,如今网络攻击手段越来越高明,那么对于没有防护能力de个人电脑要如何做到安全运行呢?这里介绍de完全检查就是网络攻防过程中de一个最重要de阶段,无论你用de是Windows Xp还是Windows 7以下方法都具有参考价值,这里讲de个人主机进行安全检查有两个目de:一是确保系统是安全de;二是查杀系统中存在de木马程序和修补安全漏洞。可以通过以下一些手段来对计算机进行安全检查:
l 使用安全扫描工具;
l 修补系统安全漏洞:
l Rootkit安全检查;
l 启动加载、端口连接和进程检查;
l 运用数据恢复软件获取入侵信息;
1.使用安全扫描工具
安全检查中最重要de检查就是检查网络中de计算机是否存在远程溢出漏洞,这是因为远程溢出漏洞de危害最大,利用工具通过对存在远程溢出漏洞de计算机扫描可以很轻松地获得Shell权限。本小节中主要介绍对微软de一些高危漏洞(MS05039、SQLHello漏洞等)de安全扫描工具。
1.MS05039漏洞安全检测案例
MS05039Scan是Foundstone公司开发de用来检查Windows UPnPde漏洞工具,其下载地址为:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用该工具来对MS05039漏洞进行安全检测,然后对检查出存在漏洞de计算机安装其补丁程序,具体操作步骤如下。
2.MS05051漏洞安全检测案例
MS05051Scan是foundstone公司开发de用来检查Vulnerabilities in MSDTC and COM+ CouldAllow Remote Code Executionde漏洞工具,其下载地址为:http://www.foundstone.com/us/resources/proddesc/MS05039Scan.htm。本案例使用该工具来进行MS05051漏洞安全检测,然后对检查出存在漏洞de计算机安装其补丁程序,具体操作步骤如下。
3.SQLHello漏洞安全检测案例
比如以前deSQL Server 2000数据库服务器曾经出现了一个远程溢出漏洞,也即SQLHello漏洞,该漏洞为高危漏洞,溢出后可被完全控制。出现该漏洞后,在网上出现了利用该漏洞de蠕虫病毒,Foundstone公司开发了一款该漏洞de免费安全扫描工具。通过该工具可以扫描存在该漏洞或者被蠕虫感染deSQL Server数据库服务器,该工具只能检查漏洞而不能进行溢出。本案例使用该工具来进行SQL Server数据库安全检测,然后对检查出存在漏洞de服务器安装其SP4补丁程序,具体de操作步骤如下。
世界上没有绝对完美de软件,因此可以说没有一个软件是绝对没有安全漏洞de。从网络安全人员特别是漏洞挖掘人员对安全漏洞de研究中可知,早期多在操作系统、数据库服务器、Ⅲ浏览器等上发现安全漏洞:而目前则越来越多de人关注应用软件上de安全漏洞以及ActiveX漏洞,例如Word漏洞、PDF漏洞、支付宝交易控件漏洞等。软件或者操作系统被发现存在安全漏洞de话,如果不及时安装补丁程序或者采取安全措施,将会导致严重de安全问题。本小节主要通过使用杀毒软件以及Windows自带de安全更新程序来修补系统安全漏洞。
4.使用瑞星漏洞扫描程序修补系统漏洞案例
如今系统de安全问题越来越受到人们de重视,而安全漏洞在普通用户de眼中,这无疑是一种高不可攀de技术。安全漏洞层出不穷,如何I以逸待劳呢?其实目前很多杀毒软件以及木马查杀工具都提供了安全扫描工具,用户只需要进行简单de几个操作步骤就可以修补系统中存在de安全漏洞。国外杀毒软件带漏洞扫描工具de也有,但同时提供自动下载并安装补丁程序较少,国内杀毒软件基本上都有漏洞修补功能。本案例就用瑞星系统安全漏洞扫描程序来检测和修补漏洞,具体操作步骤如下。
5.使用瑞星卡卡扫描和更新系统漏洞案例
卡卡上网安全助手(简称卡卡)是瑞星公司de一款免费软件,该软件中de一个基本功能之一就扫描系统安全漏洞。本案例就是利用卡卡来扫描系统漏洞以及安装补丁程序,步骤如下。
6.使用系统自带程序更新补丁程序案例
