黑客攻防指南

黑客攻防指南 如何检测并预防黑客入侵 日子过得真快，转眼就到了8月份，随着天气的逐渐变热，人们的心也在日渐浮躁起来，再经过前一段《骇客帝国》的热播以及国内外那几起被炒得沸沸扬扬的黑客攻击事件，搞得公司里的同事们也每天里“黑客”长“黑客”短的在谈论这些事儿，仿佛骇客帝国里的所描述的那些场景马上就要降临了一般，其实，不要以为黑客都是黑纱蒙面昼伏夜出的大盗，没准胡同口网吧里上网的那几个小破孩聊累了，捎带手就能将某个公司的主页给黑上一把；也别以为黑客都是些横眉立目五大三粗的爷们儿，说不定哪天炸毁了美国总统电子邮箱的就是那个在邻居大嫂家租房住的漂亮MM。当人们围拢在一起或欣赏黑客或诅咒黑客，或压低嗓门议论黑客的时候，也许那些黑客们正从你身边微微一笑悄然而过。这些黑客们生来就与两张网结下了不解之缘，头一张自然是互联网，另一张则是法网。实际上，自打有了电脑、有了网络，在这个电子世界里就有了黑客，这与现实生活中的情形往往有惊人的相似，网络安全也是遵循着“漏洞→完善→漏洞→再完善”这样一个过程，螺旋式地向上发展。黑客与网络防护的对话，也有着这样的过程。 黑客的概念 黑客是计算机专业中的一群特殊的群体，随着目前各种媒体里报道的计算机系统被攻击越来越多，黑客就越发成为我们关注的焦点。关于黑客的描述有很多，我们选择如下几例，帮大家对黑客有个初步的了解。 黑客(hacker) 技术上的行家或热衷于解决问题, 克服限制的人。在精神上, hacker 并不单指(限制于)这种软件 hacker 的文化. 有人也把 hacker的特质发挥在其它领域, 例如: 电子或者音乐方面. 事实上你会发现, 在任何一种科学或艺术的最高境界, 你都可以发现 hacker 的特质. 软件 hacker 们认为,那些类似的精神也都可以称为黑客的态度。Hacker 们解决了问题并创造新东西, 他们相信自由并自愿的互相帮助. 　　黑客精神 　　1. 这世上充满著等著被解决的迷人问题. 　　2. 没有任何人必须一再的解决同一个问题. 　　3. 无聊而单调的工作是有害的. 　　4. 自由才好. 　　5. 态度并非不等效于能力 　　解释：猜疑态度和尊敬各种能力. Hacker 们不会想浪费时间在虚华的人的身上, 他们尊敬的是能力 -- 特别是身为 hacker 的能力, 但对于其它方面的能力也是充满敬意. 　　一位 Hacker 所需的基本技能 　　1. 学习程序设计. 　　2. 取得一个免费的 UNIX , 并学习使用和维护. 　　3. 学习使用 World Wide Web 并学会写 HTML. 　　Hacker 文化的状况 　　1. 写免费的软件. 　　2. 帮忙 test 和 debug 免费的软件 　　3. 公布有用的资讯. 　　4. 帮忙维持一些简单的工作.（解释：hacker 文化是由一群自愿者维持运作. 有一些工作很无趣但却必须维持正常运作的, 如: 管理 mailing list, 维护 newsgroup, 维持大的软件供应站台, 推动RFC 和其它技术标准.） 　　5. 为 hacker 文化而努力. 　　电脑黑客守则 　　1. 不恶意破坏任何的系统, 这样作只会给你带来麻烦.恶意破坏它人的软体将导致法律刑责, 如果你只是使用电脑, 那仅为非法使用!! 注意: 千万不要破坏别人的软体或资料 !! 　　2. 不修改任何的系统档, 如果你是为了要进入系统而修改它, 请在答到目的後将它改回原状. 　　3. 不要轻易的将你要 Hack 的站台告诉你不信任的朋友. 　　4. 不要在 bbs 上谈论你 Hack 的任何事情. 　　5. 在 Post 文章的时候不要使用真名. 　　6. 正在入侵的时候, 不要随意离开你的电脑. 　　7. 不要侵入或破坏政府机关的主机. 　　8. 不在电话中谈论你 Hack 的任何事情. 　　9. 将你的笔记放在安全的地方. 　　10. 想要成为 Hacker 就要真正的 Hacking, 读遍所有有关系统安全或系统漏洞的文件 (英文快点学好)! 11. 已侵入电脑中的帐号不得清除或修改. 　　12. 不得修改系统档案, 如果为了隐藏自己的侵入而作的修改则不在此限, 但仍须维持原来系统的安全性, 不得因得到系统的控制权而将门户大开 !! 　　13. 不将你已破解的帐号分享与你的朋友. 　　黑客名称来源： 　　几十年前第一台 minicomputer 刚诞生, ARPAnet 实验也刚展开的时代. 那时有一个由程序设计专家和网络名人所组成的, 具有分享特质的文化族群.这种文化的成员创造了 `hacker\' 这个名词. 这些 Hacker 建立了 Internet,创造出我们现在使用的 UNIX 操作系统, 他们也使 Usenet 运作起来, 并且让 WorldWide Web 动起来. 　　