本文以ms07-004為例子，探討了此類漏洞的通用方法，恢復ie方法，以及heap spray的技術。
拋磚引玉！

by axis
Date: 2007-02-13
Email: axis_at_ph4nt0m.org

MS07-004出來也有段時間了，我之前寫過一個分析的paper，并且針對此發布了一個POC。

事實上，因為我們可以控制指向內存中的地址為0x00xxxxxx，除了第一個字節是00無法控制外，后面三個字節都是可以控制的，這樣其實我們就有了一個很大范圍的選擇。

很多人為了通用而頭疼，這里我針對這個exp給出一個通用地址。

因為這個漏洞比較特殊，所以可能這個地址只能適用于這一個地址。

0x00420001

00420000 00 00 00 00 00 00 00 00 00 00 01 00 48 1B DD BB ...........H莼
00420010 00 00 00 00 0C 00 01 00 C8 9A F2 E1 08 EA A4 E1 .......葰蜥轆

注意0x00420011的地方是0c

而在漏洞中利用的指針是 call [ecx+10h]

所以覆蓋的地址需要減去10h

而這個0x00420011的地址，是和ie有關的，在目前所有的windows平臺，不論語言和版本，以及所有的ie版本中，都是固定不變的為0c

所以我們利用了這個地址，就變成了call 0x00420011

就跑去0x0c000000去執行代碼去了

而這個時候，堆里已經被我們heap spray過了，所以代碼就會一直執行到我們的shellcode去。

這里選用0c的好處是因為雙字節指令，非常方便用來做heap spray。

其實這類ie漏洞，主要的問題有幾個

1.通用性 （上面已經解決了）

2.穩定性 (觸發漏洞概率) ms07-004這個的穩定性我覺得還是不錯的

3.不掛ie
關于這點可能要詳細說一下, 之前以為只要單純的恢復棧平衡就可以了，事實上恢復了棧平衡是沒用的，因為這是個堆溢出，覆蓋了堆內的指針，而堆已經被我們破壞干凈了，所以后面總會在某個dll里出錯。而棧本來就是平衡的，也不需要恢復。

所以這類漏洞，要達到不掛ie的效果（我說的是不掛ie，不是讓ie僵死），就需要恢復堆。與牛人討論后，得到兩種方法：一個是hook RtlCreateHeap, hook RtlAllocHeap 重新分配個堆；另一個方法是：hook RtlFreeHeap不讓掛掉就可以了?；蛘叽蠹疫€有什么別的好方法，歡迎補充。

4.健壯性
由于是堆溢出，所以對于訪問了多網頁，內存中0x0c0c0c0c處已經被別的東西占用了，所以運行不到shellcode去，也是這個漏洞為什么不好的原因。

這個問題屬于這類漏洞的先天缺陷。swan曾經提出用內存空洞的辦法把堆地址推到內存高位去，可是我試過發現行不通。luoluo提出來用java分配內存，做heap spray。這個是個可行的方法，并且也已經poc實現了，分配的內存在0x21xxxxxx附近，而0x24這個指令又非常好，可以做heap spray。

ms07-004除了最后一點多網頁的我問題沒解決，其他都已經解決了，包括bypass firewall。poc代碼不方便給出來，本文就到此為止。

幾乎每個用電腦的人都遇到過計算機病毒，也使用過殺毒軟件。但是，對病毒和殺毒軟件的認識許多人還存在誤區。殺毒軟件不是萬能的，但也絕不是廢物。撰寫此文的目的就是讓更多的人能夠對殺毒軟件有正確的認識，更合理地使用殺毒軟件。

　　誤區一：好的殺毒軟件可以查殺所有的病毒

　　許多人認為殺毒軟件可以查殺所有的已知和未知病毒，這是不正確的。對于一個病毒，殺毒軟件廠商首先要先將其截獲，然后進行分析，提取病毒特征，測試，然后升級給用戶使用。

　　雖然，目前許多殺毒軟件廠商都在不斷努力查殺未知病毒，有些廠商甚至宣稱可以100%殺未知病毒。不幸的是，經過專家論證這是不可能的。殺毒軟件廠商只能盡可能地去發現更多的未知病毒，但還遠遠達不到100%的標準。

　　甚至，至于一些已知病毒，比如覆蓋型病毒。由于病毒本身就將原有的系統文件覆蓋了。因此，即使殺毒軟件將病毒殺死也不能恢復操作系統的正常運行。

　　誤區二：殺毒軟件是專門查殺病毒的，木馬專殺才是專門殺木馬的

　　計算機病毒在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。隨著信息安全技術的不斷發展，病毒的定義已經被擴大化。

　　隨著技術的不斷發展，計算機病毒的定義已經被廣義化，它大致包含：引導區病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本、惡意程序、鍵盤記錄器、黑客工具等等。

　　可以看出木馬是病毒的一個子集，殺毒軟件完全可以將其查殺。從殺毒軟件角度講，清除木馬和清除蠕蟲沒有配制的區別，甚至查殺木馬比清除文件型病毒更簡單。因此，沒有必要單獨安裝木馬查殺軟件。

　　誤區三：我的機器沒重要數據，有病毒重裝系統，不用殺毒軟件

　　許多電腦用戶，特別是一些網絡游戲玩家，認為自己的計算機上沒有重要的文件。計算機感染病毒，直接格式化重新安裝操作系統就萬事大吉，不用安裝殺毒軟件。這種觀點是不正確的。

　　幾年前，病毒編寫者撰寫病毒主要是為了尋找樂趣或是證明自己。這些病毒往往采用高超的編寫技術，有著明顯的發作特征（比如某月某日發作，刪除所有文件等等）。

　　但是，近幾年的病毒已經發生了巨大的變化，病毒編寫者以獲取經濟利益為目的。病毒沒有明顯的特征，不會刪除用戶計算機上的數據。但是，它們會在后臺悄悄運行，盜取游戲玩家的賬號信息、QQ密碼甚至是銀行卡的賬號。由于這些病毒可以直接給用戶帶來經濟損失。對于個人用戶來說，它的危害性比傳統的病毒更大。

　　對于此種病毒，往往發現感染病毒時，用戶的賬號信息就已經被盜用。即使格式化計算機重新安裝系統，被盜的賬號也找不回來了。誤區四：查毒速度快的殺毒軟件才好

　　不少人都認為，查毒速度快的殺毒軟件才是最好的。甚至不少媒體進行殺毒軟件評測時都將查殺速度作為重要指標之一。不可否認，目前各個殺毒軟件廠商都在不斷努力改進殺毒軟件引擎，以達到更高的查殺速度。但僅僅以查毒速度快慢來評價殺毒軟件的好壞是片面的。

　　殺毒軟件查毒速度的快慢主要與引擎和病毒特征有關。舉個例子，一款殺毒軟件可以查殺10萬個病毒，另一款殺毒軟件只能查殺100個病毒。殺毒軟件查毒時需要對每一條記錄進行匹配，因此查殺100個病毒的殺毒軟件速度肯定會更快些。

　　一個好的殺毒軟件引擎需要對文件進行分析、脫殼甚至虛擬執行，這些操作都需要耗費一定的時間。而有些殺毒軟件的引擎比較簡單，對文件不做過多的分析，只進行特征匹配。這種殺毒軟件的查毒速度也很快，但它卻有可能會漏查比較多的病毒。

　　由此可見，雖然提高殺毒速度是各個廠商不斷努力奮斗的目標，但僅從查毒速度快慢來衡量殺毒軟件好壞是不科學的。

　　誤區五：殺毒軟件不管正版盜版，隨便裝一個能用的就行

　　目前，有很多人機器上安裝著盜版的殺毒軟件，他們認為只要裝上殺毒軟件就萬無一失了，這種觀點是不正確的。殺毒軟件與其他軟件不太一樣，殺毒軟件需要經常不斷升級才能夠查殺最新最流行的病毒。

　　此外，大多數盜版殺毒軟件都在破解過程中或多或少地損壞了一些數據，造成某些關鍵功能無法使用，系統不穩定或殺毒軟件對某些病毒漏查漏殺等等。更有一些居心不良的破解者，直接在破解的殺毒軟件中捆綁了病毒、木馬或者后門程序等，給用戶帶來不必要的麻煩。

　　殺毒軟件買的是服務，只要正版的殺毒軟件，才能得到持續不斷的升級和售后服務。同時，如果盜版軟件用戶真的遇到無法解決的問題也不能享受和正版軟件用戶一樣的售后服務，使用盜版軟件看似占了便宜，實際得不償失。

　　誤區六：根據任務管理器中的內存占用判斷殺毒軟件的資源占用

　　很多人，包括一些媒體進行殺毒軟件評測，都用Windows自帶的任務管理器來查看殺毒軟件的內存占用，進而判斷一款殺毒軟件的資源占用情況，這是值得商榷的。

　　不同殺毒軟件的功能不盡相同，比如一款優秀的殺毒軟件有注冊表、漏洞攻擊、郵件發送、接收、網頁、引導區、內存等監控系統。比起只有文件監控的殺毒軟件，內存占用肯定會更多，但卻提供了更全面的安全防護。

　　同時，也有一小部分殺毒軟件廠商為了對付評測，故意在程序中限定殺毒軟件可占用內存數的大小，使這些數值看上去很小，一般在100KB甚至幾十KB左右。實際上，內存占用雖然小了，但殺毒軟件卻要頻繁的進行硬盤讀寫，反倒降低了軟件的運行效率。誤區七：只要不用軟盤，不亂下東西就不會中毒

　　目前，計算機病毒的傳播有很多途徑。它們可以通過軟盤、U盤、移動硬盤、局域網、文件，甚至是系統漏洞等進行傳播。一臺存在漏洞的計算機，只要連入互聯網，即使不做任何操作，都會被病毒感染。

　　因此，僅僅從使用計算機的習慣上來防范計算機病毒難度很大，一定要配合殺毒軟件進行整體防護。

　　誤區八：殺毒軟件應該至少裝三個才能保障系統安全

　　盡管殺毒軟件的開發廠商不同，宣稱使用的技術不同，但他們的實現原理卻可能是相似或相同的。同時開啟多個殺毒軟件的實時監控程序很可能會產生沖突，比如多個病毒防火墻同時爭搶一個文件進行掃描。安裝有多種殺毒軟件的計算機往往運行速度緩慢并且很不穩定，因此，我們并不推薦一般用戶安裝多個殺毒軟件，即使真的要同時安裝，也不要同時開啟它們的實時監控程序（病毒防火墻）。

　　誤區九：殺毒軟件和個人防火墻裝一個就行了

　　許多人把殺毒軟件的實時監控程序認為是防火墻，確實有一些殺毒軟件將實時監控稱為“病毒防火墻”。實際上，殺毒軟件的實時監控程序和個人防火墻完全是兩個不同的產品。

　　通俗地說，殺毒軟件是防病毒的軟件，而個人防火墻是防黑客的軟件，二者功能不同，缺一不可。建議用戶同時安裝這兩種軟件，對計算機進行整體防御。

　　誤區十：專殺工具比殺毒軟件好 有病毒先找專殺

　　不少人都認為殺毒軟件廠商推出專殺工具是因為殺毒軟件存在問題，殺不干凈此類病毒，事實上并非如此。針對一些具有嚴重破壞能力的病毒，有及傳播較為迅速的病毒，殺毒軟件廠商會義務地推出針對該病毒的免費專殺工具，但這并不意味著殺毒軟件本身無法查殺此類病毒。如果你的機器安裝有殺毒軟件，完全沒有必要再去使用專殺工具。

　　專殺工具只是在用戶的計算機上已經感染了病毒后進行清除的一個小工具。與完整的殺毒軟件相比，它不具備實時監控功能，同時專殺工具的引擎一般都比較簡單，不會查殺壓縮文件、郵件中的病毒，并且一般也不會對文件進行脫殼檢查。

