|
如今網(wǎng)絡(luò)攻擊手段越來越高明,那么對于沒有防護能力的個人電腦要如何做到安全運行呢����?這里介紹的完全檢查就是網(wǎng)絡(luò)攻防過程中的一個最重要的階段����,無論你用的是Windows Xp還是Windows 7以下方法都具有參考價值�,這里講的個人主機進行安全檢查有兩個目的:一是確保系統(tǒng)是安全的;二是查殺系統(tǒng)中存在的木馬程序和修補安全漏洞�。可以通過以下一些手段來對計算機進行安全檢查:
l 使用安全掃描工具���;
l 修補系統(tǒng)安全漏洞:
l Rootkit安全檢查����;
l 啟動加載����、端口連接和進程檢查;
l 運用數(shù)據(jù)恢復(fù)軟件獲取入侵信息����;
1.使用安全掃描工具
安全檢查中最重要的檢查就是檢查網(wǎng)絡(luò)中的計算機是否存在遠程溢出漏洞,這是因為遠程溢出漏洞的危害最大����,利用工具通過對存在遠程溢出漏洞的計算機掃描可以很輕松地獲得Shell權(quán)限���。本小節(jié)中主要介紹對微軟的一些高危漏洞(MS05039、SQLHello漏洞等)的安全掃描工具����。
1.MS05039漏洞安全檢測案例
MS05039Scan是Foundstone公司開發(fā)的用來檢查“Windows UPnP”的漏洞工具�,其下載地址為:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用該工具來對MS05039漏洞進行安全檢測���,然后對檢查出存在漏洞的計算機安裝其補丁程序�,具體操作步驟如下���。
2.MS05051漏洞安全檢測案例
MS05051Scan是foundstone公司開發(fā)的用來檢查“Vulnerabilities in MSDTC and COM+ CouldAllow Remote Code Execution”的漏洞工具�����,其下載地址為:http://www./us/resources/proddesc/MS05039Scan.htm�����。本案例使用該工具來進行MS05051漏洞安全檢測�,然后對檢查出存在漏洞的計算機安裝其補丁程序�,具體操作步驟如下���。
3.SQLHello漏洞安全檢測案例
比如以前的SQL Server 2000數(shù)據(jù)庫服務(wù)器曾經(jīng)出現(xiàn)了一個遠程溢出漏洞,也即“SQLHello”漏洞���,該漏洞為高危漏洞���,溢出后可被完全控制。出現(xiàn)該漏洞后�����,在網(wǎng)上出現(xiàn)了利用該漏洞的蠕蟲病毒���,F(xiàn)oundstone公司開發(fā)了一款該漏洞的免費安全掃描工具�����。通過該工具可以掃描存在該漏洞或者被蠕蟲感染的SQL Server數(shù)據(jù)庫服務(wù)器��,該工具只能檢查漏洞而不能進行溢出�。本案例使用該工具來進行SQL Server數(shù)據(jù)庫安全檢測����,然后對檢查出存在漏洞的服務(wù)器安裝其SP4補丁程序�����,具體的操作步驟如下�。
世界上沒有絕對完美的軟件��,因此可以說沒有一個軟件是絕對沒有安全漏洞的���。從網(wǎng)絡(luò)安全人員特別是漏洞挖掘人員對安全漏洞的研究中可知,早期多在操作系統(tǒng)���、數(shù)據(jù)庫服務(wù)器����、Ⅲ瀏覽器等上發(fā)現(xiàn)安全漏洞:而目前則越來越多的人關(guān)注應(yīng)用軟件上的安全漏洞以及ActiveX漏洞�����,例如Word漏洞��、PDF漏洞��、支付寶交易控件漏洞等����。軟件或者操作系統(tǒng)被發(fā)現(xiàn)存在安全漏洞的話�����,如果不及時安裝補丁程序或者采取安全措施����,將會導(dǎo)致嚴重的安全問題�����。本小節(jié)主要通過使用殺毒軟件以及Windows自帶的安全更新程序來修補系統(tǒng)安全漏洞���。
4.使用瑞星漏洞掃描程序修補系統(tǒng)漏洞案例
