windows系统安全技术

windows系统平安技术哈尔滨工程大学xxx提纲Windows账号和密码平安Windows平安结构Windows文件系统平安Windows注册表的平安Windows系统中查杀后门木马技术Windows系统中常用平安命令Windows平安产品线Windows升级效劳〔WSUS〕Windows平安检查清单Windows帐号与密码帐号定义所谓用户帐号，是计算机使用者的身份标识。每一个使用计算机的人，必须凭借他的用户帐号才能进入计算机，进而使用计算机中的资源。默认账号管理员创立的帐号默认帐号

Administor–rootAdministrator:系统管理员帐号、具有最高权限。在域中和计算机中具有不受限制的权利，可以管理本地或域中的任何计算机，如创立帐号、创立组、实施平安策略等。从不被锁定－－选装passprop.exe不能删除，可重命名诱骗HoneyPot采用另外的管理员帐号Guest默认被禁用不能删除，可重命名默认帐号其他帐号如用户帐号，特定效劳，应用程序由Administrator创立一般可被禁用或删除如果要用IIS(InternetInformationServer)建设各类站点，那么以下两个帐号不能停用：IUSER＿computername－－IIS匿名访问账号IWAM＿computername－－IIS匿名执行脚本的账号这两个账号默认有密码，是由系统分配的，用户不要更改其密码，更不要删除，否那么IIS不能匿名访问和执行脚本组所谓组，是一组相关账号的集合。可以按照不同用户的操作需求和资源访问需求来创立不同的组，实现对用户的统一配置和管理。

使用组的目的：简化对网络的管理，通过组可以一次性地为一批用户授权。组是强有力的管理工具之一，使用组可以减少需要直接管理的对象数量，从而简化了网络维护与管理。常用内置组Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。PowerUsers，高级用户组，PowerUsers可以执行除了为Administrators组保存的任务外的其他任何操作系统任务。分配给PowerUsers组的默认权限允许PowerUsers组的成员修改整个计算机的设置。但PowerUsers不具有将自己添加到Administrators组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

常用内置组(cons.)Users:普通用户组。分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users组提供了一个最平安的程序运行环境。在经过NTFS格式化的卷上，默认平安设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users可以关闭工作站，但不能关闭效劳器。Users可以创立本地组，但只能修改自己创立的本地组。Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐号的限制更多。Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组添加/删除帐号►Win2000/XP下ü管理工具—计算机管理—本地用户和组►命令行方式ünetuser用户名密码/add[/delete]ü将用户参加到组netlocalgroup组名用户名/add[/delete]密码复杂性要求强壮密码的组成大写字母小写字母数字非字母、数字的字符密码长度：不小于8字节长强壮密码应符合的规那么个人名字或呢称号码、生日等敏感信息输入8字符以上密码记录于纸上或放置于办公处使用重复的字符

XXXX++++=强壮的密码密码存放位置►注册表HKEY_LOCAL_MACHINE\SAM►Winnt/system32/config/samWinXP本地平安设置在“开始〞→“运行〞窗口中输入“secpol.msc〞并回车就可以翻开“本地平安设置窗口〞。或者通过“控制面板〞→“管理工具〞→“本地平安策略〞来翻开这个设置界面。在“本地平安设置〞窗口的左侧展开“账户策略〞→“密码策略〞，在右边窗格中就会出现一系列的密码设置项进行设置：密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

强制密码历史42天开启帐号锁定策略

复位帐号锁定计数器20分钟

帐号锁定时间20分钟

帐号锁定阈值3次

翻开审核策略开启平安审核是win2000最根本的入侵检测方法。当有人尝试对你的系统进行某些方式〔如尝试用户密码,改变帐号策略，未经许可的文件访问等等〕入侵的时候，都会被平安审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。

审核系统登陆事件成功，失败

审核帐号管理成功，失败

审核登陆事件成功，失败

审核对象访问成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败确保可信的登陆界面将您的计算机设置成登录Windows之前必须按“Ctrl＋Alt＋Delete〞组合键，是为了保护计算机免受某些特洛伊木马的攻击。一些特洛伊木马程序可以模仿Windows登录界面，欺骗用户输入用户名和密码。使用“Ctrl＋Alt＋Delete〞组合键可以确保您看到的是真实可信的Windows登录界面。为了使连接到域中计算机的这一设置有效，您需要使用管理员身份登录，在控制面板中翻开“用户账户〞图标，选择“高级〞选项卡，在“平安登录〞工程中，选中“要求用户按Ctrl＋Alt＋Delete〞复选框，然后点击“确定〞按钮。组合键锁定计算机

