电脑安全 Archives - 孫康的螞蟻窩

September 28, 2015

又見釣魚電郵

由於負責管理公用電郵賬號，很多時候就會收到不少的“壞電郵”。其中，釣魚電郵爲最，而下面要分享的這個，是今天才看到而且製作得不錯的“釣魚電郵”。如果某位管理員睡不醒，很可能也會中招。。。

下面這是其抓圖：

電郵中的訊息，看起來和往常的電郵差不多。電郵來源也是和往常錯誤回彈電郵常用的賬號。再看看内容，也是很正常，或應該說太正常了。

我當時第一時間在想：“欸？服務器更新了？這個訊息很人性化哦~”。

但繼續看下去就奇怪了：“怎麽電郵預設 Port 不是常見的 110 嗎？怎麽變成 486 了？”。

和往常慣例，按任何鏈接前，先檢查其鏈接位置，立刻就露出馬脚了：

看到紅綫的位置嗎？很明顯，這是假的。。。

小心駛得萬年船，心細無大錯。

共勉之。

March 15, 2010

忘记Windows Administrator密码？

前些时候，某位朋友忘记了Windows 2K的密码，最够力的是那是整个电脑中的唯一一个Administrator（最高管理员）密码，要建立新用户户口、增加新设备、重设密码、把普通用户户口提升到管理人权力等等工作，没了这个户口基本上就什么都不用做了。。。

忙碌在网上找了一小时多，试了几个方法都不行，最后让我发现了一个超级容易，超级方便的解决方案，最重要的是：不必重灌系统！！！

现在记录下来，以免忘记了。。。

—————

Offline NT Password & Registry Editor
上面这是这个工具的名称。在它的官网上提供了两种媒介体（CD和现在已经少人用的软盘），看情况自己选择吧～另外还可以利用CD版本中所提供的工具，创造出USB版本。基本上我现在三个版本都有一份。没办法，工作上需要嘛～哪知道什么时候需要用得到？为了避免这个所谓的官网会无端端不见掉，在论坛会上载一份，以作备份。

如何制作，这里就不多说了，自己看官网上的介绍吧！还是蛮简单的。这里说一些特殊的问题，还有解决方案。

问题1：
如果USB不能启动，怎么办？

先检查看看你的电脑是否可以支援用USB启动。在启动电脑后，按下F2进入CMOS设定画面，然后找出Boot Sequence，把USB设置成首个启动媒体，然后储存跳出。如果没有找到，那么就改用其它媒介体吧～

问题2：
成功启动了，但它只是一直在重复跳出很多英文字，等了超过一个小时都还没显示任何提示，只是在哪儿一直不停的跑。。。

这情况很可能是这个工具不能支援你目前使用的硬体设备而造成的。可以尝试把电脑中的硬盘移植到另一台电脑上，然后再试试。你是用这个软件恢复/修改它的密码，所以就算是用不一样的电脑操作，也没问题。修改过后再把硬盘搬回去，开机后除了修改过的密码之外，其余的（如Driver等）都不会有任何更动。

问题3：
Linux诶～！我不会操作啦！怎样用？

其实整个工具在不同的阶段中，都会提供适当足够的提示。小心阅读荧幕上的提示，然后输入你所要的动作，基本上就这么简单。慢慢来，别担心。记得最后一定要做储存哦！

下面是一些基本的操作：

要跳出目前这个阶段，输入符号 ! （感叹号）然后按Enter。
在提示符后面用【】框起来的字眼，都是预设输入。如果你没输入什么，直接按下Enter就是代表输入这个【】中预设的字眼

问题4：
完成啦～但要怎样重启电脑？

简单，输入exit然后按下Enter。再来按下电脑的Reset按键即可。

June 20, 2009

Windows笔记 – 用Notepad截下开机启动程序（补充）

有时候电脑被病毒侵蚀太过严重了，就算是要在电脑上进行去毒工作也非常困难，电脑变得太慢。

可以使用Notepad截下电脑开机时，所自动启动的程序，而不让它进入到记忆体内，进而可以允许技术员有充足时间，可以更加快速的处理完毕中毒的电脑。下面的指令必须要在指令符（Command Prompt）中输入，重启电脑后才见到效果。

