計(jì)算機(jī)安全防范解決方案研究畢業(yè)論文

1、<p>　　2011本科畢業(yè)設(shè)計(jì)（論文）</p><p>　　題目：計(jì)算機(jī)安全防范解決方案研究</p><p><b>　　——個(gè)人電腦安全</b></p><p><b>　　2011年11月</b></p><p>　　計(jì)算機(jī)安全防范解決方案研究</p><p>

2、;<b>　　——個(gè)人電腦安全</b></p><p><b>　　摘要</b></p><p>　　在計(jì)算機(jī)沒有大規(guī)模普及之前，人們會(huì)將重要的文件資料鎖到文件柜或保險(xiǎn)柜</p><p>　　保管。隨著計(jì)算機(jī)以及因特網(wǎng)的迅速發(fā)展而趨向于利用計(jì)算機(jī)和網(wǎng)絡(luò)實(shí)現(xiàn)信息的數(shù)據(jù)化管理。各種重要的信息（如商業(yè)秘密、技術(shù)專利等）如果存放在

3、沒有安全防范措施的計(jì)算機(jī)中，這就像用不上鎖的文件柜來存放機(jī)密文件。由于計(jì)算機(jī)的開放性和標(biāo)準(zhǔn)化等結(jié)構(gòu)特點(diǎn)，使計(jì)算機(jī)信息具有高度共享和易于擴(kuò)散的特性，導(dǎo)致計(jì)算機(jī)信息（如重要密碼）在處理、存儲(chǔ)、傳輸和應(yīng)用過程中很容易被泄露、竊取、篡改和破壞，或者受到計(jì)算機(jī)病毒感染、后門程序、漏洞和網(wǎng)絡(luò)黑客的攻擊，給企業(yè)帶來極大的風(fēng)險(xiǎn)。這時(shí)候，計(jì)算機(jī)的安全性就凸顯出它的重要性了。每個(gè)計(jì)算機(jī)用戶或多或少地都親身體驗(yàn)過病毒或者木馬、黑客的騷擾。針對個(gè)人來說所帶來的

4、損失可能還不算大，但對于企業(yè)來說，可能會(huì)是滅頂之災(zāi)。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；信息；攻擊；后門程序；漏洞；密碼；病毒；</p><p>　　The computer safety guard against a solution a research</p><p>　　-Personal computer safety</p><

5、p><b>　　Summary</b></p><p>　　Before the calculator have no large-scale universality, people meeting importance of document data lock arrive document cabinet or safe</p><p>　　Preser

6、vation.Incline toward exploitation calculator and network realization information with the quick development of the calculator and Internet</p><p>　　Of the data turn a management.If the information(like busi

7、ness secret, technique patent...etc.) of various importance deposit in there is no safety guarding against the calculator of measure in, this is like to use not lock of document cabinet to deposit secret document.Because

8、 the calculator open sex and standardize an etc. structure characteristics, make the calculator information have height share with be easy to proliferation of characteristic, cause the calculator information(such as impo

9、rt</p><p>　　Keyword:The network safety； information； attack； back door procedure； loophole； password； virus；</p><p><b>　　目 錄</b></p><p>　　第1章 計(jì)算機(jī)端口及服務(wù)安全防范1</p>

10、<p>　　1.1 端口的概述1</p><p>　　1.2常用的端口和服務(wù)2</p><p>　　1.3端口的安全防范3</p><p>　　1.4計(jì)算機(jī)常用服務(wù)防范4</p><p>　　第2章 計(jì)算機(jī)系統(tǒng)漏洞5</p><p><b>　　2.1漏洞分析5</b><

11、;/p><p>　　2.2漏洞解決方案6</p><p>　　第3章 計(jì)算機(jī)共享資源及本地策略安全防范7</p><p>　　3.1共享資源安全分析7</p><p>　　3.2共享資源安全防范8</p><p>　　3.3本地策略安全防范9</p><p>　　3.4 DIY在本地策略的

12、安全選項(xiàng)10</p><p>　　第4章 計(jì)算機(jī)病毒及木馬防范11</p><p>　　4.1病毒及木馬的概述11</p><p>　　4.2 病毒及木馬的種類12</p><p>　　4.3 病毒及木馬防范技巧13</p><p>　　4.3.1巧用命令行 徹查電腦中的惡意軟件16</p>

13、<p>　　4.3.2 網(wǎng)銀木馬病毒原理與防殺辦法18</p><p>　　4.3.3 查殺IMG病毒的常用方法及防范措施 21</p><p>　　第5章總結(jié)與展望25</p><p>　　5.1 本研究工作總結(jié)25</p><p>　　5.2 計(jì)算機(jī)安全防范展望25</p><p><b&

14、gt;　　參考文獻(xiàn)26</b></p><p><b>　　致 謝27</b></p><p>　　第一章 計(jì)算機(jī)端口及服務(wù)安全防范</p><p>　　1.1 端口的概述</p><p>　　計(jì)算機(jī)“端口”是英文port的義譯，可以認(rèn)為是計(jì)算機(jī)與外界通訊交流的出口。其中硬件領(lǐng)域的端口又稱接口，如

15、：USB端口、串行端口等。軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議端口，是一種抽象的軟件結(jié)構(gòu)，包括一些數(shù)據(jù)結(jié)構(gòu)和I/O（基本輸入輸出）緩沖區(qū)。</p><p>　　端口號有兩種基本分配方式：第一種叫全局分配這是一種集中分配方式，由一個(gè)公認(rèn)權(quán)威的中央機(jī)構(gòu)根據(jù)用戶需要進(jìn)行統(tǒng)一分配，并將結(jié)果公布于眾，第二種是本地分配，又稱動(dòng)態(tài)連接，即進(jìn)程需要訪問傳輸層服務(wù)時(shí)，向本地操作系統(tǒng)提出申請，操作系統(tǒng)返回本地

16、唯一的端口號，進(jìn)程再通過合適的系統(tǒng)調(diào)用，將自己和該端口連接起來（binding，綁定）。</p><p>　　TCP/IP端口號的分配綜合了以上兩種方式，將端口號分為兩部分，少量的作為保留端口，以全局方式分配給服務(wù)進(jìn)程。每一個(gè)標(biāo)準(zhǔn)服務(wù)器都擁有一個(gè)全局公認(rèn)的端口叫周知口，即使在不同的機(jī)器上，其端口號也相同。剩余的為自由端口，以本地方式進(jìn)行分配。TCP和UDP規(guī)定，小于256的端口才能作為保留端口。</p>

17、;<p>　　按端口號可分為3大類： （1）公認(rèn)端口（Well Known Ports）：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實(shí)際上總是HTTP通訊。 （2）注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動(dòng)態(tài)端

18、口從1024左右開始。 （3）動(dòng)態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外：SUN的RPC端口從32768開始。</p><p><b>　　常用的端口及服務(wù)</b></p><p>　　端口：21 服務(wù)：FTP 說明

19、：FTP服務(wù)器所開放的端口，用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。 木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。</p><p>　　端口：23 服務(wù)：Telnet 說明：遠(yuǎn)程登錄，入侵者在搜索遠(yuǎn)程登錄UNIX的服務(wù)。大多數(shù)情況下掃描這一端口是為了找

20、到機(jī)器運(yùn)行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會(huì)找到密碼。木馬Tiny Telnet Server就開放這個(gè)端口。</p><p>　　端口：25 服務(wù)：SMTP 說明：SMTP服務(wù)器所開放的端口，用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E -MAIL服務(wù)器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password S

