操作系統(tǒng)安全

WINDOWS9x/2000/NT系統(tǒng)安全1*第一頁，共一百三十七頁。Windows9x漏洞2BNCC第二頁，共一百三十七頁。Windows文件擴(kuò)展名欺騙漏洞

漏洞描述：

如果命名一個文件名字："

.exe"其中用ASCII的255來代替其中的空格，那么，在WINDOWS里面將只能看見文件名是：。

并且這個文件名欺騙對IE的下載對話框同樣存在，惡意者可能連接一個可執(zhí)行文件，但是讓人看起來象一個HTML網(wǎng)頁3BNCC第三頁，共一百三十七頁。Windows快捷方式漏洞Windows快捷方式包括擴(kuò)展名為lnk、pif、url的文件。其中url文件為純文本格式lnk

和pif文件為二進(jìn)制文件。這三種快捷方式都可以自定義圖標(biāo)文件，當(dāng)把圖標(biāo)文件名設(shè)定為

Windows的默認(rèn)設(shè)備名時，由于設(shè)備名稱解析漏洞，可導(dǎo)致Windows95/98系統(tǒng)崩潰。由于

對圖標(biāo)的搜索是由Explorer自動完成的，所以只要快捷方式在資源瀏覽器中出現(xiàn)，就會導(dǎo)

致系統(tǒng)崩潰。如果快捷方式在桌面上，那么系統(tǒng)一啟動就會崩潰。只有以DOS啟動系統(tǒng)，在

命令行下刪除。由于無法直接設(shè)置圖標(biāo)文件名為設(shè)備名，只有通過直接編輯的方式來創(chuàng)建。

4BNCC第四頁，共一百三十七頁。Windows快捷方式漏洞對于WindowsNT/2000系統(tǒng)不會由于設(shè)備名稱解析而崩潰。但當(dāng)我們創(chuàng)建一個完全由

ASCII字符填充組成的pif文件時會出現(xiàn)以下情況：

1）一個非法的pif文件（用ascii字符'x'填充）至少要369字節(jié)，系統(tǒng)才認(rèn)為是一個

合法的pif文件，才會以pif的圖標(biāo)[pifmgr.dll,0]顯示，在屬性里有程序、

字體、內(nèi)存、屏幕”等內(nèi)容。而且僅僅當(dāng)一個非pif文件的大小是369字節(jié)時察看

屬性的“程序”頁時，不會發(fā)生程序錯誤，哪怕是370字節(jié)也不行。當(dāng)對一個大于

369字節(jié)的非法pif文件察看屬性的“程序”頁時，Explorer會出錯，提示：

5BNCC第五頁，共一百三十七頁。Windows快捷方式漏洞"0x77650b82"指令引用的"0x000000000"內(nèi)存。該內(nèi)存不能為"read"

但這種錯誤并不會引起緩沖溢出的安全問題。初步分析了一下，問題出在pif文件

的16進(jìn)制地址：

0x00000181[0x87]0x00000182[0x01]和

0x00000231[0xC3]0x00000232[0x02]

即使是一個合法pif文件，只要改動這四處的任意一處，也會引起程序錯誤。而只

要把0x00000181和0x00000182的值改為[0xFF][0xFF]，那么其它地址任意更改

都不會引起錯誤。

6BNCC第六頁，共一百三十七頁。Windows快捷方式漏洞2）當(dāng)一個大于30857的非法pif文件（用ascii字符'x'填充）出現(xiàn)在資源管理器中時，

會使系統(tǒng)的CPU資源占用達(dá)100%，根本不能察看其屬性頁。也無法在資源管理器中

對其進(jìn)行任何操作，甚至不能在命令提示符中刪除。試圖刪除時會提示會提示：

“進(jìn)程無法訪問文件，因?yàn)榱硪粋€程序正在使用此文件。”

但只要把0x00000181和0x00000182中任意一處改為[0xFF]這種情況就不會發(fā)生。

這是由于資源瀏覽器試圖顯示其實(shí)并不存在的圖標(biāo)引起的。如果快捷方式在桌面

上，那么系統(tǒng)一啟動這種情況就會出現(xiàn)。只有使用任務(wù)管理器中止Explorer.exe

的進(jìn)程，再啟動一個命令提示符，從命令行下刪除。

此問題僅影響WindowsNT/2000系統(tǒng)，不影響Windows95/98。7BNCC第七頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案NetBIOS的信息泄漏netuse\\server\IPC$""/user:""

//此命令用來建立一個空會話netview\\server

//此命令用來查看遠(yuǎn)程服務(wù)器的共享資源服務(wù)器名稱注釋

\\pc1

\\pc2

命令成功完成。nettime\\server

//此命令用來得到一個遠(yuǎn)程服務(wù)器的當(dāng)前時間。

8BNCC第八頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案nbtstat-Aserver

//此命令用來得到遠(yuǎn)程服務(wù)器的NetBIOS用戶名字表NetBIOSRemoteMachineNameTable

Name

Type

Status

NULL

<00>UNIQUE

Registered

NULL

<20>UNIQUE

Registered

INTERNET

<00>GROUP

Registered

XIXI

<03>UNIQUE

Registered

INet~Services

<1C>GROUP

Registered

IS~NULL

<00>UNIQUE

Registered

INTERNET

<1E>GROUP

Registered

ADMINISTATOR

<03>UNIQUE

Registered

INTERNET

<1D>UNIQUE

Registered

..__MSBROWSE__.<01>GROUP

RegisteredMACAddress=00-54-4F-34-D8-80

9BNCC第九頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案修改注冊表一勞永逸HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA

ValueName:RestrictAnonymous

DataType:REG_DWORD

Value:1

10BNCC第十頁，共一百三十七頁。MicrosoftIIS導(dǎo)致網(wǎng)絡(luò)泄露

11BNCC第十一頁，共一百三十七頁。MicrosoftWindows98/2000Folder.htt漏洞(2000-8-17)

windows98和2000中，一個名為Folder.htt的文件決定了文件夾以何種方式顯示為web頁面。這個文件包含活動的腳本解釋執(zhí)行。如果一個用戶任意打開了一個文件夾，同時以web頁面形式察看該文件夾的選項(xiàng)為enable的話（默認(rèn)選項(xiàng)），則Folder.htt文件中的任何代碼均會以該用戶的特權(quán)等級運(yùn)行。通過本地文件夾和遠(yuǎn)程UNC共享都可以利用此漏洞。

問題出在ShellDefViewActiveX控件。這個控件用來確定對選中的文件執(zhí)行什么操作。為了激活對選中的文件的默認(rèn)操作，它使用無任何參數(shù)的InvokeVerb()方法。文件夾中的第一個文件可以通過()方法被自動選中。因此，如果創(chuàng)建一個文件，它默認(rèn)的打開操作為“執(zhí)行”，而且處于文件列表的第一個位置（默認(rèn)的文件排序方式是按字母順序，例11111111.bat會因此被排在首位），則只要打開該文件所在的文件夾，就會選中并運(yùn)行該文件。12BNCC第十二頁，共一百三十七頁。

UNICODE漏洞的原理此漏洞從中文IIS4.0+SP6開始，還影響中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，臺灣繁體中文也同樣存在這樣的漏洞。

中文版的WIN2000中，UNICODE編碼存在BUG，在UNICODE編碼中

%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘

NT4中/編碼為%c1%9c

在英文版里：WIN2000英文版%c0%af

但從國外某些站點(diǎn)得來的資料顯示，還有以下的編碼可以實(shí)現(xiàn)對該漏洞的檢測.

