，也會(huì)得到一個(gè)唯一的 SID 。 SID 永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的 CPU 耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定

20、以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500,.,訪問(wèn)令牌（ Access tokens ） :,用戶通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給 Windows NT ，然后 Windows NT 檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象， Windows NT 將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。 訪問(wèn)令牌是用戶在通過(guò)驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問(wèn)令牌。,.,安全描述符（ Sec

21、urity descriptors ）：,Windows NT 中的任何對(duì)象的屬性都有安全描述符這部分。它保存對(duì)象的安全配置。,.,訪問(wèn)控制列表（ ACL ）,訪問(wèn)控制列表有兩種：任意訪問(wèn)控制列表（ Discretionary ACL ）、系統(tǒng)訪問(wèn)控制列表（ System ACL ）。任意訪問(wèn)控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個(gè)用戶或組在任意訪問(wèn)控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪問(wèn)的時(shí)間。,.,訪問(wèn)控制條目（ACE）,每個(gè)ACE包含用戶或組的SID及對(duì)象所持有的權(quán)限。對(duì)象分配的每個(gè)權(quán)限都有一個(gè)ACE。ACE有兩種類型，允許訪問(wèn)

22、或拒絕訪問(wèn)。在ACL里，拒絕訪問(wèn)ACE優(yōu)于允許訪問(wèn)ACE。,.,Windows 2K安全機(jī)制,1賬號(hào)安全 在一個(gè)網(wǎng)絡(luò)中，用戶和計(jì)算機(jī)都是網(wǎng)絡(luò)的主體，兩者缺一不可。擁有計(jì)算機(jī)賬戶是計(jì)算機(jī)接入Windows 2K網(wǎng)絡(luò)的基礎(chǔ)，擁有用戶賬戶是用戶登錄到網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源的基礎(chǔ)。用戶管理是Windows 2K管理中必要且最經(jīng)常的工作。 計(jì)算機(jī)賬戶 每個(gè)加入域的Windows 2K計(jì)算機(jī)都具有計(jì)算機(jī)賬戶，否則無(wú)法進(jìn)行連接，實(shí)現(xiàn)域資源的訪問(wèn)。與用戶賬戶類似，計(jì)算機(jī)賬戶也提供驗(yàn)證和審核計(jì)算機(jī)登錄到網(wǎng)絡(luò)及訪問(wèn)資源的方法。不過(guò)，一個(gè)計(jì)算機(jī)系統(tǒng)要加入到域中，只能使用一個(gè)計(jì)算機(jī)賬戶，而一個(gè)用戶可以使用多個(gè)用戶賬戶，并

23、且可以在不同的計(jì)算機(jī)上使用自己的用戶進(jìn)行登錄。,.,2文件系統(tǒng)安全NTFS NTFS文件系統(tǒng)只能由Windows NT/2000（或更高）提供 ，它使用關(guān)系型數(shù)據(jù)庫(kù)、事務(wù)處理以及對(duì)象技術(shù)，以提供數(shù)據(jù)安全以及文件可靠性的特征。它還支持文件恢復(fù)技術(shù)、大型存儲(chǔ)介質(zhì)、POSIX子系統(tǒng)以及面向?qū)ο蟮膽?yīng)用程序。NTFS的新特性包括對(duì)分層存儲(chǔ)管理的支持，這是通過(guò)重新解析點(diǎn)、磁盤(pán)配額、加密、稀疏文件、分布式連接跟蹤、分布式文件系統(tǒng)、NTFS目錄連接、卷裝配點(diǎn)、索引服務(wù)和更改日志來(lái)實(shí)現(xiàn)的。,.,3Kerberos v5認(rèn)證 Kerberos為分布式環(huán)境提供一種對(duì)用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法。它是一種安全的雙向身份

24、認(rèn)證技術(shù)，特別強(qiáng)調(diào)了客戶機(jī)隊(duì)服務(wù)器的認(rèn)證。,.,4NTLM認(rèn)證 Windows 2k中仍然保留NTLM（NT LanMan）認(rèn)證，以便向后兼容。Windows 2k已經(jīng)支持全新的NTLM2。,.,5Active Directory 活動(dòng)目錄把域劃分為不同的組織單元，這意味著網(wǎng)絡(luò)在目錄樹(shù)中具有部門的名稱。域的樹(shù)顯示多個(gè)對(duì)象劃分后的結(jié)果，每一部分都有自己的安全性、委托關(guān)系和用戶許可證等。還可以通過(guò)活動(dòng)目錄指定局部管理員,.,windows注冊(cè)表,.,注冊(cè)表重要性,注冊(cè)表是Windows的數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)存儲(chǔ)了計(jì)算機(jī)軟硬件的各種配置數(shù)據(jù)。因此我們優(yōu)化注冊(cè)表可以把計(jì)算機(jī)調(diào)整到最佳的狀態(tài)。 中樞神經(jīng)！

