主题：[分享]网络安全精品。。。。课程

安全课堂 教你如何预防DdoS攻击 　不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。  　　一、拒绝服务攻击的发展  　　从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service，分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢?下面我们从两个方面进行介绍。  　　二、预防为主保证安全  　　DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。  　　(1)定期扫描  　　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。  　　(2)在骨干节点配置防火墙  　　防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。  　　(3)用足够的机器承受黑客攻击  　　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。  　　(4)充分利用网络设备保护网络资源  　　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。  　　(5)过滤不必要的服务和端口  　　可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。  　　(6)检查访问者的来源  　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。  　　(7)过滤所有RFC1918 IP地址  　　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。  　　(8)限制SYN/ICMP流量  　　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。  　　三、寻找机会应对攻击  　　如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。  　　(1)检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。  　　(2)找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。  　　(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。  　　总结：  　　目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，Ddos攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。
签名档........................　　　 [?] -------------------- 2007-02-14 00:46:17 向版主报告此贴 125.36.72.*       李比    头衔:老会员   注册日期:2005-12-26   积分:85   发贴:5561   精华:1   BLOG
20 楼 取地址
密码知识(1) 谈起密码算法，有的人会觉得陌生，但一提起PGP，大多数网上朋友都很熟悉，它是一个工具软件，向认证中心注册后就可以用它对文件进行加解密或数字签名，PGP所采用的是RSA算法，以后我们会对它展开讨论。密码算法的目的是为了保护信息的保密性、完整性和安全性，简单地说就是信息的防伪造与防窃取，这一点在网上付费系统中特别有意义。 密码学的鼻祖可以说是信息论的创始人香农，他提出了一些概念和基本理论，论证了只有一种密码算法是理论上不可解的，那就是 One Time Padding，这种算法要求采用一个随机的二进制序列作为密钥，与待加密的二进制序列按位异或，其中密钥的长度不小于待加密的二进制序列的长度，而且一个密钥只能使用一次。其它算法都是理论上可解的。如DES算法，其密钥实际长度是56比特，作2^56次穷举，就肯定能找到加密使用的密钥。所以采用的密码算法做到事实上不可解就可以了，当一个密码算法已知的破解算法的时间复杂度是指数级时，称该算法为事实上不可解的。 　　顺便说一下，据报道国外有人只用七个半小时成功破解了DES算法。密码学在不断发展变化之中，因为人类的计算能力也像摩尔定律提到的一样飞速发展。作为第一部分，首先谈一下密码算法的概念。  　　 密码算法可以看作是一个复杂的函数变换，C = F M, Key ,C代表密文，即加密后得到的字符序列，M代表明文即待加密的字符序列，Key表示密钥，是秘密选定的一个字符序列。密码学的一个原则是“一切秘密寓于密钥之中”，算法可以公开。当加密完成后，可以将密文通过不安全渠道送给收信人，只有拥有解密密钥的收信人可以对密文进行解密即反变换得到明文，密钥的传递必须通过安全渠道。目前流行的密码算法主要有DESRSA，IDEA，DSA等，还有新近的Liu氏算法，是由华人刘尊全发明的。 密码算法可分为传统密码算法和现代密码算法，传统密码算法的特点是加密和解密必须是同一密钥，如DES和IDEA等；现代密码算法将加密密钥与解密密钥区分开来，且由加密密钥事实上求不出解密密钥。这样一个实体只需公开其加密密钥(称公钥，解密密钥称私钥)即可，实体之间就可以进行秘密通信，而不象传统密码算法似的在通信之前先得秘密传递密钥，其中妙处一想便知。因此传统密码算法又称对称密码算法(Symmetric Cryptographic Algorithms ，现代密码算法称非对称密码算法或公钥密码算法( Public-Key Cryptographic Algorithms ，是由Diffie 和Hellman首先在1976年的美国国家计算机会议上提出这一概念的。 