爲您的愛機經常做個安全體檢
如今網絡***手段越來越高明,那麼對於沒有防護能力的個人電腦要如何做到安全運行呢?這裏介紹的完全檢查就是網絡***過程中的一個最重要的階段,無論你用的是Windows Xp還是Windows 7以下方法都具有參考價值,這裏講的個人主機進行安全檢查有兩個目的:一是確保系統是安全的;二是查殺系統中存在的***程序和修補安全漏洞。可以通過以下一些手段來對計算機進行安全檢查:
l 使用安全掃描工具;
l 修補系統安全漏洞:
l Rootkit安全檢查;
l 啓動加載、端口連接和進程檢查;
l 運用數據恢復軟件獲取***信息;
1.使用安全掃描工具
安全檢查中最重要的檢查就是檢查網絡中的計算機是否存在遠程溢出漏洞,這是因爲遠程溢出漏洞的危害最大,利用工具通過對存在遠程溢出漏洞的計算機掃描可以很輕鬆地獲得Shell權限。本小節中主要介紹對微軟的一些高危漏洞(MS05039、SQLHello漏洞等)的安全掃描工具。
1.MS05039漏洞安全檢測案例
MS05039Scan是Foundstone公司開發的用來檢查“Windows UPnP”的漏洞工具,其下載地址爲:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用該工具來對MS05039漏洞進行安全檢測,然後對檢查出存在漏洞的計算機安裝其補丁程序,具體操作步驟如下。
2.MS05051漏洞安全檢測案例
MS05051Scan是foundstone公司開發的用來檢查“Vulnerabilities in MSDTC and COM+ CouldAllow Remote Code Execution”的漏洞工具,其下載地址爲:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用該工具來進行MS05051漏洞安全檢測,然後對檢查出存在漏洞的計算機安裝其補丁程序,具體操作步驟如下。
3.SQLHello漏洞安全檢測案例
比如以前的SQL Server 2000數據庫服務器曾經出現了一個遠程溢出漏洞,也即“SQLHello”漏洞,該漏洞爲高危漏洞,溢出後可被完全控制。出現該漏洞後,在網上出現了利用該漏洞的蠕蟲病毒,Foundstone公司開發了一款該漏洞的免費安全掃描工具。通過該工具可以掃描存在該漏洞或者被蠕蟲感染的SQL Server數據庫服務器,該工具只能檢查漏洞而不能進行溢出。本案例使用該工具來進行SQL Server數據庫安全檢測,然後對檢查出存在漏洞的服務器安裝其SP4補丁程序,具體的操作步驟如下。
世界上沒有絕對完美的軟件,因此可以說沒有一個軟件是絕對沒有安全漏洞的。從網絡安全人員特別是漏洞挖掘人員對安全漏洞的研究中可知,早期多在操作系統、數據庫服務器、Ⅲ瀏覽器等上發現安全漏洞:而目前則越來越多的人關注應用軟件上的安全漏洞以及ActiveX漏洞,例如Word漏洞、PDF漏洞、支付寶交易控件漏洞等。軟件或者操作系統被發現存在安全漏洞的話,如果不及時安裝補丁程序或者採取安全措施,將會導致嚴重的安全問題。本小節主要通過使用殺毒軟件以及Windows自帶的安全更新程序來修補系統安全漏洞。
4.使用瑞星漏洞掃描程序修補系統漏洞案例
如今系統的安全問題越來越受到人們的重視,而安全漏洞在普通用戶的眼中,這無疑是一種高不可攀的技術。安全漏洞層出不窮,如何I以逸待勞呢?其實目前很多殺毒軟件以及***查殺工具都提供了安全掃描工具,用戶只需要進行簡單的幾個操作步驟就可以修補系統中存在的安全漏洞。國外殺毒軟件帶漏洞掃描工具的也有,但同時提供自動下載並安裝補丁程序較少,國內殺毒軟件基本上都有漏洞修補功能。本案例就用瑞星系統安全漏洞掃描程序來檢測和修補漏洞,具體操作步驟如下。
5.使用瑞星卡卡掃描和更新系統漏洞案例
卡卡上網安全助手(簡稱卡卡)是瑞星公司的一款免費軟件,該軟件中的一個基本功能之一就掃描系統安全漏洞。本案例就是利用卡卡來掃描系統漏洞以及安裝補丁程序,步驟如下。
6.使用系統自帶程序更新補丁程序案例
Windows自動更新是Windows的一項功能,當微軟更新網站發佈更新補丁後,它會及時提醒用戶下載和安裝。使用自動更新可以在第一時間更新操作系統,修復系統漏洞,保護計算機安全。
