[防火墙技术]

防火墙面临结构升级

作者：刘兵、毕学尧、张海涛 文章来源：中国计算机报 网络与通信

经过若干年的讨论后，对于防火墙的存在形式，人们已经有了统一认识——还是硬件防火墙性价比高。

基于ASIC的防火墙依靠其优异性能成为目前公认的最好的防火墙。

但是，由于种种原因，这种技术并不适合于国内厂商发展。

那么，国产的防火墙该靠什么来崛起呢？有人提出，要靠最新的网络处理器（NP）技术。

目前，国内外各种品牌的防火墙在功能上大同小异，而且随着Intel X86CPU性能的快速提高，基于Intel X86架构的防火墙在100Mbps带宽下的性能也可以满足用户的需求。但是，随着千兆网络的建设或升级，新的问题又摆在防火墙厂商和用户的面前，带宽提高了9倍，可是系统总线、接口没变，CPU的处理能力却不可能提高9倍，对于要完成包括包过滤、代理、NAT、防攻击等多项任务的防火墙来说，原有的硬件和结构不可能满足千兆环境的性能要求。这就决定了在下一阶段，性能将成为防火墙产品的竞争焦点，也是国内外厂商、用户关注的热点。

软硬结合一直是防火墙设计和实现的主要方法，对于提高性能来说，硬件技术是关键。高速网络环境下千兆防火墙产品的数据处理包括过滤、内容检查、高速交换、加解密等诸多方面，没有高性能的硬件就不能保证千兆以上的线速处理，而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行二到七层处理的需求。这就需要使用具有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心，它已经成为新一代网络设备的核心处理器，是未来网络设备的发展趋势。

网络处理器比工控机、ASIC更适于千兆

网络处理器顾名思义即专为网络数据处理而设计的芯片或芯片组，能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力，这样，基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。

千兆防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和网络处理器加速技术。Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐。在百兆防火墙比较容易地获得成功后，很多开发商对千兆防火墙产品的开发也很乐观，认为通过提高CPU主频，扩大内存、用最好的千兆服务器网卡等手段就能直接满足千兆环境的需求，但实际情况却并非如此，其中最主要的问题就表现在性能上。

由于采用PCI总线接口，Intel X86架构的硬件虽然理论上能达到接近2Gbps的吞吐量，但实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。而且，由于X86 CPU的广泛应用，很多网络攻击，尤其是溢出攻击很容易实现，设备自身的安全性较低。而网络处理器不但处理性能高，由于采用了ARM、PowerPC或 MIPS CPU，能防范大多数的溢出攻击，提高了自身的安全性。不过，对于性能和安全要求不太高的用户来说，基于Intel X86架构的防火墙基本可以满足需求。

国外有部分厂商的防火墙产品采用了ASIC专用硬件加速，如NetScreen的高端防火墙。这样做可以明显提升防火墙的吞吐性能，但对于升级维护的灵活性和扩展性不够，而且开发费用高，开发周期长，一般需要两年以上的时间，不利于公司快速推出满足用户不断变化需求的防火墙产品。网络处理器是一种非基于ASIC的IC或IC芯片组，利用软件编程，网络处理器可以像ASIC那样快速地处理数据包。同时可以通过升级芯片上的固件增加新的功能。其固件既可以由网络设备厂商编写，也可由第三方加载到处理器中。一般而言，网络处理器比基于ASIC的设计解决方案能缩短上市时间，并能节约几百万美元的资金。同时，由于知识产权包含在软件而不是硬件中，因此，网络设备制造商可以很方便地重复应用他们的秘密，从而使下一代产品的设计成本进一步减少，使上市时间更短。

