为什么电脑会被黑客入侵可以预防么？

为避免您的网站被黑客攻击，单仁资讯建议您需要在平时做大量的工作，例如：

1、定期对网站进行安全检测，通过查毒工具维护网站安全。

2、网站建设的过程中，需要多去维护，定期检查网页中是否存在漏洞与病毒，防止数据库资料发生故障。

3、修改管理员的用户名，有效提高后台管理员的密码强度，强密码应该包括14个字符，包括大小写字母、数字和符号在内的组合。严格控制不同级别用户的访问权限。

4、选择安全性、稳定性、价格和客户服务好的主机服务提供商。

5、会员的上载文件功能安全性要把控好，很多木马都是通过上载，比如ASA，ASP。PHP,CER等这些都能够作为木马上载的。

6、需要的程序一定要通过正规途径去下载，避免出现不正规程序影响网站运作与安全，并且建议在下载之后更改程序的数据库名称自己存放路径，并且更改数据库名称而且使其具有复杂性。

7、注重程序的更新，保持网站程序是全新的版本，因为新版本不仅更加能够对付各种病毒而且还能够保护网站数据不受损坏。

8、如果网站经常遭到被黑，可以选择重新安装服务器，重新上传备份的网站文件。

网站一旦发现被黑，管理员应当尽量处理，将非网站的代码去除，修改网站用户名与密码，把网站的损失尽可能地降到最低。

年会策划的流程有哪些？

一、成立公司年会小组

公司年会通常会由一个年会小组来负责，主要是为了更好地协调各部门的事务及更有效地调配公司的各种资源来为年会服务。一般年会小组的成员会是各个部门领导指派本部门的活跃份子参加。年会小组负责整个年会的前期策划和后期执行。年会小组会在初期推选一名总负责人，组织并安排所有人员的工作内容和时间管理。成员之间的能力、资源互补搭配也很重要，因为是从各个部门临时抽调的人员，总负责人必须能够发扬每个人身上的长处，在短期内组成一个团结而强大的团队为年会服务

二、主题选定

年会的主题既抢眼又精练地表达了当次年会的主要方向。拟定出色的主题，首先需要对企业的市场情况、品牌情况以及活动目的进行充分的了解，特别是企业想通过此次年会传递的信息。其次，还需注意拟定的活动主题应与企业品牌定位吻合。

现场的气氛是像一家人聚会般的温馨，也是需要热烈的高潮。依据选定好的主题，背景板、会场的布置和环节的安排都可以围绕主题去展开。跟随这个步骤，在活动整体调性明确之后，也就确定了活动主题的方向。

年会年年做，每个公司都做，在基本达到目的之后，公司客户一定会希望每年的年会有出人意料和与众不同的创意，给所有参加人一个惊喜。而创意的体现也表现于一个具有感染力的活动主题，贯穿整体活动的活动主线，以及活动中的若干亮点。下面我们还会具体谈到如何在执行当中来奖创意贯彻到底。

三、场地选择

场地的选择一定要合理，主要参照值是参加年会的人数及环节设置的需要。同样是100人参加的年会，如果在环节上没有复杂的表演及环节，那么现场需要一个简单的舞台及可以容纳下10桌就可以；如果在环节上需要有表演，颁奖及特邀嘉宾一些复杂的环节，现场对舞台及灯光音响视频的要求就会相对复杂，那么所需要的场地就会更大。另上，一般的年会会选在酒店的宴会厅进行，有时，一些公司希望活动可以进行的独特，所在场地的选择上也会相对独特。比如像特色的酒吧，或是户外的场所，如果在资金的允许下，更选择在风景好温度适宜的海边，感觉会更放松一些。

四、时间确定

年会是一个公司的活动，可以把各个部门的人员聚集在一起，时间的选定是非常重要的。即可以不耽误工作，又可以聚集所有的人，这就是需要年会小组的成员发挥他们的特长了。

五、环节设定

公司年会的必有项目是领导致辞，年度各种优秀奖颁奖，员工才艺表演，抽奖，互动游戏等。有时公司也会因为某些原因特别邀请一些知名的嘉宾来参加。在这个基础上，如何奖年会活动做得出彩，创意必须贯穿每个环节。以下是几个技巧供大家参考。

如何留下深刻印象：企业年会既然是企业员工相互增进了解的重要平台之一，让企业的员工对年会留下深刻的印象就显得格外重要了。因此，“是否会‘转身就忘记’”就成为了衡量一个企业年会成功与否的重要标准之一。

比如说，某企业需要在2008年1月举办一次公司年会。由于2008年对于中国来说是奥运年，因此，此次年会可以将2008年奥运会作为主题来提升吸引力。那么，究竟怎么做才能避免“转身就忘记”，同时又能很好的将北京2008奥运和该企业建立关联性呢？那么我们给这次年会设计了由多项奥运比赛项目组成的竞赛，选择既能吸引员工踊跃参与，又能体现团队协作精神的项目：场地自行车+射击+趣味乒乓球+三分投篮+足球赢积分+网球赛。通过丰富体育运动的介入，这场年会就深刻与奥运联系在了一起。并且，竞技活动中展现的拼搏与协作也更能激发企业员工的斗志与凝聚力。

善用热点事件：在前面我们也提到了把握社会热点，与社会大事件做好关联，从而提升企业员工对活动的关注度与接受程度。这里所说的社会热点是广义范畴上的。比如说，2003年电影《黑客帝国》的上演，2005年神州五号的升空，2008年即将在北京举办的奥运会等等。这些社会热点，都能够成为企业年会活动策划中可以利用的信息点。可以借助这些社会热点话题进行发散和延展，根据企业的特点，进行活动的策划。

注意活动的实用性：另一个案例说明了如何增进活动的实用性，促进所有员工的参与和沟通，精心安排的活动环节。我们以一家全国性的企业为例，假设这家公司业务按地域划分成若干区域。而公司年会则是需要所有区域员工同时参加。年会主题方面，仍以奥运为主题。 首先，将该企业所有的员工，按照华北，华东，华南分成三个区域，在所有的员工check in的时候，发放一张积分卡，积分卡采取了实名制，将伴随员工参与企业年会的所有流程。在年会期间，还设置了一个有趣的特许经营店，员工可以凭借积分在特许经营店中兑换礼品。而这个积分的获取，就要在年会中设置的其他环节中获得了。