21、ender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個(gè)端口。</p><p>　　端口：53 服務(wù)：Domain Name Server（DNS） 說明：DNS服務(wù)器所開放的端口，入侵者可能是試圖進(jìn)行區(qū)域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通信。因此防火墻常常過濾或記錄此端口。</p><p>　　端口：80 服務(wù)：H

22、TTP 說明：用于網(wǎng)頁瀏覽。木馬Executor開放此端口</p><p>　　1.3 端口的安全防范</p><p>　　1.關(guān)閉自己的139端口，ICP和RPC漏洞存在于此。 </p><p>　　關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級TCP/IP設(shè)置”“WinS設(shè)置”里面有一項(xiàng)“

23、禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口</p><p>　　2．445端口的關(guān)閉 </p><p>　　修改注冊表，添加一個(gè)鍵值 </p><p>　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個(gè)SMBDeviceEnabled 為R

24、EG_DWORD類型鍵值為 0 。</p><p>　　3．4899端口的防范 </p><p>　　網(wǎng)絡(luò)上有許多關(guān)于3389和4899的入侵方法。4899其實(shí)是一個(gè)遠(yuǎn)程控制軟件所開啟的服務(wù)端端口，由于這些控制軟件功能強(qiáng)大，所以經(jīng)常被黑客用來控制自己的肉雞，而且這類軟件一般不會(huì)被殺毒軟件查殺，比后門還要安全。 </p><p>　　4899不象3389那樣，是系統(tǒng)自

25、帶的服務(wù)。需要自己安裝，而且需要將服務(wù)端上傳到入侵的電腦并運(yùn)行服務(wù)，才能達(dá)到控制的目的。 </p><p>　　所以只要你的電腦做了基本的安全配置，黑客是很難通過4899來控制你的</p><p><b>　　4．135端口</b></p><p>　　運(yùn)行dcomcnfg，展開“組件服務(wù)”→“計(jì)算機(jī)”，在“我的電腦”上點(diǎn)右鍵選“屬性”，切換到

26、“默認(rèn)屬性”，取消“啟用分布式COM”；然后切換到“默認(rèn)協(xié)議”，刪除“面向連接的TCP/IP”。</p><p><b>　　23端口</b></p><p>　　關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序</p><p><b>　　6. 21端口</b></p><

27、p>　　關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)的管單元提供 FTP連接和管理。</p><p>　　1.4 計(jì)算機(jī)常用服務(wù)防范</p><p>　　在運(yùn)行中，輸入Services.msc，將以下服務(wù)關(guān)閉：</p><p>　　1.ClipBook[啟用“剪貼簿查看器”儲(chǔ)存信息并與遠(yuǎn)程計(jì)算機(jī)共享]。 &l

28、t;/p><p>　　2.Distributed File System[將分散的文件共享合并成一個(gè)邏輯名稱，共享出去，關(guān)閉后遠(yuǎn)程計(jì)算機(jī)無法訪問共享]。 </p><p>　　3.Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接? ?蹤客戶端服務(wù)]。 </p><p>　　4.IMAPI CD-Burning COM Service

29、[管理 CD 錄制]。 </p><p>　　5.Indexing Service[提供本地或遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性，泄露信息]。 </p><p>　　6.License Logging[監(jiān)視IIS和SQL如果你沒安裝IIS和SQL的話就停止]。 </p><p>　　7.NetMeeting Remote Desktop Sharing[netmeet

30、ing公司留下的客戶信息收集]。 </p><p>　　8.Network DDE[為在同一臺計(jì)算機(jī)或不同計(jì)算機(jī)上運(yùn)行的程序提供動(dòng)態(tài)數(shù)據(jù)交換]。 </p><p>　　9.Print Spooler[打印機(jī)服務(wù)，沒有打印機(jī)就禁止吧]。</p><p>　　10.Telnet[允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序] 。</p><p>　　11

31、.Terminal Services[允許用戶以交互方式連接到遠(yuǎn)程計(jì)算機(jī)]</p><p>　　12.Print Spooler[打印機(jī)服務(wù)，沒有打印機(jī)就禁止吧]。 </p><p>　　13.Remote Desktop Help& nbsp;Session Manager[管理并控制遠(yuǎn)程協(xié)助]。 </p><p>　　14.Remote Registry

32、[使遠(yuǎn)程計(jì)算機(jī)用戶修改本地注冊表]。 </p><p>　　如果發(fā)現(xiàn)機(jī)器開啟了一些很奇怪的服務(wù)，如r_server這樣的服務(wù)，必上停止該服務(wù)，因?yàn)檫@完全有可能是黑客使用控制程序的服務(wù)端</p><p>　　第二章 計(jì)算機(jī)系統(tǒng)漏洞</p><p><b>　　2.1漏洞分析</b></p><p>　　系統(tǒng)漏洞就是開發(fā)商在

33、操作系統(tǒng)設(shè)計(jì)的時(shí)候沒有考慮周全，當(dāng)程序遇到了</p><p>　　一個(gè)看似合理，但實(shí)際上無法處理的問題時(shí)，就會(huì)引發(fā)一些不可預(yù)見的錯(cuò)誤，而這些錯(cuò)誤是不可避免的，就像網(wǎng)站的漏洞也是，比如說這個(gè)http://www.51winer.com網(wǎng)站，它就存在不少漏洞，只是站長沒有去發(fā)現(xiàn)這些問題而已。</p><p>　　系統(tǒng)漏洞又稱為“安全缺陷”或者“系統(tǒng)BUG”同時(shí)也成為黑客為了達(dá)到他們的攻擊目的而

34、尋找的一個(gè)攻擊入口。漏洞是隨著操作系統(tǒng)，無論是Windows還是Linux程序的規(guī)模不斷增大而逐漸增加的。操作系統(tǒng)的安全漏洞越多，暴露給攻擊者的目標(biāo)也就越大。同時(shí)。操作系統(tǒng)是控制整個(gè)系統(tǒng)的安全核心，選擇操作系統(tǒng)的安全漏洞進(jìn)行攻擊可以迅速產(chǎn)生巨大的破壞性，使被攻擊方迅速處于癱瘓或崩潰狀態(tài)。正因?yàn)槿绱耍诳驮趯?shí)施攻擊前往往首先要尋找到的就是對方操作系統(tǒng)的安全漏洞，然后再有針對性的利用相應(yīng)的攻擊手段實(shí)現(xiàn)攻擊。</p><p

35、>　　目前服務(wù)器常用的操作系統(tǒng)有3類：Windows、Unix、Linux。這3類操作系</p><p>　　都是符合C3級安全級別的操作系統(tǒng)。但應(yīng)用最廣泛的服務(wù)器操作系統(tǒng)仍然</p><p>　　Windows Server 2003、Windows 2000 Serve，同時(shí)每隔一段時(shí)間都會(huì)被發(fā)現(xiàn)有</p><p>　　些大大小小的漏洞，其中有很多漏洞可

36、以使攻擊者直接取得系統(tǒng)管理員的高級控制</p><p>　　限，這樣的后果將不堪設(shè)想。輕則會(huì)被拿來作為攻擊其他機(jī)器的跳板，重則可能造成</p><p>　　信息泄露，更有可能會(huì)破壞用戶所有的數(shù)據(jù)。據(jù)統(tǒng)計(jì)，一臺未打補(bǔ)丁的Windows系統(tǒng)，接入互聯(lián)網(wǎng)后，不到2分鐘就會(huì)受到各種漏洞所攻擊，并導(dǎo)致計(jì)算機(jī)中毒或崩潰。</p><p>　　目前普通用戶碰到的漏洞威脅主要以微軟

