第1章 计算机知识快速入门
作为计算机或网络终端设备的用户,要想使自己的设备不受或少受黑客的攻击,就需要学
习一些计算机安全方面的知识。本章就来介绍计算机安全的相关技术信息,主要内容包括网
络中的相关概念、网络通信的相关协议、认识文件与文件夹、计算机账户、端口与服务等。
1.1 网络中的相关概念
在网络安全中,经常会接触到很多和
网络有关的概念,如浏览器、URL、FTP、
IP地址及域名等,理解了这些概念,对保护
网络安全有一定的帮助。
1.1.1 互联网与因特网
互联网是指将两台计算机或者是两台
以上的计算机终端、客户端、服务端通过
计算机信息技术的手段互相联系起来的网
络。互联网在现实生活中应用很广泛,人
们可以在互联网上聊天、玩游戏、查阅东
西等。互联网是全球性的,这就意味着这
个网络不管是谁发明了它,都是属于全人
类的。如图1-1为互联网的结构示意图。
图1-1 互联网结构示意图
因特网是一个把分布于世界各地的计
算机用传输介质互相连接起来的网络,因
特网是基于TCP/IP协议实现的。TCP/IP协
议由很多协议组成,不同类型的协议又被
放在不同的层,其中,位于应用层的协议
就有很多,比如FTP、SMTP、HTTP。如图
1-2为因特网的结构示意图。
图1-2 因特网结构示意图
1.1.2 万维网与浏览器
万维网(World Wide Web,WWW)简
称为3W,它是无数个网络站点和网页的集
合,也是因特网提供的最主要的服务。它
是由多媒体链接而形成的集合,通常我们
上网看到的内容就是万维网提供的。如图
1-3为使用万维网打开的百度首页。
图1-3 百度首页
第1章 计算机知识快速入门
作为计算机或网络终端设备的用户,要想使自己的设备不受或少受黑客的攻击,就需要学
习一些计算机安全方面的知识。本章就来介绍计算机安全的相关技术信息,主要内容包括网
络中的相关概念、网络通信的相关协议、认识文件与文件夹、计算机账户、端口与服务等。
1.1 网络中的相关概念
在网络安全中,经常会接触到很多和
网络有关的概念,如浏览器、URL、FTP、
IP地址及域名等,理解了这些概念,对保护
网络安全有一定的帮助。
1.1.1 互联网与因特网
互联网是指将两台计算机或者是两台
以上的计算机终端、客户端、服务端通过
计算机信息技术的手段互相联系起来的网
络。互联网在现实生活中应用很广泛,人
们可以在互联网上聊天、玩游戏、查阅东
西等。互联网是全球性的,这就意味着这
个网络不管是谁发明了它,都是属于全人
类的。如图1-1为互联网的结构示意图。
图1-1 互联网结构示意图
因特网是一个把分布于世界各地的计
算机用传输介质互相连接起来的网络,因
特网是基于TCP/IP协议实现的。TCP/IP协
议由很多协议组成,不同类型的协议又被
放在不同的层,其中,位于应用层的协议
就有很多,比如FTP、SMTP、HTTP。如图
1-2为因特网的结构示意图。
图1-2 因特网结构示意图
1.1.2 万维网与浏览器
万维网(World Wide Web,WWW)简
称为3W,它是无数个网络站点和网页的集
合,也是因特网提供的最主要的服务。它
是由多媒体链接而形成的集合,通常我们
上网看到的内容就是万维网提供的。如图
1-3为使用万维网打开的百度首页。
图1-3 百度首页
�
反黑命令与攻防从新手到高手(微课超值版)
提示:互联网、因特网、万维网三者
的关系是:互联网包含因特网,因特网包
含万维网。凡是能彼此通信的设备组成的
网络就叫互联网。所以,即使仅有两台机
器,不论用何种技术使其彼此通信,也叫
互联网。
浏览器是将互联网上的文本文档(或
其他类型的文件)翻译成网页,并让用户
与这些文件交互的一种软件工具,主要用
于查看网页的内容。微软公司的Microsoft
Edge是目前最常用的浏览器之一,如图1-4
是使用Microsoft Edge浏览器打开的页面。
图1-4 Microsoft Edge浏览器
1.1.3 URL地址与域名
URL(Uniform Resource Locator)即
统一资源定位器,也就是网络地址,是在
因特网上用来描述信息资源,并将因特网
提供的服务统一编址的系统。简单来说,
通常在浏览器中输入的网址就是URL的一
种,如百度网址https://www.baidu.com。
域名(Domain Name)类似于因特网
上的门牌号,是用于识别和定位互联网上
计算机的层次结构的字符标识,与该计算机
的因特网协议(IP)地址相对应。相对于IP
地址而言,域名更便于使用者理解和记忆。
URL和域名是两个不同的概念,如https://
www.sohu.com/是URL,而www.sohu.com
是域名,如图1-5为使用URL地址打开的
网页。
图1-5 使用URL地址打开的网页
1.1.4 认识无线网络
无线网络(wireless network)是采用无
线信道作为传输介质把各个结点互连所形
成的网络。与有线网络的用途十分类似,
无线网络最大的不同在于传输媒介。一般
来说,无线网络就是我们常说的无线局域
网,是基于802.11b/g/n标准的WLAN无线局
域网,具有可移动、安装简单、高灵活和
高扩展能力等特点。
作为对传统有线网络的延伸,这种
无线网络在许多特殊环境中得到了广泛应
用,如企业内部、学校内部、家庭等。这
种网络的缺点是覆盖范围小,使用距离在
5~30m范围内。如图1-6为一个简单的无线
局域网示意图。
图1-6 无线局域网示意图
随着无线数据网络解决方案的不断推
出,全球Wi-Fi设备迅猛增长,相信在不久
的将来,“不论在任何时间、任何地点都可
以轻松上网”这一目标就会被实现。
�
3
第1章 计算机知识快速入门
1.1.5 无线路由器
无线路由器是应用于用户上网、带有
无线覆盖功能的路由器。它和有线路由器
的作用是一样的,唯一不同的就是无线路
由器的顶部或者尾部多了一个或者几个天
线,其作用就是提供无线网络支持。除此
以外,其他无论是外观,或者是内在配置
页面都和同款型的有线路由器一模一样。
目前,市场占有率比较高的无线路由
器是TP-LINK无线路由器,其性价比较高。
如图1-7为一款TP-LINK千兆无线路由器,
具有高速双核、覆盖更远、家长控制、一
键禁用等功能。
图1-7 TP-LINK千兆无线路由器
1.2 认识文件和文件夹
在Windows 10操作系统中,文件是最小
的数据组织单位,文件中可以存放文本、
图像和数值数据等信息。为了便于管理文
件,用户还可以把文件组织到目录和子目
录中,这些目录被认为是文件夹,而子目
录则被认为是文件夹的文件或子文件夹。
1.2.1 文件与文件夹
文件是Windows存取磁盘信息的基本单
位,是磁盘上存储的信息的一个集合,可以
是文字、图片、影片或应用程序等。每个文
件都有自己唯一的名称,Windows 10正是通
过文件的名字来对文件进行管理的,如图
1-8为一个图片文件。
图1-8 图片文件
文件夹是从Windows 95开始提出的一种
名称,其主要用来存放文件,是存放文件
的容器。在操作系统中,文件和文件夹都
有名字,系统都是根据它们的名字来实现
存取的。一般情况下,文件和文件夹的命
名规则有以下几点。
●文件和文件夹名称长度最多可达256
个字符,1个汉字相当于2个字符。
●文件和文件夹名中不能出现这些
字符:斜线(\、/)、竖线(|)、
小于号(<)、大于号(>)、冒
号(:)、引号(“、”)问号
(?)、星号(*)。
●文件和文件夹不区分大小写字母。
如abc和ABC是同一个文件名。
●通常一个文件都有扩展名(一般为3
个字符),用来表示文件的类型。
文件夹通常没有扩展名。
●同一个文件夹中的文件和文件夹不
能同名。
如图1-9为Windows 10操作系统的“保
存的图片”文件夹,双击打开这个文件夹,
可以看到存放的文件。
图1-9 “保存的图片”文件夹
第1章 计算机知识快速入门
1.1.5 无线路由器
无线路由器是应用于用户上网、带有
无线覆盖功能的路由器。它和有线路由器
的作用是一样的,唯一不同的就是无线路
由器的顶部或者尾部多了一个或者几个天
线,其作用就是提供无线网络支持。除此
以外,其他无论是外观,或者是内在配置
页面都和同款型的有线路由器一模一样。
目前,市场占有率比较高的无线路由
器是TP-LINK无线路由器,其性价比较高。
如图1-7为一款TP-LINK千兆无线路由器,
具有高速双核、覆盖更远、家长控制、一
键禁用等功能。
图1-7 TP-LINK千兆无线路由器
1.2 认识文件和文件夹
在Windows 10操作系统中,文件是最小
的数据组织单位,文件中可以存放文本、
图像和数值数据等信息。为了便于管理文
件,用户还可以把文件组织到目录和子目
录中,这些目录被认为是文件夹,而子目
录则被认为是文件夹的文件或子文件夹。
1.2.1 文件与文件夹
文件是Windows存取磁盘信息的基本单
位,是磁盘上存储的信息的一个集合,可以
是文字、图片、影片或应用程序等。每个文
件都有自己唯一的名称,Windows 10正是通
过文件的名字来对文件进行管理的,如图
1-8为一个图片文件。
图1-8 图片文件
文件夹是从Windows 95开始提出的一种
名称,其主要用来存放文件,是存放文件
的容器。在操作系统中,文件和文件夹都
有名字,系统都是根据它们的名字来实现
存取的。一般情况下,文件和文件夹的命
名规则有以下几点。
●文件和文件夹名称长度最多可达256
个字符,1个汉字相当于2个字符。
●文件和文件夹名中不能出现这些
字符:斜线(\、/)、竖线(|)、
小于号(<)、大于号(>)、冒
号(:)、引号(“、”)问号
(?)、星号(*)。
●文件和文件夹不区分大小写字母。
如abc和ABC是同一个文件名。
●通常一个文件都有扩展名(一般为3
个字符),用来表示文件的类型。
文件夹通常没有扩展名。
●同一个文件夹中的文件和文件夹不
能同名。
如图1-9为Windows 10操作系统的“保
存的图片”文件夹,双击打开这个文件夹,
可以看到存放的文件。
图1-9 “保存的图片”文件夹
�
4
反黑命令与攻防从新手到高手(微课超值版)
1.2.2 文件和文件夹的存放位置
计算机中的文件或文件夹一般存放在
本台电脑中的磁盘或Administrator文件夹
当中。
1. 计算机磁盘
理论上说,文件可以被存放在计算
机磁盘的任意位置,但是为了便于管理,
文件的存放有以下常见的原则,如图1-10
所示。
图1-10 “此电脑”文件夹
通常情况下,用户计算机的硬盘最少
也被划分为三个分区:C、D和E盘。3个盘
的功能分别如下。
●C盘主要是用来存放系统文件。所
谓系统文件,是指操作系统和应用
软件中的系统操作部分。一般系统
默认情况下都会被安装在C盘,包
括常用的程序。
●D盘主要用来存放应用软件文件。
比如,Office、Photoshop和3ds
Max等程序,常常被安装在D盘。
对于软件的安装,有以下常见的
原则。
(1)一般小的软件,如WinRAR压缩
软件等可以安装在C盘。
(2)对于大的软件,如3ds Max等,需
要安装在D盘,这样可以少占用C盘的空
间,从而保证系统运行的速度。
(3)几乎所有的软件默认的安装路径
都在C盘中,电脑用得越久,C盘被占用
的空间越多。随着时间的增加,系统反应
会越来越慢。所以安装软件时,需要根据
具体情况改变安装路径。
●E盘用来存放用户自己的文件。比
如,用户自己的电影、图片和Word
资料文件等。如果硬盘还有多余的
空间,可以添加更多的分区。
2. Administrator文件夹
Administrator文件夹是Windows 10中
的一个系统文件夹,是系统为每个用户建
立的文件夹,主要用于保存文档、图形,
当然也可以保存其他文件。对于常用的文
件,用户可以将其放在Administrator文件夹
中,以便于及时调用,如图1-11所示。
图1-11 Administrator文件夹
1.2.3 文件和文件夹的路径
文件和文件夹的路径表示文件或文件
夹所在的位置,路径在表示的时候有2种方
法:绝对路径和相对路径。
绝对路径是从根文件夹开始的表示
方法,根通常用\来表示(区别于网络路
径),比如c:\Windows\System32表示C盘
下面Windows文件夹下面的System32文件
夹。根据文件或文件夹提供的路径,用户
可以在电脑上找到该文件或文件夹的存放
位置。如图1-12为C盘下面Windows文件夹
下面的System32文件夹。
反黑命令与攻防从新手到高手(微课超值版)
1.2.2 文件和文件夹的存放位置
计算机中的文件或文件夹一般存放在
本台电脑中的磁盘或Administrator文件夹
当中。
1. 计算机磁盘
理论上说,文件可以被存放在计算
机磁盘的任意位置,但是为了便于管理,
文件的存放有以下常见的原则,如图1-10
所示。
图1-10 “此电脑”文件夹
通常情况下,用户计算机的硬盘最少
也被划分为三个分区:C、D和E盘。3个盘
的功能分别如下。
●C盘主要是用来存放系统文件。所
谓系统文件,是指操作系统和应用
软件中的系统操作部分。一般系统
默认情况下都会被安装在C盘,包
括常用的程序。
●D盘主要用来存放应用软件文件。
比如,Office、Photoshop和3ds
Max等程序,常常被安装在D盘。
对于软件的安装,有以下常见的
原则。
(1)一般小的软件,如WinRAR压缩
软件等可以安装在C盘。
(2)对于大的软件,如3ds Max等,需
要安装在D盘,这样可以少占用C盘的空
间,从而保证系统运行的速度。
(3)几乎所有的软件默认的安装路径
都在C盘中,电脑用得越久,C盘被占用
的空间越多。随着时间的增加,系统反应
会越来越慢。所以安装软件时,需要根据
具体情况改变安装路径。
●E盘用来存放用户自己的文件。比
如,用户自己的电影、图片和Word
资料文件等。如果硬盘还有多余的
空间,可以添加更多的分区。
2. Administrator文件夹
Administrator文件夹是Windows 10中
的一个系统文件夹,是系统为每个用户建
立的文件夹,主要用于保存文档、图形,
当然也可以保存其他文件。对于常用的文
件,用户可以将其放在Administrator文件夹
中,以便于及时调用,如图1-11所示。
图1-11 Administrator文件夹
1.2.3 文件和文件夹的路径
文件和文件夹的路径表示文件或文件
夹所在的位置,路径在表示的时候有2种方
法:绝对路径和相对路径。
绝对路径是从根文件夹开始的表示
方法,根通常用\来表示(区别于网络路
径),比如c:\Windows\System32表示C盘
下面Windows文件夹下面的System32文件
夹。根据文件或文件夹提供的路径,用户
可以在电脑上找到该文件或文件夹的存放
位置。如图1-12为C盘下面Windows文件夹
下面的System32文件夹。
�
第1章 计算机知识快速入门
图
1-12 system32文件夹
相对路径是从当前文件夹开始的表示方
法,比如当前文件夹为
c:\Windows,如果要
表示它下面的System32下面的ebd文件夹,
则可以表示为System32\ebd,而用绝对路径
应写为c:\Windows\System32\ebd。
1.3 认识Administrator账户
Administrator账户也被称为本地账户,
要想系统相对安全,需要给账户设置密
码,并添加相关安全措施。
1.3.1 设置账户密码
对于添加的账户,用户可以创建密码,
或对创建的密码进行更改,如果不需要密
码了,还可以删除账户密码。下面介绍2种
创建、更改或删除密码的方法。
1. 通过控制面板中创建、更改或删除
密码
具体的操作步骤如下。
Step
01打开“控制面板”窗口,进入“更改
账户”窗口,在其中单击“创建密码”超
链接,如图1-13所示。
Step
02进入“创建密码”窗口,在其中输入
密码与密码提示信息,如图1-14所示。
图
1-13 “更改账户”窗口
图
1-14 “创建密码”窗口
图
1-15 为账户添加密码
Step
04如果想要更改密码,则需要在“更改
账户”窗口中单击“更改密码”超链接,
打开“更改密码”窗口,在其中输入新的
密码与密码提示信息,最后单击“更改密
码”按钮即可,如图1-16所示。
Step
03单击“创建密码”按钮,返回“更改
账户”窗口,在其中可以看到该账户已经
添加了密码保护,如图1-15所示。
�
图
1-16 “更改密码”窗口
Step
05如果想要删除密码,则需要在“更改
账户”窗口中单击“更改密码”超链接,
打开“更改密码”窗口,在其中设置密码
为空,如图1-17所示。
图
1-17 取消账户密码
Step
06单击“更改密码”按钮,返回“更改
账户”窗口,可以看到账户的密码保护已
取消,说明已经将账户密码删除了,如图
1-18所示。
2. 在计算机设置中创建、更改或删除
密码
具体的操作步骤如下。
Step01单击“
”按钮,在弹出的面板中选
择“设置”选项,如图1-19所示。
图
1-19 “设置”选项
Step02打开“设置”窗口,如图1-20所示。
图
1-20 “设置”窗口
Step
03单击“账户”超链接,进入“设置账
户”窗口,如图1-21所示。
图
1-21 “设置
-账户”窗口
Step
04选择“登录选项”选项,进入“登录
选项”窗口,如图1-22所示。
图
1-18 “更改密码”窗口
�
第1章 计算机知识快速入门
图
1-22 “登录选项”窗口
Step
05单击“密码”区域下方的“添加”按
钮,打开“创建密码”界面,在其中输入
密码与密码提示信息,如图1-23所示。
图
1-24 “创建密码”界面
图
1-25 “登录选项”窗口
图
1-23 输入密码
Step
06单击“下一步
”按钮,进入“创建
密码”界面,在其中会提示用户下次登录
时,请使用新密码,最后单击“完成”按
钮,完成密码的创建,如图1-24所示。
Step
07如果想要更改密码,则需要选择“设
置-账户”窗口中的“登录选项”,进入
“登录选项”设置界面,如图1-25所示。
Step
08单击“密码”区域下方的“更改”按
图
1-26 “更改密码”界面
Step
09单击“下一步”按钮,打开“更改密
钮,打开“更改密码”对话框,在其中输
入当前密码,如图1-26所示。
�
码”对话框,在其中输入新密码和密码提Step
01打开“管理账户”窗口,在其中选择
示信息,如图1-27所示。要删除的账户,如图1-29所示。
图
1-27 输入新密码
Step
10单击“下一步”按钮,完成本地账户
密码的更改操作,最后单击“完成”按钮
结束操作,如图1-28所示。
图
1-29 “管理账户”窗口
Step
02进入“更改账户”窗口,单击左侧的
“删除账户”超链接,如图1-30所示。
图
1-30 “更改账户”窗口
Step
03进入“删除账户”窗口,提示用户是
否保存账户的文件,如图1-31所示。
图
1-28 密码更改成功
提示:如果想要删除密码,只需要在
“更改密码”界面中将密码与密码提示设
置为空,然后单击“下一步”按钮,完成
删除密码操作。
图
1-31 “删除账户”窗口
1.3.2 删除用户账户
对于不需要的本地账户,用户可以将
其删除,具体的操作步骤如下。
�
Step
04单击“删除文件”按钮,进入“确认
删除”窗口,提示用户是否确实要删除账
户,如图1-32所示。
图
1-32 “确认删除”窗口
Step
05单击“删除账户”按钮即可删除选择
的账户,并返回“管理账户”窗口,在其
中可以看到要删除的账户已经不存在了,
如图1-33所示。
图
1-33 删除账户
提示:对于当前正在登录的账户,
Windows是无法删除的,因此,在删除账
户的过程中,会弹出一个“用户账户控制
面板”信息提示框来提示用户,如图1-34
所示。
图
1-34 信息提示框
第1章 计算机知识快速入门
1.3.3 创建新用户账户
在
Windows10操作系统中,除本地
Administrator账户外,还可以添加新用户账
户,具体的操作步骤如下。
Step
01打开“计算机管理”窗口,选择“本
地用户和组”下方的“用户”选项,展开
本地用户列表,如图1-35所示。
图
1-35 “计算机管理”窗口
Step
02在用户列表窗格的空白处,单击鼠
标右键,在弹出的快捷菜单中选择“新用
户”菜单命令,如图1-36所示。
图
1-36 “新用户”菜单命令
Step
03打开“新用户
”对话框,在“用户
名”和“全名”等文本框中输入新用户名
称等信息,如图1-37所示。
Step
04输入完毕后,单击“创建”按钮,返
回“计算机管理”窗口中,可以看到已经
创建的新用户,如图1-38所示。
�
图
1-37 “新用户”对话框
图1-38 创建一个新用户
1.4 认识端口和服务
端口和服务是计算机操作系统中不可
缺少的部分,端口和服务常常被联系在一
起,一个端口对应着一个服务,如Web服务
默认对应80端口等。
1.4.1 认识端口
端口可以认为是计算机与外界通信交
流的出口。一个IP地址的端口可以有65536(256×256)个,端口是通过端口号来标
记的,端口号只有整数,范围是0~65535(256×256-1)。
服务器上开放的端口往往是潜在的黑
客入侵通道。对目标主机进行端口扫描能
够获得许多有用的信息,常用的方法是使
用端口扫描工具对指定IP或IP地址段进行扫
描,下面介绍使用ScanPort扫描器扫描端口
的方法,具体操作步骤如下。
Step01
下载并运行
ScanPort程序,打开
ScanPort主窗口,在其中设置起始IP地址、
结束IP地址以及要扫描的端口号,如图1-39
所示。
图
1-39 ScanPort主窗口
Step
02单击“扫描”按钮,开始进行扫描,
从扫描结果中可以看出设置的IP地址段中计
算机开启的端口,如图1-40所示。
图
1-40 开始扫描
Step
03如果扫描某台计算机中开启的端口,
则需将开始IP和结束IP都设置为该主机的IP
地址,如图1-41所示。
图
1-41 设置单一主机的
IP
�
Step
04在设置完要扫描的端口号之后,单
击“扫描”按钮,可扫描出该主机中开启
的端口(设置端口范围之内),如图1-42
所示。
图
1-42 开始扫描单个主机的端口
1.4.2 认识服务
在计算机中安装好操作系统之后,
通常系统会默认启动许多服务,且每项服
务都有一个具体的文件存在,一般存储在
“C:\Windows\System32”文件夹中,其
扩展名一般是.exe、.dll、.sys等。另外,
操作系统中的服务还可以根据自己的需
要开启相应的服务或关闭不必要服务。
以开启WebClient服务为例,具体操作
步骤如下。
Step
01单击“”按钮,在弹出的菜单列表
中选择“Windows系统”“控制面板”菜单
命令,如图1-43所示。
图
1-43 选择“控制面板”命令
Step
02打开“控制面板”窗口,双击“管理
工具”图标,如图1-44所示。
第1章 计算机知识快速入门
图
1-44 “控制面板”窗口
Step
03打开“管理工具
”窗口,双击“服
务”图标,如图1-45所示。
图
1-45 “服务”图标
Step
04打开“服务”窗口,找到WebClient
服务项,如图1-46所示。
图
1-46 “服务”窗口
Step
05双击该服务项,弹出“WebClient的
属性”对话框,单击“启动类型”右侧的
�
下拉按钮,在弹出的下拉菜单中选择“自务状态”已经变为“正在运行”,如图1-49
动”,如图1-47所示。所示。
图
1-47 选择“自用”选项
Step
06单击“应用”按钮,激活“服务状
态”下的“启动”按钮,如图1-48所示。
图
1-49 启动服务项
Step
08单击“确定”按钮,返回“服务”窗
口,此时即可发现
WebClient服务的“状态”
变为“正在运行”,这样就可以成功开启
WebClient服务对应的端口,如图1-50所示。
图
1-48 选择“启动”按钮
Step
07单击“启动”按钮,可启动该项服
务,再次单击“应用”按钮,在“WebClient
的属性”对话框中可以看到该服务的“服
图
1-50 WebClient服务的状态为“正在运行”
1.5 实战演练
1.5.1 实战1:关闭开机多余启动项目
在计算机启动的过程中,自动运行的
程序称为开机启动项,有时一些木马程序
�
会在开机时就运行,用户可以通过关闭开
机启动项来提高系统安全性,具体的操作
步骤如下。
Step
01按Ctrl+Alt+Del组合键,打开如图1-51
所示的界面。
图
1-51 “任务管理器”选项
Step
02单击“任务管理器”选项,打开“任
务管理器”窗口,如图1-52所示。
图
1-52 “任务管理器”窗口
Step
03选择“启动”选项卡,进入“启动”
界面,在其中可以看到系统中的开机启动
项列表,如图1-53所示。
第1章 计算机知识快速入门
Step
04选择开机启动项列表中需要禁用的启
动项,单击“禁用”按钮即可禁止该启动
项开机自启动,如图1-54所示。
图1-54 禁止开机启动项
1.5.2 实战2:取消Windows开机密码
虽然使用账户登录密码,可以保护
电脑的隐私安全,但是每次登录时都要输
入密码,对于一部分用户来讲,太过于麻
烦。用户可以根据需求,选择是否使用开
机密码,如果希望Windows可以跳过输入密
码直接登录,可以参照以下步骤。
Step
01在电脑桌面中,按
+R组合键,
打开“运行”对话框,在文本框中输入
netplwiz,按Enter键确认,如图1-55所示。
图
1-55 输入
netplwiz
Step
02弹出“用户账户”对话框,选中本机
用户,并取消勾选“要使用计算机,用户
必须输入用户名和密码”复选框,单击“应
用”按钮,如图1-56所示。
图
1-53 “启动”选项卡
�
图
1-56 “用户账户”对话框
Step
03弹出“自动登录
”对话框,在“密
码”和“确认密码”文本框中输入当前账
户密码,然后单击“确定”按钮即可取消
开机登录密码,当再次登录时,无须输入
用户名和密码,直接登录系统,如图1-57
所示。
图
1-57 输入账户密码
�
第2章 DOS窗口与DOS系统
对于系统和网络管理者来说,繁杂的服务器管理以及网络管理是日常工作的主要内
容。网络越大,其管理工作强度就越大,管理难度也随之变大。传统的可视化窗口虽然容
易上手,但是对于一些后台管理操作,还需要使用DOS窗口。本章就来介绍DOS窗口与
DOS系统的相关内容。
2.1 认识DOS窗口
Windows10操作系统中的DOS窗口,也
被称为“命令提示符”窗口,该窗口主要
以图形化界面显示,用户可以很方便地进
入DOS命令窗口并对窗口中的命令行进行
相应的编辑操作。
2.1.1 使用菜单进入DOS窗口
Windows10的图形化界面缩短了人与
机器之间的距离,通过使用菜单可以很
方便地进入DOS窗口,具体的操作步骤
如下:
Step
01单击桌面上的
“
”按钮,在弹出的
菜单列表中选择“Windows系统”→“命令
提示符”菜单命令,如图2-1所示。
图
2-1 “命令提示符”菜单命令
Step
02弹出“管理员:命令提示符”窗口,
在其中可以执行相关DOS命令,如图2-2
所示。
图
2-2 “管理员
:命令提示符”窗口
2.1.2 使用“运行”对话框进入DOS窗口
除使用菜单的形式进入
DOS窗口中,
用户还可以运用“运行”对话框进入DOS
窗口,具体的操作步骤如下。
Step
01在Windows10操作系统中,右击桌上
的“
”按钮,在弹出的快捷菜单中选择“运
行”菜单命令。随即弹出“运行”对话框,在其
中输入cmd命令,如图2-3所示。
图
2-3 “运行”对话框
Step
02单击“确定”按钮,进入DOS窗口,
如图2-4所示。
�
图
2-4 DOS窗口
2.1.3 通过浏览器进入DOS窗口
浏览器和“命令提示符”窗口关系密
切,用户可以直接在浏览器中访问DOS窗
口。下面以在Windows10操作系统下访问
DOS窗口为例,具体的方法为:在Microsoft
Edge浏览器的地址栏中输入
c:\Windows\
system32\cmd.exe,如图
2-5所示。按
Enter键
后即可进入
DOS运行窗口,如图2-6所示。
图
2-5 Microsoft Edge浏览器
图
2-6 DOS窗口
注意:在输入地址时,一定要输入全路
径,否则Windows无法打开命令提示符窗口。
2.1.4 编辑DOS窗口中的代码
当在Windows10中启动命令行,就会弹
出相应的DOS窗口,在其中显示当前的操
作系统的版本号。在使用命令行时可以对
命令行进行复制、粘贴等操作,具体操作
步骤如下。
Step
01右击DOS窗口标题栏,将弹出一个快
捷菜单。在这里可以对当前窗口进行各种
操作,如移动、最大化、最小化、编辑等。
选择此菜单中的“编辑”命令,在显示的子
菜单中选择“标记”选项,如图2-7所示。
图
2-7 “标记”选项
Step
02移动鼠标,选择要复制的内容,可以直接
按Enter键复制该命令行,也可以通过选择
“编
辑”→“复制”选项来实现,如图2-8所示。
图
2-8 “复制”选项
Step
03在需要粘贴该命令行的位置处单击鼠
标右键,完成粘贴操作,或者右击“命令
提示符”窗口的菜单栏,在弹出的快捷菜
�
单中选择“编辑”→“粘贴”选项,也可
完成粘贴操作,如图2-9所示。
图
2-9 “粘贴”选项
提示:如果想再使用上一条命令,可以
按F3键调用,要实现复杂的命令行编辑功
能,可以借助于DOSKEY命令。
2.1.5 自定义DOS窗口的风格
DOS窗口的风格不是一成不变的,用
户可以通过“属性”菜单选项对命令提示
符窗口的风格进行自定义设置,如设置窗
口的颜色、字体的样式等。自定义DOS窗
口的风格的操作步骤如下。
Step
01单击DOS窗口左上角的图标,在弹出
菜单中选择“属性”选项,打开“命令提
示符属性”对话框,如图2-10所示。
图
2-10 “选项”选项卡
第2章 DOS窗口与DOS系统
Step
02选择“颜色”选项卡,在其中可以
对相关选项进行颜色设置。选中“屏幕文
字”单选按钮,可以设置屏幕文字的显示
颜色,这里选择“黑色”,如图2-11所示。
图
2-11 “颜色”选项卡
Step
03选中“屏幕背景
”单选按钮,可以
设置屏幕背景的显示颜色,这里选择“灰
色”,如图2-12所示。
图
2-12 设置屏幕背景颜色
Step
04选中“弹出文字”单选按钮,可以设
置弹出窗口文字的显示颜色,这里设置蓝
�
色颜色值为180,如图2-13所示。
图
2-15 自定义显示风格
2.2 认识DOS系统
DOS实际上是一组控制计算机工作的
程序,专门用来管理计算机中的各种软、
硬件资源,同时监视和控制计算机的全部
工作过程。
2.2.1 DOS系统的功能
DOS系统不仅向用户提供了一整套使
用计算机系统的命令和方法,还向用户提
供了一套组织和应用磁盘内信息的方法。
DOS的功能主要体现在以下几个方面。
(1)执行命令和程序(处理器管理)
DOS能够执行DOS命令和运行可执
行的程序。在DOS环境下(即在DOS提
示符下),当用户键入合法命令和文件名
后,DOS就根据文件的存储地址到内存或
外存上查找用户所需的程序,并根据用户
的要求使CPU开始运行之;若未找到所需
文件,则出现出错信息,提醒用户。在这
里,DOS正是扮演了使用者、计算机、应
用程序三者之间的“中间人”。
(2)内存管理
分配内存空间,保护内存,使任何一
个程序所占的内存空间不遭破坏,同硬件
相配合,可以设置一个最佳的操作环境。
(3)设备管理
为用户提供使用各种输入/输出设备
(如键盘、磁盘、打印机和显示器等)的
操作方法。通过DOS可以方便地实现内存
图
2-13 设置文字颜色
Step
05选中“弹出窗口的背景”单选按钮,
可以设置弹出窗口的背景显示颜色,这里
设置颜色值为125,如图2-14所示。
图
2-14 设置弹出窗口背景颜色
Step
06设置完毕后单击“确定”按钮,保存
设置,DOS窗口的风格会相应改变,如图
2-15所示。
�
19
第2章 DOS窗口与DOS系统
和外存之间的数据传送和存取。
(4)文件管理
为用户提供一种简便的存取和管理信
息方法。通过DOS管理文件目录,为文件
分配磁盘存储空间,新建、复制、删除、
读/写和检索各类文件等。
(5)作业管理
作业是指用户提交给计算机系统的一个
独立的计算任务,包括源程序、数据和相关
命令。作业管理是对用户提交的诸多作业进
行管理,包括作业的组织、控制和调度等。
2.2.2 文件与目录
文件是存储于外存储器的具有名字的
一组相关信息的集合,在DOS下所有的程
序和数据都是以文件形式存入磁盘的,目
录是Windows下的文件夹。
如果想查看计算机中的文件与目录,
在“命令提示符”窗口可以输入dir命令,
然后按Enter键即可看到相应的文件和目
录,如图2-16所示。
图2-16 查看计算机文件与目录
DOS系统规定文件名由以下四个部分组
成:[<盘符>][<路径>]<文件名>[<..扩展名>]。
文件由文件名和文件内容组成,文件名由用
户命名或系统指定,用于标识一个文件。
DOS文件名由1~8个字符组成,构成文
件名的字符分为以下3类:
(1)26个英文字母:a~z 或A~Z;
(2)10个阿拉伯数字:0 ~9;
(3)一些专用字符:$、#、&、
@、!、%、()、{}、-、-。
注意:在文件名中不能使用“<”“>”“\”
“//”“[”“、”“]”“:”“!”“+”“=”等
特殊符号。另外,用户可根据需要自行命名
文件。
2.2.3 文件类型与属性
文件类型是根据文件用途和内容划分
的不同类型,分别用不同的扩展名表示。
文件扩展名由1~3个ASCII字符组成,文件
扩展名有些是系统在一定条件下自动形成
的,也有一些是用户自己定义的,它和文
件名之间用“.”分隔,最常见的文件扩展
名如表2-1所示。
表2-1 常见文件类型以及文件类型扩展名
文件类型扩展名文件类型
.com系统命令文件
.exe可执行文件
.bat可执行的批处理文件
.sys系统专用文件
.bak后备文件
.dat数据库文件
.txt正文文件
.htm超文本文件
.obj目标文件
.tmp临时文件
.bas BASIC源程序文件
.CC语言源程序文件
.cpp C++语言源程序文件
.img图像文件
文件属性是DOS系统下的所有磁盘文
件,根据其特点和性质分为系统、隐含、
只读和存档4种不同的属性。这4种属性的
作用如下。
(1)系统属性(S)
系统属性用于表示文件是系统文件
还是非系统文件,具有系统属性的文件不
能被删除、拷贝和更名,如DOS系统文件
io.sys和msdos.sys。如果可执行文件被设置
为具有系统属性,则不能被执行。
第2章 DOS窗口与DOS系统
和外存之间的数据传送和存取。
(4)文件管理
为用户提供一种简便的存取和管理信
息方法。通过DOS管理文件目录,为文件
分配磁盘存储空间,新建、复制、删除、
读/写和检索各类文件等。
(5)作业管理
作业是指用户提交给计算机系统的一个
独立的计算任务,包括源程序、数据和相关
命令。作业管理是对用户提交的诸多作业进
行管理,包括作业的组织、控制和调度等。
2.2.2 文件与目录
文件是存储于外存储器的具有名字的
一组相关信息的集合,在DOS下所有的程
序和数据都是以文件形式存入磁盘的,目
录是Windows下的文件夹。
如果想查看计算机中的文件与目录,
在“命令提示符”窗口可以输入dir命令,
然后按Enter键即可看到相应的文件和目
录,如图2-16所示。
图2-16 查看计算机文件与目录
DOS系统规定文件名由以下四个部分组
成:[<盘符>][<路径>]<文件名>[<..扩展名>]。
文件由文件名和文件内容组成,文件名由用
户命名或系统指定,用于标识一个文件。
DOS文件名由1~8个字符组成,构成文
件名的字符分为以下3类:
(1)26个英文字母:a~z 或A~Z;
(2)10个阿拉伯数字:0 ~9;
(3)一些专用字符:$、#、&、
@、!、%、()、{}、-、-。
注意:在文件名中不能使用“<”“>”“\”
“//”“[”“、”“]”“:”“!”“+”“=”等
特殊符号。另外,用户可根据需要自行命名
文件。
2.2.3 文件类型与属性
文件类型是根据文件用途和内容划分
的不同类型,分别用不同的扩展名表示。
文件扩展名由1~3个ASCII字符组成,文件
扩展名有些是系统在一定条件下自动形成
的,也有一些是用户自己定义的,它和文
件名之间用“.”分隔,最常见的文件扩展
名如表2-1所示。
表2-1 常见文件类型以及文件类型扩展名
文件类型扩展名文件类型
.com系统命令文件
.exe可执行文件
.bat可执行的批处理文件
.sys系统专用文件
.bak后备文件
.dat数据库文件
.txt正文文件
.htm超文本文件
.obj目标文件
.tmp临时文件
.bas BASIC源程序文件
.CC语言源程序文件
.cpp C++语言源程序文件
.img图像文件
文件属性是DOS系统下的所有磁盘文
件,根据其特点和性质分为系统、隐含、
只读和存档4种不同的属性。这4种属性的
作用如下。
(1)系统属性(S)
系统属性用于表示文件是系统文件
还是非系统文件,具有系统属性的文件不
能被删除、拷贝和更名,如DOS系统文件
io.sys和msdos.sys。如果可执行文件被设置
为具有系统属性,则不能被执行。
�
20
反黑命令与攻防从新手到高手(微课超值版)
(2)隐含属性(H)
隐含属性用于阻止文件在列表中显示出
来,具有隐含属性的文件会被隐藏起来,也
不能被删除、拷贝和更名。如果可执行文件
被设置为具有隐含属性后,并不影响其正常
执行。使用这种属性可以对文件进行保密。
(3)只读属性(R)
只读属性用于保护文件不被修改和删
除。具有只读属性的文件,其特点是能读
入内存,也能被拷贝,但不能用DOS系统
命令修改,也不能被删除。可执行文件被
设置为具有只读属性后,并不影响其正常
执行。对于一些重要的文件,可设置为具
有只读属性,以防止文件被删除。
(4)存档属性(A)
存档属性用于表示文件被写入时是否
关闭。如果文件具有这种属性,则表明文
件写入时被关闭。各种文件生成时,DOS
系统均自动将其设置为存档属性。改动了的
文件,也会被自动设置为存档属性。只有具
有存档属性的文件,才可以显示出目录清
单,还可以执行删除、修改、更名、拷贝
等操作。
2.2.4 当前目录与磁盘
在DOS中,当前目录就是提示符所显
示的目录,例如现在的提示符是C:\,那
么当前目录就是C盘的根目录,这个“\”
(反斜扛)就表示根目录。
如果要更改当前目录,那么可以用cd
命令,例如输入“cd \”,则进入C盘,
再输入cd Windows,则目录为Windows
目录,按Enter键后,提示符变成了C:
\Windows,这就表示当前目录变成了C盘的
Windows目录,如图2-17所示。
图2-17 更改当前目录
然后输入dir命令,显示的就是Windows
目录里的文件,这就说明,dir命令列出的
是当前目录中的内容,如图2-18所示。
图2-18 显示Windows目录的文件
DOS中目录采用的是树形结构,例如
C:\Windows\System语句中,“C:”表示
最上面的一层目录,Windows表示C目录的
子目录,System表示Windows目录下的子目
录,如图2-19所示。
图2-19 Windows下的System目录
如果要退出子目录,可以输入“CD..”,
然后按Enter键即可,在DOS中,“..”表
示当前目录的上一层目录,“.”表示当前
目录,这里的上一级目录为父目录,例如
输入“CD..”,按Enter键,返回上一级目
录,再次输入“CD..”,可回到C盘根目
录,如图2-20所示。当然,如果不想多次
输入“CD..”命令来返回C盘根目录,那么
可以直接输入“CD\”命令来返回C盘根
目录,其中“\”就表示根目录,如图2-21
所示。
反黑命令与攻防从新手到高手(微课超值版)
(2)隐含属性(H)
隐含属性用于阻止文件在列表中显示出
来,具有隐含属性的文件会被隐藏起来,也
不能被删除、拷贝和更名。如果可执行文件
被设置为具有隐含属性后,并不影响其正常
执行。使用这种属性可以对文件进行保密。
(3)只读属性(R)
只读属性用于保护文件不被修改和删
除。具有只读属性的文件,其特点是能读
入内存,也能被拷贝,但不能用DOS系统
命令修改,也不能被删除。可执行文件被
设置为具有只读属性后,并不影响其正常
执行。对于一些重要的文件,可设置为具
有只读属性,以防止文件被删除。
(4)存档属性(A)
存档属性用于表示文件被写入时是否
关闭。如果文件具有这种属性,则表明文
件写入时被关闭。各种文件生成时,DOS
系统均自动将其设置为存档属性。改动了的
文件,也会被自动设置为存档属性。只有具
有存档属性的文件,才可以显示出目录清
单,还可以执行删除、修改、更名、拷贝
等操作。
2.2.4 当前目录与磁盘
在DOS中,当前目录就是提示符所显
示的目录,例如现在的提示符是C:\,那
么当前目录就是C盘的根目录,这个“\”
(反斜扛)就表示根目录。
如果要更改当前目录,那么可以用cd
命令,例如输入“cd \”,则进入C盘,
再输入cd Windows,则目录为Windows
目录,按Enter键后,提示符变成了C:
\Windows,这就表示当前目录变成了C盘的
Windows目录,如图2-17所示。
图2-17 更改当前目录
然后输入dir命令,显示的就是Windows
目录里的文件,这就说明,dir命令列出的
是当前目录中的内容,如图2-18所示。
图2-18 显示Windows目录的文件
DOS中目录采用的是树形结构,例如
C:\Windows\System语句中,“C:”表示
最上面的一层目录,Windows表示C目录的
子目录,System表示Windows目录下的子目
录,如图2-19所示。
图2-19 Windows下的System目录
如果要退出子目录,可以输入“CD..”,
然后按Enter键即可,在DOS中,“..”表
示当前目录的上一层目录,“.”表示当前
目录,这里的上一级目录为父目录,例如
输入“CD..”,按Enter键,返回上一级目
录,再次输入“CD..”,可回到C盘根目
录,如图2-20所示。当然,如果不想多次
输入“CD..”命令来返回C盘根目录,那么
可以直接输入“CD\”命令来返回C盘根
目录,其中“\”就表示根目录,如图2-21
所示。
�
图
2-20 C盘根目录
图
2-21 输入“CD\”命令
如果要更换当前目录到硬盘的其他分
区,则可以输入盘符然后按
Enter键,比如:
要到D盘,那么就需要输入“d:”命令,然
后按Enter键,现在提示符就变成了D:\>,
如图2-22所示,然后输入dir命令,就可以
看到D盘的文件的列表,如图
2-23所示。
图
2-22 更改到
D盘目录
图
2-23 D盘中的文件列表
2.3 实战演练
2.3.1 实战1:使用Windows更新修补
漏洞
“Windows更新”是系统自带的用于检
测系统更新的工具,使用“Windows更新”
可以下载并安装系统更新,以Windows10系
第2章 DOS窗口与DOS系统
统为例,具体的操作步骤如下。
Step
01单击“”按钮,在打开的菜单中选
择“设置”选项,如图2-24所示。
图
2-24 “设置”选项
Step02打开“设置”窗口,可以看到有关系统设
置的相关功能,如图2-25所示。
图
2-25 “设置”窗口
Step
03单击“更新和安全”图标,打开“更
新和安全”窗口,在其中选择“Windows更
新”选项,如图2-26所示。
图
2-26 “更新和安全”窗口
�
Step
04单击“检查更新”按钮,开始检查是
否存在有更新文件,如图2-27所示。
图
2-29 自动安装更新文件
图
2-27 查询更新文件
Step
05检查完毕后,如果存在更新文件,则
会弹出如图2-28所示的信息提示,提示用户
有可用更新,并自动开始下载更新文件。
图
2-28 下载更新文件
Step
06下载完成后,系统会自动安装更新文
件,安装完毕后,会弹出如图2-29所示的信
息提示框。
Step
07单击“立即重新启动”按钮,立即重
新启动计算机,重新启动完毕后,再次打
开“Windows更新”窗口,可以看到“你的
设备已安装最新的更新”信息提示,如图
2-30所示。
图
2-30 完成系统更新
图
2-31 选择更新方式
2.3.2 实战2:修补系统漏洞后手动重启
一般情况下,在Windows10每次自动
下载并安装好补丁后,就会每隔10分钟弹
Step
08单击“高级选项”超链接,打开“高
级选项”设置工作界面,在其中可以选择
安装更新的方式,如图2-31所示。
�
出窗口要求重新启动。如果不小心单击了
“立即重新启动”按钮,则有可能会影响
当前计算机操作的资料。那么如何才能不
让Windows10安装完补丁后自动弹出“重新
启动”的信息提示框呢?具体的操作步骤
如下。
Step
01单击“”按钮,在弹出的快捷菜
单中选择“所有程序”→“附件”→“运
行”菜单命令,弹出“运行”对话框,在
“打开”文本框中输入“gpedit.msc”,如
图2-32所示。
图
2-32 “运行”对话框
Step
02单击“确定”按钮,打开“本地组策
略编辑器”窗口,如图2-33所示。
第2章 DOS窗口与DOS系统
时,在右侧的窗格中将显示Windows更新的
所有设置,如图2-35所示。
图
2-34 “Windows 组件”选项
图
2-33 “本地组策略编辑器”窗口
Step
03在窗口的左侧依次单击
“计算机配
置”→“管理模板”→“Windows 组件”
选项,如图2-34所示。
Step
04展开“Windows 组件”选项,在其
子菜单中选择“Windows 更新”选项。此
图
2-35 “Windows更新”选项
Step
05在右侧的窗格中选中
“对于有已登录
用户的计算机,计划的自动更新安装不执行
重新启动
”选项并右击,在弹出的快捷菜
单中选择“编辑”菜单项,如图2-36所示。
图
2-36 “编辑”选项
�
Step
06打开“对于有已登录用户的计算机,
计划的自动更新安装不执行重新启动”对
话框,在其中选中“已启用”单选按钮,
如图2-37所示。
Step
07单击“确定”按钮,返回“组策略
编辑器”窗口,此时用户可看到“对于有
已登录用户的计算机,计划的自动更新安
装不执行重新启动”选择的状态是“已启
用”。这样,在自动更新完补丁后,将不
会再弹出重新启动计算机的信息提示框,
如图2-38所示。
图
2-38 “已启用”状态
图
2-37 “已启用”单选按钮
�
第3章 常见DOS命令的应用
第3章 常见DOS命令的应用
作为计算机或网络终端设备的用户,要想使自己的设备不受或少受网络的攻击,有必要了
解一些计算机中的基础知识,本章就来认识Windows系统中常见的DOS命令与批处理的应用。
3.1 常见DOS命令
熟练掌握一些
DOS命令的应用是一名
黑客的基本功,通过这些DOS命令可以帮
助计算机用户追踪黑客的踪迹。
3.1.1 ipconfig命令
在互联网中,一台主机只有一个
IP地
址,因此,黑客要想攻击某台主机,必须
找到这台主机的
IP地址,然后才能进行入侵
攻击。可以说,
IP地址是黑客实施入侵攻击
的一个关键。使用ipconfig命令可以获取本
地计算机的IP地址,具体的操作步骤如下。
Step
01单击“”按钮,在弹出的快捷菜单
中执行“运行”命令,如图3-1所示。
图
3-1 “运行”菜单
Step
02打开“运行”对话框,在“打开”后
面的文本框中输入
cmd命令,如图3-2所示。
图
3-2 输入
cmd命令
Step
03单击“确定”按钮,打开“命令提示
符”窗口,在其中输入ipconfig,按Enter键
即可显示出本机的
IP配置相关信息,如图
3-3
所示。
图
3-3 查看
IP地址
提示:在
“命令提示符
”窗口中,
192.168.3.9表示本机在局域网中的IP地址。
如果在“命令提示符”窗口中输入
ipconfig /all命令,按Enter键,可以在显示
的结果中看到一个物理地址:00-23-24-DA43-
8B,这就是本机的物理地址,也是本机
的网卡地址,它是唯一的,如图3-4所示。
图
3-4 查看物理地址
�
3.1.2 TaskList命令
利用Tasklist命令可以查看本机中的进
程,还可查看每个进程提供的服务。下面
将介绍使用Tasklist命令的具体操作步骤。
Step
01在“命令提示符”中输入Tasklist命
令,按Enter键即可显示本机的所有进程,
如图3-5所示。在显示结果中可以看到映像
名称、PID、会话名、会话#和内存使用5
部分。
图
3-5 查看本机进程
Step
02
Tasklist命令不但可以查看系统进程,
而且可以查看每个进程提供的服务。例
如,要查看本机进程svchost.exe提供的服
务,在命令提示符下输入“Tasklist /svc”
命令即可,如图3-6所示。
图
3-6 查看本机进程
svchost.exe提供的服务
Step
03要查看本地系统中哪些进程调用了
shell32.dll模块文件,只需在命令提示符下
输入“Tasklist /m shell32.dll”即可显示这些
进程的列表,如图3-7所示。
Step
04使用筛选器可以查找指定的进程,在命
令提示符下输入TASKLIST /FI "USERNAME
ne NT AUTHORITY\SYSTEM" /FI "STATUS
eq running命令,按Enter键即可列出系
统中正在运行的非System状态的所有进
程,如图3-8所示。其中“/FI”为筛选器
参数,ne和eq为关系运算符“不相等”和
“相等”。
图
3-7 显示调用
shell32.dll模块的进行
图
3-8 列出系统中正在运行的非
System态的所有进程
3.1.3 Copy命令
Copy命令的主要作用是复制一个或多个文
件到指定的位置,该命令可以被用于合并文件。
使用Copy命令复制文件的操作步骤如下。
Step
01同一磁盘上相同扩展名文件的复制,
在“命令提示符
”窗口中输入命令
copy
123.doc 456.doc/a,按Enter键后,显示“覆
盖456.doc吗?<Yes/No/All>:”信息,这里
输入“y”,即可显示已复制信息,如图3-9
所示。
图
3-9 相同扩展名文件的复制
Step
02从当前驱动器的当前目录复制文件,
�
例如复制C盘下的“bird.jpg”文件到C盘
birds文件夹下,输入命令“copy bird01.jpg
c:\birds”,运行结果如图3-10所示。
图
3-10 复制文件到文件夹
Step
03
Copy命令先将所有扩展名为.txt的文
件合并到名为gushi.doc文件,然后再将所
有扩展名为
.xls的文件合并到
gushi.doc文
件,最后再将所有扩展名为
.ppt的文件合并
到名为
gushi.doc文件中,输入命令
“copy
*.txt+*.xls+*.ppt gushi.doc”,运行结果如
图3-11所示。
图
3-11 不同类型文件合并复制
Step
04
Copy命令把键盘上的输入复制到
shuru.txt文件,输入命令“copy con shuru.
