Ⅰ 木馬的類型
1)破壞型
這種木馬唯一的功能就是破壞並且刪除文件,它們非常簡單,很容易使用。能自動刪除目標機上的DLL、INI、E X E 文件,所以非常危險,一旦被感染就會嚴重威脅到電腦的安全。不過,一般黑客不會做這種無意義的純粹破壞的事,除非你和他有仇。
(2)密碼發送型
這種木馬可以找到目標機的隱藏密碼,並且在受害者不知道的情況下,把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中,認為這樣方便;還有人喜歡用W i n d o w s 提供的密碼記憶功能,這樣就可以不必每次都輸入密碼了。這類木馬恰恰是利用這一點獲取目標機的密碼,它們大多數會在每次啟動Windows 時重新運行,而且多使用25 號埠上送E-mail。如果目標機有隱藏密碼,這些木馬是非常危險的。
(3)遠程訪問型
這種木馬是現在使用最廣泛的木馬,它可以遠程訪問被攻擊者的硬碟。只要有人運行了服務端程序,客戶端通過掃描等手段知道了服務端的I P 地址,就可以實現遠程式控制制。
(4)鍵盤記錄木馬
這種特洛伊木馬非常簡單。它們只做一件事情,就是記錄受害者的鍵盤敲擊並且在LOG 文件里查找密碼,並且隨著Windows 的啟動而啟動。它們有在線和離線記錄這樣的選項,可以分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況,也就是說你按過什麼按鍵,黑客從記錄中都可以知道,並且很容易從中得到你的密碼等有用信息,甚至是你的信用卡賬號哦! 當然,對於這種類型的木馬,很多都具有郵件發送功能,會自動將密碼發送到黑客指定的郵箱。
(5)DoS攻擊木馬
隨著D o S 攻擊越來越廣泛的應用,被用作D o S 攻擊的木馬也越來越流行起來。當黑客入侵一台機器後,給他種上DoS 攻擊木馬,那麼日後這台計算機就成為黑客DoS 攻擊的最得力助手了。黑客控制的肉雞數量越多,發動D o S 攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在黑客利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。
還有一種類似DoS 的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。
(6)FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是打開21 埠,等待用戶連接。現在新FTP 木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
(7)反彈埠型木馬
木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的鏈接往往會進行非常嚴格的過濾,但是對於連出的鏈接卻疏於防範。與一般的木馬相反,反彈埠型木馬的服務端(被控制端)使用主動埠,客戶端(控制端)使用被動埠。木馬定時監測控制端的存在,發現控制端上線立即彈出埠主動連結控制端打開的被動埠;為了隱蔽起見,控制端的被動埠一般開在80,即使用戶使用掃描軟體檢查自己的埠時,發現類似TCPUserIP:1026 Controller IP:80 ESTABLISHED 的情況,稍微疏忽一點,就會以為是自己在瀏覽網頁,因為瀏覽網頁都會打開80 埠的。
(8)代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC 等程序,從而隱蔽自己的蹤跡。
(9)程序殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟體這一關才行。常見的防木馬軟體有ZoneAlarm,Norton Anti-Virus 等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序,讓其他的木馬更好地發揮作用。
Ⅱ bugtraq漏洞庫 怎麼查看
1、以CVE開頭,如 CVE-1999-1046 這種
CVE 的英文全稱是「Common Vulnerabilities & Exposures」公共漏洞和暴露。CVE就好像是一個字典表,為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。使用一個共同的名字,可以幫助用戶在各自獨立的各種漏洞資料庫中和漏洞評估工具中共享數據,雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的「關鍵字」 。如果在一個漏洞報告中指明的一個漏洞,如果有CVE名稱,你就可以快速地在任何其它CVE兼容的資料庫中找到相應修補的信息,解決安全問題 。
2、以CAN開頭,如 CAN-2000-0626 這種
「CAN」和「CVE」的唯一區別是前者代表了候選條目,還未經CVE編輯委員會認可,而後者則是經過認可的條目。 然後,兩種類型的條目都對公眾可見,條目的編號不會隨著認可而改變—僅僅是「CAN」前綴替換成了「CVE」。
3、 BUGTRAQ
BugTraq是一個完整的對計算機安全漏洞(它們是什麼,如何利用它們,以及如何修補它們)的公告及詳細論述進行適度披露的郵件列表
4、以 CNCVE開頭,如CNCVE-20000629
CNCVE就是中國(CN)的 CVE ,是CNCERT/CC(國家計算機網路應急處理協調中心)為漏洞進行編號的一個自己的標准,即國家計算機網路應急處理協調中心(CNCERT/CC)領導下,國內正在組建自己的 CVE 組織。 CNCVE的組建目的就是建設一個具有中國特色的,能為國內廣大用戶服務的CVE組織。國際CVE組織僅僅是描述漏洞的主要特徵,統一命名漏洞。CNCVE不但包含漏洞的描述予以統一定義,還將包括漏洞的補丁、驗證等措施,更方便、有用。
5、 以 CNVD開頭,如 CNVD-2014-0282
CNVD是國家信息安全漏洞共享平台。是由國家計算機網路應急技術處理協調中心(簡稱CNCERT)聯合國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫,漏洞編號規則為CNVD-xxxx-xxxxx。
6、以CNNVD開頭,如 CNNVD-201404-530
CNNVD 是中國國家信息安全漏洞庫,漏洞編號規則為CNNVD-xxxxxx-xxx。是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能,負責建設運維的國家信息安全漏洞庫,為我國信息安全保障提供基礎服務。
Ⅲ 如何給oracle打patch補丁
給軟體打補丁相當於給人打預防針,對系統的穩定運行至關重要。本文詳細、系統地介紹了Oracle資料庫補丁的分類、安裝、管理等問題。
廠商提供給用戶的軟體補丁的形式多為編譯後的庫函數,所以安裝軟體補丁實際上就是把這些庫函數拷貝到相應目錄,並在需要時進行聯接操作。軟體公司一般在一段時間後會把針對某一版本的所有補丁進行整理:合並融合,解決沖突,進行整體測試,並使文件拷貝和聯接操作自動執行,得到一個軟體補丁「包」。不同的公司使用不同的名稱,現在一般計算機用戶都熟悉的Windows Service Pack就是這樣的補丁包。Oracle公司給出的補丁包的名稱是Patch Set,安裝Patch Set後的版本稱Patch Set Release(PSR)。