37、的操作系統(tǒng)漏洞居多。微軟被新發(fā)現(xiàn)的漏洞數(shù)量每年都在增長，僅2005年截止到11月，微軟公司便對外公布漏洞51個(gè)，其中嚴(yán)重等級27個(gè)。眾所周知，微軟的Windows操作系統(tǒng)在個(gè)人計(jì)算機(jī)中有極高的市場占有率，用戶群體非常龐大。利用微軟的系統(tǒng)漏洞傳播的病毒明顯具有傳播速度快、感染人群多、破壞嚴(yán)重的特點(diǎn)。</p><p>　　2003年的沖擊波就是利用Windows XP和Windows Server 2003系統(tǒng)的一種

38、</p><p>　　程服務(wù)漏洞進(jìn)行攻擊的，如果沒有安裝相關(guān)的安全補(bǔ)丁，那么目標(biāo)計(jì)算機(jī)系統(tǒng)將強(qiáng)</p><p>　　不停的重新啟動(dòng)。用戶根本沒辦法使用。</p><p>　　造成系統(tǒng)漏洞的原因是多方面的，但主要包括兩個(gè)方面的內(nèi)容：不安全的服務(wù)、配置與初始化錯(cuò)誤。</p><p>　　2.2 漏洞解決方案 </p><p&

39、gt;<b>　　系統(tǒng)漏洞補(bǔ)丁的下載</b></p><p>　　“系統(tǒng)漏洞補(bǔ)丁”一詞，想必大家都不陌生，就微軟的操作系統(tǒng)而言，因其龐大的市場占有率，使得黑客們加倍的“喜愛”，因此微軟會(huì)定期的發(fā)布一些最新的補(bǔ)丁升級包供用戶下載安裝，從而完善和確保系統(tǒng)的穩(wěn)定性，阻止黑客的攻擊，達(dá)到進(jìn)一步保障系統(tǒng)安全的目的。微軟發(fā)出的補(bǔ)丁包更多針對于系統(tǒng)和IE，因?yàn)楦鄷r(shí)候黑客會(huì)選擇IE和系統(tǒng)的漏洞進(jìn)行攻擊，讓

40、人防不勝防。</p><p>　　其實(shí)，避免因?yàn)橄到y(tǒng)漏洞造成的損害很簡單，您可以通過打開Windows系統(tǒng)自動(dòng)升級功能進(jìn)行下載安裝，但是，由于操作系統(tǒng)的版本問題，部分用戶可能無法正常下載，或者下載了一些對自己的操作系統(tǒng)并不實(shí)用的補(bǔ)丁升級包，反而占用了大量計(jì)算機(jī)空間，這樣一來就不是很合適了。</p><p><b>　　圖示1：</b></p><p

41、>　　第三章 計(jì)算機(jī)共享資源及本地策略安全防范</p><p>　　3.1共享資源安全分析</p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速普及，很多企事業(yè)單位都鋪設(shè)了局域網(wǎng)，有的還開通了Internet連接。單位內(nèi)部各個(gè)部門之間，甚至企事業(yè)單位之間，經(jīng)常會(huì)因工作需要而共享某些信息，由此引發(fā)了共享信息資源的安全問題。尤其是一些關(guān)鍵部門的信息安全問題更不容忽視。姑且不論網(wǎng)絡(luò)病毒感染、黑客入侵，

42、就連保證共享資源的基本安全就已經(jīng)讓一般的工作人員頭痛不已。 盡管網(wǎng)絡(luò)安全問題日漸突出，然而計(jì)算機(jī)網(wǎng)絡(luò)化已是大勢所趨，不能因?yàn)榇嬖诎踩珕栴}隱患就因噎廢食。事實(shí)上，只要防范措施得當(dāng)，在一定程度上共享信息資源的安全是可以得到有效保障的。</p><p>　　人們通常采用口令保護(hù)的方法來限制非授權(quán)用戶對共享信息資源的訪問，但如果措施不當(dāng)，仍會(huì)造成信息泄露。常見的安全問題分析如下： 1．未設(shè)口令。 2．口令過于簡單。

43、 3．將"訪問類型"設(shè)置為"根據(jù)密碼訪問"，但卻僅僅設(shè)置了"只讀密碼"，而未設(shè)置"完全訪問密碼"。這樣，任何用戶不必輸入任何口令，就可以存取共享資源，導(dǎo)致"只讀密碼"形同虛設(shè)。事實(shí)上，這種現(xiàn)象非常普遍。 4．很多人由于需要訪問的共享資源較多，且分散在不同的位置上，而訪問每種資源又必須逐個(gè)輸入口令，因此傾向于選取口令對話框中?quot;

44、保存密碼"選項(xiàng)，以在硬盤上保存這些口令。下次再訪問相同資源時(shí)就不必輸入令人討厭的口令。孰不知，這種做法雖然省去了輸入口令的煩惱，但卻對整個(gè)網(wǎng)絡(luò)的安全構(gòu)成了很大的威脅。因?yàn)橐坏┻x擇了"保存密碼"選項(xiàng)，以后在訪問相同的共享資源時(shí)，系統(tǒng)會(huì)自動(dòng)填好口令。雖然口令在屏幕上顯示為一些星號，但實(shí)際上是很容易破解的。已有很多工具軟件專門破解這種口令，而且這種軟件很容易編寫。 5．Windows 9x默認(rèn)將口令保存到擴(kuò)展名

45、為PWL的緩存文件中。PWL文件是保存在本機(jī)硬盤上的一個(gè)用于訪問網(wǎng)絡(luò)資源的高速緩存的口令</p><p>　　3.2共享資源安全防范措施：</p><p>　　1．仔細(xì)檢查是否每個(gè)共享資源均設(shè)置了口令保護(hù)。 2．保證口令的長度至少應(yīng)在7個(gè)字符以上，且最好大小寫字母、數(shù)字、符號混合使用，以增加破解的難度。 3．若將"訪問類型"設(shè)置為"根據(jù)密碼訪問"

46、，則必須同時(shí)分別設(shè)置"只讀密碼" 和"完全訪問密碼"。 4．不要在本機(jī)保存口令。如千萬不要在口令輸入對話框中選擇"保存密碼"選 項(xiàng)。 5．Windows 9x默認(rèn)允許緩存口令，導(dǎo)致安全保密工作難度加大。建議完全禁止口令高速緩存。 具體方法是將注冊表中"HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\Cu

47、rrentVersion\Policies\Network\DisablePwdCaching"鍵對應(yīng)的DWORD值設(shè)為1。然后將Windows目錄下所有擴(kuò)展名為PWL的文件刪除即可。 <BR< p> 完成上述設(shè)置后，口令輸入對話框中就再不會(huì)出現(xiàn)"保存密碼"選項(xiàng)了。 6．對于Windows NT而言，可以進(jìn)行登錄審計(jì)，以限定用戶登錄的次數(shù)，這樣可以有效防止非授權(quán)人員無限制地采用窮舉方法破

