NS基地 » Security

Linux新内核修复14年古老bug

admin — Sat, 25 Sep 2010 08:45:13 +0000

前往巴西参加了LinuxCon大会之后，Linus Torvalds立即投入工作，近日又放出了Linux Kernel系统内核的2.6.36-rc5预览版。该版本依然是修复bug和其他问题为主，其中就包括一个存在了14年之久的古老bug。对于那些运行在ALPHA架构上的用户来说，sigreturn追踪里一直隐藏着这个bug，但直到最近才被发现并获得修复，好在也不是什么大问题。

再过几个星期我们就能看到Linux Kernel 2.6.36的最终正式版了，然后就会进入下一个版本2.6.37，届时将迎来多项激动人心的新特性，诸如DisplayLink驱动增强、桌面响应改进、Broadcom无线网卡开源驱动、Radeon Evergreen DRM显卡驱动改进(5000系列)、Intel Linux DRM显卡驱动改进等等

中秋节都过啦俺来庆祝一下最近比较忙 …希望Linux越来越好

Feed enhanced by Better Feed from Ozh

一款专为逆向解析恶意软件而开发的新Linux操作系统–REMnux

admin — Tue, 13 Jul 2010 07:11:25 +0000

“安全安家已经专为逆向解析恶意软件开发了一款分拆式Ubuntu发行。这款名为REMnux的操作系统包含许多流行的恶意软件分析、网络监控、内存检查等工具，形成了一个强大的恶意软件代码解析平台。

“过去很多发现自己需要对恶意软件的一块特定代码进行分析的安全安家最后都会身处困境。传统的分析恶意软件的方法是在专供此类活动的PC上设置一个虚拟机，让恶意软件自由运行，看它做些什么。但它经常只是展示出了部分画面；恶意软件还有很多行为不经深入分析仍很难发现。

“这也就是REMnux被设计出来的原因。这款操作系统是一个轻量级的Ubuntu版本，作为一个虚拟机软件发行。它可以在多种虚拟机平台上启动，或通过X-Windows启动。

英文原文：http://www.linuxtoday.com/news_story. … n=2010-07-12-005-35-NW-RL

Feed enhanced by Better Feed from Ozh

黑客抓鸡手段升级 Web服务器也成为DoS元凶

admin — Thu, 13 May 2010 02:31:27 +0000

一般而言，黑客喜欢到处扫描漏洞然后安插恶意代码的“抓肉鸡”方法来组织僵尸网络，发动拒绝服务（DoS）攻击。
但是安全公司Imperva发现，他们多达300台Web服务器组成的“蜜罐系统”最近遭到黑客入侵，服务器被重新配置，并组织针对Google搜索的攻击。

Web服务器的带宽通常相当大，如果形成一定规模，将可以组成相当可观的攻击流量，一台服务器就可以打出相当于50台PC的量，黑客的主要方法是找出 PHP、Web网页上的脆弱部分针对运行Apache、IIS服务器端的系统进行攻击，从而获取控制权。

Feed enhanced by Better Feed from Ozh

Matousec报告：黑客攻击打败”大多数”杀毒软件

admin — Thu, 13 May 2010 02:30:07 +0000

安全研究公司Matousec发布报告，详细说明黑客如何用一种攻击技巧，成功躲避 Windows安全软件的侦测，包括McAfee和趋势科技(Trend Micro)知名的杀毒软件。
不过，Matousec承认，这种攻击技术有重大的限制，例如必须先取得在一部系统上执行程序代码的能力。换句话说，这套方法必须同时搭配另一种攻击手法(attack vector)，或是由具有某部系统本机存取权限的黑客来执行。

这套方法称为”argument-switch”攻击，可用来攻击采用SSDT(System Service Descriptor Table) hooking技术的Windows安全程序。Matousec测试的35种应用软件都采用这种技术，包括BitDefender、F-Secure、 Kaspersky、Sophos、McAfee和趋势科技的产品在内。

Matousec在公布的一份研究报告中说：我们测试了普遍使用的安全软件，发现它们全都有漏洞。今天大多数受欢迎的安全解决方案根本不管用。

SSDT hooking被众多杀毒软件采用，作为侦测和拦阻攻击机制的一部分。此技巧涉及修改SSDT的目录。本公司的研究聚焦于核心(kernel)模式的 hook，不过，这种攻击对使用者模式的hook也有效。

Matousec说：结果可用一句话总结：如果某项产品使用SSDT hook，或在类似层级采用另一种核心模式的hook，来落实安全功能，那么它就有漏洞。

该公司研究员指出，有些杀毒产品并不使用上述的技巧，例如Immunet。

Matousec说，攻击者利用一种称为竞赛情况(race condition)的软件瑕疵(bug)；在这种情况下，两条执行绪(thread)争相存取共用的资源，造成程序逻辑出错。攻击者利用这种瑕疵，让杀毒软件误以为它允许执行的是无害的程序代码，但其实却是恶意程序。

这种回避手法的成功率并非百分之百。不过，Matousec指出，如果某部系统跑多重处理器或多核心处理器，那么这种攻击就更容易成功。

该公司表示，今天，多重处理器或多核心处理器在台式机很常见，而攻击即使通过有限的使用者帐号权限，也能得逞。

测试是在采用32位硬件的Windows XP SP3和Windows Vista SP1系统上执行。但Matousec说，所有的Windows版本都可能有漏洞，连Windows 7也不例外。

