主题：[分享]网络安全精品。。。。课程

 网络安全：指导与建议---如何才能够用好杀毒软件 网络安全管理员需要审时度势，灵活地依据企业自身的特点来不断调整安全策略，加强与反病毒厂商的密切合作，才能长期确保信息安全。 　　很多网管都在为病毒犯愁，为什么安装了杀毒软件还不能防毒？这是国内企业网络管理员在管理网络安全中普通存在的问题。如能解决这个问题，一个企业真正的安全管理方案也就建立起来了。 　　企业网络的管理员应该选择网络版杀毒软件构建自己的网络安全防御系统。目前的网络版杀毒软件针对不同类型、不同规模的企业产品，在功能上进行了细分。管理员要针对本企业的特性来选择对应的产品才能达到事半功倍的效果（见表1）。 杀毒软件应用指导与建议 　　调查显示，80%部署了网络版杀毒软件的用户都没有合理运用自己的产品，使得企业网络出现致命的漏洞，被病毒乘虚而入。有哪些工作是网管日常需要去注意的，有哪些软件功能和配套服务是我们进行安全工作的好帮手呢？ 1.及时更新软件版本 　　目前，市场上主流杀毒软件厂商的版本更新频率都能达到1次/日以上。像瑞星的产品每天至少要升级500个左右的病毒特征码。而有近30%的网络版产品客户每周只更新一次产品，这意味着一周内有3500种新病毒可以肆意攻击网络，而网络毫无还手之力。用户可以将升级时间定在每日的凌晨，定在这个时间段升级可以躲开白天拥挤的网络，使服务器更为稳定。升级方式设定为智能升级。 2.运用好软件的管理工具 　　在杀毒软件网络版中，内置了大量的安全管理功能。通过这些管理功能可以高效地对网络进行统一的安全管理。 　　“组策略”功能是目前比较流行和常用的管理功能之一。通过这样的功能可以简单地将一个庞大的管理体系通过“组策略”管理工具将其细化为各个功能组，管理员可以依据各个功能组的特点来定义相应的用户群并实施策略管理。 　　这种组管理方式具备几个特点：1、管理效率会大大加强。只需对组进行安全设计方案，属于该组的计算机用户都将自动对方案进行继承。2、对工作具有亲和力，比如，有些服务部门中午是最忙碌的，而其他部门中午休息。那么，管理员可以将定时杀毒时间合理地分配。3、通过组策略还可以对各个组设置针对组的安全管理员，从而减轻了网管的压力。 3.掌握软件的特性功能 　　自2001年“红色代码”病毒开始利用微软操作系统漏洞进行传播以来，“冲击波”、“震荡波”等通过漏洞传播的恶性病毒都对当时的网络安全产生了重大的影响。 　　显然，利用系统漏洞攻击已经成为病毒传播的一个新型和重要的途径。由于操作系统和应用软件的漏洞层出不穷，修补漏洞已经成为网络管理员重要的日常工作之一。但是，在复杂的企业网络中，由管理员逐一对计算机排查修补几乎是不可能实现的，不但工作效率低，而且会影响用户的正常工作。 　　瑞星杀毒软件网络版2006版的漏洞扫描和修补功能已经将“全网远程漏洞的发现与修补”、“漏洞库的升级与自我更新”、“全网漏洞日志”等功能完全集成。利用该功能，管理员可以定期对全网漏洞进行修补，使得病毒通过漏洞攻击的途径被完全封闭，并通过日志发现网络中的薄弱环节。 完整的服务 　　近年来，杀毒软件网络版的售后服务已经越来越受到关注，很多用户对服务的关注甚至超过了产品本身。其实，软件本身就是服务，由于杀毒软件在企业信息安全中的重要作用，服务显得尤为重要。 　　对新病毒的快速处理。以一个有上百台PC 的网络为例，一个新的蠕虫病毒在一小时内可以让网络明显感觉负载加大，三个小时整个网络瘫痪。这样的状况对于承担重要数据的网络而言是危险的。目前处理这样的情况只能依赖于杀毒软件厂商的售后服务响应水平。因此，在准备选购产品时，要向厂商咨询这一响应速度，以最大限度保护自己的安全。 　　 完善的呼叫中心系统。作为特殊的软件，安全软件对于服务的依赖远远超过其他产品。对于整个网络系统的安全部署、特殊情况处理、杀毒操作后处理的细节工作并不是一般人员能够处理的。用户应该考察软件厂商的呼叫中心系统，以获得优良的售后支持服务。 　　专门的邮件支持系统。邮件系统作为配合解决问题的一个重要通道，可以将用户提交的可疑文件信息、相关问题信息、日志等信息，及时地分级并用服务商的快速通道传递给相关工程师，标准的邮件支持系统可以大大提高用户请求的响应效率。 　　总的来说，企业自身信息化、制度化建设是实现网络安全的基础保障，一个适合企业应用的网络版杀毒体系及其他安全软硬件系统是强有力的工具，而配套的售后服务支持给企业安全建设带来的是正确的思路与安全支持。这几个要素构成了一个企业强大的安全网络，网络安全得以实现。 　　需要指出的是，在信息化飞速发展的时代，网络的安全战役将长期存在。网络安全管理员需要审时度势，灵活地依据企业自身的特点来不断调整安全策略，加强与反病毒厂商的密切合作才能长期确保信息安全。

 
网络安全概述 1．1网络安全研究背景 　　20世纪40年代，随着计算机的出现，计算机安全问题也随之产生。随着计算机在社会各个领域的广泛应用和迅速普及，使人类社会步入信息时代，以计算机为核心的安全、保密问题越来越突出。 　　70年代以来，在应用和普及的基础上，以计算机网络为主体的信息处理系统迅速发展，计算机应用也逐渐向网络发展。网络化的信息系统是集通信、计算机和信息处理于一体的，是现代社会不可缺少的基础。计算机应用发展到网络阶段后，信息安全技术得到迅速发展，原有的计算机安全问题增加了许多新的内容。 　　同以前的计算机安全保密相比，计算机网络安全技术的问题要多得多，也复杂的多，涉及到物理环境、硬件、软件、数据、传输、体系结构等各个方面。除了传统的安全保密理论、技术及单机的安全问题以外，计算机网络安全技术包括了计算机安全、通信安全、访问控制的安全，以及安全管理和法律制裁等诸多内容，并逐渐形成独立的学科体系。 　　换一个角度讲，当今社会是一个信息化社会，计算机通信网络在政治、军事、金融、商业、交通、电信、文教等方面的作用日益增大。社会对计算机网络的依 　　 赖也日益增强，尤其是计算机技术和通信技术相结合所形成的信息基础设施已经成为反映信息社会特征最重要的基础设施。人们建立了各种各样完备的信息系统，使得人类社会的一些机密和财富高度集于计算机中。但是这些信息系统都是依靠计算机网络接受和处理信息，实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。随着网络的开放性、共享性及互联程度的扩大，特别是Internet网的出现，网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起，比如电子商务（Electronic Commerce）、电子现金（Electronic Ｃash）、数字货币（Digital Cash）、网络银行（Network Bank）等的兴起，以及各种专用网（比如金融网等）的建设，使得安全问题显得越来越重要，因此对网络安全的研究成了现在计算机和通信界的一个热点。 1．1．1 什么是安全 　　简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要，包括信息和物理设备（例如计算机本身）。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作，以及什么时候。当涉及到公司安全的时候什么是适宜的，在公司与公司之间是不同的，但是任何一个具有网络的公司都必需具有一个解决适宜性、从属性和物理安全问题的安全政策。 　　伴随着现代的、先进的复杂技术例如局域网和广域网、Internet，安全的想法和实际操作已变得更加复杂，对于网络来说，一个人可以定义安全为一个持续的过程。 计算机网络安全之所以重要，其主要原因在于： 　　1）计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。 　　2）随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂、系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。 　　3）人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转、不可替代的。 　　4）随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足。 　　5）计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等，因此是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。 　　6）从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从现象注意系统应用的安全问题。因此广泛存在着重应用轻安全、质量法律意识淡薄、计算机素质不高的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的。 　　学习计算机网络安全技术的目的不是要把计算机系统武装到百分百安全，而是使之达到相当高的水平，使入侵者的非法行为变得极为困难、危险、耗资巨大，获得的价值远不及付出的代价高。 　　在网络环境里安全是一种能够识别和消除不安全因素的能力。安全的目的是使入侵者获得的价值远不及付出的代价高 1．1．2什么是风险 　　收集数据是一门并不完美的艺术，被不同的专家收集到的数据真正意味着什么总是引起争议的，Http://www.anticode.com这个站点在新兴的hacker(atteker)中极受欢迎，它是许多提供方便可用的资源给新兴的Internet用户的站点之一，它可以使用户： 1）获得如何开始hacker活动的相当准确的建议 2）扫描网络以确定那些目标被攻击 3）使用虚假信息攻击e-mail,database,file, 和web server使其瘫痪 4）摧毁和渗透路由器和其他的网络连接设备 5）击败和摧毁认证和加密方法 　　抵御攻击是困难的，除非知道如何把攻击分类，然后反击它，但是确保你的系统绝对安全是不可能的。 1．1．3网络安全潜在的威胁 　　计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；也有可能是外来黑客对网络系统资源的非法使用。 　　目前，归结起来网络安全所面临的主要潜在威胁有以下几方面： 一、信息泄密。主要表现为网络上的信息被窃听，这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。 二、信息被篡改。这就是纯粹的信息破坏。这样的网络侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息起到信息误导的作用。积极侵犯者的破坏作用最大。 三、传输非法信息流。 用户可能允许自己同其他用户进行某些类型的通信, 但禁止其它类型的通信。如允许电子邮件传输而禁止文件传送。 四、网络资源的错误使用。如果不合理地设定资源访问控制,一些资源有可能被偶然或故意地破坏。 五、非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害合法用户的利益。 六、计算机病毒已经成为威胁网络安全的最大威胁。 1．2 网络中存在的不安全因素 　　由于网络所带来的诸多不安全因素使得网络使用者不得不采取相应的网络安全对策。为了堵塞安全漏洞和提供安全的通信服务，必须运用一定的技术来对网络进行安全建设，建立完善的法律、法规以及完善管理制度，提高人们的安全意识，这已为广大网络开发商和网络用户所共识。 　　依据网络与信息所面临的威胁可将网络及信息的不安全的因素归结为以下几类： 　　自然和人为灾害、系统物理的故障、人为的无意失误、网络软件的缺陷、计算机病毒、法规与管理不健全。 　　自然灾害包括：水灾、火灾、地震、雷击、台风及其他自然现象造成的灾害。 　　人为灾害包括：战争、纵火、盗窃设备及其他影响到网络物理设备的犯罪等。 　　以上这些情况虽然发生的概率很小，但也不容忽视。 　　系统物理故障包括：硬件故障、软件故障、网络故障和设备环境故障等。 　　电子技术的发展使电子设备出故障的概率在几十年里一降再降，许多设备在它们的使用期内根本不会出错。但是由于计算机和网络的电子设备往往极多，故障还是时有发生。由于器件老化、电源不稳、设备环境等很多问题使计算机或网络的部分设备暂时或者永久失效。这些故障一般都具有突发的特点。 　　对付电子设备故障的方法是及时更换老化的设备，保证设备工作的环境，不要把计算机和网络的安全与稳定联系在某一台或几台设备上。另外还可以采用较为智能的方案，例如现在智能网络的发展，能使网络上出故障的设备及时退出网络，其他设备或备份设备能及时弥补空缺，使用户感觉不到网络出现了问题。 　　软件故障一般要寻求软件供应商来解决，或者更换、升级软件。 　　人为的无意失误包括：程序设计错误、误操作、无意中损坏和无意中泄密等。 　　如操作员安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择不慎、用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这些失误有的可以靠加强管理来解决，有的则无法预测，甚至永远无法避免。限制个人对网络和信息的权限，防止权力的滥用，采取适当的监督措施有助于部分解决人为无意失误的问题。出现失误之后及时发现，及时补救也能大大减少损失。 　　网络安全面临的最大问题就是人为的恶意攻击。人为的恶意攻击包括：主动攻击、被动攻击。 　　被动攻击是指攻击者不影响网络和计算机系统的正常工作，从而窃听、截获正常的网络通信和系统服务过程，并对截获的数据信息进行分析，获得有用的数据，以达到其攻击目的。被动攻击的特点是难于发觉。一般来说，在网络和系统没有出现任何异常的情况下，没有人会关心发生过什么被动攻击。 　　主动攻击是指攻击者主动侵入网络和计算机系统，参与正常的网络通信和系统服务过程，并在其中发挥破坏作用，以达到其攻击目的。主动攻击的种类极多，新的主动攻击手段也在不断涌现。主要的攻击手段有上述提到的几种。攻击者进行身份假冒攻击要实现的是冒充正常用户，欺骗网络和系统服务的提供者，从而获得非法权限和敏感数据的目的；身份窃取攻击是要取得用户的真正身份，以便为进一步攻击作准备；错误路由指的是攻击者修改路由器中的路由表，将数据引到错误的网络或安全性较差的机器上来；重放攻击指在监听到正常用户的一次有效操作后，将其记录下来，之后对这次操作进行重复，以期获得与正常用户同样的对待。计算机病毒攻击的手段出现得更早，其种类繁多，影响范围广。不过以前的病毒多是毁坏计算机内部数据，使计算机瘫痪。现在某些病毒已经与黑客程序结合起来，被黑客利用来窃取用户的敏感信息，危害更大。 　　网络软件不可能是百分之百的无缺陷和无漏洞的，然而， 这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。 　　 计算机病毒是一段能够进行自我复制的程序。病毒运行后可能损坏文件，使系统瘫痪，造成各种难以预料的后果。在网络环境下，病毒具有不可估量的威胁和破坏力。 　　为了维护网络与信息系统的安全，单纯凭技术力量解决是不够的，还必须依靠政府和立法机构制定出完善的法律法规进行制约，给非法攻击者以威慑。只有全社会行动起来共同努力，才能从根本上治理高科技领域的犯罪行为，确保网络与信息的应用和发展。 　　在网络安全系统的法规和管理方面，我国的起步较晚，目前还有很多不完善、不周全的地方，这给了某些不法分子可乘之机。但是政府和立法机构已经注意到了这个问题，立法工作正在迅速进行，而且打击力度是相当大的。各个公司、部门的管理者也逐步关心这个问题。随着安全意识的进一步提高，由于法规和管理不健全导致的安全威胁将逐渐减少。 1．3 网络安全体系结构 　　为了适应网络技术的发展，国际标准化组织ISO的计算机专业委员会根据开放系统互连参考模型制定了一个网络安全体系结构模型。这个三维模型从比较全面的角度来考虑网络与信息的安全问题。 　　网络安全需求应该是全方位的、整体的。在OSI七个层次的基础上，将安全体系划分为四个级别：网络级安全、系统级安全、应用级安全及企业级的安全管理，而安全服务渗透到每一个层次，从尽量多的方面考虑问题，有利于减少安 全漏洞和缺陷。 1．3．1主要的安全服务 　　针对网络系统受到的威胁，OSI安全体系结构提出了以下几类安全服务： 　　身份认证：这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间， 为提供连接实体身份的鉴别而规定的一种服务。这种服务防止冒充或重传以前的连接，也即防止伪造连接初始化这种类型的攻击。这种鉴别服务可以是单向的也可以是双向的。 　　访问控制（Access Control）： 访问控制服务可以防止未经授权的用户非法使用系统资源。这种服务不仅可以提供给单个用户，也可以提供给封闭的用户组中的所有用户。 　　数据保密（Data Confidentiality） ：数据保密服务的目的是保护网络中各系统之间交换的数据，防止因数据被截获而造成的泄密。 　　数据完整性（Data Integrity）： 这种服务用来防止非法实体对用户的主动攻击（对正在交换的数据进行修改、插入、使数据延时以及丢失数据等），以保证数据接收方收到的信息与发送方发送的信息完全一致。 　

