windows系統(tǒng)平安技術(shù)哈爾濱工程大學(xué)xxx提綱Windows賬號(hào)和密碼平安Windows平安結(jié)構(gòu)Windows文件系統(tǒng)平安Windows注冊(cè)表的平安Windows系統(tǒng)中查殺后門木馬技術(shù)Windows系統(tǒng)中常用平安命令Windows平安產(chǎn)品線Windows升級(jí)效勞〔WSUS〕Windows平安檢查清單Windows帳號(hào)與密碼帳號(hào)定義所謂用戶帳號(hào)，是計(jì)算機(jī)使用者的身份標(biāo)識(shí)。每一個(gè)使用計(jì)算機(jī)的人，必須憑借他的用戶帳號(hào)才能進(jìn)入計(jì)算機(jī)，進(jìn)而使用計(jì)算機(jī)中的資源。默認(rèn)賬號(hào)管理員創(chuàng)立的帳號(hào)默認(rèn)帳號(hào)

Administor–rootAdministrator:系統(tǒng)管理員帳號(hào)、具有最高權(quán)限。在域中和計(jì)算機(jī)中具有不受限制的權(quán)利，可以管理本地或域中的任何計(jì)算機(jī)，如創(chuàng)立帳號(hào)、創(chuàng)立組、實(shí)施平安策略等。從不被鎖定－－選裝passprop.exe不能刪除，可重命名誘騙HoneyPot采用另外的管理員帳號(hào)Guest默認(rèn)被禁用不能刪除，可重命名默認(rèn)帳號(hào)其他帳號(hào)如用戶帳號(hào)，特定效勞，應(yīng)用程序由Administrator創(chuàng)立一般可被禁用或刪除如果要用IIS(InternetInformationServer)建設(shè)各類站點(diǎn)，那么以下兩個(gè)帳號(hào)不能停用：IUSER＿computername－－IIS匿名訪問賬號(hào)IWAM＿computername－－IIS匿名執(zhí)行腳本的賬號(hào)這兩個(gè)賬號(hào)默認(rèn)有密碼，是由系統(tǒng)分配的，用戶不要更改其密碼，更不要?jiǎng)h除，否那么IIS不能匿名訪問和執(zhí)行腳本組所謂組，是一組相關(guān)賬號(hào)的集合。可以按照不同用戶的操作需求和資源訪問需求來創(chuàng)立不同的組，實(shí)現(xiàn)對(duì)用戶的統(tǒng)一配置和管理。

使用組的目的：簡(jiǎn)化對(duì)網(wǎng)絡(luò)的管理，通過組可以一次性地為一批用戶授權(quán)。組是強(qiáng)有力的管理工具之一，使用組可以減少需要直接管理的對(duì)象數(shù)量，從而簡(jiǎn)化了網(wǎng)絡(luò)維護(hù)與管理。常用內(nèi)置組Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。PowerUsers，高級(jí)用戶組，PowerUsers可以執(zhí)行除了為Administrators組保存的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給PowerUsers組的默認(rèn)權(quán)限允許PowerUsers組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但PowerUsers不具有將自己添加到Administrators組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于Administrators的。

常用內(nèi)置組(cons.)Users:普通用戶組。分配給該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users組提供了一個(gè)最平安的程序運(yùn)行環(huán)境。在經(jīng)過NTFS格式化的卷上，默認(rèn)平安設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。Users可以關(guān)閉工作站，但不能關(guān)閉效勞器。Users可以創(chuàng)立本地組，但只能修改自己創(chuàng)立的本地組。Guests:來賓組，按默認(rèn)值，來賓跟普通Users的成員有同等訪問權(quán)，但來賓帳號(hào)的限制更多。Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組添加/刪除帳號(hào)?Win2000/XP下ü管理工具—計(jì)算機(jī)管理—本地用戶和組?命令行方式ünetuser用戶名密碼/add[/delete]ü將用戶參加到組netlocalgroup組名用戶名/add[/delete]密碼復(fù)雜性要求強(qiáng)壯密碼的組成大寫字母小寫字母數(shù)字非字母、數(shù)字的字符密碼長(zhǎng)度：不小于8字節(jié)長(zhǎng)強(qiáng)壯密碼應(yīng)符合的規(guī)那么個(gè)人名字或呢稱號(hào)碼、生日等敏感信息輸入8字符以上密碼記錄于紙上或放置于辦公處使用重復(fù)的字符

XXXX++++=強(qiáng)壯的密碼密碼存放位置?注冊(cè)表HKEY_LOCAL_MACHINE\SAM?Winnt/system32/config/samWinXP本地平安設(shè)置在“開始〞→“運(yùn)行〞窗口中輸入“secpol.msc〞并回車就可以翻開“本地平安設(shè)置窗口〞?；蛘咄ㄟ^“控制面板〞→“管理工具〞→“本地平安策略〞來翻開這個(gè)設(shè)置界面。在“本地平安設(shè)置〞窗口的左側(cè)展開“賬戶策略〞→“密碼策略〞，在右邊窗格中就會(huì)出現(xiàn)一系列的密碼設(shè)置項(xiàng)進(jìn)行設(shè)置：密碼復(fù)雜性要求啟用

密碼長(zhǎng)度最小值6位

強(qiáng)制密碼歷史5次

強(qiáng)制密碼歷史42天開啟帳號(hào)鎖定策略

復(fù)位帳號(hào)鎖定計(jì)數(shù)器20分鐘

帳號(hào)鎖定時(shí)間20分鐘

帳號(hào)鎖定閾值3次

翻開審核策略開啟平安審核是win2000最根本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式〔如嘗試用戶密碼,改變帳號(hào)策略，未經(jīng)許可的文件訪問等等〕入侵的時(shí)候，都會(huì)被平安審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。

審核系統(tǒng)登陸事件成功，失敗

審核帳號(hào)管理成功，失敗

審核登陸事件成功，失敗

審核對(duì)象訪問成功

審核策略更改成功，失敗

審核特權(quán)使用成功，失敗

審核系統(tǒng)事件成功，失敗確保可信的登陸界面將您的計(jì)算機(jī)設(shè)置成登錄Windows之前必須按“Ctrl＋Alt＋Delete〞組合鍵，是為了保護(hù)計(jì)算機(jī)免受某些特洛伊木馬的攻擊。一些特洛伊木馬程序可以模仿Windows登錄界面，欺騙用戶輸入用戶名和密碼。使用“Ctrl＋Alt＋Delete〞組合鍵可以確保您看到的是真實(shí)可信的Windows登錄界面。為了使連接到域中計(jì)算機(jī)的這一設(shè)置有效，您需要使用管理員身份登錄，在控制面板中翻開“用戶賬戶〞圖標(biāo)，選擇“高級(jí)〞選項(xiàng)卡，在“平安登錄〞工程中，選中“要求用戶按Ctrl＋Alt＋Delete〞復(fù)選框，然后點(diǎn)擊“確定〞按鈕。組合鍵鎖定計(jì)算機(jī)

