有没有关于老版本防护SMTPddos攻击防护的方法

点击联系发帖人 时间：2017-05-12 10:50

域名攻击防护qps

您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
常见网络攻击与防范-张换梅技术分析.ppt 88页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：300 &&
你可能关注的文档：
··········
··········
常见网络攻击与防范提纲常见的网络攻击方法常用的安全防范措施常见的网络攻击方法入侵技术的发展入侵系统的常用步骤较高明的入侵步骤常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装 WWW欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S) 网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性
利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性
网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术
——共享式局域网下共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧
网络监听及防范技术
——共享式局域网下使用MAC地址来确定数据包的流向
若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术
——交换式局域网下在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识 ARP协议实现&IP—MAC&的配对寻址
ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表，其中存放着&IP—MAC&地址对。
网络监听及防范技术
——交换式局域网下 ARP改向的中间人窃听网络监听及防范技术
——交换式局域网下 X分别向A和B发送ARP包，促使其修改ARP表主机A的ARP表中B为&IPb—MACx& 主机B的ARP表中A为&IPa—MACx& X成为主机A和主机B之间的“中间人”
网络监听及防范技术
——网络窃听的被动防范
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入&IP—MAC&地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密
SSH、SSL、IPSec 网络监听及防范技术
——网络窃听的主动防范交换式局域网下的主动防范措施监听ARP数据包
监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较
定期探测数据包传送路径
使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较
IP欺骗及防范技术
——会话劫持 IP欺骗及防范技术
——会话劫持会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号
关键一步，技术难点使被冒充主机下线
伪造FIN包，拒绝服务攻击接管会话 IP欺骗及防范技术——防范技术没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护——实现困难使用安全协议（SSH、VPN）——保护敏感会话电子邮件欺骗及防范技术
——案例 2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。
电子邮件欺骗及防范技术
——原理发送邮件使用SMTP（即简单邮件传输协议） SMTP协议的致命缺陷：过于信任原则 SMTP假设的依据是：不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术
——防范查看电子邮件头部信息
不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来
正在加载中，请稍后...当前位置： >>
20招安全设置防止黑客攻击入侵
20 招安全设置防止黑客攻击入侵.txt “恋” 是个很强悍的字。它的上半部取自 “变态” “变” 的，下半部取自“变态”的“态” 。14 招安全设置防止黑客攻击入侵1、禁止 IPC 空连接Cracker 可以利用 netuse 命令建立空连接，进而入侵，还有 netview，nbtstat 这些都是基于空连接的
，禁止空连接就好了。打开注册表，找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成” 1” 即可。2、禁止 At 命令Cracker 往往给你个木马然后让它运行，这时他就需要 at 命令了。打开管理工具-服务，禁用 taskscheduler 服务即可。3、关闭超级终端服务如果你开了的话，这个漏洞都烂了。4、关闭 SSDPDiscoverService 服务这个服务主要用于启动家庭网络设备上的 UPnP 设备，服务同时会启动 5000 端口。可能造成 DDOS 攻击，让 CPU 使用达到 100%，从而使计算机崩溃。照理说没人会对个人机器费力去做 DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。5、关闭 RemoteRegistry 服务看看就知道了，允许远程修改注册表？！6、禁用 TCP/IP 上的 NetBIOS网上邻居-属性-本地连接-属性-Internet 协议(TCP/IP)属性-高级-WINS 面板-NetBIOS 设置-禁用 TCP/IP 上的 NetBIOS。这样 Cracker 就无法用 nbtstat 命令来读取你的 NetBIOS 信息和网卡 MAC 地址了。7、关闭 DCOM 服务这就是 135 端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入 dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式 COM”即可。8、把共享文件的权限从“everyone”组改成“授权用户”“everyone”在 win2000 中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。9、取消其他不必要的服务请根据自己需要自行决定，下面给出 HTTP/FTP 服务器需要最少的服务作为参考：EventLogLicenseLoggingServiceWindowsNTLMSecuritySupportProviderRemoteProcedureCall(RPC)ServiceWindowsNTServerorWindowsNTWorkstationIISAdminServiceMSDTCWorldWideWebPublishingServiceProtectedStorage10、更改 TTL 值Cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如：TTL=107(WINNT)；TTL=108(win2000)；TTL=127 或 128(win9x)；TTL=240 或 241(linux)；TTL=252(solaris)；TTL=240(Irix)；实际上你可以自己更改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTLREG_DWORD0-0xff(0-255 十进制，默认值 128)改成一个莫名其妙的数字如 258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。11、账户安全首先禁止一切账户，除了你自己，呵呵。然后把 Administrator 改名。我呢就顺手又建了个 Administrator 账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧！破完了才发现是个低级账户，看你崩溃不？12、取消显示最后登录用户HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon DontDisplayLastUserName 把值改为 1。：13、删除默认共享有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是 2K 为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer 类型是 REG_DWORD 把值改为 0 即可。14、禁用 LanManager 身份验证WindowsNTServersServicePack4 和后续的版本都支持三种不同的身份验证方法： LanManager(LM)身份验证；WindowsNT(也叫 NTLM)身份验证；WindowsNTVersion2.0(也叫 NTLM2)身份验证；默认的情况下，当一个客户尝试连接一台同时支持 LM 和 NTLM 身份验证方法的服务器时， LM 身份验证会优先被使用。