两种可用的网络处理器结构

在开发基于网络处理器的防火墙之前，最重要的工作莫过于选择何种网络处理器，因为这在功能、性能以及软件支持方面具有较大的差异，不但会影响防火墙的功能和性能，对上市时间也有很大影响，用户在选择千兆防火墙之前也应该考虑这一点。目前，网络处理器都是由国外厂商设计制造的，从体系结构上主要分为两大类：一类是以Intel 的IXP系列产品为代表，分为控制和处理（或称数据）两个平面，如Intel公司的IXP1200，控制平面是一个ARM CORE，负责维护系统信息和协调处理部分工作，处理平面由多个微引擎（Micro Engine）和其他专用硬件组成，负责利用控制平面下发的微代码和命令，直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好，但是由于体系结构限制，尤其是微代码的开发相对复杂，导致灵活性较差，难以满足复杂多变的市场需求，一般适合3层（IP层）及以下网络数据的处理。另一类产品以SiByte 的Mercurian系列产品为代表，它基于MIPS CPU设计，如SB1250。它一方面保持了基于通用CPU设计的灵活性，另一方面通过SOC（System On Chip）的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强，易于开发、升级和维护，适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。一般来说，单用吞吐量来评价防火墙性能是很不够的，更应考虑到它能够支持哪些应用以及支持新应用的可扩展性，有人曾说过：“网络处理器应用于实际的商用产品开发的一个必要条件是，网络处理器需要有完美的可塑性。”从这个角度来看，后一类网络处理器产品是值得考虑的。

目前，网络处理器的发展速度非常快，Intel公司的IXP系列最新型号的产品IXP2800，已经能够处理10Gbps的网络数据，IBM公司的NP4GS3能够处理2.5Gbps的网络数据，这两款产品可以用于开发QoS服务器、高端交换机、骨干路由器等产品。不过由于供货时间的关系，目前大规模应用的Intel网络处理器还是以IXP1200为主，高端产品可能要今年晚些时候才能供货。采用IXP网络处理器的开发费用不是很高，但是由于IXP1200单片的处理性能较低，一般需要多片并行工作才能满足千兆需求，还需要其他协处理芯片配合，对硬件设计能力要求较高，也导致其最终产品价格不可能太低。SiByte公司的SB1250作为宽带网络处理器现在已经非常成熟，它内部集成了多个MAC控制器，能直接计算TCP/IP数据包的校验和，可处理2.5Gbps全双工的网络数据，而且开发费用相对小得多，是开发高端千兆防火墙的较好选择。

国内厂商寄厚望于网络处理器

现在国内外有很多防火墙厂商已经意识到了，利用网络处理器作为下一代千兆防火墙是大势所趋，部分厂商也已经开始了这方面的探索和努力，如美国的ServerGate防火墙，它采用多片IXP1200结合高速包分类芯片设计，在进行多路测试情况下，其吞吐量可达到800Mbps左右（64bytes包）。另外，据“赛迪网”报道（http://www.ccidnet.com/news/enterpriseperson/2002/08/22/95_72651.html），国内的华堂公司正在利用网络处理器进行千兆防火墙的开发，它采用的是IXP1200。采用SiByte公司的SB1250进行千兆防火墙开发的公司在国内也开始出现。据预测，大多数国内外厂商会在2003年三四季度发布基于网络处理器的防火墙产品。

我们认为，在传统Intel X86架构上开发高端网络安全产品灵活性强，可扩充能力好，但性能无法满足千兆需求。同时，开发专用于网络处理的ASIC芯片费用高、时间长而且灵活性较差。在这种情况下，利用网络处理器开发下一代高速网络安全产品是一个必然趋势，特别是对国内防火墙厂商而言，采用网络处理器可以快速缩短和国外厂商的差距，填补国内产品在高端市场上的空白，提高我国网络安全防护的整体水平。不过我们需要注意的是，在千兆防火墙的设计中，只有根据用户需求选择合适的网络处理器，才可能在下阶段竞争中取得主动。

[安全新闻]

