【正文】 信息，以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞?！　÷┒磼呙柘到y(tǒng)是在安全事件出現(xiàn)之前就對可能出現(xiàn)問題的漏洞進(jìn)行偵測、彌補(bǔ)和評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分?！　?基于網(wǎng)絡(luò)的漏洞掃描器 ，就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞?！　?基于主機(jī)的漏洞掃描器 ，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣。 計(jì)算機(jī)病毒的防治計(jì)算機(jī)病毒的防治 計(jì)算機(jī)病毒概述　　 1．計(jì)算機(jī)病毒的定義　　計(jì)算機(jī)病毒 (Virus)在 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中被明確定義，病毒 “指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 ”。3．計(jì)算機(jī)病毒的特點(diǎn)（ 1）寄生性（ 2）傳染性（ 3）潛伏性（ 4）隱蔽性（ 5）破壞性（ 6）可觸發(fā)性　　 4．計(jì)算機(jī)病毒分類　　計(jì)算機(jī)病毒可以根據(jù)多種屬性進(jìn)行分類?！　∵€有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法?！　。?3）根據(jù)病毒破壞的能力進(jìn)行分類　　 ① 無害型　　 ② 無危險(xiǎn)型　　 ③ 危險(xiǎn)型　　 ④ 非常危險(xiǎn)型 　?。?4）根據(jù)病毒特有的算法進(jìn)行分類　　 ① 伴隨型病毒　　這類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生 EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（ COM）。有時(shí)它們在系統(tǒng)存在，一般除了內(nèi)存不占用其他資源。　　 5．計(jì)算機(jī)病毒的發(fā)展　　在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。計(jì)算機(jī)病毒的發(fā)展可劃分為以下幾個(gè)階段。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量?！　。?1）攻擊系統(tǒng)數(shù)據(jù)區(qū)　　攻擊部位包括：硬盤主引導(dǎo)扇區(qū)、 Boot扇區(qū)、FAT表、文件目錄等?！　。?2）攻擊文件　　病毒對文件的攻擊方式很多，可列舉如下：刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫入時(shí)間空白、變碎片、假冒文件、丟失文件簇、丟失數(shù)據(jù)文件等。病毒攻擊內(nèi)存的方式如下：占用大量內(nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存等?！　。?5）使系統(tǒng)速度下降　　病毒激活時(shí)，其內(nèi)部的時(shí)間延遲程序啟動(dòng)，在時(shí)鐘中納入了時(shí)間的循環(huán)計(jì)數(shù)，迫使計(jì)算機(jī)空轉(zhuǎn)，計(jì)算機(jī)速度明顯下降?！　。?6）干擾屏幕、鍵盤或喇叭　　病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫、吃字符等?！　±炔《荆S多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲?！　。?7）攻擊 CMOS　　在機(jī)器的 CMOS區(qū)中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等，并具有校驗(yàn)和?！　。?8）干擾打印機(jī)　　典型現(xiàn)象為：假報(bào)警、間斷性打印、更換字符等?！　?7．網(wǎng)絡(luò)病毒的特點(diǎn)　　計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。病毒的迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。　?。?2）傳染速度快　　在單機(jī)上，病毒只可能通過軟盤、光盤從一臺計(jì)算機(jī)傳染到另一臺計(jì)算機(jī)，而在網(wǎng)絡(luò)中病毒則可通過網(wǎng)絡(luò)通信機(jī)制，借助高速電纜 /光纜進(jìn)行迅速擴(kuò)散。而網(wǎng)絡(luò)中只要有一臺客戶機(jī)未消毒干凈就可使整個(gè)網(wǎng)絡(luò)全部被病毒程序所傳染，甚至剛剛完成消毒工作的一臺客戶機(jī)也有可能被網(wǎng)絡(luò)中另一臺客戶機(jī)的帶毒程序所傳染?！　。?4）破壞性強(qiáng)　　網(wǎng)絡(luò)上的病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源。一個(gè)病毒程序可以按照設(shè)計(jì)者的要求，在某個(gè)客戶機(jī)上激活并發(fā)出攻擊。根據(jù) DATAQUEST公司的研究發(fā)現(xiàn)，病毒在網(wǎng)絡(luò)上被消除后， 85%的網(wǎng)絡(luò)在 30天內(nèi)會(huì)再次被感染。