安全之门第五期直播栏目网友问题
作者: 苏樱 发布日期: 2005-5-29 查看数: 368 出自: http://www.neteasy.cn
水手(348775605)
ping xp主机值ttl应该是多少?
答:一般是128
菜鸟快跑(447440249)
我在我们学校网吧里http://www.flashsave.com/usernew.php下载后,然后把上传的那个东西 (FlashSave无限存)下载到我的桌面上为什么不能用啊?你能给我讲解吗苏樱姐姐
答:你说的东西我还没用过。你的目的是要干嘛呢?要保存网页上的flash吗?那直接用mathox浏览器的插件就ok拉。
过客小暹
我的进程里面怎么出现两个WINLOGON\IEXPLORE\EXPORER??G 一个是大写的,一个是小写的,还有每次关机时他都要显示结束进程的这个菜单
答:介绍你两个东西:Procexp.exe和EnumProc.exe,它们能让你看到当前进程是哪个程序调用的,分别调用了哪些Dll,这样能帮助你分析是正常进程还是木马病毒。
过客小暹(339364999)
我的花生壳怎么不上呀?花生壳是怎么设置的呀?谢谢
答:先在花生壳主页注册,然后去申请一个免费域名,然后激活。然后下载花生壳客户端软件,运行后输入会员名和密码,它就能够工作拉。
宵风(55979824)
有一个radmin 的肉鸡上面运行net命令时,出错误代码2,我查了是缺少文件,不知道是缺哪个?
错误信息是:221.xxx.xxx.xxx ******S net 系统发生 2 错误。 系统找不到指定的文件。
2000系统在sqltools的dos里输入net命令不能用
c:\net
显示结果“系统发生 2 错误。 系统找不到指定的文件。”
查了在可搜路径里有net.exe文件
答:net命令是个组合命令,后面要跟参数的,不知道你用的时候是怎么用的,能否说详细一点?我怀疑你是语法不对。
鸭子。游水:
苏樱姐姐:您好!
我提个问题,关于死机的问题,有一台电脑WINXP SP2环境下,装OFFICE 2000 在EXCLE表格中按N个空格键就死机,重装为OFFICE XP后第一次启动成功,再重启就无法进入系统,进第一次正确配置也不行,安全模式也不行,请解决`~
答:office XP需要激活,你是否用的盗版没有激活?对于office 2000在excle中键入N个空格就死机的问题,我还没遇到过。我想问一下,你为啥要键入N个空格呀?资源耗尽和冲突都有可能引起机器蓝屏或死机。
?幽遊漫雨?(59807827)
1.在入侵一台系统后如何清理留下的痕迹?在网站上看到一些相关的教程里面都是说直接将"winnt\system32\logfiles"下的 ".log"的文件和"winnt\system32" 下的 ".txt" 等文件全部删除. 这样做了是可以把痕迹擦干净了.可是系统的日志全给我们清 理光了.那不是明摆着告诉管理员 "我来也" 了吗? 在这我想问苏姐的是.请告诉我们如何清理入侵过程留下的痕迹。而又不容易 被系统管理员发现? 这里要清理的日志不单单是系统的安全日志.还有IIS的还有FTP的等等。请苏姐姐把相关的路径和要清理哪些 文件告诉我们下:)!
答:一般来说,windows上系统日志保存的内容跟管理员设置的内容很有关系,通常IIS的日志会保存下来,就是在winnt\system32\logfiles下,每天一个文件,当你通过IIS入侵时,你就需要把对应日志的log文件中对应你IP的内容删除。 而其它的系统级事件就要看情况了。3389默认不会留下日志。 windows的FTP日志也在iis那个目录下,可以删除跟自己相关的内容,当然不能全部删除。
2.用桌面连接器,连接远程桌面时 连接上以后会不会留下登陆的痕迹? 网络上的教程说在连接成功以后以注销的方式关机.IP不会 被记录.而直接断开则与其连接的计算机IP会被记录下来.我想问的是:在非法断开的以后 我们应该如何去清理里面留下的IP连接 的记录?
