服务器木马查杀_服务器木马防火墙

2024-09-20 13:23:13

1.电脑防火墙有用吗

2.服务器被攻击怎么处理？

3.计算机安全基本服务类型有哪些？

4.服务器被入侵了，有些木马文件删除不了怎么办？

5.防火墙可以挡住木马入侵吗?

6.服务器装360安全卫士有什么优点？

服务器木马查杀_服务器木马防火墙

什么是网络安全？

网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

什么是计算机？

计算机是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

什么是木马？

木马是一种带有恶意性质的远程控制软件。木马一般分为客户端和服务器端。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会象那样去感染文件。

什么是防火墙？它是如何确保网络安全的？

使用功能防火墙是一种确保网络安全的方法。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。

什么是后门？为什么会存在后门？

后门是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或者在发布软件之前没有删除，那么它就成了安全隐患。

什么叫入侵检测？

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

什么叫数据包监测？它有什么作用？

数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求一个网页，这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。

什么是NIDS？

NIDS是网络入侵检测系统的缩写，主要用于检测HACKER和CRACKER通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如HUB、路由器。

什么叫SYN包？

TCP连接的第一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。

加密技术是指什么？

加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。

什么叫蠕虫？

蠕虫源自一种在网络上传播的。1988年，22岁的康奈尔大学研究生罗伯特.莫里斯通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”的，蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美圆。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组。现在蠕虫家族已经壮大到成千上万种，并且这千万种蠕虫大都出自黑客之手。

什么是操作系统？

这种会用它自己的程序加入操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。并且由于感染了操作系统，这种在运行时，会用自己的程序片段取代操作系统的合法程序模块。根据自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及取代操作系统的取代方式等，对操作系统进行破坏。同时，这种对系统中文件的感染性也很强。

莫里斯蠕虫是指什么？

它的编写者是美国康奈尔大学一年级研究生罗伯特.莫里斯。这个程序只有99行，利用UNIX系统的缺点，用finger命令查联机用户名单，然后破译用户口令，用MAIL系统复制、传播本身的源程序，再编译生成代码。

最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取”而达到网络的负载平衡。而莫里斯蠕虫不是“借取”，而是“耗尽所有”。

什么是DDoS？

DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获取该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。

局域网内部的ARP攻击是指什么？

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通防火墙很难抵挡这种攻击。

什么叫欺骗攻击？

网络欺骗的技术主要有：HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有：IP欺骗、ARP欺骗、DNS欺骗、WEB欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以冒身份与其他主机进行合法通信或发送报文，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。

电脑防火墙有用吗

木马替换了C:\WINDOWS\system32\notepad.exe

并切不让恢复，木马（特洛伊木马），也称为后门，英文叫做“Trojan house”，其名称取自希腊神话的《特洛伊木马记》，它是一种基于远程控制的黑客工具，木马的特性一般有：①包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。

木马的种类：①远程控制木马。例如冰河②密码发送木马。例如 QQ 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤代理木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马，例如网络神偷⑧dll 木马。这是现在最新出来的用进程插入技术的木马，是最难对付的木马之一。⑨综合型。

想不中木马，先要了解木马植入的惯用伎俩（很多的传播也是利用同样的手段，因为木马也算是的一种）：

1. 邮件传播：木马很可能会被放在邮箱的附件里发给你，当你在没取任何措施的情况下下载运行了它，即便中了木马。因此对于带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的，并且请养成用杀毒软件扫描附件的习惯。

2. QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东或者是PLMM的照片，你接受后运行的话，你就成了木马的牺牲品了。

3. 下载传播：在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行扫描的习惯。

在这里提醒一下，若被杀毒软件扫描到有请立即清除。不要以为不运行这些带木马的文件就可以了，下面这种木马植入方法专门用来对付有此想法的人。

4. 修改文件关联。这是木马最常用的手段之一，比方说正常情况下txt文件的打开方式为Notepad.exe（记事本），攻击者可以把txt文件打开方式修改为用木马程序打开，这样一旦你双击一个txt文件，原本应用记事本打开的，现在却变成启动木马程序了！当然，不仅仅是txt文件，其它诸如htm、exe、zip、com等都是木马的目标。对付文件关联木马，只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\command”这个子键，查看其键值是否正常。

