1.如果有天你鼠标，可能不听使唤，自动跑来跑去，去打开文件，惊奇了吧，别人可能在远程桌面控制你呢！ 2.不经意打开了一个未知文件，好象是没有执行，不理了.啊！我的qq怎么不行了，登陆不了.你先前打开的文件，被捆绑了木马，专偷你qq呢！ 3.访问了主页，我以后怎么打开一个浏览器都会探出不想出现的网页，注册表被人改了.你访问了恶意网页 4.打开一个邮件未知附件，怎么我的资料没了，可能那是个蠕虫病毒，一个格式化分区的工具. 安全是什么，很难回答！只能存在于你的意识，你意识到要做的更多的防御，你的安全就更好，安全相对而言！ 文章的对象：主要上网的一般用户，网络用户 第一章：安全知识篇 1.1.电脑防御必要性 当你连接到Internet时，物理上你将自己的网络连接到了超过50，00个的未知网络和其所有用户上。 在这些连接打开许多有用应用的方便之门和提供更多信息共享机会的同时，大部分私有网络包含有大量不应为Internet上其他用户共享的信息。 此外不是所有Internet用户的行为是合法的。 这两种情况预示了下面大部分Internet安全问题的关键。 　　· 怎样保护机密信息不被哪些不明确可以访问它的人访问？　　· 怎样保护网络机器资源不受起源于网络外部的恶意用户和事件的侵扰？ 1.2.安全基础知识： 1.什么叫计算机安全？　　国际标准化委员会的定义是“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。” 　　美国国防部国家计算机安全中心的定义是“要讨论计算机安全首先必须讨论对安全需求的陈述，......。一般说来，安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。” 　　我国公安部计算机管理监察司的定义是“计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。” 2.什么叫网络安全？　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 3.网际协议安全（IPSecurity）？　　IPSec作为安全网络的长期方向，是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议，您可以很容易地给现有网络部署IPSec。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程隧道服务器之间进行协商。 4.什么叫防火墙(Firewall)？　　用于将因特网的子网与因特网的其余部分相隔离，以达到网络和信息安全效果的软件或硬件设施。防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。 　　防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。为了使防火墙发挥效力，来自和发往因特网的所有信息都必须经由防火墙出入。防火墙只允许授权信息通过，而防火墙本身不能被渗透。　 5.什么叫后门(Back Door)？　　绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除后门，那么它就成了安全风险。 6.什么叫计算机病毒(Computer Virus)？　　计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码　　 7.什么叫黑客？　　计算机黑客是指未经许可擅自进入某个计算机网络系统的非法用户。计算机黑客往往具有一定的计算机技术，采取截获密码等方法，非法闯入某个计算机系统，进行盗窃、修改信息，破坏系统运行等活动，对计算机网络造成很大的损失和破坏。　　我国新修订的《刑法》，增加了有关利用计算机犯罪的条款，非法制造、传播计算机病毒和非法进入计算机网络系统进行破坏都是犯罪行为。 　8.什么叫邮件炸弹（E-mail Bomb）？　　使得攻击目标主机收到超量的电子邮件，使得主机无法承受导致邮件系统崩溃。 　9.什么叫拒绝服务（DoS）？　　DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 　10.什么叫尼姆达病毒（nimda）？　　尼姆达是以readme.exe为附件通过电子邮件传播的蠕虫病毒。此病毒会自动创建染毒文件.eml和.nws。当用户计算机感染尼姆达后，其蠕虫病毒会把用户C盘设为共享，通过感染文件、乱发邮件、网络蠕虫、局域网蠕虫四种方式传播。其病毒特征与猖狂一时的红色代码、蓝色代码如出一辙。 1.3.常见的攻击： 1.远程共享漏洞攻击 2.密码攻击 3.IE漏洞攻击 4.UPNP服务漏洞攻击 5.Windows 9x/Me本地登录验证漏洞攻击 6.蓝屏攻击 7.远程漏洞攻击 8.拒绝服务DDos攻击 9.远程监听攻击 10.特洛伊木马和病毒攻击 ....... 第二章：漏洞篇 对于window98/me: 2.1. 远程共享漏洞 2.1.1.说明： Windows9X共享资源是利用“文件与打印机共享”服务， 黑客们可以轻易的获取个人用户电脑中所有他认为需要的资料， 并可以进行删除、修改以及控制等操作。 通过软件Shed，可以得到网络上具有共享漏洞的个人电脑。 2.1.2.攻击方法：图片和说明 2.1.3.防范方法 ： 1.关闭不需要共享的目录和外设属性是很要必要的，也是防范共享入侵的一种有效方法。 2.使用复杂的字符来命名共享名称，这样往往会让Net View命令输出与shed的扫描失效。 2.2.破解共享密码的几种方法 2.2.1.初级破解——利用软件破解图文和说明 2.2.2.高级破解——利用注册表破解图文和说明 2.2.3.网络刺客--猜解密码图文和说明 3. IE的安全隐患 3.1.IE中格式化本地硬盘的代码 这个代码早就在网上被公布了出来，大家在看到下面的代码时请勿自试。 代码用来将A盘进行格式化。 (1)用start/m，参数“q”是快速格式化，参数“u”是确定不可恢复这个程序以最小化的方式运行。参数“/autotest”意为处动执行格式程序，并不需要用户确认。 (2)接着message提示，“IMPORTANT ：Windows is configuring the system. Plase do not interrupt this process.” 防范方法 ： 将format.com改名，并移动到其它目录下，并且屏蔽IE的javascript功能。 2.3.2.常见的IE攻击 (1)修改IE浏览器标题栏，把缺省或者用户设定的标题改成浏览网站的标题，把IE缺省主页改变为浏览网站的网址。 (2)修改IE右键菜单，把特定的网址加到右键菜单上。 (3)使在Windows启动时弹出一个窗口，必须点击才能进入Windows，并且自动调出IE，访问某个网站。 (4)修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。