校园网安全防不胜防　需各种个性化解决方案

　　作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段，信息化为教育的创新与普及提供了新的突破口。与此同时，网络社会与生俱来的不安全因素，如病毒、黑客、非法入侵，不健康信息等，也无时无刻不在威胁教育网络的健康发展，而成为教育信息化建设中不容忽视的问题。教育行业的信息安全需求，无疑形成了一个庞大的市场。

　　网络面临的威胁

　　与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段；病毒与恶意攻击，即通过网络传播病毒或恶意Java、XActive等；线路窃听，即利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。

　　除此之外，Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示，有30%-40%的Internet访问是与工作无关的，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。而对教育网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害青少年的身心健康，导致无法想象的后果。

　　校园网：全方位的安全需求

　　许多校园网是从局域网发展来的，由于意识与资金方面的原因，它们在安全方面往往没有太多的设置，包括一些高校在内，常常只是在内部网与互联网之间放一个防火墙就了事了，甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。因此，校园网的网络安全需求是全方位的。

　　其一，网络病毒的防范。在网络中，病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。

　　其二，网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。
　　其三，网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。

　　其四，网络安全漏洞。对于非专业人员来说，无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞，因此需要借助第三方软件来解决此安全隐患，并提出相应的安全解决方案。

　　其五，数据备份和恢复。设备可以替换，数据一旦被破坏或丢失，其损失几乎可以用灾难来衡量。所以，做一套完整的数据备份和恢复措施是校园网迫切需要的。

　　其六，有害信息过滤。对于大中型校园网络，必须采用一套完整的网络管理和信息过滤相结合的系统，实现对整个校园内电脑访问互联网进行有害信息过滤管理。

　　其七，网络安全服务。为确保整个网络的安全有效运行，有必要对整个网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。

　　对症下药整体防护

　　作为国内信息安全领域的龙头企业，瑞星不但拥有过硬的技术和产品、强大的技术服务团队，同时也深刻了解国内教育单位的网络安全现状和存在的各种问题，因此在教育行业信息安全采购中连连中标。

　　教育信息化的关键是校园网的建设。几年来，瑞星先后为国防大学、安徽师范大学、福州大学、福建党校、北京景山学校等提供了信息安全解决方案，并积累了从教育机关、大学到中小学，从防病毒到整体信息安全的众多实施经验。瑞星在推进国家教育信息化与现代化的进程中，交出了一份本土安全厂商的合格答卷。

　　——防毒。根据校园网络现状，在充分考虑可行性的基础上，采用瑞星杀毒软件网络版的分级管理，多重防护体系可作为校园网络的防病毒管理架构。在整个网络内，只要有可能感染和传播病毒的地方都采取相应的防病毒手段。同时，为了有效、快捷地实施和管理整个网络的防病毒体系，充分使用瑞星杀毒软件网络版所拥有的“远程安装?、“智能升级?、“远程报警?、“集中管理?、“分布查杀等多种功能，为教育网络建立起一个完善的防病毒体系。

　　——反黑。为打造网络整体安全，瑞星通常采用两台防火墙安排在互联网，即教育网与校园网的接口处和INTER-NET网与校园网的接口处。其配置方案如下：防火墙1对教育网与校园网进行隔离；防火墙2对INTERNET网与校园网之间进行隔离，其中WWW、邮件等对外服务器放在防火墙的DM Z区与内网间进行隔离。

　　——入侵检测。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。传统的方案中往往是防火墙与R IDS各成安全体系，互不相通。充分考虑校园网的特点，可采用瑞星的入侵检测系统RIDS。此系统具有传统入侵检测功能以外，通过安装互动插件实现与瑞星防火墙进行互操作。为了更有效地检测校园网的外部攻击和内部攻击，在每个需要受保护的网络内安装相应的RIDS入侵检测系统。通过专用响应模式与防火墙进行互操作。

