相信很多朋友都聽說過木馬程序，總覺得它很神秘、很高難，但事實上隨著木馬軟件的智能化，很多駭客都能輕松達到攻擊的目的。今天，筆者就以最新的一款木馬程序——黑洞2004，從種植、使用、隱藏、防范四個方面來為網絡愛好者介紹一下木馬的特性。需要提醒大家的是，在使用木馬程序的時候，請先關閉系統中的病毒防火墻，因為殺毒軟件會把木馬作為病毒的一種進行查殺。


　　操作步驟:

　　一、種植木馬

　　現在網絡上流行的木馬基本上都采用的是C/S 結構（客戶端/服務端）。你要使用木馬控制對方的電腦，首先需要在對方的的電腦中種植并運行服務端程序，然后運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。

　　二、使用木馬

　　成功的給別人植入木馬服務端后，就需要耐心等待服務端上線。由于黑洞2004采用了反連接技術，所以服務端上線后會自動和客戶端進行連接，這時，我們就可以操控客戶端對服務端進行遠程控制。在黑洞2004下面的列表中，隨便選擇一臺已經上線的電腦，然后通過上面的命令按鈕就可以對這臺電腦進行控制。下面就簡單的介紹一下這些命令的意義。

　　文件管理：服務端上線以后，你可以通過“文件管理”命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾，并且支持斷點傳輸。簡單吧？

　　進程管理：查看、刷新、關閉對方的進程，如果發現有殺毒軟件或者防火墻，就可以關閉相應的進程，達到保護服務器端程序的目的。

　　窗口管理：管理服務端電腦的程序窗口，你可以使對方窗口中的程序最大化、最小化、正常關閉等操作，這樣就比進程管理更靈活。你可以搞很多惡作劇，比如讓對方的某個窗口不停的最大化和最小化。

　　視頻監控和語音監聽：如果遠程服務端電腦安裝有USB攝像頭，那么可以通過它來獲取圖像，并可直接保存為Media Play可以直接播放的Mpeg文件；需要對方有麥克風的話，還可以聽到他們的談話，恐怖吧？

　　除了上面介紹的這些功能以外，還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能，操作都非常簡單，明白了吧？做駭客其實很容易。

　　3 隱藏

　　隨著殺毒軟件病毒庫的升級，木馬會很快被殺毒軟件查殺，所以為了使木馬服務端辟開殺毒軟件的查殺，長時間的隱藏在別人的電腦中，在木馬為黑客提供幾種可行的辦法。

　　1.木馬的自身保護

　　就像前面提到的，黑洞2004在生成服務端的時候，用戶可以更換圖標，并使用軟件UPX對服務端自動進行壓縮隱藏。

　　2.捆綁服務端

　　用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起，達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。

　　3.制做自己的服務端

　　上面提到的這些方法雖然能一時瞞過殺毒軟件，但最終還是不能逃脫殺毒軟件的查殺，所以若能對現有的木馬進行偽裝，讓殺毒軟件無法辨別，則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。例如1中的UPX就是這樣一款壓縮軟件，但默認該軟件是按照自身的設置對服務端壓縮的，因此得出的結果都相同，很難長時間躲過殺毒軟件；而自己對服務端進行壓縮，就可以選擇不同的選項，壓縮出與眾不同的服務端來，使殺毒軟件很難判斷。下面我就以冰河為例，為大家簡單的講解一下脫殼（解壓）、加殼（壓縮）的過程。

　　如果我們用殺毒軟件對冰河進行查殺，一定會發現2個病毒，一個是冰河的客戶端，另一個是服務端。使用軟件“PEiD”查看軟件的服務端是否已經被作者加殼，可以看到服務端已經使用UPX進行了壓縮。

現在，我們就需要對軟件進行脫殼，也就是一種解壓的過程。這里我使用了“UPXUnpack”，選擇需要的文件后，點擊“解壓縮”就開始執行脫殼。

　　脫殼完成后，我們需要為服務端加一個新殼，加殼的軟件很多，比如：ASPack、ASProtect、UPXShell、Petite等。這里以“ASPack”為例，點擊“打開”按鈕，選擇剛剛脫殼的服務端程序，選擇完成后ASPack會自動為服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺，發現其已經不能識別判斷了。如果你的殺毒軟件依舊可以查殺，你還可以使用多個軟件對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼后，試用了多種殺毒軟件都沒有掃描出來。現在網絡中流行的很多XX版冰河，就是網友通過對服務端進行修改并重新加殼后制做出來的。

　　為了避免不熟悉木馬的用戶誤運行服務端，現在流行的木馬都沒有提供單獨的服務端程序，而是通過用戶自己設置來生成服務端，黑洞2004也是這樣。首先運行黑洞2004，點擊“功能/生成服務端”命令，彈出“服務端配置”界面。由于黑洞2004采用了反彈技術（請參加小知識），首先單擊旁邊的“查看”按鈕，在彈出的窗口中設置新的域名，輸入你事先申請空間的域名和密碼，單擊“域名注冊”，在下面的窗口中會反映出注冊的情況。域名注冊成功以后，返回“服務端配置”界面，填入剛剛申請的域名，以及“上線顯示名稱”、“注冊表啟動名稱”等項目。為了迷惑他人，可以點“更改服務端圖標”按鈕為服務端選擇一個圖標。所有的設置都完成后，點擊“生成EXE型服務端”就生成了一個服務端。在生成服務端的同時，軟件會自動使用UPX為服務端進行壓縮，對服務端起到隱藏保護的作用。

　　服務端生成以后，下一步要做的是將服務端植入別人的電腦？常見的方法有，通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦；或者通過Email夾帶，把服務端作為附件寄給對方；以及把服務端進行偽裝后放到自己的共享文件夾，通過P2P軟件（比如PP點點通、百寶等），讓網友在毫無防范中下載并運行服務端程序。

　　由于本文主要面對普通的網絡愛好者，所以就使用較為簡單的Email夾帶，為大家進行講解。我們使用大家經常會看到的Flash動畫為例，建立一個文件夾命名為“好看的動畫”，在該文件夾里邊再建立文件夾“動畫.files”，將木馬服務端軟件放到該文件夾中假設名稱為“abc.exe”，再在該文件夾內建立flash文件，在flash文件的第1幀輸入文字“您的播放插件不全，單擊下邊的按鈕，再單擊打開按鈕安裝插件”，新建一個按鈕組件，將其拖到舞臺中，打開動作面板，在里邊輸入“on (press) {getURL("動畫.files/abc.exe");}”，表示當單擊該按鈕時執行abc這個文件。在文件夾“好看的動畫”中新建一個網頁文件命名為“動畫.htm”，將剛才制作的動畫放到該網頁中。看出門道了嗎？平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾，我們這么構造的原因也是用來迷惑打開者，畢竟沒有幾個人會去翻.files文件夾。現在我們就可以撰寫一封新郵件了，將文件夾“好看的動畫”壓縮成一個文件，放到郵件的附件中，再編寫一個誘人的主題。只要對方深信不疑的運行它，并重新啟動系統，服務端就種植成功了。

