1到任务管理器的进程中结束相关进程,然后就可删除
2进入安全模式删除
3用WINRAR软件压缩,同时选中选项"压缩完后删除原文件"
4用软件删除,如“冰刃”(很方便、好用,但存在一定风险,使用前好好学学吧)
2008年10月18日星期六
2008年10月16日星期四
PDF解密软件&&&PDF转word软件,总有一款你会用到!
1、当你面对英文版PDF格式的培训教材时,是否正在为金山词霸取不了词而烦恼呢?
那么请用PDF转word软件吧,在word文档中鼠标取词就能用了
2、如果该PDF为加密文件,请先用PDF解密软件解密
有需要的联系我,发给你!
那么请用PDF转word软件吧,在word文档中鼠标取词就能用了
2、如果该PDF为加密文件,请先用PDF解密软件解密
有需要的联系我,发给你!
三招手动清除机器狗病毒
三招手动清除机器狗病毒
【简 介】
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1 注册表,组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
【简 介】
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1 注册表,组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
IE浏览器首页不让修改的小技巧
IE浏览器首页不让修改的小技巧
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
Flash曝严重安全漏洞 黑客可强启网民摄像头
Flash曝严重安全漏洞 黑客可强启网民摄像头
中华网科技讯 10月13日消息,360安全中心昨日发出网络安全警报称,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,黑客可强制启动并完全控制受害网民的摄像头和麦克风,从而对网民个人隐私形成极大的威胁。 据360安全专家介绍,黑客可以利用“Flash强制启动视频”漏洞,设计一个恶意网页。当网民不慎访问该网页时,就会触发这一漏洞。黑客可以在受害者毫不知情的情况下,强制启动并完全控制其摄像头和麦克风,大肆偷窥他人的个人隐私。黑客甚至还可能将通过受害者摄像头和麦克风捕捉到的视、音频资料制作成视频作品在网上进行传播。
据悉,由于Adobe Flash Player软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。但截至目前,Adobe官方尚未对此漏洞推出任何安全补丁。
中华网科技讯 10月13日消息,360安全中心昨日发出网络安全警报称,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,黑客可强制启动并完全控制受害网民的摄像头和麦克风,从而对网民个人隐私形成极大的威胁。 据360安全专家介绍,黑客可以利用“Flash强制启动视频”漏洞,设计一个恶意网页。当网民不慎访问该网页时,就会触发这一漏洞。黑客可以在受害者毫不知情的情况下,强制启动并完全控制其摄像头和麦克风,大肆偷窥他人的个人隐私。黑客甚至还可能将通过受害者摄像头和麦克风捕捉到的视、音频资料制作成视频作品在网上进行传播。
据悉,由于Adobe Flash Player软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。但截至目前,Adobe官方尚未对此漏洞推出任何安全补丁。
假冒YouTube网站现身 传播恶意程序
据国外媒体报道,一个网上传播的程序帮助黑客建立假冒网页传播其恶意程序,而且现在已经出现了假冒的YouTube。 如果用户按照电子邮件的指引来到假冒网站,首先会出现一个错误信息,说需要安装软件才能播放视频,错误信息中包含一个指向恶意程序的链接。 更为狡猾的是,一旦计算机被感染,黑客就能悄悄地将用户引导到正确的YouTube页面观看视频,从而隐蔽犯罪过程。趋势科技安全软件研究经理Jamz Yaneza表示:“这非常精确,很少见,如果我喜欢成天去YouTube看视频,很可能会点击这个链接。” 这一花招并不新鲜。罪犯在不断提高假冒网站的可信度,以便让网民上钩,下载恶意软件,但是这一事件表明罪犯不仅建立了更好的网站,而且采用了“社会工程”方法愚弄网民。幸运的是,警惕的网民还是能够发现蛛丝马迹,例如,浏览器网址不是YouTube的真正网址,要去恶意页面就要点击电子邮件中的链接,用户可以判断其真伪。
DNS漏洞 迫使互联网核心协议升级
DNS(Domain Name System,域名解析系统)的一些漏洞细节在Black Hat 2008大会发布之前已经泄露,让本身就不够安全的互联网更增添了恐慌和猜测。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS。
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655。”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏洞),发送大量查询到DNS检验服务器,然后对查询进行分析。据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁。不过,还是有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本,还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的。但是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的DNS服务,访问互联网,同样存在遭受DNS攻击的可能。
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞。
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable="YES",执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌面系统的攻击行为,从而大大提高黑客的攻击成本。但缺点是,这样做意味着无法有效利用上游DNS的缓存。
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本。