如今系統(tǒng)的安全問題越來越受到人們的重視��,而安全漏洞在普通用戶的眼中����,這無疑是一種高不可攀的技術(shù)�����。安全漏洞層出不窮,如何I以逸待勞呢����?其實目前很多殺毒軟件以及木馬查殺工具都提供了安全掃描工具,用戶只需要進行簡單的幾個操作步驟就可以修補系統(tǒng)中存在的安全漏洞�����。國外殺毒軟件帶漏洞掃描工具的也有�,但同時提供自動下載并安裝補丁程序較少,國內(nèi)殺毒軟件基本上都有漏洞修補功能�����。本案例就用瑞星系統(tǒng)安全漏洞掃描程序來檢測和修補漏洞���,具體操作步驟如下。
5.使用瑞星卡卡掃描和更新系統(tǒng)漏洞案例
卡卡上網(wǎng)安全助手(簡稱卡卡)是瑞星公司的一款免費軟件�,該軟件中的一個基本功能之一就掃描系統(tǒng)安全漏洞。本案例就是利用卡卡來掃描系統(tǒng)漏洞以及安裝補丁程序����,步驟如下。
6.使用系統(tǒng)自帶程序更新補丁程序案例
Windows自動更新是Windows的一項功能����,當(dāng)微軟更新網(wǎng)站發(fā)布更新補丁后��,它會及時提醒用戶下載和安裝�����。使用自動更新可以在第一時間更新操作系統(tǒng)��,修復(fù)系統(tǒng)漏洞��,保護計算機安全����。
微軟自WindowsXP Sp3后開始推出“安全中心”(Windows Security Center)���,它負責(zé)檢查計算機安全狀態(tài)���,包括防火墻、病毒防護軟件��、自動更新三個安全要素����,恰好構(gòu)成了系統(tǒng)安全最重要的三個部分。如果系統(tǒng)中沒有啟用防火墻和自動更新,或者沒有安裝防病毒軟件����,默認情況下系統(tǒng)會在托盤區(qū)出現(xiàn)“Windows安全警報”的盾形圖標(biāo),提示系統(tǒng)當(dāng)前所處的安全狀態(tài)���,雙擊后可以進入安全中心了解系統(tǒng)提供的安全建議��。 事實上�,早在Windows XP時代��, 自動更新就作為系統(tǒng)的默認服務(wù)處于啟用狀態(tài)����,可惜很多用戶出于節(jié)省系統(tǒng)資源的考慮而將其手工禁用,這樣做的最大后果就是無法及時獲取系統(tǒng)更新(包括關(guān)鍵更新和安全更新)�,這也是眾多用戶沒有能抵御沖擊波��、震蕩波病毒的原因所在����。Windows XP SP3進一步強化了自動更新功能,在安裝Windows XP SP3結(jié)束后的首次啟動中�����,系統(tǒng)將要求用戶配置自動更新,如果使用了“自動(推薦)”設(shè)置��,那么只要計算機在線���,自動更新將在凌晨3點自動查找所有重要更新��,包括安全更新���、關(guān)鍵更新、Service Pack并自動安裝����;而且如果用戶關(guān)閉了自動更新,安全中心將不斷地顯示相應(yīng)的警報�。不過,通常情況下���,自動更新只傳送最新的重要更新���,因此我們?nèi)匀粦?yīng)該定期訪問VVindows Update網(wǎng)站安裝更新。
這里介紹Windows操作系統(tǒng)中的兩種更新方式���,一種是用戶參與的在線更新��,一種是系統(tǒng)的自動更新�����。
1.在線更新用戶參與的在線更新的操作步驟如下���。
2.運行自動更新程序�����。在DOS下輸入“%SystemRoot%\system32\wupdmgr.exe”命令打開Windows在線補丁程序更新管理頁面��,在該頁面中用戶可以檢查系統(tǒng)中需要更新的補丁程序�����,如
3.使用Windows自動更新
Windows在線更新自從XP開始���,只有正版操作系統(tǒng)才能更新���;而Windows自動更新�,則沒有這個限制。使用Windows自動更新必須滿足打開“自動更新設(shè)置”和啟動自動更新服務(wù)Automatic Updates“兩個條件����,操作步驟如下。