按照加密时对明文的处理方式，密码算法又可分为分组密码算法和序列密码算法。分组密码算法是把密文分成等长的组分别加密，序列密码算法是一个比特一个比特地处理，用已知的密钥随机序列与明文按位异或。当然当分组长度为1时，二者混为一谈。这些算法以后我们都会具体讨论。  　　RSA算法  　　1978年就出现了这种算法，它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作，也很流行。算法的名字以发明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。  　　RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。  　　密钥对的产生。选择两个大素数，p 和q 。计算：  　　n = p * q  　　然后随机选择加密密钥e，要求 e 和 ( p - 1  * ( q - 1  互质。最后，利用Euclid 算法计算解密密钥d, 满足  　　e * d = 1 ( mod ( p - 1  * ( q - 1    　　其中n和d也要互质。数e和n是公钥，d是私钥。两个素数p和q不再需要，应该丢弃，不要让任何人知道。  　　加密信息 m（二进制表示）时，首先把m分成等长数据块 m1 ,m2,..., mi ，块长s，其中 2^s 尽可能的大。对应的密文是：  　　ci = mi^e ( mod n  ( a   　　解密时作如下计算：  　　 mi = ci^d ( mod n  ( b   　　 RSA 可用于数字签名，方案是用 ( a  式签名， ( b 式验证。具体操作时考虑到安全性和 m信息量较大等因素，一般是先作 HASH 运算。  　　 RSA 的安全性  　　 RSA的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，因为没有证明破解 RSA就一定需要作大数分解。假设存在一种无须分解大数的算法，那它肯定可以修改成为大数分解算法。目前， RSA的一些变种算法已被证明等价于大数分解。不管怎样，分解n是最显然的攻击方法。现在，人们已能分解140多个十进制位的大素数。因此，模数n必须选大一些，因具体适用情况而定。  　　 RSA的速度  　　 由于进行的都是大数计算，使得RSA最快的情况也比DES慢上100倍，无论是软件还是硬件实现。速度一直是RSA的缺陷。一般来说只用于少量数据加密。

 
密码知识(2) RSA的选择密文攻击。  　　 RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装(Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构： 　　 ( XM ^d = X^d *M^d mod n  　　 前面已经提到，这个固有的问题来自于公钥密码系统的最有用的特征--每个人都能使用公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用好的公钥协议，保证工作过程中实体不对其他实体任意产生的信息解密，不对自己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首先使用One-Way Hash Function对文档作HASH处理，或同时使用不同的签名算法。在中提到了几种不同类型的攻击方法。  　　  　　 RSA的公共模数攻击。  　　 若系统中共有一个模数，只是不同的人拥有不同的e和d，系统将是危险的。最普遍的情况是同一信息用不同的公钥加密，这些公钥共模而且互质，那末该信息无需私钥就可得到恢复。设P为信息明文，两个加密密钥为e1和e2，公共模数是n，则： 　　 C1 = P^e1 mod n  　　 C2 = P^e2 mod n  　　 密码分析者知道n、e1、e2、C1和C2，就能得到P。 　　 因为e1和e2互质，故用Euclidean算法能找到r和s，满足：  　　 r * e1 + s * e2 = 1  　　 假设r为负数，需再用Euclidean算法计算C1^(-1)，则  　　 ( C1^(-1) ^(-r) * C2^s = P mod n  　　 另外，还有其它几种利用公共模数攻击的方法。总之，如果知道给定模数的一对e和d，一是有利于攻击者分解模数，一是有利于攻击者计算出其它成对的e'和d'，而无需分解模数。解决办法只有一个，那就是不要共享模数n。  　　 RSA的小指数攻击。 有一种提高RSA速度的建议是使公钥e取较小的值，这样会使加密变得易于实现，速度有所提高。但这样作是不安全的，对付办法就是e和d都取较大的值。 　　 RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何，而且密码学界多数人士倾向于因子分解不是NPC问题。 　　 RSA的缺点主要有：A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，为保证安全性，n 至少也要 600 bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。  　　 DSS/DSA算法  Digital Signature Algorithm  (DSA)是Schnorr和ElGamal签名算法的变种，被美国NIST作为DSS(Digital SignatureStandard)。算法中应用了下述参数：  p：L bits长的素数。L是64的倍数，范围是512到1024；  q：p - 1的160bits的素因子；  g：g = h^((p-1)/q) mod p，h满足h??1；  x：x ，x为私钥 ；  y：y = g^x mod p ，( p, q, g, y 为公钥；  H( x ：One-Way Hash函数。