瑞星卡卡安全论坛

                     
软件与病毒的“畸形儿”

    不久前，有网友在论坛上投诉自己遭到了“技术绑架”，起因是，他试用了某文件夹加密软件后，在试用期过后，文件夹内所有文件不翼而飞，迫于无奈，他只有联系 
加密软件的作者，但对方却要求他付款之后，才能解密恢复原来的文件，该网友怒斥其为无赖行为。

        而软件作者一方也振振有词：“你过了试用期就应该购买，我是在保护自己的合法权益。”实际上，目前网络上类似的事件已是频频发生，不少安全公司都收到过类似的投诉。这其中包括软件安装强制弹出广告，而且无法卸载；偷偷搜集用户的个人信息，提供给广告商以获取商业利益；用各种手段锁定用户的电脑程序，以达到注册收费的目的等。这些软件虽然不是病毒，但也大大影响了用户的正常使用，成为一类不可忽视的安全问题。

        信息安全专家表示，从技术上讲，恶意广告软件、间谍软件、恶意共享软件等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来种种干扰。北京市计算机病毒防范服务中心有关人士透露，目前这类软件在法律上并没有明确界定。

        这种软件与病毒的“畸形儿”也令很多杀毒厂商头疼，因为它本身往往会提供某些实用功能，而且并不像大多数病毒一样自我复制并传播，因此在分析和界定上存在很大困扰，目前大多数反病毒软件也不能对其进行查杀。但另一方面，它却和病毒一样，给用户造成了危害和损失，有时甚至更为严重。

        除了让用户牢记“天下没有免费的午餐”，对这类软件敬而远之外，我们的安全产业，是不是有责任拿出更好的解决之道呢？

[技术资料]

避免死机的烦恼 从14大方面预防电脑死机

如今的计算机已经接近全面普及的程度了，它给人们在工作和学习上提供了极大的方便。不过，计算机的“死机”对于普通的计算机用户来说，却成为了一个解不开、挣不脱的烦恼。那么，怎么做才能避免计算机“死机”的烦恼呢?

　　1.保证正确的Bios设置。Bios里面的设置一定要合适，错误的Bios设置会使你在运行Windows的时候死机。

　　2.经常检查电脑配件接触情况。在板卡接触不良的情况下运行会引起系统死机，因此在更换电脑配件时，一定要使板卡与主机板充分接触。

　　3.定期清洁机箱。灰尘太多会使板卡之间接触不良，引起系统在运行中死机，因此机箱要随时清洁，不要让太多的灰尘积存在机箱中。

　　4.坚持认真查杀病毒。对来历不明的光盘或软盘，不要轻易使用，对邮件中的附件，要先用杀毒软件检查后再打开。

　　5.按正确的操作顺序关机。在应用软件未正常结束运行前，别关闭电源，否则会造成系统文件损坏或丢失，引起在启动或运行中死机。

　　6.避免多任务同时进行。在执行磁盘整理或用杀毒软件检查硬盘期间，不要运行其他软件，否则会造成死机。

　　7.勿过分求新。各种硬件的驱动不一定要随时更新，因为才开发的驱动程序往往里面有bug，会对系统造成损害，引起系统死机，最新的不一定是最好的。

　　8.在卸载软件时，用自带的反安装程序或Windows里面的安装/卸载方式，不要直接删除程序文件夹，因为某些文件可能被其他程序共享，一旦删除这些共享文件，会造成应用软件无法使用而死机。

　　9.设置硬件设备时，最好检查有无保留中断(IRQ)，不要让其他设备使用该中断号，以免引起中断冲突，造成系统死机。

　　10.在上网冲浪的时候，不要打开太多的浏览器窗口，否则会导致系统资源不足，引起系统死机。

　　11.如果你的机器内存不是很大，千万不要运行占用内存较大的程序，如Photoshop，否则运行时容易死机。

　　12.对于系统文件或重要的文件，最好使用隐含属性，这样才不至于因错误操作删除这些文件，引起系统死机。

　　13.修改硬盘主引导记录时，最好先保存原来的记录，防止因修改失败而无法恢复原来的引导记录。

　　14.CPU、显卡等配件一般不要超频，若确实需要超，要注意超频后板卡的温度，CPU、显卡等长期在非正常频率和温度下工作轻则自动重启或死机，重者烧毁CPU、显卡、主板。

[技术资料]

精解系统非法操作原因及解决方法

大家都用过Windows，想必都经历过“非法操作”。一般的“非法操作”有两个选项：“关闭”和“详细资料”。可是“详细资料”里面的内容大多数人都看不明白，只好草草的关闭了。现在不用怕了，我来给大家讲解一下非法操作的每个详细资料的具体含义。

　　1.停止错误编号:0x0000000A

　　说明文字:IRQL-NOT-LESS-OR-EQUAL

　　通常的原因:驱动程序使用了不正确的内存地址.

　　解决方法：如果无法登陆,则重新启动计算机.当出现可用的作系统列表时,按F8键.在Windows高级选项菜单屏幕上,选择"最后一次正确的配置",然后按回车键.

　　检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请与硬件或软件的制造商联系,获得可能需要的任何Windows更新或驱动程序.

　　运行由计算机制造商提供的所有的系统诊断软件,尤其是内存检查.

　　禁用或卸掉新近安装的硬件(RAM,适配器,硬盘,调制解调器等等),驱动程序或软件.

　　确保硬件设备驱动程序和系统BIOS都是最新的版本.

　　确保制造商可帮助你是否具有最新版本,也可帮助你获得这些硬件.

　　禁用BIOS内存选项,例如cache或shadow.

　　2.停止错误编号:0x0000001E

　　说明文字:KMODE-EXPTION-NOT-HANDLED

　　通常的原因:内核模式进程试图执行一个非法或未知的处理器指令.

　　解决方法：确保有足够的空间,尤其是在执行一次新安装的时候.

　　如果停止错误消息指出了某个特定的驱动程序,那么禁用他.如果无法启动计算机.应试着用安全模式启动,以便删除或禁用该驱动程序.

　　如果有非Microsoft支持的视频驱动程序,尽量切换到标准的VGA驱动程序或Windows提供的适当驱动程序.

　　禁用所有新近安装的驱动程序.

　　确保有最新版本的系统BIOS.硬件制造商可帮助确定你是否具有最新版本,也可以帮助你获得他.

　　BIOS内存选项,例如cache,shadow.

　　3.停止错误编号:0x00000023或0x00000024

　　说明文字:FAT-FILE-SYSTEM或MTFS-FILE-SYSTEM

　　通常原因:问题出现在Ntfs.sys(允许系统读写NTFS驱动器的驱动程序文件)内.

　　解决方法：运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件..

　　禁用或卸载所有的反病毒软件,磁盘碎片整理程序或备份程序.

　　通过在命令提示符下运行Chkdsk /f命令检查硬盘驱动器是否损坏,然后重新启动计算机

　　4.停止编号:0x0000002E

　　说明文字ATA-BUS-ERROR

　　通常的原因:系统内存奇偶校验出错,通常由硬件问题导致.

　　解决方法：卸掉所有新近安装的硬件(RAM.适配器.硬盘.调制解调器等等).

　　运行由计算机制造商提供的系统诊断软件,尤其是硬件诊断软件.

　　确保硬件设备驱动程序和系统BIOS都是最新版本.

　　使用硬件供应商提供的系统诊断,运行内存检查来查找故障或不匹配的内存.

　　禁用BIOS内存选项,例如cache或shadow.

　　在启动后出现可用作系统列表时,按F8.在Windows高级选项菜单屏幕上,选择"启动VGA模式:.然后按回车键.如果这样做还不能解决问题,可能需要更换不同的视频适配器列表,有关支持的视频适配器列表,请参阅硬件兼容性列表.

　5.停止编号:0x0000003F

　　说明文字:NO-MOR-SYSTEM-PTES

　　通常的原因:每哟正确清理驱动程序.

　　解决方法：禁用或卸载所有的反病毒软件，磁盘碎片处理程序或备份程序.

　　6:停止错误编号:0x00000058

　　说明文字:FTDISK-INTERN-ERROR 　　

　　通常的原因:容错集内的某个主驱动器发生故障.

　　解决方法：使用Windows安装盘启动计算机,从镜象(第2)系统驱动器引导.有关如何编辑Boot.ini文件以指向镜象系统驱动器的指导,可在MIcrosoft支持服务Web站点搜索"Edit ARC path".

　　7.停止错误编号:0x0000007B

　　说明文字:INACCESSI-BLE-BOOT-DEVICE

　　通常原因:初始化I/O系统(通常是指引导设备或文件系统)失败.

　　解决方法：引导扇区病毒通常会导致这种停止错误.是用反病毒软件的最新版本,检查计算机上是否有存在病毒.如果找到病毒,则必须执行必要的不找把他从计算机上清除掉,请参阅反病毒软件文档了解如何执行这些步骤.

　　卸下所有新近安装的硬件(RAM,适配器,调制解调器等等).

　　核对MIcrosoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.

　　如果使用的适SCSI适配器,可以从硬件供应商除获得最新WINDOWS驱动程序,禁用SCSI设备的同步协商,检查该SCSI链是否终结,并核对这些设备的SCSI ID,如果无法确定如何执行能够这些步骤,可参考硬件设备的文档.

　　如果你用的是IDE设备,将板上的IDE端口定义为唯一的主端口.核对IDE设备的主/从/唯一设置.卸掉除硬盘之外的所有IDE设备.如果无法确认如何执行这些不找，可参考硬件文档.

　　如果计算机已使用NTFS文件系统格式化,可重新启动计算机,然后在该系统分区上运行Chkdsk /f/r命令.如果由于错误而无法启动系统,那么使用命令控制台,并运行Chkdsk /r命令.

　　运行Chkdsk /f命令以确定文件系统是否损坏.如果Windows不能运行Chkdsk命令,将驱动器移动到其他运行Windows的计算机上,然后从这台计算机上对该驱动器运行Chkdsk命令.

　　8.停止错误编号:0x0000007F

　　说明文字:UNEXPECTED-KERNEL-MODE-TRAP

　　通常的原因:通常是由于硬件或软件问题导致,但一般都由硬件故障引起的..

　　解决方法：核对Microsoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容.如果计算机主板不兼容就会产生这个问题.

　　卸掉所由新近安装的硬件.

　　运行由计算机制造商提供的所有系统诊断软件,尤其是内存检查.

　　禁用BIOS内存选项,例如cache或shadow.

　　9.停止错误编号:0x00000050

　　说明文字:PAGE-FAULT-IN-NONPAGED-AREA

　　通常的原因:内存错误(数据不能使用分页文件交换到磁盘中).

　　解决方法：卸掉所有的新近安装的硬件.

　　运行由计算机制造商提供的所有系统诊断软件.尤其是内存检查.

　　检查是否正确安装了所有新硬件或软件,如果这是一次全新安装,请与硬件或软件制造商联系,获得可能需要的任何Windows更新或驱动程序.

　　禁用或卸载所有的反病毒程序.

　　禁用BIOS内存选项,例如cache或shadow.

　　10.停止错误编号:0x0000007

　　说明文字：KERNEL-STEL-STACK-INPAGE-ERROR

　　通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。

　　解决方法：使用反病毒软件的最新版本，检查计算机上是否有病毒。如果找到病毒，则执行必要的步骤把他从计算机上清除掉。请参阅制造商提供的所有系统诊断软件，尤其是内存检查。

　　禁用BIOS内存选项，例如cache,shadow.