Oracle公司對處於標准技術支持的產品不定期地提供PSR,例如在完成本文時,版本10.2的最新PSR是10.2.0.2;版本10.1的最新PSR是10.1.0.5;版本9.2的最新(也極可能是最終)PSR是9.2.0.8。
在安裝最新PSR後新發現的Bug,其相應補丁當然會收錄到下一個PSR中。PSR是累積型的,即下一個PSR中會包括當前PSR中所有補丁和新發現Bug的補丁。同時存在幾個PSR時,只需安裝最新版本一次就可以了。但是由於PSR的發行有一定間隔,如果這些Bug對用戶有比較大的影響,那麼 Oracle公司也會向用戶公開和提供這些補丁,這些補丁被稱為個別補丁(Interim Patch,one-off patch 或 Patch Set Exception)。而對於最終補丁發行版而言,由於不再有下一個PSR,所以當發現影響系統的新Bug時,個別補丁成為惟一選擇。
此外,Oracle公司還定期發布安全補丁,稱之為CPU(Critical Patch Updates)。安全補丁用來修復軟體的易受攻擊性(vulnerability)或通常說的安全漏洞。這類問題本來不屬於軟體錯誤,在正常使用中不會出現任何問題。但是別有用心的人可以通過運行非常精巧設計的代碼,繞過資料庫系統的安全管理機制,達到非授權存取的目的。
另外還存在一類補丁:診斷用補丁(diagnostic patch)。顧名思義,這類補丁不是用來解決問題的,而是用來尋找問題的原因的。這類補丁只在Oracle技術支持部門要求安裝時,才需要安裝。在得到需要的診斷信息後,應立即卸載這一補丁。
利弊及時機選擇
負責管理支撐大型應用系統的資料庫的DBA會容易理解安裝軟體補丁的代價。安裝PSR需要停止資料庫服務,關閉資料庫,對於許多應用系統安排這樣的停機時間本身就是一件比較困難的事情。事實上,更為嚴重的是由於安裝PSR可能「引入」新的Bug,反而影響應用系統的正常運行。軟體補丁本來是修正 Bug,怎麼會帶來新的Bug?雖然有些讓人匪夷所思,但很不幸這是現實存在的。
對於每一個PSR,其中都包括了少則幾百多則上千個嚴重Bug的修正。即便是如此,在PSR發布後,很快就又會在安裝PSR後的資料庫中發現一些新問題。其中一部分Bug是以前就一直存在的只是以前沒有發現,而現在偶爾被發現,或者是由於PSR修正了某一錯誤從而將其「激活」或容易發現。但是確實有一些Bug是由這一PSR造成的,Oracle技術支持部門稱其為倒退(Regression)。對於每一PSR,在metalink中有兩個重要的與之有關的文檔,一個是「List of fixes added in XXXX」,是這一PSR修復的Bug的清單,是一本「修復列表」;另一個是「Known issues and alerts affecting XXXX」,是安裝PSR後發現的問題,可以稱其為「悔過列表」。由於大型軟體的復雜性,Bug幾乎是不可避免的。重要的是能夠及時提供信息,DBA可以結合自己系統的情況做出正確的判斷。讀者不必因為知道還存在著Bug,就對Oracle資料庫產品失去信心。PSR修復的上千個Bug中絕大多數是在一些很少見的環境中,或者是若干個組件的復雜組合使用的情形中發生的。
如果系統在運行中出現過某種問題,由Oracle技術支持部門或第三方的專家確認原因是PSR中的某一Bug,這樣就必須盡早安裝;如果系統一直運行正常,並且在PSR已發現的問題中涉及的組件或功能(如Logical Standby, JVM,RAC等)在系統中並不使用,此時可以選擇安裝也可以選擇不安裝。
另一個需要考慮的因素是安裝補丁的時機。上述這些考慮的一個重要前提是系統已經投入運行,擔心「倒退」的Bug影響系統。如果系統還處在開發和測試階段,不需要有任何猶豫,安裝最新的PSR,並在此基礎上測試應用系統是否工作正常。如果發現異常,要及時請Oracle技術支持部門確認是否新Bug,如果是請其提供個別補丁。目的就是在一個盡可能完善穩定的資料庫平台上測試應用系統。我們可以把這種安裝補丁的策略概括為「補丁補新不補舊」。
以上都是針對PSR的安裝,對於個別補丁,由於補丁修復的Bug單一,容易判斷是否需要安裝。需要注意的是,如果在當前PSR之上安裝了若干個個別補丁,那麼在下一個PSR發布後,在安裝下一個PSR之前,需要卸載所有個別補丁。為便於管理,現在Oracle技術支持部門要求必須使用工具 opatch安裝管理個別工具,而盡量避免手動拷貝文件等操作。
最後是安全補丁安裝的判斷。雖然安全漏洞這個詞看上去讓人覺得非常嚴重,但是還要冷靜綜合分析這些漏洞在系統中的危害程度。事實上,不安裝安全補丁的危險性可能遠遠小於始終不渝地使用scott/tiger這樣人人都知道的用戶名和口令的「標准預設」做法。
安裝PSR
使用oui工具安裝PSR時只需要用滑鼠做幾個選擇就可以進入自動執行的階段,操作過程本身非常簡單。但是如果要求必須一次安裝成功;要求必須在凌晨2點到4點這個有限的停機時間段完成操作;要求安裝過程不出差錯,以後出現問題時能夠完全排除此次操作失誤的可能性,那麼就需要在啟動oui之前做一些准備工作。
1. 收集信息
有關PSR的信息中,一個最重要的文檔就是軟體補丁說明,這個文件相當於技術手冊中的安裝指南和發行說明。文件本身包含在下載的軟體補丁文件之中,文件名是patchnote.htm或README.html。需要注意的一個問題是在軟體補丁文件之中找到的這一Patch Set Notes可能不是最新版,可以根據文件內的提示信息在metalink中檢索最新版。
另外兩個重要文件就是前面已經提及的「修復列表」和「悔過列表」,相對於「修復列表」更應該仔細閱讀「悔過列表」中的每一項內容。另外,在Patch Set Notes的已知問題(Known Issues)一節內列出了安裝PSR後出現的一些問題。
除去這三個主要文件外,還應在metalink中檢索,尋找是否還有其他涉及這一PSR的技術文章,尋找其他用戶在安裝這一PSR時或安裝後遇到問題時所發的救助的帖子,前車之鑒更應重視。
2. 做出判斷
在認真閱讀收集到的文章之後,根據自己系統的實際情況,做出是立即安裝PSR,或是等待下一PSR的決定。如果是暫緩安裝,則要記錄原因,以便以後跟蹤Bug的修復進程。
3. 制訂實施計劃
在決定安裝PSR後,需要制訂一個實施計劃。在計劃中不僅要包括正常的操作步驟,更要考慮在出現意外時的應急處理(如果安裝PSR失敗,則在正常應用開始時間之前,要恢復系統到安裝之前的狀態)。如果可能,在對正式系統開始實施之前,應在測試系統中進行演練和應用處理的測試,保證在安裝PSR後不會影響應用系統的運行。
安裝PSR的計劃大致有以下幾個部分:停止資料庫服務關閉資料庫;備份DBMS軟體和資料庫以備恢復之用;安裝PSR軟體;更新資料庫數據字典升級PSR版本;正常啟動資料庫開始資料庫服務。
看似簡單的關閉資料庫的操作,在系統構成復雜時也會變得不容易。另外,如果夜間作業時間不允許在完成資料庫完全備份之後再安裝PSR,則安裝PSR的日期應該選擇在例行的資料庫完全備份的下一個晚上,只備份重做日誌。
