Windows XP 登錄檔嚴選密技
書號:F038
定價:320 元
施威銘研究室 著
我要線上購買 |
|
本期文摘:徹底清除登錄檔中的駭客程式
本文摘錄自旗標 F038「Windows XP 登錄檔嚴選密技」
一書
近來由於 ADSL 十分普及, 加上連線費用都採無限時數
上網的月費方式, 因此包括筆者在內, 許多人已經習慣
讓電腦持續連線, 保持 Always-online 的狀態。不過
此舉卻也增加了電腦被駭客入侵的風險, 而本章的主角
『駭客程式』正是不肖之徒的作案工具。
駭客程式運作的原理
駭客程式也稱為後門程式, 它通常是由一對 Server 端
與 Client 端程式所組成, 一般 Server 端會常駐於被
害者的電腦提供入侵管道, 而 Client 端則負責與 Ser
ver 端連絡, 也就是駭客實際入侵的工具。這兩者只要
缺了一個, 駭客們就無法成事。
至於 Server 端程式是如何進入被害人電腦中, 想必也
令許多曾被駭客入侵的使用者感到莫名奇妙。其實散佈
Server 端的手法, 依據駭客本身的功力而有所不同,
一般比較常見的有下列 4 種途徑:
◇利用 E-Mail 散佈:將 Server 端程式隱藏於圖片或
遊戲程式中, 然後利用 E-Mail 附加檔案發送出去,
收件者只要開啟圖片或啟動遊戲, 後門程式就會開始
運作。
◇暗藏於免費軟體供人下載:有些不肖的軟體下載網站,
常會將 Server 端程式整合於一些常見、好用的工具
程式中 (如:WinZip、Winamp), 然後供網友免費下載
。使用者只要執行這些動過手腳的程式, 連帶就會將
後門程式安裝到系統中。
◇透過網頁技術:為方便網站和瀏覽者間的互動, 目前
有許多網路技術都可以將資料寫入使用者的電腦中,
如:ActiveX、Java 等。一些深諳程式設計的高手,
便會利用這種技術來散播 Server 端程式, 使用者只
要瀏覽網頁就會遭殃。
◇使用軟體漏洞:最後一種方式是最難防範的, 就是利
用軟體或作業系統先天設計不良所產生的安全性漏洞,
來入侵被害者的電腦。有心人士會利用這種漏洞, 誘
騙軟體或系統主動執行駭客程式, 便可在使用者電腦
安插隱秘的後門, 以供日後入侵之用。此種散佈管道
唯一的防範方法, 就是隨時注意軟體設計公司是否有
釋出修補程式, 並確實依照說明將修補程式安裝到電
腦上, 以防堵無孔不入的駭客。
駭客程式常駐足的機碼
看到這裡您可能還是一頭霧水, 『駭客入侵和登錄檔有
什麼關係?』
前面說過, Server 端與 Client 端兩者都是駭客入侵必
備的工具, 不過即使駭客想盡辦法將 Server 端程式植
入被害者的電腦中, 如果 Server 端程式未被執行, 整
個入侵行動還是無法進行。那要如何確保 Server 端在
植入電腦後會被執行, 甚至在重新開機後也繼續運作?
答案就是利用登錄檔。
一般電腦在開機之時, 有不少程式會自行啟動, 甚至常
駐於系統中, 這都是系統根據登錄檔中的內容來執行的
結果。而駭客們只要將後門程式偷偷加入這個啟動清單
中, 日後 Server 端程式就會不斷在被害人的電腦中反
覆執行。
駭客程式最常駐足的登錄檔機碼多半都是位於 " HKEY_
CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion" 或 " HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion" 兩個機碼之
下, 詳細的位置如下表所示:
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
|
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
雖然目前網路上有流傳不少清除後門程式的工具軟體 (
如:Trojan Remover、Iparmor ), 都可以有效對付這
些不速之客。不過一般人往往是等到電腦被明顯破壞、
或是資料遺失了, 才會發覺電腦被入侵, 然後才思考補
救之道。
其實如果平時能多留意上述說明的這些機碼位置, 看看
系統中是否有莫名的程式會在開機之時自行啟動;如果
查覺到不對勁, 可以先移除可疑的登錄值, 或是利用一
些工具清除駭客程式, 就可收到防患未然的效果。
NetSpy 程式的清除實例
接著我們便以一個網路上知名的駭客程式 - NetSpy 為
例, 說明如何靠著查找登錄檔, 找出駭客作亂的根源,
並進一步將之清除殆盡。
NetSpy 是由大陸玩家所設計的程式, 它的操作簡單、功
能單純, 即使不具網路基本概念也能輕鬆使用, 因此深
受不少功力不深的駭客玩家們喜愛。目前該軟體雖然已
經逐漸轉型為正當的遠端監控程式, 但是舊版程式在網
路上仍廣被流傳。
由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電
腦不幸被植入 Server 端程式, 一般人往往也無法察覺
。不過和其他駭客程式相同, NetSpy 也會在登錄檔中寫
入登錄值, 以確保被害人每次開機時 Server 端程式都
會運作, 因此您只要一一清查前面提及駭客程式時常駐
足的機碼, 很容易就可以把它揪出來:
1. 執行「Regedit」
2. 假設在" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netsp
y "。
3. 選取" Netspy "按" Delete "鍵將其刪除。
PS.提醒您,不要任意更改其他的機碼,以免造成系統
毀損如果在機碼中找不到 Netspy 表示電腦中沒有
被此駭客程式入侵。詳細的操作畫面請參考:
F038 Windows XP 登錄檔嚴選密技
5. 重新開機後,執行「開始 / 搜尋」找出" NetSpy.exe
"後,將其刪除即可。
刪除 NetSpy 的 Server 端程式後, 駭客就無法再輕易
入侵您的電腦, 為求慎重起見, 您也可以再以 Trojan
Remover 等後門程式清除工具, 徹底清查系統上是否還
有其他可疑的程式在活動。
--- 本篇完
|
Inside VCL - VCL 架構剖析
書號:F8350
定價:860 元
李維 著
我要線上購買
| |
新書文摘:VCL Framework 的永續儲存【一】
本文摘錄自旗標 F8350「Inside VCL - VCL 架構剖析
」一書
什麼是永續儲存(Persistence)?
