瑞星卡卡安全论坛

有点长

毒王争霸 熊猫烧香与灰鸽子木马对决 谁比谁更黑?
本次PK所采用的两种病毒的样本均来自安全厂商，PK项目分为：典型表现、病毒行为以及传播方式。病毒世界谁更胜一筹，结果马上揭晓。

首先进行PK的项目是典型表现。
   
    中文：熊猫烧香病毒
    英文：Worm.Nimaya
   
熊猫烧香典型表现：

    感染病毒后会发现较多的.EXE文件图标变成正在烧香的熊猫，这也是“熊猫烧香”名称的来源。不过现在发现的部分变种已经不再使用这个广为人知的图标了。有部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

    该系列变种会释放以下几个典型文件：

    分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。

    局域网环境下：GameSetup.exe。
   
灰鸽子典型表现：
   
    中文：灰鸽子木马（拥有变种超过6万种）
    英文：Trojan.Huigezi
   
    灰鸽子成名比熊猫烧香早了近五年，可谓是熊猫烧香的“老前辈”。早在2001年，灰鸽子就荣获“高危木马”的盛名，经过其作者坚持不懈的努力，直至今年，灰鸽子的变种早就超过了六万。几乎所有人都知道熊猫烧香，就是因为这个病毒有个非常可爱且明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在家中长驻。

    根据笔者得到的资料，灰鸽子可以安装在任意位置，由安装者自己决定。灰鸽子木马的文件名可以由攻击者任意定制，它还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。
   
第一回合总结：

    熊猫烧香破坏了电脑中不同格式的文件，并且使得大量进程中止，给用户的使用带来了极大不便。初步来看，灰鸽子并没有对电脑的使用造成影响，此项PK，熊猫烧香胜出。

病毒行为大PK：
   
熊猫烧香的行为表现：

    删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程；终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon；终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe；弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播；修改注册表键值，导致不能查看隐藏文件和系统文件；除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件；病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
   
灰鸽子木马行为表现：

    电脑感染灰鸽子病毒后会被远程攻击者完全控制，攻击者拥有和管理员一样的权限。远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，机密文件在你毫不知情的情况下被窃取。它甚至还可以记录每一个点击键盘的操作，QQ号、网络游戏帐号、网上银行帐号，就是这样被远程攻击者轻松获得。更有甚者，远程攻击者可以直接控制摄像头，连你自己都不知道，原来你在远程还有一双眼睛。并且，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。
   
    2006年，北京电视台的《生活面对面》曾报道网银账户内1万余元被分15次盗走，警方在事主的嫌犯的电脑里发现的正是这个可以盗号的灰鸽子。
   
    想必关注安全领域的网友对“肉鸡”这个词不会陌生。电脑被人植入木马，这台主机，就被称为“肉鸡”，远程攻击者可以对这台“肉鸡”电脑为所欲为。攻击者可控制大量“肉鸡”，进行非法获利，比如在“肉鸡”上植入点击广告的软件；利用肉鸡配置代理服务器，以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时，肉鸡电脑将会成为替罪羊；此外，安装者还可以用大量肉鸡组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。
   
第二回合总结：

    相比下载最新杀毒软件、专杀工具或者重装电脑就能解决的熊猫烧香问题，灰鸽子留下的隐患更深且更难以解决。此项PK，灰鸽子以绝对优势胜出。

传播方式大PK：

熊猫烧香的传播方式：

    利用网站传播是熊猫烧香的一大特色，U盘、局域网、网页等等，你能想到的一切传播方式它都能做到。

灰鸽子传播方式：

    灰鸽子本身并不能复制，这与熊猫烧香略有不同，灰鸽子四大传播方式是：

    网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；

    邮件传播：灰鸽子被捆绑在邮件附件中进行传播；

    IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件；

    非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。
   
第三回合总结：

    利用漏洞传播和利用捆绑传播各有其妙处，在此项上，两者打成平手。

总结：

    尽管从三项PK结果来看，整体上熊猫烧香与灰鸽子平分秋色，但是只要我们仔细琢磨灰鸽子的行为以及带来的后果会发现，其实灰鸽子木马至少在危害上是高出熊猫烧香大段距离。尽管两者都给用户带来了不同程度的伤害，但是我们还是很欣慰地看到，无论是浇灭熊猫手中的香还是砍下灰鸽子飞翔的翅膀，安全厂商在进行长期的努力，争取为网友带来更加纯净的网络空间。

什么是IRC后门
IRC全名为Internet Relay Chat，是一款即时聊天工具，类似网络聊天室，但功能更强大。

    IRC没有国界限制，在国外非常流行。世界头号黑客Kevin Mitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学，商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件，非常方便。IRC的客户端主界面如下图所示：














    IRC客户端与服务端通信采用的端口和相应协议是公开的，现在网上有很多IRC客户端软件，各有特色。同时，也正是由于协议的公开，给了病毒可乘之机。2004年年初，互连网开始大规模出现IRC后门病毒，全球的电脑都被笼罩在一个由IRC后门织成的网中，各家杀毒软件公司对此类病毒极为关注。


    IRC病毒可以使用户机器里的信息完全暴露给黑客，直接造成用户损失。同时，IRC病毒和蠕虫一样通过网络自动传播，占用大量网络资源，很容易阻塞局域网，给很多公司的正常业务带来较大影响。并且，许多IRC病毒的源代码是公开的，一个初学者拿到代码后只需少量改动即可编译出一个新的病毒，再给病毒加上不同的壳，造成IRC后门病毒变种不断涌现，瑞星公司几乎每天都能截获10个以上IRC病毒变种。

通常，杀毒软件厂商将这些病毒命名为bot，根据一些特性的不同加上不同的前缀，如：Agobot，Rbot，Sdbot，Wootbot等。下面我们以最常见的瑞波病毒（Rbot）为例介绍IRC病毒。


    Rbot运行后一般最少开启两个线程：

    线程一负责登陆IRC服务器，与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题，他会聪明的回答你，不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后，它等待其他聊天者向它提出问题，其实别人向Rbot提出的问题就是病毒将要执行的指令。比如：请把机器IP告诉我，结果Rbot就获取本地IP，发送到聊天室，从而暴露了用户的信息。同理，黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号，还可以上传、下载、执行文件，甚至向某台机器发起DoS（拒绝服务）攻击…… 造成的后果与一般后门无异，但是操纵的形式非常特殊，想抓到幕后元凶也非常困难。


    线程二负责传播自己。根据配置情况的不同，Rbot病毒体内一般都有弱口令字典，里面是待匹配的密码，一些常用的密码如Administrator，123，123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源，如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此，一定要给本机帐户设置足够安全的密码（大小写字母、数字以及特殊符号混合）。


    不同IRC后门病毒之间也是存在一些差别的。比如高波（Agobot）病毒具有和冲击波（Worm.Blaster）病毒相同的传播方式，即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效，甚至可能导致操作系统60秒倒计时自动重新启动计算机，给用户工作带来不便。

常见病毒案例:“大无极”变种病毒造成路由器阻塞
如今计算机在日常通信、工作和学习中已经成为一种必需的工具，一旦计算机网络瘫痪，造成的影响和损失将会难以估计。笔者日前就遇到了“大无极”变种蠕虫病毒发作，从而导致互联网与局域网间的瘫痪。

