（文章里的毒不僅僅是病毒）

你的電腦安全嗎？你的電腦可以防黑嗎？

我現在就跟大家說說手動殺毒的幾個常用的方法。你也許會說現在的殺毒軟件那么多啊，為什么我們還要學習用手動來殺毒呢？你想想病毒的產生肯定是比你的殺毒軟件的升級快很多的，既然是那個樣子的話，我們學習手動殺毒就對我們很有幫助，也可以讓我們更加熟悉計算機的進程以及對我們將來學習更多的計算機技術打下很好的基礎。費話多說了，現在我們開始。因為我使用的是XP操作系統，那這里就以XP的版本先給大家講解一下。

首先，對于自己的計算機要有洞悉力，說得通俗點就是如果發現什么不對的就要考慮下是什么原因了。因為是講手工殺毒那就先講中毒的幾個特別征兆，例如：你的電腦在上網的時候自己會打開不知名的網站（惡意代碼也是會這樣的啊，我們也把它暫時當病毒吧）；你的電腦的速度變得很慢很慢，特別是開機的時候要很久；你的電腦文件有的開不了；有時候點一個陌生的文件突然一閃而過；有時候總跳出非法操作……可以說你覺得很可疑的時候，都可能是中了病毒。那么我們就要找到病毒。

1.找到病毒

進程法：有的病毒在熱啟動（CTRL+ALT+DEL)就可以看出來，它們總是想隱藏自己成為系統里面的特殊文件，仔細看就可以看出貓膩了。什么把l(字母）寫成1（數字）啦，把O（字母）變成了0的啊，更好笑的是連大小寫都出來了，其實只要認真看問題就簡單。如果你對進程不是很了解的話，建議把它名字記下來去百度找找，應該可以找到答案。特別要注意的是你在用熱啟動的時候，最好不要開任何文件和軟件，這樣比較好辨認。

啟動法：現在的病毒和木馬都會自己隨系統而啟動，那么我們就可以根據這個把它找到。開始——運行——輸入msconfig在啟動選項就可以看到啟動的項目和命令還有位置，把你覺得十分可疑的前面的溝去掉就可以了。記下那些可疑的啟動項命令的地址，將來殺的時候能夠用到。這樣可就看到病毒了，也可以在運行里面輸入regedit（注冊表），HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce，還有RunServices和Run，還有另外一個HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce，以及RunServices和Run的可疑的啟動文件都刪就好。

文件法：這個比較難麻煩，一步步來就好。我們先打開“我的電腦”工具欄里面的“工具選項”——“查看”——“隱藏受保護的操作系統文件（推薦）”的勾去掉，選擇顯示所有文件和文件夾，去以下的文件夾看看有沒有可疑的文件。


（系統盤用X：/表示）
X：/
X：/WINOWS
X：/WINDOWS/SYSTEM32
X：/WINDOWS/SYSTEM
X：/Program Files/Internet Explorer
X：/windows/Temporary Internet Files/Temporary Internet Files
X:/temp 還有X:/winows/temp
X:/Documents and Settings/Administrator/Templates
x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files
X:/Documents and Settings/Administrator/Local Settings/Temp


還有各個分區的這些文件夾里面都是病毒常常光顧的地方。有的文件很多，象SYSTEM32就有幾百個，怎么找呢？建議使用右鍵排列圖標——修改時間，這樣就快很多了。

系統編輯器法：運行——sysedit看有沒有可疑的文件，可是這個最好不要亂修改（比較危險），不確定的話還是去搜索下比較好。

2.殺毒

前面說了幾種的找毒的方法，根據上面的話，我們就可以知道病毒的名稱和地址。那么還不開工，殺毒最好是在斷網和在安全模式的時候，為什么呢？據說是在DOS下殺毒的時候最好，可是對于殺毒新手的話，我還是認為先從安全模式下殺比較好，有GUI（圖形系統）比那黑白DOS強多了。開機——按F8進入安全模式，使用文件法的前幾步使隱藏文件顯示，進去我的電腦按F3搜索界面，接著是搜索刪文件。記得，在更多搜索選項要全選。刪掉了之后還要記得在各個盤的回收站里面的東西全刪去，每個盤的回收站都是叫Recycled的。

可是有的病毒是很狡猾的啊，那么我們就要用到工具。介紹幾個我常用來輔助殺毒的工具：一個是Tcpview，查看端口是否存在問題，如果有木馬可是一看就能發現的。還有就是IceSword和windows優化大師的WinProcess，我個人比較喜歡的是WinProcess，因為它查看進程的時候可以在網上搜索到跟進程相似的東西，省去自己上網輸入進程名字的步驟，方法是進程描述中的更多相關信息。

電腦病毒總是突如其來、在我們不經意的時候光顧，而它們經常是通過我們非常熟悉且為之做好準備的方式來訪。好像兩年前，在宏病毒盛行的時代，美麗莎(Melissa)病毒借助Word宏瘋狂肆虐了一把。而在蠕蟲病毒頻頻鬧事之際，愛蟲（ILOVEYOU）病毒在Outlook地址簿上搜索到聯系人后，“情書”一時滿天飛，一句“I Love you”讓人讀到心潮澍湃，激情萬分！


最新版的Outlook 2002卻不再讓您打開像宏這樣的特殊類型的附件了，同時還會防止惡意代碼盜取您的Outlook地址簿，以免向外大量發送帶毒郵件。

然而，病毒作者似乎早預料到這種防范方法一定會在曾經對他們完全開放的電子郵件領域出現。不過，道高一尺，魔高一丈，他們也很快適應下來，并以新的方式編寫了許多新一代病毒。所幸的是，病毒編寫者們不會有多大創新性的做法了，僅僅是將在互聯網上找到的惡意代碼拷貝并按照他們的意圖進行修改罷了。

盡管如此，還是有些新的技巧近年被用在蠕蟲及病毒上了，這無疑讓人看到新一代病毒正在被不斷編寫出來。下面是最近出現的新病毒發展趨勢，并就如何保護自己給出了一些建議：

一、借助郵件客戶端

由于Outlook已變得越來越安全，新病毒只好通過郵件客戶端了。如笑哈哈(Shoho)病毒利用自帶的SMTP引擎發送帶毒郵件，這就使得它在郵件客戶端處躲過了任何軟件的防范了。