　　11.停止错误编号：0x00000079

　　说明文字：MISMATCHED-HAL

　　通常的原因：硬件抽象层与内核或机器类型不匹配（通常发生在单处理器和多处理器配置文件混合在同一系统的情况下）。

　　解决方法：要解决本错误，可使用命令控制台替换计算机上错误的系统文件。

　　单处理器系统的内核文件是Ntoskml.exe，而多处理器系统的内核文件是Ntkrnlmp.exe，但是，这些文件要与安装媒体上的文件相对应；在安装完Windows2000和，不论使用的是哪个原文件，都会被重命名为Ntoskrnl.exe文件。HAL文件在安装之后也使用名称Hal.dll但是在安装媒体，但是在安装媒体上却有若干个可能的HAL文件。

　　12.停止错误编号：0x0000007A

　　说明文字：KERNEL-DATA-INPAGE-ERROR

　　通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。（通常是由于分页文件上的故障，病毒，磁盘控制器错误或由故障的RAM引起的）。

　　解决方法：使用反病毒软件的最新版本，检查计算机上是否存在病毒。如果找到病毒。则执行必要的步骤把他从计算机上清除掉，请参阅犯病度软件文档了解如何执行这些步骤。

　　如果计算机已使用NTFS文件系统格式化。可重新启动计算机，然后在该系统分区上运行Chkdsk /f/r命令。如果由于错误而无法启动命令，那么使用命令控制台，并运行Chkdsk /r命令。

　　运行由计算机制造商提供的所有的系统在很端软件，尤其是内存检查。

　　13.停止错误编号：0xC000021A

　　说明文字：STATUS-SYSTEM-PROCESS-TERMINATED

　　通常的原因：用户模式子系统，例如Winlogon或客户服务器运行时子系统（CSRSS）已被损坏，所以无法再保证安全性。

　　解决方法：卸掉所有新近安装的硬件。

　　如果无法登陆，则重新启动计算机。当出现可用的作系统列表时按F8。在Windows2000高级选项菜单屏幕上，选择：“最后一次正确的配置”。然后按会车。

　　运行故障恢复台，并允许系统修复任何检测到的错误。

　　14.停止错误编号：0xC0000221

　　说明文字：STATUS-IMAGE-CHECKISU7M-MISMATCH

　　通常的原因：驱动程序或系统DLL已经被损坏。

　　解决方法：运行故障复控台，并且允许系统修复任何检测到的错误。

　　如果在RAM添加到计算机之后，立即发生错误，那么可能是分页文件损坏，或者新RAM由故障或不兼容。删除Pagefile.sys并将系统返回到原来的RAM配置。

[技术资料]
系统进程问答集锦

在系统中如果需要打开一个软件，系统便会在后台加载相应的进程，它控制着程序的各个方面，起着尤为重要的作用，正是它具有这种特性，所以它也经常受到“侵犯”，比如有些病毒就伪装成为系统进程搞破坏，另外由于进程众多，不少读者很难分清楚各个进程到底起到什么作用、是否可以禁止等，所以笔者在这里整理几个关于进程的问题，希望对大家有所帮助。

　　问：我使用的是Windows XP系统，现在启动电脑都会弹出错误窗口：“Windows＼Svchosts．exe出错”，“Svchosts．exe”文件好像是系统中一个进程，然后我到进程中也发现了有“Svchosts”这个进程，请问如何恢复它？

　　答：请注意，进程中的那个叫“Svchost”，并不是“Svchosts”，多出了一个“S”，要看清楚哦，你电脑上的“Svchosts”是一个病毒，一般是一些木马程序，它和“Explorer”绑定，无法结束进程。首先到注册表中的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon”下找到Shell键值，打开它，在键值处将除“Explorer.exe”文件以外的所有文件全部删除，然后到“C:\Windows”文件下找到 “Svchosts.exe”（找不到可以用文件搜索功能），找到后将其删除即可。

　　问：我的电脑中了某种病毒，听别人说要结束进程中的“Explorer”进程，然后再进行杀毒。但我结束了“Explorer”进程后发现系统桌面和任务栏都消失了，桌面上一片空白，请问如何恢复呢？

　　答：因为“Explorer”进程是用于控制Windows图形窗口的外观，这其中包括了开始菜单、任务栏、桌面和文件管理，你结束了它，当然会出现那种状况了。想恢复时，只要按“Ctrl+Alt+Del”调出任务管理器，然后选择“文件→新建任务运行”，输入“Explorer”，即重新加载该进程即可。

　　问：电脑中安装了Serv－U后，进程中多出了一个“ServUDaemon”进程，因为暂时不想用Serv－U，所以不想删除，但进程中总有这个进程，感觉不舒服，而且还占用资源，结束它时却提示拒绝访问，请问如何结束该进程并让它以后不运行呢？

　　答：如果想在不删除软件的情况下终结该进程，可以到计算机管理中的服务查看一下是否有一个关于serv-u的服务项，这个服务是安装Serv-U软件后产生的，“ServUDaemon”进程无法结束就是因为有这个服务在后台一直运行所造成的，将该服务关闭即可终止进程了。另外大家如果遇到无法结束的进程时，也可以到服务中查看一下是否有相关的服务在运行。

　　问：我的电脑进程中四个“Svchost．exe”进程，请问 “Svchost．exe”进程起到什么作用？是否正常呢？

　　答：“Svchost”属于共享进程，随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由“Svchost.exe”进程来启动。“Svchost.exe”是以Windows NT为核心系统的重要进程。一般来说，Windows 2000有两个“Svchost”进程，Windows XP中则有四个或四个以上的“Svchost”进程，但有些病毒也会借“Svchost”迷惑我们，大家只要记住正常的“Svchost”文件一般只会保存在“C：\Windows\System32”下，如果有“Svchost”文件保存在其他文件夹下就可能是病毒了，大家可以通过进程的执行文件路径查看到保存位置。

[风云人物]
永远的冰河


曾有一段时间“黑客”在中国被人这样曲解定义：“黑客就是会用‘冰河’黑别人电脑的人！”一听便知这是外行笑话，但引起这场误会的却是“冰河”这个在国内网络安全圈从知名度到装机量都位列前茅的软件，这确是款颇具争议的优秀网络工具，争议的核心是它即可为黑客所用当作植入被攻击端的木马，也可成为网管及个人正当的网络远程管理利器。 “冰河”既是软件名也是其作者黄鑫的化名，这条奔涌的“冰河”已流经大半中国，不计其数的“菜鸟”们从这一流域步入更为广阔的网络安全技术天地。公平地讲，“冰河”及其开发者黄鑫的名字在中国网络安全技术发展史上占有重要的地位。今天就让我们一起走进黄鑫，涉入“冰河”。
印象中自然界的“冰河”何等肃杀与寒气彻骨，而坐在我面前的程序员黄鑫是如此热情如火，谈笑风生，在北京盛夏一个雨后清爽怡人的傍晚，我的思绪随着他的回忆，沿“冰河”逆流而上，追溯源头：

“冰河”的起源

话题从黄鑫与电脑的第一次亲密接触开始，1996年的“黄鑫”还是一位西安电子科技大学的大三学生，说来难以置信在大一大二的时侯，他还没怎么接触PC，用他自己的话说是“有一天和宿舍最要好的同学突然觉得应该弄台电脑玩玩了，便两人凑钱买回了台‘486’。”但电脑在使用时受到了“晚上十一点就全面断电”的校规限制，于是小哥儿俩再次凑钱到校外租了间小房子，玩电脑开始的日子非常之“爽”，他们经常在学校机房与个人“机房”之间以三寸软盘传递信息，但不多几日，“病毒”也开始在其间滋生漫延，学校机房成了“病毒乐园”，那时的黄鑫还是个不折不扣的初级小菜鸟，自己电脑中了病毒仍浑然不知，还乐此不疲地考贝着“NDD、PCTOOLS”以及当时流行的小游戏，直到一天电脑不再正常启动，这下他抓了瞎，自己不懂，就找来那个要好的“购机合伙人”求救，“高手”好友看后送他一句话：“你中了‘秋水’病毒了！”，虽然到现在黄鑫仍无从考证当时好友判断的正误，但在他当时白纸般简单的计算机知识“内存”中永久存储下了“秋水”这两个字，所谓知耻而后勇，此后黄鑫“师从”好友，从如何用KV300、KILL等杀毒软件清除病毒开始了计算机知识的全面涉猎。那台“486”老爷车只能跑DOS，若硬跑起WINDOWS95来则需要足够的耐心,但黄鑫与伙伴仍抵挡不住单机版”红色警报”的诱惑,为了可以顺畅地把游戏玩爽,为了再遇故障和病毒可以自己解决,黄鑫决心把电脑知识学深学透！他首先从KV300恢复主引导区的概念受到启发，以研究DOS磁盘引导区入手，从文件分配表到55AA扇区开始一步步把原本看似神秘的东西搞清。回忆那时的经历，黄鑫说：“正是‘病毒’的存在才让我感到电脑的趣味无穷！”如果不是这份兴趣，他恐怕不会将才智和精力全部投入其中，也就不会有日后“冰河”这一影响他人更影响他自己一生的“作品”的诞生。
没过几日，已是“中级菜鸟”的黄鑫不再满足于用现成的软件按个F‘x’功能键对系统进行自动修复了，他开始使用DEBUG，开始涉及汇编语言，很快就能不再借助任何第三方工具而手工恢复引导扇区，不久后又将这一手工过程通过一个自编的汇编小程序自动实现，首偿胜果的他小有成就感，至此，黄鑫只用短短数月便完成了由“初级小菜鸟”到“初级专家”的质的转变。此时在计算机求知路上的黄鑫已是脱缰的野马，任何成绩的取得都不能放慢他向更高技术层次进取的脚步，正好大三下学期开设了C语言课程，C语言可实现的那些汇编语言所无法比拟的强大功能深深吸引了黄鑫，在同班一位极具编程天赋的同学的鼓动下，他开始了自己编程研究的一个重要转型，主攻C语言，可以想见，对于汇编语言已烂熟于心的他，再学C语言可谓触类傍通，很快便也轻松上手了。但每想到潜心修得的一身汇编硬功就此“废弃”，黄鑫的惋惜之情溢于言表！用他自己当年和那位编程高手好友的话讲“若不是WINDOWS对DOS的取代，你我早已‘出徒’了！DOS都差不多学透了！”黄鑫清楚地记得当时有一本技术难度较高的《DOS5.0未公开调用大全》都已难不倒他俩了，但由此也让黄鑫深刻认识到计算机知识的更新何止是“与时具进”，速度之快让其求知者不得喘息。从大三开始对计算机知识如饥似渴的吸取，为黄鑫日后成为开发出“冰河”这样经典软件的优秀程序员奠定了坚实的基础，应该说“冰河”今天的一泻千里得益于当年的厚积薄发，大学时代知识的点滴积累就是成汹涌“冰河”源头的涓涓细流。


初出茅庐，小试锋芒

大三后半学期开始黄鑫与那位擅长编程的同学联系到一家咸阳市的公司作一份没有报酬的“兼职”，为的是在实践中检验自己的平日所学，丰富自己的实际开发经验。两人每个周末从西安跑咸阳一趟，为该公司开发一个数控机床的工控机软件，这项开发也充分发挥了他在DOS与汇编方面的特长，两个人连续数日挑灯夜战，效率极高，原开发单位一个月没有完成的工作转到他俩手中仅用四天就将一个在DOS下访问WINDOWS的界面框架构建完毕，接着只用两周时间全部开发工作顺利完成。虽说这只是一个很小的开发项目，与日后黄鑫参与的大型开发任务无法相比，但毕竟是自己的首次工作实践，人生每一个有意义的“第一次”都是值得永远记取的。不久后他俩从公司得知这套工控机软件已销往全国，很受欢迎，两个没有拿到一分钱物质奖励的大学生却由衷地感到自豪与成就感。该公司发现了人才自然希望留住，但长时间在西安与咸阳间往返奔波毕竟不便，黄鑫决定在母校“西电”附近的几家软件公司寻找机会，可每次面试对方刚听完他的自荐便主观判定这个未出校门的毛头小伙子既无工作经验更不可能身怀绝技，对他曾荣获“星火科技大赛奖”的一套多媒体安装向导开发作品也不以为然，甚至还对一个学生的工作责任心表示怀疑，这令黄鑫非常不快也挺寒心，最后他以一种无所谓的心态在一位本校教师开的一家名叫“创富”的小软件公司与这位老师面谈，当再次被问到类似问题时，他明确地告诉对方“我其实只是想有一个试用的机会，你如果试用我一两个月说出我什么地方不行，我马上心服口服地走人，但如果连个考察的机会都不给，那未免太主观了吧。”这位老师觉得有理，就拿出一个别人用Delphi编得不很完善的程序让他修改，黄鑫用了不到半个小时就轻松搞掂，很自然地他被聘用了。而这份兼职在他日后的职业发展道路上起到了重要作用，他出众的开发能力很快受到这位老师极度赏识，便在黄鑫毕业后将他推荐到在深圳的“中国科技开发院”工作，不久后黄鑫得知老总曾是昔日“西电”散打队的一员，说到两人的友情，黄鑫话很多，两个年纪相差整一轮，既是校友、上下级更是忘年至交。“他完全是一位老大哥，在我多次处境困难的时侯无私地帮助过我。”黄鑫一脸真诚地说。而除了感激，黄鑫对他更多的是发自内心的敬佩，敬佩他的人格魅力、事业心、驾驭企业发展和管理水平、市场运作能力特别是洞悉判断人的锐利慧眼。大四下半学期，早已完成毕业设计的黄鑫已开始在“开发院”上班了，在其后一年多的时间里他的研发水平不断提高，2001黄鑫因家庭生活的一点变故以及个人职业发展的长远考虑，面对上海一家公司开出的明显优厚的待遇条件，做出第一次跳槽的决定，当时黄鑫父母退休在家，收入微薄，家庭开销主要依靠他一个人，钱对他是一个很实际的问题，但公司的现状和他自己的做人原则都决定了不可能向公司提什么条件，那等于为难“校友老大哥”，与“老大哥”谈及此事，对方虽感惋惜却表示了极大的理解，黄鑫一再强调个人原因的同时非常真诚地表达了对老总本人和公司的感谢与不舍，时至今日，这两位忘年交仍保持着不减当年的真挚友情与密切联系。
他到上海那家公司后工作一度还算顺心，公司先前许诺的待遇条件都兑现了，但天有不测风云，刚巧又过了三个月，公司上层决定放弃黄鑫参与开发的这个项目，更糟的是公司对整个行业前景不再看好而决定转向，这便意味黄鑫注定将再次跳槽，于是“冰河”首次来到了北京，其实若不是上海这家公司的介入，离开深圳时他就想去北京，这里有全国最好的网络安全研发环境。他现在就职的北京思乐技术公司也是深圳思乐公司所属的分支机构，看来黄鑫与深圳还是很有缘。还是在上海的时候他对北京华泰网安这家公司很感兴趣，那里也有他很多的朋友，但思乐已先一步诚邀他加盟，双方已基本达成意向，以黄鑫的作人原则，诚信是最重要的，先答应好的事一定要履行，所以他到了思乐，说来凑巧，今年年初思乐对华泰实施了收购合并，他便又可与好友们为伍，落个皆大欢喜。从西安大学毕业到深圳再到上海，这条不安分的“冰河” 从西到南再向东最后流到了北，程序员黄鑫算是在北京相对地稳定了下来，这期间在社会闯荡的经历以及在研发技术上的磨砺提高，使他在做人与技术上都走向成熟，今日的黄鑫早已不再是当年校园学步的“小菜鸟”，而已是圈内闻名的“大侠”，而这一切的转变不过短短数年。