48、解口令。 7．除非必要，否則不要將整個(gè)硬盤分</p><p>　　9.刪除共享(每次輸入一個(gè)） </p><p>　　net share admin$ /delete </p><p>　　net share c$ /delete net share d$ /delete（如果有e，f，……可以繼續(xù)刪除）</p><p>　　3.3 本地策

49、略安全防范</p><p>　　賬號密碼的安全原則 ：</p><p>　　首先禁用guest帳號，將系統(tǒng)內(nèi)建的administrator帳號改名～～（改的越復(fù)雜越好，最好改成中文的），而且要設(shè)置一個(gè)密碼，最 好是8位以上字母數(shù)字符號組合。 </p><p>　　如果你使用的是其他帳號，最好不要將其加進(jìn)administrators，如果加入administrato

50、rs組，一定也要設(shè)置一個(gè)足夠安全的密碼，同上如果你設(shè)置adminstrator的密碼時(shí)，最好在安全模式下設(shè)置，因?yàn)榻?jīng)我研究發(fā)現(xiàn)，在系統(tǒng)中 擁有最高權(quán)限的帳號，不是正常登陸下的adminitrator帳號，因?yàn)榧词褂辛诉@個(gè)帳號，同樣可以登陸安全模式，將sam文件刪除，從而更改系統(tǒng)的administrator的密碼！而在安全模式下設(shè)置的administrator則不會(huì)出現(xiàn)這種情況，因?yàn)椴恢肋@個(gè)administrator密碼是無法進(jìn)入安全模

51、式。權(quán)限達(dá)到最大這個(gè)是密碼策略：用戶可以根據(jù)自己的習(xí)慣設(shè)置密碼。</p><p>　　本地安全策略，打開管理工具.本地安全設(shè)置.密碼策略：</p><p>　　1.密碼必須符合復(fù)雜要求性.啟用 </p><p>　　2.密碼最小值.我設(shè)置的是8 </p><p>　　3.密碼最長使用期限.我是默認(rèn)設(shè)置42天 </p><p

52、>　　4.密碼最短使用期限0天 </p><p>　　5.強(qiáng)制密碼歷史 記住0個(gè)密碼 </p><p>　　6.用可還原的加密來存儲(chǔ)密碼 禁用</p><p>　　3.4 DIY在本地策略的安全選項(xiàng)</p><p>　　1）當(dāng)?shù)顷憰r(shí)間用完時(shí)自動(dòng)注銷用戶(本地) 防止黑客密碼滲透. </p><p>　　2）登陸屏

53、幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù)，別人登陸時(shí)，就不會(huì)殘留有你登陸的用戶名.讓他去猜你的用戶名去吧. </p><p>　　3）對匿名連接的額外限制 </p><p>　　4）禁止按 alt+crtl +del(沒必要） </p><p>　　5）允許在未登陸前關(guān)機(jī)[防止遠(yuǎn)程關(guān)機(jī)/啟動(dòng)、強(qiáng)制關(guān)機(jī)/啟動(dòng)] </p><p>　　6

54、）只有本地登陸用戶才能訪問cd-rom </p><p>　　7）只有本地登陸用戶才能訪問軟驅(qū) </p><p>　　8）取消關(guān)機(jī)原因的提示 </p><p>　　1、打開控制面板窗口，雙擊“電源選項(xiàng)”圖標(biāo)，在隨后出現(xiàn)的電源屬性窗口中，進(jìn)入到“高級”標(biāo)簽頁面； </p><p>　　2、在該頁面的“電源按鈕”設(shè)置項(xiàng)處，將“在按下計(jì)算機(jī)電源按鈕

55、時(shí)”設(shè)置為“關(guān)機(jī)”，單擊“確定”按鈕，來退出設(shè)置框； </p><p>　　3、以后需要關(guān)機(jī)時(shí)，可以直接按下電源按鍵，就能直接關(guān)閉計(jì)算機(jī)了。當(dāng)然，我們也能啟用休眠功能鍵，來實(shí)現(xiàn)快速關(guān)機(jī)和開機(jī)； </p><p>　　4、要是系統(tǒng)中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項(xiàng)，進(jìn)入到休眠標(biāo)簽頁面，并在其中將“啟用休眠”選項(xiàng)選中就可以了。</p><p>　

56、　第四章 計(jì)算機(jī)病毒及木馬防范</p><p>　　4.1病毒及木馬的概述</p><p>　　木馬（Trojan）這個(gè)名字來源于古希臘傳說(荷馬史詩中木馬計(jì)的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計(jì)的故事)。</p><p>　　“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它

57、通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦?！澳抉R”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是“毫無價(jià)值”的。 </p><p>　　它是指通過一段特定的程序（木馬程序）來

58、控制另一臺計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無保障了！ 木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享

59、有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊表，更改計(jì)算機(jī)配置等。</p><p>　　隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發(fā)覺。</p><p>　　4.2 木馬病毒的種類：</p><p>　　1. 網(wǎng)絡(luò)游戲木馬 </p>

60、<p>　　隨著網(wǎng)絡(luò)在線游戲的普及和升溫，我國擁有規(guī)模龐大的網(wǎng)游玩家。網(wǎng)絡(luò)游戲中的金錢、裝備等虛擬財(cái)富與現(xiàn)實(shí)財(cái)富之間的界限越來越模糊。與此同時(shí)，以盜取網(wǎng)游帳號密碼為目的的木馬病毒也隨之發(fā)展泛濫起來。 </p><p>　　網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。 </p

61、><p>　　網(wǎng)絡(luò)游戲木馬的種類和數(shù)量，在國產(chǎn)木馬病毒中都首屈一指。流行的網(wǎng)絡(luò)游戲無一不受網(wǎng)游木馬的威脅。一款新游戲正式發(fā)布后，往往在一到兩個(gè)星期內(nèi)，就會(huì)有相應(yīng)的木馬程序被制作出來。大量的木馬生成器和黑客網(wǎng)站的公開銷售也是網(wǎng)游木馬泛濫的原因之一。 </p><p><b>　　2. 網(wǎng)銀木馬 </b></p><p>　　網(wǎng)銀木馬是針對網(wǎng)上交易系統(tǒng)

62、編寫的木馬病毒，其目的是盜取用戶的卡號、密碼，甚至安全證書。此類木馬種類數(shù)量雖然比不上網(wǎng)游木馬，但它的危害更加直接，受害用戶的損失更加慘重。 </p><p>　　網(wǎng)銀木馬通常針對性較強(qiáng)，木馬作者可能首先對某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析，然后針對安全薄弱環(huán)節(jié)編寫病毒程序。如2004年的“網(wǎng)銀大盜”病毒，在用戶進(jìn)入工行網(wǎng)銀登錄頁面時(shí)，會(huì)自動(dòng)把頁面換成安全性能較差、但依然能夠運(yùn)轉(zhuǎn)的老版頁面，然后記錄用戶在此頁面上填

63、寫的卡號和密碼；“網(wǎng)銀大盜3”利用招行網(wǎng)銀專業(yè)版的備份安全證書功能，可以盜取安全證書；2005年的“新網(wǎng)銀大盜”，采用API Hook等技術(shù)干擾網(wǎng)銀登錄安全控件的運(yùn)行。 </p><p>　　隨著我國網(wǎng)上交易的普及，受到外來網(wǎng)銀木馬威脅的用戶也在不斷增加。 </p><p>　　3. 網(wǎng)頁點(diǎn)擊類木馬 </p><p>　　網(wǎng)頁點(diǎn)擊類木馬會(huì)惡意模擬用戶點(diǎn)擊廣告等動(dòng)作，

