導語：如何才能寫好一篇木馬檢測，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

論文關鍵詞：檢測木馬,查殺木馬,網(wǎng)站木馬,自動掃描,定位

 

引言:木馬是網(wǎng)站開發(fā)者與網(wǎng)站管理員所煩惱卻難以清除的木馬,在當前,還沒有一個殺毒軟件或者是檢測軟件能夠準確的標記出木馬的位置并將其清除,所以開發(fā)一套自動檢測asp木馬的軟件很有意義,可以為管理員對網(wǎng)站的維護節(jié)約大量的時間和精力.這樣的軟件應該被大多數(shù)網(wǎng)站管理員所接受并使用,這套系統(tǒng)為網(wǎng)站的安全性增添了一項保障.

假如一套網(wǎng)站維護的很好,卻入了很多有害代碼,對瀏覽者造成危害,或者對該網(wǎng)站的用戶造成損失,那這么絕對不是一套好的網(wǎng)站.但是如果花費大量的時間在大量的網(wǎng)頁文件中找出小小的木馬文件或者僅僅是一句簡單的有害語句,基本是不可能的.而自動檢測系統(tǒng)則大大簡化了這個過程,通過簡單的操作,進行簡單的掃描,可以定位并給出使用者可能得被感染的文件(由于軟件并不等于人,所以不能否認會出現(xiàn)失誤,所以需要使用者進行最后判斷),對于每一個網(wǎng)站管理員來說是必要的.

正文：軟件系統(tǒng)應該具有的特點是:準確,必須準確的掃描出可能含有危險代碼的文件;快速,不能花費管理員大量的時間;簡單,管理員只需要經(jīng)過簡單的點擊就可以使程序運行.

下面將圍繞這三個特性研究這套軟件的實現(xiàn).

簡單性:程序有一個設置掃描目錄的控件,此控件在程序運行時自動顯示上次掃描目錄;

設置一個開始掃描按鈕以使使用者快速開始;為了更好的精確定位,還需要加入兩個設置參數(shù)的文本框,分別是一級密碼和二級密碼;為了靈活使用加密強度,增加加密次數(shù)選擇框;為了使信息更精確,加入過濾設置選擇框(僅僅簡單的選擇項+一個用來存放臨時信息的輸入框即可);再有就是一個篩選按鈕(掃描結束進行篩選).這些控件的作用在下文提到.

這樣的設置可以使使用者以簡單的操作或得很好的使用效果,我們的最終目的是找出角落里的木馬,而使操作最簡化、資源占用最小化.

快速:占用大量的資源和執(zhí)行時間,是每個軟件都不應該有的.似乎效率和任務量成反比,但在此程序中,卻有所變化,如果要處理大量數(shù)據(jù),進行大量運算(這在查找木馬中是必須的,需要進行運算密匙,在下文將提到),而要執(zhí)行速度很快,使高級語言與匯編語言結合是一個不錯的方法,所以此程序應該在必要的地方(如大量使用得函數(shù))以使用匯編代碼.

如果要使程序執(zhí)行速度快,內聯(lián)函數(shù)也應該使用,內聯(lián)函數(shù)可以使重復使用量大的函數(shù)得到很高的運算速度,因此,以一定的程序體積來換取執(zhí)行效率,還是比較明智的.

內聯(lián)函數(shù)與匯編語言的結合使用可以提高程序的執(zhí)行效率,可以縮短程序執(zhí)行時間,提高速度.

準確:這是此系統(tǒng)的核心部分,沒有準確性一切都是空談.如何使定位準確呢?這里采用標記的方法.即把每個本地文件標記一個自定義的特殊的字符,在檢測時只要比較每個文件中的特殊字符,就可以定位木馬文件.

由于這種機制,字符的設置顯得很重要,設置一個難以辨識的、每個文件中都不相同的字符是必須的.如果每個字符都不相同,使用文件名與使用者定義密碼結合是一個解決思路,先取得文件名,在加上用戶定義的密碼進行特定運算,組成特定字符插入到此文件中;在檢測時,如果特定字符與運算字符不同或者未發(fā)現(xiàn)特定字符,可以定位此文件被修改過,而且是未授權的修改,那么基本就是木馬了.為什么說基本呢?因為特定字符可能是非法入侵者修改的,企圖迷惑管理員,但是入侵者有耐心修改的文件,我想管理員也一定有耐心將他修改回來,畢竟,這種文件是少數(shù)的.為了保證對這種INSERT型木馬的精確定位,在計算特殊字符時,還需要加入文件體積.這樣,不管入侵者修改了什么地方,都可以被定位.這這種運算方式是可選的,并且是可設置選擇規(guī)律的.為了防止入侵者的惡意迷惑管理員,這個需要加入一個規(guī)律的設置,如果是入侵者惡意修改文件體積,那么體積的大小,和修改時間,應該是有規(guī)律的(至少修改的時間會限定在幾天之內,這個時間看你掃描頻率,在此期間的修改程度和掃描精確度隨著掃描頻率的升高而升高),只要進行篩選,就可以略過這些惡意迷惑的修改,并進行恢復.如果加上這些惡意修改可能略過一些INSERT木馬,怎么辦呢?此時就要在此進行篩選了,為了迷惑管理員,入侵者不會把其他文件都INSER木馬,所以只要篩選出代碼中的無規(guī)律項,留下的應該就是木馬.為什么說應該呢?因為入侵者可能加入一些正常的語句,例如asp中的,這樣,既有規(guī)律,又更改了文件體積,而且沒有影響特征字符.但是,我們的軟件總是會比他高一籌,我們再次篩選,過濾掉那些預定為安全語句的文件,只留下帶有未經(jīng)安全允許的,有規(guī)律的,符合語法的文件,這些文件應該為數(shù)不多,管理員可以自己判斷.

上面的內容可以看出,檢測層層深入,每次掃描計算量很大,導致程序的執(zhí)行時間過長,但是我們的inline函數(shù)和匯編的結合使用,彌補了這一缺點.這樣,我們的程序很有效率.

特定字符的設定也極其重要.必須是與每個文件相關的,可以重新計算的,每個文件的特定字符是不同的.前面已經(jīng)提到,特定字符的組成部分應該是:使用者定義一級密匙+使用者定義二級密匙+文件體積+文件名.然而,計算方式是會被入侵者知道的,所以加密方式必須合理,以使入侵者即便得到加密原理,也不能解密.我們先把文件名+體積+一級密碼組合.組合方式有六種:文件名體積一級密碼、文件名一級密碼體積、體積文件名一級密碼、體積一級密碼文件名、一級密碼體積文件名、一級密碼文件名體積.這個方式由使用者選擇.然后我們使用二級密碼進行逐個加密,二級密碼應該設置的合適,它的設置應該對照于組合的密碼的長度,二級密碼最好設置為組合字符長度的1/5-1/4,不是1/5,也不是1/4,而在其之間,這樣,密碼長度合適,而且加密次數(shù)也達到4、5次,而且,加密時兩個字符串沒有同時結束.這樣加密就有了強度.

加密的過程很簡單,組合字符串與二級密碼相互相加,當二級密碼到結尾時,以二級密碼的第一個字符開始與二級密碼結尾時組合字符的字符的下一個字符開始繼續(xù)加密,一直到組合字符串的結束,當然,為了使密匙更強大,使用者可以定義加密的次數(shù),二次或者更多.比如組合字符串是:index305abcdefghig(文件名+體積+一級密碼),二級密碼是:1234那么加密次數(shù)為1的加密結果為:jpgiy539bdfhfhjlji.把這個特定字符放入文件中,檢測時以重新計算出的結果與預先放置的對比,如果正確,就篩選掉,如果錯誤,就選擇進行下一步處理.入侵者通過這個字符串要計算出一級密碼和二級密碼是很難的,需要大量的時間.而且,一級密碼和二級密碼的長度是未定的,就算得到成百上千個這樣的字符串和對應的文件,解密也需要大量的時間,而這段時間可能超過幾個月,甚至超過年.在這段時間里,密碼已經(jīng)更換過,所以安全性非常棒!

我們加密的過程不太復雜,但是計算量很大.由定義的密碼和文件信息組合成密匙,放入文件,以檢測文件的改動;同時為了防止入侵者的惡意迷惑,還進行了幾次篩選,把虛假信息大量篩選掉.匯編語言和高級語言的結合及inline函數(shù)的使用,大大彌補了程序執(zhí)行效率的問題.為使用者節(jié)約大量資源和時間.

