ARP病毒是什么原理?
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
急求山东教育出版社小学信息技术第四册下、第六册下教案
活动目标
1、基础性目标
(1)通过活动使学生初步了解Excel在数据计算方面的便捷与迅速。
(2)学习Excel数据计算的基本方法
(3)学会运用Excel对数据进行“求和”与计算“平均值”的方法。
(4)学会运用Excel对数据进行“数据排序”
活动重点
(1)Excel表格中计算式的 正确输入
(2)学会运用Excel对数据进行“求和”与计算“平均值”的方法
(3)学会运用Excel对数据进行“数据排序” 活动难点 学会运用Excel对数据进行“求和”与计算“平均值”的方法
2、发展性目标
(1)培养学生自主学习和探究的能力。
(2)培养学生思维清晰、快速整理数据的能力。
(3)培养学生的数学运作能力和创新精神。
(4)培养学生把信息技术与数学运算知识进行有机整合的能力。
(5)培养学生爱科技学科技及小组合作的意识。
活动准备活动准备活动准备活动准备
1、教师准备:多媒体课件。
2、学生准备: 在Excel中建立一个《班级图书登记表》并录入图书的有关数据。(第一次活动内容) 活动过程活动过程活动过程活动过程
一、激发兴趣,比赛导入: 教师激趣导言: 大家喜欢读书吗?是呀,世界上没有人会不喜欢阅读。书籍是人类进步的阶梯、是思想的归宿、是智慧的启引、是造就灵魂的工具。读一本好书就像在和一个高尚的人交谈, 它陶冶人的情操使人更加聪明高尚。书籍是全世界的精神营养品。那么我们的班级图书角收录了多少“精神营养品”呢? 1、请学生打开各自建立的《班级图书登记表》。2、展开热身竞赛: 这么多的图书我们该如何管理它呢?谁有潜力成为最称职的“图书管理员”大家来比一比。 比赛规则:大家分别用口算、笔算、心算、计算器等方法,来计算图书的总册数和总金额。以一分钟为限看谁算得又快又准。 3、展示比赛结果 学生展示:使用方法、计算的结果。(一分钟时间学生是无法完成全部计算的) 教师展示:在大家计算的时候,我使用Excel电子表格,在一分钟内计算出了图书的总册数和总金额,以及图书的平均值。大家评价一下谁才是最快的“图书管理员”呢?对,就是Excel这个“电脑小会计”,数据计算对它来说只不过是“小菜一碟”。 今天,我们就一起来学习如何运用Excel对数据进行“求和”与计算“平均值”的方法。(板书课题“电脑小会计”) (注意:老师的回答根据学生的回答来变通,如果学生说是老师最快,那老师就回答:是吗?没有Excel这个“电脑小会计”的帮助老师是无法计算的这么快的……)
二、任务驱动、自主发现 任务一:计算每一种图书的总金额。任务二:计算全部图书的总金额 任务三:计算图书的平均单价 1. 学生分组合作,任意选择任务,自主发现完成操作。 2. 教师巡视查看自学情况。
三、边干边学
1、各小组推选代表汇报任务完成情况。
2、教师根据学生自学情况开展演示和归纳
(一)计算每一种图书的总金额。 例:计算第一种图书《格林童话》的总金额 1、学生归纳计算式:总金额=单价*数量 要求学生运用上节课的知识自主发现输入计算式的方法,试做并归纳 2、教师归纳:在“总价”的单元格F2中,输入“=C2*E2”,按“回车键Enter 键”,F2单元格自动显示计算结果。 3、学生练习:完成其他种图书的总金额计算,教师巡视指导。 4、提出问题解决问题 在操作过程中可能遇到一些问题,导致计算结果无法正确显示,请学生提出来。 问题预测:①在输入公式的过程中包含了空格符号 ,要清除? ②数学符号的不正确输入 ③C2和E2的大小写不限,输入作用是一样的5、引导发现:如果我们有一万种图书,这样逐一计算每种图书的总金额实在太麻烦了,你能发现更便捷的方法吗?学生发现归纳。 6、教师归纳:Excel具有自动计算的功能,即设置好第一个单元格的计算公式后,Excel会自动计算其他单元格的总金额。(教师示范,强调鼠标指针的变化)
(二)计算全部图书的总金额 (自动求和) 1、教师示范操作。 2、学生练习: (1)计算全部图书的总金额 (2)计算图书的总册数
(三)计算图书的平均单价 这么多种类的图书,他们的平均价格会是多少呢? 1. 教师示范操作。 2. 学生练习巩固。
四、自主探究活动 1、观察常用工具栏中的各种按钮,尝试自主发现“数据排序”的操作,即把一组数据从低到高或者从高到低的升、降顺序排列。(要求学生自主掌握) 2、探究发现Excel 数据修改功能。任意改动图书的 数量,仔细观察表格会发生什么现象?再改动几个数据,试试会有什么发现。并写下你的发现。五、作业: 比较Excel电子表格和 word表格的异同点。
具体的范文模板
链接:https://pan.baidu.com/s/1M5w1L9FzuHc8jKTlBMObnA
提取码: uxxh
有哪些关于社会工程学的书籍?
