計算機與網(wǎng)絡(luò)安全基礎(chǔ)

計算機與網(wǎng)絡(luò)安全基礎(chǔ)任課教師和其它信息《計算機與網(wǎng)絡(luò)安全基礎(chǔ)》課程內(nèi)容第1章計算機、黑客和網(wǎng)絡(luò)安全第2章計算機病毒第3章漏洞掃描第4章網(wǎng)絡(luò)嗅探第5章特洛伊木馬第6章DoS與DDoS第7章密碼保護第8章網(wǎng)絡(luò)應(yīng)用攻防與防范第9章無線局域網(wǎng)安全分析第10章個人計算機安全管理2第1章計算機、黑客和網(wǎng)絡(luò)安全本章目標了解計算機和網(wǎng)絡(luò)安全知識了解黑客的發(fā)展歷史了解黑客的攻擊手段樹立安全意識，掌握必備的防護知識41.1無所不在的“安全”問題

作為一名從事信息技術(shù)相關(guān)的人員，無論你的工作性質(zhì)如何，銷售、文員、技術(shù)支持、網(wǎng)絡(luò)管理員、網(wǎng)站推廣人員，還是開發(fā)工程師、硬件工程師，都必需要全面了解計算機和信息安全概念，樹立完整的計算機和網(wǎng)絡(luò)安全意識，并掌握必要的安全管理、安全攻防技術(shù)。因為在現(xiàn)代社會，面對無所不在的安全問題，如果不能保護好自己的計算機，管理好自己的信息資料，幾乎無法開展工作！只有全面掌握本課程的必要知識，才能管理好自己的信息文件，用好自己每天都離不開的兩大上班工具：計算機和互聯(lián)網(wǎng)。51.1.1計算機網(wǎng)絡(luò)安全問題的特征網(wǎng)絡(luò)安全天生脆弱黑客攻擊后果嚴重網(wǎng)絡(luò)殺手集團化破壞手段多元化61.1.2計算機網(wǎng)絡(luò)安全問題的分析社會原因技術(shù)原因管理原因71.1.3網(wǎng)絡(luò)安全問題的復(fù)雜性P2P安全問題復(fù)雜性分析垃圾郵件治理復(fù)雜性分析81.1.4計算機網(wǎng)絡(luò)的安全防范措施提高思想認識加強管理制度強化防范措施91.2黑客和黑客文化1.2.1什么是黑客

黑客一詞，源于英文單詞“hacker”，是指一些熱衷于計算機軟件和網(wǎng)絡(luò)技術(shù)的人。這些人為計算機和網(wǎng)絡(luò)世界而瘋狂，對于任何有趣的PC問題都會去研究。黑客通常具有硬件和軟件的高級知識，他們以保護網(wǎng)絡(luò)安全為目的，查找網(wǎng)絡(luò)漏洞，修改軟件BUG。他們的精神是一般人領(lǐng)悟不到的。101.2.2黑客文化的發(fā)展六十年代重大事件第一個計算機游戲軟件誕生最早的電子公告牌誕生出現(xiàn)最原始的攻擊技術(shù)Unix和互聯(lián)網(wǎng)同年誕生七十年代重大事件黑客發(fā)展史上的第一個高潮E-mail和郵件列表的出現(xiàn)第一臺蘋果機誕生第一個BBS誕生震驚世界的駭客入侵八十年代重大事件阿帕網(wǎng)由于感染病毒而徹底癱瘓著名黑客獲得計算機界最高獎第一起計算機間諜案11九十年代重大事件linux操作系統(tǒng)誕生Netscape瀏覽器問世第一起網(wǎng)上銀行劫案“互聯(lián)網(wǎng)之父”獲得美國技術(shù)勛章駭客攻擊微軟的郵件系統(tǒng)二十一世紀重大事件愛蟲病毒在全球傳播微軟又一次被駭客入侵雅虎等知名網(wǎng)站被駭客攻擊中國黑客的起源與發(fā)展121.2.3傳奇黑客13Linux奠基人李納斯·托瓦茲是Linux內(nèi)核的發(fā)明人。他利用個人的時間和機器設(shè)備創(chuàng)造出了當今全球最流行的操作系統(tǒng)內(nèi)核之一，使自由軟件從產(chǎn)業(yè)思想運動演變成為市場商業(yè)運動，從此改變了軟件行業(yè)乃至IT產(chǎn)業(yè)的面貌。Linux并不是一件刻意創(chuàng)造的杰作，而完全是日積月累的結(jié)果。它是經(jīng)驗、創(chuàng)意和一小塊一小塊代碼的合成體，是不斷的積累使其形成了一個有機的整體。Linux初期的許多編程工作是托瓦茲在SindairQL機器上完成的，這臺機器花掉了他2000多美元，對他來說這可是一筆巨額投資。14嘎吱上尉1943年出生于美國鄉(xiāng)村的德拉浦，從小就表現(xiàn)出了極強的反叛性格，這樣的性格決定了日后他那特立獨行的駭客面目。不過盡管他的個性孤辟，但是他卻擁有了一個異常發(fā)達的大腦，這使他常常可以比別人更快地獲得新的知識。上世紀60年代初期，德拉浦開始接觸到計算機這個新生的事物，盡管當時的計算機還只是個龐大、繁雜、呆板的家伙，但是這已經(jīng)足以令德拉浦迷戀得如癡如醉了。15迷失在網(wǎng)絡(luò)世界的小男孩凱文·米特尼克是第一個在美國聯(lián)邦調(diào)查局通緝海報上露面的黑客。由于當時的他只有十幾歲，因此被稱為是“迷失在網(wǎng)絡(luò)世界的小男孩”。16蠕蟲病毒的創(chuàng)始人羅伯特·莫里斯，這位美國國家計算機安全中心首席科學(xué)家的兒子，康奈爾大學(xué)的高材生，在1988年的第一次工作過程中戲劇性地散播了有史以來的第一條網(wǎng)絡(luò)蠕蟲病毒。在這次事故中，成千上萬臺電腦受到了影響，并導(dǎo)致了部分電腦崩潰。171.3黑客的能力1.3.1黑客常用的攻擊手段1.3.2用戶必備的防護意識和措施181.3.1黑客常用的攻擊手段黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的。下面為大家介紹8種黑客常用的攻擊手段。19漏洞掃描網(wǎng)絡(luò)嗅探計算機病毒特洛伊木馬DoS和DDoS密碼恢復(fù)和破解網(wǎng)絡(luò)應(yīng)用攻擊無線攻擊201.3.2用戶必備的防護意識和措施為了加強網(wǎng)絡(luò)安全，用戶必須具備相應(yīng)的防護意識和采用各種可能的措施。下面介紹一些較為常用的防護方法和措施。提高安全意識安裝防病毒軟件并及時升級安裝個人防火墻定期進行漏洞掃描及時升級操作系統(tǒng)211.4計算機和網(wǎng)絡(luò)安全認識的誤區(qū)1.誤區(qū)一 電腦安全問題就是如何查殺電腦病毒。以往的“尼姆達”、“紅色代碼”，如今的“求職信”等病毒的發(fā)作給全球計算機系統(tǒng)造成巨大損失，令人們談“毒”色變。但電腦病毒遠非PC安全課題的全部，它更包括了軟件漏洞、非法操作、文件誤刪除、系統(tǒng)物理故障等多方面的問題。現(xiàn)有的殺毒軟件還不足以從根本上解決這些計算機安全的問題。2.誤區(qū)二病毒制造者是造成計算機安全問題的主要原因。病毒制造、傳播者固然令人痛恨，但而造成病毒危害愈演愈烈的根本原因就是軟件自身的各種漏洞不斷被破壞和利用。去年給全球帶來超過30億美元損失的“紅色代碼”病毒，就是利用了微軟ISS網(wǎng)絡(luò)服務(wù)器軟件的一個漏洞大肆進行攻擊和破壞。我國著名的信息安全專家、中國工程院院士沈昌祥指出，軟件漏洞是一切信息安全問題的根源。即使沒有病毒的攻擊，它也可能給計算機的應(yīng)用帶來巨大的隱患和危險。223.誤區(qū)三 對待電腦病毒的關(guān)鍵是“殺”。對于電腦病毒，很多人都有一種深惡痛絕的感覺，恨不能把它們通通殺光。但實際上這種方式并不足取，因為殺毒軟件很有可能良莠不分，把本來合法的軟件也當作病毒一刀“喀嚓”了，這就很容易造成數(shù)據(jù)的丟失和損毀。因此，對待電腦病毒應(yīng)當是以“防”為主。4.誤區(qū)四文件被刪除后就不可恢復(fù)。不少人以為被刪除的文件從“回收站”徹底清空后就永遠消失，從而放棄了因誤刪除數(shù)據(jù)和文件后重新恢復(fù)的努力。事實上，一些全新技術(shù)，如全息技術(shù)在信息安全領(lǐng)域的運用，使得恢復(fù)被刪除、損壞的數(shù)據(jù)成為可能。5.誤區(qū)五殺毒軟件的定位就是“電腦醫(yī)生”。目前絕大多數(shù)的殺毒軟件都在扮演“事后諸葛亮”的角色，即電腦被病毒感染后殺毒軟件才忙不迭地去發(fā)現(xiàn)、分析、治療。這種被動防御的消極模式遠遠不能徹底解決計算機安全的問題。安全軟件應(yīng)該是立足于拒病毒于PC門外的“健康專家”。236.誤區(qū)六 在內(nèi)部網(wǎng)上共享的文件是安全的。其實，你在共享文件的同時就會有軟件漏洞呈現(xiàn)在互聯(lián)網(wǎng)的不速之客面前，公眾以及您的對手將可以自由地訪問您的那些文件，并很有可能被有惡意的人利用和攻擊。因此共享文件應(yīng)該設(shè)置密碼，一旦不需要共享時立即關(guān)閉。7.誤區(qū)七面對新病毒的紛紛涌現(xiàn)必須頻繁升級你的殺毒軟件?，F(xiàn)在新病毒的出現(xiàn)可謂層出不窮，因此電腦上的安裝的殺毒軟件由過去每年升級一次變成每月升級幾次，甚至可能是天天升級。這樣的結(jié)果毫無疑問就是花更多的錢和精力去和病毒“賽跑”，也使自己的硬盤和系統(tǒng)資源被越來越多地占用。電腦用戶已經(jīng)厭倦了這種枯燥乏味的重復(fù)勞動以及對新病毒無邊的恐懼。這種無休止的“道高一尺，魔高一丈”的升級大戰(zhàn)，也意味著原有的殺毒軟件技術(shù)理念已經(jīng)走到了盡頭。真正具有領(lǐng)先的反病毒技術(shù)的安全軟件是無需頻繁升級的，省錢、省力又省時。24本章總結(jié)25了解計算機和網(wǎng)絡(luò)安全知識了解黑客的發(fā)展歷史了解黑客的攻擊手段樹立安全意識，掌握必備的防護知識第2章計算機病毒本章目標了解計算機病毒的概念和特性了解計算機病毒的歷史及發(fā)展趨勢了解計算機病毒的種類熟悉蠕蟲及其他計算機病毒的特征和危害掌握計算機病毒防范的總體措施掌握常見單機版防病毒軟件的安裝和使用掌握常見網(wǎng)絡(luò)防病毒系統(tǒng)的部署掌握計算機病毒的定位和清除方法272.1計算機病毒概述2.1.1什么是計算機病毒2.1.2計算機病毒的發(fā)展2.1.3計算機病毒的種類2.1.4計算機病毒的危害282.1.1什么是計算機病毒計算機病毒是指那些具有自我復(fù)制能力的計算機程序，它能影響計算機軟件、硬件的正常運行，破壞數(shù)據(jù)的正確與完整29病毒的定義計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。30計算機病毒的產(chǎn)生病毒不是來源于突發(fā)或偶然的原因．一次突發(fā)的停電和偶然的錯誤，會在計算機的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的31計算機病毒的特點寄生性。計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。傳染性。計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。潛伏性。有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。隱蔽性。計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。破壞性。計算機中毒后，可能會導(dǎo)致正常的程序無法運行，把計算機內(nèi)的文件刪除或受到不同程度的損壞。計算機病毒的可觸發(fā)性。病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。32計算機病毒的傳染途徑通過軟盤通過硬盤通過光盤通過網(wǎng)絡(luò)33計算機病毒主要癥狀由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來,磁盤壞簇莫名其妙地增多。由于病毒程序附加在可執(zhí)行程序頭尾或插在中間,使可執(zhí)行程序容量增大。由于病毒程序把自己的某個特殊標志作為標簽,使接觸到的磁盤出現(xiàn)特別標簽。由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間,使可用系統(tǒng)空間變小。由于病毒程序的異常活動,造成異常的磁盤訪問。由于病毒程序附加或占用引導(dǎo)部分,使系統(tǒng)導(dǎo)引變慢。丟失數(shù)據(jù)和程序34中斷向量發(fā)生變化。打印出現(xiàn)問題。死機現(xiàn)象增多。生成不可見的表格文件或特定文件。系統(tǒng)出現(xiàn)異常動作,例如：突然死機,又在無任何外界介入下,自行起動。出現(xiàn)一些無意義的畫面問候語等顯示。程序運行出現(xiàn)異常現(xiàn)象或不合理的結(jié)果。磁盤的卷標名發(fā)生變化。系統(tǒng)不認識磁盤或硬盤不能引導(dǎo)系統(tǒng)等。在系統(tǒng)內(nèi)裝有漢字庫且漢字庫正常的情況下不能調(diào)用漢字庫或不能打印漢字。在使用寫保護的軟盤時屏幕上出現(xiàn)軟盤寫保護的提示。異常要求用戶輸入口令。352.1.2計算機病毒的發(fā)展計算機病毒簡史計算機病毒發(fā)展趨勢362.1.3計算機病毒的種類按照計算機病毒的載體進行分類計算機病毒按照載體不同，可以劃分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒按照計算機病毒傳染的方法進行分類計算機病毒按照傳染的方法的不同，可以劃分為駐留型病毒和非駐留型病毒按照計算機病毒特有的算法進行分類計算機病毒按照特有算法的不同，可以劃分為伴隨型病毒、蠕蟲型病毒、寄生型病毒和變型病毒其它分類

