,如今網絡攻擊手段越來越高明,那么對于沒有防護能力de個人電腦要如何做到安全運行呢?這里介紹de完全檢查就是網絡攻防過程中de一個最重要de階段,無論你用de是Windows Xp還是Windows 7以下方法都具有參考價值,這里講de個人主機進行安全檢查有兩個目de:一是確保系統是安全de;二是查殺系統中存在de木馬程序和修補安全漏洞。可以通過以下一些手段來對計算機進行安全檢查:
l 使用安全掃描工具;
l 修補系統安全漏洞:
l Rootkit安全檢查;
l 啟動加載、端口連接和進程檢查;
l 運用數據恢復軟件獲取入侵信息;
1.使用安全掃描工具
安全檢查中最重要de檢查就是檢查網絡中de計算機是否存在遠程溢出漏洞,這是因為遠程溢出漏洞de危害最大,利用工具通過對存在遠程溢出漏洞de計算機掃描可以很輕松地獲得Shell權限。本小節中主要介紹對微軟de一些高危漏洞(MS05039、SQLHello漏洞等)de安全掃描工具。
1.MS05039漏洞安全檢測案例
MS05039Scan是Foundstone公司開發de用來檢查Windows UPnPde漏洞工具,其下載地址為:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用該工具來對MS05039漏洞進行安全檢測,然后對檢查出存在漏洞de計算機安裝其補丁程序,具體操作步驟如下。
2.MS05051漏洞安全檢測案例
MS05051Scan是foundstone公司開發de用來檢查Vulnerabilities in MSDTC and COM+ CouldAllow Remote Code Executionde漏洞工具,其下載地址為:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用該工具來進行MS05051漏洞安全檢測,然后對檢查出存在漏洞de計算機安裝其補丁程序,具體操作步驟如下。
3.SQLHello漏洞安全檢測案例
比如以前deSQL Server 2000數據庫服務器曾經出現了一個遠程溢出漏洞,也即SQLHello漏洞,該漏洞為高危漏洞,溢出后可被完全控制。出現該漏洞后,在網上出現了利用該漏洞de蠕蟲病毒,Foundstone公司開發了一款該漏洞de免費安全掃描工具。通過該工具可以掃描存在該漏洞或者被蠕蟲感染deSQL Server數據庫服務器,該工具只能檢查漏洞而不能進行溢出。本案例使用該工具來進行SQL Server數據庫安全檢測,然后對檢查出存在漏洞de服務器安裝其SP4補丁程序,具體de操作步驟如下。
世界上沒有絕對完美de軟件,因此可以說沒有一個軟件是絕對沒有安全漏洞de。從網絡安全人員特別是漏洞挖掘人員對安全漏洞de研究中可知,早期多在操作系統、數據庫服務器、Ⅲ瀏覽器等上發現安全漏洞:而目前則越來越多de人關注應用軟件上de安全漏洞以及ActiveX漏洞,例如Word漏洞、PDF漏洞、支付寶交易控件漏洞等。軟件或者操作系統被發現存在安全漏洞de話,如果不及時安裝補丁程序或者采取安全措施,將會導致嚴重de安全問題。本小節主要通過使用殺毒軟件以及Windows自帶de安全更新程序來修補系統安全漏洞。
4.使用瑞星漏洞掃描程序修補系統漏洞案例
如今系統de安全問題越來越受到人們de重視,而安全漏洞在普通用戶de眼中,這無疑是一種高不可攀de技術。安全漏洞層出不窮,如何I以逸待勞呢?其實目前很多殺毒軟件以及木馬查殺工具都提供了安全掃描工具,用戶只需要進行簡單de幾個操作步驟就可以修補系統中存在de安全漏洞。國外殺毒軟件帶漏洞掃描工具de也有,但同時提供自動下載并安裝補丁程序較少,國內殺毒軟件基本上都有漏洞修補功能。本案例就用瑞星系統安全漏洞掃描程序來檢測和修補漏洞,具體操作步驟如下。
5.使用瑞星卡卡掃描和更新系統漏洞案例
卡卡上網安全助手(簡稱卡卡)是瑞星公司de一款免費軟件,該軟件中de一個基本功能之一就掃描系統安全漏洞。本案例就是利用卡卡來掃描系統漏洞以及安裝補丁程序,步驟如下。
6.使用系統自帶程序更新補丁程序案例
