對(duì)病毒的直接查殺和防范

對(duì)病毒的直接查殺和防范

首先要研究一個(gè)問(wèn)題，就是為什么病毒還能繞過(guò)殺毒軟件

來(lái)侵入電腦。其實(shí)，很多殺毒軟件的開(kāi)發(fā)水平應(yīng)該都是很

高的。但是，似乎經(jīng)常性的讓很多用戶(hù)感覺(jué)是沒(méi)防住的。

為什么會(huì)造成這樣的現(xiàn)象呢？

我們猜想有這樣幾方面的情況：

1.新病毒無(wú)法防御。

因?yàn)闅⒍拒浖饕捎玫氖翘卣鞔a的檢查方式，所

以，無(wú)法對(duì)剛出來(lái)的病毒進(jìn)行特征碼檢查。

2.有些軟件雖然自己不是病毒，但是卻到處破壞安

全規(guī)則，比如，經(jīng)常性的彈出一個(gè)框來(lái)，讓用戶(hù)到不良網(wǎng)

站上去。因?yàn)闅⒍拒浖荒墚?dāng)病毒來(lái)殺，所以病毒通過(guò)這

個(gè)渠道又進(jìn)來(lái)了。

3.所有的新安裝軟件在剛使用時(shí)，會(huì)引起殺毒軟件

的報(bào)警，報(bào)警會(huì)彈出一個(gè)窗口來(lái)問(wèn)：是否允許呢？這是因

為殺毒軟件無(wú)法判斷是否病毒，所以就只好來(lái)問(wèn)一下。從

理論上說(shuō)，只要對(duì)正常的軟件來(lái)確定一下，對(duì)非正常的軟

件來(lái)否認(rèn)一下就可以了。但是對(duì)一個(gè)企業(yè)的網(wǎng)絡(luò)來(lái)說(shuō)，這

實(shí)際又是不現(xiàn)實(shí)的。因?yàn)槠髽I(yè)里有很多人，每個(gè)人的計(jì)算

機(jī)水平是不同的，而面對(duì)提問(wèn)的次數(shù)又很多，總有的人會(huì)

選擇允許，總有的人會(huì)選擇拒絕。即使你是計(jì)算機(jī)很熟悉

又很小心的人，當(dāng)你日復(fù)一日的面臨不停的提問(wèn)時(shí)一，總有

一次你會(huì)疏忽，哪怕是手誤，而這一次就決定了你的計(jì)算

機(jī)將從此陷入無(wú)盡的折磨中了。

4.殺毒軟件對(duì)已經(jīng)入侵的病毒只能殺掉一部分，但

是對(duì)很多是無(wú)能為力的。殺毒軟件不能對(duì)付已入侵的病毒,

這跟軟件的設(shè)計(jì)構(gòu)架有關(guān)。操作系統(tǒng)給于軟件分配了不同

的權(quán)限，當(dāng)病毒沒(méi)有運(yùn)行起來(lái)時(shí)，殺毒軟件具有查殺的權(quán)

限。當(dāng)病毒運(yùn)行起來(lái)時(shí)，往往就可以有和殺毒軟件一樣的

權(quán)限了，或者說(shuō)雙方已經(jīng)平等了，所以殺毒軟件不能完全

查殺病毒也就不奇怪了。

5.其他計(jì)算機(jī)對(duì)同一網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)發(fā)送的病毒的

抵抗能力很弱。這是跟網(wǎng)絡(luò)的使用方式有關(guān)。因?yàn)樵趦?nèi)部

計(jì)算機(jī)需要使用大量的應(yīng)用，包括文件共享等工作，所以

需要采用信任域的方式來(lái)協(xié)同工作。在病毒沒(méi)有入侵網(wǎng)絡(luò)

時(shí)，病毒能找到的入侵途徑就是前面所說(shuō)的上網(wǎng)或外設(shè)。

一旦入侵了網(wǎng)絡(luò)，就可以借助內(nèi)部信任的網(wǎng)絡(luò)服務(wù)來(lái)更容

易的擴(kuò)散。所以，時(shí)間一久，網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)就逐漸的被

病毒滲透，逐漸的陷入了癱瘓。殺毒的主體是殺毒軟

件，這已經(jīng)被現(xiàn)在的應(yīng)用所證明了的。但是，從上面的分

析來(lái)看，現(xiàn)在的殺毒軟件構(gòu)成的體系似乎是肯定在某個(gè)情

況下要被突破，事實(shí)上也是如此。當(dāng)一個(gè)計(jì)算機(jī)熟悉的人

員，并且小心的使用計(jì)算機(jī)時(shí)，如果使用了頂尖的殺毒軟

件時(shí)，實(shí)際上用上很多年也不會(huì)有問(wèn)題。但是在一個(gè)網(wǎng)絡(luò)

中，則由于網(wǎng)絡(luò)中的計(jì)算機(jī)的關(guān)聯(lián)性和可信任性，總有計(jì)

算機(jī)被突破，網(wǎng)絡(luò)也總會(huì)面臨危機(jī)。

那么，怎么在病毒木馬入侵后及時(shí)有效的發(fā)現(xiàn)感染跡

象呢？這將提供及時(shí)的線(xiàn)索，以便在確定后對(duì)感染源采取

隔離措施。

所以，還需要引入更多的機(jī)制，來(lái)及早的發(fā)現(xiàn)和管理

網(wǎng)絡(luò)的病毒感染情況。

新的監(jiān)控分析方法：

清揚(yáng)內(nèi)網(wǎng)管理軟件引入了運(yùn)行特征分析的功能，簡(jiǎn)單

的說(shuō)：就是對(duì)進(jìn)程、注冊(cè)表、netstat等運(yùn)行情況進(jìn)行分析,

用統(tǒng)計(jì)和比對(duì)的方式來(lái)提供對(duì)計(jì)算機(jī)運(yùn)行情況的了解和掌

握。

1.病毒也是程序，所以病毒活躍時(shí)總以進(jìn)程的形式

存在。深一步，任何進(jìn)程需要調(diào)用特定的模塊DLL,這就

構(gòu)成了一個(gè)運(yùn)行特征。通過(guò)對(duì)進(jìn)程及其調(diào)用模塊的分析，

將進(jìn)一步的顯示出對(duì)病毒的珠絲馬跡來(lái)。

2.其次就是注冊(cè)表的監(jiān)控，病毒需要潛伏，通常需

要尋找一個(gè)注冊(cè)表引導(dǎo)區(qū)來(lái)潛伏，否則等計(jì)算機(jī)一重起，

病毒就失效了。注冊(cè)表的是操作系統(tǒng)的核心，留出的引導(dǎo)

區(qū)域是有限的。通過(guò)對(duì)這些引導(dǎo)區(qū)域的全網(wǎng)統(tǒng)一監(jiān)控，通

過(guò)對(duì)這些引導(dǎo)區(qū)增刪改的監(jiān)控，將極大的提高對(duì)病毒入侵

的行為的發(fā)現(xiàn)。除了對(duì)一些常用的引導(dǎo)區(qū)域，注冊(cè)表監(jiān)控

也將提高了象通過(guò)修改文件關(guān)聯(lián)項(xiàng)這樣的病毒的管理能

力，修改了TXT或EXE文件的關(guān)聯(lián)項(xiàng)的病毒是很難發(fā)現(xiàn)

和處理的。

3.其他的監(jiān)控。通過(guò)netstat可以來(lái)看到活躍的網(wǎng)絡(luò)

活動(dòng)連接，開(kāi)異常的端口應(yīng)該引起網(wǎng)管人員的重視。

4.管理木馬的說(shuō)明：通常，為破壞計(jì)算機(jī)運(yùn)行為目

的的病毒的行為可能更加的詭異一些，木馬的目的在于提

供控制和竊取數(shù)據(jù)的手段，所以更加象一個(gè)正常的程序。

尤其是一些特定的木馬，用尋常的殺毒辦法可能更加不容

易。但是以上的監(jiān)控手段卻可能更加的有效用。

通過(guò)建立一個(gè)獨(dú)立的全網(wǎng)式的運(yùn)行監(jiān)控手段，實(shí)際是

達(dá)到了對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)的有益的監(jiān)測(cè)手段。一個(gè)網(wǎng)絡(luò)內(nèi)的

