Windows用户为什么会受中间人攻击？

据国外媒体报道称，Windows操作系统查找互联网上其它计算机方式中的缺陷主要影响美国之外的企业客户，理论上它能够被黑客用来将用户的计算机悄悄地引导到一个恶意网站上。

微软在1999年修正了该缺陷，但它被发现存在于较新版本的Windows中，并在最近的一次黑客会议上被公开。

微软安全响应中心的经理迈克表示，这是以前被发现的缺陷的变种。

这一缺陷与Windows系统查找DNS信息的方式有关。

从理论上说，任何版本的Windows都会受到该缺陷的影响，但微软在本周一发表的一份公告中解释了哪种配置的Windows有受到攻击的危险，并为客户提供了一些可能的临时性解决方案。

微软称它正在开发修正该缺陷的补丁软件。

迈克表示，这一缺陷只影响域名为“三级或更多级”的客户，这意味着idg.com或dhs.gov网络上的用户不会受到影响。

注册co.uk或co.nz等二级域名的“wpad”黑客能够在用户不知情的情况下将他们引导到恶意网站上━━这种攻击方式被称作“中间人攻击”。

用户可能认为自己在访问银行网站，而实际上他访问的可能是一个钓鱼攻击欺诈网站。

Infoblox负责架构的副总裁克里克特说，这种攻击特别阴险，因为许多人不知道他们受到了攻击。

迈克表示，微软目前没有听说有利用这一缺陷的攻击发生。

微软称，设立有自己的代理服务器或在网络上有WPAD服务器的客户不会因该缺陷而受到攻击。

windows有哪些软件可以下载历史版本？

我们推荐您安装新毒霸2013（悟空） 金山毒霸是老牌杀毒厂商 ，有15年的技术积累，及技术底蕴深厚，特别是最新版的 新毒霸2013（悟空）版，是全球最快的杀毒软件，在快的同时，其对病毒恶意网址的防御等不受丝毫影响，杀毒软件最核心的是杀毒引擎，毒霸发展多年积累了丰富的经验，有强大的云引擎、蓝芯3引擎、KSC云启发引擎等。

可以更好地为用户提供强大的保护。

其独家推出的网购敢赔模式，就可以独见其对自己技术上的信心和实力。

特别是金山毒霸免费以后，产品免费，但是其产品和技术的发展确发展越来越快，越来越好。

官网地址：www.ijinshan.com 另外推荐您安装猎豹安全浏览器，全球首款双核安全浏览器更快 更炫 更安全，由金山网络技术有限公司推出的一款浏览器，主打安全与极速特性，采用Trident和WebKit双渲染引擎，并整合金山自家的BIPS进行安全防护。

