GHOST背后的可怕你知道嗎?(附裝系統后的必要優化)
因為ghost的速度優勢和保存原設置的方便,現在用它的朋友越來越多了,但據不完全統計,好像知道它的危險的很少很少啊,各種萬能ghost版本系統光盤其中有精品,也有LJ,更有暗留了后門的陷阱! 不得不替大家擔心!如果是個人機沒什么重要東東的話也沒人會黑你,即使黑了也無所謂,但如果是公司的,或者有比較重要秘密的被黑了可就慘了,強烈建議大家好好看看本文.
一、xp萬能ghost系統分析:
萬能ghost系統制作時,是在安裝成功后刪除windows自帶的多余文件,並且刪除硬件信息,然后進行系統封裝。如果在安裝前,制作者有意將某個系統文件替換成木馬后門,或者在系統中打開某些端口,開啟某些危險服務,留下某些空口令帳戶,那么制作出來的ghost系統就會存在各種安全漏洞。這些ghost系統流傳出去后使用這些系統的用戶可能被作者控制為肉雞。。。
二、ghost版系統常見漏洞一覽:
1:空密碼遠程桌面漏洞,可以用空密碼進行3389遠程登陸,可以遠程進行任務系統操作。用途利用3389漏洞刷Q幣,盜取adsl密碼賬號等等。
2:隱藏共享漏洞,任何用戶都可以訪問共享,非默認的ipc$共享,可以發現共享權限為everyone完全控制。用途很多,guest組用戶也可以格式化你的硬盤。
3:administrator用戶密碼漏洞,不多做介紹了。
4:起用危險服務,在服務工具中可以發現很多危險服務都被打開,並且遠程選項卡中允許用戶遠程連接到此計算機被啟動。
5:防火牆作過手腳,在系統防火牆可看到默認未開啟允許通過的項目都被勾選。
6:流氓軟件與后門木馬,私自為用戶安裝很多流氓軟件。更恐怖的是將系統文件換成灰鴿子木馬!(並且現在有克隆系統文件版本信息的軟件,可以把木馬文件偽裝的外表上看上去和系統文件一樣包括標識大小標注等等!)
三、危險ghostxp系統版本檢測
目前已知有問題的版本列表如下:
1:番茄花園系列番茄花園windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木風系列雨林木風ghostwinxp2v2.0裝機版純凈會員版y1.7v1.85以及新版本
3:東海電腦公司版ghostxp_sp2電腦公司特別版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系統屬性對話框中查看自己系統版本判斷是否存在問題,網上流傳的其他ghost系統版本也或多或少的存在如上的安全問題!請謹慎使用!
不要急着接入網絡
在安裝完成Windows后,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補丁,存在各種漏洞,非常容易感染病毒和被入侵。此時要加上沖擊波和震撼波補丁后並重新啟動再聯入互聯網。
給系統打補丁/安裝殺毒軟件
不用多說,沖擊波和震盪波病毒的補丁是一定要打上的,如果你安裝了Windows XP SP2則不用再另行安裝。Windows XP沖擊波(Blaster)病毒補丁下載地址為:點這里下載,震盪波(Sasser)病毒補丁下載地址為:點這里下載。
安裝完系統后,一定要安裝反病毒軟件,同時將其更新到最新版本。
關閉系統還原
系統還原是Windows ME和Windows XP、Windows 2003中具有的功能,它允許我們將系統恢復到某一時間狀態,從而可以避免我們重新安裝操作系統。不過,有的人在執行系統還原后,發現除C盤外,其它的D盤、E盤都恢復到先前的狀態了,結果里面保存的文件都沒有了,造成了嚴重的損失!這是由於系統還原默認是針對硬盤上所有分區而言的,這樣一旦進行了系統還原操作,那么所有分區的數據都會恢復。因此,我們必須按下Win+Break鍵,然后單擊“系統還原”標簽,取消“在所有驅動器上關閉系統還原”選項,然后選中D盤,單擊“設置”按鈕,在打開的窗口中選中“關閉這個驅動器上的系統還原”選項。
依次將其他的盤上的系統還原關閉即可。這樣,一旦系統不穩定,可以利用系統還原工具還原C盤上的系統,但同時其他盤上的文件都不會有事。
給Administrator打上密碼
可能有的人使用的是網上下載的萬能Ghost版來安裝的系統,也可能是使用的是Windows XP無人值守安裝光盤安裝的系統,利用這些方法安裝時極有可能沒有讓你指定Administrator密碼,或者Administrator的密碼是默認的123456或干脆為空。這樣的密碼是相當危險的,因此,在安裝完系統后,請右擊“我的電腦”,選擇“管理”,再選擇左側的“計算機管理(本地)→系統工具→本地用戶和組→用戶”,選中右側窗口中的Administrator,右擊,選擇“設置密碼”。