Windows自動更新是Windowsde一項功能,當微軟更新網站發布更新補丁后,它會及時提醒用戶下載和安裝。使用自動更新可以在第一時間更新操作系統,修復系統漏洞,保護計算機安全。
微軟自WindowsXP Sp3后開始推出安全中心(Windows Security Center),它負責檢查計算機安全狀態,包括防火墻、病毒防護軟件、自動更新三個安全要素,恰好構成了系統安全最重要de三個部分。如果系統中沒有啟用防火墻和自動更新,或者沒有安裝防病毒軟件,默認情況下系統會在托盤區出現Windows安全警報de盾形圖標,提示系統當前所處de安全狀態,雙擊后可以進入安全中心了解系統提供de安全建議。事實上,早在Windows XP時代,自動更新就作為系統de默認服務處于啟用狀態,可惜很多用戶出于節省系統資源de考慮而將其手工禁用,這樣做de最大后果就是無法及時獲取系統更新(包括關鍵更新和安全更新),這也是眾多用戶沒有能抵御沖擊波、震蕩波病毒de原因所在。Windows XP SP3進一步強化了自動更新功能,在安裝Windows XP SP3結束后de首次啟動中,系統將要求用戶配置自動更新,如果使用了自動(推薦)設置,那么只要計算機在線,自動更新將在凌晨3點自動查找所有重要更新,包括安全更新、關鍵更新、Service Pack并自動安裝;而且如果用戶關閉了自動更新,安全中心將不斷地顯示相應de警報。不過,通常情況下,自動更新只傳送最新de重要更新,因此我們仍然應該定期訪問VVindows Update網站安裝更新。
這里介紹Windows操作系統中de兩種更新方式,一種是用戶參與de在線更新,一種是系統de自動更新。
1.在線更新用戶參與de在線更新de操作步驟如下。
2.運行自動更新程序。在DOS下輸入%SystemRoot%system32wupdmgr.exe命令打開Windows在線補丁程序更新管理頁面,在該頁面中用戶可以檢查系統中需要更新de補丁程序,如
3.使用Windows自動更新
Windows在線更新自從XP開始,只有正版操作系統才能更新;而Windows自動更新,則沒有這個限制。使用Windows自動更新必須滿足打開自動更新設置和啟動自動更新服務Automatic Updates兩個條件,操作步驟如下。
打開自動更新設置。單擊開始-設置-控制面板,在控制面板中打開自動更新,如圖8-13所示:在自動更新中選擇自動(推薦),或者除關閉自動更新外de其他選項均可。
查看并啟動Automatic Updates服務。在控制面板中單擊管理工具-服務,打開服務控制臺,在其中雙擊Automatic Updates,在Automatic Updatesde屬性窗口中,確保并設置其服務狀態為已啟動以及服務類型為自啟動,如圖8-14所示。
7.使用Windows更新下載器更新補丁程序案例
漏洞一直是入侵者de最愛,而補丁卻是入侵者de克星;微軟對于正版軟件de執著和技術方面de調整,使得補丁程序de升級變得越來越困難,特別是使用微軟非正版de操作系統,而從其他站點下載補丁程序,不但比較麻煩,而且還要擔心下載de補丁程序是否被捆綁了木馬等程序。WindowsUpdates Downloader 2.24 Build 875de出現完全解決了以上de問題。Windows Updates Downloader2.24 Build 875是jcarle公司開發de一款免費軟件,能以最快de方法下載全部最新deWindows及其相關安全更新,所有安全更新鏈接均來自Microsoft.com。Windows Updates Downloader提供微欽操作系統以及相關應用程序de補丁程序下載,用戶使用該工具可以有選擇地安裝補丁程序。介紹如何使用步驟一、安裝Windows補丁更新器。Windows Updates Downloaderde運行環境是.NET 2.0Framework,如果沒有安裝.NET 2.0 Framework,后安裝Windows Updates Downloader非常簡單,根據其提示進行操作,即可以完成其安裝。
