个人电脑安全意识.doc

1、四川科技职业学院毕业设计(论文) 第 31 页 摘 要本文分析了个人电脑在运用过程中所遇问题，同时查看了网上其他由于此类问题、个人疏忽而造成的经济损失，全面阐述了如何保障个人电脑安全，怎样提到全民的个人电脑安全意识。关键词：个人电脑；操作系统；隐患；设置；安全目 录第一章 个人电脑系统1.1操作系统安全设置81.2打造电脑安全防线81.3设置Windows安全选项81.3.1设置Windows安全中心81.3.2设置IE的安全选项101.4修补系统漏洞111.4.1系统漏洞产生的原因和处理方法111.5备份重要数据121.5.1什么是数据备份121.6销毁数据121.6.1为什么销毁数据121

2、.6.2数据销毁的基本方式12第二章 电脑病毒与木马132.1认识电脑病毒132.1.1电脑病毒的本质、特性132.1.2电脑病毒的分类、举例142.2用主流杀毒软件查杀病毒152.3认识恶意软件162.3.1恶意软件的主要特征162.4恶意软件防范策略172.4.1恶意软件的预防172.4.2 360对恶意软件的检测与清除172.5认识木马172.5.1木马的攻击原理182.5.2木马的传播和伪装192.6常用木马查杀工具205.2.1 360木马云查杀203.2.2木马清道夫21第三章 黑客防范基础213.1什么是黑客213.2黑客的攻击手段和目的223.3网络防黑的基本措施26第四章 打

3、造安全防火墙304.1认识防火墙304.1.1什么是防火墙304.2个人电脑防火墙设置软件31致 谢34参 考 文 献34第一章 个人电脑系统1.1操作系统安全设置个人电脑，又称个人计算机，英文缩写为PC，即Personal Computer。电脑系统 即电脑操作系统(computer operating system)： 是计算机系统中的一个系统软件，它是这样一些程序模块的集合它们管理和控制计算机系统中的硬件及软件资源，合理地组织计算机工作流程以便有效地利用这些资源为用户提供一个功能强大、使用方便和可扩展的工作环境，从而在计算机与其用户之间起到接口的作用。现有unix，linux，mac，o

4、s/2，GUN，dos，windows等数种通用常规操作系统，另外还有特殊应用的操作系统。1.2打造电脑安全防线在了解这些个人电脑的安全隐患下，我想只要做到以下几个步骤，我们的电脑就会安全一些：（1）及时修补系统漏洞；（2）设置系统安全选项；（3）保护数据资料；（4）防御病毒； （5）杜绝恶意软件； （6）远离黑客骚扰 。下面我以个人电脑常用的非正版Windows XP操作系统为例，介绍一些基本的安全手段。1.3设置Windows安全选项个人电脑的基本安全手段：主要包括Windows安全选项设置、Windows系统漏洞修补、重要数据的备份、密码设置技巧、 加密文件文件夹、销毁数据、清除使用痕迹

5、等内容。1.3.1设置Windows安全中心通过单击“开始”按钮，再依次单击“控制面板”，然后单击“安全中心”，打开“安全中心”界面。 启用防火墙和病毒防御，关闭自动更新，这些都是系统自带的防火墙和病毒防御。当这些设置发生改变后，“安全中心”还会通知电脑机主，若你不想其提醒，还可以点击左边最下面“更改安全中心通知我的方式”连接中弹出“警报设置”，一般我们建议不勾选。1.3.2设置IE的安全选项打开“IE”浏览器，点击“工具”，“Inetrnet选项”中的“安全”选项栏，点击“自定义级别”，你可以看到“安全设置”，这时可以根据自己的浏览需求，而选择相应的设置，不过对于普通PC机，只需点击“默认级