所以建议禁止 LM 身份验证方法。1.打开注册表编辑器；2.定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa；3.选择菜单“编辑”“添加数值” ，；4.数值名称中输入：LMCompatibilityLevel，数值类型为：DWORD，单击确定；5.双击新建的数据，并根据具体情况设置以下值：0-发送 LM 和 NTLM 响应；1-发送 LM 和 NTLM 响应；2-仅发送 NTLM 响应；3-仅发送 NTLMv2 响应；(Windows2000 有效)4-仅发送 NTLMv2 响应，拒绝 LM；(Windows2000 有效)5-仅发送 NTLMv2 响应，拒绝 LM 和 NTLM；(Windows2000 有效)6.关闭注册表编辑器；7.重新启动机器。**************************************************************** 安全设置你的 Windows XP 操作系统WindowsXP 以其稳定性、强大的个人和网络功能为大家所推崇，而它的“NT 内核” ，让我们不得不加强安全防护。1.常规的安全防护所谓“常规的安全防护”即施行同 Windows98 一样的安装防病毒软件、升级系统、禁止 Ping 三种安全方式。要强调的是 WindowsXP 和它的前辈 Windows2000 一样，漏洞层出不穷，对于系统的升级不能像对 Windows98 般马虎，除了要安装 Microsoft 针对“冲击波”的漏洞补丁外，建议将 WindowsXP 升级为最新的 ServicePack1(升级后会提高资源占有，不过安全性、稳定性有所提高)。2.禁止远程协助，屏蔽闲置的端口在 WindowsXP 上有一项名为“远程协助”的功能，它允许用户在使用计算机发生困难时，向 MSN 上的好友发出远程协助邀请，来帮助自己解决问题。而这个“远程协助”功能正是“冲击波”病毒所要攻击的 RPC(RemoteProcedureCall)服务在 WindowsXP 上的表现形式。建议用户不要使用该功能，使用前也应该安装 Microsoft 提供的 RPC 漏洞工具和“冲击波”免疫程序。禁止“远程协助”的方法是：打开系统属性对话框(右键“我的电脑”“属性”)，在“远程”项里去掉“允许从这台计算机发送远程协助邀、请”前面的“√” 。使用系统自带的“TCP/IP 筛选服务”就能够限制端口。方法如下：在“网络连接”上单击右键，选择“属性” ，打开“网络连接属性”对话框，在“常规”项里选中里面的“Internet 协议(TCP/IP)”然后单击下面的[属性]按钮，在“Internet 协议(TCP/IP)属性”窗口里，单击下面的[高级]按钮，在弹出的“高级 TCP/IP 设置”窗口里选择“选项”项，再单击下面的 [属性]按钮，最后弹出 “TCP/IP 筛选” 窗口，通过窗口里的 “只允许” 单选框，分别添加 “TCP” 、 “UDP”“IP”等网络协议允许的端口，未提供各种服务的情况，可以屏蔽掉所有的端口。这、是最佳的安全防范形式。3.禁止终端服务远程控制“终端服务”是 WindowsXP 在 Windows2000 系统(Windows2000 利用此服务实现远程的服务器托管)上遗留下来的一种服务形式。用户利用终端可以实现远程控制。 “终端服务” “远和程协助”是有一定区别的，虽然都实现的是远程控制，终端服务更注重用户的登录管理权限，它的每次连接都需要当前系统的一个具体登录 ID，且相互隔离， “终端服务”独立于当前计算机用户的邀请，可以独立、自由登录远程计算机。在 WindowsXP 系统下， “终端服务”是被默认打开的，(Windows2000 系统需要安装相应的组件，才可以开启和使用终端服务)也就是说，如果有人知道你计算机上的一个用户登录 ID，并且知道计算机的 IP，它就可以完全控制你的计算机。在 WindowsXP 系统里关闭“终端服务”的方法如下：右键选择“我的电脑”“属性” 、，选择“远程”项，去掉“允许用户远程连接到这台计算机”前面的“√”即可。4.关闭 Messenger 服务Messenger 服务是 Microsoft 集成在 WindowsXP 系统里的一个通讯组件，它默认情况下也是被打开的。利用它发送信息时，只要知道对方的 IP，然后输入文字，对方的桌面上就会弹出相应的文字信息窗口，且在未关闭掉 Messenger 服务的情况下强行接受。很多用户不知道怎么关闭它，而饱受信息的骚扰。其实方法很简单，进入“控制面板” ，选择“管理工具” ，启动里面的“服务”项，然后在 Messenger 项上单击右键，选择“停止” 即可。5.防范 IPC 默认共享WindowsXP 在默认安装后允许任何用户通过空用户连接(IPC$)得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的 IPC 攻击。要防范 IPC 攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：第一步：将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 的 RestrictAnonymous 项设置为“1” ，就能禁止空用户连接。第二步：打开注册表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 项。对于服务器，添加键值“AutoShareServer” ，类型为“REG_DWORD” ，值为“0” 。于客户机，添加键值“AutoShareWks” ，类型为“REG_DWORD” ，值为“0” 。6.合理管理 AdministratorWindows2000/XP 系统，系统安装后都会默认创建一个 Administrator 用户，它拥有计算机的最高管理权限。而有的用户在安装时，根本没有给 Administrator 用户设置密码。黑客就利用这一点，使用高级用户登录对方计算机。因此，个人用户应该妥善保管 “Administrator” 用户信息，Windows2000 登录时，要求输入 Administrator 用户的登录密码，而 WindowsXP 在正常启动后，是看不到 Administrator 用户的，建议使用 WindowsXP 的用户进入安全模式，再在“控制面板”的“用户账户”项里为 Administrator 用户添加密码，或者将其删除掉，以免留下隐患。*************************************************************** 安全设置系统策略及自带防火墙介绍防火墙与杀毒软件一直是用户计算机中不可缺少的一部分，很多网民的网络安全全靠此两点在支撑，而如何用好杀毒软件、防火墙及策略的安全设置才是关键问题。虽然普通的杀毒软件只需按默认设置再加入当前的用户安全理念即可开始工作，但是设置一个功能良好的安全策略却不是那么简单，尤其是计算机中自带的软件防火墙，如果不配备有力的策略支持，那么阻敌率只能占到 7 成左右。使用现状很显然在当今计算机木马病毒流行的时代，网络安全尤为重要。高手对此却不屑一顾，依然在不安装杀软与防火墙的网络中“裸奔” ，虽然高手们没有安装杀软与第三方防火墙，但其却用系统中自带的防火墙功能，构建策略将来敌抵御在警戒线之外。很多门外汉一直以为 windows 防火墙并不可靠，其实那是因为不了解该防火墙策略是如何配制的，所以才无法让其发挥出因有的特性，以至于四方奔走到处求医问药来保护系统安全。防火墙整体设置对于普通网民与服务器管理人员来说，配置系统自带的防火墙安全策略与杀毒软件同等重要。打开控制面板，在防火墙的普通设置中，用户可根据例外列表中的数据，对当前通往外界的程序是否于是放行，作出勾选，并可以在其中进行相应的编辑与添加程序和端口。在高级选项中用户可以指定 windows 防火墙日志的配置，是否记录数据包的丢弃与成功连接并指定日志文件的名称和位置(默认设置为 systemrootpfirewall.log)及其最大容量。而由于 icmp 消息用于诊断、报告错误情况和配置的作用，用户可以在其设置项中自行设置，以达启用和禁用 windows 防火墙允许在高级选项卡上选择的所有连接传入的 icmp 消息的类型，而在默认情况下，该列表中不允许任何 icmp 消息。设置好了以上项目后，即可启用该自带防火墙进行日常工作，并在其后建立下列软件策略。软件限制策略设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入 gpedit.msc 调出组策略配置窗口，在其下的：计算机安全配置-windows 设置-安全设置-软件限制策略中的其它设置内，用户可以看到这里以配的四条软件策略，(小提示：如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后将会出现菜单)而这 4 条规则是正是为了保证 Windows 运行所必须的程序不会被禁用而配置的。