手工清除灰鴿子并不難，重要的是我們必須懂得它的運行原理。

灰鴿子的運行原理

灰鴿子遠程監控軟件分兩部分：客戶端和服務端。黑客（姑且這么稱呼吧）操縱著客戶端，利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe，然后黑客通過各種渠道傳播這個服務端（俗稱種木馬）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上并運行；還可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載……這正違背了我們開發灰鴿子的目的，所以本文適用于那些讓人非法安裝灰鴿子服務端的用戶，幫助用戶刪除灰鴿子Vip2005的服務端程序。本文大部分內容摘自互聯網。

G_Server.exe運行后將自己拷貝到Windows目錄下(Windows98/xp下為系統盤的windows目錄，Windows2000/NT下為系統盤的Winnt目錄)，然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務（9X系統寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現后門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。

灰鴿子的手工檢測

由于灰鴿子攔截了API調用，在正常模式下服務端程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。

但是，通過仔細觀察我們發現，對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子服務端。

由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。

1、由于灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。

2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。

3、經過搜索，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll文件。

經過這幾步操作我們基本就可以確定這些文件是灰鴿子服務端了，下面就可以進行手動清除。

灰鴿子的手工清除

經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務；2刪除灰鴿子程序文件。

注意：為防止誤操作，清除前一定要做好備份。

一、清除灰鴿子的服務

Windows2000／WindowsXP系統：

1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit.exe”，確定。），打開


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



注冊表項。

2、點擊菜單“編輯”－》“查找”，“查找目標”輸入“game.exe”，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server）。

3、刪除整個Game_Server項。

Windows98／WindowsME系統：

在Windows9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



項，我們立即看到名為Game.exe的一項，將Game.exe項刪除即可。

二、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動計算機。至此，灰鴿子VIP 2005服務端已經被清除干凈。

1、前言

系統安全的根本目標是數據資料的安全，而數據資料是由它的使用者進行存取和維護的。傳統的數據存取和維護，都是以新的數據覆蓋舊的數據，對于數據的無心錯誤，或有心的更改數據，一個管理者并無法有效地查出蛛絲馬跡。因此，對數據的存取控制是系統安全的一個重要方面。為此，Sandhu等學者提出了一套以角色為基礎的存取控制（Role-based Access Control，RBAC）理論，其基本組件包括使用者（User）、角色（Role）、授權（Authorization）及會話（Session）。如何為每個使用者分配相應的權力（即授權）將是本文將要分析的一個重要原則--最小特權原則（Least Privilege Theorem）。

2、最小特權原則簡介

最小特權原則是系統安全中最基本的原則之一。所謂最小特權（Least Privilege），指的是"在完成某種操作時所賦予網絡中每個主體（用戶或進程）必不可少的特權"。最小特權原則，則是指"應限定網絡中每個主體所必須的最小特權，確?？赡艿氖鹿?、錯誤、網絡部件的篡改等原因造成的損失最小"。

最小特權原則一方面給予主體"必不可少"的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體"必不可少"的特權，這就限制了每個主體所能進行的操作。

最小特權原則要求每個用戶和程序在操作時應當使用盡可能少的特權，而角色允許主體以參與某特定工作所需要的最小特權去簽入（Sign）系統。被授權擁有強力角色（Powerful Roles）的主體，不需要動輒運用到其所有的特權，只有在那些特權有實際需求時，主體才去運用它們。如此一來，將可減少由于不注意的錯誤或是侵入者假裝合法主體所造成的損壞發生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程序之間潛在的相互作用，從而使對特權無意的、沒必要的或不適當的使用不太可能發生。這種想法還可以引申到程序內部：只有程序中需要那些特權的最小部分才擁有特權。

3、最小特權原則的應用

3.1 安全操作系統

操作系統對于系統安全來說好比是大樓的地基，如果沒有了它，大樓就無從談起。在計算機系統的各個層次上，硬件、操作系統、網絡軟件、數據庫管理系統軟件以及應用軟件，各自在計算機安全中都肩負著重要的職責。在軟件的范疇中，操作系統處在最底層，是所有其他軟件的基礎，它在解決安全上也起著基礎性、關鍵性的作用，沒有操作系統的安全支持，計算機軟件系統的安全就缺乏了根基。對安全操作系統的研究首先從1967年的Adept-50項目開始，隨后安全操作系統的發展經歷了奠基時期、食譜時期、多政策時期以及動態政策時期。國內對安全操作系統的開發大多處于食譜時期，即以美國國防部的TCSEC（又稱橙皮書）或我國的計算機信息系統安全保護等級劃分準則為標準進行的開發。

最小特權在安全操作系統中占據了非常重要的地位，它適應UNIX操作系統、超級用戶/根目錄體系結構的固有特征，以便了解如何到達根目錄的的任何用戶提供總體系統控制棗而且幾乎在UNIX環境工作的所有程序員都了解這一點。

角色管理機制依據"最小特權"原則對系統管理員的特權進行了分化，每個用戶只能擁有剛夠完成工作的最小權限。然后根據系統管理任務設立角色，依據角色劃分權限，每個角色各負其責，權限各自分立，一個管理角色不擁有另一個管理角色的特權。例如當入侵者取得系統管理員權限后欲訪問一個高安全級別的文件，則很有可能被拒絕。因為用戶（包括系統管理員）在登錄后默認的安全級別是最低的，他無法訪問高級別的文件，而安全級別的調整只有通過安全管理員才能完成。因此，安全管理員只要對敏感文件配置了合理的安全標記，系統管理員就無法訪問這些文件。由此可知，安全管理員對系統管理員的權限進行了有力的限制。

Windows NT操作系統的某些漏洞也與最小特權的應用有關，例如：缺省組的權利和能力總是不能被刪除，它們包括：Administrator組，服務器操作員組，打印操作員組，帳戶操作員組。這是因為當刪除一個缺省組時，表面上，系統已經接受了刪除。然而，當再檢查時，這些組并沒有被真正刪除。有時，當服務器重新啟動時，這些缺省組被賦予回缺省的權利和能力。為了減小因此而帶來的風險，系統管理員可以創建自己定制的組，根據最小特權的原則，定制這些組的權利和能力，以迎合業務的需要。可能的話，創建一個新的Administrator組，使其具有特別的指定的權利和能力。

下面介紹目前幾種安全操作系統及最小特權的應用：

惠普的Praesidium/Virtual Vault

它通過以最小特權機制將根功能分成42種獨立的特權，僅賦予每一應用程序正常運行所需的最小特權。因而，即便一名黑客將Trojan Horse（特洛伊木馬）程序安裝在金融機構的Web服務器上，入侵者也無法改變網絡配置或安裝文件系統。最小特權是在惠普可信賴操作系統Virtual Vault的基本特性。

紅旗安全操作系統（RFSOS）

RFSOS在系統管理員的權限、訪問控制、病毒防護方面具有突出的特點，例如在系統特權分化方面，紅旗安全操作系統根據"最小特權"原則，對系統管理員的特權進行了分化，根據系統管理任務設立角色，依據角色劃分特權。典型的系統管理角色有系統管理員、安全管理員、審計管理員等。系統管理員負責系統的安裝、管理和日常維護，如安裝軟件、增添用戶賬號、數據備份等。安全管理員負責安全屬性的設定與管理。審計管理員負責配置系統的審計行為和管理系統的審計信息。一個管理角色不擁有另一個管理角色的特權。攻擊者破獲某個管理角色的口令時不會得到對系統的完全控制。

中科安勝安全操作系統

安勝安全操作系統是參照美國國防部《可信計算機系統評估準則》B2級安全需求和我國新頒布的《計算機信息系統安全保護等級劃分準則》，結合我國國情和實際需求，自行開發的高級別安全操作系統，即安勝安全操作系統（SecLinux），并通過國家信息安全測評認證中心認證，同時獲得公安部的銷售許可。

最小特權管理是SecLinux的一個特色，它使得系統中不再有超級用戶，而是將其所有特權分解成一組細粒度的特權子集，定義成不同的"角色"，分別賦予不同的用戶，每個用戶僅擁有完成其工作所必須的最小特權，避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患。

3.2 Internet安全

Internet的發展可謂一日千里，而對Internet安全的要求卻比Inerternet本身發展得更快。目前Internet上的安全問題，有相當多的是由于網絡管理員對于角色權利的錯誤分配引起的。因此，最小特權原則在Internet安全上也大有用武之地。

在日常生活里，最小特權的例子也很多。一些汽車制造廠制造汽車鎖，用一個鑰匙開車門和點火器，而用另一個鑰匙開手套箱和衣物箱；停車場的服務員有安排停車的權而沒有從汽車衣物箱里取東西的權力；同樣是最小特權，可以給人汽車的鑰匙而不給他大門的鑰匙。

在Internet上，需要最小特權的例子也很多，例如：不是每個用戶都需要使用所有的網絡服務；不是每個用戶都需要去修改（甚至去讀）系統中的所有文件；不是每個用戶都需要知道系統的根口令（Root Password)；不是每個系統管理員都必須知道系統的根口令；也不是每個系統都需要去申請每一個其他系統的文件等等。

Internet上出現的一些安全問題都可看成是由于最小特權原則的失敗。例如Unix上最常用的郵件傳輸協議Sendmail，它是一個龐大而又復雜的程序。這樣的程序肯定會有很多隱患。它經常運行全部解密（Setuid）根目錄，這對很多攻擊者是很有利的。系統上運行的程序希望是盡可能簡單的程序，如果是一個較復雜的程序，那么應該找出辦法從復雜部分里去分開或孤立需要特權的模塊。

為了保護站點而采取的一些措施也是使用最小特權原則的，如包過濾系統就設計為只允許進入所需要的服務，而過濾掉不必要的服務。在堡壘主機里也使用了最小特權原則。

最小特權原則還有助于建立嚴格的身份認證機制。對于所有接觸系統的人員，按其職責設定其訪問系統的最小權限；并且按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。具體實現用戶身份認證時，可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份，IC卡用來認證企業用戶的身份等等。

4、結束語

最小特權原則有效地限制、分割了用戶對數據資料進行訪問時的權限，降低了非法用戶或非法操作可能給系統及數據帶來的損失，對于系統安全具有至關重要的作用。但目前大多數系統的管理員對于最小特權原則的認識還不夠深入。尤其是對于UNIX、Windows系列操作系統下，因為系統所賦予用戶的默認權限是最高的權限，例如Windows NT下的目錄和文件的默認權限是Everyone（所有人）均具有完全的權限，而Administrator（系統管理員）則有對整個系統的完全控制。如果系統的管理員不對此進行修改，則系統的安全性將非常薄弱。