先提高自己心智成熟度。再看那些讲理论的。
大脑,本身就是思维的物质基础,现在要用脑的功能——思维,来探究脑的结构和意义,这一过程显然是极其艰巨的,在这一过程中,大脑中会出现极其复杂的景象和感受,不是心地善良纯正的人,绝难做到不发生精神疾病,。
如果自己心智都不成熟。生活。人生。理解的不够深刻。连自己都看不清楚。怎么去看穿别人。看再多的心理理论。技法的书。也等于没看。不过是个孩子拿把很重的大刀。挥舞不动。只能把自己压死。
----------------
首先介绍2篇论文
1、《在这个险恶的世界上,你需要在心灵上变的强大》
2、朱建军博士的《自恋型人格障碍的儒家文化背景》
-----------------------
《少有人走的路》M·斯科特·派克
在北美,销售量超过700万册;被翻译成二十三种以上的语言;在《纽约时报》畅销书榜单上,它停驻了近二十年的时间。
毫无疑问,本书创造了空前的销售记录,归根到底,它告诉我们怎样找到真正的自我。正如本书开篇所言:人生苦难重重。
M·斯科特·派克让我们更加清楚:人生是一场艰辛之旅,心智成熟的旅程相当漫长。但是,他没有让我们感到恐惧,相反,他带领我们去经历一系列艰难乃至痛苦的转变,最终达到自我认知的更高境界。
-----------------------------------------------------
《奥修中文全集TXT版》奥修
你还信政府吗?我们的教育将我们害得这莫惨,我们的教育将我们变成了废人,不要再相信那些所谓正统的教育了,奥修哲学上的修为,足以使他与同一时代,甚至他以前的任何时代的哲人平等对话。奥修向来喜欢说佛陀、说基督,在所有宗教派系中,这两个人所代表的思想无疑是最为宽宏而又仁慈。
-----------------------
《追寻生命的意义》 作者: 维克多·弗兰克
我们犯过错,还要继续犯错,这也是我们的人生,我们需要的不是告别错误的昨天,而是坦然的接受昨天的错误,这样我们才不会害怕将要产生的错误,我们才不会被困在错误假想的恐惧中,我们才能动用我们的能力去作出当下的选择,去真面惨淡的人生。
-----------------------
《灵之舞——中西人格的表演性》邓晓芒
邓晓芒教授切入的角度比较特别,从心理学入手。对中国人的人格和造成这种人格的传统文化的批判是毫不留情的,基本上没啥正面评价,所谈论的主题,如真诚、虚伪、自欺、羞愧、忏悔、孤独、自尊等等,
-----------------------------------
《西藏生死书》
学会怎么死亡的人,就学会怎么不做奴隶。如果你想要更好的活着,也许应该花点时间,去学会正视死亡。那些相信他们有充分时间的人,临终的那一刻才准备死亡。然后,他们懊恼不已,这不是已经太晚了吗?今天大多数人死的时候毫无准备,活着的时候也没有准备,有什么事比这个现象更令人寒心呢?