而Tariprox.B病毒則使用了不同的方法：它通過劫持您的郵件，記下郵件客戶端，并將惡意代碼寫入郵件客戶端。幸運的是，Tariprox并未傳播開來。即使這樣，防范這種病毒最好的方法就是在您的個人PC上安裝防火墻，若還沒有安裝，那就趕快行動吧！

二、通過URL及附件

過去曾對URL及附件有著某種神圣的信任感。然后，最近新出現的病毒無疑會讓這種信任感大打折扣。以MYParty病毒為例，當您點擊一個鏈接連到過某個網頁后，您就不自覺地中招了！而Gigger病毒在您點擊名為mmsn_offline.htm的郵件附件時，您的愛機就于無聲中被“撞了一下腰”。這是因為Outlook2002并沒有設計用來阻止直接的網頁鏈接或.htm文件。

對此的建議是，首先千萬別打開附件。第二，若您無需Windows Script Hosting，那就請關掉吧。Gigger便是利用Windows Script Hosting來感染用戶的一種JavaScript蠕蟲。

三、瞄準即時信息

攻擊MSN Messenger的即時信息病毒，雖然較少，但它們是完全拋開了電子郵件而借助即時聊天工具來傳播的病毒。前不久出現的CoolNow病毒就能夠從MSN Messenger中獲取聯系人地址，然后將其副本向這些聯系人發送，并且在所發送的信息當中，誘使用戶進入一個感染了惡意Javascript的網頁。針對于此，您最好通過瀏覽微軟Update站點或查看微軟的技術服務網絡來獲取微軟產品的最新安全補丁。

四、病毒加黑客的雙重攻擊

去年夏季出現的尼姆達病毒，本不該令我們感到震驚，但病毒與黑客的雙重攻擊確實讓我們吃驚不小。它利用了服務器及電腦的幾個常見漏洞。對于服務器，它會攻擊微軟的IIS，并創建被感染的網頁讓您下載。在臺式電腦上，它會創建帶毒的郵件并發送給地址簿中的所有聯系人，同時或通過共享網絡傳播。

綜觀全文，我們知道新一代病毒是如何工作的了吧？僅從編寫病毒的最新趨勢來判斷，它們可能完全通過Outlook或感染即時信息客戶端。不管哪種方式，遇到病毒時你我都不必驚慌，或許來襲的病毒我們曾似曾相識，所以希望我們為迎戰新病毒時代作好準備吧！

由于多數監測軟件是商業性質，同時使用過一個付費的監測服務感覺效果并不理想，于是動手弄了一個自己的監測系統，使用DOS批處理操作。

原理：
使用了一個Wget.exe 的Win32版本用以從網站下載文件，利用批處理命令檢測文件是否抓取成功，如果成功，刪除已經下載的文件，退出批處理，如果不成功，利用安裝在電腦上的modem撥打某個電話號碼，使用特定的振鈴次數通知網站發生故障。

測試后將批處理放到windows中的計劃任務中周期執行。

注意：wget.exe需要放置到與批處理相同的目錄，或者放入windows系統目錄。

批處理文件：

monitor.bat
@echo off
echo.>>wget.log
rem 使用wget下載網頁首頁文件，并記錄日志
.\wget -a wget.log -d http://www.xxx.com
rem 判斷index.html文件是否下載成功
if exist index.html goto end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo error occurred>>system.log
rem 調用一個撥號批處理
call .\dial.bat
exit

:end
echo.>>system.log
echo ---------------------------->>system.log
date/t>>system.log&&time/t>>system.log
echo ok>>system.log
echo y|del .\index.html
exit

dial.bat
@echo off
rem 使用at指令傳送到串口撥號
echo atdtxxxxxxx >com1
rem 延時14秒，振鈴3次
choice /c yn /d y /n /t 14 >nul
rem 掛機
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1
choice /c yn /d y /n /t 5 >nul
echo atdtxxxxxxx >com1
choice /c yn /d y /n /t 14 >nul
echo ath>com1

編輯評論：服務器的安全對于管理員來說是非常重要的，只要服務器不出問題啥事都好辦，服務器的器的安全是值得每個管理員關注的，那么管理員如何能把保障服務器安全工作做的更好呢，下面就來看看本文講的一些小技巧吧。

對于一個網絡而言，維護其服務器安全的重要性是不言而喻的，那么作為管理員的你如何來更好地保障服務器的安全呢？本文較系統地給您介紹一些實用的技巧。

技巧一:從基本做起

黑客開始對你的網絡發起攻擊的時候，他們首先會檢查是否存在一般的安全漏洞。因此，當你服務器上的數據都存在一個FAT的磁盤分區的時候，即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。

因此，你需要從基本做起。將服務器上所有包含了敏感數據的磁盤分區都轉換成NTFS格式的。同時，可以為Exchange Server安裝反病毒軟件，將被感染的郵件在到達用戶以前隔離起來。

技巧二:保護你的備份

備份實際上是一個巨大的安全漏洞。應該考慮通過密碼保護你的磁帶，并且如果你的備份程序支持加密功能，你還可以加密這些數據，如果竊賊還是把磁帶彈出來帶走的話，磁帶上的數據也就毫無價值了。

技巧三:使用RAS回叫功能

Windows NT最酷的功能之一就是對服務器進行遠程訪問(RAS)的支持。不幸的是，一個RAS服務器對一個企圖進入你的系統的黑客來說是一扇敞開的大門。黑客們所需要的一切只是一個電話號碼。

你所要使用的技術將在很大程度上取決于你的遠程用戶如何使用RAS。如果遠程用戶經常是從家里或是類似的不太變動的地方呼叫主機，建議你使用回叫功能，它允許遠程用戶登錄以后切斷連接。然后RAS服務器撥通一個預先定義的電話號碼再次接通用戶。黑客也就沒有機會設定服務器回叫的號碼了。

另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器。這樣，即使黑客通過破壞手段來進入主機，那么他們也會被隔離在單一的一臺機器上。