Matousec呼吁杀毒软件公司改善运用kernel hook的方式，并自称已研究出怎么做的方法，但这套方法尚未公开发表。

该公司说：改善kernel hook的安全性，对安全软件厂商可能是相当复杂的任务，特别是对软件运用大量SSDT和其他类型hook的厂商而言。

Feed enhanced by Better Feed from Ozh

ESET NOD32正式发布4.2中文版本

admin — Mon, 10 May 2010 08:15:52 +0000

时隔差不多俩个多月，ESET终于在英文ESET NOD32 4.2版本正式发布1个多月后发布了中文版本！不得不说这是个奇迹，经广大网友预测中文版本最少也要到6月才会发布，二版和ESET却给我们带来了个“惊喜”！数字签名：4.29(家用) 4.30(商业)(繁体) 版本号：4.2.40.26

家用版本：
EAV 32-bit http://download.eset.com/download/win/eav/eav_nt32_chs.msi
EAV 64-bit http://download.eset.com/download/win/eav/eav_nt64_chs.msi
ESS 32-bit http://download.eset.com/download/win/ess/ess_nt32_chs.msi
ESS 64-bit http://download.eset.com/download/win/ess/ess_nt64_chs.msi
商业版本：
以下连接感谢卡饭论坛：choumh，共享！
简体 [EAV]
[32bit]
http://www.rayfile.com/files/543 … -adc4-0015c55db73d/
Mirror:

http://www.megaupload.com/?d=L6ESXM43

[64bit]
http://www.rayfile.com/files/73a … -b226-0015c55db73d/

Mirror:
http://www.megaupload.com/?d=3ME6EXAB

简体[ESS]

[32bit]
http://www.rayfile.com/files/6444a0f8-5b5e-11df-93c8-0015c55db73d/
Mirror:
http://www.megaupload.com/?d=IIRCY71T

[64bit]
http://www.rayfile.com/files/69f … -98b7-0015c55db73d/

Mirror:

http://www.megaupload.com/?d=JA2DVP74

============================================================================

繁体 ess:

[32bit]
http://www.rayfile.com/files/fe6 … -bc37-0015c55db73d/

[64bit]
http://www.rayfile.com/files/83c … -a143-0015c55db73d/
繁体 EAV:
[32bit]
http://www.rayfile.com/files/a37 … -a6f6-0015c55db73d/
[64bit]

http://www.rayfile.com/files/c7a … -9408-0015c55db73d/

===============================================================================

英文版(英文数字签证 2010-.03.25)

[ESS]
32bit
http://www.rayfile.com/files/03e … -8659-0015c55db73d/

64bit
http://www.rayfile.com/files/68b … -b9b1-0015c55db73d/
[EAV]
32bit
http://www.rayfile.com/files/6d2 … -bd62-0015c55db73d/

64bit
http://www.rayfile.com/files/d19 … -a43c-0015c55db73d/

==========================================================

ESET Authentication Server中文版

Optional: for use with ESET Smart Security 4.2 only*
简体

http://www.rayfile.com/files/8ee … -9d5d-0015c55db73d/

繁体
http://www.rayfile.com/files/9c0 … -867d-0015c55db73d/

ESET Authentication Server英文版
Optional: for use with ESET Smart Security 4.2 only*
http://www.rayfile.com/files/9a0 … -a20f-0015c55db73d/

Feed enhanced by Better Feed from Ozh

信息安全审计专用的Linux发行版BackTrack发布官方中文版

admin — Sun, 25 Apr 2010 06:50:50 +0000

BackTrack是目前为止知名度最高,评价最好的关于信息安全的Linux发行版.它是基于Linux平台并集成安全工具而开发成的Linux Live发行版,旨在帮助网络安全人员对网络骇客行为进行评估.不论您是否把它做为常用系统,或是从光盘或移动硬盘启动,它都可以定制各种安全包, 包括内核配置,脚本和补丁, 以用于入侵检测.

BackTrack是一套信息安全审计专用的Linux发行版, 不论您是信息安全专家还是新手. 它创造了一条可以方便您从世界上最大的安全工具库寻找和更新安全工具的捷径.

我们的用户包括信息安全领域的专业渗透测试人员, 政府雇员, IT人员, 信息安全爱好者以及安全领域的初学者. 来自不同行业, 不同技术水平用户的反馈促使我们开发了这样一个面对多元需求,包括商业和非商业需求的系统.

无论您是在渗透无线网络, 服务器, 还是在进行网站安全评估, 或是在学习安全技术, 或是在利用社会工程学获取信息, BackTrack都可以满足您在信息安全方面的需要.

http://www.backtrack-linux.org/?lang=zh

© 研发基地 for NS基地, 2010
Source: 信息安全审计专用的Linux发行版BackTrack发布官方中文版
 No comment
Post tags: BackTrack, Linux, 入侵检测, 内核配置, 安全, 网络, 脚本, 补丁, 骇客

Feed enhanced by Better Feed from Ozh

DDoS deflate – Linux下防御/减轻DDOS攻击脚本

admin — Fri, 23 Apr 2010 16:03:10 +0000

前言

互联网如同现实社会一样充满钩心斗角，网站被DDOS也成为站长最头疼的事。在没有硬防的情况下，寻找软件代替是最直接的方法，比如用iptables，但是iptables不能在自动屏蔽，只能手动屏蔽。今天要说的就是一款能够自动屏蔽DDOS攻击者IP的软件：DDoS deflate。

DDoS deflate介绍

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址，在检测到某个结点超过预设的限制时，该程序会通过APF或IPTABLES禁止或阻挡这些IP.

