Windows (入侵防護)

Rakimok

希望我沒找錯地方~~~(Windows 應該算是  系統"軟體"

最近敝人對這方面頗感興趣

上網找了一些資料 接著 去圖書館翻了一些書

然後做出了這篇心得~~~別懷疑我說的就是本文了

好吧~~~那我廢話不多說了


++++++++++++++++++++ 本片:邪惡 開始 ++++++++++++++++++++

防護最前線  關閉 Port139

因為 Windows系統 在 TCP/IP 架構上是透過 Port139 來與其他 Windows系統 連線

就是 Client for Microsoft Network

如果將此管道關閉的話  駭客就無法透過 Port139 來侵入我們的電腦  (阻擋程度高達98%)

幾乎可以完全封鎖 駭客以此方式 入侵 Windows系統

再關閉之前需注意 ！ (以下為不可關閉)

◎ 如果 需要用 Internet 跟 其他電腦 進行 ( 資源分享 or 資源共用 )

◎ 如果 你本身是駭客:邪惡  or 正要對駭客進行反攻擊時:邪惡

◎ 如果 你需要使用 區域連線(LAN)連接它電腦  例如 : 辦公室 學校 等...(不建議使用)

+++++++++++++++ Win2K 和 WinXP的關閉 Port139 方法+++++++++++++++

(以下教學可用在 寬頻 等...用戶  不適合用于電話撥接連線 的用戶)

從"連線到" > "顯示所有連線"




從你所使用的網路連線 按右鍵 > 內容 > 把 Client for Microsoft Networks 勾勾取消 > 確定



1F 有 IE 小補充
2F 有木馬程式介紹

[ 本文最後由 Rakimok 於 07-5-3 01:52 PM 編輯 ]

Rakimok

IE 是現在大多數 Windows用戶  上網常使用的工具

然而他卻有一些安全上的問題  許多微軟的東西好像都如此呢！

由於大部分 IE7以前的版本 都是安裝 32bit 或 56bit 的加密版本

從安全防護的角度來看  還有進步的空間

因為駭客要截取到 IE瀏覽器 傳送出去的封包資料

就可能破解後從中取得資訊

因此建議把 IE更新到 128bit 以上的版本 雖然並不表示駭客無法解讀

但破解的時間跟困難度都相對提高了

現在很多 網路銀行 or 網路下單 為了安全性的需求 要 128bit 或以上的加密版本才可進入網頁

==================== 附學圖 ====================

由於 128bit 或是以上的版本加密技術  

是屬於美國重要機密技術之一  因此某些對美國不友善的國家  禁止輸出此技術

此技術可以向 微軟的這裡 進行更新

可以用此法查看版本

Rakimok

木馬程式 (Trojan Program) 介紹

本文主要是在介紹 木馬程式 是什麼  

如果你已經很清楚了就不需觀看  可以直接看預防方法

相信鐵眾們應該都聽過希臘故事中的木馬屠城記

++++++++++++++++++++ 特洛依故事開始 ++++++++++++++++++++

由於希臘攻打 特洛依城(Trojan) 多次都無法成功  因此想了一個辦法 就是...

製作一個大木馬 裡面藏了士兵 然後假裝撤退

特洛依人以為打贏了 便將戰利品拉進城中

正當晚上舉行慶功宴時

躲在木馬中的希臘士兵跑出來 與外面假裝撤退的士兵 裏應外合打下特洛依城

++++++++++++++++++++ 特洛依故事結束 ++++++++++++++++++++
++++++++++++++++++++ 駭客的故事開始 ++++++++++++++++++++

駭客若要 侵入or破壞 我們的電腦時  使用一般程式或工具 (EXP:檔案總管) 是很難滿足駭客的需求
(EXP:監控、紀錄、控制)

因此如果有一個 程式 如同 木馬屠城記 中的木馬般 可以裏應外合來進行 那功效一定事半功倍

所以該程式就被稱為 特洛依木馬程式 (Trojan Horse Program) 簡稱 木馬程式

++++++++++++++++++++ 駭客的故事結束 ++++++++++++++++++++

木馬程式的作用
木馬程式並不只有一種 可以針對設計者的需求來設計
現在網界木馬到處流串 透過木馬可以讓駭客更容易進行駭客任務

1. 轉向入侵 (Redirect Intrusion)

利用此法可以讓其他電腦作為代罪羔羊 進行駭客的行為 如此就不容易被找到

2. 遠端遙控

操作他人電腦的 Windows系統 、 程式 、 鍵盤

3. 偷取封包

可分析他人電腦的各種上網資訊

4. 獲取各種密碼

可能竊取各種網頁密碼、 金融機構網站密碼、 郵件密碼 等...

