恶意攻击(精选7篇)
恶意攻击 篇1
随着互联网带宽使用的骤增, 在线的个人网络用户、小型网站甚至企业内网成为黑客的攻击目标。要怎么保卫自己的网络安全呢?首先我们要了解网络恶意攻击在线电脑的典型方式和现象。首先把大家可能会遇到的问题归个类。我们遇到的入侵方式大概包括了以下几种:被他人盗取密码;系统被木马攻击;浏览网页时被恶意的java scrpit程序攻击;QQ被攻击或泄漏信息;病毒感染;系统存在漏洞使他人攻击自己;黑客的恶意攻击;DDos攻击;ARP攻击;ICMP攻击等。
被攻击后的计算机现象:被攻击主机上有大量等待的TCP连接, 网络中充斥着大量的无用的数据包, 源地址为假, 制造高流量无用数据, 造成网络拥塞, 使受害主机无法正常和外界通讯, 利用受害主机提供的服务或传输协议上的缺陷, 反复高速地发出特定的服务请求, 使受害主机无法及时处理所有正常请求, 严重时会造成系统死机。
如何对付恶意攻击?除了日常要正确安装和使用杀毒软件和及时升级防火墙外, 我们还可以应用更多的方法来防御。
第一个方面:从共享和端口着手
1、查看本地共享资源。运行CMD输入net share, 如果看到有异常的共享, 那么应该关闭。但是有时你关闭共享下次开机的时候又出现了, 那么你应该考虑一下, 你的机器是否已经被黑客所控制了, 或者中了病毒。
删除共享 (每次输入一个)
net share admin$/delete
net share c$/delete
net share d$/delete (如果有e, f, ……可以继续删除)
删除ipc$空连接, 在运行内输入regedit, 在注册表中找到HKEY-LO-CAL_MACHINESYSTEMCurrentControSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。
2、关闭自己的139端口, i pc和RPC漏洞存在于此。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议 (TCP/IP) ”属性, 进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”, 打勾就关闭了139端口。
防止rpc漏洞, 打开管理工具———服务———找到RPC (Remote Procedure Call (RPC) Locator) 服务———将故障恢复中的第一次失败、第二次失败、后续失败, 都设置为不操作。
3、445端口的关闭。修改注册表, 添加一个键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0, 这样就可以了。
4、4899的防范。网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口, 由于这些控制软件功能强大, 所以经常被黑客用来控制自己的肉鸡, 而且这类软件一般不会被杀毒软件查杀, 比后门还要安全。4899不像3389那样, 是系统自带的服务。需要自己安装, 而且需要将服务端上传到入侵的电脑并运行服务, 才能达到控制的目的。所以, 只要你的电脑做了基本的安全配置, 黑客是很难通过4899来控制的。
第二个方面:从系统服务入手。禁用网络攻击可能利用的服务。打开控制面板, 进入管理工具———服务, 关闭以下服务:Alerter[通知选定的用户和计算机管理警报];ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享];Distributed File System[将分散的文件共享合并成一个逻辑名称, 共享出去, 关闭后远程计算机无法访问共享];Distributed Link Tracking Server[适用局域网分布式链接];Human Interface Device Access[启用对人体学接口设备 (HID) 的通用输入访问];IMAPI CD-Burning COM Service[管理CD录制];Indexing Service[提供本地或远程计算机上文件的索引内容和属性, 泄露信息];Kerberos Key Distribution Center[授权协议登录网络];License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止];Messenger[警报];NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集];Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换];Network