【正文】 (waring,close des puter!)。 = false。 sentmail()。 if ((0) == (3)) { if ((0) == ()) {} else { //clientsent cli=new clientsent()。 //是否重復(fù) = true。 以下是部分輪詢代碼： （ 1）輪詢 timer += new (sqlupdatemd5)。由 timer 控件來設(shè)定輪詢的時間。 foreach (ManagementObject obj in queryCollection) { (ShutDown, null)。 ManagementObjectSearcher query = new ManagementObjectSearcher(scope, oq)。 ()。 //= ntlmdomain:DOMAIN。 //獲取遠程計算機的用戶名 = admin。 以下是遠程關(guān)機代碼。首先作為控制端要啟用 引用，設(shè)定遠程計算機用戶名名與密碼，這樣才會具有相關(guān)操作權(quán)限。 以上在網(wǎng)頁端的配置完畢。彈出【 WMI 控件屬性】對話框中，選擇【安全】頁面。選中【計算機管理】右邊的【服務(wù)和應(yīng)用程序】中的【 WMI 控件】。下圖為關(guān)閉 WMI 服務(wù)后的界面： 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 25 圖 52 關(guān)閉 WMI 服務(wù) 計算機的超級用戶在默認(rèn)狀態(tài)下?lián)碛?WMI 的一切權(quán)限，并且可 以為本地其他用戶設(shè)置 WMI 權(quán)限。具體如下圖 51 所示： 圖 51 組件服務(wù)窗口 選中【名稱】欄中 Windows Management Instrumentation，點擊鼠標(biāo)右鍵，在彈出的菜單中，選擇【屬性】，在【啟動類型】選擇框中選擇 已禁用 ，然后在單擊【停止】按鈕，這樣本地的 WMI 服務(wù)也就被關(guān)閉了。具體的操作是：按順序打開【控制面板】 |【管理工具】 |【組件服務(wù)】?？梢詮?System32\Wbem目錄中找到這個文件。在默認(rèn)狀態(tài)下，超級用戶擁有 WMI 的一切權(quán)限。 WMI 從根本上說應(yīng)該為一種服務(wù)，并且對于本地不同的用戶， WMI 所有的權(quán)限也不一樣。在 Windows 20xx 或以后的版本中均安裝得有， 則需要安裝 WMI 的核心組件。本課題使用 web server 端口實現(xiàn)關(guān)機注銷等函數(shù) ，所以在這里要引入 WMI 的概念，需要在網(wǎng)頁端開啟相應(yīng)服務(wù)才可以執(zhí)行遠程關(guān)機 。這樣客戶端直接通過訪問服務(wù)端的這個遠程 函數(shù)或遠程對象，就可以實現(xiàn)關(guān)機注銷。 遠程關(guān)機實現(xiàn) C進行遠程網(wǎng)絡(luò)關(guān)機的方法有 2種。 (i, insertmd5, dayofyear)。 i 4。 string dayofyear=()。 string insertmd5 = 。依次插入數(shù)據(jù) 庫，并在最后插入用于比對的 MD5序列。在返回成功后，調(diào)用 。 } 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 23 MD5 存儲實現(xiàn) MD5存儲需要調(diào)用數(shù)據(jù)庫模塊的相關(guān)函數(shù)。 //Dispose(true)。 //(re:{0}, getstring)。 byte[] getbyte = (ref myhost)。 return quit。 (sendbytes, , ipadd(), 8000)。用于確認(rèn)對端是否成功接收發(fā)送的信息，并確認(rèn)下一步操作。首先需要獲取 要傳輸?shù)淖址笳{(diào)用 。 return result。 string result = ().ToString()。 ()。 return result。 string result = ().ToString()。 ()。 } 數(shù)據(jù)庫的查詢 對 MD5 序列的查詢 public string searchgrid(int i) { string sql = select md5 from md5label where number=39。 ()。 ()。+number+39。 + date + 39。 + md5 + 39。+number+39。 ()。 SqlCommand cmd = new SqlCommand(sql, Con)。)。 } 插入 filecode public void insertfilecode(string filecode) { string sql = insert into filecode values (39。 ()。 ()。 + date + 39。 + md5 + 39。 Con = new SqlConnection(str)。User ID=sa。 str = Data Source=。 其中 data source 是指定的數(shù)據(jù)庫端 ip地址， initial catalog 指定的是數(shù)據(jù)庫名稱， userid 與 password指定的是數(shù)網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 20 據(jù)庫登陸用的用戶名與密碼。第二個表為 filecode 表，此表用于存儲網(wǎng)頁代碼。 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 18 界面設(shè)計 webserver端 圖 34 webserver 端 master端 圖 35 master 端 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 19 第 四 章 數(shù)據(jù)庫設(shè)計 系統(tǒng)數(shù)據(jù)流圖 網(wǎng) 頁 防 篡 改 系 統(tǒng)網(wǎng) 頁 端M D 5 l a b e lF i l e c o d eM D 5 序 列與 網(wǎng) 頁 源 碼讀 取讀 取寫 入寫 入 圖 41 數(shù)據(jù)流圖 主要數(shù)據(jù)表的創(chuàng)建 本系統(tǒng)數(shù)據(jù)庫有兩個數(shù)據(jù)表。 刷新數(shù)據(jù) 如果管理員想查看當(dāng)前數(shù)據(jù)庫表，則可以點擊刷新數(shù)據(jù)。如果比對不成功則發(fā)送 給管理員并且讀取 filecode 中的網(wǎng)頁代碼返回給 webserver 端進行覆蓋原網(wǎng)頁。 由于序列使用 UDP協(xié)議傳輸，所以要對序列進行 4次問訊，以避免因為數(shù)據(jù)傳輸丟失而造成的 MD5代碼不同的情況。 點擊遠程關(guān)機按鈕可以直接關(guān)閉遠程計算機。用于做對比之用。圖 31 為控制端流程圖，圖 32 為網(wǎng)頁端工作流程圖。 表 22 事件表 Actor 事件 Actor 事件 老師，管理員 關(guān)機 老師，管理員 獲取遠程文檔 老師，管理員 查看數(shù)據(jù)表 老師，管理員 停止系統(tǒng) 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 15 第 三 章 網(wǎng)站 防篡改系統(tǒng)設(shè)計 總體設(shè)計 本系統(tǒng)由網(wǎng)頁端與控制端組成。本系統(tǒng)應(yīng)提供多樣的功能選擇，最大限度的滿足業(yè)務(wù)系統(tǒng)的需求和變化。用戶對程序的維護，最好要有備份。采用網(wǎng)絡(luò)管理、嚴(yán)格的系統(tǒng)運行控制等系統(tǒng)監(jiān)控功能。 采用具有容錯功能的服務(wù)器及網(wǎng)絡(luò)設(shè)備，選用 雙機備份、 Cluster 技術(shù)的硬件 設(shè) 備配置方案，出現(xiàn)故障時能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急措施； 任一時刻的系統(tǒng)故障都有可能給用戶帶來不可估量的損失，這就要求系統(tǒng)具有高度的可靠性。 （ 4） 可靠性需求 該系統(tǒng)正常運作后，由于面對的是全校學(xué)生，因此系統(tǒng)應(yīng)能夠提供每天 24小時，每周 7天的不間斷運作能力。對會話層有 SSL(安全套層 )協(xié)議。 目前， Inter 上有幾 種加密協(xié)議在使用，對應(yīng) OSI 網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的協(xié)議。 因為整個 系統(tǒng) 是一個嚴(yán)謹(jǐn)?shù)姆?wù)平臺，在此 系統(tǒng) 上將會涉及諸如個人信息、課題 信息、等敏感性問題，因此必須對整個系統(tǒng)做全面的安全性考慮，對所有的敏感會話進行高強度加密。并且保存在數(shù)據(jù)庫中的用戶密碼根據(jù)密碼學(xué)的原理采用密鑰加密成密文，防止被非法用戶所盜取，增強系統(tǒng)的安全保密性。安全不僅僅是一個技術(shù)的問題，還涉及到系統(tǒng)的管理、法律法規(guī)的保障等。 （ 2） 故障處理需求 表 21 故障列表 可能的故障 產(chǎn)生的后果 對故障的處理要 求 突然停電 系統(tǒng)無法運行 實用 ups 不間斷電源 服務(wù)器超載 用戶無法瀏覽網(wǎng)站 增加服務(wù)器或維護服務(wù)器 黑客攻擊或病毒 數(shù)據(jù)被竊，系統(tǒng)癱瘓 用殺毒軟件和防火墻（硬件）經(jīng)常備份 域名解析故障 用戶無法瀏覽網(wǎng)站 使用可靠的域名解析系統(tǒng) （ 3） 安全性需求 互聯(lián)網(wǎng)是一個標(biāo)準(zhǔn)開放的網(wǎng)絡(luò)，在網(wǎng)上進行各種商務(wù)活動，隨時可能將面對黑客的攻擊，病毒的侵襲等。 （ 5）獲取文件 獲取最純凈的網(wǎng)頁文件，以便恢復(fù)使用。 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 12 （ 2）輪詢數(shù)據(jù)庫 在 master 端獲取 MD5序列后，進行輪詢數(shù)據(jù)庫比對 （ 3）遠程關(guān)機 在遠程更新文件無效的情況下，關(guān)機。 功能需求 M D 5 序 列 存 儲輪 詢 數(shù) 據(jù) 庫對 比 是 否 成 功程 序 啟 動啟 動 郵 件 發(fā) 送獲 取 正 確 網(wǎng) 頁 并 傳 輸傳 輸 是 否 成 功結(jié) 束遠 程 關(guān) 機 其中包括硬件設(shè)備的資金，與后期維護實施硬件設(shè)備的資金。 （ 2） 應(yīng)用目標(biāo) 相對于硬件防篡改來說，軟件防篡改，雖然沒有硬件反映快速，錯誤少。達到被篡改時的自動通知管理員與自動恢復(fù)網(wǎng)頁的功能。 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 11 目標(biāo) （ 1） 開發(fā)目標(biāo) 使 urt 的網(wǎng)站增加安全系數(shù)。 第 二 章 系統(tǒng) 需求 分析 本需求說明書將就網(wǎng)站防篡改系統(tǒng)在構(gòu)建前所需達到的要求進行歸納性的需求分析，以便在開展工作前廣泛征求意見和建議。如果比對失敗則證明網(wǎng)頁端網(wǎng)頁已經(jīng)遭受篡改，這時程序會通過郵件發(fā)送模塊給管理員發(fā)送一封郵件，并且給網(wǎng)頁端做網(wǎng)頁替換操作。即便在網(wǎng)頁端被篡改，主機被控制的情況下，也不會影響數(shù)據(jù)庫中正確 的數(shù)據(jù)，因而不會影響控制端的判斷。而網(wǎng)頁端不得與數(shù)據(jù)庫直接通信，這樣就保證了數(shù)據(jù)庫的安全性。 另一個關(guān)鍵問題是網(wǎng)頁端的作用。原因是基于 UDP 的網(wǎng)絡(luò)傳輸協(xié)議， 傳輸數(shù)據(jù)之前源端和終端不建立連接，當(dāng)它想傳送時就簡單地去抓取來自應(yīng)用程序的數(shù)據(jù)，并盡可能快地把它扔到網(wǎng)絡(luò)上。 本 論文 的主要設(shè)計內(nèi)容 網(wǎng)頁防篡改模塊 本論文通過 MD5 序列對比來輪詢檢測被監(jiān)控網(wǎng)頁是否被修改，而其中一個關(guān)鍵問題在于 MD5 序列在網(wǎng)絡(luò)上的傳輸。 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 10 采用 ISA Server 做軟件防火墻與代理服務(wù)器，用 ISA Server 的簽名等功能，通過過濾關(guān)鍵字的功能，防止文件上傳漏洞、 Shell 漏洞等。 采用 IIS 中的 “ 虛擬目錄 ” 方法，將發(fā)布到外網(wǎng)的網(wǎng)站，轉(zhuǎn)到后臺管理網(wǎng)站目錄。 采用 IIS 的 “ 主機頭名 ” 機制，將受保護的網(wǎng)站 “ 克隆 ” 出一個完全一樣的站點，其中一個站點用于對 Inter 上的用戶提供服務(wù)，另一個站點用于網(wǎng)站的后臺管理與維護。采用虛擬化解決方案后，將一臺物理主機當(dāng)做多臺計算機使用，可以在不同的計算機（虛擬機）中安裝不同的軟件，再充分利用每個軟件的功能、特點，達到加固網(wǎng)站服務(wù)器，避免網(wǎng)站被入侵的功能。網(wǎng)絡(luò)拓撲如圖 13 所示，這樣就在只有一臺服務(wù) 器的情況下，達到了保護企業(yè)網(wǎng)站服務(wù)器的目的。 網(wǎng)頁防篡改技術(shù)與系統(tǒng)設(shè)計 9 虛擬化解決方案 對于使用自己的機房、自己的服務(wù)器存放網(wǎng)站的企業(yè)來說，雖然也有防火墻產(chǎn)品，但這些傳統(tǒng)的硬件防火墻工作在網(wǎng)絡(luò)層，而現(xiàn)在的一些病毒、黑客入侵，其行為主要工作在應(yīng)用層，傳統(tǒng)的硬件防火墻不能解決這些問題。當(dāng)然更簡單的方法是在網(wǎng)頁的頭部置入自檢代碼 (完成自身 MD5碼的計算并與原始數(shù)據(jù)比對 )，本文所采用的正是此方法。 當(dāng)系統(tǒng)檢測到文件被修改后，立即執(zhí) 行文件恢復(fù)操作，以免激發(fā)嵌入網(wǎng)頁的惡意病毒或者木