導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇木馬檢測(cè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

論文關(guān)鍵詞：檢測(cè)木馬,查殺木馬,網(wǎng)站木馬,自動(dòng)掃描,定位

 

引言:木馬是網(wǎng)站開(kāi)發(fā)者與網(wǎng)站管理員所煩惱卻難以清除的木馬,在當(dāng)前,還沒(méi)有一個(gè)殺毒軟件或者是檢測(cè)軟件能夠準(zhǔn)確的標(biāo)記出木馬的位置并將其清除,所以開(kāi)發(fā)一套自動(dòng)檢測(cè)asp木馬的軟件很有意義,可以為管理員對(duì)網(wǎng)站的維護(hù)節(jié)約大量的時(shí)間和精力.這樣的軟件應(yīng)該被大多數(shù)網(wǎng)站管理員所接受并使用,這套系統(tǒng)為網(wǎng)站的安全性增添了一項(xiàng)保障.

假如一套網(wǎng)站維護(hù)的很好,卻入了很多有害代碼,對(duì)瀏覽者造成危害,或者對(duì)該網(wǎng)站的用戶造成損失,那這么絕對(duì)不是一套好的網(wǎng)站.但是如果花費(fèi)大量的時(shí)間在大量的網(wǎng)頁(yè)文件中找出小小的木馬文件或者僅僅是一句簡(jiǎn)單的有害語(yǔ)句,基本是不可能的.而自動(dòng)檢測(cè)系統(tǒng)則大大簡(jiǎn)化了這個(gè)過(guò)程,通過(guò)簡(jiǎn)單的操作,進(jìn)行簡(jiǎn)單的掃描,可以定位并給出使用者可能得被感染的文件(由于軟件并不等于人,所以不能否認(rèn)會(huì)出現(xiàn)失誤,所以需要使用者進(jìn)行最后判斷),對(duì)于每一個(gè)網(wǎng)站管理員來(lái)說(shuō)是必要的.

正文：軟件系統(tǒng)應(yīng)該具有的特點(diǎn)是:準(zhǔn)確,必須準(zhǔn)確的掃描出可能含有危險(xiǎn)代碼的文件;快速,不能花費(fèi)管理員大量的時(shí)間;簡(jiǎn)單,管理員只需要經(jīng)過(guò)簡(jiǎn)單的點(diǎn)擊就可以使程序運(yùn)行.

下面將圍繞這三個(gè)特性研究這套軟件的實(shí)現(xiàn).

簡(jiǎn)單性:程序有一個(gè)設(shè)置掃描目錄的控件,此控件在程序運(yùn)行時(shí)自動(dòng)顯示上次掃描目錄;

設(shè)置一個(gè)開(kāi)始掃描按鈕以使使用者快速開(kāi)始;為了更好的精確定位,還需要加入兩個(gè)設(shè)置參數(shù)的文本框,分別是一級(jí)密碼和二級(jí)密碼;為了靈活使用加密強(qiáng)度,增加加密次數(shù)選擇框;為了使信息更精確,加入過(guò)濾設(shè)置選擇框(僅僅簡(jiǎn)單的選擇項(xiàng)+一個(gè)用來(lái)存放臨時(shí)信息的輸入框即可);再有就是一個(gè)篩選按鈕(掃描結(jié)束進(jìn)行篩選).這些控件的作用在下文提到.

這樣的設(shè)置可以使使用者以簡(jiǎn)單的操作或得很好的使用效果,我們的最終目的是找出角落里的木馬,而使操作最簡(jiǎn)化、資源占用最小化.

快速:占用大量的資源和執(zhí)行時(shí)間,是每個(gè)軟件都不應(yīng)該有的.似乎效率和任務(wù)量成反比,但在此程序中,卻有所變化,如果要處理大量數(shù)據(jù),進(jìn)行大量運(yùn)算(這在查找木馬中是必須的,需要進(jìn)行運(yùn)算密匙,在下文將提到),而要執(zhí)行速度很快,使高級(jí)語(yǔ)言與匯編語(yǔ)言結(jié)合是一個(gè)不錯(cuò)的方法,所以此程序應(yīng)該在必要的地方(如大量使用得函數(shù))以使用匯編代碼.

如果要使程序執(zhí)行速度快,內(nèi)聯(lián)函數(shù)也應(yīng)該使用,內(nèi)聯(lián)函數(shù)可以使重復(fù)使用量大的函數(shù)得到很高的運(yùn)算速度,因此,以一定的程序體積來(lái)?yè)Q取執(zhí)行效率,還是比較明智的.

內(nèi)聯(lián)函數(shù)與匯編語(yǔ)言的結(jié)合使用可以提高程序的執(zhí)行效率,可以縮短程序執(zhí)行時(shí)間,提高速度.

準(zhǔn)確:這是此系統(tǒng)的核心部分,沒(méi)有準(zhǔn)確性一切都是空談.如何使定位準(zhǔn)確呢?這里采用標(biāo)記的方法.即把每個(gè)本地文件標(biāo)記一個(gè)自定義的特殊的字符,在檢測(cè)時(shí)只要比較每個(gè)文件中的特殊字符,就可以定位木馬文件.

由于這種機(jī)制,字符的設(shè)置顯得很重要,設(shè)置一個(gè)難以辨識(shí)的、每個(gè)文件中都不相同的字符是必須的.如果每個(gè)字符都不相同,使用文件名與使用者定義密碼結(jié)合是一個(gè)解決思路,先取得文件名,在加上用戶定義的密碼進(jìn)行特定運(yùn)算,組成特定字符插入到此文件中;在檢測(cè)時(shí),如果特定字符與運(yùn)算字符不同或者未發(fā)現(xiàn)特定字符,可以定位此文件被修改過(guò),而且是未授權(quán)的修改,那么基本就是木馬了.為什么說(shuō)基本呢?因?yàn)樘囟ㄗ址赡苁欠欠ㄈ肭终咝薷牡?企圖迷惑管理員,但是入侵者有耐心修改的文件,我想管理員也一定有耐心將他修改回來(lái),畢竟,這種文件是少數(shù)的.為了保證對(duì)這種INSERT型木馬的精確定位,在計(jì)算特殊字符時(shí),還需要加入文件體積.這樣,不管入侵者修改了什么地方,都可以被定位.這這種運(yùn)算方式是可選的,并且是可設(shè)置選擇規(guī)律的.為了防止入侵者的惡意迷惑管理員,這個(gè)需要加入一個(gè)規(guī)律的設(shè)置,如果是入侵者惡意修改文件體積,那么體積的大小,和修改時(shí)間,應(yīng)該是有規(guī)律的(至少修改的時(shí)間會(huì)限定在幾天之內(nèi),這個(gè)時(shí)間看你掃描頻率,在此期間的修改程度和掃描精確度隨著掃描頻率的升高而升高),只要進(jìn)行篩選,就可以略過(guò)這些惡意迷惑的修改,并進(jìn)行恢復(fù).如果加上這些惡意修改可能略過(guò)一些INSERT木馬,怎么辦呢?此時(shí)就要在此進(jìn)行篩選了,為了迷惑管理員,入侵者不會(huì)把其他文件都INSER木馬,所以只要篩選出代碼中的無(wú)規(guī)律項(xiàng),留下的應(yīng)該就是木馬.為什么說(shuō)應(yīng)該呢?因?yàn)槿肭终呖赡芗尤胍恍┱５恼Z(yǔ)句,例如asp中的,這樣,既有規(guī)律,又更改了文件體積,而且沒(méi)有影響特征字符.但是,我們的軟件總是會(huì)比他高一籌,我們?cè)俅魏Y選,過(guò)濾掉那些預(yù)定為安全語(yǔ)句的文件,只留下帶有未經(jīng)安全允許的,有規(guī)律的,符合語(yǔ)法的文件,這些文件應(yīng)該為數(shù)不多,管理員可以自己判斷.

上面的內(nèi)容可以看出,檢測(cè)層層深入,每次掃描計(jì)算量很大,導(dǎo)致程序的執(zhí)行時(shí)間過(guò)長(zhǎng),但是我們的inline函數(shù)和匯編的結(jié)合使用,彌補(bǔ)了這一缺點(diǎn).這樣,我們的程序很有效率.

特定字符的設(shè)定也極其重要.必須是與每個(gè)文件相關(guān)的,可以重新計(jì)算的,每個(gè)文件的特定字符是不同的.前面已經(jīng)提到,特定字符的組成部分應(yīng)該是:使用者定義一級(jí)密匙+使用者定義二級(jí)密匙+文件體積+文件名.然而,計(jì)算方式是會(huì)被入侵者知道的,所以加密方式必須合理,以使入侵者即便得到加密原理,也不能解密.我們先把文件名+體積+一級(jí)密碼組合.組合方式有六種:文件名體積一級(jí)密碼、文件名一級(jí)密碼體積、體積文件名一級(jí)密碼、體積一級(jí)密碼文件名、一級(jí)密碼體積文件名、一級(jí)密碼文件名體積.這個(gè)方式由使用者選擇.然后我們使用二級(jí)密碼進(jìn)行逐個(gè)加密,二級(jí)密碼應(yīng)該設(shè)置的合適,它的設(shè)置應(yīng)該對(duì)照于組合的密碼的長(zhǎng)度,二級(jí)密碼最好設(shè)置為組合字符長(zhǎng)度的1/5-1/4,不是1/5,也不是1/4,而在其之間,這樣,密碼長(zhǎng)度合適,而且加密次數(shù)也達(dá)到4、5次,而且,加密時(shí)兩個(gè)字符串沒(méi)有同時(shí)結(jié)束.這樣加密就有了強(qiáng)度.

加密的過(guò)程很簡(jiǎn)單,組合字符串與二級(jí)密碼相互相加,當(dāng)二級(jí)密碼到結(jié)尾時(shí),以二級(jí)密碼的第一個(gè)字符開(kāi)始與二級(jí)密碼結(jié)尾時(shí)組合字符的字符的下一個(gè)字符開(kāi)始繼續(xù)加密,一直到組合字符串的結(jié)束,當(dāng)然,為了使密匙更強(qiáng)大,使用者可以定義加密的次數(shù),二次或者更多.比如組合字符串是:index305abcdefghig(文件名+體積+一級(jí)密碼),二級(jí)密碼是:1234那么加密次數(shù)為1的加密結(jié)果為:jpgiy539bdfhfhjlji.把這個(gè)特定字符放入文件中,檢測(cè)時(shí)以重新計(jì)算出的結(jié)果與預(yù)先放置的對(duì)比,如果正確,就篩選掉,如果錯(cuò)誤,就選擇進(jìn)行下一步處理.入侵者通過(guò)這個(gè)字符串要計(jì)算出一級(jí)密碼和二級(jí)密碼是很難的,需要大量的時(shí)間.而且,一級(jí)密碼和二級(jí)密碼的長(zhǎng)度是未定的,就算得到成百上千個(gè)這樣的字符串和對(duì)應(yīng)的文件,解密也需要大量的時(shí)間,而這段時(shí)間可能超過(guò)幾個(gè)月,甚至超過(guò)年.在這段時(shí)間里,密碼已經(jīng)更換過(guò),所以安全性非常棒!

我們加密的過(guò)程不太復(fù)雜,但是計(jì)算量很大.由定義的密碼和文件信息組合成密匙,放入文件,以檢測(cè)文件的改動(dòng);同時(shí)為了防止入侵者的惡意迷惑,還進(jìn)行了幾次篩選,把虛假信息大量篩選掉.匯編語(yǔ)言和高級(jí)語(yǔ)言的結(jié)合及inline函數(shù)的使用,大大彌補(bǔ)了程序執(zhí)行效率的問(wèn)題.為使用者節(jié)約大量資源和時(shí)間.

