木马病毒的几种启动方式剖析

木马是随计算机或Windows的启动而启动并掌握一定的控制权的，其启动方式可谓多种多样，通过注册表启动、通过System.ini启动、通过某些特定程序启动等，真是防不胜防。其实只要能够遏制住不让它启动，木马就没什么用了，这里就简单说说木马的启动方式，知己知彼百战不殆嘛。 　　　　

一、通过“开始\程序\启动”　

隐蔽性：2星 　　

应用程度：较低 　　

这也是一种很常见的方式，很多正常的程序都用它，大家常用的聊天工具QQ就是用这种方式实现自启动的；但木马却很少用它，因为启动组的每一个都会出现在“系统配置实用程序”(msconfig.exe，以下简称msconfig)中。事实上，出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意，所以，相信不会有木马用这种启动方式。 　　　　

二、通过Win.ini文件 　　

隐蔽性：3星 　　

应用程度：较低 　　

应用案例：Asylum 　　

同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。在Windows3.2中，Win.ini就相当于Windows9.x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中。而且，在Windows98安装完成后这两项就会被Windows的程序使用了，也不很适合木马使用。 　　　　

三、通过注册表启动 　　

1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run， 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 　　

隐蔽性：3.5星 　　

应用程度：极高 　　

应用案例：BO2000，GOP，NetSpy，IEthief，冰河等　　

这是很多Windows程序都采用的方法，也是木马最常用的。使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表中的主键，通常木马会使用最后一个。使用Windows自带的程序：msconfig或注册表编辑器(regedit.exe，以下简称regedit)都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除(手工删除后，木马程序又自动添加上了)；相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢？其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。 　　

破解方法：首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了；然后，你就可以删除注册表中的键值和相应的木马程序了。 　　

2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce， 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

隐蔽性：4星 　　

应用程度：较低 　　

这种方法好像用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢? 　　

其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。 　　

还有一种方法，不是在启动的时候加而是在退出Windows的时候加，这要求木马程序本身要截获WIndows的消息，当发现关闭Windows消息时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样用Regedit也找不到它的踪迹了。这种方法也有个缺点，就是一旦Windows异常中止(对于Windows 9.x这是经常的)，木马也就失效了。 　　

破解他们的方法也可以用安全模式。 　　

另外使用这三个键值并不完全一样，通常木马会选择第一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束会才继续启动Windows。　　

四、通过Autoexec.bat文件，或winstart.bat，config.sys文件 　　

隐蔽性：3.5星 　　

应用程度：较低 　　

其实这种方法并不适合木马使用，因为该文件会在Windows启动前运行，这时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想象，SoftIce for Win98(功能强大的程序调试工具，被黑客奉为至宝，常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口，进行调试的，既然如此，谁能保证木马不会这样启动呢？

另外，这两个BAT文件常被用于破坏，它们会在这个文件中加入类似“Deltree C:\*.*”和“Format C:/u”的行，这样，在你启动计算机后还未启动Windows，你的C盘已然空空如也。

KIS可激活key文件

从上次发过几个可激活key到现在，卡巴斯基又封了不少key文件。前几天，几个好朋友的key相继被封，呵呵，没有办法只好又搞了几个可用的（亲自测试过）。

其中，除了第三个key可用到今年年底外，其他的都可以用到2008年。还是那句老话，能否用到那个时间，还得看卡巴斯基的脸色。

下载：http://www.51files.com/?KSC6L1JHEI34ULT2AOFB

附：其实我还是希望大家用正版的好，免得“担惊受怕”。何况，卡巴斯基先生在做客腾讯会客厅时说，今年卡巴斯基将会有40%的降价幅度。如果你想购买正版卡巴斯基，请点击这里。

病毒的发展趋势 卡巴斯基清华演讲

本月20日下午，卡巴斯基先生来到清华大学，为学子们献上了一场主题为“病毒发展史及未来趋势”的精彩演讲。

作为全球最著名的信息安全专家之一，卡巴斯基对计算机病毒的理解可谓相当深刻，其演讲不仅内容丰富，而且风趣幽默，吸引了大批清华学子到场倾听，现场座无虚席。


台上的卡巴斯基先生很会调动现场气氛，会场既轻松又热烈。

进入提问环节，各位卡巴Fans也是花样百出，问题千奇百怪。其中一名学生问道：“如果有一天病毒全部消失，卡巴斯基失业了，怎么办？”

卡巴斯基的回答倒也洒脱：“那我就转行，去从事运动，打打高尔夫什么的。”

不过，还是有人提出了很尖锐的问题，问卡巴斯基如何防止去年年底地震导致软件无法升级的事件再次发生。令人欣喜的是，我们也得到了一个相当令人振奋的答案——卡巴斯基已在国内部署了四十余台服务器，而且以后根据情况还会扩充。

清华学生向卡巴斯基提问

会场也出现了一个小插曲，由于整个会议全部用英文进行，有些口语不好的人只好用纸条来向卡巴斯基先生提问，于是卡巴斯基就收到了这样一张密密麻麻写满问题的“纸条”……

虽然是中国最顶级的大学，卡巴斯基却也不忘班门弄斧，再次秀了一把中文签名。

会议一结束，卡巴斯基立刻便被狂热的学生包围索要签名。

解决KIS 6.0.2.621中文正式版开机LOGO问题

不知道是什么原因，卡巴斯基KIS 6.0.2621中文正式版出来开机居然没有卡巴斯基的LOGO，就用优化大师进行扫描的注册表的时候无意间发现了一个卡巴斯基的无效键值，指向的是的却是卡巴斯基开机的LOGO文件，仔细观察发现，文件名字虽然一样，但是后缀名不同，在卡巴斯基文件夹下的X:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\Skin\images里的是logo.png，而在注册表中的却是logo.gif，或许这个就是卡巴斯基开机不显示图标的原因，经过尝试后却实是如此，具体操作如下：

1.先把后缀名显示出来，打开我的电脑——工具——文件夹选项——查看——把隐藏已知文件类型的后缀名前面的钩子去掉。

2.然后把卡巴的自动保护去掉，具体：设置——服务——启用自我保护的钩子去掉再找到卡巴文件夹下的X:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\Skin\images里的是logo.png，把文件的后缀名改成.gif（就是完整的文件名为logo.gif）即可。

还有一种方法就是，将注册表中的logo.gif修改为logo.png就可以了（注意：只有去掉卡巴斯基保护后，修改才是有效的）。

附：这个只是针对KIS，KAV是完全正确的。

卡巴斯基先生做客腾讯会客厅（上）

4月20日上午，卡巴斯基先生做客腾讯网，就信息安全、防杀病毒等话题，与网友互动。

视频实录 卡巴斯基在腾讯独家开博

以下是卡巴斯基先生做客腾讯会客厅笔录。

主持人：各位网友，大家上午好！欢迎光临腾讯科技总裁俱乐部，今天我们非常荣幸的请到的是卡巴斯基的创始人，卡巴斯基先生！欢迎您的到来！

卡巴斯基先生：非常感谢，我非常高兴能够在这里和大家见面，并且回答网友的问题。

主持人：卡巴斯基先生，这次是您第几次访问中国呢？

卡巴斯基先生：我已经来过中国三次，去过一次香港地区，我每次到中国都发现有不同的变化，非常高兴看到中国种种不同的转变，非常欣赏它的变化。

主持人：这次您来最大的感慨是什么呢？

卡巴斯基先生：这可以从两个角度来说明，第一就是从公司的角度，第二从个人的角度。从公司来说，在最近两年，我们公司取得了非常大的成就，在市场上，我非常高兴看到本地公司的变化和成长。从个人角度，我了解到中国在这两年有很多新技术的发展，在俄罗斯也有很多新技术的进展，但是没有中国的变化这么大，所以我非常高兴看到这些变化。

主持人：现在对于中国市场的全新定位是怎样的？

卡巴斯基先生：我们也可以分两方面来讲。一个是在家庭终端用户，另外一方面是在大型企业用户，现在我们在个人用户市场这方面已经取得了比较大的成功，现在的市场占有率大概是第二或者是第一位，所以我们处于一个领先的地位。在企业用户方面，暂时我们还没有取得第一位的位置，但是在我们看来，公司有很大的潜力，在今后，我们会更多的把重心放在这里，争取我们的产品达到第一位。

主持人：您这一次访华，更多的是充当跟企业和用户沟通的角色，还是更多侧重与政府交涉？

卡巴斯基先生：这次访华的行程安排得比较紧凑，首先，跟政府官员进行了会晤，并且和天津反病毒中心见面并签署了合作协议，另外，我们也和主要的合作伙伴有一个见面和沟通。并且，今天我们还会在清华大学进行演讲。所以可以说这次行程很多，不仅是唯一目的。

主持人：那么此行来华，最重要的目的是什么？昨天我了解到，您和中国很多用户有面对面的接触和沟通，您有什么样的感触？

卡巴斯基先生：来华的第一个目的，就是应天津市政府的邀请，参加在天津举行的经济洽谈会，并在会上发言。另外，关于昨天在中关村的见面活动，我感到非常荣幸。因为知道在中国大概有30万的卡巴斯基粉丝非常激动(笑)，并且想说，非常感谢！另外也对于昨天因为时间原因，没有给每位粉丝礼物，表示一下歉意，以后我们会尽快补上！

主持人：那么，卡巴斯基今年会给中国用户带来一些什么样新产品和新服务？

卡巴斯基先生：我们公司主要产品还是专注在防病毒、防黑客和防垃圾邮件方面的产品。在今后的日子里我们尽量将产品的品质提升。另外我们也会在新产品方面增加主动防御以及在管理软件方面的开发和研究。但是，目前来说，对于新的产品可能暂时没有更多的介绍，公司产品的重心还是在防病毒这方面。

未来重点放在“主动防御”

主持人：刚才卡巴斯基先生也谈到了主动防御的概念。现在很多杀毒厂商也在谈这个概念，卡巴斯基先生是否有更前沿的认识？并把它用在卡巴斯基的产品中呢？

卡巴斯基先生：在防御病毒方面，可以分成两个层面，首先是被动防御，再一个是主动防御。那么在被动防御方面来说，是对于已知的病毒进行抵御，我们收集这些病毒，然后加入杀毒软件的病毒库之后发给用户，就可以防御病毒。在这方面，卡巴斯基可以说是做得最好的一位。