　　三、防范

　　防范重于治療，在我們的電腦還沒有中木馬前，我們需要做很多必要的工作，比如：安裝殺毒軟件和網絡防火墻；及時更新病毒庫以及系統的安全補丁；定時備份硬盤上的文件；不要運行來路不明的軟件和打開來路不明的郵件。

　　最后筆者要特別提醒大家，木馬除了擁有強大的遠程控制功能外，還包括極強的破壞性。我們學習它，只是為了了解它的技術與方法，而不是用于盜竊密碼等破壞行為，希望大家好自為之。

　　小知識：

　　反彈技術，該技術解決了傳統的遠程控制軟件不能訪問裝有防火墻和控制局域網內部的遠程計算機的難題。反彈端口型軟件的原理是，客戶端首先登錄到FTP服務器，編輯在木馬軟件中預先設置的主頁空間上面的一個文件，并打開端口監聽，等待服務端的連接，服務端定期用HTTP協議讀取這個文件的內容，當發現是客戶端讓自己開始連接時，就主動連接，如此就可完成連接工作。

　　因此在互聯網上可以訪問到局域網里通過 NAT （透明代理）代理上網的電腦，并且可以穿過防火墻。與傳統的遠程控制軟件相反，反彈端口型軟件的服務端會主動連接客戶端，客戶端的監聽端口一般開為80（即用于網頁瀏覽的端口），這樣，即使用戶在命令提示符下使用“netstat -a”命令檢查自己的端口，發現的也是類似“TCP　UserIP:3015　ControllerIP：http　ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁，而防火墻也會同樣這么認為的。于是，與一般的軟件相反，反彈端口型軟件的服務端主動連接客戶端，這樣就可以輕易的突破防火墻的限制

1.打補丁

微軟的作風就是三天一小補，五天一大補，漏洞太多，補一點就好一點，使用“開始-Windows Update" 然后把所有的補丁都裝進去吧

2.刪除默認共享

2.1刪除IPC$共享

Win2k的缺省安裝很容易被攻擊者取得帳號列表，即使安裝了最新的Service ack也是如此。在Win2k中有一個缺省共享IPC$，并且還有諸如admin$ C$ D$等等,而IPC$允許匿名用戶（即未經登錄的用戶）訪問，利用這個缺省共享可以取得用戶列表。如何防范這東東，很簡單在"管理工具\本地安全策略\安全設置\本地策略\安全選項"中的"對匿名連接的額外限制"可修改為"不允許枚舉SAM帳號和共享"。就可以防止大部分此類連接，但是還沒完，如果使用NetHacker只要使用一個存在的帳號就又可以順利取得所有的帳號名稱。所以，我們還需要另一種方法做后盾，

(1)：創建一個文件startup.cmd，內容就是以下的一行命令"net share ipc$ delete"(不包括引號)

(2)：在Windows的計劃任務中增加一項任務執行以上的startup.cmd，時間安排為"計算機啟動時執行"。或者把這個文件放到"開始-程序-啟動"中　讓他一啟動就刪除ipc$共享

(3)：重新啟動服務器。

2.2刪除admin$共享

修改注冊表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子鍵（REG_DWORD），鍵值為0

2.3清除默認磁盤共享(C$,D$等)

修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareServer子鍵（REG_DWORD），鍵值為0

3.修改默認用戶名

"管理工具\本地安全策略\安全設置\本地策略\安全選項"中"重命名來賓帳戶"就是把"guest"改個名字而已，改成abc或者其他名字，下面機器登陸名字也設為"abc"或其他的名字，然后再把"重命名系統管理員帳戶"也改一下，有一次我閑著無聊，用小榕的流光隨便掃了一下我的IP段，就發現有N家網吧服務器的管理員名稱是默認的Administrator,并且是簡單密碼。如果有人想搞個肉機的話，實在是很簡單。

至此下來，服務器已經可以很安全穩定的運行下去了，當然別忘了要一兩天重啟一下你的服務器。

SQL服務器安全設置

首先,關閉sql默認的1433(好象是這個吧) 就是把sql的TCP/IP協議刪除就ok了,刪掉后就不能是用遠程了 那總歸少點事情吧sa 設密碼設的密碼為數字加字母等, 不用我多說了吧administrator 別忘了設密碼。

在tcp/ip協議里關掉所有的無用端口

本地連接狀態 --屬性--tcp/ip協議--高級--選項--tcp/ip篩選 --只允許 tcp端口

開80(網站端口)

開21(ftp端口--可開可不開)

55019(奇跡私服端口)

44405(奇跡私服端口)

以上是針對無路由的使用服務器直接對外的情況。

使用路由的情況見下

映射以下端口就OK了

開80(網站端口)

開21(ftp端口--可開可不開)

55019(奇跡私服端口)

44405(奇跡私服端口)

當然,上面的你也要設一設哦

再來就是asp的安全問題了

請使用fishserver這套工具

就不存在是用asp漏洞改你數據了

這套工具在 夢之奇跡1.05里有非常方便設置。

參考了網絡上很多關于WIN2003的安全設置以及自己動手做了一些實踐，綜合了這些安全設置文章整理而成，希望對大家有所幫助，另外里面有不足之處還請大家多多指點，然后給補上，謝謝！



一、系統的安裝　　


１、按照Windows2003安裝光盤的提示安裝，默認情況下2003沒有把IIS6.0安裝在系統里面。


２、IIS6.0的安裝


開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件


應用程序 ———ASP.NET（可選）


|——啟用網絡 COM+ 訪問（必選）


|——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）　


|——公用文件（必選）


|——萬維網服務———Active Server pages（必選）


|——Internet 數據連接器（可選）


|——WebDAV 發布（可選）


|——萬維網服務（必選）


|——在服務器端的包含文件（可選）


然后點擊確定—>下一步安裝。（具體見本文附件1）



３、系統補丁的更新


點擊開始菜單—>所有程序—>Windows Update


按照提示進行補丁的安裝。


４、備份系統


　　用GHOST備份系統。



５、安裝常用的軟件


　　例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統漏洞,安裝之后用GHOST再次備份系統。



6、先關閉不需要的端口 開啟防火墻 導入IPSEC策略


在”網絡連接”里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議（TCP/IP），由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。在高級選項里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。



修改3389遠程連接端口


修改注冊表.


開始--運行--regedit


依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/


TERMINAL SERVER/WDS/RDPWD/TDS/TCP


右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 )



HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/


WINSTATIONS/RDP-TCP/


右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 )


注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口


修改完畢.重新啟動服務器.設置生效.

