计算机安全防范解决方案研究——个人电脑安全毕业论文设计.doc

长沙理工大学 2011本科毕业设计（论文） 题目：计算机安全防范解决方案研究 个人电脑安全学生姓名： 班 级：08计算机二班学 号： 指导教师： 2011年11月1计算机安全防范解决方案研究个人电脑安全摘要在计算机没有大规模普及之前，人们会将重要的文件资料锁到文件柜或保险柜保管。随着计算机以及因特网的迅速发展而趋向于利用计算机和网络实现信息的数据化管理。各种重要的信息（如商业秘密、技术专利等）如果存放在没有安全防范措施的计算机中，这就像用不上锁的文件柜来存放机密文件。由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散的特性，导致计算机信息（如重要密码）在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒感染、后门程序、漏洞和网络黑客的攻击，给企业带来极大的风险。这时候，计算机的安全性就凸显出它的重要性了。每个计算机用户或多或少地都亲身体验过病毒或者木马、黑客的骚扰。针对个人来说所带来的损失可能还不算大，但对于企业来说，可能会是灭顶之灾。 关键词：网络安全；信息；攻击；后门程序；漏洞；密码；病毒； The computer safety guard against a solution a research -Personal computer safetySummaryBefore the calculator have no large-scale universality, people meeting importance of document data lock arrive document cabinet or safePreservation.Incline toward exploitation calculator and network realization information with the quick development of the calculator and InternetOf the data turn a management.If the information(like business secret, technique patent.etc.) of various importance deposit in there is no safety guarding against the calculator of measure in, this is like to use not lock of document cabinet to deposit secret document.Because the calculator open sex and standardize an etc. structure characteristics, make the calculator information have height share with be easy to proliferation of characteristic, cause the calculator information(such as importance password) is in the processing, savingly, deliver with the application the process very easy is reveal, steal, distort with break, perhaps be subjected to calculator virus infection, back door procedure, loophole and the network black guest of attack, bring business enterprise biggest of risk.By this time, the safety of calculator highlight of importance.Each calculator customer or many or littlely and all and personally the experience lead virus perhaps wood horse, black guest of harassment.Aim at personal to say bring of the loss may still not calculate big, but say for the business enterprise, may is drown of disaster. Keyword:The network safety； information； attack； back door