DDoS deflate官方网站：http://deflate.medialayer.com/

如何确认是否受到DDOS攻击？
执行：

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n执行后，将会显示服务器上所有的每个IP多少个连接数。

以下是我自己用VPS测试的结果：

li88-99:~# netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
1 114.226.9.132
1 174.129.237.157
1 58.60.118.142
1 Address
1 servers)
2 118.26.131.78
3 123.125.1.202
3 220.248.43.119
4 117.36.231.253
4 119.162.46.124
6 219.140.232.128
8 220.181.61.31 VPS侦探 http://www.vpser.net/
2311 67.215.242.196每个IP几个、十几个或几十个连接数都还算比较正常，如果像上面成百上千肯定就不正常了。

1、安装DDoS deflate

wget http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate
chmod 0700 install.sh //添加权限
./install.sh //执行2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：

##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名单
CRON=”/etc/cron.d/ddos.cron” //定时执行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
##### option so that the new frequency takes effect
FREQ=1 //检查时间间隔，默认1分钟

##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大连接数，超过这个数IP就会被屏蔽，一般默认即可

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP，默认即可

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=”root” //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可

##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP时间，默认600秒，可根据情况调整用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

喜欢折腾的可以用Web压力测试软件测试一下效果，相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击，给你的网站更多的保护。

Feed enhanced by Better Feed from Ozh

ie首页被修改的十三种简单处理方法

admin — Sat, 23 May 2009 04:50:54 +0000

一、对IE浏览器产生破坏的网页病毒：

默认主页被修改

1.破坏特性：默认主页被自动改为某网站的网址。
2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USERSoftwareMicrosoftInternet ExplorerMain　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度：一般

默认首页被修改

破坏特性：默认首页被自动改为某网站的网址。
表现形式：浏览器的默认主页被自动设为如********.COM的网址。
清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USERSoftwareMicrosoftInternet ExplorerMain分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度：一般

默认的微软主页被修改

破坏特性：默认微软主页被自动改为某网站的网址。
表现形式：默认微软主页被篡改
清除方法: (1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
“default_page_url”=”http://www.microsoft.com/windows/ie_intl/cn/start/”

危害程度：一般

主页设置被屏蔽锁定，且设置选项无效不可更改

破坏特性：主页设置被禁用
表现形式：主页地址栏变灰色被屏蔽。
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorer分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。
(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
“HomePage”=dword:00000000

危害程度：轻度

默认的IE搜索引擎被修改

破坏特性：将IE的默认微软搜索引擎更改
表现形式：搜索引擎被篡改
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为：http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为：http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。
(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerSearch]
“SearchAssistant”=”http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm”
“CustomizeSearch”=”http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm”

危害程度：一般

IE标题栏被添加非法信息

破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息
表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！http://www.zhengdian.com “尾巴。
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
第二，按如下顺序依次打开：HKEY_CURRENT_MACHINESoftwareMicrosoftInternetExplorerMain分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。

(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
“Window Title”=”Microsoft Internet Explorer”

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
“Window Title”=”Microsoft Internet Explorer”

危害程度：一般

标题栏被添加非法信息破坏特性

破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息
表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USERSoftwareMicrosoftOutlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。
(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftOutlook Express]
“WindowTitle”=”"
“Store Root”=”"

危害程度：一般

鼠标右键菜单被添加非法网站链接

破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerMenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效

鼠标右键弹出菜单功能被禁用失常

破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止
表现形式：在IE中点击右键毫无反应
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5键刷新生效。
(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
“NoBrowserContextMenu”=dword:00000000

危害程度：轻度

IE收藏夹被强行添加非法网站的地址链接

破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。
表现形式：躲藏在收藏夹下
清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。
危害程度：一般

在IE工具栏非法添加按钮

破坏特性：工具栏处添加非法按钮。
表现形式：有按钮图标
清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。
危害程度：一般

锁定地址栏的下拉菜单及其添加文字信息

破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色
表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerToolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。
危害程度：轻度

IE菜单“查看”下的“源文件”项被禁用

破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色
表现形式：“源文件”项不可用
清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支，找到”NoViewSource”键值名，将其键值设为“00000000”，按F5键刷新生效。
按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支，找到”NoViewSource”键值名，将其键值设为“00000000”，按F5键刷新生效。

(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
“NoViewSource”=dword:00000000

[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
“NoViewSource”=dword:00000000

危害程度：轻度

常用网站开发类Firefox扩展插件

Feed enhanced by Better Feed from Ozh

微软、HP相继发布安全工具

admin — Wed, 25 Mar 2009 02:28:22 +0000

微软在最近的CanSec West 上发布了自己的免费开源的安全工具.名为 !Exploitable(官方读作: 砰! Exploit) 以 Win Debugger 的插件形式发布,可以帮助分析(PE)程序的漏洞.该程序能够利用被微软称为主要hash和次要hash的两组特征值为崩溃信息分类,将同一缺陷引起崩溃的分为一类.从而定义软件缺陷的可利用性.为了演示 !Exploitable 程序的实用性,微软安全科学小组的内部测试曾用四个不同的Fuzz测试程序(fuzzer)测试最近获得的同一软件.!Exploitable从57次由模糊测试引起的不同崩溃中识别出15处安全问题,其中只有1处被分类为可利用.

微软的模糊技术程序主管 Shirk 表示该程序可以帮助研究员们定义可利用性,告诉我们要如何讨论这些问题,比便我们都能确信大家在讨论的是同一个问题.

昨日,HP也发布了一款安全相关的开发工具,该工具可以检测 Adobe Flash 系统中广泛使用,却容易造成缺陷的代码.HP表示该名为 SWFScan 的工具,面向没有安全背景的Flash开发人员,由 HP Web 安全研究小组开发.

SWFScan结合了 Flare 和 SWFIntruder.却是唯一能支持Flash 9 和 10;ActionScript 3 以及 Flex 框架的安全产品.它可以反编译 ActionScript 2 或 3 格式的 Flash 脚本,进行静态分析,检查包括数据泄露,跨站脚本漏洞,跨站提权等超过 60 种脚本漏洞.工具可以加亮问题代码,并提供解决建议.此外SWFScan还可以生成报告及导出源码.