最后還有一個技巧就是在你的RAS服務器上使用出人意料的協議，迷惑一些不加提防的黑客。

技巧四:考慮工作站的安全問題

工作站是通向服務器的一個端口，在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統。你也可以使用Windows NT。鎖定工作站，使得一些沒有安全訪問權的人想要獲得網絡配置信息變得困難或是不可能。

另一個技術是將工作站的功能限定一個“聰明的”啞終端，讓程序和數據駐留在服務器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務器上的應用程序的圖標。當你點擊一個圖標運行程序時，這個程序將使用本地的資源來運行，而不是消耗服務器的資源。這比你運行一個完全的啞終端程序對服務器造成的壓力要小得多。

技巧五:使用流行的補丁程序

微軟雇傭了一個程序員團隊來檢查安全漏洞并修補它們。這些補丁被捆綁進一個大的軟件包并做為服務包(service pack)發布。通常有兩種不同的補丁程序版本:一個40位的版本和一個128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。微軟定期將重要的補丁程序發布在它的FTP站點上。這些熱點補丁程序是自上一次服務包發布以后被公布的安全修補程序。要經常查看熱點補丁。但要記住一定要按邏輯順序使用這些補丁。避免導致一些文件的版本錯誤。

技巧六:使用強有力的安全政策

要提高安全性，另一個可以做的工作就是制定一個好的，強有力的安全策略。確保每一個人都知道它并知道它是強制執行的。如果你使用Windows 2000 Server，你就有可能指定用戶特殊的使用權限來使用你的服務器而不需要交出管理員的控制權，可以授予這種刪除和禁用賬號權限并限制創建用戶或是更改許可等這些活動的權限了。

技巧七:反復檢查防火墻

防火墻是網絡的一個重要部分，因為它將你公司的計算機同互聯網上那些可能對它們造成損壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP地址。你總是至少要讓一個IP地址對外界可見。這個IP地址被使用來進行所有的互聯網通訊。如果你還有DNS注冊的Web服務器或是電子郵件服務器，它們的IP地址也許也要通過防火墻對外界可見。但是，工作站和其他服務器的IP地址必須被隱藏起來。

你還可以查看端口列表驗證你已經關閉了所有并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通訊，因此你可能并不想堵掉這個端口。但是，你也許永遠都不會用端口81，因此它應該被關掉。你可以在Internet上找到每個端口使用用途的列表。

如果你不希望緊要的數據被病毒或是黑客破壞或是被一個可能用這些數據來對付你的人竊取。就必須掌握一些維護服務器安全的技巧來保障它的安全。

堵住路由器的漏洞

對于黑客來說，利用路由器的漏洞發起攻擊通常是一件比較容易的事情。保護路由器安全需要網管員在配置和管理路由器過程中采取相應的安全措施。

堵住安全漏洞

限制系統物理訪問是確保路由器安全的最有效方法之一。限制系統物理訪問的方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統。避免將調制解調器連接至路由器的輔助端口也很重要。

避免身份危機

黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。用戶應該啟用路由器上的口令加密功能，這樣即使黑客能夠瀏覽系統的配置文件，他仍然需要破譯密文口令。

禁用不必要服務

擁有眾多路由服務是件好事，但近來許多安全事件都突顯了禁用不需要本地服務的重要性。另一個需要用戶考慮的因素是定時，即使用戶確保了部署期間時間同步，經過一段時間后，時鐘仍有可能逐漸失去同步。用戶可以利用名為網絡時間協議（NTP）的服務，對照有效準確的時間源以確保網絡上的設備時針同步。

限制邏輯訪問

限制邏輯訪問主要是借助于合理處置訪問控制列表，使用入站訪問控制將特定服務引導至對應的服務器。為了避免路由器成為DoS攻擊目標，用戶應該拒絕以下流量進入：沒有IP地址的包、采用本地主機地址、廣播地址、多播地址以及任何假冒的內部地址的包。用戶還可以采取增加SYN ACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP SYN攻擊。

監控配置更改

用戶在對路由器配置進行改動之后，需要對其進行監控。如果用戶使用SNMP，那么一定要選擇功能強大，提供消息加密功能的SNMP。為進一步確保安全管理，用戶可以利用SSH與路由器建立加密的遠程會話。配置管理的一個重要部分就是確保網絡使用合理的路由協議。

實施配置管理

用戶應該實施控制存放、檢索及更新路由器配置的配置管理策略，并將配置備份文檔妥善保存在安全服務器上，以防新配置遇到問題時用戶需要更換、重裝或回復到原先的配置。

如何準確檢測出你電腦上的間諜軟件前言


你應該有過這樣的遭遇，就是電腦感染上了間諜軟件或廣告軟件。在這種情況下，解決問題的關鍵就是要在你的硬盤、內存或Windows注冊表中找出間諜軟件的所在。我最近研究了我的主要網絡內的幾臺機器，以找到間諜軟件和廣告軟件的感染信息。我個人建議，最好能利用一些有效的商業軟件和免費軟件經常進行這樣的檢查。


下面介紹一下步驟：


1.在使用某種商業軟件或免費軟件的工具檢查之前，盡可能的將機器清理干凈。運行防病毒軟件或反間諜軟件掃描，一旦發現一些異常的項目立即清除。有關這一主題的內容在網絡上有許多。需要注意的是，在進入下一步之前，專家們強烈建議使用并運行一種以上的殺毒、反間諜軟件掃描以便達到徹底清理。


2.建立一個檢查點或者對系統作備份。如果你使用的是Windows XP，那再方便不過了，這樣很快就能建立一個系統恢復點（依次打開：開始菜單――幫助和支持――使用系統還原恢復你對系統的改變，然后點擊創建一個還原點的按鈕）。當然還有其他的方法（對于那些使用Windows家族其他操作系統的人來說是唯一的方法）就是創建一整套系統的備份，包括系統狀態信息（如果其他辦法都不可行的話，你可以使用NTBackup.exe文件；他包含了所有Windows新版本的信息）。這樣的話，萬一在接下來的步驟中出了差錯，還可以將您的系統恢復到前一個正確的狀態。