在安裝PSR之前備份DBMS軟體的目的是,由於安裝PSR會對許多程序和庫函數進行更新,如果安裝PSR中途失敗(雖然可能性非常小),有可能造成DBMS軟體出現不一致。另外一種可能的情形是,在安裝PSR,更新數據字典後,測試應用系統時,出現了某種異常,原因不明,最終決定放棄PSR。如果操作之前沒有備份,則此時只有重新安裝軟體一種選擇(PSR不同於完整軟體安裝,在oui中無法單獨卸載PSR軟體)。
對文件、目錄和文件系統的備份,最簡單的方式可以使用cp、tar、mp等命令完成。如果希望縮短文件拷貝時間,可以考慮分區備份的方法。分區備份常用的命令是dd。但是,分區拷貝比文件拷貝速度快的前提是良好的分區設計:Oracle軟體單獨佔一個大小適中(如4GB)的分區,這樣扇區拷貝才會體現優勢,這也就是為什麼在安裝軟體時,Oracle建議單獨使用一個分區安裝軟體的原因之一。
在制定實施計劃時,應認真閱讀Patch Set Notes中有關操作前准備工作一節。在這節內會介紹對於一些特殊系統構成,如果你的系統屬於文檔中提到的構成,一定要首先閱讀文內提示的相關技術文章,找到正確的安裝步驟。
使用oui, PSR軟體安裝完成後,一定不要忘記更新數據字典這一步驟。如果在這一ORACLE_HOME下生成了多個資料庫,則每個資料庫都必須更新數據字典。
. 實施操作
制訂一個詳細的計劃後,實施操作就可以「照本宣科」,是一個簡單的體力勞動。要認識到「忙中出錯」的概率遠比「急中生智」大得多,操作時盡量減少失誤的可能性。例如,需要執行的復雜命令,盡可能從一個文件拷貝到終端執行,而不要現場輸入。另外,在實施過程中,要記錄各個階段實際的執行時間,以供以後制訂類似計劃時參考。
5. 檢查操作結果並記錄備案
執行一個操作,操作是否成功,一定要進行檢查,不能簡單認為沒有出錯信息就是成功。要知道驗證的方法。除去極個別極費時間的驗證(分區備份的內容是否可以成功恢復系統,必須恢復分區,啟動資料庫,測試應用系統後才能確認),其餘操作都應進行驗證。所有屏幕輸出信息和日誌文件都應保留,作為安裝報告的附件提交給上級或客戶。
在屏幕輸出或日誌文件中出現異常/錯誤信息時,應即時分析,決定馬上採取的措施。出現嚴重錯誤時,可能需要重新執行某一SQL程序,或者重新安裝PSR。所以在制訂實施計劃時應在時間上留出異常情況處理的時間。
下面給出一個在Linux平台上安裝10.1的PSR的實例,給從未安裝PSR的讀者有一個感性認識。
操作系統是RHEL AS4.0 Update3,Oracle的當前版本是10.1.2。在metalink中檢索,找到10.1版的最新PSR10.1.0.5。下載壓縮文件。在壓縮文件中找到Patch Set Notes,該文檔的完成日期是2006年1月。而按照文檔內的提示在metalink中檢索得到的此文檔的最新版本完成日期是2006年4月。使用文件比較工具進行比較,兩個版本沒有實質性差別,只有語句措詞的修改,但是養成總是檢索最新文檔的習慣有益無害。
根據Patch Set Notes中的說明,有一些特殊系統構成需要額外的步驟,本例中由於全部沒有涉及到,所以可以按標准步驟執行。
另外,檢查「Known issues and alerts affecting 10.1.0.5」文檔後,發現10.1.0.5引入的影響最大的一個Bug是執行SELECT MAX()在某些特定條件下結果不正確。而這一Bug可以通過設置事件(event)關閉FIRST ROW優化而避免。最後的結論是這一BUG不會對本系統有影響,可以安裝PSR10.1.0.5。
1. 檢查資料庫表空間和初始化參數是否需要調整。
System表空間要求有一定未使用空間:初始化參數SHARED_POOL_SIZE 和 JAVA_POOL_SIZE不能低於最小值150MB。
2. 關閉資料庫,停止listener和agent等進程。
3. 解壓縮下載文件至某一目錄,執行oui。
在壓縮文件中附帶的oui的版本要比已經安裝的版本高,應總是使用新版本的oui。在oui窗口中,要求選擇本次安裝的軟體的位置,正確的位置是解壓縮目錄下的子目錄Disk1/stage/, 選中procts.xml即可開始文件拷貝。
要注意窗口中會出現本次安裝的日誌文件的文件路徑和文件名。文件的位置是在Oracle的inventory所在目錄的子目錄logs中,文件名由前綴InstallActions和安裝日期時間組成,如: InstallActions2006-08-30-11-32-48AM.log。
正常結束後,退出oui。打開日誌文件,檢索是否出現error 或「ORA-」的錯誤信息。本次安裝產生的日誌文件內,沒有任何此類的信息,表明PSR軟體安裝成功。如果此時再次啟動oui,點擊「已安裝軟體」,則可以看到在原有的10.1.0.2軟體之下,新出現了10.1.0.5一項,這也證實PSR軟體安裝成功。
4.更新資料庫數據字典
更新數據字典時,必須以特殊的升級方式打開資料庫。
$ sqlplus /nolog
SQL> CONNECT / AS SYSDBA
SQL> STARTUP UPGRADE
SQL> SPOOL patch.log
SQL> @?/rdbms/admin/catpatch.sql
執行結束後,關閉重定向:
SQL> SPOOL OFF
打開文件patch.log檢查是否有錯誤「ORA-」。(這一文件在啟動sqlplus時的當前目錄中,當然也可以在「SPOOL patch.log」語句中顯式指定文件路徑。)如果出現錯誤要分析原因,在解決問題後,需要再次執行catpatch.sql程序。
更新數據字典時,由於對某些PL/SQL包刪除後又重新生成,造成相關PL/SQL包的狀態為異常(invalid)。在以後調用這些包時,檢測到其狀態為非法,會自動執行編譯命令,使狀態成為正常(valid)。雖然不會出錯,但會造成個別處理第一次執行時變慢。顯然,與其留到應用系統運行時再一個個編譯,不如之前集中一次重編譯所有異常包。
SQL> SHUTDOWN
SQL> STARTUP
SQL> @?/rdbms/admin/utlrp.sql
最後,根據Known Issues中的指示,完成與本系統有關的操作。例如,修改Pro*C的配置文件。這里執行一個修改文件存取許可權的「後操作」,以便非同組用戶和程序可以存取客戶端工具和庫函數。
$ cd $ORACLE_HOME/install
$ ./ changePerm.sh
個別補丁管理工具opatch
如前所述,在發布一個PSR後發現的新BUG,只能把其補丁收入到下一個PSR中。如果對資料庫有實質性影響,則這一補丁以個別補丁的形式向用戶提供。個別補丁是與某一個特定的PSR關聯,是安裝在這一PSR之上的。另外,如同其名字表明的,個別補丁只是單一Bug的補丁,不會包含其他個別補丁,即不是累積型的。
在9.2版之前,安裝個別補丁的操作完全是手工的。這種手工方式的缺點不僅在於加重DBA的負擔,容易造成操作失誤,更嚴重的是無法對已安裝的個別補丁進行管理。