txt”,按“CTRL+Z”组合键,屏幕上显示
“Z”,表示结束输入复制操作,也可以按
F6键,结束输入复制操作,运行结果如图
3-12所示。
图
3-12 键盘输入内容复制
3.1.4 Del命令
Del即Delete(删除)的缩写,该命令
的作用是删除文件,因此使用Del命令可以
在“命令提示符”窗口中删除文件夹或文
件,使用Del命令删除文件的具体操作步骤
如下。
第3章 常见DOS命令的应用
Step
01如果想删除当前目录下的123.doc文
件,可在“命令提示符
”窗口中输入
“del
123.doc”命令,按Enter键即可就删除该文
件,如图3-13所示。
图
3-13 删除当前目录下的文件
Step
02要删除一类文件,可以使用通配符。
例如,“del *.jpg”命令就是把所有扩展名
是jpg的文件都删除,如图3-14所示。
图
3-14 删除同类型文件
Step
03如果要删除当前目录中的所有文件,
可在“命令提示符”窗口中输入“del *.*”
命令,按Enter键即可看到是否删除文件的
提示信息,如图3-15所示。
图
3-15 输入删除所有文件命令
Step
04如果不想删除文件,则输入N,如果
确定要删除,则输入Y即可成功删除当前目
录下的文件,如图3-16所示。
图
3-16 删除当前目录下的文件
Step
05
Del命令还可以删除非当前目录中的
文件,输入“del d:\name.xls”命令,按
�
Enter键即可把D盘上name.xls文件删除,如
图3-17所示。
图
3-17 删除非当前目录中的文件
注意:
“del *.*”或“del.”命令一般
用于在删除子目录之前,先删除目录中的
所有文件。但在删除文件之前,最好先确
定该文件是否有用,以避免造成不必要的
损失。
3.1.5 Arp命令
Arp命令是黑客和网络管理员都常用的
命令,通过该命令可以进行IP地址和MAC
地址欺骗,还可以使用该命令来修改ARP
缓存表。具体操作步骤如下。
Step
01想要显示所有接口的ARP缓存表,
则在“命令提示符”窗口中输入“arp -a”
命令,按Enter键后,其运行结果如图3-18
所示。
图
3-18 显示所有接口的
ARP缓存表
Step
02想要添加将IP地址169.254.85.214解
析成物理地址00-AA-00-4F-2A-9C的静态
ARP缓存项,可在“命令提示符”窗口中
输入命令“arp –s 169.254.85.214 00-AA00-
4F-2A-9C”,按Enter键既可,如图
3-19
所示。
图
3-19 解析
IP地址为物理地址
3.1.6 ping命令
ping命令是协议TCP/IP中最为常用的
命令之一,主要用来检查网络是否通畅或
者网络连接的速度。对于一名计算机用户
来说,ping命令是第一个必要掌握的网络命
令。在“命令提示符”窗口中输入ping /?,可
以得到这条命令的帮助信息,如图
3-20所示。
图
3-20 ping命令帮助信息
使用ping命令对计算机的连接状态进行
测试的具体操作步骤如下。
Step
01使用ping命令来判断计算机的操作系统
类型。在“命令提示符”窗口中输入“ping
192.168.3.9”命令,运行结果如图3-21所示。
图
3-21 判断计算机的操作系统类型
�
Step
02在“命令提示符”窗口中输入“ping
192.168.3.9 –t –l 128”命令,可以不断向
某台主机发出大量的数据包,如图3-22
所示。
图
3-22 发出大量数据包
Step
03判断某台计算机是否与外界网络连
通,可在“命令提示符”窗口中输入“ping
www.baidu.com”命令,其运行结果如图
3-23所示,图中说明该计算机与外界网络
连通。
图
3-23 网络连通信息
Step
04解析某
IP地址的计算机名。在“命令
提示符”窗口中输入“ping -a 192.168.3.9”
命令,其运行结果如图3-24所示,可知这台
主机的名称为SD-20220314SOIE。
图
3-24 解析某
IP地址的计算机名
第3章 常见DOS命令的应用
3.1.7 net命令
使用net命令可以查询网络状态、共享
资源及计算机所开启的服务等,使用
net命
令查询某台计算机开启哪些Windows服务的
具体操作步骤如下。
Step
01使用net命令查看网络状态。打开“命
令提示符”窗口,输入net start命令,如图
3-25所示。
图
3-25 输入
net start命令
Step
02按Enter键,在打开的“命令提示符”
窗口中可以显示计算机所启动的Windows服
务,如图3-26所示。
图
3-26 计算机所启动的
Windows服务
3.1.8 netstat命令
netstat命令主要用来显示网络连接的
信息,包括显示活动的TCP连接、路由
器和网络接口信息,是一个非常有用的
TCP/IP网络监控工具,可以让用户知晓
系统中目前都有哪些网络连接正常。在
“命令提示符”窗口中输入netstat/?,可
以得到这条命令的帮助信息,如图3-27
所示。
�
图
3-27 netstat命令帮助信息
该命令的语法格式信息如下:
图
3-29 查看本机路由信息
NETSTAT [-a] [-b] [-e] [-n] [-o] [-pproto] [-r] [-s] [-v] [interval]
其中比较重要的参数的含义如下。
(1)-a:显示所有连接和监听端口;
(2)-n:以数字形式显示地址和端口号。
使用netstat命令查看网络连接的具体操
作步骤如下。
Step
01打开“命令提示符
”窗口,在其中
输入netstat -n或netstat命令,按Enter键即可
查看服务器活动的TCP/IP连接,如图3-28
所示。
图
3-30 查看本机活动的
TCP连接
图
3-28 服务器活动的
TCP/IP连接
Step
02在“命令提示符”窗口中输入netstat
-r命令,按Enter键即可查看本机的路由信
息,如图3-29所示。
Step
03在“命令提示符”窗口中输入netstat -a
命令,按Enter键即可查看本机所有活动的
TCP连接,如图3-30所示。
Step
04在“命令提示符”窗口中输入netstat -n
图
3-31 查看本机连接的端口及其状态
3.1.9 tracert命令
使用
tracert命令可以查看网络中路由
节点信息,最常见的使用方法是在tracert命
令后追加一个参数,表示检测和查看连接
当前主机经历了哪些路由节点,适合用于
-a命令,按Enter键即可显示本机所有连接
的端口及其状态,如图3-31所示。
�
大型网络的测试,该命令的语法格式信息
如下。
tracert [-d] [-h MaximumHops] [-jHostlist] [-w Timeout] [TargetName]
其中各个参数的含义如下。
(1)-d:防止解析目标主机的名字,
可以加速显示tracert命令结果。
(2)-h MaximumHops:指定搜索到目
标地址的最大跳跃数,默认为
30个跳跃点。
(3)-j Hostlist:按照主机列表中的地
址释放源路由。
(4)-w Timeout:指定超时时间间
隔,默认单位为毫秒。
(5)TargetName:指定目标计算机。
例如,如果想查看www.baidu.com的
路由与局域网络连接情况,可在“命令提
示符”窗口中输入tracert www.baidu.com
命令,按Enter键,其显示结果如图3-32
所示。
图
3-32 查看网络中路由节点信息
3.1.10 route命令
route命令主要的作用是手动配置路由
表,在本地
IP路由表中显示和修改条目,它
是网络管理工作中应用较多的工具,使用
不带参数的route可以显示其帮助信息,如
图3-33所示。
使用
route命令显示路由表中当前项目
的方法比较简单,在“命令提示符”窗口
中输入Route print,按Enter键即可显示当
前路由表信息,如图3-34所示。
第3章 常见DOS命令的应用
图
3-33 显示其帮助信息
图
3-34 显示路由表中的当前项目
若想要显示IP路由表中以192开始的路
由,可在命令提示符下输入“Route print
192.*”,按Enter键,运行结果显示如图
3-35所示。
图
3-35 显示
IP路由表中以
192开始的路由信息
3.2 批处理的应用
批处理是一种简化的脚本语言,应用
于DOS和Windows系统中,可以对某对象进
行批量处理,批处理文件扩展名为
.bat。
3.2.1 Echo命令
使用Echo命令可以打开/关闭请求回显
功能,查看Echo状态的方法比较简单,在
“命令提示符”窗口中输入echo命令,按
Enter键即可,如图
3-36所示。
�
图
3-36 查看状态
在批处理文件运行时,屏幕上没有显
示文件中的命令,主要是因为用了Echo命
令,在批处理文件的首行加上Echo off命
令,即@ echo off,这样就可以禁止批处理
程序中的命令正文显示到屏幕上。
如果只想让某一行的命令显示在屏幕上,
这时可以在这一行命令的前面加上Echo命令。
例如,要显示暂停命令
pause执行时的状态,
则需要在批处理中的pause命令前加上Echo,
即:echo pause,这样,当执行到pause命令
时,就会在屏幕上显示出pause命令状态。
如果需要显示hello world文字信息,则使用
“echo hello world”语句,如图3-37所示。
图
3-37 查看回显内容
3.2.2 清除系统垃圾
使用批处理文件可以快速地清除计算
机中的垃圾文件,下面将介绍使用批处理
文件清除系统垃圾文件的具体步骤。
Step
01打开记事本文件,在其中输入可以清
除系统垃圾的代码,输入的代码如下:
@echo off
echo 正在清除系统垃圾文件,请稍等......
del/f/s/q%systemdrive%\*.tmpdel/f/s/q%systemdrive%\*._mpdel/f/s/q%systemdrive%\*.logdel/f/s/q%systemdrive%\*.giddel/f/s/q%systemdrive%\*.chk
del/f/s/q%systemdrive%\*.old
del/f/s/q%systemdrive%\recycled\*.*
del/f/s/q%windir%\*.bak
del/f/s/q%windir%\prefetch\*.*
rd/s/q%windir%\temp & md %windir%\
temp
del/f/q%userprofile%\cookies\*.*
del/f/q%userprofile%\recent\*.*
del/f/s/q"%userprofile%\Local Settings\
Temporary Internet Files\*.*"
del/f/s/q"%userprofile%\Local Settings\
Temp\*.*"
del/f/s/q"%userprofile%\recent\*.*"
echo清除系统垃圾完成!
echo.&pause
将上面的代码保存为
del.bat,如图3-38
所示。
图
3-38 编辑代码
Step
02在“命令提示符”窗口中输入“del.
bat”命令,按Enter键,就可以快速清理系
统垃圾,如图3-39所示。
图
3-39 自动清理垃圾
3.3 实战演练
3.3.1 实战1:使用命令清除系统垃圾
使用批处理文件可以快速地清除计算
机中的垃圾文件,下面将介绍使用批处理
文件清除系统垃圾文件的具体步骤。
Step
01打开记事本文件,在其中输入可以清
�
第3章 常见DOS命令的应用
除系统垃圾的代码,输入的代码如下:
@echo off
echo 正在清除系统垃圾文件,请稍等......
del/f/s/q%systemdrive%\*.tmpdel/f/s/q%systemdrive%\*._mpdel/f/s/q%systemdrive%\*.logdel/f/s/q%systemdrive%\*.giddel/f/s/q%systemdrive%\*.chk
del/f/s/q%systemdrive%\*.old
del/f/s/q%systemdrive%\recycled\*.*
del/f/s/q%windir%\*.bak
del/f/s/q%windir%\prefetch\*.*
rd/s/q%windir%\temp & md %windir%\
tempdel/f/q%userprofile%\cookies\*.*
del/f/q%userprofile%\recent\*.*
del/f/s/q"%userprofile%\Local Settings\
Temporary Internet Files\*.*"
del/f/s/q"%userprofile%\Local Settings\
Temp\*.*"
del/f/s/q"%userprofile%\recent\*.*"
echo清除系统垃圾完成!
echo.&pause
将上面的代码保存为del.bat,如图3-40
所示。
图
3-40 编辑代码
Step
02在“命令提示符”窗口中输入“del.
bat”命令,按Enter键,就可以快速清理系
统垃圾,如图3-41所示。
图
3-41 自动清理垃圾
3.3.2 实战2:使用命令实现定时关机
使用shutdown命令可以实现定时关机
的功能,具体操作步骤如下。
Step
01在“命令提示符”窗口中输入shutdown/
s /t 40命令,如图3-42所示。
图
3-42 输入
shutdown/s /t 40命令
Step
02弹出一个即将注销用户登录的信息提
示框,这样计算机就会在规定的时间内关
机,如图3-43所示。
图
3-43 信息提示框
Step
03如果此时想取消关机操作,可在命令行
中输入命令
shutdown /a后按Enter键,桌面右
下角出现如图
3-44所示的弹窗,表示取消成功。
图
3-44 取消关机操作
�
第4章 磁盘分区与数据安全
电脑系统中的大部分数据都存储在磁盘中,而磁盘又是一个极易出现问题的部件。为
了能够有效地保护电脑的系统数据,最有效的方法就是将系统数据进行备份,这样,一旦磁
盘出现故障,就能把损失降到最低。本章就来介绍磁盘分区管理与磁盘数据的安全防护。
4.1 磁盘分区管理
电脑中的系统文件、应用软件以及
文档都是以文档的形式存放在电脑的磁盘
中,所以要合理地设置磁盘分区大小,并
根据需要随时管理磁盘。在DOS命令中,
如何有效地对磁盘进行管理是一项比较重
要的技术。
4.1.1 认识磁盘分区
磁盘分区就是对磁盘的物理存储进行
逻辑上的划分,将大容量的磁盘分成多个
大小不同的逻辑区间,如果不进行分区,
在默认的情况下则只有一个分区,即C盘。
在这种情况下虽然可以照常使用,但是会
给管理和维护电脑带来很多不便。如图4-1
所示的电脑磁盘被分成了4个分区。
图4-1 磁盘分区情况
按照磁盘容量的大小和分区个数来
说,磁盘分区有多种分区方案,可以把磁
盘作为一个分区来使用,也可以把磁盘分
成两个区、三个区来使用,每个分区的容
量大小可以相同也可以不相同,不过磁盘
分区需要遵循一定的原则,具体如下:
(1)方便性
对磁盘分区的初衷是使用起来比较方
便地对磁盘进行管理,分区过多或者过少
都不便于对磁盘信息进行管理。
(2)实用性
不同的用户对磁盘信息存储要求也不
同,比如进行视频编辑、图像处理等工作
的用户,就需要划分出一个空间比较大的
分区用来存放数据,以便有足够的空间来
保存图像和视频中大量的临时文件。
(3)安全性
数据安全一直都是电脑用户担心的问
题,其实分区的合理是否,也会对安全产
生一定的影响。如果磁盘只有一个分区的
话,其数据安全就没有保障,如果系统文
件出现错误或者受到病毒的攻击,则整个
磁盘中的数据将会丢失。数据恢复系数远
比分成几个分区要小得多。所以分区的大
小应该合理化,最好分成容易记的整数,
如果分区随意,在遇到特殊故障时,比
如分区表被破坏,要想手工恢复时,由
于难以确认原来分区的大小,从而增加恢
复难度。
第4章 磁盘分区与数据安全
电脑系统中的大部分数据都存储在磁盘中,而磁盘又是一个极易出现问题的部件。为
了能够有效地保护电脑的系统数据,最有效的方法就是将系统数据进行备份,这样,一旦磁
盘出现故障,就能把损失降到最低。本章就来介绍磁盘分区管理与磁盘数据的安全防护。
4.1 磁盘分区管理
电脑中的系统文件、应用软件以及
文档都是以文档的形式存放在电脑的磁盘
中,所以要合理地设置磁盘分区大小,并
根据需要随时管理磁盘。在DOS命令中,
如何有效地对磁盘进行管理是一项比较重
要的技术。
4.1.1 认识磁盘分区
磁盘分区就是对磁盘的物理存储进行
逻辑上的划分,将大容量的磁盘分成多个
大小不同的逻辑区间,如果不进行分区,
在默认的情况下则只有一个分区,即C盘。
在这种情况下虽然可以照常使用,但是会
给管理和维护电脑带来很多不便。如图4-1
所示的电脑磁盘被分成了4个分区。
图4-1 磁盘分区情况
按照磁盘容量的大小和分区个数来
说,磁盘分区有多种分区方案,可以把磁
盘作为一个分区来使用,也可以把磁盘分
成两个区、三个区来使用,每个分区的容
量大小可以相同也可以不相同,不过磁盘
分区需要遵循一定的原则,具体如下:
(1)方便性
对磁盘分区的初衷是使用起来比较方
便地对磁盘进行管理,分区过多或者过少
都不便于对磁盘信息进行管理。
(2)实用性
不同的用户对磁盘信息存储要求也不
同,比如进行视频编辑、图像处理等工作
的用户,就需要划分出一个空间比较大的
分区用来存放数据,以便有足够的空间来
保存图像和视频中大量的临时文件。
(3)安全性
数据安全一直都是电脑用户担心的问
题,其实分区的合理是否,也会对安全产
生一定的影响。如果磁盘只有一个分区的
话,其数据安全就没有保障,如果系统文
件出现错误或者受到病毒的攻击,则整个
磁盘中的数据将会丢失。数据恢复系数远
比分成几个分区要小得多。所以分区的大
小应该合理化,最好分成容易记的整数,
如果分区随意,在遇到特殊故障时,比
如分区表被破坏,要想手工恢复时,由
于难以确认原来分区的大小,从而增加恢
复难度。
�
4.1.2 利用diskpart进行分区
命令行工具
diskpart是一种文本模式命令
解释程序,可以通过使用脚本或从命令提示符
窗口中直接输入来管理对象,包括磁盘、分
区或卷等。
diskpart命令的语法格式如下:
diskpart [/add|/delete][device_
naMe|drive_naMe|partition_naMe][size]
主要参数介绍如下:
(1)/add:创建新的分区。
(2)/delete:删除现有的分区。
(3)device_naMe:要创建或者删除分
区的设备。设置的名称可以从
map命令的输
出获得。
(4)drive_naMe:以驱动器号表示的待
删除的分区,只与
/delete同时使用。
(5)partition_naMe:以分区名称表示
的待删除的分区,可代替
drive_naMe,但
是只与
/delete同时使用。
(6)size:要创建分区的大小。以兆字
节(MB)表示,只与
/add同时使用。
注意:如果diskpart命令不带任何参数,
将会启动diskpart的交互式字符界面。
利用diskpart可实现对磁盘的分区管
理,包括创建分区、删除分区、合并(扩
展)分区等,而且设置分区后不用重启计
算机也能生效,具体的操作步骤如下。
Step
01选择“”→“运行”命令,弹出
“运行”对话框,在“打开”文本框中输
入cmd,如图4-2所示。
图
4-2 “运行”对话框
Step
02单击“确定”按钮打开
“命令提示
第4章 磁盘分区与数据安全
符”窗口,然后输入diskpart命令,按Enter
键,启动diskpart工具,如图4-3所示。
图
4-3 启动
diskpart工具
Step
03使用list disk命令来查看计算机上的磁
盘编号,如图4-4所示。
图
4-4 查看磁盘编号
Step04
如果想要把焦点移到物理硬盘
0
上,只需在
“命令提示符
”窗口中的
“DISKPART>”后面输入“select disk=0”
命令后,按Enter键即可,如图4-5所示。
图
4-5 转移焦点
Step
05使用list partition命令,可查看当前
磁盘上所有分区的编号,注意这里必须要
先用Select Disk命令选中某个磁盘,如图4-6
所示。
图
4-6 查看分区编号
�
Step
06要将恢复分区分成两个,首先要删除
该分区,然后再重新创建,在DISKPART>
后面输入“select part=6”命令后按Enter键
即可选中分区6,如图4-7所示。
图
4-7 选中分区
6
Step
07在DISKPART>后面输入“delete part”
命令后按Enter键即可删除选中分区,如图
4-8所示。
图
4-8 删除分区
Step
08再次输入“list partition”命令可看删除
分区后的硬盘中的分区信息,如图4-9所示。
图
4-9 查看删除后的分区信息
Step
09输入
“
Create partition Primary
size=1000”命令,然后按
Enter键即可创建
一个大小为1000MB的扩展分区,如图4-10
所示。
图
4-10 设置分区大小
Step
10再输入“list partition”命令可看到分
区后的硬盘中的分区信息,如图4-11所示。
图
4-11 查看分区情况
Step
11输入“Create partition Primary”命
令,然后按Enter键可把剩下的空间分配给
另一个分区,如图4-12所示。
图
4-12 继续划分分区
Step
12输入“list partition”命令可看到分区
后的硬盘中的分区信息,如图4-13所示。
图
4-13 查看划分完毕后的分区信息
Step
13划分完毕后,在DISKPART>后面输
入“select disk=0”命令在第一个硬盘上设
置焦点,然后按Enter键并输入detail disk命
令,然后按Enter键来显示所选硬盘的详细
的分区信息,其结果如图4-14所示。
图
4-14 查看硬盘详细的分区信息
�
Step
14现在已经成功对硬盘进行分区,但
是在“此电脑”并看不到新分的驱动器,
这时需要分配驱动号,首先输入“Select
disk=0”命令选中第一个物理硬盘,然后再
用“Select partition=10”选中第10个磁盘分
区,如图4-15所示。
图
4-15 选中编号是
10的分区
Step
15在“DISKPART>”后面输入assign命
令来给分区10自动分配一个驱动器号,按
Enter键就看到“Disk Part成功地指派了驱
动器号或装载点”的提示信息,如图4-16所
示。至此对磁盘分区的工作就完成了。
图
4-16 分配驱动器编号
提示:Assign命令是专门用来给分区分
配驱动器号的命令,其命令格式为“Assign[
letter=X]”,其中X表示驱动器号,如
果不指定驱动器号,则分配下一个驱动器
号,如果驱动器号或者装载点已经在用,
则会产生错误。
4.1.3 Windows 10系统磁盘分区
一般来说Win10系统里面磁盘比较少,
通常只有一两个,如果能够给磁盘分区,
这样可以更好地帮助文件进行分类。下面
介绍Windows10系统磁盘分区的方法,具体
操作步骤如下。
Step
01在计算机桌面上选择
“此电脑
”图
第4章 磁盘分区与数据安全
标,然后右击鼠标,在弹出的快捷菜单中
选择“管理”菜单命令,如图4-17所示。
图
4-17 “管理”菜单命令
Step
02打开“计算机管理”窗口,在其中选
择“磁盘管理”选项,如图4-18所示。
图
4-18 “磁盘管理”选项
Step
03在窗口的右下部分可以看到磁盘分
区,选中要分区的磁盘并右击鼠标,在弹
出的快捷菜单中选择“压缩卷”选项,如
图4-19所示。
图
4-19 “压缩卷”选项
Step
04打开“压缩”对话框,系统会计算出
可以压缩的空间,也可以输入需要压缩的
�
空间,如图4-20所示。
图
4-20 “压缩”对话框
Step
05单击“压缩”按钮,开始压缩磁盘空
间,压缩完成后,会看到一个未分配的分
区,如图4-21所示。
图
4-21 未分配分区
Step
06选择未分配的分区,然后右击鼠标,
在弹出的快捷菜单中选择“新建简单卷”
选项,如图4-22所示。
图
4-22 “新建简单卷”选项
Step
07打开“新建简单卷向导”对话框,如
图4-23所示。
Step
08单击“下一步”按钮,打开“指定卷
大小”对话框,在其中指定磁盘分区的大
小,如图4-24所示。
Step
09单击“下一步”按钮,打开“分区驱
动器号和路径”对话框,在其中指定分区
的驱动器号,如图4-25所示。
图
4-23 “新建简单卷向导”对话框
图
4-24 “指定卷大小”对话框
图
4-25 “分区驱动器号和路径”对话框
Step
10单击“下一步”按钮,打开“格式化
分区”对话框,在其中指定格式化卷的格
式,如图4-26所示。
Step
11单击“下一步”按钮,打开“正在完
成新建简单卷向导”对话框,在其中可以
查看磁盘分区的设置信息,如图4-27所示。
�
图
4-26 “格式化分区”对话框
图
4-27 完成磁盘分区
Step
12单击“完成”按钮,完成磁盘的分
区,打开“此电脑”窗口,可看到添加的
磁盘分区信息,如图4-28所示。
图
4-28 “此电脑”窗口
4.2 磁盘数据丢失的原因
硬件故障、软件破坏、病毒的入侵、
第4章 磁盘分区与数据安全
用户自身的错误操作等,都有可能导致数
据丢失。但大多数情况下,这些找不到的
数据并没有真正丢失,这就需要根据数据
丢失的具体原因而定。
4.2.1 数据丢失的原因
造成数据丢失的主要原因有如下几个
方面。
(1)用户的误操作。由于用户错误操
作而导致数据丢失的情况,在数据丢失的
主要原因中所占比例也很大。用户极小的
疏忽都可能造成数据丢失,例如用户的错
误删除或不小心切断电源等。
(2)黑客入侵与病毒感染。黑客入侵
和病毒感染已越来越受关注,由此造成的
数据破坏更不可低估。而且有些恶意程序
具有格式化硬盘的功能,这对硬盘数据可
以造成毁灭性的打击。
(3)软件系统运行错误。由于软件不
断更新,各种程序和运行错误也就随之增
加,如程序被迫意外中止或突然死机,都
会导致用户当前所运行的数据因不能及时保
存而丢失。比如,在运行
Microsoft Office
Word编辑文档时,常常会发生应用程序出现
错误而不得不中止的情况,此时,当前文档
中的内容就不能完整保存甚至全部丢失。
(4)硬盘损坏。硬件损坏主要表现为
磁盘划伤、磁组损坏、芯片及其他元器件
烧坏、突然断电等,这些损坏造成的数据
丢失都是物理性质的,一般通过Windows自
身无法恢复数据。
(5)自然损坏。风、雷电、洪水及意
外事故(如电磁干扰、地板振动等)也有
可能导致数据丢失,但这一原因出现的可
能性比上述几种原因要低很多。
4.2.2 发现数据丢失后的操作
当发现电脑中的硬盘丢失数据后,应
当注意以下事项。
(1)当发现自己硬盘中的数据丢失
�
后,应立刻停止一些不必要的操作,如误
删除、误格式化之后,最好不要再往磁盘
中读写数据。
(2)如果发现丢失的是C盘数据,应
立即关机,以避免数据被操作系统运行时
产生的虚拟内存和临时文件破坏。
(3)如果是服务器硬盘阵列出现故
障,最好不要进行初始化和重建磁盘阵列
操作,以免增加恢复难度。
(4)如果是磁盘出现坏道读不出来
时,最好不要反复读盘。
(5)如果是磁盘阵列等硬件出现故
障,最好请专业的维修人员来对数据进行
恢复。
4.3 备份与恢复磁盘数据
磁盘当中存放的数据有很多类,除了
一些系统数据外,大部分数据都是以文件
形式存储在磁盘中,对这些数据进行备份
可以在一定程度上保护数据的安全。
4.3.1 备份磁盘文件数据
Windows10操作系统为用户提供了备份
文件的功能,用户只需通过简单的设置,
就可以确保文件不会丢失。备份文件的具
体操作步骤如下。
Step
01单击“”按钮,在打开的快捷菜单
中选择“控制面板”菜单命令,弹出“控
制面板”窗口,如图4-29所示。
图
4-29 “控制面板”窗口
Step
02在“控制面板”窗口中单击“查看方
式”右侧的下拉按钮,在打开的下拉列表
中选择“小图标”选项,单击“备份和还
原”链接,如图4-30所示。
图
4-30 选择“小图标”选项
Step
03弹出“备份或还原你的文件”窗口,
在“备份”下面显示“尚未设置Windows备
份”信息,表示还没有创建备份,如图4-31
所示。
图
4-31 “备份或还原你的文件”窗口
Step
04单击“设置备份”按钮,弹出“设置
备份”对话框,系统开始启动Windows备
份,并显示启动的进度,如图4-32所示。
图
4-32 “设置备份”对话框
Step
05启动完毕后,将弹出“选择要保存备
份的位置”对话框,在“保存备份的位置”
�
列表框中选择要保存备份的位置。如果想保
存在网络上的位置,可以选择“保存在网络
上”按钮。这里将保存备份的位置设置为本地
磁盘(G),选择“本地磁盘(G)”选项,
单击“下一步”按钮,如图4-33所示。
图
4-33 选择需要备份的磁盘
Step
06弹出“你希望备份哪些内容?”对话
框,选中“让我选择”单选按钮。如果选
中“让Windows选择(推荐)”单选按钮,
则系统会备份库、桌面上以及在计算机上
拥有用户账户的所有人员的默认Windows文
件夹中保存的数据文件,单击“下一步”
按钮,如图4-34所示。
图
4-34 选中“让我选择”单选按钮
第4章 磁盘分区与数据安全
Step
07在打开的对话框中选择需要备份的
文件,如勾选Excel办公文件夹左侧的复选
框,单击“下一步”按钮,如图4-35所示。
图
4-35 选择需要备份的文件
Step
08弹出“查看备份设置
”对话框,在
“计划”右侧显示自动备份的时间,单击
“更改计划”按钮,如图4-36所示。
图
4-36 “查看备份设置”对话框
Step
09弹出“你希望多久备份一次
”对话
框,单击“哪一天”右侧的下拉按钮,在
打开的下拉菜单中选择“星期二”选项,
如图4-37所示。
Step
10单击“确定”按钮,返回“查看备份
设置”对话框,如图4-38所示。
�
图
4-37 选择“星期二”选项
图
4-38 添加备份文件
Step11单击
“保存设置并运行备份”按钮,弹
出“备份和还原”窗口,系统开始自动备份文
件并显示备份的进度,如图4-39所示。
图
4-39 开始备份文件
Step
12备份完成后,将弹出
“Windows备份
已成功完成”对话框。单击“关闭”按钮
完成备份操作,如图4-40所示。
图
4-40 完成文件备份
4.3.2 还原磁盘文件数据
当对磁盘文件数据进行了备份,就可
以通过“备份和还原”对话框对数据进行
恢复,具体操作步骤如下。
Step
01打开“备份和还原”对话框,在“备
份”类别中可以看到备份文件详细信息,
如图4-41所示。
图
4-41 “备份和还原”对话框
Step
02单击“还原我的文件
”按钮,弹出
“浏览或搜索要还原的文件或文件夹的备
份”对话框,如图4-42所示。
Step
03单击“选择其他日期
”链接,弹出
“还原文件”对话框,在“显示如下来
源的备份”下拉列表中选择“上周”选
项,然后选择“日期和时间”组合框中的
“2022/1/29 12∶54∶49”选项,可将所有的
文件都还原到选中日期和时间的版本,单
击“确定”按钮,如图4-43所示。
�
第4章 磁盘分区与数据安全
图
4-42 还原文件
图
4-43 “还原文件”对话框
Step
04返回“浏览或搜索要还原的文件或文
件夹的备份”对话框,如图4-44所示。
图
4-44 还原文件
Step
05如果用户想要查看备份的内容,可
以单击“浏览文件”或“浏览文件夹”按
钮,在打开的对话框中查看备份的内容。
这里单击“浏览文件”按钮,弹出“浏览
文件的备份”对话框,在其中选择备份文
件,如图4-45所示。
图
4-45 “还原文件”对话框
Step
06单击“添加文件”按钮,返回“浏览
或搜索要还原的文件或文件夹的备份”对
话框,可以看到选择的备份文件已经添加
到对话框中的列表框中,如图4-46所示。
图
4-46 还原文件
Step
07单击“下一步”按钮,弹出“您想在
何处还原文件”对话框,在其中选中“在
以下位置”单选按钮,如图4-47所示。
Step
08单击“浏览”按钮,弹出“浏览文件
夹”对话框,选择文件还原的位置,如图
4-48所示。
�
图
4-47 “你想在何处还原文件”对话框
击“完成”按钮,完成还原操作,如图4-50
所示。
图
4-48 “浏览文件夹”对话框
Step
09单击“确定”按钮,返回“还原文
件”对话框,如图4-49所示。单击“还原”
按钮,弹出“正在还原文件…”对话框,
系统开始自动还原备份的文件。
图
4-49 “还原文件”对话框
Step
10当出现“已还原文件”对话框时,单
图
4-50 “已还原文件”对话框
4.4 备份与恢复其他数据
磁盘中除了存放数据文件外,还存储有
分区表、引导区、驱动程序等系统数据,
对这些数据进行备份可以在一定程度上保
护系统的安全。
4.4.1 备份分区表数据
如果分区表损坏会造成系统启动失
败、数据丢失等严重后果。这里以使用
DiskGenius软件为例,来介绍如何备份分区
表,具体操作步骤如下。
Step
01打开软件
DiskGenius V5.4,选择需要
保存备份分区表的分区,如图4-51所示。
图
4-51 DiskGenius V5.4工作界面
�
Step
02选择“硬盘”→“备份分区表”菜单
项,用户也可以按F9键备份分区表,如图
4-52所示。
图
4-52 “备份分区表”菜单项
Step
03弹出“设置分区表备份文件名及路
径”对话框,在“文件名”文本框中输入
备份分区表的名称,如图4-53所示。
第4章 磁盘分区与数据安全
提示:为了分区表备份文件的安全,建议
将它们保存到当前硬盘以外的硬盘或其他存
储介质中,如优盘、移动硬盘、光盘等。
4.4.2 还原分区表数据
当电脑遭到病毒破坏、加密引导区或
误分区等操作导致硬盘分区丢失时,就需
要还原分区表。这里以使用DiskGenius软件
为例,来讲述如何还原分区表,具体操作
步骤如下。
Step
01打开软件
DiskGenius V5.4,在其主界
面中选择“硬盘”→“还原分区表”菜单
项或按F10键,如图4-55所示。
图
4-55 “还原分区表”菜单项
Step
02打开“选择分区表备份文件
”对话
框,在其中选择硬盘分区表的备份文件,
如图4-56所示。
图
4-53 输入备份分区表的名称
Step
04单击“保存”按钮,开始备份分区
表,当备份完成后,弹出“DiskGenius”信
息提示框,提示用户当前硬盘的分区表已
经备份到指定的文件中,如图4-54所示。
图
4-54 信息提示框
图
4-56 选择备份文件
�
Step
03单击“打开”按钮,打开“DiskGenius”
信息提示框,提示用户是否从这个分区表
备份文件还原分区表,如图4-57所示。
图
4-57 “DiskGenius”信息提示框
Step
04单击“是”按钮即可还原分区表,且
还原后将立即保存到磁盘并生效。
4.4.3 备份驱动程序数据
一般情况下,用户备份驱动程序常常
借助于第三方软件,比较常用是《驱动精
灵》。一台完整的电脑包括主板、显卡、
网卡、声卡等硬件设备,要想这些设备能
够正常工作,就必须在安装好操作系统
后,安装相应的驱动程序。因此,在备份
驱动程序时,最好将所有的驱动程序都进
行备份,具体的操作步骤如下。
Step
01在“驱动备份还原”工作界面中单击
“一键备份”按钮,如图4-58所示。
图
4-58 “一键备份”按钮
Step
02开始备份所有硬件的驱动程序,并在
后面显示备份的进度,如图4-59所示。
Step
03备份完成后,会在硬件驱动程序的右
