【正文】 惡性病毒 這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。 良性病毒 干擾用戶工作，但對(duì)計(jì)算機(jī)系統(tǒng)無(wú)損。 復(fù)合型病毒 混合型病毒不僅傳染可執(zhí)行文件而且還傳染硬盤引導(dǎo)區(qū)，被這種病毒傳染的系統(tǒng)用格式化命令都不能消除此類病毒。 引導(dǎo)型病毒 引導(dǎo)型病毒主要感染軟盤、硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)扇區(qū)，在用戶對(duì)軟盤硬盤進(jìn)行讀寫操作時(shí)進(jìn)行感染。被感染的可執(zhí)行文件在執(zhí)行的同時(shí)，病毒被加載并向他正?？蓤?zhí)行文件傳染。 網(wǎng)絡(luò)型病毒 通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播、感染網(wǎng)絡(luò)中的可執(zhí)行文件； 病毒的分類 1. 按病毒寄生方式分類 根據(jù)病毒寄生方式分類，病毒可分為網(wǎng)絡(luò)型病毒、可執(zhí)行文件型病毒、引導(dǎo)型病毒以及復(fù)合型病毒。 破壞性 病毒的破壞能力是不一樣的，有的占用系統(tǒng)資源、有的造成計(jì)算機(jī)硬件損壞、有的修改或刪除文件及數(shù)據(jù)等。 隱蔽性 計(jì)算機(jī)病毒的傳播都沒(méi)有外部表現(xiàn)，它是隱蔽在正常程序中，另外病毒都是具有很高編程技巧的短小精悍的程序，如不經(jīng)過(guò)代碼分析，很難識(shí)別正常程序和病毒程序之間的區(qū)別，不到病毒發(fā)作，很難發(fā)現(xiàn)。當(dāng)時(shí)機(jī)成熟才發(fā)作。 引導(dǎo)部分是將病毒加載到內(nèi)存，作好傳染的準(zhǔn)備；傳染部分將病毒代碼復(fù)制到目標(biāo)；表現(xiàn)部分根據(jù)特定的條件觸發(fā)病毒。 167。 用于特殊目的。 用于對(duì)軟件的產(chǎn)權(quán)保護(hù)。 為了滿足自己的報(bào)復(fù)心理，當(dāng)一些編程高手受到不公正待遇時(shí)，他可能會(huì)編寫破壞性程序，而滿足自已的私念。如CIH病毒等。 有的是為了達(dá)到私人目標(biāo)或?yàn)榱苏文康亩匾饩幹频某绦?。如：美?guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生，23歲的莫里斯（ Morris）將其編寫的蠕蟲程序輸入計(jì)算機(jī)網(wǎng)絡(luò)。 167。所以計(jì)算機(jī)病毒就是人為制造的程序，它的運(yùn)行是非法入侵。 計(jì)算機(jī)病毒定義 計(jì)算機(jī)系統(tǒng)實(shí)質(zhì)上就是一個(gè)程序控制裝置，廣義的說(shuō)病毒就是在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能把自身準(zhǔn)確復(fù)制或有修改地復(fù)制到其它程序體內(nèi)的程序。使用讀者有全面而詳實(shí)的理解。 計(jì)算機(jī)病毒概述 談“毒”色變并不為過(guò)，經(jīng)常使用計(jì)算機(jī)的人大部分都受到過(guò)病毒的“恩澤”，小到數(shù)據(jù)莫名其妙的丟失，大到整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，其破壞能力使人震驚。在本章中，將詳細(xì)探討一下計(jì)算機(jī)病毒的基本概念、種類、破壞力以及常見(jiàn)病毒的分析與預(yù)防及常用殺毒軟件的使用。如蠕蟲病毒、 CIH病毒、 BO黑客程序、宏病毒、求職信病毒以及以電子郵件傳染的郵件病毒，都借助于網(wǎng)絡(luò) ——這個(gè)世界性的傳播途徑而具備了更強(qiáng)的攻擊力。俗話說(shuō)，道高一尺，魔高一丈，防毒軟件不斷升級(jí)，而病毒也在不斷增加和升級(jí)。最后，該工具會(huì)向主域控制器查詢這個(gè)域。然后把表目預(yù)加載到 NetBIOS高速緩存器中，同時(shí)建立一個(gè)空 IPC會(huì)話。下面是根據(jù)遠(yuǎn)程網(wǎng)絡(luò)通過(guò)一個(gè)空 IPC會(huì)話采用這個(gè)工具進(jìn)行的實(shí)際剪切和粘貼： C:\NTRESKITusrstatdomain4 Usersat\\STUDENT4 Administratorlogon:TueNov1708:15:251998 Guestlogon:MonNov1612:54:041998 IUSR_STUDENT4INTerGuestAccouNTlogon:MonNov1615:19:2619 98 IWAM_STUDENT4WebApplicationManageraccouNTlogon:Never laurellogon:Never meganlogon:Never 我們現(xiàn)在說(shuō)明一下。 