為解決手工方式的缺陷,從9.2版開始,Oracle公司設計實現了個別補丁安裝管理工具opatch。opatch使用一個稱為 inventory的系統數據結構(嚴格說是與oui共享inventory),集中管理所有已安裝的個別補丁;個別補丁的安裝和卸載都使用opatch 命令完成,沖突檢測也由opatch在安裝時自動完成;提供列表命令可以很方便得到已安裝個別補丁的信息。
10g(10.1和10.2)版本中,opatch作為一個標准工具,在軟體安裝時自動安裝。(安裝在$ORACLE_HOME/OPatch 下。)而對於9.2版,需要從metalink下載opatch。無論資料庫是哪一個版本,系統中是否已經安裝opatch,在使用之前,應從 metalink下載最新版本的opatch。很遺憾,由於系統實現的問題,10.2使用的opatch與之前版本(10.1和9.2)使用的 opatch不兼容,不能混用,這一點必須注意。
opatch是使用perl編寫的腳本程序(其中也使用JAVA API)。編程使用的perl版本是5.6版,雖然在5.6之前的版本中也可運行,但應盡可能安裝5.6或以上的版本的perl。對於DBA來說一個好消息是,如果安裝9.2版軟體時保留了HTTP伺服器,則在$ORACLE_HOME/Apache下會自動安裝perl。(10g會自動安裝配置perl 和opatch。)
opatch命令格式為:
opatch < command > [< command_options >] [ -h[elp] ]
命令有:apply(安裝個別補丁)、rollback(卸載個別補丁)、lsinventory(對inventory進行列表)、query (顯示某一個別補丁的詳細信息)、version(顯示opatch版本信息)。在opatch目錄下,有用戶使用指南文件(Users_Guide.txt),其中有詳細的命令格式和使用示例,讀者可以參考。Opatch執行操作時,除在屏幕輸出結果外,還生成日誌文件。日誌文件的路徑和文件名格式如下:
$ORACLE_HOME/.patch_storage/< patch_id >/< action >-< patch_id >_< mm-dd-yyyy_hh-mi-ss >.log
其中「patch_id」是Oracle技術支持部門為個別補丁分配的編號。
4. 個別補丁安裝實例
沿用安裝PSR實例中的環境。在安裝PSR10.1.0.5後,檢索metalink,發現若干在其之上的個別補丁。選擇其中之一安裝。
個別補丁Patch 4518443修復BUG4518443,這一BUG的主要問題是TNS LISTENER在注冊ONS(Oracle Notification Services)的同時如果創建子進程,那麼LISTENER會掛起(HANGUP)。
安裝時,首先,從metalink下載補丁的壓縮文件p4518443_10105_LINUX.zip。將此文件解壓縮至某一目錄中。解壓縮後,這一補丁的所有文件都在子目錄4518443下,目錄名就是個別補丁的補丁號,opatch依據目錄名獲得信息,所以一定不要重命名子目錄。
然後,在終端窗口中,執行cd命令移動到4518443子目錄中,執行以下命令:
$ $ORACLE_HOME/OPatch/opatch apply
對inventory列表,確認安裝操作:
$ $ORACLE_HOME/OPatch/opatch lsinventory
執行卸載命令時,也必須使4518443子目錄成為當前目錄。其中,Rollback命令需要兩個參數:-id給出個別補丁號;-ph 給出個別補丁解壓縮後的路徑。
$ $ORACLE_HOME/OPatch/opatch rollback -id 4518443 -ph /…/4518443
隨後再對inventory列表,則會看到這一個別補丁已經被移去。
4. 使用opatch顯示已安裝的版本信息
不需要啟動資料庫,執行加選項的對inventory的列表命令,可以得到已安裝的軟體的各個組件的詳細版本信息。
$ $ORACLE_HOME/OPatch/opatch lsinventory -detail
安全補丁CPU
一個CPU內包含了對多個安全漏洞的修復,並且也包括相應必需的非安全漏洞的補丁。CPU是累積型的,只要安裝最新發布的CPU即可,其中包括之前發布的所有CPU的內容。事實上,在CPU之前的安全漏洞修改除去個別例外也被包括在CPU中。Oracle公司只對處於標准技術支持和延長支持期間的產品提供CPU更新,對處於維持支持范圍的產品不提供新的CPU。(對於9.2以前的版本,只對處於ECS和EMS期間的版本提供CPU更新。)一般對當前補丁發行版及前一個版本提供CPU,但也有隻限於當前補丁發行版的例外情形。也就是說,一般需要先安裝最新PSR後才可能安裝CPU。由於是累積型的定期發布,所以對於某一平台的某一版本,如果兩次CPU發布期間沒有發現新的安全漏洞,則新發布的CPU與前一版本完全相同。
Ⅳ 如何防範計算機網路攻擊
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。
但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。
現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
----------------------------------------------------------------------------
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機 ;
(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上;
(3)允許任何地址的E-mail(25口)進入主機 ;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。
當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。
規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。
如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。
這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。
這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
----------------------------------------------------------------------------
(四)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網。
Ⅳ 木馬和病毒有什麼區別嗎,補丁又是什麼東西啊
電腦病毒