3.3.IE中运用框架(Frames)功能的漏洞

微软公司公布了一个存在于IE中运用框架(Frames)功能的漏洞 ，攻击者可能利用VBscript在网域间取得讯息的弱点，从中取得IE所记录的历史记录，以得到其中的个人资料，如：使用者的名称、密码，甚至是银行账号的记录，但是要明确得知其档案名称，攻击者只能在Browser上显示其所取得的档案，例如Text， HTML 或是 Image 档档案。但攻击者不能利用此漏洞对档案进行新增、删除、修改等操作；不能观看到一些WORD档案。

目前受影响平台：Microsoft Internet Explorer 5.01、Microsoft Internet Explorer 5.5、Microsoft Internet Explorer 6.0 。

解决方法：
以上漏洞修补请参考光盘内容：无需上网，直接点击即可修补：
www.Microsoft.com/china (IE 6.0 SP2 中文安全补丁)
www.Microsoft.com/china (IE 6 安全漏洞补丁)
www.Microsoft.com/china (IE 5.5 SP1 安全补丁)
同时可以通过一些软件来修补：如天网的安全检测修复系统


5. Windows 9x/Me本地登录验证漏洞

Windows 9x/Me 允许用户登录计算机时可以通过不输入密码，按取消就能登录到系统。

在安装了网络功能的Windows 9x/Me 系统中在网络设置中添加了Microsoft 网络用户组件后可以选择网络登录与windows 登录。如果设置为使用Microsoft 网络登录，并没有设置为登录到域，在登录计算机时，用户可输入正确的用户名无需输入密码，按确定后将到Windows 登录，这时按取消将会以该用户的身份成功登录进入系统。

恶意用户可以十分容易获得使用PWL 文件中所有的私人信息。步骤为：

1.添加Microsoft 网络用户(如果已经添加了Microsoft 网络用户，下一步)

2.设置为不登录到域

3.设置为使用Microsoft 网络登录(如果设置了为使用Microsoft 网络登录，下一步).注销或重新启动

4.在网络登录时输入正确的用户名并确定这时将会出现Windows 登录，按取消将会以该用户的身份成功登录进入系统


7. 蓝屏攻击

系统蓝屏工具

1.VOOB

攻击软件会利用OOB(Out Of Band漏洞来攻击系统139端口的Bug，很快就将Windows 98再次攻破)
图说
你会发现这个软件的界面十分简单，所有即使是一个初次使用者，也只需数分钟便用它达到攻击目的。在图中的“HOST”中输入目标IP，选择139端口，然后点击“NUKE”即可。