---------
《爱自己,和谁结婚都一样》
我认为这本书写的非常好,当然,翻译的每个句子都很长,看起来比较费劲。但是它所描述的中心思想真的就是,好好好别人的前提,就是先好好爱自己,接受全部的自己,看清自己成长的创伤,我们之所以和社会的人处理不好人际关系,很多时候,是因为自己和自己的家庭关系没有处理好,怨恨我们的父母,讨好父母或者兄弟姐妹,而忽略压抑自己的需要。
----------------
《我爱问连岳》
连岳对爱情、婚姻有着明确、坚定、干脆还带点阳光的立场,冷静却不失温暖,这很难得——尤其作为一个30多岁的男人。在连岳的文字里,你看不到模棱两可的车轱辘话,听不到不着边际的劝慰,也不用担心道貌岸然的说教。譬如对于离婚是否会影响孩子的顾虑,他说:“孩子,只是你绑的肉票”,“宁愿当残损的先知,也不要当健全的奴隶;宁愿要一个有责任感、正常、温暖的单亲家庭,也不要一个集中营一样的婚姻地狱
----------------------
《格列佛再游记》,
英国著名作家乔治·奥威尔一生中读了不下六次,他说:“如果要我开一份书目,列出哪怕其他书都被毁坏时也要保留的六本书,我一定会把《格列佛游记》列入其中。”在这本书中,斯威夫特的叙事技巧和讽刺才能得到了淋漓尽致的反映。 斯威夫特没有官衔,给报社审稿不取报酬;哈利首相给他写文章的奖金,被他愤而退回,声明自己不是被雇佣的文人墨客。女王及其要臣终因畏惧他的声望和讽刺文章的影响,将他逐出伦敦。
-------------
世界是混沌的。人类对世界的认识是模糊的。
没分类分科分学。
----
我们现在所说的科学。是用哲学的手段。
把我们所认识的世界。理解的世界。用建立在古典希腊哲学基础上的各种哲学手段。分类分科。
强行硬分成不同的类别。分科
而我们现在中国人。喜欢动不动就说。这个是不科学的。要科学的才是好的。什么都要科学。
好象科学就代表了一切真理。
非要用西方古典式哲学。或者现代哲学的手段。把事物都分类分科。才叫正确的吗?
所谓科学。其实就是那么个玩意。
------------------------
现在人的观点就是。非要用这种方法来解读一切。才是正确的。所谓的科学了。
那么。也就是说。所谓的科学的生活方式。健康的生活。科学的认识。
所谓的这些口号。
背后的潜在台词。就是。
----------------
要用分类分科的手段。来指导我们的生活。才是正确的。否则就是不正确的。
其实是一种很极端的。偏激的观点。
-----------------
科学只是一种认识。解读世界的方法。
其实。科学只是人类认识世界。理解世界的一种手段而已。
是的,是工具而已。
用分类分科。把混沌的认识。划分成各种学问。来解读这个世界。的一种手段而已。
----------------
所谓心理学。
1、就是把各种心理现象。通过长期的观察观测。实验。
2、归纳汇总。用哲学的分类办法。给这些心理现象。取了很多名词。
3、在此2个基础上。最后又分成很多学派。
4、一切尚处于混沌中。在黑暗中摸索。
----------------------
心理咨询。
只是利用心理学知识。辅导心理问题。
不等于是心理学本身
-------------
1、虽然都是医生。都系统的。全面的学习医学。对人体结构。有个全面的了解。
2、但是。牙科医生。不可能知道你的胃病是怎么回事情。
3、大部分心理医生。只是对某类患者,具体某方面。心理活动规律。很了解。
4、不等于,心理学家。心理医生。就是对所有人的,所有心理活动都了解了。
---------------------
心理医生。不是心理学家。也不是心理专家门诊。
只是利用别人提供的心理学知识。辅导别人。如此而已
----------
工艺师。不是艺术家。
--------
针对某种心理疾病。对某几种心理疾病的心理活动规律。摸的很清楚了。能辅导这些病人。如此而已。
-----------------
以上建议的书。百度文库。都能下载到
如何编辑黑客防线光盘的起始动画
《黑客X档案》、《黑客手册》、《黑客防线》 黑客营的 《黑客入门》: 附带黑客工具光盘~!包含76种黑客常用软件~!并带有黑客实战录象~! 黑客使用手册~!从最基本的开始~! 新华书店可买到~·28元一本~ 《黑客攻击技术大全》: 附带黑客工具光盘~!包含40多种最新黑客工具~工具使用讲解~黑客实战动画~ 新华书店可买到~·42元一本~ 网管员必读——教你如何巧解注册表的锁定 作者:来源:网管员世界 在上网浏览了恶意网页后,经常会遇到注册表被禁用的事情。注册表被加锁,其主要原理就是修改注册表。在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVerssion\Policies\System分支下,新建DWORD值“Disableregistrytools”,并设键值为“1”。这样,当有人运行注册表编辑器时就会出现“注册编辑已被管理员所禁止”的对话框(如图1),这样就可以达到限制别人使用注册表编辑器的目的。给注册表解锁的方法有很多,编辑REG文件导入注册表是最常用的。