%c1%pc

%c0%9v

%c0%qf

%c1%8s

%e0%80%af

%f0%80%80%af

%fc%80%80%80%80%af

系統(tǒng)安全漏洞及解決方案

13BNCC第十三頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案UNICODE編碼漏洞簡單利用的命令1、顯示文件內(nèi)容

如果想顯示里面的其中一個badboy.txt文本文件，我們可以這樣輸入（htm,html，asp,bat等文件都是一樣的）:＼badboy.txt

那么該文件的內(nèi)容就可以通過IE顯示出來。

2、建立文件夾的命令

:＼badboy運(yùn)行后我們可以看到

返回這樣的結(jié)果：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

14BNCC第十四頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案3、刪除空的文件夾命令

:＼badboy

返回信息同上

4、刪除文件的命令

:＼badboy.txt

返回信息同上

5、copy文件且改名的命令

:＼badboy.txtbad.txt

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

1file(s)copied.

15BNCC第十五頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案顯示目標(biāo)主機(jī)當(dāng)前的環(huán)境變量

返回的信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

ALLUSERSPROFILE=E:＼DocumentsandSettings＼AllUsers

AUTH_TYPE=Negotiate

AUTH_USER=BADBOYCL-DQQZQQ＼badboy

CASL_BASEDIR_ENV=E:＼scan＼CyberCopScanner＼casl

CommonProgram:＼ProgramFiles＼CommonFiles

COMPUTERNAME=BADBOYCL-DQQZQQ

ComSpec=E:＼WINNT＼system32＼cmd.exe

16BNCC第十六頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案CONTENT_LENGTH=0

GATEWAY_INTERFACE=CGI/1.1

HTTP_ACCEPT=*/*

HTTP_ACCEPT_LANGUAGE=zh-cn

HTTP_CONNECTION=Keep-Alive

HTTP_HOST=

HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0)

HTTP_AUTHORIZATION=NegotiateTlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADA

AMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAY

QBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vz

SAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==

HTTP_ACCEPT_ENCODING=gzip,deflate

HTTPS=off

INSTANCE_I

17BNCC第十七頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案18BNCC第十八頁，共一百三十七頁。系統(tǒng)安全漏洞及解決方案19BNCC第十九頁，共一百三十七頁。越權(quán)訪問drwtsn32.exe（Dr.Watson）是一個Windows系統(tǒng)內(nèi)置的程序錯誤調(diào)試器。默認(rèn)

狀態(tài)下，出現(xiàn)程序錯誤時，Dr.Watson將自動啟動，除非系統(tǒng)上安裝了VC等其他具有調(diào)試功能的軟件更改了默認(rèn)值。注冊表項(xiàng)：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]

下的Debugger項(xiàng)的值指定了調(diào)試器及使用的命令；Auto項(xiàng)決定是否自動診斷錯誤，并記錄相應(yīng)的診斷信息。

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]

20BNCC第二十頁，共一百三十七頁。越權(quán)訪問在Windows2000中drwtsn32.exe默認(rèn)會將故障轉(zhuǎn)儲文件user.dmp存放在目錄“\DocumentsandSettings\AllUsers\Documents\DrWatson”下。權(quán)限為Everyone完全控制。在WindowsNT中被存儲在“\WINNT\”中，everyone組至少有讀取權(quán)限。

由于user.dmp中存儲的內(nèi)容是當(dāng)前用戶的部分內(nèi)存鏡像，所以可能導(dǎo)致各種敏感信息泄漏，例如帳號、口令、郵件、瀏覽過的網(wǎng)頁、正在編輯的文件等等，具體取決于崩潰的應(yīng)用程序和在此之前用戶進(jìn)行了那些操作。

21BNCC第二十一頁，共一百三十七頁。越權(quán)訪問drwtsn32參數(shù)

drwtsn32[-i][-g][-ppid][-eevent][-?]

-i將DrWtsn32當(dāng)作默認(rèn)應(yīng)用程序錯誤調(diào)試程序

-g被忽略，但作為WINDBG和NTSD的兼容而被提供

-ppid要調(diào)試的進(jìn)程id

-eevent表示進(jìn)程附加完成的事件

-?這個屏幕

22BNCC第二十二頁，共一百三十七頁。木馬程序原理木馬的分類

木馬程序技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代，第一代，即是簡單的密碼竊取，發(fā)送等，沒有什么特別之處。第二代木馬，在技術(shù)上有了很大的進(jìn)步，冰河可以說為是國內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳遞技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度。第四代木馬在進(jìn)程隱藏方面，做了大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程?；蛘邟旖覲SAPI,實(shí)現(xiàn)木馬程序的隱藏，甚至在WindowsNT/2000下，都達(dá)到了良好的隱藏效果。相信，第五代木馬很快也會被編制出來。。

23BNCC第二十三頁，共一百三十七頁。木馬程序原理木馬程序的隱藏技術(shù)

進(jìn)程：一個正常的Windows應(yīng)用程序，在運(yùn)行之后，都會在系統(tǒng)之中產(chǎn)生一個進(jìn)程，同時，每個進(jìn)程，分別對應(yīng)了一個不同的PID（ProgressID,進(jìn)程標(biāo)識符）這個進(jìn)程會被系統(tǒng)分配一個虛擬的內(nèi)存空間地址段，一切相關(guān)的程序操作，都會在這個虛擬的空間中進(jìn)行。

線程：一個進(jìn)程，可以存在一個或多個線程，線程之間同步執(zhí)行多種操作，一般地，線程之間是相互獨(dú)立的，當(dāng)一個線程發(fā)生錯誤的時候，并不一定會導(dǎo)致整個進(jìn)程的崩潰。

服務(wù)：一個進(jìn)程當(dāng)以服務(wù)的方式工作的時候，它將會在后臺工作，不會出現(xiàn)在任務(wù)列表中，但是，在WindowsNT/2000下，你仍然可以通過服務(wù)管理器檢查任何的服務(wù)程序是否被啟動運(yùn)行。

24BNCC第二十四頁，共一百三十七頁。木馬程序原理WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int)

{

try

{

DWORDdwVersion=GetVersion();

//取得Windows的版本號

if(dwVersion>=0x80000000)

//Windows9x隱藏任務(wù)列表

{

int(CALLBACK*rsp)(DWORD,DWORD);

HINSTANCEdll=LoadLibrary("KERNEL32.DLL");

//裝入KERNEL32.DLL

rsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");

//找到RegisterServiceProcess的入口

rsp(NULL,1);

//注冊服務(wù)

FreeLibrary(dll);

//釋放DLL模塊

}

}

catch(Exception&exception)

//處理異常事件

{

//處理異常事件

}

return0;

}25BNCC第二十五頁，共一百三十七頁。木馬程序原理程序的自加載運(yùn)行技術(shù)1、集成到程序中6、在System.ini中藏身2、隱藏在配置文件中

7、隱形于啟動組中3、潛伏在Win.ini中8、隱蔽在Winstart.bat中4、偽裝在普通文件中9、捆綁在啟動文件中5、內(nèi)置到注冊表中10、設(shè)置在超級連接中

