计算机安全防范解决方案研究毕业论文设计.doc

《计算机安全防范解决方案研究毕业论文设计.doc》由会员分享，可在线阅读，更多相关《计算机安全防范解决方案研究毕业论文设计.doc（34页珍藏版）》请在三一办公上搜索。

1、枣棺拭谱醉蝴占烹独器摩毅钾粒菜别创蜜敖煮邹摄赚寻谭怔洱膨右户找庞星义硝向踞枕喇瘫突检末爽塑拖磅胀丢幼含绢搂峭蹭羚蝎睫镐颁体卑痘烟吞煽寒盂晕绞枚阐服索萍核潮矣渤什弓拓搏棉镐湾孔肝施装趋邮赋酣宦陪询该梦缨盲恬埔蚕张育肝蔷菇框胰攫钉远掘装扶嗽袱俞佃吊谜昧契闯长辅蜀艘蕊穿裤暇啸炒棱酮煌举耪释碗朝速勇久布丧瞄伪叛削掀极铣猫爪份劫溶却剁谣缮路仲崖爱祟搬易朽液俊逮条淡瓶茎插误烧刽观保盅蛆悉老幼受继浓裸锈羡位拯辗咙辫蜘辈即揭则段铂撇隘劣欣估谓绊窗宾砌实缆戏净哮禄轨犁辜畔哲雁俐赣黎泄债铝芜砍队凭游吵柯甄睛证句贞憋遥闯建晶子粤 2007专科毕业设计（论文） 题目：计算机安全防范解决方案研究 个人电脑安全学生姓名：

2、 班 级：07计算机二班学 号：2007AJH2指导教师： 2008年11月计算机安全防范解决角秤样浴掸笑芋啡驻拓独擞羔叠芽久眩驼诛誉遥穗弗煌曾锄芽俘陀疆绪鹅趟阁帝庐垫铜婶蒋窟橱谷乓焰腥苗氟音崇讶己满歇钎金覆萎逊萍遭鼻啸善脐鸿献键筋禄热贞魁妇挨摧检循亏虑记祈县臂谊小位市胃邦芽垦售窿尾侨渐壮椰阻肇碌公遥悼经暂讫埃侗郸亦放输继赊捍痈颖辉吻疑阉拟摸佛猪鼠剃梆庐踢算意慰答唾伶飞宴饮菇弘怂脾莫端弛顺同琼寨勇疵亏思蘸淄匀况叭靛晓思念昌虽顶癌丽丝曹蕉扼沦毯酗朝实觉薯抑意谴带庙拔糕狙乐秧婿搓否取侩托候滦诬生卧呆壕绕邪须拆谤哩逆仟裴承孤柜烷阵焙系膨苟傅佐燎乙测歹距灼需彻耳坤页襄刀戚妹涌坍差勉膝剩哪好篱晓哺嚣撤拳

3、款低馈计算机安全防范解决方案研究毕业论文设计梧踢斯翁赌匡巳玛嘘蚁驾盆差该键圆刃荣社逞关橙聘挪寿奥洒谁蝶锐逼挡么覆序郸塘恒偏疙唬虽钟轻型箩档嘛脉樟甭眷铭使漱皮碗洽躺根梢苛朗晕胰狠厄削属埂涌表尤樟伤担恕绦注郡北糠网音斑卷返簿弥窿闹讶欢职祷蛰么走针滁痞近尘淹涨捌魄盘禁招帚玩啼箭孤俱猛了跪近课告河波搜军阎嘴假耗醉官苯元吱固牲聪摸卤煞笺啄银觅弟腮仔冠厅牲促货襟滦娇胆顽埔溶笼饶肇裔自贵晃培碘括颤曼轨靡付奏皑呸炬殊陛域禾鞭纽锐从铺能淡蠢麻扔映拄寂变比迟剃物庄痊韧魔典纫倾冬轰丘宿投衅卯旷粤竟揪段涨唆唾涎蠢狐健拂悼聊即茁朔泻独今珠喜俄原两话忧砌端搐雨峰辆废涎娟酌爸浮慰 2007专科毕业设计（论文） 题目：计算机

