友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
反黑风暴-第21部分
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!
选项。
步骤02此时,即可进入页面中。在其中设置搜索条件,这里选中“图片和相片”复选项,搜索图片类型的文件。
步骤03单击其中的“更多高级选项”链接,在出现的页面中再单击下方的“什么时候修改的?”选项,展开该选项。在“在这里寻找”下拉列表中选择“我的电脑”选项,并选中“指定日期”单选按钮,在下拉列表中选择“修改时间”选项,设置修改日期的范围,如2010…7…2到2010…7…5。
步骤04单击【搜索】按钮,即可搜索用户在指定日期访问的图片文件。
除了利用资源管理器中的“搜索”功能搜索用户最近访问、修改、创建的文件,还可以使用专业的软件,如本地搜索工具XYplorer,它能够指定多个条件进行搜索。
XYplorer是一款支持标签式浏览的Windows资源管理器,具有强大的文件搜索功能,各种预览功能,可以高度自定义的界面,以及一系列方法可以让你的电脑有效地自动处理周期性的任务。使用XYplorer软件搜索文件的方法如下:
步骤01下载并运行XYplorer软件,进入其主窗口中。
步骤02单击工具栏上的【Find】按钮,在软件下方出现的面板中即可默认选择【FindFiles】选项卡。在“Name&Location”标签下的“Name:”(名称)文本框中输入要查找的文件的扩展名,如“。jpg”,在“Mode”(类型)下拉列表中选择一种类型,这里保持默认设置,然后在“Location:”下拉列表中选择要搜索的位置。
步骤03选择“Date”标签,在其中设置要搜索的文件的创建或修改日期。单击面板右上角的【FindNow】按钮,即可显示出搜索的结果。
3.通过应用软件查看历史访问记录
由于计算机中的各种文件都需要用专门的工具打开,如MicrosoftWord软件可以打开。doc文档,光影看看能够打开。jpg格式的图片文件,WinRAR压缩软件能够打开压缩文件等。这些应用软件在打开对应的文件时,会将这些文件的记录保存下来。因此,即使用户将机密的文件删除了,通过这些应用软件仍然能够找到文件的痕迹。
要查看这些文件的历史记录,可打开相应的应用软件,比如,打开“光影看看”软件,在其主窗口中选择【文件】→【最近打开的文件】菜单项,在其子菜单中即可显示曾经打开的图片文件的存储位置。同样,在MicrosoftExcel软件中选择【文件】选项卡,在其下单击【最近所用文件】按钮,即可显示最近打开的Excel文件。
以上这些操作都可能会出卖用户,泄露用户的隐私。而且这些操作都非常简单,任何一个计算机用户都能够轻易地通过它们窃取你的重要信息。
9。1。3查看最后的复制记录
用户在使用计算机过程中,为方便操作,经常会复制一串文字,或为了口令的安全性采取了复制粘贴的操作。
由于复制的信息会暂时存放在剪贴板中,通过某种途径可以查看存放在剪贴板中的信息,所以,这种操作也会造成信息的泄露。
例如,用户复制了包含口令的文本“用户名:linlin,密码:76390255”,窃取用户信息的攻击者想要查看用户复制的信息,常常通过下面的方法来查看。在【运行】对话框中运行“Clipbrd”命令,即可打开【剪贴板查看器】窗口,在其中查看剪贴板中的信息。
9。1。4临时目录下偷偷的备份
为了防止意外断电或突发性的事件导致应用软件被关闭与数据丢失,这些应用软件很智能地提供了自动备份与恢复的功能。如,利用MicrosoftWord软件打开一个Word文档,当在编辑文档时,突然断电,此时,应用软件可在文件当前目录中生成具有隐藏属性的备份文件,这个备份文件需要用户在【文件夹选项】对话框中选中“显示所有文件和文件夹”复选项后,才能正常显示,被用户看到。其中扩展名为。tmp的文件就是MicrosoftWord软件自动备份的文件了,但系统默认是不会显示隐藏属性的文件,使之不易发现。
如果用户想查看这个备份文件中的内容,只需将扩展名更改为Word文档的扩展名。doc,然后双击打开这个文件,即可查看其中的内容。
其实,除了MicrosoftWord应用软件外,大多数应用软件都会在当前目录中产生备份文件。这些临时的备份文件存储在系统中的一个专有目录中,通常是C:DocumentsandSettings用户名ApplicationData文件夹中。这个文件夹中存放了应用软件的数据,包括必要的安装与自动恢复的文件。
这个临时目录中存放了系统中安装的一些应用软件的安装文件与自动恢复文件,系统中还有另外两个临时目录存放着IE的临时文件,分别是C:DocumentsandSettings用户名LocalSettingsTemp和C:DocumentsandSettings用户名LocalSettingsTemporaryInterFiles。
继续打开文件夹C:DocumentsandSettings用户名ApplicationDataMicrosoftWord,在其中可以找到Word生成的恢复文件。将这个自动恢复的文档的扩展名更改为。doc,再用Word打开文件即可查看其中的内容。
