通過相應的關鍵字去識別是否有 Sql注入攻擊代碼

string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";

在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.

而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種

我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環(huán)節(jié)都載入這個類去做處理, 那太麻煩了.

如果寫一個ISAPI當然也能完成這個功能的實現(xiàn), 但在.NET 中 HttpModule幫我們實現(xiàn)了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.

我們現(xiàn)在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.



REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數(shù)組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")

If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥？別注我！有漏洞通知QQ：26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥？別注我！有漏洞通知QQ：26242000")
Response.End()
End If
Next
Next
End If


再來看看我在百度上找的sql防攻擊代碼



// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;

namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數(shù)邏輯
//
}

#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{

for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數(shù)據(jù)</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |ins&#101;rt |sel&#101;ct |del&#101;te |up&#100;ate |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split(&#39;|&#39;);
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion

}
}

// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數(shù)據(jù)庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />

由于網(wǎng)絡和各種存儲設備的飛速發(fā)展，使得病毒傳播的幾率也大大的增加了。雖然可以通過安裝防病毒軟件和網(wǎng)絡防火墻來保護你的系統(tǒng)，但是由于病毒技術的發(fā)展勢頭十分迅猛，甚至許多網(wǎng)頁中都包含了很多惡意代碼，如果用戶的防范意識不強的話，即使安裝了防病毒軟件也很容易“中招”。


筆者經(jīng)過查閱微軟資料以及個人的使用經(jīng)驗，總結出一套防范病毒的方法，希望能對大家有所幫助。

如果大家使用的是Windows2000/XP或2003操作系統(tǒng)的話，那么你可以嘗試一下以下的方法——從源頭上讓你的系統(tǒng)可以對病毒免疫。

首先全新安裝的操作系統(tǒng)（或者你能確認你當前使用的系統(tǒng)是無毒的），立即就打開：

“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” ，把超級管理員密碼更改成十位數(shù)以上，并且盡量使用數(shù)字和大小寫字母相結合的密碼。然后再建立一個用戶，把它的密碼也設置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險：如果你忘記了其中一個密碼，還有使用另一個超管密碼登陸來挽回的余地，免得你被拒絕于系統(tǒng)之外；再者就是網(wǎng)上的黑客無法再通過猜測你系統(tǒng)超管密碼的方式遠程獲得你系統(tǒng)的控制權而進行破壞。接著再添加兩個用戶，比如用戶名分別為：nyh1、nyh2；并且指定他們屬于user組，好了，準備工作到這里就全部完成了，以后你除了必要的維護計算機外就不要使用超級管理員和nyh2登陸了。只使用nyh1登陸就可以了。

（建立新用戶時，默認為user組。如果要建立管理員用戶，在新建完用戶后，在“組”里面，點選Administrators組，點擊“添加”把這個帳號加入Administrators組中。）

登陸之后上網(wǎng)的時候找到IE，并為它建立一個快捷方式到桌面上，右鍵單擊快捷方式，選擇“以其他用戶方式運行”點確定！要上網(wǎng)的時候就點這個快捷方式，它會跟你要用戶名和密碼這時候你就輸入nyh2的用戶名和密碼?。。『昧?，現(xiàn)在你可以使用這個打開的窗口去上網(wǎng)了，可以隨你便去放心的瀏覽任何惡毒的、惡意的、網(wǎng)站跟網(wǎng)頁，而不必再擔心中招了！因為你當前的系統(tǒng)活動的用戶時nyh1。

而nyh2是不活動的用戶，我們使用這個不活動的用戶去上網(wǎng)時，無論多聰明的網(wǎng)站，通過IE得到的信息都將讓它都將以為這個nyh2就是你當前活動的用戶，如果它要在你瀏覽時用惡意代碼對你的系統(tǒng)搞搞破壞的話根本就時行不通的，即使能行通，那么被修改掉的僅僅時nyh2的一個配置文件罷了，而很多惡意代碼和病毒試圖通過nyh2進行的破壞活動卻都將失敗，因為nyh2根本就沒運行，怎么能取得系統(tǒng)的操作權呢？？既然取不得，也就對你無可奈何了。而他們更不可能跨越用戶來操作，因為微軟得配置本來就是各用戶之間是獨立的，就象別人不可能跑到我家占據(jù)我睡覺用的床一樣，它們無法占據(jù)nyh1的位置！所以你只要能保證總是以這個nyh2用戶做代理來上網(wǎng)（但卻不要使用nyh2來登陸系統(tǒng)，因為如果那樣的話，如果nyh2以前中過什么網(wǎng)頁病毒，那么在user2登陸的同時，他們極有可能被激活?。敲礋o論你中多少網(wǎng)頁病毒，全部都將是無法運行或被你當前的nyh1用戶加載的，所以你當前的系統(tǒng)將永遠無毒！ 下面是建立IE快捷方式的步驟。

在桌面上點擊右鍵，選擇“新建——快捷方式”，在彈出的窗口中選擇IEXPLORE（位置在"C:Program FilesInternet ExplorerIEXPLORE.EXE"），點擊“下一步”完成。然后鼠標右鍵點擊該快捷方式，選擇“屬性”，再點擊“高級按鈕”，在以“其他用戶身份運行”前打上勾。

以后上網(wǎng)點擊IE的時候，會出現(xiàn)如下窗口，輸入nyh2和密碼即可。

不過總有疏忽的時候，萬一不小心接收了別人發(fā)來的病毒文件，或者從郵件中收到病毒文件，一個不小心中毒了怎么辦？？

不用擔心，現(xiàn)在我們就可以來盡情的表演金蟬脫殼的技術了！

開始金蟬脫殼：

重新啟動計算機，使用超級管理員登陸——進入系統(tǒng)后什么程序都不要運行

你會驚奇的發(fā)現(xiàn)在的系統(tǒng)竟然表現(xiàn)的完全無毒！那就再好不過了，現(xiàn)在就立即就打開：

“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧！

把里面的nyh1和nyh2兩個用戶全刪掉吧，你只需要這么輕輕的一刪就可以了，那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失而一起去長眠了——（好象是陪葬，呵呵?。?。這么做過之后我保證你的Windows就象新裝的一個樣，任何系統(tǒng)文件和系統(tǒng)進程里都完全是沒有病毒的！