在今后的日子里，我们会把更多的注意力和精力放在主动防御方面，就是对于未知病毒的制止。这方面主要是对于很多恶意程序和病毒，在未知的情况下，能够运用病毒程序对它进行主动的抵抗和制止。

很多制造这些病毒程序的人（包括黑客）他们也知道安全软件有这两种不同层面的防御功能，他们的思路肯定不一样，他们也会想很多新方法来制造新病毒，希望能够寻求某种突破口来达到他们的目的。所以在我们新版本中，我们在这方面做了很多努力和研究，增加了很多这方面的功能。在我们新版本中，将会有一个非常好的主动防御的程序在里面，将会是目前为止最好的一个版本。

主持人：我现在能看到网友的提问，有位网友很激动，说偶像终于出现了。

与黑客决斗印象最深的一次

网友：想要卡巴斯基先生分享一个这么多年来在“杀毒”过程中，跟黑客“决斗”最有意思的经历？

卡巴斯基先生：与这些恶意程序制造者的斗争，我们并不是面对面，而是在一个数字世界中的。所以通常是他们制造一个新的恶意程序，我们再提出一个新的防御程序。他们又制造一个新的技术，我们又开发一个新的技术来防御。所以这是一条无止境的路，而且这些恶意程序的制造者也都有着丰富的经验。所以我们会在斗争中，大家不断的进步。

主持人：在这其中，哪一次是最有意思的、最有趣的、让您印象最深刻的？

卡巴斯基先生：这是很好的问题。最激动人心的应该是一个关于木马的案例，这个木马主要是能窃取用户信息，但它不完全窃取，而是制造一个程序让你来付钱，也就是说它并不是直接想窃取你的信息，而是利用弹出窗口和程序，最后达到让你来付钱的目的。其实类似的情况是有非常多的，现在说的是一个比较典型的木马，它利用很多漏洞，最后能窃取并直接显示用户的信息。
在这个木马程序里面，有一些关键词很特殊。通常，木马中的关键词很短，我们都能从病毒中查到这个关键词，那么，在我们的帮助下，用户就可以通过对病毒库的对比来找到这些关键词，这样就不会出现信息泄露或者是中毒的情况。但是那一次不同，这个黑客利用了很多不同的木马，不同的木马在一起，使得其中的关键词越来越大，很难在我们的病毒库里对比，很难辨认出来它是这样一个恶意的性质。最后，以至于它的关键词的长度已经有3兆多，甚至需要用50多台计算机比对、而且需要用整整一天才能够找到。同时，这名黑客他又发布了一个更新的关键词，这个关键词又比原来大了一倍，就需要有一台电脑连续对比查找30年或者说是用30台电脑对比一年，只要这样，才能把这个关键词查找出来。

好在，我们的技术人员发现，原来这个黑客就在这中间犯了一个小小的错误，导致他的木马变成了不能完成的任务了，抓到黑客的这个小错误，我们用不到十分钟时间就把这个关键词找出来，这在当时也是大家都没有想到的。

主持人：这个故事就跟您说的，杀毒是一条“无止境的路”一样，其间黑客还不断的有新招式。我看有网友正在说，卡巴斯基先生好像扮演着“反恐精英”的角色了。(笑)

我联想起，从去年下半年到今年，中国的用户受到“熊猫烧香”和“灰鸽子”等病毒的侵袭。我想问两点，首先，卡巴斯基怎么样防御这些新出的病毒？第二，怎么样教育用户更好的做到自我防御？

卡巴斯基先生：每年我们都从不同的国家收集到数以亿计的不同的新病毒以及变种。现在越来越多的人制造恶意程序，窃取用户资料，进行网络犯罪，这可以说是计算机发展上的一个新趋势。我们给用户的建议，第一就是要使用全面的防病毒的工具，或者是网络安全工具。第二就是要对用户来进行教育工作，不要轻易打开不知名的附件以及来自不知道是什么人发来的一些网络链接或者是邮件数据资料等等。只有通过这种方法才能够尽量避免让自己的计算机感染病毒。

主持人：刚才卡巴斯基先生的例子中也提到，有的木马主要目的是窃取用户的信息，现在也出现了很多对于各种用户隐私的窃取行为。用户该怎么样防范？

卡巴斯基先生：实际上现在网络犯罪的种类非常多，窃取用户资料只是其中的一小部分，我们可以看到，95%以上的黑客是用其他的方法来进行网络犯罪，比如说直接窃取银行的账户或者是破解他们在银行中的一些资料库的信息，以及利用木马程序制造垃圾邮件，或者是窃取用户的电话号码，享受各种移动运营商提供的服务等等，这些不同的方式和手段，让恶意程序能更有效的进行他们的网络犯罪。所以，对于我们这些反病毒的研究者来说，是一个更难的任务，我们需要更多的有识之士加入我们一起来进行反病毒的研究。

主持人：整个全球趋势是，黑客人数增长速度快，还是反病毒人员的增长速度快？

卡巴斯基先生：可以说在这两方面的人才都是在不断增长。因为首先对于进行网络犯罪的人来说，网络犯罪首先是一件非常容易进行的事情，虽然有一些恶意程序，编写得很复杂，但是在技术的层面来说，并不是很难。他们只是坐在计算机前面面对一个键盘，并不是直接面对受害者。另外我们是网络世界，网络犯罪经常是跨国界的，受害者和进行犯罪的人经常是不同国家的，我们很难进行联合不同国家的警务人员一起来进行追踪。第三，这个网络犯罪的利润非常高，非常诱人，所以这也吸引了更多的人参与到网络犯罪。

在另外一方面，反病毒厂商也是日益增多，加入反病毒团队里的精英和人才也越来越多，所以这两方面，可以说此消彼长，共同增长，很难说谁多谁少。

主持人：听起来就像《无间道》一样。

力挺正版“同情”盗版

网友：现在都习惯使用免费的或者是破解了的软件，不知道卡巴斯基是否有免费的打算？

主持人：我觉得这个问题是问到了盗版。

卡巴斯基先生：目前，盗版问题不只在中国，在世界各地都有这种问题，只是程度上的不同。而且不只是在软件方面，包括电影、光碟各方面都有盗版。对于我们公司来说，我们不会太介意盗版存在于市场，因为在我们认为，盗版的产生不只是由于大家观念上的一个认识，也有一些原因是在于大家的收入的问题。在某一些国家和地区，当人们购买正版软件有一定困难的时候，那不得已使用盗版软件，这是一个不得以而为之的情况，我们很同情，我们也很愿意帮助。

但是，另外一方面，我们也有很多的正版用户。我们首先要对正版用户负责，对于这些合法的用户给予支持。我们在全世界各地增加这种支持的点和力度或者是增加病毒库更新，我们来搜集新的病毒来研究新的技术。这都需要一定的经济来支持，而保障正版用户，合法用户这是前提，所以，有时候我们被迫对一些盗版用户“上锁”，对软件加Key，让盗版用户不能用，为了给我们的正版用户提供足够的支持，我们不得已对盗版用户进行打击。

未完，请看“卡巴斯基先生做客腾讯会客厅（下）”。

卡巴斯基先生做客腾讯会客厅（下）

今年卡巴斯基产品在华降价40%

主持人：我们知道卡巴斯基在中国市场上跟同类产品相比，在价格上还是比较高的。那么在新的一年中或者是未来，会不会有什么降价的措施呢？

卡巴斯基先生：因为今年在俄罗斯是中国年，所以我非常高兴在这里宣布，我们为了庆祝我们两国的这种友谊，我们愿意在新的一年，除了限量版产品以外的其他版本的产品，我们的价格会有40%的下调，我想这对于中国用户来说是一个好消息。

主持人：这个是独家消息吗？

卡巴斯基先生：对。

网友：卡巴斯基的杀毒能力不错，但是看似比较占用资源，而且杀毒的速度显得比较慢，新版本软件，会不会有什么改善？另外，卡巴杀毒太强，有时候将其他的应用程序也当作病毒，这个问题怎么办？

卡巴斯基先生：因为在防御病毒的过程中，必然会占用一定的系统资源。在新版本中，我们会尽量在最大程度上抵御病毒的同时尽量少占用资源，我们在这方面已经做了一些改进，希望新的版本能够满足大家的要求。

说到把有用的程序也都停用，其实这是所有的反病毒软件都会遇到的一个问题，因为有一些软件在某些程度上像是一些病毒软件，我们为了保护你的电脑，就会把它禁止。我们也有一个专门的质量监控系统来监控这样一个问题。如果说用户在使用过程中发现了这样一个问题，有正常的软件被我们禁止了，最好的方法是立刻和我们技术人员联系，把这个问题上报，那么我们就会在很短的时间内进行解决，这样的话，我们会防患于未然，我们会尽量做出这种防范的工作。

不接受由黑客“变身”的员工

主持人：说到种种防范措施，还是要靠整个卡巴斯基庞大的病毒库和工程师，现在能否透露一下整个病毒库的数量和工程师的数量？

卡巴斯基先生：病毒库到目前为止我们有超过30万。至于病毒技术分析员我们其实人数不是很多的，大约也就是30人。因为我们很多病毒防范都是自动来进行的，我们有这种网络机器人来自动的搜集病毒以及对病毒进行分析和添加到病毒库。这些程序基本上都是自动完成的。所以真正的人工来做的大概就只有30人。

主持人：很好奇，这30个信息安全人员当中，是不是曾经也有从黑客转变过来的？

卡巴斯基先生：没有。可以将其分成好人和坏人来说，病毒的制造者是坏人的，我们公司是不会接受有这样一个背景的人来作为我们公司的员工的，特别是分析病毒的程序。但是现在在俄罗斯的办公室里已经有超过500名的员工，对于这么多的员工可能有一些人在很久很久以前是做过黑客的事情，但是那是很久以前的事情。

中国是黑客最活跃的地方

主持人：您怎么看待在俄罗斯本土的黑客，还有中国的黑客，还有整个全球的信息安全？

卡巴斯基先生：非常不好意思说，在世界各地黑客的活动来说，中国是最活跃的一个国家。这方面，首先是因为中国人数众多，另外是网络的使用者也非常多，不可避免会有很多的黑客产生。第二个活跃的地方就是拉丁美洲，也是有非常非常多的黑客。第三个黑客活跃的地方就是俄罗斯。世界各地都有黑客的活动，但是最多的第一是中国，第二是拉丁美洲，第三是俄罗斯。不同国家的黑客制造程序，目的不尽相同的。他们在中国的目的主要是窃取虚拟世界里的一些资料，比方说是玩游戏方面的游戏工具。在拉丁美洲，他们主要制造这种病毒的目的是为了金融方面的犯罪。在美国主要是进行一些间谍监控软件的开发。可以说世界各地黑客的活动的情况和趋势也不尽相同。

