第一篇:Windows系统安全分析-病毒篇
病毒是如何进入我们的系统的?
有一点可以肯定计算机病毒不会在自己的硬盘里“生”出来。它一定是从其它储存介质复制到我们的硬盘,通常有许多途径都可以让病毒有被复制在我们硬盘的可能性。下载就是其中被病毒传播者用得比较多的一种途径。我们在下载时,不管是电影、压缩包、游戏、文档、或是邮件都有可能被置放病毒。因而下载回来一定要记住:先扫描后使用。
由于闪盘价格的大幅度下降,拥有U盘等闪盘的用户越来越多。闪盘被病毒盯上,这种传播方式需要在U盘根目录下新建一个名为autorun.inf的文件和复制病毒本身。事前在根目录下新建名为autorun.inf的文件夹能防止这种方式的传播此外
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下,在右窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行各类盘的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移动驱动器。也就是说可以利用这个键来防止各类盘的自动播放,预防中毒。[1]
光盘有时也有可能会被病毒感染,成为病毒传播的途径之一。另外系统本身存在的漏洞也是病毒利用的途径之一。
因而预防病毒要做到,外来的文件要先经过扫描后才使用,系统的漏洞要及时补上。
病毒是如何激活运行的?
计算机病毒是一个程序,一段可执行码,一个可执行文件。如何它不运行它就不会对系统造成威胁。最多只是占着硬盘空间。但是一旦激运行了病毒程序,它会对系统造成怎么样的损害依病毒的破坏性强弱和计算机系统本身的自我保护能力而定。因而不给病毒运行的机会,就是病毒存在于硬盘中也不会对系统造成严重破坏。那如何防止病毒的激活呢?一般情况下,病毒会有好几种启动方式。病毒用的比较多的是注册表和系统服务。注册表环境复杂,大多数计算机用户对其望而生畏。病毒很喜欢将其启动的资料放在这里面。而系统服务会在系统启动的过程中被自动启动,因而病毒也很喜欢躲在这里面混水摸鱼。[2]
除了这两种启动方式外,还有捆绑文件,各类盘的自动播放,文件关联,程序映射等方法也能让病毒有被激活运行的可能性。
保证计算机病毒不被激活是计算机病毒预防工作的重点之一。所以对注册表用启动程序的关键键值要加以注意。定时查看系统服务是不是正常。利用一些小工具查看文件关联是否正常,有没有程序已经被映射了。对外来文件要先经过扫描后先可以使用。
除了以上方法外,给系统装上一个合适的杀病软件和防火墙也是非常必要的。它们对已经出名的病毒的查杀能力是很强的。这样可以帮计算机管理员省去不少工作。
如果病毒已经激活了。及时发现病毒的存在能保证系统受到的破坏最小。那病毒有哪些症状呢?
从目前发现的病毒来看,主要症状有:
(1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。
(2)由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增。
(3)由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
(4)由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。
(5)由于病毒程序的异常活动,造成异常的磁盘访问。
(6)由于病毒程序附加或占用引导部分,使系统导引变慢。
(7)丢失数据和程序。
(8)中断向量发生变化。
(9)打印出现问题。
(10)死机现象增多。
(11)生成不可见的表格文件或特定文件。
(12)系统出现异常动作,例如:突然死机,又在无任何外界介入下,自行起动。
(13)出现一些无意义的画面问候语等显示。
(14)程序运行出现异常现象或不合理的结果。
(15)磁盘的卷标名发生变化。
(16)系统不认识磁盘或硬盘不能引导系统等。
(17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。
(18)在使用写保护的软盘时屏幕上出现软盘写保护的提示。
(19)异常要求用户输入口令
当出现这些情况时请及时检查系统。或许病毒正运行在系统上,破坏着系统!
