黑客破解密码的猜测法是怎么回事?
答:猜测法依靠的是经验和对目标用户的熟悉程度。现实生活中,很多人的密码就是姓名汉语拼音的缩写和生日的简单组合。甚至还有人用最危险的密码——与用户名相同的密码!这时候,猜测法拥有最高的效率。
什么是特洛伊木马?
答:特洛伊木马是指一个程序表面上在执行一个任务,实际上却在执行另一个任务。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能。例如,拷贝、删除文件、格式化硬盘、甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的帐号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入帐号和口令,然后将帐号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己输错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑。其实,特洛伊木马已完成了任务,躲到一边去了。更为恶性的特洛伊木马则会对系统进行全面破坏。
特洛伊木马法最大的缺陷在于,必须先想方设法将木马程序植入到用户的机器中去。这也是为什么建议普通用户不要轻易地执行电子邮件中附带的程序的原因之一,因为特洛伊木马可能就在你的鼠标点击之间悄然潜入到了你的系统之中。
网络监听是怎么回事?
答:网络监听工具本来是提供给管理员的一种监视网络的状态、数据流动情况以及网络上传输的信息的管理工具。当信息以明文的形式在网络上传输时,将网络接口设置在监听模式,便可以源源不断地截获网上传输的信息。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。当黑客成功登录一台网络上的主机并取得这台主机的超级用户权之后,若想尝试登录其它主机,那么使用网络监听将是最快捷有效的方法,它常常能轻易获得用其它方法很难获得的信息。由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法。网络监听有一个前提条件,那就是监听只能物理上的连接属于同一网段的主机。因为不是同一网段的数据包,在网关就被滤掉,无法传入该网段。
总之,网络监听常常被用来获取用户的口令。因为当前网上的数据绝大多数是以明文的形式传输,而且口令通常都很短且容易辨认。当口令被截获,则可以非常容易地登上另一台主机。
三、神秘的黑客工具
Internet上为数不少的黑客网站大都提供各种各样的黑客软件,下面就来了解其中的一些“典型”,并了解应对措施。
必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。
什么是WinNuke,如何清除?
答:WinNuke的工作原理是利用Windows
95的系统漏洞,通过TCP/IP协议向远程机器发送一段可导致OOB错误的信息,使电脑屏幕上出现一个蓝屏及提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。对策是用写字板或其它的编辑软件建立一个文件名为OOBFIX.REG的文本文件,内容如下:
REGEDIT4 [HKEY_LOCAL_MACHINE\System\ CurrentControlSet \
Services\VxD\MSTCP]
“BSDUrgent”=“0”
启动资源管理器,双击该文件即可。
什么是BO2K?
答:BO2K是黑客组织“死牛崇拜”(Cult Dead Cow)所开发的曾经令人闻之色变的黑客程序BO1.2版的最新升级版本。
虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。
BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。
利用客户端程序,能够很轻松地对被控制的电脑进行众多的操作:比如重新启动计算机、锁死系统、获取系统口令,搜索、下载和编辑所有软件和文档,运行任何应用程序、记录键盘输入情况(也就是说可以易如反掌地窃取你的网络登录密码)等等。而且,BO2K不仅可以在Windows
NT上顺畅运行,就连刚问世的Windows 2000也不能幸免。 另外,Cult Dead
Cow还在其专为BO2K而设的网站上还提供了一些用于增强BO2K程序功能的插件(Plug-In),其中有一个名为SilkRope2K的插件(158KB),通过它可以非常容易地把BO2K的服务器程序捆绑到任何一个可执行文件上,而这个已经暗藏玄机的可执行文件,除了文件长度变大了130KB左右之外,并无其它任何异样,而这个可执行程序一旦被运行,BO2K服务器程序就会悄然无声地自动安装在对方的电脑之中。就样一来,只要被控制的电脑连上了Internet,哪怕远隔千山万水,黑客都可以像操作自己的电脑一样方便地对对方电脑进行随心所欲的控制。
BO2K的组成与工作原理是怎样的?