procedure； loophole； password； virus；目 录第1章 计算机端口及服务安全防范11.1 端口的概述11.2常用的端口和服务21.3端口的安全防范31.4计算机常用服务防范4第2章 计算机系统漏洞52.1漏洞分析52.2漏洞解决方案6第3章 计算机共享资源及本地策略安全防范73.1共享资源安全分析73.2共享资源安全防范83.3本地策略安全防范93.4 DIY在本地策略的安全选项10第4章 计算机病毒及木马防范114.1病毒及木马的概述114.2 病毒及木马的种类124.3 病毒及木马防范技巧134.3.1巧用命令行 彻查电脑中的恶意软件164.3.2 网银木马病毒原理与防杀办法184.3.3 查杀IMG病毒的常用方法及防范措施 21第5章总结与展望255.1 本研究工作总结255.2 计算机安全防范展望25参考文献26致 谢27第一章 计算机端口及服务安全防范1.1 端口的概述 计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。端口号有两种基本分配方式：第一种叫全局分配这是一种集中分配方式，由一个公认权威的中央机构根据用户需要进行统一分配，并将结果公布于众，第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来（binding，绑定）。TCP/IP端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。每一个标准服务器都拥有一个全局公认的端口叫周知口，即使在不同的机器上，其端口号也相同。剩余的为自由端口，以本地方式进行分配。TCP和UDP规定，小于256的端口才能作为保留端口。按端口号可分为3大类： （1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。1.2 常用的端口及服务端口：21 服务：FTP 说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。 木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口：23 服务：Telnet 说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口：25 服务：SMTP 说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E -MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口：53 服务：Domain Name Server（DNS） 说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口：80 服务：HTTP 说明：用于网页浏览。木马Executor开放此端口1.3 端口的安全防范 1.关闭自己的139端口，ICP和RPC漏洞存在于此。 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口 2445端口的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0 。34899端口的防范 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。 4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。 所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的 4135端口运行dcomcnfg，展开“组件服务”“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。5. 23端口关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序6. 21端口关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管单元提供 FTP连接和管理。1.4 计算机常用服务防范 在运行中，输入Services.msc，将以下服务关闭：1.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享。 2.Distributed File System将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享。 3.Distributed Link Tracking Server适用局域网分布式链接? ?踪客户端服务。 4.IMAPI CD-Burning COM Service管理 CD 录制。 5.Indexing Service提供本地或远程计算机上文件的索引内容和属性，泄露信息。 