GHOST系统优化.doc

浅析GHOST版系统2007年05月31日 星期四 上午 08:26          自从用电脑到现在，一直用的是WINDOWS XP的原版系统，但是却听到很多人对GHOST版的系统评价很高，说他怎么怎么好用，渐渐的就很少听到有人用原版系统了。听了这些，笔者就决定也去用用GHOST版的系统，看他到底怎么样？          把原来的系统做个备份，上网下了个GHOST版的XP系统，自己作了个系统盘，准备在自己的机子上装个GHOST系统感受一下！重启电脑，进入BIOS设置成有光盘引导启动，按F10保存，系统重启之后进入安装界面，中间的过程不在赘述，不一会的功夫系统就装完了，看一下系统，感觉是比原版本的系统快一点，心想怪不得那么多人用GHOST系统，原来是这么方便啊，不但系统装得快，连手动优化都省了，驱动都是自带得，驱动盘都不用了，一张盘搞定所有一切，更有一些GHOST系统，连常用得一些软件都集成到里面了。强          初识GHOST系统感觉不错，待系统装完之后，装了了个卡巴斯基，把病毒库更新，准备把系统盘（C盘）彻底扫描一下然后做个备份，以待以后出问题了恢复系统用。等到一切都做完之后，重启，进入安全模式，运行卡巴斯基扫描系统盘，没得事情作，但有不想把时间浪费在等待卡巴查毒上，就出去溜达去了。从外面回来得时候惊呆了          卡巴查出在系统中有后门木马，不是吧，我有点不敢相信，刚装得系统，我还什么事情都没做都中病毒了，想来想去还是没找到原因。突然想起来了会不会是GHOST系统本身就带有后门          突然想起来前段时间有朋友告诉我说番茄花园版本的系统就有个后门，在登陆界面的时候，用户名和密码全空的时候就可以以超级管理员的身份登陆，当时我还不怎么相信，现在          重启，用maxdos恢复自己原来的系统，汗幸好刚刚没把自己原来的系统删除掉，要不自己又得重新做系统了，漫长的等待，时间的煎熬，还要手工优化系统，想到就有些后怕不过这些终究还是没发生，所以还是要庆贺一下的。          下面我就专门给大家介绍一下GHOST到底有那些不好的地方：          GHOST系统之所以能够那么快的安装完成，主要原因是作者在制作GHOST版系统的时候删除了很多WINDOWS自带的多余文件和一些硬件信息，另外还对系统本身的一些配置进行“优化”，最后才对系统进行封装的。在这个期间，中间修改GHOST版的过程就是最重要的，大量的篡改系统信息，加入第三方的软件很容易导致系统的不稳定；另外有一些GHOST系统竟然恶意开放后门，开放危险的端口，如果你装了这样的系统，毫无疑问就直接成了别人盘中鸡了。制作者的人品和水平的高低就直接关系到GHOST系统的好坏！GHOST系统常存在以下这些问题：        administrator用户密码泄漏；        隐藏共享漏洞；        开启危险服务；        对防火墙做过手脚；        安装第三方流氓软件；        空密码远程桌面漏洞；          在原本的WINDOWS XP系统中，ipc空连接是不可能实现的，WINDOWS 2K推出以后，因为IPC漏洞给用户带来了灾难性的后果，所以XP就通过安全组策略限制额IPC空连接的使用，即使是最高权限的用户（administrator）也不行。但是对于GHOST版的系统，可能会被制作者留了后门，这里以开启危险服务为例：制作者可以对WINDOWS的安全属性进行修改，这样就会很容易遭受黑客的入侵控制。黑客可以通过对系统安全策略组进行修改，从而是系统的安全性能下降，然后可以使用net use命令以及默认的administrator来建立IPC空连接，通过at命令启用计划任务来关闭系统防火墙，再利用opentelnet开启telnet功能，最终可以得到administrator权限的shell，还可以在你的机子上面中上后门。到此时基本上已经可以完全控制住你的机子了注意：具体关于IPC空连接的内容请参考：全面了解IPC$,利用IPC$漏洞入侵主机一文；      虽然GHOST系统存在一些问题，但是也并不代表我们不能用，只是不要太盲目相信他就可以了，做完系统之后记得扫描系统盘，然后手动优化自己的系统，把不必要的服务关掉，把危险的端口也封掉。这基本上就没什么问题了。下面我就分几个步骤介绍一下如何优化GHOST系统：        禁用administrator用户         禁用系统中原来的administrator账号，打开计算机管理（控制面板管理工具计算机管理）双击administrator账号，在administrator属性对话框中勾选 停用该账号 ，保存即可，如下图：        关闭共享服务         打开计算机管理，进入服务与应用程序，选择服务，找到server服务，双击弹出其属性对话框，禁用该服务即可！如下图：        关掉远程桌面         点击我的电脑>属性>系统属性>远程>取消勾选 允许从这台计算机发送远程协助邀请 和 允许用户远程连接到次计算机。保存退出！如下图：        修改注册表        进入注册表变极器（这里不用我再说怎么进了吧），找到下面项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa，在右侧查看limitblankpassworduse的值，将其改为1。        上面的操作步骤可以通过下面的一个注册表文件实现：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"limitblankpassworduse"=dword:00000001将上面的内容在记事本中输入，另存为 lsa.reg，双击导入注册表就可以了！       好了，任务完成了，可以放心用GHOST系统了！