取消掉安全区不能加状态的错误。。。
(天之永恒)
当前离线
在线时间
76 小时 注册时间
2007-6-3 最后登录
2011-6-1 UID
1495265 帖子
602 主题
2285 威望
1 点 热心
923 点 金币
727 点 阅读权限
70 跳转到
字体大小:
发表于 2009-6-7 21:02
取消掉安全区不能加状态的错误。。。
现在已经是打人的时代了，不是打怪的时代，这边的队伍本来就相对弱点，死回去了，安全区里又不能状态，你说郁闷不，干脆取消掉这个，或者缩短为1分钟的时间。
当前离线
在线时间
124 小时 注册时间
2008-7-30 最后登录
2011-7-27 UID
1006626 帖子
515 主题
2316 威望
0 点 热心
561 点 金币
519 点 阅读权限
70 性别
女 来自
网一战神
战★族 发表于 2009-6-7 21:50
小退一下就可以加了
当前离线
在线时间
7 小时 注册时间
2009-4-28 最后登录
2009-7-16 UID
4242599 帖子
115 主题
324 威望
0 点 热心
139 点 金币
123 点 阅读权限
30 性别
男 发表于 2009-6-7 22:56
当前离线
在线时间
14 小时 注册时间
2009-6-5 最后登录
2011-6-15 UID
4330537 帖子
249 主题
556 威望
0 点 热心
167 点 金币
163 点 阅读权限
50 发表于 2009-6-8 10:27
| 小退上再上线.头上的XX就没有了.建议不要取消.
因为在敌对加状态的时候去偷袭也是一大乐趣.你们想办法找地方去状态也是一大乐趣.
游戏在乎的是乐趣.
(天之永恒)
当前离线
在线时间
76 小时 注册时间
2007-6-3 最后登录
2011-6-1 UID
1495265 帖子
602 主题
2285 威望
1 点 热心
923 点 金币
727 点 阅读权限
70 发表于 2009-6-8 20:58
小退有失士气。。。
当前离线
在线时间
6 小时 注册时间
2008-12-4 最后登录
2010-2-6 UID
3999202 帖子
176 主题
434 威望
0 点 热心
198 点 金币
188 点 阅读权限
30 性别
男 发表于 2009-6-8 21:46
对头 不能取消 不然没了压制了
当前离线
在线时间
33 小时 注册时间
2009-5-20 最后登录
2011-7-28 UID
4295442 帖子
1116 主题
31 精华
2305 威望
0 点 热心
859 点 金币
796 点 阅读权限
70 性别
女 来自
新网通-帝元 发表于 2009-7-3 04:05
为什么都那么喜欢杀人呢？
红果果丶)
当前离线
在线时间
18 小时 注册时间
2009-6-17 最后登录
2011-7-26 UID
4359642 帖子
1710 主题
3704 威望
0 点 热心
1814 点 金币
1732 点 阅读权限
90 来自
♥新电信♥ 发表于 2009-7-3 09:04
来过就留个脚印
当前离线
在线时间
107 小时 注册时间
2008-8-1 最后登录
2011-2-13 UID
3525965 帖子
1705 主题
4829 威望
0 点 热心
2054 点 金币
1901 点 阅读权限
90 发表于 2009-7-3 10:02
那么多BUG，你不玩最好了
送策划一只神兽：
当前离线
在线时间
5 小时 注册时间
2009-6-22 最后登录
2011-7-18 UID
4373977 帖子
1289 主题
2426 威望
0 点 热心
1087 点 金币
1065 点 阅读权限
70 发表于 2009-7-3 15:37
(天使也掉毛)
当前离线
天龙论坛水无敌
在线时间
173 小时 注册时间
2008-6-29 最后登录
2009-9-9 UID
1785433 帖子
413 主题
2593 威望
0 点 热心
450 点 金币
426 点 阅读权限
70 性别
男 来自
天龙--江湖 发表于 2009-7-6 16:32
那么多BUG，你不玩最好了
ligbing 发表于 2009-7-3 10:02
这位大大 ,你的签名好强大 GMT+8, 2011-7-29 18:56.发表于 2007-2-5 03:41:27
黑客安全集中型目录
如果你不想轻易就中毒中马，给人攻击盗号等等，请你看看本人收集的《电脑黑客安全集中型地》
0防止黑客入侵ADSL的一些技巧
1口令攻击的主要方式及相关防护手段
2如何准确检测出你电脑上的间谍软件
3免费的安全盛宴
4保卫我的网络银行--如何防范网络黑手
5宽带用户防范“黑客”攻击的十大招式
6入侵检测系统IDS实战全面问题解答分析
7做自己的救世主——系统安全保卫战
8病毒木马的基本防御和解决
9拒绝DDOS攻击
10另辟蹊径：Windows系统防病毒另类高招
11不要被假象迷惑 网络安全的七大误解
12最佳安全实践：锁定IIS和SQL服务器
13让组策略保护Windows XP的安全
14如何提高Linux系统安全性的十大招数
15浅谈网络服务器安全维护技巧
16Windows SQL Server 安全检查列表
17校园网安全问题分析与对策
18危险无处不在 上网聊天需防范几大威胁
19网络地址解析协议被攻击的解决方法
20安全技巧：网络安全重在日常防护
21网络高手眼中的网络安全
22安全设置组策略阻止黑客攻击
23数据库系统防黑客入侵技术综述
24从服务器的记录寻找黑客的蛛丝马迹
25网络过载攻击的原理与防范
26实施有效的安全日志分析和充分利用安全日志
27新人快速上手指南之电脑木马查杀大全
28Rootkit：真刀真***的权限保卫战
29五种“网络钓鱼”实例解析及防范
30校园安全保镖：校园防火墙选择指南
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:43:10
黑客入侵ADSL用户的方法
　　在很多地方都是包月制的，这样的话，黑客就可以用更长的时间进行端口以及漏洞的扫描，甚至采用在线暴力破解的方法盗取密码，或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。
　　要完成一次成功的网络攻击，一般有以下几步。第一步就是要收集目标的各种信息，为了对目标进行彻底分析，必须尽可能收集攻击目标的大量有效信息，以便最后分析得到目标的漏洞列表。分析结果包括：操作系统类型，操作系统的版本，打开的服务，打开服务的版本，网络拓扑结构，网络设备，防火墙。
　　黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种：
　　1.TCP ISN采样：寻找初始化序列规定长度与特定的OS是否匹配。
　　2.FIN探测：发送一个FIN包--或者是任何没有ACK或SYN标记的包 到目标的一个开放的端口，然后等待回应。许多系统会返回一个RESET--复位标记。
　　3.利用BOGUS标记：通过发送一个SYN包，它含有没有定义的TCP标记的TCP头，利用系统对标记的不同反应，可以区分一些操作系统。
　　4.利用TCP的初始化窗口：只是简单地检查返回包里包含的窗口长度，根据大小来唯一确认各个操作系统。
　　扫描技术虽然很多，原理却很简单。这里简单介绍一下扫描工具Nmap--Network ma er，这号称是目前最好的扫描工具，功能强大，用途多样，支持多种平台，灵活机动，方便易用，携带性强，留迹极少；不但能扫描出TCP/UDP端口，还能用于扫描/侦测大型网络。
　　注意这里使用了一些真实的域名，这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addre es/names。你最好在取得允许后再进行扫描，否则后果可要你自己承担哦。
　　nmap -v target.example.com
　　这个命令对target.example.com上所有的保留TCP端口做了一次扫描，-v表示用详细模式。
　　nmap -sS -O target.example.com/24
　　这个命令将开始一次SYN的半开扫描，针对的目标是target.example.com所在的C类子网，它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限，因为用到了半开扫描以及系统侦测。
　　发动攻击的第二步就是与对方建立连接，查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源，它对于程序间的通讯很重要，在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$，黑客可以与对方建立一个空连接(无需用户名和密码)，而利用这个空连接，就可以获得对方的用户列表。
　　第三步，使用合适的工具软件登录。打开命令行窗口，键入命令:net use 222.222.222.222ipc$ “administrator” /user:123456
　　这里我们假设administrator的密码是123456。如果你不知道管理员密码，还需要找其他密码破解工具帮忙。登录进去之后，所有的东西就都在黑客的控制之下了。
　　防范方法
　　因为ADSL用户一般在线时间比较长，所以安全防护意识一定要加强。每天上网十几个小时，甚至通宵开机的人不在少数吧，而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。
　　步骤一，一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，选择“高级”选项卡。单击“高级”按钮，弹出本地用户和组窗口。在Guest帐号上面点击右键，选择属性，在“常规”页中选中“帐户已停用”。
　　步骤二，停止共享。Windows 2000***好之后，系统会创建一些隐藏的共享。点击开始→运行→cmd，然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点“停止共享”就行了。
　　步骤三，尽量关闭不必要的服务，如Terminal Services、IIS--如果你没有用自己的机器作Web服务器的话-、RAS--远程访问服务 等。还有一个挺烦人的Me enger服务也要关掉，否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务，看见没用的就关掉。