25、 黑客入侵手段多數(shù)都是借助或篡改注冊(cè)表而進(jìn)行的。,.,注冊(cè)表由來(lái),PC機(jī)及其操作系統(tǒng)的一個(gè)特點(diǎn)就是允許用戶按照自己的要求對(duì)計(jì)算機(jī)系統(tǒng)的硬件和軟件進(jìn)行各種各樣的配置。早期的windows操作系統(tǒng)，如Win3.x中，對(duì)軟硬件工作環(huán)境的配置是通過(guò)對(duì)擴(kuò)展名為.ini的文件進(jìn)行修改來(lái)完成的，但I(xiàn)NI文件管理起來(lái)很不方便，因?yàn)槊糠N設(shè)備或應(yīng)用程序都得有自己的INI文件，并且在網(wǎng)絡(luò)上難以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。 Autoexec.bat Config.ini.,.,注冊(cè)表由來(lái),為了克服上述這些問(wèn)題，在Windows 95及其后繼版本中，采用了一種叫做“注冊(cè)表”的數(shù)據(jù)庫(kù)來(lái)統(tǒng)一進(jìn)行管理，將各種信息資源集中起來(lái)并存儲(chǔ)各種配置

26、信息。按照這一原則，Windows各版本中都采用了將應(yīng)用程序和計(jì)算機(jī)系統(tǒng)全部配置信息容納在一起的注冊(cè)表，用來(lái)管理應(yīng)用程序和文件的關(guān)聯(lián)、硬件設(shè)備說(shuō)明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)等。,.,與INI文件不同的是：,1.注冊(cè)表采用了二進(jìn)制形式登錄數(shù)據(jù)；2.注冊(cè)表支持子鍵，各級(jí)子關(guān)鍵字都有自己的“鍵值”；3.注冊(cè)表中的鍵值項(xiàng)可以包含可執(zhí)行代碼，而不是簡(jiǎn)單的字串；4.在同一臺(tái)計(jì)算機(jī)上，注冊(cè)表可以存儲(chǔ)多個(gè)用戶的特性。,.,注冊(cè)表的特點(diǎn)有：,1.注冊(cè)表允許對(duì)硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動(dòng)程序進(jìn)行跟蹤配置，這使得修改某些設(shè)置后不用重新啟動(dòng)成為可能。2.注冊(cè)表中登錄的硬件部分?jǐn)?shù)據(jù)可以支持高版本W(wǎng)indow

27、s的即插即用特性。當(dāng)Windows檢測(cè)到機(jī)器上的新設(shè)備時(shí)，就把有關(guān)數(shù)據(jù)保存到注冊(cè)表中，另外，還可以避免新設(shè)備與原有設(shè)備之間的資源沖突。3.管理人員和用戶通過(guò)注冊(cè)表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，使得遠(yuǎn)程管理得以實(shí)現(xiàn)。,.,打開(kāi)cmd,.,.,五個(gè)主關(guān)鍵字,(1)HKEY_CLASSES_ROOT:基層類別鍵，定義了系統(tǒng)中所有已經(jīng)注冊(cè)的文件擴(kuò)展名、文件類型、文件圖標(biāo)等。(2)HKEY_CURRENT_USER:定義了當(dāng)前用戶的所有權(quán)限，實(shí)際上就是HKEY_USERS.Default下面的一部分內(nèi)容，包含了當(dāng)前用戶的登錄信息。(3)HKEY_LOCAL_MACHINE:定義了本地計(jì)算機(jī)(相對(duì)網(wǎng)絡(luò)

28、環(huán)境而言)的軟硬件的全部信息。當(dāng)系統(tǒng)的配置和設(shè)置發(fā)生變化時(shí)，其下面的登錄項(xiàng)也會(huì)隨之改變。(4)HKEY_USERS:定義了所有的用戶信息，其中部分分支將映射到HKEY_CURRENT_USER關(guān)鍵字中，它的大部分設(shè)置都可以通過(guò)控制面板來(lái)修改。(5)HKEY_CURRENT_CONFIG:定義了計(jì)算機(jī)的當(dāng)前配置情況，如顯示器、打印機(jī)等可選外部設(shè)備及其設(shè)置信息等。它實(shí)際上也是指向HKEY_LOCAL_MACHINEConfig結(jié)構(gòu)中的某個(gè)分支的指針。,.,修改注冊(cè)表的基本方法,主鍵及其默認(rèn)鍵值的聲明格式為：根鍵一級(jí)主鍵二級(jí)主鍵.=默認(rèn)鍵值例如，欲在根鍵HKEY_CLASSES_ROOT的“”主鍵下