身为特斯拉车主是怎样的体验

当地时间2013年10月1日，一辆特斯拉ModelS在美国华盛顿州肯特（Kent）的公路上碰撞金属物体后起火。随后失火场面的照片和视频在网络上广为传播，引发关注和热议，以及对于电动车安全性的质疑。特斯拉2013年股价增长了大约5倍，因而“特斯拉旋风”举世闻名。而这次起火事件之后股价出现大幅波动，仅仅10月2日下午不到一个小时之内，股价就从185.74美元暴跌到175.76美元。到23日股价一度滑坡10%以上，股价最低点曾达到168美元左右，这意味着市值蒸发了23亿美元。2013年10月底，另外一辆ModelS在墨西哥发生起火事故，原因是驾驶者在转弯时撞上、并穿过了一座水泥墙，最终撞在一棵树上停了下来。2013年11月，一辆2013款ModelS在田纳西州高速公路上与一辆牵引车（towhitch）相撞后起火，后者插入ModelS底盘。2014年7月4日上午，一名偷车嫌疑犯从Centinela大街5800街区的一家代理店中偷走一辆ModelS后驱车逃逸，在警方的追捕过程中，该车速度高达时速100英里，最终在与另一辆汽车相撞后冲向街边的路灯灯杆，逃逸车辆撞到灯杆后随即一分为二，后半身牢牢嵌入附近一栋建筑物入口，而前半身则因电池起火发生爆炸。从申请时间来看，占宝生是中国商标网查询结果中最早对英文“TESLA”商标提出申请的人。2006年9月6日，占宝生以个人名义首次对“TESLA”商标进行注册，申请号5588947。2009年6月28日，“TESLA”商标申请注册成功，占宝生成为合法拥有人。占宝生于2007年5月18日及2009年4月2日又分别对“特斯拉”和“TESLAMOTORS”两个商标进行申请注册，申请号为6055503和7298183。目前这两个商标处于“异议复审待审”状态。2006年12月30日，一个名叫乔伟伟的人曾以个人名义申请了一个商标，其中包含“TESLAMOTORS”、“特斯拉”以及图片三种元素，注册号5819809。该商标中虽然包含了和占宝生申请的“TESLA”商标相似的元素，但仍于2010年1月21日被核准通过。乔伟伟于2013年5月6日成功将该商标转让给特斯拉发动机有限公司，即Tesla公司，注册地址也随即变更为美国加州帕洛阿图鹿小溪路3500号。也就是说，Tesla公司目前也拥有一个受法律保护的Tesla相关商标，只不过这个商标有近似嫌疑，并且申请时间晚于占宝生。2014年4月，在电动车制造商Tesla的CEO埃隆·马斯克（ElonMusk）访华前夕，一场由23名来自中国大陆非京沪地区的Tesla“准车主”掀起了一场却因对交车顺序不满的集体“维权”行动，且愈演愈烈。这些Tesla在华的预订用户称：Tesla或没有按照应有的“既定顺序”交车，一些较晚订车的北京和上海用户已经被通知可以提车，而其它地区较早下订单的用户仍在等待。据媒体报道，23名用户委托律师起草的律师函已发送给拓速乐汽车销售（北京）有限公司（Tesla在中国的销售实体）和Tesla首席财务官DeepakAhuja。律师函中指称：Tesla在客户不知情情况下，违背承诺擅自单方面改变交车顺序，未履行交车义务，构成“虚假承诺”，涉嫌对消费者欺诈。一位首批预订特斯拉、但迟迟还没有拿到车的车主说，6月18日中午得到特斯拉中国销售的通知，他预订的ModelS在天津港清关时，发现关单号和车架号不符合，车辆已经被扣在海关。不符的单号需要返回美国总部重新报关，花费至少三个星期的时间再重新入关。这样算来，预计最快也要等到下个月中旬才能交付车主。媒体多次尝试联系特斯拉中国传播总监杨淑婷，但电话处于无人接听的状态，特斯拉服务中心的电话则因为是在非工作时间，也无人接听。媒体又联系到特斯拉商店与展厅，但工作人员表示并不清楚。2014年6月27日上午，在特斯拉亦庄维修站，被无数人追捧的特斯拉，在愤怒的维权车主于鑫泉手上瞬间变成了不堪入目的“破车”。为了争做第一批特斯拉车主，于鑫泉与其他维权车主一样，于2013年10月交了25万元定金订购了ModelS之后，但在今年4月份临交车前，他发现自己并不在首批提车的车主范围之列，于是与其他同样“遭遇”的车主一起进行了维权。最后特斯拉销售建议于鑫泉提取展车，并称展车与新车没有任何区别。然而于鑫泉表示，自己坚决不能要一辆二手车，并最终提车当天砸车。2014年7月15日，360在报告中称，TeslaModelS型汽车应用程序流程存在设计缺陷，利用漏洞可远程控制车辆，实现开锁、鸣笛、闪灯、开启天窗等操作，并能够在车辆行驶中开启天窗。此前有国外媒体报道，有黑客利用特斯拉的6位数密码实现对汽车的远程操控，但对智能汽车发起攻击的技术门槛仍然很高。对此特斯拉此回应称，对于报告的任何合法漏洞会调查，并采取快速行动进行应对和修复。同时特斯拉公司宣布，如果安全专家能够发现电动车的漏洞，将会重奖一万美元。负责特斯拉汽车安全漏洞的高管表示，特斯拉公司至少已经修补了外界发现的一个汽车安全漏洞。2014年8月，美国黑客大会DefCon在拉斯维加斯召开，特斯拉也来到大会现场，招募优秀的黑客人才加盟公司，同时对外发布奖励政策，邀请黑客高手，发现特斯拉电动车的安全漏洞。特斯拉计划招募20到30名优秀黑客——即信息安全技术专家，加盟特斯拉公司，专门解决特斯拉电动车的信息安全风险。内华达州里诺(Reno)当地日报《RenoGazette-Journal》报道称，美国电气工业工会TheInternationalBrotherhoodofElectricalWorkers在求职布告栏中称，特斯拉超级电池工厂建设项目规模已经缩减80%，电工职位的需求将发生变化。3月7日特斯拉发言人亚历克斯·乔治森(AlexisGeorgeson)否认延期并在一份电邮中称：“该项目正在推进中，超级电池工厂依然在按计划建设。”特斯拉上月表示，超级电池工厂将在今年安装设备，2016年开始生产电池组。特斯拉在英国遭起诉：被指破坏对手充电站建设协议。

