网络安全

在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院、浙江大学和复旦大学等在电子取证的各个技术方面都在积极开展研究工作。6月26日在北京召开的CFAT.2005首届中国计算机取证技术峰会也是旨在推动国内外计算机取证先进技术的传播和扩大研究交流的深度广度，促进计算机取证专业人员、司法界人士以

首先，我在注册表里删除了这个进程的启动项。然后，我又用WIN大师禁用了注册表。本以为，治标不治本的方法解决了它，可是再次重新启动计算机，发现病毒居然又明目张胆地呆在了我的进程表里——哎，郁闷! 于是我进入WINDOWS下找到SVCHOST.EXE，发现无法删除。没关系，我祭起安全模式大法——进入安全模式，没想到，居然没有病毒的踪影了——S

使得病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户的意愿，生产病毒的机器（当然，这里指的是程序），目前的病毒生产机，之所以大多数都为脚本病毒生产机，其中最重要的一点还是因为脚本是解释执行的，实现起来非常容易，具体将在我们后面谈及。 正因为以上几个特点，脚本病毒发展异常迅猛，特别是病毒生产机的出现，使得生成

业内人士同时呼吁，编造、散发不实信息，误导投资人，影响公司股价，属违法违规行为，这一点无论是在传统媒体上，还是网络上，都是适用的。尽管对网络用户的监管比较困难，但是，监管部门可以联手公安部门，尽最大努力去封杀网络上的“黑嘴”，保护投资者的利益。此外，也可以制定相应的法规，要求网站对论坛中的言论进行严格监控，不给“黑嘴”

在森林里，鹿妈妈会警告小鹿不要去到太偏僻或者太远的地方玩耍，因为那里可能隐藏着恶狼。在网络上有更多的恶狼存在，但是却没有人能收到有效的警告。要成为自己的救世主，必须把那一份多余的好奇心收起来，直到已经掌握了清理“不速之客”的技术以后，方可放开好奇心到处看看，否则一不小心被自己的好奇心弄得系统出毛病了，又没法判断清理，最

在网络游戏方面，九城、盛大等厂商建议玩家们最好不要使用外挂程序，因为盗号木马经常会捆绑在这些外挂程序之中。另外，玩家最好养成定期更换游戏密码的习惯，或者是在输入密码的时候使用“先两头，后中间”以及“复制、粘贴”之类的技巧。当然，如果玩家肯支付费用购买厂商推出的“密保卡”之类的多重加密之类的工具，也会给自己的账号提供更好

主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知

　这个技巧并未进行测试，因为当我们将u盘插入系统时，并无下面设置步骤中出现的选项，而代之以下图中的界面，这点很令人困惑，设备直接插入到pc主板上的usb端口中，并未使用类似读卡器之类的设备，何来“设备被插入到不被支持的接口”一说？而且，比较搞笑的是，当我们在该usb端口中插入读卡器以及sd卡时，readyboost反而顺利启用了

一招搞定Vista系统下面软件不兼容问题

我们知道想要让程序自动运行，可以通过很多方法来实现，比如通过注册表的启动项，或是通过系统的服务选项，以及利用系统的Win.ini、Autoexec.bat等文件都可以达到让程序进行自动运行的目的，这也是我们查找恶意程序“踪迹”的一些方法。下面我们介绍两种用注册表添加自启动程序的方法

该服务提供多会话环境，允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口，允许外来IP的连接(著名的3389攻击所依靠的服务就是它)。对于这个非常危险的服务，只有“禁用”。 　　配置服务的方法:进入“服务”窗口，右键点击要配置的服务，然后点击“属性”。可根据需要在“常规”选项

如果没有系统启动盘，怎样恢复硬盘上的Linux呢？在这种情况下，如果知道Linux在硬盘上的确切安装分区，且有loadlin程序，就可以重新返回Linux。loadlin程序是DOS下的程序，运行它可以从DOS下直接启动Linux，快速进入Linux环境。在RedHatLinux6.0光盘的dosutil/目录下就有这个程序。除此之外，还需要一个Linux启动内核的映像文件。在RedHatlinux6

该服务提供多会话环境，允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口，允许外来IP的连接(著名的3389攻击所依靠的服务就是它)。对于这个非常危险的服务，只有“禁用”。

　尽管在结构上外壳接在内核后面，但运行的顺序仍然是先显示封面再跳转去执行内核。可执行文件的外壳一般具有相对独立的功能和结构，去掉外壳将不会影响内核部分的运行。 如果我们用“病毒外壳”去替换图中的“封面外壳”，那么就已经说明了文件型病毒的 基本机理。计算机病毒一般不传染数据文件，这是由于数据文件是不能执行的，如果病毒传染了

有了这个ASP后门，其它的就好办了。上传一个控制后门，果然很容易就进入了先前的目标网站。打开Coon.asp，数据库的密码出来了，通过后门程序将正在用的扩展名为ASP的数据库下载，改成MDB的，用密码打开，管理员的密码又是明文。用管理员姓名和密码，终于进入了目标网站后台。这次入侵可以说没有用上黑客工具，也没有多少技术可言，但入侵的思路

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation

　然后到下载传播。上网的人，下载是常事。今天下载游戏，明天下载电影，后天下载某某软件。总的说，下载，是离不开网民的生活。但是，也正因如此，也给了那些盗号者机会，他们将木马连同软件或者游戏电影什么的一起打包压缩，骗取人们去下载他的压缩包。打个比方，一集电影大概为几百M，而一个木马程序小的话，也只有几十K。当你下载时，发现大

对文件实时监控方面，卡巴在默认设置上对所有的网盘，所有本地磁盘，所有的移动磁盘都进行监控，如果你的电脑配置并不高，那么可以自定义文件监控，让它只监控系统盘就可以了，别的可以放行，反正一般来说可以做一个定期的全盘扫描。修改方法如下：打开卡巴的主界面，选择：设置－文件保护－自定义－保护范围，把默认的所有本地磁盘，所有网盘前

如果攻击者足智多谋且刚强坚韧，则抗围攻性就是解决方案必须满足的一个指标。为了测试某个方案是不是能够彻底对抗零日攻击，你需要制造一个新的攻击，这并不现实。所以可以学学黑客，他们总是从网上学习。为达到测试的目的，可以使用网上的入侵工具，也可以请几个竞争性的公司互相攻击。可别扮演“皇帝的新装”中的主角自欺欺人，绝对不要采用可

实时防护能力弱，只会对病毒写硬盘操作进行报警。而执行病毒则不一定会报警（如果病毒很厉害，一定会写注册表或写引导区或感染其他文件，这个属于写硬盘操作，驱逐舰会报警；如果病毒不厉害，如黑客工具类的，对本机没影响，只对其他机器有影响，执行的时候不会报警，但通过内存扫描可以清除。