　不可否认性：这种服务有二种形式：第一种形式是源发证明，即某一层向上一层提供的服务，它用来确保数据是由合法实体发出的，它为上一层提供对数据源的对等实体进行鉴别，以防假冒。第二种形式是交付证明，用来防止发送数据 方发送数据后否认自己发送过数据，或接收方接收数据后否认自己收到过数据。 　　审计管理：对用户和程序使用资源的情况进行记录和审查，可以及早发现入侵活动，以保证系统安全，并帮助查清事故原因。 　　可用性：保证信息使用者都可得到相应授权的全部服务。 1．3．2网络安全服务与网络层次关系 　　从网络的7个层次的角度来考虑安全问题，比较接近网络和应用系统的结构层次， 便于充分全面的考虑具体实际的软件硬件的安全。例如拿到一个通信软件，可以从协议层次角度分析该软件从应用层到网络层的哪些层次上加以了安全的保护，各层的安全性强度如何，哪一层上最容易受到攻击等。 　　由于OSI参考模型是一种层次结构，某种安全服务由某些层次支持更有效，而另外一些层却不能支持。因此存在一个安全服务与网络层次的配置问题、在这些层次之中，上一层的安全对下层的安全也有一定的依赖性，但与系统的层次不一样，各层的安全性可以是独立的。下层实现的安全对上层可以是透明的，也就是说上层感觉不到下层已经实现了安全。而下层不安全时，上层也可以独立实现安全。 1．4网络安全标准 　　在完成关于一些安全基础的讨论后，我们介绍几种已存在的安全标准。 1．4．1ISO 7498-2 　　安全体系结构文献定义了安全就是最小化资产和资源的漏洞。资源可以指任何事物，漏洞是指任何可以造成破坏系统或信息的弱点。威胁是指潜在的安全破坏。ISO还进一步为威胁进行分类，例如前面我们介绍的不安全因素。 ISO 7498-2安全体系结构文献中还定义了几种安全服务。 　　ISO7498-2种描述的安全体系结构的5种安全服务项目是： l、鉴别（Authentication） l 访问控制（Access control） l 数据保密（Data confidentiality） l 数据完整性（Data integrity） l 抗否认（Non-reputation） 为了实现以上服务,制定了8种安全机制，他们分别是： l 加密机制 l 数字签名机制 l 访问控制机制 l 数据完整性机制 l 鉴别交换机制 l 通信业务填充机制 l 路由控制机制 l 公正机制 1．4．2桔皮书 　　除了ISO 7498-2外还存在一些其它政府和工业标准，主要有： 　　桔皮书：目前广为流行的美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria），用来评价一个计算机系统的安全性。TCSEC将计算机系统的可信任程度，即安全等级划分为4类7级，按安全程度从最低到最高的完全排序是D，C1，C2 ，B1，B2，B3，A1。 1．5安全策略的重要性 　　网络安全的一个最重要的任务就是制定一个安全策略。多数的用户都想用一个技术方案来解决每个问题，然而一个深思熟虑的安全规划，将帮助用户决定哪些需要保护，由谁来负责执行保护。 　　安全策略的目的是决定一个组织机构怎样来保护自己。一般来说，策略包括两个部分：总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想，而具体的规则用于说明什么活动是被允许的，什么活动是被禁止的。 　　制定组织机构的整体安全策略： 　　整体安全策略制定组织机构的战略性安全指导方针并为实现这个方针分配必要的人力物力。一般是管理层的官员，如组织机构的领导者和高层领导人员来主持制定这种策略以建立该组织机构的计算机安全计划和其基本框架结构。 　　制定和系统相关的安全策略： 一般根据整体策略提出一个系统的具体保护措施。这种策略着重于某一具体的系统，更为详细。 　　安全策略的制定是为了保证信息的保密性、完整性和可用性，因此应具有普遍的指导意义。应该针对安全系统所面临的各种威胁，提出控制策略，并为系统的配置、管理和应用提供基本的框架。有了安全策略，系统才可能正常、有序地运行，也才可能更安全、合理地使用信息系统资源。有了安全策略，才可能更加高效、迅速地解决安全问题，使威胁造成的损失降为最小。制定安全策略的依据如下： 首先，须对资源进行评估，包括硬件、软件、数据、文档等分出安全等级。 　　然后，对可能的威胁进行分析，包括非授权访问、信息泄漏和内部缺陷等等。 　　安全策略要确定用户的权力和责任，包括帐户管理、资源访问权限、口令应用以及建立备份等。同时也须明确系统管理员的权力和责任，包括物理安全、系统配置、帐户设置及使用权限、口令管理、审计和监控等方面。 　　安全策略还应提出一般性的安全防护措施：存取控制、认证、密码技术、防火墙系统、操作系统安全、数据库系统安全、计算机病毒防护、审计和恢复等。 　　在安全维护方面，企业应注意当安全事件发生时应如何处理，因此应有完善的事故处理及事后处理的策略和制度。 　　1．6目前网络安全的主要技术 　　从广义上讲，常用的网络安全主要有以下一些技术， 并已经有大量相应的安全产品。 1．6．1加密 　　加密是使某些东西只能是某些特定的接收者可以知道的过程，网络和文件经常使用加密技术，对于文件而言，加密把容易读取的文件变成密文文件。能够读取这种密文的方法是获得密钥。网络是一个开放的系统，加密变得非常的重要。 　　加密是提供数据保密的最常有的方法。现在有几种类型的加密技术，包括硬件的和软件的。可以提供数据的保密性和完整性。 1．6．2认证 　　认证过程试图验证一个用户，系统或系统进程的身份，在这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。 　　用户或系统能够通过四种方法来证明他们的身份，即通过以下四种方法来证明自已的身份。 What you know What you have Who you are Where you are 认证用来标识用户及确定用户的真实性，可以通过加密来实现。 1．6．3访问控制 　　每个系统都要确保只有它们想要的个体，系统才允许他们访问。这种机制叫 访问控制。一个网络内部的机制确保每个用户和系统只能访问安全策略所允许的访问。访问控制是发生在认证过程之后，在经过系统认证后，是通过访问控制机制来控制你在系统中能够访问什么，这种机制能用于赋予或拒绝权限。 所有的操作系统都支持访问控制。访问控制是保护服务器的基本机制。必须在服务器上限制哪些用户可以访问服务或守护进程。 1．6．4审计 　　审计是整个安全计划中的一个特征。多数现在的系统可以以日志文件的形式记录下所有的活动。这些日志可以帮助对你实施的安全进行有效地诊断。通过这些活动的日志，总是可以判断是否有一个不允许的活动发生。 　　审计包括被动地记录一些活动，在被动审计中，计算机简单地记录一些活动，并不做什么处理，因此，被动式审计不是一个实时的检测。因为必须得查看这些日志然后对其中包含的内容采取措施。主动式审计原则是需要你前期事先做些响应设置。主动式审计包括主动地响应非法入侵，这些响应可能包括： 结束一个登录会话； 拒绝一些主机的访问（包括web,ftp,e-mail服务器）； 跟踪非法活动的源位置。

 
U盘病毒和Autorun.inf文件分析 经常使用U盘的朋友可能已经多次遭遇到了U盘病毒，U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称，正是这个道理。就好像身体上有个创口，有可能进入的细菌就不止一种，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种，详细的数字应该没人去统计吧。 　　现在先说说autorun.inf这个所谓的创口吧…… 　　首先，autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。 　　但相信你已经注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，一插入电脑就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。 　　这里再说说计算机病毒：跟生物界的状况是一样的，细菌、病毒跟人类都是生物体，甚至在大部分情况下，这些微生物也并非完全有害，也会与人体共存。电脑中的病毒跟正常程序一样，都是使用基础原理一致的源代码编写、执行的，只是软件执行的是用户需要的、正常的功能，病毒执行的是用户不需要的、不正常的功能，这里有一个辩证的相对性在里面。简单的例子，比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件，假设我autorun.inf中使用了Format或del命令，那么表示我可以让别人的机器被格式化，或者删除了一些文件，而这其实不需要太高深的电脑知识。 　　说完autorun.inf，再说说目前相关的U盘病毒的隐藏方式： 　　有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的： 　　另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。 　　也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。要让自己能看到隐藏的文件，怎么办？个人如操作，按如下步骤：打开“我的电脑”，在菜单栏上点“工具”，点“文件夹选项”，出现一个对话框，选择“查看”标签，然后对照下图： 如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西：  上图左侧是带病毒的U盘，右键菜单多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。　 　　 综上所述： 　　 引用 　　 目前的U盘病毒都是通过Autorun.inf来进入的； 　　 Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作； 　　 不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等； 　　 一般情况下，U盘不应该有Autorun.inf文件； 　　 如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒； 　　 如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它； 　　 同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。 　　 注：部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。 　　 下面说说RavMon.exe病毒的解决办法吧： 　　 昨天某人发现她的U盘有病毒，KV报出一个RavMonE.exe文件，这个也是最经典的一个U盘病毒了…… 　　 引用 　　 RavmonE.exe病毒运行后，会出现同名的一个进程，该程序并貌似没有显著危害性。程序大小为3.5M，貌似用Python写的，一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由于该疑似病毒文件过于巨大，一般随移动存储器传播。

 解决方法： 　　 1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程。 　　 2、进入c：\windows，删除其中的ravmone.exe。 　　 3、进入c：\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c：\windows\ravmone.exe的，把他删除掉。 　　 4、完成后，病毒就被清除了。 　　 杀掉U盘中的病毒的方法： 　　 对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。 　　 但对于上面的处理U盘中的病毒的方法，经过我的亲身经历后作小小补充：就是在删除autorun.inf，msvcr71.dl，RavMonE.exe这三个文件时，直接删可能会删不掉的，要先到进程管理那了先结束RavMonE.exe再删除这三个文件，如果还不行就到安全模式里删，这样就一定行。 　　 小结： 　　 不要以为这个是小小的病毒，它是不知不觉的在后台运行的，它长期会占用你差不多20M内存，它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行，例如学校，公司等。这个病毒任你格式化U盘也格不掉，用很多杀毒软件也奈它不何。一般让你看不出来，不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”，看看……你可能见到多出了三个不明的文件，那你就是中招了！有空检查一下你的U盘吧！祝你好运！注意：如果进程是Ravmon.exe ，这个应该是瑞星的程序而不病毒！

 
windows常见漏洞分析（一） 由于Windows NT/2000操作系统的普及率和市场占有率比较高，所以很容易使它成为很多黑客攻击的目标。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq缓冲区溢出漏洞、Microsoft IIS CGI文件名错误解码漏洞、MSADCS RDS弱点漏洞、FrontPage服务器扩展和.Printer漏洞等等。下面笔者将对这些漏洞的原理、危害程度、检测和解决办法分别进行介绍。  一、Unicode漏洞  1．漏洞危害  　　 在Unicode字符解码时，IIS 4.0/5.0存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当用户用IIS打开文件时，如果该文件名包含Unicode字符，系统会对其进行解码。如果用户提供一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件。未经授权的用户可能会利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都可能被删除、修改或执行。通过此漏洞，您可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹内的全部文件一次性拷贝到另外的文件夹去、把某个文件夹移动到指定的目录和显示某一路径下相同文件类型的文件内容等等。  2．漏洞成因  　　 Unicode漏洞的成因可大致归结为: 从中文Windows IIS 4.0+SP6开始，还影响中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。台湾繁体中文也同样存在这样的漏洞。它们利用扩展Unicode字符（如利用“../”取代“/”和“＼”）进行目录遍历漏洞。据了解，在Windows NT中编码为%c1%9c，在Windows 2000英文版中编码为%c0%af。  3．漏洞检测  　　 首先，对网络内IP地址为*.*.*.*的Windows NT/2000主机，您可以在IE地址栏输入http:// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c为Windows 2000漏洞编码，在不同的操作系统中，您可使用不同的漏洞编码)，如漏洞存在，您还可以将Dir换成Set和Mkdir等命令。  其次，您要检测网络中某IP段的Unicode漏洞情况，可使用有如Red.exe、SuperScan、RangeScan扫描器、Unicode扫描程序Uni2.pl及流光Fluxay4.7和SSS等扫描软件来检测。  4．解决方法  　　 若网络内存在Unicode漏洞，可采取如下方法进行补救：  　　 （1）限制网络用户访问和调用CMD命令的权限；  　　 （2）若没必要使用SCRIPTS和MSADC目录，删除或改名；  　　 （3）安装Windows NT系统时不要使用默认WINNT路径，您可以改为其他的文件夹，如C:\mywindowsnt；  　　 (4)用户可从如下地址下载Microsoft提供的补丁：http://www.microsoft.com/ntserve ... q269862/default.asp为IIS 4.0的补丁地址，http://www.microsoft.com/windows ... q269862/default.asp为IIS 5.0补丁地址。  二、.ida/.idq缓冲区溢出漏洞  　　 1．漏洞危害及成因  　　 作为安装IIS过程的一部分，系统还会安装几个ISAPI扩展.dlls，其中idq.dll是Index Server的一个组件，对管理员脚本和Internet数据查询提供支持。但是，idq.dll在一段处理URL输入的代码中存在一个未经检查的缓冲区，攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出，从而执行自己提供的代码。更为严重的是，idq.dll是以System身份运行的，攻击者可以利用此漏洞取得系统管理员权限。