計(jì)算機(jī)因?yàn)楣ぷ飨嚓P(guān)的緣故，通常使用非常雷同的軟件，

所以為大規(guī)模的進(jìn)程、注冊(cè)表等運(yùn)行特征的比對(duì)提供了可

行性。往往容易在比對(duì)中逐漸剝離出異常來(lái)。

對(duì)個(gè)人用戶(hù)來(lái)說(shuō)，上面的介紹的方法可能不是最有用

的，因?yàn)閭€(gè)人電腦也較為隨意，很難用嚴(yán)格的管理來(lái)加強(qiáng)

防護(hù)。但是對(duì)一個(gè)企業(yè)來(lái)說(shuō)，適當(dāng)?shù)墓芾聿粌H是可能的，

而且是必要的。因?yàn)槠髽I(yè)的日常經(jīng)營(yíng)的保障是所有工作的

前提，應(yīng)盡力讓企業(yè)的運(yùn)營(yíng)工作排除干擾和威脅。

以上介紹了一個(gè)全面的病毒防護(hù)體系的建立。防病毒

是一個(gè)長(zhǎng)期的管理工作。單純的依賴(lài)殺毒軟件是很難持久

的，用全方位的思路去管理網(wǎng)絡(luò)，這將提高網(wǎng)絡(luò)的安全運(yùn)

行的保障能力。防護(hù)需要縱深，孤立的手段是脆弱的。

止匕外，對(duì)全網(wǎng)的運(yùn)行狀態(tài)進(jìn)行有針對(duì)性的監(jiān)控，也是

在這里介紹的新思路，將給防病毒的管理工作帶來(lái)全新的

視角和手段。

如何根據(jù)名稱(chēng)識(shí)別計(jì)算機(jī)病毒

很多時(shí)候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor.RmtBomb.12、

Trojan.Win32.SendIP.15等等這些?串英文還帶數(shù)字的病毒名，這忖有些人就懵了，那么長(zhǎng)

一串的名字，我怎么知道是什么病毒?。?/p>

其實(shí)只要我們掌握?些病毒的命名規(guī)則，我們就能通過(guò)殺毒軟件的報(bào)告中出現(xiàn)的病毒名

來(lái)判斷該病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司為了方便管理，他們會(huì)按照病毒的特性，將病毒進(jìn)行

分類(lèi)命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方

法來(lái)命名的。一般格式為：〈病毒前綴〉.〈病毒名〉〈病毒后綴〉。

病毒前綴是指一個(gè)病毒的種類(lèi)，他是用來(lái)區(qū)別病毒的種族分類(lèi)的。不同的種類(lèi)的病毒，

其前綴也是不同的。比如我們常見(jiàn)的木馬病毒的前綴Trojan,蠕蟲(chóng)病毒的前綴是Worm等

等還有其他的。

病毒名是指?個(gè)病毒的家族特征，是用來(lái)區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH

病毒的家族名都是統(tǒng)一的“CIH”，還有近期鬧得正歡的振蕩波蠕蟲(chóng)病毒的家族名是

"Sasser

病毒后綴是指一個(gè)病毒的變種特征，是用來(lái)區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般

都采用英文中的26個(gè)字母來(lái)表示，如Worm.Sasser.b就是指振蕩波蠕蟲(chóng)病毒的變種B,

因此?般稱(chēng)為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明

該病毒生命力頑強(qiáng)八_八），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。

綜上所述,一個(gè)病毒的前綴對(duì)我們快速的判斷該病毒屬于哪種類(lèi)型的病毒是有非常大的

幫助的。通過(guò)判斷病毒的類(lèi)型，就可以對(duì)這個(gè)病毒有個(gè)大概的評(píng)估（當(dāng)然這需要積累一些常

見(jiàn)病毒類(lèi)型的相關(guān)知識(shí)，這不在本文討論范圍）。而通過(guò)病毒名我們可以利用查找資料等方

式進(jìn)一步了解該病毒的詳細(xì)特征。病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個(gè)

變種。

下面附帶一些常見(jiàn)的病毒前綴的解釋?zhuān)ㄡ槍?duì)我們用得最多的Windows操作系統(tǒng)）：

1、系統(tǒng)病毒

系統(tǒng)病毒的前綴為：Win32,PE、Win95、W32、W95等。這些病毒的一般公有的特性

是可以感染windows操作系統(tǒng)的*.exe和*.dD文件，并通過(guò)這些文件進(jìn)行傳播。如CIH

病毒。

2、蠕蟲(chóng)病毒

蠕蟲(chóng)病毒的前綴是：Worm。這種病毒的公有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，

很大部分的蠕蟲(chóng)病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），

小郵差（發(fā)帶毒郵件）等。

3、木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan,黑客病毒前綴名一般為Hack?木馬病毒的公有特性是通

過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶(hù)的系統(tǒng)并隱藏，然后向外界泄露用戶(hù)的信息，而黑客病毒則有

一個(gè)可視的界面，能對(duì)用戶(hù)的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木

馬病毒負(fù)責(zé)侵入用戶(hù)的電腦，而黑客病毒則會(huì)通過(guò)該木馬病毒來(lái)進(jìn)行控制?，F(xiàn)在這兩種類(lèi)型

都越來(lái)越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344,還有大家可能

遇見(jiàn)比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如Trojan.LMir.PSW.60。這里補(bǔ)充?點(diǎn)，病毒名中

有PSW或者什么PWD之類(lèi)的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母?般都為

"密碼"的英文apassword"的縮寫(xiě)）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。

4、腳本病毒

腳本病毒的前綴是：Script,腳本病毒的公有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)

進(jìn)行的傳播的病毒，如幻:色代碼（Script.Redlof）——可不是我們的老大代碼兄哦人_鼠腳

本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè)時(shí)光（VBS.Happytime）、

十四日（Js.Fortnight.c.s）等。

5、宏病毒

其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類(lèi)。

宏病毒的前綴是：Macro,第二前綴是：Word、Word97、Excel>Excel97（也許還有別的）

其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，

格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為

第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采

用Excel97做為第二前綴，格式是：Macro.Excel97：凡是只感染EXCEL97以后版本EXCEL

文檔的病毒采用Excel做為第二前綴，格式是：Macro.Exceh依此類(lèi)推。該類(lèi)病毒的公有特

性是能感染OFFICE系列文檔，然后通過(guò)OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎

(Macro.Melissa)o

6、后門(mén)病毒

后門(mén)病毒的前綴是：Backdooro該類(lèi)病毒的公有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后

門(mén)，給用戶(hù)電腦帶來(lái)安全隱患。如54很多朋友遇到過(guò)的IRC后門(mén)Backdoor.IRCBot。

7、病毒種植程序病毒

這類(lèi)病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，

由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者(Dropper.BingHe2.2C)、MSN射手

(Dropper.Worm.Smibag)等。

8.破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類(lèi)病毒的公有特性是本身具有好看的圖標(biāo)來(lái)

誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)病毒時(shí)，病毒便會(huì)直接對(duì)用戶(hù)計(jì)算機(jī)產(chǎn)生破壞。如：格式化

C盤(pán)(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。

9.玩笑病毒

玩笑病毒的前綴是：Joke。也稱(chēng)惡作劇病毒。這類(lèi)病毒的公有特性是本身具有好看

的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)病毒時(shí)，病毒會(huì)做出各種破壞操作來(lái)嚇唬用戶(hù)，其