DSS中选用SHA( Secure Hash Algorithm 。  p, q,  g可由一组用户共享，但在实际应用中，使用公共模数可能会带来一定的威胁。签名及验证协议如下：  1. P产生随机数k，k ；  2. P计算 r = ( g^k mod p  mod q  s = ( k^(-1) (H(m) + xr)) mod q  签名结果是( m, r, s 。  3. 验证时计算 w = s^(-1)mod q  u1 = ( H( m  * w  mod q  u2 = ( r * w  mod q  v = (( g^u1 * y^u2  mod p  mod q  若v = r，则认为签名有效。  　　 DSA是基于整数有限域离散对数难题的，其安全性与RSA相比差不多。DSA的一个重要特点是两个素数公开，这样，当使用别人的p和q时，即使不知道私钥，你也能确认它们是否是随机产生的，还是作了手脚。RSA算法却作不到。

 
数据恢复基础知识(一) 说到数据恢复，我们就不能不提到硬盘的数据结构、文件的存储原理，甚至操作系统的启动流程，这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据，理解了这些知识（即使只是稍微多知道一些），对于你平时的电脑操作和应用也是很有帮助的。 我们就从硬盘的数据结构谈起吧……  硬盘数据结构 　　初买来一块硬盘，我们是没有办法使用的，你需要将它分区、格式化，然后再安装上操作系统才可以使用。就拿我们一直沿用到现诘腤in9x/Me系列来说，我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分（其中只有主引导扇区是唯一的，其它的随你的分区数的增加而增加）。  主引导扇区 　　主引导扇区位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR（Main Boot Record）和分区表DPT（Disk Partition Table）。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区）调入内存加以执行。至于分区表，很多人都知道，以80H或00H为开始标志，以55AAH为结束标志，共64字节，位于本扇区的最末端。值得一提的是，MBR是由分区程序（例如DOS 的Fdisk.exe）产生的，不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个，只要它能完成前述的任务即可，这也是为什么能实现多系统启动的原因（说句题外话:正因为这个主引导记录容易编写，所以才出现了很多的引导区病毒）。  操作系统引导扇区 　　OBR（OS Boot Record）即操作系统引导扇区，通常位于硬盘的0磁道1柱面1扇区（这是对于DOS来说的，对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区），是操作系统可直接访问的第一个扇区，它也包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的本分区参数记录表。其实每个逻辑分区都有一个OBR，其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件（例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就把第一个文件读入内存，并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元（Allocation Unit，以前也称之为簇）的大小等重要参数。OBR由高级格式化程序产生（例如DOS 的Format.com）。  文件分配表 　　FAT(File Allocation Table)即文件分配表，是DOS/Win9x系统的文件寻址系统，为了数据安全起见，FAT一般做两个，第二FAT为第一FAT的备份, FAT区紧接在OBR之后，其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择，Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式，但除此以外并非没有其它格式的FAT，像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。  目录区 　　DIR是Directory即根目录区的简写，DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置，FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件（目录）的起始单元（这是最重要的）、文件的属性等。定位文件位置时，操作系统根据DIR中的起始单元，结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后，才是真正意义上的数据存储区，即DATA区。

 