 
windows常见漏洞分析（二） 2．解决方法  　　用户可以分别到http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833和http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800处下载补丁，或删除对.idq和.ida的脚本映射。如果其他系统组件被增删，有可能导致该映射被重新自动安装。  　　注意：安装Index Server或Index Services而没有安装IIS的系统无此漏洞；另外，即使Index Server/Indexing Service没有开启，但是只要对.idq或.ida文件的脚本映射存在，攻击者也能利用此漏洞。受影响平台有Windows NT 4.0、Windows 2000、Windows XP beta; 受影响的版本有Microsoft Index Server 2.0、Indexing Service in Windows 2000。  三、Microsoft IIS CGI 文件名错误解码漏洞  　　1．漏洞危害及成因  　　IIS在加载可执行CGI程序时，会进行两次解码。第一次解码是对CGI文件名进行Http解码，然后判断此文件名是否为可执行文件，如检查后缀名是否为“.exe”或“.com”等。在文件名检查通过之后，IIS会进行第二次解码。正常情况下，应该只对该CGI的参数进行解码，然而，当漏洞被攻击后，IIS会错误地将已经解过码的CGI文件名和CGI参数一起进行解码。这样，CGI文件名就被错误地解码两次。通过精心构造CGI文件名，攻击者可以绕过IIS对文件名所做的安全检查。在某些条件下，攻击者可以执行任意系统命令。 　　2．漏洞检测  　　该漏洞对IIS 4.0/5.0（SP6/SP6a没有安装）远程本地均适用，您可通过前文所述的SSS软件进行测试。 　　3．解决方法  　　如果您的主机有此漏洞，可在http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787处下载补丁。  四、MSADCS RDS弱点漏洞  　　1．漏洞危害  　　虽然MSADCS RDS弱点漏洞对许多黑客来说已经有点儿过时，不过，对于网络上一些粗心大意的网管来说，还是有为数众多的机器并没有针对这个漏洞进行防堵。该漏洞可以导致攻击者远程执行用户系统的命令，并以设备用户的身份运行。  　　2．漏洞成因  　　此漏洞是因Windows NT 4.0 Option Pack中的组件MDAC（即Microsoft Data Access Components）引起的，它包含了一项RDS（Remote Data Service）的功能。RDS是Microsoft提供给使用者远程访问数据库的服务，它能够让使用者透过ODBC远程存取/查询服务器数据库中的数据信息，而在IIS服务器中，还能够让使用者通过一个位于/msadc虚拟目录内名为msadcs.dll的文件提供RDS服务，以便与远程使用者沟通。 　　3．漏洞检测  　　用户可使用Shadow Security Scanner 5.35（本文简称SSS）、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL（Perl程序，执行需要ActivePerl环境，您可去雨林小狗网站下载，网址为http://www.wiretrip.net/rfp）来进行测试，也可以通过以下办法测试本机是否存在这个漏洞。c:\>nc -nw -w 2??80? ?? ?GET /msadc/msadcs.dll HTTP  　　4．解决方法  其实，Microsoft对关于Msadc的问题发了3次以上的补丁，但仍然存在问题。笔者认为最好的办法是：通过移除或删除系统内/msadc目录，同时移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安装MDAC 2.1 SP2补丁

 
windows常见漏洞分析（三） 五、FrontPage 服务器扩展漏洞  　　 1．漏洞危害  　　 该漏洞对网站构成严重威胁，可以让入侵者轻易地获得整个网站的信息。  　　 2．漏洞成因  　　 对于安装Frontpage服务器的网站，通常会在Web目录（缺省）下有若干个以字母“_vti”开头的目录，正是这些目录隐藏了潜在的攻击性。当用户在任何常用的搜索引擎上搜索默认的Frontpage目录时，会得到大量从引擎上返回的信息，这时，给入侵者一可乘之机，使他们得以对服务器进行简单而又反复的攻击。对攻击者来说，此漏洞可使他们获得被攻击方的Frontpage口令文件、通过Frontpage扩展名执行任意二进制文件，以及通过用_vti_cnf替换index.html，即入侵者能看到该目录下的所有文件，并有可能获得访问权限等。  　　 3．解决方法  　　 如对目录定义许可、移去某些目录、设置用户密码或不安装Frontpage扩展服务器等。  六、.Printer漏洞  　　 1．漏洞危害及成因  　　 此漏洞只存在于运行IIS 5.0的Windows 2000服务器中。由于IIS 5的打印ISAPI扩展接口建立了.printer扩展名到Msw3prt.dll的映射关系（缺省情况下该映射也存在），当远程用户提交对.printer的URL请求时，IIS 5.0会调用Msw3prt.dll解释该请求，加之Msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，其“Host:”域包含大约420B的数据，此时在Msw3prt.dll中发生典型的缓冲区溢出，潜在地允许执行任意代码。在溢出发生后，Web服务会停止用户响应，而Windows 2000将接着自动重启它，进而使得系统管理员很难检查到已发生的攻击。 2．漏洞检测  　　 针对.Printer漏洞的检测软件很多，如easyscan（http:// www.netguard.com.cn）、x-scaner(http:// www.xfocus.org 和SSS等。  3．解决方法  　　 可通过安装Microsoft漏洞补丁http://www.microsoft.com/Downloads/...ReleaseID=29321来解决此影响系统的安全问题

 
七种方法可以让你的电脑变得更安全   1、关掉危险进程  　　首先，我们当然要进到服务里，去看看有什么危险的系统进程在开着啦。看到注释吗?“允许远程操作注册表”，关掉它(Remote Registry)我点的是AT命令，也要关(Task Scheduler)，免得被入侵者用它来启动木马。  　　打开注册表，进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current_  　　Version\Winlogon在右边找一个键值DontDisplayLastUserName，然后改成1，如果不存在，你就新建立一个!  2、防止IPC空连接是非常必要的!  　　好，我们来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa这里，找到这个主键restrictanonymous把它改成1。  　　如果改成2有些程序可能无法运行，所以一般改成1。  3、我们来修改3389的默认端口  　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp来到这里，找到PortNumber ，十进制是3389的，你随意把它改成其它4个数字吧，我改成1314了，这样入侵者就不能3389入侵你的电脑了。  4、进入cmd下，运行net share和net user  　　看看还有什么共享的和可疑的用户名。Administrator 和 Guest是系统默认的，不用删，怎么多了个×××?不理了，删掉它。(net user ××× /del)，关掉没用的共享。(net share C$ /del, ...)。  5、输入法漏洞  　　解决方案:1.对这几个有漏洞的帮助文件进行删除或者改名等操作。  最好就是删除WINIME.CHM，WINPY.CHM，WINZM.CHM这三个帮助文件。你会删其它吧?  6、最重要，也很好用，一般无敌  　　在cmd下，进入c:\winnt\system32写入命令 ren net.exe netwei.exe (回车)。好了，以后，别人就算进到你的电脑内，也不能用net user username pass /add增加用户，更不能用net localgroup administrators username /add 加入administrators了，呵呵！这个命令来建立用户并提升管理员了。改成netwei user。  7、最后一步，也是关键的，这个可以防止别入格式化!  　　在CMD里写入命令:C:\>DOSKEY FORMAT=Bad command or file name! (回车)这个是锁定命令，你也可以锁定DEL，当别人恶意格式化你的硬盘时，系统将会显示:“Bad command or file name!，拒绝执行格式化命令。如果在某种特殊情况下，你自己需要格式化硬盘，那该怎么办呢?你可以输入下面的命令:  C:\>DOSKEY FORMAT= (回车)这样你就可以像以前一样可以格式化了。

 
什么是入侵检测系统   入侵检测系统： 　　入侵检测是指监视或者在可能的情况下，阻止入侵或者试图控制你的系统或者网络资源的那种努力。入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应（被动响应和主动响应）。  入侵检测系统技术： 　　可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。 发现入侵检测一般采用如下两项技术：  ① 异常发现技术，假定所有入侵行为都是与正常行为不同的。它的原理是，假设可以建立系统正常行为的轨迹，所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限在于，并非所有 的入侵都表现为异常，而且系统的轨迹难于计算和更新。 ② 是模式发现技术，它是假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式，以正确区分真正的入侵与正常行为。 模式发现的优点是误报少，局限是只能发现已知的攻击，对未知的攻击无能为力。 入侵检测系统的分类： 　 通常，入侵检测系统按其输入数据的来源分为3种： ①基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。 ②基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。 ③分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。  另外，入侵检测系统还有其他一些分类方法。如根据布控物理位置可分为基于网络边界（防火墙、路由器）的监控系统、基于网络的流量监控系统以及基于主机的审计追踪监控系统；根据建模方法可分为基于异常检测的系统、基 于行为检测的系统、基于分布式免疫的系统；根据时间分析可分为实时入侵检测系统、离线入侵检测系统。 入侵检测的主要方法： ①静态配置分析 静态配置分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（系统配置信息），而不是系统中的活动。 采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，这可通过检查系统的状态检测出来；系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；另外，系统在遭受攻 击后，入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。  所以，静态配置分析方法需要尽可能了解系统的缺陷，否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。 ②异常性检测方法 异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是，在许多环境中，为用户建立正常行为模式的特征轮廓以及对 用户活动的异常性进行报警的门限值的确定都是比较困难的事，所以仅使用异常性检测技术不可能检测出所有的入侵行为。 目前这类入侵检测系统多采用统计或者基于规则描述的方法建立系统主体的行为特征轮廓： ⑴统计性特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述，如SRI的下一代实时入侵检测专家系统，这种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效。  ⑵基于规则描述的特征轮廓由一组用于描述主体每个特征的合法取值范围与其他特征的取值之间关系的规则组成（如TIM）。该方案还可以采用从大型数据库中提取规则的数据挖掘技术。  ⑶神经网络方法具有自学习、自适应能力，可以通过自学习提取正常的用户或系统活动的特征模式，避开选择统计特征这一难题。 ③基于行为的检测方法 通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活动。  目前基于行为的入侵检测系统只是在表示入侵模式（签名）的方式以及在系统的审计中检查入侵签名的机制上有所区别，主要可以分为基于专家系统、基于状态迁移分析和基于模式匹配等几类。这些方法的主要局限在于，只是根 据已知的入侵序列和系统缺陷模式来检测系统中的可疑行为，而不能检测新的入侵攻击行为以及未知的、潜在的系统缺陷。 入侵检测方法虽然能够在某些方面取得好的效果，但总体看来各有不足，因而越来越多的入侵检测系统都同时采用几种方法，以互补不足，共同完成检测任务。  入侵检测系统的结构及标准化： 　　目前，通用入侵检测架构（CIDF）组织和IETF都试图对入侵检测系统进行标准化。CIDF阐述了一个入侵检测系统的通用模型，将入侵检测系统分为4个组件：事件产生器、事件分析器、响应单元及事件数据库。CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。  　　事件产生器是从整个计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据流。  　　入侵检测系统的几个组件往往位于不同的主机上。一般会有3台机器，分别运行事件产生器、事件分析器和响应单元。  IETF的Internet草案工作组（IDWG）专门负责定义入侵检测系统组件之间，及不同厂商的入侵检测系统之间的通信格式，目前只有相关的草案（draft），还未形成正式的RFC文档。IDWG文档有：入 　　侵警报协议（IAP），该协议是用于交换入侵警报信息、运行于TCP之上的应用层协议；入侵检测交换协议（IDXP），这个应用层协议是在入侵检测实体间交换数据，提供入侵检测报文交换格式（IDMEF）报文、无结构的文本，二进制数据的交换； IDMEF是数据存放格式隧道（TUNNEL） 文件，允许块可扩展交换协议（BEEP）对等体能作为一个应用层代理，用户通过防火墙得到服务。IAP是最早设计的通信协议，它将被IDXP替换，IDXP建立在BEEP基础之上，TUNNEL文件配合IDXP使用。  　　入侵检测系统面临的主要问题及发展趋势 　　入侵检测系统面临的主要问题 ①误报 　　误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌，并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁“正常”假警报，以诱使收受人把入侵检测 系统关掉。  　　没有一个入侵检测无敌于误报，应用系统总会发生错误，原因是：缺乏共享信息的标准机制和集中协调的机制，不同的网络及主机有不同的安全问题，不同的入侵检测系统有各自的功能；缺乏揣摩数据在一段时间内行为的能力； 缺乏有效跟踪分析等。 ②精巧及有组织的攻击 　　攻击可以来自四方八面，特别是一群人组织策划且攻击者技术高超的攻击，攻击者花费很长时间准备，并发动全球性攻击，要找出这样复杂的攻击是一件难事。 　　另外，高速网络技术，尤其是交换技术以及加密信道技术的发展，使得通过共享网段侦听的网络数据采集方法显得不足，而巨大的通信量对数据分析也提出了新的要求。  入侵检测系统的发展趋势  　　从总体上讲，目前除了完善常规的、传统的技术（模式识别和完整性检测）外，入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测方法，如采用自动代理的主动防御方法，将免疫学原理应用到入侵检 测的方法等。其主要发展方向可以概括为： （1）分布式入侵检测与CIDF  传统的入侵检测系统一般局限于单一的主机或网络架构，对异构系统及大规模网络的检测明显不足，同时不同的入侵检测系统之间不能协同工作。为此，需要分布式入侵检测技术与CIDF。 （2）应用层入侵检测 许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测Web之类的通用协议，不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应 用，需要应用层的入侵检测保护。  （3）智能入侵检测  目前，入侵方法越来越多样化与综合化，尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的研究工作，需要对智能化的入侵检测系统进一步研究，以解决其自学习与自适应能力。  （4） 与网络安全技术相结合  结合防火墙、PKIX、安全电子交易（SET）等网络安全与电子商务技术，提供完整的网络安全保障。  （5） 建立入侵检测系统评价体系  设计通用的入侵检测测试、评估方法和平台，实现对多种入侵检测系统的检测，已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行，评价指标有：能 否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。  　　总之，入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性的要求越来越高，为给电子商务等网络应用提供可靠服务，而由于入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务，必将进一步受到人们的高度重视。