實(shí)病毒并沒(méi)有對(duì)用戶(hù)電腦進(jìn)行任何破壞。如：女鬼(Joke.Girlghost)病毒。

10.捆綁機(jī)病毒

捆綁機(jī)病毒的前綴是：Binder,這類(lèi)病毒的公有特性是病毒作者會(huì)使用特定的捆綁

程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶(hù)運(yùn)行

這些捆綁病毒時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在?起的病毒，從而給用

戶(hù)造成危害。如：捆綁QQ(Binder.QQPass.QQBin)^系統(tǒng)殺手(Binder.killsys)等。

以上為比較常見(jiàn)的病毒前綴，有時(shí)候我們還會(huì)看到一些其他的，但比較少見(jiàn)，這里

簡(jiǎn)單提一下：

DoS：會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；

Exploit：會(huì)自動(dòng)通過(guò)溢出對(duì)方或者自己的系統(tǒng)漏洞來(lái)傳播自身，或者他本身就是

個(gè)用于Hacking的溢出工具；

HackTool：黑客工具，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來(lái)用你

做替身去破壞別人。

你可以在查出某個(gè)病毒以后通過(guò)以上所說(shuō)的方法來(lái)初步判斷所中病毒的基本情況，

達(dá)到知己知彼的效果。在殺毒無(wú)法自動(dòng)查殺，打算采用手工方式的時(shí)候這些信息會(huì)給你很大

的幫助。

區(qū)別計(jì)算機(jī)病毒與故障技巧

在清除計(jì)算機(jī)病毒的過(guò)程中，有些類(lèi)似計(jì)算機(jī)病毒的現(xiàn)象純屬由計(jì)算機(jī)硬件或軟件故障引

起，同時(shí)有些病毒發(fā)作現(xiàn)象又與硬件或軟件的故障現(xiàn)象相類(lèi)似，如引導(dǎo)型病毒等。這給用戶(hù)

造成了很大的麻煩，許多用戶(hù)往往在用各種查解病毒軟件查不出病毒時(shí)就去格式化硬盤(pán)，不

僅影響了硬盤(pán)的壽命，而且還不能從根本上解決問(wèn)題。所以，正確區(qū)分計(jì)算機(jī)的病毒與故障

是保障計(jì)算機(jī)系統(tǒng)安全運(yùn)行的關(guān)鍵。

一、計(jì)算機(jī)病毒的現(xiàn)象與查解方法

在一般情況下，計(jì)算機(jī)病毒總是依附某一系統(tǒng)軟件或用戶(hù)程序進(jìn)行繁殖和擴(kuò)散，病毒發(fā)

作時(shí)危及計(jì)算機(jī)的正常工作，破壞數(shù)據(jù)與程序，侵犯計(jì)算機(jī)資源。計(jì)算機(jī)在感染病毒后，總

是有一定規(guī)律地出現(xiàn)異?，F(xiàn)象：

①屏幕顯示異常，屏幕顯示出不是由正常程序產(chǎn)生的畫(huà)面或字符串，屏幕顯示混亂；

②程序裝入時(shí)間增長(zhǎng)，文件運(yùn)行速度下降；

③用戶(hù)沒(méi)有訪(fǎng)問(wèn)的設(shè)備出現(xiàn)工作信號(hào)；

④磁盤(pán)出現(xiàn)莫名其妙的文件和壞塊，卷標(biāo)發(fā)生變化；

⑤系統(tǒng)自行引導(dǎo)；

⑥丟失數(shù)據(jù)或程序，文件字節(jié)數(shù)發(fā)生變化；

⑦內(nèi)存空間、磁盤(pán)空間減小；

⑧異常死機(jī)；

⑨磁盤(pán)訪(fǎng)問(wèn)時(shí)間比平時(shí)增長(zhǎng)；

⑩系統(tǒng)引導(dǎo)時(shí)間增長(zhǎng)。

如果出現(xiàn)上述現(xiàn)象時(shí)，應(yīng)首先對(duì)系統(tǒng)的BOOT區(qū)、IO.SYS、MSDOS.SYS、

COMMAND.COM、.COM、.EXE文件進(jìn)行仔細(xì)檢查，并與正確的文件相比較，如有異?，F(xiàn)

象則可能感染病毒。然后對(duì)其它文件進(jìn)行檢查，有無(wú)異?，F(xiàn)象，找出異?，F(xiàn)象的原因。病毒

與故障的區(qū)別的關(guān)鍵是，一般故障只是無(wú)規(guī)律的偶然發(fā)生一次而病毒的發(fā)作總是有規(guī)律的。

這里建議使用在D0S60以上版本所帶的MSAV軟件，它的最突出的功能是能查出所有

文件的變化，并能做出記錄。

如果MSAV報(bào)告有大量的文件被改動(dòng)，則系統(tǒng)可能被病毒感染。

二、與病毒現(xiàn)象類(lèi)似的硬件故障

硬件的故障范圍不太廣泛，但是很容易被確認(rèn)。在處理計(jì)算機(jī)的異常現(xiàn)象時(shí)很容易被忽

略，只有先排除硬件故障，才是解決問(wèn)題的根本。

1.系統(tǒng)的硬件配置

這種故障常在兼容機(jī)上發(fā)生，由于配件的不完全兼容，導(dǎo)致?一些軟件不能夠正常運(yùn)行。

筆者遇到過(guò)一臺(tái)兼容機(jī)，聯(lián)迅綠色節(jié)能主板，昆騰大腳硬盤(pán)，開(kāi)始時(shí)安裝小軟件非常順利,

但是安裝WINDOWS時(shí)卻出現(xiàn)了裝不上的故障，開(kāi)始也懷疑病毒作怪，在用了許多殺毒軟

件后也不能解決問(wèn)題。后來(lái)查閱了一些資料才發(fā)現(xiàn)了問(wèn)題所在，因主板是節(jié)能型的，而CPU、

硬盤(pán)卻不是節(jié)能型的，當(dāng)安裝軟件的時(shí)間超過(guò)主板進(jìn)入休眠時(shí)間的期限時(shí)，主板就進(jìn)入了休

眠狀態(tài)，于是就由于主板、CPU、硬盤(pán)工作不協(xié)調(diào)而出現(xiàn)了故障。解決的辦法很簡(jiǎn)單，把主

板的節(jié)能開(kāi)關(guān)關(guān)掉就一切正常了。所以，用戶(hù)在自己組裝計(jì)算機(jī)時(shí)應(yīng)首先考慮配件的兼容性,

購(gòu)買(mǎi)配件前應(yīng)仔細(xì)閱讀產(chǎn)品說(shuō)明書(shū)。

2.電源電壓不穩(wěn)定

由于計(jì)算機(jī)所使用的電源的電壓不穩(wěn)定，容易導(dǎo)致用戶(hù)文件在磁盤(pán)讀寫(xiě)時(shí)出現(xiàn)丟失或

被破壞的現(xiàn)象，嚴(yán)重時(shí)將會(huì)引起系統(tǒng)自啟動(dòng)。如果用戶(hù)所用的電源的電壓經(jīng)常性的不穩(wěn)定,

為了使您的計(jì)算機(jī)更安全地工作，建議您使用電源穩(wěn)壓器或不間斷電源（UPS）。

3.插件接觸不良

由于計(jì)算機(jī)插件接觸不良，會(huì)使某些設(shè)備出現(xiàn)時(shí)好時(shí)壞的現(xiàn)象。例如：顯示器信號(hào)線(xiàn)與

主機(jī)接觸不良時(shí)可能會(huì)使顯示器顯示不穩(wěn)定；磁盤(pán)線(xiàn)與多功能卡接觸不良時(shí)會(huì)導(dǎo)致磁盤(pán)讀

寫(xiě)時(shí)好時(shí)壞；打印機(jī)電纜與主機(jī)接觸不良時(shí)會(huì)造成打印機(jī)不工作或工作現(xiàn)象不正常；鼠標(biāo)

線(xiàn)與串行口接觸不良時(shí)會(huì)出現(xiàn)鼠標(biāo)時(shí)動(dòng)時(shí)不動(dòng)的故障等等。

4.軟驅(qū)故障

用戶(hù)如果使用質(zhì)量低劣的磁盤(pán)或使用損壞的、發(fā)霉的磁盤(pán)，將會(huì)把軟驅(qū)磁頭弄臟，出現(xiàn)