一、环境变量与优先级随后用户可以在其它规则上右击，新建新路径规则，常用通配符有： “*”和“?” ，*表示任意个字符，?表示一个字符。常见文件夹环境变量有(以下以 XP 默认装在 C 盘例举)：%SYSTEMDRIVE% 表示 C: %ProgramFiles% 表示 C:\Program Files %SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS %USERPROFILE% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users %APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data %TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp用户在这里也可以指定要禁止运行的程序名，但要注意优先级问题，微软规定为：绝对路径&使用通配符的路径&文件名。以禁止病毒模仿系统文件 svchost.exe 运行为例，由于该系统文件位于 system32 文件夹下，是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于 windows 其他位目录下，此时可以通过建立两条策略即： svchost.exe 不允许的，%windir%\system32\svchost.exe 不受限的，来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系，来达到让真正的系统文件运行，而病毒文件无法运行的效果。二、禁止双扩展名与 U 盘运行文件由于多数用户都使用 XP 的默认设置，包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户，这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入 h:\*.exe 不允许，h\*.com 不允许的两条，让 U 盘中的可执行文件无法启动。(注：这里笔者的 U 盘盘符为 h 盘)三、禁止四地运行目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪，从而躲开管理人员的目光。这里要建立策略，防止木马从回收站、System Volume Information(系统还原文件夹)、 C:\WINDOWS\system 文件夹、C:\WINDOWS\system32\Drivers 文件夹四地启动。如下：?:\Recycled\*.* 不允许的%windir%\system\*.* 不允许的 %windir%\system32\Drivers\*.* 不允许的 ?:\System Volume Information\*.* 不允许的注：使用*.*格式时不会屏蔽掉可执行程序以外的的程序，如：txt、jpg 等。四、禁止伪装进程随着病毒会自行将文件名改为与系统进程接近的名称时， explorer.exe、如： sp00lsv.exe 等，其大小写及 O 与 0 的问题让用户无法识别，所以这里需建立如下策略让其无法启动。*.pif 不允许 sp0olsv.exe 不充许 spo0lsv.exe 不充许 sp00lsv.exe 不充许 svch0st.exe 不充许 expl0rer.exe 不允许
不允许注：有些病毒会用 pif 后缀，即 explorer.pif.pif 和 exe、com，都属于可执行文件，并且在 XP 系统中默认的 com 的优先级要高于 exe 可执行程序，其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时，即可以通过 WinRAR 或第三方浏览器进行查看。端口组策略当软件策略完成后，用户即可进入到最后一关，计算机端口策略的配置。众所皆知，设置好端口策略很大程序中可以对入侵攻击及木马病毒常用端口起到阻止作用，设置过程也很简单，只分四步走如下：第一步、依次打开：控制面板-管理工具-本地安全策略-IP 安全策略，在向导中下一步，填写安全策略名-安全通信请求，并将激活默认相应规则的钩去掉，点完成创建新的 IP 安全策略。第二步、右击该 IP 安全策略，在属性对话框中，将使用添加向导左边的钩去掉，然后单击添加加入新规则，并在弹出的新规则属性对话框点击添加，在随后弹出的 IP 筛选器列表窗口中，把使用添加向导左边的钩去掉，然后添加新的筛选器。第三步、进入筛选器属性对话框，在源地址中选择任何 IP 地址，目标地址选我的 IP 地址，点协议选项，在选择协议类型下拉表中选 TCP，然后在到此端口下文本框中输入“XXXX” (XXXX 为要关闭的端口号，如
等)，确定退出即可。(注：详细的关闭端口设置方案请用户根据端口列表大全及自身需求量身而定，端口列表可以各大搜索引擎中自行查找)第四步、随后在新规则属性对话框中，选新 IP 筛选器列表，激活后点筛选器操作选项，将使用添加向导左边钩去掉，添加阻止操作，在新筛选器操作属性的安全措施选项里选阻止，确定即可回到新 IP 安全策略属性”对话框，在新的 IP 筛选器列表左边打钩，确定。在本地安全策略窗口中右击鼠标指派刚才建立的 IP 安全策略即可。*************************************************************** 检查电脑是否被安装木马三个命令一、检测网络连接如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用 Windows 自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an 这个命令能看到所有和本地计算机建立连接的 IP，它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。二、禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如 IIS 信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过 “netstart” 来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。三、轻松检查账户很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。首先在命令行下输入 net user，查看计算机上有些什么用户，然后再使用“net user+ 用户名” 查看这个用户是属于什么权限的，一般除了 Administrator 是 administrators 组的，其他都不是!如果你发现一个系统内置的用户是属于 administrators 组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”来删掉这个用户吧！联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。******************************************************** 安全技巧：找到电脑中隐藏的入侵黑手平时使用电脑的时候也许会遇到这样的情况：计算机突然死机，有时又自动重新启动，无端端的少了些文件，发现桌面刷新慢，没有运行什么大的程序，硬盘却在拼命的读写，系统也莫明其妙地对软驱进行搜索，杀毒软件和防火墙报警，发现系统的速度越来越慢，这时候你就要小心了。第一时间反应(养成一个好的习惯往碗可以减少所受的损失)： CTRL＋ALT＋DEL 调出任用务表，查看有什么程序在运行，如发现陌生的程序就要多加注意，一般来说，凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意：这里说的是基本运行，先和大家说明白，关于这条我是在网络上关于这个研究的结果)，所以大家可以关闭一些可疑的程序来看看，发现一些不正常的情况恢复了正常，那么就可以初步确定是中了木马了，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这也是一种可疑的现象也要特别注意，你这时是在连入 Internet 网或是局域网后才发现这些现象的话，不要怀疑，动手查看一下吧！，(注：也有可能是其它一些病毒在作怪)1 先升级杀毒软件到最新，对系统进行全面的检查扫描。2 点击工具→文件夹选项→查看把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉，以方便查看。3 查看 Windows 目录下的 WIN.INI 文件中开头的几行：[WINDOWS]load=ren=这里放的是启动 Windows 自动执行的程序，可以看看对比对比一下。4 查看 Windows 目录下的 SYSTEM.INI 文件中的这几行：[386Enh]device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如： device=c ： windowssystem32tianyangdemeng.exe(这里只是打个比方)5 查看开始菜单中的“程序”→“启动” 。