計算機安全防范解決方案研究畢業(yè)論文

1、<p>　　2011本科畢業(yè)設(shè)計（論文）</p><p>　　題目：計算機安全防范解決方案研究</p><p><b>　　——個人電腦安全</b></p><p><b>　　2011年11月</b></p><p>　　計算機安全防范解決方案研究</p><p>

2、;<b>　　——個人電腦安全</b></p><p><b>　　摘要</b></p><p>　　在計算機沒有大規(guī)模普及之前，人們會將重要的文件資料鎖到文件柜或保險柜</p><p>　　保管。隨著計算機以及因特網(wǎng)的迅速發(fā)展而趨向于利用計算機和網(wǎng)絡(luò)實現(xiàn)信息的數(shù)據(jù)化管理。各種重要的信息（如商業(yè)秘密、技術(shù)專利等）如果存放在

3、沒有安全防范措施的計算機中，這就像用不上鎖的文件柜來存放機密文件。由于計算機的開放性和標(biāo)準(zhǔn)化等結(jié)構(gòu)特點，使計算機信息具有高度共享和易于擴散的特性，導(dǎo)致計算機信息（如重要密碼）在處理、存儲、傳輸和應(yīng)用過程中很容易被泄露、竊取、篡改和破壞，或者受到計算機病毒感染、后門程序、漏洞和網(wǎng)絡(luò)黑客的攻擊，給企業(yè)帶來極大的風(fēng)險。這時候，計算機的安全性就凸顯出它的重要性了。每個計算機用戶或多或少地都親身體驗過病毒或者木馬、黑客的騷擾。針對個人來說所帶來的

4、損失可能還不算大，但對于企業(yè)來說，可能會是滅頂之災(zāi)。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；信息；攻擊；后門程序；漏洞；密碼；病毒；</p><p>　　The computer safety guard against a solution a research</p><p>　　-Personal computer safety</p><

5、p><b>　　Summary</b></p><p>　　Before the calculator have no large-scale universality, people meeting importance of document data lock arrive document cabinet or safe</p><p>　　Preser

6、vation.Incline toward exploitation calculator and network realization information with the quick development of the calculator and Internet</p><p>　　Of the data turn a management.If the information(like busi

7、ness secret, technique patent...etc.) of various importance deposit in there is no safety guarding against the calculator of measure in, this is like to use not lock of document cabinet to deposit secret document.Because

8、 the calculator open sex and standardize an etc. structure characteristics, make the calculator information have height share with be easy to proliferation of characteristic, cause the calculator information(such as impo

9、rt</p><p>　　Keyword:The network safety； information； attack； back door procedure； loophole； password； virus；</p><p><b>　　目 錄</b></p><p>　　第1章 計算機端口及服務(wù)安全防范1</p>

10、<p>　　1.1 端口的概述1</p><p>　　1.2常用的端口和服務(wù)2</p><p>　　1.3端口的安全防范3</p><p>　　1.4計算機常用服務(wù)防范4</p><p>　　第2章 計算機系統(tǒng)漏洞5</p><p><b>　　2.1漏洞分析5</b><

11、;/p><p>　　2.2漏洞解決方案6</p><p>　　第3章 計算機共享資源及本地策略安全防范7</p><p>　　3.1共享資源安全分析7</p><p>　　3.2共享資源安全防范8</p><p>　　3.3本地策略安全防范9</p><p>　　3.4 DIY在本地策略的

12、安全選項10</p><p>　　第4章 計算機病毒及木馬防范11</p><p>　　4.1病毒及木馬的概述11</p><p>　　4.2 病毒及木馬的種類12</p><p>　　4.3 病毒及木馬防范技巧13</p><p>　　4.3.1巧用命令行 徹查電腦中的惡意軟件16</p>

13、<p>　　4.3.2 網(wǎng)銀木馬病毒原理與防殺辦法18</p><p>　　4.3.3 查殺IMG病毒的常用方法及防范措施 21</p><p>　　第5章總結(jié)與展望25</p><p>　　5.1 本研究工作總結(jié)25</p><p>　　5.2 計算機安全防范展望25</p><p><b&

14、gt;　　參考文獻(xiàn)26</b></p><p><b>　　致 謝27</b></p><p>　　第一章 計算機端口及服務(wù)安全防范</p><p>　　1.1 端口的概述</p><p>　　計算機“端口”是英文port的義譯，可以認(rèn)為是計算機與外界通訊交流的出口。其中硬件領(lǐng)域的端口又稱接口，如

15、：USB端口、串行端口等。軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議端口，是一種抽象的軟件結(jié)構(gòu)，包括一些數(shù)據(jù)結(jié)構(gòu)和I/O（基本輸入輸出）緩沖區(qū)。</p><p>　　端口號有兩種基本分配方式：第一種叫全局分配這是一種集中分配方式，由一個公認(rèn)權(quán)威的中央機構(gòu)根據(jù)用戶需要進(jìn)行統(tǒng)一分配，并將結(jié)果公布于眾，第二種是本地分配，又稱動態(tài)連接，即進(jìn)程需要訪問傳輸層服務(wù)時，向本地操作系統(tǒng)提出申請，操作系統(tǒng)返回本地

16、唯一的端口號，進(jìn)程再通過合適的系統(tǒng)調(diào)用，將自己和該端口連接起來（binding，綁定）。</p><p>　　TCP/IP端口號的分配綜合了以上兩種方式，將端口號分為兩部分，少量的作為保留端口，以全局方式分配給服務(wù)進(jìn)程。每一個標(biāo)準(zhǔn)服務(wù)器都擁有一個全局公認(rèn)的端口叫周知口，即使在不同的機器上，其端口號也相同。剩余的為自由端口，以本地方式進(jìn)行分配。TCP和UDP規(guī)定，小于256的端口才能作為保留端口。</p>

17、;<p>　　按端口號可分為3大類： （1）公認(rèn)端口（Well Known Ports）：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實際上總是HTTP通訊。 （2）注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端

18、口從1024左右開始。 （3）動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。</p><p><b>　　常用的端口及服務(wù)</b></p><p>　　端口：21 服務(wù)：FTP 說明

19、：FTP服務(wù)器所開放的端口，用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。 木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。</p><p>　　端口：23 服務(wù)：Telnet 說明：遠(yuǎn)程登錄，入侵者在搜索遠(yuǎn)程登錄UNIX的服務(wù)。大多數(shù)情況下掃描這一端口是為了找

20、到機器運行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。</p><p>　　端口：25 服務(wù)：SMTP 說明：SMTP服務(wù)器所開放的端口，用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E -MAIL服務(wù)器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password S