372.1.4計算機病毒的危害計算機病毒的破壞行為體現(xiàn)了病毒的危害性。目前，計算機病毒數(shù)以萬計，并不斷發(fā)展擴張，其破壞行為也是千奇百怪。382.2典型計算機病毒2.2.1蠕蟲病毒2.2.2CIH2.2.3尼姆達（Nimda）2.2.4沖擊波（Msblaster）2.2.5震蕩波（Sasser）2.2.6射線（Rays）392.2.1蠕蟲病毒蠕蟲（Worm）病毒是指通過分布式網(wǎng)絡(luò)來擴散特定的信息或錯誤、進而造成網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器響應(yīng)緩慢甚至癱瘓的病毒。在網(wǎng)絡(luò)環(huán)境中，蠕蟲病毒具有一些新的特性傳染方式多傳播速度快清除難度大破壞性強40蠕蟲是怎么發(fā)作的？如何采取有效措施防范蠕蟲？利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊傳播方式多樣病毒制作技術(shù)新與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大對個人用戶產(chǎn)生直接威脅的蠕蟲病毒個人用戶對蠕蟲病毒的防范措施選購合適的殺毒軟件經(jīng)常升級病毒庫提高防殺毒意識不隨意查看陌生郵件41蠕蟲病毒與一般病毒的異同蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”，例如，windows下可執(zhí)行文件的格式為pe格式(PortableExecutable)，當需要感染pe文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權(quán)交給宿主原來的程序指令?？梢?，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。422.2.2CIHCIH病毒簡介CIH病毒由中國臺灣的大學(xué)生陳盈豪編寫，并從臺灣傳入大陸地區(qū)。CIH以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為介質(zhì)，經(jīng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，也經(jīng)常通過軟盤或光盤進行傳播。43CIH病毒的發(fā)展歷程CIH病毒v1.0版本CIH病毒v1.1版本CIH病毒v1.2版本CIH病毒v1.3版本CIH病毒v1.4版本44感染CIH病毒的特征由于流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執(zhí)行文件中的字符串來識別是否感染了CIH病毒，搜索的特征串為“CIHv”或者是“CIHv1.”如果你想搜索更完全的特征字符串，可嘗試“CIHv1.2TTIT”、“CIHv1.3TTIT”以及“CIHv1.4TATUNG”，不要直接搜索“CIH”特征串，因為此特征串在很多的正常程序中也存在45CIH破壞作用主要表現(xiàn)在從硬盤主引導(dǎo)區(qū)開始依次往硬盤寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)全部破壞為止這種病毒對系統(tǒng)最大的殺手力在于對系統(tǒng)主板BIOS的破壞病毒發(fā)作之后拯救硬盤數(shù)據(jù)修復(fù)BIOS芯片462.2.3尼姆達（Nimda）“尼姆達”病毒2001年9月18日在全球蔓延，是一個傳播性非常強的黑客病毒。它以郵件傳播、主動攻擊服務(wù)器、即時通訊工具傳播、FTP協(xié)議傳播、網(wǎng)頁瀏覽傳播為主要的傳播手段。它能夠通過多種傳播渠道進行傳染，傳染性極強。對于個人用戶的PC機，“尼姆達”可以通過郵件、網(wǎng)上即時通訊工具和“FTP程序”同時進行傳染；對于服務(wù)器，“尼姆達”則采用和“紅色代碼”病毒相似的途徑，即攻擊微軟服務(wù)器程序的漏洞進行傳播。47它主要感染運行Windows95/98/NT/2000的客戶端和服務(wù)器。它通過E-mail、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播，同時，它也是一個感染本地文件的新型病毒。Nimda運行時，會執(zhí)行下列操作：搜索本地硬盤中Windows地址薄中的郵件地址，并向這些地址發(fā)送攜帶Nimda病毒的郵件。Nimda用其自帶的SMTP服務(wù)器向外發(fā)送郵件，同時用已經(jīng)配置好的DNS獲得一個郵件服務(wù)器的地址搜索網(wǎng)絡(luò)共享資源，并試圖將攜帶Nimda病毒的郵件放入別人的共享目錄中攻擊隨機的IP地址，如果是IIS服務(wù)器，并且未安裝補丁，就會感染該服務(wù)器。查找本地的HTM和ASP文件，將生成的攜帶Nimda病毒郵件植入這些文件中。在被感染的系統(tǒng)中共享所有本地硬盤。以超級管理員的權(quán)限建立一個Guest的訪問賬號，以允許別人進入本地的系統(tǒng)。改變Explorer的設(shè)置，讓系統(tǒng)無法顯示隱藏文件和已知文件的擴展名482.2.4沖擊波（Msblaster）沖擊波是一種蠕蟲病毒，它利用Windows系統(tǒng)的RPC漏洞進行快速傳播，波及WindowsNT4.0、Windows2000、WindowsXP、WindowsServer2003等眾多系統(tǒng)。攻擊對象：WindowsNT4.0，Windows2000，WindowsXP，WindowsServer2003等。傳播途徑：“沖擊波”是一種利用Windows系統(tǒng)的RPC(遠程過程調(diào)用，是一種通信協(xié)議，程序可使用該協(xié)議向網(wǎng)絡(luò)中的另一臺計算機上的程序請求服務(wù))漏洞進行傳播、隨機發(fā)作、破壞力強的蠕蟲病毒。它不需要通過電子郵件(或附件)來傳播，更隱蔽，更不易察覺。它使用IP掃描技術(shù)來查找網(wǎng)絡(luò)上操作系統(tǒng)為Windows2000/XP/2003的計算機，一旦找到有漏洞的計算機，它就會利用DCOM(分布式對象模型，一種協(xié)議，能夠使軟件組件通過網(wǎng)絡(luò)直接進行通信)RPC緩沖區(qū)漏洞植入病毒體以控制和攻擊該系統(tǒng)。49沖擊波病毒具有如下特征沖擊波病毒程序用UPX壓縮，僅有6K。較小的體積是能讓其在網(wǎng)絡(luò)上快速傳播的重要原因之一。沖擊波病毒運行時會根據(jù)自我生成的IP地址不停地掃描網(wǎng)絡(luò)中在運行并可感染的Windows系統(tǒng)的主機，找到后利用DCOMRPC緩沖區(qū)漏洞攻擊該系統(tǒng)沖擊波病毒在運行時會建立一個名為“BILLY”的互斥量，同時在內(nèi)存中建立一個名為“msblast”的進程。沖擊波病毒運行時會將自身復(fù)制為“%systemroot%\msblast.exe”文件。沖擊波病毒會發(fā)送命令到被攻擊計算機，以使其連接被感染計算機，下載并運行該病毒。沖擊波病毒攻擊時使用的端口為TCP135、TCP4444和UDP69。感染病毒的系統(tǒng)會監(jiān)聽UDP69端口，當有服務(wù)請求時，就發(fā)送Msblast.exe文件50沖擊波病毒在注冊表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”項下添加鍵值“windowsautoupdate”=“msblast.exe”，以使病毒可以在系統(tǒng)啟動時自動運行。如果當前系統(tǒng)時間的月份大于8月或日期大于15號，沖擊波病毒會對微軟的升級網(wǎng)站進行DoS攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。在8月16日以后，該病毒還會使被攻擊的系統(tǒng)喪失更新該漏洞補丁的能力。512.2.5震蕩波（Sasser）震蕩波病毒利用微軟Windows系統(tǒng)中Lsass的緩沖區(qū)溢出漏洞（編號MS04-011）進行遠程主動攻擊和傳染，導(dǎo)致系統(tǒng)異常和網(wǎng)絡(luò)嚴重擁塞，具有極強的危害性。震蕩波病毒影響的操作系統(tǒng)包括WindowsNT4.0SP6、Windows2000SP4、WindowsXPSP1、WindowsServer2003等，波及范圍非常廣。52防范“震蕩波”的方法首先，用戶必須迅速下載微軟補丁程序，對于該病毒的防范。金山或者瑞星用戶迅速升級殺毒軟件到最新版本，然后打開個人防火墻，將安全等級設(shè)置為中、高級，封堵病毒對該端口的攻擊。非金山或者瑞星用戶迅速下載免費的專殺工具，如果用戶已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補丁程序，并升級殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。532.2.6射線（Rays）射線是一種蠕蟲病毒，該病毒通過網(wǎng)絡(luò)發(fā)送郵件及局域網(wǎng)共享高速傳播。該病毒在感染后會在“%systemroot%”目錄下生成名為“Mstray.exe”和“MShelp.EXE”的病毒文件，并且用文件夾的圖標來偽裝成文件夾，誘騙用戶誤點擊。542.3計算機病毒防范與清除2.3.1計算機病毒防范的總體措施2.3.2網(wǎng)絡(luò)防病毒系統(tǒng)部署示例2.3.3計算機病毒的定位和清除552.3.1計算機病毒防范的總體措施用戶計算機病毒防范減小攻擊面應(yīng)用安全更新啟用基于主機的防火墻安裝防病毒軟件56客戶端應(yīng)用程序的防病毒設(shè)置電子郵件客戶端即時消息應(yīng)用程序Web瀏覽器57網(wǎng)絡(luò)服務(wù)器病毒防范的基本措施減小攻擊面應(yīng)用安全更新用基于主機的防火墻安裝防病毒軟件58文件服務(wù)器病毒防范文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務(wù)器本身感染了病毒，就會對所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護。Web服務(wù)器病毒防范在一段時間內(nèi)，所有類型的組織中的Web服務(wù)器都曾經(jīng)是安全攻擊的目標。不管攻擊來自惡意軟件（如CodeRed）還是來自試圖破壞組織網(wǎng)站的黑客，充分配置Web服務(wù)器上的安全設(shè)置以最大限度地防御這些攻擊都是很重要的。59郵件服務(wù)器病毒防范SMTP網(wǎng)關(guān)掃描程序集成的服務(wù)器掃描程序集中管理與控制由于網(wǎng)絡(luò)節(jié)點太多，且分布較散，要使整個防病毒系統(tǒng)良好運行必須有一個良好的管理控制系統(tǒng)。這就要求能通過瀏覽器方式實現(xiàn)遠程異地管理遠程防病毒軟件，監(jiān)視該軟件的運行狀況參數(shù)（如防病毒軟件病毒庫、掃描引擎更新日期，系統(tǒng)配置等）；能實現(xiàn)病毒集中報警，準確定位病毒入侵節(jié)點，讓管理員對病毒入侵節(jié)點做適當處理以防危險擴大；控制中心能與其他網(wǎng)絡(luò)安全系統(tǒng)實現(xiàn)聯(lián)動，協(xié)同管理工作。602.3.2網(wǎng)絡(luò)防病毒系統(tǒng)部署示例單機防病毒軟件與網(wǎng)絡(luò)防病毒系統(tǒng)當前計算機病毒的防范主要采取單機防病毒軟件和網(wǎng)絡(luò)防病毒系統(tǒng)兩種措施。因此，要想減少計算機被病毒侵害的可能，就需要安裝防病毒軟件。同時，更重要的是要保證定期升級病毒碼，并為運行的操作系統(tǒng)和程序打上最新的補丁。61SymantecAntiVirusCorporateEdition簡介SymantecAntiVirusCorporateEdition是一款網(wǎng)絡(luò)防病毒系統(tǒng)，該系統(tǒng)可以為企業(yè)范圍內(nèi)的工作站和網(wǎng)絡(luò)服務(wù)器提供可伸縮的跨平臺病毒防護。部署環(huán)境