在离开办公桌的时候，为确保计算机的平安，需要锁定您的计算机，这样只有输入密码才能够再次使用。如果您的计算机已经登录到域中，只需按下“Ctrl＋Alt＋Delete〞组合键，然后点击“锁定计算机〞按钮即可。当您返回后，再次按下“Ctrl＋Alt＋Delete〞组合键，输入密码即可。给“休眠〞和“待机〞加个密码只有“屏幕保护〞有密码是远远不够平安的，我们还要给“休眠〞和“待机〞加上密码，这样才会更平安。让我们来给“休眠〞和“待机〞加上密码吧。在“组策略〞窗口中展开“用户配置→管理模板→系统→电源管理〞，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码〞，将其设置为“已启用〞，那么当我们从“待机〞或“休眠〞状态返回时将会要求你输入用户密码。把共享文件的权限从〞everyone〞组改成“授权用户〞“everyone〞在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成〞everyone〞组。包括打印共享，默认的属性就是〞everyone〞组的。客户端平安调置拔号上网平安性设置复杂密码关闭所有不必要的共享禁止NetbiosoverTCP/IP协议客户端平安设置冲浪上网平安性下载软件的本卷须知Cookie的平安性ActiveX控件和JavaApplet网络平安设置WindowsXP自带ICF功能检查异常进程netstat–an和netsession利用任务管理器结束异常任务和进程Ctrl+Alt+Del键右键点击任务栏空白处，选任务管理器利用个人防火墙或防病毒软件定期扫描如：天网个人防火墙客户端平安设置设置防病软件的自动升级功能设置Windows自动下载更新功能系统设置时常关注相关的平安公告et平安威胁来自外部的威胁口令破解〔字典、暴力〕病毒攻击非法效劳拒绝效劳平安威胁 来自内部的威胁物理平安误用和滥用不当的接入方式数据监听(Sniffer)劫持攻击Windows文件系统平安NTFS与FAT32NTFS

文件系统是推荐的文件系统，因为它在可靠性和平安性方面具有优势，还因为它是大容量驱动器必需的。FAT

和

FAT32

文件系统彼此相似，除了

FAT32

比

FAT

适于更大的硬盘。NTFS

一直是比

FAT

或

FAT32

更强大的文件系统。在ghost2000之前的版本是看不到NTFS分区的；挂主从硬盘时也看不到从盘的NTFS分区。NTFS可以支持的分区大小可以到达2TB〔2048GB〕,而FAT32支持分区的大小最大为32GB。NTFS的优势权限：可对单个文件设置而不仅仅是对文件夹设置。文件加密：大大增强了平安性。ActiveDirectory：可用来方便地查看和控制网络资源。域：它是ActiveDirectory的一局部，可用于在简化管理任务的同时微调平安选项。域控制器必须NTFS。磁盘活动的故障恢复日志：在发生断电或其他系统问题时，帮助您快速地复原信息。NTFS可以自动地修复磁盘错误而不会显示出错信息。硬盘配额：可用于监视和控制单个用户使用的磁盘空间大小。磁盘分区

因为操作系统目录的权限是非常严格的，把WindowsNT放置自己单独的分区内是个明智的选择。通常分为3个区系统程序数据尽管这种分区需要额外地筹划，但它还是很有吸引力，特别是简化了对于目录权限的管理。目录可以根据需要分开。如果你在运行一个设备如WEB效劳器，你可能会考虑使用HTML，图像和其它一些静态文件在一个分区上，而你的脚本文件那么放到另一个分区上。你可以将脚本设置成只可以执行那些静态文件可允许读取。这种策略的结果就是易于管理文件和目录的权限。如何选择分区格式如果在Windows

XP中使用大于32GB的分区，唯一可以选择的是NTFS格式。如果计算机不考虑平安性问题，更注重与Win

9X的兼容性，那么FAT32格式是最好的选择。如果注重计算机系统的平安性的话，建议用户采用NTFS格式。如果要使用多个操作系统，需要安装Win

9X或其它操作系统，建议用户做成多启动系统，一个分区采用FAT32格式，另外的分区采用NTFS格式，并且将Windowds

XP安装在NTFS格式分区下，其它操作系统安装在FAT32格式下。安装windows本卷须知►使用可靠安装盘►将系统安装在NTFS分区上►系统和数据要分开存放在不同的磁盘最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。►最小化安装效劳►只安装必需的协议安装windows本卷须知(cons.)►设置BIOS密码►改变安装的默认路径►安装最新的补丁程序►安装必要的防病毒软件►安装适宜的防火墙软件►Ghost备份安装的系统安装windows本卷须知(cons.)►建立和选择分区►选择安装目录►不安装多余的组件►停止多余的效劳►安装系统补丁改变缺省安装目录在2000的安装过程中通常使用缺省目录C:\WINNT。很多黑客工具将这个目录用到他们的程序代码中。在安装过程中选择其他目录作为安装目录通常可以使大量黑客工具失效。Windows2k平安结构Windows2k的平安包括6个主要的平安元素：