答:虽然BO2K可以当作一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2K的匿名登陆和可恶意控制远程机器的特点,使得它在网络环境里成为一个极其危险的工具。
BO2K包括服务器端的BO2K.exe、BO2Kcfg.exe和用户端的
BO2Kgui.exe、BO3des.dll、BO_peep.dll。其中,两个服务器端的文件一般是通过Email的方式进行传送,BO2K服务器端的程序大小仅为112KB,非常便于在网络上传输;客户端程序解压后的大小约2.07MB左右,功能非常强悍,由于采用了很简明的图形化界面,略通电脑的人都可以很容易地掌握其使用方法。BO2K既可以通过Email发送,也可以手工安装,安装包括两个部分:客户端和服务器端。在服务器端安装BO2K非常简单。只要执行BO2K的服务器端程序,就完成了安装。这个可执行文件名字最初叫做bo2k.exe
,但可能会被改名(比如更容易迷惑人的Readme.exe)。这个可执行文件的名字是在BO2K客户端安装时,或在BO2K设置向导里指定的。
BO2K的设置向导会指导用户进行以下几方面的设置:包括服务端文件名(可执行文件)、网络协议(TCP或UDP)、端口、加密和密码。这个过程完成后,运行bo2kgui.exe(BO2K图形用户界面),
就可以看见工作区,
工作区包括了服务器的列表(如果你保存了上次的结果)。指定要连接的服务器,开始使用BO。给这个服务器起个名字,输入IP地址和连接的一些信息。指定了服务器后,服务器命令的客户端就出现了。这个窗口里可以使用BO的功能....点个命令,功能就列给你看了,有的命令如文件名和端口还需要设置参数。设置向导允许服务端执行快速安装,使用默认设置,以便立即使用BO2K控制远程机器。通过设置工具手动进行设置,可以管理很多选项,其中很多选项主要是用于防止BO被发现的伪装工作。
设置向导的过程分为以下几个步骤: 1.服务端文件名 、2.网络协议(TCP或UDP) 、3.端口 、4.加密方法(XOR或3DES)
、5.密码/加密钥匙。设置向导执行完后,会列出服务器的设置工具,有BO2K的运行状况,控制BO2K,客户端/服务器的通讯协议和程序的隐藏。
BO2K怎样进行自我保护?
答:BO2K提供一个图形化的文件浏览方式,可以方便地修改注册表,所有危险之举已经简化到只需鼠标轻轻一点。对于Windows
NT而言,BO2K的危害性就更为巨大:为进行自我保护,BO2K不仅会自动改变自己的进程名称,而且还能自动建立一个自身进程的副本,以备BO2K被删除后还能够“在烈火中永生”。它自己的文件名后面加上一些随机的空格及字母,所以在Windows下无法删除该文件,只能在纯DOS下删掉。也就是说,一旦服务器感染BO2K就必须停机,才能删除。众所周知,重要的服务器停机会造成多大的损失......BO2k还支持多种网络协议。它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。虽然用3DES算法加密的BO2K也有可能被发现,但现在还没有方法来判断其执行的命令。更为令人担心的是,BO2K可以自由地增加或者去掉网络目录的共享属性,也就是说,一旦BO2K进入公司内部网络服务器,那么整个公司网络上的所有文件就都随时有可能被居心叵测的人所“共享”.
BO2K具体可以对电脑进行哪些远程控制?
答:O2K的服务器端程序一旦被激活,你就成为了BO2K的服务器,从此处于黑客的完全控制之下,
BO2K里共有70多条命令,这些命令用来在服务器上搜集数据和控制服务器,包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表,遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后,选个命令,加上参数(如果需要的话),按
“Send Command”(发送命令),就在选择的服务器上执行该命令,服务器的回应也会在回应窗口中显示出来。
黑客可随时启动和锁死系统、猎取密码、获得系统信息;可在你的计算机上出现系统信息框提示,改变HTTP文件服务器访问;可查看、删除、创建网络共享驱动盘和程序;修改注册表;通过远程来拷贝、删除、改变文件名;解压文件;
可使用DNS服务改变主机名和IP地址;可启动和停止BO2K服务系统;加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段:
1.搜索动态IP地址
从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器操作。如果BO2K服务器无静态IP地址,BO2K客户机提供命令:在BO2K客户机的图形界面中使用“Ping...”命令,给对方电脑发个数据包看它能否被访问,看其是否已经“中招”;另外还可以设定目标IP如“202.102.87.*”,通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。
2.系统控制和文件管理
通过相应的命令,BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版
本、驱动器(硬盘)容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名记录下来。
甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等操作的一系列命令,可在BO2K服务器的硬盘目录中查找目标文件,并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表,锁住BO2K服务器的电脑,甚至可以控制BO2K服务器的系统重启动。
3.音频及视频控制
通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备,既可以将视频和音频信号捕捉成为avi文件,也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意,甚至还可以遥控BO2K服务器的多媒体播放,比如在BO2K服务器上播放一个avi文件等等。
4.网络控制 BO2K提供了网络连接、出口地址、TCP
文件接收、网络使用等命令,可以查看BO2K服务器上所有的域名、网络接口、服务器等内容,并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输,还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容,或将所接收到的数据保存到特定文件中。
5.进程控制
BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。
作为一个功能强悍的黑客程序,BO2K的这些功能颇有些令人不寒而栗:因为如果我们的电脑不慎被BO2K侵入,当我们上网的时候自己的电脑就已经毫无秘密可言了,别说拨号上网的口令和系统加密口令了,就连你的屏幕保护口令黑客也知道的一清二楚。
如何清除BO2K?
答:BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序,黑客通过我们登录因特网时的IP地址,用配套的客户端程序登录到我们的电脑,从而实现远程控制我们电脑的目的。从原理上讲,BO2K和著名的PC
Anywhere一样,是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法,就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。
对付BO2K的方法如下:首先检查Windows\system下有没有一个名叫UMGR32~1.EXE的文件;如果是NT系统,则在Winnt\system32目录下检查它是否存在,这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节,
如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。
BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices]
“UMGR32.EXE”=“C:\\WINDOWS\\
SYSTEM\\UMGR32.EXE”
发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)下删除文件名以UMGR32打头的文件(del
umgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的操作系统再做修改了。
另外,如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K
1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法操作”提示而无法在系统中顺利驻留,因此使用Windows98
SE版是暂时免疫BO2K的方法之一(可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在)。
什么是KeyboardGhost,如何清除?
答:KeyboardGhost(键盘幽灵)是一个专门记录键盘按键情况的黑客软件,可以运行在Win9x/NT/2000下。它的原理是这样的:Windows系统为了开辟键盘输入的缓冲区,在核心区保留了一定数量的字节,其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表,将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunService]→KG.EXE这一键值删除,并将文件KG.EXE从Windows\System目录下删除。
同时删除C:\KG.DAT这个文件。
什么是万能钥匙Xkey?
答:万能钥匙Xkey是产自国内的密码查找软件,该软件把词典内容分为“电话号码”、“出生日期”、“姓名字母”、“英文数字”四个部分,在每一部分可以按照需要设置有关参数,以快速地制作出许多破解工具所需要的词典文件。万能钥匙Xkey的
1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 万能钥匙Xkey可以根据你的设置生成各种类型的口令,下面逐一介绍:
1、电话号码:分为“普通电话”和“数字移动电话或寻呼机”两种,这里可以选择不同位数的号码。
在“词典长度”状态栏可以直观地看到词典的长度。词典的越长,那么生成的时间越长、词典文件也越大。2、出生日期:分为月日、年月、年月日三种,并可选择二位或四位年份和设置年份范围。3、姓名字母:分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名;在姓氏范围中,你可以直接输入某个姓氏或按照人口频度选择姓氏范围,在“姓氏范围”中,你可以直接输入某个姓氏或调整人口频度。
除此之外,你还可选择加上固定前缀、常用数字和出生日期,姓名换位或使用分隔符。4、英文数字:此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。
在生成词典文件之前,你还可以对词典中的字母进行大小写设定和设定词条宽度,并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后,来到“生成词典”对话框,点击“完成”按钮,弹出“保存词典文件”对话框,设置要保存的词典文件类型为TXT或DIC,然后用鼠标单击“保存”按钮,Xkey就开始为你生成词典了。
什么是NetSpy,如何清除?
答:Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件,由客户程序和服务器程序两部分组成。在最新的Netspy版本中,客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的操作,如:终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。
要想通过NetSpy自由存取别的计算机上的软件,同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单,只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里,以后每次启动Windows95/98时,就会自动启动netspy.exe程序了。这时,只要在别的计算机上执行netmonitor.exe,在菜单里选择添加计算机,输入目标计算机的IP地址或域名地址,就可以连接到目标计算机上进行操作了,使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码,所以说安装了netspy
server的机器一旦上网,有可能被任何安装了NetSpy客户程序的机器所控制。
由于Netspy.exe程序安装后,每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy,所以它也是一个典型的特洛伊黑客程序:只要设法使欲攻击对象运行一次netspy.exe文件,目标计算机的后门就彻底对外开放了。只要对方的计算机一上网,入侵者就可以神不知鬼不觉地取得它的绝对控制权!
对策是在“开始--运行”里输入REGEDIT.EXE,直接打开注册表,如果在:“HKEY_LOCAL_MACHINE\ Software\
Microsoft\
Windows\CurrentVersion\Run”里如果有类似“netspy”、“C:\windows\system\netspy.exe”等字样,说明NetSpy已经进驻系统。另外一种识别方法是:打开资源管理器,进入Windows下的System子目录,如果发现有NetSpy.exe文件(86.5KB),没说的,中招了!
清除NetSpy的方法是:重新启动计算机,进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器,进入Windows的注册表,找到并删除“KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下NetSpy的键值即可。
什么是ProxyThief,如何清除?
答:ProxyThief被安装后,会用NetInspect 对机器的0到9999端口进行扫描,以找出可用的Free Proxy!端口,
然后通过将你的计算机设置成代理服务器, 达到冒用你的IP上网的目的
。黑客可以通过NetSpy或BO2K这样的工具对ProxyThief进行远程控制。清除方法是运行注册表,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。
什么是“冰河”,如何清除?