篇2

“藍(lán)牙間諜”簡(jiǎn)介

這是一款最初在塞班系統(tǒng)上使用的java軟件，它通過(guò)利用藍(lán)牙通訊標(biāo)準(zhǔn)中的缺點(diǎn)，使用藍(lán)牙通訊技術(shù)來(lái)控制別人的手機(jī)。在雙方進(jìn)行藍(lán)牙連接的情況下，可以查看對(duì)方手機(jī)所有信息、控制對(duì)方的手機(jī)打電話、讓手機(jī)自帶的多媒體播放器播放音樂(lè)以及更改對(duì)方手機(jī)的情景模式。原則上可以控制任何開(kāi)啟藍(lán)牙狀態(tài)的手機(jī)，當(dāng)然針對(duì)不同型號(hào)版本的手機(jī)，軟件的控制程度會(huì)有所不同。

“藍(lán)牙間諜”實(shí)測(cè)

雖然這款軟件聽(tīng)上去十分強(qiáng)大，不過(guò)它究竟是如何進(jìn)行遠(yuǎn)程控制的呢？筆者在此使用自己的塞班系統(tǒng)對(duì)一個(gè)MTK手機(jī)（大部分國(guó)產(chǎn)山寨手機(jī)所用的系統(tǒng)）進(jìn)行了一番實(shí)際測(cè)試。

這款軟件的安裝過(guò)程與普通的手機(jī)java軟件安裝沒(méi)任何區(qū)別：把軟件從電腦上拷到手機(jī)中，然后通過(guò)手機(jī)文件管理器選中，開(kāi)始安裝，因?yàn)檫@款軟件沒(méi)有涉及到任何手機(jī)高級(jí)權(quán)限的使用，所以用戶不必?fù)?dān)心安裝完成后可以在自己的程序管理界面中發(fā)現(xiàn)一個(gè)名為“BT HACK”的快捷方式，運(yùn)行即可開(kāi)啟藍(lán)牙間諜的監(jiān)控界面。不過(guò)需要注意的一點(diǎn)是，用戶必須在開(kāi)啟藍(lán)牙組狀態(tài)的情況下再運(yùn)行該程序，否則軟件會(huì)出現(xiàn)未知的錯(cuò)誤提示。

打開(kāi)監(jiān)控軟件，在軟件中選擇“連接\掃描目標(biāo)”，當(dāng)成功掃描到開(kāi)啟了藍(lán)牙的目標(biāo)手機(jī)后，選擇手機(jī)進(jìn)行連接即可（如圖1）。假如目標(biāo)主機(jī)和控制端之間曾經(jīng)使用藍(lán)牙傳輸過(guò)東西，那么就不會(huì)出現(xiàn)首次藍(lán)牙連接的配對(duì)提示，而是僅僅出現(xiàn)一個(gè)“有連接加入”的無(wú)聲信息。

藍(lán)牙間諜就這樣連接成功，并且在目標(biāo)手機(jī)中沒(méi)有安裝任何額外軟件的情況下進(jìn)行監(jiān)控了，藍(lán)牙間諜可控制的內(nèi)容與先前介紹的差不多，比如運(yùn)行“信息”選項(xiàng)，里面就能看到目標(biāo)手機(jī)的電話號(hào)碼、手機(jī)版本等硬件信息（如圖2），不過(guò)在筆者的測(cè)試過(guò)程中發(fā)現(xiàn)imei那里顯示空白，大概因?yàn)椴煌姹臼謾C(jī)的差異會(huì)導(dǎo)致某些具體信息讀取不完整。

運(yùn)行“呼叫”選項(xiàng)后，用戶可以隨便寫(xiě)個(gè)號(hào)碼讓目標(biāo)手機(jī)撥打。筆者隨便填了個(gè)10086，果然朋友的手機(jī)就開(kāi)始自動(dòng)撥打10086。至于藍(lán)牙間諜所宣傳的如多媒體播放器的播放、停止等功能都沒(méi)有實(shí)際效果，看樣子除了基本的功能外，該軟件對(duì)使用山寨系統(tǒng)的手機(jī)并不能提供太多的功能。最后，當(dāng)筆者測(cè)試提取短信內(nèi)容時(shí)，發(fā)現(xiàn)目標(biāo)手機(jī)中存儲(chǔ)因?yàn)榱颂嗟亩绦艃?nèi)容，所以直接導(dǎo)致雙方的手機(jī)都處在了假死的狀態(tài)。直到目標(biāo)機(jī)器主動(dòng)關(guān)閉了藍(lán)牙狀態(tài)后，雙方的手機(jī)才恢復(fù)正常，不過(guò)即使在提取過(guò)程被中斷，控制端還是可以顯示已經(jīng)提取了的大部分短信內(nèi)容（如圖3）。

接下來(lái)筆者再找了一臺(tái)此前沒(méi)有進(jìn)行過(guò)藍(lán)牙連接的塞班手機(jī)，在連接的過(guò)程中目標(biāo)手機(jī)接到提示需要進(jìn)行配對(duì)（如圖4）。在配對(duì)成功的情況下控制端對(duì)手機(jī)不但取得了完全的控制權(quán)，而且在“信息”選項(xiàng)中里面也可以清楚地看到imei碼等此前無(wú)法顯示的信息了。由此可見(jiàn)，雖然不同版本之間的手機(jī)連接導(dǎo)致許多輔助功能無(wú)效，但是基本功能控制完全可以不受系統(tǒng)和版本差異的影響。

最后，筆者找來(lái)了另一個(gè)智能系統(tǒng)手機(jī)：安卓Gphone進(jìn)行測(cè)試，安卓手機(jī)的藍(lán)牙功能一直都為人詬病，如果安卓用戶不主動(dòng)安裝獨(dú)立的藍(lán)牙傳輸軟件的話，默認(rèn)只能連藍(lán)牙耳機(jī)。沒(méi)想到這個(gè)被詬病的藍(lán)牙功能卻給它帶來(lái)了不錯(cuò)的安全性。雖然筆者的軟件能成功搜索出對(duì)方的手機(jī)，但根本無(wú)法連接，更談不上之后的控制了。

“藍(lán)牙間諜”防范事項(xiàng)

通過(guò)筆者簡(jiǎn)單的測(cè)試來(lái)看，藍(lán)牙間諜雖然沒(méi)有互聯(lián)網(wǎng)上炒作的那樣無(wú)所不能，但的確能做到介紹中的幾乎所有的主要功能，例如撥打號(hào)碼或提取短信內(nèi)容，這已經(jīng)是非常過(guò)分的隱私級(jí)操作了，所以其危害性還是不小。而且這款軟件最可怕的一點(diǎn)是，它不像傳統(tǒng)病毒那樣往被害者電腦中植入文件，手機(jī)殺毒軟件對(duì)它毫無(wú)辦法，因此如何防范這個(gè)功能強(qiáng)大的木馬型軟件是一個(gè)必須要考慮的問(wèn)題：

首先，由于這個(gè)軟件入侵用戶的手機(jī)是無(wú)聲無(wú)息的，但是它必須要通過(guò)藍(lán)牙來(lái)控制，要在雙方處于藍(lán)牙連接的情況下才行，所以最好的一個(gè)辦法就是手機(jī)在平時(shí)不要開(kāi)啟藍(lán)牙功能。

篇3

關(guān)鍵詞：港口項(xiàng)目；智能大門(mén)信息系統(tǒng)；集裝箱破損檢測(cè)系統(tǒng)；電子車(chē)牌識(shí)別系統(tǒng) 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類(lèi)號(hào)：U656 文章編號(hào)：1009-2374（2016）22-0050-03 DOI：10.13535/ki.11-4406/n.2016.22.025

1 集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)簡(jiǎn)介及工作原理

集裝箱車(chē)輛通過(guò)智能大門(mén)時(shí)無(wú)需停車(chē)，集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)通過(guò)紅外對(duì)射傳感器自動(dòng)檢測(cè)集裝箱位置、高清攝像機(jī)進(jìn)行圖像采集，系統(tǒng)自動(dòng)識(shí)別GB/T 1836-1997標(biāo)準(zhǔn)的集裝箱號(hào)碼，通過(guò)識(shí)別集裝箱前、后、左、右集裝箱各面上的集裝箱號(hào)碼、ISO箱型代碼，系統(tǒng)可以自動(dòng)識(shí)別并分辨出集裝箱種類(lèi)單個(gè)20英尺、40/45/48英尺、2個(gè)20英尺集裝箱、標(biāo)準(zhǔn)箱、冷藏箱、超高箱、超長(zhǎng)箱、框架箱等，全天候箱號(hào)識(shí)別率98%以上，識(shí)別時(shí)間≤2s，ISO代碼識(shí)別率98%以上，識(shí)別時(shí)間≤2s；對(duì)于識(shí)別錯(cuò)誤的集裝箱通過(guò)校驗(yàn)碼的校驗(yàn)算法給出識(shí)別錯(cuò)誤的提醒，通知工作人員進(jìn)行人工處理，從而極大地提升了閘口的通行效率。

集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)組成包括工作站1臺(tái)、集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)軟件1套、網(wǎng)絡(luò)交換機(jī)1臺(tái)、高清攝像機(jī)4部、LED補(bǔ)光燈4部、PLC1套、紅外對(duì)射傳感器4套，如圖1所示，紅外觸發(fā)器連接PLC輸入端，PLC通過(guò)串口和工作站進(jìn)行連接，高清攝像機(jī)通過(guò)網(wǎng)絡(luò)交換機(jī)和工作站連接。

集裝箱車(chē)輛通過(guò)閘口時(shí)由于集裝箱遮擋紅外對(duì)射傳感器狀態(tài)發(fā)生變化，集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)軟件通過(guò)檢測(cè)PLC數(shù)據(jù)變化，確定圖像抓拍時(shí)機(jī)由高清攝像機(jī)進(jìn)行圖像抓拍，系統(tǒng)在抓拍的圖像中通過(guò)識(shí)別算法識(shí)別出集裝箱號(hào)碼、ISO箱型代碼。

2 集裝箱破損檢測(cè)系統(tǒng)簡(jiǎn)介及工作原理

集裝箱車(chē)輛通過(guò)智能大門(mén)時(shí)無(wú)需停車(chē)，集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)通過(guò)紅外對(duì)射傳感器自動(dòng)檢測(cè)集裝箱位置、高清攝像機(jī)進(jìn)行圖像采集，圖像包括了集裝箱前、后、左、右、頂部5個(gè)面的圖像，然后工作人員由集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)客戶端定義集裝箱破損類(lèi)型、人工根據(jù)采集的圖像進(jìn)行集裝箱驗(yàn)殘操作，系統(tǒng)的主要作用：工作人員在寬敞明亮的監(jiān)控中心通過(guò)查看采集的集裝箱圖像進(jìn)行驗(yàn)殘作業(yè)替代了工作人員在閘口通過(guò)檢查橋或者檢查梯進(jìn)行人工集裝箱驗(yàn)殘的作業(yè)方式，把工作人員從川流不息的閘口解放出來(lái)，避免了車(chē)輛尾氣污染，同時(shí)也消滅了安全隱患。

集裝箱破損檢測(cè)系統(tǒng)組成包括工作站1臺(tái)、集裝箱破損檢測(cè)系統(tǒng)系統(tǒng)軟件（包括采集端和客戶端）1套、網(wǎng)絡(luò)交換機(jī)1臺(tái)、高清攝像機(jī)4部、LED補(bǔ)光燈4部、PLC1套、紅外對(duì)射傳感器6套，如圖2所示，紅外觸發(fā)器連接PLC輸入端，PLC通過(guò)串口和工作站進(jìn)行連接，高清攝像機(jī)通過(guò)網(wǎng)絡(luò)交換機(jī)和工作站連接。

集裝箱車(chē)輛通過(guò)閘口時(shí)由于集裝箱遮擋紅外對(duì)射傳感器狀態(tài)發(fā)生變化，集裝箱破損檢測(cè)系統(tǒng)采集端軟件通過(guò)檢測(cè)PLC數(shù)據(jù)變化，確定圖像抓拍時(shí)機(jī)由高清攝像機(jī)進(jìn)行圖像抓拍，工作人員通過(guò)破損檢測(cè)系統(tǒng)客戶端查看采集的集裝箱圖像進(jìn)行驗(yàn)殘作業(yè)。

3 現(xiàn)狀分析及存在問(wèn)題

3.1 現(xiàn)狀分析

目前在智能大門(mén)系統(tǒng)中集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)和破損檢測(cè)系統(tǒng)作為獨(dú)立的系統(tǒng)運(yùn)行，通過(guò)數(shù)據(jù)接口由閘口系統(tǒng)和其他系統(tǒng)采集的數(shù)據(jù)進(jìn)行整合。

3.2 存在問(wèn)題

（1）集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)和集裝箱破損檢測(cè)系統(tǒng)硬件存在重復(fù)和浪費(fèi)；（2）客戶無(wú)法通過(guò)集裝箱號(hào)碼直接查詢破損檢測(cè)記錄需要由閘口系統(tǒng)建立兩者的關(guān)聯(lián)性；（3）安裝部署比較麻煩。

4 改進(jìn)計(jì)劃

針對(duì)現(xiàn)狀進(jìn)行經(jīng)過(guò)分析，在喀麥隆智能大門(mén)系統(tǒng)中實(shí)施集裝箱號(hào)碼自動(dòng)識(shí)別與破損檢測(cè)系統(tǒng)的集成，目標(biāo)：（1）集成后的系統(tǒng)1套系統(tǒng)實(shí)現(xiàn)箱號(hào)碼自動(dòng)識(shí)別與破損檢測(cè)系統(tǒng)的功能；（2）最大限度地進(jìn)行設(shè)備共用；（3）數(shù)據(jù)進(jìn)行整合，一條記錄包括集裝箱號(hào)碼識(shí)別結(jié)果和集裝箱破損檢測(cè)結(jié)果。

需要解決的主要問(wèn)題：（1）結(jié)合集裝號(hào)碼自動(dòng)識(shí)別和破損檢測(cè)系統(tǒng)車(chē)輛圖像抓拍流程，進(jìn)行流程的整合重構(gòu)；（2）集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)算法調(diào)整。

結(jié)合集裝箱號(hào)碼自動(dòng)識(shí)別和破損檢測(cè)系統(tǒng)圖像抓拍流程及安裝部署方式進(jìn)行系統(tǒng)整合及流程優(yōu)化，通過(guò)流程調(diào)整滿足集裝箱號(hào)碼自動(dòng)識(shí)別及破損檢測(cè)兩個(gè)系統(tǒng)的需要。

4.1 調(diào)整后的系統(tǒng)組成

工作站1臺(tái)、集裝箱號(hào)碼自動(dòng)識(shí)別+破損檢測(cè)系統(tǒng)系統(tǒng)軟件1套、網(wǎng)絡(luò)交換機(jī)1臺(tái)、高清攝像機(jī)6部、LED補(bǔ)光燈6部、PLC1套、紅外對(duì)射傳感器6套，如圖3所示：

4.2 調(diào)整后設(shè)備安裝方式

調(diào)整后設(shè)備安裝方式如圖4所示。

4.3 調(diào)整后流程說(shuō)明

對(duì)于40/45/48英尺、2個(gè)20英尺集裝箱，圖像抓拍分4個(gè)步驟完成，其中用于箱號(hào)識(shí)別圖像6張，用于集裝箱破損檢測(cè)圖像8張。