電腦病毒是什麼東西呢?是否會像其他病毒,如「H5N1」、「O-157大腸桿菌」、「HIV」一樣對人體造成傷害呢?電腦病毒是會造成傷害,但不是對你造成傷害,而是對你的電腦系統造成一定的傷害。其實,電腦病毒是一段非常小的(通常只有幾KB)會不斷自我復制、隱藏和感染其他程序的程序碼。它在我們的電腦里執行,並且導致不同的影響。它可把電腦里的程序或數據消失或改變。電腦病毒與其它威脅不同,它可以不需要人們的介入就能由程序或系統傳播出去。「程序碼」包含一套不必要的指令,當執行時,它把自己傳播到其它的電腦系統、程序里。首先它把自己拷貝(Copy)在一個沒有感染的程序或文件里,當這個程序或文件執行任何指令時,這電腦病毒都會包括在指令里。根據病毒創造者的動機,這些指令可以做出任何事情,其中包括顯示一段信息、刪除文件或精細地改變數據,甚至破壞電腦的硬體。有些情況下,電腦病毒並沒有破壞指令的企圖,但取而代之就是病毒占據磁碟空間、CPU時間或網路的連接。
電腦病毒----什麼是電腦病毒
從廣義上定義,凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。依據此定義,諸如邏輯炸彈,蠕蟲等均可稱為計算機病毒。
1994年2月18日,我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》,在《條例》第二十八條中明確指出:「計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我復制的一組計算機指令或者程序代碼。」此定義具有法律性、權威性。
自從Internet盛行以來,含有Java和ActiveX技術的網頁逐漸被廣泛使用,一些別有用心的人於是利用Java和ActiveX的特性來撰寫病毒。以Java病毒為例,Java病毒並不能破壞儲存媒介上的資料,但若你使用瀏覽器來瀏覽含有Java病毒的網頁,Java病毒就可以強迫你的Windows不斷的開啟新窗口,直到系統資源被耗盡,而你也只有重新啟動。
所以在Internet出現後,計算機病毒就應加入只要是對使用者造成不便的程序代碼,就可以被歸類為計算機病毒。
下面我們談一談病毒。您以前是否聽說過電腦病毒?不要一聽到病毒就渾身發抖,只要了解了病毒,對付起來還是很容易的。
電腦病毒與我們平時所說的醫學上的生物病毒是不一樣的,它實際上是一種電腦程序,只不過這種程序比較特殊,它是專門給人們搗亂和搞破壞的,它寄生在其它文件中,而且會不斷地自我復制並傳染給別的文件,沒有一點好作用。 電腦病毒發作了都會有哪些症狀呢?
電腦染上病毒後,如果沒有發作,是很難覺察到的。但病毒發作時就很容易感覺出來:
有時電腦的工作會很不正常,有時會莫名其妙的死機,有時會突然重新啟動,有時程序會乾脆運行不了。
電腦染毒後表現為:工作很不正常,莫名其妙死機,突然重新啟動,程序運行不了。有的病毒發作時滿屏幕會下雨,有的屏幕上會出現毛毛蟲等,甚至在屏幕上出現對話框,這些病毒發作時通常會破壞文件,是非常危險的,反正只要電腦工作不正常,就有可能是染上了病毒。病毒所帶來的危害更是不言而喻了。而且,以前人們一直以為,病毒只能破壞軟體,對硬體毫無辦法,可是CIH病毒打破了這個神話,因為它竟然在某種情況下可以破壞硬體!
電腦病毒和別的程序一樣,它也是人編寫出來的。既然病毒也是人編的程序,那就會有辦法來對付它。最重要的是採取各種安全措施預防病毒,不給病毒以可乘之機。另外,就是使用各種殺毒程序了。它們可以把病毒殺死,從電腦中清除出去。
常用殺毒程序有:KV300,KILL系列,瑞星,PC CILLIN,NAV,MCAFEE等。
電腦病毒一般可以分成下列各類:
1.引導區電腦病毒
2. 文件型電腦病毒
3. 復合型電腦病毒
4.宏病毒
5. 特洛伊/特洛伊木馬
6.蠕蟲
其他電腦病毒/惡性程序碼的種類和製作技巧
引導區電腦病毒
1.引導區電腦病毒是如此傳播:隱藏在磁碟內,在系統文件啟動以前電腦病毒已駐留在內存內。這樣一來,電腦病毒就可完全控制DOS中斷功能,以便進行病毒傳播和破壞活動。那些設計在DOS或Windows3.1上執行的引導區病毒是不能夠在新的電腦操作系統上傳播,所以這類的電腦病毒已經比較罕見了。 Michelangelo是一種引導區病毒。它會感染引導區內的磁碟及硬碟內的MBR。當此電腦病毒常駐內存時,便會感染所有讀取中及沒有寫入保護的磁碟。除此以外,Michelangelo會於3月6日當天刪除受感染電腦內的所有文件。
2.文件型電腦病毒,又稱寄生病毒,通常感染執行文件(.EXE),但是也有些會感染其它可執行文件,如DLL,SCR等等...每次執行受感染的文件時,電腦病毒便會發作:電腦病毒會將自己復制到其他可執行文件,並且繼續執行原有的程序,以免被用戶所察覺。
CIH會感染Windows95/98的.EXE文件,並在每月的26號發作日進行嚴重破壞。於每月的26號當日,此電腦病毒會試圖把一些隨機資料覆寫在系統的硬碟,令該硬碟無法讀取原有資料。此外,這病毒又會試圖破壞FlashBIOS內的資料。
3.宏病毒 與其他電腦病毒類型的分別是宏病毒是攻擊數據文件而不是程序文件。
宏病毒專門針對特定的應用軟體,可感染依附於某些應用軟體內的宏指令,它可以很容易透過電子郵件附件、軟盤、文件下載和群組軟體等多種方式進行傳播如MicrosoftWord和Excel。宏病毒採用程序語言撰寫,例如VisualBasic或CorelDraw,而這些又是易於掌握的程序語言。宏病毒最先在1995年被發現,在不久後已成為最普遍的電腦病毒。 JulyKiller這個電腦病毒通過VB宏在MSWord97文件中傳播。一但打開染毒文件,這病毒首先感染共用範本(normal.dot),從而導致其它被打開的文件一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時,這病毒就會刪除c:\的所有文件。
4. 特洛伊或特洛伊木馬是一個看似正當的程序,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程序或數據。與電腦病毒的分別是特洛伊不會復制自己。它的傳播技倆通常是誘騙電腦用戶把特洛伊木馬植入電腦內,例如通過電子郵件上的游戲附件等。 BackOrifice特洛伊木馬於1998年發現,是一個Windows遠程管理工具,讓用戶利用簡單控制台或視窗應用程序,透過TCP/IP去遠程遙控電腦。
5.蠕蟲是另一種能自行復制和經由網路擴散的程序。它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程序,但蠕蟲是專注於利用網路去擴散。從定義上,電腦病毒和蠕蟲是非不可並存的。隨著互聯網的普及,蠕蟲利用電子郵件系統去復制,例如把自己隱藏於附件並於短時間內電子郵件予多個用戶。有些蠕蟲(如CodeRed),更會利用軟體上的漏洞去擴散和進行破壞。 於1999年6月發現的Worm.ExploreZip是一個可復制自己的蠕蟲。當執行時,它會把自己隱藏在附件,經電子郵件傳送予通訊錄內的收件人。在Windows環境下,若用戶開啟附件,就會自動執行蠕蟲。在Windows95/98環境下,此蠕蟲以Explore.exe為名,把自己復制到C:\windows\system目錄,以及更改WIN.INI文件,以便系統每次啟動時便會自動執行蠕蟲。
預防篇
1. 提倡尊重知識產權的觀念,支持使用合法原版的軟體,拒絕使用翻版軟體,只有這樣才能確實降低使用者電腦發生中毒的機會.
