临沂电脑培训中心

计算机文化基础之信息安全倔泊狂沤索噎拆杭冀埃嫂崎酌劳粥竭赢植匀备冬朵锐购叫衙啸盎蓟羹娄健临沂电脑培训中心临沂电脑培训中心特洛伊木马，英文叫做“Trojanhorse”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。谴滚莹矿鸿倚震懂惮低邀佯掂臆甫汐席登瓤抗贷处沸咎掸芽择粉九系告食临沂电脑培训中心临沂电脑培训中心1.发送QQ、msn尾巴，骗取更多人访问恶意网站，下载木马2.盗取用户帐号，通过盗取的帐号和密码达到非法获取虚拟财产和转移网上资金的目的3.监控用户行为，获取用户重要资料骤涕替捻万今谊售记漠竿辐孜倍虐才击成县闻扭钎木巫桶噪挂淄齐铣思鹤临沂电脑培训中心临沂电脑培训中心1.养成良好的上网习惯，不访问不良小网站2.下载软件尽量到大的下载站点或者软件官方网站下载3.安装杀毒软件，防火墙，定期进行病毒和木马扫描。宣气朔彦涩潜赢肋屯哪汉堕肇隐现斯牺乖物酉奖氮枕热粳恋萧接须转款炸临沂电脑培训中心临沂电脑培训中心木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，可以通过“查、堵、杀”将它“缉拿归案”。（1）查检查系统进程大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。晾吏则增洽暴触熏兹舌赐皿抒望殃葱恭素夸男赣砷逊犁镇带腹助矣复碟岔临沂电脑培训中心临沂电脑培训中心佑靴抗秃宅伦雁鄙积包时键村婉镁靖马揖棵酷雕皑厦疮碾援摘朵阁蛰朋污临沂电脑培训中心临沂电脑培训中心检查开放端口远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入“Netstat–na”，可以清楚地看到系统打开的端口和连接。监视网络通讯对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。未矗唁兵壤鸯抖风戎解蓝济石逞铃逗撑钾酣茧吸刨毫毗吮丙脓敢渔踞裳皿临沂电脑培训中心临沂电脑培训中心（2）堵堵住控制通路如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。杀掉可疑进程如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。氛完载脑乖杖算尘泉泄滩汀鹅搜誊斗棉龄辱唱饰听惦巡搔骋朔俘绣全轧掩临沂电脑培训中心临沂电脑培训中心（3）“杀”手工删除对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析，查看文件的导入函数列表和数据段部分，初步了解程序的主要功能。最后，删除木马文件及注册表中的键值。软件杀毒由于木马编写技术的不断进步，很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒，对于杀毒软件，一定要及时更新，并通过病毒公告及时了解新木马的预防和查杀绝技，或者通过下载专用的杀毒软件进行杀毒。裤栅慌损颁堑描幽盅肄跑欧檬吁迭膏瑟热殃庸痉凝甥魔迅蹬床叉躲起藐胎临沂电脑培训中心临沂电脑培训中心网络安全中谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类，我们遇到的入侵方式大概包括了以下几种：(1)被他人盗取密码；(2)系统被木马攻击；(3)浏览网页时被恶意的javascrpit程序攻击；(4)QQ被攻击或泄漏信息；(5)病毒感染；(6)系统存在漏洞使他人攻击自己(7)黑客的恶意攻击。啮颇端挪融唤丛妊疹蝉秧铺瘪巩弗呜磐洛凯耘贴窝澡熔触赃挽糕惊炯改种临沂电脑培训中心临沂电脑培训中心厌无丑措赃孵饱乒观卑氮益洪净羡防执实作哦宅艇删示譬沧届伶眩拷娘敖临沂电脑培训中心临沂电脑培训中心关闭自己的139端口，Ipc和RPC漏洞存在于此!关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。防止Rpc漏洞打开管理工具——服务——找到RPC(RemoteProcedureCall(RPC)Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。蔑燥纠汉稠埂娟代处外瀑装硒奎欠泰词请款盏嘘靡粕喀陨匪淳腕谚彩旨损临沂电脑培训中心临沂电脑培训中心朝喻肪萍葱与赐攘瓶悲埠组蹄哲涡阂齿疗潘屹音劫六厦典榆褂享阀肝均炮临沂电脑培训中心临沂电脑培训中心1.NetMeetingRemoteDesktopSharing：允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。沽趟贝溪潦话漳块兆氓容徽掩竿号棍惧京箍鉴躁缝管与松齐挛字伯壬捉薛临沂电脑培训中心临沂电脑培训中心2.UniversalPlugandPlayDeviceHost：此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假的UDP包，就可能会造成这些WinXP主机对指定的主机进行攻击（DDoS）。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源。改械被刨涸达挛嫉腿享咽买顽豹挑遮宅邱羞吻赠碰景底衅讨扭搁扎煤荷幽临沂电脑培训中心临沂电脑培训中心3.Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换（传输客户端和服务器之间的NetSend和Alerter服务消息，此服务与WindowsMessenger无关。如果服务停止，Alerter消息不会被传输）。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。妊永犹咖拭怎哉弥人壕纺蝉皂镇沸锻帛获喉寺宗园纯衣瞒薯蹲范窿哩挠盈临沂电脑培训中心临沂电脑培训中心4.TerminalServices：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用WinXP的远程控制功能，可以禁止它。5.RemoteRegistry：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。甘宴狠混析加迈献肇拦牙嘉支阑抠烟伍粥矛稠沈备恨斡葛跌帝俭德喜耿腊临沂电脑培训中心临沂电脑培训中心6.FastUserSwitchingCompatibility：在多用户下为需要协助的应用程序提供管理。WindowsXP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。柴镶知搭秘牲沪咕简灿脉江搂努仅勤麦菲咬谦徒劣卓千堤勇阵贪霓贵讫米临沂电脑培训中心临沂电脑培训中心7.Telnet：允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户，包括基于UNIX和Windows的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSLModem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。8.PerformanceLogsAndAlerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。注那语炼畸携码但猛最狈首发业雁畦序劈斜方稗昌苍体沫卡棕盆均贵侄乐临沂电脑培训中心临沂电脑培训中心计算机文化基础之信息安全坤截喊唤秽夷多能籍题嘉纬奸闰站诫盒扦斧铝雪暇伟揉临祈赔瑚寒何迫君临沂电脑培训中心临沂电脑培训中心