由于Windows的超强兼容性和易用性,已经使其成为了目前用户群最大的操作系统甲台。但根据实际的使用情况来看,虽然微软曾宣称其Windows2000的安全性已经达到了C2级,却依然离用户的安全性要求还差得太远。
1设置Windows2000系统的账户登录口令
Windows2000在系统登录上把系统设定为用户必须输入用户名和密码才能使用本机,那么,如果不输入正确的用户名和密码将不能进入系统:同时用户被分为管理者、用户和来宾三类,各有其不同的权限,这就为规范计算机用户管理提供了手段。
1.管理员账户
用户在为自己创建账户之前,需使用该账户,该账户是第一次安装工作站或成员服务器时所用的账户。管理员账户不能被删除、禁用或从本地组中删除,从而就确保了自己不能通过删除或禁用所有的管理员账户而被锁定在计算机之外,管理员账户是工作站或成员服务器中管理员组的成员。
2.来宾账户
来宾账户供在本机上没有实际账户的人使用(含账户被禁用的用户).来宾账户不需要密码.在默认情况下是禁用的,可以根据需要进行启用。默认情况下,该账户是内置来宾组的成员,该组允许用户登录工作站或成员服务器(其他权利及任何权限都必须由管理员组的成员授予)。
3.创建用户和密码设置
一般情况下,出于管理和安全的需要,采用为计算机各用户分别建立账户并设置密码的方式,而不通过管理员账户登录系统。
具体操作方法如下;
①右击【我的电脑】,选择【管理】命令,选择控制台树【率地用户和组】中的【用户】项,2-1。
②右击【用户】项并单击其中的【新用户】命令,在2-2的对话框中输入适当的信息井选中或清除复选框。
③最后单击【创建】按钮,完成之后单击【关闭】按钮即可(除非新用户仅执行管理任务,否则不应该添加到管理员组中)。
④如果想要更改用户密码。则可以单击控制台树“本地用户和组”中的“用户”项并选中要更改的用户账户。
⑤在选中的用户账户上单击鼠标右键并选择【设置密码】命令,2-3。
由于Windows2000的管理员用户特征,当忘记自己登录账户的密码时,只要拥有管理员账户密码就没关系;但如果把这最后的金钥匙也“丢了”那就麻烦多了。由于这种事情经常发生,于是便产生了下述种种破解登录密码的方法。
2.入侵与防御Wmdows2000系统的输入法漏洞
Windows2000中的简体中文输入法在默认安装情况下不能正确检测当前的状态,从而
就导致在系统登录界面中提供了不应有的功能。此时,黑客就可以通过直接操作该计算机
键盘得到当前的系统权限并可以运行其选择的代码,更改系统配置,新建用户。添加或删
除系统服务,添加、更改或删除数据,或执行想要执行的其他操作。
Windows2000简体中文版的终端服务能使系统管理员对Windows2000进行远程操作,
但仍然存在这一漏洞,用户在远程控制计算机时其功能与在本地使用一样,其默认端口为3389’用户只要安装Windows2000的客户端连接管理嚣就能够与开启该服务的计算机
相联。
最后还要提醒网管一点,如果用户登录进入注册表以后修改2-15的相应键值,一般是很难被追查到的。
2.输入法漏洞的防范
黑客竟然可以利用一个小小的输入法漏洞轻易进入自己的机器,实在是太可怕了,不过不用担心,有矛就有盾,可以通过采用如下方法来实现输入法漏洞的防范。
①打上Mndows2000操作系统补丁。
Windows2000SP2以上的补丁已经堵住了该漏洞(为了预防黑客通过操作系统的其他漏洞对机器发起攻击,最好打上最新的补丁),下载后直接将该补丁打上即可消除此安全缺陷,可使简体中文输入法识别计算机状态并在登录时只提供适当的功能。
②删除输入法帮助文件和不需要的输入法。
为了防止黑客通过输入法漏洞对自己的机器进行攻击,建议删除不需要的输入法,例如郑码等,对于要使用的有漏洞的输入法则可以考虑将该输入法的帮助文件删除掉。
这些帮助文件通常在Windows2000安装目录(如C:\WINNT)的Help目录下,对应的帮助文件分别是:
WIMME.CHM:输入法操作指南。
WINSP.CHM:双拼输入法帮助。
WINZM.CHM:郑码输入法帮助。
WINPYCHM:全拼输入法帮助。
WINGB.CHM:内码输入法帮助。
③停止终端服务
选择【我的电脑】→【控制面板】→【管理工具】→【服务】进入2-16的服务管理器窗口,禁用其中的TerminalServices服务即可,不过这种方法将会造成自己也不能使用终端服务的局面,对于用户来说代价未免太大了。
上面的几种方法,只要执行了其中的一项,都可以防止黑客对Windows2000机器进行输入法漏洞攻击,用户可以根据自己的需要进行选择。
3.Windows2000系统崩溃漏洞的攻防
使刑Windows2000系统的终端用户只要按住右ctrl键.同时再按两次ScrollLock键,就可以让整个Windows2000的系统完全崩溃,但同时会在C:\WINNT下dump文件夹中完整地保存下当前系统内存记录,内存记录文件名是memory.dmp。
不过在默认状态下,这个奇怪的特性还是处于关闭状态的,所以一般不必害怕。但如果被人通过修改注册表的方法将其激活,被黑客通过网络进行了修改,后果将是很严重的。
4.SAM数据库安全漏洞攻防实战
由于Windows2000将密码存放在了系统所在WINNnsystem32\config文件夹下的SAM文件中,2-20。SAM(SecurityAccouⅡtsManagementDatabase)文件即账号密码数据库文件。因此,当有用户登录系统时,系统就会自动和colrtfig中的SAM校对,如发现密码和用户名全与SAM文件中的加密数据符合,则可顺利登录;如错误则无法登录。知道了系统登录的ia一原理之后,就可以想办法让SAM文件失效来实现自由登录,让它失效有两种办法,即一一改名或删除。
1.利用SAM安全漏洞实施攻击
其实,造成WindowsNTf2000这一安全隐患的主要原因是用户账号太集中地存放在了SAM文件中。因此,一旦SAM文件被人为改动,系统就将在启动时报告错误并重新启动。实际上也就足崩溃了。
并且SAM文件一旦丢失,系统的另一个致命缺陷:没有校验和恢复SAM文件的能力就暴露无疑。如果想要消除这一安全隐患,其关键就是要防止人为改动SAM数据库文件。
2.消除SAM数据库的安全隐患
消除S/AM数据库安全隐患的方法主要有以下3种:
①在BIOS里设置禁止从软盘和光盘启动,然后为进入BIOS设置一个密码,别人就不能随意更改BIOS里的设置,也就不能从软盘或光盘启动进入自己的硬盘,从而就保证了自己Windows2000系统的安全。
②在一台计算机上只安装一个操作系统,而且把rMndawsNT/2000的启动分区和系统分区格式化为NTFS或NTFS5。
③将SAM文件设置为只读且隐藏,2-22。这样,对于DOS命令不是粮熟悉的人也将无法找到该文件,或者即便找到也不知该如何删除,从而起到一定的保护作用。
5.NetBIOS漏洞的入侵与防御
NetBIOS即NetworkBasicInputOutpmSystem(网络基本输入输出系统).是一种应用程序接口(API),在局域网内部使用NetBIOS协议可以非常方便地实现消息通信,但在Lntemeti-.NetBIOS就相当于一个后门程序,黑客可以利用NetBlOS漏洞发起攻击。
在接入互联网时如果安装TCPIP协议,NetBIOS也被vruidows作为默认设置载入了计算机,从而使其139端口被打开,具有了NetBIOS本身的开放性。
2.NetBIOS漏洞攻击防御之法
如果平时不需要NetBIOS提供的共享文件和打印之类的功能,则可以采用关闭139端口或禁用NetIOS协议的方法来防御NetBIOS漏洞攻击。
①右击桌面上的【网络邻居】并选择【属性】命令,在2.28的对话框中右击【本地连接】并选择【属性】命令,取消选中2-29【本地连接属性】对话框中IMicrosoft网络的文件和打印机共享】复选框,解开文件和打印机共享绑定,这样就可以禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