5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。

6. 网页植入。现在比较流行的种植木马方法，也是黑客们惯用的无形杀手，即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候，浏览器动不动就会弹出几个提示窗口，其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件，如果不安装里面的控件，以后仍然会出现这种窗口，并且网页的功能就不能实现了。利用这一点，可以制作一个ActiveX控件，放在网页里面，只要用户选择了安装，就会自动从服务器上下载一个木马程序并运行，这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效，但是在打开网页的时候弹出对话框要用户确定是否安装，只要用户不安装，黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件，请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装，若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的木悄悄地运行。对于DATA所标记的URL，IE会根据服务器返回HTTP头中的Content－Type来处理数据，也就是说如果HTTP头中返回的是ication/hta等，那么该文件就能够执行，而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马，并修改其中ftp服务器的地址和文件名，将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时，会出现“Internet Explorer脚本错误”的错误信息，询问是否继续在该页面上运行脚本错误，当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框，因此不够隐蔽，遇到此情况只要看清消息来源的站点，再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码，只要对方打开这个网页就会中上木马，而他对此还是一无所知。在这里提醒各位网民，对于从未见过的URL（通常都是个人网站/论坛），最好不要访问。

木马和都是一种人为的程序,都属于电脑,为什么木马要单独提出来说内?大家都知道以前的电脑的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期的作用性质不一样,所以木马虽然属于中的一类,但是要单独的从类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通库里的代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用代码库里的数据,大大提高木马查杀速度.我们知道查杀普通的速度是比较慢的,因为现在有太多太多的.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个代码的检验,那速度岂不是很慢了.省去普通代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀,但是它自身的普通查杀程序既查杀又查杀木马!

服务器被攻击怎么处理？

问题一：电脑的防火墙有必要装吗？ 1.防火墙可以阻断攻击，但不能消灭攻击源。

“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。

2.防火墙不能抵抗最新的未设置策略的攻击漏洞

就如杀毒软件与一样，总是先出现，杀毒软件经过分析出特征码后加入到库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。

3.防火墙的并发连接数限制容易导致拥塞或者溢出

由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。

4.防火墙对服务器合法开放的端口的攻击大多无法阻止

某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。

5.防火墙对待内部主动发起连接的攻击一般无法阻止

“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。

6．防火墙本身也会出现问题和受到攻击

防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。

7．防火墙不处理

不管是funlove也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“防火墙”）。

看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。

不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。那么，怎么选择需要的防火墙呢？

防火墙的分类

首先大概说一下防火墙的分类。就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种：

第一种：软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint......>>

问题二：电脑防火墙有什么用？有什么功能？阻止黑客攻击，一定程度上弥补系统原有的漏洞，监控网络活动并阻止可疑通信

问题三：防火墙有必要开吗？经常上网的话就开,但是还是要看看你的电脑配置,不好的话就只装杀毒就行了,如果装了阀火墙的话会很卡,因为它会把数据都过滤一遍,影响很大的速度,就是照自己的实际装吧,如果配置很低的话就安个金山,因为那个防火墙是很小很小的,虽然很垃圾,但是也会起到一定的作用的,配置好的话就用瑞星或是卡8,这两个软件很占内存,如果内存低与512,就不要考虑这两个了.

问题四：电脑windows防火墙开启好还是关闭好？防火墙要用就用第三方的专业防火墙，Windows自带的效果不怎么样。我们普通用户也没装防火墙的必要，装个杀软就行。

