知者无畏--一个真实的簿世界-第22章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


按钮）。
第三节“协议”和“端口”，不要被名词吓倒
在网络世界里，任何电脑要作为数字空间的存在，就必须加入因特网，整个因特网的基础是TCP/IP协议，那么，什么是协议，端口呢，下面是一个通过网络如何互联的示意图：

地址，用来在漫漫网络中找到正确的机器
端口，用来在同样的机器中区分不同的连接，这样一台机器可以和很多机器一起说话而不相互干扰。
协议：协议就是一种语言，如果通信的双方使用了同一种足够强大的语言（足够完善的协议），就可以实现相互的交流。
TCP／IP协议族：TCP/IP（传输控制协议/网间协议）是一个非常流行的标准网络协议族，这些协议被广泛使用，使得在一个庞杂环境中的不同节点可以相互通信。TCP/IP协议最初由美国国际高级项目研究机构（DARPA）提出，并在ARPANET上实现，ARPANET最后发展成为现在的Internet。TCP/IP协议族给出了独立于厂商硬件的数据传送格式及规则。由于它的独特的硬件独立性，所以迅速被众多系统使用，范围愈来愈广。如UNIX采用TCP/IP协议，Window　NT和Novell的Net　ware都有支持TCP/IP的支持软件或模块。TCP／IP协议族主要包括下面一些协议：
IP（Internet　Protocol）网际协议，IP数据包的传输协议，每个IP数据包都含有源地址和目的地址，知道从源机器正确地传送到目的机器上去。通过IP协议，IP数据包可以通过网络上路由器、网关等多种设备到达正确的目的地。
TCP（Transport　control　Protocal）传输控制协议具有重排IP数据包顺序和超时确认的功能。IP数据包可能从不同的通信线路到达目的地机器，IP数据包的顺序可能被打乱。TCP按IP数据包原来的顺序进行重排。IP数据包可能在传输过程中丢失或损坏，在规定的时间内如果目的地机器收不到这些IP数据包，TCP协议会让源机器重新发送这些IP数据包，TCP协议可以实现可靠的数据传送。
另外还有UDP协议（不可靠的传送数据包），以及对传输过程进行控制的传输管理协议（ICMP）。
第四节　个人防火墙，能做什么不能做什么？
说到个人防火墙，必须首先说明一些最基本的概念：
TCP/IP协议和套接字软件。TCP/IP协议在前面已经作了详细的描述，套接字是在TCP/IP协议基础之上，提供访问这个协议的一些基本函数接口。

个人防火墙的发展也经过了几代。
第一代是套接字层次的个人防火墙，基本特点是可以对TCP、UDP协议进行监控。
这一代防火墙基本上是在视窗操作系统WinSock。DLL基础上开发的，可以对指定的地址允许或者禁止TCP/UDP连接，可以确定哪些端口允许，哪些端口禁止。

第二代是TCP／IP协议层的防火墙，可以实现对ICMP、IGMP协议的监控，可以实现应用程序级的监控。
这一代防火墙的功能强大很多，可以禁止其他的机器使用Ping程序在网络上发现你。更重要的是，可以　准备访问网络，可以制定禁止或者允许某一个程序访问网络，如果用户不能明确断定一个程序可以访问网络，就禁止他访问。这样，对于木马程序，就不再能够在用户不知道的情况下，将一些重要的信息泄露出来了。

