盘点一下,有哪些著名的黑客入侵案?
2015年,多家知名连锁酒店、高端品牌酒店存在严重安全漏洞,海量开房信息存泄露风险。多家P2P平台同时遭不法黑客攻击。内蒙古19万考生信息泄露。2016年,OpenSSL水牢漏洞 多家公司受影响。济南20万儿童信息被打包出售,信息精确到家庭门牌号。2017年,事件一 台湾外事部门遭不法黑客攻击,1.5万笔个人资料外泄。事件二 10月,Reaper僵尸网络病毒每天可感染1万台物联网设备。以上都是最近比较出名的黑客事件。
黑客日常的生活也没什么特别的,别人工作的时候他在破防火墙,别人休息的时候他还在破。其实黑客也是很累的,如果是不受雇佣的黑客,他们每天做的事情完全就是出于兴趣,绝大多数黑客也不敢黑银行或者金融机构,或者说他们压根没能力黑进去。所以黑客们的生活很平淡,吃吃睡睡,可能不怎么出门,但是他们出门也绝对不会让你看出他们是黑客。我们在这里就不讨论那些收到国家安全部门雇佣的职业黑客以及利用黑客技术进行犯罪的黑客团伙了,他们做的事情我们一般人接触不到,也很难了解他们每天在干嘛。我们就看看那些凭着爱好兴趣来维持生活的黑客们吧。我认识一位自称黑客的朋友,当然我不知道真假,跟他在一个地方上过班,但是不久他就辞职了。
只要不做什么违法犯罪的事情,黑客实在没有什么特殊的,就像我们下课下班就去玩会游戏或者打打球,黑客们就回去倒弄电脑去了,他们平时也不会不吃饭不睡觉,正常人一样,可能会因为睡眠不足有黑眼圈,除此之位,没有不同。
谁能告诉黑客是怎样入侵的
黑客一般用ghost帐号入侵获得管理员帐号以及进一步的权限。
黑客就可以用工具进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。
要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙等。
黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:
1.TCP ISN采样:寻找初始化序列规定长度与特定的OS是否匹配。
2.FIN探测:发送一个FIN包(或者是任何没有ACK或SYN标记的包)到目标的一个开放的端口,然后等待回应。许多系统会返回一个RESET(复位标记)。
3.利用BOGUS标记:通过发送一个SYN包,它含有没有定义的TCP标记的TCP头,利用系统对标记的不同反应,可以区分一些操作系统。
4.利用TCP的初始化窗口:只是简单地检查返回包里包含的窗口长度,根据大小来唯一确认各个操作系统。
扫描技术虽然很多,原理却很简单。这里简单介绍一下扫描工具Nmap(Network mapper)。这号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。
注意这里使用了一些真实的域名,这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描,否则后果可要你自己承担哦。
nmap -v target.example.com
这个命令对target.example.com上所有的保留TCP端口做了一次扫描,-v表示用详细模式。
nmap -sS -O target.example.com/24
这个命令将开始一次SYN的半开扫描,针对的目标是target.example.com所在的C类子网,它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限,因为用到了半开扫描以及系统侦测。
发动攻击的第二步就是与对方建立连接,查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源,它对于程序间的通讯很重要,在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$,黑客可以与对方建立一个空连接(无需用户名和密码),而利用这个空连接,就可以获得对方的用户列表。
第三步,使用合适的工具软件登录。打开命令行窗口,键入命令:net use 222.222.222.222ipc$ “administrator” /user:123456
这里我们假设administrator的密码是123456。如果你不知道管理员密码,还需要找其他密码破解工具帮忙。登录进去之后,所有的东西就都在黑客的控制之下了。
防范方法
因为ADSL用户一般在线时间比较长,所以安全防护意识一定要加强。每天上网十几个小时,甚至通宵开机的人不在少数吧,而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。
步骤一,一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,选择“高级”选项卡。单击“高级”按钮,弹出本地用户和组窗口。在Guest帐号上面点击右键,选择属性,在“常规”页中选中“帐户已停用”。
步骤二,停止共享。Windows 2000安装好之后,系统会创建一些隐藏的共享。点击开始→运行→cmd,然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章,都利用了默认共享连接。要禁止这些共享,打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点“停止共享”就行了。
步骤三,尽量关闭不必要的服务,如Terminal Services、IIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。还有一个挺烦人的Messenger服务也要关掉,否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务,看见没用的就关掉。
步骤四,禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。我们必须禁止建立空连接,方法有以下两种:
(1)修改注册表:
HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改成1。
(2)修改Windows 2000的本地安全策略:
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
步骤五,如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。 ?
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。
(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。
不要以为这样就万事大吉,微软的操作系统我们又不是不知道,bug何其多,所以一定要把微软的补丁打全。
参考资料
我的电脑老被黑客攻击,怎么办呀!!
