综合技能实践期末大作业.

1、云南大学软件学院综合技能实践实验报告序号学号姓名成绩指导教师（签名）学期：2014秋季学期任课教师：金鑫刘宇实验题目:计算机系统安全检测和管理小组长：联系电话：电子邮件:一、【构思】本实验的目的是进行计算机系统安全检测与管理，但是该要求过于宽泛，因此将其细分为操作系统安全、网络安全、病毒防治三方面来分别进行实现，以下为三者各自的具体构思：(1) 操作系统安全操作系统安全是系统安全的基础，上层软件要获得运行的可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。在网络环境中，网络安全依赖于网络中各主机的安全性，而主机系统的安全性正是由其操作系统的安全性决定的。对于操作系统安全的检测

2、与管理，通过账户安全、文件系统、文件资源安全、日志与审核、服务管理、端口安全、注册表、系统备份与恢复等方面来设计并实现。(2) 网络安全由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,netbeua)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件，本身缺乏安全性。

3、未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX扌空件进行有效扌空制。应用服务的安全。许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。对于网络安全的检测与管理，可以从常见的网络攻击与防范技术、IE浏览器安全设置、网络监听与防范、网络漏洞扫描、防火墙技术等方面来设计并实现。(3) 病毒防治随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，如CIH计算机病毒、“爱虫”病毒等，它们与以往的计算机病毒相比具有一些新的特点，给广大计算机用

4、户带来了极大的损失。计算机病毒的工作方式是可以分类的，防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时，由于其工作方式早已被记录在案，防杀计算机病毒软件能识别出来；当未曾被分析过的计算机病毒出现时，如果其工作方式仍可被归入已知的工作方式，则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。对于病毒防治可以从防病毒软件的使用，分析研究常见病毒(如U盘病毒等)的特点与防范等方面来设计并实现。二、【设计】根据构思中的实验样本，设计出对应的安全检测任务表，将按该表进行检测并得出检测报告（1

5、）操作系统安全操作系统安全包括资源管理，程序控制，进程管理，内存管理,用户接口等，从这几个方面进行实验设计，以达到操作系统安全的检测资源管理系统的设备资源和信息资源都是操作系统根据用户需求按一定的策略来进行分配和调度的。操作系统的存储管理就负责把内存单元分配给需要内存的程序以便让它执行，在程序执行结束后将它占用的内存单元收回以便再使用。对于提供虚拟存储的计算机系统，操作系统还要与硬件配合做好页面调度工作，根据执行程序的要求分配页面，在执行中将页面调入和调出内存以及回收页面等。程序控制一个用户程序的执行自始至终是在操作系统控制下进行的。一个用户将他要解决的问题用某一种程序设计语言编写了一个程序后

6、就将该程序连同对它执行的要求输入到计算机内，操作系统就根据要求控制这个用户程序的执行直到结束。操作系统控制用户的执行主要有以下一些内容：调入相应的编译程序，将用某种程序设计语言编写的源程序编译成计算机可执行的目标程序，分配内存储等资源将程序调入内存并启动，按用户指定的要求处理执行中出现的各种事件以及与操作员联系请示有关意外事件的处理等。进程管理不管是常驻程序或者应用程序，他们都以进程为标准执行单位。当年运用冯纽曼架构建造电脑时，每个中央处理器最多只能同时执行一个进程。早期的OS（例如DOS）也不允许任何程序打破这个限制，且DOS同时只有执行一个进程（虽然DOS自己宣称他们拥有终止并等待驻留（T

7、SR）能力，可以部分且艰难地解决这问题）。现代的操作系统，即使只拥有一个CPU，也可以利用多进程（multitask）功能同时执行复数进程。进程管理指的是操作系统调整复数进程的功能。内存管理大部分的现代计算机存储器架构都是层次结构式的，最快且数量最少的暂存器为首，然后是高速缓存、存储器以及最慢的磁盘存储设备。而操作系统的存储器管理提供查找可用的记忆空间、配置与释放记忆空间以及交换存储器和低速存储设备的内含物等功能。此类又被称做虚拟内存管理的功能大幅增加每个进程可获得的记忆空间（通常是4GB，即使实际上RAM的数量远少于这数目）。然而这也带来了微幅降低运行效率的缺点，严重时甚至也会导致进程崩溃。