答:国产黑客软件“冰河”
与所有的特洛伊木马程序一样,当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行,虽然在表面上看不出任何变化,但事实上,该服务器端程序已悄悄地进驻该机的注册表,以后,只要这台电脑一启动上网,可怕的“后门”(默认端口号7626)就会悄然洞开,可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制(重新启动、关机等)、注册表键值读写等几乎是全方位的控制。
如果上网时一旦不小心误入了“冰河”,脱身的方法如下:
1.在c:\Windows\system目录下,查找并删除名为KERNEL32.EXE的文件。
2.“冰河”为了进行自我保护,它可将自己与文本文件关联,以便在程序被删除后在打开文本文件的时候又自动恢复,这个关联文件是SYSEXPLR.EXE。
3. 检查注册表。在“开始—运行”里输入“regedit”并回车,在“HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion
\Run和HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\RunServices”,查找并删除有KERNEL32.EXE文件的键值。
4.最后,因为“冰河”的服务器端程序名不一定就是KERNEL32.EXE,所以最可靠的办法还是把C盘格式化后重新安装Windows。
什么是GirlFriend,如何清除?
答:GirlFriend属于木马程序。主要是获取目标机的密码等资料,另还可以传送信息、显示bmp图像等。运行了该木马之后,会在HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到键值名Systemtray,在Windows
下生成一个Wind11.exe文件,并将自身删除,然后修改注册表。 清除方法是删除该木马在注册表中所修改的键值名,再在纯DOS下删除Wind11.
exe。
什么是PortHunter,有何对策?
答:PortHunter占用大量的Socks进行端口搜索,盗用SMTP端口(:119)发E-mail、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。PortHunter降低局域网的数据传输效率,危害网络安全。对策是对于Novell
的局域网,采用限制指定程序运行的方法;对于其它框架的局域网的用户,则可以在服务器中设定禁止一些黑客程序的运行。
什么是Deep Throat,如何清除?
答:Deep
Throat属于特洛伊木马,功能还不少:可获取密码及系统信息,重启目标机器,将目标机设置成FTP服务器,读写、运行和删除目标机器上的文件,隐藏开始菜单和任务栏,截获屏幕图像等功能。
Deep Throat 2.0被执行后会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RUN下面找到键值名Systemtray,在Windows下生成“Systray.exe”。
清除方法是删除该木马在注册表中的键值,接着在纯DOS下删除该木马启动文件。
什么是HDFILL,有何对策?
答:HDFILL属于特洛伊木马程序,表面上是个有着可爱画面的安装程序,但是在实际“安装”过程中会自动产生999999999个变长的文件,直到把你的硬盘填满垃圾为止。虽然要清除这么多垃圾文件非常辛苦,但是也只得耐心清除,要不然怎么办,格式化硬盘?对策还是防患于未然,安装LockDown2000来拦截来历不明的软件。
什么是天行刺客,有何对策?
答:运行于Windows
95/98平台的天行刺客通过从路由器中窃取未加密的信息,从而对指定的机器进行监控。你的E-mail、FTP、BBS登录的用户名和密码都会被黑客窃取。对策是尽量少用MS
—DOS下的FTP命令和Windows下的Telnet命令,尽量采用IE这样对你的重要数据进行了加密的浏览器上站。
四、网上防黑术
必须说明,安全防范与攻击破解是相互依存的,我们初步了解黑客软件的攻击原理和手段,是为了更好地进行黑客防范,其中涉及的黑客手段切勿轻易尝试,否则必将受到国家有关的网络安全法规的惩处,一切后果由使用者自负。
如何防止IP的泄露?
答:很多黑客软件都需要先了解对方的IP地址方能发起有效的攻击,为此还出现了类似IPHunter这样的专门用于截获IP地址的工具。显然,要防范黑客的进攻,第一步应该先保护好自己的IP。要想不让对方刺探到我们的真实IP,一个行之有效的方法就是设置并使用具有防火墙作用的代理服务器(Proxy)。我们在通过代理服务器上网的时候,那些“功力”还不是太深厚的黑客通常就只能定位到代理服务器的IP,而无法获得我们的真实IP。
如何让Win98更安全?
答:对普通个人用户来说,Windows
98还是目前最常用的操作系统,但其安全性能比较薄弱,面对潜在的安全隐患,我们可以通过设置登录密码、以及修改注册表里的一些内容,来屏蔽和限制Windows
98系统里的某些敏感功能,限制普通用户的系统使用权限,以提高上网的安全性。
如何设置系统登录密码?
答:设置登录密码可有效地改善系统的安全性,设置方法如下:首先选择“开始”→“设置”→“控制面板”→“密码”,在随后出现的“密码属性”对话框里,在“更改密码”标签下,点击“更改Windows密码”设置新的系统登录密码,当出现“成功更改了Windows密码”提示后,按“确定”退出。接着打开“用户配置文件”标签,选择“用户可自定义首选项及桌面设置...”,完成后按“确定”退出。
重新启动系统,会出现密码输入框,需要正确输入密码方可正常登录。
如何请不速之客吃闭门羹?