电脑已经被黑客攻击了怎么办
尽管BO黑客软件的功能很强大,但从技术上来说,BO黑客的本领并不是想像中的那样可怕,它只是每次在 Windows启动时,悄悄地在你的电脑上启动一个服务端程序。 而其他人就可以通过你登录Internet时的IP地址, 用配套的客户端程序登录到你的电脑,从而实现远程操纵你电脑的目的。从原理上讲,它是一套简单的远程登录及控制软件工具,很多人都知道著名的PC Anywhere其实就属这类软件工具。BO黑客软件的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,可以说这是大多数在Internet上出现的黑客软件的共同之处。而清除这类黑客软件的最简便、有效的方法,就是将自动执行的黑客程序从Windows的启动配置中删除掉。
下面介绍几种识别与清除BO的方法:
1、查看WINDLL.DLL文件
BO服务器安装后,将在Windows的SYSTEM子目录下生成WINDLL.DLL文件。
如果你的电脑C:\WINDOWS\SYSTEM 子目录下有WINDLL.DLL文件,说明你的电脑已经被安装过黑客软件。你可以直接删除WINDLL.DLL文件。
2、查看“.EXE"文件
检查你的C:\WINDOWS\SYSTEM 子目录下是否有一个标着“.EXE"(空格.EXE)且没有任何图标的小程序,或者连EXE都没有(如果不显示文件扩展名),只是一个空行。注意,因为它是隐含属性,你的资源管理器应该设置为“显示所有文件”上,否则你看不到它。它的文件长度为124,928个字节,由于Cult Dead Cow还在不断更新,或许文件长度还在不断变化。
如果发现“.EXE",说明系统已经被安装了BO服务器。由于这时“.EXE"程序在后台运行,所以不能在 Windows系统中直接删除它。清除的方法是,重新启动电脑系统,让它在DOS方式下运行。然后,进入SYSTEM 子目录,将BO服务器程序
(在DOS下显示为EXE~1)的属性改为非隐含,这样就可以删除它。操作如下:
C CD\WINDOWS\SYSTEM
C ATTRIB -H EXE~1
C DEL EXE~1
注意,如果BO服务器已经被boconfig.exe重新配置,那么安装后的BO服务器文件名很可能不再是“.EXE", 并且它的文件长度也可能不再是124,928个字节。
3、查看系统注册表
BO服务器程序能够在Windows启动时自动执行,靠的是在Windows系统中加入自启动程序,BO自启动程序并不是附加在传统的AUTOEXEC.BAT、CONFIG.SYS、WIN.INI和SYSTEM.INI
里,而是在Windows系统的注册表里。
--------------------------------------------------------------------
用Windows 95/98的REGEDIT.EXE程序,直接打开注册表,在纷繁枯燥的目录树中你要费上一些功夫,找到下面目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或者 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
如果发现“.EXE"程序(如图2所示),说明系统已经被安装了BO服务器。这时,可以使用注册表编辑功能删除".EXE"
程序。
4、使用MSCONFIG工具
如果你的电脑系统安装了Windows 98,那么可以使用其配置工具MSCONFIG.EXE。与运行REGEDIT.EXE一样, 可以点击“开始”,选择“运行”并键入MSCONFIG,然后再选择“启动”,将会出现“启动”程序列表,如图3所示。
如果发现“.EXE"程序,说明系统已经被安装了BO服务器。这时,你只需点击左面的小方框,取消“√”打勾号, 就
可以使其不会自动启动,从而使这个黑客程序失效。
用MSCONFIG来清除隐藏在注册表中的自启动黑客程序,对于防范大多数Internet上的黑客程序确实是一个比较简便、高效的方法。
5、使用杀毒软件
目前有一些新版的杀毒软件,如瑞星9.0(4)版、KILL98 4.16版、KV300+(X++)版、VRV 23.b版等, 都能够正确清除BO黑客程序,包括Windows的SYSTEM子目录下BO的WINDLL.DLL和“.EXE"文件,以及Windows 95/98的注册表中的 BO注册
项。
6、使用黑客清除工具
现在已有专门的对付BO黑客的工具,如ANTIGEN就是一个很好的工具,你可以在我的网页上( )下载ANTIGEN.EXE,该文件只有374KB。下载后,可以直接运行它,就可以看到ANTIGEN界面,如图4所示,通常按提示一直按Next按钮,即可清除隐藏在系统内部的BO黑客程序,并关闭BO黑客程序打开的“后门”完全恢复系统状态。
四、防范黑客软件的措施
与反病毒一样,防御黑客软件也是“预防胜于治疗”。要树立“预防为主、消防结合”的观念。
1、不运行来历不明的软件和盗版软件
从BO运行机制中可以知道,黑客的服务器程序必须被安装在目标系统,这就要求电脑用户必须有意或被骗安装之。而运行来历不明的软件和盗版软件,就有可能带来这个危险。
-------------------------------------------------------------------------------
不要轻易运行从Internet上下载的那些不知其里的软件,不要随便下载软件,尤其是不可靠的那些FTP站点, 非授权的软件分发点。另外,几乎现在任何程序都不敢相信了,因为它可以被十分容易地捆到任何一个可执行程序上,运行又无法发觉,那么如果你下载一个程序随便运行,可能那个程序(比如一个游戏软件、一个屏幕保护程序、甚至于一个新年贺卡程序)确实能够运行,但说不定那个特洛伊木马已经在你的电脑里落户,一旦你上网,你就成了任由别人宰割的羔羊。
同样地,对于来自电子邮件的附件,应先检查是否带有BO或其他病毒,不可轻易运行。
