局域网病毒入侵原理及防范方法
教你一个ARP防攻方法,简单、容易操作,不用任何防攻软件,可以现学现教。可以拿这个去教你的学生。
ARP攻击原理:调用系统里的npptools.dll文件。
网络执法官、彩影arp防火墙等ARP攻防软件也用这个,如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。
如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。
防攻击文件:C:\WINDOWS\system32\ npptools.dll
处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。再把system32\dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!
npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。
在网络攻防中,为什么说早期防御更重要?
网络攻防的本质就是取得对方计算机系统的用户权限。毕竟我们所有的操作系统都有用户账户这个概念,操作系统根据不同的用户来开放权限。如果早期没防住,也就是对方黑进来了,取了某账户的权限甚至是管理员权限,则它就可以在操作系统里留下后门啦,比如加载一些文件服务,替换一些系统文件留下后门,所以系统被突破过一次,种下马了,再要想防就很难啦。
有什么防病毒方法?求答案
结合本人的实践,本人谈谈新一代病毒的特点和注意问题。
与过去相比,新病毒具有智能化、隐蔽化和多样化的特点,破坏力更强。
首先谈一下智能化,过去人们的观点是电子邮件只要不下载就不会感染病毒,但是新一代病毒却令人震惊:例如: 大名鼎鼎的“维罗纳(Verona)”病毒是一个真正意义上的“超级病毒”,它不仅“主题”众多,而且集邮件病毒的几大特点为一身,令人无法设防:最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破,一旦用户收到了该病毒邮件,无论是无意间用Outlook或Outlook Express打开了该邮件,还是仅仅使用了预览,病毒就会自动发作,并将一个新的病毒邮件发送给从而迅速传播开来。这就使得一旦“维罗纳”类的病毒来临,用户将根本无法逃避。 该病毒本身对用户计算机系统并不造成严重危害,但是这一病毒的出现已经是病毒技术的一次巨大“飞跃”,它无疑为今后更大规模、更大危害的病毒的出现做了一次技术上的试验及预演,一旦这一技术与以往危害甚大的病毒技术或恶意程序、特洛伊木马等相结合,它可能造成的危害将是无法想象的。另外一个叫做Kak的电邮病毒,它能感染任何支持HTML语言的电子邮件程序。因为Kak是利用微软程序中ActiveX控件scriptlet.typelib中存在的缺陷传播,因而凡是安装了IE5.0或Office2000的电脑都有可能被感染。Kak的发作不需要浏览器软件运行,有人评价这种病毒的破坏性已经达到了史无前例的地步,即它不需要附件就能袭击受害者的电脑。此外,电脑病毒还可以监视你的一举一动,例如一种名为“矩阵(matrix)”的新病毒是一个混合型病毒,既可在每次WINDOWS重启时自动运行,还能跟随你往外发送的每一封电子邮件进行传播。专家们同时发现,该病毒可以像“黑客”一样监控你的上网行为, 一旦它发现用户试图访问一个反病毒站点或者给反病毒公司发电子邮件,将进行自我销毁。该病毒在WINDWOS目录里的文件名为“Iepack.exe。、“Win32.dⅡ”。这种病毒,我遭遇过,特别麻烦,特别是注册表中要把病毒清除干净,否则后果会更严重:如果手头没有杀毒软件或版本太旧,也可以在“开始” —〉“查找”中检查是否有“Iepack.exe”的文件,或看一下“Win32.dll”的大小是否有变化,通常大于40K就应注意,电脑已经感染了病毒。当然向内行或反病毒公司求救才是上策。有的病毒还会自动监测并阻止受害用户访问互联网上的反病毒网站,使用户无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。
众所周知,木马(Trojan,或称后门“BackDoor”)是一种危害巨大的程序,它们让被害的计算机对着未知的入侵者敞开了大门,使得受害者的系统和数据暴露在混乱的网络世界里。和病毒一样,木马也经历了好几代的演变,使得它越藏越深,成为另一种难以揪除的寄生虫。
——如果,我们趁早把木马焚烧掉呢?认识木马
简言之,信息领域的木马,就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,它由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自己复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。到此为止,木马还只处于被特洛伊的市民拉入城内的阶段,是不会进行破坏行动的。
当入侵者使用客户端连接上木马服务器端开放的端口后,特洛伊的城门就被打开了,到这里,木马的噩梦才正式开始……
所以,在木马屠城的军号吹响之前,如果帕里斯及时点燃了这只庞然大物,特洛伊也许就不会消失——至少,它不会是被一只木马给毁掉的。
阻止木马进城——不同时期的木马形态与相应的系统保护
特洛伊被木马计的前提是因为特洛伊人自己把藏有希腊士兵的木马运进了城内,让木马计得以成功实施,换个角度,如果当初特洛伊人任凭木马搁在海滩上发霉发臭,或者直接焚烧了这只装载着厄运的东西,那么“特洛伊木马”将会被作为与“马奇诺防线”同样性质的著名无效战略而被列入史册,而且后世可能再也不会采用这种攻击手段。