好！現(xiàn)在再重復開始的步驟從新建立nyh1和nyh2兩個用戶，讓他們復活吧。他們復活是復活了，但是曾跟隨了他們的病毒卻是沒這機會了，因為WindowsXP重新建立用戶的時候會重新分配給他們?nèi)碌呐渲茫@個配置是全新的也是不可能包含病毒的！??！建立完成之后立即注銷超級管理員，轉(zhuǎn)如使用nyh1登陸，繼續(xù)你象做的事吧，你會發(fā)現(xiàn)你的系統(tǒng)如同全新了！以上方法可以周而復始的用，再加上經(jīng)常的去打微軟的補丁，幾乎可以永遠保證你的操作系統(tǒng)是無毒狀態(tài)！只要你能遵循以下兩條規(guī)則：

一、任何時間都不以超級管理員的身份登陸系統(tǒng)——除非你要進行系統(tǒng)級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。

二、必須使用超級管理員登陸的時候，保證不使用和運行任何除了操作系統(tǒng)自帶的工具和程序之外的任何東西，而且所有維護都只通過開始菜單里的選項來完成，甚至連使用資源管理器去瀏覽硬盤都不！ 只做做用戶和系統(tǒng)的管理和維護就立即退出，而決不多做逗留！（這也是微軟的要求，微軟最了解自己的東東，他的建議是正確的。瀏覽硬盤的事，在其他用戶身份下你有大把的機會，在超級管理員的身份下還是不要了??！這應該事能完全作到的）。

總結

通過以上的方法應該能保證你的系統(tǒng)是安全的了，但是計算機技術的發(fā)展速度太快，系統(tǒng)和病毒的運行方式可能隨時都會革新，所以以上的方法也不能保證100%的絕對防毒。

如今網(wǎng)上黑客橫行，稍不留神就可能被黑客光顧，避如前段時間我們空間商的服務器就被入侵了，數(shù)據(jù)都被刪光了，所以要想在網(wǎng)上生存，做好安全措施是必不可少的。一般我們都只重視對機器進行安全設置，而往往忽略了被入侵后的信息收集問題，今天我就介紹三種讓黑客留下痕跡的方法，希望能對大家有所幫助。


一、利用“木馬”進行記錄

1.木馬簡介

這里要用到的是一個很特殊的dll木馬，它可以把通過終端登陸的用戶名、密碼，以及域信息記錄到指定文件中。不要以為這些信息沒什么用哦！有時候就得*這些零散的信息來找入侵的人。

在下載的壓縮包內(nèi)，有三個文件：

SysGina32.dll--這個就是可以記錄用戶名和密碼的東東了。

Gina.exe--這是安裝DLL木馬用的程序，有了它后安裝起來就很方便了。

使用方法.txt--這個很熟悉吧！中文幫助文件哦！有什么不懂的可以查查。

2.安裝木馬

先把SysGina32.dll和Gina.exe放在同一目錄下，并將Gina.exe改名為svchost.exe(你也可以改成其它名字，為的是不讓黑客注意到)，然后打開CMD，切換到保存這兩個文件的文件夾，輸入命令：svchost.exe -install，當出現(xiàn)“All Done，Gina setup success”信息時，安裝就成功了。

注意：

a.該木馬已被殺毒軟件查殺，所以安裝時請關閉殺毒軟件(不是關閉防火墻哦！)，而且以后重啟時殺毒軟件不能一起啟動，以后殺一次毒重新裝一次該木馬。不過如果你能讓該木馬不被殺毒軟件的話，那就沒這么麻煩了。

b.為了不讓黑客發(fā)現(xiàn)我們設的陷阱，最好將Gina.exe文件改名，而且要改的藝術一點，比如上面我把它改成了“svchost.exe”，這樣就很難發(fā)現(xiàn)了，如果你改成了其它名字，安裝時命令就要換成“文件名.exe -install”。

c.SysGina32.dll和Gina.exe這兩個文件不一定要復制到系統(tǒng)安裝目錄的system32下，不過最好不要太引人注意，如果被黑客發(fā)現(xiàn)，那就可能適得其反了(木馬也會記下你的密碼的)。

d.如果出現(xiàn)的信息是“Found Exist Gina”，這說明你機器已經(jīng)裝過該木馬了，此時鍵入“Y”覆蓋即可。

3.查看“蹤跡”

經(jīng)過以上設置后，如果有人通過終端服務登錄你的機器，那么他的用戶名和密碼就會被記錄到“C:＼WINNT＼system32＼GinaPwd.txt”這個文件中，打開這文件就可以看到入侵者的蹤跡了。由于該木馬也會記錄你的密碼，所以每次進入機器時，請先打開GinaPwd.txt這文件，把你的用戶名和密碼刪掉，順便查一下有沒有其它人登錄過。

4.刪除木馬

如果你的機器不幸被人中了該木馬，那么請按如下方法刪除：

先下載該木馬，在CMD下輸入命令：gina.exe -remove，當出現(xiàn)“ Gina Dll was removed success”時，就表示刪除成功了，接著重啟機器即可。

注意：如果你把gina.exe改名了，命令也要做相應改變：文件名.exe -

二、寫個批處理記錄黑客行蹤

1.認識批處理

對于批處理文件，你可以把它理解成批量完成你指定命令的文件，它的擴展名為 .bat 或 .cmd，只要在文本文件中寫入一些命令，并把它保存為.bat 或 .cmd格式，然后雙擊該文件，系統(tǒng)就會按文本文件中的命令逐條執(zhí)行，這樣可以節(jié)省你許多的時間。

2.編寫批處理文件

打開記事本，然后輸入如下命令：


@echo off
date /t >>d:＼3389.txt
attrib +s +h d:＼3389.bat
attrib +s +h d:＼3389.txt
time /t >>d:＼3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt


然后把文件保存為d:＼3389.bat，這里我解釋一下命令的意思，date和time是用于獲取系統(tǒng)時間的，這樣可以讓你知道黑客在某天的某個時刻入侵?！癮ttrib +s +h d:＼3389.bat”和“attrib +s +h d:＼3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的，因為在登錄時，由于會啟動d:＼3389.bat這個文件，所以會有一個CMD窗口一閃而過，有經(jīng)驗的黑客應該能判斷出這窗口是記錄用的，所以他可能會到處找這個記錄文件，用了以上兩個命令后，即使他用系統(tǒng)自帶的搜索功能以3389為關鍵字進行搜索，也找不到上面3389.bat和3389.txt這兩個文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt”這個命令則是記錄通過終端的連結狀況的，明白了吧！

接下來我們要讓系統(tǒng)啟動時自動運行d:＼3389.bat這文件，我用的方法是修改注冊表，依次展開：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon，找到“Userinit”這個鍵值，這個鍵值默認為c:＼WINNT＼system32＼userinit.exe，不知你注意到?jīng)]有，在最后有一個逗號，我們要利用的就是這逗號，比如我上面寫的3389.bat文件路徑為d:＼3389.bat，那么我只要在逗號后面加上“d:＼3389.bat”即可，這樣啟動時3389.bat這文件就會運行，選這個鍵值的原因是因為它隱蔽，如果是加在Run鍵值下的話是很容易被發(fā)現(xiàn)的。最后提醒一點，鍵值末尾的逗號別忘了加上去哦！

