知己知彼
如何判断自己是遇到了恶意网站的攻击,症状多种多样:
1. 开机自动登录网站。
2. 启动IE,自动登录网站,无法修复主页设置。
3. IE不断打开窗口。
4. 修改[主页]按钮和[搜索]按钮。
5. 修改右键菜单,甚至屏蔽右键菜单。
6. 更改收藏夹的内容。
7. 安装自动拨号程序。
8. 自动安装木马程序。
9. 自动格式化硬盘或删除某个文件夹中的所有文件。
10. 更新文件关联和锁死EXE程序。
11. 锁死注册表。
……
★对症下药
了解了症状,就要对症下药了!
一、备份
建议使用“超级兔子魔法设置”中的“注册表优化”进行备份,软件能将Classes.dat、System.dat、System.ini、User.dat、Win.ini等文件全部备份下来,上面提到的前五种恶意网站无非就是通过修改这些文件来达到其目的的。
二、弃用IE
大部分的攻击目标都是IE。如果我们用MyIE2(强烈建议使用Ver 0.8.220这一版本)代替IE浏览器,恶意网站就无的放矢了。MyIE2在启动时能够绕开主页直接打开空白页,而且还能保护主页不被修改。如果开机就自动运行IE,要先用超级兔子魔法设置中的“自动运行”功能将网址删除,再用MyIE2代替IE。
注意:这两个功能在默认状态下是关闭的,您要在[选项]→[MyIE2选项]→[常规]中和“启动时”中将其打开。由于MyIE2使用IE的内核,所以请勿删除IE。
三、解救被封死的收藏夹
某些恶意网站会对收藏夹进行修改,大多是通过修改“C:\ Windows/Favorites”中的“Desktop.ini”文件来实现的,所以只要删除这个文件就可以了。如果根本就无法打开“C:\ Windows\Favorites”文件夹,就到DOS下进行删除(要先用“attrib -r -s -h”后才能将其删除)。另外,“收藏夹”中的内容并没有被删除,只是放入了另一个文件夹中,名称和“Favorites”差不多(如“Favorites2”等),如果想恢复原来的“收藏夹”,只要剪切一下就可以了。
如果是将系统默认的“收藏夹”路径设置成指定的目录(如“C:\ Windows\Favorites2”等),只要恢复正常的“注册表”就一切OK了。
四、定期还原正常的注册表
如果遇到安装自动拨号程序的情况,你可要小心啦,小心惊人的国际长话费。对付它,最好是定期还原正常的注册表!这样做虽然不能彻底删除此类恶意程序,但却能让其完全禁止运行,因为这类程序是通过修改注册表来达到随机运行的目的的(只有极少数是在“开始”菜单的“启动”项内做文章),只不过我们无法通过手工删除干净。
这个方法对于自动安装木马程序的情况也同样适用。
五、防止硬盘被格式化
对于自动格式化硬盘的恶意网站,要把“C:\Windows\COMMAND”文件夹中的format.com、Fdisk.exe、Deltree.exe这三个程序文件删除或进行改名,因为这些恶意代码是需要这些程序才能够发挥“威力”的,只要让这些恶意代码找不到它们,您的电脑也就安全了!
六、打开“锁死”的程序
对于被锁死的EXE程序,只要事先已将“C:\Windows”目录下正常的Classes.dat、System.dat、User.dat、System.ini、Win.ini这五个文件备份下来,在“中招”后用正常的文件覆盖一下并重新启动就OK了(注:Windows 95和98中可能没有Classes.dat文件,而且Windows 97以下版本的操作系统用此方法无效!甚至会使整个系统瘫痪。)。如果连复制都被禁止了的话,您可用启动盘到DOS下进行覆盖复制。
七、“防”要胜于“治”
通常恶意网站都披着具有“诱惑力”的外衣,设下诱人的陷阱让您“中招”。所以一定要意志坚强,抵制住诱惑。只要您能做到“任你花言巧语,我自岿然不动”。那么,什么样的陷阱也奈何不了您。
另外,现在有很多恶意网站开始通过即时通讯软件来传播了,比如QQ、ICQ等,方式虽然多种多样,但通常是在对方网友的话后面又发来了一个网站信息,有的会附有一些带有“诱惑性”的话(如:“看看我的样子”等),有的只是一个有着诱人域名的网址,对于这样的网站,原则也同样——就是不上当!