篇2

“藍牙間諜”簡介

這是一款最初在塞班系統(tǒng)上使用的java軟件，它通過利用藍牙通訊標準中的缺點，使用藍牙通訊技術來控制別人的手機。在雙方進行藍牙連接的情況下，可以查看對方手機所有信息、控制對方的手機打電話、讓手機自帶的多媒體播放器播放音樂以及更改對方手機的情景模式。原則上可以控制任何開啟藍牙狀態(tài)的手機，當然針對不同型號版本的手機，軟件的控制程度會有所不同。

“藍牙間諜”實測

雖然這款軟件聽上去十分強大，不過它究竟是如何進行遠程控制的呢？筆者在此使用自己的塞班系統(tǒng)對一個MTK手機（大部分國產山寨手機所用的系統(tǒng)）進行了一番實際測試。

這款軟件的安裝過程與普通的手機java軟件安裝沒任何區(qū)別：把軟件從電腦上拷到手機中，然后通過手機文件管理器選中，開始安裝，因為這款軟件沒有涉及到任何手機高級權限的使用，所以用戶不必擔心安裝完成后可以在自己的程序管理界面中發(fā)現(xiàn)一個名為“BT HACK”的快捷方式，運行即可開啟藍牙間諜的監(jiān)控界面。不過需要注意的一點是，用戶必須在開啟藍牙組狀態(tài)的情況下再運行該程序，否則軟件會出現(xiàn)未知的錯誤提示。

打開監(jiān)控軟件，在軟件中選擇“連接\掃描目標”，當成功掃描到開啟了藍牙的目標手機后，選擇手機進行連接即可（如圖1）。假如目標主機和控制端之間曾經(jīng)使用藍牙傳輸過東西，那么就不會出現(xiàn)首次藍牙連接的配對提示，而是僅僅出現(xiàn)一個“有連接加入”的無聲信息。

藍牙間諜就這樣連接成功，并且在目標手機中沒有安裝任何額外軟件的情況下進行監(jiān)控了，藍牙間諜可控制的內容與先前介紹的差不多，比如運行“信息”選項，里面就能看到目標手機的電話號碼、手機版本等硬件信息（如圖2），不過在筆者的測試過程中發(fā)現(xiàn)imei那里顯示空白，大概因為不同版本手機的差異會導致某些具體信息讀取不完整。

運行“呼叫”選項后，用戶可以隨便寫個號碼讓目標手機撥打。筆者隨便填了個10086，果然朋友的手機就開始自動撥打10086。至于藍牙間諜所宣傳的如多媒體播放器的播放、停止等功能都沒有實際效果，看樣子除了基本的功能外，該軟件對使用山寨系統(tǒng)的手機并不能提供太多的功能。最后，當筆者測試提取短信內容時，發(fā)現(xiàn)目標手機中存儲因為了太多的短信內容，所以直接導致雙方的手機都處在了假死的狀態(tài)。直到目標機器主動關閉了藍牙狀態(tài)后，雙方的手機才恢復正常，不過即使在提取過程被中斷，控制端還是可以顯示已經(jīng)提取了的大部分短信內容（如圖3）。

接下來筆者再找了一臺此前沒有進行過藍牙連接的塞班手機，在連接的過程中目標手機接到提示需要進行配對（如圖4）。在配對成功的情況下控制端對手機不但取得了完全的控制權，而且在“信息”選項中里面也可以清楚地看到imei碼等此前無法顯示的信息了。由此可見，雖然不同版本之間的手機連接導致許多輔助功能無效，但是基本功能控制完全可以不受系統(tǒng)和版本差異的影響。

最后，筆者找來了另一個智能系統(tǒng)手機：安卓Gphone進行測試，安卓手機的藍牙功能一直都為人詬病，如果安卓用戶不主動安裝獨立的藍牙傳輸軟件的話，默認只能連藍牙耳機。沒想到這個被詬病的藍牙功能卻給它帶來了不錯的安全性。雖然筆者的軟件能成功搜索出對方的手機，但根本無法連接，更談不上之后的控制了。

“藍牙間諜”防范事項

通過筆者簡單的測試來看，藍牙間諜雖然沒有互聯(lián)網(wǎng)上炒作的那樣無所不能，但的確能做到介紹中的幾乎所有的主要功能，例如撥打號碼或提取短信內容，這已經(jīng)是非常過分的隱私級操作了，所以其危害性還是不小。而且這款軟件最可怕的一點是，它不像傳統(tǒng)病毒那樣往被害者電腦中植入文件，手機殺毒軟件對它毫無辦法，因此如何防范這個功能強大的木馬型軟件是一個必須要考慮的問題：

首先，由于這個軟件入侵用戶的手機是無聲無息的，但是它必須要通過藍牙來控制，要在雙方處于藍牙連接的情況下才行，所以最好的一個辦法就是手機在平時不要開啟藍牙功能。

篇3

關鍵詞：港口項目；智能大門信息系統(tǒng)；集裝箱破損檢測系統(tǒng)；電子車牌識別系統(tǒng) 文獻標識碼：A

中圖分類號：U656 文章編號：1009-2374（2016）22-0050-03 DOI：10.13535/ki.11-4406/n.2016.22.025

1 集裝箱號碼自動識別系統(tǒng)簡介及工作原理

集裝箱車輛通過智能大門時無需停車，集裝箱號碼自動識別系統(tǒng)通過紅外對射傳感器自動檢測集裝箱位置、高清攝像機進行圖像采集，系統(tǒng)自動識別GB/T 1836-1997標準的集裝箱號碼，通過識別集裝箱前、后、左、右集裝箱各面上的集裝箱號碼、ISO箱型代碼，系統(tǒng)可以自動識別并分辨出集裝箱種類單個20英尺、40/45/48英尺、2個20英尺集裝箱、標準箱、冷藏箱、超高箱、超長箱、框架箱等，全天候箱號識別率98%以上，識別時間≤2s，ISO代碼識別率98%以上，識別時間≤2s；對于識別錯誤的集裝箱通過校驗碼的校驗算法給出識別錯誤的提醒，通知工作人員進行人工處理，從而極大地提升了閘口的通行效率。

集裝箱號碼自動識別系統(tǒng)組成包括工作站1臺、集裝箱號碼自動識別系統(tǒng)軟件1套、網(wǎng)絡交換機1臺、高清攝像機4部、LED補光燈4部、PLC1套、紅外對射傳感器4套，如圖1所示，紅外觸發(fā)器連接PLC輸入端，PLC通過串口和工作站進行連接，高清攝像機通過網(wǎng)絡交換機和工作站連接。

集裝箱車輛通過閘口時由于集裝箱遮擋紅外對射傳感器狀態(tài)發(fā)生變化，集裝箱號碼自動識別系統(tǒng)軟件通過檢測PLC數(shù)據(jù)變化，確定圖像抓拍時機由高清攝像機進行圖像抓拍，系統(tǒng)在抓拍的圖像中通過識別算法識別出集裝箱號碼、ISO箱型代碼。

2 集裝箱破損檢測系統(tǒng)簡介及工作原理

集裝箱車輛通過智能大門時無需停車，集裝箱號碼自動識別系統(tǒng)通過紅外對射傳感器自動檢測集裝箱位置、高清攝像機進行圖像采集，圖像包括了集裝箱前、后、左、右、頂部5個面的圖像，然后工作人員由集裝箱號碼自動識別系統(tǒng)客戶端定義集裝箱破損類型、人工根據(jù)采集的圖像進行集裝箱驗殘操作，系統(tǒng)的主要作用：工作人員在寬敞明亮的監(jiān)控中心通過查看采集的集裝箱圖像進行驗殘作業(yè)替代了工作人員在閘口通過檢查橋或者檢查梯進行人工集裝箱驗殘的作業(yè)方式，把工作人員從川流不息的閘口解放出來，避免了車輛尾氣污染，同時也消滅了安全隱患。

集裝箱破損檢測系統(tǒng)組成包括工作站1臺、集裝箱破損檢測系統(tǒng)系統(tǒng)軟件（包括采集端和客戶端）1套、網(wǎng)絡交換機1臺、高清攝像機4部、LED補光燈4部、PLC1套、紅外對射傳感器6套，如圖2所示，紅外觸發(fā)器連接PLC輸入端，PLC通過串口和工作站進行連接，高清攝像機通過網(wǎng)絡交換機和工作站連接。

集裝箱車輛通過閘口時由于集裝箱遮擋紅外對射傳感器狀態(tài)發(fā)生變化，集裝箱破損檢測系統(tǒng)采集端軟件通過檢測PLC數(shù)據(jù)變化，確定圖像抓拍時機由高清攝像機進行圖像抓拍，工作人員通過破損檢測系統(tǒng)客戶端查看采集的集裝箱圖像進行驗殘作業(yè)。

3 現(xiàn)狀分析及存在問題

3.1 現(xiàn)狀分析

目前在智能大門系統(tǒng)中集裝箱號碼自動識別系統(tǒng)和破損檢測系統(tǒng)作為獨立的系統(tǒng)運行，通過數(shù)據(jù)接口由閘口系統(tǒng)和其他系統(tǒng)采集的數(shù)據(jù)進行整合。

3.2 存在問題

（1）集裝箱號碼自動識別系統(tǒng)和集裝箱破損檢測系統(tǒng)硬件存在重復和浪費；（2）客戶無法通過集裝箱號碼直接查詢破損檢測記錄需要由閘口系統(tǒng)建立兩者的關聯(lián)性；（3）安裝部署比較麻煩。

4 改進計劃

針對現(xiàn)狀進行經(jīng)過分析，在喀麥隆智能大門系統(tǒng)中實施集裝箱號碼自動識別與破損檢測系統(tǒng)的集成，目標：（1）集成后的系統(tǒng)1套系統(tǒng)實現(xiàn)箱號碼自動識別與破損檢測系統(tǒng)的功能；（2）最大限度地進行設備共用；（3）數(shù)據(jù)進行整合，一條記錄包括集裝箱號碼識別結果和集裝箱破損檢測結果。

需要解決的主要問題：（1）結合集裝號碼自動識別和破損檢測系統(tǒng)車輛圖像抓拍流程，進行流程的整合重構；（2）集裝箱號碼自動識別系統(tǒng)算法調整。

結合集裝箱號碼自動識別和破損檢測系統(tǒng)圖像抓拍流程及安裝部署方式進行系統(tǒng)整合及流程優(yōu)化，通過流程調整滿足集裝箱號碼自動識別及破損檢測兩個系統(tǒng)的需要。

4.1 調整后的系統(tǒng)組成

工作站1臺、集裝箱號碼自動識別+破損檢測系統(tǒng)系統(tǒng)軟件1套、網(wǎng)絡交換機1臺、高清攝像機6部、LED補光燈6部、PLC1套、紅外對射傳感器6套，如圖3所示：

