很多時候大家已經用殺毒軟件查出了自己的機子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數字的病毒名，這時有些人就懵了，那么長一串的名字，我怎么知道是什么病毒啊？

其實只要我們掌握一些病毒的命名規則，我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣，但大體都是采用一個統一的命名方法來命名的。

一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>。

病毒前綴是指一個病毒的種類，他是用來區別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等還有其他的。

病毒名是指一個病毒的家族特征，是用來區別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統一的“CIH”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“Sasser”。

病毒后綴是指一個病毒的變種特征，是用來區別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明該病毒生命力頑強），可以采用數字與字母混合表示變種標識。

綜上所述，一個病毒的前綴對我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型，就可以對這個病毒有個大概的評估（當然這需要積累一些常見病毒類型的相關知識，這不在本文討論范圍）。而通過病毒名我們可以利用查找資料等方式進一步了解該病毒的詳細特征。病毒后綴能讓我們知道現在在你機子里呆著的病毒是哪個變種。

下面附帶一些常見的病毒前綴的解釋（針對我們用得最多的Windows操作系統）：

1、系統病毒

系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染Windows操作系統的 *.exe 和 *.dll 文件，并通過這些文件進行傳播。如CIH病毒。

2、蠕蟲病毒

蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網絡或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外發送帶毒郵件，阻塞網絡的特性。比如沖擊波（阻塞網絡），小郵差（發帶毒郵件）等。

3、木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack.木馬病毒的公有特性是通過網絡或者系統漏洞進入用戶的系統并隱藏，然后向外界泄露用戶的信息。而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有大家可能遇見比較多的針對網絡游戲的木馬病毒如Trojan.LMir.PSW.60。這里補充一點，病毒名中有PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程序如：網絡梟雄（Hack.Nether.Client）等。

4、腳本病毒

腳本病毒的前綴是：腳本病毒的公有特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼（.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其實宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進行傳播，如：著名的美麗莎（Macro.Melissa）。


6、后門病毒

后門病毒的前綴是：Backdoor.該類病毒的公有特性是通過網絡傳播，給系統開后門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot。

7、病毒種植程序病毒

這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者（Dro&#112;per.BingHe2.2C）、MSN射手（Dro&#112;per.Worm.Smibag）等。

8.破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。

9.玩笑病毒

玩笑病毒的前綴是：Joke.也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。

10.捆綁機病毒

捆綁機病毒的前綴是：Binder.這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統殺手（Binder.killsys）等。以上為比較常見的病毒前綴，有時候我們還會看到一些其他的，但比較少見，這里簡單提一下：

DoS：會針對某臺主機或者服務器進行DoS攻擊；

Exploit：會自動通過溢出對方或者自己的系統漏洞來傳播自身，或者他本身就是一個用于Hacking的溢出工具；

HackTool：黑客工具，也許本身并不破壞你的機子，但是會被別人加以利用來用你做替身去破壞別人。

你可以在查出某個病毒以后通過以上所說的方法來初步判斷所中病毒的基本情況，達到知己知彼的效果。在殺毒無法自動查殺，打算采用手工方式的時候這些信息會給你很大的幫助。

近來黑客攻擊事件頻頻發生，我們身邊的朋友也不斷有QQ、E-mail和游戲賬號被盜事件發生。現在的黑客技術有朝著大眾化方向發展的趨勢，能夠掌握攻擊他人系統技術的人越來越多了，只要你的電腦稍微有點系統Bug或者安裝了有問題的應用程序，就有可能成為他人的肉雞。如何給一臺上網的機器查漏洞并做出相應的處理呢?

一、要命的端口

計算機要與外界進行通信，必須通過一些端口。別人要想入侵和控制我們的電腦，也要從某些端口連接進來。某日筆者查看了一位朋友的系統，吃驚地發現開放了139、445、3389、4899等重要端口，要知道這些端口都可以為黑客入侵提供便利，尤其是4899，可能是入侵者安裝的后門工具Radmin打開的，他可以通過這個端口取得系統的完全控制權。

在Windows 98下，通過“開始”選取“運行”，然后輸入“command”(Windows 2000/XP/2003下在“運行”中輸入“cmd”)，進入命令提示窗口，然后輸入netstat/an，就可以看到本機端口開放和網絡連接情況。

那怎么關閉這些端口呢?因為計算機的每個端口都對應著某個服務或者應用程序，因此只要我們停止該服務或者卸載該程序，這些端口就自動關閉了。例如可以在“我的電腦 →控制面板→計算機管理→服務”中停止Radmin服務，就可以關閉4899端口了。

如果暫時沒有找到打開某端口的服務或者停止該項服務可能會影響計算機的正常使用，我們也可以利用防火墻來屏蔽端口。以天網個人防火墻關閉4899端口為例。打開天網“自定義IP規則”界面，點擊“增加規則”添加一條新的規則，在“數據包方向”中選擇“接受”，在“對方IP地址”中選擇“任何地址”，在TCP選項卡的本地端口中填寫從4899到0，對方端口填寫從0到0，在“當滿足上面條件時”中選擇“攔截”，這樣就可以關閉4899端口了。其他的端口關閉方法可以此類推。

二、敵人的“進程”

在Windows 2000下，可以通過同時按下“Ctrl+Alt+Del”鍵調出任務管理器來查看和關閉進程;但在Windows 98下按“Ctrl+Alt+del”鍵只能看到部分應用程序，有些服務級的進程卻被隱藏因而無法看到了，不過通過系統自帶的工具msinfo32還是可以看到的。在“開始→運行”里輸入msinfo32，打開“Microsoft 系統信息”界面，在“軟件環境”的“正在運行任務”下可以看到本機的進程。但是在Windows 98下要想終止進程，還是得通過第三方的工具。很多系統優化軟件都帶有查看和關閉進程的工具，如春光系統修改器等。

但目前很多木馬進程都會偽裝系統進程，新手朋友很難分辨其真偽，所以這里推薦一款強大的殺木馬工具──“木馬克星”，它可以查殺8000多種國際木馬，1000多種密碼偷竊木馬，功能十分強大，實在是安全上網的必備工具!

三、小心，遠程管理軟件有大麻煩

現在很多人都喜歡在自己的機器上安裝遠程管理軟件，如Pcanywh&#101;re、Radmin、VNC或者Windows自帶的遠程桌面，這確實方便了遠程管理維護和辦公，但同時遠程管理軟件也給我們帶來了很多安全隱患。例如Pcanywh&#101;re 10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題，一旦入侵者通過某種途徑得到了*.CIF文件，他就可以用一款叫做Pcanywh&#101;repwd的工具破解出管理員賬號和密碼。
而Radmin則主要是空口令問題，因為Radmin默認為空口令，所以大多數人安裝了Radmin之后，都忽略了口令安全設置，因此，任何一個攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機器，并做一切他想做的事情。

　　Windows系統自帶的遠程桌面也會給黑客入侵提供方便的大門，當然是在他通過一定的手段拿到了一個可以訪問的賬號之后。

可以說幾乎每種遠程管理軟件都有它的問題，如本報43期G12版介紹的強大的遠程管理軟件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩沖區溢出漏洞，黑客可以利用這個漏洞在系統上執行任意指令。所以，要安全地遠程使用它就要進行IP限制。這里以Windows 2000遠程桌面為例，談談6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打開天網“自定義IP規則”界面，點擊“增加規則”添加一條新的規則。在“數據包方向”中選擇“接受”，在“對方IP地址”中選擇“指定地址”，然后填寫你的IP地址，在TCP選項卡的本地端口中填寫從6129到0，對方端口填寫從0到0，在“當滿足上面條件時”中選擇“通行”，這樣一來除了你指定的那個IP(這里假定為192.168.1.70)之外，別人都連接不到你的電腦上了。

安裝最新版的遠程控制軟件也有利于提高安全性，比如最新版的Pcanywh&#101;re的密碼文件采用了較強的加密方案。

四、“專業人士”幫你免費檢測

很多安全站點都提供了在線檢測，可以幫助我們發現系統的問題，如天網安全在線推出的在線安全檢測系統──天網醫生，它能夠檢測你的計算機存在的一些安全隱患，并且根據檢測結果判斷你系統的級別，引導你進一步解決你系統中可能存在的安全隱患。