 
企业网络安全基础   毫无疑问，网络安全一直是一个热门话题，并且在未来几年里仍将是一个热门话题。这个基本的思想保护你的网络不受外部世界的影响。然而，你也不能忘记从内部保护你的网络的安全。现在，有各种各样为中小企业提供的服务，然而，很难确定把重点放在哪个方面才能达到充分的网络安全。 　　 关于网络安全基础的这一期指南旨在帮助你把重点放在你的网络和服务的策略领域，确保在不超出你的预算(尽管有时候超出预算是不可避免的)的前提下获得最佳的安全效果。我将介绍网络基础设施、活动目录、蜜罐(honey pots)和一些能够帮助你解决网络安全问题的资源。 　　 网络基础设施:你的网络的核心 　　 随着本地网络用户数量的不断增长，你的网络进行适当的分段是不可避免的。如果你的局域网有50个以上的用户，这就是开始考虑建立VLAN(虚拟局域网)的时候了。使用VLAN，你可以通过创建不同的广播域来为你的网络分段，并且同时提供增强水平的安全。敏感的部门和重要的服务可以很容易地与网络的其它部分隔离开来，有控制的访问你的网络资源在可能发生的内部或者外部攻击中将发挥重要的作用。 　　 你还可以配置一个来宾VLAN(Guest VLAN)，这对大多数企业来收都是一个很普通的要求。来宾VLAN是限定访问互连网的来访者可以访问的网络，这个网络不会暴露我们的网络的其它内容。你可以按照你喜欢的任何方式配置来宾VLAN，如，是否规定只能有限地访问互联网或者严格限制访问内部资源和服务。 　　 如果你需要在VLAN之间传送数据包，就需要一台3层交换机。这种交换机的起始价格为几千美元，是比较经济的选择。如果你的预算确实紧张，你可以考虑购买3550/3560或者3750型思科Catalyst系列交换机。这种交换机采用了合适的互联网操作系统，能够提供这种功能。然而，如果有可能增加一点预算，Catalyst 4500系列产品将是你最好的朋友。有些型号的交换机，如4507R，提供了全面的“监控引擎冗余”(Supervisor Engine Redundancy)功能，因此，在你的网络核心不会出现任何一点故障，深受工程师的喜爱。 　　 活动目录:释放Windows的力量 　　 Windows操作系统最近在服务器市场肯定占统治地位。你肯定有一些服务器至少安装了Windows 2000操作系统。通过安装活动目录，你能够自动地把你的网络资源连接在一起，提供一个管理的重心点。虽然这个规划和实施是一个很耗费时间的过程，不过，从活动目录提供的好处和安全性来看，耗费这些时间是值得的。 　　 使用活动目录简单地点击几下鼠标，在用户级限制对工作站的修改、安装程序、改变网络设置和强制执行安全策略等工作就可以很容易地完成了。包括操作系统补丁和杀毒软件更新等在内的应用程序更新不再是令人担心的需要耗费很长时间的任务了，因为这些任务通过设置可以由活动目录自动完成。 　　 如果你到目前为止还没有使用过活动目录，你可以花点时间研究一下这个课题。这肯定能够使你大开眼界。 　　 网络备份:如果你没有测试，你就不要用 　　 目前，每个人肯定都使用一种备份技术。如果你还没有使用，那么，现在就是你认真考虑这个问题的时候了。 　　 无论你如何进行你的备份，一些简单的做法被证明是非常有用的，并且能够帮助你节省很多时间，缓解紧张，甚至在某种情况下还能挽救你的工作。如果你正在使用最新的技术进行备份，你必须进行一次全面的恢复工作以确保这种最新的备份技术能够正常工作。 　　 每一周或者两周进行一次全面的恢复工作是必要的，这可以根据工作量和你要处理的数据类型而定。由于存储介质出现故障，一个公司最近的备份不能恢复了。这是非常尴尬的事情。我确认你一定不会愿意陷入这样的窘境。 　　 如果由于敏感性的原因你不相信传统的备份磁带方式，你可以选择能够满足你的备份需求的RAID解决方案“RAID 10”。这个解决方案包括了两台RAID 5磁盘阵列，能够提供多个硬盘故障的冗余。当然，不利的因素是这些设备的成本高一些。 　　 有付出就有回报。因此，你需要问自己(或者你的经理):你的数据确实值多少钱? 　　 蜜罐:抓住坏蛋 　　 我们都知道，防火墙是设计用来保护网络不受攻击和阻止非法访问的。这就是我们把防火墙称作保护/防御技术的原因。入侵检测系统是用来监控和检测网络突破企图的设备。入侵防御系统是以预防技术为基础的，主要是采取措施阻止非法的访问。 　　 蜜罐是一个相当新的概念，然而遗憾的是没有广泛应用。虽然蜜罐还不能确切地定义为哪一类产品，但是，蜜罐是介于入侵检测和防御技术之间的一种技术。正如名称解释的那样，蜜罐是运行特别的检测和审计程序的没有使用补丁的机器，装扮成包含重要数据的服务器，等待黑客的攻击。正如你了解的那样，蜜罐很容易吸引到非法的访问。 　　 蜜罐通常放在重要的区域，如公共服务器或者内部服务器群，能够迅速发现试图攻破这些系统的黑客。然后，从这些攻击中收集到的信息将用于防御黑客对真正的服务器的攻击。由于蜜罐确实没有防御攻击或者黑客的安全措施，蜜罐连接到互联网上之后通常是最先受到扫描和攻击的机器。 　　 恢复和安全监控 　　 最后，监控你的资源。你通过简单地监控你工作中正在使用的资源就可以防御可能造成灾难的攻击是很神奇的。好消息是有一些开源软件工具能够完全满足你监控的需求，如监控你的服务器资源、主干网络连接以及公共网络服务器等各种需求。这些工具包括Nessus、Snort、MRTG、Nagios和Cacti等。 　　 网络安全显然并不只是处理防火墙的问题。网络安全包含努力的工作以及根据复杂性、规模和你的网络的需求提供的不同层次的保护措施。没有一种具体策略能够适用于所有的网络。每一个网络都是独特的，必须要采取那种方式对待才能产生理想的结果。 　　 如果你对网络安全还是一个新手，或者仅仅是为了获得一个包罗万象的指南，你可以查看“Firewall.cx”网站并且阅读“网络安全介绍”部分。这部分内容包括:对企业的威胁、入侵检测系统、攻击者使用的工具、入侵测试等内容。 　　 跟上最新的技术和了解网络安全领域各个不同方面的新闻报道。互联网上有很多极好的资源。你要做的所有的事情就是搜索这些资源。强烈支持

 
国际上对病毒命名的一般惯例   国际上对病毒命名的一般惯例  　　国际上对病毒命名的一般惯例为前缀+病毒名+后缀。前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀的；病毒名为该病毒的名称及其家族；后缀一般可以不要的，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小： 　　例如：WM.Cap.A，A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏病毒。下面我就讲解一下各种前缀的含义： 　　WM: Word宏病毒，可以在Word6.0和Word95(Word7.0)下传播发作，也可以在Word97(Word8.0)或以上的Word下传播发作，但该病毒不是在Word97制作完成的。 　　W97M: Word97宏病毒，这些是在Word97下制作完成，并只在Word97或以上版本的或以上的Word传播发作。 　　XM: Excel宏病毒在Excel5.0和Excel95下制作完成并传播发作，同样，此种病毒也可以在Excel97以上版本传播发作。 　　X97M: 在Excel97下制作完成的Excel宏病毒，此类病毒也可以在Excel5.0和Excel97下传播发作。 　　XF: Excel程式（Excel Formula）病毒，此类病毒是用Excel4.0把程序片断植入新的Excel文档中的。 　　AM: 在Access95下制作完成并传播发作的Access的宏病毒。 　　A97M: 在Access97下制作完成并传播发作的Access的宏病毒。 　　W95: Windows95病毒，运行在Windows95操作系统下，当然也可以运行在Windows98下。 　　Win: Windows3.x病毒，感染Windows3.x操作系统的文件。 　　W32: 32位Windows病毒，感染所有的32位Widnows平台。 　　WNT: 同样是32位Windows病毒，但只感染Windows NT操作系统。 　　HLLC: 高级语言同伴（High Level Language Companion）病毒，他们通常是DOS病毒，通过新建一个附加的文件（同伴文件）来传播。 　　HLLP: 高级语言寄生（High Level Language Parasitic）病毒，这些通常也是DOS病毒，寄生在主文件中。 　　HLLO: 高级语言改写（High Level Language Overwriting）病毒，通常是DOS病毒，以病毒代码改写主文件。 　　Trojan/Troj: 这并不是病毒，只是特洛伊木马，通常装扮成有用的程序，但通常有恶意代码，特洛伊木马并不会传染。 　　VBS: 用Visual Basic Script程序语言编写的病毒。 　　AOL: 美国在线（AOL）环境下特殊的木马，其目的通常位窃取AOL的密码等信息。 　　PWSTEAL: 窃取密码等信息的木马。 　　JAVA: 用JAVA程序语言编写的病毒。

 
在Windows系统中密码设置的几个要点 【导读】如何才能保障系统的安全呢？作为用户，我们虽然不可能重写Windows XP的源代码，但我们还是可以进行一些设定使操作系统变得更安全。而所有的安全设置计划的第一步，就是使用密码来保护系统。现介绍在Windows XP中进行密码的保护，和一些使用方法。  　　不到一个星期就发现新的Windows安全漏洞的情况，或多或少地会引起用户的恐慌。如何才能保障系统的安全呢？作为用户，我们虽然不可能重写Windows XP的源代码，但我们还是可以进行一些设定使操作系统变得更安全。而所有的安全设置计划的第一步，就是使用密码来保护系统。现介绍在Windows XP中进行密码的保护，和一些使用方法。 　  为自己留下线索  　　Windows XP允许用户创建一个提示，以便在用户忘记密码的时候能够获得一些线索。打开“控制面板”，单击或双击“用户账户”图标，接下来的步骤需要根据您系统的设置来进行。如果您是系统管理员，选择您的账户名后，点击“更改我的密码”或“创建密码”链接(如果您没有设置密码)，输入您的当前密码(如果已经设置)、新密码以及密码提示。即使您只是想添加密码提示信息，仍然需要在顶端文本框中输入当前的密码。  　　注意: 要确保密码提示在不暴露密码的同时，可以帮助您清楚地回忆起密码，因为所有人都能够看到您的密码提示。当您完成以上的操作后，点击“更改密码”或“创建密码”按钮。这样，当再次出现登录时忘记密码的情况，点击密码提示右边的“?”号按钮就可以看到您设定的密码提示了。 　  防止忘记密码  如果密码提示没有起作用，Windows提供了另外一种解决方法。  　　打开控制面板，单击或双击“用户账户”图标(根据您的系统的设置)。如果您是系统管理员，点击您的账户名，并且在“用户账户”对话框的左边“相关任务”栏中，找到“阻止一个已忘记的密码”链接。点击这一链接，打开“忘记密码向导”对话框，这一向导将创建一个“密码重设盘”，使您能够在忘记密码时使用此盘创建一个新的密码。 如果您的计算机已经登录到网络域中，注销后重新登录到本机(此方法只适用于Windows登录密码，不适用于域用户密码)。按住“Ctrl＋Alt＋Delete”组合键，然后点击“更改密码”按钮，最后，点击“备份”按钮启动“忘记密码向导”。  　　这一向导同时对您提出警告，任何人都可以用密码重设盘来更改密码，并访问您的账户。鉴于这一提示，当您点击“完成”按钮创建完成密码重设盘后，应该将此盘放在一个安全的地方。  　　寻求具有更高权限用户的帮助  　　即使您忘记了Windows登录密码，并且没有创建密码重设盘，也不是完全没有可能来解决这个问题的。如果您的计算有一个系统管理员账户，您可以使用此账户登录Windows并为其他账户重设密码。首先，打开控制面板，单击或双击“用户账户”图标(根据您的系统的设置)，选择忘记密码的账户名并点击“重设密码”和“更改密码”(选项名称视您是否连接到域而定)。根据提示输入2次新的密码，然后点击“确定”。(注意:“重设密码”按钮对于登录到域环境的用户有可能无效，这一操作只适用于修改Windows登录密码，不适用于修改域登录密码。)重设Windows密码可能会导致登录站点和网络连接的密码丢失，但是至少您不会因为忘记密码而无法进行任何操作了。  　　采用组合键安全登录方式  　　将您的计算机设置成登录Windows之前必须按“Ctrl＋Alt＋Delete”组合键，是为了保护计算机免受某些特洛伊木马的攻击。一些特洛伊木马程序可以模仿Windows登录界面，欺骗用户输入用户名和密码。使用“Ctrl＋Alt＋Delete”组合键可以确保您看到的是真实可信的Windows登录界面。为了使连接到域中计算机的这一设置有效，您需要使用管理员身份登录，在控制面板中打开“用户账户”图标，选择“高级”选项卡，在“安全登录”项目中，选中“要求用户按Ctrl＋Alt＋Delete”复选框，然后点击“确定”按钮。  　　使用键盘来锁定系统  　　在离开办公桌的时候，为确保计算机的安全，需要锁定您的计算机，这样只有输入密码才能够再次使用。如果您的计算机已经登录到域中，只需按下“Ctrl＋Alt＋Delete”组合键，然后点击“锁定计算机”按钮即可。当您返回后，再次按下“Ctrl＋Alt＋Delete”组合键，输入密码即可。如果是在没有登录域的情况下，按下“＋L”组合键，无需关闭所有应用程序即回到登录界面。当您返回时，选择您的账户名并输入相应密码即可。  　　通过快捷方式锁定计算机  　　如果您更热衷于使用鼠标，您或许希望通过双击桌面的快捷方式或通过在“开始”菜单中选择某一选项来锁定计算机。其方法是，打开您希望放置这一快捷方式的文件夹，在文件夹中单击右键，选择“新建”*“快捷方式”。在弹出的“创建快捷方式”对话框中，输入“rundll32.exe user32.dll,LockWorkStation”(在‘.exe’后有一个空格)，然后点击“下一步”按钮，输入快捷方式的名字，点击“完成”按钮。如果您不喜欢快捷方式的图标，可以右键单击该图标，选择“属性”选项，在“属性”对话框的“快捷方式”选项卡中点击“更改图标”按钮，然后点击“浏览”按钮，找到一个喜欢的图标文件。例如，您可以选择Windows的System32目录下的shell32.dll文件，点击“打开”按钮，在列表中选择一个图标。连续单击2次“确定”按钮即为该快捷方式分配新的图标。  　　利用后备选项设置锁定  　　如果您经常在暂时离开计算机的时候忘记锁定系统，可以设定在屏幕保护、系统挂起或是休眠的情况下自动锁定系统。这些设置在默认情况下是激活的，您可以再检查一下。右键单击桌面，选择“属性”选项，在“显示属性”对话框的“屏幕保护程序”选项卡中，选择一个屏幕保护程序(如果需要)。确认等待的时间设定并选中“在恢复时显示欢迎屏幕”或“在恢复时使用密码保护”复选项。打开控制面板，如果您使用的是“分类视图”模式，点击“性能和维护”链接。然后，单击或双击“电源管理”(视系统设置而定)，进入“电源选项属性”对话框，在“高级”选项卡中选中“在计算机从待机状态恢复时，提示输入密码”复选框，点击“确定”按钮即可。