二、用戶安全設置


1、禁用Guest賬號


在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。


2、限制不必要的用戶


去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限，并且經常檢查系統的用戶，刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。 3、把系統Administrator賬號改名


大家都知道，Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。


4、創建一個陷阱用戶


什么是陷阱用戶?即創建一個名為“Administrator”的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發現它們的入侵企圖。


5、把共享文件的權限從Everyone組改成授權用戶


任何時候都不要把共享文件的用戶設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。


6、開啟用戶策略


使用用戶策略，分別設置復位用戶鎖定計數器時間為20分鐘，用戶鎖定時間為20分鐘，用戶鎖定閾值為3次。 （該項為可選）


7、不讓系統顯示上次登錄的用戶名


默認情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名，進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。


密碼安全設置


1、使用安全密碼


一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設置得太簡單，比如“welcome”等等。因此，要注意密碼的復雜性，還要記住經常改密碼。


2、設置屏幕保護密碼


這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。


3、開啟密碼策略


注意應用密碼策略，如啟用密碼復雜性要求，設置密碼長度最小值為6位 ，設置強制密碼歷史為5次，時間為42天。


4、考慮使用智能卡來代替密碼


對于密碼，總是使安全管理員進退兩難，密碼設置簡單容易受到黑客的攻擊，密碼設置復雜又容易忘記。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。

三、系統權限的設置


１、磁盤權限


　　系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限


　　系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限


　　系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限


　　系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全 控制權限


另將\System32\cmd.exe、format.com、ftp.exe轉移到其他目錄或更名


　　Documents and Settings下所有些目錄都設置只給adinistrators權限。并且要一個一個目錄查看，包括下面的所有子目錄。


刪除c:\inetpub目錄



２、本地安全策略設置


　　開始菜單—>管理工具—>本地安全策略


　　A、本地策略——>審核策略


　　審核策略更改　　　成功　失敗　　


　　審核登錄事件　　　成功　失敗


　　審核對象訪問　　　　　　失敗審核過程跟蹤　　　無審核


　　審核目錄服務訪問　　　　失敗


　　審核特權使用　　　　　　失敗


　　審核系統事件　　　成功　失敗


　　審核賬戶登錄事件　成功　失敗


　　審核賬戶管理　　　成功　失敗



　　B、本地策略——>用戶權限分配


　　關閉系統：只有Administrators組、其它全部刪除。


　　通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

C、本地策略——>安全選項


　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用


　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用


　　網絡訪問：不允許為網絡身份驗證儲存憑證　　　啟用


　　網絡訪問：可匿名訪問的共享　　　　　　　　　全部刪除


　　網絡訪問：可匿名訪問的命　　　　　　　　　　全部刪除


　　網絡訪問：可遠程訪問的注冊表路徑　　　　　　全部刪除


　　網絡訪問：可遠程訪問的注冊表路徑和子路徑　　全部刪除


　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶


　　帳戶：重命名系統管理員帳戶　　　　　　　　　重命名一個帳戶



３、禁用不必要的服務 開始-運行-services.msc


TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享


文件、打印和登錄到網絡


Server支持此計算機通過網絡的文件、打印、和命名管道共享


　　Computer Browser 維護網絡上計算機的最新列表以及提供這個列表


Task scheduler 允許程序在指定時間運行


Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息


　　Distributed File System: 局域網管理共享文件，不需要可禁用


　　Distributed linktracking client：用于局域網更新連接信息，不需要可禁用


　　Error reporting service：禁止發送錯誤報告


　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用


　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要可禁用


　　PrintSpooler：如果沒有打印機可禁用


　　Remote Registry：禁止遠程修改注冊表


　　Remote Desktop Help Session Manager：禁止遠程協助


Workstation 關閉的話遠程NET命令列不出用戶組


　　以上是在Windows Server 2003 系統上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。

４、修改注冊表


修改注冊表，讓系統更強壯


1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0



2、防止SYN洪水攻擊


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters


新建DWORD值，名為SynAttackProtect，值為2


新建EnablePMTUDiscovery REG_DWORD 0


新建NoNameReleaseOnDemand REG_DWORD 1


新建EnableDeadGWDetect REG_DWORD 0


新建KeepAliveTime REG_DWORD 300,000


新建PerformRouterDiscovery REG_DWORD 0


新建EnableICMPRedirects REG_DWORD 03. 禁止響應ICMP路由通告報文


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface


新建DWORD值，名為PerformRouterDiscovery 值為0



4. 防止ICMP重定向報文的攻擊


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters


將EnableICMPRedirects 值設為0



5. 不支持IGMP協議


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters


新建DWORD值，名為IGMPLevel 值為0


6、禁止IPC空連接：


cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。


Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。



7、更改TTL值


cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：


TTL=107(WINNT);


TTL=108(win2000);


TTL=127或128(win9x);


TTL=240或241(linux);


TTL=252(solaris);


TTL=240(Irix);


實際上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦



8. 刪除默認共享


有人問過我一開機就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可



9. 禁止建立空連接


默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：


Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。



10、建立一個記事本，填上以下代碼。保存為*.bat并加到啟動項目中


net share c$Content$nbsp;/del


net share d$Content$nbsp;/del


net share e$Content$nbsp;/del


net share f$Content$nbsp;/del


net share ipc$Content$nbsp;/del


net share admin$Content$nbsp;/del

5、IIS站點設置：


1、將IIS目錄＆數據與系統磁盤分開，保存在專用磁盤空間內。


2、啟用父級路徑


3、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）


4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件


5、Web站點權限設定（建議）


讀 允許


寫 不允許


腳本源訪問 不允許


目錄瀏覽 建議關閉


日志訪問 建議關閉


索引資源 建議關閉


執行 推薦選擇 “僅限于腳本”


6、建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control）。


7、程序安全:


1) 涉及用戶名與口令的程序最好封裝在服務器端，盡量少的在ASP文件里出現，涉及到與數據庫連接地用戶名與口令應給予最小的權限;


2) 需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。3) 防止ASP主頁.inc文件泄露問題;


4) 防止UE等編輯器生成some.asp.bak文件泄露問題。



6、IIS權限設置的思路


?要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置權限的身份。


?在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。


?設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父權限，并且要加上超管組和SYSTEM組）。



7、卸載最不安全的組件


最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，( 以下均以 WIN2000 為例，如果使用2003，則系統文件夾應該是 C:\WINDOWS\ )


regsvr32/u C:\WINDOWS\System32\wshom.ocx


del C:\WINDOWS\System32\wshom.ocx


regsvr32/u C:\WINDOWS\system32\shell32.dll


del C:\WINNT\WINDOWS\shell32.dll



然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下服務器，你會發現這三個都提示“×安全”了。

正如我們前言所說盡管Apache服務器應用最為廣泛，設計上非常安全的程序。但是同其它應用程序一樣，Apache也存在安全缺陷。畢竟它是完全源代碼，Apache服務器的安全缺陷主要是使用HTTP協議進行的拒絕服務攻擊(denial of service)、緩沖區溢出攻擊以及被攻擊者獲得root權限三缺陷和最新的惡意的攻擊者進行“拒絕服務”(DoS)攻擊。合理的網絡配置能夠保護Apache服務器免遭多種攻擊。我們來介紹一下主要的安全缺陷。

