參考網頁:
遠端主機弱點掃描何須花大錢?Nessus給你免費而強大的弱點掃描機制
http://home.digitimes.com.tw/print.aspx?zNotesDocId=0000067654_A5S8KZ54FM67K3Z39E2YX
2008年1月31日 星期四
2008年1月16日 星期三
安全事件處理
Windows平台下的安全事件處理
資料來源 : http://www.cert.org.tw/document/column/show.php?key=80
Windows平台常用網路安全測試軟體介紹
資料來源 :http://www.cert.org.tw/document/column/show.php?key=91
Unix平台常用網路安全測試軟體介紹
資料來源 :http://www.cert.org.tw/document/column/show.php?key=92
Linux下的安全工具
資料來源 :http://www.cert.org.tw/document/column/show.php?key=78
常見網路監聽手法分析與防護策略
資料來源 :http://www.cert.org.tw/document/column/show.php?key=84
架設安全網路環境
資料來源 :http://www.cert.org.tw/document/column/show.php?key=107
弱點修補管理
資料來源 :http://www.cert.org.tw/document/column/show.php?key=105
資料來源 : http://www.cert.org.tw/document/column/show.php?key=80
Windows平台常用網路安全測試軟體介紹
資料來源 :http://www.cert.org.tw/document/column/show.php?key=91
Unix平台常用網路安全測試軟體介紹
資料來源 :http://www.cert.org.tw/document/column/show.php?key=92
Linux下的安全工具
資料來源 :http://www.cert.org.tw/document/column/show.php?key=78
常見網路監聽手法分析與防護策略
資料來源 :http://www.cert.org.tw/document/column/show.php?key=84
架設安全網路環境
資料來源 :http://www.cert.org.tw/document/column/show.php?key=107
弱點修補管理
資料來源 :http://www.cert.org.tw/document/column/show.php?key=105
2007年12月18日 星期二
安裝好用的虛擬機器 VirtualBox
參考源 : http://mr-cat-liolee.blogspot.com/2007/06/virtualbox.html
1. 讓虛擬機器透過Bridge的方式進行連線,這樣的話就可以讓真實機器與虛擬機器處在同一層網域中,缺點是虛擬機器將會直接暴露在網路上,會有安全性的問題!
2. 安裝Additions工具,利用本身的功能將資料夾分享出來,優點是可以保持真實機器與虛擬機器的獨立性,缺點是仍然無法直接連線虛擬機器,如果要測試的功能常常會需要用到網路連線就不適用......
一方面可以保持連線,一方面又可以直接交換檔案,實際作法如下:
......................
1. 讓虛擬機器透過Bridge的方式進行連線,這樣的話就可以讓真實機器與虛擬機器處在同一層網域中,缺點是虛擬機器將會直接暴露在網路上,會有安全性的問題!
2. 安裝Additions工具,利用本身的功能將資料夾分享出來,優點是可以保持真實機器與虛擬機器的獨立性,缺點是仍然無法直接連線虛擬機器,如果要測試的功能常常會需要用到網路連線就不適用......
一方面可以保持連線,一方面又可以直接交換檔案,實際作法如下:
......................
2007年12月17日 星期一
KAVO的說明及快速解法
轉貼自: 「怪貓」的部落格
http://tw.myblog.yahoo.com/jw!ljyxR6.BFU.mrG8YGw--/article?mid=107&sc=1
的說明及快速解法(也可以解決C、D、E、F槽不能開的問題)
分類:資訊安全
2007/08/31 09:55
KAVO.病毒說
它會在你的所有磁碟機中的根目錄中產生4個檔案
c:\「autorun.inf(自動執行檔) 及 ntdelect.com(kavo病毒)」
這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟裝置就會被變成傳染媒介。
c:\windows\system32\「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。(也就是無法檢視隱藏檔)
另一個動作是,將病毒檔複製到→接上電腦的磁碟裝置(如隨身碟)
▲檢查方法:在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定,有開出記事本就要注意了!
open=ntdelect.com (在open後面就是病毒檔名,也就是一開始要執行的檔案)
★:千萬要小心不要刪到系統碟底下的「ntdetect.com」刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這才是病毒檔;ntdetect.com 這是系統開機會用到的檔案
(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)
------------------------------------- 2007/11/05開放下載-------------------------------------
這是給XP用的解法:
快速解法下載:
載點:「http://www.zshare.net/download/4730003dd50c4b/」 「http://www.zshare.net/download/566658227053cb/」(12/16更新)★:第一次點進去會開廣告出來,之後再點一次就可以下載了(畢竟他們也是要生存的)。
解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了!『快速又有效』
------------------------------------- 2007/11/05開放下載-------------------------------------
■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。
★注意:你的隨身碟現可能是這隻病毒的傳染媒體,請參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)
隨身碟病毒的處理可以參考針對目前木馬病毒預防措施! !