主持人：这么说回来，是不是卡巴斯基把中国定位成了整个杀毒软件投放的一个很重要的市场呢？

卡巴斯基先生：我们选择市场定位，并不只是看恶意程序制造者或者是黑客哪里最多，我们就去哪里。我们更多的是看哪里潜在的受害者比较多。中国可以说是这种潜在受害者最多的一个国家，所以我们愿意把更多的精力放在中国，我们设了本地化的公司，还有很多本地化的支持，在以后的工作中，我本人也会越来越多的访问中国。

主持人：那么，在本土市场竞争中，有没有感觉到什么压力？

卡巴斯基先生：其实市场就是市场，无论世界各地都基本上是相同的。即使是在俄罗斯市场，首先进入市场以及在市场上取得领先地位，都非常困难，那么保持世界上领先地位就是更加困难的。即使是在俄罗斯本土市场，我们已经占有了超过50%这样的市场份额的情况下，我们要一直保持这种领先的地位，也是不断的有这种竞争者的压力。所以，不只是对中国市场，在任何一个市场来说，竞争者并不是一个坏事，有压力并不是坏事，我只是希望能够更快的进步。

主持人：卡巴斯基作为一个杀毒软件厂商，您对公司的定位仅仅是帮助用户去杀毒吗？还是说，也扮演更多教育用户的角色，需要承担一定的社会责任？

卡巴斯基先生：我们公司在市场方面其实都有做到，首先就是提供了比较全面的产品线来供用户选择，来保护他们的计算机。另外在教育用户方面，我们也为市场提供了一些培训的课程，也非常欢迎中国的计算机使用者和我们的技术工作人员进行交流，大家共同探讨安全市场上的一些问题。

主持人：现在有用户质疑，安全厂商可能就是背后病毒的制造者，面对这种质疑，不知道卡巴斯基先生，您会如何表达自己的立场？

卡巴斯基先生：这是绝对不可能的，这是我们的立场。因为就好象救火员他不会自己来放火，或者是一个记者他自己不会来制造不好的消息一样。防病毒厂商是不可能来制造病毒。

收集病毒一直是我最大的爱好

网友：卡巴斯基先生最早的时候是因为什么缘故而想一直从事杀毒软件的工作，最后又建立了这家公司呢？

卡巴斯基先生：我开始研究病毒是从1989年开始，因为一个病毒进入我的电脑。后来，我发现这非常有趣，非常愿意研究这个病毒。我就像我们收集集邮或者是蝴蝶标本这样，不断的收集病毒，并且把它作为一个兴趣和爱好，慢慢的我发现这中间还可以赚一些钱，把兴趣、爱好和赚钱结合在一起，就成了非常好的工作，一步一步就成立了一家公司，到目前为止，收集病毒一直是我最大的爱好。

网友：现在很多跨国公司有设立自己的认证，包括微软认证，思科认证，不知道卡巴斯基作为一个杀毒软件厂商有没有建立自己杀毒工程师的认证？

卡巴斯基先生：其实目前我们已经有这方面的认证，对于我们自己的技术工程师以及一些合作伙伴、技术支持人员，我们都有技术工程师证书的这样一个认证。这也是我们整体的教育培训计划中的一部分。

目标简单明确：“杀病毒”

主持人：我们腾讯网内部有一个数据的统计，说从2006年至今，卡巴斯基软件的下载量一直是高居安全软件的榜首，对此，您怎么看？有没有想对QQ的网友和卡巴斯基的用户说些什么的？

卡巴斯基先生：“杀病毒”(非英语，是用中文表述出来的)。信息安全问题引起大家越来越关注，我希望所有的QQ用户能够有一个非常安全的网络环境，我们也愿意为此提供帮助和协助。希望大家都能够再一个安全的网络环境中来尽情的使用网络。

主持人：卡巴斯基7.0会带给QQ网友和用户会有什么新功能？

卡巴斯基先生：我们7.0新版本还没有正式发布，在这个新版本里面，对已有的程序我们进行了一些改进，最主要添加的功能就在主动防御，在此我们会有一个比较大的改进。在用户界面方面来说我们没有什么太大的改动，主要是在内部的一些程序方面我们进行了一些改进。

主持人：今天卡巴斯基先生跟我们分享了一些很有趣的故事，包括如何选择了这个行业，为何成立了卡巴斯基这家公司，也让我们对新产品有很多的期待。就像卡巴斯基先生说的那样，“杀病毒”。这三个字虽然很简单，但是代表了你们的承诺，也代表了用户对你们的期望，非常感谢您！卡巴斯基先生。

卡巴斯基先生：谢谢！

主持人：最后留一个时间，卡巴斯基先生将在这件人物T恤上，用中文书写他本人签名，留个QQ网友一个纪念，让我们一起来见证这一刻。期待卡巴斯基先生下次访华，能为QQ网友带来更多惊喜。（完）

卡巴斯基工具箱（绿色软件）

基本功能：

1.解除卡巴30天试用期（可无限次申请30天试用）
2.卡巴测试版转正式版（让测试版用上正式版的KEY）
3.卡巴正式版转测试版（逆向思维！正式版用上测试的KEY，不怕封KEY）
4.KAV与KIS互转（可以相互用上对方的KEY ）

注：使用前请关闭卡巴斯基的自我防护功能和提出卡巴斯基进程。

卡巴斯基访华 中关村E世界签售火爆（1）

就在比尔盖茨访华的第二天，另一位软件界的巨星尤金•卡巴斯基(Eugene Kaspersky)也来到北京，并且在19号下午14点中关村E世界进行现场签售活动，现场参与者可以免费得到极具珍藏价值的亲笔签名的T恤，同时拿到签名T恤的用户可以333元的优惠价格购买卡巴斯基安全套装产品，同时还将获赠一辆造型精美的折叠式自行车。除了能见到卡巴斯基本人，还可以拿到如此丰厚的礼品，现场气氛一度火爆异常。

签售现场：中关村E世界

本次签售的现场选在北京中关村的核心赶地带：中关村E世界。在E世界商厦各出口均可见“热烈欢迎尤金·卡巴斯基先生到中国”的横幅，进入店内，悬挂于所有店铺顶棚的宣传单，让人更像是进入了卡巴斯基的宣传海洋。

悬挂于各商铺顶棚的卡巴斯基宣传单

在中关村E世界东门的大厅内，签售活动还未开始，但现场人群已经非常踊跃。主持人与保安连忙维持秩序，排队的长龙有十几米长，从大厅一直排到东门口。

为了得到亲笔签名的T恤，Fans们排起了长龙队伍

尤金·卡巴斯基先生终于登场，陪同而来的还有卡巴斯基中国区总裁张立申，数字星空总经理刘建华。在一件印有卡巴斯基先生头像的限量版T恤上，卡巴斯基首先用中文写下了自己的名字。

卡巴斯基先生亮相展示写有自己中文名字的T恤（左起：卡巴斯基、张立申、刘建华）

卡巴斯基先生的中文还算过关吧

从现场本人来看，卡巴斯基要比照片年轻多了，现场热烈的气氛也让他很兴奋。简单的向大家问候后，签售活动正式开始。任何参加活动的人都可以免费得到卡巴斯基的T恤，并得到本人亲笔签名。不过由于人太多，场面几乎失控。

尤金·卡巴斯基比照片要年轻许多

由于签售没有任何门槛，所以参加的人非常多，覆盖面一度失控。在征得卡巴斯基本人同意后，主持人不得不暂停签售，让保安把现场的队伍秩序维持好，几分钟后，签售才继续开始。

卡巴斯基先生在现场签名

现场火爆一度失控

卡巴斯基先生签名时非常投入

欣赏一下卡巴斯基的签名

活动现场参与人数很多

还未完，请看“卡巴斯基访华 中关村E世界签售火爆（2）”

卡巴斯基访华 中关村E世界签售火爆（2）

本次活动是卡巴斯基十周年活动的序幕，除了T恤现场赠送，拿到签名T恤的朋友如果以333元购买卡巴斯基安全套装产品，还将得到极其珍贵的特制折叠式自行车一辆。与一般市面销售的折叠车不同，本款不但造型相当拉风，而且折叠后体积异常小巧，骑这样的车上街一定拥有极高的回头率。据悉，仅自行车的订购价格就超过了三百元。

本次活动现场送出30辆卡巴斯基特制折叠式自行车

现场购买也非常火爆

这位Fans一下子买走五套卡巴斯基，喜不自持

迫不急待地打开看看

在完成30套现场签售后，剩下排队的Fans也将免费得到T恤一件。离开了簇拥的人群，卡巴斯基先生在工作人员的带领下对中关村E世界进行了参观。

卡巴斯基先生在众人陪同下巡视中关村E世界

在某些硬件店铺的卡巴斯基软件专柜前，卡巴斯基先生驻足观看，拿着自己的产品更是非常开心。

看到自己的产品，卡巴斯基先生非常兴奋

在准备离行时，门口拉起横幅的“卡饭”受到了卡巴斯基先生的热情优待：不但一一握手，而且还合影留念。尤其是其中的一位女卡饭，还收到卡巴斯基先生的一个贴面式亲吻。

卡巴斯基先生与卡饭们亲切合影

活动结束后，卡巴斯基先生向大家辞行

根据行程安排，明天下午3点，卡巴斯基先生将在清华大学美术学院系馆发表“洞悉国际网络安全趋势”主题演讲。届时，卡巴斯基先生与中国IT业界精英、商界、学术界领袖以及广大用户围绕目前严峻的国际网络安全趋势进行深入分析。

卡巴斯基先生参加津洽会计算机信息安全高级论坛

4月18日下午，2007中国(天津)计算机信息安全发展趋势及对策国家高级论坛在天津大礼堂召开，俄罗斯计算机反病毒技术领军人物，卡巴斯基公司创始人尤金·卡巴斯基先生到会并发表了“关于国际最新计算机反病毒技术”的学术报告。

会上，卡巴斯基先生向与会人员介绍了国际范围内危害计算机信息安全的病毒种类以及最新的计算机反病毒技术。卡巴斯基先生表示，目前要想制止计算机网络病毒的蔓延，不能仅靠杀毒软件的开发与运用，更需要杀毒软件开发商与警方合作，共同调查网络病毒犯罪，甚至应该建立“互联网国际刑警组织”，同时也应对网络使用者加强信息安全的教育与宣传。