8、用户接口在早期的单用户单任务操作系统（如DOS）中，每台计算机只有一个用户，每次运行一个程序，且次序不是很大，单个程序完全可以存放在实际内存中。这时虚拟内存并没有太大的用处。但随着程序占用存储器容量的增长和多用户多任务操作系统的出现，在程序设计时，在程序所需要的存储量与计算机系统实际配备的主存储器的容量之间往往存在着矛盾。操作系统安全监测任务表类别检查项目是否符合安全标准备注账户安全是否已为windows账户设置密码是口否口是否已设置成登陆需要密码是口否口是否设置图片密码是口否口是否设置PIN是口否口文件系统和文件资源安全重要文件是否已进行加密是口否口回收站中数据是否已进行销毁是口否口是否有文

9、件的拓展名不正确是口否口重要文件是否已进行备份是口否口是否有未删除的隐藏垃圾文件是口否口系统及软件更新所下载补丁是否已删除是口否口是否及时清除各盘中的垃圾文件是口否口日志与审核是否记录侵权系统的事件和各种违规操作，并及时自动警告。是口否口系统日志是否完整是口否口检查日志文件是否记录了对口令文件的任何操作是口否口日志是否了记录用户每次活动(访问时间、地址、数据、设备等)是口否口是否记录了系统出错和配置修改等信息是口否口是否清除日志是口否口服务管理是否有系统关键服务被禁止启用是口否口是否有不需要或恶意的应用软件服务被启用是口否口端口安全是否关闭不用的端口是口否口默认端口是否能关闭是口否口注册表删除

10、软件后是否有清除残留的注册表是口否口是否有某些软件的注册表被破坏导致软件未能正常运行是口否口系统备份与恢复系统数据是否及时进行备份是口否口应用软件中的重要数据是否及时进行备份是口否口已备份数据是否能成功对系统进行恢复是口否口备份恢复介质是否能在其他设备上恢复出原系统是口否口(2) 网络安全网络攻击与防范技术在对网络攻有一定的了解的同时，我们应该对网络攻击采取有效的措施。确定网络攻击的漏洞所在，建立真正有效的的安全防范系统。在网络环境下设立多种多层的防范措施，真正达到防范的效果，让每种措施都像关卡一样，使得攻击者无计可使。同时，我们还要做到防范于未然，对重要的数据资料及时备份并实时了解系统的运作

11、情况，做到有备无患。IE浏览器安全设置通过IE浏览器安全设置可以对浏览器各种拦截插件的功能进行设置。网络监听与防范网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。网络漏洞扫描向远程计算机的特定端口发送特定的请求数据，根据从该端口返回数据的特征来判断该主机是否存在某种漏洞。网络安全监测任务表类别检查项目是否符合安全标准备注网络攻击与防范技术查看端口连接状态，连接是否正常连接是口否口Windows防火墙阻止新程序时通知我是口否口Windows网络连接类型是否匹配是口否口Windows高级设置是否合理是口否口

12、是否关闭不必要的共享端口是口否口设置ACL权限是口否口系统疋否存在违反安全朿略的仃为和被攻击迹象是口否口入网访问控制是口否口进仃端口扫描与漏洞扫描，检测系统是否存在安全隐患漏洞是口否口IE浏览器安全设置浏览器的默认主页是否已固定是口否口检测系统是否有固定的浏览器（默认设置）是口否口是否定期进仃浏览器版本更新检测是口否口是否进行定期的对浏览历史的清理是口否口浏览器是否存在漏洞或者安全隐患是口否口是否启用弹出窗口阻止程序，是否启用SmartScreen筛选器是口否口网络监听与防范进行登录口令检测：浏览网页时是否进行身份认证是口否口用户登录访问页面时密码设置等级是口否口检测交换机划分是否合理是口否口

13、检测正在使用的网络TOP结构是否合理，是否安全是口否口是否使用了安全的有线网络接入，有线网络接入是否正常是口否口是否使用了安全的无线网络接入，无线网络接入是否正常是口否口网络漏洞扫描通过专用软件（漏洞扫描技术）对计算机协议漏洞和系统环境扫描，看是否符合标准，是否存在漏洞，并及时进行修补是口否口包括CGI漏洞扫描，POP3漏洞扫描，FTP漏洞扫描，SSH漏洞扫描等（3）病毒防治常用防病毒软件：360杀毒软件，金山毒霸，windowsdefender,AviraFreeAntivirus，卡巴斯基，McAfee等常见病毒及其防范：（一）系统病毒系统病毒的前缀为：Win32、PE、Win95、W32