HP网页安全小组的管理人员霍夫曼表示由于Flash是二进制编码,当下人们刚刚开始关注 Flash 的安全问题,能够进行深入分析的免费的工具还不多.但很多Flash程序都有一些安全隐患.
HP曾利用SWFScan测试了超过4000个Flash程序,最终发现超过35%有违Adobe的最佳安全做法,16% 针对 Flash 8 或更早版本而设计的程序中存在扩展攻击漏洞.15% 的 Flash 登陆表单中含有内置用户名/密码.HP提示您该工具仅检测客户端 Flash 程序,并不涉及服务器部分.

编译:Ben

下载 SWFScan（下载前需注册） : http://www.hp.com/go/swfscan
发布说明: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2009/03/20/exposing-flash-application-vulnerabilities-with-swfscan.aspx

下载 !Exploitable: http://www.codeplex.com/msecdbg

发布介绍: http://www.microsoft.com/security/msec/default.mspx

Ubuntu大变样与“通知区域”说再见

Feed enhanced by Better Feed from Ozh

小红伞Avira AntiVir V9发布

admin — Wed, 18 Mar 2009 00:50:36 +0000

AntiVir是Avira公司推出的杀毒软件，功能很全面，杀毒迅速准确，获过很多奖项。Avira Premium Security Suite是Avira推出的面向个人用户的收费版本，该套装包括了AntiVir(防病毒木马)、AntiSpam(反垃圾邮件)、AntiRootkit(Rootkit监控)、Firewall(防火墙)等等模块，该有的功能都有了，体积也算是很小巧。

Avira AntiVir Personal – FREE Antivirus（原C版）：

http://download.cnet.com/Avira-AntiVir-Personal-Free-Antivirus/3000-2239_4-10322935.html?part=dl-10322935&subj=dl&tag=button&cdlPid=10986298

Avira AntiVir Premium（原P版)：

Date: 16.03.2009 – Version: 9.0.0.420

http://dlpe.antivir.com/package/wks_avira/win32/en/pepr/avira_antivir_premium_en.exe

Avira Premium Security Suite：

Date: 16.03.2009 – Version: 9.0.0.355

http://dlpe.antivir.com/package/wks_avira/win32/en/isec/avira_premium_security_suite_en.exe

Avira AntiVir Professional

Date: 16.03.2009 – Version: 9.0.0.703

http://dl1.pro.antivir.de/package/wks_avira/win32/en/prof/avira_antivir_professional_en.exe

KEY申请：
C版(Free Edition)
KEY下载：http://dl1.avgate.net/down/windows/hbedv.key
http://dlce.antivir.com/down/windows/hbedv.key

P版(Personal Edition）
31天：https://license.avira.com/en/promotion-t0q1aatr05zwftftgnqr
92天：https://license.avira.com/en/promotion-6dl7vtc3unbw2mzefr1b

S版(Security Suit)
92天：https://license.avira.com/en/promotion-cj0ptfb6eh8cmw6a101r
92天：https://license.avira.com/en/promotion-0vplf6s3gy16a8zc3s0d
92天：https://license.avira.com/en/promotion-hylm9fbv7chaxs8zbl83?id=JVgkM1BNUn

Server、Professional版
30天试用KEY：http://www.avira.de/en/products/test_licence.html

小红伞各版本区别：
个人免费版（F版，原C版）：Avira AntiVir Personal – Free Antivirus
个人收费版（P版）：Avira AntiVir Premium
个人安全套装(S版)：Avira Premium Security Suite
服务器版（大S版）：Avira AntiVir Server
工作站版（原W版）：Avira AntiVir Professional
手机版：Avira AntiVir Mobile

The new version number 9 should be reflected in all version numbers; however, there might still be some modules with other version numbers.

Avira AntiVir Personal – Free Antivirus, Avira AntiVir Premium and Avira Premium Security Suite
Quarantine manager: the number of columns has been reduced

Quarantine manager: send files using HTTP

System tray tool: display the status of modules on mouse-over

Last system scan: individual configuration of the alert message
Renaming “Win32 Heuristic” to “AHeAD” in the configuration panel
Support for netbooks (screen resolution)
Configuration panel: new button “Default Values”. This button allows you to restore the configuration to the predefined default values
New installation folder and registry keys for all products: “C:\Program Files\Avira\AntiVir Desktop” and “HKLM\Software\Avira\AntiVir Desktop”.Now there are no differences between the products AntiVir Personal, AntiVir Premium and Premium Security Suite any longer
Configuration wizard after setup
Process protection for GUI processes
File and folder protection for AntiVir files and folders
Registry protection for AntiVir keys
Scanning of locked files
Scanner: combined display of malware detections and one-click removal after an on demand scan. This option can be set in the scanner configuration
Scanner: improved system disinfection
Scanner: optimized scan on multi-processor machines
Guard: less overhead in memory
Scheduler: scheduling on multiple days of the week
Scheduler: manual starting and stopping of jobs

Avira AntiVir Premium und Avira Premium Security Suite
MailGuard: you can set up the POP3 port individually
MailGuard: AntiSpam URL categorization
WebGuard: Webcat enhancements, more categories
WebGuard: active drive-by-download protection. WebGuard can now blocks “inline frames” or “iframes”

Avira Premium Security Suite
WebGuard: Parental Control. Parental Control allows blocking certain internet site because their content is deemed unsuitable for children or adolescents. Parental control makes use of the Cobion – IBM online database.
Firewall: privileged application mode, enhanced control over application and adapter rules
Firewall: SlideUp window for firewall notifications
Firewall: Drag’n'drop for application and adapter rules
Firewall: list of trusted vendors
Firewall: automatic game mode