64、在短時(shí)間內(nèi)可以產(chǎn)生數(shù)以萬計(jì)的點(diǎn)擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費(fèi)用。此類病毒的技術(shù)簡單，一般只是向服務(wù)器發(fā)送HTTP GET請求。 </p><p>　　4.3病毒及木馬防范技巧</p><p>　　具有開放性的因特網(wǎng)成為計(jì)算機(jī)病毒廣泛傳播的有利環(huán)境，而網(wǎng)絡(luò)本身的安全漏洞也為培養(yǎng)更新、更多的病毒提供了良好的條件。人們?yōu)榱俗尵W(wǎng)頁更加精彩漂亮、功能更加強(qiáng)大而開發(fā)Active

65、X和Java技術(shù)，然而病毒程序的制造者也正是利用了這些技術(shù)，把病毒程序滲透到每臺個(gè)人計(jì)算機(jī)中去。</p><p>　　網(wǎng)絡(luò)中如果有一臺機(jī)器沒有安裝殺毒軟件，或者安裝了版本較老的，或者實(shí)時(shí)監(jiān)控沒有打開，無孔不入的網(wǎng)絡(luò)病毒就可能在這臺機(jī)器上安家生根，并潛伏在這臺機(jī)器上隨時(shí)想其他有防護(hù)弱點(diǎn)的機(jī)器發(fā)起進(jìn)攻。</p><p>　　1．漏洞型圖片木馬 偽裝型圖片木馬，無論再怎么偽裝，都只是象圖片而已

66、，并不是真正的圖片。但是利用系統(tǒng)的漏洞，攻擊者可以制作出真正的夾帶木馬的圖片。文件確實(shí)是一張圖片，但當(dāng)用戶打開圖片時(shí)，就中招了。 微軟曾經(jīng)發(fā)布了一個(gè)圖片漏洞安全公告（MS04-028），這個(gè)漏洞是個(gè)高危漏洞，利用這個(gè)漏洞制作出來的圖片木馬不用打開，只要Windows的圖片預(yù)覽功能開著，隱藏在圖片中的木馬就會(huì)自動(dòng)運(yùn)行，危害十分巨大。利用此漏洞的攻擊者，不需要將木馬捆綁在圖片中，只需把木馬的下載地址嵌入圖片中，當(dāng)預(yù)覽圖片時(shí)，就會(huì)在

67、后臺聯(lián)網(wǎng)下載并運(yùn)行木馬。如果用最新升級的殺毒軟件查毒，可以報(bào)告有木馬，但是這些圖片和無毒的圖片放在一起，普通的用戶一般很難發(fā)現(xiàn)。 圖示2： </p><p>　　2. 偽裝型圖片木馬病毒 偽裝成“圖片”的木馬，無論其外表多么具有迷惑性，但木馬的本質(zhì)是改變不了的。木馬必然是個(gè)可執(zhí)行的程序文件，其后綴名是“exe”，這是不可更改的。因此，要避免偽裝成“圖片”的木馬程序的迷惑，可以從文件名上

68、入手。 在資源管理器窗口中，點(diǎn)擊菜單“工具”→“文件夾選項(xiàng)”，打開文件夾選項(xiàng)對話框。切換到“查看”選項(xiàng)卡，在中間的列表中，去掉對“隱藏受保護(hù)的操作系統(tǒng)文件夾”項(xiàng)和“隱藏已知文件類型的擴(kuò)展名”項(xiàng)的選擇，并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”。</p><p><b>　　圖示3：</b></p><p>　　3. 圖片木馬病毒漏洞補(bǔ)丁 &#

69、160;   圖片木馬的攻擊可以說是無處不在，不過從上面的介紹，可以看出圖片木馬除了偽裝外，基本上是靠系統(tǒng)漏洞進(jìn)行攻擊的。因此，防范圖片木馬攻擊，可以從為系統(tǒng)打補(bǔ)丁兩方面入手。各種溢出類型圖片木馬，實(shí)際上是利用了系統(tǒng)漏洞進(jìn)行攻擊的，因此用戶要想防范圖片木馬，以及以后出現(xiàn)的各種新木馬，最好的辦法就是及時(shí)進(jìn)行系統(tǒng)更新。 為了節(jié)約系統(tǒng)資源，許多用戶往往會(huì)將自動(dòng)更新關(guān)掉，但是長期下來許多系統(tǒng)漏洞都沒有打補(bǔ)丁。要補(bǔ)上

70、這些漏洞，需要裝的補(bǔ)丁太多了，哪些是重要的，哪些是不必要安裝的，哪些會(huì)造成系統(tǒng)沖突的，很難分辨。我們可以利用一些特殊的安全工具，比如360安全衛(wèi)生之類的，給系統(tǒng)打補(bǔ)丁就不是什么難事了。 運(yùn)行360安全衛(wèi)生，在界面中間會(huì)顯示系統(tǒng)中是否有未打的重要安全補(bǔ)丁程序。切換到“修復(fù)系統(tǒng)漏洞”，點(diǎn)擊“查看并修復(fù)系統(tǒng)漏洞”按鈕，軟件會(huì)自動(dòng)掃描系統(tǒng)中的漏洞，然后就可以點(diǎn)擊更新系統(tǒng)補(bǔ)丁。選擇系統(tǒng)中未安裝的重要安全漏洞，或簡介“全選”，再點(diǎn)擊“

71、下載并修復(fù)”按鈕，就會(huì)自動(dòng)下載并安裝所有的補(bǔ)丁程序了。</p><p>　　圖示4： </p><p>　　4.3.1巧用命令行 徹查電腦中的惡意軟件</p><p><b>　　Netstat命令</b></p><p>　　在命令行提示符運(yùn)行之后，下一步運(yùn)行“netstat”指令，并且注意觀察你的系統(tǒng)的監(jiān)聽

72、端口。許多人都知道“netstat –na”命令能夠提供這臺機(jī)器的TCP和UDP端口列表。在這個(gè)指令的參數(shù)中增加一個(gè)“o”能夠顯示使用一個(gè)端口的每一個(gè)進(jìn)行的ID。使用XP SP2，增加一個(gè)“b”參數(shù)將顯示使用每一個(gè)端口的EXE文件的名稱，以及裝載用于與網(wǎng)絡(luò)進(jìn)行通訊的動(dòng)態(tài)鏈接庫。不過，要熟悉參數(shù)“b”的用法。這個(gè)功能能夠消耗一些重要的CPU使用時(shí)間，你的處理器的60%至100%的使用時(shí)間最多是1分鐘。但是，等一下，還有更多的事情。假如你要

73、看一下端口使用狀況和看看它如何變化的，在netstat指令后面增加一個(gè)空格，然后輸入一個(gè)整數(shù)，如“netstat –nao 1”，這個(gè)指令將以這個(gè)整數(shù)的頻率運(yùn)行。在這個(gè)例子中，它是每隔一秒運(yùn)行一次。這個(gè)現(xiàn)實(shí)將不斷地在屏幕上顯示出來，</p><p><b>　　圖示5：</b></p><p>　　當(dāng)然, 要甄別使用TCP和UDP端口的惡意軟件，你需要知道一個(gè)系統(tǒng)的正

