读者来信：我的电脑被幕后黑手操纵了，每次关上IE都会弹出软件装置窗口，接着就开局运转智能化的装置环节。在关上IE的时刻，还会弹出XP防火墙的揭示窗口。我疑心是最近闪存盘病毒，可是右键单击盘符却没有发现Auto之类的命令。www.sq120.com介绍文章从新装置系统后，我依然无法肃清该病毒。每次都无法双击或许右键单击关上D盘。请问《电脑报》的安保专家，是什么幽灵控制了我的电脑？我应该怎样办？安保专家：依据读者来信反映的状况，咱们知道这是目前猖狂作案的KL木马下载器在搞鬼。相比起普通的闪存病毒，其损害手腕愈加保密，普通电脑初学者无法经过重装来肃清。感化该病毒后，病毒会拔出IE进程和Explorer进程来下载流氓软件，XP防火墙会弹出能否衔接的窗口。显而易见，病毒是以DLL的方式拔出进程来启动破坏的，而病毒的初始程序是可口头文件。该病毒运转后会尝试感化EXE可口头文件。某些文件特意是一些软件的装置包、电子书等，被该病毒感化后会出现失误，无法反经常常使用。驳回惯例的闪存盘病毒的清算方法，并不能齐全肃清KL木马下载器。KL木马下载器并不在右键菜单减少“Auto”命令，这会麻木局部用户，其实该病毒在双击关上磁盘分区时就运转了，病毒就暗藏在分区的RECYCLER目录即回收站下，而病毒的autorun.inf文件的技术含量也大为提高。WwW.itCompuTeR.cOM.CN从病毒代码中，咱们发现右键菜单的“关上”和“资源治理器”命令其实是口头病毒程序，自动的双击的结果也是运转病毒。难怪用户无法发现病毒在智能运转，这也是屡次重装后依然让病毒绳之以法的关键要素。KL木马下载器片面肃清打算打算一：菜鸟肃清法首先，重装系统，实现后不要关上任何磁盘间接进入“我的电脑”，选用“工具→文件夹选项”命令，点击“检查”选项，在“暗藏文件和文件夹”下选用“显示一切文件和文件夹”选项，这样就可以让暗藏的病毒文件现身了。而后，右击“我的电脑”选用“资源治理器”命令，在关上的资源治理器中审核非系统盘符下的RECYCLER（是暗藏属性）中能否有Autosetup.exe，假设有的话就启动删除，接着回到根目录删除autorun.inf文件。必定要细心审核一切盘符下的该目录，做到彻底肃清病毒文件。最后再装置杀毒软件，修复被病毒感化的文件。打算二：高手剿灭法第一步：重启系统，按F8进入安保形式。经常使用《超级巡警》中断病毒创立的进程Services.exe、inini.exe、meecall.exe、UUSeePlayer.exe。而后删除下载的流氓软件装置包和病毒进程的文件（如C:\windows\services.exe）。第二步：经常使用《冰刃》删除盘符下的autorun.inf文件、Autosetup.exe文件。这样就可以防止再次运转病毒了。第三步：关上System Repair Engineer，进入“启动名目”选项，可以看到很多合法启动名目。选中meecall、swg、KernelFaultCheck、OSSelectReinstal、Windowsupdate、SmCtrlDrv、IdnSvr、tzc02,0,tzchange.exe /F Pacific SA Standard Time /S 10 6 2 23 59 59 999 /E 3 6 2 23 59 59 999 /G、IFEo[Explorer.exe]等删除。还要记得删除启动程序目录下的关系文件，而后进入“系统修复”选项，选用“阅读器加载项”删除流氓软件的BHO、Activex等名目。第四步：从新启动系统发现曾经复原反常了。不过，你会发现双击或许右键单击关上感化过病毒的盘符，会出现查找病毒文件而无法反常进入的状况，这是由于病毒智能运转的消息还在注册表里。咱们须要关上注册表编辑器启动修复，进入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bd44e-53b7-11dc-8145-806d6172696f}”项，删除上方的shell子项即可复原反常了（如图）。