数据恢复基础知识(二) 数据区 　　DATA虽然占据了硬盘的绝大部分空间，但没有了前面的各部分，它对于我们来说，也只能是一些枯燥的二进制代码，没有任何意义。在这里有一点要说明的是，我们通常所说的格式化程序（指高级格式化，例如DOS下的Format程序），并没有把DATA区的数据清除，只是重写了FAT表而已，至于分区硬盘，也只是修改了MBR和OBR，绝大部分的DATA区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破坏的话，也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是，如果你经常整理磁盘，那么你的数据区的数据可能是连续的，这样即使MBR/FAT/DIR全部坏了，我们也可以使用磁盘编辑软件（比如DOS下的DiskEdit），只要找到一个文件的起始保存位置，那么这个文件就有可能被恢复（当然了，这需要一个前提，那就是你没有覆盖这个文件……）。  硬盘分区方式 　　我们平时说到的分区概念，不外乎三种:主分区、扩展分区和逻辑分区。 　　主分区是一个比较单纯的分区，通常位于硬盘的最前面一块区域中，构成逻辑C磁盘。在主分区中，不允许再建立其它逻辑磁盘。 　　扩展分区的概念则比较复杂，也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间，而每个分区的参数占据16个字节，故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据，如果说逻辑磁盘就是分区，则系统最多只允许4个逻辑磁盘。对于具体的应用，4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用，系统引入了扩展分区的概念。 　　所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外，仅需要存储一个被称为扩展分区的分区数据，通过这个扩展分区的数据可以找到下一个分区（实际上也就是下一个逻辑磁盘）的起始位置，以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘，在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。 　　需要特别注意的是，由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的，因此，若单向链表发生问题，将导致逻辑磁盘的丢失。  数据存储原理 　　既然要进行数据的恢复，当然数据的存储原理我们不能不提，在这之中，我们还要介绍一下数据的删除和硬盘的格式化相关问题…… 　　文件的读取 　　操作系统从目录区中读取文件信息（包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号），我们这里假设第一个簇号是0023。 操作系统从0023簇读取相应的数据，然后再找到FAT的0023单元，如果内容是文件结束标志（FF），则表示文件结束，否则内容保存数据的下一个簇的簇号，这样重复下去直到遇到文件结束标志。  文件的写入 　　当我们要保存文件时，操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息，然后在Data区找到闲置空间将文件保存，并将Data区的第一个簇写入DIR区，其余的动作和上边的读取动作差不多。  文件的删除 　　看了前面的文件的读取和写入，你可能没有往下边继续看的信心了，不过放心，Win9x的文件删除工作却是很简单的，简单到只在目录区做了一点小改动――将目录区的文件的第一个字符改成了E5就表示将改文件删除了。  Fdisk和Format的一点小说明 　　和文件的删除类似，利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘（假设你格式化的时候并没有使用/U这个无条件格式化参数）都没有将数据从DATA区直接删除，前者只是改变了分区表，后者只是修改了FAT表，因此被误删除的分区和误格式化的硬盘完全有可能恢复……  系统启动流程 　　各种不同的操作系统启动流程不尽相同，我们这里以Win9x/DOS的启动流程为例。 第一阶段:系统加电自检POST过程。POST是Power On SelfTest的缩写，也就是加电自检的意思，计算机执行内存FFFF0H处的程序（这里是一段固化的ROM程序），对系统的硬件（包括内存）进行检查。 第二阶段:读取分区记录和引导记录。当微机检查到硬件正常并与CMOS设置相符后，按照CMOS设置从相应设备启动（我们这里假设从硬盘启动），读取硬盘的分区记录（DPT）和主引导记录（MBR）。 第三阶段:读取DOS引导记录。微机正确读取分区记录和主引导记录后，如果主引导记录和分区表校验正确，则执行主引导记录并进一步读取DOS引导记录（位于每一个主分区的第一个扇区），然后执行该DOS引导记录。 第四阶段:装载系统隐含文件。将DOS系统的隐含文件IO.SYS入内存，加载基本的文件系统FAT，这时候一般会出现Starting Windows 9x...的标志，IO.SYS将MS.SYS读入内存，并处理System.dat和User.dat文件，加载磁盘压缩程序。 第五阶段:实DOS模式配置。系统隐含文件装载完成，微机将执行系统隐含文件，并执行系统配置文件（Config.sys），加载Config.sys中定义的各种驱动程序。 第六阶段:调入命令解释程序(Command.com)。系统装载命令管理程序，以便对系统的各种操作命令进行协调管理（我们所使用的Dir、Copy等内部命令就是由Command.com提供的）。 第七阶段:执行批处理文件(Autoexec.bat)。微机将一步一步地执行批处理文件中的各条命令。 第八阶段:加载Win.com。Win.com负责将Windows下的各种驱动程序和启动执行文件加以执行，至此启动完毕。  　　数据恢复的基础知识到此就给你介绍得差不多了。如果你领会了以上的这些知识，相信加上工具软件的辅助，恢复你丢失的数据简直是轻而易举，这里就不再多说。

 
木马病毒的通用解法   由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。  　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。  　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。  　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。  　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。  　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了.

 