4.2 調整后設備安裝方式

調整后設備安裝方式如圖4所示。

4.3 調整后流程說明

對于40/45/48英尺、2個20英尺集裝箱，圖像抓拍分4個步驟完成，其中用于箱號識別圖像6張，用于集裝箱破損檢測圖像8張。

對于20英尺集裝箱，圖像抓拍分3個步驟完成，其中用于箱號識別圖像4張，用于集裝箱破損檢測圖像6張。

5 集裝箱號碼自動識別系統(tǒng)算法調整

采用新的車輛圖像抓拍流程后，集裝箱前、后圖像由共用的高清攝像機進行抓拍，由于集裝箱破損檢測圖像需要覆蓋整個集裝面，箱號識別在圖像主要覆蓋集裝箱號碼區(qū)域，為了加快集裝箱號碼識別的速度和準確性，對集裝箱號碼自動識別系統(tǒng)算法進行調整，可以設定圖像的識別區(qū)域，當識別區(qū)域內沒有集裝箱號碼時再進行全圖識別，通過測試單張圖片識別速度比起全圖識別提升100%，以200萬像素圖片為例識別時間由平均500毫秒左右提升到200毫秒左右。

6 結語

篇4

網(wǎng)頁:“我本善良”

很多人在遇到網(wǎng)站威脅時,可能都歸罪于網(wǎng)站,但其實網(wǎng)站的制作者更是冤枉,除了很少網(wǎng)站是黑客專門制作的掛馬陷阱網(wǎng)站外,包含木馬的網(wǎng)站都是被黑客利用(見圖1),本身就是受害者。黑客會利用掃描工具查找網(wǎng)站的漏洞,并實施攻擊,獲取管理權限,然后就可以輕松植入木馬了。例如在網(wǎng)站中插入:＜iframe src=網(wǎng)頁木馬地址width=0 height=0＞＜/iframe代碼＞,這樣當電腦訪問網(wǎng)站時就會自動彈出木馬程序(現(xiàn)在網(wǎng)頁木馬可以實現(xiàn)后臺運行模式),讓瀏覽的電腦用戶運行木馬。

要保安全 需知“管馬”三招

了解了這個情況,很多人又開始問了,木馬如何防御呢?那些殺毒軟件怎么知道網(wǎng)頁被植入木馬了呢?其實網(wǎng)頁木馬不是新的品種,它和普通木馬的區(qū)別只是載體的不同,以前都是放在文件、郵件中,現(xiàn)在大家的防范意識高了,瀏覽網(wǎng)頁的頻率也高了,所以黑客將木馬代碼放在網(wǎng)頁上,增加感染機會。

理解了這個,安全軟件防御網(wǎng)頁木馬的過程也就出來了,他們防御的原理是一樣的,只是途徑要首先在網(wǎng)絡傳輸中完成。目前,主要的方式有以下三種

1.攻擊代碼識別:如果網(wǎng)頁中被植入了木馬,那么在傳輸中,安全軟件就可以先檢測代碼,如果它的特征屬于木馬,那么就會提示網(wǎng)頁不安全,并進行攔截了。

2.行為識別:前面是簡單的代碼特征檢測,而高級一點的方式就是分析代碼的行為,不單單考察特征。如有程序對系統(tǒng)目錄進行修改,一起刪除整個分區(qū)文件等這些危險操作,那么殺毒軟件都會認為有病毒攻擊,從而加以阻止這些網(wǎng)頁。

3.中毒清理:網(wǎng)頁木馬攻擊成功后會釋放木馬程序到用戶計算機中,木馬程序一般會生成DLL文件、修改注冊表等操作,殺毒軟件檢測到這些,就會提示用戶某些程序是病毒程序,與用戶互動實現(xiàn)對木馬運行的阻止(見圖2),算是網(wǎng)頁木馬的后期防御。

火速連接

關于網(wǎng)頁木馬的防御可以參考2009年第12期《網(wǎng)馬隨處“跑” 手動如何“逃”》和11期《欲練此功必先自功 另類電腦防護》。

現(xiàn)代社會現(xiàn)代化“管馬”

針對網(wǎng)馬攻擊還有一種簡潔的防御軟件:外掛式瀏覽器防御軟件,如金山網(wǎng)盾。此類防御系統(tǒng)對木馬的防御原理與殺毒軟件的防火墻基本相似,訪問含有網(wǎng)馬的網(wǎng)站時,外掛防御系統(tǒng)會對IE、FireFox等瀏覽器的Cookies進行內容過濾保護,從而過濾網(wǎng)馬自我釋放的程序,從攻擊行為防御上實現(xiàn)對0-DAYS類的攻擊防護。

進入云安全時代,網(wǎng)頁木馬的防御也有了新的應用,例如,諾頓、邁克菲等安裝軟件增加了網(wǎng)頁安全的預檢測機制,當我們在谷歌等搜索引擎中搜索時(谷歌也推出過安全瀏覽功能,是利用算法來分析網(wǎng)頁本身,有威脅的會給予提示),在結果信息的返回過程中,安裝在瀏覽器中的安全組件會先對返回的網(wǎng)頁進行預讀,并首先對比已知的安全網(wǎng)頁名單,如果沒有則重新檢測,一旦發(fā)現(xiàn)威脅就將結果直接在搜索結果類別中列出(見圖3),這也就是使用這類軟件搜索時,結果出現(xiàn)的時間會落后一秒的原因。云安全的引入,將這些檢測更加快速,例如一旦發(fā)現(xiàn)某個網(wǎng)站掛馬,那么這個信息就會迅速與全球用戶共享,其他人瀏覽到該網(wǎng)頁就會提示有木馬,阻止網(wǎng)民瀏覽,當然,當檢測到該網(wǎng)站消除了木馬威脅后,這個網(wǎng)站也就又放行了。

篇5

[關鍵詞] 掃描 權限 后門

信息網(wǎng)絡和安全體系是信息化健康發(fā)展的基礎和保障。但是，隨著信息化應用的深入、認識的提高和技術的發(fā)展，現(xiàn)有信息網(wǎng)絡系統(tǒng)的安全性建設已提上工作日程。

入侵攻擊有關方法，主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡管理中有關知識和經(jīng)驗，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進行分析后，我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

掃描時,攻擊者首先需要自己構造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準確地檢測到系統(tǒng)遭受了網(wǎng)絡掃描?？紤]下面幾種思路：

1.特征匹配。找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測端口掃描的存在。如UDP端口掃描嘗試：content:“sUDP”等等。

2.統(tǒng)計分析。預先定義一個時間段，在這個時間段內如發(fā)現(xiàn)了超過某一預定值的連接次數(shù)，認為是端口掃描。

3.系統(tǒng)分析。若攻擊者對同一主機使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統(tǒng)忽略，不按順序掃描整個網(wǎng)段，將探測步驟分散在幾個會話中，不導致系統(tǒng)或網(wǎng)絡出現(xiàn)明顯異常，不導致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數(shù)據(jù)進行系統(tǒng)分析，可以檢測出緩慢和分布式的掃描。

二、檢測本地權限攻擊的思路

行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。

1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內存活動，跟蹤內存容量的異常變化，對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。

監(jiān)測敏感目錄和敏感類型的文件。對來自www服務的腳本執(zhí)行目錄、ftp服務目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務程序的命令的執(zhí)行。對數(shù)據(jù)庫服務程序的有關接口進行控制,防止通過系統(tǒng)服務程序進行的權限提升。監(jiān)測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運行。

2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗快照， 檢測對這些系統(tǒng)變量的訪問，防止篡改導向攻擊。

4.虛擬機技術。通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存，能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉等和正常計算機程序不一樣的地方，再結合特征碼掃描法，將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中，完成對一個特定攻擊行為的判定。

虛擬機技術仍然與傳統(tǒng)技術相結合，并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結合的境界，在一個階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內，虛擬機在合理的完整性、技術技巧等方面都會有相當?shù)倪M展。目前國際上公認的、并已經(jīng)實現(xiàn)的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。

三、后門留置檢測的常用技術

1.對比檢測法。檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網(wǎng)絡的主機上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異常現(xiàn)象從而使隱身的木馬“現(xiàn)形”。 常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進行生成。

篇6

[關鍵詞] 木馬 傳播途徑 攻擊步驟

一、什么是木馬

木馬本質上是一種經(jīng)過偽裝的欺騙性程序,它通過將自身偽裝吸引用戶下載執(zhí)行,從而破壞或竊取使用者的重要文件和資料。

木馬程序與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它是一種后臺控制程序。它的主要作用是向施種木馬者打開被種者電腦的門戶,使其可以任意毀壞、竊取被種者的文件,甚至遠程操控其電腦。

二、木馬的組成

一個完整的木馬系統(tǒng)以下幾部分組成:

1.硬件部分。建立木馬連接所必須的硬件實體,一般由控制端、服務端和INTERNET三部分組成。

2.軟件部分。實現(xiàn)遠程控制所必須的軟件程序,主要包括控制端程序、木馬程序和木馬配置程序等。

3.建立連接的必要元素。構建服務端和控制端連接所必須的元素。主要包括控制端IP、服務端IP、控制端端口以及木馬端口等。

三、木馬的發(fā)展歷史

木馬的發(fā)展大致經(jīng)歷了三個階段,第一階段的木馬也叫偽裝型病毒。這種木馬通過偽裝成一個合法性程序誘騙用戶上當。世界上第一個計算機木馬是出現(xiàn)在1986年的PC-Write木馬,它偽裝成共享軟件PC-Write的2.72版本,一旦用戶運行該木馬程序,硬盤被格式化。第二代木馬叫AIDS型木馬,它最早出現(xiàn)于1989年。雖然它不會破壞數(shù)據(jù),但能將硬盤加密鎖死,然后提示受感染用戶往制定賬戶匯款以解除硬盤加密。隨著Internet的普及,出現(xiàn)了兼?zhèn)鋫窝b和傳播兩種特征,并結合TCP/IP網(wǎng)絡技術的第三代木馬――網(wǎng)絡傳播性木馬。這個階段的木馬已經(jīng)具備了“后門”功能。所謂后門,就是一種可以為計算機系統(tǒng)秘密開啟訪問入口的程序。一旦被安裝,攻擊者就能繞過安全程序進入系統(tǒng),收集系統(tǒng)中的重要信息;同時,第三代木馬還具有鍵盤記錄功能,記錄用戶所有的擊鍵內容,形成包含用戶重要信息的擊鍵記錄日志文件發(fā)送給種馬者。這一代木馬比較有名的有國外的BO2000(BackOrifice)和國內的冰河木馬。它們的共同特點是:基于網(wǎng)絡的客戶端/服務器應用程序,具有搜集信息、執(zhí)行系統(tǒng)命令、重新設置機器、重新定向等功能。