對(duì)于20英尺集裝箱，圖像抓拍分3個(gè)步驟完成，其中用于箱號(hào)識(shí)別圖像4張，用于集裝箱破損檢測(cè)圖像6張。

5 集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)算法調(diào)整

采用新的車(chē)輛圖像抓拍流程后，集裝箱前、后圖像由共用的高清攝像機(jī)進(jìn)行抓拍，由于集裝箱破損檢測(cè)圖像需要覆蓋整個(gè)集裝面，箱號(hào)識(shí)別在圖像主要覆蓋集裝箱號(hào)碼區(qū)域，為了加快集裝箱號(hào)碼識(shí)別的速度和準(zhǔn)確性，對(duì)集裝箱號(hào)碼自動(dòng)識(shí)別系統(tǒng)算法進(jìn)行調(diào)整，可以設(shè)定圖像的識(shí)別區(qū)域，當(dāng)識(shí)別區(qū)域內(nèi)沒(méi)有集裝箱號(hào)碼時(shí)再進(jìn)行全圖識(shí)別，通過(guò)測(cè)試單張圖片識(shí)別速度比起全圖識(shí)別提升100%，以200萬(wàn)像素圖片為例識(shí)別時(shí)間由平均500毫秒左右提升到200毫秒左右。

6 結(jié)語(yǔ)

篇4

網(wǎng)頁(yè):“我本善良”

很多人在遇到網(wǎng)站威脅時(shí),可能都?xì)w罪于網(wǎng)站,但其實(shí)網(wǎng)站的制作者更是冤枉,除了很少網(wǎng)站是黑客專(zhuān)門(mén)制作的掛馬陷阱網(wǎng)站外,包含木馬的網(wǎng)站都是被黑客利用(見(jiàn)圖1),本身就是受害者。黑客會(huì)利用掃描工具查找網(wǎng)站的漏洞,并實(shí)施攻擊,獲取管理權(quán)限,然后就可以輕松植入木馬了。例如在網(wǎng)站中插入:＜iframe src=網(wǎng)頁(yè)木馬地址width=0 height=0＞＜/iframe代碼＞,這樣當(dāng)電腦訪問(wèn)網(wǎng)站時(shí)就會(huì)自動(dòng)彈出木馬程序(現(xiàn)在網(wǎng)頁(yè)木馬可以實(shí)現(xiàn)后臺(tái)運(yùn)行模式),讓瀏覽的電腦用戶運(yùn)行木馬。

要保安全 需知“管馬”三招

了解了這個(gè)情況,很多人又開(kāi)始問(wèn)了,木馬如何防御呢?那些殺毒軟件怎么知道網(wǎng)頁(yè)被植入木馬了呢?其實(shí)網(wǎng)頁(yè)木馬不是新的品種,它和普通木馬的區(qū)別只是載體的不同,以前都是放在文件、郵件中,現(xiàn)在大家的防范意識(shí)高了,瀏覽網(wǎng)頁(yè)的頻率也高了,所以黑客將木馬代碼放在網(wǎng)頁(yè)上,增加感染機(jī)會(huì)。

理解了這個(gè),安全軟件防御網(wǎng)頁(yè)木馬的過(guò)程也就出來(lái)了,他們防御的原理是一樣的,只是途徑要首先在網(wǎng)絡(luò)傳輸中完成。目前,主要的方式有以下三種

1.攻擊代碼識(shí)別:如果網(wǎng)頁(yè)中被植入了木馬,那么在傳輸中,安全軟件就可以先檢測(cè)代碼,如果它的特征屬于木馬,那么就會(huì)提示網(wǎng)頁(yè)不安全,并進(jìn)行攔截了。

2.行為識(shí)別:前面是簡(jiǎn)單的代碼特征檢測(cè),而高級(jí)一點(diǎn)的方式就是分析代碼的行為,不單單考察特征。如有程序?qū)ο到y(tǒng)目錄進(jìn)行修改,一起刪除整個(gè)分區(qū)文件等這些危險(xiǎn)操作,那么殺毒軟件都會(huì)認(rèn)為有病毒攻擊,從而加以阻止這些網(wǎng)頁(yè)。

3.中毒清理:網(wǎng)頁(yè)木馬攻擊成功后會(huì)釋放木馬程序到用戶計(jì)算機(jī)中,木馬程序一般會(huì)生成DLL文件、修改注冊(cè)表等操作,殺毒軟件檢測(cè)到這些,就會(huì)提示用戶某些程序是病毒程序,與用戶互動(dòng)實(shí)現(xiàn)對(duì)木馬運(yùn)行的阻止(見(jiàn)圖2),算是網(wǎng)頁(yè)木馬的后期防御。

火速連接

關(guān)于網(wǎng)頁(yè)木馬的防御可以參考2009年第12期《網(wǎng)馬隨處“跑” 手動(dòng)如何“逃”》和11期《欲練此功必先自功 另類(lèi)電腦防護(hù)》。

現(xiàn)代社會(huì)現(xiàn)代化“管馬”

針對(duì)網(wǎng)馬攻擊還有一種簡(jiǎn)潔的防御軟件:外掛式瀏覽器防御軟件,如金山網(wǎng)盾。此類(lèi)防御系統(tǒng)對(duì)木馬的防御原理與殺毒軟件的防火墻基本相似,訪問(wèn)含有網(wǎng)馬的網(wǎng)站時(shí),外掛防御系統(tǒng)會(huì)對(duì)IE、FireFox等瀏覽器的Cookies進(jìn)行內(nèi)容過(guò)濾保護(hù),從而過(guò)濾網(wǎng)馬自我釋放的程序,從攻擊行為防御上實(shí)現(xiàn)對(duì)0-DAYS類(lèi)的攻擊防護(hù)。

進(jìn)入云安全時(shí)代,網(wǎng)頁(yè)木馬的防御也有了新的應(yīng)用,例如,諾頓、邁克菲等安裝軟件增加了網(wǎng)頁(yè)安全的預(yù)檢測(cè)機(jī)制,當(dāng)我們?cè)诠雀璧人阉饕嬷兴阉鲿r(shí)(谷歌也推出過(guò)安全瀏覽功能,是利用算法來(lái)分析網(wǎng)頁(yè)本身,有威脅的會(huì)給予提示),在結(jié)果信息的返回過(guò)程中,安裝在瀏覽器中的安全組件會(huì)先對(duì)返回的網(wǎng)頁(yè)進(jìn)行預(yù)讀,并首先對(duì)比已知的安全網(wǎng)頁(yè)名單,如果沒(méi)有則重新檢測(cè),一旦發(fā)現(xiàn)威脅就將結(jié)果直接在搜索結(jié)果類(lèi)別中列出(見(jiàn)圖3),這也就是使用這類(lèi)軟件搜索時(shí),結(jié)果出現(xiàn)的時(shí)間會(huì)落后一秒的原因。云安全的引入,將這些檢測(cè)更加快速,例如一旦發(fā)現(xiàn)某個(gè)網(wǎng)站掛馬,那么這個(gè)信息就會(huì)迅速與全球用戶共享,其他人瀏覽到該網(wǎng)頁(yè)就會(huì)提示有木馬,阻止網(wǎng)民瀏覽,當(dāng)然,當(dāng)檢測(cè)到該網(wǎng)站消除了木馬威脅后,這個(gè)網(wǎng)站也就又放行了。

篇5

[關(guān)鍵詞] 掃描 權(quán)限 后門(mén)

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門(mén)留置等，下面僅就包括筆者根據(jù)近年來(lái)在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn)，就入侵攻擊的對(duì)策及檢測(cè)情況做一闡述。

對(duì)入侵攻擊來(lái)說(shuō)，掃描是信息收集的主要手段，所以通過(guò)對(duì)各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來(lái)檢測(cè)攻擊的思路

掃描時(shí),攻擊者首先需要自己構(gòu)造用來(lái)掃描的IP數(shù)據(jù)包,通過(guò)發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對(duì)其響應(yīng),通過(guò)響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測(cè)到系統(tǒng)遭受了網(wǎng)絡(luò)掃描?？紤]下面幾種思路：

1.特征匹配。找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過(guò)分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù)，來(lái)檢測(cè)端口掃描的存在。如UDP端口掃描嘗試：content:“sUDP”等等。

2.統(tǒng)計(jì)分析。預(yù)先定義一個(gè)時(shí)間段，在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過(guò)某一預(yù)定值的連接次數(shù)，認(rèn)為是端口掃描。

3.系統(tǒng)分析。若攻擊者對(duì)同一主機(jī)使用緩慢的分布式掃描方法，間隔時(shí)間足夠讓入侵檢測(cè)系統(tǒng)忽略，不按順序掃描整個(gè)網(wǎng)段，將探測(cè)步驟分散在幾個(gè)會(huì)話中，不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常，不導(dǎo)致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過(guò)上面的簡(jiǎn)單的統(tǒng)計(jì)分析方法不能檢測(cè)到它們的存在，但是從理論上來(lái)說(shuō)，掃描是無(wú)法絕對(duì)隱秘的，若能對(duì)收集到的長(zhǎng)期數(shù)據(jù)進(jìn)行系統(tǒng)分析，可以檢測(cè)出緩慢和分布式的掃描。

二、檢測(cè)本地權(quán)限攻擊的思路

行為監(jiān)測(cè)法、文件完備性檢查、系統(tǒng)快照對(duì)比檢查是常用的檢測(cè)技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

1.行為監(jiān)測(cè)法。由于溢出程序有些行為在正常程序中比較罕見(jiàn)，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測(cè)法可以檢測(cè)未知溢出程序,但實(shí)現(xiàn)起來(lái)有一定難度，不容易考慮周全。行為監(jiān)測(cè)法從以下方面進(jìn)行有效地監(jiān)測(cè):一是監(jiān)控內(nèi)存活動(dòng)，跟蹤內(nèi)存容量的異常變化，對(duì)中斷向量進(jìn)行監(jiān)控、檢測(cè)。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競(jìng)爭(zhēng)條件攻擊。

監(jiān)測(cè)敏感目錄和敏感類(lèi)型的文件。對(duì)來(lái)自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對(duì)這些目錄的文件寫(xiě)入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫(xiě)入。監(jiān)測(cè)來(lái)自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對(duì)數(shù)據(jù)庫(kù)服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過(guò)系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測(cè)注冊(cè)表的訪問(wèn)，采用特征碼檢測(cè)的方法，阻止木馬和攻擊程序的運(yùn)行。

2.文件完備性檢查。對(duì)系統(tǒng)文件和常用庫(kù)文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對(duì)重要文件做先驗(yàn)快照,檢測(cè)對(duì)這些文件的訪問(wèn),對(duì)這些文件的完備性作檢查,結(jié)合行為檢測(cè)的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對(duì)比檢查。對(duì)系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗(yàn)快照， 檢測(cè)對(duì)這些系統(tǒng)變量的訪問(wèn)，防止篡改導(dǎo)向攻擊。

4.虛擬機(jī)技術(shù)。通過(guò)構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對(duì)照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。這一過(guò)程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方，再結(jié)合特征碼掃描法，將已知溢出程序代碼特征庫(kù)的先驗(yàn)知識(shí)應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中，完成對(duì)一個(gè)特定攻擊行為的判定。

虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒(méi)有拋棄已知的特征知識(shí)庫(kù)。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動(dòng)態(tài)和靜態(tài)分析相結(jié)合的境界，在一個(gè)階段里面，極大地提高了已知攻擊和未知攻擊的檢測(cè)水平，以相對(duì)比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會(huì)有相當(dāng)?shù)倪M(jìn)展。目前國(guó)際上公認(rèn)的、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

三、后門(mén)留置檢測(cè)的常用技術(shù)

1.對(duì)比檢測(cè)法。檢測(cè)后門(mén)時(shí)，重要的是要檢測(cè)木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會(huì)采取各種各樣的隱藏措施，因此檢測(cè)木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。 常用的檢測(cè)木馬可疑蹤跡和異常行為的方法包括對(duì)比檢測(cè)法、文件防篡改法、系統(tǒng)資源監(jiān)測(cè)法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開(kāi)新文件前,首先對(duì)該文件的身份信息進(jìn)行檢驗(yàn)以確保沒(méi)有被第三方修改。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

篇6

[關(guān)鍵詞] 木馬 傳播途徑 攻擊步驟

一、什么是木馬

木馬本質(zhì)上是一種經(jīng)過(guò)偽裝的欺騙性程序,它通過(guò)將自身偽裝吸引用戶下載執(zhí)行,從而破壞或竊取使用者的重要文件和資料。

木馬程序與一般的病毒不同,它不會(huì)自我繁殖,也并不“刻意”地去感染其他文件,它是一種后臺(tái)控制程序。它的主要作用是向施種木馬者打開(kāi)被種者電腦的門(mén)戶,使其可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控其電腦。

二、木馬的組成

一個(gè)完整的木馬系統(tǒng)以下幾部分組成:

1.硬件部分。建立木馬連接所必須的硬件實(shí)體,一般由控制端、服務(wù)端和INTERNET三部分組成。

2.軟件部分。實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序,主要包括控制端程序、木馬程序和木馬配置程序等。