但是希腊人的木马计成功了,正如现在数以千计的现代网络木马计成功了一样。现代的希腊人——入侵者积极使用各种手段让现代的特洛伊人——受害者把那只木马程序高高兴兴的领回家去。
早期的防病毒思想并不盛行,那时候的网民也比较单纯,使用网络防火墙的人也只有少数,所以那时候的入侵者可以算是幸福的,他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行,这一时期的木马种植手段(如今的普遍称谓为“下马”)基本上不需要牵涉到技术,也许唯一需要的技术就是如何配置和使用一个木马,因为那时候木马也还是个新产物而已。那时候的网民,只能依靠自己的判断和技术,才能免受或摆脱木马之害。因此,当木马技术刚在国内开始的时候,任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻,可以毫不夸张的说,那时候是木马的第一黄金时期,唯一美中不足的制约条件就是当时的网络速度普遍太慢了。
随着时间的流逝,木马技术发展日益成熟,但网民的安全意识也普遍提高,更出现了初期的病毒防火墙概念,这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了,这时期的木马虽然隐蔽性有了相对提高,但仍然是基于客户端寻找连接服务器端的模式。由于出现了病毒防火墙,网民判断和查杀木马的效率大大提高,而且大部分人也知道“人心不古”了,不再轻易接收陌生人给的程序,使得木马不再像上时期那样肆无忌弹的横行,但是因为病毒防火墙是个新兴产物,仍然有相对多的人没有安装使用,以至于许多老旧的木马依然可以横行无忌。
再后来,随着网络防火墙技术诞生和病毒防火墙技术的成熟,木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”,同时由于网络防火墙技术的出现,让计算机与网络之间不再直接,尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略,导致大部分木马纷纷失效,这时期的木马逐渐分裂成两个派别:一种依然采用客户端连接服务器端的方式,只是改为了其他传输途径,如E-MAIL、FTP等,或者在内部除掉网络防火墙,以便自己畅通无阻;另一种则改变了入侵的思维,把“客户端连接服务器端”变为“服务器端连接客户端”,再加上一点社会工程学技术,从而突破了网络防火墙的限制,也因此诞生了一种新的木马技术——“反弹型”木马。这一时期里,入侵者与受害者之间的战争终于提升到技术级别,若想保护自己,除了安装网络防火墙和病毒防火墙,以及接触网络攻防技术以外别无他法,这个“基础互动”一直保持到今天的XP时代。
到了XP时代,网络速度有了质的飞跃,黑客攻防战更是越来越多的浮上水面,因为系统变了,一个专门为网络应用而诞生的操作系统,必定会存在与网络有关的缺陷。没错,WinXP相对于Win9x的弱点就是它的网络漏洞太多了,无论是利用MIME漏洞传播的信件木马,还是通过LSASS溢出而放下的木马,都能在XP系统上分到一块肉。你也许会说,Win9x同样有许多漏洞,但是为什么它没有XP的烦恼?这是因为Win9x的网络功能太弱了,几乎没有什么系统组件需要依靠网络运行!所以现在的用户,除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外,还要三天两头去微软的系统更新站点安装各种漏洞修复程序……
别让士兵们下马!——防止木马启动
话说藏在木马里的希腊士兵入城以后,并没有急着下马屠城,而是待到夜深人静之时,才出来打开了牢固的城门,为特洛伊的毁灭奏响了哀歌。而计算机内部没有人类社会的地理和时间关系,即使你的硬盘里现在就存放着100个木马程序,它们也比特洛伊海滩上那只大木马的处境好不到哪里去,因为对于操作系统来说,任何有害程序只要没有运行,它就可以等同于那些未能下马的士兵,一律视为无害。要让系统变成特洛伊城的黑夜,唯一的方法只能是启动木马的服务器端,而启动木马的最简单途径,就是通过“启动项”加载运行。
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:项目 键名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
在网络攻防战中战争双方将可能采用什么和什么软杀伤相结合的方式
在网络攻防战中,战争双方将可能采用硬摧毁和软杀伤相结合的方式夺取网络控制权。在未来的战争中,武器仍然十分重要,尤其是作战。它可以用来对抗对方的武器,破坏对方的指挥控制中心、通信手段以及摧毁对方的有生力量等。我们一般把这种打击方式称为“硬摧毁”。
另一方面,所有的通信联络、计算机运行都要靠很多操作系统和应用程序来实现。这些系统、程序、步骤通常称为“软件”,而计算机和各种设备本身则称为“硬件”。利用“计算机病毒”、强电磁波压制等手段破坏对方的软件可以使其C4KISR系统全部或部分瘫痪、不能工作或“胡乱工作”。这就是所谓的"软杀伤"。
现代战争的“硬摧毁”和“软杀伤”的防护
在现代战争中不但要对付“硬摧毁”,还要千方百计保护自己的C4KISR系统,保护自己的武器系统的“计算机核心”,防止对方的“软杀伤”。
如果一体化的互联网络遭到破坏,那么作战系统中的各种作战平台是不能正常的工作的。高科技武器装备在一定的条件下也是很容易受伤的,其生存能力并不比常规的装备好。
网络攻防
找一下病毒的概念看看。它是用来攻击的那一定是病毒了。最好的办法是看好你的门,他会的技术一定比你多。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
网络攻防是什么原理?复杂吗?
就是找系统漏洞进行入侵,简单点说就是写病毒的和杀毒软件的比赛
0条大神的评论