答:要谢绝不速之客以默认配置造访我们的Win98系统
,可在每天离开系统前做如下的修改:在“开始”→“运行”里输入“regedit”,然后按“确定”,打开Win98注册表,在“\HKEY_USERS\.Default\Software\Micorosoft\
Windows\CurrentVersion\Run”中单击鼠标右键,选择“新建”---“字符串值”,将该字符串值命名为“你是非法用户吧?哈哈”,将该键值设为“RUNDLL.EXE
user.exe,exitwindows”。这样,当不速之客想要“光临”我们的Win98系统时,电脑将会执行自动关机操作。
如何屏蔽注册表编辑器?
答:通过修改文件注册表,可以根据需要限制普通用户的系统使用权限:为了防止黑客修改注册表,可做如下的修改:在“开始”→“运行”里输入“regedit”,然后按“确定”,打开Win98注册表,在“\HKEY_CURRENT_USER\Software\
Micorsoft\Windows\CurrentVersion\Policies\System”中,选择“新建”→“DWORD值”“DisableRegistryTools”,将其键值设置为“1”。
如何隐藏驱动器?
CurrentVersion\Policies\Explorer”中,选择“新建”→“二进制值”,取名为“NoDrives”,若将其值设为00000000(由四个字节组成),则表示任何驱动器都不隐藏,该值每个字节的第一位对应从A:到Z:的一个驱动器盘符,即01为A,02为B,04为C,08为D......
比方:需要把D盘隐藏起来,则将该键键值设为08000000。
如何屏蔽MS DOS方式?
答:当我们用上一步中的方法隐藏了驱动器后,如果普通用户选择使用MS DOS方式,那么他还是可以进入任何驱动器的,所以还应该考虑屏蔽MS
DOS方式:启动注册表,在“\HKEY_ CURRENT_USER\Software\Micorsoft\Windows\
CurrentVersion\Policies”中新建“WinOldApp”主键,在其下新建一个DOWRD值“Disabled”,键值设置为“1”。
问:如何隐藏桌面上所有图标? 答:启动注册表,在 “\HKEY_CURRENT_USER\Software\Micorsoft\
Windows\CurrentVersion\Policies\Explorer”中,选择“新建”——“DOWRD值”,取名为“NoDesktop”,键值设置为“1”,重新启动系统后,普通用户桌面上的图标就统统消失了。
如何隐藏密码文件?
答:
在Win98中,用户设置的拨号上网等密码都是以.pwl文件的形式保存在Window目录中,这样,一个侵入你系统的人是很容易找到该.pwl文件的。所以,应该把这个密码文件尽快隐藏起来:在C盘的WIndows目录下找到并打开System.ini文件,在其中找到[Password
Lists]项,将密码文件的存放路径改到刚才隐藏起来的驱动器下的目录中,这样你的密码文件就相对安全多了。
如何让ICQ更安全?
答:广受欢迎的网络寻呼软件ICQ具有功能齐全、稳定性好等特点,但是它存在着一些安全上的漏洞。虽然现有的这些漏洞还不至于使ICQ用户的本地数据受到直接损失,但是却可能使我们在网上受到一些别有用心的人的攻击,为有效地避免这种烦恼,可以采取以下的措施来进行一定程度上的防御(以ICQ2000a为例):
1.提高ICQ的安全级别 单击“ICQ”按钮,打开菜单,在“Security & Privacy”栏里找到“Security
level”(安全级别)项,将其设置为“High”(高)。
2.对特定的人“隐身”
如果不希望某人看到你在线,可以这样做:对ICQ的列表中对该人的名字单击左键,在弹出的菜单中选择“Alert/Aeceptmodes”项,在“Status”(状态)标签里“Invisible
To user”(对该人“隐身”)前的复选框里打勾。
3.保护好自己的IP
自己的IP一旦暴露,对方就可以很容易地使用类似ICQBomber(160KB)的攻击性很强的IP炸弹对你进行“轰炸”。比较简单的保护措施如下:
(1)在“Security & Privacy”的“General”标签中,把“Change Contactlist
Authorization”设置为“My authorization is
required...”,设定只有经过你自己同意,别人才能把你添加到列表中。同时,打开“Invisible”标签,通过设置,让某些特定的人看不到我是否在线。
(2)对于2000a以前的版本,可以按“ICQ”按钮,在ICQ菜单里的“Security & privacy”项中选“Do not allow
others to see my IP address”(不允许别人查看我的IP地址)。另外,在“Preferences”(设置)中的Contact
list(联系列表)选择“Show Online Only Tab in the Contact”,这样可以使只有在你列表上的人才能看到你在线。
在ICQ中如何使用SOCK代理服务器?