26BNCC第二十六頁，共一百三十七頁。木馬程序原理木馬程序的建立連接的隱藏

合并端口法，也就是說，使用特殊的手段，在一個端口上同時綁定兩個TCP或者UDP連接，這聽起來不可思議，但事實(shí)上確實(shí)如此，而且已經(jīng)出現(xiàn)了使用類似方法的程序，通過把自己的木馬端口綁定于特定的服務(wù)端口之上，（比如80端口的HTTP，誰懷疑他會是木馬程序呢？）從而達(dá)到隱藏端口的目地。另外一種辦法，是使用ICMP（InternetControlMessageProtocol）協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送,原理是修改ICMP頭的構(gòu)造，加入木馬的控制字段，這樣的木馬，具備很多新的特點(diǎn)，不占用端口的特點(diǎn)，使用戶難以發(fā)覺，同時，使用ICMP可以穿透一些防火墻，從而增加了防范的難度。之所以具有這種特點(diǎn)，是因?yàn)镮CMP不同于TCP，UDP，ICMP工作于網(wǎng)絡(luò)的應(yīng)用層不使用TCP協(xié)議。27BNCC第二十七頁，共一百三十七頁。木馬程序原理木馬程序的建立連接的隱藏

28BNCC第二十八頁，共一百三十七頁。木馬程序原理29BNCC第二十九頁，共一百三十七頁。瀏覽網(wǎng)頁也會中木馬1.MIME簡介

MIME(MultipurposeInternetMailExtentions)，一般譯作“多用途的網(wǎng)際郵件擴(kuò)充協(xié)議”。顧名思義，它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出。現(xiàn)在它已經(jīng)演化成一種指定文件類型(Internet的任何形式的消息：e-mail，usenet新聞和Web)的通用方法。在使用CGI程序時你可能接觸過MIME類型，其中有一行叫作Content-type的語句，它用來指明傳遞的就是MIME類型的文件(如text/html或text/plain)。30BNCC第三十頁，共一百三十七頁。瀏覽網(wǎng)頁也會中木馬IE是如何處理附件的：一般情況下如果附件是文本文件，IE會讀它，如果是VIDEOCLIP，IE會查看它；如果附件是圖形文件，IE就會顯示它；如果附件是一個EXE文件呢？IE會提示用戶是否執(zhí)行！但令人恐懼的是，當(dāng)攻擊者更改MIME類型后，IE就不再提示用戶是否執(zhí)行而直接運(yùn)行該附件！從而使攻擊者加在附件中的程序、攻擊命令能夠按照攻擊者設(shè)想的情況進(jìn)行。31BNCC第三十一頁，共一百三十七頁。OICQ的安全縱觀針對OICQ的攻擊，主要分為IP探測、消息炸彈、密碼和本地消息破解、木馬植入及其它方式。推出該安全手冊的目的是為了能讓大多數(shù)對網(wǎng)絡(luò)安全不熟悉的網(wǎng)民們能夠簡單的防御這些攻擊。32BNCC第三十二頁，共一百三十七頁。OICQ的安全I(xiàn)P探測

由于OICQ采用的是UDP數(shù)據(jù)包通訊，攻擊者只要向你發(fā)送一個信息，他就可以通過監(jiān)視UDP數(shù)據(jù)包來獲得你的IP和OICQ的端口號，從理論上說，在直接通訊的模式下，想避免攻擊者發(fā)現(xiàn)你的IP地址是十分困難。

IP探測的另一個方法是通過端口掃描，OICQ的通訊端口值默認(rèn)情況下是8000，攻擊者可以通過集中掃描某一地址段的8000端口來獲得那些正在使用OICQ的IP地址。

33BNCC第三十三頁，共一百三十七頁。OICQ的安全防范IP探測的主要方法是：一、阻止攻擊者與你直接通訊，在OICQ的個人設(shè)定里修改身份驗(yàn)證默認(rèn)值為"需要身份認(rèn)證才能把我加為好友"，這樣攻擊者也還是可以通過某些特殊的信息發(fā)送軟件跟你通訊，所以你還應(yīng)該在系統(tǒng)參數(shù)設(shè)置里把拒絕陌生人消息的選項(xiàng)選上。另一種阻止攻擊者與你直接通訊的方法是通過代理上OICQ或者隱身登陸，這樣攻擊者所看到的IP地址是代理服務(wù)巧刪OICQ登錄號碼器的IP，隱身登陸的消息傳遞是通過服務(wù)器中轉(zhuǎn)，這樣傳給攻擊者的數(shù)據(jù)包的IP地址是騰訊服務(wù)器的地址。

修改OICQ通訊端口默認(rèn)值是避免被攻擊者掃描的唯一方法，它還能防止攻擊者給你發(fā)送垃圾消息。34BNCC第三十四頁，共一百三十七頁。OICQ的安全消息炸彈

消息炸彈攻擊原理是利用UDP數(shù)據(jù)通訊不需要驗(yàn)證確認(rèn)的弱點(diǎn)，只要拿到用戶的IP地址和OICQ通訊端口即可發(fā)動攻擊。

35BNCC第三十五頁，共一百三十七頁。OICQ的安全密碼和本地消息破解

通過暴力解密是一種破解手段，有些攻擊者還采用一些鍵盤記錄程式來記錄你輸入的帳號和密碼，讓你防不勝防。

另一種獲得OICQ密碼的手段是通過攻擊你的注冊郵箱，由于騰訊有一個忘記密碼功能，它將用戶的OICQ密碼發(fā)送到用戶注冊時的郵箱里，攻擊者一旦拿到這個郵箱，即可以很簡單的拿到你的密碼。

36BNCC第三十六頁，共一百三十七頁。OICQ的安全一、本地破解防范破解密碼通常是窮舉。不要用簡單的英文和純數(shù)字作為密碼，應(yīng)該是大小寫、數(shù)字、符號的混合，不要少于八位，這樣的話密碼就不容易被破了二、攻擊注冊郵箱防范

個人資料里和你申請?zhí)柎a時所填的mail地址不要一樣，除非你對你的密碼很有信心。選擇一個好密碼也是一個好辦法！37BNCC第三十七頁，共一百三十七頁。OICQ木馬程序剖析GOP木馬程序GOP木馬的檢查

該木馬運(yùn)行的時候在Windows的任務(wù)窗口中是看不到的,你可以點(diǎn)任務(wù)條上的“開始”、“運(yùn)行”、“msinfo32”(就是Windows自帶的系統(tǒng)信息，在“附件”中)?？雌渲械能浖h(huán)境→正在運(yùn)行的任務(wù)。這才是Windows現(xiàn)在全部運(yùn)行的任務(wù)。當(dāng)你在運(yùn)行了什么東西之后覺得有問題的時候就看看這里。如果有一個項(xiàng)目有程序名和路徑，而沒有版本、廠商和說明，你就應(yīng)該緊張一下了。GOP木馬在這里顯示的版本為：“不能用”。如果你發(fā)現(xiàn)GOP木馬，先關(guān)掉你的貓(斷網(wǎng))，然后脫機(jī)重新登錄一次你的OICQ，查找電腦中是否有record.dat文件(每個盤都應(yīng)該查一下！絕不放過！)(這是GOP記錄OICQ密碼的文檔，如果你的OICQ密碼被監(jiān)控到了就一定會有。當(dāng)然，即使你中了木馬，在你還沒有用OICQ的時候是不會有這個文件的。反正現(xiàn)在不在網(wǎng)上，不用擔(dān)心密碼被發(fā)走)。如果有的話，那么“恭喜”你了，100%中了木馬。不信？用記事本打開那個record.dat，看看有沒有你的寶貝OICQ的號碼和密碼。