3.關閉所有不必要的應用程序。一些反間諜軟件從電腦運行的所有線程和注冊表中查找不正常跡象，因此先退出所有應用程序再啟動反間諜程序運行檢查，可以節省大量時間。


4.運行反間諜程序。在這一步，我使用了Hijack This這個軟件。將下載回來的Zip文件解壓到你想要的目錄，然后雙擊HijackThis.exe這個執行文件，會跳出一個帶有提示“Do a system scan and save a logfile.”的窗口。默認狀態下，日志文件會保存在“我的文檔”中，我發現在保存的日志文件名稱中加入日期和時間信息很有用，這樣的話，一個名為hijackthis.log的文件就改名為hijackthis-yymmdd:hh.mm.log（hh.mm是24小時制的幾點幾分）。這樣的話，以后你任何時候再次運行Hijack This（一旦開始運行，它會自動清空以前的日志），都不必擔心丟失以前的日志。因此，時間標記不愧是個很好的方法，這對將來你的日志文件分析非常有用。


5.查看Hijack This結果窗口中顯示的掃描結果。這個結果與寫入日志文件的信息是相同的，并且你會發現在每一個項目的左邊都有一個復選框。如果你核選了某些項目，按下“Fix Checked“按鈕， Hijack This就可以將其徹底清除了。你會發現在那里有很多看上去秘密的文件，你可以對其進行快速掃描，以決定在這時采取何種操作。實際上，真正存在的問題是識別出哪些文件具有潛在的威脅，哪些是必須的，而哪些是無關緊要的。此時分析工具能夠幫上我們的大忙。記住，現在不要關閉Hijack This的查找結果窗口，也不需要進行核選操作，因為在接下來的步驟中我們還會返回這個窗口。


具體方法


6.用Hijack This的日志分析程序運行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 這兩個分析工具中的一個。如果兩個軟件都有的話，我個人傾向于Help2Go Detective，但這兩個都值得一試。在Hijack This日志里，你會發現每一個入侵（線程）的特殊信息和相關處理建議，包括哪些可以保留，哪些可以刪除（但卻是無害的），哪些是可疑文件（或許應該刪除，但是還需要進一步分析研究），以及哪些必須刪除（因為確定是惡意病毒）。這時，你可疑檢查所有被確認為惡意病毒的選項，或者與已知的間諜軟件和廣告軟件有關的選項。


7.檢查可疑項目（包括可選的激活項目）。有時你可以查看注冊表名稱或者相關文件和目錄信息，來檢查即使通過分析程序（使用Hijack This很明顯發現的）也沒有識別出的項目，這是可能是你故意安裝或使用的程序的一部分。這些項目經常會被單獨的遺留下來。如果檢查程序和你人為的都沒有發現這些項目，安全選項就會將它們備份然后刪除（然而如果你采取了這個步驟，那么要挽救這種狀況只有存儲一份備份文件或者返回到前一個恢復狀態。）如果你想知道你在查看的是什么文件，就進入下一個附加步驟，用google或其他搜索工具搜索項目的名稱。在99%的情況下我都可以在兩分鐘或更少時間內作出批準與否的決定。只有一少部分項目，最顯著的是dll文件不僅僅需要通過文件名的搜索驗證來裁留。



8.在Hijack This結果窗口核選有害文件和不確定的可疑項目，然后按下“Fix checked”按鈕。你也可以在結果窗口中滾動查看項目，并通過單擊來高亮選擇單獨的項目，接著通過點擊"Info on selected item…."（選中項目的信息……）來獲取這些項目的額外信息。這時來查看這些信息比在上一步驟查看更合適，因為這時分析工具的速度更快而且面向對象更友好。


9.重啟系統查看運行情況。如果系有統運行不正常現象，如應用程序不工作或變得異常，或者系統看上去不太對勁時，你需要決定是否需要返回到恢復狀態或備份狀態。如果Windows不能完成啟動，在系統啟動之初按下F8鍵，直到啟動進入安全啟動菜單，選擇最后一次正確的配置。這樣啟動就沒有問題了，系統啟動之后你還需要退回到恢復點，或者恢復到在第二步備份的狀態。如果你接收這個選項的話，就不需要保存改動了，可以直接越過第10步。


10.最后再運行依次Hijack This掃描：重復步驟4，但是需要注意更改保存日志文件的日期標簽。你可以掃描結果來確定移動的項目已經被徹底清除，或者只需保存你電腦狀態的快照，快速清除就可以了（這樣會對下一次進行同樣的操作產生一個有意義的參照狀態）。

1、換掉Internet Explorer瀏覽器：這大概是你能做的最重要的一件事了。換成Firefox, Mozilla, Safari, 任何不是IE的瀏覽器。盡管微軟要發布被寄予厚望的IE7，傳說中比其他任何瀏覽器都安全一光年的東西。它太具革命性了，以至于要強制升級！作者看來還是遠離一個有爭議的東西而使用替代品比較穩妥。

2、加強瀏覽器的安全：NoScript，Netcraft 反釣魚工具欄，E-Bay工具欄，Google工具欄都是不錯的選擇。這些工具能夠挫敗“釣魚網站”，防止被黑，密碼外泄等。

3、不要點email里的鏈接：一盎司的偏執換來的是一磅的補丁。無論何時何地都要盡量不點擊email里的鏈接，特別是某些鏈接本身就很危險，而釣魚email有時又很難察覺。如果你和一個網站有生意往來，它給你發郵件，讓你“點擊這里”來更新身份數據，而不是讓你手動登錄它的網站，那你要當心了。而有的郵件的鏈接相對安全一些，比如你注冊、修改密碼后的幾分鐘內發過來的確認郵件。

4、防護你的Web郵箱：使用較長的難猜測的密碼，每六個月更換一次。不要在任何其他地方使用這個密碼。刪掉帶有敏感信息的郵件。許多人把所有重要的帳號都集中關聯在一個郵箱地址，如果有人得到你的email帳戶，所有關聯的帳號都會有危險。你能做的最好的就是使用不容易猜的密碼，且絕不要用在其他地方。如能刪除含有敏感信息的郵件則更佳。

5、使用單一的信用卡進行在線購物：我們在線購物的信用卡號被偷的可能性還是存在的。最好把可能的損失限制在最小。只使用一張信用卡可能是監視異常交易的最好方法。還有，千萬別用借記卡在線購物，因為缺乏法律保護。