卡巴斯基先生是目前国际信息安全领域公认的顶尖级专家之一，是世界最权威的计算机反病毒研究组织(CARO)的核心成员，在全球许多高端专业会议上发表过有关计算机病毒及其防治技术的学术文章和评论，为世界计算机反病毒技术的发展和应用作出了突出的贡献。卡巴斯基先生此次参加津洽会，是继2003年和2005年之后第三次来津。

此次计算机信息安全国家高级论坛由市人事局、市外国专家局、市公安局联合举办，除了卡巴斯基先生之外，论坛还邀请到中国工程院方滨兴院士、趋势科技亚太区技术总监黄俊雄先生等国内外知名网络信息安全专家来津进行学术交流，这为天津市不断完善网络信息安全体系、提升技术力量、增强网络犯罪的破案能力提供了重要的参考信息。

黑客叫板杀毒厂商：你好！瑞星和卡巴斯基

“熊猫烧香”案的破获，本以为会给黑客们敲响警钟。然而，继承“熊猫烧香”作者思想的人仍是层出不穷，黑客经济的作俑竟使病毒制造者敢公开向杀毒厂商挑衅。专家呼吁，杀毒厂商还需同仇敌忾，才可真正做到防患于未然。 　　

网络黑客来势汹汹 　　

日前，据瑞星技术部门分析，“ANI蠕虫”及其变种不仅传播和危害方式与“熊猫烧香”病毒相似，更抄袭了“熊猫烧香”在病毒体内留言的方式，在最新变种的病毒中，瑞星专家发现了“我想在今年买一辆宝马”的留言，明目张胆地表达了病毒编写者的贪婪。 　　

在“ANI蠕虫”病毒的第一个变种中，病毒作者加入了“我恨AVP”的字样。随后的变种病毒中又加入了辱骂瑞星公司的文字，并且试图和杀毒公司对话。在“ANI蠕虫”的多个变种中，作者写下了这样的信息：“你好，瑞星和卡巴斯基！我不想破坏任何电脑、任何文档和感染系统文件。不要杀我！！” 　　

反病毒专家告诉记者，该病毒并不是以破坏用户计算机为目的而编写的，因此用户感染该病毒后几乎无法察觉。但该病毒会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”，危害比单纯破坏用户计算机的病毒更大。 　　

黑色产业链已成规模 　　

自去年年底开始，大规模的网络攻击越来越多，攻击表现出的商业目的也越来越明显。业内人士指出，以前的黑客事件大多数是想显示自己的能力，攻击规模也较小，但现在经济利益越来越多地掺杂进来，当有经济利益摆在那时，发动攻击的动力也就越来越大，直至发展为一个完整的商业链条。 　　

最早的黑客很注重自己的声誉，一般不做过多的破坏。但网络上的利益变得非常诱人后，就开始有越来越多的所谓高手为了获取利益而专门编写攻击代码。 　　

国家计算机网络应急中心(CNCERT/CC)副总工程师杜跃进表示，在黑客攻击的背后，有一条时隐时现的“黑色产业链”，正是它在很大程度上激励着黑客们的行为。根据CNCERT/CC的初步估计，目前这条“黑色产业链”的年产值已超过2.38亿元，造成的损失则超过76亿元，已经形成了不可忽视的地下经济力量。 　　

据悉，黑客经济的盈利模式主要包括黑客培训、信息窃取、恶意广告、垃圾邮件、敲诈勒索、网站仿冒等几种。其中，黑客培训的主要方式是收取会员会费。一些黑客培训网站收取会员200元至500元不等的年费，网站则为会员提供各种各样的黑客培训资料。 　　

杀毒厂商同仇敌忾 　　

此前，在对“灰鸽子”病毒的观点上，国内杀毒厂商曾出现一些分歧。金山称其“正在大规模集中爆发”，并在最近正式宣布向“灰鸽子”宣战，并专门开发专杀工具供网民免费下载。

另外两家厂商则对金山的观点表示不认同。据江民反病毒中心统计数据，“灰鸽子”病毒目前的感染比例大体维持在2%-3%，即每30到50台染毒电脑中有1台感染“灰鸽子”，这个比例较2006年有所下降，虽然最近两个月有小幅上升趋势，从目前的数据分析看，“灰鸽子”并没有大规模爆发的迹象。瑞星也称，“灰鸽子”近两年来一直很猖獗，是常见的危害大的病毒，它的感染率比一般病毒高，从瑞星客户服务中心监测的数据看，近3个月感染用户每个月下降20%-30%。“灰鸽子”目前并没有大规模爆发。 　　

虽然有很多报道说金山的行为是有意炒作，“灰鸽子”工作室也已在讨伐声中正式关闭，然而，有专家呼吁，在广大网民的利益受到严重威胁时，安全厂商应该摒弃门户之见，以网民利益为重，并肩作战，如此，才能真正地做到防患于未然。

活动预告：卡巴斯基先生做客腾讯网——独家视频访谈

明天，卡巴斯基先生将做客腾讯网。探讨：卡巴斯基先生对于中国市场的看法以及卡巴斯基市场表现等诸多问题。

访谈地点：腾讯会客厅

访谈时间：4月20日10：00～11：30

访谈内容：卡巴斯基先生对于中国市场的看法以及卡巴斯基市场表现等诸多问题。

点击进入访谈页面：http://tech.qq.com/a/20070417/000162.htm

有兴趣的朋友，千万不要错过。

附：我刚刚进入访谈页面看了看，里面有一个“提前提问”的链接，是用来卡巴斯基先生和网友互动的，有兴趣的朋友可以去提问，届时卡巴斯基先生将会对你的提问予以解答。

卡巴斯基加盟百度杀毒频道

今天在网上闲逛时，发现卡巴斯基竟然加盟了百度杀毒频道里（到目前为止，百度杀毒频道几乎囊括了国内外主流的杀毒厂商）；呵呵，又为广大卡巴斯基迷提供了一个方便的购买地。还真应证个哪个豪迈的口号“人人都用卡巴斯基”。

加盟百度，引领国内信息安全市场跨入品质时代，卡巴斯基将要做的，是让更多的人能够方便快捷的拥有卡巴斯，让时尚成为普及。

访问：http://shadu.baidu.com/kaba/index.jsp

附：由于卡巴斯基和迅雷之间的合作，卡巴斯基也加盟到“迅雷安全中心”了。

访问：http://safe.xunlei.com/kaspersky/index.htm

从进程中准确判断出病毒和木马

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？

病毒进程隐藏三法 　　

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法： 　　

1.以假乱真 　　

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱 　　

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？ 　　

3.借尸还魂 　　

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，如卡卡助手中的功能，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑 　　

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。 　　

svchost.exe 　　

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。 　　

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。 　　

explorer.exe 　　

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。 　　

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。 　　

iexplore.exe 　　

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。 　　

iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。 　　

rundll32.exe 　　

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。 　　

spoolsv.exe 　　

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。 　　

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：1.仔细检查进程的文件名；2.检查其路径。通过这两点，一般的病毒进程肯定会露出马脚。

卡巴斯基(Kaspersky) KAV/KIS 7.0.0.43 Beta发布

这次的更新，界面变得更清爽了，技术上是否有所提高，还在摸索中。

Kaspersky Anti-Virus 7.0.0.43 Beta：

下载：ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.43%20nct/kav/English/2007_04_16_20_33/kav.en.msi


Kaspersky Internet Security 7.0.0.43 Beta：

下载：ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.43%20nct/kis/English/2007_04_16_20_33/kis.en.msi

KAV/KIS 7.0.0.43

附：试用KIS 7.0.0.43 Beta后的一些感受：

1.界面很不错，感觉是清爽；但是操作起来与老版本相比，还是有点不顺手（可能是长期使用老版本的缘故，一时还无法适应）。
2.扫描速度有所提高，感觉比6.0.2.621强。
3.使用的是测试key，修改注册表使用商业key没有成功（呵呵，据我了解到还是有人成功过）。 4.开机进入桌面时仍旧显示Kaspersky Internet Security 6.0，关于这一点就不得而知了。
5.占用内存情况，目前（个人）感觉还行。

全球信息安全技术“教父”——尤金·卡巴斯基先生莅临中国

尤金•卡巴斯基(Eugene Kaspersky)简介：

尤金•卡巴斯基是全球著名的信息安全专家，是卡巴斯基系列信息安全技术和产品的研究开发团队的统帅人物。

尤金•卡巴斯基1965年出生于俄罗斯黑海沿岸城市Novorossiysk，俄罗斯密码-电信与计算机科学学院的数学工程专业，后在一个综合科学研究所工作到1991年。1989年他在自己的计算机上检测到Cascade病毒后，开始转入对计算机病毒学的研究，主持开发出结构和性能卓越的反病毒软件。从此他开始收集恶意程序的样本并开发清除工具来对付这些恶意程序。这些收集来的样本后来成为著名的卡巴斯基反病毒数据库的基础。今天（2007年4月），这个反病毒数据库已经增加到296，026多个样本，是世界上最完整的反病毒数据库。

他始终坚定地战斗在与病毒等各类恶意计算机程序斗争的最前线，为战胜恶意程序对公众利益和互联网的侵害做出了长期和杰出的贡献。

近日，卡巴斯基先生将飞抵北京，展开其中国行的紧密日程，在卡巴斯基中国和合作伙伴数字星空的安排下，卡巴斯基先生将出席多个重要活动。

1991年至1997年在KAMI信息技术中心工作，带领一组助手开发出"AVP"反病毒方案(2000年11月更名为卡巴斯基®反病毒软件)。

1994年， AVP反病毒方案荣获德国汉堡大学测试实验室的测试奖，它的检测率超越了当时的知名反病毒软件，当时鲜为人知的AVP反病毒方案自此得到了国际上的认可。

1997年卡巴斯基实验室有限制股份公司成立，尤金•卡巴斯基是创始人之一。尤金•卡巴斯基现在是国际信息安全领域的顶尖级专家之一，在计算机病毒学所涵盖的各种新老问题、恶意代码的流行趋势及反病毒前沿技术研究方面发表过大量文章和评论，他每年在重要的国际信息安全专业会议上的报告都受到业界的高度重视。尤金•卡巴斯基是国际著名的计算机反病毒研究组织(CARO)的成员，该组织全部由国际顶尖级反病毒专家组成。