答:使用SOCK代理服务器也是避免骚扰的一个有效方法。在ICQ中的设置方法如下:在“My Contact
List”(我的联系名单)中把ICQ由“Simple Mode”(简单模式)切换为“Adeanced
Mode”(高级模式)。接着单击“ICQ”按钮,在弹出的菜单里选择“Preferences”(性能设置),选择左侧的“Connections”(连接)一项,将其中的“Server”(服务器)标签下的“Proxy
Settings”(代理服务设置)里选择“Using Firewall---Using
Proxy”,并在“Proxy”里选择SOCK5代理服务器;再选中“Firewall”(防火墙)标签,选择“SOCK5”代理服务器,然后在右边的“Proxy
Server”里把你的SOCK代理服务器地址填入Host框,Port框中填写端口(通常为1080)。最后,在“User”标签下选中“Using
Proxy”,类型选择“SOCK5”。最后单击“Apply”(应用)按钮后按“确定”就可以了。
目前主要有哪些OICQ恶意攻击软件?
答:国产网络寻呼软件OICQ虽然在功能和稳定性上暂时还无法和ICQ相提并论,但是亲切的全中文的界面还是吸引了越来越多的国内用户。随着用户数量的急剧上升,各类针对OICQ的恶意攻击软件也开始纷至踏来,它的安全性也日益受到挑战。
目前比较功能较强的常见恶意攻击软件主要:OICQ Send、网络追捕、OICQ Sniffer、OICQ Nuke Plus、OICQ
密码终结者、OICQ Spy、OICQ好友炸弹、OICQPASS、OICQ对话阅读器、OICQPEEP等,简单介绍如下:
(1) OICQ Nuke Plus:极具攻击性的OICQ炸弹,它的主要手段是在短时间内向
指定的OICQ用户发送大量的信息,使对方的OICQ超载从而达到轰炸对方的目的。
(2) OICQ 密码终结者:采用穷举法来窃取OICQ的密码。新版经过优化后密码搜索速度极快,可以达到2万个/秒。
(3) OICQ阅读器:不需任何密码即可直接查看OICQ聊天纪录文件。?
(4)OICQ
Spy:一个非常全面的OICQ攻击性工具,集成了IP及端口地址的查寻、用户地址查寻、显示对方真实上线地址等功能,非常全面,具有较强的杀伤力!
(5) OICQ对话阅读器:针对本地OICQ的黑客工具,能很容易查看你的OICQ账号、密码和聊天记录,可以说什么秘密都没有了。
(6) OICQPeep: 可以轻易地查出任何一个OICQ用户的在线好友名单和他们的IP地址。
OICQ Send有何特点?
答:OICQ Send是一个利用OICQ发布消息的工具,还可以查找OICQ好友的IP。使用方法十分简单,启动OICQ
Send,将需要发送的OICQ好友的IP地址和端口以及发送内容填入相应的对话框内,按“开始”按钮即可将信息发出,不需要自己的OICQ在线。
要注意的是:在OICQ号的栏目内如果不填如何数值,则程序将自动随机的产生OICQ号,虚拟发送到对方的OICQ的陌生人一栏中,而且每发送一次会更换一个号码!如果填入相应的数值,就可以向该OICQ号码用户发送信息,但最多只能发送8条记录。作者为了避免产生不良影响,特别将发送次数限制在每次20条。另外,在发送内容中填写的字符不能超过1000个,否则会产生系统缓冲溢出。
OICQ Sniffer有何特点?
答:OICQ Sniffer是用于破解OICQ密码的UDP协议嗅探器,目前只能够支持Win
9x系列。该软件针对OICQ的消息协议进行了优化,可以探测到OICQ点对点的通信情况。软件启动后的界面十分简洁、明快。用户只要选择上网方式后按下追踪按钮,便可以查看主界面中显示的内容。
OICQ 密码终结者有何特点?
答:利用OICQ密码终结者可以帮助你快速找回6位的OICQ密码(或者说是采用穷举法暴力破解本地机器上OICQ密码的老牌工具),比以前的密码查找软件OICQPass在功能上前进了一步。
完成安装后启动OICQ密码终结者,可以看到它有一个简单而实用的工作界面。使用的方法是先选择用户搜索用到的字符集,然后在选项前面的复选框里打钩;然后选择自己的想要搜索密码的起止位数,最后选择OICQ的解密目录。例如:你的OICQ目录是c:\program
files\oicq,你要解密的OICQ号是123456,那么你应该选择的解密目录就是:c:\program
files\oicq\123456。点击“开始”,立即开始查找OICQ密码,可以观察到工作进度。
什么是OICQPassSniff?
答:OICQPassSniff是一个近乎于“木马”性质的工具,用于破解本机的OICQ密码,只能在Windows
9x下使用。执行程序后没有任何界面出现,程序在后台不露声色地自动运作。最好是手动设置为在Windows启动后自动运行,以后每当有用户登录OICQ时,所有的密码都会被记录在c:\log.txt文件里。
何为OICQ好友炸弹?
