关于系统安全的心得

  现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?

  你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。

  木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。

  阻止木马运行——查杀更彻底

  任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

  到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:

  项目 键名

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs

  HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows run

  这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。

  此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:和C:Windows下,Windows会执行C:下的程序,而不是C:Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。

  要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。

  根除木马——文件并联型木马的查杀

  某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!

  为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。

  什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。

  根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOTexefileshellopencommand)改回原来的“”%1” %*”即可。

  如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。

  对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。

时间: 2024-11-01 02:57:19

关于系统安全的心得的相关文章

分布式缓存系统Memcached学习心得

分布式缓存系统Memcached学习心得 Posted on 2009-01-14 11:34 linFen 阅读(3458) 评论(1) 编辑 收藏 缘起: 在数据驱动的web开发中,经常要重复从数据库中取出相同的数据,这种重复极大的增加了数据库负载.缓存是解决这个问题的好办法. Memcached是什么? Memcached是由Danga Interactive开发的,高性能的,分布式的内存对象缓存系统,用于在动态应用中减少数据库负载,提升访问速度.  Memcached能缓存什么?    

网上考试系统的一点心得

心得 注:使用asp.net+sqlserver2000,题目只针对选择题 一.数据库设计 1.题目存在一个表中 字段包括:编号ID(标识字段),题目内容,题目答案 2.选项存在一个表中 字段包括:编号(标识字段),题目ID,显示顺序 二.页面设计 人员的登录什么的就不说了,重点就说说出题 1. 如果随机出题,那么可以在数据库中查询题目时使用order by newid() 如:select * from tablename order by newid() 读出题目后根据题目ID去选项表中搜题

Destoon 系统SEO优化心得

  Destoon B2B系统的强大功能得到很多站长的认可,但随之而来的问题也越来越多,最大的问题就是百度收录不理想.以下三大原因我认为是影响最大的: 一.采集横行.采集的出现确定给广大站长们提供了很大的便利,很多人把这个工具发挥到了极致,不管供应,求购,资讯,知道,品牌,甚至会员,全部从阿里和一些大型B2B网站采集,也不编辑,直接上传到网站,很短时间就做成一个有几十万条信息的网站;还有就是相互采集,毕竟大站的防采集功能还是比较强大的,对站长的技术要求也比较高,但采集相同系统的站还是比较容易的,

如何建立一个独立商城网店初学分享ShopEx网店系统建站心得

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   读大学的时期我们学的是国际贸易方面的课程,有好多同学都在大学时期开始对网上电子商务产生了兴趣,我都是其中的一个,因为读的是国际贸易所以有好多理论性的还没有得到具体的实践,所以为了把理论知识得到进一步的实践,我决定了,就是这个决定让我学起了自己建立ShopEx网店系统,下面我们一起开始Super ShopEx吧!^v^ 在我们班级里,还有很多同学是使用ECShop

测试之新生入学系统,多一份收获

整个五月份,除了本身的计算机学习外,还参与了基础部评教和ITOO测试工作.也正是因为这两项活动,才让自己真正感受到天天都要开会是个怎么样的感受.下面就将这段时间在ITOO测试的学习情况总结总结,其中也是学习到了很多自己在计算机学习中学不到的一些东西. 其实,最开始的工作只有ITOO测试组.等到五月中旬,基础部评教开始招人,自己报名参加了,工作也相继开始了.这一篇博客是把ITOO测试组的学习情况写写,在下周评教后,会再写写在基础部工作的一些情况. ITOO,这也是第一次接触这一个系统.之前虽然听师

网站后台设计规范:框架规范和视觉规范

文章描述:后台系统规范设计心得. 后台系统采用一整套UI,为什么会形式各异?能统一并带来更好的体验吗?基于交互设计师自己的内心疑问,我们迫切的产出一套设计规范用于统一后台操作系统,利于用户使用习惯的培养和延续,降低学习成本,提高使用效率,有效提高开发效率,方便功能的优化扩展.基于现有的系统,我们抽丝剥茧,才有了如今的阶段性成果. 用户是谁?需求是什么?交互设计师对于一个项目最基本的了解就是源于这两个问题.我们做这次规范也是如此-- 你知,或者不知:规范就在那里:不悲不喜 用户是谁?我们的系统是给

你可能忽视的iOS 8 Safari浏览器小技巧

  掐指算来iOS 8正式版发布已经有一季之久,而iPhone 6玩机也两个月有余,是时候和大家分享一些关于新系统下使用心得,本文为你带来几个容易让人忽略的Safari浏览器小技巧.首先常规报一下小编的iOS设备信息,美版iPhone 6 64G(Gold,A1549),iOS版本8.1.1,未越狱. 顺便也提一下为什么小编购买美版的诸多原因吧!首先,肯定是网络制式问题,小编掉联通的坑良久,美版支持联通和电信2/3/4G网络(已实测),以及移动2G(and EDGE),这里网络完全适用.再者,就

OS X Mavericks 10.9评测

  近日,国外知名科技网站Engadget撰稿人布莱恩·希特(Brian Heater)为我们带来了他对开发者预览版OS X 10.9 Mavericks系统的体验心得.以下是文章全文: 在今年的WWDC全球开发者大会上,Mac电脑的新一代操作系统仍以"OS X"命名.显然,这意味着在相当长的一段时间内,苹果对于桌面操作系统的研发计划仍将延续小幅改动.逐步调整的策略.应该说,iOS已经成为苹果开拓创新的重点,OS X则已退居次席,处于跟随状态.从大会现场的信息和演示也可看出,版本号10

linux中iptables配置学习笔记

iptables是一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅. 首先要说明的是,iptables操作的是2.4以上内核的netfilter.所以需要linux的内核在2.4以上.其功能与安全性远远比其前辈 ipfwadm,ipch