我的电脑被黑客攻击了咋办。

黑客入侵电脑的方式主要有如下: 1、隐藏黑客的位置 : 典型的黑客会使用如下技术隐藏他们真实的IP地址:

利用被侵入的主机作为跳板;

在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。 更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。 使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。 2、网络探测和资料收集: 黑客利用以下的手段得知位于内部网和外部网的主机名。 使用nslookup 程序的ls命令;

通过访问公司主页找到其他主机;

阅读FTP服务器上的文挡;

联接至mailserver 并发送 expn请求;

Finger 外部主机上的用户名。 在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。 3、找出被信任的主机: 黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。 下一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。

Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。 黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。 分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。 4、找出有漏洞的网络成员: 当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。 所有这些扫描程序都会进行下列检查:

TCP 端口扫描;

RPC 服务列表;

NFS 输出列表;

共享(如samba、netbiox)列表;

缺省账号检查;

Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。 进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。

如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。

5、利用漏洞: 现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。 黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。 6、获得控制权: 黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。 他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网。 7.窃取网络资源和特权: 黑客找到攻击目标后,会继续下一步的攻击,步骤如下:

(1)下载敏感信息 (2)攻击其他被信任的主机和网络 (3)安装sniffers (4)瘫痪网络

断网的时候 ，为什么 还是会 有 360木马防火墙提醒 发现程序正在修改开机启动项 ？

360对于一般的用户已经足够了 你又没有什么商业机密 黑客为什么要来攻击你

楼上的多半小说看多了

黑客不会去篡改什么开机启动项 就算篡改也不会让360发现

你当时是不是在安装什么软件 或者还原什么设置

你看看开机启动项里有什么软件 禁止开机启动就可以了

开机启动项又不是重要的地方 一般不是恶意的插件 软件 360都会通过的

电脑有漏洞要不要修 有人说修的会卡真的？

科技名词定义中文名称：漏洞英文名称：hole 定义：系统中的安全缺陷。漏洞可以导致入侵者获取信息并导致不正确的访问。 应用学科：通信科技（一级学科）；网络安全（二级学科） 以上内容由全国科学技术名词审定委员会审定公布

求助编辑百科名片 漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel 

Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

目录

释义概况漏洞的分类

1、软件编写存在bug

2、系统配置不当

3、口令失窃

4、嗅探未加密通讯数据

5、设计存在缺陷

6、系统攻击

最新释义漏洞危害详谈展开释义 

概况 

漏洞的分类 

1、软件编写存在bug 

2、系统配置不当 

3、口令失窃 

4、嗅探未加密通讯数据 

5、设计存在缺陷 

6、系统攻击

最新释义 

漏洞危害详谈展开

编辑本段释义词目：漏洞拼音：lòu dòng基本解释1. [hole；leak； leakage]∶小孔或缝隙堵塞漏洞。2. [flaw；weak points；hole； 

loophole]∶法律、法令、条约或协议中制订得不周密的地方,破绽要堵住立法中的明显漏洞。详细解释1. 缝隙；小孔。 明 陆深《停骖录摘抄》：“左手关脉滑而缓，肝第四叶有漏洞，下相通。” 赵自《第二双眼睛》：“可以根据水流的方向，摸到进水的漏洞。”2. 破绽，不周密之处。 茅盾《霜叶红似二月花》五：“想来 王伯申 也很精明，这件事他一定另有布置，漏洞是早已补好了的。” 周而复《上海的早晨》第四部十三：“总经理想的实在周密极了，一点漏洞也没有。”编辑本段概况一、 漏洞与具体系统环境之间的关系及其时间相关特性漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。 漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。 

同时应该看到，对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪，就没有谈论系统安全漏洞问题的发言权，即使是以前所作的工作也会逐渐失去价值。 

二、漏洞的危害及防范漏洞的存在，很容易导致黑客的侵入及病毒的驻留，会导致数据丢失和篡改、隐私泄露乃至金钱上的损失，如：网站因漏洞被入侵，网站用户数据将会泄露、网站功能可能遭到破坏而中止乃至服务器本身被入侵者控制。目前数码产品发展，漏洞从过去以电脑为载体延伸至数码平台，如手机二维码漏洞[1]，安卓应用程序漏洞[2]等等...随着漏洞危害的逐步扩大，人们应该提高安全意识，留意最新漏洞信息，漏洞信息可从网上各大漏洞发布平台获取（如：漏洞吧 bug8[3]），并参考相关信息对其进行防范，避免因漏洞造成自身利益的损害。 三、新装WINDOWS系统必补十大高危漏洞我们常说，系统漏洞是病毒木马传播最重要的通道，不及时安装系统补丁的电脑，将无法阻止被入侵。一个新装的Windows系统，需要安装的补丁可能多达上百个，还有盗版用户会担心安装补丁影响Windows激活。目前，可以帮助用户安装补丁的工具也比较多，不同的软件，推荐安装的补丁列表也会略有差异，到底该怎样安装补丁才科学呢？金山安全专家推荐用户新装系统，必须修补的十大安全高危漏洞：1、紧急安全更新Server 服务中的漏洞(补丁名称KB958644)2、IE0day漏洞，病毒木马通过此漏洞传播，感染量超过1000万（补丁名称KB960714）3、Internet Explorer 7 for Windows XP 安全更新程序(补丁名称KB961260) 4、Internet Explorer for Windows XP 安全更新程序(补丁名称KB963027）5、Internet Explorer for Windows XP 安全更新程序（补丁名称KB969897）6、Windows XP 的 ActiveX Killbit 安全更新程序（补丁名称KB973346）7、Internet Explorer for Windows XP 安全更新程序（补丁名称KB972260）8、Windows XP 安全更新程序 