四、木馬的傳播途徑

1.通過電子郵件的附件傳播。

2.通過下載文件傳播。主要通過兩種方式:一種是直接把下載鏈接指向木馬程序;另一種是將木馬捆綁到需要下載的文件中。

3.通過網(wǎng)頁傳播。木馬程序加載在網(wǎng)頁內,使瀏覽器自動下載并執(zhí)行。

4.通過聊天工具傳播。

五、木馬攻擊的步驟

木馬實現(xiàn)網(wǎng)絡入侵大致可分為配置、傳播、運行、信息泄露、連接建立和遠程控制六步:

1.配置木馬

一個設計成熟的木馬,必須有木馬配置程序,木馬配置主要實現(xiàn)以下兩方面功能:

(1)木馬偽裝。木馬配置程序為了在服務端盡可能的好的隱藏木馬,通常采用以下幾種偽裝手段:①修改圖標。將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,以迷惑網(wǎng)絡用戶。②捆綁文件。將木馬捆綁到一個安裝程序上,隨著該程序的安裝,木馬被植入系統(tǒng)。③出錯顯示。當服務端用戶打開木馬程序時,彈出一個錯誤提示框,伴隨用戶的操作木馬便植入系統(tǒng)。④定制端口。新式木馬通過定制端口的手段,控制端用戶可以在1024―65535之間任選一個數(shù)字作為木馬端口,增大木馬檢測的難度。⑤自我銷毀。新式木馬安裝后,原文件將自動銷毀,木馬的來源就很難找到,增大木馬檢測難度。⑥木馬更名。新式木馬更改植入系統(tǒng)的木馬文件名,增大木馬檢測難度。

(2)信息反饋。木馬配置程序對信息反饋的方式或地址進行設置。

2.傳播木馬

木馬的傳播方式第四節(jié)已詳細介紹。

3.運行木馬

木馬在服務端自動安裝,設置觸發(fā)條件后,就可啟動運行。木馬的運行方式主要包括以下幾種:

(1)自啟動激活木馬

①在C:WINDOWS目錄下的配置文件system.ini中設置命令行啟動木馬。②控制端用戶與服務端建立連接后,將已添加木馬啟動命令的文件上傳到服務端覆蓋C盤根目錄下的Autoexec.bat和Config.sys。③啟動菜單:在“開始――程序――啟動”選項下也可能有木馬的觸發(fā)條件。

(2)觸發(fā)式激活木馬

①通過修改打開HTML,EXE,ZIP等文件啟動命令的鍵值來啟動。②捆綁文件:控制端用戶將木馬文件和某一應用程序捆綁在一起,然后上傳到服務端覆蓋原文件,這樣即使木馬被刪除,只要運行捆綁木馬的應用程序,木馬將再次被安裝。③自動播放式:修改AutoRun.inf中的open命令來指向木馬程序。

4.信息泄露

成熟的木馬都有一個信息反饋機制。所謂信息反饋機制,是指木馬成功安裝后會收集一些服務端的軟硬件信息,并通過E-MAIL,IRC或ICO的方式告知控制端用戶。從反饋信息中控制端可以知道服務端的一些軟硬件信息,其中最重要的是服務端的IP,獲取參數(shù),控制端方可與服務端建立連接。

5.建立連接

木馬連接的建立必須滿足以下條件:一是服務端已安裝木馬程序;二是控制端和服務端都必須接入網(wǎng)絡;三是獲取服務端IP地址。

獲得服務端IP地址的方法主要有兩種:信息反饋和IP掃描。信息反饋前面已經(jīng)介紹,這里主要介紹IP掃描的過程。其過程如下:控制端掃描IP地址段中相應木馬端口號開放的主機,并將該主機的地址記入IP地址列表,同時向該主機發(fā)出連接信號,服務端木馬程序收到信號后立即作出響應,控制端收到響應信號后,開啟一個隨即端口并與服務端木馬端口建立連接。

6.遠程控制

控制端與木馬程序建立連接后,通過木馬程序對服務端進行遠程控制?？刂贫丝梢愿`取的權限有以下幾種:

(1)竊取密碼。通過鍵盤記錄功能,竊取用戶的各種密碼或偵測一切以明文形式或者存儲在CACHE中的密碼。 (2)文件操作?？刂贫擞蛇h程控制對服務端上的文件進行刪除、篡改、上傳等一系列操作。(3)修改注冊表?？刂贫丝扇我庑薷姆斩俗员?包括刪除,新建或修改主鍵、子鍵鍵值,甚至鎖住服務端的注冊表。(4)系統(tǒng)操作。對服務端操作主要包括重啟或關閉操作系統(tǒng)、斷開網(wǎng)絡連接以及控制鼠標或鍵盤等。

六、結束語

目前,針對木馬的檢測和清除技術在不斷地提高,但是木馬的變更手段也日益猖狂,正所謂“道高一尺魔高一丈”。在計算機的游戲規(guī)則中,總是先有木馬出現(xiàn),才有查殺和清除木馬的方法。作為一個新時代的計算機用戶,只有深入地了解木馬的攻擊手段,不斷積累經(jīng)驗,才能盡量減少木馬造成的損失,給自己創(chuàng)造一個良好的網(wǎng)絡生活方式。

參考文獻:

[1]張友生.計算機病毒與木馬程序剖析.北京:科海電子出版社,2003.

[2]陳什云.黑客攻防對策.清華大學出版社,2002.

[3]Donald L.Pipkin著.朱崇高譯.攔截黑客-計算機安全入門(第二版).清華大學出版社,2003.

篇7

作為國內群眾知名度最高的安防軟件,瑞星一直都是話題比較多的公司。但這并不會影響到瑞星的產品,雖然瑞星的產品在一些設計上可謂褒貶不一(比如桌面上的小獅子,有人喜歡,有人不喜歡),但總體來說,瑞星的產品還是相當不錯的。而且近年來,瑞星一直走在國內安防領域的前沿,率先提出了所謂“安全云”概念,領先進入安防軟件互聯(lián)網(wǎng)化領域,而此前的一些諸如主動防御之類的概念,瑞星也同樣處于領先地位,率先提出概念,推出新產品。

前不久推出的瑞星全功能安全軟件2010是一款基于瑞星“云安全”系統(tǒng)設計的新一代殺毒軟件。其“整體防御系統(tǒng)”可將所有互聯(lián)網(wǎng)威脅攔截在用戶電腦以外。應用“云安全”的全新木馬引擎、“木馬行為分析”和“啟發(fā)式掃描”,結合“云安全”系統(tǒng)的自動分析處理病毒流程,能第一時間極速將未知病毒的解決方案實時提供給用戶。

瑞星全功能安防軟件2010提供的“木馬入侵攔截”功能是基于網(wǎng)頁木馬行為分析的技術,通過檢測網(wǎng)頁中的惡意程序和惡意代碼,可以有效地攔截網(wǎng)頁惡意腳本或病毒,阻止病毒通過掛馬網(wǎng)站進行傳播。此功能是支持瑞星“云安全”計劃的主要技術之一。瑞星2010版中的“木馬行為防御”功能采用的是“動態(tài)行為啟發(fā)式檢測技術”,所謂動態(tài),就是當未知木馬病毒運行后,在其進行破壞行為時(如病毒正在替換系統(tǒng)文件、寫啟動項、記錄鍵盤信息等)進行動態(tài)攔截并清除未知病毒。動態(tài)行為啟發(fā)式檢測技術是通過對“云安全”系統(tǒng)截獲的數(shù)千萬木馬和其他類型病毒的惡意行為進行分析,把木馬和其他病毒的行為進行提煉,如果有最新未知病毒入侵電腦進行破壞活動時,動態(tài)阻止其偷竊和破壞作用,使其失效。

此外,作為瑞星整體防御系統(tǒng)的一部分,瑞星全功能安全軟件2010推出了“應用程序加固”功能。該功能在第一次安裝的時候,會掃描出用戶計算機系統(tǒng)內有哪些程序需要加固。當應用程序啟動后,瑞星安防系統(tǒng)會檢測該程序的不正常行為(例如:word.exe不會去執(zhí)行一個啟動rundlllexe的操作),如果發(fā)現(xiàn)有不正常行為該程序將不會啟動。應用程序加固功能是針對一些被病毒經(jīng)常利用,作為入侵途徑的應用程序,通過監(jiān)控它們的操作行為,確定是否存在惡意代碼利用它們的防御脆弱點進行入侵,并阻止正在進行的入侵行為從而達到病毒防御的目的。

除了前面提到的這些技術和功能外,瑞星全功能安防軟件2010集成并進一步優(yōu)化了之前的一系列安防技術和功能。以往的瑞星特色,如多種查殺方式相結合、基于云安全的啟發(fā)式掃描、重新優(yōu)化的實時監(jiān)控引擎,以及與云安全整臺的全新防火墻等等,讓瑞星全功能安全軟件2010達到了全新的高度。而且瑞星全功能安全軟件2010的UI設計進一步進行整合,更易上手:同時安防軟件整體的系統(tǒng)占用率更低,系統(tǒng)進程更少,效率更高。

篇8

Abstract： Based on the daily computer security maintenance needs， this article describes how to achieve a set of computer security maintenance tool system， can quickly respond to a computer system using a process common to all kinds of information security risks， to quickly build a relatively safe target of computer system. To meet the daily frequent large work of computer system security upgrades， testing， management and maintenance requirements， so that the ordinary technical staff can become a computer security application experts， to improve the user's own computer security technology ability.