②在【本地连接属性】对话框中选中【lmernet协议(TCP/IP)】复选框并单击【属性】按钮,在2-30的Intemet协议(TCp,IP)属性对话框中单击【高级】按钮,在2-31的【高级TCP/IP设置】对话框中选中WINS选项卡,选中禁用TCP/IP上的NetBIOSl单选按钮后即可解除TCP/IP上的NetBIOS。
③选择【我的电脑】→【控制面板】→【管理工具】→【本地安全策略】中的【iP安全策略,在本地机器】项,定义一条阻止任何ip地址从TCP139和TCP445端口访问自己lP地址的IPScc安全策略规则,2-32。这样,本帆的139和445两个端口就小会在别人使用扫描器扫描时给其任何回应。
④选择【我的电脑】→【控制面板】→【管理工具】→【服务】,进入服务管理器,关闭其中的Server服务,2-33。这样可以中止本机对其他机器的服务.当然也就中止了对其他机器的共享。但是该服务关闭之后将会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。
⑤也可以通过设置防火墙来阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方lP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“O到O”,设置标志位为“SYN”,动作设置为“拦截”,最后单击【确定】按钮并在【自定义lP规则】列表中选中此规则即可启动拦截139端口攻击了。
以上的几种方法中,根据机器本身的具体情况,选择任意一种方法执行即可达到关闭NetBIOS协议的目的。
6.实战Windows系统RPC漏洞的攻防
RemoteProcedulreCall(RPC)调用是'Mndows使用的一个协议,在处理通过TCP/IP进行信息交换的过程中,如果遇到畸形数据包,将导致RPC服务无提示地崩溃掉;而且由于许多应用和服务程序都依赖于该RPC服务(默认安装情况下该服务的135端口是开放的),因此可以造成这些程序与服务的拒绝服务。
黑客如果要利用这个漏洞,可以发送畸形请求给远程服务嚣监听的特定RPC端口,如135、139、445等任何配置了RPC端口的机器,受到攻击的Windows系统大多出现系统蓝屏、重新启动、自动关机等现象。
2.RPC漏洞的防范
①更改RPC服务设置。
选择【控制面板】→【管理工具】→【服务】,双击【服务】对话框中的RemoteProcedureCalI(RPC)服务项,把【恢复】选项卡中第一、二次失败以及后续失败都选为“不操作”(Windowsxp下默认为重新启动计算机),2-36。
当WindowsXp’系统出现2-35的重新启动计算机的提示时可以立即运行“shutdown-a”命令来取消它,这样可以防止系统重新启动,方便进行下一步的操作。
②安装微软提供的RPC补丁。
用户需要根据自己所用的操作系统下载微软针对RPC漏洞提供的补丁。
7.用启动脚本法实现系统登录
启动脚本是邀请用户登录之前运行的批文件,“启动脚本法”就是利用Windows2000的启动,关机脚本(startup/shutdownscripts)的运行机制来达到登录目的。其功能类似于Windows9x和DOS中批处理文件auroexec.bat;同样,关机脚本是计算机关机之前运行的批文件。由于脚本文件是在Windows2000登录机制之前运行的,所以可以通过修改脚本内容来对系统进行设置(例如增加管理员、修改密码等)。
因此,可以通过编写一个FAT32分区用Windows98启动盘启动.NTFS分区用另一台Windows2000计算机启动的脚本来实现,主要操作步骤如下:
①在故障系统分区“X:lWI《NT、system32\GroupPolicy\Maclune\Scripts\Staflup”下编写一个内容为“NctUserAdministrator12345”的批处理文件Admin.bat来实现管理员密码的恢复,并将这个文件保存。
②接着编写一个内容为“【Startup]OCmdLine4dmin.batOParameters=”的启动,关机脚本配置文件Scripfsini.并将其保存在“X:\WINNT\system32\GroupPolicy\Machine\Scripts”下。
③让系统从故障分区启动,然后就可以使用用户名Adminisrrator、密码12345来登录自己的计算机了,
8.WindowsXP的账户登录口令
在WindowsXP中遗失密码所遭遇的情况与在Windows2000下又不相同,此时将会得益于自己在设置密码时留下的线索和WindowsXP的阻止密码策略。
由于在设置用户密码时WindowsXP允许用户创建一个提示,以便在用户忘记密码的时候能够获得一些线索,请大家千万不要放弃使用这个最方便找回密码的方法。
要确保密码提示在不暴露密码的同时,可以帮助自己清楚地回忆起密码,因为所有人都能够看到自己的密码提示。当完成以上的操作之后,单击【更改密码】或【创建密码】按钮。这样,当再次出现登录时忘记密码的情况时,单击密码提示右边的“?”号就可以看到自己设定的密码提示了。
对于计算机合法用户,如果只是忘记了密码,自然有更多的破解方法,其中之一就是使用通过系统制作的密码盘。执行该制作任务的步骤根据个人情况有所不同,这依赖于计算机是否是网络域的成员或工作组的一部分或是单独的计算机,下面以不周情况分别介绍。
1.计算机在域中的破解方法
①直接按CrrI+Alt+Delete组合键打开【Winciows安全】对话框。
②单击【更改密码】按钮打开【更改密码】对话框。
③单击【备份】按钮打开忘记密码向导。
④单击【下一步】按钮按照屏幕上出现的指令操作即可得到一张密码重设盘。
2.计算机不在域中的破解方法
①选择【开始】→【设置】→【控制面板】→【用户账户】,在弹出的【用户账户】对话框中选择自己的账号,2-37。
②然后单击【阻止一个已忘记的密码】链接,2-38。
③接下来按照2-39的【忘记密码向导】一步一步往下走,直至完成,就可以得到一张密码重设盘。千万别忘了把它收好,因为别人用同样的方法也可以轻而易举地登录到自己的账户。
如果在启动自己的账号时突然发现忘记了登录密码,此时就可以用到密码重设盘了,具体的使用方法如下:
①将密码重设盘插入软驱,单击账户旁边向右的箭头,在弹出的提示框中单击使用密码重设盘。
②按照弹出的【密码重设向导】提示便可更改密码并启动计算机。
③然后就可以将密码重设盘放回安全的地方了。
密码重设盘无须多次制作,无论自己更改了多少次密码。这张盘都是有效的。
如果自己忘记了Windows登录密码,并且没有创建密码重设盘,也不是完全没有可能来解决这个问题。如果自己的计算机有一个系统管理员账户,就可以使用此账户登录wndows并为其他账户重设密码。
具体操作步骤如下:
①选择【开始】→【设置】→【控制面板】一【用户账户】在弹出的【用户账户】对话框中选择忘记密码的账户名并单击【重设密码】或【更改密码】按钮(视是否连接到域而定)。
②根据提示输入两次新的密码,然后单击【确定】按钮。
③单击【重设密码】按钮对于登录到域环境的用户有可能无效,这一操作只适用于修改Windows登录密码,不适用于修改域登录密码。
重设Windows密码可能会导致登录站点和网络连接的密码丢失,但至少不会因为忘记密码而无法进行任何操作。
此外,还可以使用在WindowsXP中提供的“netuser”命令来解除登录密码,该命令可以添加、修改用户账户信息,其语法格式如下:
该命令中每个参数的具体含义在WindovrsXP帮助中有详细的说明,这里不再赘述。下面以恢复本地用户SN口令为例,来说明解决忘记登录密码的步骤。
①重新启动计算机并在出现启动画面后马上按下F8键,进入选择启动方式并选择按“带命令行的安全模式”方式启动.