(补丁名称KB971633)9、IE极光漏洞（补丁名称KB979352）10、Internet Explorer for Windows XP 安全更新程序 (补丁名称KB978207) 四、安全漏洞与系统攻击之间的关系系统安全漏洞是在系统具体实现和具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。漏洞虽然可能最初就存在于系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。系统攻击者往往是安全漏洞的发现者和使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。 

系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法，对于有针对性的理解系统漏洞问题，以及找到相应的补救方法是十分必要的。 五、常见攻击方法描述系统攻击是指某人非法使用或破坏某一信息系统中的资源，以及非授权使系统丧失部分或全部服务功能的行为。通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步，其中的远程攻击技术得到很大发展，威胁也越来越大，而其中涉及的系统漏洞以及相关的知识也较多，因此有重要的研究价值。编辑本段漏洞的分类苍蝇不盯无缝的蛋，入侵者只要找到复杂的计算机网络中的一个缝，就能轻而易举地闯入系统。所以了解这些缝都有可能在哪里，对于修补它们至关重要。通常裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。1、软件编写存在bug无论是服务器程序、客户端软件还是操作系统，只要是用代码编写的东西，都会存在不同程度的bug。Bug主要分为以下几类：(1) 、缓冲区溢出：指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串，超过的部分通常就是入侵者想要执行的攻击代码，而程序编写者又没有进行输入长度的检查，最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。别以为为登录用户名留出了200个字符就够了而不再做长度检查，所谓防小人不防君子，入侵者会想尽一切办法尝试攻击的途径的。(2)、意料外的联合使用问题：一个程序经常由功能不同的多层代码组成，甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容，以达到窃取信息的目的。例如：对于由Perl编写的程序，入侵者可以在程序的输入项目中输入类似“mail/etc/passwd”的字符串，从而使perl让操作系统调用邮件程序，并发送出重要的密码文件给入侵者。借刀杀人、借Mail送“信”，实在是高!(3) 、不对输入内容进行预期检查：有些编程人员怕麻烦，对输入内容不进行预期的匹配检查，使入侵者输送炸弹的工作轻松简单。(4)Raceconditions：多任务多线程的程序越来越多，在提高运行效率的同时，也要注意Raceconditions的问题。比如说：程序A和程序B都按照“读/改/写”的顺序操作一个文件，当A进行完读和改的工作时，B启动立即执行完“读/改/写”的全部工作，这时A继续执行写工作，结果是A的操作没有了表现!入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的，所以，编程人员要注意文件操作的顺序以及锁定等问题。2、系统配置不当(1) 、默认配置的不足：许多系统安装后都有默认的安全配置信息，通常被称为easy to use。但遗憾的是，easy to 