29、添加一個(gè)“壓縮”主鍵，以便通過(guò)上下文菜單直接壓縮選定的文件，其主鍵的聲明如下：HKEY_CLASSES_ROOTshell壓縮 (U)command = C:dosarj.exe a Temp1 其中，“shell”和“command”都是固定的，不能更改和替換，“shell”指明將要為上下文菜單中添加命令， “command”指明具體的命令行信息。另外還要注意，在等號(hào)右邊的鍵值字符串中， 如果要指明文件的路徑，其中的“”字符要使用“代替，等號(hào)的前后還要添加一個(gè)起分隔作用的空格。,.,一些常見(jiàn)的注冊(cè)表操作,禁止顯示IE的地址欄HKEY_CLASSES_ROOTCLSIDInProcServer

30、32在右邊的窗口中修改字符串“默認(rèn)”的值為“rem C:WINDOWSSYSTEMBROWSEUI.DLL” 禁止使用IE“internet選項(xiàng)”中的高級(jí)項(xiàng) 。HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControl Panel下在右邊的窗口中新建一個(gè)DWORD值“AdvancedTab”，并設(shè)值為“1”。 局域網(wǎng)自動(dòng)斷開(kāi)的時(shí)間HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下在右邊的窗口中新建一個(gè)DWORD值“Autodisc

31、onnect”，并設(shè)值為你想要設(shè)置的分鐘數(shù)。,.,為同一部電腦設(shè)置2個(gè)IP地址 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesClassNetTrans下點(diǎn)擊0000、0001，0002.留意右邊的窗口，當(dāng)你發(fā)現(xiàn)右邊窗口中的字符串DriverDesc的值為TCP/IP，修改同一窗口中的字符串IPAddress和IPMask，把IPAddress設(shè)為IP地址，如，，把IPMask設(shè)為對(duì)應(yīng)的掩碼，如， 隱藏上機(jī)用戶登錄的名字HKEY_LOCAL_MACHINE

32、SoftwareMicrosoftWindowsCurrentVersionWinlogon下在右邊的窗口中新建字符串“DontDisplayLastUserName”，設(shè)值為“1”。 禁止查找用戶HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerFindExtensionsStaticWabFind 下，刪除主鍵“WabFind”。,.,鎖定桌面 HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer，建立DWORD

33、值“NoDesktop”，將其值修改為“1”即可。 篡改ie的默認(rèn)頁(yè) hkey_local_machinesoftwaremicrosoftinternet explorermaindefault_page_url“default_page_url”這個(gè)子鍵的鍵值即起始頁(yè)的默認(rèn)頁(yè)。 修改ie瀏覽器缺省主頁(yè)，并且鎖定設(shè)置項(xiàng)，禁止用戶更改回來(lái) hkey_current_usersoftwarepoliciesmicrosoftinternet explorercontrol panelsettings=dword:1hkey_current_usersoftwarepoliciesmicrosof

34、tinternet explorercontrol panellinks=dword:1hkey_current_usersoftwarepoliciesmicrosoftinternet explorercontrol panelsecaddsites=dword:1,.,“黑客”利用注冊(cè)表主要包括：,A：突破部分網(wǎng)管軟件限制B：共享特定硬盤(pán)分區(qū)并運(yùn)行指定程序C：?jiǎn)?dòng)黑客程序等三方面，而其中又屬B、C兩方面危害較大。,.,查殺病毒與特洛伊木馬技術(shù),.,病毒的定義：,1988年Morris病毒的出現(xiàn) Fred Cohen定義： 計(jì)算機(jī)病毒是一種程序，他用修改其它程序的方法將自身的精確拷貝或者可

35、能演化的拷貝發(fā)入其它程序，從而感染其它程序 病毒不是利用操作系統(tǒng)運(yùn)行的錯(cuò)誤和缺陷的程序，病毒是正常的用戶程序。,.,國(guó)內(nèi)的定義,定義：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 出處中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,.,病毒造成的嚴(yán)重安全事件,紅色代碼 2001年6月18日，微軟發(fā)布安全公告：Microsoft IIS .IDA / .IDQ ISAPI擴(kuò)展遠(yuǎn)程緩沖區(qū)溢出漏洞。 一個(gè)月后，利用此安全漏洞的蠕蟲(chóng)“紅色代碼” 一夜之間攻擊了國(guó)外36萬(wàn)臺(tái)電腦，2001年8月6日， “紅色代碼”開(kāi)始在國(guó)內(nèi)發(fā)作，造成很多