打開自動更新設(shè)置����。單擊“開始”-“設(shè)置”-“控制面板”,在控制面板中打開“自動更新”�,如圖8-13所示:在自動更新中選擇“自動(推薦)”,或者除“關(guān)閉自動更新”外的其他選項均可���。
查看并啟動“Automatic Updates”服務(wù)�����。在控制面板中單擊“管理工具”-“服務(wù)”�,打開服務(wù)控制臺��,在其中雙擊“Automatic Updates”����,在“Automatic Updates的屬性”窗口中,確保并設(shè)置其服務(wù)狀態(tài)為“已啟動”以及服務(wù)類型為“自啟動”�,如圖8-14所示�����。
7. 使用Windows更新下載器更新補丁程序案例
漏洞一直是入侵者的最愛����,而補丁卻是入侵者的克星���;微軟對于正版軟件的執(zhí)著和技術(shù)方面的調(diào)整���,使得補丁程序的升級變得越來越困難,特別是使用微軟非正版的操作系統(tǒng)�,而從其他站點下載補丁程序,不但比較麻煩���,而且還要擔(dān)心下載的補丁程序是否被捆綁了木馬等程序��?��!癢indowsUpdates Downloader 2.24 Build 875”的出現(xiàn)完全解決了以上的問題?�!癢indows Updates Downloader2.24 Build 875”是jcarle公司開發(fā)的一款免費軟件��,能以最快的方法下載全部最新的Windows及其相關(guān)安全更新���,所有安全更新鏈接均來自Microsoft.com���。“Windows Updates Downloader”提供微欽操作系統(tǒng)以及相關(guān)應(yīng)用程序的補丁程序下載��,用戶使用該工具可以有選擇地安裝補丁程序����。介紹如何使用步驟一、安裝Windows補丁更新器�����?!癢indows Updates Downloader”的運行環(huán)境是“.NET 2.0Framework”,如果沒有安裝“.NET 2.0 Framework ���,后安裝“Windows Updates Downloader”非常簡單���,根據(jù)其提示進行操作,即可以完成其安裝�����。
步驟二、下載補丁文件列表���。第一次使用時�����,如果沒有補丁文件列表���,則在“Windows UpdatesDownloader”中無法下載補丁程序,補丁文件列表可以到該軟件下載地址:(http://na.com.cn/ download/down_page/115842240~29443.shtml)下載�����。下載文件到本地以后�����,雙擊該列表文件��,如圖8-15所示���,即可導(dǎo)入到“Windows Updates Downloader”中��,然后運行“Windows UpdatesDownloader”即可進行補丁程序的下載�。
8.Rootkit安全檢查工具
Rootkit出現(xiàn)于20世紀90年代初,在1994年2月的一篇安全咨詢(CERT- CC-CA-1994-01)報告中首先使用了Rootkit這個名詞���,該報告的題目是“Ongoing Network Monitoring Attacks”,最新的修訂時間是1997年9月19日��。從出現(xiàn)至今�����,Rootkit的技術(shù)發(fā)展非常迅速�����,應(yīng)用越來越廣泛���,檢測難度也越來越大���。
Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具,很難被察覺�。換句話說,這種程序可能一直存在于計算機中,但用戶卻渾然不知��。黑客可以在入侵后置入Rootkit�,秘密地窺探敏感信息或等待時機、伺機而動�;取證人員也可以利用Rootkit實時監(jiān)控嫌疑人員的不法行為,它不僅能搜集證據(jù)���,還有利于及時采取行動�!