　　步骤四，禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：
　　(1)修改注册表：
　　HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下，将DWORD值RestrictAnonymous的键值改成1。
　　(2)修改Windows 2000的本地安全策略：
　　设置“本地安全策略→本地策略→选项”中的RestrictAnonymous--匿名连接的额外限制 为“不容许枚举SAM账号和共享”。
　　步骤五，如果开放了Web服务，还需要对IIS服务进行安全配置：
　　(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。
　　(2) 删除原默认***的Inetpub目录。
　　(3) 删除以下虚拟目录：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　(4) 删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.a 、.asa即可。
　　(5) 备份IIS配置。可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复IIS的安全配置。
　　不要以为这样就万事大吉，微软的操作系统我们又不是不知道，bug何其多，所以一定要把微软的补丁打全。
　　最后，建议大家选择一款实用的防火墙。比如Network ICE Corporation 公司出品的BlackICE。它的***和运行十分简单，就算对网络安全不太熟悉也没有关系，使用缺省的配置就能检测绝大多数类型的黑客攻击。对于有经验的用户，还可以选择“Tools”中的“Advanced Firewall Settings”，来针对特定的IP地址或者UDP的特定端口进行接受或拒绝配置，以达到特定的防御效果。
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:43:34
口令攻击的主要方法
　　1、社会工程学(social Engineering)，通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
　　2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。
　　3、字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有8万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。
　　4、穷举攻击。如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。
　　5、混合攻击，结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击。
　　避免以上四类攻击的对策是加强口令策略。
　　6、直接破解系统口令文件。所有的攻击都不能够奏效，入侵者会寻找目标主机的安全漏洞和薄弱环节，饲机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。
　　7:网络嗅探( iffer)，通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
　　8:键盘记录，在目标系统中***键盘记录后门，记录操作员输入的口令字符串，如很多间谍软件，木马等都可能会盗取你的口述。
　　9:其他攻击方式，中间人攻击、重放攻击、生日攻击、时间攻击。
　　避免以上几类攻击的对策是加强用户安全意识，采用安全的密码系统，注意系统安全，避免感染间谍软件、木马等恶意程序。
　　口令攻击的防护手段
　　要有效防范口令攻击，我们要选择一个好口令，并且要注意保护口令的安全。
　　1、好口令是防范口令攻击的最基本、最有效的方法。最好采用字母、数字、还有标点符号、特殊字符的组合，同时有大小写字母，长度最好达到8个以上，最好容易记忆，不必把口令写下来，绝对不要用自己或亲友的生日、手机号码等易于被他人获知的信息作密码。
　　2、注意保护口令安全。不要将口令记在纸上或存储于计算机文件中;最好不要告诉别人你的口令;不要在不同的系统中使用相同的口令;在输入口令时应确保无人在身边窥视;在公共上网场所如网吧等处最好先确认系统是否安全;定期更改口令，至少六个月更改一次，这会使自己遭受口令攻击的风险降到最低，要永远不要对自己的口令过于自信。
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:44:21
如何准确检测出你电脑上的间谍软件
1.在使用某种商业软件或免费软件的工具检查之前，尽可能的将机器清理干净。运行防病毒软件或反间谍软件扫描，一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是，在进入下一步之前，专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。
　　2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP，那再方便不过了，这样很快就能建立一个系统恢复点(依次打开:开始菜单――帮助和支持――使用系统还原恢复你对系统的改变，然后点击创建一个还原点的按钮)。当然还有其他的方法(对于那些使用Windows家族其他操作系统的人来说是唯一的方法)就是创建一整套系统的备份，包括系统状态信息(如果其他办法都不可行的话，你可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。这样的话，万一在接下来的步骤中出了差错，还可以将您的系统恢复到前一个正确的状态。
　　3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象，因此先退出所有应用程序再启动反间谍程序运行检查，可以节省大量时间。
　　4.运行反间谍程序。在这一步，我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录，然后双击HijackThis.exe这个执行文件，会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下，日志文件会保存在“我的文档”中，我发现在保存的日志文件名称中加入日期和时间信息很有用，这样的话，一个名为 hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log(hh.mm是24小时制的几点几分)。这样的话，以后你任何时候再次运行Hijack This(一旦开始运行，它会自动清空以前的日志)，都不必担心丢失以前的日志。因此，时间标记不愧是个很好的方法，这对将来你的日志文件分析非常有用。
　　5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的，并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目，按下 “Fix Checked“按钮， Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件，你可以对其进行快速扫描，以决定在这时采取何种操作。实际上，真正存在的问题是识别出哪些文件具有潜在的威胁，哪些是必须的，而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住，现在不要关闭Hijack This的查找结果窗口，也不需要进行核选操作，因为在接下来的步骤中我们还会返回这个窗口。
　　6. 用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话，我个人倾向于Help2Go Detective，但这两个都值得一试。在Hijack This日志里，你会发现每一个入侵(线程)的特殊信息和相关处理建议，包括哪些可以保留，哪些可以删除(但却是无害的)，哪些是可疑文件(或许应该删除，但是还需要进一步分析研究)，以及哪些必须删除(因为确定是恶意病毒)。这时，你可疑检查所有被确认为恶意病毒的选项，或者与已知的间谍软件和广告软件有关的选项。
　　7.检查可疑项目(包括可选的激活项目)。有时你可以查看注册表名称或者相关文件和目录信息，来检查即使通过分析程序(使用Hijack This很明显发现的)也没有识别出的项目，这是可能是你故意***或使用的程序的一部分。这些项目经常会被单独的遗留下来。如果检查程序和你人为的都没有发现这些项目，安全选项就会将它们备份然后删除(然而如果你采取了这个步骤，那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。)如果你想知道你在查看的是什么文件，就进入下一个附加步骤，用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目，最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。
　　8.在Hijack This结果窗口核选有害文件和不确定的可疑项目，然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目，并通过单击来高亮选择单独的项目，接着通过点击Info on selected item….(选中项目的信息……)来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适，因为这时分析工具的速度更快而且面向对象更友好。
　　9.重启系统查看运行情况。如果系有统运行不正常现象，如应用程序不工作或变得异常，或者系统看上去不太对劲时，你需要决定是否需要返回到恢复状态或备份状态。如果 Windows不能完成启动，在系统启动之初按下F8键，直到启动进入安全启动菜单，选择最后一次正确的配置。这样启动就没有问题了，系统启动之后你还需要退回到恢复点，或者恢复到在第二步备份的状态。如果你接收这个选项的话，就不需要保存改动了，可以直接越过第10步。