DDE DSDM[管理动态数据交换 (DDE) 网络共享];Print Spooler[打印机服务, 没有打印机就禁止吧];Remote Desktop Help Session Manager[管理并控制远程协助];Remote Registry[使远程计算机用户修改本地注册表];Routing and Remote Access[在局域网和广域往提供路由服务, 黑客理由路由服务刺探注册信息];Server[支持此计算机通过网络的文件、打印和命名管道共享];Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符];TCP/IPNetBIOS Helper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络];Telnet[允许远程用户登录到此计算机并运行程序];Terminal Services[允许用户以交互方式连接到远程计算机];Window s Image Acquisition (WIA) [照相服务, 应用与数码摄像机]。
如果发现机器开启了一些很奇怪的服务, 如r_server这样的服务, 必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。
第三个方面:从本地安全策略入手
本地策略:这个很重要, 可以帮助我们发现那些居心叵测人的一举一动, 还可以帮助我们将来追查黑客。虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹, 不过也有例外的。
打开管理工具, 然后再到管理工具找到事件查看器:三个方面应用程序、安全性、系统的日志可同样设置:右键→属性→设置日志大小上限, 一般设置了50MB, 选择不覆盖事件。
本地安全策略:打开管理工具, 找到本地安全设置→本地策略→安全选项:
1、交互式登陆:不需要按Ctrl+Alt+Del启用[根据个人需要]
2、网络访问:不允许SAM账户的匿名枚举启用
3、网络访问:可匿名的共享将后面的值删除
4、网络访问:可匿名的命名管道将后面的值删除
5、网络访问:可远程访问的注册表路径将后面的值删除
6、网络访问:可远程访问的注册表的子路径将后面的值删除
7、网络访问:限制匿名访问命名管道和共享
还可以自己动手设置本地策略中的安全选项:当登陆时间用完时自动注销用户 (本地) 防止黑客密码渗透;登陆屏幕上不显示上次登录名 (远程) , 如果开放3389服务, 别人登陆时, 就不会残留有你登陆的用户名, 让他去猜你的用户名去吧;对匿名连接的额外限制;禁止按Alt+Crtl+Del;允许在未登陆前关机[防止远程关机/启动、强制关机/启动];只有本地登录用户才能访问cd-rom;只有本地登录用户才能访问软驱;取消关机原因的提示;禁止关机事件跟踪。开始“Start→”运行“Run→”输入“gpedit.msc”, 在出现的窗口的左边部分, 选择“计算机配置” (Computer Configuration) →“管理模板” (Administrative Templates) →“系统” (System) , 在右边窗口双击“Shutdown Event Tracker”, 在出现的对话框中选择“禁止” (Disabled) 点击, 然后“确定” (OK) 保存后退出。
没有绝对安全的网络系统, 安全问题是多种多样, 且随着时间技术的变化而变化, 所以安全防护也是非常重要的, 保持清醒正确的认识, 同时掌握最新的安全问题情况, 再加上完善有效的安全策略, 是可以阻止大部分安全事件的发生, 保持最小程度的损失。
参考文献
[1]仇多利.ARP攻击及防御策略[J].电脑知识与技术 (学术交流) , 2007.17.
[2]孙亮明.研究防御技术.加强网络安全[J].硅谷, 2008.15.
恶意攻击 篇2
据调查,自日傍晚7:0分起,问天网(www.tq.com.cn)
在此期间,问天网接到了无数咨询和投诉电话。所幸的是,问天网针对商业用户和合作伙伴的数据链接是独立保障的,基本确保了各类商业气象服务的正常运作,未给各行各业对气象资料的应用造成更为重大的损失。
问天网是中国气象局、中央气象台旗下唯一面向公众的商业性气象资讯网站,也是国内最早提供商业性气象服务的网络媒体,经过至0逐步发展,问天网业已成长为排名第一的华文专业天气资讯网站,访问几乎超过其它华文天气网站访问量的总合,列居全球网站排名000名以内,并仍以较快的速度发展壮大,成为华文世界最重要的权威天气资讯发布机构和各大门户网站重要的合作伙伴,
防范计算机网络恶意攻击的方法 篇3
关键词 网络安全 防护方法 攻击原理
中图分类号:TP393 文献标识码:A