6.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止。 7.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集。 8.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换。 9.Print Spooler打印机服务，没有打印机就禁止吧。10.Telnet允许远程用户登录到此计算机并运行程序 。11.Terminal Services允许用户以交互方式连接到远程计算机12.Print Spooler打印机服务，没有打印机就禁止吧。 13.Remote Desktop Help& nbsp;Session Manager管理并控制远程协助。 14.Remote Registry使远程计算机用户修改本地注册表。 如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必上停止该服务，因为这完全有可能是黑客使用控制程序的服务端第二章 计算机系统漏洞2.1漏洞分析 系统漏洞就是开发商在操作系统设计的时候没有考虑周全，当程序遇到了一个看似合理，但实际上无法处理的问题时，就会引发一些不可预见的错误，而这些错误是不可避免的，就像网站的漏洞也是，比如说这个网站，它就存在不少漏洞，只是站长没有去发现这些问题而已。 系统漏洞又称为“安全缺陷”或者“系统BUG”同时也成为黑客为了达到他们的攻击目的而寻找的一个攻击入口。漏洞是随着操作系统，无论是Windows还是Linux程序的规模不断增大而逐渐增加的。操作系统的安全漏洞越多，暴露给攻击者的目标也就越大。同时。操作系统是控制整个系统的安全核心，选择操作系统的安全漏洞进行攻击可以迅速产生巨大的破坏性，使被攻击方迅速处于瘫痪或崩溃状态。正因为如此，黑客在实施攻击前往往首先要寻找到的就是对方操作系统的安全漏洞，然后再有针对性的利用相应的攻击手段实现攻击。 目前服务器常用的操作系统有3类：Windows、Unix、Linux。这3类操作系都是符合C3级安全级别的操作系统。但应用最广泛的服务器操作系统仍然Windows Server 2003、Windows 2000 Serve，同时每隔一段时间都会被发现有些大大小小的漏洞，其中有很多漏洞可以使攻击者直接取得系统管理员的高级控制限，这样的后果将不堪设想。轻则会被拿来作为攻击其他机器的跳板，重则可能造成信息泄露，更有可能会破坏用户所有的数据。据统计，一台未打补丁的Windows系统，接入互联网后，不到2分钟就会受到各种漏洞所攻击，并导致计算机中毒或崩溃。目前普通用户碰到的漏洞威胁主要以微软的操作系统漏洞居多。微软被新发现的漏洞数量每年都在增长，仅2005年截止到11月，微软公司便对外公布漏洞51个，其中严重等级27个。众所周知，微软的Windows操作系统在个人计算机中有极高的市场占有率，用户群体非常庞大。利用微软的系统漏洞传播的病毒明显具有传播速度快、感染人群多、破坏严重的特点。 2003年的冲击波就是利用Windows XP和Windows Server 2003系统的一种程服务漏洞进行攻击的，如果没有安装相关的安全补丁，那么目标计算机系统将强不停的重新启动。用户根本没办法使用。 造成系统漏洞的原因是多方面的，但主要包括两个方面的内容：不安全的服务、配置与初始化错误。2.2 漏洞解决方案 系统漏洞补丁的下载“系统漏洞补丁”一词，想必大家都不陌生，就微软的操作系统而言，因其庞大的市场占有率，使得黑客们加倍的“喜爱”，因此微软会定期的发布一些最新的补丁升级包供用户下载安装，从而完善和确保系统的稳定性，阻止黑客的攻击，达到进一步保障系统安全的目的。微软发出的补丁包更多针对于系统和IE，因为更多时候黑客会选择IE和系统的漏洞进行攻击，让人防不胜防。 其实，避免因为系统漏洞造成的损害很简单，您可以通过打开Windows系统自动升级功能进行下载安装，但是，由于操作系统的版本问题，部分用户可能无法正常下载，或者下载了一些对自己的操作系统并不实用的补丁升级包，反而占用了大量计算机空间，这样一来就不是很合适了。图示1： 第三章 计算机共享资源及本地策略安全防范3.1共享资源安全分析 随着计算机网络的迅速普及，很多企事业单位都铺设了局域网，有的还开通了Internet连接。单位内部各个部门之间，甚至企事业单位之间，经常会因工作需要而共享某些信息，由此引发了共享信息资源的安全问题。尤其是一些关键部门的信息安全问题更不容忽视。姑且不论网络病毒感染、黑客入侵，就连保证共享资源的基本安全就已经让一般的工作人员头痛不已。 尽管网络安全问题日渐突出，然而计算机网络化已是大势所趋，不能因为存在安全问题隐患就因噎废食。事实上，只要防范措施得当，在一定程度上共享信息资源的安全是可以得到有效保障的。 人们通常采用口令保护的方法来限制非授权用户对共享信息资源的访问，但如果措施不当，仍会造成信息泄露。