要意識到預(yù)防與消除病毒是一項(xiàng)長期的工作任務(wù)，不是一勞永逸的，應(yīng)堅(jiān)持不懈?！　?1．計(jì)算機(jī)病毒的檢測　　計(jì)算機(jī)工作出現(xiàn)下列異常現(xiàn)象，則有可能感染了病毒：　?。?1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點(diǎn)、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)?！　。?3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇?cái)?shù)目不斷增多，直到無法繼續(xù)工作。　?。?5）磁盤上的文件或程序丟失?！　。?7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有時(shí)出現(xiàn) “寫保護(hù)錯(cuò) ”提示?！　。?9）原來運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯(cuò)提示?！　?2．預(yù)防計(jì)算機(jī)病毒的注意事項(xiàng)　?。?1）備好啟動(dòng)盤　　（ 2）備份重要資料　?。?3）盡量避免在無防毒軟件的機(jī)器上使用可移動(dòng)儲(chǔ)存介質(zhì)　?。?4）使用新軟件時(shí)，先用掃毒程序檢查，可減少中毒機(jī)會(huì)?！　。?6）數(shù)據(jù)遭受破壞時(shí)重建硬盤　?。?7）不要在互聯(lián)網(wǎng)上隨意下載軟件　　（ 8）不要輕易打開電子郵件的附件　　 3．防范計(jì)算機(jī)網(wǎng)絡(luò)病毒的一些措施　?。?1）在網(wǎng)絡(luò)中，盡量不用或少用有軟驅(qū)的客戶機(jī)?！　。?3）對非共享軟件，將其執(zhí)行文件和覆蓋文件如 *.COM、 *.EXE、 *.OVL等備份到文件服務(wù)器上，定期從服務(wù)器上拷貝到本地硬盤上進(jìn)行重寫操作。　?。?5）正確設(shè)置文件屬性，合理規(guī)范用戶的訪問權(quán)限?！　。?7）目前預(yù)防病毒最好的辦法就是在計(jì)算機(jī)中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。　?。?8）為解決網(wǎng)絡(luò)防病毒的要求，已出現(xiàn)了病毒防火墻（防病毒網(wǎng)關(guān)），部署在局域網(wǎng)與 Inter之間，以防止 Inter上的病毒傳入?！　?4．反病毒軟件產(chǎn)品　　國內(nèi)常用的反病毒軟件有瑞星、江民、金山毒霸等，國外的有賽門鐵克、卡巴斯基等?！　≡谟?jì)算機(jī)領(lǐng)域中，木馬程序是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。　　所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)，鍵盤等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的?！　?2．木馬系統(tǒng)的構(gòu)成　　一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。包括以下三個(gè)部分?！　》?wù)端：被控制端遠(yuǎn)程控制的一方。 　?。?2）軟件部分：即實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。　　控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序?！　∧抉R配置程序：設(shè)置木馬程序的端口號，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。包括以下二個(gè)部分?！　】刂贫硕丝?，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬程序?！　。?2）木馬的偽裝方式　　木馬設(shè)計(jì)者開發(fā)了多種功能來偽裝木馬，以達(dá)到降低用戶警覺，欺騙用戶的目的?！　?② 捆綁文件　　這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無察覺的情況下，偷偷的進(jìn)入了系統(tǒng)?！　?③ 出錯(cuò)顯示　　如果打開一個(gè)文件，沒有任何反應(yīng)，這很可能就是個(gè)木馬程序，木馬的設(shè)計(jì)者也意識到了這個(gè)缺陷，所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能?！　?④ 定制端口　　很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，只要查一下特定的端口就知道感染了什么木馬，所以現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在 1024～ 65535之間任選一個(gè)端口作為木馬端口（一般不選 1024以下的端口），這樣就給判斷所感染木馬類型帶來了麻煩。當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會(huì)將自己復(fù)制到 WINDOWS的系統(tǒng)文件夾中（ C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下）?！　