本文要介绍的是与众不同的七招,在此与您分享。 图1 用Word的宏来解锁 Word也可以给注册表解锁?没错!我们利用的是微软在Word中提供的“宏”,没想到吧?具体方法是:运行Word,然后编写如下面所示的这个“Unlock”宏,即可给注册表解锁: Sub Unlock() Dim RegPath As String RegPath = “HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\System” System.PrivateProfileString(FileName:=“”,Section:=RegPath,Key:=“Disableregistrytools”)=“OK!” End Sub 其实,这个方法一点都不神秘,只是利用了注册表的一个特性,即在同一注册表项下,不能有相同名字的字符串值和DWORD值,如果先前有一个DWORD值存在,则后建立的同名的字符串值会将其覆盖,这也就间接的删除了原值。在本例中就是DWORD值Disableregistrytools被同名的字符串值所覆盖删除。 修改Regedit.exe文件 修改Regedit.exe文件也可以给注册表解锁,前提条件是手头上要有十六进制文件编辑软件如UltraEdit或WinHex等。我们以UltraEdit为例,用Ultraedit打开注册表编辑器Regedit.exe。点击“搜索”菜单下的“查找”,在弹出的对话框中的“查找ASCII字符”前面打上“√”,在“查找什么”栏中输入:Disableregistrytools(如图2),点击“确定”开始查找。会找到仅有的一处结果,改成别的字符就可以了。不过长度一定要一样(20个英文字母),这样就可以解除对注册表编辑器的禁用。 图2 使注册表编辑器无法被禁用 给注册表编辑器Regedit.exe做个小手术,使之对注册表禁用功能具有“免疫力”,可以打造一个锁不住的注册表编辑器。这对防范恶意网页对注册表的禁用非常有好处。用十六进制文件编辑器Ultraedit打开Regedit.exe,查找74 1B 6A 10 A1 00,找到后,把74改为EB即可。现在,你就有了一个锁不住的注册表编辑器了。下次既使注册表被禁用也不用害怕了,只管运行之,保管恶意网页的修改无效。 用INF文件解锁 大家一定看到过在Windows中有一种后缀为INF的驱动安装文件,它实际上是一种脚本语言,通过解释执行。它包含了设备驱动程序的所有安装信息,其中也有涉及修改注册表的相关信息语句,所以我们也可以利用INF文件对注册表解锁。 INF文件是由各个小节(Section) 组成。小节的名字从中括号中起,且在此文件中必须是惟一的。小节的名字是它的入口点。后面是小节内容,形式上是“键名称=键值”。在文件中可以添加注释
病毒木马
services.exe - services - 进程介绍
进程文件: services or services.exe
进程名称: Windows Service Controller
进程类别:其他进程
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文参考:
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\ 目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”
当然,清除的方法也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除
3. HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的 “rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData
一、病毒评估
1. 病毒中文名: SCO炸弹变种N
2. 病毒英文名: Worm.Novarg.N
3. 病毒别名: Worm.Mydoom.m
4. 病毒大小: 28832字节
5. 病毒类型: 蠕虫病毒
6. 病毒危险等级: ★★★★
7. 病毒传播途径: 邮件
8. 病毒依赖系统: Windows 9X/NT/2000/XP
二、病毒的破坏
1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;
2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。
3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。
4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。
5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。
三、技术分析
1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。