骇客（cracker） hacker 和 cracker 之间最主要的不同是: hacker 们创造新东西,cracker 们破坏东西 黑客的道德准则： 他们认为，所有的信息都应当是免费的；应该打破电脑集权；计算机使人们生活更美好等等，普通的电脑程序员要成为黑客也不难，但要成为一名黑客高手，除了智慧，还要有足够的耐心和毅力网络安全最薄弱的环节并不是系统漏洞，而是人的漏洞。 　　最近，这些神秘人物聚集在美国匹兹堡，参加最古老的黑客大会———所谓最古老，也不过是1985年后才出现的新鲜事。本届大会组织者最重要的任务之一是让公众相信，不是所有的黑客都是罪犯。就连出席大会、目光深邃的FBI探员汤姆·加拉索也同意：黑客并不总是利用计算机犯罪或捣乱，一些黑客破解电脑代码只是为了发现更方便使用某个程序的“捷径”。 技艺精湛 　　一名昔日黑客告诉记者，依靠黑客工具，普通的电脑程序员要成为黑客也不难，但要成为一名黑客高手，除了智慧，还要有足够的耐心和毅力。 　　现成的黑客工具可以通过扫描上网者的IP地址寻找到目标计算机，并列出漏洞清单。但如果你水平不够，即便看到这个清单也无法加以利用。 　　黑客们为了不暴露自己的IP地址，通常使用两种方法，一种是利用代理服务器，将自己的IP地址伪装起来，这种代理服务器很多都可以在网上免费得到。另一种是“跳板”技术，也就是说，寻找一台正在上网的电脑，假借这台电脑的地址隐藏自己，这台电脑通常被黑客们称为“肉机”。许多“肉机”主人在被安全部门找到时，还往往莫名其妙，一脸无辜。 　　找到一台可以“嫁祸”的个人电脑要费很长时间，因为个人用户不会在网上逗留很久，每台电脑的实际情况也都不一样。而微软这样的公司也会一直推出补丁程序来修补他们的漏洞，所以黑客需要不断发现新漏洞。“总而言之，要掌握真正的黑客技术，是很难很难，很繁琐的”。 　　历史上最著名的黑客莫过于凯文·米特尼克。15岁时，米特尼克就成功入侵“北美空中防务指挥系统”，成为经典案例。16岁时的一天，他在看FBI的电脑网络，发现FBI正在调查一名黑客，便饶有兴趣地看起来，看着看着，突然大吃一惊：被调查者竟然是他自己！ 　　在很短的时间里他频频进入各大公司，修改用户资料，害得这些公司哭笑不得，连连向客户道歉。媒体称他无所不能，还被《时代》选为封面人物。但他最终还是被FBI绳之以法，据说，是他的作案风格，而不是他的技术，让他露出了马脚。米特尼克不但被判5年监禁，一切上网工具包括计算机、手机都不准触摸———因为他只需敲击5个键就可入侵一家网站。     如果你问黑客为何要入侵计算机系统，他们中的绝大多数会回答：好玩。绝大多数的黑客只是一些电脑技术的狂热爱好者，他们入侵各种网站，只是以此为乐。一名黑客告诉记者：“第一次成功入侵后，很兴奋，看到了别人公司的客户资料、财务报表，真是有点心惊胆战，但5分钟后我就发现，这些资料对我而言，也没有任何用处。”因为如果要利用黑客技术犯罪，就必须冒坐牢的风险，一般人是不会那么做的。 　　黑客们有自己的道德准则(theHackerEthic)。史蒂夫·利维在其著名的《黑客电脑史》一书中对于“黑客道德准则”作出了详细的解释，包括：所有的信息都应当是免费的；打破电脑集权；计算机使生活更美好等。这些东西被黑客们看作是“江湖规矩”，反正你只要想成为一个黑客，这些就一定要遵守。 　　黑客大会的组织者图姆波尔说：“那些任意涂改网页或者摧毁像eBay和亚马逊网站系统的人不应被称做黑客，我把他们叫做破坏分子。”中国的黑客组织黑客联盟也宣称：作为黑客，其 职责 岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx 就是寻找漏洞、维护网络安全。 　　前不久，一所美国大学宣布将于今年秋季开设教授如何编写病毒软件的课程，消息一公布，就招致极大争议。大学方面的理由是，要成为反病毒专家，就应该知道如何制造病毒。但反对者认为，你不需要写病毒才能理解它，世界上已经有6万种电脑病毒需要消灭，这种做法不能被社会道德所接受。 　　在绝大多数黑客看来，研究黑客技术的目的只能是一个，那就是以提高电脑技术水平为目的，以不搞破坏为底线。 人是电脑的最大漏洞 　　对黑客持宽容态度的人认为，一个网站被黑，恰恰说明它有安全漏洞。事实上，很早就有人知道这些易受攻击的弱点了，但是普通人根本就没有电脑安全方面的意识。 　　已经金盆洗手的凯文·米特尼克日前在接受采访时说，网络安全最薄弱的环节并不是系统漏洞，而是人的漏洞。他就曾假扮摩托罗拉公司员工，并成功说服该公司的工程师将最新的电话系统软件发送给他。他说，虽然黑客以前发动攻击只是为了好玩，但现在很多攻击的目的却远不止此，它们的目标更多地锁定在了机密的商业和个人信息，以获得非法利益。 　　面对这些潜在的巨大威胁，政府和许多企业都投入了大量的财力和物力用于安全防范，预计今年一年投入的资金将高达135亿美元，比2000年翻了一番。但安全专家认为，仅仅购置安全软件是远远不够的，政府和企业必须充分注意到人的因素，因为最薄弱的环节很可能是大意的人，而不是软件的漏洞。米特尼克攻陷了许多极为繁复的网络，靠的不光是高超的技术，更多的是利用人的弱点。他的名言是：“愚蠢是没有补药的！” 　　