如今网络攻击手段越来越高明,那么对于没有防护能力的个人电脑要如何做到安全运行呢?这里介绍的完全检查就是网络攻防过程中的一个最重要的阶段,无论你用的是Windows Xp还是Windows 7以下方法都具有参考价值,这里讲的个人主机进行安全检查有两个目的:一是确保系统是安全的;二是查杀系统中存在的木马程序和修补安全漏洞。可以通过以下一些手段来对计算机进行安全检查: l 使用安全扫描工具; l 修补系统安全漏洞: l Rootkit安全检查; l 启动加载、端口连接和进程检查; l 运用数据恢复软件获取入侵信息; 1.使用安全扫描工具 安全检查中最重要的检查就是检查网络中的计算机是否存在远程溢出漏洞,这是因为远程溢出漏洞的危害最大,利用工具通过对存在远程溢出漏洞的计算机扫描可以很轻松地获得Shell权限。本小节中主要介绍对微软的一些高危漏洞(MS05039、SQLHello漏洞等)的安全扫描工具。 1.MS05039漏洞安全检测案例 MS05039Scan是Foundstone公司开发的用来检查“Windows UPnP”的漏洞工具,其下载地址为:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用该工具来对MS05039漏洞进行安全检测,然后对检查出存在漏洞的计算机安装其补丁程序,具体操作步骤如下。 2.MS05051漏洞安全检测案例 MS05051Scan是foundstone公司开发的用来检查“Vulnerabilities in MSDTC and COM+ CouldAllow Remote Code Execution”的漏洞工具,其下载地址为:http://www./us/resources/proddesc/MS05039Scan.htm。本案例使用该工具来进行MS05051漏洞安全检测,然后对检查出存在漏洞的计算机安装其补丁程序,具体操作步骤如下。 3.SQLHello漏洞安全检测案例 比如以前的SQL Server 2000数据库服务器曾经出现了一个远程溢出漏洞,也即“SQLHello”漏洞,该漏洞为高危漏洞,溢出后可被完全控制。出现该漏洞后,在网上出现了利用该漏洞的蠕虫病毒,Foundstone公司开发了一款该漏洞的免费安全扫描工具。通过该工具可以扫描存在该漏洞或者被蠕虫感染的SQL Server数据库服务器,该工具只能检查漏洞而不能进行溢出。本案例使用该工具来进行SQL Server数据库安全检测,然后对检查出存在漏洞的服务器安装其SP4补丁程序,具体的操作步骤如下。 世界上没有绝对完美的软件,因此可以说没有一个软件是绝对没有安全漏洞的。从网络安全人员特别是漏洞挖掘人员对安全漏洞的研究中可知,早期多在操作系统、数据库服务器、Ⅲ浏览器等上发现安全漏洞:而目前则越来越多的人关注应用软件上的安全漏洞以及ActiveX漏洞,例如Word漏洞、PDF漏洞、支付宝交易控件漏洞等。软件或者操作系统被发现存在安全漏洞的话,如果不及时安装补丁程序或者采取安全措施,将会导致严重的安全问题。本小节主要通过使用杀毒软件以及Windows自带的安全更新程序来修补系统安全漏洞。 4.使用瑞星漏洞扫描程序修补系统漏洞案例 如今系统的安全问题越来越受到人们的重视,而安全漏洞在普通用户的眼中,这无疑是一种高不可攀的技术。安全漏洞层出不穷,如何I以逸待劳呢?其实目前很多杀毒软件以及木马查杀工具都提供了安全扫描工具,用户只需要进行简单的几个操作步骤就可以修补系统中存在的安全漏洞。国外杀毒软件带漏洞扫描工具的也有,但同时提供自动下载并安装补丁程序较少,国内杀毒软件基本上都有漏洞修补功能。本案例就用瑞星系统安全漏洞扫描程序来检测和修补漏洞,具体操作步骤如下。 5.使用瑞星卡卡扫描和更新系统漏洞案例 卡卡上网安全助手(简称卡卡)是瑞星公司的一款免费软件,该软件中的一个基本功能之一就扫描系统安全漏洞。本案例就是利用卡卡来扫描系统漏洞以及安装补丁程序,步骤如下。 6.使用系统自带程序更新补丁程序案例 Windows自动更新是Windows的一项功能,当微软更新网站发布更新补丁后,它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新操作系统,修复系统漏洞,保护计算机安全。 微软自WindowsXP Sp3后开始推出“安全中心”(Windows Security Center),它负责检查计算机安全状态,包括防火墙、病毒防护软件、自动更新三个安全要素,恰好构成了系统安全最重要的三个部分。如果系统中没有启用防火墙和自动更新,或者没有安装防病毒软件,默认情况下系统会在托盘区出现“Windows安全警报”的盾形图标,提示系统当前所处的安全状态,双击后可以进入安全中心了解系统提供的安全建议。 事实上,早在Windows XP时代, 自动更新就作为系统的默认服务处于启用状态,可惜很多用户出于节省系统资源的考虑而将其手工禁用,这样做的最大后果就是无法及时获取系统更新(包括关键更新和安全更新),这也是众多用户没有能抵御冲击波、震荡波病毒的原因所在。Windows XP SP3进一步强化了自动更新功能,在安装Windows XP SP3结束后的首次启动中,系统将要求用户配置自动更新,如果使用了“自动(推荐)”设置,那么只要计算机在线,自动更新将在凌晨3点自动查找所有重要更新,包括安全更新、关键更新、Service Pack并自动安装;而且如果用户关闭了自动更新,安全中心将不断地显示相应的警报。