我們在管理網(wǎng)站文件時(shí)，可以把擴(kuò)展名一樣的文件放在同一個(gè)目錄下，起一個(gè)比較特別名字，例如放pdf文件目錄為the_pdf_file_s，把下面代碼另存為down.asp，他的網(wǎng)上路徑為http://www.xx.com/down.asp，我們就可以用http://www.xx.com/down.asp?FileName=51windows.pdf來下載這個(gè)文件了，而且下載者無法看到這個(gè)文件實(shí)際下載路徑的！在down.asp中我們還可以設(shè)置下載文件是否需要登陸，判斷下載的來源頁是否為外部網(wǎng)站，從而可以做到防止文件被盜鏈。

示例代碼：

以下是引用片段：
以下是引用片段：
<%
From_url = Cstr(Request.ServerVariables("HTTP_REFERER"))
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "非法鏈接！" &#39;防止盜鏈
response.end
end if

if Request.Cookies("Logined")="" then
response.redirect "/login.asp" &#39;需要登陸！
end if
Function GetFileName(longname)&#39;/folder1/folder2/file.asp=>file.asp
while instr(longname,"/")
longname = right(longname,len(longname)-1)
wend
GetFileName = longname
End Function
Dim Stream
Dim Contents
Dim FileName
Dim TrueFileName
Dim FileExt
Const adTypeBinary = 1
FileName = Request.QueryString("FileName")
if FileName = "" Then
Response.Write "無效文件名！"
Response.End
End if
FileExt = Mid(FileName, InStrRev(FileName, ".") + 1)
Sel&#101;ct Case UCase(FileExt)
Case "ASP", "ASA", "ASPX", "ASAX", "MDB"
Response.Write "非法操作！"
Response.End
End Sel&#101;ct
Response.Clear
if lcase(right(FileName,3))="gif" o&#114; lcase(right(FileName,3))="jpg" o&#114; lcase(right(FileName,3))="png" then
Response.ContentType = "image/*" &#39;對圖像文件不出現(xiàn)下載對話框
else
Response.ContentType = "application/ms-download"
end if
Response.AddHeader "content-disposition", "attachment; filename=" & GetFileName(Request.QueryString("FileName"))
Set Stream = server.Cr&#101;ateObject("ADODB.Stream")
Stream.Type = adTypeBinary
Stream.Open
if lcase(right(FileName,3))="pdf" then &#39;設(shè)置pdf類型文件目錄
TrueFileName = "/the_pdf_file_s/"&FileName
end if
if lcase(right(FileName,3))="doc" then &#39;設(shè)置DOC類型文件目錄
TrueFileName = "/my_D_O_C_file/"&FileName
end if
if lcase(right(FileName,3))="gif" o&#114; lcase(right(FileName,3))="jpg" o&#114; lcase(right(FileName,3))="png" then
TrueFileName = "/all_images_/"&FileName &#39;設(shè)置圖像文件目錄
end if
Stream.LoadFromFile Server.MapPath(TrueFileName)
While Not Stream.EOS
Response.BinaryWrite Stream.Read(1024 * 64)
Wend
Stream.Close
Set Stream = Nothing
Response.Flush
Response.End
%>




本地圖片，音樂等ASP防盜鏈代碼(asp)


以下是引用片段：
以下是引用片段：
<%
&#39;定義函數(shù)，用ADODB.Stream讀取二進(jìn)制數(shù)據(jù)
Function ReadBinaryFile(FileName)
Const adTypeBinary = 1
Dim BinaryStream
Set BinaryStream = Cr&#101;ateObject("ADODB.Stream")
BinaryStream.Type = adTypeBinary
BinaryStream.Open
BinaryStream.LoadFromFile FileName
ReadBinaryFile = BinaryStream.Read
End Function

Response.AddHeader "Content-Disposition", "attachment;filename=2.gif"&#39;文件名
Response.ContentType = "image/GIF" ’設(shè)置（1）
response.Binarywrite ReadBinaryFile(server.mappath("2.gif"))&#39;就是你讀取存在本地的文件，防止被
別人知道真實(shí)路徑盜連的。

%>


（1）下面的示例將 ContentType 屬性設(shè)置為其他的常見值。
text/HTML 這個(gè)就不說了
image/GIF gif圖片
image/JPEG jpg圖片
application/x-cdf cdf文檔
application/wma 就是西瓜哪個(gè)音樂類型了
具體可以參照 Web 瀏覽器文檔或當(dāng)前的 HTTP 規(guī)格說明

這樣再利用asp的儲(chǔ)存session，cookies，以及讀取HTTP頭等特殊功能就可以完全真正的實(shí)現(xiàn)防盜連，這里
沒有設(shè)置緩存，如果訪問量巨大，我想設(shè)置下就會(huì)更好吧。


asp下載防盜鏈代碼

第一種:
終于對下載系統(tǒng)做了個(gè)防盜鏈措施，在下載的頁面頭部做了如下代碼，相關(guān)代碼如下：
以下是引用片段：
以下是引用片段：
<%
From_url = Cstr(Request.ServerVariables("HTTP_REFERER"))
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(From_url,8,len(Serv_url)) <> Serv_url and mid(From_url,8,len(Serv_url))<>"ITstudy.cn" and mid(From_url,8,len(Serv_url))<>"www.gc888.cn" then
response.write "您下載的軟件來自IT學(xué)習(xí)網(wǎng)，請直接從主頁下載，謝謝<br>" ’防止盜鏈
response.write "<a href=http://www.gc888.cn>IT學(xué)習(xí)網(wǎng)http://www.gc888.cn</a>" ’防止盜鏈
response.end
end if
%>

第二種:
以下是引用片段：
以下是引用片段：
<%
’定義函數(shù)，用ADODB.Stream讀取二進(jìn)制數(shù)據(jù)
Function ReadBinaryFile(FileName)
Const adTypeBinary = 1
Dim BinaryStream
Set BinaryStream = Cr&#101;ateObject("ADODB.Stream")
BinaryStream.Type = adTypeBinary
BinaryStream.Open
BinaryStream.LoadFromFile FileName
ReadBinaryFile = BinaryStream.Read
End Function

Response.AddHeader "Content-Disposition", "attachment;filename=2.gif"’文件名
Response.ContentType = "image/GIF" ’設(shè)置（1）
response.Binarywrite ReadBinaryFile(server.mappath("2.gif"))’就是你讀取存在本地的文件，防止被
別人知道真實(shí)路徑盜連的。

%>

下面的示例將 ContentType 屬性設(shè)置為其他的常見值。 text/HTML 這個(gè)就不說了
image/GIF gif圖片
image/JPEG jpg圖片
application/x-cdf cdf文檔
application/wma 就是西瓜哪個(gè)音樂類型了
具體可以參照 Web 瀏覽器文檔或當(dāng)前的 HTTP 規(guī)格說明

這樣再利用asp的儲(chǔ)存session，cookies，以及讀取HTTP頭等特殊功能就可以完全真正的實(shí)現(xiàn)防盜連，這里
沒有設(shè)置緩存，如果訪問量巨大，我想設(shè)置下就會(huì)更好吧。





第三種:
最簡單的用Active Server Pages防站外提交表單、跨站提交表單、防盜鏈……

方法：Request.SeverVariables("HTTP_REFERER")
解釋：當(dāng)某人通過鏈接到達(dá)當(dāng)前頁，HTTP_REFERER 就保存了這個(gè)用戶的來源（來路）

舉個(gè)例子，這個(gè)例子很簡單，只是拋磚引玉而已，大家可以增加更多的功能。
如下，只有首先從“ http://www.gc888.cn”登陸才能看到文件內(nèi)容。

源碼：index.asp

以下是引用片段：
以下是引用片段：
<html>
<head><title>最簡單的用asp防盜鏈</title></head>
<body>
<%
Option.Explicit
Response.Buffer=Ture
%>
<%
CheckUrl(http://www.gc888.cn)
%>
<%
Function CheckUrl(url)
Dim Wh&#101;re:Wh&#101;re=Request.SeverVariables("HTTP_REFERER")
If Wh&#101;re=url Then
Call main()
Else
Response.write("很抱歉，您必須從"&url&"訪問才能進(jìn)來！")
End if
End Function
%>
<%
Sub main()
Response.write("這兒是你要顯示的網(wǎng)頁內(nèi)容")
End sub
%>
</body>
</html>


該方法對防止盜鏈文章、站外提交表單、跨站提交表單還比較有效，對于軟件盜鏈比如.rar.zip.exe等倒沒什么作用。
不知各位讀者是否有好的主意，呵呵。

還有一種方法就是用判斷服務(wù)器及上一頁的地址來完成。
以下是引用片段：
以下是引用片段：
<%
dim from, local
from = request.ServerVariables("HTTP_REFERER")
local = request.ServerVariables("SERVER_NAME")
If mid(from, 8, local)<>Len(local) Then
response.write "不要從外部提交數(shù)據(jù)"
else
call main()
end if
sub main()
’你的主體內(nèi)容
end sub
%>