4.查看記錄

前面我們用了attrib命令把3389.bat和3389.txt這兩個文件隱藏起來，下面我們來讓它們重新顯示。

打開CMD，切換到保存這兩個文件的路徑，這里是切換到“d:＼”目錄，輸入命令：attrib -s -h d:＼3389.bat和attrib -s -h d:＼3389.txt，這時再到d盤看看，是不是出現(xiàn)了？打開文件即可查看登錄情況，從中我們可以看出，10.51.5.36這IP連結到了我的3389端口(我的IP是10.51.5.35)。

三、記錄黑客動作

有了以上兩道防線，我們就能知道黑客的用戶名、密碼、以及入侵時的IP了，不過這樣好像還不夠，要是能知道黑客都干了些什么就更好了，下面我們再設置一個陷阱，這里要用到的工具是“計算機系統(tǒng)日志”。

該軟件的特色就是可以在后臺記錄所有運行過的程序和窗口名稱，并且有具體的時期，以及登錄的用戶名，很恐怖哦！下面咱們來設陷阱吧！

1.記錄日志

雙擊壓縮包內(nèi)的主程序，點擊“軟件試用”進入主界面，在“日志文件保存路徑”處點擊“瀏覽”選擇保存路徑并進行命名，這里保存在c:＼winnt＼log.txt。然后鉤選“日志記錄隨計算機自動啟動”。

注意：

a.為了防止黑客找到記錄日志的文件，你可以用上面提到的命令：attrib +s +h c:＼winnt＼log.txt進行隱藏。

b.最好不要將這個記錄文件和上面的3389.txt放一個目錄下，這樣萬一被發(fā)現(xiàn)其中一個，不至于使另一個也一同被發(fā)現(xiàn)。

c.軟件在“任務管理器”的進程中顯示名稱為“syslog”，而且未注冊版本會在20分鐘后自動停止記錄，所以只能用來對付菜鳥黑客啦！而且還得先花點“銀子”，哈哈！

接下來在“程序密碼保護”處輸入一個復雜點的密碼，點擊“開始日志”。這時軟件會提醒你隱藏后的熱鍵為“Ctrl+Q”，請記住這個熱鍵，以后要喚出軟件時就得*它了。

2.查看動作

想知道這樣設置后記錄下來的東西是什么樣嗎？那就快來看看吧。怎么樣？對這種記錄結果你還滿意嗎？

以上就是我比較推薦的三種方法了，都非常的實用，你不妨也試試哦！

當您在 Microsoft Internet Explorer、Microsoft Outlook Express 或 Microsoft Outlook 中指向某個超鏈接時，相應的 Web 站點的地址通常顯示在窗口底部的狀態(tài)欄中。當您單擊的鏈接在 Internet Explorer 中打開后，相應 Web 站點的地址通常顯示在 Internet Explorer 的地址欄中，同時相應 Web 頁的標題通常顯示在窗口的標題欄中。

將實際 URL 與地址欄中的 URL 進行比較。如果它們不相符，則該 Web 站點有可能是在謊報。在這種情況下，您可能需要關閉 Internet Explorer。

使用 Internet Explorer 中的“歷史記錄”窗格來識別當前 Web 站點的實際 URL在 Microsoft 已經(jīng)驗證的一些情形中，您還可以使用 Internet Explorer 中的“歷史記錄”瀏覽器欄來幫助識別 Web 頁的 URL。 在“查看”菜單上，指向“瀏覽器欄”，然后單擊“歷史記錄”。將地址欄中的 URL 與“歷史記錄”欄中顯示的 URL 進行比較。如果他們不匹配，則該 Web 站點很可能是謊報了自己，您可能需要關閉 Internet Explorer。

將 URL 粘貼到一個新實例的地址欄中

您可以將 URL 粘貼到 Internet Explorer 的一個新實例的地址欄中。這樣，您可能能夠驗證 Internet Explorer 訪問目標 Web 站點時將使用的信息。在 Microsoft 已經(jīng)驗證的一些情形中，您可以通過以下方法來驗證 Internet Explorer 訪問目標 Web 站點時實際使用的信息：復制顯示在地址欄中的 URL 并將其粘貼到 Internet Explorer 的一個新會話的地址欄中。這一方法與上文“如何防范冒牌 Web 站點”一節(jié)介紹的方法相近。

警告：如果您在某些站點（例如電子商務站點）上執(zhí)行此操作，則此操作可能會導致您的當前會話丟失。例如，在線購物車的內(nèi)容可能會丟失，這樣，您就必須重新填充該購物車。

要將 URL 粘貼到 Internet Explorer 的一個新實例的地址欄中，請按照下列步驟操作：

1. 選中地址欄中的文本，右鍵單擊該文本，然后單擊“復制”。

2. 關閉 Internet Explorer。

3. 啟動 Internet Explorer。

4. 在地址欄中單擊，單擊右鍵，然后單擊“粘貼”。

5. 按 Enter 鍵。

用于識別惡意超鏈接的方法

用來驗證 Internet Explorer 在訪問目標 Web 站點時需要使用的信息的唯一方法是在地址欄中手動鍵入 URL。但是，在某些情況下，您可以采用一些方法來幫助您識別惡意超鏈接。

警告：下面的信息針對已知的攻擊提供了一些一般性的準則。因為攻擊經(jīng)常會發(fā)生變化，惡意用戶可能會使用此處未介紹的方法來創(chuàng)建冒牌 Web 站點。為了幫助您保護自己，您只應在驗證了數(shù)字證書上的名稱后，才可鍵入個人信息或敏感信息。此外，如果您基于任何理由懷疑一個站點的真實性，請立即通過關閉瀏覽器窗口來離開此站點。通常情況下，最快捷的關閉瀏覽器窗口的方法是按 ALT+F4。

嘗試識別一個超鏈接將要使用的 URL

要嘗試識別一個超鏈接要使用的 URL，請按照下列步驟操作：

1. 右鍵單擊該鏈接，然后單擊“復制快捷方式”。

2. 單擊“開始”，然后單擊“運行”。

3. 鍵入 notepad，然后單擊“確定”。

4. 在“記事本”中的“編輯”菜單上，單擊“粘貼”。

這樣，您就能夠查看任何超鏈接的完整 URL，并且可以檢查 Internet Explorer 將使用的地址。以下列出了 URL 中可能會出現(xiàn)的一些有可能將您引到冒牌 Web 站點的字符：