無(wú)法讀寫(xiě)磁盤(pán)或讀寫(xiě)出錯(cuò)等故障。遇到這種情況，只需用清洗盤(pán)清洗磁頭，一般情況下都能

排隊(duì)故障。如果污染特別嚴(yán)重，需要將軟驅(qū)拆開(kāi)，用清洗液手工清洗。

5.關(guān)于CMOS的問(wèn)題眾所周知,CMOS中所存儲(chǔ)的信息對(duì)計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)是十分重要

的，在微機(jī)啟動(dòng)時(shí)總是先要按CMOS中的信息來(lái)檢測(cè)和初始化系統(tǒng)（當(dāng)然是最基本的初始

化）。在486以上的主板里，大都有一個(gè)病毒監(jiān)測(cè)開(kāi)關(guān)，用戶(hù)一般情況下都設(shè)置為"ON",這時(shí)

如果安裝WINDOWS95,就會(huì)發(fā)生死機(jī)現(xiàn)象。原因是安裝WINDOWS95時(shí)，安裝程序會(huì)修

改硬盤(pán)的引導(dǎo)部分、系統(tǒng)的內(nèi)部中斷和中斷向量表，而病毒監(jiān)測(cè)程序不允許這樣做，于是就

導(dǎo)致了死機(jī)。建議用戶(hù)在安裝新系統(tǒng)時(shí)，先把CMOS中病毒監(jiān)測(cè)開(kāi)關(guān)關(guān)掉。另外，系統(tǒng)的

引導(dǎo)速度和一些程序的運(yùn)行速度減慢也可能與CMOS有關(guān)，因?yàn)镃MOS的高級(jí)設(shè)置中有一

些影子內(nèi)存開(kāi)關(guān)，這也會(huì)影響系統(tǒng)的運(yùn)行速度。

三、與病毒現(xiàn)象類(lèi)似的軟件故障

軟件故障的范圍比較廣泛，問(wèn)題出現(xiàn)也比較多。對(duì)軟件故障的辨認(rèn)和解決也是一件很難

的事情，它需要用戶(hù)有相當(dāng)?shù)能浖R(shí)和豐富的上機(jī)經(jīng)驗(yàn)。這里介紹一些常見(jiàn)的癥狀。

1.出現(xiàn)"Invaliddrivespecification"（非法驅(qū)動(dòng)器號(hào)）

這個(gè)提示是說(shuō)明用戶(hù)的驅(qū)動(dòng)器丟失，如果用戶(hù)原來(lái)?yè)碛羞@個(gè)驅(qū)動(dòng)器，則可能是這個(gè)驅(qū)動(dòng)

器的主引導(dǎo)扇區(qū)的分區(qū)表參數(shù)破壞或是磁盤(pán)標(biāo)志50AA被修改。遇到這種情況用DEBUG或

NORTON等工具軟件將正確的主引導(dǎo)扇區(qū)信息寫(xiě)入磁盤(pán)的主引導(dǎo)扇區(qū)。

2.軟件程序己被破壞（非病毒）

由于磁盤(pán)質(zhì)量等問(wèn)題，文件的數(shù)據(jù)部分丟失，而這程序還能夠運(yùn)行，這時(shí)使用就會(huì)出現(xiàn)

不正?，F(xiàn)象，如Format程序被破壞后，若繼續(xù)執(zhí)行，會(huì)格式化出非標(biāo)準(zhǔn)格式的磁盤(pán)，這樣就

會(huì)產(chǎn)生一連串的錯(cuò)誤。但是這種問(wèn)題極為罕見(jiàn)。

3.DOS系統(tǒng)配置不當(dāng)

DOS操作系統(tǒng)在啟動(dòng)時(shí)會(huì)去查找其系統(tǒng)配置文件CONFIGSYS,并按其要求配置運(yùn)行環(huán)

境。如果系統(tǒng)環(huán)境設(shè)置不當(dāng)會(huì)造成某些軟件不能正常運(yùn)行，如CC++語(yǔ)言系統(tǒng)、AUTOCAD

等等。原因是這些程序運(yùn)行時(shí)打開(kāi)的文件過(guò)多，超過(guò)系統(tǒng)默認(rèn)值。

4.軟件與DOS版本的兼容性

DOS操作系統(tǒng)自身的特點(diǎn)是具有向下的兼容性。但軟件卻不同，許多軟件都要過(guò)多地受

其環(huán)境的限制，在某個(gè)版本下可正常運(yùn)行的軟件，到另一個(gè)DOS版本下卻不能正常運(yùn)行，許

多用戶(hù)就懷疑是病毒引起的。如舊版的2.13漢字系統(tǒng)，在DOS3.30下運(yùn)行正常，而在

DOS6.2下運(yùn)行會(huì)出現(xiàn)亂碼現(xiàn)象。

5.引導(dǎo)過(guò)程故障

系統(tǒng)引導(dǎo)時(shí)屏幕顯示"Missingoperatingsystem"（操作系統(tǒng)丟失），故障原因是硬盤(pán)的主

引導(dǎo)程序可完成引導(dǎo)，但無(wú)法找到DOS系統(tǒng)的引導(dǎo)記錄。造成這種現(xiàn)象的原因是C盤(pán)無(wú)引導(dǎo)

記錄及DOS系統(tǒng)文件，或CMOS中硬盤(pán)的類(lèi)型與硬盤(pán)本身的格式化時(shí)的類(lèi)型不同。需要將

系統(tǒng)文件傳遞到C盤(pán)上或修改CMOS配置使系統(tǒng)從軟盤(pán)上引導(dǎo)。

6.用不同的編輯軟件程序

用戶(hù)用一些編輯軟件編輯源程序，編輯系統(tǒng)會(huì)在文件的特殊地方做上一些標(biāo)記。這樣當(dāng)

源程序編譯或解釋執(zhí)行時(shí)就會(huì)出錯(cuò)。例如，用WPS的N命令編輯的文本文件，在其頭部也

有版面參數(shù),有的程序編譯或解釋系統(tǒng)卻不能將之與源程序分辨開(kāi)，這樣就出現(xiàn)了錯(cuò)誤。

7.有關(guān)FOXBASE問(wèn)題

經(jīng)常使用FOXBASE的用戶(hù)可能會(huì)發(fā)現(xiàn)在磁盤(pán)中會(huì)生成一些"S"字符或數(shù)字命名的文件,

還會(huì)發(fā)現(xiàn)某些數(shù)據(jù)庫(kù)文件數(shù)據(jù)丟失。這一現(xiàn)象與計(jì)算機(jī)病毒極為相似，其實(shí)造成這一現(xiàn)象的

主要原因是用戶(hù)在使用FOXBASE后，沒(méi)有后退到DOS狀態(tài)就關(guān)掉機(jī)器，或在使用

FOXBASE中途掉。建議用戶(hù)在使用FOXBASE后返回到DOS狀態(tài)后才關(guān)機(jī)，否則不但會(huì)

造成上述現(xiàn)象，并且會(huì)對(duì)磁盤(pán)造成損壞。

在學(xué)習(xí)、使用計(jì)算機(jī)的過(guò)程中，可能還會(huì)遇到許許多多與病毒現(xiàn)象相似的軟硬件故障,

所以用戶(hù)要多閱讀、參考有關(guān)資料，了解檢測(cè)病毒的方法，并注意在學(xué)習(xí)、工作中積累經(jīng)驗(yàn),

就不難區(qū)分病毒與軟硬件故障了。

防御計(jì)算機(jī)病毒十大必知步驟

近II全球計(jì)算機(jī)病毒猖獗，怎樣有效防御計(jì)算機(jī)病毒、蠕蟲(chóng)和特洛伊木馬呢？請(qǐng)?jiān)敿?xì)閱讀以

下十大必知步驟：

1、用常識(shí)進(jìn)行判斷

決不打開(kāi)來(lái)歷不明郵件的附件或你并未預(yù)期接到的附件o對(duì)看來(lái)可疑的郵件附件要自覺(jué)