　　10.最后再运行依次Hijack This扫描:重复步骤4，但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除，或者只需保存你电脑状态的快照，快速清除就可以了
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:45:07
一. 不太安分的网络和有备无患的网民
身为某公司网络管理员的小许因为偶尔要远程设置维护公司的服务器，所以经常随身带着他的超轻薄笔记本电脑去一些不便上网的地方，久而久之，小徐就养成了外出携带笔记本电脑的习惯。
今天，小许又带着笔记本去一个朋友家聚会，并把笔记本放在一边给一起来参加聚会的其他朋友上网去了，聚会完毕，小许回到家里打开笔记本，却发现机器运行状况明显异常了，任务栏上也冒出许多陌生的东西，看来是感染病毒了，他苦笑着用另一台电脑连接网络打开搜索引擎，输入了“安全工具”进行查找，很快就在一篇安全文章上得知了各种比较流行的安全工具并下载回来，开始用它们配合歼灭这些不请自来的坏客人……
这是一个不安分的网络时代，每个网民稍不小心就会受到伤害，同时，网络上也提供了不少用于安全防范的工具，那么，我们该如何选择有用的工具，以及利用这些工具来保护自己呢？
二. 防范，时刻准备着
1.杀毒软件（病毒防火墙）
普通用户对网络安全的理解，无非就是“病毒”、“木马”，因此即使是第一次买电脑的用户，大部分也会跟电脑公司的组装人员再三申明要预装一个杀毒软件，而电脑公司也就顺手装个能运行的杀毒软件草草了事。于是用户欢天喜地的捧着能“防毒”的电脑回去了。
这样的防护手段真的就有效了吗？
看看那些一般的电脑公司***的杀毒软件，要么是破解版，要么是过期版，这些杀毒软件都具有一个共同点就是无法升级，理解杀毒软件技术的用户都清楚：杀毒软件即使一星期不更新，都有可能查杀不到最新出现的病毒，更何况这些预装的不知道多少个月前的杀毒软件？从安全的角度来看，许多用户已经被这些“预装杀毒软件”的做法给“忽悠”了，看看预装的都是些什么杀毒软件吧，电脑公司会说这是最强的瑞星、这是金山毒霸等等，只是他们不会提及版本信息，等到你发现的时候，感觉大概会比吃了一块已经发霉一星期的蛋糕还要反胃：天啊，这居然是2004年的瑞星……
什么样的杀毒软件才是真正有效的呢？不用我说明，大家心里都会有***：使用公认质优的品牌，此类防火墙一般具备比较先进的杀毒引擎技术，例如瑞星、卡巴斯基等，而另一点则同样重要：必须能及时升级，并且该产品的病毒特征码是比较全面和有效的，这样才能尽量防止有漏网之鱼。
在这个前提下，用户又会面临多种选择，一种是购买收费的杀毒软件，如国内的瑞星、金山等，对实在是不知道如何使用电脑的用户而言，这是最有效的路，因为它可以方便及时的升级到最新版本，桌面用户只需要简单的点击几下鼠标就能享受安全防护了；而一些厂商的做法是分别针对不同用户市场推出收费、免费和试用产品，例如卡巴斯基、McAfee等，其个人版是可以免费试用的，并且可以升级，对大部分用户来说，这些都是难得的免费大餐，于是卡巴斯基迅速占据了一定市场。
这些杀毒软件的使用都很简单，它们都提供了实时病毒监控，只要发现可疑文件就会立即弹出来进行拦截，可谓方便至及，可是如果有一天，这场免费大餐不复存在了，我们还能用什么？如果你是具有一定计算机操作能力的用户，那就去找免费的自助餐吧。
所谓的“免费自助餐”，是指一些杀毒软件厂商推出的“在线免费查毒”业务，由于它只能查毒，所以一些太过于初级的用户只能看着它发感慨，但是，难道它就一点实用的性质都没有吗？错，由于“在线”的性质，此类工具的特征码数据库更新是最快的，我们能很方便的利用它来检查机器感染了什么病毒，有人会问了，这个功能我们大家都知道了，但是只能查不能杀有什么意义呢？其实仔细观察一下就不难发现，在线查毒已经做到了收费杀毒的前两步：停止正在运行的病毒进程、列出病毒名称和相应文件，而它没做到的最后一步，则是删除受到牵连的文件（木马后门）或修复受感染的文件（文件型病毒）。
说到这里，有人已经看出来了，只要我们用自己的操作来代替杀毒软件的自动化操作就能完成整个杀毒过程，这就是“自助杀毒”。
那么我们该如何平常这个免费的自助餐呢？举个简单的例子，使用瑞星在线免费线查毒扫描系统，发现感染了灰鸽子病毒，下一步该怎么做呢？由于如今许多木马都采取了一定的保护措施，在普通的使用环境里很难清理干净，因此最好重启进入安全模式，然后再用在线查毒功能扫描一下系统，记录下病毒的相应路径和文件名如C:\WINDOWS\G_Server.exe，待扫描结束后浏览C:\WINDOWS目录找到G_Server.exe，用Shift+Delete彻底删除掉这个文件，本次杀毒就完成得差不多了，如果你看不到相应的文件，则说明尚未设置显示隐藏和系统文件的选项，方法是进入控制面板的“文件夹选项”，点击“查看”选目卡，把列表里的“隐藏受保护的操作系统文件”的勾去掉，并把“隐藏文件和文件夹”的状态选到“显示所有文件和文件夹”，那些被加了系统和隐藏属性的文件就能显示出来了。由于大部分病毒还会改注册表，因而还需要一些工具的辅助来完成修复，这个在后面会讲到。
这样的“手工杀毒”弊端就是无法同时修复注册表，如果是一般的修改启动项的木马，那么用户下次开机时可能会看到错误提示说“系统找不到指定的模块”，而如果是修改了文件关联的木马，用户头就大了：杀个毒回来，什么可执行文件都打不开了！（其实即使是一部分收费的杀毒软件杀了这类病毒后也会导致这个问题）
这是为什么？究其原因，这个故障还是Windows系统的特性导致的，在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“%1 %*”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程，最终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 %1 %*”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源。
要恢复这种故障其实很简单，只需要进入“带有命令提示符的安全模式”，然后分别执行以下两个命令就能修复：
a oc .exe=exefile
ftype exefile=%1 %*
国内目前有两家比较知名的杀毒厂商提供了在线查毒技术，一个是瑞星（
），另一个则是金山（
），两家都分别各有千秋，除此之外，金山还提供了免费的金山毒霸下载，用户只需要简单的点一下扫描就可以自动清除病毒了。
适当而灵活的使用杀毒软件，能为我们少走许多弯路，至于要不要让它时刻驻扎在系统托盘区做安全卫士，则是仁者见仁的事情了，对于一部分有安全经验的用户来说，一个经过优化设置的系统从来不装杀毒软件也不会被病毒纠缠上来，但是我们并不推荐所有用户都去效仿这个做法。
2.网络防火墙
在这个网络里，除了病毒木马带来的危害，用户还要面临另一种威胁，那就是入侵者、各种网络报文攻击和无处不在的蠕虫等，由于在这个疯狂的时代里，简单易用的网络攻击工具已经随处可见了，一不留神一个菜鸟就成了多台机器的入侵者，一不留神你的机器就成了菜鸟试炼场，因此我们不得不使用网络防火墙来保障自己爱机的安全。
网络防火墙可分为硬件防火墙和软件防火墙两大类，普通个人用户使用一款比较好的软件防火墙便已足够了。
软件防火墙的工作原理是报文检查和过滤。在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通过网络驱动程序接口（Network Driver Interface Specification，NDIS）把网络上传来的各种报文都忠实的交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的数据报文，NDIS直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些情况下就会造成信息泄漏。而使用软件防火墙后，尽管NDIS接收到仍然的是原封不动的数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄漏出去了。传统意义上的防火墙技术分为三大类，“包过滤”（Packet Filtering）、“应用代理”（A lication Proxy）和“状态监视”（Stateful I ection），个人计算机上使用最广泛的就是包过滤技术了，关于防火墙的细节讨论请参阅笔者的相关文章，这里不再赘述。
网络防火墙的品牌很多，名堂也多，作为普通用户，我们应该如何选择呢？虽然Windows XP里是内置了一个ICF防火墙，但是在所有客观的防火墙测试里，它的得分都是排最后的，因此我们需要选择比较实用的防火墙，如果根据世界排名的话，ZoneAlarm和LooknStop还不错，而国内产品里，金山、瑞星和天网的网络防火墙产品也还是很优秀的。
***好天网防火墙后，会出现向导界面让你简单设置防火墙的防御级别和一些基础参数，以后更详细的设置可以双击系统托盘区的天网图标，进到主界面里设置防火墙规则，天网已经提前为我们设置好了满足一般上网要求的规则列表，我们只需要根据自己的实际环境稍做修改即可，例如局域网用户就要把与局域网有关的规则选中，而开了网络服务器的用户则需要把“禁止所有人连接”方面的规则取消掉。
天网防火墙免费无限期试用版下载地址：
ZoneAlarm防火墙试用版免费下载地址：
3.来自系统策略的防御
Windows系统最大的灵活性在于它为用户提供的一种个性化设置方案，这个方案被称为“策略”（Policy），使用策略，管理员可以方便的为不同的用户和权限设置系统运行环境，策略又分为“系统策略”（System Policy）和“组策略”（Group Policy），通常我们要设置的都属于组策略，使用gpedit.msc控制台进入。
微软从Windows XP开始提供了一套内置的免费防火墙系统ICF，但是ICF的表现平平，只能达到勉强防御网络攻击的要求，其中一个原因就是因为ICF默认的规则比较少，而且在组策略里的相应设置也未开启，用户可以自行通过组策略让ICF的安全性稍微提高。
近来，针对XP的3389入侵又迎来了一番热潮，原因是市面上许多修改版的XP系统都开放了3389端口，而管理员账户Administrator为空密码，这就相当于系统自带了“后门”，入侵者可以不费吹灰之力的进入受害者的电脑。而防范的措施就是关闭“远程协助”功能，然后在“运行”里输入gpedit.msc，定位到“计算机配置”——“管理模板”——“网络”——“网络连接”——“Windows防火墙”，下面分别是“域配置文件”和“标准配置文件”，只要把里面的“允许远程桌面例外”设置为“禁用”就可以了。