use还意味着easy to break in。所以，一定对默认配置进行扬弃的工作。(2)、 管理员懒散：懒散的表现之一就是系统安装后保持管理员口令的空值，而且随后不进行修改。要知道，入侵者首先要做的事情就是搜索网络上是否有这样的管理员为空口令的机器。(3) 、临时端口：有时候为了测试之用，管理员会在机器上打开一个临时端口，但测试完后却忘记了禁止它，这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略是：除非一个端口是必须使用的，否则禁止它!一般情况下，安全审计数据包可用于发现这样的端口并通知管理者。(4) 、信任关系：网络间的系统经常建立信任关系以方便资源共享，但这也给入侵者带来借牛打力、间接攻击的可能，例如，只要攻破信任群中的一个机器，就有可能进一步攻击其他的机器。所以，要对信任关系严格审核、确保真正的安全联盟。3、口令失窃(1) 、弱不禁破的口令：就是说虽然设置了口令，但却简单得再简单不过，狡猾的入侵者只需吹灰之力就可破解。(2) 、字典攻击：就是指入侵者使用一个程序，该程序借助一个包含用户名和口令的字典数据库，不断地尝试登录系统，直到成功进入。毋庸置疑，这种方式的关键在于有一个好的字典。(3) 、暴力攻击：与字典攻击类似，但这个字典却是动态的，就是说，字典包含了所有可能的字符组合。例如，一个包含大小写的4字符口令大约有50万个组合，1个包含大小写且标点符号的7字符口令大约有10万亿组合。对于后者，一般的计算机要花费大约几个月的时间才能试验一遍。看到了长口令的好处了吧，真正是一两拨千斤啊!4、嗅探未加密通讯数据(1)、共享介质：传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看该网段上的通讯数据，但是如果采用交换型以太网结构，嗅探行为将变得非常困难。(2)、服务器嗅探：交换型网络也有一个明显的不足，入侵者可以在服务器上特别是充当路由功能的服务器上安装一个嗅探器软件，然后就可以通过它收集到的信息闯进客户端机器以及信任的机器。例如，虽然不知道用户的口令，但当用户使用Telnet软件登录时就可以嗅探到他输入的口令了。(3)、 远程嗅探：许多设备都具有RMON(Remotemonitor，远程监控)功能以便管理者使用公共体字符串(publiccommunitystrings)进行远程调试。随着宽带的不断普及，入侵者对这个后门越来越感兴趣了。5、设计存在缺陷(1) 、 TCP/IP协议的缺陷:TCP/IP协议现在已经广为应用、但是它设计时却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此，存在许多不足造成安全漏洞在所难免，例如smurf攻击、ICMPUnreachable数据包断开、IP地址欺骗以及SYNflood。然而，最大的问题在于IP协议是非常容易“轻信”的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。现在Ipsec协议已经开发出来以克服这个不足,但还没有得到广泛的应用。6、系统攻击系统攻击是指某人非法使用或破坏某一信息系统中的资源，以及非授权使系统丧失部分或全部服务功能的行为。通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步，其中的远程攻击技术得到很大发展，威胁也越来越大，而其中涉及的系统漏洞以及相关的知识也较多，因此有重要的研究价值。编辑本段最新释义漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用，从而对一个组织的资产或运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看，应用软件中的漏洞远远多于操作系统中的漏洞，特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。漏洞发现是攻击者与防护者双方对抗的关键，防护者如果不能早于攻击者发现可被利用的漏洞，攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞，信息安全事件发生的可能性就越小。专业漏洞扫描系统是一种发现漏洞的重要手段，它能自动发现远程服务器端口分配，判断所提供服务，并检测远程或本地主机安全弱点的系统。发现漏洞后，还要进一步通过自动或手动的漏洞验证来检验漏洞扫描结果的准确性。信息系统的运行维护人员应定期进行漏洞扫描，及时发现并快速修复漏洞。编辑本段漏洞危害详谈如今，在病毒肆虐、黑客无处不在的网络环境里，软件的安全性已成为一个备受关注的话题。传统的软件安全性关注的主要在于权限与角色的管理，如访问控制，或是数据的机密性与完整性，如加密解密。但是一个软件系统在应用了这些安全措施之后就能确保其万无一失了吗?答案似乎并不那么简单，其中一个重要(甚至可以说致命)的问题在于软件系统中的漏洞。常常在一个看似牢不可破的系统中，仅仅是因为存在一个小小的漏洞，导致整个安全体系被黑客轻易地攻破，整个系统的控制权彻底丧失。所谓漏洞，通常是指软件中存在的一些bug，但这种bug又不同于普通软件测试中的bug。普通软件测试中的bug指的是功能性或逻辑性的错误，如对话框弹出出错、系统执行某功能失败等。这些bug影响的只是用户的使用体验，并不对系统的安全构成威胁。而软件的安全漏洞指的是某些别有用心的用户非正常的使用软件，让软件执行一些自己精心设计的恶意代码，或解析畸形文件，当软件中存在安全漏洞的时候，程序的正常执行流程被改变，从而达到获取系统的控制权或窃取机密数据的目的。下面仅以数据库为例，作为说明。数据库系统是在操作系统平台之上的最重要的系统软件，数据库系统的安全可以说是十分重要的。曾经有句话这样说：如果网络遍地是金钱，那么金钱就在数据库服务器中。随着无纸化业务环境的不断扩大，人们在数据库中存储着越来越多的敏感信息：银行账户、医疗记录、政府文件、军事机密等等，数据库系统就成为越来越有价值的攻击目标，因此确保数据库系统的安全也越来越重要。作为一种大型的系统软件，数据库系统中也存在着各种各样的安全漏洞，其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。而网络数据库系统尤甚，尤其是一些网络游戏的数据库，下面就以网络游戏天龙八部点卡充值数据库漏洞TL010511为例，说明系统漏洞的可怕性。1.缓冲区溢出缓冲区溢出是一种很常见也很古老的安全漏洞。早在上个世纪80年代，缓冲区溢出就已经为人所知，但时至今日，大量的缓冲区溢出漏洞仍被发现。最著名的Morris蠕虫就是利用Unix系统上fingerd程序的缓冲区溢出漏洞。在Oracle 9i发布之初，Oarcle公司曾宣称他的数据库是“ unbreakable 

”的，但不到几个月的时间，就暴出Oracle 9i中oracle.exe、XDB等程序存在多个缓冲区溢出漏洞。在C语言中最常见的缓冲区就是字符数组，而操纵字符数组的函数有gets、strcpy、sprintf等。这些函数在执行字符串拷贝的过程中没有对字符串进行长度检查，这样就很容易发生超长的字符串溢出缓冲区的情况。当初这样设计是出于效率的考虑，但现在看来，这些函数的使用已成为C语言软件脆弱的一个重要因素。如果程序员没有良好的编程习惯，时刻注意函数调用过程中是否拷贝了超过缓冲区长度的字符串，那么缓冲区溢出就不可避免。对于一个有缓冲区溢出漏洞的程序，当普通用户输入超长字符串时，通常只会使该程序崩溃。例如对于下面一小段代码：/* vulprog */#includeint main(int argc , char * argv[]){char buff[8];strcpy(buff, argv[1]);}如果用户执行 ./vulprog AAAAAAAAAAAAAAAA，在Linux上会出现段错误，因为用户输入了超长的字符串，除了填满了缓冲区，还覆盖了其他一些程序正常退出所需要的数据。为了研究这个问题，就需要了解Linux系统中进程的内存空间。在Linux系统中，2G～3G的内存地址是普通用户进程的加载空间，其内存布局如下图所示：

图例

从图中可以看出栈结构是从高地址增长到低地址，而进行函数调用时系统所作的“序幕”工作就是将函数的返回地址和EBP压栈，再将ESP赋给EBP使其成为局部基指针，最后ESP减去一定的值为局部变量留出空间。这样当程序将过长的字符串拷贝到缓冲区时就会依次覆盖EBP和返回地址。当用AAAA覆盖返回地址，函数退栈时系统就将0x41414141(A的16进制ASCII码)赋给EIP去执行，由于是一个非法的内存地址，故程序崩溃。但如果用一个实际存在的地址覆盖返回地址，那么程序就转而去执行该地址处的指令，通常黑客会在这个地址植入所谓的shellcode，由shellcode产生一个shell，如果被攻击程序设置了suid位，那么产生的shell就是root 