5. 刪除各類檔案

這可能造成破壞與損失

就木馬程式而言 Back Orifice 與 Subseven 算是十大通緝犯之首

幾乎所有防毒軟體都把它視為頭號通緝犯  一抓到 馬上砍頭

不過只要進行易容術之後  防毒軟體是否抓的出來 就很難說了







[ 本文最後由 Rakimok 於 07-5-3 01:13 PM 編輯 ]

Rakimok

一般只要是多功能的木馬程式  (特別是Server木馬程式) 都俱備一個共通點

那就是 進入Windows 之後  會自動偷偷的執行

而要設定成進入 Windows 自動執行  就必須在下列四個地方進行設定

1. Win.ini

2. System.ini

3. 登錄資料機碼  (Registry)

4. 啟動  (在 開始 > 所有程式 > 檢查啟動中的程式 是否 是自己安裝過的程式或工具)


---------------------------------------簡:驚訝介-------------------------------------

Win.ini 跟 Sys.ini 在 Win9x 跟 Win3.1 扮演重要的角色  不過在 Win2000 之後

功能大部分都被 登錄資料機碼  (Registry) 代替  但它還是有不可取代的價值 千萬不要刪除

因此也成為木馬的溫床 駭客植入木馬的最愛

---------------------------------------簡介完-------------------------------------


◎這方法建議俱備一定能力的電腦使用程度 或是肯定電腦一定中毒者 使用

Win.ini
使用電腦中的搜尋  尋找Win.ini檔案 (使用筆記本之類的文書編輯檔 開啟)

按 Ctrl+F 搜尋 Windows 將會找到類似下面 (如果找不到 Windows區間 那就可以省略這個)

[windows]

load = 某某.exe  c:\ 某某.exe (看這路徑是否可疑)
run = 某某
(通常不會有這兩個參數設定 或是後面空白)

如果不確定是否可疑 可以在前面加上rem (例如 : rem run = 某某)  之後重新開機

用幾天看看 如果一切沒問題就不用理它

再將 Win.ini 看 rem 是否還加在前面  如果不見了 則可以肯定它是木馬

這時請重新開機  進入安全模式 or 純DOS模式中  將該exe檔刪除  

再將 Win.ini 中的該列刪除  然後儲存 Win.ini

如果 rem 還在 卻有某些功能無法運作就把 rem 去掉  看是否恢復正常

如果恢復正常表示那並不是木馬 否則繼續把 rem寫在上面比較安全

System.ini
如果鐵眾們對 windows 3.1 很熟悉  可能會有個疑問

system.ini 可以設定自動執行嗎?  (原則上是不行)

但如果用Shell這個參數 就可以化腐朽為神奇 就是在 [boot]區間做下列設定  例如 :

[boot]
shell = Explorer c:\windows\server.exe
(這樣的程式是要求檔案總管執行木馬)

這時就必須檢查 Windows 目錄中的 system.ini

如果有這樣的設定 99%是木馬程式  因為極少的軟體會做此設定

所以看到就砍頭吧 !

登錄資料機碼  (Registry)
至於登錄資料 就是目前趨勢的重點了

因為許多鐵眾們可能都不敢靠近這裡  所以藏在這裡是相當的安全的

這個就是最難的了  需要一些輔助軟體  難以在數天內教學

◎這方法的必要教材 TaskInfo系統監控軟體  點連結至 共享軟體版 索取

這軟體可以幫助我們抓出 windows 正在執行的木馬

通常沒有公司的軟體 很可能是木馬 (不過不是全部) 雖然駭客也可以偽造公司

接下來就是大偵探找線索的任務了

所以其實靠防毒抓 會比較輕鬆  除非確定真的有防毒程式找不到的木馬

Rakimok

本片劇終

應該說是 我累了~~~真的累了  (好累):哭泣 :哭泣 :哭泣

因為學業的關係

敝人可能短期內不會再發文了  我真的好累

如果對本文有相關疑問 可以 點此PM我 我會上來看滴

由於本文編輯中 出現 眼花 頭暈 手抽筋 的現象  所以可能有些手誤

如有招待不周 請多多原諒  謝謝 ！

推薦防護 : 1. Ad-Aware SE Personal

            

             2. 線上掃毒

[ 本文最後由 Rakimok 於 07-5-3 01:54 PM 編輯 ]

阿治衝啊

我是曾經有玩過"冰河"啦
它裡面有設定被砍檔後自動恢復.那這個要怎麼處理=     =?
(本尊要怎麼找=   =?)

對了.你寫的
[boot]
XXXXXXXX

好像在執行裡打
msconfig
裡面有一區是寫BOOT會執行的東東
這也算是一種方法嗎=   =?

[ 本文最後由 阿治衝啊 於 07-5-4 06:24 PM 編輯 ]

xn778899

今晚約嗎  加賴：sye526  五月新茶 試車价
今晚約嗎  加賴：sye526  五月新茶 試車价
今晚約嗎  加賴：sye526  五月新茶 試車价
今晚約嗎  加賴：sye526  五月新茶 試車价
今晚約嗎  加賴：sye526  五月新茶 試車价

liangjkds1

我的電腦上裝有防毒軟體,這麼久了沒有中過毒

嚴正嵐

性感美女視訊聊天: http://69743.live173.com