(这条文章已经被阅读了 89 次) 时间:2001-08-24 02:12:38 来源:曾成 (曾成) 原创-IT
曾成
互联网络近年在我国突飞猛进发展的同时,也面临着不可忽视的网上用户的安全问题,现在网上软件日益丰富,而且有的程序可以使一个对网络不甚了解的新手就可以对其他用户进行有破坏性的攻击,比如电子邮件炸弹,特洛伊木马等程序。这是许多用户都曾受过其害的软件。我写此文的目的是帮助那些对个人网络安全感兴趣的网友们。
保护你的口令
可不要小看了保护你口令的重要性。很多黑客的入门是从破解口令开始的!所以我们首先要注意的是关于口令的设置。对付猜你口令的坏蛋的绝妙方法当然是设一个让他猜不到的密码了(废话!哄声四起)。设置密码的原则是:重要的口令应该在八位或八位以上(有的不支持更多)、决不能与用户名相同(猜测者大多把它作为第一个试验对象)或是用户名的简单变形,不能用电话号码、不能用生日、不能用身份证号、不能用call机号,最好不要在不同的登录点设相同的口令、而且应该定期更换并不要重复使用。破解口令的软件基本上是使用密码字典(就是说字典里面要含有你的口令那个字符串才有可能破解成功)或用程序动态按照某种规则生成的字符串来一个一个去试验登录。你的口令要设成大小些混用、夹带数字、足够长,可以是一句有意义的短语,然后用一个相似的数字替换掉短语中的一个字符。这样别人要想破解就是大海捞针喽!比如,0(零)UREAtiT/9就是一个很难猜的口令。对于众多的密码也不要为了便于记忆而写在记事本上存于电脑中。
如果哪一天你发现你的信箱中有一封你没读过却标记为旧邮件的信件时,说明你应该马上把你这个邮箱口令换掉了(不会问我原因了吧?)。
如果你的电脑不是完全私用或是公用,有一点需要特别注意,每次用完要把系统中的各个cache、history、temp等目录中的信息清除干净(嫌麻烦的话大可不必这么做,如果你打算冒着被别人追踪到自己上网一举一动的风险)。而且不要在常用软件中保存你的任何口令,尤其是瘟酒舞和瘟酒吧,因为如果你是拨号上网,并在登录窗中选了”保存密码”,那么在c:\windows\目录下会生成由IE加密的密码文件,扩展名为.pwl。由于加密位不高,用一些程序可以很容易的透过这个文件看到你的上网账号和密码。(盖茨先生的东西实在叫人信不过,可现在我正在用,希望有一天Linux可以取代它)。
如果下述的一些列子正好与你的口令设置大同小异,那么请你马上改了它,你的口令被破解的可能性很大很大!当我们设定口令时一般的人都会用自己熟悉的单词, 这样能使他们便于记忆!没办法,人天生就懒惰! 那么哪些单词是他们容易记住的那!是不是没有 规律呢?非也!非也!
1.用自己的中文拼音者最多。37% 这就告诉我们口令破解字典档应针对中国的特列! 要用一些中文姓名拼音的字典档!如:wanghai , zhangli,shenqin,等等!
2.用常用的英文单词 23% 其中许多人都用了很有特定意义的单词,如:hello ,good,happy,anything,等等!
3.用计算机的中经常出现的单词 18人% 这些单词中还有操作系统的命令,如:system, command,copy,harddisk,mouse,等等!
4.用自己的出生日期 7人% 其中年月日各不相同!但其中有3人用了中国常用的日期表示方法!如970203,199703.050498等!
上述测试中两个单词相同的有21%,接近相同的有 33%!