? %00
? %01
? @


例如，以下形式的 URL 將打開 http://example.com，但是該 URL 可能在 Internet Explorer 的地址欄或狀態(tài)欄中顯示為：


http://www.wingtiptoys.com：
01@example.com&#39; target=_blank>http://www.wingtiptoys.com%01@example.com


其他可以采用的方法

雖然這些操作不能幫助您識別一個欺騙性（冒牌）Web 站點或 URL，但它們有助于限制從冒牌 Web 站點或惡意超鏈接成功發(fā)起的攻擊所造成的損害。不過，它們會限制電子郵件和 Internet 區(qū)域中的 Web 站點運行腳本、ActiveX 控件和其他可能具有破壞作用的內(nèi)容。 ? 使用您的 Web 內(nèi)容區(qū)域來幫助阻止 Internet 區(qū)域中的 Web 站點在計算機中運行腳本、ActiveX 控件或其他具有破壞作用的內(nèi)容。首先，在 Internet Explorer 中將 Internet 區(qū)域安全級別設置為“高”。為此，請按照下列步驟操作：

1. 在“工具”菜單上，單擊“Internet 選項”。

2. 單擊“安全”選項卡，單擊“Internet”，然后單擊“默認級別”。

3. 將滑塊移動到“高”，然后單擊“確定”。

然后，將您信任的 Web 站點的 URL 添加到“可信站點”區(qū)域。為此，請按照下列步驟操作：

1. 在“工具”菜單上，單擊“Internet 選項”。

2. 單擊“安全”選項卡。

3. 單擊“可信站點”。

4. 單擊“站點”。

5. 如果您要添加的站點不需要服務器驗證，請單擊以清除“該區(qū)域中所有站點都需要服務器驗證(https:)”復選框。

6. 鍵入您要添加到“可信站點”列表中的 Web 站點的地址。

7. 單擊“添加”。

8. 對您要添加的每個 Web 站點重復步驟 6 和 7。

9. 單擊“確定”兩次。

以純文本格式閱讀電子郵件

通過以純文本格式閱讀電子郵件，您可以查看任何超鏈接的完整 URL，并可檢查 Internet Explorer 將使用的地址。以下列出了 URL 中可能會出現(xiàn)的一些有可能將您引到冒牌 Web 站點的字符：


? %00
? %01
? @


例如，以下形式的 URL 將打開http://example.com，但是在 Internet Explorer 的地址欄中顯示的 URL 可能為:


http://www.wingtiptoys.com：
01@example.com&#39; target=_blank>http://www.wingtiptoys.com%01@example.com

你已經(jīng)決心下大力氣搞好應用安全嗎？畢竟，例如金融交易、信用卡號碼、機密資料、用戶檔案等信息，對于企業(yè)來說太重要了。不過這些應用實在太龐大、太復雜了，最困難的就是，這些應用在通過網(wǎng)絡防火墻上的端口80（主要用于HTTP）和端口443（用于SSL）長驅(qū)直入的攻擊面前暴露無遺。這時防火墻可以派上用場，應用防火墻發(fā)現(xiàn)及封阻應用攻擊所采用的八項技術如下：深度數(shù)據(jù)包處理


　　深度數(shù)據(jù)包處理有時被稱為深度數(shù)據(jù)包檢測或者語義檢測，它就是把多個數(shù)據(jù)包關聯(lián)到一個數(shù)據(jù)流當中，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免給應用帶來時延。下面每一種技術代表深度數(shù)據(jù)包處理的不同級別。

　　TCP/IP終止

　　應用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及多種請求，即不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。

　　SSL終止

　　如今，幾乎所有的安全應用都使用HTTPS確保通信的保密性。然而，SSL數(shù)據(jù)流采用了端到端加密，因而對被動探測器如入侵檢測系統(tǒng)（IDS）產(chǎn)品來說是不透明的。為了阻止惡意流量，應用防火墻必須終止SSL，對數(shù)據(jù)流進行解碼，以便檢查明文格式的流量。這是保護應用流量的最起碼要求。如果你的安全策略不允許敏感信息在未加密的前提下通過網(wǎng)絡傳輸，你就需要在流量發(fā)送到Web服務器之前重新進行加密的解決方案。

　　URL過濾

　　一旦應用流量呈明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統(tǒng)一代碼編碼（unicode encoding）。對URL過濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達有關的URL，這是遠遠不夠的。這就需要一種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本少年類型的攻擊，但無力抵御大部分的應用層漏洞。

　　請求分析

　　全面的請求分析技術比單單采用URL過濾來得有效，可以防止Web服務器層的跨站腳本執(zhí)行（cross-site scripting）漏洞和其它漏洞。全面的請求分析使URL過濾更進了一步：可以確保請求符合要求、遵守標準的HTTP規(guī)范，同時確保單個的請求部分在合理的大小限制范圍之內(nèi)。這項技術對防止緩沖器溢出攻擊非常有效。然而，請求分析仍是一項無狀態(tài)技術。它只能檢測當前請求。正如我們所知道的那樣，記住以前的行為能夠獲得極有意義的分析，同時獲得更深層的保護。

　　用戶會話跟蹤

　　更先進的下一個技術就是用戶會話跟蹤。這是應用流量狀態(tài)檢測技術的最基本部分：跟蹤用戶會話，把單個用戶的行為關聯(lián)起來。這項功能通常借助于通過URL重寫（URL rewriting）來使用會話信息塊加以實現(xiàn)。只要跟蹤單個用戶的請求，就能夠?qū)π畔K實行極其嚴格的檢查。這樣就能有效防御會話劫持（session-hijacking）及信息塊中毒（cookie-poisoning）類型的漏洞。有效的會話跟蹤不僅能夠跟蹤應用防火墻創(chuàng)建的信息塊，還能對應用生成的信息塊進行數(shù)字簽名，以保護這些信息塊不被人篡改。這需要能夠跟蹤每個請求的響應，并從中提取信息塊信息。

　　響應模式匹配

　　響應模式匹配為應用提供了更全面的保護：它不僅檢查提交至Web服務器的請求，還檢查Web服務器生成的響應。它能極其有效地防止網(wǎng)站受毀損，或者更確切地說，防止已毀損網(wǎng)站被瀏覽。對響應里面的模式進行匹配相當于在請求端對URL進行過濾。響應模式匹配分三個級別。防毀損工作由應用防火墻來進行，它對站點上的靜態(tài)內(nèi)容進行數(shù)字簽名。如果發(fā)現(xiàn)內(nèi)容離開Web服務器后出現(xiàn)了改動，防火墻就會用原始內(nèi)容取代已毀損頁面。至于對付敏感信息泄露方面，應用防火墻會監(jiān)控響應，尋找可能表明服務器有問題的模式，譬如一長串Java異常符。如果發(fā)現(xiàn)這類模式，防火墻就會把它們從響應當中剔除，或者干脆封阻響應。