《抉R的自我銷毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助時(shí)，就很難刪除木馬了?！　?4．木馬的運(yùn)行　　服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。安裝后就可以啟動(dòng)木馬了?！　?① 注冊表：打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的 Run和 RunServices的主鍵，在其中尋找可能是啟動(dòng)木馬的鍵值?！　?③ ： C:\WINDOWS目錄下有個(gè)配置文件 ，用文本文件方式打開，在[386Enh]， [mic]， [drivers32]中有命令行，在其中尋找木馬的啟動(dòng)命令。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行?？刂贫死眠@些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了?！　?（ 2）觸發(fā)式激活木馬　　 ① 注冊表：打開 HKEY_CLASSES_ROOT文件類型 \shellopenmand主鍵，查看其鍵值?！　?③ 自動(dòng)播放式：自動(dòng)播放本是用于光盤的，當(dāng)插入一個(gè)電影光盤到光驅(qū)時(shí)，系統(tǒng)會(huì)自動(dòng)播放里面的內(nèi)容，這就是自動(dòng)播放的本意，播放什么是由光盤中的 ，修改 中的 open一行可以指定在自動(dòng)播放過程中運(yùn)行的程序?！　∧抉R作者還在不斷尋找 “可乘之機(jī) ”，這里只是舉例，還會(huì)不斷的有自啟動(dòng)的地方被挖掘出來。這時(shí)服務(wù)端用戶可以在命令提示符方式下，鍵入 NETSTAT AN查看端口狀態(tài)，一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開放的，如果有端口開放，你就要注意是否感染木馬了。　　 5．信息泄露　　一般來說，設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制?！　姆答佇畔⒅锌刂贫丝梢灾婪?wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端 IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立連接。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接。　　控制端上的控制端程序可用這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。　?。?1）竊取密碼?！　。?3）修改注冊表?！　?8．木馬和病毒　　木馬和病毒都是一種人為的程序，都屬于電腦病毒，為什么木馬要單獨(dú)提出來說 ?　　大家都知道以前的電腦病毒的作用，其實(shí)完全就是為了搞破壞，破壞電腦里的資料數(shù)據(jù)?！　¤b于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣，所以木馬雖然屬于病毒中的一類，但是要單獨(dú)的從病毒類型中間剝離出來，獨(dú)立的稱之為 “木馬 ”程序?！　“巡闅⒛抉R程序單獨(dú)剝離出來，可以提高查殺效率，現(xiàn)在很多殺毒軟件里的木馬專殺程序只對木馬進(jìn)行查殺，不去檢查普通病毒庫里的病毒代碼，也就是說當(dāng)用戶運(yùn)行木馬專殺程序的時(shí)候，程序只調(diào)用木馬代碼庫里的數(shù)據(jù)，而不調(diào)用病毒代碼庫里的數(shù)據(jù)，大大提高木馬查殺速度。　?。?2）把個(gè)人防火墻設(shè)置好安全等級，防止未知程序向外傳送數(shù)據(jù)。　?。?4）如果使用 IE瀏覽器，應(yīng)該安裝卡卡安全助手或 360安全衛(wèi)士之類保護(hù)軟件，防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。　　網(wǎng)絡(luò)用戶在瀏覽一些惡意網(wǎng)站，或者從不安全的站點(diǎn)下載游戲或其他程序時(shí)，往往會(huì)連合惡意程序一并帶入自己的電腦，而用戶本人對此絲毫不知情。在惡意軟件未被發(fā)現(xiàn)的這段時(shí)間，用戶網(wǎng)上的所有敏感資料都有可能被盜走，比如銀行賬戶信息，信用卡密碼等?！　?2．惡意軟件的特征　　（ 1）強(qiáng)制安裝　?。?2）難以卸載　?。?3）瀏覽器劫持　　（ 4）廣告彈出　?。?5）惡意收集用戶信息　　（ 6）惡意卸載其他正常軟件　?。?7）惡意捆綁　　（ 8）其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。如采用防火墻來過濾潛在的破壞性代碼，采用垃圾郵件過濾器、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等來加固網(wǎng)絡(luò)，加強(qiáng)對破壞性代碼的防御能力。確保安裝所有的安全軟件，并及時(shí)更新。　　制定處理惡意事件的策略，在多個(gè)部門組建可實(shí)現(xiàn)協(xié)調(diào)響應(yīng)職責(zé)并能夠定期執(zhí)行安全培訓(xùn)的團(tuán)隊(duì)。近幾年來，反病毒軟件的開發(fā)商已經(jīng)逐漸將垃圾郵件和間諜軟件等威脅的防御功能集成到其產(chǎn)品中。　?。?1）系統(tǒng)全面診斷　　（ 2）修復(fù)系統(tǒng)漏洞　?。?3）清理惡評插件　　（ 4）木馬查殺　?。?5）實(shí)時(shí)保護(hù)功能　?。?6） ARP病毒防火墻雙向攔截