按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
IP(Internet Protocol)网际协议,IP数据包的传输协议,每个IP数据包都含有源地址和目的地址,知道从源机器正确地传送到目的机器上去。通过IP协议,IP数据包可以通过网络上路由器、网关等多种设备到达正确的目的地。
TCP(Transport control Protocal)传输控制协议具有重排IP数据包顺序和超时确认的功能。IP数据包可能从不同的通信线路到达目的地机器,IP数据包的顺序可能被打乱。TCP按IP数据包原来的顺序进行重排。IP数据包可能在传输过程中丢失或损坏,在规定的时间内如果目的地机器收不到这些IP数据包,TCP协议会让源机器重新发送这些IP数据包,TCP协议可以实现可靠的数据传送。
另外还有UDP协议(不可靠的传送数据包),以及对传输过程进行控制的传输管理协议(ICMP)。
第四节 个人防火墙,能做什么不能做什么?
说到个人防火墙,必须首先说明一些最基本的概念:
TCP/IP协议和套接字软件。TCP/IP协议在前面已经作了详细的描述,套接字是在TCP/IP协议基础之上,提供访问这个协议的一些基本函数接口。
个人防火墙的发展也经过了几代。
第一代是套接字层次的个人防火墙,基本特点是可以对TCP、UDP协议进行监控。
这一代防火墙基本上是在视窗操作系统WinSock。DLL基础上开发的,可以对指定的地址允许或者禁止TCP/UDP连接,可以确定哪些端口允许,哪些端口禁止。
第二代是TCP/IP协议层的防火墙,可以实现对ICMP、IGMP协议的监控,可以实现应用程序级的监控。
这一代防火墙的功能强大很多,可以禁止其他的机器使用Ping程序在网络上发现你。更重要的是,可以 准备访问网络,可以制定禁止或者允许某一个程序访问网络,如果用户不能明确断定一个程序可以访问网络,就禁止他访问。这样,对于木马程序,就不再能够在用户不知道的情况下,将一些重要的信息泄露出来了。
第三代在第二代的基础之上,增加了内容过滤功能,可以对数据包的内容进行分析和判断,准确的识别出端口扫描。
使用第三代个人防火墙,可以实现小型的个人入侵检测系统(Personal Intrude Detect System),使用这个系统,可以准确的判断什么样的攻击正在发生,在攻击取得成功之前将攻击拦截并且切断攻击者的连接。
第五节 如何实现自动执行
注册表是整个视窗32位操作系统的一个重要组成部分,对于大量的木马程序,注册表的作用更是非常重要,因为大部分木马程序需要在电脑启动之后自动加载,这就需要有一种方法告诉操作系统,需要自动加载木马程序。注册表是完成这个任务的最佳选择之一。
注册表设计的初衷是为了存放系统的一些设置文件,后来由于需要存放的设置越来越复杂,注册表也就发展成为一种数据库了,特别是在视窗95以后的视窗操作系统中,注册表已经成为系统的个非常重要的组成部分,关于注册表的内容和作用需要一本完整的书来描述,所以我们在这里不对注册表做太多的研究,只是结合木马程序的防范,把重点放在一个问题上,木马程序有哪些方法可以让操作系统自动加载?
基本的答案是下面几种:
* 通过视窗3。1遗留下来的配置文件,win。ini文件中,在'WINDOWS'下面,〃run=〃和〃load=〃是可能加载〃木马〃程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上〃木马〃了。
* 同样是视窗3。1遗留下来的文件,system。ini文件中,在'BOOT'下面有个〃shell=文件名〃。正确的文件名应该是〃explorer。exe〃,如果不是〃explorer。exe〃,而是〃shell= explorer。exe [程序名]〃,那么后面跟着的那个程序就是〃木马〃程序,就是说你已经中〃木马〃了。
* 注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:
〃HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun〃目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为。EXE,这里切记:有的〃木马〃程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如〃Acid Battery v1。0木马〃,它将注册表
〃HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〃
下的 Explorer 键值改为Explorer=〃C:WINDOWSexpiorer。exe〃,〃木马〃程序与真正的Explorer之间只有〃i〃与〃l〃的差别。当然在注册表中还有很多地方都可以隐藏〃木马〃程序,
如:〃HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun〃、
〃HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun〃
的目录下都有可能,最好的办法就是在
〃HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun〃下找到〃木马〃程序的文件名,再在整个注册表中搜索即可。
第八章 对电脑病毒说不
第一节 关于病毒的十诫
* 对于从因特网上下载的可执行文件和WORD/EXECEL文件一定要非常小心,在打开这些东西之前一定要进行非常仔细的检查。
* 不要相信任何人发来的邮件,即使是来自你的朋友,即使邮件的主题是“我爱你”,因为你的朋友很可能已经被病毒感染,打开邮件的附件之前一定要三思而后行。