天網醫生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木馬檢測、系統安全性檢測、端口掃描檢測、信息泄漏檢測等四個安全檢測項目，可能得出四種結果:極度危險、中等危險、相當安全和超時或有防火墻。其他知名的在線安全檢測站點還有千禧在線(http://www.china-yk.com/tsfw/)以及藍盾在線檢測(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意代碼、網頁木馬的招兒，http://bcheck.scanit.be/bcheck/就是一個專門檢測IE是否存在安全漏洞的站點，大家可以根據提示操作。

五、自己掃描自己

天網醫生主要針對網絡新手，而且是遠程檢測，速度比不上本地，所以如果你有一定的基礎，最好使用安全檢測工具(漏洞掃描工具)手工檢測系統漏洞。

我們知道，黑客在入侵他人系統之前，常常用自動化工具對目標機器進行掃描，我們也可以借鑒這個思路，在另一臺電腦上用漏洞掃描器對自己的機子進行檢測。功能強大且容易上手的國產掃描器首推X-Scan，當然小蓉流光也很不錯。
以X-Scan為例，它有開放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個掃描選項，更為重要的是列出系統漏洞之外，它還給出了十分詳盡的解決方案，我們只需要“按方抓藥”即可。

例如，用X-Scan對隔壁某臺計算機進行完全掃描之后，發現如下漏洞:

　　 [192.168.1.70]: 端口135開放: Location Service

　　 [192.168.1.70]: 端口139開放: NET BIOS Session Service

　　 [192.168.1.70]: 端口445開放: Mi crosoft-DS

　　 [192.168.1.70]: 發現 NT-Server弱口令: user/[空口令]

　　 [192.168.1.70]: 發現 “NetBios信息”

從其中我們可以發現，Windows 2000弱口令的問題，這是個很嚴重的漏洞。NetBios信息暴露也給黑客的進一步進攻提供了方便，解決辦法是給User賬號設置一個復雜的密碼，并在天網防火墻中關閉135～139端口。

六、別小瞧Windows Up&#100;ate

微軟通常會在病毒和攻擊工具泛濫之前開發出相應的補丁工具，只要點擊“開始”菜單中的Windows Up&#100;ate，就到了微軟的Windows Up&#100;ate網站，在這里下載最新的補丁程序。所以每周訪問Windows Up&#100;ate網站及時更新系統一次，基本上就能把黑客和病毒拒之門外。

在計算機的安全防護中，我們經常要用到殺毒軟件和防火墻，而這兩者在計算機安全防護中所起到的作用也是不同的。

1.防火墻是位于計算機和它所連接的網絡之間的軟件，安裝了防火墻的計算機流入流出的所有網絡通信均要經過此防火墻。使用防火墻是保障網絡安全的第一步，選擇一款合適的防火墻，是保護信息安全不可或缺的一道屏障。

2.因為殺毒軟件和防火墻軟件本身定位不同，所以在安裝反病毒軟件之后，還不能阻止黑客攻擊，用戶需要再安裝防火墻類軟件來保護系統安全。

3.殺毒軟件主要用來防病毒，防火墻軟件用來防黑客攻擊。

4.病毒為可執行代碼，黑客攻擊為數據包形式。

5.病毒通常自動執行，黑客攻擊是被動的。

6.病毒主要利用系統功能，黑客更注重系統漏洞。

7.當遇到黑客攻擊時反病毒軟件無法對系統進行保護。

8.對于初級用戶，可以選擇使用防火墻軟件配置好的安全級別。

9.防火墻軟件需要對具體應用進行規格配置。

10.防火墻不處理病毒。

不管是Funlove病毒也好，還是CIH也好,在內部網絡用戶下載外網的帶毒文件的時候，防火墻是不為所動的（這里的防火墻不是指單機/企業級的殺毒軟件中的實時監控功能，雖然它們不少都叫“病毒防火墻”）。

看到這里，或許您原本心目中的防火墻已經被我拉下了神臺。是的，防火墻是網絡安全的重要一環，但不代表設置了防火墻就能一定保證網絡的安全。“真正的安全是一種意識，而非技術!”請牢記這句話。

不管怎么樣，防火墻仍然有其積極的一面。在構建任何一個網絡的防御工事時，除了物理上的隔離和目前新近提出的網閘概念外，首要的選擇絕對是防火墻。

最后，要說的依然是那句“世界上沒有一種技術能真正保證絕對地安全。”安全問題，是從設備到人，從服務器上的每個服務程序到防火墻、IDS等安全產品的綜合問題；任何一個環節工作，只是邁向安全的步驟。

附錄：

防火墻能夠作到些什么？

1.包過濾

具備包過濾的就是防火墻？對，沒錯！根據對防火墻的定義，凡是能有效阻止網絡非法連接的方式，都算防火墻。早期的防火墻一般就是利用設置的條件，監測通過的包的特征來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火墻技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火墻可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個ip的流量和連接數。

2.包的透明轉發

事實上，由于防火墻一般架設在提供某些服務的服務器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對服務器的訪問的請求與服務器反饋給用戶的信息，都需要經過防火墻的轉發,因此，很多防火墻具備網關的能力。

3.阻擋外部攻擊

如果用戶發送的信息是防火墻設置所不允許的，防火墻會立即將其阻斷，避免其進入防火墻之后的服務器中。

4.記錄攻擊

如果有必要，其實防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS（入侵檢測系統）來完成了。

以上是所有防火墻都具備的基本特性，雖然很簡單，但防火墻技術就是在此基礎上逐步發展起來的。

1.如果攻擊者能夠說服您在自己的計算機上運行他的程序，那么該計算機便不再屬于您了。

2.如果攻擊者能夠在您的計算機上更改操作系統，那么該計算機便不再屬于您了。

3.如果攻擊者能夠不受限制地實地訪問您地計算機，那么該計算機便不再屬于您了。

4.如果您允許攻擊者上載程序到您地Web站點，那么該計算機便不再屬于您了。

5.再強大地安全性也會葬送在脆弱地密碼手里。

6.計算機地安全性受制于管理員的可靠性。

7.加密數據的安全性受制于解密密鑰的安全性。

8.過時的病毒掃描程序比沒有病毒掃描程序好不了多少。

9.絕對的匿名無論在現實中還是在Web中都不切實際。

10.技術不是萬能藥。

什么是Mac地址？

Mac地址就是在媒體接入層上使用的地址，通俗點說就是網卡的物理地址，現在的Mac地址一般都采用6字節48bit（在早期還有2字節16bit的Mac地址）。

前24位由是生產廠家向IEEE申請的廠商地址(這可是要花錢的哦！據說1000美元才能買一個地址塊)。后24位就由生產廠家自行定以了(早期的2字節的卻不用申請) 。

IP地址和Mac地址有什么聯系和區別

大家都知道，現在有很多計算機都是通過先組建局域網，然后通過交換機和Internet連接的（大學里的校園網就是這樣）。然后給每個用戶分配固定的IP地址，由管理中心統一管理，這樣為了管理方便就需要使用Mac地址來標志用戶，防止發生混亂，明確責任（比如網絡犯罪）。另外IP地址和Mac地址是有區別的，雖然他們在局域網中是一一對應的關系。IP地址是跟據現在的IPv4標準指定的，不受硬件限制比較容易記憶的地址，而Mac地址卻是用網卡的物理地址，多少與硬件有關系，比較難于記憶。

如何知道自己的Mac地址

方法比較多，也比較得簡單，在這里介紹兩種常用的方法，在Win9x 可用：WinIPcfg獲得，在2000、XP可用IPconfig -all獲得。如果你已經給自己的網卡分配了IP還可以用 nbtstat -A 自己的IP ，后者只能在2000/XP下使用。