36、運(yùn)營(yíng)商和企事業(yè)單位網(wǎng)絡(luò)癱瘓。給全球造成了高達(dá)26億美元的損失。 SQL slammer 2002年月24日，微軟發(fā)布安全公告：Microsoft SQL Server 2000 Resolution服務(wù)遠(yuǎn)程棧緩沖區(qū)溢出漏洞。 到2003年月25日，足足6個(gè)月后，利用此安全漏洞的蠕蟲(chóng)“SQL Slammer”現(xiàn)身互聯(lián)網(wǎng)，幾天之內(nèi)給全球造成了12億美元的損失。 W32.Blaster.Worm（2003年8月11日）,.,病毒的消除與預(yù)防,常用病毒防范措施： （1）不用盜版軟件和來(lái)歷不明的磁盤(pán)。將外來(lái)盤(pán)拷入計(jì)算機(jī)之前，一定要用多種殺毒軟件交叉檢查清殺。 （2）經(jīng)常對(duì)系統(tǒng)和重要的數(shù)據(jù)進(jìn)行備份。 （3

37、）對(duì)重要內(nèi)容的軟盤(pán)要及時(shí)貼上寫(xiě)保護(hù)條。 （4）經(jīng)常用殺毒軟件對(duì)系統(tǒng)(硬盤(pán)和軟盤(pán))進(jìn)行病毒檢測(cè)和清殺。 （5）保存一份硬盤(pán)的主引導(dǎo)記錄檔案。 （6）一旦發(fā)現(xiàn)被病毒感染，用戶應(yīng)及時(shí)采取措施，保護(hù)好數(shù)據(jù)，利用殺毒軟件對(duì)系統(tǒng)進(jìn)行查毒消毒處理。及時(shí)根除毒源，以免擴(kuò)散造成更大的損失。,.,安裝高效的防病毒軟件,靜態(tài)查殺病毒只是一種被動(dòng)的方式，為保險(xiǎn)起見(jiàn)，最好能在機(jī)器內(nèi)安裝一種能實(shí)時(shí)防殺病毒的軟件，起到“防火墻”的作用。 定期更新病毒庫(kù)是關(guān)鍵,.,要加強(qiáng)數(shù)據(jù)的備份意識(shí),對(duì)于重要的系統(tǒng)信息、重要的用戶數(shù)據(jù)、重要的系統(tǒng)參數(shù)等都要經(jīng)常進(jìn)行備份。 要準(zhǔn)備好絕對(duì)無(wú)毒的系統(tǒng)軟盤(pán)，這樣一旦被病毒感染，就能夠利用系統(tǒng)盤(pán)對(duì)硬

38、盤(pán)進(jìn)行快速恢復(fù)。,.,特洛伊木馬由來(lái),Trojan Horse 希臘荷馬史詩(shī)中的木馬屠城記 古希臘大軍圍攻特洛伊城，久久無(wú)法攻下。于是有人獻(xiàn)計(jì)制造一只高兩丈的大木馬，讓士兵藏匿于巨大的木馬中，假裝撤退。城中得知解圍的消息后，將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。午夜時(shí)分，匿于木馬中的將士悄悄殺出，開(kāi)啟城門及四處縱火，里應(yīng)外合，焚屠特洛伊城。黑客程序借用其名，真有“一經(jīng)潛入，后患無(wú)窮”之意。,.,特洛伊木馬,木馬不同于病毒，但經(jīng)常被視作病毒處理，隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽(tīng)；木馬的實(shí)質(zhì)只是一個(gè)通過(guò)端口進(jìn)行通信的網(wǎng)絡(luò)客戶/服務(wù)程序 特洛伊木馬的種類 遠(yuǎn)程控制型 輸出shell型