米特尼克认为，计算机和解调器都不是问题的关键，人才是最重要的，只有把人的安全防范意识提升到一个相当高的地步，黑客攻击的破坏性才能够从根本上降低。这个曾经被称为“地狱黑客”的电脑高手现在创建了一家安全咨询公司，专为客户提供安全防护服务。 黑客们的日常的攻击手段 现在的许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇， 干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击，付出了惨重的代价时才会后悔不已。 　　为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可趁。下面就来研究一下那些黑客是如何找到你计算机中的安全漏洞的，只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客。 　　1、获取口令 　　这又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其有些用户(指口令安全系数极低的用户，如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。 　　2、放置特洛伊木马程序 　　特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。 3、WWW的欺骗技术 　　在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。 　　4、电子邮件攻击 　　电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。 　　5、通过一个节点来攻击其他节点 　　黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。 　　6、网络监听 　　网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。 　　7、寻找系统漏洞 　　许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。 　　8、利用帐号进行攻击 　　有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。 　　9、偷取特权 　　利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。     所谓知己知彼，百战不殆，只要深入了解了他们的这些伎俩，并做出相应的防范措施，那么网络安全就不会只是一句空话了。 木马概念的简述 经过了系统的学习和讨论，相信大家对黑客文化、黑客惯用的入侵手段等方面的认识有了一个新的提高，经观察，现在攻击个人电脑的木马软件很多，功能比以前多了，使用也比以前方便多了，所以危害也比以前大了，然而很多人在中了木马自己还不知道，我就写了一点 心得 信息技术培训心得 下载关于七一讲话心得体会关于国企改革心得体会关于使用希沃白板的心得体会国培计划培训心得体会 ，给大家作个参考。     要想使自己的电脑安全，就好扎好自己的篱笆，看好自己的门，电脑也有自己的门，我们叫它端口。你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。     当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑的。    黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。 如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。     除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。 如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。 举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。     特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。     接下来，俺就让你利用软件如何发现自己电脑中的木马。我们再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。 你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。 这是最简单最直接的办法，但是需要你知道各种木马所开放的端口，现在已知下列端口是木马开放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。 