　　——安全服务。针对校园网的网络结构和计算机系统分布，实施全面的网络安全风险评估服务，瑞星公司技术人员定期对实体、平台、数据、通信、应用、管理等各个方面进行全面的安全隐患和脆弱性分析，提供详细的分析报告及安全性整改建议，对整体安全状况有全面具体的了解，从而为进行信息安全决策和管理提供依据。不仅如此，瑞星为用户提供了方方面面的服务，不但解除了用户的后顾之忧，也有力地保障了信息安全体系的正常运行，达到了良好的安全效应。

收了
当小说看～～

[安全新闻]

4000万被窃真相 黑客背后的黑市

【简 介】
近日，万事达公司在一份新闻稿中公布一条震惊全球的消息：4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。

　　近日，万事达公司在一份新闻稿中公布一条震惊全球的消息：4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。

　　通过侵入一家结算处理公司的计算机，黑客显然偷走了20万张信用卡和借记卡账户的数据，并可能访问了4000万名信用卡的信息。万事达信用卡国际公司发言人Jessica Antle证实，不过，此次安全违规事件的根源是CardSystems公司，一家为数家信用卡处理交易的第三方公司。

　　Antle说，此次安全违规事件涉及一种计算机病毒。这种病毒为欺诈窃取顾客数据，可能影响到所有品牌信用卡用户。他表示，黑客可能利用了该公司系统的漏洞，进入了该公司的网络并获取了客户的信息。

　　尽管Antel说顾客不必为身份偷窃担心：“社会保险号、出生日期以及诸如此类的信息根本就没有保存在信用卡上。”但来自各国的评估和欺诈性交易报告显示，此次用户信息被窃已经导致了欺诈性交易：一些用户信用卡出现了高档产品消费。

　　美国联邦调查局(FBI)已开始调查此事。

　　泄漏发生在数周前

　　据《New York Times》报道，这次安全违规事件可以追溯到4月中旬，当时万事达国际公司注意到异常的欺诈消费。《New York Times》援引CEO John M. Perry的话说，被偷窃的记录因“研究目的”保存在CardSystems公司的一个计算机文件中。

　　《New York Times》援引他的话说：“我们不应当这样做。” 使用保存记录的研究涉及确定一些交易为什么未过经授权或不完整的原因。

　　万事达公司在透露这次事件时说，此次安全违规事件发生在CardSystems设在亚利桑纳州Tuscon市的运营中心。据CardSystems发表的声明说，FBI是在5月23日被告知此事的。该公司在声明中说，公司已经部署了一位调查安全审计员建议的改进的和额外的安全程序。

　　CardSystems每年为105000多家中小企业处理交易，并且每年为MasterCard、Visa、Discover和American Express以及在线借款处理150亿美元的交易。

　　同时，安全专家在这次安全事件透露后发现了第一起在主题行中借用万事达名义警告电子邮件用户的网页钩鱼欺诈。最初的欺诈似乎显得是仓促上阵，因为它没有提到这次安全事件，可能是改头换面的老骗局。安全专家预测未来几天欺诈骗局将继续出现，可能还会变得更加狡滑，尤其在主标行或内容中提到最新的重大安全事件新闻时。

　　安全专家David Burt说：“消费者肯定应当知道。”这次涉及众多信用卡公司的引起广泛关注的最新安全违规事件，无疑将成为美国国会未来辩论的主题。美国国会已有20多项从这样或那样角度涉及身份偷窃的议案在酝酿中。

　　Forrester公司分析师Paul Stamp说，公开披露CardSystems安全违规事件(尽管是在事件发生的数周后披露的)可能在某种程度上是对加州参议院有关隐私与个人信息的1386法案的反应。他说，未来应当出现对这类事件更多的披露。

　　他说：“这类事件肯定会发生。它们可能过去一直在发生。”现在不同是公众要求有人承担责任。CardSystems无疑有很多问题需要回答。《New York Times》报道说，被盗的数据没有被加密，并且信用卡公司发表声明说CardSystems没有遵守他们的恰当的安全要求。