所以,我们提倡使用原版软件,尽可能少用游戏软件、公共软件,要尽可能从第一作者获得共享软件、自由软件、公共软件。
2、使用反黑客软件
要经常性地、尽可能使用多种最新的、能够查解黑客的杀毒软件来检查系统。应该使用经安全检测的反黑客软件来检查系统。必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的防病毒工具未必能够防御黑客程序。
3、做好数据备份工作
为了确保重要数据不被破坏,最好的办法是“备份、备份、再备份”。
应该定期备份电脑系统的重要数据,如硬盘分区表、WIN.INI和SYSTEM.INI,以及系统注册表等。 应该每天备份应用系统的重要文件。
经常检查你的系统注册表,发现可疑程序,应及时加以处理。
4、保持警惕性
要时刻保持警惕性,例如,不要把你的流览器的数据传输警告窗关闭。许多上网的用户都设置为“以后不要再问此类问题”,这样你就失去了警觉,久而久之便习以为常,越来越大胆地访问、下载和在WEB上回答问题。 如果可能,把你的流览器的“接受Cookie"关闭。不管是在IRC或是访问别人的网站,你都不能保证它给你的Cookie那几十个或几百个字节是
好心。笔者曾经在IRC遇见过美国黑客使用这样的招术。
必须保持忧患意识,并且要为网络系统遭受入侵作出一些应变计划,如学习如何识别异常现象、如何追踪入侵者,训练经常使用电脑网络的人,要有正确的上网知识,另外留意与一些网络专家保持联系,及时从专业媒体获得安全信息。
5、使用防火墙
有条件的单位,应该使用防火墙。利用防火墙技术,通过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。
6、隔离内部网与Internet的联接
------------------------------------------------------------------------------------
为了确保重要信息不被窃取,最好的办法是重要信息应在非网络环境下工作。对于重要系统的内部网络应在物理上与Internet网隔离。
对局域网内所有电脑应定期进行检查,防止因为个别漏洞而造成对整个局域网被攻击。
对于与Internet相联的网络发布系统,必须加强网络安全管理。可喜的是,国内已有专门针对黑客入侵而设计的、有自主版权的网络安全产品,由福建海峡信息中心推出的“网威”黑客入侵防范软件就是一套高性能的安全产品。这套产品集网络安全测试、系统安全测试、Web安全测试、漏洞检测、漏洞修补和安全监控于一体。 它能分析指出网络信息系统存在的各种安全漏洞与隐患,提出专家建议,而且提供了实时监控手段和数百兆的针对UNIX系统的漏洞补丁(Patch), 帮助系统管理员跟踪记录黑客行踪,修补系统漏洞,提高系统的整体安全性。
必须指出的是,防止外部黑客入侵仅仅是黑客防范的一个环节。据统计,目前发生的黑客攻击事件有60%以上来自内
部攻击和越权使用。所以,防内已成为当前黑客防范的重要环节。从BO黑客程序来看,它不仅仅针对Internet网络,在局
域网上同样能够施其攻击手段。令人担心的是,一些网络管理员还使用BO来加强网管能力,其负面影响不可轻视。
电脑被黑客攻击了怎么办
尽管BO黑客软件的功能很强大,但从技术上来说,BO黑客的本领并不是想像中的那样可怕,它只是每次在 Windows启
动时,悄悄地在你的电脑上启动一个服务端程序。 而其他人就可以通过你登录Internet时的IP地址, 用配套的客户端程
序登录到你的电脑,从而实现远程操纵你电脑的目的。从原理上讲,它是一套简单的远程登录及控制软件工具,很多人都
知道著名的PC Anywhere其实就属这类软件工具。BO黑客软件的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端
程序,可以说这是大多数在Internet上出现的黑客软件的共同之处。
而清除这类黑客软件的最简便、有效的方法,就是将自动执行的黑客程序从Windows的启动配置中删除掉。
下面介绍几种识别与清除BO的方法:
1、查看WINDLL.DLL文件
BO服务器安装后,将在Windows的SYSTEM子目录下生成WINDLL.DLL文件。
如果你的电脑C:\WINDOWS\SYSTEM 子目录下有WINDLL.DLL文件,说明你的电脑已经被安装过黑客软件。你可以直接删
除WINDLL.DLL文件。
2、查看“.EXE"文件
检查你的C:\WINDOWS\SYSTEM 子目录下是否有一个标着“.EXE"(空格.EXE)且没有任何图标的小程序,或者连EXE都没
有(如果不显示文件扩展名),只是一个空行。注意,因为它是隐含属性,你的资源管理器应该设置为“显示所有文件”上,
否则你看不到它。它的文件长度为124,928个字节,由于Cult Dead Cow还在不断更新,或许文件长度还在不断变化。
如果发现“.EXE",说明系统已经被安装了BO服务器。由于这时“.EXE"程序在后台运行,所以不能在 Windows系统中
直接删除它。清除的方法是,重新启动电脑系统,让它在DOS方式下运行。然后,进入SYSTEM 子目录,将BO服务器程序
(在DOS下显示为EXE~1)的属性改为非隐含,这样就可以删除它。操作如下:
C CD\WINDOWS\SYSTEM
C ATTRIB -H EXE~1
C DEL EXE~1
注意,如果BO服务器已经被boconfig.exe重新配置,那么安装后的BO服务器文件名很可能不再是“.EXE", 并且它的
文件长度也可能不再是124,928个字节。
3、查看系统注册表
BO服务器程序能够在Windows启动时自动执行,靠的是在Windows系统中加入自启动程序,BO自启动程序并不是附加在
传统的AUTOEXEC.BAT、CONFIG.SYS、WIN.INI和SYSTEM.INI 里,而是在Windows系统的注册表里。