但是就算你熟悉了所有已知木马端口，也还是不能完全防范这些木马的，我们需要进一步查找木马。 有人曾经做了一个试验：知道netspy.exe开放的是7306端口，于是用工具把它的端口修改了，经过修改的木马开放的是7777端口了，你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 这些开放的端口。 前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。 排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。     扫描这么多端口是不是很累，需要半个多小时傻等了，现在好了，有人汉化了一个线程监视器，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得在硬盘上删除木马最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。下面就netbus木马为例讲讲删除的经过。 　 简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。 Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表中的位置不会改变，你可以到注册表的这个位置去找。 另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。 SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是傻瓜木马，我倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。     而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。我在自己的电脑中做了这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。    有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。     好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。     你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。     排除了木马以后，你就可以监视端口，悄悄等待黑客的来临介绍两个软件， 首先是NukeNabber，它是端口监视器，你告诉NukeNabber需要监视7306端口，如果有人接触这个端口，就马上报警。在别人看来，你的电脑的7306端口是开放的，但是7306不是由netspy控制了，当NukeNabber发现有人接触7306端口或者试图进入你的7306端口，马上报警，你可以在NukeNabber上面看到黑客对你做了些什么，黑客的IP地址是哪里，然后，你就可以反过来攻击黑客了。当NukeNabber监视139的时候，你就可以知道谁在用IP炸弹炸你。 另外提一下，如果NukeNabber告诉你不能监视7306端口，说这个端口已经被占用了，那么说明你的电脑中存在netspy了。      第二个软件就是Tcpview.exe，这个软件是线程监视器，你可以用它来查看有多少端口是开放的，谁在和你通讯，对方的IP地址和端口分别是什么。 “拒绝服务”与分布式“拒绝服务”的攻击与防守战 好多时候，你会觉得这上网特别困难，网络速度忽好忽坏，想查个报价，看看BBS都不容易，总传说那是网络服务器遭到了黑客攻击，究竟是怎么回事呢？原来，随着互联网持续升温，电子商务理念也得到大多数人的认同的今天，一向在网络上从事窃取数据与捣乱的网络黑客也同样地注意到这一现象。这种每年可能会造成企业电子商务系统损失惨重，而且意外地终止企业从Web站点所引入商机的网络侵害行为，曾经一度肆虐横行，十分猖獗，而且明目张胆的对世界上主要知名的网站进行破坏，导致其站点瘫痪。 　　包括雅虎在内的知名网站，在二月初就陆续受到网络黑客的刻意攻击，导致其站点瘫痪而无法提供给用户持续的服务。那次黑客所使用的攻击方式：“拒绝服务”(Denial of Service, DoS)也因此大出风头，成为众所皆知的网络攻击方式，而这种由网络黑客所发起，通过对网站服务器产生大量服务需求，使网站服务器充斥大量要求答复的讯息，导致服务器系统不胜负荷以至于当机，最终无法提供服务给其他用户的“拒绝服务”攻击，也已经达到一个令电子商务网站值得高度警惕的程度。 什么是“拒绝服务”与攻击？ 　　不像传统黑客通过系统的漏洞而取得其使用权的入侵攻击方式，“拒绝服务”的攻击则比较属于“阴险狡诈”型，网络黑客通过选取一个系统以进行攻击，并通过产生大量的服务需求以淹没该系统，并造成被攻击系统的瘫痪。 　　