2. 平日就要將重要的資料備份起來,畢竟解毒軟體不能完全還原中毒的資料,只有靠自己的備份才是最重要的.
3. 建立一張緊急救援磁片,而且是「乾凈及可開機的」,DOS的版本與硬碟相同,同時裡面還要有以下程式:FDISK.EXE,FORMAT.COM,UNFORMAT.COM,SYS.COM,UNDELETE.EXE,SCANDISK.EXE,掃毒軟體所備份的啟動磁區及硬碟分割表檔案.如果你有PCTOOLS或Norton Utility等軟體,用它們來幫助你做一張緊急救援磁片,它們甚至可以還原CMOS資料,或是災後重建資料.(別忘了貼上防寫標簽.)
4. 不要隨便使用來歷不明的檔案或磁碟,就算要使用,先用掃毒軟體掃一掃再用.
5. 准備一些好的防毒,掃毒,解毒軟體,並且定期使用.
.建立正確病毒基本觀念,了解病毒感染,發作的原理,亦可以提高個人的警惕.
治療篇
請熟記以下的六字口訣:
1. 關(Step 1;關閉電源)
2. 開(Step 2;以乾凈磁片開機)
3. 掃(Step 3;用防毒軟體掃瞄病毒)
4. 除(Step 4;若偵測有病毒,則立即刪除)
5. 救(Step 5;若偵測硬碟分割區或啟動區有病毒時,可用"硬碟緊急救援磁片"救回資料,或用乾凈DOS磁片中的FDISK指令,執行FDISK/MBR以救回硬碟分割區資料;另可在A槽中執行A>SYS C:(C為中毒磁碟)以救回資料;若不行就只有重新格式化硬碟了.
6. 防(Step 8;好了!您的電腦安全了.不過為了預防未來不再受到病毒之侵害,建議您經常更新你的防毒軟體,以建立完善而且堅固的病毒防疫系統.
什麼是木馬?
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
參考資料:http://bbs.51ww.com/365000/ShowPost.aspx
回答者:完顏康康 - 探花 十一級 9-18 12:40
--------------------------------------------------------------------------------
DLL 木馬揭秘
相信經常玩木馬的朋友們都會知道一些木馬的特性,也會有自己最喜愛的木馬,不過,很多朋友依然不知道近年興起的「DLL木馬」為何物。什麼是「DLL木馬」呢?它與一般的木馬有什麼不同?
一、從DLL技術說起
要了解DLL木馬,就必須知道這個「DLL」是什麼意思,所以,讓我們追溯到幾年前,DOS系統大行其道的日子裡。在那時候,寫程序是一件繁瑣的事情,因為每個程序的代碼都是獨立的,有時候為了實現一個功能,就要為此寫很多代碼,後來隨著編程技術發展,程序員們把很多常用的代碼集合(通用代碼)放進一個獨立的文件里,並把這個文件稱為「庫」(Library),在寫程序的時候,把這個庫文件加入編譯器,就能使用這個庫包含的所有功能而不必自己再去寫一大堆代碼,這個技術被稱為「靜態鏈接」(Static Link)。靜態鏈接技術讓勞累的程序員鬆了口氣,一切似乎都很美好。可是事實證明,美好的事物不會存在太久,因為靜態鏈接就像一個粗魯的推銷員,不管你想不想要宣傳單,他都全部塞到你的手上來。寫一個程序只想用到一個庫文件包含的某個圖形效果,就因為這個,你不得不把這個庫文件攜帶的所有的圖形效果都加入程序,留著它們當花瓶擺設,這倒沒什麼重要,可是這些花瓶卻把道路都阻塞了——靜態鏈接技術讓最終的程序成了大塊頭,因為編譯器把整個庫文件也算進去了。
時代在發展,靜態鏈接技術由於天生的弊端,不能滿足程序員的願望,人們開始尋找一種更好的方法來解決代碼重復的難題。後來,Windows系統出現了,時代的分水嶺終於出現。Windows系統使用一種新的鏈接技術,這種被稱為「動態鏈接」(Dynamic Link)的新技術同樣也是使用庫文件,微軟稱它們為「動態鏈接庫」——Dynamic Link Library,DLL的名字就是這樣來的。動態鏈接本身和靜態鏈接沒什麼區別,也是把通用代碼寫進一些獨立文件里,但是在編譯方面,微軟繞了個圈子,並沒有採取把庫文件加進程序的方法,而是把庫文件做成已經編譯好的程序文件,給它們開個交換數據的介面,程序員寫程序的時候,一旦要使用某個庫文件的一個功能函數,系統就把這個庫文件調入內存,連接上這個程序佔有的任務進程,然後執行程序要用的功能函數,並把結果返回給程序顯示出來,在我們看來,就像是程序自己帶有的功能一樣。完成需要的功能後,這個DLL停止運行,整個調用過程結束。微軟讓這些庫文件能被多個程序調用,實現了比較完美的共享,程序員無論要寫什麼程序,只要在代碼里加入對相關DLL的調用聲明就能使用它的全部功能。最重要的是,DLL絕對不會讓你多拿一個花瓶,你要什麼它就給你什麼,你不要的東西它才不會給你。這樣,寫出來的程序就不能再攜帶一大堆垃圾了——絕對不會讓你把吃剩的東西帶回家,否則罰款,這是自助餐。
DLL技術的誕生,使編寫程序變成一件簡單的事情,Windows為我們提供了幾千個函數介面,足以滿足大多數程序員的需要。而且,Windows系統自身就是由幾千個DLL文件組成,這些DLL相互扶持,組成了強大的Windows系統。如果Windows使用靜態鏈接技術,它的體積會有多大?我不敢想。
二、應用程序介面API
上面我們對DLL技術做了個大概分析,在裡面我提到了「介面」,這又是什麼呢?因為DLL不能像靜態庫文件那樣塞進程序里,所以,如何讓程序知道實現功能的代碼和文件成了問題,微軟就為DLL技術做了標准規范,讓一個DLL文件像乳酪一樣開了許多小洞,每個洞口都註明裡面存放的功能的名字,程序只要根據標准規范找到相關洞口就可以取得它要的美味了,這個洞口就是「應用程序介面」(Application Programming Interface),每個DLL帶的介面都不相同,盡最大可能的減少了代碼的重復。用Steven的一句話:API就是一個工具箱,你根據需要取出螺絲刀、扳手,用完後再把它們放回原處。在Windows里,最基本的3個DLL文件是kernel32.dll、user32.dll、gdi32.dll。它們共同構成了基本的系統框架。
三、DLL與木馬