主要安全缺陷

（1）使用HTTP協議進行的拒絕服務攻擊(denial of service)的安全缺陷

這種方法攻擊者會通過某些手段使服務器拒絕對HTTP應答。這樣會使Apache對系統資源(CPU時間和內存)需求的劇增，最終造成Apache系統變慢甚至完全癱瘓。

（2）緩沖區溢出的安全缺陷

該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。程序使用靜態分配的內存保存請求數據，攻擊者就可以發送一個超長請求使緩沖區溢出。

（3）被攻擊者獲得root權限的安全缺陷

該安全缺陷主要是因為Apache服務器一般以root權限運行(父進程)，攻擊者會通過它獲得root權限，進而控制整個Apache系統。

（4）惡意的攻擊者進行“拒絕服務”(DoS)攻擊的安全缺陷

這個最新在6月17日發現的漏洞，它主要是存在于Apache的chunk encoding中，這是一個HTTP協議定義的用于接受web用戶所提交數據的功能。 所有說使用最高和最新安全版本對于加強Apache Web服務器的安全是至關重要的。

正確維護和配置Apache服務器

雖然Apache服務器的開發者非常注重安全性，由于Apache服務器其龐大的項目， 難免會存在安全隱患。正確維護和配置Apache WEB服務器就很重要了。我們應注意的一些問題：

（1）Apache服務器配置文件

Apache Web服務器主要有三個配置文件，位于/usr/local/apache/conf目錄下。 這三個文件是：


httpd.conf----->主配置文件
srm.conf------>填加資源文件
access.conf--->設置文件的訪問權限


（2）Apache服務器的目錄安全認證

在Apache Server中是允許使用 .htaccess做目錄安全保護的，欲讀取這保護的目錄需要先鍵入正確用戶帳號與密碼。這樣可做為專門管理網頁存放的目錄或做為會員區等。在保護的目錄放置一個檔案，檔名為.htaccss。


AuthName "會員專區"
AuthType "Basic"


AuthUserFile "/var/tmp/xxx.pw" ----->把password放在網站外 require valid-user 到apache/bin目錄，建password檔 % ./htpasswd -c /var/tmp/xxx.pw username1 ----->第一次建檔要用參數"-c" % /htpasswd /var/tmp/xxx.pw username2 這樣就可以保護目錄內的內容，進入要用合法的用戶。

注：采用了Apache內附的模組。

也可以采用在httpd.conf中加入：　


options　indexes　followsymlinks　
allowoverride　authconfig　
order　allow,deny　
allow　from　all　


（3）Apache服務器訪問控制

我們就要看三個配置文件中的第三個文件了，即access.conf文件，它包含一些指令控制允許什么用戶訪問Apache目錄。應該把deny from all設為初始化指令，再使用allow from指令打開訪問權限。


order deny,allow
deny from all
allow from safechina.net


　　
設置允許來自某個域、IP地址或者IP段的訪問。

（4）Apache服務器的密碼保護問題

我們再使用.htaccess文件把某個目錄的訪問權限賦予某個用戶。系統管理員需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打開目錄的訪問控制。如：


AuthName PrivateFiles
AuthType Basic
AuthUserFile /path/to/httpd/users
require Phoenix
# htpasswd -c /path/to/httpd/users Phoenix


設置Apache服務器的WEB和文件服務器

我們在Apache服務器上存放WEB服務器的文件，供用戶訪問，并設置/home/ftp/pub目錄為文件存放區域，用http://download.your.com/pub/來訪問。在防火墻上設置apache反向代理技術，由防火墻代理訪問。　

（1）Apache服務器的設置　

Apache服務器采用默認配置。主目錄為/home/httpd/html,主機域名為Phoenix.your.com, 且別名到www.your.com中,　并且設置srm.conf加一行別名定義如下：


Alias　/pub　/home/ftp/pub/　


更改默認應用程序類型定義如下：　


DefaultType　application/octet-stream　


最后在/etc/httpd/conf/access.conf中增加一項定義


　
Options　Indexes　
AllowOverride　AuthConfig　
order　allow,deny　
allow　from　all　


注：Options　Indexes允許在找不到index.html文件的情況下允許列出目錄/文件列表。AllowOverride　AuthConfig允許做基本的用戶名和口令驗證。這樣的話，需要在/home/ftp/pub目錄下放入.htaccess，內容如下：　


　　[root@　pub]#　more　.htaccess　
　　AuthName　Branch　Office　Public　Software　Download　Area　
　　AuthType　Basic　
　　AuthUserFile　/etc/.usrpasswd　
　　require　valid-user　


用# htpasswd　-c　/etc/.usrpasswd　user1　 分別創建不同的允許訪問/pub下文件服務的外部用戶名和口令。

（2）在防火墻上配置反向代理技術.

在/etc/httpd/conf/httpd.conf　 中加入 NameVirtualHost　xxx.xxx.xxx.xxx #　xxx.xxx.xxx.xxx ----->是防火墻外部在互聯網上永久IP地址：　


　　servername　www.your.com　
　　errorlog　/var/log/httpd/error_log　
　　transferlog　/var/log/httpd/access_log　
　　rewriteengine　on　
　　proxyrequests　off　
　　usecanonicalname　off　
　　rewriterule　^/(.*)$　http://xxx.xxx.xx.x/$1　Apache服務器的IP地址。

　　servername　http://download.your.com/pub/
　　errorlog　/var/log/httpd/download/error_log　
　　transferlog　/var/log/httpd/download/access_log　
　　rewriteengine　on　
　　proxyrequests　off　
　　usecanonicalname　off　
　　rewriterule　^/(.*)$　http://xxx.xxx.xx.x/$1　同上Apache服務器的IP地址。


設置防火墻上的DNS，讓download.your.com和www.your.com 都指向防火墻的外部網地址xxx.xxx.xxx.xxx。

用http://www.your.com訪問主頁，用http://download.your.com/pub/訪問公共文件的下載區。

注：還需要在apache服務器主機上建立目錄/var/log/httpd/download/，否則會出錯。另外，也可以設置防火墻主機上的/home/httpd/html/index.html的屬性為750來阻止訪問，這是防外部用戶能訪問到防火墻上的Apache服務器的http://www.your.com中。　