“拒绝服务”的攻击方式大都使用一些“ping”指令的形式，通过一部电脑送出小的封包到另一部系统以检查其是否可以进行存取，当被检查的电脑通知攻击的电脑它是可以处于服务的状态时，整个攻击的行动就可以随时展开。另一种“拒绝服务”攻击方式称为“Ping Flood”，它可以通过送出大量的ping指令给要攻击的系统，并在ping指令上使用伪装的IP地址，由于系统尝试去回应这些使用假冒地址的服务需求，并且在最后终于放弃，但是却因此耗用了大量系统资源，接着这大量的网络假需求就会陷所选择攻击的目标于瘫痪。 什么是“分布式拒绝服务”与攻击？ 　　若是想对一个相当大的系统进行攻击以其使系统瘫痪时，就必须发动相当多的电脑对该系统发起同步的“拒绝服务”攻击，这种分布式的拒绝服务攻击会从互联网上的多个地点制造网络流量，让整个攻击的行动更为巨大而且更加难以追踪。这种方式的攻击行动大都是由一群网络黑客通力合作或者是由单一个网络黑客借用多个其他网站的电脑设备以进行攻击。 　　不久前攻击这些国际大型知名的电子商务网站就是使用后者的技术，并且借用了许多不知情的机器做为攻击站点，这些机器大都是个人或是公司企业所拥有，但是却被网络黑客所入侵，并植入攻击程序或是一些可以从远处控制的代理程序，因此变成这些网络黑客的打手，以引发网络攻击大战。 　　网络黑客可以使用如通讯端口扫描软件(port scanning)等在互联网很容易找到大量类似的技术来判断哪些系统的入侵比较容易，一旦选定了要入侵的目标后，网络黑客就会利用各种的方式以货取这些系统的使用权，并在系统内植入这些恶意的软件，以让他们做为其发起攻击的基地，可以随时随地对各个不同所要攻击的网站发动“分布式拒绝服务”(Distributed DoS)的攻击。 　　在有些的情况下，有些网络黑客会采用阶层式的控制方式来发动全面攻击，网络黑客会对其少数主要的机器发出指令，然后这些机器再依序对于其大量的下游机器发出指令以进行攻击。一旦这些指令都成功的发出而且这些机器都同时响应，他们就会使用假的IP(faked IP)或是冒用IP(spoofed IP)对选定的系统进行DoS的攻击。因此为数相当多的系统都被蒙在鼓里而参与了这个网络的犯罪，并且可能在事后仍然不知情而继续被网络黑客利用，成为犯罪的工具。 　　而令大家特别担心的是，进行类似这种攻击的软件可以在互联网上的各个网站下免费下载，列如TFN2K(部落淹没网络)与Stacheldraht(倒钩铁丝)就是其中最常见的两种。TFN2K是在Linux、Solaris与Windows操作平台上执行，并在攻击时使用UDP、SYN、ICMP回应与ICMP广播等封包，而这些工具对企业网站最大的威胁则是其具备分布式攻击架构的能力。 预防“分布式拒绝服务”的攻击。 　　最有效的方法是只允许跟整个Web站点有关的网络流量进入，就可以预防类似的黑客攻击，尤其是所有的ICMP封包，包括ping指令等，应当都要进行封包的拦截，因为ICMP的服务大都是被用来发动“拒绝服务”的攻击。企业使用防火墙就可以阻绝所有的ICMP网络封包，请参考(图1)及(图2)所示。 此主题相关图片如下： HYPERLINK "http://xnc.cn/UploadFile/2006-1/20061232061493582.jpg" \t "_blank" INCLUDEPICTURE "http://xnc.cn/UploadFile/2006-1/20061232061493582.jpg" \* MERGEFORMATINET 用防火墙或是入侵检测程序可预防IP假冒以及对封包的拦截 此主题相关图片如下： HYPERLINK "http://xnc.cn/UploadFile/2006-1/20061232074889838.jpg" \t "_blank" INCLUDEPICTURE "http://xnc.cn/UploadFile/2006-1/20061232074889838.jpg" \* MERGEFORMATINET 以CA GuardIT防火墙针对各式封包与攻击模式进行系统入侵检测与应采取的措施 即使再严密的防护措施都还是可能会有漏洞，所以虽然使用围堵的保护方式，但对于Web网站来说仍然有可能会受到大量其它合法的需求而产生类似情况。举个例子来说，一般网站为了能够正常的运作，都必须允许http通讯协议的使用，因此网络黑客也可以对企业网站发出超大量的http需求以达到“拒绝服务”的攻击效果。为了解决这问题，我们就必须安装一个具备能够自动检测与进行回应的机制(detection and response mechanism)，最主要目的就是能够进行早期的黑客攻击检测，并可以快速回应，采取适当的行动以避免对企业系统产生重大危害，让站点可以持续的提供服务给所有的使用者。 　　