Avira AntiVir Personal – Free Antivirus
Ad-/Spyware detection

New system requirements:
Computer from Pentium 266 Mhz
Windows 2000 SP4 Service Rollup 1 – or
Windows XP SP2 (32 or 64 bit) – or
Windows Vista SP1 (32 or 64 bit)
Minimum 100 MB of free disk space
More disk space needed for quarantine and temporary storage
Minimum 192 MB RAM for Windows 2000 and Windows XP
Minimum 512 MB RAM for Windows Vista
Administrative rights are required for installation
Internet Explorer 6 or higher

随即日志

Feed enhanced by Better Feed from Ozh

卡巴斯基KAV/KIS 2009（8.0）有效使用期至2025年的“迷你”破解补丁

admin — Sat, 14 Mar 2009 02:15:40 +0000

说“迷你”，是形容这个破解补丁的“短小精悍”(仅只266KB)和确实有效；说“至2025年”，是如实描述破解后软件界面的到期显示(截图附后)。我们不必争论它是否能够抵挡卡巴斯基的反击，真的将“授权许可到期时间”坚持到2025年，因为卡巴斯基KAV/KIS 2009(8.0)不会等到2025年早就退出现役了。作为某一版本的杀毒软件，能够连续平安使用三两年，足矣。现提供破解补丁下载和破解方法步骤如下——

破解补丁下载——打开我的网络硬盘

——成功破解的前提是：安装并激活卡巴斯基KAV/KIS 2009(8.0)。适用版本及其激活，在此基础上，只需三步：第一步，关闭卡巴斯基自我保护，退出运行；第二步，将破解补丁复制/粘贴到卡巴斯基安装文件夹；第三步，运行卡巴斯基，开启“自我保护”。OK——成功!

——特别说明：1。“lic”是卡巴斯基KAV/KIS 2009（8.0）“授权许可到期时间”管理文件。2。破解补丁“lic”就是通过对于原“lic”的替换，实现对“授权许可到期时间”的修改和延续。3。如果提示不能替换原文件，解决办法：一是到安全模式下进行；二是取得相应权限(我过去专门做过介绍，恕不赘述)。另外，此破解补丁绝对安全，可放心使用无虞。

Feed enhanced by Better Feed from Ozh

ESET NOD32 EAV 4 / ESS 4英文正式版发布（附：官方原版 + 汉化补丁下载）

admin — Sat, 14 Mar 2009 02:09:29 +0000

在经过了将近半年之久的公测修定之后，ESET公司于3月2日发布了新一代的安全产品——ESET NOD32 Antivirus 4 和 ESET Smart Security 4英文正式版(支持Windown XP和Vista)。除保持延续了以往产品(NOD32 3系列)的轻快特点之外，还增加了一些新的功能。现提供EAV 4/ESS 4(官方)英文正式版、汉化补丁(完美汉化)下载，及其有效升级ID(成功注册)如下——

ESET NOD32 EAV 4 / ESS 4 英文正式版官方下载地址：

http://www.eset.com/download/registered_software.php

Home Users (32-bit v4.0)	Version	File size	Download	Manual
ESET NOD32 Antivirus 4	4.0.314	30 MB
ESET Smart Security 4	4.0.314	34 MB

——官方下载需要进行有效升级ID验证。有效升级ID：

用户名：TRIAL-12601210

密码：2mx6d8rck4

(更多有效升级ID：

http://www.for-ever.cn/nod32/

http://www.fanqie8.cn/post/eset.html

http://www.nqwjx.com/)

——用IE下载。用其它下载工具可能出现下载版本错误。

ESET NOD32 EAV 4 /ESS 4 汉化补丁网络硬盘下载地址：

EAV：

http://www.rayfile.com/files/884f408a-07b2-11de-b948-0019d11a795f/

ESS：

http://www.rayfile.com/files/b3969411-07b2-11de-b85b-0014221b798a/

——汉化补丁必须在安全模式下进行安装。

ESET NOD32 3系列的有效升级ID每日更新网站：

http://www.for-ever.cn/nod32/

http://www.fanqie8.cn/post/eset.html

http://www.nqwjx.com/

——ESET NOD32 EAV 4 / ESS 4内置的升级服务器，与ESET NOD32 EAV 3 / ESS 3是一样的。因此，可用ESET NOD32 3系列的有效升级ID成功进行注册。

© 研发基地 for NS基地, 2009
Source: ESET NOD32 EAV 4 / ESS 4英文正式版发布（附：官方原版 + 汉化补丁下载）
No comment
Post tags: EAV, ESET, ESS, ID, NOD32, 安全, 汉化

Feed enhanced by Better Feed from Ozh

关注PC健康！电脑使用变慢10大原因

admin — Sun, 15 Feb 2009 07:42:56 +0000

相信绝大多数用户在使用电脑的过程中都会发现电脑越用越慢，而其中的大部分人会抱着“慢就慢点儿吧”的心理继续使用，殊不知这样一来弊端会越积累越多，最后导致更严重的问题发生，下面我们就简单的来看一下几种常见的电脑变慢的原因和解决办法，希望给广大用户一些提示。

从启动入手：

在开机时加载太多程序

　　电脑在启动的过程中，除了会启动相应的驱动程序外，还会启动一些应用软件，这些应用软件我们称为随即启动程序。随机启动程序不但拖慢开机时的速度，而且更快地消耗计算机资源以及内存，一般来说，如果想删除随机启动程序，可去“启动”清单中删除，但如果想详细些，例如是QQ、MSN之类的软件，是不能在“启动”清单中删除的，要去“附属应用程序”，然后去“系统工具”，再去“系统信息”，进去后，按上方工具列的“工具”，再按“系统组态编辑程序”，进去后，在“启动”的对话框中，就会详细列出在启动电脑时加载的随机启动程序了！XP系统你也可以在“运行”是输入Msconfig调用“系统配置实用程序”才终止系统随机启动程序，2000系统需要从XP中复制msconfig程序。