问题五：家庭电脑要安装防火墙吗有网银或者网游

尤其是网银交易额较大或者网游投入精力、财力比较大的时候

需要防火墙

否则，可以不装～随意～～

如果说家庭电脑不需要防火墙……

那我倒要问问各大安全厂家开发防火墙是给谁用的？

别告诉我给企业用，企业都是硬件防火墙。

最顶尖的软件防火墙也赶不上一款性能平庸的硬件防火墙的1％的性能～

但入门级硬件防火墙都要至少上千动辄上万的价格是个人用户无法承受也没有必要承受的～

所以才会针对普通家庭用户开发软件防火墙～～

就拿网络游戏盗号说，

杀毒软件没有100％查杀的，总有漏报。

为什么？因为杀毒软件不能把你电脑里所有的程序都删掉～

那样的话全盘格式化就好了～还要杀毒软件干什么～～

这事废话……杀毒软件当然要判断哪个是哪个不是～～

软件没有人聪明，必然有失误。一旦失误了怎样呢？

木马是即时发作的，你当时中毒，那么你的资料立刻就会被木马传到作者手中。

OK，第二天，库更新了，杀软把杀了～～

有用么？帐户和密码已经在别人手里了～～

防火墙则不然，他会拦截你的一切联网程序

然后交给用户判断

你认识的程序就放行

一旦发现不认识的现拦截住再说～

发现哪个程序无法正常联网再去查查是不是错拦了相关程序～～

这样木马基本就废在你的电脑里面了～～

当然，这必然会有些麻烦。

如果你没什么重要帐号，不怕人家偷的话

不装也可～～

问题六：家用电脑有必要装防火墙吗没必要一般装个360这类的杀毒软件

问题七：个人电脑有必要装防火墙吗即使是个人电脑，也有必要安装防火墙软件，因为这样既可以防止不明的感染，又可以防止各种蠕虫、木马的入侵。

问题八：windows防火墙有用吗防火墙可以隐藏端口，控制程序联网。

如果有木马暗中联网，想要泄露你的信息，你就可以阻止它。黑客攻击你的电脑，首先就要突破你的防火墙。所以防火墙是有防御作用的。

不过想要从根本上消灭，还是要靠杀毒软件。

所以还是有用的。

当然，楼上想要关防火墙，是他们自己的事。

不过，想当然地到处向人宣传，不觉得自己很无知吗？

问题九：有必要装防火墙吗？不需要装防火墙，系统自带防火墙，你启动就可以了。

一般防火墙没有什么用，有杀毒软件就可以了。

学校埂学生有几个非常专业的，能攻破电脑自带的防火墙，一般是没有那个能力的，如果有也不会弄你的啊，你的又没有机密文件，要就搞学校的服务器去了。

再说一般你不乱下载东西的话，是不会中毒的。杀毒软件就可以隔离dos的攻击和黑客的入侵。

问题十：关闭windows防火墙危险吗应该没什么问题，windows防火墙只算是个鸡肋，现在很少有人会打开它的。360杀毒+360安全卫士就差不多了，如果你还想用防火墙，可以考虑用江民的或瑞星的。其中江民防火墙是免费的。

计算机安全基本服务类型有哪些？

目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了，也就是我们常说的高防服务器，高防服务器都会带有一定量的硬防，或大或小。

1、定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2、在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

3、用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的给黑客攻击，在它不断访问用户、夺取用户之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

4、充分利用网络设备保护网络

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

5、过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

6、检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是的，它将予以屏蔽。许多黑客攻击常用IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少IP地址的出现，有助于提高网络安全性。

7、过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚内部IP过滤，这样也可以减轻DdoS的攻击。

8、限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

服务器被入侵了，有些木马文件删除不了怎么办？

基础知识

1、计算机系统的安全需求是什么？

答：为了保证系统的安全性、完整性、可靠性、保密性、可用性、有效性和合法性，为了维护正当的信息活动，以及与应用发展相适应的社会公共道德和权利，而建立和取的组织技术措施和方法的总和。

