空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

Windows容易被忽视的安全角落

上一篇 / 下一篇 2008-07-27 06:29:23

现在的用户安全意识越来越强，安全技能也逐渐提高。但是，在 Windows中的某些安全细节被许多人所忽略或者不知。也许正是因为这些细节让我们构建的安全防线落功亏一篑，那么就让我们晒晒这些被遗忘的角落。

$l Y(y8{8yp!V1} D'c0　　1、暴露隐私的index.datIXPUB技术博客+|(yX}#GsP

　　我们知道IE的临时文件会带来安全隐患，造成个人隐私的泄露。正因为如此，大家通过IE浏览器的“工具→Interent选项→常规”，在其窗口中清除临时文件、coolies、历史记录、表单记录等等。这样就万事大吉了吗?殊不知，在IE临时文件夹C:\Documents and Settings\User Name\Local Settings\Temporary Internet Files中有一个Content.IE5子文件夹，这里面保存了一个Index.dat文件。，该文件记录了用户使用IE浏览的历史记录，因为上面的操作中并不会删除index.dat文件。

6hSdn4JnG0　　偷窥者可以通过第三方软件比如“index.dat文件查看器”查看残留在index.dat中的记录，你的浏览记录被暴露无遗。我们可以先在IE下删除历史记录然后运行“Index.DAT File Viewer”，点击“执行”按钮，上网浏览过的网页的URL地址一览无遗。在“url”右侧还有浏览的时间。点选“联机页面查看”右侧的“自动定位”，点击其中的一个url地址，便在下面嵌入的一个简易浏览器中打开打开相应的网页。点选“包括图像”，点击上面的以“http”开头url地址，所有的图片都现行了。(图1)

IXPUB技术博客-U%fE!sd-F/oT-C$g5Z

index.dat

图1 Index.dat文件记录

WV)j*G+uG3U"D.[0
tKJ4Nx-^]!h%C0
\^s!P1weU0 解决办法是删除index.dat文件，但该文件是系统文件一般情况下无法删除，不过我们可以利用第三方工具，比如Tracks Eraser Pro，运行程序后，可以在左侧的“Task”任务列表中看到很多项可以删除的内容，其中Index.dat File也列在其中，对此我们只需要单击“Erase Now”按钮，这样程序则会进行清空，清空完成后再次打开Index.dat File Viewer，你会发现搜索的结果竟然是空白，这说明我们清除成功。(图2)

IXPUB技术博客QKX"Q4Z3[

清除文件

图2 清除文件2、泄密的Thumbs.db

.Bx W)yB)E0

o`*{h3m0　　Thumbs.db是windws系统中缩略图缓存文件，如果你使用缩略图的形式查看图片文件了，在同目录下就会生成一个Thumbs.db文件，该文件保存了文件夹中所有图片的略缩图。大家删除图片文件往往不会删除Thumgs.db文件，因为用户对于系统文件往往讳莫如深。不要以为它是图片缓存没法查看，那你就大错特错了。攻击者可以利用第三方工具查看，ThumbsDBViewer查看。我们测试先用“略缩图”方式查看C:\WINDOWS\Web\Wallpaper下的图片，然后删除所有图片，运行该软件，打开该文件夹下的Thumbs.db，原来被删除的图片文件又重现了。(图3)IXPUB技术博客"r!l7@id^.A'VB

缩略图

图3 缩略图查看器IXPUB技术博客|i9L#G {FB%W

IXPUB技术博客H? @8h^+n4h
IXPUB技术博客1sW+e?/r6~ {%P"~
解决的办法是：打开“我的电脑”，执行“工具→文件夹选项”，在“查看”选项卡下取消对“不缓存略缩图”的勾选见图4，这样系统就不会自动生成略缩图文件了。对于系统中以前生成的Thumbs.db文件，可以通过下面的批处理来批量删除，将代码保存为lst.bat。(图4)IXPUB技术博客&S1o _S1K3~)[%hY