62安裝網(wǎng)絡(luò)防病毒系統(tǒng)管理平臺63安裝網(wǎng)絡(luò)防病毒系統(tǒng)服務(wù)器64配置網(wǎng)絡(luò)防病毒系統(tǒng)一級服務(wù)器65安裝網(wǎng)絡(luò)防病毒系統(tǒng)客戶端在防病毒系統(tǒng)管理中心所在的主機上創(chuàng)建要安裝網(wǎng)絡(luò)防病毒系統(tǒng)客戶端的計算機列表文件。該列表文件為文本文件，其中每一行條目代表一個客戶端計算機，該條目可以是計算機名，也可以是IP地址662.3.3計算機病毒的定位和清除計算機病毒的表現(xiàn)現(xiàn)象平時運行正常的計算機突然經(jīng)常性無緣無故地死機或重啟；操作系統(tǒng)無法正常啟動；運行速度明顯變慢甚至停止響應(yīng)；無意中要求對軟盤進行寫操作；以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死鎖或者非法錯誤；系統(tǒng)文件的時間、日期、大小發(fā)生變化；磁盤空間迅速減少；自動鏈接到一些陌生的網(wǎng)站；無操作時硬盤燈不斷閃爍；Windows桌面圖標發(fā)生變化自動發(fā)送電子郵件或即時消息；部分文檔丟失或被破壞；部分文檔自動加密碼；網(wǎng)絡(luò)緩慢甚至癱瘓，無法提供正常的服務(wù)。67計算機病毒的清除68本章總結(jié)了解計算機病毒的概念和特性了解計算機病毒的歷史及發(fā)展趨勢了解計算機病毒的種類熟悉蠕蟲及其他計算機病毒的特征和危害掌握計算機病毒防范的總體措施掌握常見單機版防病毒軟件的安裝和使用掌握常見網(wǎng)絡(luò)防病毒系統(tǒng)的部署掌握計算機病毒的定位和清除方法69第3章漏洞掃描本章目標了解漏洞的概念和危害性了解漏洞掃描的意義和方法了解常見漏洞及其危害掌握典型漏洞掃描工具的用法掌握漏洞修復(fù)的基本措施713.1漏洞掃描概述