Audit,Administration,Encryption,AccessControl,UserAuthentication,CorporateSecurityPolicyWindows2k平安组件：·灵活的访问控制：允许对象的属主能够完全控制，谁可以访问这个对象以及什么样的访问权限。·对象再利用：Windows2k明确地阻止所有应用程序不可以访问被另一应用程序所占用资源内的信息〔比方内存和磁盘〕。·强制登录：与Windows2k在用户能访问任何资源前必须通过登录来验证他们的身份。·审计：Windows2k采用单独的机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。·控制对象的访问：Windows2k不允许直接访问系统里的资源，这种不许直接访问是访问控制的关键。在允许访问之前，用户或应用程序的权限首先被验证。Windows2k的对象为实现其平安特色，Windows2K把所有的资源都处理成特殊的对象。〔包括资源本身、机制和需要访问的程序〕把所有封装成对象并建立单独的机制来使用它们，微软创立单独的方法来对那些对象实行访问控制。基于这种方法，Windows2K被称为基于对象的操作系统。Windows2K对象类别·文件·目录·打印机·输入输出设备·窗口·线程·进程·内存WindowsNT平安子系统的组件Securityidentifiers，平安标识符Accesstokens，访问令牌Securitydescriptors，平安描述符Accesscontrollists，访问控制列表AccessControlEntries，访问控制条目平安标识符〔SecurityIdentifiers〕:

即我们经常说的SID，每次当我们创立一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装WindowsNT后，也会得到一个唯一的SID。

SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU消耗时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500访问令牌〔Accesstokens〕:用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给WindowsNT，然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，WindowsNT将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。平安描述符〔Securitydescriptors〕：WindowsNT中的任何对象的属性都有平安描述符这局部。它保存对象的平安配置。访问控制列表〔ACL〕访问控制列表有两种：任意访问控制列表〔DiscretionaryACL〕、系统访问控制列表〔SystemACL〕。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核效劳的，包含了对象被访问的时间。访问控制条目〔ACE〕每个ACE包含用户或组的SID及对象所持有的权限。对象分配的每个权限都有一个ACE。ACE有两种类型，允许访问或拒绝访问。在ACL里，拒绝访问ACE优于允许访问ACE。Windows2K平安机制1．账号平安在一个网络中，用户和计算机都是网络的主体，两者缺一不可。拥有计算机账户是计算机接入Windows2K网络的根底，拥有用户账户是用户登录到网络并使用网络资源的根底。用户管理是Windows2K管理中必要且最经常的工作。·计算机账户每个参加域的Windows2K计算机都具有计算机账户，否那么无法进行连接，实现域资源的访问。与用户账户类似，计算机账户也提供验证和审核计算机登录到网络及访问资源的方法。不过，一个计算机系统要参加到域中，只能使用一个计算机账户，而一个用户可以使用多个用户账户，并且可以在不同的计算机上使用自己的用户进行登录。2．文件系统平安NTFSNTFS文件系统只能由WindowsNT/2000〔或更高〕提供，它使用关系型数据库、事务处理以及对象技术，以提供数据平安以及文件可靠性的特征。它还支持文件恢复技术、大型存储介质、POSIX子系统以及面向对象的应用程序。NTFS的新特性包括对分层存储管理的支持，这是通过重新解析点、磁盘配额、加密、稀疏文件、分布式连接跟踪、分布式文件系统、NTFS目录连接、卷装配点、索引效劳和更改日志来实现的。3．Kerberosv5认证Kerberos为分布式环境提供一种对用户双方进行验证的认证方法。它是一种平安的双向身份认证技术，特别强调了客户机队效劳器的认证。4．NTLM认证Windows2k中仍然保存NTLM〔NTLanMan〕认证，以便向后兼容。Windows2k已经支持全新的NTLM2。5．ActiveDirectory活动目录把域划分为不同的组织单元，这意味着网络在目录树中具有部门的名称。域的树显示多个对象划分后的结果，每一局部都有自己的平安性、委托关系和用户许可证等。还可以通过活动目录指定局部管理员windows注册表注册表重要性注册表是Windows的数据库，这个数据库存储了计算机软硬件的各种配置数据。因此我们优化注册表可以把计算机调整到最正确的状态。－－中枢神经！黑客入侵手段多数都是借助或篡改注册表而进行的。注册表由来PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的windows操作系统，如Win3.x中，对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的，但INI文件管理起来很不方便，因为每种设备或应用程序都得有自己的INI文件，并且在网络上难以实现远程访问。Autoexec.batConfig.ini….注册表由来为了克服上述这些问题，在Windows95及其后继版本中，采用了一种叫做“注册表〞的数据库来统一进行管理，将各种信息资源集中起来并存储各种配置信息。按照这一原那么，Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。与INI文件不同的是：1.注册表采用了二进制形式登录数据；

2.注册表支持子键，各级子关键字都有自己的“键值〞；

3.注册表中的键值项可以包含可执行代码，而不是简单的字串；

4.在同一台计算机上，注册表可以存储多个用户的特性。

注册表的特点有：1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置，这使得修改某些设置后不用重新启动成为可能。