39、 信息竊取型 其它類型,.,木馬原理,木馬是如何進(jìn)入城中的（種植 ），是如何隱藏的，又是如何殺出的（運(yùn)行）。 1 種植 軟件下載 瀏覽網(wǎng)頁(yè) 打開(kāi)郵件或別人發(fā)來(lái)的文件 二合一捆綁 文件捆綁器有廣外文件捆綁器2002、萬(wàn)能文件捆綁器、exeBinder、Exe Bundle等。,.,2 隱藏,1 開(kāi)機(jī)自動(dòng)運(yùn)行；改寫(xiě)了win.ini，注冊(cè)表的啟動(dòng)項(xiàng)，system.ini等 A Win.ini 木馬要想達(dá)到控制或者監(jiān)視計(jì)算機(jī)的目的，必須要運(yùn)行，然而沒(méi)有人會(huì)傻到自己在自己的計(jì)算機(jī)中運(yùn)行這個(gè)該死的木馬。當(dāng)然，木馬也早有心理準(zhǔn)備，知道人類是高智商的動(dòng)物，不會(huì)幫助它工作的，因此它必須找一個(gè)既安全又能在系統(tǒng)啟動(dòng)

40、時(shí)自動(dòng)運(yùn)行的地方，于是潛伏在Win.ini中是木馬感覺(jué)比較愜意的地方。大家不妨打開(kāi)Win.ini來(lái)看看，在它的windows字段中有啟動(dòng)命令“l(fā)oad=”和“run=”，在一般情況下“=”后面是空白的，如果有后跟程序，比方說(shuō)是這個(gè)樣子:run=c:windowsfile.exe load=c:windowsfile.exe這時(shí)你就要小心了，這個(gè)file.exe很可能是木馬哦。,.,B注冊(cè)表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值; HKEY_CURRENT_USERSoftwareMicros

41、oftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值; HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值。,.,C Windows安裝目錄下的System.ini 在該文件的boot字段中，是不是有這樣的內(nèi)容，那就是shell=Explorer.exe file.exe，如果確實(shí)有這樣的內(nèi)容，那你就不幸了，因?yàn)檫@里的file.exe就是木馬服務(wù)端程序!另外，在System.ini中的386Enh字段，要注意檢查在此段內(nèi)的“driver=路徑程序名”，這里也有可能被木馬所利用。再有

42、，在System.ini中的mic、drivers、drivers32這三個(gè)字段，這些段也是起到加載驅(qū)動(dòng)程序的作用，但也是增添木馬程序的好場(chǎng)所,.,D 啟動(dòng)組 有時(shí)木馬并不在乎自己的行蹤，它更注意的是能否自動(dòng)加載到系統(tǒng)中，因?yàn)橐坏┠抉R加載到系統(tǒng)中 ，你就無(wú)法刪除這個(gè)文件。 C:windowsstartmenuprogramsstartup HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders Startup=C:windowsstartmenuprogramsstartup,.,E 進(jìn)程隱藏： 在

43、98下很容易，只要將其注冊(cè)為系統(tǒng)進(jìn)程就可。然而2000中，進(jìn)程是無(wú)處藏身的，什么都逃不出任務(wù)管理器得如來(lái)神掌。然而，任務(wù)管理器中并不顯示dll，dll是windows函數(shù)庫(kù)，不能獨(dú)立運(yùn)行，一般是由進(jìn)程加載并調(diào)用的。然后用一個(gè)可信進(jìn)程來(lái)調(diào)用這個(gè)木馬dll，由于dll作為了可信進(jìn)程的一部分，因此也被視為可信的。比如自己寫(xiě)一個(gè)木馬dll來(lái)替換kernel32.dll.，截獲并處理特定的信息。原來(lái)命名為old kernel32.dll ，如遇到不認(rèn)識(shí)的調(diào)用仍然交由old kernel32.dll處理，可用函數(shù)轉(zhuǎn)發(fā)器完成，而我們的木馬dll僅完成特定的調(diào)用。,.,3 運(yùn)行,完整的木馬程序一般采用C/S方

44、式，由兩個(gè)部份組成：一個(gè)是服務(wù)器端程序，一個(gè)是客戶端程序。 服務(wù)器負(fù)責(zé)打開(kāi)攻擊的道路，就像一個(gè)內(nèi)奸特務(wù)；客戶端負(fù)責(zé)攻擊目標(biāo)，兩者需要一定的網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行通訊（一般是TCP/IP協(xié)議）。一旦連接，客戶端就可以通過(guò)網(wǎng)絡(luò)控制你的電腦、為所欲為。,server,client,.,除了普通的文件操作del，dir，修改配置文件等，木馬具有搜索cache中的口令、查看windows鍵盤(pán)事件、遠(yuǎn)程注冊(cè)表的操作等，甚至開(kāi)一個(gè)視頻觀看你得屏幕在做什么，完全控制了對(duì)方的計(jì)算機(jī)。,.,Netbus客戶端程序,.,NetBus傳輸,NetBus使用TCP建立會(huì)話。缺省情況下用12345端口進(jìn)行連接，12346端口進(jìn)行