21、ender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。</p><p>　　端口：53 服務(wù)：Domain Name Server（DNS） 說明：DNS服務(wù)器所開放的端口，入侵者可能是試圖進(jìn)行區(qū)域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通信。因此防火墻常常過濾或記錄此端口。</p><p>　　端口：80 服務(wù)：H

22、TTP 說明：用于網(wǎng)頁瀏覽。木馬Executor開放此端口</p><p>　　1.3 端口的安全防范</p><p>　　1.關(guān)閉自己的139端口，ICP和RPC漏洞存在于此。 </p><p>　　關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級TCP/IP設(shè)置”“WinS設(shè)置”里面有一項“

23、禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口</p><p>　　2．445端口的關(guān)閉 </p><p>　　修改注冊表，添加一個鍵值 </p><p>　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為R

24、EG_DWORD類型鍵值為 0 。</p><p>　　3．4899端口的防范 </p><p>　　網(wǎng)絡(luò)上有許多關(guān)于3389和4899的入侵方法。4899其實是一個遠(yuǎn)程控制軟件所開啟的服務(wù)端端口，由于這些控制軟件功能強大，所以經(jīng)常被黑客用來控制自己的肉雞，而且這類軟件一般不會被殺毒軟件查殺，比后門還要安全。 </p><p>　　4899不象3389那樣，是系統(tǒng)自

25、帶的服務(wù)。需要自己安裝，而且需要將服務(wù)端上傳到入侵的電腦并運行服務(wù)，才能達(dá)到控制的目的。 </p><p>　　所以只要你的電腦做了基本的安全配置，黑客是很難通過4899來控制你的</p><p><b>　　4．135端口</b></p><p>　　運行dcomcnfg，展開“組件服務(wù)”→“計算機”，在“我的電腦”上點右鍵選“屬性”，切換到

26、“默認(rèn)屬性”，取消“啟用分布式COM”；然后切換到“默認(rèn)協(xié)議”，刪除“面向連接的TCP/IP”。</p><p><b>　　23端口</b></p><p>　　關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序</p><p><b>　　6. 21端口</b></p><

27、p>　　關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)的管單元提供 FTP連接和管理。</p><p>　　1.4 計算機常用服務(wù)防范</p><p>　　在運行中，輸入Services.msc，將以下服務(wù)關(guān)閉：</p><p>　　1.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠(yuǎn)程計算機共享]。 &l

28、t;/p><p>　　2.Distributed File System[將分散的文件共享合并成一個邏輯名稱，共享出去，關(guān)閉后遠(yuǎn)程計算機無法訪問共享]。 </p><p>　　3.Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接? ?蹤客戶端服務(wù)]。 </p><p>　　4.IMAPI CD-Burning COM Service

29、[管理 CD 錄制]。 </p><p>　　5.Indexing Service[提供本地或遠(yuǎn)程計算機上文件的索引內(nèi)容和屬性，泄露信息]。 </p><p>　　6.License Logging[監(jiān)視IIS和SQL如果你沒安裝IIS和SQL的話就停止]。 </p><p>　　7.NetMeeting Remote Desktop Sharing[netmeet

30、ing公司留下的客戶信息收集]。 </p><p>　　8.Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換]。 </p><p>　　9.Print Spooler[打印機服務(wù)，沒有打印機就禁止吧]。</p><p>　　10.Telnet[允許遠(yuǎn)程用戶登錄到此計算機并運行程序] 。</p><p>　　11

31、.Terminal Services[允許用戶以交互方式連接到遠(yuǎn)程計算機]</p><p>　　12.Print Spooler[打印機服務(wù)，沒有打印機就禁止吧]。 </p><p>　　13.Remote Desktop Help& nbsp;Session Manager[管理并控制遠(yuǎn)程協(xié)助]。 </p><p>　　14.Remote Registry

32、[使遠(yuǎn)程計算機用戶修改本地注冊表]。 </p><p>　　如果發(fā)現(xiàn)機器開啟了一些很奇怪的服務(wù)，如r_server這樣的服務(wù)，必上停止該服務(wù)，因為這完全有可能是黑客使用控制程序的服務(wù)端</p><p>　　第二章 計算機系統(tǒng)漏洞</p><p><b>　　2.1漏洞分析</b></p><p>　　系統(tǒng)漏洞就是開發(fā)商在

33、操作系統(tǒng)設(shè)計的時候沒有考慮周全，當(dāng)程序遇到了</p><p>　　一個看似合理，但實際上無法處理的問題時，就會引發(fā)一些不可預(yù)見的錯誤，而這些錯誤是不可避免的，就像網(wǎng)站的漏洞也是，比如說這個http://www.51winer.com網(wǎng)站，它就存在不少漏洞，只是站長沒有去發(fā)現(xiàn)這些問題而已。</p><p>　　系統(tǒng)漏洞又稱為“安全缺陷”或者“系統(tǒng)BUG”同時也成為黑客為了達(dá)到他們的攻擊目的而

34、尋找的一個攻擊入口。漏洞是隨著操作系統(tǒng)，無論是Windows還是Linux程序的規(guī)模不斷增大而逐漸增加的。操作系統(tǒng)的安全漏洞越多，暴露給攻擊者的目標(biāo)也就越大。同時。操作系統(tǒng)是控制整個系統(tǒng)的安全核心，選擇操作系統(tǒng)的安全漏洞進(jìn)行攻擊可以迅速產(chǎn)生巨大的破壞性，使被攻擊方迅速處于癱瘓或崩潰狀態(tài)。正因為如此，黑客在實施攻擊前往往首先要尋找到的就是對方操作系統(tǒng)的安全漏洞，然后再有針對性的利用相應(yīng)的攻擊手段實現(xiàn)攻擊。</p><p

35、>　　目前服務(wù)器常用的操作系統(tǒng)有3類：Windows、Unix、Linux。這3類操作系</p><p>　　都是符合C3級安全級別的操作系統(tǒng)。但應(yīng)用最廣泛的服務(wù)器操作系統(tǒng)仍然</p><p>　　Windows Server 2003、Windows 2000 Serve，同時每隔一段時間都會被發(fā)現(xiàn)有</p><p>　　些大大小小的漏洞，其中有很多漏洞可

36、以使攻擊者直接取得系統(tǒng)管理員的高級控制</p><p>　　限，這樣的后果將不堪設(shè)想。輕則會被拿來作為攻擊其他機器的跳板，重則可能造成</p><p>　　信息泄露，更有可能會破壞用戶所有的數(shù)據(jù)。據(jù)統(tǒng)計，一臺未打補丁的Windows系統(tǒng)，接入互聯(lián)網(wǎng)后，不到2分鐘就會受到各種漏洞所攻擊，并導(dǎo)致計算機中毒或崩潰。</p><p>　　目前普通用戶碰到的漏洞威脅主要以微軟