不予打開(kāi)。千萬(wàn)不可受騙，認(rèn)為你知道附件的內(nèi)容，即使附件看來(lái)好象是.jpg文件-因?yàn)?/p>

Windows允許用戶(hù)在文件命名時(shí)使用多個(gè)后綴，而許多電子郵件程序只顯示第一個(gè)后綴，例

如，你看到的郵件附件名稱(chēng)是wow.jpg,而它的全名實(shí)際是wow.jpg.vbs,打開(kāi)這個(gè)附件意味

著運(yùn)行一個(gè)惡意的VBScript病毒，而不是你的.jpg察看器。

2、安裝防病毒產(chǎn)品并保證更新最新的病毒定義碼

建議你至少每周更新一次病毒定義碼，因?yàn)榉啦《拒浖挥凶钚虏抛钣行АＰ枰嵝涯?/p>

的是，你所是購(gòu)買(mǎi)的諾頓防病毒軟件，不僅是更新病毒定義碼，而且同時(shí)更新產(chǎn)品的引擎，

這是與其它防病毒軟件所不一樣的。這樣的好處在于，可以滿(mǎn)足新引擎在偵破和修復(fù)方面的

需要，從而有效地抑制病毒和蠕蟲(chóng)。例如，賽門(mén)鐵克的所有產(chǎn)品中都有“實(shí)時(shí)更新”

(LiveUpdate)功能。

3、首次安裝防病毒軟件時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描

當(dāng)你首次在計(jì)算機(jī)上安裝防病毒軟件時(shí)，一定要花費(fèi)些時(shí)間對(duì)機(jī)器做一次徹底的病毒掃

描，以確保它尚未受過(guò)病毒感染。功能先進(jìn)的防病毒軟件供應(yīng)商現(xiàn)在都已將病毒掃描做為自

動(dòng)程序，當(dāng)用戶(hù)在初裝其產(chǎn)品時(shí)自動(dòng)執(zhí)行。4、插入軟盤(pán)、光盤(pán)和其他可插拔介質(zhì)前，一定

對(duì)它們進(jìn)行病毒掃描。

確保你的計(jì)算機(jī)對(duì)插入的軟盤(pán)、光盤(pán)和其他的可插拔介質(zhì)，及對(duì)電子郵件和互聯(lián)網(wǎng)文件

都會(huì)做自動(dòng)的病毒檢查。

5、不要從任何不可靠的渠道下載任何軟件

這一點(diǎn)比較難于做到，因?yàn)橥ǔＮ覀儫o(wú)法判斷什么是不可靠的渠道。比較容易的做法是

認(rèn)定所有較有名氣的在線(xiàn)圖書(shū)館未受病毒感染，但是提供軟件下載的網(wǎng)站實(shí)在太多了，我們

無(wú)法肯定它們一定都采取了防病毒的措施，所以比較保險(xiǎn)的辦法是對(duì)安全下載的軟件在安裝

前先做病毒掃描。

6、警惕欺騙性的病毒

如果你收到?封來(lái)自朋友的郵件，聲稱(chēng)有一個(gè)最具殺傷力的新病毒，并讓你將這封警告

性質(zhì)的郵件轉(zhuǎn)發(fā)給你所有認(rèn)識(shí)的人，這十有八九是欺騙性的病毒。建議你訪(fǎng)問(wèn)防病毒軟件供

應(yīng)商，如賽門(mén)鐵克的網(wǎng)站/avcenter,證實(shí)確有其事。這些欺騙性的病毒，

不僅浪費(fèi)收件人的時(shí)間，而且可能與其聲稱(chēng)的病毒一樣有殺傷力。

7、使用其它形式的文檔，如.rtf(RichTextFormat)和.pdf(PortableDocumentFormat)

常見(jiàn)的宏病毒使用MicrosoftOffice的程序傳播，減少使用這些文件類(lèi)型的機(jī)會(huì)將降低

病毒感染風(fēng)險(xiǎn)。嘗試用RichText存儲(chǔ)文件，這并不表明僅在文件名稱(chēng)中用.rtf后綴，而是要

在MicrosoftWord中，用“另存為”指令，在對(duì)話(huà)框中選擇RichText形式存儲(chǔ)。盡管RichText

Format依然可能含有內(nèi)嵌的對(duì)象，但它本身不支持VisualBasicMacros或Jscript,而pdf文

件不僅是跨平臺(tái)的，而且更為安全。當(dāng)然，這也不是能夠徹底避開(kāi)病毒的萬(wàn)全之計(jì)。

8、不要用共享的軟盤(pán)安裝軟件，或者更為糟糕的是復(fù)制共享的軟盤(pán)

這是導(dǎo)致病毒從一臺(tái)機(jī)器傳播到另一臺(tái)機(jī)器的方式。同時(shí)，該軟件沒(méi)有注冊(cè)也會(huì)被認(rèn)為

是非正版軟件，而我們基本可以較為合理地推斷，復(fù)制非法軟件的人般對(duì)版權(quán)法和合法使

用軟件并不在乎，同樣，他們對(duì)安裝和維護(hù)足夠的病毒防護(hù)措施也不會(huì)太在意。盜版軟件是

病毒傳染的最主要渠道。

9、禁用WindowsScriptingHost

WindowsScriptingHost(WSH)運(yùn)行各種類(lèi)型的文本，但基本都是VBScript或Jscript。

換句話(huà)說(shuō),WindowsScriptingHost在文本語(yǔ)言之間充當(dāng)翻譯的角色，該語(yǔ)言可能支持ActiveX

Scripting界面,包括VBScript,Jscript或Perl,及所有Windows的功能,包括訪(fǎng)問(wèn)文件夾、

文件快捷方式、網(wǎng)絡(luò)接入和Windows注冊(cè)等。許多病毒/蠕蟲(chóng)，如Bubbleboy和KAK.worm

使用WindowsScriptingHost,無(wú)需用戶(hù)點(diǎn)擊附件，就可自動(dòng)打開(kāi)一個(gè)被感染的附件。

10、使用基于客戶(hù)端的防火墻或過(guò)濾措施

如果你使用互聯(lián)網(wǎng)，特別是使用寬帶，并總是在線(xiàn)，那就非常有必要用個(gè)人防火墻保護(hù)

你的隱私并防止不速之客訪(fǎng)問(wèn)你的系統(tǒng)。如果你的系統(tǒng)沒(méi)有加設(shè)有效防護(hù)，你的家庭地址、

信用卡號(hào)碼和其它個(gè)人信息都有可能被竊取。

端口?木馬?安全.掃描應(yīng)用知識(shí)

一）、端口的一般含義

說(shuō)到端口，這確實(shí)是個(gè)老話(huà)題，但一切都是從它開(kāi)始的，不得不說(shuō)。何謂端口，打個(gè)比

方，你住在一座房子里，想讓別人來(lái)拜訪(fǎng)你，得在房子上開(kāi)個(gè)大門(mén)，你養(yǎng)了個(gè)可愛(ài)的小貓，

為了它的進(jìn)出，專(zhuān)門(mén)給它修了個(gè)小門(mén)，為了到后花園，又開(kāi)了個(gè)后門(mén)……所有這些為了進(jìn)到

這所房子里而開(kāi)的門(mén)我們叫它端口，這些為了別人進(jìn)來(lái)而開(kāi)的端口稱(chēng)它為“服務(wù)端口"。

你要拜訪(fǎng)一個(gè)叫張三的人，張三家應(yīng)該開(kāi)了個(gè)允許你來(lái)的門(mén)服務(wù)端口，否則將被

拒之門(mén)外。去時(shí)，首先你在家開(kāi)個(gè)"門(mén)"，然后通過(guò)這個(gè)"門(mén)"徑直走進(jìn)張三家的大門(mén)。為了訪(fǎng)

問(wèn)別人而在自己的房子開(kāi)的“門(mén)"，我們稱(chēng)它為"客戶(hù)端口"。它是隨機(jī)開(kāi)的而且是主動(dòng)打開(kāi)的,