微軟自WindowsXP Sp3後開始推出“安全中心”(Windows Security Center),它負責檢查計算機安全狀態,包括防火牆、病毒防護軟件、自動更新三個安全要素,恰好構成了系統安全最重要的三個部分。如果系統中沒有啓用防火牆和自動更新,或者沒有安裝防病毒軟件,默認情況下系統會在托盤區出現“Windows安全警報”的盾形圖標,提示系統當前所處的安全狀態,雙擊後可以進入安全中心瞭解系統提供的安全建議。 事實上,早在Windows XP時代, 自動更新就作爲系統的默認服務處於啓用狀態,可惜很多用戶出於節省系統資源的考慮而將其手工禁用,這樣做的最大後果就是無法及時獲取系統更新(包括關鍵更新和安全更新),這也是衆多用戶沒有能抵禦衝擊波、震盪波病毒的原因所在。Windows XP SP3進一步強化了自動更新功能,在安裝Windows XP SP3結束後的首次啓動中,系統將要求用戶配置自動更新,如果使用了“自動(推薦)”設置,那麼只要計算機在線,自動更新將在凌晨3點自動查找所有重要更新,包括安全更新、關鍵更新、Service Pack並自動安裝;而且如果用戶關閉了自動更新,安全中心將不斷地顯示相應的警報。不過,通常情況下,自動更新只傳送最新的重要更新,因此我們仍然應該定期訪問VVindows Update網站安裝更新。
這裏介紹Windows操作系統中的兩種更新方式,一種是用戶參與的在線更新,一種是系統的自動更新。
1.在線更新用戶參與的在線更新的操作步驟如下。
2.運行自動更新程序。在DOS下輸入“%SystemRoot%\system32\wupdmgr.exe”命令打開Windows在線補丁程序更新管理頁面,在該頁面中用戶可以檢查系統中需要更新的補丁程序,如
3.使用Windows自動更新
Windows在線更新自從XP開始,只有正版操作系統才能更新;而Windows自動更新,則沒有這個限制。使用Windows自動更新必須滿足打開“自動更新設置”和啓動自動更新服務Automatic Updates“兩個條件,操作步驟如下。
打開自動更新設置。單擊“開始”-“設置”-“控制面板”,在控制面板中打開“自動更新”,如圖8-13所示:在自動更新中選擇“自動(推薦)”,或者除“關閉自動更新”外的其他選項均可。
查看並啓動“Automatic Updates”服務。在控制面板中單擊“管理工具”-“服務”,打開服務控制檯,在其中雙擊“Automatic Updates”,在“Automatic Updates的屬性”窗口中,確保並設置其服務狀態爲“已啓動”以及服務類型爲“自啓動”,如圖8-14所示。
7. 使用Windows更新下載器更新補丁程序案例
漏洞一直是***者的最愛,而補丁卻是***者的剋星;微軟對於正版軟件的執著和技術方面的調整,使得補丁程序的升級變得越來越困難,特別是使用微軟非正版的操作系統,而從其他站點下載補丁程序,不但比較麻煩,而且還要擔心下載的補丁程序是否被捆綁了***等程序。“WindowsUpdates Downloader 2.24 Build 875”的出現完全解決了以上的問題。“Windows Updates Downloader2.24 Build 875”是jcarle公司開發的一款免費軟件,能以最快的方法下載全部最新的Windows及其相關安全更新,所有安全更新鏈接均來自Microsoft.com。“Windows Updates Downloader”提供微欽操作系統以及相關應用程序的補丁程序下載,用戶使用該工具可以有選擇地安裝補丁程序。介紹如何使用步驟一、安裝Windows補丁更新器。“Windows Updates Downloader”的運行環境是“.NET 2.0Framework”,如果沒有安裝“.NET 2.0 Framework ,後安裝“Windows Updates Downloader”非常簡單,根據其提示進行操作,即可以完成其安裝。