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制。唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了。遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS。
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655。”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏洞),发送大量查询到DNS检验服务器,然后对查询进行分析。据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁。不过,还是有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本,还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的。但是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的DNS服务,访问互联网,同样存在遭受DNS攻击的可能。
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞。
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable="YES",执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌面系统的攻击行为,从而大大提高黑客的攻击成本。但缺点是,这样做意味着无法有效利用上游DNS的缓存。
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本。
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制。唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了。遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC。
2008年10月15日星期三
One&Co无线蓝牙耳机 为潮人打造的时尚靓机
HeadPlay个人随身影院系统
HeadPlay个人随身影院系统终于来了,距离其发片的时间足有一年多。它将头戴式显示系统所带来的封闭式、大画面视觉感受与现在可随处拈来的多媒体影音资源非常理想地结合起来。其视频输出端的液晶显示屏可以提供等同于52英寸大屏的视觉效果,且120Hz的刷新频率也可充分保护眼睛。而HeadPlay真正吸引人的还是那个作为其大脑的盒子,这个盒子上内置有读卡器,可以直接读取存储卡上的多媒体文件进行回放,其高达7MB/s的读取速度完全可以满足D9质量视频的码率;它还可通过多种内置接口接收其他播放器送出的视频源,在电视、游戏等方面的应用非常可观。
我们用头戴式眼镜玩过《生化危机》,那种感觉真叫刺激。现在HeadPlay的视野更大了,临场感当然也是水涨船高。
我们用头戴式眼镜玩过《生化危机》,那种感觉真叫刺激。现在HeadPlay的视野更大了,临场感当然也是水涨船高。
驱动人生
全方位安装、升级、备份、还原等简易操作一体化全范围检测识别所有计算机硬件全自动匹配最合适官方驱动全面兼容Windows系统平台,完全兼容最新Vista操作系统软件功能:驱动人生是一款免费的驱动管理软件,实现智能检测硬件并自动查找安装驱动,为用户提供最新驱动更新,本机驱动备份、还原和卸载等功能。软件界面清晰,操作简单,设置人性化等优点,大大方便广大机友管理自己的电脑的驱动程序。驱动人生支持所有品牌(如Intel、nVidia/3DFX、AMD/ATI、VIA/S3、Realtek、C-Media、Marvell、ADI、IBM、Creative、Broadcom、Conexant、 SigmaTel、Matrox等)的主板、显卡、声卡、网卡、调制解调器、摄像头、无线、打印机、扫描仪、读卡器、阵列卡、蓝牙、手写板、读写器、USB、1394、Bluetooth、Display、Image、MEDIA、Modem、Net、PCMCIA、SCSIAdapter、 SmartCardReader、System、MODEM、串口、并口等设备的识别与驱动。
会查看进程信息 让病毒木马无处藏身
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。病毒进程隐藏三法当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。系统进程解惑上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。svchost.exe常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。explorer.exe常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。iexplore.exe常被病毒冒充的进程名有:IExplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。rundll32.exe常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。spoolsv.exe常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程肯定会露出马脚。
1.以假乱真系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。系统进程解惑上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。svchost.exe常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。explorer.exe常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。iexplore.exe常被病毒冒充的进程名有:IExplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。rundll32.exe常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。spoolsv.exe常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程肯定会露出马脚。