9。1。5不被注意到的生成文件
应用软件不仅会在临时目录中偷偷留下备份文件,它还可能会泄露用户的账户和密码、聊天记录、下载历史等,有的甚至还可能在注册表中留下信息。
大部分应用软件在安装时都会让用户对其自身的功能进行设置,然后通过配置文件来保存需要记录的信息。这些配置文件主要保存了相关应用软件启动时需要读取的设置参数,比如在安装QQ时,会生成配置文件来保存QQ的登录信息或聊天记录信息。
当用户在计算机中登录QQ号后,QQ都会自动在安装目录中生成一个以号码为文件名的文件夹,这个文件夹可以在QQ的默认安装目录C:ProgramFilesTencentQQUsersQQ号中找到。这个文件夹中的Msg2。0。db文件就是保存有聊天记录的文件,Msg2。0。db文件解包后有很多文件,聊天记录保存在content。dat文件中,但经过加密的。
解密密钥保存在Matrix。dat文件中,密钥是第一次与好友聊天时候随机生成的,以后就一直用这个密钥加解密content。dat文件中的聊天记录了。如果黑客们利用一些特殊的方法破解这个content。dat文件,就可以窃取用户的聊天记录了。
再来看看迅雷下载软件的下载记录,在迅雷软件默认安装目录C:ProgramFilesThunderProfiles或C:ProgramFilesThunderworkThunderProfiles中可以找到history6。dat文件。这个文件可以泄露用户打开过哪些网站,用记事本打开即可看到曾经的浏览历史了。
9。1。6删除不干净的图片遗留
一般情况下,按照普通方式删除的图片其实仍然留在用户的计算机中。因为当用户使用缩略图方式查看图片时,系统会在当前目录中生成一个隐藏的thumbs。db数据库文件。
这个文件会在WindowsXP版本中存在,它保存了当前目录图片的所有缩略图(也可以说是缓冲文件),它可以方便用户对图片进行预览,图片越多,这个文件可能就越大,这是正常的。由于系统默认不会显示隐藏的文件,因此,大多数人不会注意这个文件。
若想查看这个隐藏的thumbs。db数据库文件,可打开【文件夹选项】对话框,选择【查看】选项卡,取消选中“隐藏受保护的操作系统文件(推荐)”复选项。单击【确定】按钮,即可在当前目录中看到隐藏的thumbs。db文件了。
在WindowsXP系统下,如果不想在系统中生成这种thumbs。db文件,可在【文件夹选项】对话框中选择【查看】选项卡,选中“文件和文件夹”选项区域下的“不缓存缩略图”复选项,就不会产生这种文件了。
但选中“不缓存缩略图”复选项只是对以后的图片不会缓存,已存在的thumb。db文件不会自动删除,需要用户手动删除掉这个文件。这个隐藏的thumbs。db文件中存放了哪些信息?利用“缩略图查看器”工具可查看这个文件中包含的图片信息。从网上下载并运行最新版本的“缩略图查看器”工具,选择【文件】→【打开文件】菜单项,在弹出的【请选择Thumbs。db文件】对话框中找到刚才打开的目录下的thumbs。db文件。
单击【打开】按钮,即可在“缩略图查看器”工具中打开这个文件。可以看出,这个文件中包含了当前目录图片所有的缩略图。以前用户删除的图片也仍然保存在这个文件中,并没有被完全删除。
第二章 来自网络的信息泄漏
网络是一个开放的空间,它在为网民工作生活带来便利的同时,也时刻威胁着网民的个人隐私,比如经常收到莫名其妙的邮件,这些邮件可能隐藏着木马或病毒,当用户不小心打开它的时候,可能就会被这些木马控制,盗取用户的信息。
9。2。1隐藏的各种木马和病毒
一旦计算机不小心被植入木马和病毒,计算机中的一切操作都将被监控,窃取用户电脑中的隐私信息也就不在话下了。为了避免中招,建议大家不要随意打开未经验证的网址和邮件,因为网站和邮件是木马和病毒的主要传播来源。本节将介绍几种常见的木马和病毒及其清除方法,帮助用户认识这些隐藏的木马和病毒,保护用户的信息安全。
远程控制软件是具有隐蔽性入侵的黑客软件,因此,它被形象地称之为木马。
目前的木马主要具备如下几种功能:
●修改注册表:木马在本机上运行后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系,任意修改服务端注册表,包括删除、新建或修改主键、子键、键值。有了这项功能,控制端就可以禁止服务端光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽。
●文件操作:控制端可借由远程控制对服务端上的文件进行各种操作,如更改文件、新建文件、上传或下载文件,及将对方的文件拷贝一份等操作。
●窃取密码:一切以明文的形式(***形式的密码)或缓存在Cache中的密码都能被木马侦测到。很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,从键盘输入的任何字符都被记录下来,所以一旦有木马入侵,密码将很容易被窃取。
●视频监控:打开对方的视频摄像头,远程查看摄像头捕获的画面,与公共场所的视频监控没有区域。
●屏幕监视:能够查看对方的计算机屏幕,对方操作计算机的整个过程,如看电脑、编辑文档、聊天等,攻击者都能看到。