②当运行过程结束时,系统将会列出系统超级用户Adminisuatar和本地用户SN的选择菜单。用鼠标单击Administrator进入命令行模式。
③输入命令“netuserSN123456/add”,强制将SN用户的口令更改为“123456”。如果想在此添加一个新用户(如用户名为abc.口令为123456),则输入“netuserabc123456/add”.添加后可用“netlocalgroupadministmtorsahc/add”命令将用户提升为系统管理组Administrators的用户,并使其具有超级权限。
④重新启动计算机并按正常模式运行系统,此时将会发现,已经可以用更改后的口令“123456”来登录SN用户了(本方法需要制作一张可以访问NTFS文件系统的启动盘)。
也许大家会对以下利用不设防的Admirustrator破解WindowsXP登录账户感到惊讶(当然,它也足需要前提条件的).具体操作步骤如下:
①重新启动计算机,在出现启动菜单时按F8键进入高级选项菜单,选择“安全模式”,以Adnunistrator账户进入系统。
②选择【开始】→【设置】→【控制面板】→【用户账户】。设置AdnuIusLrator账,’密码。
◎重新启动计算机后,以Administrator账户和密码登录WindowsXP。
虽然以后的WindowsXP正常登录界面中不会出现Adrrunistrator这个账户,但实际上这个账户是存在的,只要在启动时按F8键选择从“安全模式”启动就可以看到。不少用户在安装系统时会习惯性地省略输入密码这一步,所以会因一时疏忽而留下安全漏洞。
当然也有补救方案,就是以安全模式登录,将Administrator账户的密码修改或干脆删除这个账户。经过这样处理之后,就可以真正确保计算机管理员权限的安全性了。
2.2守好组策略与注册表的登录之门
通过使用组策略可以设置各种软件、计算机和用户策略,如可使用组策略从桌面删除图标、自定义【开始】菜单并简化【控制面板】,还可以添加在计算机上运行的脚本,甚至可以配置InternetExplorer。
组策略对本地计算机可以进行本地计算机配置和本地用户配置两个方面的设置,所有对计算机策略的设置保存到注册表HKEY_LOCAL_HACHINE的相关项中,对用户的策略设置将保存到注册表HKEY_CURRENT_USER的相关项中。
2.组策略登录安全之账户锁定策略
WindowsXP包含的账户锁定功能可以在登录失败的次数达到管理员指定的次数之后禁用该账户。如可以设定在登录失败次数达到5~10次后启用车地账户锁定,在至少30分钟后重置该账户,或者将锁定期限设置为“永久(直到管理员解锁)”。如果觉得过于严厉,还可以考虑让账户在一定的时间之后自动解锁。
使用账户锁定的目的通常有两个:
①使试图使用无效密码登录用户账户的多次操作被察觉到。
②防止辞典攻击时猜测账户密码的企图,或反复猜测密码的企图。
在这里没有一个能适用于所有情形的设置,用户可以根据自己的环境考虑合理的设置。
如果一个账户已经被锁定,管理员可以使用ActiveDirectory用户和计算机工具启用域账户或者使用计算机管理启用本地账户,而不用等待账户自动启用。
设定账户锁定进项可以为用户提供两大好处:①一个想要成为攻击者的人将不能使用该账户,除非他能够只尝试少于管理员设定的次数就猜出密码。
②如果自己认可了对登录记录的记录和检查,并记录这些登录事件,回顾登录日志,它们会帮助自己发现那些危及安全的登录尝试。
系统内建的Administrator账广不会因为账户锁定策略的设置而被锁定,然商当使用远程桌面时,会因为账户锁定策略的设置而使得Administrator账户在限定时间内无法继续使用远程桌面(Administrator账户的本地登录是永远被允许的)。
要通过安全模板组件修改账户锁定策略的设置,在【Window.s设置】→【安全设置】→【账户策略】→【账户锁定策略】中找到它,然后查看或编辑当前设置。
2.2.2.组策略登录安全之密码策略
如果访问WindowsXP计算机的有多个用户,并且他们希望自己的数据不会彼此看到,则应该为该计算机上的每个账户指定密码。在默认情况下,WindowsXP的每一个用户都有独立的但可被访问的文件存储区(可以选择密码保护)。
当为自已创建密码之后,Windows会锁定“我的文档”文件夹及其所有的了文件夹。这样,当自己拥有了密码并且希望保密时,计箅机上的其他非管理员用户就无法访问自己的数据(指定账户密码还可以阻止他人来使用该计算机)。
因此,在对账户策略进行修改之前,最好先复查自己网络中已有的密码策略,在账户策略中设置的内容应该跟已有的密码策略相符台。
笔者在这里建议的密码策略主要包括:
+绝小可以将密码写在纸上井放在一个别人很容易发现的地方。
+所设定的密码要很难猜测.并且最好能包括大小写字母、特殊字符(标点符号以及扩展字符),最后还有数字(字典中的词语切勿用作密码)。
要使用安全模板组件修改密码策略设置,依次双击【账户策略】→【密码策略】来查看或编辑当前设置。
默认情况下,用户可以在任何时间修改自己的密码,因此,用户可以更换一个密码,然后立刻再更改回原来的旧密码。这个选项可用的设置范围是0(密码可随时修改)或者1~998(天),建议设置为l天。空密码和太短的密码都很容易被专用破解软件猜测到,为减小密码破解的可能性,密码应该尽量长,建议设置12个字符。
实际上Windows2000和XP支持长达127个字符的密码。长度超过14个字符的密码有一个很明显的优势,长密码的LanManagerHash值是无效的,因此这样的密码不能被密码破解工具利崩常规的方法破解。但安全模板的相关设置不允许使用长度超过14位的密码,并且网络中如果有Windows9x或者WindowsNT4.0及更早版本的情况下,长度超过14位的密码存计算机的图形界面中就没有足够的空问以供输入。
建议有特权用户(如Administrators组的用户)的密码长度都要超过12个字符。一个可选的来加强密码长度的方法是使用不在默认字符集中的字符。
密码必须同时包含大写字母、小写字母、数字,还有特殊字符(如标点符号)等3~4种元素,同时密码还最好不要和用户的用户名相同。这个镱略将会在用户下次更改密时候生效,已有的密码却不受该策略影响(建议启用该项)。
NSA提供了一个增强密码复杂性的插件ENPASFLT.DLL,这个密码插件可以强制用户使用最短8位的密码,并且要包含所有上述的4类字符。
2.2.3组策略登录安全之更改Administrator账户
在安装WindowsXP过程中,安装程序会自动创建一个名为AdminisI]rator的系统管理员账户,用户可以在安装时就设置密码,也可以在安装之后设置密码。
安装之后设置密码是在【控制面板】中进行的,选择【开始】→【设置】→【控制面板】→【用户账户】,弹出【用户账户】管理窗口,在其中进行设置,但前提条件是必须加入到域用户中,如果没有加入到域中将无法进行设置。
如果利用组策略来更改Admirustrator账户,则相对较为简单一些,具体操作如下:
①为了使用组策略编辑器,必须使用一个有管理员权限的账户来登录到计算机。首先选择【开始】→【运行】命令,在2-40的【打开】文本框中输入“mmc”并单击【确定】按钮。
②执行2-41的【控制台1】对话框中【文件】→【添加/删除管理单元】命令,或在该对话框中直接按CtrI+M组合键。
③单击添加按钮并在【独立管理单元】对话框中选择“组策略对象编辑器”项,2-42,然后.单击添加按钮即可。
④如果不希望编辑“本地计算机”策略,则可以单击浏览按钮,以找到自己希望的组策略,2-4。如果提示输入用户名和密码,请输入并在返回【选择组策路对象】对话框后单击【完成】按钮。