截下程序的指令：（把自动启动程式转到notepad启动）
ftype exefile=notepad.exe %1

还原截取指令：（把自动启动程式还原）
ftype exefile=%1 %*

原理是Windows电脑在启动时必须先经历CMOS -> MBR -> Shell -> Explorer -> Run Programs的必定流程。上述指令会让Explorer在Run Program时把notepad当成是预设的启动程式，而把Run Program交由notepad来启动。由于Notepad只处理纯文字，所以这时候会变成有很多个Notepad窗口弹出，每个窗口就代表一个Run Program的程式，内容大部分会是乱码，不必理会。

May 26, 2009

电邮被盗用？

刚才看到家政在论坛问了我一个问题：发现电邮被盗用，怎么办？

其实，如果电邮号被盗用可以是出于两个不同的状况：
1. 电邮号密码不够强，被人猜出来了，然后直接使用你的电邮号发出电邮；
2. 电邮号被外泄，歹徒利用你的电邮号发送电邮。

针对第一个状况，解决方法其实非常简单：更换一个更加强力的密码就行了！

何为强力的密码？下面提供一个非常简单的方法，可以让你轻松的设置一个『强悍』密码之余，也可以轻松的记住，不怕忘记！

最强悍的密码，是利用英文字母+数字+标点符号合成。要创造一个强悍密码，可以使用替代法来『加密』你的密码。

例子1：ivy19880531。

上面这个例子并不是一个强悍的密码。如果是一位精于Social Engineering的解密人员，可以很轻松的就把这个密码猜出来，或者使用解码器运行上最多一个多两星期，也可以破解得了。但如果使用了下来的这种加密手法，破解所需要的时间就是之前的十或百倍了。

例子2：1^7L9bb.S3L

就算是别人站在你的旁边看着你输入，只要手法够快，他们就算是要记牢也非常困难是吧？要不，你试试看不重看上面的例子，直接拿一张纸写下来？怎样？不能记牢吧？但如果是第一个呢？可以记得住吧？

其实两个例子中使用的密码都是一样的，只是后者进行了所谓的『替代加密法』就把它从一个简单的密码，变成一个强悍的密码了。看看下面的表，你就懂了：

i v y 1 9 8 8 0 5 3 1
1 ^ 7 L 9 b b . S 3 L

是的，我把字母『i』用外型相似的『1』来替代、『v』替代成『^』、『y』成『7』、『1』成『L』等等。这样一来整个密码就不一样了。

现在你试试看把上面第二个例子中的密码重新默写出来看看？容易多了吧？
<img src="/plugins/HC_Emoticons/emoticons/red/red%2838%29.png" alt="hoho" longdesc="” border=”0″>

第二个状况就比较复杂多了。

在网络世界中，有一种人专门在网上收集所有BBS、论坛、NewsLetters等等公开场所中所可以拿到的电邮号。然后把他们整理了，再以一定的价钱卖出去给有需要的人。这些有需要的人可能会针对这些电邮号发送广告（就是我们常说的SPAM），或把你的电邮号假装成自己的，用来做发送用途。

在三五年前，这种情况是非常常见的，而且也让ISP们非常的懊恼。在近这两年内，他们开始了反击的动作。其中一个动作就是，不让未经确认的用户使用他们的伺服器来转发电邮。这大大限制了一些初级入门的SPAMMER利用自架电邮伺服来发送电邮，让SPAM大大的减少了。

但由于在网络空间要达到一定的监控力是非常困难的，所以还是有漏洞可以钻。

要解决这个问题，只有一个方法：换一个新的电邮号。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2811%29.png" alt="丢鸡蛋" longdesc="” border=”0″>

不是开玩笑，是真的需要换一个新的电邮号。而且这个新的电邮号永远都只用在收发电邮上面。要加入论坛、BBS、订阅网络报章等等，使用另一个电邮号。这样一来你的电邮号被盗用的机率就会减少很多。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2887%29.png" alt="听不到" longdesc="” border=”0″>相信家政的问题是出在这：订阅或申请太多论坛户口了。。。

要知道你的电邮盗用是处于哪个状况？简单。

先假设你的密码被泄露了。先更换一个密码。
在两个星期内，如果发现被弹回的密码已经大大的减少了，就是你的密码泄漏了。现在要做的是换一个更加『强悍的密码』。

如果还是有源源不绝的回弹电邮，就代表说你是在第二个状况了。是时候换一个新的电邮号了。
<img src="/plugins/HC_Emoticons/emoticons/red/red%288%29.png" alt="傻笑" longdesc="” border=”0″>