步驟二、下載補丁文件列表。第一次使用時,如果沒有補丁文件列表,則在Windows UpdatesDownloader中無法下載補丁程序,補丁文件列表可以到該軟件下載地址:(http://downl.tech.sina.com.cn/ download/down_page/115842240~29443.shtml)下載。下載文件到本地以后,雙擊該列表文件,如圖8-15所示,即可導入到Windows Updates Downloader中,然后運行Windows UpdatesDownloader即可進行補丁程序de下載。、8.Rootkit安全檢查工具
Rootkit出現于20世紀90年代初,在1994年2月de一篇安全咨詢(CERT- CC-CA-1994-01)報告中首先使用了Rootkit這個名詞,該報告de題目是Ongoing Network Monitoring Attacks,最新de修訂時間是1997年9月19日。從出現至今,Rootkitde技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。/
Rootkit是攻擊者用來隱藏自己de蹤跡和保留root訪問權限de工具,很難被察覺。換句話說,這種程序可能一直存在于計算機中,但用戶卻渾然不知。黑客可以在入侵后置入Rootkit,秘密地窺探敏感信息或等待時機、伺機而動;取證人員也可以利用Rootkit實時監控嫌疑人員de不法行為,它不僅能搜集證據,還有利于及時采取行動!
Rootkit技術最早運用在UINX操作系統中,后來逐漸運用到Windows操作系統中,有時也籠統地將利用Rootkit技術而編寫de木馬程序稱之為Rootkit。在安全檢查中除了對端口和進程檢查外,還需要對系統中是否存在Rootkit進行檢查,在本小結中介紹了一些Rootkit安全檢測工
9.使用冰刀進行安全檢查案例
他de英文名稱為IceSword,也稱為冰刃或者簡稱IS,是由PJF出品de一款系統診斷、清除利其個人blog (http://www.blogcn.com/user17/pjf/index.html)上有關于該產品de一些說明,軟件下載:http://mail.ustc.edu.cn/~jfpan/download/lceSword122cn.zip。它適用于NVindows 2000/XP/2003操作系統,其內部功能十分強大,可用于探查系統中de木馬后門,并進行相應de處理。IceSword使用了大量新穎de內核技術,使得這些后門躲無所躲,是一款檢查后門de好工具。IceSword目前只為使用32位dex86兼容CPUde系統設計,另外運行IceSword時還需要管理員權限。它de主要功能如下。
10.使用AVGAnti-Rootkit進行安全檢查案例
通過本案例可以學習到使用AVG Anti-Rootkit檢查系統中Rootkitde方法。AVG Anti-Rootkit軟件是avg公司出品de一款免費Rootkit檢測工具,檢查系統中Rootkitde步驟如下。
11.啟動加載、端口連接和進程檢查工具
不管木馬(后門)程序有多么厲害,它都需要一個加載選項,這是因為它可能是直接以程序文件de形式運行、插入到其他進程中運行、以服務de形式加載以及以ActiveX控件等形式加載。除此之外,它還必須要訪問網絡,也就是說肯定有連接。從安全檢查de角度,一般是針對運行de進程、啟動加載以及端口連接進行安全檢查,如果在這三個方面發現有可疑或者明確有問題de程序,則運行或者加載de程序極有可能為木馬程序,在安全檢查中寧可錯殺一萬,也不可放過萬一。在本節中主要介紹使用Autoruns、Currports、Process Explorer等工具來對啟動選項、端口以及進程進行檢查,最后介紹兩種原始態de安全檢查,就是對防火墻de連接情況以及原始數據抓包檢查。
12.使用Autoruns進行安全檢查案例
Autoruns是由著名公司sysinternals出品de一款小軟件,它de主要功能是列出系統自啟動de項目,通過它查看木馬加載在啟動、ActiveX、Explorer、Logon以及Services等中de木馬程序,對于一般de木馬程序可以通過它來刪除自動加載。Autoruns還可以檢查所有已經注冊成為驅動de項以及所有de驅動程序(。.sys)de文件數字簽名。所有假冒de或者沒有通過代碼簽名de項都會在這里列出來,也就可以很容易地判斷這個驅動是不是有問題了。本案例以autoruns8.6來進行系統安全檢查,具體步驟如下。