尤金•卡巴斯基对中国人民非常友好，他到中国访问过多次，2005年11月担任了在我国举办的第八届国际反病毒大会的副主席，还做了精彩的演讲。他接受过中央电视台东方时空栏目的专访，游览过长城。

近日，卡巴斯基先生将飞抵北京，展开其中国行的紧密日程，在卡巴斯基中国和合作伙伴数字星空的安排下，卡巴斯基先生将出席多个重要活动。

活动一

活动名称：卡巴斯基先生中关村e世界签售活动

活动地点：中关村e世界H楼

活动时间：4月19日14：00～15：30

活动内容：1、巡视卡巴斯基形象店

2、e世界签售卡巴斯基旗舰产品。

活动二

活动名称：卡巴斯基先生做客腾讯网——独家视频访谈

访谈地点：腾讯会客厅

访谈时间：4月20日10：00～11：30

访谈内容：卡巴斯基先生对于中国市场的看法以及卡巴斯基市场表现等诸多问题。

活动三

活动名称：全球网络安全技术发展趋势

活动地点：清华大学主楼后厅

活动时间：4月20日15：30～17：00

活动内容：对严峻的国际网络安全趋势进行深入分析及探讨等。

以上活动敬请参与！

活动报名联系方式：

卡巴斯基用户及卡巴斯基爱好者参与请按以下方式进行联系:

联系人：曹颖

联系电话：010—5166 0186转8029

E-mail:ying.cao@pcstars.com.cn

媒体参与请按以下方式进行联系：

联系人：王亚楠

联系电话：010—5166 0186转8032

E-mail:yanan.wang@pcstars.com.cn

解决时间被改卡巴斯基失效问题

最近的木马病毒日益猖獗，为了对抗对其查杀力度最大的卡巴斯基杀毒软件，一些木马病毒想出了修改系统时间的办法，它们将系统时间修改到2000、1978等年份后会导致系统和杀毒软件出现这样或那样的问题。

1.卡巴斯基，以及一些安全软件失效，大量病毒木马可以继续在用户机器上肆虐。
2.一些XP系统 当系统日期在2000年以前 会导致无法进入系统。
3.收费软件失效，QQ无法登陆，论坛无法发帖。

这其中比较典型的有ASN.2和OSOU盘病毒等。

为了解决该问题，360安全卫士开发了360TimeProtect工具可以保护系统时间不被恶意软件篡改。

该软件经过测试，可以在Windows 2000/XP/2003/Vista 的所有版本上正常运行；软件使用驱动级保护，在整个Windows环境下对系统时间进行全程全面保护，无论任何方法修改时间都会被该软件阻止，用户也可以选择开启或禁止时间修改，以便自己修改时间。

下载：http://www.51files.com/?42WFYARQ5OW83RCSK9TX

360TimeProtect

如果你不想使用工具修改，那么你也可以完全进行手动去修改，步骤如下：

第一步:点“开始——运行——gpedit.msc——回车——打开组策略”
第二步:在组策略管理器中选择“计算机配置——windows设置——安全设置——本地策略——用户权利指派---更改系统时间”
第三步:双击打开“更新系统时间配置”属性对话框，把里面的所有用户名全部删除，然后点击“确定”
第四步:重启计算机。

MSNNext 互助互爱

MSNNext是基于MSN的二度人际网络， MSN用户只需要登陆www.msnnext.com下载一个500K大小的客户端，就自动登陆了MSNNext。与MSN不同的是，MSNNext将MSN好友延展了一层（增加了一度），用户除了可以看到同样在使用Next的msn好友（一度），还可以延展看到自己好友的好友（二度），进而实现用户好友的倍增。 　　

“互助”是MSNNext提供的核心服务，当一个Next用户在工作和生活中需要帮助时，只需要“向二度内好友发送互助请求”，TA的Next一度好友和二度好友就会收到这个请求，并会给与力所能及的帮助。 　　

当然，在好友分享的过程中，MSNNext要求用户设定管理自己的一度好友，如果用户将自己一度中的某个好友设为隐私状态，别人将无法直接进行查看，但互助的发送和接收及回复不会受到影响。

将MSNNext下载试用后，初步的感觉不是很理想，界面大小竟然无法调整，整个界面几乎占据了显示器的一半了。平常大家都说，尽量给他人留下一个好的第一印象，但MSNNext却给我留下了一个不好的印象。呵呵，如果是一个不怎么赖心的人，那么他（她）就有可能将不会再使用MSNNext了。在这一点上，MSNNext就多少有点欠缺了。

但是基于IM和人脉公告之上的MSNNext要想成功，第一，必须解决被公众信任的问题，我为什么要相信它？！第二，要解决隐私的问题，它不像Web的SNS，可以有选择的建立并分享关系，可以设置隐私权限；第三，就是要理解关系，理解不同关系流动的不同讯息的类型和作用；第四，讯息的人际流动的把握。

个人感觉还不错，有兴趣的朋友，可以到这里去看看...........

尚邮---手机电邮 自由随身带

尚邮是什么？尚邮就是可以解决您上述所有烦恼的，中国人自己开发的手机邮件（push mail）产品！您只需要在手机上安装一款尚邮软件，登录尚邮网站或直接在手机终端上预先做好邮件接收的规则设置（比如接收谁的邮件、拒收谁的邮件、在什么时间段内接收），当有符合您设置条件的新的邮件到达时，就可以马上在手机上收到这封邮件。您可以通过尚邮和您的朋友互相发送视频、音频、动画….凡是您手机可以识别的文件，尚邮都可以收发。您可以通过尚邮与您的朋友相互发送信息，发送同样的信息时，尚邮产生的流量费用只有短信费用的1 / 24。尚邮在技术上完全不逊色于国际同类手机邮件产品，只要在手机信号覆盖的地方就可以正常使用。

之前，我使用一段时间的网易随身邮，它对手机终端要求不高，仅仅只要您的手机支持彩信功能，并且已经开通GPRS服务，即可使用随身邮的彩信收邮件功能。而尚邮就不同了，它对手机终端有一定的限制要求，所以限制了它的消费人群，从目前的市场看来，它还是比较倾向于高消费人群和商务类人士。目前，国内在手机电邮方面起步教晚，市场份额或消费人群在逐年扩大，从长远来说，应尽快扩展终端支持，这样能方便更多的人来使用尚邮，占领更大的市场份额。这样才能在随后的激烈市场竞争中，立于不败之地。

对于经常在网络上收发邮件的用户来说，尚邮可能无法能够吸引到你的眼球；但如果你经常在外出差，同时上网不便，那么尚邮将会成为你最大的助力。由于我的手机不在终端支持之列，无法去亲自去感受一下。如果你对这种服务感兴趣的话，可以到这里去看看.........

卡巴斯基正式发布支持VISTA版本（6.0.2.621 官方简体中文正式版）

卡巴斯基近日终于推出了支持Windows Vista的KAV/KIS 6.0.2.621版本的官方简体中文版本，即卡巴斯基互联网安全套装6.0个人版（KIS 6.0）和卡巴斯基反病毒软件6.0个人版（KAV 6.0），该版本完全支持在Windows Vista下运行。

Kaspersky Anti-Virus v6.0.2.621 官方简体中文版：

http://download.pcstars.com.cn/download.asp?id=2

Kaspersky Internet Security v6.0.2.621 官方简体中文版：

http://download.pcstars.com.cn/download.asp?id=4

官方指定下载网站:http://www.kaba365.com/ad.asp?adid=117

Kaspersky Anti-Virus v6.0.2.621 Final 官方英文版：

http://dnl-ru1.kaspersky-labs.com/products/release/english/homeuser/kav6.0/kav6.0.2.621en.exe

http://downloads1.kaspersky-labs.com/products/release/english/homeuser/kav6.0/kav6.0.2.621en.exe

http://dnl-us3.kaspersky-labs.com/products/release/english/homeuser/kav6.0/kav6.0.2.621en.exe

Kaspersky Internet Security v6.0.2.621 Final 官方英文版：

http://dnl-ru1.kaspersky-labs.com/products/release/english/homeuser/kis6.0/kis6.0.2.621en.exe

http://dnl-eu2.kaspersky-labs.com/products/release/english/homeuser/kis6.0/kis6.0.2.621en.exe

http://dnl-us4.kaspersky-labs.com/products/release/english/homeuser/kis6.0/kis6.0.2.621en.exe

Changes in version 6.0.2.621:
Improvements:

1. Error that caused resource leakage in case of intense activity of third-party applications has been fixed.
2. Error that caused slowdown in operating system loading has been fixed.
3. Error that caused application crash during virus scan task execution has been fixed.
4. Error that occurred during the use of sysprep utility has been fixed.
5. Problem that cased errors while updating through the following proxies: UserGate 4.0, Usergate - 3.1, WinGate 3.0.5, has been eliminated.

Known problems:

1. Disinfection of e-mail databases in PST format attached to a message is not supported.
2. After work in the advanced disinfection mode to prevent an active infection links to deleted infected files may remain in the registry in some cases.
3. Application of defined settings in Microsoft Internet Explorer functions incorrectly if different proxy servers are specified for various protocols.
4. Scanning of VBA macros: monitoring of APIFUNCTION macro execution is disabled.