　　笔者所在公司的局域网有40台计算机，ISP是中国网通，网通将光缆铺设进大楼，大楼内由ISP架设局域网到楼内各公司的网络或单机进行互联网服务，笔者公司通过路由将线路连通，实现内部局域网和互联网、局域网间的VPN以及与总公司的IP电话通讯，大致布局见图。





　　故障症状

　　局域网内所有客户端访问互联网或收发电子邮件、VPN访问、IP电话均出现时通时不通的现象，而通也是很短暂的，不通的现象更广泛。局域网内的互访正常，电子邮件服务系统工作良好，交换机的信号灯闪烁也很正常，但路由器的信号灯不停地快速闪烁，就像在下载巨大文件（在使用VOIP时，路由器信号灯时会快速地闪烁）。

　　分析诊断

　　出现这样的情况时，首先关闭整个网络，重新开机。此时，上述故障消除，但不久又故伎重演。既然是路由器信号灯出现异常，会不会是ISP端有问题?拔下ISP提供的连接线，信号灯正常，插上不多时又重现故障，这样，问题的重心就转移到这到底是由内部引起还是外部造成的。用一台笔记本电脑设置好ISP的参数，将ISP提供的连接网线插上，现在浏览网页、收发电子邮件十分正常，问题显然出在内部客户端或者路由器上。

　　经过更换路由器，故障依旧，问题一下就集中在内部局网中的客户端了，将笔记本电脑连接到局域网中，Ping路由器的局域端IP地址，发现不通，重新开关路由器，再Ping路由器的局域端IP地址，通了，继续几下又不通了，再开关路由器并在Ping命令中加入参数t连续Ping路由器的局域端IP地址，发现显示用时从time<10ms到Pequest timed out的过程是指数级扩大，而且通过次数只有六七次。

　　解决方法

　　从上述的分析测试中证明局域网内肯定有客户端在强占出口通道，对外连续不断发送信号，这种情况表明一定是有客户端已经中毒，关键是要找出到底是哪一台机器出问题。笔者使用排除法对接触外界比较频繁的机器（如：人事招聘、销售、总台等使用的机器）进行逐一断网诊断，当检查到总台使用的机器并将它断网时，原本使用Ping命令不通的，现在立即出现正常信号，重新再作进一步认证，终于找到问题机器，立刻断开该计算机，网络各项指标运行正常。

　　将问题机器的硬盘进行病毒检查，发现存在下列几种病毒文件：

　　由于问题机器是“大无极”变种病毒发作造成路由器阻塞，从而使其他客户端不能正常访问互联网等。

　　接下来就是用最新版的杀毒软件进行杀毒。

　　总结

　　1.目前看到较多的是网站或局域网中各类服务器中毒不能正常提供服务，而网络各用户中毒造成路由器或网关瘫痪的例子确实不多见，希望大家能多注意这方面的问题。

　　2.更新最新防毒软件及病毒库是防范病毒攻击的理想且有效的武器。笔者公司的计算机就是因为没有及时更新最新版本的防毒软件而发生了网络堵塞的现象。

怪物II（Worm.BugBear.B）病毒档案
警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播方式：局域网/邮件
感染对象：系统文件/网络
依赖系统: WIN9X//NT/2000/XP

病毒介绍：

该病毒于6月6日被瑞星全球反病毒监测网截获。该病毒集系统、黑客、后门、蠕虫等多种病毒特性与一身，病毒运行时会释放三个病毒体到系统目录，偷取用户键盘信息，监听端口开后门，并且感染文件，在感染的过程中破坏文件结构，使一些反病毒软件无法正常清除。另外该病毒还会感染局域网中的共享目录，并通过EMAIL地址向外发送大量病毒邮件，造成网络瘫痪等严重后果。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 该病毒由于感染系统目录，释放的病毒文件名是随机的，因此可以查看一下注册表中的： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中是否有可疑的键值。
2. 病毒运行时会在本地系统监听1080端口，等待控制台端的连入，形成一个病毒后门。该后门会暴露系统的安全信息，并且可以执行一些简单的控制命令，可以用一些端口监听工具查看1080端口。
3. 病毒会每隔20秒就查找一下内存，当发现有下列反病毒软件或防火墙的程序运行时，就会干掉这些程序，使它们失效，以下是病毒可以杀掉的进程：

PCFWALLICON.EXE、PCCWIN98.EXE、PAV.EXE、PAVSCHED.EXE、PAVCL.EXE、PADMIN.EXE、OUTPOST.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、…。

如果用户安装了这些软件，并无故出错，则很可能是中了该病毒。

4. 病毒会试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播，邮件标题可能为：

Payment notices 、update 、various 、hmm、Just a reminder 、Correction of errors Announcement 、New Contests 、Get a FREE gift! 、Today Only 、My eBay ads 、25 merchants and rising 、Cows 、Your Gift 、CALL FOR INFORMATION! 、New reading 、Sponsors needed 、SCAM alert!!! 、Warning! 、Its easy 、free 、hipping! 、Get 8 FREE issues - no risk! 、Tools For Your Online Business 、New 、onus in your cash account 、$150 FREE Bonus! 、Your News Alert 、Hi! 、Daily 、mail Reminder 、…。

病毒邮件的附件名可能为：

readme 、Setup 、Card、Docs、news、image、images、pics、resume、photo、video、music、song。

病毒邮件附件的扩展名可能为：

.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.html ,.htm ,.jpeg ,.jpg
,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp。

如果用户收到了有以上内容的信件，则很可能是感染了该病毒。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了怪物II（Worm.BugBear.B）病毒。为避免用户遭受损失，瑞星公司已于截获此病毒当晚就进行了紧急升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.39版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

对于该病毒对用户系统造成的影响，瑞星公司已经推出免费注册表修复工具来进行系统恢复。

如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-82678800或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务!

“QQ 连发器(Trojan.WebAuto、Trojan.WebAuto.a)”病毒档案
警惕程度：★★★★
发作时间：随机
病毒类型：木马病毒
传播方式：QQ软件
感染对象：QQ用户
依赖系统: WIN9X//NT/2000/XP

病毒介绍：
该病毒运行后会偷偷藏在用户的系统中，并修改注册表进行自启动。发作时会寻找QQ窗口，每隔1分钟就给被感染用户的所有线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

病毒的发现与清除：
此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：
1. 病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。
2. 病毒会修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。
3. 病毒会将用户系统中的IE默认首页改为：http://www.qq588.com ，使用户一上网就中招。
4. 病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：
1. "激情电影爽啊！给你也推荐一下，完全免费--"；
2. "快去这看看，里面有蛮好好东西--"；
3. "上次看了个网站不错，去看看吧--"；
在这些消息之后还伴随着一个恶意网址诱骗用户点击。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了QQ 连发器（Trojan.WebAuto、Trojan.WebAuto.a）病毒。为避免用户遭受损失，瑞星公司已于截获此病毒当晚就进行了紧急升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周同步升级，15.37.01版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。

对于该病毒对用户系统造成的影响，瑞星公司已经推出免费注册表修复工具来进行系统恢复，下载网址：http://it.rising.com.cn/service/technology/tool.htm。

如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-82678800或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！