杀毒软件跟防火墙的区别   在计算机的安全防护中，我们经常要用到杀毒软件和防火墙，而这两者在计算机安全防护中所起到的作用也是不同的。  1.防火墙是位于计算机和它所连接的网络之间的软件，安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步，选择一款合适的防火墙，是保护信息安全不可或缺的一道屏障。  2.因为杀毒软件和防火墙软件本身定位不同，所以在安装反病毒软件之后，还不能阻止黑客攻击，用户需要再安装防火墙类软件来保护系统安全。  3.杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。  4.病毒为可执行代码，黑客攻击为数据包形式。  5.病毒通常自动执行，黑客攻击是被动的。  6.病毒主要利用系统功能，黑客更注重系统漏洞。  7.当遇到黑客攻击时反病毒软件无法对系统进行保护。  8.对于初级用户，可以选择使用防火墙软件配置好的安全级别。  9.防火墙软件需要对具体应用进行规格配置。  10.防火墙不处理病毒。  不管是Funlove病毒也好，还是CIH也好,在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。  看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。  不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。  最后，要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题，是从设备到人，从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题；任何一个环节工作，只是迈向安全的步骤。  附录：  　　防火墙能够作到些什么？  　　1.包过滤  具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。  　　2.包的透明转发  事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。  　　3.阻挡外部攻击  如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。  　　4.记录攻击  如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS（入侵检测系统）来完成了。  以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。

 
用命令检查电脑是否被安装木马   一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。 　　 检测网络连接 　　 如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。 　　 禁用不明服务 　　 很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。 　　 轻松检查账户 　　 很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。 　　 首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！

 
病毒、蠕虫与木马之间有什么区别？    随着互联网的日益流行，各种病毒木马也猖厥起来，几乎每天都有新的病毒产生，大肆传播破坏，给广大互联网用户造成了极大的危害，几乎到了令人谈毒色变的地步。各种病毒，蠕虫，木马纷至沓来，令人防不胜防，苦恼无比。那么，究竟什么是病毒，蠕虫，木马，它们之间又有什么区别?相信大多数人对这个问题并没有一个清晰的了解，在这里，我们就来简单讲讲。 　　病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。它们可能使你的网络和操作系统变慢，危害严重时甚至会完全破坏您的系统，并且，它们还可能使用您的计算机将它们自己传播给您的朋友、家人、同事以及 Web 的其他地方，在更大范围内造成危害。这三种东西都是人为编制出的恶意代码，都会对用户照成危害，人们往往将它们统称作病毒，但其实这种称法并不准确，它们之间虽然有着共性，但也有着很大的差别。 　　什么是病毒? 　　计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒必须满足两个条件: 　　1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。 　　2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。 　　此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为“计算机病毒”。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。 　　什么是蠕虫? 　　蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制， 普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机，更危险的是，它还可大量复制。因而在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外，蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。