近些年以来,由于科技的迅猛发展,计算机网络技术得到了普及,网络的应用越来越广泛,人们的生活、工作以及社会的进步和发展也要受到网络的影响。通过网络大量的信息被传播,其中包含大量的敏感信息,甚至有些国家机密在网络上也被广泛的传播,这些信息的传播势必会给国家和个人造成巨大的损失,这就使得社会各界人士越来越关注网络信息安全问题。总而言之,近些年以来不管是发达国家还是发展中国家网络信息安全事件频繁发生,网络威胁越来越严重。本文通过对网络信息安全做了简单的分析,同时将维护网络安全的一些具体手段进行了阐述。
1计算机网络遭受攻击主要方式
(1)计算机网络监听:所谓的计算机网络监听其实就是通过对目标计算机的网络数据、状态以及计算机所使用的上传工具进行监听从而获取该计算机的相关权限,攻击者主要是通过设置目标计算机的网络接口模式,来获取上传信息。网络监听目前已经是一种比较成熟网络技术,计算机网络管理员利用网络监听可以获取被监测计算机的相关数据、同时还能够对网络存在的故障进行排除,除此之外网络监听还具有众多的作用。虽然计算机监听技术具有重要的作用但是其所带来的网络威胁也是非常严重的。通过设置计算机的网络接口,将其设置早监听状态,一旦计算机进行信息传输,就能够获取该计算机所传输的信息,从而实现对目标计算机的攻击。利用网络监听能够在计算机网络的各个位置进行。而攻击者通常都是通过网络监听来获取目标计算机的用户口令。
(2)缓冲区溢出:简而言之所谓的缓冲区溢出则是指计算机的程序无法对所接受的数据进行检测从而造成错误,这就很容易导致计算机的系统遭受攻击。C语言则Windows以及 UNIX系统编写的主要手段,当然也包括许多的计算机应用程序,导致计算机缓冲区溢出的最主要的原因就是C、C++语言没有对数组下标访问越界进行检查。如果用户在计算机上输入长度超过程序限定的缓冲区的数据,则相应的数据就会在其他数据区显示,这种情况就是所谓的“缓冲区溢出”。
(3)服务拒绝:攻击者通过各种方式使目标机器无法实现资源访问。一旦计算机遭受攻击就无法对磁盘空间、内存以及网络进行访问。网络的连续攻击以及带宽攻击是拒绝服务攻击的主要形式。带宽攻击主要是指计算机网络遭受巨大的通信量冲击,从而造成计算机网络资源耗尽,进而计算机无法对用户请求进行处理。攻击者利用拒绝服务的攻击方式能够使服务器出现两种状态: 一方面是造成服务器缓冲区超负荷,无法对新请求进行处理; 另一方面就是进行IP 欺骗,复位合法用户连接,从而造成合法用户无法实现网络连接。
2有效的网络防护措施
2.1避免欺骗攻击对IP 地址进行隐藏
通过对众多的网络安全案例进行分析可知,攻击者通过对目标计算机的信息进行侦测,从而的到该计算机的相关信息,这其中主要就是为了获取目标计算机的IP 地址。 TCP/IP 协议存在很大的缺陷,因此使得IP 地址成为主要的网络安全问题,当攻击者获取了目标计算机的IP 地址,攻击者就能够获取被攻击者的具体位置,从而能够进行各種攻击。为了有效的防范IP 地址被窃取,可以通过代理服务其对IP 地址进行隐藏,这样攻击者就只能够获取代理服务器的 IP,从而无法实现对目标计算机的攻击。
2.2对机算机安全后门进行关闭
计算机所使用的系统不可避免的存在一些缺陷,也就是存在众多的安全后门,这就使得攻击者能够利用这些后门进行攻击,因此有效防范攻击的方法就是关闭安全后门。目前, TCP/IP 协议是大部分用户所使用的传输协议,虽然这种协议无法保证IP 地址的安全,但是相对其他协议来说,TCP/IP 协议的安全性还是比较高的,因此就有必要对其进行保留,删除其他的像NetBIOS 协议这样的不必要协议
2.3 IE 安全系数的提高
网页技术需要JavaApplets 和ActiveX 控件给予相应的技术支持,但是这两种控件也是攻击者常用到的,攻击者通过在网页融入恶意代码的形式实现共计,当用户打开网页的时候,恶意代码就会被激发,从而影响计算机的正常工作。因此要向防范恶意代码,急需要安装防火墙和杀毒软件,另外还要有效的控制恶意代码的运行。所以对IE的安全系数进行提高就成为了最有效的方法,具体做法就是通过早“Internet选项”进行“安全”设置,来对相关的代码进行限制,然后进行有效的控制,进而保证网页浏览的安全。
总而言之,目前在对网络进行防护时拥有众多的网络安全防护软件,但是最主要的还是无法根除网络自身存在的安全隐患,因此就需要谨慎的应对网络安全防护,以安全意识为基础,设立相应的网络安全防护机制,对网络安全进行防护。
参考文献
[1] 王树伟,王蒙.电脑防黑防毒急救[M].北京:电子工业出版社,2012.
[2] 张仁斌.网络安全技术[M].清华大学出版社,2014.8.
[3] 卿斯汉.安全协议[M].清华大学出版社,2013.3.