采用“停走”字（‘stop and go’word）的方案會尋找必須出現(xiàn)或不得出現(xiàn)在應用生成的響應里面的預定義通用模式。譬如說，可以要求應用提供的每個頁面都要有版權聲明。

　　行為建模

　　行為建模有時稱為積極的安全模型或“白名單”（white list）安全，它是唯一能夠防御最棘手的應用漏洞——零時間漏洞的保護機制。零時間漏洞是指未寫入文檔或“還不知道”的攻擊。對付這類攻擊的唯一機制就是只允許已知是良好行為的行為，其它行為一律禁止。這項技術要求對應用行為進行建模，這反過來就要求全面分析提交至應用的每個請求的每次響應，目的在于識別頁面上的行為元素，譬如表單域、按鈕和超文本鏈接。這種級別的分析可以發(fā)現(xiàn)惡意表單域及隱藏表單域操縱類型的漏洞，同時對允許用戶訪問的URL實行極其嚴格的監(jiān)控。行為建模是唯一能夠有效對付全部16種應用漏洞的技術。行為建模是一種很好的概念，但其功效往往受到自身嚴格性的限制。

　　某些情況譬如大量使用JavaScript或者應用故意偏離行為模型都會導致行為建模犯錯，從而引發(fā)誤報，拒絕合理用戶訪問應用。行為建模要發(fā)揮作用，就需要一定程度的人為干預，以提高安全模型的準確性。行為自動預測又叫規(guī)則自動生成或應用學習，嚴格說來不是流量檢測技術，而是一種元檢測（meta-inspection）技術，它能夠分析流量、建立行為模型，并且借助于各種關聯(lián)技術生成應用于行為模型的一套規(guī)則，以提高精確度。行為建模的優(yōu)點在于短時間學習應用之后能夠自動配置。保護端口80是安全人員面臨的最重大也是最重要的挑戰(zhàn)之一。所幸的是，如今已出現(xiàn)了解決這一問題的創(chuàng)新方案，而且在不斷完善。如果在分層安全基礎設施里面集成了能夠封阻16類應用漏洞的應用防火墻，你就可以解決應用安全這一難題。

隨著核心應用業(yè)務逐漸網(wǎng)絡化，網(wǎng)絡安全成為企業(yè)網(wǎng)絡管理人員最急需解決的問題，“系統(tǒng)入侵”目前是威脅企業(yè)網(wǎng)絡信息安全的首要元兇，系統(tǒng)漏洞屢被攻擊，病毒在網(wǎng)絡泛濫，主動防御和應用安全的壓力日益增大，我們需要一個能夠?qū)崟r有效的安全防護系統(tǒng)。

安全防護系統(tǒng)是一個多層次的保護機制，它既包括企業(yè)的安全策略，又包括防火墻、防病毒、入侵防護等多種產(chǎn)品的解決方案。傳統(tǒng)的，我們會僅用防火墻或防毒墻來反擊，但因為他們主要是防御直接的可疑流量，面對黑客攻擊水平的不斷提高，及內(nèi)部因計算機操作而存在的安全隱患等混合威脅的不斷發(fā)展，這種單一的防護措施已經(jīng)顯得力不從心。

IDS入侵檢測系統(tǒng)一直以來充當了安全防護系統(tǒng)的重要角色，IDS技術是通過從網(wǎng)絡上得到數(shù)據(jù)包進行分析，從而檢測和識別出系統(tǒng)中的未授權或異?，F(xiàn)象。IDS注重的是網(wǎng)絡監(jiān)控、審核跟蹤，告知網(wǎng)絡是否安全，發(fā)現(xiàn)異常行為時，自身不作為，而是通過與防火墻等安全設備聯(lián)動的方式進行防護。IDS目前是一種受到企業(yè)歡迎的解決方案，但其目前存在以下幾個顯著缺陷：一是網(wǎng)絡缺陷（用交換機代替可共享監(jiān)聽的HUB使IDS的網(wǎng)絡監(jiān)聽帶來麻煩，并且在復雜的網(wǎng)絡下精心的發(fā)包也可以繞過IDS的監(jiān)聽）；二是誤報量大（只要一開機，報警不停）；三是自身防攻擊能力差等缺陷，所以，IDS還是不足完成網(wǎng)絡安全防護的重任。

IDS的缺陷，成就了IPS的發(fā)展，IPS技術能夠?qū)W(wǎng)絡進行多層、深層、主動的防護以有效保證企業(yè)網(wǎng)絡安全，IPS的出現(xiàn)可謂是企業(yè)網(wǎng)絡安全的革命性創(chuàng)新。簡單地理解，IPS等于防火墻加上入侵檢測系統(tǒng)，但并不代表IPS可以替代防火墻或IDS。防火墻在基于TCP/IP協(xié)議的過濾方面表現(xiàn)非常出色，IDS提供的全面審計資料對于攻擊還原、入侵取證、異常事件識別、網(wǎng)絡故障排除等等都有很重要的作用。

下面，我們來分析一下市場上主流的IPS生產(chǎn)廠商，看看他們在設計IPS產(chǎn)品時，是如何有效實現(xiàn)IPS的主動入侵防護功能的。

從安全廠商來看，國外品牌McAfee、ISS、Juniper、Symantec、華為3Com，國內(nèi)品牌如冰峰網(wǎng)絡、綠盟科技等眾多廠商都有多款百兆和千兆的IPS產(chǎn)品，國產(chǎn)品牌（如冰峰網(wǎng)絡）的千兆IPS產(chǎn)品的性能相對過去，更是有了長足的發(fā)展，對大流量網(wǎng)絡的適應能力明顯增強。從對這些主流IPS 產(chǎn)品的評測來看，一個穩(wěn)定高效的IPS產(chǎn)品，需要具備以下幾個方面的能力：

檢測機制：由于需要具備主動阻斷能力，檢測準確程度的高低對于IPS來說十分關鍵。IPS廠商綜合使用多種檢測機制來提高IPS的檢測準確性。據(jù)Juniper 的工程師介紹，Juniper產(chǎn)品中使用包括狀態(tài)簽名、協(xié)議異常、后門檢測、流量異常、混合式攻擊檢測在內(nèi)的“多重檢測技術”，以提高檢測和阻斷的準確程度。McAfee 公司則在自己的實驗室里加強了對溢出型漏洞的研究和跟蹤，把針對溢出型攻擊的相應防范手段推送到IPS 設備的策略庫中。國內(nèi)品牌冰峰網(wǎng)絡在IPS設備中采用了漏洞阻截技術，通過研究漏洞特征，將其加入到過濾規(guī)則中，IPS就可以發(fā)現(xiàn)符合漏洞特征的所有攻擊流量，在沖擊波及其變種大規(guī)模爆發(fā)時，直接將其阻斷，從而贏得打補丁的關鍵時間。