6、别”就可以了。图（1）图（2）1.4修补系统漏洞1.4.1系统漏洞产生的原因和处理方法系统漏洞的产生大致有三个原因，具体如下所述： (1)程序逻辑结构设计不合理，不严谨。编程人员在设计程序时程序，对程序逻辑结构设计不合理，不严谨，因此产生一处或多处漏洞，这些漏洞为病毒的入侵提供了人口。这种漏洞最典型的要数微软的Windows 2000用户登录的中文输入法漏洞。非授权人员可以通过登录界面的输入法的帮助文件绕过Windows的用户名和密码验证而取的计算机的最高权限。还有Winrar的自解压功能，程序设计者的本意是为了方便用户的使用，使得没有安装Winrar的用户也可以解压经过这种方式压缩的文件。但

7、是这种功能被黑客用到了不正当的用途上。 (2)除了程序逻辑结构设计漏洞之外，程序设计错误漏洞也是一个重要因素。受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。这种类型的漏洞最典型的是缓冲区溢出漏洞，它也是被黑客利用得最多的一种类型的漏洞。缓冲区是内存中存放数据的地方。在程序试图将数据放到及其内存中的某一个未知的时候，因为没有足够的空间就会发生缓冲区溢出。缓冲区溢出可以分为人为溢出和非人为溢出。人为的溢出是有一定企图的，攻击者写一个超过缓冲区长度的字符串，植入到缓冲区这时可能会出现两种结果：一是过长的字符串覆盖了相邻的存储单元，

8、引起程序运行失败，严重的可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统root特级权限。 (3)由于目前硬件无法解决特定的问题，使编程人员只得通过软件设计来表现出硬件功能而产生的漏洞。一种系统从发布到用户的使用，系统中的设计缺陷会逐渐浮现出来软件开发者为了让计算机系统运行更稳定、更安全，必须及时的对计算机系统的漏洞做出补救措施。 一旦发现新的系统漏洞，一些系统官方网站会及时发布新的补丁程序，但是有的补丁程序要求正版认证(例如微软的Windows操作系统)，这让许多非版权用户很是苦恼，这时可以通过第三方软件，所谓第三方软件，通俗讲既非系统本身自带的软件(含操作系统本

9、身和自带的应用程序)，其他包含应用类软件均可称为第三方软件。如：系统优化大师(Windows优化大师)，360安全卫士，瑞星杀毒软件，金山杀毒软件，迅雷软件助手等软件扫描系统漏洞并自动安装补丁程序。1.5备份重要数据1.5.1什么是数据备份数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量增加，不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软

10、件结合相应的硬件和存储设备来实现。计算机里面重要的数据、档案或历史纪录，不论是对企业用户还是对个人用户，都是至关重要的，一时不慎丢失，都会造成不可估量的损失，轻则辛苦积累起来的心血付之东流，严重的会影响企业的正常运作，给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行，企业用户应当采取先进、有效的措施，对数据进行备份、防范于未然。1.6销毁数据1.6.1为什么销毁数据计算机或设备在弃置、转售或捐赠前必须将其所有数据彻底删除，并无法复原，以免造成信息泄露，尤其是国家涉密数据。所以，必须要消除不使用数据。1.6.2数据销毁的基本方式有许多政府机关、民营企业所使用的个人电脑，受限于法律规

11、范，必须确保许多数据的机密。他们都可以用不同方式达到数据销毁的目的，也各自忍受其可承受的最高风险。下列几种简单可行的数据销毁方式，不见得最完美，却也是比较方便、简捷的销毁方式：方法一：覆写法由于磁带是可以重复使用的，当前面的数据被后面一笔数据覆写过去时，就算可以透过软件进行数据还原，随着被覆写次数的增多，非结构性数据被复原，需要解读的时间也越久，我们就可以评估数据被复原的风险是否能够承担。方法二：消磁法磁盘或是磁带等储存媒体，都是磁性技术，若能破坏其磁性结构，既有的数据便不复存在。方法三：捣碎法/剪碎法破坏实体的储存媒体，让数据无法被系统读出，也是确保数据机密性与安全性的方法之一。方法四：焚毁

