Theo dõi Đường Dẫn

Một phần của tài liệu Tài liệu Chương 6: Đột nhập bằng Windows 2000 ppt (Trang 51 - 52)

Công việc này cũng được thêm vào MS00-052 nhưng không bao gồm cả Service Pack 1, vì vậy nó phải được áp dụng bất kể bạn có đang chạy hệ thống Service Pack trước hoặc sau hay không. Ngay cả khi file FAQ của Mcrosoft trong tình trạng dễ bị ảnh hưởng này (http://www.microsoft.com/technet/security/bulletin/fq00-52.asp) “độc lập ở giữa các trị số registry do Microsoft cung cấp sẵn, trị số Shell sử dụng một đường dẫn ảo” để hỗ trợ những ứng dụng thừa kế, Alberto Aragones khẳng định nhiều file chạy thiếu những đường dẫn chính xác trong mục Registry (ví dụ như file rundll32.exe). Quả thực, file rundll32.exe có thể tìm thấy nhiều nơi trong mục Registry mà không cần một đường dẫn thực.

Một cách khác là truy tìm tất cả đường dẫn ảo trong Registry và suy ra đường dẫn thực. Ngay cả nếu một danh sách toàn diện và chính xác về các file có khả năng bị tổn thương tồn tại, mọi việc sửa chữa chúng cũng cần rất nhiều nỗ lực và thời gian.

Mọi việc sẽ trở nên dễ dàng nếu bạn tuân theo những thủ thuật hiệu quả và ngăn cản đăng nhập vào server (triển khai Terminal Server sẽ làm điều này phần nào khó khăn hơn). Và tất nhiên điều này sẽ áp dụng để sửa chữa (tham khảo phần trước). Vì những lo ngại tính tương thích ứng dụng đã đề cập ở phần trước, công việc sửa chữa này sẽ loại bỏ mọi khả năng dễ bị ảnh hưởng bằng cách đưa một dạng chữ đặc biệt vào mã startup để suy ra %systemroot% trước khi trị sốđược nhập vào mục “Shell”.

LỜI KHUYÊN: Nếu ai đó dùng thủ thuật này của Alberto lên máy của bạn, bạn có thể bị bối rối khi tìm cách đưa trở hệ thống về tình trạng bình thường. Alberto khuyên bạn nên chạy chương trình %windir%\explerer.exe từ trình lệnh và sau đó xoá trình thám hiểm cổng thoát, hoặc bạn có thể chỉ cần gõ

ren\exploerer.exe harmless.txt, và sau đó ấn tổ hợp phím CTRL-ALT-DEL để khởi động lại.

Một phần của tài liệu Tài liệu Chương 6: Đột nhập bằng Windows 2000 ppt (Trang 51 - 52)

Tải bản đầy đủ (PDF)

(65 trang)