除了对ICF进行设置以外，Windows NT以上的系统还提供了一种基于IP和端口的安全策略，使用它也能直接达到网络防火墙的作用。
首先我们要在网络上下载一个被称为“WINDOWS最强的安全策略”的文件，里面是一个以IPSEC为后缀的文件，现在打开控制面板，进入“管理工具”——“本地安全策略”，在“IP安全策略”上点击鼠标右键选择“所有任务”——“导入策略”，把下载回来的策略文件添加进去，就会出现一个“常用安全策略禁用不必要的端口”策略，双击即可对其进行配置，如果你四局域网用户，就要取消策略对445、139、137和138端口的封锁，至此用户的计算机就能得到比较安全的网络防护了。
三. 在和病毒做斗争的日子里
虽然上文介绍了如何使用免费查毒功能配合手工方法消灭病毒，可是在实际应用中，一部分用户会发现病毒没能彻底杀完，或者杀了病毒以后系统注册表被篡改的功能依然没有恢复正常，这是因为一部分私底下交流或经过再次加工的病毒并不能被流行杀毒软件所察觉，或者引起用户电脑故障的是流氓软件和浏览器劫持，这种形式的破坏并不属于杀毒软件能管的范围，自然也就无效了，因此我们还需要一套较为完善的安全防范工具大网。
1.CurrPorts告诉我，我的端口在干什么？
俗话说眼睛是心灵的窗户，而计算机界里，端口则是计算机与网络沟通的窗户，除了极少数不需要端口的报文协议，大部分数据传输都是建立在端口的基础上的，所以端口不仅成为用户和网络连接的门户，也成为入侵者们翻墙入室的途径，普通情况下，每个开启的端口都是由一个程序请求的，用户要想关闭某个端口，必须让幕后对应的程序停止运行或暂停某种网络服务的实现方法来达到目的。当我们怀疑机器是否感染了病毒开启了异常的数据传输时，稍有经验的用户会执行netstat –an来检查本机的端口使用情况，但是文字界面能表达的范围实在有限，很多情况下只能看到机器开了什么端口，下一步就没有头绪了，这个情况逐渐有人着手去解决，于是各式各样的端口状态查看工具便诞生了，从最初由文字界面扩展出来的FPorts，到早期的图形界面Active Ports，到现在小而强大的CurrPorts，普通用户自己动手检查木马已经不再是难题。
CurrPorts的界面很简洁，但是已经包含了大部分实用的功能，包括端口号、IP、对应的进程号、可执行文件名和路径、端口状态等，并可以直接从界面上设置进程的优先级、关闭掉相应的进程或关闭被打开的端口，这个功能使得它在同类产品里独树一帜。
2.更强大的进程检查器Proce Explorer
许多刚接触计算机的用户无法理解“进程”是什么东西：常常听到高手说打开任务管理器关闭某某进程，但是一看到任务管理器列表里的一堆东西，头就大了。许多用户知道使用任务管理器关闭一些失去响应的任务，但是如果某个任务没有在“应用程序”列表里出现，用户就不知所措了。到底什么是“进程”呢？“进程”是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限，任何程序都必须拥有至少一个进程，否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像，它通常和某个在磁盘上的文件保持着对应关系，一个完整的进程信息包括很多方面的数据，我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题，而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等，其中“进程文件名”和“进程标识符”是必须掌握的关键，“进程标识符”是系统分配给进程内存空间时指定的唯一数字，进程从载入内存到结束运行的期间里这个数字都是保持不变的，而“进程文件名”则是对应着的介质存储文件名称，根据“进程文件名”我们就可以找到最初的可执行文件位置。
任务管理器的“应用程序”项里列出来的“任务”，是指进程在桌面上显示出来的窗口对象，例如用户打开Word 2003撰写文档，它的进程“WINWORD.EXE”会创建一个在桌面上显示的前台窗口，这个窗口就是任务管理器里看得见的“任务”了，而实际上真正在运行的是进程“WINWORD.EXE”。并不是所有的进程都会在任务管理器里留下“任务”的，像QQ、MSN和所有后台程序，它们并不会在任务列表里出现，但是你会在进程列表里找到它们，如果要它们在任务列表里出现该怎么办呢？只要让它们产生一个在桌面上出现的窗体就可以了，随便打开一个好友聊天，就会发现任务列表里终于出现了QQ的任务。因此，真正科学的终止程序执行方案是针对“进程”来结束程序的运行，而不是在任务列表里关闭程序，因为木马作者们是不会让自己的木马在任务列表里出现的，但是进程列表里一般人都是逃不过的。
虽然Windows系统已经内置了一个任务管理器，可是随着时代的变迁，它已经显得力不从心了：首先，它不能显示完整的程序路径信息，使得一部分使用障眼法的木马可以骗过经验不足的管理员；其次，它内置的模块保护规则使得一些伪装成系统核心进程的木马无法强行终止；再次，它无法提供详细的进程模块调用信息，更无法查找某个DLL文件的可执行载体，在这个动不动就来个线程注射的木马时代，任务管理器成了彻底的睁眼瞎，因此，用户不得不求助于更强大的第三方工具。
而著名的系统安全研究组织Sysinternals出品的Proce Explorer，则很好的满足了这个要求。Proce Explorer是一个单独的绿色EXE，体积稍微大了一些（超过1MB），功能也强大，除了具备任务管理器的一切功能以外，用户还能用它查看文件句柄和DLL模块信息、直接以不同用户权限执行指定的程序、以不同的颜色显示各个级别的进程，而它最强大的功能，则是直接查找某个DLL模块的进程信息！
这个功能有什么用呢？看看木马进化史，我们会发现其中有一段称为“远程线程注射”（RemoteThread Injection）的技术，使用该技术编写出来的木马程序并不是自身可执行的EXE，而是一个DLL文件。固然，直接编写EXE是要比DLL方便得多的，为什么技术黑客们偏偏要用如此复杂的技术去做一个木马呢？这是由Windows系统自身特性决定的，Windows自身就是大量使用DLL的系统，许多DLL文件在启动时便被相关的应用程序加载进内存里执行了，可是有谁在进程里直接看到过某个DLL在运行的？因为系统是把DLL视为一种模块性质的执行体来调用的，它内部只包含了一堆以函数形式输出的模块，也就是说每个DLL都需要由一个用到它的某个函数的EXE来加载，当DLL里的函数执行完毕后就会返回一个运行结果给调用它的EXE，然后DLL进程退出内存结束这次执行过程，这就是标准的DLL运行周期，而采用了“线程注射”技术的DLL则不是这样，它们自身虽然也是导出函数，但是它们的代码是具备执行逻辑的，这种模块就像一个普通EXE，只是它不能直接由自身启动，而是需要有一个特殊作用的程序（称为加载者）产生的进程把这个DLL的主体函数载入内存中执行，从而让它成为一个运行中的木马程序。了解Windows的用户都知道，模块是紧紧依赖于进程的，调用了某个模块的进程一旦退出执行，其加载的DLL模块也就被迫终止了，但是在DLL木马里，这个情况是不会因为最早启动的EXE被终止而发生的，因为它使用了“远程线程注射”技术，该技术的目的是让某个程序的执行代码进入另一个进程的内存领域，并作为它的一部分来执行，这个技术放到模块编写方面，就实现了DLL木马的“无进程运行”——实际上它还是必须依赖着可执行程序的，它的进程就是该程序的进程，只是它把自身代码放入了某个系统进程的领域里，我们自然就无法发现了，这样的行为就像吸附在鲸鱼身上四处游荡的吸盘生物一样难以察觉，而且它还有一个可怕的效果：即使用户发现了这个木马DLL，也无法把它终止，因为要关闭它就必须在那么多的系统进程里找到被它注射的进程，并将其终止，对一般用户来说，这是个不可能完成的任务，而如今，有了Proce Explorer提供的“Find Handle or DLL”功能，这个曾经很难完成的任务在弹指间便有了***。
最近比较流行一个被称为VIPTray的后门程序，已经有技术人士分析了它的相关文件并发布了查杀程序，但是很多用户发现根本无法查杀彻底，这是因为VIPTray病毒释放出来的DLL辅助模块已经插到系统进程里了（一般是Explorer.exe），使用Proce Explorer查找WinDefendor.dll即可发现被它注射的进程名，只要把这个进程终止，VIPTray的最后一道防线也就崩溃了，结合一些注册表清理工作就能把VIPTray彻底赶出系统，所以，面对此类病毒只要了解其防护原理，你就会发现查杀它们并不是难事。
3.让rootkit现身的IceSword
除了传统意义上的后门和DLL注射形式后门，还有一种后门在威胁用户的信息安全，那就是rootkit，rootkit是运行在Ring 0内核层的木马，具有一般进程查看工具无法检测的特性，要检测这类木马就需要同样运行于Ring0层的进程查看工具，在这方面，国产的IceSword一直是优秀的安全作品。
IceSword分别从Ring0和Ring3层获取进程信息进行比较，由于rootkit会截断Ring3层的进程信息，两者自然无法匹配，IceSword等同类工具就是通过这个原理实现了rootkit的检测，与此同时它还有一套运行于Ring0层的文件和注册表检测技术，可以方便发现被rootkit隐藏起来的文件和注册表项目。
IceSword能检测到大部分系统模块变动情况，如SSDT、BHO、消息钩子等，只要简单的终止并删除被它标记为红色的进程和对应的文件就基本清理掉rootkit了。
4.追杀流氓的三个火***手——RogueCleaner、upiea、HijackThis
所谓流氓，就是指各种恶意捆绑软件，如广告软件和恶意劫持软件等，这些软件把用户的机器当成自己的殖民地，不仅篡改用户的系统环境，还会严重拖慢系统速度，甚至让用户感染上病毒，在早期由于它们的特殊性质，许多杀毒软件不敢将其列入病毒范围查杀，只能任凭用户到处抱怨和求救，而如今在某家国际知名杀毒厂商吃了螃蟹以后，越来越多的杀毒软件厂商开始把这些流氓软件列为病毒来查杀了。
由于流氓软件并非直接危害电脑安全的罪魁，因此一般的杀毒软件厂商并不会花大功夫去专门清除此类不受欢迎的作品，在这个环境下，真正实用的流氓软件清理工具便应运而生。
首先是专业追杀流氓软件的RogueCleaner，这是升级得最勤快查杀效率最高的一个小工具，用户只需要点击一个按钮就能清理掉所有市面上叫得出名字的流氓软件了，当我们使用它清理掉不受欢迎的客人后，就该轮到upiea出场了。
