qq3250845

杀毒软件当然是我们电脑的第一道屏障，但是这道屏障并非 100% 可靠，以前就算病毒冲破了杀毒软件的防线，总有 GHOST 殿后，只要用镜像恢复一下就好了，但现在的病毒木马早已盯上了 GHOST ，它们会破坏 GHOST 镜像文件。被破坏的 GHOST 文件或者不能恢复，或者恢复了病毒木马依然还在。所以使用 GHOST 的方法来防御病毒木马已经近乎无用。不过我们可以使用另一种方法来对付这些恶意程序：Returnil Virtual System 虚拟机。

　　Returnil Virtual System 2008 是一款针对个人用户免费的虚拟影子系统，是欧洲著名的安全公司 Returnil SIA 的得力作品。虚拟影子系统的工作原理就是：当可能受到病毒木马等危害程序入侵时，Returnil Virtual System 可以瞬间把您的计算机用隔离罩保护起来，同时用一个内存中的虚假替身“影子”系统来接管真实的操作系统，任何病毒和木马都被限制在虚拟系统中使用，无法感染你真实的操作系统。而你只需要设置一个虚拟分区即可。

　　Returnil Virtual System 2008 虚拟影子系统占用系统资源非常少，支持XP，2003，Vista等操作系统，同时兼容IDE，SATA，CF卡等硬盘设备。新版中加入了 MBR 保护功能，可以在保护系统分区的同时，保护 MBR 和第一磁道的安全。

　　虚拟影子系统现阶段算是一道非常好的防御工具，注重系统安全的网友可以试试，偶也在试用

qq3250845

服务器的攻击分为四类，cc攻击、syn攻击、udp攻击、tcp洪水攻击。那么当被攻击时会出现哪些症状呢，我们是如何来判断服务器是否被攻击，属于哪种攻击类型？

　　第一种类型：CC类攻击

　　A.网站出现service unavailable提示

　　B.CPU占用率很高

　　C.网络连接状态：netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条

　　D.外部无法打开网站,软重启后短期内恢复正常,几分钟后又无法访问。

　　第二种类型：SYN类攻击

　　A.CPU占用很高

　　B.网络连接状态：netstat –na,若观察到大量的SYN_RECEIVED的连接状态

　　第三种类型：UDP类攻击

　　A.观察网卡状况 每秒接受大量的数据包

　　B.网络状态：netstat –na TCP信息正常

　　第四种类型：TCP洪水攻击

　　A.CPU占用很高

　　B.netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条

　　上述所讲到的判断分析，让我们能准确的判断存在的问题是什么，怎么第一时间来解决问题。让我们能更好的维护我们的网站安全。

qq3250845

知己知彼，百战不殆。这句兵家常识在黑客进攻中也很重要。在进行各种黑客行为之前，黑客通常会采取各种手段对目标进行侦察，其中IP地址是最基本的网络信息。那么黑客是如何获取用户的IP地址，用户又是如何通过隐藏IP，让黑客离自己更远一些呢？

　　获取IP

　　“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP;在Internet上使用IP版的qq直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。这是用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP.

　　隐藏IP

　　虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点，譬如：它耗费资源严重，降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件——网络新手IP隐藏器(如图2)，只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和qq泄漏IP的情况。

　　不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。

　　虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

　　另外防火墙也可以在某种程度上使用IP的隐藏，如ZoneAlarm防火墙就有一个隐藏在网上的IP的功能。

qq3250845

在部署安全产品的时候，管理人员往往需要考虑如何在安全与性能之间取得均衡。任何一款安全产品，总会降低现有网络的性能。因为毕竟中间多了一个处理环节。现在的问题是，这个后果是否在用户可以忍受的范围之内?如果明显降低现有应用的性能，那么管理人员就必须对其进行优化。Forefront系统也不例外。在这篇文章中笔者就谈谈性能优化的基本思路及可行的措施。笔者将此总结为四步走。

　　第一步：性能优化规划

　　没有目标的话，大部分事情都干不好。性能优化尤其如此。因为性能优化本来就是一个虚无缥缈的内容。如果没有既定目标的话，就很难办。笔者认为，对于Forefront安全系统来说，性能优化的第一步是制定可以接受的性能基线。