常见的安全问题分析如下： 1未设口令。 2口令过于简单。 3将访问类型设置为根据密码访问，但却仅仅设置了只读密码，而未设置完全访问密码。这样，任何用户不必输入任何口令，就可以存取共享资源，导致只读密码形同虚设。事实上，这种现象非常普遍。 4很多人由于需要访问的共享资源较多，且分散在不同的位置上，而访问每种资源又必须逐个输入口令，因此倾向于选取口令对话框中?quot;保存密码选项，以在硬盘上保存这些口令。下次再访问相同资源时就不必输入令人讨厌的口令。孰不知，这种做法虽然省去了输入口令的烦恼，但却对整个网络的安全构成了很大的威胁。因为一旦选择了保存密码选项，以后在访问相同的共享资源时，系统会自动填好口令。虽然口令在屏幕上显示为一些星号，但实际上是很容易破解的。已有很多工具软件专门破解这种口令，而且这种软件很容易编写。 5Windows 9x默认将口令保存到扩展名为PWL的缓存文件中。PWL文件是保存在本机硬盘上的一个用于访问网络资源的高速缓存的口令清单。由于PWL文件的加密算法早已被破解，使用有些工具可以轻而易举地破解出全部缓存中的口令。3.2共享资源安全防范措施： 1仔细检查是否每个共享资源均设置了口令保护。 2保证口令的长度至少应在7个字符以上，且最好大小写字母、数字、符号混合使用，以增加破解的难度。 3若将访问类型设置为根据密码访问，则必须同时分别设置只读密码 和完全访问密码。 4不要在本机保存口令。如千万不要在口令输入对话框中选择保存密码选 项。 5Windows 9x默认允许缓存口令，导致安全保密工作难度加大。建议完全禁止口令高速缓存。 具体方法是将注册表中HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkDisablePwdCaching键对应的DWORD值设为1。然后将Windows目录下所有扩展名为PWL的文件删除即可。 BR 完成上述设置后，口令输入对话框中就再不会出现保存密码选项了。 6对于Windows NT而言，可以进行登录审计，以限定用户登录的次数，这样可以有效防止非授权人员无限制地采用穷举方法破解口令。 7除非必要，否则不要将整个硬盘分区都设为共享，尤其是引导分区，以防止他人在破解口令后安装上特洛伊木马程序。 8所有包含共享资源的机器即使设置了口令，理论上也并非十分安全，破解口令实际上只是一个时间问题。但如果入侵者连共享资源的名字都无法知道，那么破解口令就无从谈起。 我们只需在共享资源名字后面加上一个$符号即可隐藏共享资源。网络上其他计算机无法通过浏览网络邻居或NET VIEW命令获得共享资源的名字，从而增强了保密性。例如，若要共享StDir目录，则可将该目录的共享资源名字写作StDir$。当然最好起一个更复杂的名字，而不应该起像C$这样容易猜中的名字，使入侵者无法轻易猜测出来。9.删除共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，可以继续删除）3.3 本地策略安全防范 账号密码的安全原则 ：首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最 好是8位以上字母数字符号组合。 如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中 拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码。本地安全策略，打开管理工具.本地安全设置.密码策略：1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是8 3.密码最长使用期限.我是默认设置42天 4.密码最短使用期限0天 5.强制密码历史 记住0个密码 6.用可还原的加密来存储密码 禁用3.4 DIY在本地策略的安全选项 1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧. 3）对匿名连接的额外限制 4）禁止按 alt+crtl +del(没必要） 5）允许在未登陆前关机防止远程关机/启动、强制关机/启动 6）只有本地登陆用户才能访问cd-rom 7）只有本地登陆用户才能访问软驱 8）取消关机原因的提示 1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面； 2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框； 3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机； 4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。第四章 计算机病毒及木马防范4.1病毒及木马的概述 木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。4.2 木马病毒的种类：1. 