如何獲得別人的Mac

其實上面已經涉及到了，如果是2000/XP用戶可以用 nbtstat -A IP地址（還可以獲得別的東東啊，可別學壞啊）。另外同一局域網內的，你可以用ping IP 或者ping 主機名，然后用arp -a 來獲得。

如何修改自己的Mac地址

Mac地址是保存在網卡的EPROM里面，通過網卡生產廠家提供的修改程序可以更改存儲器里的地址，即使網卡沒有這樣的設置我們也可以通過間接的方法修改，一般網卡發出的包的源Mac地址并不是網卡本身寫上去的，而是應用程序提供的，只是在通常的實現中，應用程序先從網卡上得到Mac地址，每次發送的時候都用這個Mac做為源Mac而已，Windows中，網卡的Mac保存在注冊表中，實際使用也是從注冊表中提取的，所以只要修改注冊表就可以簡單的改變Mac

Win9x中修改：

打開注冊表編輯器，在HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Service\Class\Net\下的0000，0001，0002 Win2000/XP中的修改：同樣打開注冊表編輯器，HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Class\4D36E970-E325-11CE-BFC1-08002BE10318 中的0000,0001,0002中的DriverDesc,如果在0000找到，就在0000下面添加字符串變量，命名為“NetworkAddress”，值為要設置的Mac地址，例如：000102030405 完成上述操作后重啟就好了。

Linux下的修改：

1.必須關閉網卡設備，否則會報告系統忙，無法更改。

命令是：“ifconfig eth0 down”。

2.修改Mac地址，這一步較Windows中的修改要簡單。

命令是：“ifconfig eth0 hw ether 00AABBCCDDEE”

3.重新啟用網卡

“ifconfig eth0 up”網卡的Mac地址更改就完成了。

現在還有很多軟件提供了修改Mac地址的功能，如：Mac2001

那么既然IP和Mac地址都可以改，那么怎么防御呢？通過簡單的交換機端口綁定（端口的Mac表使用靜態表項），可以在每個交換機端口只連接一臺主機的情況下防止修改Mac地址的盜用，如果是三層設備還可以提供：交換機端口－IP－Mac 三者的綁定，防止修改Mac的IP盜用，這種方法更有效！還有些方法如配置交換機的VLAN，使用用戶認證等，都略顯復雜，再次不多浪費筆墨。

蠕蟲源起

提到蠕蟲，大家都不會陌生，這些自然界中的低等生物以農作物為食，給人類帶來經濟損失。但是，如果說計算機中也有這樣一種名為“蠕蟲”的東西存在，同樣也給人類帶來嚴重經濟損失，你也許會覺得這是天方夜譚，蟲子怎么會爬進計算機呢？

1988年11月2日，世界上第一個計算機蠕蟲正式誕生。美國康乃爾大學一年級研究生莫里斯為了求證計算機程序能否在不同的計算機之間自我復制傳播，他寫了一段試驗程序，為了程序能順利進入另一臺計算機，他寫了一段破解用戶口令的代碼。11月2日早上5點，這段被稱為“Worm”（蠕蟲）的程序開始了它的旅行，它果然沒有辜負莫里斯的期望：它爬進了幾千臺電腦，讓它們死機，造成了經濟損失高達9600萬美元的記錄。從此，“蠕蟲”這個名詞傳開了，莫里斯也許并不知道：他在證明這個結論的同時，也打開了潘多拉魔盒。

自1988年第一個蠕蟲顯示出它的威力以來，越來越多的人加入了蠕蟲制作陣營，他們用這種途徑來證明自己的能力，或者實現一些特殊目的，于是多種多樣的蠕蟲誕生了。可是不管蠕蟲的“行為方式”（它們進入計算機后要做的事情）有多少種，其“傳播方式”卻僅僅有屈指可數的幾種：電子郵件、網頁代碼、社會工程學以及系統漏洞等。

下面，我們就來看看蠕蟲進入計算機的幾種主要方式。

破郵箱而出：郵件蠕蟲

也許是受遺傳的影響吧，最初的莫里斯蠕蟲是通過郵件系統復制自身的，發展到現在，蠕蟲傳播的主流依然是郵件系統，不同的是，蠕蟲“前輩”利用的郵件系統能夠自動完成協助復制工作，而如今的郵件系統只能負責傳播，要啟動蠕蟲必須由用戶打開郵件才可以。

為什么選擇郵件傳播？因為這是最大的傳播系統。為什么用戶一打開郵件就被蠕蟲撬窗入室？這要從微軟的兩個古老漏洞說起，它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。

IFrame是一段用于往網頁里放入一個小頁面的HTML語言，它用來實現“框架”結構。當年有好事者測試出一個可怕的現象：往一個頁面里放入多個IFrame時，框架里請求運行程序的代碼就會被執行，如果有人故意做了一個執行破壞程序的頁面，那后果可想而知。由于IFrame的尺寸可以自由設置，因此破壞者可以在一個頁面里放入多個“看不見”的框架，并附帶多個“看不見”的有害程序，瀏覽了那個網頁的人自然就成了受害者！

和IFrame漏洞相比，MIME漏洞更加出名，它其實只是一小段用來描述信息類型的數據。瀏覽器通過讀取它來得知接收到的數據該怎么處理，如果是文本和圖片就顯示出來，是程序就彈出下載確認，是音樂就直接播放。請留意最后一個類型：音樂，瀏覽器對它采取的動作是：播放。

要知道：音樂文件和程序文件都是一樣的二進制數據，都需要解碼還原數據到系統臨時目錄里，然后瀏覽器通過一個簡單的文件后綴名判斷來決定該用哪種方法處理它。例如用戶收到一個MP3文件，MIME把它描述成音樂文件，所以瀏覽器解碼保存這個文件到一個臨時目錄，而后查找調用這個文件后綴MP3對應的執行程序，這就是一次完整的工作過程；但是問題就出在這個似乎完美的步驟上，如果攻擊者給用戶發送一個帶有EXE后綴可執行文件的郵件，并把它的MIME描述為音樂文件，這時候瀏覽器會把它解到臨時目錄，然后根據它的后綴名調用一個能打開它的應用程序——EXE后綴告訴系統，直接運行這個文件！于是這個文件就被順利執行了，用戶的機器也開始遭到破壞。正因為這樣，郵件蠕蟲才成了如今世界“蟲害”的主要來源。靠郵件傳播的蠕蟲主要有SoBig、MyDoom、求職信等。相對于郵件蠕蟲，利用網頁傳播的蠕蟲手段無疑更為高明，它分為兩個“門派”：傳統派和腳本派。傳統派使用的技術又包括兩種，一種是用一個IFrame插入一個Mail框架，同樣利用MIME漏洞執行蠕蟲，這是直接沿用郵件蠕蟲的方法；另一種是用IFrame漏洞和瀏覽器下載文件的漏洞來運作的，首先由一個包含特殊代碼的頁面去下載放在另一個網站的病毒文件，然后運行它，完成蠕蟲傳播。

“腳本派”蠕蟲就更復雜了，它們不是可執行程序，而是一段具有破壞和自動尋找載體能力進行傳播的代碼。湊巧的是，Windows系統自身文件夾模板也是通過腳本運作的（由此可見腳本的強大！），于是有人把它們的用途放到了入侵方面，通過一段精心編制的腳本，這只“沒有身體”（沒有獨立執行的程序體）的蟲子就很輕松地爬進了千家萬戶。當然，這類蠕蟲實現的功能往往比完整的蠕蟲要少，因此編寫者讓它完成的任務一般也很簡單：破壞文件。曾經大面積爆發的歡樂時光就是這樣做才令人“談蟲色變”的，雖然它只是一段很簡單的文件操作代碼集合

細心的讀者應該會有個疑問：既然網頁蠕蟲是通過網頁傳播的，而看網頁的人那么多，它應該成為主流才對啊，為什么卻是郵件蠕蟲？

其實原因很簡單：大部分蠕蟲作者不可能在公共熱門網站里放入自己的蠕蟲框架代碼。要知道，往頁面里加入代碼是要取得服務器管理權限的，這并不是所有人都能做得到的，這就增加了傳播的局限性，因此網頁蠕蟲始終成不了主流。