3.1.1漏洞（Vulnerability）3.1.2漏洞掃描3.1.3漏洞掃描軟件723.1.1漏洞（Vulnerability）在字典中，“Vulnerability”一詞的意思是“漏洞”或者“缺乏足夠的防護”；在軍事術(shù)語中，這個詞的意思更為明確，也更為嚴重——“存在遭受攻擊的嫌疑”。漏洞掃描工具均能檢測以上兩種類型的漏洞。漏洞掃描工具已經(jīng)出現(xiàn)好多年了，安全管理員在使用這些工具的同時，黑客們也在利用這些工具來發(fā)現(xiàn)各種類型的系統(tǒng)和網(wǎng)絡(luò)的漏洞。733.1.2漏洞掃描什么是漏洞掃描漏洞掃描是一種基于網(wǎng)絡(luò)遠程檢測目標網(wǎng)絡(luò)或本地主機安全性脆弱點的技術(shù)。漏洞掃描可以針對系統(tǒng)中不合適的設(shè)置（如脆弱的口令）以及其他同安全規(guī)則相抵觸的對象進行檢查，也可以通過執(zhí)行一些程序模擬對系統(tǒng)進行攻擊的行為，并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。通過漏洞掃描，安全管理人員能夠發(fā)現(xiàn)所維護的系統(tǒng)的各種TCP/IP端口的分配、開放的服務(wù)、軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。漏洞掃描也會采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能因為被攻擊而崩潰。它利用了一系列的腳本模擬對系統(tǒng)進行攻擊的行為，并對結(jié)果進行分析，這種技術(shù)通常被用來進行模擬攻擊實驗和安全審計。74漏洞掃描的意義多數(shù)的攻擊者通常進行的是較為簡單的攻擊嘗試。很明顯，發(fā)現(xiàn)一個已知的漏洞，遠比發(fā)現(xiàn)一個未知漏洞要容易的多。這就意味著多數(shù)攻擊者所利用的都是常見的漏洞，而這些漏洞先前已經(jīng)被發(fā)現(xiàn)并均有書面資料記載。因此，如果能夠在黑客利用這些常見漏洞之前檢查出系統(tǒng)和網(wǎng)絡(luò)的薄弱環(huán)節(jié)，就可以大大降低攻擊發(fā)生的可能性?？梢钥闯?，漏洞掃描對于系統(tǒng)和網(wǎng)絡(luò)安全是至關(guān)重要的。如果說防火墻是被動的防御手段，那么漏洞掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。75漏洞掃描的步驟和基本技術(shù)第1階段：發(fā)現(xiàn)目標主機或網(wǎng)絡(luò)；第2階段：發(fā)現(xiàn)目標后進一步搜集目標信息，包括操作系統(tǒng)類型、運行的服務(wù)以及服務(wù)軟件的版本等，如果目標是一個網(wǎng)絡(luò)，還可以進一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、路由設(shè)備以及各主機的信息；第3階段：根據(jù)搜集到的信息判斷或者進一步測試系統(tǒng)是否存在安全漏洞。漏洞掃描的基本技術(shù)主要包括PING掃射、操作系統(tǒng)探測、端口掃描以及系統(tǒng)漏洞掃描等。這些技術(shù)在漏洞掃描的3個階段中各有體現(xiàn)。76端口掃描端口掃描主要有經(jīng)典的全連接掃描以及SYN（半連接）掃描，此外還有間接掃描和秘密掃描等。系統(tǒng)漏洞掃描系統(tǒng)漏洞掃描主要通過以下兩種方法來檢查目標系統(tǒng)是否存在漏洞：方法一：在端口掃描后得知目標系統(tǒng)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞掃描軟件提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；方法二：通過模擬黑客的攻擊手法，對目標系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。773.1.3漏洞掃描軟件漏洞掃描軟件已經(jīng)出現(xiàn)了很多年，安全管理人員在使用這些工具的同時，黑客們也在利用這些工具來發(fā)現(xiàn)各種類型的系統(tǒng)和網(wǎng)絡(luò)的漏洞。因此，如何選擇滿足需要的漏洞掃描軟件非常重要。常見的漏洞掃描軟件有Nmap、XScan、ISSInternetScanner、Nessus、Retina和流光等。通常，我們可以根據(jù)底層技術(shù)、漏洞庫、掃描報告、分析和建議、易用性、安全性和性能等因素來衡量漏洞掃描軟件。78底層技術(shù)選擇漏洞掃描軟件，首先要了解其底層技術(shù)。漏洞掃描可以分為“被動”和“主動”兩大類。被動掃描不會產(chǎn)生網(wǎng)絡(luò)流量包，不會導(dǎo)致目標系統(tǒng)崩潰。被動掃描對正常的網(wǎng)絡(luò)流量進行分析，可以設(shè)計成“永遠在線”的檢測方式。主動掃描更多地帶有“入侵”的意圖，可能會影響網(wǎng)絡(luò)和目標系統(tǒng)的正常操作。它們并不是持續(xù)不斷運行的，通常是隔一段時間檢測一次。目前所采用的漏洞掃描軟件，很多都同時支持被動掃描和主動掃描。79漏洞庫只有漏洞庫中存在相關(guān)信息，漏洞掃描軟件才能檢測到漏洞，因此，漏洞庫中攻擊特征的數(shù)量決定了掃描工具能夠檢測的范圍。然而，數(shù)量并不意味著一切，真正的檢驗標準在于掃描工具能否檢測出影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞。漏洞掃描軟件中有用的漏洞庫取決于網(wǎng)絡(luò)設(shè)備和系統(tǒng)的類型。例如，如果使用掃描軟件來檢測Windows2000服務(wù)器的漏洞，那么，不包含Windows2000漏洞庫的掃描軟件就不是最佳選擇。當然，漏洞庫中的攻擊特征必須經(jīng)常升級，只有這樣才能檢測出最近發(fā)現(xiàn)的漏洞。80掃描報告對安全管理人員來說，掃描報告的功能越來越重要。一次掃描可能會得到幾百甚至幾千個結(jié)果，但是這些數(shù)據(jù)是沒用的，除非經(jīng)過整理，轉(zhuǎn)換成可以為人們所理解的信息。這就意味著在理想情況下，漏洞掃描軟件應(yīng)該能夠?qū)@些數(shù)據(jù)進行分類和交叉引用，可以導(dǎo)入到其他程序中，或者轉(zhuǎn)換成其他格式（比如CSV、HTML和EXCEL），采用不同方式來展現(xiàn)它，并且能夠很容易的與以前的掃描結(jié)果做比較。81分析與建議發(fā)現(xiàn)漏洞，才完成一半工作。一個完整的解決方案，應(yīng)同時提出針對這些漏洞將采取的措施。一個好的漏洞掃描軟件會對掃描結(jié)果進行分析，并提供修復(fù)建議。有的漏洞掃描軟件將這些修復(fù)建議整合在報告中，還有的則提供在線資源的鏈接。一些漏洞掃描軟件還可以和漏洞修復(fù)工具結(jié)合使用，對掃描結(jié)果進行匯總，并自動完成修復(fù)過程。82易用性一個難以理解和使用的界面，會阻礙安全管理人員使用這些工具，因此，界面的友好性尤為重要。不同的掃描工具軟件，界面也各式各樣，包括簡單的基于文本的界面、復(fù)雜的圖形界面以及Web界面。83安全問題掃描工具可能造成網(wǎng)絡(luò)失效的另一種原因是，掃描過程中，超負荷的數(shù)據(jù)包流量造成拒絕服務(wù)。為了防止這一點，需要選擇好適當?shù)膾呙柙O(shè)置。一些掃描工具還提供了“安全掃描”的模板，以防止造成對目標系統(tǒng)和網(wǎng)絡(luò)的資源損耗。84性能掃描軟件運行的時候，將占用大量的網(wǎng)絡(luò)帶寬，因此，掃描過程應(yīng)盡快完成。當然，漏洞庫中的漏洞數(shù)越多，選擇的掃描模式越復(fù)雜，掃描所耗時間就越長，因此，這只是個相對的數(shù)值。提高性能的一種方式是在企業(yè)網(wǎng)中部署多個掃描工具，將掃描結(jié)果反饋到一個系統(tǒng)中，對掃描結(jié)果進行匯總。853.2X-Scan3.2.1

