关键字: IRIS 网络分析 sniffer 嗅探器 win2003 sp1
IRIS Sniffer是著名网络安全eeye公司的一个用于网络诊断的嗅探器程序,与Sniffer Pro相比具有界面清爽,简单易用的特点,尤其是其特色的HTTP、FTP、MAIL协议解码能力强大,因此深受广大网络爱好者、网管人员和安全从业者所喜欢,但很遗憾的是由于IRIS的主程序用加壳保护程序加密后,只能在Windows 2003上运行,一旦安装了SP1则无法运行,现象为:选择需要监听的网卡后就程序退出了。
而我们知道现在的上网环境,假如不安装SP1的话将会有很大的安全风险,很容易被网页木马类恶意程序乘虚而入,但我们有很多时候还要使用这个好用的Sniffer,因此有的用户不得以在使用的使用卸载了SP1,用完再安装,很是麻烦。事实上经过我的简单分析,发现这主要是由于IRIS的加密壳与 Windows 2003的DEP数据保护机制冲突造成的,因此只要我们解除DEP机制对IRIS的主程序检测即可。方法为:
1. 要打开“系统属性”,请单击“开始”,指向“设置”,单击“控制面板”,然后双击“系统”。
2. 单击“高级”选项卡,在“性能”下,单击“设置”。
3. 单击“数据执行保护”选项卡。
4. 选择“只为关键Windows程序和服务启用数据执行保护”,或选择“除所选之外,为所有程序和服务启用数据执行保护”,然后在下面的列表框中添加IRIS的主程序即可。
了解数据执行保护数据执行保护 (DEP) 有助于防止来自病毒和其他安全威胁的损坏,这些安全威胁可以通过在仅应该由 Windows 和其他程序使用的内存位置上运行(执行)恶意代码来发起攻击。这种威胁可以通过接管由程序正在使用的一个或多个内存位置而造成破坏。然后,它会传播和损害其他程序、文件甚至电子邮件联系人。
与防火墙或防病毒程序不同,DEP 不会防止有害的程序安装在计算机中。然而,它会监视程序以确定程序是否安全地使用系统内存。为此,DEP 软件可以独立工作,也可以与兼容的微处理器协同工作,从而将某些内存位置标记为“不可执行”。如果某个程序尝试从受保护的位置运行恶意或非恶意代码, DEP 会关闭该程序并通知您。
DEP 可以利用软件和硬件支持。要使用 DEP,计算机必须运行带有 Service Pack 2 (SP2) 的 Microsoft Windows XP、带有 Service Pack 1 (SP1) 的 Microsoft Windows Server 2003 或者基于 x64 的 Windows Server 2003 或 Windows XP 操作系统版本。单独使用 DEP 软件即可有助于防止特定类型的恶意代码攻击,但要充分利用 DEP 所提供的保护功能,处理器必须支持“执行保护”。这是一种基于硬件的技术,目的在于将内存位置标记为“不可执行”。如果您的处理器不支持基于硬件的 DEP,那么最好升级到可提供执行保护功能的处理器。
为什么我的电脑怎么没有“数据执行保护”选项卡?那么很可能是您电脑的CPU可能不支持DEP功能。