解决方法 ：

升级操作系统或安装相关补丁。

2.IP Hacker V1.2

IP Hacker V1.2是32位Windows网络漏洞检测工具，可以攻击Win95/NT，攻击成功后对方立即断线，并导致蓝屏错误，只有重新启动计算机。IP Hacker V1.2一个系统安全漏洞测试工具，也是黑客们比较喜欢使用的工具之一，因为它的功能实在很强大，用它来攻击网上的个人用户是一种有效的方法之一

图说


小结：其实“蓝屏炸弹”并不能真正给目标系统带来什么大的伤害，喜欢使用“蓝屏炸弹”攻击别人电脑的人绝大多数都只是些初级黑客。但是频频遭受“蓝屏炸弹”的攻击毕竟也不是一件令人开心的事，所以必要做一些安全设置与防范还是很有必要的


对于Windows NT/2000:

通常情况下，攻击者会采取以下方式对Windows NT/2000发起进攻：

1.猜解密码(手工猜解、自动猜解、监听猜解) ；

2.远程漏洞攻击(缓冲区溢出、拒绝服务DDos) ；

3.升级权限(虹吸信息、修改注册表、Getadmin、Sechole、木马) ；

4.破解“SAM”文件(获取“SAM”、使用软件对“SAM”进行破解) ；

5.寻找信任漏洞(更改注册表键值) ；

6.远程监听(NetCat监听、BO2000、WinVNC)。


具体的攻击和防御方法：

1.安全账户管理(SAM)数据库可以由以下用户被复制：“Administrator”账户，“Administrator”组中的所有成员，备份操作员，服务器操作员，以及所有具有备份特权的人员。

攻击 ：SAM数据库的一个备份拷贝能够被某些工具所利用，来破解口令。能解码SAM数据库并能破解口令的工具有：PWDump/NTCrack/L0phtCrack

防御 ：严格限制Administrator组和备份组账户的成员资格。加强对这些账户的跟踪，尤其是Administrator账户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改进行审计，并且设置发送一个警告给Administrator，告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。

改变Administrator账户的名字，显然可以防止黑客对缺省命名的账户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备份操作员创建特殊账户。系统管理员在进行特殊任务时必须用这个特殊账户注册，然后注销。所有具有Administrator和备份特权的账户绝对不能浏览Web。所有的账户只能具有User或者Power User组的权限。

采用口令过滤器来检测和减少易猜测的口令，例如，Passprop(Windows NTResource Kit提供)，ScanNT(一个商业口令检测工具软件包)。使用加强的口令不易被猜测。Service Pack 3可以加强NT口令，一个加强的口令必须包含大小写字母，数字，以及特殊字符。使用二级身份验证机制，比如令牌卡(Token Card)，可提供更强壮的安全解决方案，它比较昂贵。


2.每次紧急修复盘(Emergency Repair Disk - ERD)在更新时，整个SAM数据库被复制到%system%\repair \sam._。

攻击 ：
在缺省的权限设置下，每个人对该文件都有“读”(Read)的访问权，Administrator和系统本身具有“完全控制”(Full Control)的权利，Power User有“改变”(Change)的权利。
其备份SAM数据库并能破解口令的工具有：PWDump/NTCrack/L0phtCrack

防御 ：
确保%system%\repair\sam._在每次ERD更新后，对所有人不可读。严格控制对该文件的读权利.


3.SAM数据库和其它NT服务器文件可能被NT的SMB所读取，SMB是指服务器消息块(Server Message Block)，一种Microsoft早期LAN产品的继承协议。

攻击 ：
SMB协议允许远程访问共享目录，Registry数据库，以及其它一些系统服务。
通过SMB协议可访问的服务的准确数目尚未有任何记载。
另外，如何控制访问这些服务的方法也尚未有任何记载。

利用这些弱点而写的程序在Internet上随处可见。
执行这些程序不需要Administrator访问权或者交互式访问权。另一个漏洞是，SMB在验证用户身份时，使用一种简易加密的方法，发送申请包。
因此，它的文件传输授权机制很容易被击溃。

SAM数据库的一个备份拷贝能够被某些工具所利用，来破解口令。

防御 ：
在防火墙上，截止从端口135到142的所有TCP和UDP连接，这样可以有利于控制，其中包括对基于RPC工作于端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。然而，限制SMB连接可能导致系统功能的局限性。在内部路由器上设置ACL，在各个独立子网之间，截止端口135到142。