侧显示“备份完成”的信息提示,如图4-60
所示。
图
4-59 备份驱动程序
图
4-60 备份完成
4.4.4 还原驱动程序数据
前面介绍了使用《驱动精灵》备份驱动
程序的方法,下面介绍使用《驱动精灵》
驱动程序的方法,具体的操作步骤如下。
Step
01在《驱动精灵》的主窗口中单击“百
宝箱”按钮,如图4-61所示。
图
4-61 《驱动精灵》主窗口
�
第4章 磁盘分区与数据安全
Step
02进入“百宝箱”操作界面,在其中单始还原,这个过程相当于安装驱动程序的
击“驱动还原”图标,如图4-62所示。过程,如图4-65所示。
图
4-62 百宝箱操作界面
Step
03进入“驱动备份还原”选项卡,打开
驱动还原操作界面,如图4-63所示。
图
4-65 还原驱动程序
Step
06还原完成以后,会在驱动列表的右侧
显示还原完成的信息提示,如图4-66所示。
图
4-63 “驱动备份还原”选项卡
Step
04在“驱动备份”列表中选择需要还原
的驱动程序,如图4-64所示。
图
4-66 驱动程序还原完成
Step
07同时,还会在“驱动备份还原”工作
界面显示还原完成,重启后生效的信息提
示,这时可以单击“立即重启”按钮,重
新启动电脑,使还原的驱动程序生效,如
图4-67所示。
图
4-67 还原完成重启生效
图
4-64 选择需要还原的驱动程序
Step
05单击“一键还原”按钮,驱动程序开
�
4.5 恢复丢失的磁盘数据
当对磁盘数据没有进行备份操作,而
且又发现磁盘数据丢失了,这时就需要借
助其他方法或使用数据恢复软件进行丢失
数据的恢复。
4.5.1 从回收站中还原
当用户不小心将某一文件删除,很有可
能只是删除到了回收站中,如果还没有清除
回收站中的文件,则可以将文件从回收站中
还原出来。这里以删除本地磁盘F中的图片
文件夹为例,来具体介绍如何从回收站中还
原删除的文件,具体的操作步骤如下。
Step
01双击桌面上的“回收站”图标,打开
“回收站”窗口,在其中可以看到误删除
的“美图”文件夹,如图4-68所示。
图
4-68 “回收站”窗口
Step
02右击该文件夹,从弹出的快捷菜单中
选择“还原”菜单项,如图4-69所示。
Step
03将回收站之中的“图片”文件夹还原
到其原来的位置,如图4-70所示。
图
4-70 还原“图片”文件夹
Step
04打开本地磁盘F,可在“本地磁盘F”
窗口中看到还原的美图文件夹,如图4-71
所示。
图
4-71 “本地磁盘
F”窗口
Step
05双击美图文件夹,可在打开的
“美
图”窗口中显示出图片的缩略图,如图4-72
所示。
图
4-69 “还原”菜单项
图
4-72 “美图”窗口
�
第4章 磁盘分区与数据安全
4.5.2 清空回收站后的恢复
当把回收站中的文件清除后,用户可
以使用注册表来恢复清空回收站之后的文
件,具体的操作步骤如下。
Step
01单击“”按钮,在弹出的快捷菜单
中选择“运行”菜单项,如图4-73所示。
图
4-73 “运行”菜单项
Step
02打开“运行”对话框,在“打开”
文本框中输入注册表命令
regedit,如图
4-74
所示。
图
4-74 “运行”对话框
Step
03单击“确定”按钮,打开“注册表”
窗口,如图4-75所示。
Step04
在窗口的左侧展开【HEKEY LOCAL
MACHIME/SOFTWARE/MICROSOFT/
WINDOWS/CURRENTVERSION/
EXPLORER/DESKTOP/NAMESPACE】树
形结构,如图4-76所示。
图
4-76 展开注册表分支结构
Step
05在窗口的左侧空白处右击,在弹出的
快捷菜单中“新建”→“项”菜单项,如
图4-77所示。
图
4-77 “项”菜单项
Step
06新建一个项,并将其重命名为“645FFO405081-
101B-9F08-00AA002F954E”,如图
4-78所示。
图
4-75 “注册表”窗口图
4-78 重命名新建项
�
Step
07在窗口的右侧选中系统默认项并右
击,在弹出的快捷菜单中选择“修改”菜
单项,打开“编辑字符串”对话框,将数
值数据设置为“回收站”,如图4-79所示。
图
4-79 “编辑字符串”对话框
Step
08单击“确定”按钮,退出注册表,重
新启动电脑即可将清空的文件恢复出来,
如图4-80所示。
图
4-80 恢复清空的文件
Step
09右击该文件夹,从弹出的快捷菜单中
选择“还原”菜单项,如图4-81所示。
图
4-81 “还原”菜单项
Step
10将回收站之中的“图片”文件夹还原
到其原来的位置,如图4-82所示。
图
4-82 还原图片文件夹
4.5.3 使用EasyRecovery恢复数据
EasyRecovery是世界著名数据恢复公司
Ontrack的杰作,利用EasyRecovery进行数
据恢复,就是通过EasyRecovery将分布在硬
盘上的不同位置的文件碎块找回来,并根
据统计信息将这些文件碎块进行重整,然
后EasyRecovery会在内存中建立一个虚拟的
文件夹系统,并列出所有的目录和文件。
使用EasyRecovery恢复数据的具体操作
步骤如下。
Step
01双击桌面上的EasyRecovery图标,
进入“EasyRecovery”主窗口,如图4-83
所示。
图
4-83 “EasyRecovery”主窗口
Step
02单击EasyRecovery主界面上的“数据
恢复”功能项,进入软件的数据恢复子系
统窗口,在其中显示了高级恢复、删除恢
复、格式化恢复、原始恢复等项目,如图
4-84所示。
�
第4章 磁盘分区与数据安全
图
4-84 数据恢复子系统窗口
Step
03选择F盘上的“图片.rar”文件将其进
行彻底删除,单击“数据恢复”功能项中
的“删除恢复”按钮,开始扫描系统,如
图4-85所示。
图
4-85 开始扫描系统
Step
04在扫描结束后,将会弹出
“目的地
警告”提示,建议用户将文件复制到不与
恢复来源相同的一个安全位置,如图4-86
所示。
图
4-86 “目的地警告”警告提示
Step
05单击“确定”按钮,将会自动弹出如
图4-87所示的对话框,提示用户选择一个
要恢复删除文件的分区,这里选择F盘。在
“文件过滤器”中进行相应的选择,如果
误删除的是图片,则在文件过滤器中选择
“图像文档”选项。但若用户要恢复的文
件是不同类型的,可直接选择所有文件,
再选中“完整扫描”选项。
Step
06单击“下一步”按钮,软件开始扫描
选定的磁盘,并显示扫描进度,如已用时
间、剩余时间、找到目录、找到文件等,
如图4-88所示。
图
4-87 选择要恢复删除文件的分区
图
4-88 扫描选定的磁盘
Step
07在扫描完毕之后,将扫描到的相关
文件及资料在对话框左侧以树状目录列出
来,右侧则显示具体删除的文件信息。在
其中选择要恢复的文档或文件夹,这里选
择“图片.rar”文件,如图4-89所示。
图
4-89 选择“图片
.rar”文件
Step
08单击“下一步”按钮,可在弹出的对
话框中设置恢复数据的保存路径,如图4-90
所示。
�
图
4-90 选择恢复目的地
Step
09单击“浏览”按钮,打开“浏览文件
夹”对话框,在其中选择恢复数据保存的
位置,如图4-91所示。
图
4-91 “浏览文件夹”对话框
Step
10单击“确定”按钮,返回设置恢复数
据保存的路径,如图4-92所示。
图
4-92 设置恢复目的地为
E盘
Step
11单击“下一步”按钮,软件自动将文
件恢复到指定的位置,如图4-93所示。
图
4-93 恢复数据
Step
12在完成文件恢复操作之后,EasyRecovery
将会弹出一个恢复完成的提示信息窗口,
在其中显示了数据恢复的详细内容,包括
源分区、文件大小、已存储数据的位置等
内容,如图4-94所示。
图
4-94 设置恢复目的地为
E盘
Step
13单击“完成”按钮,打开“保存恢
复”对话框。单击“否”按钮,完成恢
复,如果还有其他的文件要恢复,则可以
选择“是”按钮,如图4-95所示。
图
4-95 信息提示框
4.6 实战演练
4.6.1 实战1:恢复丢失的磁盘簇
磁盘空间丢失的根本原因是存储文件
的簇丢失了,在命令提示符窗口中用户可
以使用CHKDSK/F命令找回丢失的簇,具
体的操作步骤如下。
�
Step01
第4章 磁盘分区与数据安全
在
“命令提示符
”窗口中输入
Step
02在控制面板窗口中单击
“系统和安
“chkdsk d:/f”命令,如图4-96所示。全”连接,打开“系统和安全”窗口,如
图
4-96 “cmd.exe”运行窗口
Step
02按Enter键,此时会显示输入的
D盘文
件系统类型,并在窗口中显示chkdsk状态报
告,同时,列出符合不同条件的文件,如
图4-97所示。
图
4-97 显示
chkdsk状态报告
4.6.2 实战2:使用BitLocker加密磁盘
对磁盘加密主要是使用
Windows10操
作系统中的BitLocker功能,主要是用于解
决用户数据的失窃、泄漏等安全性问题,
具体的操作步骤如下。
Step
01单击“”按钮,在弹出的快捷菜单
中选择“控制面板”菜单命令,打开“控
制面板”窗口,如图4-98所示。
图
4-98 “控制面板”窗口
图4-99所示。
图
4-99 “系统和安全”窗口
Step
03在该窗口中单击“BitLocker驱动器加
密”链接,打开“通过驱动器进行加密来
帮助保护您的文件和文件夹”窗口,在窗
口中显示了可以加密的驱动器盘符和加密
状态,展开各个盘符后,单击盘符后面的
“启用BitLocker”链接,对各个驱动器进
行加密,如图4-100所示。
图
4-100 “BitLocker驱动器加密”窗口
Step
04单击D盘后面的“启用BitLocker”链
接,打开“正在启动BitLocker”对话框,
如图4-101所示。
Step
05启动BitLocker完成后,打开“选择
希望解锁此驱动器的方式”对话框,勾选
“使用密码解锁驱动器”复选框,按要求
输入内容,如图4-102所示。
Step
06单击“下一步”按钮,打开“你希望
如何备份恢复密钥”对话框,可以选择保
存到Microsoft账户、保存到文件和打印恢
�
复密钥选项,这里选择保存到文件选项,如图4-104所示。
如图4-103所示。
图
4-101 “正在启动
BitLocker”对话框
图
4-102 输入密码
图
4-104 更改文件名称
Step
08单击“保存”按钮,关闭对话框,返
回“你希望如何备份恢复密钥”对话框,
在对话框的下侧显示已保存恢复密钥的提
示信息,如图4-105所示。
图
4-105 信息提示框
Step
09单击“下一步”按钮,进入选择要加
密的驱动器空间大小,如图4-106所示。
图
4-106 选择驱动器空间大小
图
4-103 “你希望如何存储恢复密钥”对话框
Step
07打开“将BitLocker恢复密钥另存为”
对话框,本窗口将选择恢复密钥保存的位
置,在文件名文本框中更改文件的名称,
�
第4章 磁盘分区与数据安全
Step
10单击“下一步”按钮,选择要使用的
加密模式,如图4-107所示。
图
4-110 显示加密的进度
Step
14单击“继续”按钮,可继续对驱动器
进行加密,加密完成后,将弹出信息提示
框,提示用户已经加密完成。单击“关闭”
按钮,完成D盘的加密,如图4-111所示。
图
4-109 开始加密
Step
13开始加密启动完成后,打开“BitLocker
驱动器加密”对话框,它显示加密的进度,
如图4-110所示。
图
4-107 选择要使用的加密模式
Step
11单击“下一步”按钮,确认是否准备
加密该驱动器,如图4-108所示。
图
4-108 选择是否准备加密该驱动器
Step
12单击“开始加密”按钮,开始对可移
动驱动器进行加密,加密的时间与驱动器
的容量有关,但是加密过程不能中止,如
图4-109所示。
图
4-111 加密完成
�
第5章 系统安全之备份与还原
用户在使用计算机的过程中,会受到恶意软件的攻击,有时还会不小心删除系统文
件,这都有可能导致系统崩溃或无法进入操作系统,这时用户就不得不重装系统,但是如果系
统进行了备份,那么就可以直接将其还原,以节省时间。本章介绍计算机系统的备份与还原。
5.1 重装系统
在安装有一个操作系统的计算机中,
用户可以利用安装光盘重装系统,而无须
考虑多系统的版本问题,只需将系统安装
盘插入光驱,并设置从光驱启动,然后格
式化系统盘后,就可以按照安装单操作系
统一样重装系统。
5.1.1 什么情况下重装系统
具体来讲,当系统出现以下3种情况之
一时,就必须考虑重装系统了。
1. 系统运行变慢
系统运行变慢的原因有很多,如垃圾
文件分布于整个硬盘而又不便于集中清理
和自动清理,或者是电脑感染了病毒或其他
恶意程序而无法被杀毒软件清理等,这就需
要对磁盘进行格式化处理并重装系统了。
2. 系统频繁出错
众所周知,操作系统是由很多代码组
成的,在操作过程中可能因为误删除某个文
件或者是被恶意代码改写等原因,致使系统
出现错误。此时,如果该故障不便于准确定
位或轻易解决,就需要考虑重装系统了。
3. 系统无法启动
导致系统无法启动的原因有多种,如
DOS引导出现错误、目录表被损坏或系统
文件
ntfs.sys丢失等。如果无法查找出系统
不能启动的原因或无法修复系统以解决这
一问题时,就需要重装系统了。
5.1.2 重装前应注意的事项
在重装系统之前,用户需要做好充分
的准备,以避免重装之后造成数据丢失等
严重后果。那么在重装系统之前应该注意
哪些事项呢?
1. 备份数据
在因系统崩溃或出现故障而准备重装
系统之前,首先应该想到的是备份好自己
的数据。这时,一定要静下心来,仔细罗
列一下硬盘中需要备份的资料,最好把它们
一项一项地写在一张纸上,然后逐一对照进
行备份。如果硬盘不能启动,这时需要考虑
用其他启动盘启动系统,然后复制自己的
数据,或将硬盘挂接到其他电脑上进行备
份。但是,最好的办法是在平时就养成每
天备份重要数据的习惯,这样就可以有效
避免因硬盘数据不能恢复造成的损失。
2. 格式化磁盘
重装系统时,格式化磁盘是解决系统
问题最有效的办法,尤其是在系统感染病毒
后,最好不要只格式化
C盘,如果有条件将硬
盘中的数据都备份或转移,尽量备份后将整
个硬盘都格式化,以保证新系统的安全。
3. 牢记安装序列号
安装序列号相当于一台计算机的身份
�
第5章 系统安全之备份与还原
证号,标示着安装程序的身份。如果不小
心丢掉自己的安装序列号,那么在重装系
统时,如果采用的是全新安装,安装过程
将无法进行下去。正规的安装光盘的序列
号会标注在软件说明书或光盘封套的某个
位置上。但是,如果用的是某些软件合集
光盘中提供的测试版系统,那么,这些序
列号可能是存在于安装目录中的某个说明
文本中,如SN.txt等文件。因此,在重装系
统之前,首先应将序列号找出并记录下来
以备稍后使用。
5.1.3 重装Windows 10
Windows10作为主流操作系统,备受
关注,本节将介绍Windows10操作系统的重
装,具体步骤如下。
Step
01将Windows10操作系统的U盘插入
USB接口中,重新启动计算机,这时会进入
Windows10操作系统安装程序的运行窗口,
提示用户安装程序正在加载文件,如图5-1
所示。
图
5-2 程序启动界面
图
5-3 程序运行界面
图
5-1 系统运行窗口
Step02当文件加载完成后,进入程序启动
Windows界面,如图5-2所示。
Step03进入程序运行界面,开始运行程序,
运行程序完成,就会弹出安装程序正在启
动页面,如图5-3所示。
Step04安装程序启动完成后,还需要选择需
要安装系统的磁盘,如图5-4所示。
图
5-4 选择系统安装盘
图
5-5 系统引导页面
Step
06安装完成后,进入Windows10操作系
统主页面,系统安装完成,如图5-6所示。
Step05
单击
“下一步
”按钮,开始安装
Window10系统并进入系统引导页面,如图
5-5所示。
�
Step
02在打开的窗口中,单击“系统保护”
超链接,如图5-8所示。
图
5-6 系统安装完成
5.2 备份系统
常见备份系统的方法为使用系统自带
的工具备份和Ghost工具备份。
5.2.1 使用系统工具备份系统
Windows10操作系统自带的备份还原功
能更加强大,为用户提供了高速度、高压
缩的一键备份还原功能。
1.开启系统还原功能
要想使用Windows系统工具备份和还原
系统,首先需要开启系统还原功能,具体
的操作步骤如下。
Step
01右击电脑桌面上的“此电脑”图标,
在打开快捷菜单命令中,选择“属性”菜
单命令,如图5-7所示。
图
5-8 “系统”窗口
Step
03弹出“系统属性”对话框,在“保护
设置”列表框中选择系统所在的分区,并
单击“配置”按钮,如图5-9所示。
图
5-9 “系统属性”对话框
Step
04弹出“系统保护本地磁盘”对话框,
选中“启用系统保护”单选按钮,单击鼠
标调整“最大使用量”滑块到合适的位
置,然后单击“确定”按钮,如图5-10
所示。
图
5-7 “属性”选项
�
第5章 系统安全之备份与还原
Step
02弹出“创建还原点
”对话框,在文
本框中输入还原点的描述性信息,如图5-12
所示。
图
5-12 “创建还原点”对话框
Step
03单击“创建”按钮,开始创建还原
点,如图5-13所示。
图
5-10 “系统保护本地磁盘”对话框
2.创建系统还原点
用户开启系统还原功能后,会默认打
开保护系统文件和设置的相关信息保护系
统。用户也可以创建系统还原点,当系统
出现问题时,就可以方便地恢复到创建还
原点时的状态。
Step
01在上面打开的“系统属性”对话框中,
选择“系统保护”选项卡,然后选择系统所在
的分区,单击“创建”按钮,如图5-11所示。
图
5-11 “系统保护”选项卡
图
5-13 开始创建还原点
Step
04创建还原点的时间比较短,稍等片刻
就可以了。创建完毕后,将打开“已成功
创建还原点”提示信息,单击“关闭”按
钮即可,如图5-14所示。
图
5-14 创建还原点完成
5.2.2 使用系统映像备份系统
Windows10操作系统为用户提供了系统
镜像的备份功能,使用该功能,用户可以
备份整个操作系统,具体操作步骤如下。
Step
01在“控制面板”窗口中,单击“备
份和还原(Windows)”链接,如图5-15
所示。
Step
02弹出“备份和还原”窗口,单击“创
建系统映像”链接,如图5-16所示。
Step
03弹出“你想在何处保存备份?”对话
�
框,这里有3种类型的保存位置,包括在硬Step
04弹出“你要在备份中包括哪些驱动
盘上,在一张或多张DVD上和在网络位置器?”对话框,这里采用默认的选项,单
上,本实例选中“在硬盘上”单选按钮,击“下一步”按钮,如图5-18所示。
单击“下一步”按钮,如图5-17所示。
图
5-15 “控制面板”窗口
图
5-16 “备份和还原”窗口
图
5-18 选择驱动器
Step05
弹出“确认你的备份设置”对话
框,单击“开始备份”按钮,如图5-19
所示。
图
5-19 确认备份设置
Step
06系统开始备份,完成后,单击“关
闭”按钮,如图5-20所示。
图
5-17 选择备份保存位置
�
图5-20 备份完成图5-20 备份完成
第5章 系统安全之备份与还原
图
5-22 “一键
Ghost”提示框
Step
04系统自动选择完毕后,接下来会弹出
“MS-DOS”一级菜单界面,在其中选择
第一个选项,表示在DOS安全模式下运行
GHOST 11.2,如图5-24所示。
5.2.3 使用GHOST工具备份系统
一键GHOST是一个图形安装工具,主
要包括一键备份系统、一键恢复系统、中
文向导、GHOST、DOS工具箱等功能。使
用一键GHOST备份系统的操作步骤如下。
Step
01下载并安装一键GHOST后,会弹
出“一键备份系统”对话框,此时一键
GHOST开始初始化。初始化完毕后,将自
动选中“一键备份系统”单选按钮,单击
“备份”按钮,如图5-21所示。
图
5-21 “一键备份系统”对话框
Step
02弹出“一键GHOST”提示框,单击
“确定”按钮,如图5-22所示。
Step03
系统开始重新启动,并自动打开
GRUB4DOS菜单,在其中选择第一个
选项,表示启动一键
GHOST,如图
5-23
所示。
图
5-23 选择一键
GHOST选项
图
5-24 “MS-DOS”一级菜单界面
Step
05选择完毕后,接下来会弹出“MSDOS”
二级菜单界面,在其中选择第一个
选项,表示支持
IDE、SATA兼容模式,如
图5-25所示。
Step
06根据C盘是否存在映像文件,将会
从主窗口自动进入“一键备份系统”警告
窗口,提示用户开始备份系统。单击“备
份”按钮,如图5-26所示。
Step
07此时,开始备份系统,如图5-27
所示。
�
Step
01选择“系统属性”对话框下的“系统
保护”选项卡,然后单击“系统还原”按
钮,如图5-28所示。
图
5-25 “MS-DOS”二级菜单界面
图
5-26 “一键备份系统”警告框
图5-27 开始备份系统
5.3 还原系统
系统备份完成后,一旦系统出现严
重的故障,可还原系统到未出故障前的
状态。
5.3.1 使用系统工具还原系统
在为系统创建好还原点之后,一旦系
统遭到病毒或木马的攻击,致使系统不能
正常运行,这时就可以将系统恢复到指定
还原点。
下面介绍如何还原到创建的还原点,
具体操作步骤如下。
图
5-28 “系统保护”选项卡
Step
02弹出“还原系统文件和设置”对话框,
单击“下一步”按钮,如图5-29所示。
图
5-29 “还原系统文件和设置”对话框
Step
03弹出“将计算机还原到所选事件之前
的状态”对话框,选择合适的还原点,一
般选择距离出现故障时间最近的还原点即
可,单击“扫描受影响的程序”按钮,如
图5-30所示。
�
第5章 系统安全之备份与还原
图
5-30 选择还原点
Step04弹出“
正在扫描受影响的程序和驱动
程序”对话框,如图5-31所示。
图
5-31 “系统还原”对话框
Step
05稍等片刻,扫描完成后,将打开详细
的被删除的程序和驱动信息,用户可以查
看所选择的还原点是否正确,如果不正确
可以返回重新操作,如图5-32所示。
Step06单击“
关闭”按钮,返回“将电脑还
原到所选事件之前的状态”对话框,确认
还原点选择是否正确,如果还原点选择正
确,则单击“下一步”按钮,弹出“确认
还原点”对话框,如果确认操作正确,则
单击“完成”按钮,如图5-33所示。
图
5-32 查看还原点是否正确
图
5-33 “确认还原点”对话框
Step
07打开提示框提示
“启动后,系统还
原不能中断,您希望继续吗?”,单击
“是”按钮。电脑自动重启后,还原操作
会自动进行,还原完成后再次自动重启电
脑,登录到桌面后,将会打开系统还原提
示框提示“系统还原已成功完成”,单击
“关闭”按钮,完成将系统恢复到指定还
原点的操作,如图5-34所示。
图
5-34 信息提示框
提示:如果还原后发现系统仍有问题,
则可以选择其他的还原点进行还原。
�
5.3.2 使用系统映像还原系统
完成系统映像的备份后,如果系统
出现问题,可以利用映像文件进行还原操
作,具体操作步骤如下。
Step
01在桌面上单击
“
”按钮,在打开的
快捷菜单中选择“设置”选项,弹出“设
置”窗口,选择“更新和安全”选项,如
图5-35所示。
图
5-35 “设置”窗口
Step
02弹出“更新和安全”窗口,在左侧列
表中选择“恢复”选项,在右侧窗口中单
击“立即重启”按钮,如图5-36所示。
图
5-37 “选择其他的还原方式”对话框
图
5-38 选择要还原的驱动器
图
5-36 “更新和安全”窗口
Step
03弹出“选择其他的还原方式
”对话
框,采用默认设置,直接单击“下一步”
按钮,如图5-37所示。
Step
04弹出“你的计算机将从以下系统映像
图
5-39 信息提示框
Step
06系统映像的还原操作完成后,弹出
“是否要立即重新启动计算机?”对话
框,单击“立即重新启动”按钮即可,如
图5-40所示。
中还原”对话框,单击“完成”按钮,如
图5-38所示。
Step
05弹出提示信息对话框,单击“是”按
图
5-40 开始还原系统
钮,如图5-39所示。
�
第5章 系统安全之备份与还原
5.3.3 使用Ghost工具还原系统
当系统分区中数据被损坏或系统遭受
病毒和木马的攻击后,就可以利用Ghost的
镜像还原功能将备份的系统分区进行完全
的还原,从而恢复系统。
使用一键GHOST还原系统的操作步骤
如下。
Step
01在“一键GHOST”对话框中单击选
中“一键恢复系统”单选按钮,单击“恢
复”按钮,如图5-41所示。
Step03
系统开始重新启动,并自动打开
GRUB4DOS菜单,在其中选择第一个选项,
表示启动一键GHOST,如图5-43所示。
图
5-43 启动一键
GHOST
Step
04系统自动选择完毕后,接下来会弹出
“MS-DOS”一级菜单界面,在其中选择
第一个选项,表示在DOS安全模式下运行
GHOST 11.2,如图5-44所示。
图
5-44 “MS-DOS”一级菜单界面
Step
05选择完毕后,接下来会弹出“MSDOS”
二级菜单界面,在其中选择第一个
选项,表示支持
IDE、SATA兼容模式,如
图5-45所示。
图
5-41 “一键恢复系统”单选按钮
Step
02弹出“一键GHOST”对话框,提示
用户计算机必须重新启动,才能运行“恢
复”程序,单击“确定”按钮,如图5-42
所示。
图
5-45 “MS-DOS二级菜单”界面
Step
06根据C盘是否存在映像文件,将会
从主窗口自动进入“一键恢复系统”警告
窗口,提示用户开始恢复系统。选择“恢
复”按钮,开始恢复系统,如图5-46所示。
图
5-42 信息提示框
�
图
5-46 “一键恢复系统”警告框
Step07
此时,开始恢复系统,如图
5-47
所示。
图
5-47 开始恢复系统
Step
08在系统还原完毕后,将打开一个信
息提示框,提示用户恢复成功,单击Reset
Computer按钮重启电脑,然后选择从硬盘
启动,可将系统恢复到以前的系统。至
此,就完成了使用GHOST工具还原系统的
操作,如图5-48所示。
图
5-48 系统恢复成功
5.4 重置系统
对于系统文件出现丢失或者文件异
常的情况,可以通过重置的方法来修复系
统。重置电脑可以在电脑出现问题时将系
统恢复到初始状态,而不需要重装系统。
5.4.1 在可开机情况下重置计算机
在可以正常开机并进入Windows10操作
系统后重置计算机的具体操作步骤如下。
Step
01单击“”按钮,在打开的快捷菜单
中选择“设置”菜单命令,弹出“设置”
窗口,选择“更新和安全”选项,如图5-49
所示。
图
5-49 “设置”窗口
Step
02弹出“更新和安全”窗口,在左侧列
表中选择“恢复”选项,在右侧窗口中单
击“立即重启”按钮,如图5-50所示。
图
5-50 “恢复”选项
Step
03弹出“选择一个选项”界面,单击选
择“保留我的文件”选项,如图5-51所示。
Step
04弹出“将会删除你的应用”界面,单
击“下一步”按钮,如图5-52所示。
Step
05弹出“警告”界面,单击“下一步”
按钮,如图5-53所示。
�
第5章 系统安全之备份与还原
图
5-51 “保留我的文件”选项
图
5-52 “将会删除你的应用”界面
图
5-53 “警告”界面
Step
06弹出“准备就绪,可以重置这台电
脑”界面,单击“重置”按钮,如图5-54
所示。
图
5-54 准备就绪界面
Step
07计算机重新启动,进入“重置”界
面,如图5-55所示。
图
5-55 “重置”界面
Step
08重置完成后会进入Windows 10安装
界面,安装完成后自动进入Windows 10桌
面,如图5-56所示。
图
5-56 Windows 10安装界面
5.4.2 在不可开机情况下重置计算机
如果Windows10操作系统出现错误,开
机后无法进入系统,此时可以在不开机的
情况下重置计算机,具体操作步骤如下。
Step
01在开机界面单击“更改默认值或选择
其他选项”选项,如图5-57所示。
图
5-57 开机界面
�
Step
02进入“选项”界面,单击“选择其他
选项”选项,如图5-58所示。
图
5-58 “选项”界面
Step
03进入“选择一个选项
”界面,单击
“疑难解答”选项,如图5-59所示。
图
5-59 “选择一个选项”界面
Step
04在打开的“疑难解答”界面单击“重
置此电脑”选项,其后的操作与在可开机
的状态下重置电脑操作相同,这里不再赘
述,如图5-60所示。
5.5 实战演练
5.5.1 实战1:一个命令就能修复系统
SFC命令是Windows操作系统中使用频
率比较高的命令,主要作用是扫描所有受
保护的系统文件并完成修复工作。该命令
的语法格式如下:
SFC [/SCANNOW] [/SCANONCE] [/
SCANBOOT] [/REVERT] [/PURGECACHE] [/
CACHESIZE=x]
各个参数的含义如下:
/SCANNOW:立即扫描所有受保护的
系统文件。
/SCANONCE:下次启动时扫描所有受
保护的系统文件。
/SCANBOOT:每次启动时扫描所有受
保护的系统文件。
/REVERT:将扫描返回到默认设置。
/PURGECACHE:清除文件缓存。
/CACHESIZE=x:设置文件缓存大小。
下面以最常用的sfc/scannow为例进行
讲解,具体操作步骤如下。
Step
01单击“”按钮,在弹出的快捷菜单
中选择“命令提示符(管理员)(A)”菜
单命令,如图5-61所示。
图
5-61 开始快捷菜单命令
Step
02弹出管理员命令提示符窗口,输入命
令sfc/scannow,按Enter键确认,如图5-62
所示。
Step
03开始自动扫描系统,并显示扫描的进
图
5-60 “疑难解答”界面
�
第5章 系统安全之备份与还原
度,如图5-63所示。
图
5-62 输入命令
图
5-63 自动扫描系统
Step
04在扫描的过程中,如果发现损坏的系
统文件,会自动进行修复操作,并显示修
复后的信息,如图5-64所示。
图
5-66 “引导”界面
Step
03单击“高级选项”按钮,弹出“引导
高级选项”对话框,勾选“处理器个数”
复选框,将处理器个数设置为最大值,本
机最大值为4,如图5-67所示。
图
5-64 自动修复系统
5.5.2 实战2:开启计算机CPU最强性能
在Windows10操作系统之中,用户可以
设置系统启动密码,具体的操作步骤如下。
Step01按
+R组合键,打开“运行”对话
框,在“打开”文本框中输入msconfig,如
图5-65所示。
图
5-67 “引导高级选项”对话框
Step
04单击“确定”按钮,弹出“系统配置”
对话框,单击“重新启动”按钮,重启计算机
系统,CUP就能达到最大性能了,这样计算
机运行速度就会明显提高,如图5-68所示。
图
5-68 “系统配置”对话框
图
5-65 “运行”对话框
Step
02单击“确定”按钮,在弹出的对话框
中选择“引导”选项卡,如图5-66所示。
�
第6章 SQL注入入侵与弱口令入侵
当前的网络设备基本上都是用“身份认证”来实现身份识别与安全防范的,其中基于
“账号/密码”认证最为常见。本章就来介绍两种常见的基于Windows认证入侵的方式,包
括SQL注入入侵、通过弱口令入侵以及基于Windows认证入侵的防范。
6.1 实现SQL注入入侵
SQL注入(SQL Injection)入侵,是众多
针对脚本系统入侵中最常见的一种入侵手段,
也是危害最大的一种入侵方式。由于SQL注
入入侵易学易用,使得网上各种SQL注入入
侵事件成风,对网站安全的危害十分严重。
6.1.1 SQL注入入侵的准备
黑客在实施SQL注入入侵前会进行一些
准备工作,同样,要对自己的网站进行SQL
注入漏洞的检测,也需要进行相同的准备。
1.准备猜解用的工具
与任何入侵手段相似,在进行每一次
入侵前,都要经过检测漏洞、入侵攻击、种
植木马后门进行长期控制等几个步骤,进行
SQL注入入侵同样也不例外。在这几个入侵
步骤中,黑客往往会使用一些特殊的工具,
以提高入侵的效率和成功率。在进行SQL注
入入侵测试前,需要准备如下入侵工具。
(1)SQL注入漏洞扫描器与猜解工具
ASP环境的注入扫描器主要有NBSI、
HDSI、Pangolin_bin、WIS+WED和冰舞
等,其中NBSI工具可对各种注入漏洞进行
解码,从而提高猜解效率,如图6-1所示。
冰舞是一款针对ASP脚本网站的扫描工
具,可全面寻找目标网站存在的漏洞,如
图6-2所示。
图6-1 常用的ASP注入工具NBSI
图6-2 冰舞主窗口
(2)Web木马后门
Web木马后门是一种特殊的木马,主
要安装在网站服务器上用于Web注入成功后
来窃取网站用户信息。常见的Web木马后门
有“冰狐浪子ASP”木马、“海阳顶端网
ASP”木马等,这些都是用于注入入侵后控
制ASP环境的网站服务器。
第6章 SQL注入入侵与弱口令入侵
当前的网络设备基本上都是用“身份认证”来实现身份识别与安全防范的,其中基于
“账号/密码”认证最为常见。本章就来介绍两种常见的基于Windows认证入侵的方式,包
括SQL注入入侵、通过弱口令入侵以及基于Windows认证入侵的防范。
6.1 实现SQL注入入侵
SQL注入(SQL Injection)入侵,是众多
针对脚本系统入侵中最常见的一种入侵手段,
也是危害最大的一种入侵方式。由于SQL注
入入侵易学易用,使得网上各种SQL注入入
侵事件成风,对网站安全的危害十分严重。
6.1.1 SQL注入入侵的准备
黑客在实施SQL注入入侵前会进行一些
准备工作,同样,要对自己的网站进行SQL
注入漏洞的检测,也需要进行相同的准备。
1.准备猜解用的工具
与任何入侵手段相似,在进行每一次
入侵前,都要经过检测漏洞、入侵攻击、种
植木马后门进行长期控制等几个步骤,进行
SQL注入入侵同样也不例外。在这几个入侵
步骤中,黑客往往会使用一些特殊的工具,
以提高入侵的效率和成功率。在进行SQL注
入入侵测试前,需要准备如下入侵工具。
(1)SQL注入漏洞扫描器与猜解工具
ASP环境的注入扫描器主要有NBSI、
HDSI、Pangolin_bin、WIS+WED和冰舞
等,其中NBSI工具可对各种注入漏洞进行
解码,从而提高猜解效率,如图6-1所示。
冰舞是一款针对ASP脚本网站的扫描工
具,可全面寻找目标网站存在的漏洞,如
图6-2所示。
图6-1 常用的ASP注入工具NBSI
图6-2 冰舞主窗口
(2)Web木马后门
Web木马后门是一种特殊的木马,主
要安装在网站服务器上用于Web注入成功后
来窃取网站用户信息。常见的Web木马后门
有“冰狐浪子ASP”木马、“海阳顶端网
ASP”木马等,这些都是用于注入入侵后控
制ASP环境的网站服务器。
�
(3)注入辅助工具
由于某些网站可能会采取一些防范措
施,所以在进行
SQL注入入侵时,还需要借
助一些辅助的工具,来实现字符转换、格
式转换等功能。常见的
SQL注入辅助工具有
“ASP木马C/S模式转换器”和“C2C注入
格式转换器”等。
2. 寻找攻击入口
SQL注入入侵与其他入侵手段相似,在
进行注入入侵前要经过漏洞扫描、入侵攻击、
种植木马后门进行长期控制等几个过程。所以
查找可入侵网站是成功实现注入的前提条件。
由于只有ASP、PHP、JSP等动态网页
才可能存在注入漏洞,一般情况下,SQL
注入漏洞存在于“http://www.xxx.xxx/abc.
asp?id=yy”等带有参数的ASP动态网页
中。因为只要带有参数的动态网页且该网
页访问了数据库,就可能存在SQL注入漏
洞。如果程序员没有安全意识,没有对必
要的字符进行过滤,则其构建的网站存在
SQL注入入侵的可能性就很大。
在浏览器中搜索注入站点的步骤如下:
Step
01在浏览器中的地址栏中输入网址“www.