在離開辦公桌的時(shí)候，為確保計(jì)算機(jī)的平安，需要鎖定您的計(jì)算機(jī)，這樣只有輸入密碼才能夠再次使用。如果您的計(jì)算機(jī)已經(jīng)登錄到域中，只需按下“Ctrl＋Alt＋Delete〞組合鍵，然后點(diǎn)擊“鎖定計(jì)算機(jī)〞按鈕即可。當(dāng)您返回后，再次按下“Ctrl＋Alt＋Delete〞組合鍵，輸入密碼即可。給“休眠〞和“待機(jī)〞加個(gè)密碼只有“屏幕保護(hù)〞有密碼是遠(yuǎn)遠(yuǎn)不夠平安的，我們還要給“休眠〞和“待機(jī)〞加上密碼，這樣才會(huì)更平安。讓我們來給“休眠〞和“待機(jī)〞加上密碼吧。在“組策略〞窗口中展開“用戶配置→管理模板→系統(tǒng)→電源管理〞，在右邊的窗格中雙擊“從休眠/掛起恢復(fù)時(shí)提示輸入密碼〞，將其設(shè)置為“已啟用〞，那么當(dāng)我們從“待機(jī)〞或“休眠〞狀態(tài)返回時(shí)將會(huì)要求你輸入用戶密碼。把共享文件的權(quán)限從〞everyone〞組改成“授權(quán)用戶〞“everyone〞在win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成〞everyone〞組。包括打印共享，默認(rèn)的屬性就是〞everyone〞組的?？蛻舳似桨舱{(diào)置拔號(hào)上網(wǎng)平安性設(shè)置復(fù)雜密碼關(guān)閉所有不必要的共享禁止NetbiosoverTCP/IP協(xié)議客戶端平安設(shè)置沖浪上網(wǎng)平安性下載軟件的本卷須知Cookie的平安性ActiveX控件和JavaApplet網(wǎng)絡(luò)平安設(shè)置WindowsXP自帶ICF功能檢查異常進(jìn)程netstat–an和netsession利用任務(wù)管理器結(jié)束異常任務(wù)和進(jìn)程Ctrl+Alt+Del鍵右鍵點(diǎn)擊任務(wù)欄空白處，選任務(wù)管理器利用個(gè)人防火墻或防病毒軟件定期掃描如：天網(wǎng)個(gè)人防火墻客戶端平安設(shè)置設(shè)置防病軟件的自動(dòng)升級(jí)功能設(shè)置Windows自動(dòng)下載更新功能系統(tǒng)設(shè)置時(shí)常關(guān)注相關(guān)的平安公告et平安威脅來自外部的威脅口令破解〔字典、暴力〕病毒攻擊非法效勞拒絕效勞平安威脅 來自內(nèi)部的威脅物理平安誤用和濫用不當(dāng)?shù)慕尤敕绞綌?shù)據(jù)監(jiān)聽(Sniffer)劫持攻擊Windows文件系統(tǒng)平安NTFS與FAT32NTFS

文件系統(tǒng)是推薦的文件系統(tǒng)，因?yàn)樗诳煽啃院推桨残苑矫婢哂袃?yōu)勢(shì)，還因?yàn)樗谴笕萘框?qū)動(dòng)器必需的。FAT

和

FAT32

文件系統(tǒng)彼此相似，除了

FAT32

比

FAT

適于更大的硬盤。NTFS

一直是比

FAT

或

FAT32

更強(qiáng)大的文件系統(tǒng)。在ghost2000之前的版本是看不到NTFS分區(qū)的；掛主從硬盤時(shí)也看不到從盤的NTFS分區(qū)。NTFS可以支持的分區(qū)大小可以到達(dá)2TB〔2048GB〕,而FAT32支持分區(qū)的大小最大為32GB。NTFS的優(yōu)勢(shì)權(quán)限：可對(duì)單個(gè)文件設(shè)置而不僅僅是對(duì)文件夾設(shè)置。文件加密：大大增強(qiáng)了平安性。ActiveDirectory：可用來方便地查看和控制網(wǎng)絡(luò)資源。域：它是ActiveDirectory的一局部，可用于在簡(jiǎn)化管理任務(wù)的同時(shí)微調(diào)平安選項(xiàng)。域控制器必須NTFS。磁盤活動(dòng)的故障恢復(fù)日志：在發(fā)生斷電或其他系統(tǒng)問題時(shí)，幫助您快速地復(fù)原信息。NTFS可以自動(dòng)地修復(fù)磁盤錯(cuò)誤而不會(huì)顯示出錯(cuò)信息。硬盤配額：可用于監(jiān)視和控制單個(gè)用戶使用的磁盤空間大小。磁盤分區(qū)

因?yàn)椴僮飨到y(tǒng)目錄的權(quán)限是非常嚴(yán)格的，把WindowsNT放置自己?jiǎn)为?dú)的分區(qū)內(nèi)是個(gè)明智的選擇。通常分為3個(gè)區(qū)系統(tǒng)程序數(shù)據(jù)盡管這種分區(qū)需要額外地籌劃，但它還是很有吸引力，特別是簡(jiǎn)化了對(duì)于目錄權(quán)限的管理。目錄可以根據(jù)需要分開。如果你在運(yùn)行一個(gè)設(shè)備如WEB效勞器，你可能會(huì)考慮使用HTML，圖像和其它一些靜態(tài)文件在一個(gè)分區(qū)上，而你的腳本文件那么放到另一個(gè)分區(qū)上。你可以將腳本設(shè)置成只可以執(zhí)行那些靜態(tài)文件可允許讀取。這種策略的結(jié)果就是易于管理文件和目錄的權(quán)限。如何選擇分區(qū)格式如果在Windows

XP中使用大于32GB的分區(qū)，唯一可以選擇的是NTFS格式。如果計(jì)算機(jī)不考慮平安性問題，更注重與Win

9X的兼容性，那么FAT32格式是最好的選擇。如果注重計(jì)算機(jī)系統(tǒng)的平安性的話，建議用戶采用NTFS格式。如果要使用多個(gè)操作系統(tǒng)，需要安裝Win

9X或其它操作系統(tǒng)，建議用戶做成多啟動(dòng)系統(tǒng)，一個(gè)分區(qū)采用FAT32格式，另外的分區(qū)采用NTFS格式，并且將Windowds

XP安裝在NTFS格式分區(qū)下，其它操作系統(tǒng)安裝在FAT32格式下。安裝windows本卷須知?使用可靠安裝盤?將系統(tǒng)安裝在NTFS分區(qū)上?系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，因?yàn)槲④浀腎IS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。?最小化安裝效勞?只安裝必需的協(xié)議安裝windows本卷須知(cons.)?設(shè)置BIOS密碼?改變安裝的默認(rèn)路徑?安裝最新的補(bǔ)丁程序?安裝必要的防病毒軟件?安裝適宜的防火墻軟件?Ghost備份安裝的系統(tǒng)安裝windows本卷須知(cons.)?建立和選擇分區(qū)?選擇安裝目錄?不安裝多余的組件?停止多余的效勞?安裝系統(tǒng)補(bǔ)丁改變?nèi)笔“惭b目錄在2000的安裝過程中通常使用缺省目錄C:\WINNT。很多黑客工具將這個(gè)目錄用到他們的程序代碼中。在安裝過程中選擇其他目錄作為安裝目錄通常可以使大量黑客工具失效。Windows2k平安結(jié)構(gòu)Windows2k的平安包括6個(gè)主要的平安元素：