例如，企业可以使用冠群金辰的针对电子商务(e-Business)所推出的安全解决方案─eTrust系列中的eTrust Intrusion Detection软件，可以及早检测到从一些特定网络所传来的大量网络流量，并采取适当回应，如 此主题相关图片如下： HYPERLINK "http://xnc.cn/UploadFile/2006-1/20061232074882381.jpg" \t "_blank" INCLUDEPICTURE "http://xnc.cn/UploadFile/2006-1/20061232074882381.jpg" \* MERGEFORMATINET eTrust Intrusion Detection可以在几秒钟内检测到网络黑客的攻击，并且通过将其动态的规则(dynamic rules)送至各种不同常用的防火墙产品，以起到封包的过滤回应作用： 怎么样才能让自己的机器不会变为网络黑客犯罪的工具 　　你需要向你所使用的ISP验证他们是否已经使用了最新的安全设备或具备防护功能的软硬件设备等，并将其周边路由器的封包过滤功能打开以进行检验；个人用户若是使用专线而且经常24小时开机的话，也请考虑安装个人防火墙等类似的软件，以确保其系统不会被其他的人蓄意破坏与非经授权的使用，如(图四)，并且最好在每部电脑上执行最新的电脑病毒防护软件与更新所使用的病毒代码，以防止具备恶意的程序入侵而不经意的变成网络杀手，因为最新的电脑病毒防护软件与病毒代码已经可以检测到入侵电脑携带的Trojan Horse病毒，以避免沦为网络黑客发动攻击的“先锋”。 此主题相关图片如下： HYPERLINK "http://xnc.cn/UploadFile/2006-1/20061232074862557.jpg" \t "_blank" INCLUDEPICTURE "http://xnc.cn/UploadFile/2006-1/20061232074862557.jpg" \* MERGEFORMATINET 个人电脑用户可是使用BlackICE这种小型的入侵检测系统 操作系统与应用程序的防护 　　通过经常查询网络论坛、安全防护组织的常见问答集(FAQ)与相关安全制造厂商的建议等，使用者可以确保其所使用的Linux、Windows或Unix机器不会有让外部的非法授权使用者拥有系统管理帐号使用权限的安全漏洞；而在电脑系统上使用的应用程序也可能会有一些BUG，而导致让黑客有机可乘，如以前曾发生过的Buffer Overflow等问题，这些问题也都是使用者常会忽略的细节，因为一般企业在系统执行相当稳定之时，大都希望不要对系统进行任何的修改，而厂商也大都有着多一事不如少一事的心理，而不会主动的对客户进行系统修补(patch)，以至于每个安全防护组织所公布的安全漏洞在每个企业使用的系统都可以被成功的入侵。 黑客攻击时所使用的工具 　　使用者的电脑中最好在任何的时间都不要执行任何知名的黑客入侵工具，例如：计算机应急处理协调中心(Computer Emergency Response Team/Coordination Center - CERT/CC)就已经将下面的工具列入其范畴： 　　·部落淹没网络(Tribe Flood Network, TFN) 　　·Trin00 　　·Stacheldraht（德文铁丝网的意思） 　　除了针对这些黑客常用的工具进行扫描外，使用者也必须对其他的黑客程序，如Back Orifice等类似可以进行远端遥控与数据收集的程序进行检查，目前采用电脑病毒防治程序配合最新的病毒代码数据都可以将其扫描出来。 怎么样选择解决方案 　　这种“拒绝服务”与分布式“拒绝服务”的攻击方式，除了造成网络大量的流量外，也会消耗大量的系统资源，所以除了使用上述我们所提及的入侵检测、防火墙进行通讯协议与进入监控与电脑病毒防护软件以检测这些恶意的应用程序外，其实通过适当的Web网站管理、网络管理与系统管理软件，也可以在黑客进行入侵时所涌入的异常网络流量或异于平时的系统资源使用量时，通过所预先设定的监测门槛值(threshold)，在整个系统刚出现异常时，即可通知系统管理人员，以及早进行检查与排除。利用它们监视整个电子商务系统或是不同Web网站、服务器等的资源使用状态，再与防火墙、入侵检测与电脑病毒防护等整合在一起，就可以形成一道缜密的防护网，可以主动的防御各种恶意入侵或是人为因素所引起的异常情况。 此主题相关图片如下： HYPERLINK "http://xnc.cn/UploadFile/2006-1/20061232074889581.jpg" \t "_blank" INCLUDEPICTURE "http://xnc.cn/UploadFile/2006-1/20061232074889581.jpg" \* MERGEFORMATINET eTrust Intrusion Detection提供入侵模式与病毒代码 　　电子商务提供了一个比以往更为便利的网络交易环境给所有的互联网使用者，在使用大量的Web站点、提供了重要的公司信息、关键的商业应用程序与消费者私人的信息的同时，也产生更多的风险。