黑客能量越来越大

　　这并没有使实现这种偷窃所需要的技术变得那么不同异常。

　　公开透露的有关对CardSystems Solutions公司的攻击情况的信息没有多少。FBI和这家公司都对这次黑客行动的细节缄口不言。当被问及公司115名雇员中是否有人与此案有关时，CardSystems公司高级营销副总裁Bill Reeves告诉美联社说，公司“目前不能排除任何情况”。当记者逼迫他详细说明时，他说，由于正在进行的调查，他不能发表评论。

　　即使如此，目前了解的情况足以使计算机安全专家做出有根据的推测。

　　安全研究人员说，信用卡盗贼在线社区在利用金融网络弱点上越来越精明。甚至常常被嘲笑为“脚本小子”的恶作剧者，都可以从一大堆容易得到的工具中，剪切、粘贴发动攻击所需要编程代码?D?D甚至不必理解它们的工作原理。

　　安全专家Jim Stickley说：“我认为脚本小子就可以干这件事。我不认为这有多难。”在公布这次泄密事件时，MasterCard说有人在CardSystems的网络中植入了一种类似于病毒的程序。CardSystems随后承认泄露的数据因“研究目的”被不当地保存，而不是在交换完成后删除。

　　如果这种“研究”涉及将数据转移到CardSystems网络不太安全的部分?D?D也许说，使CardSystems程序员可以在真正的信用卡记录上进行试验?D?D使用常规探测系统寻找软肋的外部人员可能发现了这些文件。IBM公司金融服务实践风险与遵从性解决方案主管Jonathan Rosenoer说：“现在你每一次Internet连接都会遭到数百次攻击。”

　　Jim Stickley给出了一种简单的情景：某人可以向一位CardSystems雇员发送一封内有与假在线贺卡链接的电子邮件。这个链接将带来预期的跳舞的小狗或其他他欢快的场面，而在背后，一个“特洛伊木马”程序会在计算机上扎下根，准备向外部人员转发信息。由于木马程序通过通常为Web浏览留下的通信端口进入计算机，攻击将不会被入侵检测软件发现或被防火墙阻止。

　　旧金山计算机安全协会主任Robert Richardson说，目前出现了越来越多的释放特洛伊木马的自动工具以及其他入侵复杂系统的工具。“他们非常快地沿食物链升级。”Postal Service and Citigroup公司前信用卡欺诈调查员Tom Kelly说，CardSystems黑客活动似乎是一个老练团伙的杰作。这个团伙准确地知道要拿哪类文件。

　　黑客背后的黑市

　　黑客盗窃信用卡信息的背后是利润可观的黑市。

　　据报道，一些信用卡账号已经在俄罗斯的网站上出售，一些消费者已经在对账单中发现了欺诈性交易。“我们看到在俄罗斯的一些聊天室，很多人在谈论电子犯罪集团的此次重大胜利。”iDefence公司的技术人员称。

　　实际上，出售这些信用卡信息可以让黑客赚得巨款。据网上欺诈分析师估计，每个万事达卡即便账号价值42美元。金卡，比如上限较高的白金或黄金卡则售价会高达70美元。

　　一些用户也发现欺诈性消费，银行已将在加拿大、英国和亚洲的一些可疑的消费活动通知给了持卡人。

链接 常识性防范措施　

　　黑客攻击尽管猖獗且手段越来越高明，但信用卡用户仍可以通过一些简单的手段进行防范。

　　消费者组织和信用卡公司说，消费者可以采取常识性防范措施避免的威胁：从经常上网检查账目到如果每月账单没有出现在邮件中时直接给信用卡公司打电话。

　　※ 计算机取证与技术公司下属部门Stroz Friedberg Investigations高级调查员Tom Kelly说，一定要让您的信用卡公司掌握您目前的电话号码，这样当他们看到信用卡上出现可疑的交易时，可以给您打电话。