Audit,Administration,Encryption,AccessControl,UserAuthentication,CorporateSecurityPolicyWindows2k平安組件：·靈活的訪問控制：允許對(duì)象的屬主能夠完全控制，誰可以訪問這個(gè)對(duì)象以及什么樣的訪問權(quán)限?！?duì)象再利用：Windows2k明確地阻止所有應(yīng)用程序不可以訪問被另一應(yīng)用程序所占用資源內(nèi)的信息〔比方內(nèi)存和磁盤〕?！?qiáng)制登錄：與Windows2k在用戶能訪問任何資源前必須通過登錄來驗(yàn)證他們的身份?！徲?jì)：Windows2k采用單獨(dú)的機(jī)制來控制對(duì)任何資源的訪問，所以這種機(jī)制可以集中地記錄下所有的訪問活動(dòng)。·控制對(duì)象的訪問：Windows2k不允許直接訪問系統(tǒng)里的資源，這種不許直接訪問是訪問控制的關(guān)鍵。在允許訪問之前，用戶或應(yīng)用程序的權(quán)限首先被驗(yàn)證。Windows2k的對(duì)象為實(shí)現(xiàn)其平安特色，Windows2K把所有的資源都處理成特殊的對(duì)象?！舶ㄙY源本身、機(jī)制和需要訪問的程序〕把所有封裝成對(duì)象并建立單獨(dú)的機(jī)制來使用它們，微軟創(chuàng)立單獨(dú)的方法來對(duì)那些對(duì)象實(shí)行訪問控制。基于這種方法，Windows2K被稱為基于對(duì)象的操作系統(tǒng)。Windows2K對(duì)象類別·文件·目錄·打印機(jī)·輸入輸出設(shè)備·窗口·線程·進(jìn)程·內(nèi)存WindowsNT平安子系統(tǒng)的組件Securityidentifiers，平安標(biāo)識(shí)符Accesstokens，訪問令牌Securitydescriptors，平安描述符Accesscontrollists，訪問控制列表AccessControlEntries，訪問控制條目平安標(biāo)識(shí)符〔SecurityIdentifiers〕:

即我們經(jīng)常說的SID，每次當(dāng)我們創(chuàng)立一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一SID，當(dāng)你重新安裝WindowsNT后，也會(huì)得到一個(gè)唯一的SID。

SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU消耗時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500訪問令牌〔Accesstokens〕:用戶通過驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證，當(dāng)用戶試圖訪問系統(tǒng)資源時(shí)，將訪問令牌提供給WindowsNT，然后WindowsNT檢查用戶試圖訪問對(duì)象上的訪問控制列表。如果用戶被允許訪問該對(duì)象，WindowsNT將會(huì)分配給用戶適當(dāng)?shù)脑L問權(quán)限。訪問令牌是用戶在通過驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。平安描述符〔Securitydescriptors〕：WindowsNT中的任何對(duì)象的屬性都有平安描述符這局部。它保存對(duì)象的平安配置。訪問控制列表〔ACL〕訪問控制列表有兩種：任意訪問控制列表〔DiscretionaryACL〕、系統(tǒng)訪問控制列表〔SystemACL〕。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個(gè)用戶或組在任意訪問控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核效勞的，包含了對(duì)象被訪問的時(shí)間。訪問控制條目〔ACE〕每個(gè)ACE包含用戶或組的SID及對(duì)象所持有的權(quán)限。對(duì)象分配的每個(gè)權(quán)限都有一個(gè)ACE。ACE有兩種類型，允許訪問或拒絕訪問。在ACL里，拒絕訪問ACE優(yōu)于允許訪問ACE。Windows2K平安機(jī)制1．賬號(hào)平安在一個(gè)網(wǎng)絡(luò)中，用戶和計(jì)算機(jī)都是網(wǎng)絡(luò)的主體，兩者缺一不可。擁有計(jì)算機(jī)賬戶是計(jì)算機(jī)接入Windows2K網(wǎng)絡(luò)的根底，擁有用戶賬戶是用戶登錄到網(wǎng)絡(luò)并使用網(wǎng)絡(luò)資源的根底。用戶管理是Windows2K管理中必要且最經(jīng)常的工作。·計(jì)算機(jī)賬戶每個(gè)參加域的Windows2K計(jì)算機(jī)都具有計(jì)算機(jī)賬戶，否那么無法進(jìn)行連接，實(shí)現(xiàn)域資源的訪問。與用戶賬戶類似，計(jì)算機(jī)賬戶也提供驗(yàn)證和審核計(jì)算機(jī)登錄到網(wǎng)絡(luò)及訪問資源的方法。不過，一個(gè)計(jì)算機(jī)系統(tǒng)要參加到域中，只能使用一個(gè)計(jì)算機(jī)賬戶，而一個(gè)用戶可以使用多個(gè)用戶賬戶，并且可以在不同的計(jì)算機(jī)上使用自己的用戶進(jìn)行登錄。2．文件系統(tǒng)平安NTFSNTFS文件系統(tǒng)只能由WindowsNT/2000〔或更高〕提供，它使用關(guān)系型數(shù)據(jù)庫、事務(wù)處理以及對(duì)象技術(shù)，以提供數(shù)據(jù)平安以及文件可靠性的特征。它還支持文件恢復(fù)技術(shù)、大型存儲(chǔ)介質(zhì)、POSIX子系統(tǒng)以及面向?qū)ο蟮膽?yīng)用程序。NTFS的新特性包括對(duì)分層存儲(chǔ)管理的支持，這是通過重新解析點(diǎn)、磁盤配額、加密、稀疏文件、分布式連接跟蹤、分布式文件系統(tǒng)、NTFS目錄連接、卷裝配點(diǎn)、索引效勞和更改日志來實(shí)現(xiàn)的。3．Kerberosv5認(rèn)證Kerberos為分布式環(huán)境提供一種對(duì)用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法。它是一種平安的雙向身份認(rèn)證技術(shù)，特別強(qiáng)調(diào)了客戶機(jī)隊(duì)效勞器的認(rèn)證。4．NTLM認(rèn)證Windows2k中仍然保存NTLM〔NTLanMan〕認(rèn)證，以便向后兼容。Windows2k已經(jīng)支持全新的NTLM2。5．ActiveDirectory活動(dòng)目錄把域劃分為不同的組織單元，這意味著網(wǎng)絡(luò)在目錄樹中具有部門的名稱。域的樹顯示多個(gè)對(duì)象劃分后的結(jié)果，每一局部都有自己的平安性、委托關(guān)系和用戶許可證等。還可以通過活動(dòng)目錄指定局部管理員windows注冊(cè)表注冊(cè)表重要性注冊(cè)表是Windows的數(shù)據(jù)庫，這個(gè)數(shù)據(jù)庫存儲(chǔ)了計(jì)算機(jī)軟硬件的各種配置數(shù)據(jù)。因此我們優(yōu)化注冊(cè)表可以把計(jì)算機(jī)調(diào)整到最正確的狀態(tài)。－－中樞神經(jīng)！黑客入侵手段多數(shù)都是借助或篡改注冊(cè)表而進(jìn)行的。注冊(cè)表由來PC機(jī)及其操作系統(tǒng)的一個(gè)特點(diǎn)就是允許用戶按照自己的要求對(duì)計(jì)算機(jī)系統(tǒng)的硬件和軟件進(jìn)行各種各樣的配置。早期的windows操作系統(tǒng)，如Win3.x中，對(duì)軟硬件工作環(huán)境的配置是通過對(duì)擴(kuò)展名為.ini的文件進(jìn)行修改來完成的，但I(xiàn)NI文件管理起來很不方便，因?yàn)槊糠N設(shè)備或應(yīng)用程序都得有自己的INI文件，并且在網(wǎng)絡(luò)上難以實(shí)現(xiàn)遠(yuǎn)程訪問。Autoexec.batConfig.ini….注冊(cè)表由來為了克服上述這些問題，在Windows95及其后繼版本中，采用了一種叫做“注冊(cè)表〞的數(shù)據(jù)庫來統(tǒng)一進(jìn)行管理，將各種信息資源集中起來并存儲(chǔ)各種配置信息。按照這一原那么，Windows各版本中都采用了將應(yīng)用程序和計(jì)算機(jī)系統(tǒng)全部配置信息容納在一起的注冊(cè)表，用來管理應(yīng)用程序和文件的關(guān)聯(lián)、硬件設(shè)備說明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)等。與INI文件不同的是：1.注冊(cè)表采用了二進(jìn)制形式登錄數(shù)據(jù)；