在网上混不免会在一些不出名的小网站高低载物品，例如软件，心中是不是感到不虚浮？不用担忧，假设在运转软件之前，作好了检测的预备，哪怕是能躲过杀毒软件的免杀木马也逃不出我的手掌心。上方我以软件为例，教大家检测的方法。首先，为了能够检测出软件能否被木马加载，可以运转《木马辅佐查找器》工具，在弹出的软件界面里，切换到“其余工具”标签。普通来说，木马为了施展其“魔爪”作用，都会将自己监禁且加载到系统分区的C盘符内，所以咱们在“监督目录”文本内，输入“C:\”盘符称号后，单击“开局监督”按钮，就可对C盘以后形态启动监督。

接上去运转要检测的软件，而后再前往到《木马辅佐查找器》的“其余工具”页面。假设软件在C盘监禁了木马，就可以在“监督结果”编辑区，检查到所监禁且加载的木马文件及其门路，从而咱们就可以将它及时肃清。

最近，一个沙特阿拉伯的少年黑客成功侵入微软英国网站，贴上一幅儿童摇沙特阿拉伯国旗的照片，笼罩了原来的内容。看到这里，你是不是为自己的网站安保感到担忧呢？黑客在入侵网站环节中普通会测试能否启动SQL注入，咱们应该如何防范呢？上期咱们引见了Access（MSSQL）数据库的防范SQL注入的方法，该注入方法关键针对的是团体网站以及小型企业，但对电子商务网站、大中型企事业网站和大中型商业网站的治理员们来说就不实用了，由于这些网站很多都驳回SQL Server作为数据库的。所以，本期小编将教大家如何防范针对SQL Server数据库的暴库。所谓暴库，就是应用各种方法获取数据库文件或是数据库文件的检查/修正权限，这样间接就有了站点的前台或许后盾的权限。ASP＋SQL Server暴库技巧1.暴出SQL Server表名和列名基本方法：查找并确认一个ASP＋SQL Server注入点，在注入点后提交“'having 1=1--”，获取前往消息为英文，在这段英文中即可看到一个表名和一个列名。提交“group by 暴出的表名列名having 1=1--”，可获取另一个列名；继续提交“group by 暴了的表名列名,暴出的表名.第2个列名 having 1=1--”，可再获取一个列名。用雷同的方法提交，直到页面不再前往失误消息，就可以获取一切的列名。小知识：暴表名与列名是SQL语句“having 1=1—”与GROUP BY联合经常使用，启动条件判别的。由于语句不完整，因此数据库前往失误消息，并显示一个表名和一个列名。基本方法只能暴出数据库中的以后表。假设某个表中蕴含的列名十分多，用上述基本方法就十分艰巨了。比拟有效的方法是，应用“0＜＞(select count(*) from master.dbo.sysdatabases where name＞1 and dbid=[N])”语句，暴出数据库中恣意表名和列名，其中“[N]”示意数据库中的第N个表。第一步：在注入点后提交如下语句：“0＜＞(select count(*) from master.dbo.sysdatabases where name＞1 and dbid=12)”，由于 dbid 的值从1到5，是系统经常使用的，所以用户自己建的必定是从6开局的，并且咱们提交了 name＞1，name字段是一个字符型的字段，和数字比拟就会出错。因此在提交后，IE会前往如下的消息：“Microsoft OLE DB Provider for ODBC Drivers 失误'80040e07'[Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值'Northwind'转换为数据类型为 int 的列时出现语法失误。”（图1），这样就把name字段的值暴进去了，也就是咱们获取了一个库名“Northwind”。扭转“dbid”的值可以得出一切的库名。第二步：获取了库名后，如今要获取库中一切的表名，提交如下语句：“and 0＜＞(select top 1 name from master.dbo.sysobjects where xtype='U') ”，这里要暴的是master这个库中的表名，查问的SQL语句前往的是name的值，而后和数字0比拟，这样就会暴显露name的值。提交后一个表名“spt_mon　ito”就被暴进去了（图2）。第三步：再接着暴其余的表，继续提交如下语句：“and 0＜＞(select top 1 name from master.dbo.sysobjects where xtype='U' and name not in('spt_monito'))”提交后，又暴出一个表名为“cd512”（图3）。