你還可以運(yùn)行系統(tǒng)配置實(shí)用程序(開始―運(yùn)行―msconfig)，在啟動欄里，你亦可發(fā)現(xiàn)“WindowsAgent”(就是上文提到的“定義注冊表鍵名”,可能會是其它鍵名)38BNCC第三十八頁，共一百三十七頁。OICQ木馬程序GOP木馬的清除在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵下添加一個鍵值來讓木馬自動運(yùn)行，該木馬也不例外。運(yùn)行regedit，進(jìn)入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵，記住那個在系統(tǒng)信息中查到的那個文件，也可在msconfig―啟動―名稱里找到(在“剖析木馬的設(shè)置”中，我們知道木馬文件名是可以任意定制的，所以無法確定具體的文件名)的存放路徑，刪除該鍵值。然后關(guān)閉計(jì)算機(jī)，稍候一下啟動計(jì)算機(jī)(注意：不要選重新啟動)。然后進(jìn)入文件的存放路徑刪除木馬文件即可。

39BNCC第三十九頁，共一百三十七頁。惡意程序郵件炸彈原理E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法，一般的電子郵箱的容量在5，6M以下，平時大家收發(fā)郵件，傳送軟件都會覺得容量不夠，如果電子郵箱一下子被幾百，幾千甚至上萬封電子郵件所占據(jù)，這是電子郵件的總?cè)萘烤蜁^電子郵箱的總?cè)萘?，以至造成郵箱超負(fù)荷而崩潰?！緆aboom3】【upyours4】【Avalanchev2.8】40BNCC第四十頁，共一百三十七頁。惡意程序郵件炸彈防范⒈不要將自己的郵箱地址到處傳播，特別是申請上網(wǎng)帳號時ISP送的電子信箱，那可是要按字節(jié)收費(fèi)的喲！去申請幾個免費(fèi)信箱對外使用，隨便別人怎么炸，大不了不要了。

⒉最好用POP3收信，你可以用Outlook或Foxmail等POP收信工具收取Email。例如用Outlook，你可以選擇“工具”/“收件箱助理”，然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。41BNCC第四十一頁，共一百三十七頁。惡意程序郵件炸彈防范⒊當(dāng)某人不停炸你信箱時，你可以先打開一封信，看清對方地址，然后在收件工具的過濾器中選擇不再接收這地址的信，直接從服務(wù)器刪除。4。在收信時，一旦看見郵件列表的數(shù)量超過平時正常郵件的數(shù)量的若干倍，應(yīng)當(dāng)馬上停止下載郵件，然后再從服務(wù)器刪除炸彈郵件。⒌不要認(rèn)為郵件發(fā)送有個回復(fù)功能，就可以將發(fā)炸彈的人報(bào)復(fù)回來，那是十分愚蠢的！發(fā)件人有可能是用的假地址發(fā)信，這個地址也許填得與收件人地址相同。這樣你不但不能回報(bào)對方，還會使自己的郵箱徹底完結(jié)！

42BNCC第四十二頁，共一百三十七頁。惡意程序郵件炸彈防范⒍你還可以用一些工具軟件防止郵件炸彈，下面本站就提供一個供大家下載：【echom201】這是一個功能強(qiáng)大的砍信機(jī)，每分鐘能砍到1000封電子郵件，是對付郵件炸彈的好東西

43BNCC第四十三頁，共一百三十七頁。惡意程序端口攻擊原理這類軟件是利用Window95/NT系統(tǒng)本身的漏洞，這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個例外處理程序OOB（OutofBand）有關(guān)。只要對方以O(shè)OB的方式，就可以通過TCP/IP傳遞一個小小的封包到某個IP地址的Port139上，該地址的電腦系統(tǒng)即（WINDOWS95/NT）就會“應(yīng)封包而死”，自動重新開機(jī)，你未存檔的所有工作就得重新再做一遍了。44BNCC第四十四頁，共一百三十七頁。惡意程序端口攻擊防范常見的端口攻擊器有【uKe23】【voob】【W(wǎng)INNUKE2】。如果你還是用的win95，那您就要當(dāng)心了。防范將你的Windows95馬上升級到Windows98，首先修正Win95的BUG，在微軟主頁的附件中有對于Win95和OSR2以前的版本的補(bǔ)丁程序，Win98不需要。然后學(xué)會隱藏自己的IP，包括將ICQ中"IP隱藏"打開，注意避免在會顯示IP的BBS和聊天室上暴露真實(shí)身份，特別在去黑客站點(diǎn)訪問時最好先運(yùn)行隱藏IP的程序。45BNCC第四十五頁，共一百三十七頁。惡意程序JAVA炸彈原理很多人在聊天室中被炸了以后，就以為是被別人黑了，其實(shí)不是的。炸彈有很多種，有的是造成電腦直接死機(jī)，有的是通過HTML語言，讓你的瀏覽器吃完你的系統(tǒng)資源，然后你就死機(jī)了。46BNCC第四十六頁，共一百三十七頁。惡意程序JAVA炸彈防范唯一的防范方法就是你在聊天室聊天時，特別是支持HTML的聊天室（比如湛江，新疆等）請你一定記住關(guān)掉你瀏覽器里的java功能，還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級鏈接，這樣可以避免遭到惡作劇者的攻擊.47BNCC第四十七頁，共一百三十七頁。惡意程序?yàn)g覽主頁硬盤共享“萬花谷”，如果進(jìn)入該網(wǎng)頁瀏覽者注冊表會被修改，好多系統(tǒng)功能因此受到限制。最近又聽說有網(wǎng)友在瀏覽網(wǎng)頁時硬盤被共享，危害似乎更大！其實(shí)，所謂的瀏覽網(wǎng)頁硬盤被共享，和“萬花谷”一樣，受害者都是在瀏覽了含有有害代碼的ActiveX網(wǎng)頁文件后中招的。48BNCC第四十八頁，共一百三十七頁。惡意程序?yàn)g覽主頁硬盤共享防御防范：1、不要輕易去一些自己并不了解的站點(diǎn)，特別是那些看上去美麗誘人的網(wǎng)址更不要貿(mào)然前往，否則吃虧的往往是你。

2、運(yùn)行IE，點(diǎn)擊“工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級別，把安全極別由“中”改為“高”

3、由于該類網(wǎng)頁是含有有害代碼的ActiveX網(wǎng)頁文件，因此在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以避免中招。具體方法是：在IE窗口中點(diǎn)擊“工具→Internet選項(xiàng)，在彈出的對話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級別”按鈕，就會彈出“安全設(shè)置”對話框，把其中所有ActiveX插件和控件以及Java相關(guān)全部選擇“禁用”即可。不過，這樣做在以后的網(wǎng)頁瀏覽過程中可能會造成一些正常使用ActiveX的網(wǎng)站無法瀏覽。唉，有利就有弊，你還是自己看著辦吧。

4、對于Windows98用戶，請打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對于WindowsMe用戶，請打開C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。請放心，刪除這個組件不會影響到你正常瀏覽網(wǎng)頁的。

49BNCC第四十九頁，共一百三十七頁。惡意程序5、既然這類網(wǎng)頁是通過修改注冊表來破壞我們的系統(tǒng)，那么我們可以事先把注冊表加鎖：禁止修改注冊表，這樣就可以達(dá)到預(yù)防的目的。不過，自己要使用注冊表編輯器regedit.exe該怎么辦呢？因此我們還要在此前事先準(zhǔn)備一把“鑰匙”，以便打開這把“鎖”！加鎖方法如下：