3.建立連接的必要元素。構(gòu)建服務(wù)端和控制端連接所必須的元素。主要包括控制端IP、服務(wù)端IP、控制端端口以及木馬端口等。

三、木馬的發(fā)展歷史

木馬的發(fā)展大致經(jīng)歷了三個(gè)階段,第一階段的木馬也叫偽裝型病毒。這種木馬通過(guò)偽裝成一個(gè)合法性程序誘騙用戶上當(dāng)。世界上第一個(gè)計(jì)算機(jī)木馬是出現(xiàn)在1986年的PC-Write木馬,它偽裝成共享軟件PC-Write的2.72版本,一旦用戶運(yùn)行該木馬程序,硬盤(pán)被格式化。第二代木馬叫AIDS型木馬,它最早出現(xiàn)于1989年。雖然它不會(huì)破壞數(shù)據(jù),但能將硬盤(pán)加密鎖死,然后提示受感染用戶往制定賬戶匯款以解除硬盤(pán)加密。隨著Internet的普及,出現(xiàn)了兼?zhèn)鋫窝b和傳播兩種特征,并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)的第三代木馬――網(wǎng)絡(luò)傳播性木馬。這個(gè)階段的木馬已經(jīng)具備了“后門(mén)”功能。所謂后門(mén),就是一種可以為計(jì)算機(jī)系統(tǒng)秘密開(kāi)啟訪問(wèn)入口的程序。一旦被安裝,攻擊者就能繞過(guò)安全程序進(jìn)入系統(tǒng),收集系統(tǒng)中的重要信息;同時(shí),第三代木馬還具有鍵盤(pán)記錄功能,記錄用戶所有的擊鍵內(nèi)容,形成包含用戶重要信息的擊鍵記錄日志文件發(fā)送給種馬者。這一代木馬比較有名的有國(guó)外的BO2000(BackOrifice)和國(guó)內(nèi)的冰河木馬。它們的共同特點(diǎn)是:基于網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序,具有搜集信息、執(zhí)行系統(tǒng)命令、重新設(shè)置機(jī)器、重新定向等功能。

四、木馬的傳播途徑

1.通過(guò)電子郵件的附件傳播。

2.通過(guò)下載文件傳播。主要通過(guò)兩種方式:一種是直接把下載鏈接指向木馬程序;另一種是將木馬捆綁到需要下載的文件中。

3.通過(guò)網(wǎng)頁(yè)傳播。木馬程序加載在網(wǎng)頁(yè)內(nèi),使瀏覽器自動(dòng)下載并執(zhí)行。

4.通過(guò)聊天工具傳播。

五、木馬攻擊的步驟

木馬實(shí)現(xiàn)網(wǎng)絡(luò)入侵大致可分為配置、傳播、運(yùn)行、信息泄露、連接建立和遠(yuǎn)程控制六步:

1.配置木馬

一個(gè)設(shè)計(jì)成熟的木馬,必須有木馬配置程序,木馬配置主要實(shí)現(xiàn)以下兩方面功能:

(1)木馬偽裝。木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬,通常采用以下幾種偽裝手段:①修改圖標(biāo)。將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo),以迷惑網(wǎng)絡(luò)用戶。②捆綁文件。將木馬捆綁到一個(gè)安裝程序上,隨著該程序的安裝,木馬被植入系統(tǒng)。③出錯(cuò)顯示。當(dāng)服務(wù)端用戶打開(kāi)木馬程序時(shí),彈出一個(gè)錯(cuò)誤提示框,伴隨用戶的操作木馬便植入系統(tǒng)。④定制端口。新式木馬通過(guò)定制端口的手段,控制端用戶可以在1024―65535之間任選一個(gè)數(shù)字作為木馬端口,增大木馬檢測(cè)的難度。⑤自我銷(xiāo)毀。新式木馬安裝后,原文件將自動(dòng)銷(xiāo)毀,木馬的來(lái)源就很難找到,增大木馬檢測(cè)難度。⑥木馬更名。新式木馬更改植入系統(tǒng)的木馬文件名,增大木馬檢測(cè)難度。

(2)信息反饋。木馬配置程序?qū)π畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置。

2.傳播木馬

木馬的傳播方式第四節(jié)已詳細(xì)介紹。

3.運(yùn)行木馬

木馬在服務(wù)端自動(dòng)安裝,設(shè)置觸發(fā)條件后,就可啟動(dòng)運(yùn)行。木馬的運(yùn)行方式主要包括以下幾種:

(1)自啟動(dòng)激活木馬

①在C:WINDOWS目錄下的配置文件system.ini中設(shè)置命令行啟動(dòng)木馬。②控制端用戶與服務(wù)端建立連接后,將已添加木馬啟動(dòng)命令的文件上傳到服務(wù)端覆蓋C盤(pán)根目錄下的Autoexec.bat和Config.sys。③啟動(dòng)菜單:在“開(kāi)始――程序――啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。

(2)觸發(fā)式激活木馬

①通過(guò)修改打開(kāi)HTML,EXE,ZIP等文件啟動(dòng)命令的鍵值來(lái)啟動(dòng)。②捆綁文件:控制端用戶將木馬文件和某一應(yīng)用程序捆綁在一起,然后上傳到服務(wù)端覆蓋原文件,這樣即使木馬被刪除,只要運(yùn)行捆綁木馬的應(yīng)用程序,木馬將再次被安裝。③自動(dòng)播放式:修改AutoRun.inf中的open命令來(lái)指向木馬程序。

4.信息泄露

成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制,是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息,并通過(guò)E-MAIL,IRC或ICO的方式告知控制端用戶。從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息,其中最重要的是服務(wù)端的IP,獲取參數(shù),控制端方可與服務(wù)端建立連接。

5.建立連接

木馬連接的建立必須滿足以下條件:一是服務(wù)端已安裝木馬程序;二是控制端和服務(wù)端都必須接入網(wǎng)絡(luò);三是獲取服務(wù)端IP地址。

獲得服務(wù)端IP地址的方法主要有兩種:信息反饋和IP掃描。信息反饋前面已經(jīng)介紹,這里主要介紹IP掃描的過(guò)程。其過(guò)程如下:控制端掃描IP地址段中相應(yīng)木馬端口號(hào)開(kāi)放的主機(jī),并將該主機(jī)的地址記入IP地址列表,同時(shí)向該主機(jī)發(fā)出連接信號(hào),服務(wù)端木馬程序收到信號(hào)后立即作出響應(yīng),控制端收到響應(yīng)信號(hào)后,開(kāi)啟一個(gè)隨即端口并與服務(wù)端木馬端口建立連接。

6.遠(yuǎn)程控制

控制端與木馬程序建立連接后,通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。控制端可以竊取的權(quán)限有以下幾種:

(1)竊取密碼。通過(guò)鍵盤(pán)記錄功能,竊取用戶的各種密碼或偵測(cè)一切以明文形式或者存儲(chǔ)在CACHE中的密碼。 (2)文件操作?？刂贫擞蛇h(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除、篡改、上傳等一系列操作。(3)修改注冊(cè)表?？刂贫丝扇我庑薷姆?wù)端注冊(cè)表,包括刪除,新建或修改主鍵、子鍵鍵值,甚至鎖住服務(wù)端的注冊(cè)表。(4)系統(tǒng)操作。對(duì)服務(wù)端操作主要包括重啟或關(guān)閉操作系統(tǒng)、斷開(kāi)網(wǎng)絡(luò)連接以及控制鼠標(biāo)或鍵盤(pán)等。

六、結(jié)束語(yǔ)

目前,針對(duì)木馬的檢測(cè)和清除技術(shù)在不斷地提高,但是木馬的變更手段也日益猖狂,正所謂“道高一尺魔高一丈”。在計(jì)算機(jī)的游戲規(guī)則中,總是先有木馬出現(xiàn),才有查殺和清除木馬的方法。作為一個(gè)新時(shí)代的計(jì)算機(jī)用戶,只有深入地了解木馬的攻擊手段,不斷積累經(jīng)驗(yàn),才能盡量減少木馬造成的損失,給自己創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)生活方式。

參考文獻(xiàn):

[1]張友生.計(jì)算機(jī)病毒與木馬程序剖析.北京:科海電子出版社,2003.

[2]陳什云.黑客攻防對(duì)策.清華大學(xué)出版社,2002.

[3]Donald L.Pipkin著.朱崇高譯.攔截黑客-計(jì)算機(jī)安全入門(mén)(第二版).清華大學(xué)出版社,2003.

篇7

作為國(guó)內(nèi)群眾知名度最高的安防軟件,瑞星一直都是話題比較多的公司。但這并不會(huì)影響到瑞星的產(chǎn)品,雖然瑞星的產(chǎn)品在一些設(shè)計(jì)上可謂褒貶不一(比如桌面上的小獅子,有人喜歡,有人不喜歡),但總體來(lái)說(shuō),瑞星的產(chǎn)品還是相當(dāng)不錯(cuò)的。而且近年來(lái),瑞星一直走在國(guó)內(nèi)安防領(lǐng)域的前沿,率先提出了所謂“安全云”概念,領(lǐng)先進(jìn)入安防軟件互聯(lián)網(wǎng)化領(lǐng)域,而此前的一些諸如主動(dòng)防御之類(lèi)的概念,瑞星也同樣處于領(lǐng)先地位,率先提出概念,推出新產(chǎn)品。

前不久推出的瑞星全功能安全軟件2010是一款基于瑞星“云安全”系統(tǒng)設(shè)計(jì)的新一代殺毒軟件。其“整體防御系統(tǒng)”可將所有互聯(lián)網(wǎng)威脅攔截在用戶電腦以外。應(yīng)用“云安全”的全新木馬引擎、“木馬行為分析”和“啟發(fā)式掃描”,結(jié)合“云安全”系統(tǒng)的自動(dòng)分析處理病毒流程,能第一時(shí)間極速將未知病毒的解決方案實(shí)時(shí)提供給用戶。

瑞星全功能安防軟件2010提供的“木馬入侵?jǐn)r截”功能是基于網(wǎng)頁(yè)木馬行為分析的技術(shù),通過(guò)檢測(cè)網(wǎng)頁(yè)中的惡意程序和惡意代碼,可以有效地?cái)r截網(wǎng)頁(yè)惡意腳本或病毒,阻止病毒通過(guò)掛馬網(wǎng)站進(jìn)行傳播。此功能是支持瑞星“云安全”計(jì)劃的主要技術(shù)之一。瑞星2010版中的“木馬行為防御”功能采用的是“動(dòng)態(tài)行為啟發(fā)式檢測(cè)技術(shù)”,所謂動(dòng)態(tài),就是當(dāng)未知木馬病毒運(yùn)行后,在其進(jìn)行破壞行為時(shí)(如病毒正在替換系統(tǒng)文件、寫(xiě)啟動(dòng)項(xiàng)、記錄鍵盤(pán)信息等)進(jìn)行動(dòng)態(tài)攔截并清除未知病毒。動(dòng)態(tài)行為啟發(fā)式檢測(cè)技術(shù)是通過(guò)對(duì)“云安全”系統(tǒng)截獲的數(shù)千萬(wàn)木馬和其他類(lèi)型病毒的惡意行為進(jìn)行分析,把木馬和其他病毒的行為進(jìn)行提煉,如果有最新未知病毒入侵電腦進(jìn)行破壞活動(dòng)時(shí),動(dòng)態(tài)阻止其偷竊和破壞作用,使其失效。

此外,作為瑞星整體防御系統(tǒng)的一部分,瑞星全功能安全軟件2010推出了“應(yīng)用程序加固”功能。該功能在第一次安裝的時(shí)候,會(huì)掃描出用戶計(jì)算機(jī)系統(tǒng)內(nèi)有哪些程序需要加固。當(dāng)應(yīng)用程序啟動(dòng)后,瑞星安防系統(tǒng)會(huì)檢測(cè)該程序的不正常行為(例如:word.exe不會(huì)去執(zhí)行一個(gè)啟動(dòng)rundlllexe的操作),如果發(fā)現(xiàn)有不正常行為該程序?qū)⒉粫?huì)啟動(dòng)。應(yīng)用程序加固功能是針對(duì)一些被病毒經(jīng)常利用,作為入侵途徑的應(yīng)用程序,通過(guò)監(jiān)控它們的操作行為,確定是否存在惡意代碼利用它們的防御脆弱點(diǎn)進(jìn)行入侵,并阻止正在進(jìn)行的入侵行為從而達(dá)到病毒防御的目的。

除了前面提到的這些技術(shù)和功能外,瑞星全功能安防軟件2010集成并進(jìn)一步優(yōu)化了之前的一系列安防技術(shù)和功能。以往的瑞星特色,如多種查殺方式相結(jié)合、基于云安全的啟發(fā)式掃描、重新優(yōu)化的實(shí)時(shí)監(jiān)控引擎,以及與云安全整臺(tái)的全新防火墻等等,讓瑞星全功能安全軟件2010達(dá)到了全新的高度。而且瑞星全功能安全軟件2010的UI設(shè)計(jì)進(jìn)一步進(jìn)行整合,更易上手:同時(shí)安防軟件整體的系統(tǒng)占用率更低,系統(tǒng)進(jìn)程更少,效率更高。

篇8

Abstract： Based on the daily computer security maintenance needs， this article describes how to achieve a set of computer security maintenance tool system， can quickly respond to a computer system using a process common to all kinds of information security risks， to quickly build a relatively safe target of computer system. To meet the daily frequent large work of computer system security upgrades， testing， management and maintenance requirements， so that the ordinary technical staff can become a computer security application experts， to improve the user's own computer security technology ability.