2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。
3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。
4.在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录(Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。
5. 当病毒搜索到email地址以后,病毒以“mailto +%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。
6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。
四、病毒解决方案:
1. 进行升级
瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站( http://www.rising.com.cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2. 使用专杀工具
鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。
3. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。
4. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5. 手动清除
(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:\WINDOWS,Win2K下默认为:C:\WINNT
注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。
五、安全建议:
1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。
求各位大神推荐一下网络攻防入门的书籍
图书名称:电脑黑客攻防入门(配光盘)(一学就会魔法书(第2版))
作者:九州书源编著出 版 社:清华大学出版社出版时间: 2009-7-1字数:版次: 2页数: 262印刷时间:开本: 16开印次:纸张:I S B N : 9787302194613包装: 平装所属分类:图书计算机/网络信息安全定价:¥29.80本书主要讲述了目前最流行的黑客攻防的基础知识和操作以及各种应用实例,主要内容包括接触黑客攻击、常用黑客工具介绍、安装与清除木马、QQ攻防、入侵和保护操作系统、攻击和保护IE浏览器、窥探和保护电子邮件、密码攻防战、ARP欺骗攻防、远程监控攻防、开启后门与痕迹清除和建立电脑的防御体系等知识。本书内容深入浅出,从黑客技术的基础知识入手,逐步提高到使用与防范常用黑客技术和黑客软件的水平,使读者的黑客攻防水平得到较大的提高。本书提供了大量实例,以帮助读者了解并掌握黑客技术和黑客软件的使用方法;每章后面附有大量丰富生动的练习题,以检验读者对本章知识点的掌握程度,达到巩固所学知识的目的。本书定位于有一定电脑知识的用户,可供在校学生、电脑技术人员、各种电脑培训班学员以及不同年龄段想了解黑客技术的电脑爱好者学习参考。第1章 接触黑客攻击多媒体教学演示:20分钟1.1 黑客攻击的特点1.2 扫描开放的端口1.3 “菜鸟”黑客常用入侵命令1.4 常见问题解答1.5 过关练习第2章 常用黑客工具介绍多媒体教学演示:30分钟2.1 网络扫描工具2.2 SQLTools黑客攻击工具2.3 数据拦截工具2.4 常见问题解答2.5 过关练习第3章 安装与清除木马多媒体教学演示:50分钟3.1 木马的概念 343.2 木马安装的方法3.3 木马信息反馈3.4 灰鸽子3.5 冰河3.6 常见问题解答3.7 过关练习第4章 QQ攻防多媒体教学演示:50分钟4.1 QQ漏洞攻防4.2 QQ密码攻防4.3 QQ软件攻防4.4 常见问题解答4.5 过关练习第5章 入侵和保护操作系统多媒体教学演示:30分钟5.1 Windows系统安全分析5.2 RPC漏洞5.3 Server服务远程缓冲区溢出漏洞5.4 Serv-U FTP Server漏洞5.5 Windows LSASS漏洞5.6 常见问题解答5.7 过关练习第6章 攻击和保护IE浏览器多媒体教学演示:40分钟6.1 网页代码攻防6.2 IE炸弹攻防6.3 IE程序攻防6.4 IE浏览器的维护6.5 常见问题解答6.6 过关练习第7章 窥探和保护电子邮件多媒体教学演示:40分钟7.1 电子邮箱炸弹7.2 电子邮箱密码攻防7.3 防范电子邮件病毒7.4 常见问题解答7.5 过关练习第8章 密码攻防战第9章 ARP欺骗攻防第10章 远程监控攻防第11章 开启后门与痕迹清除第12章 建立电脑的防御体系
哪有关于黑客攻击与防护措施及解决方案的网络书籍?
