【正文】 馬。 篡改后恢復(fù)的實(shí)現(xiàn) 檢測(cè)到文件被篡改，這是關(guān)鍵的一個(gè)步驟，剩下的就是如何完成恢復(fù)的任務(wù)。 (3)整合網(wǎng)站發(fā)布管理系統(tǒng)，給企業(yè)網(wǎng)站發(fā)布維護(hù)防篡改過(guò)程提供全局的綜合的管理操作。 由于企業(yè)網(wǎng)站的規(guī)模擴(kuò)大、數(shù)量的增加，涉及的信息增多，網(wǎng)絡(luò)攻擊的日愈頻繁，具備綜合安全防范能力的網(wǎng)負(fù)防篡改軟件的研究網(wǎng)頁(yè)放篡改系統(tǒng) 的發(fā)展趨勢(shì)主要有 4 點(diǎn) : (1)高的運(yùn)行性能，低的系統(tǒng)消耗。 (6)LeaGuard 網(wǎng)頁(yè)防篡改與自動(dòng)恢復(fù)系統(tǒng) — 深圳市聯(lián)軟科技有限公司。 (5)網(wǎng)頁(yè)防篡改系統(tǒng) — 上?；W(wǎng)電腦技術(shù)有限公司。 網(wǎng)頁(yè)防篡改技術(shù)與系統(tǒng)設(shè)計(jì) 8 (4)億賽通網(wǎng)頁(yè)防篡改系統(tǒng) — 北京億賽通科技發(fā)展有限責(zé)任公司，保護(hù)網(wǎng)站的頁(yè)面不被篡改，也解決了 HP 訪問(wèn)者的身份認(rèn) 證及追蹤的困難。 (3)鷹眼主頁(yè)防篡改 — 廣州三零盛安信息安全有限公司。采用 web 服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于 web 服務(wù)器系統(tǒng)內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)，不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來(lái)自于 web 的 sql 注入式攻擊和篡改。采用事件觸發(fā)、核心內(nèi)嵌、服務(wù)器聯(lián)動(dòng)、以及實(shí)時(shí)阻斷四重安全保護(hù)機(jī)制，同時(shí)結(jié)合數(shù)字證書技術(shù)與安全傳輸技術(shù)，支持很多種操作系統(tǒng)和 Web 服務(wù)器。如表 11。但是目前對(duì)數(shù)據(jù)庫(kù)的保護(hù)還缺乏有效的手段。 通過(guò)對(duì)上面這幾代技術(shù)的比較，我們發(fā)現(xiàn)這幾代技術(shù)都是沿襲事后恢復(fù)的思想，即在網(wǎng)頁(yè)被篡改后依靠這些防篡改技術(shù)的檢測(cè)機(jī)制查詢出被篡改的網(wǎng)頁(yè)，然后將被篡改的 網(wǎng)頁(yè)用我們備份的網(wǎng)頁(yè)進(jìn)行替換。這樣做不僅完全杜絕了輪詢掃描式頁(yè)面防篡改軟件的掃描間隔中被篡改內(nèi)容被用戶訪問(wèn)的可能，其所消耗的內(nèi)存和 CPU 占用率也遠(yuǎn)遠(yuǎn)低于文件輪詢掃描式或核心內(nèi)嵌式的同類軟件。其原理是：將篡改監(jiān)測(cè)的核心程序通過(guò)微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到 Web 服務(wù)器中，通過(guò)事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有文件內(nèi)容，對(duì)照其底層文件屬性，經(jīng)過(guò)內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測(cè)，若發(fā)現(xiàn)屬性變更，通過(guò)非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置，通過(guò)底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過(guò)程毫秒級(jí)，使得公眾無(wú)法看到被篡改頁(yè)面，其運(yùn)行性能和檢測(cè)實(shí)時(shí)性都達(dá)到最高的水準(zhǔn)。 在網(wǎng)頁(yè)防篡改技術(shù)革新當(dāng)中 ，該技術(shù)找到了其發(fā)展的空間。且對(duì)網(wǎng)頁(yè)正常發(fā)布流程作了更改，整個(gè)網(wǎng)站需要重新架構(gòu)，增加新的發(fā)布服務(wù)器替代原先的服務(wù)器。 核心內(nèi)嵌技術(shù)避免了時(shí)間輪詢技術(shù)的輪詢間隔這個(gè)缺點(diǎn)。 MAC (Message Authentication Code，消息認(rèn)證代碼 )，是一種使用密鑰的單向函數(shù)，可以用它們?cè)谙到y(tǒng)上或用戶之間認(rèn)證文件或消息。 