當然，最小特權原則只是系統安全的原則之一，如縱深防御原則、特權分離原則、強制存取控制等等。如果要使系統的達到相當高的安全性，還需要其他原則的配合使用。

惡意網頁越來越厲害，本文就給大家講霽惡意網頁修改11種系統配置的處理辦法。
　　1.禁止使用電腦
現象描述:盡管網絡流氓們用這一招的不多，但是一旦你中招了，后果真是不堪設想!瀏覽了含有這種惡意代碼的網頁其后果是:"關閉系統"、"運行"、"注銷"、注冊表編輯器、DOS程序、運行任何程序被禁止，系統無法進入"實模式"、驅動器被隱藏。
解決辦法:一般來說上述八大現象你都遇上了的話，基本上系統就給"廢"了，建議重裝。
2.格式化硬盤
現象描述:這類惡意代碼的特征就是利用IE執行ActiveX的功能，讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網頁，瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ctiveX，可能會對你造成危害"，問你是否執行。如果你選擇"是"的話，硬盤就會被快速格式化，因為格式化時窗口是最小化的，你可能根本就沒注意，等發現時已悔之晚矣。
解決辦法:除非你知道自己是在做什么，否則不要隨便回答"是"。該提示信息還可以被修改，如改成"Windows正在刪除本機的臨時文件，是否繼續"，所以千萬要注意!此外，將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。
3.下載運行木馬程序
現象描述:在網頁上瀏覽也會中木馬?當然，由于IE5.0本身的漏洞，使這樣的新式入侵手法成為可能，方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞，將木馬放在eml文件里，然后用一段惡意代碼指向它。上網者瀏覽到該惡意網頁，就會在不知不覺中下載了木馬并執行，其間居然沒有任何提示和警告!
解決辦法:第一個辦法是升級您的IE5.0，IE5.0以上版本沒這毛病;此外，安裝金山毒霸、Norton等病毒防火墻，它會把網頁木馬當作病毒迅速查截殺。
4.注冊表的鎖定
現象描述:有時瀏覽了惡意網頁后系統被修改，想要用Regedit更改時，卻發現系統提示你沒有權限運行該程序，然后讓你聯系管理員。暈了!動了我的東西還不讓改，這是哪門子的道理!
解決辦法:能夠修改注冊表的又不止Regedit一個，找一個注冊表編輯器，例如:Reghance。將注冊表中的HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值"DisableRegistryTools"鍵值恢復為"0"，即可恢復注冊表。
5.默認主頁修改
現象描述:一些網站為了提高自己的訪問量和做廣告宣傳，利用IE的漏洞，將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和默認主頁，為了不讓你改回去，甚至將IE選項中的默認主頁按鈕變為失效的灰色。不愧是網絡流氓的一慣做風。
解決辦法:1.起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main，在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。同理，展開注冊表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main，在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。
注意:有時進行了以上步驟后仍然沒有生效，估計是有程序加載到了啟動項的緣故，就算修改了，下次啟動時也會自動運行程序，將上述設置改回來，解決方法如下:
運行注冊表編輯器Regedit.exe，然后依次展開HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run主鍵，然后將下面的"registry.exe"子鍵(名字不固定)刪除，最后刪除硬盤里的同名可執行程序。退出注冊編輯器，重新啟動計算機，問題就解決了。
2.默認主頁的修改。運行注冊表編輯器，展開HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/，將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正，或者設置為IE的默認值。
3.IE選項按鈕失效。運行注冊表編輯器，將HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0"，將HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel下的DWORD值"homepage"的鍵值改為"0"。

“遠程破解”與前面的“本地破解”正好相反，是指QQ盜號者通過網絡盜竊遠端QQ用戶的密碼。這種QQ破解有很多方法，如在線密碼破解、登錄窗口破解、郵箱破解、消息詐騙以及形形色色的QQ木馬病毒等。下面就讓我們一同來看看這些QQ密碼的遠程破解是怎么實現的。

1、在線密碼破解 大家知道QQ可以利用代理服務器登錄，這是一種保護措施。它不僅可以隱藏用戶的真實IP地址，以避免遭受網絡攻擊，還可以加快登錄速度，保證登錄的穩定性。 在線密碼破解和本地密碼破解采用的技術方法類似，都是窮舉法，只不過前者完全脫離了本地用戶使用的QQ。它通過對登錄代理服務器進行掃描，只要想盜的QQ號碼在線，就可利用在線盜號工具實現遠程TCP/IP的追捕，從而神不知鬼不覺地盜取QQ密碼！ 在線破解改變了本地破解那種被動的破解方式，只要是在線的QQ號碼都可以破解，適用范圍較廣。但是由于它仍然采用窮舉法技術，所以在枚舉密鑰位數長度以及類型時，校驗時間很長，破解效率不高。同樣，這種方法還受到電腦速度、網速等諸多因素的影響，因此比前面的本地破解更麻煩。

目前功能比較強大的一款QQ密碼在線破解軟件叫QQExplorer。它的破解操作分四步：第一步，在QQ起始號碼和結束號碼中填上想要盜取的QQ號碼（此號碼必須在線）；第二步，在“添加或刪除HTTP代理服務器”中輸入代理服務器的IP地址和端口號碼（如果你嫌自己尋找QQ代理服務器麻煩，可以使用一些現代的QQ代理公布軟件）；第三步，點擊“添加&測試”按鈕，軟件先自動檢測此服務器是否正常，確定后將它加入代理服務器列表（此軟件可填入多個代理服務器的地址，并且能夠自動篩選不可用或者速度慢的服務器）；第四步，點擊“開始”按鈕，開始在線密碼破解…… QQExporer是一款QQ密碼在線破解軟件

現在，Dos已經由最初的“惡作劇”越來越演變成了一種有目的、有選擇的攻擊路由器的惡性行為，它像一股兇險的暗流正在向我們涌來。

　　用Dos來攻擊路由器將對整個因特網造成嚴重影響。因為路由協議會遭到直接攻擊，從而在大范圍內帶來嚴重的服務器的可用性問題。路由器攻擊之所以吸引黑客有幾個原因。

　　不同于計算機系統，路由器通常處于企業的基礎設施內部。與計算機相比，它們受監視器和安全政策的保護相對薄弱，從而為不法之徒提供了為非作歹的躲藏之處。許多路由器配置不當，廠商提供的默認口令是網絡安全與遭受毀壞的主要原因。一旦受到危害，路由器就可以被用作掃描行動、欺騙連接的平臺，并作為發動dos攻擊的一塊跳板。

　　Cahners in-stat集團的高級分析家勞里·維科斯聲稱，“路由器是通向公司的門戶。它成為黑客的目標已經有了一段時間，現在的黑客似乎變得更加老謀深算。他們往往會這樣，當發現鎖定的目標前門被鎖上后，就會改而尋找露臺的大門是否敞開。”

　　維科斯堅稱，路由器攻擊會對網絡造成毀滅性的后果。因為路由器常常集成了vpn服務或者防火墻，因而使其成為更吸引黑客的目標。因為，一旦路由器岌岌可危，整個網絡便立刻變得十分危險了。

　　另一個問題是卡內基·梅隆大學的計算機緊急響應隊(cert)協調中心提到的“利用時間”(time-to-exploit)的縮短。即一旦系統或設備的一個漏洞被發現，在短時間內就打上安全補丁往往來不及。

　　那么如何采取適當的對策來抵御dos呢?傳統的安全解決方案對付現在的dos只能是隔靴搔癢。因為防火墻和入侵檢測系統(ids)的目的在于檢測針對個別網絡服務器或主機的攻擊，而不是網絡基礎設施。

　　為了解決這個問題，目前已經有幾家公司想出了專門防御dos攻擊的方案。arbor networks憑借產品peakflow dos成為這個領域的先驅。peakflow會部署數據收集程序，由此分析通信流量(到達企業路由器或防火墻之前)，并搜尋反?，F象。這類信息會轉發給控制程序，進而對攻擊進行追根溯源的審查。同時，控制程序會把過濾建議發給網絡管理人員，從而進行相應部署以避開攻擊。他們提供的企業解決方案的起始價為13萬美元，arbor另有計劃為規模較小的網絡以按月收費的方式來提供這種服務。

　　Tripwire的tripwire for routers則采取價格比較適中的方案，以監視cisco路由器的啟動和配置文件。只要該設備的安全狀態出現任何變動，它就會通知你。目前只有針對solaris 7或8工作站的版本。適用windows 2000的版本即將推出，其價格隨路由器數量不同而異，有一個評估版軟件可供下載。

　　總地來說，具備一些基本常識是首要的，可能也是最佳的防御方法，這可以確保你時刻關注外部接入路由器的每個連接，并且確保改變了默認安全配置，尤其是口令。

　　Dos攻擊的這些新動向表明：服務可用性面臨的危脅，無論針對網絡還是整個因特網都可能會更讓人防不勝防。除了你的網絡受到影響外，路由器和基礎設施缺乏安全審查也會使你無意當中成為攻擊dos的幫兇。密切關注事態發展，并肩負起保護網絡各方面安全的責任，這樣你才能夠避免災難。

在2000和2003年非常成功的推出了安全工具調查后，Insecure.Org 非常高興為大家帶來2006年度的安全工具調查。我-Fyodor對nmap-hackers 郵件列表中的用戶進行了調查，讓大家來分享他們最喜歡用的工具，結果有3243名用戶提供了反饋信息。我從反饋信息中選取了大家最喜歡的前100種工具，并將它們進行了分類。建議安全界人士仔細閱讀這份列表，并對不熟悉或未聽說過的工具進行研究，相信會有很大幫助。我自己就從中發現了很多以前沒有使用過但非常好用的工具。當很多菜鳥問我“我不知道當一個黑客該從何開始”時，我就讓他們來讀讀這篇文章。

受訪者被要求列出各種平臺上的開源和商業工具。商業工具會在列表中進行標注。Nmap Security Scanner 沒有參與投票，因為調查是在Nmap的郵件列表中進行的。因為受訪者多為黑客的原因，所以此列表中攻擊型的工具偏多一些，防守型的則少一些。

列表中每個工具都含有以下一種或幾種屬性：2003年調查列表中未出現的工具；相對于2003年調查列表排名升或降；需要花錢購買。但可以免費獲得限制、演示、試用版本軟件；可以工作于Linux平臺之上；可以工作于OpenBSD、FreeBSD、Solaris 或其它UNIX平臺之上；可以工作于蘋果Mac OS X平臺之上；可以工作于微軟Windows平臺之上；提供命令行操作方式；提供圖形化用戶界面；在互聯網上可以找到源代碼。

如果您發現列表中的工具有更新或者有其它建議--或者有更好的工具圖標 可以發送郵件給我。如果您的工具入選此列表了，或者您認為您網站的訪客也許會對此列表感興趣，歡迎您通過link banners把本文鏈接到您網站上。以下開始為正式列表，按受歡迎程度降序排列：

#1 Nessus：最好的UNIX漏洞掃描工具
Nessus 是最好的免費網絡漏洞掃描器，它可以運行于幾乎所有的UNIX平臺之上。它不止永久升級，還免費提供多達11000種插件（但需要注冊并接受EULA-acceptance--終端用戶授權協議）。它的主要功能是遠程或本地（已授權的）安全檢查，客戶端/服務器架構，GTK（Linux下的一種圖形界面）圖形界面，內置腳本語言編譯器，可以用其編寫自定義插件，或用來閱讀別人寫的插件。Nessus 3 已經開發完成（now closed source），其現階段仍然免費，除非您想獲得最新的插件。

--------------------------------------------------------------------------------

#2 Wireshark：網絡嗅探工具
Wireshark （2006年夏天之前叫做 Ethereal）是一款非常棒的Unix和Windows上的開源網絡協議分析器。它可以實時檢測網絡通訊數據，也可以檢測其抓取的網絡通訊數據快照文件?？梢酝ㄟ^圖形界面瀏覽這些數據，可以查看網絡通訊數據包中每一層的詳細內容。Wireshark擁有許多強大的特性：包含有強顯示過濾器語言（rich display filter language）和查看TCP會話重構流的能力；它更支持上百種協議和媒體類型； 擁有一個類似tcpdump（一個Linux下的網絡協議分析工具）的名為tethereal的的命令行版本。不得不說一句，Ethereal已經飽受許多可遠程利用的漏洞折磨，所以請經常對其進行升級，并在不安全網絡或敵方網絡（例如安全會議的網絡）中謹慎使用之。

--------------------------------------------------------------------------------

#3 Snort：一款廣受歡迎的開源IDS（Intrusion Detection System）（入侵檢測系統）工具
這款小型的入侵檢測和預防系統擅長于通訊分析和IP數據包登錄（packet logging）。Snort除了能夠進行協議分析、內容搜索和包含其它許多預處理程序，還可以檢測上千種蠕蟲病毒、漏洞、端口掃描以及其它可疑行為檢測。Snort使用一種簡單的基于規則的語言來描述網絡通訊，以及判斷對于網絡數據是放行還是攔截，其檢測引擎是模塊化的。 用于分析Snort警報的網頁形式的引擎 Basic Analysis and Security Engine (BASE)可免費獲得。
開源的Snort為個人、小企業、集團用戶提供良好的服務。其母公司SourceFire提供豐富的企業級特性和定期升級以豐富其產品線。提供（必須注冊）5天免費的規則試用，您也可以在Bleeding Edge Snort找到很多免費規則。