關鍵詞： 計算機安全；安全維護；安全管理；安全；系統(tǒng)

Key words： computer security；security maintenance；security management；security；system

中圖分類號：TP309.1 文獻標識碼：A 文章編號：1006-4311（2017）06-0222-03

0 引言

維護計算機安全不僅要在制度和管理上進一步強化與完善工作流程和方法，更重要的是要在技術上解決好包括清掃電腦中的病毒、流氓、間諜、木馬軟件，及時安裝系統(tǒng)安全補丁，使用加密來保護重要文件，啟用正確可信的網(wǎng)絡防火墻，正確存放、管理、使用和銷毀介質存儲信息等問題。目前市場沒有較好的完整的現(xiàn)成可用的解決方案和工具，市面上的安全產品為某類或某些功能的組合：如專門的殺毒產品、防火墻產品、木馬工具、數(shù)據(jù)保險箱系統(tǒng)、數(shù)據(jù)衛(wèi)士、文件保險柜等安全產品，它們可以在一定程度上保護自己的信息的安全性，然而目前這類安全產品普遍存在價格高、操作復雜、響應周期長、安全有潛在隱患等不利因素，嚴重影響了一些關鍵環(huán)節(jié)和要害部門對計算機的使用管理。為此，針對用戶日常的計算機安全與維護需要一套更便捷、完整、易用的系統(tǒng)――便捷計算機安全維護工具系統(tǒng)，滿足日常工作中頻發(fā)的大量的計算機系統(tǒng)安全升級、檢測、管理和維護工作的要求，使普通技術人員都能成為計算機安全應用的保障專家，提高用戶自身的計算機安全技術保障能力。

1 計算機安全維護方案

根據(jù)我們自己和同行的多年的計算機技術維修與保障經(jīng)驗、安全應用與維護實踐，我們總結了確保計算機系統(tǒng)安全的維護與防護措施主要有六個方面：

①關掉漏洞，及時打補丁和更新；②阻止入侵者，至少安裝一個基本的桌面防火墻；③停止感染，每臺計算機都需要較新的防病毒保護；④防止顛覆情況，掌控機器上的惡意軟件；⑤徹底鎖住，口令限制重要訪問；⑥定期綜合檢測清理，確保所有保護都在正常工作。

本著完整、快速、可用、開放的四個主要原則，按照上述六個主要安全維護、防護措施和環(huán)節(jié)，便捷計算機安全維護工具系統(tǒng)以光盤或移動硬盤、U盤為載體，采用定期或更新形式，幫助用戶以快速消除計算機安全隱患、打造相對安全的計算機系統(tǒng)為目標，我們研制了便捷計算機安全維護工具系統(tǒng)，提供一套完整的可信的敏捷的計算機安全維護工具系統(tǒng)方案與軟件工具包，主要集成有殺毒軟件安裝與升級、綜合殺毒、補丁安裝、安全清理、安全查測、硬盤銷密、文件銷毀等各種軟件工具，這些工具有的是我們特意制作，有的是我們改造的，有的是我們大量實踐篩選的，都經(jīng)過我們反復多次測試、比較、升級、綠化、優(yōu)化、凈化、定制等處理工作。該系統(tǒng)定期及時提供DOS啟動多種殺毒方案，Windows殺毒軟件多種安裝、運行方案，特有病毒的專殺工具，木馬掃描清除工具。系統(tǒng)能夠完成的主要功用為：①殺毒安全工具的安裝與升級；②綜合手段殺毒，清除木馬、流氓；③漏洞檢測與補丁安裝；④硬盤與數(shù)據(jù)銷密；⑤安全查測功能；⑥系統(tǒng)安全錯誤修復功能；⑦自動運行病毒免疫；⑧其他功能。

2 實現(xiàn)難點與關鍵技術

便捷計算機安全維護工具系統(tǒng)，設計自動運行并引導的計算機安全維護工具集（光盤/移動硬盤/U盤）系統(tǒng)，集成精選的較新的安全軟件、升級包、系統(tǒng)補丁、常用工具。重點解決系統(tǒng)的三個方面的難點：

系統(tǒng)難點之一是更新的快速響應。為了能應對快速或更新，對主要的殺毒、清除工具，精心編制了自己的自動化網(wǎng)上升級打包工具，優(yōu)化設計快速定期工作，最快可在半日內完成最新版本的推出，平時一般每半月或一月更新一次。

系統(tǒng)難點之二是工具的有效益用。在選用工具時，立足可信目標，通過自制或選用正版、免費、開放源碼、可靠安全破解的專門工具軟件，并經(jīng)過多次安全檢測、試用等層層篩選、凝聚而定。集成工具有殺毒軟件安裝與升級、綜合殺毒、補丁安裝、安全清理、安全查測、硬盤銷密、文件銷毀等各種軟件。這些工具有的是特意制作，有的是改造的，有的是大量實踐篩選的，都經(jīng)過大量測試、比較、升級、綠化、優(yōu)化等處理工作。對殺毒、清理等功能類的軟件，優(yōu)選兩種以上的工具軟件，支持交叉殺毒、清理。此外，隨著相關技術和軟件的發(fā)展，經(jīng)常更換一些新的較好的軟件工具進來。

系統(tǒng)難點之三是系統(tǒng)的引導使用。實現(xiàn)至少三種平臺下的引導使用。一是DOS啟動加載，可以實現(xiàn)殺毒清理、硬盤修復、硬盤銷密、密碼修改等功能；二是光盤XP_PE啟動加載，可以實現(xiàn)光盤安全的XP下對硬盤系統(tǒng)的殺毒、清理、格式化、維護等功能；三是硬盤WindowsXP系統(tǒng)下的啟動加載，可以實現(xiàn)硬盤系統(tǒng)下的殺毒及安裝、病毒庫更新、漏洞掃描、補丁安裝、木馬清理、惡意軟件清理、廣告清理、防火墻安裝與檢測、文件銷毀、磁盤銷密、電腦安全修復錯誤等功能。另外提供Linux平臺下的瑞星殺毒綠色版軟件，可直接運行殺毒?？傊?，通過對應用軟件的“綠色化”加工、直接引導以及跨平臺運行、在線即時更新技術等加工處理，實現(xiàn)DOS啟動加載、光盤/硬盤WindowsXP下調度運行等多種途徑下的集成管用。

在計算機安全維護工具（光盤/移動硬盤/U盤）系統(tǒng)的設計與實現(xiàn)過程中，要重點掌握和運用四個方面的技術：

2.1 DOS下各類軟件與工具的引導與調度

主要有DOS下的殺毒工具、信息銷密工具、磁盤維護工具、密碼更改工具等。通過對應用軟件的直接引導以及跨平臺運行處理，實現(xiàn)了DOS啟動加載運行的集成管理與調度。

2.2 Windows下個各類軟件與工具的引導與調度

主要有Windows下的殺毒工具軟件的安裝、升級與運行，各類木馬、流氓安全清殺工具，系統(tǒng)安全維護、檢測工具，文件銷毀工具等。通過對應用軟件的“綠色化”加工、直接引導以及跨平臺運行處理，分類組織實現(xiàn)了Windows下加載運行的集成管理與調度。

2.3 WinPE安全維護系統(tǒng)的設計與完善

當硬盤Windows系統(tǒng)無法啟動、進入時，可以通過另一個WinPE系統(tǒng)啟動，實現(xiàn)對硬盤系統(tǒng)的信息銷密、安全清殺、密碼更改、數(shù)據(jù)備份等操作。并可以通過WinPE系統(tǒng)，執(zhí)行對U盤、指定硬盤分區(qū)的銷密處理。

2.4 定期地更新和完善機制

隨著硬件、軟件、系統(tǒng)的發(fā)展，安全處理技術的進步，利用安全渠道，編制了自己的自動化網(wǎng)上升級打包工具，下載并更新選用的殺毒軟件、清理軟件的升級包和操作系統(tǒng)的安全補丁包；對本系統(tǒng)不斷推陳出新，定期更新和完善計算機殺毒安全維護工具集。

3 系統(tǒng)實現(xiàn)方案

該便捷計算機安全維護工具系統(tǒng)支持光盤、U盤、移動硬盤多種載體運行，系統(tǒng)的光盤/U盤/移動硬盤版可開機直接引導啟動，首先進入DOS引導界面，默認選擇進入WinPE便捷殺毒安全維護界面。在Windows系統(tǒng)下，插入該系統(tǒng)的光盤/U盤/移動硬盤，可運行光盤/U盤/移動硬盤根目錄下的可執(zhí)行文件進入Windows引導界面。

3.1 Windows引導工具

Windows引導界面下提供的主要工具集有五大類：

①第一類病毒清除工具集。

1）病毒查殺：有瑞星殺毒、金山毒霸等較新的綠化殺毒軟件。

2）殺毒軟件安裝：有較新的江民殺毒、瑞星殺毒、金山毒霸、卡巴斯基漢化版等殺毒軟件。

3）防火墻安裝：有較新的瑞星防火墻、木馬防火墻。

4）安全衛(wèi)士、木馬防護：可安裝較新的360安全衛(wèi)士、瑞星卡卡。可直接運行光盤/移動介質上的較新的360安全衛(wèi)士、瑞星卡卡、Windows木馬清道夫、木馬克星Iparmor，對木馬等進行手工綜合查殺，也開啟監(jiān)控功能進行木馬實時檢測防護。

②第二類安全清理工具集。

1）常用清理工具：有Windows清理助手、完美卸載、流氓軟件清理大師、超級兔子清理王、惡意軟件清理助手等常用清理工具。

2）專用清理工具：有QQ病毒專殺、廣告軟體專殺、影音木馬免疫、RM去廣告專家等專用清理工具。

3）移喲媧⒔櫓是謇砉ぞ擼河U盤病毒免疫、U盤病毒專殺等工具。

4）痕跡清理工具：有無影無蹤WYWYZ控制臺、iolo清理、注冊表清理、U盤痕跡擦除、垃圾文件清理等清理工具。

③第三類安全檢測工具集。

1）網(wǎng)絡安全檢測：有Leaktest、IECookiesView、局域網(wǎng)查看、網(wǎng)絡狀態(tài)查看、共享查看等工具。

2）系統(tǒng)安全檢測：有系統(tǒng)漏洞掃描、啟動項目管理、冰刃IceSword、反黑輔助工具SysCheck、SREng 2.5（Sytem Repair Engineer）、USB使用記錄查看等工具。