14、、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。（二）蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。（三）木马病毒、黑客病毒木马病毒其前缀是：Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的现在这

15、两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。（四）脚本病毒脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）等。（五）宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel

16、97(也许还有别的)其中之一。如：著名的美丽莎(Macro.Melissa)。(六)后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot。(七) 病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。(八) 破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑

17、用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘(HarmformatC.f)、杀手命令(Harm.Command.Killer)等。(九) 玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。(十)捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一

18、起的病毒，从而给用户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)等。病毒防治监测任务表类别检查项目安全标准/实现方法是否符合安全标准备注U盘病毒防治U盘免疫AUTORUN文件U盘根目录下建立一个命名为autorun.inf的文件夹是口否口采纳实用工具是否有一个名叫autorun.inf免疫器的工具是口否口本机系统处理修改注册表注册表已修改是口否口关闭自动播放已关闭自动播放是口否口禁用硬件检测服务已禁用是口否口病毒木马防范病毒防防范利用批处理文件防范病毒利用批处理来禁止空链接是口否口利用BIOS设置防毒BIOS参数设置是口否口防止ActiveX控件绕过IE开注册表编辑器，修改

19、其键值是口否口设置注册表权限防病毒启动设置注册表的权限是口否口防止脚本病毒打开资源管理器，依次执行工具一一文件夹选项一一文件类型，删除相应文件是口否口防止病毒发作后利用COM传播依次执行工具一一选项一一安全，选中“当别的应用程序试图用我的名义发送电子邮件时警告我”复选框即可是口否口防止word文档的宏病毒进入Word主界面，依次执行“工具一一选项一一安全性”在该选项卡下单击“宏安全性”按钮，打开“安全性”对话框是口否口防止ICMP重定向报文的攻击打开注册表编辑器，展开HKEY_LOCAL_MACHINESystemCurrentcontrolsetServiceTcpipParamenters

20、分支，新建或选中名为“EnableICMPRedirects”(REGDWORD)类型的键值项，将其键值设置为“0”。是口否口木马防范防范利用word文件执行木马修改注册表，提咼word的安全性是口否口禁止硬盘utoRun功能防木马运行打开注册表编辑器，修改相应的键值便可实现是口否口防止恶意文件引起的攻击打开注册表编辑器，展开【HKEY_CLASSES_ROOT.shs】分支，将默认(RED_DWORO类型)的键值项删除是口否口防止反弹端口型木马关闭Net.Bios协议的137,138，139,和445等共享端口是口否口病毒木马检测病毒检测是否有来历不明的文件没有来历不明的文件是口否口是否在软

21、盘等设备未访问时出现读写信号没有出现是口否口是否提示硬盘空间不足没有提示是口否口是否经常死机不经常死机是口否口是否丢失数据不丢失数据是口否口是否经常报告内存不足不经常报告是口否口系统是否无法启动系统可以正常启动是口否口是否打不开文件可以打开文件是口否口木马检测搜索木马针对各种类型的木马，搜索方式也各不相冋是口否口查看系统中是否有简单木马启动任务管理器，看其中是否有陌生进程,打开注册表编辑器，查看各分支是否有可以程序，若有，找到并修改键值是口否口搜查“组策略”中的木马（1）单击开始运行，输入”gpedit.msc“打开组策略窗口，（2）依次执行用户配置一一管理模板一一系统一一登陆，然后双击“在用

22、户登陆时运行这些程序”子项，选定“设置”选项中的“已启用”复选框，（3）单击显示按钮，会弹出“显示内容”窗口，如果有木马加载到组策略中，即可在“显示内容”窗口中看到。（4）选中木马程序，单击删除按钮是口否口用longhorh的任务管理器查找木马Longhorh版的“任务管理器”可以采用进程名，进程路径及用户三方面相综合的方法来判断病毒及木马是口否口病毒木马查杀病毒查杀根据进程名查杀病毒通过taskkill命令来实现是口否口根据进程号查杀病毒通过windows2000以上的系统的内置命令nstd，可以强行杀死一些更顽固病毒进程因为该命令除syste进程、mss.exe进程和、csrss.exe进