网页恶意代码攻击与防御 篇4
1 恶意代码的特征及传播手法
从理论上讲,恶意代码是一种程序,它主要是利用软件或系统操作平台的安全漏洞,通过执行嵌入在网页超文本标记语言(HTML)内的Java Applet小应用程序、JavaScript脚本语言程序、ActiveX软件部件网络交互技术支持可自动执行的代码程序,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。它可以强行修改用户操作系统的注册表设置及系统实用配置程序、非法控制系统资源、盗取用户文件、恶意删除硬盘文件、格式化硬盘等。按其传播方式,恶意代码可以分成五类:病毒,木马,蠕虫,移动代码和复合型病毒。
恶意代码编写者一般利用三类手段来传播恶意代码:软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本,本身就是软件,这类恶意代码对人的活动没有要求。一些像特洛伊木马、电子邮件蠕虫等恶意代码,利用受害者的心理操纵他们执行不安全的代码;还有一些是哄骗用户关闭保护措施来安装恶意代码。
利用商业软件缺陷的恶意代码有BubbleBoy(VBS/BubbleBoy蠕虫应该说是这类病毒的起源鼻祖)。它完全依赖商业软件产品的缺陷和弱点,比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web服务缺陷的攻击代码有Code Red(“红色代码”是利用微软已知的溢出漏洞,通过80端口来传播到其它计算机的WEB页服务器上。由于该病毒可以获得受感染WEB服务器的超级用户的安全权限,为黑客入侵敞开了大门,它可以在某一时间点发作,接受黑客命令攻击特定目标。)、Nimda(当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性,通过WSH进行,对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,它利用的是Outlook的漏洞。)。Linux和Solaris上的蠕虫也利用了远程计算机的缺陷。
恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户,这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力,Love Letter就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕,而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断,恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等等。
对聊天室IRC(Internet Relay Chat)和即时消息IM(Instant Messaging)系统的攻击案例不断增加,其手法多为欺骗用户下载和执行自动的Agent软件,让远程系统用作为分布式拒绝服务(DDoS)的攻击平台,或者使用后门程序和特洛伊木马程序来控制这些远程系统。
2 网页恶意代码的类型及其防范方法
1)禁止使用电脑
现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:关闭系统、运行、注销、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入“实模式”、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给废了,建议重装。如果只是遇到其中某些情形,可以用以下方法来恢复。用记事本编辑一个任意名字的*.reg文件,比如recover.reg,内容如下:
2)格式化硬盘
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说“当前的页面含有不安全的ActiveX,可能会对你造成危害”,问你是否执行。如果你选择“是”的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答“是”。该提示信息还可以被修改,如改成“Windows正在删除本机的临时文件,是否继续”,所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
3)下载运行木马程序
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截并清除。
4)注册表的锁定
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。
解决办法:
(1)能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值“DisableRegistryTools”键值恢复为“0”,即可恢复注册表。
(2)可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的*.reg文件,比如recover.reg,内容如下:
要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改;完成上述工作后,点击记事本的文件菜单中的“另存为”,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的文件,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
注:打开注册表编辑器方法是:点击“开始”菜单,之后点击“运行”,在运行框中输入regedit,回车或点击“确定”,进入注册表编辑器。
5)默认主页修改
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。
解决办法:
(1)起始页的修改。展开注册表到HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain,在右半部分窗口中将“Start Page”的键值改为“about:blank”即可。同理,展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain,在右半部分窗口中将“Start Page”的键值改为“about:blank”即可。
注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:
运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键,然后将下面的“registry.exe”子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