我們在管理網(wǎng)站文件時(shí)，可以把擴(kuò)展名一樣的文件放在同一個(gè)目錄下，起一個(gè)比較特別名字，例如放pdf文件目錄為the_pdf_file_s，把下面代碼另存為down.asp，他的網(wǎng)上路徑為http://www.xx.com/down.asp，我們就可以用http://www.xx.com/down.asp?FileName=51windows.pdf來下載這個(gè)文件了，而且下載者無法看到這個(gè)文件實(shí)際下載路徑的！在down.asp中我們還可以設(shè)置下載文件是否需要登陸，判斷下載的來源頁是否為外部網(wǎng)站，從而可以做到防止文件被盜鏈。

示例代碼：

以下是引用片段：
以下是引用片段：
<%
From_url = Cstr(Request.ServerVariables("HTTP_REFERER"))
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "非法鏈接！" &#39;防止盜鏈
response.end
end if

if Request.Cookies("Logined")="" then
response.redirect "/login.asp" &#39;需要登陸！
end if
Function GetFileName(longname)&#39;/folder1/folder2/file.asp=>file.asp
while instr(longname,"/")
longname = right(longname,len(longname)-1)
wend
GetFileName = longname
End Function
Dim Stream
Dim Contents
Dim FileName
Dim TrueFileName
Dim FileExt
Const adTypeBinary = 1
FileName = Request.QueryString("FileName")
if FileName = "" Then
Response.Write "無效文件名！"
Response.End
End if
FileExt = Mid(FileName, InStrRev(FileName, ".") + 1)
Sel&#101;ct Case UCase(FileExt)
Case "ASP", "ASA", "ASPX", "ASAX", "MDB"
Response.Write "非法操作！"
Response.End
End Sel&#101;ct
Response.Clear
if lcase(right(FileName,3))="gif" o&#114; lcase(right(FileName,3))="jpg" o&#114; lcase(right(FileName,3))="png" then
Response.ContentType = "image/*" &#39;對圖像文件不出現(xiàn)下載對話框
else
Response.ContentType = "application/ms-download"
end if
Response.AddHeader "content-disposition", "attachment; filename=" & GetFileName(Request.QueryString("FileName"))
Set Stream = server.Cr&#101;ateObject("ADODB.Stream")
Stream.Type = adTypeBinary
Stream.Open
if lcase(right(FileName,3))="pdf" then &#39;設(shè)置pdf類型文件目錄
TrueFileName = "/the_pdf_file_s/"&FileName
end if
if lcase(right(FileName,3))="doc" then &#39;設(shè)置DOC類型文件目錄
TrueFileName = "/my_D_O_C_file/"&FileName
end if
if lcase(right(FileName,3))="gif" o&#114; lcase(right(FileName,3))="jpg" o&#114; lcase(right(FileName,3))="png" then
TrueFileName = "/all_images_/"&FileName &#39;設(shè)置圖像文件目錄
end if
Stream.LoadFromFile Server.MapPath(TrueFileName)
While Not Stream.EOS
Response.BinaryWrite Stream.Read(1024 * 64)
Wend
Stream.Close
Set Stream = Nothing
Response.Flush
Response.End
%>




本地圖片，音樂等ASP防盜鏈代碼(asp)


以下是引用片段：
以下是引用片段：
<%
&#39;定義函數(shù)，用ADODB.Stream讀取二進(jìn)制數(shù)據(jù)
Function ReadBinaryFile(FileName)
Const adTypeBinary = 1
Dim BinaryStream
Set BinaryStream = Cr&#101;ateObject("ADODB.Stream")
BinaryStream.Type = adTypeBinary
BinaryStream.Open
BinaryStream.LoadFromFile FileName
ReadBinaryFile = BinaryStream.Read
End Function

Response.AddHeader "Content-Disposition", "attachment;filename=2.gif"&#39;文件名
Response.ContentType = "image/GIF" ’設(shè)置（1）
response.Binarywrite ReadBinaryFile(server.mappath("2.gif"))&#39;就是你讀取存在本地的文件，防止被
別人知道真實(shí)路徑盜連的。

%>


（1）下面的示例將 ContentType 屬性設(shè)置為其他的常見值。
text/HTML 這個(gè)就不說了
image/GIF gif圖片
image/JPEG jpg圖片
application/x-cdf cdf文檔
application/wma 就是西瓜哪個(gè)音樂類型了
具體可以參照 Web 瀏覽器文檔或當(dāng)前的 HTTP 規(guī)格說明

這樣再利用asp的儲(chǔ)存session，cookies，以及讀取HTTP頭等特殊功能就可以完全真正的實(shí)現(xiàn)防盜連，這里
沒有設(shè)置緩存，如果訪問量巨大，我想設(shè)置下就會(huì)更好吧。


asp下載防盜鏈代碼

第一種:
終于對下載系統(tǒng)做了個(gè)防盜鏈措施，在下載的頁面頭部做了如下代碼，相關(guān)代碼如下：
以下是引用片段：
以下是引用片段：
<%
From_url = Cstr(Request.ServerVariables("HTTP_REFERER"))
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(From_url,8,len(Serv_url)) <> Serv_url and mid(From_url,8,len(Serv_url))<>"ITstudy.cn" and mid(From_url,8,len(Serv_url))<>"www.gc888.cn" then
response.write "您下載的軟件來自IT學(xué)習(xí)網(wǎng)，請直接從主頁下載，謝謝<br>" ’防止盜鏈
response.write "<a href=http://www.gc888.cn>IT學(xué)習(xí)網(wǎng)http://www.gc888.cn</a>" ’防止盜鏈
response.end
end if
%>

第二種:
以下是引用片段：
以下是引用片段：
<%
’定義函數(shù)，用ADODB.Stream讀取二進(jìn)制數(shù)據(jù)
Function ReadBinaryFile(FileName)
Const adTypeBinary = 1
Dim BinaryStream
Set BinaryStream = Cr&#101;ateObject("ADODB.Stream")
BinaryStream.Type = adTypeBinary
BinaryStream.Open
BinaryStream.LoadFromFile FileName
ReadBinaryFile = BinaryStream.Read
End Function

Response.AddHeader "Content-Disposition", "attachment;filename=2.gif"’文件名
Response.ContentType = "image/GIF" ’設(shè)置（1）
response.Binarywrite ReadBinaryFile(server.mappath("2.gif"))’就是你讀取存在本地的文件，防止被
別人知道真實(shí)路徑盜連的。

%>

下面的示例將 ContentType 屬性設(shè)置為其他的常見值。 text/HTML 這個(gè)就不說了
image/GIF gif圖片
image/JPEG jpg圖片
application/x-cdf cdf文檔
application/wma 就是西瓜哪個(gè)音樂類型了
具體可以參照 Web 瀏覽器文檔或當(dāng)前的 HTTP 規(guī)格說明

這樣再利用asp的儲(chǔ)存session，cookies，以及讀取HTTP頭等特殊功能就可以完全真正的實(shí)現(xiàn)防盜連，這里
沒有設(shè)置緩存，如果訪問量巨大，我想設(shè)置下就會(huì)更好吧。





第三種:
最簡單的用Active Server Pages防站外提交表單、跨站提交表單、防盜鏈……

方法：Request.SeverVariables("HTTP_REFERER")
解釋：當(dāng)某人通過鏈接到達(dá)當(dāng)前頁，HTTP_REFERER 就保存了這個(gè)用戶的來源（來路）

舉個(gè)例子，這個(gè)例子很簡單，只是拋磚引玉而已，大家可以增加更多的功能。
如下，只有首先從“ http://www.gc888.cn”登陸才能看到文件內(nèi)容。

源碼：index.asp

以下是引用片段：
以下是引用片段：
<html>
<head><title>最簡單的用asp防盜鏈</title></head>
<body>
<%
Option.Explicit
Response.Buffer=Ture
%>
<%
CheckUrl(http://www.gc888.cn)
%>
<%
Function CheckUrl(url)
Dim Wh&#101;re:Wh&#101;re=Request.SeverVariables("HTTP_REFERER")
If Wh&#101;re=url Then
Call main()
Else
Response.write("很抱歉，您必須從"&url&"訪問才能進(jìn)來！")
End if
End Function
%>
<%
Sub main()
Response.write("這兒是你要顯示的網(wǎng)頁內(nèi)容")
End sub
%>
</body>
</html>


該方法對防止盜鏈文章、站外提交表單、跨站提交表單還比較有效，對于軟件盜鏈比如.rar.zip.exe等倒沒什么作用。
不知各位讀者是否有好的主意，呵呵。

還有一種方法就是用判斷服務(wù)器及上一頁的地址來完成。
以下是引用片段：
以下是引用片段：
<%
dim from, local
from = request.ServerVariables("HTTP_REFERER")
local = request.ServerVariables("SERVER_NAME")
If mid(from, 8, local)<>Len(local) Then
response.write "不要從外部提交數(shù)據(jù)"
else
call main()
end if
sub main()
’你的主體內(nèi)容
end sub
%>

特洛伊木馬原理

BO(Back o&#114;iffice)象是一種沒有任何權(quán)限限制的FTP服務(wù)器程序，黑客先使用各種方法誘惑他人使用BO的服務(wù)器端程序，一旦得逞便可通過BO客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并控制遠(yuǎn)程的Windows的微機(jī)。

其工作原理：Boserve.exe在對方的電腦中運(yùn)行后，自動(dòng)在win里注冊并隱藏起來，控制者在對方上網(wǎng)后通過Boconfig.exe(安裝設(shè)置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(圖形界面控制程序)來控制對方。