23、程不能“对付”外，基本可以对付其他一切进程是口否口快速查杀计算机病毒选择高效率的杀毒软件，是快速查杀病毒的关键。是口否口用抓包工具揪出电脑病毒抓包工具捕获网络上传送的数据包（如IP包或ARP包），通过分析这些捕获的数据包，就可以寻找病毒来源是口否口清除主引导区病毒（1）如果是windows2000系统，用安装光盘启动计算机，然后安“R”键选择“修复”直接进入控制台。在控制台的命令下输入“fixmbr”并回车，既可清除主引导区的病毒（2）如果是windowsXP系统，用安装光盘启动计算机，然后安“R”键选择“修复”直接进入控制台。在控制台的命令下输入“boot”并回车，既可清除主引导区的病毒是口

24、否口利用专杀工具查杀病毒MSN病毒专杀工具瑞星“震荡波”病毒专杀工具瑞星“小邮差”病毒专杀工具。瑞星“QQ病毒”专杀工具是口否口用windows系统控制台删除病毒文件用安装关盘启动计算机，然后按R键选择修复，就能直接进入控制。在控制台的命令提示符下，为安全起见，首先对ntservive.exe进彳丁备份，然后直接删除ntservive.exe既可。是口否口让病毒自动还原修改的键值运行注册表编辑器，利用“查找”功能是口否口查杀图片病毒使用“图片病毒及漏洞检测工具”，它可以全盘扫描磁盘上所有的Gdiplus.dl1,包括系统及第二方应用软件中的该文件。将存在漏洞的Gdiplus.dll文件找出来，

25、并可进行自动修补。是口否口木马查杀利用进程标识符查杀木马某些有特定标志的木马如（Avserve.exe）等，可在任务管理器中选择“查看一一选择列”，选中PID复选框即可查进程标识符，记下它们的标识符，单击开始运行，输入“nstd-cq-pXX”运行是口否口查杀反弹端口型木马单击开始运行，输入”msconfig”再打开注册表编辑器，修改相应的键值，便可手工清除该木马是口否口分离带木马文件可用十六进制方式打开绑定程序，通过做文件的简单改动“复制”“粘贴”等简单操作便可将带木马的文件分离是口否口手工清除嵌入式DLL木马通过cmd进入命令提示窗口，找到出现问题的文件并删除是口否口查杀trojan.sy

26、ncroad.d木马在杀毒软件提示清除trojan.syncroad.d'木马后打开任务管理器，若在进程列表中有Adstatkeep.exe或AdstatServ.exe,贝9应立即结束它们是口否口快速查杀木马启动计算机，快速扫面，设定时间，定期扫面，根据情况，自定义扫描等是口否口三、【实现】该部分进行对之前设计结果的实现(1) 操作系统安全账户安全及时设立电脑账号密码，也可以进一步设置图型密码，PIN密码等二级密码很多人的电脑默认安装之后都是默认的administrate系统管理员账户在操作，这给我们的电脑留下了太多的风险。因为，默认的系统管理员账户有对任何系统控制的权利，如果在我们

27、访问网页的时候木马等程序就有可能随着网页内容的下载而进入我们的电脑，进而因为默认的administrate系统管理员账户身份，将我们的电脑轻松控制在病毒或者木马的手里，所以我们就看到了主页被篡改，经常感染病毒，注册表被禁用，随机启动了很多病毒程序等。简单设定一下账户就可以降低这种严重事件的发生概率，操作步骤如下：1、在扌空制面板中选择用户账户，默认我们会看到administrate,创建密码。2、创建一个新账户，默认是计算机管理员，为他设定密码。3、再次创建一个账户，选择受限（我们会看到这个账户），可以不用创建密码；（根据需要你可以创建密码）4、选择运行（Win+R）,输入controluse

28、rpasswords2回车，会弹窗口，去掉要使用本机，必须输入用户名和密码项目的勾，新弹出的窗口中，输入第三步创建的账户名和密码，如果没有密码留空，如果有密码需要输入密码，以后计算机开机之后就会自动登入桌面，不会再提示输入密码文件系统及文件资源安全用360等安全软件清除系统垃圾日志与审核日志文件是用于记录系统操作事件的记录文件或文件集合，操作系统有操作系统日志文件，数据库系统有数据库系统日志文件，等等。系统日志文件是包含关于系统消息的文件，包括内核、服务、在系统上运行的应用程序等。不同的日志文件记载不同的信息。例如，有的是默认的系统日志文件，有的记载特定任务。端口安全电脑运行的系统程序，其实就