这里放的也是启动 Windows 自动执行的程序，如果有的话，它就放在 C：WindowsStartMenuPrograms 中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。6 在“开始”→“运行”中输入”MSCONFIG”查看是否有可疑的启动项，你也许会问，前面不是说了吗？其实，这两种方法是不同的，你分别用这两个方法查看一下就会发现不同了，至于要说更深入点，说实在话，我也不知道。呵呵不要笑话，希望高手出来解答一下！7 查看注册表，在“开始”→“运行”中输入“REGEDIT” 。先对注册表进行备份，才对注册查看。(一定要养成一个习惯，在修改木文件时，对自己没有把握的需要先进行备份)查看 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 和 Run 项，看看有没有可疑的程序。查看 HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND，看看是否有。文件关联的木马， EXE 正确值为”%1″%*查看 HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND，看看是否有。INF 文件关联的木马，正确值为 ” SYSTEMROOT%SYSTEM32NOTEPAD.EXE%1 查看 HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND，看看是否有。TXT 文件关联的木马，正确值为%SYSTEMROOT%SYSTEM32NOTEPAD.EXE%1 启动 CMD，输入 NETSTAT-AN 查看有没有异常的端口。8Windows 中的执行文件。exe、。com、。dll……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候，把以上文件做一个备份，到需要的时候就可以写回去！9 在 Windows 目录下，看看有无一个名为 Winstart.bat 的文件。这个文件也是与 Autoexec.bat 类似的一个自动批处理文件，不过，它只能在 Windows 工作而不能在 DOS 下使用。仔细看看有没有什么你不知道的驱动程序，把它记录下来，到百度查一下，一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)10 查看 c：autoexec.bat 与 c：config.sys，这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。11 右击“我的电脑”→事件查看器查看安全日志，看看里面有没有可疑的内容。12 在 CMD 下输入 NETUSER 看看有没有可疑的用户，出现自己不曾设立的用户，马上用 NETUSERABCD/DEL 把它删除(这里的 ABCD 是用户名，只要把它改成想要删除的用户就行了，也可去下个检查用户克隆器查看和其它一切能帮助到你的工具，有些黑客建立的用户用一般方法是看不见的，大家就要注意了。)********************************************************************* 电脑自动重启应该考虑的问题电脑自动重启应该考虑的问题如下：一、软件方面1．病毒“冲击波”病毒发作时还会提示系统将在 60 秒后自动启动。木马程序从远程控制你计算机的一切活动，包括让你的计算机重新启动。清除病毒，木马，或重装系统。2．系统文件损坏系统文件被破坏， Win2K 下的 KERNEL32.DLL，如 Win98FONTS 目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。解决方法：覆盖安装或重新安装。3．定时软件或计划任务软件起作用如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行” 里面直接输入“Msconfig”命令选择启动项。二、硬件方面1．机箱电源功率不足、直流输出不纯、动态反应迟钝。用户或装机商往往不重视电源，采用价格便宜的电源，因此是引起系统自动重启的最大嫌疑之一。①电源输出功率不足，当运行大型的 3D 游戏等占用 cpu 资源较大的软件时，CPU 需要大功率供电时，电源功率不够而超载引起电源保护，停止输出。电源停止输出后，负载减轻，此时电源再次启动。由于保护/恢复的时间很短，所以给我们的表现就是主机自动重启。②电源直流输出不纯，数字电路要求纯直流供电，当电源的直流输出中谐波含量过大，就会导致数字电路工作出错，表现是经常性的死机或重启。③CPU 的工作负载是动态的，对电流的要求也是动态的，而且要求动态反应速度迅速。有些品质差的电源动态反应时间长，也会导致经常性的死机或重启。④更新设备（高端显卡/大硬盘/视频卡），增加设备（刻录机/硬盘）后，功率超出原配电源的额定输出功率，就会导致经常性的死机或重启。解决方法：现换高质量大功率计算机电源。2．内存热稳定性不良、芯片损坏或者设置错误内存出现问题导致系统重启致系统重启的几率相对较大。①内存热稳定性不良，开机可以正常工作，当内存温度升高到一定温度，就不能正常工作，导致死机或重启。②内存芯片轻微损坏时，开机可以通过自检（设置快速启动不全面检测内存），也可以进入正常的桌面进行正常操作，当运行一些 I/O 吞吐量大的软件（媒体播放、游戏、平面/3D 绘图）时就会重启或死机。解决办法：更换内存。③把内存的 CAS 值设置得太小也会导致内存不稳定，造成系统自动重启。一般最好采用 BIOS 的缺省设置，不要自己改动。3．CPU 的温度过高或者缓存损坏①CPU 温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、散热 CPU 不良，CPU 散热不良的原因有：散热器的材质导热率低，散热器与 CPU 接触面之间有异物（多为质保帖），风扇转速低，风扇和散热器积尘太多等等。还有 P2/P3 主板 CPU 下面的测温探头损坏或 P4CPU 内部的测温电路损坏，主板上的 BIOS 有 BUG 在某一特殊条件下测温不准， CMOS 中设置的 CPU 保护温度过低等等也会引起保护性重启。②CPU 内部的一、二级缓存损坏是 CPU 常见的故障。损坏程度轻的，还是可以启动，可以进入正常的桌面进行正常操作，当运行一些 I/O 吞吐量大的软件（媒体播放、游戏、平面 /3D 绘图）时就会重启或死机。解决办法：在 CMOS 中屏蔽二级缓存（L2）或一级缓存（L1），或更换 CPU 排除。4．AGP 显卡、pcI 卡（网卡、猫）引起的自动重启①外接卡做工不标准或品质不良，引发 AGP/PCI 总线的 RESET 信号误动作导致系统重启。②还有显卡、网卡松动引起系统重启的事例。5.并口、串口、USB 接口接入有故障或不兼容的外部设备时自动重启①外设有故障或不兼容，比如打印机的并口损坏，某一脚对地短路，USB 设备损坏对地短路，针脚定义、信号电平不兼容等等。②热插拔外部设备时，抖动过大，引起信号或电源瞬间短路。6．光驱内部电路或芯片损坏光驱损坏，大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良，FireWare 有 Bug。也会在读取光盘时引起重启。7．机箱前面板 RESET 开关问题机箱前面板 RESET 键实际是一个常开开关，主板上的 RESET 信号是+5V 电平信号，连接到 RESET 开关。当开关闭合的瞬间，+5V 电平对地导通，信号电平降为 0V，触发系统复位重启，RESET 开关回到常开位置，此时 RESET 信号恢复到+5V 电平。如果 RESET 键损坏，开关始终处于闭合位置，RESET 信号一直是 0V，系统就无法加电自检。当 RESET 开关弹性减弱，按钮按下去不易弹起时，就会出现开关稍有振动就易于闭合。从而导致系统复位重启。解决办法：更换 RESET 开关。还有机箱内的 RESET 开关引线短路，导致主机自动重启。8.主板故障主板导致自动重启的事例很少见。一般是与 RESET 相关的电路有故障；插座、插槽有虚焊，接触不良；个别芯片、电容等元件损害。三、其他原因1．市电电压不稳①计算机的开关电源工作电压范围一般为 170V－240V，当市电电压低于 170V 时，计算机就会自动重启或关机。解决方法：加稳压器（不是 UPS）或 130－260V 的宽幅开关电源。②电脑和空调、冰箱等大功耗电器共用一个插线板的话，在这些电器启动的时候，供给电脑的电压就会受到很大的影响，往往就表现为系统重启。解决办法就是把他们的供电线路分开。2．强磁干扰不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部 CPU 风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象。3、交流供电线路接错有的用户把供电线的零线直接接地（不走电度表的零线），导致自动重启，原因是从地线引入干扰信号。