|
如今網絡攻擊手段越來越高明�,那么對于沒有防護能力的個人電腦要如何做到安全運行呢?這里介紹的完全檢查就是網絡攻防過程中的一個最重要的階段�,無論你用的是Windows Xp還是Windows 7以下方法都具有參考價值,這里講的個人主機進行安全檢查有兩個目的:一是確保系統(tǒng)是安全的����;二是查殺系統(tǒng)中存在的木馬程序和修補安全漏洞??梢酝ㄟ^以下一些手段來對計算機進行安全檢查:
l 使用安全掃描工具;
l 修補系統(tǒng)安全漏洞:
l Rootkit安全檢查���;
l 啟動加載�����、端口連接和進程檢查��;
l 運用數據恢復軟件獲取入侵信息�;
1.使用安全掃描工具
安全檢查中最重要的檢查就是檢查網絡中的計算機是否存在遠程溢出漏洞,這是因為遠程溢出漏洞的危害最大����,利用工具通過對存在遠程溢出漏洞的計算機掃描可以很輕松地獲得Shell權限。本小節(jié)中主要介紹對微軟的一些高危漏洞(MS05039����、SQLHello漏洞等)的安全掃描工具����。
1.MS05039漏洞安全檢測案例
MS05039Scan是Foundstone公司開發(fā)的用來檢查“Windows UPnP”的漏洞工具,其下載地址為:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm�����。本案例使用該工具來對MS05039漏洞進行安全檢測�����,然后對檢查出存在漏洞的計算機安裝其補丁程序���,具體操作步驟如下�����。
2.MS05051漏洞安全檢測案例
MS05051Scan是foundstone公司開發(fā)的用來檢查“Vulnerabilities in MSDTC and COM+ CouldAllow Remote Code Execution”的漏洞工具�����,其下載地址為:http://www./us/resources/proddesc/MS05039Scan.htm���。本案例使用該工具來進行MS05051漏洞安全檢測���,然后對檢查出存在漏洞的計算機安裝其補丁程序,具體操作步驟如下��。
3.SQLHello漏洞安全檢測案例
比如以前的SQL Server 2000數據庫服務器曾經出現了一個遠程溢出漏洞�����,也即“SQLHello”漏洞��,該漏洞為高危漏洞�����,溢出后可被完全控制�。出現該漏洞后,在網上出現了利用該漏洞的蠕蟲病毒�,Foundstone公司開發(fā)了一款該漏洞的免費安全掃描工具�。通過該工具可以掃描存在該漏洞或者被蠕蟲感染的SQL Server數據庫服務器��,該工具只能檢查漏洞而不能進行溢出�。本案例使用該工具來進行SQL Server數據庫安全檢測,然后對檢查出存在漏洞的服務器安裝其SP4補丁程序�,具體的操作步驟如下。
世界上沒有絕對完美的軟件�����,因此可以說沒有一個軟件是絕對沒有安全漏洞的��。從網絡安全人員特別是漏洞挖掘人員對安全漏洞的研究中可知����,早期多在操作系統(tǒng)�����、數據庫服務器��、Ⅲ瀏覽器等上發(fā)現安全漏洞:而目前則越來越多的人關注應用軟件上的安全漏洞以及ActiveX漏洞��,例如Word漏洞��、PDF漏洞、支付寶交易控件漏洞等����。軟件或者操作系統(tǒng)被發(fā)現存在安全漏洞的話,如果不及時安裝補丁程序或者采取安全措施�,將會導致嚴重的安全問題。本小節(jié)主要通過使用殺毒軟件以及Windows自帶的安全更新程序來修補系統(tǒng)安全漏洞�����。
4.使用瑞星漏洞掃描程序修補系統(tǒng)漏洞案例
如今系統(tǒng)的安全問題越來越受到人們的重視���,而安全漏洞在普通用戶的眼中�����,這無疑是一種高不可攀的技術���。安全漏洞層出不窮,如何I以逸待勞呢����?其實目前很多殺毒軟件以及木馬查殺工具都提供了安全掃描工具,用戶只需要進行簡單的幾個操作步驟就可以修補系統(tǒng)中存在的安全漏洞。國外殺毒軟件帶漏洞掃描工具的也有����,但同時提供自動下載并安裝補丁程序較少,國內殺毒軟件基本上都有漏洞修補功能���。本案例就用瑞星系統(tǒng)安全漏洞掃描程序來檢測和修補漏洞��,具體操作步驟如下�����。
5.使用瑞星卡卡掃描和更新系統(tǒng)漏洞案例
卡卡上網安全助手(簡稱卡卡)是瑞星公司的一款免費軟件�,該軟件中的一個基本功能之一就掃描系統(tǒng)安全漏洞�。本案例就是利用卡卡來掃描系統(tǒng)漏洞以及安裝補丁程序,步驟如下�。
6.使用系統(tǒng)自帶程序更新補丁程序案例
Windows自動更新是Windows的一項功能����,當微軟更新網站發(fā)布更新補丁后,它會及時提醒用戶下載和安裝���。使用自動更新可以在第一時間更新操作系統(tǒng)��,修復系統(tǒng)漏洞�,保護計算機安全。