(1)運(yùn)行注冊表編輯器regedit.exe；

(2)展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一個名為DisableRegistryTools的DWORD值，并將其值改為“1”，即可禁止使用注冊表編輯器regedit.exe。解鎖方法如下：

用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內(nèi)容如下：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

50BNCC第五十頁，共一百三十七頁。惡意程序51BNCC第五十一頁，共一百三十七頁。惡意程序網(wǎng)頁執(zhí)行exe文件

在服務(wù)器端執(zhí)行文件是靠SSI來實(shí)現(xiàn)的，SSI是服務(wù)器端包含的意思（不是SSL），我們經(jīng)常使用的#include就是服務(wù)器端包含的指令之一。不過，這次要介紹的就是#exec。就是他可以實(shí)現(xiàn)服務(wù)器端執(zhí)行指令。

不過，不能用于.asp的文件。而只能stm、.shtm和.shtml這些擴(kuò)展名。而能解釋執(zhí)行他們的就是Ssinc.dll。所以，你寫好的代碼必須保存成.stm等格式才能確保服務(wù)器能執(zhí)行。

52BNCC第五十二頁，共一百三十七頁。惡意程序網(wǎng)頁執(zhí)行exe文件SSI有什么用?

目前，主要有以下幾種用用途：

1、顯示服務(wù)器端環(huán)境變量<#echo>

2、將文本內(nèi)容直接插入到文檔中<#include>

3、顯示W(wǎng)EB文檔相關(guān)信息<#flastmod#fsize>(如文件制作日期/大小等)

4、直接執(zhí)行服務(wù)器上的各種程序<#exec>(如CGI或其他可執(zhí)行程序)

5、設(shè)置SSI信息顯示格式<#config>(如文件制作日期/大小顯示方式)

高級SSI<XSSI>可設(shè)置變量使用if條件語句。

53BNCC第五十三頁，共一百三十七頁。惡意程序<!--#execcmd=”cat/etc/passwd”-->將會顯示密碼文件<!--#execcmd=”dir/b”-->將會顯示當(dāng)前目錄下文件列表<!--#execcgi=”/cgi-bin/gb.cgi”-->將會執(zhí)行CGI程序gb.cgi。<!--#execcgi=”/cgi-bin/access_log.cgi”-->將會執(zhí)行CGI程序access_log.cgi54BNCC第五十四頁，共一百三十七頁。惡意程序防范方法access.conf中的”O(jiān)ptionsIncludesExecCGI”這行代碼刪除；在IIS中，要禁用#exec命令，可修改SSIExecDisable元數(shù)據(jù)庫；55BNCC第五十五頁，共一百三十七頁。Windows注冊表注冊表的介紹注冊表的修改56BNCC第五十六頁，共一百三十七頁。注冊表的基本概念所謂注冊表就是一個龐大的數(shù)據(jù)庫，其中容納了應(yīng)用程序和計(jì)算機(jī)系統(tǒng)的全部配置信息，Windows9x系統(tǒng)和應(yīng)用程序的初始化信息，應(yīng)用程序和文檔文件的關(guān)聯(lián)關(guān)系，硬件設(shè)備的說明，狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。他有兩個部分組成：注冊表數(shù)據(jù)庫（包括兩個文件：SYSTEM.DAT和USER.DAT）和注冊表編輯器。SYSTEM.DAT是用來保存微機(jī)的系統(tǒng)信息，如安裝的硬件和設(shè)備驅(qū)動程序的有關(guān)信息

USER.DAT是用來保持每個用戶特有的信息，如桌面設(shè)置，墻紙和窗口顏色設(shè)置等。他們的自備份文件為SYSTEM.DAO和。注冊表編輯器則是來對注冊表進(jìn)行各種編輯工作。57BNCC第五十七頁，共一百三十七頁。注冊表的構(gòu)造系統(tǒng)對注冊表預(yù)定了六個主管鍵字：HKEY_CLASSES_ROOT：文件擴(kuò)展名與應(yīng)用的關(guān)聯(lián)及OLE信息

HKEY_USERS：用戶根據(jù)個人愛好設(shè)置的信息。HKEY_CURRENT_USER：當(dāng)前登錄用戶控制面板選項(xiàng)和桌面等的設(shè)置，以及映射的網(wǎng)絡(luò)驅(qū)動器

HKEY_LOCAL_MACHINE：計(jì)算機(jī)硬件與應(yīng)用程序信息

HKEY_DYN_DATA：即插即用和系統(tǒng)性能的動態(tài)信息

HKEY_CURRENT_CONFIG：計(jì)算機(jī)硬件配置信息

58BNCC第五十八頁，共一百三十七頁。注冊表的構(gòu)造注冊表中的鍵值項(xiàng)數(shù)據(jù)注冊表通過鍵和子鍵來管理各種信息。但是注冊表中的所有信息都是以各種形式的鍵值項(xiàng)數(shù)據(jù)保存的。在注冊表編輯器右窗格中顯示的都是鍵值項(xiàng)數(shù)據(jù)。這些鍵值項(xiàng)數(shù)據(jù)可以分為三種類型：

1.字符串值

在注冊表中，字符串值一般用來表示文件的描述和硬件的標(biāo)識。通常由字母和數(shù)字組成，也可以是漢字，最大長度不能超過255個字符。在本例中以"a"="***"表示。

59BNCC第五十九頁，共一百三十七頁。注冊表的構(gòu)造2.二進(jìn)制值

在注冊表中二進(jìn)制值是沒有長度限制的，可以是任意字節(jié)長。在注冊表編輯器中，二進(jìn)制以十六進(jìn)制的方式表示。在本站中以"a"=hex:01,00,00,00方式表示。

3.DWORD值

DWORD值是一個32位(4個字節(jié))的數(shù)值。在注冊表編輯器中也是以十六進(jìn)制的方式表示。在本站中以"a"=dword:00000001表示。60BNCC第六十頁，共一百三十七頁。注冊表的雙重入口問題

在注冊表中經(jīng)常出現(xiàn)雙重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的鍵同樣會在HKEY_LOCAL_MACHINE中出現(xiàn)。注冊表中經(jīng)常出現(xiàn)雙重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的鍵同樣會在HKEY_LOCAL_MACHINE中出現(xiàn)。

如果這些相同的分支出現(xiàn)在兩個不同的根鍵中，那么，哪個根鍵有效呢?

注冊表的子鍵都有嚴(yán)格的組織。某些相同的信息會出現(xiàn)在超過一個的子鍵中，如果您只修改了一個子鍵，那么該修改是否作用于系統(tǒng)依賴于該子鍵的等級。一般來說，系統(tǒng)信息優(yōu)先于用戶等級。例如，一個設(shè)置項(xiàng)同時出現(xiàn)在HKEY_LOCAL_MACHINE和HKEY_USER子鍵中，通常由HKEY_LOCAL_MACHINE中的數(shù)據(jù)起作用。要注意的是，這種情況只發(fā)生在您直接編輯注冊表時。如果您從“控制面板”中更改系統(tǒng)配置，則所有出現(xiàn)該設(shè)置項(xiàng)的地方均會發(fā)生相應(yīng)的改變。

61BNCC第六十一頁，共一百三十七頁。注冊表的修改

一、直接修改注冊表的基本方法對于熟悉注冊表項(xiàng)設(shè)置的高級用戶，如果使用控制面板和策略文件不能達(dá)到目的，也就只能采用這種最直接、最全面的處理方法。具體使用方法是的Regedit.exe(注冊表編輯器)到本地硬盤上運(yùn)行，去掉注冊表只讀方式，對系統(tǒng)注冊表項(xiàng)進(jìn)行修改，完成后應(yīng)存盤退出。下次系統(tǒng)啟動時，新設(shè)置就會生效。