[风云人物]

上接《永远的冰河》

“木马冰河入梦来”

大四后期早早就完成毕业设计，又有一身编程绝技在身不愁工作去向，黄鑫显得比同学要轻松自在许多，于是学校附近的网吧经常可以看到他的身影，已在单机上把加解密之类的东西玩熟玩透了的他有一天便萌发了在网上大搞“隐身术与百变秘籍”的想法，通过接触当时很流行的“BO”以及“netspy”等后门程序更激发他将这一想法付诸实施，因为他发现这些程序在功能实现上也有局限，黄鑫强烈感到自己完全有能力开发出比其功能更强大完善的工具来，这也是丰富提高自己网络编程水平的好机会，因为以前缺少必要的网络测试环境，象winsock以前从未涉及，正好就此进行一番“恶补”，这时Delphi强大的控件功能派上了用场，其中自然不乏winsock控件，在开发建立网络连接模块时大大节省了时间提高了效率，开发的前期还比较顺利，网络编程对他这样一个汇编与C语言高手来说自然不是什么难事，偶遇生僻费解的问题，他就去请教那位编程水平很高的同学，很快，作为“冰河”雏形的一个可执行文件终于问世，还来不及起名字就先在宿舍同学之间进行测试，大家普遍反应不错，事情至此也就告一段落了，软件只是在同学中传着玩，当时的黄鑫从没想过把这个开发动机很单纯的软件发布出去以求名利双收，但事情在其后一个偶然的机会里发生了改变，在不久后那次去作“南宁百货”的招标项目时，开发组中一位南宁当地的技术人员用过这个“冰河测试版”后也大加赞赏，由于他接触国际互联网时侯较早，对互联网广泛的影响力体会很深，就强烈建议黄鑫将这个软件在网上发布，比起网上众多很“菜”很不入流的“共享软件”这个软件定会大受欢迎，一番话将黄鑫说动了，决定一试，突然想起还没给软件正式命名，于是大伙儿开动脑筋想，后来采取的方式是把金山词霸打开随机地敲入一个拼音字母看出来什么字和什么联想词，最后在“流沙”、“冰河”等词儿中选中了“冰河”，这个日后广为传播的“酷名”就是这么随意“瞎起”的。接下来的问题就是选哪个网站上传发布，那位南宁的同事先推荐了一个名为“PCHOME”（电脑之家）的网站，黄鑫自己又在网上找到了一个“中国程序员网站”，于是两个站点都放上去发布。
“冰河”发布后果然反响热烈，北方工业大学的两位研究生最先给黄鑫发来EMAIL，在对“冰河”大加称赞的同时还提出了交友以便共同交流提高的要求，后来又有大批的企业网管给他写信，请教与探讨技术细节，无意中黄鑫也交到了很多朋友。“冰河”从黄鑫在校时开发其雏形到1.0测试版正式发布一直是英文版的，一心想着尽快做出这个软件的他完全没有考虑语言支持问题，但一经对外发布问题就来了，一位英文不好的网友给他发信指出：“你作为‘冰河’开发者是中国人，面向的也主要是中国用户，为什么不写‘中文版’？难道中国人自己的软件还要中国人来汉化吗？”一席话真给黄鑫提了醒，没想到自己完全忽略了这个重要问题，仅仅一周后就完成发布了“冰河”1.1中文版，再后来还有人指出“冰河”操作界面比较简陋应加以改善，这些来信让黄鑫在感到“众口难调”的同时更感到“冰河”的大受欢迎，在一点没有影响工作进度的情况下他将“冰河”升级到了1.2版，上述问题都得以改进， “冰河”2.0在整个程序结构特别是操作界面的变化很大，不再是以前版上的简单升级而是不再与旧版兼容，其后的“冰河”2.1、2.2则都是对2.0不足之处的改进完善。
身为这款被很多人视作著名“木马”软件的开发者，黄鑫自己从未用它“搞”过任何一台别人的电脑，从初次开发到每次升级后的测试都是在属于自己学习或工作的网络环境中进行的，而在互联网上不足十次的测试都是通过OICQ向在线好友发出请求，经对方同意后在其电脑上进行的。其实黄鑫本质上就是一个技艺高深的程序员，他关注的是技术本身，当看到自己以单纯动机开发出来的软件被他人用于实现不好的目的也只能深感无奈。事实上，他知道什么是一个真正的优秀程序员应有的道德准则和社会责任。但情况越来越不对劲了，在朋友帮忙制作的“木马冰河”黄鑫个人主页的技术论坛上到处充斥着“‘冰河’黑机大法”的教学贴子，有的贴子还直奔“‘冰河’万能密码”的主题，黄鑫眼看着自己以技术提高为良好初衷建立起来的网站正在变成一个“‘木马’黑机的交流园地”，促使他不得不继终止“冰河”升级开发后又关闭了“木马冰河”个人站点。
停止“冰河”的开发后，黄鑫将完成公司本职工作之外的精力都用于知名扫描器“XSCAN”的升级开发以及著名网络安全网站“安全焦点（XFOCUS.org）的建设维护”，可以说XSCAN是继“冰河”后黄鑫的又一代表作。现在黄鑫一面继续着XSCAN的版本升级，一面正主攻他在“安全焦点”的一个重要研发任务，就是被形象地称为“黑客陷阱”的引诱攻击继而对其跟踪检测分析的“HONEYPOT”（蜜罐）系统，将它暴露于网上，所有端口与服务洞开无遗，攻击者一扫描到它便会误以为这是一台毫不设防的“肉鸡”，就会发起攻击，这便掉入了空城陷阱，其攻击行为和手段的每一步每个细节都被“HONEYPOT”系统监视得一览无余并一一记录在案进行分析，“HONEYPOT”只是基于单机系统，它研发的终极目的是组成一个“HONYNET”，即构建成一个完善的陷阱侦测网络，建一个“HONYNET”的成本是很高的，黄鑫现在做的就是开发一个“HONEYPOT”单机版模似环境，与开发“冰河”“XSCAN”所不同的是，“HONEYPOT”的开发意义在于扩大其在国内技术领域的认知度，以吸引更多的人加入这一技术的研讨。
从“冰河”到“XSCAN”再到“HONEYPOT”，黄鑫在程序开发的技术探索上步步为营，现在的黄鑫，应该说正值一名优秀程序员的黄金年龄，集锐气与成熟于一身，人们有理由期待他超越当年“冰河”的辉煌。

程序员黄鑫

黄鑫是广东人，这很容易从他的相貌特征上找到答案，由于父母长期在山西太原工作，黄鑫就出生在这里并一直生活到高中，除短短几年的南方学习与工作经历，26岁的他在北方生活了二十余年。生活中的黄金喜交友重义气，初次接触就容易让人消除陌生感，不知长年的北方生活对他豪爽直率、热情健谈的气质有无潜移默化的影响。
父母都是知识分子，严格的家教使黄鑫从小学直到高中的一年级都是听话的好学生，学习成绩使终名列前茅，但父母的严教也有些偏颇，要求黄鑫将全部时间精力用在学校书本知识上，课外一切正当的兴趣爱好都不培养和鼓励黄鑫去尝试。他幻想着有“解放”的那一天，终于到高中一年级时父母因工作调动先回了湛江，暂时“没人管”的黄鑫那压抑已久的男孩淘气贪玩儿的天性在几个一直淘气贪玩儿同学的带动下释放了出来，校内球场、校外花鸟市场随见他尽情玩耍的身影，打架也成家常便饭，当然放纵的结果是高一第一学期考试全班倒数第三名，这种低靡况态持续到回湛江上高三前，在父母恢复严管与高考的重压下，学习成绩才又上来，并顺利地考上大学。
高考时黄鑫的第一志愿报的是公安，他从小就想当警察，这是典型和常见的男孩心理特点的理想。他清楚地记得年幼时最喜欢戴“警察帽”，高考分数与体检都过了录取标准线，无奈报名且过线的人远远多于招收名额，又无特殊关系，最终与这个理想失之交臂，但黄鑫至今认为如果当年能被录取自己会是个出色的警察，至少不会比现在当程序员做得差，也许当年的阴错阳差注定黄鑫终将是一个优秀的程序员而非警员，现在所取得的成绩已足以说明他的大脑就是为计算机技术而生，其实一切早已命里注定。
黄鑫因“冰河”一举成名，他坦承“冰河”给他的生活带来许多的改变，有名气以及因名气间接带来的物质收益，但最让他看中的还是以“冰河”为媒结交的圈内外一大批志同道和的朋友，酷爱金庸作品的黄鑫很认同“网络安全界形同武林界”的观点，同样的高手如林、山外有山；同样的艺无止境、学海无涯；同样的人在江湖、义薄云天。
“冰河”也给黄鑫的生活带来很多意想不到的小烦恼和小幽默，网友们因“冰河”而对他很敬佩，更有的把他当成了“神仙”，在QQ上他就同一个网友有过这样的对话：网友：“你就是大名鼎鼎的‘冰河’？”，黄鑫：“是的。”网友：“那你是不是现在就能进到我的电脑里？”黄鑫看罢几乎要“晕倒”！另一次，黄鑫电脑的个人防火墙有段时间经常报警显示有人对其进行扫描，一看端口正是“冰河”的默认端口7626，开始他没多介意，但时间久了难免烦人，于是开了一个TELENT客户端口，然后跟对方说：“请你TELNET到xxx.xxx.xxx.xxx咱们聊聊！”这下对方终于知道遇到了“真人”，没有一个人敢上来应答。
现在的黄鑫很少谈“冰河”，甚至不喜欢谈“冰河”，因为在他看来再谈一切与“冰河”相关的话题就是犯了“好汉不提当年勇”的大忌，这对于他是不能容忍的，对一个程序员意味着创造与想象力的枯竭，他现在最希望的就是人们忘记“冰河”或说忘记“冰河”与他的关系，他不希望现在甚至多年以后一提黄鑫这个名字人们记住的还只是“冰河”，就如作家不希望人们只记住他的成名作，没有进取与创新，不再能超越自我对他们来说是最大的失败，年轻的黄鑫也不可能只开发一条“冰河”。谁也不知道 “金庸迷”的黄鑫“大侠”何时会“收山封刀，淡出江湖”。

很好的文章

[技术资料]

被入侵计算机系统恢复指南

A.准备工作
　　1.商讨安全策略
　　如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略。

　　1.1.和管理人员协商

　　将入侵事故通知管理人员，可能在有的组织中很重要。在be aware进行事故恢复的时候，网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。