--------------------------------------------------------------------------------

#4 Netcat：網絡瑞士軍刀
這個簡單的小工具可以讀和寫經過TCP或UDP網絡連接的數據。它被設計成一個可靠的可以被其它程序或腳本直接和簡單使用的后臺工具。同時，它也是一個功能多樣的網絡調試和檢查工具，因為它可以生成幾乎所有您想要的網絡連接，包括通過端口綁定來接受輸入連接。Netcat最早由Hobbit在1995年發布，但在其廣為流傳的情況下并沒有得到很好的維護?，F在nc110.tgz已經很難找了。這個簡單易用的工具促使了很多人寫出了很多其它Netcat應用，其中有很多功能都是原版本沒有的。其中最有趣的是Socat，它將Netcat擴展成可以支持多種其它socket類型，SSL加密，SOCKS代理，以及其它擴展的更強大的工具。它也在本列表中得到了自己的位置（第71位）。還有Chris Gibson's Ncat，能夠提供更多對便攜設備的支持。其它基于Netcat的工具還有OpenBSD's nc，Cryptcat，Netcat6，PNetcat，SBD，又叫做GNU Netcat。

--------------------------------------------------------------------------------

#5 Metasploit Framework：黑掉整個星球
2004年Metasploit的發布在安全界引發了強烈的地震。沒有一款新工具能夠一發布就擠進此列表的15強（也就是說2000年和2003年的調查沒有這種情況），更何況此工具更在5強之列，超過了很多廣為流傳的誕生了幾十年的老牌工具。它是一個強大的開源平臺，供開發、測試和使用惡意代碼。這種可擴展的模型將負載控制、編碼器、無操作生成器和漏洞整合在一起，使得Metasploit Framework成為一種研究高危漏洞的途徑。它自帶上百種漏洞，還可以在online exploit building demo（在線漏洞生成演示）看到如何生成漏洞。這使得您自己編寫漏洞變得更簡單，它勢必將提升非法shellcode代碼的水平，擴大網絡陰暗面。與其相似的專業漏洞工具，例如Core Impact和Canvas已經被許多專業領域用戶使用。Metasploit降低了這種能力的門檻，將其推廣給大眾。

--------------------------------------------------------------------------------

#6 Hping2：一種網絡探測工具，是ping的超級變種
這個小工具可以發送自定義的ICMP，UDP和TCP數據包，并接收所有反饋信息。它的靈感來源于ping命令，但其功能遠遠超過ping。它還包含一個小型的路由跟蹤模塊，并支持IP分段。此工具可以在常用工具無法對有防火墻保護的主機進行路由跟蹤/ping/探測時大顯身手。它經?？梢詭椭页龇阑饓Φ囊巹t集，當然還可以通過它來學習TCP/IP協議，并作一些IP協議的實驗。

--------------------------------------------------------------------------------

#7 Kismet：一款超強的無線嗅探器
Kismet是一款基于命令行（ncurses）的802.11 layer2無線網絡探測器、嗅探器、和入侵檢測系統。它對網絡進行被動嗅探（相對于許多主動工具，例如NetStumbler），可以發現隱形網絡（非信標）。它可以通過嗅探TCP、UDP、ARP和DHCP數據包來自動檢測網絡IP段，以Wireshark/TCPDump兼容格式記錄通訊日志，更加可以將被檢測到的網絡分塊并按照下載的分布圖進行范圍估計。如您所想，這款工具一般被wardriving所使用。嗯！還有warwalking、warflying和warskating……

--------------------------------------------------------------------------------

#8 Tcpdump：最經典的網絡監控和數據捕獲嗅探器
在Ethereal（Wireshark）出現之前大家都用Tcpdump，而且很多人現在還在一直使用。它也許沒有Wireshark那么多花里胡哨的東西（比如漂亮的圖形界面，亦或數以百計的應用協議邏輯分析），但它能出色的完成很多任務，并且漏洞非常少，消耗系統資源也非常少。它很少添加新特性了，但經常修復一些bug和維持較小的體積。它能很好的跟蹤網絡問題來源，并能監控網絡活動。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕獲庫就是基于TCPDump，它也用在Nmap等其它工具中。

--------------------------------------------------------------------------------

#9 Cain and Abel：Windows平臺上最好的密碼恢復工具
UNIX用戶經常聲稱正是因為Unix平臺下有很多非常好的免費安全工具，所以Unix才會成為最好的平臺，而Windows平臺一般不在他們的考慮范圍之內。他們也許是對的，但Cain & Abel確實讓人眼前一亮。這種只運行于Windows平臺的密碼恢復工具可以作很多事情。它可以通過嗅探網絡來找到密碼、利用字典破解加密密碼、暴力破解密碼和密碼分析、記錄VoIP會話、解碼非常復雜的密碼、星號查看、剝離緩存密碼以及分析路由協議。另外其文檔也很齊全（well documented）。

--------------------------------------------------------------------------------

#10 John the Ripper：一款強大的、簡單的以及支持多平臺的密碼破解器
John the Ripper是最快的密碼破解器，當前支持多種主流Unix （官方支持11種，沒有計算不同的架構）、DOS、Win32、BeO和OpenVMS。它的主要功能就是檢測弱Unix密碼。它支持主流Unix下的多種（3種）密碼哈希加密類型，它們是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希類型可以通過補丁包加載。如果您希望從一些單詞表開始的話，您可以在這里、這里和這里找到。

--------------------------------------------------------------------------------

#11 Ettercap：為交換式局域網提供更多保護
Ettercap是一款基于終端的以太網絡局域網嗅探器/攔截器/日志器。它支持主動和被動的多種協議解析（甚至是ssh和https這種加密過的）。還可以進行已建立連接的數據注入和實時過濾，保持連接同步。大部分嗅探模式都是強大且全面的嗅探組合。支持插件。能夠識別您是否出在交換式局域網中，通過使用操作系統指紋（主動或被動）技術可以得出局域網結構。

--------------------------------------------------------------------------------

#12 Nikto：非常全面的網頁掃描器
Nikto是一款開源的（GPL）網頁服務器掃描器，它可以對網頁服務器進行全面的多種掃描，包含超過3200種有潛在危險的文件/CGIs；超過625種服務器版本；超過230種特定服務器問題。掃描項和插件可以自動更新（如果需要）?；赪hisker/libwhisker完成其底層功能。這是一款非常棒的工具，但其軟件本身并不經常更新，最新和最危險的可能檢測不到。

--------------------------------------------------------------------------------

#13 Ping/telnet/dig/traceroute/whois/netstat：基本命令
雖然有很多重型的高科技網絡安全工具，但是不要忘記其基礎！所有網絡安全人士都要對這些基本命令非常熟悉，因為它們對大多數平臺都適用（在Windows平臺上whois為tracert）。它們可以隨手捏來，當然如果需要使用一些更高級的功能可以選擇Hping2和Netcat。

--------------------------------------------------------------------------------

#14 OpenSSH / PuTTY / SSH：訪問遠程計算機的安全途徑
SSH（Secure Shell）現在普遍應用于登錄遠程計算機或在其上執行命令。它為不安全網絡上的兩臺不互信計算機間通訊提供安全加密，代替非常不可靠的telnet/rlogin/rsh交互內容。大多UNIX使用開源的OpenSSH服務器和客戶端程序。Windows用戶更喜歡免費的PuTTY客戶端，它也可以運行在多種移動設備上。還有一些Windows用戶喜歡使用基于終端的OpenSSH模擬程序Cygwin。還有其它很多收費和免費的客戶端。您可以在這里和這里找到。

--------------------------------------------------------------------------------

#15 THC Hydra：支持多種服務的最快的網絡認證破解器
如果您需要暴力破解一個遠程認證服務，Hydra經常會是選擇對象。它可以同時對30個以上的端口進行基于字典的快速破解，包括telnet、ftp、http、https、smb、多種數據庫及其它服務。和THC Amap一樣，此Hydra版本來自于民間組織THC。

--------------------------------------------------------------------------------

#16 Paros proxy：網頁程序漏洞評估代理
基于Java的網頁程序漏洞評估代理。支持實時編輯和瀏覽HTTP/HTTPS信息，修改例如Cookie和表字段中的內容。它包含有網頁通訊記錄器、網頁小偷（web spider）、哈希計算器和一個常用網頁程序攻擊掃描器，例如SQL注入和跨網站腳本等。

--------------------------------------------------------------------------------

#17 Dsniff：一款超強的網絡評估和滲透檢測工具套裝
由Dug Song精心設計并廣受歡迎的這款套裝包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通過被動監視網絡以獲得敏感數據（例如密碼、郵件地址、文件等）。Arpspoof、dnsspoof和macof能夠攔截一般很難獲取到的網絡通訊信息（例如由于使用了第二層轉換（layer-2 switching））。Sshmitm和webmitm通過ad-hoc PKI中弱綁定漏洞對ssh和https會話進行重定向實施動態monkey-in-the-middle（利用中間人攻擊技術，對會話進行劫持）攻擊。Windows版本可以在這里獲取?？傊?，這是一個非常有用的工具集。它能完成幾乎所有密碼嗅探需要作的工作。

--------------------------------------------------------------------------------

#18 NetStumbler：免費的Windows 802.11嗅探器
Netstumbler是廣為人知的尋找開放無線訪問接入點的Windows工具（"wardriving"）。其PDA上的WinCE系統版本名叫Ministumbler。此軟件當前免費，但只能夠運行在Windows平臺上，且代碼不公開。它使用很多主動方法尋找WAP，而Kismet或KisMAC則更多使用被動嗅探。

--------------------------------------------------------------------------------

#19 THC Amap：一款應用程序指紋掃描器
Amap是一款很棒的程序，它可以檢測出某一端口正在被什么程序監聽。因為其獨有的version detection特性，所以其數據庫不會象Nmap一樣變得很大，在Nmap檢測某一服務失敗或者其它軟件不起作用時可以考慮使用之。Amap的另一特性是其能夠解析Nmap輸出文件。這也是THC貢獻的另一款很有價值的工具。

--------------------------------------------------------------------------------

#20 GFI LANguard：一款Windows平臺上的商業網絡安全掃描器
GFI LANguard通過對IP網絡進行掃描來發現運行中的計算機，然后嘗試收集主機上運行的操作系統版本和正在運行的應用程序。我曾經嘗試收集到了Windows主機上的service pack級別、缺少的安全更新、無線訪問接入點、USB設備、開放的共享、開放的端口、正在運行的服務和應用程序、主要注冊表項、弱密碼、用戶和組別以及其它更多信息。掃描結果保存在一份可自定義/可查詢的HTML報告文檔中。它還含有一個補丁管理器，可以檢查并安裝缺少的補丁。試用版可以免費獲得，但只能使用30天。

--------------------------------------------------------------------------------

#21 Aircrack：最快的WEP/WPA破解工具
Aircrack是一套用于破解802.11a/b/g WEP和WPA的工具套裝。一旦收集到足夠的加密數據包它可以破解40到512位的WEP密匙，它也可以通過高級加密方法或暴力破解來破解WPA 1或2網絡。套裝中包含airodump（802.11數據包捕獲程序）、aireplay （802.11數據包注入程序）、aircrack（靜態WEP和WPA-PSK破解），和airdecap（解密WEP/WPA捕獲文件）。

--------------------------------------------------------------------------------

#22 Superscan：只運行于Windows平臺之上的端口掃描器、ping工具和解析器
SuperScan是一款Foundstone開發的免費的只運行于Windows平臺之上的不開源的TCP/UDP端口掃描器。它其中還包含許多其它網絡工具，例如ping、路由跟蹤、http head和whois。

--------------------------------------------------------------------------------

#23 Netfilter：最新的Linux核心數據包過濾器/防火墻
Netfilter是一款強大的運行于標準Linux核心上的包過濾器。它集成了用戶空間IP列表工具。當前，它支持包過濾（無狀態或有狀態）、所有類型的網絡地址和端口轉換（NAT/NAPT）并支持多API層第三方擴展。它包含多種不同模塊用來處理不規則協議，例如FTP。其它UNIX平臺請參考Openbsd PF（只用于OpenBSD）或者IP Filter。許多個人防火墻（personal firewalls）都支持Windows （Tiny、Zone Alarm、Norton、Kerio...），但都不提供上述IP列表。微軟在Windows XP SP2中集成了一款非?；A的防火墻，如果您不安裝它，它就會不斷地提示您安裝。