37、的操作系統(tǒng)漏洞居多。微軟被新發(fā)現(xiàn)的漏洞數(shù)量每年都在增長，僅2005年截止到11月，微軟公司便對外公布漏洞51個，其中嚴(yán)重等級27個。眾所周知，微軟的Windows操作系統(tǒng)在個人計算機中有極高的市場占有率，用戶群體非常龐大。利用微軟的系統(tǒng)漏洞傳播的病毒明顯具有傳播速度快、感染人群多、破壞嚴(yán)重的特點。</p><p>　　2003年的沖擊波就是利用Windows XP和Windows Server 2003系統(tǒng)的一種

38、</p><p>　　程服務(wù)漏洞進(jìn)行攻擊的，如果沒有安裝相關(guān)的安全補丁，那么目標(biāo)計算機系統(tǒng)將強</p><p>　　不停的重新啟動。用戶根本沒辦法使用。</p><p>　　造成系統(tǒng)漏洞的原因是多方面的，但主要包括兩個方面的內(nèi)容：不安全的服務(wù)、配置與初始化錯誤。</p><p>　　2.2 漏洞解決方案 </p><p&

39、gt;<b>　　系統(tǒng)漏洞補丁的下載</b></p><p>　　“系統(tǒng)漏洞補丁”一詞，想必大家都不陌生，就微軟的操作系統(tǒng)而言，因其龐大的市場占有率，使得黑客們加倍的“喜愛”，因此微軟會定期的發(fā)布一些最新的補丁升級包供用戶下載安裝，從而完善和確保系統(tǒng)的穩(wěn)定性，阻止黑客的攻擊，達(dá)到進(jìn)一步保障系統(tǒng)安全的目的。微軟發(fā)出的補丁包更多針對于系統(tǒng)和IE，因為更多時候黑客會選擇IE和系統(tǒng)的漏洞進(jìn)行攻擊，讓

40、人防不勝防。</p><p>　　其實，避免因為系統(tǒng)漏洞造成的損害很簡單，您可以通過打開Windows系統(tǒng)自動升級功能進(jìn)行下載安裝，但是，由于操作系統(tǒng)的版本問題，部分用戶可能無法正常下載，或者下載了一些對自己的操作系統(tǒng)并不實用的補丁升級包，反而占用了大量計算機空間，這樣一來就不是很合適了。</p><p><b>　　圖示1：</b></p><p

41、>　　第三章 計算機共享資源及本地策略安全防范</p><p>　　3.1共享資源安全分析</p><p>　　隨著計算機網(wǎng)絡(luò)的迅速普及，很多企事業(yè)單位都鋪設(shè)了局域網(wǎng)，有的還開通了Internet連接。單位內(nèi)部各個部門之間，甚至企事業(yè)單位之間，經(jīng)常會因工作需要而共享某些信息，由此引發(fā)了共享信息資源的安全問題。尤其是一些關(guān)鍵部門的信息安全問題更不容忽視。姑且不論網(wǎng)絡(luò)病毒感染、黑客入侵，

42、就連保證共享資源的基本安全就已經(jīng)讓一般的工作人員頭痛不已。 盡管網(wǎng)絡(luò)安全問題日漸突出，然而計算機網(wǎng)絡(luò)化已是大勢所趨，不能因為存在安全問題隱患就因噎廢食。事實上，只要防范措施得當(dāng)，在一定程度上共享信息資源的安全是可以得到有效保障的。</p><p>　　人們通常采用口令保護(hù)的方法來限制非授權(quán)用戶對共享信息資源的訪問，但如果措施不當(dāng)，仍會造成信息泄露。常見的安全問題分析如下： 1．未設(shè)口令。 2．口令過于簡單。

43、 3．將"訪問類型"設(shè)置為"根據(jù)密碼訪問"，但卻僅僅設(shè)置了"只讀密碼"，而未設(shè)置"完全訪問密碼"。這樣，任何用戶不必輸入任何口令，就可以存取共享資源，導(dǎo)致"只讀密碼"形同虛設(shè)。事實上，這種現(xiàn)象非常普遍。 4．很多人由于需要訪問的共享資源較多，且分散在不同的位置上，而訪問每種資源又必須逐個輸入口令，因此傾向于選取口令對話框中?quot;

44、保存密碼"選項，以在硬盤上保存這些口令。下次再訪問相同資源時就不必輸入令人討厭的口令。孰不知，這種做法雖然省去了輸入口令的煩惱，但卻對整個網(wǎng)絡(luò)的安全構(gòu)成了很大的威脅。因為一旦選擇了"保存密碼"選項，以后在訪問相同的共享資源時，系統(tǒng)會自動填好口令。雖然口令在屏幕上顯示為一些星號，但實際上是很容易破解的。已有很多工具軟件專門破解這種口令，而且這種軟件很容易編寫。 5．Windows 9x默認(rèn)將口令保存到擴展名

45、為PWL的緩存文件中。PWL文件是保存在本機硬盤上的一個用于訪問網(wǎng)絡(luò)資源的高速緩存的口令</p><p>　　3.2共享資源安全防范措施：</p><p>　　1．仔細(xì)檢查是否每個共享資源均設(shè)置了口令保護(hù)。 2．保證口令的長度至少應(yīng)在7個字符以上，且最好大小寫字母、數(shù)字、符號混合使用，以增加破解的難度。 3．若將"訪問類型"設(shè)置為"根據(jù)密碼訪問"

46、，則必須同時分別設(shè)置"只讀密碼" 和"完全訪問密碼"。 4．不要在本機保存口令。如千萬不要在口令輸入對話框中選擇"保存密碼"選 項。 5．Windows 9x默認(rèn)允許緩存口令，導(dǎo)致安全保密工作難度加大。建議完全禁止口令高速緩存。 具體方法是將注冊表中"HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\Cu

47、rrentVersion\Policies\Network\DisablePwdCaching"鍵對應(yīng)的DWORD值設(shè)為1。然后將Windows目錄下所有擴展名為PWL的文件刪除即可。 <BR< p> 完成上述設(shè)置后，口令輸入對話框中就再不會出現(xiàn)"保存密碼"選項了。 6．對于Windows NT而言，可以進(jìn)行登錄審計，以限定用戶登錄的次數(shù)，這樣可以有效防止非授權(quán)人員無限制地采用窮舉方法破