 
如何发现安全漏洞   如果一个程序有错误，并且只在某些特殊的情况下面出现，它并不是什么大问题。通常，你能够避开这些特殊的情况，使得程序中的错误故障不会发生危害。你甚至可以按照你的意愿，在你的程序中加入这些小小的“臭虫”。  　　但是，有时有些程序处于安全界限的边缘位置。他们从另外的程序作为输入，但不是按照程序本来的存取方法。  　　我们常见的一些例子：你从的邮件阅读器读取任何人给你发的邮件，然后显示在你的显示器上，而它们本不应当这样做的。任何被接在因特网上的计算机的TCP/IP栈都从因特网上的获得任何人的输入信息，并且能够直接存取你的计算机，而你的网上邻居们确不能这样。  　　任何具有这种功能的程序都必须小心对待。如果在其中有任何的小错误，它就能在允许任何人-未被授权的人做任何的事情。具有这种特性的小“臭虫”被叫做“漏洞”或者更正式地被叫做“弱点”。  这里有一些漏洞的共同特点。  　　心理学上问题  　　当你写软件的正常部分的时候，如果用户的*作是正确的，那你的目的是完成这件事。当你写软件的安全敏感部分的时候，你一定要使得任何没有被信任的用户都不可能完成*作。这意味着你的程序的很大部分必须在很多情况下功能正常。  　　编制加密和实时程序的程序员精于此道。而最其程序员则由于他们的通常的工作习惯使得他们的于使他们的软件从未考虑安全的因素，换而言之，他们的软件是不安全的。  　　变换角色漏洞  　　很多漏洞是从不同的运行着的程序中发现的。有时是一个极小的错误或者及其普通的错误也会造成安全漏洞。  例如，假设你有本来打算让你在打印你的文档之前想通过PostScript解释器预览它。这个解释器不是安全敏感的程序；如果你不用它，它一点也不会成为你的麻烦。但是一旦你用它来处理从别人那里得到的文件，而那个人你并不知道也不值得信任。这样你就可能招致很多麻烦。他人可以向你发送能删除你所有文件或者复制你所有文件到他人可以得到的地方的文档。  　　这是大部分Unix TCP/IP栈的脆弱性的根源－它是在网络上的每个人都值得信任的基础上开发的，而被应用在这个并不如当初所想象安全的环境中。  　　这也是Sendmail所发生的问题的根源。直到它通过审查，它一直是很多是漏洞的根源。  　　再更进一步讲，当函数在合理的范围内使用时是安全的，如果不这样的话，他们将造成无法想象的灾难。  一个最好的例子就是gets()。如果你在你控制输入使用gets()函数，而你正好输入比你预定输入大得多的缓冲区，这样，你就达到了你的目的。对付这个得最好的补丁就是不要做类似这样的事或者设定比原先大的多的缓冲区，然后重新编译。  　　但是，当数据是来自非信任的数据源的时候，gets()能使缓冲器溢出，从而使程序能做任何事情。崩溃是最普通的结果，但是，你通常能地精巧地安排使得数据能象代码一样执行。  这就是它所带给我们的...  　　缓冲区溢出漏洞  　　当你往数组写入一个字符串，并且越过了数组边界的时候，会发生缓冲器溢出。  几个能引起安全问题的缓冲器溢出情况：  　　1.读*作直接输入到缓冲区；  　　2.从一个大的缓冲区复制到一个小的缓冲区；  　　3.对输入的缓冲区做其他的*作。  　　如果输入是可信的，则不成为安全漏洞，但也是潜在的安全隐患。这个问题在大部分的Unix环境中很突出；如果数组是一些函数的局部变量，那么它的返回地址很有可能就在这些局部变量的堆栈中。这样就使得实现这种漏洞变得十分容易，在过去的几年中，有无数漏洞是由此造成的。  　　有时甚至在其他的地方的缓冲区都会产生安全漏洞——尤其是他们在函数指针附近。  　　需要寻找的东西：  　　没有任何边界检查的危险的函数：strcpy，strlen，strcat，sprintf，gets；  带边界检查的危险的函数：  　　strncpy snprintf--这些忽视字符串结尾标记的函数往往会把其他（可能是敏感的）数据复制到缓冲区中，这样就有可能破坏程序；strncat不存在这问题，但对于snprintf不敢肯定，而strncpy是绝对存在的；错误地使用strncat，这样会把一个空的字节放在数组的后面；  　　安全-敏感程序的崩溃--任何崩溃都来自指针错误，而最多的这类错误来源于缓冲区溢出。  　　尝试给安全敏感程序输入大的的输入——在环境变量中（如果环境变量没有被信任），在命令行参数中（如果命令行参数没有被信任），在未被信任的网络连接上读取了在未被信任的文件。如果他们把这些输入解释成为很多段，并试图利用这些庞大的数据段。这时，你就要当心系统或者程序的崩溃了。如果你遇到崩溃了，看看是否在你输入的地方发生。  　　不正确边界检查。如果有好几百行代码都做边界检查，而不是被集中在两三处地方，那么其中出错的可能性会很大。  一个全面安全解决方案是用带边界检查的编译系统重新编译所有的安全敏感程序。  　　就我所知，Richard W. M. Jones 和Paul Kelly为gcc写的带边界检查的版本是业界的第一个工程。可以在http:www.doc.ic.ac.uk/~phjk/BoundsChecking.html找到。  Greg McGary（mailto:gkm@eng.ascend.com）做了一些其他的工作。  http://www.cygnus.com/ml/egcs/1998-May/0073.html 　　Richard Jones和Herman ten Brugge做了其他的工作。  http://www.cygnus.com/ml/egcs/1998-May/0557.html Greg在 http://www.cygnus.com/ml/egcs/1998-May/0559.html 　　中比较了不同的实现方法。混乱的代表当你让一个常规程序去打开一个文件，程序会请求*作系统打开此文件。由于这个程序是以你的权限运行的，如果你没有权限打开这个文件，系统就会拒绝你的请求。  　　但是，如果你让安全敏感程序打开——CGI脚本，一个setuid程序，一个setgid程序，任一网络服务程序——它不能依靠系统内置的的自动保护。因为它能做一些你不能做的事情。就以web网络服务器来说，它能做，而你不能做的事是非常少的。但是它至少能读取一些文件的私人信息。  　　很多这样程序会在他们收到的数据上做某种检查。但常常有以下的几种缺陷：  　　* 由于它们的检查具有时间依赖性，所以存在竞争条件。如果一个程序首先对一个文件用stat()来核查你是否具有写的权限，然后（假设你是这样做了）打开它，这样你就很有可能同时能改变这个文件，尽管你本来是没有这个权限。（一种可行的解决方案是在打开文件之前就对文件stat()或lstat()，以非破坏的打开方式打开文件，用fstat()来带开文件句柄，然后比较你是否是对同一个文件stat()。）  　　* 它们会通过分析文件名来检查，但是它们的检查和*作系统的又不一样。这个在很多Microsoft*作系统的web服务器上有很大的问题；这些*作系统对文件和它们的关联不会做很严格的分析。Web服务器通过查看文件名来决定你的下一步的动作；通常，你可以运行一些特定的文件（基于文件名的分析），但是你不能读取它们。如果默认的*作允许你读取一个文件，然后改变文件名使得服务器认为它是另一种类型的文件，但是*作系统还是认为它是本来的文件，这样你就可以成功地读取那个文件了。  　　* 它们会用及其复杂的方法检查，但是由于设计者的无知，这种方法带有漏洞。  　　* 它们只进行相当普通的检查。  　　* 它们检查相当简单。比如，很多老式的Unix Web服务器能够让你下载用户public_html目录除非*作系统禁止这样做。如果你做了符号连接或硬连接的话到其他人的目录的话，就有可能在Web服务器允许的情况下，下载他人的目录。  在任何情况下，如果程序由于你的权限限制而不能完成时，可以使用setfsuid(), setreuid()来帮助。  　　另一个问题是标准库频繁地查看用来打开文件的环境变量，而且在进行这些*作的时候没有改变他们的权限（事实上，他们也不能。）。这样，我们被迫去分析文件名以便知道它是否合理。  　　一些*作系统会用错误的权限core dump，如果你能使setuid的程序崩溃，你就能象文件主人一样改写文件。  Fail-openness  　　最安全敏感的系统不能在一定条件下做正确的事情。他们能用两种不同的方法失败：  　　* 当他们允许存取的时候，动作被拒绝；这被叫做fail-open。  　　* 当他们不允许存取的时候，动作被拒绝；这被叫做fail-closed。  　　CGI脚本通常要执行另外一个程序来处理传递给他们的命令行用户数据。为了避免这些数据被shell当成指令来解释，CGI脚本会除掉特殊字符如‘<’‘|’‘“以及其他等等。你能以fail-open方法通过有被除掉的“坏特性”的一览表来过滤这些字符。如果漏了其中的一个，这个就成为一个安全漏洞了。你还可以通过fail-closed的方法制作一个“好特性的”一览表来是合法的字符通过。这样，即便是忘了一个，也只不过是一个小麻烦，而不会构成安全上的漏洞。例子（Perl在中）在  http://www.geek-girl.com/bugtraq/1997_3/0013.html 　　与Fail-open的系统相比，Fail-closed的系统得不是很方便，尤其是失败比较频繁的情况下，但比较安全。  基本上所有我看到的为了防护MAC或MICROSOFT*作系统的台式计算机的程序都是fail-open类型的。-如果你是这个程序停止工作，你就能完全控制计算机。相对应，如果你使Unix‘login’程序停止工作，任何人都不能控制计算机了。  吞噬资源  　　许多程序在编制的时候都假定系统资源是足够使用的（看上面心理学上的问题）。很多程序从不考虑资源不够的情况，因此这些程序经常出错。  　　经常性需要检查的情况是:  * 在存储器不够或内存分配出错的情况下，调用malloc或者new通常会返回一个空的指针。  * 如果未信任的用户能用尽系统的资源，（这个也是拒绝服务的一种，但也是很多程序的通病）  * 如果可供打开的文件句柄已经用尽--调用open()会返回-1。 * 如果程序不能fork或者子进程在初始化的过程中由于吞噬资源而僵死。  　　信赖未经确信的信道  　　如果你在以太网上传送明文的密码，而同一个网段上有不可靠的人存在，或者如果你建立了一个全球可写的文件，然后试图从那个文件中读取数据，或者你用O_TRUNC而不是O_EXCL在/tmp目录下创建文件等等，总之你正在依赖不可靠的传输媒介上完成你的工作。在这种情况下，如果一个攻击者能破坏这种不可靠的信道，他们就可以在你毫不知觉的情况下更改信道/媒介中的数据，（最坏的情况是他们在/tmp目录下对被信任的文件做符号连接，这样就可以破坏受权限保护文件的内容，而不是建立一个临时文件，gcc也有类似的漏洞，这个漏洞将使在你编译的程序中插入任何代码。），即便他们不能破坏任何数据，他们也可以非法读取受权限保护的数据。  　　错误的默认设定  　　如果有些默认的设定存在不明显但是不安全的情况，很容易被人们所忽视。例如，如果你解rpm包然后建立一些全球可写的配置文件，你不太会注意到它们，除非你非常仔细地寻找安全漏洞。这就说明人们在解rpm包的时候，会在系统上留下安全漏洞。  　　大接口  　　如果安全接口非常小，则整个系统安全性能会比接口大的好。它大非常为了安全比条件有可能。这个很容易理解，比如，我的房子只有一扇门，人们可以通过这扇门进入我的屋子，而在我睡觉的时候，我能记得区把它锁住。如果我房子的不同的部分中有五扇门，全部都能通往外部，我很有可能忘了锁它们之中的一个。  　　因此，网络服务器看来于比setuid程序更安全。Setuid程序从所有的不可靠的来源接受信息－环境变量，文件描述符，虚拟存储器映像，命令行参数和其他文件输入。网络服务器程序只从网络socket获得输入（也有可能从文件）。  　　qmail是小的安全接口的例子。仅仅qmail很小一部分（有十多行的程序，比我以前在linux-security-audit邮件发送清单上说多）部分是以“root”的权限运行的。余下的或是以特殊的qmail用户或者以邮件接受者的权限在运行。  　　在qmail内部，缓冲器-溢出的检查被集中在两个小函数中，其他全部的函数调用这两个函数来修改检查字符串。这是另一个安全接口小的例子——一些检查部分错误的机会会更小。  　　你运行着更多的网络守护程序，那么将扩大网络和你的机器之间的安全接口。  　　如果你有Internet防火墙，你的网络和因特网之间的安全接口被减少到1台机器。  　　另外，看不可靠的HTML主页和不可靠的javascript脚本也有安全接口的差异；javascript脚本解释器的安全接口比　　HTML里的要大而复杂。  　　经常被突破的程序  　　在过去经常被突破的程序在他们的后续版本中也可能有漏洞存在，因此需要在可能的情况下替换他们。在BSD系统中用mail.local替换/bin/mail就是因为这个原因。  如果你想检查它的代码，当然这个是不错的主意，但是更好的办法是改写代码或者不使用他们。  　　薄弱的安全部件  　　任何安全的系统都可以被分为安全部件。例如，我的Linux系统把为数众多的部件分为“用户”、“内核”、“网络”，而“网络”还可以被分为一些诸如“网络连接”等子部件。在这些根据系统安装和认证过程而在各个部件之间建立了很好的信任关系。（比如我的用户，kragen在我把我的口令发送出去后，会信赖我的网络连接。）  　　必须加强所有安全部件之间测信任关系。如果你运行图书馆终端，或许你希望终端仅仅存取图书馆的数据库（并且只能读）。你根本就不想为他们提供Unix的shell。  　　而Mirabilis ICQ对因特网的用户都给予信任，显然这个是不安全的。  　　在另一方面，tcp_wrappers信任从反向DNS查询得到的结果，然后交由shell处理把它交给外壳。在使用Netscape Communicator以squid做代理的时候，会把历史一览表中用户FTP口令放入URL。javascript程序和其他的web服务器能看到这个URL。  被忽略的情况  　　不信任逻辑。由于验证很困难，所以if-else和swith-case语句是危险的。如果你能发现任何人永远执行不到的代码分支，它极有可能含有错误。如果你能发现逻辑上的数据流的合并——例如，如果有两条语句，每个做两个事情中的一个，然后第一个的输出被送到第二个的输入--如果这些代码没有经过测试，那有可能含有漏洞。  查看条件语句中的else和查看switch语句中的default以确保他们是fail-closed的。  　　gcc-pg-a会使程序产生一个bb.out文件用来帮助你确定是否代码中的所有分支都被执行到了。我认为这些都是最近的IP拒绝服务攻击问题的根源。  低级错误  　　许多人们信赖只有少数人检查的代码。如果软件的代码仅仅只有少数人可以阅读，那个其中必定会有很多错误。如果这些代码涉及到安全的部分，就会造成安全漏洞。令3Com公司最近汗颜的事件就是一个极好的例子。他们全部的CoreBuilder和SuperStack II hub被发现有秘密的通用口令，而这个口令是用来处理用户的紧急事件而设置的