不記得是誰第一個把網頁蠕蟲和社會學結合在一起了，但是當QQ第一次被迫自動發出“http://sckiss.yeah.net，你快去看看”的消息時，這一領域的大門被撞開了，“愛情森林”蠕蟲的實體是躲在網頁背后的EXE木馬，又利用QQ把自身網址宣布出去，把這兩個看似不相關的方面結合得天衣無縫！這種蠕蟲的實現原理很簡單：當蠕蟲爬進你的機器后，它就會查找QQ進程，截獲發送消息事件并且在QQ的信息里自動加入一段誘惑你的話，讓你去瀏覽它藏身的網頁而被它爬入電腦，同時成為它的又一個宣傳者。顯然，這種“宣傳”方法成功與否，全在于蠕蟲編寫者的社會學和心理學，否則稍有經驗的人都會知道這是大名鼎鼎的“QQ尾巴”了（圖4），例如“想看XX明星緋聞去http://www.xxxxx.com”這種弱智的語言功力，如今已經不能拿來騙人了。

2003年1月，很多人特別是從事信息安全的IT人都記住了這個月，因為在這個月里，全世界的網絡被大小僅為376個字節的“小蟲子”打敗了，直接經濟損失超過數百億美元，更重要的是：這個小蠕蟲又開創了一個蠕蟲里程碑，它就是“SQL蠕蟲王Slammer”，世界上第一個打破常規的蠕蟲。它不再像前面那些蠕蟲一樣安靜等待別人來觸發了，它要自己闖天下，它把運行的關鍵指向了SQL溢出漏洞，結果，它成功了：它收拾了全球13臺根域名服務器中的8臺，導致全球主干網絡癱瘓！

“SQL蠕蟲王Slammer”所做的一切似乎只為了宣布一件事情：蠕蟲也可以這樣寫！于是這一新領域的蠕蟲便迅速發展起來了，利用RPC溢出漏洞的沖擊波、沖擊波殺手，倉促把玩LSASS溢出漏洞的震蕩波、震蕩波殺手……這些反客為主的蠕蟲在每一次新漏洞被公布之時迅速出現，趁火打劫地加入破壞行列，其間又有些號稱“殺手”的“除害蠕蟲”，幫人家把前一個蠕蟲殺了，然后自己也賴著不走了，成為受害者機器里的又一條蠕蟲——拔刀相助，爾后強駐？這似乎不是英雄所為。

系統漏洞蠕蟲一般具備一個小型的溢出系統，它隨機產生IP并嘗試溢出，然后將自身復制過去。它們往往造成被感染系統性能速度迅速降低，甚至系統崩潰，屬于最不受歡迎的一類蟲子。

蠕蟲進入電腦后，會做什么事情呢？現在已經很難下定論了，因為蠕蟲的類型已經變得非常復雜，但是它們的最終目的不外乎是：偷密碼資料（比如QQ尾巴）、影響用戶正常使用機器（比如沖擊波）、擾亂網絡通訊（比如Nimda）、破壞用戶機器（比如歡樂時光）、“借機殺人”（比如MyDoom、SQL蠕蟲王）、發email（比如Sobig）等。

蠕蟲的防治

蠕蟲已經成了當前病毒的主流方式，每年由蠕蟲造成的經濟損失超過數億美元，不僅如此，它們還在向威脅人類正常使用電腦的方向發展，如果再不嚴厲打擊制造蠕蟲的幕后黑手，總有一天世界網絡會被這些小蟲子摧毀。

由于蠕蟲發展越來越壯大，它的進程也由單一文件變成多進程互相防護、DLL掛鉤、文件并聯等方式。普通用戶要想手工清除這些蠕蟲已經變得相當困難，最好的方法是預防。其實大部分蠕蟲都是利用了系統漏洞進行傳播的，如果用戶安全意識較高，那么蠕蟲就會無門可鉆。專家認為：提高用戶的安全防范意識，學習一點常備的電腦維護知識，遠比一味跟在蠕蟲后面升級殺毒軟件的方法更加實際和有效！

IIS的相關設置：


刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制，帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對于數據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。


對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步，更多的只能在方法用戶從腳本提升權限：


ASP的安全設置：


設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：


regsvr32/u C:\WINNT\System32\wshom.ocx


del C:\WINNT\System32\wshom.ocx


regsvr32/u C:\WINNT\system32\shell32.dll


del C:\WINNT\system32\shell32.dll


即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。


另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限，不需要的不給權限。重新啟動服務器即可生效。


對于這樣的設置結合上面的權限設置，你會發現海陽木馬已經在這里失去了作用！


PHP的安全設置：


默認安裝的php需要有以下幾個注意的問題：


C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置：


Safe_mode=on


register_globals = Off


allow_url_fopen = Off


display_errors = Off


magic_quotes_gpc = On [默認是on，但需檢查一遍]


open_basedir =web目錄


disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod


默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的；]


MySQL安全設置：


如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為：


刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶up&#100;atedel&#101;tealertcr&#101;atedro&#112;權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,relo


ad_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。



Serv-u安全問題：


安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍（4001—4003）在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。


更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。


數據庫服務器的安全設置


對于專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業管理器中部分功能不能使用),這些過程包括如下:


Sp_OACr&#101;ate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty


Sp_OAMethod Sp_OASetProperty Sp_OAStop


去掉不需要的注冊表訪問過程,包括有:


Xp_regaddmultistring Xp_regdel&#101;tekey Xp_regdel&#101;tevalue


Xp_regenumvalues Xp_regread Xp_regremovemultistring


Xp_regwrite


去掉其他系統存儲過程，如果認為還有威脅，當然要小心Dro&#112;這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：


xp_cmdshell xp_dirtree xp_dro&#112;webtask sp_addsrvrolemember


xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin


sp_addextendedproc


在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

入侵檢測和數據備份


入侵檢測工作


作為服務器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應用到安全方面也就是說系統的安全性取決于系統中最脆弱的地方，這些地方是日常的安全檢測的重點所在。


日常的安全檢測


日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進行：


1．查看服務器狀態：


打開進程管理器，查看服務器性能，觀察CPU和內存使用狀況。查看是否有CPU和內存占用過高等異常情況。


2．檢查當前進程情況


切換“任務管理器”到進程，查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程，可以在網絡上搜索一下該進程名加以確定[進程知識庫：http://www.dofile.com/]。通常的后門如果有進程的話，一般會取一個與系統進程類似的名稱，如svch0st.exe，此時要仔細辨別[通常迷惑手段是變字母o為數字0，變字母l為數字1]



3．檢查系統帳號


打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。


4．查看當前端口開放情況


使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經允許的端口與外界在通信。如有，立即關閉該端口并記錄下該端口對應的程序并記錄，將該程序轉移到其他目錄下存放以便后來分析。打開計算機管理==》軟件環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程]，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務管理器結束該進程，對于采用了守護進程的后門等程序可嘗試結束進程樹，如仍然無法結束，在注冊表中搜索該程序名，刪除掉相關鍵值，切換到安全模式下刪除掉相關的程序文件。


5．檢查系統服務


運行services.msc，檢查處于已啟動狀態的服務，查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性，查看該服務所對應的可執行文件是什么，如果確定該文件是系統內的正常使用的文件，可粗略放過。查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件并且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然后測試下各種應用是否正常。對于一些后門由于采用了hook系統API技術，添加的服務項目在服務管理器中是無法看到的，這時需要打開注冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找，通過查看各服務的名稱、對應的執行文件來確定是否是后門、木馬程序等。


6．查看相關日志


運行eventvwr.msc，粗略檢查系統中的相關日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”，在“篩選器”中設置一個日志篩選器，只選擇錯誤、警告，查看日志的來源和具體描述信息。對于出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。


7．檢查系統文件


主要檢查系統盤的exe和dll文件，建議系統安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然后每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關系統文件是否被替換或系統中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。


8．檢查安全策略是否更改


打開本地連接的屬性，查看“常規”中是否只勾選了“TCP/IP協議”，打開“TCP/IP”協議設置，點“高級”==》“選項”，查看“IP安全機制”是否是設定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發生更改。