　　如现在有一家企业，他们要部署Forefront系统来保障企业内部网络的安全。在部署之前，最好先对企业的当前网络状况进行一个评估。如这家企业可能上了ERP系统，那么就可以先对这ERP系统的性能进行评估。如用户登录系统的速度、生成一张复杂报表（如安全库存报表）所需要的时间等等。然后在这个基础之上，对上Forefront系统之后的性能指标进行预测。如果部署了Forefront之后系统的性能明显下降，那么就要根据这些指标来对部署后的系统进行性能的优化。

　　总之，在性能优化中，要根据企业的实际情况来制订一条可以被用户所接受的性能基线（至少是大部分用户都可以认同）。如果不这么做，没有定义系统所需功能的性能参数，那么在后续优化的时候，就好像大海捞针，很难找到下手的地方。打一个形象的比喻。这就好像是病人的抽血检验单。单据上一般都有三列内容：指标的名称、指标的标准值、指标的实际值。将实际值与理论值进行对比，医生就可以判断哪个指标有问题。然后再抽丝剥茧的去分析造成这个指标不正常的原因，并找出对应的措施。性能优化跟这个抽血检验是相同的道理。没有一个基线，管理员就很很难确定性能需要优化的区域。为此笔者强烈建议，在性能优化的时候，第一步就是要制定可以接受的性能基线。

　　第二步：对比数据分析性能薄弱环节

　　基线定义完之后，接下去就需要搜集企业实际的性能数据。然后将实际收集到的内容与基线进行对比，找出企业性能的薄弱环节。或者说，对照最佳性能对收集到的性能数据进行评估。在这个步骤中，笔者要强调以下两个问题。

　　一是要将服务器端与客户端分开评估。在收集实际性能数据的时候，大家会发现部署了Forefront系统之后，其对于服务器与客户端的性能影响是不同的。一个比较特例的情况就是系统部署之后，服务器的性能下降了，但是客户端的性能反而上升了。这里面的原因很复杂。总之一个基本的原则，就是客户端与服务器端需要分开评估。只有如此最后得到的结果才会比较切合实际。

　　二是要抓住重点、抓住主要矛盾。笔者认为，相对来说部署Forefront系统这后，对于服务器的影响是最大的。特别是客户端数量一多，每次进行更新（假设从WSUS服务器进行更新），服务器的性能就会明显下降。

　　第三步：性能优化实施

　　以上两个步骤完成之后（薄弱环节与性能评估数据都有了），接下去就可以开药方，进行具体的治疗了。在这一步中，笔者认为可以采取如下措施。

　　一是增加服务器或者客户端的资源。如可以升级服务器的CPU或者内存，来提高计算机的数据处理能力。或者说，将原来的存储系统进行升级，由单块硬盘升级为磁盘阵列。当然，具体的措施还是需要根据第二步的评估结果来。如由于是磁盘的I/O问题所导致的性能下降，就可能需要通过磁盘阵列来解决。

　　二是对内存资源进行规划。如Forefront服务器可能跟其他应用服务部署在同一台主机上。此时不同的服务可能会争夺资源。如当客户端进行升级更新的时候，WSUS服务就会占用比较多的内存。从而就会影响到同一台主机上的其他服务的正常运行。由于客户端更新作业并不是经常发生。为此增加内存虽然可以解决问题，但是投资比较大。在这种情况下，比较合理的做法是对内存资源进行限制。如设置最多运行Forefront服务可以使用的内存，即设置各种服务内存资源使用的上限，以最大程度上保障不同服务的独立性，防止因为某种服务占用了比较多的资源而给其他服务造成不利的影响。