虽然还有一些人的无法给他们归类,但还是有规律的!所以我真真的希望网友们能够对自己密码的安全重视起来。
对付特洛伊木马
对付特洛伊和病毒的方法就要复杂一些了,哈!!故弄玄虚。但的确需要一些注册表的知识(其实搞懂它对学好很多东西是有帮助的)。
防止特洛伊木马驻扎你的电脑不但要靠软件防范、查杀,还需要你有一定的观察能力和技巧。首先要把自己的系统加固起来,把Windows系统的tcpip、IE3、IE4、IE5的补丁下载回来升级(这可以躲过许多IP炸弹和恶意代码的攻击);当然Netscape也不例外;icq99a1680也有虫子啦,快去下载icq99a2.22版吧(用这个版本可以放心的聊天啦,因为现存99%的icq攻击程序对他无效);而且平时要多留意这方面的消息,有空到微软的站点上去转转,盖茨最喜欢为自己的软件做补丁了。另外电脑要装一个常驻内存的病毒监视工具,如pc-cillin就不错,可以在后台运行及时发现大部分的木马并报警(包括刚刚下载的带压缩包,对有些特洛意特别起作用的)。
其次要用特洛伊清除软件经常扫描硬盘,而且要留意软件的升级版本,以做到随时更新代码库。如cleaner2的功能就比较全,可以清除一百多种木马程序。
这样一来可使你的系统的免疫力达到最高。平时使用时也应时刻注意电脑的运行情况,如果发现电脑突然有不正常的运行或系统速度变慢,排除其他原因的情况下,很可能有程序在后台悄悄运行了,你可以按一下ctrl+Del+alt,看一下当前的进程里有没有陌生的(如果没有经验,可以同别的电脑比较一下),但现在大多数的特洛伊木马都可以绕过这里,就是说在这个进程列表看不到它,如果你装了98的系统,可以打开系统信息,查看正在运行的程序和程序的运行路径,同样是查找陌生的程序(你不会连装过什么软件都忘记吧);如果是95系统(没有上述功能)就需要装一个进程监视器,可达到同样的效果,一般能多提供一个杀掉进程的功能。
还有一个方法,就是可以在注册表中发现特洛伊的踪迹。这些木马程序大多数不是一次性运行的,就是说它还要在再次开机时加载到内存,所以你还可以搜索所有加载启动程序的地方,查看是否异常。主要地点有注册表、开始程序启动目录(很少有这么苯的木马了)、win.ini 、system.ini,详细为: 注册表的Run、Run-、RunOnce、RunOnce、RunServices、RunServies-、RunServicesOnce主键下,建议对注册比较熟悉的网友们也最好用查找关键字run的方法查找run等主健,因为有时程序会在其它的地方另建立run主键(比如安装了网卡或设置了多用户等),以免漏查。
win.ini 的[windows]下的”run=***”;”load=***”语句,
system.ini的[386Enh]、[mci]、[drivers]、[drivers32]中的”device=***”语句,
但这种方法是很难查出捆绑在正常程序上的木马的,你看不到这种木马的加载,只能看到被捆绑的正常程序的字节数增加了,这是很难引起注意的,你可以运行开始–程序–附件–系统工具–系统信息,无论木马怎么捆在这里都会暴露的。查看系统信息的启动运行程序和正在运行程序项,查找陌生的程序,看看有没有诸如netspy、.exe、之类的名称,如果有的话,就说明你已经中着了,马上找到它的加载路径并删掉它。但是如果程序被改了名或是一些其他的黑客程序,那就看你对所安装程序的熟悉程度了,查看它的安装路径,尝试再次运行它,一般就可以确定它的属性了。还有一种简单的方法,在开始–运行中键入msconfig,点确定。选启动项,在这里就可以看到启动时运行的程序了。
如果你真的发现了木马,当然要杀杀杀!!!–把它的程序主体加上其在注册表和*.ini文件中的改动统统删掉(应先备份呦)。
现在流行广,危害大的黑客程序有BO(Back Oriffice)、Netspy和Netbus。这里介绍一下对它们的删除方法。
一、BO(Back oriffice)
运行c:\windows目录下的注册表编辑器”Regedit.exe”,然后点击目录至HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunServices看右边是否有某个ab项出现(默认)”.exe”,如果有立即删除这个ab项,并确认删除后原来”.exe”的地方变为(未设置键值)。接着点击开始菜单中的从”新启动计算机,并切换到MS-DOS方式”退出后,输入del exe~1回车,返回Windows。
二、Netspy
运行c:\windows目录下的注册表编辑器”Regedit.exe”,然后点击目录至HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run看右边是否有两个ab项分别出现NETSPY或NETSPY和SPYNOTIFY,如果有立即删除这两个ab项。用同上的方法退出到MS-DOS方式,输入cd c:\windows\system回车,输入del netspy.exe回车,输入del spynot~1.exe 回车,输入del spynot~1.exe回车,返回windows。