⑤单击【关闭】按钮并在【添加删除管理单元】对话框中单击【确定】按钮,选定的GPO即显示在控制台根节点下。
⑥选择【开始】→【运行】命令并在【打开】文本框中输入“Gpedtmsc”后单击【确定】按钮,即可打开2-44的组策略编辑器。
⑦在左边窗格中定位到【计算机配置】→【Wndows配置】→【安全设置】→【本地策略】→【安全选项】分支,在右边窗格中选中并双击【账户:重命名系统管理员账户名】项弹出2-45的对话框,在该对话框中可以更殴系统管理员Administra,tor的账户名。
2.2.4组策略登录安全之设置用户权限
当多人共用一台计算机时.可通过组策略在WindowsXP中设置用户权限。具体操作步骤如下:
①在组策略编辑器窗口的左侧窗格中逐级展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【用户权利指派】分支,246。
②双击需要改变的用户权限,单击添加用户按钮,然后双击想指派给权限的用户账号,2147。最后单击【确定】即可。
由于SAM文件中保存了系统最敏感的用户名和密码信息,禁止对SAM的匿名枚举可以保护账户的安全。具体操作步骤如下;
①在组策略编辑器窗口的左侧宙格中逐级展开【计算机配置】→【Wndows设置】→【安全设置】→【本地策略】→【安全选项】。
②2-48.双击【网络访问,不允许SAm账户的匿名枚举】项,确保选中【已启用】单选按钮。
③同时还要启用【不允许SAM账户和共享的匿名枚举】项,2-49。
阻止访问命令提示符的功能主要用于防止用户运行【命令提示符】窗口(Cmd.exe)这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。设置的具体操作步骤如下:
①在组策略编辑器窗口的左侧窗格中逐级展开【用户配置】一【管理模板】一【系统】,2-50。
②如果确定要启用这个设置,则当用户试图打开【命令提示符】窗口时,系统将会显示一个消息阻止这种操作。
③如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件,也不防止使用终端服务的用户运行批文件。
2.2.5阻止访问和非法编辑注册表编辑器
使用阻止访问注册表编辑策略将禁用RegediLexe,以禁用Windows注册表编辑器。具体操作步骤如下:
①在组策略编辑器窗口的左侧窗格中逐级展开【用户配置】→【管理模板】→【系统】,2-50左图。
②如果这个设置被启用,并且用户试图启动注册袁编辑器,禁止操作提示消息就会出现。
由于注册表是整个系统的灵魂所在,任何对注册表的错误修改都有可能让系统瘫痪。
因此,如果自己不是一位系统高手的话,最好不要轻易动手修改注册表。当然在公共场所,为了防止那些计算机“菜鸟”们随意更改注册表设置,最好还是取消其他用户对注册表进行修改的权利。
可以参考如下步骤来实现这样的目的:
①在注册表编辑器中,找到HKEY_CURRENT_USER\Software\Microsoft\Windows、CurrentVerslon\Policies\分支。
②在Policies键值的下面新建一个System主键,如果该主键已经存在的话,可以直接进行下一步。
③在对应System主键右边窗口的空白处再新建一个DWORD串值,并命名为DisableRegistryTools,2-51。
④把DisableRegistryTools的值设置为l,设置好以后,重新启动计算机就可以达到防上其他人非法编辑注册表的目的了。
虽然我们经常使用注册表.但可能仍然忽略了一点,那就是注册表编辑器菜单中的【文件】→【连接网络注册表】命令,2-52即为一个对远程注册表的连接。
可能微软本意主要是为了方便网络管理员对网络中的计算机进行管理,但有利就有弊,如果该项功能被别有用心的人对自己计算机的注册表进行了远程操作,鄢可就非常危险了。
而且在Windows2000系统中,默认情况下是允许对注册表远程操作的,因此在这里需要禁用它(WindowsXP中已默认禁止了这项服务)。
具体操作步骤如下:
①选择【开始】→【设置】→【控制面板】→【管理工具】→【服务】,本地计算机上的所有服务都显示出来了。
②找到名称为RemoteRegistryService、描述为“允许远程注册表操作”的服务,右击并选择【属性】命令。
③在对话框中【常规】选项卡的【启动类型】下拉列表框选择“已禁用”即可。如果自己以后想启动此服务,只要将其选择为“自动”即可。
2.2,6保护自己的屏幕保护程序
该策略确定计算机上使用的屏幕保护程序是否受密码保护。具体操作步骤如下:
①在组策略编辑器窗口的左侧窗格中逐级展开【用户配置】→【管理模板】→【控制面板】→【显示】,2-53。
②如果已经启用了这项设置,则所有屏幕保护程序都是有密码保护的:如果禁用了这项设置.密码保护就不能在任何屏幕保护程序上设置。
③这项设置也禁用了【控制面板】→【显示】项中的【屏幕保护程序】的【密码保护】复选框,防止用户更改密码保护策略。
当在计算机上指定屏幕保护程序时才可使用这项设置。
大家部已知道给屏幕保护加密码的方法,那又如何让自己的计算机开机后自动进入加密的屏幕保护呢?大家可能想到把屏幕保护程序拖到【开始】一【程序】一【启动】中但这是不行的,因为在计算机启动时只要按住Ctrl或Shift键就能跳过“启动”。
要想通过屏保密码保护计算机,最好还是运行注册表,找到并设置如下子键;
①找到HKEY_LOX:AL_MACHINE\SofiwarelMicrosoftlWindows\CurrentVersion分支,2-54。
②新建字符串值并命名为pingbao,将其键值设为某加密屏幕保护程序名及其路径,如“C:\Windows\System、三维文字.scr”。@关闭注册表编辑器,重新启动计算机之后就会发现只要自己的计算机一进入
Windows即会立刻出现屏幕保护,没有密码,也就不能使用windows了。
④运行Msconfig后将会发现在【系统配置实用程序】中的【启动】选项卡内多了一个屏幕保护程序项。
2.2.7注册表登录安全之口令保护策略
通常情况下,Mndows9x系统口令以及网络口令都保存在*.pwl文件中,这就使得解密高手有机可乘,而通过本例可以将口令不保存为*.pwl文件,从而也就有效避免了被破解的可能。
具体设置的操作步骤如下:
①运行注册表编辑器,打开HKEY_LOCAL_MACHINE\Sofiware\Mjcrosoft\Windows\CUITentVen.ion\Network\Lanman分支并编辑其相应键值项(如果不存在此键值项则新建一个)。
③新建一个名称为DisablePwdCaching的键,键值设为01000000即可。
接着再来看看如何设置Windows口令的最小长度,将注册表编辑器定位到如下路径:HKEY_LOCAL_HACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PolicieslNetwork.新建一个DWORD类型的键值并将其命名为MinPwdLen,2-55。键值为n(n大于等于0小于等于8)即可。
2.2.8注册表登录安全之隐藏保护策略
Windows9x以上的操作系统对以前用户登录的信息具有记忆功能,重新启动计算机时,将会在【用户名】文本框中发现上次用户的登录名,这个信息可能会被一些非法分子利用,而对用户造成威胁,为此就有必要隐藏上机用户登录的名字。
具体操作步骤如下;
①依次访问键值HKEY_L(X:AL_MAClflNEkSOFIWARE、Microsoft\Windows\CurrentVersion\winlogon.