安全性：标志防止非法使用和访问的程度。

完整性：标志程序和数据能满足预定要求的完整程度。

可靠性：计算机在规定条件下和规定时间内完成规定功能的概率。

保密性：利用密码技术对信息进行加密处理，以防止信息泄漏。

可用性：对符合权限的实体提供服务的程度。

有效性和合法性：接受方应能证实它所受到的信息内容和顺序都是真实的，应能检验受到的信息是否是过时或重播的消息。

2、计算机安全措施包括哪三个方面？

答：1、安全立法：包括社会规范和技术规范。

2、安全管理：包括社会规范人员培训与教育和健全机构、岗位设置和规章制度。

3、安全技术。

3、系统安全对策的一般原则是什么？

答：1、综合平衡代价原则、

2、整体综合分析和分级授权原则；

3、方便用户原则；

4、灵活适应性原则；

风险评估

1、什么是风险？风险的特性是什么？如何解决系统中遇到的风险

答：风险是伤害和损失的可能性；特性（核心因素）是不确定性，而且任何生意都有风险；

实施方法：1、清除风险：取某种措施彻底消除一个威胁；

2、减轻风险：通过某些安防措施减轻威胁的危害；

3、转移风险：把风险后果从自己的企业转移到第三方去。

2、计算机安全需要保护的资产包括哪些？

答：硬件：各种服务器，路由器、邮件服务器、web服务器。

软件：网络服务和协议，传递的信息，访问权限。

3、风险评估分为哪几个步骤？那几部最关键？

答：第一布：资产清单、定义和要求；第二步：脆弱性和威胁评估；第三步：安防控制措施评估；第四步：分析决策和文档；第五步：沟通与交流；第六步：监督实施；

关键步骤：第一步、第二步、第五步

4、风险评估需要解决什么问题？

答：1、什么东西会出现问题？2、如果它发生，最坏的情况是什么？3、出现的频率4、前三个问题的答案有多肯定？5、可以取什么措施消除、减轻和转移风险？6、它需要划分多少钱？7、它多有效？

身份验证

1、身份验证主要解决什么问题？

答：1、你是谁？2、你是属于这里的么？3、你有什么样的权限？4、怎么才能知道你就是你声称的那个人？

2、身份认证的方法有哪些？最常用的方法有哪些？

答：1、用户ID和口令字；2、数字证书；3、SecurID；4、生物测定学；5、Kerberos协议（网络身份验证协议）；6、智能卡；7、iButton(电子纽扣)；

最常用的有：1、2

3、怎样的口令是强口令？

答：（1）它至少要有七个字符长（2）大小写字母混用

（3）至少包含一个数字（4）至少包含一个特殊字符

（5）不是字典单词、不是人或物品的名称、也不是用户的“珍贵”资料

4、什么是单站式签到技术？用单站式签到技术会存在哪些问题？

答：用户表明一次自己的身份并得到验证，再进入自己有权访问的其他系统或软件时不用再次表明自己身份。问题有：1、单站式签到技术是否安全；2、黑客的单站式攻击点；3、遇到系统故障或拒绝服务怎么办；4、如何跨平台支持；

网络体系结构和物理安防措施

1、VLAN按地址类型划分可以分四种方式

包括：1、根据（端口）地址划分；

2、根据（MAC）地址划分；

3、根据（IP）地址划分；

4、通过（IP）广播地址划分；

2、举出计算机安全3个物理安防的措施？

答：1、安装声像监控；2、门锁；3、安一扇坚固的门；4、灾难预防；5、雇用优秀的接待人员；6、选择房间位置；7、工作站的安防措施；8、注意天花板；9、使用不间断电源（UPS）；