而且它的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也使它的危害远较普通病毒为大。典型的蠕虫病毒有尼姆达、震荡波等。 　　什么是木马? 　　木马(Trojan Horse)，是从希腊神话里面的“特洛伊木马”得名的,希腊人在一只假装人祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内，等到夜里马腹内士兵与城外士兵里应外合，一举攻破了特洛伊城。而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后，控制端将窃取到服务端的很多操作权限，如修改文件，修改注册表，控制鼠标，键盘，窃取信息等等。一旦中了木马，你的系统可能就会门户大开，毫无秘密可言。特洛伊木马与病毒的重大区别是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。现在的木马一般主要以窃取用户相关信息为主要目的，相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。 　　 从上面这些内容中我们可以知道，实际上，普通病毒和部分种类的蠕虫还有所有的木马是无法自我传播的。感染病毒和木马的常见方式，一是运行了被感染有病毒木马的程序，一是浏览网页、邮件时被利用浏览器漏洞，病毒木马自动下载运行了，这基本上是目前最常见的两种感染方式了。 因而要预防病毒木马，我们首先要提高警惕，不要轻易打开来历不明的可疑的文件、网站、邮件等，并且要及时为系统打上补丁，最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库。如果做好了以上几点，基本上可以杜绝绝大多数的病毒木马。最后，值得注意的是，不能过多依赖杀毒软件，因为病毒总是出现在杀毒软件升级之前的，靠杀毒软件来防范病毒，本身就处于被动的地位，我们要想有一个安全的网络安全环境，根本上还是要首先提高自己的网络安全意识，对病毒做到预防为主，查杀为辅。

 
病毒分类全知道 有了杀毒软件并不意味着高枕无忧了，了解一些病毒知识对于使用好你手头的杀毒软件有帮助。先简单介绍一下病毒的分类，帮助大家对于病毒有一个认识。  　　常见病毒分类  　　1.Windows病毒  　　主要指针对Win9X操作系统的病毒。现在的电脑用户一般都安装Windows系统，Windows病毒一般感染Win9X系统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是WindowsNT系列(包括Windows2000)的计算机。一些Windows病毒不仅在Windows9X上容易感染，还可以感染WinNT上的其它文件。主要感染的文件扩展名为EXE、SCR、DLL、OCX等。  　　2.DOS病毒  　　电脑病毒发展初期因为操作系统大多为DOS系统，指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Windows9X病 毒的出现，DOS病毒几乎绝迹。但DOS病毒在Win9X环境中仍可以发生感染，因此若执行染毒文件，Win9X用户也会被感染。 　　3.蠕虫类病毒  　　通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。可以说这是Windows病毒的一个分支，但它比一般只感染EXE文件通过文件传播的Windows病毒更凶狠。像蠕虫病毒尼坶达，它不但会感染EXE文件，还会通过局域网，电子邮件网页等途径进行传播。  　　4.木马类程序  　　之所以叫它是程序而不是病毒，是因为这类的程序定义界限比较模糊。一个木马程序可以被用作正常的途径，也可以被一些别有用心的人利用来做非法的事情。木马程序一般被用来进行远程控制，常被一些别有用心的人用来偷取别人机器上的一些重要文件或是QQ密码等东西。  　　不同类型病毒的清除方式  　　1.感染EXE文件的病毒  　　 一般对于此类染毒文件，杀毒软件可以安全地清除文件中的病毒代码还你一个干净的文件(即：清除病毒后文件还能正常使用)。但也有一些病毒因为编写时的BUG或编写者的恶毒用心，感染的文件清除病毒后可能也无法正常地使用。如：被求职信感染的EXE文件，清除病毒后就可能无法正常使用。 　　 特别说明：有些EXE文件是由病毒生成的，并不是感染了病毒的文件，对于这样的文件杀毒软件采取的就是删除文件操作，即：按下“清除病毒”=“删除病毒文件”。  　　 2.感染了DOC，XLS等Office文档的宏病毒  　　 此类病毒一般杀毒软件都能安全清除病毒，清除病毒后的文件可以正常使用。  　　 3.木马类程序  　　 此类程序其程序本身就是一个危害系统的文件，所以杀毒软件对它的操作都是删除文件，即：“清除病毒”=“删除病毒文件”。  　　 最后提醒大家，注意定期更新你的杀毒软件和给系统打补丁，别等到暴风骤雨来了以后才慌乱打补丁升级。   

 
10件傻事将使你的Windows系统不安全   我们都做过傻事，计算机用户当然也不例外。无意中按错组合键或者在不知情的情况下在报错对话框上选了“确定”都可能会改变重要设置，这样会影响计算机的行为，甚至导致系统崩溃。  　　紧张的新手经常会害怕某个错误操作会永久破坏计算机。幸运的是，结果并没有想象的那么严重。虽然如此，但是用户还是经常给计算机以及您的网络创造各种麻烦。以下是一些 您和您的用户能够引以为戒，远离可预防的问题的常见错误。  1:使用没有过电压保护的电源  　　这个错误真的能够毁掉计算机设备以及上面所保存的数据。您可能以为只在雷暴发生时，系统才会有危险，但其实任何能够干扰电路使电流回流的因素都能烧焦你的设备元件。有 时甚至一个简单的动作，比如打开与电脑设备同在一个电路中的设备(特别是电吹风、电加热器或者空调等高压电器)就能导致电涌，或者树枝搭上电线也能导致电涌。