Windows容易被忽视的安全角落

笑面虎

都换linux吧

千幻修罗

现在的用户安全意识越来越强，安全技能也逐渐提高。但是，在Windows中的某些安全细节被许多人所忽略或者不知。也许正是因为这些细节让我们构建的安全防线落功亏一篑，那么就让我们晒晒这些被遗忘的角落。
　　1、暴露隐私的index.dat
　　我们知道IE的临时文件会带来安全隐患，造成个人隐私的泄露。正因为如此，大家通过IE浏览器的“工具→Interent选项→常规”，在其窗口中清除临时文件、coolies、历史记录、表单记录等等。这样就万事大吉了吗?殊不知，在IE临时文件夹C:\\Documents and Settings\\User Name\\Local Settings\\Temporary Internet Files中有一个Content.IE5子文件夹，这里面保存了一个Index.dat文件。，该文件记录了用户使用IE浏览的历史记录，因为上面的操作中并不会删除index.dat文件。
　　偷窥者可以通过第三方软件比如“index.dat文件查看器”查看残留在index.dat中的记录，你的浏览记录被暴露无遗。我们可以先在IE下删除历史记录然后运行“Index.DAT File Viewer”，点击“执行”按钮，上网浏览过的网页的URL地址一览无遗。在“url”右侧还有浏览的时间。点选“联机页面查看”右侧的“自动定位”，点击其中的一个url地址，便在下面嵌入的一个简易浏览器中打开打开相应的网页。点选“包括图像”，点击上面的以“http”开头url地址，所有的图片都现行了。(图1)

图1 Index.dat文件记录
　　解决办法是删除index.dat文件，但该文件是系统文件一般情况下无法删除，不过我们可以利用第三方工具，比如Tracks Eraser Pro，运行程序后，可以在左侧的“Task”任务列表中看到很多项可以删除的内容，其中Index.dat File也列在其中，对此我们只需要单击“Erase Now”按钮，这样程序则会进行清空，清空完成后再次打开Index.dat File Viewer，你会发现搜索的结果竟然是空白，这说明我们清除成功。(图2)

图2 清除文件2、泄密的Thumbs.db
　　Thumbs.db是windws系统中缩略图缓存文件，如果你使用缩略图的形式查看图片文件了，在同目录下就会生成一个Thumbs.db文件，该文件保存了文件夹中所有图片的略缩图。大家删除图片文件往往不会删除Thumgs.db文件，因为用户对于系统文件往往讳莫如深。不要以为它是图片缓存没法查看，那你就大错特错了。攻击者可以利用第三方工具查看，ThumbsDBViewer查看。我们测试先用“略缩图”方式查看C:\\WINDOWS\\Web\\Wallpaper下的图片，然后删除所有图片，运行该软件，打开该文件夹下的Thumbs.db，原来被删除的图片文件又重现了。(图3)

图3 缩略图查看器
　　解决的办法是：打开“我的电脑”，执行“工具→文件夹选项”，在“查看”选项卡下取消对“不缓存略缩图”的勾选见图4，这样系统就不会自动生成略缩图文件了。 对于系统中以前生成的Thumbs.db文件，可以通过下面的批处理来批量删除，将代码保存为lst.bat。(图4)

图4 文件夹选项设置
　　@echo off
　　del c:\\Thumbs.db /f/s/q/a
　　del d:\\Thumbs.db /f/s/q/a
　　del e:\\Thumbs.db /f/s/q/a
　　del f:\\Thumbs.db /f/s/q/a
　　exit
　　大家根据自己的磁盘分区修改或者添加相关的代码即可。3、藏污纳垢的“System Volume Information”
　　System Volume Information\"文件夹，中文名称可以翻译为\"系统卷标信息\"。这个文件夹里就存储着系统还原的备份信息。本来是备份系统状态的，但它也被病毒木马盯上了，成了它们的栖息地。因为该文件夹只有system权限，其他用户没有权限，所以就连某些杀毒软件对隐藏其中的病毒也无能为力。那如何来清理其中的病毒木马呢?
　　(1).手工清除。因为该文件夹是system权限，所有要打开它并进行清毒首先要获取权限。操作方法是：打开“我的电脑”执行“工具→文件夹选项→查看”，取消对“使用简单文件共享”和“隐藏受保护的操作系统文件”的勾选“确定”后进入磁盘根目录。比如C盘，右击“System Volume Information”文件夹选择“属性”在“安全”选项卡下，通过“添加→高级→立即查找”选择并添加当前用户，然后赋予其“完全控制”权限。最后进入才c:\\System Volume Information就可以删除病毒木马了。(图5)