猎豹浏览器对Chrome的Webkit内核进行了超过100项的技术优化，访问网页速度更快。

其具有首创的智能切换引擎，动态选择内核匹配不同网页，并且支持HTML5新国际网页标准，极速浏览的同时也保证兼容性。

2012年12月，猎豹浏览器获得“2012年度最佳创新产品奖”。

2013年6月19日，正式发布猎豹浏览器手机版。

猎豹浏览器特点： 快速——比Chrome速度更快；智能双核切换，非常方便快捷。

安全——杀毒软件级别的安全防护能力；独有的bips体系，做到不需要杀软也可以安全上网。

炫酷——顶级设计团队倾心打造，3d效果非常炫酷。

猎豹浏览器官网：http://www.liebao.cn/ 感谢您的支持，祝您生活愉快！

windows启动过程

认真看完这个也许你会有收获的：Windows启动过程介绍相信不少人碰到过装了个什么东西之后，重启Windows就发现起不来了。

所以，想把Windows启动过程中作了些什么事情，分哪些stages做个介绍。

这里要介绍的是Windows 2k/xp/2k3系列的启动过程，nt系列么，很类似。

虽然Windows是非开源的（废话！：o ），不过还是有不少资料可以参考的，还包括MS的那些public的symbol。

如果有机会可以试试Kernel的live debug，那么相信还是能看到不少东西的。

不过话说回来，这事情我也没做过…… 等回头自己机器上装好VMWare之类的，再Try吧，到时候会把过程记录下来贴到这里的。

Windows的启动过程么，主要包括以下几个部分：1. Master Boot Record (MBR)2. Boot sector3. Ntldr （这个可能有人会觉得眼熟，是不是碰到过启动的时候说找不到Ntldr呢？；） ）4. Ntoskrnl.exe5. Smss6. Winlogon7. Service control manager (SCM)OK。

我将在这个帖子里依据上述的启动过程，对这些组件逐个介绍。

当然，这里面大部分内容来自于《Inside Windows 2000》和《Windows Internals》这两本书的相应章节（Startup and shutdown）。

我能做的事情基本上就是翻译和复述了，最多可能加上一些相关的注释。

当然，如果看过关于linux启动过程源码（分析）的朋友，估计会不满足于下面介绍这么点内容，而且这里也基本不谈到硬件相关的部分（最多可能仅补充一些我知道的硬件相关内容），谁叫咱看不到源码呢，呵呵。

欢迎大家进行讨论和补充。

p.s. 今天仅仅先占个位子，具体内容么，且听下回分解。

：cool:-----------------------------------------------------------------------------------------------------------------------1. MBR & Boot Sector物理硬盘是以扇区（sector）为单位来寻址的。

Windows的安装程序会在安装的时候，将一些内容写入你安装系统的那个硬盘的第一个扇区。

这块内容就称为Master Boot Record(MBR).MBR包括两块内容：（1）. Boot code;(2). Partition table;Boot code，也就是启动代码。

这段代码是在系统启动的时候，BIOS完成了自检过程，选择了启动设备（也就是你某个硬盘），然后就将该磁盘的MBR读入内存，并且跳转到MBR所在地址，从而执行其Boot code.Partition table，也就是分区表。

该表只有4项（entry），因为MS的OS允许一个磁盘最多被分为4个主分区（primary partition）。

这里的分区表里面的内容就是这4个分区的相关信息，包括其起始的sector，相应的标志等等。

对于启动过程而言，MBR的boot code会搜寻这个分区表，在其中查找带有可启动标志（也称为Active）的分区，然后将该分区的第一个sector（也就是Boot sector）读入，并且执行其中的代码。

在安装程序写入Boot sector之前，需要获知其所在分区的文件系统类型（FAT? FAT32? NTFS？），然后写入不同的Boot sector。

为什么对于不同的文件系统需要不同的Boot sector呢？原因在于Boot sector的任务，就是要载入OS的系统启动文件，而载入文件的过程，是需要文件系统参与的，所以对应于不同的文件系统，在Boot sector里面就需要不同的文件系统支持代码，以次来完成系统文件的加载。

对于Windows启动而言，需要加载的文件为Ntldr。

需要补充的是，boot sector里面对于文件系统的支持代码是“最小化”了的。

毕竟boot sector的大小最多也就只有512 bytes，要带有完整的文件系统是不大可能的。

而且，我们的需求也很简单，只需要它能够理解该文件系统，并且能够读取其中的文件就可以了，我们并没有写入文件的需求。

Boot sector将Ntldr加载完成之后，就跳转到Ntldr的入口处，接下去的任务，就交给Ntldr了。

这时候，系统还是运行在16位的实模式下，Ntldr会开启Paging，并转入32为保护模式。

这个过程中，可能碰到的错误信息是下面这个：对于NTFS文件系统，＂BOOT: Couldn't find NTLDRP＂；对于FAT文件系统，＂NTLDR is missing＂；这个错误的意思是Boot sector在分区的根目录下没有找到Ntldr。