解决2003打SP2补丁后卡巴斯基蓝屏的注册文件

在Window 2003操作系统中是无法安装卡巴斯基服务器版以外的其他版本的，但我们还是可以找到安装方法。用orca打开卡巴斯基的安装文件（拓展名.msi），找到LaunchCondition这个Table，将MsiNTProductType=1 or Version9X这一行删掉，找到InstallExecuteSequence这个Table，将ErrorIncompatibleOSSet和ErrorIncompatibleOSShow删掉，然后保存msi文件。这样就可以在2003中安装卡巴斯基了。

但自微软发布SP2补丁后，用这种方法安装的卡巴斯基就会与打上sp2补丁后的系统起冲突，甚至是蓝屏。如果出现了这种情况，你只需要进入安全模式修改注册表或将下面的内容另存为reg文件导入注册表即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kl1]
"Start"=dword:00000001

下载：http://www.51files.com/?Z61QUCRG9UTAU4CEX0KL

Kaspersky Internet Security驱动溢出漏洞

受影响系统： 　　

Kaspersky Labs Kaspersky Internet Security 6.0.1.411 for Windows 　　

不受影响系统： 　　

Kaspersky Labs Kaspersky Internet Security 6.0.2.614 　　

描述： 　　

Kaspersky Internet Security套件是一套完整的解决方案，用以保护计算机抵御几乎所有来自互联网的主要的威胁。 　　

Kaspersky Internet Security的klif.sys驱动实现上存在漏洞，本地攻击者可能利用此漏洞导致内核破坏。 　　

Internet Security套件的klif.sys驱动hook了各种系统调用，如注册表函数，其中hook的_NtSetValueKey()函数存在整数溢出漏洞。如果向该函数的数据大小参数传输了很大的无符型值的话就会在计算应分配内存数时触发堆溢出，然后对这个缓冲区的拷贝操作就会导致破坏内核内存或执行任意内核态指令。 　　

链接：http://www.kaspersky.com/technews?id=203038693
　　
http://www.kaspersky.com/technews?id=203038694　

厂商补丁： 　　

Kaspersky Labs 　　

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
　　
http://www.kaspersky.com/productupdates?chapter=186437046

Kaspersky AntiVirus控件任意文件泄露漏洞

受影响系统： 　　

Kaspersky Labs Kaspersky Antivirus 6.0 　　

Kaspersky Labs Kaspersky Internet Security 6.0 　　

不受影响系统： 　　

Kaspersky Labs Kaspersky Antivirus 6.0.2.614 　　

Kaspersky Labs Kaspersky Internet Security 6.0.2.614 　　

描述： 　　

Kaspersky Antivirus是非常流行的杀毒软件。 　　

Kaspersky AntiVirus SysInfo ActiveX控件实现上存在漏洞，恶意网站可能利用此漏洞非授权访问用户系统文件。 　　

Kaspersky AntiVirus的以下ActiveX控件： 　　

ProgID：KL.SysInfo 　　

Clsid：BA61606B-258C-4021-AD27-E07A3F3B91DB 　　

文件：C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\AxKLSysInfo.dll 　　

版本：5.0.5.0 　　

这个控件的StartUploading方式允许恶意的Web脚本执行匿名FTP传输，泄露用户机器上的任意文件。 　　

此外，AxKLProd60.dll控件（CLSID：D9EC22E7-1A86-4F7C-8940-0303AE5D6756）也存在类似的漏洞。可通过以下方式利用这些控件中的漏洞： 　　

Function DeleteFile ( 　　

ByVal strFileName As String 　　

) 　　 　　



Function StartBatchUploading ( 　　

ByVal arrFiles As Variant , 　　

ByVal strFTPAddress As String , 　　

ByVal strFTPUploadPath As String 　　

) As Long 　　 　　



Function StartStrBatchUploading ( 　　

ByVal strFiles As String , 　　

ByVal strFTPAddress As String , 　　

ByVal strFTPUploadPath As String 　　

) As Long 　　 　　



Function StartUploading ( 　　

ByVal strFilePath As String , 　　

ByVal strFTPAddress As String , 　　

ByVal strFTPUploadPath As String 　　

) As Long 　　 　　

链接：http://www.kaspersky.com/technews?id=203038694


临时解决方法： 　　

* 为该ActiveX控件设置kill-bit。
　　

厂商补丁： 　　

Kaspersky Labs 　　

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.kaspersky.com/productupdates?chapter=186437046 　

http://www.kaspersky.com/productupdates?chapter=186435857

Kaspersky AntiVirus杀毒引擎解析溢出漏洞

受影响系统： 　　

Kaspersky Labs Kaspersky Antivirus 6.0 　　

Kaspersky Labs Kaspersky Internet Security 6.0 　　

不受影响系统： 　　

Kaspersky Labs Kaspersky Antivirus 6.0.2.614 　　

Kaspersky Labs Kaspersky Internet Security 6.0.2.614 　　

描述： 　　

Kaspersky Antivirus是非常流行的杀毒软件。 　　

Kaspersky Antivirus的杀毒引擎在处理ARJ文档格式时存在堆溢出漏洞，如果使用该引擎的杀毒软件扫描了恶意文档的话就会触发这个溢出，可能导致执行任意指令。 　　

链接：http://www.kaspersky.com/technews?id=203038693

http://www.kaspersky.com/technews?id=203038694 　　

厂商补丁： 　　

Kaspersky Labs 　　

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.kaspersky.com/productupdates?chapter=186437046

http://www.kaspersky.com/productupdates?chapter=186435857

卡巴斯基为信息安全提供可靠的‘门锁’

以往国内网民除了知道卡巴斯基强大的杀毒能力外，几乎对这家俄罗斯厂商一无所知。而在2006年，卡巴斯基推出了面向个人用户的6.0版本的杀毒软件；在一夜之间封掉了大量用户的授权许可文件（Key）；联合奇虎360安全卫士挑战流氓软件。为什么卡巴斯基会一改以往低调的作风在国内的杀毒市场不断掀起波澜呢？带着种种疑问，硅谷动力安全频道约访了卡巴斯基大中国区董事总经理张立申先生。

全面开花的市场策略 　　 　　

“在最初宣传卡巴斯基的时候，我去找那些比较容易帮我们传播品牌的途径。于是我们选择了和门户网站合作，因为门户网站有很多用户。第一个合作伙伴是网易的邮件平台，当时他们有几千万的用户，如果我们能够在这个邮件平台上解决好用户防病毒的问题，就能让数千万用户记住卡巴斯基这个名字。果不其然，不到几个月，我们的品牌就很好的树立了起来。”张立申先生如是说。 　　

今年卡巴斯基和奇虎的反流氓软件“360安全卫士”进行合作，共同宣战流氓软件。在“360安全卫士”中捆绑了卡巴斯基KAV6.0杀毒软件的服务，同时提供半年免费使用授权许可文件（Key）。张立申先生说：“众所周知，奇虎总裁，奇虎天使投资人，董事长周鸿祎正是中国最早利用插件进行推广的“流氓软件”之父。现在他认识到流氓软件的害处，要反过来管理流氓软件。我觉得这个想法非常好，同时也希望通过这样的合作能让更多的中国用户使用到合法的正版杀毒软件。而且，双方的合作是一种双赢的策略，卡巴斯基既搭了奇虎的顺风车，也成了奇虎推广的催化剂。” 　　

卡巴斯基进入中国市场的时间较短，尽管凭借良好的口碑被许多用户所接受，但市场还是有一定的局限性。曾在趋势科技和安氏中国从事多年安全工作的张立申先生深知，渠道是安全产品的“命脉”。“好酒也怕巷子深”，伴随着卡巴斯基多样化定价方式的启动和产品渠道的不断拓展和优化，越来越多的普通用户都能很方便的得到和使用卡巴斯基。 　　

张立申先生同时表示：“我们没有争夺个人杀毒软件市场的计划，也不是要和哪个厂商争个高下。在当前中国的网络环境里，对于卡巴斯基来说，我们的首要任务是让所有还在使用盗版卡巴斯基个人杀毒产品的用户用上正版。而对个人杀毒软件市场，我们在目前不会去考虑市场排名的问题。” 　　

在做渠道的同时，针对中国特色的网络安全市场，卡巴斯基实验室投入了大量的精力，还专门在天津设立了卡巴斯基研发中心。该中心将针对中国目前的网络安全状况做出快速响应，同时会培养中国本土的病毒分析专家，让国内拥有自己的高级病毒分析师，来解决中国的网络安全问题。

微软可怕吗？ 　　

在2006年，微软通过收购安全公司涉足安全市场，并推出一款杀毒软件－OneCare，这一举动无疑给各大杀毒厂商带来极大的影响。而随着微软新版操作系统Vista的上市，业内更有传言说微软有可能将这款杀毒软件在新的操作系统中捆绑销售。一时间杀毒厂商大喊狼来了。 　　

对于微软涉足杀毒市场，张立申先生认为这是很正常的。随着人们对个人和机构信息安全的日益重视，安全市场会越来越大，微软要涉足杀毒软件市场是一定的。这对所有杀毒厂商都有会冲击，但是冲击只是暂时的。“这就像消费者在买了一个房子回来后，都会更换新的更牢靠的门锁，没有人会在买房以后不更换旧锁的，专业的信息安全厂商提供的就是更新、更可靠的‘门锁’。因为我们的产品性能更卓越，服务更专业，所以用户在选择信息安全产品和服务方面，最后一定会信赖我们这些更专业厂商的。”

让盗版转正 　　

2006年12月5日，卡巴斯基在一夜之间大范围封杀了许多使用了较长时间的非正常渠道Key，导致大量用户无法更新，提示Key进入黑名单。是什么情况导致了卡巴斯基在一夜之间突然“变脸”呢？ 　　

针对这个事件，张立申先生特别作出了解释：“对盗版Key的控制行动很突然，让广大使用盗版Key的用户没有做好准备，甚至可能影响到他们电脑的正常使用，在这里我向那些受到影响的盗版用户道歉。这次事件的原因是卡巴斯基的授权许可文件在网上广泛流传，随着盗版用户数量的激增，导致许可文件被大量超授权使用进行更新下载。据统计，使用量最大的也是直接导致此次“封杀事件”的KEY在封杀前大约有六百七十多万人在同时更新。此前，卡巴斯基已经给这个KEY享受升级服务的用户上限调整到了五百万人同时在线更新。但是，由于盗版的猖獗，使得同时使用这个KEY的用户数量大大超出了升级服务器的上限。服务器不堪重负。而如此惊人的数量，也使卡巴斯基公司为之震惊。” 　　

“由于盗版软件数量的激增，直接加重了升级系统的负荷；更重要的是影响到正版用户可使用的资源及服务品质。为保证向付费用户所提供服务的质量和水准，卡巴斯基只能把部分严重超授权使用的许可文件列入黑名单，以维护正版用户的基本权益。今后如果对非授权许可文件采取类似措施，卡巴斯基将尽早把讯息告知广大用户，以免给大家造成不便。虽然这次列入黑名单的盗版Key数量并不多，但由于非法用户数量惊人，因此造成了很大的影响。但此次卡巴斯基对非授权许可文件采取的限制，完全是出于用户为本的目的，从维护正版用户的权益和保障服务质量角度出发的。” 　　

张立申先生同时指出：“随着盗版KEY文件的传播，相当一部分的盗版Key被黑客恶意捆绑了木马病毒一起传播。其实合法的正版KEY在网上也可以找到很多，收费与免费的都有，我们希望盗版用户能通过合法渠道获得正版Key。将来公司也将开放更多的渠道, 帮助用户获得正版, 没有必要再盗用非授权许可文件（Key） ,而且我们正版产品的价格也很便宜, 远低于国内同类产品的价格。” 　　