中华军威黑客基地 http://www.clx.cn/bbs 如果你要去学习 我可以免费送你个邀请码概括来说,网络安全课程的主要内容包括:
l 安全基本知识
l 应用加密学
l 协议层安全
l Windows安全(攻击与防御)
l Unix/Linux安全(攻击与防御)
l 防火墙技术
l 入侵监测系统
l 审计和日志分析
下面分别对每部分知识介绍相应的具体内容和一些参考书(正像前面提到的那样,有时间、有条件的话,这些书都应该看至少一遍)。
一、安全基本知识
这部分的学习过程相对容易些,可以花相对较少的时间来完成。这部分的内容包括:安全的概念和定义、常见的安全标准等。
大部分关于网络安全基础的书籍都会有这部分内容的介绍。
下面推荐一些和这部分有关的参考书:
l 《CIW:安全专家全息教程》 魏巍 等译,电子工业出版社
l 《计算机系统安全》 曹天杰,高等教育出版社
l 《计算机网络安全导论》 龚俭,东南大学出版社
二、应用加密学
加密学是现代计算机(网络)安全的基础,没有加密技术,任何网络安全都是一纸空谈。
加密技术的应用决不简单地停留在对数据的加密、解密上。密码学除了可以实现数据保密性外、它还可以完成数据完整性校验、用户身份认证、数字签名等功能。
以加密学为基础的PKI(公钥基础设施)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。
可以说,加密学的应用贯穿了整个网络安全的学习过程中。因为之前大多数人没有接触过在这方面的内容,这是个弱项、软肋,所以需要花费比其它部分更多的时间和精力来学习。也需要参考更多的参考书。
下面推荐一些和这部分有关的参考书:
l 《密码学》 宋震,万水出版社
l 《密码工程实践指南》 冯登国 等译,清华大学出版社
l 《秘密学导引》 吴世忠 等译,机械工业(这本书内容较深,不必完全阅读,可作为参考)
三、协议层安全
系统学习TCP/IP方面的知识有很多原因。要适当地实施防火墙过滤,安全管理员必须对于TCP/IP的IP层和TCP/UDP层有很深的理解、黑客经常使用TCP/IP堆栈中一部分区或来破坏网络安全等。所以你也必须清楚地了解这些内容。
协议层安全主要涉及和TCP/IP分层模型有关的内容,包括常见协议的工作原理和特点、缺陷、保护或替代措施等等。
下面推荐一些和这部分有关的参考书(经典书籍、不可不看):
l 《TCP/IP详解 卷1:协议》 范建华 等译,机械工业出版社
l 《用TCP/IP进行网际互联 第一卷原理、协议与结构》 林瑶 等译,电子工业出版社
四、Windows安全(攻击与防御)
因为微软的Windows NT操作系统已被广泛应用,所以它们更容易成为被攻击的目标。
对于Windows安全的学习,其实就是对Windows系统攻击与防御技术的学习。而Windows系统安全的学习内容将包括:用户和组、文件系统、策略、系统默认值、审计以及操作系统本身的漏洞的研究。
这部分的参考书较多,实际上任何一本和Windows攻防有关系的书均可。下面推荐一些和这部分有关的参考书:
l 《黑客攻防实战入门》 邓吉,电子工业出版社
l 《黑客大曝光》 杨继张 等译,清华大学出版社
l 《狙击黑客》 宋震 等译,电子工业出版社
五、Unix/Linux安全(攻击与防御)
随着Linux的市占率越来越高,Linux系统、服务器也被部署得越来越广泛。Unix/Linux系统的安全问题也越来越凸现出来。作为一个网络安全工作者,Linux安全绝对占有网络安全一半的重要性。但是相对Windows系统,普通用户接触到Linux系统的机会不多。Unix/Linux系统本身的学习也是他们必须饿补的一课!
下面是推荐的一套Linux系统管理的参考书。
l 《Red Hat Linux 9桌面应用》 梁如军,机械工业出版社(和网络安全关系不大,可作为参考)
l 《Red Hat Linux 9系统管理》 金洁珩,机械工业出版社
l 《Red Hat Linux 9网络服务》 梁如军,机械工业出版社
除了Unix/Linux系统管理相关的参考书外,这里还给出两本和安全相关的书籍。
l 《Red Hat Linux安全与优化》 邓少鹍,万水出版社
l 《Unix 黑客大曝光》 王一川 译,清华大学出版社
六、防火墙技术
防火墙技术是网络安全中的重要元素,是外网与内网进行通信时的一道屏障,一个哨岗。除了应该深刻理解防火墙技术的种类、工作原理之外,作为一个网络安全的管理人员还应该熟悉各种常见的防火墙的配置、维护。
至少应该了解以下防火墙的简单配置。
l 常见的各种个人防火墙软件的使用
l 基于ACL的包过滤防火墙配置(如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等)