隐藏私密文件的四个方法
初级方法:
修改文件目录的属性。此法最简单,只要选中欲隐藏的目录,单击鼠标右键,选择“属性”,在“隐藏”属性复选框中打个“√”即可。这样,该目录就具有了隐藏属性。此法虽然最简单,但安全性最差,只要在“资源管理器”中,选择“查看”菜中的“文件夹选项”,再将其“查看”中的“隐藏文件”部分选为“显示所有文件”就可以将隐藏目录显示出来。
中级方法:
通过软件加密隐藏。Windows 下加密隐藏软件不少,如:Magic Folders、Encrypted Magic Folders(简称EMF)等,都可以用来隐藏甚至加密目录。下面就简单简介绍一下 EMF的使用方法。首先安装EMF,在安装过程中生成一张密码盘,操作时插入该盘,EMF检测盘上的密码,并进入相应的账号,然后运行Magic.exe程序会要你输入密码,这个密码就是以后进入EMF的密码。若想再次显示目录也必须输入这个密码。
高级方法:
通过硬盘分区隐藏。将要加密的数据存放在专门分出的一个硬盘分区里,然后利用PQmagic等分区工具将此分区设置为隐藏分区。具体方法是:先以DOS方式启动,然后运行PQmagic,选定欲隐藏的分区,选择Operations菜单中Advanced下的Hidepartition,退出,再重新启动即可。若想再恢复时,再用同样的方法进入 PQmagic,去掉隐藏分区即可。此方法具有很强的隐蔽性,但也有一定的危险,有可能对硬盘造成一定的破坏,故在使用此方法时应慎重。
另类方法:
将要隐藏的文件移动到某一临时文件夹下,再用WinZip或WinRAR带密码将它压缩成一个文件,此时在“资源管理器”中一看就知道是用WinZip或WinRAR压缩的,有些人自然会用相应的解密器去解密。而我们将它的扩展名由 ZIP或RAR改为一个不存在的文件扩展名,如SYJ,以后双击它就不会启动WinZip或WinRAR并打开它了。不过,你可得记好它的真正扩展名哟,要使用时再将扩展名改过来即可。
修改文件目录的属性。此法最简单,只要选中欲隐藏的目录,单击鼠标右键,选择“属性”,在“隐藏”属性复选框中打个“√”即可。这样,该目录就具有了隐藏属性。此法虽然最简单,但安全性最差,只要在“资源管理器”中,选择“查看”菜中的“文件夹选项”,再将其“查看”中的“隐藏文件”部分选为“显示所有文件”就可以将隐藏目录显示出来。
中级方法:
通过软件加密隐藏。Windows 下加密隐藏软件不少,如:Magic Folders、Encrypted Magic Folders(简称EMF)等,都可以用来隐藏甚至加密目录。下面就简单简介绍一下 EMF的使用方法。首先安装EMF,在安装过程中生成一张密码盘,操作时插入该盘,EMF检测盘上的密码,并进入相应的账号,然后运行Magic.exe程序会要你输入密码,这个密码就是以后进入EMF的密码。若想再次显示目录也必须输入这个密码。
高级方法:
通过硬盘分区隐藏。将要加密的数据存放在专门分出的一个硬盘分区里,然后利用PQmagic等分区工具将此分区设置为隐藏分区。具体方法是:先以DOS方式启动,然后运行PQmagic,选定欲隐藏的分区,选择Operations菜单中Advanced下的Hidepartition,退出,再重新启动即可。若想再恢复时,再用同样的方法进入 PQmagic,去掉隐藏分区即可。此方法具有很强的隐蔽性,但也有一定的危险,有可能对硬盘造成一定的破坏,故在使用此方法时应慎重。
另类方法:
将要隐藏的文件移动到某一临时文件夹下,再用WinZip或WinRAR带密码将它压缩成一个文件,此时在“资源管理器”中一看就知道是用WinZip或WinRAR压缩的,有些人自然会用相应的解密器去解密。而我们将它的扩展名由 ZIP或RAR改为一个不存在的文件扩展名,如SYJ,以后双击它就不会启动WinZip或WinRAR并打开它了。不过,你可得记好它的真正扩展名哟,要使用时再将扩展名改过来即可。
如何拒绝木马病毒读取你的硬盘
很多时候当一台计算机中毒以后,我们的远控软件就会查看到你硬盘的重要数据,从而将之盗取。我们怎么防止这种情况出现呢?其实您可以把硬盘加密码。但是如果入侵者用远控软件访问就不需要输入密码,直接就能访问到你的硬盘。今天为大家讲解如何将自己的硬盘隐藏起来,让别人不能访问你的硬盘。我们以一个Windows XP用户为例进行说明,假如我的重要文件在E盘。
方法一:进入HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中。在右窗口中新建一个二进值的键值名为“NoDrives”,磁盘驱动器所一一对应的键值如下:A驱为“01000000”;B驱为“02000000”;C驱为“04000000”;D驱为“08000000”;E驱为“10000000”;F驱为“20000000”。依此类推!
方法二:开始→“运行”里输 gpedit.msc 并点确定→用户配置→管理摸板→Windows组件→WINDOWS资源管理器→阻止打开硬盘。
方法三:我的电脑-管理-磁盘管理-更改驱动器路径-删除-确定。前边两者可以防止别人在电脑控制台上看到你硬盘里的文件,后者呢可以防止远控软件的盗窃。
个人推荐使用第三者,这样释放驱动器和隐藏驱动器的时候也很方便。
方法一:进入HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中。在右窗口中新建一个二进值的键值名为“NoDrives”,磁盘驱动器所一一对应的键值如下:A驱为“01000000”;B驱为“02000000”;C驱为“04000000”;D驱为“08000000”;E驱为“10000000”;F驱为“20000000”。依此类推!
方法二:开始→“运行”里输 gpedit.msc 并点确定→用户配置→管理摸板→Windows组件→WINDOWS资源管理器→阻止打开硬盘。
方法三:我的电脑-管理-磁盘管理-更改驱动器路径-删除-确定。前边两者可以防止别人在电脑控制台上看到你硬盘里的文件,后者呢可以防止远控软件的盗窃。
个人推荐使用第三者,这样释放驱动器和隐藏驱动器的时候也很方便。
订阅:
博文 (Atom)