12、法几乎每一个需要汰换的储存媒体最终都会面临，藉由焚毁让数据真正化为灰烬，永久不复存在。方法五：使用第三方软件销毁使用硬盘数据消除工具，例如优化大师，把要删除文件或文件夹先加密，然后用优化大师里的“文件粉碎”， 使文件彻底销毁。第二章 电脑病毒与木马2.1认识电脑病毒在使用电脑过程中，最怕避免不了就是电脑中毒了，中毒后电脑轻者系统运行速度变慢、死机频繁，严重时甚至出现系统瘫痪、重要信息被窃等事故。2.1.1电脑病毒的本质、特性凡能够引起计算机故障，破坏计算机数据的程序统称为电脑病毒。诸如逻辑炸弹，蠕虫等均可称为电脑病毒。电脑病毒与我们平时所说的医学上的生物病毒是不一样的，它实际上是一种电脑程序，

13、只不过这种程序比较特殊，它是专门给人们捣乱和搞破坏的，它寄生在其它文件中，而且会不断地自我复制并传染给别的文件，没有一点好作用。电脑染上病毒后，如果没有发作，是很难觉察到的。但病毒发作时就很容易感觉出来： 有时电脑的工作会很不正常，有时会莫名其妙的死机，有时会突然重新启动，有时程序会干脆运行不了。 有的病毒发作时满屏幕会下雨，有的屏幕上会出现毛毛虫等，甚至在屏幕上出现对话框，这些病毒发作时通常会破坏文件，是非常危险的，反正只要电脑工作不正常，就有可能是染上了病毒。病毒所带来的危害更是不言而喻了。 2.1.2电脑病毒的分类、举例常见的电脑病毒一般可以分成下列各类： 1.引导区电脑病毒 引导区电脑

14、病毒的传播方式：隐藏在磁盘内，在系统文件启动以前电脑病毒已驻留在内存内。这样一来，电脑病毒就可完全控制DOS中断功能，以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播，所以这类的电脑病毒已经比较罕见了。Michelangelo是一种引导区病毒。它会感染引导区内的磁盘及硬盘内的MBR。当此电脑病毒常驻内存时，便会感染所有读取中及没有写入保护的磁盘。除此以外，Michelangelo会于当天删除受感染电脑内的所有文件。2.文件型电脑病毒文件型电脑病毒，又称寄生病毒，通常感染执行文件(.EXE)，但是也有些会感染其它可执行文件，如D

15、LL,SCR等等.每次执行受感染的文件时，电脑病毒便会发作：电脑病毒会将自己复制到其他可执行文件，并且继续执行原有的程序，以免被用户所察觉。CIH会感染Windows95/98的.EXE文件，并在每月的26号发作日进行严重破坏。于每月的26号当日，此电脑病毒会试图把一些随机资料覆写在系统的硬盘，令该硬盘无法读取原有资料。此外，这病毒又会试图破坏FlashBIOS内的资料。3.宏病毒与其他电脑病毒类型的分别是宏病毒，它是攻击数据文件而不是程序文件。 专门针对特定的应用软件，可感染依附于某些应用软件内的宏指令，它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如Microso

16、ftWord和Excel。宏病毒采用程序语言撰写，例如VisualBasic或CorelDraw，而这些又是易于掌握的程序语言。宏病毒最先在1995年被发现，在不久后已成为最普遍的电脑病毒。 JulyKiller这个电脑病毒通过VB宏在MSWord97文件中传播。一旦打开染毒文件，这病毒首先感染共用范本(normal.dot)，从而导致其它被打开的文件一一遭到感染。此电脑病毒的破坏力严重。如果当月份是7月时，这病毒就会删除c:的所有文件。4.特洛伊/特洛伊木马特洛伊或特洛伊木马是一个看似正当的程序，但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘

17、内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播伎俩通常是诱骗电脑用户把特洛伊木马植入电脑内，例如通过电子邮件上的游戏附件等。 BackOrifice特洛伊木马于1998年发现，是一个Windows远程管理工具，让用户利用简单控制台或视窗应用程序，透过TCP/IP去远程遥控电脑。5.蠕虫 蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同，电脑病毒通常会专注感染其它程序，但蠕虫是专注于利用网络去扩散。从定义上，电脑病毒和蠕虫是非不可并存的。随着互联网的普及，蠕虫利用电子邮件系统去复制，例如把自己隐藏于附件并于短时间内电子邮件予多个用户。有些蠕虫(如CodeRed)，