網(wǎng)上更有一些害人蟲將木馬程序和其他應(yīng)用程序結(jié)合起來發(fā)送給攻擊者，只要對方運(yùn)行了那個(gè)程序，木馬一樣的會(huì)駐留到Windwos系統(tǒng)中。

BO本質(zhì)上屬于客戶機(jī)/服務(wù)器應(yīng)用程序。它通過一個(gè)極其簡單的圖形用戶界面和控制面板，可以對感染了BO（即運(yùn)行了 BO服務(wù)器）的機(jī)器操作Windows本身具備的所有功能。

這個(gè)僅有123K的程序，水平一流，令那些復(fù)雜而龐大的商用遠(yuǎn)程管理 軟件相形見絀。而真正可怕的是：BO沒有利用系統(tǒng)和軟件的任何漏洞或Bug，也沒有利用任何微軟未公開的內(nèi)部API，而完全是利用Windows系統(tǒng)的基本設(shè)計(jì)缺陷。甚至連普通的局域網(wǎng)防火墻和代理服務(wù)器也難以有效抵擋。

BO服務(wù)器可通過網(wǎng)上下載、電子郵件、盜版光盤、人為投放等途徑傳播，并且可極其隱藏地粘貼在其他應(yīng)用程序。一旦激活，就可以自動(dòng)安裝，創(chuàng)建Windll.dll，然后刪除自安裝程序，埋名隱姓，潛伏在機(jī)器中。外人就可通過BO客戶機(jī)程序，方便地搜索到世界上任何一臺(tái)被BO感染并上網(wǎng)的計(jì)算機(jī)IP地址。通過IP地址就可對其輕易實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)控制功能。

可獲取包括網(wǎng)址口令、撥號(hào)上網(wǎng)口令、用戶口令、磁盤、CPU，軟件版本等詳細(xì)的系統(tǒng)信息；可刪除、復(fù)制、檢查、查看文件；可運(yùn)行機(jī)內(nèi)任何一個(gè)程序；可捕捉屏幕信息；可上傳各種文件；可以查閱、創(chuàng)建、刪除和修改系統(tǒng)注冊表；甚至可以使計(jì)算機(jī)重新啟動(dòng)或鎖死機(jī)器。而所有這些功能的實(shí)現(xiàn)，只需在菜單中作一選擇，輕摁一鍵，就可輕松完成。 除了BO外，還有很多原理和它差不多的特洛伊木馬程序，例如：“NetSpy”、“Netbus”等。

防范

不要隨便運(yùn)行不太了解的人給你的程序，特別是后綴名為exe的可執(zhí)行程序。特洛伊木馬程序很多，它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你從Email收到或是DOWN了大小和上述文件一樣的EXE文件，運(yùn)行時(shí)可要小心了。運(yùn)行后如果程序突然消失，或者是無任何反應(yīng)，那你很可能是被攻擊了。這時(shí)候你的電腦就完全被別人所控制，他可以復(fù)制，刪除甚至運(yùn)行你電腦里的文件和程序。這時(shí)你只要到注冊表里去修改一下就可以消滅它：運(yùn)行注冊表找到


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\



下的RunServices和RUN鍵值中的“.EXE”和“NETSPY.EXE”等的鍵值，將其刪除，重新啟動(dòng)你的計(jì)算機(jī)然后刪除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的殺毒軟件，如瑞星90（11），KV300等，你也可以下載一些專門掃除特洛伊木馬的軟件。

如何防范Back o&#114;ifice2000

對于Windows95和Windows98的用戶：

檢查c:\windows\system目錄下是否有UMGR32~1.exe文件，如果有的話請運(yùn)行Regedit將


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices



中UMGT32.exe清除，Reboot你的機(jī)器，然后Del&#101;te你硬盤上的這個(gè)文件。

對于NT的用戶：

檢查winnt\system32目錄下是否有UMGR32~1.exe這個(gè)文件，如果有的話請先在任務(wù)管理器中對應(yīng)的進(jìn)程Kill掉再運(yùn)行Regedit將路徑指向


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service



然后Del&#101;te it，最好Reboot一次你的機(jī)器。

郵件炸彈原理

E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法，一般的電子郵箱的容量在5，6M以下，平時(shí)大家收發(fā)郵件，傳送軟件都會(huì)覺得容量不夠，如果電子郵箱一下子被幾百，幾千甚至上萬封電子郵件所占據(jù)，這是電子郵件的總?cè)萘烤蜁?huì)超過電子郵箱的總?cè)萘浚灾猎斐舌]箱超負(fù)荷而崩潰?！発aboom3”、“upyours4”、“Avalanche v2.8”就是人們常見的幾種郵件炸彈。

防范

⒈不要將自己的郵箱地址到處傳播，特別是申請上網(wǎng)帳號(hào)時(shí)ISP送的電子信箱，那可是要按字節(jié)收費(fèi)的喲！去申請幾個(gè)免費(fèi)信箱對外使用，隨便別人怎么炸，大不了不要了。

⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以選擇“工具”/“收件箱助理”，然后點(diǎn)擊“添加”在屬性窗口可以設(shè)定對各種條件的Email的處理方式。如果我們想讓超過1024KB的郵件直接從服務(wù)器上刪除，根本不下載到計(jì)算機(jī)上，可以在郵件條件框中將“大于”選中，然后輸入1024，接著在“執(zhí)行下列操作”框中選中“從服務(wù)器刪除”就行了。

⒊當(dāng)某人不停炸你信箱時(shí)，你可以先打開一封信，看清對方地址，然后在收件工具的過濾器中選擇不再接收這地址的信，直接從服務(wù)器刪除。

⒋在收信時(shí)，一旦看見郵件列表的數(shù)量超過平時(shí)正常郵件的數(shù)量的若干倍，應(yīng)當(dāng)馬上停止下載郵件，然后再從服務(wù)器刪除炸彈郵件。（要用下面提到的工具）

⒌不要認(rèn)為郵件發(fā)送有個(gè)回復(fù)功能，就可以將發(fā)炸彈的人報(bào)復(fù)回來，那是十分愚蠢的！發(fā)件人有可能是用的假地址發(fā)信，這個(gè)地址也許填得與收件人地址相同。這樣你不但不能回報(bào)對方，還會(huì)使自己的郵箱徹底完結(jié)！

⒍你還可以用一些工具軟件防止郵件炸彈。

端口攻擊原理

這類軟件是利用Window95/NT系統(tǒng)本身的漏洞，這與Windows下微軟網(wǎng)絡(luò)協(xié)議NetBIOS的一個(gè)例外處理程序OOB（Out of Band）有關(guān)。只要對方以O(shè)OB的方式，就可以通過TCP/IP傳遞一個(gè)小小的封包到某個(gè)IP地址的Port139上，該地址的電腦系統(tǒng)即（WINDOWS95/NT）就會(huì)“應(yīng)封包而死”，自動(dòng)重新開機(jī)，你未存檔的所有工作就得重新再做一遍了。

你一定會(huì)問這個(gè)封包到底里面是些什么？會(huì)有如此神奇的效果！這不過是一些很小的ICMP（Internet Control Message Protocolata）碎片，當(dāng)你機(jī)器收到這份“禮物”時(shí)，你的系統(tǒng)會(huì)不停地試圖把碎片恢復(fù)，當(dāng)然這是不可能的，它怎么會(huì)這樣便宜你了！于是你的電腦系統(tǒng)就這樣速度越來越慢直至完全死機(jī)！而你就只有重新啟動(dòng)。

其實(shí)，并不只是Port139會(huì)出現(xiàn)問題，只要是使用OOB的開放接受端，都有可能出現(xiàn)癥狀不一的“電腦狂亂”情形。例如，Identel所用的Port113，據(jù)說收到同樣的封包也會(huì)出問題。常見的端口攻擊器有“uKe23”、“voob”、WINNUKE2”。如果你還是用的Windows95，那您就要當(dāng)心了。

防范

將你的Windows95馬上升級(jí)到Windows98，首先修正Win95的BUG，在微軟主頁的附件中有對于Win95和OSR2以前的版本的補(bǔ)丁程序，Win98不需要。然后學(xué)會(huì)隱藏自己的IP，包括將ICQ中"IP隱藏"打開，注意避免在會(huì)顯示IP的BBS和聊天室上暴露真實(shí)身份，特別在去黑客站點(diǎn)訪問時(shí)最好先運(yùn)行隱藏IP的程序。

JAVA炸彈原理

很多網(wǎng)友在聊天室中被炸了以后，就以為是被別人黑了，其實(shí)不是的。炸彈有很多種，有的是造成電腦直接死機(jī)，有的是通過HTML語言，讓你的瀏覽器吃完你的系統(tǒng)資源，然后你就死機(jī)了。 這里我就告訴大家?guī)讉€(gè)java炸彈的原理：

第一個(gè)炸彈是javascript類型的炸彈：


<img src="javascript:n=1;do{window.open(&#39;&#39;)}while(n==1)"
width="1">


這個(gè)Javascript語言要求瀏覽在新窗口中再打開本頁。新的頁面被打開以后就會(huì)同樣提出要求，于是瀏覽器不停地打開新窗口，沒幾秒鐘你就死機(jī)了。就算是不死機(jī)，你也必須把瀏覽器中內(nèi)存中驅(qū)除出去，這樣，你就被踢出了網(wǎng)絡(luò)。