如果遇到 停电，当恢复电力供应时也会出现电涌。  　　使用电涌保护器就能够保护系统免受电涌的危害，但是请记住，大部分价钱便宜的电涌保护器只能抵御一次电涌，随后需要进行更换。不间断电源(UPS)更胜于电涌保护器，UPS 的电池能使电流趋于平稳，即使断电，也能给你提供时间从容的关闭设备。  2: 不使用防火墙就上网  　　许多家庭用户会毫不犹豫的将电脑接上漂亮的新电缆或者DSL调制解调器开始上网，而没有意识到他们正将自己暴露在病毒和入侵者面前。无论是宽带调制解调器或者路由器中内置 的防火墙，还是调制解调器或路由器与电脑之间的独立防火墙设备，或者是在网络边缘运行防火墙软件的服务器，或者是电脑上安装的个人防火墙软件(如Windows XP中内置的ICF/Windows 防火墙，或者类似Kerio 或ZoneAlarm的第三方防火墙软件)，总之，所有与互联网相连的计算机都应该得到防火墙的保护。笔记本电脑上安装的个人防火墙的好处在于，当用户带着电脑上路或者插入酒店DSL或电缆端口，或者与无线热点相连接时，已经有了防火墙。拥有防火墙不是全部，你还需要确认 防火墙已经开启，并且配置得当，能够发挥保护作用。  3: 忽视防病毒软件和防间谍软件的运行和升级  　　让我们面对现实: 防病毒程序非常令人讨厌。他们总是阻断一些你想要使用的应用，有时你不得不在安装新软件时先停止防病毒程序。而且为了保证效用，不得不经常进行升级。好象原来的版本总 是要过期，并催促您进行升级，在很多情况下，升级都是收费的。但是在现在的环境下，你无法承担不使用防病毒所带来的后果。 病毒、木马、蠕虫等恶意程序不仅会削弱和破坏系统，还能通过您的电脑向网络其他部分散播病毒。在极端情况下，甚至能够破坏整个网络。  　　　间谍软件是另外一种不断增加的威胁;这些软件能够自行在电脑上进行安装(通常都是在你不知道的情况下)，搜集系统中的情报然后发送给间谍软件程序的作者或销售商。防病 毒程序经常无法察觉间谍软件，因此请务必使用一个专业的间谍软件探测清除软件。  4:安装和卸载大量程序，特别是测试版程序  　　由于用户对最新技术的渴望，经常安装和尝试新软件。免费提供的测试版程序能够使您有机会抢先体验新的功能。另外还有许多可以从网上下载的免费软件和共享软件。我们知道有些用户还曾经安装盗版软件或者“warez”。  　　您安装的软件数量越多，您使用含有恶意代码的软件，或者使用编写不合理能够导致系统工作不正常或者崩溃的软件的几率就更高。这样的风险远高于使用盗版软件。  　　即使您只会安装经过授权的最终版本的的商业软件，过多的安装和卸载也会弄乱注册表。不是所有的卸载步骤都能将程序剩余部分清理干净，这样的行为会导致系统逐渐变慢。 您应该只安装您真正需要使用的软件，只使用合法软件，并且尽量减少安装和卸载软件的数量。  5: 磁盘总是满满的并且非常凌乱  　　频繁安装和卸载程序(或增加和删除任何类型的数据)都会使磁盘变得零散。信息在磁盘上的保存方式导致了磁盘碎片的产生:在新的空磁盘中保存文件时，文件被保存在连续的 簇上。如果您删除的文件占用了5个簇，然后保存了一个占用8个簇的文件，那么头5个簇的数值会保存在删除产生的5个空簇中，剩余的3个则保存在下三个空的簇中。这样就使得文 件变得零散或者分裂。然后在访问文件时，磁头不会同时找到文件的所有部分，而是到磁盘的不同地址上找回全部文件。这样使得访问速度变慢。如果文件是程序的一部分，程序 的运行速度就会变慢。过于零散的磁盘运行速度极慢就象在爬行一样。  　　你可以使用Windows里带有的磁盘碎片整理工具(程序　 附件 　 系统工具) 或者第三方磁盘碎片整理工具defrag来重新安排文件的各个部分，以使文件在磁盘上能够连续存放。  　　另外一个常见的能够导致性能问题和应用行为不当的原因是磁盘过满。许多程序都会生成临时文件，运行时需要磁盘提供额外空间。你可以使用Windows XP的磁盘清理工具或者第三方程序查找和删除很少用到的文件，或者你也可以手动删除文件来释放磁盘空间。  6: 打开所有的附件  　　有些人就是无法控制自己:收到带有附件的电子邮件就好象收到一份意料之外的礼物。你只是想窥视一下是什么附件。但是就好象您门前的包裹里可能有炸弹一样，电子邮件中的 文件附件可能包含能够删除文件或系统文件夹，或者向地址簿中所有联系人发送病毒的编码。  　　最容易被洞察的危险附件是可执行文件(即可以运行的编码)，扩展名为.exe，.cmd以及其他很多类型(参见http://antivirus.about.com/od/securitytips/a/fileextview.htm 查看不同类型的可执行文件扩展名列表)。不能自行运行的文件，如Word的.doc文件，以及Excel的.xls文件，能够含有内置的宏。脚本(Visual Basic, JavaScript, Flash等) 不能被计算机直接执行，但是可以通过程序进行运行。  　　过去一般认为纯文本文件(.txt)或图片文件(.gif, .jpg, .bmp)是安全的，但是现在不是了。文件扩展名也可以伪装;入侵者能够利用Windows默认的不显示普通的文件扩展名的设置，将可执行文件名称设为类似greatfile.jpg.exe这样。 实际的扩展名被隐藏起来，只显示为greatfile.jpg。这样收件人会以为它是图片文件，但实际上却是恶意程序。  　　您只能在确信附件来源可靠并且您知道是什么内容的情况下才可以打开附件。即使带有附件的邮件看起来似乎来自你可以信任的人，也有可能是某些人将他们的地址伪装成这样， 甚至是发件人的电脑已经感染了病毒，在他们不知情的情况下发送了附件。  7: 点击所有链接  　　打开附件不是鼠标所能带给您的唯一麻烦。点击电子邮件或者网页上的超级链接能将您带入植入ActiveX控制或者脚本的网页，利用这些就可能进行各种类型的恶意行为，如清除硬 盘，或者在计算机上安装后门软件，这样黑客就可以潜入并夺取控制权。  　　 点错链接也可能会带您进入具有色情图片，盗版音乐或软件等不良内容的网站。