--------------------------------------------------------------------------------

#24 Sysinternals：一款強大的非常全面的Windows工具合集
Sysinternals為Windows低級入侵提供很多非常有用的小工具。其中一部分是免費的，有些還附有源代碼，其它是需要付費使用的。受訪者最喜歡此集合中的以下工具：

ProcessExplorer 監視所有進程打開的所有文件和目錄（類似Unix上的LSoF）。
PsTools 管理（執行、掛起、殺死、查看）本地和遠程進程。
Autoruns 發現系統啟動和登陸時加載了哪些可執行程序。
RootkitRevealer 檢測注冊表和文件系統API異常，用以發現用戶模式或內核模式的rootkit工具。
TCPView 瀏覽每個進程的TCP和UDP通訊終點（類似Unix上的Netstat）。
生產此軟件的公司已被微軟于2005年收購，所以其未來產品線特征無法預測。

--------------------------------------------------------------------------------

#25 Retina：eEye出品的商業漏洞評估掃描器
象Nessus一樣，Retina的功能是掃描網絡中所有的主機并報告發現的所有漏洞。eEye出品，此公司以其security research而聞名。

--------------------------------------------------------------------------------

#26 Perl / Python / Ruby：簡單的、多用途的腳本語言
常用的安全問題都能在網上找到工具解決，但使用腳本語言您可以編寫您自己的（或編輯現有的）工具，當您需要解決某種特定問題的時候?？焖?、簡單的腳本語言可以測試、發現漏洞甚至修復系統漏洞。CPAN上充滿了類似Net：：RawIP和執行協議的程序模塊，可以使您的工作更加輕松。

--------------------------------------------------------------------------------

#27 L0phtcrack：Windows密碼猜測和恢復程序
L0phtCrack也叫作LC5，用來嘗試通過哈希（通過某種訪問方式獲得的）方法破解諸如Windows NT/2000工作站、聯網服務器、主域控制器、或活動目錄密碼，有時它也可以通過嗅探獲得密碼的哈希值。它還可以通過多種手段來猜測密碼（字典、暴力破解等等）。Symantec公司2006年已經停止了LC5的開發，但LC5 installer的安裝文件隨處可以找到。免費試用版只能使用15天，Symantec已經停止出售此軟件的注冊碼，所以如果您不想放棄使用它，就必須找到一個與其對應的注冊碼生成器（key generator）。因為Symantec不再維護此軟件，所以最好嘗試用Cain and Abel或John the Ripper來代替之。

--------------------------------------------------------------------------------

#28 Scapy：交互式數據包處理工具
Scapy是一款強大的交互式數據包處理工具、數據包生成器、網絡掃描器、網絡發現工具和包嗅探工具。它提供多種類別的交互式生成數據包或數據包集合、對數據包進行操作、發送數據包、包嗅探、應答和反饋匹配等等功能。Python解釋器提供交互功能，所以要用到Python編程知識（例如variables、loops、和functions）。支持生成報告，且報告生成簡單。

--------------------------------------------------------------------------------

#29 Sam Spade：Windows網絡查詢免費工具
Sam Spade為許多網絡查詢的一般工作提供了圖形界面和方便的操作。此工具設計用于跟蹤垃圾信息發送者，但它還可以用于許多其它的網絡探查、管理和安全工作。它包含許多有用的工具，例如ping、nslookup、whois、dig、路由跟蹤、查找器、原始HTTP網頁瀏覽器、DNS地址轉換、SMTP中繼檢查、網站搜索等等。非Windows用戶可以在線使用更多其它工具。

--------------------------------------------------------------------------------

#30 GnuPG / PGP ：對您的文件和通訊進行高級加密
PGP是Phil Zimmerman出品的著名加密程序，可以使您的數據免受竊聽以及其它危險。GnuPG是一款口碑很好的遵守PGP標準的開源應用（可執行程序名為gpg）。GunPG是免費的，而PGP對某些用戶是收費的。

--------------------------------------------------------------------------------

#31 Airsnort：802.11 WEP加密破解工具
AirSnort是一款用來恢復加密密碼的無線LAN（WLAN）工具。Shmoo Group出品，工作原理是被動監控傳輸信息，當收集到足夠多的數據包后開始計算加密密碼。Aircrack和它很像。

--------------------------------------------------------------------------------

#32 BackTrack：一款極具創新突破的Live（刻在光盤上的，光盤直接啟動） 光盤自啟動Linux系統平臺
這款卓越的光盤自啟動Linux系統是由Whax和Auditor合并而成。它以其超級多的安全和防護工具配以豐富的開發環境而聞名。重點在于它的用戶模塊化設計，用戶可以自定義將哪些模塊刻到光盤上，例如自己編寫的腳本、附加工具、自定義內核等等。

--------------------------------------------------------------------------------

#33 P0f：萬能的被動操作系統指紋工具
P0f能夠通過捕獲并分析目標主機發出的數據包來對主機上的操作系統進行鑒別，即使是在系統上裝有性能良好的防火墻的情況下也沒有問題。P0f不增加任何直接或間接的網絡負載，沒有名稱搜索、沒有秘密探測、沒有ARIN查詢，什么都沒有。某些高手還可以用P0f檢測出主機上是否有防火墻存在、是否有NAT、是否存在負載平衡器等等！

--------------------------------------------------------------------------------

#34 Google：人人喜愛的搜索引擎
Google當然不是什么安全工具，但是它超級龐大的數據庫卻是安全專家和入侵者最好的資源。如果您想了解某一公司，您可以直接用它搜索 “site：target-domain.com”，您可以獲得員工姓名、敏感信息（通常公司不對外公開的，但在Google上就難說了）、公司內部安裝的軟件漏洞等等。同樣，如果您在Google上發現一個有某個漏洞的網站，Google還會提供給您其它有相同漏洞的網站列表。其中利用Google進行黑客活動的大師Johny Long建立了一個Google黑客數據庫（Google Hacking Database）還出版了一本如何用Google進行黑客活動的書Google Hacking for Penetration Testers。

--------------------------------------------------------------------------------

#35 WebScarab：一個用來分析使用HTTP和HTTPS協議的應用程序框架
它的原理很簡單，WebScarab記錄它檢測到的會話內容（請求和應答），使用者可以通過多種形式來查看記錄。WebScarab的設計目的是讓使用者可以掌握某種基于HTTP（S）程序的運作過程；也可以用它來調試程序中較難處理的bug，也可以幫助安全專家發現潛在的程序漏洞。

--------------------------------------------------------------------------------

#36 Ntop：網絡通訊監控器
Ntop以類似進程管理器的方式顯示網絡使用情況。在應用程序模式下，它能顯示用戶終端上的網絡狀況。在網頁模式下，它作為網頁服務器，以HTML文檔形式顯示網絡狀況。它是NetFlow/sFlow發射和收集器，通過一個基于HTTP的客戶端界面來生成以ntop為中心的監控程序，RRD（Round Robin Database）（環形數據庫）用來持續儲存網絡通訊狀態信息。

--------------------------------------------------------------------------------

#37 Tripwire：很老的文件完整性檢查器
一款文件和目錄完整性檢查器。Tripwire是一種可以幫助系統管理員和一般用戶監控某一特定文件或目錄變化的工具。可以用以對系統文件作日常（例如：每天）檢查，Tripwire可以向系統管理員通報文件損壞或被篡改情況，所以這是一種周期性的文件破壞控制方法。免費的開源Linux版本可以在Tripwire.Org下載到。AIDE是UNIX平臺的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的選擇。Windows用戶請使用Sysinternals出品的RootkitRevealer。

--------------------------------------------------------------------------------

#38 Ngrep：方便的數據包匹配和顯示工具
ngrep盡可能多的去實現GNU grep的功能，將它們應用于網絡層。Ngrep是一款pcap-aware工具，它允許指定各種規則式或16進制表達式去對數據負載或數據包進行匹配。當前支持TCP、UDP、以太網上的ICMP、PPP、SLIP、FDDI、令牌環（Token Ring）和空接口（null interfaces），還能理解類似Tcpdump和snoop等一樣形式的bpf過濾器邏輯。

--------------------------------------------------------------------------------

#39 Nbtscan：在Windows網絡上收集NetBIOS信息
NBTscan是一款在IP網絡上掃描NetBIOS名稱信息的工具。它通過給指定范圍內所有地址發送狀態查詢來獲得反饋信息并以表形式呈現給使用者。每一地址的反饋信息包括IP地址、NetBIOS計算機名、登錄用戶、MAC地址。

--------------------------------------------------------------------------------

#40 WebInspect：強大的網頁程序掃描器
SPI Dynamics' WebInspect應用程序安全評估工具幫您識別已知和未知的網頁層漏洞。它還能檢測到Web服務器的配置屬性，以及進行常見的網頁攻擊，例如參數注入、跨網站腳本、目錄游走等等。

--------------------------------------------------------------------------------

#41 OpenSSL：最好的SSL/TLS加密庫
OpenSSL項目的目的是通過開源合作精神開發一種健壯的、可以和同類型商業程序媲美的、全功能的，且開源的應用于SSL v2/v3（Secure Sockets Layer）和TLS v1（Transport Layer Security）協議的普遍適用的加密庫工具集。本項目由世界范圍內的志愿者們維護，他們通過互聯網聯絡、計劃和開發OpenSSL工具集及其相關文檔。

--------------------------------------------------------------------------------

#42 Xprobe2：主動操作系統指紋工具
XProbe是一款遠程主機操作系統探查工具。開發者基于和Nmap相同的一些技術（same techniques），并加入了自己的創新。Xprobe通過ICMP協議來獲得指紋。

--------------------------------------------------------------------------------

#43 EtherApe：EtherApe是Unix平臺上的模仿etherman的圖形界面網絡監控器
包含連接層、IP和TCP三種模式，EtherApe網絡活動圖通過不同顏色來標識不同協議。主機和連接的圖形大小隨通訊情況而變化。它支持以太網、FDDI、令牌環、ISDN、PPP和SLIP設備。它可以實施過濾網絡通訊，也可以抓取網絡通訊快照文件。

--------------------------------------------------------------------------------

#44 Core Impact：全自動的全面入侵檢測工具
Core Impact可不便宜（先準備個上萬美元吧），但它卻是公認的最強的漏洞檢測工具。它有一個強大的定時更新的專業漏洞數據庫，它可以輕易的黑掉一臺計算機，并以它為跳板再去作別的事情。如果您買不起Core Impact，可以看看比較便宜的Canvas或者免費的Metasploit Framework。當然，三個同時用是最好的了。

--------------------------------------------------------------------------------

#45 IDA Pro：Windows或Linux反編譯器和調試器
反編譯器是一塊很重要的安全研究方向。它可以幫您拆解微軟的補丁，以了解微軟未公開并悄悄修補的漏洞，或直接以二進制的方式對某個服務器進行檢測，以找出為何某個存在的漏洞不起作用。反編譯器有很多，但IDA Pro是遵守二進制包事實標準（de-facto standard）的惡意代碼和漏洞研究分析工具。這個圖形化的、可編程的、可擴展的、支持多處理器的反編譯器現在有了一個和Windows一模一樣的Linux（命令行模式）版本。

--------------------------------------------------------------------------------

#46 SolarWinds：網絡發現/監控/攻擊系列工具
SolarWinds生產和銷售了許多專業的系統管理工具。安全相關的包括許多網絡發現掃描器、一個SNMP暴力破解器、路由器密碼解密器、TCP連接重置程序、最快最易用的一個路由器設置下載和上傳程序等等。