3、安防网络体系结构的配置有哪三种常见的配置方案？

答：1、中央型公司；2、使用了托管服务的中央型公司；3、分公司；

防火墙和网络边防

1、什么是防火墙？防火墙应具备什么功能？

答：防火墙是监视和控制可信任网络和不可信任网络之间的访问通道。

功能：1、过滤进出网络的数据包；2、管理进出网络的行为；3、封堵某些禁止的访问行为；4、记录通过防火墙的信息内容和活动；5、对网络攻击进行检测和告警；

2、防火墙实现技术有（数据包过滤器）、（代理）和（状态分析）三种方式。

3、防火墙基本设置方针是什么？一般设计防火墙用那种方针？

答：1、拒绝一切未赋予特许的东西（安全性高）；2、允许一切未被特别拒绝的东西（灵活性好）；第一种方针好，一般用第一种方针设计防火墙。

4、过滤控制点主要设置在哪三层？

答：（1）源IP和目的IP，以及IP Options

（2）在TCP头中的源端口和目的端口号以及TCP标志上

（3）基于特定协议分别设定

5、什么是NAT？

答：NAT就是网络地址翻译。

6、防护墙体系结构如何选择？

答：1、根据自己公司的情况选择技术合适的防火墙；

2、是使用硬件防火墙还是使用软件防护墙；

3、防火墙的管理和配置是由企业自己来完成还是把这些任务交给一家受控服务提供商。

入侵检测

1、入侵检测系统分为哪几中类别？最常见的有哪些？

答：（1）应用软件入侵监测（2）主机入侵监测（3）网络入侵监测（4）集成化入侵监测

2、入侵检测系统应该具备哪些特点？

答：1、自动运行；2、可以容错；3、无序占用大量的系统；4、能发现异常行为；5、能够]适应系统行为的长期变化；6、判断准确；7、可以灵活定制；8、保持领先。

3、入侵行为的误判分为（正误判）、（负误判）和（失控误判）三种类型。

正误判：把一个合法操作判断为异常行为；

负误判：把一个攻击行为判断为非攻击行为并允许它通过检测；

失控误判：是攻击者修改了IDS系统的操作，使他总是出现负误判；

4、入侵检测系统的分析技术最常用的方法是哪三类？

答：1、签名分析法；2、统计分析法；3、数据完整性分析法；

“签名分析法”主要用来监测有无对系统的已知弱点进行的攻击行为。

“统计分析法”以系统正常使用情况下观测到的动作模式为基础，如果某个操作偏离了正常的轨道，这个操作就值得怀疑。

“数据完整性分析法”可以查证文件或者对象是否被别人修改过。

远程访问

1、使用远程访问的人员有哪些？

答：1使用电信线路上网

2旅行中的员工

3网络管理员

4商务伙伴和供应商

2、远程解决方案的基本要求包括哪些？

答：1安全防护

2成本

3可扩展性

4服务质量

5实施、管理和使用方面的易用性

6用户的身份验证

主机的安全保护

1、什么是操作系统的硬化？包括那几步？

答：在细致分析的基础上尽可能的减少它与外界的交流渠道，尽可能的减少在它上面运行的不必要的服务项目。

步骤1：把供应商推荐的安防补丁都打好。

步骤2：取消不必要的服务

步骤3：紧固子目录/文件的访问权限。

步骤4：明晰用户权限，严禁控制用户的访问权限。

2 、实施主机安防步骤包括那些：

答：1 分析计算机将要执行的功能

2 把供应商推荐的安防补丁都打好

3 安装安防监控程序

4 对系统的配置情况进行审查

5 制定的备份和恢复流程

3、 windows 2000 pro 操作系统的硬化主要包括(20选10)

1)禁用登陆信息缓冲功能

2)禁用”guest”账户激活

3)禁用不必要的服务

4)禁用空白口令字

5)保护注册表，不允许匿名访问

6)保证Administrator口令的安全性

7)”syskey”保护功能

8)把内存页面设置为关机时清楚状态

9)修改权限成员

10)隐藏最后一个登录上机的用户名字

11)让用户选用难以破解的口令字

12)FAT转换成NTFS

13)取消用不着的协议

14)删除OS/2和POSIX子系统

15)限制使用“Lanmanager Authentication”的功能

16)限制访问公共的“Local Security Authority”

17)部署一个域结构

18)保护文件和子目录

19)制定出适当的注册表访问控制列表

20)制定账户封锁及撤销制度，严肃处理违反安防制度的行为

服务器的安全保护

1 .windows 2000 服务器操作系统的硬化主要包括

1)断开网络

2)安装windows server

3)使用NTFS格式

4)在安装的GUI部分，选用”stand alone”

5)不要安装communication 、accessories、Multimedia减少不必要的服务

6)删除IPX协议

7)在缺省的administrator account 使用7个字符的安全口令

8)重新启动机器

9)安装hot fixes 和 service packs

2 、安装 windows 2000 服务器后再完成以下步骤

1)从网络配置里去掉 netbios interface, rpc configuration, server, workstation, computer browser

2)在连接因特网的网卡上禁用wins功能

3)在services 菜单里禁用 tcp\ip netbios helps

4)修改注册表

a)系统不显示最后一个登录上机的用户 hkey-local-machine\sofeware\microsoft\windowNT\CurrenVersion\winlogon=1

b)在hkey-local-machine\system\currentcontrolset\control\lsa\ 下创建 restrictanonymouse 新主键，键值=1