微軟自WindowsXP Sp3后開始推出“安全中心”(Windows Security Center)���,它負責檢查計算機安全狀態(tài)���,包括防火墻、病毒防護軟件����、自動更新三個安全要素,恰好構成了系統(tǒng)安全最重要的三個部分���。如果系統(tǒng)中沒有啟用防火墻和自動更新���,或者沒有安裝防病毒軟件,默認情況下系統(tǒng)會在托盤區(qū)出現“Windows安全警報”的盾形圖標����,提示系統(tǒng)當前所處的安全狀態(tài),雙擊后可以進入安全中心了解系統(tǒng)提供的安全建議��。 事實上�,早在Windows XP時代, 自動更新就作為系統(tǒng)的默認服務處于啟用狀態(tài),可惜很多用戶出于節(jié)省系統(tǒng)資源的考慮而將其手工禁用����,這樣做的最大后果就是無法及時獲取系統(tǒng)更新(包括關鍵更新和安全更新),這也是眾多用戶沒有能抵御沖擊波��、震蕩波病毒的原因所在��。Windows XP SP3進一步強化了自動更新功能�����,在安裝Windows XP SP3結束后的首次啟動中��,系統(tǒng)將要求用戶配置自動更新�,如果使用了“自動(推薦)”設置,那么只要計算機在線���,自動更新將在凌晨3點自動查找所有重要更新����,包括安全更新�����、關鍵更新����、Service Pack并自動安裝;而且如果用戶關閉了自動更新����,安全中心將不斷地顯示相應的警報。不過���,通常情況下���,自動更新只傳送最新的重要更新,因此我們仍然應該定期訪問VVindows Update網站安裝更新�����。
這里介紹Windows操作系統(tǒng)中的兩種更新方式��,一種是用戶參與的在線更新��,一種是系統(tǒng)的自動更新����。
1.在線更新用戶參與的在線更新的操作步驟如下��。
2.運行自動更新程序���。在DOS下輸入“%SystemRoot%\system32\wupdmgr.exe”命令打開Windows在線補丁程序更新管理頁面,在該頁面中用戶可以檢查系統(tǒng)中需要更新的補丁程序����,如
3.使用Windows自動更新
Windows在線更新自從XP開始,只有正版操作系統(tǒng)才能更新��;而Windows自動更新��,則沒有這個限制��。使用Windows自動更新必須滿足打開“自動更新設置”和啟動自動更新服務Automatic Updates“兩個條件�,操作步驟如下。
打開自動更新設置��。單擊“開始”-“設置”-“控制面板”�,在控制面板中打開“自動更新”,如圖8-13所示:在自動更新中選擇“自動(推薦)”�����,或者除“關閉自動更新”外的其他選項均可�����。
查看并啟動“Automatic Updates”服務��。在控制面板中單擊“管理工具”-“服務”�,打開服務控制臺,在其中雙擊“Automatic Updates”��,在“Automatic Updates的屬性”窗口中�,確保并設置其服務狀態(tài)為“已啟動”以及服務類型為“自啟動”,如圖8-14所示��。
7. 使用Windows更新下載器更新補丁程序案例
漏洞一直是入侵者的最愛���,而補丁卻是入侵者的克星����;微軟對于正版軟件的執(zhí)著和技術方面的調整�����,使得補丁程序的升級變得越來越困難��,特別是使用微軟非正版的操作系統(tǒng)�����,而從其他站點下載補丁程序,不但比較麻煩��,而且還要擔心下載的補丁程序是否被捆綁了木馬等程序�����?��!癢indowsUpdates Downloader 2.24 Build 875”的出現完全解決了以上的問題����?��!癢indows Updates Downloader2.24 Build 875”是jcarle公司開發(fā)的一款免費軟件�,能以最快的方法下載全部最新的Windows及其相關安全更新�����,所有安全更新鏈接均來自Microsoft.com�����。“Windows Updates Downloader”提供微欽操作系統(tǒng)以及相關應用程序的補丁程序下載�,用戶使用該工具可以有選擇地安裝補丁程序。介紹如何使用步驟一����、安裝Windows補丁更新器���?���!癢indows Updates Downloader”的運行環(huán)境是“.NET 2.0Framework”�����,如果沒有安裝“.NET 2.0 Framework �,后安裝“Windows Updates Downloader”非常簡單,根據其提示進行操作��,即可以完成其安裝�����。