29、像一个闭合的圆圈，但是电脑是为人服务的，他需要接受一些指令，并且要按照指令调整系统功能来工作，于是系统程序设计者，就把这个圆圈截成好多段，这些线段接口就叫端口（通俗讲是断口，就是中断），系统运行到这些端口时，一看端口是否打开或关闭，如果关闭，就是绳子接通了，系统往下运行，如果端口是打开的，系统就得到命令，有外部数据输入，接受外部数据并执行。注册表注册表是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应

30、用程序和资源管理器外壳的初始条件、首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等。系统备份与恢复备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量增加，不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现

31、。(2) 网络安全网络攻击与防范技术常见的网络攻击及防范技术：1.网络欺骗网络欺骗是指攻击者通过伪造自己在网络上的身份，得到目标主机或者网络的访问权限。在TCP/IP协议中，数据包的一些域具有特定的含义。例如，IP包的哪个域表示数据的来源、哪个域表示目标，邮件的哪个域表示邮件地址等，都有固定的结构。通过底层网络编程技术，可以方便地伪造任意内容的网络数据包，因此网络上的主机都面临着被欺骗的威胁。在实际攻击过程中，网络欺骗通常作为一种进攻手段，用于获得目标主机的信任，然后再利用这种信任关系对其实施攻击。常见的网络欺骗技术有IP欺骗、电子邮件欺骗、Web欺骗和ARP欺骗。2.扫描器扫描器(Seann

32、er)是一种自动检测远程或本地主机安全性弱点的程序。扫描器通过发送特定的网络数据包，记录目标主机的应答消息，从而可以收集关于目标主机的各种信息或者测试主机的性能。扫描器也是一把双刃剑，可以作为安全管理人员检查、测试主机和网络安全性的工具，帮助管理员发现问题，防患于未然。另一方面，有恶意目的的人员利用扫描器收集主机和网络的信息，发掘其中的脆弱点，为攻击做准备。IE浏览器安全设置1. 打开IE浏览器，然后看到菜单栏上有一个工具选项，点击；2点击工具选项之后在弹出的下拉列表中选择internet选项，进入到IE浏览器的设置选项；3.进入下图之后，可以看到internet选项窗口，点击红框所示的安全按

33、钮;4.这时候就进入到浏览器的安全设置界面，然后点击下图所示的自定义级别按钮，可以对安全选项进行自定义设置;Internet选项5.常规安荃'隠私II内容II爺程序高级选择要查看的区域或更改安全设置-Internet该区.域适超于Initirnei网牯佢下适用于列在受洁任和受限制医域中的网站。谡区域的安全级别（1）该区域的允许级别：中到髙-适用于大枣数网如-下遗潜黑革很全内容前提示-不下籤耒蛊名的Activ,X控件自定題级别©尿站点岗将所有区域重置为默认级别（R）如下图点击自定义级别之后，弹出右侧所示的窗口，这里可以进行各种安全设置;规u年刖（E厂1阿卫刼口見选戲中到禹磁*1

34、的宣询.別3販圖托他剖：I«gI硼11即I'FBST:IfluJr:.Dfo56.滑动右侧的滑块，可以对浏览器各种拦截插件的功能进行设置，可以设置为启用或者提示或者禁用;网络监听与防范1. 对可能存在的网络监听的检测(1) 对于怀疑运行监听程序的计算机，用正确的IP地址和错误的物理地址Ping,运行监听程序的计算机都会有响应。这是因为正常的计算机不接收错误的物理地址，处理监听状态的计算机能接收，但如果对方的Ipstack不再次反向检查的话，就会响应。(2) 向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较

35、前后该计算机性能加以判断，这种方法难度比较大。(3) 使用反监听工具如Antisniffer等进行检测。2. 对网络监听的防范措施(1)从逻辑或物理上对网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。（2）以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast

36、Packet）还是会被同一台集线器上的其他用户所监听。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能扌空制单播包而无法扌空制广播包（BroadcastPacket）和多播包（MulticastPacket）。但广播包和多播包内的关键信息，要远远少于单播包。（3）使用加密技术数据经过加密后，通过监听仍然可以得到传送的信息，但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。（4）划分VLAN运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通