5)激活syskey功能

3、数据库的安全主要进行那些方面的工作

1)删除缺省账户和样本数据库

2)控制数据库名称和存放位置的传播范围

3)合理使用审计功能

4)隔离并保护业务数据库

客户端的安全防护

1、什么是计算机，特征？

计算机是一个程序，一段可执行码，

1)是通过磁盘、磁带和网络等作为媒介传播扩散，能传播其他程序的程序。

2)能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。

3)一种人为制造的程序，使计算机的受到不同程序的破坏。

特征：传染性，破坏性、隐蔽性、触发性、寄生性。

2、计算机常用的分类方法，按照本身的特征分类？

1)按照传染文件的类型分类：文件型、引导型和综合型。

2)按照本身的特征：木马类、蠕虫类、黑客类、宏和脚本。

3)按照依赖的操作系统分：DOS ,window 3.x ,windows 9.x ,windows NT和其他操作系统。

3、从微观角度来看计算机有什么危害？

1)影响计算机正常使用

2)造成数据丢失

3)影响声誉，带来不良影响

4)个人信息泄漏

5)造成严重的泄密

4、常见的传播方式：

1)宏：依靠OFFICE的模板文档传染

2)蠕虫：大部分依靠E-mail传播

3)脚本：依靠网页传播

4)木马程序：依靠服务器端程序进行破坏

5、从客户端的安全考虑，应该取哪些措施

1)预防电脑的失窃和盗用

a)物理安防措施

b)访问控制软件和身份验证软件

c)失窃追踪系统

2)计算机的防护

3)恶意代码的防护

4)软件防护（微软公司软件）

a)安防补丁

b)动态内容的安全防护

c)个人防火墙

5)即时消息（的安防）

应用软件的开发

1、应用软件面临哪些威胁？解决办法是什么？

答：伪造身份；解决方案：双重身份验证

破坏数据；解决方案：数据完整性检查性

否认事实；解决方案：对操作行为进行日志纪录

泄漏信息；解决方案：身份验证和加密

拒绝服务；解决方案：网络流量分析；防火墙

私自提升优先级；解决方案：紧跟最新的安防补丁、优化OS

2、WEB应用软件的脆弱点有哪几大类？

答：1、不可见数据域：指暗藏着的HTML表单数据域。

2、后门和调试选项：给软件开发人员提供非正式的且不受限制的访问权限。

3、跨站点脚本：是把代码插到从其他源地址发来的页面中去这样一个过程。

4、篡改参数：指对URL字符串进行精心策划，使之能检验出原本不应该让这名用户看到的信息资料

5、COOKIE中毒：指对保存在COOKIE里的数据进行篡改的行为。

6、操纵输入信息：在HTML表单里，攻击者利用在CGI脚本程序名的后面输入一些精心安排的“非法”数据来运行系统命令。

3、什么是COOKIE中毒？

答：COOKIE中毒是指对保存在COOKIE里的数据进行篡改的行为。

在随后的3个月当中我们将逐步推出：信息安防、密码学基础、网络体系架构、入侵检测、主机与服务器的安防、等专题文章供大家学习讨论，敬请大家关注。

防火墙可以挡住木马入侵吗?

“木马”程序是目前比较流行的文件，与一般的不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。可损坏软件、硬件和文件。

(n.)：以自我复制为明确目的编写的代码。附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体按严重性分类（从 Ebola 到普通的流感）一样，计算机也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏、或网页中，包含了可以控制用户的计算机系统或通过邮件**用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在中所占的比例已经超过了四分之一，而在近年涌起的潮中，木马类占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀软件却不能完全清除木马文件，总的说来，杀软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将管理器配置成始终显示扩展名。将Windows管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JaApplet小应用程序、jascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统、破坏数据、格式化硬盘、感染木马程序、**用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前**千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.。

在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统定的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的消息。

(2)系统勾子监视系统中的所有线程的消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

服务器装360安全卫士有什么优点？

看你的是版还是正版了！

正版的一半绝对不会的

版的则诸多漏洞，容易入侵！

正版的要钱的~~一版5000元左右

版的就是免费的！

回答者：邂逅人心 - 秀才二级 12-2 10:05

============================================

你懂不懂啊？不懂就别瞎说！！！！！