MD5 是 RSA 數(shù)據(jù)安全公司開發(fā)的一種單向散列算法，網(wǎng)頁(yè)防篡改技術(shù)與系統(tǒng)設(shè)計(jì) 6 MD5被廣泛使用，可以用來(lái)把不同長(zhǎng)度的數(shù)據(jù)塊進(jìn)行暗碼運(yùn)算成一個(gè) 128 位的數(shù)值 。傳輸過(guò)程或者存儲(chǔ)過(guò)程的修改都會(huì)導(dǎo)致其校驗(yàn)碼發(fā)生變化 。文件的信息摘要作為篡改檢測(cè)也是一 種有效的方式。通用的圖像存儲(chǔ)格式 GIF、 TIFF 等也都用 CRC 作為檢錯(cuò)手段。WinRar, ARJ 等壓縮工具軟件采用的是CRC32，生成的是 32bit 的 CRC 碼 。 CRC驗(yàn)證 從性能上和開銷上考慮，均遠(yuǎn)遠(yuǎn)優(yōu)于奇偶校驗(yàn)及算術(shù)校驗(yàn)等方式。 CRC32 是一個(gè) 32bit 的校驗(yàn)碼，不管原始的文件是多大最后生成的都是 32bit 的校驗(yàn)碼。 在 WinRar 中使用到 CRC32 驗(yàn)證時(shí)，計(jì)算每個(gè)解壓后文件的 CRC32 的4 個(gè)字節(jié)值，然后和壓縮文檔附帶的 CRC32 對(duì)比，發(fā)現(xiàn)差異則解壓終止。此方法經(jīng)常用在壓縮文件之中。它是一種網(wǎng)頁(yè)防篡改技術(shù)與系統(tǒng)設(shè)計(jì) 5 高度壓縮的信息校驗(yàn)方式，將一個(gè)超過(guò)數(shù)兆乃至上 G 的文件生成一個(gè)數(shù)個(gè)字節(jié)的 CRC 校驗(yàn)值。 圖 11 文件的長(zhǎng)度屬性 和文件屬性 操作系統(tǒng)下任 意一個(gè)存檔文件同樣也都具有修改時(shí)間、創(chuàng)建時(shí)間 等屬性，當(dāng)修改了這個(gè)文件，其最后一次修改時(shí)間也就發(fā)生了相應(yīng)變化，如圖 11所示。如文件的長(zhǎng)度 (大小 )屬性 :當(dāng)修改了這個(gè)文件 (比如增加或刪減了若干字符 )，就當(dāng)然有可能修改了這個(gè)文件的長(zhǎng)度。 （ 1） 利用文件的長(zhǎng)度屬性和時(shí)間屬性 對(duì)于存檔文件來(lái)說(shuō)，在文件修改過(guò)程中可能發(fā)生變化的一些屬性成為研究的對(duì)象。此種技術(shù)通常要結(jié)合事件觸發(fā)機(jī)制對(duì)文件的部分屬性進(jìn)行對(duì)比，如大小，頁(yè)面生成時(shí)間等做判斷，網(wǎng)頁(yè)防篡改技術(shù)與系統(tǒng)設(shè)計(jì) 4 無(wú)法更準(zhǔn)確的進(jìn)行其 它屬性的判斷。核心內(nèi)遷嵌技術(shù) 我們將事件觸發(fā)技術(shù)與核心內(nèi)嵌技術(shù)兩種技術(shù)放在同一代來(lái)說(shuō)，因?yàn)檫@兩種網(wǎng)頁(yè)防篡改技術(shù)出現(xiàn)的時(shí)間差距不大，而且兩種技術(shù)常常被結(jié)合使用。此類技術(shù)應(yīng)用在過(guò)去網(wǎng)頁(yè)訪問(wèn)量較少，具體網(wǎng)頁(yè)應(yīng)用較少的情況下適用，目前網(wǎng)站頁(yè)面通常少則上百頁(yè)，檢測(cè)輪詢時(shí)間更長(zhǎng)，且占用 系統(tǒng)資源較大，該技術(shù)逐漸被淘汰。 時(shí)間輪詢技術(shù)是利用一個(gè)網(wǎng)頁(yè)檢測(cè)程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來(lái)判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。我們?cè)谶@里將其稱為網(wǎng)頁(yè)防篡改技術(shù)的第一代。 為了達(dá)到實(shí)用性，必須采用計(jì)算量小、開銷不大、簡(jiǎn)單的方式實(shí)現(xiàn)快速地找到文件被篡改的痕跡。但是其在網(wǎng)頁(yè)防篡改的技術(shù)發(fā)展歷程中存在一段相當(dāng)長(zhǎng)的時(shí)間；所以在這里我們把它作為 網(wǎng)頁(yè)防篡改技術(shù)發(fā)展的起始點(diǎn)，單獨(dú)拿出來(lái)講。 （起始點(diǎn)）人工對(duì)比檢測(cè) 人工對(duì)比檢測(cè)，其實(shí)就是一種專門指派網(wǎng)絡(luò)管理人員，人工監(jiān)控需要保護(hù)的網(wǎng)站，一旦發(fā)現(xiàn)被篡改，就以人力對(duì)其修復(fù)還原的手段。 