37、信，可以防止大部分基于网络监听的入侵。网络漏洞扫描主要网络扫描技术1 PING扫描PING扫描用于漏洞扫描的第一阶段，通过使用多数操作系统自带的工具PING，用乏味PING+目标IP地址，通过是否能手到对方的ICMPechoreply,来帮助识别目标主机或系统是否处于活动状态，不过目前部分主机或系统为安全性考虑，其防火墙会把ICMP包屏蔽掉，导致PING扫描失败，这种情况下，可以采用IcMPErrorsweep方法，发送一个畸形的IP数据包，迫使目标主机回应一个IcMP出错信息包，来判断目标主机是否在线2 操作系统探测操作系统探测用于漏洞扫描的第二阶段，用于对目标主机运行的操作系统进行识别(3

38、)病毒防治常用杀毒软件的使用1. 卡巴斯基：一：卡巴安装前一定要完全卸载其它杀软。如果已经发生冲突，在正常的Windows环境下不能反安装任何一个杀软，这时需要进入安全模式下，进行反安装操作，卡巴6。0和瑞星有严重冲突即使关闭瑞星的监控功能金山也一样，具体表现在开机进入桌面后就死机!对于很多网友说的，卡巴杀毒后导致系统崩溃无法启动的情况，我也遇到过!个人感觉是病毒或者木马与系统文件产生关联。卡巴提示：无法清除，我都选择的是：删除。删除的过程中与病毒或木马有关联的系统文件也被一起删除，导致系统崩溃!有点宁可错杀1000，不可放过1个的感觉。几次系统崩溃后，我选择了在装完系统后，在系统无毒的情况下

39、马上安装卡巴，再安装各种软件，上网!卡巴的保护功能还是不错的，这样病毒或木马就不是那么容易感染上，也就没有再出现系统崩溃的情况了!二：一定记得把卡巴"自我保护"小勾选上，防止恶意代码修改卡巴!默认是选上了的，最好不要修改。三：在第一次装完卡巴后进行全盘扫描此段时间可能会长点，在以后的扫描时，可以对我们确认安全的文件如：电影，游戏不扫描，这样可以大大节省扫描时间。方法：设置保护信任区域排除标记添加就可以选择你认为安全的文件了。卡巴扫描压缩包也是相当耗时的。四：在还原系统或重装系统时，请务必做好病毒库的备份，再进行安装或还原。一般情况下，卡巴的病毒库放在此文件目录里：C：Doc

40、umentsandSettingsAllUsersApplicationDataKasperskyLab只需要把AVP6备份到其他的盘ApplicationData文件夹的属性是隐藏，要修改才能找到,然后在还原或重装后，把你备份的AVP6覆盖到这个目录下就可以了。注意关掉卡巴的自我保护，否则有可能不能复制进去。然后退出卡巴，再进入卡巴，他会提醒你重新启动电脑以完成更新，这样就可以方便的把以前更新过的病毒库再直接使用记得开启"自我保护"!若不按以上内容备份，那你的病毒库将被还原在你以前设还原点的那个地方，你将重新更新病毒库，时间会长些!五：卡巴斯基dmp文件是由于卡巴斯基程序

41、中断后生成的临时文件，可以放心删除，丝毫不影响使用。六：卡巴升级时，会影响上网的速度，特别是对网络游戏影响较大。而且，卡巴有时升级失败，会不停的反复连接网络，影响游戏的正常操作。设置为手动升级，可以避免。七：对文件实时监控方面，卡巴在默认设置上对所有的网盘，所有本地磁盘，所有的移动磁盘都进行监控，如果你的电脑配置并不高，那么可以自定义文件监控，让它只监控系统盘就可以了，别的可以放行，反正一般来说可以做一个定期的全盘扫描。修改方法如下：打开卡巴的主界面，选择：设置-文件保护-自定义-保护范围，把默认的所有本地磁盘，所有网盘前面的钩去掉，再点击右边的"添加"，打开"我

42、的电脑"，选择系统盘一般是C盘，再把底下的"包含所有子文件夹"选项前面的钩打上，再点确定-确定-应用-确定，就完全OK了。八：如果你不用微软邮件，可以把反垃圾邮件功能给去掉。九：win2000。win2003安装卡巴6。0需要下载orca。msi这一修改msi文件的工具，安装，它的版本号为3。1。4000。1830，是win2003sp1SDK里的工具。2。用orca打开KIS6。0或kav6。0，找到LaunchCondition这个Table，将MsiNTProductType=1orVersion9X这一行删掉，然后保存msi文件，就可以在2003中安装了。