shell，黑客也就获得了系统的最高控制权，这一过程就是基本的缓冲区溢出攻击。覆盖函数的返回地址是比较常见的攻击方式，但缓冲区溢出攻击的手法是灵活多样的，往往在编程中的一个小小纰漏就可能导致被攻击，下面简单介绍一下几种较为高级的攻击方式。(1)通过覆盖函数指针进行攻击：/* vulprog */int main(int argc , char * argv[]){void (* fp)(char *) = (void (*)(char *))puts;char buff[256];strcpy(buff,argc[1]);fp(argc[2]);exit(1);}上面这个程序在执行拷贝时没有检查边界，这样用户数据就有可能覆盖函数指针fp，如果用shllcode的地址去覆盖fp，那么函数指针调用时就会去执行shellcode。这种覆盖函数指针的方式是一种较直接的覆盖方式(因为函数指针就在缓冲区上面)，还有一种间接的覆盖方式，就是当函数指针不直接在缓冲区上面时，通过覆盖另外一个指针来覆盖函数指针，再将shellcode的地址填充函数指针。(2)通过覆盖 .dtors区地址进行攻击：/* vulprog */int main(int argc ,char * argv[]){char * pbuf = malloc(strlen(argv[2])+1);char buff[256];strcpy(buff,argv[1]);strcpy(pbuf,argv[2]);exit(1);}虽然这个程序没有函数指针，但在执行第二个拷贝时，可以将任意的数据拷贝到任意的地址中(这个地址由第一个拷贝指定)，这时就可以选择用 

.dtors区的地址覆盖指针pbuf，在执行第二个拷贝时将shellcode的地址拷贝至.dtors区，那么在函数退出时shellcode就会被执行。 由此可见，漏洞的危害可大可小！

电脑的漏洞就是程序的bug，有严重的和不严重的，漏洞可被人利用造成计算机的硬件损坏或是个人的资料或财物被盗取，成为别人的傀儡肉鸡等。本来想把网址复制给你的，但是复制的网址会暴漏个人一些信息所以只能把文章复制给你，有时多收索几个词就会找到你需要的东西的。

成了肉鸡该怎么办.?

禁鸡！检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马

天涯 (2007年5月14日 第19期)

木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。

小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。

第一招：系统进程辨真伪

当前流行的木马，为了更好地对自身加以隐藏，使用了很多方法进行自身隐蔽，其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。

自检方法

黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。

另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。

除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。

在这里树树建议大家使用IceSword（下载地址：http://download.cpcw.com）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。

进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。

图1

另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。

应对方法

在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]

第二招：启动项中细分析

一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。

检方法

运行安全工具SysCheck（下载地址：http://download.cpcw.com），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。

点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。

图2

通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。

应对方法

进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。

第三招：系统钩子有善恶

木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。

自检方法

通过游戏木马检测大师（下载地址：http://download.cpcw.com）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前网络中流行的主流木马。

点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。

图3

这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用QQ等需要输入密码的程序。

应对方法

清除方法比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。

重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。

第四招：数据包里藏乾坤

现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。

自检方法

同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。

我们关闭其他一切会扰乱网络数据捕捉的程序，然后去除“只捕获smtp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。

根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种方法需要一定的相关知识，这里就不再叙述了。

图4

应对方法

对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：http://download.cpcw.com），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。

在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。

常见木马以及病毒专杀工具

在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。

灰鸽子专杀工具

瑞星：http://download.rising.com.cn/zsgj/GPDetect.exe

熊猫烧香专杀工具

金山：http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT

麦英病毒专杀工具

江民：http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

威金病毒专杀工具

江民：http://download.jiangmin.info/jmsoft/VikingKiller.exe

-------------------------------------------------------------------------------------------------------------------

当心PC变成“肉鸡”——巧用WinRAR来抓鸡

湖南 王强 (2007年9月10日 第36期)

所属主题：抓鸡系列

杀伤力值：★★

操作难度：较低

适合读者：普通读者

WinRAR已经成为用户电脑中必装的软件，可你想过黑客会利用它来抓鸡吗？这是真的，只需一个小小的WinRAR漏洞利用程序，就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一，我们应该如何防范呢？下面我们就来揭开谜底。

小知识：抓鸡是黑客常用术语，意思是指主动通过某些程序（如木马程序或远程控制程序的客户端）或技术手段控制用户的PC机，被控制的PC机称之为肉鸡。

为什么要用WinRAR漏洞抓鸡

网络上流传有很多可执行文件捆绑工具，这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序，并且可以进行简单的伪装，但是其原理却决定了其不可能成为完美的捆绑工具，目前主流的杀毒软件都可以轻易地将它清除掉。

而用WinRAR漏洞捆绑木马来抓鸡就很有优势，因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的（大部分捆绑程序检测工具用的就是这个原理），但是这条不适合这个漏洞。

小提示：该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误，而若将一个经处理后文件改为长文件名并附加成LHA文件，再调用相应参数生成新的压缩包后，被WinRAR打开的时候就会导致本地缓冲溢出。

当用户点击压缩包时会出现错误提示（图1），这时木马程序就已经悄悄运行了，肉鸡就到手了。所以如果我们用这个漏洞来抓鸡，成功率是十分高的，比原始的3389端口抓鸡的成功率高多了。

图1

如何用WinRAR漏洞抓鸡

Step1：将WinRAR的利用程序放到任意目录中，例如C盘根目录。

Step2：单击菜单中“开始→运行”命令，输入“cmd”运行“命令提示符”。将光标切换到“c：”，输入“rar.exe”查看利用程序的使用方法。其使用方法为：“rar [选项] ”。

其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置，可以不输入，有需要的话可以添加相应的“选项”。

Step3：将配置好的木马服务端程序也放到C盘根目录，并命名为123.exe。在“命令提示符”中输入命令：“rar 123.exe”，如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了（图2）。

图2

Step4：最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人，当对方运行这个WinRAR文件时，将会出现错误，但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡（图3）。

图3

不过要充分利用这个漏洞，光靠触发漏洞是不够的，木马的配置也很重要，例如要设置运行后删除自身，安装服务端时不出现提示等，这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示，是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀，例如加壳处理和修改特征码等，否则被杀毒软件检测出来岂不前功尽弃。