步驟二��、下載補丁文件列表。第一次使用時�����,如果沒有補丁文件列表�����,則在“Windows UpdatesDownloader”中無法下載補丁程序�,補丁文件列表可以到該軟件下載地址:(http://na.com.cn/ download/down_page/115842240~29443.shtml)下載。下載文件到本地以后���,雙擊該列表文件�����,如圖8-15所示���,即可導入到“Windows Updates Downloader”中,然后運行“Windows UpdatesDownloader”即可進行補丁程序的下載����。
8.Rootkit安全檢查工具
Rootkit出現于20世紀90年代初,在1994年2月的一篇安全咨詢(CERT- CC-CA-1994-01)報告中首先使用了Rootkit這個名詞,該報告的題目是“Ongoing Network Monitoring Attacks”���,最新的修訂時間是1997年9月19日���。從出現至今,Rootkit的技術發(fā)展非常迅速�����,應用越來越廣泛�,檢測難度也越來越大��。
Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具����,很難被察覺。換句話說���,這種程序可能一直存在于計算機中���,但用戶卻渾然不知。黑客可以在入侵后置入Rootkit�,秘密地窺探敏感信息或等待時機、伺機而動;取證人員也可以利用Rootkit實時監(jiān)控嫌疑人員的不法行為�����,它不僅能搜集證據��,還有利于及時采取行動���!
Rootkit技術最早運用在UINX操作系統(tǒng)中�����,后來逐漸運用到Windows操作系統(tǒng)中�����,有時也籠統(tǒng)地將利用Rootkit技術而編寫的木馬程序稱之為Rootkit���。在安全檢查中除了對端口和進程檢查外,還需要對系統(tǒng)中是否存在Rootkit進行檢查���,在本小結中介紹了一些Rootkit安全檢測工
9.使用“冰刀”進行安全檢查案例
他的英文名稱為IceSword���,也稱為冰刃或者簡稱IS�����,是由PJF出品的一款系統(tǒng)診斷��、清除利其個人blog (http://www./user17/pjf/index.html)上有關于該產品的一些說明��,軟件下載:http://mail.ustc.edu.cn/~jfpan/download/lceSword122cn.zip��。它適用于NVindows 2000/XP/2003操作系統(tǒng)���,其內部功能十分強大,可用于探查系統(tǒng)中的木馬后門�, 并進行相應的處理�����。IceSword使用了大量新穎的內核技術���,使得這些后門躲無所躲���,是一款檢查后門的好工具。IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設計��,另外運行IceSword時還需要管理員權限。它的主要功能如下��。
10.使用AVG Anti-Rootkit進行安全檢查案例
通過本案例可以學習到使用AVG Anti-Rootkit檢查系統(tǒng)中Rootkit的方法���。AVG Anti-Rootkit軟件是avg公司出品的一款免費Rootkit檢測工具��,檢查系統(tǒng)中Rootkit的步驟如下���。
11.啟動加載、端口連接和進程檢查工具
不管木馬(后門)程序有多么厲害�,它都需要一個加載選項,這是因為它可能是直接以程序文件的形式運行�����、插入到其他進程中運行���、以服務的形式加載以及以ActiveX控件等形式加載��。除此之外�����,它還必須要訪問網絡���,也就是說肯定有連接��。從安全檢查的角度���,一般是針對運行的進程、啟動加載以及端口連接進行安全檢查�����,如果在這三個方面發(fā)現有可疑或者明確有問題的程序�,則運行或者加載的程序極有可能為木馬程序,在安全檢查中寧可錯殺一萬���,也不可放過萬一���。在本節(jié)中主要介紹使用Autoruns��、Currports�����、Process Explorer等工具來對啟動選項��、端口以及進程進行檢查,最后介紹兩種“原始態(tài)”的安全檢查���,就是對防火墻的連接情況以及原始數據抓包檢查���。
12.使用Autoruns進行安全檢查案例
Autoruns是由著名公司sysinternals出品的一款小軟件,它的主要功能是列出系統(tǒng)自啟動的項目��,通過它查看木馬加載在啟動�、ActiveX、Explorer���、Logon以及Services等中的木馬程序����,對于一般的木馬程序可以通過它來刪除自動加載�����。Autoruns還可以檢查所有已經注冊成為驅動的項以及所有的驅動程序(�。.sys)的文件數字簽名。所有假冒的或者沒有通過代碼簽名的項都會在這里列出來�,也就可以很容易地判斷這個驅動是不是有問題了。本案例以autoruns8.6來進行系統(tǒng)安全檢查�,具體步驟如下����。