關(guān)鍵詞： 計(jì)算機(jī)安全；安全維護(hù)；安全管理；安全；系統(tǒng)

Key words： computer security；security maintenance；security management；security；system

中圖分類(lèi)號(hào)：TP309.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2017）06-0222-03

0 引言

維護(hù)計(jì)算機(jī)安全不僅要在制度和管理上進(jìn)一步強(qiáng)化與完善工作流程和方法，更重要的是要在技術(shù)上解決好包括清掃電腦中的病毒、流氓、間諜、木馬軟件，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，使用加密來(lái)保護(hù)重要文件，啟用正確可信的網(wǎng)絡(luò)防火墻，正確存放、管理、使用和銷(xiāo)毀介質(zhì)存儲(chǔ)信息等問(wèn)題。目前市場(chǎng)沒(méi)有較好的完整的現(xiàn)成可用的解決方案和工具，市面上的安全產(chǎn)品為某類(lèi)或某些功能的組合：如專(zhuān)門(mén)的殺毒產(chǎn)品、防火墻產(chǎn)品、木馬工具、數(shù)據(jù)保險(xiǎn)箱系統(tǒng)、數(shù)據(jù)衛(wèi)士、文件保險(xiǎn)柜等安全產(chǎn)品，它們可以在一定程度上保護(hù)自己的信息的安全性，然而目前這類(lèi)安全產(chǎn)品普遍存在價(jià)格高、操作復(fù)雜、響應(yīng)周期長(zhǎng)、安全有潛在隱患等不利因素，嚴(yán)重影響了一些關(guān)鍵環(huán)節(jié)和要害部門(mén)對(duì)計(jì)算機(jī)的使用管理。為此，針對(duì)用戶日常的計(jì)算機(jī)安全與維護(hù)需要一套更便捷、完整、易用的系統(tǒng)――便捷計(jì)算機(jī)安全維護(hù)工具系統(tǒng)，滿足日常工作中頻發(fā)的大量的計(jì)算機(jī)系統(tǒng)安全升級(jí)、檢測(cè)、管理和維護(hù)工作的要求，使普通技術(shù)人員都能成為計(jì)算機(jī)安全應(yīng)用的保障專(zhuān)家，提高用戶自身的計(jì)算機(jī)安全技術(shù)保障能力。

1 計(jì)算機(jī)安全維護(hù)方案

根據(jù)我們自己和同行的多年的計(jì)算機(jī)技術(shù)維修與保障經(jīng)驗(yàn)、安全應(yīng)用與維護(hù)實(shí)踐，我們總結(jié)了確保計(jì)算機(jī)系統(tǒng)安全的維護(hù)與防護(hù)措施主要有六個(gè)方面：

①關(guān)掉漏洞，及時(shí)打補(bǔ)丁和更新；②阻止入侵者，至少安裝一個(gè)基本的桌面防火墻；③停止感染，每臺(tái)計(jì)算機(jī)都需要較新的防病毒保護(hù)；④防止顛覆情況，掌控機(jī)器上的惡意軟件；⑤徹底鎖住，口令限制重要訪問(wèn)；⑥定期綜合檢測(cè)清理，確保所有保護(hù)都在正常工作。

本著完整、快速、可用、開(kāi)放的四個(gè)主要原則，按照上述六個(gè)主要安全維護(hù)、防護(hù)措施和環(huán)節(jié)，便捷計(jì)算機(jī)安全維護(hù)工具系統(tǒng)以光盤(pán)或移動(dòng)硬盤(pán)、U盤(pán)為載體，采用定期或更新形式，幫助用戶以快速消除計(jì)算機(jī)安全隱患、打造相對(duì)安全的計(jì)算機(jī)系統(tǒng)為目標(biāo)，我們研制了便捷計(jì)算機(jī)安全維護(hù)工具系統(tǒng)，提供一套完整的可信的敏捷的計(jì)算機(jī)安全維護(hù)工具系統(tǒng)方案與軟件工具包，主要集成有殺毒軟件安裝與升級(jí)、綜合殺毒、補(bǔ)丁安裝、安全清理、安全查測(cè)、硬盤(pán)銷(xiāo)密、文件銷(xiāo)毀等各種軟件工具，這些工具有的是我們特意制作，有的是我們改造的，有的是我們大量實(shí)踐篩選的，都經(jīng)過(guò)我們反復(fù)多次測(cè)試、比較、升級(jí)、綠化、優(yōu)化、凈化、定制等處理工作。該系統(tǒng)定期及時(shí)提供DOS啟動(dòng)多種殺毒方案，Windows殺毒軟件多種安裝、運(yùn)行方案，特有病毒的專(zhuān)殺工具，木馬掃描清除工具。系統(tǒng)能夠完成的主要功用為：①殺毒安全工具的安裝與升級(jí)；②綜合手段殺毒，清除木馬、流氓；③漏洞檢測(cè)與補(bǔ)丁安裝；④硬盤(pán)與數(shù)據(jù)銷(xiāo)密；⑤安全查測(cè)功能；⑥系統(tǒng)安全錯(cuò)誤修復(fù)功能；⑦自動(dòng)運(yùn)行病毒免疫；⑧其他功能。

2 實(shí)現(xiàn)難點(diǎn)與關(guān)鍵技術(shù)

便捷計(jì)算機(jī)安全維護(hù)工具系統(tǒng)，設(shè)計(jì)自動(dòng)運(yùn)行并引導(dǎo)的計(jì)算機(jī)安全維護(hù)工具集（光盤(pán)/移動(dòng)硬盤(pán)/U盤(pán)）系統(tǒng)，集成精選的較新的安全軟件、升級(jí)包、系統(tǒng)補(bǔ)丁、常用工具。重點(diǎn)解決系統(tǒng)的三個(gè)方面的難點(diǎn)：

系統(tǒng)難點(diǎn)之一是更新的快速響應(yīng)。為了能應(yīng)對(duì)快速或更新，對(duì)主要的殺毒、清除工具，精心編制了自己的自動(dòng)化網(wǎng)上升級(jí)打包工具，優(yōu)化設(shè)計(jì)快速定期工作，最快可在半日內(nèi)完成最新版本的推出，平時(shí)一般每半月或一月更新一次。

系統(tǒng)難點(diǎn)之二是工具的有效益用。在選用工具時(shí)，立足可信目標(biāo)，通過(guò)自制或選用正版、免費(fèi)、開(kāi)放源碼、可靠安全破解的專(zhuān)門(mén)工具軟件，并經(jīng)過(guò)多次安全檢測(cè)、試用等層層篩選、凝聚而定。集成工具有殺毒軟件安裝與升級(jí)、綜合殺毒、補(bǔ)丁安裝、安全清理、安全查測(cè)、硬盤(pán)銷(xiāo)密、文件銷(xiāo)毀等各種軟件。這些工具有的是特意制作，有的是改造的，有的是大量實(shí)踐篩選的，都經(jīng)過(guò)大量測(cè)試、比較、升級(jí)、綠化、優(yōu)化等處理工作。對(duì)殺毒、清理等功能類(lèi)的軟件，優(yōu)選兩種以上的工具軟件，支持交叉殺毒、清理。此外，隨著相關(guān)技術(shù)和軟件的發(fā)展，經(jīng)常更換一些新的較好的軟件工具進(jìn)來(lái)。

系統(tǒng)難點(diǎn)之三是系統(tǒng)的引導(dǎo)使用。實(shí)現(xiàn)至少三種平臺(tái)下的引導(dǎo)使用。一是DOS啟動(dòng)加載，可以實(shí)現(xiàn)殺毒清理、硬盤(pán)修復(fù)、硬盤(pán)銷(xiāo)密、密碼修改等功能；二是光盤(pán)XP_PE啟動(dòng)加載，可以實(shí)現(xiàn)光盤(pán)安全的XP下對(duì)硬盤(pán)系統(tǒng)的殺毒、清理、格式化、維護(hù)等功能；三是硬盤(pán)WindowsXP系統(tǒng)下的啟動(dòng)加載，可以實(shí)現(xiàn)硬盤(pán)系統(tǒng)下的殺毒及安裝、病毒庫(kù)更新、漏洞掃描、補(bǔ)丁安裝、木馬清理、惡意軟件清理、廣告清理、防火墻安裝與檢測(cè)、文件銷(xiāo)毀、磁盤(pán)銷(xiāo)密、電腦安全修復(fù)錯(cuò)誤等功能。另外提供Linux平臺(tái)下的瑞星殺毒綠色版軟件，可直接運(yùn)行殺毒?？傊ㄟ^(guò)對(duì)應(yīng)用軟件的“綠色化”加工、直接引導(dǎo)以及跨平臺(tái)運(yùn)行、在線即時(shí)更新技術(shù)等加工處理，實(shí)現(xiàn)DOS啟動(dòng)加載、光盤(pán)/硬盤(pán)WindowsXP下調(diào)度運(yùn)行等多種途徑下的集成管用。

在計(jì)算機(jī)安全維護(hù)工具（光盤(pán)/移動(dòng)硬盤(pán)/U盤(pán)）系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)過(guò)程中，要重點(diǎn)掌握和運(yùn)用四個(gè)方面的技術(shù)：

2.1 DOS下各類(lèi)軟件與工具的引導(dǎo)與調(diào)度

主要有DOS下的殺毒工具、信息銷(xiāo)密工具、磁盤(pán)維護(hù)工具、密碼更改工具等。通過(guò)對(duì)應(yīng)用軟件的直接引導(dǎo)以及跨平臺(tái)運(yùn)行處理，實(shí)現(xiàn)了DOS啟動(dòng)加載運(yùn)行的集成管理與調(diào)度。

2.2 Windows下個(gè)各類(lèi)軟件與工具的引導(dǎo)與調(diào)度

主要有Windows下的殺毒工具軟件的安裝、升級(jí)與運(yùn)行，各類(lèi)木馬、流氓安全清殺工具，系統(tǒng)安全維護(hù)、檢測(cè)工具，文件銷(xiāo)毀工具等。通過(guò)對(duì)應(yīng)用軟件的“綠色化”加工、直接引導(dǎo)以及跨平臺(tái)運(yùn)行處理，分類(lèi)組織實(shí)現(xiàn)了Windows下加載運(yùn)行的集成管理與調(diào)度。

2.3 WinPE安全維護(hù)系統(tǒng)的設(shè)計(jì)與完善

當(dāng)硬盤(pán)Windows系統(tǒng)無(wú)法啟動(dòng)、進(jìn)入時(shí)，可以通過(guò)另一個(gè)WinPE系統(tǒng)啟動(dòng)，實(shí)現(xiàn)對(duì)硬盤(pán)系統(tǒng)的信息銷(xiāo)密、安全清殺、密碼更改、數(shù)據(jù)備份等操作。并可以通過(guò)WinPE系統(tǒng)，執(zhí)行對(duì)U盤(pán)、指定硬盤(pán)分區(qū)的銷(xiāo)密處理。

2.4 定期地更新和完善機(jī)制

隨著硬件、軟件、系統(tǒng)的發(fā)展，安全處理技術(shù)的進(jìn)步，利用安全渠道，編制了自己的自動(dòng)化網(wǎng)上升級(jí)打包工具，下載并更新選用的殺毒軟件、清理軟件的升級(jí)包和操作系統(tǒng)的安全補(bǔ)丁包；對(duì)本系統(tǒng)不斷推陳出新，定期更新和完善計(jì)算機(jī)殺毒安全維護(hù)工具集。

3 系統(tǒng)實(shí)現(xiàn)方案

該便捷計(jì)算機(jī)安全維護(hù)工具系統(tǒng)支持光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)多種載體運(yùn)行，系統(tǒng)的光盤(pán)/U盤(pán)/移動(dòng)硬盤(pán)版可開(kāi)機(jī)直接引導(dǎo)啟動(dòng)，首先進(jìn)入DOS引導(dǎo)界面，默認(rèn)選擇進(jìn)入WinPE便捷殺毒安全維護(hù)界面。在Windows系統(tǒng)下，插入該系統(tǒng)的光盤(pán)/U盤(pán)/移動(dòng)硬盤(pán)，可運(yùn)行光盤(pán)/U盤(pán)/移動(dòng)硬盤(pán)根目錄下的可執(zhí)行文件進(jìn)入Windows引導(dǎo)界面。

3.1 Windows引導(dǎo)工具

Windows引導(dǎo)界面下提供的主要工具集有五大類(lèi)：

①第一類(lèi)病毒清除工具集。

1）病毒查殺：有瑞星殺毒、金山毒霸等較新的綠化殺毒軟件。

2）殺毒軟件安裝：有較新的江民殺毒、瑞星殺毒、金山毒霸、卡巴斯基漢化版等殺毒軟件。

3）防火墻安裝：有較新的瑞星防火墻、木馬防火墻。

4）安全衛(wèi)士、木馬防護(hù)：可安裝較新的360安全衛(wèi)士、瑞星卡卡?？芍苯舆\(yùn)行光盤(pán)/移動(dòng)介質(zhì)上的較新的360安全衛(wèi)士、瑞星卡卡、Windows木馬清道夫、木馬克星Iparmor，對(duì)木馬等進(jìn)行手工綜合查殺，也開(kāi)啟監(jiān)控功能進(jìn)行木馬實(shí)時(shí)檢測(cè)防護(hù)。

②第二類(lèi)安全清理工具集。

1）常用清理工具：有Windows清理助手、完美卸載、流氓軟件清理大師、超級(jí)兔子清理王、惡意軟件清理助手等常用清理工具。

2）專(zhuān)用清理工具：有QQ病毒專(zhuān)殺、廣告軟體專(zhuān)殺、影音木馬免疫、RM去廣告專(zhuān)家等專(zhuān)用清理工具。