48、解口令。 7．除非必要，否則不要將整個硬盤分</p><p>　　9.刪除共享(每次輸入一個） </p><p>　　net share admin$ /delete </p><p>　　net share c$ /delete net share d$ /delete（如果有e，f，……可以繼續(xù)刪除）</p><p>　　3.3 本地策

49、略安全防范</p><p>　　賬號密碼的安全原則 ：</p><p>　　首先禁用guest帳號，將系統(tǒng)內(nèi)建的administrator帳號改名～～（改的越復(fù)雜越好，最好改成中文的），而且要設(shè)置一個密碼，最 好是8位以上字母數(shù)字符號組合。 </p><p>　　如果你使用的是其他帳號，最好不要將其加進(jìn)administrators，如果加入administrato

50、rs組，一定也要設(shè)置一個足夠安全的密碼，同上如果你設(shè)置adminstrator的密碼時，最好在安全模式下設(shè)置，因為經(jīng)我研究發(fā)現(xiàn)，在系統(tǒng)中 擁有最高權(quán)限的帳號，不是正常登陸下的adminitrator帳號，因為即使有了這個帳號，同樣可以登陸安全模式，將sam文件刪除，從而更改系統(tǒng)的administrator的密碼！而在安全模式下設(shè)置的administrator則不會出現(xiàn)這種情況，因為不知道這個administrator密碼是無法進(jìn)入安全模

51、式。權(quán)限達(dá)到最大這個是密碼策略：用戶可以根據(jù)自己的習(xí)慣設(shè)置密碼。</p><p>　　本地安全策略，打開管理工具.本地安全設(shè)置.密碼策略：</p><p>　　1.密碼必須符合復(fù)雜要求性.啟用 </p><p>　　2.密碼最小值.我設(shè)置的是8 </p><p>　　3.密碼最長使用期限.我是默認(rèn)設(shè)置42天 </p><p

52、>　　4.密碼最短使用期限0天 </p><p>　　5.強制密碼歷史 記住0個密碼 </p><p>　　6.用可還原的加密來存儲密碼 禁用</p><p>　　3.4 DIY在本地策略的安全選項</p><p>　　1）當(dāng)?shù)顷憰r間用完時自動注銷用戶(本地) 防止黑客密碼滲透. </p><p>　　2）登陸屏

53、幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù)，別人登陸時，就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧. </p><p>　　3）對匿名連接的額外限制 </p><p>　　4）禁止按 alt+crtl +del(沒必要） </p><p>　　5）允許在未登陸前關(guān)機[防止遠(yuǎn)程關(guān)機/啟動、強制關(guān)機/啟動] </p><p>　　6

54、）只有本地登陸用戶才能訪問cd-rom </p><p>　　7）只有本地登陸用戶才能訪問軟驅(qū) </p><p>　　8）取消關(guān)機原因的提示 </p><p>　　1、打開控制面板窗口，雙擊“電源選項”圖標(biāo)，在隨后出現(xiàn)的電源屬性窗口中，進(jìn)入到“高級”標(biāo)簽頁面； </p><p>　　2、在該頁面的“電源按鈕”設(shè)置項處，將“在按下計算機電源按鈕

55、時”設(shè)置為“關(guān)機”，單擊“確定”按鈕，來退出設(shè)置框； </p><p>　　3、以后需要關(guān)機時，可以直接按下電源按鍵，就能直接關(guān)閉計算機了。當(dāng)然，我們也能啟用休眠功能鍵，來實現(xiàn)快速關(guān)機和開機； </p><p>　　4、要是系統(tǒng)中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項，進(jìn)入到休眠標(biāo)簽頁面，并在其中將“啟用休眠”選項選中就可以了。</p><p>　

56、　第四章 計算機病毒及木馬防范</p><p>　　4.1病毒及木馬的概述</p><p>　　木馬（Trojan）這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。</p><p>　　“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它

57、通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦?！澳抉R”與計算機網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的。 </p><p>　　它是指通過一段特定的程序（木馬程序）來

58、控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運行了“服務(wù)器”的電腦。運行了木馬程序的“服務(wù)器”以后，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個人隱私也就全無保障了！ 木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運行并被控制端連接，其控制端將享

59、有服務(wù)端的大部分操作權(quán)限，例如給計算機增加口令，瀏覽、移動、復(fù)制、刪除文件，修改注冊表，更改計算機配置等。</p><p>　　隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發(fā)覺。</p><p>　　4.2 木馬病毒的種類：</p><p>　　1. 網(wǎng)絡(luò)游戲木馬 </p>

60、<p>　　隨著網(wǎng)絡(luò)在線游戲的普及和升溫，我國擁有規(guī)模龐大的網(wǎng)游玩家。網(wǎng)絡(luò)游戲中的金錢、裝備等虛擬財富與現(xiàn)實財富之間的界限越來越模糊。與此同時，以盜取網(wǎng)游帳號密碼為目的的木馬病毒也隨之發(fā)展泛濫起來。 </p><p>　　網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。 </p

61、><p>　　網(wǎng)絡(luò)游戲木馬的種類和數(shù)量，在國產(chǎn)木馬病毒中都首屈一指。流行的網(wǎng)絡(luò)游戲無一不受網(wǎng)游木馬的威脅。一款新游戲正式發(fā)布后，往往在一到兩個星期內(nèi)，就會有相應(yīng)的木馬程序被制作出來。大量的木馬生成器和黑客網(wǎng)站的公開銷售也是網(wǎng)游木馬泛濫的原因之一。 </p><p><b>　　2. 網(wǎng)銀木馬 </b></p><p>　　網(wǎng)銀木馬是針對網(wǎng)上交易系統(tǒng)

62、編寫的木馬病毒，其目的是盜取用戶的卡號、密碼，甚至安全證書。此類木馬種類數(shù)量雖然比不上網(wǎng)游木馬，但它的危害更加直接，受害用戶的損失更加慘重。 </p><p>　　網(wǎng)銀木馬通常針對性較強，木馬作者可能首先對某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析，然后針對安全薄弱環(huán)節(jié)編寫病毒程序。如2004年的“網(wǎng)銀大盜”病毒，在用戶進(jìn)入工行網(wǎng)銀登錄頁面時，會自動把頁面換成安全性能較差、但依然能夠運轉(zhuǎn)的老版頁面，然后記錄用戶在此頁面上填

63、寫的卡號和密碼；“網(wǎng)銀大盜3”利用招行網(wǎng)銀專業(yè)版的備份安全證書功能，可以盜取安全證書；2005年的“新網(wǎng)銀大盜”，采用API Hook等技術(shù)干擾網(wǎng)銀登錄安全控件的運行。 </p><p>　　隨著我國網(wǎng)上交易的普及，受到外來網(wǎng)銀木馬威脅的用戶也在不斷增加。 </p><p>　　3. 網(wǎng)頁點擊類木馬 </p><p>　　網(wǎng)頁點擊類木馬會惡意模擬用戶點擊廣告等動作，