用Windows 95/98的REGEDIT.EXE程序,直接打开注册表,在纷繁枯燥的目录树中你要费上一些功夫,找到下面目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或者 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
如果发现“.EXE"程序(如图2所示),说明系统已经被安装了BO服务器。这时,可以使用注册表编辑功能删除".EXE"
程序。
4、使用MSCONFIG工具
如果你的电脑系统安装了Windows 98,那么可以使用其配置工具MSCONFIG.EXE。与运行REGEDIT.EXE一样, 可以点击
“开始”,选择“运行”并键入MSCONFIG,然后再选择“启动”,将会出现“启动”程序列表,如图3所示。
如果发现“.EXE"程序,说明系统已经被安装了BO服务器。这时,你只需点击左面的小方框,取消“√”打勾号, 就
可以使其不会自动启动,从而使这个黑客程序失效。
用MSCONFIG来清除隐藏在注册表中的自启动黑客程序,对于防范大多数Internet上的黑客程序确实是一个比较简便、
高效的方法。
5、使用杀毒软件
目前有一些新版的杀毒软件,如瑞星9.0(4)版、KILL98 4.16版、KV300+(X++)版、VRV 23.b版等, 都能够正确清
除BO黑客程序,包括Windows的SYSTEM子目录下BO的WINDLL.DLL和“.EXE"文件,以及Windows 95/98的注册表中的 BO注册
项。
6、使用黑客清除工具
现在已有专门的对付BO黑客的工具,如ANTIGEN就是一个很好的工具,你可以在我的网页上( )
下载ANTIGEN.EXE,该文件只有374KB。下载后,可以直接运行它,就可以看到ANTIGEN界面,如图4所示,通常按提示一直
按Next按钮,即可清除隐藏在系统内部的BO黑客程序,并关闭BO黑客程序打开的“后门”完全恢复系统状态。
四、防范黑客软件的措施
与反病毒一样,防御黑客软件也是“预防胜于治疗”。要树立“预防为主、消防结合”的观念。
1、不运行来历不明的软件和盗版软件
从BO运行机制中可以知道,黑客的服务器程序必须被安装在目标系统,这就要求电脑用户必须有意或被骗安装之。而
运行来历不明的软件和盗版软件,就有可能带来这个危险。
不要轻易运行从Internet上下载的那些不知其里的软件,不要随便下载软件,尤其是不可靠的那些FTP站点, 非授权
的软件分发点。另外,几乎现在任何程序都不敢相信了,因为它可以被十分容易地捆到任何一个可执行程序上,运行又无
法发觉,那么如果你下载一个程序随便运行,可能那个程序(比如一个游戏软件、一个屏幕保护程序、甚至于一个新年贺
卡程序)确实能够运行,但说不定那个特洛伊木马已经在你的电脑里落户,一旦你上网,你就成了任由别人宰割的羔羊。
同样地,对于来自电子邮件的附件,应先检查是否带有BO或其他病毒,不可轻易运行。
所以,我们提倡使用原版软件,尽可能少用游戏软件、公共软件,要尽可能从第一作者获得共享软件、自由软件、公
共软件。
2、使用反黑客软件
要经常性地、尽可能使用多种最新的、能够查解黑客的杀毒软件来检查系统。应该使用经安全检测的反黑客软件来检
查系统。
必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。
应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的防病毒工具未必能够防御黑客程序。
3、做好数据备份工作
为了确保重要数据不被破坏,最好的办法是“备份、备份、再备份”。
应该定期备份电脑系统的重要数据,如硬盘分区表、WIN.INI和SYSTEM.INI,以及系统注册表等。 应该每天备份应用
系统的重要文件。
经常检查你的系统注册表,发现可疑程序,应及时加以处理。
4、保持警惕性
要时刻保持警惕性,例如,不要把你的流览器的数据传输警告窗关闭。许多上网的用户都设置为“以后不要再问此类
问题”,这样你就失去了警觉,久而久之便习以为常,越来越大胆地访问、下载和在WEB上回答问题。 如果可能,把你的
流览器的“接受Cookie"关闭。不管是在IRC或是访问别人的网站,你都不能保证它给你的Cookie那几十个或几百个字节是
好心。笔者曾经在IRC遇见过美国黑客使用这样的招术。
必须保持忧患意识,并且要为网络系统遭受入侵作出一些应变计划,如学习如何识别异常现象、如何追踪入侵者,训
练经常使用电脑网络的人,要有正确的上网知识,另外留意与一些网络专家保持联系,及时从专业媒体获得安全信息。
5、使用防火墙
有条件的单位,应该使用防火墙。利用防火墙技术,通过仔细的配置,通常能够在内外网之间提供安全的网络保护,
降低网络安全风险。
6、隔离内部网与Internet的联接
为了确保重要信息不被窃取,最好的办法是重要信息应在非网络环境下工作。对于重要系统的内部网络应在物理上与
Internet网隔离。
对局域网内所有电脑应定期进行检查,防止因为个别漏洞而造成对整个局域网被攻击。
对于与Internet相联的网络发布系统,必须加强网络安全管理。可喜的是,国内已有专门针对黑客入侵而设计的、有
自主版权的网络安全产品,由福建海峡信息中心推出的“网威”黑客入侵防范软件就是一套高性能的安全产品。这套产品
集网络安全测试、系统安全测试、Web安全测试、漏洞检测、漏洞修补和安全监控于一体。 它能分析指出网络信息系统存
在的各种安全漏洞与隐患,提出专家建议,而且提供了实时监控手段和数百兆的针对UNIX系统的漏洞补丁(Patch), 帮
助系统管理员跟踪记录黑客行踪,修补系统漏洞,提高系统的整体安全性。
必须指出的是,防止外部黑客入侵仅仅是黑客防范的一个环节。据统计,目前发生的黑客攻击事件有60%以上来自内
部攻击和越权使用。所以,防内已成为当前黑客防范的重要环节。从BO黑客程序来看,它不仅仅针对Internet网络,在局
域网上同样能够施其攻击手段。令人担心的是,一些网络管理员还使用BO来加强网管能力,其负面影响不可轻视。
不要重装系统!