9．檢查目錄權限


重點查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c:;c:winnt;


C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and


Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權限是否做過變動。檢查system32下的一些重要文件是否更改過權限，包括：cmd，net，ftp，tftp，cacls等文件。


10．檢查啟動項


主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。


發現入侵時的應對措施


對于即時發現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統遭受到破壞后應立即采取以下措施：



視情況嚴重決定處理的方式，是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理，在發現入侵的第一時間通知機房關閉服務器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。如采用遠程處理，如情況嚴重第一時間停止所有應用服務，更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務器，重新啟動之后再遠程連接上去進行處理，重啟前先用AReporter檢查開機自啟動的程序。然后再進行安全檢查。


以下處理措施針對用戶站點被入侵但未危及系統的情況，如果用戶要求加強自己站點的安全性，可按如下方式加固用戶站點的安全：


站點根目錄----只給administrator讀取權限，權限繼承下去。


wwwroot ------給web用戶讀取、寫入權限。高級里面有刪除子文件夾和文件權限


logfiles------給system寫入權限。


database------給web用戶讀取、寫入權限。高級里面沒有刪除子文件夾和文件權限


如需要進一步修改，可針對用戶站點的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權限，對asp等腳本文件給予上表中的權限。另外查看該用戶站點對應的安全日志，找出漏洞原因，協助用戶修補程序漏洞。


數據備份和數據恢復


數據備份工作大致如下：


1． 每月備份一次系統數據。


2． 備份系統后的兩周單獨備份一次應用程序數據，主要包括IIS、serv-u、數據庫等數據。


3． 確保備份數據的安全，并分類放置這些數據備份。因基本上采用的都是全備份方法，對于數據的保留周期可以只保留該次備份和上次備份數據兩份即可。


數據恢復工作：


1．系統崩潰或遇到其他不可恢復系統正常狀態情況時，先對上次系統備份后發生的一些更改事件如應用程序、安全策略等的設置做好備份，恢復完系統后再恢復這些更改。


2．應用程序等出錯采用最近一次的備份數據恢復相關內容。


服務器性能優化


1 服務器性能優化


系統性能優化


整理系統空間:


刪除系統備份文件，刪除驅動備份，刪除不用的輸入法，刪除系統的幫助文件，卸載不常用的組件。最小化C盤文件。


性能優化：


刪除多余的開機自動運行程序；減少預讀取，減少進度條等待時間；讓系統自動關閉停止響應的程序；禁用錯誤報告,但在發生嚴重錯誤時通知；關閉自動更新,改為手動更新計算機；啟用硬件和DirectX加速；禁用關機事件跟蹤；禁用配置服務器向導； 減少開機磁盤掃描等待時間；將處理器計劃和內存使用都調到應用程序上；調整虛擬內存；內存優化；修改cpu的二級緩存；修改磁盤緩存。


IIS性能優化


1、調整IIS高速緩存


HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize


MemoryCacheSize的范圍是從0道4GB，缺省值為3072000（3MB）。一般來說此值最小應設為服務器內存的10%。IIS通過高速緩存系統句柄、目錄列表以及其他常用數據的值來提高系統的性能。這個參數指明了分配給高速緩存的內存大小。如果該值為0，那就意味著“不進行任何高速緩存”。在這種情況下系統的性能可能會降低。如果你的服務器網絡通訊繁忙，并且有足夠的內存空間，可以考慮增大該值。必須注意的是修改注冊表后，需要重新啟動才能使新值生效。


2．不要關閉系統服務: “Protected Storage”


3．對訪問流量進行限制


A.對站點訪問人數進行限制


B.站點帶寬限制。保持HTTP連接。


C.進程限制, 輸入CPU的耗用百分比


4．提高IIS的處理效率


應用程序設置”處的“應用程序保護”下拉按鈕，從彈出的下拉列表中，選中“低（IIS進程）”選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題，不值得推薦。


5．將IIS服務器設置為獨立的服務器



A.提高硬件配置來優化IIS性能硬盤：硬盤空間被NT和IIS服務以如下兩種方式使用：一種是簡單地存儲數據；另一種是作為虛擬內存使用。如果使用Ultra2的SCSI硬盤，可以顯著提高IIS的性能。


B.可以把NT服務器的頁交換文件分布到多個物理磁盤上，注意是多個“物理磁盤”，分布在多個分區上是無效的。另外，不要將頁交換文件放在與WIndows NT引導區相同的分區中。


C.使用磁盤鏡像或磁盤帶區集可以提高磁盤的讀取性能。


D.最好把所有的數據都儲存在一個單獨的分區里。然后定期運行磁盤碎片整理程序以保證在存儲Web服務器數據的分區中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區。


6．起用HTTP壓縮


HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可使用pipeboost進行設置。


7．起用資源回收


使用IIS5Recycle定時回收進程資源。

服務器常見故障排除


1． ASP“請求的資源正在使用中”的解決辦法：


該問題一般與殺毒軟件有關，在服務器上安裝個人版殺毒軟件所致。出現這種錯誤可以通過卸載殺毒軟件解決，也可嘗試重新注冊vbscript.dll和jscript.dll來解決，在命令行下運行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。


2．ASP500錯誤解決辦法：


首先確定該問題是否是單一站點存在還是所有站點存在，如果是單一站點存在該問題，則是網站程序的問題，可打開該站點的錯誤提示，把IE的“顯示友好HTTP錯誤”信息取消，查看具體錯誤信息，然后對應修改相關程序。如是所有站點存在該問題，并且HTML頁面沒有出現該問題，相關日志出現“服務器無法加載應用程序‘/LM/W3SVC/1/ROOT‘。錯誤是 ‘不支持此接口‘”。那十有八九是服務器系統中的ASP相關組件出現了問題，重新啟動IIS服務，嘗試是否可以解決該問題，無法解決重新啟動系統嘗試是否可解決該問題，如無法解決可重新修復一下ASP組件：


首先刪除com組件中的關于IIS的三個東西，需要先將屬性里的高級中“禁止刪除”的勾選取消。


命令行中，輸入“cd winnt\system32\inetsrv”字符串命令，單擊回車鍵后，再執行“rundll32 wamreg.dll,Cr&#101;ateIISPackage”命令，接著再依次執行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后重新啟動一下計算機操作系統，這樣IIS服務器就能重新正確響應ASP腳本頁面了。


3. IIS出現105錯誤：


在系統日志中“服務器無法注冊管理工具發現信息。管理工具可能無法看到此服務器” 來源：w3svc ID：105解決辦法：


在網絡連接中重新安裝netbios協議即可，安裝完成之后取消掉勾選。


4．MySQL服務無法啟動【錯誤代碼1067】的解決方法


啟動MySQL服務時都會在中途報錯！內容為：在 本地計算機 無法啟動MySQL服務 錯誤1067：進程意外中止。


解決方法：查找Windows目錄下的my.ini文件，編輯內容（如果沒有該文件，則新建一個），至少包含


basedir，datadir這兩個基本的配置。


[mysqld]


# set basedir to installation path, e.g., c:/mysql


# 設置為MYSQL的安裝目錄


basedir=D:/www/WebServer/MySQL


# set datadir to location of data directory,


# e.g., c:/mysql/data o&#114; d:/mydata/data


# 設置為MYSQL的數據目錄


datadir=D:/www/WebServer/MySQL/data


注意，我在更改系統的temp目錄之后沒有對更改后的目錄給予system用戶的權限也出現過該問題。


5．DllHotst進程消耗cpu 100%的問題


服務器正常CPU消耗應該在75%以下，而且CPU消耗應該是上下起伏的，出現這種問題的服務器，CPU會突然一直處100%的水平，而且不會下降。



查看任務管理器，可以發現是DLLHOST.EXE消耗了所有的CPU空閑時間，管理員在這種情況下，只好重新啟動IIS服務，奇怪的是，重新啟動IIS服務后一切正常，但可能過了一段時間后，問題又再次出現了。