64、在短時間內(nèi)可以產(chǎn)生數(shù)以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術(shù)簡單，一般只是向服務(wù)器發(fā)送HTTP GET請求。 </p><p>　　4.3病毒及木馬防范技巧</p><p>　　具有開放性的因特網(wǎng)成為計算機病毒廣泛傳播的有利環(huán)境，而網(wǎng)絡(luò)本身的安全漏洞也為培養(yǎng)更新、更多的病毒提供了良好的條件。人們?yōu)榱俗尵W(wǎng)頁更加精彩漂亮、功能更加強大而開發(fā)Active

65、X和Java技術(shù)，然而病毒程序的制造者也正是利用了這些技術(shù)，把病毒程序滲透到每臺個人計算機中去。</p><p>　　網(wǎng)絡(luò)中如果有一臺機器沒有安裝殺毒軟件，或者安裝了版本較老的，或者實時監(jiān)控沒有打開，無孔不入的網(wǎng)絡(luò)病毒就可能在這臺機器上安家生根，并潛伏在這臺機器上隨時想其他有防護(hù)弱點的機器發(fā)起進(jìn)攻。</p><p>　　1．漏洞型圖片木馬 偽裝型圖片木馬，無論再怎么偽裝，都只是象圖片而已

66、，并不是真正的圖片。但是利用系統(tǒng)的漏洞，攻擊者可以制作出真正的夾帶木馬的圖片。文件確實是一張圖片，但當(dāng)用戶打開圖片時，就中招了。 微軟曾經(jīng)發(fā)布了一個圖片漏洞安全公告（MS04-028），這個漏洞是個高危漏洞，利用這個漏洞制作出來的圖片木馬不用打開，只要Windows的圖片預(yù)覽功能開著，隱藏在圖片中的木馬就會自動運行，危害十分巨大。利用此漏洞的攻擊者，不需要將木馬捆綁在圖片中，只需把木馬的下載地址嵌入圖片中，當(dāng)預(yù)覽圖片時，就會在

67、后臺聯(lián)網(wǎng)下載并運行木馬。如果用最新升級的殺毒軟件查毒，可以報告有木馬，但是這些圖片和無毒的圖片放在一起，普通的用戶一般很難發(fā)現(xiàn)。 圖示2： </p><p>　　2. 偽裝型圖片木馬病毒 偽裝成“圖片”的木馬，無論其外表多么具有迷惑性，但木馬的本質(zhì)是改變不了的。木馬必然是個可執(zhí)行的程序文件，其后綴名是“exe”，這是不可更改的。因此，要避免偽裝成“圖片”的木馬程序的迷惑，可以從文件名上

68、入手。 在資源管理器窗口中，點擊菜單“工具”→“文件夾選項”，打開文件夾選項對話框。切換到“查看”選項卡，在中間的列表中，去掉對“隱藏受保護(hù)的操作系統(tǒng)文件夾”項和“隱藏已知文件類型的擴展名”項的選擇，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”。</p><p><b>　　圖示3：</b></p><p>　　3. 圖片木馬病毒漏洞補丁 &#

69、160;   圖片木馬的攻擊可以說是無處不在，不過從上面的介紹，可以看出圖片木馬除了偽裝外，基本上是靠系統(tǒng)漏洞進(jìn)行攻擊的。因此，防范圖片木馬攻擊，可以從為系統(tǒng)打補丁兩方面入手。各種溢出類型圖片木馬，實際上是利用了系統(tǒng)漏洞進(jìn)行攻擊的，因此用戶要想防范圖片木馬，以及以后出現(xiàn)的各種新木馬，最好的辦法就是及時進(jìn)行系統(tǒng)更新。 為了節(jié)約系統(tǒng)資源，許多用戶往往會將自動更新關(guān)掉，但是長期下來許多系統(tǒng)漏洞都沒有打補丁。要補上

70、這些漏洞，需要裝的補丁太多了，哪些是重要的，哪些是不必要安裝的，哪些會造成系統(tǒng)沖突的，很難分辨。我們可以利用一些特殊的安全工具，比如360安全衛(wèi)生之類的，給系統(tǒng)打補丁就不是什么難事了。 運行360安全衛(wèi)生，在界面中間會顯示系統(tǒng)中是否有未打的重要安全補丁程序。切換到“修復(fù)系統(tǒng)漏洞”，點擊“查看并修復(fù)系統(tǒng)漏洞”按鈕，軟件會自動掃描系統(tǒng)中的漏洞，然后就可以點擊更新系統(tǒng)補丁。選擇系統(tǒng)中未安裝的重要安全漏洞，或簡介“全選”，再點擊“

71、下載并修復(fù)”按鈕，就會自動下載并安裝所有的補丁程序了。</p><p>　　圖示4： </p><p>　　4.3.1巧用命令行 徹查電腦中的惡意軟件</p><p><b>　　Netstat命令</b></p><p>　　在命令行提示符運行之后，下一步運行“netstat”指令，并且注意觀察你的系統(tǒng)的監(jiān)聽

72、端口。許多人都知道“netstat –na”命令能夠提供這臺機器的TCP和UDP端口列表。在這個指令的參數(shù)中增加一個“o”能夠顯示使用一個端口的每一個進(jìn)行的ID。使用XP SP2，增加一個“b”參數(shù)將顯示使用每一個端口的EXE文件的名稱，以及裝載用于與網(wǎng)絡(luò)進(jìn)行通訊的動態(tài)鏈接庫。不過，要熟悉參數(shù)“b”的用法。這個功能能夠消耗一些重要的CPU使用時間，你的處理器的60%至100%的使用時間最多是1分鐘。但是，等一下，還有更多的事情。假如你要

73、看一下端口使用狀況和看看它如何變化的，在netstat指令后面增加一個空格，然后輸入一個整數(shù)，如“netstat –nao 1”，這個指令將以這個整數(shù)的頻率運行。在這個例子中，它是每隔一秒運行一次。這個現(xiàn)實將不斷地在屏幕上顯示出來，</p><p><b>　　圖示5：</b></p><p>　　當(dāng)然, 要甄別使用TCP和UDP端口的惡意軟件，你需要知道一個系統(tǒng)的正