安全知识：专家解惑 使用杀毒软件存在的几大误区
几乎每个用电脑的人都遇到过计算机病毒，也使用过杀毒软件。但是，对病毒和杀毒软件的认识许多人还存在误区。此文的目的就是让更多的人能够对杀毒软件有正确的认识，更合理地使用杀毒软件。

误区一：我的机器没重要数据，有病毒重装系统，不用杀毒软件

　　许多电脑用户，特别是一些网络游戏玩家，认为自己的计算机上没有重要的文件。计算机感染病毒，直接格式化重新安装操作系统就万事大吉，不用安装杀毒软件。这种观点是不正确的。

　　几年前，病毒编写者撰写病毒主要是为了寻找乐趣或是证明自己。这些病毒往往采用高超的编写技术，有着明显的发作特征（比如某月某日发作，删除所有文件等等）。

　　但是，近几年的病毒已经发生了巨大的变化，病毒编写者以获取经济利益为目的。病毒没有明显的特征，不会删除用户计算机上的数据。但是，它们会在后台悄悄运行，盗取游戏玩家的账号信息、QQ密码甚至是银行卡的账号。由于这些病毒可以直接给用户带来经济损失。对于个人用户来说，它的危害性比传统的病毒更大。

　　对于此种病毒，往往发现感染病毒时，用户的账号信息就已经被盗用。即使格式化计算机重新安装系统，被盗的账号也找不回来了。

误区二：杀毒软件不管正版盗版，随便装一个能用的就行

　　目前，有很多人机器上安装着盗版的杀毒软件，他们认为只要装上杀毒软件就万无一失了，这种观点是不正确的。杀毒软件与其他软件不太一样，杀毒软件需要经常不断升级才能够查杀最新最流行的病毒。
此外，大多数盗版杀毒软件都在破解过程中或多或少地损坏了一些数据，造成某些关键功能无法使用，系统不稳定或杀毒软件对某些病毒漏查漏杀等等。更有一些居心不良的破解者，直接在破解的杀毒软件中捆绑了病毒、木马或者后门程序等，给用户带来不必要的麻烦。

　　杀毒软件买的是服务，只要正版的杀毒软件，才能得到持续不断的升级和售后服务。同时，如果盗版软件用户真的遇到无法解决的问题也不能享受和正版软件用户一样的售后服务，使用盗版软件看似占了便宜，实际得不偿失。

误区三：只要不用软盘，不乱下东西就不会中毒

　　目前，计算机病毒的传播有很多途径。它们可以通过软盘、U盘、移动硬盘、局域网、文件，甚至是系统漏洞等进行传播。一台存在漏洞的计算机，只要连入互联网，即使不做任何操作，都会被病毒感染。
因此，仅仅从使用计算机的习惯上来防范计算机病毒难度很大，一定要配合杀毒软件进行整体防护。

误区四：杀毒软件和个人防火墙装一个就行了

　　许多人把杀毒软件的实时监控程序认为是防火墙，确实有一些杀毒软件将实时监控称为“病毒防火墙”。实际上，杀毒软件的实时监控程序和个人防火墙完全是两个不同的产品。

　　通俗地说，杀毒软件是防病毒的软件，而个人防火墙是防黑客的软件，二者功能不同，缺一不可。建议用户同时安装这两种软件，对计算机进行整体防御。

安全知识:教你了解网络防火墙和病毒防火墙的差别
“防火墙（Firewall）”一词，在网络术语中是指一种软件，它可以在用户的计算机和Internet之间建立起一道屏障（Wall），把用户和网络隔离开来；用户可以通过设定规则（rule）来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输，哪些情况下允许两者间的数据传输。通过这样的方式，防火墙承受住所有对用户的网络攻击，从而保障用户的网络安全。

　　“病毒防火墙”，这种与网络防火墙不同范畴的软件由于有着"防火墙"的名义，所以用户通常把这两种产品给混淆了；甚至有用户问到类似"我已经安装了杀毒软件，还需不需要安装防火墙这样的问题。所以在这里我们有必要阐述这两种产品之间有些怎么样的本质差别。


病毒防火墙

　　通过一些病毒防火墙的软件实例我们可以知道，所谓的“病毒防火墙”，其实和网络防火墙根本不是一个范畴的东西，它确却的说应该该称为“病毒实时检测和清除系统”，是反病毒软件的工作模式之一。当它们运行的时候，会把病毒特征监控的程序驻留内存中，随时查看系统的运行中是否有病毒的迹象；一旦发现有携带病毒的文件，它们就会马上激活杀毒处理的模块，先禁止带毒文件的运行或打开，再马上查杀带毒的文件。病毒防火墙就是以这样的方式，监控着用户的系统不被病毒所感染。

　　所以实际上，病毒防火墙不是说对网络应用的病毒进行监控；它是对所有的系统应用软件进行监控。由此来保障用户系统的“无毒”环境。

网络防火墙

　　上面已经说过了，网络防火墙是一种控制用户计算机网络访问的软件。通过对它的各种规则设置，使得合法的链路得以建立；而非法的连接将被禁止，同时通过各种手段屏蔽掉用户的隐私信息，以保障用户的对网络访问的安全。

　　同上所说，网络防火墙并不监控全部的系统应用程序进程，它只是对有网络访问那部分应用程序做监控。当它控制了系统的网络传输之后，所有的网络流量都必须通过它的规则匹配。所以利用网络防火墙，可以有效的管理用户系统的网络应用，同时保护用户的系统不为各种非法的网络攻击所伤害。

　　由于目前有许多病毒通过网络的方式来传播，所以，范畴不同的这两种产品有了交叉应用的可能。出于对网络的全权控制，网络防火墙可以切断病毒对网络的访问；而且不管它是如何的变形、变种，只要病毒的危害还是必须通过网络才能实现的话就无法逃离网络防火墙的控制。与此同事，一些网络入侵特有的后门软件（像木马），也被列入“病毒”之列而可以被“病毒防火墙”所监控到并清除。这样来看，反病毒产品和网络安全产品有了交叉融合。

系统安全知识:警惕！病毒引起的16种系统异常现象

1、 屏幕显示异常，显示出不是由正常程序产生的特殊画面或字符串，或屏幕显示混乱等现象。

2、 电源正常的情况下，系统突然自行重新引导。

3、 内存空间不应有的减少。

4、 程序的运行时间显著加长。

5、 系统无故死锁。

6、 扬声器发出不是由正常程序产生的异常声响或乐曲。

7、 文件发生不应有的变化(主要是可执行文件)，如文件长度突然增加，日期、时间被改变等，有时是文件莫名其妙地丢失或被破坏。

8、 磁盘坏区突然增多，卷标自行变化。

9、 本来可以工作的软件突然不能工作或工作不正常，字库或数据库无故不能使用。

10、 在没有安排向磁盘读写数据时，磁盘的指示灯闪亮。这多数发生在病毒攻击磁盘或文件的情况下。

11、 打印机突然工作不正常，如打印机接而不通

12、 硬盘C不能启动系统。

13、 用软盘引导系统时，结果却变成C盘启动。

14、 系统经常出现“写保护错”的提示信息。

15、 命令处理文件COMMAND.COM被修改。

16、 磁盘上出现用户不能识别的文件。

系统安全知识:对计算机病毒要严格做到"三打九防"
三打：

　　一要打开个人防火墙，特别是在玩网络游戏的时候，可避免病毒入侵，防止账号被盗；

　　二要打开杀毒软件的实时监控，万一不幸中招，实时监控能第一时间发现病毒并能实施隔离、清除；
　　三要打系统补丁，利用系统漏洞的病毒层出不穷，如果能及时打好补丁就可以防止此类病毒攻击。