(2)默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain,将“Defaul Page URL”子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
对于WINXP专业版的用户,还可以用以下方法:
将上面这些DWORD值改为“0”即可恢复功能。
6)篡改IE标题栏
现象描述:在系统默认状态下,由应用程序本身来提供标题栏的信息。但是,有些网络流氓为了达到广告宣传的目的,将串值“Windows Title”下的键值改为其网站名或更多的广告信息,从而达到改变IE标题栏的目的。
解决办法:展开注册表到HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain下,在右半部分窗口找到串值“Windows Title”,将该串值删除。重新启动计算机。
7)篡改默认搜索引擎
现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到网络流氓想要你去的网站。
解决办法:运行注册表编辑器,依次展开HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch和HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant,将“CustomizeSearch”及“SearchAssistant”的键
值改为某个搜索引擎的网址即可。
8)灵活应对WSH
近几年来,利用VBScript和JScript(Visual Basic脚本语言和Java脚本语言)编制的各种病毒、尤其是蠕虫病毒可以说是层出不穷,“I LOVE YOU”和“Newlove”,均是属于这种类型的电脑杀手。这类病毒的一个共同点,就是在通过邮件传播时,都包含了一个以.vbs为后缀名的附件,用户收到该邮件后,只要双击执行该附件,也就感染了病毒。这些病毒的广泛传播,给广大的计算机用户带来了巨大的损失。而那些用心叵测的电脑病毒制造者们,之所以钟情于用VBScript编制病毒,就在于他们看中了微软在Windows中内嵌的Windows Scripting Host(WSH),WSH为Visual Basic脚本语言的自动运行提供了方便。WSH(Windows Script Host)是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本。能够直接在Windows桌面或命令提示符下运行。利用WSH,用户能够操纵WSH对象、Active对象、注册表和文件系统。在带给人们便利的同时,WSH也为病毒的传播留下可乘之机。对于已安装的WSH服务,我们有如下防护措施:
A:删除脚本文件。对于WindowsXP,点击“开始”—“程序”—“Windows资源管理器”—“工具”—“文件夹选项”—“文件类型”,把滚动条下移找到VBScript和JScript脚本文件,将其删除。
B:禁用WSHShell对象。禁用WSHShell对象,阻止运行程序。删除或更名系统文件夹中的wshom.ocx文件或删除注册表项:HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}即可。
C:升级WSH。IE浏览器可以被恶意脚本修改,原因就是IE 5.5以及以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及htmlfilr Activex对象读取浏览者的注册表。微软最新的Microsoft Windows Script 5.6已经修正了这个问题。
D:禁用WSH。实在不放心的话,就禁用WSH吧。具体方法是:打开“控制面板”,再打开“添加/删除程序”,点选“Windows安装程序”,用鼠标双击其中的“附件”一项,然后在打开的窗口中将“Windows Scripting Host”一项的“√”去掉,连点两次“确定”,就可以将Windows Scripting Host卸载了。
WSH一旦被禁用,那隐藏在VB脚本文件(.vbs文件)中的病毒就无法被激活,我们的计算机自然就会更加安全。对于要不要禁用WSH这个问题,也不能一概而论,需要用户根据自己的实际情况权衡。尽管禁用WSH并不会对Microsoft Office和Internet Explorer及其它大多数程序正常使用产生影响,但是也有极少数程序要使用WSH,当它找不到WSH时,就会显示出错信息,遗憾的是大多数情况下我们并不能判断错误是否由于删除WSH所致,并且,事先也没有简单的方法判断一个程序是否须要WSH。同时,删掉WSH并不能保证你的电脑安全,毕竟,还有许许多多病毒不须要借助WSH。
9)IE右键修改
现象描述:有的网络流氓为了宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。
解决办法:
(1)右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt,删除相关的广告条文。
(2)右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions,将其DWORD值“NoBrowserContextMenu”的值改为0。
10)篡改地址栏文字
现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标,地址栏里的下拉框里也有大量的地址,并不是你以前访问过的。
解决办法:
(1)地址栏下的文字:在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolBar下找到键值“LinksFolderName”,将其中的内容删去即可。
(2)地址栏中无用的地址:在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs中删除无用的键值即可。
10.启动时弹出对话框
现象描述:
(1)系统启动时弹出对话框,通常是一些广告信息,例如欢迎访问某某网站等等。
(2)开机弹出网页,通常会弹出很多窗口,让你措手不及,恶毒一点的,可以重复弹出窗口直到死机。
解决办法:
(1)弹出对话框:打开注册表编辑器,找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在启动时出现提示框的现象了。
(2)弹出网页:其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器,分别定位到:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”—“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。另外可以点击“开始-运行-msconfig”,选择“启动”,检查其中是否有可疑的启动项,如果有的话请将其禁用。