62BNCC第六十二頁，共一百三十七頁。注冊表的修改二、間接修改注冊表的簡易方法在注冊表文本文件的首行必須用命令字符串“REGEDIT”，其作用是通知系統(tǒng)調(diào)用regedit來完成注冊信息的合并工作。接下來的每一行或代表一個鍵值的聲明或者為注釋性的說明信息。主鍵及其默認(rèn)鍵值的聲明格式為：根鍵\一級主鍵\二級主鍵\=默認(rèn)鍵值63BNCC第六十三頁，共一百三十七頁。注冊表的修改

三、備份注冊表的方法不少安裝程序(或你自己直接處理)都可能搞亂你系統(tǒng)的注冊表，從而引發(fā)不測，所以我們應(yīng)該定期地備份user.dat和system.dat文件。但目前的資源管理器(或者是DOS來)都不能直接復(fù)制這兩個文件.64BNCC第六十四頁，共一百三十七頁。注冊表安全實(shí)例1、讓用戶名不出現(xiàn)在登錄框中

Win9x以上的操作系統(tǒng)可以對以前用戶登錄的信息具有記憶功能，下次重新啟動計(jì)算機(jī)時，我們會在用戶名欄中發(fā)現(xiàn)上次用戶的登錄名，這個信息可能會被一些非法分子利用，而給用戶造成威脅，為此我們有必要隱藏上機(jī)用戶登錄的名字。設(shè)置時，請用鼠標(biāo)依次訪問鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon，并在右邊的窗口中新建字符串"DontDisplayLastUserName",并把該值設(shè)置為"1"，設(shè)置完后，重新啟動計(jì)算機(jī)就可以隱藏上機(jī)用戶登錄的名字。

65BNCC第六十五頁，共一百三十七頁。注冊表安全實(shí)例2、抵御BackDoor的破壞

目前，網(wǎng)上有許多流行的黑客程序，它們可以對整個計(jì)算機(jī)系統(tǒng)造成了極大的安全威脅，其中有一個名叫BackDoor的后門程序，專門揀系統(tǒng)的漏洞進(jìn)行攻擊。為防止這種程序?qū)ο到y(tǒng)造成破壞，我們有必要通過相應(yīng)的設(shè)置來預(yù)防BackDoor對系統(tǒng)的破壞。設(shè)置時，在編輯器操作窗口中用鼠標(biāo)依次單擊鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，如果在右邊窗口中如發(fā)現(xiàn)了“Notepad”鍵值，就將它刪除，這樣就能達(dá)到預(yù)防的目的了。

66BNCC第六十六頁，共一百三十七頁。注冊表安全實(shí)例3、不允許使用“控制面板”

控制面板是Windows系統(tǒng)的控制中心，可以對設(shè)備屬性，文件系統(tǒng)，安全口令等很多系統(tǒng)很關(guān)鍵的東西進(jìn)行修改，我們當(dāng)然需要防范這些了。

在隱藏和禁止使用“控制面板”時，我們可以在開始菜單中的運(yùn)行欄中輸入regedit命令，打開注冊表編輯器操作界面，然后在該界面中，依次用鼠標(biāo)單擊\\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\鍵值，并在其中新建DWORD值NoDispCPL，把值修改為1（十六進(jìn)制）就行了。

67BNCC第六十七頁，共一百三十七頁。注冊表安全實(shí)例4、拒絕通過網(wǎng)絡(luò)訪問軟盤

為了防止病毒入侵整個網(wǎng)絡(luò)，導(dǎo)致整個網(wǎng)絡(luò)處于癱瘓狀態(tài)，所以我們必須嚴(yán)格管理計(jì)算機(jī)的輸入設(shè)備，以斷絕病毒的源頭，為此就要禁止通過網(wǎng)絡(luò)訪問軟盤。設(shè)置時，首先單擊開始按鈕，從彈出的菜單中選擇運(yùn)行命令；隨后，程序?qū)棾鲆粋€運(yùn)行對話框，在該對話框中輸入regedit命令，然后在打開的注冊表編輯器中依次打開鍵值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]，在右邊的窗口中看看有沒有鍵值A(chǔ)llocateFloppies，如果沒有請創(chuàng)建DWORD值，名字取為AllocateFloppies，把它的值修改為０或１，其中0代表可被域內(nèi)所有管理員訪問，1代表僅可被當(dāng)?shù)氐顷懻咴L問。68BNCC第六十八頁，共一百三十七頁。注冊表安全實(shí)例5、讓“文件系統(tǒng)”菜單在系統(tǒng)屬性中消失

為了防止非法用戶隨意篡改系統(tǒng)中的文件，我們有必要把“系統(tǒng)屬性”中“文件系統(tǒng)”的菜單隱藏起來。隱藏時，只要在注冊表編輯器中用鼠標(biāo)依次打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System鍵值，在右邊的窗口中新建一個DWORD串值：“No”，然后把它的值改為“1”即可。

69BNCC第六十九頁，共一百三十七頁。注冊表安全實(shí)例6、鎖定桌面

桌面設(shè)置包括壁紙、圖標(biāo)以及快捷方式，它們的設(shè)置一般都是我們經(jīng)過精心選擇才設(shè)定好的。大多數(shù)情況下，我們不希望他人隨意修改桌面設(shè)置或隨意刪除快捷方式。怎么辦?其實(shí)修改注冊表可以幫我們鎖定桌面，這里“鎖定”的含義是對他人的修改不做儲存，不管別人怎么改，只要重新啟動計(jì)算機(jī)，我們的設(shè)置就會原封不動地出現(xiàn)在眼前。設(shè)置時，運(yùn)行regedit進(jìn)入注冊表編輯器，找到如下分支：Hkey－Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores，并用鼠標(biāo)雙擊“NoSaveSetting”，并將其鍵值從0改為1就OK了！

70BNCC第七十頁，共一百三十七頁。注冊表安全實(shí)例7、禁用Regedit命令

注冊表對于很多用戶來說是很危險的，尤其是初學(xué)者，為了安全，最好還是禁止注冊表編輯器regedit.exe運(yùn)行，在公共機(jī)房更加重要，不然自己的機(jī)器一不小心就被改得一塌糊涂了。

修改注冊表時，首先運(yùn)行regedit進(jìn)入注冊表編輯器操作界面，在該界面中用鼠標(biāo)依次單擊HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\鍵值，在右邊的窗口中如果發(fā)現(xiàn)Policies下面沒有System主鍵，則請?jiān)谒旅嫘陆ㄒ粋€主鍵，取名System，然后在右邊空白處新建一個DWORD串值，名字取為DisableRegistryTools，把它的值修改為1，這樣修改以后，使用這個計(jì)算機(jī)的人都無法再運(yùn)行regedit.exe來修改注冊表了。

71BNCC第七十一頁，共一百三十七頁。注冊表安全實(shí)例8、禁止修改“開始”菜單

一般，用戶啟動某一個程序時往往會在開始菜單下面的程序組中尋找需要的程序，如果我們隨意更改開始菜單中的內(nèi)容，可能會影響其他用戶打開程序，所以我們常常需要禁止修改“開始”菜單中的內(nèi)容。在設(shè)置這個內(nèi)容時，我們可以用鼠標(biāo)在注冊表編輯器窗口中依次單擊如下鍵值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore，接著在右邊的窗口中新建一個DWORD串值：“NoChangeStartMenu”，并把它的值設(shè)置為“1”。72BNCC第七十二頁，共一百三十七頁。注冊表安全實(shí)例9、讓用戶只使用指定的程序