②用鼠标右击对应winlogon键值右边的窗口中的空白处,从弹出的快捷菜单中选择【新建】→【字符串】命令。
③新建名称为DontDisplayLastUsefName的字符串赋值.并把该字符串值设置为1.2-56。
④设置完成之后,重新启动计算机就可以隐藏上机用户登录的名字了。
另外,还可以通过屏蔽掉【添加,删除】项目中【添加新程序】中的【从CD-ROM或软盘安装程序】来实现屏蔽从CD-ROM或软盘安装程序,从而阻止用户安装新的Windows2000应用程序。
具体操作步骤如下:
①展开注册表编辑器到HKEY_CURRENT_USERISofrware\Microsoft\Windows\CurrenVersion\Policies\uninstall分支。
②新建一个名为NoAddFromCDorFloppy的DWORD类型的键值,键值为1(如果值为0则表示不屏蔽),2-57。
在WindowsNTfZOOO(Server)中,【开始】菜单的【程序】子菜单中包含一个【管理上具】菜单项.通过该菜单项可以管理IIS和服务等。为了避免误操作或者其他用户进行修改,可以隐藏这一菜单项。
其具体操作方法如下:
①打开注册表编辑嚣井进入到HKEY_CURRENT_USER\Software\Microsoft\Windows、CurrentVersion\Explorer/Advanced子键中。
②双击名称为StartMeauAdminTools、数据类型为字符串值的键值项。该键值项的值若为Yes,表示显示【管理工具】菜单项:值若为No,表示隐藏【管理工具】菜单项。
③重新启动计算机使设置生效。
2.3Windows系统常见密码攻防实战
在Windows系统的使用中,经常会碰到一些较为简单的加密方式,对于这些加密方式的解密和如何防范别人进行解密,则是本节将要重点讨论的内容。
2.3.1取消共享和隐藏共享文件夹
文件共享允许其他用户可以轻易地浏览自己硬盘中的信息,无异于将个人隐私曝光,而要解除这个问题最好的办法就是禁用共享。
在Windows系统默认情况下,硬盘会以c$、D$等方式共享,千万不要以为是自己被微软“下了套儿”,其实这只是Windows为了方便共享资源及管理员远程访问的设置。如果不想在局域网中与其他用户共享文件,可以通过如下步骤终止Server服务来实现。
①选择【开始】→【运行】命令并输入Msconfig后按回车键,在打开的【系统配置实用程序】对话框中选择【服务】选项卡。
②清空Server复选框即可。2-58。这样即使不开防火墙,其他人也无法浏览自己的硬盘。
Windows2000/XP系统安装时将产生默认的共享文件夹,而攻击者一旦知道了该系统的管理员密码,就可能通过“\\工作站名\共享名称”的方法来打开系统的指定文件夹,这样就产生了安全隐患。为此,很有必要将Windows2000/XP系统默认的共享隐患从系统中清除掉。
具体操作步骤如下:
①选择【开始】→【运行】命令并输入cmd命令按回车键,将屏幕切换到命令行状态。②输入命令NetShare并按回车键,随后系统将自动显示出本系统中的所有默认共享文件夹,2-59。
③输入字符串命令“netshare共享名/del",如可以直接执行命令“netshareadmin$/del”,2-60。这样,就可以将指定的远程管理共享删除了。
另外还可以打开“记事本”输入下面的代码:
输入完毕之后将其保存为del.txt文件并随后将其扩展名修改为del.bat,然后,为del.bat文件在资源管理器窗口中创建一个快捷运行方式,并将该快捷方式直接拖动到【开始】→【启动】选项中,重启计算机之后就可以自动将系统上隐藏的共享文件夹取消了,这样就能将系统安全隐患降低到最低限度。
当共享一个文件或驱动器后,系统会修改注册表中的相关项,如果想要隐藏共享文件夹,则不妨执行如下操作:将注册表展开到HKEY_LOCAL_MACHINE\Soflware\Microsoft\Windows\CurrentVersion\network\lanman分支,该键下有共享驱动器或文件的控制信息,2-61。
Flags:共享标志,可以修改共享类型(完全共享无密码.Flag302,并且隐藏共享图标上的“小手”)。
Parmlenc:经过加密后的完全共享密码。
Parm2enc:经过加密后的只读共享密码。
PaLh;共享的实际目录。
Remark:用户共享说明。
Type:类型属性。
因此,如果将DWORD值Flags的键值改为302并重新启动计算机使之生效。这时就会发现,即使是在本机的资源浏览器里也看不出D盘被共享。如果要访问,只要在地址栏中输入“、计算机名\D”,就可以看到D盘共享的内容了。
2.3.2揭秘文件的属性加密
对于一些“菜鸟”级的捣乱者。采用隐藏法“加密”文件夹将是一个简单有效的选择。但只要水平稍高一点儿,破解它就跟隐藏它一样简单了,即选择右键菜单的【属性】命令,取消或选择【隐藏】复选框,2-62。
通过编辑文件夹的Filder.hn文档在Windows系统中实施对文件夹加密也是曾经流行一时的办法,具体操作步骤如下:
①进入要进行加密保护的文件夹中,在空白处单击鼠标右键,选择【自定义文件夹】命令,打开2-63的【自定义文件夹向导】对话框。
②在【自定义文件夹向导】对话框中复选框,单击【下一步】按钮。
③启动HTML文档编辑器后,可以看到这是一个Fold.hu文件,在文件中找到<scnptlanguage=“JavaScript”>段,在其下方顶头输入2-64的内容。
④保存之后单击【完成】按钮,就完成对文件夹的加密,以后再打开此文件夹时,会要求用户输入密码.如果出现密码错误则会自动跳转到c盘中。
但是这种加密方式也很脆弱,用户可以不直接打开加密文件夹,而从应用程序界面(如Word)里通过【打开】命令,再指向加密的文件夹,即可打开文件夹中的文件。或者查找tmFolder.hlt,直接将其删除,即可访问加密文件夹。
给文件夹加密的方法很多,有软件加密、注册表加密等,下面再来介绍一种利用Mndows系统率身自带的“回收站”给文件夹加密的方法。具体操作步骤如下:
①在【我的电脑】对话框中选择【工具】→【文件夹选项】命令,打开2_65的对话框,在【查看】选项卡内选中【显示所有文件和文件夹】单选按钮并取消选中【隐藏受保护的操作系统文件(推荐)】复选框,单击【确定】按钮。
②进入系统根目录并右击“回收站”(即名为Recycled的文件夹)项,2-66选择【缩略图】查看方式并手动除去【只读】属性,然后单击【确定】按钮。藏受保护的操作系统文件(推荐)】复选框,单击【确定】按钮。
②进入系统根目录并右击“回收站”(即名为Recycled的文件夹)项,2-66,选择【缩略图】查看方式并手动除去【只读】属性,然后单击【确定】按钮。
③这时将会发现图标变成了一个普通文件夹的样子,这时再双击Recycled文件夹,找到并激活一个名为desktop.ini的初始化文件,将其复制到自己需要加密的文件夹下即可。
④右击需要加密的文件夹并选择【属性】命令,选中【只读】复选框并在弹出的对话框中启用【缩略图】查看方式,然后【确定】按钮即可。这时就可以看到,要加密的文件夹已经变成“回收站”圈标了,而打开它的时候,同样是原来“回收站”的内容,而根本看不到原来的内容了,这就是所谓的“瞒天过海”加密法。
关于破解的方法,只需要将被加密文件夹的“只读”属性去掉即可。
下面再来看一个将文件保存为MP3的例子,具体操作步骤如下:
①将一首MP3歌曲和需要加密的文件(如Wonl文档等)放置在同一个文件夹中。
②在WinRAR主窗口中选择【文件】→【浏览文件夹】命令,在弹出的对话框中指定该文件夹,单击【确定】按钮之后,回到主窗口。
③选定要加密的文件和MP3文件,执行【命令】→【添加文件到压缩文件中】命令,在2-67的【压缩文件名字和参数】对话框中将【压缩方式】设置为“存储”,指定文件名称后就可以压缩了。
④最后将生成的压缩文件的文件扩展名RAR修改为MP3即可。
如果了解了上面的操作步骤,这种文件的破解法就十分容易了,只需要把文件扩展名重新改成RAR即可,但对于不明真相者来说,要想猜出来它是一个加密文件还真不容易。
2.3.3方便好用的新概念文件加密器
用户可以通过新概念文件加密器将计算机上任何类型的文件加密,加密后得到的文件在需要打开时,会被提示输入密码,并且只有正确地输入了密码后,加密的文件才会直接打开。
该软件的运行界面2-68,没有菜单项,主要功能通过按钮进行操作。要对文件夹进行加密,有两种操作方式:一是在右边树状目录中选择一个文件,然后单击左边的【加密文件】按钮,这时弹出2-69的加密设置对话框,在【源文件】文本框中已经输入了上一步选择的要加密的文件,下面只需选择保存目标文件的位置和给目标文件命名:然后给目标文件输入加密密码,并选择加密完成后是否删除源文件。
也可直接单击左边的【加密】按钮,进入2-69的对话框设置目标文件和密码。
打开加密后文件保存的文件夹,从【查看】菜单选择【详细信息】命令,可以看出加密后的文件是一个EXE可执行文件,但打开后却要求输入密码,2-70。输入密码之后,选中【解密源文件子当前位置】复选框即可将加密文件解密。
该软件的设计从表面上看确实很不错,但却存在着严重的漏洞:用户可以使用WinRAR轻松提取某一类加密文件(压缩文件)中的文件。
打开WinRAR压缩器并浏览到加密文件所在文件夹,双击该加密文件之后,其中的内容就一览无遗了,2-71。
不仅如此,用“新概念文件加密器”还可破解其他某些加密软件加密的文件,从此对话框将被加密的文件复制到另一个地方即可解除其加密,2-72。
2.3.4值得一提的“紫电文件夹加密保护神”
“紫电文件夹加密保护神”是一款集文件夹加密和伪装文件夹为一身的软件,它与系统底层和操作系统相结台,能够十分有效地加密文件夹,被加密的文件夹同时也被保护,又不能被删除。
该软件的运行界面2-73,单击【加密方式】按钮,可以从下拉菜单中选择加密侧重点是安全性还是方便性。后者允许用户通过快捷方式直接使用加密文件夹的文件:前者则是未经解密不得访问加密文件夹的文件。
“紫电文件夹加密保护神”采用ShellExtension技术和Exploref.exe紧密结合,用户可以在资源管理器、我的电脯、打开,关闭文件对话框等地方通过右击菜单直接操作,非常方便。
用户可以通过资源管理器来使用右键菜单项的【加密】命令对桌面上的文件夹进行加密操作,2-74。首先弹出【密码输入】对话框,两次输入验证密码后,完成加密。
独有的“海市蜃楼”功能,可以将加密的文件夹伪装成系统的任意一个文件夹,2-75。
打开该加密文件,发现文件夹里的内容已被伪装了,图2-76为伪装前的样式,图2-77为伪装后的样式。
此时即使使用WinRAR浏览也不能破解,并且不能对加密文件执行删除操作。正常情况下,退出“紫电文件夹加密保护神”需要输入管理员密码。若用户不喜欢每次关机都要输入密码,可以选择该项。
2.3.5功能强大的密码破解器
可以使用专门“看星星”的软件让系统内存在的“.”号密码现出原形,这类看密码的工具几乎可以查看所有普通窗口的登录密码,如QQ-Outlook、FoxmaiJ、电子邮箱、网吧上网账号,软件注册码、各种游戏软件、各种财务软件、各种管理软件、拨号上网、共享目录、屏保等;以及各种网页的登录密码,如Web邮件、江湖论坛、聊天室、密码保护资料等。另外还可能捕获有加密的游戏密码,如传奇、奇迹、大话西游、石器时代等。
其中的“XP星号密码查看器”是一款极为小巧的星号密码查看器,能够查看Windows中以“+”号显示的密码窗口中的实际内容,支持多种Windows操作系统。
具体使用方法为;将程序打开后,移动鼠标到显示“.*****”号的密码窗口上即可,2-78即为显示一个选中了“记住密码”的QQ用户保存的QQ密码。对付这类“看星星”软件的终极法宝就是不留下“星星”让别人看到(在任何场台都不选中“记住密码”复选框),无“+”可看,自然也就没有了破解之道。
而另一款“搜易口令钥匙”的功能则更要强大的多,运行界面2-79,对于使用“XP星号密码查看器”看不出来的MSN登录密码,即使看不出来,但却可让星号现出来!