11)IE窗口定时弹出
现象描述:中招者的机器每隔一段时间就弹出IE窗口,地址指向网络流氓的个人主页。
解决办法:点击“开始-运行-msconfig”,选择“启动”,把里面后缀为hta的都勾掉,重启。
12)IE工具栏上其它按钮或工具菜单中其它添加项:
现象描述:IE工具菜单下被添加了非法菜单项或工具栏上其它非法按钮(如:FlashGet、QQ、超级解霸、手机短信、Yahoo 1G邮等)。
解决办法:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions检查各数字文件夹的内容将不需要的整个文件夹删除便可。
13)IE工具栏上其它工具栏
现象描述:IE工具栏被添加了非法工具条(如3721上网助手、金山词霸等)。
解决办法:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar检查各项内容将不需要的项目删除便可。
14)IE菜单“查看”下的“源文件”项被禁用
现象描述:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色,“源文件”项不可用。
解决办法:将
3 网页恶意代码的防范方法
1)留意微软和各大安全网站发布的安全公告,及时了解最新安全动态,封堵住漏洞,如果没有条件随时关注这些,至少要及时更新你的浏览器,使用最新的、打过各种安全补丁的浏览器;
2)安装防火墙和杀毒软件,并及时更新。
3)事先备份注册表,如果发现注册表被修改则导回就能恢复;
4)将本机的FORMAT、DEL、DELTREE等危险命令改名,如将format.com改为format.old,自己需要使用时再改回来。也可以某些外部命令转移到其他目录下;
5)牢记不要浏览那些并不了解的网站,也不要在聊天室里点击其他网友贴出的超级链接,这样可以避免遭到恶作剧者的攻击;
6)增强IE“免疫”能力
将系统的网络连接的安全级别设置为“高”,它可以在一定程度上预防某些有害的JAVA程序或者某些ActiveX组件对计算机的侵害。在IE属性里面,对其“高级”选项进行配置,取消在浏览网页时的Java功能选项,具体方法是:点击IE的“工具”菜单下的“Internet选项”,再点击“安全”选项卡里的“自定义级别”按扭,把“ActiveX控件及插件”和Java相关选项都设为禁用,这样就不怕了。不过,要说明的是这样做在浏览某些网页时会无法正常浏览,如何取舍就看你自己的了。
7)简单修改系统。打开注册表编辑器,展开到注册表HKEY_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX CompatibilityActive Setup controls下,创建一个基于CLSID的新健值{6E449683_C509_11CF_AAFA_00AA00B6015C},然后在该健值下创建一个类型为REG_DWORD名为“Compatibility”的键,值为“0X00000400”即可,关闭注册表编辑器。用户可以将在C:WINDOWSJA-VAPackages目录下搜索到的“ActiveXComponent.class”,删掉删除这个组件不会影响到正常浏览网页。
8)预防网页恶意代码
许多恶意网页为防止有人查看其代码内容,采取了各种各样的方法求防止我们查看其源代码。然而,他们的一切努力也许都是白费心机。因为用如下的方法可以轻易地查看其源代码。只要在IE地址栏中输入View-Source:URL即可。举个例子,你想查看http//www.****.com的源代码,只要在IE地址栏中输入:View-Source:http://www.****.com,稍等一下就会弹出一个窗口,里面就是你想看到的网页源代码。赶快仔细看看,里面是否有更改注册表或暗中下载文件的恶意代码,如果有那就别进该网页了,很简单吧?这样做不仅可以学到别人的网页制作技术,更可以事先预防恶意代码,一举两得!
9)防范再次浏览恶意网页
在IE中做一些设置以便不再进入受过攻击的恶意站点。打开IE,点击“工具”—“Internet选项”—“内容”—“分级审查”,点“启用”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,按“从不”按钮,再点击“确定”即可!
摘要:该文从理论角度分析了网页恶意代码的特征、传播手法,详细列举了网页恶意代码的种种表现形式及应对措施,同时针对目前网络安全现状提出了一些防范网页恶意代码的建议。
关键词:网页恶意代码,注册表,IE
参考文献
[1]张仕斌,谭三,易勇,等.网络安全技术[M].北京:清华大学出版社,2004.
[2]郝强,赵中华.Windows98/2000/Me/XP注册表大全[M].北京:电子工业出版社,2002.
[3]杜晔,张大伟,范艳芳.网络攻防技术教程:从原理到实践[M].武汉:武汉大学出版社,2008.
恶意攻击 篇5
紧随微软2月安全公告 推恶意攻击windows代码Windows漏洞
。专家称,这种软件代码极度危险,但目前没有大规模地扩散。
这种攻击代码可以利用windows媒体播放器中的两个单一漏洞,既ms06-005、ms06-006。前一个漏洞影响媒体播放器的处理位图文件,而后一个漏洞则对使用非微软浏览器的媒体播放器产生影响。
微软称,在这些漏洞中,只有ms06-006漏洞最为严重。但据法国的安全应紧反应小组分析,这两个漏洞都会控制未升级的电脑。据mcafee组织的专家craig schmugar称,实际上,能控制ms06-006漏洞的攻击代码对windows用户都会有威胁,“从漏洞的强弱来看,ms06-05是比较严重。而从目前的情况看,ms06-006则被利用得更多一些,
”
他补充说,没有一个代码被攻击者利用,“很显然, 正在编写这种攻击代码,但目前我们没有看到对客户造成的影响。”sans互联网风暴中心的首席技术官ohannes ullrich,也同意这种看法,“昨天,我们收到一些攻击的报告,但后来发现是假的。目前尚未大规模地出现。”
恶意攻击 篇6
一条看似恶搞的短信让诸多山寨机厂商处于尴尬之中,更让提供手机芯片的台湾联发科技(以下简称联发科)烦恼不已。
日前,一条“我想让你的手机死机”的短信引起诸多手机用户恐慌。只要手机接收到该短信,用户一打开,手机就会在一顿狂闪后,便黑屏死机。据采访了解,中招的手机多为山寨机,它们使用的芯片均来自有“山寨机之父”之称的台湾厂商——联发科。一时间,联发科陷于用户的唾沫当中。
1999年成立的联发科一直不被外界所了解,它的声名鹊起得益于近两三年来在大陆市场上闹得沸沸扬扬的山寨手机,也由此一登龙门成为手机芯片领域的佼佼者。此次“短信门”事件的爆发,到底是联发科的芯片存在技术漏洞,还是黑客所为?而用户在遭遇到手机死机的骚扰后,是否还对山寨机抱有信心?