Upiea是一个小巧的BHO免疫程序，只需要运行一次就能让你的系统从此不再受大部分流氓软件的骚扰，它的原理是在IE的注册表项目里伪造一个流氓软件已经***的信息，这样系统就会认为浏览器已经有相应的BHO存在，自然就不会再次下载***。
如果你的电脑不幸被浏览器劫持或加入了不希望出现的BHO，使用HijackThis就能迅速还你一个清新的环境，HijackThis严格说来是一款手工操作的系统环境检测修复工具，它的作用面很广泛，包括系统策略、启动项、BHO、LSP等项目检测，但是由于全面而带来的相对复杂的操作也是令一般用户头痛的，HijackThis并不负责自行判断某个项目是否异常，而是仅仅把它们列出来而已，要修复哪个项目还得用户自行判断，但是如果用户掌握了它的使用，这款利器可一次修复大部分系统故障，包括前面手工杀毒里没法清理的注册表残留项目。
5.其他安全工具
除了以上几个比较实用的工具，网络上还流行着许多相关的安全工具，如傻瓜化的黄山IE修复专家等，如果你实在不熟悉HijackThis的手工操作，就用它吧，也能清理大部分系统故障的，只是对于稍有经验的用户来说，傻瓜化的工具往往不够全面罢了。
前面我提到过使用Proce Explorer消灭模块形式的木马，而在一般应用中，许多用户也会发现一些文件不知为何提示“正在被使用，无法删除”的信息，这时候如果想找出幕后的调用者，就需要一种特殊工具了，例如Who lock me、Unlocker等，它们会把某个文件正在被什么进程占用的信息显示出来，并且可以直接选择终止进程释放这个文件的占用，就像简化版的Proce Explorer查找DLL功能一样。
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:46:22
保卫我的网络银行--如何防范网络黑手
反黑专家提示网民“三大注意”
　　首先，用户在使用网络银行等新兴业务之前，应当先了解它的保护条款。专家提示说，大型商业银行通常有银行硬件密钥等一系列技术保护措施，而资金一旦丢失将有专门保险公司赔付。如果银行没有提供足够的安全保证，用户应当暂缓使用该银行提供的网络服务。
　　同时，不要在电脑上随意***软件，尤其是从网上下载的软件。如果必须***，须仔细阅读《用户协议》，看该软件发布者是否捆绑了“流氓软件”。
　　在使用网络银行、网络游戏时必须开启杀毒软件的实时监控，并启用个人防火墙，且杀毒软件必须经常升级。
　　但专家同时指出，目前的法律还没有对“流氓软件”做出明确规定，杀毒软件厂商只能在技术上提供清除措施；只有在法律做出明确规定，用户安全意识全面提高之后，黑客程序和“流氓软件”才能得到根本遏制。
　　如何斩断网银黑手？
　　“网银大盗”、“网络钓鱼”、“假银行网站”等恶性事件不断发生，表明今年众多网络银行诈骗案例的问题从域名开端。为了防范网络钓鱼，保障网络银行安全，中国银行、中国建设银行、中国农业银行和中国工商银行等国内各大商业银行全面启用域名安全防范措施，纷纷启用中文域名作为地址栏入口处的安全屏障。
　　 “前一段已经关闭了那三个模仿真网银网站的钓鱼网站，但是不意味钓鱼者就不会再模仿别的商业银行的网站，此次几大商业银行域名防范应该说是及时的，***了中文上网官方版软件的网络用户只要在地址栏中输入诸如“农业银行.cn”、“建设银行.cn”等，便可以直达各大银行网站，可以有效地规避因英文拼写错误中了钓鱼者的陷阱。”赛迪顾问公司曾建平博士分析认为，商业银行应该采取更多的安全防范措施。
　　网上支付日益普及，据统计，到去年年底，我国网上银行的客户已经达2700多万了，交易量40多万亿人民币。调查发现，在现有用户中有70.18%首先考虑要网上支付，65%是转账服务，这说明网民现在使用网络银行时最重要的功能就是做网上支付。网上支付安全确实是关键因素。与此相伴的是，更多的升级病毒瞄准网上支付系统。网上交易还安全吗？消费者还敢在网上***股票、查询账户、网上购物......？中国互联网络信息中心2004年公布的相关调查报告显示，不愿选择网上银行的客户中有76%是出于安全考虑。网上银行的安全成为国内电子
　　网上交易的安全链条由银行、消费者和商户网站等要素组成，那么在共同建立安全的网上交易环境中谁是主力？每个要素应该承担何种责任？
　　银行毫无疑问是阻击网络黑手的主力，因为从金融服务的职能与业务流程来说它居于中心地位，要实现网上支付的安全功能，银行卡的技术安全性是基本条件。
　　“网上支付到底安全还是不安全？网上支付肯定是安全的，我们行这些年来没有出现一起被盗窃的事情，要攻破我们的网络得万年。”供职于中国民生银行个人银行部的曾桢很自信地告诉记者，网银安全无疑。
　　根据中国工商银行电子银行部副总经理陈静娴介绍，他们除了有一系列措施保证网络安全以外，网络银行还采取交易安全的措施，区分客户的等级，设计两种不同方式的保护措施，第一种对普通客户来说，银行设计了登陆号加密码的认证方式，用户号码加双重密码，首先是登陆密码，另外在在线支付的时候有一个支付密码。因此，使用这种个人网上银行的时候，客户具有的条件：养成很好的安全使用的习惯，有一定的操作水平，能够及时下载系统的补丁，使用正版杀毒软件等等，同时也要有一个意识，尽量使自己的银行卡的密码、网上银行的密码与其它网站的密码等设置成不同的密码，不要使其他密码攻破以后带来网上银行密码的泄露。
　　第二个类型认证方式是使用IC卡和USB卡物理介质的***认证方式。用***验证客户的身份，确保客户为银行真正的客户，防止其他客户非法使用。***具有不可复制性，仅由客户自己保管和使用，因此用了客户***以后，即便是有假网站、病毒感染、黑客入侵，不慎泄露银行卡和其他资料，只要物理***不丢失，仍然能确保资金从网上银行不会盗取。
　　“我们在这里负责任地说，工商银行企业网银已经运行了五年，个人客户***也推出了两年，累计办理了几亿笔的资金转账业务，从没有出现过一笔资金被冒用或者被盗用的问题。”陈静娴在论坛上说。
　　从实践上讲，网上支付也是安全的。用数字***做网上交易，无论在国际还是在国内，到目前为止，没有发生过一例因为安全机制问题造成交易争议或者交易损失的。我们虽然在网上经常看到关于网上支付安全的种种案例或者说关于网上支付不安全的报道，但是这些报道的案例中，没有采用安全的手段。中国金融认证中心助理总经理曹小青在前不久在“2005首
　　调查数据显示，或者是宣传不够，许多客户对网银了解不够，不知道用用户名和密码潜在的风险，也不知道数字***安全到什么程度。“可见如果不是具有良好的习惯，在使用网上银行的时候是存在一定风险的，这需要消费者自己注意。”何伟提醒消费者。
　　“我们的安全机制可能还是完善的，并没有出现是安全机制的问题大面积被攻破的案例，只是因为执行安全机制的过程中，存在一些管理环节的问题，实践中如果恰当执行了完善的安全机制，无论电子商务也好还是网上银行也好，都能保证支付交易的安全性。”黎江说。
　　据专家介绍在实际执行环节里面，可能发生比较多的问题还是用户的身份认证。网上支付认证手段分析表明，身份确认是信息安全的薄弱环节。认证手段，通常来看有几种，一是用户名和密码，用户名和密码是不安全的，特别是在网上，只用用户名和密码非常容易出安全故障。而***认证是比较安全的，也是很方便的。
　　“电子卡、银行卡、网银卡都要注意身份的双向识别，大家对身份识别一时要增加更多的可靠信息，银行要让储户多提交真实可靠的信息，消费者一定要把自己更加多的、真实的信息提供给银行，便于通过网银、手机等办理业务的时候，银行识别客户，也便于客户识别银行与骗子。”黎江提出建议。
　　作为消费者与客户，良好的消费习惯与对自助设备的了解也是确保存款安全的一个重要措施。我们在许多银行里或者其他金融机构经常可以看见有安全提示，其中就有明确提示，每种业务有何种风险，并且善意提醒或者建议大家如何防范，尤其在安全使用网上银行业务方面做得更细。
　　防范“网络大盗”的具体措施
　　第一，统一办卡要及时更改密码。很多企事业单位给员工、学生统一办卡时，卡号往往都是连着的，初始密码也都是相同的，如果不及时更改，很容易被人推算出来。只要有了持卡人的***，哪怕是***号码，也都可以类推出账号进行作案。
　　第二，尽量不要办理网上银行业务。由于网络是一个虚拟的媒介，很多地方存在管理空白。由于目前我国的网络监管技术和力度都还不是很完善，“黑客”很容易通过各种手段截取到储户的个人信息，让你在不知不觉中就丢了钱。
　　第三，用来交易的账户要少存钱。每次利用网络银行办理转账式支付等业务后，客户应随时做好记录，定期查看“历史交易明细”、“购物明细”等选项，并于月末或季末打印网上银行业务对账单，以便能及时发现因网络故障、操作失误或其他原因造成的账务差错。
　　第四，认清网址，避免进入“假银行”。不法分子往往利用与网上银行相近似的网址、相同的网页设计制造虚假信息，以骗取银行客户的银行卡号和密码。所以在登录网上银行办理业务时，一定要认清银行的合法网址，并正确输入。
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:47:07
宽带用户防范“黑客”攻击的十大招式
一、隐藏IP地址
　　黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
　　与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。
二、关闭不必要的端口
　　黑客在入侵时常常会扫描你的计算机端口，如果***了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。
三、更换管理员帐户
　　Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。
　　首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。
四、杜绝Guest帐户的入侵
　　Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。
　　禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。
五、封死黑客的后门
　　俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的后门，我们只要将此堵死，让黑客无处下手，岂不美哉!