鬼片网 http:// 整理
第二篇:Windows系统安全技巧
Window系统安全技巧
系统光盘个人比较喜欢使用雨林木风安装版或者GHOST版,纯净无插件,破解和优化得都比较好。使用电脑公司装机版也可以,番茄花园以前做得不错,现在的版本插件比较多,且界面不是很喜欢。
(1)系统安装完后,做个纯净版的ghost备份,可以使用MaxDos或者矮人DOS工具箱。以备以后系统出问题可以快速恢复到纯净系统,节省安装系统时间,(使用安装版安装系统需要时间大约45分钟,恢复系统时间只需10分钟左右)。
(2)在连接网络之前先安装杀毒软件,连接网络后将杀毒软件更新到最新。个人比较喜欢NOD32(占用系统资源小,杀毒速度快,防护能力强)或者卡巴斯基(主动 防御很强,杀毒能力强,但是杀毒速度很慢,占用系统资源较大);感觉江民还可以,尤其不喜欢瑞星和金山,并非不支持国产,瑞星我觉得除了界面还可以之外,其他的优点没有什么感觉,金山感觉能力平平。
(3)打上最新的系统补丁,建议用手动安装版,安装速度快。将IE升级到IE7.0。将系统更新方式更改为“手动”,防止安装windows正版验证程序。
(4)安装好常用的软件。个人比较喜欢雨林木风下载,无插件,破解比较完美。建议使用魔法兔子或者优化大师,方便以后对系统进行维护。
(5)修改注册表启动项(run、runonce等),删除不必要的随系统启动的程序,以节省系统开机时间、系统资源、系统关机时间。并关闭run项的设置权限,可以使大部分木马程序失去作用。(必做)
(6)删除不必要的服务。以节省系统资源及开机时间。(必做)
(7)设置系统组策略。如无局域网可以关闭网络访问;关闭自动播放功能。(必做)
(8)屏蔽TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口。减少给黑客入侵的机会。(推荐)
(9)最后做个ghost备份镜像,用于以后万一系统出问题时恢复系统,可以免去安装软件,设置系统麻烦,所需时间大约是10分钟。
第三篇:Windows操作系统安全(一)
一、实验项目名称
Windows操作系统安全
(一)二、实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用,建立一个Windows操作系统的基本安全框架。根据Windows操作系统的各项安全性实验要求,详细观察并记录设置前后系统的变化,给出分析报告。
三、实验内容与实验步骤
(1).账户与密码的安全设置
(2).启用安全策略与安全模板
(3).用加密软件EFS加密硬盘数据
(4).NTFS文件系统的权限设置和管理
四、实验环境
1台安装Windows2000/XP操作系统的计算机,磁盘格式配置为NTFS,预装MBSA(Microsoft Baseline Security Analyzer)工具。
五、实验过程与分析
任务一账户和密码的安全设置
1.删除不再使用的账户,禁用guest账户
⑴ 检查和删除不必要的账户,用户列表如下
⑵ 禁用guest账户
1)操作前用guest用户登录,可以登录,表示guest用户可以用。在其他用户登录下禁止guest用户的使用。
2)之后再次注销,试图登陆guest,发现无法登陆,证明被禁止了。
2.启用账户策略
⑴ 设置密码策略
1)对密码策略设置如图
2)对长度最小值的改变进行测试:设置只有一个字符的密码,不成功就代表了长度最小值策略设置成功。
⑵ 设置账户锁定策略
1)对账户锁定策略设置如图
2)对账户锁定阀值进行测试:
连续输入三次错误密码,账户被关闭。证明账户锁定阀值为3。
2)对账户锁定时间进行测试
两分钟之后账户又重新开放,所以账户锁定时间可以为2。
3.开机时设置为“不自动显示上次登陆账户”
设置后注销重新登录,发现账户不显示。
4.禁止枚举账户名
任务二 启用安全策略与安全模块
1.启用安全模板
(1)打开系统控制台,为控制台添加安全膜拜和安全配置分析项,并且查看模板配置信息
(2)建立安全数据库,选择一个安全模板将其导入。
(3)按照模板,选择“立即分析计算机”。分析结果如下。
(4)记录当前安全配置,以密码策略为例。
(5)选择“立即配置计算机”,对计算机配置。之后再对计算机分析,可以看到计算机设置发生了改变,密码长度最小值,密码最长保存期两个不符合模板的项按照模板进行了配置。
2.建安全模板
(1)打开控制台,添加“安全模板”、“安全设置和分析”,查看其相关配置。建立安全数据库,导入安全模板。
(2)新加自设模板mytem,并且定义安全策略。如图是对密码长度最小值设置。