baidu.com”,打开百度搜索引擎,输入
“allinurl:asp?id=”进行搜索,如图6-3所示。
图
6-3 搜索网址含有中“asp?id=”的网页
Step
02打开百度搜索引擎,在搜索文本中
输入“allinurl:php?id=”进行搜索,如图6-4
所示。
第6章 SQL注入入侵与弱口令入侵
图
6-4 搜索网址含有中“php?id=”的网页
利用专门注入工具进行检测网站是否
存在注入漏洞,也可在动态网页地址的参
数后加上一个单引号,如果出现错误则可
能存在注入漏洞。由于通过手工方法进行
注入检测的猜解效率低,所以最好使用专
门的软件进行检测。
NBSI可以在图形界面下对网站进行
注入漏洞扫描。运行程序后单击工具栏上
的“网站扫描”按钮,在“网站地址”栏
中输入扫描的网站链接地址,再选择扫描
方式。如果是第一次扫描,可以选中“快
速扫描”单选按钮,如果使用该方式没有
扫描到漏洞,再使用“全面扫描”方式按
钮。单击“扫描”按钮,可在下面列表中
看到可能存在SQL注入的链接地址,如图
6-5所示。在扫描结果列表中将会显示注
入漏洞存在的可能性,其中标记为“可能
性:极高”的注入成功的概率较大些。
图
6-5 NBSI扫描
SQL注入点
�
6.1.2 使用NBSI注入工具
描。如果在扫描过程中发现注入漏洞,会
NBSI(网站安全漏洞检测工具,又叫
将漏洞地址及其注入性的高低显示在“扫
SQL注入分析器)是一套高集成性Web安全
描结果”列表中,如图6-8所示。
检测系统,是由NB联盟编写的一个非常强
大的
SQL注入工具。使用它可以检测出各种
SQL注入漏洞并进行解码,提高猜解效率。
在NBSI中可以检测出网站中存在的注
入漏洞,对其进行注入攻击,具体实现步
骤如下。
Step
01运行NBSI主程序,打开“NBSI操
作”主窗口,如图6-6所示。
图
6-6 “NBSI”主窗口
Step
02单击“网站扫描
”按钮,进入“网
站扫描”窗口,如图6-7所示。在“网站地
址”中输入要扫描的网站地址,这里选择
本地创建的网站,选中“快速扫描”单选
按钮。
图
6-7 “网站扫描”窗口
Step
03单击“扫描”按钮,对该网站进行扫
图
6-8 扫描后的结果
Step
04在“扫描结果”列表中单击要注入的
网址,可将其添加到下面的“注入地址”
文本框中,如图6-9所示。
图6-9 添加要注入的网站地址
Step
05单击“注入分析”按钮,进入“注入
分析”窗口中,如图6-10所示。在其中选中
“post”单选按钮,则可以在
“特征符
”文
本区域中输入相应的特征符。
Step
06设置完毕后,单击“检测”按钮即可
对该网址进行检测,其检测结果如图6-11所
示。如果检测完毕之后,“未检测到注入
漏洞”单选按钮被选中,则该网址是不能
被用来进行注入攻击的。
�
第6章 SQL注入入侵与弱口令入侵
图
6-10 “注入分析”窗口
图
6-11 对选择的网站进行检测
注意:这里得到的是一个数字型+Access
数据库的注入点,ASP+MSSQL型的注入方
法与其一样,都可以在注入成功之后去读
取数据库的信息。
Step
07在NBSI主窗口中单击“扫描及工具”
按钮右侧的下拉箭头,在弹出的快捷菜单
中选择“Access数据库地址扫描”菜单项,
如图6-12所示。
图
6-12 选择“Access数据库地址扫描”菜单项
Step
08在打开的“扫描及工具”窗口,将前
面扫描出来的“可能性:较高”的网址复
制到“扫描地址”文本框中;并勾选“由
根目录开始扫描”复选框,如图6-13所示。
图
6-13 “扫描及工具”窗口
Step
09单击“开始扫描”按钮,可将可能存
在的管理后台扫描出来,其结果会显示在
“可能存在的管理后台”列表中,如图6-14
所示。
图6-14 可能存在的管理后台
Step
10将扫描出来的数据库路径进行复制,
将该路径粘贴到浏览器的地址栏中,可自
动打开浏览器下载功能,并弹出“另存
为”对话框,或使用其他的下载工具,如
图6-15所示。
Step
11单击“保存”按钮,可将该数据下载
到本地磁盘中,打开后结果如图6-16所示,
这样,就掌握了网站的数据库了,实现了
SQL注入入侵。
�
图
6-15 “另存为”对话框
图6-16 数据库文件
在一般情况下,扫描出来的管理后台
不止一个,此时可以选择默认管理页面,
也可以逐个进行测试,利用破解出的用户
名和密码进入其管理后台。
6.1.3 Domain注入工具
Domain是一款出现最早,而且功能
非常强大的SQL注入工具,集旁注检测、
SQL猜解、密码破解、数据库管理等功能于
一体。
1 使用Domain实现注入
使用Domain实现注入的具体操作步骤
如下:
Step
01先下载并解压
Domain压缩文件,双
击“Domain注入工具”的应用程序图标,
打开“Domain注入工具”的主窗口,如图
6-17所示。
图
6-17 “Domain注入工具”主窗口
Step
02单击“旁注检测
”选项卡,在“输
入域名”文本框内输入需要注入的网站域
名,并单击右侧的
按钮,可检测出该网
站域名所对应的IP地址。单击“查询”按
钮,可在窗口左下部分列表中列出相关站
点信息,如图6-18所示。
图
6-18 “旁注检测”页面
Step
03选中右侧列表中的任意一个网址并
单击“网页浏览”按钮,可打开“网页浏
览”页面,可以看到页面最下方的“注入
点”列表中,列出了所有刚发现的注入
点,如图6-19所示。
Step
04单击“二级检测”按钮,可进入“二
级检测”页面,分别输入域名和网址后可
查询二级域名以及检测整站目录,如图6-20
所示。
�
第6章 SQL注入入侵与弱口令入侵
Step
06单击“添加指定网址”按钮,可打开
“添加网址”对话框,在其中输入要添加
的网址。单击OK按钮,返回“网站批量检
测”页面,如图6-22所示。
图
6-22 “添加网址”对话框
Step
07单击页面最下方的
按钮,可成
图
6-19 “网页浏览”页面
功分析出该网站中所包含的页面,如图6-23
所示。
图
6-20 “二级检测”页面
Step
05若单击“网站批量检测”按钮,可打
开“网站批量检测”页面,在该页面中可
查看待检测的几个网址,如图6-21所示。
图
6-23 成功分析网站中所包含的页面
Step
08单击“保存结果”按钮,打开Save As
对话框,在其中输入想要保存的名称。单
击Save按钮,可将分析结果保存至目标位
置,如图6-24所示。
图
6-21 “网站批量检测”页面
图
6-24 保存分析页面结果
�
Step
09单击“功能设置”按钮,对浏览网页
时的个别选项进行设置,如图6-25所示。
图
6-25 “功能设置”页面
Step
10在“Domain注入工具”主窗口中选择
“SQL注入
”选项卡,单击
“扫描注入点
”
按钮,左侧窗格中打开“扫描注入点”标
签页。单击“载入查询网址”按钮,可在
显示出关联的网站地址。选中与前面设置
相同的网站地址,最后单击右侧的“批量
分析注入点”按钮,可在窗口最下方的
“注入点”列表中显示检测到并可注入的
所有注入点,如图6-26所示。
图
6-26 “扫描注入点”标签页
Step
11单击“SQL注入猜解检测
”按钮,在
“注入点”地址栏中输入上面检测到的任
意一条注入点,如图6-27所示。
图
6-27 “SQL注入猜解检测”页面
Step
12单击“开始检测
”按钮并在
“数据
库”列表下方单击“猜解表名”按钮,在
“列名”列表下方单击“猜解列名”按
钮;最后在“检测结果”列表下方单击
“猜解内容”按钮,稍等几秒钟后,可在
检测信息列表中看到SQL注入猜解检测的所
有信息,如图6-28所示。
图
6-28 SQL注入猜解检测的所有信息
2. 使用Domain扫描管理后台
使用Domain扫描管理后台的方法很简
单,具体的操作步骤如下:
Step
01在“Domain注入工具”主窗口中选择
“SQL注入”选项卡,再单击“管理入口
扫描”按钮,进入“管理入口扫描”标签
�
第6章 SQL注入入侵与弱口令入侵
页,如图6-29所示。
图
6-31 “检测设置区”页面
图
6-29 “管理入口扫描”标签页
Step
02在“注入点”地址栏中输入前面扫描
到的注入地址,并根据需要选中“从当前
目录开始扫描”单选按钮,最后单击“扫
描后台地址”按钮,开始扫描并在下方的
列表中显示所有扫描到的后台地址,如图
6-30所示。
图
6-30 扫描后台地址
Step
03单击“检测设置区
”按钮,在该页
面中可看到“设置表名”“设置字段”和
“后台地址”三个列表中的详细内容。通
过单击下方的“添加”和“删除”按钮,
可以对三个列表的内容进行相应的操作,
如图6-31所示。
3. 使用Domain上传WebShell
使用Domain上传WebShell的方法很简
单,具体的操作步骤如下:
Step
01在“Domain注入工具
”主窗口中单
击“综合上传”选项卡,根据需要选择上
传的类型(这里选择类型为:动网上传漏
洞),在“基本设置”栏目中,填写前面
所检测出的任意一个漏洞页面地址并选中
“默认网页木马”单选按钮,在“文件
名”和Cookies文本框中输入相应的内容,
如图6-32所示。
图
6-32 “综合上传”页面
Step
02单击“上传”按钮,即可在“返回信
息”栏目中,看到需要上传的Webshell地
址,如图6-33所示。单击“打开”按钮,可
�
78
反黑命令与攻防从新手到高手(微课超值版)
根据上传的Webshell地址打开对应页面。
图6-33 上传Webshell地址
6.1.4 SQL入侵的安全防范
随着互联网逐渐普及,基于Web的各种
非法攻击也不断涌现和升级,很多开发人
员被要求使他们的程序变得更安全可靠,这
也逐渐成为这些开发人员共同面对的问题和
责任。由于目前SQL注入入侵被大范围地使
用,因此对其进行防御非常重要。
1. 对用户输入的数据进行过滤
要防御SQL注入,用户输入的变量就
绝对不能直接被嵌入到SQL语句中,所以必
须对用户输入内容进行过滤,也可以使用
参数化语句将用户输入嵌入到语句中,这
样可以有效地防止SQL注入式入侵。在数据
库的应用中,可以利用存储过程实现对用
户输入变量的过滤,例如可以过滤掉存储
过程中的分号,这样就可以有效避免SQL注
入入侵。
总之,在不影响数据库应用的前提
下,可以让数据库拒绝分号分隔符、注释
分隔符等特殊字符的输入。因为,分号分
隔符是SQL注入式入侵的主要帮凶,而注释
只有在数据设计时用得到,一般用户的查
询语句是不需要注释的。把SQL语句中的这
些特殊符号拒绝掉,即使在SQL语句中嵌入
了恶意代码,也不会引发SQL注入式入侵。
2. 使用专业的漏洞扫描工具
黑客目前通过自动搜索攻击目标并实
施攻击,该技术甚至可以轻易地被应用于
其他的Web架构中的漏洞。企业应当投资于
一些专业的漏洞扫描工具,如Web漏洞扫描
器,如图6-34所示。一个完善的漏洞扫描程
序不同于网络扫描程序,专门查找网站上
的SQL注入式漏洞,最新的漏洞扫描程序也
可查找最新发现的漏洞。程序员应当使用
漏洞扫描工具和站点监视工具对网站进行
测试。
图6-34 Web漏洞扫描器
3. 对重要数据进行验证
MD5(Message-Digest Algorithm5)又
称为信息摘要算法,即不可逆加密算法,对重
要数据用户可以MD5算法进行加密。
在SQL Server数据库中,有比较多的用
户输入内容验证工具,可以帮助管理员来
对付SQL注入式入侵。例如,测试字符串
变量的内容,只接受所需的值;拒绝包含
二进制数据、转义序列和注释字符的输入
内容;测试用户输入内容的大小和数据类
型,强制执行适当的限制与转换等。这些
措施既能有助于防止脚本注入和缓冲区溢
出入侵,还能防止SQL注入式入侵。
总之,通过测试类型、长度、格式和
反黑命令与攻防从新手到高手(微课超值版)
根据上传的Webshell地址打开对应页面。
图6-33 上传Webshell地址
6.1.4 SQL入侵的安全防范
随着互联网逐渐普及,基于Web的各种
非法攻击也不断涌现和升级,很多开发人
员被要求使他们的程序变得更安全可靠,这
也逐渐成为这些开发人员共同面对的问题和
责任。由于目前SQL注入入侵被大范围地使
用,因此对其进行防御非常重要。
1. 对用户输入的数据进行过滤
要防御SQL注入,用户输入的变量就
绝对不能直接被嵌入到SQL语句中,所以必
须对用户输入内容进行过滤,也可以使用
参数化语句将用户输入嵌入到语句中,这
样可以有效地防止SQL注入式入侵。在数据
库的应用中,可以利用存储过程实现对用
户输入变量的过滤,例如可以过滤掉存储
过程中的分号,这样就可以有效避免SQL注
入入侵。
总之,在不影响数据库应用的前提
下,可以让数据库拒绝分号分隔符、注释
分隔符等特殊字符的输入。因为,分号分
隔符是SQL注入式入侵的主要帮凶,而注释
只有在数据设计时用得到,一般用户的查
询语句是不需要注释的。把SQL语句中的这
些特殊符号拒绝掉,即使在SQL语句中嵌入
了恶意代码,也不会引发SQL注入式入侵。
2. 使用专业的漏洞扫描工具
黑客目前通过自动搜索攻击目标并实
施攻击,该技术甚至可以轻易地被应用于
其他的Web架构中的漏洞。企业应当投资于
一些专业的漏洞扫描工具,如Web漏洞扫描
器,如图6-34所示。一个完善的漏洞扫描程
序不同于网络扫描程序,专门查找网站上
的SQL注入式漏洞,最新的漏洞扫描程序也
可查找最新发现的漏洞。程序员应当使用
漏洞扫描工具和站点监视工具对网站进行
测试。
图6-34 Web漏洞扫描器
3. 对重要数据进行验证
MD5(Message-Digest Algorithm5)又
称为信息摘要算法,即不可逆加密算法,对重
要数据用户可以MD5算法进行加密。
在SQL Server数据库中,有比较多的用
户输入内容验证工具,可以帮助管理员来
对付SQL注入式入侵。例如,测试字符串
变量的内容,只接受所需的值;拒绝包含
二进制数据、转义序列和注释字符的输入
内容;测试用户输入内容的大小和数据类
型,强制执行适当的限制与转换等。这些
措施既能有助于防止脚本注入和缓冲区溢
出入侵,还能防止SQL注入式入侵。
总之,通过测试类型、长度、格式和
�
范围来验证用户输入,过滤用户输入的内
容,这是防止
SQL注入式入侵的常见并且行
之有效的措施。
6.2 通过弱口令实现入侵
在网络中,每台计算机的操作系统都
不是完美的,都会存在着这样或那样的漏
洞信息以及弱口令等,如NetBios信息、
Snmp信息、NT-Server弱口令等。
6.2.1 制作黑客字典
黑客在进行弱口令扫描时,有时并
不能得到自己想要的数据信息,这时就需
要通过黑客掌握的相关信息来制作自己
的黑客字典,从而尽快破解出对方的密码
信息。目前网上有大量的黑客字典制作工
具,常用的有流光、易优超级字典生成
器等。
使用流光可以制作黑客字典,具体操
作步骤如下:
Step
01在下载并安装流光软件之后,再打开
其主窗口,如图6-35所示。
图
6-35 “流光”主窗口
Step
02选择“工具”→“字典工具”→“黑
客字典工具III-流光版”菜单项,或使用
Ctrl+H快捷键,可打开“黑客字典流光版”
对话框,如图6-36所示。
第6章 SQL注入入侵与弱口令入侵
Step
03选择“选项”选项卡,在其中确定字
符的排列方式,根据要求勾选“仅仅首字
母大写”复选框,如图6-37所示。
图
6-36 “黑客字典流光版”对话框
图
6-37 “选项”选项卡
Step
04选择“文件存放位置”选项卡,进入
文件存放设置界面,如图6-38所示。
Step
05单击“浏览”按钮,打开“另存为”
对话框,在“文件名”文本框中输入文件
名,如图6-39所示。
Step
06单击“保存”按钮,返回“黑客字典
流光版”对话框,可看到设置的文件存放
位置,如图6-40所示。
Step
07单击“确定”按钮,可看到设置好的
�
字典属性,如图6-41所示。钮,生成密码字典,如图6-42所示即为打开
的生成字典文件。
图
6-38 “文件存放位置”选项卡
图
6-39 “另存为”文本框
图
6-41 “字典属性”对话框
图
6-42 生成的字典文件
6.2.2 获取弱口令信息
目前,网络上有很多弱口令扫描工具,
常用的有X-Scan、流光等,利用这些扫描
工具可以探测目标主机中的NT-Server弱口
令、SSH弱口令、FTP弱口令等。
1. 使用X-Scan扫描弱口令
使用X-Scan扫描弱口令的操作步骤如下:
Step
01在X-Scan主窗口中选择“扫描”→
“扫描参数”菜单项,打开“参数设置”
对话框,在左边的列表中选择“全局设
置”→“扫描模块”选项,在其中勾选相
应弱口令复选框,如图6-43所示。
Step
02选择“插件设置
”→“字典文件
”
选项,在右边的列表中选择相应的字典文
件,如图6-44所示。
图
6-40 设置文件存放位置
Step
08如果和要求一致,则单击“开始”按
Step
03选择“检测范围”选项,可设置扫描
IP地址的范围,在“指定IP范围”文本框中
�
可输入需要扫描的IP地址或IP地址段,如图
6-45所示。
图
6-43 设置扫描模块
图
6-44 设置字典文件
图
6-45 设置
IP范围
Step
04参数设置完毕后,单击“确定”按
钮,返回“X-Scan”主窗口,在其中单击
“扫描”按钮,可根据自己的设置进行扫
描,等待扫描结束之后,会弹出“检测报
告”窗口,从中可看到目标主机中存在的
弱口令信息,如图6-46所示。
第6章 SQL注入入侵与弱口令入侵
图
6-46 扫描结果显示
2. 使用流光探测扫描弱口令
使用流光可以探测目标主机的POP3、
SQL、FTP、HTTP等弱口令。下面具体
介绍使用流光探测SQL弱口令的具体操作
步骤:
Step01
在流光的主窗口中,选择
“探
测”→“高级扫描工具”菜单项,打开
“高级扫描设置”对话框,在“设置”选
项卡中填入起始IP地址、结束IP地址,并选
择目标系统之后,再在“检测项目”列表
中勾选“SQL”复选框,如图6-47所示。
图
6-47 “高级扫描设置”对话框
Step
02选择“SQL”选项卡,在其中勾选
“对SA密码进行猜解”复选框,如图6-48
所示。
�
图
6-48 “SQL”选项卡
Step
03单击“确定”按钮,打开“选择流光
主机”对话框,如图6-49所示。
图
6-49 “选择流光主机”对话框
Step
04单击“开始”按钮,开始扫描,扫描
结果如图6-50所示。在其中可以看到如下主
机的SQL的弱口令。
SQL-> 猜解主机 192.168.0.7 端口 1433
...sa:123
SQL-> 猜解主机 192.168.0.16 端口
1433 ...sa:NULL
图
6-50 “扫描结果”窗口
6.2.3 入侵SQL主机
在获得
SQL服务器的管理员账号和密
码后,入侵者就已经获得了
SQL服务器的最
高权限,下面以流光自带的
SQL工具为例介
绍其入侵过程,具体的操作步骤如下。
Step
01在流光的主窗口中选择“工具(T)”→
“MSSQL工具”→“SQL远程命令”或直
接使用快捷键
Ctrl+Q,打开“SQL远程命
令工具”对话框,在“主机”文本框中输
入要连接主机的IP地址:192.168.0.7,然后
输入用户名和密码,如图6-51所示。
图
6-51 “SQL远程命令”对话框
Step
02单击“连接”按钮,如果用户名和密
码正确,就会得到
SQL服务器的命令窗口,
在其中可以执行相应的DOS命令进而获取
入侵主机的信息,如图6-52所示。
图
6-52 SQL服务器命令窗口
6.2.4 弱口令入侵的防范
常见的弱口令指的是仅包含简单数字
和字母的口令,如
123、abc等,这样的口令
很容易被别人破解,从而使用户的计算机
面临风险,因此不推荐用户使用。用户口
令最好由字母、数字和符号混合组成,并
且至少要达到8位的长度。
用户设置的口令不够安全是获取弱口令
的前提,因此在设置口令时应注意以下事项:
(1)杜绝使用空口令或系统默认的口令,
因为这些口令众所周知,为典型的弱口令。
�
(2)口令长度不小于
8个字符。
(3)口令不可为连续的某个字符(如:
AAAAAAAA)或重复某些字符的组合(如:
tzf.tzf.)。
(4)口令尽量为大写字母(
A~Z)、小
写字母(
a~z)、数字(
0~9)和特殊字符四
类字符的组合。每类字符至少包含一个。
如果某类字符只包含一个,那么该字符不
应为首字符或尾字符。
(5)口令中避免包含本人、父母、子女
和配偶的姓名和出生日期、纪念日期、登
录名、电子邮箱地址等与本人有关的信息,
以及字典中的单词。
(6)口令中避免使用数字或符号代替
某些字母的单词。
6.3 实战演练
6.3.1 实战1:检测网站的安全性
360网站安全检测平台为网站管理者提
供了网站漏洞检测、网站挂马实时监控、
网站篡改实时监控等服务。
使用360网站安全检测平台检测网站安
全的操作步骤如下。
Step
01在浏览器中输入360网站安全检测平
台的网址http://webscan.360.cn/,打开360网
站安全的首页,在首页中输入要检测的网
站地址,如图6-53所示。
图
6-53 输入网站地址
Step
02单击“检测一下”按钮,开始对网站
第6章 SQL注入入侵与弱口令入侵
进行安全检测,并给出检测的结果,如图
6-54所示。
图
6-54 检测的结果
Step
03如果检测出来网站存在安全漏洞,就
会给出相应的评分,然后单击“我要更新
安全得分”按钮,就会进入360网站安全修
复界面,在对站长权限进行验证后,就可
以修复网站安全漏洞了,如图6-55所示。
图
6-55 修复网站安全漏洞
6.3.2 实战2:查看网站的流量
使用CNZZ数据专家可以查看网站流
量,
CNZZ数据专家是全球最大的中文网
站统计分析平台,为各类网站提供免费、
安全、稳定的流量统计系统与网站数据服
务,帮助网站创造更大价值。使用CNZZ数
据专家查看网站流量的具体操作如下。
Step
01在浏览器中输入网址“http://www.
cnzz.com/”,打开“CNZZ数据专家
”网站
的主页,如图6-56所示。
�
Step
04在“添加站点
”界面中输入相关信
息,如图6-59所示。
图
6-56 “CNZZ数据专家”网主页
Step
02单击“注册”按钮,进入创建用户
界面,根据提示输入相关信息,如图6-57
所示。
图
6-59 输入相关信息
Step
05单击“确认添加站点
”按钮,进入
“站点设置”界面,如图6-60所示。
图
6-57 输入注册信息
Step
03单击“同意协议并注册”按钮,注册
成功并进入“添加站点”界面,如图6-58
所示。
图
6-60 “站点设置”界面
Step
06在“获取代码”选项的“统计代码”
界面中单击“复制到剪切板”按钮,根据需
要复制代码,如图6-61所示。
图
6-58 “添加站点”界面
图
6-61 复制代码
�
Step
07将代码插入到页面源码中,如图
6-62
所示。
图
6-62 插入源码
Step
08保存并预览效果,单击“站长统计”
超链接,如图6-63所示。
图
6-63 预览效果
第6章 SQL注入入侵与弱口令入侵
Step
09进入“查看用户登录”界面,在其中
输入查看密码,如图6-64所示。
图
6-64 “查看用户登录”界面
Step
10单击“查看数据”按钮,进入查看界
面,可查看网站的浏览量,如图6-65所示。
图
6-65 查看网站的浏览量
�
第7章 远程入侵Windows系统
远程控制是在网络上由一台计算机(主控端/客户端)远距离去控制另一台计算机
(被控端/服务器端)的技术。远程一般是指通过网络控制远端计算机,和操作自己的计
算机一样。随着网络的高度发展,计算机的管理及技术支持的需要,远程操作及控制技术
越来越引起人们的关注。本章就来介绍远程入侵Windows系统的方法以及防护技术。
7.1 IPC$的空连接漏洞
IPC$(Internet Process Connection)
是Windows系统特有的一项管理功能,是
微软公司专门为方便用户使用计算机而
设计的,其主要的功能是管理远程计算
机。如果入侵者能够与远程主机成功建立
IPC$连接,就可以完全地控制该远程主
机,此时入侵者即使不使用入侵工具,
也可以实现远程管理Windows系统的计
算机。
7.1.1 IPC$概述
IPC$是共享“命名管道”的资源。它
是为了让进程间通信而开放的命名管道,
通过提供可信任的用户名和口令,连接双
方可以建立安全的通道并以此通道进行加
密数据的交换,从而实现对远程计算机的
访问。
Windows系统在安装完成之后,自动设
置共享的目录为:C盘、D盘、E盘、F盘、
Admin目录(
C:\Windows)等,即为
C$、
D$、E$、F$、Admin$等。但这些共享是隐
藏的,只有管理员可对其进行远程操作,
在“命令提示符”窗口中键入“net share”
命令,可查看本机共享资源,如图
7-1
所示。
图
7-1 查看本机共享资源
7.1.2 认识空连接漏洞
IPC$本来要求客户机要有足够权限才
能连接到目标主机,但IPC$连接漏洞允许
客户端只使用空用户名、空密码即可与目
标主机成功建立连接。在这种情况下,入
侵者利用该漏洞可以与目标主机进行空连
接,但无法执行管理类操作,如不能执行
映射网络驱动器、上传文件、执行脚本等
命令。虽然入侵者不能通过该漏洞直接得
到管理员权限,但也可用来探测目标主机
的一些关键信息,在“信息搜集”中发挥
一定作用。
通过IPC$空连接获取信息的具体操作
步骤如下:
Step01
在
“命令提示符
”窗口中输入
“net use \\192.168.3.25 "123" /user:
"administrator"”命令建立IPC$空连接,如
果空连接建立成功,则会出现“命令成功
完成”的提示信息,如图7-2所示。
�
图
7-2 建立空连接
Step
02在“命令提示符”窗口中输入“net
time \\192.168.3.25”命令,可查看目标主机
的时间信息,如图7-3所示。
图
7-3 查看目标主机的时间信息
7.1.3 IPC$安全解决方案
为了避免入侵者通过建立IPC$连接入
侵计算机,需要采取一定的安全措施来确
保自己的计算机安全,常见的解决方法是
删除默认共享与关闭Server服务。
1. 删除默认共享
为阻止入侵者利用IPC$入侵,可先删
除默认共享。具体方法为:在“计算机管
理”窗口左窗格的功能树中单击“系统工
具”→“共享文件夹”→“共享”分支,
在右窗格中显示的就是本机共享文件夹,
选择需要关闭共享的文件夹,然后右击鼠
标,在弹出的快捷菜单中选择“停止共
享”菜单项即可,如图7-4所示。
图
7-4 停止共享
第7章 远程入侵Windows系统
2. 关闭Server服务
如果关闭Server服务,IPC$和默认共
享便不存在,具体操作方法为:选择“
”
→“控制面板”→“管理工具”→“服
务”菜单项,打开“服务管理器”窗口,
在服务列表中选择
Server服务,然后右击
鼠标,在弹出的快捷菜单中选择“停止”
选项即可,如图7-5所示。
图
7-5 “停止”选项
另外,还可以使用“net stop server”命
令来将其关闭,但只能当前生效一次,系
统重启后Server服务仍然会自动开启,如图
7-6所示。
图
7-6 关闭
Server服务
7.2 通过注册表实现入侵
Windows注册表是帮助Windows控制硬
件、软件、用户环境和Windows界面的一组
数据文件。众多的恶意插件、病毒、木马
等总会想尽办法修改系统的注册表,使得
系统安全处于风险之中。如果能给注册表
加一道安全屏障,那么,注册表的安全性
就会提高。
�
7.2.1 查看注册表信息
注册表(Registry)是一个巨大的树状
分层的数据库,记录了用户安装在机器上
的软件和每个程序的相互关联关系,包含
了计算机的硬件配置、自动配置的即插即
用设备和已有的各种设备说明、状态属性
以及各种状态信息和数据等。
查看注册表的方法很简单,在“运
行”对话框中输入“regedit”命令,如图
7-7所示。单击“确定”按钮,打开“注册
表编辑器”窗口,在其中可查看注册表信
息,如图7-8所示。
图
7-7 “regedit”命令
图
7-8 注册表信息
Windows的注册表有5大根键,介绍
如下。
(1)HKEY_LOCAL_MACHINE。
包含关于本地计算机系统的信息,包
括硬件和操作系统数据,如总线类型、系
统内存、设备驱动程序和启动控制数据。
(2)HKEY_CLASSES_ROOT。
包含由各种OLE技术使用的信息和文
件类别关联数据。
(3)HKEY_CURRENT_USER。
包含当前以交互方式登录的用户的配
置文件,包括环境变量、桌面设置、网络
连接、打印机和程序首选项。
(4)HKEY_USERS。
包含关于动态加载的用户配置文件和
默认的配置文件的信息。
(5)HKEY_CURRENT_CONFIG。
包含在启动时由本地计算机系统使用
的硬件配置文件的相关信息,该信息用于
配置一些设置,如要加载的设备驱动程序
和显示时要使用的分辨率。
7.2.2 远程开启注册表服务功能
入侵者一般都是通过远程进入目标主
机注册表的,因此,如果要连接远程目标
主机的“网络注册表”实现注册表入侵,
除了能成功建立IPC$连接外,还需要远
程目标主机已经开启了“远程注册表服
务”。其具体的操作步骤如下。
Step
01建立IPC$连接,如图7-2所示。
Step
02在“计算机管理”的窗口中单击“服
务和应用程序”→“服务”分支,选择
“Remote Registry”文件,如图7-9所示。
图
7-9 “计算机管理”窗口
Step
03右击“Remote Registry”文件并在弹
出的快捷菜单中选择“属性”菜单项,打
开“Remote Registry的属性(本地计算机属
性)”对话框,在“常规”选项卡的“启
动类型”下拉列表中选择“自动”类型,
单击“应用”按钮,则“服务状态”组合
框中的“启动”按钮将被激活,如图7-10
所示。
�
第7章 远程入侵Windows系统
图
7-12 “选择计算机”对话框
Step
02单击“确定”按钮,连接网络注册表
成功,这样就可以通过该工具在本地修改
远程注册表。这种方式得到的网络注册表
只有两项,如图7-13所示。
图
7-13 连接网络注册表成功
Step
03修改完远程主机的注册表后,要断开
网络注册表。选择“192.168.3.25”,然后右
击鼠标,在弹出的快捷菜单中选择“断开
连接”选项即可断开网络注册表,如图7-14
所示。
图
7-10 激活“启动”按钮
Step
04单击“启动”按钮,就可以开启远程
主机服务了,如图7-11所示。
图
7-11 启动注册表服务功能
7.2.3 连接远程主机的注册表
入侵者可以通过Windows自带的工具连
接远程主机的注册表并进行修改,这会给
远程计算机带来严重的伤害,在前面开启
远程注册表服务的基础上连接远程主机的
操作步骤如下。
Step
01建立IPC$连接,然后在“注册表编辑
器”窗口中选择“文件”→“连接网络注
册表”菜单项,打开“选择计算机”对话
框,在“输入要选择的对象名称”文本框
中输入远程主机的IP地址,如图7-12所示。
图
7-14 断开网络注册表
7.2.4 优化并修复注册表
Registry Mechanic是一款“傻瓜型”注
�
册表检测修复工具。即使你一点都不懂注
册表,也可以在几分钟之内修复注册表中
的错误。使用Registry Mechanic修复注册表
的具体操作步骤如下。
Step
01下载并安装Registry Mechanic程序,
并打开其工作界面,如图7-15所示。
图
7-15 工作界面
Step
02单击“开始扫描
”按钮,打开“扫
描结果”窗口,在其中显示了Registry
Mechanic扫描注册表的进度和发现问题的
个数,如图7-16所示。
图
7-16 “扫描结果”窗口
Step03
扫描完成后,会在“扫描结果”窗
口中显示扫描出来的问题列表,如图7-17
所示。
Step
04单击“修复”按钮,修复扫描出来的
注册表错误信息。修复完毕后,将弹出修
复完成的信息提示,如图7-18所示。
Step
05在“修复完成”窗口中单击“继续”
按钮,打开Registry Mechanic操作界面,如
图7-19所示。
图
7-17 显示扫描出来的问题列表
图
7-18 修复完成的信息提示
图
7-19 Registry Mechanic操作界面
Step
06在左侧的设置区域中选择
“管理”
选项,打开“管理”设置界面,如图7-20
所示。
Step
07单击“设置”按钮,打开“设置”界
面,在“选项”设置区域中选择“常规”
选项,在右侧可以根据需要设置扫描并修
复选项、是否打开日志文件以及语言等信
息,如图7-21所示。
�
第7章 远程入侵Windows系统
图
7-20 “管理”设置界面
图
7-23 “扫描路径”选项
图
7-21 “常规”选项
Step
08选择“自定义扫描”选项,在右侧的
“您希望自定义扫描期间扫描哪些分区?”
列表中选择需要扫描的分区,如图7-22所示。
图
7-24“忽略列表”选项
Step
11选择“调度程序”选项,在右侧可以
对任务的相关选项进行设置,如图7-25所
示,单击“保存”按钮,保存设置。
图
7-22 “自定义扫描”选项
Step
09选择“扫描路径
”选项,在右侧的
“您希望扫描涵盖哪些位置?”列表中选
择扫描的路径,如图7-23所示。
Step
10选择“忽略列表”选项,在右侧可以
通过“添加”按钮设置忽略的值和键,如
图7-24所示。
图
7-25 “调度程序”选项
7.3 实现远程计算机管理入侵
当入侵者与远程主机建立
IPC$连接
后,就可以控制该远程主机了。此时,入
侵者可以使用Windows系统自带的“计算机
�
管理”工具来远程管理目标主机。
7.3.1 计算机管理概述
计算机管理是管理工具集,可以用于
管理单个的本地或远程计算机。有3种方法
可以打开“计算机管理”窗口。
(1)在
Windows10操作系统中,选择
“
”→“控制面板”→“管理工具”→“计
算机管理”菜单项,打开“计算机管理”
窗口。
(2)右击桌面上的“此电脑”图标,
在弹出的快捷菜单中选择“管理”菜单项,
打开“计算机管理”窗口。
(3)通过在“运行”对话框中输入
“compmgmt.msc”命令,打开“计算机管理”
窗口。
“计算机管理”窗口中有
3个项目,包
括系统工具、存储以及服务和应用程序,
如图
7-26所示。
图
7-26 “计算机管理”窗口
可以使用“计算机管理”窗口做下列
操作:
(1)监视系统事件,如登录时间和应
用程序错误。
(2)创建和管理共享资源。
(3)查看已连接到本地或远程计算机
的用户的列表。
(4)启动和停止系统服务,如“任务
计划”和“索引服务”。
(5)设置存储设备的属性。
(6)查看设备的配置以及添加新的设
备驱动程序。
(7)管理应用程序和服务。
7.3.2 连接到远程计算机并开启服务
在“计算机管理”窗口与远程主机建
立连接,并在其中开启相应的任务,具体
的操作步骤如下。
Step
01在“计算机管理
”窗口中选择
“计
算机管理”选项,然后右击,在弹出的快
捷菜单中选择“连接到另一台计算机”菜
单项,打开“选择计算机”对话框,选中
“另一台计算机”单选按钮,输入目标计
算机的IP地址,如图7-27所示。
图
7-27 “选择计算机”对话框
Step
02单击“确定”按钮,在“计算机管
理”窗口左侧“计算机管理”目录中显示
目标计算机的IP地址,如图7-28所示。
图
7-28 目标主机的
IP地址
Step
03单击“服务和应用程序”前面的“+”
来展开项目,在展开项目中单击“服务”项
目,然后在右边列表中选择Task Scheduler服
务,如图7-29所示。
�
第7章 远程入侵Windows系统
图
7-29 选择“Task Schduler”服务
Step
04右击该服务,在弹出的快捷菜单中选
择“属性”选项,打开“Task Scheduler 的
属性(192.168.3.25)”对话框,把“启动
类型”设置为“自动”选项,然后在“服
务状态”中单击“启动”按钮来启动Task
Scheduler服务,这样设置后,该服务会在
每次开机时自动启动,如图7-30所示。
图
7-30 启动
Task Schduler服务
7.3.3 查看远程计算机信息
在“计算机管理”窗口中列出了一些
关于系统硬件、软件、事件、日志、用户
等信息,这些信息对于主机的安全至关重
要,计算机管理的远程连接为入侵者透露
了相当多的软件和硬件信息。
1. 事件查看器
事件查看器用来查看关于“应用程
序”“安全性”“系统”这3个方面的日
志,事件查看器中显示事件的类型包括错
误、警告、信息、成功审核、失败审核
等,如图7-31所示。
图
7-31 事件查看器中的日志
(1)应用程序日志。
应用程序日志包含由应用程序或系统
程序记录的事件。例如,数据库程序可在
应用日志中记录文件错误。
(2)系统日志。
系统日志包含Windows系统组件记录的
事件。例如,在启动过程将加载的驱动程序
或其他系统组件的失败记录在系统日志中。
(3)安全日志。
安全日志可以记录安全事件,如有效
的和无效的登录尝试,以及与创建、打开
或删除文件等资源使用相关联的事件。
通过查看系统日志,管理员不仅能够
得知当前系统的运行状况、健康状态,而
且能够通过登录成功或失败审核来判断是
否有入侵者尝试登录该计算机,甚至可以
从这些日志中找出入侵者的IP地址。
2. 共享信息及共享会话
通过“计算机管理”可以查看主机的
共享信息和共享会话。在“共享”中可以
查看主机开放的共享资源,如图7-32所示。
管理员也可以通过“会话”来查看计算机
�
94
反黑命令与攻防从新手到高手(微课超值版)
是否与远程主机存在IPC$连接,借此获取
入侵者的IP地址。如图7-33所示,其中IP地
址为“192.168.3.25”的计算机存在连接。
图7-32 查看本机的开放资源
图7-33 查看与远程主机存在的IPC$连接
3. 用户和组
通过“计算机管理”窗口可以查看远
程主机用户和组的信息,如图7-34所示。不
过这里不能执行“新建用户”和“删除用
户”操作。
图7-34 查看用户和组
7.4 通过远程控制软件实现远
程管理
在操作系统中加入了远程控制功能,
这一功能本是方便用户的,但是却被黑客
们利用,下面介绍通过远程控制软件实现
远程管理的方法。
7.4.1 什么是远程控制
随着网络技术的发展,目前很多远程
控制软件提供通过Web页面以Java技术来控
制远程电脑,这样可以实现不同操作系统
下的远程控制。
远程控制的应用体现在如下几个方面。
(1)远程办公。这种远程的办公方式
不仅大大缓解了城市交通状况,还免去了
人们上下班路上奔波的辛劳,更可以提高
企业员工的工作效率和工作兴趣。
(2)远程技术支持。一般情况下,远
距离的技术支持必须依赖技术人员和用户
之间的电话交流来进行,这种交流既耗时
又容易出错。有了远程控制技术,技术人
员就可以远程控制用户的计算机,就像直
接操作本地电脑一样,只需要用户的简单
帮助就可以看到该机器存在问题的第一手
材料,很快找到问题的所在并加以解决。
(3)远程交流。商业公司可以依靠远程
技术与客户进行远程交流。采用交互式的
教学模式,通过实际操作来培训用户,从
专业人员那里学习知识就变得十分容易。
教师和学生之间也可以利用这种远程控制
技术实现教学问题的交流,学生可以直接
在电脑中进行习题的演算和求解,在此过
程中,教师能够看到学生的解题思路和步
骤,并加以实时的指导。
(4)远程维护和管理。网络管理员或
者普通用户可以通过远程控制技术对远端
计算机进行安装和配置软件、下载并安装
软件修补程序、配置应用程序和进行系统
软件设置等操作。
反黑命令与攻防从新手到高手(微课超值版)
是否与远程主机存在IPC$连接,借此获取
入侵者的IP地址。如图7-33所示,其中IP地
址为“192.168.3.25”的计算机存在连接。
图7-32 查看本机的开放资源
图7-33 查看与远程主机存在的IPC$连接
3. 用户和组
通过“计算机管理”窗口可以查看远
程主机用户和组的信息,如图7-34所示。不
过这里不能执行“新建用户”和“删除用
户”操作。
图7-34 查看用户和组
7.4 通过远程控制软件实现远
程管理
在操作系统中加入了远程控制功能,
这一功能本是方便用户的,但是却被黑客
们利用,下面介绍通过远程控制软件实现
远程管理的方法。
7.4.1 什么是远程控制
随着网络技术的发展,目前很多远程
控制软件提供通过Web页面以Java技术来控
制远程电脑,这样可以实现不同操作系统
下的远程控制。
远程控制的应用体现在如下几个方面。
(1)远程办公。这种远程的办公方式
不仅大大缓解了城市交通状况,还免去了
人们上下班路上奔波的辛劳,更可以提高
企业员工的工作效率和工作兴趣。
(2)远程技术支持。一般情况下,远
距离的技术支持必须依赖技术人员和用户
之间的电话交流来进行,这种交流既耗时
又容易出错。有了远程控制技术,技术人
员就可以远程控制用户的计算机,就像直
接操作本地电脑一样,只需要用户的简单
帮助就可以看到该机器存在问题的第一手
材料,很快找到问题的所在并加以解决。
(3)远程交流。商业公司可以依靠远程
技术与客户进行远程交流。采用交互式的
教学模式,通过实际操作来培训用户,从
专业人员那里学习知识就变得十分容易。
教师和学生之间也可以利用这种远程控制
技术实现教学问题的交流,学生可以直接
在电脑中进行习题的演算和求解,在此过
程中,教师能够看到学生的解题思路和步
骤,并加以实时的指导。
(4)远程维护和管理。网络管理员或
者普通用户可以通过远程控制技术对远端
计算机进行安装和配置软件、下载并安装
软件修补程序、配置应用程序和进行系统
软件设置等操作。
�
7.4.2 Windows远程桌面功能
远程桌面功能是Windows系统自带的一
种远程管理工具。它具有操作方便、直观等
特征。如果目标主机开启了远程桌面连接功
能,就可以在网络中的其他主机上连接控
制这台目标主机了。具体操作步骤如下。
Step
01右击“此电脑”图标,在弹出的快捷
菜单中选择“属性”选项,打开“系统”
窗口,如图7-35所示。
图
7-35 “系统”窗口
Step
02单击“运程设置
”链接,打开“系
统属性”对话框,在其中勾选“允许远程
协助连接这台计算机”复选框,设置完毕
后,单击“确定”按钮,完成设置,如图
7-36所示。
图
7-36 “系统属性”对话框
第7章 远程入侵Windows系统
Step
03选择“”→“Windows附件”→
“远程桌面连接”菜单项,打开“远程桌
面连接”窗口,如图7-37所示。
图
7-37 “远程桌面连接”窗口
Step
04单击“显示选项
”按钮,展开即可
看到选项的具体内容。在“常规”选项卡
中的“计算机”下拉文本框中输入需要远
程连接的计算机名称或IP地址;在“用户
名”文本框中输入相应的用户名,如图7-38
所示。
图
7-38 输入连接信息
Step
05选择“显示”选项卡,在其中可以设
置远程桌面的大小、颜色等属性,如图7-39
所示。
Step
06如果需要远程桌面与本地计算机文件
�
进行传递,则需在“本地资源”选项卡下
设置相应的属性,如图7-40所示。
图
7-41 选择驱动器
Step
08单击“连接”按钮,进行远程桌面连
接,如图7-42所示。
图
7-42 远程桌面连接
Step
09单击“连接”按钮,弹出“远程桌面
连接”对话框,在其中显示正在启动远程
连接,如图7-43所示。
图
7-43 正在启动远程连接
图
7-39 “显示”选项卡
图
7-40 “本地资源”选项卡
Step
07单击“详细信息”按钮,打开“本地
设备和资源”对话框,在其中选择需要的
驱动器后,单击“确定”按钮,返回“远
程桌面设置”窗口,如图7-41所示。
Step10
启动远程连接完成后,将弹出
“Windows安全性”对话框,在其中输入密
码,如图7-44所示。
Step
11单击“确定”按钮,会弹出一个信息提示
框,提示用户是否继续连接,如图7-45所示。
Step
12单击“是”按钮,登录远程计算机桌
�
第7章 远程入侵Windows系统
面,此时可以在该远程桌面上进行任何操
作,如图7-46所示。
图
7-44 输入密码
图
7-45 信息提示框
图
7-46 登录远程桌面
另外,在需要断开远程桌面连接时,
只需在本地计算机中单击远程桌面连接窗口
上的“关闭”按钮,弹出断开与远程桌面服
务会话的连接提示框。单击“确定”按钮
即可断开远程桌面连接,如图7-47所示。
图
7-47 断开信息提示框
提示:在进行远程桌面连接之前,需要
双方都勾选“允许远程用户连接到此计算
机”复选框,否则将无法成功创建连接。
7.4.3 使用QuickIP远程控制系统
对于网络管理员来说,往往需要使用
一台计算机对多台主机进行管理,此时就
需要用到多点远程控制技术,而QuickIP就
是一款具有多点远程控制技术的工具。
1. 设置QuickIP服务端
由于QuickIP工具是将服务器端与客户
端合并在一起的,所以在计算机中都是服务
器端和客户端一起安装的,这也是实现一台
服务器可以同时被多个客户机控制、一个客
户机也可以同时控制多个服务器的原因。
配置QuickIP服务器端的具体操作步骤
如下。
Step
01在QuickIP成功安装后,打开QuickIP
安装完成窗口,在其中可以设置是否启动
QuickIP客户机和服务器,在其中勾选“立即运
行QuickIP服务器”复选框,如图7-48所示。
图
7-48 QuickIP安装完成窗口
�
Step
02单击“完成”按钮,打开请立即修改密
码提示框,为了实现安全的密码验证登录,
QuickIP设定客户端必须知道服务器的登录密
码才能进行登录控制,如图7-49所示。
图
7-49 提示修改密码
Step
03单击“确定”按钮,打开“修改本地
服务器的密码”对话框,在其中输入要设
置的密码,如图7-50所示。
图
7-50 输入密码
Step
04单击“确认”按钮,可看到“密码修
改成功”提示框,如图7-51所示。
图
7-51 密码修改成功
Step
05单击“确定”按钮,打开“QuickIP
服务器管理”对话框,在其中即可看到“服
务器启动成功”提示信息,如图7-52所示。
2. 设置QuickIP客户端
在设置完服务端之后,就需要设置
QuickIP客户端。设置客户端相对比较简
单,主要是在客户端中添加远程主机,具
体操作步骤如下。
图
7-52 服务器启动成功
Step01
选择
“
”
→
“所有应用
”
→
“QuickIP”→“QuickIP客户机”菜单
项,打开“QuickIP客户机”主窗口,如图
7-53所示。
图7-53 “QuickIP客户机”主窗口
Step
02单击工具栏中的“添加主机”按钮,
打开“添加远程主机”对话框。在“主
机”文本框中输入远程主机的IP地址,在
“端口”和“密码”文本框中输入在服务
器端设置的信息,如图7-54所示。
Step
03单击“确定”按钮,在“QuickIP客
户机”主窗口中的“远程主机”下可看到
刚刚添加的IP地址了,如图7-55所示。
Step
04单击该
IP地址,从展开的控制功能列
表中可看到远程控制功能十分丰富,这表
示客户端与服务器端的连接已经成功,如
�
图7-56所示。
图
7-54 “添加远程主机”对话框
图
7-55 添加
IP地址
图
7-56 客户端与服务器端连接成功
3. 实现远程控制系统
在成功添加远程主机之后,就可以
利用QuickIP工具对其进行远程控制。由于
QuickIP功能非常强大,这里只介绍几个常用
的功能。实现远程控制的具体步骤如下。
Step
01在“192.168.0.109:7314”栏目下单
击“远程磁盘驱动器”选项,打开“登录
第7章 远程入侵Windows系统
到远程主机”对话框,在其中输入设置的
端口和密码,如图7-57所示。
图
7-57 输入端口和密码
Step
02单击“确认”按钮,可看到远程主机
中的所有驱动器。单击其中的D盘,可看到
其中包含的文件,如图7-58所示。
图
7-58 成功连接远程主机
Step
03单击“远程控制”选项下的“屏幕控
制”子项,稍等片刻后,可看到远程主机
的桌面,在其中可通过鼠标和键盘来完成
对远程主机的控制,如图7-59所示。
图
7-59 远程主机的桌面
Step
04单击“远程控制”选项下的“远程主
机信息”子项,打开“远程信息”窗口,在
其中可看到远程主机的详细信息,如图7-60
所示。
�
图
7-60 “远程信息”窗口
Step
05如果要结束对远程主机的操作,为了
安全起见就应该关闭远程主机。单击“远
程控制”选项下的“远程关机”子项,打
开是否继续控制该服务器对话框。单击
“是”按钮即可关闭远程主机,如图7-61
所示。
图
7-61 信息提示框
Step
06在“192.168.0.109:7314”栏目下单
击“远程主机进程列表”选项,在其中可
看到远程主机中正在运行的进程,如图7-62
所示。
图
7-62 远程主机进程列表信息
Step
07在“192.168.0.109:7314”栏目下单
击“远程主机转载模块列表”选项,在其
中可看到远程主机中装载模块列表,如图
7-63所示。
图
7-63 远程主机转载模块列表信息
Step
08在“192.168.0.109:7314”栏目下单
击“远程主机的服务列表”选项,在其中
可看到远程主机中正在运行的服务,如图
7-64所示。
图
7-64 远程主机的服务列表信息
7.5 远程控制的安全防护技术
要想使自己的计算机不受远程控制入
侵的困扰,就需要用户对自己的计算机进
行相应的保护操作,如开启系统防火墙或
安装相应的防火墙工具等。
�
7.5.1 开启系统Windows防火墙
为了更好地进行网络安全管理,
Windows系统特意为用户提供了防火墙功
能。如果能够巧妙地使用该功能,就可以
根据实际需要允许或拒绝网络信息通过,从
而达到防范攻击、保护系统安全的目的。
使用Windows自带防火墙的具体操作步
骤如下。
Step
01在“控制面板”窗口中双击“Windows
防火墙”图标项,打开“Windows防火墙”
窗口,其中显示此时Windows防火墙已经被
开启,如图7-65所示。
图
7-65 “Windows防火墙”窗口
Step
02单击
“允许程序或功能通过
Windows
防火墙”链接,在打开的窗口中可以设置
哪些程序或功能允许通过Windows防火墙访
问外网,如图7-66所示。
图
7-66 “允许的应用”窗口
第7章 远程入侵Windows系统
Step
03单击“更改通知设置”或“启用或关
闭Windows防火墙”链接,在打开的“自定
义设置”窗口中可以开启或关闭防火墙,
如图7-67所示。
图
7-67 “自定义设置”窗口
Step
04单击“高级设置”链接,进入“高级
设置”窗口,在其中可以对入站、出站、
连接安全等规则进行设定,如图7-68所示。
图
7-68 “高级安全
Windows防火墙”窗口
7.5.2 关闭远程注册表管理服务
远程控制注册表主要是为了方便网络
管理员对网络中的计算机进行管理,但这
样却给黑客入侵提供了方便。因此,必须
关闭远程注册表管理服务。具体的操作步
骤如下。
Step
01在“控制面板”窗口中双击“管理工
�
具”选项,进入“管理工具”窗口,如图
7-69所示。
图
7-69 “管理工具”窗口
Step
02从中双击
“服务”选项,打开“服
务”窗口,在其中可看到本地计算机中的图
7-71 “Remote Registry的属性”对话框
所有服务,如图7-70所示。
图
7-70 “服务”窗口
Step03在“
服务”列表中选中Remote Registry
选项并右击,在弹出的快捷菜单中选择“属
性”菜单项,打开“Remote Registry的属
性”对话框,如图7-71所示。
Step04
单击“停止”按钮,打开“服务控
制”提示框,提示Windows正在尝试停止本
地计算上的一些服务,如图7-72所示。
Step
05在停止服务之后,可返回“Remote
Registry的属性”对话框,此时可看到“服
务状态”已变为“已停止”,单击“确
定”按钮即可完成关闭“允许远程注册表
操作”服务的操作,如图7-73所示。
图
7-72 “服务控制”提示框
图
7-73 关闭远程注册表操作
�
7.5.3 关闭Windows远程桌面功能
关闭Windows远程桌面功能是防止黑客
远程入侵系统的首要工作,具体的操作步
骤如下。
Step
01打开“系统属性”对话框,选择“远
程”选项卡,如图7-74所示。
第7章 远程入侵Windows系统
7.6 实战演练
7.6.1 实战1:禁止访问注册表
几乎计算机中所有针对硬件、软件、
网络的操作都是源于注册表的,如果注册
表被损坏,则整个电脑将会一片混乱,因
此,防止注册表被修改是保护注册表的首
要方法。
用户可以在组策略中禁止访问注册表
编辑器,具体的操作步骤如下。
Step
01选择“”→“运行”菜单项,在打
开的“运行”对话框中输入“gpedit.msc”
命令,如图7-76所示。
图
7-76 “运行”对话框
Step
02单击“确定”按钮,打开“本地组
策略编辑器”窗口,依次单击“用户配
置”→“管理模板”→“系统”项,进入
“系统”界面,如图7-77所示。
图
7-74 “系统属性”对话框
Step
02取消“允许远程协助连接这台计算
机”复选框,选中“不允许远程连接到此
计算机”单选按钮,然后单击“确定”按
钮即可关闭Windows系统的远程桌面功能,
如图7-75所示。
图
7-75 关闭远程桌面功能
图
7-77 “系统”界面
Step
03双击“阻止访问注册表编辑工具”选
项,打开“阻止访问注册表编辑工具”窗
�
口。从中选中“已启用”单选按钮,然后
单击“确定”按钮,完成设置操作,如图
7-78所示。
图
7-78 “阻止访问注册表编辑工具”对话框
Step
04选择“”→“运行”菜单项,在
弹出的“运行”对话框中输入“regedit.