2.注冊(cè)表支持子鍵，各級(jí)子關(guān)鍵字都有自己的“鍵值〞；

3.注冊(cè)表中的鍵值項(xiàng)可以包含可執(zhí)行代碼，而不是簡(jiǎn)單的字串；

4.在同一臺(tái)計(jì)算機(jī)上，注冊(cè)表可以存儲(chǔ)多個(gè)用戶的特性。

注冊(cè)表的特點(diǎn)有：1.注冊(cè)表允許對(duì)硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動(dòng)程序進(jìn)行跟蹤配置，這使得修改某些設(shè)置后不用重新啟動(dòng)成為可能。

2.注冊(cè)表中登錄的硬件局部數(shù)據(jù)可以支持高版本W(wǎng)indows的即插即用特性。當(dāng)Windows檢測(cè)到機(jī)器上的新設(shè)備時(shí)，就把有關(guān)數(shù)據(jù)保存到注冊(cè)表中，另外，還可以防止新設(shè)備與原有設(shè)備之間的資源沖突。

3.管理人員和用戶通過注冊(cè)表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，使得遠(yuǎn)程管理得以實(shí)現(xiàn)。翻開cmd五個(gè)主關(guān)鍵字(1)HKEY_CLASSES_ROOT:基層類別鍵，定義了系統(tǒng)中所有已經(jīng)注冊(cè)的文件擴(kuò)展名、文件類型、文件圖標(biāo)等。

(2)HKEY_CURRENT_USER:定義了當(dāng)前用戶的所有權(quán)限，實(shí)際上就是HKEY_USERS.Default下面的一局部?jī)?nèi)容，包含了當(dāng)前用戶的登錄信息。

(3)HKEY_LOCAL_MACHINE:定義了本地計(jì)算機(jī)(相對(duì)網(wǎng)絡(luò)環(huán)境而言)的軟硬件的全部信息。當(dāng)系統(tǒng)的配置和設(shè)置發(fā)生變化時(shí)，其下面的登錄項(xiàng)也會(huì)隨之改變。

(4)HKEY_USERS:定義了所有的用戶信息，其中局部分支將映射到HKEY_CURRENT_USER關(guān)鍵字中，它的大局部設(shè)置都可以通過控制面板來修改。

(5)HKEY_CURRENT_CONFIG:定義了計(jì)算機(jī)的當(dāng)前配置情況，如顯示器、打印機(jī)等可選外部設(shè)備及其設(shè)置信息等。它實(shí)際上也是指向HKEY_LOCAL_MACHINEConfig結(jié)構(gòu)中的某個(gè)分支的指針。修改注冊(cè)表的根本方法主鍵及其默認(rèn)鍵值的聲明格式為：

根鍵一級(jí)主鍵二級(jí)主鍵=默認(rèn)鍵值

例如，欲在根鍵HKEY_CLASSES_ROOT的“＊〞主鍵下添加一個(gè)“壓縮〞主鍵，以便通過上下文菜單直接壓縮選定的文件，其主鍵的聲明如下：

HKEY_CLASSES_ROOT＊shell壓縮(＆U)command=C:dosarj.exeaTemp＄％1其中，“shell〞和“command〞都是固定的，不能更改和替換，“shell〞指明將要為上下文菜單中添加命令，“command〞指明具體的命令行信息。另外還要注意，在等號(hào)右邊的鍵值字符串中，如果要指明文件的路徑，其中的“〞字符要使用“\"代替，等號(hào)的前后還要添加一個(gè)起分隔作用的空格。一些常見的注冊(cè)表操作禁止顯示IE的地址欄HKEY_CLASSES_ROOT\CLSID\\InProcServer32在右邊的窗口中修改字符串“默認(rèn)〞的值為“remC:\WINDOWS\SYSTEM\BROWSEUI.DLL〞禁止使用IE“internet選項(xiàng)〞中的高級(jí)項(xiàng)。HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet\Explorer\ControlPanel下在右邊的窗口中新建一個(gè)DWORD值“AdvancedTab〞，并設(shè)值為“1〞。局域網(wǎng)自動(dòng)斷開的時(shí)間HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下在右邊的窗口中新建一個(gè)DWORD值“Autodisconnect〞，并設(shè)值為你想要設(shè)置的分鐘數(shù)。為同一部電腦設(shè)置2個(gè)IP地址HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans下點(diǎn)擊0000、0001，0002留意右邊的窗口，當(dāng)你發(fā)現(xiàn)右邊窗口中的字符串"DriverDesc"的值為"TCP/IP"，修改同一窗口中的字符串"IPAddress"和"IPMask"，把IPAddress設(shè)為IP地址，如，"，把"IPMask"設(shè)為對(duì)應(yīng)的掩碼，如，"

隱藏上機(jī)用戶登錄的名字HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon下在右邊的窗口中新建字符串“DontDisplayLastUserName〞，設(shè)值為“1〞。

禁止查找用戶

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\FindExtensions\Static\WabFind下，刪除主鍵“WabFind〞。鎖定桌面HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，建立DWORD值“NoDesktop〞，將其值修改為“1〞即可。篡改ie的默認(rèn)頁hkey_local_machine\software\microsoft\internetexplorer\

main\default_page_url

“default_page_url〞這個(gè)子鍵的鍵值即起始頁的默認(rèn)頁。修改ie瀏覽器缺省主頁，并且鎖定設(shè)置項(xiàng)，禁止用戶更改回來hkey_current_user\software\policies\microsoft\internetexplorer\controlpanel