什麼是永續儲存?簡單的說就是一種能夠把一般型態變
數, 例如整數, 浮點數值和字串等, 以及類別物件, 例
如TMyClass, TEdit等元件, 儲存在程序員指定的媒體
或是由串列流物件代表的媒體之中。此外永續儲存機制
也必須能夠進行反向的動作, 把一般型態變數和類別物
件從媒體或是串列流代表的媒體中回復成上次永續儲存
之前的數值和狀態。
許多的程式語言或是Framework都提供程度不一的永續
儲存機制, 有的非常的簡單, 有的卻非常的強大。此外
有的永續儲存機制是具備通用性, 這意謂永續儲存功能
可以使用在Framework的物件之中以及程序員客製化的
類別物件, 而有的永續儲存機制卻僅限於使用在Framew
ok本身的物件中。
永續儲存之中非常重要的衍生技術便是物件永續儲存(O
bject Persistence)以及元件永續儲存(Component Per
sistence)。一般的永續儲存主要允許程序員儲存各種
不同的資料於各種不同的媒體之中, 許多技術或是書籍
也稱之為Serialization。不過永續儲存一般的資料和
永續儲存物件是不太一樣的, 至於永續儲存元件更是有
著大不同, 這是什麼意思呢?讓我們使用數個範例來說
明讀者便可以很清楚的瞭解。
例如下面的TMyFoo1是一個類別物件, 對於提供『物件
永續儲存』的機制而言永續儲存TmyFo1o只需要儲存TMy
Foo1的私有變數即可。
================================================
TMyFoo1 = Class(TObject)
private
AName : String;
ANumber : Integer;
MyMoney : Currency;
…
end;
================================================
但是如果TMyFoo類別中擁有其他的成員, 例如下面TMyF
oo2類別除了私有變數之外, 還有事件處理函式以及特
性值等。
================================================
TMyFoo2 = Class(TObject)
private
AName : String;
ANumber : Integer;
MyMoney : Currency;
…
public
procedure MyEvent1;
procedure MyEvent1;
property MyProperty1…
property MyProperty2…
end;
================================================
那麼這就比較複雜了, 因為對於TMyFoo2在永續儲存時
和TMyFoo1幾乎沒有太大的差別, 也是需要儲存私有變
數以及特性值。至於事件處理函式則不需要儲存。TMyF
oo2和TMyFoo1主要的差別在於當TMyFoo2從媒體中回復
時, 除了閱讀原先儲存的私有變數和特性值之外, 當T
MyFoo2回復到記憶體時, 還必須進行另外一個重要的工
作, 那就是連結剛回復的TMyFoo2物件和記憶體中的事
件處理函式, 這也可以說是連結TMyFoo2中事件處理函
式的指標到正確的VMT表格元素中。這便是『元件永續
儲存』程式語言或是Framework提供的功能, 也是『物
件永續儲存』和『元件永續儲存』差異的地方。
此外『元件永續儲存』還需要處理更為複雜的情形, 例
如在下面的TMyFoo3中, TMyFoo3是繼承自TWinControl,
此外TMyFoo3之中又包含了TMyFoo2物件, 因此當永續
儲存TMyFoo3時, 永續儲存機制必須除了永續儲存TMyFo
o3本身之外, 也必須看看是否需要永續儲存它的父代類
別的內容, 此外又必須能夠永續儲存TMyFoo3包含的TMy
Foo2物件。如果TMyFoo2中又包含其他的物件, 那麼就
必須層層的永續儲存下去。而當回復TMyFoo3時, 又必
須一一的回復所有相關的父代類別和包含物件。
================================================
TMyFoo3 = Class(TWinControl)
Private
AnotherFoo : TMyFoo2;
…
================================================
這些也是『元件永續儲存』必須提供的功能之一。
在讀者瞭解了什麼是永續儲存以及不同的永續儲存之間
的差異之後, 繼續讓我們討論永續儲存的發展史以及不
同的程式語言和Framework提供的永續儲存機制。
--- 未完待續
|