exe”命令,然后单击“确定”按钮,可看
到“注册表编辑已被管理员禁用”提示信
息。此时表明注册表编辑器已经被管理员
禁用,如图7-79所示。
图
7-79 信息提示框
7.6.2 实战2:自动登录操作系统
在安装Windows10操作系统过程中,
需要用户事先创建好登录账户与密码才能
完成系统的安装,那么如何才能绕过密码
而自动登录操作系统呢?具体的操作步骤
如下。
Step
01单击“”按钮,在弹出的
“开始”
屏幕中选择“所有应用”→“Windows系
统”→“运行”菜单命令,如图7-80所示。
图
7-80 “运行”菜单命令
Step
02打开“运行”对话框,在“打开”
文本框中输入control userpasswords2,如图
7-81所示。
图
7-81 “运行”对话框
Step
03单击“确定”按钮,打开“用户账
户”对话框,在其中取消“要使用本计算
机,用户必须输入用户名和密码”复选框
的勾选状态,如图7-82所示。
Step
04单击“确定”按钮,打开“自动登
录”对话框,在其中输入本台计算机的用
户名、密码信息,如图7-83所示。单击“确
定”按钮,这样重新启动本台电脑后,系
统就会不用输入密码而自动登录到操作系
统当中了。
�
105
第7章 远程入侵Windows系统
图7-82 “用户账户”对话框
图7-83 输入密码
图7-82 “用户账户”对话框
图7-83 输入密码
�
反黑命令与攻防从新手到高手(微课超值版)
第8章 系统进程与入侵隐藏技术
在进行网络攻击时,如果不进行隐藏保护,则在攻击的过程中很容易暴露自己的IP地
址等相关信息,那么被入侵者或网络监测机关就可以根据系统日志、系统进程及其他方式
找到入侵者。本章就来介绍系统进程与入侵隐藏技术,主要内容包括恶意进程的追踪与清
除、常见的入侵隐藏技术。
8.1 恶意进程的追踪与清除
在使用计算机的过程中,用户可以利
用专门的系统进程管理工具对计算机中的
进程进行监测,以发现黑客的踪迹,及时
采取相应的措施。
8.1.1 查看系统进程
进程是指正在运行的程序实体,并且
包括这个运行的程序中占据的所有系统资
源。用户通过查看系统进程有无异常,可
以快速判断系统是否存在安全隐患,使用
任务管理器可以查看进程,具体操作步骤
如下。
Step
01在Windows10系统桌面中,单击“”
按钮,在弹出的菜单列表中选择“任务管
理器”菜单命令,如图8-1所示。
图
8-1 “任务管理器”菜单命令
Step
02打开“任务管理器
”窗口,在其中
可看到当前系统正在运行的进程,如图8-2
所示。
图
8-2 “任务管理器”窗口
Step
03在进程列表中选择需要查看的进程,
右击,在弹出的快捷菜单中选择“属性”
菜单命令,如图8-3所示。
图
8-3 “属性”菜单命令
Step
04弹出“browser_broker.exe属性”对
话框,在此可以看到进程的文件类型、描
�
第8章 系统进程与入侵隐藏技术
述、位置、大小、占用空间等属性,如图
发起的程序,如图8-6所示。
8-4所示。
图
8-4 “进程”选项卡
8.1.2 查看进程起始程序
用户通过查看进程的起始程序,可以
判断哪些进程是恶意进程。查看进程起始
程序的具体操作步骤如下。
Step
01在“命令提示符”窗口中输入查看进
程起始程序的
“Netstat –abnov”命令,如
图8-5所示。
图
8-5 输入命令
Step
02按Enter键,在反馈的信息中查看每个
进程的起始程序或文件列表,这样就可以
根据相关的知识来判断是否为病毒或木马
图
8-6 查看进程起始程序
8.1.3 查看系统隐藏进程
Process Explorer是一款增强型的任务
管理器,用户可以使用它管理电脑中的程
序进程,能强行关闭任何程序,包括系统
级别的不允许随便终止的顽固进程。除
此之外,它还详尽地显示计算机信息,
如CPU、内存使用情况等。使用Process
Explorer管理系统进程的操作步骤如下。
Step
01双击下载的Process Explorer进程管理
器,打开其工作界面,在其中可以查看当
前系统中的进程信息,如图8-7所示。
图
8-7 查看进程信息
Step
02选中需要结束的危险进程,选择“进
程”→“结束进程”菜单命令,如图8-8
所示。
Step
03弹出信息提示框,提示用户是否确定
要终止选中的进程,单击“确定”按钮,
结束选中的进程,如图8-9所示。
�
图
8-8 结束进程
图
8-9 信息提示框
Step
04在Process Explorer进程管理器工作界
面中,选择“进程”→“设置优先级”菜
单命令,在弹出的子菜单中为选中的进程
设置优先级,如图8-10所示。
图
8-10 “设置优先级”菜单命令
Step
05利用进程查看器Process Explorer还
可以结束进程树,在结束进程树之前,需
要先在“进程”列表中选择要结束的进程
树,右击鼠标,在弹出的快捷菜单中选择
“结束进程树”选项,如图8-11所示。
Step
06打开“你确定要终止进程树”提示,
单击“确定”按钮结束选定的进程树,如
图8-12所示。
图
8-11 “结束进程树”选项
图
8-12 信息提示框
Step
07在进程查看器Process Explorer中还可
以设置进程的处理器关系,右击需要设置
的进程,在弹出的快捷菜单中选择“设置
亲和性”选项,打开“处理器亲和性”对
话框。在其中勾选相应的复选框后,单击
“确定”按钮即可设置勾选的CPU执行该
进程,如图8-13所示。
图
8-13 “处理器亲和性”对话框
Step
08在进程查看器Process Explorer中还可
以查看进程的相应属性,右击需要查看属
性的进程,在弹出的快捷菜单中选择“属
�
性”选项,打开“smss.exe:412属性”对话
框,如图8-14所示。
图
8-14 “smss.exe:412属性”对话框
Step
09在进程查看器Process Explorer中还
可以找到相应的进程。在Process Explorer主
窗口中选择
“查找
”→“查找进程或句柄
”
菜单项,打开“Process Explorer搜索”对话
框,在其中文本框中输入dll,如图8-15所示。
图
8-15 “Process Explorer搜索”对话框
Step
10单击“搜索”按钮,可列出本地计算机
中所有dll类型的进程,如图8-16所示。
Step
11在进程查看器Process Explorer中可以
查看句柄属性。在Process Explorer主窗口的
工具栏中单击“显示下排窗口”按钮,然
后在“进程”列表中单击某个进程,可在
下面的窗格中显示该进程包含的句柄,如
第8章 系统进程与入侵隐藏技术
图8-17所示。
图
8-16 显示
dll类型的进程
图
8-17 显示进程包含的句柄信息
Step
12在Process Explorer进程管理器工
作界面中,单击工具栏中的CPU选项,打开
“系统信息”对话框,在CPU选项卡下可以查
看当前CPU的使用情况,如图8-18所示。
图
8-18 “系统信息”对话框
Step
13选择“内存”选项卡,在其中可以查
�
看当前系统的系统提交比例、物理内存以
Step16
如果想要一次性查看当前系统信
及提交更改等信息,如图8-19所示。息,可以选择“摘要”选项卡,在打开的
图
8-19 “内存”选项卡
Step
14选择“I/O”选项卡,在其中可以查
看当前系统的I/O信息,包括读取增量、写
入增量、其他增量等,如图8-20所示。
图
8-20 “I/O”选项卡
Step
15选择GPU选项卡,在其中可以查看当
前系统的GPU、专用显存和系统显存的使
用情况,如图8-21所示。
图
8-21 GPU选项卡
界面中可以查看当前系统的CPU、系统提
交、物理内存、I/O的使用情况,如图8-22
所示。
图
8-22 “摘要”选项卡
8.1.4 查看远程计算机进程
在“命令提示符”窗口中运行
tasklist
命令,可以查看远程计算机反馈回来的进
程列表信息。这里要用到tasklist命令的三
个参数:/s、/u、/p。
(1)“/s”:指定连接到的远程系统。
(2)“/u”:指定在哪个用户中执行
tasklist命令。
(3)“/p”:指定用户密码。
例如,在“命令提示符”窗口中
运行“tasklist /s 192.168.3.37 /u Administrator
/p123”命令,可得到远程IP地址为
“192.168.3.37”的计算机反馈回来的进程
列表信息,如图8-23所示。
图
8-23 远程计算机列表
�
8.1.5 查杀系统中病毒进程
一般的进程都可以在“Windows资源管
理器”中直接关闭,但有一些顽固的病毒进
程却很不容易关闭,这时可以根据进程号
或进程名进行查杀。具体操作步骤如下:
Step
01在“命令提示符”窗口中输入tasklist
命令,可显示本地计算机中运行的进程
信息,包括进程名与PID值等,如图8-24
所示。
图
8-24 进程信息
Step02
在
“命令提示符
”窗口中输入
“taskkill /pid 4016 -t -f”命令,可强制关闭
PID值为4016的进程,如图8-25所示。
图
8-25 强制关闭
PID值为
4016的进程
Step03
在
“命令提示符
”窗口中输入
“taskkill /f /im QQ.exe”命令,可强制关闭进
程名为“QQ”的进程,如图8-26所示。
图
8-26 关闭进程名为
QQ的进程
8.2 入侵隐藏技术
黑客无论是出于什么样的目的进行攻
第8章 系统进程与入侵隐藏技术
击,都会给被入侵者造成一定的影响。因
此,用户一般都会使用保护措施来隐藏自
己的
IP地址,以免直接暴露给远程主机
/服
务器,以实现自我保护,这就是入侵隐藏
技术,而“代理”或“跳板”技术就是入
侵者常用的隐藏手段。
8.2.1 获取代理服务器
使用代理服务器可以实现隐藏保护。
代理服务器是介于浏览器和Web服务器之间
的另一台服务器,其主要功能就是代理网
络用户去取得网络信息,类似于网络信息
的中转站。如图8-27所示即为代理服务器的
工作流程。
图
8-27 代理服务器的工作流程
目前,获取代理服务器的方法有很多,
应用最为广泛就是使用搜索引擎,这里以百
度为例,利用浏览器打开百度搜索,并输入
关键字“免费代理服务器”之后,单击“百
度一下”按钮,可找到许多免费代理服务
的网站,如图
8-28所示。用户可以进入代理
网站,每个网站都有相应的代理记录。
图
8-28 搜索结果显示
�
除了在网络上获取代理服务器外,还
可以使用“代理猎手”来获取。代理猎手
是一款集搜索与验证于一身的软件,可以
快速查找网络上的免费代理服务器,其主
要特点为:支持多网址段、多端口自动查
询;支持自动验证并给出速度评价等。
1. 添加搜索任务
在利用“代理猎手”查找代理服务器
之前,还需要添加相应的搜索任务,具体
的操作步骤如下。
Step
01在启动代理猎手的过程中,“代理
猎手”还会给出一些警告信息,如图8-29
所示。
Step
03在“代理猎手”窗口中选择“搜索任
务”→“添加任务”菜单项,可打开“添
加搜索任务”对话框,在“任务类型”下
拉列表中有“定时开始搜索”“搜索完毕
关机”和“搜索网址范围”三个下拉选
项,这里选取“搜索网址范围”选项,如
图8-31所示。
图
8-31 “添加搜索任务”对话框
Step
04单击“下一步”按钮,进入“地址范
围”设置界面,如图8-32所示。
图
8-29 警告信息框
Step
02单击“我知道了,快让我进去吧!”
按钮,进入“代理猎手”窗口,如图8-30
所示。
图
8-32 “地址范围”设置界面
Step
05单击“添加”按钮,弹出“添加搜索
IP范围
”对话框,在其中根据实际情况设置
IP地址范围,如图8-33所示。
Step
06单击“确定”按钮,完成IP地址范围
的添加,如图8-34所示。
图
8-30 “代理猎手”窗口
�
第8章 系统进程与入侵隐藏技术
Step
09在其中根据实际情况设置
IP地址范围并
输入相应地址范围说明之后,单击“确定”按
钮,可完成添加操作,如图8-37所示。
Step07在
“地址范围”设置界面中若单击
“选取已定义的范围
”按钮,则可弹出“预定
义的IP地址范围”对话框,如图8-35所示。
图
8-33 设置搜索范围
图
8-37 完成预定义的
IP地址范围的添加
Step
10如果在
“预定义的
IP地址范围
”对话
框中单击“打开”按钮,则可打开“读入
地址范围”对话框,如图8-38所示。
图
8-34 完成
IP地址范围的添加
图
8-35 “预定义的
IP地址范围”对话框
Step
08单击“添加”按钮,可打开“添加搜
索IP范围”对话框,如图8-36所示。
图
8-38 “读入地址范围”对话框
Step
11在其中选择
“代理猎手
”已预设
IP地
址范围的文件,并将其读入“预定义的IP地
址范围”对话框中,在其中选择需要搜索
的IP地址范围,如图8-39所示。
图
8-36 “添加搜索
IP范围”对话框
图
8-39 选择
IP地址范围
�
Step
12单击“使用”按钮,可将预设的
IP地
址范围添加到搜索IP地址范围中,如图8-40
所示。
图
8-40 添加搜索
IP地址范围
Step
13单击“下一步”按钮,可打开“端口
和协议”对话框,如图8-41所示。
图
8-41 “端口和协议”对话框
Step
14单击“添加”按钮,打开“添加端口
和协议”对话框,在其中根据实际情况输
入相应的端口,如图8-42所示。
图
8-42 “添加端口和协议”对话框
Step
15单击“确定”按钮,可完成添加操
作,单击“完成”按钮,可完成搜索任务
的设置,如图8-43所示。
图
8-43 添加搜索任务
2. 设置各项参数
在设置好搜索的
IP地址范围之后,就
可以开始进行搜索了,但为了提高搜索效
率,还有必要先设置一下代理猎手的各项
参数,具体的操作步骤如下。
Step01
在“代理猎手”窗口中选择“系
统”→“参数设置”菜单项,打开“运行
参数设置”对话框。在“搜索验证设置”
选项卡中,可以设置“搜索设置”“验证
设置”“局域网或拨号上网”“搜索方
法”“其他设置”等选项(这里勾选“启
用先Ping后连的机制”复选框以提高搜索效
果),如图8-44所示。
图
8-44 “运行参数设置”对话框
�
提示:“代理猎手”默认的搜索、验证
和Ping的并发数量分别为
50、80和100,如
果用户的带宽无法达到,就最好相应地减
少各个并发数量,以减轻网络的负担。
Step
02此外,用户还可以在
“验证数据设
置”选项卡中添加、修改和删除“验证资
源地址”及其参数,如图8-45所示。
图
8-45 “验证数据设置”选项卡
Step
03在“代理调度设置”选项卡中还可以
设置代理调度参数,以及代理调度范围等
选项,如图8-46所示。
图
8-46 “代理调度设置”选项卡
Step
04在“其他设置”选项卡中可以设置拨
号、搜索验证历史、运行参数等选项,如
第8章 系统进程与入侵隐藏技术
图8-47所示。
图
8-47 “其他设置”选项卡
Step
05在设置好代理猎手的各项参数之后,
单击“确定”按钮,可返回“代理猎手”
工作界面,如图8-48所示。
图
8-48 “代理猎手”工作界面
3. 查看搜索结果
在搜索完毕之后,就可以查看搜索的
结果了,具体的操作步骤如下。
Step
01选择“搜索任务”→“开始搜索”菜
单项,开始搜索设置的IP地址范围,如图
8-49所示。
Step
02选择“搜索结果”选项卡,其中“验
证状态”为Free的代理,即为可以使用的代
理服务器,如图8-50所示。
�
图
8-49 “搜索任务”选项卡
图
8-50 “搜索结果”选项卡
注意:一般情况下,验证状态为
Free
的代理服务器很少,但只要验证状态为
“Good”就可以使用了。
Step
03在找到可用的代理服务器之后,将其
IP地址复制到
“代理调度
”选项卡中,代理
猎手就可以自动为服务器进行调度了,多
增加几个代理服务器可以有利于网络速度
的提高,如图8-51所示。
注意:用户也可以将搜索到的可用代理
服务器IP地址和端口,输入到网页浏览器的
代理服务器设置选项中,这样,用户就可
以通过该代理服务器进行网上冲浪了。
8.2.2 设置代理服务器
用户在访问互联网上的Web服务器时,
Web浏览器会把一些有关用户个人信息在
用户毫无觉察的情况下悄悄地送往Web服务
器。如果这些信息被传送到某些恶意网站
的Web服务器上,就有可能为用户带来很多
意想不到的后果。
要想解决这一问题也很简单,只要通
过代理服务器(Proxy Server)访问Web
服务器即可。在使用代理服务器之前,还
需要设置代理服务器,在设置代理服务器
时,需要知道代理服务器地址和端口号,
这样在代理服务器设置栏中填入相应地址
和端口。具体操作步骤如下:
Step
01在“控制面板”窗口中选择“网络和
Internet”超链接,进入“网络和Internet”
窗口,然后单击“Internet选项”,如图
8-52所示。
图
8-52 “Internet选项”对话框
Step
02打开
“Internet选项
”对话框,选择
“连接”选项卡,进入“连接”设置界
面,如图8-53所示。
图
8-51 “代理调度”选项卡
�
第8章 系统进程与入侵隐藏技术
址和端口号,如图8-55所示。
图8-55 设置代理服务器
图
8-53 “连接”设置界面
Step
03单击“局域网设置”按钮,打开“局
域网设置”对话框,如图8-54所示。
图
8-54 “局域网设置”对话框
Step
04勾选“为LAN使用代理服务器(这
些设置不会应用于拨号或VPN连接)”复
选框,表示使用浏览器通过代理服务器访
问,然后在地址栏中输入代理服务器的地
另外,代理服务器还可以去代理服
务器发布网站中进行查找,那里有最新的
代理服务器列表。比如找到一个代理服务
器:58.43.128.120:80@HTTP,则这个代理
服务器的IP地址就是:58.43.128.120,此时
在“地址”文本框内输入这个地址即可。
冒号后面的80是端口号,在“端口”文本
框内填入80即可,而后面的@HTTP表示支
持HTTP,也即这个代理服务器支持网页访
问方式。
8.2.3 设置动态代理
SocksCap32代理软件是
NEC公司制作
的一款基于Socks协议的代理客户端软件,
可将指定软件的任何Winsock调用转换成
Socks协议的请求,并发送给指定的Socks代
理服务器;通过Socks代理服务器可以连接
到目标主机。
利用SocksCap32设置动态代理的具体
操作步骤如下。
Step
01双击桌面上的“SocksCap32”快捷
图标,启动SocksCap32程序,将会弹出
“SocksCap许可”提示框,如图8-56所示。
�
图
8-56 同意许可
Step
02用户在单击“接受”按钮之后,进入
SocksCap32的主窗口界面,如图8-57所示。
图
8-57 SocksCap32的主窗口
Step
03在SocksCap32安装完毕后,还需要
建立应用程序标识内容。在SocksCap32的
主窗口中单击“新建”按钮,弹出“新建
应用程序标识项”对话框,在“标识项名
称”文本框中输入新建标识项的名称,如
图8-58所示。
图
8-58 “新建应用程序标识项”对话框
Step
04单击“浏览”按钮,可在“选择需要
代理的应用程序”对话框中选择需要代理
的应用程序,如图8-59所示。
图
8-59 选择应用程序
Step
05单击“打开”按钮,将所选项应用
程序的文件名称和路径信息添加到“新建
应用程序标识项”对话框中,再单击“确
定”按钮,则该应用程序标识项即可添加
完毕,如图8-60所示。
图
8-60 添加应用程序
Step06
在添加好相应的应用程序标识项
后,还需要对SocksCap32进行选项的设
置。在SocksCap32的主窗口中选择“文
件”→“设置”菜单项,打开“SocksCap
设置”对话框,在其中可设置已经通过验
证的代理服务器及其端口号,并可选择不
同的
SOCKS版本(通常选择
“SOCKS版本
5”),如图8-61所示。
Step
07如果用户查找的代理服务器需要用
户名和密码,且已经获得了该用户名和密
码,则可勾选“用户名/密码”复选框。然
后单击“确定”按钮,打开“用户名/密
码”对话框,在其中填入用户名和密码,
如图8-62所示。
�
第8章 系统进程与入侵隐藏技术
图
8-61 “SocksCap 设置”对话框
图
8-63 “直接连接”界面
图
8-62 输入用户名和密码
Step
08在“SocksCap设置”对话框中选择
“直接连接”选项卡,打开“直接连接”
设置界面,如图8-63所示。在“直接连接的
地址”选项区中,可添加直接连接的IP地
址,如192.168.0.2,若是一个IP地址范围,
则可输入219.139.100.30。在“直接连接的
应用程序和库”选项区中,可以输入需要
直接连接的应用程序。在“SOCKS 版本5
直接连接的UDP端口”选项区中,可以设
置直接连接的UDP端口号。
Step
09选择“日志”选项卡,打开“日志”设
图
8-64 “日志”界面
Step
10在设置好代理选项并添加好需要代
理的应用程序之后,再在应用程序列表中
置界面,在其中可以进行相应的设置,如图
8-64所示。单击“确定”按钮,保存设置,结
束对SocksCap32的选项设置操作。
�
选取需要运行的应用程序,然后选择“文测试服务器等选项,也可采用MultiProxy默
件”→“通过Socks代理运行”菜单项,启认端口和其他选项,如图8-67所示。
动该应用程序并通过代理进行登录,如图
8-65所示。
图
8-65 开始运行
8.2.4 自动设置代理
MultiProxy是一款非常实用的自动代理
调度的代理软件,用户只需在
MultiProxy下配
置已通过验证的代理,再定义好其他需要通
过代理调度的软件,并指向MultiProxy即可。
更换代理时只需在
MultiProxy中进行变更,而
不用再一个个地去进行更换,操作十分方便。
使用MultiProxy的具体操作步骤如下:
Step
01从网上下载并解压缩MultiProxy压缩
包之后,双击其中的MultiProxy可执行文
件,打开
MultiProxy的主窗口,如图
8-66
所示。
图
8-66 MultiProxy主窗口
Step
02在MultiProxy的主窗口中单击“option(选项)”按钮,打开“
options(选
项)”对话框,在其中用户可以根据需要
设置连接的端口号、连接的线程数量、连
接代理服务器的方式、选择服务器、是否
图
8-67 Option对话框
Step
03在“Options(选项)”对话框中选择
“Proxy servers list(代理服务器列表)”
选项卡,在打开的界面中显示了各代理地
址的状态,以绿灯标识为可用的代理,不
可用的代理则以红灯标识。用户还可以查
看代理服务器的连接状态,添加、编辑、
删除代理服务器等,如图8-68所示。
图
8-68 “代理服务器列表”设置界面
Step
04在“Options(选项)”对话框中选
择“Advanced options(高级选项)”选项
卡,在其中可检测并显示本机IP和机器名,
还可以设置是否保存日志文件、空闲挂线
时间设置、仅允许连接的IP地址等选项,如
图8-69所示。
�
第8章 系统进程与入侵隐藏技术
图
8-69 “高级选项”设置界面
注意:在使用过程中,若发现代理列表
状态全部为红灯,则可使用“启动时测试
所有的服务器”功能进行检测,如果仍然
不行,就需要考虑添加一些新的代理了。
Step
05设置完毕之后,单击“确定”按钮,
可将自己的设置保存到系统中。然后在打
开的“Internet选项”对话框中选择“连
接”选项卡,如图8-70所示。
图
8-70 “连接”选项卡
Step
06在“连接”选项卡中单击“局域网设
置”按钮,打开“局域网(LAN)设置”
对话框,勾选“自动检测设置”复选框,
如图8-71所示。
图
8-71 设置网络应用程序的代理服务器
Step
07运行指定MultiProxy代理的网络应用
程序时,在MultiProxy界面中可以清楚地
看到正在被调用的代理服务器,如图8-72
所示。
图
8-72 查看代理服务器调用状态
总之,MultiProxy工具可以为用户提供
取之不尽、用之不竭的代理地址,使用MultiProxy
设置的代理服务器,有着流畅的速度,
而且只需配置一次即可长期使用。
8.2.5 使用代理跳板
跳板,顾名思义,就是利用一台或多
台机器去攻击另一台主机。跳板不同于代
理服务器,它一般仅供入侵者在入侵时隐
�
藏自己时使用,而代理服务器则具有一定
的共享性,可以被多数网民使用。
跳板和代理服务器相同的是,设置跳
板时也可以借助于工具或软件,目前网络
上存在有很多代理跳板,用户可以选择功
能强大且自己熟悉的代理跳板软件。这里以
Snake代理跳板为例,来具体介绍一下代理
跳板的使用方法,具体的操作步骤如下。
Step
01双击Snake代理跳板可执行文件,打
开“Snake的代理跳板”主窗口,如图8-73
所示。
Step02选择“配置”→“客户端”菜单项,打开
“客户端设置”对话框,如图8-74所示。
图
8-73 “Snake的代理跳板”主窗口
图
8-74 “客户端设置”对话框
Step
03在IP文本框中输入IP地址,在“掩
码”文本框中输入“255.255.255.255”,然
后勾选“E允许?”复选框,单击“增加”
按钮,可将其添加到客户端列表中,如图
8-75所示。单击OK按钮,完成对客户端的
设置。
Step
04在“Snake的代理跳板”主窗口中选
择“配置
”→“经过的
SkServer”菜单项,
打开
“经过的
SkServer”对话框,在其中输
入已经验证通过的
IP地址、端口以及代理跳
板的描述,并勾选“E允许?”复选框,单
击“增加”按钮,将该代理添加到代理跳
板的列表中,如图8-76所示。
图
8-75 客户端设置结果显示
图
8-76 “经过的
SkServer”对话框
Step
05选取某个已经添加的代理跳板,单击
“测试”按钮,打开Test SkServer对话框,
如图8-77所示。单击“开始”按钮,检测该
代理跳板是否能够正常连接,一个Y则表示
使用一级跳板。
注意:如果要使用二级跳板,则可在
代理列表框中选中需要作为二级跳板的代
理,然后勾选“E允许?”复选框,最后
单击“更改”按钮即可。在设置好经过的
SkServer之后,再次单击OK按钮,即可完
成设置。
Step
06在“Snake的代理跳板”主窗口中选
�
择“配置”→“运行选项”菜单项,打开
Run Option Setting对话框,如图8-78所示。
在其中的“服务运行端口”文本框中输入
本软件的运行端口,然后根据需要勾选相
应的复选框,最后单击OK按钮,结束设置
操作。
图
8-77 测试代理跳板
图
8-78 设置运行参数
这样,将代理跳板的所有选项都设置
完毕后,就可以开始使用代理跳板了。选择
“命令”→“开始”菜单项,启动用户设置
的代理跳板,并可通过代理跳板来进行浏
览网页、下载软件、运行QQ等工作。
第8章 系统进程与入侵隐藏技术
带连接方式的操作步骤如下:
Step
01右击“”按钮,在弹出的快捷菜单
中选择“Windows系统”→“控制面板”菜
单命令,打开“控制面板”窗口,如图8-79
所示。
图
8-79 “控制面板”窗口
Step
02单击
“网络和
Internet”选项,打开
“网络和Internet”窗口,如图8-80所示。
图
8-80 “网络和
Internet”窗口
8.3 实战演练
8.3.1 实战1:设置宽带连接方式
当申请ADSL服务后,当地电信运营销
员工会主动上门安装ADSL MODEM并配
置好上网设置,进而安装网络拨号程序,
并设置上网客户端。ADSL的拨号软件有很
多,但使用最多的还是Windows系统自带的
拨号程序,即宽带连接,设置局域网中宽
Step
03选择“网络和共享中心”选项,打开
“网络和共享中心”窗口,在其中用户可
以查看本机系统的基本网络信息,如图8-81
所示。
Step
04在“更改网络设置”区域中单击“设
置新的连接或网络”超级链接,打开“设
置连接或网络”对话框,在其中选择“连
接到Internet”选项,如图8-82所示。
Step
05单击“下一步”按钮,打开“你想使
用一个已有的连接吗?”提示框,在其中
�
选中“否,创建新连接”单选按钮,如图
8-83所示。
图
8-81 “网络和共享中心”窗口
图
8-82 “设置连接或网络”对话框
图
8-83 创建新连接
Step
06单击“下一步”按钮,打开“你希望
如何连接”对话框,如图8-84所示。
图
8-84 “你希望如何连接”对话框
Step
07单击“宽带(
PPoE)(
R)”按钮,
打开“键入你的Internet服务提供商(
ISP)
提供的信息”窗口,在“用户名”文本框
中输入服务提供商的名字,在“密码”文
本框中输入密码,如图8-85所示。
图8-85 输入用户名与密码
Step
08单击“连接”按钮,打开“连接到
Internet”对话框,提示用户正在连接到
宽带,并显示正在验证用户名和密码等信
息,如图8-86所示。
Step
09等待验证用户名和密码完毕后,如果
正确,则弹出“登录”对话框。在“用户
名”和“密码”文本框中输入服务商提供
的用户名和密码,如图8-87所示。
Step
10单击“确定”按钮即可成功连接,
在“网络和共享中心”窗口中选择“更改
适配器设置”选项,打开“网络连接”窗
�
口,在其中可以看到“宽带连接”呈现已
连接的状态,如图8-88所示。
图
8-86 验证用户名与密码
图
8-87 输入密码
图
8-88 “网络连接”窗口
8.3.2 实战2:诊断网络不通问题
当自己的计算机不能上网时,说明计
算机与网络连接不通,这时就需要诊断和
第8章 系统进程与入侵隐藏技术
修复网络了,具体的操作步骤如下。
Step
01打开“网络连接”窗口,右击需要诊
断的网络图标,在弹出的快捷菜单中选择
“诊断”选项,弹出“Windows网络诊断”
对话框,并显示网络诊断的进度,如图8-89
所示。
图
8-89 显示网络诊断的进度
Step
02诊断完成后,将会在下方的窗格中显
示诊断的结果,如图8-90所示。
图
8-90 显示诊断的结果
Step
03单击“尝试以管理员身份进行这些修
复”链接,开始对诊断出来的问题进行修
复,如图8-91所示。
Step
04修复完毕后,会给出修复的结果,提
示用户疑难解答已经完成,并在下方显示
已修复信息提示,如图8-92所示。
�
图
8-91 修复网络问题
图
8-92 显示已修复信息
�
第9章 局域网入侵与防御技术
第9章 局域网入侵与防御技术
随着信息时代的到来,计算机网络已进入各行各业,在给人们带来极大便利的同时,
计算机网络的安全问题也日益突出,越来越受到人们的普遍重视。局域网的安全问题经常是面
对来自网络的攻击,因此必须时刻防范这些恶意攻击,本章介绍局域网入侵与防御技术。
9.