"settings"=dword:1

hkey_current_user\software\policies\microsoft\internetexplorer\controlpanel

"links"=dword:1

hkey_current_user\software\policies\microsoft\internetexplorer\controlpanel

"secaddsites"=dword:1“黑客〞利用注冊(cè)表主要包括：

A：突破局部網(wǎng)管軟件限制

B：共享特定硬盤分區(qū)并運(yùn)行指定程序

C：?jiǎn)?dòng)黑客程序等三方面，而其中又屬B、C兩方面危害較大。查殺病毒與特洛伊木馬技術(shù)病毒的定義：1988年Morris病毒的出現(xiàn)FredCohen定義：計(jì)算機(jī)病毒是一種程序，他用修改其它程序的方法將自身的精確拷貝或者可能演化的拷貝發(fā)入其它程序，從而感染其它程序病毒不是利用操作系統(tǒng)運(yùn)行的錯(cuò)誤和缺陷的程序，病毒是正常的用戶程序。國(guó)內(nèi)的定義定義：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。出處?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?病毒造成的嚴(yán)重平安事件紅色代碼2001年6月18日，微軟發(fā)布平安公告：MicrosoftIIS.IDA/.IDQISAPI擴(kuò)展遠(yuǎn)程緩沖區(qū)溢出漏洞。一個(gè)月后，利用此平安漏洞的蠕蟲“紅色代碼〞一夜之間攻擊了國(guó)外36萬臺(tái)電腦，2001年8月6日，“紅色代碼Ⅱ〞開始在國(guó)內(nèi)發(fā)作，造成很多運(yùn)營(yíng)商和企事業(yè)單位網(wǎng)絡(luò)癱瘓。給全球造成了高達(dá)26億美元的損失。SQLslammer2002年７月24日，微軟發(fā)布平安公告：MicrosoftSQLServer2000Resolution效勞遠(yuǎn)程棧緩沖區(qū)溢出漏洞。到2003年１月25日，足足6個(gè)月后，利用此平安漏洞的蠕蟲“SQLSlammer〞現(xiàn)身互聯(lián)網(wǎng)，幾天之內(nèi)給全球造成了12億美元的損失。〔2003年8月11日〕病毒的消除與預(yù)防常用病毒防范措施：〔1〕不用盜版軟件和來歷不明的磁盤。將外來盤拷入計(jì)算機(jī)之前，一定要用多種殺毒軟件交叉檢查清殺?！?〕經(jīng)常對(duì)系統(tǒng)和重要的數(shù)據(jù)進(jìn)行備份?！?〕對(duì)重要內(nèi)容的軟盤要及時(shí)貼上寫保護(hù)條?！?〕經(jīng)常用殺毒軟件對(duì)系統(tǒng)(硬盤和軟盤)進(jìn)行病毒檢測(cè)和清殺?！?〕保存一份硬盤的主引導(dǎo)記錄檔案?！?〕一旦發(fā)現(xiàn)被病毒感染，用戶應(yīng)及時(shí)采取措施，保護(hù)好數(shù)據(jù)，利用殺毒軟件對(duì)系統(tǒng)進(jìn)行查毒消毒處理。及時(shí)鏟除毒源，以免擴(kuò)散造成更大的損失。安裝高效的防病毒軟件靜態(tài)查殺病毒只是一種被動(dòng)的方式，為保險(xiǎn)起見，最好能在機(jī)器內(nèi)安裝一種能實(shí)時(shí)防殺病毒的軟件，起到“防火墻〞的作用。定期更新病毒庫是關(guān)鍵

要加強(qiáng)數(shù)據(jù)的備份意識(shí)對(duì)于重要的系統(tǒng)信息、重要的用戶數(shù)據(jù)、重要的系統(tǒng)參數(shù)等都要經(jīng)常進(jìn)行備份。要準(zhǔn)備好絕對(duì)無毒的系統(tǒng)軟盤，這樣一旦被病毒感染，就能夠利用系統(tǒng)盤對(duì)硬盤進(jìn)行快速恢復(fù)。

特洛伊木馬由來TrojanHorse希臘荷馬史詩中的?木馬屠城記?古希臘大軍圍攻特洛伊城，久久無法攻下。于是有人獻(xiàn)計(jì)制造一只高兩丈的大木馬，讓士兵藏匿于巨大的木馬中，假裝撤退。城中得知解圍的消息后，將“木馬〞作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。午夜時(shí)分，匿于木馬中的將士悄悄殺出，開啟城門及四處縱火，里應(yīng)外合，焚屠特洛伊城。黑客程序借用其名，真有“一經(jīng)潛入，后患無窮〞之意。特洛伊木馬木馬不同于病毒，但經(jīng)常被視作病毒處理，隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽；木馬的實(shí)質(zhì)只是一個(gè)通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/效勞程序特洛伊木馬的種類遠(yuǎn)程控制型輸出shell型信息竊取型其它類型木馬原理木馬是如何進(jìn)入城中的〔種植〕，是如何隱藏的，又是如何殺出的〔運(yùn)行〕。1種植軟件下載瀏覽網(wǎng)頁翻開郵件或別人發(fā)來的文件二合一捆綁文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、ExeBundle等。2隱藏1開機(jī)自動(dòng)運(yùn)行；改寫了win.ini，注冊(cè)表的啟動(dòng)項(xiàng)，system.ini等AWin.ini木馬要想到達(dá)控制或者監(jiān)視計(jì)算機(jī)的目的，必須要運(yùn)行，然而沒有人會(huì)傻到自己在自己的計(jì)算機(jī)中運(yùn)行這個(gè)該死的木馬。當(dāng)然，木馬也早有心理準(zhǔn)備，知道人類是高智商的動(dòng)物，不會(huì)幫助它工作的，因此它必須找一個(gè)既平安又能在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的地方，于是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨翻開Win.ini來看看，在它的[windows]字段中有啟動(dòng)命令“l(fā)oad=〞和“run=〞，在一般情況下“=〞后面是空白的，如果有后跟程序，比方說是這個(gè)樣子:run=c:\windows\file.exeload=c:\windows\file.exe這時(shí)你就要小心了，這個(gè)file.exe很可能是木馬哦。B注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run〞開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run〞開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run〞開頭的鍵值。CWindows安裝目錄下的System.ini在該文件的[boot]字段中，是不是有這樣的內(nèi)容，那就是shell=Explorer.exefile.exe，如果確實(shí)有這樣的內(nèi)容，那你就不幸了，因?yàn)檫@里的file.exe就是木馬效勞端程序!另外，在System.ini中的[386Enh]字段，要注意檢查在此段內(nèi)的“driver=路徑\程序名〞，這里也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個(gè)字段，這些段也是起到加載驅(qū)動(dòng)程序的作用，但也是增添木馬程序的好場(chǎng)所