直接原因：


有一個或多個ACCESS數據庫在多次讀寫過程中損壞， MDAC系統在寫入這個損壞的ACCESS文件時，ASP線程處于BLOCK狀態，結果其他線程只能等待，IIS被死鎖了，全部的CPU時間都消耗在DLLHOST中。


解決辦法：


把數據庫下載到本地，然后用ACCESS打開，進行修復操作。再上傳到網站。如果還不行，只有新建一個ACCESS數據庫，再從原來的數據庫中導入所有表和記錄。然后把新數據庫上傳到服務器上。


6．Windows installer出錯：


在安裝軟件的時候出現“不能訪問windows installer 服務。可能你在安全模式下運行 windows ，或者windows installer 沒有正確的安裝。請和你的支持人員聯系以獲得幫助” 如果試圖重新安裝InstMsiW.exe，提示：“指定的服務已存在”。


解決辦法：


關于installer的錯誤，可能還有其他錯誤提示，可嘗試以下解決辦法：


首先確認是否是權限方面的問題，提示信息會提供相關信息，如果是權限問題，給予winnt目錄everyone權限即可[安裝完把權限改回來即可]。如果提示的是上述信息，可以嘗試以下解決方法：運行“msiexec /unregserver”卸載Windows Installer服務，如果無法卸載可使用SRVINSTW進行卸載，然后下載windows installer的安裝程序[地址：http://www.newhua.com/cfan/200410/instmsiw.exe]，用winrar解壓該文件，在解壓縮出來的文件夾里面找到msi.inf文件，右鍵單擊選擇“安裝”，重新啟動系統后運行“msiexec /regserver”重新注冊Windows Installer服務。

服務器管理


服務器日常管理安排


服務器管理工作必須規范嚴謹，尤其在不是只有一位管理員的時候，日常管理工作包括：


1．服務器的定時重啟。每臺服務器保證每周重新啟動一次。重新啟動之后要進行復查，確認服務器已經啟動了，確認服務器上的各項服務均恢復正常。對于沒有啟動起來或服務未能及時恢復的情況要采取相應措施。前者可請求托管商的相關工作人員幫忙手工重新啟動，必要時可要求讓連接上顯示器確認是否已啟動起來；后者需要遠程登陸上服務器進行原因查找并根據原因嘗試恢復服務。


2．服務器的安全、性能檢查，每服務器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結果要求進行登記在冊。如需要使用一些工具進行檢查，可直接在e:tools中查找到相關工具。對于臨時需要從網絡上找的工具，首先將IE的安全級別調整到高，然后在網絡上進行查找，不要去任何不明站點下載，盡量選擇如華軍、天空等大型網站進行下載，下載后確保當前殺毒軟件已升級到最新版本，升級完畢后對下載的軟件進行一次殺毒，確認正常后方能使用。對于下載的新工具對以后維護需要使用的話，將該工具保存到e:tools下，并在該目錄中的readme.txt文件中做好相應記錄，記錄該工具的名稱，功能，使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份，設置解壓密碼。


3．服務器的數據備份工作，每服務器至少保證每月備份一次系統數據，系統備份采用ghost方式，對于ghost文件固定存放在e:ghost文件目錄下，文件名以備份的日期命名，如0824.gho，每服務器至少保證每兩周備份一次應用程序數據，每服務器至少保證每月備份一次用戶數據，備份的數據固定存放在e:databak文件夾，針對各種數據再建立對應的子文件夾，如serv-u用戶數據放在該文件夾下的servu文件夾下，iis站點數據存放在該文件夾下的iis文件夾下。


4．服務器的監控工作，每天正常工作期間必須保證監視所有服務器狀態，一旦發現服務停止要及時采取相應措施。對于發現服務停止，首先檢查該服務器上同類型的服務是否中斷，如所有同類型的服務都已中斷及時登陸服務器查看相關原因并針對該原因嘗試重新開啟對應服務。



5．服務器的相關日志操作，每服務器保證每月對相關日志進行一次清理，清理前對應的各項日志如應用程序日志、安全日志、系統日志等都應選擇“保存日志”。所有的日志文件統一保存在e:logs下，應用程序日志保存在e:logsapp中，系統程序日志保存在e:logssys中，安全日志保存在e:logssec中。對于另外其他一些應用程序的日志，也按照這個方式進行處理，如ftp的日志保存在e:logsftp中。所有的備份日志文件都以備份的日期命名，如20050824.evt。對于不是單文件形式的日志，在對應的記錄位置下建立一個以日期命名的文件夾，將這些文件存放在該文件夾中。


6．服務器的補丁修補、應用程序更新工作，對于新出的漏洞補丁，應用程序方面的安全更新一定要在發現的第一時間給每服務器打上應用程序的補丁。


7．服務器的隱患檢查工作，主要包括安全隱患、性能等方面。每服務器必須保證每月重點的單獨檢查一次。每次的檢查結果必須做好記錄。


8．不定時的相關工作，每服務器由于應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。


9．定期的管理密碼更改工作，每服務器保證至少每兩個月更改一次密碼，對于SQL服務器由于如果SQL采用混合驗證更改系統管理員密碼會影響數據庫的使用則不予修改。


相關建議：對每服務器設立一個服務器管理記載，管理員每次登陸系統都應該在此中進行詳細的記錄，共需要記錄以下幾項：登入時間，退出時間，登入時服務器狀態[包含不明進程記錄，端口連接狀態，系統帳號狀態，內存/CPU狀態]，詳細操作情況記錄[詳細記錄下管理員登陸系統后的每一步操作]。無論是遠程登陸操作還是物理接觸操作都要進行記錄，然后將這些記錄按照各服務器歸檔，按時間順序整理好文檔。


對于數據備份、服務器定時重啟等操作建議將服務器分組，例如分成四組，每月的周六晚備份一組服務器的數據，每周的某一天定時去重啟一組的服務器，這樣對于工作的開展比較方便，這些屬于固定性的工作。另外有些工作可以同步進行，如每月一次的數據備份、安全檢查和管理員密碼修改工作，先進行數據備份，然后進行安全檢查，再修改密碼。對于需要的即時操作如服務器補丁程序的安裝、服務器不定時的故障維護等工作，這些屬于即時性的工作，但是原則上即時性的工作不能影響固定工作的安排。


管理員日常注意事項


在服務器管理過程中，管理員需要注意以下事項：


1．對自己的每一次操作應做好詳細記錄，具體見上述建議，以便于后來檢查。


2．努力提高自身水平，加強學習。

來自網絡的攻擊手段越來越多了，一些惡意網頁會利用軟件或系統操作平臺等的安全漏洞，通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序、javaScript腳本語言程序、ActiveX軟件部件交互技術支持可自動執行的代碼程序，

強行修改用戶操作系統的注冊表及系統實用配置程序，從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序的目的。


目前來自網頁黑手的攻擊分為兩種：一種是通過編輯的腳本程序修改IE瀏覽器；另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁等，關于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統的網頁黑手的防范方法。


黑手之一 格式化硬盤


這是一種非常危險的網頁黑手，它會通過IE執行ActiveX部件并調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后，會出現一個信息提示框，提示：“當前的頁面含有不完全的ActiveX，可能會對你造成危害，是否執行？yes，no”，如果單擊“是”，那么硬盤就會被迅速格式化，而這一切都是在后臺運行的，不易被察覺。


防范的方法是：將本機的Format.com或Deltree.exe命令改名字。另外，對于莫名出現的提示問題，不要輕易回答“是”。可以按下［Ctrl+Alt+Del］組合鍵在彈出的“關閉程序”窗口中，將不能確認的進程中止執行。


黑手之二 耗盡系統資源


這種網頁黑手會執行一段Java Script代碼并產生一個死循環，以至不斷消耗本機系統資源，最后導致系統死機。它們會出現在一些惡意網站或者郵件的附件中，只要打開附件程序后，屏幕上就會出現無數個IE窗口，最后只有重新啟動計算機。


防范的方法是：不要輕易進入不了解的網站，也不要隨便打開陌生人發來的E-mail中的附件，比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。