小提示：运行漏洞利用工具时请先关闭杀毒软件，因为杀毒软件会把它当作黑客工具给清除掉。

防范技巧

1.不要运行陌生人发过来的文件。这是老生常谈的问题了，只不过以前只针对可执行文件，现在连WinRAR也不能轻易运行了。

2.识别恶意的WinRAR文件。在运行WinRAR文件之前，我们可以先对其进行检查，确定无危害后再运行，检查的方法为：右键单击WinRAR文件，在菜单中如果没有“用WinRAR打开 ”这一项，则说明压缩包有异常，不要轻易打开！

3.升级WinRAR到3.7以上的版本，新版本打开虽仍会提示出错，但木马程序不会运行。

攻防博弈

攻 黑客：虽然很多人都有给系统打补丁的习惯，但会给应用软件升级的人少之又少，所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中，将大大增加抓到的肉鸡数量。抓鸡的方法多种多样，我们还可以用135端口来抓安全意识不强的鸡。

防 编辑：系统软件的漏洞可以通过自动更新来解决，而工具软件的漏洞只能通过经常关注一些专业媒体的提醒，定期升级程序来解决。同时养成良好安全习惯，不接收不下载来路不明的压缩文件才是最好的防范方法！至于135端口抓鸡，只要我们关闭了端口，调高了防火墙的安全等级就不用惧怕。

-----------------------------------------------------------------------------------------------------------------------

小心端口招蜂引蝶——防范用135端口抓鸡的黑手

万立夫 (2007年9月17日 第37期)

新学期到了，许多学生都要配机，新电脑的安全防卫做好了吗？能不能拒绝成为黑客的肉鸡？令人遗憾的是，很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口，一旦黑客利用135端口进入你的电脑，就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢？下面我们就为大家来揭开谜底。

小知识：每台互联网中的计算机系统，都会同时打开多个网络端口，端口就像出入房间的门一样。因为房间的门用于方便人们的进出，而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样，网络端口也可以招来很多不速之客。

一、为什么135端口会被利用来抓鸡

如今，大多数黑客都使用网页木马来捕捉肉鸡，为什么还有一些黑客老惦记着135端口呢？主要原因有两个：

一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务，因此利用它入侵不但不会引起用户注意还很方便，只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口，因此WMI入侵也被称之为135端口入侵。

另外一个原因是135端口开放的机子实在不少，这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是，连3389这样危险的端口也可以在网络上搜出不少。

小知识：WMI服务是“Microsoft Windows 管理规范”服务的简称，可以方便用户对计算机进行远程管理，在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作，而WMI服务是利用命令行操作而已。

WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的，而且是系统重要服务，这样就为入侵提供了便利。正是由于它可以进行远程控制操作，因此系统的安全性也就随之下降，因此被称之为永远敝开的后门程序。

二、黑客是怎么利用135端口抓鸡的

Step1：黑客入侵的第一步就是扫描网络中开启了135端口的远程系统。扫描使用的工具有很多，这里使用的工具是常见的《S扫描器》（下载地址：http://www.cpcw.com/bzsoft/），因为它的扫描速度非常快。单击开始菜单中的“运行”命令，输入“cmd”打开命令提示符窗口，然后输入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（图1）。

图1

前面和后面的IP地址表示扫描的开始和结束地址，后面的135表示扫描的端口，100表示扫描的线程数，数值越大表示速度越快。需要特别说明的是，很多Windows系统默认限制线程为10，我们需要利用修改工具改调这个限制才行。

小提示：例如我们打开《比特精灵》的安装目录，运行其中的BetterSP2.exe，在弹出窗口的“更改限制为”选项中设置为256，最后点击“应用”按钮并且重新启动系统即可。

Step2：从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt，对文本文件中多于的信息进行删除，只保留和IP地址相关的内容。接着运行破解工具NTScan（下载地址：http://www.cpcw.com/bzsoft/），它可以对远程系统进行破解（图2）。

图2

在NTScan窗口中的“主机文件”中设置IP地址文件，选中WMI扫描类型，然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作，破解成功的主机地址都保存在NTScan.txt中。

Step3：现在利用Recton这款工具来上传我们的木马程序（下载地址：http://www.cpcw.com/bzsoft/）。点击窗口中的“种植”标签，在NTScan.txt中寻找一个地址，接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项，并在“文件目录”设置木马程序的网页链接地址，最后点击“开始执行”按钮即可（图3）。

图3

这样木马程序就利用135端口上传到远程主机，并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予，因此它的隐蔽性和成功率都非常高，并且适何肉鸡的批量捕捉，但是上传的木马程序一定要经过免杀处理才行。

小提示：运行黑客工具的时候需要先关闭杀毒软件，因为杀毒软件会把它们当作病毒给清除掉。

三、防范技巧

1.利用网络防火墙屏蔽系统中的135端口，这样就让黑客入侵从第一步开始就失败。除此以外，像139、445、3389这些端口也是我们要屏蔽的端品。

2.增强当前系统中管理员的账号密码的强度，比如密码至少设置6位以上，并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码，这样即使是扫描到我们的135端口也无济于事。

3.安装最新版本的杀毒软件，并且将病毒库更新到最新，这个已经是老生常谈的问题。如果有可能的话，用户最好使用带有主动防御功能的杀毒软件。

攻防博弈

攻 黑客：利用135端口的确可以捕捉到大量肉鸡，不过要花费比较多的时间。随着操作系统的不断更新，以及人们对135端口进行防范的加强，这种方法已经逐渐菜鸟化，真正的高手不屑一顾。黑客抓鸡的方法有很多，比如我们还可以利用迅雷进行捆绑木马的传播，这是个较流行的抓鸡方法。

防编辑：既然黑客利用135端口入侵，我们只要将相关功能进行禁止，或加以限制就可以了。另外，对于黑客使用迅雷进行捆绑木马的传播，除了在下载的过程中利用迅雷的安全功能进行检测以外，还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马，只要运行就会被拦截并且提示用户注意。

----------------------------------------------------------------------------------------------------------------

Ps：以上内容引自电脑报

（不必恐慌，积极应对解决才是上策）

在家上网 偶尔中了木马病毒 网游和QQ的帐号密码会被盗吗?

