相信大家看一些安全方面的文章经常看到 “溢出”这个词。新华字典上解释是液体充满而流出来。对!溢出就是这个意思。溢出是计算机的一个可以补救的漏洞,全名:缓存区溢出漏洞。在计算机中,有一个叫“缓存区”的地方,它是用来存储用户输入的数据的,缓冲区的长度是被事先设定好的且容量不变,如果用户输入的数据超过了缓冲区的长度,那么就会溢出,而这些溢出的数据就会覆盖在合法的数据上。www.sq120.com推荐文章
这时我们也可以利用漏洞写入恶意数据,这就是常说的溢出。我们也可以通过一个比方来进行理解。很多的病毒也是通过溢出来传播的,例如:“冲击波”、“红色代码”等病毒都是通过缓存区溢出来传播自己的。
案例
每年都有很多溢出的漏洞被黑客所利用,例如今年初的Microsoft Windows图形渲染引擎WMF格式代码漏洞(ms0601),就是一个典型的溢出漏洞,该漏洞被利用的方法也非常之简单,网上有专门的入侵工具如wmfexploit,该程序支持反向连接,更方便了黑客利用漏洞。黑客利用这个漏洞可以采用溢出攻击,以得到最高权限,也可以利用漏洞制作一个网页木马,将受害电脑变成自己的“肉鸡”。
简单的防范方法
溢出漏洞防范起来比其他漏洞困难。因为溢出漏洞各种各样,有1433溢出攻击、IDQ溢出攻击、FreeBSD系统远程溢出攻击等等,甚至连QQ都可以溢出,涉及的系统软件非常多。WwW.itcOMPUTer.cOm.CN
以本文所提到的Microsoft Windows图形渲染引擎WMF格式代码漏洞(ms0601)为例,来看看解决的方法。由于该漏洞查看WMF文件才导致漏洞的触发,在查看WMF文件时会使用Windows Picture。我们点击“开始→运行”,输入“regsvr32 -u %windir%/system32/shimgvw.dll”将Windows Picture反注册就能防范图形渲染引擎WMF格式代码漏洞溢出了。还有一种安全保险的方式,就是去微软官方下载补丁。
防范溢出漏洞,我们需要有针对性的来防范,不同的漏洞有不同的防范方法。首先确保及时为自己的操作系统和应用程序更新安全补丁;其次应减少不必要的开放服务端口,因为你开放的端口越少,黑客想入侵的难度也越大。
什么是后门
说起“后门”,熟悉计算机的用户一定都听说过。早期的电脑黑客,在成功获得远程系统的控制权后,希望能有一种技术使得他们在任意的时间都可以再次进入远程系统,于是后门程序就出现了。www.sq120.com推荐文章
后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就存在安全隐患,容易被黑客当成漏洞进行攻击。传统意义上的后门程序往往只是能够让黑客获得一个SHELL,通过这个SHELL进而进行一些远程控制操作。
后门程序跟我们通常所说的“木马”有联系也有区别。联系在于,都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制;区别在于,木马是一个非常完整的工具集合,而后门则体积较小且功能都很单一,所以木马提供的功能远远超过后门程序。
全球著名黑客米特尼克在15岁的时候,闯入了“北美空中防务指挥系统”的计算机主机内,他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,然后又悄无声息地溜了出来,这就是黑客历史上利用“后门”进行入侵的一次经典之作。
在破解密码的过程中,米特尼克一开始就碰到了极为棘手的问题,毕竟事关整个北美的战略安全,这套系统的密码设置非常复杂,但经过不断的努力,在两个月时间里升级他的跟踪解码程序后,终于找到了北美空中防务指挥部的“后门”。这正是整套系统的薄弱环节,也是软件的设计者留下来以方便自己进入系统的地方。这样,米特尼克就顺顺当当、大摇大摆地进入了这个系统。
简单防御方法
后门的防范相对于木马来说,更加的困难,因为系统本身就包括远程桌面、远程协助这些可以进行远程维护的后门,所以对用户来讲更加的困难。
(一)首先对使用的操作系统以及软件要有充分的了解,确定它们之中是否存在后门。如果存在的话就需要及时关闭,以免这些后门被黑客所利用,比如系统的远程桌面、远程协助等。
(二)关闭系统中不必要的服务,这些服务中有相当一部分对于个人用户来说不但没有作用,而且安全方面也存在很大的隐患,比如Remote Registry、Terminal Services等,这样同样可以防范系统服务被黑客利用。
(三)安装网络防火墙,这样可以有效地对黑客发出的连接命令进行拦截。即使是自己的系统被黑客安装了后门程序,也能阻止黑客的进一步控制操作。
(四)安装最新版本的杀毒软件,并且将病毒库升级到最新的版本。另外再安装一个注册表监控程序,可以随时对注册表的变化进行监控,有效地防范后门的入侵。
病毒加壳是什么意思 在自然界中,我想大家对壳这东西应该都不会陌生的,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的壳。它们一般都是先于程序运行,拿到控制权,然后做保护软件的工作。动植物的壳一般都是在身体外面同样软件的壳也是如此,但后来也出现了所谓的“壳中带籽”的壳。www.sq120.com推荐文章
从“壳”又延伸出“加壳”和“脱壳”两个词汇,“加壳”指的是对编译好的EXE、DLL等文件采用加壳来进行保护;“脱壳”指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。
壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳、密码壳、加密壳三种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,常见的压缩壳包括FSG、ASPack、UPX、北斗等;加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护,具有良好的保护效果,常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等;密码壳平时使用得不多,加密壳的程序只有在正确输入密码后才能运行。
案例
如今黑客使用病毒加壳,主要是对使用的木马等恶意程序进行保护,从而避免它们被杀毒软件所查杀。比如大名鼎鼎的冰河木马,原版本被作者用UPX加壳,可是这种加壳方式已经被杀毒软件列入封杀名单。
所以人们现在要使用冰河的时候,首先需要将原来的UPX壳脱掉,接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作,然后再加壳进行保护,这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作,所以只要对脱壳的服务端程序进行多层加壳即可,不过一般都是先加加密壳,再加压缩壳,顺序不能颠倒。
简单防御方法
有人说过:壳之初,性本善。本来壳的诞生是为了帮助程序作者更好地保护自己编写的程序,但谁知道现在却成为了黑客的帮凶,为此我们更应该做好防范。
(一)通过Windows注册表监视工具对注册表的变化进行及时的监控,比如Regmon等,可以很好的实时监视并显示对整个系统注册表的访问,让用户了解某些恶意程序在系统运行后的状况。
(二)建立良好的安全习惯,不要打开一些来历不明的邮件及网页链接,不要到不确定的网页地址浏览及下载文件等。如果有可能的话,最好是在使用以前对文件的MD5值进行对比,防止黑客恶意对文件进行捆绑。
From:http://www.itcomputer.com.cn/Article/Network/201309/523.html