D啟動(dòng)組有時(shí)木馬并不在乎自己的行蹤，它更注意的是能否自動(dòng)加載到系統(tǒng)中，因?yàn)橐坏┠抉R加載到系統(tǒng)中，你就無法刪除這個(gè)文件。C:\windows\startmenu\programs\startupHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup="C:\windows\startmenu\programs\startupE進(jìn)程隱藏：在98下很容易，只要將其注冊(cè)為系統(tǒng)進(jìn)程就可。然而2000中，進(jìn)程是無處藏身的，什么都逃不出任務(wù)管理器得如來神掌。然而，任務(wù)管理器中并不顯示dll，dll是windows函數(shù)庫，不能獨(dú)立運(yùn)行，一般是由進(jìn)程加載并調(diào)用的。然后用一個(gè)可信進(jìn)程來調(diào)用這個(gè)木馬dll，由于dll作為了可信進(jìn)程的一局部，因此也被視為可信的。比方自己寫一個(gè)木馬dll來替換kernel32.dll.，截獲并處理特定的信息。原來命名為oldkernel32.dll，如遇到不認(rèn)識(shí)的調(diào)用仍然交由oldkernel32.dll處理，可用函數(shù)轉(zhuǎn)發(fā)器完成，而我們的木馬dll僅完成特定的調(diào)用。3運(yùn)行完整的木馬程序一般采用C/S方式，由兩個(gè)部份組成：一個(gè)是效勞器端程序，一個(gè)是客戶端程序。效勞器負(fù)責(zé)翻開攻擊的道路，就像一個(gè)內(nèi)奸特務(wù)；客戶端負(fù)責(zé)攻擊目標(biāo)，兩者需要一定的網(wǎng)絡(luò)協(xié)議來進(jìn)行通訊〔一般是TCP/IP協(xié)議〕。一旦連接，客戶端就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為。serverclient除了普通的文件操作del，dir，修改配置文件等，木馬具有搜索cache中的口令、查看windows鍵盤事件、遠(yuǎn)程注冊(cè)表的操作等，甚至開一個(gè)視頻觀看你得屏幕在做什么，完全控制了對(duì)方的計(jì)算機(jī)。Netbus客戶端程序NetBus傳輸NetBus使用TCP建立會(huì)話。缺省情況下用12345端口進(jìn)行連接，12346端口進(jìn)行數(shù)據(jù)傳輸跟蹤NetBus的活動(dòng)比較困難。可以通過檢查12346端口數(shù)據(jù)來確定許多類似的程序使用固定的端口，你可以掃描整個(gè)的網(wǎng)絡(luò)監(jiān)測(cè)可疑的活動(dòng)。簡(jiǎn)單方法netstat-an反彈型特洛伊木馬可穿透防火墻，控制局域網(wǎng)機(jī)器效勞器端主動(dòng)發(fā)起連接，控制端監(jiān)聽80端口自動(dòng)上線通知Email發(fā)送讀取主頁空間的某個(gè)文件網(wǎng)絡(luò)神偷、灰鴿子、魔法控制解決方法安裝防病毒軟件和個(gè)人防火墻檢查可疑的進(jìn)程和監(jiān)聽端口提高平安警惕性網(wǎng)絡(luò)神偷工作原理連接方式效勞器端主動(dòng)發(fā)起連接到客戶端80端口Server:1026Client:80效勞端上線通知原理利用Email利用主頁空間網(wǎng)絡(luò)神偷主界面網(wǎng)絡(luò)神偷主界面木馬新技術(shù)加殼，其原理如同加密解密一樣〔！信息隱藏舉例〕。木馬啟動(dòng)后立即分析當(dāng)前進(jìn)程，查找有沒有常見防火墻，殺毒軟件，ids的進(jìn)程，如果有就殺無赦。如果是新木馬肯定殺不出。這主要是與現(xiàn)行的殺毒，ids的運(yùn)行機(jī)制有關(guān)。--基于特征碼的匹配。為什么每出現(xiàn)一個(gè)新的，全世界很多人受害之后才去處理它,馬后炮。我們應(yīng)該改換思路，建立平安預(yù)警預(yù)報(bào)系統(tǒng)，主動(dòng)出擊，模糊地推斷出疑似的木馬。無線網(wǎng)絡(luò)中的木馬而且現(xiàn)在的木馬不光是盜取計(jì)算機(jī)用戶密碼，還出現(xiàn)了木馬。經(jīng)常有人里的信息喪失，費(fèi)被盜用?？梢姡熬G色通信，健康通信〞不光是指信號(hào)好，更重要的應(yīng)該是的信息平安，這包括無線的通話信息以及有線的效勞器平臺(tái)的平安。所以我認(rèn)為,木馬,病毒將是今后信息平安的一個(gè)研究熱點(diǎn).911病毒木馬去除A采用殺毒軟件或?qū)⒐ぞ呷コ抉R克星QQ木馬病毒專殺大師木馬殺客B手動(dòng)借助注冊(cè)表去除1．去除傳奇擊鍵記錄器進(jìn)入注冊(cè)表進(jìn)行手工查殺，單擊“開始〞→“運(yùn)行〞，在運(yùn)行欄中輸入：Regedit，啟動(dòng)注冊(cè)表。然后找到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run項(xiàng)。刪除名稱為TaskMonitor字符串項(xiàng)。再修改Win.ini，清空“RUN=〞后面的內(nèi)容(run=C:\Windows\mstasks.exe)。最后在C：\Windows\System\(Windows9x系統(tǒng))和C:\WINNT\System32(Win2000系統(tǒng))目錄下面找到Taskmom.exe，將這個(gè)程序刪除掉。2．a(chǎn)ckdoor.Neodurk木馬的去除進(jìn)入注冊(cè)表編輯器，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrntVersion\Run中，將鍵值Runapp32刪除，到系統(tǒng)Windows目錄下將C:\Windows\Runapp32.exe去除即可。3．去除木馬ShareQQ首先用進(jìn)程管理軟件終止spolsv.exe這個(gè)進(jìn)程(或到純DOS下)，然后到Windows\system文件夾下將spplsv.exe文件刪除，順便刪除的還有debug.dll、MSIME5f594f58.dII兩個(gè)文件，再到Windows目錄下刪除Winin.exe文件。然后翻開注冊(cè)表，到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurretVersionRun下，刪除名為“netconfig〞的字符串、再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\RunOnce下，刪除“Winin〞字符串。重新啟動(dòng)電腦即可。4.去除廣外女生木馬(l)到純DOS模式下，找到SyStem目錄下的DIAGFG.EXE，刪除它；(2)由于DIAGCFG.EXE文件已經(jīng)被刪除了，因此在Windows環(huán)境下所有exe文件都將無法運(yùn)行。(3)找到Windows目錄中的注冊(cè)表編輯器Regedit.exe，將它改名為“Regedit〞，回到Windows模式下，運(yùn)行Windows目錄下的Regedit程序；(4)找到HKEY_CLASSES_ROOT\exefile\shell\open\command，將其默認(rèn)健值改成〞％1〞％*，找到HKEY_LocAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，刪除其中名稱為“DiagnosticConfiguration〞的鍵值；(5)關(guān)掉注冊(cè)表編輯器、回到Windows目錄，將“Rcgedit〞改回“Regedit.exe〞，重新啟動(dòng)電腦。5去除冰河木馬(1)運(yùn)行regedit進(jìn)入注冊(cè)表。(2)到“\我的電腦\HKEY_CLASSES_ROOT\txtfile\shell\open\command〞。(3)將“默認(rèn)〞的數(shù)據(jù)記下(例如：c:\windows\c_server.exe)。(4)將“默認(rèn)〞的數(shù)據(jù)改為“c：\windows\notepad.exe%1〞。(5)重新啟動(dòng)電腦，進(jìn)入dos模式。(6)把“c:\windows\c_server.exe〞刪除。最后，重新啟動(dòng)電腦。6去除?灰鴿子?翻開注冊(cè)表編輯器應(yīng)為：翻開“開始“菜單〞中的“運(yùn)行〞然后輸入“Regedit〞。啟動(dòng)注冊(cè)表編輯器后，依次翻開“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run〞，在右邊的窗口中刪除名稱為“Loadwindows〞的鍵值就可以了。去除文件關(guān)聯(lián)灰鴿子可以設(shè)置4種文件關(guān)聯(lián)：exe關(guān)聯(lián)，txt關(guān)聯(lián)，ini關(guān)聯(lián)，inf關(guān)聯(lián)，其中exe關(guān)聯(lián)可以和其他三種類型同時(shí)存在，只要將這些關(guān)聯(lián)改回默認(rèn)值即可。至此，?灰鴿子?已經(jīng)被你徹底去除了。Windows常用網(wǎng)絡(luò)平安命令1.最根本，最常用的，測(cè)試物理網(wǎng)絡(luò)的PING

ping－t，參數(shù)－t是等待用戶去中斷測(cè)試注意空格！2.查看DNS、IP、Mac等

A.Win98：winipcfg

B.Win2000以上：Ipconfig/all

C.NSLOOKUP：如查看河北的DNS

C:\>nslookup

DefaultServer:

Address:8

>server那么將DNS改為了41.2

>pop.pcpop

Server:

Address:8

Non-authoritativeanswer:

Name:pop.pcpop

Address:123.網(wǎng)絡(luò)信使Netsend計(jì)算機(jī)名/IP*(播送)傳送內(nèi)容，注意不能跨網(wǎng)段

netstopmessenger停止信使效勞，也可以在面板－效勞修改

netstartmessenger開始信使效勞“局域網(wǎng)使用的qq〞4.探測(cè)對(duì)方對(duì)方計(jì)算機(jī)名，所在的組、域及當(dāng)前用戶名〔追捕的工作原理〕

ping－aIP－t，只顯示NetBios名

nbtstat-a46顯示比較全的5.netstat-a顯示出你的計(jì)算機(jī)當(dāng)前所開放的所有端口

netstat-s-e比較詳細(xì)的顯示你的網(wǎng)絡(luò)資料，包括TCP、UDP、ICMP和IP的統(tǒng)計(jì)等端口對(duì)黑客攻擊時(shí)的準(zhǔn)備階段是最重要的數(shù)據(jù)之一。6.探測(cè)arp綁定〔動(dòng)態(tài)和靜態(tài)〕列表，顯示所有連接了我的計(jì)算機(jī)，顯示對(duì)方IP和MAC地址

arp-a7.在代理效勞器端

捆綁IP和MAC地址，解決局域網(wǎng)內(nèi)盜用IP?。?/p>

ARP－s900－50－ff－6c－08－75

解除網(wǎng)卡的IP與MAC地址的綁定：

arp-d網(wǎng)卡IP8.在網(wǎng)絡(luò)鄰居上隱藏你的計(jì)算機(jī)netconfigserver/hidden:yes

netconfigserver/hidden:no那么為開啟9.其他幾個(gè)net命令A(yù).顯示當(dāng)前工作組效勞器列表netview，當(dāng)不帶選項(xiàng)使用本命令時(shí)，它就會(huì)顯示當(dāng)前域或網(wǎng)絡(luò)上的計(jì)算機(jī)上的列表。