May 18, 2009

病毒藏身之处？

拜读了萧繁写的『视窗病毒十大藏身之处』，感觉有一些错误的地方，如果直接回应怕要别人看得太用力了，所以干脆开一个新帖子回应好了。（这也是部落的其一原意所在。）

前言：
其实最近这年来，由于病毒的繁殖比起十年前，要来得容易扩散（感染），但威力却由于系统上面的漏洞慢慢被填补了，而不会有太严重的爆发性。目前最常见的类型不外是Worm、Zombie、木马、恶意网页程序这四种。

Worm类型病毒是最容易感染的，一旦爆发可以把你的电脑全面瘫痪。此类病毒最常见的病症就是会自动帮你的电脑重启、网络接入后整台电脑的处理速度会明显的慢下来等等。早期最出名的就是代号Storm这个病毒，曾经让股票行、Streamyx等服务完全瘫痪了三小时以上，损失以千万美金计算。公司内部网络曾经发生过这病毒的爆发，让我忙了整整6小时，所以记忆非常深刻。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2864%29.png" alt="哼！" longdesc="” border=”0″>

Zombie其实和木马有一些关系。Zombie愿意就是僵尸，顾名思义就是被控制的一群在收到赶尸人的指令后，就会依据指令办事。而木马则是一个后门程序，让有心人可以通过这个后门进入你的电脑，从中得到他所要的讯息。就和木马屠城记一样，让受害人在不知不觉中把重要的密码泄漏出去。其实Zombie类型的程序我们也会常见到，只是你不晓得而已。想一下，有时候你的某位朋友无端端会在MSN中发给你一则讯息，说要介绍你去看某个『有趣』的网站；这就是一种已经被赐予任务的Zombie程序所为。当你在无防备中进入了这个网站，你就会被恶意程式入侵，进而被感染成了另一个Zombie。。。

好了，说了一些病毒的故事，这里开始让我一个一个来慢慢的为大家解读，在萧繁的文章中所发现的一些疏漏：

1.带毒文件在\TemporaryInternetFiles目录下。
由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除

萧繁提出的方法是其中一个比较保守的方法，可行。但在观点上我需要补充一些。

其实由于此目录中储存的都是一些暂存文件，所以视窗并不会有太强的保护。所保护的只是避免里面的暂存文章被其它程序恶意修改，但不是保护它们不被删除。不能轻易删除的原因可能是它们正被使用着，所以不能删除。一般上只要进入了安全模式（Windows Safe Mode），在不打开浏览器的情况下，都可以轻易删除。如果不能删除，极可能是正被某些程式在安全模式中调用着，这一般可以确定是病毒所为，但也有例外的。

2、带毒文件在\_Restore目录下，或者SystemVolumeInformation目录下。

系统还原，是在Windows ME以后的所有视窗版本中内嵌的功能。本来用意是为了让用户在不小心安装错误某些不相容或不完整的程式时、或系统出现问题时，可以快速的回复原状。但由于它自动备份时是不会分辨所备份的是否含毒，所以很多时候会把病毒也一并备份进去。所备份的文件会被压缩在一个档案内，而且会受到系统保护，当自动备份功能在启动状态下，它会被锁死，所以就算是扫毒程序找到任何病毒保存在内也无法删除。所以在清毒时，最好是把这个功能暂时关闭，以保除毒程序可以完全完成它的工作。
（有关这部分曾经和tan_pang在MSN中讨论过。他存有的看法和我不一样，我尊重他的看法。但这是我工作上摸索回来的经验，所以我也保留这个观点。）
<img src="/plugins/HC_Emoticons/emoticons/red/red%288%29.png" alt="掉眼睛" longdesc="” border=”0″>

3、带毒文件在.rar、.zip、.cab等压缩文件中。

现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。

这个解说相信是多年前的了。现在的侦毒软件已经可以检测出常用压缩文件内的病毒，除了上面提到的rar/zip/cab等，还包括7zip/7z等越来越流行的压缩文件格式，甚至于隐藏在图片内的病毒程序也可以侦察出来。（要通过格外的设置。但由于不常见，所以可以不必考虑太多。。。<img src="/plugins/HC_Emoticons/emoticons/red/red%2838%29.png" alt="hoho" longdesc="” border=”0″>）