暗涌教育市场 　　

为了长远植根于中国市场，卡巴斯基高瞻远瞩地启动了下一代消费群的培育工作。2006年11月29日，卡巴斯基在北京大学百年礼堂举行了以“关注教育，普及正版”为主题的捐赠活动。同时宣布，自即日起至2007年3月31日，中国大陆的任何一所学校（无论大、中、小学，包括所有的在校学生）均可申请获得卡巴斯基反病毒软件的企业版及个人版，不但免费使用半年，而且名额及数量均不受限制！卡巴斯基同时承诺在核实信息后3日内寄发软件。 　　

我国的教育网一直被认为是几大主干网络中比较薄弱的一部分，其中重要原因就是网络建设中安全部分的投入有限，而卡巴斯基的捐赠活动无疑成为一场及时雨。卡巴斯基希望通过此次活动能显著提高校园网的信息安全水平，并加强青少年学生对使用正版信息安全产品的认识。从学校入手，力争通过免费或廉价的方式，使广大学子使用到最先进的杀毒产品，进而改变使用盗版软件的不良习惯。 　　

随着卡巴斯基发力中国，让更多的中国用户认识了这家来自俄罗斯的杀毒软件厂商，也为卡巴斯基进一步开拓中国杀毒市场打下良好的基础。相信以品质取胜，拥有良好口碑的卡巴斯基会在中国市场取得更快速的发展。2007年的卡巴斯基将会取得什么样的骄人成绩，我们拭目以待！

附:卡巴斯基大中国区董事总经理张立申视频专访

2007年网络安全技术发展分析

一、2007年网络攻击的发展趋势　　
　　
综合分析2007年网络攻击技术发展情况，其攻击趋势可以归纳如下：
　　
趋势1：发现安全漏洞越来越快，覆盖面越来越广。新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
　　
趋势2：攻击工具越来越复杂。攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有以下特点：
　　
反侦破和动态行为。攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为。
　　
攻击工具的成熟性。与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。
　　
趋势3：攻击自动化程度和攻击速度提高，杀伤力逐步提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。
　　
Ø 扫描可能的受害者、损害脆弱的系统。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。
　　
Ø 传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。
　　
趋势4：越来越不对称的威胁。Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁的不对称性将继续增加。
　　
趋势5：越来越高的防火墙渗透率。防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，Internet打印协议和WebDAV（基于Web的分布式创作与翻译）都可以被攻击者利用来绕过防火墙。
　　
趋势6：对基础设施将形成越来越大的威胁。基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块，电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。
　　
我们可以从攻击者的角度出发，将攻击的步骤可分为探测（Probe）、攻击（Exploit）和隐藏（Conceal）。同时，攻击技术据此可分为探测技术、攻击技术和隐藏技术三大类，并在每类中对各种不同的攻击技术进行细分。

二、探测技术和攻击测试平台的发展

探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能详细的了解攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为三个基本步骤：踩点、扫描和查点。

1、三部曲：踩点、扫描和查点

如果将服务器比作一个大楼，主机入侵信息收集及分析要做的工作就如在大楼中部署若干个摄像头，在大楼发生盗窃事件之后，对摄像头中的影像进行分析，进而为报案和“亡羊补牢”做准备。
　　
第一步：踩点。是指攻击者结合各种工具和技巧，以正常合法的途径对攻击目标进行窥探，对其安全情况建立完整的剖析图。在这个步骤中，主要收集的信息包括：各种联系信息，包括名字、邮件地址和电话号码、传真号；IP地址范围；DNS服务器；邮件服务器。对于一般用户来说，如果能够利用互联网中提供的大量信息来源，就能逐渐缩小范围，从而锁定所需了解的目标。几种实用的流行方式有：通过网页搜寻和链接搜索、利用互联网域名注册机构进行Whois查询、利用Traceroute获取网络拓扑结构信息等。
　　
第二步：扫描。是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。扫描技术包括Ping 扫描（确定哪些主机正在活动）、端口扫描（确定有哪些开放服务）、操作系统辨识（确定目标主机的操作系统类型）和安全漏洞扫描（获得目标上存在着哪些可利用的安全漏洞）。Ping扫射可以帮助我们判断哪些系统是存活的。而通过端口扫描可以同目标系统的某个端口来建立连接，从而确定系统目前提供什么样的服务或者哪些端口正处于侦听状态。著名的扫描工具包括nmap，netcat 等，知名的安全漏洞扫描工具包括开源的nessus 及一些商业漏洞扫描产品如ISS 的Scanner 系列产品。另外，在网络环境下，网络扫描技术则是指检测目标系统是否同互联网连接、所提供的网络服务类型等等。通过网络扫描获得的信息有：被扫描系统所运行的TCP/UDP服务；系统体系结构；通过互联网可以访问的IP地址范围；操作系统类型等。
　　
第三步：查点。是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术。通常这种信息是通过主动同目标系统建立连接来获得的，因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关，所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和SNMP信息等。
　　
综观本年度比较热门的攻击事件，可以看到，在寻找攻击目标的过程中，以下手段明显加强：
　　
（1）通过视频文件寻找“肉鸡”。在今年，这种方法大有星火燎原之势，攻击者首先要配置木马，然后制作视频木马，如RM木马、WMV木马等，然后通过P2P软件、QQ发送、论坛等渠道进行传播，用户很难察觉。
　　
（2）根据漏洞公告寻找“肉鸡”。现在，关于漏洞技术的网站专业性更强，在http://www.milw0rm.com这个网站上，经常会公布一些知名黑客发现的漏洞，从远程攻击、本地攻击到脚本攻击等，描述十分详细。在漏洞补丁没有发布之前，这些攻击说明可能会进一步加大网络安全威胁。
　　
（3）利用社会心理学、社会工程学获取目标信息。比如，通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。目前，已经有攻击者通过“溯雪＋社会工程学”的形式破解了263信箱。　　

2、一则安全日记引发的攻击思路分析
　　
时间：2007年7月某天晚上

地点：某出版社网络管理中心

人物：某网络管理员

序幕：一个网友突然传来一个网址，让我检测一个数据中心网站的安全性。资料显示，该站点是一个大型虚拟主机系统，支持ASP+PHP+JSP。

事件记录：

拿过站点地址，没经过任何思考，我利用SuperScan等软件对主机进行了端口扫描，扫描后共发现开了10个端口，重要的有80、110、135、139、3389等，但能够利用的服务不算多。从扫描的80信息显示来看，对方的系统是Windows 2000+IIS5.0，还打开了一个远程桌面管理（开放了3389端口）。
　　
第1步：检查是否有应用程序漏洞。登录3389服务，看看有没有非系统自带的输入法，因为某些类型的输入法还是有帮助文件和URL的，结果没有任何帮助文件。使用net命令测试后，发现不能顺利与服务器建立空连接，猜测密码口令也没有结果。
　　
第2步：现在，比较合理的选择是检测CGI漏洞，使用安全扫描软件后，发现默认的“scripts”、“_vti_bin”等目录以及大量的“ida”、“idq”、“htw”等映像，但是用了许多溢出程序都没有溢出。初步推测，系统打上了SP3补丁。
　　
第3步：下面再看看邮件服务软件是否支持expn、vrfy指令。经测试，返回“OK”并枚举出一个100多个用户的详细列表，接着用POP3密码破解软件破密码，自然收获不小了。然后尝试用这些帐号登录ftp服务，终于发现其中有一个用户名为cndes，密码为1234abcd，而且可以登录ftp空间。也就是说，这个用户买了服务器的收费邮箱和收费主页空间，并且邮箱和主页空间的密码设置的是相同的。
　　
第4步：计划向主页空间上传两个文件，一个是win.exe，这是一个大小仅有4kb的木马，功能相当强大；另一个是海阳顶端ASP木马。上传完毕，现在就可以查看服务器的详细情况了。顺便查查cndes空间目录在什么位置，并把win.exe的路径记下来。
　　
第5步：使用temp.asp进行入侵。为了防止被系统日志记录下来，明智的选择是另外开个没有日志记录的shell，并准备运行另一个win.exe木马。怎么运行它呢，用过Unicode漏洞的人都知道，有了木马在服务器的绝对路径，并且木马所在的目录有脚本可执行权限，我们就能运行它了。看到IE状态区的进度条，表示已经在服务器端运行了程序。现在就可以从刚开的后门进去了。
　　
第6步：取得admin权限。由于Administrator帐号更改，现在把一个特殊的cmd.exe（利用exe合并软件把cmd.exe和木马合成一个程序）上传到服务器C盘下并隐藏起来，等待管理员运行cmd.exe时，系统就会多了一个admin权限的帐号，接下来就是用这个帐号来停掉w3svc服务并修改日志，整个过程到此结束。
　　
其实，这位黑客是一位受到委托的网络安全专家。通过自己的经验和专业技术，他找到了可能被黑客利用的重大安全隐患。可见，随着网络技术的不断发展，网络攻击者的思路也日趋成熟，在某些方面甚至比网络管理员更专业、更了解对方。在这种程序化的思路中，他们就能够号入座寻找可能存在的对象，并实施有目的性的攻击。