　　※ 美国公众利益研究组织消费者权益鼓吹者Ed Mierzwinski说，不要在Internet上使用借记卡。借记卡欺诈行为会用光您活期存款账户中的资金。

　　※ Mierzwinski说，如果您收到有关账户可疑活动的电话或电子邮件，不要通过电话或上网提供信息。相反，记下信用卡代表的名字，然后按照信用卡背面上所列的电话号码给他们回电话。

　　※ Consumers Union政策分析师Susanna Montezemolo说，跟踪记录您的交易。您应当能够告诉信用卡公司代表您的最后5笔交易的情况。

　　※ 消费者金融教育协会执行主管Paul Richard说，少使用信用卡。他的组织销售的信用卡套子上写着：“如果您可以吃饭、喝水、穿衣，这就不是急事。”

　　※ 如果信用卡的每月对账单没有邮寄来，通知您的信用卡公司。一旦检查确认账目正确后，撕掉这些账单。您还要撕掉信用卡申请，以防他人利用您的名字申请信用卡。

　　※ Montezemolo说，保存好收据，并对照这些收据检查信用卡账目。如果您可以上网查看账目，每周检查它们一次。她说：“一些人通过一个诚实的错误发现商让给交易金额后面多加上一个零。”

　　※ 将您账户号码、它们的失效日期以及信用卡公司的电话号码的记录保存在一个安全的地方。

　　※ 不要将信用卡付款单留在家庭邮箱中。相反，通过邮局或安全的邮箱邮寄它们。

　　※ 当您外出旅行时，请谨慎在网吧或提供无线连接的场所使用信用卡。

　　※ 每年至少一次检查信用报告。

　　受到波及的部分亚太国家

　　中国 4万以上

　　据中国工商银行牡丹卡中心，万事达卡已经通知该行，大约5560名中国持卡用户，包括近500名牡丹卡用户会受到影响。维萨还没有提供受影响的中国信用卡用户数量。中国人民银行已要求所有信用卡组织妥善处理此事，并要求国内信用卡机构保持警惕，采用措施防范此类事件。

　　据报道，大约1.6万名我国台湾信用卡用户将会受到此事影响，包括7000 名维萨卡用户，其余为万事达卡用户。大约2万香港信用卡用户可能存在风险。9000名香港维萨卡用户受到影响，万事达则称9730名香港用户受到影响。香港有关机构负责人要求最近在美使用过信用卡的用户密切留意自己的对账单。

　　日本 6.7万

　　日本政府6月22日称,美国的信用卡数据泄漏事件可能会影响日本的6.7万名持卡用户。最新的报道则称，可能有8万日本信用卡用户信息被窃。

　　日本经济产业省的声明显示被窃信用卡信息有增大的可能性。来自经济产业省的官员称，大约4.6万名维萨卡和2.1万名万事达卡日本用户的信息可能已经被泄漏。还有大约31名日本信息卡公司JCB的持卡者信息被窃。