167。這個(gè)命令是根據(jù)域名發(fā)出的。在真正的攻擊發(fā)生前，把一個(gè)映射放到通過(guò)PRE/DOM標(biāo)記映射 StudeNT4機(jī)器及其域活動(dòng)狀態(tài)的 lmhosts文件中（下面詳述）。 use UsrStat 這個(gè)命令行實(shí)用程序顯示特定域中各個(gè)用戶的用戶名、全名以及最后一次登錄的日期和時(shí)間。為了收集到這些信息，要采用下列這個(gè)標(biāo)準(zhǔn)的 view命令： c:\view\\[遠(yuǎn)程主機(jī)的 IP地址 ] 根據(jù)目標(biāo)機(jī)的安全約束規(guī)則，可以拒絕或不拒絕這個(gè)列表。 view 如果有了空 IPC會(huì)話，網(wǎng)絡(luò)入侵者也能獲得網(wǎng)絡(luò)共享列表，否則就無(wú)法得到。下面我們講一下這個(gè)命令。 安全工具 Netstat實(shí)用命令 Netstat命令是一個(gè)端口掃描程序，它能掃描目標(biāo)機(jī)或網(wǎng)絡(luò)的端口信息，如果端口掃描程序報(bào)告端口 169在目標(biāo)機(jī)或網(wǎng)絡(luò)上是開放的，那么使用NBTSTAT命令，可以查詢網(wǎng)絡(luò)機(jī)器上的 NetBIOS信息的。任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。 12. SSL安全機(jī)制 SSL（加密套接字協(xié)議層）位于 HTpt層和 TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保信息傳遞的安全性。 11. IP轉(zhuǎn)發(fā)的安全性 IIS服務(wù)可提供 IP數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，此時(shí)，充當(dāng)路由器角色的 IIS服務(wù)器將會(huì)把從 INTer接口收到的 IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中，禁用這一功能將提高 IIS服務(wù)的安全性。 10. 端口安全性的實(shí)現(xiàn) 對(duì)于 IIS服務(wù)，無(wú)論是 WWW站點(diǎn)、 Fpt站點(diǎn)，還是 NNpt、 SMpt服務(wù)等都有各自偵聽(tīng)和接收瀏覽器請(qǐng)求的 TCP端口號(hào)（ Post），一般常用的端口號(hào)為： WWW是 80， Fpt是 21， SMpt是 25，你可以通過(guò)修改端口號(hào)來(lái)提高IIS服務(wù)器的安全性。 9. 解決 IIS4以及之前的版本受到 運(yùn)行 在HKEY_LOCAL_MACHINE\SYSTEM\CurreNTCoNTrolSet\Services\w6svc\parameters 增加一個(gè)值： Value Name: MaxClieNTRequestBuffer Data Type: REG_DWORD 設(shè)置為十進(jìn)制 具體數(shù)值設(shè)置為你想設(shè)定的 IIS允許接受的 URL最大長(zhǎng)度。只給予 .ASP文件目錄以腳本的權(quán)限，而不要給與執(zhí)行權(quán)限。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問(wèn)權(quán)限，只允許管理員和 system為 FullCoNTrol），作為一個(gè)重要措施，既可以發(fā)現(xiàn)攻擊的跡象，采取預(yù)防措施，也可以作為受攻擊的一個(gè)證據(jù)。 6. 禁止對(duì) FTP服務(wù)的匿名訪問(wèn) 如果允許對(duì) FTP服務(wù)做匿名訪問(wèn)，該匿名帳戶就有可能被利用來(lái)獲取更多的信息，以致對(duì)系統(tǒng)造成危害。 IIS可以設(shè)置允許或拒絕從特定 IP發(fā)來(lái)的服務(wù)請(qǐng)求，有選擇地允許特定節(jié)點(diǎn)的用戶訪問(wèn)。這是管理員較易忽視的一點(diǎn)。具體的操作方法是，在相關(guān)的 Web站點(diǎn)右擊鼠標(biāo)，選擇“屬性”然后選擇“主目錄” → “配置” → “應(yīng)用程序映射”。 