●远程终端:操作系统的命令提示符,方便用指令操作计算机,如新建系统用户、查看网络状态等。
常见的木马和病毒主要有网络公牛木马、网络神偷木马、冰河木马、灰鸽子木马、AV终结者病毒、熊猫烧香病毒和股票盗贼病毒等。这里介绍一下冰河木马、AV终结者病毒和股票盗贼病毒和清除方法。
1。“冰河”木马
“冰河”木马属于BackDoor一类的黑客软件,实际上是一个小小的服务器程序(安装在要入侵的机器中),这个小小的服务端程序功能十分强大,通过客户端(安装在入侵者的机器中)的各种命令来控制服务端的机器,并可以轻松的获得服务端机器的各种系统信息。
“冰河”木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或伪装成一幅图片,伪装的十分巧妙,让人难以分辨。当用户不小心运行它们或打开这个图片时,就会运行这个木马程序。一旦计算机中了这个木马,就会被它控制。
“冰河”木马主要具有如下几种功能:
●远程文件操作:包括创建、删除、上传、下载、复制文件或目录、文件压缩、快速浏览文本文件、远程打开文件(包括以正常、最大化、最小化和隐藏四种方式打开)等多项文件操作功能。
●记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马2。0以上版本还提供了击键记录功能。
●发送信息:以四种常用图标向被控端发送简短信息。
●点对点通讯:以聊天室形式与被控端进行在线交谈。
●限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
●自动跟踪目标机屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕中,这个功能适用于局域网用户。
●获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
●注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
“冰河”木马在计算机中运行后,在C:Windowssystem目录下会自动生成Kernel32。exe和Sysexplr。exe两个文件。其服务器端程序为G…server。exe,客户端程序为G…client。exe,默认连接端口为7626。在每次启动计算机后,Kernel32。exe都会自动加载并运行,而Sysexplr。exe文件自动和*。文件关联,即使删除Kernel32。exe,但只要运行了*。文件,Sysexplr。exe又会被再次激活,进而又生成Kernel32。exe。对这种木马进行查杀可采用如下方法进行操作。
首先,删除C:Windowssystem目录下的Kernel32。exe和Sysexplr。exe文件。由于“冰河”木马运行后,往往会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun创建键值C:/windows/system/Kernel32。exe,因此,还需要用户删除该键值。再展开注册表中的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices项,删除键值C:/windows/system/Kernel32。exe。
再将注册表HKEY_CLASSES_ROOT/file/shell/open/mand项下的键值C:/windows/system/Sysexplr。exe%1修改为C:/windows/notepad。exe%1,即可恢复文件关联功能。最后,将本机上的杀毒软件升级到最新版本,对整个系统进行全面杀毒。
2.“AV终结者”病毒
“AV终结者”名称中的“AV”是“反病毒”(Anti…Virus)的缩写,它是一种反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”病毒主要是通过U盘、移动硬盘的自动播放功能传播,它最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。
当这种病毒在本机上运行后,会在本地磁盘和移动磁盘中复制病毒文件和anuorun。inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清除的。
计算机感染这种病毒,通常会出现如下几种常见的现象:
●不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
●禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
●绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
●在本地硬盘、U盘或移动硬盘生成autorun。inf和相应的病毒程序文件,然后通过自动播放功能进行传播。很多用
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!