　　据媒体报道，日本持卡者投诉有高达3000万日元(约合27.5万美元)的欺诈性消费。

　　澳大利亚 12.7万

　　高达12.7万个澳大利亚信用卡用户可能因美国发生的信用卡信息被窃而受到影响。

　　大约5万名万事达卡澳洲使用者，7.7万名维萨卡澳洲用户可能面临欺诈消费的风险。

　　去年以来与美国企业有过在线交易或实地交易的澳大利亚人，交易通过Cardsystems处理的，可能会受到影响。

　　新西兰 1.3万

　　大约1.3万名新西兰持卡用户的信息被窃。维萨机构称，1.2万名持卡用户受到影响，其中650人处于高风险中。

　　万事达机构称，已建议银行1000张信用卡，5560张持卡人可能受到影响。已有数家银行承诺将重新发放信用卡，以保护用户免受侵害。

　　万事达发言人要求信用卡用户监控自己的对账单。在新西兰，Westpac正在重新发放4000张信用卡，尽管还没有出现欺诈交易。

　　链接：近期美国金融信息泄漏事件

　　2005年2月，美洲银行120万联邦政府雇员的社会保险号码和其他信用卡资料的电脑磁盘丢失。其中包括美国国会参议员的数据资料。

　　5月，美国四家大银行的约50万客户的电子账户记录被不法分子窃取，并被转手卖给了债务公司。这4家大银行分别是总部设在北卡罗莱纳州的美国银行公司和瓦霍维亚银行公司，新泽西州的切尔希里商业银行和匹兹堡国民商业银行公司。

　　6月，世界最大银行美国花旗集团丢失了一批记录着390万客户账户及个人信息的电脑记录数据带，而直接导致这一丢失事件发生的竟然是美国快递业三大巨头之一的联合包裹运送服务公司(UPS)。

好多啊

建议版主加精。

[人物]

天才少年黑客一天之内破解Google视频播放器

6月29日消息 因破译DVD电影版权保护密码软件而一举成名的挪威少年黑客约恩·约翰森(Jon Lech Johansen)只用了一天时间就破译了Google公司的新推出的视频播放器。

约翰森28日在其“有本事告我”（So Sue Me）网站上发布了一段补丁程序，称其可以解除Google对这款视频浏览器的限制，以便让此软件能够在任意服务器上使用。他指出Google的这一新软件是从VLC免费的媒体播放器改进而来，并在其上加入了一断限制程序使其只能在Google自己的服务器上使用。

Google周三一早没有回复留给它位于山景城总部的电子邮件和电话留言。

今年21岁的约翰森早在15岁时就已成为著名的黑客。当时，他发明出一种被称作“DeCSS”的软件，它可以用来破译电影行业用在DVD电影之中以防止非法盗版的CSS系统。此举使得约翰森成为了黑客群体心目中的英雄。

约翰森个人网址: http://www.nanocrew.net

Google Video Viewer网址: http://video.google.com

{连载}
[技术资料]

常用端口对照表！

端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42
服务：WINS Replication
说明：WINS复制

端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。

端口：99
服务：Metagram Relay
说明：后门程序ncx99开放此端口。

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。

端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。

端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。

端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。

端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询

端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120

端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。

端口：1720
服务：NetMeeting
说明：NetMeeting H.233 call Setup。

端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。

端口：1807
服务：[NULL]
说明：木马SpySender开放此端口。

{连载}
[技术资料]

常用端口对照表2

端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。

端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。

端口：2000
服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001
服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。

端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口：2115
服务：[NULL]
说明：木马Bugs开放此端口。

端口：2140、3150
服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2500
服务：RPC client using a fixed port session replication
说明：应用固定端口会话复制的RPC客户

端口：2583
服务：[NULL]
说明：木马Wincrash 2.0开放此端口。

端口：2801
服务：[NULL]
说明：木马Phineas Phucker开放此端口。

端口：3024、4092
服务：[NULL]
说明：木马WinCrash开放此端口。

端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129
服务：[NULL]
说明：木马Master Paradise开放此端口。

端口：3150
服务：[NULL]
说明：木马The Invasor开放此端口。

端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口

端口：3333
服务：dec-notes
说明：木马Prosiak开放此端口

端口：3389
服务：超级终端
说明：WINDOWS 2000终端开放此端口。

端口：3700
服务：[NULL]
说明：木马Portal of Doom开放此端口

端口：3996、4060
服务：[NULL]
说明：木马RemoteAnything开放此端口

端口：4000
服务：QQ客户端
说明：腾讯QQ客户端开放此端口。

端口：4092
服务：[NULL]
说明：木马WinCrash开放此端口。

端口：4590
服务：[NULL]
说明：木马ICQTrojan开放此端口。

端口：5000、5001、5321、50505
服务：[NULL]
说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。