總結：Apache Server是一個非常優秀，非常棒的服務器，只要你正確配置和維護好Apache服務器，你就會感受到Apache Server 所帶來的好處，同樣希望你能夠通過閱讀本文達到理論和實踐雙豐收的目的。

驗證你的Apache來源途徑

不要以為在Google上能夠搜索到合適的Apache版本。如果你需要下載最新版本的Apache，那么你最好通過一個權威的鏡像站點來下載。然而，即使這樣也可能有問題，事實上，曾經就有黑客入侵過apache.org官方網站。所以，采用類似PGP的工具來驗證Apache的數字簽名就顯得尤為重要。

保持更新Apache的補丁程序

如果你安裝了Apache，你就必須及時更新安全補丁。如果沒有及時的更新，那你的系統很容易受到網絡上那些高危病毒的攻擊。幸好，有幾個簡便方法可以更新Apache的補丁。參考我們關于保持更新Apache補丁的文章了解更多關于Apache服務器公告列表、Linux包管理系統和RedHat操作系統更新服務的信息。

避免使用.htaccess文件（分布式配置文件）

很多情況下需要幾個管理員和內容管理者共同管理Apache服務器。一個常用的共享管理辦法就是使用.htaccess文件，這樣可以很靈活地對管理員以外的用戶提供不同的配置控制權限。然而，這些文件也使得在集中安全管理之外還有相當多的安全控制權限——這些文件允許安全專業人士以外的其他用戶改變服務器的訪問控制許可配置。那些對粒度訪問控制根本不熟悉的用戶修改的配置可能在無意中會危害到你的系統安全。所以，除非必須使用，否則我們應該盡可能地避免使用這種訪問控制系統。

監視系統日志

Apache為管理員提供了很全面的日志管理工具來對服務器的活動進行事后分析。Apache提供了多種不同的記錄日志，但是對安全專業人士最重要的是訪問日志。這個靈活的工具還具有了相當多的自定義功能，你可以按照你的需要很方便地記錄盡可能多或者少的日志，以保證有效的分析。至少，你應該記錄那些失敗的認證企圖和系統產生的錯誤。使用像AWStats一樣的免費工具可以很輕松地完成分析任務。但是必須明確的一點是：監視日志只是一種事后分析手段。你可以利用它回顧和判斷對服務器的攻擊（和攻擊企圖），但是希望及時查看日志來對緊急情況做出快速反應是不可能的。如果需要進行預判反應，你應該考慮使用入侵預防系統如信息安全雜志評選的2003年度最新興技術獎得主：Lucid Security公司的ipAngel系統。

管理文件系統

我們已經討論了使用（或不使用）.htaccess文件對管理文件訪問權限的重要性。禁止通過文件系統許可對Apache服務器進行非授權修改也是很重要的。特別值得一提的是，你應該保證只有根用戶才能修改存儲在“/usr/local/apache ”目錄的文件（或者你選擇的任何Apache服務器的根目錄）。確保只有根用戶才能修改日志文件也很關鍵，這樣可以防止用戶掩蓋他們的操作。

Apache 服務器日常配置

1、如何設 置請求等待時間

在httpd.conf里面設置：


TimeOut n


其中n為整數，單位是秒。

設置這個TimeOut適用于三種情況：

2、如何接收一個get請求的總時間

接收一個post和put請求的TCP包之間的時間

TCP包傳輸中的響應（ack）時間間隔

3、如何使得apache監聽在特定的端口

修改httpd.conf里面關于Listen的選項，例如：


Listen 8000


是使apache監聽在8000端口

而如果要同時指定監聽端口和監聽地址，可以使用：


Listen 192.170.2.1:80
Listen 192.170.2.5:8000


這樣就使得apache同時監聽在192.170.2.1的80端口和192.170.2.5的8000端口。

當然也可以在httpd.conf里面設置：


Port 80


這樣來實現類似的效果。

4、如何設置apache的最大空閑進程數

修改httpd.conf，在里面設置：


MaxSpareServers n


其中n是一個整數。這樣當空閑進程超過n的時候，apache主進程會殺掉多余的空閑進程而保持空閑進程在n，節省了系統資源。如果在一個apache非常繁忙的站點調節這個參數才是必要的，但是在任何時候把這個參數調到很大都不是一個好主意。

同時也可以設置：


MinSpareServers n


來限制最少空閑進程數目來加快反應速度。

5、apache如何設置啟動時的子服務進程個數

在httpd.conf里面設置：


StartServers 5


這樣啟動apache后就有5個空閑子進程等待接受請求。

也可以參考MinSpareServers和MaxSpareServers設置。

6、如何在apache中設置每個連接的最大請求數

在httpd.conf里面設置：


MaxKeepAliveRequests 100


這樣就能保證在一個連接中，如果同時請求數達到100就不再響應這個連接的新請求，保證了系統資源不會被某個連接大量占用。但是在實際配置中要求盡量把這個數值調高來獲得較高的系統性能。

7、如何在apache中設置session的持續時間

在apache1.2以上的版本中，可以在httpd.conf里面設置：


KeepAlive on
KeepAliveTimeout 15


這樣就能限制每個session的保持時間是15秒。session的使用可以使得很多請求都可以通過同一個tcp連接來發送，節約了網絡資源和系統資源。

8、如何使得apache對客戶端進行域名驗證

可以在httpd.conf里面設置：


HostnameLookups on　off　double


如果是使用on，那么只有進行一次反查，如果用double，那么進行反查之后還要進行一次正向解析，只有兩次的結果互相符合才行，而off就是不進行域名驗證。

如果為了安全，建議使用double；為了加快訪問速度，建議使用off。

9、如何使得apache只監聽在特定的ip

修改httpd.conf，在里面使用


BindAddress 192.168.0.1


這樣就能使得apache只監聽外界對192.168.0.1的http請求。如果使用：


BindAddress *


就表明apache監聽所有網絡接口上的http請求。

當然用防火墻也可以實現。

10、apache中如何限制http請求的消息主體的大小

在httpd.conf里面設置：


LimitRequestBody n


n是整數，單位是byte。cgi腳本一般把表單里面內容作為消息的主體提交給服務器處理，所以現在消息主體的大小在使用cgi的時候很有用。比如使用cgi來上傳文件，如果有設置：


LimitRequestBody 102400


那么上傳文件超過100k的時候就會報錯。

11、如何修改apache的文檔根目錄

修改httpd.conf里面的DocumentRoot選項到指定的目錄，比如：


DocumentRoot /www/htdocs


這樣http://localhost/index.html就是對應/www/htdocs/index.html

12、如何修改apache的最大連接數

在httpd.conf中設置：


MaxClients n


n是整數，表示最大連接數，取值范圍在1和256之間，如果要讓apache支持更多的連接數，那么需要修改源碼中的httpd.h文件，把定義的HARD_SERVER_LIMIT值改大然后再編譯。