黑手之三 非法讀取文件


此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用瀏覽器漏洞實現對本地文件的讀取，避免此類攻擊可以關閉禁用瀏覽器的JavaScript功能。


黑手之四 獲取控制權限


此類黑手會利用IE執行Actives時候發生，雖然說IE提供對于“下載已簽名的ActiveX控件”進行提示的功能，但是惡意攻擊代碼會繞過IE，在無需提示的情況下下載和執行ActiveX控件程序，而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手，可以打開注冊表編輯器，然后展開如下分支：


解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility，并設定鍵值為0x00000400即可。


對于來自網上的種種攻擊，在提高防范意識的同時，還需做好預防工作。


1.設定安全級別


鑒于很多攻擊是通過包含有惡意腳本實現攻擊，可以提高IE的級別。在IE中執行“工具/Internet選項”命令，然后選擇“安全”選項卡，選擇“Internet”后單擊［自定義級別］按鈕，在“安全設置”對話框中，將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”，另外設定安全級別為“高”。需要注意的是，如果選擇了“禁用”，一些需要使用ActiveX和腳本的網站可能無法正常顯示。


2.過濾指定網頁


對于一些包含有惡意代碼的網頁，可以將其屏蔽，執行“工具/Internet選項”命令，選擇內容選項卡，在“分級審查”中單擊［啟用］按鈕，打開“分級審查”對話框，選擇“許可站點”選項卡，輸入需要屏蔽網址，然后單擊［從不］按鈕，再單擊［確定］按鈕。 3.卸載或升級WSH


有些利用VBScript編制的病毒、蠕蟲病毒，比如 “I LOVE YOU”和“Newlove”，它們都包含了一個以 VBS為后綴名的附件，打開附件后，用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說，如果將WSH禁用，隱藏在VB腳本中的病毒就無法被激活了。



在Windows 98中禁用WSH，打開“添加/刪除”程序，選擇“Windows 設置/附件”，并單擊“詳細資料”，取消“Windows Scripting Host”選項，完成后單擊［確定］按鈕即可。


在Windows 2000中禁用WSH的方法是，雙擊“我的電腦”圖標，然后執行“工具/文件夾選項”命令，選擇“文件類型”選項卡，找到“VBS VBScript Script File”選項，并單擊［刪除］按鈕，最后單擊［確定］即可。


另外，還可以升級WSH 5.6，IE瀏覽器可以被惡意腳本修改，就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取瀏覽者的注冊表，可以在http://www.microsoft.com/下載最新版本的WSH。


4.禁用遠程注冊表服務


在Windows 2000/XP中，可以點擊“控制面板/管理工具/服務”，用鼠標右鍵單擊“Remote Registry”，然后在彈出的快捷方式中選擇“屬性”命令，在“常規”選項卡中單擊［停止］按鈕，這樣可以攔截部分惡意腳本代碼。


5.安裝防火墻和殺毒軟件


安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序，比如可以安裝瑞星殺毒軟件。

相信很多朋友都聽說過木馬程序，總覺得它很神秘、很高難，但事實上隨著木馬軟件的智能化，很多駭客都能輕松達到攻擊的目的。今天，筆者就以最新的一款木馬程序——黑洞2004，從種植、使用、隱藏、防范四個方面來為網絡愛好者介紹一下木馬的特性。需要提醒大家的是，在使用木馬程序的時候，請先關閉系統中的病毒防火墻，因為殺毒軟件會把木馬作為病毒的一種進行查殺。


操作步驟:


一、種植木馬


現在網絡上流行的木馬基本上都采用的是C/S 結構（客戶端/服務端）。你要使用木馬控制對方的電腦，首先需要在對方的的電腦中種植并運行服務端程序，然后運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。


為了避免不熟悉木馬的用戶誤運行服務端，現在流行的木馬都沒有提供單獨的服務端程序，而是通過用戶自己設置來生成服務端，黑洞2004也是這樣。首先運行黑洞2004，點擊“功能/生成服務端”命令，彈出“服務端配置”界面。由于黑洞2004采用了反彈技術（請參加小知識），首先單擊旁邊的“查看”按鈕，在彈出的窗口中設置新的域名，輸入你事先申請空間的域名和密碼，單擊“域名注冊”，在下面的窗口中會反映出注冊的情況。域名注冊成功以后，返回“服務端配置”界面，填入剛剛申請的域名，以及“上線顯示名稱”、“注冊表啟動名稱”等項目。為了迷惑他人，可以點“更改服務端圖標”按鈕為服務端選擇一個圖標。所有的設置都完成后，點擊“生成EXE型服務端”就生成了一個服務端。在生成服務端的同時，軟件會自動使用UPX為服務端進行壓縮，對服務端起到隱藏保護的作用。


服務端生成以后，下一步要做的是將服務端植入別人的電腦？常見的方法有，通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦；或者通過Email夾帶，把服務端作為附件寄給對方；以及把服務端進行偽裝后放到自己的共享文件夾，通過P2P軟件（比如PP點點通、百寶等），讓網友在毫無防范中下載并運行服務端程序。


由于本文主要面對普通的網絡愛好者，所以就使用較為簡單的Email夾帶，為大家進行講解。我們使用大家經常會看到的Flash動畫為例，建立一個文件夾命名為“好看的動畫”，在該文件夾里邊再建立文件夾“動畫.files”，將木馬服務端軟件放到該文件夾中假設名稱為“abc.exe”，再在該文件夾內建立flash文件，在flash文件的第1幀輸入文字“您的播放插件不全，單擊下邊的按鈕，再單擊打開按鈕安裝插件”，新建一個按鈕組件，將其拖到舞臺中，打開動作面板，在里邊輸入“on (press) { getURL("動畫.files/abc.exe"); }”，表示當單擊該按鈕時執行abc這個文件。在文件夾“好看的動畫”中新建一個網頁文件命名為“動畫.htm”，將剛才制作的動畫放到該網頁中。看出門道了嗎？平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾，我們這么構造的原因也是用來迷惑打開者，畢竟沒有幾個人會去翻.files文件夾。現在我們就可以撰寫一封新郵件了，將文件夾“好看的動畫”壓縮成一個文件，放到郵件的附件中，再編寫一個誘人的主題。只要對方深信不疑的運行它，并重新啟動系統，服務端就種植成功了。


二、使用木馬


成功的給別人植入木馬服務端后，就需要耐心等待服務端上線。由于黑洞2004采用了反連接技術，所以服務端上線后會自動和客戶端進行連接，這時，我們就可以操控客戶端對服務端進行遠程控制。在黑洞2004下面的列表中，隨便選擇一臺已經上線的電腦，然后通過上面的命令按鈕就可以對這臺電腦進行控制。下面就簡單的介紹一下這些命令的意義。


文件管理：服務端上線以后，你可以通過“文件管理”命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾，并且支持斷點傳輸。簡單吧？


進程管理：查看、刷新、關閉對方的進程，如果發現有殺毒軟件或者防火墻，就可以關閉相應的進程，達到保護服務器端程序的目的。


窗口管理：管理服務端電腦的程序窗口，你可以使對方窗口中的程序最大化、最小化、正常關閉等操作，這樣就比進程管理更靈活。你可以搞很多惡作劇，比如讓對方的某個窗口不停的最大化和最小化。


視頻監控和語音監聽：如果遠程服務端電腦安裝有USB攝像頭，那么可以通過它來獲取圖像，并可直接保存為Media Play可以直接播放的Mpeg文件；需要對方有麥克風的話，還可以聽到他們的談話，恐怖吧？


除了上面介紹的這些功能以外，還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能，操作都非常簡單，明白了吧？做駭客其實很容易。


三、隱藏


隨著殺毒軟件病毒庫的升級，木馬會很快被殺毒軟件查殺，所以為了使木馬服務端辟開殺毒軟件的查殺，長時間的隱藏在別人的電腦中，在木馬為黑客提供幾種可行的辦法。


1.木馬的自身保護


就像前面提到的，黑洞2004在生成服務端的時候，用戶可以更換圖標，并使用軟件UPX對服務端自動進行壓縮隱藏。


2.捆綁服務端


用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起，達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。