X-Scan簡介3.2.2

X-Scan的用法3.2.3

X-Scan掃描示例863.2.1X-Scan簡介X-Scan是一個完全免費的漏洞掃描軟件，由安全焦點開發(fā)。X-Scan功能非常強大，它采用多線程方式對指定IP地址或IP地址范圍進行漏洞掃描。掃描內(nèi)容包括：遠程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個大類。X-Scan支持插件功能，3.0及后續(xù)版本還提供了簡單的插件開發(fā)包，便于用戶自由編寫X-Scan插件，或?qū)⑵渌{(diào)試通過的代碼修改為X-Scan插件。873.2.2X-Scan的用法啟動X-Scan解壓縮之后，運行xscan_gui.exe，即可啟動X-Scan進入其主界面X-Scan的主界面X-Scan的功能按鈕及菜單掃描參數(shù)設(shè)置883.2.3X-Scan掃描示例開始掃描掃描報告漏洞示例893.3流光3.3.1流光簡介3.3.2安裝和啟動流光3.3.3使用流光進行漏洞掃描903.3.1流光簡介流光（Fluxay）5是一個非常出色的漏洞掃描工具，提供了全面的掃描功能。流光同時也是一個功能強大的滲透測試工具，可以模擬攻擊者對目標網(wǎng)絡(luò)和系統(tǒng)進行攻擊測試，以評估目標網(wǎng)絡(luò)和主機的抗攻擊能力。91流光的功能主要包括：漏洞掃描：支持對POP3、FTP、IMAP、Telnet、MS-SQL、MySQL、Web、IPC和RPC等常見應(yīng)用的漏洞掃描；暴力破解：提供POP3、FTP、IMAP、HTTP、PROXY、MS-SQL、SMB等常見服務(wù)的暴力破解功能；網(wǎng)絡(luò)嗅探：利用ARP欺騙，對交換環(huán)境下的局域網(wǎng)內(nèi)主機進行嗅探。與流光的漏洞掃描模塊一樣，網(wǎng)絡(luò)嗅探也采用了C/S的結(jié)構(gòu)，可以提供遠程網(wǎng)絡(luò)的嗅探功能；滲透工具：提供了包括SQLCMD、NTCMD、SRV、TCPRelay等得心應(yīng)手的輔助滲透工具；字典工具：可以定制各種各樣的字典文件，為暴力破解提供高效可用的字典。923.3.2安裝和啟動流光獲取和安裝流光流光是一個全免費的軟件，任何人都可以自由使用。本課程中使用的是流光5測試版1（Fluxay5Beta1），在網(wǎng)上可以很方便的下載到。下載后直接運行安裝程序即可進行安裝93啟動流光流光安裝完成之后，即可以啟動和使用流光。啟動后，會進入流光的主界面943.3.3使用流光進行漏洞掃描啟動漏洞掃描在流光的主界面中單擊菜單“文件”→“高級掃描向?qū)А痹O(shè)置漏洞掃描參數(shù)設(shè)置掃描范圍設(shè)置掃描端口設(shè)置POP3掃描設(shè)置FTP掃描設(shè)置SMTP掃描設(shè)置IMAP掃描設(shè)置TELNET掃描設(shè)置CGI掃描設(shè)置CGI規(guī)則95設(shè)置SQL掃描設(shè)置IPC掃描設(shè)置IIS掃描設(shè)置IIS掃描設(shè)置IIS掃描設(shè)置MISC掃描設(shè)置PLUGINS掃描設(shè)置掃描選項96設(shè)置流光掃描引擎開始掃描掃描報告973.4漏洞修復(fù)3.4.1漏洞修復(fù)的必要性3.4.2漏洞修復(fù)的方法983.4.1漏洞修復(fù)的必要性什么是漏洞漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。具體舉例來說，比如在IntelPentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協(xié)議中認證方式上的弱點，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時配置不當?shù)膯栴}都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認為是系統(tǒng)中存在的安全漏洞。99漏洞與具體系統(tǒng)環(huán)境之間的關(guān)系及其時間相關(guān)特性

漏洞會影響到很大范圍的軟硬件設(shè)備，包括作系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。100漏洞問題與不同安全級別計算機系統(tǒng)之間的關(guān)系目前計算機系統(tǒng)安全的分級標準一般都是依據(jù)“橘皮書”中的定義。橘皮書正式名稱是“受信任計算機系統(tǒng)評量基準”（TrustedComputerSystemEvaluationCriteria)。橘皮書中對可信任系統(tǒng)的定義是這樣的：一個由完整的硬件及軟件所組成的系統(tǒng)，在不違反訪問權(quán)限的情況下，它能同時服務(wù)于不限定個數(shù)的用戶，并處理從一般機密到最高機密等不同范圍的信息。

101安全漏洞與系統(tǒng)攻擊之間的關(guān)系系統(tǒng)安全漏洞是在系統(tǒng)具體實現(xiàn)和具體使用中產(chǎn)生的錯誤，但并不是系統(tǒng)中存在的錯誤都是安全漏洞。只有能威脅到系統(tǒng)安全的錯誤才是漏洞。許多錯誤在通常情況下并不會對系統(tǒng)安全造成危害，只有被人在某些條件下故意使用時才會影響系統(tǒng)安全。102常見攻擊方法與攻擊過程的簡單描述