弱點分析：IPS產(chǎn)品的發(fā)展前景取決于攻擊阻截功能的完善。引入弱點分析技術是IPS完善攻擊阻截能力的更要依據(jù)，IPS廠商通過分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征，使IPS 能夠主動保護脆弱系統(tǒng)。由于軟件漏洞是不法分子的主要攻擊目標，所以幾乎所有IPS廠商都在加強系統(tǒng)脆弱性的研究。ISS、賽門鐵克分別設立了漏洞分析機構。McAfee也于日前收購了從事漏洞研究的 Foundstone公司，致力于把漏洞分析技術與入侵防護技術結合起來，Juniper設有一個專門的安全小組，密切關注新的系統(tǒng)弱點和蠕蟲，國內(nèi)的IPS廠商，如綠盟科技、冰峰網(wǎng)絡等，雖然沒有自己獨立的弱點分析機構，但也在嚴密關注相關權威機構發(fā)布的弱點分析報告，及時更新過濾機制。


應用環(huán)境：IPS 的檢測準確率還依賴于應用環(huán)境。一些流量對于某些用戶來說可能是惡意的，而對于另外的用戶來說就是正常流量，這就需要IPS能夠針對用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段，以提高檢測準確率。McAfee、Juniper、ISS、冰峰網(wǎng)絡等公司同時都在IPS中提供了調(diào)優(yōu)機制，使IPS通過自學習提高檢測的準確性。

全面兼容：所有的用戶都希望用相對少的投入，建設一個最安全、最易管理的網(wǎng)絡環(huán)境。IPS如若需達到全面防護工作，則還要把其它網(wǎng)絡管理功能集成起來，如網(wǎng)絡管理、負載均衡、日志管理等，各自分工，但緊密協(xié)作。

通過網(wǎng)絡在線殺毒；重啟系統(tǒng)到帶網(wǎng)絡連接的安全模式，升級殺毒軟件后殺毒；通過手動修改注冊表殺毒……一時間，殺毒廠商的專家們針對“熊貓燒香”病毒，提供了眾多的查殺辦法?，?

很難想象一只可愛的小熊貓點燃著三根香竟然是一種病毒的圖標，可是互聯(lián)網(wǎng)就是這樣讓人意想不到，什么事情都可能發(fā)生。受前段時間臺灣地區(qū)地震引發(fā)斷網(wǎng)事件的影響，一些國外殺毒產(chǎn)品的病毒庫無法更新，導致使用國外殺毒產(chǎn)品的用戶無法對新出病毒做到有效防范，“熊貓燒香”病毒乘虛進入，國內(nèi)網(wǎng)民苦不堪言。

“熊貓燒香”病毒傳播迅速

小張是個忠實的網(wǎng)民，每天他都會借助網(wǎng)絡瀏覽新聞。前幾天，小張照常打開他熟悉的一個網(wǎng)站鏈接，順著路徑進入了一個頁面，網(wǎng)站自動給他下載了一個程序，頁面上一個熊貓點燃三根香的圖標引起了小張的注意，好奇心驅(qū)使小張雙擊了鼠標，接下來小張的機器上所有的網(wǎng)頁文件尾部都添加了熊貓燒香圖標（.exe）代碼，大量的應用軟件無法使用，機器不斷重啟。后來，小張才知道自己的機器染上了“熊貓燒香”病毒，由于沒有專門的查殺工具，小張的機器徹底癱瘓了。

“熊貓燒香”的病毒不止在小張的電腦上發(fā)作，他的許多同事都遭遇了相同情況。據(jù)悉，目前多家網(wǎng)站均遭到“熊貓燒香”的攻擊，相繼被植入病毒。同時，由于這些網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒傳播迅速。據(jù)了解，目前該病毒已經(jīng)把矛頭對準了企業(yè)和政府網(wǎng)站，相關資料顯示，中毒的企業(yè)和政府網(wǎng)站已經(jīng)超過千家，其中不乏金融、稅務、能源等關系到國計民生的重要部門。

瑞星公司殺毒專家王占濤表示，“熊貓燒香”其實是“尼姆亞”病毒的新變種，最早出現(xiàn)在2006年11月，到目前為止已經(jīng)有數(shù)十個不同變種。該病毒的問題原本在2006年12月通過眾多殺毒公司提供的殺毒軟件升級已經(jīng)解決，但由于“熊貓燒香”是一系列病毒的統(tǒng)稱，其生命力驚人，經(jīng)過一段時間仍然沒有死絕，很多用戶“中病毒”以后用殺毒軟件根本殺不死它，只能忍痛刪除硬盤里所有的程序文件。

“除了通過網(wǎng)站帶毒感染用戶之外，此病毒還會在局域網(wǎng)中傳播，在極短時間之內(nèi)就可以感染幾千臺計算機，嚴重時可以導致網(wǎng)絡癱瘓。中毒電腦會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象?！蓖跽紳榻B說。

眾廠商提供解決方案

針對“熊貓燒香”病毒危害網(wǎng)絡安全的現(xiàn)象，國內(nèi)眾多殺毒廠商紛紛推出最新的解決方案查殺該病毒。

“要殺掉病毒，專殺工具是最好的辦法。”金山公司信息安全事業(yè)部技術工程師李鐵軍表示，他們已經(jīng)研制出最新的專殺工具，能處理已知變種，并具備免疫功能，只要用戶使用了該公司的殺毒軟件，就能對“熊貓燒香”病毒起到免疫功能。王占濤表示，專殺工具針對性強，效果最明顯，殺毒率在99%以上。

“江民公司也在第一時間推出了專殺工具，該病毒數(shù)據(jù)已被我們掌握了，推出專殺工具能起到很好的作用?！苯窆疽晃恍諒埖膶＜冶硎?。

“通過網(wǎng)絡在線殺毒可以收到奇效；重啟系統(tǒng)到帶網(wǎng)絡連接的安全模式下，升級殺毒軟件后可以殺毒；通過手動修改注冊表也可以殺毒?！币粫r間，殺毒廠商的專家們給記者介紹了許多查殺該病毒的辦法。