4．插排或电源插座的质量差，接触不良。电源插座在使用一段时间后，簧片的弹性慢慢丧失，导致插头和簧片之间接触不良、电阻不断变化，电流随之起伏，系统自然会很不稳定，一旦电流达不到系统运行的最低要求，电脑就重启了。解决办法，购买质量过关的好插座。5.积尘太多导致主板 RESET 线路短路引起自动重启。*************************************************************** 安全模式下我们可以做什么进入安全模式的方法是：启动计算机，在系统进入 Windows 启动画面前，按下 F8 键（或者在启动计算机时按住 Ctrl 键不放），在出现的启动选项菜单中，选择”SafeMode” ，即可以安全模式启动计算机。那么安全模式到底有哪些用途呢？下面就让我们具体来看一下。1、修复系统故障如果 Windows 运行起来不太稳定或者无法正常启动，这时候先不要忙着重装系统，试着重新启动计算机并切换到安全模式启动，之后再重新启动计算机，系统是不是已经恢复正常了？如果是由于注册表有问题而引起的系统故障，此方法非常有效，因为 Windows 在安全模式下启动时可以自动修复注册表问题，在安全模式下启动 Windows 成功后，一般就可以在正常模式（Normal）下启动了。2、恢复系统设置如果用户是在安装了新的软件或者更改了某些设置后，导致系统无法正常启动，也需要进入安全模式下解决，如果是安装了新软件引起的，请在安全模式中卸载该软件，如果是更改了某些设置，比如显示分辨率设置超出显示器显示范围，导致了黑屏，那么进入安全模式后就可以改变回来，还有把带有密码的屏幕保护程序放在”启动”菜单中，忘记密码后，导致无法正常操作该计算机，也可以进入安全模式更改。3、删除顽固文件我们在 Windows 下删除一些文件或者清除回收站内容时，系统有时候会提示”某某某文件正在被使用，无法删除”的字样，有意思的是，通常这些文件并没有正在被使用，那么是不是让这些文件永远霸占我们的硬盘呢？请不要着急，重新启动计算机，并在启动时按下 F8 键进入安全模式，试着删除那些顽固文件并清空回收站看一看，没了！原来 Windows 已经放弃了对这些文件的保护，可以把它们删除了。4、彻底清除病毒现在病毒一天比一天多，杀毒软件也跟着天天更新。但是，在 Windows 正常模式下有时候并不能干净彻底地清除病毒，因为它们极有可能会交叉感染，而一些杀毒程序又无法在 DOS 下运行，这时候我们当然也可以把系统启动至安全模式，使 Windows 只加载最基本的驱动程序，这样杀起病毒来就更彻底、更干净了。***************************************************************** Windows 系统安全模式下的查杀病毒方法[时间： 9:32 am | 编辑：飞羽无痕 ]我要评论 | 分类：安全模式 | 标签：Windows，查杀病毒，系统安全相信有一部份的用户对 Windows 操作系统安全模式的应用还比较模糊，下面的我们就给大家讲讲 Windows 安全模式的应用技巧。基础知识安全模式是 Windows 操作系统中的一种特殊模式，经常使用电脑的朋友肯定不会感到陌生，在安全模式下用户可以轻松地修复系统的一些错误，起到事半功倍的效果。安全模式的工作原理是在不加载第三方设备驱动程序的情况下启动电脑，使电脑运行在系统最小模式，这样用户就可以方便地检测与修复计算机系统的错误。进入安全模式只要在启动计算机时，在系统进入 Windows 启动画面前，按下 F8 键(或者在启动计算机时按住 Ctrl 键)，就会出现操作系统多模式启动菜单，只需要选择“Safe Mode” ，就可以将计算机启动到安全模式。删除顽固文件我们在 Windows 下删除一些文件或清除资源回收站内容时，系统有时会提示「某某文件正在使用中，无法删除」的字样，不过这些文件并无使用中，此时可试着重新启动计算机并在启动时进入安全模式。进入安全模式后，Windows 会自动释放这些文件的控制权，便可以将它们删除。“安全模式”还原如果计算机不能正常启动，可以使用“安全模式”或者其它启动选项来启动计算机，在电脑启动时按下 F8 键，在启动模式菜单中选择安全模式，然后按下面方法进行系统还原：点击“开始”→“所有程序”→“附件”→“系统工具” →“系统还原” ，打开系统还原向导，然后选择“恢复我的计算机到一个较早的时间”选项，点击“下一步”按钮，在日历上点击黑体字显示的日期选择系统还原点(图 3)，点击“下一步”按钮即可进行系统还原。查杀病毒现在病毒一天比一天多，杀毒软件也天天更新。但是，在 Windows 下杀毒我们未免有些不放心，因为它们极有可能会交叉感染。而一些杀毒程序又无法在 DOS 下运行，这时候我们当然也可以把系统启动至安全模式，使 Windows 只加载最基本的驱动程序，这样杀起病毒来就更彻底、更干净了。解除组策略锁定其实 Windows 中组策略限制是通过加载注册表特定键值来实现的，而在安全模式下并不会加载这个限制。重启开机后按住 F8 键，在打开的多重启动菜单窗口，选择“带命令提示符的安全模式” 。进入桌面后，在启动的命令提示符下输入“C:WindowsSystem32XXX.exe(你启动的程序)” ，启动控制台，再按照如上操作即可解除限制，最后重启正常登录系统即可解锁。注：组策略的很多限制在安全模式下都无法生效，如果碰到无法解除的限制，不妨进入下寻找解决办法。修复系统故障如果 Windows 运行起来不太稳定或者无法正常启动，这时候先不要忙着重装系统，试着重新启动计算机并切换到安全模式启动，之后再重新启动计算机，系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障，此方法非常有效，因为 Windows 在安全模式下启动时可以自动修复注册表问题，在安全模式下启动 Windows 成功后，一般就可以在正常模式(Normal)下启动了。恢复系统设置如果用户是在安装了新的软件或者更改了某些设置后，导致系统无法正常启动，也需要进入安全模式下解决，如果是安装了新软件引起的，请在安全模式中卸载该软件，如果是更改了某些设置，比如显示分辨率设置超出显示器显示范围，导致了黑屏，那么进入安全模式后就可以改变回来，还有把带有密码的屏幕保护程序放在“启动”菜单中，忘记密码后，导致无法正常操作该计算机，也可以进入安全模式更改。揪出恶意的自启动程序或服务如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。检测不兼容的硬件XP 由于采用了数字签名式的驱动程序模式，对各种硬件的检测也比以往严格，所以一些设备可能在正常状态下不能驱动使用。例如一些早期的 CABLE MODEM，如果你发现在正常模式下 XP 不能识别硬件，可以在启动的时候按 F8，然后选进入安全模式，在安全模式里检测新硬件，就有可能正确地为 CABLE MODEM 加载驱动了。卸载不正确的驱动程序一般的驱动程序，如果不适用你的硬件，可以通过 XP 的驱动还原来卸载。但是显卡和硬盘 IDE 驱动，如果装错了，有可能一进入 GUI 界面就死机;一些主板的 ULTRA DMA 补丁也是如此，因为 Windows 是要随时读取内存与磁盘页面文件调整计算机状态的，所以硬盘驱动一有问题马上系统就崩溃。此时怎么办呢?某些情况下，禁用管理员账户可能造成维护上的困难。例如，在域环境中，当用于建立连接的安全信道由于某种原因失败时，如果没有其他的本地管理员账户，则必须以安全模式重新启动计算机来修复致使连接状态中断的问题。如果试图重新启用已禁用的管理员账户，但当前的管理员密码不符合密码要求，则无法重新启用该账户。这种情况下，该管理员组的可选成员必须通过“本地用户和组”用户界面来设置该管理员账户的密码。************************************************************ Windows 系统“安全模式”妙用绝招经常使用电脑的人可能都听说过，当电脑出了故障时，Windows 会提供一个名为“安全模式”的平台，在这里用户能解决很多问题C不管是硬件（驱动）还是软件的。然而你会使用这个安全模式么？今天我们就来带您认识一下它的真面目。初识安全模式要进入安全模式，只要在启动时不停地按 F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：1.安全模式只使用基本文件和驱动程序。如鼠标(USB 串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。2.带网络连接的安全模式在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如 MSN 等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。3.带命令行提示符的安全模式只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非 Windows 图形界面。