桌面图标太多会惹祸

　　桌面上有太多图标也会降低系统启动速度。很多用户都希光将各种软件或者游戏的快捷方式放在桌面上，使用时十分方便，其实这样一来会使得系统启动变慢很多。由于Windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！

注重日常保养

把Windows变得更苗条

　　与DOS系统相比，Windows过于庞大，而且随着你每天的操作，安装新软件、加载运行库、添加新游戏以及浏览网页等等使得它变得更加庞大，而更为重要的是变大的不仅仅是它的目录，还有它的注册表和运行库。因为即使删除了某个程序，可是它使用的DLL文件仍然会存在，因而随着使用日久，Windows的启动和退出时需要加载的DLL动态链接库文件越来越大，自然系统运行速度也就越来越慢了。这时我们就需要使用一些彻底删除DLL的程序，它们可以使Windows恢复苗条的身材。建议极品玩家们最好每隔两个月就重新安装一遍Windows，这很有效。

减少资源消耗

桌面上不要摆放桌布和关闭activedesktop

　　不知大家有否留意到，我们平时一直摆放在桌面的壁纸，其实是很浪费计算机资源的！不但如此，而且还拖慢计算机在执行应用程序时的速度！本想美化桌面，但又拖慢计算机的速度，在这时，你是否会有一种”不知怎样”的感觉呢？还有一点，不知大家有否试过，就是当开启壁纸时，每逢关闭一个放到最大的窗口时，窗口总是会由上而下、慢慢、慢慢地落，如果有这种情况出现，你必须关闭壁纸！方法是：在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，选“无”，建议在“外观”的对话框中，在桌面预设的青绿色，改为黑色……至于关闭activedesktop，即关闭从桌面上的web画面，例如在桌面上按鼠标右键，再按内容，然后在“背景”的对话框中，有一幅壁纸布，名为windows98，那副就是web画面了！

删除一些不必要的字体

　　系统运行得慢的其中一个原因，就是字体多少的关系。安装的字体越多，就占用越多的内存，从而拖慢计算机的速度！所以我们要删除一些不必要的字体。要删除一些不必要的字型，你可到控制面板，再进去一个叫“字体”的文件夹，便可删除字体，但是要怎样才知道，那些字体有用，那些字体没用呢？例如：如果你不常到ms_dos模式的话，就删除dos 字体！因为各个人都可能喜爱某种字型，所以我也不能确定要删除那些字体，不过在这里有个秘决教你，如果你有华康粗黑字型，且又有新细明体的字型，建议你删除华康粗黑字型，如果你有新细明体，且又有细明体，就删除细明体吧！

时常优化系统

设定虚拟内存

　　硬盘中有一个很宠大的数据交换文件，它是系统预留给虚拟内存作暂存的地方，很多应用程序都经常会使用到，所以系统需要经常对主存储器作大量的数据存取，因此存取这个档案的速度便构成影响计算机快慢的非常重要因素！一般win98预设的是由系统自行管理虚拟内存，它会因应不同程序所需而自动调校交换档的大小，但这样的变大缩小会给系统带来额外的负担，令系统运作变慢！有见及此，用家最好自定虚拟内存的最小值和最大值，避免经常变换大小。要设定虚拟内存，在“我的电脑”中按右键，再按内容，到“性能”的对话框中，按“虚拟内存”，然后选择”让自已设定虚拟内存设定值”，设定”最小值”为64，因为我的计算机是32mbram，所以我就设定为64，即是说，如果你的内存是64mbram，那在”最小值”中，就设为128。顺带一提，在”效能”的对话框中，选择”档案”，将原先设定的” 桌上型计算机”，改为”网络服务器”，是会加快系统运作的；还有，在”磁盘”的对话框中，不要选”每次开机都搜寻新的磁盘驱动器”，是会加快开机速度的！

彻底删除程序

　　大家都知道，如果想移除某些程序，可到”添加/删除程序”中移除，但大家又知不知道，它只会帮你移除程序，而不会帮你移除该程序的注册码和一些登录项目呢？这不是win98蠢，而是它在这方面不够专业，要彻底删除程序，要找回些“专业”删除软件来移除才成事！先前symantec公司出品的nortonuninstall（以下简称为nud），因为有某部份破坏了某些删除软件的版权，故此全世界已停止出售，正因如此，symantec才出了cleansweep（以下简称为cs），不过论功能上，还是nud更胜一寿！言归正传，其实除了这两个软件外，还有很多同类软件都能有效地移除程序，既然nud已绝版，那我就说cs吧。下载并安装后，如果你想移除程序，只要用cs来移除，它便会一拼移除该程序的登录项目和注册码！

　　如果用户在使用中同样存在以上集中情况的话，可以按照我们建议的方式来“清理”一下，使得电脑的使用更为轻松。

Feed enhanced by Better Feed from Ozh

系统服务常见进程表

admin — Sat, 07 Feb 2009 12:04:20 +0000

smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录

services.exe包含很多系统服务
lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印
explorer.exe资源管理器
internat.exe托盘区的拼音图标
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe  实现 TFTP Internet 标准。该标准不要求用户名和密码
termsrv.exe   termservice
dns.exe  应答对域名系统(DNS)名称的查询和更新请求
tcpsvcs.exe   提供在PXE可远程启动客户计算机上远程安装2000 Professional的能力
ismserv.exe   允许在 Windows Advanced Server 站点间发送和接收消息
ups.exe  管理连接到计算机的不间断电源(UPS)
wins.exe 为注册和解析 NetBIOS 型名称的TCP/IP客户提供NetBIOS名称服务
llssrv.exe 证****录服务
ntfrs.exe  在多个服务器间维护文件目录内容的文件同步
RsSub.exe  控制用来远程储存数据的媒体
locator.exe   管理 RPC 名称服务数据库
lserver.exe   注册客户端许可证
dfssvc.exe 管理分布于局域网或广域网的逻辑卷
clipsrv.exe   支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面
msdtc.exe  并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。
faxsvc.exe 帮助您发送和接收传真。
cisvc.exe  索引服务
madmin.exe    磁盘管理请求的系统管理服务。
mnmsrvc.exe   允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe 配置性能日志和警报。
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。