IXPUB技术博客Ry9U"q"cH

文件夹选项 IXPUB技术博客7J-cEB'a4BW

图4文件夹选项设置

]svinB/J"Rl0IXPUB技术博客?Ft5M#M'~k

@echo off

d;VP7E8YS)e _a0　　del c:\Thumbs.db /f/s/q/a

　　del d:\Thumbs.db /f/s/q/a

　　del e:\Thumbs.db /f/s/q/aIXPUB技术博客4\5f5z-V2O

a/x)L7j XJp$z7s0　　del f:\Thumbs.db /f/s/q/aIXPUB技术博客r_S#r;_;vj

8?l'WxBDqF4V0　　exitIXPUB技术博客4r+o@){,? XQ![

+E'v,?@9X yKZ3{V0　　大家根据自己的磁盘分区修改或者添加相关的代码即可。3、藏污纳垢的“System Volume Information”

Sm"^&|z L(uS0　　System Volume Information"文件夹，中文名称可以翻译为"系统卷标信息"。这个文件夹里就存储着系统还原的备份信息。本来是备份系统状态的，但它也被病毒木马盯上了，成了它们的栖息地。因为该文件夹只有system权限，其他用户没有权限，所以就连某些杀毒软件对隐藏其中的病毒也无能为力。那如何来清理其中的病毒木马呢?

　　(1).手工清除。因为该文件夹是system权限，所有要打开它并进行清毒首先要获取权限。操作方法是：打开“我的电脑”执行“工具→文件夹选项→查看”，取消对“使用简单文件共享”和“隐藏受保护的操作系统文件”的勾选“确定”后进入磁盘根目录。比如C盘，右击“System Volume Information”文件夹选择“属性”在“安全”选项卡下，通过“添加→高级→立即查找”选择并添加当前用户，然后赋予其“完全控制”权限。最后进入才c:\System Volume Information就可以删除病毒木马了。(图5)

G`sD;F+IiF L0

System Volume Information IXPUB技术博客wzeU6^bV

图5 System Volume InformationIXPUB技术博客0?7Gez2`x

IXPUB技术博客:o4v4g9qe1S#]BC f

:B.j$NY G WVw0 (2).系统方法。既然该文件是由“系统还原”引起的，如果已经做好了系统备份可以关闭“系统还原”那该文件夹就自动被删除。我们可以通过组策略来彻底关闭系统还原：在运行输入“gpedit.msc”，打开组策略编辑器，定位到“计算机配置→管理模板→系统→系统还原”，双击右边的“关闭系统还原”项选择“已启用”。然后继续定位到“计算机配置→管理模板→Windows组件→终端服务→windows Installer”双击右边的“关闭创建系统还原检查点”选择“已启用”即可。(图6)

系统还原 IXPUB技术博客Y.w6A{,H#z!n

图6 关闭系统还原4、深藏在组策略中的“后门”IXPUB技术博客QruYm,D)o:\

　　往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩，也为大家所熟知。其实，在最策略中也可以实现该功能，不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性，常为大家所忽略，也更危险。

　　比如一个本地用户，临时获得了某台机器的操作权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本，最简单的比如创建一个管理员用户，他可以这样做：

　　(1).创建脚本IXPUB技术博客_z~.z#y,O9Z

(^7N(CNa0　　创建一个批处理文件add.bat，add.bat的内容是：@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。IXPUB技术博客!X9x1F4J7j|

　　(2).后门利用

　　在“运行”对话框中输入gpedit.msc，定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”，在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户，就是他看见并且删除了该用户，当系统关机或者重启是又会创建该用户。所以说，如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。(图7)

;x/r%|5F0[0 IXPUB技术博客 Fb*A~4?on bz

组策略

图7 组策略脚本设置IXPUB技术博客;{x A Vp

5u9})f1MJ"o$w_F0
0v+x*j3O#T\ K9G0 IXPUB技术博客"nEj5] [,JnZ)A
其实，对于组策略中的这个“后门”还有很多利用法。有些远程攻击者通过它来运行脚本或者程序，嗅探管理员密码等等。当他们获取了管理员的密码后，就不用在系统中创建帐户了，直接利用管理员帐户远程登录系统。因此它也是“双刃剑”，希望大家重视这个地方。当你被攻击而莫名其妙时，说不定攻击者就是通过它实现的。 5、被冷落的文件夹