不过,通常情况下,自动更新只传送最新的重要更新,因此我们仍然应该定期访问VVindows Update网站安装更新。 这里介绍Windows操作系统中的两种更新方式,一种是用户参与的在线更新,一种是系统的自动更新。 1.在线更新用户参与的在线更新的操作步骤如下。 2.运行自动更新程序。在DOS下输入“%SystemRoot%\system32\wupdmgr.exe”命令打开Windows在线补丁程序更新管理页面,在该页面中用户可以检查系统中需要更新的补丁程序,如 3.使用Windows自动更新 Windows在线更新自从XP开始,只有正版操作系统才能更新;而Windows自动更新,则没有这个限制。使用Windows自动更新必须满足打开“自动更新设置”和启动自动更新服务Automatic Updates“两个条件,操作步骤如下。 打开自动更新设置。单击“开始”-“设置”-“控制面板”,在控制面板中打开“自动更新”,如图8-13所示:在自动更新中选择“自动(推荐)”,或者除“关闭自动更新”外的其他选项均可。 查看并启动“Automatic Updates”服务。在控制面板中单击“管理工具”-“服务”,打开服务控制台,在其中双击“Automatic Updates”,在“Automatic Updates的属性”窗口中,确保并设置其服务状态为“已启动”以及服务类型为“自启动”,如图8-14所示。 7. 使用Windows更新下载器更新补丁程序案例 漏洞一直是入侵者的最爱,而补丁却是入侵者的克星;微软对于正版软件的执著和技术方面的调整,使得补丁程序的升级变得越来越困难,特别是使用微软非正版的操作系统,而从其他站点下载补丁程序,不但比较麻烦,而且还要担心下载的补丁程序是否被捆绑了木马等程序。“WindowsUpdates Downloader 2.24 Build 875”的出现完全解决了以上的问题。“Windows Updates Downloader2.24 Build 875”是jcarle公司开发的一款免费软件,能以最快的方法下载全部最新的Windows及其相关安全更新,所有安全更新链接均来自Microsoft.com。“Windows Updates Downloader”提供微钦操作系统以及相关应用程序的补丁程序下载,用户使用该工具可以有选择地安装补丁程序。介绍如何使用步骤一、安装Windows补丁更新器。“Windows Updates Downloader”的运行环境是“.NET 2.0Framework”,如果没有安装“.NET 2.0 Framework ,后安装“Windows Updates Downloader”非常简单,根据其提示进行操作,即可以完成其安装。 步骤二、下载补丁文件列表。第一次使用时,如果没有补丁文件列表,则在“Windows UpdatesDownloader”中无法下载补丁程序,补丁文件列表可以到该软件下载地址:(http://na.com.cn/ download/down_page/115842240~29443.shtml)下载。下载文件到本地以后,双击该列表文件,如图8-15所示,即可导入到“Windows Updates Downloader”中,然后运行“Windows UpdatesDownloader”即可进行补丁程序的下载。 8.Rootkit安全检查工具 Rootkit出现于20世纪90年代初,在1994年2月的一篇安全咨询(CERT- CC-CA-1994-01)报告中首先使用了Rootkit这个名词,该报告的题目是“Ongoing Network Monitoring Attacks”,最新的修订时间是1997年9月19日。从出现至今,Rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。 Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具,很难被察觉。换句话说,这种程序可能一直存在于计算机中,但用户却浑然不知。黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息或等待时机、伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅能搜集证据,还有利于及时采取行动! Rootkit技术最早运用在UINX操作系统中,后来逐渐运用到Windows操作系统中,有时也笼统地将利用Rootkit技术而编写的木马程序称之为Rootkit。在安全检查中除了对端口和进程检查外,还需要对系统中是否存在Rootkit进行检查,在本小结中介绍了一些Rootkit安全检测工 9.使用“冰刀”进行安全检查案例 他的英文名称为IceSword,也称为冰刃或者简称IS,是由PJF出品的一款系统诊断、清除利其个人blog (http://www./user17/pjf/index.html)上有关于该产品的一些说明,软件下载:http://mail.ustc.edu.cn/~jfpan/download/lceSword122cn.zip。它适用于NVindows 2000/XP/2003操作系统,其内部功能十分强大,可用于探查系统中的木马后门, 并进行相应的处理。IceSword使用了大量新颖的内核技术,使得这些后门躲无所躲,是一款检查后门的好工具。IceSword目前只为使用32位的x86兼容CPU的系统设计,另外运行IceSword时还需要管理员权限。它的主要功能如下。 10.