九防：

　　一防恶性病毒爆发，打好操作系统补丁程序；

　　二防木马病毒偷账号，需及时安装个人防火墙；

　　三防浏览网站染病毒，不要浏览色情类网站；

　　四防电子邮件贺卡带病毒，陌生人邮件不要轻易打开；

　　五防QQ、MSN聊天即时病毒传播，不要随意点击MSN、QQ传来的链接；

　　六防网络陷阱程序，用户不要随意在不明网站填写信用卡号与密码；

　　七防共享软件带毒，不要从不正规的小网站下载应用软件；

　　八防垃圾邮件堵塞网络，注意及时清理邮箱；

　　九防小区宽带染病毒，如果不需要上网请将网络连接关闭。

安全知识:同一台电脑反复中同一种病毒的防治办法
在很多情况下，同一台电脑经常会发生反复中同一种病毒的事件。比如，中了小邮差后刚杀完毒暂时没事儿了，可过一段时间，病毒又不请自来。这就是所谓的“同一病毒的再感染”。 其实，如何防止病毒再感染是有一些小窍门的。

　　病毒再感染一般有两个原因：一是病毒有了新的变种，二是没有封堵住病毒的传播途径。对第一种原因，我们采用对杀毒软件在线升级到最新版后，就可以完全解决；第二种原因常会在使用电脑的过程中引发以下多种情况。我们只要认真区别对待，就能解决病毒再感染的相关问题。

　　1． 系统、工具软件的漏洞

　　很多病毒利用操作系统和网络工具的漏洞进行传播，比如求职信、小邮差、Bugbear等，它会利用微软浏览器软件的“Iframe”漏洞，即使用户没有打开邮件的附件，仅仅是点击了邮件，病毒就会自动运行了。

　　2． 病毒伪装，引诱用户上当

　　这是大多数蠕虫、木马类病毒的常用手段。信件标题或是内容有引诱用户打开附件的文字，利用聊天工具传播藏有恶意代码的网址等等。

　　3． 用户安全意识不够高

　　一些用户为图使用方便，对于密码的管理过于简单、过于松懈。比如将密码保存到电脑里，使用一些有规律而且很简单的密码，如1234、abcd等，甚至空密码，这样就会给一些有猜密码功能的病毒创造传播的途径。

　　4． 局域网管理的松懈

　　局域网里的所有电脑都可以互联，非常随意地使用共享资源，对共享资源的使用没有设置相应的权限等。

　　5． 没有共同防毒

　　朋友、家人、联系人之间，如果只有少部分用户在防毒，同样会造成病毒的泛滥。

　　以上所有的这些因素都会造成病毒的再感染，在现实使用过程中我们经常只是在中毒后简单地进行杀毒，而没有阻断病毒入侵的通道，这就会使我们经常遭受病毒的骚扰，还抱怨杀毒软件不中用，严重影响正常工作。

　　现今的病毒可谓是“面面俱到”，部分恶性病毒，例如“熊猫烧香”，把能用上的传播方法都捆绑于一身，极大增强了病毒传染的效率。为了防止这类病毒的感染，不仅仅需要杀毒软件厂商的高效工作，还需要互联网用户提高自身的防范意识。同样防病毒只有部分人在做，或只是防住了病毒传播的某一途径，也达不到全面防毒的真正目的。所以，只有广大用户都提高了防毒的安全意识，堵住病毒传染的所有途径，才能真正的让病毒无机可乘，无孔而入。

系统安全： 初级用户如何有效防止电脑被病毒侵入
近来黑客攻击事件频频发生，我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势，能够掌握攻击他人系统技术的人越来越多了，只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序，就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?

　　一、要命的端口

　　计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制我们的电脑，也要从某些端口连接进来。某日笔者查看了一位朋友的系统，吃惊地发现开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利。

　　那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序，因此只要我们停止该服务或者卸载该程序，这些端口就自动关闭了。

　　如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用，我们也可以利用瑞星防火墙来屏蔽端口。

　　二、敌人的“进程”

　　在Windows 2000下，可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但有些服务级的进程却被隐藏因而无法看到了，不过通过瑞星的卡卡助手的进程管理功能还是可以看到的。并可以终止不正常的进程。

　　三、别小瞧Windows Update

　　只要点击“开始”菜单中的Windows Update，就到了微软的Windows Update网站，在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次，加上瑞星强大的杀毒软件+防火墙软件+卡卡助手，基本上就能把黑客和病毒拒之门外。

系统安全知识:详细介绍特洛伊木马病毒的发展历史
计算机世界中的特洛伊木马病毒的名字由《荷马史诗》的特洛伊战记得来。故事说的是希腊人围攻特洛伊城十年后仍不能得手，于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时，高大的木马正好卡在城门间，进退两难。夜晚木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。而计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

第一代木马 ：伪装型病毒

　　这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。

第二代木马 ：AIDS型木马

　　继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。

第三代木马：网络传播型木马

　　随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征：

　　第一，添加了“后门”功能。

　　所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。

　　第二，添加了击键记录功能。

　　从名称上就可以知道，该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们有如下共同特点：基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。

　　虽然木马程序手段越来越隐蔽，但是苍蝇不叮无缝的蛋，只要加强个人安全防范意识，还是可以大大降低"中招"的几率。对此笔者有如下建议：安装个人防病毒软件、个人防火墙软件；及时安装系统补丁；对不明来历的电子邮件和插件不予理睬；经常去安全网站转一转，以便及时了解一些新木马的底细，做到知己知彼，百战不殆。

系统安全：Windows系统安全设置方法--初级安全篇
1.物理安全

    服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号

    在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量

    去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号

    虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名

    大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号

    什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”

    “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

8.使用安全密码

    一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9.设置屏幕保护密码

    很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10． 使用NTFS格式分区

    把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

11．运行防毒软件

    我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库

12．保障备份盘的安全

    一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

安全知识：计算机加锁--把U盘变成打开电脑的钥匙
在办公室和宿舍等公共场合，你当然不喜欢让别人轻易使用自己的电脑。要是能给电脑加一把硬件锁就好了！如果能将U盘变成电脑的硬件锁，在开机登录系统时必须插上U盘，利用存储在其中的加密信息对用户进行认证，那无疑将进一步提高系统的安全性。没有U盘这把“开机钥匙”，谁也别想进入你的电脑系统。现在有不少软件能利用U盘对系统加密，但相比之下，笔者发现了一款最富个性的软件——Natural Login。

　　Natural Login不仅具有极高的安全性，还提供了自动登录、账户管理、多个U盘自由绑定、应急登录设置、个性化头像、交互式问答登录、鼠标“画图”登录等“独门”绝技。下面就由笔者来向大家介绍一下具体的操作方法吧。