 
如何构建一个入门级入侵检测系统   通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于网络的IDS为例，介绍典型的IDS开发思路。  　　 根据CIDF规范，我们从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如附图所示。  　　 具体实现起来，一般都将数据采集子系统(又称探测器)和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起，我们称之为控制管理中心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。  　　 可以按照如下步骤构建一个基本的入侵检测系统。  　　 第一步 获取libpcap和tcpdump 　　 审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用libpcap和tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。  　　 libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。  　　 tcpdump是用于网络监控的工具，可能是Unix上最著名的sniffer了，它的实现基于libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。tcpdump可以帮助我们描述系统的正常行为，并最终识别出那些不正常的行为，当然，它只是有益于收集关于某网段上的数据流(网络流类型、连接等)信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。  　　 libpcap和tcpdump在网上广为流传，开发者可以到相关网站下载。  　　 第二步 构建并配置探测器，实现数据采集功能 　　 1. 应根据自己网络的具体情况，选用合适的软件及硬件设备，如果你的网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。  　　 2. 在Linux服务器上开出一个日志分区，用于采集数据的存储。  　　 3. 创建libpcap库。从网上下载的通常都是libpcap.tar.z的压缩包，所以，应先将其解压缩、解包，然后执行配置脚本，创建适合于自己系统环境的Makefile，再用make命令创建libpcap库。libpcap安装完毕之后，将生成一个libpcap库、三个include文件和一个man页面(即用户手册)。  　　 4. 创建tcpdump。与创建libpcap的过程一样，先将压缩包解压缩、解包到与libpcap相同的父目录下，然后配置、安装tcpdump。  　　 如果配置、创建、安装等操作一切正常的话，到这里，系统已经能够收集到网络数据流了。至于如何使用libpcap和tcpdump，还需要参考相关的用户手册。  　　 第三步 建立数据分析模块 　　 网上有一些开放源代码的数据分析软件包，这给我们构建数据分析模块提供了一定的便利条件，但这些“免费的午餐”一般都有很大的局限性，要开发一个真正功能强大、实用的IDS，通常都需要开发者自己动手动脑设计数据分析模块，而这往往也是整个IDS的工作重点。  　　 数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。  　　 设计数据分析模块的工作量浩大，并且，考虑到“道高一尺，魔高一丈”的黑客手法日益翻新，所以，这注定是一个没有终点的过程，需要不断地更新、升级、完善。在这里需要特别注意三个问题： 　　 ① 应优化检测模型和算法的设计，确保系统的执行效率； 　　 ② 安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性； 　　 ③ 报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。  　　 第四步 构建控制台子系统 　　 控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows产品流行，所以，为了把IDS做成一个通用、易用的系统，笔者建议将控制台子系统在Windows系列平台上实现。  　　 控制台子系统的主要任务有两个： 　　 ① 管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息； 　　 ② 根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。  　　 控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。  　　 1．警报信息查询：网络管理员可以使用单一条件或复合条件进行查询，当警报信息数量庞大、来源广泛的时候，系统需要对警报信息按照危险等级进行分类，从而突出显示网络管理员需要的最重要信息。  　　 2．探测器管理：控制台可以一次管理多个探测器(包括启动、停止、配置、查看运行状态等)，查询各个网段的安全状况，针对不同情况制订相应的安全规则。  　　 3．规则库管理功能：为用户提供一个根据不同网段具体情况灵活配置安全策略的工具，如一次定制可应用于多个探测器、默认安全规则等。  　　 4．用户管理：对用户权限进行严格的定义，提供口令修改、添加用户、删除用户、用户权限配置等功能，有效保护系统使用的安全性。  　　 第五步 构建数据库管理子系统 　　 一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。  　　 数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。该模块的数据来源有两个： 　　 ① 数据分析子系统发来的报警信息及其他重要信息； 　　 ② 管理员经过条件查询后对查询结果处理所得的数据，如生成的本地文件、格式报表等。  　　 第六步 联调，一个基本的IDS搭建完毕 　　 以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是联调工作所要解决的问题。  　　 首先，要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。  　　 联调通过之后，一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能，尤其是提高系统的检测能力。

 
如何选择漏洞扫描工具   对于一个复杂的多层结构的系统和网络安全规划来说，隐患扫描是一项重要的组成元素。隐患扫描能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的漏洞。这样的工具可以远程评估你的网络的安全级别，并生成评估报告，提供相应的整改措施。 目前，市场上有很多隐患扫描工具，按照不同的技术（基于网络的、基于主机的、基于代理的、C/S的）、不同的特征、不同的报告方法，以及不同的监听模式，可以分成好几类。不同的产品之间，漏洞检测的准确性差别较大，这就决定了生成的报告的有效性上也有很大区别。 选择正确的隐患扫描工具，对于提高你的系统的安全性，非常重要。 1 漏洞扫描概述 在字典中，Vulnerability意思是漏洞或者缺乏足够的防护。在军事术语中，这个词的意思更为明确，也更为严重------有受攻击的嫌疑。 每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。这对于安全管理员来说，实在是个不利的消息。但是，多数的攻击者，通常做的是简单的事情。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着：多数攻击者所利用的都是常见的漏洞，这些漏洞，均有书面资料记载。 这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。如何快速简便地发现这些漏洞，这个非常重要。 漏洞，大体上分为两大类： ① 软件编写错误造成的漏洞； ② 软件配置不当造成的漏洞。 漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了，安全管理员在使用这些工具的同时，黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。 　　2 隐患扫描工具的衡量因素 决定是否采用隐患扫描工具来防范系统入侵是重要的第一步。当您迈出了这一步后，接下来的是：如何选择满足您公司需要的合适的隐患扫描技术，这同样也很重要。以下列出了一系列衡量因素： ① 底层技术（比如，是被动扫描还是主动扫描，是基于主机扫描还是基于网络扫描）； ② 特性； ③ 漏洞库中的漏洞数量； ④ 易用性； ⑤ 生成的报告的特性（内容是否全面、是否可配置、是否可定制、报告的格式、输出方式等）； ⑥ 对于漏洞修复行为的分析和建议（是否只报告存在哪些问题、是否会告诉您应该如何修补这些漏洞）； ⑦ 安全性（由于有些扫描工具不仅仅只是发现漏洞，而且还进一步自动利用这些漏洞，扫描工具自身是否会带来安全风险）； ⑧ 性能； ⑨ 价格结构 　　2.1 底层技术 比较漏洞扫描工具，第一是比较其底层技术。你需要的是主动扫描，还是被动扫描；是基于主机的扫描，还是基于网络的扫描，等等。一些扫描工具是基于 Internet的，用来管理和集合的服务器程序，是运行在软件供应商的服务器上，而不是在客户自己的机器上。这种方式的优点在于检测方式能够保证经常更新，缺点在于需要依赖软件供应商的服务器来完成扫描工作。 扫描古城可以分为"被动"和"主动"两大类。被动扫描不会产生网络流量包，不会导致目标系统崩溃，被动扫描工具对正常的网络流量进行分析，可以设计成"永远在线"检测的方式。与主动扫描工具相比，被动扫描工具的工作方式，与网络监控器或IDS类似。 主动扫描工具更多地带有"入侵"的意图，可能会影响网络和目标系统的正常操作。他们并不是持续不断运行的，通常是隔一段时间检测一次。 基于主机的扫描工具需要在每台主机上安装代理（Agent）软件；而基于网络的扫描工具则不需要。基于网络的扫描工具因为要占用较多资源，一般需要一台专门的计算机。 如果网络环境中含有多种操作系统，您还需要看看扫描其是否兼容这些不同的操作系统（比如Microsoft、Unix以及Netware等）。 　　2.2 管理员所关心的一些特性 通常，漏洞扫描工具完成一下以下？功能：扫描、生成报告、分析并提出建议，以及数据管理。在许多方面，扫描是最常见的功能，但是信息管理和扫描结果分析的准确性同样很重要。另外要考虑的一个方面是通知方式：当发现漏洞后，扫描工具是否会向管理员报警？采用什么方式报警？ 对于漏洞扫描软件来说，管理员通常关系以下几个方面： ① 报表性能好； ② 易安装，易使用； ③ 能够检测出缺少哪些补丁； ④ 扫描性能好，具备快速修复漏洞的能力； ⑤ 对漏洞及漏洞等级检测的可靠性； ⑥ 可扩展性； ⑦ 易升级性； ⑧ 性价比好； 　　2.3 漏洞库 只有漏洞库中存在相关信息，扫描工具才能检测到漏洞，因此，漏洞库的数量决定了扫描工具能够检测的范围。 然而，数量并不意味着一切，真正的检验标准在于扫描工具能否检测出最常见的漏洞？最根本的在于，扫描工具能否检测出影响您的系统的那些漏洞？扫描工具中有用的总量取决于你的网络设备和系统的类型。你使用扫描工具的目的是利用它来检测您的特定环境中的漏洞。如果你有很多Netware服务器，那么，不含 Netware漏洞库的扫描工具就不是你的最佳选择。 当然，漏洞库中的攻击特性必须经常升级，这样才能检测到最近发现的安全漏洞。 　　2.4 易使用性 一个难以理解和使用的界面，会阻碍管理员使用这些工具，因此，界面友好性尤为重要。不同的扫描工具软件，界面也各式各样，从简单的基于文本的，到复杂的图形界面，以及Web界面。 　　2.5 扫描报告 对管理员来说，扫描报告的功能越来越重要，在一个面向文档的商务环境中，你不但要能够完成你的工作，而且还需要提供书面资料说明你是怎样完成的。事实上，一个扫描可能会得到几百甚至几千个结果，但是这些数据是没用的，除非经过整理，转换成可以为人们理解的信息。这就意味着理想情况下，扫描工具应该能够对这些数据进行分类和交叉引用，可以导到其他程序中，或者转换成其他格式（比如CSV，HTML，XML，MHT，MDB，EXCEL以及Lotus等等），采用不同方式来展现它，并且能够很容易的与以前的扫描结果做比较。 　　2.6 分析与建议 发现漏洞，才完成一半工作。一个完整的方案，同时将告诉你针对这些漏洞将采取哪些措施。一个好的漏洞扫描工具会对扫描结果进行分析，并提供修复建议。一些扫描工具将这些修复建议整合在报告中，另外一些则提供产品网站或其它在线资源的链接。 漏洞修复工具，它可以和流行的扫描工具结合在一起使用，对扫描结果进行汇总，并自动完成修复过程。 　　2.7 分析的准确性 只有当报告的结果是精确的，提供的修复建议是有效的，一份包含了详细漏洞修复建议的报告， 才算是一份优秀的报告。一个好的扫描工具必须具有很低的误报率（报告出的漏洞实际上不存在）和漏报率（漏洞存在，但是没有检测到）。 　　2.8 安全问题 因扫描工具而造成的网络瘫痪所引起的经济损失，和真实攻击造成的损失是一样的，都非常巨大。一些扫描工具在发现漏洞后，会尝试进一步利用这些漏洞，这样能够确保这些漏洞是真实存在的，进而消除误报的可能性。但是，这种方式容易出现难以预料的情况。在使用具备这种功能的扫描工具的时候，需要格外小心，最好不要将其设置成自动运行状态。 扫描工具可能造成网络失效的另一种原因，是扫描过程中，超负荷的数据包流量造成拒绝服务（DOS，Denial Of Service）。为了防止这一点，需要选择好适当的扫描设置。相关的设置项有：并发的线程数、数据包间隔时间、扫描对象总数等，这些项应该能够调整，以便使网络的影响降到最低。一些扫描工具还提供了"安全扫描"的模板，以防止造成对目标系统的损耗。 　　2.9 性能 扫描工具运行的时候，将占用大量的网络带宽，因此，扫描过程应尽快完成。当然，漏洞库中的漏洞数越多，选择的扫描模式越复杂，扫描所耗时间就越长，因此，这只是个相对的数值。提高性能的一种方式，是在企业网中部署多个扫描工具，将扫描结果反馈到一个系统中，对扫描结果进行汇总。 　　3 隐患扫描工具的价格策略 商业化的扫描工具通常按以下几种方式来发布器授权许可证：按IP地址授权，按服务器授权，按管理员授权。不同的授权许可证方式有所区别。 　　3.1 按IP段授权 许多扫描其产品，比如eEye的Retina和ISS（Internet Security Scanner）要求企业用户按照IP段或IP范围来收费。换句话说，价格取决于所授权的可扫描的IP地址的数目。 　　3.2 按服务器授权 一些扫描工具供应商，按照每个服务器/每个工作站来计算器许可证的价格。服务器的授权价格会比工作站高很多，如果有多台服务器的话，扫描工具的价格会明显上升。 　　3.3 按管理员授权 对于大多数企业而言，这种授权方式，比较简单，性价比也较好。 　　4 总结 在现在的互联网环境中，威胁无处不在。2003年1-3季度，CERT协调中心就收到超过114，000个漏洞事件报告，这个数字超过2002年的总和，这表明，此类事件在不断增长中。为了防范攻击，第一件事就是在黑客发动攻击之前，发现网络和系统中的漏洞，并及时修复。 但是，漏洞扫描工具在特性、精确性、价格以及可用性上差别较大，如何选择一个正确的隐患扫描工具，尤为重要。