任务三 利用加密软件EFS加密硬盘数据
(1)建立名为MYUSER的新用户。
(2)打开硬盘格式为NTFS的磁盘,选择要进行加密的文件夹在属性窗口对其设置将其
加密。
(3)加密完成后,保存当前用户下的文件注销当前用户,以刚才新建的MYUSER用户登
陆系统,再次访问加密文件夹,发现其拒绝访问。
(4)以原来加密文件夹的管理员用户登陆系统,打开系统控制台添加证书,为当前的加密文件系统EFS设置证书。在控制台窗口左侧的目录树中选择“证书”“个人“证书”。可以看到用于加密文件系统的证书显示在右侧的窗口中。双击此证
书,单击详细信息,则可以看到此证书包含的详细信息。
(5)选中用于EFS的证书,导出证书,并设置保护私钥的密码,然后将导出的证书文件
保存。
(6)以新建的MYUSER登陆系统导入该证书。
(7)再次双击加密文件击中的文件,发现可以进行访问。
任务四NTFS文件系统的权限设置和管理
1.为学生创建一个私有的用户文件夹:在NTFS磁盘分区上为用户stu01建立一个用户文
件夹StuData01,用户文件夹只允许用户本人完全控制,用户tutor读取访问,其他人拒绝访问。用其他用户访问,无法访问。
2.创建一个学生组公用文件夹
为学生组Students在windows 2000服务器的NTFS磁盘分区上建立一个公用文件夹,该文件夹允许students成员读取及运行,tutor完全控制,Administrator只有列出文件夹,创建文件夹,删除文件夹和文件的权限。并且此文件夹对Administrator的NTFS权限设置不传播到子文件夹。
3.文件夹共享
(1)创建一个文件夹share共享它。
(2)为这个文件夹分配共享权限,安全权限
(3)从网络上访问这个文件夹。尝试用不同账号访问权限
假设:share共享权限是everyone完全控制,完全权限是everyone只读,那么用户从网络上的访问权限是什么?
回答:只读权限
假设:share共享权限是everyone只读,完全权限是everyone完全控制,那么用户从网络上的访问权限是什么?
回答:只读权限
六、实验结果总结
1.如何检查系统是否允许guest账户登陆?
回答:打开控制面板中的管理工具,选择计算机管理中本地用户和组,打开用户,若
guest用户前有叉号,则已经被禁用。
2.如果一个用户(非管理员)创建一个文件夹,内有文件,他设置安全权限,禁止除他以外的用户访问,请问管理员有权限访问吗?可以的话,如何操作?
回答:有的,管理员可以更改文件的所有者,可以把所有者改成自己,就可以访问了。总结:本实验内容包括对于windows账户密码的安全进行设置,启用了安全策略和安全模板,用加密软件EFS加密硬盘数据,设置和管理NTFS文件系统四个方面。通过以上的手段,建立了windows操作系统的基本安全框架。
第四篇:MS08-067病毒分析
MS08-067病毒剖析
【染毒现象】
感染上Worm.Win32.MS08-067.c病毒的机器,其典型的染毒特征是:
1.不断的向外发送垃圾数据包,并以此手段对全网进行传播。
2.在本机的“任务计划”中添加大量以“AT”开头的任务计划,并且启动的时候大都是整
点,如11:00、13:00等。
3.如是域环境,并且设置了域账户登录策略(登录密码输入错误几次之后锁定账户),会
造成域账户经常被锁,因为该病毒会不断的猜测域账户密码。
4.造成无法正常访问瑞星官网和微软官方网站,以及其它部分安全网站。停止或是重启
“DNS Client”服务之后,可以打开上述网站,但重启电脑后又无法打开。
【传播方式】
Worm.Win32.MS08-067.c是一个利用微软系统MS08-067漏洞为主要传播手段的的蠕虫病毒。
另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,如局域网中存在可读写的共享,也会造成该病毒通过局域网共享进行传播。
【病毒分析】
首先病毒会判断系统版本是否是 Win2000或WinXP 以上系统,如果是病毒才继续执行,并且为病毒进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到“svchost.exe-k netsvcs” 或者explorer.exe 进程,然后将自己的代码加载到这两个进程中的其中一个进程上,最后修改注册表,让系统不显示隐藏文件,从而使病毒可以被系统加载。
该病毒会在%windir%system32目录下释放一个动态库文件,名字随机生成,如XXXXXXX.DLL ;并且会以独占内存的方式存在,需要多次重启才能删除。