RsEng.exe  协调用来储存不常用数据的服务和管理工具。
RsFsa.exe  管理远程储存的文件的操作。
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间(只对NTFS文件系统有用)
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

snmptrap.exe 接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。

UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe 依据.MSI文件中包含的命令来安装、修复以及删除软件。

俺只是列出常用的进程,如果出现一些另类的进程请去进程知识库进程查询-系统进程Dll、exe信息库去查找.

Feed enhanced by Better Feed from Ozh

win 2003 server的一些安全策略的制定

admin — Mon, 03 Nov 2008 04:23:09 +0000

一、企业账户保护安全策略
　　用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。

　　1、提高密码的破解难度

　　提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但这常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。

　　在Windows系统中可以通过一系列的安全设置，并同时制定相应的安全策略来实现。在Windows Server 2003系统中，可以通过在安全策略中设定“密码策略”来进行。Window Server 2003系统的安全策略可以根据网络的情况，针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定，这将取决于该策略要影响的范围。

　　以域安全策略为例，其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具，然后就可以针对密码策略进行相应的设定。

　　密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定。
　　2、启用账户锁定策略

　　账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用，从而挫败连续的猜解尝试。

　　Windows2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设定，此时，对黑客的攻击没有任何限制。只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击，那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。

　　但是，一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便。为方便用户起见，可以同时设定锁定的时间和复位计数器的时间，这样以来在3次无效登最后就开始锁定账户，以及锁定时间为30分钟。以上的账户锁定设定，可以有效地避免自动猜解工具的攻击，同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便，但系统的安全有时更为重要。

　　3、限制用户登录

　　对于企业网的用户还可以通过对其登录行为进行限制，来保障其户户账户的安全。这样以来，即使是密码出现泄漏，系统也可以在一定程度上将黑客阻挡在外，对于Windows Server 2003网络来说，运行“Active Directory用户和计算机”管理工具。然后选择相应的用户，并设置其账户属性。

　　在账户属性对话框中，可以限制其登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户”选项来限制登录时的行为。例如使用“用户必须用智能卡登录”，就可避免直接使用密码验证。除此之外，还可以引入指纹验证等更为严格的手段。

　　4、限制外部连接

　　对于企业网络来说，通常需要为一些远程拨号的用户（业务人员或客户等)提供拨号接入服务。远程拨号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。由于这个连接无法隐藏，因此常常成为黑客入侵内部网络的最佳入口。但是，采取一定的措施可以有效地降低风险。

　　对于基于Windows Server 2003的远程访问服务器来说，默认情况下将允许具有拨入权限的所有用户建立连接。因此，安全防范的第一步就是合理地、严格地设置用户账户的拨入权限，严格限制拨入权限的分配范围，只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说，可通过回拨技术来提高网络安全性。这里所谓的回拨，是指在主叫方通过验证后立即挂断线路，然后再回拨到主叫方的电话上。这样，即使帐户及其密码被破解，也不必有任何担心。需要注意的是，这里需要开通来电显示业务。

　　在Windows Server 2003网络中，如果活动目录工作在Native-mode(本机模式)下，这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同，可以设置多种不同的策略。具体的管理比较复杂，由于篇幅有限，大家可参考相关资料，这里就不再作详细介绍。

　　5、限制特权组成员

　　在Windows Server 2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组，在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后，就可以管理这个组的成员组成，可以添加或删除成员，当安全策略生效后，可防止黑客将后门账户添加到该组中。

　　6、防范网络嗅探

　　由于局域网采用广播的方式进行通信，因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难，可通过以下手段来进行：

　　1)采用交换网络

　　一般情况下，交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下，每一个交换端口就是一个独立的广播域，同时端口之间通过交换机进行桥接，而非广播。网络嗅探主要针对的是广播环境下的通信，因而在交换网络中就失去作用了。

　　随着交换网络技术的普及，网络嗅探所带来的威胁也越来越低，但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探，此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。

　　2)加密会话

　　在通信双方之间建立加密的会话连接也是非常有效的方法，特别是在企业网络中。这样，即使黑客成功地进行了网络嗅探，但由于捕获的都是密文，因而毫无价值。网络中进行会话加密的手段有很多，可以通过定制专门的通信加密程序来进行，但是通用性较差。这时，完善IP通信的安全机制是最根本的解决办法。

　　由于历史原因，基于IP的网络通信技术没有内建的安全机制。随着互联网的发展，安全问题逐渐暴露出来。现在经过各个方面的努力，标准的安全架构也已经基本形成。那就是IPSec机制，并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中，其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性，同时使部署和管理更加方便。

　　在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中，都集成了相关的管理工具。为清楚起见，通过Microsoft管理控制台MMC定制的管理工具来了解一下。

　　具体方法如下：首先在“开始”菜单中单击“运行”选项，然后键入mmc，并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后，单击其中的“添加”按钮。在可用的独立管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的计算机，然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以为其命名并保存。