3）文件安全檢測：有R-Studio、WinHex15.8、數(shù)字簽名檢測、FileMon、RegSnap等工具。

4）硬件安全檢測：有硬件系統(tǒng)檢測Everest、CPU 檢測（CPU-Z）、ATTO 磁盤性能測試、經(jīng)典測試SuperPI、內存檢測MemTest、ATTO 磁盤性能測試、硬盤檢測HDTune、U盤檢測器、顯卡檢測GPU-Z、顯示器測試DisplayX、筆記本電池檢測、鍵盤檢測、網(wǎng)卡檢測器、無線網(wǎng)卡檢測、數(shù)碼CCD壞點檢測等工具。

④第四類安全維護工具集。

1）系統(tǒng)維護：有電腦安全修復錯誤工具（PC On Point）、注冊表安全修復工具（Registry Repair）、IE修復專家等。

2）硬盤維護：有分區(qū)管理WinPM、分區(qū)表醫(yī)生PTDD、諾頓磁盤醫(yī)生2006、XP下低格硬盤工具、高速掃描硬盤、精確掃描硬盤等。

3）其它常用工具：有密碼生成器、WinRar3.90、UltraEdit-32，磁盤映象WinImage、光盤映像UltraISO、Ghost V11、虛擬驅動器專家、VirDriveMana、虛擬光驅VCDTool、文件夾加密V1658。

⑤第五類補丁安裝：有目前較全的XPSP3補丁合集。

3.2 DOS引導工具

DOS引導界面下提供的主要工具集有：

①綜合殺毒工具集：瑞星Linux殺毒、卡巴斯基殺毒、金山毒霸DOS殺毒、WinPE便捷殺毒（進入WinPE殺毒安全維護界面）等。

②硬盤修復與分區(qū)工具集：效率源硬盤修復、磁盤壞道修復、江民硬盤修復王、PQMagic硬盤分區(qū)、DISKGEN硬盤分區(qū)、DM硬盤分區(qū)等。

③系統(tǒng)測試工具：HWINFO系統(tǒng)測試等。

④硬盤銷密工具：DBAN硬盤數(shù)據(jù)擦除工具，會對所有硬盤整盤徹底進行隨機數(shù)據(jù)多次覆蓋，原硬盤數(shù)據(jù)無法恢復；處理過的硬盤需重新分區(qū)、快速格式化才可使用。應謹慎使用此工具！

⑤密碼清除工具：CMOS密碼清除（筆記本慎用）、清除2K/XP/2003/vista/win7系統(tǒng)密碼。

3.3 WinPE引導工具

WinPE引導界面下提供的主要工具集為Windows引導界面下的工具子集。WinPE引導界面下可以啟動Windows引導界面，但有些工具無法正常工作。能較好運行的工具在WinPE桌面上、開始->程序組內。

4 結論

實用證明，便捷計算機安全維護工具系統(tǒng)內容體系完整，使用軟件“綠色化”技術、直接引導運行技術等加工處理，工具的引導與調度科學合理，排除系統(tǒng)安全隱患迅速徹底。系統(tǒng)以光盤或移動硬盤、U盤為載體，定期或更新；滿足了日常工作中頻發(fā)的大量的計算機系統(tǒng)安全升級、檢測、管理和維護工作的要求，一套系統(tǒng)在手，就可以完成殺毒軟件安裝與升級、綜合殺毒、補丁安b、安全清理、安全查測、硬盤銷密、文件銷毀等日常主要的計算機安全保障工作。使普通技術人員都能成為計算機安全應用的保障專家，提高用戶自身的計算機安全技術保障能力。

參考文獻：

[1]魏威，楊俊紅.計算機的安全維護[J].鄭州鐵路職業(yè)技術學院學報，2006（01）：44-45.

[2]盧昕，章逸.淺論個人計算機應用中的安全措施[J].科技廣場， 2006（02）：43-45.

[3]葛立欣.家用計算機的安全維護[J].內蒙古科技與經(jīng)濟， 2004（06）：53-55.

篇9

軟件名稱：貝殼木馬專殺

軟件版本；V1.5

軟件大小：788KB

軟件授權：免費

使用環(huán)境：Windows All

下載地址：http：／／／BeikeSetup.exe

認識貝殼木馬專殺

據(jù)有關數(shù)據(jù)顯示，Internet網(wǎng)絡中的主機，每日有上百萬臺會被病毒、木馬感染，這些木馬中以網(wǎng)絡游戲盜號類木馬為主。為了對付網(wǎng)絡游戲盜號類木馬，貝殼木馬專殺工具采用云計算技術，通過世界最大的云安全數(shù)據(jù)庫，快速掃描、識別上網(wǎng)主機系統(tǒng)中的新病毒、木馬，保證系統(tǒng)、賬號、用戶隱私安全。該工具是完全免費的國內首款專殺網(wǎng)游盜號木馬的軟件，身材小巧，不占空間，二次檢測10秒鐘閃電掃描，快速確認系統(tǒng)安全性；該工具100％純綠色，無需安裝、不常駐、不寫注冊表、不占用系統(tǒng)資源，可與眾殺毒軟件共存。

自動升級到新版本

現(xiàn)在網(wǎng)游盜號木馬變種層出不窮，為了不讓任何木馬變種成為漏網(wǎng)之魚，貝殼木馬專殺工具支持自動升級功能，確保該程序始終處于最新版本狀態(tài)，能夠查殺最新的病毒木馬。從網(wǎng)上下載獲得貝殼木馬專殺工具文件后，用鼠標雙擊該文件，不需要安裝就能彈出如圖1所示的主程序界面；該工具運行后，會自動嘗試進行網(wǎng)絡連接，一旦與貝殼公司的服務器主機成功建立網(wǎng)絡連接后，貝殼木馬專殺工具就會自動比對病毒庫內容，以判斷本地程序是否是最新版本，如果不是最新版本，那么它就會自動進行升級操作，確保該工具處于最新版本工作狀態(tài)。

查殺盜號病毒木馬

為了靈活地查殺本地系統(tǒng)中的網(wǎng)絡盜號木馬，貝殼木馬專殺工具為用戶提供了三種掃描查殺方式，分別為快速掃描、全盤掃描、自定義目錄掃描，其中快速掃描方式為默認工作方式。在初次使用該工具查殺木馬的時候，我們建議大家選用“全盤掃描”方式，在每次上網(wǎng)暢玩網(wǎng)絡游戲之前，可以通過“快速掃描”方式簡單地掃描一下系統(tǒng)。設置好合適掃描方式，直接單擊圖1界面中的“開始查殺”按鈕，貝殼木馬專殺工具就會自動掃描、分析系統(tǒng)了。

在掃描、分析系統(tǒng)的過程中，貝殼木馬專殺工具會自動對被掃描文件進行分類，并按無威脅文件、信任文件、未知文件、木馬／病毒等類別，顯示在該程序的云安全檢測頁面中。當系統(tǒng)中有未知文件被發(fā)現(xiàn)時，貝殼木馬專殺工具會將其自動上傳到病毒庫所在的貝殼公司服務器系統(tǒng)中，如此一來技術人員就能即時判斷未知文件究竟是否屬于病毒或木馬了，如果確認未知文件為病毒或木馬時，用戶就能在第一時間將它們從系統(tǒng)中清除出去了。

因為貝殼木馬專殺工具的病毒庫位于遠端服務器系統(tǒng)中，而不是在本地系統(tǒng)中，所以該工具掃描、分析系統(tǒng)文件的速度是非常快的，僅僅只需要幾十秒鐘就能完成掃描、分析任務。掃描、分析結束后，該工具會通過網(wǎng)絡通道將掃描信息發(fā)送到病毒庫所在的遠端服務器系統(tǒng)中；之后通過與病毒庫中的數(shù)據(jù)進行比對分析，貝殼木馬專殺工具就能判斷得出哪些文件是病毒或木馬文件了。要是發(fā)現(xiàn)系統(tǒng)中真的存在病毒或木馬文件，該工具立即會返回一個警報窗口，提醒用戶找到惡意文件，并要求選擇恰當?shù)奶幚矸绞?；如果單擊“清除”按鈕，該工具會立即將病毒或木馬文件從系統(tǒng)中刪除干凈，如果單擊“跳過”按鈕，該工具會等所有文件被掃描結束后，集中進行病毒清除操作。當然，有一些頑固的病毒木馬文件無法一次性清除干凈，此時只要重新啟動系統(tǒng)，該工具就能成功執(zhí)行二次性病毒木馬清除操作。很顯然，善于使用貝殼木馬專殺工具，完全可以讓網(wǎng)游安全無憂。

讓查殺病毒更智能

為了讓木馬病毒無處遁形，貝殼木馬專殺工具增強了本地啟發(fā)式查殺引擎，通過該功能可以智能地掃描分析未知文件，將這些未知文件自動上傳到病毒庫所在的遠端服務器系統(tǒng)中，上傳成功后立刻就能判斷是否為木馬，從而實現(xiàn)真正的云安全。當然，在默認狀態(tài)下，貝殼木馬專殺工具并不會智能查殺病毒，必須進行如下設置操作才能讓查殺病毒更智能：

篇10

電腦啟動后，在系統(tǒng)中只要運行一個程序，系統(tǒng)便會在后臺加載相應的進程。簡單地說，進程是操作系統(tǒng)當前運行的執(zhí)行程序，因此一個軟件可能只有一個進程，也有可能同時有兩個以上的進程在執(zhí)行。在系統(tǒng)當前運行的執(zhí)行程序里包括：系統(tǒng)管理計算機個體和完成各種操作所必需的程序；還有用戶開啟、執(zhí)行的額外程序，其中也包括用戶不知道的、自動運行的非法程序等。