DLL是編譯好的代碼,與一般程序沒什麼大差別,只是它不能獨立運行,需要程序調用。那麼,DLL與木馬能扯上什麼關系呢?如果你學過編程並且寫過DLL,就會發現,其實DLL的代碼和其他程序幾乎沒什麼兩樣,僅僅是介面和啟動模式不同,只要改動一下代碼入口,DLL就變成一個獨立的程序了。當然,DLL文件是沒有程序邏輯的,這里並不是說DLL=EXE,不過,依然可以把DLL看做缺少了main入口的EXE,DLL帶的各個功能函數可以看作一個程序的幾個函數模塊。DLL木馬就是把一個實現了木馬功能的代碼,加上一些特殊代碼寫成DLL文件,導出相關的API,在別人看來,這只是一個普通的DLL,但是這個DLL卻攜帶了完整的木馬功能,這就是DLL木馬的概念。也許有人會問,既然同樣的代碼就可以實現木馬功能,那麼直接做程序就可以,為什麼還要多此一舉寫成DLL呢?這是為了隱藏,因為DLL運行時是直接掛在調用它的程序的進程里的,並不會另外產生進程,所以相對於傳統EXE木馬來說,它很難被查到。
四、DLL的運行
雖然DLL不能自己運行,可是Windows在載入DLL的時候,需要一個入口函數,就如同EXE的main一樣,否則系統無法引用DLL。所以根據編寫規范,Windows必須查找並執行DLL里的一個函數DllMain作為載入DLL的依據,這個函數不作為API導出,而是內部函數。DllMain函數使DLL得以保留在內存里,有的DLL裡面沒有DllMain函數,可是依然能使用,這是因為Windows在找不到DllMain的時候,會從其它運行庫中找一個不做任何操作的預設DllMain函數啟動這個DLL使它能被載入,並不是說DLL可以放棄DllMain函數。
五、DLL木馬技術分析
到了這里,您也許會想,既然DLL木馬有那麼多好處,以後寫木馬都採用DLL方式不就好了嗎?話雖然是這么說沒錯,但是DLL木馬並不是一些人想像的那麼容易寫的。要寫一個能用的DLL木馬,你需要了解更多知識。
1.木馬的主體
千萬別把木馬模塊寫得真的像個API庫一樣,這不是開發WINAPI。DLL木馬可以導出幾個輔助函數,但是必須有一個過程負責主要執行代碼,否則這個DLL只能是一堆零碎API函數,別提工作了。
如果涉及一些通用代碼,可以在DLL里寫一些內部函數,供自己的代碼使用,而不是把所有代碼都開放成介面,這樣它自己本身都難調用了,更不可能發揮作用。
DLL木馬的標准執行入口為DllMain,所以必須在DllMain里寫好DLL木馬運行的代碼,或者指向DLL木馬的執行模塊。
2.動態嵌入技術
Windows中,每個進程都有自己的私有內存空間,別的進程是不允許對這個私人領地進行操作的,但是,實際上我們仍然可以利用種種方法進入並操作進程的私有內存,這就是動態嵌入,它是將自己的代碼嵌入正在運行的進程中的技術。動態嵌入有很多種,最常見的是鉤子、API以及遠程線程技術,現在的大多數DLL木馬都採用遠程線程技術把自己掛在一個正常系統進程中。其實動態嵌入並不少見,羅技的MouseWare驅動就掛著每一個系統進程-_-
遠程線程技術就是通過在另一個進程中創建遠程線程(RemoteThread)的方法進入那個進程的內存地址空間。在DLL木馬的范疇里,這個技術也叫做「注入」,當載體在那個被注入的進程里創建了遠程線程並命令它載入DLL時,木馬就掛上去執行了,沒有新進程產生,要想讓木馬停止惟有讓掛接這個木馬DLL的進程退出運行。但是,很多時候我們只能束手無策——它和Explorer.exe掛在一起了,你確定要關閉Windows嗎?
3.木馬的啟動
有人也許會迫不及待的說,直接把這個DLL加入系統啟動項目不就可以了。答案是NO,前面說過,DLL不能獨立運行,所以無法在啟動項目里直接啟動它。要想讓木馬跑起來,就需要一個EXE使用動態嵌入技術讓DLL搭上其他正常進程的車,讓被嵌入的進程調用這個DLL的DllMain函數,激發木馬運行,最後啟動木馬的EXE結束運行,木馬啟動完畢。
啟動DLL木馬的EXE是個重要角色,它被稱為Loader,如果沒有Loader,DLL木馬就是破爛一堆,因此,一個算得上成熟的DLL木馬會想辦法保護它的Loader不會那麼容易被毀滅。記得狼狽為奸的故事嗎?DLL木馬就是爬在狼Loader上的狽。
Loader可以是多種多樣的,Windows的rundll32.exe也被一些DLL木馬用來做了Loader,這種木馬一般不帶動態嵌入技術,它直接掛著rundll32進程運行,用rundll32的方法(rundll32.exe [DLL名],[函數] [參數])像調用API一樣去引用這個DLL的啟動函數激發木馬模塊開始執行,即使你殺了rundll32,木馬本體還是在的,一個最常見的例子就是3721中文實名,雖然它不是木馬。
注冊表的AppInit_DLLs鍵也被一些木馬用來啟動自己,如求職信病毒。利用注冊表啟動,就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的,對這個DLL的穩定性有很大要求,稍有錯誤就會導致系統崩潰,所以很少看到這種木馬。
有一些更復雜點的DLL木馬通過svchost.exe啟動,這種DLL木馬必須寫成NT-Service,入口函數是ServiceMain,一般很少見,但是這種木馬的隱蔽性也不錯,而且Loader有保障。
4.其它
到這里大家也應該對DLL木馬有個了解了,是不是很想寫一個?別急,不知道大家想過沒有,既然DLL木馬這么好,為什麼到現在能找到的DLL木馬寥寥無幾?現在讓我來潑冷水,最重要的原因只有一個:由於DLL木馬掛著系統進程運行,如果它本身寫得不好,例如沒有防止運行錯誤的代碼或者沒有嚴格規范用戶的輸入,DLL就會出錯崩潰。別緊張,一般的EXE也是這樣完蛋的,但是DLL崩潰會導致它掛著的程序跟著遭殃,別忘記它掛接的是系統進程哦,結局就是……慘不忍睹。所以寫一個能公布的DLL木馬,在排錯檢查方面做的工作要比一般的EXE木馬多,寫得多了自己都煩躁……
六、DLL木馬的發現和查殺
經常看看啟動項有沒有多出莫名其妙的項目,這是Loader的所在,只要殺了狼,狽就不能再狂了。而DLL木馬本體比較難發現,需要你有一定編程知識和分析能力,在Loader里查找DLL名稱,或者從進程里看多掛接了什麼陌生的DLL,可是對新手來說……總之就是比較難啊比較難,所以,最簡單的方法:殺毒軟體和防火牆(不是萬能葯,切忌長期服用)。
上網下載最新的系統補丁,給操作系統「進補」,是大家經常要做的一件事,但面對網上鋪天蓋地的Hotfix和SP補丁,許多用戶特別是電腦新手往往會迷失方向。那麼什麼是Hotfix,什麼是SP,它們之間又有什麼聯系和區別呢?