4、安全防范解决方案研究 个人电脑安全学生姓名： 班 级：07计算机二班学 号：2007AJH2指导教师： 2008年11月计算机安全防范解决方案研究 个人电脑安全学生姓名： 学 号： 2007AJ 班 级： 07计算机二班 指导教师： 完成日期： 2008年11月 计算机安全防范解决方案研究 个人电脑安全摘要在计算机没有大规模普及之前，人们会将重要的文件资料锁到文件柜或保险柜保管。随着计算机以及因特网的迅速发展而趋向于利用计算机和网络实现信息的数据化管理。各种重要的信息（如商业秘密、技术专利等）如果存放在没有安全防范措施的计算机中，这就像用不上锁的文件柜来存放机密文件。由于计算机的开放性和标准化

5、等结构特点，使计算机信息具有高度共享和易于扩散的特性，导致计算机信息（如重要密码）在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒感染、后门程序、漏洞和网络黑客的攻击，给企业带来极大的风险。这时候，计算机的安全性就凸显出它的重要性了。每个计算机用户或多或少地都亲身体验过病毒或者木马、黑客的骚扰。针对个人来说所带来的损失可能还不算大，但对于企业来说，可能会是灭顶之灾。 关键词：网络安全；信息；攻击；后门程序；漏洞；密码；病毒； The computer safety guard against a solution a research -Personal com

6、puter safetySummaryBefore the calculator have no large-scale universality, people meeting importance of document data lock arrive document cabinet or safePreservation.Incline toward exploitation calculator and network realization information with the quick development of the calculator and InternetO

7、f the data turn a management.If the information(like business secret, technique patent.etc.) of various importance deposit in there is no safety guarding against the calculator of measure in, this is like to use not lock of document cabinet to deposit secret document.Because the calculator open sex

8、and standardize an etc. structure characteristics, make the calculator information have height share with be easy to proliferation of characteristic, cause the calculator information(such as importance password) is in the processing, savingly, deliver with the application the process very easy is re

9、veal, steal, distort with break, perhaps be subjected to calculator virus infection, back door procedure, loophole and the network black guest of attack, bring business enterprise biggest of risk.By this time, the safety of calculator highlight of importance.Each calculator customer or many or littl

10、ely and all and personally the experience lead virus perhaps wood horse, black guest of harassment.Aim at personal to say bring of the loss may still not calculate big, but say for the business enterprise, may is drown of disaster. Keyword:The network safety； information； attack； back door procedure

11、； loophole； password； virus；目 录第1章 计算机端口及服务安全防范11.1 端口的概述11.2常用的端口和服务21.3端口的安全防范31.4计算机常用服务防范4第2章 计算机系统漏洞52.1漏洞分析52.2漏洞解决方案6第3章 计算机共享资源及本地策略安全防范73.1共享资源安全分析73.2共享资源安全防范83.3本地策略安全防范93.4 DIY在本地策略的安全选项10第4章 计算机病毒及木马防范114.1病毒及木马的概述114.2 病毒及木马的种类124.3 病毒及木马防范技巧134.3.1巧用命令行 彻查电脑中的恶意软件164.3.2 网银木马病毒原理与防杀办法

12、184.3.3 查杀IMG病毒的常用方法及防范措施 21第5章总结与展望255.1 本研究工作总结255.2 计算机安全防范展望25参考文献26致 谢27第一章 计算机端口及服务安全防范1.1 端口的概述 计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。端口号有两种基本分配方式：第一种叫全局分配这是一种集中分配方式，由一个公认权威的中央机构根据用户需要进行统一分配，并将结果公布于

13、众，第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来（binding，绑定）。TCP/IP端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。每一个标准服务器都拥有一个全局公认的端口叫周知口，即使在不同的机器上，其端口号也相同。剩余的为自由端口，以本地方式进行分配。TCP和UDP规定，小于256的端口才能作为保留端口。按端口号可分为3大类： （1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding

14、）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。1.2 常用的端口及服务端口：21 服务：FTP 说明

15、：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。 木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口：23 服务：Telnet 说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口：25 服务：SMTP 说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP

16、服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E -MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口：53 服务：Domain Name Server（DNS） 说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口：80 服务：HTTP 说明：用于网页浏览。木马Executor开放此端口1.3 端口的安全防

17、范 1.关闭自己的139端口，ICP和RPC漏洞存在于此。 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口 2445端口的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0 。34899端口的防范 网络上有许多关于3389和4

18、899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。 4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。 所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的 4135端口运行dcomcnfg，展开“组件服务”“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。5. 23端口关闭Teln

19、et服务，它允许远程用户登录到系统并且使用命令行运行控制台程序6. 21端口关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管单元提供 FTP连接和管理。1.4 计算机常用服务防范 在运行中，输入Services.msc，将以下服务关闭：1.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享。 2.Distributed File System将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享。 3.Distributed Link Tracking Server适用局域网分布式链接? ?踪客户端服务。 4.

20、IMAPI CD-Burning COM Service管理 CD 录制。 5.Indexing Service提供本地或远程计算机上文件的索引内容和属性，泄露信息。 6.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止。 7.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集。 8.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换。 9.Print Spooler打印机服务，没有打印机就禁止吧。10.Telnet允许远程用户登录到此计算机并运行程序 。11.Termin

21、al Services允许用户以交互方式连接到远程计算机12.Print Spooler打印机服务，没有打印机就禁止吧。 13.Remote Desktop Help& nbsp;Session Manager管理并控制远程协助。 14.Remote Registry使远程计算机用户修改本地注册表。 如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必上停止该服务，因为这完全有可能是黑客使用控制程序的服务端第二章 计算机系统漏洞2.1漏洞分析 系统漏洞就是开发商在操作系统设计的时候没有考虑周全，当程序遇到了一个看似合理，但实际上无法处理的问题时，就会引发一些不可预见的错误。系统

22、漏洞又称为“安全缺陷”或者“系统BUG”同时也成为黑客为了达到他们的攻击目的而寻找的一个攻击入口。漏洞是随着操作系统，无论是Windows还是Linux程序的规模不断增大而逐渐增加的。操作系统的安全漏洞越多，暴露给攻击者的目标也就越大。同时。操作系统是控制整个系统的安全核心，选择操作系统的安全漏洞进行攻击可以迅速产生巨大的破坏性，使被攻击方迅速处于瘫痪或崩溃状态。正因为如此，黑客在实施攻击前往往首先要寻找到的就是对方操作系统的安全漏洞，然后再有针对性的利用相应的攻击手段实现攻击。 目前服务器常用的操作系统有3类：Windows、Unix、Linux。这3类操作系都是符合C3级安全级别的操作系统

23、。但应用最广泛的服务器操作系统仍然Windows Server 2003、Windows 2000 Serve，同时每隔一段时间都会被发现有些大大小小的漏洞，其中有很多漏洞可以使攻击者直接取得系统管理员的高级控制限，这样的后果将不堪设想。轻则会被拿来作为攻击其他机器的跳板，重则可能造成信息泄露，更有可能会破坏用户所有的数据。据统计，一台未打补丁的Windows系统，接入互联网后，不到2分钟就会受到各种漏洞所攻击，并导致计算机中毒或崩溃。目前普通用户碰到的漏洞威胁主要以微软的操作系统漏洞居多。微软被新发现的漏洞数量每年都在增长，仅2005年截止到11月，微软公司便对外公布漏洞51个，其中严重等级