下面分析一下這個(gè)HTML語言的原理。 分析 "javascript:n=1;do{window.open(&#39;&#39;)}while(n==1)" ，javascript 是定義運(yùn)行此語言，n=1 是定義變量 n 等于1， do{ }while(n==1) 指當(dāng) n 等于1，的時(shí)候運(yùn)行{ }中間的命令，window.open(&#39;&#39;) 指打開本窗口，整個(gè)語言的意思是，變量 n 賦值為1，如果 n 等于1，那么就打開一個(gè)窗口，而 n 永遠(yuǎn)等于1，就不停地打開新的窗口。

同樣道理，也可以利用無限循環(huán)的原理看看其他的炸彈。前面的文章中提到了 alert ("歡迎辭") 是用來致歡迎辭的，你可以在網(wǎng)頁中加入以下的Javascript 語言：


<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿，你死定
了！");}while(n==1)</SCRIPT>


下面介紹一個(gè)1999年5月才出爐的java炸彈，威力比上兩種都強(qiáng)，大家務(wù)必要當(dāng)心。 我們就不在這里提供效果了！


<HTML>
<BODY>
<SCRIPT>
var color = new Array;
color = "black";
color = "white";
for(x = 0; x <3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}
</SCRIPT>
</BODY>
</HTML>


防范

唯一的防范方法就是你在聊天室聊天時(shí)，特別是支持HTML的聊天室（比如湛江，新疆等）請你一定記住關(guān)掉你瀏覽器里的java功能，還要記住不要瀏覽一些來路不明的網(wǎng)站和不要在聊天室里按其他網(wǎng)友發(fā)出的超級(jí)鏈接，這樣可以避免遭到惡作劇者的攻擊。

本文以ms07-004為例子，探討了此類漏洞的通用方法，恢復(fù)ie方法，以及heap spray的技術(shù)。
拋磚引玉！

by axis
Date: 2007-02-13
Email: axis_at_ph4nt0m.org

MS07-004出來也有段時(shí)間了，我之前寫過一個(gè)分析的paper，并且針對此發(fā)布了一個(gè)POC。

事實(shí)上，因?yàn)槲覀兛梢钥刂浦赶騼?nèi)存中的地址為0x00xxxxxx，除了第一個(gè)字節(jié)是00無法控制外，后面三個(gè)字節(jié)都是可以控制的，這樣其實(shí)我們就有了一個(gè)很大范圍的選擇。

很多人為了通用而頭疼，這里我針對這個(gè)exp給出一個(gè)通用地址。

因?yàn)檫@個(gè)漏洞比較特殊，所以可能這個(gè)地址只能適用于這一個(gè)地址。

0x00420001

00420000 00 00 00 00 00 00 00 00 00 00 01 00 48 1B DD BB ...........H莼
00420010 00 00 00 00 0C 00 01 00 C8 9A F2 E1 08 EA A4 E1 .......葰蜥轆

注意0x00420011的地方是0c

而在漏洞中利用的指針是 call [ecx+10h]

所以覆蓋的地址需要減去10h

而這個(gè)0x00420011的地址，是和ie有關(guān)的，在目前所有的windows平臺(tái)，不論語言和版本，以及所有的ie版本中，都是固定不變的為0c

所以我們利用了這個(gè)地址，就變成了call 0x00420011

就跑去0x0c000000去執(zhí)行代碼去了

而這個(gè)時(shí)候，堆里已經(jīng)被我們heap spray過了，所以代碼就會(huì)一直執(zhí)行到我們的shellcode去。

這里選用0c的好處是因?yàn)殡p字節(jié)指令，非常方便用來做heap spray。

其實(shí)這類ie漏洞，主要的問題有幾個(gè)

1.通用性 （上面已經(jīng)解決了）

2.穩(wěn)定性 (觸發(fā)漏洞概率) ms07-004這個(gè)的穩(wěn)定性我覺得還是不錯(cuò)的

3.不掛ie
關(guān)于這點(diǎn)可能要詳細(xì)說一下, 之前以為只要單純的恢復(fù)棧平衡就可以了，事實(shí)上恢復(fù)了棧平衡是沒用的，因?yàn)檫@是個(gè)堆溢出，覆蓋了堆內(nèi)的指針，而堆已經(jīng)被我們破壞干凈了，所以后面總會(huì)在某個(gè)dll里出錯(cuò)。而棧本來就是平衡的，也不需要恢復(fù)。

所以這類漏洞，要達(dá)到不掛ie的效果（我說的是不掛ie，不是讓ie僵死），就需要恢復(fù)堆。與牛人討論后，得到兩種方法：一個(gè)是hook RtlCr&#101;ateHeap, hook RtlAllocHeap 重新分配個(gè)堆；另一個(gè)方法是：hook RtlFreeHeap不讓掛掉就可以了?；蛘叽蠹疫€有什么別的好方法，歡迎補(bǔ)充。

4.健壯性
由于是堆溢出，所以對于訪問了多網(wǎng)頁，內(nèi)存中0x0c0c0c0c處已經(jīng)被別的東西占用了，所以運(yùn)行不到shellcode去，也是這個(gè)漏洞為什么不好的原因。

這個(gè)問題屬于這類漏洞的先天缺陷。swan曾經(jīng)提出用內(nèi)存空洞的辦法把堆地址推到內(nèi)存高位去，可是我試過發(fā)現(xiàn)行不通。luoluo提出來用java分配內(nèi)存，做heap spray。這個(gè)是個(gè)可行的方法，并且也已經(jīng)poc實(shí)現(xiàn)了，分配的內(nèi)存在0x21xxxxxx附近，而0x24這個(gè)指令又非常好，可以做heap spray。

ms07-004除了最后一點(diǎn)多網(wǎng)頁的我問題沒解決，其他都已經(jīng)解決了，包括bypass firewall。poc代碼不方便給出來，本文就到此為止。

幾乎每個(gè)用電腦的人都遇到過計(jì)算機(jī)病毒，也使用過殺毒軟件。但是，對病毒和殺毒軟件的認(rèn)識(shí)許多人還存在誤區(qū)。殺毒軟件不是萬能的，但也絕不是廢物。撰寫此文的目的就是讓更多的人能夠?qū)⒍拒浖姓_的認(rèn)識(shí)，更合理地使用殺毒軟件。

　　誤區(qū)一：好的殺毒軟件可以查殺所有的病毒

　　許多人認(rèn)為殺毒軟件可以查殺所有的已知和未知病毒，這是不正確的。對于一個(gè)病毒，殺毒軟件廠商首先要先將其截獲，然后進(jìn)行分析，提取病毒特征，測試，然后升級(jí)給用戶使用。

　　雖然，目前許多殺毒軟件廠商都在不斷努力查殺未知病毒，有些廠商甚至宣稱可以100%殺未知病毒。不幸的是，經(jīng)過專家論證這是不可能的。殺毒軟件廠商只能盡可能地去發(fā)現(xiàn)更多的未知病毒，但還遠(yuǎn)遠(yuǎn)達(dá)不到100%的標(biāo)準(zhǔn)。

　　甚至，至于一些已知病毒，比如覆蓋型病毒。由于病毒本身就將原有的系統(tǒng)文件覆蓋了。因此，即使殺毒軟件將病毒殺死也不能恢復(fù)操作系統(tǒng)的正常運(yùn)行。

　　誤區(qū)二：殺毒軟件是專門查殺病毒的，木馬專殺才是專門殺木馬的

　　計(jì)算機(jī)病毒在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。隨著信息安全技術(shù)的不斷發(fā)展，病毒的定義已經(jīng)被擴(kuò)大化。

　　隨著技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒的定義已經(jīng)被廣義化，它大致包含：引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本、惡意程序、鍵盤記錄器、黑客工具等等。

　　可以看出木馬是病毒的一個(gè)子集，殺毒軟件完全可以將其查殺。從殺毒軟件角度講，清除木馬和清除蠕蟲沒有配制的區(qū)別，甚至查殺木馬比清除文件型病毒更簡單。因此，沒有必要單獨(dú)安裝木馬查殺軟件。

　　誤區(qū)三：我的機(jī)器沒重要數(shù)據(jù)，有病毒重裝系統(tǒng)，不用殺毒軟件

　　許多電腦用戶，特別是一些網(wǎng)絡(luò)游戲玩家，認(rèn)為自己的計(jì)算機(jī)上沒有重要的文件。計(jì)算機(jī)感染病毒，直接格式化重新安裝操作系統(tǒng)就萬事大吉，不用安裝殺毒軟件。這種觀點(diǎn)是不正確的。

　　幾年前，病毒編寫者撰寫病毒主要是為了尋找樂趣或是證明自己。這些病毒往往采用高超的編寫技術(shù)，有著明顯的發(fā)作特征（比如某月某日發(fā)作，刪除所有文件等等）。