此外,还有一种软件,它隐藏在进程中,监视密码输入文本框中的内容并将其记录下来,保存在一个文件中或通过E-mail发到指定邮箱的密码破解软件里,其中“密码截取”就是一个典型的代表。
“密码截取V3.1”可以截取密码输入框中的密码(如拨号连接、QQ、IE中的密码).并将密码明文保存在用户自定的文件中(默认为c:\password.txt);如果没有藏取到密码,密码文件将不存在,同时还可将获取到的密码发送到用户指定的邮箱中。
“密码截取V3.1”软件的基本操作方法如下:
①直接双击主程序getpassword.exe运行。
②程序运行后,如果投有注册,会弹出注册对话框,接下来会出现提示框,提示相关的快捷键(默认为Ctrl+Fll)及其他信息等,2-80。
③按快捷键可以使该软件2-81的主配置界面在显示与隐藏之间切换。其中图2-82的【密码文件】选项卡用于设置是否将密码保存到本机,选中该复选框时,截取到的密码将保存到本机,并可指定密码保存文件。
④程序运行之后可测试登录QQ.随意输入了一个密码之后,查看c:\paSSWOfd.txt文件,发现出现一团乱码,2-83。要查看截获的密码,不是从这个文本文件里查,而是要按设定的快捷键打开软件界面,然后单击【查看密码】按钮,就可以看到刚才输入的密码了.2-84。
这类密码截取软件的运行十分隐秘,并且往往和一些黑客软件相结合,通过木马植入并监视密码输入框,或记录所有键盘操作、截屏等,从而窃取密码,井将密码发往指定邮箱。因此一定要特别注意木马的防范,留心进程和端口的活动。
2.3.6如何解除分级审查密码
利用分级审查功能不但可以帮助用户在该计算机上控制看到的Intemet内容,而且还能够有效地过滤暴力等不健康内容,设置IE审查密码的具体步骤如下:
①选择【工具】→【lnternet选项】命令,在【lntemet选项】对话框中选择【内容】选项卡并单击启用按钮,2-85。在弹出的对话框中选择【常规】选项卡,2-86。
②单击创建密码按钮之后就可以创建分级审查密码了。
一旦设置了分级审查密码,无论禁用还是改变分级审查密码,都需要输入原密码,否则操作无法进行,所以一旦忘了密码,将十分麻烦,不过可以通过修改注册表来解除密码。
具体操作步骤如下:
①打开注册表编辑器并展开到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Ratings分支,这里有一个名为Key的主键,2-87,这就是自己设置的分级审查口令,现在直接将它删除即可(直接删除ratings键也可以取消分级审查的限制)。
②重新启动之后,重新设置【lntemec属性】→【内容】→【分级审查】时就会发现分级审查口令已经被复位了,现在只要输入新的分级审查口令即可。
2.3.7用“超级密码卫士”管理密码
如今的网上冲浪使得不论走到哪里都需要输入一大堆的密码,像BBS、邮箱、网站……那么,用什么简洁实用的方法来记忆这些密码呢(都取一样的密码还是每注册一个就记一个在纸上呢)?有兴趣的话试试“超级密码卫士”,或许大家将会发现管理、生成密码是如此的简单便捷。
“超级密码卫士”在安装完成之后就可以使用了。具体使用步骤如下:
①先要建立一个总账户,它相当于自己的密码库。在2-88的主窗口中选择【文件】→【新建】命令,打开2-89的【新建文件向导】对话框,选择文件路径。
③单击【下一步】按钮,选择新建文件的保存路径,单击【选择】按钮,弹出【选择】对话框,输入文件名称,单击【保存】按钮。如果输入错误,则单击【路径清空】按钮。
③如果输入一个已经存在的文件名称,则在单击【下一步】按钮之前系统会提示“文件已经存在,是否覆盖?”,单击【是】按钮则覆盖已经存在的文件。
④单击【下一步】按钮,输入新建文件的保存密码和提示问题以及回答。用户只需要记住这个密码,就再也不必记众多的密码了。但如果不小心忘记了这个密码,则可以通过“问题”、“回答”的形式来找回忘记的密码。
⑤此处,密码也可以随机生成,单击【随机生成】按钮即可,2-90。默认密码以“星号”显示,单击“星号”,则显示明文。
⑥单击【下一步】按钮,设置文件自动快速锁定(分为手工锁定和自动锁定)的时间。如果将锁定时间设置为0.则为手工锁定:初始默认时间为20分钟。完成新建后,就可以在【自动锁定设置】中重新设置是否需要或者自动锁定的时间了,2-91。
⑦这一步完成之后,单击【完成】按钮,就新建了一个密码管理文件。密码管理文件建立之后,在主窗体的状态栏中,将显示第二步新文件所在的路径,这时可以进行任何的管理操作。
⑧建立密码管理文件后就可以开始建立分类管理密码了,这一点就像下载软件的管理一样,2-92。
⑨打开一个分类,如打开“邮箱口令”这个虚拟文件夹,用鼠标在右边空白区域右击,选择【添加账户】命令,打开2-93的账户设置对话框,在对话框里输入详细的账户信息之后,单击【确定】返回即可。
按同样的步骤给每个分类添加账户,这样一个密码管理库就建立好了。不用担心谁会打开这个文件,因为打开它需要密码(该文件虽然别人打不开,但却可以删除)。
2.4解除注册表自动运行中的恶意程序
多数“木马”分为两个部分,客户端和服务端,但是很多”木马”不提供客户端,它们使用通用的Telnet作为客户端,或者是它们完全自动地在做它们要做的事情(比如键盘记录、监听等).完全不需要入侵者更多地干预。但那种客户,服务器式的“木马”则需要入侵者进行交互式操作。一旦用户在不知情的情况下运行了“木马”的服务端,入侵者就可以通过某个端口连接到用户,开始使用“木马”。
2.4.1解除自动运行的木马
当术马的服务端在用户机器上执行以后,它通常是把自己隐藏在计算机的某个地方.
从而在入侵者设定的端口开始监听,等待连接。如果要连接用户,就必须知道计算机的lP,有些IP是动态变化的,比如电话拨号用户或者ADSL虚拟拨号用户。很多术马具有自动发送用户IP到入侵者邮箱的功能,通过QQ或,IRC来发送。
当“肉鸡”重新启动时,绝大多数“木马”都有自启动的方法,这些方法包括使用注册表、Windows系统文件和第三方程序。
文件夹C:\Windows\StartMenu\Programslstautup是Windows启动之后自动运行的文件夹,当计算机重新启动时,放在这个文件夹下的任何程序都将自动运行。
下面都是使用注册表中木马的藏身之地,2-94。另外,木马也可以在2-95的地方运行,正常的情况下.这个键值应该是。如果是“trojan_exe"%1%*-,,,就可以自动启动木马了。
另外,还可以使用第三方程序,如通过QQ网络探测来自动执行程序。在注册表项HKEY_CURRENT_USER\SofiWare\Mirabilis/QQ\Agent\Apps\中,当QQ探测到计算机存在Internet连接时,放在该键下的所有程序都将自动执行,木马也就可以放在这里运行。
除借助系统文件和注册表之外,病毒、木马还借助其他高级的方式启动运行,这里就不逐一进行介绍了。
找到了木马在注册表等自动运行的地方之后,查杀木马就很容易了。如果发现有木马存在,最安全有效的操作方法如下:
①马上切断计算机网络,然后编辑win.ini文件,将WINDOWS下面的“run=”木马”程序”或“load=”木马”程序”更改为“run=”和“load=”。
②编辑system.ini文件,将【BOOT】下面的“shell=‘木马’文件”,更改为“shell=explorer.exe”。
③在注册表中,打开注册表编辑器并对其进行编辑,具体位置如下:
④在这里找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序。
⑤然后重新启动计算机,再到注册表中将所有“木马”文件的键值删除,至此就大功告成了(同时还要检查其他位置可能隐藏的木马)。
2.4.2解除Windows程序的自启动
实际上让VVindows自动启动程序的方法很多,下面给出了两个文件夹和8个注册表键。
①当前用户专有的启动文件夹。
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在“%system%、DocumentsandSettings《用户名》【开始】菜单、程序、启动”下,其中“<用户名>”是当前登录的用户账户名称。
②对所有用户有效的启动文件夹。
该文件夹一般在“%system%、DocumentsandSettingsVUUsers\【开始】菜单程序/启动”下,放入该文件夹的快捷方式总是自动启动(不管用户用什么身份登录系统)——这是它与用户专育启动文件夹的主要区别。
@Load注册键。
具体位置为HKEY_CURRENT_USERISofiwarelMicrosoft\WindowsNTCurrentVersionVWindows下的load注册键,2-96。
④Userinit注册键。
具体位置为HKEY_LOCAL:-MACfflNE\SOH'WARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\下的Userinit注册键,2-97。通常该注册键下面有一个Userinit_exe程序,但这个键允许指定用逗号分隔的多个程序,例如“userinit,exe.OSA.exe”(不含引号)。
⑤ExplorerVRun注册键。