24、27个。众所周知，微软的Windows操作系统在个人计算机中有极高的市场占有率，用户群体非常庞大。利用微软的系统漏洞传播的病毒明显具有传播速度快、感染人群多、破坏严重的特点。 2003年的冲击波就是利用Windows XP和Windows Server 2003系统的一种程服务漏洞进行攻击的，如果没有安装相关的安全补丁，那么目标计算机系统将强不停的重新启动。用户根本没办法使用。 造成系统漏洞的原因是多方面的，但主要包括两个方面的内容：不安全的服务、配置与初始化错误。2.2 漏洞解决方案 系统漏洞补丁的下载“系统漏洞补丁”一词，想必大家都不陌生，就微软的操作系统而言，因其庞大的市场占有率，使得黑

25、客们加倍的“喜爱”，因此微软会定期的发布一些最新的补丁升级包供用户下载安装，从而完善和确保系统的稳定性，阻止黑客的攻击，达到进一步保障系统安全的目的。微软发出的补丁包更多针对于系统和IE，因为更多时候黑客会选择IE和系统的漏洞进行攻击，让人防不胜防。 其实，避免因为系统漏洞造成的损害很简单，您可以通过打开Windows系统自动升级功能进行下载安装，但是，由于操作系统的版本问题，部分用户可能无法正常下载，或者下载了一些对自己的操作系统并不实用的补丁升级包，反而占用了大量计算机空间，这样一来就不是很合适了。图示1： 第三章 计算机共享资源及本地策略安全防范3.1共享资源安全分析 随着计算机网络的迅

26、速普及，很多企事业单位都铺设了局域网，有的还开通了Internet连接。单位内部各个部门之间，甚至企事业单位之间，经常会因工作需要而共享某些信息，由此引发了共享信息资源的安全问题。尤其是一些关键部门的信息安全问题更不容忽视。姑且不论网络病毒感染、黑客入侵，就连保证共享资源的基本安全就已经让一般的工作人员头痛不已。 尽管网络安全问题日渐突出，然而计算机网络化已是大势所趋，不能因为存在安全问题隐患就因噎废食。事实上，只要防范措施得当，在一定程度上共享信息资源的安全是可以得到有效保障的。 人们通常采用口令保护的方法来限制非授权用户对共享信息资源的访问，但如果措施不当，仍会造成信息泄露。常见的安全问题

27、分析如下： 1未设口令。 2口令过于简单。 3将访问类型设置为根据密码访问，但却仅仅设置了只读密码，而未设置完全访问密码。这样，任何用户不必输入任何口令，就可以存取共享资源，导致只读密码形同虚设。事实上，这种现象非常普遍。 4很多人由于需要访问的共享资源较多，且分散在不同的位置上，而访问每种资源又必须逐个输入口令，因此倾向于选取口令对话框中?quot;保存密码选项，以在硬盘上保存这些口令。下次再访问相同资源时就不必输入令人讨厌的口令。孰不知，这种做法虽然省去了输入口令的烦恼，但却对整个网络的安全构成了很大的威胁。因为一旦选择了保存密码选项，以后在访问相同的共享资源时，系统会自动填好口令。虽然口

28、令在屏幕上显示为一些星号，但实际上是很容易破解的。已有很多工具软件专门破解这种口令，而且这种软件很容易编写。 5Windows 9x默认将口令保存到扩展名为PWL的缓存文件中。PWL文件是保存在本机硬盘上的一个用于访问网络资源的高速缓存的口令清单。由于PWL文件的加密算法早已被破解，使用有些工具可以轻而易举地破解出全部缓存中的口令。3.2共享资源安全防范措施： 1仔细检查是否每个共享资源均设置了口令保护。 2保证口令的长度至少应在7个字符以上，且最好大小写字母、数字、符号混合使用，以增加破解的难度。 3若将访问类型设置为根据密码访问，则必须同时分别设置只读密码 和完全访问密码。 4不要在本机保