　　但是，近幾年的病毒已經(jīng)發(fā)生了巨大的變化，病毒編寫者以獲取經(jīng)濟(jì)利益為目的。病毒沒有明顯的特征，不會(huì)刪除用戶計(jì)算機(jī)上的數(shù)據(jù)。但是，它們會(huì)在后臺(tái)悄悄運(yùn)行，盜取游戲玩家的賬號(hào)信息、QQ密碼甚至是銀行卡的賬號(hào)。由于這些病毒可以直接給用戶帶來經(jīng)濟(jì)損失。對于個(gè)人用戶來說，它的危害性比傳統(tǒng)的病毒更大。

　　對于此種病毒，往往發(fā)現(xiàn)感染病毒時(shí)，用戶的賬號(hào)信息就已經(jīng)被盜用。即使格式化計(jì)算機(jī)重新安裝系統(tǒng)，被盜的賬號(hào)也找不回來了。誤區(qū)四：查毒速度快的殺毒軟件才好

　　不少人都認(rèn)為，查毒速度快的殺毒軟件才是最好的。甚至不少媒體進(jìn)行殺毒軟件評測時(shí)都將查殺速度作為重要指標(biāo)之一。不可否認(rèn)，目前各個(gè)殺毒軟件廠商都在不斷努力改進(jìn)殺毒軟件引擎，以達(dá)到更高的查殺速度。但僅僅以查毒速度快慢來評價(jià)殺毒軟件的好壞是片面的。

　　殺毒軟件查毒速度的快慢主要與引擎和病毒特征有關(guān)。舉個(gè)例子，一款殺毒軟件可以查殺10萬個(gè)病毒，另一款殺毒軟件只能查殺100個(gè)病毒。殺毒軟件查毒時(shí)需要對每一條記錄進(jìn)行匹配，因此查殺100個(gè)病毒的殺毒軟件速度肯定會(huì)更快些。

　　一個(gè)好的殺毒軟件引擎需要對文件進(jìn)行分析、脫殼甚至虛擬執(zhí)行，這些操作都需要耗費(fèi)一定的時(shí)間。而有些殺毒軟件的引擎比較簡單，對文件不做過多的分析，只進(jìn)行特征匹配。這種殺毒軟件的查毒速度也很快，但它卻有可能會(huì)漏查比較多的病毒。

　　由此可見，雖然提高殺毒速度是各個(gè)廠商不斷努力奮斗的目標(biāo)，但僅從查毒速度快慢來衡量殺毒軟件好壞是不科學(xué)的。

　　誤區(qū)五：殺毒軟件不管正版盜版，隨便裝一個(gè)能用的就行

　　目前，有很多人機(jī)器上安裝著盜版的殺毒軟件，他們認(rèn)為只要裝上殺毒軟件就萬無一失了，這種觀點(diǎn)是不正確的。殺毒軟件與其他軟件不太一樣，殺毒軟件需要經(jīng)常不斷升級(jí)才能夠查殺最新最流行的病毒。

　　此外，大多數(shù)盜版殺毒軟件都在破解過程中或多或少地?fù)p壞了一些數(shù)據(jù)，造成某些關(guān)鍵功能無法使用，系統(tǒng)不穩(wěn)定或殺毒軟件對某些病毒漏查漏殺等等。更有一些居心不良的破解者，直接在破解的殺毒軟件中捆綁了病毒、木馬或者后門程序等，給用戶帶來不必要的麻煩。

　　殺毒軟件買的是服務(wù)，只要正版的殺毒軟件，才能得到持續(xù)不斷的升級(jí)和售后服務(wù)。同時(shí)，如果盜版軟件用戶真的遇到無法解決的問題也不能享受和正版軟件用戶一樣的售后服務(wù)，使用盜版軟件看似占了便宜，實(shí)際得不償失。

　　誤區(qū)六：根據(jù)任務(wù)管理器中的內(nèi)存占用判斷殺毒軟件的資源占用

　　很多人，包括一些媒體進(jìn)行殺毒軟件評測，都用Windows自帶的任務(wù)管理器來查看殺毒軟件的內(nèi)存占用，進(jìn)而判斷一款殺毒軟件的資源占用情況，這是值得商榷的。

　　不同殺毒軟件的功能不盡相同，比如一款優(yōu)秀的殺毒軟件有注冊表、漏洞攻擊、郵件發(fā)送、接收、網(wǎng)頁、引導(dǎo)區(qū)、內(nèi)存等監(jiān)控系統(tǒng)。比起只有文件監(jiān)控的殺毒軟件，內(nèi)存占用肯定會(huì)更多，但卻提供了更全面的安全防護(hù)。

　　同時(shí)，也有一小部分殺毒軟件廠商為了對付評測，故意在程序中限定殺毒軟件可占用內(nèi)存數(shù)的大小，使這些數(shù)值看上去很小，一般在100KB甚至幾十KB左右。實(shí)際上，內(nèi)存占用雖然小了，但殺毒軟件卻要頻繁的進(jìn)行硬盤讀寫，反倒降低了軟件的運(yùn)行效率。誤區(qū)七：只要不用軟盤，不亂下東西就不會(huì)中毒

　　目前，計(jì)算機(jī)病毒的傳播有很多途徑。它們可以通過軟盤、U盤、移動(dòng)硬盤、局域網(wǎng)、文件，甚至是系統(tǒng)漏洞等進(jìn)行傳播。一臺(tái)存在漏洞的計(jì)算機(jī)，只要連入互聯(lián)網(wǎng)，即使不做任何操作，都會(huì)被病毒感染。

　　因此，僅僅從使用計(jì)算機(jī)的習(xí)慣上來防范計(jì)算機(jī)病毒難度很大，一定要配合殺毒軟件進(jìn)行整體防護(hù)。

　　誤區(qū)八：殺毒軟件應(yīng)該至少裝三個(gè)才能保障系統(tǒng)安全

　　盡管殺毒軟件的開發(fā)廠商不同，宣稱使用的技術(shù)不同，但他們的實(shí)現(xiàn)原理卻可能是相似或相同的。同時(shí)開啟多個(gè)殺毒軟件的實(shí)時(shí)監(jiān)控程序很可能會(huì)產(chǎn)生沖突，比如多個(gè)病毒防火墻同時(shí)爭搶一個(gè)文件進(jìn)行掃描。安裝有多種殺毒軟件的計(jì)算機(jī)往往運(yùn)行速度緩慢并且很不穩(wěn)定，因此，我們并不推薦一般用戶安裝多個(gè)殺毒軟件，即使真的要同時(shí)安裝，也不要同時(shí)開啟它們的實(shí)時(shí)監(jiān)控程序（病毒防火墻）。

　　誤區(qū)九：殺毒軟件和個(gè)人防火墻裝一個(gè)就行了

　　許多人把殺毒軟件的實(shí)時(shí)監(jiān)控程序認(rèn)為是防火墻，確實(shí)有一些殺毒軟件將實(shí)時(shí)監(jiān)控稱為“病毒防火墻”。實(shí)際上，殺毒軟件的實(shí)時(shí)監(jiān)控程序和個(gè)人防火墻完全是兩個(gè)不同的產(chǎn)品。

　　通俗地說，殺毒軟件是防病毒的軟件，而個(gè)人防火墻是防黑客的軟件，二者功能不同，缺一不可。建議用戶同時(shí)安裝這兩種軟件，對計(jì)算機(jī)進(jìn)行整體防御。

　　誤區(qū)十：專殺工具比殺毒軟件好 有病毒先找專殺

　　不少人都認(rèn)為殺毒軟件廠商推出專殺工具是因?yàn)闅⒍拒浖嬖趩栴}，殺不干凈此類病毒，事實(shí)上并非如此。針對一些具有嚴(yán)重破壞能力的病毒，有及傳播較為迅速的病毒，殺毒軟件廠商會(huì)義務(wù)地推出針對該病毒的免費(fèi)專殺工具，但這并不意味著殺毒軟件本身無法查殺此類病毒。如果你的機(jī)器安裝有殺毒軟件，完全沒有必要再去使用專殺工具。

　　專殺工具只是在用戶的計(jì)算機(jī)上已經(jīng)感染了病毒后進(jìn)行清除的一個(gè)小工具。與完整的殺毒軟件相比，它不具備實(shí)時(shí)監(jiān)控功能，同時(shí)專殺工具的引擎一般都比較簡單，不會(huì)查殺壓縮文件、郵件中的病毒，并且一般也不會(huì)對文件進(jìn)行脫殼檢查。

手工清除灰鴿子并不難，重要的是我們必須懂得它的運(yùn)行原理。

灰鴿子的運(yùn)行原理

灰鴿子遠(yuǎn)程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客（姑且這么稱呼吧）操縱著客戶端，利用客戶端配置生成出一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過各種渠道傳播這個(gè)服務(wù)端（俗稱種木馬）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個(gè)羞澀的MM通過QQ把木馬傳給你，誘騙你運(yùn)行；也可以建立一個(gè)個(gè)人網(wǎng)頁，誘騙你點(diǎn)擊，利用IE漏洞把木馬下載到你的機(jī)器上并運(yùn)行；還可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟件誘騙用戶下載……這正違背了我們開發(fā)灰鴿子的目的，所以本文適用于那些讓人非法安裝灰鴿子服務(wù)端的用戶，幫助用戶刪除灰鴿子Vip2005的服務(wù)端程序。本文大部分內(nèi)容摘自互聯(lián)網(wǎng)。

G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(Windows98/xp下為系統(tǒng)盤的windows目錄，Windows2000/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個(gè)名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時(shí)，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X系統(tǒng)寫注冊表啟動(dòng)項(xiàng)），每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。