4.特洛伊木马(Trojan Horses)和病毒，可能依靠缺省权利作SAM的备份，获取访问SAM中的口令信息，或者通过访问紧急修复盘ERD的更新盘。

攻击 ：
特洛伊木马(Trojan Horses)和病毒，可以由以下各组中的任何成员在用缺省权限作备份时执行(缺省地，它们包括：Administrator管理员，Administrator组成员，备份操作员，服务器操作员，以及具有备份特权的任何人)，或者在访问ERD更新盘时执行(缺省地，包括任何人)。例如：如果一个用户是Administrator组的成员，当他在系统上工作时，特洛伊木马可能做出任何事情。

防御 ：
所有具有Administrator和备份特权的账户绝对不能浏览Web。所有的账户只能具有User或者Power User组的权限。


5.重新安装Widnows NT软件，可以获得Administrator级别的访问权。

攻击 ：
重新安装整个的操作系统，覆盖原来的系统，就可以获得Administrator特权。

防御：
改善保安措施。


6.Widnows NT域中缺省的Guest账户。

攻击 ：
如果Guest账户是开放的，当用户登录失败的次数达到设置时，他可以获得NT工作站的Guest访问权，从而进入NT域。

防御 ：
据说NT第4版已经解决了这个问题，升级到第4版吧。关闭Guest账户，并且给它一个难记的口令。


7.所有用户可能通过命令行方式，试图连接管理系统的共享资源。

攻击：
任何一个用户可以在命令行下，键入“\\IPaddress\C$”或者“\\IPaddress\D$”，“\\IPaddress\WINNT$)”试图连接任意一个NT平台上管理系统的共享资源。

防御：
限制远程管理员访问NT平台，禁止远程登录电脑。依次选择“控制面板”、“管理工具”和“本地安全策略”，打开本地安全设置窗口，选择本地策略中的用户权利指派，然后利用该项下的“拒绝从网络访问这台计算机”，指定拒绝访问的对象。如果想拒绝所有的访问，最好指定为“Everyone”。


8.作为一个TCP连接的一部分，向Windows NT机器发送 out-of-band数据，可使服务拒绝访问的攻击成为可能。
攻击：
这种攻击可造成NT系统和Windows 95系统的崩溃。未存盘的数据丢失。

防御：
Microsoft的Service Pack 3 for NT 4.0已经纠正了一部分问题，UNIX和Windows平台上的问题，对于Macintosh平台，它还没有解决。在安装Microsoft的补包之前，一定要安装正确的Service Pack，因为，如果你不这样做的话，你的系统很有可能不能引导。
请查看Microsoft的站点， ftp：//ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa 以确认不同的NT版本需要什么样的Service Pack。

最佳的解决方案是，建设一个强壮的防火墙，精心地配置它，只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样在防火墙上，截止所有从端口137到139的TCP和UDP连接，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接。这是一种辅助措施，以限制该安全漏洞。值得注意的是，有些黑客程序可以具有选择端口号的能力，它可能成功地攻击其它端口。与浏览器和NT机器有关的安全漏洞。


9.NT和Windows 95机器上的所有浏览器，都有一个相似的弱点，对于HTML页上的超级链接，浏览器都首先假设该链接是指向本地机器上的一个文件。如果这台机器是一个SMB服务器，它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的。

攻击：
如果一个HTML页有这样一个链接，如：嵌入在HTML代码之中，浏览器将假设该链接是指向本地机器上的一个文件，然后自动地试图连接上该链接。如果这台机器是一个SMB服务器，本地机器将试图进行身份验证。它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的。用户根本不知道什么事情发生。
这个攻击得到散列hash，通过破解hash的用户和密码来达到得到主机访问权的目的.