6. 刪除不必要的 IIS擴(kuò)展名映射 去掉 .IDC、 .HTR、 .STM、 .IDA、 .HTW應(yīng)用程序映射，如果 .shtml、.shtm等無(wú)用，也應(yīng)去掉。因此，必須禁止。 2. 停止默認(rèn)站點(diǎn) 停止默認(rèn)的 FTP站點(diǎn)、默認(rèn)的 Web站點(diǎn)、管理 Web站點(diǎn)，在新的目錄下新建 WWW服務(wù)與 FTP服務(wù)，默認(rèn)的站點(diǎn)與管理 Web站點(diǎn)含有大量有安全漏洞的文件，極易給黑客造成攻擊機(jī)會(huì)。 16. 安裝最新的 MDAC 下載的站點(diǎn)為： 167。 12. 關(guān)閉 IP轉(zhuǎn)發(fā)功能 控制面板 網(wǎng)絡(luò) 協(xié)議 TCP/IP協(xié)議 屬性，使這個(gè)選框?yàn)榭?。Windows2021中該項(xiàng)已經(jīng)存在，只需將其值改為 1。但要注意有些服務(wù)是操作系統(tǒng)必須的服務(wù)，建議在停掉前查閱幫助文檔并首先在測(cè)試服務(wù)器上作一下測(cè)試。 9. 只保留 TCP/IP協(xié)議，刪除 NETBEUI、 IPX/SPX協(xié)議 網(wǎng)站需要的通訊協(xié)議只有 TCP/IP， NETBEUI和 IPX/SPX只是用于局域網(wǎng)的協(xié)議，放在網(wǎng)站上沒(méi)有任何用處，反而會(huì)被某些黑客工具利用。安全日志缺省是不記錄，帳號(hào)審核可以從域用戶管理器 ——規(guī)則 ——審核中選擇指標(biāo)；NTFS中對(duì)文件的審核從資源管理器中選取。 6. 只開放必要的端口，關(guān)閉其余端口 默認(rèn)情況下，所有的端口對(duì)外開放，黑客就會(huì)利用掃描工具掃描那些端口可以利用，這對(duì)安全是一個(gè)嚴(yán)重威脅。 5. 系統(tǒng)啟動(dòng)的等待時(shí)間設(shè)置為 0秒 打開 Windows NT ,雙擊“控制面板” → “系統(tǒng)” → “啟動(dòng) /關(guān)閉”，然后將列表顯示的默認(rèn)值“ 60”改為“ 0”。 另一種方法是通過(guò)修改注冊(cè)表 運(yùn)行 Regedit，然后修改注冊(cè)表在HKEY_LOCAL_MACHINE\SYSTEM\CurreNTCoNTrolSet\Services\LanmanServer\Parameters下增加一個(gè)鍵 Name:AutoShareServer Type:REG_DWORD Value:0 然后重新啟動(dòng)服務(wù)器，磁盤分區(qū)共享去掉，但 IPC共享仍存在，需每次重啟后手工刪除。 6. 刪除所有的網(wǎng)絡(luò)共享資源 Windows NT在默認(rèn)情況有網(wǎng)絡(luò)共享資源，在局域網(wǎng)內(nèi)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊有用，在網(wǎng)站服務(wù)器上同樣是一個(gè)特大的安全隱患。 2. 解除 NetBIOS與 TCP/IP協(xié)議的綁定 NetBois在局域網(wǎng)內(nèi)是不可缺少的功能，在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。 其他一般帳號(hào)也應(yīng)尊循著一原則。 所有帳號(hào)權(quán)限需嚴(yán)格控制，輕易不要給帳號(hào)以特殊權(quán)限； 除過(guò) Administrator外，有必要再增加一個(gè)屬于管理員組的帳號(hào)； 還有一個(gè)備用帳號(hào)；另方面，一旦黑客攻破一個(gè)帳號(hào)并更改口令，我們還有有機(jī)會(huì)重新在短期內(nèi)取得控制權(quán)。 帳號(hào)盡可能少，且盡可能少用來(lái)登錄 網(wǎng)站帳號(hào)一般只用來(lái)做系統(tǒng)維護(hù)，多余的帳號(hào)一個(gè)也不要，因?yàn)槎嘁粋€(gè)帳號(hào)就會(huì)多一份被攻破的危險(xiǎn)。 .2 Windows NT設(shè)置 Windows NT的設(shè)置通過(guò)以下幾方面來(lái)體現(xiàn)。 5. 安裝操作系統(tǒng)最新的補(bǔ)丁程序 最新的補(bǔ)丁程序，表示系統(tǒng)以前有重大漏洞，站點(diǎn)必須安裝最新補(bǔ)丁，隨時(shí)更新，入侵者往往利用漏洞對(duì)系統(tǒng)造成威脅。 6. 