灰鴿子的手工檢測

由于灰鴿子攔截了API調(diào)用，在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項(xiàng)均被隱藏，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。

但是，通過仔細(xì)觀察我們發(fā)現(xiàn)，對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運(yùn)行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都會(huì)在操作系統(tǒng)的安裝目錄下生成一個(gè)以“_hook.dll”結(jié)尾的文件。通過這一點(diǎn)，我們可以較為準(zhǔn)確手工檢測出灰鴿子服務(wù)端。

由于正常模式下灰鴿子會(huì)隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：啟動(dòng)計(jì)算機(jī)，在系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前，按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放)，在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中，選擇“Safe Mode”或“安全模式”。

1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項(xiàng)”，點(diǎn)擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”，然后點(diǎn)擊“確定”。

2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄（默認(rèn)98/xp為C:\windows，2k/NT為C:\Winnt）。

3、經(jīng)過搜索，我們在Windows目錄（不包含子目錄）下發(fā)現(xiàn)了一個(gè)名為Game_Hook.dll的文件。

4、根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會(huì)有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的GameKey.dll文件。

經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子服務(wù)端了，下面就可以進(jìn)行手動(dòng)清除。

灰鴿子的手工清除

經(jīng)過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務(wù)；2刪除灰鴿子程序文件。

注意：為防止誤操作，清除前一定要做好備份。

一、清除灰鴿子的服務(wù)

Windows2000／WindowsXP系統(tǒng)：

1、打開注冊表編輯器（點(diǎn)擊“開始”－》“運(yùn)行”，輸入“Regedit.exe”，確定。），打開


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



注冊表項(xiàng)。

2、點(diǎn)擊菜單“編輯”－》“查找”，“查找目標(biāo)”輸入“game.exe”，點(diǎn)擊確定，我們就可以找到灰鴿子的服務(wù)項(xiàng)（此例為Game_Server）。

3、刪除整個(gè)Game_Server項(xiàng)。

Windows98／WindowsME系統(tǒng)：

在Windows9X下，灰鴿子啟動(dòng)項(xiàng)只有一個(gè)，因此清除更為簡單。運(yùn)行注冊表編輯器，打開


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



項(xiàng)，我們立即看到名為Game.exe的一項(xiàng)，將Game.exe項(xiàng)刪除即可。

二、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動(dòng)計(jì)算機(jī)。至此，灰鴿子VIP 2005服務(wù)端已經(jīng)被清除干凈。

1、前言

系統(tǒng)安全的根本目標(biāo)是數(shù)據(jù)資料的安全，而數(shù)據(jù)資料是由它的使用者進(jìn)行存取和維護(hù)的。傳統(tǒng)的數(shù)據(jù)存取和維護(hù)，都是以新的數(shù)據(jù)覆蓋舊的數(shù)據(jù)，對于數(shù)據(jù)的無心錯(cuò)誤，或有心的更改數(shù)據(jù)，一個(gè)管理者并無法有效地查出蛛絲馬跡。因此，對數(shù)據(jù)的存取控制是系統(tǒng)安全的一個(gè)重要方面。為此，Sandhu等學(xué)者提出了一套以角色為基礎(chǔ)的存取控制（Role-based Access Control，RBAC）理論，其基本組件包括使用者（User）、角色（Role）、授權(quán)（Authorization）及會(huì)話（Session）。如何為每個(gè)使用者分配相應(yīng)的權(quán)力（即授權(quán)）將是本文將要分析的一個(gè)重要原則--最小特權(quán)原則（Least Privilege Theorem）。

2、最小特權(quán)原則簡介

最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)（Least Privilege），指的是"在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體（用戶或進(jìn)程）必不可少的特權(quán)"。最小特權(quán)原則，則是指"應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確?？赡艿氖鹿?、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小"。

最小特權(quán)原則一方面給予主體"必不可少"的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體"必不可少"的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。

最小特權(quán)原則要求每個(gè)用戶和程序在操作時(shí)應(yīng)當(dāng)使用盡可能少的特權(quán)，而角色允許主體以參與某特定工作所需要的最小特權(quán)去簽入（Sign）系統(tǒng)。被授權(quán)擁有強(qiáng)力角色（Powerful Roles）的主體，不需要?jiǎng)虞m運(yùn)用到其所有的特權(quán)，只有在那些特權(quán)有實(shí)際需求時(shí)，主體才去運(yùn)用它們。如此一來，將可減少由于不注意的錯(cuò)誤或是侵入者假裝合法主體所造成的損壞發(fā)生，限制了事故、錯(cuò)誤或攻擊帶來的危害。它還減少了特權(quán)程序之間潛在的相互作用，從而使對特權(quán)無意的、沒必要的或不適當(dāng)?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權(quán)的最小部分才擁有特權(quán)。

3、最小特權(quán)原則的應(yīng)用

3.1 安全操作系統(tǒng)

操作系統(tǒng)對于系統(tǒng)安全來說好比是大樓的地基，如果沒有了它，大樓就無從談起。在計(jì)算機(jī)系統(tǒng)的各個(gè)層次上，硬件、操作系統(tǒng)、網(wǎng)絡(luò)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件以及應(yīng)用軟件，各自在計(jì)算機(jī)安全中都肩負(fù)著重要的職責(zé)。在軟件的范疇中，操作系統(tǒng)處在最底層，是所有其他軟件的基礎(chǔ)，它在解決安全上也起著基礎(chǔ)性、關(guān)鍵性的作用，沒有操作系統(tǒng)的安全支持，計(jì)算機(jī)軟件系統(tǒng)的安全就缺乏了根基。對安全操作系統(tǒng)的研究首先從1967年的Adept-50項(xiàng)目開始，隨后安全操作系統(tǒng)的發(fā)展經(jīng)歷了奠基時(shí)期、食譜時(shí)期、多政策時(shí)期以及動(dòng)態(tài)政策時(shí)期。國內(nèi)對安全操作系統(tǒng)的開發(fā)大多處于食譜時(shí)期，即以美國國防部的TCSEC（又稱橙皮書）或我國的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則為標(biāo)準(zhǔn)進(jìn)行的開發(fā)。

最小特權(quán)在安全操作系統(tǒng)中占據(jù)了非常重要的地位，它適應(yīng)UNIX操作系統(tǒng)、超級(jí)用戶/根目錄體系結(jié)構(gòu)的固有特征，以便了解如何到達(dá)根目錄的的任何用戶提供總體系統(tǒng)控制棗而且?guī)缀踉赨NIX環(huán)境工作的所有程序員都了解這一點(diǎn)。

角色管理機(jī)制依據(jù)"最小特權(quán)"原則對系統(tǒng)管理員的特權(quán)進(jìn)行了分化，每個(gè)用戶只能擁有剛夠完成工作的最小權(quán)限。然后根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色，依據(jù)角色劃分權(quán)限，每個(gè)角色各負(fù)其責(zé)，權(quán)限各自分立，一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)。例如當(dāng)入侵者取得系統(tǒng)管理員權(quán)限后欲訪問一個(gè)高安全級(jí)別的文件，則很有可能被拒絕。因?yàn)橛脩簦òㄏ到y(tǒng)管理員）在登錄后默認(rèn)的安全級(jí)別是最低的，他無法訪問高級(jí)別的文件，而安全級(jí)別的調(diào)整只有通過安全管理員才能完成。因此，安全管理員只要對敏感文件配置了合理的安全標(biāo)記，系統(tǒng)管理員就無法訪問這些文件。由此可知，安全管理員對系統(tǒng)管理員的權(quán)限進(jìn)行了有力的限制。

Windows NT操作系統(tǒng)的某些漏洞也與最小特權(quán)的應(yīng)用有關(guān)，例如：缺省組的權(quán)利和能力總是不能被刪除，它們包括：Administrator組，服務(wù)器操作員組，打印操作員組，帳戶操作員組。這是因?yàn)楫?dāng)刪除一個(gè)缺省組時(shí)，表面上，系統(tǒng)已經(jīng)接受了刪除。然而，當(dāng)再檢查時(shí)，這些組并沒有被真正刪除。有時(shí)，當(dāng)服務(wù)器重新啟動(dòng)時(shí)，這些缺省組被賦予回缺省的權(quán)利和能力。為了減小因此而帶來的風(fēng)險(xiǎn)，系統(tǒng)管理員可以創(chuàng)建自己定制的組，根據(jù)最小特權(quán)的原則，定制這些組的權(quán)利和能力，以迎合業(yè)務(wù)的需要。可能的話，創(chuàng)建一個(gè)新的Administrator組，使其具有特別的指定的權(quán)利和能力。

下面介紹目前幾種安全操作系統(tǒng)及最小特權(quán)的應(yīng)用：

惠普的Praesidium/Virtual Vault

它通過以最小特權(quán)機(jī)制將根功能分成42種獨(dú)立的特權(quán)，僅賦予每一應(yīng)用程序正常運(yùn)行所需的最小特權(quán)。因而，即便一名黑客將Trojan Horse（特洛伊木馬）程序安裝在金融機(jī)構(gòu)的Web服務(wù)器上，入侵者也無法改變網(wǎng)絡(luò)配置或安裝文件系統(tǒng)。最小特權(quán)是在惠普可信賴操作系統(tǒng)Virtual Vault的基本特性。