为了能够在这个竞争激烈又处处布满危机的环境中获得成功，企业组织必须在使用者存取其资源的同时也必须保护其相对应的资产，并确保其消费者私人信息的安全。企业经营管理人员应该选择能够解决上述问题，并针对各种的电子商务操作环境提供点到点的安全基础架构的解决方案。另外，在选购这类产品时也应该考虑其整合性与支持性，除了能够提供这类入侵检测与防治的产品外，也应该能让防火墙与电脑病毒防护软件整合在一起，并可以定期提供病毒代码与入侵攻击模式数据库的更新，以在面对互联网科技日新月异之际，也能提供完整的企业与电子商务系统的信息安全防护。 预防黑客的几个简单方法 互联网是一把两刃利剑，一方面为日常生活带来便利，另一方面又为黑客入侵电脑系统开放更多渠道。作为一般网络使用者，一般应该这样进行防范： 1、下载最新的网络安全软件包并安装在你的计算机上：如果你用的是Windows，你可以到Microsoft公司的站点上下载最新的Service Packs。      2、确保你使用的是最新版的浏览器：你可以从Microsoft得到最新版的IE，或者访问Netscape公司的站点下载新版的Navigator，版本升级是免费的。      3、保证你的密码不易被人猜中：尽量采用数字与字符相混的口令，多用特殊字符，诸如!、@、#、和$等。       4、经常更改你的口令，至少一个月一次：这样即使有人破译了你的密码，你也会在口令被人滥用之前将其改变。      5、如果你访问的站点要求你输入个人密码，不要使用与你的ISP帐户相同的密码。许多站点会把这个密码存在你的浏览器的相关文件中，这就意味着任何站点都能看到的密码。 6. 采用匿名方式浏览，因为许多网站利用cookies跟踪网友的互联网活动，从而确定网友喜好。你可以在使用浏览器时关闭电脑接收cookie的选项，避免受到 cookies的追踪。  7. 进行任何网上交易或发送电邮前，切记阅读网站的隐私保护政策，因为有些网站会将你的个人资料卖给第三方。  8. 安装个人防火墙，以防止个人资料和财务数据被窃取。及时升级是非常重要的一环，否则防火墙的作用就没有被完全发挥，被攻击的可能性依然很大。此外，你还可利用保安软件将重要资料保密，减少不慎把这些资料发送到不安全网站的可能性。  9. 使用保安软件或防火墙以防止黑客攻击和spyware（一个连接外部服务器并将个人资料传送至网络的软件）。这些软件能够保护个人电脑和资料免受黑客窃取，并防止spyware自动连接网站并发送你的资料。   10. 黑客有时会假装成互联网服务供应商的代表，并询问你的密码及个人资料，谨记上网时不要向任何人透露这些资料。   11. 在不需要文件和打印共享时，关闭这些功能。文件和打印共享功能虽然非常有用，但也会暴露你的电脑给予寻找安全漏洞的黑客。黑客一旦进入个人电脑，便能窃取私隐资料。  12. 不要打开来自陌生人的电子邮件附件。这些附件可能包含一个特洛伊木马程式，该程序让黑客长驱真入电脑文档，甚至控制外设，有些黑客甚至能潜入互联网照相机（Web camera）进行监视。此外，你还应当安装一个具备防病毒程式的软件，保护电脑免受病毒、特洛伊木马程序和蠕虫的侵害。  总之，在网络安全越来越重要的今天，每个网友都不要抱着“被黑的不会是我”的侥幸心理，只有做好良好的防卫工作才行。 密码的阐述 要说网络安全最最基本的要素是什么？人们你一言我一语肯定说什么的都有，但如果只是告诉你这么两个字：“密码”！你会怎么想？ 听到这个，估计人们都以为我又在大放阙词了，然而，待我将我自己的一个例子给大家来段现身说法，这样你对密码的认识肯定会有所改变。 这是在我没来这个公司前发生的事情。那时虽然本人也很懒，但是也比较注意安全性，所以能设置密码的地方都设置了密码，但是密码全是一样的。从E-mail信箱到用户Administrator，统一都使用了一个8位密码。我当初想：8位密码，怎么可能说破就破，固若金汤。所以从来不改。用了几年，没有任何问题，洋洋自得，自以为安全性一流。恰恰在你最得意的时候，该抽你嘴巴的人就出现了。我的一个同事竟然用最低级也是最有效的穷举法吧我的8位密码给破了。还好都比较熟，否则公司数据丢失，我就要卷着被子回家了。事后我问他，怎么破解的我的密码，答曰：只因为每次看我敲密码时手的动作完全相同，于是便知道我的密码都是一样的，而且从不改变。这件事情被我引以为戒，以后密码分开设置，采用10位密码，并且半年一更换。现在还心存余悸呢。 我从中得出的教训是，密码安全要放在网络安全的第一位。因为密码就是钥匙，如果别人有了你家的钥匙，就可以堂而皇之的进你家偷东西，并且左邻右舍不会怀疑什么。我的建议，对于重要用户，诸如：Root，Administrator的密码要求最少要8位，并且应该有英文字母大小写以及数字和其他符号。千万不要嫌麻烦，密码被破后更麻烦。 为什么要使用8位密码呢？Unix一共是0x00至0xff共128个字符。小于0x20的都算是控制符，不能输入为口令，0x7f为转义符，不能输入。