有时候电脑运行非常慢,但重起就好了,是不是被黑客攻击了或者控制了呢?
一、软件篇
1、设定虚拟内存
硬盘中有一个很宠大的数据交换文件,它是系统预留给虚拟内存作暂存的地方,很多应用程序都经常会使用到,所以系统需要经常对主存储器作大量的数据存取,因此存取这个档案的速度便构成影响计算机快慢的非常重要因素!一般Windows预设的是由系统自行管理虚拟内存,它会因应不同程序所需而自动调校交换档的大小,但这样的变大缩小会给系统带来额外的负担,令系统运作变慢!有见及此,用户最好自定虚拟内存的最小值和最大值,避免经常变换大小。要设定虚拟内存,在“我的电脑”上按右键选择“属性”,在“高级”选项里的“效能”的对话框中,对“虚拟内存”进行设置。
3、检查应用软件或者驱动程序
有些程序在电脑系统启动会时使系统变慢。如果要是否是这方面的原因,我们可以从“安全模式”启动。因为这是原始启动,“安全模式”运行的要比正常运行时要慢。但是,如果你用“安全模式”启动发现电脑启动速度比正常启动时速度要快,那可能某个程序是导致系统启动速度变慢的原因。
4、桌面图标太多会惹祸
桌面上有太多图标也会降低系统启动速度。Windows每次启动并显示桌面时,都需要逐个查找桌面快捷方式的图标并加载它们,图标越多,所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能,这将会耗费非常多的时间,其实如果你已经打开了杀毒软件的实时监视功能,那么启动时扫描系统就显得有些多余,还是将这项功能禁止吧! 建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除!
5、ADSL导致的系统启动变慢
默认情况下Windows XP在启动时会对网卡等网络设备进行自检,如果发现网卡的IP地址等未配置好就会对其进行设置,这可能是导致系统启动变慢的真正原因。这时我们可以打开“本地连接”属性菜单,双击“常规”项中的“Internet协议”打开“TCP/IP属性”菜单。将网卡的IP地址配置为一个在公网(默认的网关是192.168.1.1)中尚未使用的数值如192.168.1.X,X取介于2~255之间的值,子网掩码设置为255.255.255.0,默认网关和DNS可取默认设置。
6、字体对速度的影响
虽然 微软 声称Windows操作系统可以安装1000~1500种字体,但实际上当你安装的字体超过500 种时,就会出现问题,比如:字体从应用程序的字体列表中消失以及Windows的启动速度大幅下降。在此建议最好将用不到或者不常用的字体删除,为避免删除后发生意外,可先进行必要的备份。
7、删除随机启动程序
何谓随机启动程序呢?随机启动程序就是在开机时加载的程序。随机启动程序不但拖慢开机时的速度,而且更快地消耗计算机资源以及内存,一般来说,如果想删除随机启动程序,可去“启动”清单中删除,但如果想详细些,例如是QQ、popkiller 之类的软件,是不能在“启动”清单中删除的,要去“附属应用程序”,然后去“系统工具”,再去“系统信息”,进去后,按上方工具列的“工具”,再按“系统组态编辑程序”,进去后,在“启动”的对话框中,就会详细列出在启动电脑时加载的随机启动程序了!XP系统你也可以在“运行”是输入Msconfig调用“系统配置实用程序”才终止系统随机启动程序,2000系统需要从XP中复制msconfig程序。
8、取消背景和关闭activedesktop
不知大家有否留意到,我们平时一直摆放在桌面上漂亮的背景,其实是很浪费计算机资源的!不但如此,而且还拖慢计算机在执行应用程序时的速度!本想美化桌面,但又拖慢计算机的速度,这样我们就需要不在使用背景了,方法是:在桌面上按鼠标右键,再按内容,然后在“背景”的对话框中,选“无”,在“外观”的对话框中,在桌面预设的青绿色,改为黑色......至于关闭activedesktop,即是叫你关闭从桌面上的web画面,例如在桌面上按鼠标右键,再按内容,然后在“背景”的对话框中,有一幅背景,名为Windows XX,那副就是web画面了!所以如何系统配置不高就不要开启。
10、把Windows变得更苗条
与DOS系统相比,Windows过于庞大,而且随着你每天的操作,安装新软件、加载运行库、添加新游戏等等使得它变得更加庞大,而更为重要的是变大的不仅仅是它的目录,还有它的 注册表 和运行库。因为即使删除了某个程序,可是它使用的DLL文件仍然会存在,因而随着使用日久,Windows的启动和退出时需要加载的DLL动态链接库文件越来越大,自然系统运行速度也就越来越慢了。这时我们就需要使用一些彻底删除DLL的程序,它们可以使Windows恢复苗条的身材。建议极品玩家们最好每隔两个月就重新安装一遍Windows,这很有效。