王占濤說，“熊貓燒香”病毒與其他病毒的差別就在于傳播方式不同，殺毒公司有信心面對這樣的考驗。

“最重要的還是要安裝殺毒軟件，并在上網(wǎng)時打開網(wǎng)頁實時監(jiān)控病毒，同時不要進入一些陌生的網(wǎng)站，不要下載一些不明文件，這樣就能離病毒遠點。”李鐵軍認為。

專家們認為，病毒其實并不可怕，只要多加防范就能免受其害。

清除病毒
需要全社會一起努力

既然預防病毒的侵害比殺毒更為重要，殺毒廠商殺毒多年了，推出了那么多種殺毒工具，為什么在網(wǎng)絡上還會不定期的冒出這么多病毒，難道殺毒公司只能這樣被動殺毒嗎？

“這就跟警察抓賊一樣，只有賊實施了犯罪行為，偷了東西，警察才能去抓他?！蓖跽紳硎荆鋵崥⒍緩S商也很無奈，他們不可能搶先去制止毒源，只能等到“毒發(fā)”時才能去“醫(yī)治”。

“但這并不是說我們就沒辦法，每種病毒爆發(fā)都有它的潛伏期，在潛伏期我們就能提前研究對策，等病毒爆發(fā)時我們就能使它的危害性減到最小?！崩铊F軍認為。

“我們已經(jīng)存儲了一個巨大的毒庫，這些毒源總是萬變不離其宗，我們一定會有辦法對付它們。”江民公司的張姓專家顯得信心十足。

一些業(yè)內(nèi)人士認為，找出毒源抓住制造病毒的人才是消滅網(wǎng)絡病毒的根本所在。這需要法律制度的完善，不給那些犯罪分子有機可乘。同時，還需規(guī)范網(wǎng)絡制度，全社會一起營造一個安全、穩(wěn)定的網(wǎng)絡環(huán)境。

“網(wǎng)絡犯罪取證難，國家在這方面的監(jiān)管打擊力度不夠，也是病毒如此囂張的主要原因之一?！崩铊F軍認為，殺毒廠商只能做好查殺病毒的事情，給互聯(lián)網(wǎng)提供一個安全、清潔的環(huán)境，更重要的是有關部門須采取措施保護網(wǎng)絡安全。

最新的調(diào)查報告顯示了反間諜軟件軟件工具的不足，“間諜”仍在網(wǎng)絡上肆無忌憚地活動。但也不必垂頭喪氣，學習并遵循以下的十招辦法，間諜軟件將對你束手無策。
　　有的時候，真理和善良總是受到傷害，我們剛剛在反垃圾資訊中心"郵件上取得了一些進展，然而，間諜軟件卻又將填補這項空白。未來幾年里，你將不得不耗費寶貴的時間，在工作中、在家里與間諜軟件作斗爭。
　　雖然市面上有數(shù)十種新的反間諜軟件工具供我們使用，而且這些資訊中心"程序確實很有幫助，但是，運行反間諜軟件實用程序只是解決方案的一部分，還有很多其他事情需要你做，請按照我們提供的10個步驟指南開始行動吧。
　　1.了解你的敵人
　　如果天真地把間諜軟件定義為Web網(wǎng)站留下來的小cookie文件的話，那么你的挫折將永無止境。所有類型的變臉軟件(Scumware)都將為你帶來不幸，主要的四大類型是：
　　間諜軟件（Spyware）是一種可以秘密地收集有關你計算機信息的軟件，并可能向未知網(wǎng)站發(fā)送數(shù)據(jù)，包括“鍵盤記錄軟件”或“按鍵捕獲寄生蟲”(不要與“惡意軟件(malware)”混淆，惡意軟件包括病毒、蠕蟲和特洛伊木馬程序)。
　　廣告軟件（Adware）：一種可以隨機或者根據(jù)當前瀏覽器內(nèi)容彈出廣告和條幅的軟件。
　　劫持軟件(Hijackers)：可以改變?yōu)g覽器主頁、缺省搜索引擎，甚至改變你的方向，使你無法到達你想到達的網(wǎng)站。
　　小甜餅文件(Cookies)：可以跟蹤Web網(wǎng)站參數(shù)選擇和口令的小型文件。軟件可以在用戶不知道的情況下收集和擴散該信息。
　　以上四種類型中，廣告軟件最討厭，而劫持軟件和間諜軟件卻是危害最大的。
　　2.退出InternetExplorer
　　我們無法指控資訊中心微軟公司犯下了生成間諜軟件的罪行。但是，Windows的設計，而且尤其是InternetExplorer卻肯定使微軟公司成了“間諜”的“同謀”。我們鼓勵用戶轉(zhuǎn)向其他產(chǎn)品，例如Firefox或者Opera，兩者均缺省設置封鎖彈出文字。Firefox是免費的且已很普及，Opera則需要花幾美元。
　　需要證據(jù)來證明InternetExplorer存在著問題？在筆者運行WindowsXPHome的主要測試PC上，使用InternetExplorer和OutlookExpress，結果發(fā)現(xiàn)了739個間諜軟件。
　　而在筆者的個人PC上，運行Firefox和Mozilla公司的Thunderbird電子郵件應用，結果才發(fā)現(xiàn)了11個間諜軟件范例。而且，這11個間諜軟件均是在筆者不得不使用InternetExplorer進入某些Web網(wǎng)站的時候，偷偷溜進這臺PC的。
　　然而，不幸的是，有些網(wǎng)站卻需要InternetExplorer，而那些與微軟公司的Outlook電子郵件客戶端有密切聯(lián)系的用戶也必須使用它。不過，還是有辦法可以把感染InternetExplorer間諜軟件的速度降下來。首先，禁止微軟ActiveX支持。在InternetExplorer里，點擊Tools→InternetOptions→Security→CustomLevel，然后，點擊迫使ActiveX控制在運行之前請求允許的檢查框。

MM的QQ密碼又被盜了，朋友一百萬兩銀子又被竊了……面對防不勝防的木馬，作為普通用戶而言，如何防范、如何應對、如何將損失降在最低呢?當然，首先最要緊的是扎緊籬笆——及時為操作系統(tǒng)打上補??；拒木馬于千里之外——不隨便下載和運行不明來源的程序，這些在前幾期的文章中已有詳述。我們今天談一下，如果第一道防線被攻破，木馬已經(jīng)進駐電腦，那么應該如何識別，并且不讓它得逞呢?