端口：5550
服务：[NULL]
说明：木马xtcp开放此端口。

端口：5569
服务：[NULL]
说明：木马Robo-Hack开放此端口。

端口：5632
服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口：5742
服务：[NULL]
说明：木马WinCrash1.03开放此端口。

端口：6267
服务：[NULL]
说明：木马广外女生开放此端口。

端口：6400
服务：[NULL]
说明：木马The tHing开放此端口。

端口：6670、6671
服务：[NULL]
说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口：6883
服务：[NULL]
说明：木马DeltaSource开放此端口。

端口：6969
服务：[NULL]
说明：木马Gatecrasher、Priority开放此端口。

端口：6970
服务：RealAudio
说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口：7000
服务：[NULL]
说明：木马Remote Grab开放此端口。

端口：7300、7301、7306、7307、7308
服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口：7323
服务：[NULL]
说明：Sygate服务器端。

端口：7626
服务：[NULL]
说明：木马Giscier开放此端口。

端口：7789
服务：[NULL]
说明：木马ICKiller开放此端口。

端口：8000
服务：OICQ
说明：腾讯QQ服务器端开放此端口。

端口：8010
服务：Wingate
说明：Wingate代理开放此端口。

端口：8080
服务：代理端口
说明：WWW代理开放此端口。

端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
说明：木马Portal of Doom开放此端口。

端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。

端口：11000
服务：[NULL]
说明：木马SennaSpy开放此端口。

端口：11223
服务：[NULL]
说明：木马Progenic trojan开放此端口。

端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。

端口：12223
服务：[NULL]
说明：木马Hack'99 KeyLogger开放此端口。

端口：12345、12346
服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。

端口：12361
服务：[NULL]
说明：木马Whack-a-mole开放此端口。

端口：13223
服务：PowWow
说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口：16969
服务：[NULL]
说明：木马Priority开放此端口。

端口：17027
服务：Conducent
说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口：19191
服务：[NULL]
说明：木马蓝色火焰开放此端口。

端口：20000、20001
服务：[NULL]
说明：木马Millennium开放此端口。

端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。

端口：21554
服务：[NULL]
说明：木马GirlFriend开放此端口。

端口：22222
服务：[NULL]
说明：木马Prosiak开放此端口。

端口：23456
服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。

端口：26274、47262
服务：[NULL]
说明：木马Delta开放此端口。

端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。

端口：30100
服务：[NULL]
说明：木马NetSphere开放此端口。

端口：30303
服务：[NULL]
说明：木马Socket23开放此端口。

端口：30999
服务：[NULL]
说明：木马Kuang开放此端口。

端口：31337、31338
服务：[NULL]
说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339
服务：[NULL]
说明：木马NetSpy DK开放此端口。

端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。

端口：33333
服务：[NULL]
说明：木马Prosiak开放此端口。

端口：34324
服务：[NULL]
说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口：40412
服务：[NULL]
说明：木马The Spy开放此端口。

端口：40421、40422、40423、40426、
服务：[NULL]
说明：木马Masters Paradise开放此端口。

端口：43210、54321
服务：[NULL]
说明：木马SchoolBus 1.0/2.0开放此端口。

端口：44445
服务：[NULL]
说明：木马Happypig开放此端口。

端口：50766
服务：[NULL]
说明：木马Fore开放此端口。

端口：53001
服务：[NULL]
说明：木马Remote Windows Shutdown开放此端口。

端口：65000
服务：[NULL]
说明：木马Devil 1.03开放此端口。

[技术资料]

系统进程全攻略

基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表*作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的*作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始－运行－敲入cmd
然后在敲入 tlist -s （tlist 应该是win2k工具箱里的冬冬）
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息，可以敲 tlist pid。

Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。

explorer.exe
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。
通常不会对系统产生什么负面影响。

internat.exe

这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入
令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，
包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些
进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么
不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。


winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

taskmagr.exe
这个进程呀，哈哈，就是任务管理器了