13.使用CurrPorts進行端口安全檢查案例
CurrPorts是一個免費GUI模式下de網絡連接檢測工具,它可以列出所有TCP/IP和UDP連,列出打開端口de應用程序等信息,還可以直接終止程序。該軟件往往跟Process Explorer等工具配合進行安全檢測,即時中止木馬程序網絡連接,具體de檢查步驟如下。
14.使用fport與mport進行端口安全檢查案例
Fport是FoundStone出品de一個用來列出系統中所有打開deTCP/IP和UDP端口,以及它們對應de應用程序de完整路徑、PID標識、進程名稱等信息de軟件。其早期版本不支持Windows Xp操作系統,最新版本為2.0。mport.exe跟fport.exe實現de功能差不多,運行fport需要管理員權限,而mport可以在Windows NT、Windows 2000、Windows XP以及Windows 2003等操作系統中運行,mport可以無其他參數。Fport可以帶參數,命令格式為fport/參數,其參數含義如下。
15.使用Process Expforer對韓國某服務器進行安全清理de案例
Process Explorer是sysinternals.com公司de作品,目前為微軟提供技術支持,號稱最好de進程監視工具,完全免費!它不僅可以監視、暫停、終止進程,還可以查看進程調用deDLL文件,遇到不熟悉de進程還可以直接通過Google或百度等進行搜索;除此之外,它還可以查看CPU及內存使用情況,對系統運行de進程進行調試等。Process Explorer與Process Viewer. Norton processViewer、國產deIceSword、Windows進程管理器堪稱進程監視五大至尊,是預防病毒、查殺木馬de好幫手。關于Process Explorerde介紹以及軟件下載de地址為http://technet.microsoft.com/zh-cnJsysintemals/ ob896653(en-us).aspx 。
在網絡攻防過程中,一般使用Process Explorer來清理木馬程序,加固系統安全;除此之外,還可以使用Process Explorer來刪除正在使用de或者無法刪除de文件。本案例主要介紹如何利用Process Explorer來刪除木馬進程,加固系統,具體步驟如下。
16.對硬件防火墻網絡連接情況進行安全檢查案例
防火墻作為一道安全防御線在網絡攻防過程非常重要,網絡上所有de連接都要經過它來實現,所以不管什么樣de木馬程序在防火墻面前都會顯得無能為力。防火墻一般分為硬件和軟件兩個部分,軟件主要對硬件進行物理和網絡設置等操作,硬件是軟件運行de平臺,該軟件一般稱為防火墻OS。一般來說,對應硬件防火墻都會有一套管理軟件,用它來對防火墻進行管理。本案例就是利用防火墻de管理軟件來對網絡連接情況進行安全檢查,操作步驟如下。
17.U盤病毒安全檢查
U盤病毒主要利用Autorun.inf文件,該文件跟木馬病毒文件往往在一起,當用戶插入U盤時,統會自動播放U盤中de內容,用戶在打開U盤時,病毒就會執行。U盤病毒具有交叉感染de特,即感染了U盤病毒de計算機,在插入干凈deU盤以后,U盤病毒又會感染U盤:當被感染U病毒deU盤插入到未感染de計算機中時,U盤中de病毒會感染計算機;所以U盤病毒傳染性非強,而且極難徹底根除。由于U盤在日常工作和生活中de廣泛使用,因此目前新出來de病毒都具有優盤傳播這一功能。
18.利用殺毒以及防火墻軟件進行系統安全檢查
不管是安全專業人士還是非專業人士對系統進行安全檢查較常采天用de方式就是使用殺毒軟件查殺病毒,通過防火墻軟件網絡連接、程序訪問等來判斷系統是否存在木馬程序。本節就使用殺毒軟件以及防火墻方面de一些實際經驗和技巧方法進行介紹和講解,掌握了這些方法可以大大降低被攻擊或者感染木馬de幾率。
上一條:超級電腦防火墻讓你超級安全
下一條:實用的網絡故障排查方法