答:OICQ好友炸弹是专门对那些在OICQ加入好友时需要身份验证的人进行恶作剧的小工具。填写OICQ服务器名称或IP地址、自己及对方的OICQ号码、请求信息的内容和发送次数,然后点击“开始”,你设置好的骚扰信息就会向陌生人的OICQ发起狂轰滥炸......另外,在进行攻击之前,点击“他的资料”就能查看对应号码用户的所有资料,以保证自己不会随便乱炸。对付这个恶作剧工具的方法是:在OICQ中修改用户资料,在“网络安全”标签中把“身份验证”级别定在“不允许任何人把我列为好友”。这样,你的好友将全部由自己来添加,但却会失去一些广交朋友的机会。
什么是XOICQ?
答:XOICQ是一个查OICQ好友IP以及进行炸弹攻击的二合一OICQ攻击工具。
使用时启动软件,先在根据自己的上网方式在“Adaptor”里选择正确的适配器(否则程序无法继续执行并可能死机),接着点击
“Detect”按钮,截获的对象资料将显示在“在线名单”“List on line”里面。最后选择对象,点击“Add in
attack”,把它添加到攻击对象名单里,然后按“Attack”开始发起攻击。
OICQPeep有何特点?
答:OICQPeep运行于Win98/NT,用于查看OICQ上聊天对象的IP地址,该程序短小精悍且无须特别安装。第一次启动OICQPeep时,在弹出的窗口里选择的上网类型、默认端口号,再填入自己OICQ号码即可。先启动你的OICQ,再运行OICQPeep,然后再按下OICQ的显示按钮,此时你的OICQ在线好友列表里的OICQ号码及其IP地址便就会显示在右边的文本框里。用OICQPeep
来查找IP地址比传统的NETXRAY更为简单、实用,无须发送消息给对方。
网络追捕有何特点?
答:网络追捕是一个针对OICQ的黑客软件。可以查询对方IP的域名,可以设置智能追捕功能,在激活追捕时可以自动从剪贴板上取出IP地址进行查询;可以把查询结果隐藏在系统任务栏中;可以分析一些IRC服务器为了保护聊天者而虚设的IP地址等。第一次启动网络追捕会弹出一个很简洁的提示菜单,根据需要选择执行的操作后,点击一下菜单上的追捕按扭即可。
OICQSpy有何特点?
答:
OICQSpy是一个重量级的OICQ工具。利用它不仅可以监视对方的IP和端口地址,显示对方的上网真实地址和上线时间,而且还可以发送匿名信件;扫描指定计算机的NetBIOS信息。另外,它还可以过滤OICQ炸弹;
软件安装完成后运行OICQSpy.exe,首次运行该程序时会自动弹出一个设置对话框。将其中的OICQ服务器地址设为202.103.190.46,端口设为8000即可。代理端口可任意设置(最好大于1024),
选择IP数据库的路径时可设置为OICQSpy自带的wry.d11。
启动OICQ后,更改系统设置中的网络设置,将上网类型设置为“局域网接入Internet”,用户类型为“Internet用户”,服务器地址设置为“127.0.0.1”,然后点击“添加到列表”,端口号应为前面设置的OICQSpy的代理端口。完成上述设置后,OICQSpy主窗口中将列出所有在线好友的IP、端口、真实地址、上线时间等各种信息。
使用OICQSpy后,由于OICQ的信息要通过代理服务器传送,所以起到了保护自己IP不被OICQPeep这样的工具探查,从而避免OICQ炸弹的袭击。
OICQ ShellTools有何特点?
答:该软件的功能与OICQSpy比较接近,
利用这个软件可以查出自己OICQ好友的IP地址;配合网络追捕的数据库,不仅可以知道对方的地址,甚至还可以冒充其它人发言。安装好OICQ
ShellTools软件后,首先启动自己的OICQ,然后离线,然后再启动OICQ
ShellTools,按照提示填上号码、密码,然后点击“OK”,OICQ好友的秘密就都将呈现眼前。如果想要匿名发送,只需要填上号码和对方的IP地址、端口地址,然后选择发送即可。
如何提高OICQ的安全性?
答:(1)尽量使用最新版本的OICQ软件,因为新版本不仅修改了旧版中的各种BUG,而且往往更稳定快速(最近修改了通讯底层协议的Build
0820版就一个典型的例子)。重要的是,原来针对旧版的OICQ黑客软件,面对时新版往往无能为力。
(2)如果是在网吧或机房等公共场合上网运行OICQ结束后,找到OICQ的安装目录,将以你的OICQ号码命名的那个子目录删除,并随即清空回收站,就可以避免密码被盗和记录被别人偷看了。
(3)使用OICQShield之类的OICQ“盾牌”软件,能够使你避免遭受OICQ Nuke之类OICQ炸弹的攻击。
(4)如果可能的话,使用个人防火墙。单击“OICQ”按钮,选择“系统参数”,进入“网络设置”标签,在“使用ProxySocket5
防火墙”,并填入防火墙的地址和端口号就可以了。另外,在“本地安全”标签里,还可“启用本地消息加密”。
为什么要提防CGI?