Windows自动更新是Windowsde一项功能,当微软更新网站发布更新补丁后,它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新操作系统,修复系统漏洞,保护计算机安全。
微软自WindowsXP Sp3后开始推出安全中心(Windows Security Center),它负责检查计算机安全状态,包括防火墙、病毒防护软件、自动更新三个安全要素,恰好构成了系统安全最重要de三个部分。如果系统中没有启用防火墙和自动更新,或者没有安装防病毒软件,默认情况下系统会在托盘区出现Windows安全警报de盾形图标,提示系统当前所处de安全状态,双击后可以进入安全中心了解系统提供de安全建议。事实上,早在Windows XP时代,自动更新就作为系统de默认服务处于启用状态,可惜很多用户出于节省系统资源de考虑而将其手工禁用,这样做de最大后果就是无法及时获取系统更新(包括关键更新和安全更新),这也是众多用户没有能抵御冲击波、震荡波病毒de原因所在。Windows XP SP3进一步强化了自动更新功能,在安装Windows XP SP3结束后de首次启动中,系统将要求用户配置自动更新,如果使用了自动(推荐)设置,那么只要计算机在线,自动更新将在凌晨3点自动查找所有重要更新,包括安全更新、关键更新、Service Pack并自动安装;而且如果用户关闭了自动更新,安全中心将不断地显示相应de警报。不过,通常情况下,自动更新只传送最新de重要更新,因此我们仍然应该定期访问VVindows Update网站安装更新。
这里介绍Windows操作系统中de两种更新方式,一种是用户参与de在线更新,一种是系统de自动更新。
1.在线更新用户参与de在线更新de操作步骤如下。
2.运行自动更新程序。在DOS下输入%SystemRoot%system32wupdmgr.exe命令打开Windows在线补丁程序更新管理页面,在该页面中用户可以检查系统中需要更新de补丁程序,如
3.使用Windows自动更新
Windows在线更新自从XP开始,只有正版操作系统才能更新;而Windows自动更新,则没有这个限制。使用Windows自动更新必须满足打开自动更新设置和启动自动更新服务Automatic Updates两个条件,操作步骤如下。
打开自动更新设置。单击开始-设置-控制面板,在控制面板中打开自动更新,如图8-13所示:在自动更新中选择自动(推荐),或者除关闭自动更新外de其他选项均可。
查看并启动Automatic Updates服务。在控制面板中单击管理工具-服务,打开服务控制台,在其中双击Automatic Updates,在Automatic Updatesde属性窗口中,确保并设置其服务状态为已启动以及服务类型为自启动,如图8-14所示。
7.使用Windows更新下载器更新补丁程序案例
漏洞一直是入侵者de最爱,而补丁却是入侵者de克星;微软对于正版软件de执著和技术方面de调整,使得补丁程序de升级变得越来越困难,特别是使用微软非正版de操作系统,而从其他站点下载补丁程序,不但比较麻烦,而且还要担心下载de补丁程序是否被捆绑了木马等程序。WindowsUpdates Downloader 2.24 Build 875de出现完全解决了以上de问题。Windows Updates Downloader2.24 Build 875是jcarle公司开发de一款免费软件,能以最快de方法下载全部最新deWindows及其相关安全更新,所有安全更新链接均来自Microsoft.com。Windows Updates Downloader提供微钦操作系统以及相关应用程序de补丁程序下载,用户使用该工具可以有选择地安装补丁程序。介绍如何使用步骤一、安装Windows补丁更新器。Windows Updates Downloaderde运行环境是.NET 2.0Framework,如果没有安装.NET 2.0 Framework,后安装Windows Updates Downloader非常简单,根据其提示进行操作,即可以完成其安装。
