一、xp万能ghost系统分析:
万能ghost系统制作时,是在安装成功后删除windows自带的多余文件,并且删除硬件信息,然后进行系统封装。如果在安装前,制作者有意将某个系统文件替换成木马后门,或者在系统中打开某些端口,开启某些危险服务,留下某些空口令帐户,那么制作出来的ghost系统就会存在各种安全漏洞。这些ghost系统流传出去后使用这些系统的用户可能被作者控制为肉鸡。。。 [http://www.6iyn.com]
二、ghost版系统常见漏洞一览:
[http://www.6iyn.com]
1:空密码远程桌面漏洞,可以用空密码进行3389远程登陆,可以远程进行任务系统操作。用途利用3389漏洞刷Q币,盗取adsl密码账号等等。
[http://www.6iyn.com]
2:隐藏共享漏洞,任何用户都可以访问共享,非默认的ipc$共享,可以发现共享权限为everyone完全控制。用途很多,guest组用户也可以格式化你的硬盘。 [http://www.6iyn.com]
3:administrator用户密码漏洞,不多做介绍了。
[转载自云南网吧技术联盟]
4:起用危险服务,在服务工具中可以发现很多危险服务都被打开,并且远程选项卡中允许用户远程连接到此计算机被启动。
5:防火墙作过手脚,在系统防火墙可看到默认未开启允许通过的项目都被勾选。
[http://www.6iyn.com]
6:流氓软件与后门木马,私自为用户安装很多流氓软件。更恐怖的是将系统文件换成灰鸽子木马!(并且现在有克隆系统文件版本信息的软件,可以把木马文件伪装的外表上看上去和系统文件一样包括标识大小标注等等!)
三、危险ghostxp系统版本检测 [http://www.6iyn.com]
目前已知有问题的版本列表如下: [http://www.6iyn.com]
1:番茄花园系列番茄花园windowsxpprosp2免激活版v2.8和2.9以及新版本 [http://www.6iyn.com]
2:雨林木风系列雨林木风ghostwinxp2v2.0装机版纯净会员版y1.7v1.85以及新版本
3:东海电脑公司版ghostxp_sp2电脑公司特别版v4.0v4.1v5.0v5.1v5.5以及新版本 [http://www.6iyn.com]
大家可在系统属性对话框中查看自己系统版本判断是否存在问题,网上流传的其他ghost系统版本也或多或少的存在如上的安全问题!请谨慎使用! [转载自云南网吧技术联盟]
不要急着接入网络
在安装完成Windows后,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。此时要加上冲击波和震撼波补丁后并重新启动再联入互联网。
给系统打补丁/安装杀毒软件
不用多说,冲击波和震荡波病毒的补丁是一定要打上的,如果你安装了Windows XP SP2则不用再另行安装。Windows XP冲击波(Blaster)病毒补丁下载地址为:点这里下载,震荡波(Sasser)病毒补丁下载地址为:点这里下载。 [转载自云南网吧技术联盟]
安装完系统后,一定要安装反病毒软件,同时将其更新到最新版本。
关闭系统还原
系统还原是Windows ME和Windows XP、Windows 2003中具有的功能,它允许我们将系统恢复到某一时间状态,从而可以避免我们重新安装操作系统。不过,有的人在执行系统还原后,发现除C盘外,其它的D盘、E盘都恢复到先前的状态了,结果里面保存的文件都没有了,造成了严重的损失!这是由于系统还原默认是针对硬盘上所有分区而言的,这样一旦进行了系统还原操作,那么所有分区的数据都会恢复。因此,我们必须按下Win+Break键,然后单击“系统还原”标签,取消“在所有驱动器上关闭系统还原”选项,然后选中D盘,单击“设置”按钮,在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。 [http://www.6iyn.com]
依次将其他的盘上的系统还原关闭即可。这样,一旦系统不稳定,可以利用系统还原工具还原C盘上的系统,但同时其他盘上的文件都不会有事。 [http://www.6iyn.com]
给Administrator打上密码
可能有的人使用的是网上下载的万能Ghost版来安装的系统,也可能是使用的是Windows XP无人值守安装光盘安装的系统,利用这些方法安装时极有可能没有让你指定Administrator密码,或者Administrator的密码是默认的123456或干脆为空。这样的密码是相当危险的,因此,在安装完系统后,请右击“我的电脑”,选择“管理”,再选择左侧的“计算机管理(本地)→系统工具→本地用户和组→用户”,选中右侧窗口中的Administrator,右击,选择“设置密码”。 [转载自云南网吧技术联盟]
在打开窗口中单击“继续”按钮,即可在打开窗口中为Administrator设置密码。
另外,选择“新用户”,设置好用户名和密码,再双击新建用户,单击“隶属于”标签,将其中所有组(如果有)都选中,单击下方的“删除”按钮。再单击“添加”按钮,然后再在打开窗口中单击“高级”按钮,接着单击“立即查找”按钮,找到PowerUser或User组,单击“确定”两次,将此用户添加PowerUser或User组。注销当前用户,再以新用户登录可以发现系统快很多。 [转载自云南网吧技术联盟]
关闭默认共享
Windows安装后,会创建一些隐藏共享,主要用于管理员远程登录时管理系统时使用,但对于个人用户来说,这个很少用到,也不是很安全。所以,我们有必要要切断这个共享:先在d:\下新建一个disshare.bat文件,在其中写上如下语句:
[http://www.6iyn.com]
@echo off [转载自云南网吧技术联盟]
net share C$/del
[http://www.6iyn.com]net share d$/del [http://www.6iyn.com]
netshare ipc$/del
[http://www.6iyn.com]net share admin$ /del
[转载自云南网吧技术联盟]
接下来,将d:\disshare.bat拷贝到C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon文件夹下。然后按下Win+R,输入gpedit.msc,在打开窗口中依次展开“用户配置→Windows设置→脚本(登录/注销)”文件夹,在右侧窗格中双击“登录”项,在弹出的窗口中,单击“添加”命令,选中C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon文件夹下的disshare.bat文件。 [http://www.6iyn.com]
完成上述设置后,重新启动系统,就能自动切断Windows XP的默认共享通道了,如果你有更多硬盘,请在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
[http://www.6iyn.com]
![修改boot.ini产生彩色的启动菜单[附颜色代码]](/upimg/allimg/071116/0456510_lit.gif)