说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键 Ctrl+Alt+Del，调出“任务管理器” ，单击“新任务” ，再在弹出对话框的“运行”后输入 “C:\WINDOWS\explorer.exe” ，可马上启动 Windows XP 的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:\windows\system32\cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。4.启用启动日志以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为 c:\windows\)目录中。启动日志对于确定系统启动问题的准确原因很有用。5.启用 VGA 模式利用基本 VGA 驱动程序启动。当安装了使 Windows 不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为 640×480 且不能改动。但可重新安装驱动程序。6.最后一次正确的配置使用 Windows 上一次关闭时所保存的注册表信息和驱动程序来启动。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。7.目录服务恢复模式这是针对服务器操作系统的，并只用于恢复域控制器上的 SYSVOL 目录和 Active Directory 目录服务。8.调试模式启动时通过串行电缆将调试信息发送到另一台计算机。如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。现实应用1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。还有些问题也可用这种方法来处理，比如 Windows XP 会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。2.揪出恶意的自启动程序或服务如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接。可在带网络连接的安全模式下，用带重定向的命令提示符工具 TaskList &d:\Anquan.txt 将当时的进程记录到 D：盘根目录下的文本文件 Anquan.txt 中。接着，以正常的方式启动电脑，将 Anquan.txt 中记录到的进程与此时的进程进行比较，你会发现此时的进程要多得多，请逐个结束多出来的进程，并检查网络连接是否正常。如果结束到某一进程时网络连接正常了，则说明就是刚结束的进程就是罪魁祸首。查出后，可删除与进程相关的可执行文件。但还要注意的是，由于它是自动运行的，强行删除后，可能会引起启动时报“找不到某文件” 的错误，还得将其与自启动有关的设置全部清除，包括“系统配置实用程序”的“启动” 、 “Win.ini”下的内容、注册表下的内容、启动脚本下的内容、 “开始”菜单“启动”下的内容等。3.调整分区有一次，笔者带着本本儿出差，途中想处理一下下车即用的报表文件，可本本儿偏不争气，启动时报分区错误。天啊，出门在外的，又没带任何工具软件，好在天无绝人之路，还能启动到安全模式下――有法了，命令行工具 Diskpart 能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。 Diskpart 功能非常强大，它工作于一个集成的环境，输入 Diskpart 后，显示图 1 所示的专用提示符即 Diskpart&(注意：这不是一个路径)，在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。说明在先：以下的操作是在台式机上记录下来的。①启动到带命令提示符的安全模式下，输入命令 Diskpart。再输入 list partition 显示一下分区，显然，其中有两个主分区、两个扩展分区。②输入“Select Parttition 3”使第 3 分区(5004MB 的那个)，使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图 3 第 1、2 两个“List partition”命令后的值进行比较，不难看出，原分区 3 确实已被删除了。③输入“Select partition 1”使其具有焦点属性，再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第 1 分区中去。为分区扩容，这可是分区魔术师的专利， “diskpart”也能实现，看来，Windows server 2003 不支持分区魔术师是有道理的。再输入“List partition”可观察到第 1 个分区的容量变化情况。说明：将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区，未分配的空间必须在同一磁盘上，并且必须接着带有焦点的分区。如果要被扩容的分区是 NTFS 格式，扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式，此命令就会失败，但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区，也不能对包含页面文件的分区进行扩容。从图中可看出，我的电脑中有两个主分区，分区 5 才是活动分区。不然，不能对分区 1 进行扩容操作。语法：extend [size=n]参数说明： size=n ：添加到当前分区的空间大小 (MB)。如果不指定大小，磁盘就扩展为占用所有最邻近的未分配空间。④不管对硬盘分区做了什么样的改动，包括创建、删除、扩容等，都用不着重新启动电脑即可生效(这是分区魔术师不能做到的)，但在“我的电脑”却看不到这些分区，这是为什么呢，原来，还没为其指定驱动器号(也就是盘符)，怎样指定盘符呢？下面以为第一个分区指定盘符为例进行说明。使第 1 个分区具有焦点属性，再输入命令“Assign” ，Diskpart 就会自动为其分配一个。当然也可用命令“Assign Letter=X”来手动指定，手动指定时，不能与已存在的盘符如 C 等相同。经过这样的处理后，就能在“我的电脑”下查看到这些分区了。⑤将分区 5 设为活动分区，先用 Select Parttition 5 使其具有焦点属性再用 Active 激活即可。最后输入 Exit，退出 Diskpart 集成环境，让电脑自动重启。说明：如果用惯了 DiskPart，你就会觉得它的设计很符合人们的思维习惯，一般是先指定焦点，再进行操作，操作过程中还可随显示分区状态以便掌握进度。输入 Help 可查看到所有的子命令，输入有错时，它还会自动列出子命令列表及简要说明，将你引导到正路上来。另外，安装 Windows 2003 后，大家最熟悉的分区魔术师(非服务器版)不能正常运行，使用 Diskpart 确实是一个不错的选择。如前所述， Diskpart 下进行任何操作前都必须指定焦点，在即指明对哪一对象进行操作，这一方面使的我的操作逻辑清楚，但另一方面，如果对误指定了焦点又执行了破坏性的命令，如删除分区等，会造成无可挽回的损失。所以，请随时用 List 命令查看各分区状态，焦点分区前有一个星号(*)标志。此外，你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除，遇到这种情况，可启动到安全模式下尝试删除这些病毒文件。当然，这里我们也只是介绍了一些比较常见的安全模式用途，算是抛砖引玉吧，希望各位能够在实际的电脑使用中，逐步体验其更多的便捷之处。***************************************************************** 黑客入侵 Windows XP 系统七大手法本文讲述了黑客入侵 WindowsXP 操作系统常用的七种方法，如果大家遇到类似那可要注意了……第一招：屏幕保护在 Windows 中启用了屏幕保护之后，只要我们离开计算机(或者不操作计算机)的时间达到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。提示：部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重大 Bug。不过，屏幕保护最快只能在用户离开 1 分钟之后自动启动，难道我们必须坐在计算机旁等待 N 分钟看到屏幕保护激活之后才能再离开吗？其实我们只要打开 Windows 安装目录里面的 system 子目录，然后找到相应的屏幕保护程序(扩姑?S CR)，按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的“在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。第二招：巧妙隐藏硬盘在“按 Web 页”查看方式下，进入 Windows 目录时都会弹出一句警告信息，告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件” ，这时单击“显示文件”就可以进入该目录了。