11、更改系统开机时间
虽然你已知道了如何新增和删除一些随机启动程序,但你又知不知道,在开机至到进入Windows的那段时间,计算机在做着什么呢?又或者是,执行着什么程序呢?那些程序,必定要全部载完才开始进入Windows,你有否想过,如果可删除一些不必要的开机时的程序,开机时的速度会否加快呢?答案是会的!想要修改,可按"开始",选"执行",然后键入win.ini,开启后,可以把以下各段落的内容删除,是删内容,千万不要连标题也删除!它们包括:[compatibility]、[compatibility32]、[imecompatibility]、[compatibility95]、[modulecompatibility]和[embedding]。
二、硬件篇
1、Windows系统自行关闭硬盘DMA模式
硬盘的DMA模式大家应该都知道吧,硬盘的PATA模式有DMA33、DMA66、DMA100和DMA133,最新的SATA-150都出来了!一般来说现在大多数人用的还是PATA模式的硬盘,硬盘使用DMA模式相比以前的PIO模式传输的速度要快2~8倍。DMA模式的起用对系统的性能起到了实质的作用。但是你知道吗?Windows 2000、XP、2003系统有时会自行关闭硬盘的DMA模式,自动改用PIO模式运行!这就造成在使用以上系统中硬盘性能突然下降,其中最明显的现象有:系统起动速度明显变慢,一般来说正常Windows XP系统启动时那个由左向右运动的滑条最多走2~4次系统就能启动,但这一问题发生时可能会走5~8次或更多!而且在运行系统时进行硬盘操作时明显感觉变慢,在运行一些大的软件时CPU占用率时常达到100%而产生停顿,玩一些大型3D游戏时画面时有明显停顿,出现以上问题时大家最好看看自己硬盘的DMA模式是不是被Windows 系统自行关闭了。查看自己的系统是否打开DMA模式:
a. 双击“管理工具”,然后双击“计算机管理”;
b. 单击“系统工具”,然后单击“设备管理器”;
c. 展开“IDE ATA/ATAPI 控制器”节点;
d. 双击您的“主要IDE控制器”;
2、CPU 和风扇是否正常运转并足够制冷
当CPU风扇转速变慢时,CPU本身的温度就会升高,为了保护CPU的安全,CPU就会自动降低运行频率,从而导致计算机运行速度变慢。有两个方法检测CPU的温度。你可以用“手指测法”用手指试一下处理器的温度是否烫手,但是要注意的是采用这种方法必须先拔掉电源插头,然后接一根接地线来防止身上带的静电击穿CPU以至损坏。另一个比较科学的方法是用带感温器的万用表来检测处理器的温度。
因为处理器的种类和型号不同,合理温度也各不相同。但是总的来说,温度应该低于 110 度。如果你发现处理器的测试高于这处温度,检查一下机箱内的风扇是否正常运转。
3、USB和扫描仪造成的影响
由于Windows 启动时会对各个驱动器(包括光驱)进行检测,因此如果光驱中放置了光盘,也会延长电脑的启动时间。所以如果电脑安装了扫描仪等设备,或在启动时已经连接了USB硬盘,那么不妨试试先将它们断开,看看启动速度是不是有变化。一般来说,由于USB接口速度较慢,因此相应设备会对电脑启动速度有较明显的影响,应该尽量在启动后再连接USB设备。如果没有USB设备,那么建议直接在BIOS设置中将USB功能关闭。
4、是否使用了磁盘压缩
因为“磁盘压缩”可能会使电脑性能急剧下降,造成系统速度的变慢。所以这时你应该检测一下是否使用了“磁盘压缩”,具体操作是在“我的电脑”上点击鼠标右键,从弹出的菜单选择“属性”选项,来检查驱动器的属性。
5、网卡造成的影响
只要设置不当,网卡也会明显影响系统启动速度,你的电脑如果连接在局域网内,安装好网卡驱动程序后,默认情况下系统会自动通过DHCP来获得IP地址,但大多数公司的局域网并没有DHCP服务器,因此如果用户设置成“自动获得IP地址”,系统在启动时就会不断在网络中搜索DHCP 服务器,直到获得IP 地址或超时,自然就影响了启动时间,因此局域网用户最好为自己的电脑指定固定IP地址。
6、文件夹和打印机共享
安装了Windows XP专业版的电脑也会出现启动非常慢的时候,有些时候系统似乎给人死机的感觉,登录系统后,桌面也不出现,电脑就像停止反应,1分钟后才能正常使用。这是由于使用了Bootvis.exe 程序后,其中的Mrxsmb.dll文件为电脑启动添加了67秒的时间!