第三代在第二代的基础之上，增加了内容过滤功能，可以对数据包的内容进行分析和判断，准确的识别出端口扫描。
使用第三代个人防火墙，可以实现小型的个人入侵检测系统（Personal　Intrude　Detect　System），使用这个系统，可以准确的判断什么样的攻击正在发生，在攻击取得成功之前将攻击拦截并且切断攻击者的连接。
第五节　如何实现自动执行
注册表是整个视窗32位操作系统的一个重要组成部分，对于大量的木马程序，注册表的作用更是非常重要，因为大部分木马程序需要在电脑启动之后自动加载，这就需要有一种方法告诉操作系统，需要自动加载木马程序。注册表是完成这个任务的最佳选择之一。
注册表设计的初衷是为了存放系统的一些设置文件，后来由于需要存放的设置越来越复杂，注册表也就发展成为一种数据库了，特别是在视窗95以后的视窗操作系统中，注册表已经成为系统的个非常重要的组成部分，关于注册表的内容和作用需要一本完整的书来描述，所以我们在这里不对注册表做太多的研究，只是结合木马程序的防范，把重点放在一个问题上，木马程序有哪些方法可以让操作系统自动加载？
基本的答案是下面几种：
*　通过视窗3。1遗留下来的配置文件，win。ini文件中，在＇WINDOWS＇下面，〃run=〃和〃load=〃是可能加载〃木马〃程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上〃木马〃了。
*　同样是视窗3。1遗留下来的文件，system。ini文件中，在＇BOOT＇下面有个〃shell=文件名〃。正确的文件名应该是〃explorer。exe〃，如果不是〃explorer。exe〃，而是〃shell=　explorer。exe　［程序名］〃，那么后面跟着的那个程序就是〃木马〃程序，就是说你已经中〃木马〃了。
*　注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：
〃HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun〃目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为。EXE，这里切记：有的〃木马〃程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如〃Acid　Battery　v1。0木马〃，它将注册表
〃HKEY－LOCAL－MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〃
下的　Explorer　键值改为Explorer=〃C：WINDOWSexpiorer。exe〃，〃木马〃程序与真正的Explorer之间只有〃i〃与〃l〃的差别。当然在注册表中还有很多地方都可以隐藏〃木马〃程序，
如：〃HKEY－CURRENT－USERSoftwareMicrosoftWindowsCurrentVersionRun〃、
〃HKEY－USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun〃
的目录下都有可能，最好的办法就是在
〃HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun〃下找到〃木马〃程序的文件名，再在整个注册表中搜索即可。


第八章　对电脑病毒说不
第一节　关于病毒的十诫
*　对于从因特网上下载的可执行文件和WORD／EXECEL文件一定要非常小心，在打开这些东西之前一定要进行非常仔细的检查。
*　不要相信任何人发来的邮件，即使是来自你的朋友，即使邮件的主题是“我爱你”，因为你的朋友很可能已经被病毒感染，打开邮件的附件之前一定要三思而后行。
*　局域网的管理员应该特别注意的是，将所有共享目录的可执行文件设置成只读文件，限制普通权限的用户对这些目录的文件拥有写权限。在运行新的软件之前一定要使用反病毒软件进行仔细的检测，最好在一台和局域网隔离的电脑上首先安装和运行新的软件以防止出现病毒或其他对局域网的破坏。
*　最好是购买正版的软件，不要购买盗版软件，特别是那种将多个正版软件放在一张光盘上的所谓合集软件。在网上下载软件使用时一定要小心，到有大量用户的知名站点下载，这样下载的软件中包括病毒的可能性相对要小一些。
*　在任何时候都不要禁止你的病毒防火墙，如果病毒防火墙和你要使用的软件有冲突，那么使用另外一种病毒防火墙代替它。
*　定期备份你的数据，这是最重要的防患于未然的方法，在发生病毒感染时，备份你的数据可以最大限度的减小你的损失。
*　将你的电脑的引导顺序设置为“C：A：”，这样可以防止软盘中的引导病毒感染你的硬盘。
*　发现机器有异常表现，立即关机，然后进行杀毒处理。如果没有杀毒软件，可在备份了数据之后重新安装软件，注意一定要使用一张确信没有病毒的引导磁盘来引导机器之后在安装软件。
*　及时升级你的杀毒软件，一周一次的升级频率已经无法满足需要，或许具有主动才病毒代码发送的升级方式是你的选择。
*　不要过于相信厂商的宣传，发现最多病毒的软件不一定是最好的软件，掌握足够的病毒知识，拥有自己的判断才能真正保护自己的电脑安全。