系統(tǒng)攻擊是指某人非法使用或破壞某一信息系統(tǒng)中的資源，以及非授權(quán)使系統(tǒng)喪失部分或全部服務(wù)功能的行為。

1033.4.2漏洞修復(fù)的方法及時升級操作系統(tǒng)在操作系統(tǒng)有漏洞被發(fā)現(xiàn)之后，操作系統(tǒng)的廠商會第一時間發(fā)布補丁程序，修復(fù)漏洞。因此，及時升級操作系統(tǒng)，安裝補丁程序，是修復(fù)漏洞最有效的方法?！皼_擊波”和“震蕩波”之所以能夠大面積傳播，甚至直到現(xiàn)在仍然有系統(tǒng)會被感染，其主要的原因就是未能及時安裝操作系統(tǒng)廠商所提供的安全補丁。104關(guān)閉不需要的端口和服務(wù)開啟的端口和服務(wù)越多，可以被攻擊者利用的漏洞就越多，因此如果不是必需的端口和服務(wù)，一定要關(guān)閉，并且要定期的進行檢查。不同的操作系統(tǒng)都提供了關(guān)閉服務(wù)的方法，例如Windows提供了服務(wù)管理控制臺來管理服務(wù)105加強用戶賬戶和口令的安全管理清除所有不必要的用戶賬戶使用安全的口令將系統(tǒng)管理員或超級用戶賬戶改名106本章總結(jié)了解漏洞的概念和危害性了解漏洞掃描的意義和方法了解常見漏洞及其危害掌握典型漏洞掃描工具的用法掌握漏洞修復(fù)的基本措施107第4章網(wǎng)絡(luò)嗅探本章目標了解網(wǎng)絡(luò)嗅探的基本原理學(xué)會使用SnifferPro對網(wǎng)絡(luò)的運行狀況進行監(jiān)控學(xué)會使用SnifferPro捕獲以太網(wǎng)和無線局域網(wǎng)的數(shù)據(jù)包能夠定義SnifferPro捕獲過濾器過濾數(shù)據(jù)包能夠使用Ethereal捕獲以太網(wǎng)的數(shù)據(jù)包能夠定義Ethereal的顯示過濾器過濾數(shù)據(jù)包1094.1網(wǎng)絡(luò)嗅探概述網(wǎng)絡(luò)嗅探器簡單說來就是使我們能夠“嗅探”到本地網(wǎng)絡(luò)的數(shù)據(jù)，并檢查進入計算機的信息包。嗅探技術(shù)是網(wǎng)絡(luò)完全攻防技術(shù)中很重要的一種。對黑客來說，通過嗅探技術(shù)能以非常隱蔽的方式捕獲網(wǎng)絡(luò)中傳輸?shù)拇罅康拿舾行畔?，如用戶賬戶和口令，與主動掃描相比，嗅探行為更難以被察覺，也更容易操作。對于安全管理人員來說，借助嗅探技術(shù)，可以對網(wǎng)絡(luò)活動進行實時監(jiān)控，并及時發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。1104.2SnifferPro4.2.1簡介4.2.2使用SnifferPro監(jiān)控網(wǎng)絡(luò)4.2.3使用SnifferPro捕獲網(wǎng)絡(luò)數(shù)據(jù)包4.2.4使用SnifferPro捕獲特定的數(shù)據(jù)包4.2.5使用SnifferPro捕獲無線網(wǎng)絡(luò)數(shù)據(jù)包1114.2.1簡介SnifferPro是一個功能強大的網(wǎng)絡(luò)可視化工具，使用SnifferPro可以做以下工作：實時監(jiān)視網(wǎng)絡(luò)活動采集單個工作站、對話或網(wǎng)絡(luò)任何部分的詳細的利用率和錯誤統(tǒng)計數(shù)據(jù)保存歷史利用率和錯誤信息，以進行原始分析生成實時的聲光警報檢測到故障時通知管理員捕獲網(wǎng)絡(luò)通信量，以進行詳細的數(shù)據(jù)包分析接收專家系統(tǒng)對網(wǎng)絡(luò)通信量的分析用有效的工具探索網(wǎng)絡(luò)1124.2.2使用SnifferPro監(jiān)控網(wǎng)絡(luò)SnifferPro作為一款強大的網(wǎng)絡(luò)管理和監(jiān)視工具，可以實時對網(wǎng)絡(luò)的運行狀況進行監(jiān)視，包括網(wǎng)絡(luò)利用率、網(wǎng)絡(luò)中流量的大小等信息。1134.2.3使用SnifferPro捕獲網(wǎng)絡(luò)數(shù)據(jù)包在菜單欄的下方，是捕獲工具欄，使用其中的各項按鈕，可以將網(wǎng)絡(luò)上的數(shù)據(jù)包捕獲到本地進行分析1144.2.4使用SnifferPro捕獲特定的數(shù)據(jù)包默認情況下，打開SnifferPro的數(shù)據(jù)包捕獲功能的時候，SnifferPro會將網(wǎng)絡(luò)上所有的數(shù)據(jù)包捕獲到本地來進行分析，這其中就有很大的一部分就是無用的數(shù)據(jù)包，所以我們需要定制過捕獲過濾器將需要的數(shù)據(jù)包從繁多的數(shù)據(jù)包中過濾出來。1154.2.5使用SnifferPro捕獲無線網(wǎng)絡(luò)數(shù)據(jù)包SnifferPro不僅能對以太網(wǎng)的數(shù)據(jù)包進行捕獲和分析，也可以對無線網(wǎng)絡(luò)的數(shù)據(jù)包進行捕獲和分析。使用SnifferPro捕獲和分析無線網(wǎng)絡(luò)的數(shù)據(jù)包，必須使用SnifferPro所支持的無線網(wǎng)卡，并且安裝由SnifferPro提供的驅(qū)動程序。1164.3Ethereal4.3.1

簡介4.3.2安裝Ethereal4.3.3使用Ethereal捕獲數(shù)據(jù)包4.3.4使用Ethereal顯示特定數(shù)據(jù)包1174.3.1簡介Ethereal是當前較為流行的一種計算機網(wǎng)絡(luò)調(diào)試和數(shù)據(jù)包嗅探軟件，是免費的網(wǎng)絡(luò)協(xié)議檢測程序，支持各種Unix、Linux和Windows系統(tǒng)。Ethereal基本類似于tcpdump，但Ethereal還具有設(shè)計完美的圖形化用戶接口（GUI）和眾多分類信息及過濾選項。用戶通過Ethereal，同時將網(wǎng)卡置于混雜模式，可以查看到網(wǎng)絡(luò)中發(fā)送的所有通信流量。118Ethereal具有以下主要特征：實時從網(wǎng)絡(luò)連接處捕獲數(shù)據(jù)，或者從被捕獲文件處讀取數(shù)據(jù)Ethereal可以讀取從tcpdump（libpcap）、網(wǎng)絡(luò)通用嗅探器（被壓縮和未被壓縮）、Sniffer專業(yè)版、NetXray、Sunsnoop和atmsnoop、Shomiti/Finisar測試員、AIX的iptrace、Microsoft的網(wǎng)絡(luò)監(jiān)控器、Novell的LANalyzer、RADCOM的WAN/LAN分析器、ISDN4BSD項目的HP-UXnettl和i4btrace、Cisco安全IDSiplog和pppd日志（pppdump格式）、WildPacket的EtherPeek/TokenPeek/AiroPeek或者可視網(wǎng)絡(luò)的可視UpTime處捕獲的文件從以太網(wǎng)、FDDI、PPP、令牌環(huán)、IEEE802.11、ATM上的IP和回路接口（這里是某些系統(tǒng)，不是所有系統(tǒng)都支持這些類型）上讀取實時數(shù)據(jù)；119通過GUI或TUI模式的tethereal程序，可以訪問被捕獲的網(wǎng)絡(luò)數(shù)據(jù)；通過editcap程序的命令行交換機，有計劃地編輯或修改被捕獲文件當前共有1000種以上的應(yīng)用層協(xié)議可被解碼輸出文件可以被保存或打印為純文本或PostScript格式通過顯示過濾器精確顯示數(shù)據(jù)顯示過濾器可以選擇性地摘要顏色包信息所有或部分被捕獲的網(wǎng)絡(luò)跟蹤報告會保存到磁盤中1204.3.2安裝EtherealEthereal是免費的軟件，可以從Ethereal的官方網(wǎng)站上下載，目前Ethereal的最新版本為0.10.14，下載后的軟件名為ethereal-setup-0.10.14.exe。雙擊下載后的軟件包，根據(jù)提示進行安裝，這里就不再做詳細介紹了。需要注意的是，Ethereal是一個基于WinPcap的軟件，如果系統(tǒng)中沒有安裝WinPcap，則Ethereal不能捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包。WinPcap可以單獨下載安裝，可以從其官方網(wǎng)站下載，地址為“/install/default.htm”，目前最新版為3.1。1214.3.3使用Ethereal捕獲數(shù)據(jù)包安裝Ethereal之后，可以通過單擊“開始”→“Ethereal”→“Ethereal”打開Ethereal程序，看到Ethereal的主界面1224.3.4使用Ethereal顯示特定數(shù)據(jù)包

在捕獲完成以后，可以用顯示過濾器來找到你感興趣的包，可以根據(jù)如下信息來過濾感興趣的數(shù)據(jù)包協(xié)議是否存在某個域域值域值之間的比較123本章總結(jié)了解網(wǎng)絡(luò)嗅探的基本原理學(xué)會使用SnifferPro對網(wǎng)絡(luò)的運行狀況進行監(jiān)控學(xué)會使用SnifferPro捕獲以太網(wǎng)和無線局域網(wǎng)的數(shù)據(jù)包能夠定義SnifferPro捕獲過濾器過濾數(shù)據(jù)包能夠使用Ethereal捕獲以太網(wǎng)的數(shù)據(jù)包能夠定義Ethereal的顯示過濾器過濾數(shù)據(jù)包124第5章特洛伊木馬本章目標理解特洛伊木馬的基本概念和特征了解特洛伊木馬的危害和種類了解特洛伊木馬定位和清除的基本思路掌握特洛伊木馬的植入方法掌握常見特洛伊木馬的入侵方法和特征掌握常見的特洛伊木馬清除工具1265.1特洛伊木馬概述5.1.1