原因是在 Windows 根目录下有 desktop.ini 和 folder.htt 两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件，之前必须在文件夹选项中单击 “查看”标签，选择“显示所有文件” ，这样就可以看见这两个文件了)。再按“F5”键刷新一下，看看发生了什么，是不是和进入 Windows 目录时一样。接下来我们用“记事本”打开 folder.htt，这是用 HTML 语言编写的一个文件，发挥你的想像力尽情地修改吧。如果你不懂 HTML 语言也没关系，先找到“显示文件”将其删除，找到“修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件” ，将其改为自己喜欢的文字，例如“安全重地，闲杂人等请速离开” 。将“要查看该文件夹的内容，请单击”改为“否则，后果自负！，接着向下拖动滑块到 ” 倒数第 9 行，找到“(file：//%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用 “d： \tupian\tupian1.jpg” “//” 替换后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。当然，你还可以用像 Dreamweaver、FrontPage 这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中“～”之间的内容就可以了。*ThisfilewasautomaticallygeneratedbyMicrosoftInternetEXPlorer5.0*usingthefile%THISDIRPATH%\folder.htt.保存并退出，按“F5”键刷新一下，是不是很有个性？接下来要作的就是用“超级兔子” 将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将 folder.htt 原文件中“～”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。第三招：禁用“开始”菜单命令在 Windows2000/XP 中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc” ，然后单击“确定”按钮即可启动 WindowsXP 组策略编辑器。在“本地计算机策略”中，逐级展开“用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、 “我的文档”图标、 “文档”菜单、 “网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体操作步骤为：1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。2)在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。第四招：桌面相关选项的禁用WindowsXP 的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置→管理模板 →桌面”分支，即可在右侧窗口中显示相应的策略选项。1)隐藏桌面的系统图标倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。若要隐藏桌面上的“网上邻居”和“InternetEXPlorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标” “隐藏桌面上的 InternetEXPlorer 图标” 和两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后， “我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢 “回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。2)禁止对桌面的某些更改如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将 “退出时不保存设置” 这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。第五招：禁止访问“控制面板”如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开 “本地计算机策略→用户配置→管理模板→控制面板” 分支，然后将右侧窗口的 “禁止访问控制面板”策略启用即可。此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从 Windows 资源管理器中删除控制面板文件夹。提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。第六招：设置用户权限当多人共用一台计算机时，在 WindowsXP 中设置用户权限，可以按照以下步骤进行：1)运行组策略编辑器程序。2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows 设置→安全设置→本地策略→用户权限指派”分支。3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。第七招：文件夹设置审核WindowsXP 可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和 NTFS 分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：1)在组策略窗口中，逐级展开右侧窗口中的“计算机配置→Windows 设置→安全设置→ 本地策略”分支，然后在该分支下选择“审核策略”选项。2)在右侧窗口中用鼠标双击“审核对象访问”选项。3)用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的“属性”命令，接着在弹出的窗口中选择“安全”标签。4)单击“高级”按钮，然后选择“审核”标签。5)根据具体情况选择你的操作：倘若对一个新组或用户设置审核，可以单击“添加”按钮，并且在“名称”框中键入新用户名，然后单击“确定”按钮打开“审核项目”对话框。要查看或更改原有的组或用户审核，可以选择用户名，然后单击“查看/编辑”按钮。要删除原有的组或用户审核，可以选择用户名，然后单击“删除”按钮即可。6)如有必要的话，在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。7)如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。注意：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在 WindowsXP 审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问” 。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核******************************************************* 常见的网络攻击_针对数据链路层的攻击ARP 欺骗攻击ARP 协议用来完成 IP 地址到 MAC 地址的转换。ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，能够在网络中产生大量的 ARP 通信量使网络阻塞或者实现“maninthemiddle”进行 ARP 重定向和嗅探攻击。目前网络上有很多种工具可以完成此类攻击，如网络执法官等。针对此类攻击也有很多种防范措施，比如 MAC 地址静态绑定， ARP 智能检测等。Mac 地址泛洪交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 MAC 地址表。MAC 地址表的大小是固定的，不同的交换机的 MAC 地址表大小不同。地址泛洪攻击是指利用工具产生欺骗 MAC， Mac 快速填满 MAC 地址表，交换机 MAC 地址表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。MAC 地址表满了后，流量以泛洪方式发送到所有接口，也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。目前主流厂家的中低端交换 MAC 地址表容量在 8K 左右，而使用 Dsniff 工具可以轻松地在 1 分钟内产生 15 万左右 MAC 地址冲击我们的局域网。而针对这种类型的攻击防护可以在交换机启动最大 MAC 地址限制，端口安全等策略。针对网络层的攻击针对路由协议的攻击BGP 协议：由于 BGP 协议是依赖于 TCP 的 179 端口进行传输，因此可以很容易的通过扫描工具探测 179 端口来判别 BGP 的存在而实现攻击。