　　1.2.和法律顾问协商

　　在开始你的恢复工作之前，你的组织需要决定是否进行法律调查。

　　注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的)，以及有关的法律程序。

　　现在，是你决定如何处理这起事故的时候了，你可以加强自己系统的安全或者选择报警。

　　如果你想找出入侵者是谁，建议你与管理人员协商并咨询法律顾问，看看入侵者是否触犯了地方或者全国的法律。根据这些，你可以报案，看看警方是否愿意对此进行调查。

　　针对与入侵事件，你应该与管理人员和法律顾问讨论以下问题：

　　如果你要追踪入侵者或者跟踪网络连接，是否会触犯法律。

　　如果你的站点已经意识到入侵但是没有采取措施阻止，要承担什么法律责任。

　　入侵者是否触犯了全国或者本地的法律。

　　是否需要进行调查。

　　是否应该报警。

　　1.3.报警

　　通常，如果你想进行任何类型的调查或者起诉入侵者，最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。

　　一定要记住，除非执法部门的参与，否则你对入侵者进行的一切跟踪都可能是非法的。

　　1.4.知会其他有关人员

　　除了管理者和法律顾问之外，你还需要通知你的恢复工作可能影响到的人员，例如其他网络管理人员和用户。

　　2.记录恢复过程中所有的步骤

　　毫不夸张地讲，记录恢复过程中你采取的每一步措施，是非常重要的。恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定，还可以留作以后的参考。记录还可能对法律调查提供帮助。

　　A.准备工作

　　1.商讨安全策略

　　如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略。

　　1.1.和管理人员协商

　　将入侵事故通知管理人员，可能在有的组织中很重要。在be aware进行事故恢复的时候，网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意。

　　1.2.和法律顾问协商

　　在开始你的恢复工作之前，你的组织需要决定是否进行法律调查。

　　注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民事的或者是刑事的)，以及有关的法律程序。

　　现在，是你决定如何处理这起事故的时候了，你可以加强自己系统的安全或者选择报警。

　　如果你想找出入侵者是谁，建议你与管理人员协商并咨询法律顾问，看看入侵者是否触犯了地方或者全国的法律。根据这些，你可以报案，看看警方是否愿意对此进行调查。

　　针对与入侵事件，你应该与管理人员和法律顾问讨论以下问题：

　　如果你要追踪入侵者或者跟踪网络连接，是否会触犯法律。

　　如果你的站点已经意识到入侵但是没有采取措施阻止，要承担什么法律责任。

　　入侵者是否触犯了全国或者本地的法律。

　　是否需要进行调查。

　　是否应该报警。

　　1.3.报警

　　通常，如果你想进行任何类型的调查或者起诉入侵者，最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。

　　一定要记住，除非执法部门的参与，否则你对入侵者进行的一切跟踪都可能是非法的。

　　1.4.知会其他有关人员

　　除了管理者和法律顾问之外，你还需要通知你的恢复工作可能影响到的人员，例如其他网络管理人员和用户。

　　2.记录恢复过程中所有的步骤

　　毫不夸张地讲，记录恢复过程中你采取的每一步措施，是非常重要的。恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定，还可以留作以后的参考。记录还可能对法律调查提供帮助

[技术资料]

教你如何防范自己的IP泄漏

在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测(也可以说“侦察”)对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址；以及用户如何防范自己的IP泄漏。

获取IP

“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP；在Internet上使用IP版的QQ直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。这是用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。

隐藏IP

虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点，譬如：它耗费资源严重，降低计算机性能；在访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件——网络新手IP隐藏器(如图2)，只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和QQ泄漏IP的情况。

不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度；需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。

虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

[安全防范]

“蜜罐技术”能消除防火墙局限和脆弱

防火墙是网络上使用最多的安全设备，是网络安全的重要基石。防火墙厂商为了占领市场，对防火墙的宣传越来越多，市场出现了很多错误的东西。其中一个典型的错误，是把防火墙万能化。但2002年8月的《计算机安全》中指出，防火墙的攻破率已经超过47%。正确认识和使用防火墙，确保网络的安全使用，研究防火墙的局限性和脆弱性已经十分必要。

防火墙十大局限性

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。

二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。

三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。

五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。

六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。

七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。

十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

防火墙十大脆弱性

一、防火墙的操作系统不能保证没有漏洞。目前还没有一家防火墙厂商说，其防火墙没有操作系统。有操作系统就不能绝对保证没有安全漏洞。

二、防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期，都会老化，总有失效的一天。

三、防火墙软件不能保证没有漏洞。防火墙软件也是软件，是软件就会有漏洞。

四、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IP操作的漏洞。

五、防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言，是一项合法命令，而在黑客手里就可能是一个危险的命令。

六、防火墙无法区分恶意流量和善意流量。一个用户使用PING命令，用作网络诊断和网络攻击，从流量上是没有差异的。

七、防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此，除非确信需要某些功能，否则，应该功能最小化。

八、防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上，检查越细越安全，但检查越细速度越慢。

九、防火墙的多功能与速度成反比。防火墙的功能越多，对CPU和内存的消耗越大，功能越多，检查的越多，速度越慢。

十、防火墙无法保证准许服务的安全性。防火墙准许某项服务，却不能保证该服务的安全性。准许服务的安全性问题必须由应用安全来解决。

市场需要新一代防火墙

在计算机网络日益普及的今天，市场需要新一代防火墙来改变目前的不安全局面。

新一代防火墙定位于解决以下问题：1.协议的安全性问题；2.病毒产生的攻击的问题；3.可信与不可信的问题；4.防火墙自身的安全性问题等。

随着网络安全技术的不断发展，像物理隔离网闸（GAP）、防泄密系统（Anti-Disclosure）、防病毒网关（Anti-Virus Gateway）、抗攻击网关（Anti-DDOS Gateway）、入侵检测防御（IDP）等技术，大大弥补了防火墙技术的不足，从而构成了更加安全的网络防御体系。

你是不是疲于防范黑客？现在你应该采取攻势了。至少这是所谓的蜜罐（honeypot）蕴含的思想。蜜罐是指目的在于吸引攻击者、然后记录下一举一动的计算机系统。

蜜罐技术的实现

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

设置蜜罐并不难，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，你就要在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要坐下来，等待攻击者自投罗网。

不过，设置蜜罐并不是说没有风险。这是因为，大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任（downstream liability），由此引出了蜜网（honeynet）这一话题。

蜜网是指另外采用了技术的蜜罐，从而以合理方式记录下黑客的行动，同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接，而是防止蜜罐建立出站连接。不过，虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。

数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）

近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。

蜜罐技术的优势

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就容易多了。

自1999年启动以来，蜜网计划已经收集到了大量信息，你可以在www.honeynet.org上找到。部分发现结果包括：攻击率在过去一年增加了一倍；攻击者越来越多地使用能够堵住漏洞的自动点击工具（如果发现新漏洞，工具很容易更新）；尽管虚张声势，但很少有黑客采用新的攻击手法。

蜜罐主要是一种研究工具，但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上，你就可以了解它所遭受到的攻击。

当然，蜜罐和蜜网不是什么“射后不理”（fire and forget）的安全设备。据蜜网计划声称，要真正弄清楚攻击者在短短30分钟内造成的破坏，通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐，你要不断与黑客斗智斗勇。可以这么说：你选择的是战场，而对手选择的是较量时机。因而，你必须时时保持警惕。

蜜罐领域最让人兴奋的发展成果之一就是出现了虚拟蜜网。虚拟计算机网络运行在使用VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统使你可以在单一主机系统上运行几台虚拟计算机（通常是4到10台）。虚拟蜜网大大降低了成本、机器占用空间以及管理蜜罐的难度。此外，虚拟系统通常支持“悬挂”和“恢复”功能，这样你就可以冻结安全受危及的计算机，分析攻击方法，然后打开TCP/IP连接及系统上面的其它服务。

对大组织的首席安全官（CSO）来说，运行蜜网最充分的理由之一就是可以发现内部不怀好意的人。

蜜罐技术的法律问题

出乎意料的是，监控蜜罐也要承担相应的法律后果，譬如说，有可能违反《反窃听法》。虽然目前没有判例法，但熟悉这方面法律的人士大多数认为，双方同意的标语是出路所在。也就是说，给每个蜜罐打上这样的标语：“使用该系统的任何人同意自己的行为受到监控，并透露给其他人，包括执法人员。”

[防火墙技术]

防火墙面临结构升级

作者：刘兵、毕学尧、张海涛 文章来源：中国计算机报 网络与通信

经过若干年的讨论后，对于防火墙的存在形式，人们已经有了统一认识——还是硬件防火墙性价比高。

基于ASIC的防火墙依靠其优异性能成为目前公认的最好的防火墙。

但是，由于种种原因，这种技术并不适合于国内厂商发展。

那么，国产的防火墙该靠什么来崛起呢？有人提出，要靠最新的网络处理器（NP）技术。

目前，国内外各种品牌的防火墙在功能上大同小异，而且随着Intel X86CPU性能的快速提高，基于Intel X86架构的防火墙在100Mbps带宽下的性能也可以满足用户的需求。但是，随着千兆网络的建设或升级，新的问题又摆在防火墙厂商和用户的面前，带宽提高了9倍，可是系统总线、接口没变，CPU的处理能力却不可能提高9倍，对于要完成包括包过滤、代理、NAT、防攻击等多项任务的防火墙来说，原有的硬件和结构不可能满足千兆环境的性能要求。这就决定了在下一阶段，性能将成为防火墙产品的竞争焦点，也是国内外厂商、用户关注的热点。

软硬结合一直是防火墙设计和实现的主要方法，对于提高性能来说，硬件技术是关键。高速网络环境下千兆防火墙产品的数据处理包括过滤、内容检查、高速交换、加解密等诸多方面，没有高性能的硬件就不能保证千兆以上的线速处理，而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行二到七层处理的需求。这就需要使用具有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心，它已经成为新一代网络设备的核心处理器，是未来网络设备的发展趋势。

网络处理器比工控机、ASIC更适于千兆

网络处理器顾名思义即专为网络数据处理而设计的芯片或芯片组，能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力，这样，基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。

千兆防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和网络处理器加速技术。Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐。在百兆防火墙比较容易地获得成功后，很多开发商对千兆防火墙产品的开发也很乐观，认为通过提高CPU主频，扩大内存、用最好的千兆服务器网卡等手段就能直接满足千兆环境的需求，但实际情况却并非如此，其中最主要的问题就表现在性能上。

由于采用PCI总线接口，Intel X86架构的硬件虽然理论上能达到接近2Gbps的吞吐量，但实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。而且，由于X86 CPU的广泛应用，很多网络攻击，尤其是溢出攻击很容易实现，设备自身的安全性较低。而网络处理器不但处理性能高，由于采用了ARM、PowerPC或 MIPS CPU，能防范大多数的溢出攻击，提高了自身的安全性。不过，对于性能和安全要求不太高的用户来说，基于Intel X86架构的防火墙基本可以满足需求。

国外有部分厂商的防火墙产品采用了ASIC专用硬件加速，如NetScreen的高端防火墙。这样做可以明显提升防火墙的吞吐性能，但对于升级维护的灵活性和扩展性不够，而且开发费用高，开发周期长，一般需要两年以上的时间，不利于公司快速推出满足用户不断变化需求的防火墙产品。网络处理器是一种非基于ASIC的IC或IC芯片组，利用软件编程，网络处理器可以像ASIC那样快速地处理数据包。同时可以通过升级芯片上的固件增加新的功能。其固件既可以由网络设备厂商编写，也可由第三方加载到处理器中。一般而言，网络处理器比基于ASIC的设计解决方案能缩短上市时间，并能节约几百万美元的资金。同时，由于知识产权包含在软件而不是硬件中，因此，网络设备制造商可以很方便地重复应用他们的秘密，从而使下一代产品的设计成本进一步减少，使上市时间更短。

两种可用的网络处理器结构

在开发基于网络处理器的防火墙之前，最重要的工作莫过于选择何种网络处理器，因为这在功能、性能以及软件支持方面具有较大的差异，不但会影响防火墙的功能和性能，对上市时间也有很大影响，用户在选择千兆防火墙之前也应该考虑这一点。目前，网络处理器都是由国外厂商设计制造的，从体系结构上主要分为两大类：一类是以Intel 的IXP系列产品为代表，分为控制和处理（或称数据）两个平面，如Intel公司的IXP1200，控制平面是一个ARM CORE，负责维护系统信息和协调处理部分工作，处理平面由多个微引擎（Micro Engine）和其他专用硬件组成，负责利用控制平面下发的微代码和命令，直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好，但是由于体系结构限制，尤其是微代码的开发相对复杂，导致灵活性较差，难以满足复杂多变的市场需求，一般适合3层（IP层）及以下网络数据的处理。另一类产品以SiByte 的Mercurian系列产品为代表，它基于MIPS CPU设计，如SB1250。它一方面保持了基于通用CPU设计的灵活性，另一方面通过SOC（System On Chip）的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强，易于开发、升级和维护，适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。一般来说，单用吞吐量来评价防火墙性能是很不够的，更应考虑到它能够支持哪些应用以及支持新应用的可扩展性，有人曾说过：“网络处理器应用于实际的商用产品开发的一个必要条件是，网络处理器需要有完美的可塑性。”从这个角度来看，后一类网络处理器产品是值得考虑的。