訪(fǎng)問(wèn)完就自行關(guān)閉了。它和服務(wù)端口性質(zhì)是不一樣的,服務(wù)端口是開(kāi)了個(gè)門(mén)等著別人來(lái)訪(fǎng)問(wèn)，

而客戶(hù)端口是主動(dòng)打開(kāi)一個(gè)門(mén)去打開(kāi)別人的門(mén)，這點(diǎn)一定要清楚。

卜面我們從專(zhuān)業(yè)的角度再簡(jiǎn)單解釋一下端口的概念。聯(lián)網(wǎng)的計(jì)算機(jī)要能相互通信必須用

同一種協(xié)議，協(xié)議就是計(jì)算機(jī)通信的語(yǔ)言，計(jì)算機(jī)之間必須說(shuō)一種語(yǔ)言才能彼此通信，

Internet的通用語(yǔ)言是TCP/TP,它是一組協(xié)議，它規(guī)定在網(wǎng)絡(luò)的第四層運(yùn)輸層有兩種協(xié)議

TCP、UDPo端口就是這兩個(gè)協(xié)議打開(kāi)的，端口分為源端口和目的端口，源端口是本機(jī)打

開(kāi)的，目的端口是正在和本機(jī)通信的另一臺(tái)計(jì)算機(jī)的端口，源端口分主動(dòng)打開(kāi)的客戶(hù)端口和

被動(dòng)連接的服務(wù)端口兩種。在Internet中，你訪(fǎng)問(wèn)一個(gè)網(wǎng)站時(shí)就是在本機(jī)開(kāi)個(gè)端口去連網(wǎng)站

服務(wù)器的一個(gè)端口，別人訪(fǎng)問(wèn)你時(shí)也是如此。也就是說(shuō)計(jì)算機(jī)的通訊就像我們互相串門(mén)?樣,

從這個(gè)門(mén)走進(jìn)哪個(gè)門(mén)。

當(dāng)你裝好系統(tǒng)后默認(rèn)就開(kāi)了很多“服務(wù)端口"。如何知道自己的計(jì)算機(jī)系統(tǒng)開(kāi)了那些端口

呢？這就是下面要說(shuō)的：

二）、查看端口的方法

1、命令方式

下面以WindowsXP為例看看新安裝的系統(tǒng)都開(kāi)了那些端口，也就是說(shuō)都預(yù)留了那些

門(mén)，不借助任何工具來(lái)查看端口的命令是netstat,方法如下：

a、如圖1,在"開(kāi)始"的"運(yùn)行"處鍵入cmd,回車(chē)

3兇

語(yǔ)鍵入程序、文件夾、文檔或Internet資源的名

/_/痂1Windows將為您打開(kāi)它。

打開(kāi)?）：|cdm|-3

確定I取消I瀏覽⑻…I

圖1

b、在dos命令界面，鍵入netstat-na,圖2顯示的就是打開(kāi)的服務(wù)端口，其中Proto

代表協(xié)議，該圖中可以看出有TCP和UDP兩種協(xié)議。LocalAddress代表本機(jī)地址，該地

址冒號(hào)后的數(shù)字就是開(kāi)放的端口號(hào)。ForeignAddress代表遠(yuǎn)程地址，如果和其它機(jī)器正在

通信，顯示的就是對(duì)方的地址，State代表狀態(tài)，顯示的LISTENING表示處于偵聽(tīng)狀態(tài)，

就是說(shuō)該端口是開(kāi)放的，等待連接，但還沒(méi)有被連接。就像你房子的門(mén)已經(jīng)敞開(kāi)了，但此時(shí)

還沒(méi)有人進(jìn)來(lái)。以第一行為例看看它的意思。

TCP:135:0LISTENING

這一行的意思是本機(jī)的135端口正在等待連接。注意：只有TCP協(xié)議的服務(wù)端口才能

處于LISTENING狀態(tài)。

\DocunentsandSettings\jc>netstat-na

letiueConnections

ProtoLocalAddressForeignAddressState

TCP0.0.0.0:13500.0.0：0LISTENING

TCP0.0.0.0:44500.0.0：0LISTENING

TCP0.0.0.0:102500.0.0：0LISTENING

TCP0.0.0.0:500000.0.0：0LISTENING

TCP192.168.113.117:13900.0.0：0LISTENING

UDP0.0.0.0:135共

UDP0.0.0.0:445*M

UDP0.0.0.0:500共X

UDP0.0.0.0:1026M

UDP127.0.0.1:123*

UDP127.0.0.1:1900

UDP192.168.113.117:123*

UDP192.168.113,117:137興

UDP192.168.113.117:138■M*

UDP192.168.113.117:1900?M

圖2

2、用TCPView工具

為了更好的分析端口，最好用TCPView這個(gè)軟件,該軟件很小只有93KB,而且是個(gè)綠

色軟件，不用安裝。

圖3是TCPView的運(yùn)行界面。第一次顯示時(shí)字體有些小，在"Options"->"Font"中將字

號(hào)調(diào)大即可。TCPView顯示的數(shù)據(jù)是動(dòng)態(tài)的。圖3中LocalAddress顯示的就是本機(jī)開(kāi)放

的哪個(gè)端口（：號(hào)后面的數(shù)字），TCPView可以看出哪個(gè)端口是由哪個(gè)程序發(fā)起的。從圖

3可以看出445、139、1025、135、5000等端口是開(kāi)放的，445、139等端口都是system

發(fā)起的，135等都是SVCHOST發(fā)起的。

ATCPView-Sysinternals:vw.sysinternals.COBI

PileOptionsProcessViewHelp

Q公T國(guó)

ProcettProtocoi/LocalAddieuRemoteAddie$$Stale

二］System:4TCP0.00.0:4450.Q0.00USTENING

Z3System:4TCP192.16811311713900000LISTENING

OSVCHOSTEXE936TCP0.000:102500000LISTENING

ZJSVCHOSTEXE864TCPO.OQO:135OQO.OOLISTENING

□SVCHOSTEXE1160TCP0.000:5000000.00USTENING

ZJSystem:4UDP0.0.00:445

Z3System:4UDP192168.111117:137

Z2System:4UDP192168.113.117138

iZJSVCHOSTEXE936UDP1270.01:123

CjSVCHOSTEXE936UDP192168113117123

3SVCHOSTEXE1160UDP1270.01:1900

口SVCHOSTEXE1160UDP1921681131171900

□LSASS.EXE700UDPO.OQO:500

圖3

三）、研究端U的目的：

1、知道本機(jī)開(kāi)了那些端口，也就是可以進(jìn)入到木機(jī)的"門(mén)"有幾個(gè)，都是誰(shuí)開(kāi)的？

2、目前本機(jī)的端口處于什么狀態(tài)，是等待連接還是已經(jīng)連接，如果是已經(jīng)連接那就要

特別注意看連接是個(gè)正常連接還是非正常連接（木馬等）？

3,目前本機(jī)是不是正在和其它計(jì)算機(jī)交換數(shù)據(jù)，是正常的程序防問(wèn)到一個(gè)正常網(wǎng)站還

是訪(fǎng)問(wèn)到一個(gè)陷阱？

當(dāng)你上網(wǎng)時(shí)就是本機(jī)和其它機(jī)器傳遞數(shù)據(jù)的過(guò)程，要傳遞數(shù)據(jù)必須要用到端口，即使是

有些非常高明的木馬利用正常的端口傳送數(shù)據(jù)也不是了無(wú)痕跡的，數(shù)據(jù)在開(kāi)始傳輸、正在傳

輸和結(jié)束傳輸?shù)牟煌A段都有各自的狀態(tài)，要想搞明白上述3個(gè)問(wèn)題，就必須清楚端口的

狀態(tài)變化。下面結(jié)合實(shí)例先分析服務(wù)端口的狀態(tài)變化。只有TCP協(xié)議才有狀態(tài)，UDP協(xié)議

是不可靠傳輸，是沒(méi)有狀態(tài)的。

四）、服務(wù)端口的狀態(tài)變化

先在本機(jī)（IP地址為：0）配置FTP服務(wù)，然后在其它計(jì)算機(jī)（IP地址為：

）訪(fǎng)問(wèn)FTP服務(wù)，從TCPView看看端口的狀態(tài)變化。

下面黑體字顯示的是從TCPView中截取的部分。

1、LISTENING狀態(tài)