 
安全基础 Windows系统进程完全解析   【导读】文章描述Windows系统的常见进程，并做了解释。 系统进程  system process alg.exe csrss.exe ddhelp.exe dllhost.exe inetinfo.exe internat.exe kernel32.dll lsass.exe mdm.exe mmtask.tsk mprexe.exe msgsrv32.exe mstask.exe  regsvc.exe  rpcss.exe  services.exe smss.exe snmp.exe spool32.exe spoolsv.exe stisvc.exe svchost.exe system taskmon.exe tcpsvcs.exe winlogon.exe winmgmt.exe system process  进程文件: [system process] or [system process]  进程名称: Windows内存处理系统进程  描述: Windows页面内存管理进程，拥有0级优先。  是否为系统进程: 是  alg.exe  进程文件: alg or alg.exe  进程名称: 应用层网关服务  描述: 这是一个应用层网关服务用于网络共享。  是否为系统进程: 是  csrss.exe  进程文件: csrss or csrss.exe  进程名称: Client/Server Runtime Server Subsystem  描述: 客户端服务子系统，用以控制Windows图形相关子系统。  是否为系统进程: 是  ddhelp.exe  进程文件: ddhelp or ddhelp.exe  进程名称: DirectDraw Helper  描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。  是否为系统进程: 是  dllhost.exe  进程文件: dllhost or dllhost.exe  进程名称: DCOM DLL Host进程  描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。  是否为系统进程: 是  inetinfo.exe  进程文件: inetinfo or inetinfo.exe  进程名称: IIS Admin Service Helper  描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。  是否为系统进程: 是  internat.exe  进程文件: internat or internat.exe  进程名称: Input Locales  描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。  是否为系统进程: 是  kernel32.dll  进程文件: kernel32 or kernel32.dll  进程名称: Windows壳进程  描述: Windows壳进程用于管理多线程、内存和资源。  是否为系统进程: 是  lsass.exe  进程文件: lsass or lsass.exe  进程名称: 本地安全权限服务  描述: 这个本地安全权限服务控制Windows安全机制。  是否为系统进程: 是  mdm.exe  进程文件: mdm or mdm.exe  进程名称: Machine Debug Manager  描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。  是否为系统进程: 是  mmtask.tsk  进程文件: mmtask or mmtask.tsk  进程名称: 多媒体支持进程  描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。  是否为系统进程: 是  mprexe.exe  进程文件: mprexe or mprexe.exe  进程名称: Windows路由进程  描述: Windows路由进程包括向适当的网络部分发出网络请求。  是否为系统进程: 是  msgsrv32.exe  进程文件: msgsrv32 or msgsrv32.exe  进程名称: Windows信使服务  描述: Windows信使服务调用Windows驱动和程序管理在启动。  是否为系统进程: 是  mstask.exe  进程文件: mstask or mstask.exe  进程名称: Windows计划任务  描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。  是否为系统进程: 是  regsvc.exe  进程文件: regsvc or regsvc.exe  进程名称: 远程注册表服务  描述: 远程注册表服务用于访问在远程计算机的注册表。  是否为系统进程: 是  rpcss.exe  进程文件: rpcss or rpcss.exe  进程名称: RPC Portmapper  描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。  是否为系统进程: 是  services.exe  进程文件: services or services.exe  进程名称: Windows Service Controller  描述: 管理Windows服务。  是否为系统进程: 是  smss.exe  进程文件: smss or smss.exe  进程名称: Session Manager Subsystem  描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。  是否为系统进程: 是  snmp.exe  进程文件: snmp or snmp.exe  进程名称: Microsoft SNMP Agent  描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。  是否为系统进程: 是  spool32.exe  进程文件: spool32 or spool32.exe  进程名称: Printer Spooler  描述: Windows打印任务控制程序，用以打印机就绪。  是否为系统进程: 是  spoolsv.exe  进程文件: spoolsv or spoolsv.exe  进程名称: Printer Spooler Service  描述: Windows打印任务控制程序，用以打印机就绪。  是否为系统进程: 是  stisvc.exe  进程文件: stisvc or stisvc.exe  进程名称: Still Image Service  描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。  是否为系统进程: 是  svchost.exe  进程文件: svchost or svchost.exe  进程名称: Service Host Process  描述: Service Host Process是一个标准的动态连接库主机处理服务。  是否为系统进程: 是  system  进程文件: system or system  进程名称: Windows System Process  描述: Microsoft Windows系统进程。  是否为系统进程: 是  taskmon.exe  进程文件: taskmon or taskmon.exe  进程名称: Windows Task Optimizer  描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。  是否为系统进程: 是  tcpsvcs.exe  进程文件: tcpsvcs or tcpsvcs.exe  进程名称: TCP/IP Services  描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。  是否为系统进程: 是  winlogon.exe  进程文件: winlogon or winlogon.exe  进程名称: Windows Logon Process  描述: Windows NT用户登陆程序。  是否为系统进程: 是  winmgmt.exe  进程文件: winmgmt or winmgmt.exe  进程名称: Windows Management Service  描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求  是否为系统进程: 是

 
安全基础--SQLServer2k安全配置   数据库是电子商务、金融以及ERP系统的基础，通常都保存着重要的商业伙伴和客户信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中，他们用这些数据库保存一些个人资料，比如员工薪水、个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据，战略上的或者专业的信息，比如专利和工程数据，甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取会受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。但是数据库通常没有象操作系统和网络这样在安全性上受到重视。  微软的SQL Server是一种广泛使用的数据库，很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的，但是数据库的安全性还没有被人们更系统的安全性等同起来，多数管理员认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉而数据库管理员有对安全问题关心太少，而且一些安全公司也忽略数据库安全，这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库又是属于“端口”型的数据库，这就表示任何人都能够用分析工具试图连接到数据库上，从而绕过操作系统的安全机制，进而闯入系统、破坏和窃取数据资料，甚至破坏整个系统。  这里，我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。  在进行SQL Server 2000数据库的安全配置之前，首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似 , ‘ ; @ / 等字符，防止破坏者构造恶意的SQL语句。接着，安装SQL Server2000后请打上补丁sp1以及最新的sp2。  下载地址是：http://www.microsoft.com/sql/downloads/2000/sp1.asp和http://www.microsoft.com/sql/downloads/2000/sp2.asp  在做完上面三步基础之后，我们再来讨论SQL Server的安全配置。  1、使用安全的密码策略  　　我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步！  SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。  　　同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句：  Use master  Select name,Password from syslogins where password is null  2、使用安全的帐号策略。  　　由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server 实例（例如，当其它系统管理员不可用或忘记了密码）时才使用 sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。  　　SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。  　　很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select就可以了。  3、加强数据库日志的记录。  　　审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。  　　请定期查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。  findstr /C:"登录" d:\Microsoft SQL Server\MSSQL\LOG\*.*  4、管理扩展存储过程  　　对存储过程进行大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。  　　如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句：  use master  sp_dropextendedproc 'xp_cmdshell'  xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果你需要这个存储过程，请用这个语句也可以恢复过来。  sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'  如果你不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用），这些过程包括如下：  Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetProperty  Sp_OAMethodSp_OASetPropertySp_OAStop  去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：  Xp_regaddmultistringXp_regdeletekey Xp_regdeletevalue Xp_regenumvalues  Xp_regread Xp_regremovemultistring Xp_regwrite  还有一些其他的扩展存储过程，你也最好检查检查。  在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。  5、使用协议加密  　　SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等等，这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库帐号和密码。所以，在条件容许情况下，最好使用SSL来加密协议，当然，你需要一个证书来支持。  6、不要让人随便探测到你的TCP/IP端口  　　默认情况下，SQL Server使用1433端口监听，很多人都说SQL Server配置的时候要把这个端口改变，这样别人就不能很容易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了（请参考《深入探索SQL Server网络连接的安全问题》）。  　　不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。如果隐藏了 SQL Server 实例，则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测你的TCP/IP端口了（除非用Port Scan）。  7、修改TCP/IP使用的端口  　　请在上一步配置的基础上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口。  9、拒绝来自1434端口的探测  　　由于1434端口探测没有限制，能够被别人探测到一些数据库信息，而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大，所以对Windows 2000操作系统来说，在IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的SQL Server。  10、对网络连接进行IP限制  　　SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。  关于IPSec的使用请参看：http://www.microsoft.com/china/technet/security/ipsecloc.asp  　　上面主要介绍的一些SQL Server的安全配置，经过以上的配置，可以让SQL Server本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护。