步骤二、下载补丁文件列表。第一次使用时,如果没有补丁文件列表,则在Windows UpdatesDownloader中无法下载补丁程序,补丁文件列表可以到该软件下载地址:(http://downl.tech.sina.com.cn/ download/down_page/115842240~29443.shtml)下载。下载文件到本地以后,双击该列表文件,如图8-15所示,即可导入到Windows Updates Downloader中,然后运行Windows UpdatesDownloader即可进行补丁程序de下载。、8.Rootkit安全检查工具
Rootkit出现于20世纪90年代初,在1994年2月de一篇安全咨询(CERT- CC-CA-1994-01)报告中首先使用了Rootkit这个名词,该报告de题目是Ongoing Network Monitoring Attacks,最新de修订时间是1997年9月19日。从出现至今,Rootkitde技术发展非常迅速,应用越来越广泛,检测难度也越来越大。/
Rootkit是攻击者用来隐藏自己de踪迹和保留root访问权限de工具,很难被察觉。换句话说,这种程序可能一直存在于计算机中,但用户却浑然不知。黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息或等待时机、伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员de不法行为,它不仅能搜集证据,还有利于及时采取行动!
Rootkit技术最早运用在UINX操作系统中,后来逐渐运用到Windows操作系统中,有时也笼统地将利用Rootkit技术而编写de木马程序称之为Rootkit。在安全检查中除了对端口和进程检查外,还需要对系统中是否存在Rootkit进行检查,在本小结中介绍了一些Rootkit安全检测工
9.使用冰刀进行安全检查案例
他de英文名称为IceSword,也称为冰刃或者简称IS,是由PJF出品de一款系统诊断、清除利其个人blog (http://www.blogcn.com/user17/pjf/index.html)上有关于该产品de一些说明,软件下载:http://mail.ustc.edu.cn/~jfpan/download/lceSword122cn.zip。它适用于NVindows 2000/XP/2003操作系统,其内部功能十分强大,可用于探查系统中de木马后门,并进行相应de处理。IceSword使用了大量新颖de内核技术,使得这些后门躲无所躲,是一款检查后门de好工具。IceSword目前只为使用32位dex86兼容CPUde系统设计,另外运行IceSword时还需要管理员权限。它de主要功能如下。
10.使用AVGAnti-Rootkit进行安全检查案例
通过本案例可以学习到使用AVG Anti-Rootkit检查系统中Rootkitde方法。AVG Anti-Rootkit软件是avg公司出品de一款免费Rootkit检测工具,检查系统中Rootkitde步骤如下。
11.启动加载、端口连接和进程检查工具
不管木马(后门)程序有多么厉害,它都需要一个加载选项,这是因为它可能是直接以程序文件de形式运行、插入到其他进程中运行、以服务de形式加载以及以ActiveX控件等形式加载。除此之外,它还必须要访问网络,也就是说肯定有连接。从安全检查de角度,一般是针对运行de进程、启动加载以及端口连接进行安全检查,如果在这三个方面发现有可疑或者明确有问题de程序,则运行或者加载de程序极有可能为木马程序,在安全检查中宁可错杀一万,也不可放过万一。在本节中主要介绍使用Autoruns、Currports、Process Explorer等工具来对启动选项、端口以及进程进行检查,最后介绍两种原始态de安全检查,就是对防火墙de连接情况以及原始数据抓包检查。
12.使用Autoruns进行安全检查案例
Autoruns是由著名公司sysinternals出品de一款小软件,它de主要功能是列出系统自启动de项目,通过它查看木马加载在启动、ActiveX、Explorer、Logon以及Services等中de木马程序,对于一般de木马程序可以通过它来删除自动加载。Autoruns还可以检查所有已经注册成为驱动de项以及所有de驱动程序(。.sys)de文件数字签名。所有假冒de或者没有通过代码签名de项都会在这里列出来,也就可以很容易地判断这个驱动是不是有问题了。本案例以autoruns8.6来进行系统安全检查,具体步骤如下。