在HKEY-RRENT_USER和HKEY_LOCAL_MACHINE下都存在Explorer\Run键,具体位置为HKEY_CURRENT_USm<.Software\MicrosatNVindows、Curn:mVersion\PUlies\Exploret\Run和HKEY_LOCAL_MACHINE/SOFIWARE\Microsoft/Windows\CucrentVt:rsion\Policies\Explore/\Run。
⑥RunServicesOnce注册键。
RunServicesOnce注册键的位置是HKEY_CURRENT_USER\SoftwareWficrosoft\Windows\CurrentVefsionhRunServlcesOnce和HKEY_LOCAL_MACHJNE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce,该注册键主要用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。
⑦RunServices注册键。
RunServices的位置是HKEY_CURRENT_USER\Software\Microsofi\Windows\CurrentVersion\RunServices和HKEY_LOCALMACfflNE\SOFTWAREMicrosoft\Windows\CurrentVersion\RunServices。该注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但二者都在用户登录之前。
⑧Runonce\Setup注册键。
RunOnce\Setup注册键的位置为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\Setup和HKEY_LOCAL_MACHINE、SOFIWAREMicrosofiMndows\CurrentVersion\Runonce\Setup。主要用于指定用户登录之后运行的程序。
◎RunOnce注册键。
安装程序通常用RunOnce键自动运行程序,它的位置为HKEY_LOCAI一_MACHlbIE、SOFrWARE\Microsofi\Windows\CurrentVerslon、RunOnce(该RunOnce键会在用户登录之后立即运行程序)和HKEY_CURRENT_USER\Software\Microsoft\Windows\CbrrenLVersion\Runonce(该RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行)。如果是WindowsXP系统,还需要检查一下HKEY_CURRENT_USER\Software\Microsotl\Windows\CurrentVersion\RunonceEx这个位置。
⑩Run注册键。
Run注册键的具体位置为HKEY_CURRENT_USER\Software\Micfosoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHIN卧SOFTWARE\Micnosoft\Windows\Cu~entVersion\Run,是自动运行程序最常用的注册键,二者都在处理“启动”文件夹之前。
知道了恶意程序在注册表中的藏身之处后,清除它就很容易了。只要找到相关键值,将其删除即可。
2.4.3如何设置Windows的自动登录
Windows高版本系统有一个新的功能,就是允许用户绕过Windows系统的登录对话框,自动登录到计算机及网络中。要想使用该功能,就需要在注册表中加入如下几个主键。具体操作步骤如下;
①打开注册表编辑器并展开到HKEY_LOCAL_MACHINE\SOFlWAREMicrosoft\WindowsNT\CuffentVersion\Wnlogon主键。在右侧窗口中创建3个新的字符串值,分别命名为DefaultUserName、DefaultPassword和DefaultDomainiName,将其数值分别设置为想要自动登录的用户名、该用户登录机器的密码,以及该用户所在的域名,2-98。
②再创建一个命名为AutoAdminLagon的字符串值,将键值设置为l,激活自动登录(键值设置为0则禁止自动登录)。
③对于Windows2000,还要再创建一个ForceautoLogon的字符串值,数值设为l。
④退出注册表编辑器,重新启动计算机。Windows将自动登录进入用户桌面。
2.4.4只允许运行指定的程序
如果用户将外出一段时间,而在此期间不希望其他用户使用计算机,这样可以考虑为计算机设置开机密码来进行保护,另外,还可以通过修改注册表以禁用所有的应用程序的方法来保护汁算机。
其具体操作方法如下:
①启动注册表编辑器并进入到HKEY_CURRENT_USER\Software\Microsofi\Windows\CurrentVersionlPolicies/Exploref子键中。
②选择【编辑】一【新建】一【DWORD值】,新建一个名称为RestrctRun的键值。
③双击该键值,在打开对话框的【数值数据】文本框中,将其值从0修改为I。其中O表示允许用户运行应用程序.1表示禁止用户运行任何应用程序。
④另外,用户还可以指定其他用户只能运行几个应用程序,例如,只允许用户使用Word编辑文档.以及使用yhrinZip对文件进行压缩。这样需要首先在Explorer子键下创建一个名称为RestrctRun的子键,然后在该子键中创建若干个名称为l、2、3、4…的字符串类型的键值项。将这些键值项的值分别设为允许运行的应用程序的名称.如分别在l和2键值项中输入WinWord.exe和WinZip.exe。
⑤完成所有设置后,注销当前用户并重新启动计算机即可。
2.4.5设置启动信息或增加警告标题
如果WindowsNT/2000/XP已经成为域成员,则当每次启动Windows时,系统都会显示一个登录对话框,如果希望在按完CtrI+Alt+Delete组合键后,画面上还会自动显示一些希望自己或其他用户看到的信息,则可以利用以下方法:
①打开注册表编辑器并展开到HKEY_LOCAL:MACHINEYSOFTWARE\Microsofi\WindowsNrIICurrentVersion\Winlogon子键下。
②双击名称为LegaINoticeCaption的字符串值的键值项,当出现【编辑字符串】对话框时,可在【数值数据】文本框中输入信息对话窗口的标题,如“欢迎使用Windows!”,2-99。
③双击名称为LegalNoticeText的字符串值的键值项,当出现【编辑字符串】对话框时,可以在【数值数据】文本框中输入想要显示的格言或警告语,例如“不可乱动!”。
④按F5键刷新注册表使设置生效。这样在其他用户启动系统时,就会有一个信息框来提醒所有上机的用户注意自己身份,不至于胡乱修改系统。当然用户完全可以输入其他的座右铭或问候语,来个极具个性的Vindows开场白。
2.4.6让某个用户自动登录
每次登录WindowsNF/200WXP系统时,都要同时按下OrI+Alt+Delete组合键,然后才能输入用户名称和密码,这样太繁琐。
如果希望更加快捷一些则可以设立自动登录,在注册表中进行如下操作:
①打开注册表编辑器并展开到HKEY_LOCALJVIACfflNE\SOFTWARE\Microofl\WindowsNT\CurrentVersion\Winlogon子键下。
②创建名称为DefaultUserNarne、数据类型为字符串值的键值项。将其值设置为AdminisUator或某个超级用户,创建名称为DefaultPassword的字符串值的键值项,并将其值设置为用户的登录密码。
⑤创建名称为AutoAdmir/Logon的键值,将这个数据类型为REG_SZ的键值改为1(或其他非O的数值)。
④退出注册表编辑器,重新启动计算机即可。
2.5可能出现的问题与解决
在试运行本章所讲述的案例时,为什么会出现无法和书上讲述同步验证的情况?
出现这种情况的主要原因如下;
(1)由于自己所攻击的目标计算机已经打上了较新的系统补丁或安装新的防火墙。
(2)某些网络服务商本身就为其所有的客户提供有一个强大的防火墙,一般情况下黑客是很难攻破的。
(3)看看是不是自己使用的版本或设置有问题。
2.6总结与经验积累
对于黑客来说,入侵大多数的计算机当然易如反掌。但如果自己懂得一些基本的防御技术,安装了监测软件的话,一般的黑客就无法侵入了。
网络管理和攻击一直是一个永恒对立的话题,而网络管理员从来都是处于弱者的地位——攻击者可能在24小时内的任何时间里发出攻击,而网络管理员却没有办法在24小时内全部处于备战状态。
解决这个问题的较好方法是:做一台单独的日志服务器,而且日志服务器选用比较安全的操作系统来做,如openhsd。
将其他每台服务器的log都发送到其上面,这样即使服务器被攻击了,也有机会在日志中查找到攻击者的行为及手法,而如果攻击者耍同时攻击日志服务器与工作服务器,难度就相应大一些。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。