2.注册表中登录的硬件局部数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时，就把有关数据保存到注册表中，另外，还可以防止新设备与原有设备之间的资源冲突。

3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置，使得远程管理得以实现。翻开cmd五个主关键字(1)HKEY_CLASSES_ROOT:基层类别键，定义了系统中所有已经注册的文件扩展名、文件类型、文件图标等。

(2)HKEY_CURRENT_USER:定义了当前用户的所有权限，实际上就是HKEY_USERS.Default下面的一局部内容，包含了当前用户的登录信息。

(3)HKEY_LOCAL_MACHINE:定义了本地计算机(相对网络环境而言)的软硬件的全部信息。当系统的配置和设置发生变化时，其下面的登录项也会随之改变。

(4)HKEY_USERS:定义了所有的用户信息，其中局部分支将映射到HKEY_CURRENT_USER关键字中，它的大局部设置都可以通过控制面板来修改。

(5)HKEY_CURRENT_CONFIG:定义了计算机的当前配置情况，如显示器、打印机等可选外部设备及其设置信息等。它实际上也是指向HKEY_LOCAL_MACHINEConfig结构中的某个分支的指针。修改注册表的根本方法主键及其默认键值的声明格式为：

根键一级主键二级主键=默认键值

例如，欲在根键HKEY_CLASSES_ROOT的“＊〞主键下添加一个“压缩〞主键，以便通过上下文菜单直接压缩选定的文件，其主键的声明如下：

HKEY_CLASSES_ROOT＊shell压缩(＆U)command=C:dosarj.exeaTemp＄％1其中，“shell〞和“command〞都是固定的，不能更改和替换，“shell〞指明将要为上下文菜单中添加命令，“command〞指明具体的命令行信息。另外还要注意，在等号右边的键值字符串中，如果要指明文件的路径，其中的“〞字符要使用“\"代替，等号的前后还要添加一个起分隔作用的空格。一些常见的注册表操作禁止显示IE的地址栏HKEY_CLASSES_ROOT\CLSID\\InProcServer32在右边的窗口中修改字符串“默认〞的值为“remC:\WINDOWS\SYSTEM\BROWSEUI.DLL〞禁止使用IE“internet选项〞中的高级项。HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet\Explorer\ControlPanel下在右边的窗口中新建一个DWORD值“AdvancedTab〞，并设值为“1〞。局域网自动断开的时间HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下在右边的窗口中新建一个DWORD值“Autodisconnect〞，并设值为你想要设置的分钟数。为同一部电脑设置2个IP地址HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans下点击0000、0001，0002留意右边的窗口，当你发现右边窗口中的字符串"DriverDesc"的值为"TCP/IP"，修改同一窗口中的字符串"IPAddress"和"IPMask"，把IPAddress设为IP地址，如，"，把"IPMask"设为对应的掩码，如，"

隐藏上机用户登录的名字HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon下在右边的窗口中新建字符串“DontDisplayLastUserName〞，设值为“1〞。

禁止查找用户

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\FindExtensions\Static\WabFind下，删除主键“WabFind〞。锁定桌面HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，建立DWORD值“NoDesktop〞，将其值修改为“1〞即可。篡改ie的默认页hkey_local_machine\software\microsoft\internetexplorer\

main\default_page_url

“default_page_url〞这个子键的键值即起始页的默认页。修改ie浏览器缺省主页，并且锁定设置项，禁止用户更改回来hkey_current_user\software\policies\microsoft\internetexplorer\controlpanel

"settings"=dword:1

hkey_current_user\software\policies\microsoft\internetexplorer\controlpanel

"links"=dword:1

hkey_current_user\software\policies\microsoft\internetexplorer\controlpanel

"secaddsites"=dword:1“黑客〞利用注册表主要包括：

A：突破局部网管软件限制

B：共享特定硬盘分区并运行指定程序

C：启动黑客程序等三方面，而其中又属B、C两方面危害较大。查杀病毒与特洛伊木马技术病毒的定义：1988年Morris病毒的出现FredCohen定义：计算机病毒是一种程序，他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝发入其它程序，从而感染其它程序病毒不是利用操作系统运行的错误和缺陷的程序，病毒是正常的用户程序。国内的定义定义：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。出处?中华人民共和国计算机信息系统平安保护条例?病毒造成的严重平安事件红色代码2001年6月18日，微软发布平安公告：MicrosoftIIS.IDA/.IDQISAPI扩展远程缓冲区溢出漏洞。一个月后，利用此平安漏洞的蠕虫“红色代码〞一夜之间攻击了国外36万台电脑，2001年8月6日，“红色代码Ⅱ〞开始在国内发作，造成很多运营商和企事业单位网络瘫痪。给全球造成了高达26亿美元的损失。SQLslammer2002年７月24日，微软发布平安公告：MicrosoftSQLServer2000Resolution效劳远程栈缓冲区溢出漏洞。到2003年１月25日，足足6个月后，利用此平安漏洞的蠕虫“SQLSlammer〞现身互联网，几天之内给全球造成了12亿美元的损失。〔2003年8月11日〕病毒的消除与预防常用病毒防范措施：〔1〕不用盗版软件和来历不明的磁盘。将外来盘拷入计算机之前，一定要用多种杀毒软件交叉检查清杀。〔2〕经常对系统和重要的数据进行备份。〔3〕对重要内容的软盘要及时贴上写保护条。〔4〕经常用杀毒软件对系统(硬盘和软盘)进行病毒检测和清杀。〔5〕保存一份硬盘的主引导记录档案。〔6〕一旦发现被病毒感染，用户应及时采取措施，保护好数据，利用杀毒软件对系统进行查毒消毒处理。及时铲除毒源，以免扩散造成更大的损失。安装高效的防病毒软件静态查杀病毒只是一种被动的方式，为保险起见，最好能在机器内安装一种能实时防杀病毒的软件，起到“防火墙〞的作用。定期更新病毒库是关键

