1、反黑风暴 黑客社会工程学攻防演练,刨根问底挖掘用户隐私,稍不留意就泄密 来自网络的信息泄密,稍不留意就泄密,用户最近都上过哪些网站 最近浏览过哪些文件 查看最后的复制记录 临时目录下偷偷的备份 不被注意到的生成文件 删除不干净的图片遗留,最近浏览过哪些文件,1. 我的文档历史 2最近访问、修改、创建的文件 3通过应用软件查看历史访问记录,我的文档历史,清除我最近的文档中的记录的具体操作步骤如下: 步骤 01在桌面任务栏的空白处右键单击,在弹出的快捷菜单中选择【属性】菜单项,打开【任务栏和开始菜单属性】对话框,如图9-10所示。 步骤 02选择【开始菜单】选项卡,单击其中的【自定义】按钮,如图9
2、-11所示。,我的文档历史,清除我最近的文档中的记录的具体操作步骤如下: 步骤 03打开【自定义开始菜单】对话框,选择【高级】选项卡,单击“最近使用的文档”区域中的【清除列表】按钮,即可将“我最近的文档”中文档记录删除,如图9-12所示。 步骤 04删除后,【清除列表】按钮即变成灰色不可用状态。再取消勾选“列出我最近打开的文档”复选项,如图9-13所示。单击【确定】按钮,这样在【开始】【我最近的文档】菜单项的子菜单中就不会显示打开的文档记录了。,最近访问、修改、创建的文件,具体的操作步骤如下: 步骤 01打开【我的电脑】窗口,单击工具栏上的【搜索】按钮 ,在窗口左侧即可显示出“搜索助理”面板。
3、在面板中可以选择要查找的文件类型,如图片、文档或文件夹等,这里选择“图片、音乐或视频”选项,如图9-15所示。 步骤 02此时,即可进入如图9-16所示页面中。在其中设置搜索条件,这里选中“图片和相片”复选项,搜索图片类型的文件。,最近访问、修改、创建的文件,具体的操作步骤如下: 步骤 03单击其中的“更多高级选项”链接,在出现的页面中再单击下方的“什么时候修改的?”选项,展开该选项。在“在这里寻找”下拉列表中选择“我的电脑”选项,并选中“指定日期”单选按钮,在下拉列表中选择“修改时间”选项,设置修改日期的范围,如2010-7-2到2010-7-5,如图9-17所示。 步骤 04单击【搜索】按
4、钮,即可搜索用户在指定日期访问的图片文件,如图9-18所示。,来自网络的信息泄漏,隐藏的各种木马和病毒 从数据包中嗅探秘密 很难查杀的间谍软件,隐藏的各种木马和病毒,目前的木马主要具备如下几种功能: 修改注册表:木马在本机上运行后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系,任意修改服务端注册表,包括删除、新建或修改主键、子键、键值。有了这项功能,控制端就可以禁止服务端光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽。 文件操作:控制端可借由远程控制对服务端上的文件进行各种操作,如更改文件、新建文件、上传或下载文件
5、,及将对方的文件拷贝一份等操作。 窃取密码:一切以明文的形式(*形式的密码)或缓存在Cache中的密码都能被木马侦测到。很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,从键盘输入的任何字符都被记录下来,所以一旦有木马入侵, 密码将很容易被窃取。 视频监控:打开对方的视频摄像头,远程查看摄像头捕获的画面,与公共场所的视频监控没有区域。 屏幕监视:能够查看对方的计算机屏幕,对方操作计算机的整个过程,如看电脑、编辑文档、聊天等,攻击者都能看到。 远程终端:操作系统的命令提示符,方便用指令操作计算机,如新建系统用户、查看网络状态等。,“冰河”木马,“冰河”木马主要具有如下几种功能:
6、远程文件操作:包括创建、删除、上传、下载、复制文件或目录、文件压缩、快速浏览文本文件、远程打开文件(包括以正常、最大化、最小化和隐藏四种方式打开)等多项文件操作功能。 记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马2.0以上版本还提供了击键记录功能。 发送信息:以四种常用图标向被控端发送简短信息。 点对点通讯:以聊天室形式与被控端进行在线交谈。 限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 自动跟踪目标机屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕中,这个功能适用于局域网
7、用户。 获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。,“AV终结者”病毒,计算机感染这种病毒,通常会出现如下几种常见的现象: 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。 在本地硬盘、U
8、盘或移动硬盘生成autorun.inf和相应的病毒程序文件,然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统,当访问其他磁盘时,系统就会立即再次中毒。 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。,“AV终结者”病毒,当计算机中了“AV终结者”病毒,用户可以利用“AV终结者”专杀工具进行查杀。 步骤 01在工作正常的计算机(非中“AV终结者”病毒的计算机)上下载“AV终结者”专杀工具,并禁止自动播放功能,避免插入的U盘和移动硬盘感染病毒。 步骤 02单击【开始】按钮,在弹出的面板中选择【运行】菜单项,在弹出的【运行】对话框中输入“gpedit.msc”,即可打开
9、【组策略】窗口。在窗口的左侧依次展开“计算机配置”“管理模板”“系统”选项,在窗口的右侧选择“关闭自动播放”选项并右键单击,在弹出的快捷菜单中选择【属性】菜单项,如图9-37所示。,“AV终结者”病毒,当计算机中了“AV终结者”病毒,用户可以利用“AV终结者”专杀工具进行查杀。 步骤 03打开【关闭自动播放 属性】对话框,在其中选中“已禁用”单选按钮,单击【确定】按钮,如图9-38所示。 步骤 04将“AV终结者”专杀工具从工作正常的计算机中拷贝到中毒的计算机中,并运行该软件。在其主窗口中单击【禁用自动播放】按钮,禁止自动播放功能,如图9-39所示。 步骤 05单击【开始扫描】按钮,即可对计算
10、机中的病毒进行查杀,修复被破坏的系统配置。查杀结束后,不要立即重新启动计算机,先将计算机中安装的杀毒软件的病毒库升级到最新版本,然后进行全盘扫描,查杀“AV终结者”下载的其他病毒后,再重新启动计算机。,专家课堂(常见问题与解答),(2)如何清除表单和密码记录 解答:默认情况下,IE浏览器具有“自动完成”功能,也很容易使用户的隐私泄露出去。为保护用户信息安全也应及时清除自动完成历史记录。具体的操作步骤如下: 步骤1:打开【Internet选项】对话框,选择【内容】选项卡,单击其中的【自动完成】按钮,如图9-57所示。 步骤2:打开【自动完成设置】对话框,单击【清除表单】按钮,即可清除表单记录;单击【清除密码】按钮,即可清除IE缓存中的密码记录,如图9-58所示。,本章结束,谢谢观赏,