對(duì)于操作系統(tǒng)漏洞、 Web服務(wù)器漏洞、數(shù)據(jù)庫(kù)漏洞等，可以通過(guò)打補(bǔ)丁的方式解決；對(duì)于弱口令，可以通過(guò)設(shè)置復(fù)雜密碼并且通過(guò)定期更改的方式解決；對(duì)于后臺(tái)程序，可以在開始的時(shí)候，不要在 Web 服務(wù)器上上網(wǎng)、運(yùn)行不可靠的程序，這樣可以避免在不經(jīng)意間感染這些程序；而對(duì)于網(wǎng)站代碼漏洞，理論上可以責(zé)成開發(fā)網(wǎng)站的人員， 檢查每行代碼，不讓代碼出問(wèn)題，但實(shí)際上這幾乎是不可能的。 后臺(tái)程序：當(dāng)主機(jī)感染了一 些病毒、木馬或蠕蟲后，或者感染一些其他后臺(tái)程序后，會(huì)被黑客遠(yuǎn)程控制。源代碼中的一些漏洞會(huì)給黑客可乘之機(jī)。 數(shù)據(jù)庫(kù)漏洞：一些網(wǎng)站需要使用 SQL Server 或其他數(shù)據(jù)庫(kù)，當(dāng)數(shù)據(jù)庫(kù)系統(tǒng)存在漏洞時(shí)，會(huì)被黑客利用，通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)漏洞控制主機(jī)，或者直接通過(guò)漏洞修改網(wǎng)頁(yè)。 操作系統(tǒng)漏洞：存放網(wǎng)站空間主機(jī)的操作系統(tǒng)漏洞，會(huì)被黑客入侵。 許多的企業(yè)，雖然都有防火墻，網(wǎng)站服務(wù)器也放在自己的內(nèi)網(wǎng)（通過(guò)防火墻發(fā)布到 Inter），但由于眾多的原因，仍然避免不了網(wǎng)頁(yè)被篡改的命運(yùn)；而托管到電信或聯(lián)通機(jī)房的服務(wù)器，由于不可能單獨(dú)為其配置硬件的防火墻，命運(yùn)可想而知。而且，近年來(lái)，網(wǎng)站被篡改的數(shù)目仍然以每年 2～ 3倍的速度在不斷遞增。 網(wǎng)頁(yè)防篡改系統(tǒng)發(fā)展與國(guó)內(nèi)外現(xiàn)狀 根據(jù) CNCERT/CC（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心） 20xx年 2月份發(fā)布的統(tǒng)計(jì)報(bào)告， 20xx年 1月 1日至 31日，我國(guó)大陸地區(qū)被篡改網(wǎng)站的數(shù)量為 3792個(gè)，較 20xx年 12月的 1693個(gè)增長(zhǎng)了 124%，其中代號(hào)為 “xsax” 和 “By_Tuncayov” 的攻擊者對(duì)大陸網(wǎng)站進(jìn)行了大量的篡改。一旦不符合規(guī)定要求，就發(fā)出有關(guān)控制命令，并傳輸正確的網(wǎng)頁(yè)。 這次畢業(yè)設(shè)計(jì)通過(guò) 結(jié)合信息加密和網(wǎng)絡(luò)編程技術(shù)。如果在學(xué)校網(wǎng)站上出現(xiàn)虛假信息甚至反動(dòng)信息，不僅直接損害了學(xué)校形象，也在一定程度上影響了學(xué)習(xí)氣氛的穩(wěn)定，非常值得我們警惕。對(duì)學(xué)校網(wǎng)站而言，網(wǎng)頁(yè)篡改 (尤其是含有政治攻擊色彩的篡改 )會(huì)對(duì)學(xué)校形象造成嚴(yán)重?fù)p害。但值得我們警惕的是，互聯(lián)網(wǎng)網(wǎng)站處在一個(gè)相對(duì)開放的環(huán)境中，它在為公眾提供便利服務(wù)的同時(shí)，也極易成為不法分子和敵對(duì)勢(shì)力的攻擊目標(biāo)。 網(wǎng)頁(yè)防篡改技術(shù)與系統(tǒng)設(shè)計(jì) II Abstract Web as an information carrier of the rapid development of the Inter today are playing an increasingly important role. However, due to various types of Web applications, the plexity and diversity, leading to endless vulnerabilities, hacking and tampering page occur. To solve these problems, web tamper system came into being. Tamper protection as an important web technology is being more and more attention. Application of time polling technology, plus MD5 encryption technology, on the