步驟二、下載補丁文件列表。第一次使用時,如果沒有補丁文件列表,則在“Windows UpdatesDownloader”中無法下載補丁程序,補丁文件列表可以到該軟件下載地址:(http://downl.tech.sina.com.cn/ download/down_page/115842240~29443.shtml)下載。下載文件到本地以後,雙擊該列表文件,如圖8-15所示,即可導入到“Windows Updates Downloader”中,然後運行“Windows UpdatesDownloader”即可進行補丁程序的下載。 、8.Rootkit安全檢查工具
Rootkit出現於20世紀90年代初,在1994年2月的一篇安全諮詢(CERT- CC-CA-1994-01)報告中首先使用了Rootkit這個名詞,該報告的題目是“Ongoing Network Monitoring Attacks”,最新的修訂時間是1997年9月19日。從出現至今,Rootkit的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。
Rootkit是***者用來隱藏自己的蹤跡和保留root訪問權限的工具,很難被察覺。換句話說,這種程序可能一直存在於計算機中,但用戶卻渾然不知。***可以在***後置入Rootkit,祕密地窺探敏感信息或等待時機、伺機而動;取證人員也可以利用Rootkit實時監控嫌疑人員的不法行爲,它不僅能蒐集證據,還有利於及時採取行動!
Rootkit技術最早運用在UINX操作系統中,後來逐漸運用到Windows操作系統中,有時也籠統地將利用Rootkit技術而編寫的***程序稱之爲Rootkit。在安全檢查中除了對端口和進程檢查外,還需要對系統中是否存在Rootkit進行檢查,在本小結中介紹了一些Rootkit安全檢測工
9.使用“冰刀”進行安全檢查案例
他的英文名稱爲IceSword,也稱爲冰刃或者簡稱IS,是由PJF出品的一款系統診斷、清除利其個人blog (http://www.blogcn.com/user17/pjf/index.html)上有關於該產品的一些說明,軟件下載:http://mail.ustc.edu.cn/~jfpan/download/lceSword122cn.zip。它適用於NVindows 2000/XP/2003操作系統,其內部功能十分強大,可用於探查系統中的***後門, 並進行相應的處理。IceSword使用了大量新穎的內核技術,使得這些後門躲無所躲,是一款檢查後門的好工具。IceSword目前只爲使用32位的x86兼容CPU的系統設計,另外運行IceSword時還需要管理員權限。它的主要功能如下。
10.使用AVG Anti-Rootkit進行安全檢查案例
通過本案例可以學習到使用AVG Anti-Rootkit檢查系統中Rootkit的方法。AVG Anti-Rootkit軟件是avg公司出品的一款免費Rootkit檢測工具,檢查系統中Rootkit的步驟如下。
11.啓動加載、端口連接和進程檢查工具
不管***(後門)程序有多麼厲害,它都需要一個加載選項,這是因爲它可能是直接以程序文件的形式運行、插入到其他進程中運行、以服務的形式加載以及以ActiveX控件等形式加載。除此之外,它還必須要訪問網絡,也就是說肯定有連接。從安全檢查的角度,一般是針對運行的進程、啓動加載以及端口連接進行安全檢查,如果在這三個方面發現有可疑或者明確有問題的程序,則運行或者加載的程序極有可能爲***程序,在安全檢查中寧可錯殺一萬,也不可放過萬一。在本節中主要介紹使用Autoruns、Currports、Process Explorer等工具來對啓動選項、端口以及進程進行檢查,最後介紹兩種“原始態”的安全檢查,就是對防火牆的連接情況以及原始數據抓包檢查。
12.使用Autoruns進行安全檢查案例
Autoruns是由著名公司sysinternals出品的一款小軟件,它的主要功能是列出系統自啓動的項目,通過它查看***加載在啓動、ActiveX、Explorer、Logon以及Services等中的***程序,對於一般的***程序可以通過它來刪除自動加載。Autoruns還可以檢查所有已經註冊成爲驅動的項以及所有的驅動程序(。.sys)的文件數字簽名。所有假冒的或者沒有通過代碼簽名的項都會在這裏列出來,也就可以很容易地判斷這個驅動是不是有問題了。本案例以autoruns8.6來進行系統安全檢查,具體步驟如下。