手動製作「解除kavo檔」:
請將「分隔線」中的資資、複製起來貼到「記事本」另存新檔,存成「del-kavo.bat」的檔案就好了。
如系統是 Win2K或是XP是家用版的話請用「工作管理員」先將「explorer.exe」給結束工作後再執行「del-kavo.bat」就完成解毒了。
---------------------------分隔線---------------------------@echo off
echo 開始解除kavo木馬病毒,請按下任意鍵...
pause >nul 2>nul
@set A=C D E F G H I J K L M N O P Q R S T U V W X Y Z
@set T=這個資料夾是用來防病毒的,所以故意取跟病毒的檔名一樣,這樣就能防止病毒寫入!「請勿刪除!」,近期發現部份軟體會將「AutoRun.inf」的資料夾給刪除掉,請隨時注意這個資料夾是否存在。 怪貓...
start /wait taskkill /f /im explorer.exe
cls
echo.
rem 刪除登錄檔中KAVO病毒的起動值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tasa" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mnsa" /f >nul 2>nul
echo.
rem 刪除個磁碟中的autorun.inf及ntdelect.com的病毒檔,並建立同名的資料夾,用以防止病毒寫入,屬性改成「唯讀、隱藏、系統」
for %%x in (%A%) do (
@if exist %%x:\autorun.inf attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul
@del %%x:\autorun.inf /q /f >nul 2>nul
@if exist %%x:\ntdelect.com attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul
@del %%x:\ntdelect.com /q /f >nul 2>nul
@if exist %%x:\ntdeIect.com attrib -r -s -h -a %%x:\ntdeIect.com >nul 2>nul
@del %%x:\ntdeIect.com /q /f >nul 2>nul
@if not exist %%x:\AUTORUN.INF md %%x:\AUTORUN.INF >nul 2>nul
@attrib +r +s +h %%x:\AUTORUN.INF >nul 2>nul
@if not exist %%x:\NTDELECT.COM md %%x:\NTDELECT.COM >nul 2>nul
@attrib +r +s +h %%x:\NTDELECT.COM >nul 2>nul
@if not exist %%x:\NTDEIECT.COM md %%x:\NTDEIECT.COM >nul 2>nul
@attrib +r +s +h %%x:\NTDEIECT.COM >nul 2>nul
@echo %T%> %%x:\AUTORUN.INF\README.TXT
@echo %T% > %%x:\NTDELECT.COM\README.TXT & cls
@echo %T% > %%x:\NTDEIECT.COM\README.TXT & cls)
rem 病毒感染用的檔案刪除完成
echo.
rem 將被鎖定的隱藏檢視功能開啟(登錄檔)
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul
rem 已修復無法開啟檢視隱藏檔的功能,有需要請到資料夾中的資料夾選項去開啟檢視隱藏的功能,不需要就別開
cls
echo.
rem 刪除kavo的病毒主程式
attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul&echo.&echo.& del "%windir%\system32\kav*.*" >nul 2>nul
echo.
@for %%z in (KAVO.EXE KAVO0.DLL KAVO1.DLL KAVO2.DLL) do (if not exist "%windir%\system32\%%z" md "%windir%\system32\%%z" >nul 2>nul
attrib +s +h +r "%windir%\system32\%%z"
echo %T% > "%windir%\system32\%%z\README.TXT")
@cls
echo 刪除完成,kavo的病毒已成功解除,各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的!
echo.