1.删掉不必要的协议
　　对于服务器和主机来说，一般只***TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP/IP协议的NetBIOS给关闭，避免针对NetBIOS的攻击。
2.关闭“文件和打印共享”
　　文件和打印共享应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要文件和打印共享的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。
3.禁止建立空连接
　　在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。方法有以下两种:方法一是修改注册表:到注册表 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA下，将DWORD值RestrictAnonymous的键值改为1即可。方法二是修改Windows 2000/XP的本地安全策略为“不允许SAM帐户和共享的匿名枚举”。
4.关闭不必要的服务
　　服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。
六、做好IE的安全设置
　　ActiveX控件和Java A lets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与Java相关选项禁用。谨慎些总没有错!
　　另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和Java A lets时有更多的选择，并对本地电脑安全产生更大的影响。
　　下面是具体的方法:打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。
七、***必要的安全软件
　　我们还应在电脑中***并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。
八、防范木马程序
　　木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有:
　　● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。
　　● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。
　　● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
九、不要回陌生人的邮件
　　有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。
十、及时给系统打补丁
　　最后，建议大家到微软的站点下载自己的操作系统对应的补丁程序，微软不断推出的补丁尽管让人厌烦，但却是我们网络安全的基础。
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:48:29
入侵检测系统IDS实战全面问题解答分析
问：都有哪些重要的IDS系统？
　　根据监测对象不同，IDS系统分为很多种，以下是几种很重要的IDS系统：
　　1、NIDS
　　NIDS是network intrusion detection system的缩写，即网络入侵检测系统，主要用于检测hacker或cracker通过网络进行的入侵行为。
　　NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器。
　　2、SIV
　　SIV是system integrity verifiers的缩写，即系统完整性检测，主要用于监视系统文件或者Windows 注册表等重要信息是否被修改，以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现，比如“Tripwire”，它可以检测到重要系统组件的变换情况，但并不产生实时的报警信息。
　　3、LFM
　　LFM是log file monitors的缩写，即日志文件监测器，主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为，例如对于HTTP服务器的日志文件，只要搜索“swatch”关键字，就可以判断出是否有“phf”攻击。
　　4、Honeypots
　　蜜罐系统，也就是诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。
问：谁是入侵者？
　　通常我们将入侵者称为hacker，但实际上这是不准确的。可以这么说：hacker是发现系统漏洞并修补漏洞的，cracker才是利用漏洞占山头搞破坏的入侵者。为了不混淆视听，在此干脆统一叫作入侵者吧。一般来说，入侵者分为两类：内部和外部。内部入侵者通常利用社会工程学盗用非授权帐户进行非法活动，比如使用其他人的机器、冒充是处长或局长；外部入侵者则要借助一定的攻击技术对攻击目标进行监测、查漏，然后采取破坏活动。
　　有一点请牢记：统计表明，入侵行为有80%来自内部。
问：入侵者如何进入系统？
　　主要有三种方式：
　　1、物理入侵
　　指入侵者以物理方式访问一个机器进行破坏活动，例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。
　　2、系统入侵
　　指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常，如果系统没有及时“打”最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。
　　3、远程入侵
　　指入侵者通过网络渗透到一个系统中。这种情况下，入侵者通常不具备任何特殊权限，他们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。NIDS主要针对的就是这种入侵。
问：入侵者为何能闯入系统？
　　苍蝇不盯无缝的蛋，入侵者只要找到复杂的计算机网络中的一个缝，就能轻而易举地闯入系统。所以，了解这些缝都有可能在哪里，对于修补它们至关重要。通常，裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被***以及初始设计存在缺陷等方面。
　　1、软件编写存在bug
　　无论是服务器程序、客户端软件还是操作系统，只要是用代码编写的东西，都会存在不同程度的bug。Bug主要分为以下几类：
　　缓冲区溢出：指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串，超过的部分通常就是入侵者想要执行的攻击代码，而程序编写者又没有进行输入长度的检查，最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。别以为为登录用户名留出了200个字符就够了而不再做长度检查，所谓防小人不防君子，入侵者会想尽一切办法尝试攻击的途径的。
　　意料外的联合使用问题：一个程序经常由功能不同的多层代码组成，甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容，以达到窃取信息的目的。例如：对于由Perl编写的程序，入侵者可以在程序的输入项目中输入类似“　 mail /etc/pa wd”的字符串，从而使perl让操作系统调用邮件程序，并发送出重要的密码文件给入侵者。借刀杀人、借Mail送“信”，实在是高！
　　不对输入内容进行预期检查：有些编程人员怕麻烦，对输入内容不进行预期的匹配检查，使入侵者输送炸弹的工作轻松简单。
　　Race conditio ：多任务多线程的程序越来越多，在提高运行效率的同时，也要注意Race conditio 的问题。比如说：程序A和程序B都按照“读/改/写”的顺序操作一个文件，当A进行完读和改的工作时，B启动立即执行完“读/改/写”的全部工作，这时A继续执行写工作，结果是A的操作没有了表现！入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的，所以，编程人员要注意文件操作的顺序以及锁定等问题。
　　2、系统配置不当
　　默认配置的不足：许多系统***后都有默认的安全配置信息，通常被称为easy to use。但遗憾的是，easy to use还意味着easy to break in。所以，一定对默认配置进行扬弃的工作。
　　管理员懒散：懒散的表现之一就是系统***后保持管理员口令的空值，而且随后不进行修改。要知道，入侵者首先要做的事情就是搜索网络上是否有这样的管理员为空口令的机器。
　　临时端口：有时候为了测试之用，管理员会在机器上打开一个临时端口，但测试完后却忘记了禁止它，这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略是：除非一个端口是必须使用的，否则禁止它！一般情况下，安全审计数据包可用于发现这样的端口并通知管理者。
　　信任关系：网络间的系统经常建立信任关系以方便资源共享，但这也给入侵者带来借牛打力、间接攻击的可能，例如，只要攻破信任群中的一个机器，就有可能进一步攻击其他的机器。所以，要对信任关系严格审核、确保真正的安全联盟。
　　3、口令失窃
　　弱不禁破的口令：就是说虽然设置了口令，但却简单得再简单不过，狡猾的入侵者只需吹灰之力就可破解。