紅旗安全操作系統(tǒng)（RFSOS）

RFSOS在系統(tǒng)管理員的權(quán)限、訪問控制、病毒防護(hù)方面具有突出的特點(diǎn)，例如在系統(tǒng)特權(quán)分化方面，紅旗安全操作系統(tǒng)根據(jù)"最小特權(quán)"原則，對系統(tǒng)管理員的特權(quán)進(jìn)行了分化，根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色，依據(jù)角色劃分特權(quán)。典型的系統(tǒng)管理角色有系統(tǒng)管理員、安全管理員、審計(jì)管理員等。系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安裝軟件、增添用戶賬號(hào)、數(shù)據(jù)備份等。安全管理員負(fù)責(zé)安全屬性的設(shè)定與管理。審計(jì)管理員負(fù)責(zé)配置系統(tǒng)的審計(jì)行為和管理系統(tǒng)的審計(jì)信息。一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)。攻擊者破獲某個(gè)管理角色的口令時(shí)不會(huì)得到對系統(tǒng)的完全控制。

中科安勝安全操作系統(tǒng)

安勝安全操作系統(tǒng)是參照美國國防部《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》B2級(jí)安全需求和我國新頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，結(jié)合我國國情和實(shí)際需求，自行開發(fā)的高級(jí)別安全操作系統(tǒng)，即安勝安全操作系統(tǒng)（SecLinux），并通過國家信息安全測評認(rèn)證中心認(rèn)證，同時(shí)獲得公安部的銷售許可。

最小特權(quán)管理是SecLinux的一個(gè)特色，它使得系統(tǒng)中不再有超級(jí)用戶，而是將其所有特權(quán)分解成一組細(xì)粒度的特權(quán)子集，定義成不同的"角色"，分別賦予不同的用戶，每個(gè)用戶僅擁有完成其工作所必須的最小特權(quán)，避免了超級(jí)用戶的誤操作或其身份被假冒而帶來的安全隱患。

3.2 Internet安全

Internet的發(fā)展可謂一日千里，而對Internet安全的要求卻比Inerternet本身發(fā)展得更快。目前Internet上的安全問題，有相當(dāng)多的是由于網(wǎng)絡(luò)管理員對于角色權(quán)利的錯(cuò)誤分配引起的。因此，最小特權(quán)原則在Internet安全上也大有用武之地。

在日常生活里，最小特權(quán)的例子也很多。一些汽車制造廠制造汽車鎖，用一個(gè)鑰匙開車門和點(diǎn)火器，而用另一個(gè)鑰匙開手套箱和衣物箱；停車場的服務(wù)員有安排停車的權(quán)而沒有從汽車衣物箱里取東西的權(quán)力；同樣是最小特權(quán)，可以給人汽車的鑰匙而不給他大門的鑰匙。

在Internet上，需要最小特權(quán)的例子也很多，例如：不是每個(gè)用戶都需要使用所有的網(wǎng)絡(luò)服務(wù)；不是每個(gè)用戶都需要去修改（甚至去讀）系統(tǒng)中的所有文件；不是每個(gè)用戶都需要知道系統(tǒng)的根口令（Root Password)；不是每個(gè)系統(tǒng)管理員都必須知道系統(tǒng)的根口令；也不是每個(gè)系統(tǒng)都需要去申請每一個(gè)其他系統(tǒng)的文件等等。

Internet上出現(xiàn)的一些安全問題都可看成是由于最小特權(quán)原則的失敗。例如Unix上最常用的郵件傳輸協(xié)議Sendmail，它是一個(gè)龐大而又復(fù)雜的程序。這樣的程序肯定會(huì)有很多隱患。它經(jīng)常運(yùn)行全部解密（Setuid）根目錄，這對很多攻擊者是很有利的。系統(tǒng)上運(yùn)行的程序希望是盡可能簡單的程序，如果是一個(gè)較復(fù)雜的程序，那么應(yīng)該找出辦法從復(fù)雜部分里去分開或孤立需要特權(quán)的模塊。

為了保護(hù)站點(diǎn)而采取的一些措施也是使用最小特權(quán)原則的，如包過濾系統(tǒng)就設(shè)計(jì)為只允許進(jìn)入所需要的服務(wù)，而過濾掉不必要的服務(wù)。在堡壘主機(jī)里也使用了最小特權(quán)原則。

最小特權(quán)原則還有助于建立嚴(yán)格的身份認(rèn)證機(jī)制。對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限；并且按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號(hào)和密碼。具體實(shí)現(xiàn)用戶身份認(rèn)證時(shí)，可以通過服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份等等。

4、結(jié)束語

最小特權(quán)原則有效地限制、分割了用戶對數(shù)據(jù)資料進(jìn)行訪問時(shí)的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來的損失，對于系統(tǒng)安全具有至關(guān)重要的作用。但目前大多數(shù)系統(tǒng)的管理員對于最小特權(quán)原則的認(rèn)識(shí)還不夠深入。尤其是對于UNIX、Windows系列操作系統(tǒng)下，因?yàn)橄到y(tǒng)所賦予用戶的默認(rèn)權(quán)限是最高的權(quán)限，例如Windows NT下的目錄和文件的默認(rèn)權(quán)限是Everyone（所有人）均具有完全的權(quán)限，而Administrator（系統(tǒng)管理員）則有對整個(gè)系統(tǒng)的完全控制。如果系統(tǒng)的管理員不對此進(jìn)行修改，則系統(tǒng)的安全性將非常薄弱。

當(dāng)然，最小特權(quán)原則只是系統(tǒng)安全的原則之一，如縱深防御原則、特權(quán)分離原則、強(qiáng)制存取控制等等。如果要使系統(tǒng)的達(dá)到相當(dāng)高的安全性，還需要其他原則的配合使用。

惡意網(wǎng)頁越來越厲害，本文就給大家講霽惡意網(wǎng)頁修改11種系統(tǒng)配置的處理辦法。
　　1.禁止使用電腦
現(xiàn)象描述:盡管網(wǎng)絡(luò)流氓們用這一招的不多，但是一旦你中招了，后果真是不堪設(shè)想!瀏覽了含有這種惡意代碼的網(wǎng)頁其后果是:"關(guān)閉系統(tǒng)"、"運(yùn)行"、"注銷"、注冊表編輯器、DOS程序、運(yùn)行任何程序被禁止，系統(tǒng)無法進(jìn)入"實(shí)模式"、驅(qū)動(dòng)器被隱藏。
解決辦法:一般來說上述八大現(xiàn)象你都遇上了的話，基本上系統(tǒng)就給"廢"了，建議重裝。
2.格式化硬盤
現(xiàn)象描述:這類惡意代碼的特征就是利用IE執(zhí)行ActiveX的功能，讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網(wǎng)頁，瀏覽器就會(huì)彈出一個(gè)警告說"當(dāng)前的頁面含有不安全的ctiveX，可能會(huì)對你造成危害"，問你是否執(zhí)行。如果你選擇"是"的話，硬盤就會(huì)被快速格式化，因?yàn)楦袷交瘯r(shí)窗口是最小化的，你可能根本就沒注意，等發(fā)現(xiàn)時(shí)已悔之晚矣。
解決辦法:除非你知道自己是在做什么，否則不要隨便回答"是"。該提示信息還可以被修改，如改成"Windows正在刪除本機(jī)的臨時(shí)文件，是否繼續(xù)"，所以千萬要注意!此外，將計(jì)算機(jī)上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個(gè)辦法。
3.下載運(yùn)行木馬程序
現(xiàn)象描述:在網(wǎng)頁上瀏覽也會(huì)中木馬?當(dāng)然，由于IE5.0本身的漏洞，使這樣的新式入侵手法成為可能，方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞，將木馬放在eml文件里，然后用一段惡意代碼指向它。上網(wǎng)者瀏覽到該惡意網(wǎng)頁，就會(huì)在不知不覺中下載了木馬并執(zhí)行，其間居然沒有任何提示和警告!
解決辦法:第一個(gè)辦法是升級(jí)您的IE5.0，IE5.0以上版本沒這毛病;此外，安裝金山毒霸、Norton等病毒防火墻，它會(huì)把網(wǎng)頁木馬當(dāng)作病毒迅速查截殺。
4.注冊表的鎖定
現(xiàn)象描述:有時(shí)瀏覽了惡意網(wǎng)頁后系統(tǒng)被修改，想要用Regedit更改時(shí)，卻發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運(yùn)行該程序，然后讓你聯(lián)系管理員。暈了!動(dòng)了我的東西還不讓改，這是哪門子的道理!
解決辦法:能夠修改注冊表的又不止Regedit一個(gè)，找一個(gè)注冊表編輯器，例如:Reghance。將注冊表中的HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值"DisableRegistryTools"鍵值恢復(fù)為"0"，即可恢復(fù)注冊表。
5.默認(rèn)主頁修改
現(xiàn)象描述:一些網(wǎng)站為了提高自己的訪問量和做廣告宣傳，利用IE的漏洞，將訪問者的IE不由分說地進(jìn)行修改。一般改掉你的起始頁和默認(rèn)主頁，為了不讓你改回去，甚至將IE選項(xiàng)中的默認(rèn)主頁按鈕變?yōu)槭У幕疑?。不愧是網(wǎng)絡(luò)流氓的一慣做風(fēng)。
解決辦法:1.起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main，在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。同理，展開注冊表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main，在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。
注意:有時(shí)進(jìn)行了以上步驟后仍然沒有生效，估計(jì)是有程序加載到了啟動(dòng)項(xiàng)的緣故，就算修改了，下次啟動(dòng)時(shí)也會(huì)自動(dòng)運(yùn)行程序，將上述設(shè)置改回來，解決方法如下:
運(yùn)行注冊表編輯器Regedit.exe，然后依次展開HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run主鍵，然后將下面的"registry.exe"子鍵(名字不固定)刪除，最后刪除硬盤里的同名可執(zhí)行程序。退出注冊編輯器，重新啟動(dòng)計(jì)算機(jī)，問題就解決了。
2.默認(rèn)主頁的修改。運(yùn)行注冊表編輯器，展開HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/，將Default-Page-URL子鍵的鍵值中的那些惡意網(wǎng)站的網(wǎng)址改正，或者設(shè)置為IE的默認(rèn)值。
3.IE選項(xiàng)按鈕失效。運(yùn)行注冊表編輯器，將HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0"，將HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值"homepage"的鍵值改為"0"。