Rootkit技術(shù)最早運用在UINX操作系統(tǒng)中�,后來逐漸運用到Windows操作系統(tǒng)中,有時也籠統(tǒng)地將利用Rootkit技術(shù)而編寫的木馬程序稱之為Rootkit�����。在安全檢查中除了對端口和進程檢查外��,還需要對系統(tǒng)中是否存在Rootkit進行檢查����,在本小結(jié)中介紹了一些Rootkit安全檢測工
9.使用“冰刀”進行安全檢查案例
他的英文名稱為IceSword,也稱為冰刃或者簡稱IS����,是由PJF出品的一款系統(tǒng)診斷��、清除利其個人blog (http://www./user17/pjf/index.html)上有關(guān)于該產(chǎn)品的一些說明���,軟件下載:http://mail.ustc.edu.cn/~jfpan/download/lceSword122cn.zip。它適用于NVindows 2000/XP/2003操作系統(tǒng)�,其內(nèi)部功能十分強大,可用于探查系統(tǒng)中的木馬后門��, 并進行相應(yīng)的處理����。IceSword使用了大量新穎的內(nèi)核技術(shù)����,使得這些后門躲無所躲,是一款檢查后門的好工具����。IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計,另外運行IceSword時還需要管理員權(quán)限����。它的主要功能如下。
10.使用AVG Anti-Rootkit進行安全檢查案例
通過本案例可以學(xué)習(xí)到使用AVG Anti-Rootkit檢查系統(tǒng)中Rootkit的方法���。AVG Anti-Rootkit軟件是avg公司出品的一款免費Rootkit檢測工具���,檢查系統(tǒng)中Rootkit的步驟如下���。
11.啟動加載、端口連接和進程檢查工具
不管木馬(后門)程序有多么厲害���,它都需要一個加載選項��,這是因為它可能是直接以程序文件的形式運行���、插入到其他進程中運行、以服務(wù)的形式加載以及以ActiveX控件等形式加載��。除此之外��,它還必須要訪問網(wǎng)絡(luò)���,也就是說肯定有連接�。從安全檢查的角度��,一般是針對運行的進程���、啟動加載以及端口連接進行安全檢查�,如果在這三個方面發(fā)現(xiàn)有可疑或者明確有問題的程序,則運行或者加載的程序極有可能為木馬程序�����,在安全檢查中寧可錯殺一萬����,也不可放過萬一。在本節(jié)中主要介紹使用Autoruns����、Currports�����、Process Explorer等工具來對啟動選項�����、端口以及進程進行檢查���,最后介紹兩種“原始態(tài)”的安全檢查����,就是對防火墻的連接情況以及原始數(shù)據(jù)抓包檢查。
12.使用Autoruns進行安全檢查案例
Autoruns是由著名公司sysinternals出品的一款小軟件�,它的主要功能是列出系統(tǒng)自啟動的項目,通過它查看木馬加載在啟動��、ActiveX��、Explorer���、Logon以及Services等中的木馬程序��,對于一般的木馬程序可以通過它來刪除自動加載�����。Autoruns還可以檢查所有已經(jīng)注冊成為驅(qū)動的項以及所有的驅(qū)動程序(�。.sys)的文件數(shù)字簽名�。所有假冒的或者沒有通過代碼簽名的項都會在這里列出來,也就可以很容易地判斷這個驅(qū)動是不是有問題了��。本案例以autoruns8.6來進行系統(tǒng)安全檢查���,具體步驟如下���。
13.使用CurrPorts進行端口安全檢查案例
CurrPorts是一個免費GUI模式下的網(wǎng)絡(luò)連接檢測工具�,它可以列出所有TCP/IP和UDP連�,列出打開端口的應(yīng)用程序等信息,還可以直接終止程序���。該軟件往往跟Process Explorer等工具配合進行安全檢測�����,即時中止木馬程序網(wǎng)絡(luò)連接��,具體的檢查步驟如下�。
14.使用fport與mport進行端口安全檢查案例