答:不会,默认3389登录后如果正常退出是不会有日志的。除非你是直接断开,那时候没有日志,但管理员在超级终端管理器中可以看到你的连接,因为连接还没有正常断开。他能看到IP。所以,一般来说,登录3389最好是正常注销,而不要直接关闭。
3.某个网站成功上传了ASP木马以后(这里用的是老兵写的ASP站长助手.海洋顶端网页木马也试过结果一样).可以看到该网站内所 有的文件,可以进行删除和新建等功能.可是除了可以访问当前目录以外.想要浏览其他盘符却显示路径未找到.还有就是想用CMD命 令的时候显示拒绝访问。请问出现这种情况的原因是什么?是服务器做了什么限制吗?
答:因为机器上的盘符和文件夹都可以设置访问权限,上传木马后登录的权限是IIS的权限,非常低。如果目标主机做过一些安全方面的配置,那你就很有可能无法浏览,也不能运行一些命令。例如,我的机器就是所有盘符必须admin权限才能访问,系统目录下的cmd.exe,ftp.exe,telnet.exe等程序都必须有admin权限才能调用。
4.请问登陆3389的肉鸡以后,如果安装软件(例如安装QQ).那对方的启动栏上会不会出现QQ的系统托盘?在上面聊天的话,那QQ中的 信息声.是不是会从对方的音箱中发出?还是不管我做什么或者安装什么软件都不会影响到其他用户?
答:不会出现在对方的系统托盘。因为超级终端对于每个用户登录来说都是透明的,你的桌面是你自己的,别人是看不到的。如果打开了QQ的声音,管理员那里会听到,因为电脑接的音箱是跟你登录的主机连接的。
5.我们知道在CMD下添加以$号结尾的用户名,那么就可以建立一个在CMD下隐藏的用户.(用net user 命令查看不出添加了新用户). 可是在计算机管理的本地用户和组选项里的用户文件夹中却可以看到我们所添加的管理员帐号.那请问有没有什么办法可以完全的 隐藏我们所添加的管理员帐号呢?
答:可以,要编辑注册表。具体方法有文档。附件中提供给你参考。
6.请问echo这个命令具体是用来做什么的?还有就是具体格式什么的.
答:echo是个输入输入命令。具体的格式,你可以在cmd下用echo /?来查询,可以调节开或关,同时可以用来向一个文件输出字符,比如:echo i am a hacker >c:\1.txt,这样,1.txt文件的内容就是“i am a hacker”。
7.请问复用端口技术是什么意思??他的具体功能又是什么呢??能介绍一些相关的软件和具体的用法吗??
答:端口复用是将一些木马后门的技术。简单来说,就是将某个服务的端口隐藏在某些系统服务的端口下。比如,IIS是开在80的,那么编程者可以利用端口复用技术将木马的连接端口也设置在80,当远程客户端连接木马服务器的时候,系统显示的连接是80上有某个IP的连接,这样管理员会认为是正常的80端口访问,而可以很好的隐藏木马的通讯。具体使用是涉及到编程方面了,就不好说了。 相关的软件有很多,比如黑客之门、灰鸽子、黑洞,都有类似的技术。
8.最近我的电脑中毒了。用瑞星等杀毒软件来查杀 查杀都提示成功.可是等关机以后.再启动电脑再来查杀 又会查出原先中过的 病毒.这是怎么回事啊?我应该怎么解决呢?
答:有可能是因为你中的病毒是自发现式的,有两个进程,一个是病毒本身的进程,另一个是守护进程,只要守护进程发现病毒程序被干掉了,就会自动重新复制病毒本身,并启动。而你的瑞星可能只发现了病毒本身,但没有识别这个守护程序,所以你启动后又发现有病毒。你可以用光盘启动到dos下,然后用杀毒软件杀一遍,将驻留内存的病毒进行查杀。另外,就是利用我上面提到的两个工具,分析一下,当前进程里有哪些是异常的,把文件找出来,删除。
牵着蜗牛散步 22:42:07
运行 "]\10.0.0.124D$file://\10.0.0.124D$"]\\10.0.0.124\D$[/url[/url]] 结果提示"找不到网络实名."
对方没有开防火墙或防毒软件.也没有关闭默认共享.
在其它机子运行"]\10.0.0.124D$file://\10.0.0.124D$"]\\10.0.0.124\D$[/url[/url]]可以进入.
这是为何??有劳
答:启动tcp/ip上的netbios绑定了吗?