五。★★★win2000/xp忘记密码的方法
1。清除sam文件:
winnt系列的系统账户信息是存在%systemroot%\system32\config\sam这个注册表文件里的。如果系统里没有重要的账户,或者账户比较少,用删除%systemroot%\system32\config\sam的方法是比较简单的,不过因为系统会还原为只有administrator(密码为空)和guest二个账户,所以有些程序因为它们所依赖的账户丢失了,如iis、vmware就不能启动了。
原来听说这种方法只能适用于nt workstation系列(2kpro),不能用于server,我在2000professional和2000 advanced server上试验都是成功的。不知道为什么会有上述说法,可能是活动目录ad下不行把。
当然首先你要能够访问系统分区,来把sam文件改名或者删除。如果是fat32、fat分区,使用98启动盘就行了。如果是ntfs分区,可以使用winternal的ntfs for dos、ntfs for 98或者是支持ntfs的启动光盘,再或者挂到其他win2000、linux等机器上,再再或者重新安装一个新的win2000。
2。专用工具:
windows管理员密码丢失还有一个解决方法是使用petter nordahl-hagen的the offline nt password editor(http://home.eunet.no/~pnordahl/ntpasswd/),这个工具是离线修改注册表文件sam来设置密码的。需要用他的映像文件制作启动盘来引导,进而访问ntfs分区重新设置密码;虽然作者经常更新他的程序,不过我还是会担心他直接操作sam文件的安全性,可能有时会导致系统出错。
可能还有其他类似工具把,恕我无知。
3。 还有一种想法就是用一个修改密码的小程序来替换系统启动的必要程序,然后系统启动时就会替换密码,随后把被替换的程序在还原就行了。当然首先你还是要能够访问系统分区,来替换随系统启动的程序。
替换系统启动的必要程序的一种方法是我写的一个清除administrator密码的小程序(cleanpwd),他所作的就是把administrator密码清空。使用方法如下:
(2).用法
1) 用双系统或者启动盘或者挂到别的系统上,如果是ntfs分区其他系统或启动盘要能读写ntfs分区,把windows安装目录下的system32\svchost.exe改名svchost.bak.exe备份,把cleanpwd.exe拷贝成svchost.exe。
2) 启动该系统,就把administrator的密码清空了,可以直接登陆。
3) 把svchost.bak.exe 恢复就行了。(如果使用替换的是svchost,最好再启动rpc服务)
(3).为什么选用svchost.exe而不是其他程序。
每个windows2000系统都有这几个进程,
system(kernel executive and kernel)
smss(session manager)
csrss(win32 subsystem)
winlogon(logon process)
services(service control manager)
lsass(local security authentication server )
如果任何一个被杀掉或者出错,系统将重新启动。不过在lsass启动之前你不能修改密码,所以不能选用这几个程序。
另外系统中一般还有以下一些程序:
svchost.exe(remote procedure call (rpc) 还有其他一些服务)
wbem\winmgmt.exe(windows management umentation)
mstask.exe(task scheduler)
regsvc.exe(remote registry service)
可能还有其他服务程序,你可能禁止了除rpc之外的其他服务,但不会禁止rpc,否则系统工作就不正常了。所以我选择了svchost,如果你知道其他服务会自动启动,你也可以选择它。
当然如果系统安装了杀毒软件的话,你替换杀毒软件也可以,因为一般杀毒软件都会在系统启动是启动杀毒防火墙来杀毒的。
(4).其他
有这个想法是几个月之前了,不过一直没有写这个程序 程序运行会在c:\cleanpwd.txt记一个简单的日志,我也附了源码,你可以任意修改它以满足自己的要求,比如添加一个用户而不是修改管理员的密码(或者你把管理员改名了)。
4。我还在一个网站上看到这样一个方法:
就是把%systemroot%\system32\logon.scr替换为cmd.exe或者explorer.exe,然后在系统登陆处等待,过一会,系统就会去运行logon.scr这个屏保,因为你替换了这个屏保文件,所以实际上运行的是cmd.exe或者explorer.exe,并且是localsystem权限,于是你可以随便了,最简单的就是在cmd.exe里运行net user administrator "",成功后管理员密码也被清空了,关闭cmd或者explorer就可以用空口令登陆了。
其实这种方法和上边的那种思路是一致的。
================= code begin =======================
#include
#include
#include
#include
#include
#pragma comment(lib, "netapi32.lib")
#define lof_file "c:\\cleanpwd.txt"
dword setuserpwd(char *user, char *pass);
void banner(file *fp)
{
if(null == fp)return;
fprintf(fp, "clean administrator''s password tool 1a. for lost password.\n");
fprintf(fp, " by [email protected]\n");
fprintf(fp, "website: www.9upk.com\n");
}
int main(int argc, char *argv[])
{
banner(stderr);
file *fp = fopen(lof_file, "a");
if(fp)
{
fprintf(stderr, "log in file %s\n", lof_file);
banner(fp);
}
if(!fp) fp = stderr;
char buff[256];
fprintf(fp, "%s: clean administrator''s password ", _strtime(buff));
dword n = setuserpwd("administrator", "");
if(nerr_success == n) fprintf(fp, "ok.\n");
else fprintf(fp, "failed, error:%d\n", n);
fclose(fp);
return -1;
}
dword setuserpwd(char *user, char *pass)
{
wchar_t wuser[pwlen], wpass[pwlen];
user_info_1003 ui;
mbstowcs(wuser, user, strlen(user)+1);
mbstowcs(wpass, pass, strlen(pass)+1);
ui.usri1003_password = wpass;
return netusersetinfo(null, wuser, 1003, (lpbyte)&ui, null);