74、常端口使用應(yīng)該是什么樣子。要搜索一臺機器上使用的端口，要搜索Google 中的具體端口。此外，微軟有Windows客戶機和服務(wù)器使用的通用端口列表。你還可以搜索與微軟和第三方應(yīng)用程序有關(guān)的端口以及正式分配的端口列表。</p><p><b>　　Dir命令</b></p><p>　　檢查自動開始文件夾，查看從那里開始的任何出人意料的程序，也是一種聰明的方法。運行非常

75、熟悉的老的“dir”指令，使用/A參數(shù)能夠顯示任何有屬性設(shè)置或者沒有屬性設(shè)置的文件，以及隱藏的文件和非隱藏的文件。</p><p>　　一些惡意軟件向本地機器增加一個賬戶。因此，運行“net users”命令是很重要的。這個命令可以檢查系統(tǒng)定義的賬戶。此外，由于一些僵尸電腦向本地管理組增加一個賬戶，因此一定要運行“l(fā)ocalgroup administrators”(本地組管理器)命令檢查 這個特定的組的身份。

76、你知道在你的管理員組中的全部人員嗎?下面的圖表顯示了一些輸出的例子。</p><p><b>　　圖示6：</b></p><p>　　這幾個命令能夠提供對一臺Windows計算機的更深入的了解。不過，要進(jìn)行練習(xí)才能做得更好?；ㄒ恍r間分析干凈的系統(tǒng)，這樣，你就會更熟悉“正常的” Windows機器是什么樣子。然后，你對惡意軟件發(fā)出的異常的東西就會更敏感。有了準(zhǔn)備和練

77、習(xí)之后，命令行技巧能夠顯著提高你對Windows機器的理解，使你能夠準(zhǔn)備好與惡意軟件進(jìn)行激烈的戰(zhàn)斗?！　?lt;/p><p>　　4.3.2 網(wǎng)銀木馬病毒原理與防殺辦法</p><p><b>　　木馬原理分析</b></p><p>　　這不最近又出現(xiàn)了新的網(wǎng)銀木馬Win32.Troj.BankJp.a.221184程序，該木馬病毒可通過第三方存

78、諸設(shè)備及網(wǎng)絡(luò)進(jìn)行傳播，會給系統(tǒng)、網(wǎng)絡(luò)銀行用戶帶來損失。該木馬一但進(jìn)駐系統(tǒng)，首先會自行尋找系統(tǒng)中的“個人銀行專業(yè)版”的窗口并盜取網(wǎng)銀賬號密碼，然后該病毒將自動替換大量系統(tǒng)文件，并進(jìn)行鍵盤記錄，進(jìn)爾利用刪除破壞系統(tǒng)userinit.exe關(guān)鍵登陸程序，達(dá)到系統(tǒng)重啟后反復(fù)登陸操作界面，讓系統(tǒng)無法進(jìn)入桌面，以至于無法正常運行，該病毒木馬能實現(xiàn)自動更新，嚴(yán)重威脅用戶財產(chǎn)及隱私安全。</p><p>　　在一臺被感染的計算機

79、中，該病毒會在其文件目錄%windir%下生存mshelp.dll、mspw.dll動態(tài)鏈接庫文件，并隨后在注冊表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加服務(wù)項power，并嘗試備份文件%system%\calc.exe -> %system%\dllcache\c_20218.nls、%system%\userinit.exe -> %system%

80、\dllcache\c_20911.nls及%windir%\notepad.exe -> %system%\dllcache\c_20601.nls文件。成功后病毒開始自動查找并替換系統(tǒng)目錄%windir%下的calc.exe文件;%system%目錄下的userinit.exe、notepad.exe文件;%system%\dllcache目錄下的calc.exe、userinit.exe及notepad.exe文件，以達(dá)深度

81、隱藏。</p><p>　　至此，病毒木馬仍然沒有結(jié)束自身加固功能，會在系統(tǒng)根目錄下創(chuàng)建RECYCLER..文件夾，用于存放病毒備份。</p><p><b>　　病毒清理過程</b></p><p>　　當(dāng)網(wǎng)絡(luò)用戶不小心感染其病毒木馬時，應(yīng)盡快將其清理出計算機，依據(jù)各自的計算機應(yīng)急病毒處理能力，此處提供兩種方案：</p><

82、;p>　　方法一、利用遠(yuǎn)程注冊表修復(fù)</p><p>　　由于系統(tǒng)缺省情況下開啟了遠(yuǎn)程注冊表服務(wù)項，處在局域網(wǎng)中的用戶可通過遠(yuǎn)程連接注冊表編輯器修改被感染的電腦注冊表。首先在開始菜單的運行項中輸入regedit調(diào)出注冊表編輯器，單擊其中的文件菜單打開連接網(wǎng)絡(luò)注冊表項目，在其中輸入被感染的計算機IP地址\\機器名(注：連接成功后如果對方計算機需要用戶名及密碼則需輸入)。</p><p>

83、;　　隨后依次找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.exe程序項刪除(注：有時這里無顯視，找不到被病毒劫持的userinit.exe項目，那么此時就須找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Window

84、s NT\CurrentVersion\Winlogon，修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值</p><p>　　C:\WINDOWS\system32\UserInit.exe)，如發(fā)現(xiàn)userinit.exe被病毒破壞，則可使用windows安裝光盤啟動后進(jìn)行快速修復(fù)，以達(dá)還原userinit.exe程序文件。</p><p>　　最后將使用DOS命令將被病毒重命名并移動的c

85、_20911.nls復(fù)位，命令如下：copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32完成后重啟電腦，系統(tǒng)即可恢復(fù)正常。</p><p>　　方法二、WINPE光盤引導(dǎo)后修復(fù)</p><p>　　首先用戶在電腦啟動時按delete鍵進(jìn)入到BIOS，設(shè)置計算機從光盤啟動(注：各種品牌的計算機進(jìn)入BIOS的略有差異

86、，請參照穩(wěn)各自說明書進(jìn)行操作)，設(shè)置完成后將WinPE光盤塞入到光驅(qū)動，然后按F10鍵保存退出，此時計算機將重新啟動，進(jìn)入光盤啟動界面。</p><p>　　進(jìn)入到WinPE虛擬出的系統(tǒng)后，找到注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options將其下的userinit.