--------------------------------------------------------------------------------

#47 Pwdump：一款Windows密碼恢復工具
Pwdump可以從Windows主機中取得NTLM和LanMan哈希值，無論系統密碼是否啟用。它還能顯示系統中存在的歷史密碼。數據輸出格式為L0phtcrack兼容格式，也可以以文件形式輸出數據。

--------------------------------------------------------------------------------

#48 LSoF：打開文件列表
這是一款Unix平臺上的診斷和研究工具，它可以列舉當前所有進程打開的文件信息。它也可以列舉所有進程打開的通訊socket（communications sockets）。Windows平臺上類似的工具有Sysinternals。

--------------------------------------------------------------------------------

#49 RainbowCrack：極具創新性的密碼哈希破解器
RainbowCrack是一款使用了大規模內存時間交換（large-scale time-memory trade-off）技術的哈希破解工具。傳統的暴力破解工具會嘗試每一個可能的密碼，要破解復雜的密碼會很費時。RainbowCrack運用時間交換技術對破解時間進行預計算，并將計算結果存入一個名叫"rainbow tables"的表里。預計算確實也會花費較長時間，但相對暴力破解來說則短多了，而且一旦預計算完成破解開始，那么破解所需要的時間就非常非常短了。

--------------------------------------------------------------------------------

#50 Firewalk：高級路由跟蹤工具
Firewalk使用類似路由跟蹤的技術來分析IP數據包反饋，以確定網關ACL過濾器類型和網絡結構。這款經典的工具在2002年十月由scratch重寫。這款工具的大部分功能Hping2的路由跟蹤部分也都能實現。

--------------------------------------------------------------------------------

#51 Angry IP Scanner：一款非?？斓腤indows IP 掃描器和端口掃描器
Angry IP Scanner能夠實現最基本的Windows平臺上的主機發現和端口掃描。它的體積非常的小，它還可以通過掛載插件（a few plugins）來獲得主機其它信息。

--------------------------------------------------------------------------------

#52 RKHunter：一款Unix平臺上的Rootkit檢測器
RKHunter是一款檢測例如rootkit、后門、漏洞等惡意程序的工具。它采用多種檢測手段，包括MD5哈希值對比、rootkits原始文件名檢測、文件權限檢測，以及LKM和KLD模塊中的可疑字符串檢測。

--------------------------------------------------------------------------------

#53 Ike-scan：VPN檢測器和掃描器
Ike-scan是一款檢測IKE（Internet Key Exchange）服務傳輸特性的工具，IKE是VPN網絡中服務器和遠程客戶端建立連接的機制。在掃描到VPN服務器的IP地址后，將改造過的IKE數據包分發給VPN網中的每一主機。只要是運行IKE的主機就會發回反饋來證明它存在。此工具然后對這些反饋數據包進行記錄和顯示，并將它們與一系列已知的VPN產品指紋進行對比。Ike-scan的VPN指紋包含來自Checkpoint、Cisco、Microsoft、Nortel和Watchguard的產品。

--------------------------------------------------------------------------------

#54 Arpwatch：持續跟蹤以太網/IP地址配對，可以檢查出中間人攻擊
Arpwatch是LBNL網絡研究組出品的一款經典的ARP中間人（man-in-the-middle）攻擊檢測器。它記錄網路活動的系統日志，并將特定的變更通過Email報告給管理員。Arpwatch使用LibPcap來監聽本地以太網接口ARP數據包。

--------------------------------------------------------------------------------

#55 KisMAC：一款Mac OS X上的圖形化被動無線網絡搜尋器
這款Mac OS X下非常流行的搜尋器和Kismet功能差不多，但和Kismet不同的是Kismet是基于命令行的，而KisMac有很漂亮的圖形化界面，在OS X上出現得也比Kismet早。它同時還提供映射、Pcap兼容格式數據輸入、登錄和一些解密、驗證破解功能。

--------------------------------------------------------------------------------

#56 OSSEC HIDS：一款開源的基于主機的入侵檢測系統
OSSEC HIDS的主要功能有日志分析、完整性檢查、rootkit檢測、基于時間的警報和主動響應。除了具有入侵檢測系統功能外，它還一般被用在SEM/SIM（安全事件管理（SEM： Security Event Management）/安全信息管理（SIM：Security Information Management））解決方案中。因其強大的日志分析引擎，ISP（Internet service provider）（網絡服務提供商）、大學和數據中心用其監控和分析他們的防火墻、入侵檢測系統、網頁服務和驗證等產生的日志。

--------------------------------------------------------------------------------

#57 Openbsd PF：OpenBSD數據包過濾器
象其它平臺上的Netfilter和IP Filter一樣，OpenBSD用戶最愛用PF，這就是他們的防火墻工具。它的功能有網絡地址轉換、管理TCP/IP通訊、提供帶寬控制和數據包分級控制。它還有一些額外的功能，例如被動操作系統檢測。PF是由編寫OpenBSD的同一批人編寫的，所以您完全可以放心使用，它已經經過了很好的評估、設計和編碼以避免暴露其它包過濾器（other packet filters）上的類似漏洞。

--------------------------------------------------------------------------------

#58 Nemesis：簡單的數據包注入
Nemesis項目設計目的是為Unix/Linux（現在也包含Windows了）提供一個基于命令行的、小巧的、人性化的IP堆棧。此工具套裝按協議分類，并允許對已注入的數據包流使用簡單的shell腳本。如果您喜歡Nemesis，您也許對Hping2也會感興趣，它們是互補的關系。

--------------------------------------------------------------------------------

#59 Tor：匿名網絡通訊系統
Tor是一款面向希望提高其網絡安全性的廣大組織和大眾的工具集。Tor的功能有匿名網頁瀏覽和發布、即時信息、irc、ssh以及其它一些TCP協議相關的功能。Tor還為軟件開發者提供一個可開發內置匿名性、安全性和其它私密化特性的軟件平臺。在Vidalia可以獲得跨平臺的圖形化界面。

--------------------------------------------------------------------------------

#60 Knoppix：一款多用途的CD或DVD光盤自啟動系統
Knoppix由一系列典型的GNU/Linux軟件組成，可以自動檢測硬件環境，支持多種顯卡、聲卡、SCSI和USB設備以及其它外圍設備。KNOPPIX作為一款高效的Linux光盤系統，可以勝任例如桌面系統、Linux教學光盤、救援系統等多種用途，經過這次在nmap中調查證實，它也是一款很小巧的安全工具。如果要使用更專業的Linux安全系統請看BackTrack。

--------------------------------------------------------------------------------

#61 ISS Internet Scanner：應用程序漏洞掃描器
Internet Scanner是由Christopher Klaus在92年編寫的一款開源的掃描器工具?，F在這款工具已經演變成了一個市值上億美元生產無數安全產品的公司。

--------------------------------------------------------------------------------

#62 Fport：Foundstone出品的加強版netstat
Fport可以報告所有本地機上打開的TCP/IP和UDP端口，并顯示是何程序打開的端口。所以用它可以快速識別出未知的開放端口以及與其相關的應用程序。它只有Windows版本，但現在很多UNIX系統上的netstat也提供同樣的功能（Linux請用'netstat -pan'）。SANS article有Fport的使用說明和結果分析方法。

--------------------------------------------------------------------------------

#63 chkrootkit：本地rootkit檢測器
chkrootkit是一款小巧易用的Unix平臺上的可以檢測多種rootkit入侵的工具。它的功能包括檢測文件修改、utmp/wtmp/last日志修改、界面欺騙（promiscuous interfaces）、惡意核心模塊（malicious kernel modules）。

--------------------------------------------------------------------------------

#64 SPIKE Proxy：HTTP攻擊
Spike Proxy是一款開源的以發現網站漏洞為目的的HTTP代理。它是Spike Application Testing Suite的一部分，功能包括自動SQL注入檢測、 網站爬行（web site crawling）、登錄列表暴力破解、溢出檢測和目錄游走檢測。

--------------------------------------------------------------------------------

#65 OpenBSD：被認為是最安全的操作系統
OpenBSD是將安全作為操作系統首要任務的操作系統之一，甚至有時安全性級別要高于易用性，所以它驕人的安全性是不言而喻的。OpenBSD也非常重視系統的穩定性和對硬件的支持能力。也許他們最偉大的創舉就是創造了OpenSSH。 OpenBSD用戶對此系統之上的[pf]（OpenBSD上的防火墻工具，本列表中第57位有介紹）也褒獎有佳。

--------------------------------------------------------------------------------

#66 Yersinia：一款支持多協議的底層攻擊工具
Yersinia是一款底層協議攻擊入侵檢測工具。它能實施針對多種協議的多種攻擊。例如奪取生成樹的根角色（生成樹協議：Spanning Tree Protocol），生成虛擬CDP（Cisco發現協議：Cisco Discovery Protocol）鄰居、在一個HSRP（熱等待路由協議：Hot Standby Router Protocol）環境中虛擬成一個活動的路由器、制造假DHCP反饋，以及其它底層攻擊。

--------------------------------------------------------------------------------

#67 Nagios：一款開源的主機、服務和網絡監控程序
Nagios是一款系統和網絡監控程序。它可以監視您指定的主機和服務，當被監視對象發生任何問題或問題被解決時發出提示信息。它的主要功能有監控網絡服務（smtp、pop3、http、nntp、ping等等）、監控主機資源（進程負載、硬盤空間使用情況等等）、當發現問題或問題解決時通過多種形式發出提示信息（Email、尋呼機或其它用戶定義的方式）。

--------------------------------------------------------------------------------

#68 Fragroute/Fragrouter：一款網絡入侵檢測逃避工具集
Fragrouter 是一款單向分段路由器，發送（接收）IP數據包都是從攻擊者到Fragrouter，將數據包轉換成分段數據流發給受害者。很多入侵檢測系統都不能重建一段被視為一個整體的網絡數據（通過IP分段和TCP流重組），詳情請見這篇文章（this classic paper）。Fragrouter可以幫助駭客在逃避入侵檢測后發起基于IP的攻擊。它是Dug Song出品的NIDSbench套裝中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。

--------------------------------------------------------------------------------

#69 X-scan：一款網絡漏洞掃描器
一款多線程、支持插件的漏洞掃描器。X-Scan主要功能有全面支持NASL（Nessus攻擊腳本語言：Nessus Attack Scripting Language）、檢測服務類型、遠程操作系統類型（版本）檢測、弱用戶名/密碼匹配等等。最新版本可以在這里獲取。請注意這是一個中文網站（原文為英文，所以原文作者提醒英文讀者這是個中文網站）。

--------------------------------------------------------------------------------

#70 Whisker/libwhisker：Rain.Forest.Puppy出品的CGI漏洞掃描器和漏洞庫
Libwhisker是一款Perl模板集用來測試HTTP。它的功能是測試HTTP服務器上是否存在許多已知的安全漏洞，特別是CGI漏洞。Whisker是一款基于libwhisker的掃描器，但是現在大家都趨向于使用Nikto，它也是基于libwhisker的。

--------------------------------------------------------------------------------

#71 Socat：雙向數據傳輸中繼
類似于Netcat的工具，可以工作于許多協議之上，運行于文件、管道、設備（終端或調制解調器等等）、socket（Unix、IP4、IP6-raw、UDP、TCP）、Socks4客戶端、代理服務器連接、或者SSL等等之間。它提供forking、logging和dumping，和不同模式的交互式處理通訊，以及更多其它選項。它可以作為TCP中繼（單次觸發：one-shot或者daemon（Internet中用于郵件收發的后臺程序））、作為基于daemon的動態Sockes化（socksifier）、作為Unix平臺上sockets的shell接口、作為IP6中繼、將面向TCP的程序重定向成串行線路（Serial Line）程序、或者建立用來運行客戶端或服務器帶有網絡連接的shell腳本相關安全環境（su和chroot）。

--------------------------------------------------------------------------------

#72 Sara：安全評審研究助手
SARA是一款源于infamous SATAN掃描器的漏洞評估工具。此工具大約兩個月更新一次，出品此工具的開源社區還維護著Nmap和Samba。