什么是特洛伊木馬5.1.2特洛伊木馬的危害5.1.3特洛伊木馬的種類5.1.4特洛伊木馬的植入方法1275.1.1什么是特洛伊木馬初識特洛伊木馬完整的特洛伊木馬一般由服務(wù)端程序和控制端程序兩部分組成。人們常說的“中了木馬”是指系統(tǒng)中被安裝了特洛伊木馬的服務(wù)端程序。如果某系統(tǒng)中被安裝了這種程序，則控制端程序就可以通過網(wǎng)絡(luò)控制該系統(tǒng)，為所欲為，此時將再無任何安全性而言。因此，特洛伊木馬是一種非常危險的攻擊形式。128特洛伊木馬的工作過程通常特洛伊木馬進行攻擊時，攻擊者第一步要做的是要將特洛伊木馬的服務(wù)端程序植入要攻擊的系統(tǒng)。攻擊者可能通過電子郵件附件、網(wǎng)頁代碼、下載軟件、系統(tǒng)漏洞等方式進行植入。129特洛伊木馬具有的特性包含干正常程序中，當用戶執(zhí)行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性。具有自動運行性。包含具有未公開并且可能產(chǎn)生危險后果的功能的程序。具備自動恢復(fù)功能。能自動打開特別的端口。功能的特殊性。1305.1.2特洛伊木馬的危害首先，特洛伊木馬具有捕獲用戶鍵盤事件的能力，這意味著攻擊者能夠輕松地竊取用戶的口令、磁盤數(shù)據(jù)甚至銀行賬戶等機密信息。總之，用戶在系統(tǒng)的一切操作，都有可能被記錄。其次，特洛伊木馬具有遠程控制的能力，這意味著遠程攻擊者能夠隨意地控制目標系統(tǒng)，完成其想要的任何操作。攻擊者不僅擁有了隨意操控系統(tǒng)本地資源的能力，而且還能夠冒充系統(tǒng)的合法用戶，例如冒充合法用戶發(fā)送郵件、修改文檔，當然也可以利用被侵占的系統(tǒng)攻擊其他系統(tǒng)。1315.1.3特洛伊木馬的種類遠程控制類特洛伊木馬遠程控制類特洛伊木馬是目前最為廣泛的一種特洛伊木馬，只要目標系統(tǒng)上運行了服務(wù)端程序，就可以在該系統(tǒng)上開啟特定的端口，如果攻擊者知道服務(wù)端程序所在系統(tǒng)的IP地址和使用的端口，就可以通過控制端程序?qū)崿F(xiàn)遠程控制。這樣，攻擊者不但可以監(jiān)視用戶的操作，而且還可以進行對系統(tǒng)進行任何可能的操作。132信息竊取類特洛伊木馬信息竊取類特洛伊木馬非常簡單，通常它只做一件事情，就是記錄被攻擊系統(tǒng)的鍵盤輸入，并猜測和查找密碼。記錄鍵盤輸入的特洛伊木馬通常都會隨著系統(tǒng)啟動而自動啟動，同時還具備檢測系統(tǒng)是否在線的功能，可以分別記錄系統(tǒng)離線和在線時通過鍵盤輸入的內(nèi)容，這一功能將有助于其更快的分析出登錄網(wǎng)上銀行和即時通信工具所使用的口令。記錄鍵盤輸入的特洛伊木馬通常會通過電子郵件的方式將記錄下來的鍵盤輸入記錄發(fā)到控制端。133破壞類特洛伊木馬破壞類特洛伊木馬要實現(xiàn)的目的就是要破壞目標系統(tǒng)。這類特洛伊木馬有的會破壞和刪除系統(tǒng)文件，例如可以自動的刪除DLL、INI和EXE等類型文件；有的則可能會造成DoS攻擊，例如會不停地向網(wǎng)絡(luò)中發(fā)送垃圾數(shù)據(jù)包而導(dǎo)致網(wǎng)絡(luò)癱瘓。134端口反彈類特洛伊木馬通常情況下，防火墻對于由外到內(nèi)的入站連接會進行非常嚴格的限制，但對于由內(nèi)到外的出站連接卻疏于防范。正是由于這一原因，很多遠程控制類特洛伊木馬的控制端程序無法主動連接到服務(wù)端。端口反彈類特洛伊木馬與一般的特洛伊木馬相反，此類特洛伊木馬的服務(wù)端（被控制端）會主動連接控制端程序。服務(wù)端會定時監(jiān)測控制端的存在，當發(fā)現(xiàn)網(wǎng)絡(luò)中有控制端在線時，將會立即主動連接控制端。為了隱蔽起見，控制端的接受服務(wù)端連接的端口通常為TCP80，這樣，即使用戶使用掃描軟件檢查自己的端口，也誤以為是在進行瀏覽網(wǎng)頁的正常通信。1355.1.4特洛伊木馬的植入方法特洛伊木馬的植入是指將其服務(wù)端程序上傳到目標系統(tǒng)中并隱蔽地在后臺運行起來，以便控制端程序能夠遠程連接服務(wù)端程序，實現(xiàn)控制目標系統(tǒng)的目的。修改圖標捆綁文件出錯顯示自我銷毀服務(wù)端程序更名136公司簡介中的徽標5.2冰河5.2.1

冰河簡介5.2.2啟用冰河5.2.3冰河的使用方法1375.2.1冰河簡介冰河的主要功能冰河是國內(nèi)著名的遠程控制類特洛伊木馬，運行于Windows平臺。它的主要功能包括：自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入，即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網(wǎng)適用)記錄各種口令信息：包括開機口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴充，2.0以上版本還同時提供了按鍵記錄功能獲取系統(tǒng)信息限制系統(tǒng)功能遠程文件操作注冊表操作發(fā)送信息點對點通訊138冰河的組成冰河由下列兩個部分組成：G_Server.exe：服務(wù)端（被監(jiān)控端）程序，即在目標系統(tǒng)的后臺運行實現(xiàn)監(jiān)控程序，該服務(wù)端程序運行一次即自動安裝，并可任意更改名稱。G_Client.exe：控制端程序，用于遠程控制被安裝了服務(wù)端程序的系統(tǒng)和配置服務(wù)端程序。1395.2.2

啟用冰河植入冰河的服務(wù)端程序140冰河控制端1415.2.3冰河的使用方法在控制端添加安裝有冰河服務(wù)端程序的主機142在控制端的主機列表中刪除已經(jīng)添加的被控制端143自動搜索網(wǎng)絡(luò)中安裝有冰河服務(wù)端程序的主機144遠程查看被控制端屏幕狀態(tài)145遠程操控被監(jiān)控端146使用冰河信使向被監(jiān)控端發(fā)送即時消息147遠程修改服務(wù)端程序的配置148植入前在本地對服務(wù)端程序G_Server.exe進行配置149通過文件管理器遠程管理被監(jiān)控端的文件150通過命令控制臺實現(xiàn)遠程控制操作151卸載冰河（已植入的服務(wù)端程序）1525.3其他特洛伊木馬5.3.1

獲取Shell5.3.2記錄鍵盤輸入1535.3.1獲取Shell獲取Shell的特洛伊木馬主要用遠程控制，功能較為單一。其服務(wù)端程序會啟用特定的偵聽端口，然后由控制端程序遠程連接到該偵聽端口而獲取Shell。下面以NC為例介紹獲取Shell的特洛伊木馬。154將NC植入目標系統(tǒng)將NC（nc.exe）上傳到目標系統(tǒng)中，并保存在較為隱蔽的位置打開命令行提示符窗口，執(zhí)行NC以啟用偵聽端口獲取被植入NC的目標系統(tǒng)的Shell在控制端主機執(zhí)行NC，獲取被植入NC的目標系統(tǒng)的Shell1555.3.2記錄鍵盤輸入記錄鍵盤輸入的特洛伊木馬主要用于竊取遠程系統(tǒng)中輸入的密碼。其服務(wù)端程序會在后臺記錄鍵盤輸入的所有內(nèi)容，然后通過電子郵件或FTP的方式發(fā)送到事先設(shè)置好的郵箱或FTP服務(wù)。生成廣外幽靈服務(wù)端程序?qū)⑸傻姆?wù)端程序植入目標系統(tǒng)接收記錄的鍵盤輸入1565.4特洛伊木馬的防范與清除5.4.1特洛伊木馬的防范措施5.4.2特洛伊木馬的定位與清除1575.4.1特洛伊木馬的防范措施特洛伊木馬的防范是指在特洛伊木馬尚未入侵或剛剛?cè)肭謺r，就攔截、阻止其入侵或立即報警。由于特洛伊木馬都具有一定的隱蔽性和自動保護功能，清除相對較為復(fù)雜，因此防范顯得尤其重要。安裝防病毒軟件并及時升級安裝個人防火墻提高安全意識1585.4.2特洛伊木馬的定位與清除系統(tǒng)被植入特洛伊木馬之后出現(xiàn)的現(xiàn)象由于遠程控制類特洛伊木馬都采用開啟TCP端口監(jiān)聽和寫入注冊表啟動等方式，因此如果被植入此類特洛伊木馬，則會開啟額外的TCP端口和添加額外的注冊表項。根本未打開瀏覽器，但瀏覽器卻突然自己打開并進入某個網(wǎng)站。在系統(tǒng)正常運行時，如果突然彈出一個提示框或者警告框，提示一些無關(guān)緊要的信息。系統(tǒng)配置（例如屏幕保護、時間和日期、聲音大小、鼠標靈敏度以及CD-ROM的自動運行配置等）總是莫名其妙地被自動更改。硬盤總是無緣由地讀盤，軟盤驅(qū)動器的指示燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及屏幕顯示出現(xiàn)異常現(xiàn)象。159手工檢查在Windows系統(tǒng)中，可以使用下列工具：任務(wù)管理器：查看當前正在運行的程序；msconfig命令：查看系統(tǒng)啟動時自動啟動的程序；netstat命令：查看當前的網(wǎng)絡(luò)連接和開放的端口。在Linux系統(tǒng)中，可以使用下列工具：ps命令：查看當前正在運行的程序；netstat命令：查看當前的網(wǎng)絡(luò)連接和開放的端口。自動檢查160【實驗XHJC-091-007-SY01】常見特洛伊木馬清除工具的應(yīng)用TrojanRemover161SpyRemover162本章總結(jié)理解特洛伊木馬的基本概念和特征了解特洛伊木馬的危害和種類了解特洛伊木馬定位和清除的基本思路掌握特洛伊木馬的植入方法掌握常見特洛伊木馬的入侵方法和特征掌握常見的特洛伊木馬清除工具163第6章DoS與DDoS本章目標了解DoS和DDoS原理掌握DoS和DDoS工具的使用方法掌握DoS和DDoS的防御方法1656.1DosDoS的英文全稱是DenialofService，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。1666.2DDoSDDoS（分布式拒絕服務(wù)），它的英文全稱為DistributedDenialofService。它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。DoS攻擊只要一臺單機和一個Modem就可實現(xiàn)，而DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。167DDoS攻擊概念DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令。被DDoS攻擊時的現(xiàn)象大級別攻擊運行原理黑客是如何組織一次DDoS攻擊的？1686.3常見的DoS和DDoS工具6.3.1