echo 解毒完成,請將此畫面『關閉』後就可正常使用了,不過還是建議重開機會比較好。
echo 可以的話請將防毒軟體的病毒碼更新後再做一次全系統的病毒掃瞄,會更好只是會浪費很多時間。
call explorer.exe---------------------------分隔線---------------------------
更新說明:
9/4 把之前寫錯的nddelect.com改正為ntdelect.dll
9/5 增加建立KAVO0.DLL、KAVO1.DLL的資料夾
9/6 增加建立KAVO.EXE、NTDELECT.COM的資料夾
9/8 改用IF判斷,正確率提高不少,不過少部份電腦會停住不動(關閉再執行一次就好了)
9/29 修改成只要執行一個檔案就好了,順便解決大家常見的問題(內有說明),省下重開機的時間
10/13 拿別人的電腦來測試同學寄給我的病毒,發現到這隻病毒的母木馬會存在「c:\windows\debug\」裡面,檔案為「.dll 和 .exe」,不定時會生出「ubs.exe」
10/15 新發現! 「ubs.exe」就是kavo病毒
ubs.exe 的來源是從信件中來的「如:開啟夾帶的執行檔後會開一張美女圖」你就被值入母木馬了(防毒軟體掃不到),接下來就會不定時產生ubs.exe 及 ubs[1].exe 。
解毒方法我還再整體(編寫解毒檔中),現在又確定了kavo的病毒主要的目地就是竊取線上遊戲的帳密。
11/05 找到網路空間,已開放下載(原則上我窵的東西全放在裡面,內有說明檔,請先看說明再決定要用那一個檔案)。
11/23 把多於的指令給拿掉了,本來想說多做幾個預防的動作,就是順便解其他的病毒,後來想清楚後,其他解毒檔另外寫就好了,實在是沒比要寫在一起。
12/16 發現病毒變種了,檔名改為「ntdeIect.com」,在批次檔的部份增加了清除的指令。
以上是我的解法,轉貼請注明出處!
畢竟是花了很多時間一邊測試一邊寫出來的檔案,而且批次檔已經很少人再用了,批次檔的好處就是動作透明,不放心的人可用記事本就可以開出來編輯檢視裡面的動作是否安全。
(有極少數人不敢執行! 呵呵~ 要怕的話應該是要怕 *.COM 及 *.EXE之類的檔案吧?)
96/12/16 怪貓
http://tw.myblog.yahoo.com/jw!ljyxR6.BFU.mrG8YGw--/article?mid=107&sc=1
的說明及快速解法(也可以解決C、D、E、F槽不能開的問題)
分類:資訊安全
2007/08/31 09:55
KAVO.病毒說
它會在你的所有磁碟機中的根目錄中產生4個檔案
c:\「autorun.inf(自動執行檔) 及 ntdelect.com(kavo病毒)」
這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟裝置就會被變成傳染媒介。
c:\windows\system32\「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。(也就是無法檢視隱藏檔)
另一個動作是,將病毒檔複製到→接上電腦的磁碟裝置(如隨身碟)
▲檢查方法:在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定,有開出記事本就要注意了!
open=ntdelect.com (在open後面就是病毒檔名,也就是一開始要執行的檔案)
★:千萬要小心不要刪到系統碟底下的「ntdetect.com」刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這才是病毒檔;ntdetect.com 這是系統開機會用到的檔案
(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)
------------------------------------- 2007/11/05開放下載-------------------------------------
這是給XP用的解法:
快速解法下載:
載點:「http://www.zshare.net/download/4730003dd50c4b/」 「http://www.zshare.net/download/566658227053cb/」(12/16更新)★:第一次點進去會開廣告出來,之後再點一次就可以下載了(畢竟他們也是要生存的)。
解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了!『快速又有效』
------------------------------------- 2007/11/05開放下載-------------------------------------
■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。
★注意:你的隨身碟現可能是這隻病毒的傳染媒體,請參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)
隨身碟病毒的處理可以參考針對目前木馬病毒預防措施! !
手動製作「解除kavo檔」:
請將「分隔線」中的資資、複製起來貼到「記事本」另存新檔,存成「del-kavo.bat」的檔案就好了。
如系統是 Win2K或是XP是家用版的話請用「工作管理員」先將「explorer.exe」給結束工作後再執行「del-kavo.bat」就完成解毒了。
---------------------------分隔線---------------------------@echo off
echo 開始解除kavo木馬病毒,請按下任意鍵...
pause >nul 2>nul
@set A=C D E F G H I J K L M N O P Q R S T U V W X Y Z
@set T=這個資料夾是用來防病毒的,所以故意取跟病毒的檔名一樣,這樣就能防止病毒寫入!「請勿刪除!」,近期發現部份軟體會將「AutoRun.inf」的資料夾給刪除掉,請隨時注意這個資料夾是否存在。 怪貓...