图5 System Volume Information
　　(2).系统方法。既然该文件是由“系统还原”引起的，如果已经做好了系统备份可以关闭“系统还原”那该文件夹就自动被删除。我们可以通过组策略来彻底关闭系统还原：在运行输入“gpedit.msc”，打开组策略编辑器，定位到“计算机配置→管理模板→系统→系统还原”，双击右边的“关闭系统还原”项选择“已启用”。然后继续定位到“计算机配置→管理模板→Windows组件→终端服务→windows Installer”双击右边的“关闭创建系统还原检查点”选择“已启用”即可。(图6)

图6 关闭系统还原4、深藏在组策略中的“后门”
　　往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩，也为大家所熟知。其实，在最策略中也可以实现该功能，不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性，常为大家所忽略，也更危险。
　　比如一个本地用户，临时获得了某台机器的操作权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本，最简单的比如创建一个管理员用户，他可以这样做：
　　(1).创建脚本
　　创建一个批处理文件add.bat，add.bat的内容是：@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。
　　(2).后门利用
　　在“运行”对话框中输入gpedit.msc，定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”，在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户，就是他看见并且删除了该用户，当系统关机或者重启是又会创建该用户。所以说，如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。(图7)

图7 组策略脚本设置
　　其实，对于组策略中的这个“后门”还有很多利用法。有些远程攻击者通过它来运行脚本或者程序，嗅探管理员密码等等。当他们获取了管理员的密码后，就不用在系统中创建帐户了，直接利用管理员帐户远程登录系统。因此它也是“双刃剑”，希望大家重视这个地方。当你被攻击而莫名其妙时，说不定攻击者就是通过它实现的。5、被冷落的文件夹
　　(1).system文件夹
　　%Windir%\\system曾经是windows 98时代的核心文件夹，自从Windows 2000以后system32代替了它。现在的大多数病毒、木马都以占领system32为目标，因此大家对它格外关注。在系统中毒后首先在它的下面看看有没有可疑目标。正是基于用户的习惯有些病毒、木马却盯上了system文件夹。在system文件夹下有很多驱动文件，有些厉害的驱动级别的病毒往往混在其中。因此，这里也应该是系统安全不应忽视的一个角落。(图8)

图8 System目录下病毒
　　(2).dllcache文件夹
　　dllcache文件夹在C:\\WINDOWS\\system32\\下，它是系统文件的备份，因此占用的空间比较大。也正因为如此，它成了所谓的系统“瘦身”技巧开刀的地方。殊不知，dllcache文件夹对于系统的正常运行至关重要。当系统文件被病毒更改或者损坏后，就会通过它下面的同名文件进行恢复。所以，当该文件夹被瘦身kill掉后，受损的系统文件就不能得到恢复从而为系统的稳定运行造成一定的安全隐患。
　　另外，一些病毒木马也深知dllcache文件的重要性，他们在入驻系统更改系统文件的时候也会同时替换其下面的同名文件从而保护自身。因此，这个文件夹非常重要不应该被冷落。
　　6、第三方软件的“利刃”
　　用电脑就是用软件，用户电脑中的软件数不胜数，对于这些为自己效劳的软件用户还是比较信任的，但有时它们会辜负我们的信任而出卖我们。拿几乎每机一个的WinRar来说吧它可能带给我们伤害。我们知道WinRar支持自解压格式的exe文件，这种格式的压缩文件支持脚本代码，因此可以被人恶意利用。图9

图9 Winrar挂马
　　(1).WinRar挂马
　　新建一个文本文件，比如lw.txt。在该文件上点击右键选择“添加到压缩文件”，打开如图1所示的窗口，在“压缩选项”中勾选“创建自解压格式压缩文件”选项。：点击“高级”选项卡，在打开窗口中点击“自解压选项”按钮，在“高级自解压选项”窗口中点击“文本和图标”选项卡我们可以在“自解压文件窗口中显示的文本”下的文本框中输入输入跨站代码：
   Path=%systemroot%
　　Setup=lw.exe
　　Presetup=notepad.exe
　　Silent=1
　　Overwrite=1
　　第一行是文件的解压路径，在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe，达到掩人耳目;第四行是隐藏文件，达到更隐蔽;第五行是覆盖目录下的同名文件，以容错更可靠。双击运行该自解压程序，正常的程序notepand.exe和测试程序lw.exe依次运行，效果如图10。



图10 毒病脚本运行测试
  可见，我们经常使用的工具也可能给我们带来伤害，这也是我们不可忽视的安全细节。防范的方法是不要直接双击打开后缀为exe的压缩文件，首先打开WinRar，然后通过它打开该压缩文件。其实，除了WinRar之外，其它我们常用的工具如迅雷、暴风影音等也会泄露个人隐私。对此，我们不用因噎废食，关键的是提高自己的安全意识，千万不应该忽视它们潜在的安全隐患，进而采取相应的安全措施。
  总结：上面列举了几个被许多用户忽视Windows安全角落，目的是引起大家对系统安全的重视。就让我们从这些安全细节开始，打造更安全的系统。