电脑故障集(4)-5

sam

四十四、防火墙封阻应用攻击技术综述
    你已经决心下大力气搞好应用安全吗？毕竟，例如金融交易、信用卡号码、机密资料、用户档案等信息，对于企业来说太重要了。不过这些应用实在太庞大、太复杂了，最困难的就是，这些应用在通过网络防火墙上的端口80（主要用于HTTP）和端口443（用于SSL）长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场，应用防火墙发现及封阻应用攻击所采用的八项技术如下：

　　深度数据包处理

　　深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。

　　TCP/IP终止

　　应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

　　SSL终止

　　如今，几乎所有的安全应用都使?*** TTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web服务器之前重新进行加密的解决方案。

　　URL过滤

　　一旦应用流量呈明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码（unicode encoding）。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的应用层漏洞。

请求分析

　　全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web服务器层的跨站脚本执行（cross-site scripting）漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步：可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样，记住以前的行为能够获得极有意义的分析，同时获得更深层的保护。

　　用户会话跟踪

　　更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（URL rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息块中毒（cookie-poisoning）类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。

　　响应模式匹配

　　响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。

　　采用“停走”字（‘stop and go’word）的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说，可以要求应用提供的每个页面都要有版权声明。

　　行为建模

　　行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况譬如大量使用javascript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测（meta-inspection）技术，它能够分析流量、建立行为模型，并且借助于各种关联技术生成应用于行为模型的一套规则，以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是，如今已出现了解决这一问题的创新方案，而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙，你就可以解决应用安全这一难题。

四十五、 不用专门软件照样修复硬盘分区表
    硬盘分区表一旦被破坏，系统就无法启动。这种情况下该怎么办呢？看到有些媒体推荐用Disk Genius。可是并不是每个朋友手里都有这个软件。当电脑出现问题时，电脑已经不能启动了，更别提上网去下载这个软件了！其实有更简单的办法，那就是用Windows的安装光盘来修复。
　　第一种方法，只有Windows 98光盘时。首先用光盘或者软盘引导系统，然后用Fdisk/ mbr修复分区表，不过这样未必能够完全修复。但一般情况下，至少可以用上C盘了，然后再下载Disk Genius修复也是可行之道。

　　第二种方法：有Windows XP光盘的，用Windows XP光盘启动后，选择第二项“要用恢复控制台修复Windows XP安装，请按R键”。按下R键，就可以进入Windows XP的故障控制台了。然后键入Fixmbr，回车，就可以恢复大多数情况下的分区表错误了。经我实际使用发现用fixmbr命令不仅可以修复Windows XP系统下的分区错误，对Windows 98系统，以及Windows 98/XP双系统均有效，fixmbr命令格式如下：
fixmbr [device_name(驱动器盘符)]。

四十六、【Windows非法操作代码含义】  
这里的同志们肯定都用过Windows的，想必经历过“非法操作”吧。一般的“非法操作”有两个选项：“关闭”和“详细资料”。可是“详细资料”里面的内容大多数人都看不明白，只好草草的给关闭了。现在不用怕了，我来给大家讲解一下非法操作的每个详细资料的具体含义：

1.停止错误编号:0x0000000A
说明文字:IRQL-NOT-LESS-OR-EQUAL
通常的原因:驱动程序使用了不正确的内存地址.
解决方法:如果无法登陆,则重新启动计算机.当出现可用的作系统列表时,按F8键.在Windows高级选项菜单屏幕上,选择"最后一次正确的配置",然后按回车键. 检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请与硬件或软件的制造商联系,获得可能需要的任何Windows更新或驱动程序. 运行由计算机制造商提供的所有的系统诊断软件,尤其是内存检查. 禁用或卸掉新近安装的硬件(RAM,适配器,硬盘,调制解调器等等),驱动程序或软件. 确保硬件设备驱动程序和系统BIOS都是最新的版本. 确保制造商可帮助你是否具有最新版本,也可帮助你获得这些硬件. 禁用 BIOS内存选项,例如cache或shadow.