有被盗的可能,木马有很多种,有的专门盗取游戏帐号,有的盗取QQ帐号,还有的木马可以把你的电脑变成肉鸡,但是不管你中的木马是否会盗你的帐号都要清除该木马,因为那必定不是什么善意的程序.

建议:下载清除木马的软件,清除后立即更换你的网游或QQ等系列密码

1、什么是木马？

荷马史诗中描述一位名为Hellen的希腊皇后被风流倜傥的特洛伊王国的王子巴德里诱骗回国，于是希腊国王派兵攻打特洛伊城，此番战争打了十年，却始终无法攻陷特洛伊城，于是想出一条计策，制作一匹大木马，里面藏满全副武装的士兵，留下木马后徉装撤退，特洛伊人果然上当，以为希腊人已退兵，当晚就便把木马拉进城中，打算来一个欢天喜地的庆功宴。谁知，就在大家兴高采烈喝酒庆功之际，木马中的精锐部队早已暗中打开城门，一举来了个里应外合的大抢攻！顿时，一个美丽的城市变成了一堆瓦砾、焦土、毁灭于历史中……。此即著名的特洛伊战争，也就是木马屠城记，亦称特洛伊木马(Trojan Horse)的典故。

我们所要谈的当然不是这个希腊故事，但我们要谈的木马(也称“特洛伊木马”)，原理跟这个故事差不多(所以称之为木马啦！)。所谓的木马程序其实就是一种远程控制程序，它会有一个Client(客户)端程序(由发木马的人控制)，一个Server(服务器)端程序给不明真相者运行，只要同时在线就能通过Client端程序来控制对方的计算机。其做法也就是首先把木马伪装成有用的程序，通过和其他应用程序(比如外挂)结合，或是和图片、声音结合，然后诱惑你下载或直接寄给你，当你运行后，木马就会在每次开机时自动运行，对方就通过木马在你电脑中打开的一个秘密端口(port)用Client端连上你的电脑。

2、木马不是病毒

木马和病毒的根本区别是木马程序没有复制能力，而病毒会复制、传染。木马入侵后会地为你修改注册表、放置后门程序(也就是打开一个port)、开机驻入内存，但是不会马上发作，电脑也依旧平静如初，然而是一颗随时可能引爆的炸弹。

4、木马的功能与作用

不管以前你认为木马有多么神秘，其实木马程序就是一个网络上的Client/Server的概念。以下简单介绍一些木马程序的功能：

1、远程监控

可以控制对方的鼠标、键盘和监视对方屏幕。

2、记录密码

至于如何记录，下面再具体解释。

3、取得电脑主机的信息资料

如果你在电脑用户账户填上真名的话，对方就可能知道你的姓名了。

4、远程控制

也就是你能做到的，对方也能做到。

5、发送信息

要是对方哪天想和你聊聊的话。

5、木马是如何盗号的

当用户登陆到九城的服务器时，会有一个专门的程序负责用户登陆并向服务器发送确认ID的请求(具体在哪个文件我不知道)，显然，在这个程序中包含了用户账号密码的资料，那么，针对为盗取MU用户ID而设计的木马程序先会截取这个文件，再由木马程序来显示那个登陆界面，等你输入了帐号密码后，HOHO~~，木马就偷到了，然后按照入侵者的指定存放在某个目录下(可见，仅仅阻止非法邮件发送还是防不胜防的)，或者直接寄回给入侵者(目前此法较多，大家可以通过禁用stmp端口??负责发送邮件的port来防范)。

6、木马如何进入我们的电脑

小偷要到你家偷东西，一般不会走正门，而是选择通过阳台、窗户进入。这里的“正门”指你电脑的IP地址，“阳台、窗户”就是电脑上网开启网络服务的端口(port)。如果把网络形容为道路的话，端口就相当于路上的各条行车道，有的走汽车，有的走自行车，有的只能行人，这样网路上运行的有秩序，不会乱。那么除了我们常用的http、stmp、pop3、ftp等服务端口，电脑“黑客”会通过木马直接在你的电脑上放置一个后门程序(Backdoor)，只要你运行了这个程序，你的电脑已经是为“黑客”开启了一道大门。于是，他就可以通过这个大门大摇大摆地进来。

7、如何检查和清除木马？

并不是所有的木马程序都能被杀毒软件检测到，即使是扫除木马的工具也只能扫除一些常见的木马而已，最主要的防止方法就是预防。对于MU玩家来说，就是要格外小心外挂程序，因为许多外挂程序都藏匿了木马。避开木马的最好方法就是不用外挂。

另外，还要注意以下几点：

1.小心exe文件

小心一些扩展名为.exe的文件(最好解除隐藏扩展名的设置，方法为：在资源管理器中选择“查看”选项，解除隐藏扩展名的设置)，因为木马程序的扩展名一定是“.exe”。

2.用netstat -a来查看端口

端口是木马的生命之源，没有端口它就无法和外界通信，更不要说远程控制了。先切换到MS-DOS方式，在C：提示符后键入netstat -a就可以将当前电脑中所有连接端口的情况列出，如果发现有异常的端口开启，就很有可能是一个“后门”。

3.检查注册表和系统文件

由于木马有开机后自动运行的特性，而自动运行就必须在系统中作一些更改，这些更改一般在注册表和系统文件中可以发现。检查Registry-Run，“开始”→“运行”，键入regedit，进入注册表编辑器，到HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun中查看是否有不应该自动运行的程序，有的话就要删除那些字符串，木马程序就不能自动运行了。

检查Win.ini,用记事本打开C:Windowswin.ini这个文件。其中“load= run=”后都应为空，如果有run=xxxx.exe，就尽快删除它们。

检查system.ini,用记事本打开C:Windowssystem.ini。检查shell=Explorer.exe后有没有xxx.exe,有的话就很可能是木马，删！

4.通过一些防木马软件比较有名的防护程序有：Tauscan,Lockdown2000,Pview,NetSentry等等，大家看着用吧