13.使用CurrPorts進行端口安全檢查案例
CurrPorts是一個免費GUI模式下的網絡連接檢測工具,它可以列出所有TCP/IP和UDP連,列出打開端口的應用程序等信息,還可以直接終止程序。該軟件往往跟Process Explorer等工具配合進行安全檢測,即時中止***程序網絡連接,具體的檢查步驟如下。
14.使用fport與mport進行端口安全檢查案例
Fport是FoundStone出品的一個用來列出系統中所有打開的TCP/IP和UDP端口,以及它們對應的應用程序的完整路徑、PID標識、進程名稱等信息的軟件。其早期版本不支持Windows Xp操作系統,最新版本爲2.0。mport.exe跟fport.exe實現的功能差不多,運行fport需要管理員權限,而mport可以在Windows NT、Windows 2000、Windows XP以及Windows 2003等操作系統中運行,mport可以無其他參數。Fport可以帶參數,命令格式爲“fport/參數”,其參數含義如下。
15.使用Process Expforer對韓國某服務器進行安全清理的案例
Process Explorer是sysinternals.com公司的作品,目前爲微軟提供技術支持,號稱最好的進程監視工具,完全免費!它不僅可以監視、暫停、終止進程,還可以查看進程調用的DLL文件,遇到不熟悉的進程還可以直接通過Google或百度等進行搜索;除此之外,它還可以查看CPU及內存使用情況,對系統運行的進程進行調試等。Process Explorer與Process Viewer. Norton processViewer、國產的IceSword、Windows進程管理器堪稱“進程監視五大至尊”,是預防病毒、查殺***的好幫手。關於Process Explorer的介紹以及軟件下載的地址爲http://technet.microsoft.com/zh-cnJsysintemals/ ‘ob896653(en-us).aspx 。
在網絡***過程中,一般使用Process Explorer來清理***程序,加固系統安全;除此之外,還可以使用Process Explorer來刪除正在使用的或者無法刪除的文件。本案例主要介紹如何利用Process Explorer來刪除***進程,加固系統,具體步驟如下。
16.對硬件防火牆網絡連接情況進行安全檢查案例
防火牆作爲一道安全防禦線在網絡***過程非常重要,網絡上所有的連接都要經過它來實現,所以不管什麼樣的***程序在防火牆面前都會顯得無能爲力。防火牆一般分爲硬件和軟件兩個部分,軟件主要對硬件進行物理和網絡設置等操作,硬件是軟件運行的平臺,該軟件一般稱爲防火牆OS。一般來說,對應硬件防火牆都會有一套管理軟件,用它來對防火牆進行管理。本案例就是利用防火牆的管理軟件來對網絡連接情況進行安全檢查,操作步驟如下。
17.U盤病毒安全檢查
U盤病毒主要利用Autorun.inf文件,該文件跟***病毒文件往往在一起,當用戶插入U盤時,統會自動播放U盤中的內容,用戶在打開U盤時,病毒就會執行。U盤病毒具有交叉感染的特,即感染了U盤病毒的計算機,在插入乾淨的U盤以後,U盤病毒又會感染U盤:當被感染U病毒的U盤插入到未感染的計算機中時,U盤中的病毒會感染計算機;所以U盤病毒傳染性非強,而且極難徹底根除。由於U盤在日常工作和生活中的廣泛使用,因此目前新出來的病毒都具有優盤傳播這一功能。
18.利用殺毒以及防火牆軟件進行系統安全檢查
不管是安全專業人士還是非專業人士對系統進行安全檢查較常採天用的方式就是使用殺毒軟件查殺病毒,通過防火牆軟件網絡連接、程序訪問等來判斷系統是否存在***程序。本節就使用殺毒軟件以及防火牆方面的一些實際經驗和技巧方法進行介紹和講解,掌握了這些方法可以大大降低被***或者感染***的機率。