2.停止错误编号:0x0000001E
说明文字:KMODE-EXPTION-NOT-HANDLED
通常的原因:内核模式进程试图执行一个非法或未知的处理器指令.
解决方法:确保有足够的空间,尤其是在执行一次新安装的时候. 如果停止错误消息指出了某个特定的驱动程序,那么禁用他.如果无法启动计算机.应试着用安全模式启动,以便删除或禁用该驱动程序. 如果有非 Microsoft支持的视频驱动程序,尽量切换到标准的VGA驱动程序或Windows提供的适当驱动程序. 禁用所有新近安装的驱动程序.
确保有最新版本的系统BIOS.硬件制造商可帮助确定你是否具有最新版本,也可以帮助你获得他. BIOS内存选项,例如cache,shadow.

3.停止错误编号:0x00000023或0x00000024
说明文字:FAT-FILE-SYSTEM或MTFS-FILE-SYSTEM
通常原因:问题出现在Ntfs.sys(允许系统读写NTFS驱动器的驱动程序文件)内.
解决方法:运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件. 禁用或卸载所有的反病毒软件,磁盘碎片整理程序或备份程序. 通过在命令提示符下运行Chkdsk /f命令检查硬盘驱动器是否损坏,然后重新启动计算机.

4.停止编号:0x0000002E
说明文字ATA-BUS-ERROR
通常的原因:系统内存奇偶校验出错,通常由硬件问题导致.
解决方法:卸掉所有新近安装的硬件(RAM.适配器.硬盘.调制解调器等等). 运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件. 确保硬件设备驱动程序和系统BIOS都是最新版本. 使用硬件供应商提供的系统诊断,运行内存检查来查找故障或不匹配的内存. 禁用BIOS内存选项,例如cache或shadow.
在启动后出现可用作系统列表时,按F8.在Windows高级选项菜单屏幕上,选择"启动VGA模式:.然后按回车键.如果这样做还不能解决问题,可能需要更换不同的视频适配器列表,有关支持的视频适配器列表,请参阅硬件兼容性列表.

5.停止编号:0x0000003F
说明文字:NO-MOR-SYSTEM-PTES
通常的原因:没有正确清理驱动程序.
解决方法:禁用或卸载所有的反病毒软件，磁盘碎片处理程序或备份程序.

6:停止错误编号:0x00000058
说明文字:FTDISK-INTERN-ERROR
通常的原因:容错集内的某个主驱动器发生故障.
解决方法:使用Windows安装盘启动计算机,从镜象(第2)系统驱动器引导.有关如何编辑Boot.ini文件以指向镜象系统驱动器的指导,可在MIcrosoft支持服务Web站点搜索"Edit ARC path".

7.停止错误编号:0x0000007B
说明文字:INACCESSI-BLE-BOOT-DEVICE
通常原因:初始化I/O系统(通常是指引导设备或文件系统)失败.
解决方法:引导扇区病毒通常会导致这种停止错误.是用反病毒软件的最新版本,检查计算机上是否有存在病毒.如果找到病毒,则必须执行必要的不找把他从计算机上清除掉,请参阅反病毒软件文档了解如何执行这些步骤. 卸下所有新近安装的硬件(RAM,适配器,调制解调器等等). 核对MIcrosoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容. 如果使用的适SCSI适配器,可以从硬件供应商除获得最新WINDOWS驱动程序,禁用SCSI设备的同步协商,检查该SCSI链是否终结,并核对这些设备的SCSI ID,如果无法确定如何执行能够这些步骤,可参考硬件设备的文档.
如果你用的是IDE设备,将板上的IDE端口定义为唯一的主端口.核对IDE设备的主/从/唯一设置.卸掉除硬盘之外的所有IDE设备.如果无法确认如何执行这些不找，可参考硬件文档. 如果计算机已使用NTFS文件系统格式化,可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令.如果由于错误而无法启动系统,那么使用命令控制台,并运行Chkdsk /r命令. 运行Chkdsk /f命令以确定文件系统是否损坏.如果Windows不能运行Chkdsk命令,将驱动器移动到其他运行Windows的计算机上,然后从这台计算机上对该驱动器运行Chkdsk命令.