要解决这个问题,只要停止共享文件夹和打印机即可:选择“开始→设置→网络和拨号连接”,右击“本地连接”,选择“属性”,在打开的窗口中取消“此连接使用下列选定的组件”下的“ Microsoft 网络的文件和打印机共享”前的复选框,重启电脑即可。
7、系统配件配置不当
一些用户在组装机器时往往忽略一些小东西,从而造成计算机整体配件搭配不当,存在着速度上的瓶颈。比如有些朋友选的CPU档次很高,可声卡等却买了普通的便宜货,其实这样做往往是得不偿失。因为这样一来计算机在运行游戏、播放影碟时由于声卡占用CPU资源较高且其数据传输速度较慢,或者其根本无硬件解码而需要采用软件解码方式,常常会引起声音的停顿,甚至导致程序的运行断断续续。又如有些朋友的机器是升了级的,过去老机器上的一些部件如内存条舍不得抛弃,装在新机器上照用,可是由于老内存的速度限制,往往使新机器必须降低速度来迁就它,从而降低了整机的性能,极大地影响了整体的运行速度。
9、断开不用的网络驱动器
为了消除或减少 Windows 必须重新建立的网络连接数目,建议将一些不需要使用的网络驱动器断开,也就是进入“我的电脑”,右击已经建立映射的网络驱动器,选择“断开”即可。
10、缺少足够的内存
Windows操作系统所带来的优点之一就是多线性、多任务,系统可以利用CPU来进行分时操作,以便你同时做许多事情。但事情有利自然有弊,多任务操作也会对你的机器提出更高的要求。朋友们都知道即使是一个最常用的WORD软件也要求最好有16MB左右的内存,而运行如3D MAX等大型软件时,64MB的内存也不够用。所以此时系统就会自动采用硬盘空间来虚拟主内存,用于运行程序和储存交换文件以及各种临时文件。由于硬盘是机械结构,而内存是电子结构,它们两者之间的速度相差好几个数量级,因而使用硬盘来虚拟主内存将导致程序运行的速度大幅度降低。
11、硬盘空间不足
使用Windows系统平台的缺点之一就是对文件的管理不清楚,你有时根本就不知道这个文件对系统是否有用,因而Windows目录下的文件数目越来越多,容量也越来越庞大,加之现在的软件都喜欢越做越大,再加上一些系统产生的临时文件、交换文件,所有这些都会使得硬盘可用空间变小。当硬盘的可用空间小到一定程度时,就会造成系统的交换文件、临时文件缺乏可用空间,降低了系统的运行效率。更为重要的是由于我们平时频繁在硬盘上储存、删除各种软件,使得硬盘的可用空间变得支离破碎,因此系统在存储文件时常常没有按连续的顺序存放,这将导致系统存储和读取文件时频繁移动磁头,极大地降低了系统的运行速度。
12、硬盘分区太多也有错
如果你的Windows 2000没有升级到SP3或SP4,并且定义了太多的分区,那么也会使启动变得很漫长,甚至挂起。所以建议升级最新的SP4,同时最好不要为硬盘分太多的区。因为Windows 在启动时必须装载每个分区,随着分区数量的增多,完成此操作的时间总量也会不断增长。
三、病毒篇
如果你的计算机感染了病毒,那么系统的运行速度会大幅度变慢。病毒入侵后,首先占领内存这个据点,然后便以此为根据地在内存中开始漫无休止地复制自己,随着它越来越庞大,很快就占用了系统大量的内存,导致正常程序运行时因缺少主内存而变慢,甚至不能启动;同时病毒程序会迫使CPU转而执行无用的垃圾程序,使得系统始终处于忙碌状态,从而影响了正常程序的运行,导致计算机速度变慢。下面我们就介绍几种能使系统变慢的病毒。
1、使系统变慢的bride病毒
病毒类型:黑客程序
发作时间:随机
传播方式:网络
感染对象:网络
警惕程度:★★★★
病毒介绍:
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接网站,如果无法连接到此网站,则病毒会休眠几分钟,然后修改注册表将自己加入注册表自启动项,病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件,病毒还会释放出FUNLOVE病毒感染局域网计算机,最后病毒还会杀掉已知的几十家反病毒软件,使这些反病毒软件失效。
病毒特征
如果用户发现计算机中有这些特征,则很有可能中了此病毒。
·病毒运行后会自动连接网站。
·病毒会释放出Bride.exe,Msconfig.exe,Regedit.exe三个文件到系统目录;释放出:Help.eml, Explorer.exe文件到桌面。
·病毒会在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中加入病毒Regedit.exe的路径。
·病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。
·病毒会寻找计算机中的邮件地址,然后按照地址向外大量发送标题为:被感染的计算机机名(例:如果用户的计算机名为:张冬, 则病毒邮件的标题为:张冬)的病毒邮件。
·病毒还会杀掉几十家国外著名的反病毒软件。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了Bride(Worm.bride)病毒,请用户立刻用手中的杀毒软件进行清除。
2、使系统变慢的阿芙伦病毒
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/文件
感染对象:网络
警惕程度:★★★★
病毒介绍:
此病毒可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下正常运行。病毒运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下,并随机生成文件名。该病毒运行后,会使消耗大量的系统资源,使系统明显变慢,并且杀掉一些正在运行的反病毒软件,建立四个线程在局域网中疯狂传播。
病毒特征
如果用户发现计算机中有这些特征,则很有可能中了此病毒:
·病毒运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下,文件名随机
·病毒运行时会使系统明显变慢
·病毒会杀掉一些正在运行的反病毒软件
·病毒会修改注册表的自启动项进行自启动
·病毒会建立四个线程在局域网中传播
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“阿芙伦(Worm.Avron)”病毒,由于此病毒没有固定的病毒文件名,所以,最好还是选用杀毒软件进行清除。
3、恶性蠕虫 震荡波
病毒名称: Worm.Sasser
中文名称: 震荡波
病毒别名: W32/Sasser.worm [Mcafee]
病毒类型: 蠕虫
受影响系统:WinNT/Win2000/WinXP/Win2003
病毒感染症状:
·莫名其妙地死机或重新启动计算机;
·系统速度极慢,cpu占用100%;
·网络变慢;
·最重要的是,任务管理器里有一个叫"avserve.exe"的进程在运行!