need to protect the documents of the eigenvalues of encryption, in between the client and server transmit the mand, then the database server to store it. UDP transmission so that you can better demonstrate the transmission efficiency, but also to avoid security problems. Compared to the full text contrast to improve the work efficiency. And save bandwidth, reduce server cpu usage and memory usage. This article also analyzes the page tamper status of system development at home and abroad, on domestic and international antitamper software were pared in this paper are the main points involved in related technologies such as the transmission based on UDP protocol string to use WMI to remotely shut down, but also have used C in the mail instance mail. At the end of this article, were tested. Side of the page are not under the control of the content can be achieved quickly replaced, thus minimizing their negative impacts. Email sent through mail prompts the administrator module has been tampered page. After the failure of the restoration page, will take the remote automatically shutdown to protect the security of the server. The results are in line with expectations. 網(wǎng)頁(yè)防篡改技術(shù)與系統(tǒng)設(shè)計(jì) III 目錄 第一章 緒論 .......................................................................................................... 1 課題背景與研究意義 ..................................................................................... 1 網(wǎng)頁(yè)防篡改系統(tǒng)發(fā)展與國(guó)內(nèi)外現(xiàn)狀 ................................................................ 1 問(wèn)題分析與成因總結(jié) ................................................................................ 2 （起始點(diǎn)）人工對(duì)比檢測(cè) ......................................................................... 3 （第一代）時(shí)間輪巡技術(shù) ......................................................................... 3 （第二代）事件觸發(fā)技術(shù) amp。在恢復(fù)網(wǎng)頁(yè)失敗后，將采取遠(yuǎn)程自動(dòng)關(guān)機(jī)，用以保護(hù)服務(wù)器的安全。在網(wǎng)頁(yè)端不被控制的情況下可以實(shí)現(xiàn)快速的內(nèi)容替換，從而將負(fù)面影響降低到最低。 同時(shí)本文分析了網(wǎng)頁(yè)防篡改系統(tǒng)的發(fā)展與國(guó)內(nèi)外現(xiàn)狀，對(duì)國(guó)內(nèi)外防篡改軟件進(jìn)行了對(duì)比，介紹了本文相關(guān)技術(shù)所涉及的要點(diǎn)如基于 UDP 協(xié)議的