网络游戏木马 随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。 网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。 2. 网银木马 网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。 网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技术干扰网银登录安全控件的运行。 随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。 3. 网页点击类木马 网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单，一般只是向服务器发送HTTP GET请求。 4.3病毒及木马防范技巧 具有开放性的因特网成为计算机病毒广泛传播的有利环境，而网络本身的安全漏洞也为培养更新、更多的病毒提供了良好的条件。人们为了让网页更加精彩漂亮、功能更加强大而开发ActiveX和Java技术，然而病毒程序的制造者也正是利用了这些技术，把病毒程序渗透到每台个人计算机中去。 网络中如果有一台机器没有安装杀毒软件，或者安装了版本较老的，或者实时监控没有打开，无孔不入的网络病毒就可能在这台机器上安家生根，并潜伏在这台机器上随时想其他有防护弱点的机器发起进攻。 1漏洞型图片木马 伪装型图片木马，无论再怎么伪装，都只是象图片而已，并不是真正的图片。但是利用系统的漏洞，攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片，但当用户打开图片时，就中招了。 微软曾经发布了一个图片漏洞安全公告（MS04-028），这个漏洞是个高危漏洞，利用这个漏洞制作出来的图片木马不用打开，只要Windows的图片预览功能开着，隐藏在图片中的木马就会自动运行，危害十分巨大。利用此漏洞的攻击者，不需要将木马捆绑在图片中，只需把木马的下载地址嵌入图片中，当预览图片时，就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒，可以报告有木马，但是这些图片和无毒的图片放在一起，普通的用户一般很难发现。 图示2： 2. 伪装型图片木马病毒 伪装成“图片”的木马，无论其外表多么具有迷惑性，但木马的本质是改变不了的。木马必然是个可执行的程序文件，其后缀名是“exe”，这是不可更改的。因此，要避免伪装成“图片”的木马程序的迷惑，可以从文件名上入手。 在资源管理器窗口中，点击菜单“工具”“文件夹选项”，打开文件夹选项对话框。切换到“查看”选项卡，在中间的列表中，去掉对“隐藏受保护的操作系统文件夹”项和“隐藏已知文件类型的扩展名”项的选择，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。图示3：3. 图片木马病毒漏洞补丁 图片木马的攻击可以说是无处不在，不过从上面的介绍，可以看出图片木马除了伪装外，基本上是靠系统漏洞进行攻击的。因此，防范图片木马攻击，可以从为系统打补丁两方面入手。各种溢出类型图片木马，实际上是利用了系统漏洞进行攻击的，因此用户要想防范图片木马，以及以后出现的各种新木马，最好的办法就是及时进行系统更新。 为了节约系统资源，许多用户往往会将自动更新关掉，但是长期下来许多系统漏洞都没有打补丁。要补上这些漏洞，需要装的补丁太多了，哪些是重要的，哪些是不必要安装的，哪些会造成系统冲突的，很难分辨。我们可以利用一些特殊的安全工具，比如360安全卫生之类的，给系统打补丁就不是什么难事了。 运行360安全卫生，在界面中间会显示系统中是否有未打的重要安全补丁程序。切换到“修复系统漏洞”，点击“查看并修复系统漏洞”按钮，软件会自动扫描系统中的漏洞，然后就可以点击更新系统补丁。选择系统中未安装的重要安全漏洞，或简介“全选”，再点击“下载并修复”按钮，就会自动下载并安装所有的补丁程序了。图示4： 4.3.1巧用命令行 彻查电脑中的恶意软件Netstat命令在命令行提示符运行之后，下一步运行“netstat”指令，并且注意观察你的系统的监听端口。许多人都知道“netstat na”命令能够提供这台机器的TCP和UDP端口列表。在这个指令的参数中增加一个“o”能够显示使用一个端口的每一个进行的ID。使用XP SP2，增加一个“b”参数将显示使用每一个端口的EXE文件的名称，以及装载用于与网络进行通讯的动态链接库。不过，要熟悉参数“b”的用法。这个功能能够消耗一些重要的CPU使用时间，你的处理器的60%至100%的使用时间最多是1分钟。但是，等一下，还有更多的事情。假如你要看一下端口使用状况和看看它如何变化的，在netstat指令后面增加一个空格，然后输入一个整数，如“netstat nao 1”，这个指令将以这个整数的频率运行。在这个例子中，它是每隔一秒运行一次。