硬盘保护卡的工作原理
硬盘保护卡是一种硬件芯片,插在主板上与硬盘的MBR一起协同工作,可以保护硬盘数据不被恶意修改和删除,达到向硬盘中写入数据在重新启动计算机后消除数据的目的。
它的工作原理基于一种“BIOS映射地址转移”的特殊技术,说简单点就是通过拦截BIOS原始的Int13h,使所有写入硬盘的操作重新定位到其自身的中断程序,从而实现对写入硬盘的数据起到保护的作用。
解除硬盘保护卡的保护功能
上面我们明白了硬盘保护卡的工作原理,我们只要恢复Int13h原始的BIOS中断量就可以解除破解硬盘保护卡。这需要借助于DOS下的Debug命令,通过它用手工方式找到Int13h的原始中断向量值,填入中断向量表即可。
首先查找Int13h的入口。在纯DOS的命令提示符下键入“Debug”并依次输入如下命令:
-a100
-xor ax,ax
-int 13
-int3
接着输入“t”回车反复重复执行,直到显示地址形如“F000:xxxx”,记下这一地址,按“q”退出Debug状态。wWW.itcomPuTER.CoM.Cn这里假设找到的入口为F000:xxxx,在(0:13H*4)=0:4ch处填入这个地址,例如得到地址为F000:1234,再次运行Debug,输入如下命令:
-e 0:4c 34 12 00F0
-q
这样就把得到的原始入口填入Int13h的中断向量表中了,这时候硬盘保护卡就被解除。需要说明的是,以上解除硬盘保护卡只对本次操作有效,每次重新启动系统都需要执行这样的操作。
如何查杀未知病毒
这几天我上因特网速度突然很慢,同时在操作电脑的时候也发现系统速度很慢,但是我装的杀毒软件对于此病毒没有任何报警。检查计算机发现在系统进程表中有三四个msgfix.exe文件,而有时候甚至多达六七个msgfix.exe文件(见图),CPU占用率经常高达80%以上。www.sq120.com推荐文章
用网络监测软件监测到该病毒计算机在攻击其他计算机“135、139、445、44444”等几个端口。我怀疑是病毒所导致,启用杀毒软件查杀该病毒,结果显示“无病毒感染”,采用到安全模式下使用手工清除该病毒感染的文件msgfix.exe能清除,但是重启计算机后不到3分钟,系统又出现感染病毒状况。
网上求助得启发
我上网去求助,发现在各大论坛上是“哭喊声一片”,到处都是求助如何查杀病毒感染文件Msgfix.exe帖子。有的说是波特变种F病毒感染引起的,有的说是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。
有一个帖子对我的启发很大:“病毒感染msgfix.exe文件,通过弱密码进行传播,修改注册表实现自启动,枚举本地IP地址,试图利用IPC弱口令将自己复制到别的主机上。”
我仔细分析了一下,全校共有350多台计算机。根据我的调查,被感染的计算机只有30多台,进一步分析发现Windows XP和Windows 98操作系统都没有被感染病毒,而Windows 2000操作系统中加用户密码的计算机也都没有被感染病毒,只有那些没有加用户密码的Windows2000操作系统的计算机被感染病毒。
为什么Windows XP、Windows 98操作系统没有加用户密码都没有被感染病毒呢?我发现Windows XP操作系统默认是禁止IPC$空连接的,即:HKEY_LOCAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的键值是1,而Windows 98操作系统中根本就没有IPC$空连接的项目。
虽然在Windows 2000操作系统注册表中 “restrctanony mous”的键值是0,即开启IPC$空连接,但是如果用户设有密码,病毒则无法通过IPC$空连接进行传播。
找准关键,有的放矢
现在,我已经知道病毒的传播原理,即利用IPC弱口令将自己复制到主机上,修改注册表实现自启动,枚举本地IP地址。
下面就动手杀毒,首先断开网线,重启计算机,按F8键进入安全模式,在安全模式下,修改注册表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet\Control\Lsa下restrctanony mous的键值,把0改为1。同时清除注册表中三个msgfix.exe文件,即:HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的msgfix.exe文件,然后清除在操作系统盘下的一个msgfix.exe文件,即:C:\WINNT\system32\msgfix.exe 。
然后用“开始→搜索→文件或文件夹搜索”看是否还有其他的msgfix.exe文件,如有则一律清除,最后退出安全模式重启计算机。再次进入系统后,病毒没有再次出现,系统中也没有再发现msgfix.exe进程,杀毒成功。