种种疑问困扰着这条产业链上的各方利益者。
突然死机
一条短信,怎么会令一些手机瞬间死机呢?然而,事情就是这么离奇!
据用户王小姐反映,她前几天收到了一条非常诡异的短信。打开短信后,屏幕上跳出9个大字——“我想让你的手机死机。”每个字之间都有大段的空格,一句话就占满了整个屏幕。还没待她看清楚,只见手机一阵震动后,屏幕跟着狂闪,随即全黑,无论摁什么键都没反应。
无奈之下,王小姐只得直接拔出电池板重新装上,才能正常开机,但如果再次读到那条短信,手机还是同样的反应。王小姐随后责怪朋友为何向她发送“病毒”短信时,朋友的解释是:这条短信也是别人发给他的,打开它会造成手机暂时死机,而对手机并没有多大威胁,便想恶搞下,看看都有谁中招。
在这样的心态下,短短数天内,这条可以令部分手机死机的短信一下“红”遍大江南北,并且演绎出若干个版本。与此同时,这条怪短信也成为人们研究的对象。在大量报道见诸媒体后,这条可以令手机死机短信的神秘面纱也被揭开。一位研究手机芯片的工程师告诉本刊记者,这条短信之所以具有让手机死机的魔力,是因为该短信上附有一段代码,它们隐藏在短信文字间的大段空格中。短信的附件是一个后缀为.imy的音频文件,里面可能包含了震动、闪亮、关闭屏幕等代码,某些有快捷功能和铃声自编功能芯片的手机在接收后,由于无法执行该程序而造成操作系统故障,便产生了所谓的“死机”现象。据了解,这条“死机短信”只能令基于联发科平台设计的手机死机,但不能令其他平台的手机死机。据悉,联发科的手机设计平台,让手机厂商可以像组装电脑兼容机那样生产手机,近两三年来不仅被大量正规的国产厂家采用,也被很多山寨机厂家使用。
联发科“短信门”事件的影响到底有多大?业内人士表示,由于联发科芯片销量巨大,可能涉及中国上亿部山寨机。
2008年的中国手机市场,毫无疑问是“山寨机之年”。山寨手机以秋风扫落叶之势横扫手机市场,攫取了巨大的利益。而这些山寨手机使用的恰恰是联发科的芯片。据公开资料披露,2007年,联发科手机芯片的年出货量高达1.5亿颗,除去部分正规品牌手机使用外,估计使用其芯片的山寨手机可能有上亿部。
这一问题的出现,使得联发科成为众人谴责的对象。
恶搞还是技术漏洞?
“短信门”事件的突然爆发,是有人蓄意为之,还是联发科确实存在技术漏洞?