74、常端口使用應(yīng)該是什么樣子。要搜索一臺機(jī)器上使用的端口，要搜索Google 中的具體端口。此外，微軟有Windows客戶機(jī)和服務(wù)器使用的通用端口列表。你還可以搜索與微軟和第三方應(yīng)用程序有關(guān)的端口以及正式分配的端口列表。</p><p><b>　　Dir命令</b></p><p>　　檢查自動(dòng)開始文件夾，查看從那里開始的任何出人意料的程序，也是一種聰明的方法。運(yùn)行非常

75、熟悉的老的“dir”指令，使用/A參數(shù)能夠顯示任何有屬性設(shè)置或者沒有屬性設(shè)置的文件，以及隱藏的文件和非隱藏的文件。</p><p>　　一些惡意軟件向本地機(jī)器增加一個(gè)賬戶。因此，運(yùn)行“net users”命令是很重要的。這個(gè)命令可以檢查系統(tǒng)定義的賬戶。此外，由于一些僵尸電腦向本地管理組增加一個(gè)賬戶，因此一定要運(yùn)行“l(fā)ocalgroup administrators”(本地組管理器)命令檢查 這個(gè)特定的組的身份。

76、你知道在你的管理員組中的全部人員嗎?下面的圖表顯示了一些輸出的例子。</p><p><b>　　圖示6：</b></p><p>　　這幾個(gè)命令能夠提供對一臺Windows計(jì)算機(jī)的更深入的了解。不過，要進(jìn)行練習(xí)才能做得更好。花一些時(shí)間分析干凈的系統(tǒng)，這樣，你就會(huì)更熟悉“正常的” Windows機(jī)器是什么樣子。然后，你對惡意軟件發(fā)出的異常的東西就會(huì)更敏感。有了準(zhǔn)備和練

77、習(xí)之后，命令行技巧能夠顯著提高你對Windows機(jī)器的理解，使你能夠準(zhǔn)備好與惡意軟件進(jìn)行激烈的戰(zhàn)斗?！　?lt;/p><p>　　4.3.2 網(wǎng)銀木馬病毒原理與防殺辦法</p><p><b>　　木馬原理分析</b></p><p>　　這不最近又出現(xiàn)了新的網(wǎng)銀木馬Win32.Troj.BankJp.a.221184程序，該木馬病毒可通過第三方存

78、諸設(shè)備及網(wǎng)絡(luò)進(jìn)行傳播，會(huì)給系統(tǒng)、網(wǎng)絡(luò)銀行用戶帶來損失。該木馬一但進(jìn)駐系統(tǒng)，首先會(huì)自行尋找系統(tǒng)中的“個(gè)人銀行專業(yè)版”的窗口并盜取網(wǎng)銀賬號密碼，然后該病毒將自動(dòng)替換大量系統(tǒng)文件，并進(jìn)行鍵盤記錄，進(jìn)爾利用刪除破壞系統(tǒng)userinit.exe關(guān)鍵登陸程序，達(dá)到系統(tǒng)重啟后反復(fù)登陸操作界面，讓系統(tǒng)無法進(jìn)入桌面，以至于無法正常運(yùn)行，該病毒木馬能實(shí)現(xiàn)自動(dòng)更新，嚴(yán)重威脅用戶財(cái)產(chǎn)及隱私安全。</p><p>　　在一臺被感染的計(jì)算機(jī)

79、中，該病毒會(huì)在其文件目錄%windir%下生存mshelp.dll、mspw.dll動(dòng)態(tài)鏈接庫文件，并隨后在注冊表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加服務(wù)項(xiàng)power，并嘗試備份文件%system%\calc.exe -> %system%\dllcache\c_20218.nls、%system%\userinit.exe -> %system%

80、\dllcache\c_20911.nls及%windir%\notepad.exe -> %system%\dllcache\c_20601.nls文件。成功后病毒開始自動(dòng)查找并替換系統(tǒng)目錄%windir%下的calc.exe文件;%system%目錄下的userinit.exe、notepad.exe文件;%system%\dllcache目錄下的calc.exe、userinit.exe及notepad.exe文件，以達(dá)深度

81、隱藏。</p><p>　　至此，病毒木馬仍然沒有結(jié)束自身加固功能，會(huì)在系統(tǒng)根目錄下創(chuàng)建RECYCLER..文件夾，用于存放病毒備份。</p><p><b>　　病毒清理過程</b></p><p>　　當(dāng)網(wǎng)絡(luò)用戶不小心感染其病毒木馬時(shí)，應(yīng)盡快將其清理出計(jì)算機(jī)，依據(jù)各自的計(jì)算機(jī)應(yīng)急病毒處理能力，此處提供兩種方案：</p><

82、;p>　　方法一、利用遠(yuǎn)程注冊表修復(fù)</p><p>　　由于系統(tǒng)缺省情況下開啟了遠(yuǎn)程注冊表服務(wù)項(xiàng)，處在局域網(wǎng)中的用戶可通過遠(yuǎn)程連接注冊表編輯器修改被感染的電腦注冊表。首先在開始菜單的運(yùn)行項(xiàng)中輸入regedit調(diào)出注冊表編輯器，單擊其中的文件菜單打開連接網(wǎng)絡(luò)注冊表項(xiàng)目，在其中輸入被感染的計(jì)算機(jī)IP地址\\機(jī)器名(注：連接成功后如果對方計(jì)算機(jī)需要用戶名及密碼則需輸入)。</p><p>

83、;　　隨后依次找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.exe程序項(xiàng)刪除(注：有時(shí)這里無顯視，找不到被病毒劫持的userinit.exe項(xiàng)目，那么此時(shí)就須找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Window

84、s NT\CurrentVersion\Winlogon，修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值</p><p>　　C:\WINDOWS\system32\UserInit.exe)，如發(fā)現(xiàn)userinit.exe被病毒破壞，則可使用windows安裝光盤啟動(dòng)后進(jìn)行快速修復(fù)，以達(dá)還原userinit.exe程序文件。</p><p>　　最后將使用DOS命令將被病毒重命名并移動(dòng)的c

85、_20911.nls復(fù)位，命令如下：copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32完成后重啟電腦，系統(tǒng)即可恢復(fù)正常。</p><p>　　方法二、WINPE光盤引導(dǎo)后修復(fù)</p><p>　　首先用戶在電腦啟動(dòng)時(shí)按delete鍵進(jìn)入到BIOS，設(shè)置計(jì)算機(jī)從光盤啟動(dòng)(注：各種品牌的計(jì)算機(jī)進(jìn)入BIOS的略有差異

86、，請參照穩(wěn)各自說明書進(jìn)行操作)，設(shè)置完成后將WinPE光盤塞入到光驅(qū)動(dòng)，然后按F10鍵保存退出，此時(shí)計(jì)算機(jī)將重新啟動(dòng)，進(jìn)入光盤啟動(dòng)界面。</p><p>　　進(jìn)入到WinPE虛擬出的系統(tǒng)后，找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.