13、如何使每個用戶有獨立的cgi-bin目錄

有兩種可選擇的方法：

(1)在Apache配置文件里面關于public_html的設置后面加入下面的屬性：


ScriptAliasMatch ^/~([^/]*)/cgi-bin/(.*) /home/$1/cgi-bin/$2

(2)在Apache配置文件里面關于public_html的設置里面加入下面的屬性：
<CENTER><ccid_nobr>
<table width="400" border="1" cellspacing="0" cellpadding="2"
bordercolorlight = "black" bordercolordark = "#FFFFFF" align="center">
<tr>
<td bgcolor="e6e6e6" class="code" style="font-size:9pt">
<pre><ccid_code>　　
Options ExecCGI
SetHandler cgi-script


14、如何調整Apache的最大進程數

Apache允許為請求開的最大進程數是256,MaxClients的限制是256.如果用戶多了，用戶就只能看到Waiting for reply....然后等到下一個可用進程的出現。這個最大數，是Apache的程序決定的--它的NT版可以有1024，但Unix版只有256，你可以在src/include/httpd.h中看到：


#ifndef HARD_SERVER_LIMIT
#ifdef WIN32
#define HARD_SERVER_LIMIT 1024
#else
#define HARD_SERVER_LIMIT 256
#endif
#endif


你可以把它調到1024，然后再編譯你的系統。

15、如何屏蔽來自某個Internet地址的用戶訪問Apache服務器

可以使用deny和allow來限制訪問，比如要禁止202.202.202.xx網絡的用戶訪問：


o&#114;der deny,allow
deny from 202.202.202.0/24


　　

16、如何在日志里面記錄apache瀏覽器和引用信息

你需要把mod_log_config編譯到你的Apache服務器中，然后使用下面類似的配置：

CustomLog logs/access_log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i""

17、如何修改Apache返回的頭部信息

問題分析：當客戶端連接到Apache服務器的時候，Apache一般會返回服務器版本、非缺省模塊等信息，例如：


Server: Apache/1.3.26 (Unix) mod_perl/1.26


解決：

你可以在Apache的配置文件里面作如下設置讓它返回的關于服務器的信息減少到最少：


ServerTokens Prod


注意：

這樣設置以后Apache還會返回一定的服務器信息，比如：


Server: Apache


但是這個不會對服務器安全產生太多的影響，因為很多掃描軟件是掃描的時候是不顧你服務器返回的頭部信息的。你如果想把服務器返回的相關信息變成：


Server: It iS a nOnE-aPaCHe Server


那么你就要去修改源碼了。

如何才能防止encry目錄下的所有文件被非法下載呢？我們可以應用IIS中的應用程序映射結合ASP.NET中的IHttpHandler自定義權限，把IIS應用程序映射用于所有文件，并將控制權交給我們自己實現的IHttpHandler

首先添加應用程序映射：打開IIS管理器->右擊我們要控制下載的站點->在屬性對話框中“配置...”，將文件改為你自己.netFramework ASPnet_isapi.dll的路徑。

然后修改web.config，在system.web下添加httpHandlers項，


<system.web>
...
<httpHandlers>
<add verb="*" path="encry/*.*" type="CustomHttpHandler.Class1,CustomHttpHandler"></add>
</httpHandlers>
...
</system.web>


下面來實現IHttpHandler


//------------------------file:Class1.cs---------
using System;
using System.Web;
namespace CustomHttpHandler
{
/// <summary>
/// Class1 的摘要說明。
/// </summary>
public class Class1 : System.Web.IHttpHandler
{
public Class1()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region IHttpHandler 成員

public void ProcessRequest(HttpContext context)
{
// TODO: 添加 Class1.ProcessRequest 實現
// string strRefUrl=context.Request.ServerVariables["HTTP_REFERER"];
/*插入您自己的代碼，讀文件內容并填充Response，該例僅簡單返回一條錯誤信息*/
context.Response.Write("您無法訪問該頁");
}

public bool IsReusable
{
get
{
// TODO: 添加 Class1.IsReusable getter 實現
return false;
}
}

#endregion
}
}

在眾多媒體的宣傳報道下，今天的我們都知道了不能輕易打開電子郵件里的可執行文件類的附件，但是顯然那些破壞活動的制造者們也看了那些警告防范的文章，他們開始玩一些新的把戲，讓您以為那些附件只不過是沒有危險的文本文件或是圖像文件等就是其手段之一。由于目前大多數人使用的是windows系列操作系統，windows的默認設置是隱藏已知文件擴展名的，而當你去點擊那個看上去很友善的文件，那些破壞性的東西就跳出來了。您可能說這我早就知道了，那么下面講述的.txt文件的新欺騙方法及原理您知道嗎？
　　假如您收到的郵件附件中有一個看起來是這樣的文件：QQ靚號放送.txt，您是不是認為它肯定是純文本文件？我要告訴您，不一定！它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關聯的意思。但是存成文件名的時候它并不會顯現出來，您看到的就是個.txt文件，這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢？請看如果這個文件的內容如下：

　　您可能以為它會調用記事本來運行，可是如果您雙擊它，結果它卻調用了HTML來運行，并且自動在后臺開始格式化d盤，同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧？

　　欺騙實現原理：當您雙擊這個偽裝起來的.txt時候，由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會以html文件的形式運行，這是它能運行起來的先決條件。

　　文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者，在其中可以加載帶有破壞性質的命令。那么第2行又是干什么的呢？您可能已經注意到了第2行里的“WSCript”，對！就是它導演了全幕，它是實際行動總指揮。

　　WScript全稱Windows Scripting Host，它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器，位于c:WINDOWS下，正是它使得腳本可以被執行，就象執行批處理一樣。在Windows Scripting Host腳本環境里，預定義了一些對象，通過它自帶的幾個內置對象，可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。

最近盜號很猖獗，大家一定要小心看管自己的賬號!這里有一些小技巧希望大家能注意下。

1、公共場所上網、下機前，務必重起電腦

相信現在網吧電腦都100%安裝了還原系統，重起電腦基本可以杜絕菜鳥級別的盜號手段。

2、上網過程中，堅決不打開別人發你的不明鏈接

記得有一次，正跟玩魔力的朋 友QQ聊天。他莫名其妙的讓我去某網址看照片。我正猶豫的時候，他緊接著發過來一句“千萬別開那網頁，有病毒!我電腦已經感染了……”

上網，不要瀏覽亂七八糟的網站，尤其是現在的一些賣虛擬財產的網站，廣告價格特別便宜，其實就是引人上當。如果你上網感覺不明原因的電腦運行慢了，立刻重起電腦。

3、不要隨便陷入“網戀”

“網戀”騙號，損失的不只是物質財富，還有感情。網絡，只是一個虛擬的世界，不要過于想入非非。賬號盡量不要告訴別人，特別是異性，除非你絕對相信他!