對于一些安全高手來說，查看系統(tǒng)進程有無異常，可以快速判斷出系統(tǒng)是否存在安全隱患。那么如何通過進程來檢測系統(tǒng)是否中了病毒木馬呢？系統(tǒng)進程SVCHOST.EXE和Explorer.exe可以說是最容易被病毒木馬利用的兩個進程，下面通過這兩個進程的檢測方法來看看如何利用進程判別是否中了病毒木馬。

1.元兇――SVCHOST.EXE

SVCHOST.EXE進程是最容易被冒充和利用的進程，可以說這個進程常常藏污納垢，如何判斷系統(tǒng)中的SVCHOST.EXE是正常進程還是病毒進程呢？同時按下“Ctrl+Shift+Del”組合鍵來打開Windows任務管理器，這里我們看到SVCHOST.EXE有好幾個個，那么如何判斷哪個進程是可疑的呢？系統(tǒng)中有多個SVCHOST.EXE進程，有可能是正常的，也有可能是病毒，不能根據(jù)SVCHOST.EXE進程的多少來判斷是否為病毒。要判斷到底有沒有病毒，我們可以通過查看進程的發(fā)起程序來判斷。（圖1）

提示：我們首先可以通過鼠標右鍵選擇“結束進程”來關閉進程，大家需要注意，結束其中一個進程后，你會發(fā)現(xiàn)馬上又重生一個SVCHOST.EXE進程。此外，結束另一進程時還提示還有60秒后關機。對于關機的提示，可以在“運行”欄中輸入“shutdown -a”，關機提示馬上消失了。（圖2）

要查看“Svchost.exe”進程的發(fā)起程序，可以在“命令提示符”窗口中，輸入并執(zhí)行“Netstat abnov”命令，在接著反饋的信息中，就可以看到每個進程發(fā)起的程序或文件列表，這里你就可以根據(jù)相關知識判斷是否為病毒和木馬發(fā)起的程序。（圖3）

正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會在其他目錄，例如沖擊波變種病毒“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中。據(jù)此，我們就可以判斷該進程到底是不是木馬進程了。

為了判別進程是否正常，可以在安裝完Windows后，點擊“開始程序附件系統(tǒng)工具系統(tǒng)信息”，在打開的“系統(tǒng)信息”窗口中再點擊“軟件環(huán)境正在運行任務”，如圖所示的“系統(tǒng)信息”窗口。接下來，點擊“操作另存成文本文件”，這樣，以后系統(tǒng)出現(xiàn)異常時則對照進行分析，就可以從中發(fā)現(xiàn)潛藏的木馬和病毒。（圖4）

小知識

Svchost.exe是NT核心系統(tǒng)的非常重要的進程，對于2000、XP來說，不可或缺。因此，很多病毒、木馬也會調用它。在基于NT內核的Windows操作系統(tǒng)中，不同版本的Windows系統(tǒng)，存在不同數(shù)量的“Svchost”進程，用戶使用“任務管理器”可查看其進程數(shù)目。一般來說，Win 2000有兩個Svchost進程，Win XP中則有四個或四個以上的Svchost進程，而Win 2003 server中則更多。這些Svchost進程提供很多系統(tǒng)服務，如：rpCSS服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp clieNT）等。

除了上面的方法外，我們還可以在命令行窗口輸入“Tasklist /svc”（我們這里是以Windows XP為例，在Windows 2000的命令提示符窗口中，則輸入“tlist -s”命令來查看），如果看到哪個Svchost.exe進程后面提示的服務信息是“暫缺”，而不是一個具體的服務名，那么它就是病毒進程了，記下這個病毒進程對應的PID數(shù)值(進程標識符)，即可在任務管理器的進程列表中找到它，結束進程后，在C盤搜索到偽裝為Svchost.exe進程的文件，也可以用第三方進程工具直接查看該進程的路徑，然后將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。（圖5）

提示

這種利用假冒Svchost.exe名稱的病毒程序，并沒有直接利用真正的Svchost.exe進程，而是啟動了另外一個名稱同樣是Svchost.exe的病毒進程，由于這個假冒的病毒進程并沒有加載系統(tǒng)服務，它和真正的Svchost.exe進程是完全不同的。

2.易被偽裝的Explorer.exe

打開的電腦的任務管理器，可以看到這個進程，占用內存還不小，大約10MB左右。結束這個進程后，打開的幾個窗口都關閉了，而且桌面上的圖標也全沒有了。之所以出現(xiàn)這個情況，正是Explorer.exe在發(fā)揮作用?？梢酝ㄟ^下面的操作恢復桌面到正常狀態(tài)：在“任務管理器”中，依次單擊“文件”“新建任務（運行….）”菜單。在在打開的窗口中輸入“Explorer.exe”進程名單擊“確定”按鈕即可完成重建進程的過程了，桌面環(huán)境也就恢復了。那么，Explorer.exe進程是如何被偽裝的呢？（圖6）

小知識

簡單地說，Explorer.exe進程就是操作系統(tǒng)的程序管理器，也就是我們平時說的資源管理器，用于管理操作系統(tǒng)的圖形界面，包括開始菜單、任務欄，桌面和文件管理。該進程隨系統(tǒng)一起啟動，直到系統(tǒng)關閉或者人為結束該進程。

通常病毒會利用障眼法來干擾大家，正常的進程名是Explorer.exe，而一些病毒的進程名則為Exp1orer.exe（用數(shù)字1代替了字母l），還有的病毒進程名為Expl0rer.exe（用數(shù)字0代替字母o），不仔細看，根本就區(qū)分不出來，實在令人防不勝防。大名鼎鼎的MyDoom病毒就是通過Explorer.exe來進行破壞的。MyDoom是一種通過電子郵件附件和P2P網(wǎng)絡傳播的病毒,當用戶打開并運行附件內的病毒程序后，病毒就會以用戶信箱內的電子郵件地址為目標，偽造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時在用戶主機上生成Explorer.exe進程。

針對這類情況，除了我們留意進程名字外，還可以根據(jù)Explorer.exe進程的路徑來判斷，正常的Explorer.exe進程位于系統(tǒng)根目錄下（比如系統(tǒng)盤為C盤，則路徑為C:\Windows\Explorer.exe），這里我們可以借助一些進程輔助軟件來進行查看，比如“360安全衛(wèi)士”，這里可以看到正在運行的進程的路徑以及用戶名等。如果發(fā)現(xiàn)Explorer.exe的運行路徑不在這個目錄，說明肯定被其他病毒冒充。當然，如果進程名不對，肯定也是有問題的。（圖7）

在系統(tǒng)的system.ini文件中（C:\Windows\system.ini），在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個程序就是“木馬”程序，這表明你已經(jīng)中“木馬”了。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

此外，在注冊表中的情況比較復雜，通過regedit命令打開注冊表編輯器，依次打開HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE。注意有的“木馬”程序生成的文件很像系統(tǒng)自身文件，想通過偽裝蒙混過關，如“Acid Battery木馬”，它將注冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”，“木馬”程序與真正的Explorer之間只有“i”與“l(fā)”的差別，這需要大家高度警惕。

病毒除了通過文件名相似來偽裝explorer.exe進程外，主要是通過線程插入技術來利用這個進程。比如曾經(jīng)的廣外幽靈、最新的魔波病毒變種也是利用這個進程。線程插入技術使得這些病毒木馬可以將他們的服務端程序插入到正常的explorer.exe進程中，從而讓用戶找不到病毒的蛛絲馬跡。對于這類采用線程插入的木馬病毒，我們可以借助“木馬輔助查找器”來進行查看，在“進程監(jiān)控”選項中，勾選explorer.exe進程，在下面的DLL文件窗口中將顯示相應的DLL文件的路徑和文件名，發(fā)現(xiàn)可疑的文件，則直接終止相應的進程即可。當然，這需要大家對一些常見的木馬有基本的了解，否則操作起來就顯得比較難。（圖8）

提示：關于進程的知識，大家可以到超級兔子的官方網(wǎng)站去查看（），這里對進程進行了分類，包括常見的木馬病毒、常見的合法進程、存在安全風險的進程等，掌握了進程相關的知識，對于判斷進程是否有危害有非常重要的作用。只有知道哪些進程是正常的，才可能找到可疑的進程，從而盡早結束進程來阻止惡意程序的運行。（圖9）

2 端口安全設置與防范

端口分物理物理意義上的端口和邏輯意義上的端口，物理意義上的端口是指硬件接口，比如ADSL Modem、路由器等的接口，而邏輯意義上的端口是‘虛’的，比如用于瀏覽網(wǎng)頁的80端口，用于FTP服務的21端口等，而一些木馬也會針對特定的端口進行攻擊，因此，掌握端口知識是非常必要的。每臺電腦要與外界網(wǎng)絡每建立一個網(wǎng)絡連接時，都必須打開電腦中的某個端口。端口就像是電腦與外界網(wǎng)絡連接的一扇門，因此，在某種意義上說，端口就掌控著網(wǎng)絡連接的生殺大權。

1.查看當前開放的端口

在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令來查看端口情況：

依次點擊“開始運行”，鍵入“cmd”并回車，打開命令提示符窗口。在命令提示符狀態(tài)下鍵入“netstat -a -n”，按下回車鍵后就可以看到以數(shù)字形式顯示的TCP和UDP連接的端口號及狀態(tài)。（圖10）

上圖中各部分的含義是：“Active Connections”是指當前本機活動連接，“Proto”是指連接使用的協(xié)議名稱，“Local Address”是本地計算機的IP地址和連接正在使用的端口號，“Foreign Address”是連接該端口的遠程計算機的IP地址和端口號，State則是表明TCP連接的狀態(tài)，你可以看到后面的監(jiān)聽端口是UDP協(xié)議的，所以沒有State表示的狀態(tài)。本地IP地址后的就是開放的端口號，如果你的機器的7626端口已經(jīng)開放，正在監(jiān)聽等待連接（LISTENING），那么，這種情況極有可能是已經(jīng)感染了冰河！因此，必須馬上斷開網(wǎng)絡，用殺毒軟件查殺病毒。