图片也可以藏毒？比较少见，但确实有这回事！

4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。

这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备，如软盘、闪存盘、移动硬盘上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。

说实在，这种病毒我已经有超过五年完全没有见过它的影踪了。（或许是我已经有一定的安全意识吧？）<img src="/plugins/HC_Emoticons/emoticons/red/red%288%29.png" alt="傻笑" longdesc="” border=”0″>

最近看到的相似病毒是利用电脑中的自动启动程序制作的『感染盘』。这种病毒对Vista并没有多大的杀伤力，但对于比较旧的XP或之前版本就非常容易受到感染。

在Windows XP或旧版本中，当我们放入U盘或光盘时，它都会自动运作。当光盘是影片或唱片，Media Player或相应程式就会自动跳出播放；如果放入的是游戏或程式光碟，你就会看到一个安装画面；如果放入的是资料光碟或U盘，档案管理就会跳出来。。。

这些动作都是在插入媒体时，视窗的自动过程。判决的方法就是取决于你的光碟格式和里面储存的内容。感染盘就是使用这个自动过程，把病毒的启动指令放在一个名为Autorun.inf的文件中。当盘接入电脑时，视窗一旦侦测到主目录内有这个文件，就会自动按照这个文件的内容去做。就算这个文件是被Hide（隐藏）了，系统也会照跑。所以最安全的方法就是把这种自动化功能关闭，或在放入不明其干净与否的光盘或U盘时，按着Shift按键直到硬盘灯完全停止才继续你的操作。

如果你进入Windows Explorer中观看它的文件列表时发现有一个不应该有的文件名为Autorun.inf，那么你就得小心了。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2851%29.png" alt="我啥" longdesc="” border=”0″>

手动删毒方法：
1. 打开Windows Explorer，进入Options–>Folder Options。
2. 进入View。Hide Files And Folders 项目中，改成Show Hidden Files And Folders。
3. 在有问题的光盘或U盘上，按下鼠标右键，选Explore。
4. 在Autorun.inf上面按下鼠标右键，选Open With –> Notepad。
5. 把Notepad中的资料抄下来，然后关闭Notepad。
6. 把Autorun.inf删除。
7. 把（5）中所抄下的文件找出来，然后全部删除。
8. 如果不能删除（7）内的事物，可以打开Task Manager（按下Ctr+Alt+Del，然后选Task Manager），看看是否有任何程式正在Processes中运行。有的话表示你已经中毒了。。。在Processes列表中选取它，然后尝试End Task。不能的话需要重启电脑，进入Safe Mode后再从（1）开始手动除毒。

对于其余的几点，都没有问题。只是针对第十点的处理方案有点建议。

Shared Folder（共享文件夹）其实在电脑安全上是一个很大的漏洞。只要对电脑安全有下过功夫的，都知道共享文件夹的方法并不安全，而且就算是已经设置了安全密码的，只要在网上稍微的搜寻一下，不需要5分钟就可以找到一打方便又好用的程序把所谓的安全密码破解了。相信这对于病毒作者来说，当然也是一个非常重要的病毒感染渠道咯～那么他又有什么理由不把破解法也一并写入病毒内呢？

所以如果没有需要，我都不建议公司甚至个人网络内使用共享文件夹的方式，来分享档案。比较建议的是利用一台不常用的机器来做成分享器，而且它还得安装足够强悍的防毒软件，才能够防止病毒的感染。

在除毒过程中，最好是先把所有的通道都一一封死，包括网络接入、U盘、自动备份功能等等，让病毒无处可逃。等电脑中的病毒清理完成后，再针对所有常用的外接设备全部消毒一遍。这样一来就可以减低重复感染的问题发生了。

有很多人其实有一个错误的观念，以为电脑本身已经有很强悍的防毒作用，防毒软件嘛。。。有就好了。
等电脑在中毒后，才去找一个防毒软件安装、删毒；但不知道这时候就算是安装多么强力的防毒软件都已经不能有所作用了。

好了。暂时就到这里打住。有空再和大家分享一下正确安全使用电脑和网络。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2838%29.png" alt="hoho" longdesc="” border=”0″>