1查看局域网信息
可以利用专门的局域网查看工具来查
看局域网中各个主机的信息,所以本节
将介绍两款非常方便实用的局域网查看
工具。
9.1.1 使用LanSee查看
局域网查看(
LanSee)是一款对局域
网上的各种信息进行查看的工具。它集成
了局域网搜索功能,可以快速搜索出计算
机(包括计算机名,IP地址,MAC地址,
所在工作组,用户)、共享资源、共享文
件,可以捕获各种数据包(TCP、UDP、
ICMP、ARP),甚至可以从流过网卡的数
据中嗅探出QQ号码、音乐、视频、图片等
文件。
使用该工具查看局域网中各种信息的
具体操作步骤如下:
Step
01双击下载的
“局域网查看工具
”程
序,即可打开“局域网查看工具”主窗
口,如图9-1所示。
Step
02在工具栏中单击“工具选项”按钮,
即可打开“选项”对话框,选择“搜索计
算机”选项卡,在其中设置扫描计算机的
起始IP地址段和结束IP地址段等属性,如
图9-2所示。
Step
03选择“搜索共享文件夹
”选项卡,
在其中即可添加和删除文件类型,如图9-3
所示。
图
9-1 “局域网查看工具”主窗口
图
9-2 “选项”对话框
Step
04选择“局域网聊天”选项卡,在其中
可以设置聊天时使用的用户名和备注,如
图9-4所示。
Step
05选择“扫描端口”选项卡,在其中即
可设置要扫描的IP地址、端口、超时等属
性,设置完毕后单击“保存”按钮,即可
保存各项设置,如图9-5所示。
�
该主机的用户名和密码后,单击“确定”
按钮,可以与该主机建立连接,如图9-7
所示。
图
9-3 添加或删除文件类型
图
9-6 搜索指定
IP段内的主机
图
9-7 “Windows安全”对话框
Step
08在“搜索工具”栏目下单击“主机巡
测”按钮,即可打开“主机巡测”窗口,
单击其中的“开始”按钮,即可搜索出在
线的主机,在其中可看到在线主机的IP地
址、MAC地址、最近扫描时间等信息,如
图9-8所示。
图
9-4 设置用户名和备注
图
9-5 设置扫描端口
Step
06在“局域网查看工具”主窗口中单击
“开始
”按钮,即可搜索出指定
IP段内的主
机,在其中即可看到各个主机的
IP地址、计
算机名、工作组、MAC地址等属性,如图
9-6所示。
Step
07如果想与某个主机建立连接,在搜索
图
9-8 搜索在线的主机
到的主机列表中右击该主机,在弹出的快
捷菜单中选择“打开计算机”选项,即可
打开“Windows安全”对话框,在其中输入
�
第9章 局域网入侵与防御技术
Step
09在“局域网查看工具
”中还可以对文件”选项,即可打开“建立新的复制任
共享资源进行设置。在“搜索工具”栏目务”对话框,如图9-13所示。
中单击“设置共享资源”按钮,即可打开
“设置共享资源”窗口,如图9-9所示。
图
9-11 添加共享文件夹
图
9-9 “设置共享资源”窗口
Step
10单击“共享目录
”文本框后的
“浏
览”按钮,即可打开“浏览文件夹”对话
框,如图9-10所示。
图
9-12 “搜索计算机”窗口
图
9-10 “浏览文件夹”对话框
Step
11在其中选择需要设置为共享文件的文
件夹后,单击“确定”按钮,即可在“设
置共享资源”窗口中看到添加的共享文件
夹,如图9-11所示。
Step
12在“局域网查看工具”中还可以进行
文件复制操作,单击“搜索工具”栏目中
的“搜索计算机”按钮,即可打开“搜索
计算机”窗口,在其中即可看到前面添加
的共享文件夹,如图9-12所示。
Step
13在“共享文件”列表中右击需要复制
的文件,在弹出的快捷菜单中选择“复制
图
9-13 “建立新的复制任务”对话框
Step
14设置存储目录并勾选“立即开始”复
选框后,单击“确定”按钮即可开始复制
选定的文件。此时单击“管理工具”栏目
中的“复制文件”按钮,即可打开“复制
文件”窗口,在其中即可看到刚才复制的
文件,如图9-14所示。
�
Step
17利用“局域网查看工具
”还可以对
远程主机进行远程关机和重启操作。单击
“管理工具”栏目中的“远程关机”按
钮,即可打开“远程关机”窗口,并单击
“导入计算机”按钮,即可导入整个局域
网中所有的主机,勾选主机前面的复选框
后,单击“远程关机”按钮和“远程重
启”按钮即可分别完成关闭和重启远程计
算机的操作,如图9-17所示。
图
9-14 查看复制的文件
Step
15在“网络信息”栏目中可以查看局域
网各个主机的网络信息。例如单击“活动
端口”按钮后,在打开的“活动端口”窗
口中单击“刷新”按钮,即可看到所有主
机中正在活动的端口,如图9-15所示。
图
9-17 “远程关机”窗口
Step
18在“局域网查看工具
”还可以给指
定的主机发送消息。单击“管理工具”栏
目中的“发送消息”按钮,即可打开“发
送消息”窗口,并单击“导入计算机”按
钮,即可导入整个局域网中所有的主机,
如图9-18所示。
图
9-15 正在活动的端口
Step
16如果想看到计算机的网络适配器信
息,则需单击“适配器信息”按钮,即可
在打开的“适配器信息”窗口中看到网络
适配器的详细信息,如图9-16所示。
图
9-16 网络适配器的信息
图
9-18 “发送消息”窗口
Step
19选择要发送消息的主机后,在“发送
消息”文本区域中输入要发送的消息,然后
单击“发送”按钮,即可将这条消息发送给
指定的用户,此时即可看到该主机的
“发
送状态”是“正在发送”,如图9-19所示。
�
第9章 局域网入侵与防御技术
Step
22单击“文件共享”按钮,即可打开“文
件共享”窗口,即可进行用户共享、复制文
件、添加共享等操作,如图9-22所示。
图
9-19 发送消息给指定的用户
Step
20选择“聊天工具”栏目,在其中即可
与局域网中用户进行聊天,还可以共享局域
网中的文件。如果想和局域网中用户聊天,
则需单击“局域网聊天”按钮,即可打开
“局域网聊天”窗口,如图9-20所示。
图
9-20 “局域网聊天”窗口
Step
21在下面的
“发送信息
”区域中编辑
要发送的消息后,单击“发送”按钮,即
可将该消息发送出去,此时在“局域网聊
天”窗口中即可看到发送的消息,该模式
类似于QQ聊天,如图9-21所示。
图
9-21 发送消息
图
9-22 “文件共享”窗口
9.1.2 使用IPBooK查看
IPBook(超级网络邻居)是一款小巧
的搜索共享资源及FTP共享的工具,软件自
解压后就能直接运行。它还有许多辅助功
能,如发送短信等,并且所有功能不限于
局域网,可以在互联网使用。使用该工具
的具体操作步骤如下:
Step
01双击下载的“IPBook”应用程序,
打开“IPBook正式注册版(超级网络邻
居)”主窗口,在其中即可自动显示本机
的IP地址和计算机名,其中192.168.0.104和
192.168.0的分别是本机的IP地址与本机所处
的局域网的IP范围,如图9-23所示。
图
9-23 “IPBook正式注册版(超级网络邻居)”主窗口
Step
02在IPBook工具中可以查看本网段所有
机器的计算机名与共享资源。在“IPBook
�
正式注册版(超级网络邻居)”主窗口册版(超级网络邻居)”主窗口看到该命
中,单击“扫描一个网段”按钮,几秒钟之令的运行结果,如图9-27所示。根据得到的
后,本机所在的局域网所有在线计算机的详信息来判断目标计算机的操作系统类型。
细信息将显示在左侧列表框中,如图9-24所
示,其中包含
IP地址、计算机名、工作组、
信使名等信息。
图
9-26 “短信群发”对话框
图
9-24 局域网所有在线主机
Step
03在显示出所有计算机信息后,单击
“点验共享资源”按钮,即可查出本网段
机器的共享资源,并将搜索的结果显示在
右侧的树状显示框中,如图9-25所示在搜
索之前还可以设置是否同时搜索HTTP、
FTP、隐藏共享服务等。
图
9-25 共享资源信息
Step
04在IPBook工具中还可以给目标网段发
送短信,在“IPBook正式注册版(超级网
络邻居)”主窗口中单击“短信群发”按
钮,即可打开“短信群发”对话框,如图
9-26所示。
图
9-27 命令的运行结果
Step
06在计算机区列表中选择某台计算机,
单击Nbtstat按钮,即可在“IPBook正式注
册版(超级网络邻居)”主窗口看到该主
机的计算机名称,如图9-28所示。
图
9-28 计算机名称信息
Step
05在“计算机区”列表中选择某台计算
机,单击ping按钮,即可在“IPBook正式注
�
第9章 局域网入侵与防御技术
Step
07单击“共享”按钮,即可对指定的网
络段的主机进行扫描,并把扫描到的共享
资源显示出来,如图9-29所示。
图
9-29 共享资源
Step
08
IPBook工具还具有将域名转换为IP地
址的功能,在“IPBook正式注册版(超级
网络邻居)”主窗口中单击“其他工具”
按钮,在弹出的快捷菜单中选择
“域名、IP
地址转换
”→“IP->Name”菜单项,即可
将IP地址转换为域名,如图9-30所示。
图
9-30 IP地址转换为域名
Step
09单击“探测端口
”按钮,即可探测
整个局域网中各个主机的端口,同时将探
测的结果显示在下面的列表中,如图9-31
所示。
Step
10单击“大范围端口扫描”按钮,即可打
开“扫描端口”对话框,选中“IP地址起止范
围”单选按钮后,将要扫描的
IP地址范围设
置为192.168.000.001~192.168.000.254,最
后将要扫描的端口设置为80,21,如图9-32
所示。
图
9-31 探测主机的端口
图
9-32“扫描端口”对话框
Step
11单击“开始”按钮,即可对设定IP
地址范围内的主机进行扫描,同时将扫描
到的主机显示在下面的列表中,如图9-33
所示。
Step
12在使用IPBook工具过程中,还可以
对该软件的属性进行设置。在“IPBook正
式注册版(超级网络邻居)”主窗口中选
择“工具”→“选项”菜单项,即可打开
“设置”对话框,在“扫描设置”选项卡
中,在设置“Ping设置”和“解析计算机名
的方式”属性,如图9-34所示。
�
图
9-33 扫描主机信息
址解析协议)的缩写。ARP的基本功能就
是通过目标设备的
IP地址,查询目标设备的
MAC地址,以保证通信的顺利进行。
9.2.1 ARP欺骗攻击
使用WinArpAttacker工具可以对网络进
行ARP欺骗攻击,除此之外,利用该工具
还可以实现对ARP机器列表的扫描。具体
操作步骤如下:
Step
01下载
WinArpAttacker软件,双击
其中的“WinArpAttacker.exe”程序打
开
WinArpAttacker主窗口,选择
“扫
描”→“高级”菜单项,如图9-36所示。
图
9-34 “扫描设置”选项
Step
13选择“共享设置”选项卡,在其中即
可设置最大扫描线程数、搜索共享时的顺
带搜索项目等属性,如图9-35所示。
图
9-35 “共享设置”选项
9.2 ARP欺骗与防御
ARP是Address Resolution Protocol(地
图
9-36 WinArpAttacker主窗口
Step
02打开“扫描”对话框,从中可以看出
有扫描主机、扫描网段、多网段扫描等3种
扫描方式,如图9-37所示。
图
9-37“扫描”对话框
�
Step
03在“扫描”对话框中选中
“扫描主
机”单选按钮,并在后面的文本框中输入
目标主机的IP地址,例如192.168.0.104,
然后单击“扫描”按钮,可获得该主机的
MAC地址,如图9-38所示。
图
9-38 主机的
MAC地址
Step
04选中“扫描网段
”单选按钮,在IP地
址范围的文本框中输入扫描的
IP地址范围,
如图9-39所示。
图
9-39 输入扫描
IP地址范围
Step
05单击“扫描”按钮即可进行扫描操
作,当扫描完成时会出现一个“Scanning
successfully!(扫描成功)”对话框,如图
9-40所示。
图
9-40 信息提示框
第9章 局域网入侵与防御技术
Step06单击
“确定”按钮,返回WinArpAttacker
主窗口,在其中即可看到扫描结果,如图9-41
所示。
图
9-41 扫描结果
Step
07在扫描结果中勾选要攻击的目标计算
机前面的复选框,然后在WinArpAttacker
主窗口中单击“攻击”下拉按钮,在其弹
出的快捷菜单中选择任意选项就可以对其
他计算机进行攻击了,如图9-42所示。
图
9-42 “攻击”快捷菜单
在WinArpAttacker中有以下6种攻击方式。
●
不断IP冲突:不间断的IP冲突攻
击,FLOOD攻击默认是1000次,可
以在选项中改变这个数值。FLOOD
攻击可使对方机器弹出IP冲突对话
框,导致死机。
●
禁止上网:禁止上网,可使对方机
器不能上网。
●
定时IP冲突:定时的IP冲突。
●
监听网关通信:监听选定机器与网
�
关的通信,监听对方机器的上网流
量。发动攻击后用抓包软件来抓包
看内容。
●
监听主机通信:监听选定的几台机
器之间的通信。
●
监听网络通信:监听整个网络任意
机器之间的通信。这个功能过于危
险,可能会把整个网络搞乱,建议
不要乱用。
Step
08如果选择
“不断IP冲突
”选项,可使
目标计算机不断弹出
“IP地址与网络上其他
系统有冲突”提示框,如图9-43所示。
图
9-43 IP冲突信息
Step
09如果选择“禁止上网”选项,此时在
WinArpAttacker主窗口就可以看到该主机
的“攻击”属性变为BanGateway,如果想
停止攻击,则需在WinArpAttacker主窗口
选择“攻击”→“停止攻击”菜单项进行
停止,否则攻击将会一直进行,如图9-44
所示。
图
9-44 停止攻击
Step
10在WinArpAttacker主窗口中单击“发
送”按钮即可打开“手动发送ARP包”对
话框,在其中设置目标硬件Mac、Arp方
向、源硬件Mac、目标协议Mac、源协议
Mac、目标IP和源IP等属性后,单击“发
送”按钮即可向指定的主机发送
Arp数据
包,如图9-45所示。
图
9-45 “手动发送
ARP包”对话框
Step
11在WinArpAttacker主窗口中选择“设
置”菜单项,然后在弹出的快捷菜单中选
择任意一项即可打开“Options(选项)”
对话框,在其中对各个选项卡进行设置,
如图9-46所示。
图
9-46 “Options(选项)”对话框
9.2.2 防御ARP攻击
使用绿盾ARP防火墙可以防御ARP攻
击。绿盾ARP防火墙能够双向拦截ARP欺
骗攻击包,监测锁定攻击源,时刻保护
局域网用户计算机的正常上网数据流向,
�
第9章 局域网入侵与防御技术
是一款适于个人用户的反ARP欺骗保护工
具。使用绿盾ARP防火墙的具体操作步骤
如下。
Step
01下载并安装绿盾ARP防火墙,打开
其主窗口,在“运行状态”选项卡下可以
看到攻击来源主机IP地址及MAC、网关信
息、拦截攻击包等信息,如图9-47所示。
图
9-49 “网关
MAC地址输入”对话框
图
9-47 绿盾
ARP防火墙
Step02
在“系统设置”选项卡下,选择
“ARP保护设置”选项,可以对绿盾ARP防
火墙各个属性进行设置,如图9-48所示。
图
9-48 “系统设置”选项卡
Step
03如果选中“手工输入网关MAC地
址”单选按钮,然后单击“手工输入网
关MAC地址
”按钮,则打开
“网关
MAC
地址输入”对话框,在其中输入网关IP地
址与
MAC地址。一定要把网关的
MAC地
址设置正确,否则将无法上网,如图9-49
所示。
Step
04单击“添加”按钮,完成网关的添加
操作,如图9-50所示。
图
9-50 添加网关
提示:根据ARP攻击原理,攻击者就是
通过伪造IP地址和MAC地址来实现ARP欺
骗的,而绿盾ARP防火墙的网关动态探测
和识别功能可以识别伪造的网关地址,动
态获取并分析判断后为运行ARP防火墙的
计算机绑定正确的网关地址,从而时刻保
证本机上网数据的正确流向。
Step
05选择“扫描限制设置”选项,在打开
的界面中可以对扫描各个参数进行限制设
置,如图9-51所示。
图
9-51 “扫描限制设置”选项
Step06选择
“带宽管理设置”选项,在打开的
界面中可以启用公网带宽管理功能,在其中设
置上传或下载带宽限制值,如图9-52所示。
�
图
9-52 “带宽管理设置”选项
Step
07选择“常规设置”选项,在其中可以
对常规选项进行设置,如图9-53所示。
9.3 DNS欺骗与防御
DNS欺骗,即域名信息欺骗,是最常
见的DNS安全问题。当一个DNS服务器掉
入陷阱,使用了来自一个恶意DNS服务器
的错误信息,那么该DNS服务器就被欺骗
了。
9.3.1 DNS欺骗攻击
在Windows 10系统中,用户可以在
“命令提示符”窗口中输入nslookup命令
来查询DNS服务器的相关信息,如图9-55
所示。
图
9-53 “常规设置”选项
Step
08单击“设置界面弹出密码
”按钮,
在弹出的“密码设置”对话框中可以对界
面弹出密码进行设置,输入完毕后,单击
“确定”按钮即可完成密码的设置,如图
9-54所示。
图
9-54 “密码设置”对话框
提示:在ARP攻击盛行的当今网络中,
绿盾ARP防火墙不失为一款好用的反ARP欺
骗保护工具,使用该工具可以有效地保护
自己系统免遭欺骗。
图
9-55 查询
DNS服务器
1. DNS欺骗原理
如果可以冒充域名服务器,再把查询
的IP地址设置为攻击者的IP地址,用户上网
就只能看到攻击者的主页,而不是用户想
去的网站主页,这就是DNS欺骗的基本原
理。DNS欺骗并不是要黑掉对方的网站,
而是冒名顶替,从而实现其欺骗目的。和
IP
欺骗相似,DNS欺骗的技术在实现上仍然
有一定的困难,为克服这些困难,有必要
了解DNS查询包的结构。
在DNS查询包中有个标识IP地址,其
作用是鉴别每个DNS数据包的印记,从客
户端设置,由服务器返回,使用户匹配请
求与响应。如某用户在浏览器地址栏中输
入www.baidu.com,如果黑客想通过假的域
名服务器(如220.181.6.20)进行欺骗,就
要在真正的域名服务器(220.181.6.18)返
回响应前,先给出查询的IP地址,如图9-56
所示。
�
图
9-56 DNS欺骗示意图
图9-56很直观,就是在真正的域名服务
器220.181.6.18前,黑客给用户发送一个伪
造的DNS信息包。但在DNS查询包中有一
个重要的域就是标识
IP地址,如果要发送伪
造的DNS信息包不被识破,就必须伪造出
正确的IP地址。如果无法判别该标记,DNS
欺骗将无法进行。只要在局域网上安装有
嗅探器,通过嗅探器就可以知道用户的
IP地
址。但要是在互联网上实现欺骗,就只有
发送大量一定范围的DNS信息包,来提高
得到正确IP地址的机会。
2. DNS欺骗的方法
网络攻击者通常通过以下3种方法进行
DNS欺骗。
(1)缓存感染
黑客会熟练地使用
DNS请求,将数据
放入一个没有设防的DNS服务器的缓存当
中。这些缓存信息会在客户进行DNS访问
时返回给客户,从而将客户引导到入侵者
所设置的运行木马的Web服务器或邮件服务
器上,然后黑客从这些服务器上获取用户
信息。
(2)DNS信息劫持
入侵者通过监听客户端和
DNS服务器
的对话,猜测服务器响应给客户端的DNS
查询IP地址。每个DNS报文包括一个相关联
的16位IP地址,DNS服务器根据这个IP地址
获取请求源位置。黑客在DNS服务器之前
将虚假的响应交给用户,从而欺骗客户端
去访问恶意的网站。
(3)DNS重定向
攻击者能够将DNS名称查询重定向
到恶意DNS服务器。这样攻击者可以获得
第9章 局域网入侵与防御技术
DNS服务器的写权限。
防范DNS欺骗攻击可采取如下两种
措施:
①直接用
IP地址访问重要的服务,这
样至少可以避开
DNS欺骗攻击。但这需要
记住要访问的
IP地址。
②加密所有对外的数据流,对服务器来
说就是尽量使用
SSH之类的有加密支持的
协议,对一般用户应该用
PGP之类的软件
加密所有发到网络上的数据。这也并不是
那么容易的事情。
9.3.2 防御DNS欺骗
Anti ARP-DNS防火墙是一款可对ARP
和DNS欺骗攻击实时监控和防御的防火
墙。当受到ARP和DNS欺骗攻击时,会迅
速记录追踪攻击者并将攻击程度控制至
最低,可有效防止局域网内的非法ARP或
DNS欺骗攻击,还能解决被人攻击之后出
现IP冲突的问题。
具体的使用步骤如下:
Step
01安装Anti ARP-DNS防火墙后,打开其
主窗口,可以看出在主界面中显示的网卡
数据信息,包括子网掩码、本地
IP以及局域
网中其他计算机等信息。当启动防护程序
后,该软件就会把本机MAC地址与IP地址
自动绑定实施防护,如图9-57所示。
图
9-57 Anti ARP-DNS防火墙
�
提示:当遇到ARP网络攻击后,软件会
自动拦截攻击数据,系统托盘图标是呈现
闪烁性图标来警示用户,另外在日志里也
将记录当前攻击者的IP地址和MAC攻击者
的信息和攻击来源。
Step
02单击“广播源列”按钮,可看到广播
来源的相关信息,如图9-58所示。
图
9-58 广播来源列表
Step
03单击“历史记录”按钮,可看到受到
ARP攻击的详细记录。另外,在下面的IP
地址文本框中输入IP地址之后,单击“查
询”按钮即可查出其对应的MAC地址,如
图9-59所示。
图
9-60 “基本设置”界面
提示:AntiARP-DNS提供了比较丰富的
设置菜单,如主功能、副功能等。除可以
预防掉线断网情况外,还可以识别由ARP
欺骗造成的“系统
IP冲突
”情况,而且还增
加了自动监控模式。
Step
05单击“本地防御”按钮,可看到“本
地防御欺骗”选项卡,在其中根据DNS绑定
功能可屏蔽不良网站,如在用户所在的网站
被ARP挂马等,可以找出页面进行屏蔽。
其格式是:127.0.0.1 www.xxx.com,同时该
网站还提供了大量的恶意网站域名,用户
可根据情况进行设置,如图9-61所示。
图
9-59 “历史记录”界面
Step
04单击“基本设置”按钮,可看到相关
的设置信息,在其中可以设置各个选项的
属性,如图9-60所示。
图
9-61 “本地防御”界面
Step
06单击“本地安全”按钮,可看到“本地
安全防范”选项卡,在其中可以扫描本地计算
机中存在的危险进程,如图9-62所示。
�
第9章 局域网入侵与防御技术
图
9-62 “本地安全”界面
9.
4局域网安全辅助软件
面对黑客针对局域网的种种攻击,局
域网管理者可以使用局域网安全辅助工具
来对整个局域网进行管理。本节将介绍两
款最为经典的局域网辅助软件,以帮助大
家保护局域网的安全。
9.4.1 长角牛网络监控机
长角牛网络监控机(网络执法官)只需
在一台机器上运行,可穿透防火墙,实时
监控、记录整个局域网用户上线情况,可限
制各用户上线时所用的
IP地址、时段,并可
将非法用户踢下局域网。该软件适用范围为
局域网内部,不能对网关或路由器外的机器
进行监控或管理,适合局域网管理员使用。
1. 查看主机信息
利用该工具可以查看局域网中各个主
机的信息,例如用户属性、在线记录、记
录查询等,其具体操作步骤如下。
Step01
在下载并安装
“长角牛网络监控
机”软件之后,选择“
”→“所有应
用”→Netrobocop菜单项,打开“设置监控
范围”对话框,如图9-63所示。
Step
02在设置完网卡、子网、扫描范围等属
性之后,单击“添加/修改”按钮,可将设
置的扫描范围添加到“监控如下子网及IP
段”列表中,如图9-64所示。
图
9-63 “设置监控范围”对话框
图
9-64 添加监控范围
Step
03选中刚添加的
IP段后,单击“确定”
按钮,打开“长角牛网络监控机”主窗
口,在其中即可看到设置IP地址段内的主机
的各种信息,例如网卡权限及地址、IP地
址、上线时间等,如图9-65所示。
图
9-65 查看监控信息
�
Step
04在“长角牛网络监控机
”窗口的计
算机列表中双击需要查看的对象,可打开
“用户属性”对话框,如图9-66所示。
图
9-66 “用户属性”对话框
Step
05单击“历史记录”按钮,打开“在线
记录”对话框,在其中查看该计算机上线
情况,如图9-67所示。
图
9-67 查看计算机上线情况
Step06
单击“导出”按钮,可将该计算
机的上线记录保存为文本文件,如图9-68
所示。
图
9-68 “用户属性”对话框
Step
07在“长角牛网络监控机”窗口中单击
“记录查询”按钮,可打开“记录查询”
窗口,如图9-69所示。
图
9-69 “记录查询”窗口
Step
08在“用户”下拉列表中选择要查询
用户对应的网卡地址;在“在线时间”文
本框中设置该用户的在线时间,然后单击
“查找”按钮即可找到该主机在指定时间
的记录,如图9-70所示。
图9-70 显示指定时间的记录
Step
09在“长角牛网络监控机
”窗口中单
击“本机状态”按钮,打开“本机状态信
息”窗口。在其中可看到本机计算机的网
卡参数、IP收发、TCP收发、UDP收发信
息,如图9-71所示。
Step
10在“长角牛网络监控机”窗口中单击
“服务监测”按钮,打开“服务监测”窗
口,在其中即可进行添加、修改、移除服
务器等操作,如图9-72所示。
�
图
9-71 “本机状态信息”窗口
图
9-72 “服务检测”窗口
2. 设置局域网
除收集局域网内各个计算机的信息之
外,“长角牛网络监控机”工具还可以对
局域网中的各个计算机进行网络管理,可
以在局域网内的任一台计算机上安装该软
件,来实现对整个局域网内的计算机进行
管理。其具体的操作步骤如下:
Step
01在“长角牛网络监控机
”窗口中选
择“设置”→“关键主机组”菜单项,打
开“关键主机组设置”对话框,在“选择
关键主机组”下拉列表中选择相应的主机
组,并在“组名称”文本框中输入相应的
名称之后,再在
“组内
IP”列表框中输入相
应的
IP组。最后单击
“全部保存
”按钮,完
成关键主机组的设置操作,如图9-73所示。
Step
02在“长角牛网络监控机”窗口中选择
第9章 局域网入侵与防御技术
“设置”→“默认权限”菜单项,打开“用
户权限设置”对话框,选中“受限用户,若
违反以下权限将被管理
”单选按钮之后,设置
“IP限制”“时间限制”和“组/主机/用户名
限制”等选项。这样当目标计算机与局域网连
接时,“长角牛网络监控机”将按照设定的选
项对该计算机进行管理,如图9-74所示。
图
9-73 “关键主机组设置”对话框
图
9-74 “用户权限设置”对话框
Step
03选择“设置”→“IP保护
”菜单项,
打开
“IP保护”对话框。在其中设置要保护
的IP段后,单击“添加”按钮,可将该IP段
添加到“已受保护的IP段”列表中,如图
9-75所示。
Step
04选择“设置”→“敏感主机
”菜单
项,打开“设置敏感主机”对话框,在
“敏感主机MAC”文本框中输入目标主机
的MAC地址后单击按钮可将该主机设
置为敏感主机,如图9-76所示。
�
Step
06选择“设置”→“主机保护
”菜单
图
9-75 “IP保护”对话框
图
9-76 “设置敏感主机”对话框
Step
05选择“设置”→“远程控制
”菜单
项,打开“远程控制”对话框,在其中勾
选“接受远程命令”复选框,并输入目标
主机的
IP地址和口令后,可对该主机进行远
程控制,如图9-77所示。
项,打开“主机保护”对话框,在勾选
“启用主机保护”复选框后,输入要保护
主机的IP地址和网卡地址之后,单击“加
入”按钮可将该主机添加到“受保护主
机”列表中,如图9-78所示。
图
9-78 “主机保护”对话框
Step
07选择“用户”→“添加用户
”菜单
项,打开
“New user(新用户)”对话框,
在MAC文本框中输入新用户的
MAC地址
后,单击“保存”按钮即可实现添加新用
户操作,如图9-79所示。
图
9-79 “New user”对话框
Step
08选择“用户”→“远程添加
”菜单
图
9-77 “远程控制”对话框
项,打开“远程获取用户”对话框,在其
中输入远程计算机的IP地址、数据库名称、
登录名称以及口令之后,单击“连接数据
库”按钮即可从该远程主机中读取用户,
如图9-80所示。
Step
09如果禁止局域网内某一台计算机的
网络访问权限,则可在“长角牛网络监控
机”窗口内右击该计算机,在弹出的快捷
菜单中选择“锁定/解锁”选项,打开“锁
定/解锁”对话框,如图9-81所示。
�
图
9-80 “远程获取用户”对话框
图
9-81 “锁定
/解锁”对话框
Step
10在其中选择目标计算机与其他计算机
(或关键主机组)的连接方式之后,单击
“确定”按钮即可禁止该计算机访问相应
的连接,如图9-82所示。
图
9-82 选择要禁止的计算机
Step
11在“长角牛网络监控机
”窗口内右
第9章 局域网入侵与防御技术
击某台计算机,在弹出的快捷菜单中选择
“手工管理”选项,打开“手工管理”对
话框,在其中可手动设置对该计算机的管
理方式,如图9-83所示。
图
9-83 “手工管理”对话框
Step
12在“长角牛网络监控机”工具中还可
以给指定的主机发送消息。在“长角牛网
络监控机”窗口内右击某台计算机,在弹出
的快捷菜单中选择“发送消息”选项,打开
“Send message(发送消息)”对话框,在
其中输入要发送的消息后,单击“发送”按
钮即可给该主机发送指定的消息,如图9-84
所示。
图
9-84 Send message对话框
9.4.2 大势至局域网安全卫士
大势至局域网安全卫士是一款专业的
�
局域网安全防护系统,能够有效地防止外
来电脑接入公司局域网,有效隔离局域网
电脑,并且还有禁止电脑修改IP和MAC地
址、检测局域网混杂模式网卡、防御局域
网ARP攻击等功能。
使用大势至局域网安全卫士防护系统
安全的操作步骤如下。
Step
01下载并安装大势至局域网安全卫士
后,打开“大势至局域网安全卫士”工作
界面,如图9-85所示。
图
9-85 “大势至局域网安全卫士”工作界面
Step
02单击“开始监控”按钮,可开始监控
当前局域网中的电脑信息,对于局域网外
的电脑将显示在“黑名单”窗格之中,如
图9-86所示。
Step
03如果确定某台电脑是局域网内的电
脑,则可以在“黑名单”窗格中选中该电
脑信息,然后单击“移至白名单”按钮,
将其移动到“白名单”窗格之中,如图9-87
所示。
Step
04单击“自动隔离局域网无线路由器”
右侧的“检测”按钮,可以检测当前局域
网中存在的无线路由器设备信息,并在
“网络安全事件”窗格中显示检测结果,
如图9-88所示。
图
9-86 局域网中的电脑信息
图
9-87 “白名单”窗格
Step
05单击“查看历史记录
”按钮,打开
“IPMAC-记事本”窗口,在其中查看历史
检测结果,如图9-89所示。
�
第9章 局域网入侵与防御技术
图
9-88 显示检测结果
图
9-89 “IPMAC-记事本”窗口
9.5 实战演练
9.5.1 实战1:清除上网浏览数据
浏览器在上网时会保存很多的上网
记录,这些上网记录不但随着时间的增加
越来越多,而且还有可能泄露用户的隐私
信息。如果不想让别人看见自己的上网记
录,则可以把上网记录删除。具体的操作
步骤如下。
Step
01打开Microsoft Edge浏览器,单击浏览
器右上角的“更多操作”按钮,在弹出的
列表中选择“设置”选项,如图9-90所示。
图
9-90 选择“设置”选项
Step
02打开“设置”窗格,选择“隐私搜
索和服务”,单击“清除浏览数据”组下
的“选择要清除的内容”按钮,如图9-91
所示。
图
9-91 单击“选择要清除的内容”按钮
Step
03弹出“清除浏览数据”窗格,勾选要
清除的浏览数据内容,单击“立即清除”
按钮,如图9-92所示。
图
9-92 “清除浏览数据”窗格
Step
04开始清除浏览数据,清除完成后,
单击“选择每次关闭浏览器时要清除的内
容”链接,在打开的窗格中选择关闭浏览
器时要清除的数据,如图9-93所示。
�
图
9-93 清除浏览数据
9.5.2 实战2:启用和关闭快速启动功能
使用系统中的“启用快速启动”功能,
可以加快系统的开机启动速度,启用和关
闭快速启动功能的具体操作步骤如下。
Step
01单击“开始”按钮
,在弹出的菜
单列表中选择“Window系统”→“控制面
板”菜单命令,打开“控制面板”窗口,
然后将查看方式设置为“大图标”,如图
9-94所示。
图
9-94 “控制面板”窗口
Step
02单击“电源选项”图标,打开“电源
选项”设置界面,如图9-95所示。
Step
03单击“选择电源按钮的功能
”超链
接,打开“系统设置”窗口,在“关机
设置”区域中勾选“启用快速启动(推
荐)”复选框,单击“保存修改”按钮即
可启用快速启动功能,如图9-96所示。
图
9-95 “电源选项”设置界面
图
9-96 “系统设置”窗口
Step
04如果想要关闭快速启动功能,则可
以取消对“启用快速启动(推荐)”复选
框的勾选,然后单击“保存修改”按钮即
可,如图9-97所示。
图
9-97 关闭快速启动功能
�
第10章 恶意软件与间谍软件的清理
在上网的过程中,有时会出现网页一直在刷新,或根本不会出现想要搜索的页面内
容、上网速度很慢等一系列问题,这很可能是因为电脑感染了恶意软件或间谍软件所致。
本章就来介绍网络恶意软件与间谍软件的清理,主要内容包括网页恶意代码的清除、恶意
软件的清理、间谍软件的清理等内容。
10.1 感染恶意或间谍软件后
的症状
恶意或间谍软件主要是指某些共享或
者免费软件在未经用户允许或授权的情况
下,采用不正当的方式,利用强制注册功能
或者采用诱骗、试用等手段将该软件所捆绑
的各类恶意插件强制性安装到用户的计算机
系统上,从而控制计算机。计算机感染恶
意或间谍软件后常见的几种症状如下:
1. 桌面上出现了莫名其妙的图标
用户在下载并安装一些正常软件后,
会发现桌面上出现了一些莫名其妙的图
标。这些软件很有可能是正常软件附带的
一些其他软件,会在计算机用户毫不知情
的情况安装到自己的计算机中。
2. 系统或程序不断崩溃
导致计算机系统或应用程序不断崩溃
的原因有很多,有可能是因为用户的软件和
硬件之间存在兼容问题所导致的。但是,也
有可能是像rootkits这种类型的恶意软件感
染Windows内核后,造成系统的不断崩溃。
3. 毫无任何迹象的感染
即便是用户的计算机在运行过程中不
存在任何问题,那也并不意味着是绝对安
全的,用户仍然有可能已经感染了恶意软
件或间谍软件。像僵尸网络和其他用于盗窃
用户数据的恶意软件是很难被发现的,除非
计算机用户使用了安全防护软件来扫描系
统,才能发现这些恶意软件或间谍软件。
10.2 清除网页恶意代码
计算机用户在上网时经常会遇到偷偷
篡改浏览器标题栏的网页代码,有的网站
更是不择手段,当用户访问过它们的网页
后,不仅浏览器默认首页被篡改了,而且
每次开机后浏览器都会自动弹出访问该网
站。以上这些情况都是因为感染了网络上
的恶意代码。
10.2.1 认识恶意代码
恶意代码(Malicious Code)最常见
的表现形式就是网页恶意代码,网页恶意
代码的技术以WSH为基础,即Windows
Scripting Host,中文称作“
Windows脚本宿
主”。它是利用网页来进行破坏的病毒,
使用一些脚本语言编写的一些恶意代码,
利用浏览器漏洞来实现病毒植入。
当用户登录某些含有网页病毒的网站
时,网页病毒便被悄悄激活,这些病毒一
旦激活,可以对用户的计算机系统进行破
坏,强行修改用户操作系统的注册表配置
及系统实用配置程序,甚至可以对被攻击
的计算机进行非法控制系统资源、盗取用
�
户文件、删除硬盘中的文件、格式化硬盘
等恶意操作。
10.2.2 恶意代码的传播方式
恶意代码的传播方式在迅速地演化,从
引导区传播,到某种类型文件传播,到宏病
毒传播,到邮件传播,再到网络传播,发作
和流行的时间越来越短,危害越来越大。
目前,恶意代码主要通过网页浏览
或下载、电子邮件、局域网和移动存储介
质、即时通信工具(
IM)等方式传播。广大
用户遇到的最常见的方式是通过网页浏览进
行攻击,这种方式具有传播范围广、隐蔽性
较强等特点,潜在的危害性也是最大的。
10.2.3 恶意网页代码的预防
电脑用户在上网前和上网时做好如下工
作,才能对网页恶意代码进行很好的预防:
(1)要避免被网页恶意代码感染,
首先是不要轻易去一些自己并不了解的站
点,尤其是一些看上去非常诱人的网址更
不要轻易进入,否则往往不经意间就会误
入网页代码的圈套。
(2)微软官方经常发布一些漏洞补
丁,要及时对当前操作系统及浏览器进行更
新升级,可以更好地对恶意代码进行预防。
(3)一定要在电脑上安装病毒防火墙
和网络防火墙,并要时刻打开“实时监控
功能”。通常防火墙软件都内置了大量查杀
VBS、JavaScript恶意代码的特征库,能够有
效地警示、查杀、隔离含有恶意代码的网页。
(4)对防火墙等安全类软件进行定时升
级,并在升级后检查系统进程,及时了解系统
运行情况。定期扫描系统(包括毒病扫描
与安全漏洞扫描),以确保系统安全性。
(5)关闭局域网内系统的网络硬盘共
享功能,防止一台电脑中毒影响到网络内
的其他电脑。
(6)利用hosts文件可以将已知的广告
服务器重定向到无广告的机器(通常是本
地的IP地址:127.0.0.1)上来过滤广告,从
而拦截一些恶意网站的请求,防止访问欺
诈网站或感染一些病毒或恶意软件。
(7)对浏览器进行详细安全设置。
10.2.4 恶意网页代码的清除
即便是电脑感染了恶意代码,也不要
着急,只要用户按照正确的操作方法是可
以使系统恢复正常的。如果用户是个电脑
高手,就可以对注册表进行手工操作,使
被恶意代码破坏的地方恢复正常。如果是
普通的电脑用户,就需要使用一些专用工
具来进行清除。
10.3 清理恶意软件
软件在安装的过程中,一些流氓软件
也有可能会强制安装进信息,并会在注册
表中添加相关的信息,普通的卸载方法并
不能将流氓彻底删除,如果想将软件所有
的信息删除掉,可以使用第三方软件来卸
载程序。
10.3.1 使用《360安全卫士》清理
使用《360安全卫士》可以卸载流氓软
件,具体操作步骤如下。
Step
01启动360安全卫士,在打开的主界面
中选择“电脑清理”选项,进入电脑清理
界面,如图10-1所示。
图
10-1 电脑清理界面
Step
02在电脑清理界面中选择“清理插件”
�
选项,然后单击“一键清理”按钮即可扫
描系统当中的流氓软件,如图10-2所示。
第10章 恶意软件与间谍软件的清理
10.3.2 使用《金山清理专家》清理
《金山清理专家》的首要功能就是查
杀恶意软件,在安装完《金山清理专家》
之后就可以对本地机器上恶意软件进行查
杀,具体操作步骤如下。
Step
01双击桌面上的《金山清理专家》快捷
图标,进入“金山清理专家”主窗口,如
图10-5所示。
图
10-2 扫描系统中的流氓软件
Step
03扫描完成后,单击“一键清理”按钮
即可对扫描出来的流氓软件进行清理,并给
出清理完成后的信息提示,如图10-3所示。
图
10-5 “金山清理专家”主窗口
Step
02在“恶意软件查杀”选项卡中,可以
对恶意软件、第三方插件和信任插件进行
查杀,单击“恶意软件”选项即可自动对
恶意软件进行扫描,如图10-6所示。
图
10-3 清理流氓软件
Step
04另外,还可以在“360安全卫士”窗
口中单击“软件管家”按钮,进入“360
软件管家”窗口,选择“卸载”选项卡,
在“软件名称”列表中选择需要卸载的软
件,如图10-4所示。
图
10-6 扫描恶意软件
Step
03在扫描结束之后将显示出扫描结果,
如果本机存在有恶意软件,只在勾选扫描
出的恶意软件之后,单击“清除选定项”
按钮即可将恶意软件删除掉,如图10-7
所示。
图
10-4 “360软件管家”窗口
�
图
10-7 删除恶意软件
图
10-9 检测电脑系统
10.3.3 使用《恶意软件查杀助理》清理
《恶意软件查杀助理》是针对网上流
行的各种木马病毒以及恶意软件开发的。
《恶意软件查杀助理》可以查杀超过900多
款恶意软件、木马病毒插件,找出隐匿在
系统中的毒手,具体使用方法如下。
Step
01安装软件后,单击桌面上的《恶意软
件查杀助理》程序图标启动程序,其主界
面如图10-8所示。
图
10-8 “恶意软件查杀助理”工作界面
Step
02单击“立即扫描”按钮,软件开始检
测电脑系统,如图10-9所示。
Step
03在恶意软件查杀助理安装的同时,还
会安装一个名称为恶意软件查杀工具的程
序,该工具需要与恶意软件查杀助理同时
图
10-10 “恶意软件查杀工具”工作界面
Step
04单击“系统扫描
”按钮,软件开始
对电脑系统进行扫描,并实时显示扫描过
程,如图10-11所示。
图
10-11 扫描电脑系统
运行,其主界面如图10-10所示。
�
提示:“系统扫描”完成后,用户可以
根据软件提示的结果进行进一步的清除操
作。因此,一定要记得经常对电脑系统进
行系统扫描。
10.4 查找与清理间谍软件
间谍软件是一种能够在用户不知情的
情况下,在其电脑上安装后门、收集用户
信息的软件。间谍软件以恶意后门程序的
形式存在,该程序可以打开端口、启动ftp
服务器或者搜集击键信息并将信息反馈给
攻击者。
10.4.1 使用事件查看器查找间谍软件
不管我们是不是计算机高手,都要学
会根据Windows自带的“事件查看器”中对
应用程序、系统、安全和设置等进程进行
分析与管理。
通过事件查看器查找间谍软件的操作
步骤如下。
Step
01右击“此电脑
”图标,在弹出的快
捷菜单中选择“管理”选项,如图10-12
所示。
图
10-12 “管理”选项
Step
02弹出“计算机管理”对话框,在其中
可以看到系统工具、存储、服务和应用程
序3个方面的内容,如图10-13所示。
Step
03在左侧依次单击
“计算机管理(本
地)”→“系统工具”→“事件查看器”
选项,可在下方显示事件查看器所包含的
第10章 恶意软件与间谍软件的清理
内容,如图10-14所示。
图
10-13 “计算机管理”窗口
图
10-14 “事件查看器”选项
Step
04双击
“Windows日志
”选项,可在右
侧显示有关Windows日志的相关内容,包括
应用程序、安全、设置、系统和已转发事
件等,如图10-15所示。
图
10-15 “Windows日志”选项
Step
05双击右侧区域中的
“应用程序
”选
项,可在打开的界面中看到非常详细的应
�
用程序信息,其中包括应用程序被打开、置完毕后,单击“确定”按钮即可保存设
修改、权限过户、权限登记、关闭以及重置,如图10-20所示。
要的出错或者兼容性信息等,如图10-16
所示。
图
10-16 “应用程序”选项
Step
06右击其中任意一条信息,在弹出的快
捷菜单中选择“事件属性”菜单命令,如
图10-17所示。
图
10-17 “事件属性”菜单命令
Step
07打开“事件属性”对话框,在该对话
框中可以查看该事件的常规属性以及详细
信息等,如图10-18所示。
Step
08右击其中任意一条应用程序信息,
在弹出的快捷菜单中选择“保存选择的事
件”菜单命令,弹出“另存为”对话框,
在“文件名”文本框中输入事件的名称,
并选择事件保存的类型,如图10-19所示。
Step
09单击“保存”按钮即可保存事件,并
弹出“显示信息”对话框,在其中设置是
否要在其他计算机中正确查看此日志,设
图
10-18 “事件属性”对话框
图
10-19 “另存为”对话框
图
10-20 “显示信息”对话框
Step
10双击左侧的“安全”选项,可以将电
脑记录的安全性事件信息全都枚举于此,
用户可以对其进行具体查看和保存、附加
程序等,如图10-21所示。
�
图
10-21 “安全”选项
Step
11双击左侧的
Setup选项,在右侧将会展
开系统设置详细内容,如图10-22所示。
图
10-22 Setup选项
Step
12双击左侧的“系统”选项,会在右侧
看到Windows操作系统运行时内核以及上层
软硬件之间的运行记录,这里面会记录大
量的错误信息,是黑客们分析目标计算机
漏洞时最常用到的信息库,用户最好熟悉
错误码,这样可以提高查找间谍软件的效
率,如图10-23所示。
第10章 恶意软件与间谍软件的清理
10.4.2 使用《反间谍专家》清理
使用《反间谍专家》可以扫描系统薄
弱环节以及全面扫描硬盘,智能检测和查杀
超过上万种木马、蠕虫、间谍软件等,终止
它们的恶意行为。当检测到可疑文件时,
该工具还可以将其隔离,从而保护系统的
安全。
下面介绍使用《反间谍专家》软件的基本
步骤。
Step
01运行反间谍专家程序,打开“反间
谍专家”主界面,其中有“快速查杀”和
“完全查杀”两种方式,如图10-24所示。
图
10-24 “反间谍专家”主界面
Step
02在“查杀”栏目中单击“快速查杀”
按钮,然后在右边的窗口中单击“开始查
杀”按钮,打开“扫描状态”对话框,如
图10-25所示。
图
10-25 “扫描状态”对话框
Step
03在扫描结束之后,打开“扫描报告”
对话框,在其中列出了扫描到的恶意代
码,如图10-26所示。
图
10-23 “系统”选项
�
图
10-26 “扫描报告”对话框
Step
04单击“选择全部”按钮即可选中全部
的恶意代码,然后单击“清除”按钮,可快
速杀除扫描到的恶意代码,如图10-27所示。
图
10-27 信息提示框
Step
05如果要彻底扫描并查杀恶意代码,则
需采用“完全查杀”方式。在“反间谍专
家”主窗口中,单击“完全查杀”按钮,
打开“完全查杀”对话框。其中有3种快捷
方式供选择,这里选中“扫描本地硬盘中
的所有文件”单选按钮,如图10-28所示。
码。勾选要清除的恶意代码前面的复选框
后,单击“清除”按钮即可删除这些恶意
代码,如图10-30所示。
图
10-29 查看查杀进程
图
10-30 “扫描报告”对话框
Step
08在“反间谍专家
”主界面中切换到
“常用工具”栏目中,单击“系统免疫”
按钮即可打开“系统免疫”对话框,单击
“启用”按钮即可确保系统不受到恶意程
序的攻击,如图10-31所示。
图
10-31 “系统免疫”对话框
Step
09单击“隔离区”按钮,则可查看已经
隔离的恶意代码,选择隔离的恶意项目可以
对其进行恢复或清除操作,如图10-32所示。
图
10-28 选择“完全查杀”方式
Step
06单击“开始查杀
”按钮,打开“扫
描状态”对话框,在其中可以查看查杀进
程,如图10-29所示。
Step
07待扫描结束之后,打开“扫描报告”
对话框,在其中列出所扫描到的恶意代
�
第10章 恶意软件与间谍软件的清理
的管理,如图10-35所示。
图
10-32 查看隔离的恶意代码
Step
10单击“高级工具
”功能栏即可进入
“高级工具”设置界面,如图10-33所示。
图
10-35 “服务管理”对话框
Step
13单击“网络连接管理”按钮即可打开
“网络连接管理”对话框,在其中对网络
连接进行相应的管理,如图10-36所示。
图
10-33 “高级工具”界面
Step
11单击“进程管理”按钮即可打开“进
程管理”对话框,在其中对进程进行相应
的管理,如图10-34所示。
图
10-34 “进程管理”对话框
Step
12单击“服务管理”按钮即可打开“服
务管理”对话框,在其中对服务进行相应
图
10-36 “网络连接管理”对话框
Step
14选择“工具”→“综合设定”菜单
项,打开“综合设定”对话框,在其中对扫
描设定进行相应的设置,如图10-37所示。
图
10-37 “综合设定”对话框
�
Step
15选择“查杀设定”选项卡,进入“查主窗口中选择Languages→“简体中文”命
杀设定”设置界面,在其中设定“发现恶令,可将程序主界面切换为中文模式,如
意程序时的缺省动作”,如图10-38所示。图10-40所示。
图
10-38 “查杀设定”界面
10.4.3 使用Spybot-Search &
Destroy清理
Spybot-Search&Destroy是一款专门用来
清理间谍程序的工具。目前,它已经可以
检测1万多种间谍程序(Spyware),并对
其中的1000多种进行免疫处理。这个软件
是完全免费的,并有中文语言包支持,可
以在Server级别的操作系统上使用。
下面介绍使用Spybot软件查杀间谍软件
的基本步骤。
Step
01安装Spybot-Search&Destroy并设置
好初始化之后,打开其主窗口,如图10-39
所示。
图
10-39 Spybot工作界面
Step
02由于该软件支持多种语言,所以在其
图
10-40 切换到中文模式
Step
03单击其中的“检测”按钮或单击左侧
的“检查与修复”按钮,打开“检测与修
复”窗口,并单击“检测与修复”按钮,
Spybot此时可开始检查系统找到的存在的间
谍软件,如图10-41所示。
图10-41 检测间谍软件
Step
04在软件检查完毕之后,检查页上将会
列出在系统中查到可能有问题的软件。选
取某个检查到的问题,再单击右侧的分栏
箭头,可查询到有关该问题软件的发布公
司,软件功能、说明和危害种类等信息,
如图10-42所示。
Step
05选中需要修复的问题程序,单击“修
复”按钮即可打开“将要删除这些项目”
提示信息框,如图10-43所示。
Step
06单击“是”按钮即可看到在下次系统
启动时自动运行提示框,如图10-44所示。
�
第10章 恶意软件与间谍软件的清理
“确定”按钮重启计算机修复未修复的问
题即可,如图10-46所示。
图
10-46 “确认”信息框
Step
09选择“还原”选项,在打开的界面
图
10-42 查看详细信息
中选择需要还原的项目,单击“还原”按
钮,如图10-47所示。
图
10-43 “确认”信息框
图
10-47 选择还原项目
Step
10弹出“确认”信息提示框,提示用户是
否要撤销先前所做的修改,如图10-48所示。
图
10-44 “警告”框
Step
07单击“是”按钮即可将选取的间谍程
序从系统中清除,如图10-45所示。
图
10-48 “确认”信息框
Step
11单击“是”按钮即可将修复的问题
还原到原来的状态,还原完毕后弹出“信
息”提示框,如图10-49所示。
图
10-45 清除间谍程序
Step
08待修复完成后,可看到
“确认”对
话框。在其中会实现成功修复以及尚未修
复问题的数目,并建议重启计算机。单击
图
10-49 “信息”提示框
Step
12选择“免疫”选项,进入“免疫”设
置界面,免疫功能能使用户的系统具有抵
御间谍软件的免疫效果,如图10-50所示。
�
Step
03进入“站点权限/弹出窗口和重定向”
界面中,启动“阻止(推荐)”按钮,这样
就可以阻止弹出窗口,如图10-53所示。
图
10-50 “免疫”设置界面
10.5 实战演练
10.5.1 实战1:一招解决弹窗广告
在浏览网页时,除了遭遇病毒攻击、
网速过慢等问题外,还时常遭受铺天盖地
的广告攻击,利用Microsoft Edge自带工具
可以屏蔽广告。具体的操作步骤如下。
Step
01打开Microsoft Edge浏览器,单击浏览
器右上角的“设置及其他”按钮
,在弹
出的列表中选择“设置”选项,如图10-51
所示。
图
10-51 “设置”选项
Step
02打开“设置”窗口,选择“Cookie和
网站权限”选项,在“所有权限”区域中
单击“弹出窗口和重定向”右侧的
按钮,
如图10-52所示。
图
10-52 “所有权限”区域
图
10-53 启动“阻止
(推荐
)”按钮
Step
04在“所有权限
”区域中单击
“侵入
性广告”右侧的
按钮,在打开的“站点权
限/侵入性广告”界面中可以启动“在显
示干扰或误导性广告的站点上阻止(推
荐)”按钮,这样就可以阻止侵入性广
告,如图10-54所示。
图
10-54 阻止侵入性广告
10.5.2 实战2:阻止流氓软件自动运行
在使用电脑的时候,有可能会遇到流
氓软件,如果不想程序自动运行,就需要
用户阻止程序运行。具体操作步骤如下:
Step
01右击“”按钮,在弹出的快捷菜单
中选择“运行”菜单命令,即可打开“运
行”对话框输入“gpedit.msc”,如图10-55
所示。
Step
02单击“确定”按钮,打开“本地组策
略编辑器”窗口,如图10-56所示。
Step
03依次单击“用户配置”→“管理模
板”→“系统”文件,双击“不运行指定的
Windows应用程序”选择,如图10-57所示。
�
第10章 恶意软件与间谍软件的清理
Step
05单击下方的
“显示...”按钮,打开
“显示内容”对话框,在其中添加不允许
的应用程序,如图10-59所示。
图
10-55 “运行”对话框
图
10-56 “本地组策略编辑器”窗口
图
10-58 选中“已启用”
图
10-59 “显示内容”对话框
Step
06单击“确定”按钮即可把想要阻止
的程序名添加进去,此时,如果再运行此
程序,就会弹出相应的应用提示框,如图
10-60所示。
图
10-57 “系统”设置界面
Step
04打开
“不运行指定的
Windows应用程
序”窗口,选中“已启用”来启用策略,
如图10-58所示。
图
10-60 限制信息提示框
�
第11章 后门入侵与痕迹清理技术
从入侵者与远程主机/服务器建立连接起,系统就开始把入侵者的IP地址及相应操作
事件记录下来。系统管理员可以通过这些日志文件找到入侵者的入侵痕迹,从而获得入侵
证据及入侵者的IP地址。本章就来介绍后门入侵与痕迹清理技术。
11.1 账户后门入侵与防御
在Windows操作系统中,管理员账户有
着极大的控制权限,黑客常常利用各种技术
对账户进行破解,从而获得电脑的控制权。
11.1.1 使用DOS命令创建隐藏账户
黑客在成功入侵一台主机后,会在该
主机上建立隐藏账号,以便长期控制该主
机,下面介绍使用命令创建隐藏账号的操
作步骤。
Step01单击“”按钮,在弹出的快捷菜单中选
择“运行”选项,打开“运行”对话框,在“打
开”文本框中输入cmd,如图11-1所示。
图
11-1 “运行”对话框
Step
02单击“确定”按钮,打开“命令提示
符”窗口。在其中输入“net user ty$ 123456
/add”命令,按Enter键,即可成功创建一个
名为“ty$”,密码为“123456”的隐藏账
户,如图11-2所示。
Step
03输入“net localgroup administrators ty$
/add”命令,按Enter键后,可对该隐藏账户
赋予管理员权限,如图11-3所示。
图
11-2 “命令提示符”窗口
图
11-3 赋予管理员权限
Step
04输入net user命令,按Enter键可显示
当前系统中所有已存在的账户信息。但是
却发现刚刚创建的“ty$”并没有显示,如
图11-4所示。
图
11-4 显示用户账户信息
�
由此可见,隐藏账户可以不被命令查
看到。不过,这种方法创建的隐藏账户并
不能完美被隐藏。查看隐藏账户的具体操
作步骤如下。
Step
01在桌面上右击“此电脑”图标,在弹
出的快捷菜单中选择“管理”选项,打开
“计算机管理”窗口,如图11-5所示。
图
11-5 “计算机管理”窗口
Step
02依次单击“系统工具”→“本地用户
和组”→“用户”选项,这时在右侧的窗
格中可以发现创建的ty$隐藏账户依然会被
显示,如图11-6所示。
图
11-6 显示隐藏账户
注意:这种隐藏账户的方法并不实用,
只能做到在“命令提示符”窗口中隐藏,
属于入门级的系统账户隐藏技术。
11.1.2 在注册表中创建隐藏账户
注册表是Windows系统的数据库,包含
第11章 后门入侵与痕迹清理技术
系统中非常多的重要信息,也是黑客最多
关注的地方。下面就来看看黑客是如何使
用注册表来更好地隐藏。
Step
01单击“”→“运行”选项,打开
“运行”对话框,在“打开”文本框中输
入regedit,如图11-7所示。
图
11-7 “运行”对话框
Step
02单击“确定”按钮,打开“注册表
编辑器”窗口,在左侧窗口中,依次选择
HKEY_LOCAL_MACHINE\SAM\SAM注册
表项,右击SAM,在弹出的快捷菜单中选
择【权限】选项,如图11-8所示。
图
11-8 “注册表编辑器”窗口
Step
03打开“SAM的权限”对话框,在“组
或用户名称”栏中选择Administrators,然后
在“Administrators的权限”栏中勾选“完全
控制”和“读取”复选框,单击“确定”按
钮保存设置,如图11-9所示。
Step
04依次选择HKEY_LOCAL_MACHINE\
SAM\SAM\Domains\Account\Users\ Names
注册表项,可查看到以当前系统中的所有系
统账户名称命名的子项,如图11-10所示。
�
图
11-11 “导出”选项
图
11-9 “SAM的权限”对话框
图11-10 查看系统账户
Step
05右击
“ty$”项,在弹出的快捷菜单
中选择“导出”选项,如图11-11所示。
Step
06打开“导出注册表文件
”对话框,
将该项命名为ty.reg,然后单击“保存”按
钮,可导出ty.reg,如图11-12所示。
Step
07按照Step05的方法,将HKEY_LOCAL_
MACHINE\SAM\SAM\Domains\ Account\
Users\下的000001F4和000003E9项分别导出
并命名为administrator.reg和user.reg,如图
11-13所示。
图
11-12 “导出注册表文件”对话框
图
11-13 导出注册表文件
�
Step
08用记事本打开administrator.reg,选中
"F"=后面的内容并复制下来,如图11-14所示。
图
11-14 打开
administrator.reg
Step09
打开user.reg,将"F"=后面的内容替
换掉。完成后,将u ser.reg进行保存,如图11-15
所示。
图
11-15 打开
user.reg
Step
10打开“命令提示符”窗口,输入net
user ty$ /del命令,按Enter键后,即可将建立
的隐藏账号
“ty$”删除,如图11-16所示。
图
11-16 “命令提示符”窗口
第11章 后门入侵与痕迹清理技术
Step
11分别将ty.reg和user.reg导入到注册表
中,完成注册表隐藏账号的创建,在“本
地用户和组”窗口中,也查看不到隐藏账
号,如图11-17所示。
图
11-17 “计算机管理”窗口
提示:利用此种方法创建的隐藏账户在
注册表中还是可以查看到的。为了保证建
立的隐藏账户不被管理员删除,还需要对
HKEY_LOCAL_MACHINE\SAM\SAM注册
表项的权限取消。这样,即便是真正的管
理员发现了并要删除隐藏账户,系统就会
报错,并且无法再次赋予权限。经验不足
的管理员就只能束手无策了。
11.1.3 找出创建的隐藏账户
当确定了自己的计算机遭到了入侵,
可以在不重装系统的情况下采用如下方式
“抢救”被入侵的系统。隐藏账户的危害
是不容忽视的,用户可以通过设置组策
略,使黑客无法使用隐藏账户登录。具体
操作步骤如下。
Step
01单击“”按钮,在弹出的快捷菜
单中选择“运行”选项,打开“运行”对
话框,在“打开”文本框中输入“gpedit.