　　三是调整网络系统的相关设置。有时候企业网络的性能可能根源不在于Forefront系统。或者说，Forefront系统其只是一个导火线，将原来就存在的网络性能问题暴露出来了。在这种情下，管理人员就需要深入进行分析。比如有一次笔者给客户部署Forefront系统的时候，就遇到过这种问题。他们上了Forefront之后，视频会议系统就特别的卡。在这之前，视频会议虽然不怎么流畅，但是还可以接受。还好笔者还有思科网络方面的基础。经过分析之后，发现主要是企业网络流量的问题。当用户通过电炉、BT等工具下载软件或者电影的时候，视频就明显会有一卡一卡的现象。为此笔者就对网络参数进行了调整，对流量采取了优先级管理。多媒体信息具有优先通过的权利。通过这个调整之后，问题就解决了。这个案例给魏的提示是，性能优化是一个比较综合的问题。当Forefront在这里扮演的是“导火线”角色时，问题就会变得复杂，因为原因比较难找。在这种情况下，往往需要对网络系统进行相关的调整。

　　第四步：性能优化追踪

　　以上内容完成之后，接下去要做的工作，就是对最后的成果进行评估。也就是说，优化完成一段时间后，如一个星期或者一个月以后，再对企业网络性能的数据进行收集。然后将这个数据与网络性能基线、上次收集到的数据进行对比。就如此治疗一段时间后再抽血检查，以判断治疗是否起到了预期的效果。

　　最后笔者给一个小小的建议。如果看了这篇文章对性能优化还是云里雾里的话，那么笔者建议就去找一张化验单。看看化验单中的内容，在性能优化方面会给我们不少的启示。

qq3250845

推出VPN免流高防服务器，所有端口不做限制，真正打不死的高防

137端口 138端口  139端口   TCP/UDP 全部开放

需要的请联系 www.sdi23.com

qq3250845

中国互联网企业发展迅猛，一些大公司虽然对网络安全问题非常重视，但是依然有一个非常头疼的问题，就是DDoS攻击。尽管已有的防火墙和IPS设备对网络中保护至关重要，但他们不足以防御DDoS攻击。

　　DDoS攻击发生时，大量的流量直接从运营商一侧奔涌而入，瞬间就把被攻击企业的出口链路塞满，网内纵使有再大“能耐”，也无可奈何。另一方面，互联网企业一般都会有公众可达的域名，攻击流量寻址非常容易，而运营商虽然也有提供给一般企业的流量清洗服务，但由于互联网企业的流量特征各异，运营商很难有一个固定的模式去精确区分互联网企业的正常业务流量和异常攻击流量。

　　就拿IDC来说，它面临网络中各种各样的攻击,其中危害最大也莫过于DDoS攻击，对于此类攻击很多IDC只能依赖于硬件防DDoS防火墙来抵挡。而令IDC管理者更为头疼的是，虽然在内部购买了各种各样的防DDoS攻击设备，大量的DDoS还是蜂拥而来，仍然挤占了出口带宽，影响了正常服务。

　　对这种流量型的DDoS攻击IDC束手无策。如果有一种手段可以从上游接入端将DDoS攻击过滤或引流，甚至是在远端就能作有效的限制，达到拒DDoS攻击于千里之外，无疑是一种理想状态。

　　DDoS攻击在规模和复杂性方面持续增长。而且，攻击背后隐藏的动机已不断拓展，涵盖意识形态黑客行动主义和互联网恶意破坏行为。这使得从社交网络到政府部门中的每个人都面临攻击风险。

　　Arbor认为应对像DDoS这样的复杂威胁需要分层安全解决方案。首先，企业必须保护他们自身免受大流量和状态耗尽DDoS攻击，此类攻击可通过使用由一些互联网服务提供商或托管安全服务运营商提供的基于云的保护服务，令企业的互联网连接达到饱和;其次，企业必须使用基于边界的解决方案来防御应用层DDoS攻击。此外，基于边界的解决方案可通过让企业控制他们对DDoS威胁的响应来为企业提供保护。

　　APS——Arbor Networks的Pravail可用性保护系统，执着于保障网络边界安全，使其免遭针对可用性的威胁，尤其可以提供针对应用层DDoS攻击的保护。该系统是为企业专门设计的，它提供开包即可使用、经过实践检验的DDoS攻击识别和缓解功能，此类功能可使用极少的配置快速部署，甚至可以在攻击发生的过程中部署。

qq3250845

空会话攻击可以说是一种很古老的网络攻击形式，已经古老到系统管理员几乎忘却了还有这种攻击形式的存在。但现在它却又开始像几年前一样肆虐起来。尽管现在的系统已经不那么容易受到攻击，然而在针对windows设备执行渗透测试时，空会话枚举仍然是最先要做的事情之一。本文的目的在于分析空会话攻击，并探讨如何防止空会话攻击的发生。