安裝成獨(dú)立的域控制器（ StandAlone） 主域控制器（ PDC）是局域網(wǎng)中隊(duì)多臺(tái)聯(lián)網(wǎng)機(jī)器管理的一種方式，用于網(wǎng)站服務(wù)器包含著安全隱患，使入侵者可能利用域方式的漏洞攻擊站點(diǎn)服務(wù)器。 事件查看器中共有六類事件的日志，應(yīng)用程序日志、安全日志、系統(tǒng)日志、目錄服務(wù)、 DNS服務(wù)、文件復(fù)制服務(wù)。 167。具體詳細(xì)步驟見(jiàn) p205。 步驟 1，單擊開始 → 程序 → Microsoft Exchange→active directory users and puters→users 容器處右擊 → 選擇快捷菜單中的新建 → 用戶，出現(xiàn)如圖6－ 32所示的新建用戶對(duì)話框。在每創(chuàng)建一個(gè)新用戶時(shí)就會(huì)自動(dòng)地為該用戶創(chuàng)建一個(gè)郵箱，那么你可以對(duì)這個(gè)郵箱進(jìn)行配置，在 Exchange中有 4類收件人，用戶、聯(lián)系人、組和公用文件夾，這里我們以用戶為例講述收件的人的創(chuàng)建與配置。 Exchange是通過(guò) MMC管理控制臺(tái)來(lái)提供管理的，單擊開始 → 程序 → Microsoft Exchange→system Manage 即可打開管理控制臺(tái) 167。 Exchange郵件服務(wù)器的安全配置與管理 在這里我們配置一個(gè) Exchange 2021郵件服務(wù)器，使之成為一個(gè)安全的郵件服務(wù)器。 Puffer郵件加密工具 Puffer郵件加密工具 同樣， Puffer也是一個(gè)免費(fèi)的共享軟件，你可以到 Puffer3如圖 66所示。 ALock郵件加密軟件 ALock是一個(gè)郵件加密的免費(fèi)軟，你可以到華軍軟件園去下載，具體的網(wǎng)址是： ALock軟件，并在計(jì)算機(jī)上安裝，安裝完成后，在任務(wù)上會(huì)看到此軟件的圖標(biāo)。 167。 給待發(fā)郵件添加數(shù)字簽名 3. OutLook安全電子郵件的配置 有了數(shù)字簽名后，就可以用 OutLook發(fā)送安全的電子郵件了，從圖 63可知，安全的電子郵件有三個(gè)選項(xiàng)： 配置數(shù)字標(biāo)識(shí) 配置數(shù)字標(biāo)識(shí)時(shí)，單擊“工具”菜單，單擊“帳號(hào)”，選擇想使用數(shù)字標(biāo)識(shí)的帳號(hào)，單擊“屬性”，然后單擊“安全”選項(xiàng)，再單擊“簽名標(biāo)識(shí)”欄的“選擇”按鈕，選擇使用該帳號(hào)簽署郵件時(shí)將使用何種數(shù)字標(biāo)識(shí)；再單擊“加密首選項(xiàng)”欄的“選擇”按鈕，選擇加密證書和算法，這些信息將包含在你的數(shù)字簽名的郵件中，這樣，閱讀到你的電子郵件的人就可以用同樣的設(shè)置向你發(fā)送加密郵件。第二種是通過(guò)微軟證書服務(wù)器來(lái)完成獲得數(shù)字標(biāo)識(shí)。 獲得數(shù)字標(biāo)識(shí) 獲得數(shù)字標(biāo)識(shí)有兩種方法，一種是通過(guò)一些受信任的 CA發(fā)放中心來(lái)獲得數(shù)字標(biāo)識(shí)（即數(shù)字證）如 Verisign公司，它的網(wǎng)址是：，你可以訪問(wèn)此站點(diǎn)，按要求填入個(gè)人的正確信息，此公司會(huì)給你一個(gè)數(shù)字身份人識(shí)別號(hào)，然后訪問(wèn)即可。 2. 數(shù)字標(biāo)識(shí)（數(shù)字證書） 為了使 OutLook能安全的收發(fā)電子郵件，必須首先擁有數(shù)字標(biāo)識(shí)，因?yàn)閿?shù)字標(biāo)識(shí)就是你網(wǎng)絡(luò)上的身份證，只有它，才能安全的收發(fā)電子郵件。在這個(gè)對(duì)話框中你可以單擊區(qū)域設(shè)置按鈕來(lái)自定義是否可在 HTML郵件中運(yùn)行腳本和活動(dòng)內(nèi)容。 1. 配置 OutLook的安全區(qū)域 OutLook允許你設(shè)置安全區(qū)域，通過(guò)配置安全區(qū)域，來(lái)增強(qiáng)電子郵件防止非授權(quán)訪問(wèn)。 167。 使用郵件客戶端 如使用 OutLook 、 FoxMail等。 使用 Web頁(yè)方式 用 IE登錄到主頁(yè)，進(jìn)入自己的郵箱，來(lái)收發(fā)自己的郵件。支持 IMAP交互式電子郵件