同时，很多基于 TCP 的攻击以及 TCP 本身暴露出来的协议漏洞同样都成为 BGP 协议潜在的风险。如基于 TCP 的 SYNflood 攻击，序列号攻击，针对此类攻击，可以采用针对 179 端口的访问过滤以及 BGP 对等体的 MD5 认证来加以保护。OSPF 协议：常见的针对 OSPF 协议的攻击主要有以下几种。Maxage 攻击。指的是攻击者持续发送带有最大 maxage(缺省为 3600 秒)的 LSA，将导致路由器产生刷新信息来发送这个 LSA，最终将导致整个网络混乱路由震荡后以及产生拒绝服务攻击。序列号攻击。RFC 规定 OSPF 通过序列号来判断旧的 LSA 是否需要更新。当攻击者持续插入比较大的 LSA 序列号报文时，网络中的路由器将发送更新的 LSA 序列号报文来与攻击者的 LSA 报文进行竞争，最终导致网络的不稳定。最大序列号攻击。根据 RFC 规定，当 LSA 的报文超过最大序列号 0×7FFFFFFF，需要将此 LSA 重新初始化在域中进行刷新。当攻击者持续发送带有最大序列号的 LSA 报文到网络中时，将造成 OSPF 整个域的持续震荡。ISIS 协议：针对 ISIS 协议的攻击比较难以实现，因为本身 ISIS 的 LSP 的交互是直接承载于二层的，而不是由 IP 包头来承载的，因此 ISIS 协议本身安全性较高并被大型骨干数据网络选为 IGP 协议的主要原因之一。给予 ICMP 协议的攻击死亡之 ping 攻击：即向目的主机发送大于 64K 字节载荷的报文，许多操作系统对 TCP/IP 栈的实现在 ICMP 包上都是规定 64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过 64K 上限时，就会出现内存分配错误，导致 TCP/IP 堆栈崩溃，致使接受方当机。可以通过打系统补丁或防火墙过滤等方法来进行保护。Smurf 攻击：用一台 PC 发包，将目的地址改为广播地址(不一定为 255.255.255.255，也可以是一个网段的广播地址如 192.168.1.255)，源地址改为你想要攻击的那台设备的地址，这样所有的设备都将向这台设备回 ACK 包。导致那台设备性能下降。利用 Sniffer 就可实现此类攻击。可以通过打系统补丁或防火墙过滤等方法来进行保护。ICMP 重定向攻击：通过伪造 ICMP 重定向报文，使受害设备的路由表混乱。可以通过在网关设备上关闭 ICMP 重定向来进行防护。****************************************************************** 全面绝杀 U 盘病毒U 盘病毒背景随着 U 盘，移动硬盘，存储卡等移动存储设备的普及，U 盘病毒也随之泛滥起来。国家计算机病毒处理中心发布公告称 U 盘已成为病毒和恶意木马程序传播的主要途径。U 盘病毒概念定义:U 盘病毒又称 Autorun 病毒，是通过 AutoRun.inf 文件使用户所有的硬盘完全共享或中木马的病毒；能通过产生 AutoRun.inf 进行传播的病毒，都可以称为 U 盘病毒。随着 U 盘、移动硬盘、存储卡等移动存储设备的普及，U 盘病毒也开始泛滥。特性:U 盘病毒会在系统中每个磁盘目录下创建 Autorun.inf 病毒文件 ( 不是所有的 Autorun.inf 都是病毒文件)；借助“Windows 自动播放”的特性，使用户双击盘符时就可立即激活指定的病毒。隐藏方式:有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者 U 盘里才能让其运行的，但是堂而皇之的放在 U 盘里肯定会被用户发现而删除，所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方。一种是假回收站方式：病毒通常在 U 盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是 “Recycled” ，而且两者的图标是不同的。另一种是假冒杀毒软件方式：病毒在 U 盘中放置一个程序，改名并让人以为是杀毒软件的程序，其实是病毒。也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。要让自己能看到隐藏的文件，怎么办？个人如操作，按如下步骤：打开“我的电脑” ，在菜单栏上点“工具” ，点“文件夹选项” ，出现一个对话框，选择“查看”标签。如果 U 盘带有上述病毒，还会一个现象，当你点击 U 盘时，会多了一些东西：右键菜单多了“自动播放”“Open”“Browser”等项目；杀毒后的没有这些项目。这里注明一下：凡、、是带 Autorun.inf 的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。传播途径：被感染的计算机会向连接该计算机的 U 盘上写入由病毒实现编好的 autorun.inf 文件和病毒程序使 U 盘染毒.当染毒 U 盘在其他计算机上使用的时候就会感染其他计算机.U 盘病毒防御方式由此可以看出 U 盘病毒的关键在于 autorun.inf 文件我们可以通过禁止写入 autorun.inf 文件来达到 U 盘病毒免疫的效果。方法就是在 U 盘中建立一个 autorun.inf 的文件夹（不是文件）为了不被误删，可以设置文件夹为只读隐藏属性。这样当病毒想向， U 盘中写入文件的时候，系统就会由于 autorun.inf 的名称已存在而拒绝写入。同样的方法也可以用于利用硬盘根目录加载的病毒。解决方案综上所述，目前的 U 盘病毒都是通过 Autorun.inf 来进入的；Autorun.inf 本身是正常的文件，但可被利用作其他恶意的操作；不同的人可通过 Autorun.inf 放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；一般情况下，U 盘不应该有 Autorun.inf 文件；如果发现 U 盘有 Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒；如果有貌似回收站、杀毒文件等文件，而你又能通过对比硬盘上的回收站名称、正版的杀毒软件名称，同时确认该内容不是你创建生成的，请删除它。同时，一般建议插入 U 盘时，不要双击 U 盘，另外有一个更好的技巧：插入 U 盘前，按住 Shift 键，然后插入 U 盘，建议按键的时间长一点。插入后，用右键点击 U 盘，选择“资源管理器”来打开 U 盘。 ydtyettirtirtrjhrutruurtuy杀掉 U 盘中的病毒的方法：对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件， autorun.inf，msvcr71.dl，都删除掉，还有一个后缀为 tmp 的文件，也可以删除，完成后，病毒就清除了。16 17 18 58
20招安全设置防止黑客攻击... 28页免费服务器安全设置 18页 2财富值服务...服务器的安全设置及反入侵一、 windows 服务器的安全设置: 1. 在绍兴教育网...如果你经常上网的话,很容易遭到黑客的袭击,一旦遭到攻击如何防止黑客入侵你的...首先,要确保自己使用的是较新版本的浏览器;其次,IE 浏览器本身的安全设置不...黑客攻击之网络入侵――暴力攻击_计算机软件及应用_IT/计算机_专业资料。以上上传...14招安全设置防止黑客攻... 2页免费如何用网络入侵检测系统... 2页免费...防范黑客入侵攻击的主要方法分析小结网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,...防止黑客攻击入侵的方法_电脑基础知识_IT/计算机_...任何时候都不要把共享文件的用户设置成“everyone”...11、账户安全首先禁止一切账户,除了你自己,呵呵。...14招安全设置防止黑客攻击... 2页免费有黑客?十大高招让你摆脱... 4页 ...这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少...网的信息安全,防止来自 Internet 的黑客入侵,采用( ...要使公司的 20 台主机都能联到 INTERNET 上,他...被攻击主机 IP 地址 (7)A.网关 MAC 地址 B.被...网络安全管理中的黑客攻击与防护策略摘要:互联网高速发展,成为了人们生活的一部分。网络黑客技术也随着计算机迅速发展, 计算机高手常利用黑客软件或工具入侵其它的目标...14招安全设置防止黑客攻击... 2页免费 @十招让你摆脱莫名黑客攻击... 暂无...三、关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口, 如果安装了端口...1 接触黑客攻击多媒体教学演示:20 分钟魔法师:小...由于系统、网络和软件不可避免地存在某些安全漏洞,...目前在国内黑客也泛指非法入侵他人电脑系统的电脑爱好...
All rights reserved Powered by
copyright &copyright 。文档资料库内容来自网络，如有侵犯请联系客服。}

久游无息网