為防止用戶非法運(yùn)行或者修改程序，導(dǎo)致整個計(jì)算機(jī)系統(tǒng)處于混亂狀態(tài)，我們可以通過修改注冊表來達(dá)到讓用戶只能使用指定的程序的目的，從而保證系統(tǒng)的安全。設(shè)置時，可以在注冊表編輯器窗口中依次打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer鍵值，然后在右邊的窗口中新建一個DWORD串值，名字取為“RestrictRun”，把它的值設(shè)為“1”。然后在RestrictRun的主鍵下分別添加名為“1”、“2”、“3”等字符串值，然后將“1”，“2”、“3”等字符串的值設(shè)置為我們允許用戶使用的程序名。例如將“1”、“2”、“3”分別設(shè)置為word.EXE、notepad.EXE、write.EXE，則用戶只能使用word、記事本、寫字板了，這樣我們的系統(tǒng)將會做到最大的保障，也可以限制用戶運(yùn)行不必要的軟件了。

73BNCC第七十三頁，共一百三十七頁。注冊表安全實(shí)例10、預(yù)防WinNuke的破壞

現(xiàn)在有一個叫WinNuke的程序，能對計(jì)算機(jī)中的Windows系統(tǒng)有破壞作用，為防止該程序破壞Windows操作系統(tǒng)，導(dǎo)致整個計(jì)算機(jī)系統(tǒng)癱瘓，所以我們有必要預(yù)防WinNuke的破壞性。我們可以在注冊表中對其進(jìn)行設(shè)置，以保證系統(tǒng)的安全。設(shè)置時，在編輯器操作窗口中用鼠標(biāo)依次單擊鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP，然后在右邊的窗口中新建或修改字符串“BSDUrgent”，并把其值設(shè)置為0，這樣就可以預(yù)防WinNuke對系統(tǒng)的破壞了。

74BNCC第七十四頁，共一百三十七頁。注冊表安全實(shí)例11、禁用"任務(wù)欄屬性"功能

任務(wù)欄屬性功能，可以方便用戶對開始菜單進(jìn)行修改，可以修改Windows系統(tǒng)的很多屬性和運(yùn)行的程序，這在我們看來是件很危險的事情，所以有必要禁止對它的修改。

修改設(shè)置時，首先運(yùn)行regedit進(jìn)入注冊表編輯器，找到如下分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右窗格內(nèi)新建一個DWORD串值"NoSetTaskBar"，然后雙擊"NoSetTaskBar"鍵值，在彈出的對話框的"鍵值"框內(nèi)輸入1，就可以達(dá)到禁用"任務(wù)欄屬性"功能了。

75BNCC第七十五頁，共一百三十七頁。注冊表安全實(shí)例12、禁止修改顯示屬性

有許多用戶為了使自己使用的電腦外觀設(shè)置變得更漂亮一點(diǎn)，以便能體現(xiàn)出個性化的風(fēng)格，往往通過修改顯示屬性達(dá)到更改外觀的目的。但在實(shí)踐操作中，我們有時要保證所有計(jì)算機(jī)的設(shè)置都必須相同，以方便同步教學(xué)，這時我們就需要禁止修改顯示屬性了。修改時，可以用鼠標(biāo)依次打開如下分支：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，接著在右邊的窗口中新建一個DOWRD串值：然后將“新值#1”更名為“NoDispCPL”，并將其值設(shè)為“1”就可以了。

76BNCC第七十六頁，共一百三十七頁。注冊表安全實(shí)例13、隱藏“網(wǎng)上鄰居”

在局域網(wǎng)中，我們常?？梢酝ㄟ^網(wǎng)上鄰居來訪問別的計(jì)算機(jī)上的內(nèi)容，從而實(shí)現(xiàn)了資源共享的目的。但有時網(wǎng)上鄰居會給我們造成安全上的隱患，例如有的不懷好意的用戶可以利用網(wǎng)上鄰居來非法刪除其他計(jì)算機(jī)上的重要數(shù)據(jù)，給其他計(jì)算機(jī)造成了損失。為了避免這樣的損失，我們可以利用注冊表來隱藏“網(wǎng)上鄰居”。設(shè)置時，請用鼠標(biāo)依次訪問鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，接著在右邊的窗口中新建DWORD值NoNetHood，并把該值設(shè)置為1（十六進(jìn)制）。

77BNCC第七十七頁，共一百三十七頁。注冊表安全實(shí)例14、禁止屏幕保護(hù)使用密碼

在公眾場合下使用電腦，最忌諱的是用戶隨意設(shè)置系統(tǒng)密碼，因?yàn)橐坏┠硞€用戶設(shè)置了密碼后，其他用戶就不能正常使用，嚴(yán)重的能使計(jì)算機(jī)無法啟動。為了避免這些現(xiàn)象的發(fā)生，我們有必要限制用戶使用帶有密碼的屏幕保護(hù)。設(shè)置時，首先運(yùn)行regedit命令打開注冊表編輯器窗口，然后在該窗口中依次單擊如下鍵值：CURRENT_USER\ControlPanel\desktop\ScreenSaveUsePassword，接著修改ScreenSaveUsePassword的值，如果把該值設(shè)置為0，表示為屏幕保護(hù)不設(shè)密碼，如果設(shè)置為1則使用預(yù)設(shè)的密碼，我們根據(jù)自己的需要設(shè)置就行了。

78BNCC第七十八頁，共一百三十七頁。注冊表安全實(shí)例屏蔽工作組信息HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies\NetworkNoNetSetupIDPage雙字節(jié)1去掉訪問控制選項(xiàng)HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies\NetworkNoNetSetupSecurityPage雙字節(jié)179BNCC第七十九頁，共一百三十七頁。注冊表安全實(shí)例隱藏一個服務(wù)器

1、打開注冊表編輯器，并在編輯器對話框中用鼠標(biāo)依次單擊如下分支：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters鍵值。

2、用鼠標(biāo)單擊該鍵值下面的Hidden數(shù)值名稱，如果未發(fā)現(xiàn)此名稱，那么添加一個，其數(shù)據(jù)類型為REG_DWORD。

3、接著用鼠標(biāo)雙擊此項(xiàng)，在彈出的“DWORD編輯器”對話框中輸入1即可。

4、最后單擊“確定”按鈕，并退出注冊表編輯窗口，重新啟動計(jì)算機(jī)就可以在局域網(wǎng)中隱藏一個服務(wù)器了。

80BNCC第八十頁，共一百三十七頁。注冊表安全實(shí)例不允許用戶撥號訪問

如果用戶的計(jì)算機(jī)上面有重要的信息，有可能不允許其他人隨便訪問。那么如何禁止其他人撥入訪問你的計(jì)算機(jī)，減少安全隱患呢，具體步驟為：

1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]；

2、在編輯器右邊的列表中用鼠標(biāo)選擇“NoDialIn”鍵值，如果沒有該鍵值，必須新建一個DWORD值，名稱設(shè)置為“NoDialIn”；

3、接著用鼠標(biāo)雙擊“NoDialIn”鍵值，編輯器就會彈出一個名為“字符串編輯器”的對話框，在該對話框的文本欄中輸入數(shù)值“1”，其中0代表禁止撥入訪問功能，1代表允許撥入訪問功能；

