Posted by Hacker on 05月 23, 2008
如果你是个学生,那么肯定会又室友动用你的电脑,说不定你的秘密资料就是这样被人用U盘拷走的。但是碍于情面又不好关闭U盘的使用功能,怎么办呢?下面这个软件可以很好的帮你。
如果您用过UsbLog.exe,那么你肯定对本软件不陌生!我所说的USB Viewer可以看做是UsbLog.exe的增强版。
USB Viewer(USB移动存储设备使用记录查看器、U盘使用痕迹清除器)可用于查看本机的USB移动存储设备使用记录。可查看的设备有:U盘、移动硬盘、MP3、SD卡……等。
它可用于兵器、航空、航天、政府、军队等对保密要求较高的单位,可在计算机保密检查抽检的时候使用,也可以当作内部信息安全风险评估的自我评估工具使用。
新版本增加了USB移动存储设备使用痕迹清除功能,可有效清除注册表中的U盘、移动硬盘等移动存储介质的使用记录。此功能请谨慎使用。
当然,据说还有这么个用途:有的计算机USB移动存储设备驱动不正常,比如插入U盘之后不显示,据传:清除一次之后重新插拔该USB设备可正常使用……
UsbViewerU盘使用记录查询工具最新版下载
获得UsbViewer的最新版本:http://www.youxia.org/2008/04/UsbViewer.html
Posted by Hacker on 05月 21, 2008
假如您收到的邮件附件中有一个看起来是这样的文件:QQ 放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF- BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文 件实际上等同于QQ 放送.txt.html.那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化D盘,同时显示“Windows正在配置系统。Plase不打断这个过程。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的。txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第 2行又是干什么的呢?您可能已经注意到了第 2行里的“Ws cript”,对!就是它导演了全幕,它是幕后主谋! Read more »
Posted by Hacker on 05月 21, 2008
受影响系统:
Princeton University WordNet 3.0
描述:
——————————————————————————–
BUGTRAQ ID: 29208
CVE(CAN) ID: CVE-2008-2149
WordNet是普林斯顿大学开发的英语词汇及其词法关系数据库。
WordNet的src/wn.c文件的searchwn()函数以及lib/search.c文件的wngrep()函数在处理发送给wn二进制程序的超长字符串参数时存在栈溢出漏洞:
} else {
sprintf(tmpbuf, “wn: invalid search option: %s\n”, av[j]);
display_message(tmpbuf);
errcount++;
}
远程攻击者可以通过发送带有无效命令行选项的超长字符串请求触发这个溢出,导致拒绝服务的情况。
<*来源:Jukka Ruohonen (drear@iki.fi)链接:http://secunia.com/advisories/30242/ https://bugs.gentoo.org/show_bug.cgi?format=multiple&id=211491*>
建议:
——————————————————————————–
厂商补丁:
Princeton University
——————–
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://wordnet.princeton.edu/
Posted by Hacker on 05月 19, 2008
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:
⑴ 网络系统层次;
⑵ 宿主操作系统层次;
⑶ 数据库管理系统层次。
这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。 Read more »
Posted by Hacker on 05月 17, 2008
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子Vip 2005的服务端程序。本文大部分内容摘自互联网。
G_Server.运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.、 G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.时,生成的文件就是A.、A.dll和A_Hook.dll。 Read more »
Posted by Hacker on 05月 17, 2008
自从有了小区宽带网后,用户无 论查询信息还是娱乐都方便多了,而且ISP都会提供防火墙,这样用户受到外部Internet的攻击就大大地减少了,因此用户可以安全地享受互联网所带来 的乐趣了。但是值得一提的是,虽然外部Internet攻击被隔绝了,但是来自内部网络的攻击就不能不防了。报纸上也曾报道了许多宽带网络用户的文件被人 恶意浏览的新闻,因此内部网络的攻击也不可忽视。首先让我们看下面一个例子。
在浏览器地址栏里填入:\\hunter/c(hunter为你想浏览的网络计算机的名称),然后按下回车键,你就会惊奇地发现:
这不是对方(计算机名为hunter)计算机C盘里的所有内容吗?再试是否有读写权限,结果居然能够在对方计算机有写权限,这是为什么呢?