目前，网络处理器的发展速度非常快，Intel公司的IXP系列最新型号的产品IXP2800，已经能够处理10Gbps的网络数据，IBM公司的NP4GS3能够处理2.5Gbps的网络数据，这两款产品可以用于开发QoS服务器、高端交换机、骨干路由器等产品。不过由于供货时间的关系，目前大规模应用的Intel网络处理器还是以IXP1200为主，高端产品可能要今年晚些时候才能供货。采用IXP网络处理器的开发费用不是很高，但是由于IXP1200单片的处理性能较低，一般需要多片并行工作才能满足千兆需求，还需要其他协处理芯片配合，对硬件设计能力要求较高，也导致其最终产品价格不可能太低。SiByte公司的SB1250作为宽带网络处理器现在已经非常成熟，它内部集成了多个MAC控制器，能直接计算TCP/IP数据包的校验和，可处理2.5Gbps全双工的网络数据，而且开发费用相对小得多，是开发高端千兆防火墙的较好选择。

国内厂商寄厚望于网络处理器

现在国内外有很多防火墙厂商已经意识到了，利用网络处理器作为下一代千兆防火墙是大势所趋，部分厂商也已经开始了这方面的探索和努力，如美国的ServerGate防火墙，它采用多片IXP1200结合高速包分类芯片设计，在进行多路测试情况下，其吞吐量可达到800Mbps左右（64bytes包）。另外，据“赛迪网”报道（http://www.ccidnet.com/news/enterpriseperson/2002/08/22/95_72651.html），国内的华堂公司正在利用网络处理器进行千兆防火墙的开发，它采用的是IXP1200。采用SiByte公司的SB1250进行千兆防火墙开发的公司在国内也开始出现。据预测，大多数国内外厂商会在2003年三四季度发布基于网络处理器的防火墙产品。

我们认为，在传统Intel X86架构上开发高端网络安全产品灵活性强，可扩充能力好，但性能无法满足千兆需求。同时，开发专用于网络处理的ASIC芯片费用高、时间长而且灵活性较差。在这种情况下，利用网络处理器开发下一代高速网络安全产品是一个必然趋势，特别是对国内防火墙厂商而言，采用网络处理器可以快速缩短和国外厂商的差距，填补国内产品在高端市场上的空白，提高我国网络安全防护的整体水平。不过我们需要注意的是，在千兆防火墙的设计中，只有根据用户需求选择合适的网络处理器，才可能在下阶段竞争中取得主动。

[安全新闻]

校园网安全防不胜防　需各种个性化解决方案

　　作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段，信息化为教育的创新与普及提供了新的突破口。与此同时，网络社会与生俱来的不安全因素，如病毒、黑客、非法入侵，不健康信息等，也无时无刻不在威胁教育网络的健康发展，而成为教育信息化建设中不容忽视的问题。教育行业的信息安全需求，无疑形成了一个庞大的市场。

　　网络面临的威胁

　　与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段；病毒与恶意攻击，即通过网络传播病毒或恶意Java、XActive等；线路窃听，即利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。

　　除此之外，Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示，有30%-40%的Internet访问是与工作无关的，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。而对教育网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害青少年的身心健康，导致无法想象的后果。

　　校园网：全方位的安全需求

　　许多校园网是从局域网发展来的，由于意识与资金方面的原因，它们在安全方面往往没有太多的设置，包括一些高校在内，常常只是在内部网与互联网之间放一个防火墙就了事了，甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。因此，校园网的网络安全需求是全方位的。

　　其一，网络病毒的防范。在网络中，病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。

　　其二，网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。
　　其三，网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。

　　其四，网络安全漏洞。对于非专业人员来说，无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞，因此需要借助第三方软件来解决此安全隐患，并提出相应的安全解决方案。

　　其五，数据备份和恢复。设备可以替换，数据一旦被破坏或丢失，其损失几乎可以用灾难来衡量。所以，做一套完整的数据备份和恢复措施是校园网迫切需要的。

　　其六，有害信息过滤。对于大中型校园网络，必须采用一套完整的网络管理和信息过滤相结合的系统，实现对整个校园内电脑访问互联网进行有害信息过滤管理。

　　其七，网络安全服务。为确保整个网络的安全有效运行，有必要对整个网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。

　　对症下药整体防护

　　作为国内信息安全领域的龙头企业，瑞星不但拥有过硬的技术和产品、强大的技术服务团队，同时也深刻了解国内教育单位的网络安全现状和存在的各种问题，因此在教育行业信息安全采购中连连中标。

　　教育信息化的关键是校园网的建设。几年来，瑞星先后为国防大学、安徽师范大学、福州大学、福建党校、北京景山学校等提供了信息安全解决方案，并积累了从教育机关、大学到中小学，从防病毒到整体信息安全的众多实施经验。瑞星在推进国家教育信息化与现代化的进程中，交出了一份本土安全厂商的合格答卷。

　　——防毒。根据校园网络现状，在充分考虑可行性的基础上，采用瑞星杀毒软件网络版的分级管理，多重防护体系可作为校园网络的防病毒管理架构。在整个网络内，只要有可能感染和传播病毒的地方都采取相应的防病毒手段。同时，为了有效、快捷地实施和管理整个网络的防病毒体系，充分使用瑞星杀毒软件网络版所拥有的“远程安装?、“智能升级?、“远程报警?、“集中管理?、“分布查杀等多种功能，为教育网络建立起一个完善的防病毒体系。

　　——反黑。为打造网络整体安全，瑞星通常采用两台防火墙安排在互联网，即教育网与校园网的接口处和INTER-NET网与校园网的接口处。其配置方案如下：防火墙1对教育网与校园网进行隔离；防火墙2对INTERNET网与校园网之间进行隔离，其中WWW、邮件等对外服务器放在防火墙的DM Z区与内网间进行隔离。

　　——入侵检测。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。传统的方案中往往是防火墙与R IDS各成安全体系，互不相通。充分考虑校园网的特点，可采用瑞星的入侵检测系统RIDS。此系统具有传统入侵检测功能以外，通过安装互动插件实现与瑞星防火墙进行互操作。为了更有效地检测校园网的外部攻击和内部攻击，在每个需要受保护的网络内安装相应的RIDS入侵检测系统。通过专用响应模式与防火墙进行互操作。

　　——安全服务。针对校园网的网络结构和计算机系统分布，实施全面的网络安全风险评估服务，瑞星公司技术人员定期对实体、平台、数据、通信、应用、管理等各个方面进行全面的安全隐患和脆弱性分析，提供详细的分析报告及安全性整改建议，对整体安全状况有全面具体的了解，从而为进行信息安全决策和管理提供依据。不仅如此，瑞星为用户提供了方方面面的服务，不但解除了用户的后顾之忧，也有力地保障了信息安全体系的正常运行，达到了良好的安全效应。

收了
当小说看～～

[安全新闻]

4000万被窃真相 黑客背后的黑市

【简 介】
近日，万事达公司在一份新闻稿中公布一条震惊全球的消息：4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。

　　近日，万事达公司在一份新闻稿中公布一条震惊全球的消息：4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。

　　通过侵入一家结算处理公司的计算机，黑客显然偷走了20万张信用卡和借记卡账户的数据，并可能访问了4000万名信用卡的信息。万事达信用卡国际公司发言人Jessica Antle证实，不过，此次安全违规事件的根源是CardSystems公司，一家为数家信用卡处理交易的第三方公司。

　　Antle说，此次安全违规事件涉及一种计算机病毒。这种病毒为欺诈窃取顾客数据，可能影响到所有品牌信用卡用户。他表示，黑客可能利用了该公司系统的漏洞，进入了该公司的网络并获取了客户的信息。

　　尽管Antel说顾客不必为身份偷窃担心：“社会保险号、出生日期以及诸如此类的信息根本就没有保存在信用卡上。”但来自各国的评估和欺诈性交易报告显示，此次用户信息被窃已经导致了欺诈性交易：一些用户信用卡出现了高档产品消费。

　　美国联邦调查局(FBI)已开始调查此事。

　　泄漏发生在数周前

　　据《New York Times》报道，这次安全违规事件可以追溯到4月中旬，当时万事达国际公司注意到异常的欺诈消费。《New York Times》援引CEO John M. Perry的话说，被偷窃的记录因“研究目的”保存在CardSystems公司的一个计算机文件中。

　　《New York Times》援引他的话说：“我们不应当这样做。” 使用保存记录的研究涉及确定一些交易为什么未过经授权或不完整的原因。

　　万事达公司在透露这次事件时说，此次安全违规事件发生在CardSystems设在亚利桑纳州Tuscon市的运营中心。据CardSystems发表的声明说，FBI是在5月23日被告知此事的。该公司在声明中说，公司已经部署了一位调查安全审计员建议的改进的和额外的安全程序。

　　CardSystems每年为105000多家中小企业处理交易，并且每年为MasterCard、Visa、Discover和American Express以及在线借款处理150亿美元的交易。

　　同时，安全专家在这次安全事件透露后发现了第一起在主题行中借用万事达名义警告电子邮件用户的网页钩鱼欺诈。最初的欺诈似乎显得是仓促上阵，因为它没有提到这次安全事件，可能是改头换面的老骗局。安全专家预测未来几天欺诈骗局将继续出现，可能还会变得更加狡滑，尤其在主标行或内容中提到最新的重大安全事件新闻时。

　　安全专家David Burt说：“消费者肯定应当知道。”这次涉及众多信用卡公司的引起广泛关注的最新安全违规事件，无疑将成为美国国会未来辩论的主题。美国国会已有20多项从这样或那样角度涉及身份偷窃的议案在酝酿中。

　　Forrester公司分析师Paul Stamp说，公开披露CardSystems安全违规事件(尽管是在事件发生的数周后披露的)可能在某种程度上是对加州参议院有关隐私与个人信息的1386法案的反应。他说，未来应当出现对这类事件更多的披露。

　　他说：“这类事件肯定会发生。它们可能过去一直在发生。”现在不同是公众要求有人承担责任。CardSystems无疑有很多问题需要回答。《New York Times》报道说，被盗的数据没有被加密，并且信用卡公司发表声明说CardSystems没有遵守他们的恰当的安全要求。

黑客能量越来越大

　　这并没有使实现这种偷窃所需要的技术变得那么不同异常。

　　公开透露的有关对CardSystems Solutions公司的攻击情况的信息没有多少。FBI和这家公司都对这次黑客行动的细节缄口不言。当被问及公司115名雇员中是否有人与此案有关时，CardSystems公司高级营销副总裁Bill Reeves告诉美联社说，公司“目前不能排除任何情况”。当记者逼迫他详细说明时，他说，由于正在进行的调查，他不能发表评论。

　　即使如此，目前了解的情况足以使计算机安全专家做出有根据的推测。

　　安全研究人员说，信用卡盗贼在线社区在利用金融网络弱点上越来越精明。甚至常常被嘲笑为“脚本小子”的恶作剧者，都可以从一大堆容易得到的工具中，剪切、粘贴发动攻击所需要编程代码?D?D甚至不必理解它们的工作原理。

　　安全专家Jim Stickley说：“我认为脚本小子就可以干这件事。我不认为这有多难。”在公布这次泄密事件时，MasterCard说有人在CardSystems的网络中植入了一种类似于病毒的程序。CardSystems随后承认泄露的数据因“研究目的”被不当地保存，而不是在交换完成后删除。

　　如果这种“研究”涉及将数据转移到CardSystems网络不太安全的部分?D?D也许说，使CardSystems程序员可以在真正的信用卡记录上进行试验?D?D使用常规探测系统寻找软肋的外部人员可能发现了这些文件。IBM公司金融服务实践风险与遵从性解决方案主管Jonathan Rosenoer说：“现在你每一次Internet连接都会遭到数百次攻击。”

　　Jim Stickley给出了一种简单的情景：某人可以向一位CardSystems雇员发送一封内有与假在线贺卡链接的电子邮件。这个链接将带来预期的跳舞的小狗或其他他欢快的场面，而在背后，一个“特洛伊木马”程序会在计算机上扎下根，准备向外部人员转发信息。由于木马程序通过通常为Web浏览留下的通信端口进入计算机，攻击将不会被入侵检测软件发现或被防火墙阻止。

　　旧金山计算机安全协会主任Robert Richardson说，目前出现了越来越多的释放特洛伊木马的自动工具以及其他入侵复杂系统的工具。“他们非常快地沿食物链升级。”Postal Service and Citigroup公司前信用卡欺诈调查员Tom Kelly说，CardSystems黑客活动似乎是一个老练团伙的杰作。这个团伙准确地知道要拿哪类文件。

　　黑客背后的黑市

　　黑客盗窃信用卡信息的背后是利润可观的黑市。

　　据报道，一些信用卡账号已经在俄罗斯的网站上出售，一些消费者已经在对账单中发现了欺诈性交易。“我们看到在俄罗斯的一些聊天室，很多人在谈论电子犯罪集团的此次重大胜利。”iDefence公司的技术人员称。