3）移喲媧⒔櫓是謇砉ぞ擼河U盤(pán)病毒免疫、U盤(pán)病毒專(zhuān)殺等工具。

4）痕跡清理工具：有無(wú)影無(wú)蹤WYWYZ控制臺(tái)、iolo清理、注冊(cè)表清理、U盤(pán)痕跡擦除、垃圾文件清理等清理工具。

③第三類(lèi)安全檢測(cè)工具集。

1）網(wǎng)絡(luò)安全檢測(cè)：有Leaktest、IECookiesView、局域網(wǎng)查看、網(wǎng)絡(luò)狀態(tài)查看、共享查看等工具。

2）系統(tǒng)安全檢測(cè)：有系統(tǒng)漏洞掃描、啟動(dòng)項(xiàng)目管理、冰刃IceSword、反黑輔助工具SysCheck、SREng 2.5（Sytem Repair Engineer）、USB使用記錄查看等工具。

3）文件安全檢測(cè)：有R-Studio、WinHex15.8、數(shù)字簽名檢測(cè)、FileMon、RegSnap等工具。

4）硬件安全檢測(cè)：有硬件系統(tǒng)檢測(cè)Everest、CPU 檢測(cè)（CPU-Z）、ATTO 磁盤(pán)性能測(cè)試、經(jīng)典測(cè)試SuperPI、內(nèi)存檢測(cè)MemTest、ATTO 磁盤(pán)性能測(cè)試、硬盤(pán)檢測(cè)HDTune、U盤(pán)檢測(cè)器、顯卡檢測(cè)GPU-Z、顯示器測(cè)試DisplayX、筆記本電池檢測(cè)、鍵盤(pán)檢測(cè)、網(wǎng)卡檢測(cè)器、無(wú)線網(wǎng)卡檢測(cè)、數(shù)碼CCD壞點(diǎn)檢測(cè)等工具。

④第四類(lèi)安全維護(hù)工具集。

1）系統(tǒng)維護(hù)：有電腦安全修復(fù)錯(cuò)誤工具（PC On Point）、注冊(cè)表安全修復(fù)工具（Registry Repair）、IE修復(fù)專(zhuān)家等。

2）硬盤(pán)維護(hù)：有分區(qū)管理WinPM、分區(qū)表醫(yī)生PTDD、諾頓磁盤(pán)醫(yī)生2006、XP下低格硬盤(pán)工具、高速掃描硬盤(pán)、精確掃描硬盤(pán)等。

3）其它常用工具：有密碼生成器、WinRar3.90、UltraEdit-32，磁盤(pán)映象WinImage、光盤(pán)映像UltraISO、Ghost V11、虛擬驅(qū)動(dòng)器專(zhuān)家、VirDriveMana、虛擬光驅(qū)VCDTool、文件夾加密V1658。

⑤第五類(lèi)補(bǔ)丁安裝：有目前較全的XPSP3補(bǔ)丁合集。

3.2 DOS引導(dǎo)工具

DOS引導(dǎo)界面下提供的主要工具集有：

①綜合殺毒工具集：瑞星Linux殺毒、卡巴斯基殺毒、金山毒霸DOS殺毒、WinPE便捷殺毒（進(jìn)入WinPE殺毒安全維護(hù)界面）等。

②硬盤(pán)修復(fù)與分區(qū)工具集：效率源硬盤(pán)修復(fù)、磁盤(pán)壞道修復(fù)、江民硬盤(pán)修復(fù)王、PQMagic硬盤(pán)分區(qū)、DISKGEN硬盤(pán)分區(qū)、DM硬盤(pán)分區(qū)等。

③系統(tǒng)測(cè)試工具：HWINFO系統(tǒng)測(cè)試等。

④硬盤(pán)銷(xiāo)密工具：DBAN硬盤(pán)數(shù)據(jù)擦除工具，會(huì)對(duì)所有硬盤(pán)整盤(pán)徹底進(jìn)行隨機(jī)數(shù)據(jù)多次覆蓋，原硬盤(pán)數(shù)據(jù)無(wú)法恢復(fù)；處理過(guò)的硬盤(pán)需重新分區(qū)、快速格式化才可使用。應(yīng)謹(jǐn)慎使用此工具！

⑤密碼清除工具：CMOS密碼清除（筆記本慎用）、清除2K/XP/2003/vista/win7系統(tǒng)密碼。

3.3 WinPE引導(dǎo)工具

WinPE引導(dǎo)界面下提供的主要工具集為Windows引導(dǎo)界面下的工具子集。WinPE引導(dǎo)界面下可以啟動(dòng)Windows引導(dǎo)界面，但有些工具無(wú)法正常工作。能較好運(yùn)行的工具在WinPE桌面上、開(kāi)始->程序組內(nèi)。

4 結(jié)論

實(shí)用證明，便捷計(jì)算機(jī)安全維護(hù)工具系統(tǒng)內(nèi)容體系完整，使用軟件“綠色化”技術(shù)、直接引導(dǎo)運(yùn)行技術(shù)等加工處理，工具的引導(dǎo)與調(diào)度科學(xué)合理，排除系統(tǒng)安全隱患迅速?gòu)氐?。系統(tǒng)以光盤(pán)或移動(dòng)硬盤(pán)、U盤(pán)為載體，定期或更新；滿足了日常工作中頻發(fā)的大量的計(jì)算機(jī)系統(tǒng)安全升級(jí)、檢測(cè)、管理和維護(hù)工作的要求，一套系統(tǒng)在手，就可以完成殺毒軟件安裝與升級(jí)、綜合殺毒、補(bǔ)丁安b、安全清理、安全查測(cè)、硬盤(pán)銷(xiāo)密、文件銷(xiāo)毀等日常主要的計(jì)算機(jī)安全保障工作。使普通技術(shù)人員都能成為計(jì)算機(jī)安全應(yīng)用的保障專(zhuān)家，提高用戶自身的計(jì)算機(jī)安全技術(shù)保障能力。

參考文獻(xiàn)：

[1]魏威，楊俊紅.計(jì)算機(jī)的安全維護(hù)[J].鄭州鐵路職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006（01）：44-45.

[2]盧昕，章逸.淺論個(gè)人計(jì)算機(jī)應(yīng)用中的安全措施[J].科技廣場(chǎng)， 2006（02）：43-45.

[3]葛立欣.家用計(jì)算機(jī)的安全維護(hù)[J].內(nèi)蒙古科技與經(jīng)濟(jì)， 2004（06）：53-55.

篇9

軟件名稱：貝殼木馬專(zhuān)殺

軟件版本；V1.5

軟件大?。?88KB

軟件授權(quán)：免費(fèi)

使用環(huán)境：Windows All

下載地址：http：／／／BeikeSetup.exe

認(rèn)識(shí)貝殼木馬專(zhuān)殺

據(jù)有關(guān)數(shù)據(jù)顯示，Internet網(wǎng)絡(luò)中的主機(jī)，每日有上百萬(wàn)臺(tái)會(huì)被病毒、木馬感染，這些木馬中以網(wǎng)絡(luò)游戲盜號(hào)類(lèi)木馬為主。為了對(duì)付網(wǎng)絡(luò)游戲盜號(hào)類(lèi)木馬，貝殼木馬專(zhuān)殺工具采用云計(jì)算技術(shù)，通過(guò)世界最大的云安全數(shù)據(jù)庫(kù)，快速掃描、識(shí)別上網(wǎng)主機(jī)系統(tǒng)中的新病毒、木馬，保證系統(tǒng)、賬號(hào)、用戶隱私安全。該工具是完全免費(fèi)的國(guó)內(nèi)首款專(zhuān)殺網(wǎng)游盜號(hào)木馬的軟件，身材小巧，不占空間，二次檢測(cè)10秒鐘閃電掃描，快速確認(rèn)系統(tǒng)安全性；該工具100％純綠色，無(wú)需安裝、不常駐、不寫(xiě)注冊(cè)表、不占用系統(tǒng)資源，可與眾殺毒軟件共存。

自動(dòng)升級(jí)到新版本

現(xiàn)在網(wǎng)游盜號(hào)木馬變種層出不窮，為了不讓任何木馬變種成為漏網(wǎng)之魚(yú)，貝殼木馬專(zhuān)殺工具支持自動(dòng)升級(jí)功能，確保該程序始終處于最新版本狀態(tài)，能夠查殺最新的病毒木馬。從網(wǎng)上下載獲得貝殼木馬專(zhuān)殺工具文件后，用鼠標(biāo)雙擊該文件，不需要安裝就能彈出如圖1所示的主程序界面；該工具運(yùn)行后，會(huì)自動(dòng)嘗試進(jìn)行網(wǎng)絡(luò)連接，一旦與貝殼公司的服務(wù)器主機(jī)成功建立網(wǎng)絡(luò)連接后，貝殼木馬專(zhuān)殺工具就會(huì)自動(dòng)比對(duì)病毒庫(kù)內(nèi)容，以判斷本地程序是否是最新版本，如果不是最新版本，那么它就會(huì)自動(dòng)進(jìn)行升級(jí)操作，確保該工具處于最新版本工作狀態(tài)。

查殺盜號(hào)病毒木馬

為了靈活地查殺本地系統(tǒng)中的網(wǎng)絡(luò)盜號(hào)木馬，貝殼木馬專(zhuān)殺工具為用戶提供了三種掃描查殺方式，分別為快速掃描、全盤(pán)掃描、自定義目錄掃描，其中快速掃描方式為默認(rèn)工作方式。在初次使用該工具查殺木馬的時(shí)候，我們建議大家選用“全盤(pán)掃描”方式，在每次上網(wǎng)暢玩網(wǎng)絡(luò)游戲之前，可以通過(guò)“快速掃描”方式簡(jiǎn)單地掃描一下系統(tǒng)。設(shè)置好合適掃描方式，直接單擊圖1界面中的“開(kāi)始查殺”按鈕，貝殼木馬專(zhuān)殺工具就會(huì)自動(dòng)掃描、分析系統(tǒng)了。

在掃描、分析系統(tǒng)的過(guò)程中，貝殼木馬專(zhuān)殺工具會(huì)自動(dòng)對(duì)被掃描文件進(jìn)行分類(lèi)，并按無(wú)威脅文件、信任文件、未知文件、木馬／病毒等類(lèi)別，顯示在該程序的云安全檢測(cè)頁(yè)面中。當(dāng)系統(tǒng)中有未知文件被發(fā)現(xiàn)時(shí)，貝殼木馬專(zhuān)殺工具會(huì)將其自動(dòng)上傳到病毒庫(kù)所在的貝殼公司服務(wù)器系統(tǒng)中，如此一來(lái)技術(shù)人員就能即時(shí)判斷未知文件究竟是否屬于病毒或木馬了，如果確認(rèn)未知文件為病毒或木馬時(shí)，用戶就能在第一時(shí)間將它們從系統(tǒng)中清除出去了。

因?yàn)樨悮つ抉R專(zhuān)殺工具的病毒庫(kù)位于遠(yuǎn)端服務(wù)器系統(tǒng)中，而不是在本地系統(tǒng)中，所以該工具掃描、分析系統(tǒng)文件的速度是非常快的，僅僅只需要幾十秒鐘就能完成掃描、分析任務(wù)。掃描、分析結(jié)束后，該工具會(huì)通過(guò)網(wǎng)絡(luò)通道將掃描信息發(fā)送到病毒庫(kù)所在的遠(yuǎn)端服務(wù)器系統(tǒng)中；之后通過(guò)與病毒庫(kù)中的數(shù)據(jù)進(jìn)行比對(duì)分析，貝殼木馬專(zhuān)殺工具就能判斷得出哪些文件是病毒或木馬文件了。要是發(fā)現(xiàn)系統(tǒng)中真的存在病毒或木馬文件，該工具立即會(huì)返回一個(gè)警報(bào)窗口，提醒用戶找到惡意文件，并要求選擇恰當(dāng)?shù)奶幚矸绞剑蝗绻麊螕簟扒宄卑粹o，該工具會(huì)立即將病毒或木馬文件從系統(tǒng)中刪除干凈，如果單擊“跳過(guò)”按鈕，該工具會(huì)等所有文件被掃描結(jié)束后，集中進(jìn)行病毒清除操作。當(dāng)然，有一些頑固的病毒木馬文件無(wú)法一次性清除干凈，此時(shí)只要重新啟動(dòng)系統(tǒng)，該工具就能成功執(zhí)行二次性病毒木馬清除操作。很顯然，善于使用貝殼木馬專(zhuān)殺工具，完全可以讓網(wǎng)游安全無(wú)憂。

讓查殺病毒更智能

為了讓木馬病毒無(wú)處遁形，貝殼木馬專(zhuān)殺工具增強(qiáng)了本地啟發(fā)式查殺引擎，通過(guò)該功能可以智能地掃描分析未知文件，將這些未知文件自動(dòng)上傳到病毒庫(kù)所在的遠(yuǎn)端服務(wù)器系統(tǒng)中，上傳成功后立刻就能判斷是否為木馬，從而實(shí)現(xiàn)真正的云安全。當(dāng)然，在默認(rèn)狀態(tài)下，貝殼木馬專(zhuān)殺工具并不會(huì)智能查殺病毒，必須進(jìn)行如下設(shè)置操作才能讓查殺病毒更智能：