如果要買一塊手表，你會怎么做？專門花幾天時間，將所有表店一一逛遍，累得死去活來，挑得頭昏眼花；還是等到專門去香港澳門或者國外出差的機會才出手？伴隨著網絡商務的不斷發展，相信更多人會選擇一邊喝著咖啡，一邊上網，幾天后，快遞就將打了折的手表送到手中。

的確，網絡商務繁榮改變了人們的生活習慣，通過網絡采購一些書本、音像制品已經不是一種時尚，人們足不出戶就能購買到大多數的生活用品，完成金融交易。不過就在人們享受網絡帶來便利的同時，一些黑客也在利用病毒，竊取別人的帳號、密碼，達到對他人的錢財非法占有的目的。

根據賽門鐵克公司最新的一期《互聯網安全威脅報告》指出，家用計算機正面臨日益增加的網絡攻擊，包括隱私盜竊，欺詐以及其他受金融利益驅使的網絡犯罪，因為家用電腦更容易忽略采用必要的安全防范措施。此外，攻擊者現在正使用各種技術，逃避檢測，延長其在系統上駐留的時間，以伺機盜取信息，為市場行銷目的劫持計算機，提供遠程接入，或盜取機密信息獲得經濟利益。

而報告同時表示，金融領域同樣是黑客猖獗，其中網頁仿冒最為嚴重。在賽門鐵克網頁仿冒報告網絡和賽門鐵克Brightmail反垃圾郵件在此期間跟蹤的所有網頁仿冒網站中占到了84%。一旦攻擊者通過其中一個攻擊獲準接入攻擊目標的帳戶，那么他們可以進行轉帳、挪用資金、申請貸款、賒帳或盜用信用卡。

據報告顯示，十大網頁仿冒中有九個來自金融領域，進一步證明了網頁仿冒活動高度集中在金融領域，不法分子試圖竊取多家網上銀行的賬號和密碼，給用戶帶來經濟損失。

伴隨著圣誕節，元旦，情人節，春節等節日的先后到來，我們又即將迎來新一波的網絡購物的高峰期，許多計劃出游的朋友開始著手在各大電子商務網站上淘自己需要的出行物品。這時也恰恰是那些心懷不軌的網絡黑客最忙碌的時機。我們必須及時更新殺毒軟件，防止病毒侵害。使用經過驗證的綜合性安全套件是進行自我防護非常好的手段。最新的諾頓網絡安全特警2007就是一款非常不錯的選擇。

此外，在網絡購物時，盡可能選擇大、中型交易網站。由于小型網站由于本身實力和技術原因，一般沒有提供可靠的交易工具，小型電子商務交易網站也有可能不具備為用戶分擔風險或提供擔保的實力。而大、中型電子商務網站可以被監管部門密切注視，積極監管。

而在支付環節盡可能利用大型網站現有的交易支付工具；充分掌握交易網站公布的防詐騙方法以及網站對交易的擔保細則；支付前要協商確定運輸中的責任問題，盡力爭取要求到“貨到免責”；經常了解網站、網友、論壇公布的詐騙手法、事件和名單曝光。

如果你具有打心底里喜歡上網“血拼”，喜歡在網上刷信用卡，提前享受；有用鼠標來決定購買的“控制欲”；不喜歡或者沒時間為了一件奢侈品四處奔波；喜歡24小時隨時都可以盡情Shopping，希望以上的忠告能幫助您減少網絡購物的風險，保護你的假日交易。

一：網站的通用保護方法


針對黑客威脅，網絡安全管理員采取各種手段增強服務器的安全，確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣，可以用如下的方法來對WWW服務器進行保護：


安全配置


關閉不必要的服務，最好是只提供WWW服務，安裝操作系統的最新補丁，將WWW服務升級到最新版本并安裝所有補丁，對根據WWW服務提供者的安全建議進行配置等，這些措施將極大提供WWW服務器本身的安全。


防火墻


安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給WWW服務器增加一個防護層，同時需要對防火墻內的網絡環境進行調整，消除內部網絡的安全隱患。


漏洞掃描


使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描，來發現潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。


入侵檢測系統


利用入侵檢測系統（IDS）的實時監控能力，發現正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。


這些安全措施都將極大提供WWW服務器的安全，減少被攻擊的可能性。


二：網站的專用保護方法


盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統和服務器軟件漏洞的不斷發現，攻擊方法層出不窮，技術高明的黑客還是能突破層層保護，獲得系統的控制權限，從而達到破壞主頁的目的。這種情況下，一些網絡安全公司推出了專門針對網站的保護軟件，只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變，就進行恢復。一般情況下，系統首先需要對正常的頁面文件進行備份，然后啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較：


監測方式


本地和遠程：檢測可以是在本地運行一個監測端，也可以在網絡上的另一臺主機。如果是本地的話，監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話，WWW服務器需要開放一些服務并給監測端相應的權限，較常見的方式是直接利用服務器的開放的WWW服務，使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄，如FTP等。采用本地方式檢測的優點是效率高，而遠程方式則具有平臺無關性，但會增加網絡流量等負擔。


定時和觸發：絕大部分保護軟件是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據系統設定的時間定時檢測，還可將被保護的網頁分為不同等級，等級高的檢測時間間隔可以設得較短，以獲得較好的實時性，而將保護等級較低的網頁文件檢測時間間隔設得較長，以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能，在文件被創建、修改或刪除時得到通知，這種方法的優點是效率高，但無法實現遠程檢測。


比較方法


在判斷文件是否被修改時，往往采用被保護目錄和備份庫中的文件進行比較，比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：{惡意入侵者}可以通過精心構造，把替換文件的屬性設置得和原文件完全相同，{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名，最常見的是MD5簽名算法，由于數字簽名的不可偽造性，數字簽名能確保文件的相同。


恢復方式


恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話，恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行，那么需要文件共享或FTP的帳號，并且該帳號擁有對被保護目錄或文件的寫權限。



備份庫的安全


當黑客發現其更換的主頁很快被恢復時，往往會激發起進一步破壞的欲望，此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現，讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名，如果黑客修改了備份庫的內容，保護軟件可以通過簽名發現，就可停止WWW服務或使用一個默認的頁面。