明明白白Hotfix
Hotfix是針對某一個具體的系統漏洞或安全問題而發布的專門解決該漏洞或安全問題的小程序,通常稱為修補程序。微軟公司為提高其開發的各種版本的Windows操作系統和Office軟體的市場佔有率,會及時地將軟體產品中發現的重大問題以安全公告的形式公布於眾,這些公告都有一個惟一的編號,即MS-,如MS03-063,MS是微軟的英文縮寫,03代表2003年,063代表該安全公告的編號,合起來就是微軟公司在2003年發布的第63個安全公告。在這個公告中微軟公司都會給出一個形如Q(2003年4月份前用此編號)或KB(2003年4月份後用此編號)的編號,這個編號是微軟知識庫中的一個編號,通過該編號我們可以在微軟知識庫(support.microsoft.com)中查找到有關該問題的所有技術性文章和相應的解決方案。
我們以微軟發布的用於Windows XP操作系統的沖擊波漏洞的補丁「WindowsXP-KB823980-x86-CHS32λ.exe」為例來說明。
★Windows XP——產品名稱,說明該補丁適用的操作系統。可能出現的選項有Windows 2000 、Windows XP、WindowsServer 2003等等,分別應用於對應的操作系統。
★KB823980——KB是Knowledge Base的首字母縮寫,意即基本知識庫,823980是該補丁在微軟知識庫中相應的說明性文章的編號,我們鍵入網址「support.microsoft.com/KBid=823950」即可以查看該補丁的技術文章。
★x86——處理器平台的標識,示例中x86說明該補丁應用於Intel 公司的x86構架的處理器平台。可能出現的選項有x86、AMD64和IA64等。
★CHS32λ.exe——語言版本的標識。示例中的CHS表明該補丁應用於中文版的Windows操作系統。可能出現的選項有CHS、ENU和INTL,分別應用於中文版、英文版和多語言版的Windows操作系統中;32表示的是應用於32位的處理器平台;λ表明該補丁為非正式版,只是一個測試版。
提示:α、β、λ常用來表示軟體測試過程中的三個階段,α是第一階段,一般只供內部測試使用;β是第二個階段,已經消除了軟體中大部分的不完善之處,但仍有可能還存在缺陷和漏洞,一般只提供給特定的用戶群來測試使用;λ是第三個階段,此時產品已經相當成熟,只需在個別地方再做進一步的優化處理即可上市發行。修補程序經過測試上市發行之前在編號上會略加修改,即去掉後面的「32λ」字樣,因此正式版沖擊波補丁名稱應為「 WindowsXP-KB823980-x86-CHS.exe」。
明明白白SP
SP是Service Pack的縮寫,意即補丁包。微軟的操作系統及軟體產品漏洞很多,微軟不得不頻繁地發布各種Hotfix來進行修補,但對一般用戶來說,要查看自己的電腦是否安裝了某個Hotfix是一件麻煩事,下載安裝各種Hotfix也很繁瑣,微軟為了解決問題,就開始發布SP補丁包,SP補丁包中包含有SP發布日期前所發布的所有Hotfix。也就是說,Hotfix是針對某一個問題的單一補丁,SP包含SP發布日期前的所有Hotfix補丁。因此,只要你下載並安裝了SP補丁包,就不需要再去下載安裝SP發布日期前的Hotfix了。SP補丁包按發布日期的先後順序排列,這樣便有了SP1、SP2、SP3……等等。
針對Windows操作系統的SP補丁包是可疊加補丁包,也就是說SP2中已包含有SP1中的所有補丁,SP3中已包含有SP2、SP1中的所有補丁,以此類推,如Windows 2000現在就有SP1、SP2、SP3、SP4補丁包。
不過,Office產品的SP補丁包是不可疊加補丁包,比如SP2隻包含有SP1發布日期以後到SP2發布日期前這一段時間內的所有補丁,以此類推。因此,對於Windows產品來說,用戶只需下載並安裝最新的SP補丁包即可。而對於Office產品則必須下載並安裝所有的SP補丁包,這一點務必要注意。
提示:用戶要了解系統打過了哪些補丁,可以單擊「開始→設置→控制面板→添加/刪除程序」,在「添加/刪除程序」窗口中形如「Windows XXXX修補程序包——KB 823980」字樣的選項就是你為系統打的補丁。或者單擊「開始→運行」?在彈出的運行對話框中輸入「REGEDIT」打開注冊表編輯器?找到如下分支?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix ?,觀察Hotfix下的子鍵就可以看到系統打了哪些補丁
Ⅵ win7升級SP1有什麼好處
Windows 7 SP1的改進:總體上說Win7 SP1 在功能上並沒有多少新穎的變化,只是對以往功能「不疼不癢」的修補,在更新後也感覺不到win7在性能上有所提升,可以說SP1補丁包主要是對以往更新程序的集成,具體更新和改進如下:1,新版本的遠程桌面服務。這是為了和Server 2008 R2 SP1新增功能RemoteFX相匹配所需要的更新。2,XPS文檔問題修復。在個別情況下,一個同時包含橫向和縱向排版內容的XPS文檔會無法以正確格式列印出來,SP1將會修復這個問題。3,對第三方聯盟服務更好的支持。更新SP1後,WIndows 7將會額外支持符合Web服務聯盟語言被動請求者規范的第三方服務。4,改進HDMI音頻設備性能。Windows7 SP1修正了一個重啟系統後可能會和HDMI音頻設備斷開連接的Bug。5,其他熱修補程序和Bug修復。所有自Windows 7發布後(到SP1發布前)的補丁程序都會集成在SP1里。如果WIN7 SP1補丁包沒有讓你感到驚喜,也不要失望哦,只能說Windows7 RTM版太成功了,以至於在SP1中無法做出太多的改進和性能優化!
Ⅶ 如何反編譯MS08-067漏洞
沒有反編譯漏洞一說。
應該是分析漏洞的原理。
分析漏洞需要很強大的程序逆向分析功力。