　　字典攻击：就是指入侵者使用一个程序，该程序借助一个包含用户名和口令的字典数据库，不断地尝试登录系统，直到成功进入。毋庸置疑，这种方式的关键在于有一个好的字典。
　　暴力攻击：与字典攻击类似，但这个字典却是动态的，就是说，字典包含了所有可能的字符组合。例如，一个包含大小写的4字符口令大约有50万个组合，1个包含大小写且标点符号的7字符口令大约有10万亿组合。对于后者，一般的计算机要花费大约几个月的时间才能试验一遍。看到了长口令的好处了吧，真正是一两拨千斤啊！
　　4、嗅探未加密通讯数据
　　共享介质：传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看该网段上的通讯数据，但是如果采用交换型以太网结构，嗅探行为将变得非常困难。
　　服务器嗅探：交换型网络也有一个明显的不足，入侵者可以在服务器上特别是充当路由功能的服务器上***一个嗅探器软件，然后就可以通过它收集到的信息闯进客户端机器以及信任的机器。例如，虽然不知道用户的口令，但当用户使用Telnet软件登录时就可以嗅探到他输入的口令了。
　　远程嗅探：许多设备都具有RMON（Remote monitor，远程监控）功能以便管理者使用公共体字符串（public community strings）进行远程调试。随着宽带的不断普及，入侵者对这个后门越来越感兴趣了。
　　5、TCP/IP初始设计存在缺陷
　　即使软件编写不出现bug，程序执行时也按照正确的步骤进行，但初始设计存在缺陷仍会导致入侵者的攻击。TCP/IP协议现在已经广为应用、大行其道了，但是它却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此，存在许多不足造成安全漏洞在所难免，例如smurf攻击、ICMP Unreachable数据包断开、IP地址欺骗以及SYN湮没。然而，最大的问题在于IP协议是非常容易“轻信”的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。幸好，大救星I ec协议已经开发出来以克服这个不足。
问：入侵者如何获取口令？
　　1、***明文口令信息
　　大量的通讯协议比如Telnet、Ftp、基本HTTP都使用明文口令，这意味着它们在网络上是赤裸裸地以未加密格式传输于服务器端和客户端，而入侵者只需使用协议分析器就能查看到这些信息，从而进一步分析出口令，成为真用户的克隆。
　　2、***加密口令信息
　　当然，更多的通讯协议是使用加密信息传输口令的。这时，入侵者就需要借助字典或者采用暴力攻击法来解密了。注意，我们并不能察觉到入侵者的***行为，因为他在暗处，是完全被动的，没有发送任何信息到网络上，入侵者的机器仅被用于分析这些口令信息。
　　3、重放攻击（Replay attack）
　　这又是一种间接的攻击方式，就是说：入侵者不必对口令进行解密，需要的是重新编写客户端软件以使用加密口令实现系统登录。
　　4、窃取口令文件
　　口令文件通常都保存在一个单独的文件中，例如UNIX系统的口令文件是/etc/pa wd（也可能是那个文件的镜像），WinNT系统的口令文件是/wi t/system32/config/sam。入侵者一旦获取了口令文件，就可以使用破解程序发现其中的弱口令信息。
　　5、观察
　　用户可能由于设置的口令复杂难记而将它写在一张纸上压在键盘下随时查看，或者在输入口令的时候不管身后有没有站着一位“看客”。入侵者的搜索力与记忆力都非常好，这些操作习惯对他们来说简直就是轻松练兵。所以，别忽视入侵者的眼睛！
　　6、社会工程
　　前面提到过这个问题，社会工程就是指采用非隐蔽方法盗用非授权帐户进行的非法活动，比如使用其他人的机器、冒充是处长或局长骗取管理员信任得到口令等等。记住：如果有人想要你的口令，无论他说是为了什么，请记住他，一旦发生了关于口令的案件，那个人就是头号嫌疑犯！
问：典型的入侵场景有哪些？
　　所谓入侵场景，就是指入侵者都会从哪些方面采取哪些步骤尝试攻击系统。典型的入侵画面是这样一幕幕展开的：
　　1、外部调研
　　知己知彼，百战不殆。入侵者攻击的第一步就是尽一切可能对攻击目标进行调研以获取充足的资料。采取的方法包括：使用whois工具获取网络注册信息；使用 lookup或dig工具搜索DNS表以确定机器名称；搜索关于公司的公开新闻。这一步对于被攻击者是完全不知的。
　　2、内部分析
　　确定了攻击目标的基本属性（站点地址、主机名称），入侵者将对它们进行深入剖析。方法有：遍历每个Web页面搜索是否存在CGI漏洞；使用ping工具一一探寻“活”着的机器；对目标机器执行UDP/TCP扫描以发现是否有可用服务。这些行为都属于正常的网络操作，还不能算作入侵行为，但是NIDS系统将能够告诉管理者“有人正在撼动门把手……”
　　3、漏洞利用
　　现在到了开始动手的时候了！破坏花样实在繁多，在此择优列举如下：通过在输入项目中写入壳命令字符串（shell command）来考验CGI脚本的安全性；通过发送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞；尝试使用简单口令破解登录障碍。当然，混合使用多种方式是攻占成功的不二法门。
　　4、站稳脚跟
　　对于入侵者而言，一旦成功地入侵了网络中的一台机器，就可以说是站稳脚跟了。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门，这就需要对日志文件或其他系统文件进行改造，或者***上木马程序、或者替换系统文件为后门程序。这时，SIV（系统完整性检测）系统会注意到这些文件的变化。由于内部网络中的安全措施通常都比较少，进一步地，入侵者将以这第一台机器作为跳板，攻击网络中的其他机器，寻找下一个安身之家。
　　5、享受成果
　　到此，入侵者可以说是完成了攻击任务，剩下的就是享受成果了：或者对窃取的秘密文件肆意使用、或者滥用系统资源、或者篡改Web页面内容，甚至将你的机器作为跳板攻击其他机器。
　　以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为“birthday attack”，我想其含义是模拟生日时接收到许多熟人或者未知朋友的礼物吧，不过用在这里还要在礼物前加上“攻击”两字了。Birthday attack的一般步骤是：随机搜索一个Internet地址；搜索其上是否有指定的漏洞；如果有，根据已知的漏洞利用方法进行攻击!
当前离线
在线时间
2281 小时
最后登录
2011-7-29
注册时间
2005-10-8
注册时间
2005-10-8
发表于 2007-2-5 03:49:27
一. 谁是救世主
　　相信看过《黑客帝国》系列的朋友都不会对主人公尼奥感到陌生，这位闯入虚拟世界的程序员一次又一次演绎了“救世主”的角色，保护了城市居民，其形象早已深入人心。而离开电影后，我们广大的计算机用户要面对的又是另一种亦真亦假的数字虚拟世界——网络，这里同样潜伏着许多危险，同样存在“黑客帝国”，但这里却没有尼奥这个人的存在，我们能看到的，只有形形***的安全厂商和他们所提供的安全工具，除此之外，似乎已经没有别的选择。
　　于是乎，许多用户把各种安全工具看成了这个世界中的“救世主”，我们看到许多关于安全工具的广告，我们购买市面上流行的防病毒软件，我们在听闻每周一次的“新病毒预警”时赶紧升级病毒特征库，我们每周都对电脑进行一次漫长的病毒扫描……许多人都这样做，许多人不得不这样做，因为我们把一切都交给杀毒工具了，我们什么都不需要做了，我们只管肆无忌弹的上网聊天看电影下软件，因为我们有杀毒工具，这些工具都具备一个“实时监测”的功能，它每时每刻都会检查我们刚下载的文件，我们感到自己很安全，我们以为这就是网络中的防御。
　　然而，事实真的如此美好吗？依稀记得有一句话好像是这么说的，“无论你做什么事情，你都不可避免要付出一定的代价”，在我们安然自得的享受由杀毒工具带来的安全防御的同时，我们也在付出相应的代价。为什么呢？因为杀毒工具是一套在系统启动的时候就开始运行直到关机或者用户退出它的时候才会停止运行的程序，它们的检测和防御机制的效率是不能和尼奥相比的。举个简单例子，学过编程的人大概都知道，象棋程序是最难写得完美的，因为象棋的走法从来都没有一个固定的模式，我们能创造出许多花样，但是程序不能，它只能按照有限的判断机制去决定每一步棋怎么走，这就是为什么如今的许多象棋程序看起来像个傻瓜的原因。有人也许会说，做一个强大的象棋程序把尽可能遇到的走法都写进去就可以了，这个象棋程序必然无敌。这样是可行的，但是由此带来的代价就是每个和它下棋的人可能都要花一辈子的时间了，因为程序在每走一步棋之前都要把所有尽可能遇到的情况都“思考”一遍，这样是要付出时间作为代价的，如果要缩短时间，就要让程序在同一时刻思考多种走法，但着时候，代价就变成庞大的系统资源消耗了——你能忍受么？
　　同样的缺陷正在杀毒软件身上发生，我们知道，大部分杀毒软件是采用“特征码”技术去搜索病毒的，就是说，杀毒软件引擎读取一个程序或文件内容，并与自身数据库里储存的已被确认为病毒程序体内某段特定代码进行匹配，一旦两者相同，杀毒软件就“确认”此文件为病毒。随着病毒家族的庞大，这个数据库体积的增长也到了不可忽视的地步，加载的速度也就慢了。而且数据库每增加一个病毒特征码，杀毒引擎的判断分支就要增多一条，相应的时间也会延长，为了避免出现扫描一个文件需要半小时的尴尬情况，杀毒软件会采用各种提高匹配速度的方案，但这些方案无一例外都要疯狂剥削用户的系统资源，如果一台电脑的配置并不是很高，那么在用户查毒的时候，他基本上已经不能正常做其他工作了，找个电视台慢慢看连续剧吧，这就是尼奥的代价。