在打開窗口中單擊“繼續”按鈕,即可在打開窗口中為Administrator設置密碼。
另外,選擇“新用戶”,設置好用戶名和密碼,再雙擊新建用戶,單擊“隸屬於”標簽,將其中所有組(如果有)都選中,單擊下方的“刪除”按鈕。再單擊“添加”按鈕,然后再在打開窗口中單擊“高級”按鈕,接着單擊“立即查找”按鈕,找到PowerUser或User組,單擊“確定”兩次,將此用戶添加PowerUser或User組。注銷當前用戶,再以新用戶登錄可以發現系統快很多。
關閉默認共享
Windows安裝后,會創建一些隱藏共享,主要用於管理員遠程登錄時管理系統時使用,但對於個人用戶來說,這個很少用到,也不是很安全。所以,我們有必要要切斷這個共享:先在d:\下新建一個disshare.bat文件,在其中寫上如下語句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下來,將d:\disshare.bat拷貝到C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon文件夾下。然后按下Win+R,輸入gpedit.msc,在打開窗口中依次展開“用戶配置→Windows設置→腳本(登錄/注銷)”文件夾,在右側窗格中雙擊“登錄”項,在彈出的窗口中,單擊“添加”命令,選中C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon文件夾下的disshare.bat文件。
完成上述設置后,重新啟動系統,就能自動切斷Windows XP的默認共享通道了,如果你有更多硬盤,請在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
啟用DMA傳輸模式
啟用DMA模式之后,計算機周邊設備(主要指硬盤)即可直接與內存交換數據,這樣能加快硬盤讀寫速度,提高數據傳輸速率:打開“設備管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,雙擊之,單擊“高級設置”,該對話框會列出目前IDE接口所連接設備的傳輸模式,單擊列表按鈕將“傳輸模式”設置為“DMA(若可用)”。重新啟動計算機即可生效。
啟用高級電源管理
有時候安裝Windows XP之前會發現沒有打開BIOS電源中的高級電源控制,安裝Windows XP后,關閉Windows時,電源不會自動斷開。這時,很多人選擇了重新打開BIOS中的高級電源控制,並重新安裝Windows XP.事實上,用不着這么麻煩,只要大家確認已經在BIOS中打開高級電源控制選項,再從 http://soft.netnest.com.cn/Download.asp?ID=362下載並安裝這個程序,同時選擇ACPI Pc,一定不要選錯,否則重啟后可能無法進入Windows),並重新啟動電腦,電腦可能會重新搜索並自動重新安裝電腦的硬件,之后就可以使其支持高級電源控制了。
取消壓縮文件夾支持
單擊開始→運行,輸入“regsvr32 /u zipfldr.dll”回車,出現提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的壓縮文件夾支持。另外,輸入regsvr32 shdocvw.dll可以取消“圖片和傳真”與圖片文件的關聯。
取消“磁盤空間不足”通知
當磁盤驅動器的容量少於200MB時Windows XP便會發出“磁盤空間不足”的通知,非常煩人。可以打開“注冊表編輯器”,定位到HKEY_CURRENT_USER\Software\Mi crosoft\Windows\CurrentVersion\Policies \Explorer,在“Explorer”上單擊右鍵,選擇右鍵菜單上的“新建”→“DWORD 值”,將這個值命名為“NoLowDiskSpaceChecks”,雙擊該值將其中的“數值數據”設為“1”。
啟用驗證碼
安裝SP2后,大多數用戶發現在訪問某些需要填寫驗證碼的地方,都無法顯示驗證碼圖片(顯示為一個紅色小叉),這是一個非常嚴重的Bug.解決辦法為:運行“Regedit”命令打開注冊表編輯器,依次定位到“[HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ Security]”,在窗口右邊新建一個名為“BlockXBM”的REG_ DWORD值,將其值設置為“0”(十六進制值)。