第二节　仔细看看你的硬盘
硬盘是任何现代个人电脑中必不可少的存储设备，也是电脑病毒的主要栖息地，病毒从第一块硬盘RAMAC的产生到现在单碟容量高达十几GB的硬盘，硬盘也经历了几代的发展，下面就介绍一下其历史及发展。　1956年9月，IBM的一个工程小组向世界展示了第一台磁盘存储系统IBM　350　RAMAC（Random　Access　Method　of　Accounting　and　Control），其磁头可以直接移动到盘片上的任何一块存储区域，从而成功地实现了随机存储，这套系统的总容量只有5MB，共使用了50个直径为24英寸的磁盘，这些盘片表面涂有一层磁性物质，它们被叠起来固定在一起，绕着同一个轴旋转。此款RAMAC在那时主要用于飞机预约、自动银行、医学诊断及太空领域内。　1968年IBM公司首次提出〃温彻斯特/Winchester〃技术，探讨对硬盘技术做重大改造的可能性。〃温彻斯特〃技术的精隋是：〃密封、固定并高速旋转的镀磁盘片，磁头沿盘片径向移动，磁头悬浮在高速转动的盘片上方，而不与盘片直接接触〃，这也是现代绝大多数硬盘的原型。　
1973年IBM公司制造出第一台采用〃温彻期特〃技术的硬盘，从此硬盘技术的发展有了正确的结构基础。　1979年，IBM再次发明了薄膜磁头，为进一步减小硬盘体积、增大容量、提高读写速度提供了可能。　80年代末期IBM对硬盘发展的又一项重大贡献，即发明了MR（Magneto　Resistive）磁阻，这种磁头在读取数据时对信号变化相当敏感，使得盘片的存储密度能够比以往20MB每英寸提高了数十倍。　1991年IBM生产的3。5英寸的硬盘使用了MR磁头，使硬盘的容量首次达到了1GB，从此硬盘容量开始进入了GB数量级。　1999年9月7日，Maxtor宣布了首块单碟容量高达10。2GB的ATA硬盘，从而把硬盘的容量引入了一个新里程碑。　2000年2月23日，希捷发布了转速高达15，000RPM的Cheetah　X15系列硬盘，其平均寻道时间只有3。9ms，这可算是目前世界上最快的硬盘了，同时它也是到目前为止转速最高的硬盘；其性能相当于阅读一整部Shakespeare只花。15秒。此系列产品的内部数据传输率高达48MB/s，数据缓存为4~16MB，支持Ultra160/m　SCSI及Fibre　Channel（光纤通道），这将硬盘外部数据传输率提高到了160MB~200MB/s。总得来说，希捷的此款（〃捷豹〃）Cheetah　X15系列将硬盘的性能提高到了一个新的里程碑。　
2000年3月16日，硬盘领域又有新突破，第一款〃玻璃硬盘〃问世，这就是IBM推出的Deskstar　75GXP及Deskstar　40GV，此两款硬盘均使用玻璃取代传统的铝作为盘片材料，这能为硬盘带来更大的平滑性及更高的坚固性。另外玻璃材料在高转速时具有更高的稳定性。此外Deskstar　75GXP系列产品的最高容量达75GB，是当时最大容量的硬盘，而Deskstar　40GV的数据存储密度则高达14。3十亿数据位/每平方英寸，这再次涮新数据存储密度世界记录
第三节　原来如此
前面已经分析过硬盘的结构，在一片一片的磁性介质之上，通过低级格式化（建立一些基本的结构，扇区、分区等等），硬盘就可以被操作系统所使用了，操作系统在实际进行文件读写之前，需要使用高级格式化的功能，建立起适当的文件系统，目前主流的文件系统包括：
文件分配表（FAT）文件系统：是视窗3。x和DOS一直使用的文件系统；Windows95使用的是扩展FAT文件系统；WindowsNT文件系统则在继续支持16位文件系统的同时，还支持两种32位的文件系统WindowsNT文件系统（NTFS）和高性能文件系统（HPFS），视窗98推出了新的FAT32文件系统，Linux操作系统主要使用的是扩展文件系统第二版（EXT2），这几种文件系统各有优缺点，适合于不同的应用目的。