    安装Naturallogin

　　Natural Login的运行环境是Windows NT/2000/XP。正常运行安装和运行Natural Login，用户需要具有系统管理员权限。首次运行Natural Login出现向导界面，在步骤一窗体中需要用户输入注册号，如果没有的话，点击Skip按钮跳过。在步骤二窗体中选择相应的USB设备，在步骤三窗体中输入当前用户的Windows登录密码，在步骤四窗体中输入密码提示问题及答案，在步骤五窗体中可以设置应急登录信息。首先输入当前用户的Windows登录密码，在问题及回答区中设置三到五个问题及对应的答案信息，这样，当忘记登录密码或丢失USB设备时，在登录系统的时，在Natural Login运行界面右下角点击“EMERGENCY LOGIN”按钮，根据预设的问题，依次输入答案，就能顺利进入系统。

    配置Natural Login

　　重启系统后，Natural Login将完全控制Windows登录界面，除了使用应急帐号外，必须插上U盘，点击安装时绑定的用户名，才能进入系统。在任务栏系统托盒中右击Natural Login图标，选择“Natural Login administration”项，打开设置窗口，在Accounts面板中显示已经和U盘绑定的用户信息，选中某个用户名，点击“Edit”按钮能够编辑配置信息。

　　这里以新建用户为例，说明如何实现新用户登录信息和U盘的绑定。点击“New...”按钮打开添加用户窗口，在Account Name 中输入在登录界面显示的用户名称，在Windows Account列表中选择系统存在的用户账号，选择“Exclude from login list”，表示在登录界面不显示该用户名；点击“Change...”按钮，可以改变用户头像，Natural Login提供了很多头像图片。在Windows Password中输入用户密码。

　　如果选择“Ask for Windows password at login time”，在登录系统时必须输入用户密码，如果选择“Auto Login”，在系统登录时，插上U盘就能自动登录。点击“*Add...”按钮，为该用户选择对应的USB设备。事实上，Natural Login的安全性能是很高的，即使设置了自动登录，仍可以进一步加强安全性。

　　在Associated Keys列表中选中为该用户绑定的USB设备名，点击“Additional Security ...”按钮，打开附加安全设置窗口，在其中点击“New...”按钮，在打开的窗口的Scheme Type列表中如果选择“Question && Answer”，在下面输入问题和答案。

　　当登录系统时，不管是否自动登录，必须回答此处预设的问题。如果答错，将不能进入系统。如果选择“Graphical Password”，就会出现一个5×5点阵的图像方框，用户首先在Question中设定一个问题，然后用鼠标在该图像方框点击，“画”出一个简单的图案，这样在登录系统时，必须在对应的问题下的5×5点阵的图像方框中画出相同的图案，方能进入系统。以此类推，可以设置多个这样的附加安全项目。这样，即使“入侵者”拿到U盘也无法进入系统。

　　在主窗口的Keys面板中显示和不同用户绑定的USB设备，可以建立新的USB设备信息，或者编辑存在USB设备信息。USB设备信息由设备名和实际的驱动器盘符组成。这样，在Accounts面板中建立用户和U盘绑定时，根据预设的设备名，就能方便的选择USB设备。

安全知识：经验心得---骗黑客的一种很有效的方法
    大家知道，通过Ping和Tracert程序就能判断目标主机类型 ，Ping最主要的用处就是检测目标主机是否能连通。Tracert利 用ICMP数据包和IP数据包头部中的TTL值，防止数据包不断在IP 互联网上永不终止地循环。

　　许多入侵者首先会Ping一下你的机子，如看到TTL值为 128就认为你的系统为Windows NT/2000；如果TTL值为32则认为目标主机操作系统为Windows 95/98；如果TTL值为255/64就认为是UNIX/Linux操作系统。既 然入侵者相信TTL值所反映出来的结果，那么我们只要修改TTL 值，入侵者就无法入侵电脑了。

　　操作步骤：

　　1.打开“记事本”程序，编写批处理命令：

　　@echo REGEDIT4>>ChangeTTL.reg

　　@echo.>>ChangeTTL.reg

　　@echo [HKEY_LOCAL_MACHlNESystemCurrentControlSetServicesT cpipParameters]>>ChangeTTL.reg

　　@echo "DefaultTTL"=dword:000000">>ChangeTTL.reg

　　@REGEDIT /S/C ChangeTTL.reg

　　2.把编好的程序另存为以.bat为扩展名的批处理文件， 点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即 10进制的255，也就是说把你的操作系统人为地改为UNIX系统了 。同时，在该文件所在的文件夹下会生成一个名为 ChangeTTL.reg 的注册表文件。如果你想运行完这个批处理文件而不产生 ChangeTTL.reg文件，可以在此批处理文件的最后一行加上 deltree/Y ChangeTTL.reg，就可以无须确认自动删除ChangeTTL.reg文件 。

　　说明：在上面的命令中，echo是DOS下的回显命令，如 果想看到程序执行过程，请将“@”去掉。“> >”产生的内容将追加到它后面的文件即ChangeTTL.reg中。 而“DefaultTTL"=dword�000000ff”则是用来设置系统缺省TTL 值的，如果你想将自己的操作系统的TTL值改为其他操作系统的 ICMP回显应答值，请改变“"DefaultTTL"”的键值，要注意将 对应操作系统的TTL值改为十六进制才可以。

　　这样，当入侵者Ping你的机器时，他得到的就是一个假 的TTL值，这个假的TTL值就会误导对方，使入侵者的判断出现 失误，因为针对不同的操作系统的入侵方法并不一样，所以用 这个方法欺骗对方，可以让他摸不着头脑！利用这个方法欺骗 入侵者是不是很妙啊？快试试吧！

系统安全：Windows系统安全设置方法--中级安全篇
．利用win2000的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：http://www.microsoft.com/windows2000/techi...y/sctoolset.asp

　　2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

　　3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

　　4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆事件 成功，失败

审核帐户管理 成功，失败

审核登陆事件 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统事件 成功，失败

　　5.开启密码密码策略

策略 设置

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

　　6．开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次

　　7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

　　8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

　　9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

　　10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

　　11.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

安全攻略： 用简单的命令检查电脑是否被安装木马
一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。

　　检测网络连接

　　如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

　　禁用不明服务

　　很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

　　轻松检查账户

　　很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。

　　首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！

全知识：系统安全：WindowsXP八种安全模式揭密
    经常使用电脑的人可能都听说过，当电脑出了故障时，Windows会提供一个名为“安全模式”的平台，在这里用户能解决很多问题--不管是硬件（驱动）还是软件的。然而你会使用这个安全模式么？今天我们就来带您认识一下它的真面目。　　 

　　初识安全模式　　　　 

　　要进入安全模式，只要在启动时不停地按F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：　　　　 

　　1.安全模式　　 　　 

　　只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。　　 　　 

　　如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。　　　 

　　2.带网络连接的安全模式　　　　 

　　在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。 

　　3.带命令行提示符的安全模式　　 　　 

　　只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。　 

　　说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”，可马上启动Windows XP的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。　　　 

　　4.启用启动日志　　　　 

　　以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。

　　5.启用VGA模式　　 　　 

　　利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。　　 　　 

　　6.最后一次正确的配置　　 　　 

　　使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。　　 

　　7.目录服务恢复模式　　　 

　　这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。　　 

　　8.调试模式　　　 

　　启动时通过串行电缆将调试信息发送到另一台计算机。　　　 

　　如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。 

　　现实应用　　 

　　1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。
　　现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。 