　　实际上，出售这些信用卡信息可以让黑客赚得巨款。据网上欺诈分析师估计，每个万事达卡即便账号价值42美元。金卡，比如上限较高的白金或黄金卡则售价会高达70美元。

　　一些用户也发现欺诈性消费，银行已将在加拿大、英国和亚洲的一些可疑的消费活动通知给了持卡人。

链接 常识性防范措施　

　　黑客攻击尽管猖獗且手段越来越高明，但信用卡用户仍可以通过一些简单的手段进行防范。

　　消费者组织和信用卡公司说，消费者可以采取常识性防范措施避免的威胁：从经常上网检查账目到如果每月账单没有出现在邮件中时直接给信用卡公司打电话。

　　※ 计算机取证与技术公司下属部门Stroz Friedberg Investigations高级调查员Tom Kelly说，一定要让您的信用卡公司掌握您目前的电话号码，这样当他们看到信用卡上出现可疑的交易时，可以给您打电话。

　　※ 美国公众利益研究组织消费者权益鼓吹者Ed Mierzwinski说，不要在Internet上使用借记卡。借记卡欺诈行为会用光您活期存款账户中的资金。

　　※ Mierzwinski说，如果您收到有关账户可疑活动的电话或电子邮件，不要通过电话或上网提供信息。相反，记下信用卡代表的名字，然后按照信用卡背面上所列的电话号码给他们回电话。

　　※ Consumers Union政策分析师Susanna Montezemolo说，跟踪记录您的交易。您应当能够告诉信用卡公司代表您的最后5笔交易的情况。

　　※ 消费者金融教育协会执行主管Paul Richard说，少使用信用卡。他的组织销售的信用卡套子上写着：“如果您可以吃饭、喝水、穿衣，这就不是急事。”

　　※ 如果信用卡的每月对账单没有邮寄来，通知您的信用卡公司。一旦检查确认账目正确后，撕掉这些账单。您还要撕掉信用卡申请，以防他人利用您的名字申请信用卡。

　　※ Montezemolo说，保存好收据，并对照这些收据检查信用卡账目。如果您可以上网查看账目，每周检查它们一次。她说：“一些人通过一个诚实的错误发现商让给交易金额后面多加上一个零。”

　　※ 将您账户号码、它们的失效日期以及信用卡公司的电话号码的记录保存在一个安全的地方。

　　※ 不要将信用卡付款单留在家庭邮箱中。相反，通过邮局或安全的邮箱邮寄它们。

　　※ 当您外出旅行时，请谨慎在网吧或提供无线连接的场所使用信用卡。

　　※ 每年至少一次检查信用报告。

　　受到波及的部分亚太国家

　　中国 4万以上

　　据中国工商银行牡丹卡中心，万事达卡已经通知该行，大约5560名中国持卡用户，包括近500名牡丹卡用户会受到影响。维萨还没有提供受影响的中国信用卡用户数量。中国人民银行已要求所有信用卡组织妥善处理此事，并要求国内信用卡机构保持警惕，采用措施防范此类事件。

　　据报道，大约1.6万名我国台湾信用卡用户将会受到此事影响，包括7000 名维萨卡用户，其余为万事达卡用户。大约2万香港信用卡用户可能存在风险。9000名香港维萨卡用户受到影响，万事达则称9730名香港用户受到影响。香港有关机构负责人要求最近在美使用过信用卡的用户密切留意自己的对账单。

　　日本 6.7万

　　日本政府6月22日称,美国的信用卡数据泄漏事件可能会影响日本的6.7万名持卡用户。最新的报道则称，可能有8万日本信用卡用户信息被窃。

　　日本经济产业省的声明显示被窃信用卡信息有增大的可能性。来自经济产业省的官员称，大约4.6万名维萨卡和2.1万名万事达卡日本用户的信息可能已经被泄漏。还有大约31名日本信息卡公司JCB的持卡者信息被窃。

　　据媒体报道，日本持卡者投诉有高达3000万日元(约合27.5万美元)的欺诈性消费。

　　澳大利亚 12.7万

　　高达12.7万个澳大利亚信用卡用户可能因美国发生的信用卡信息被窃而受到影响。

　　大约5万名万事达卡澳洲使用者，7.7万名维萨卡澳洲用户可能面临欺诈消费的风险。

　　去年以来与美国企业有过在线交易或实地交易的澳大利亚人，交易通过Cardsystems处理的，可能会受到影响。

　　新西兰 1.3万

　　大约1.3万名新西兰持卡用户的信息被窃。维萨机构称，1.2万名持卡用户受到影响，其中650人处于高风险中。

　　万事达机构称，已建议银行1000张信用卡，5560张持卡人可能受到影响。已有数家银行承诺将重新发放信用卡，以保护用户免受侵害。

　　万事达发言人要求信用卡用户监控自己的对账单。在新西兰，Westpac正在重新发放4000张信用卡，尽管还没有出现欺诈交易。

　　链接：近期美国金融信息泄漏事件

　　2005年2月，美洲银行120万联邦政府雇员的社会保险号码和其他信用卡资料的电脑磁盘丢失。其中包括美国国会参议员的数据资料。

　　5月，美国四家大银行的约50万客户的电子账户记录被不法分子窃取，并被转手卖给了债务公司。这4家大银行分别是总部设在北卡罗莱纳州的美国银行公司和瓦霍维亚银行公司，新泽西州的切尔希里商业银行和匹兹堡国民商业银行公司。

　　6月，世界最大银行美国花旗集团丢失了一批记录着390万客户账户及个人信息的电脑记录数据带，而直接导致这一丢失事件发生的竟然是美国快递业三大巨头之一的联合包裹运送服务公司(UPS)。

好多啊

建议版主加精。

[人物]

天才少年黑客一天之内破解Google视频播放器

6月29日消息 因破译DVD电影版权保护密码软件而一举成名的挪威少年黑客约恩·约翰森(Jon Lech Johansen)只用了一天时间就破译了Google公司的新推出的视频播放器。

约翰森28日在其“有本事告我”（So Sue Me）网站上发布了一段补丁程序，称其可以解除Google对这款视频浏览器的限制，以便让此软件能够在任意服务器上使用。他指出Google的这一新软件是从VLC免费的媒体播放器改进而来，并在其上加入了一断限制程序使其只能在Google自己的服务器上使用。

Google周三一早没有回复留给它位于山景城总部的电子邮件和电话留言。

今年21岁的约翰森早在15岁时就已成为著名的黑客。当时，他发明出一种被称作“DeCSS”的软件，它可以用来破译电影行业用在DVD电影之中以防止非法盗版的CSS系统。此举使得约翰森成为了黑客群体心目中的英雄。

约翰森个人网址: http://www.nanocrew.net

Google Video Viewer网址: http://video.google.com

{连载}
[技术资料]

常用端口对照表！

端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42
服务：WINS Replication
说明：WINS复制

端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。

端口：99
服务：Metagram Relay
说明：后门程序ncx99开放此端口。

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。

端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。

端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。

端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。

端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询

端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120

端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。

端口：1720
服务：NetMeeting
说明：NetMeeting H.233 call Setup。

端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。

端口：1807
服务：[NULL]
说明：木马SpySender开放此端口。

{连载}
[技术资料]

常用端口对照表2

端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。

端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。

端口：2000
服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001
服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。

端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口：2115
服务：[NULL]
说明：木马Bugs开放此端口。

端口：2140、3150
服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2500
服务：RPC client using a fixed port session replication
说明：应用固定端口会话复制的RPC客户

端口：2583
服务：[NULL]
说明：木马Wincrash 2.0开放此端口。

端口：2801
服务：[NULL]
说明：木马Phineas Phucker开放此端口。

端口：3024、4092
服务：[NULL]
说明：木马WinCrash开放此端口。

端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129
服务：[NULL]
说明：木马Master Paradise开放此端口。

端口：3150
服务：[NULL]
说明：木马The Invasor开放此端口。

端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口

端口：3333
服务：dec-notes
说明：木马Prosiak开放此端口

端口：3389
服务：超级终端
说明：WINDOWS 2000终端开放此端口。

端口：3700
服务：[NULL]
说明：木马Portal of Doom开放此端口

端口：3996、4060
服务：[NULL]
说明：木马RemoteAnything开放此端口

端口：4000
服务：QQ客户端
说明：腾讯QQ客户端开放此端口。

端口：4092
服务：[NULL]
说明：木马WinCrash开放此端口。

端口：4590
服务：[NULL]
说明：木马ICQTrojan开放此端口。

端口：5000、5001、5321、50505
服务：[NULL]
说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。

端口：5550
服务：[NULL]
说明：木马xtcp开放此端口。

端口：5569
服务：[NULL]
说明：木马Robo-Hack开放此端口。

端口：5632
服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口：5742
服务：[NULL]
说明：木马WinCrash1.03开放此端口。

端口：6267
服务：[NULL]
说明：木马广外女生开放此端口。

端口：6400
服务：[NULL]
说明：木马The tHing开放此端口。

端口：6670、6671
服务：[NULL]
说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口：6883
服务：[NULL]
说明：木马DeltaSource开放此端口。

端口：6969
服务：[NULL]
说明：木马Gatecrasher、Priority开放此端口。

端口：6970
服务：RealAudio
说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口：7000
服务：[NULL]
说明：木马Remote Grab开放此端口。

端口：7300、7301、7306、7307、7308
服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口：7323
服务：[NULL]
说明：Sygate服务器端。

端口：7626
服务：[NULL]
说明：木马Giscier开放此端口。

端口：7789
服务：[NULL]
说明：木马ICKiller开放此端口。

端口：8000
服务：OICQ
说明：腾讯QQ服务器端开放此端口。

端口：8010
服务：Wingate
说明：Wingate代理开放此端口。

端口：8080
服务：代理端口
说明：WWW代理开放此端口。

端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
说明：木马Portal of Doom开放此端口。

端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。

端口：11000
服务：[NULL]
说明：木马SennaSpy开放此端口。

端口：11223
服务：[NULL]
说明：木马Progenic trojan开放此端口。

端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。

端口：12223
服务：[NULL]
说明：木马Hack'99 KeyLogger开放此端口。

端口：12345、12346
服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。

端口：12361
服务：[NULL]
说明：木马Whack-a-mole开放此端口。

端口：13223
服务：PowWow
说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口：16969
服务：[NULL]
说明：木马Priority开放此端口。

端口：17027
服务：Conducent
说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口：19191
服务：[NULL]
说明：木马蓝色火焰开放此端口。

端口：20000、20001
服务：[NULL]
说明：木马Millennium开放此端口。

端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。

端口：21554
服务：[NULL]
说明：木马GirlFriend开放此端口。

端口：22222
服务：[NULL]
说明：木马Prosiak开放此端口。

端口：23456
服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。

端口：26274、47262
服务：[NULL]
说明：木马Delta开放此端口。

端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。

端口：30100
服务：[NULL]
说明：木马NetSphere开放此端口。

端口：30303
服务：[NULL]
说明：木马Socket23开放此端口。

端口：30999
服务：[NULL]
说明：木马Kuang开放此端口。

端口：31337、31338
服务：[NULL]
说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339
服务：[NULL]
说明：木马NetSpy DK开放此端口。

端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。

端口：33333
服务：[NULL]
说明：木马Prosiak开放此端口。

端口：34324
服务：[NULL]
说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口：40412
服务：[NULL]
说明：木马The Spy开放此端口。

端口：40421、40422、40423、40426、
服务：[NULL]
说明：木马Masters Paradise开放此端口。

端口：43210、54321
服务：[NULL]
说明：木马SchoolBus 1.0/2.0开放此端口。

端口：44445
服务：[NULL]
说明：木马Happypig开放此端口。

端口：50766
服务：[NULL]
说明：木马Fore开放此端口。

端口：53001
服务：[NULL]
说明：木马Remote Windows Shutdown开放此端口。

端口：65000
服务：[NULL]
说明：木马Devil 1.03开放此端口。

[技术资料]

系统进程全攻略

基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表*作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的*作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始－运行－敲入cmd
然后在敲入 tlist -s （tlist 应该是win2k工具箱里的冬冬）
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息，可以敲 tlist pid。

Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。

explorer.exe
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。
通常不会对系统产生什么负面影响。

internat.exe

这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入
令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，
包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些
进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么
不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。


winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

taskmagr.exe
这个进程呀，哈哈，就是任务管理器了

[沙里淘金][技术资料]
{连载}
网络安全方面的词汇，当字典用，很方便！

网络安全方面的专业词汇

Access Control List（ACL） 访问控制列表

access token 访问令牌

account lockout 帐号封锁

account policies 记帐策略

accounts 帐号

adapter 适配器

adaptive speed leveling 自适应速率等级调整

Address Resolution Protocol(ARP) 地址解析协议

Administrator account 管理员帐号

ARPANET 阿帕网（internet的前身）

algorithm 算法

alias 别名

allocation 分配、定位

alias 小应用程序

allocation layer 应用层

API 应用程序编程接口

anlpasswd 一种与Passwd+相似的代理密码检查器

applications 应用程序

ATM 异步传递模式

attack 攻击

audio policy 审记策略

auditing 审记、监察

back-end 后端

borde 边界

borde gateway 边界网关

breakabie 可破密的

breach 攻破、违反

cipher 密码

ciphertext 密文

CAlass A domain A类域

CAlass B domain B类域

CAlass C domain C类域

classless addressing 无类地址分配

cleartext 明文

CSNW Netware客户服务

client 客户，客户机

client/server 客户机/服务器

code 代码

COM port COM口（通信端口）

CIX 服务提供者

computer name 计算机名

crack 闯入

cryptanalysis 密码分析

DLC 数据链路控制

decryption 解密

database 数据库

dafault route 缺省路由

dafault share 缺省共享

denial of service 拒绝服务

dictionary attack 字典式攻击

directory 目录

directory replication 目录复制

domain 域

domain controller 域名控制器

domain name 域名
域名其实就是入网计算机的名字，它的作用就象寄信需要写明人们的名字、地址一样重要。域名结构如下：计算机主机名.机构名.网络名.最高层域名。域名用文字表达，比用数字表达的IP地址容易记忆。加入Internet的各级网络依照DNS的命名规则对本网内的计算机命名，并负责完成通讯时域名到IP地址的转换 。

DNS 域名服务器
DNS(Domain Name System,域名系统)是指在 Internet上查询域名或IP地址的目录服务系统。在接收到请求时，它可将另一台主机的域名翻译为IP地址，或反之。大部分域名系统都维护着一个大型的数据库，它描述了域名与 IP地址的对应关系，并且这个数据库被定期地更新。翻译请求通常来自网络上的另一台计算机，它需要IP地址以便进行路由选择。

DDE 动态数据交换

DHCP 动态主机配置协议

encryption 加密

EGP 外部网关协议

FDDI 光纤分布式数据接口

FAT 文件分配表

FTP(File Transfer Protocol） 文件传送协议

filter 过滤器

firmware 固件

flooding 淹没

GSNW NetWare网关服务

GDI(graphical device interface) 图形设备界面

GUI 图形用户界面

HTML 超文本标记语言

HTTP 超文本传送协议

IGP 内部安全性

ICMP(Internet Control Message Protocol) 网际控制报文协议
ICMP用来发送关于IP数据报传输的控制和错误信息的TCP/IP协议。当一个IP数据报不能传送
到目的地时，可能是因为目的地的机器暂停服务或者信息交通阻塞，路由器可能使用ICMP将
失败信息通知发送者。

IGMP（Internet Group Management Protocol，Internet群组管理协议）
这种TCP/IP协议允许Internet主机参加多点播送（multicasting）----一种向计算机群广播
信息的有效手段

IIS 信息服务器

IP(Internet Protocol) 网际协议

IRC 网上交谈

ISP 网络服务提供者

IPX 互连网分组协议

IPC 进程间通信

IRQ 中断请求

IP address IP地址
IP地址称作网络协议地址，是分配给主机的一个32位地址，由4个字节组成，分为动
态IP地址和静态IP地址两种。动态IP地址指的是每次连线所取得的地址不同，而静
态IP地址是指每次连线均为同样固定的地址。一般情况下，以电话拨号所取得的地址
均为动态的，也就是每次所取得的地址不同。

IP masquerade IP伪装

IP spoofing IP欺骗

LAN 局域网

LPC 局部过程调用

NNTP 网络新闻传送协议

PPP 点到点协议
称为点对点通信协议(Point to Point Protocol)，是为适应那些不能在网络线上的使用者，通过电话线的连接而彼此通信所制定的协议。

PDC 主域控制器

Telnet 远程登陆

TCP/IP 传输控制协议/网际协议
TCP/IP通信协议主要包含了在Internet上网络通信细节的标准，以及一组网络互连的协议和路径选择算法。TCP是传输控制协议，相当于物品装箱单，保证数据在传输过程中不会丢失。IP是网间协议，相当于收发货人的地址和姓名，保证数据到达指定的地点。

TFTP 普通文件传送协议
TFTP是无盘计算机用来传输信息的一种简化的FTP协议。它非常之简单，所以可固化在硬盘上，而且支持无认证操作。TFTP是一种非常不安全的协议。

Trojan Horse 特洛伊木马

URL 统一资源定位器

UDP 用户数据报协议

VDM 虚拟DOS机

UUCP 是一种基于猫的使用已经很久的文件传输协议，有时候还使用它在Internet上传输Usenet新闻和E-mail，尤其是在那些间断性联网的站点上。现在很少站提供匿名的UUCP来存取文件。而它做为一种文件传输协议，只有那些没有入网而使用猫的用户使用此方法。

WWW 万维网
WWW(Word Wide Web)是Internet最新的一种信息服务。它是一种基于超文本文件的交互式浏览检索工具。用户可用WWW在Internet网上浏览、传递、编辑超文本格式的文件。

WAN 广域网

virtual server 虚拟服务器

Usenet
用户交流网Usenet是网络新闻服务器的主要信息来源。Usenet完全是一个民间自发建立的，使用Internet交换信息但又不完全依赖Internet进行通讯的用户交流网络。使用Usenet的自愿者共同遵守一些约定的网络使用规则。

USER name 用户名

USER account 用户帐号

Web page 网页

OpenGL 开放图形语言

ODBC 开放数据库连接

PCI 外设连接接口
……………………………………………………………

authentication 认证、鉴别

authorization 授权

Back Office Microsoft公司的一种软件包

Back up 备份

backup browser 后备浏览器

BDC 备份域控制器

baseline 基线

BIOS 基本输入/输出系统

Binding 联编、汇集

bit 比特、二进制位

BOOTP 引导协议

BGP 引导网关协议

Bottleneck 瓶径

bridge 网桥、桥接器

browser 浏览器

browsing 浏览

channel 信道、通路

CSU/DSU 信道服务单元/数字服务单元

Checksum 校验和

Cluster 簇、群集

CGI 公共网关接口
CGI（Common Gateway Interface公用网关接口是一个可以产生相同结果或结果随用户输入而变化的程序。它可以用一种解释性的界面语言编写，也可以用一种编译方式的编程语言编写。CGI规定了Web服务器调用其它可执行程序的接口协议标准。Web服务器通过调用CGI程序实现和Web浏览器的交互，也就是CGI程序接受Web浏览器发送给Web服务器的信息，进行处理，并将响应结果再回送给Web服务器和Web浏览器。CGI程序一般完成Web网页中表单数据的处理、数据库查询和实现与传统应用系统的集成等工作。CGI程序虽然可以用任何程序设计语言编写，但是用C语言编写的CGI程序具有执行速度快、安全性高等特点。

CGI-based attack（基于CGI攻击）它利用公共网关接口的脆弱点进行攻击，通常借助www站点进行

crash（崩溃） 系统突然失效，需要从新引导

CD-ROM 只读型光盘

Component 组件

data link 数据链路

datagram 数据报

default document 缺省文档

digital key system 数字键控系统

disk mirroring 磁盘镜像

distributed file system 分布式文件系统

data-driven attack（数据驱动攻击）依靠隐藏或者封装数据进行的攻击，那些数据可不被察觉的通过防火墙。

DNS spoofing（域名服务器电子欺骗）攻击者用来损害域名服务器的方法，可通过欺骗DNS的高速缓存或者内应攻击来实现的一种方式（通常为攻击者假扮合法的DNS服务器角色）

DoS（嘿嘿，可不是DOS哦，这个是deniad of service，极为服务拒绝）用户恶意使用网络信息服务器时，将拒绝为合法的用户提供服务。

eavesdropping 窃听、窃取

encrypted tunnel 加密通道

enterprise network 企业网

Ethernet 以太网

External security 外部安全性

environment variable 环境变量

[沙里淘金][技术资料]
网络方面的词汇，当字典用，非常方便2

fax modem 传真猫

file attribute 文件属性

file system 文件系统

file 文件

form 格式

fragments 分段

frame relay 桢中继

firewall 防火墙
Firework(防火墙)是加强加 Internet 与 Intranetp(内部网)之间安全防范的一个或一组系统。防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，那些外部服务可由内部人员访问。为了使防火墙发挥效力，来自和发往 Internet 的所有信息都必须经由防火墙出入。
防火墙只允许授权信息通过，而防火墙本身不能被渗透。

gated daemon gated进程（好象是一种早期的UNIX寻径服务）

gateway 网关

global account 全局帐号

global group 全局组

group 组

group account 组帐号

group identifier 组标识符

HCL 硬件兼容性表

hash 散表

HPFS 高性能文件系统

Home directory 主目录

home page 竹叶

hop 驿站、中继段

host 主机

hyperlink 超文本链接

highjacking 劫持终端，即为攻击者捕获另一个用户会话的控制。这是很少发生的，一旦发生就表明目标的安全性已经被破坏。其实NetXRay在这一点就做的很好。

HTPASSWD 一种用密码来保护WWW(UNIX)上的站点的系统

icon 图标

impersonation attack 伪装攻击

index server 索引服务器

ISA 工业标准结构

Inherieted Rights Filter 继承权限过滤器

ISDN 综合业务数字网

interactive user 交互性用户

intermediate system 中介系统

internal security 内部安全性

Internet Explorer（IE） IBM的万维网浏览器

Internet server 因特网服务器

Interpreter 解释程序

intranet 内联网，企业内部网

intruder 入 侵 者

IMAP 一种邮件协议
是Internet Message Access Protocal 的缩写。IMAP 提供了一个在远程服务器上管理邮件的手段，它与POP 协议相似，但功能比POP 要多，功能包括：只下载邮件的标题、建立多个邮箱和在服务器上建立保存邮件的文件夹。

Java Virtual Machine Java虚拟机

JavaScript 基于Java语言的一种脚本语言

jack in 一句黑客常用的口语，意思为破坏服务器安全的行为

kernel 内核

keys 密钥

keyspace 密钥空间

Keystroke Recorder（按键记录器） 一些用语窃取他人用户名和密码的工具

LAN Server 局域网服务器

Local security 局部安全性

log 日志、记录

logging 登录

logoff 退出、注销

logical port 逻辑端口

logon 注册

logon script 登录脚本

LFN 长文件名

logic bomb（逻辑炸弹）一种可导致系统加锁或者故障的程序或代码。

mass browser 主浏览器

MAPI
是Messaging Application Progrmming Interface 的缩写。微软和其它一些公司开发了MAPI，可使Windows 应用程序接入到从Microsoft Mail 到Novell MHS的多种消息系统。但是， MAPI仅限于在日常工作的水平上工作，即感知邮件的应用程序，它可在网络上交换邮件与数据。

member server 成员服务器

menu 菜单

message 消息

multilink 多链接

MIME 多媒体Internet邮件扩展

MPR 多协议路由器

multiprocessing 多重处理

Module 模块

multihomed host 多穴主机

MUD
MUD的英文全名是Multiple User Dimension、Multiple User Dialogue或Multiple User Dungeon，译为“多人世界”、“多人对话”或“多人地牢”，俗称“泥巴”游戏。

named pipes 命名管道

NDS NetWare目录服务

NetBEUI NetBIOS扩展用户接口

NetBIOS gateway NetBIOS网关

NetWare 网络操作系统（不好意思，我忘了是那个公司开发的了）

network 网络

NetBIOS 网络基本输入/输出系统

NDIS 网络驱动程序接口规范

NetDDE 网络动态数据交换

NIC 网络接口卡

network layer 网络层

Network Monitor 一个网络监控程序

network operating system 网络操作系统

network printer 网络打印机

network security 网络安全

network user 网络用户

NFS 网络文件系统

node 节点

npasswd UNIX的一种代理密码检查器，在提交给密码文件前，它将对潜在的密码进行筛选。

OSPF 开放最短路径优先协议

OSI Model 开放系统互连模式

out-of-band attack 带外攻击

packet filter 分组过滤器

password 口令

path 路径

payload 净负荷

PBX 专用交换机

PCS 个人通信业务

peer 对等

permission 权限

plaintext 明文

PPTP 点到点隧道协议

port 端口

prority 优先权

protocol 协议

potential browser 潜在浏览器

POP 互联网电子邮件协议标准
是Post Office Protocol 的缩写，是互联网电子邮件协议标准。我们可以通过有POP服务功能的主机传送及接收电子邮件。该协议的缺陷是，当你接收电子邮件时，所有的信件都从服务器上清除，下载到你的本地硬盘。当然也有一些客户端程序可以将电子邮件留在服务器上，或设置成超过一定大小的文件不可下载。随着邮件采用多媒体格式，邮件会越来越大，我们希望能够灵活掌握下载什么文件、何时下载，这就需要IMAP 协议。目前POP的版本为POP3。