4、賬號、密碼錯位輸入

比如你的賬號是“ABcdEFG”，你輸入的時候先輸入“cd”，再用鼠標把光標移動盜最前面輸入“AB”，再用鼠標把光標移動到最后輸入“EFG”。這種方法可以讓大多數木馬失效。

在享受互聯網為工作和生活帶來便利的同時，人們也不可避免地面臨著各種病毒的滋擾。

病毒和殺毒軟件就像矛和盾，面對種類不斷變化和殺傷力不斷增強的病毒，電腦系統、商業機密、個人隱私面臨著巨大的威脅，采取適合自己的防殺病毒的工具也就成為人們有效防護網絡安全的盾牌。該選擇怎樣的殺毒軟件來保護你的電腦呢？現在的殺軟更新真是快，2006的硝煙尚未散去，國產三巨頭的2007版本便粉墨登場了。看看在對幾款主流殺毒軟件做出的比較后，你是不是會更好地選擇了呢？

國內殺毒軟件

金山毒霸 2007

該軟件最強悍的功能就是加入了殺殼的功能。加殼的病毒木馬一直是國內的殺毒軟件檢測不出來的，金山毒霸2007這一特點無疑為其增添不少魅力。

金山毒霸2007是一款功能強大、方便易用的個人及家庭首選反病毒產品，包括金山毒霸、金山網鏢、金山反間諜和金山漏洞修復。金山毒霸脫殼引擎模塊的發布，大幅度改善了金山毒霸對已知計算機病毒被人為加殼后的查殺能力，以及由于殼的原因帶來的對已知計算機病毒查殺能力的問題。

江民殺毒軟件KV2007

可有效清除20多萬種已知計算機病毒、蠕蟲、木馬、黑客程序、網頁病毒、郵件病毒、腳本病毒等，全方位主動防御未知病毒，新增流氓軟件清理功能。

新推出第三代BOOTSCAN系統啟動前殺毒功能支持全中文菜單式操作，使用更方便，殺毒更徹底。

新增可升級光盤啟動殺毒功能，可在系統癱瘓狀態下從光盤啟動電腦并升級病毒庫進行殺毒。該軟件還具有反黑客、反木馬、漏洞掃描、垃圾郵件識別、硬盤數據恢復、網銀網游密碼保護、IE助手、系統診斷、文件粉碎、可疑文件強力刪除、反網絡釣魚等十二大功能。

瑞星殺毒軟件2007

基于第八代虛擬機脫殼引擎(VUE)研制開發的新一代信息安全產品，能準確查殺各種加殼變種病毒、未知病毒、黑客、木馬、惡意網頁、間諜軟件、流氓軟件等有害程序，在病毒處理速度、病毒清除能力、病毒誤報率、資源占用率等主要技術指標上實現了新的突破。

用戶可以免費下載安裝包，具有免費查毒和實時監控功能，無需用戶每次都連接到互聯網就能免費查毒。

瑞星“虛擬機脫殼”引擎(VUE)，是在計算機中構建一個仿真的運行環境，讓加殼病毒在運行中自行脫殼、還原到原始形態，這樣就能方便、徹底地將病毒清除掉，它還可以將殺毒軟件的病毒庫減小1/3，并極大降低對系統資源的占用，使電腦運行得更流暢。

國外殺毒軟件

卡巴斯基

Kaspersky(卡巴斯基)殺毒軟件來源于俄羅斯，是世界上最優秀、最頂級的網絡殺毒軟件，查殺病毒性能遠高于同類產品。

卡巴斯基殺毒軟件具有超強的中心管理和殺毒能力，能真正實現帶毒殺毒，提供了廣泛的抗病毒解決方案。

該軟件提供了所有類型的抗病毒防護：抗病毒掃描儀，監控器，行為阻斷和完全檢驗，支持幾乎所有的普通操作系統、e-mail通路和防火墻。

諾頓

諾頓殺毒軟件是賽門鐵克公司的產品，在國際上具有很高的知名度。諾頓殺毒軟件可幫你偵測上萬種已知和未知的病毒。

當你從磁盤、網絡上、e-mail夾檔中開啟文件時便會自動偵測文件的安全性，若文件內含病毒，便會立即警告，并作適當的處理。

諾頓具有防御非病毒性威脅，同病毒一樣，間諜程序、擊鍵記錄程序等非病毒性威脅也會危害電腦的安全。諾頓防病毒可以通過掃描檢測到這些威脅，并且針對這些非病毒性威脅提供持續的防護更新。

McAfee

全球最暢銷的殺毒軟件之一，除了操作界面更新外,也增加了許多新功能。除了幫你偵測和清除病毒，它還有VShield自動監視系統，會常駐在System Tray，當你從磁盤、網絡上、e-mail文件夾中開啟文件時便會自動偵測文件的安全性，若文件內含病毒，便會立即警告，并作適當的處理。

該軟件還支持鼠標右鍵的快速選單功能，并可用密碼將個人的設定鎖住，讓別人無法亂改你的設定。

系統維護軟件

對于初級用戶來說，學會了電腦的基本操作，最頭痛的就是安全問題。時不時的死機和病毒的侵害、數據的丟失以及網絡安全問題都是我們時刻面臨的威脅，因此，有必要使用系統維護軟件維護系統的正常運行。

維護操作系統

一鍵還原精靈

一鍵還原精靈是一種備份C盤的軟件，而且可以免費使用。

與ghost手工備份不同的是，一鍵還原精靈在安裝時先在硬盤最末部分分割出一個分區，用來存放備份。為了防止被誤刪，該分區是隱藏的，在Windows資源管理器里看不到，而且備份文件位于隱藏分區，不受病毒感染。

一旦系統崩潰，使用者按指導操作即可將已備份系統盤符下的所有文件還原。

維護硬盤

Windows優化大師

Windows優化大師小巧的系統信息查看、清理、維護等功能強大，能夠全面掃描出計算機中的硬件信息和系統中的垃圾、錯誤。注冊用戶還可以得到硬件優化方案，方便快捷地清除掃描出的垃圾和錯誤。

超級兔子

超級兔子是完整的系統維護工具，可以清理大多數的文件、注冊表里面的垃圾，同時還有強力的軟件卸載功能，可以清理應用軟件在電腦內的所有記錄。

其中，超級兔子上網精靈具有IE修復、IE保護、惡意程序檢測及清除工能，還能防止其他人瀏覽網站，阻擋色情網站，以及端口的過濾。超級兔子系統檢測可以診斷一臺電腦系統的CPU、顯卡、硬盤速度，還有磁盤修復及鍵盤檢測功能。