要加强数据的备份意识对于重要的系统信息、重要的用户数据、重要的系统参数等都要经常进行备份。要准备好绝对无毒的系统软盘，这样一旦被病毒感染，就能够利用系统盘对硬盘进行快速恢复。

特洛伊木马由来TrojanHorse希腊荷马史诗中的?木马屠城记?古希腊大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高两丈的大木马，让士兵藏匿于巨大的木马中，假装撤退。城中得知解围的消息后，将“木马〞作为奇异的战利品拖入城内，全城饮酒狂欢。午夜时分，匿于木马中的将士悄悄杀出，开启城门及四处纵火，里应外合，焚屠特洛伊城。黑客程序借用其名，真有“一经潜入，后患无穷〞之意。特洛伊木马木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/效劳程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型木马原理木马是如何进入城中的〔种植〕，是如何隐藏的，又是如何杀出的〔运行〕。1种植软件下载浏览网页翻开邮件或别人发来的文件二合一捆绑文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、ExeBundle等。2隐藏1开机自动运行；改写了win.ini，注册表的启动项，system.ini等AWin.ini木马要想到达控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既平安又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨翻开Win.ini来看看，在它的[windows]字段中有启动命令“load=〞和“run=〞，在一般情况下“=〞后面是空白的，如果有后跟程序，比方说是这个样子:run=c:\windows\file.exeload=c:\windows\file.exe这时你就要小心了，这个file.exe很可能是木马哦。B注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run〞开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run〞开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run〞开头的键值。CWindows安装目录下的System.ini在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exefile.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马效劳端程序!另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名〞，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所