　　空会话攻击过程

　　当用户使用用户名和密码(可以访问系统资源的登陆帐户)远程登陆到计算机时就创建了一个远程会话，这是通过服务器消息模块(SMB)和Windows Server服务来实现的，当提供正确登陆信息时这些连接都是完全合理的。

　　当用户没有使用用户名或者密码来与windows系统建立连接时就会出现空会话，这种类型的连接不能进行任何典型的windows共享，但是可以进行进程间通信(IPC)管理共享。IPC共享，是windows进程(通过SYSTEM用户名)来与网络其他进程进行通信的，IPC共享是SMB协议专用的。

　　没有登陆凭证使用IPC共享是专供程序间通信使用的，但这并不是说用户不能通过IPC连接代替连接到计算机。这种方式不允许对计算机的无限制访问，但广泛枚举可能会帮助攻击者发起攻击。

　　通过空会话进行枚举

　　现在我们知道空会话是如何发生的，那么攻击者如何利用空会话发动攻击呢?可以说，攻击者可以很轻松地利用空会话。空会话连接可以通过简单使用NET命令从windows命令行直接产生，不需要额外的工具。NET命令可以用来执行各种管理功能，使用NET命令我们可以尝试对目标主机(命名为HACKME)上的标准共享建立连接，但是这样会失败，因为我们没有提供正确的登陆凭证。

　　如何防御空会话攻击

　　首先你会问的问题是：“我的系统容易受到攻击吗?”这个问题的答案取决于网络环境中的操作系统，如果运行的是Windows XP、Windows Server 2003或者Windows 2000，答案是肯定的，至少在某种程度上来看。虽然现在大多数人都在使用这些版本以上的系统，不过Windows XP和Server 2003仍然是使用最多的系统，但还是可以通过其他防御来防止空会话攻击的。

　　在注册表中限制空会话攻击

　　事实上，大多数公司由于资金紧缺问题，一直还在使用旧版本的软件，这也是为什么到处可见windows 2000工作站和服务器的原因。如果你仍然在使用Windows 2000，那么可以通过简单的修改注册表来防止通过空会话的信息提取。

　　打开regedit，浏览HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous，你可以配置这三种设置选择：

　　· 0 – 默认设置，无限制空会话访问

　　· 1 – 不排除空会话，但是防止用户名和共享的枚举

　　· 2 – 通过严格限制对所有资源的访问，从而防止任何值从空会话流失

　　正如你所见，你不能100%的消除空会话，但是你可以通过设置2来严格限制攻击者的攻击，在windows2000服务器上配置时要非常注意，因为可能会破坏集群。

　　你可以在windows XP和2003服务器中执行类似的操作，主要通过以下三种不同的注册表项：

　　HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous

　　· 0 – 默认设置，空会话可以用于枚举共享

　　· 1 –空会话不可以用于枚举共享

　　HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM

　　· 0 –空会话可以用于枚举用户名

　　· 1 –默认设置，空会话不可以用于枚举用户名

　　HKLM\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous

　　· 0 –默认设置，空会话没有特殊权力

　　· 1 – 空会话被认为是成员组的部分(非常危险，可以允许共享访问)　

　　你可以清楚地从上述内容中看出，默认情况下，windows XP只允许共享的枚举，这样比windows 2000更加安全。

　　从网络级别阻止访问

　　如果你不能对上述注册表进行修改，那么你可以通过windows防火墙或者网络防火墙阻止空会话攻击，这可以通过组织与NetBIOS和SMB TCP/IP有关的端口来实现，这些端口包括：

　　· TCP Port 135

　　· UDP Port 137

　　· UDP Port 138

　　· TCP Port 139

　　· TCP和 UDP Port 445

　　这些端口用于windows的各种网络功能，包括文件共享，网络打印功能、集群和远程管理等。话虽如此，在关闭这些端口之前应该进行全面的测试，以确保系统正常运行。

　　使用IDS识别空会话

　　如果上述注册表修改或者防火墙政策破坏了网络应用程序的功能性，那么你必须将防御工作调整为被动方式，而不是主动方式。除了阻止空会话枚举之外，最后的希望就是在发生枚举的时候我们能够阻止它。