8.停止错误编号:0x0000007F
说明文字:UNEXPECTED-KERNEL-MODE-TRAP
通常的原因:通常是由于硬件或软件问题导致,但一般都由硬件故障引起的.
解决方法:核对Microsoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.如果计算机主板不兼容就会产生这个问题. 卸掉所由新近安装的硬件. 运行由计算机制造商提供的所有系统诊断软件,尤其是内存检查. 禁用BIOS内存选项,例如cache或shadow.

9.停止错误编号:0x00000050
说明文字AGE-FAULT-IN-NONPAGED-AREA
通常的原因:内存错误(数据不能使用分页文件交换到磁盘中).
解决方法:卸掉所有的新近安装的硬件. 运行由计算机制造商提供的所有系统诊断软件.尤其是内存检查. 检查是否正确安装了所有新硬件或软件,如果这是一次全新安装,请与硬件或软件制造商联系,获得可能需要的任何Windows更新或驱动程序. 禁用或卸载所有的反病毒程序. 禁用BIOS内存选项,例如cache或shadow.

10.停止错误编号:0x00000077
说明文字：KERNEL-STEL-STACK-INPAGE-ERROR
通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。
解决方法：使用反病毒软件的最新版本，检查计算机上是否有病毒。如果找到病毒，则执行必要的步骤把他从计算机上清除掉。请参阅制造商提供的所有系统诊断软件，尤其是内存检查。禁用BIOS内存选项，例如cache,shadow.

11.停止错误编号：0x00000079
说明文字：MISMATCHED-HAL
通常的原因：硬件抽象层与内核或机器类型不匹配（通常发生在单处理器和多处理器配置文件混合在同一系统的情况下）。
解决方法：要解决本错误，可使用命令控制台替换计算机上错误的系统文件。单处理器系统的内核文件是Ntoskml.exe，而多处理器系统的内核文件是Ntkrnlmp.exe，但是，这些文件要与安装媒体上的文件相对应；在安装完Windows2000和，不论使用的是哪个原文件，都会被重命名为Ntoskrnl.exe文件。HAL文件在安装之后也使用名称Hal.dll但是在安装媒体，但是在安装媒体上却有若干个可能的HAL文件。

12.停止错误编号：0x0000007A
说明文字：KERNEL-DATA-INPAGE-ERROR
通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。（通常是由于分页文件上的故障，病毒，磁盘控制器错误或由故障的RAM引起的）。
解决方法：使用反病毒软件的最新版本，检查计算机上是否存在病毒。如果找到病毒。则执行必要的步骤把他从计算机上清除掉，请参阅犯病度软件文档了解如何执行这些步骤。
如果计算机已使用NTFS文件系统格式化。可重新启动计算机，然后在该系统分区上运行Chkdsk /f/r命令。如果由于错误而无法启动命令，那么使用命令控制台，并运行Chkdsk /r命令。 运行由计算机制造商提供的所有的系统在低端软件，尤其是内存检查。

13.停止错误编号：0xC000021A
说明文字：STATUS-SYSTEM-PROCESS-TERMINATED
通常的原因：用户模式子系统，例如Winlogon或客户服务器运行时子系统（CSRSS）已被损坏，所以无法再保证安全性。
解决方法：卸掉所有新近安装的硬件。如果无法登陆，则重新启动计算机。当出现可用的作系统列表时按F8。在Windows2000高级选项菜单屏幕上，选择：“最后一次正确的配置”。然后按回车。运行故障恢复台，并允许系统修复任何检测到的错误。

14.停止错误编号：0xC0000221
说明文字：STATUS-IMAGE-CHECKISU7M-MISMATCH
通常的原因：驱动程序或系统DLL已经被损坏。
解决方法：运行故障复控台，并且允许系统修复任何检测到的错误。
如果在RAM添加到计算机之后，立即发生错误，那么可能是分页文件损坏，或者新RAM由故障或不兼容。删除Pagefile.sys并将系统返回到原来的RAM配置。运行由计算机制造商提供的所有的系统诊断软件，尤其是内存检查。