　　此时可以看到已有的安全策略，用户可以根据情况来添加、修改和删除相应的IP安全策略。其中Windows Server 2003系统自带的有以下几个策略：

　　安全服务器(要求安全设置)；
　　客户端(只响应)；
　　服务器(请求安全设置)；

　　其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec；“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec，但允许不支持IP安全机制的客户端来建立不安全的连接；而“安全服务器(要求安全设置)”策略则最为严格，它要求双方必须使用IPSec协议。

　　不过，“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信，因此仍然能够被窃听。直接修改此策略或定制专门的策略，就可以实现有效的防范。选择其中的“所有IP通讯”选项，在这里可以编辑其规则属性。

　　选择“筛选器操作”选项卡，选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编辑安全措施，在这里将安全措施设置为“高”选项。

　　以上采用IPSec加密数据通信的方法适用于企业网应用，通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。当然这种严格的限制会带来一些不便，不过对于系统安全来说是值得的。IPSec还可以应用于VPN技术中，在这里可以对IP隧道中的数据流进行加密。

　　对于不方便大范围实施IPSec的环境，可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前实现端对端安全通信的最佳解决方案，它主要适用于客户端通过开放的网络与服务器的连接。例如，客户端通过Internet/Intranet连接到企业或部门的专用网络。

　　二、企业系统监控安全策略

　　尽管不断地在对系统进行修补，但由于软件系统的复杂性，新的安全漏洞总会层出不穷。因此，除了对安全漏洞进行修补之外，还要对系统的运行状态进行实时监视，以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时，这种监视就显得尤其重要。

　　1、启用系统审核机制

　　系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件，以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。

　　所有的操作系统、应用系统等都带有日志功能，因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容，来发现黑客的入侵和入侵后的行为。当然，如果要达到这个目的，就必须具备一些相关的知识。首先必须要学会如何配置系统，以启用相应的审核机制，并同时使之能够记录各种安全事件。

　　对Windows Server 2003的服务器和工作站系统来说，为了不影响系统性能，默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知，这些有红色标记的审核策略应该已经启用，这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说，应同时启用剩下的安全策略。

　　如果已经启用了“审核对象访问”策略，那么就要求必须使用NTFS文件系统。NTFS文件系统不仅提供对用户的访问控制，而且还可以对用户的访问操作进行审核。但这种审核功能，需要针对具体的对象来进行相应的配置。

　　首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后，就可以设置对其进行审核的事件和结果。在所有的审核策略生效后，就可以通过检查系统的日志来发现黑客的蛛丝马迹。

　　2、日志监视

　　在系统中启用安全审核策略后，管理员应经常查看安全日志的记录，否则就失去了及时补救和防御的时机了。除了安全日志外，管理员还要注意检查各种服务或应用的日志文件。在Windows 2003 IIS 6.0中，其日志功能默认已经启动，并且日志文件存放的路径默认在System32/LogFiles目录下，打开IIS日志文件，可以看到对Web服务器的HTTP请求，IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。

　　3、监视开放的端口和连接

　　对日志的监视只能发现已经发生的入侵事件，但是它对正在进行的入侵和破坏行为无能为力了。这时，就需要管理员来掌握一些基本的实时监视技术。

　　通常在系统被黑客或病毒入侵后，就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接，这样就可能发现它，netstat命令可以进行会话状态的检查，在这里就可以查看已经打开的端口和已经建立的连接。当然也可以采用一些专用的检测程序对端口和连接进行检测，这一类软件很多。

　　4、监视共享

　　通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严，最简单的方法就是利用系统隐含的管理共享。因此，只要黑客能够扫描到的IP和用户密码，就可以使用net use命令连接到的共享上。另外，当浏览到含有恶意脚本的网页时，此时计算机的硬盘也可能被共享，因此，监测本机的共享连接是非常重要的。

　　监测本机的共享连接具体方法如下：在Windows Server 2003的计算机中，打开“计算机管理”工具，并展开“共享文件夹”选项。单击其中的“共享”选项，就可以查看其右面窗口，以检查是否有新的可疑共享，如果有可疑共享，就应该立即删除。另外还可以通过选择“会话”选项，来查看连接到机器所有共享的会话。Windows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码，也仍然可以通过“空连接”来连接到系统上，再进行其他的尝试。

　　5、监视进程和系统信息

　　对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具（从产品光盘安装）后，就可以获得一个进程查看工具Process Viewer；通常，隐藏的进程寄宿在其他进程下，因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现，常常它会把自己注册成一个服务，从而避免了在进程列表中现形。因此，我们还应结合对系统中的其他信息的监视，这样就可对系统信息中的软件环境下的各项进行相应的检查。

Feed enhanced by Better Feed from Ozh

NS基地 » Security

Linux新内核修复14年古老bug

相关文章

一款专为逆向解析恶意软件而开发的新Linux操作系统–REMnux

相关文章

黑客抓鸡手段升级 Web服务器也成为DoS元凶

相关文章

Matousec报告：黑客攻击打败”大多数”杀毒软件

相关文章

ESET NOD32正式发布4.2中文版本

相关文章

信息安全审计专用的Linux发行版BackTrack发布官方中文版

相关文章

DDoS deflate – Linux下防御/减轻DDOS攻击脚本

相关文章

ie首页被修改的十三种简单处理方法

相关文章

微软、HP相继发布安全工具

相关文章

小红伞Avira AntiVir V9发布

随即日志

卡巴斯基KAV/KIS 2009（8.0）有效使用期至2025年的“迷你”破解补丁

相关文章

ESET NOD32 EAV 4 / ESS 4英文正式版发布（附：官方原版 + 汉化补丁下载）

相关文章

关注PC健康！电脑使用变慢10大原因

相关文章

系统服务常见进程表

相关文章

win 2003 server的一些安全策略的制定

相关文章