通過以上分析比較我們發現各種技術都有其優缺點，需要結合實際的網絡環境來選擇最適合的技術方案。


三：網站保護的缺陷


盡管網站保護軟件能進一步提高系統的安全，仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計，而現在動態頁面占據的范圍越來越大，盡管本地監測方式可以檢測腳本文件，但對腳本文件使用的數據庫卻無能為力。


另外，有些攻擊并不是針對頁面文件進行的，前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面，網站保護軟件本身會增加WWW服務器的負載，在WWW服務器負載本身已經很重的情況下，一定好仔細規劃好使用方案。


四：結論


本文討論了網站常用的保護方法，詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點，并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的，但使用這些工具能幫助提高安全性，減少安全風險。

1、修改IE的起始主頁


IE的起始主頁就是每次打開IE時最先進入的頁面，隨時點擊IE工具欄中的“主頁”按鈕也能進入起始主頁，它一般是我們需要頻繁查看的頁面，但有些惡意網頁會將起始主頁改為某些烏七八糟的網址，以達到其不可告人的目的。


要修復IE起始主頁方法很簡單，在IE“工具”菜單中單擊“Internet選項”(以IE5為例，下同)，選擇“常規”選項卡，在“主頁”文本框中輸入起始頁的網址即可。


如果進行上述設置后不起作用，那肯定是在Windows的“啟動”組中加載了惡意程序，使每次啟動電腦時自動運行程序來對IE進行非法設置。可通過注冊表編輯器，將此類程序從“啟動”組清除。


方法是:點擊“開始→運行”，輸入“Regedit”后回車，在注冊表編輯器中依次展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主鍵，右部窗口中顯示的是所有啟動時加載的程序項，將包含可疑程序的鍵值名刪除。


除了起始主頁，還有默認主頁被修改的情況。我們還是通過注冊表編輯器來修復默認主頁。展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主鍵，右部窗口中的鍵值名“Default-Page-URL”決定IE的默認主頁，雙擊該鍵值名，在“鍵值”文本框中輸入網址，該網址將成為新的IE默認主頁。


2、修改IE工具欄


IE的工具欄包括工具按鈕、地址欄、鏈接等幾個項目，惡意網頁可能會自作主張的在工具欄上添加按鈕，或者在地址欄的下拉列表中加入一些并未訪問過的網址，甚至會通過篡改鏈接欄的標題顯示一些惡心的文字。


要去掉不需要的按鈕，方法很簡單，對工具欄按鈕點右鍵選“自定義”，在“當前工具欄按鈕”下拉框中選定不需要的按鈕后點擊“刪除”即可。


要去掉多余的地址列表，可通過注冊表編輯器展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\TypeURLs]主鍵，將右部窗口中“url1”、“url2”等鍵值名全部刪除即可。


要修復鏈接欄標題，首先展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Toolbar]主鍵，在右部窗口中對鍵值名“LinksFolderName”雙擊，修改其鍵值為欲顯示的信息，或直接將該鍵值名刪除，鏈接欄的標題將恢復為默認的“鏈接”字樣。


3、修改默認的搜索引擎


在IE的工具欄中有一個“搜索”按鈕，它鏈接到一個指定的搜索引擎，可實現網絡搜索。被惡意網頁修改后的該按鈕并不能進行搜索工作，而是鏈接到由惡意網頁指定的網頁上去了。


要修復搜索引擎，首先展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Search]主鍵，在右部窗口中將“CustomizeSearch”、“SearchAssistant”這兩個鍵值名對應的網址改為某個搜索引擎的網址即可。


4、修改IE標題欄


我們瀏覽網頁時，IE標題欄顯示的是由當前網頁決定的標題信息。但某些惡意網頁通過修改注冊表，使IE無論瀏覽什么網頁都要在標題后附加一段信息，要么是某個網站的名稱，要么是一些垃圾廣告，甚至是一些政治反動或不堪入目的信息。


要修復IE標題欄，在注冊表編輯器中展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主鍵，將右部窗口中的“Window Title”鍵值名直接刪除即可。


5、修改或禁止IE右鍵


有些惡意網頁對IE右鍵快捷菜單進行修改，加入一些無聊信息，或是加入指向其網站的鏈接，以為這樣人們就會經常光顧他們的網站，真是很可笑。


要刪除右鍵菜單中的垃圾內容，可通過注冊表編輯器展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\MenuExt]主鍵，將下面的垃圾內容全部刪除即可，也可直接把“MenuExt”子鍵刪除掉，因為“MenuExt”子鍵下是右鍵菜單的擴展內容，把它刪除，右鍵菜單便恢復為默認樣式。



有些惡意網頁為禁止下載，竟然禁止使用右鍵，簡直太可惡了。展開[HKEY_CURRENT_USER\Software\Policies\Wicrosoft\Internet Explorer\Restrictions]主鍵(注意這里是Policies分支下的Internet Explorer)，在右部窗口中將鍵值名“NoBrowserContextMenu”的Dword鍵值改為“0”即可，或者將該鍵值名刪除，甚至可將“Restrictions”子鍵刪除，“Restrictions”子鍵下是一些限制IE功能的設置。


有些惡意網頁更狡猾，當使用鼠標右鍵時不會顯示菜單，而是彈出對話框警告你不要“侵權”，或是強迫你閱讀他們的垃圾廣告，這種情況并未修改注冊表，所以退出這個網頁就不會有事了。如果非要在這個網頁中使用右鍵，可采取變通的方法:當彈出對話框后，先按下鍵盤上的“屬性”鍵(右側Ctrl鍵左邊的一個鍵)不放，再按回車鍵，彈出幾次對話框就按幾次回車鍵，最后放開“屬性”鍵，右鍵快捷菜單便出來了文字。


6、系統啟動時彈出網頁或對話框


若出現啟動Windows時彈出網頁，這是惡意網頁對Windows的“啟動”組動了手腳的緣故。我們在注冊表中將“啟動”組內相應項目刪除即可解決。


方法是：展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主鍵，在右部窗口中將包含有url、htm、html、asp、php等網址屬性的鍵值名全部刪除。


惡意網頁還有一種類似的伎倆是，啟動Windows時會彈出對話框，以顯示它們的廣告信息。解決辦法是：展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version]主鍵，該主鍵下的子鍵“Winlogon”可以使Windows啟動時顯示信息提示框，直接將該子鍵刪除即可避免啟動時出現垃圾信息了。