原来是这样的,微软的NT/2000/XP操作系统默认将每个分区都设置为共享,而 这个共享是默认的操作用户是Administrators组的所有成员,意思就是说,如果你是Administrators组的成员或具有 Administrators的权限你就可以操作该分区上的文件。微软的这个默认原本是为了方便管理远程计算机的,但没有想到给某些用户带来了安全隐患。
虽然要有Administrators组的成员才可以对该分区进行操作,而且大多 数用户NT/2000/XP系统上都是只有administrator及guest两个用户(guest虽是开放的,但没有读写权限),哪里有漏洞呢?但 是有些用户就偏偏露出了漏洞。当其它用户输入\\hunter\c企图登录时,它会提示你输入密码(这个密码就是管理员用户账号密码)。如果有的用户贪方 便,不加管理员密码,又或者使用自动登录时(自动登录会生成一个Administrators组的成员,默认密码为空),就让对方机器有机可乘,输入空密 码就可以进入你的机器了,此时你的计算机里的所有资料就表露无遗了。
总之,为了你机器上资料的安全,请你务必为系统管理员加上密码,而且要加上不易被猜破的密码,养成安全使用计算机的习惯。
Posted by Hacker on 05月 16, 2008
受影响系统:
Oracle Oracle Application Server Portal 10G
描述:
——————————————————————————–
BUGTRAQ ID: 29119
Oracle Application Server Portal(OracleAS Portal)是基于Web的应用程序,用于构建和部署portal。
OracleAS Portal在处理访问认证时存在漏洞,如果远程攻击者在提交的HTTP请求头中添加了特制的cookie值的话,就可以绕过对/dav_portal/portal/目录的基本认证保护,访问dav_portal内容。
<*来源:Deniz CEVIK (Deniz.Cevik@intellect.com.tr)链接:http://marc.info/?l=bugtraq&m=121034703106722&w=2*>
测试方法:
——————————————————————————–
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
首先访问http:/site/pls/portal/%0A ,该请求向cookie中添加特殊的会话ID,然后试图连接http://site/dav_portal/portal/ 就会泄露目录的内容。
建议:
——————————————————————————–
厂商补丁:
Oracle
——
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com
Posted by Hacker on 05月 15, 2008
安全研究人员Aviv Raff近日发布了准许某人控制正在运行Internet Explorer计算机的攻击代码。为以防万一,Raff并没有公布将这种攻击隐藏在何处。
Raff 在本周三的博客日志中写道,“在我博客的某个地方,我嵌入了一种能够利用这种0-day漏洞的概念验证型代码。”这个新漏洞影响着IE 7 与 IE 8,它能够准许一个攻击者在受害人计算机上运行未经认可的软件。Raff表示,在上周二已经将这个漏洞通知了微软,而微软到目前为止还没有为此打补丁。
Raff表示,如果他不公布这种漏洞,微软不会很快地应对这个安全问题。Raff表示,“虽然曾遵循微软的‘有责任揭发漏洞’方针,但微软在修正漏洞问题上太过缓慢。上次我使用它们的‘有责任揭发漏洞’方针时,它们花费了六个月的时间才修正了一行代码。”
要让Raff的攻击生效,黑客首先必须将少量的HTML代码放到一个网站上,然后使受害人相信可以使用那个网站上的一个特定的浏览器特性。
Raff已将代码放置到了他自己的网站上,而且在以后的几天里,他将提供一些关于人们为激发这个漏洞而必须做哪些操作的提示。在被激发时,Raff的这种概念验证型代码会在受害人计算机上启动微软的两个计算器软件,但此代码可被修改以执行某种恶意操作。
本周三,他将发布这个漏洞的完整细节,连同其概念验证型代码。微软未能立即对此发表评论。
Posted by Hacker on 05月 14, 2008
5月12日在四川汶川县发生了7.8级的大地震,由于震区通信中断,大量人群开始通过网络搜索关于汶川的地震视频和图片。而一些不法分子打起了借机 传播木马的歪主意,在网上大肆发布名为震区灾情视频的带毒链接,不明真象的用户一旦点击相关链接,电脑即中毒,轻则电脑系统严重受损,重则被人远程控制, 电脑中所有私密信息随时面临被盗危险。
仅在百度地震吧,12日当日的发回帖数超过十余万,而其中夹杂的许多关于地震灾情的实况视频或图片的不明链接,许多均带有木马病毒。
我们郑重的提醒广大电脑用户,如需要了解具体的震区灾情,可以及时通过新华网、新浪网、网易、搜狐等正 规的官方及门户网站了解,务必不要随意点击论坛或是贴吧上那些不明网站和链接。务必及时升级杀毒软件到最新病毒库,开启主动防御和网页监控,避免电脑遭受 病毒侵害,给私人财产带来不必要的损失。
Posted by Hacker on 05月 13, 2008
最近将安装在Windows XP系统中的诺顿防病毒软件强行卸载之后,发现笔记本电脑突然不能上网,打开网上邻居属性窗口,检查本地连接的属性时,看到TCP/IP参数设置界面中的IP地址竟然“突变”成了“0.0.0.0”。这就奇怪了,笔者先前将笔记本的IP地址设置成动态获取,现在没有对网络参数进行任何修改,IP地址怎么会突然变成“0.0.0.0”呢?