 
安全基础病毒加壳技术与脱壳杀毒方法   安全基础病毒加壳技术与脱壳杀毒方法 　　壳是什么？脱壳又是什么？这是很多经常感到迷惑和经常提出的问题，其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候，说明你已经在各个安全站点很有了一段日子了。下面，我们进入“壳”的世界吧。  一、金蝉脱壳的故事  　　我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是：寒蝉在蜕变时，本体脱离皮壳而走，只留下蝉蜕还挂在枝头。此计用于军事，是指通过伪装摆脱敌人，撤退或转移，以实现我方的战略目标的谋略。稳住对方，撤退或转移，决不是惊慌失措，消极逃跑，而是保留形式，抽走内容，稳住对方，使自己脱离险境达到己方战略目标，己方常常可用巧妙分兵转移的机会出击另一部分敌人。三国时期，诸葛亮六出祁山，北伐中原，但一直未能成功，终于在第六次北伐时，积劳成疾，在五丈原病死于军中。 维遵照诸葛亮的吩咐，在诸葛亮死后，秘不发丧，对外严密封锁消息。他带着灵柩，秘密率部撤退。司马懿派部队跟踪追击蜀军。姜维命工匠仿诸葛亮摸样，雕了一个木人，羽扇纶巾，稳坐车中。并派杨仪率领部分人马大张旗鼓，向魏军发动进攻。魏军远望蜀军，军容整齐，旗鼓大张，又见诸葛亮稳坐车中，指挥若定，不知蜀军又耍什么花招，不敢轻举妄动。司马懿一向知道诸葛亮“诡计多端”，又怀疑此次退兵乃是诱敌之计，于是命令部队后撤，观察蜀军动向。姜维趁司马懿退兵的大好时机，马上指挥主力部队，迅速安全转移，撤回汉中。等司马懿得知诸葛亮已死，再进兵追击，为时已晚。相信这个故事，大家在大型连续剧《三国演义》里已经看过了。呵呵，只是没有理解得这么深入罢了！而在黑客入侵技术中，金蝉脱壳则是指：删除系统运行日志 攻击者攻破系统后，常删除系统运行日志，隐藏自己的痕迹...呵呵  二、壳，脱壳，加壳  　　在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑。自然界中植物用它来保护种子，动物用它来保护身体等等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。 从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。  （一）壳的概念  　　作者编好软件后，编译成exe可执行文件。 1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩， 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件 （二）加壳软件最常见的加壳软件  　　ASPACK ，UPX，PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE NEOLITE  （三）侦测壳和软件所用编写语言的软件  　　因为脱壳之前要查他的壳的类型。  1.侦测壳的软件fileinfo.exe 简称fi.exe（侦测壳的能力极强）。  2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒），推荐language2000中文版（专门检测加壳类型）。  3.软件常用编写语言Delphi，VisualBasic（VB）---最难破，VisualC（VC）。  （四）脱壳软件  　　软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。  　　 加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是：查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。  常用脱壳工具：1、文件分析工具（侦测壳的类型）：Fi，GetTyp，peid，pe-scan， 2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 3、dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE 4、PE文件编辑工具PEditor，ProcDump32，LordPE 5、重建Import Table工具：ImportREC，ReVirgin 6、ASProtect脱壳专用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只对ASPr V1.1有效），loader，peid（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了 （2）ASProtect+aspack：次之，国外的软件多用它加壳，脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。 （3）Upx： 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数 （4）Armadill： 可以用SOFTICE+ICEDUMP脱壳，比较烦 （5）Dbpe： 国内比较好的加密软件，新版本暂时不能脱，但可以破解 （6）NeoLite： 可以用自己来脱壳 （7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 （8）Pecompat： 用SOFTICE配合PEDUMP32来脱壳，但不要专业知识 （9）Petite： 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识 （10）WWpack32： 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳　　我们通常都会使用Procdump32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本，它的注册机可从网上搜到。ultraedit打开一个中文软件，若加壳，许多汉字不能被认出 ultraedit打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出 ultraedit可用来检验壳是否脱掉，以后它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。  常见的壳脱法：  　　（一）aspack壳 脱壳可用unaspack或caspr 1.unaspack ，使用方法类似lanuage，傻瓜式软件，运行后选取待脱壳的软件即可. 缺点：只能脱aspack早些时候版本的壳，不能脱高版本的壳 2.caspr第一种：待脱壳的软件（如aa.exe）和caspr.exe位于同一目录下，执行windows起始菜单的运行，键入 caspr aa.exe脱壳后的文件为aa.ex_，删掉原来的aa.exe，将aa.ex_改名为aa.exe即可。使用方法类似fi 优点：可以脱aspack任何版本的壳，脱壳能力极强缺点：Dos界面。第二种：将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。  　　（二）upx壳 脱壳可用upx待脱壳的软件（如aa.exe）和upx.exe位于同一目录下，执行windows起始菜单的运行，键入upx -d aa.exe。  　　（三）PEcompact壳 脱壳用unpecompact 使用方法类似lanuage傻瓜式软件，运行后选取待脱壳的软件即可。  　　（四）procdump 万能脱壳但不精，一般不要用 使用方法：运行后，先指定壳的名称，再选定欲脱壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。  三、压缩与脱壳  　　现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求。而自动就稍好些，用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付。很多文件使用了一些压缩加壳软件加密过，这就需要对文件进行解压脱壳处理后，才能汉化。这种压缩与我们平时接触的压缩工具如winzip，winrar等压缩不同，winzip和winrar等压缩后的文件不能直接执行，而这种 EXE 压缩软件，EXE文件压缩后，仍可以运行。这种压缩工具把文件压缩后，会在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。这样的程序很多，如 The bat，Acdsee，Winxfile等等。  　　要脱壳就应先了解常用压缩工具有哪些，这样知己知彼，如今越来越多的软件商喜欢用压缩方式发行自己的产品，如The bat！用UPX压缩，ACDSEE3.0用ASPACK压缩等。它有以下因素：一是：微机性能越来越好，执行过程中解压使人感觉不出来，用户能接受（给软件加壳，类似WINZIP 的效果，只不过这个加壳压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么异常。因为软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。）。　二是：压缩后软件体积缩小，便于网络传输。三是：增加破解的难度。首先，加壳软件不同于一般的winzip，winrar等压缩软件.它是压缩exe可执行文件的，压缩后的文件可以直接运行.而winzip，winrar等压缩软件可压缩任何文件，但压缩后不能直接运行。很多站点不允许上传可执行文件，而只能上传压缩的文件，一方面处于速度考虑，也是为了安全性考虑。用加壳软件压缩的文件就是体积缩小，别的性质没改变。还是EXE文件，仍可执行，只是运行过程和以前不一样了。压缩工具把文件压缩后，在文件开头一部分，加了一段解压代码。执行时该文件时，该代码先执行解压还原文件，不过这些都是在内存中完成的，由于微机速度快，我们基本感觉不出有什么不同。  四﹑加壳与木马  　　木马危害无穷，但是随着人们对各种木马知识的了解，杀毒和专杀工具的特殊照顾，使得很多木马无藏身之地，但很多高手到处卖马，号称不会被查杀。它们究竟是如何躲在我们的系统中的呢？ 其实无非对木马进行“加/脱壳”。对于黑客来说，加/脱壳技术被淋漓尽致地应用到了伪装木马客户端上，目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试，同时也防止算法程序被别人静态分析。最基本的隐藏：不可见窗体＋隐藏文件。木马程序  　　采用“进程隐藏”技术： 第一代进程隐藏技术：Windows 98的后门 。第二代进程隐藏技术：进程插入，以及 其后的Hook技术之外就是跟杀毒软件对着干：反杀毒软件外壳技术了。木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀（小样，别以为穿上件马夹我就不认识你了）。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全（杀毒软件的保护已被瓦解）后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。壳能够将文件（比如EXE）包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密（如：原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了）。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。  　　 虽然很多杀毒软件的文件监控都会使程序首次运行时速度很慢。这是因为：杀毒软件对压缩加壳的exe文件监控扫描时，都要先“脱壳”。一般压缩加壳程序，可加密压缩可执行文件的代码、数据、输入表、重定位表、资源段。通常压缩后的文件大小只有原来的50%-70%，但不影响程序的正常使用和所有功能，目的是保护文件不被跟踪分析，反汇编，脱壳等。所以有时候使用某软件给木马脱壳会失败，但可换个软件试下。脱壳后重新加壳或者使用不同加壳的软件给木马加多层壳，均有可能欺骗杀毒软件，但在经过复杂的多重加壳后，检测出的结果就不一定准确了，此时就需要“adv.scan”高级扫描， pe-scan会分析出被各种加壳工具加壳的可能性。  五﹑加壳与病毒  　　病毒要想生存，除了增加自身的变形能力以外，还可与程序加壳压缩联系起来。我们先来看看病毒变形的目的，因为现在的反病毒软件，基于特征码检测，增加变形能力，使得特征码检测方法更加困难。那么，如果再和程序加壳技术结合起来，那么将使的单单通过添加特征码方法解毒彻底失效，解毒时，必须同时更新扫描引擎，而现在并没有通用的解壳方法。因此加壳压缩和变形结合起来，将使得反病毒厂商手忙脚乱，也使得反病毒软件用户痛苦不堪，频繁的更新，除了特征码，还有扫描引擎。给平常的病毒加个壳，比如用upx，现在通常反病毒软件，对于常用的加密加壳压缩程序，都有相应的解壳程序。效果并不好，所以如果病毒本是既是一好的变形加密加壳压缩程序，那么，目的是强迫更新扫描引擎，当然也是可以被动态解压检测出来的，只是增加了解毒的很多工作量。实际上加壳技术不仅仅用于软件保护，也可用于好的病毒。好的病毒不一定要非常快的传播速度，难于检测，难于查杀更重要一些，就像现在杀毒界的虚拟机技术，也不过是个雏形，有很多的功能并不能完全虚拟化，同时若加壳代码本身可变形，同时有多种加壳算法可供随机选择，那么就很难找出其中的规律以及关系。总之，好的杀毒软件至少应该具有的技术功能之一就是要具备压缩还原技术：对Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等几百种压缩加壳软件自动还原，彻底解除隐藏较深的病毒，避免病毒死灰复燃。 

 
安全基础：教你如何识别病毒现象    Q：安全基础：教你如何识别病毒现象  　　A：在清除计算机病毒的过程中，有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起，同时有些病毒发作现象又与硬件或软件的故障现象相类似，如引导型病毒等。这给用户造成了很大的麻烦，许多用户往往在用各种查杀病毒软件查不出病毒时就去格式化硬盘，不仅影响了硬盘的寿命，而且还不能从根本上解决问题。所以，正确区分计算机的病毒与故障是保障计算机系统安全运行的关键。 　　 一、计算机病毒的现象 　　在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散， 病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总是有一定规律地出现异常现象: 　　 1.屏幕显示异常，屏幕显示出不是由正常程序产生的画面或字符串，屏幕显示混乱; 　　 2.程序装入时间增长，文件运行速度下降; 　　 3.用户没有访问的设备出现工作信号; 　　 4.磁盘出现莫名其妙的文件和坏块， 卷标发生变化; 　　 5.系统自行引导; 　　 6.丢失数据或程序，文件字节数发生变化; 　　 7.内存空间、磁盘空间减小; 　　 8.异常死机; 　　 9.磁盘访问时间比平时增长; 　　 10.系统引导时间增长。 　　 如果出现上述现象时，应首先对系统的BOOT区、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE文件进行仔细检查，并与正确的文件相比较，如有异常现象则可能感染病毒。然后对其它文件进行检查，有无异常现象，找出异常现象的原因。病毒与故障的区别的关键是，一般故障只是无规律的偶然发生一次，而病毒的发作总是有规律的。 　　 二、与病毒现象类似的硬件故障 　　 硬件的故障范围不太广泛，但是很容易被确认。在处理计算机的异常现象时很容易被忽略，只有先排除硬件故障，才是解决问题的根本。 　　 1.系统的硬件配置 　　 这种故障常在兼容机上发生， 由于配件的不完全兼容， 导致一些软件不能够正常运行。笔者遇到过一台兼容机， 联迅绿色节能主板， 昆腾大脚硬盘， 开始时安装小软件非常顺利， 但是安装WINDOWS时却出现了装不上的故障， 开始也怀疑病毒作怪， 在用了许多杀毒软件后也不能解决问题。后来查阅了一些资料才发现了问题所在， 因主板是节能型的，而CPU、硬盘却不是节能型的， 当安装软件的时间超过主板进入休眠时间的期限时， 主板就进入了休眠状态， 于是就由于主板、CPU、硬盘工作不协调而出现了故障。解决的办法很简单， 把主板的节能开关关掉就一切正常了。所以，用户在自己组装计算机时应首先考虑配件的兼容性， 购买配件前应仔细阅读产品说明书。 　　 2.电源电压不稳定 　　 由于计算机所使用的电源的电压不稳定， 容易导致用户文件在磁盘读写时出现丢失或被破坏的现象， 严重时将会引起系统自启动。如果用户所用的电源的电压经常性的不稳定， 为了使您的计算机更安全地工作， 建议您使用电源稳压器或不间断电源(UPS)。 　　 3.插件接触不良 　　 由于计算机插件接触不良， 会使某些设备出现时好时坏的现象。例如: 显示器信号线与主机接触不良时可能会使显示器显示不稳定; 磁盘线与多功能卡接触不良时会导致磁盘读写时好时坏; 打印机电缆与主机接触不良时会造成打印机不工作或工作现象不正常; 鼠标线与串行口接触不良时会出现鼠标时动时不动的故障等等。 　　 4.软驱故障 　　 用户如果使用质量低劣的磁盘或使用损坏的、发霉的磁盘， 将会把软驱磁头弄脏， 出现无法读写磁盘或读写出错等故障。遇到这种情况， 只需用清洗盘清洗磁头， 一般情况下都能排队故障。如果污染特别严重， 需要将软驱拆开， 用清洗液手工清洗。 　　 5.关于CMOS的问题 　　 众所周知，CMOS中所存储的信息对计算机系统来说是十分重要的，在微机启动时总是先要按CMOS中的信息来检测和初始化系统(当然是最基本的初始化)。在486以上的主板里，大都有一个病毒监测开关，用户一般情况下都设置为“ON“，这时如果安装WINDOWS95，就会发生死机现象。原因是安装WINDOWS95时，安装程序会修改硬盘的引导部分、系统的内部中断和中断向量表，而病毒监测程序不允许这样做， 于是就导致了死机。建议用户在安装新系统时， 先把CMOS中病毒监测开关关掉。另外， 系统的引导速度和一些程序的运行速度减慢也可能与CMOS有关， 因为CMOS的高级设置中有一些影子内存开关， 这也会影响系统的运行速度。 　　 三、与病毒现象类似的软件故障 　　 软件故障的范围比较广泛， 问题出现也比较多。对软件故障的辨认和解决也是一件很难的事情， 它需要用户有相当的软件知识和丰富的上机经验。这里介绍一些常见的症状。 　　 1.出现“Invalid drive specification”(非法驱动器号) 　　 这个提示是说明用户的驱动器丢失， 如果用户原来拥有这个驱动器， 则可能是这个驱动器的主引导扇区的分区表参数破坏或是磁盘标志50AA被修改。遇到这种情况用DEBUG或NORTON等工具软件将正确的主引导扇区信息写入磁盘的主引导扇区。 　　 2.软件程序已被破坏(非病毒) 　　 由于磁盘质量等问题， 文件的数据部分丢失， 而这程序还能够运行， 这时使用就会出现不正常现象， 如Format程序被破坏后， 若继续执行， 会格式化出非标准格式的磁盘， 这样就会产生一连串的错误。但是这种问题极为罕见。 　　 3.DOS系统配置不当 　　 DOS操作系统在启动时会去查找其系统配置文件CONFIG.SYS，并按其要求配置运行环境。如果系统环境设置不当会造成某些软件不能正常运行， 如C\C++语言系统、AUTOCAD等等。原因是这些程序运行时打开的文件过多， 超过系统默认值。 　　 4.软件与DOS版本的兼容性 　　 DOS操作系统自身的特点是具有向下的兼容性。但软件却不同，许多软件都要过多地受其环境的限制， 在某个版本下可正常运行的软件， 到另一个DOS版本下却不能正常运行， 许多用户就怀疑是病毒引起的。如旧版的2.13汉字系统， 在DOS 3.30下运行正常， 而在DOS6.2下运行会出现乱码现象。 　　 5.引导过程故障 　　 系统引导时屏幕显示“Missing operating system”(操作系统丢失)， 故障原因是硬盘的主引导程序可完成引导，但无法找到DOS系统的引导记录。造成这种现象的原因是C盘无引导记录及DOS系统文件， 或CMOS中硬盘的类型与硬盘本身的格式化时的类型不同。需要将系统文件传递到C盘上或修改CMOS配置使系统从软盘上引导。 　　 6.用不同的编辑软件程序 　　 用户用一些编辑软件编辑源程序， 编辑系统会在文件的特殊地方做上一些标记。这样当源程序编译或解释执行时就会出错。例如， 用WPS的N命令编辑的文本文件， 在其头部也有版面参数，有的程序编译或解释系统却不能将之与源程序分辨开， 这样就出现了错误。 　　 7.有关FOXBASE问题 　　 经常使用FOXBASE的用户可能会发现在磁盘中会生成一些“S”字符或数字命名的文件， 还会发现某些数据库文件数据丢失。这一现象与计算机病毒极为相似， 其实造成这一现象的主要原因是用户在使用FOXBASE后，没有后退到DOS状态就关掉机器， 或在使用FOXBASE中途掉电。建议用户在使用FOXBASE后返回到DOS状态后才关机， 否则不但会造成上述现象， 并且会对磁盘造成损坏。 　　 在学习、使用计算机的过程中，可能还会遇到许许多多与病毒现象相似的软硬件故障，所以用户要多阅读、参考有关资料，了解检测病毒的方法，并注意在学习、工作中积累经验，就不难区分病毒与软硬件故障了。