FTP服務(wù)啟動(dòng)后首先處于偵聽(tīng)(LISTENING)狀態(tài)。

State顯示是LISTENING時(shí)表示處于偵聽(tīng)狀態(tài)，就是說(shuō)該端口是開(kāi)放的，等待連接，

但還沒(méi)有被連接。就像你房子的門(mén)已經(jīng)敞開(kāi)的，但還沒(méi)有人進(jìn)來(lái)。

從TCPView可以看出本機(jī)開(kāi)放FTP的情況。它的意思是:程序inetinfo.exe開(kāi)放了21

端口，F(xiàn)TP默認(rèn)的端口為21,可見(jiàn)在本機(jī)開(kāi)放了FTP服務(wù)。目前正處于偵聽(tīng)狀態(tài)。

inetinfo.exe:1260TCP:210.0.0,0:0LISTENING

2,ESTABLISHEDM

現(xiàn)在從這臺(tái)計(jì)算機(jī)訪(fǎng)問(wèn)一下0的FTP服務(wù)。在本機(jī)的

TCPView可以看出端口狀態(tài)變?yōu)镋STABLISHED,

ESTABLISHED的意思是建立連接。表示兩臺(tái)機(jī)器正在通信。

下面顯示的是本機(jī)的FTP服務(wù)正在被這臺(tái)計(jì)算機(jī)訪(fǎng)問(wèn)。

inetinfo.exe:1260TCP0:21:3009ESTABLISHED

注意：處于ESTABLISHED狀態(tài)的連接一定要格外注意，因?yàn)樗苍S不是個(gè)正常連接。

后面我們要講到這個(gè)問(wèn)題。

3、TIME_WAn'狀態(tài)

現(xiàn)在從這臺(tái)計(jì)算機(jī)結(jié)束訪(fǎng)問(wèn)0的FTP服務(wù)。在本機(jī)的

TCPView可以看出端口狀態(tài)變?yōu)門(mén)IME_WAIT,

TIME_WAR"的意思是結(jié)束了這次連接。說(shuō)明21端口曾經(jīng)有過(guò)訪(fǎng)問(wèn)，但訪(fǎng)問(wèn)結(jié)束了。

[SystemProcess]:0TCP0:21:3009TIME_WAIT

4、小技巧

a、可以telnet一個(gè)開(kāi)放的端口，來(lái)觀(guān)察該端口的變化。比如看1025端口是開(kāi)放的，

在命令狀態(tài)(如圖1運(yùn)行cmd)運(yùn)行：

telnet01025

b、從本機(jī)也可以測(cè)試，只不過(guò)顯示的是本機(jī)連本機(jī)

c、在Tcpview中雙擊連接可看出程序的位置，右鍵點(diǎn)擊該連接，選擇EndProcess即

可結(jié)束該連接

五）、客戶(hù)端口的狀態(tài)變化

客戶(hù)端口實(shí)際上就是從本機(jī)訪(fǎng)問(wèn)其它計(jì)算機(jī)服務(wù)時(shí)打開(kāi)的源端口，最多的應(yīng)用是上網(wǎng)，

下面就以訪(fǎng)問(wèn)為例來(lái)看看端口開(kāi)放以及狀態(tài)的變化情況。

1、SYN_SENT狀態(tài)

SYN_SENT狀態(tài)表示請(qǐng)求連接，當(dāng)你要訪(fǎng)問(wèn)其它的計(jì)算機(jī)的服務(wù)時(shí)首先要發(fā)個(gè)同步信

號(hào)給該端口，止匕時(shí)狀態(tài)為SYN_SENT,如果連接成功了就變?yōu)镋STABLISHED,此時(shí)

SYN一SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN一SENT非常多且在向不同的機(jī)器發(fā)出，那你

的機(jī)器可能中了沖擊波或震蕩波之類(lèi)的病毒了。這類(lèi)病毒為了感染別的計(jì)算機(jī)，它就要掃

描別的計(jì)算機(jī)，在掃描的過(guò)程中對(duì)每個(gè)要掃描的計(jì)算機(jī)都要發(fā)出了同步請(qǐng)求，這也是出現(xiàn)

許多SYN_SENT的原因。

下面顯示的是本機(jī)連接網(wǎng)站時(shí)的開(kāi)始狀態(tài)，如果你的網(wǎng)絡(luò)正常的，那

很快就變?yōu)镋STABLISHED的連接狀態(tài)。

EXPLORE.EXE:2928TCP0:103549:80SYN_SENT

2、ESTABLISHED狀態(tài)

下面顯示的是本機(jī)正在訪(fǎng)問(wèn)網(wǎng)站。如果你訪(fǎng)問(wèn)的網(wǎng)站有許多內(nèi)容比如

訪(fǎng)問(wèn),那會(huì)發(fā)現(xiàn)一個(gè)地址有許多ESTABLISHED,這是正常的，網(wǎng)站中的

每個(gè)內(nèi)容比如圖片、flash等都要單獨(dú)建立一個(gè)連接。看ESTABLISHED狀態(tài)時(shí)一定要注

意是不是IEXPLORE.EXE程序（IE）發(fā)起的連接，如果是EXPLORE.EXE之類(lèi)的程序發(fā)

起的連接，那也許是你的計(jì)算機(jī)中了木馬了。

IEXPLORE.EXE:3120TCP0:104549:80ESTABLISHED

3、TIME_WAIT》大態(tài)

如果瀏覽網(wǎng)頁(yè)完畢，那就變?yōu)門(mén)IME_WAIT狀態(tài)。

[SystemProcess]:0TCP0:425949:80TIME_WAIT

六）、端口詳細(xì)變遷圖

以上是最主要的幾個(gè)狀態(tài)，實(shí)際還有一些，圖4是TCP的狀態(tài)詳細(xì)變遷圖（從TCP/IP

詳解中剪來(lái)），用粗的實(shí)線(xiàn)箭頭表示正常的客戶(hù)端狀態(tài)變遷，用粗的虛線(xiàn)箭頭表示正常的服

務(wù)器狀態(tài)變遷。這些不在本文的討論范圍。有興趣的朋友可以好好研究一下。

升力

CLOSED

應(yīng)用進(jìn)程被動(dòng)打開(kāi)

發(fā)送：無(wú)

USTEN

被動(dòng)打開(kāi)

匹

收SYN、回用進(jìn)程關(guān)閉

(SYN^可片SYN_SENT）-----------------?

發(fā)：SYNJKCF主動(dòng)打開(kāi)或超時(shí)

同時(shí)打開(kāi)

應(yīng)用進(jìn)程:關(guān)閉

收FIN

發(fā)：FIN

發(fā):ACK

故據(jù)傳送狀態(tài)應(yīng)用進(jìn)J關(guān)閉

發(fā)：；HN

/~tJ收:ACK

收：FINJ嗣至詡、

(FIN.WAIT.l■(^CLOSING

發(fā)ACK----------------J發(fā)送：無(wú)

久

收:ACK收:ACK被動(dòng)關(guān)閉

發(fā)送:無(wú)發(fā)送無(wú)

()收：

HN_&T2FINTIME,WArf)-4-

v

------'發(fā)ACK:MSL卻:

主動(dòng)關(guān)閉

一■說(shuō)明客戶(hù)的正常狀態(tài)變遷

?一?說(shuō)明服務(wù)器的正常狀態(tài)變遷

應(yīng)用進(jìn)程:說(shuō)明當(dāng)應(yīng)用執(zhí)行某種操作時(shí)發(fā)生的狀態(tài)變遷

收:說(shuō)明當(dāng)收到TCPffi文段時(shí)狀態(tài)的變遷

發(fā):說(shuō)明為了進(jìn)行某個(gè)狀態(tài)變遷要發(fā)送的TCP報(bào)文網(wǎng)

圖4TCP的狀態(tài)變遷圖

七）、要點(diǎn)