　　还有些问题也可用这种方法来处理，比如Windows XP会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。　　　 

　　2.揪出恶意的自启动程序或服务 　　 

　　如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。　　 
　　可在带网络连接的安全模式下，用带重定向的命令提示符工具TaskList >d:Anquan.txt将当时的进程记录到D：盘根目录下的文本文件 Anquan.txt中。接着，以正常的方式启动电脑，将Anquan.txt中记录到的进程与此时的进程进行比较，你会发现此时的进程要多得多，请逐个结束多出来的进程，并检查网络连接是否正常。如果结束到某一进程时网络连接正常了，则说明就是刚结束的进程就是罪魁祸首。查出后，可删除与进程相关的可执行文件。但还要注意的是，由于它是自动运行的，强行删除后，可能会引起启动时报“找不到某文件”的错误，还得将其与自启动有关的设置全部清除，包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。

　　3.调整分区　　 　 

　　有一次，笔者带着本本儿出差，途中想处理一下下车即用的报表文件，可本本儿偏不争气，启动时报分区错误。天啊，出门在外的，又没带任何工具软件，好在天无绝人之路，还能启动到安全模式下——有法了，命令行工具Diskpart能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。Diskpart功能非常强大，它工作于一个集成的环境，输入Diskpart后，显示图1所示的专用提示符即Diskpart>(注意：这不是一个路径)，在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。说明在先：以下的操作是在台式机上记录下来的。　　 

　　①启动到带命令提示符的安全模式下，输入命令Diskpart。再输入list partition 显示一下分区，显然，其中有两个主分区、两个扩展分区。　　　 

　　②输入“Select Parttition 3”使第3分区(5004MB的那个)，使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第1、2两个“List partition”命令后的值进行比较，不难看出，原分区3确实已被删除了。 　　　　 

　　③输入“Select partition 1”使其具有焦点属性，再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1分区中去。　　 

　　为分区扩容，这可是分区魔术师的专利，“diskpart”也能实现，看来，Windows server 2003不支持分区魔术师是有道理的。再输入“List partition”可观察到第1个分区的容量变化情况。 　　 

　　说明：将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区，未分配的空间必须在同一磁盘上，并且必须接着带有焦点的分区。　　 　　 

　　如果要被扩容的分区是NTFS格式，扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式，此命令就会失败，但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区，也不能对包含页面文件的分区进行扩容。从图中可看出，我的电脑中有两个主分区，分区5才是活动分区。不然，不能对分区1进行扩容操作。　　　 

　　语法：extend [size=n]　　　　 

　　参数说明： size=n ：添加到当前分区的空间大小 (MB)。如果不指定大小，磁盘就扩展为占用所有最邻近的未分配空间。　　　 

　　④不管对硬盘分区做了什么样的改动，包括创建、删除、扩容等，都用不着重新启动电脑即可生效(这是分区魔术师不能做到的)，但在“我的电脑”却看不到这些分区，这是为什么呢，原来，还没为其指定驱动器号(也就是盘符)，怎样指定盘符呢？下面以为第一个分区指定盘符为例进行说明。 　　 

　　使第1个分区具有焦点属性，再输入命令“Assign”，Diskpart就会自动为其分配一个。当然也可用命令“AssignLetter=X”来手动指定，手动指定时，不能与已存在的盘符如C等相同。经过这样的处理后，就能在“我的电脑”下查看到这些分区了。　　 　　 

　　⑤将分区5设为活动分区，先用Select Parttition 5使其具有焦点属性再用Active激活即可。最后输入Exit，退出Diskpart集成环境，让电脑自动重启。　　 　　 

　　说明：如果用惯了DiskPart，你就会觉得它的设计很符合人们的思维习惯，一般是先指定焦点，再进行操作，操作过程中还可随显示分区状态以便掌握进度。输入Help可查看到所有的子命令，输入有错时，它还会自动列出子命令列表及简要说明，将你引导到正路上来。另外，安装Windows 2003后，大家最熟悉的分区魔术师(非服务器版)不能正常运行，使用Diskpart确实是一个不错的选择。　　　　 

　　如前所述，在Diskpart下进行任何操作前都必须指定焦点，即指明对哪一对象进行操作，这一方面使的我的操作逻辑清楚，但另一方面，如果对误指定了焦点又执行了破坏性的命令，如删除分区等，会造成无可挽回的损失。所以，请随时用List命令查看各分区状态，焦点分区前有一个星号(*)标志。　 

　　此外，你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除，遇到这种情况，可启动到安全模式下尝试删除这些病毒文件。当然，这里我们也只是介绍了一些比较常见的安全模式用途，算是抛砖引玉吧，希望各位能够在实际的电脑使用中，逐步体验其更多的便捷之处。

系统安全：Windows系统安全设置方法--高级安全篇
1. 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本

Server Operatros组也可以连接到这些共享目录

ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

指向Win2000的安装路径，比如 c:\winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

理登陆域请求时用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

解决办法：

打开注册表编辑器。REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

在右边建立一个名为AutoShareServer的DWORD键。值为0

3.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 http://www.microsoft.com/windows2000/techi...ity/encrypt.asp

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

安全知识：与脚本病毒做斗争 几种常见的杀毒方法
    有过网吧或者机房管理经验朋友肯定知道，如果机子中了病毒的话是很让人头疼的事情，现在的病毒大多都具有复制能力特别强，能够通过局域网传播，大量耗费系统资源等特点，一个局域网内只要有一台机子中了病毒，如果不及时的杀毒和隔离的话，其他的机子很快便会感染病毒，如何防止病毒，和快速的杀毒成了每个网管所迫切考虑的事情。 

　　其实网吧内的常见的病毒有两种，一种是类似与CIH的病毒这种高破坏性的病毒，中了之后系统会无法启动，这种病毒的危害大，但是中毒的几率相对很少；另一中就是脚本病毒。这类病毒一味的耗费系统资源，直到系统崩溃死机，比起CIH病毒来说，它们看似很不起眼，但却做让人头疼。有没有克制脚本病毒的方法呢？笔者在实践中总结了以下几条经验。 

　　第一，装系统的时候要用光盘启动硬盘来装，光盘要保证以前用过的没有携带病毒的，硬盘一定要没有任何文件，否则残留的文件里面很可能就感染了病毒，这一点一定要毫不留情，不要为了要备份一个驱动或者一个软件不把它删除。否则你刚装完系统发现已经中了病毒，那可就后悔莫及了。 

　　第二，装完系统后，再装驱动之前，最好先用装个杀毒软件，杀毒软件首先要保证自己没有病毒，其实你可以把WIN98安装文件，杀毒软件等，网吧机器的驱动放在一起用EasyBoot做个启动光盘。有了这张盘，你在装其他软件和游戏之前就可以保证母盘不感染病毒了。 

　　第三，装好驱动后先上网把杀毒软件更新到最新，然后开着病毒防火墙，从事先准备好的机器上调用软件和游戏的安装文件来安装网吧的必备软件和常玩的游戏，一切都弄好后测试一遍游戏和软件，然后在C盘目录下建立一个ADMIN的文件夹，把专杀工具包，硬盘工具包，网络克隆工具，还有备份的注册表放到里面备用。一般样板盘做成这样就很好了，当然如果系统配置不高，为了不影响玩游戏的速度，在克隆完之后要把病毒防火墙的自启动取消。 