破坏方式:
·利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
·和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器
下载特定文件并运行,来达到感染的目的。
·文件名为:avserve.exe
解决方案:
·请升级您的操作系统,免受攻击
·请打开个人防火墙屏蔽端口:445、5554和9996,防止名为avserve.exe的程序访问网络
·手工解决方案:
首先,若系统为WinMe/WinXP,则请先关闭系统还原功能;
步骤一,使用进程程序管理器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入 系统安装目录(Winnt或windows),找到文件“avser ve.exe”,将它删除;然后进入系统目录(Winntsystem32或windowssystem32),找 到文件"*_up.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始——运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
在右边的面板中, 找到并删除如下项目:"avserve.exe" = %SystemRoot%avserve.exe
关闭注册表编辑器。
第二部份 系统加速
一、Windows 98
1、不要加载太多随机启动程序
不要在开机时载入太多不必要的随机启动程序。选择“开始→程序→附件→系统工具→系统信息→系统信息对话框”,然后,选择“工具→系统配置实用程序→启动”,只需要internat.exe前打上钩,其他项都可以不需要,选中后确定重起即可。
2、转换系统文件格式
将硬盘由FAT16转为FAT32。
3、不要轻易使用背景
不要使用ActiveDesktop,否则系统运行速度会因此减慢(右击屏幕→寻显示器属性→Web标签→将其中关于“活动桌面”和“频道”的选项全部取消)。
4、设置虚拟内存
自己设定虚拟内存为机器内存的3倍,例如:有32M的内存就设虚拟内存为96M,且最大值和最小值都一样(此设定可通过“控制面板→系统→性能→虚拟内存”来设置)。
5、一些优化设置
a、到控制面板中,选择“系统→性能→ 文件系统”。将硬盘标签的“计算机主要用途”改为网络服务器,“预读式优化"调到全速。
b、将“软盘”标签中“每次启动就搜寻新的软驱”取消。
c、CD-ROM中的“追加高速缓存”调至最大,访问方式选四倍速或更快的CD-ROM。
6、定期对系统进行整理
定期使用下列工具:磁盘扫描、磁盘清理、碎片整理、系统文件检查器(ASD)、Dr�Watson等。
二、Windows 2000
1、升级文件系统
a、如果你所用的操作系统是win 9x与win 2000双重启动的话,建议文件系统格式都用FAT32格式,这样一来可以节省硬盘空间,二来也可以9x与2000之间能实行资源共享。
提醒:要实现这样的双重启动,最好是先在纯DOS环境下安装完9x在C区,再在9x中或者用win 2000启动盘启动在DOS环境下安装2000在另一个区内,并且此区起码要有800M的空间以上
b、如果阁下只使用win 2000的话,建议将文件系统格式转化为NTFS格式,这样一来可节省硬盘空间,二来稳定性和运转速度更高,并且此文件系统格式有很好的纠错性;但这样一来,DOS和win 9x系统就不能在这文件系统格式中运行,这也是上面所说做双启动最好要用FAT32格式才能保证资源共享的原因。而且,某些应用程序也不能在此文件系统格式中运行,大多是DOS下的游戏类。
提醒:在win 2000下将文件系统升级为NTFS格式的方法是,点击“开始-程序-附件”选中“命令提示符”,然后在打开的提示符窗口输入"convert drive_letter:/fs:ntfs",其中的"drive"是你所要升级的硬盘分区符号,如C区;还需要说明的是,升级文件系统,不会破坏所升级硬盘分区里的文件,无需要备份。
· 再运行“添加-删除程序”,就会看见多出了个“添加/删除 Windows 组件”的选项;
b、打开“文件夹选项”,在“查看”标签里选中“显示所有文件和文件夹”,此时在你安装win 2000下的区盘根目录下会出现Autoexec.bat和Config.sys两个文件,事实上这两个文件里面根本没有任何内容,可以将它们安全删除。
c、右击“我的电脑”,选中“管理”,在点“服务和应用程序”下的“服务”选项,会看见win 2000上加载的各个程序组见,其中有许多是关于局域网设置或其它一些功能的,你完全可以将你不使用的程序禁用;
如:Alertr,如果你不是处于局域网中,完全可以它设置为禁用;还有Fax Service,不发传真的设置成禁用;Print Spooler,没有打印机的设置成制用;Uninterruptible power Supply,没有UPS的也设置成禁用,这些加载程序你自己可以根据自己实际情况进行设置。
各个加载程序后面都有说明,以及运行状态;选中了要禁用的程序,右击它,选“属性”,然后单击停止,并将“启动类型”设置为“手动”或者“已禁用”就行了
d、关掉调试器Dr. Watson;
运行drwtsn32,把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错,硬盘会响很久,而且会占用很多空间。如果你以前遇到过这种情况,请查找user.dmp文件并删掉,可能会省掉几十兆的空间。这是出错程序的现场,对我们没用。另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉
0条大神的评论