87、exe程序項刪除，找到注冊表分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon，修改其下的Userinit鍵值為系統(tǒng)默認(rèn)鍵值C:\WINDOWS\system32\UserInit.exe，隨后瀏覽WinPE光盤，將I386目錄下的system32文件夾中的userinit.exe程序復(fù)制到系統(tǒng)所在盤的windows\system32路徑下

88、。</p><p>　　最后取出光盤，重新啟動計算機，被病毒劫持的userinit.exe將恢復(fù)正常，操作系統(tǒng)將正常啟動，反復(fù)重啟不再出現(xiàn)。</p><p><b>　　病毒預(yù)防</b></p><p>　　病毒并不可怕，可怕的病毒制造者之心。網(wǎng)絡(luò)用戶須時時提高警惕以防財產(chǎn)損失，而面對網(wǎng)絡(luò)初期用戶，那么到底可利有何種方法進(jìn)行防毒、防盜呢?其實，

89、在網(wǎng)絡(luò)中并沒有真正安全的系統(tǒng)，只有相對安全的平臺。如果要將來自網(wǎng)絡(luò)中的威脅降低到最小，那么須注意下列幾點：</p><p>　　一、不要隨意打開莫名網(wǎng)站與即時通訊軟件中傳遞的網(wǎng)址，更不得隨意接收并點擊陌生人或來歷不明的程序(包含：EXE可執(zhí)行文件、圖片、動畫、電影、音樂、電子圖書等)，以防中招。</p><p>　　二、開啟系統(tǒng)中的補丁自動更新功能，并設(shè)置每天進(jìn)行本機所安裝的安全軟件升級功

90、能，以達(dá)最新版本。在網(wǎng)絡(luò)中進(jìn)行通訊時，要開啟防火墻，沒有安裝防火墻的用戶須盡快安裝，這樣可以防止當(dāng)電腦中出現(xiàn)陌生程序進(jìn)行遠(yuǎn)程連接時，事先早知道并進(jìn)行審核。</p><p>　　三、要不定期的利用殺毒軟件或第三方安全工具，對計算機全盤進(jìn)行掃描檢測，對即時通迅用戶，如：QQ，要利用QQ醫(yī)生對系統(tǒng)打入補丁，并檢測盜號程序，避免從此處中毒中馬感染網(wǎng)絡(luò)銀行。</p><p>　　4.3.3 查殺IM

91、G病毒的常用方法及防范措施</p><p>　　全面了解IMG病毒的幾大特征</p><p>　　對于兇猛的IMG病毒，目前殺毒軟件僅僅能夠識別該病毒，而不能在保證系統(tǒng)正常運行的基礎(chǔ)上將該病毒刪除，這意味著對付IMG病毒只能用手工方法查殺，或者是用技術(shù)手段防范IMG病毒感染網(wǎng)吧客戶機。要想查殺病毒，必須認(rèn)清病毒的本質(zhì)，殺毒軟件的工作原來亦是如此。</p><p>　

92、　其實，IMG病毒與此前流行的“機器狗”病毒有著一些相似，只要用戶點擊了帶有病毒的WEB頁面，機器將會感染IMG病毒。感染了IMG病毒的機器還會自動下載帶有ARP欺騙代碼的盜號木馬，而且可以穿透市面上大部分還原系統(tǒng)。具體來說，IMG病毒主要有以下幾個特征：</p><p><b>　　圖示7：  </b></p><p>　　1、破壞還原系統(tǒng)：如同肆虐瘋狂的

93、“機器狗”病毒一樣，IMG病毒也是通過userinit.exe文件穿透還原系統(tǒng)。目前，IMG病毒可以破壞市面上大部分還原系統(tǒng)，包括硬件類的還原卡，以及諸如Deepfreeze、還原精靈、虛擬還原等各種還原軟件。在成功穿透還原軟件或還原卡之后，IMG病毒還會再次修改還原軟件，并將病毒自身存儲在操作系統(tǒng)中，從而完成傳播過程。</p><p>　　2、生成IGM進(jìn)程：當(dāng)計算機感染了IMG病毒之后，系統(tǒng)進(jìn)程中會生成一個名

94、字為“IGM.EXE”的進(jìn)程，磁盤分區(qū)也會有auto.exe和autorun.inf兩個文件。在msconfig的啟動項中，也會有IGM.EXE。IMG病毒還具備自動啟動和自我保護(hù)的特點，這為手工清除IMG病毒增加了一定的難度。</p><p>　　3、自動下載木馬軟件：當(dāng)IMG病毒進(jìn)入操作系統(tǒng)之后，會自動登錄互聯(lián)網(wǎng)，下載木馬軟件。目前，IMG病毒會自動下載盜號軟件，以及一些破壞類的木馬軟件。下載盜號軟件之后，通

95、過ARP欺騙盜取網(wǎng)吧顧客的游戲帳號資料，</p><p>　　以及諸如QQ、MSN等即時通訊軟件的密碼;而破壞類的木馬軟件，則是不斷向整個網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，致使網(wǎng)絡(luò)阻塞，達(dá)到讓網(wǎng)吧網(wǎng)絡(luò)癱瘓的目的。</p><p>　　4、生成系統(tǒng)服務(wù)：感染了IMG病毒的電腦，還會在系統(tǒng)的msconfig選項中生成一個名字為“4f506c9e”的服務(wù)，該服務(wù)隨操作系統(tǒng)自動運行。</p><

96、p>　　從IMG病毒的特征可以看出，該病毒與“機器狗”病毒實在是太像了。其實，破壞還原系統(tǒng)的方式，IMG病毒和“機器狗”是異曲同工之妙。下面，不妨尋找一下IMG病毒的弱點，這樣才能對癥下藥，消滅IMG病毒。</p><p>　　通過特征尋找IMG病毒的弱點</p><p>　　可以破壞市面上大部分還原卡和還原軟件，這是IMG病毒的破壞力，但并不是其弱點。對于“機器狗”或IMG這樣破壞

97、力非常強的病毒，我們所做的是全面防范，而不是等病毒進(jìn)入操作系統(tǒng)之后，再設(shè)法查殺。</p><p>　　對于破壞力非常強大的IMG病毒來說，其傳播途徑就是其弱點。下面，我們不妨耐心的尋找IMG病毒的傳播途徑。目前，IMG病毒的常用傳播渠道，一是利用MSN、QQ等即時通訊軟件，二是利用一些含有惡意代碼的網(wǎng)頁。國內(nèi)權(quán)威的殺毒軟件廠商對IMG病毒進(jìn)行研究后發(fā)現(xiàn)，IMG病毒與“機器狗”病毒一樣，也是通過IE瀏覽器及一些應(yīng)用

98、軟件的漏洞進(jìn)行傳播的。被IMG病毒利用的漏洞有如下幾個</p><p>　　1、微軟的MS07-017漏洞：最初，“機器狗”病毒是利用該漏洞進(jìn)行傳播的。查看微軟的安全公告可以得知，一些病毒會利用操作系統(tǒng)的ANI漏洞加載木馬，而這一過程恰恰是病毒作者對微軟操作系統(tǒng)MS07-017漏洞的“巧妙”應(yīng)用。如果網(wǎng)吧機器沒有安裝MS07-017補丁，一旦訪問了病毒代碼，IMG病毒便會不請自來。眾所周知，一些網(wǎng)站多多少少都會有