比方：查看這個(gè)IP上的共享資源，就可以

C:\>netview

在的共享資源

資源共享名類型用途注釋

網(wǎng)站效勞Disk

命令成功完成。

B.查看計(jì)算機(jī)上的用戶帳號(hào)列表netuser

C.查看網(wǎng)絡(luò)鏈接netuse

例如：netusez:\\\movie將這個(gè)IP的movie共享目錄映射為本地的Z盤

D.記錄鏈接netsession

例如：

C:\>netsession

計(jì)算機(jī)用戶名客戶類型翻開空閑時(shí)間

\\10ROMEWindows20002195000:03:12

\\1ROMEWindows20002195000:00:39

命令成功完成。10.路由跟蹤命令

A.tracertpop.pcpop

B.pathpingpop.pcpop除了顯示路由外，還提供325S的分析，計(jì)算喪失包的％11.關(guān)于共享平安的幾個(gè)命令

A.查看你機(jī)器的共享資源netshare

B.手工刪除共享〔可以編個(gè)bat文件，開機(jī)自運(yùn)行，把共享都刪了！〕

netsharec$/d

netshared$/d

netshareipc$/d

netshareadmin$/d

注意$后有空格。

C.增加一個(gè)共享：

c:\netsharemymovie=e:\downloads\movie/users:1

mymovie共享成功。

同時(shí)限制鏈接用戶數(shù)為1人。12CMD下設(shè)置靜態(tài)IP

netsh

netsh>int

interface>ip

interfaceip>setadd"本地鏈接"staticIP地址maskgateway13Netstat

顯示活動(dòng)的TCP連接、計(jì)算機(jī)偵聽的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP路由表、IPv4統(tǒng)計(jì)信息〔對(duì)于IP、ICMP、TCP和UDP協(xié)議〕以及IPv6統(tǒng)計(jì)信息〔對(duì)于IPv6、ICMPv6、通過IPv6的TCP以及通過IPv6的UDP協(xié)議〕。使用時(shí)如果不帶參數(shù)，netstat顯示活動(dòng)的TCP連接。

語法

netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]

參數(shù)

-a

顯示所有活動(dòng)的TCP連接以及計(jì)算機(jī)偵聽的TCP和UDP端口。

-e

顯示以太網(wǎng)統(tǒng)計(jì)信息，如發(fā)送和接收的字節(jié)數(shù)、數(shù)據(jù)包數(shù)。該參數(shù)可以與-s結(jié)合使用。

-n

顯示活動(dòng)的TCP連接，不過，只以數(shù)字形式表現(xiàn)地址和端口號(hào)，卻不嘗試確定名稱。

-o

顯示活動(dòng)的TCP連接并包括每個(gè)連接的進(jìn)程ID(PID)?？梢栽赪indows任務(wù)管理器中的“進(jìn)程〞選項(xiàng)卡上找到基于PID的應(yīng)用程序。該參數(shù)可以與-a、-n和-p結(jié)合使用。

-pProtocol

顯示Protocol所指定的協(xié)議的連接。在這種情況下，Protocol可以是tcp、udp、tcpv6或udpv6。如果該參數(shù)與-s一起使用按協(xié)議顯示統(tǒng)計(jì)信息，那么Protocol可以是tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6或ipv6。

-s

按協(xié)議顯示統(tǒng)計(jì)信息。默認(rèn)情況下，顯示TCP、UDP、ICMP和IP協(xié)議的統(tǒng)計(jì)信息。如果安裝了WindowsXP的IPv6協(xié)議，就會(huì)顯示有關(guān)IPv6上的TCP、IPv6上的UDP、ICMPv6和IPv6協(xié)議的統(tǒng)計(jì)信息?？梢允褂?p參數(shù)指定協(xié)議集。

-r

顯示IP路由表的內(nèi)容。該參數(shù)與routeprint命令等價(jià)。

Interval

每隔Interval秒重新顯示一次選定的信息。按CTRL+C停止重新顯示統(tǒng)計(jì)信息。如果省略該參數(shù)，netstat將只打印一次選定的信息。

/?

在命令提示符顯示幫助。注釋

與該命令一起使用的參數(shù)必須以連字符(-)而不是以短斜線(/)作為前綴。

Netstat提供以下統(tǒng)計(jì)信息：

Proto

協(xié)議的名稱〔TCP或UDP〕。

LocalAddress

本地計(jì)算機(jī)的IP地址和正在使用的端口號(hào)。如果不指定-n參數(shù)，就顯示與IP地址和端口的名稱對(duì)應(yīng)的本地計(jì)算機(jī)名稱。如果端口尚未建立，端口以星號(hào)〔*〕顯示。

ForeignAddress

連接該插槽的遠(yuǎn)程計(jì)算機(jī)的IP地址和端口號(hào)碼。如果不指定-n參數(shù)，就顯示與IP地址和端口對(duì)應(yīng)的名稱。如果端口尚未建立，端口以星號(hào)〔*〕顯示。

(state)

說明TCP連接的狀態(tài)。可能的狀態(tài)如下：

CLOSE_WAIT

CLOSED

ESTABLISHED

FIN_WAIT_1

FIN_WAIT_2

LAST_ACK

LISTEN

SYN_RECEIVED

SYN_SEND

TIMED_WAIT只有當(dāng)網(wǎng)際協(xié)議(TCP/IP)協(xié)議在網(wǎng)絡(luò)連接中安裝為網(wǎng)絡(luò)適配器屬性的組件時(shí)，該命令才可用。