小知識

Netstat命令用法

-a 表示顯示所有活動的TCP連接以及計算機監(jiān)聽的TCP和UDP端口。

-e 表示顯示以太網(wǎng)發(fā)送和接收的字節(jié)數(shù)、數(shù)據(jù)包數(shù)等。

-n 表示只以數(shù)字形式顯示所有活動的TCP連接的地址和端口號。

-o 表示顯示活動的TCP連接并包括每個連接的進程ID（PID）。

-s 表示按協(xié)議顯示各種連接的統(tǒng)計信息，包括端口號。

2．關閉不安全的端口

默認的情況下，有很多端口不安全，或者一些沒有用的端口也處于開啟狀態(tài)，比如Telnet服務的23端口、FTP服務的21端口、SMTP服務的25端口、RPC服務的135端口等等。為了保證系統(tǒng)的安全性，我們可以通過下面的方法來關閉/開啟端口。比如在Windows XP中關閉RPC服務的135端口，可以按照下面的方法來操作：

首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Remote Procedure Call (RPC)”服務，單擊“停止”按鈕來停止該服務，然后在“啟動類型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關閉了RPC服務就相當于關閉了對應的端口。（圖11）

如果要開啟該端口，只要先在“啟動類型”選擇“自動”，單擊“確定”按鈕，再打開該服務，在“服務狀態(tài)”中單擊“啟動”按鈕即可啟用該端口，最后，單擊“確定”按鈕即可。

3.重定向本機默認端口增強安全

查看你電腦的端口情況，你會發(fā)現(xiàn)默認情況下Windows有很多端口是開放的，主要有：TCP139、445、593、1025 端口和UDP123、137、138、445、1900等端口，還有遠程服務訪問端口3389。但本機中的某些默認端口是不能關閉的，這時該怎么辦呢？我們可以將這樣的端口“重定向”，把該端口重定向到另一個地址，這樣即可隱藏公認的默認端口，降低受破壞的機率，從而保護系統(tǒng)安全。下面以一個實例來說明。

例如你的電腦上開放了遠程終端服務（Terminal Server）端口（默認是3389），可以將它重定向到另一個端口上（例如1235，這里端口號隨意選擇，只要不是公認的端口號，沒有固定分配給某個服務即可，目的就是讓所謂‘黑客’不容易識別出來），具體操作方法如下：

（1）在本機上（服務器端）修改

打開注冊表，依次展開到下列兩個注冊表項：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

然后將其中的 PortNumber，全部改成自定義的端口（例如1235）即可。（圖12）

提示：這里的數(shù)值數(shù)據(jù)默認是以十六進制顯示的，所以你看到的可能不是3389，需要進行轉換。你也可以勾選“十進制”選項，就能直接顯示十進制數(shù)值了。

（2）在客戶端上修改

服務器端端口修改后，為了保證遠程客戶端計算機能夠正常訪問這臺服務器（也就是你的這臺電腦），必須也對客戶端進行修改，才能實現(xiàn)正常連接。這好比兩個人約會，臨時更改了見面地點，因此必須通知對方。具體操作如下：

依次單擊“開始所有程序附件通訊遠程桌面連接”，打開“遠程桌面連接”窗口，單擊“選項”按鈕擴展窗口，填寫完相關參數(shù)后，單擊“常規(guī)”下的“另存為”按鈕，將該連接參數(shù)導出為.rdp文件。用記事本打開該文件，在文件最后添加一行：server port:i:1235 （這里填寫你服務器自定義的端口）。以后，只要直接雙擊這個.rdp 文件即可連接到服務器的這個自定義端口了。（圖13）

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

3 巧用數(shù)字簽名揪出可疑文件

除了進程和端口方面的安全防護外，可能很少有用戶關注操作系統(tǒng)的數(shù)字簽名功能。簡單地說，數(shù)字簽名是微軟為系統(tǒng)文件添加的一組電子密碼，可以保護系統(tǒng)文件的完整性，如果某文件沒有有效的數(shù)字簽名，那么將無法證明文件的來源真實可靠，因而這個文件就很有可能是有問題的，換句話說，這個文件就很可能是被病毒木馬篡改過的。

1.查看文件的“數(shù)字簽名”

首先來看看微軟數(shù)字簽名保護的系統(tǒng)文件，打開“C:\WINDOWS\system32”目錄，這里經(jīng)常是一些病毒木馬的藏身之地，而最容易被病毒木馬利用的就是EXE文件和DLL文件。隨便找到一個文件，鼠標右擊該文件，從彈出的菜單中選擇“屬性”，在打開的窗口中，點擊“版本”選項卡，這里我們可以看到文件的產品版本、公司、內部名稱等信息，其中“公司”中可以看到“Microsoft Corporation”，這表明來自微軟公司。如果此處的“公司”信息顯示是其它公司，那么必須弄清楚這個文件的來源，如果不能確認來源，那么就值得懷疑了。（圖14）

有的文件甚至沒有“版本”這個選項，那么這個文件就很有可能是病毒木馬或者流氓軟件了。當然，我們還不能草率下結論認定這個文件是病毒木馬，我們可以借助專業(yè)的病毒木馬查殺工具，并結合文件的修改時間等多方面來進行判別。（圖15）

“C:\WINDOWS\system32”目錄下的系統(tǒng)文件眾多，我們不可能逐一打開進行查看，怎么辦呢？其實可以借助一款小工具來解決，這就是“數(shù)字簽名檢測工具”，使用該軟件可以對微軟數(shù)字簽名進行快速檢查，從而驗證系統(tǒng)文件的可信性。具體操作如下：

運行軟件，設置好掃描目錄，可以選定“C:\WINDOWS\system32”目錄，為了檢測徹底這里勾選上“包括子文件夾”選項，然后點擊“開始檢測”按鈕即可開始自動掃描文件的數(shù)字簽名信息。掃描完畢后，為了方便查看，建議勾選“僅顯示沒有數(shù)字簽名的文件”，我們看到?jīng)]有數(shù)字簽名的文件比較多，大家可以重點查看EXE文件和DLL文件，從而判別沒有數(shù)字簽名的文件是否為病毒。（圖16）

2.結合時間找到可疑的病毒文件

通過數(shù)字簽名檢測工具，可以看到?jīng)]有數(shù)字簽名的文件非常多，因為有些正常的文件也可能沒有數(shù)字簽名，那么如何從眾多的文件中找出可疑的病毒木馬文件呢？我們可以結合系統(tǒng)時間來分析，也就是說，在某個時間段你的機器不正常、運行緩慢或者頻頻彈出廣告等，那么就重點查看這個時間段的沒有數(shù)字簽名的系統(tǒng)文件。

打開系統(tǒng)自帶搜索工具，在搜索文件名中輸入“*.exe;*.dll”，因為病毒木馬往往是EXE和DLL文件類型，在搜索范圍中設定系統(tǒng)目錄，在“什么時候修改的”一項中勾選“指定日期”，然后設置好時間范圍，最后在高級選項中勾選“搜索系統(tǒng)文件夾”、“搜索隱藏的文件和文件夾”，最后點擊搜索即可。（圖17）

從搜索結果來看，這個時間段修改的EXE和DLL文件比較多，這時，我們可以再結合“數(shù)字簽名檢測工具”來判別。具體操作是：將搜索結果中的所有文件復制到一個新的文件夾，然后再用數(shù)字簽名檢測工具來進行檢測，沒有數(shù)字簽名的，基本上可以認定是木馬病毒了。理由很簡單，這個文件沒有合法的數(shù)字簽名，而這個文件出現(xiàn)后，就導致你的系統(tǒng)出現(xiàn)中毒、彈廣告窗口等癥狀，因此這個文件就很可能是罪魁禍首。大家可以再用殺毒軟件來進行查殺，從而確保不會誤殺這個文件。

4 輕松修復系統(tǒng)漏洞

我們可以利用前面介紹的幾種方法來查找系統(tǒng)中的各種可疑文件，從而找出被病毒、木馬破壞的文件。那么除了這種“事后修補”的方式外，還有什么簡單有效的方法來對付病毒木馬呢？其實，為系統(tǒng)打補丁就是一種非常必要也非常見效的一種“事前防范”方法。一方面我們可以開啟Windows自動更新服務，另一方面，我們完全可以借助大家聊天常用的QQ軟件來檢測并修復漏洞。

開啟系統(tǒng)自動更新的方法是：依次打開“開始控制面板Windows安全中心自動更新”，在打開的窗口中，勾選“自動”，表示允許自動更新，最后點擊“確定”即可。（圖18）

利用QQ查殺木馬、修復漏洞的方法則是：運行QQ后，依次打開QQ主面板上的“菜單安全中心在線查殺木馬”，在打開的頁面中，點擊“開始”按鈕，在接下來打開的頁面中，首先會提示用戶安裝安全控件，然后點擊“開始檢查”即可進行木馬查殺和漏洞掃描。（圖19）

檢測到系統(tǒng)漏洞后，勾選相應的漏洞，點擊“修復”按鈕即可修復系統(tǒng)漏洞，操作起來比較簡單。（圖20）

結語

本專題為大家介紹了不使用殺毒軟件的情況下，如何確保電腦的安全運行，說到底，是充分挖掘了系統(tǒng)本身的潛能。當然，這需要大家對電腦有較為深入的認識，把握住系統(tǒng)細微的變化，從而快速診斷是否被病毒木馬破壞。需要提醒大家的是，雖然這里所講是手工與病毒木馬過招，但殺毒軟件仍然不可少，只有二者配合使用，方能打造系統(tǒng)安全的銅墻鐵壁！