13.使用CurrPorts進行端口安全檢查案例
CurrPorts是一個免費GUI模式下的網絡連接檢測工具�����,它可以列出所有TCP/IP和UDP連�����,列出打開端口的應用程序等信息��,還可以直接終止程序�。該軟件往往跟Process Explorer等工具配合進行安全檢測,即時中止木馬程序網絡連接����,具體的檢查步驟如下。
14.使用fport與mport進行端口安全檢查案例
Fport是FoundStone出品的一個用來列出系統(tǒng)中所有打開的TCP/IP和UDP端口���,以及它們對應的應用程序的完整路徑����、PID標識�����、進程名稱等信息的軟件�����。其早期版本不支持Windows Xp操作系統(tǒng)�,最新版本為2.0。mport.exe跟fport.exe實現的功能差不多����,運行fport需要管理員權限,而mport可以在Windows NT�����、Windows 2000�����、Windows XP以及Windows 2003等操作系統(tǒng)中運行����,mport可以無其他參數。Fport可以帶參數���,命令格式為“fport/參數”����,其參數含義如下。
15.使用Process Expforer對韓國某服務器進行安全清理的案例
Process Explorer是sysinternals.com公司的作品����,目前為微軟提供技術支持,號稱最好的進程監(jiān)視工具�,完全免費!它不僅可以監(jiān)視����、暫停、終止進程���,還可以查看進程調用的DLL文件��,遇到不熟悉的進程還可以直接通過Google或百度等進行搜索�����;除此之外��,它還可以查看CPU及內存使用情況��,對系統(tǒng)運行的進程進行調試等�。Process Explorer與Process Viewer. Norton processViewer�����、國產的IceSword�、Windows進程管理器堪稱“進程監(jiān)視五大至尊”,是預防病毒��、查殺木馬的好幫手����。關于Process Explorer的介紹以及軟件下載的地址為http://technet.microsoft.com/zh-cnJsysintemals/ ‘ob896653(en-us).aspx 。
在網絡攻防過程中�,一般使用Process Explorer來清理木馬程序,加固系統(tǒng)安全���;除此之外�����,還可以使用Process Explorer來刪除正在使用的或者無法刪除的文件��。本案例主要介紹如何利用Process Explorer來刪除木馬進程���,加固系統(tǒng)�����,具體步驟如下�����。
16.對硬件防火墻網絡連接情況進行安全檢查案例
防火墻作為一道安全防御線在網絡攻防過程非常重要���,網絡上所有的連接都要經過它來實現,所以不管什么樣的木馬程序在防火墻面前都會顯得無能為力���。防火墻一般分為硬件和軟件兩個部分����,軟件主要對硬件進行物理和網絡設置等操作�,硬件是軟件運行的平臺,該軟件一般稱為防火墻OS����。一般來說�,對應硬件防火墻都會有一套管理軟件�,用它來對防火墻進行管理。本案例就是利用防火墻的管理軟件來對網絡連接情況進行安全檢查����,操作步驟如下�。
17.U盤病毒安全檢查
U盤病毒主要利用Autorun.inf文件,該文件跟木馬病毒文件往往在一起����,當用戶插入U盤時,統(tǒng)會自動播放U盤中的內容���,用戶在打開U盤時���,病毒就會執(zhí)行。U盤病毒具有交叉感染的特����,即感染了U盤病毒的計算機,在插入干凈的U盤以后�����,U盤病毒又會感染U盤:當被感染U病毒的U盤插入到未感染的計算機中時,U盤中的病毒會感染計算機�����;所以U盤病毒傳染性非強���,而且極難徹底根除���。由于U盤在日常工作和生活中的廣泛使用,因此目前新出來的病毒都具有優(yōu)盤傳播這一功能��。
18.利用殺毒以及防火墻軟件進行系統(tǒng)安全檢查
不管是安全專業(yè)人士還是非專業(yè)人士對系統(tǒng)進行安全檢查較常采天用的方式就是使用殺毒軟件查殺病毒�����,通過防火墻軟件網絡連接�、程序訪問等來判斷系統(tǒng)是否存在木馬程序。本節(jié)就使用殺毒軟件以及防火墻方面的一些實際經驗和技巧方法進行介紹和講解��,掌握了這些方法可以大大降低被攻擊或者感染木馬的幾率��。
|