--------------------------------------------------------------------------------

#73 QualysGuard：基于網頁的漏洞掃描器
在網站上以服務形式發布， 所以QualysGuard沒有開發、維護和升級漏洞管理軟件或ad-hoc安全應用程序的負擔?？蛻舳丝梢园踩耐ㄟ^一個簡單易用的網頁訪問QualysGuard。QualysGuard含有5000種以上的單一漏洞檢查，一個基于推理的掃描引擎，而且漏洞知識庫自動天天升級。

--------------------------------------------------------------------------------

#74 ClamAV：一款UNIX平臺上的基于GPL（通用公開許可證：General Public License）的反病毒工具集
ClamAV是一款強大的注重郵件服務器附件掃描的反病毒掃描器。它含有一個小巧的可升級的多線程daemon、一個命令行掃描器和自動升級工具。Clam AntiVirus基于AntiVirus package發布的開源病毒庫，您也可以將此病毒庫應用于您自己的軟件中，但是別忘了經常升級。

--------------------------------------------------------------------------------

#75 cheops / cheops-ng：提供許多簡單的網絡工具，例如本地或遠程網絡映射和識別計算機操作系統
Cheops提供許多好用的圖形化用戶界面網絡工具。它含有主機/網絡發現功能，也就是主機操作系統檢測。Cheops-ng用來探查主機上運行的服務。針對某些服務，cheops-ng可以探查到運行服務的應用程序是什么，以及程序的版本號。Cheops已經停止開發和維護，所以請最好使用cheops-ng。

--------------------------------------------------------------------------------

#76 Burpsuite：一款網頁程序攻擊集成平臺
Burp suite允許攻擊者結合手工和自動技術去枚舉、分析、攻擊網頁程序。這些不同的burp工具通過協同工作，有效的分享信息，支持以某種工具中的信息為基礎供另一種工具使用從而發動攻擊。

--------------------------------------------------------------------------------

#77 Brutus：一款網絡驗證暴力破解器
這款Windows平臺上的暴力破解器通過字典猜測遠程系統網絡服務密碼。它支持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不開放源碼，UNIX平臺上的類似軟件有THC Hydra。

--------------------------------------------------------------------------------

#78 Unicornscan：另類端口掃描器
Unicornscan是一款通過嘗試連接用戶系統（User-land）分布式TCP/IP堆棧獲得信息和關聯關系的端口掃描器。它試圖為研究人員提供一種可以刺激TCP/IP設備和網絡并度量反饋的超級接口。它主要功能包括帶有所有TCP變種標記的異步無狀態TCP掃描、異步無狀態TCP標志捕獲、通過分析反饋信息獲取主動/被動遠程操作系統、應用程序、組件信息。它和Scanrand一樣都是另類掃描器。

--------------------------------------------------------------------------------

#79 Stunnel：用途廣泛的SSL加密封裝器
stunnel用來對遠程客戶端和本地機（可啟動inetd的：inetd-startable）或遠程服務器間的SSL加密進行封裝。它可以在不修改任何代碼的情況下，為一般的使用inetd daemon的POP2、POP3和IMAP服務器添加SSL功能。它通過使用OpenSSL或SSLeay庫建立SSL連接。

--------------------------------------------------------------------------------

#80 Honeyd：您私人的蜜罐系統
Honeyd是一個可以在網絡上創建虛擬主機的小型daemon?？梢詫Υ颂摂M主機的服務和TCP進行配置，使其在網絡中看起來是在運行某種操作系統。Honeyd可以使一臺主機在局域網中模擬出多個地址以滿足網絡實驗環境的要求。虛擬主機可以被ping通，也可以對它們進行路由跟蹤。通過對配置文件進行設置可以使虛擬計算機模擬運行任何服務。也可以使用服務代理替代服務模擬。它的庫有很多，所以編譯和安裝Honeyd比較難。

--------------------------------------------------------------------------------

#81 Fping：一個多主機同時ping掃描程序
fping是一款類似ping（1）（ping（1）是通過ICMP（網絡控制信息協議Internet Control Message Protocol）協議回復請求以檢測主機是否存在）的程序。Fping與ping不同的地方在于，您可以在命令行中指定要ping的主機數量范圍，也可以指定含有要ping的主機列表文件。與ping要等待某一主機連接超時或發回反饋信息不同，fping給一個主機發送完數據包后，馬上給下一個主機發送數據包，實現多主機同時ping。如果某一主機ping通，則此主機將被打上標記，并從等待列表中移除，如果沒ping通，說明主機無法到達，主機仍然留在等待列表中，等待后續操作。

--------------------------------------------------------------------------------

#82 BASE：基礎分析和安全引擎（Basic Analysis and Security Engine）
BASE是一款基于PHP的可以搜索和實施安全事件的分析引擎，她的安全事件數據庫來源于很多入侵檢測系統、防火墻、網絡檢測工具生成的安全事件。它的功能包括一個查找生成器和搜索界面，用來搜索漏洞；一個數據包瀏覽器（解碼器）；還可以根據時間、傳感器、信號、協議和IP地址等生成狀態圖。

--------------------------------------------------------------------------------

#83 Argus：IP網絡事務評審工具
Argus是一款固定模型的實時的流量監視器，用來跟蹤和報告數據網絡通訊流中所有事務的狀態和性能。Argus為流量評估定制了一種數據格式，其中包括連通性、容量、請求、丟包、延遲和波動，這些就作為評估事務的元素。這種數據格式靈活易擴展，支持常用流量標識和度量，還可以獲得指定的應用程序/協議的信息。

--------------------------------------------------------------------------------

#84 Wikto：網頁服務器評估工具
Wikto是一款檢查網頁服務器漏洞的工具。它和Nikto類似，但是添加了很多其它功能，例如一個整合了Google的后臺發掘器。Wikto工作于MS ..NET環境下，下載此軟件和源代碼需要注冊。

--------------------------------------------------------------------------------

#85 Sguil：網絡安全監控器命令行分析器
Sguil（按sgweel發音）是由network security analysts出品的網絡安全分析工具。Sguil的主要組件就是一個Snort/barnyard實時事件顯示界面。它還包含一些網絡安全監控的輔助工具和事件驅動的入侵檢測系統分析報告。

--------------------------------------------------------------------------------

#86 Scanrand：一個異常快速的無狀態網絡服務和拓樸結構發現系統
Scanrand是一款類似Unicornscan的無狀態主機發現和端口掃描工具。它以降低可靠性來換取異?？斓乃俣?，還使用了加密技術防止黑客修改掃描結果。此工具是Dan Kaminsky出品的Paketto Keiretsu的一部分。

--------------------------------------------------------------------------------

#87 IP Filter：小巧的UNIX數據包過濾器
IP Filter是一款軟件包，可以實現網絡地址轉換（network address translation）（NAT）或者防火墻服務的功能。它可以作為UNIX的一個核心模塊，也可以不嵌入核心，強烈推薦將其作為UNIX的核心模塊。安裝和為系統文件打補丁要使用腳本。IP Filter內置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF，Linux用戶可以使用Netfilter。

--------------------------------------------------------------------------------

#88 Canvas：一款全面的漏洞檢測框架
Canvas是Aitel's ImmunitySec出品的一款漏洞檢測工具。它包含150個以上的漏洞，它比Core Impact便宜一些，但是它也價值數千美元。您也可以通過購買VisualSploit Plugin實現在圖形界面上通過拖拽就可以生成漏洞。Canvas偶爾也會發現一些ODay漏洞。

--------------------------------------------------------------------------------

#89 VMware：多平臺虛擬軟件
VMware虛擬軟件允許您在一個系統中虛擬運行另一個系統。這對于安全專家在多平臺下測試代碼和漏洞非常有用。它只運行在Windows和Linux平臺上，但它可以虛擬運行幾乎所有的x86操作系統。它對建立沙箱（sandboxes）也非常有用。在VMware虛擬系統上感染了惡意軟件不會影響到宿主機器，可以通過加載快照文件恢復被感染了的虛擬系統。VMware不能創建虛擬系統的鏡像文件。VMware最近剛剛宣布免費。另一款在Linux下頗受矚目的虛擬平臺軟件是Xen。

--------------------------------------------------------------------------------

#90 Tcptraceroute：一款基于TCP數據包的路由跟蹤工具
現代網絡廣泛使用防火墻，導致傳統路由跟蹤工具發出的（ICMP應答（ICMP echo）或UDP）數據包都被過濾掉了，所以無法進行完整的路由跟蹤。盡管如此，許多情況下，防火墻會準許反向（inbound）TCP數據包通過防火墻到達指定端口，這些端口是主機內防火墻背后的一些程序和外界連接用的。通過發送TCP SYN數據包來代替UDP或者ICMP應答數據包，tcptraceroute可以穿透大多數防火墻。

--------------------------------------------------------------------------------

#91 SAINT：安全管理綜合網絡工具
SAINT象Nessus、ISS Internet Scanner和Retina一樣，也是一款商業漏洞評估工具。它以前是運行在UNIX系統之上的免費開源工具，但現在收費了。

--------------------------------------------------------------------------------

#92 OpenVPN：全功能SSL VPN解決方案
OpenVPN是一款開源的SSL VPN工具包，它可以實現很多功能，包括遠程登錄、站對站VPN、WiFi安全、帶有負載平衡的企業級遠程登錄解決方案、節點控制移交（failover）、嚴密的訪問控制。OpenVPN運行于OSI 2層或3層安全網絡，使用SSL/TLS工業標準協議，支持靈活的基于證書、智能卡、二元驗證的客戶端驗證方法，允許在VPN虛擬接口上使用防火墻規則作為用戶或指定用戶組的訪問控制策略。OpenVPN使用OpenSSL作為其首選加密庫

--------------------------------------------------------------------------------

#93 OllyDbg：匯編級Windows調試器
OllyDbg是一款微軟Windows平臺上的32位匯編級的分析調試器。因其直接對二進制代碼進行分析，所以在無法獲得源代碼的時候它非常有用。OllyDbg含有一個圖形用戶界面，它的高級代碼分析器可以識別過程、循環、API調用、交換、表、常量和字符串，它可以加載運行時程序，支持多線程。OllyDbg可以免費下載，但不開源。

--------------------------------------------------------------------------------

#94 Helix：一款注重安全防護的Linux版本
Helix是一款自定義版本的Knoppix自啟動Linux光盤系統。Helix遠不止是一張自啟動光盤。除了光盤啟動到自定義的Linux環境，還具有超強的硬件支持能力，包含許多應付各種問題的軟件。Helix盡量少的接觸主機軟硬資源。Helix不自動加載交換（swap）空間，不自動加載其它任何外圍設備。Helix還可以自動加載Windows，以應對意外情況。

--------------------------------------------------------------------------------

#95 Bastille：Linux、Mac OS X和HP-UX的安全加強腳本
Bastille使操作系統固若金湯，減少系統遭受危險的可能，增加系統的安全性。Bastille還可以評估系統當前的安全性，周期性的報告每一項安全設置及其工作情況。Bastille當前支持Red Hat（Fedora Core、Enterprise和Numbered/Classic版本）、SUSE、Debian、Gentoo和Mandrake這些Linux版本，還有HP-UX和Mac OS X。Bastille旨在使系統用戶和管理員了解如何加固系統。在其默認的最堅固模式下，它不斷的詢問用戶問題，并對這些問題加以解釋，根據用戶對問題不同的回答選擇不同的應對策略。在其評估模式下，它會生成一份報告旨在告訴用戶有哪些安全設置可用，同時也提示用戶哪些設置被加固了。

--------------------------------------------------------------------------------

#96 Acunetix Web Vulnerability Scanner：商業漏洞掃描器
Acunetix WVS自動檢查您的網頁程序漏洞，例如SQL注入、跨網站腳本和驗證頁面弱密碼破解。Acunetix WVS有著非常友好的用戶界面，還可以生成個性化的網站安全評估報告。