使用AVG Anti-Rootkit进行安全检查案例 通过本案例可以学习到使用AVG Anti-Rootkit检查系统中Rootkit的方法。AVG Anti-Rootkit软件是avg公司出品的一款免费Rootkit检测工具,检查系统中Rootkit的步骤如下。 11.启动加载、端口连接和进程检查工具 不管木马(后门)程序有多么厉害,它都需要一个加载选项,这是因为它可能是直接以程序文件的形式运行、插入到其他进程中运行、以服务的形式加载以及以ActiveX控件等形式加载。除此之外,它还必须要访问网络,也就是说肯定有连接。从安全检查的角度,一般是针对运行的进程、启动加载以及端口连接进行安全检查,如果在这三个方面发现有可疑或者明确有问题的程序,则运行或者加载的程序极有可能为木马程序,在安全检查中宁可错杀一万,也不可放过万一。在本节中主要介绍使用Autoruns、Currports、Process Explorer等工具来对启动选项、端口以及进程进行检查,最后介绍两种“原始态”的安全检查,就是对防火墙的连接情况以及原始数据抓包检查。 12.使用Autoruns进行安全检查案例 Autoruns是由著名公司sysinternals出品的一款小软件,它的主要功能是列出系统自启动的项目,通过它查看木马加载在启动、ActiveX、Explorer、Logon以及Services等中的木马程序,对于一般的木马程序可以通过它来删除自动加载。Autoruns还可以检查所有已经注册成为驱动的项以及所有的驱动程序(。.sys)的文件数字签名。所有假冒的或者没有通过代码签名的项都会在这里列出来,也就可以很容易地判断这个驱动是不是有问题了。本案例以autoruns8.6来进行系统安全检查,具体步骤如下。 13.使用CurrPorts进行端口安全检查案例 CurrPorts是一个免费GUI模式下的网络连接检测工具,它可以列出所有TCP/IP和UDP连,列出打开端口的应用程序等信息,还可以直接终止程序。该软件往往跟Process Explorer等工具配合进行安全检测,即时中止木马程序网络连接,具体的检查步骤如下。 14.使用fport与mport进行端口安全检查案例 Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应的应用程序的完整路径、PID标识、进程名称等信息的软件。其早期版本不支持Windows Xp操作系统,最新版本为2.0。mport.exe跟fport.exe实现的功能差不多,运行fport需要管理员权限,而mport可以在Windows NT、Windows 2000、Windows XP以及Windows 2003等操作系统中运行,mport可以无其他参数。Fport可以带参数,命令格式为“fport/参数”,其参数含义如下。 15.使用Process Expforer对韩国某服务器进行安全清理的案例 Process Explorer是sysinternals.com公司的作品,目前为微软提供技术支持,号称最好的进程监视工具,完全免费!它不仅可以监视、暂停、终止进程,还可以查看进程调用的DLL文件,遇到不熟悉的进程还可以直接通过Google或百度等进行搜索;除此之外,它还可以查看CPU及内存使用情况,对系统运行的进程进行调试等。Process Explorer与Process Viewer. Norton processViewer、国产的IceSword、Windows进程管理器堪称“进程监视五大至尊”,是预防病毒、查杀木马的好帮手。关于Process Explorer的介绍以及软件下载的地址为http://technet.microsoft.com/zh-cnJsysintemals/ ‘ob896653(en-us).aspx 。 在网络攻防过程中,一般使用Process Explorer来清理木马程序,加固系统安全;除此之外,还可以使用Process Explorer来删除正在使用的或者无法删除的文件。本案例主要介绍如何利用Process Explorer来删除木马进程,加固系统,具体步骤如下。 16.对硬件防火墙网络连接情况进行安全检查案例 防火墙作为一道安全防御线在网络攻防过程非常重要,网络上所有的连接都要经过它来实现,所以不管什么样的木马程序在防火墙面前都会显得无能为力。防火墙一般分为硬件和软件两个部分,软件主要对硬件进行物理和网络设置等操作,硬件是软件运行的平台,该软件一般称为防火墙OS。一般来说,对应硬件防火墙都会有一套管理软件,用它来对防火墙进行管理。本案例就是利用防火墙的管理软件来对网络连接情况进行安全检查,操作步骤如下。 17.U盘病毒安全检查 U盘病毒主要利用Autorun.inf文件,该文件跟木马病毒文件往往在一起,当用户插入U盘时,统会自动播放U盘中的内容,用户在打开U盘时,病毒就会执行。U盘病毒具有交叉感染的特,即感染了U盘病毒的计算机,在插入干净的U盘以后,U盘病毒又会感染U盘:当被感染U病毒的U盘插入到未感染的计算机中时,U盘中的病毒会感染计算机;所以U盘病毒传染性非强,而且极难彻底根除。由于U盘在日常工作和生活中的广泛使用,因此目前新出来的病毒都具有优盘传播这一功能。 不管是安全专业人士还是非专业人士对系统进行安全检查较常采天用的方式就是使用杀毒软件查杀病毒,通过防火墙软件网络连接、程序访问等来判断系统是否存在木马程序。本节就使用杀毒软件以及防火墙方面的一些实际经验和技巧方法进行介绍和讲解,掌握了这些方法可以大大降低被攻击或者感染木马的几率。 |
|