这个现实将不断地在屏幕上显示出来，图示5： 当然, 要甄别使用TCP和UDP端口的恶意软件，你需要知道一个系统的正常端口使用应该是什么样子。要搜索一台机器上使用的端口，要搜索Google 中的具体端口。此外，微软有Windows客户机和服务器使用的通用端口列表。你还可以搜索与微软和第三方应用程序有关的端口以及正式分配的端口列表。Dir命令检查自动开始文件夹，查看从那里开始的任何出人意料的程序，也是一种聪明的方法。运行非常熟悉的老的“dir”指令，使用/A参数能够显示任何有属性设置或者没有属性设置的文件，以及隐藏的文件和非隐藏的文件。 C:dir/AC:DocumentsandSettingsAllUsersStartMenuProgramsStartup netusers与localgroupadministrators一些恶意软件向本地机器增加一个账户。因此，运行“net users”命令是很重要的。这个命令可以检查系统定义的账户。此外，由于一些僵尸电脑向本地管理组增加一个账户，因此一定要运行“localgroup administrators”(本地组管理器)命令检查 这个特定的组的身份。你知道在你的管理员组中的全部人员吗?下面的图表显示了一些输出的例子。图示6： 这几个命令能够提供对一台Windows计算机的更深入的了解。不过，要进行练习才能做得更好。花一些时间分析干净的系统，这样，你就会更熟悉“正常的” Windows机器是什么样子。然后，你对恶意软件发出的异常的东西就会更敏感。有了准备和练习之后，命令行技巧能够显著提高你对Windows机器的理解，使你能够准备好与恶意软件进行激烈的战斗。4.3.2 网银木马病毒原理与防杀办法 木马原理分析这不最近又出现了新的网银木马Win32.Troj.BankJp.a.221184程序，该木马病毒可通过第三方存诸设备及网络进行传播，会给系统、网络银行用户带来损失。该木马一但进驻系统，首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码，然后该病毒将自动替换大量系统文件，并进行键盘记录，进尔利用删除破坏系统userinit.exe关键登陆程序，达到系统重启后反复登陆操作界面，让系统无法进入桌面，以至于无法正常运行，该病毒木马能实现自动更新，严重威胁用户财产及隐私安全。在一台被感染的计算机中，该病毒会在其文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件，并随后在注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服务项power，并尝试备份文件%system%calc.exe - %system%dllcachec_20218.nls、%system%userinit.exe - %system%dllcachec_20911.nls及%windir%notepad.exe - %system%dllcachec_20601.nls文件。成功后病毒开始自动查找并替换系统目录%windir%下的calc.exe文件;%system%目录下的userinit.exe、notepad.exe文件;%system%dllcache目录下的calc.exe、userinit.exe及notepad.exe文件，以达深度隐藏。至此，病毒木马仍然没有结束自身加固功能，会在系统根目录下创建RECYCLER.文件夹，用于存放病毒备份。病毒清理过程当网络用户不小心感染其病毒木马时，应尽快将其清理出计算机，依据各自的计算机应急病毒处理能力，此处提供两种方案：方法一、利用远程注册表修复由于系统缺省情况下开启了远程注册表服务项，处在局域网中的用户可通过远程连接注册表编辑器修改被感染的电脑注册表。首先在开始菜单的运行项中输入regedit调出注册表编辑器，单击其中的文件菜单打开连接网络注册表项目，在其中输入被感染的计算机IP地址机器名(注：连接成功后如果对方计算机需要用户名及密码则需输入)。随后依次找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.exe程序项删除(注：有时这里无显视，找不到被病毒劫持的userinit.exe项目，那么此时就须找到注册表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32UserInit.exe)，如发现userinit.exe被病毒破坏，则可使用windows安装光盘启动后进行快速修复，以达还原userinit.exe程序文件。最后将使用DOS命令将被病毒重命名并移动的c_20911.nls复位，命令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成后重启电脑，系统即可恢复正常。