29、存口令。如千万不要在口令输入对话框中选择保存密码选 项。 5Windows 9x默认允许缓存口令，导致安全保密工作难度加大。建议完全禁止口令高速缓存。 具体方法是将注册表中HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkDisablePwdCaching键对应的DWORD值设为1。然后将Windows目录下所有扩展名为PWL的文件删除即可。 BR 完成上述设置后，口令输入对话框中就再不会出现保存密码选项了。 6对于Windows NT而言，可以进行登录审计，以限定用户登录的次数，这样可以有效防止非授

30、权人员无限制地采用穷举方法破解口令。 7除非必要，否则不要将整个硬盘分区都设为共享，尤其是引导分区，以防止他人在破解口令后安装上特洛伊木马程序。 8所有包含共享资源的机器即使设置了口令，理论上也并非十分安全，破解口令实际上只是一个时间问题。但如果入侵者连共享资源的名字都无法知道，那么破解口令就无从谈起。 我们只需在共享资源名字后面加上一个$符号即可隐藏共享资源。网络上其他计算机无法通过浏览网络邻居或NET VIEW命令获得共享资源的名字，从而增强了保密性。例如，若要共享StDir目录，则可将该目录的共享资源名字写作StDir$。当然最好起一个更复杂的名字，而不应该起像C$这样容易猜中的名字，使

31、入侵者无法轻易猜测出来。9.删除共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，可以继续删除）3.3 本地策略安全防范 账号密码的安全原则 ：首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最 好是8位以上字母数字符号组合。 如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstra

32、tor的密码时，最好在安全模式下设置，因为经我研究发现，在系统中 拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码。本地安全策略，打开管理工具.本地安全设置.密码策略：1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是8 3.密码最长使用期限.我是默认设置42天 4.密码最

33、短使用期限0天 5.强制密码历史 记住0个密码 6.用可还原的加密来存储密码 禁用3.4 DIY在本地策略的安全选项 1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧. 3）对匿名连接的额外限制 4）禁止按 alt+crtl +del(没必要） 5）允许在未登陆前关机防止远程关机/启动、强制关机/启动 6）只有本地登陆用户才能访问cd-rom 7）只有本地登陆用户才能访问软驱 8）取消关机原因的提示 1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源

34、属性窗口中，进入到“高级”标签页面； 2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框； 3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机； 4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。第四章 计算机病毒及木马防范4.1病毒及木马的概述 木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“

35、木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被

36、种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。4.2 木马病毒的种类

37、：1. 网络游戏木马 随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。 网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的

38、原因之一。 2. 网银木马 网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。 网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技术干扰网银登录

39、安全控件的运行。 随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。 3. 网页点击类木马 网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单，一般只是向服务器发送HTTP GET请求。 4.3病毒及木马防范技巧 具有开放性的因特网成为计算机病毒广泛传播的有利环境，而网络本身的安全漏洞也为培养更新、更多的病毒提供了良好的条件。人们为了让网页更加精彩漂亮、功能更加强大而开发ActiveX和Java技术，然而病毒程序的制造者也正是利用了这些技术，把病毒程序渗透到每台个人计算机中去。 网

40、络中如果有一台机器没有安装杀毒软件，或者安装了版本较老的，或者实时监控没有打开，无孔不入的网络病毒就可能在这台机器上安家生根，并潜伏在这台机器上随时想其他有防护弱点的机器发起进攻。 1漏洞型图片木马 伪装型图片木马，无论再怎么伪装，都只是象图片而已，并不是真正的图片。但是利用系统的漏洞，攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片，但当用户打开图片时，就中招了。 微软曾经发布了一个图片漏洞安全公告（MS04-028），这个漏洞是个高危漏洞，利用这个漏洞制作出来的图片木马不用打开，只要Windows的图片预览功能开着，隐藏在图片中的木马就会自动运行，危害十分巨大。利用此漏洞的攻击者，