　　如果你正在使用Snort，也就是现在最常用的IDS，那么进行以下操作就可以检测所有空会话枚举：

　　alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:”NETBIOS NT NULL session”; flow:to_server.establshed;

　　content: ‘|00 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00 20 00 31 00 33 00 38 00 31|’; classtype:attempted-recon

　　这不能够阻止空会话枚举的发生，但是会提醒你枚举的发生，从而采取适当行动。

　　总结

　　空会话攻击概念并不是新的攻击方式，但是却常常被忘记和误解。这种方式对于攻击者而言，仍然是非常可行的攻击策略，了解空会话攻击的方式是系统管理员的必修课。

qq3250845

古人有一句话说：要防微杜渐，不可讳疾忌医。面对互联网安全也是如此，在DDOS攻击大行其道的今天，如果自身企业并没有遭到DDOS攻击也不要就放心下来。如何预防DDOS攻击是企业网络管理员应该思考的问题。对于面临拒绝服务攻击的目标或潜在目标，应该采取的重要措施：

　　预防DDOS方法一：消除 FUD心态

　　FUD 的意思是 Fear（恐惧）、 Uncerntainty（猜测）和 Doubt（怀疑）。最近发生的攻击可能会使某些人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务攻击目标的公司或主机只是极少数，而且多数是一些著名站点，如搜索引擎、门户站点、大型电子商务和证券公司、 IRC服务器和新闻杂志等。如果不属于这类站点，大可不必过于担心成为拒绝服务攻击的直接目标。

　　预防DDOS方法二：要求与 ISP协助和合作

　　获得你的主要互联网服务供应商（ ISP）的协助和合作是非常重要的。分布式拒绝服务（ DDoS）攻击主要是耗用带宽，单凭你自己管理网络是无法对付这些攻击的。与你的 ISP协商，确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的 ISP愿意监视或允许你访问他们的路由器。

　　预防DDOS方法三：优化路由和网络结构

　　如果你管理的不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止 SYN flood攻击，应设置 TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的 UDP和 ICMP包通过，尤其是不应该允许出站 ICMP“不可到达”消息。

　　预防DDOS方法四：优化对外开放访问的主机

　　对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多 IP主机也会增加攻击者的难度。建议在多台主机中使用多 IP地址技术，而这些主机的首页只会自动转向真正的 web服务器。

　　预防DDOS方法五：正在受到攻击时，必须立刻应用对应策略。

　　尽可能迅速地阻止攻击数据包是非常重要的，同时如果发现这些数据包来自某些 ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址，因为它们在 DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速，因为路由器中的记录可能会在攻击中止后很快就被清除。

　　对于已被或可能被入侵和安装 DDoS代理端程序的主机，应该采取的重要措施：

　　预防DDOS方法六：消除 FUN心态

　　作为可能被入侵的对象，没必要太过紧张，只需尽快采取合理和有效的措施即可。现在的拒绝服务攻击服务器都只被安装到 Linux和 Solaris系统中。虽然可能会被移植到 *BSD*或其它系统中，但只要这些系统足够安全，系统被入侵的可能性不大。

　　预防DDOS方法七：确保主机不被入侵和是安全的

　　现在互联网上有许多旧的和新的漏洞攻击程序。以确保你的服务器版本不受这些漏洞影响。记住，入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查服务器配置和安全问题，运行最新升级的软件版本，最重要的一点就是只运行必要的服务。如果能够完全按照以上思路，系统就可以被认为是足够安全，而且不会被入侵控制。

　　预防DDOS方法八：周期性审核系统

　　必须意识到你要对自己管理的系统负责。应该充分了解系统和服务器软件是如何工作的，经常检查系统配置和安全策略。另外还要时刻留意安全站点公布的与自发管理的操作系统及软件有关的最新安全漏洞和问题。