D启动组有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，你就无法删除这个文件。C:\windows\startmenu\programs\startupHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup="C:\windows\startmenu\programs\startupE进程隐藏：在98下很容易，只要将其注册为系统进程就可。然而2000中，进程是无处藏身的，什么都逃不出任务管理器得如来神掌。然而，任务管理器中并不显示dll，dll是windows函数库，不能独立运行，一般是由进程加载并调用的。然后用一个可信进程来调用这个木马dll，由于dll作为了可信进程的一局部，因此也被视为可信的。比方自己写一个木马dll来替换kernel32.dll.，截获并处理特定的信息。原来命名为oldkernel32.dll，如遇到不认识的调用仍然交由oldkernel32.dll处理，可用函数转发器完成，而我们的木马dll仅完成特定的调用。3运行完整的木马程序一般采用C/S方式，由两个部份组成：一个是效劳器端程序，一个是客户端程序。效劳器负责翻开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯〔一般是TCP/IP协议〕。一旦连接，客户端就可以通过网络控制你的电脑、为所欲为。serverclient除了普通的文件操作del，dir，修改配置文件等，木马具有搜索cache中的口令、查看windows键盘事件、远程注册表的操作等，甚至开一个视频观看你得屏幕在做什么，完全控制了对方的计算机。Netbus客户端程序NetBus传输NetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。简单方法netstat-an反弹型特洛伊木马可穿透防火墙，控制局域网机器效劳器端主动发起连接，控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高平安警惕性网络神偷工作原理连接方式效劳器端主动发起连接到客户端80端口Server:1026Client:80效劳端上线通知原理利用Email利用主页空间网络神偷主界面网络神偷主界面木马新技术加壳，其原理如同加密解密一样〔！信息隐藏举例〕。木马启动后立即分析当前进程，查找有没有常见防火墙，杀毒软件，ids的进程，如果有就杀无赦。如果是新木马肯定杀不出。这主要是与现行的杀毒，ids的运行机制有关。--基于特征码的匹配。为什么每出现一个新的，全世界很多人受害之后才去处理它,马后炮。我们应该改换思路，建立平安预警预报系统，主动出击，模糊地推断出疑似的木马。无线网络中的木马而且现在的木马不光是盗取计算机用户密码，还出现了木马。经常有人里的信息丧失，费被盗用。可见，“绿色通信，健康通信〞不光是指信号好，更重要的应该是的信息平安，这包括无线的通话信息以及有线的效劳器平台的平安。所以我认为,木马,病毒将是今后信息平安的一个研究热点.911病毒木马去除A采用杀毒软件或专杀工具去除木马克星QQ木马病毒专杀大师木马杀客B手动借助注册表去除1．去除传奇击键记录器进入注册表进行手工查杀，单击“开始〞→“运行〞，在运行栏中输入：Regedit，启动注册表。然后找到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项。删除名称为TaskMonitor字符串项。再修改Win.ini，清空“RUN=〞后面的内容(run=C:\Windows\mstasks.exe)。最后在C：\Windows\System\(Windows9x系统)和C:\WINNT\System32(Win2000系统)目录下面找到Taskmom.exe，将这个程序删除掉。2．ackdoor.Neodurk木马的去除进入注册表编辑器，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrntVersion\Run中，将键值Runapp32删除，到系统Windows目录下将C:\Windows\Runapp32.exe去除即可。3．去除木马ShareQQ首先用进程管理软件终止spolsv.exe这个进程(或到纯DOS下)，然后到Windows\system文件夹下将spplsv.exe文件删除，顺便删除的还有debug.dll、MSIME5f594f58.dII两个文件，再到Windows目录下删除Winin.exe文件。然后翻开注册表，到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurretVersionRun下，删除名为“netconfig〞的字符串、再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\RunOnce下，删除“Winin〞字符串。重新启动电脑即可。4.去除广外女生木马(l)到纯DOS模式下，找到SyStem目录下的DIAGFG.EXE，删除它；(2)由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下所有exe文件都将无法运行。(3)找到Windows目录中的注册表编辑器Regedit.exe，将它改名为“Regedit〞，回到Windows模式下，运行Windows目录下的Regedit程序；(4)找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认健值改成〞％1〞％*，找到HKEY_LocAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，删除其中名称为“DiagnosticConfiguration〞的键值；(5)关掉注册表编辑器、回到Windows目录，将“Rcgedit〞改回“Regedit.exe〞，重新启动电脑。5去除冰河木马(1)运行regedit进入注册表。(2)到“\我的电脑\HKEY_CLASSES_ROOT\txtfile\shell\open\command〞。(3)将“默认〞的数据记下(例如：c:\windows\c_server.exe)。(4)将“默认〞的数据改为“c：\windows\notepad.exe%1〞。(5)重新启动电脑，进入dos模式。(6)把“c:\windows\c_server.exe〞删除。最后，重新启动电脑。6去除?灰鸽子?翻开注册表编辑器应为：翻开“开始“菜单〞中的“运行〞然后输入“Regedit〞。启动注册表编辑器后，依次翻开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run〞，在右边的窗口中删除名称为“Loadwindows〞的键值就可以了。去除文件关联灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在，只要将这些关联改回默认值即可。至此，?灰鸽子?已经被你彻底去除了。Windows常用网络平安命令1.最根本，最常用的，测试物理网络的PING

ping－t，参数－t是等待用户去中断测试注意空格！2.查看DNS、IP、Mac等

A.Win98：winipcfg

B.Win2000以上：Ipconfig/all

C.NSLOOKUP：如查看河北的DNS

C:\>nslookup

DefaultServer:

Address:8

>server那么将DNS改为了41.2

>pop.pcpop

Server:

Address:8

Non-authoritativeanswer:

Name:pop.pcpop

Address:123.网络信使Netsend计算机名/IP*(播送)传送内容，注意不能跨网段

netstopmessenger停止信使效劳，也可以在面板－效劳修改

netstartmessenger开始信使效劳“局域网使用的qq〞4.探测对方对方计算机名，所在的组、域及当前用户名〔追捕的工作原理〕

ping－aIP－t，只显示NetBios名

nbtstat-a46显示比较全的5.netstat-a显示出你的计算机当前所开放的所有端口

netstat-s-e比较详细的显示你的网络资料，包括TCP、UDP、ICMP和IP的统计等端口对黑客攻击时的准备阶段是最重要的数据之一。6.探测arp绑定〔动态和静态〕列表，显示所有连接了我的计算机，显示对方IP和MAC地址

arp-a7.在代理效劳器端

捆绑IP和MAC地址，解决局域网内盗用IP！：

ARP－s900－50－ff－6c－08－75

解除网卡的IP与MAC地址的绑定：

arp-d网卡IP8.在网络邻居上隐藏你的计算机netconfigserver/hidden:yes

netconfigserver/hidden:no那么为开启9.其他几个net命令A.显示当前工作组效劳器列表netview，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。