一般用戶(hù)一定要熟悉（再啰嗦幾句）：

1、服務(wù)端口重點(diǎn)要看的是LISTENING狀態(tài)和ESTABLISHED狀態(tài)，LISTENING是

本機(jī)開(kāi)了哪些端口，ESTABLISHED是誰(shuí)在訪(fǎng)問(wèn)你的機(jī)器，從哪個(gè)地址訪(fǎng)問(wèn)的。

2、客戶(hù)端口的SYN_SENT狀態(tài)和ESTABLISHED狀態(tài)，SYN_SENT是本機(jī)向其它

計(jì)算機(jī)發(fā)出的連接請(qǐng)求，一般這個(gè)狀態(tài)存在的時(shí)間很短，但如果本機(jī)發(fā)出了很多

SYN_SENT,那可能就是中毒了?？碋STABLISHED狀態(tài)是要發(fā)現(xiàn)本機(jī)正在和哪個(gè)機(jī)器傳

送數(shù)據(jù)，主要看是不是一個(gè)正常程序發(fā)起的。

二、木馬

什么是木馬，簡(jiǎn)單的說(shuō)就是在未經(jīng)你許可偷偷在你的計(jì)算機(jī)中開(kāi)個(gè)后門(mén)，木馬開(kāi)后門(mén)主

要有兩種方式。

1、有服務(wù)端口的木馬，這類(lèi)木馬都要開(kāi)個(gè)服務(wù)端口的后門(mén)，成功后該后門(mén)處于

LISTENING狀態(tài)，它的端口號(hào)可能固定--個(gè)數(shù)，也可能變化，還有的木馬可以與正常的端

口合用，例如你開(kāi)著正常的80端口（WEB服務(wù)），木馬也用80端口。這種木馬最大的特

點(diǎn)就是有端口處于LISTENING狀態(tài)，需要遠(yuǎn)程計(jì)算機(jī)連接它。這種木馬對(duì)?般用戶(hù)比較好

防范，將防火墻設(shè)為拒絕從外到內(nèi)的連接即可。比較難防范的是反彈型木馬。

2、反彈型木馬，反彈型木馬是從內(nèi)向外的連接，它可以有效的穿透防火墻，而且即使

你使用的是內(nèi)網(wǎng)IP，他一樣也能訪(fǎng)問(wèn)你的計(jì)算機(jī)。這種木馬的原理是服務(wù)端主動(dòng)連接客戶(hù)

端（黑客）地址。木馬的服務(wù)端軟件就像你的InternetExplorer一樣，使用動(dòng)態(tài)分配端口去

連接客戶(hù)端的某一端口，通常是常用端口，像端口80。而且會(huì)使用隱避性較強(qiáng)的文件名，

像iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。如果你不仔細(xì)看,你可能會(huì)以

為是你的InternetExplorer。這樣你的防火墻也會(huì)被騙過(guò)。如果你在TcpView中看到下面這

樣的連接一定要注意，很有可能是種木馬了。iexpiore.exe0（本機(jī)IP）：1035

（你的端口）Y.Y.Y.Y（遠(yuǎn)程IP）：80（遠(yuǎn)程端口）

或Rundll32.exe0（本機(jī)IP）：1035（你的端口）Y.Y.Y.Y（遠(yuǎn)程IP）：80

（遠(yuǎn)程端口）

或explorer.exe0（本機(jī)IP）：1035（你的端口）Y.Y.Y.Y（遠(yuǎn)程IP）：80

（遠(yuǎn)程端口）

三、安全

我們分析端U的目的就是要保證上網(wǎng)安全，根據(jù)以上的思路可以從以下幾個(gè)方面來(lái)防

范。

?）、關(guān)閉不需要的端口

對(duì)一般上網(wǎng)用戶(hù)來(lái)說(shuō)只要能訪(fǎng)問(wèn)Internet就行了，并不需要?jiǎng)e人來(lái)訪(fǎng)問(wèn)你，也就是說(shuō)沒(méi)

有必要開(kāi)放服務(wù)端口，在WIN98可以做到不開(kāi)放任何服務(wù)端口上網(wǎng)，但在WinXP、Win

2000、Win2003下不行，但可以關(guān)閉不必要的端口。圖3是安裝完WINXP系統(tǒng)默認(rèn)開(kāi)的

端口，以此為例關(guān)閉不必要的端口。

1、關(guān)閉137、138、139、445端口

這幾個(gè)端口都是為共享而開(kāi)的，是NetBios協(xié)議的應(yīng)用，一般上網(wǎng)用戶(hù)是不需要?jiǎng)e人來(lái)

共享你的內(nèi)容的，而且也是漏洞最多的端口。關(guān)閉的方法很多，最近從網(wǎng)上學(xué)了一招非常好

用，一次全部關(guān)閉上述端口。

開(kāi)始，控制面板，系統(tǒng)->硬件->設(shè)備管理器，查看->顯示隱藏的設(shè)備，非即插即用

驅(qū)動(dòng)程序->NetbiosoverTcpip。

找到圖5界面后禁用該設(shè)備重新啟動(dòng)后即可。

am

圖5

2、關(guān)閉123端口

有些蠕蟲(chóng)病毒可利用UDP123端口，關(guān)閉的方法：如圖6停止windowstime服務(wù)。

名稱(chēng)______________________________________箱城.伏海4

ViTIB*I

%E.ZNolifictU^n圖游保線(xiàn)事件，如量錄YiUoirl，網(wǎng)絡(luò)巳啟示

跑此鼠務(wù)電K?stor*S?rvice執(zhí)行系艇原動(dòng)*要停止*務(wù)，4已甑

*^T?,skSch?duler使用戶(hù)能在比計(jì)復(fù)機(jī)上配置和制定自動(dòng)己后W

名TCP/IPN?lBIOS允許對(duì)-TCF/IF上NetBIOSOhlBT)

描造

?8護(hù)在網(wǎng)格上的所有客戶(hù)SCT師務(wù)罌phony提供UH的文歷，以便程序控制本地

的時(shí)搟和日期同步.如果田艮學(xué)被停允許遠(yuǎn)程用戶(hù)道錄到此計(jì)復(fù)機(jī)井運(yùn)行程

止，時(shí)間和日期的同步將不可用.tn%S?rrtc?s允諄多位用戶(hù)連接弁控制一臺(tái)掂需.并巳啟星

果此服務(wù)渣禁用，任何刪射段￡的醇Xi”為用戶(hù)提供使用主題管理的經(jīng)驗(yàn).已月*

服務(wù)都格不能啟動(dòng).

^^Vamterropttbl*Po*erSopply管琬生捧至八十黛機(jī)的不展融電罐OTPS）.

臉Ufuv.r?lFlu<tndFlayD?vic?IUB(為主持通用因站田用或備提供克特.

Upload首愛(ài)網(wǎng)絡(luò)上客尸『和毋務(wù)船之間同步和已月元

^VolweShtdovCopy背超井執(zhí)行用于冬份和其它目的的卷影

—get便蟹于的程序能但訪(fǎng)問(wèn)巳啟星

電NintUwxAudio售出荃于d”￡的程序的言統(tǒng)設(shè)g己后反

電Y】ndexIA?C?Acqmsiticn(*1A)為掃掂儀元照》跖1再供圖0拚獲.已后W

險(xiǎn)Int<tXl?r出售包含在BSI文件中的指示聚變裝

Inxtm?ukt<tion提供共甌界面和對(duì)象模式以便3河有SJBK

%Yind”、MsysentInstn?ent?tio導(dǎo)購(gòu)晦月間交或系嫵管起信■?

Ti?ii維護(hù)在埼珞上的所有客戶(hù)端和8R靜器的

^^Yir?l?ssZ?roConfipurfttion為您的802.1：道配撼搓巨自磔圮且

圖6關(guān)閉123端口

3、關(guān)閉1900端口

攻擊者只要向某個(gè)擁有多臺(tái)WinXP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個(gè)虛假的UDP包，就可能會(huì)造

成這些WinX