　　那么，谁才是我们的救世主？***就是——你自己。能信任的人永远只有自己，只要肯努力，每个人都可以做尼奥，不过这也是有代价的，因为它把系统资源的消耗转变为脑子的消耗，把判断分支和经验写入脑子里，在处理分支的效率上，人永远比程序要灵活，而且这样一来就不会出现依赖的恶性循环了，离开了杀毒软件，我们要学会靠自己来保护自己不被这个虚拟世界伤害到。现在，就让我们来做自己的救世主吧。
　　二. 做自己的救世主
　　小时候曾经看过一个故事《另一种侵略》，被人类打败的宇宙侵略者送给人类一种水晶，只要人类拿起它想一种物品，这个物品就会出现在自己面前，于是每个人都开始沉浸于无尽的享受中，再也没人去钻研科技国防了，几十年后，人类开始出现退化现象。这时候，宇宙侵略者又来访问地球了，这次它们只用了一条条鞭子就征服了地球，在最后一个人类被驱逐进囚笼之前，他回头含糊不清的说了句什么话——连他的舌头都退化得差不多了，也许他是说：“地球完了。”
　　以上的故事或许只是虚无的幻想，但类似的行为却正在当代发生，如果一个用户怀疑自己的电脑感染了后门，他的第一个反应大概会是打开杀毒工具。故事里的人类太依赖水晶的魔力，现实中的我们太依赖杀毒软件的方便快捷！也许有人会反对，既然能使用工具方便快捷的保护计算机安全，我又何必自寻烦恼学习安全防御？会这样想的用户没有想到网络的复杂，能闯进计算机的“客人”并非就是在各大安全工具厂商通缉名单上的成员，因为网络中还流传着一部分小规模使用而且没有被公开的“私人后门”（例如大部分DDoS后门工具其实都是自己写自己用的），有能力的人都可以自己写“私人后门”，然后通过多种途径放到别人的计算机上执行。这时候，“病毒库特征码”技术的局限性就开始显露了，被感染了“私人后门”的用户偶尔会察觉到计算机异常，然后他会开始查毒，结果因为渗透进系统的后门程序并没有在病毒特征库里“登记”过，杀毒软件就认不出它了，用户只能在浪费大量时间后看着杀毒软件报告的“没有发现病毒”消息继续“享受”被入侵的感觉。这个事实可笑吗？我们只能在自己信赖的尼奥面前被敌人杀死——甚至这个尼奥也不复存在了，如果后门能把它踢出内存并删除掉的话。
　　还是那句话，能信任的人只有自己，更何况这是网络。所以，我们不能再战战兢兢的躲在掩体里等待救世主消灭所有敌人了，我们要做自己的救世主！
　　三. 捕获不请自来的“客人”
　　“600型机器人包裹的是橡胶外皮，很容易被认出来，但现在的101型机器人是生化技术制造的，有真实皮肤，会呼吸、流血、甚至口臭，一切都和人类一样，直到它开始攻击，你才能知道它不是人类。”
　　“那你们怎么办？”
　　“我们用狗识别终结者。”
　　——《终结者》
　　在《终结者》里，狗是唯一可以区分敌我的工具，因为它判断对方的方式并不仅仅靠眼睛——眼睛是可以被欺骗的，但是气息不能，一个机器人无论伪装得再怎么逼真，都不能具备生命体的气息，但是它能欺骗人类的视觉和听觉，这就足够了。
　　后门技术从诞生到现在，已经发展了好几代，对自身的伪装技术也越来越成熟了，从最初的启动项结合隐藏进程方式，到最新的Ring0驱动方式，我们越来越难发现这些“客人”的痕迹，当它开始破坏的时候，已经来不及做补救措施了，所以，我们需要一种可以嗅出后门气息的“狗”。
　　1.准备工作
　　在进行一切工作之前，用户需要对系统有点了解，例如注册表、启动项、服务、常见的程序和进程名等，这是学习手工查毒最基本的要求，在初期可以多参考一些介绍系统概念的文章如到处都流传的“系统进程详解”、“WinXP系统服务简介及优化措施”等，并做一点笔记，力求日积月累尽快记住一些最常见的系统程序和相关工具的使用方法，如果过不了这个门槛，后面的工作也就无从谈起。
　　首先，我们必须了解Windows系统的三大知识点：注册表（Registry）、进程（Proce ）和权限（Privilege）。
　　“注册表”是出现在Windows 95及以后版本的一种数据库。在这之前，用户要对软硬件工作环境进行配置，就要修改一种被称为“配置设置”（INI）的文件来完成，但是由于每种设备或应用程序都得有自己的INI文件，无形中增加了管理难度，为了解决这个问题，微软开始统一标准并将各种信息资源集中起来存储，最终形成了将应用程序和计算机系统配置信息容纳在一起的“注册表”，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等，注册表维持着整个系统的正常运作。
　　注册表采用一种类似文件目录的结构树来描述配置信息，最顶端的5个项目称为“根键”（ROOT_KEY），系统能识别的所有的数据都是从它们这里展开的，这5个根键分别是：
　　HKEY_CLASSES_ROOT（负责各种组件注册类别和文件并联信息）
　　HKEY_CURRENT_USER（当前登录用户的环境信息）
　　HKEY_LOCAL_MACHINE（整个系统的公共环境信息）
　　HKEY_USERS（所有用户的环境配置信息）
　　HKEY_CURRENT_CONFIG（当前的配置信息）
　　其中，我们主要关注的是前面三个根键里的数据，它们是后门最爱篡改的地方，分别是三个启动项目“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”和“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”，一般的后门都要通过修改这里加入自己的配置信息以达到跟随系统启动的目的；除此之外就是文件并联信息“HKEY_CLASSES_ROOT”，并联型后门最爱更改这里的.exe、.bat、.scr、.com等可执行文件的注册信息，让自己抢先一步运行。更多涉及到的注册表内容以后会提到，现在让我们来看看进程是什么。
　　“进程”，是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限，任何程序都必须拥有至少一个进程，否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像，它通常和某个在磁盘上的文件保持着对应关系，一个完整的进程信息包括很多方面的数据，我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题，而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等，其中“进程文件名”和“进程标识符”是必须掌握的关键，“进程标识符”是系统分配给进程内存空间时指定的唯一数字，进程从载入内存到结束运行的期间里这个数字都是保持不变的，而“进程文件名”则是对应着的介质存储文件名称，根据“进程文件名”我们就可以找到最初的可执行文件位置。
　　最后是“权限”，这里涉及的权限是指80386模式的Ring权限。操作系统是由内核（Kernel）和外壳（Shell）两部分组成的，内核负责一切实际的工作，包括CPU任务调度、内存分配管理、设备管理、文件操作等，外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。由于内核和外壳负责的任务不同，它们的处理环境也不同，因此处理器提供了多个不同的处理环境，把它们称为运行级别（Ring），Ring让程序指令能访问的计算机资源依次逐级递减，目的在于保护计算机遭受意外损害——内核运行于Ring 0级别，拥有最完全最底层的管理功能，而到了外壳部分，它只能拥有Ring 3级别，这个级别能操作的功能极少，几乎所有指令都需要传递给内核来决定能否执行，一旦发现有可能对系统造成破坏的指令传递（例如超越指定范围的内存读写），内核便返回一个“非法越权”标志，发送这个指令的程序就有可能被终止运行，这就是大部分常见的“非法操作”的由来，这样做的目的是为了保护计算机免遭破坏，如果外壳和内核的运行级别一样，用户一个不经意的点击都有可能破坏整个系统。但是现在，Ring已经屡屡被后门木马利用成为一个令人头痛的凶器。
　　2.进程伪装型后门的歼灭
　　最初的后门靠注册“系统服务”的方法在Win9x系统里隐藏自己的运行信息，到了NT架构里，这个方法失效了——NT家族自带的任务管理器（Task Manager,TaskMgr.exe）把所有普通进程都一视同仁的显示出来，连初级用户都能轻易发现后门运行的痕迹，于是后门制造者开始攻克心理学和障眼法，让后门进程在任务管理器里把自己标榜为“系统关键进程”，达到欺骗用户的目的。
　　我们都知道，任务管理器列出的众多进程里包含着一部分“关键进程”，它们是无法通过任务管理器中止的，而且许多文章也会提到相关进程名，久而久之，我们又养成一个习惯：查看进程信息时，只要看到熟悉甚至类似的进程名就忽略不计了，仅仅去寻找不熟悉的进程名，于是后门制造者就直接利用这个心理暗角配合路径遍历法则，让后门进程显示为“sm .exe”、“svchost.exe”、“lsa .exe”、“csr .exe”、“winlogon.exe”等关键进程名就欺骗了用户和任务管理器。
　　在这种情况下，系统自己的任务管理器已经不能信任了，因为它遗漏了最重要的路径信息，后门就利用了这一点——它可以把自己伪装成svchost.exe放到Windows目录下，然后在注册表启动项里加上不带路径信息的“svchost.exe”信息，系统在根据目录遍历法则一层层深入寻找svchost.exe时会在Windows目录里发现并执行