99、漏洞，既便是一些大網(wǎng)站，也會有漏洞，病毒作者在網(wǎng)站植入病毒代碼之后，沒有安裝MS07-017補丁的機器就會感染IMG病毒</p><p><b>　　圖示8：</b></p><p>　　MS07-017安全漏洞簡介</p><p>　　2、MS06-014漏洞：這個漏洞是很多網(wǎng)管都熟悉的一個系統(tǒng)漏洞，即讓IE自動下載一個軟件并執(zhí)行。如果系統(tǒng)存

100、在該漏洞的話，一旦計算機訪問到帶有IMG病毒代碼的網(wǎng)頁，會利用IE瀏覽器的自動下載并執(zhí)行的漏洞，就這樣，IMG病毒成功的進(jìn)入計算機了。</p><p>　　3、應(yīng)用軟件的漏洞：暴風(fēng)影音II是使用比較頻繁的一個多媒體應(yīng)用軟件，該軟件有一個高風(fēng)險漏洞，成為IMG病毒傳播的一個通道。暴風(fēng)影音II的漏洞發(fā)生在一個activex控件上，當(dāng)安裝了暴風(fēng)影音II的用戶在瀏覽黑客 精心構(gòu)造的包含惡意代碼的網(wǎng)頁后，會下載任意程序在用

101、戶系統(tǒng)上以當(dāng)前用戶上下文權(quán)限運行。除了暴風(fēng)影音II之外，Web迅雷、迅雷及Realplayer都該漏洞。仔細(xì)觀察不難發(fā)現(xiàn)，上述應(yīng)用軟件中都內(nèi)置了可以瀏覽網(wǎng)頁的組件，也就是說，應(yīng)用軟件的漏洞，最終還是IE漏洞引起的。</p><p>　　切斷傳播途徑消滅IMG病毒</p><p>　　其實再兇猛的病毒也無非是一個程序，IMG病毒也不例外。IMG病毒的本質(zhì)是一種具有破壞力和傳染性的軟件。由于I

102、MG病毒是利用系統(tǒng)及應(yīng)用軟件的漏洞進(jìn)行傳播的，補好這些漏洞，意味著可以將病毒拒之門外，消滅IMG病毒也就是如何將IMG病毒遠(yuǎn)離計算機。</p><p>　　具體來說，消滅IMG病毒方法，主要有以下幾種措施：</p><p>　　及時更新系統(tǒng)漏洞補丁：從上文的敘述可以得知，網(wǎng)吧計算機之所以會感染IMG病毒，因為操作系統(tǒng)和一些應(yīng)用軟件存在著諸多的安全漏洞，為此，網(wǎng)管必須在第一時間內(nèi)安裝操作系統(tǒng)

103、和應(yīng)用軟件的安全補丁。</p><p>　　2、 使用第三方瀏覽器：由于IMG病毒的傳播全部是針對IE瀏覽器的漏洞引起的，為此，使用第三方瀏覽器，可以大大降低IMG病毒的感染機率。在使用第三方瀏覽器的時候，必須保證瀏覽器沒有使用IE瀏覽器的內(nèi)核，因為使用IE瀏覽器內(nèi)核的第三方瀏覽器，仍舊具有IE瀏覽器所具備的漏洞。</p><p>　　3、 及時更新病毒庫：IMG病毒入侵計算機的過

104、程，其實是通過一個含有惡意代碼網(wǎng)頁進(jìn)行傳播的過程。對于一些惡意代碼，一些殺毒軟件是有查殺能力的。為此，要想準(zhǔn)確的查殺帶有IMG病毒的惡意網(wǎng)頁代碼，必須及時更新病毒庫。</p><p>　　上述方法，僅僅可以防范IMG病毒的入侵。由于病毒有多個變種，這注定了上述方法不會真正杜絕IMG病毒的入侵，為此，企業(yè)技術(shù)人員還要做出感染了IMG病毒后的防范工作。因為一旦機器感染了IMG病毒，企業(yè)的整個網(wǎng)絡(luò)都要受到影響，這時，企

105、業(yè)技術(shù)人員必須用MAC地址與網(wǎng)關(guān)地址綁定的方法，降低IMG病毒對企業(yè)網(wǎng)絡(luò)的破壞作用，防范ARP欺騙的方法這里不再詳細(xì)敘述。</p><p><b>　　第五章 總結(jié)與展望</b></p><p>　　5.1本研究工作總結(jié)</p><p>　　本文對各種常見的網(wǎng)絡(luò)攻擊和防御方法進(jìn)行了具體的分析 ,它們都還需要進(jìn)一步的研究提高。同時,隨著網(wǎng)絡(luò)及其應(yīng)

106、用的廣泛發(fā)展,安全威脅呈現(xiàn)出攻擊的種類、方法和總體數(shù)量越來越多、破壞性和系統(tǒng)恢復(fù)難度也越來越大。這就要求我們對攻擊方法有更 進(jìn)一步的研究;對安全策略有更完善的發(fā)展,建立起一個全面的、可靠的、高效的安全體系。任何一種事物都有雙面性，計算機安全也不例外。計算機木馬病毒雖然破壞力非常強大，可是木馬病毒自身也有弱點，找到它們的弱點，消滅它們將不再困難。一直以來，企業(yè)防范病毒過于依賴還原卡或還原軟件，而忽視了還原卡或還原軟件也有缺點。還有一些企業(yè)

107、的技術(shù)人員，在防范如IMG病毒時，一味的封殺帶有惡意代碼的網(wǎng)頁，忽視了操作系統(tǒng)或應(yīng)用軟件的漏洞致使計算機感染IMG病毒的真正元兇。為此，遇到諸如IMG和“機器狗”這樣破壞性非常強的病毒，一定要認(rèn)清病毒的本質(zhì)，然后找到病毒的弱點，根據(jù)病毒弱點消滅病毒，防范病毒。由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的

108、網(wǎng)絡(luò)安全防范體系</p><p>　　5.2計算機安全防范展望</p><p>　　1、綜合利用多種編程新技術(shù)的病毒將成為主流</p><p>　　2、ARP病毒仍將成為局域網(wǎng)最大禍害</p><p>　　3、病毒將全面進(jìn)入驅(qū)動級</p><p>　　計算機病毒表現(xiàn)出的眾多新特征以及發(fā)展趨勢表明，目前我國計算機網(wǎng)絡(luò)安全