如果您使用的是工作电脑可能会因此麻烦缠身，甚至惹上官司。  　　请不要向“点击狂燥症”屈服。在点击链接之前请务必考虑一下。有些链接可能被伪装在网络钓鱼信息或者那些可能将你带到别的网站的网页里。例如，链接地址可能是 www.safesite.com，但是实际上会指向www.gotcha.com。一般情况下，您可以用鼠标在链接上滑过而不要点击，就可以看到实际的URL。  8: 共享或类似共享的行为  　　老师教导我们分享是一种良好的行为，但是在网络上，分享则可能将你暴露在危险之中。如果您允许文件和打印机共享，别人就可以远程与您的电脑连接，并访问您的数据。即使 您没有设置共享文件夹，在默认情况下，Windows系统会隐藏每块磁盘根目录上可管理的共享。一个黑客高手有可能利用这些共享侵入您的电脑。解决方法之一就是，如果您不需要 网络访问您电脑上的任何文件，就请关闭文件和打印机共享。如果您是通过公用无线热点上使用笔记本进行连接。  　　如果你确实需要共享某些文件夹，请务必通过共享级许可和文件级(NTFS)许可对文件夹进行保护。另外还要确保您的帐号和本地管理帐号的密码足够安全。  9: 用错密码  　　这也是使得我们暴露在入侵者面前的又一个常见错误:用错密码。即使您的网络环境中没有管理员强迫您选择强大的密码并定期更换，您也应该这样做。不要选用容易被猜中的密 码，如您的生日，爱人的名字，社会保险号码等。密码越长越不容易被破解，因此您的密码至少为8位，14位就更好。常用的密码破解方法采用“字典”破解法，因此不要使用字典 中能查到的单词做为密码。为安全起见，密码应该由字母、数字以及符号组合而成。  　　很长的无意义的字符串密码很难被破解，但是如果你因为记不住密码而不得不将密码写下来的话，就违背了设置密码的初衷，因为入侵者可能会找到密码。可以造一个容易记住的 短语，并使用每个单词的第一个字母，以及数字和符号生成一个密码。例如，使用“My cat ate a mouse on the 5th day of June”可以得到密码“Mc8amot5doJ。”  10: 忽视对备份和恢复计划的需要  　　即使您听取了所有的建议，入侵者依然可能弄垮您的系统，您的数据可能遭到篡改，或因硬件问题而被擦除。因此备份重要信息，制定系统故障时的恢复计划具有相当重要的地位。  　　大部分计算机用户都知道应该备份，但是许多用户从来都不进行备份，或者最初做过备份但是从来都不定期对备份进行升级。使用内置的Windows备份程序(Windows NT, 2000, 及XP 中内置的Ntbackup.exe)或者第三方备份程序以及可以自动进行备份的定期备份程序。所备份的数据应当保存在网络服务器或者远离计算机自身的可移动驱动器中，以防止洪水、火 灾以及龙卷风等灾难情况的发生。  　　请牢记数据是您计算机上最重要的东西。操作系统和应用都可以重新安装，但是重建原始数据则是难度很高甚至根本无法完成的任务。  　　尽管如此，备份系统信息也可以节省时间，减少受挫。你可以使用常用的ghost或者克窿程序创建磁盘镜像。这样就可以快速恢复系统，而无需经过冗长乏味的安装过程。 

 
CMOS密码安全攻略 要说密码。首先就是CMOS密码了。CMOS(本意是指互补金属氧化物半体存储器，是一种大规模应用于集成电路芯片制造的原料)是电脑主板上的一块可读写的RAM芯片，主要用来保存当前系统的硬件配置。CMOS RAM芯片由系统通过一块后备电池供电，所以无论是开关机状态中，CMOS的信息都不会丢失。既然CMOS的信息不会丢失，那么它的安全性应该是很好了。所以，我们还是先来设置一下CMOS密码吧。  设置CMOS方法如下：  1.启动计算机，在计算机正在启动时不停地按DEL键(注意，是不停地按动，而不是按住不放)，直到出现CMOS SETUP界面(有的计算机进入CMOS的快捷键不是DEL，例如康柏就是F2，需要看情况而定)；  2.用键盘上的光标键选择SUPERVISOR PASSWORD项，然后回车，出现ENTER PASSWORD后，输入密码再回车，这时又出现CONFIRM PASSWORD，在其后再次输入同一密码(注：该项原意是对刚才输入的密码进行校验，如果两次输入的密码不一致，则会要求你重新输入)；  3.用光标键选择USER PASSWORD项后回车，同上面一样，密码需输入两次才能生效。以上设置的两个密码分别为设置密码和修改CMOS SETUP密码，建议两个均取同一密码，以便记忆；  4.选择DIOS FEATURES SETUP项回车，用光标键选择SECURITY OPION项后用键盘上的PAGE UP/PAGE DOWN键把选项改为SYSTEM(设定为SYSTEM的目的是让计算机在任何时候都要检测密码，包括启动机器)， 然后按ESC键退出；  5.选择SAVE&EXIT SETUP项回车，出现提示后按Y键再回车，以上设置的密码即可生效。  　　听说COMS密码的安全性不是很高，有很多种方法可以破解，先不管那么多了，就当这是第一重障碍吧。就看Jackeroo怎么接招了。嘿嘿……他以为在CMOS里面设置了密码就高枕无忧了，看看我如何对付吧：  第一招，Debug大法  　　先看看是否可以进入系统，只要他在CMOS设置中设置的密码检测不是“System”(进入系统之前总是要密码)，我就可以进入系统，然后加以破解，方法嘛？  软盘启动(当然我的软盘上边有Debug这个超级软件)，打开Debug，然后输入  o 70 2E  o 71 0  quit  重新启动计算机的时候，你会发现CMOS校验错，需要重新设置，这时候你不用输入密码就可以进入系统了。  　　什么！他CMOS中设置的是“System”，你不能用软盘启动进入系统，这也没有关系，趁他不在的时候，运行一下Debug吧！你难道连一个他上厕所的时间也找不到吗？  最后一招，放电大法  　　对实在无法进入电脑的可用最后(也是最有效)的方法，大家知道CMOS是靠内部电池供电保存信息的，因此，该法很简单，打开机箱盖，找出放电跳线，放电，就搞定了。或把电池取下，正负极短接，就OK了。