一、不給權限，餓死木馬

在Windows 2000/XP/2003等系統(tǒng)中，用戶可以加入Administrators、Power Users、Users等不同權限的組，分別具有不同級別的操作權限。如果你平時也就上上網(wǎng)看看新聞，打打游戲聊聊天，編寫文字處理幾張圖片，而不需要頻繁地裝卸軟件，那么不妨藏起管理員，使用一個低權限的用戶賬戶。

通過“控制面板→用戶賬戶”，創(chuàng)建一個新的用戶，然后安裝常用的軟件之后，將其加入到受限用戶(Users)組。受限用戶能夠正常運行大部分的程序，但是無法對系統(tǒng)的心臟——系統(tǒng)目錄和注冊表進行寫操作。該操作需要一個前提條件，即C盤應采用NTFS格式。

木馬以及其他惡意軟件有個特殊的愛好：往往喜歡藏身于系統(tǒng)目錄，并且修改注冊表以達到自動加載的目的。而采用這個辦法，很大程度上限制了木馬的滲透。即使木馬已進入硬盤，也不會有權限進行相應的操作，有效地降低了木馬的破壞力，事后在滅殺木馬過程中也不至于破壞系統(tǒng)。

但是有的軟件需要管理員權限賬戶才可以正常運行，或者有時候我們需要安裝一些軟件，目前賬戶權限不夠，怎么辦?切換用戶太麻煩，而且也容易因此給木馬可乘之機。那么，用下面的辦法實現(xiàn)吧!

右鍵點擊程序，選擇“運行方式”，然后選擇合適的賬戶并輸入相應密碼即可。這樣軟件就可以其他賬戶的方式運行，而與當前賬戶無關。雖然比起直接管理員賬戶登錄操作麻煩了點，但是安全上得到了保障，還是值得的。

二、勤查戶口，除不速客

賬戶信息安全之重要性，自然不言而喻。黑客入侵，往往會偷偷在你的系統(tǒng)中建立一個賬戶，或者把普通賬戶提升權限，以達到幕后操縱之目的，而這個往往是普通用戶容易忽略的問題，所以大家要養(yǎng)成一個勤查戶口的習慣。

打開“管理工具→計算機管理→本地用戶和組”，這里枚舉了當前的所有賬戶信息。要看看是不是多了不認識的名字，或者誰偷偷地升級了，這些都需要引起重視。比如臭名昭著的lovgate病毒就會在感染電腦上建立一個名為“l(fā)ee”的賬戶。

但是，有時候突然多出一個不速之客也未必就是“中標”了，比如在安裝Microsoft .Net Framework后，系統(tǒng)會自動建立一個ASP.NET賬戶，這是正常的，大可不必為之擔心。

另外，還要對現(xiàn)有賬戶做好安全工作。如果沒有必要，可以不啟用Guest賬戶；同時應對內(nèi)置的管理員賬戶Administrator加上密碼，并且“改頭換面”，防止入侵者惡意窮舉：通過“管理工具→本地安全策略→本地策略→安全選項→賬戶”對系統(tǒng)管理員賬戶進行重命名操作，將Administrator修改為一個別人不容易猜測到的名字。

三、關緊城門，出入查證

木馬也好，其他惡意程序也好，如果不能和釋放者保持聯(lián)系，也就失去了威力。所以城門就是我們的最后一道防線。

首先是關閉一些危險的端口。打開“管理工具→本地安全策略→IP 安全策略，在本地計算機”，在右側(cè)窗格中右擊鼠標并選擇“創(chuàng)建 IP

安全策略”命令，然后根據(jù)向?qū)б徊揭徊皆O置，分別添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。關閉了這些端口，可以避免入侵者通過這些通道秘密潛入。

其次，安裝一款合適的防火墻。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比較強大。如果嫌這些設置比較復雜，也可以選擇天網(wǎng)、金山毒霸網(wǎng)絡個人防火墻、瑞星個人防火墻等。它們就像把門者，每一個進出者都會被檢查是否有“良民證”：如果確認可靠的就直接放行，如果陌生人想偷偷挾帶情報出逃，對不起，攔下。

四、明察秋毫，逮住“馬跡”

感染木馬或其他惡意程序后，系統(tǒng)不可避免地會出現(xiàn)一些特殊征兆，如果及早發(fā)現(xiàn)并及時處理，可以將損失降到最低點。下面的這些“馬跡”千萬不要放過。

1、密碼被改，金幣被偷。雖然損失已經(jīng)造成，但是亡羊補牢，至少避免更多損失。

2、殺軟被關閉。很多木馬會自動關閉殺毒軟件，如果發(fā)現(xiàn)殺軟防火墻被退出，而且無法啟動，絕對不能忽視，排除系統(tǒng)或者殺軟本身的問題，很有可能就是被木馬或病毒先下手為強了。

3、一閃而過的窗口。打開記事本，或其他軟件的時候，會有隱約的窗口一閃而過，這很有可能就是木馬或病毒已經(jīng)寄生在正常程序上了。

4、奇怪的進程。經(jīng)常用Ctrl+Alt+Del鍵調(diào)出任務管理器進行查看。首先你要熟悉系統(tǒng)的正常進程，如果有陌生進程出現(xiàn)，那就將它一查到底。

5、魚目混珠的文件名或錯位的程序。有些木馬會偽造和正常程序相似的名字，比如“svch0st”等；有些則索性冒名，不過路徑不同，比如出現(xiàn)在Windows目錄下的“rundll32.exe”(正常應該在windows\system32和windows\system32\dllcache下)。

6、自作多情的啟動項目。經(jīng)常使用“msconfig”查看啟動項目，如果有不經(jīng)允許就擅自加載的，不妨查查其身份。

7、綁架瀏覽器。使用hijackthis輔助，把這些綁匪統(tǒng)統(tǒng)請出系統(tǒng)去。

8、運行“netstat”，查看當前網(wǎng)絡的連接情況，是否有偷偷向外報信者。

電話號碼為07588****25的讀者詢問:我的電腦最近中了“熊貓燒香”病毒，我從網(wǎng)上下載了專殺工具進行查殺，但是重復殺了幾次后，軟件還是顯示有十幾個病毒存在，重啟后再殺也沒能解決問題，我該怎么辦？

　　答:目前，“熊貓燒香”病毒肆虐互聯(lián)網(wǎng)，而且變種非常快，其變種病毒已經(jīng)超過了400種。


也就是說，單獨依靠一家殺毒軟件公司的軟件可能還不足以進行完全的查殺，建議你多下載幾種不同的專殺工具進行一下處理。

　　另外，如果你的電腦一直是連接上網(wǎng)的狀態(tài)，而你的防火墻又沒有打開或是沒有升級到最新的版本，也可能重復染上病毒。綜合這幾種可能性，這里建議你先將自己原有的殺毒軟件的防火墻升級到最新的版本，然后下載Windows的最新系統(tǒng)補丁，最后在斷網(wǎng)的情況下利用多種專殺工具進行反復的查殺，應該能夠解決問題。