一、文件分配表（FAT）系统　FAT文件系统1982年开始应用于MS…DOS中。
FAT文件系统主要的优就是它可以由多种操作系统访问，如MS…DOS、Windows3。x、Windows5、WindowsNT和OS/2等。遗憾的是FAT文件统不支持长文件名。人们给文件命名时受8个字符名3个字符扩展名8。3命名规则限制。同时FAT文件系统无法支持系统高级容错特性，　不具有内部安全特性等。

二、扩展文件分配表（VFAT）系统　在Windows95中，通过对FAT文件系统的扩展，长文件名问题得到了善解决，这也就是人们所谓的扩展FAT（VFAT）文件系统。在Windows95　中，文件名可长达255个字符，所以人们很容易通过名字来表现文件内。但是为了同MS…DOS和Win16位程序兼容，它仍保留有扩展名。它同也支持文件日期和时间属性，为每个文件保留了文件创建日期/时　间、文件最近被修改的日期/时间和文件最近被打开的日期/时间这三个　日期/时间戳。

VFAT支持长文件名的方式是比较简单的，因此具有下面的一些局限性：
1。由于长文件名将要占用多个目录项，因此，如果在根目录中建立文件名文件，将会影响根目录中可存放文件的总数目；如果在　子目录中建立长文件名文件，将会多占用一些磁盘空间。　
2。在MS…DOS下删除一个或改变一个由长文件名转换而来的文件名，　将丢失其长文件名占用的用于保存长文件名的名字字符目录项和　保存长文件名的类型信息目录项，这些目录项如果不做特殊处理　的话，在一般MS…DOS下将永久无法使用。
3。一些现有的基于DOS的磁盘管理实用程序（如磁盘碎片消除工具、　磁盘位编辑器和一些磁盘备份软件）处理FAT表项时，可能会破　坏FAT表的长文件名项，但相应的8。3文件名不受影响。因此，我们　应该尽可能使用Windows95提供的磁盘管理实用程序来执行文件备　份、恢复等操作，以保留长文件名。
4。在MS…DOS和Windows3。x中运行的某些应用程序，由于它不能识别长　文件名，使用这些应用程序打开带有长文件名的文件后再存储，　长文件名将丢失。或者将一个带有长文件名的文件拷贝到不支持　长文件名的系统中，则长文件名也将丢失。

三、WindowsNT文件系统　NTFS支持WindowsNT的所有优点。这些优点中最重要的是WindowsNT　的安全性。与NTFS文件系统相结合，能够指定谁能访问某一文件或目　录和对它作什么操作。在创建一个文件时，可以通知WindowsNT，哪些　用户可以读该文件，哪些用户可以修改该文件；另外，还可以指定谁　可以列出一个目录的内容和谁可以在该目录下增加文件。即使用户知　道文件的路径，仍可以禁止访问目录中的文件，只有NTFS分区中的文　件才有这种称为任意访问控制的能力。
　NTFS的第二个优点是它具有先进的容错能力。NTFS使用一种称为　事务（transaction）登录的技术跟踪对磁盘的修改，因此，NTFS可以在几秒　钟内恢复错误而不是HPFS的几分钟或几小时（取决于HPFS分区的大小）。
NTFS的第三个优点是其文件不易受到病毒和系统崩溃的侵袭，这　种抗干扰直接源于WindowsNT操作系统的高度安全性能。即使在FAT　和N