　　(1).system文件夹IXPUB技术博客;^6M#u{w5n&k

~Su;WG({0　　%Windir%\system曾经是windows 98时代的核心文件夹，自从Windows 2000以后system32代替了它。现在的大多数病毒、木马都以占领system32为目标，因此大家对它格外关注。在系统中毒后首先在它的下面看看有没有可疑目标。正是基于用户的习惯有些病毒、木马却盯上了system文件夹。在system文件夹下有很多驱动文件，有些厉害的驱动级别的病毒往往混在其中。因此，这里也应该是系统安全不应忽视的一个角落。(图8)

system

图8 System目录下病毒

g][h;hI-WX0
a"G3T!j h!u0 IXPUB技术博客1z8GLDDP|
(2).dllcache文件夹

F;@kI!q+u9c0　　dllcache文件夹在C:\WINDOWS\system32\下，它是系统文件的备份，因此占用的空间比较大。也正因为如此，它成了所谓的系统“瘦身”技巧开刀的地方。殊不知，dllcache文件夹对于系统的正常运行至关重要。当系统文件被病毒更改或者损坏后，就会通过它下面的同名文件进行恢复。所以，当该文件夹被瘦身kill掉后，受损的系统文件就不能得到恢复从而为系统的稳定运行造成一定的安全隐患。

　　另外，一些病毒木马也深知dllcache文件的重要性，他们在入驻系统更改系统文件的时候也会同时替换其下面的同名文件从而保护自身。因此，这个文件夹非常重要不应该被冷落。IXPUB技术博客6n.w7e@lA

　　6、第三方软件的“利刃”

/thW`'Mmz0　　用电脑就是用软件，用户电脑中的软件数不胜数，对于这些为自己效劳的软件用户还是比较信任的，但有时它们会辜负我们的信任而出卖我们。拿几乎每机一个的WinRar来说吧它可能带给我们伤害。我们知道WinRar支持自解压格式的exe文件，这种格式的压缩文件支持脚本代码，因此可以被人恶意利用。图9

Winrar

图9 Winrar挂马

IXPUB技术博客t!QW]Vk.SPV

]F r2vO@-^0 (1).WinRar挂马IXPUB技术博客.hS ?t.h-\

@#C#ik'wd,h0　　新建一个文本文件，比如lw.txt。在该文件上点击右键选择“添加到压缩文件”，打开如图1所示的窗口，在“压缩选项”中勾选“创建自解压格式压缩文件”选项。：点击“高级”选项卡，在打开窗口中点击“自解压选项”按钮，在“高级自解压选项”窗口中点击“文本和图标”选项卡我们可以在“自解压文件窗口中显示的文本”下的文本框中输入输入跨站代码：IXPUB技术博客]ZQ~'R$X

],h(H8o3T0XB;g0TK0 Path=%systemroot%IXPUB技术博客}D-_#`,Y$L2L#f
　　Setup=lw.exe
I5_a!|5oe0　　Presetup=notepad.exe
V pVn8sp0　　Silent=1IXPUB技术博客[R5bed*C
　　Overwrite=1IXPUB技术博客+w5aO)Kd,[(v;yUe

'dg9ZpnTuJu$uS0　　第一行是文件的解压路径，在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe，达到掩人耳目;第四行是隐藏文件，达到更隐蔽;第五行是覆盖目录下的同名文件，以容错更可靠。双击运行该自解压程序，正常的程序notepand.exe和测试程序lw.exe依次运行，效果如图10。

    << >
U0c u6VUNt8{Y3g0
Fj6e3CXtZ0    可见，我们经常使用的工具也可能给我们带来伤害，这也是我们不可忽视的安全细节。防范的方法是不要直接双击打开后缀为exe的压缩文件，首先打开WinRar，然后通过它打开该压缩文件。其实，除了WinRar之外，其它我们常用的工具如迅雷、暴风影音等也会泄露个人隐私。对此，我们不用因噎废食，关键的是提高自己的安全意识，千万不应该忽视它们潜在的安全隐患，进而采取相应的安全措施。IXPUB技术博客n!q~$OaR

1KTQ^8~fS0 总结：上面列举了几个被许多用户忽视Windows安全角落，目的是引起大家对系统安全的重视。就让我们从这些安全细节开始，打造更安全的系统。IXPUB技术博客n1b+b2y[mm&^