DoS工具TfGen的使用6.3.2DoS工具WANKiller的使用1696.3.1DoS工具TfGen的使用

TfGen是一個免費的流量生成的軟件。它可以向目標主機的特定端口發(fā)送TCP和UDP的數(shù)據(jù)包，以模擬網(wǎng)絡(luò)流量。1706.3.2DoS工具WANKiller的使用

WANKiller也是一款簡單小巧的流量生成的軟件，是網(wǎng)絡(luò)管理軟件Solarwinds中的一個組件。1716.4DoS與DDoS的防范172為了抵御拒絕服務(wù)的攻擊，可以使用下列兩種方法：使用最新的安全修復(fù)程序更新計算機；加固WindowsServer2003計算機上的TCP/IP協(xié)議堆棧。默認的TCP/IP堆棧配置能夠處理正常的Intranet通信量。如果將計算機直接連接到Internet，Microsoft建議加固TCP/IP堆棧以抵御拒絕服務(wù)攻擊。本章總結(jié)了解DoS和DDoS原理掌握DoS和DDoS工具的使用方法掌握DoS和DDoS的防御方法173第7章密碼保護本章目標了解密碼恢復(fù)的常用方法掌握恢復(fù)PDF文件密碼的方法掌握清除CMOS密碼的方法掌握恢復(fù)Windows系統(tǒng)密碼的方法掌握恢復(fù)Office文件密碼的方法1757.1密碼恢復(fù)方法密碼的類型有很多，密碼驗證過程以及密碼存儲機制也各不相同，不過恢復(fù)密碼通?？梢圆捎靡韵氯N手段:利用系統(tǒng)自帶的密碼恢復(fù)機制利用軟件設(shè)計缺陷恢復(fù)密碼暴力破解1767.2恢復(fù)“*”密碼安裝密碼查看器177運行星號密碼查看器178恢復(fù)星號密碼1797.3恢復(fù)壓縮文件密碼7.3.1安裝Passware軟件7.3.2恢復(fù)Zip文件密碼7.3.3恢復(fù)RAR文件密碼1807.3.1安裝Passware軟件從網(wǎng)站下載并購買“PasswarePasswordRecoverKitEnterprise”，該軟件使用在線支付系統(tǒng)，可以使用VISA卡在線支付。運行安裝文件“Kit_ent.exe”，進入安裝向?qū)螕簟癗ext”按鈕，打開授權(quán)協(xié)議窗口，瀏覽授權(quán)協(xié)議然后選擇“IAgree”按鈕接受該協(xié)議所示窗口的地址欄中輸入正確的安裝路徑（目的分區(qū)硬盤空間需要大于4.1M），然后單擊“Next”按鈕。輸入需要創(chuàng)建的程序組名稱輸入正確的產(chǎn)品序列號1817.3.2恢復(fù)Zip文件密碼要恢復(fù)Zip文件密碼，需使用Passware軟件的“ZipKey”模塊。單擊“開始”→“所有程序”→“Passware”→“ZipKey”1827.3.3恢復(fù)RAR文件密碼恢復(fù)RAR文件密碼與恢復(fù)Zip文件密碼類似，使用Passware軟件的“RARKey”工具。所不同的是RARKey的設(shè)置選項當中，沒有“KnownPlaintext”、“SureZipRecovery”、“Zip-in-ZipOptimization”等選項1837.4恢復(fù)MSOffice文件密碼MicrosoftOffice中的幾個主要程序都提供對其文檔進行密碼保護，包括：Word、Excel、PowerPoint、Access等。Outlook的郵件文件（.pst）也可以設(shè)置密碼保護。PasswarePasswordRecoverKit軟件中的“OfficeKey”模塊可以恢復(fù)上述所有文檔的保護密碼。184具體方法如下:打開OfficeKey軟件185在主窗口中會列出Outlook的所有e-mail賬號186在主窗口中就可以看到相應(yīng)e-mail賬號的密碼1877.5恢復(fù)PDF文件密碼使用PasswarePasswordRecoverKit軟件中的“AcrobatKey”模塊可以恢復(fù)由Acrobat或Illustrator生成的PDF文件的保護密碼。具體方法與恢復(fù)Office文檔密碼方法類似.1887.6恢復(fù)CMOS密碼如果CMOS密碼丟失或遺忘可以通過以下三種方法來清除或找回相關(guān)設(shè)置：放電法在主機斷電的情況下將主板上為CMOS供電的電池取出，等待大約30秒后（或直接將電池座的正負極短接）然后再開機。189校驗溢出法種方法是通過向CMOS芯片寫入數(shù)字，導(dǎo)致開機檢測時無法通過其奇偶校驗，從而使CMOS芯片數(shù)據(jù)重新恢復(fù)到默認設(shè)置。這種方法需要使用系統(tǒng)的debug程序，所以如果設(shè)置了系統(tǒng)級密碼，這種方法將無法使用。此外，這種方法只針對少部分BIOS有效，需要寫入的位置及數(shù)字也隨BIOS版本不同而有所不同。190算法漏洞破解法MOS密碼在存儲時普遍采用了比較簡單的密文存儲方式，這些算法通常存在一些的漏洞，可以通過這些漏洞獲取CMOS密碼。1917.7Windows賬戶密碼恢復(fù)7.7.1

Windows2000中文輸入法漏洞7.7.2其他Windows2000密碼恢復(fù)方法7.7.3使用WindowsKey1927.7.1Windows2000中文輸入法漏洞中文輸入法漏洞可以說是中文Windows2000推出后的第一個致命漏洞。通過它，我們可以做許多的事情，包括建立用戶。利用這個漏洞，在密碼丟失后可以快速的建立一個具有管理員權(quán)限的用戶，然后進入系統(tǒng)。在登陸界面將光標移至用戶名輸入框，按鍵盤上的<Ctrl>+<Shift>鍵，這時在默認的安裝狀態(tài)下會出現(xiàn)輸入法狀態(tài)條。將鼠標移至輸入法狀態(tài)條單擊鼠標右鍵，在出現(xiàn)的對話框中選擇“幫助”命令，選擇操作指南。在基本操作目錄下選擇一項幫助目錄后，單擊鼠標右鍵，從彈出的快捷菜單中選擇“跳至URL”命令.此時可以輸入任何本地路徑名稱，如C:\、D:\，在此調(diào)用出控制面板或MMC工具就可以修改管理員賬戶密碼。1937.7.2其他Windows2000密碼恢復(fù)方法屏幕保護法啟動腳本法刪除SAM文件1947.7.3使用WindowsKeyWindowsKey軟件具有下列特點：恢復(fù)成功率100%；不改變原有用戶的SID；支持光盤、軟盤及USB盤等三種引導(dǎo)方式；可以重置任意賬戶的密碼；可以重置任意賬戶的本地策略設(shè)置；支持WindowsXPTabletPC版；支持WindowsServer2003；支持WindowsXPHome版和Professional版；支持Windows2000Professional、Server、AdvancedServer版；支持WindowsNTWorkstation4.0級Server4.0；可以重置活動目錄域控制器中的域管理員賬戶密碼（需要PasswareEnterprise版）。195具體步驟如下:打開WindowsKey軟件在光驅(qū)中放入一張Windows安裝光盤，選擇好要生成的CD影像文件（.iso）的路徑，單擊“n