87、exe程序項(xiàng)刪除，找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon，修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值C:\WINDOWS\system32\UserInit.exe，隨后瀏覽WinPE光盤，將I386目錄下的system32文件夾中的userinit.exe程序復(fù)制到系統(tǒng)所在盤的windows\system32路徑下

88、。</p><p>　　最后取出光盤，重新啟動(dòng)計(jì)算機(jī)，被病毒劫持的userinit.exe將恢復(fù)正常，操作系統(tǒng)將正常啟動(dòng)，反復(fù)重啟不再出現(xiàn)。</p><p><b>　　病毒預(yù)防</b></p><p>　　病毒并不可怕，可怕的病毒制造者之心。網(wǎng)絡(luò)用戶須時(shí)時(shí)提高警惕以防財(cái)產(chǎn)損失，而面對網(wǎng)絡(luò)初期用戶，那么到底可利有何種方法進(jìn)行防毒、防盜呢?其實(shí)，

89、在網(wǎng)絡(luò)中并沒有真正安全的系統(tǒng)，只有相對安全的平臺。如果要將來自網(wǎng)絡(luò)中的威脅降低到最小，那么須注意下列幾點(diǎn)：</p><p>　　一、不要隨意打開莫名網(wǎng)站與即時(shí)通訊軟件中傳遞的網(wǎng)址，更不得隨意接收并點(diǎn)擊陌生人或來歷不明的程序(包含：EXE可執(zhí)行文件、圖片、動(dòng)畫、電影、音樂、電子圖書等)，以防中招。</p><p>　　二、開啟系統(tǒng)中的補(bǔ)丁自動(dòng)更新功能，并設(shè)置每天進(jìn)行本機(jī)所安裝的安全軟件升級功

90、能，以達(dá)最新版本。在網(wǎng)絡(luò)中進(jìn)行通訊時(shí)，要開啟防火墻，沒有安裝防火墻的用戶須盡快安裝，這樣可以防止當(dāng)電腦中出現(xiàn)陌生程序進(jìn)行遠(yuǎn)程連接時(shí)，事先早知道并進(jìn)行審核。</p><p>　　三、要不定期的利用殺毒軟件或第三方安全工具，對計(jì)算機(jī)全盤進(jìn)行掃描檢測，對即時(shí)通迅用戶，如：QQ，要利用QQ醫(yī)生對系統(tǒng)打入補(bǔ)丁，并檢測盜號程序，避免從此處中毒中馬感染網(wǎng)絡(luò)銀行。</p><p>　　4.3.3 查殺IM

91、G病毒的常用方法及防范措施</p><p>　　全面了解IMG病毒的幾大特征</p><p>　　對于兇猛的IMG病毒，目前殺毒軟件僅僅能夠識別該病毒，而不能在保證系統(tǒng)正常運(yùn)行的基礎(chǔ)上將該病毒刪除，這意味著對付IMG病毒只能用手工方法查殺，或者是用技術(shù)手段防范IMG病毒感染網(wǎng)吧客戶機(jī)。要想查殺病毒，必須認(rèn)清病毒的本質(zhì)，殺毒軟件的工作原來亦是如此。</p><p>　

92、　其實(shí)，IMG病毒與此前流行的“機(jī)器狗”病毒有著一些相似，只要用戶點(diǎn)擊了帶有病毒的WEB頁面，機(jī)器將會(huì)感染IMG病毒。感染了IMG病毒的機(jī)器還會(huì)自動(dòng)下載帶有ARP欺騙代碼的盜號木馬，而且可以穿透市面上大部分還原系統(tǒng)。具體來說，IMG病毒主要有以下幾個(gè)特征：</p><p><b>　　圖示7：  </b></p><p>　　1、破壞還原系統(tǒng)：如同肆虐瘋狂的

93、“機(jī)器狗”病毒一樣，IMG病毒也是通過userinit.exe文件穿透還原系統(tǒng)。目前，IMG病毒可以破壞市面上大部分還原系統(tǒng)，包括硬件類的還原卡，以及諸如Deepfreeze、還原精靈、虛擬還原等各種還原軟件。在成功穿透還原軟件或還原卡之后，IMG病毒還會(huì)再次修改還原軟件，并將病毒自身存儲(chǔ)在操作系統(tǒng)中，從而完成傳播過程。</p><p>　　2、生成IGM進(jìn)程：當(dāng)計(jì)算機(jī)感染了IMG病毒之后，系統(tǒng)進(jìn)程中會(huì)生成一個(gè)名

94、字為“IGM.EXE”的進(jìn)程，磁盤分區(qū)也會(huì)有auto.exe和autorun.inf兩個(gè)文件。在msconfig的啟動(dòng)項(xiàng)中，也會(huì)有IGM.EXE。IMG病毒還具備自動(dòng)啟動(dòng)和自我保護(hù)的特點(diǎn)，這為手工清除IMG病毒增加了一定的難度。</p><p>　　3、自動(dòng)下載木馬軟件：當(dāng)IMG病毒進(jìn)入操作系統(tǒng)之后，會(huì)自動(dòng)登錄互聯(lián)網(wǎng)，下載木馬軟件。目前，IMG病毒會(huì)自動(dòng)下載盜號軟件，以及一些破壞類的木馬軟件。下載盜號軟件之后，通

95、過ARP欺騙盜取網(wǎng)吧顧客的游戲帳號資料，</p><p>　　以及諸如QQ、MSN等即時(shí)通訊軟件的密碼;而破壞類的木馬軟件，則是不斷向整個(gè)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，致使網(wǎng)絡(luò)阻塞，達(dá)到讓網(wǎng)吧網(wǎng)絡(luò)癱瘓的目的。</p><p>　　4、生成系統(tǒng)服務(wù)：感染了IMG病毒的電腦，還會(huì)在系統(tǒng)的msconfig選項(xiàng)中生成一個(gè)名字為“4f506c9e”的服務(wù)，該服務(wù)隨操作系統(tǒng)自動(dòng)運(yùn)行。</p><

96、p>　　從IMG病毒的特征可以看出，該病毒與“機(jī)器狗”病毒實(shí)在是太像了。其實(shí)，破壞還原系統(tǒng)的方式，IMG病毒和“機(jī)器狗”是異曲同工之妙。下面，不妨尋找一下IMG病毒的弱點(diǎn)，這樣才能對癥下藥，消滅IMG病毒。</p><p>　　通過特征尋找IMG病毒的弱點(diǎn)</p><p>　　可以破壞市面上大部分還原卡和還原軟件，這是IMG病毒的破壞力，但并不是其弱點(diǎn)。對于“機(jī)器狗”或IMG這樣破壞

97、力非常強(qiáng)的病毒，我們所做的是全面防范，而不是等病毒進(jìn)入操作系統(tǒng)之后，再設(shè)法查殺。</p><p>　　對于破壞力非常強(qiáng)大的IMG病毒來說，其傳播途徑就是其弱點(diǎn)。下面，我們不妨耐心的尋找IMG病毒的傳播途徑。目前，IMG病毒的常用傳播渠道，一是利用MSN、QQ等即時(shí)通訊軟件，二是利用一些含有惡意代碼的網(wǎng)頁。國內(nèi)權(quán)威的殺毒軟件廠商對IMG病毒進(jìn)行研究后發(fā)現(xiàn)，IMG病毒與“機(jī)器狗”病毒一樣，也是通過IE瀏覽器及一些應(yīng)用

98、軟件的漏洞進(jìn)行傳播的。被IMG病毒利用的漏洞有如下幾個(gè)</p><p>　　1、微軟的MS07-017漏洞：最初，“機(jī)器狗”病毒是利用該漏洞進(jìn)行傳播的。查看微軟的安全公告可以得知，一些病毒會(huì)利用操作系統(tǒng)的ANI漏洞加載木馬，而這一過程恰恰是病毒作者對微軟操作系統(tǒng)MS07-017漏洞的“巧妙”應(yīng)用。如果網(wǎng)吧機(jī)器沒有安裝MS07-017補(bǔ)丁，一旦訪問了病毒代碼，IMG病毒便會(huì)不請自來。眾所周知，一些網(wǎng)站多多少少都會(huì)有