答:我们平时上网用的IE等浏览器大都支持CGI、JAVA、ASP等技术。一些别有用心的人利用系统存在的漏洞编写出一些特殊的代码,当你打开包含这些代码的页面时,该代码就会被浏览器自动执行并产生破坏作用。其中典型的恶作剧代码——“窗口炸弹”,包含这一代码的页面被打开后,就会迅速自动打开无数个浏览器窗口,直至你的系统资源被彻底耗尽!另外一种代码则更为阴险,包含了该种代码的页面一旦被打开后,就会自动寻找本机的密码文件并发回服务器。
有效的防范方法是使用防火墙、避免访问来历不明的站点,增强网络管理级别,尽量避免CGI等代码的自动运行。
怎样防止电子邮件炸弹的攻击?
答:1. 不要轻易向别人透露自己的ISP电子邮箱,可根据用途多申请几个163、263这样的免费邮箱,以方便对外联系时使用。
2.一般ISP邮箱或163、263免费邮箱都具有邮件过滤器系统,提供邮件拒收功能。这个功能可以帮助我们把那些令人讨厌的垃圾信件自动退回。只要在邮箱的服务器端设置好就行了。同时你还可以设置具体的过滤规则,同时关闭邮件的自动回复功能。
3.对于使用Foxmail的用户,如果意外遭到电子邮件炸弹的的袭击,可以利用Foxmail的远程邮箱管理功能(在菜单里选“工具”——“远程邮箱管理”),先不会把信件直接从主机上下载,而只是先取包括了它包含了信件的发送者,信件的主题等信息的所有邮件头信息,用“view”功能检查头部信息,看到信件中的不速之客后,可直接使用删除命令把它从主机服务器端直接删除掉。
4.如果你的电子邮箱支持POP3,邮箱被炸后你也可以采用专门的砍信软件(如E-mail Chomper等)来处理,可以高速删除大量的垃圾信件。
五、网上安全策略
信息的全面数字化和电子网络的四通八达,突破了时空的阻隔,使得当今世界正朝一个电子化的“e—World”逐渐演进,依靠电脑网络,就可以运筹帷幄、决胜于千里之外。然而,这一切都必须建立在良好的网络发展环境和安全的网络运作基础之上。
各种黑客程序虽然功能强大,但并不可怕。只要我们作好相应的防范工作,上网时又能独善其身,这样就可以大大降低被黑客攻击的可能性:
1.重要数据常备份 确保重要数据不被破坏最好的办法是定期或不定期的备份工作,
如硬盘分区表、系统注册表、WIN.INI和SYSTEM.INI等。特别重要的文件应该每天备份。
2.不运行来历不明的软件
我们知道,黑客的服务器程序必须被植入目标计算机系统方能发挥作用,所以我们就不要轻易运行从陌生的不可靠的Internet网站(特别是某些黑客站点)、不可靠的FTP站点上下载的软件,因为黑客软件可以被十分容易地捆绑到任何一个可执行程序上,运行又无法发觉,当你接受到一个来历不明的软件,就有可能包含了后门程序。攻击者常把后门程序换一个名字作为E-mail附件发给你,并骗你说:“我不知道这个软件怎么用,请帮我试一下”之类的话,这时一定不要上当!其他的程序比如游戏软件、屏幕保护程序、新年贺卡程序都很有可能携特洛伊木马进驻你的电脑,所以千万不要运行来历不明的软件。另外,盗版光盘上的许多黑客工具也是暗藏玄机,别轻易中招喔。
3.使用反黑客软件
尽可能经常性地使用多种最新的、能够查解黑客的杀毒软件(或可靠的反黑客软件)来检查系统。必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的防病毒工具未必能够防御黑客程序。另外防火墙也是抵御BO2K等黑客程序入侵的非常有效的手段。
4.防人之心不可无
要时刻保持警惕性,例如,不要关闭浏览器的数据传输提示窗,许多上网的用户都设置为“以后不再询问此类问题”,这样容易失去警觉,越来越大胆地访问、下载和在WEB上回答问题。
最好关闭浏览器的“接受Cookie”——不管是在IRC或是访问别人的网站, 因为没人能保证它给你的那几十个或几百个字节的Cookie
是出于一片好心。上网觉得不对劲时(比如程序自动运行、频繁的死机),应该立刻断线下网,用我们刚才说过的多种方法进行安全检查,看看是否已经被黑客的特洛伊木马进攻了。
5.不要暴露自己的IP 上网注意不要把自己的IP显示出来。某些聊天室会把你聊天用的密码写入你的缓存里面,
自己最好每次清理你的缓存(WINDOWS目录下的Internet Temp文件夹),删掉那些文件名含有自己密码的文件。
总之,对于个人用户而言,要提高上网时的安全性,除了独善其身,做到不访问黑客站点、不运行来历不明的软件,并对系统进行一定的安全性设置外,还有一个很有效的防范措施就是安装使用个人防火墙。对此,我们稍后将做详细的介绍。
网页显示有限 阅读全文请下载本文完整版WORD文档