Fport是FoundStone出品的一個用來列出系統(tǒng)中所有打開的TCP/IP和UDP端口���,以及它們對應(yīng)的應(yīng)用程序的完整路徑�����、PID標(biāo)識、進程名稱等信息的軟件���。其早期版本不支持Windows Xp操作系統(tǒng)�����,最新版本為2.0��。mport.exe跟fport.exe實現(xiàn)的功能差不多����,運行fport需要管理員權(quán)限,而mport可以在Windows NT�、Windows 2000、Windows XP以及Windows 2003等操作系統(tǒng)中運行�����,mport可以無其他參數(shù)����。Fport可以帶參數(shù),命令格式為“fport/參數(shù)”�,其參數(shù)含義如下。
15.使用Process Expforer對韓國某服務(wù)器進行安全清理的案例
Process Explorer是sysinternals.com公司的作品��,目前為微軟提供技術(shù)支持����,號稱最好的進程監(jiān)視工具����,完全免費����!它不僅可以監(jiān)視、暫停��、終止進程��,還可以查看進程調(diào)用的DLL文件�����,遇到不熟悉的進程還可以直接通過Google或百度等進行搜索��;除此之外�����,它還可以查看CPU及內(nèi)存使用情況����,對系統(tǒng)運行的進程進行調(diào)試等���。Process Explorer與Process Viewer. Norton processViewer��、國產(chǎn)的IceSword、Windows進程管理器堪稱“進程監(jiān)視五大至尊”,是預(yù)防病毒���、查殺木馬的好幫手。關(guān)于Process Explorer的介紹以及軟件下載的地址為http://technet.microsoft.com/zh-cnJsysintemals/ ‘ob896653(en-us).aspx 。
在網(wǎng)絡(luò)攻防過程中���,一般使用Process Explorer來清理木馬程序,加固系統(tǒng)安全����;除此之外,還可以使用Process Explorer來刪除正在使用的或者無法刪除的文件����。本案例主要介紹如何利用Process Explorer來刪除木馬進程,加固系統(tǒng)�����,具體步驟如下����。
16.對硬件防火墻網(wǎng)絡(luò)連接情況進行安全檢查案例
防火墻作為一道安全防御線在網(wǎng)絡(luò)攻防過程非常重要�,網(wǎng)絡(luò)上所有的連接都要經(jīng)過它來實現(xiàn)���,所以不管什么樣的木馬程序在防火墻面前都會顯得無能為力����。防火墻一般分為硬件和軟件兩個部分�,軟件主要對硬件進行物理和網(wǎng)絡(luò)設(shè)置等操作,硬件是軟件運行的平臺��,該軟件一般稱為防火墻OS��。一般來說��,對應(yīng)硬件防火墻都會有一套管理軟件���,用它來對防火墻進行管理�����。本案例就是利用防火墻的管理軟件來對網(wǎng)絡(luò)連接情況進行安全檢查��,操作步驟如下�����。
17.U盤病毒安全檢查
U盤病毒主要利用Autorun.inf文件����,該文件跟木馬病毒文件往往在一起����,當(dāng)用戶插入U盤時,統(tǒng)會自動播放U盤中的內(nèi)容���,用戶在打開U盤時��,病毒就會執(zhí)行����。U盤病毒具有交叉感染的特�����,即感染了U盤病毒的計算機����,在插入干凈的U盤以后���,U盤病毒又會感染U盤:當(dāng)被感染U病毒的U盤插入到未感染的計算機中時,U盤中的病毒會感染計算機���;所以U盤病毒傳染性非強��,而且極難徹底根除���。由于U盤在日常工作和生活中的廣泛使用,因此目前新出來的病毒都具有優(yōu)盤傳播這一功能��。
18.利用殺毒以及防火墻軟件進行系統(tǒng)安全檢查
不管是安全專業(yè)人士還是非專業(yè)人士對系統(tǒng)進行安全檢查較常采天用的方式就是使用殺毒軟件查殺病毒����,通過防火墻軟件網(wǎng)絡(luò)連接、程序訪問等來判斷系統(tǒng)是否存在木馬程序��。本節(jié)就使用殺毒軟件以及防火墻方面的一些實際經(jīng)驗和技巧方法進行介紹和講解�,掌握了這些方法可以大大降低被攻擊或者感染木馬的幾率。
|