process 进程

proxy 代理

proxy server 代理服务器
代理服务就是代理Web用户去取得资料回来，通常使用WWW软件要去连结远方的终端取得资料时，必须送出要求信号然后再一个字节一个字节的传送回来。有了proxy的设定以后，要求资料的信号会先送到Proxy Server。当Proxy Server得到用户的请求时，首先会到cache中寻找有没有同样的资料，如果有，就由Proxy Server直接将资料传给用户，如果cache没有资料，Proxy Server就会利用网络上所可以使用的频宽，到远端站台取回资料，一边储存在cache中，一边传送给用户。即使线路阻塞，还是比用户自己直接抓取要来得快速的。

paseudorandom 伪随机

phreaking 指控制电话系统的过程

RAS 远程访问服务

Remote control 远程控制

RPC 远程过程调用

remote boot 远程引导

route 路由

router 路由器

routing 路由选择

RIP 路由选择信息协议

routed daemon 一种利用RIP的UNIX寻径服务

routing table 路由表

R.U.P 路由更新协议

RSA 一种公共密匙加密算法。而RSA也许是最流行的。

script 脚本

search engine 搜索引擎

SSL 安全套接层

secure 密码

SID 安全标识符

sender 发送者

SLIP 串行线网际协议

server 服务器

server-based network 基于服务器的网络

session layer 会话层

share、sharing 共享

share-level security 共享级安全性

SMTP 简单邮件传送协议

SNMP 简单网络管理协议

Site 站点

SCSI 小型计算机系统接口

snffer 检错器

snooping 探听

standalone server 独立服务器

strong cipher 强密码

stream cipher 流密码

strong password 强口令

SQL 结构化查询语言

subnet mask 子网掩码

subdirectory 子目录

subnet 子网

swap file 交换文件

SACL 系统访问控制表

S/Key 安全连接的一次性密码系统，在S/Key中，密码从不会经过网络发送，因此不可能被窃取。

sniffer（嗅探器） 秘密捕获穿过网络的数据报文的程序，黑客一般用它来设法盗取用户名和密码的。

spoofing（电子欺骗） 任何涉及假扮其他用户或主机以对目标进行未授权访问的过程

time bomb（时间炸弹） 指等待某一特定时间或事件出先才激活，从而导致机器故障的程序

TCPDUMP 是UNIX中捕获数据包的实用工具，常被用语获得详细的网络通信记录的。

Traceroute 一个UNIX上的常用TCP程序，用语跟踪本机和远程主机之间的路由

T0,DS0 56或者64kbps

T1,DS1 24路PCM数字话，总速率为1.544Mbps

T3,DS3 28个T1信道，作品能够速率为44.736Mbps

thin client 瘦客户机

thread 线程

throughput 吞吐量

transport layer 传输量

Transport Protocol 传输协议

trust 信任

tunnel 安全加密链路

vector of attack 攻击向量

Virtual directory 虚目录

Virtual Machine 虚拟机

VRML 虚拟现实模型语言

volume 文件集

vulnerability 脆弱性

weak passwurd 弱口令

well-known ports 通用端口

workstation 工作站

X.25 一种分组交换网协议

zone transfer 区域转换

[技术资料]

Windows的可执行文件讲解

一、C:\Windows下的可执行文件
accstat.exe windows 辅助状态指示器
arp.exe tcp/ip地址转换协议命令
calc.exe 计算器应用软件
cdplayer.exe cd播放器附件
cleanmgr.exe 磁盘清理程序
clipbrd.exe 剪贴板查看应用程序
command.com ms－dos方式
control.exe 控制面板应用程序
cvt1.exe fat32转换器
defrag.exe 磁盘碎片整理应用程序
drvspace.exe 磁盘空间管理应用程序
dialer.exe 电话拨号程序
directcc.exe 直接电缆连接
explorer.exe 资源管理器
extrac32.exe windows cab 文件解压缩应用程序
fontview.exe 字体查看程序
filexfer.exe microsoft文件传输应用程序
finger.exe 用于获得来自于运行标准finger服务的任何系统的用户信息
freecell.exe 空当接龙游戏
grpconv.exe 程序组转换器
hostname.exe 返回tcp/ip配置窗口的dns标题头窗口中定义的计算机名字
ipconfig.exe 快速浏览系统tcp/ip配置应用程序
kodakprv.exe 映像预览应用程序
mplayer.exe 媒体播放机
mshearts.exe 红心大战游戏
nbtstat.exe 显示tcp/ip上的netbios（netbt）的状态
net.exe 一个非常全的网络配置、显示网络信息的命令,有详细帮助
netstat.exe 用于检查所有tcp、ip以及udp连接的统计情况
netdde.exe windows 网络dde（动态数据交换）
netwatch.exe 网络监视器
notepad.exe 记事本应用程序
packager.exe 对象包装应用程序
pbrush.exe 画笔应用程序
ping.exe 检测网络远端主机是否存在及判断网络是否正常的检测工具
progman.exe windows3.x中的程序管理器
qfecheck.exe 更新信息工具
regedit.exe 注册表编辑器
route.exe 用于管理本地tcp/ip路由表的应用程序
rsrcmtk.exe 显示资源状况
rundll32.exe 将dll作为应用程序运行
scandskw.exe 磁盘扫描应用程序
smartdrv.exe smartdrive（dos磁盘缓冲器）应用程序
sigverif.exe microsoft 签字应用程序
sndrec32.exe 录音机附件
sndvol32.exe 音量控制
sol.exe 纸牌游戏
sysmon.exe 系统监视器
taskman.exe 任务执行栏应用程序
taskmon.exe 任务监视器应用程序
telnet.exe 虚拟终端程序
tftp.exe 小文件传送协议，允许将文件传送给tftp服务器
tracert.exe 决定用户的系统与目标系统之间的路径
tuneup.exe windows 调整向导
vcmui.exe 版本冲突管理器
wangimg.exe 映像应用程序
welcome.exe 欢迎光临widows实用程序
winfile.exe windows3.x中的文件管理器
winhelp.exe 16位的windows 帮助程序
winhlp32.exe 32位的windows 帮助程序
wininit.exe windows 安装初始化应用程序
winipcfg.exe tcp/ip 配置实用程序
winmine.exe 扫雷游戏
winpopup.exe windows 弹出式消息实用程序
winver.exe 显示windows 版本号
write.exe 写字板附件
winrep.exe windows 报告工具
winalign.exe 排列本地文件应用程序
wupdmgr.exe windows 更新工具

二、C:\Windows\system下的可执行文件
accwiz.exe windows辅助工具向导
actmovie.exe directshow 安装工具
addreg.exe windows 注册调整工具
awadpr32.exe 传真打印机安装程序
brdiag.exe 诊断打印机是否连接着、并口连接是否正确等
cfgwiz32.exe microsoft isdn（综合业务数字网）配置向导
ddhelp.exe directx 帮助程序
dialmon.exe 拨号监视器
dllhost.exe com 代理
dmconfig.exe 桌面管理配置程序
dplaysvr.exe microsoft directplay 服务
drwatson.exe 华文医生错误监视器
gdi.exe windows图形设备接口核心组件
ieshwiz.exe ie自定义文件夹向导
imgst_tr.exe microsoft 试验程序
internat.exe 键盘语言指示器（applet）
imgstart.exe microsoft 交互式试验程序
jdbgmgr.exe 调试本地服务器
krnl386.exe windows 系统核心组件
lights.exe 调制解调器监视器（applet）
lmscript.exe windows nt 的登录脚本处理程序
magnify.exe 屏幕放大工具
mprexe.exe 多供应者路由器
msconfig.exe 系统配置实用程序
msgsrv32.exe windows 32－bit vxd 信息服务器
mstask.exe 计划任务执行程序
msnexch.exe microsoft联机服务
nwlsproc.exe netware for win32 登录脚本处理程序
odbcad32.exe odbc数据源配置
pintsetp.exe 微软拼音安装程序
pintlphr.exe 微软拼音输入法用户自造词
rnaapp.exe 拨号上网应用程序
regsvr32.exe microsoft 注册服务程序
regwiz.exe microsoft注册向导
rpcss.exe 分布式com服务
sfc.exe 系统文件检查程序
srw.exe 系统恢复程序
stimon.exe 静止图像设备管理器
sysedit.exe 系统配置编辑程序
tcmsetup.exe 电话客户安装程序
tshoot.exe 系统疑难问题解答
user.exe 用户界面核心部件
walign.exe 调整应用程序启动
wrkgadm.exe 工件组管理员

三、C:\Windows\Command下的几个实用程序
pbios.exe 启动中文系统内核
font16.exe 16×16字体驱动程序
hzvio95.exe dos7.0中文版显示驱动程序
hzkbd.exe 通用词典输入法
instdict pinyin 安装拼音输入法
instdict shanpin 安装双拼输入法
instdict quwei 安装区位输入法
instdict guobiao 安装国标输入法
ctrlpan.exe 系统控制台程序
csetup.exe microsoft msdos中文系统设置程序
foutline.exe 轮廓字驱动程序
lq1600k.exe lq1600k打印驱动程序
hplj600.exe hplj 6000pi打印驱动程序
prtmon.exe 打印监控程序
quit.exe 退出中文dos方式
sfc.exe 系统文件检查程序
srw.exe 系统恢复程序
stimon.exe 静止图像设备管理器
sysedit.exe 系统配置编辑程序
tcmsetup.exe 电话客户安装程序
tshoot.exe 系统疑难问题解答
user.exe 用户界面核心部件
walign.exe 调整应用程序启动

[揭秘]
windows 2000的启动过程

五个主要阶段：
1． Preboot sequence: Prepare for booting the operating system
计算机访问NTLDR文件（用于控制Windows2000引导过程），直至控制通过NTOSKRNL文件。
步骤：
①． Powered on, runs a Power On Self Test(POST)；
②． BIOS指向引导设备，装载Master Boot Record(MBR)；
③． MBR指向Active Partition，Boot Sector装载到内存并执行；
④． Boot Sector指向NTLDR文件，并执行。
故障：
①． Improperly configured hardware；
②． Corrupt MBR；
③． No partition is marked as active；
④． Corrupt or missing NTLDR 文件；
⑤． 从Dos, Win 9X中运行SYS程序。
2． Boot sequence:
包括：初始引导装入阶段，操作系统选择阶段，硬件检测阶段。
Boot.ini：用来构建操作系统菜单选择项，也用于指定引导分区的位置。
Bootsect.dos：可选项文件，用于装载除了Win2000的计算机操作系统，只用于双引导或多引导。
Ntdetect.com：用于检测安装的硬件并增加硬件信息到注册表。
Ntbootdd.sys：可选项文件，用于有SCSI控制器并在主板BIOS上禁用。
NTOSKRNL.exe：用于装载Win2000操作系统。\winnt\system32
步骤：
①． NTLDR转换处理器从Real mode到32-bit flat memory mode并启动适当的小的文件系统驱动程序；
②． 选择；
③． 检测出的任何硬件添加到注册表；HKEY_LOCAL_MACHINE
④． 控制通过到NTOSKRNL.EXE启动核心装载过程。
故障：
①． Missing or corrupt boot file;
②． Improperly configured Boot.ini file;
③． Unrecognizable or improperly configured hardware。
3． Kernel load sequence:
装载HAL，Computer Control Set，and low-level device drivers。
步骤：
①． NTOSKRNL文件装入并初始化；
②． HAL装入；
③． 操作系统将使用的Control Set装入（用于控制系统配置信息）；
④． 装入Low-level device drivers。(disk driver)
故障：
需要重新安装操作系统。
4． Kernel initialization sequence:
创建HKEY_LOCAL_MACHINE\HARDWARE注册表和Clone Control Set，初始化device drivers，装入High-order subsystems and service。
步骤：
①． 创建Registry Key。（指定在计算机启动时的硬件元件的配置信息）
②． 创建Clone Control Set。（用于配置计算机的数据精确拷贝）
③． 装入device drivers；
④． 装入High-order subsystems and services。
故障：
使用Last Known Good Configuration引导。
5． Logon sequence:

[技术资料]
局域网安全

目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。

　　事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。

　　当前，局域网安全的解决办法有以下几种：

　　1．网络分段

　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

　　目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC Multtch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

　　2．以交换式集线器代替共享式集线器

　　对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。

　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

　　3．VLAN的划分

　　为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

　　目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

　　在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

　　VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括海关内部普遍采用的DEC Multtch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

　　无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPANtch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。

太棒了！