l 基于Linux操作系统的防火墙配置(Ipchains/Iptables)
l ISA配置
l Cisco PIX配置
l Check Point防火墙配置
l 基于Windows、Unix、Cisco路由器的VPN配置
下面推荐一些和这部分有关的参考书:
l 《
网络安全与防火墙技术
》 楚狂,人民邮电出版社
l 《Linux防火墙》
余青霓
译,人民邮电出版社
l 《高级防火墙ISA Server 2000》 李静安,中国铁道出版社
l 《Cisco访问表配置指南》 前导工作室 译,机械工业出版社
l 《Check Point NG安全管理》
王东霞
译,机械工业出版社
l 《虚拟专用网(VPN)精解》 王达,清华大学出版社
七、入侵监测系统(IDS)
防火墙不能对所有应用层的数据包进行分析,会成为网络数据通讯的瓶颈。既便是代理型防火墙也不能检查所有应用层的数据包。
入侵检测是防火墙的合理补充,它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。可以说入侵检测是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
IDS提供了主动的网络保护,它能够自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式。随着各种商业入侵检测系统的部署,IDS逐渐成为网络安全不可或缺的元素之一。
在各种著名的入侵检测系统中,Snort以其免费、公开源代码和高效运行的特点获得了广泛的应用。同时,也成为学习入侵检测系统的首选。
建议有条件的朋友最好能在Linux系统上部署、维护运行一段时间的Snort以期获得宝贵的实践经验。
下面推荐一些和这部分有关的参考书:
l 《入侵检测系统及实例剖析》 韩东海,清华大学出版社
l 《Snort 2.0入侵检测》 宋劲松 等译,国防工业出版社
l 《Snort 入侵检测实用解决方案》 吴溥峰 机械工业出版社
八、审计和日志分析 日志分析是审计的重要手段。在一个网络安全系统中存在着各种日志:操作系统(Windows、Unix)日志、服务器日志(IIS、BIND… …)、防火墙系统日志、入侵检测系统日志、拨号服务器日志等等。因此,对于如何维护日志系统的学习实际上是融入到操作系统以及防火墙、IDS的学习过程中的。
相关的参考资料也在前面已经列出,这里不再重复。
前面谈了网络安全领域的各个知识方面,有了这些具体的学习目标,接下来就是集中精力、个个击破了。
具体的学习方法是:读书+实践。
首先,看书是必须的。想要在网络安全实践的过程中知其然、知其所以然,就必须牢固掌握书本上的理论知识。尤其是对于加密学这样的比较抽象的章节更是如此。每个人的看书习惯都不相同,如果觉得自己看书的收效不高,可以试试采用下面的方法:第1遍,略读(快速了解某个章节的内容);第2遍,细读(认真、仔细阅读某个章节的每段文字);第3遍,通读(完全阅读某个章节,并记下重点、难点,之后再重点看这些)。
其次,是动手实践(实验)。对于网络安全来说,不能只停留在理论(纸上谈兵),重点应该放在实践上。
对于实验内容可以分别针对上面的网络安全的每一部分的内容(PGP、SSL、SSH、IPSEC、IPTABLES、ACL、VPN、PIX、ISA、SNORT… …)来进行实验。对于实验环境,建议采用Windows 2000(2003)Server+Linux RedHat 9(FC3、4)(VMWare)这种实验环境模式。采用这种模式可以完全实现上述各种实验的需求。
同时需要指出,如果Linux的基础比较差,需要多进行和Linux相关的实验,至少应该有能力安装Linux、配置Linux上的各种服务。
最后,对于学习过程中遇到的问题。建议通过查阅书籍、搜索引擎,这样有利于锻炼自己独立实际解决问题的能力。而高效解决实际问题也是对网络安全管理人员能力的最大考验。
有哪些好看的动作片?
十佳动作片
1)
英雄本色(1):吴宇森代表作。
2)
真实的谎言:阿诺演的最温情和幽默的电影。
3)
生死时速(1):充满动感,耳目一新!
4)
虎胆龙威系列:呵呵他怎么总是一身伤却不死啊!!!
5)
勇闯夺命岛(石破天惊):动作片颠峰作品!演员表演出色。
6)
刀锋战士(1、2):新式吸血鬼动作片,非常另类和华丽。
7)
神秘的黄玫瑰系列:呵呵因为看的时候年纪小,觉得比西部片还经典。
8)
复仇:也是罗马尼亚的老电影,这部影片的枪战让人百看不厌。
9)
三步杀人曲系列:干净利落的墨西哥风格枪战电影。
10)
第一滴血(1):有内涵有力度有故事,是史泰龙为数不多的好片。