篇10

電腦啟動(dòng)后，在系統(tǒng)中只要運(yùn)行一個(gè)程序，系統(tǒng)便會(huì)在后臺(tái)加載相應(yīng)的進(jìn)程。簡(jiǎn)單地說(shuō)，進(jìn)程是操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序，因此一個(gè)軟件可能只有一個(gè)進(jìn)程，也有可能同時(shí)有兩個(gè)以上的進(jìn)程在執(zhí)行。在系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序里包括：系統(tǒng)管理計(jì)算機(jī)個(gè)體和完成各種操作所必需的程序；還有用戶開(kāi)啟、執(zhí)行的額外程序，其中也包括用戶不知道的、自動(dòng)運(yùn)行的非法程序等。

對(duì)于一些安全高手來(lái)說(shuō)，查看系統(tǒng)進(jìn)程有無(wú)異常，可以快速判斷出系統(tǒng)是否存在安全隱患。那么如何通過(guò)進(jìn)程來(lái)檢測(cè)系統(tǒng)是否中了病毒木馬呢？系統(tǒng)進(jìn)程SVCHOST.EXE和Explorer.exe可以說(shuō)是最容易被病毒木馬利用的兩個(gè)進(jìn)程，下面通過(guò)這兩個(gè)進(jìn)程的檢測(cè)方法來(lái)看看如何利用進(jìn)程判別是否中了病毒木馬。

1.元兇――SVCHOST.EXE

SVCHOST.EXE進(jìn)程是最容易被冒充和利用的進(jìn)程，可以說(shuō)這個(gè)進(jìn)程常常藏污納垢，如何判斷系統(tǒng)中的SVCHOST.EXE是正常進(jìn)程還是病毒進(jìn)程呢？同時(shí)按下“Ctrl+Shift+Del”組合鍵來(lái)打開(kāi)Windows任務(wù)管理器，這里我們看到SVCHOST.EXE有好幾個(gè)個(gè)，那么如何判斷哪個(gè)進(jìn)程是可疑的呢？系統(tǒng)中有多個(gè)SVCHOST.EXE進(jìn)程，有可能是正常的，也有可能是病毒，不能根據(jù)SVCHOST.EXE進(jìn)程的多少來(lái)判斷是否為病毒。要判斷到底有沒(méi)有病毒，我們可以通過(guò)查看進(jìn)程的發(fā)起程序來(lái)判斷。（圖1）

提示：我們首先可以通過(guò)鼠標(biāo)右鍵選擇“結(jié)束進(jìn)程”來(lái)關(guān)閉進(jìn)程，大家需要注意，結(jié)束其中一個(gè)進(jìn)程后，你會(huì)發(fā)現(xiàn)馬上又重生一個(gè)SVCHOST.EXE進(jìn)程。此外，結(jié)束另一進(jìn)程時(shí)還提示還有60秒后關(guān)機(jī)。對(duì)于關(guān)機(jī)的提示，可以在“運(yùn)行”欄中輸入“shutdown -a”，關(guān)機(jī)提示馬上消失了。（圖2）

要查看“Svchost.exe”進(jìn)程的發(fā)起程序，可以在“命令提示符”窗口中，輸入并執(zhí)行“Netstat abnov”命令，在接著反饋的信息中，就可以看到每個(gè)進(jìn)程發(fā)起的程序或文件列表，這里你就可以根據(jù)相關(guān)知識(shí)判斷是否為病毒和木馬發(fā)起的程序。（圖3）

正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會(huì)在其他目錄，例如沖擊波變種病毒“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中。據(jù)此，我們就可以判斷該進(jìn)程到底是不是木馬進(jìn)程了。

為了判別進(jìn)程是否正常，可以在安裝完Windows后，點(diǎn)擊“開(kāi)始程序附件系統(tǒng)工具系統(tǒng)信息”，在打開(kāi)的“系統(tǒng)信息”窗口中再點(diǎn)擊“軟件環(huán)境正在運(yùn)行任務(wù)”，如圖所示的“系統(tǒng)信息”窗口。接下來(lái)，點(diǎn)擊“操作另存成文本文件”，這樣，以后系統(tǒng)出現(xiàn)異常時(shí)則對(duì)照進(jìn)行分析，就可以從中發(fā)現(xiàn)潛藏的木馬和病毒。（圖4）

小知識(shí)

Svchost.exe是NT核心系統(tǒng)的非常重要的進(jìn)程，對(duì)于2000、XP來(lái)說(shuō)，不可或缺。因此，很多病毒、木馬也會(huì)調(diào)用它。在基于NT內(nèi)核的Windows操作系統(tǒng)中，不同版本的Windows系統(tǒng)，存在不同數(shù)量的“Svchost”進(jìn)程，用戶使用“任務(wù)管理器”可查看其進(jìn)程數(shù)目。一般來(lái)說(shuō)，Win 2000有兩個(gè)Svchost進(jìn)程，Win XP中則有四個(gè)或四個(gè)以上的Svchost進(jìn)程，而Win 2003 server中則更多。這些Svchost進(jìn)程提供很多系統(tǒng)服務(wù)，如：rpCSS服務(wù)（remote procedure call）、dmserver服務(wù)（logical disk manager）、dhcp服務(wù)（dhcp clieNT）等。

除了上面的方法外，我們還可以在命令行窗口輸入“Tasklist /svc”（我們這里是以Windows XP為例，在Windows 2000的命令提示符窗口中，則輸入“tlist -s”命令來(lái)查看），如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是“暫缺”，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對(duì)應(yīng)的PID數(shù)值(進(jìn)程標(biāo)識(shí)符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結(jié)束進(jìn)程后，在C盤(pán)搜索到偽裝為Svchost.exe進(jìn)程的文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，然后將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。（圖5）

提示

這種利用假冒Svchost.exe名稱的病毒程序，并沒(méi)有直接利用真正的Svchost.exe進(jìn)程，而是啟動(dòng)了另外一個(gè)名稱同樣是Svchost.exe的病毒進(jìn)程，由于這個(gè)假冒的病毒進(jìn)程并沒(méi)有加載系統(tǒng)服務(wù)，它和真正的Svchost.exe進(jìn)程是完全不同的。

2.易被偽裝的Explorer.exe

打開(kāi)的電腦的任務(wù)管理器，可以看到這個(gè)進(jìn)程，占用內(nèi)存還不小，大約10MB左右。結(jié)束這個(gè)進(jìn)程后，打開(kāi)的幾個(gè)窗口都關(guān)閉了，而且桌面上的圖標(biāo)也全沒(méi)有了。之所以出現(xiàn)這個(gè)情況，正是Explorer.exe在發(fā)揮作用?？梢酝ㄟ^(guò)下面的操作恢復(fù)桌面到正常狀態(tài)：在“任務(wù)管理器”中，依次單擊“文件”“新建任務(wù)（運(yùn)行….）”菜單。在在打開(kāi)的窗口中輸入“Explorer.exe”進(jìn)程名單擊“確定”按鈕即可完成重建進(jìn)程的過(guò)程了，桌面環(huán)境也就恢復(fù)了。那么，Explorer.exe進(jìn)程是如何被偽裝的呢？（圖6）

小知識(shí)

簡(jiǎn)單地說(shuō)，Explorer.exe進(jìn)程就是操作系統(tǒng)的程序管理器，也就是我們平時(shí)說(shuō)的資源管理器，用于管理操作系統(tǒng)的圖形界面，包括開(kāi)始菜單、任務(wù)欄，桌面和文件管理。該進(jìn)程隨系統(tǒng)一起啟動(dòng)，直到系統(tǒng)關(guān)閉或者人為結(jié)束該進(jìn)程。

通常病毒會(huì)利用障眼法來(lái)干擾大家，正常的進(jìn)程名是Explorer.exe，而一些病毒的進(jìn)程名則為Exp1orer.exe（用數(shù)字1代替了字母l），還有的病毒進(jìn)程名為Expl0rer.exe（用數(shù)字0代替字母o），不仔細(xì)看，根本就區(qū)分不出來(lái)，實(shí)在令人防不勝防。大名鼎鼎的MyDoom病毒就是通過(guò)Explorer.exe來(lái)進(jìn)行破壞的。MyDoom是一種通過(guò)電子郵件附件和P2P網(wǎng)絡(luò)傳播的病毒,當(dāng)用戶打開(kāi)并運(yùn)行附件內(nèi)的病毒程序后，病毒就會(huì)以用戶信箱內(nèi)的電子郵件地址為目標(biāo)，偽造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時(shí)在用戶主機(jī)上生成Explorer.exe進(jìn)程。

針對(duì)這類(lèi)情況，除了我們留意進(jìn)程名字外，還可以根據(jù)Explorer.exe進(jìn)程的路徑來(lái)判斷，正常的Explorer.exe進(jìn)程位于系統(tǒng)根目錄下（比如系統(tǒng)盤(pán)為C盤(pán)，則路徑為C:\Windows\Explorer.exe），這里我們可以借助一些進(jìn)程輔助軟件來(lái)進(jìn)行查看，比如“360安全衛(wèi)士”，這里可以看到正在運(yùn)行的進(jìn)程的路徑以及用戶名等。如果發(fā)現(xiàn)Explorer.exe的運(yùn)行路徑不在這個(gè)目錄，說(shuō)明肯定被其他病毒冒充。當(dāng)然，如果進(jìn)程名不對(duì)，肯定也是有問(wèn)題的。（圖7）

在系統(tǒng)的system.ini文件中（C:\Windows\system.ini），在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個(gè)程序就是“木馬”程序，這表明你已經(jīng)中“木馬”了。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

此外，在注冊(cè)表中的情況比較復(fù)雜，通過(guò)regedit命令打開(kāi)注冊(cè)表編輯器，依次打開(kāi)HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下，查看鍵值中有沒(méi)有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為EXE。注意有的“木馬”程序生成的文件很像系統(tǒng)自身文件，想通過(guò)偽裝蒙混過(guò)關(guān)，如“Acid Battery木馬”，它將注冊(cè)表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”，“木馬”程序與真正的Explorer之間只有“i”與“l(fā)”的差別，這需要大家高度警惕。

病毒除了通過(guò)文件名相似來(lái)偽裝explorer.exe進(jìn)程外，主要是通過(guò)線程插入技術(shù)來(lái)利用這個(gè)進(jìn)程。比如曾經(jīng)的廣外幽靈、最新的魔波病毒變種也是利用這個(gè)進(jìn)程。線程插入技術(shù)使得這些病毒木馬可以將他們的服務(wù)端程序插入到正常的explorer.exe進(jìn)程中，從而讓用戶找不到病毒的蛛絲馬跡。對(duì)于這類(lèi)采用線程插入的木馬病毒，我們可以借助“木馬輔助查找器”來(lái)進(jìn)行查看，在“進(jìn)程監(jiān)控”選項(xiàng)中，勾選explorer.exe進(jìn)程，在下面的DLL文件窗口中將顯示相應(yīng)的DLL文件的路徑和文件名，發(fā)現(xiàn)可疑的文件，則直接終止相應(yīng)的進(jìn)程即可。當(dāng)然，這需要大家對(duì)一些常見(jiàn)的木馬有基本的了解，否則操作起來(lái)就顯得比較難。（圖8）

提示：關(guān)于進(jìn)程的知識(shí)，大家可以到超級(jí)兔子的官方網(wǎng)站去查看（），這里對(duì)進(jìn)程進(jìn)行了分類(lèi)，包括常見(jiàn)的木馬病毒、常見(jiàn)的合法進(jìn)程、存在安全風(fēng)險(xiǎn)的進(jìn)程等，掌握了進(jìn)程相關(guān)的知識(shí)，對(duì)于判斷進(jìn)程是否有危害有非常重要的作用。只有知道哪些進(jìn)程是正常的，才可能找到可疑的進(jìn)程，從而盡早結(jié)束進(jìn)程來(lái)阻止惡意程序的運(yùn)行。（圖9）

2 端口安全設(shè)置與防范

端口分物理物理意義上的端口和邏輯意義上的端口，物理意義上的端口是指硬件接口，比如ADSL Modem、路由器等的接口，而邏輯意義上的端口是‘虛’的，比如用于瀏覽網(wǎng)頁(yè)的80端口，用于FTP服務(wù)的21端口等，而一些木馬也會(huì)針對(duì)特定的端口進(jìn)行攻擊，因此，掌握端口知識(shí)是非常必要的。每臺(tái)電腦要與外界網(wǎng)絡(luò)每建立一個(gè)網(wǎng)絡(luò)連接時(shí)，都必須打開(kāi)電腦中的某個(gè)端口。端口就像是電腦與外界網(wǎng)絡(luò)連接的一扇門(mén)，因此，在某種意義上說(shuō)，端口就掌控著網(wǎng)絡(luò)連接的生殺大權(quán)。

1.查看當(dāng)前開(kāi)放的端口

在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令來(lái)查看端口情況：

依次點(diǎn)擊“開(kāi)始運(yùn)行”，鍵入“cmd”并回車(chē)，打開(kāi)命令提示符窗口。在命令提示符狀態(tài)下鍵入“netstat -a -n”，按下回車(chē)鍵后就可以看到以數(shù)字形式顯示的TCP和UDP連接的端口號(hào)及狀態(tài)。（圖10）