13.使用CurrPorts进行端口安全检查案例
CurrPorts是一个免费GUI模式下de网络连接检测工具,它可以列出所有TCP/IP和UDP连,列出打开端口de应用程序等信息,还可以直接终止程序。该软件往往跟Process Explorer等工具配合进行安全检测,即时中止木马程序网络连接,具体de检查步骤如下。
14.使用fport与mport进行端口安全检查案例
Fport是FoundStone出品de一个用来列出系统中所有打开deTCP/IP和UDP端口,以及它们对应de应用程序de完整路径、PID标识、进程名称等信息de软件。其早期版本不支持Windows Xp操作系统,最新版本为2.0。mport.exe跟fport.exe实现de功能差不多,运行fport需要管理员权限,而mport可以在Windows NT、Windows 2000、Windows XP以及Windows 2003等操作系统中运行,mport可以无其他参数。Fport可以带参数,命令格式为fport/参数,其参数含义如下。
15.使用Process Expforer对韩国某服务器进行安全清理de案例
Process Explorer是sysinternals.com公司de作品,目前为微软提供技术支持,号称最好de进程监视工具,完全免费!它不仅可以监视、暂停、终止进程,还可以查看进程调用deDLL文件,遇到不熟悉de进程还可以直接通过Google或百度等进行搜索;除此之外,它还可以查看CPU及内存使用情况,对系统运行de进程进行调试等。Process Explorer与Process Viewer. Norton processViewer、国产deIceSword、Windows进程管理器堪称进程监视五大至尊,是预防病毒、查杀木马de好帮手。关于Process Explorerde介绍以及软件下载de地址为http://technet.microsoft.com/zh-cnJsysintemals/ ob896653(en-us).aspx 。
在网络攻防过程中,一般使用Process Explorer来清理木马程序,加固系统安全;除此之外,还可以使用Process Explorer来删除正在使用de或者无法删除de文件。本案例主要介绍如何利用Process Explorer来删除木马进程,加固系统,具体步骤如下。
16.对硬件防火墙网络连接情况进行安全检查案例
防火墙作为一道安全防御线在网络攻防过程非常重要,网络上所有de连接都要经过它来实现,所以不管什么样de木马程序在防火墙面前都会显得无能为力。防火墙一般分为硬件和软件两个部分,软件主要对硬件进行物理和网络设置等操作,硬件是软件运行de平台,该软件一般称为防火墙OS。一般来说,对应硬件防火墙都会有一套管理软件,用它来对防火墙进行管理。本案例就是利用防火墙de管理软件来对网络连接情况进行安全检查,操作步骤如下。
17.U盘病毒安全检查
U盘病毒主要利用Autorun.inf文件,该文件跟木马病毒文件往往在一起,当用户插入U盘时,统会自动播放U盘中de内容,用户在打开U盘时,病毒就会执行。U盘病毒具有交叉感染de特,即感染了U盘病毒de计算机,在插入干净deU盘以后,U盘病毒又会感染U盘:当被感染U病毒deU盘插入到未感染de计算机中时,U盘中de病毒会感染计算机;所以U盘病毒传染性非强,而且极难彻底根除。由于U盘在日常工作和生活中de广泛使用,因此目前新出来de病毒都具有优盘传播这一功能。
18.利用杀毒以及防火墙软件进行系统安全检查
不管是安全专业人士还是非专业人士对系统进行安全检查较常采天用de方式就是使用杀毒软件查杀病毒,通过防火墙软件网络连接、程序访问等来判断系统是否存在木马程序。本节就使用杀毒软件以及防火墙方面de一些实际经验和技巧方法进行介绍和讲解,掌握了这些方法可以大大降低被攻击或者感染木马de几率。
上一条:超级电脑防火墙让你超级安全
下一条:实用的网络故障排查方法