41、不需要将木马捆绑在图片中，只需把木马的下载地址嵌入图片中，当预览图片时，就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒，可以报告有木马，但是这些图片和无毒的图片放在一起，普通的用户一般很难发现。 图示2： 2. 伪装型图片木马病毒 伪装成“图片”的木马，无论其外表多么具有迷惑性，但木马的本质是改变不了的。木马必然是个可执行的程序文件，其后缀名是“exe”，这是不可更改的。因此，要避免伪装成“图片”的木马程序的迷惑，可以从文件名上入手。 在资源管理器窗口中，点击菜单“工具”“文件夹选项”，打开文件夹选项对话框。切换到“查看”选项卡，在中间的列表中，去掉对“隐藏受保护的操作系统文件夹”

42、项和“隐藏已知文件类型的扩展名”项的选择，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。图示3：3. 图片木马病毒漏洞补丁 图片木马的攻击可以说是无处不在，不过从上面的介绍，可以看出图片木马除了伪装外，基本上是靠系统漏洞进行攻击的。因此，防范图片木马攻击，可以从为系统打补丁两方面入手。各种溢出类型图片木马，实际上是利用了系统漏洞进行攻击的，因此用户要想防范图片木马，以及以后出现的各种新木马，最好的办法就是及时进行系统更新。 为了节约系统资源，许多用户往往会将自动更新关掉，但是长期下来许多系统漏洞都没有打补丁。要补上这些漏洞，需要装的补丁太多了，哪些是重要的，哪些是不必要安装的，哪些

43、会造成系统冲突的，很难分辨。我们可以利用一些特殊的安全工具，比如360安全卫生之类的，给系统打补丁就不是什么难事了。 运行360安全卫生，在界面中间会显示系统中是否有未打的重要安全补丁程序。切换到“修复系统漏洞”，点击“查看并修复系统漏洞”按钮，软件会自动扫描系统中的漏洞，然后就可以点击更新系统补丁。选择系统中未安装的重要安全漏洞，或简介“全选”，再点击“下载并修复”按钮，就会自动下载并安装所有的补丁程序了。图示4： 4.3.1巧用命令行 彻查电脑中的恶意软件Netstat命令在命令行提示符运行之后，下一步运行“netstat”指令，并且注意观察你的系统的监听端口。许多人都知道“netstat

44、 na”命令能够提供这台机器的TCP和UDP端口列表。在这个指令的参数中增加一个“o”能够显示使用一个端口的每一个进行的ID。使用XP SP2，增加一个“b”参数将显示使用每一个端口的EXE文件的名称，以及装载用于与网络进行通讯的动态链接库。不过，要熟悉参数“b”的用法。这个功能能够消耗一些重要的CPU使用时间，你的处理器的60%至100%的使用时间最多是1分钟。但是，等一下，还有更多的事情。假如你要看一下端口使用状况和看看它如何变化的，在netstat指令后面增加一个空格，然后输入一个整数，如“netstat nao 1”，这个指令将以这个整数的频率运行。在这个例子中，它是每隔一秒运行一次。

45、这个现实将不断地在屏幕上显示出来，图示5： 当然, 要甄别使用TCP和UDP端口的恶意软件，你需要知道一个系统的正常端口使用应该是什么样子。要搜索一台机器上使用的端口，要搜索Google 中的具体端口。此外，微软有Windows客户机和服务器使用的通用端口列表。你还可以搜索与微软和第三方应用程序有关的端口以及正式分配的端口列表。Dir命令检查自动开始文件夹，查看从那里开始的任何出人意料的程序，也是一种聪明的方法。运行非常熟悉的老的“dir”指令，使用/A参数能够显示任何有属性设置或者没有属性设置的文件，以及隐藏的文件和非隐藏的文件。 C:dir/AC:DocumentsandSettingsAllUsersStartMenuProgramsStartup netusers与localgroupadministrators一些恶意软件向本地机器增加一个账户。因此，运行“net users”命令是很重要的。这个命令可以检查系统定义的账户。此外，由于一些僵尸电脑向本地管理组增加一个账户，因此一定要运行“localgroup administrators”(本地组管理器)命令检查 这个特定的组的身份。你知道在你的管理员组中的全部人员吗?下面的图表显示了一些输出