“遠(yuǎn)程破解”與前面的“本地破解”正好相反，是指QQ盜號(hào)者通過網(wǎng)絡(luò)盜竊遠(yuǎn)端QQ用戶的密碼。這種QQ破解有很多方法，如在線密碼破解、登錄窗口破解、郵箱破解、消息詐騙以及形形色色的QQ木馬病毒等。下面就讓我們一同來看看這些QQ密碼的遠(yuǎn)程破解是怎么實(shí)現(xiàn)的。

1、在線密碼破解 大家知道QQ可以利用代理服務(wù)器登錄，這是一種保護(hù)措施。它不僅可以隱藏用戶的真實(shí)IP地址，以避免遭受網(wǎng)絡(luò)攻擊，還可以加快登錄速度，保證登錄的穩(wěn)定性。 在線密碼破解和本地密碼破解采用的技術(shù)方法類似，都是窮舉法，只不過前者完全脫離了本地用戶使用的QQ。它通過對登錄代理服務(wù)器進(jìn)行掃描，只要想盜的QQ號(hào)碼在線，就可利用在線盜號(hào)工具實(shí)現(xiàn)遠(yuǎn)程TCP/IP的追捕，從而神不知鬼不覺地盜取QQ密碼！ 在線破解改變了本地破解那種被動(dòng)的破解方式，只要是在線的QQ號(hào)碼都可以破解，適用范圍較廣。但是由于它仍然采用窮舉法技術(shù)，所以在枚舉密鑰位數(shù)長度以及類型時(shí)，校驗(yàn)時(shí)間很長，破解效率不高。同樣，這種方法還受到電腦速度、網(wǎng)速等諸多因素的影響，因此比前面的本地破解更麻煩。

目前功能比較強(qiáng)大的一款QQ密碼在線破解軟件叫QQExplorer。它的破解操作分四步：第一步，在QQ起始號(hào)碼和結(jié)束號(hào)碼中填上想要盜取的QQ號(hào)碼（此號(hào)碼必須在線）；第二步，在“添加或刪除HTTP代理服務(wù)器”中輸入代理服務(wù)器的IP地址和端口號(hào)碼（如果你嫌自己尋找QQ代理服務(wù)器麻煩，可以使用一些現(xiàn)代的QQ代理公布軟件）；第三步，點(diǎn)擊“添加&測試”按鈕，軟件先自動(dòng)檢測此服務(wù)器是否正常，確定后將它加入代理服務(wù)器列表（此軟件可填入多個(gè)代理服務(wù)器的地址，并且能夠自動(dòng)篩選不可用或者速度慢的服務(wù)器）；第四步，點(diǎn)擊“開始”按鈕，開始在線密碼破解…… QQExporer是一款QQ密碼在線破解軟件

現(xiàn)在，Dos已經(jīng)由最初的“惡作劇”越來越演變成了一種有目的、有選擇的攻擊路由器的惡性行為，它像一股兇險(xiǎn)的暗流正在向我們涌來。

　　用Dos來攻擊路由器將對整個(gè)因特網(wǎng)造成嚴(yán)重影響。因?yàn)槁酚蓞f(xié)議會(huì)遭到直接攻擊，從而在大范圍內(nèi)帶來嚴(yán)重的服務(wù)器的可用性問題。路由器攻擊之所以吸引黑客有幾個(gè)原因。

　　不同于計(jì)算機(jī)系統(tǒng)，路由器通常處于企業(yè)的基礎(chǔ)設(shè)施內(nèi)部。與計(jì)算機(jī)相比，它們受監(jiān)視器和安全政策的保護(hù)相對薄弱，從而為不法之徒提供了為非作歹的躲藏之處。許多路由器配置不當(dāng)，廠商提供的默認(rèn)口令是網(wǎng)絡(luò)安全與遭受毀壞的主要原因。一旦受到危害，路由器就可以被用作掃描行動(dòng)、欺騙連接的平臺(tái)，并作為發(fā)動(dòng)dos攻擊的一塊跳板。

　　Cahners in-stat集團(tuán)的高級(jí)分析家勞里·維科斯聲稱，“路由器是通向公司的門戶。它成為黑客的目標(biāo)已經(jīng)有了一段時(shí)間，現(xiàn)在的黑客似乎變得更加老謀深算。他們往往會(huì)這樣，當(dāng)發(fā)現(xiàn)鎖定的目標(biāo)前門被鎖上后，就會(huì)改而尋找露臺(tái)的大門是否敞開。”

　　維科斯堅(jiān)稱，路由器攻擊會(huì)對網(wǎng)絡(luò)造成毀滅性的后果。因?yàn)槁酚善鞒３＜闪藇pn服務(wù)或者防火墻，因而使其成為更吸引黑客的目標(biāo)。因?yàn)椋坏┞酚善麽пЭ晌＃麄€(gè)網(wǎng)絡(luò)便立刻變得十分危險(xiǎn)了。

　　另一個(gè)問題是卡內(nèi)基·梅隆大學(xué)的計(jì)算機(jī)緊急響應(yīng)隊(duì)(cert)協(xié)調(diào)中心提到的“利用時(shí)間”(time-to-exploit)的縮短。即一旦系統(tǒng)或設(shè)備的一個(gè)漏洞被發(fā)現(xiàn)，在短時(shí)間內(nèi)就打上安全補(bǔ)丁往往來不及。

　　那么如何采取適當(dāng)?shù)膶Σ邅淼钟鵧os呢?傳統(tǒng)的安全解決方案對付現(xiàn)在的dos只能是隔靴搔癢。因?yàn)榉阑饓腿肭謾z測系統(tǒng)(ids)的目的在于檢測針對個(gè)別網(wǎng)絡(luò)服務(wù)器或主機(jī)的攻擊，而不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

　　為了解決這個(gè)問題，目前已經(jīng)有幾家公司想出了專門防御dos攻擊的方案。arbor networks憑借產(chǎn)品peakflow dos成為這個(gè)領(lǐng)域的先驅(qū)。peakflow會(huì)部署數(shù)據(jù)收集程序，由此分析通信流量(到達(dá)企業(yè)路由器或防火墻之前)，并搜尋反?，F(xiàn)象。這類信息會(huì)轉(zhuǎn)發(fā)給控制程序，進(jìn)而對攻擊進(jìn)行追根溯源的審查。同時(shí)，控制程序會(huì)把過濾建議發(fā)給網(wǎng)絡(luò)管理人員，從而進(jìn)行相應(yīng)部署以避開攻擊。他們提供的企業(yè)解決方案的起始價(jià)為13萬美元，arbor另有計(jì)劃為規(guī)模較小的網(wǎng)絡(luò)以按月收費(fèi)的方式來提供這種服務(wù)。

　　Tripwire的tripwire for routers則采取價(jià)格比較適中的方案，以監(jiān)視cisco路由器的啟動(dòng)和配置文件。只要該設(shè)備的安全狀態(tài)出現(xiàn)任何變動(dòng)，它就會(huì)通知你。目前只有針對solaris 7或8工作站的版本。適用windows 2000的版本即將推出，其價(jià)格隨路由器數(shù)量不同而異，有一個(gè)評估版軟件可供下載。

　　總地來說，具備一些基本常識(shí)是首要的，可能也是最佳的防御方法，這可以確保你時(shí)刻關(guān)注外部接入路由器的每個(gè)連接，并且確保改變了默認(rèn)安全配置，尤其是口令。

　　Dos攻擊的這些新動(dòng)向表明：服務(wù)可用性面臨的危脅，無論針對網(wǎng)絡(luò)還是整個(gè)因特網(wǎng)都可能會(huì)更讓人防不勝防。除了你的網(wǎng)絡(luò)受到影響外，路由器和基礎(chǔ)設(shè)施缺乏安全審查也會(huì)使你無意當(dāng)中成為攻擊dos的幫兇。密切關(guān)注事態(tài)發(fā)展，并肩負(fù)起保護(hù)網(wǎng)絡(luò)各方面安全的責(zé)任，這樣你才能夠避免災(zāi)難。