對付流氓軟件

360安全衛士

360安全衛士是奇虎公司推出的反流氓軟件的得力工具，更新很快，基本上每周都會更新特征庫。有流氓軟件清理、系統進程監控、系統全面診斷等功能，還輔助有IE歷史文件、cook-ie、自動保存的密碼清理等功能。

卸載軟件

完美卸載

完美卸載軟件可以在安裝軟件時監視系統狀態，詳細記錄新裝軟件在系統中的存儲情況，以及在注冊表中的新加項目。到目前為止，完美卸載軟件都是免費對外的，并且提供免費實時升級。

這里的所謂“Web源代碼”，指的是客戶端的諸如HTML、Javascript之類的東西，當你辛辛苦苦寫出來一個web應用程序時，可能希望自己的勞動成果不被別人任意剽竊修改，但是這些東西如果不加處理，很容易被人拷貝。

其實說實話，我個人認為，作為描述性的語言，web源代碼沒有經過編譯，也就是說，無論怎么加密，它在客戶端都會最終以源代碼形式出現，要絕對的防止被察看是不可能的。但是，我們還是要討論這個問題，因為雖然沒有絕對，但是相對比較安全就好了，正如系統的安全沒有絕對，只有相對一樣。只要能讓絕大多數人束手無策，我們的目的也就達到了。

首先，禁止右鍵是一個比較常見的方法，這無論如何是不能徹底阻止用戶察看源代碼，但是既然無法防止用戶察看代碼，就只能把代碼加工，讓人看了也無法理解其意義。

一個比較經典而有效的方法是利用的js的escape方法，將源代碼經過escape編碼后，大部分文字被轉換成了型如%xx的編碼，unicode字符被轉換成%uxxxx格式，于是看起來一片混亂。使用的時候先將這段編碼作為數據，利用unescape轉換回原貌，再用js寫進需要的位置，于是便可正常使用了。

這個方法原理簡單，而且可以反復調用，將源代碼經過數層加密(將解密的程序本身也作為源代碼進行加密)，已經足以讓大部分的人摸不著頭腦了。他的缺點是編碼效率不高，經過編碼后數據量增加很多。而且這種編碼要解也很容易。

仿照這個原理，其實你可以自己寫出自己的算法來代替escape，不過因為這個部分源代碼也是明文，所以其實意義不大，只能唬唬那些利用現成工具解碼的人，稍微會編程的人都可以利用你的源代碼部分，修改一下輸出，得到你的代碼明文。

作為全球最大的軟件商，微軟公司也意識到了腳本的知識產權保護問題，因此在IE5以上的版本里加入了對編碼腳本的支持，這里的“編碼”和上面所述的略有不同，這是通過微軟專門的wse(windows script encoder)進行腳本編碼，其范圍也不僅僅局限于客戶端腳本，它也可以對wsh，甚至服務器端的ASP腳本進行編碼，經過編碼的腳本看起來是一堆亂七八糟毫無疑義的字符(好像unicode會不經編碼原封不動的保留下來)，在運行的時候在腳本引擎內部進行解碼，由于解碼算法是腳本引擎內置的，所以一般人難以解出源代碼。另外，由于解碼中要進行完整性效驗，即使unicode以原碼顯示出來了也不能被修改，修改哪怕是一個字節，就會使整段代碼失效。

這個方法目前看來很安全，還沒有現成的工具對其進行破解。但是要知道，這些算法是可逆的，也就是說遲早會有人找出其算法，我甚至猜測script engine本身提供了編碼解碼的接口，可以直接調用的。解密工具遲早要出來。而且這個加密方法有個很大的缺陷，就是必須要求IE5以上才能用，要知道，IE4的用戶不在少數，因此在很大程度上限制了推廣使用。

真的沒有兩全的辦法了嗎？

寫到這里，我自己產生了一個想法：利用隨機密匙+固定或隨機算法進行加密，只是一時想法，還不成熟，而且也只是可以騙過一般人而已，不妨寫下來供參考：

先想一種需要密匙的算法，比如xor，在服務器端寫好加密算法，當用戶訪問此頁的時候生成一個隨機密匙，將解密算法以及加密后的數據發到客戶端頁面上，而在之前將此次會話生成的密匙通過某種特別途徑發給客戶端(比如服務器發來的cookie)，然后在客戶端讀出cookie里的密匙進行實時解密。由于不帶過期參數的cookie是存在內存里的，在硬盤里找不到，因此除非用戶知道寫cookie的那個頁面并且察看其http頭(同時還要向服務器發去維持本次會話的sessionID以防止密匙改變)，否則是無法解密的。由于向客戶端發送cookie的頁面可以隨機(可以在加密頁面出現之前的任意頁面)，而且密匙甚至算法均可隨機，找到密匙，算法，數據三者相對應的過程相當之繁瑣，可以嚇倒不少的人。

這種加密法是否可行還有待探討，只是我一時想法而已，有空的時候我會試驗一下，看看到底能不能用。

殺毒軟件多遭人詬病。不知道是廠商不夠努力還是用戶實在太挑剔，幾乎每一款殺毒軟件都會有人提出批評意見，不是殺不掉病毒就是太占用系統資源。其實我們很多的時候看到殺毒軟件眼睜睜看著病毒溜走，這其實并不完全是殺毒軟件的錯，作為使用者的我們對殺毒軟件也有很多地方使用不當。
理論上說，殺毒軟件如果能正常識別一個病毒的名稱，一般都能殺掉，不過也有一些病毒或開機自啟動，或常駐內存，或嵌入到系統進程中，更有甚者注冊為系統服務，遇到這些偽裝頗高明的惡性病毒，殺毒軟件也只能掂量著發力了。這個時候，進入到安全模式下再殺毒不失為一個好的方法。

現在就讓我們來看一看怎樣在安全模式下用殺毒軟件大干一場。首先在正常模式下將殺毒軟件病毒庫升級至最新，關閉系統還原，具體步驟：我的電腦—“右鍵”屬性—系統還原—點“在所有驅動器上關閉系統還原”，最后點擊確定。接下來清空IE緩存，具體方法：啟動IE瀏覽器—工具—Internet選項—刪除Internet臨時文件。準備工作已經完成，下面我們就可以進入安全模式殺毒了。

進入安全模式后只要正常啟動殺毒軟件，對電腦進行全面掃描，一般來說，這個掃描完成后的電腦就是比較干凈的了。

無論使用的是正版還是盜版殺毒軟件，最重要的是該軟件可以正常升級，同時一定要開啟實時監控，2-3天升級最為合適。千萬不要等到殺毒軟件提醒你要升級了才開始行動，因為擁有良好的安全意識才能遠離各種威脅，不能總是依靠殺毒軟件來自行解決問題。說到底，殺毒軟件只是一個工具，能讓電腦更清凈的是用戶。