方法二、WINPE光盘引导后修复首先用户在电脑启动时按delete键进入到BIOS，设置计算机从光盘启动(注：各种品牌的计算机进入BIOS的略有差异，请参照稳各自说明书进行操作)，设置完成后将WinPE光盘塞入到光驱动，然后按F10键保存退出，此时计算机将重新启动，进入光盘启动界面。进入到WinPE虚拟出的系统后，找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.exe程序项删除，找到注册表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32UserInit.exe，随后浏览WinPE光盘，将I386目录下的system32文件夹中的userinit.exe程序复制到系统所在盘的windowssystem32路径下。最后取出光盘，重新启动计算机，被病毒劫持的userinit.exe将恢复正常，操作系统将正常启动，反复重启不再出现。病毒预防病毒并不可怕，可怕的病毒制造者之心。网络用户须时时提高警惕以防财产损失，而面对网络初期用户，那么到底可利有何种方法进行防毒、防盗呢?其实，在网络中并没有真正安全的系统，只有相对安全的平台。如果要将来自网络中的威胁降低到最小，那么须注意下列几点：一、不要随意打开莫名网站与即时通讯软件中传递的网址，更不得随意接收并点击陌生人或来历不明的程序(包含：EXE可执行文件、图片、动画、电影、音乐、电子图书等)，以防中招。二、开启系统中的补丁自动更新功能，并设置每天进行本机所安装的安全软件升级功能，以达最新版本。在网络中进行通讯时，要开启防火墙，没有安装防火墙的用户须尽快安装，这样可以防止当电脑中出现陌生程序进行远程连接时，事先早知道并进行审核。三、要不定期的利用杀毒软件或第三方安全工具，对计算机全盘进行扫描检测，对即时通迅用户，如：QQ，要利用QQ医生对系统打入补丁，并检测盗号程序，避免从此处中毒中马感染网络银行。4.3.3 查杀IMG病毒的常用方法及防范措施 全面了解IMG病毒的几大特征对于凶猛的IMG病毒，目前杀毒软件仅仅能够识别该病毒，而不能在保证系统正常运行的基础上将该病毒删除，这意味着对付IMG病毒只能用手工方法查杀，或者是用技术手段防范IMG病毒感染网吧客户机。要想查杀病毒，必须认清病毒的本质，杀毒软件的工作原来亦是如此。其实，IMG病毒与此前流行的“机器狗”病毒有着一些相似，只要用户点击了带有病毒的WEB页面，机器将会感染IMG病毒。感染了IMG病毒的机器还会自动下载带有ARP欺骗代码的盗号木马，而且可以穿透市面上大部分还原系统。具体来说，IMG病毒主要有以下几个特征：图示7： 1、破坏还原系统：如同肆虐疯狂的“机器狗”病毒一样，IMG病毒也是通过userinit.exe文件穿透还原系统。目前，IMG病毒可以破坏市面上大部分还原系统，包括硬件类的还原卡，以及诸如Deepfreeze、还原精灵、虚拟还原等各种还原软件。在成功穿透还原软件或还原卡之后，IMG病毒还会再次修改还原软件，并将病毒自身存储在操作系统中，从而完成传播过程。2、生成IGM进程：当计算机感染了IMG病毒之后，系统进程中会生成一个名字为“IGM.EXE”的进程，磁盘分区也会有auto.exe和autorun.inf两个文件。在msconfig的启动项中，也会有IGM.EXE。IMG病毒还具备自动启动和自我保护的特点，这为手工清除IMG病毒增加了一定的难度。3、自动下载木马软件：当IMG病毒进入操作系统之后，会自动登录互联网，下载木马软件。目前，IMG病毒会自动下载盗号软件，以及一些破坏类的木马软件。下载盗号软件之后，通过ARP欺骗盗取网吧顾客的游戏帐号资料，以及诸如QQ、MSN等即时通讯软件的密码;而破坏类的木马软件，则是不断向整个网络发送数据包，致使网络阻塞，达到让网吧网络瘫痪的目的。4、生成系统服务：感染了IMG病毒的电脑，还会在系统的msconfig选项中生成一个名字为“4f506c9e”的服务，该服务随操作系统自动运行。从IMG病毒的特征可以看出，该病毒与“机器狗”病毒实在是太像了。其实，破坏还原系统的方式，IMG病毒和“机器狗”是异曲同工之妙。下面，不妨寻找一下IMG病毒的弱点，这样才能对症下药，消灭IMG病毒。通过特征寻找IMG病毒的弱点可以破坏市面上大部分还原卡和还原软件，这是IMG病毒的破坏力，但并不是其弱点。对于“机器狗”或IMG这样破坏力非常强的病毒，我们所做的是全面防范，而不是等病毒进入操作系统之后，再设法查杀。对于破坏力非常强大的IMG病毒来说，其传播途径就是其弱点。下面，我们不妨耐心的寻找IMG病毒的传播途径。目前，IMG病毒的常用传播渠道，一是利用MSN、QQ等即时通讯软件，二是利用一些含有恶意代码的网页。国内权威的杀毒软件厂商对IMG病毒进行研究后发现，IMG病毒与“机器狗”病毒一样，也是通过IE浏览器及一些应用软件的漏洞进行传播的。被IMG病毒利用的漏洞有如下几个1、微软的MS07-017漏洞：最初，“机器狗”病毒是利用该漏洞进行传播的。查看微软的安全公告可以得知，一些病毒会利用操作系统的ANI漏洞加载木马，而