18、更会利用软件上的漏洞去扩散和进行破坏。 于1999年6月发现的Worm.ExploreZip是一个可复制自己的蠕虫。当执行时，它会把自己隐藏在附件，经电子邮件传送予通讯录内的收件人。在Windows环境下，若用户开启附件，就会自动执行蠕虫。在Windows95/98环境下，此蠕虫以Explore.exe为名，把自己复制到C:windowssystem目录，以及更改WIN.INI文件，以便系统每次启动时便会自动执行蠕虫。2.2用主流杀毒软件查杀病毒电脑病毒和别的程序一样，它也是人编写出来的。既然病毒也是人编的程序，那就会有办法来对付它。最重要的是采取各种安全措施预防病毒，不给病毒以可乘之机。现在

19、杀毒软件大多是需要收钱的，而且功能也不是很全面，甚至有时候不能完完全全杀死电脑病毒，还拖累电脑运行速度及电脑内存，所以有很多人都不是很愿意花钱买，现在我就给大家介绍一款免费的杀毒软件-360杀毒。360杀毒是360安全中心出品的一款免费的云安全杀毒软件。360杀毒具有以下优点：查杀率高、资源占用少、升级迅速等等。同时，360杀毒可以与其他杀毒软件共存，是一个理想杀毒备选方案。360杀毒是一款一次性通过VB100认证的国产杀软。它的特点是：1.完全永久免费的杀毒软件 ；2.全面安全防护，强力查杀病毒 ；3.查杀率高，彻底扫除病毒威胁；4.检测隐藏文件及进程病毒； 5.领先的启发式扫描，预防未知病

20、毒采用虚拟环境启发式分析技术发现和阻止未知病毒；6.优化设计，不影响系统性能；7.采用的双引擎技术无缝整合了国际领先的BitDefender的常规扫描引擎，以及360安全中心潜心研发的云查杀引擎；8.快速的病毒库及引擎升级。360安全中心不仅研制出这款杀毒软件，而且还跟几个大型的杀毒软件有合作，如诺顿，卡巴斯基等。而且还给用户授权半年的免费使用权，让广大用户使用。但这两款杀毒软件都出现过误杀的情况，而且卡巴斯基在运行过程中会占用大量系统资源，使系统速度变慢，对于对电脑运行速度有要求的用户来说，就不是很适合。2.3认识恶意软件清除恶意软件：主要包括恶意软件的基本常识、恶意软件防范、使用清除工具清

21、除恶意软件等内容。2.3.1恶意软件的主要特征恶意软件 用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。网络用户在浏览一些恶意网站，或者从不安全的站点下载游戏或其它程序时，往往会连合恶意程序一并带入自己的电脑，而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时，用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间，用户网上的所有敏感资料都有可能被盗走，比如银行帐户信息，信用卡密码等。 这些让受害者的电脑不断弹出色情网站或者是恶意广告的程序就叫做恶意软件，它们也叫做流氓软件。2.4恶意软件防范策略2.4.1恶意软件的预防因为恶意软件由多种

22、威胁组成，而它的危害也是巨大的，所以需要采取多种方法和技术来保卫电脑系统。如采用防火墙来过滤潜在的破坏性代码，采用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网络，加强对破坏性代码的防御能力。2.4.2 360对恶意软件的检测与清除因为修复系统漏洞补丁软件中360安全卫士比较好，而且360安全中心也在安全卫士上设定了恶意软件、插件查杀功能，这样就节省了安装额外的恶意软件查杀工具的系统内存空间，这些恶评插件是广大360用户对一些软件进行评价和公正的投票后认为非常差的软件或插件。恶评插件包括广告程序、间谍软件、IE插件等，它们严重干扰了正常的网络秩序，使广大网络用户不胜其扰。这些程序共同的特