防御：
由于这种反应过程只发生在TCP和UDP端口135至142上，建议在防火墙上，截止所有这些端口。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口135到142的连接。

对于winxp：

1 UPNP漏洞

UPNP漏洞(通用即插即用 (UPNP) 是一种用于 PC 机和智能设备或仪器的常见对等网络连接的体系结构，尤其是在家庭中。UPNP 以 Internet 标准和技术，例如 TCP/IP、HTTP 和 XML为基础，使这样的设备彼此可自动连接和协同工作，从而使网络，尤其是家庭网络对更多的人成为可能)。这是一个Windows XP 默认启动的服务，当用户在缺省安装Windows XP时就会自动启用UPNP服务，从而造成严重的安全漏洞

1.非法获取任何Windows XP的系统级访问(系统控制权被盗)

系统级入侵的对象为缺省安装的WindowsXP系统，当入侵者以不同的速率向UPNP服务主机发送包含异常参数的请求包时，将在目标机器上引起访问冲突，这些访问冲突大多源自指针被覆盖。

如果向目标主机发送下列会话：

NOTIFY * HTTP/1.1

HOST: 239.255.255.250:1900

CACHE-CONTROL: max-age=1

LOCATION: http://xptest.example.com:19/himom.html

NT: urn: schemas-upnp-org:device:InternetGatewayDevice:1

NTS: ssdp:alive

SERVER: EEYE/2001 UPNP/1.0 PASSITON/1.1

USN: uuid:EEYE

目标主机会根据“Location”域中的URL来发起连接，如果该URL中的主机启动了chargen服务，那么目标主机就会不断的进行分配和释放内存，从而大量占用系统CPU资源，使系统不可用


2.进行Dos攻击(服务阻断，denial-of-service)

“DoS”(服务阻断，Denial-Of-Service)的攻击，也就是用泛滥的数据包迅速导致计算机系统性能下降，直到不堪承受而当机，如图6-1所示。
入侵者通过向运行了UPNP服务的系统的1900端口发送一个UDP包，其中“Location”域的地址指向一个提供Echo服务的服务器，告知目标主机网络上的某提供Echo服务的服务器上有一个用户需要的UPNP网络设备，目标主标就会启用系统的UPNP服务，并向提供Echo服务的服务器发送下载请求，提供Echo服务的服务器将自动回复一个信息包，因为没有设备信息的确认机制，而UPNP会认为这是设备信息，并请求更多的信息文件，然后服务器又会自动回复一个包，可能使系统会进入一个无限的连接循环。这将导致系统CPU占用高达100%，无法提供正常服务

3.进行分布式DDoS 攻击

简单服务发现协议(Simple Service Discovery Protocol)是UPNP服务的一个组件，它可以使一个系统枚举出UPNP网络上新安装设备上的可用资源。由于SSDP协议的应用设计漏洞，入侵者只要向某个存在大量XP主机的网络中发送一个伪造的UDP报文，如图6-2所示
就可能强迫这些XP主机对指定主机进行攻击。

解决方法 ：
目前微软公司已经迅速的发布了安全补丁：http://www.microsoft.com/technet ... lletin/MS01-059.asp
至微软网站下载安全补丁，或者在漏洞被修补之前，暂时关闭UPNP服务。在网络边界的防火墙或者路由设备上限制对1900和5000端口的访问。这可以防止来自外部网络的攻击，但是不能防止内部网络用户发起攻击。


账号锁定功能漏洞

Windows XP设计了账号快速切换功能，可以使用户快速地在不同的账号之间切换，而不需要先退出再登录。但是快速账号切换功能目前也被证实在设计方面存在严重问题！

该漏洞在进行如下测试方法后将被证实：

1. 设置最多错误口令尝试为3次；

2. 以一般用户权限创建10个账户(User1 - User10) ；

3. 用User1账号登录；

4. 使用快速账号切换登录到User2账号；

5. 用快速账号切换从User1账号登录User2账号连续失败3次；

6. 试着去登录User3账号。

这时你会发现所有非管理员账号均已经锁定。

解决方法 ：

目前，微软还没有提供相应的补丁程序，用户如果想避免上述的漏洞，必须暂时禁止账户快速切换功能。


3 Windows XP远程桌面漏洞

Windows XP提供了远程桌面功能，目前也被证实存在设计缺陷，可能导致攻击者得到系统远程桌面的账户信息，有助于其进一步攻击。当连接建立的时候，Windows XP远程桌面把账户名以明文发送给连接它的客户端。发送的账户名不一定是远端主机的用户账号，而是最常被客户端使用的账户名，网络上的嗅探程序可能会捕获到这些账户信息。

解决方法 ：

至微软主页下载相应的补丁程序，并暂时停止远程桌面的使用


第三章：木马及病毒篇
这里没有介绍每种病毒的使用方法，只是介绍一些病毒的基本的知识和消除的方法.
以此来引起大家的注意.