　　预防DDOS方法九：检查文件完整性

　　当确定系统未曾被入侵时，应该尽快这所有二进制程序和其它重要的系统文件产生文件签名，并且周期性地与这些文件比较以确保不被非法修改。另外，强烈推荐将文件检验和保存到另一台主机或可移动介质中。这类文件 /目录完整性检查的免费工具（如 tripwire等）可以在许多 FTP站点上下载。当然也可以选择购买商业软件包。

　　预防DDOS方法十：发现正在实施攻击时，必须立刻关闭系统并进行调查

　　如果监测到（或被通知）网络或主机正实施攻击，应该立刻关闭系统，或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了该主机，所以应该进行研究分析和重新安装系统。建议联系安全组织。。必须记往，将攻击者遗留在入侵主机中的所有程序和数据完整地提供给安全组织或专家是非常重要，因为这能帮助追踪攻击的来源。

qq3250845

正所谓知其然，还要知其所以然。木马虽然已经被互联网用户所熟知，不论是企业还是个人都对木马深恶痛绝，用各种安全产品武装自己，以免受到网络安全侵害，但对于木马的原理并不是所有人都清楚，这样用户在防范木马的过程中就会处于被动。因此如果能够了解木马的工作原理，这样就会很容易从根源上避免问题的发生。

　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

　　当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

　　这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

　　当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

　　知道了木马原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马**计算机与网络断开，防止黑客通过网络对你进行攻击。

　　然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

　　有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。

　　重新启动计算机，然后再到注册表**所有“木马”文件的键值删除。至此，我们就大功告成了。

qq3250845

明显迹象表明，黑客组织在针对Visa和MasterCard网站的DDoS攻击使用了名为LOIC的攻击程序。

　　在ZDNet Asia近日进行的一次邮件采访中，赛门铁克新加坡的经理 Ronnie Ng解释说， LOIC 是一种网络压力测试程序，通过对特定网站服务器发送TCP, UDP 和 HTTP请求进行DOS攻击，测试网站负载能力。

　　大家都知道，如今网络上能下载到各种攻击程序，包括LOIC。Ng说：“能发起这类攻击的程序非常多，其中有些是合法软件，通过简单的搜索就能找到这些程序，但还是要看使用者是否将其用在合法用途上。另外还有很多非法的攻击程序，它们被设计出来的目的就是进行非法活动，通过僵尸网络等方式，这种程序能够实现相当高的攻击效率。”

　　DDOS攻击并不是什么新形式，而安全专家总是安慰我们说，网络罪犯的攻击手段不会总比网络防护手段更先进。

　　Ng说：“攻击者们总是在不断尝试用各种方法来获取他们所需的信息。这些方法从DoS攻击到利用各种系统漏洞，目的就是入侵目标系统。”

　　他认为，随着防护技术的不断进步，技术所能提供的最大防护程度也在增加，同时良好的补丁管理机制以及使用者对网络威胁的重视程度不断增加，都能很有效的提高系统安全等级。

　　但是Ng也表示，虽然能够通过支付费用提高系统的安全等级，但是确保系统不受到DDOS攻击是非常难的。他说：“网店需要审核网关和防火墙规则，确保这些设备能够处理每日都会出现的小规模的攻击，另外还应该有一套应急方案，应对大规模的攻击。类似的策略可以是更严格的包过滤规则，判断何时以及什么样的数据包该被丢弃，以及针对IP地址的规则，当出现明显攻击时将特定的IP地址列入黑名单。”

　　Visa和MasterCard网站被黑客攻击，攻击组织自称为 "Operation Payback"。引发这次攻击的原因是这两家信用卡公司和PayPal 表示将停止对维基解密网站的资助。另外，黑客还试图攻击 Amazon.com，但是没有成功。

　　另外，一个名为Anonymous的黑客组织声称, 如果维基解密创始人，澳洲人Julian Assange被英国政府印度到瑞典，该组织将攻击英国政府网站。截止本文写作时， Assange仍因被控强奸罪而滞留在英国。

　　与此同时，几个维基解密的前成员表示将计划发布一个新的网站OpenLeaks，延续维基解密的活动。

　　日前，丹麦警方也逮捕了一名16岁少年。警方表示该少年已经承认参与了最近与维基解密有关的网络攻击活动。