23、征是未经用户许可强行潜伏到用户电脑中，而且此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。此外，象广告程序会强迫用户接受阅读广告信息，间谍软件搜集用敏感信息并向外发送，严重侵犯了用户的选择权和知情权。而且近段时间，多个大型网站的讨论区里关于恶评插件的投诉呈急剧上升之势，大家纷纷痛斥这些软件给计算机带来的危害。有些恶评插件甚至会劫持用户的浏览器，使一些网民被引导到了不良网站上，严重影响了互联网的正常秩序。用360安全卫士清理恶评插件，不仅有利于保护自己的信息安全而且有利于计算机的资源优化，因为这些过多的插件在侵害您的信息安全的同时而且还大量占用系统资源，造成计算机经常不稳定甚至无

24、法使用。2.5认识木马木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 (2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)

25、具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。3.1.1木马的攻击原理用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)。一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等。(2)信息反

26、馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICQ号等等。2.5.1木马的传播和伪装木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 (一)修改图标 现在已

27、经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆。(二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。(三)出错显示 有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(

28、这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了系统。(四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WIN

29、DOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。(六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控

30、制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。2.6常用木马查杀工具木马和病毒都是一种人为的程序，都属于电脑病毒。大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术。“木马”不一样，木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码、数据等，如盗窃管理员密码子网密码搞破坏；或者好玩，偷窃上网密码用于它用，游戏帐号，股票帐号，甚至网上银行帐户等，达到偷窥别人隐私和得到经济利益的目的。所以木马的作用比早期的电脑病毒更加有用，更能够直接达到使用者的目的

31、。导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是目前网上大量木马泛滥成灾的原因。鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，所以木马虽然属于病毒中的一类，但是木马威胁之大已远超病毒，故单独把木马提出来说。2.6.1 360木马云查杀360安全卫士运用木马云查杀技术，在杀木马、防盗号、保护网银和游戏的帐号密码安全、防止电脑变肉鸡等方面表现出色，被誉为“防范木马的第一选择”。 不仅操作简单，而且还可以在运行360杀毒时，自动加入对系统关键位置进行木马检测，双效合作使得个人电脑更安全。360木马云查杀是基于在“云安全”的理念中实施的，跟360实时保护

32、一样，是360安全卫士重要的部件之一。它的功能是以360安全中心作为云端服务器，以广大的360用户作为客户端，当用户检测到机器内有未知木马病毒时，“云端”就会马上作出反应，最快地接受样本,然后分享到每一个360用户，从源头上避免了木马病毒对其他用户的攻击和侵害。当您选择“开启自动云查杀功能”，360安全卫士将会快速对您电脑中的系统关键位置进行扫描，并自动将可疑文件进行上报。360安全中心会及时反馈诊断结果，您可以自行选择是否进行有效清理。如您不勾选“开启自动云查杀功能”，则当发现可疑文件时，系统会进行提示，您可以自由选择是否进行上报。2.6.2木马清道夫在这里我还给大家介绍一款木马的专杀工具，

33、Windows木马清道夫。“Windows木马清道夫”是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品，是全新一代的木马克星。“Windows木马清道夫”可自动查杀近10万种木马病毒、流行病毒及间谍程序，配合手动分析可近100%对未知木马进行查杀。它不仅可以查木马，还可以分析出后门程序，黑客程序等等。对于个人电脑有重要信息资料的人，可以采用这种木马专杀工具。第三章 黑客防范基础3.1什么是黑客“黑客”一词是由英语Hacker英译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和

34、网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。黑客不干涉政治，不受政治利用，他们的出现推动了计算机和网络的发展与完善。黑客所做的不是恶意破坏，他们是一群纵横于网络上的大侠，追求共享、免费，提倡自由、平等。黑客的存在是由于计算机技术的不健全，从某中意义上来讲，计算机的安全需要更多黑客去维护。借用myhk的一句话“黑客存在的意义就是使网络变的日益安全完善”。 但是到了今天，黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人的代言词，对这些人正确的叫法应该是cracker，有人也翻译成“骇客”，也正是由于这些人的出现玷污了“