43、十：安装时反复重启，这可能是计算机中原有的反病毒程序防火墙程序没有完全卸载掉造成的，手动卸载掉这些程序后再重新安装试一试。十一：adsl用户经常断网且卸载卡巴安全套装后上网正常，一般是由于卡巴安全套装的设置中选取了"网络攻击防御"，卡巴检测受到攻击，保护性断网。点击"入侵探测系统"-"设置"，去掉其默认的"禁止攻击计算机的时间"前面的那个钩就可了。这里要说明一下，去掉封锁时间，只是去掉了封锁的时间限制，封锁功能是一样有效的。十二：360的激活码是激活KAV卡巴反病毒软件的，你如果要用来激活KIS也就是互联网安全套装

44、需要修改注册表，注册表里HKEY_LOCAL_MACHINESOFTWAREKasperskyLabAVP6environment里的ProductType项的KIS改成KAV的话可以使用，不过推荐使用key。十三：经常听卡巴杀猪一样的叫声，是不是感觉很不爽，有时不注意还会吓了自己一跳，可以先关闭卡巴的"自我保护"然后到C：ProgramFilesKasperskyLabKasperskyInternetSecurity6。0Skinsounds,用自己喜欢的替换原来的Wav文件就行了。十四：卡巴6。0的KEY文件被列入黑名单，出现这种情况，是由于卡巴更新服务器封掉了这个K

45、EY，这个时候只要在服务选项删除原来的KEY并重新添加一个能够使用的key就可以了。还有一种可能，同样的一个KEY在卡巴的部分更新服务器上被封掉了，但是在另一部分更新服务器上却没有被封，所以你再换KEY之前可以选择其他的更新服务器试试。十五：安装卡巴后提示病毒库损坏1。调整你的系统时间为正常时间。2。按照提示重新下载病毒库更新。3。key损坏，更换其他可以使用的key。4。彻底卸载卡巴软件，并将安装目录及注册表中的有关卡巴的键值彻底清除，重新安装卡巴。十六：用卡巴杀毒后出现打开所有EXE文件都弹出"选择打开方式"的提示。解决方法：1。重新启动电脑按F8进入带命令提示行的安全

46、模式2。执行这个命令assoc。exe二exefile注意：assoc与.exe之间有一空格，屏幕显示“。exe=exefile”3。现在关闭命令提示符窗口，按Ctrl+Alt+Del组合键调出"Windows安全"窗口，按关机按钮后选择"重新启动"选项，按正常模式启动后，所有的EXE文件都能正常运行了。此方法适用win2000，winXP十七：如果你使用的是163之类的邮箱，并且使用FOXMAIL，OutlookExpress等软件，请你按如下设置，否则你可能出现无法看到邮件，或者下载不了邮件的附件的情况。方法：设置服务下的网络设置端口设置找到端口为8

47、0的那个项把小勾去掉!十八：刚装上KIS6。0的朋友，在重启之后都会出现一个你的电脑没有进行全盘扫描的提示，而且如果屏蔽了广告什么的也会弹出一个提示框，你完全可以不让它再提示：选择："服务"，把"启用通知"前面的钩去了就可以了。十九：不能正常卸载卡巴的解决办法1。请先停止进程2。在"服务"中停止klblmain服务，并将启动类型改为"已禁用"这个根据需要，如果卸载后自动出现安装的界面，请按照以上做3 。手动删除如下的几个文件夹：C：ProgramFilesKasperskyLab，CrogramFilesCommo

48、nFilesKasperskyLab，CocumentsandSettingsAllUsersApplicationDataKasperskyLab要打开隐藏文件夹4。注册表里用kaspersky做关键词搜索，找到相关后删除。当然注册表的删除可以用到专门的卸载工具，这样更快。删注册表和删文件夹没有顺序要求，然后重新启动安装程序，一定要重启!2.小红伞1、建议不要安装MailGuard（邮件监控），因为安装后关掉了下次启动又会自动打开，而且多一个占20多M内存的进程，很不爽。不安装的话，就3个进程一共不到10m，非常节省资源。当然C版本身就有没有邮件监控。2、P和W版和C版的主要区别除了多了AD

49、和SPY病毒库外，还有一个是可以随意设置升级时间，C版是固定最小是24小时升级一次的，而P和W版最好设置为3到8小时升级一次。小红伞升级还是很频繁的，所以不要太长，不过少于3小时也没必要。3、设置升级的注意事项：步骤：打开小红伞主界面一Scheduler-右键点击DailyUpdate-选择editjob下一步就行了，中间可以有地方设置升级时间间隔，注意最后Displaymode要选择invisible，默认是minimized,这样会有一个简单的自动升级界面，影响正常电脑操作，选择invisible就没有这个界面了，完全默默的后台升级。4、建议Guard（监扌空）里面的启发（Heuristi

