网络安全

拍案惊奇－－取款机上的脚本错误!

　有的时候，计算机取证(Computer Forensics)也可以称为计算机法医学，它是指把计算机看作是犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。好比飞机失事后，事故现场和当时发生的任何事都需要从飞机的“黑匣子”中获取。说到这里您可能就猜到了，计算机的黑匣子就是自身的日志记录

在追求速度时，请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过"IP伪装"防火墙，去存取一部56K模拟调制解调器，工作情况十分良好，只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前，可以先架设一部"IP伪装"服务器试试。Windows处理多重IP的方式并非十分有效率，而将Windows网络与调制解调器隔开，效能的增进

影响品牌形象和失去客户。您的公司可能已经受到spyware的影响，即使您的每一台计算机上面都不存在spyware。假如一款具有劫持能力的spyware希望您的公司成为受害者，那么当用户在访问您的网站时，就可能被重定向到某个竞争公司的网站，造成您的公司失去大量商机。这种spyware还可以用于欺骗为点击广告支付广告费的公司。一家声名狼藉的广告公司，

每个系统都自己特定的配置文件（包括第3方软件的配置文件）其位置也是相对固定的。文件内容包含了服务器的敏感信息。在我们利用web漏洞任意操作文件时（如 include包含漏洞，mysql注射load_file()的利用，等等）读取或下载这些配置文件，导致敏感信息的泄露。

如果是发现了CIH病毒，要注意不能完全按平时报刊和手册建议的措施，即先关机、冷启动后用系统盘来引导再杀毒，而应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒软件可能会报告某些文件受读写保护无法清理，但带毒运行的实际目的不在于完全清除病毒，而是在于把CIH下次开机时候的破坏减到最低，以防它在再次开机时破坏主板的BIOS硬件，

上网前必须要安装的四个补丁

安全在很大程度上取决于用户的安全意识，只有提高安全意识才能减少中招的概率，比如不打开陌生的媒体文件，不随意进入陌生的网站等，当然光有安全意识还不够，我们还需要杀毒软件等好帮手，毕竟任何网页木马都需要先下载到本地才能运行，而杀毒软件可以防止木马的运行，因此我们必须及时升级杀毒软件的病毒库。只有防先于攻，才能算得上是真正的

破坏硬件的病毒：其实即使是CIH也是应该叫破坏软件。现在主板都可以在系统环境下刷新了，可以考虑软件控制bios的设置，让某些设置不合理，严重损耗硬件。也可以通过严重数字计算使CPU产生热量，或者提高刷新频率破坏显卡和显示器，或者不停狂读写硬盘某区损坏硬盘和磁头，或者是突然提高声音音量震坏音箱。

目前，从计算机病毒的发展趋势来看，蠕虫/特洛伊类的病毒越来越多。与普通感染可执行文件的文件型病毒不同，此类程序通常不感染正常的系统文件，而是将自身作为系统的一部分安装到系统中。相对来说，此类病毒的隐蔽性更强一些，更不容易被使用者发觉。

　“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪

　F-Secure在其博客中写到，经过经一步分析，Mocbot攻击的实际上是微软在早些时间公布的MS05-039漏洞，是而不是MS05-047 。这次的混乱是由Mocbot使用的漏洞入侵代码造成的，该代码类似于MS05-047的公共漏洞入侵代码。我们也收到该频道的bot可能导致所有连接于服务器的bot自动开始扫描易受攻击的计算机的报道，因此它应属于蠕虫病毒。”

其实很多牧“马”者是利用Windows默认的“隐藏已知类型文件扩展名”，比如把木马文件改名为a.jpg的形式，同时文件图标又用常见图像图标来增强迷惑性，如图3所示，这里a.jpg实际上是a.jpg.exe这个可执行程序。牧“马”者将木马捆绑到一幅JPG图片中，当你双击打开这个文件时，的确实是一幅JPG图片，而木马却在后台偷偷的运行了。解决方法：打开“

其实IDS 的发展道路可以借鉴防火墙的发展。防火墙早期从包过滤，应用代理发展起来，是从网络层应用及应用层解释开始，一步步关心起具体的协议;包过滤更关注分组的包头，应用代理关心分组的有效载荷，状态检测开始关注分组之间的关系;从安全设备发展的角度，这些并未发展到头，因为对有效载荷的分析还比较弱。IDS从特征匹配开始到协议分析，走得

微软安全补丁MS05-051的问题及修复方法

当前安全产品的发展理念出现两种不同方向：一种是将多个厂商的技术组合在一起构成统一威胁管理产品，另一种是融合多种设备功能于一体，并根据这一理念创造了网络安全平台。而后者正为更多的用户所接受。 为了确保安全平台能使用最新的防病毒和攻击特征、启发式扫描和异常检测引擎，建立全球防护服务网络体系，保障及时自动更新升级也是整体

　对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。

　此外，根据你的描述，公司服务器可能存在病毒，那么一些后门程序完全可能在后台控制这台电脑，在所有者不知情的情况下发送邮件，因此IP地址的判断方法也不够科学。更为重要的是，邮件发送者也可以通过一些“黑客软件”伪装IP，这些软件曾经被垃圾邮件制造者滥用，因此从技术角度讲并不是很难实现，因此可能性也是非常之大。

局域网中机器中毒了，一是在局域网上出现广播包(ARP)暴增，甚至把出口堵死;二是机器CPU资源耗尽。用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%.该进程无法停止，注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS

　　ADSL Modem获取了公网的IP地址，当攻击发生时，如果开启了路由方式，对该IP地址的攻击将全部由Modem承受。对于SOHO环境下的ADSL Modem，由于芯片处理数据能力的制约，突发的大量攻击数据很容易造成Modem的死机。我们可以在ADSL Modem中做端口映射，将外网对Modem的21/23/69/80或所有的端口的访问映射到内网一个不存在的IP地址上，转移攻击