金小林战友为我提供了一个比较特殊的自己动手查杀未知病毒的方法。这个方法对于很多对于注册表或者进程查看不熟悉的朋友来说,还是比较困难的。但是很多朋友可以学习金小林战友解决问题的思路。
遇到未知病毒的袭击,在杀毒软件无法查杀的情况下,不慌乱。首先去收集病毒发生的症状和一些出现的特殊程序代码,然后通过网络去求助高手。也许在很多时候,我们能够通过高手的提示得到启发,让我们找到查杀病毒的关键。
如何入侵jsp网站
在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。www.sq120.com推荐文章
入侵测试第一步:扫描
扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,为入侵提供一个指导方向。
朋友的两台服务器为Linux,一台为Windows系统,在路由器后面还有一台Cisco PIX 525对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80,25,110。
根据检测,Cisco PIX防火墙过滤规则设置比较严密,基本上没有多余端口允许外部用户访问。细致分析后,我发现,目标网络的主机通过地址转换来提供对外访问,内部使用192.168.*.*地址段。
先不考虑那么多,找个扫描软件来看看主机的安全情况。我找来了X-Scan,在外部对这几台主机进行了端口扫描之后,生成了一份关于端口的报表,发现其中有一个Tomcat服务器,解释的自然就是JSP文件了。
小知识:
Tomcat Web服务器是一款开源的适合于各种平台的免费网络服务器。eBay.com与Dell 计算机等知名网站都采用或者曾经采用Tomcat的container容器执行Servlet 与JSP。
看来,只能通过Web服务进行间接攻击。首先检查TCP 80端口的服务。我发现,新闻搜索的功能是由端口8080提供的,输入http:// 202.103.*.168:8080/之后,得到了一个系统管理登录页面,简单地测试了一下,输入“test/test”作为“用户名/口令”,似乎认证成功,但实际上并不能进入下一个页面。
专家支招:对于扫描来说,它很容易暴露我们网站的弱势方面。应对扫描,我们可以架设一个蜜罐来误导扫描者,蜜罐可以让系统伪装成到处是漏洞,从而遮蔽真正存在的漏洞,也可以伪装成没有任何漏洞,让入侵者不知道从何入手。
入侵测试第二步:漏洞尝试
尝试JSP各种已知漏洞,这个是在扫描结果中无法获得任何有效信息指导入侵的情况下,被迫使用的方法。这种方法虽然效果不一定好,但是往往能够起到意想不到的效果,从而让入侵继续下去。
我进行了JSP大小写的测试,因为JSP对大小写是敏感的,Tomcat只会将小写的jsp后缀的文件当作是正常的JSP文件来执行,如果大写了就会引起Tomcat将index.JSP当作是一个可以下载的文件让客户下载,若干测试后,我发现这个方法并不奏效,可能管理员已经在服务器软件的网站上下载了最新的补丁。
我发现大部分的JSP应用程序在当前目录下都会有一个WEB-INF目录,这个目录通常存放的是JavaBeans编译后的class 文件,如果不给这个目录设置正常的权限,所有的class就会曝光。
而采用JAD软件对下载的class文件反编译后,原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中,反编译后,说不定还能看到数据库的重要信息。那么,怎么得到这些文件呢?
Tomcat版本的缺省“/admin”目录是很容易访问的。输入:http://202.103.*.168/admin/,管理员目录赫然在列。默认情况下,“User Name”应该是admin,“Password”应该是空,输入用户和密码后,并点击“Login”按钮,不能进入,陆续使用了几个比较常见的密码,也无济于事。
默认情况下,Tomcat打开了目录浏览功能,而一般的管理员又很容易忽视这个问题。也就是说,当要求的资源直接映射到服务器上的一个目录时,由于在目录中缺少缺省的index.jsp等文件,Tomcat将不返回找不到资源的404错误,而是返回HTML格式的目录列表。
想到了这点后,我打开刚才用X-Scan扫描后生成的报表文件,找到“安全漏洞及解决方案”栏目,看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一,返回结果如图1所示。
From:http://www.itcomputer.com.cn/Article/Network/201309/972.html