start /wait taskkill /f /im explorer.exe
cls
echo.
rem 刪除登錄檔中KAVO病毒的起動值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tasa" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mnsa" /f >nul 2>nul
echo.
rem 刪除個磁碟中的autorun.inf及ntdelect.com的病毒檔,並建立同名的資料夾,用以防止病毒寫入,屬性改成「唯讀、隱藏、系統」
for %%x in (%A%) do (
@if exist %%x:\autorun.inf attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul
@del %%x:\autorun.inf /q /f >nul 2>nul
@if exist %%x:\ntdelect.com attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul
@del %%x:\ntdelect.com /q /f >nul 2>nul
@if exist %%x:\ntdeIect.com attrib -r -s -h -a %%x:\ntdeIect.com >nul 2>nul
@del %%x:\ntdeIect.com /q /f >nul 2>nul
@if not exist %%x:\AUTORUN.INF md %%x:\AUTORUN.INF >nul 2>nul
@attrib +r +s +h %%x:\AUTORUN.INF >nul 2>nul
@if not exist %%x:\NTDELECT.COM md %%x:\NTDELECT.COM >nul 2>nul
@attrib +r +s +h %%x:\NTDELECT.COM >nul 2>nul
@if not exist %%x:\NTDEIECT.COM md %%x:\NTDEIECT.COM >nul 2>nul
@attrib +r +s +h %%x:\NTDEIECT.COM >nul 2>nul
@echo %T%> %%x:\AUTORUN.INF\README.TXT
@echo %T% > %%x:\NTDELECT.COM\README.TXT & cls
@echo %T% > %%x:\NTDEIECT.COM\README.TXT & cls)
rem 病毒感染用的檔案刪除完成
echo.
rem 將被鎖定的隱藏檢視功能開啟(登錄檔)
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul
rem 已修復無法開啟檢視隱藏檔的功能,有需要請到資料夾中的資料夾選項去開啟檢視隱藏的功能,不需要就別開
cls
echo.
rem 刪除kavo的病毒主程式
attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul&echo.&echo.& del "%windir%\system32\kav*.*" >nul 2>nul
echo.
@for %%z in (KAVO.EXE KAVO0.DLL KAVO1.DLL KAVO2.DLL) do (if not exist "%windir%\system32\%%z" md "%windir%\system32\%%z" >nul 2>nul
attrib +s +h +r "%windir%\system32\%%z"
echo %T% > "%windir%\system32\%%z\README.TXT")
@cls
echo 刪除完成,kavo的病毒已成功解除,各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的!
echo.
echo 解毒完成,請將此畫面『關閉』後就可正常使用了,不過還是建議重開機會比較好。
echo 可以的話請將防毒軟體的病毒碼更新後再做一次全系統的病毒掃瞄,會更好只是會浪費很多時間。
call explorer.exe---------------------------分隔線---------------------------
更新說明:
9/4 把之前寫錯的nddelect.com改正為ntdelect.dll
9/5 增加建立KAVO0.DLL、KAVO1.DLL的資料夾
9/6 增加建立KAVO.EXE、NTDELECT.COM的資料夾
9/8 改用IF判斷,正確率提高不少,不過少部份電腦會停住不動(關閉再執行一次就好了)
9/29 修改成只要執行一個檔案就好了,順便解決大家常見的問題(內有說明),省下重開機的時間
10/13 拿別人的電腦來測試同學寄給我的病毒,發現到這隻病毒的母木馬會存在「c:\windows\debug\」裡面,檔案為「.dll 和 .exe」,不定時會生出「ubs.exe」
10/15 新發現! 「ubs.exe」就是kavo病毒
ubs.exe 的來源是從信件中來的「如:開啟夾帶的執行檔後會開一張美女圖」你就被值入母木馬了(防毒軟體掃不到),接下來就會不定時產生ubs.exe 及 ubs[1].exe 。
解毒方法我還再整體(編寫解毒檔中),現在又確定了kavo的病毒主要的目地就是竊取線上遊戲的帳密。
11/05 找到網路空間,已開放下載(原則上我窵的東西全放在裡面,內有說明檔,請先看說明再決定要用那一個檔案)。
11/23 把多於的指令給拿掉了,本來想說多做幾個預防的動作,就是順便解其他的病毒,後來想清楚後,其他解毒檔另外寫就好了,實在是沒比要寫在一起。
12/16 發現病毒變種了,檔名改為「ntdeIect.com」,在批次檔的部份增加了清除的指令。
以上是我的解法,轉貼請注明出處!