依次提交 “and name not in('spt_monito','cd512',..)”就可以查出一切的表名。2.读取SQL Server数据库中的恣意数据知道了数据库的表名、列名后，可以应用“查问语句”读取数据库中的恣意消息。例如要读取某个表中某列中的第N个数据，可提交语句：“and (Select Top 1 列名 FROM 表名 where id=[N])＞1”（ [N]代表列中的第N条数据），从IE前往消息中即可得悉想要的数据。这里以注入点为例启动解说：首先，在注入点后提交“'having 1=1--”，从前往消息中获取表名为news，列名为id。接着用上方引见的方法获取另外的列名如c_id、s_id、username、topic等。而后，将“查问语句”中的[N]改为221，并提交，如“and (Select Top 1 topic FROM news where id=221)＞1”，该句的意思示意从“news”表中读出“id=221”的资讯题目“topic”，提交后前往页消息中蕴含“视频MM大赛初赛告捷 绿色6月揭停火爆半决赛”这段内容（图4），这就说明“news”表中“topic”列的第一个值为“视频MM大赛初赛告捷 绿色6月揭停火爆半决赛”。由于这是一个文章系统，因此其在网页中代表的实在含意为：ID为221的文章其题目为“视频MM大赛初赛告捷 绿色6月揭停火爆半决赛”。小揭示：上方的例子中读取的只是一篇文章的题目，在实践的运行中，可以读取蕴含用户名和明码表中的数据，可以取得恣意用户名的明码。这种方法比经常使用ASCII码一个一个地猜解快得多。3.修负数据库，拔出数据当成功地取得了表名，列名后，就可以在数据库里修正甚至拔出新的数据。例如可以将上方的资讯题目启动修正，提交如下命令：“ ;update news set topic='我不是黑客，我青睐MM，哈哈！' WHERE”。命令运转后反常显示，在IE地址栏中输入链接“”，可以看到ID为221的文章其题目曾经变成了更改的内容：“我不是黑客，我青睐MM，哈哈！”（图5）。假设要在数据库中拔出一条新的数据，可提交如下语句：“；insert into news(id,topic) values('228','您的网站有安保破绽，请留意防护')--”提交语句后前往反常页面，说明语句反常口头了。而后关上链接“”时，可以看到新减少的文章。ASP+SQL如何防范暴库主机上搁置的网站比拟多，治理员无法能针对一切网站的每个页面来审查能否存在SQL注入破绽。由于SQL注入入侵是依据IIS给出的ASP失误揭示消息来入侵的，所以只需治理员把IIS设置成不论出什么样的ASP失误，只给出一种失误揭示消息，即HTTP 500失误，那么黑客就没方法启动入侵了。详细设置如下：单击“开局”菜单，选用“设置→控制面板”命令，而后进入“控制面板”的“治理工具”中，双击关上“Internet消息服务”，在“自动网站”上单击右键，在弹出的快捷菜单当选用“属性”命令。而后在关上的“自动网站属性”对话框当选用“自定义失误”标签，把500:100这个失误的自动揭示页面 C:\WINDOWS\Help\iisHelp\common\500-100.asp改成C:\WINDOWS\Help\iisHelp\common\500.htm（图6），这样无论ASP运转中出什么错，主机都只揭示HTTP 500失误，根绝了黑客应用失误揭示消息暴出数据库。攻防博弈攻 黑客：咱们除了对ASP＋SQL Server类的网站启动注入攻打外，还可以对PHP+MYSQL类的网站启动注入。相对而言，ASP＋SQL Server的注入攻打比拟遍及，进攻方法也比拟繁多，而知道这么进攻PHP+MYSQL注入攻打的人就比拟少，且进攻很艰巨，咱们还是可以继续得心应手。防 编辑：对客户端提交的变量参数启动细心检测、关系的账户消息加密、对IIS上启动安保设置都可以进一步根绝ASP类型网站的SQL注入入侵攻打，然而针对PHP+MYSQL类型的网站来说，这些安保进攻上班还是不够的。咱们还应在IIS中为每个网站设置好口头权限，不能随便地给静态网站以“脚本和可口头”权限。关于那些经过网站后盾治理核心上行文件寄存的目录，间接将口头权限设为“无”即可。