-----------------------------------------------------------------------------------------------------------------------2. NTLDRNTLDR是一个“中间人”，在Boot Sector转入NTLDR的时候，系统处于实模式下，这时候程序访问的任何地址都是实地址，也就是物理地址（虽然这其中还有80x86最基本的分段功能，学过这个实模式汇编的应该知道），并且，这个地址范围也受限在1M(20位地址)以内。

所以，进入NTLDR后最先要做的事情就是转入保护模式，以便于能够完全访问32位地址范围。

不过，由于此时没有设置好相应的页表，所以，还不能进行虚实地址转换（也就是还没有分页的功能）。

NTLDR需要初始化一定的页表，然后开启分页。

这时候，系统已经进入了Windows的标准状态（保护模式+分页）。

前面说到转入保护模式的时候，漏说了一个事情，就是初始化GDT和IDT。

这里面，关键的是Windows使用的是Flat Memory Mode，也就是其保护模式下，所有段的基地址都一样。

这点和其内存管理的机制息息相关，这边就先提一下。

虽然系统已经进入了保护模式，不过，此时的NTLDR还需要依赖一些BIOS调用，来访问磁盘以...

你们觉得Windowsdefender好用还是第三方杀毒软件好用？

Windows系统保姆 Advanced SystemCare是外国一款十分流行的系统工具，集系统分析、诊断和优化等多种功能于一体。

它通过对系统全方位的诊断，找到系统性能的瓶颈所在，然后有针对性地进行修复和优化。

软件界面清晰易懂，而且支持简体中文界面，国内用户使用起来毫不费力。

此外，该软件还具有间谍软件和恶意软件扫描和清除能力，也能帮助用户保护个人隐私信息、清理系统垃圾和修复注册表等。

有了该软件的帮助，维护系统正常运行，甚至提升系统速度都是很容易的。

个人评价 一般般

XP以上的系统,windows自带防火墙了,还有必要装卡巴防火墙？

说明：通常用于分析操作系统。

这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。

一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1服务：tcpmux说明：这显示有人在寻找SGI Irix机器。

Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。

Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。

许多管理员在安装后忘记删除这些帐户。

因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7服务：Echo说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19服务：Character Generator说明：这是一种仅仅发送字符的服务。

UDP版本将会在收到UDP包后回应含有垃圾字符的包。

TCP连接时会发送含有垃圾字符的数据流直到连接关闭。

HACKER利用IP欺骗可以发动DoS攻击。

伪造两个chargen服务器之间的UDP包。

同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：20服务：FTP说明：20端口是用于FTP数据传输的默认端口号 。

端口：21服务：FTP说明：FTP服务器所开放的端口，用于上传、下载。

最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。

这些服务器带有可读写的目录。

木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22服务：Ssh说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。

这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23服务：Telnet说明：远程登录，入侵者在搜索远程登录UNIX的服务。

大多数情况下扫描这一端口是为了找到机器运行的操作系统。

还有使用其他技术，入侵者也会找到密码。

木马Tiny Telnet Server就开放这个端口。

端口：25服务：SMTP说明：SMTP服务器所开放的端口，用于发送邮件。

入侵者寻找SMTP服务器是为了传递他们的SPAM。

入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。

木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31服务：MSG Authentication说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42服务：WINS Replication说明：WINS复制端口：53服务：Domain Name Server(DNS)说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS(UDP)或隐藏其他的通信。

因此_blank>防火墙常常过滤或记录此端口。

端口：67服务：Bootstrap Protocol Server说明：通过DSL和Cable modem的_blank>防火墙常会看见大量发送到广播地址255.255.255.255的数据。

这些机器在向DHCP服务器请求一个地址。

HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。

客户端向68端口广播请求配置，服务器向67端口广播回应请求。

这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69服务：Trival File Transfer说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。

但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。

它们也可用于系统写入文件。

端口：79服务：Finger Server说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80服务：HTTP说明：用于网页浏览。