畢竟是花了很多時間一邊測試一邊寫出來的檔案,而且批次檔已經很少人再用了,批次檔的好處就是動作透明,不放心的人可用記事本就可以開出來編輯檢視裡面的動作是否安全。
(有極少數人不敢執行! 呵呵~ 要怕的話應該是要怕 *.COM 及 *.EXE之類的檔案吧?)
96/12/16 怪貓
2007年12月9日 星期日
推薦C#記錄log的工具
轉載自 : http://www.cs-open.com/sort/13.html
日誌資訊輸出到各種不同目標的.net類庫。它可以容易的載入到開發專案中,實現程式調試和運行的時候的日誌資訊輸出,提供了比.net自己提供的debug類和trace類的功能更多。log4net是從java下有卓越表現的log4j移植過來的。它是apache基金資助的專案的一部分。
NLog 更新時間(2006-8-2)
NLog是C#編寫的開源日誌類庫 ,它的設計思想是使其簡單而靈活。NLog讓你處理診斷的日誌消息,用相關資訊擴充消息,依照你的選擇格式化日誌消息和把日誌消息輸出到一個或多個目的地。
LogThis 更新時間(2006-8-2)
LogThis是為.NET應用程式提供的一款C#開源日誌框架,它可以嵌入到應用程式之中。
AppLog 更新時間(2006-6-15)
AppLog是一個簡單的應用日誌工具。它使用C#開發,且使用ByteFX MySQL 資料訪問庫.。
C# .NET LOGGER 更新時間(2006-6-15)
C#開發的可擴展日誌工具,有高級消息佇列支援,可以非同步使用。
CSharp Logger 更新時間(2006-6-15)
CSharp Logger是apache繼log4net專案後設計的又一個日誌工具。它用來向Windows的事件日誌寫入debug、info、warn和error四個等級的資訊。
日誌資訊輸出到各種不同目標的.net類庫。它可以容易的載入到開發專案中,實現程式調試和運行的時候的日誌資訊輸出,提供了比.net自己提供的debug類和trace類的功能更多。log4net是從java下有卓越表現的log4j移植過來的。它是apache基金資助的專案的一部分。
NLog 更新時間(2006-8-2)
NLog是C#編寫的開源日誌類庫 ,它的設計思想是使其簡單而靈活。NLog讓你處理診斷的日誌消息,用相關資訊擴充消息,依照你的選擇格式化日誌消息和把日誌消息輸出到一個或多個目的地。
LogThis 更新時間(2006-8-2)
LogThis是為.NET應用程式提供的一款C#開源日誌框架,它可以嵌入到應用程式之中。
AppLog 更新時間(2006-6-15)
AppLog是一個簡單的應用日誌工具。它使用C#開發,且使用ByteFX MySQL 資料訪問庫.。
C# .NET LOGGER 更新時間(2006-6-15)
C#開發的可擴展日誌工具,有高級消息佇列支援,可以非同步使用。
CSharp Logger 更新時間(2006-6-15)
CSharp Logger是apache繼log4net專案後設計的又一個日誌工具。它用來向Windows的事件日誌寫入debug、info、warn和error四個等級的資訊。
c#搜尋關鍵詞 與 xml (temp=====)
1. DirectorySecurity c# 群組
2. c# 檔案權限
3.
4.
5.
xml 新雲網路 → 網路學院 → .NET專區 → XML 相關 → 文章列表
1. http://www.newasp.net/tech/net/techlist_322_2.html
2.C#對XML操作:寫入一筆XML記錄(1)
3.C#對XML操作:寫入一筆XML記錄(2)
2. c# 檔案權限
3.
4.
5.
xml 新雲網路 → 網路學院 → .NET專區 → XML 相關 → 文章列表
1. http://www.newasp.net/tech/net/techlist_322_2.html
2.C#對XML操作:寫入一筆XML記錄(1)
3.C#對XML操作:寫入一筆XML記錄(2)
訂閱:
文章 (Atom)