比方：查看这个IP上的共享资源，就可以

C:\>netview

在的共享资源

资源共享名类型用途注释

网站效劳Disk

命令成功完成。

B.查看计算机上的用户帐号列表netuser

C.查看网络链接netuse

例如：netusez:\\\movie将这个IP的movie共享目录映射为本地的Z盘

D.记录链接netsession

例如：

C:\>netsession

计算机用户名客户类型翻开空闲时间

\\10ROMEWindows20002195000:03:12

\\1ROMEWindows20002195000:00:39

命令成功完成。10.路由跟踪命令

A.tracertpop.pcpop

B.pathpingpop.pcpop除了显示路由外，还提供325S的分析，计算丧失包的％11.关于共享平安的几个命令

A.查看你机器的共享资源netshare

B.手工删除共享〔可以编个bat文件，开机自运行，把共享都删了！〕

netsharec$/d

netshared$/d

netshareipc$/d

netshareadmin$/d

注意$后有空格。

C.增加一个共享：

c:\netsharemymovie=e:\downloads\movie/users:1

mymovie共享成功。

同时限制链接用户数为1人。12CMD下设置静态IP

netsh

netsh>int

interface>ip

interfaceip>setadd"本地链接"staticIP地址maskgateway13Netstat

显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP路由表、IPv4统计信息〔对于IP、ICMP、TCP和UDP协议〕以及IPv6统计信息〔对于IPv6、ICMPv6、通过IPv6的TCP以及通过IPv6的UDP协议〕。使用时如果不带参数，netstat显示活动的TCP连接。

语法

netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]

参数

-a

显示所有活动的TCP连接以及计算机侦听的TCP和UDP端口。

-e

显示以太网统计信息，如发送和接收的字节数、数据包数。该参数可以与-s结合使用。

-n

显示活动的TCP连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。

-o

显示活动的TCP连接并包括每个连接的进程ID(PID)。可以在Windows任务管理器中的“进程〞选项卡上找到基于PID的应用程序。该参数可以与-a、-n和-p结合使用。

-pProtocol

显示Protocol所指定的协议的连接。在这种情况下，Protocol可以是tcp、udp、tcpv6或udpv6。如果该参数与-s一起使用按协议显示统计信息，那么Protocol可以是tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6或ipv6。

-s

按协议显示统计信息。默认情况下，显示TCP、UDP、ICMP和IP协议的统计信息。如果安装了WindowsXP的IPv6协议，就会显示有关IPv6上的TCP、IPv6上的UDP、ICMPv6和IPv6协议的统计信息。可以使用-p参数指定协议集。

-r

显示IP路由表的内容。该参数与routeprint命令等价。

Interval

每隔Interval秒重新显示一次选定的信息。按CTRL+C停止重新显示统计信息。如果省略该参数，netstat将只打印一次选定的信息。

/?

在命令提示符显示帮助。注释

与该命令一起使用的参数必须以连字符(-)而不是以短斜线(/)作为前缀。

Netstat提供以下统计信息：

Proto

协议的名称〔TCP或UDP〕。

LocalAddress

本地计算机的IP地址和正在使用的端口号。如果不指定-n参数，就显示与IP地址和端口的名称对应的本地计算机名称。如果端口尚未建立，端口以星号〔*〕显示。

ForeignAddress

连接该插槽的远程计算机的IP地址和端口号码。如果不指定-n参数，就显示与IP地址和端口对应的名称。如果端口尚未建立，端口以星号〔*〕显示。

(state)

说明TCP连接的状态。可能的状态如下：

CLOSE_WAIT

CLOSED

ESTABLISHED

FIN_WAIT_1

FIN_WAIT_2

LAST_ACK

LISTEN

SYN_RECEIVED

SYN_SEND

TIMED_WAIT只有当网际协议(TCP/IP)协议在网络连接中安装为网络适配器属性的组件时，该命令才可用。

范例

要想显示以太网统计信息和所有协议的统计信息，请键入以下命令：

netstat-e-s

要想仅显示TCP和UDP协议的统计信息，请键入以下命令：

netstat-s-ptcpudp

要想每5秒钟显示一次活动的TCP连接和进程ID，请键入以下命令：

nbtstat-o5

Windows平安产品防火墙1、硬件防火墙NETSCREEN、NORTEL、CISCO2、基于专用PC结构的防火墙CISCO、NOKIA、WATCHGUARD、SAMSUNG3、软件防火墙CHECKPOINT、NORTON杀毒软件国外NortonMcafee趋势Panda国内金山毒霸瑞星KV系列KILL系列入侵检测产品启明星辰“天阗〞IDS海信“眼镜蛇〞IDS捷普“jump〞IDS中联绿盟“冰之眼〞IDSWindows升级效劳〔WSUS〕Why很多网络管理员没有访问平安站点的习惯，以至于一些漏洞都出了很久了，还放着效劳器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点平安漏洞，经常访问微软和一些平安站点，下载最新的servicepack和漏洞补丁，是保障效劳器长久平安的唯一方法。Windows更新热补丁Hotfix-针对特定的漏洞，问题补丁包ServicePack(SP)用户无法选择某项功能自动更新补丁微软相关产品－office,outlook,IE…黑色的星期二添加/删除程序后可能要重新打补丁WSUSWindowsServerUpdateServices是Windows操作系统的升级效劳，通过在内部网络中配置WSUS效劳器，所有Windows的更新都能集中下载到这个效劳器中，内部网络中的客户机就可以通过WSUS效劳器得到更新。WSUS的安装主要分4个步骤：系统准备与辅助软件的安装；WSUS效劳器的安装；配置和管理WSUS效劳器；客户机设置。系统准备与辅助软件的安装最低硬件要求奔腾III750MHz或更高的处理器，512MB内存，8GB硬盘空间，NTFS文件系统格式，如需要升级的客户机在500台以上，对CPU的要求更高，内存应在1GB以上软件要求：①操作系统安装：只有包含SP4或更高版本的Windows2000AdvancedServer〔Windows2000Server〕，以及WindowsServer2003才能够作为WSUS效劳器，建议采用Windows2000AdvancedServer。