到网上搜索“0.0.0.0”地址时,发现该地址不表示任何计算机和网络,显然本地计算机的IP地址变成“0.0.0.0”,则表示本地的网络接口还没有被正确打开,也就是说笔记本电脑没有从DHCP服务器中获取到真实有效的IP地址,因此笔记本电脑自然也就会出现不能上网的故障了。
那么究竟是什么原因造成了本地计算机的IP地址变成“0.0.0.0”的呢?考虑到IP地址在发生突变前后,笔者没有进行过任何网络参数的改 动,而且在卸载诺顿防病毒软件之前,上网还一切正常呢。看来,IP地址发生突变一定是诺顿防病毒软件引起的。为了进一步验证笔者的猜测,笔者又打开了 Windows XP系统的日志信息,想从中找到一些答案。
果不其然,日志文件中清楚地提示系统出现7300错误,DHCP服务无法正常启动。为了弄清楚引起7300错误的原因,笔者又到网上查阅了这方 面的资料;几经努力,终于明白7300错误的出现主要是由DHCP客户端服务无法正常初始化引起的,一旦DHCP服务不能正确启动,那么Windows XP系统工作站自然也就无法从DHCP服务器中动态获取到合法的IP地址了,这显然就是本地计算机IP地址突然变成“0.0.0.0”的原因了。
根据日志文件的提示,笔者进一步发现了DHCP客户端服务之所以无法正常初始化,主要是由于与DHCP服务有依存关系的SYMTDI服务不能正 常启动造成的。而SYMTDI服务在诺顿防病毒软件运行期间会自动受到它的监控,一旦将诺顿防病毒软件强行卸载掉,SYMTDI服务也就会受到牵连而无法 正常启动。要想让DHCP服务可以正常启动,可以解除该服务与SYMTDI服务的依存关系。
Posted by Hacker on 05月 9, 2008
相信大家都遇到过自己的一些隐私文件不愿意让别人看到的情况吧,怎么解决呢?隐藏起来?换个名字?或者加密?这些办法都可以办到,其实还有一种方法,就是建立一个别人既不能进入又不能删除的文件夹,把自己的隐私文件放进去,别人就看不到啦,下面讲讲如何实现,很简单的。
第一步:在运行中输入cmd,回车,打开命令行窗口
第二步:在命令行窗口中切换到想要建立文件夹的硬盘分区,如D盘
第三步:输入MD 123..\回车,注意文件夹名后有2个小数点
OK,搞定,看看你的D盘下面是不是多了一个名为123.的文件夹了?它是既不能进入又不能被删除的!不信你就试试看吧
那么,如果自己想删除或者进入这个文件夹,又应该如何操作呢?同样也很简单。
如果想删除,在命令行窗口中输入rd 123..\回车,即可删除,当然删除前请确认里面的文件都是不需要的,不要删错了,呵呵。
如果想进入,在命令行窗口中输入start d:\123..\(注意这里一定要是文件夹的绝对路径,否则无法打开即可打开此文件夹),你就可以随心所欲的把不想让别人看到的资料放进去啦!
Posted by Hacker on 05月 6, 2008
网络发展至今日,其便利程度和危险程度也开始同比例增长,越来越多的病毒开始利用Web网页进行传播,这表明了受到出售机密信息的诱人利益所驱使, 网络罪犯已经逐渐将Web作为从事恶意活动的新途径。很多的大型企业也开始受到Web威胁的大面积侵袭,以往的安全解决方案在这些新型威胁面前岌岌可危。
两大流派解决安全问题
目前市场上比较流行的网络安全解决方案存在两大流派,一类是解决桌面安全的产品中,另外一类是网关产品,两者分庭抗礼,各有长处。 Read more »
Posted by Hacker on 04月 30, 2008
2008年4月29日,据国外媒体报道,一个安全智囊团说,它已经在苹果公司的QuickTime多媒体播放器中发现了一个新的漏洞,此漏洞可以被远程操控利用并进而损害升级到SP1的Windows Vista个人电脑或安装Windows XP SP2的计算机。
根据发布于GNU Citizen博客中的有关细节,这个漏洞涉及到一个被恶意伪造的媒体文件。根据黑客社团称之为“pdp.”的Petko D. Petkov的介绍,在一个用户打开这种位于网站上的文件时,QuickTime中的这个漏洞准许黑客完全控制用户机器。 Read more »
Posted by Hacker on 04月 24, 2008
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。 Read more »
Posted by Hacker on 04月 16, 2008
随着网络与信息技术的飞速发展,尤其是在互连网飞速发展的今天,网络已经逐渐改变了人们的生活方式 ,成了生活中不可缺少的一部分。越来越多的企业已经开始建设自己的业务信息系统, 所以网络安全的重要性就此体现出来了。笔者在在中国被黑站点统计系统调查发现2007年 全国共有24516个一级域名网站被篡改,这仅仅还是以知的不包括所有的二级或二级域名以下的网站数据,其中包括: Read more »