* 局域网的管理员应该特别注意的是,将所有共享目录的可执行文件设置成只读文件,限制普通权限的用户对这些目录的文件拥有写权限。在运行新的软件之前一定要使用反病毒软件进行仔细的检测,最好在一台和局域网隔离的电脑上首先安装和运行新的软件以防止出现病毒或其他对局域网的破坏。
* 最好是购买正版的软件,不要购买盗版软件,特别是那种将多个正版软件放在一张光盘上的所谓合集软件。在网上下载软件使用时一定要小心,到有大量用户的知名站点下载,这样下载的软件中包括病毒的可能性相对要小一些。
* 在任何时候都不要禁止你的病毒防火墙,如果病毒防火墙和你要使用的软件有冲突,那么使用另外一种病毒防火墙代替它。
* 定期备份你的数据,这是最重要的防患于未然的方法,在发生病毒感染时,备份你的数据可以最大限度的减小你的损失。
* 将你的电脑的引导顺序设置为“C:A:”,这样可以防止软盘中的引导病毒感染你的硬盘。
* 发现机器有异常表现,立即关机,然后进行杀毒处理。如果没有杀毒软件,可在备份了数据之后重新安装软件,注意一定要使用一张确信没有病毒的引导磁盘来引导机器之后在安装软件。
* 及时升级你的杀毒软件,一周一次的升级频率已经无法满足需要,或许具有主动才病毒代码发送的升级方式是你的选择。
* 不要过于相信厂商的宣传,发现最多病毒的软件不一定是最好的软件,掌握足够的病毒知识,拥有自己的判断才能真正保护自己的电脑安全。
第二节 仔细看看你的硬盘
硬盘是任何现代个人电脑中必不可少的存储设备,也是电脑病毒的主要栖息地,病毒从第一块硬盘RAMAC的产生到现在单碟容量高达十几GB的硬盘,硬盘也经历了几代的发展,下面就介绍一下其历史及发展。 1956年9月,IBM的一个工程小组向世界展示了第一台磁盘存储系统IBM 350 RAMAC(Random Access Method of Accounting and Control),其磁头可以直接移动到盘片上的任何一块存储区域,从而成功地实现了随机存储,这套系统的总容量只有5MB,共使用了50个直径为24英寸的磁盘,这些盘片表面涂有一层磁性物质,它们被叠起来固定在一起,绕着同一个轴旋转。此款RAMAC在那时主要用于飞机预约、自动银行、医学诊断及太空领域内。 1968年IBM公司首次提出〃温彻斯特/Winchester〃技术,探讨对硬盘技术做重大改造的可能性。〃温彻斯特〃技术的精隋是:〃密封、固定并高速旋转的镀磁盘片,磁头沿盘片径向移动,磁头悬浮在高速转动的盘片上方,而不与盘片直接接触〃,这也是现代绝大多数硬盘的原型。
1973年IBM公司制造出第一台采用〃温彻期特〃技术的硬盘,从此硬盘技术的发展有了正确的结构基础。 1979年,IBM再次发明了薄膜磁头,为进一步减小硬盘体积、增大容量、提高读写速度提供了可能。 80年代末期IBM对硬盘发展的又一项重大贡献,即发明了MR(Magneto Resistive)磁阻,这种磁头在读取数据时对信号变化相当敏感,使得盘片的存储密度能够比以往20MB每英寸提高了数十倍。 1991年IBM生产的3。5英寸的硬盘使用了MR磁头,使硬盘的容量首次达到了1GB,从此硬盘容量开始进入了GB数量级。 1999年9月7日,Maxtor宣布了首块单碟容量高达10。2GB的ATA硬盘,从而把硬盘的容量引入了一个新里程碑。 2000年2月23日,希捷发布了转速高达15,000RPM的Cheetah X15系列硬盘,其平均寻道时间只有3。9ms,这可算是目前世界上最快的硬盘了,同时它也是到目前为止转速最高的硬盘;其性能相当于阅读一整部Shakespeare只花。15秒。此系列产品的内部数据传输率高达48MB/s,数据缓存为4~16MB,支持Ultra160/m SCSI及Fibre Channel(光纤通道),这将硬盘外部数据传输率提高到了160MB~200MB/s。总得来说,希捷的此款(〃捷豹〃)Cheetah X15系列将硬盘的性能提高到了一个新的里程碑。
2000年3月16日,硬盘领域又有新突破,第一款〃玻璃硬盘〃问世,这就是IBM推出的Deskstar 75GXP及Deskstar 40GV,此两款硬盘均使用玻璃取代传统的铝作为盘片材料,这能为硬盘带来更大的平滑性及更高的坚固性。另外玻璃材料在高转速时具有更高的稳定性。此外Deskstar 75GXP系列产品的最高容量达75GB,是当时最大容量的硬盘,而Deskstar 40GV的数据存储密度则高达14。3十亿数据位/每平方英寸,这再次涮新数据存储密度世界记录
第三节 原来如此
前面已经分析过硬盘的结构,在一片一片的磁性介质之上,通过低级格式化(建立一些基本的结构,扇区、分区等等),硬盘就可以被操作系统所使用了,操作系统在实际进行文件读写之前,需要使用高级格式化的功能,建立起适当的文件系统,目前主流的文件系统包括:
文件分配表(FAT)文件系统:是视窗3。x和DOS一直使用的文件系统;Windows95使用的是扩展FAT文件系统;WindowsNT文件系统则在继续支持16位文件系统的同时,还支持两种32位的文件系统WindowsNT文件系统(NTFS)和高性能文件系统(HPFS),视窗98推出了新的FAT32文件系统,Linux操作系统主要使用的是扩展文件系统第二版(EXT2),这几种文件系统各有优缺点,适合于不同的应用目的。
一、文件分配表(FAT)系统 FAT文件系统1982年开始应用于MS…DOS中。
FAT文件系统主要的优就是它可以由多种操作系统访问,如MS…DOS、Windows3。x、Windows5、WindowsNT和OS/2等。遗憾的是FAT文件统不支持长文件名。人们给文件命名时受8个字符名3个字符扩展名8