msc”,如图11-18所示。
Step
02单击“确定”按钮,打开“本地组
策略编辑器”窗口,依次单击“计算机
配置”→“Windows设置”→“安全设
置”→“本地策略”→“审核策略”选
项,如图11-19所示。
�
图
11-18 “运行”对话框
图
11-19 “本地组策略编辑器”窗口
Step
03双击右侧窗口中的“审核策略更改”
选项,打开“审核策略更改属性
”对话
框,勾选“成功”复选框,单击“确定”
按钮保存设置,如图11-20所示。
图
11-20 “审核策略更改属性”对话框
Step
04按照上述Step03,将“审核登录事
件”选项做同样的设置,如图11-21所示。
图
11-21 “审核登录事件属性”对话框
Step
05按照上述Step03,将“审核过程跟
踪”选项做同样的设置,如图11-22所示。
图
11-22 “审核过程跟踪属性”对话框
Step
06设置完成后,用户就可以通过
“计
算机管理”窗口中的“事件查看器”选项
中,查看所有登录过系统的账户及登录的时
间,有可疑的账户在这里一目了然,即便黑
客删除了登录日志,系统也会自动记录删
除日志的账户,如图11-23所示。
图
11-23 “计算机管理”窗口
�
提示:在确定了黑客的隐藏账户之后,
却无法删除。这时,可以通过“命令提示
符”窗口,运行“net user隐藏账号的名
称新密码”命令来更改隐藏账户的登录
密码,使黑客无法登录该账户。
11.1.4 创建密码恢复盘
有时,进入系统的账户密码被黑客破
解并修改后,用户就进不了系统,但如果
事先创建了密码恢复盘,就可以强制进行
密码恢复以找到原来的密码。Windows系统
自带有创建账户密码恢复盘功能,利用该
功能可以创建密码恢复盘。
创建密码恢复盘的具体操作步骤如下。
Step
01单击“”按钮,在弹出的菜单列表
中选择“Windows系统”→“控制面板”菜
单命令,打开“控制面板”窗口,然后将
查看方式设置为“大图标”,双击“用户
账户”图标,如图11-24所示。
图
11-24 “控制面板”窗口
Step
02打开“用户账户”窗口,在其中选择
要创建密码恢复盘的账户,如图11-25所示。
Step
03单击“创建密码重设盘”超链接,弹
出“欢迎使用忘记密码向导”对话框,如
图11-26所示。
Step
04单击“下一步”按钮,弹出“创建密
码重置盘”对话框,如图11-27所示。
Step
05单击“下一步”按钮,弹出“当前用
户账户密码”对话框,在下面的文本框中
第11章 后门入侵与痕迹清理技术
输入当前用户密码,如图11-28所示。
图
11-25 “用户账户”窗口
图
11-26 “欢迎使用忘记密码向导”对话框
图
11-27 “创建密码重置盘”对话框
�
Step
06单击“下一步”按钮,开始创建密码
重设盘,创建完毕后,将它保存到安全的
地方,这样就可以在密码丢失后进行账户
密码恢复了。
图
11-28 “当前用户账户密码”对话框
11.2 黑客留下的脚印——日志
日志是黑客留下的脚印,其本质就是
对系统中的操作进行的记录,用户对计算
机的操作和应用程序的运行情况都能记录
下来,所以黑客在非法入侵计算机以后所
有行动的过程也会被日志记录在案。
11.2.1 日志的详细定义
日志文件是Windows系统中一个比较特
殊的文件,它记录着Windows系统中所发生
的一切,如各种系统服务的启动、运行、
关闭等信息。日志文件通常有应用程序日
志、安全日志、系统日志、DNS服务器日
志和FTP日志等。
1. 日志文件的默认位置
①DNS日志的默认位置:%systemroot%\
system32\config,默认文件大小为
512KB,管
理员都会改变这个默认大小。
②安全日志文件默认位置:
%systemroot%\
system32\config\SecEvent.EVT。
③系统日志文件默认位置:
%systemroot%\
system32\config\sysEvent.EVT。
④应用程序日志文件默认位置:
%systemroot%\system32\config\AppEvent.
EVT。
⑤
Internet信息服务
FTP日志默认
位置:%systemroot%\system32\logfiles\
msftpsvc1\,默认每天一个日志。
⑥Internet信息服务WWW日志默认
位置:%systemroot%\system32\logfiles\
w3svc1\,默认每天一个日志。
⑦
Scheduler服务日志默认位
置:%systemroot%\schedlgu.txt。
2. 日志在注册表里的键
①应用程序日志、安全日志、系统日
志、DNS服务器日志的文件在注册表中的
键为HKEY_LOCAL_MACHINE\system\
CurrentControlSet\Services\Eventlog,有的
管理员很可能将这些日志重定位。其中
Eventlog下面有很多子表,里面可查看到以
上日志的定位目录。
②Schedluler服务日志在注册表中的键
为HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\SchedulingAgent。
3. FTP和WWW日志
FTP日志和WWW日志在默认情况下,
每天生成一个日志文件,包括当天的所有
记录。文件名通常为
ex(年份)(月份)
(日期),从日志里能看出黑客入侵时间、
使用的IP地址以及探测时使用的用户名,这
样使得管理员可以想出相应的对策。
11.2.2 为什么要清理日志
Windows网络操作系统都设计有各种各
样的日志文件,如应用程序日志、安全日
志、系统日志、Scheduler服务日志、FTP日
志、WWW日志、DNS服务器日志等,其
�
扩展名为log.txt。这些根据用户的系统开启
的服务的不同而有所不同。
黑客们在获得服务器的系统管理员权
限之后就可以随意破坏系统上的文件了,
包括日志文件。但是这一切都将被系统日
志记录下来,所以黑客们想要隐藏自己的
入侵踪迹,就必须对日志进行修改,最简
单的方法就是删除系统日志文件。
为了防止管理员发现计算机被黑客入
侵后通过日志文件查到黑客的来源,入侵
者都会在断开与自己入侵的主机连接前删
除入侵时的日志。
11.3 分析系统日志信息
作为一名入侵者,在清理入侵记录
和痕迹之前,都是先分析一个入侵日志,
从中找出需要保留的入侵信息和记录。
WebTrends是一款非常好的日志分析软件,
它可以很方便地生成日报、周报和月报
等,并有多种图表生成方式,如柱状图、
曲线图、饼状图等。
第11章 后门入侵与痕迹清理技术
Step02
在认真阅读安装许可协议后,
单击
“
Accept(同意)”按钮,进入
“Welcome!(欢迎安装向导)”对话框,
在“Please select from the following options(请从以下选项中选择)”单选按钮中选
中“Install a time limited trial(安装有时间
限制)”单选项,如图11-30所示。
图
11-30 “欢迎安装向导”对话框
Step
03单击Next按钮,打开“Select Destination
Directory(选择目标安装位置)”对话框,
在其中选择目标程序安装的位置,如图11-31
所示。
11.3.1 安装日志分析工具
在使用之前先安装WebTrends软件,具
体的操作步骤如下。
Step
01下载并双击WebTrends安装程序图
标,打开
“License Agreement(安装许可协
议)”对话框,如图11-29所示。
图
11-29 “安装许可协议”对话框
图
11-31 “选择目标安装位置”对话框
Step
04在选择好需要安装的位置之后,单击
Next按钮,打开“Ready to Install(准备安
装)”对话框,在其中可以看到安装复制
的信息,如图11-32所示。
Step
05单击
Next按钮,打开
“Installing(正
在安装)”对话框,在其中看到安装的状
态并显示安装进度条,如图11-33所示。
�
图
11-32 “准备安装”对话框
图
11-33 “正在安装”对话框
Step
06安装完成之后,打开“Installation
Completed!(安装完成)”对话框,单击
Finish按钮完成整个安装过程,如图11-34
所示。
图
11-34 “安装完成”对话框
11.3.2 创建日志站点
另外,在WebTrends使用之前,用户还
必须先建立一个新的站点,在WebTrends中
创建日志站点的具体操作步骤如下。
Step
01在安装
WebTrends完成之后,依次选
择“开始”→“所有程序”→“WebTrends
LogAnalyzer”选项,打开“WebTrends
Product licensing(输入序列号)”对话
框,在其中输入序列号,如图11-35所示。
图
11-35 输入序列号
Step
02单击“Submit(提交)”按钮,如果
看到“添加序列号成功”提示,则说明该
序列号是可用的,如图11-36所示。
图
11-36 信息提示框
Step
03单击“确定”按钮之后,单击“Exit(退出)”按钮,可看到
“
Professor
WebTrends(WebTrends目录)”窗口,如
图11-37所示。
图
11-37 “WebTrends目录”窗口
Step
04单击“Start Using the Product(开始
使用产品)”按钮,打开“Registration(注
�
第11章 后门入侵与痕迹清理技术
册)”对话框,如图11-38所示。DNS查询方式,如图11-41所示。
图
11-38 “注册”对话框
Step
05单击“Register Later(以后注册)”
按钮,打开“WebTrends Log Analyzer”主
窗口,如图11-39所示。
图
11-40 “添加站点日志”对话框
图
11-39 “WebTrendsLog Analyzer”主窗口
Step06单击“New(新建)”按钮,打开
图
11-41 “查询
DNS”对话框
Step
08单击“下一步”按钮,打开“设置站点
日志—站点首页”对话框,在其中设置站点的
首页文件和
URL等属性,如图11-42所示。
“添加站点日志—标题,URL”对话框,
在“Description(描述)”文本框中输入
准备访问日志的服务器类型名称;在“Log
File URL Path(日志文件URL路径)”下
拉列表中选择存放方式;在后面的文本框
中输入相应的路径;在“Log File Format(日志文件格式)”下拉列表中可以看出
WebTrends支持多种日志格式,这里选择
“Auto-detect log file type(自动监听日志文
件类型)”选项,如图11-40所示。
图
11-42 “站点首页”对话框
Step07单击“下一步”按钮,打开“设置站点
日志—查询DNS”对话框,在其中可以设置地址
�
Step
09单击“下一步
”按钮,打开“设置择“Store Fast Trends databases in default
站点日志—过滤”对话框,在其中需要设location(在本地保存快速生成的数据
置WebTrend对站点中哪些类型的文件做日库)”复选框,如图11-45所示。
志,这里默认的是所有文件类型(Include
All),如图11-43所示。
图
11-43 “过滤”对话框
Step
10单击“下一步”按钮,打开“设置站
点日志—数据和真实时间”对话框,在其
中勾选“Use FastTrends database(使用快速
分析数据库)”复选框和“Analyze log file
in real-time(在真实时间分析日志)”复选
框,如图11-44所示。
图
11-44 “数据和真实时间”对话框
Step
11单击“下一步
”按钮,打开“设置
站点日志—高级设置”对话框,这里勾选
图
11-45 “高级设置”对话框
Step
12单击“完成”按钮即可完成新建日志
站点,在WebTrends Log Analyzer窗口可看
到新创建的Web站点,如图11-46所示。
图
11-46 完成新建日志站点
11.3.3 生成日志报表
一个日志站点创建完成后,等待一定访
问量后就可以对指定的目标主机进行日志分
析并生成日志报表了,具体的操作步骤如下。
Step
01在WebTrends Log Analyzer主窗口中
单击“工具栏”中的“Report(报告)”
�
按钮打开“Create Report(生成报告)”对
话框,在“Report Range(报告类型)”列
表中可以看到WebTrends提供多种日志的产
生时间以供选择,这里选择所有的日志。
还需要对报告的风格、标题、文字、显示
哪些信息(如访问者IP地址、访问时间、
访问内容等)等信息进行设置,如图11-47
所示。
图
11-47 “生成报告”对话框
Step
02单击“Start(开始)”按钮,可对选
择的日志站点进行分析并生成报告,如图
11-48所示。
图
11-48 分析日志报告
Step
03待分析完毕之后可看到HTML形式的
报告,在其中可以看到该站点的各种日志
信息,如图11-49所示。
图
11-49 HTML形式日志报告
第11章 后门入侵与痕迹清理技术
11.4 清除服务器入侵日志
黑客在入侵服务器的过程中,其操作
会留下痕迹,本节主要讲述如何清除这些
痕迹。那么清除掉日志是黑客入侵后必须
要做的一件事情。下面为大家详细介绍黑
客是通过什么样的方法把记录自己痕迹的
日志清除掉的。
11.4.1 清除系统服务日志
使用SRVINSTW可以清除系统服务日
志,具体操作步骤如下。
Step
01如果黑客已经通过图形界面控制对方
的计算机,在该计算机上运行SRVINSTW.exe程
序,打开“欢迎使用本软件”对话框,在其中选
中“移除服务”单选按钮,如图11-50所示。
图
11-50 “欢迎使用本软件”对话框
Step
02单击“下一步”按钮,打开“计算机
类型选择”对话框,在“请选择要执行的
计算机类型”栏目中选中“本地机器”单
选按钮,如图11-51所示。
提示:如果没有控制目标的计算机,但
已经和对方建立具有管理员权限的IPC$连
接,此时应该在“请选择要执行的计算机类
型”栏目中选中“远程机器”单选按钮,并
在“计算机名”文本框中输入远程计算机的
IP地址之后,单击“下一步”按钮,同样可
以将该远程主机中的服务删除。
Step
03单击“下一步”按钮,打开“服务
�
名”选择对话框,在“服务名”下拉列表中
选择需要删除的服务选项,这里选择“IP
转换配置服务”选项,如图11-52所示。
图
11-51 “计算机类型选择”对话框
图
11-52 “服务名”选择对话框
Step
04单击“下一步”按钮,打开“准备好
移除服务”对话框,如图11-53所示。
图
11-53 “准备好移除服务”对话框
Step
05如果确定要删除该服务,单击“完
成”按钮即可看到“服务成功移除”提示
框。单击“确定”按钮,可将主机中的服
务删除,如图11-54所示。
图
11-54 信息提示框
11.4.2 批处理清除日志信息
在一般情况下,日志会忠实地记录它接
收到的任何请求,用户会通过查看日志来发
现入侵的企图,从而保护自己的系统。所以
黑客在入侵系统成功后,首先便是清除该计
算机中的日志,擦去自己的形迹。除手工删除
外,还可以通过创建批处理文件来删除日志。
具体的操作步骤如下。
第1步:在记事本中编写一个可以清除
日志的批处理文件,其具体的内容如下:
@del C:\Windows\system32\logfiles\*.*
@del C:\Windows \system32\config\*.evt
@del C:\Windows \system32\dtclog\*.*
@del C:\Windows \system32\*.log
@del C:\Windows \system32\*.txt
@del C:\Windows \*.txt
@del C:\Windows t\*.log
@del c:\del.bat
第2步:把上述内容保存为del.bat备
用。再新建一个批处理文件并将其保存为
clear.bat文件,其具体内容如下:
@copy del.bat \\1\c$
@echo 向肉鸡复制本机的del.bat……OK
@psexec \\1 c:\del.bat
@echo 在肉鸡上运行del.bat,清除日志
文件……OK
�
在上述代码中echo是DOS下的回显命
令,在它的前面加上“
@”前缀字符,表
示执行时本行在命令行或DOS里面不显
示,它是删除文件命令。
第3步:假设已经与肉鸡进行了
IPC
连接之后,在“命令提示符”窗口中输入
“clear.bat 192.168.0.10”命令,可清除该主
机上的日志文件。
11.4.3 清除WWW和FTP日志信息
黑客在对目标服务器实施入侵之后,
为了防止网络管理员对其进行追踪,往
往要删除留下的IP记录和FTP记录,但
这种系统日志用手工的方法很难清除,
这时需要借助于其他软件进行清除。在
Windows系统中,WWW日志一般都存放
在%winsystem%\sys tem32\logfiles\w3svc1文
件夹中,包括WWW日志和FTP日志。
Windows 10系统中一些日志存放路径
和文件名如下:
●
安全日志:C:\windows\system\
system32\config\Secevent.evt。
●
应用程序日志:C:\windows\system\
system32\config\AppEvent.evt。
●
系统日志:C:\windows\winsystem\
system32\config\SysEvent.evt。
●
IIS的
FTP日志:
C:\windows\
system%\system32\logfiles\
msftpsvc1\,默认每天一个日志。
●
IIS的WWW日志:C:\windows\system\
system32\logfiles\w3svc1\默认每天一
个日志。
●
Scheduler服务日志:
C:\windows\
winsystem\schedlgu.txt。
●
注册表项目如下:[HKLM]\system\
CurrentControlSet\Services\Eventlog。
●
Schedluler服务注册表所在项目:
[HKLM]\SOFTWARE\Microsoft\
SchedulingAgent。
第11章 后门入侵与痕迹清理技术
1.清除
WWW日志
在IIS中WWW日志默认的存储位置
是:C:\windows\system\system32\logfiles\
w3svc1\,每天都产生一个新日志。如果管
理员对其存放位置进行了修改,则可以运
用iis.msc对其进行查看,再通过查看网站的
属性来查找到其存放位置,此时,就可以
在“命令提示符”窗口中通过“del *.*”命
令来清除日志文件了。
但这个方法删除不掉当天的日志,
这是因为w3svc服务还在运行着。可以用
“net stop w3vsc”命令把这个服务停止之
后,再用“del *.*”命令,就可以清除当天
的日志了。
用户还可以用记事本把日志文件打
开,删除其内容之后再进行保存也可以清
除日志。最后用“net start w3svc”命令再
启动w3svc服务就可以了。
提示:删除日志前必须先停止相应的服
务,再进行删除即可。日志删除后务必要
记得再打开相应的服务。
2.清除
FTP日志
FTP日志的默认存储位置为C:\windows\
system\system32\logfiles\msftpsvc1\,其清除
方法和清除WWW日志的方法差不多,只是
所要停止的服务不同。
清除FTP日志的具体操作步骤如下。
Step
01在“命令提示符”窗口中运行net stop
mstfpsvc命令即可停掉msftpsvc服务,如图
11-55所示。
图
11-55 停止
msftpsvc服务
�
Step
02运行
“del *.*”命令或找到日志文
件,并将其内容删除。
Step
03最后通过运行net start msftpsvc命
令,再打开msftpsvc服务即可,如图11-56
所示。
提示:也可修改目标计算机中的日志
文件,其中
WWW日志文件存放在
w3svc1文件夹
下,FTP日志文件存放在msftpsvc文件夹下,每个
日志都是以eX.log为命名的(其中X代表日期)。
图
11-56 运行
msftpsvc服务
11.
5 实战演练
11.5.1 实战1:保存系统日志文件
将日志文件存档可以方便分析日志信
息,从而找出异常日志信息,将日志文件
存档的具体操作步骤为:
Step
01单击“”按钮,在弹出的快捷菜
单中选择“计算机管理”菜单命令,如图
11-57所示。
Step
02打开“计算机管理”窗口,在其中展
开“事件查看器”图标,右击要保存的日
志,如这里选择
“Windows日志”选项下的
“系统”选项,在弹出的快捷菜单中选择
“将所有事件另存为”菜单命令,如图11-58
所示。
图
11-58 “将所有事件另存为”菜单命令
Step
03打开“另存为
”对话框,在“文件
名”文本框中输入日志名称,这里输入
“系统日志”,如图11-59所示。
图
11-59 “另存为”对话框
Step
04单击“保存”按钮,弹出“显示信
息”对话框,在其中设置相应的参数,然
后单击“确定”按钮即可将日志文件保存
到本地计算机之中,如图11-60所示。
图
11-57 “计算机管理”菜单命令
�
图
11-60 “显示信息”对话框
11.5.2 实战2:清理磁盘垃圾文件
在没有安装专业的清理垃圾的软件
前,用户可以手动清理磁盘垃圾临时文
件,为系统盘瘦身。具体操作步骤如下。
Step01
选择“开始”→“所有应用”→
“Windows系统”→“运行”菜单命令,在
“打开”文本框中输入cleanmgr命令,按
Enter键确认,如图11-61所示。
图
11-61 “运行”对话框
Step
02弹出“磁盘清理:驱动器选择”对话
框,单击“驱动器”下面的向下按钮,在
弹出的下拉菜单中选择需要清理临时文件
的磁盘分区,如图11-62所示。
第11章 后门入侵与痕迹清理技术
Step
03单击“确定”按钮,弹出“磁盘清
理”对话框,并开始自动计算清理磁盘垃
圾,如图11-63所示。
图
11-63 “磁盘清理”对话框
Step
04弹出“Windows10(C:)的磁盘清
理”对话框,在“要删除的文件”列表中
显示扫描出的垃圾文件和大小,选择需要
清理的临时文件,单击“清理系统文件”
按钮,如图11-64所示。
图
11-64 选择要清理的文件
Step
05系统开始自动清理磁盘中的垃圾文
件,并显示清理的进度,如图11-65所示。
图
11-65 清理垃圾文件
图
11-62 选择驱动器
�
第12章 病毒和木马的入侵与防御
随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨。本
章就来介绍病毒和木马的查杀与预防,主要内容包括什么是病毒和木马、常见的病毒种类
以及如何防御病毒和木马的危害等内容。
12.1 认识病毒
随着网络的普及,病毒也更加泛滥,
它对计算机有着强大的控制和破坏能力,
能够盗取目标主机的登录账户和密码、删
除目标主机的重要文件、重新启动目标主
机、使目标主机系统瘫痪等。因此,熟知
病毒的相关内容就显得非常重要。
12.1.1 计算机病毒的种类
平常所说的电脑病毒,是人们编写
的一种特殊的计算机程序,能通过修改计
算机内的其他程序把自身复制到其他程序
中,从而完成对其他程序的感染和侵害。
之所以称其为“病毒”,是因为它具有与
微生物病毒类似的特征:在计算机系统内
生存,在计算机系统内传染,还能进行自
我复制,并且抢占计算机系统资源,干扰
计算机系统的正常工作。
电脑病毒有很多种,主要有以下几
类,如表12-1所示。
表12-1 计算机病毒分类
病 毒病毒特征
文件型病毒这种病毒会将它自己的代码附上可执行文件(.exe、.com、.bat等)
引导型病毒引导型病毒包括两类:一类是感染分区的;另一类是感染引导区的
宏病毒一种寄存在文档或模板中的计算机病毒;打开文档,宏病毒会被激活,破坏系统和文档的运行
其他类
例如一些最新的病毒使用网站和电子邮件传播,它们隐藏在Java和ActiveX程序里面,如果用户
下载了含有这种病毒的程序,它们便立即开始破坏活动
12.1.2 计算机中毒的途径
常见计算机中毒的途径有以下几种。
(1)单击超链接中毒。这种入侵方法主
要是在网页中放置恶意代码引诱用户点击,
一旦用户单击超链接,就会感染病毒,因
此不要随便单击网页中的链接。
(2)网站中存在各种恶意代码,借助
浏览器的漏洞,强制用户安装一些恶意软
件,而且有些顽固的软件很难卸载。建议
用户及时更新系统补丁,对于不了解的插件
不要随便安装,以免给病毒流行可乘之机。
(3)通过下载附带病毒的软件中毒,有
些破解软件在安装时会附带安装一些病毒
程序,而此时用户并不知道。建议用户下
载正版的软件,尽量到软件的官方网站去
下载。如果在其他的网站上下载了软件,
可以使用杀毒软件先查杀一遍。
(4)通过网络广告中毒。上网时经常
�
可以看到一些自动弹出的广告,包括悬浮
广告、异常图片等。特别是一些中奖广告,
往往带有病毒链接。
12.1.3 计算机中病毒后的表现
一般情况下,计算机病毒依附某一系
统软件或用户程序进行繁殖和扩散,病毒
发作时危及计算机的正常工作,破坏数据
与程序,侵占计算机资源等。
计算机在感染病毒后的现象为:
(1)屏幕显示异常,屏幕显示出不是由
正常程序产生的画面或字符串,屏幕显示
混乱。
(2)程序装入时间增长,文件运行速度
下降。
(3)用户并没有访问的设备出现“忙”
信号。
(4)磁盘出现莫名其妙的文件和磁盘
坏区,卷标也发生变化。
(5)系统自行引导。
(6)丢失数据或程序,文件字节数发生
变化。
(7)内存空间、磁盘空间减少。
(8)异常死机。
(9)磁盘访问时间比平常增长。
(10)系统引导时间增长。
(11)程序或数据神秘丢失。
(12)可执行文件的大小发生变化。
(13)出现莫名其妙的隐藏文件。
12.2 查杀病毒
当自己的计算机出现中毒的特征后,
就需要对其查杀病毒。目前流行的杀毒软
件很多,《360杀毒》是当前使用比较广
泛的杀毒软件之一,该软件拥有完善的病
毒防护体系,不但查杀能力出色,而且对
于新产生的病毒和木马能够第一时间进行
防御。
第12章 病毒和木马的入侵与防御
12.2.1 安装杀毒软件
《360杀毒》软件下载完成后,即可进
行安装杀毒软件,具体操作步骤如下。
Step
01双击下载的《360杀毒》软件安装程
序,打开如图12-1所示的安装界面。
图
12-1 《360杀毒》软件安装界面
Step
02单击“立即安装
”按钮,开始安装
《360杀毒》,并显示安装的进度,如图
12-2所示。
图
12-2 安装进度
Step
03安装完毕后,打开《360杀毒》主界
面,完成其的安装,如图12-3所示。
图
12-3 完成安装
�
12.2.2 升级病毒库
病毒库其实就是一个数据库,里面记
录着计算机病毒的种种特征,以便及时发现
病毒并绞杀它们。只有拥有了病毒库,杀毒
软件才能区分病毒和普通程序。
新病毒层出不穷,可以说每天都有难
以计数的新病毒产生。想要让计算机能够
对新病毒有所防御,就必须保证本地杀毒
软件的病毒库一直处于最新版本。下面以
《360杀毒》的病毒库升级为例进行介绍,
具体操作步骤如下。
1. 手动升级病毒库
升级《360杀毒》病毒库的具体操作步
骤如下。
Step
01单击《360杀毒》主界面的“检查更
新”链接,如图12-4所示。
图
12-4 360杀毒工作界面
Step
02弹出
“360杀毒
-升级
”对话框,提示
用户正在升级,并显示升级的进度,如图
12-5所示。
图
12-5 升级病毒库
Step
03升级完成后,弹出
“360杀毒
-升级
”
对话框,提示用户升级成功完成,并显示
程序的版本等信息,单击“关闭”按钮即
可完成病毒库的更新,如图12-6所示。
图
12-6 完成病毒库的升级
2. 制订病毒库升级计划
为了减去用户实时操心病毒库更新的
问题,可以给杀毒软件制订一个病毒库自
动更新的计划。
Step
01打开《360杀毒》的主界面,单击右
上角的“设置”链接,如图12-7所示。
图
12-7 “设置”超链接
Step
02弹出“设置”对话框,用户可以通过
选择“常规设置”“病毒扫描设置”“实
时防护设置”“升级设置”“系统白名
单”和“免打扰设置”等选项,详细地设
置杀毒软件的参数,如图12-8所示。
Step
03选择“升级设置”选项,在弹出的对
话框中用户可以设置自动升级设置和代理
服务器设置,设置完成后单击“确定”按
钮,如图12-9所示。
�
图
12-8 “设置”对话框
图
12-9 “升级设置”界面
自动升级设置由3部分组成,用户可根
据需求自行选择。
(1)自动升级病毒特征库及程序:选中
该项后,只要
360杀毒程序发现网络上有病
毒库及程序的升级,就会马上自动更新。
(2)关闭病毒库自动升级,每次升级时
提醒:网络上有版本升级时,不直接更新,
而是给用户一个升级提示框,升级与否由
用户自己决定。
(3)关闭病毒库自动升级,也不显示
升级提醒:网络上有版本升级时,不进行
病毒库升级,也不显示提醒信息。
(4)定时升级:制订一个升级计划,
在每天的指定时间直接连接网络上的更新
版本进行升级。
注意:一般不建议用户对代理服务器设
置项进行设置。
第12章 病毒和木马的入侵与防御
12.2.3 快速查杀病毒
一旦发现计算机运行不正常,用户应
首先分析原因,然后即刻利用杀毒软件进
行杀毒操作。下面以“360杀毒”查杀病毒
为例讲解如何利用杀毒软件杀毒。
使用《360杀毒》软件杀毒的具体操作
步骤如下。
Step
01启动《360杀毒》,《
360杀毒》为用户
提供了3种查杀病毒的方式,即快速扫描、
全盘扫描和自定义扫描,如图12-10所示。
图
12-10 选择杀毒方式
Step
02这里选择快速扫描方式,单击“快速
扫描”按钮即可开始扫描系统中的病毒文
件,如图12-11所示。
图
12-11 快速扫描
Step
03在扫描的过程中,如果发现木马病
毒,则会在下面的空格中显示扫描出来的
木马病毒,并列出了其危险程度和相关描
述信息,如图12-12所示。
Step
04单击“立即处理
”按钮即可删除扫
�
描出来的木马病毒或安全威胁对象,如图
12-13所示。
图
12-12 扫描完成
图
12-13 显示高危风险项
Step
05单击“确定”按钮,返回“360杀
毒”窗口,在其中显示了被处理的项目,如
图12-14所示。
图
12-14 处理病毒文件
Step
06单击“隔离区”超链接,打开“360
恢复区”对话框,在其中显示了被处理的
项目,如图12-15所示。
图
12-15 “360恢复区”对话框
Step
07勾选“全选”复选框,选中所有恢复
区的项目,如图12-16所示。
图
12-16 选中所有恢复区的项目
Step
08单击“清空恢复区”按钮,弹出一个
信息提示框,提示用户是否确定要一键清
空恢复区的所有隔离项,如图12-17所示。
图
12-17 信息提示框
Step
09单击“确定”按钮,开始清除恢复
区的所有项目,并显示清除的进度,如图
12-18所示。
Step
10清除恢复区所有项目完毕后,将返回
“360恢复区”对话框,如图12-19所示。
另外,使用《360杀毒》还可以对系统
进行全盘杀毒。只需在病毒查杀选项卡下
单击“全盘扫描”按钮即可,全盘扫描和
快速扫描类似,这里不再赘述。
�
第12章 病毒和木马的入侵与防御
图
12-18 清除恢复区的所有项目
图
12-19 “360恢复区”对话框
12.2.4 自定义查杀病毒
下面再来介绍一下如何对指定位置进
行病毒的查杀,具体的操作步骤如下。
Step
01在《360杀毒》工作界面中选择“自
定义扫描”选项,如图12-20所示。
图
12-21 “选择扫描目录”对话框
图
12-20 选择“自定义扫描”
Step02
打开“选择扫描目录”对话框,在
需要扫描的目录或文件前勾选相应的复选
框,这里勾选“本地磁盘(C)”复选框,
如图12-21所示。
Step
03单击“扫描”按钮,开始对指定目录
进行扫描,如图12-22所示。
图
12-22 扫描指定目录
Step
04其余步骤和快速查杀相似,不再赘述。
提示:大部分杀毒软件查杀病毒的方法
比较相似,用户可以利用自己的杀毒软件
进行类似的病毒查杀操作。
12.2.5 查杀宏病毒
使用《360杀毒》还可以对宏病毒进行
查杀,具体的操作步骤如下。
Step
01在《360杀毒》的主界面中单击“宏
病毒扫描”图标,如图12-23所示。
Step
02弹出“360杀毒”对话框,提示用户
扫描前需要保存并关闭已经打开的Office文
档,如图12-24所示。
Step
03单击“确定”按钮,开始扫描计算
机中的宏病毒,并显示扫描的进度,如图
12-25所示。
�
图
12-23 选择“宏病毒扫描”图标
图
12-24 信息提示框
图
12-25 显示扫描进度
Step
04扫描完成后,可对扫描出来的宏病毒
进行处理,这与快速查杀相似,这里不再
赘述。
12.3 认识木马
在计算机领域,木马是一类恶意程
序,具有隐藏性和自发性等特性,可被用
来进行恶意行为的攻击。
12.3.1 常见的木马类型
木马又被称为特洛伊木马,是一种基
于远程控制的黑客工具,在黑客进行的各
种攻击行为中,木马都起到了开路先锋的
作用。一台计算机一旦中了木马,就变成
了一台傀儡机,对方可以在目标计算机中
上传下载文件、偷窥私人文件、盗取各种
密码及口令信息等。可以说,该计算机的
一切秘密都将暴露在黑客面前,隐私将不
复存在!