三、Netbus
中了Netbus的人要小心。Netbus感染到你计算机里的程序的名子是由你执行带Netbus的某个正常的程序的名字决定的。但中了Netbus后的计算机里有几个特征:会在c:\windows目录下生成一个文件,一种是图标像c:\windows\system目录下的”查看频道.scf”文件,这只能在Win98里看到。这图标看起来是一个中心淡蓝色的锅状卫星天线;另一种是图标像一个小小的深蓝色的向右倾斜的火炬,背景是一个小小的深蓝色的圆面。如果你在c:\windows目录下看到这两种图标文件,在文件上右击,点菜单最底下的”属性,看看”大小”是否出现”483KB”或”461″KB”,如果出现其中一种,那请在运行c:\windows目录下的regedit.exe,同样点击目录至HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run看有没有哪个ab项与你发现的那种图标的文件的名字相同,如果有看看这ab项右边是不是出现”c:\Windows\图标的名字.exe/nomsg”,如果出现的话,表示你的计算机中了Netbus。同上面一样,删除这个ab项,退出到MS-DOS方式,输入cd c:\windows回车,输入del 图标的名字.EXE回车,输入del 图标的名字.EXE回车,返回Windows。
此外对付哪些无聊的程序还有一个好方法,你可以通过代理服务器上网,或通过一个专门的网上防火墙访问网络,不过这些免费地址现在已是日益难寻。最好嘛,是装个本地防火墙,如firewall、lockdown2000都可以实现较强的过滤功能。关于这些软件的使用,《电脑爱好者》已经有过很多介绍,这里就不多讲了。
Email炸弹与病毒的防治
常在网上走难免遇上几个”志不同道不合”者,若对方心胸狭窄,在EMail中附上几种病毒给你(如happy99,cih,美丽莎等),或是疯狂轰炸你的ISP信箱,那岂不是防不胜防吗?
怎样防范Email炸弹
首先是关于信箱,你千万不要把你的ISP提供的信箱告诉你不信任的人,万一有人对它发送垃圾邮件或邮件炸弹,你处理起来是很麻烦的,可能要设置为拒收,很多ISP是没有这个功能的,所以你只有向你的ISP申请封掉它(就是彻底罢工),或需要重新开户喽!网上有那么多的免费信箱,大可以去申请几个,用来联络网友和工作嘛。当然最好用信誉好、速度快、容量大、功能又强的,哇,太贪心了!哪有这么好的。但可以组合起来用,去申请几个转信信箱(比如国内126的就比较好),一般它的过滤功能强些,可以限制每封信的大小,并且做到每个信箱各尽其能。用户对邮件列表和网上刊物不要太贪心(我有位朋友曾因为狂订而把自己的付费信箱炸掉),还要小心请神容易送神难啊!如果真的很需要那么多的杂志邮件列表,最好用一个容量大的信箱专门管理。
怎样防范Email病毒
我们首先要保证自己对来源不明的Email附件不查看,即使是自己的亲朋好友所发来的电子邮件所带的不明附件也得加倍小心。这样你被感染的几率就大大减小了。这里我列举两种最常见的Email病毒发病状况和防治方法,希望对大家有用。
Melissa
Melissa病毒传染的对象是Word97 和Word2000文件。病毒可以通过用户收发带毒的电子邮件互相传染,而且传染方式非常隐蔽。曾经竟让AOL的服务器被迫停机。当用户打开的文件感染有该病毒时,病毒首先检查注册表中是否有Melissa的注册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下:
HKEY_CURRENT_USER\Software\Microsoft\Office\”Melissa?” = “… by Kwyjibo”
之后她会从从OutLook的通信薄中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到通信薄中的前50 个邮箱 邮件主题为:”Important Message From -”
免疫Melissa病毒的方法很简单,在注册表里添加HKEY_CURRENT_USER\Software\Microsoft\Office\”Melissa?” = “… by Kwyjibo”就可以了。如果你怀疑你已经被感染了,还是求助于杀毒软件吧。
Happy99
如果有一封E-mail带有一个名为 happy99.exe(注意,可能不是这个文件名) 的附件,而你去执行了它,你的屏幕上就会自动打开一个窗口,以黑色为底色的满天烟火,此后,只要你发信夹带附件就死机。但是 Happy99 会悄悄附在信中,会赠送下一个收信人一个自身的拷贝。如果你已经运行了happy99.exe,你还可以用手工进行检测和处理:打开 Windows 的 System 目录,如果发现有 ska.exe、ska.dll 与 wsock32.ska 等三个文件,那就说明你已经中毒了!你可以将前两个文件删除,再把 wsock32.ska 重新命名为wsock32.dll,然后,再将邮件中的 happy99.exe 删除就可以了。