那么总共有128-32-1=95个字符可作为口令的字符。也就是10（数字）+33（标点符号）+26*2（大小写字母）=95个。如果口令取任意5个字母+1位数字或符号（按顺序），可能性是：52*52*52*52*52*43=16，348，773，000（即163亿种可能性）。但如果5个字母是一个常用词，估算一个，设常用词500条，从5000个常用词中取一个词与任意一个字符组合成口令，因每一个字母都分为大小写，所以其可能性为：5000*282828282843=6，880，000（即688万种可能性）。但实际上绝大多数人都只用小写字母，所以可能性还要小。这已经可以用微机进行穷举了，在Pentium200上每秒可算3.4万次，像这样简单的口令要不了3分钟。如果用P4算上一周，可进行3000亿次演算。所以6位口令很不可靠，应用8位。 密码设的越难以穷举，并不是带来更加良好的安全性。相反带来的是更加难以记忆，甚至在最初更改的几天因为输入缓慢而被别人记住，或者自己忘记。这都是非常糟糕的，但是密码难于穷举是保证安全性的前提。矛盾着的双方时可以互相转化的，所以如何使系统密码既难以穷举又容易记忆呢，这就是门科学了。目前这方面的书籍几乎没有，所以我只能凭借自我经验来向大家介绍了。 　　1、采用10位以上密码。 　　对于一般情况下，8位密码是足够了，如一般的网络社区的密码、E-mail的密码。但是对于系统管理的密码，尤其是超级用户的密码最好要在10位以上，12位最佳。首先，8位密码居多，一般穷举工作的起始字典都使用6位字典或8位字典，10位或12位的字典不予考虑。其次，一个全码8位字典需要占去4G左右空间，10位或12位的全码字典更是天文数字，要是用一般台式机破解可能要到下个千年了，运用中型机破解还有有点希望的。再次，哪怕是一个12个字母的英文单词，也足以让黑客望而却步。 　　2、使用不规则密码。 　　对于有规律的密码，如：a1b2c3d4e5f6，尽管是12位的，但是也是非常好破解的。因为现在这种密码很流行，字典更是多的满天飞，使用这种密码等于自杀。 　　3、使用键盘外围的按键作为密码的组成部分。 　　现在的许多破解软件都支持Incremental（渐进）方式的密码组合进行穷举，其核心内容就是引入频率统计信息，即“高频先试”的原则。所以，对于键盘外围的按键都属于“低频使用”的按键。运用这些按键组成密码可以防止支持渐进式组合穷举的破解软件。 　　4、使用左右上下按键结合输入的密码。 　　把键盘从“T、G、B”三个键和“Y、H、N”三个键中间划分成左右部分，从“Q~P”和“A~””这两行中间划分为上下部分，这样键盘就被围成了4部分。选取组成密码的按键最好从这4部分中分别选取交叉组合，这样做的目的是防止别人轻易看出并且记住你密码。最好是熟练使用“Caps Lock”键，可以达到密码安全的最高境界。 　　5、不要选取显而易见的信息作为口令。 　　单词、生日、纪念日、名字都不要作为密码的内容。 　　以上就是密码设置的基本 注意事项 软件开发合同注意事项软件销售合同注意事项电梯维保合同注意事项软件销售合同注意事项员工离职注意事项 。密码设置好了，并不代表万事大吉，密码的正确使用和保存才是关键。 1、要熟练输入密码，保证密码输入的速度要快。输入的很慢等于给别人看，还是熟练点好。 　　2、不要将密码写下来。密码应当记在脑子里，千万别写出来。 　　3、不要将密码存入计算机的文件中。 　　4、不要让别人知道。 　　5、不要在不同系统上使用同一密码。 　　6、在输入密码时最好保证没有任何人和监视系统的窥视。 　　7、定期改变密码，最少半年一次。这点尤为重要，是密码安全问题的关键。永远不要对自己的密码过于自信，也许无意中就泄漏了密码。定期改变密码，会使密码被破解的可能性降到很低的程度。 　　8、对于大型网络的系统管理员，应该定期使用密码破解软件来检测全体用户密码的安全性。但要注意这些软件是否留有后门。 　　对于有些用户来说，这样做的确有点太那个了；但是对于管理员来说，就显得尤为重要。有些用户采用诸如PGP（Pretty Good Privacy，良好隐私）这类的软件来生成密码。这是个很好的方法，但是PGP的真正用途是用于对机密性文件的加密。一般密匙都在1024位，如著名的RSA公匙。对于一般密码生成，PGP不是最好的，它并不适合你自己。 　　管理员应该保证Root用户、Administrators用户组、Power Users用户组、Super Users用户组以及Replicator用户组密码的安全性要高，防止低权限的用户的密码被窃取影响到高权限用户的安全性及整个系统的安全性。不要用Root及其他高权限用户去察看其他用户的文件，以免造成安全隐患。管理员要定期给员工进行安全知识培训，增强员工的安全意识。一旦发现高权限用户无法登陆，察看系统日志，必要时刻将主机断开所有网络以保证主机系统及重要文件的安全性。 Windows 2000 Server安全设置 说来这Windows 2000 Server也算是时