随着网络技术的发展,现在的木马可
谓形形色色,种类繁多,并且还在不断增
加。因此,要想一次性列举出所有的木马
种类,是不可能的。但是,从木马的主要
攻击能力来划分,常见的木马主要有以下
几种类型。
1. 网络游戏木马
由于网络游戏中的金钱、装备等虚拟
财富与现实财富之间的界限越来越模糊,
因此,以盗取网络游戏账号密码为目的的
木马也随之发展泛滥起来。网络游戏木马
通常采用记录用户键盘输入、游戏进程、
API函数等方法获取用户的密码和账号,
窃取到的信息一般通过发送电子邮件或向
远程脚本程序提交的方式发送给木马制
作者。
2. 网银木马
网银木马是针对网上交易系统编写的
木马,其目的是盗取用户的卡号、密码等
信息。此类木马的危害非常直接,受害用
户的损失也更加惨重。
网银木马通常针对性较强,木马作者
可能首先对某银行的网上交易系统进行仔
细分析,然后针对安全薄弱环节编写病毒
程序。如“网银大盗”木马,在用户进入
银行网银登录页面时,会自动把页面换成
安全性能较差、但依然能够运转的老版页
面,然后记录用户在此页面上填写的卡号
和密码。随着网上交易的普及,受到外来
网银木马威胁的用户也在不断增加。
�
3. 即时通信软件木马
现在,即时通信软件百花齐放,如
QQ、微信等,而且网上聊天的用户群也十
分庞大,常见的即时通信类木马一般有发
送消息型与盗号型。
(1)发送消息型:通过即时通信软
件自动发送含有恶意网址的消息,目的在
于让收到消息的用户单击网址激活木马,
用户中木马后又会向更多好友发送木马消
息,此类木马常用技术是搜索聊天窗口,
进而控制该窗口自动发送文本内容。
(2)盗号型木马:主要目标在于盗取
即时通信软件的登录账号和密码。工作原理
和网络游戏木马类似,木马作者盗得他人
账号后,可以偷窥聊天记录等隐私内容。
4. 破坏性木马
顾名思义,破坏性木马唯一的功能
就是破坏感染木马的计算机文件系统,使
其遭受系统崩溃或者重要数据丢失的巨大
损失。
5. 代理木马
代理木马最重要的任务是给被控制的
“肉鸡”种上代理木马,让其变成攻击者
发动攻击的跳板。通过这类木马,攻击者
可在匿名情况下使用Telnet、ICO、IRC等程
序,从而在入侵的同时隐蔽自己的踪迹,
谨防别人发现自己的身份。
6. FTP木马
FTP木马的唯一功能就是打开21端口并
等待用户连接,新FTP木马还加上了密码功
能,这样只有攻击者本人才知道正确的密
码,从而进入对方的计算机。
7. 反弹端口型木马
反弹端口型木马的服务端(被控制
端)使用主动端口,客户端(控制端)使
用被动端口,正好与一般木马相反。木
马定时监测控制端的存在,发现控制端上
线立即弹出,主动连接控制端打开的主动
端口。
12.3.2 木马常用的入侵方法
木马程序千变万化,但大多数木马
程序并没有特别的功能,入侵方法大致相
同。常见的入侵方法有以下几种。
1. 在Win.ini文件中加载
Win.ini文件位于C:\Windows目录下,
在文件的[windows]段中有启动命令run=和
load=,一般此两项为空,如果等号后面存
在程序名,则可能就是木马程序。应特别
当心,这时可根据其提供的源文件路径和
功能做进一步检查。
这两项分别是用来当系统启动时自动
运行和加载程序的,如果木马程序加载到
这两个子项中,系统启动后即可自动运行
或加载木马程序。这两项是木马经常攻击
的方向,一旦攻击成功,则还会在现有加
载的程序文件名之后再加一个它自己的文
件名或者参数,这个文件名也往往是常见
的文件,如用command.exe、sys.com等来
伪装。
2. 在System.ini文件中加载
System.ini位于C:\Windows目录下,其
[boot]字段的shell=Explorer.exe是木马喜欢
的隐藏加载地方。如果
shell=Explorer.exe
file.exe,则file.exe就是木马服务端程序。
另外,在System.ini中的[386Enh]字段
中,要注意检查字段内的
driver=路径\程序
名也有可能被木马所利用。再有就是
System.
ini中的mic、drivers、drivers32这3个字段,
也是起加载驱动程序的作用,但也是增添
木马程序的好场所。
3. 隐藏在启动组中
有时木马并不在乎自己的行踪,而在意
�
是否可以自动加载到系统中。启动组无疑是自
动加载运行木马的好场所,其对应文件夹为
C:\Windows\startmenu\programs\startup。在
注册表中的位置是:HKEY_CURRENT_
USER\Software\Microsoft\Windows\Current
Version\Explorer\shell Folders Startup="C:\
Windows\start menu\programs\startup",所以
要检查检查启动组。
4. 加载到注册表中
由于注册表比较复杂,所以很多木马
都喜欢隐藏在这里。木马一般会利用注册
表中的下面几个子项来加载。
HKEY_LOCAL_MACHINE\Software\
Microsoft \Windows\CurrentVersion\
RunServersOnce;
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\Current Version\Run;
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\Current Version\
RunOnce;
HKEY_CURRENT_USER\Software\
Microsoft\Windows\Current Version\Run;
HKEY_CURRENT_USER\Software\
Microsoft\Windows\Current Version\
RunOnce;
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\
RunServers;
5. 修改文件关联
修改文件关联也是木马常用的入侵手
段,当用户一旦打开已修改了文件关联的
文件后,木马也随之被启动,如冰河木马
就是利用文本文件(.txt)这个最常见但
又最不引人注目的文件格式关联来加载自
己,当中了该木马的用户打开文本文件时
就自动加载了冰河木马。
6. 设置在超链接中
这种入侵方法主要是在网页中放置恶
意代码来引诱用户单击,一旦用户单击超
链接,就会感染木马,因此,不要随便单
击网页中的链接。
12.4 木马常用的伪装手段
由于木马的危害性比较大,所以很
多用户对木马也有了初步的了解,这在一
定程度上阻碍了木马的传播。这是运用
木马进行攻击的黑客所不愿意看到的。因
此,黑客们往往会使用多种方法来伪装木
马,迷惑用户的眼睛,从而达到欺骗用户
的目的。木马常用的伪装手段很多,如
伪装成可执行文件、网页、图片、电子
书等。
12.4.1 伪装成可执行文件
利用EXE捆绑机可以将木马与正常的
可执行文件捆绑在一起,从而使木马伪装
成可执行文件,运行捆绑后的文件等于同
时运行了两个文件。将木马伪装成可执行
文件的具体操作步骤如下。
Step
01下载并解压缩EXE捆绑机,双击其中
的可执行文件,打开“EXE捆绑机”主界
面,如图12-26所示。
图
12-26 “EXE捆绑机”主界面
Step
02单击“点击这里指定第一个可执行
文件”按钮,打开“请指定第一个可执行
文件”对话框,在其中选择第一个可执行
文件,如图12-27所示。
�
第12章 病毒和木马的入侵与防御
图
12-27 选择第一个可执行文件
Step
03单击“打开”按钮,返回“指定第一
个可执行文件”界面,如图12-28所示。
图
12-29 选择第二个可执行文件
图
12-30 选择制作好的木马文件
图
12-28 “指定第一个可执行文件”界面
Step04
单击“下一步”按钮,打开“指
定第二个可执行文件
”界面,如图12-29
所示。
Step05单击“点击这里指定第二个可执行
文件”按钮,打开“请指定第二个可执行
文件”对话框,在其中选择已经制作好的
木马文件,如图12-30所示。
Step06
单击“打开”按钮,返回到“指
定第二个可执行文件
”界面,如图12-31
所示。
Step07
单击“下一步”按钮,打开“指定
图
12-31 “指定第二个可执行文件”界面
保存路径”界面,如图12-32所示。
�
图
12-32 “指定保存路径”界面
Step
08单击“点击这里指定保存路径
”按
钮,打开“保存为”对话框,在“文件
名”文本框中输入可执行文件的名称,并
设置文件的保存类型,如图12-33所示。
图
12-33 “保存为”对话框
Step
09单击“保存”按钮即可指定捆绑后文
件的保存路径,如图12-34所示。
Step
10单击“下一步”按钮,打开“选择版
本”界面,在“版本类型”下拉列表中选
择“普通版”选项,如图12-35所示。
Step11单击“下一步”按钮,打开“捆绑文件”
界面,提示用户开始捆绑第一个可执行文件与第
二个可执行文件,如图12-36所示。
Step
12单击“点击这里开始捆绑文件
”按
钮,开始进行文件的捆绑。待捆绑结束之
后,可看到“捆绑文件成功”提示框。单
击“确定”按钮,结束文件的捆绑,如图
12-37所示。
图
12-34 指定文件的保存路径
图
12-35 “选择版本”界面
图
12-36 “捆绑文件”界面
�
第12章 病毒和木马的入侵与防御
图
12-37 “捆绑文件成功”提示框
提示:黑客可以使用木马捆绑技术将一
个正常的可执行文件和木马捆绑在一起。
一旦用户运行这个包含有木马的可执行文
件,就可以通过木马控制或攻击用户的计
算机。
12.4.2 伪装成自解压文件
Step
02选中蜘蛛纸牌和木马文件(木马.exe)
所在的文件夹并右键,在快捷菜单中选
择“添加到压缩文件”选项,如图12-39
所示。
图
12-39 压缩文件
Step
03打开“压缩文件名字和参数
”对话
框。在“常规”选项卡的“压缩文件名”
文本框中输入要生成的压缩文件的名称,
并勾选“创建自解压格式压缩文件”复选
框,如图12-40所示。
利用
WinRAR的压缩功能可以将正常的
文件与木马捆绑在一起,并生成自解压文
件,一旦用户运行该文件,同时也会激活
木马文件,这也是木马常用的伪装手段之
一,具体的操作步骤如下。
Step
01准备好要捆绑的文件,这里选择的是
一个蜘蛛纸牌和木马文件(木马.exe),并
存放在同一个文件夹下,如图12-38所示。
图
12-38 准备要捆绑的文件
图
12-40 “常规”选项卡
Step
04选择“高级”选项卡,在其中勾选
“保存文件安全数据”“保存文件流数
据”“后台压缩”“完成操作后关闭计算机
电源”“如果其他WinRAR副本被激活则等
待”复选框,如图12-41所示。
Step
05单击“自解压选项”按钮,打开“高
�
级自解压选项”对话框,在“解压路径”
文本框中输入解压路径,并选中“在当
前文件夹中创建”单选按钮,如图12-42
所示。
图
12-43 “模式”选项卡
图
12-41 “高级”选项卡
图
12-44 “文本和图标”选项卡
图
12-42 “高级自解压选项”对话框
Step
06选择“模式”选项卡,在其中选中
“全部隐藏”单选按钮,这样可以增加木
马程序的隐蔽性,如图12-43所示。
Step
07为了更好地迷惑用户,还可以在“文
本和图标”选项卡下设置“自解压文件窗
口标题”“自解压文件窗口中显示的文
本”等,如图12-44所示。
图
12-45 “注释”选项卡
Step
08设置完毕后,单击“确定”按钮,返
回“压缩文件名和参数”对话框。在“注
释”选项卡中可以看到自己所设置的各
项,如图12-45所示。
�
Step
09单击“确定”按钮,生成一个名为
“蜘蛛纸牌”自解压的压缩文件。这样用
户一旦运行该文件后就会中木马,如图
12-46所示。
图12-46 自解压压缩文件
12.4.3 将木马伪装成图片
将木马伪装成图片是许多木马制造者
常用来骗别人执行木马的方法,例如将木
马伪装成GIF、JPG格式的文件等。这种方
式可以使很多人中招。用户可以使用图片
木马生成器工具将木马伪装成图片,具体
的操作步骤如下。
Step
01下载并运行
“图片木马生成器
”程
序,打开“图片木马生成器”主窗口,如
图12-47所示。
图
12-47 “图片木马生成器”主窗口
Step
02在“网页木马地址”和“真实图片地
址”文本框中分别输入网页木马和真实图
第12章 病毒和木马的入侵与防御
片地址;在“选择图片格式”下拉列表中
选择“jpg”选项,如图12-48所示。
图
12-48 设置图片信息
Step
03单击“生成”按钮,随即弹出
“图
片木马生成完毕”提示框,单击“确定”
按钮,关闭该提示框,这样只要打开该图
片,就可以自动把该地址的木马下载到本
地并运行,如图12-49所示。
图
12-49 信息提示框
12.4.4 将木马伪装成网页
网页木马实际上是一个HTML网页,
与其他网页不同,该网页是黑客精心制作
的,用户一旦访问了该网页就会中木马。
下面以最新网页木马生成器为例介绍制作
网页木马的过程。
提示:在制作网页木马之前,必须有一
个木马服务器端程序,在这里使用生成木
马程序文件名为“muma.exe”。
Step
01运行“最新网页木马生成器”主程序
后,打开其对话框,如图12-50所示。
Step
02单击“选择木马”文本框右侧的“浏
览”按钮,打开“另存为”对话框,在其
中选择刚才准备的木马文件木马.exe,如图
�
12-51所示。Step
04单击“生成目录
”文本框右侧
“浏
图
12-50 “最新网页木马生成器”对话框
图
12-51 “另存为”对话框
Step
03单击“保存”按钮,返回“最新网
页木马生成器”对话框。在“网页目录”
文本框中输入相应的网址,如http://www.
index.com/,如图12-52所示。
图
12-52 输入网址
览”按钮,打开“浏览文件夹”对话框,
在其中选择生成目录保存的位置,如图
12-53所示。
图
12-53 “浏览文件夹”对话框
Step
05单击“确定”按钮,返回“最新网页
木马生成器”对话框,如图12-54所示。
图
12-54 “最新网页木马生成器”对话框
Step
06单击“生成”按钮,弹出一个信息提
示框,提示用户“网页木马创建成功”。
单击“确定”按钮,成功生成网页木马,
如图12-55所示。
图
12-55 信息提示框
�
Step
07在木马生成目录“H:\7.20wangye”
文件夹中可以看到生成的bbs003302.css、
bbs003302.gif以及index.htm3个网页木马。
其中index.htm是网站的首页文件,而另外2
个是调用文件,如图12-56所示。
图
12-56 网页木马文件
Step
08将生成的3个木马上传到前面设置的
存在木马的Web文件夹中,当浏览者一旦打
开这个网页,浏览器就会自动在后台下载
指定的木马程序并开始运行。
提示:在设置存放木马的Web文件夹路
径时,设置的路径必须是某个可访问的文件
夹,一般位于自己申请的一个免费网站上。
12.5 检测与查杀木马
木马是黑客最常用的攻击方法,从而
影响网络和计算机的正常运行,其危害程度
越来越严重,主要表现在于其对计算机系统
有强大的控制和破坏能力,如窃取主机的密
码、控制目标主机的操作系统和文件等。
12.5.1 使用《360安全卫士》查杀木马
使用《360安全卫士》可以查询系统中
的顽固木马病毒文件,以保证系统安全。
使用《360安全卫士》查杀顽固木马病毒的
操作步骤如下。
Step
01在《360安全卫士》的工作界面中单
击“木马查杀”按钮,进入360安全卫士木
第12章 病毒和木马的入侵与防御
马病毒查杀工作界面,在其中可以看到360
安全卫士为用户提供了3种查杀方式,如图
12-57所示。
图
12-57 360安全卫士
Step
02单击“快速查杀”按钮,开始快速扫
描系统关键位置,如图12-58所示。
图
12-58 扫描木马信息
Step
03扫描完成后,给出扫描结果,对于扫
描出来的危险项,用户可以根据实际情况
自行清理,也可以直接单击“一键处理”
按钮,对扫描出来的危险项进行处理,如
图12-59所示。
图
12-59 扫描出的危险项
�
Step
04单击“一键处理”按钮,开始处理扫
描出来的危险项,处理完成后,弹出“360
木马查杀”对话框,在其中提示用户处理
成功,如图12-60所示。
图
12-60 “360木马查杀”对话框
12.5.2 使用《木马专家》清除木马
木马专家2022是专业防杀木马软件,
针对目前流行的木马病毒特别有效,可以
彻底查杀各种流行的QQ盗号木马、网游盗
号木马、灰鸽子、黑客后门等
10万种木马间
谍程序,是计算机不可缺少的坚固堡垒。使
用木马专家查杀木马的具体操作步骤如下。
Step
01双击桌面上的《木马专家2022》快捷
图标,打开如图12-61所示的界面,提示用
户程序正在载入。
图
12-61 木马专家启动界面
Step
02程序载入完成后,弹出“木马专家
2022”的工作界面,如图12-62所示。
Step
03单击“扫描内存”按钮,弹出“扫描
内存”信息提示框,提示用户是否使用云
鉴定全面分析系统,如图12-63所示。
Step
04单击“确定”按钮,开始对计算机内
存进行扫描,如图12-64所示。
Step
05扫描完成后,会在右侧的窗格中显示
扫描的结果,如果存在木马,直接将其删
除即可,如图12-65所示。
图
12-62 “木马专家”工作界面
图
12-63 扫描内存提示框
图
12-64 扫描计算机内存
Step
06单击“扫描硬盘
”按钮,进入“硬
盘扫描分析”工作界面,在其中提供了3种
扫描模式,分别是“开始快速扫描”“开
始全面扫描”“开始自定义扫描”,用户
可以根据自己的需要进行选择,如图12-66
所示。
Step
07这里单击
“开始快速扫描
”按钮,
开始对计算机进行快速扫描,如图12-67
所示。
Step
08扫描完成后,会在右侧的窗格中显示
扫描的结果,如图12-68所示。
Step
09单击“系统信息”按钮,进入“系统
信息”工作界面,在其中可以查看计算机
�
第12章 病毒和木马的入侵与防御
内存与CUP的使用情况,同时可以对内存12-70所示。
进行优化处理,如图12-69所示。
图
12-68 扫描结果
图
12-65 显示扫描的结果
图
12-69 “系统信息”工作界面
图
12-66 “硬盘扫描分析”工作界面
图
12-67 快速扫描木马
Step
10单击“系统管理”按钮,进入“系统
管理”工作界面,在其中可以对计算机的
进程、启动项等内容进行管理操作,如图
图
12-70 “系统管理”工作界面
Step
11单击“高级功能”按钮,进入木马专
家的“高级功能”工作界面,在其中可以
对计算机进行系统修复、隔离仓库等高级
功能的操作,如图12-71所示。
�
图
12-71 “高级功能”工作界面
Step
12单击“其他功能”按钮,进入“其他
功能”工作界面,在其中可以查看网络状
态、监控日志等,同时还可以对U盘病毒进
行免疫处理,如图12-72所示。
图
12-72 “其他功能”工作界面
Step
13单击“注册更新”按钮,并单击其下方的
“功能设置”按钮,可在打开的界面中设置木马
专家2022的相关功能,如图12-73所示。
图
12-73 “功能设置”工作界面
12.6 实战演练
12.6.1 实战1:在Word中预防宏病毒
包含宏的工作簿更容易感染病毒,
所以用户需要提高宏的安全性。下面以在
Word 2016中预防宏病毒为例,来介绍预防
宏病毒的方法,具体操作步骤如下:
Step
01打开包含宏的工作簿,依次选择“文
件”“选项”选项,如图12-74所示。
图
12-74 选择“选项”
Step
02打开“Word选项”对话框,选择“信
任中心”选项,然后单击“信任中心设
置”按钮,如图12-75所示。
图
12-75 “Word选项”对话框
Step
03弹出“信任中心”对话框,在左侧列
表中选择“宏设置”选项,然后在“宏设
置”列表中选中“禁用无数字签署的所有
宏”单选按钮,单击“确定”按钮,如图
�
12-76所示。
图
12-76 “信任中心”对话框
12.6.2 实战2:在安全模式下查杀病毒
安全模式的工作原理是在不加载第三
方设备驱动程序的情况下启动电脑,使电
脑运行在系统最小模式,这样用户就可以
方便地查杀病毒,还可以检测与修复计算
机系统的错误。下面以Windows 10操作系
统为例来介绍在安全模式下查杀并修复系
统错误的方法。
具体的操作步骤如下。
Step
01按Win+R组合键,弹出的“运行”对
话框,在“打开”文本框中输入msconfig命
令,单击“确定”按钮,如图12-77所示。
图
12-77 “运行”对话框
Step
02弹出“系统配置”对话框,选择“引
第12章 病毒和木马的入侵与防御
导”选项,在引导选项下,勾选“安全引
导”复选框和选中“最小”单选按钮,如
图12-78所示。
图
12-78 “系统配置”对话框
Step
03单击“确定”按钮,进入系统的安全
模式,如图12-79所示。
图
12-79 系统安全模式
Step
04进入安全模式后,运行杀毒软件,进
行病毒的查杀,如图12-80所示。
图
12-80 查杀病毒
�
第13章 无线网络的入侵与防御
无线网络是使用无线信道作为数据传输的介质,就应用层面而言,与有线网络的用途
完全相似,最大的不同是传输信息的媒介不同。Wi-Fi是一种可以将个人电脑、手持设备(如
iPad、手机)等终端以无线方式互相连接的技术。本章就来介绍无线网络的入侵与防御,
主要内容包括Wi-Fi技术的由来、电子设备Wi-Fi连接、无线路由器的安全防护策略等。
13.1 认识Wi-Fi
说起Wi-Fi,大家都知道可以无线上
网。其实,Wi-Fi是一种无线连接方式,并
不是无线网络或者是其他无线设备。
13.1.1 Wi-Fi的通信原理
Wi-Fi是一个无线网络通信技术的品
牌,由Wi-Fi联盟(Wi-Fi Alliance)所持
有,目的在于改善基于IEEE 802.11标准的
无线网络产品之间的互通性。
Wi-Fi联盟
成立于
1999年,当时的名称叫作
Wireless
Ethernet Compatibility Alliance (WECA),在
2002年10月,正式改名为Wi-Fi Alliance。
Wi-Fi遵循ZEEE802.11标准,Wi-Fi通
信的过程采用了展频技术,具有很好的抗
干扰能力,能够实现反跟踪、反窃听等功
能,因此Wi-Fi技术提供的网络服务比较稳
定。Wi-Fi技术在基站与终端点对点之间采
用2.4GHz频段通信,链路层将以太网协议
作为核心,实现信息传输的寻址和校验。
13.1.2 Wi-Fi的主要功能
以前用户通过网线连接电脑,自从有
了Wi-Fi技术,则可以通过无线信道联网;
常见的无线网络设备就是一个无线路由
器,在这个无线路由器的信道覆盖的有效
范围内,都可以采用Wi-Fi连接方式进行联
网。如果无线路由器连接了一条ADSL线路
或者别的上网线路,则无线路由器又可以
被称为一个“热点”。
现阶段Wi-Fi技术已经成熟,5G的高速
发展为
Wi-Fi应用提供了机遇。在
5G快速发
展的背景下,运营商也越来越重视允许
Wi-Fi
无线网络访问其
PS域数据业务的服务,这
样可以缓解蜂窝网络数据流量压力。
13.1.3 Wi-Fi的优势
Wi-Fi通信时组建无线网络,基本配
置就需要无线网卡及一台无线访问接入点
(AP),将AP与有线网络连接,AP与无
线网卡之间通过电磁波传递信息。如果需
要组建由几台计算机组成的对等网络,可
以直接为计算机安装无线网卡实现,而不
需要使用
AP。总之,
Wi-Fi技术具有如下
优势。
1. 无须布线,覆盖范围广
无线局域网由AP和无线网卡组成,AP
和无线网卡之间通过无线电波传递信息,
不要布线。在一些布线受限的条件下更具
有优势,例如在一些古建筑群中搭建局域
网,为了不使古建筑受到破坏,不宜在古
建筑群中布线,此时可以通过Wi-Fi来搭建
无线局域网。Wi-Fi技术使用2.4GHz频段的
无线信道,覆盖半径可达100m左右。
�
2. 速度快,可靠性高
802. 11b无线网络规范属于IEEE 802.11网
络规范,正常情况下最高带宽可达11Mbps,
在信号较弱或者有干扰的情况下带宽可自
行调整为
5.5Mbps、2Mbps和1Mbps,从而
使得无线网络更加稳定可靠。
3. 对人体无害
手机的发射功率为200mw到1w之间,
手持式对讲机发射功率为4w到5w之间,而
Wi-Fi采用IEEE 802.11标准,要求发射功率
不得超过100mw,实际发射功率在60mw到
70mw之间。由此可以看出Wi-Fi发射的功率
较小,而且不与人体直接接触,对人体影
响小。
13.2 电子设备Wi-Fi连接
无线局域网络的搭建给家庭无线办公
带来了很多方便,而且可随意改变家庭里
的办公位置而不受束缚,大大适合了现代
人的追求。
13.2.1 搭建无线网环境
建立无线局域网的操作比较简单,在
有线网络到户后,用户只需连接一个具有
无线Wi-Fi功能的路由器,然后各房间里的
电脑、笔记本电脑、手机和iPad等设备利用
无线网卡与路由器之间建立无线连接,即
可构建内部无线局域网。
13.2.2 配置无线路由器
建立无线局域网的第一步就是配置无
线路由器,默认情况下,具有无线功能的
路由器是不开启无线功能的,需要用户手
动配置,在开启了路由器的无线功能后,
就可以配置无线网了。使用电脑配置无线
网的操作步骤如下。
Step
01打开浏览器,在地址栏中输入路由
第13章 无线网络的入侵与防御
器管理后台地址,一般情况下路由器的默
认网址为“192.168.0.1”,输入完毕后按
Enter键,打开路由器的后台管理登录窗
口,如图13-1所示。
图
13-1 路由器后台管理登录窗口
Step
02在“请输入管理员密码”文本框中输
入管理员的密码,默认情况下管理员的密
码为admin,如图13-2所示。
图
13-2 输入管理员的密码
Step
03单击“确认”按钮,进入路由器的
“运行状态”工作界面,在其中可以查看
路由器的基本信息,如图13-3所示。
Step
04选择窗口左侧的“无线设置”选项,
在打开的子选项中选择“基本信息”选
项,可在右侧的窗格中显示无线设置的基
本功能,并勾选“开始无线功能”和“开
启SSID广播”复选框,如图13-4所示。
�
图
13-3 “运行状态”工作界面
图13-4 无线设置的基本功能
Step
05当开启了路由器的无线功能后,单击
“保存”按钮进行保存,然后重新启动路
由器即可完成无线网的设置。这样,具有
Wi-Fi功能的手机、电脑、iPad等电子设备
就可以与路由器进行无线连接,从而实现
共享上网。
13.2.3 将计算机接入Wi
-Fi
笔记本电脑具有无线接入功能,台式
电脑要想接入无线网,需要购买相应的无
线接收器,这里以笔记本电脑为例,介绍
如何将计算机接入无线网,具体的操作步
骤如下。
Step
01双击笔记本电脑桌面右下角的无线连
接图标,打开“网络和共享中心”窗口,
在其中可以看该计算机的网络连接状态,
如图13-5所示。
图
13-5 “网络和共享中心”窗口
Step
02单击笔记本电脑桌面右下角的无线连
接图标,在打开的界面中显示了其自动搜
索的无线设备和信号,如图13-6所示。
图
13-6 无线设备信息
Step
03单击一个无线连接设备,展开无线
连接功能,在其中勾选“自动连接”复选
框,如图13-7所示。
Step
04单击“连接”按钮,在打开的界面中
输入无线连接设备的连接密码,如图13-8
所示。
Step
05单击“下一步
”按钮,开始连接网
络,如图13-9所示。
�
第13章 无线网络的入侵与防御
图
13-7 无线连接功能
图
13-8 输入密码
图
13-9 开始连接网络
Step
06连接到网络之后,桌面右下角的无线
连接设备显示正常,并以弧线的方式显示
信号的强弱,如图13-10所示。
Step
07再次打开“网络和共享中心”窗口,
在其中可以看到这台电脑当前的连接状
态,如图13-11所示。
图
13-10 连接设备显示正常
图
13-11 当前的连接状态
13.2.4 将手机接入Wi-Fi
无线局域网配置完成后,用户可以将
手机接入Wi-Fi,从而实现无线上网,这里
以Android系统为例演示手机接入Wi-Fi,具
体操作步骤如下。
Step
01在手机界面中用手指点按“设置”图
标,进入手机的“设置”界面,如图13-12
所示。
图
13-12 “设置”界面
�
Step
02使用手指点按
WLAN右侧的
“已关
闭”,开启手机WLAN功能,并自动搜索
周围可用的WLAN,如图13-13所示。
图
13-13 手机
WLAN功能
Step
03使用手指点按下面可用的WLAN,弹
出连接界面,在其中输入相关密码,如图
13-14所示。
图
13-14 输入密码
Step
04点按“连接”按钮,将手机接入
WiFi,
并在下方显示“已连接”字样,这样手
机就接入了Wi-Fi,然后就可以使用手机进
行上网了,如图13-15所示。
图
13-15 手机上网
13.3 常见无线网络攻击方式
无线网络存在巨大的安全隐患,家庭
使用的无线路由器可以被黑客攻破,公共
场所的免费
Wi-Fi热点有可能就是钓鱼陷
阱。用户在毫不知情的情况下,就可以造
成个人敏感信息泄漏,稍有不慎访问了钓
鱼网站,就会造成直接的经济损失。
13.3.1 暴力破解
暴力破解的原理就是使用攻击者自己
的用户名和密码字典,一个一个去枚举,
尝试是否能够登录。通过软件形式抓取无
线网络的握手包进行暴力破解,比较有名
的破解方式Kali系统涵盖很多无线渗透工
具,例如aircrack-ng、Wifite等。
暴力破解的防护主要设置高强度密
码,尽量使用“大小写字母+数字+符号”
的12位以上组合,基本上暴力破解是无法
破解的。
13.3.2 钓鱼陷阱
许多消费场所为了迎合消费者的需
�
求,提供更加高质量的服务,都会为消费
者提供免费的Wi-Fi接入服务。例如,在进
入一家餐馆或者咖啡馆时,我们往往会搜
索一下周围开放的Wi-Fi热点,然后找服务
员索要连接密码。这种习惯为黑客提供了
可乘之机,黑客会提供一个名字和商家类
似的免费Wi-Fi接入点,诱惑用户接入。
用户如果不仔细确认很容易连接到黑
客设定的Wi-Fi热点,这样用户上网的所有
数据包,都会经过黑客设备转发。黑客会
将用户的信息截留下来分析,一些没有加
密的通信就可以直接被查看,导致用户信
息泄漏。
钓鱼陷阱的防护要做到在外尽量不要
使用公共的Wi-Fi网络,使用的过程中尽量
不要操作登录或者支付等动作,钓鱼陷阱
一个常见排查方式就是查看Wi-Fi的信号强
度,是否跟之前连接的信号强度差距比较
大,或者查看无线网络出现相同SSID的无
线网络。
13.3.3 攻击无线路由器
黑客对无线路由器的攻击需要分步进
行,首先黑客会扫描周围的无线网络,在
扫描到的无线网络中选择攻击对象,然后
使用黑客工具攻击正在提供服务的无线路
由器。主要做法是干扰移动设备与无线路
由器的连接,抗攻击能力较弱的网络连接
就可能因此而断线,继而连接到黑客预先
设置好的无线接入点上。
黑客攻击家用路由器时,首先会使
用黑客工具破解家用无线路由器的连接密
码,如果破解成功,就可以利用密码成
功连接到家用路由器,这样就可以免费上
网。黑客不仅可以免费享用网络带宽,还
可以尝试登录到无线路由器管理后台。登
录无线路由器管理后台同样需要密码,但
大多数用户安全意识比较薄弱,会使用默
认密码或者使用与连接无线路由器相同的
密码,这样很容易被猜到。
13.3.4 WPS PIN攻击
WPS PIN是路由器与无线设备(手机、
笔记本电脑等)之间的一种加密方式;而
PIN码是
WPS的一种验证方式,相当于无线
Wi-Fi的密码。黑客会使用一些软件检测路
由器是否启用PIN码,进行PIN码的一个暴
力破解攻击,Kali中也有包含PIN的工具的
软件Reaver,PIN码攻击成功的概率还是比
较高。
13.3.5 内网监听
黑客在连接到一个无线局域网后,
就可以很容易地对局域网内的信息进行监
听,包括聊天内容、浏览网页记录等。
实现内网监听有两种方式:一种方式
是ARP攻击。ARP攻击就是在用户的手机、
计算机和路由之间伪造中转站,这样不但
可以对经过的流量进行监听、还能对流量
进行限速。另一种方式是利用无线网卡的
混杂模式监听。它可以收到局域网内所有
的广播流量。这种攻击方式要求局域网网
内要有正在进行广播的设备,如HUB。在
公司或网吧我们经常看到HUB,这是一
种“一条网线进,几十条网线出”的扩展
设备。
针对内网监听攻击,其中应对ARP攻
击可以通过配置ARP防火墙来防范,应对
混杂模式监听可以使用SSL VPN对流量进行
加密。
13.4 无线路由器的安全防范
在无线网络中,能够发送与接收信号
的重要设备就是无线路由器了,因此,对
无线路由器的安全防护,就等于看紧了无
线网络的大门。
13.4.1 MAC地址过滤
网络管理的主要任务之一就是控制客
户端对网络的接入和对客户端的上网行为
�
进行控制,无线网络也不例外,通常无线
AP利用媒体访问控制(MAC)地址过滤的
方法来限制无线客户端的接入。
使用无线路由器进行MAC地址过滤的
具体操作步骤如下。
Step
01打开路由器的Web后台设置界面,单
击左侧“无线设置”→“MAC地址过滤”
选项,默认情况下MAC地址过滤功能是
关闭状态,单击“启用过滤”按钮,开启
MAC地址过滤功能,单击“添加新条目”
按钮,如图13-16所示。
图
13-16 开启
MAC地址过滤功能,
Step
02打开“MAC地址过滤”对话框,
在“MAC地址”文本框中输入无线客户
端的
MAC地址,本实例输入
MAC地址为
“00-0c-29-5A-3C-97”,在“描述”文本
框中输入MAC描述信息sushipc,在“类
型”下拉菜单中选择“允许”选项,在
“状态”下拉菜单中选择“生效”选项,
依照此步骤将所有合法的无线客户端的
MAC地址加入此MAC地址表后,单击“保
存”按钮,如图13-17所示。
图
13-17 “MAC地址过滤”对话框
Step
03选中“过滤规则”选项下的“禁止”
单选按钮,表明在下面MAC列表中生效规
则之外的MAC地址可以访问无线网络,如
图13-18所示。
图
13-18 “MAC地址过滤”对话框
Step04
这样无线客户端在访问无线AP时,
会发现除了
MAC地址表中的
MAC地址之
外,其他的MAC地址无法再访问无线AP,
也就无法访问互联网。
13.4.2 禁用SSID广播
无线路由器禁用
SSID广播的具体操作
步骤如下。
Step01
打开路由器的Web后台设置界面,
设置自己无线网络的SSID信息,取消勾选
“允许SSID广播”复选框,单击“保存”
按钮,如图13-19所示。
图
13-19 无线网络的
SSID信息
Step
02弹出一个提示对话框,单击“确定”
按钮,重新启动路由器,如图13-20所示。
图
13-20 信息提示框
�
13.4.3 WPA-PSK加密
WPA-PSK可以看作是一个认证机制,
只要求一个单一的密码进入每个无线局域
网节点(例如无线路由器),只要密码正
确,就可以使用无线网络。下面介绍如何
使用WPA-PSK或者WPA2-PSK加密无线网
络,具体操作步骤如下。
Step
01打开路由器的Web后台设置界面,
选择左侧“无线设置”→“基本设置”选
项,勾选“开启安全设置”复选框,在
“安全类型”下拉列表中选择“WPA-PSK/
WAP2-PSK”选项,在“安全选项”和“加
密方法”下拉菜单中分别选择“自动选
择”选项,在“PSK密码”文本框中输入加
密密码,本实例设置密码为sushi1986,如
图13-21所示。
图
13-21 输入加密密码
Step
02单击“保存”按钮,弹出一个提示对
话框,单击“确定”按钮,重新启动路由
器即可,如图13-22所示。
图
13-22 信息提示框
13.4.4 修改管理员密码
路由器的初始密码比较简单,为了保
证局域网的安全,一般需要修改或设置管
第13章 无线网络的入侵与防御
理员密码,具体的操作步骤如下。
Step
01打开路由器的Web后台设置界面,
选择“系统工具”选项下的“修改登录密
码”选项,打开“修改管理员密码”工作
界面,如图13-23所示。
图
13-23 “修改管理员密码”工作界面
Step
02在“原密码”文本框中输入旧密码,
在“新密码”和“确认新密码”文本框中
输入新设置的密码,最后单击“保存”按
钮即可,如图13-24所示。
图
13-24 输入密码
13.4.5 《360路由器卫士》
《360路由器卫士》是一款由
360官方
推出的绿色免费的家庭必备无线网络管理
工具。《360路由器卫士》软件功能强大,
支持几乎所有的路由器。在管理的过程
中,一旦发现蹭网设备想踢就踢。下面介
绍使用《360路由器卫士》管理网络的操作
�
方法。
Step
01下载并安装《360路由器卫士》,
双击桌面上的快捷图标,打开“路由器卫
士”工作界面,提示用户正在连接路由
器,如图13-25所示。
图
13-25 “路由器卫士”工作界面
Step
02连接成功后,在弹出的对话框中输入
路由器的账号与密码,如图13-26所示。
图
13-26 输入路由器账号与密码
Step
03单击“下一步”按钮,进入“我的路
由”工作界面,在其中可以看到当前的在
线设备,如图13-27所示。
击设备后的“限速”按钮,打开“限速”
对话框,在其中设置设备的上传速度与下
载速度,设置完毕后单击“确认”按钮保
存设置即可,如图13-28所示。
图
13-28 “限速”对话框
Step
05在管理的过程中,一旦发现有蹭网设
备,可以单击该设备后的“禁止上网”按
钮,如图13-29所示。
图
13-29 禁止不明设备上网
Step
06禁止上网完后,单击“黑名单”选项
卡,进入“黑名单”设置界面,在其中可以
看到被禁止上网的设备,如图13-30所示。
图
13-27 “我的路由”工作界面
Step
04如果想要对某个设备限速,则可以单
图
13-30 “黑名单”设置界面
Step
07选择“路由防黑”选项卡,进入“路
�
第13章 无线网络的入侵与防御
由防黑”设置界面,在其中可以对路由器Step
10单击“开始跑分”按钮,开始评估当
进行防黑检测,如图13-31所示。前路由器的性能,如图13-34所示。
图
13-31 “路由防黑”设置界面
Step
08单击“立即检测”按钮,开始对路由
器进行检测,并给出检测结果,如图13-32
所示。
图
13-34 评估当前路由器的性能
Step
11评估完成后,会在“路由跑分”界面
中给出跑分排行榜信息,如图13-35所示。
图
13-32 检测结果
Step
09选择“路由跑分”选项卡,进入“路
由跑分”设置界面,在其中可以查看当前
路由器信息,如图13-33所示。
图
13-35 跑分排行榜信息
Step
12选择“路由设置”选项卡,进入“路
由设置”设置界面,在其中可以对宽带上
网、Wi-Fi密码、路由器密码等选项进行设
置,如图13-36所示。
图
13-33 “路由跑分”设置界面
图
13-36 路由设置界面
Step
13选择“路由时光机”选项,在打开的
�
界面中单击
“立即开启”按钮,打开“时光
机开启”设置界面,在其中输入360账号与
密码,然后单击“立即登录并开启”按钮,
开启时光机,如图13-37所示。
图
13-37 “时光机开启”设置界面
Step
14选择“宽带上网”选项,进入“宽带
上网”界面,在其中输入网络运营商给出
的上网账号与密码,单击“保存设置”按
钮即可保存设置,如图13-38所示。
图
13-38 “宽带上网”界面
Step
15选择“Wi-Fi密码”选项,进入“WiFi
密码”界面,在其中输入Wi-Fi密码,单
击“保存设置”按钮即可保存设置,如图
13-39所示。
Step16
选择
“路由器密码
”选项,进入
“路由器密码”界面,在其中输入路由器
密码,单击“保存设置”按钮即可保存设
置,如图13-40所示。
Step
17选择“重启路由器”选项,进入“重
启路由器”界面,单击“重启”按钮即可对当
前路由器进行重启操作,如图13-41所示。
另外,使用《360路由器卫士》在管理
无线网络安全的过程中,一旦检测到有设
备通过路由器上网,就会在电脑桌面的右
上角弹出信息提示框,如图13-42所示。
图
13-39 “Wi-Fi密码”界面
图
13-40 “路由器密码”界面
图
13-41 “重启路由器”界面
图
13-42 信息提示框
单击“管理”按钮,打开该设备的详
细信息界面,在其中可以对设备网速进行
�
第13章 无线网络的入侵与防御
限制管理,最后单击“确认”按钮即可,
如图13-43所示。
图
13-43 详细信息界面
13.5 实战演练
13.5.1 实战1:加密手机的WLAN热点
为保证手机的安全,一般需要给手机
的WLAN热点功能添加密码,具体的操作
步骤如下。
Step
01在手机的移动热点设置界面中,点按
“配置WLAN热点”功能,在弹出的界面
中点按“开放”选项,可以选择手机设备
的加密方式,如图13-44所示。
图
13-44 配置
WLAN热点
Step
02选择好加密方式后,在下方显示密码
输入框输入密码,然后单击“保存”按钮
即可,如图13-45所示。
Step
03加密完成后,使用电脑再连接手机设
备时,系统提示用户输入网络安全密钥,
如图13-46所示。
图
13-45 输入密码
图
13-46 输入网络安全密钥
13.5.2 实战2:无线路由器的WEP加密
打开路由器的Web后台设置界面,单击
左侧“无线设置”→“基本设置”选项,
勾选“开启安全设置”复选框,在“安全
类型”下拉菜单中选择
WEP选项,在“密
钥格式选择”下拉菜单中选择“
ASCⅡ码”
选项。设置密钥,在“密钥1”后面的“密
钥类型”下拉列表中选择“64位”选项,
在“密钥内容”文本框中输入要使用的密
码,本实例输入密码为cisco,单击“保
存”按钮,如图13-47所示。
图
13-47 Web后台设置界面