打開大硬盤支持
現在硬盤越來越大,160GB的硬盤已經有售,要讓Windows XP很好地支持大於137GB的大硬盤,必須打開“注冊表編輯器”,再定位到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Atapi\Parameters下,雙擊EnableBigLba(如果沒有則新建一DWORD值),將其設置為1即可。
取消保留的帶寬
由於專業版在網絡上的需要,所以默認設置了20%的默認保留帶寬,其實對於個人用戶,這些保留的帶寬是沒有用處的,取消此項可以加速網速!在“運行”窗口中輸入gpedit.msc,打開“組策略編輯器”,找到“計算機配置”→“管理模板”→“網絡”→“QoS數據包調度程序”,雙擊右邊“限制可保留帶寬”,在打開窗口中選擇“已禁用”即可把保留的帶寬即可。
取消不必要的協議
默認情況下,Windows XP給網卡加載了很多的協議,而有些我們並不需要,將它松綁可以給網絡加速,還可以讓電腦變得更安全。
打開“網絡連接”窗口,右擊“本地連接”,選擇“屬性”,如果你不想給其他電腦共享文件,則可以取消“Microsoft 網絡的文件和打印機共享”項,這樣別人就無法看到你電腦上的任何文件了,但你仍可以看其他電腦上的共享文件,這樣就會安全些。
如果你使用的是RASPPPOE協議的小區寬帶上網或ADSL,則可以取消掉上述中所有勾選。然后單擊“創建一個新的連接”,在“網絡連接類型”中勾選“連接到Internet”,單擊“下一步”按鈕,在接下來的窗口中我們勾選第二項“手動設置我的連接”,並單擊“下一步”按鈕,再在接下來的這一項“怎樣連接到Internet”中勾選“用要求用戶名和密碼的寬帶連接來連接”,確認無誤后單擊“下一步”按鈕,最后在“Internet賬戶信息”窗口中輸入由ISP提供的用戶名和密碼,輸入完成后單擊“下一步”按鈕完成建立好撥號。再撥號上網可以給系統的網絡加速。
關閉遠程桌面
右擊“我的電腦”,選擇“屬性”,單擊“遠程”標簽,在“遠程桌面”下,將“允許用戶遠程連接到這台計算機”勾去掉可以取消遠程桌面,這樣電腦會安全一些。
關掉多余的服務
右擊“我的電腦”,選擇“管理”,單擊“服務和應用程序”下的“服務”項,雙擊相應的服務,單擊“屬性”,在“常規”選項卡上單擊“啟動類型”下拉列表框,選擇“自動”、“手動”或“禁用”。實際配置時,選擇“手動”或者“禁用”都可以關閉該服務,推薦使用手動功能,以便可隨時啟動一些臨時需要的服務。
快速瀏覽局域網絡的共享
通常情況下,Windows XP在連接其它計算機時,會全面檢查對方機子上所有預定的任務,這個檢查會讓你等上30秒鍾或更多時間。只要打開“注冊表編輯器”,然后刪除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace鍵值下的D6277990-4C6A-11CF-8D87-00AA0060F5BF鍵,重啟計算機后Windows XP就不再檢查預定任務了。
重定向文檔文件夾
很多人喜歡將文檔保存在“我的文檔”文件夾下,但默認情況下,它保存在C盤上,系統崩潰后比較難恢復。因此,我們可以右擊“我的文檔”,選擇“屬性”,再單擊“目標文件夾”標簽,在“目標文件夾位置”下的輸入框輸入路徑,如果文件夾不存在,會彈出對話框讓你確定新建一個該文件夾;單擊“確定”按鈕,“我的文檔”路徑就會改變,並且將原來文檔里面的文件都移動到新的路徑。
重定向收藏夾文件夾
收藏夾中保存着我們平時喜歡的網址,默認情況下,在Windows 9x/Me中,收藏夾位於C:\Windows\Favorites文件夾。而在Windows 2000/NT/XP中則放在C:\Documents and Settings\用戶名\Favorites中(如系統管理員的收藏夾就放在C:\Documents and Settings\Administrator\Favorites下)。放在系統分區上並不安全,我們可以先進入這些文件夾,按下Ctrl+A選中所有文件,再把按下Ctrl+C,然后切換到非系統分區上的某一文件夾下,如d:\Favorites文件夾下,按下Ctrl+V鍵粘貼這些文件。接着,啟動“注冊表編輯器”,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders項目,在窗口的右側,我們可以看到一個名為Favorites的項目,雙擊它,把其中的C:\DocumentsandSettings\xxx\Favorites改為d:\Favorites