范例

要想顯示以太網(wǎng)統(tǒng)計(jì)信息和所有協(xié)議的統(tǒng)計(jì)信息，請(qǐng)鍵入以下命令：

netstat-e-s

要想僅顯示TCP和UDP協(xié)議的統(tǒng)計(jì)信息，請(qǐng)鍵入以下命令：

netstat-s-ptcpudp

要想每5秒鐘顯示一次活動(dòng)的TCP連接和進(jìn)程ID，請(qǐng)鍵入以下命令：

nbtstat-o5

Windows平安產(chǎn)品防火墻1、硬件防火墻NETSCREEN、NORTEL、CISCO2、基于專用PC結(jié)構(gòu)的防火墻CISCO、NOKIA、WATCHGUARD、SAMSUNG3、軟件防火墻CHECKPOINT、NORTON殺毒軟件國(guó)外NortonMcafee趨勢(shì)Panda國(guó)內(nèi)金山毒霸瑞星KV系列KILL系列入侵檢測(cè)產(chǎn)品啟明星辰“天闐〞IDS海信“眼鏡蛇〞IDS捷普“jump〞IDS中聯(lián)綠盟“冰之眼〞IDSWindows升級(jí)效勞〔WSUS〕Why很多網(wǎng)絡(luò)管理員沒有訪問平安站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著效勞器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點(diǎn)平安漏洞，經(jīng)常訪問微軟和一些平安站點(diǎn)，下載最新的servicepack和漏洞補(bǔ)丁，是保障效勞器長(zhǎng)久平安的唯一方法。Windows更新熱補(bǔ)丁Hotfix-針對(duì)特定的漏洞，問題補(bǔ)丁包ServicePack(SP)用戶無法選擇某項(xiàng)功能自動(dòng)更新補(bǔ)丁微軟相關(guān)產(chǎn)品－office,outlook,IE…黑色的星期二添加/刪除程序后可能要重新打補(bǔ)丁WSUSWindowsServerUpdateServices是Windows操作系統(tǒng)的升級(jí)效勞，通過在內(nèi)部網(wǎng)絡(luò)中配置WSUS效勞器，所有Windows的更新都能集中下載到這個(gè)效勞器中，內(nèi)部網(wǎng)絡(luò)中的客戶機(jī)就可以通過WSUS效勞器得到更新。WSUS的安裝主要分4個(gè)步驟：系統(tǒng)準(zhǔn)備與輔助軟件的安裝；WSUS效勞器的安裝；配置和管理WSUS效勞器；客戶機(jī)設(shè)置。系統(tǒng)準(zhǔn)備與輔助軟件的安裝最低硬件要求奔騰III750MHz或更高的處理器，512MB內(nèi)存，8GB硬盤空間，NTFS文件系統(tǒng)格式，如需要升級(jí)的客戶機(jī)在500臺(tái)以上，對(duì)CPU的要求更高，內(nèi)存應(yīng)在1GB以上軟件要求：①操作系統(tǒng)安裝：只有包含SP4或更高版本的Windows2000AdvancedServer〔Windows2000Server〕，以及WindowsServer2003才能夠作為WSUS效勞器，建議采用Windows2000AdvancedServer。

②在操作系統(tǒng)上安裝MicrosoftInternetInformationServices〔IIS〕5.0。

③在操作系統(tǒng)上安裝BackgroundIntelligentTransferService〔BITS〕2.0。

④在操作系統(tǒng)上安裝MicrosoftSQLServer2000及SQL的SP4補(bǔ)丁。

⑤在操作系統(tǒng)上安裝MicrosoftInternetExplorer6.0ServicePack1。

⑥在操作系統(tǒng)上安裝Microsoft

.NETFrameworkVersion1.1RedistributablePackage。

⑦在操作系統(tǒng)上安裝Microsoft

.NETFramework1.1ServicePack1。

⑧最后打好所有的系統(tǒng)補(bǔ)丁。

安裝WSUS①下載WSUS安裝程序。

②翻開下載的WSUSSetup.exe文件，啟動(dòng)安裝程序。

③單擊“下一步〞，在“最終用戶許可協(xié)議〞步驟中選擇“IacceptthetermsintheLicenseAgreement〞，并單擊“下一步〞。

④選擇存儲(chǔ)分區(qū)，用來存放WSUS下載的更新文件。要注意的是，這個(gè)分區(qū)必須是NTFS格式，并且最少要有6GB的自由空間。

⑤接下來是選擇安裝WMSDE數(shù)據(jù)的存儲(chǔ)分區(qū)，這個(gè)分區(qū)也必須是NTFS格式，以及最少要有2GB的自由空間，如果把它與存儲(chǔ)本地更新文件裝在同一個(gè)分區(qū)，這個(gè)分區(qū)最少要有8GB的自由空間。

⑥選擇WSUS站點(diǎn)的管理工具與WEB效勞網(wǎng)站的端口，可以使用默認(rèn)端口(80)或是選擇一個(gè)獨(dú)立的端口(8530)，這是不能更改的。如果效勞器上面還有別的網(wǎng)站，建議使用8530端口來實(shí)現(xiàn)WSUS的管理以及WEB效勞更新。這里使用系統(tǒng)推薦的80端口。

⑦WSUS提供了鏡像管理效勞功能，它可以從網(wǎng)絡(luò)上的另一臺(tái)WSUS效勞器中復(fù)制已批準(zhǔn)的更新列表。

接下來就是安裝程序的自動(dòng)安裝過程，大概需要15分鐘左右。配置和管理WSUS效勞器從安裝時(shí)提示的管理地址進(jìn)入WSUS的WEB管理界面。

點(diǎn)擊右上方“選項(xiàng)〞菜單，進(jìn)行系統(tǒng)設(shè)置。

①點(diǎn)擊“同步選項(xiàng)〞?？梢赃x擇手動(dòng)同步效勞器，查看同步狀態(tài)，指定代理效勞器設(shè)置以及管理更新。也可以設(shè)置同步更新的時(shí)間，以及要求從微軟站點(diǎn)下載的產(chǎn)品、更新分類、代理效勞器、更新源以及更新文件和語言。

②更新源：可以選擇讓該WSUS效勞器與MicrosoftUpdate或者網(wǎng)絡(luò)上的某臺(tái)上游WSUS效勞器同步更新信息。如果使用SSL，請(qǐng)確保上游WSUS效勞器配置為支持SSL。此效勞器上的端口設(shè)置必須配置為與上游WSUS效勞器匹配。

③自動(dòng)批準(zhǔn)選項(xiàng)：可以指定如何為選定組自動(dòng)批準(zhǔn)更新的安裝或檢測(cè)，以及如何批準(zhǔn)對(duì)現(xiàn)有更新的修訂，即WSUS對(duì)同步下載的補(bǔ)丁是否執(zhí)行自動(dòng)批準(zhǔn)參加系統(tǒng)的分發(fā)庫的命令，并設(shè)置分發(fā)的對(duì)象即計(jì)算機(jī)組。

④更新的修訂：對(duì)于已批準(zhǔn)的更新，有時(shí)會(huì)有更新版本發(fā)布，可以選擇是否自動(dòng)批準(zhǔn)修訂。如果不選擇自動(dòng)批準(zhǔn)修訂版本，那么舊版本將繼續(xù)保持已批準(zhǔn)狀態(tài)。

⑤WSUS更新：需要WSUS更新，以確?？梢哉_更新計(jì)算機(jī)。如果WSUS更新未得到批準(zhǔn)，那么計(jì)算機(jī)可能無法正確檢測(cè)某些更新，默認(rèn)是批準(zhǔn)的。客戶機(jī)設(shè)置如果客戶機(jī)與WSUS效勞器在同一個(gè)域中，那么只要通過域功能分發(fā)一下即可。如客戶機(jī)與WSUS效勞器不在同一個(gè)域中，那么每一臺(tái)客戶機(jī)都必須作如下設(shè)置才能起作用：

①翻開“開始〞菜單，點(diǎn)擊“運(yùn)行〞，輸入“Gpedit.msc〞，啟動(dòng)Windows策略組。

②在策略組中，點(diǎn)擊“管理模板〞，選擇“添加/刪除模板〞，點(diǎn)擊“添加〞，選擇“wuau.adm〞，再點(diǎn)“翻開〞即可?！矆D一〕

③雙擊“配置自動(dòng)更新〞，在翻開窗口中，選擇“啟用〞。

④雙擊“指定InternetMicrosoft更新效勞位置〞，在翻開窗口中，選擇“啟用〞，并在紅色框中填上〔SUS效勞器IP〕即可?！矆D二〕

⑤為保證客戶機(jī)立即更新，要在“開始〞菜單下“運(yùn)行〞中輸入“secedit/refreshpolicymachine_policy/enforce〞，