1.Back Orifice（BO）
简介：

Back Orifice是98年“死牛崇拜”黑客小组公布，自从其出现就搞的网络上人心惶惶.其客户机程序（以下简称BO客户机）可以监视、管理和使用其他网络中运行服务器程序（以下简称BO服务器）所在的网络资源.


适用平台：Win95/win98
BO2K的图标和大小：客户端为：568K 服务端为：136K配置向导为：216K
图示：

消除方法：
1.杀毒软件。建议用The cleaner进行杀毒。

2.修改注册表：

注册表里[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] “UMGR32.EXE”=“C:\\WINDOWS\\SYSTEM\\UMGR32.EXE”

在删除umgr键值后，可以在WINDOS状态下直接删umgr32.exe源文件，不需要重新启动

2.蓝色火焰
简介：
这是一个没有控制端的木马，所谓无招胜有招，正因为如此，你机器里的几乎任何和网路相关的程序都可以用来控制他。 如：Telnet,sterm,cterm,Zmud,Ftp,IE,Netscape,Opera,Flashget,Cuteftp……
由于没有客户端，你甚至可以跨平台控制，你可以登陆上Unix,linux主机，用telnet,Ftp命令就可以对他进行控制管理，只要你愿意，Mac os X，也可以成为你的客户端控制平台！

适用平台：Win9x/win2000/winnt

蓝色火焰的图标：
图示：

消除方法：
1.下载作者编写的蓝色火焰擦除器
2.杀毒软件


3.冰河
简介：
主要用于远程监控，具体包括：自动跟踪屏幕变化、记录各种口令信息、获取系统信息、限制系统功能等
适用平台：Win9x/win2000/winnt
主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K
图示

消除方法：
1.软件本身的自卸载功能
2.部分杀毒软件
3.修改注册表。运行regedit，查找下面的键值.
图示
第一步：删除相对的可疑键值。
第二步：重新启动时转到DOS下，删除冰河服务端（一般默认为"c:\windows\c_server.exe"，会变更）这一步很重要。
最后：　重启计算机即可

4.无赖小子
简介：
无赖小子，又称为火凤凰，英文名称WAY，最新版本为2.5。其服务端程序文件名为P_SERVER.EXE，大小260,096字节，客户端程序名为P_CLIENT.EXE，大小为383,488字节.无赖小子的默认连接端口是8011，并且允许更改变化。功能分为三大模块：文件管理台、命令控制台、注册表编辑
适用平台：Win9x/win2000/winnt

无赖小子图示：


清除方法：
1：文中介绍的自卸载功能。
2：木马克星
3：修改注册表运行regedit，查找下面的键值。
图示
第一步：删除相对的可疑键值。（不熟悉的朋友不要乱动）
第二步：重启转如DOS下删除C：\windows\system下的msgsvc.exe这个文件。（如果服务端已经和可执行文件捆绑在 　　　　一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份。）
最后：　重启计算机即可

5.黑洞2001
简介：
黑洞2001是陈经韬在今年1月开发出来的木马，它是黑洞2000的升级版本，黑洞2001下载解压后只有一个文件s_client.exe，它是监控端执行程序，用于监控远程计算机，大小807424字节。
黑洞2001的服务端隐藏在客户端程序中，只要你运行s_client.exe(如图1)，点其中的“生成服务端文件”即可生成一个服务端文件，生成的服务端文件名为S_Server.exe，大小397632字节。
图示
黑洞2001服务端会在c:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，因此它的大小和图标没有变化；另一个是windows.exe，文件大小为255488字节，它的图标是未定义类型的图标
适用平台：Win9x/win2000/winnt
消除：
第一种方法：手工清除
1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1更改为C:\WINDOWS\NOTEPAD.EXE %1；
2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由 S_SERVER.EXE %1更改为C:\WINDOWS\NOTEPAD.EXE %1；
3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\下的串值windows删除；
4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。

　　其实只要做完前三步就算成功的清除了黑洞2001，但完美的做法是将Winvxd也删除，这样做不仅可以减少注册表体积，同时也有利于“环保”。

2.删除文件

　　到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用前面介绍的Windows优化大师的“进程管理”功能终止windows.exe这个进程，然后将将删除。