7、定時彈出IE新窗口


IE瀏覽器中每隔一段時間就會彈出新的窗口去訪問別的網頁，這種情況也是典型的惡意網頁中毒癥狀。惡意網頁是通過在Windows的“啟動”組添加hta文件來達到目的的。同樣，我們利用第6條中的方法，將啟動組內包含hta文件的項目全部刪除即可。


8、禁止修改注冊表


這是惡意網頁最無恥的行徑了，惡意網頁修改了我們的系統，當我們使用注冊表編輯器Regedit.exe時去修復注冊表時，系統提示“注冊表編輯器被管理員所禁止”。惡意網頁試圖通過禁止Regedit.exe的使用，來阻止我們修復注冊表，可謂用心險惡。


但注冊表編輯工具除了Regedit.exe外還有很多種，隨便從網上下載一個注冊表編輯器，展開[HKEY_CURRENT_USER\Software\Wicrosoft\Windows\Current Version\Policies\System]主鍵，將鍵值名“DisableRegistryTools”的鍵值改為“0”，或將該鍵值名刪除，這樣便可使用Windows自帶的注冊表編輯器了。


如果找不到其它編輯器，利用記事本編寫以下三行內容：


REGEDIT4


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]


"disableregistrytools"=dword：0


將以上內容保存為aaa.reg，文件名可任取，但擴展名一定要為reg，然后雙擊這個文件，提示信息成功輸入注冊表之后，你便又可使用Regedit.exe了。


9、下載運行木馬程序


惡意網頁最陰險的一招就是下載并運行木馬程序，從而控制訪問者的電腦。這利用的是IE5.0的一個漏洞，惡意網頁通過一段惡代碼鏈接一個嵌入了exe文件（木馬）的eml文件（E-mail文件），當訪問者瀏覽這類網頁并點擊經過偽裝的鏈接時，便會自動下載eml文件并運行其中的exe文件（木馬），并且不會有任何提示信息，一切在悄無聲息中進行。


如此罪惡的行徑，我們卻沒有什么好的對付辦法。唯有升級IE版本了，因為這個漏洞在IE5.0以上版本中都不復存在。


10、格式化硬盤


惡意網頁能把你的硬盤格式化！？你沒看錯，這可是惡意網頁最狠毒的一招了，后果不堪設想，簡直太恐怖了。惡意網頁是利用IE執行ActiveX功能，調用Windows下的Format.com程序對硬盤進行格式化，由于使用了一個微軟未曾公開的運行參數，Format.com格式化硬盤時無需經過你的確認而自動進行，同時窗口處于最小化狀態，很可能你還沒反應過來，你的系統就已經完蛋了。此招真是太卑鄙了。



但險招有險象，當你訪問此類惡意網頁時，由于要使用ActiveX功能，IE會提示當前頁面含有不安全的ActivcX，可能會對系統造成危害，并詢問是否執行，這時你就要提高警惕了，千萬不要隨便選擇“是”，而且這種提示信息還可能經過偽裝，例如：“瀏覽器將使用防毒功能，避免你受到惡意攻擊，是否繼續？”真是顛倒是非，讓你霧里看花，你得小心再小心，否則沒有后悔藥給你吃。


其實最安全的辦法是，將你電腦中的Format.com程序改名，使惡意網頁調用程序無門、行惡不成。在Windows中還有一個危險命令Deltree.exe，它的作用是刪除整個目錄，也可帶參數自動運行，為了不讓惡意網頁有機可乘，你不妨也把它改名大吉。


以上揭露的只是惡意網頁最普遍的十種罪行，除此之外，還有一些五花八門的小伎倆，也給我們上網帶來不少麻煩。另外，以上提出的解決辦法，都是在受到惡意網頁危害后的解救措施，并不保證以后就太平無事了。若要避免或減輕危害，還得從預防做起。


最簡單的預防措施是升級IE版本和使用殺毒軟件的病毒防火墻：


a、升級IE版本


很多惡意網頁只對IE5.0及以下版本有效。高版本軟件一般都修復了低版本中的Bug，我們使用高版本IE就相對安全得多。


b、啟用病毒防火墻


現在的殺毒軟件大都有病毒防火墻功能，例如瑞星。病毒防火墻可以智能的識別、查殺、隔離惡意網頁，除此之外，殺毒軟件還是各種木馬程序的“克星”。殺毒軟件總是站在與電腦界的各種惡魔抗爭的最前線，讓反毒戰士來保護我們，準沒錯！

Windows NT及Windows2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manager)的機制，安全帳號管理器對帳號的管理是通過安全標識進行的，安全標識在帳號創建時就同時創建，一旦帳號被刪除，安全標識也同時被刪除。安全標識是唯一的，即使是相同的用戶名，在每次創建時獲得的安全標識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標識，不會保留原來的權限。

安全賬號管理器的具體表現就是%SystemRoot%\\system32\\config\\sam文件。SAM文件是Windows NT的用戶帳戶數據庫，所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。SAM文件可以認為類似于Unix系統中的Passwd文件,不過沒有這么直觀明了。Passwd使用的是存文本的格式保存信息，這是一個Linux Passwd文件內容的例子：


0: root:8L7v6:0:0:root:/root:/bin/bash
1: bin:*:1:1:bin:/bin:
2: daemon:*:2:2:daemon:/sbin:
3: adm:*:3:4:adm:/var/adm:
4: lp:*:4:7:lp:/var/spool/lpd:
5: sync:*:5:0:sync:/sbin:/bin/sync
6: shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
7: halt:*:7:0:halt:/sbin:/sbin/halt
8: mail:*:8:12:mail:/var/spool/mail:
9: news:*:9:13:news:/var/spool/news:
10: uucp:*:10:14:uucp:/var/spool/uucp:
11: operator:*:11:0perator:/root:
12: games:*:12:100:games:/usr/games:
13: gopher:*:13:30:gopher:/usr/lib/gopher-data:
14: ftp:*:14:50:FTP User:/home/ftp:
15: nobody:I0iJ.:99:99:Nobody:/home/httpd:/bin/bash
16: david:c6CuzM:500:500::/home/david:/bin/bash
17: dummy:fIVTl4IgU:501:503::/home/dummy:/bin/bash
18: msql:!!:502:504::/home/msql:/bin/bash