50、c）不要开win32，否则会有很多误报。而scan（扫描）里面就应该开Win32启发，这样扫描中的误报也可以自己扌空制是否忽略掉。5、排除（Exception）设置其中，除了可以排除文件夹（6000个），Guard中还可以设置排除进程，要手动填写文件名，一共可以排除16个。3.360快速扫摄列暉砂漓囘區I翊匾已检测沽啟文件；25ir曲妄FiO.LSIOl嗨V2012.10-3L全盘扫搐闰足义扫描:q更护2.常见病毒的特点与防范特点：计算机病毒赖以生存的基础是现代计算机均采用了冯诺依曼的“存储程序”工作原理和操作系统的公开性和脆弱性，以及网络中的漏洞。程序和数据都存在计算机中，程序和数据都可以被

51、读、写、修改和复制，即程序可以在内存中繁殖。计算机病毒常见的特性有：感染性、流行性、欺骗性、危害性、可插入性、潜伏性、可激发性隐蔽性、顽固性和常驻内存。计算机病毒具有许多特征，主要表现在如下23个方面。这些特征可以作为检测病毒的重要依据，是进行病毒诊断和清除的基础。1) 不同的病毒，具有不同的感染标记。这些标记构成了各种病毒的特征代码。Internet以及很多书籍文献上都归纳了不少已发现的病毒的特征代码供参考。2) 磁盘重要区域，如引导扇区(BOOT)、文件分配表(FAT表)、根目录区被破坏，从而使系统盘不能使用或使数据和程序文件丢失。3) 病毒程序在计算机中繁殖，使程序加长。据统计，有52种

52、病毒引起宿主程序长度增长。4) 程序加载时间变长，或执行时间比平时长。机器运行速度明显变慢，磁盘读/写时间明显增长。5) 文件的建立日期和时间被修改。6) 空间出现不可解释的变小，可执行文件因RAM区不足而不能加载。7) 可执行文件运行后，秘密地丢失了，或产生新的文件。8) 更改或重写卷标，使磁盘卷标发生变化，或莫名其妙地出现隐藏文件或其他文件。9) 磁盘上出现坏扇区，有效空间减少。有的病毒为了逃避检测，故意制造坏扇区，而将病毒代码隐藏在坏扇区内。10) 没有使用COPY命令，却在屏幕上显示“1File(s)copied!”，或无明确原因，却向帖有写保护的软盘上写入数据，导致文件错误。11)

53、改变系统的正常进程；或使系统空挂，使屏幕或键盘处于封锁状态；或正常操作情况下，常驻程序失败。12) 屏幕上出现特殊的显示，如出现跳动的小球、雪花、局域闪烁、莫名其妙的提问，或出现一些异常的显示画面，如长方形亮块、小毛虫。13) 机器出现蜂鸣声，或发出尖叫声、警报声，或演奏某些歌曲。14) 系统出现异常启动或莫名其妙的重启动，或启动失控，或经常死机。15) 局域网或通信线路上发生异常加载等。16) 删除或改正磁盘特定的扇区，或对特定磁盘、扇区和整个磁盘作格式化。17) 改变磁盘上目标信息的存储状态，盗取有用的重要数据。18) 对于系统中用户特定的文件进行加密或解密。19) 使打印或通信端口异常，

54、或使软盘驱动器磁头来回移动。20) 影响系统正常启动，或影响系统常驻内存程序的正常执行，使常驻程序失败，或使系统出现异常死机，或使系统突然重启动。21) 使屏幕上显示的汉字不全。如小球病毒在CCDOS环境下发作时，跳动的小球在遇到汉字时即消去汉字的一半。22) 使打印机速度减慢或使打印机失控，造成打印机不能打印，出现“Nopaper”提示。23) 使系统不承认硬盘或硬盘不能引导系统，显示“Invalidspecification"。防范：由于计算机病毒一旦破坏了没有副本的数据、文件，便无法再恢复了，因此，在反病毒的工作中，首先应采取有效的防范措施，使系统不被病毒感染，或者感染后能尽可能地减少损失。计算机病毒的防治要从防毒、查毒、杀毒三方面进行。