一个现象引起了本刊记者的注意。“死机短信”在网络上传开时,本刊记者的邮箱就收到了有人发送来的这个内幕消息。但事后,记者再联系这个邮件作者时,却再无音讯。
对于“短信门”事件,联发科在大陆的相关负责人向某媒体透露,这纯粹是有人恶搞增强型短信(EMS)所导致的后果。据了解,这种短信并不能对手机硬件造成伤害,与芯片本身并没有太多关系,关键在于手机软件平台是否支持EMS。只要手机支持EMS功能,就有可能会被这种恶意EMS攻击。
EMS是Enhanced Message Service的缩写,翻译成中文的意思为增强型短消息服务。它可以把简单的铃声、图片,甚至动画和文字结合在起来,在支持EMS的手机之间互相发送。EMS是由除诺基亚外的摩托罗拉、西门子、阿尔卡特、三星、飞利浦、索尼爱立信等手机厂商共同研制的。
业内人士告诉本刊记者,EMS可以让手机振动、屏幕闪烁,甚至黑屏,平时用户互发EMS也是为了好玩。但这次的恶意EMS好像是有人故意做出来的,增加了很多振动、屏幕闪烁和黑屏指令,让用户感觉是死机了,其实只是手机正在执行这个EMS内容。
“EMS已经推出三四年了,以前没有人这样恶搞过。”联发科相关负责人向某媒体表示,“这并不是芯片问题,所以公司不会对此作出什么改变。今后,公司还是会将EMS功能作为可选项,供客户选择。”
不过,联发科一客户却告诉记者,这次恶意EMS很明显是针对联发科软件平台专门设置的。从这个短信来看,这条短信的始作俑者不但熟悉MTK平台,而且还了解其源代码。不排除有人恶意攻击的可能。
“联发科的客户参差不齐,其软件的源代码可能是因泄露而被人利用的。”这个不愿意透露姓名的人士指出,比如微软操作系统也因为普及,病毒就特别多。相反,针对苹果和Linux操作系统的病毒就很少。
事实上,在手机芯片市场,高通以30%的市场份额排名第一,联发科以20%的份额位居第二,其它的芯片厂商如展讯、德州仪器、英飞凌、博通只各占5%的市场份额。其中,只有联发科给山寨机提供芯片,其它手机芯片厂家基本都是与品牌手机厂家合作。在联发科的冲击下,这些芯片厂商对其怨言颇多。
但这能成为开脱罪责的理由吗?
俗话说,苍蝇不叮无缝的蛋。如果联发科提供的芯片没有问题,那么“死机短信”事件就不可能发生。而且,为什么“死机短信”只对联发科有影响,而对其他芯片厂商,诸如展讯提供的芯片就不起作用?显然,从这事件本身分析,联发科的软件控制可能存在漏洞。
虽然业内都承认,联发科的优势是提供了一个把厂商开发过程中可能遇到的问题尽量提前考虑到的解决方案,大大缩短了手机的生产环节并降低了研发成本,使得不少国内生产MP3音乐播放器的厂家使用该芯片后,一夜之间都能生产手机。业内人士认为,出现这一问题,根源可能在于联发科手机芯片平台价格过于低廉,产销量过大,在研发上还不精细而存有纰漏。
但对业界的这一解说,联发科新闻发言人喻铭铎近日回应称:“死机短信并非联发科芯片问题,对于借此事恶意中伤者,我们必要时将诉诸法律。”此前,联发科中国区业务总监徐茂容在接受某媒体记者采访时曾表示,装有MTK芯片的手机并非真死机,只是震动时间长些,让用户产生死机错觉,和芯片无关。
恶意攻击 篇7
此次发布的安全公告涉及现在提供支持的所有Windows产品 (Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012R2/RT/RT 8.1) , 以及所有的IE (IE 6~11) 、Offi ce2003/2007/2010/2013/2013 RT等。
其中, 最高严重等级为“严重”的有以下3条。均包含可能擅自运行病毒的危险漏洞。
(1) MS13-088:Internet Explorer的累积性安全更新 (2888505)
(2) MS13-089:Windows图形设备接口中的漏洞可能允许远程执行代码 (2876331)
(3) MS13-090:Active X中的Kill Bit累积性安全更新程序 (2900986)
现在已经发现了恶意利用 (3) 中漏洞的目标式攻击。由于供给出现在补丁公开前, 因此属于“零时攻击”。据介绍, 该漏洞的内容已于美国时间11月8日通过第三方公开。
最高严重等级为第二位“重要”的有以下5条。
(4) MS13-091:Microsoft Offi ce中的漏洞可能允许远程执行代码 (2885093)
(5) MS13-092:Hyper-V中的漏洞可能允许特权提升 (2893986)
(6) MS13-093:Windows辅助功能驱动程序中的漏洞可能允许信息泄露 (2875783)
(7) MS13-094:Microsoft Outlook中的漏洞可能允许信息泄露 (2894514)
(8) MS13-095:数字签名中的漏洞可能允许拒绝服务 (2868626)
上述8个漏洞可通过安装安全更新程序来防范。微软将 (1) 、 (2) 、 (3) 的补丁的应用优先等级设定为“1”。关于对补丁进行验证后再安装的企业等, 微软建议其首先安装这些补丁。