45、數(shù)據(jù)傳輸 跟蹤NetBus的活動(dòng)比較困難。 可以通過(guò)檢查12346端口數(shù)據(jù)來(lái)確定 許多類似的程序使用固定的端口，你可以掃描整個(gè)的網(wǎng)絡(luò)監(jiān)測(cè)可疑的活動(dòng)。 簡(jiǎn)單方法 netstat -an,.,反彈型特洛伊木馬,可穿透防火墻，控制局域網(wǎng)機(jī)器 服務(wù)器端主動(dòng)發(fā)起連接，控制端監(jiān)聽(tīng)80端口 自動(dòng)上線通知 Email發(fā)送 讀取主頁(yè)空間的某個(gè)文件 網(wǎng)絡(luò)神偷、灰鴿子、魔法控制 解決方法 安裝防病毒軟件和個(gè)人防火墻 檢查可疑的進(jìn)程和監(jiān)聽(tīng)端口 提高安全警惕性,.,網(wǎng)絡(luò)神偷工作原理,連接方式 服務(wù)器端主動(dòng)發(fā)起連接到客戶端80端口 Server:1026 - Client:80 服務(wù)端上線通知原理 利用Email 利用主

46、頁(yè)空間,.,網(wǎng)絡(luò)神偷主界面,.,網(wǎng)絡(luò)神偷主界面,.,木馬新技術(shù),加殼，其原理如同加密解密一樣（！信息隱藏舉例）。 木馬啟動(dòng)后立即分析當(dāng)前進(jìn)程，查找有沒(méi)有常見(jiàn)防火墻，殺毒軟件，ids的進(jìn)程，如果有就殺無(wú)赦。 如果是新木馬肯定殺不出。這主要是與現(xiàn)行的殺毒，ids的運(yùn)行機(jī)制有關(guān)。-基于特征碼的匹配。 為什么每出現(xiàn)一個(gè)新的，全世界很多人受害之后才去處理它,馬后炮。我們應(yīng)該改換思路，建立安全預(yù)警預(yù)報(bào)系統(tǒng)，主動(dòng)出擊，模糊地推斷出疑似的木馬。,.,無(wú)線網(wǎng)絡(luò)中的木馬,而且現(xiàn)在的木馬不光是盜取計(jì)算機(jī)用戶密碼，還出現(xiàn)了手機(jī)木馬。經(jīng)常有人手機(jī)里的信息丟失，手機(jī)費(fèi)被盜用?？梢?jiàn)，“綠色通信，健康通信”不光是指信號(hào)好，更

47、重要的應(yīng)該是手機(jī)的信息安全，這包括無(wú)線的通話信息以及有線的服務(wù)器平臺(tái)的安全。所以我認(rèn)為,手機(jī)木馬,手機(jī)病毒將是今后信息安全的一個(gè)研究熱點(diǎn). 911手機(jī)病毒,.,木馬清除,A 采用殺毒軟件或?qū)⒐ぞ咔宄?木馬克星 QQ木馬病毒專殺大師 木馬殺客,.,B 手動(dòng)借助注冊(cè)表清除,1清除傳奇擊鍵記錄器 進(jìn)入注冊(cè)表進(jìn)行手工查殺，單 擊“開(kāi)始”“運(yùn)行”，在運(yùn)行欄中輸 入：Regedit，啟動(dòng)注冊(cè)表。然后找到 HKEY_LOCAL_MACHINESoftWareMicrosoftWindowsCurrentVersionRun 項(xiàng)。刪除名稱為TaskMonitor字符串 項(xiàng)。再修改 Win.ini，清空“RU

48、N=” 后面的內(nèi)容 (run=C:Windowsmstasks.exe)。最后在C：WindowsSystem(Windows9x系 統(tǒng))和 C:WINNTSystem32(Win2000系統(tǒng))目錄下面找到 Taskmom.exe， 將這個(gè)程序刪除掉。,.,2 ackdoor.Neodurk木馬的清除 進(jìn)入注冊(cè)表編輯器，在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrntVersionRun中，將鍵值 Runapp32刪除，到系 統(tǒng) Windows目錄下將 C:WindowsRunapp32.exe清除即可。,.,3清除木馬 ShareQQ 首先

49、用進(jìn)程管理軟件終止 spolsv.exe這個(gè)進(jìn)程(或到純 DOS 下)，然后到 Windowssystem文件夾 下將 spplsv.exe文件刪除，順便刪除 的還有 debug.dll、MSIME5f594f58. dII兩個(gè)文件，再到 Windows目錄下 刪除 Winin.exe文件。 然后打開(kāi)注冊(cè)表，到 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurretVersionRun下，刪除名為“netconfig”的字符串、再到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrenVersionRunOnc

50、e下，刪除“Winin”字符串。重新啟動(dòng)電 腦即可。,.,4.清除廣外女生木馬 (l)到純 DOS模式下，找到 SyStem 目錄下的 DIAGFG.EXE，刪 除它； (2)由于DIAGCFG.EXE文件 已經(jīng)被刪除了，因此在 Windows環(huán) 境下所有 exe文件都將無(wú)法運(yùn)行。 (3)找到 Windows目錄中的注 冊(cè)表編輯器 Regedit.exe，將它改名 為“R”，回到 Windows模 式下，運(yùn)行 Windows目錄下的 R程序； (4)找到 HKEY_CLASSES_ROOTexefileshellopencommand，將 其默認(rèn)健值改成”1”*，找到 HKEY_LocAL_M

51、ACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices，刪除其中名稱為 “Diagnostic Configuration”的鍵值； (5)關(guān)掉注冊(cè)表編輯器、回到 Windows目錄，將“R”改 回“Regedit.exe”，重新啟動(dòng)電腦。,.,5清除冰河木馬 (1)運(yùn)行regedit進(jìn)入注冊(cè)表。 (2)到“我的電腦HKEY_CLASSES_ROOTtxtfileshellopencommand”。 (3)將“默認(rèn)”的數(shù)據(jù)記下(例 如：c:windowsc_server.exe)。 (4)將“默認(rèn)”的數(shù)據(jù)改為“c： windowsnote

52、pad.exe%1”。 (5)重新啟動(dòng)電腦，進(jìn)入 dos模式。 (6)把“c:windowsc_server.exe” 刪除。最后，重新啟動(dòng)電腦。,.,6 清除灰鴿子 打開(kāi)注冊(cè)表編輯器應(yīng)為：打開(kāi) “開(kāi)始“菜單”中的“運(yùn)行”然后輸入 “R”。啟動(dòng)注冊(cè)表編輯器 后，依次打開(kāi)“HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrent VersionRun”，在右邊的窗口中刪 除名稱為“Loadwindows”的鍵值就可 以了。清除文件關(guān)聯(lián)灰鴿子可以 設(shè)置4種文件關(guān)聯(lián)：exe關(guān)聯(lián)，txt關(guān) 聯(lián)，ini關(guān)聯(lián)，inf關(guān)聯(lián)，其中exe關(guān)聯(lián) 可以和其他三種類型同時(shí)存在

53、，只 要將這些關(guān)聯(lián)改回默認(rèn)值即可。至 此，灰鴿子已經(jīng)被你徹底清除了。,.,Windows常用網(wǎng)絡(luò)安全命令,.,1.最基本，最常用的，測(cè)試物理網(wǎng)絡(luò)的 PINGping t ，參數(shù)t是等待用戶去中斷測(cè)試 注意空格！,.,2.查看DNS、IP、Mac等A.Win98：winipcfgB.Win2000以上：Ipconfig/allC.NSLOOKUP：如查看河北的DNSC:nslookupDefault Server: Address: 8server 則將DNS改為了41.2 Server: Address: 202.99.1

54、60.68Non-authoritative answer:Name: Address: 12,.,3.網(wǎng)絡(luò)信使 Net send 計(jì)算機(jī)名/IP* (廣播) 傳送內(nèi)容，注意不能跨網(wǎng)段net stop messenger 停止信使服務(wù)，也可以在面板服務(wù)修改net start messenger 開(kāi)始信使服務(wù) “局域網(wǎng)使用的qq”,.,4.探測(cè)對(duì)方對(duì)方計(jì)算機(jī)名，所在的組、域及當(dāng)前用戶名 （追捕的工作原理）ping a IP t ，只顯示NetBios名nbtstat -a 46 顯示比較全的,.,stat -a 顯示出你的計(jì)算機(jī)當(dāng)前所開(kāi)放的所有端口

55、netstat -s -e 比較詳細(xì)的顯示你的網(wǎng)絡(luò)資料，包括TCP、UDP、ICMP 和 IP的統(tǒng)計(jì)等 端口對(duì)黑客攻擊時(shí)的準(zhǔn)備階段是最重要的數(shù)據(jù)之一。,.,6.探測(cè)arp綁定（動(dòng)態(tài)和靜態(tài)）列表，顯示所有連接了我的計(jì)算機(jī)，顯示對(duì)方IP和MAC地址arp -a,.,7.在代理服務(wù)器端捆綁IP和MAC地址，解決局域網(wǎng)內(nèi)盜用IP?。篈RP s 9 00 50ff6c0875解除網(wǎng)卡的IP與MAC地址的綁定：arp -d 網(wǎng)卡IP,.,8.在網(wǎng)絡(luò)鄰居上隱藏你的計(jì)算機(jī) net config server /hidden:yesnet config server /hidden:no