3.制做自己的服務端


上面提到的這些方法雖然能一時瞞過殺毒軟件，但最終還是不能逃脫殺毒軟件的查殺，所以若能對現有的木馬進行偽裝，讓殺毒軟件無法辨別，則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。例如Step1中的UPX就是這樣一款壓縮軟件，但默認該軟件是按照自身的設置對服務端壓縮的，因此得出的結果都相同，很難長時間躲過殺毒軟件；而自己對服務端進行壓縮，就可以選擇不同的選項，壓縮出與眾不同的服務端來，使殺毒軟件很難判斷。下面我就以冰河為例，為大家簡單的講解一下脫殼（解壓）、加殼（壓縮）的過程。


如果我們用殺毒軟件對冰河進行查殺，一定會發現2個病毒，一個是冰河的客戶端，另一個是服務端。使用軟件“PEiD”查看軟件的服務端是否已經被作者加殼。


現在，我們就需要對軟件進行脫殼，也就是一種解壓的過程。這里我使用了“UPXUnpack”，選擇需要的文件后，點擊“解壓縮”就開始執行脫殼。


脫殼完成后，我們需要為服務端加一個新殼，加殼的軟件很多，比如：ASPack、ASProtect、UPXShell、Petite等。這里以“ASPack”為例，點擊“打開”按鈕，選擇剛剛脫殼的服務端程序，選擇完成后ASPack會自動為服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺，發現其已經不能識別判斷了。如果你的殺毒軟件依舊可以查殺，你還可以使用多個軟件對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼后，試用了多種殺毒軟件都沒有掃描出來。現在網絡中流行的很多XX版冰河，就是網友通過對服務端進行修改并重新加殼后制做出來的。


四、防范


防范重于治療，在我們的電腦還沒有中木馬前，我們需要做很多必要的工作，比如：安裝殺毒軟件和網絡防火墻；及時更新病毒庫以及系統的安全補丁；定時備份硬盤上的文件；不要運行來路不明的軟件和打開來路不明的郵件。


最后筆者要特別提醒大家，木馬除了擁有強大的遠程控制功能外，還包括極強的破壞性。我們學習它，只是為了了解它的技術與方法，而不是用于盜竊密碼等破壞行為，希望大家好自為之。


小知識：反彈技術，該技術解決了傳統的遠程控制軟件不能訪問裝有防火墻和控制局域網內部的遠程計算機的難題。反彈端口型軟件的原理是，客戶端首先登錄到FTP服務器，編輯在木馬軟件中預先設置的主頁空間上面的一個文件，并打開端口監聽，等待服務端的連接，服務端定期用HTTP協議讀取這個文件的內容，當發現是客戶端讓自己開始連接時，就主動連接，如此就可完成連接工作。因此在互聯網上可以訪問到局域網里通過 NAT （透明代理）代理上網的電腦，并且可以穿過防火墻。與傳統的遠程控制軟件相反，反彈端口型軟件的服務端會主動連接客戶端，客戶端的監聽端口一般開為80（即用于網頁瀏覽的端口），這樣，即使用戶在命令提示符下使用“netstat -a”命令檢查自己的端口，發現的也是類似“TCPUserIP:3015ControllerIP：httpESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁，而防火墻也會同樣這么認為的。于是，與一般的軟件相反，反彈端口型軟件的服務端主動連接客戶端，這樣就可以輕易的突破防火墻的限制

在今天的計算機犯罪領域中，罪犯不需要借助英特網進入，他們只要通過簡單的詢問就能獲得信息。當心友好的內部人員或是職務上看起來是外部的人員，他們可能會利用你的好心或天真來獲得他們要的東西。舉幾個例子來說明吧…
一位部門秘書接到一個電話,"我是Josie Bass,有什么能幫您的嗎?"
“你好，我是計算機中心的Martin White,我們認為可能有人入侵了文件服務器，我能和你們技術主管談談嗎?”
“現在是周五下午，這里只有我一個人 。”Josie說。
“你的工作怎么樣，Josie？”
“還好，你呢？”
深呼一口氣，“不算太壞,除了現在是周五的下午而且我們要處理堆積如山的文件。總之，如我所說的，我們認為你的文件服務器受到了威脅。”
“你為什么這么認為呢？”
“你的帳號是jbass,是嗎？”
“是。”
“我們在你的文件服務器上檢測到了異常的通信。”
“好，你能不能具體點告訴我這是怎么回事？”
“當然,我正在搜索,但有太多文件了。”翻頁的聲音。“我真正擔心的是,當我這樣搜索時,壞人可以從你們的服務器下載并修改資料，也許你應該把你的服務器與網絡斷開或者修改你的系統密碼。”
“Jeez,我不知道該怎么做。”
Martin嘆息，“這真糟糕，入侵者可能沒有完全地破壞你的系統。”手指翻動書，發出翻頁的聲音。“我剛才想到一件事，我正好在線，如果我有你的密碼的話，只要幾分鐘就可查出來了。”沉重的嘆息，“為什么我之前沒有想到呢？持續一個星期了—看了很多小時的數字。”一番停頓后，“Ok,你的密碼多少？”
“我…er….”Josie猶豫了。
“哦，好的，你不會把它拿出來，我明白了。”翻頁的聲音。“這也是個好辦法。”停頓了一下，“這些家伙會嘗試不同的方法入侵…”翻頁。
“嘿，”Josie說，“我們會整晚都在這里，忘了告訴你：我的密碼是jb2cats。”
“謝謝，好的，稍等。”密碼輸入的聲音。“好了，讓我仔細檢查一下。”更多的輸入。“找到了，好消息，他們沒能進入你的系統。”停頓，“非常感謝，Josie，我們一起為這件無效的事上折騰了半夜，順便說一聲，一旦他們跳過了你的服務器，再回來就是很罕見的事了，你的系統現在狀況良好。”
“謝謝，祝你有一個愉快的周末。”Josie放心地回答。
“你也是。”

“Martin White”和他的同伙將會有一個愉快的周末，從這個部門修改他們選修課程的學生等級——為了學費，當然。（譯者注：這里的意思應該是Martin的課程沒及格，需要重修，把成績修改了，自然就不需要交納學費了。）

這是一個被稱為“社會工程學”的例子，一個信息技術犯罪的非技術表象描述。用其它方法表達就是“欺騙藝術家”Martin玩的一個“行騙游戲”。意思很簡單：欺騙受害人，獲得有用的機密信息，或采取不正當行動為攻擊者獲得利益。
大部分人對我們都是有益并且值得信賴的—許多人這樣認為。我們想要做好鄰居并有許多好鄰居，社會工程師利用了人類這一合作傾向。他們經常使用脅迫和扮演角色手段，也使用老式但清晰的攝像頭進行偷窺和偷聽。
當被偷竊的信息增加時，我們需要知道更多信息盜竊使用的迂回方法。
例如：
一個糊涂的醉鬼會打電話給辦事員請求更改他的密碼。
一個似乎很重要的人扮成主管人員打電話給新來的網絡管理員要求馬上開通他的賬戶！
在機場當你輸入你的電訊信用卡或ATM號碼時有人會往你肩膀上看（肩窺），他們甚至使用雙筒望遠鏡和攝象機。
一個訪客會偷看你在鍵盤上輸入的注冊ID和密碼。
一個自信的人打電話給電腦工作人員并要他或她在控制臺輸入幾行指令。
一個攻擊者搜集你的廢紙（垃圾數據探究），尋找線索解開你的保密信息。
不同于技術的目標，社會工程學是一個古老行當的新名字，它常常成功，因為我們的文化沒有趕上我們擁有的技術。一個社會工程師從一個保險箱里獲得東西比獲得密碼要更困難，即使這個東西就在健康俱樂部的帶鎖儲物柜里。最好的防御很簡單：教育，訓練和意識。

記住：密碼就像一把牙刷一樣，每三個月更換一次，并不讓其他人使用它。（即使有人聲稱自己來自處理Internet上各項安全問題的專責機構）。