35、黑客”一词，使人们把黑客和骇客混为一体，黑客被人们认为是在网络上进行破坏的人。 一个黑客即使从意识和技术水平上已经达到黑客水平，也决不会声称自己是一名黑客，因为黑客只有大家推认的，没有自封的，他们重视技术，更重视思想和品质。在黑客圈中，hacker一词无疑是带有正面的意义，例如system hacker熟悉操作系统的设计与维护；password hacker精于找出使用者的密码，若是computer hacker则是通晓计算机，可让计算机乖乖听话的高手。 黑客基本上是一项业余嗜好，通常是出于自己的兴趣，而非为了赚钱或工作需要。3.2黑客的攻击手段和目的随着互联网黑客技术的飞速发展，网络世界的安

36、全性不断受到挑战。对于黑客自身来说，要闯入大部分人的电脑实在是太容易了。如果你要上网，就免不了遇到黑客。所以必须知己知彼，才能在网上保持安全。那么黑客们有哪些常用攻击手段呢？一、获取口令这种方式有三种方法：一是缺省的登录界面（ShellScripts）攻击法。在被攻击主机上启动一个可执行程序，该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息（用户名、密码等）后，程序将用户输入的信息传送到攻击者主机，然后关闭界面给出提示信息“系统故障”，要求用户重新登录。此后，才会出现真正的登录界面。二是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所

37、在网段的所有用户账号和口令，对局域网安全威胁巨大；三是在知道用户的账号后（如电子邮件“”前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；尤其对那些口令安全系数极低的用户，只要短短的一两分钟，甚至几十秒内就可以将其破解。二、电子邮件攻击这种方式一般是采用电子邮件炸弹（EmailBomb），是黑客常用的一种攻击手段。指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件，也可称之为大容量的垃圾邮件。由于每个人的邮件信箱是有限的，当庞大的邮件垃圾到达信箱的时候，就会挤满信箱，把正常的邮件给冲掉。同时，因为它占用

38、了大量的网络资源，常常导致网络塞车，使用户不能正常地工作，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪。三、特洛伊木马攻击 “特洛伊木马程序”技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器客户机的运行方式，从而达到在上网时控制你电脑的目的。黑客利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等，如流传极广的冰河木马，现在流行的很多病毒也都带有黑客性质，如影响面极广的“Nimda”、“求职信”和“红色代码”及“红色代码II”等。攻击者可以佯称自己为系统管理员（邮件地址和系统管理员完全相同），将这些东西通过电子邮件的方式

39、发送给你。如某些单位的网络管理员会定期给用户免费发送防火墙升级程序，这些程序多为可执行程序，这就为黑客提供了可乘之机，很多用户稍不注意就可能在不知不觉中遗失重要信息。四、诱入法黑客编写一些看起来“合法”的程序，上传到一些FTP站点或是提供给某些个人主页，诱导用户下载。当一个用户下载软件时，黑客的软件一起下载到用户的机器上。该软件会跟踪用户的电脑操作，它静静地记录着用户输入的每个口令，然后把它们发送给黑客指定的Internet信箱。例如，有人发送给用户电子邮件，声称为“确定我们的用户需要”而进行调查。作为对填写表格的回报，允许用户免费使用多少小时。但是，该程序实际上却是搜集用户的口令，并把它们发

40、送给某个远方的“黑客”。五、寻找系统漏洞许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，Windows98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你不上网。还有就是有些程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因（如将其留在程序中，便于日后访问、测试或维

41、护）后门没有去掉，一些别有用心的人会利用专门的扫描工具发现并利用这些后门，然后进入系统并发动攻击而黑客攻击的目的是：一、进程的执行 攻击者在登上了目标主机后，或许只是运行了一些简单的程序，也可能这些程序是无伤大雅的，仅仅只是消耗了一些系统的CPU时间。但是事情并不如此简单，我们都知道，有些程序只能在一种系统中运行，到了另一个系统将无法运行。一个特殊的例子就是一些扫描只能在UNIX系统中运行，在这种情况下，攻击者为了攻击的需要，往往就会找一个中间站点来运行所需要的程序，并且这样也可以避免暴露自己的真实目的所在。即使被发现了，也只能找到中间的站点地址。在另外一些情况下，假使有一个站点能够访问另一个