　　装杀毒软件不是让它老开着防火墙，因为一来它耗费系统资源，二来平时安装着还原精灵，有病毒重启一下就好了，它主要用在以后升级游戏或者调用文件的时候把防火墙打开防止调用文件中的病毒感染系统，更何况人非圣贤，孰能无过，再谨慎的人也不会保证以后肯定不会出病毒，所以一定要为每台机子装上杀毒工具，但平时没必要启用它的保护功能。 

　　在网络上的人肯定都中过爱情森林，新欢乐时光等这些顽固的病毒，尤其是在局域网里，往往是所有的机子都感染病毒，每个机子能杀出几百个到上千个病毒，我曾经在一台机子上用瑞星杀出过8000多个病毒。 

　　这些病毒非常恶劣，一般在WINDOWS下是不容易杀干净的，每次杀完病毒，紧接着再杀的时候就会发现杀毒软件本身还有EXPLOR.EXE等进程依然感染着病毒，你无论怎么杀也杀干净，这样的话最好是重起到安全模式下再杀，杀毒的时候不要打开任何的窗口，因为有些病毒只要你打开窗口就会激活，它占用到内存的话就很难清除了。杀完后重起再进安全模式再杀，一般这样几次病毒就会杀干净了。如果还不行的话就要到DOS下查杀了，一般的杀毒软件都有它的DOS版本。重启动到纯DOS模式下，跳转到安装目录下运行那个程序会有个提示，不过这样查杀病毒的速度一般很慢。值得注意的是如果所有的机子都中了病毒的话，一定要把交换机关掉一台一台的杀，杀完后备份C盘，并用保护卡保护起来。 

　　脚本病毒这样清除就可以了，但是对于CIH等病毒来说，除了杀完毒后还有做恢复工作，一般来说它就是破坏分区表和主引导程序，严重的话破坏BIOS。我们可以分别来对待，如果损坏的仅仅是主引导记录，可以用干净的启动软盘或光盘启动系统运行fdisk /mbr就可以了，也可以用DISKMAN，DISKGEN等小工具来重建主引导记录。如果损坏的是分区表，首先考虑的是用DISKMAN的恢复分区表功能，破坏的不太严重的话一般可以恢复的。不过，如果你对磁盘结构，分区表，I/O表，FAT表不熟悉的话，笔者还是建议专业人员来修理好些，毕竟这样安全系数更大。

如何准确识别svchost核心系统进程是否被病毒感染
了解

　　svchost.exe是NT核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是维护电脑安全的必修课之一。

　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

深入

　　svchost中可以包含多个服务

　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

　　从启动参数中可见服务是靠svchost来启动的。

实例

　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

令杀毒更高效 如何通过系统命令结束顽固病毒进程
    杀毒的时候我们会遇到这种情况，有些病毒怎么杀也杀不掉。杀毒软件告诉我们重启后才能清除，结果重启后病毒依然如故。那么，怎么对付这种病毒呢？笔者在这里为大家提供两则小技巧，以便帮你强行杀死这种“顽固不化”的病毒进程。

根据进程名查杀

    这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。

    接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill /im conime.exe”命令，要不了多久，系统就会自动返回结果。

根据进程号查杀

    上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。

    考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。

    接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd -c q -p PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd -c q -p 444”命令，来杀死这个病毒进程。

安全攻略：普通用户维护Windows系统方法回避病毒
    Windows本身是一个非常开放、同时也是非常脆弱的系统，稍微使用不慎就可能会导致系统受损，甚至瘫痪。而如果是经常进行应用程序的安装与卸载也会造成系统的运行速度降低、系统应用程序冲突明显增加等等问题的出现。这些问题导致的最终后果就是不得不重新安装windows。

　　1、使用病毒检测工具防止病毒入侵

　　这涉及到维护系统安全，如果你经常接触数据交换，使用这种工具是非常非常必要的。如果你喜欢经常下载软件 ，有一个好的在线病毒防御工具是非常必要。反病毒程序会在系统启动后自动运行并提供在线监测，当发现病毒入侵系统时会给出警告信息并停止一切系统活动，此时你可在程序给出的界面中选择杀毒或者相关的操作。

　　2、维护系统注册表

　　我们知道，windows的注册表是控制系统启动、运行的最底层设置，如果你经常地安装/卸载应用程序，这些应用程序在系统注册表中添加的 设置通常并不能够彻底删除，时间长了会导致注册表变得非常大，系统的运行速度就会受到影响。

　　3、经常性地备份系统注册表

　　对系统注册表进行备份是保证windows系统可以稳定运行、维护系统、恢复系统的最简单、最有效的方法。使用regedit的导出功能直接将这两个文件复制到备份文件路径下，当系统出错时再将备份文件导人到windows路径下，覆盖源文件即可恢复系统。

　　4、清理system路径下的无用的dll文件

　　这项维护工作大家可能并不熟悉，但它也是影响系统能否快速运行的一个至关重要的因素。我们知道，应用程序安装到windows中后，通常会在 windows的安装路径下的system文件夹中复制一些dll文件。而当你将相应的应用程序的删除后，其中的某些dll文件通常会保留下来;当该路径 下的dll文件不断增加时，将在很大程度上影响系统整体的运行速度。而对于普通用户来讲，进行dll文件的手工删除是非常困难的。

　　5、使用防系统死机工具维护系统稳定

　　这是另一种维护系统的方法，当你的系统出现不稳定现象而你又不知道问题的起因、也不想重新安装windows时，可以使用该工具来维护系统的稳定。这种方法可以在关键时刻保护你的应用程序，把在系统内存中暂存的数据保存到磁盘中，通常在你即将完成一项设计或创作出一幅作品时防死机会十分有用。

　　6、定期对磁盘进行碎片整理和磁盘文件扫描

　　这是最简单、最直接的方法。一般来说，你可以使用windows系统自身提供的"磁盘碎片整 理"和"磁盘扫描程序"来对磁盘文件进行优化。

　　7、使用windows辅助工具优化系统

　　windows是一个非常庞大的系统，同时系统对cpu、内存的要求也日益提高，加上现在的应用程序也越做越大，这是导致系统启动速度不是很快的原因。为此，现在已经有专门进行windows和其应用程序启动加速的工具出现。

　　8、优化windows本身

　　由于windows本身的自动化程度已经很高，原则上已经不需要用户自己进行优化设置。但是我们在使用过程中还是总结出一些经验，这对于提高系统的运行速度也是有效的，其中包括以下一些重点。

病毒知识:彻彻底底详细让你全面了解电脑病毒历史
    现在人都知道有电脑病毒，不过，你真正地了解它吗？希望本文能够让你更深刻地认识病毒，提高我们的安全意识。

一、病毒的定义

　　电脑病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。

　　从广义上定义，凡能够引起电脑故障，破坏电脑数据的程序统称为电脑病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为电脑病毒。

二、电脑病毒的发展趋势

　　在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：

　　1.DOS引导阶段

　　1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。

　　2.DOS可执行阶段

　　1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。

　　3.伴随体型阶段

　　1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。

　　4.变形阶段

　　1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒─幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

