|
解析来自Autorun.inf文件的攻击(3)(1)
三、防范方法
共享分类完全是由flags标志决定的,它的键值决定了共享目录的类型。当flags=0x302时,重新启动系统,目录共享标志消失,表面上看没有共享,实际上该目录正处于完全共享状态。网上流行的共享蠕虫,就是利用了此特性。如果把"Flags"=dWord:00000302改成"Flags"=dword:00000402,就可以看到硬盘被共享了,明白了吗?秘密就在这里!
以上代码中的Parmlenc、Parm2enc属性项是加密的密码,系统在加密时采用了8位密码分别与“35 9a 4b a6 53 a9 d4 6a”进行异或运算,要想求出密码再进行一次异或运算,然后查ASCII表可得出目录密码。在网络软件中有一款软件就利用该属性进行网络密码破解的,在局域网内从一台机器上可以看到另一台计算机的共享密码。
利用TCP/IP协议设计的NethackerⅡ软件可以穿过Internet网络,找到共享的主机,然后进行相应操作。所以当您通过Modem上网时,千万要小心,因为一不小心,您的主机将完全共享给对方了。
解决办法是把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“C$”、“D$”、“E$”等删掉。然后删除windows\system\下面的Vserver.vxd删除,它是Microsoft网络上的文件与打印机共享虚拟设备驱动程序,再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver键值删掉,就会很安全了。
另外,关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\EXPloer主键下,在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
双击“NoDriveTypeAutoRun”,在默认状态下(即你没有禁止过AutoRun功能),在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00,如图所示(图2)。其中第一个值“95”是十六进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101,其中每位代表一个设备,Windows中不同设备会用如下数值表示:
图 2
设备名称 第几位 值 设备用如下数值表示 设备名称含义
DKIVE_UNKNOWN 0 1 01h 不能识别的设备类型
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器(Drive without root directory)
| 