42、严格受控的站点或网络，为了攻击这个站点或网络，入侵者可能就会先攻击这个中间的站点。这种情况对被攻击的站点或网络本身可能不会造成破坏，但是潜在的危险已经存在。首先，它占有了大量的处理器的时间，尤其在运行一个网络监听软件时，使得一个主机的响应时间变得非常的长。另外，从另一个角度来说，将严重影响目标主机的信任度。因为入侵者借助于目标主机对目标主机能够访问，而且严格受控的站点或进行攻击。当造成损失时，责任会转嫁到目标主机的管理员身上，后果是难以估计的。可能导致目标主机损失一些受信任的站点或网络。再就是，可能人民者将一笔账单转嫁到目标主机上，这在网上获取收费信息是很有可能的。 二、获取文件和传输中的数据

43、 攻击者的目标就是系统中的重要数据，因此攻击者通过登上目标主机，或是使用网络监听进行攻击事实上，即使连入侵者都没有确定要于什么时，在一般情况下，他会将当前用户目录下的文件系统中的/etc/hosts或/etc/passwd复制回去。 三、获取超级用户的权限 具有超级用户的权限，意味着可以做任何事情，这对入侵者无疑是一个莫大的诱惑。在UNIX系统中支持网络监听程序必需有这种权限，因此在一个局域网中，掌握了一台主机的超级用户权限，才可以说掌握了整个子网。 四、对系统的非法访问 有许多的系统是不允许其他的用户访问的，比如一个公司、组织的网络。因此，必须以一种非常的行为来得到访问的权力。这种攻击的目的

44、并不一定要做什么，或许只是为访问面攻击。在一个有许多windows95 的用户网络中，常常有许多的用户把自己的目录共享出未，于是别人就可以从容地在这些计算机上浏览、寻找自己感兴趣的东西，或者删除更换文件。或许通过攻击来证明自己技术的行为才是我们想像中的黑客行径，毕竟，谁都不喜欢些专门搞破坏，或者给别人带来麻烦的入侵者。但是，这种非法访问的的黑客行为，人们也不喜欢的。 五、进行不许可的操作 有时候，用户被允许访问某些资源，但通常受到许多的限制。在一个UNIX系统中没有超级用户的权限，许多事情将无法做，于是有了一个普通的户头，总想得到一个更大权限。在windowsNT系统中一样，系统中隐藏的秘密太

45、多了，人们总经不起诱惑。例如网关对一些站点的访问进行严格控制等。许多的用户都有意无意地去尝试尽量获取超出允许的一些权限，于是便寻找管理员在置中的漏洞，或者去找一些工具来突破系统的安全防线，例如，特洛伊木马就是一种使用多的手段。 六、拒绝服务 同上面的目的进行比较，拒绝服务便是一种有目的的破坏行为了。拒绝服务的方式很多，如将连接局域网的电缆接地；向域名服务器发送大量的无意义的请求，使得它无法完成从其他的主机来的名字解析请求；制造网络风暴，让网络中充斥大量的封包，占据网络的带宽，延缓网络的传输。 七、涂改信息 涂改信息包括对重要文件的修改、更换，删除，是一种很恶劣的攻击行为。不真实的或者错误的信息

46、都将对用户造成很大的损失。 八、暴露信息 入侵的站点有许多重要的信息和数据可以用。攻击者若使用一些系统工具往往会被系统记录下来如果直接发给自己的站点也会暴露自己的身份和地址，于是窃取信息时，攻击者往往将这些信息和数据送到一个公开的FTP站点，或者利用电子邮件寄往一个可以拿到的地方，等以后再从这些地方取走。这样做可以很好隐藏自己。将这些重要的信息发往公开的站点造成了信息的扩散，由于那些公开的站点常常会有许多人访问，其他的用户完全有可能得到这些情息，并再次扩散出去。3.3网络防黑的基本措施既然知道了黑客的攻击手段和目的，我们就可以针对性的做好一些防黑措施：一、取消文件夹隐藏共享 在默认状态下，Wi

47、ndows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。 消除默认共享方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。 二、拒绝恶意代码 恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