　　5.变种阶段

　　1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作品─“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。

　　6.网络、蠕虫阶段

　　1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

　　7.窗口阶段

　　1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。

　　8.宏病毒阶段

　　1996年，随着MS Office功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。

　　9.互联网、感染邮件阶段

　　1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就有可能中毒。

　　10.爪哇、邮件炸弹阶段

　　1997年，随着互联网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

三、病毒的演化及发展过程

　　当前电脑病毒的最新发展趋势主要可以归结为以下几点：

　　1.病毒在演化

　　任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，病毒在不断的演化，使杀毒软件更难检测。

　　2.千奇百怪病毒出现

　　现在操作系统很多，因此，病毒也瞄准了很多其他平台，不再仅仅局限于Microsoft Windows平台了。

　　3.越来越隐蔽

　　一些新病毒变得越来越隐蔽，同时新型电脑病毒也越来越多，更多的病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。同时，制造病毒和查杀病毒永远是一对矛盾，既然杀毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。

　　4.病毒产业化

　　从“熊猫烧香”开始，人们开始对病毒背后的故事进行思考。是什么不断推进病毒技术更新和进步？当一切都和利益挂上钩的时候，真相开始浮出水面。之前大部分的病毒，是程序员用来炫耀其技术而产生的。而现在的病毒、木马、蠕虫从制作到后期大规模爆发整个过程程中的赢利模式统筹已经形成一条完整的产业链，“肉机”批发、“病毒”贩卖，幕后老板月入200万，所有证据均表明当病毒可以资本利润化的时候，病毒的发展将更加迅猛，病毒制造者将更加疯狂。

不必惊慌失措 教你识辨几个易被误认为病毒的文件
　　随着计算机的普及和信息技术的发展，“计算机病毒”一词对每一个人来说都已经不再陌生了，现如今计算机病毒可谓层出不穷，甚至让广大计算机用户几乎到了“谈毒色变”的程度。江民公司技术工程师发现有许多用户对操作系统下的文件不是很了解了解，以至于产生种种的怀疑。

以下是用户经常怀疑是病毒的文件:

　　一、Thumb.db文件

　　Thumb.db文件被用户误认为是病毒的原因应该有三点：
　　1、该文件在一些操作系统中的带有图片的文件夹中都存在；
　　2、即使删除此文件，下次打开该文件夹时仍会生成；
　　3、该文件可能会不断增大。

　　其实，Thumb.db文件在Windows Me或更新的Windows版本中都会有，这是Windows对图片的缓存(也可以说是缓冲文件)，它可以方便用户对图片进行预览，图片越多，这个文件可能就越大，这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”，就不会产生这种文件了。

　　二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”

　　Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中，而且删除后可能还会重新生成。

　　Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限，当超出这个容量的时候，就会产生这个文件。当前程序运行在哪个目录，这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug，Win2000和me中自带的智能 ABC5.0已经修正了这个错误。

　　如果想让计算机中不再出现这个文件，有两种办法:

　　1、可以把4.0的智能ABC升级至高版本。
　　2、可以把Windowssystem目录下的*.rem文件删除，然后重启计算机。

　　三、Word的临时文件

　　用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件，它的图标与Word文档的图标相同，但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑，认为是病毒造成的。

　　其实这是一个正常的现象，这个文件是Word生成的，可以理解为是一个缓冲文件，它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失，用户不必担心。

　　四、jdbgmgr.exe文件

　　与以上几种文件不一样，该文件即不是出错时生成的文件也不是临时文件，是一个正常的系统文件。用户本来是注意不到它的，因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件，对收到邮件的用户发出警告，声称 “jdbgmgr.exe”文件是一种病毒，可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发，希望能帮助其他受害者清除这个病毒。

　　实际上，“jdbgmgr.exe”文件是Java调试管理器，是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后，可能会导致一些Javaapplets和JavaScript停止工作。

反病毒小知识:木马破坏方式及木马采用的伪装方法
木马采用的伪装方法

　　1.修改图标

　　木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。看看，木马是不是很狡猾?

　　2.捆绑文件

　　这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

　　3.出错显示

　　有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框 (这当然是假的)，错误内容可自由定义，大多会定制成一些诸如 "文件已破坏，无法打开!"之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

　　4.自我销毁

　　这项功能是为了弥补木马的一个缺陷。我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中(C:\windows\或C:\windows\system目录下),一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外)，那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。

　　5.木马更名

　　木马服务端程序的命名也有很大的学问。如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗?

木马的种类

　　1、破坏型

　　惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

　　2、密码发送型

　　可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

　　在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。

　　3、远程访问型

　　最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

　　程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

　　4.键盘记录木马

　　这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。

　　5.DoS攻击木马

　　随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

　　还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

　　6.代理木马

　　黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。

　　7.FTP木马

　　这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。

　　8.程序杀手木马

　　上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有很多，程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。

　　9.反弹端口型木马

　　木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。

学习一下,真佩服作者的精神啊!!

防范蠕虫措施:企业及个人用户如何有效防范病毒？
企业用户对蠕虫病毒的防范措施

　　当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务（MIS）系统、Internet应用等领域。网络具有便利信息交换特性，蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时，就不得不考虑企业的病毒防范问题，以保证关系企业命运的业务数据完整不被破坏。

　　企业防治蠕虫病毒的时候需要考虑几个问题：病毒的查杀能力，病毒的监控能力，新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下：

　　1．加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新！由于各种漏洞的出现，使得安全不在是一种一劳永逸的事，而作为企业用户而言，所经受攻击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高！

　　2．建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。

　　3．建立应急响应系统，将风险减少到最小！由于蠕虫病毒爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。

　　4．建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失！

　　5．对于局域网而言，可以采用以下一些主要手段：
　　（1）在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。
　　（2）对邮件服务器进行监控，防止带毒邮件进行传播！
　　（3）对局域网用户进行安全培训。
　　（4）建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等！

个人用户对蠕虫病毒的防范措施

　　病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：

　　1．购合适的杀毒软件！网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！目前国内的杀毒软件具有了相当高的水平，像瑞星杀毒软件。

　　2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!

　　3．提高防杀毒意识.不要轻易去点击陌生的站点，有可能里面就含有恶意代码！

　　当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。、因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

　　4．不随意查看陌生邮件，尤其是带有附件的邮件，，由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序！

反病毒小知识：拒之门外 防御计算机病毒十大步骤
    近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤： 

　　1、用常识进行判断 

　　决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件，因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。 

　　2、安装防病毒产品并保证更新最新的病毒库 

　　建议你至少每周更新一次病毒库，因为防病毒软件只有最新才最有效。　　

　　3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描 

　　当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。

　　4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。 

　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。 

　　5、不要从任何不可靠的渠道下载任何软件 

　　这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。 

　　6、警惕欺骗性的病毒 

　　如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问反病毒软件厂商， 证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。 

　　7、使用其它形式的文档，如.rtf（Rich Text format）和.pdf（Portable Document format） 

　　常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。 

　　8、不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘 

　　这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。 

　　9、禁用Windows Scripting Host 

　　Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。 

　　10、使用基于客户端的防火墙或过滤措施 

　　如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。