99、漏洞，既便是一些大網(wǎng)站，也會(huì)有漏洞，病毒作者在網(wǎng)站植入病毒代碼之后，沒有安裝MS07-017補(bǔ)丁的機(jī)器就會(huì)感染IMG病毒</p><p><b>　　圖示8：</b></p><p>　　MS07-017安全漏洞簡介</p><p>　　2、MS06-014漏洞：這個(gè)漏洞是很多網(wǎng)管都熟悉的一個(gè)系統(tǒng)漏洞，即讓IE自動(dòng)下載一個(gè)軟件并執(zhí)行。如果系統(tǒng)存

100、在該漏洞的話，一旦計(jì)算機(jī)訪問到帶有IMG病毒代碼的網(wǎng)頁，會(huì)利用IE瀏覽器的自動(dòng)下載并執(zhí)行的漏洞，就這樣，IMG病毒成功的進(jìn)入計(jì)算機(jī)了。</p><p>　　3、應(yīng)用軟件的漏洞：暴風(fēng)影音II是使用比較頻繁的一個(gè)多媒體應(yīng)用軟件，該軟件有一個(gè)高風(fēng)險(xiǎn)漏洞，成為IMG病毒傳播的一個(gè)通道。暴風(fēng)影音II的漏洞發(fā)生在一個(gè)activex控件上，當(dāng)安裝了暴風(fēng)影音II的用戶在瀏覽黑客 精心構(gòu)造的包含惡意代碼的網(wǎng)頁后，會(huì)下載任意程序在用

101、戶系統(tǒng)上以當(dāng)前用戶上下文權(quán)限運(yùn)行。除了暴風(fēng)影音II之外，Web迅雷、迅雷及Realplayer都該漏洞。仔細(xì)觀察不難發(fā)現(xiàn)，上述應(yīng)用軟件中都內(nèi)置了可以瀏覽網(wǎng)頁的組件，也就是說，應(yīng)用軟件的漏洞，最終還是IE漏洞引起的。</p><p>　　切斷傳播途徑消滅IMG病毒</p><p>　　其實(shí)再兇猛的病毒也無非是一個(gè)程序，IMG病毒也不例外。IMG病毒的本質(zhì)是一種具有破壞力和傳染性的軟件。由于I

102、MG病毒是利用系統(tǒng)及應(yīng)用軟件的漏洞進(jìn)行傳播的，補(bǔ)好這些漏洞，意味著可以將病毒拒之門外，消滅IMG病毒也就是如何將IMG病毒遠(yuǎn)離計(jì)算機(jī)。</p><p>　　具體來說，消滅IMG病毒方法，主要有以下幾種措施：</p><p>　　及時(shí)更新系統(tǒng)漏洞補(bǔ)?。簭纳衔牡臄⑹隹梢缘弥W(wǎng)吧計(jì)算機(jī)之所以會(huì)感染IMG病毒，因?yàn)椴僮飨到y(tǒng)和一些應(yīng)用軟件存在著諸多的安全漏洞，為此，網(wǎng)管必須在第一時(shí)間內(nèi)安裝操作系統(tǒng)

103、和應(yīng)用軟件的安全補(bǔ)丁。</p><p>　　2、 使用第三方瀏覽器：由于IMG病毒的傳播全部是針對IE瀏覽器的漏洞引起的，為此，使用第三方瀏覽器，可以大大降低IMG病毒的感染機(jī)率。在使用第三方瀏覽器的時(shí)候，必須保證瀏覽器沒有使用IE瀏覽器的內(nèi)核，因?yàn)槭褂肐E瀏覽器內(nèi)核的第三方瀏覽器，仍舊具有IE瀏覽器所具備的漏洞。</p><p>　　3、 及時(shí)更新病毒庫：IMG病毒入侵計(jì)算機(jī)的過

104、程，其實(shí)是通過一個(gè)含有惡意代碼網(wǎng)頁進(jìn)行傳播的過程。對于一些惡意代碼，一些殺毒軟件是有查殺能力的。為此，要想準(zhǔn)確的查殺帶有IMG病毒的惡意網(wǎng)頁代碼，必須及時(shí)更新病毒庫。</p><p>　　上述方法，僅僅可以防范IMG病毒的入侵。由于病毒有多個(gè)變種，這注定了上述方法不會(huì)真正杜絕IMG病毒的入侵，為此，企業(yè)技術(shù)人員還要做出感染了IMG病毒后的防范工作。因?yàn)橐坏C(jī)器感染了IMG病毒，企業(yè)的整個(gè)網(wǎng)絡(luò)都要受到影響，這時(shí)，企

105、業(yè)技術(shù)人員必須用MAC地址與網(wǎng)關(guān)地址綁定的方法，降低IMG病毒對企業(yè)網(wǎng)絡(luò)的破壞作用，防范ARP欺騙的方法這里不再詳細(xì)敘述。</p><p><b>　　第五章 總結(jié)與展望</b></p><p>　　5.1本研究工作總結(jié)</p><p>　　本文對各種常見的網(wǎng)絡(luò)攻擊和防御方法進(jìn)行了具體的分析 ,它們都還需要進(jìn)一步的研究提高。同時(shí),隨著網(wǎng)絡(luò)及其應(yīng)

106、用的廣泛發(fā)展,安全威脅呈現(xiàn)出攻擊的種類、方法和總體數(shù)量越來越多、破壞性和系統(tǒng)恢復(fù)難度也越來越大。這就要求我們對攻擊方法有更 進(jìn)一步的研究;對安全策略有更完善的發(fā)展,建立起一個(gè)全面的、可靠的、高效的安全體系。任何一種事物都有雙面性，計(jì)算機(jī)安全也不例外。計(jì)算機(jī)木馬病毒雖然破壞力非常強(qiáng)大，可是木馬病毒自身也有弱點(diǎn)，找到它們的弱點(diǎn)，消滅它們將不再困難。一直以來，企業(yè)防范病毒過于依賴還原卡或還原軟件，而忽視了還原卡或還原軟件也有缺點(diǎn)。還有一些企業(yè)

107、的技術(shù)人員，在防范如IMG病毒時(shí)，一味的封殺帶有惡意代碼的網(wǎng)頁，忽視了操作系統(tǒng)或應(yīng)用軟件的漏洞致使計(jì)算機(jī)感染IMG病毒的真正元兇。為此，遇到諸如IMG和“機(jī)器狗”這樣破壞性非常強(qiáng)的病毒，一定要認(rèn)清病毒的本質(zhì)，然后找到病毒的弱點(diǎn)，根據(jù)病毒弱點(diǎn)消滅病毒，防范病毒。由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對其訪問與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的

108、網(wǎng)絡(luò)安全防范體系</p><p>　　5.2計(jì)算機(jī)安全防范展望</p><p>　　1、綜合利用多種編程新技術(shù)的病毒將成為主流</p><p>　　2、ARP病毒仍將成為局域網(wǎng)最大禍害</p><p>　　3、病毒將全面進(jìn)入驅(qū)動(dòng)級</p><p>　　計(jì)算機(jī)病毒表現(xiàn)出的眾多新特征以及發(fā)展趨勢表明，目前我國計(jì)算機(jī)網(wǎng)絡(luò)安全