4、退出后重新登錄網(wǎng)絡(luò)，上述設(shè)置就會起作用。81BNCC第八十一頁，共一百三十七頁。注冊表安全實(shí)例限制使用系統(tǒng)的某些特性

1、運(yùn)行注冊表編輯器，進(jìn)入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System鍵值；

2、如果不存在該鍵值，就新建一個；

3、然后將該鍵值下方的DisableTaskManager的值設(shè)為1，表示將阻止用戶運(yùn)行任務(wù)管理器。

4、接著將NoDispAppearancePage設(shè)為1，表示將不允許用戶在控制面板中改變顯示模式；

5、下面再將NoDispBackgroundPage設(shè)為1，表示將不允許用戶改變桌面背景和墻紙。

82BNCC第八十二頁，共一百三十七頁。注冊表安全實(shí)例將文件系統(tǒng)設(shè)置為NTFS格式

1、打開注冊表編輯器，并在編輯器中依次展開以下鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\；

2、在注冊表編輯器中用鼠標(biāo)單擊“編輯”菜單，并在下拉菜單中選擇“新建”菜單項(xiàng)，并在其彈出的子菜單中單擊“DWORD值”；

3、在編輯器右邊的列表中輸入DWORD值的名稱為“NtfsDisableLastAccessUpdate”；

4、接著用鼠標(biāo)雙擊NtfsDisableLastAccessUpdate鍵值，編輯器就會彈出一個名為“字符串編輯器”的對話框，在該對話框的文本欄中輸入數(shù)值“1”，其中0代表“取消”該項(xiàng)功能，1代表“啟用”該項(xiàng)功能。

83BNCC第八十三頁，共一百三十七頁。主頁被改

1、IE默認(rèn)連接首頁被修改IE瀏覽器上方的標(biāo)題欄被改成“歡迎訪問……網(wǎng)站”的樣式，這是最常見的篡改手段，受害者眾多。受到更改的注冊表項(xiàng)目為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

84BNCC第八十四頁，共一百三十七頁。主頁被改

解決辦法：①在Windows啟動后，點(diǎn)擊“開始”→“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedit，然后按“確定”鍵；②展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“StartPage”雙擊，將StartPage的鍵值改為“about:blank”即可；③同理，展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部分窗口中找到串值“StartPage”，然后按②中所述方法處理。

85BNCC第八十五頁，共一百三十七頁。主頁被改特殊例子：當(dāng)IE的起始頁變成了某些網(wǎng)址后，就算你通過選項(xiàng)設(shè)置修改好了，重啟以后又會變成他們的網(wǎng)址啦，十分的難纏。其實(shí)他們是在你機(jī)器里加了一個自運(yùn)行程序，它會在系統(tǒng)啟動時將你的IE起始頁設(shè)成他們的網(wǎng)站。

解決辦法：運(yùn)行注冊表編輯器regedit.exe，然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵，然后將其下的registry.exe子鍵刪除，然后刪除自運(yùn)行程序c:\ProgramFiles\registry.exe，最后從IE選項(xiàng)中重新設(shè)置起始頁就好了。86BNCC第八十六頁，共一百三十七頁。主頁被改2、篡改IE的默認(rèn)頁有些IE被改了起始頁后，即使設(shè)置了“使用默認(rèn)頁”仍然無效，這是因?yàn)镮E起始頁的默認(rèn)頁也被篡改啦。具體說來就是以下注冊表項(xiàng)被修改：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Main\Default_Page_URL“Default_Page_URL”這個子鍵的鍵值即起始頁的默認(rèn)頁。

解決辦法：運(yùn)行注冊表編輯器，然后展開上述子鍵，將“Default_Page_UR”子鍵的鍵值中的那些篡改網(wǎng)站的網(wǎng)址改掉就好了，或者設(shè)置為IE的默認(rèn)值。

87BNCC第八十七頁，共一百三十七頁。主頁被改主要是修改了注冊表中IE設(shè)置的下面這些鍵值(DWORD值為1時為不可選)：[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"Settings"=dword:1[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"Links"=dword:1[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"SecAddSites"=dword:1

解決辦法：將上面這些DWORD值改為“0”即可恢復(fù)功能。

88BNCC第八十八頁，共一百三十七頁。主頁被改

4、IE的默認(rèn)首頁灰色按扭不可選這是由于注冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\

InternetExplorer\ControlPanel下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”，被修改為“1”（即為灰色不可選狀態(tài)）。

解決辦法：將“homepage”的鍵值改為“0”即可89BNCC第八十九頁，共一百三十七頁。主頁被改5、IE標(biāo)題欄被修改在系統(tǒng)默認(rèn)狀態(tài)下，是由應(yīng)用程序本身來提供標(biāo)題欄的信息，但也允許用戶自行在上述注冊表項(xiàng)目中填加信息，而一些惡意的網(wǎng)站正是利用了這一點(diǎn)來得逞的：它們將串值WindowTitle下的鍵值改為其網(wǎng)站名或更多的廣告信息，從而達(dá)到改變?yōu)g覽者IE標(biāo)題欄的目的。具體說來受到更改的注冊表項(xiàng)目為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\

Main\WindowTitleHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\

Main\WindowTitle

90BNCC第九十頁，共一百三十七頁。主頁被改解決辦法：①在Windows啟動后，點(diǎn)擊“開始”→“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedit，然后按“確定”鍵；

②展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“WindowTitle”，將該串值刪除即可，或?qū)indowTitle的鍵值改為“IE瀏覽器”等你喜歡的名字；③同理，展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main然后按②中所述方法處理。91BNCC第九十一頁，共一百三十七頁。主頁被改

6、IE右鍵菜單被修改受到修改的注冊表項(xiàng)目為：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt下被新建了網(wǎng)頁的廣告信息，并由此在IE右鍵菜單中出現(xiàn)！

92BNCC第九十二頁，共一百三十七頁。主頁被改解決辦法：打開注冊標(biāo)編輯器，找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt刪除相關(guān)的廣告條文即可，注意不要把下載軟件FlashGet和Netants也刪除掉啊，這兩個可是“正?！钡难剑悄悴幌朐贗E的右鍵菜單中見到它們。93BNCC第九十三頁，共一百三十七頁。主頁被改7、IE默認(rèn)搜索引擎被修改在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實(shí)現(xiàn)網(wǎng)絡(luò)搜索，被篡改后只要點(diǎn)擊那個搜索工具按鈕就會鏈接到那個篡改網(wǎng)站。出現(xiàn)這種現(xiàn)象的原因是以下注冊表被修改：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Search\CustomizeSearchHKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Search\SearchAssistant

94BNCC第九十四頁，共一百三十七頁。主頁被改解決辦法：運(yùn)行注冊表編輯器，依次展開上述子鍵，將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個搜索引擎的網(wǎng)址即可。

95BNCC第九十五頁，共一百三十七頁。主頁被改8、系統(tǒng)啟動時彈出對話框受到更改的注冊表項(xiàng)目為：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Winlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的標(biāo)題，“LegalNoticeText”是提示框的文本內(nèi)容。由于它們的存在，就使得我們每次登陸到Windwos桌面前都出現(xiàn)一個提示窗口，顯示那些網(wǎng)頁的廣告信息！你瞧，多討厭啊！

96BNCC第九十六頁，共一百三十七頁。主頁被改解決辦法：打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Winlogon這一個主鍵，然后在右邊窗口中找到“LegalNoti