上圖中各部分的含義是：“Active Connections”是指當(dāng)前本機(jī)活動(dòng)連接，“Proto”是指連接使用的協(xié)議名稱，“Local Address”是本地計(jì)算機(jī)的IP地址和連接正在使用的端口號(hào)，“Foreign Address”是連接該端口的遠(yuǎn)程計(jì)算機(jī)的IP地址和端口號(hào)，State則是表明TCP連接的狀態(tài)，你可以看到后面的監(jiān)聽(tīng)端口是UDP協(xié)議的，所以沒(méi)有State表示的狀態(tài)。本地IP地址后的就是開(kāi)放的端口號(hào)，如果你的機(jī)器的7626端口已經(jīng)開(kāi)放，正在監(jiān)聽(tīng)等待連接（LISTENING），那么，這種情況極有可能是已經(jīng)感染了冰河！因此，必須馬上斷開(kāi)網(wǎng)絡(luò)，用殺毒軟件查殺病毒。

小知識(shí)

Netstat命令用法

-a 表示顯示所有活動(dòng)的TCP連接以及計(jì)算機(jī)監(jiān)聽(tīng)的TCP和UDP端口。

-e 表示顯示以太網(wǎng)發(fā)送和接收的字節(jié)數(shù)、數(shù)據(jù)包數(shù)等。

-n 表示只以數(shù)字形式顯示所有活動(dòng)的TCP連接的地址和端口號(hào)。

-o 表示顯示活動(dòng)的TCP連接并包括每個(gè)連接的進(jìn)程ID（PID）。

-s 表示按協(xié)議顯示各種連接的統(tǒng)計(jì)信息，包括端口號(hào)。

2．關(guān)閉不安全的端口

默認(rèn)的情況下，有很多端口不安全，或者一些沒(méi)有用的端口也處于開(kāi)啟狀態(tài)，比如Telnet服務(wù)的23端口、FTP服務(wù)的21端口、SMTP服務(wù)的25端口、RPC服務(wù)的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過(guò)下面的方法來(lái)關(guān)閉/開(kāi)啟端口。比如在Windows XP中關(guān)閉RPC服務(wù)的135端口，可以按照下面的方法來(lái)操作：

首先打開(kāi)“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打開(kāi)的服務(wù)窗口中找到并雙擊“Remote Procedure Call (RPC)”服務(wù)，單擊“停止”按鈕來(lái)停止該服務(wù)，然后在“啟動(dòng)類(lèi)型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關(guān)閉了RPC服務(wù)就相當(dāng)于關(guān)閉了對(duì)應(yīng)的端口。（圖11）

如果要開(kāi)啟該端口，只要先在“啟動(dòng)類(lèi)型”選擇“自動(dòng)”，單擊“確定”按鈕，再打開(kāi)該服務(wù)，在“服務(wù)狀態(tài)”中單擊“啟動(dòng)”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。

3.重定向本機(jī)默認(rèn)端口增強(qiáng)安全

查看你電腦的端口情況，你會(huì)發(fā)現(xiàn)默認(rèn)情況下Windows有很多端口是開(kāi)放的，主要有：TCP139、445、593、1025 端口和UDP123、137、138、445、1900等端口，還有遠(yuǎn)程服務(wù)訪問(wèn)端口3389。但本機(jī)中的某些默認(rèn)端口是不能關(guān)閉的，這時(shí)該怎么辦呢？我們可以將這樣的端口“重定向”，把該端口重定向到另一個(gè)地址，這樣即可隱藏公認(rèn)的默認(rèn)端口，降低受破壞的機(jī)率，從而保護(hù)系統(tǒng)安全。下面以一個(gè)實(shí)例來(lái)說(shuō)明。

例如你的電腦上開(kāi)放了遠(yuǎn)程終端服務(wù)（Terminal Server）端口（默認(rèn)是3389），可以將它重定向到另一個(gè)端口上（例如1235，這里端口號(hào)隨意選擇，只要不是公認(rèn)的端口號(hào)，沒(méi)有固定分配給某個(gè)服務(wù)即可，目的就是讓所謂‘黑客’不容易識(shí)別出來(lái)），具體操作方法如下：

（1）在本機(jī)上（服務(wù)器端）修改

打開(kāi)注冊(cè)表，依次展開(kāi)到下列兩個(gè)注冊(cè)表項(xiàng)：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

然后將其中的 PortNumber，全部改成自定義的端口（例如1235）即可。（圖12）

提示：這里的數(shù)值數(shù)據(jù)默認(rèn)是以十六進(jìn)制顯示的，所以你看到的可能不是3389，需要進(jìn)行轉(zhuǎn)換。你也可以勾選“十進(jìn)制”選項(xiàng)，就能直接顯示十進(jìn)制數(shù)值了。

（2）在客戶端上修改

服務(wù)器端端口修改后，為了保證遠(yuǎn)程客戶端計(jì)算機(jī)能夠正常訪問(wèn)這臺(tái)服務(wù)器（也就是你的這臺(tái)電腦），必須也對(duì)客戶端進(jìn)行修改，才能實(shí)現(xiàn)正常連接。這好比兩個(gè)人約會(huì)，臨時(shí)更改了見(jiàn)面地點(diǎn)，因此必須通知對(duì)方。具體操作如下：

依次單擊“開(kāi)始所有程序附件通訊遠(yuǎn)程桌面連接”，打開(kāi)“遠(yuǎn)程桌面連接”窗口，單擊“選項(xiàng)”按鈕擴(kuò)展窗口，填寫(xiě)完相關(guān)參數(shù)后，單擊“常規(guī)”下的“另存為”按鈕，將該連接參數(shù)導(dǎo)出為.rdp文件。用記事本打開(kāi)該文件，在文件最后添加一行：server port:i:1235 （這里填寫(xiě)你服務(wù)器自定義的端口）。以后，只要直接雙擊這個(gè).rdp 文件即可連接到服務(wù)器的這個(gè)自定義端口了。（圖13）

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

3 巧用數(shù)字簽名揪出可疑文件

除了進(jìn)程和端口方面的安全防護(hù)外，可能很少有用戶關(guān)注操作系統(tǒng)的數(shù)字簽名功能。簡(jiǎn)單地說(shuō)，數(shù)字簽名是微軟為系統(tǒng)文件添加的一組電子密碼，可以保護(hù)系統(tǒng)文件的完整性，如果某文件沒(méi)有有效的數(shù)字簽名，那么將無(wú)法證明文件的來(lái)源真實(shí)可靠，因而這個(gè)文件就很有可能是有問(wèn)題的，換句話說(shuō)，這個(gè)文件就很可能是被病毒木馬篡改過(guò)的。

1.查看文件的“數(shù)字簽名”

首先來(lái)看看微軟數(shù)字簽名保護(hù)的系統(tǒng)文件，打開(kāi)“C:\WINDOWS\system32”目錄，這里經(jīng)常是一些病毒木馬的藏身之地，而最容易被病毒木馬利用的就是EXE文件和DLL文件。隨便找到一個(gè)文件，鼠標(biāo)右擊該文件，從彈出的菜單中選擇“屬性”，在打開(kāi)的窗口中，點(diǎn)擊“版本”選項(xiàng)卡，這里我們可以看到文件的產(chǎn)品版本、公司、內(nèi)部名稱等信息，其中“公司”中可以看到“Microsoft Corporation”，這表明來(lái)自微軟公司。如果此處的“公司”信息顯示是其它公司，那么必須弄清楚這個(gè)文件的來(lái)源，如果不能確認(rèn)來(lái)源，那么就值得懷疑了。（圖14）

有的文件甚至沒(méi)有“版本”這個(gè)選項(xiàng)，那么這個(gè)文件就很有可能是病毒木馬或者流氓軟件了。當(dāng)然，我們還不能草率下結(jié)論認(rèn)定這個(gè)文件是病毒木馬，我們可以借助專(zhuān)業(yè)的病毒木馬查殺工具，并結(jié)合文件的修改時(shí)間等多方面來(lái)進(jìn)行判別。（圖15）

“C:\WINDOWS\system32”目錄下的系統(tǒng)文件眾多，我們不可能逐一打開(kāi)進(jìn)行查看，怎么辦呢？其實(shí)可以借助一款小工具來(lái)解決，這就是“數(shù)字簽名檢測(cè)工具”，使用該軟件可以對(duì)微軟數(shù)字簽名進(jìn)行快速檢查，從而驗(yàn)證系統(tǒng)文件的可信性。具體操作如下：

運(yùn)行軟件，設(shè)置好掃描目錄，可以選定“C:\WINDOWS\system32”目錄，為了檢測(cè)徹底這里勾選上“包括子文件夾”選項(xiàng)，然后點(diǎn)擊“開(kāi)始檢測(cè)”按鈕即可開(kāi)始自動(dòng)掃描文件的數(shù)字簽名信息。掃描完畢后，為了方便查看，建議勾選“僅顯示沒(méi)有數(shù)字簽名的文件”，我們看到?jīng)]有數(shù)字簽名的文件比較多，大家可以重點(diǎn)查看EXE文件和DLL文件，從而判別沒(méi)有數(shù)字簽名的文件是否為病毒。（圖16）

2.結(jié)合時(shí)間找到可疑的病毒文件

通過(guò)數(shù)字簽名檢測(cè)工具，可以看到?jīng)]有數(shù)字簽名的文件非常多，因?yàn)橛行┱５奈募部赡軟](méi)有數(shù)字簽名，那么如何從眾多的文件中找出可疑的病毒木馬文件呢？我們可以結(jié)合系統(tǒng)時(shí)間來(lái)分析，也就是說(shuō)，在某個(gè)時(shí)間段你的機(jī)器不正常、運(yùn)行緩慢或者頻頻彈出廣告等，那么就重點(diǎn)查看這個(gè)時(shí)間段的沒(méi)有數(shù)字簽名的系統(tǒng)文件。

打開(kāi)系統(tǒng)自帶搜索工具，在搜索文件名中輸入“*.exe;*.dll”，因?yàn)椴《灸抉R往往是EXE和DLL文件類(lèi)型，在搜索范圍中設(shè)定系統(tǒng)目錄，在“什么時(shí)候修改的”一項(xiàng)中勾選“指定日期”，然后設(shè)置好時(shí)間范圍，最后在高級(jí)選項(xiàng)中勾選“搜索系統(tǒng)文件夾”、“搜索隱藏的文件和文件夾”，最后點(diǎn)擊搜索即可。（圖17）

從搜索結(jié)果來(lái)看，這個(gè)時(shí)間段修改的EXE和DLL文件比較多，這時(shí)，我們可以再結(jié)合“數(shù)字簽名檢測(cè)工具”來(lái)判別。具體操作是：將搜索結(jié)果中的所有文件復(fù)制到一個(gè)新的文件夾，然后再用數(shù)字簽名檢測(cè)工具來(lái)進(jìn)行檢測(cè)，沒(méi)有數(shù)字簽名的，基本上可以認(rèn)定是木馬病毒了。理由很簡(jiǎn)單，這個(gè)文件沒(méi)有合法的數(shù)字簽名，而這個(gè)文件出現(xiàn)后，就導(dǎo)致你的系統(tǒng)出現(xiàn)中毒、彈廣告窗口等癥狀，因此這個(gè)文件就很可能是罪魁禍?zhǔn)?。大家可以再用殺毒軟件?lái)進(jìn)行查殺，從而確保不會(huì)誤殺這個(gè)文件。

4 輕松修復(fù)系統(tǒng)漏洞

我們可以利用前面介紹的幾種方法來(lái)查找系統(tǒng)中的各種可疑文件，從而找出被病毒、木馬破壞的文件。那么除了這種“事后修補(bǔ)”的方式外，還有什么簡(jiǎn)單有效的方法來(lái)對(duì)付病毒木馬呢？其實(shí)，為系統(tǒng)打補(bǔ)丁就是一種非常必要也非常見(jiàn)效的一種“事前防范”方法。一方面我們可以開(kāi)啟Windows自動(dòng)更新服務(wù)，另一方面，我們完全可以借助大家聊天常用的QQ軟件來(lái)檢測(cè)并修復(fù)漏洞。

開(kāi)啟系統(tǒng)自動(dòng)更新的方法是：依次打開(kāi)“開(kāi)始控制面板Windows安全中心自動(dòng)更新”，在打開(kāi)的窗口中，勾選“自動(dòng)”，表示允許自動(dòng)更新，最后點(diǎn)擊“確定”即可。（圖18）

利用QQ查殺木馬、修復(fù)漏洞的方法則是：運(yùn)行QQ后，依次打開(kāi)QQ主面板上的“菜單安全中心在線查殺木馬”，在打開(kāi)的頁(yè)面中，點(diǎn)擊“開(kāi)始”按鈕，在接下來(lái)打開(kāi)的頁(yè)面中，首先會(huì)提示用戶安裝安全控件，然后點(diǎn)擊“開(kāi)始檢查”即可進(jìn)行木馬查殺和漏洞掃描。（圖19）

檢測(cè)到系統(tǒng)漏洞后，勾選相應(yīng)的漏洞，點(diǎn)擊“修復(fù)”按鈕即可修復(fù)系統(tǒng)漏洞，操作起來(lái)比較簡(jiǎn)單。（圖20）

結(jié)語(yǔ)

本專(zhuān)題為大家介紹了不使用殺毒軟件的情況下，如何確保電腦的安全運(yùn)行，說(shuō)到底，是充分挖掘了系統(tǒng)本身的潛能。當(dāng)然，這需要大家對(duì)電腦有較為深入的認(rèn)識(shí)，把握住系統(tǒng)細(xì)微的變化，從而快速診斷是否被病毒木馬破壞。需要提醒大家的是，雖然這里所講是手工與病毒木馬過(guò)招，但殺毒軟件仍然不可少，只有二者配合使用，方能打造系統(tǒng)安全的銅墻鐵壁！