针对services.exe、“svchost.exe-k netsvcs”、“svchost.exe-k NetworkService”、进程进行DNS查询以及TCP传输过程拦截,针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站。
停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动,避免系统更新以及系统安全检查程序。
枚举网络计算机的用户名和自带的密码表,利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,枚举驱动器 创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://、http://等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者更新。
【处理办法】
一、使用专杀处理方式:(推荐)
①首先将瑞星软件升级到最新版本并使用抓包工具确定病毒发包源,染毒机器一般都会通过139、445端口发送大量数据包,特别是在整点时段。
② 确定发包源后,将发包机器断网,进入安全模式之后清空多余的“任务计划”并使用专杀工具查杀,无论是否查出病毒都需重启,进入正常模式后将系统补丁全部打上,尤其是MS08-067补丁,该漏洞在微软上的补丁名称为:KB958644。
③ 确认MS08-067补丁正确打上:打上该补丁之后,在%windir%system32目录下会有一个netapi32.dll文件,并且需要确定该文件的版本是否正确,版本正确才证明正确打上该补丁了,否则需要通过控制面板卸载重装:
windows2000 sp4系统下,此文件的版本应该为:5.0.2195.7203
windows xp sp2/sp3系统下,此文件的版本为:5.1.2600.3462/5694
windows 2003 SP1/SP2系统下,此文件版本为:5.2.3790.3229/4392
windows 2008 vista系统下,此文件版本为:6.0.6000.16764;
6.0.6000.20937;6.0.6001.18157;6.0.6001.22288
④ 使用cmd命令进入命令行模式,使用“net share”命令查看本机共享,至少需要关闭所有读写共享,只读共享可以保留。
⑤ 定期修改系统密码,并需要设置十位以上强密码。尽量不使用域管理员账号在其它非域控机器上登录。
⑥ 最后使用已经升级到最新版的瑞星杀毒软件全盘杀毒,确定本机无病毒之后,再接入网内。
⑦ 所有发包源机器都处理完成之后,再执行全网同时杀毒,确保让病毒无处隐藏。如果有条件的,可以通过防火墙或交换机将135、139和445这三个常见的病毒利用端口屏蔽。
二、手动处理方式:
① 首先通过“文件夹选项”显示出所有隐藏文件,包括受保护的操作系统文件。② 打开%windir%system32目录,将文件按详细信息排列,显示文件属性和创建日期。让文件按照属性排列,查看是否有可疑的DLL文件,并且为隐藏属性,注意创建的时间是否是染毒时间,确认之后在删除的时候提示无法删除。
③ 打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost,双击右侧的netsvcs,查看neisvcs的数值数据,查找其中的可疑项(此操作需要对net svcs的服务熟悉才行,一般可疑项会在wmdmpmsp之后)。
④ 记下此服务名,定位到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscServer,尝试删除此项,提示无法删除,查看此项权限,仅有system,且没有读取权限,可以增加权限,点击“高级”,勾选从父项继承和替换到子对象两个勾,提示都点击是和确定即可。操作后,即可删除wscserver项键值;
⑤ 重启计算机,删除一开始在%windir%system32目录下发现的可疑文件,删除HKEY_LOCAL_MACHINESYSTEMControlSet001和
HKEY_LOCAL_MACHINESYSTEMControlSet002下的wscServer键值(避免恢复到上一次正确的配置后再次恢复此键值)即可。
第五篇:病毒查杀分析报告
东营市医药公司和扣分公司
病毒查杀分析报告
2013本企业计算机网络系统未发生重大病毒感染情况,计算机系统运行正常。
信息科
2014年1月6日