56、 則為開(kāi)啟,.,9.其他幾個(gè)net命令 A.顯示當(dāng)前工作組服務(wù)器列表 net view，當(dāng)不帶選項(xiàng)使用本命令時(shí)，它就會(huì)顯示當(dāng)前域或網(wǎng)絡(luò)上的計(jì)算機(jī)上的列表。比如：查看這個(gè)IP上的共享資源，就可以C:net view 在 的共享資源資源共享名 類型 用途 注釋-網(wǎng)站服務(wù) Disk命令成功完成。B.查看計(jì)算機(jī)上的用戶帳號(hào)列表 net userC.查看網(wǎng)絡(luò)鏈接 net use例如：net use z: movie 將這個(gè)IP的movie共享目錄映射為本地的Z盤(pán)D.記錄鏈接 net session例如：C:net session計(jì)

57、算機(jī) 用戶名 客戶類型 打開(kāi)空閑時(shí)間-10 ROME Windows 2000 2195 0 00:03:121 ROME Windows 2000 2195 0 00:00:39命令成功完成。,.,10.路由跟蹤命令A(yù).tracert B.pathping 除了顯示路由外，還提供325S的分析，計(jì)算丟失包的,.,11.關(guān)于共享安全的幾個(gè)命令A(yù).查看你機(jī)器的共享資源 net shareB.手工刪除共享（可以編個(gè)bat文件，開(kāi)機(jī)自運(yùn)行，把共享都刪了?。﹏et share c$ /dnet share d$ /dnet share ipc$ /dne

58、t share admin$ /d注意$后有空格。C.增加一個(gè)共享：c:net share mymovie=e:downloadsmovie /users:1mymovie 共享成功。同時(shí)限制鏈接用戶數(shù)為1人。,.,12 CMD下設(shè)置靜態(tài)IPnetshnetshintinterfaceipinterface ipset add 本地鏈接 static IP地址 mask gateway,.,13 Netstat顯示活動(dòng)的 TCP 連接、計(jì)算機(jī)偵聽(tīng)的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP 路由表、IPv4 統(tǒng)計(jì)信息（對(duì)于 IP、ICMP、TCP 和 UDP 協(xié)議）以及 IPv6 統(tǒng)計(jì)信息（對(duì)于 IPv6、I

59、CMPv6、通過(guò) IPv6 的 TCP 以及通過(guò) IPv6 的 UDP 協(xié)議）。使用時(shí)如果不帶參數(shù)，netstat 顯示活動(dòng)的 TCP 連接。語(yǔ)法netstat -a -e -n -o -p Protocol -r -s Interval,.,參數(shù)-a顯示所有活動(dòng)的 TCP 連接以及計(jì)算機(jī)偵聽(tīng)的 TCP 和 UDP 端口。-e顯示以太網(wǎng)統(tǒng)計(jì)信息，如發(fā)送和接收的字節(jié)數(shù)、數(shù)據(jù)包數(shù)。該參數(shù)可以與 -s 結(jié)合使用。-n顯示活動(dòng)的 TCP 連接，不過(guò)，只以數(shù)字形式表現(xiàn)地址和端口號(hào)，卻不嘗試確定名稱。-o顯示活動(dòng)的 TCP 連接并包括每個(gè)連接的進(jìn)程 ID (PID)?？梢栽?Windows 任務(wù)管理器中的

60、“進(jìn)程”選項(xiàng)卡上找到基于 PID 的應(yīng)用程序。該參數(shù)可以與 -a、-n 和 -p 結(jié)合使用。-p Protocol顯示 Protocol 所指定的協(xié)議的連接。在這種情況下，Protocol 可以是 tcp、udp、tcpv6 或 udpv6。如果該參數(shù)與 -s 一起使用按協(xié)議顯示統(tǒng)計(jì)信息，則 Protocol 可以是 tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6 或 ipv6。-s按協(xié)議顯示統(tǒng)計(jì)信息。默認(rèn)情況下，顯示 TCP、UDP、ICMP 和 IP 協(xié)議的統(tǒng)計(jì)信息。如果安裝了 Windows XP 的 IPv6 協(xié)議，就會(huì)顯示有關(guān) IPv6 上的 TCP、IPv6