②在操作系统上安装MicrosoftInternetInformationServices〔IIS〕5.0。

③在操作系统上安装BackgroundIntelligentTransferService〔BITS〕2.0。

④在操作系统上安装MicrosoftSQLServer2000及SQL的SP4补丁。

⑤在操作系统上安装MicrosoftInternetExplorer6.0ServicePack1。

⑥在操作系统上安装Microsoft

.NETFrameworkVersion1.1RedistributablePackage。

⑦在操作系统上安装Microsoft

.NETFramework1.1ServicePack1。

⑧最后打好所有的系统补丁。

安装WSUS①下载WSUS安装程序。

②翻开下载的WSUSSetup.exe文件，启动安装程序。

③单击“下一步〞，在“最终用户许可协议〞步骤中选择“IacceptthetermsintheLicenseAgreement〞，并单击“下一步〞。

④选择存储分区，用来存放WSUS下载的更新文件。要注意的是，这个分区必须是NTFS格式，并且最少要有6GB的自由空间。

⑤接下来是选择安装WMSDE数据的存储分区，这个分区也必须是NTFS格式，以及最少要有2GB的自由空间，如果把它与存储本地更新文件装在同一个分区，这个分区最少要有8GB的自由空间。

⑥选择WSUS站点的管理工具与WEB效劳网站的端口，可以使用默认端口(80)或是选择一个独立的端口(8530)，这是不能更改的。如果效劳器上面还有别的网站，建议使用8530端口来实现WSUS的管理以及WEB效劳更新。这里使用系统推荐的80端口。

⑦WSUS提供了镜像管理效劳功能，它可以从网络上的另一台WSUS效劳器中复制已批准的更新列表。

接下来就是安装程序的自动安装过程，大概需要15分钟左右。配置和管理WSUS效劳器从安装时提示的管理地址进入WSUS的WEB管理界面。

点击右上方“选项〞菜单，进行系统设置。

①点击“同步选项〞。可以选择手动同步效劳器，查看同步状态，指定代理效劳器设置以及管理更新。也可以设置同步更新的时间，以及要求从微软站点下载的产品、更新分类、代理效劳器、更新源以及更新文件和语言。

②更新源：可以选择让该WSUS效劳器与MicrosoftUpdate或者网络上的某台上游WSUS效劳器同步更新信息。如果使用SSL，请确保上游WSUS效劳器配置为支持SSL。此效劳器上的端口设置必须配置为与上游WSUS效劳器匹配。

③自动批准选项：可以指定如何为选定组自动批准更新的安装或检测，以及如何批准对现有更新的修订，即WSUS对同步下载的补丁是否执行自动批准参加系统的分发库的命令，并设置分发的对象即计算机组。

④更新的修订：对于已批准的更新，有时会有更新版本发布，可以选择是否自动批准修订。如果不选择自动批准修订版本，那么旧版本将继续保持已批准状态。

⑤WSUS更新：需要WSUS更新，以确保可以正确更新计算机。如果WSUS更新未得到批准，那么计算机可能无法正确检测某些更新，默认是批准的。客户机设置如果客户机与WSUS效劳器在同一个域中，那么只要通过域功能分发一下即可。如客户机与WSUS效劳器不在同一个域中，那么每一台客户机都必须作如下设置才能起作用：

①翻开“开始〞菜单，点击“运行〞，输入“Gpedit.msc〞，启动Windows策略组。

②在策略组中，点击“管理模板〞，选择“添加/删除模板〞，点击“添加〞，选择“wuau.adm〞，再点“翻开〞即可。〔图一〕

③双击“配置自动更新〞，在翻开窗口中，选择“启用〞。

④双击“指定InternetMicrosoft更新效劳位置〞，在翻开窗口中，选择“启用〞，并在红色框中填上〔SUS效劳器IP〕即可。〔图二〕

⑤为保证客户机立即更新，要在“开始〞菜单下“运行〞中输入“secedit/refreshpolicymachine_policy/enforce〞，