Unix中的Passwd文件中每一行都代表一個用戶資料，每一個賬號都有七部分資料，不同資料中使用“:”分割格式如下，


賬號名稱:密碼:uid:gid:個人資料:用戶目錄:shell


除了密碼是加密的以外(這里的密碼部分已經Shadow了)其他項目非常清楚明了。

而NT中就不是這樣，雖然他也是用文件保存賬號信息，不過如果我們用編輯器打開這些NT的SAM文件，除了亂碼什么也看不到。因為NT系統中將這些資料全部進行了加密處理，一般的編輯器是無法直接讀取這些信息的。注冊表中的


HKEY_LOCAL_MACHINE\\SAM\\SAM
HKEY_LOCAL_MACHINE\\SECURITY\\SAM


保存的就是SAM文件的內容，在正常設置下僅對System是可讀寫的。

NT的帳號信息在SAM文件中是如何存儲的呢？

在SAM文件中保存了兩個不同的口令信息：LanManager（LM）口令散列算法和更加強大的加密NT版，LM就是NT口令文件的弱點。我們來看看LM口令算法是如何加密口令的，考慮這樣一個口令：Ba01cK28tr，這樣的口令已經可以稱的上是一個安全的口令了，雖然沒有!#等特殊字符，但是已經包含大寫字母，小寫字母和數字，并且具有無規律性。可以認為是符合安全的要求的一個口令。

LM對口令的處理方法是：如果口令不足14位，就用0把口令補足14位，并把所有的字母轉稱大寫字母。之后將處理后的口令分成兩組數字，每組是7位。剛才我們所提到的口令經處理后就變成BA01CK2和8TR0000部分。然后由這兩個7位的數字分別生成8位的DES KEY，每一個8位的DES KEY都使用一個魔法數字(將0x4B47532140232425用全是1的一個KEY進行加密獲得的)再進行一次加密，將兩組加密完后的字符串連在一起，這就是最終的口令散列。這個字符傳看起來是個整體，但是象L0phtcrack這樣的破解軟件，他能將口令字符串的兩部分獨立的破解。因此，破解上面所提到口令(10位)，由于口令已經被分解為兩部分破解，而后面的那部分口令由于只有3位，破解難度可想而知并不困難。實際的難度就在前面的七位口令上了。因此就NT而言，一個10位的口令與一個7位的口令相比并沒有太高的安全意義。由此還可以了解：1234567*$#這樣的口令可能還不如SHic6這樣的口令安全。(關于如何設置安全口令的問題不是本文的范圍，有興趣的可以參考相關文章)


而正式的口令(加密NT版)是將用戶的口令轉換成unicode編碼，然后使用MD4算法將口令加密。

NT之所以保留兩種不同版本的口令是由于歷史原因造成的，在一個純NT的環境中應該將LAN manager口令關閉。因為LAN manager口令使用了較弱的DES密鑰和算法，比較容易破解。相比較之下，使用較強加密算法的NT正式口令要安全些。

但是這兩種口令的加密方法從總體上來說強度還是不足，因此，微軟在Win NT4的SP3之和以后的補丁中，提供了一個Syskey.exe的小工具來進一步加強NT的口令。這個軟件是可以選擇使用的，管理員只要運行一下這個程序并回答一些設置問題就可以添加這項增強功能。(Windows2000已經作為缺省安裝設置了)

Syskey被設計用來防止輕易獲得SAM口令，它是如何工作的呢？

當Syskey被激活，口令信息在存入注冊表之前還進行了一次加密處理。然而，在機器啟動后，一個舊的格式的信息還是會保存在內存中。因為，這個舊格式的口令信息是進行網絡驗證的所需要的。

可以這樣認為：Syskey使用了一種方法將口令信息搞亂。或者說使用了一個密鑰，這個密鑰是激活Syskey由用戶選擇保存位置的。這個密鑰可以保存在軟盤，或者在啟動時由用戶生成(通過用戶輸入的口令生成)，又或者直接保存在注冊表中。由于沒有官方的正式技術說明如何關閉Syskey，所以Syskey一旦啟用就無非關閉，除非用啟用Syskey之前的注冊表備份恢復注冊表。

將Syskey激活后系統有什么發生了什么，如何關掉Syskey呢？

-1-

將Syskey激活后，在注冊表HKLM\\System\\CurrentControlSet\\Control\\Lsa下被添加了新的鍵值\'SecureBoot\'中保存了Syskey的設置：


1 - KEY保存在注冊表中
2 - KEY由用戶登錄時輸入的口令生成
3 - KEY保存在軟盤中


但是把主鍵刪除或者把值設成0并沒能將Syskey關閉，看來還有其他的地方。

-2-

HKLM\\SAM\\Domains\\Account\\F 是一個二進制的結構，通常保存著計算機的SID和其他的描述信息。當syskey被激活后，其中的內容就變大了(大小大約是原來的兩倍) 增加的部分估計是加密的KEY+一些標記和其他的數值,這些標記和數值中一定有一部分包括 SecureBoot 相同的內容。所以，在NT4(已安裝SP6補丁包)將這些標記位設為0可能就可以關閉Syskey了。在改變這些設置時系統給出了一個錯誤提示說明SAM和系統設置相互沖突，但是在重新啟動計算機后，系統已經不再使用Syskey了。

-3-

再Windows2000中還有另一個地方還存儲著關于syskey的信息

HKLM\\security\\Policy\\PolSecretEncryptionKey\\

這也是一個二進制的結構，也是使用同樣的存儲方式，將這里相應部分同樣設為0,syskey就已經從Windows2000中移除了。(如果這三部分修改出現錯誤(不一致)，系統會在下次啟動是自動恢復為默認值)

-4-

然后就是口令信息部分。舊的口令信息是長度是16字節，但使用Syskey后長度全部被增加到20字節。其中頭四個字節看起來想是某種計數器，可能是歷史使用記錄計數器。奇怪的是，當Syskey被激活時，他并不立即記錄，而是在系統下次啟動時才記錄。而且，當密鑰被改變時，口令信息似乎并沒有相應更新。