第二种方法：使用软件
图示

第三种方法：自动卸载
运行黑洞2001客户端控制程序 S_Client.EXE，执行“命令控制台”中的“控制类命令”－>“系统控制”－>“远程卸载”，卸载后的注册表相关项目全部恢复正常。

6.广外幽灵2.0

简介：
这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点“广外幽灵2.0”的压缩包解压后生成了4个文件（见图一），分别是：

适用平台：Win9x/win2000/winnt
图示

手工清除方法如下：

win98下手工删除

　　1、运行msconfig，去掉ScanRegistry的启动项；
　　2、重启机器，删除windows\system\scanregw.exe和windows\system\gst00.tmp两个木马文件
　　3、打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
把其中的"ScanRegistry"="C:\WINDOWS\SYSTEM\SCANREGW.EXE /autorun"修改为
"ScanRegistry"="C:\WINDOWS\SCANREGW.EXE /autorun"
　　4、重新运行msconfig，把ScanRegistry的启动项加上。
　　5、再重启机器，就OK了

win2000下手工删除：

　下面就是彻底清除“广外女生”的方法，注意：这个步骤的次序不能颠倒，否则可能无法完全清除掉此木马。

1.按“开始”菜单，选择“运行”，输入regedit，按确定。打开下面键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。

2.打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时就又会启动DIAGCFG.EXE。

3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件，否则的话就无法再系统中运行任何可执行文件了。


7.还有很多其他的木马，这里只介绍了典型的木马和消除方法.
下面不做介绍只给出你木马的消除方法：


第四章：放火墙
这部分介绍比较适合大众的放火墙--天网放火墙，以此做为一个开端，带你走进放火墙的世界，还有很多优秀的个人电脑防火墙，你也可以试试！
看图吧：
图示


第五章：防御总结篇

前面几章介绍了安全的基础知识，漏洞和修补方法，还有病毒和防火墙的设置.
现在试试来总结一套适合个人电脑的安全方案：
1.给系统打上最新的补丁

最简单的方法是update，桌面--开始--最顶端有个windwos update .点击就可以访问microsoft的update站点，打上最新的补丁.

也可以下载最新的系统补丁到本地，在setup安装来打上补丁


2.关闭不必要端口，也就关闭了不必要的服务

关闭135的dcom
如果在公司内部不使用DCOM，并且不想让其他计算机操作自己电脑COM的时候，可以将DCOM设置为无效。利用“dcomcnfg.exe”工具。从DOS命令中运行该工具以后，打开分布式COM配置属性窗口，选择“默认属性”页标，取消“在这台计算机上启用分布式COM”选项即可

关闭137/138/139
由控制面板中选择目前正在使用的网络连接，在属性窗口中查看“Internet协议（TCP/IP）”的属性。在“常规”页标中单击“高级”按钮，在“WINS”页标中选择“禁用TCP/IP上的NetBIOS（S）”即可，可以关闭137、138以及139端口。NetBEUI协议如果为有效，NetBIOS服务将会继续起作用
仍有可能向外部泄漏信息。

关闭445：
直接用关闭server服务的方法，server服务提供 RPC 支持、文件、打印以及命名管道共享。如果确定这些都不需要，就关闭它。


3.安装防火墙，适当配置
可以用天网防火墙或者充分利用自带的免费Internet连接防火墙功能及其他的防火墙

4.安装杀毒软件，实时监控
在线杀毒与在线监测
图说
金山网镖


5.密码知识
很多的个人的电脑的安全也是因为自己的密码强度不够，留给了攻击者有可利用之机.所以需要取容易记有不容易给人猜到的密码.

怎样的密码才算好的号码？原则：

字母+数字+特殊符号
密码长度最好是7位以上

如果是这样取密码的话，你的密码就不容易被人猜到
要破戒一个如hn%@#19的密码就不是个很容易的事！

后话：

多去了解一些安全资信，那就要多去访问其他的安全网站和防毒网站

很多这样的网站都提供给你一些安全的建议，和可能被攻击者利用的漏洞的

的信息。安全是相对的，关键的在于人对安全的意识，你了解的多，对自己的

的安全维护就越强，出现被破坏的风险就越低

安全和防毒站点：

天网防火墙网站
http://www.sky.net.cn/modules/si ... witem&itemid=56

微软的update网站
http://v4.windowsupdate.microsoft.com/zhcn/default.asp