--------------------------------------------------------------------------------

#97 TrueCrypt：開源的Windows和Linux磁盤加密軟件
TrueCrypt是一款非常出色的開源磁盤加密系統。用戶可以加密整個文件系統，它可以實時加密/解密而不需要用戶干涉，只要事先輸入密碼。非常巧妙的hidden volume特性允許您對特別敏感的內容進行第二層加密來隱藏它的存在。所以就算加密系統的密碼暴露，黑客也不知道還有隱藏內容存在。

--------------------------------------------------------------------------------

#98 Watchfire AppScan：商業網頁漏洞掃描器
AppScan按照應用程序開發生命周期進行安全測試，早在開發階段就進行單元測試和安全保證。Appscan能夠掃描多種常見漏洞，例如跨網站腳本、HTTP應答切開、參數篡改、隱藏值篡改、后門/調試選項和緩沖區溢出等等。

--------------------------------------------------------------------------------

#99 N-Stealth：網頁服務器掃描器
N-Stealth是一款網頁服務器安全掃描器。它比Whisker/libwhisker和Nikto這些免費的網頁掃描器升級得更頻繁，但是它網站上聲稱的可以掃描30000種漏洞（30000 vulnerabilities and exploits）和每天添加數十種漏洞（Dozens of vulnerability checks are added every day）的說法是很值得懷疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara這些防入侵工具都含有網頁掃描組件，它們都很難做到每日更新。N-Stealth運行于Windows平臺之上，且不開源。

--------------------------------------------------------------------------------

#100 MBSA：微軟基準安全分析器（Microsoft Baseline Security Analyzer）
Microsoft Baseline Security Analyzer（MBSA）是一款簡單易用的工具，幫助IT專業人員檢測其小型和中型商業應用的安全性，將用戶系統與微軟安全建議（Microsoft security recommendations）進行比對，并給出特定的建議指導。通過與Windows內置的Windows自動升級代理器（Windows Update Agent）和微軟自動升級基礎架構（Microsoft Update infrastructure）的協作，MBSA能夠保證和其它微軟管理產品的數據保持一致，它們包括微軟自動升級（Microsoft Update（MU））、Windows服務器自動升級服務（Windows Server Update Services（WSUS））、系統管理服務器（Systems Management Server（SMS））和微軟運行管理器（Microsoft Operations Manager（MOM））。MBSA平均每周要掃描3百萬臺電腦。

--------------------------------------------------------------------------------

眾所周知，對于主要依賴病毒特征碼庫的傳統防毒軟件來說，漏報是其無法克服的一個重要弊端。對于過去病毒數量比較少，網絡運用還不廣泛的時候，這一弊端顯得還不是那么明顯。

　　但是，隨著網絡的廣泛應用，病毒產生的數量日益增多，病毒的傳播更是防不勝防的情況下，傳統防毒軟件日益力不從心。日益不斷增加的病毒特征碼庫，看上去好像能殺的病毒越來越多，但實際上很多病毒的類型都是雷同的，很多特征碼不過是同一種病毒的變種而已，所以說，這種防毒方式越來越給人一種搞笑的感覺了。

　　為了減輕傳統殺毒軟件的這個問題，有人開始提出一些新的想法，其中啟發式查毒就是傳統軟件增加的常見的一個擴展功能。這種功能根據病毒的某些行為特征進行監控，但這種被監控的行為特征往往比較單一，這樣一來就造成一個新的問題，就是亂報，也就是說誤報率非常高，可能令人煩不勝煩，而且尤其令普通的電腦使用者容易產生困惑。因為對于正常程序和病毒程序來說，有時候會使用一些相同的技術，這就導致采取單一特征監控的啟發式掃描方式經常出現亂報的情況。

　　對病毒行為特征進行監控是一種新的思路，因為這種監控方式對新出現的病毒及其變種能夠最大可能地提前報警，而最大程度地使電腦使用者避免許多損失。但這種防毒方式也有一個缺點，那就是很難完全避免誤報這種情況。要減少這種方式產生誤報，關鍵就是要能夠更準確地分析概括總結出各類病毒的主要關鍵行為特征，并且能夠將各種行為特征自動進行綜合監控分析，也就是能夠模仿反病毒專家進行邏輯思維，這樣就大大地提高了判斷的準確性，而降低了誤判的可能性。當然，要完全絕對地避免誤報，則應該是不可能的。任何事物有其利則必有其弊，絕對純粹的東西是不存在的。

　　由于病毒的層出不窮，再加上網絡廣泛應用帶來的傳播的便利，這種現實已經將傳統殺毒軟件逼上了絕路，就目前人們所提出來的病毒防御思想而言，通過綜合監控各類病毒的行為特征進行防毒無疑具有巨大的優越性和發展前途，應該代表著今后相當長時間的病毒防御技術的發展趨勢。

　　防御病毒技術的未來發展方向是已經基本可以確定了，將來的問題是，誰能更準確地把握病毒的行為特征，而最大可能地將誤報情況降低到差不多可以令一般人能夠接受的程度，那么這個主動防御軟件就可以說基本成功了。

根據CNNIC第16次中國互聯網絡發展狀況統計報告，有26.9%的用戶認為目前網上交易所面臨的最大問題在于網絡的安全性得不到保障。和幾乎所有安全問題一樣，網絡安全涉及許多技術問題。但技術本身是不可能解決所有安全問題的。因此，我們仍有必要探討其中涉及的法律關系和責任分擔規則。在此，本文不準備討論對所有與網絡注冊中的個人信息安全問題，而只將討論的焦點集中于“帳號”和“密碼”兩類信息被盜時所涉及的法律關系。

　　盜取網絡注冊信息的密碼和帳號侵犯了他人哪些權利？

　　首先需要區分的是：被竊取的是密碼還是帳號，從法律關系上看，二者存在很大的差別；其次，對不同種類的帳號被竊所牽涉的法律關系也可能完全不同。

　?。ㄒ唬└`取他人注冊在網站上的密碼的行為本身，構成對他人隱私權的侵害。

　　所謂隱私權，包括三方面的要件：

　　（1）屬于個人的特定資料；

　?。?）該資料的擁有者不希望該資料被披露；

　?。?）該資料的不披露不會造成對社會公共秩序的妨害。

　　可以發現，無論在哪一種網站注冊程序中所設定的密碼都符合上述要件，屬于隱私權的客體。所以，行為人只要是未經允許竊取了網絡注冊信息中的密碼——即使沒有利用該密碼作出任何行為，都構成對密碼擁有者隱私權的侵害。

　?。ǘ└`取他人密碼的行為往往是一種手段性的行為。

　　竊取密碼的目的可能是為了貶損他人的名譽，也可能是為了非法占有或取得他人的財產，還可能是為了無償使用許可給被報竊取人的知識產權（例如盜竊網絡游戲帳號在本質上就屬于這一類——有人認為虛擬財產是物權，是不正確的），甚至有可能僅僅為了通過密碼冒充被竊人以刺探隱私。在竊取帳號以后，行為人可能會進一步為其它行為（如假冒帳號的主人發布交易信息），那么在這種情況下，就要根據其進一步的行為來判斷：竊取人是否還侵犯了其它的權利。

　?。ㄈ┖兔艽a不同，獲取他人網絡注冊帳號的行為本身，則有可能構成侵權，也可能不構成侵權。

　　之所以不同種類的帳號有不同的法律關系，是因為有的帳號（例如銀行卡的卡號）屬于個人的隱私，而有的帳號（例如在電子商務中的昵稱）則不屬于個人的隱私。對于后一種帳號，本身就不存在竊取的問題。因此就更談不上侵權了。

密碼或帳號被盜造成的損失誰來負責？

　　首先，對密碼帳號被盜所造成的損失（無論是用戶的還是交易相對方的），其主要責任都當然應由竊取密碼的行為人來承擔。只是因為互聯網十分復雜，要確定是誰竊取了密碼或帳號相對困難，在很多時候甚至無法找到究竟“偷盜”者是誰，所以我們需要分析與被竊密碼（帳號）相關的其他主體可能承擔的責任。

　　其次，偷盜者之外究竟由誰來承擔附帶的責任也不能一概而論，而要根據密碼和帳號被盜的原因來分析。如果經營電子商務平臺的網站在自己保存密碼和帳號資料的工作中，沒有盡到忠誠勤勉的義務，導致網站所保存的用戶數據庫資料被竊取，進而造成用戶的損失，那么當然要承擔責任。

　　但是，如果是由于用戶自己保管密碼不善，導致密碼泄露，那電子商務交易平臺提供商就不承擔責任。所謂用戶自己保管密碼不善，是指用戶沒有盡到一般正常人的保管密碼的注意。例如對用于上網交易的計算機進行基本的軟硬件防病毒保護等等。

　　如果用戶已經盡到了一般正常的注意義務，仍然無法避免自己的密碼被他人竊取（例如出現新型種類的木馬病毒而一般的殺毒軟件無法查殺等），那么這個時候就可以免除用戶對竊取密碼者以其之名給他人造成的損害的責任。

　　最后，值得注意的是，用戶在發現自己的密碼被竊取后，承擔有立即通知服務商的義務，如果有證據證明用戶已經發現自己密碼被竊取，卻沒有立即通知服務商，則即使其密碼被竊取是一般正常下無法防范的，仍然要承擔責任。與此同時，在服務商方面，接到用戶的通知后，也應當及時將該帳號予以凍結，并采取措施消除竊取人發布的交易信息所造成的影響。如果服務商怠于履行這一補救義務，則也要承擔相應的責任。

　　出現密碼和帳號被盜的情況，對電子商務的發展會產生哪些影響？

　　從宏觀上講，不會有大的影響。這就如同自從有了汽車就有了偷車賊，但偷車賊并沒有阻礙以汽車為代表的20世紀交通領域的革命一樣?！半娮由虅铡北旧硎且粋€過渡性的詞匯，從大的方向上看，通過數據電文傳遞信息、達成契約并進而完成交易將肯定成為未來的主要合同簽訂和履行形式。不過，密碼被盜用事件的不斷出現，將促使參與電子商務的各方重視信息網絡安全問題，通過技術和法律的多重手段確保交易安全。這與交通事故頻發使汽車的安全技術和交通安全法律不斷進步是一個道理。

現有法律對電子商務行為及其運行環境所進行規范？有哪些不完善的地方？

　　目前中國對電子商務行為及其運行環境進行規范的法律主要是2005年4月1日生效的《中華人民共和國電子簽名法》，該法規定了電子簽名的定義、申明了數據電文的可證據性，并具體規定了數據電文成為有效證據的要件。此外，還有一些部門規章涉及到電子商務行為。

　　說到不完善的地方，我認為主要的問題還不在立法條文，而在于立法的指導思想。至今國內還沒有對電子商務過程中的交易安全、交易習慣等問題進行深入的調查。以《電子簽名法》為例，整個草案存在偏重于行政責任的確定，對由于使用電子簽名而產生的民事關系規范較少。此外，技術特定主義仍然影響著立法，不能在立法中按照某一種特定技術的特征來確定數據電文的證明力。

　　第三方網上支付平臺的出現，能夠在技術層面，部分保證網上交易的可靠性。它在一定程度上起到了防范風險的作用。而事實上，例如“支付寶”這種以提供C2C交易的網絡服務商的信用來減少買賣雙方的風險而言；其本身的商業信用擔保本身是有限的，往往只能在小額零單貿易中起到一定的作用。

　　網民通過互聯網進行交易，應選用性能穩定的非公共上網計算機，減少密碼被竊取的可能性。此外還應注意將用于交易的網上銀行帳戶和自己的其它帳戶分開，僅在其中留存近期交易所需的小額資金。

　　值得強調的是，單純使用技術手段是不可能“保證”網上支付安全的，這是因為，即使有最先進的加密技術，用戶密碼仍然可能因為保管不當而被別人獲取。一旦發現自己的密碼被竊，應當盡快通知提供網上銀行或交易平臺的服務商，要求他們立即采取措施減少損失。同時還應咨詢有相關經驗的律師，采取各種方式保留和固定證據。