木马Executor开放此端口。

端口：99服务：Metagram Relay说明：后门程序ncx99开放此端口。

端口：102服务：Message transfer agent(MTA)-X.400 over TCP/IP说明：消息传输代理。

端口：110服务：Post Office Protocol -Version3说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。

POP3服务有许多公认的弱点。

关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。

成功登陆后还有其他缓冲区溢出错误。

端口：113服务：Authentication Service说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。

使用标准的这种服务可以获得许多计算机的信息。

但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。

通常如果有许多客户通过_blank>防火墙访问这些服务，将会看到许多这个端口的连接请求。

记住，如果阻断这个端口客户端会感觉到在_blank>防火墙另一边与E-MAIL服务器的缓慢连接。

许多_blank>防火墙支持TCP连接的阻断过程中发回RST。

这将会停止缓慢的连接。

端口：119服务：Network News Transfer Protocol说明：NEWS新闻组传输协议，承载USENET通信。

这个端口的连接通常是人们在寻找USENET服务器。

多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。

打开新闻组服...

有知道c:\windows\system32\tdll.dll是？

无论是中了什么样的毒（包括病毒，木马，流氓软件及网页插件），一般在这种情况下，对于菜鸟我的建议是，重新安装系统再执行如下操作（重新安装系统为的是保证系统的绝对干净清洁！）：当然如果不想重新安装系统，也可以执行如下操作，也绝对奏效： 在这里，你可以找到你最需要的东西（一个超强的杀毒软件，比卡巴还强，最重要的是它是完全免费的哦；一个给Windows量身定做的防火墙，这两个一定要，要不电脑就不是超强防御了！嘿嘿）！ （下载Vavst，比卡巴强！） （下载木马清道夫！） 给个建议，装上上面我介绍的那个avast与木马清道夫。

先升级病毒库，再进行全面查杀，完成之后，将avast卸载后，再重新安装一下avast（曾有许多人问我，为什么要在全面查杀后，卸载，后又重新安装呢？现在我说一下，因为在全面查杀之后，不是所有的病毒文件都可以删除的，也有许多是被隔离的，而被隔离的那些病毒文件一般就是放在了C盘的某个目录下，在卸载之后，那些隔离文件会被删除，这样有两点好处：1，还C盘一个真正的干净；2，释放C盘的部分空间（隔离文件肯定会占用部分空间的）。

这样，再重新安装一下avast，那不是很干净，很清洁。

如果你做的够好，那系统的启动速度还会快点的！），接下来打开木马清道夫的防火墙（因为avast的防黑客能力不是很理想），一样还是先升级，再修复IE，这是很有必要的（因为有很多的木马与流氓软件，都是通过IE传播的）！最后注意木马清道夫的防火墙的配置（如果你是菜鸟，那建议你将所有的规则都选上，这样可以最大限度确保你的单机安全！老鸟随意！），之后就享受胜利的喜悦吧！你已经百毒不侵了，呵呵！ 如果还有什么不好删除的，请在开机过程中，狂按F8键，进安全模式直接删除，最好在安全模式下，将注册表的自启动项中一些没有用的东西一并删除！ 如果不知道如何修改注册表内容，请继续向下看： 点“开始”——“运行”——在下拉框中输入“regedit”，回车（在回车后，如果弹出对话框说注册表被禁用，请跨过这一段，直接看下一段！）——HKEY_LOCAL_MACHINE——SoftWare——MicroSoft——Windows——CurrentVersion——Run，删除在“C:\Program Files\***”下的一些垃圾文件，这样系统会不用加载一些不必要的程序，以便于快速启动和防止病毒木马自启动！当然，请不要删除杀毒软件的自启动！ 点“开始”——“运行”——在下拉框中输入“ c”，回车——用户配置——管理模板——系统——双击“阻止访问注册表编辑工具”——选择“已禁用”，点应用，点确定！现在注册表就可以访问了！

转载请注明出处51数据库 » windows中间人软件