3、攻击测试平台的新发展
　　
对于网络管理员来说，虚拟机是一项很不错的技术，安装了虚拟机，管理员就可以在自己的机子上同时运行多个操作系统，并可在它们之间进行自由的切换。不过，从2007年各大安全论坛的讨论主题来看，虚拟机技术在黑客中间也得到了普及。通过使用虚拟机，网络攻击者不需要重新开机就能在同一台电脑使用好几个操作系统，它可以将电脑上的一部分硬盘和内存进行组合，虚拟出若干台机器，实施各种操作系统下的攻击。
　　
下面，我们将结合VMWare，详细了解攻击测试平台的搭建过程。用户可从以下网站下载：http://www.vmware.cn。
　　
第1步：VMWare软件的安装。这个过程十分简单，下载完毕，直接“Next”即可完成安装。安装完毕，我们会发现多了两块虚拟网卡，在VMWare下用户可以使用虚拟网卡进行联网设置及试验。单击“新建虚拟机”图标，根据提示选择一种要安装的操作系统，一般选择典型设置。
　　
第2步：虚拟机启动并自检后，这时按F2可以进入BIOS设置。每一台虚拟机都有它自己的BIOS。虚拟机使用PHOENIX BIOS，先将鼠标点击虚拟机窗口，接收鼠标键盘的输入信息后，就可以进行相关BIOS设置了。
　　
第3步：设置光驱映像ISO文件或者将光盘放入光驱后，进入操作系统的安装过程，否则虚拟机将会提示没有找到操作系统。如果光盘没有启动，需要到BIOS中设置启动顺序。安装完毕，点击虚拟机操作界面上方左边工具栏中的“打开电源”键，如同按下了一台电脑的开关。
　　
第4步：切换到虚拟机。进入虚拟平台后，它会屏蔽掉主机计算机的所有鼠标或键盘操作，不过我们可以按“Ctrl＋Alt”组合键返回主机系统。虚拟机的重新启动、关机等对于宿主计算机来说都是虚拟的，但对于虚拟机中安装的操作系统来说则是真实的。因此，安装好操作系统的虚拟机，一样要先通过“开始”菜单关机。而不能强制关闭虚拟机电源，否则，虚拟机下次启动的时候也会像真实的电脑一样检测磁盘的。
　　
第5步：安装VMWare Tools。完成安装后，在VMWare软件的左下角有一个提示：“你没有安装VMWare Tools”。单击“虚拟机”菜单中的“安装VMWare工具”选项，安装VMWare工具。注意，如果是用ISO文件安装的操作系统，最好重新加载该安装文件并重新启动系统，这样系统就能自动找到VMWare Tools的安装文件。

安装VMWare Tools之后，再次登录redhat Linux系统，现在就会感觉在图像色彩和声音质量上都有很大的提高。同时，鼠标可以在虚拟机、宿主机之间随意移动、切换。新建一个虚拟机后，除了使用默认值，用户还可以通过配置文件修改参数。在单机平台上，利用VMWare构建一个具有多个节点的局域网，组建非常复杂的局域网。

通过上面的典型测试环境，攻击者已经可以在本地轻松的完成各种网络程序和其他操作系统的测试。如果能够结合resin、Apache等web服务器，我们也就不难理解黑客为什么能够如此迅速的完成其他系统或平台下的漏洞或攻击测试了。难怪有人会这么评价：“一名优秀的网络管理员首先是一名优秀的黑客”。

三、2007年网络攻击和隐藏技术发展趋势　　
　　
“心中有佛天地宽”，网络攻击中的“佛”在哪里呢？首先，我们应该对攻击技术的分类有一个清晰的脉络，否则很难确定自己在这场战争中的角色。因此，我们可以将从以下几个方面对2007年网络攻击技术进行分述，即窃听技术、欺骗技术、拒绝服务和数据驱动攻击。同时，对攻击事件完成之后的隐藏技术也进行分析。　　

1、窃听技术的发展趋势
　　
窃听技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。可以从以下几个方面来分析。
　　
（1）键击记录器。这是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。著名的有Win32 平台下适用的IKS 等。
　　
（2）网络监听。这是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂（promiscuous）模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。Unix 平台下提供了libpcap 网络监听工具库和tcpdump、dsniff 等著名监听工具，而在Win32 平台下也拥有WinPcap监听工具库和windump、dsniff forWin32、Sniffer等免费工具，另外还有专业工具Sniffer Pro等。
　　
（3）非法访问数据。这是指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。
　　
（4）攫取密码文件。这是攻击者进行口令破解获取特权用户或其他用户口令的必要前提，关键的密码文件如Windows 9x下的PWL 文件、Windows NT/2000下的SAM文件和Unix平台下的/etc/password 和/etc/shadow。
　　
下面，我们以本年度比较热门的Sniffer为例进行讲解。Sniffer是一种利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。2007年以来，网络监听技术出现了新的重要特征。传统的Sniffer技术是被动地监听网络通信、用户名和口令，而新的Sniffer技术则主动地控制通信数据。在网络攻击者看来，此类工具是其必备技能之一，并对其窃取数据起到了十分重要的作用。Sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin码。软件下载地址为http://wvw.ttian.net/download/list.php。
　　
第1步：软件安装。安装后，可以看到Sniffer pro的监控模式有：仪表板，主机列表，矩阵，请求相应时间，历史取样，协议分布，全局统计表等，这些模式能显示各项网络性能指标及详细的协议分析。在默认情况下，Sniffer将捕获其接入碰撞域中流经的所有数据包。
　　
第2步：定义过滤器。Sniffer提供了捕获数据包前的过滤规则的定义，在主界面选择“捕获”菜单下的“定义过滤器”选项，然后打开“地址”选项卡。其中包括MAC地址、ip地址和ipx地址的定义。

第3步：然后选择“定义过滤器”选项的“高级”选项卡，定义希望捕获的相关协议的数据包。此外，还可以在“缓冲”选项卡里面定义捕获数据包的缓冲区，再将定义的过滤规则应用于捕获中。如果要停止Sniffer捕获包时，点选“捕获”菜单下的“停止”，把捕获的数据包进行解码和显示。

2、欺骗技术的发展趋势

欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。下面，我们归纳了2007年比较热门的一些欺骗技术。具体如下：
　　
第1种：获取口令的方式。主要有通过缺省口令、口令猜测和口令破解三种途径。某些软件和网络设备在初始化时，会设置缺省的用户名和密码，但也给攻击者提供了最容易利用的脆弱点。口令猜测则是历史最为悠久的攻击手段，由于用户普遍缺乏安全意识，不设密码或使用弱密码的情况随处可见，这也为攻击者进行口令猜测提供了可能。口令破解技术则提供了进行口令猜测的自动化工具，通常需要攻击者首先获取密码文件，然后遍历字典或高频密码列表从而找到正确的口令。著名的工具有John the Ripple、Crack和适用于Win32平台的L0phtcrack等。
　　
第2种：恶意代码。包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后暗地里安装邪恶的或破坏性软件的程序，通常为攻击者给出能够完全控制该主机的远程连接。
　　
第3种：网络欺骗。是攻击者向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP 欺骗、会话劫持、ARP（地址解析协议）重定向和RIP（路由信息协议）路由欺骗等。
　　
（1）IP 欺骗。是指攻击者将其发送的网络数据包的源IP地址篡改为攻击目标所信任的某台主机的IP地址，从而骗取攻击目标信任的一种网络欺骗攻击方法。通用应用于攻击Unix 平台下通过IP 地址进行认证的一些远程服务如rlogin、rsh等，也常应用于穿透防火墙。
　　
（2）会话劫持指。是指攻击者冒充网络正常会话中的某一方，从而欺骗另一方执行其所要的操作。目前较知名的如TCP 会话劫持，通过监听和猜测TCP 会话双方的ACK，插入包含期待ACK的数据包，能够冒充会话一方达到在远程主机上执行命令的目的。支持TCP 会话劫持的工具有最初的Juggernaut 产品和著名的开源工具Hunt。
　　
（3）ARP欺骗。这种方法提供将IP地址动态映射到MAC 地址的机制，但ARP机制很容易被欺骗，攻击主机可以发送假冒的ARP 回答给目标主机发起的ARP查询，从而使其错误地将网络数据包都发往攻击主机，导致拒绝服务或者中间人攻击。由于RIP没有身份认证机制，因此攻击者很容易发送冒充的数据包欺骗RIP 路由器，使之将网络流量路由到指定的主机而不是真正希望的主机，达到攻击的目标。
　　
2007年以来，通过欺骗的方式获得机密信息的事件越来越多，在国内比较严重的银行诈骗事件已经让不少用户开始感觉到网络中存在的安全隐患。下面是国际反钓鱼组织公布了一个典型案例。攻击者发了一个欺骗的邮件并声称：按照年度计划，用户的数据库信息需要进行例行更新，并给出了一个“To update your account address”连接地址。由于这封Email来自SebastianMareygrossness@comcast-support.biz，因此，一般人不会太怀疑。不过，细心的用户会发现，表面地址是http://comcast-database.biz/，实际地址是http://66.113.136.225。很明显，这个攻击者利用了URL欺骗技术，以达到其不可告人的目的！
　　
此外，还有不少流氓软件通过欺骗技术，未经许可强行潜伏到用户电脑中，而且此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。有迹象表明，病毒、黑客和流氓软件正紧密结合，日益趋于商业化、集团化，并且已经形成了一根完整的产业链条。
　　
3、拒绝服务攻击技术的发展

拒绝服务攻击指中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，被认为是最邪恶的攻击，其意图就是彻底地破坏，而这往往比真正取得他们的访问权要容易得多，同时所需的工具在网络上也唾手可得。因此拒绝服务攻击，特别是分布式拒绝服务攻击对目前的互联网络构成了严重的威胁，造成的经济损失也极为庞大。拒绝服务攻击的类型按其攻击形式划分包括导致异常型、资源耗尽型、分布式拒绝服务攻击（DDoS）。
　　
第1种，导致异常型拒绝服务攻击。这种方法利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝服务。如著名的Ping of Death攻击和利用IP协议栈对IP 分片重叠处理异常的Treadrop攻击。
　　
第2种，资源耗尽型拒绝服务攻击。这种方法通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。根据资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击者通过放大等技巧消耗掉目标网络的所有可用带宽。系统资源耗尽攻击指对系统内存、CPU 或程序中的其他资源进行消耗，使其无法满足正常提供服务的需求。著名的Syn Flood 攻击即是通过向目标服务发送大量的数据包，造成服务的连接队列耗尽，无法再为其他正常的连接请求提供服务。
　　
第3种，分布式拒绝服务攻击。这种方法通过控制多台傀儡主机，利用他们的带宽资源集中向攻击目标发动总攻，从而耗尽其带宽或系统资源的攻击形式。DDoS攻击的第一步是瞄准并获得尽可能多的傀儡主机的系统管理员访问权，然后上传DDoS攻击并运行。目前著名的DDoS 工具有TFN（Tribe FloodNetwork）、TFN2K、Trinoo、WinTrinoo和Stacheldraht等。
　　
从2007年网络攻击技术的发展情况来看，最近发生的拒绝服务攻击事件大多与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意，因此发动拒绝服务攻击，许多服务器已经成为这种攻击的牺牲品。另外，使用拒绝服务进行网络敲诈勒索的事件仍然十分频繁，攻击者通过在短暂而非紧要的时间段内发动攻击，对用户的数据构成威胁，受害者则不得不为此而支付“保护费”。

4、数据驱动攻击技术及其新发展
　　
数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。
　　
第1种，缓冲区溢出攻击。缓冲区溢出攻击的原理是向程序缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。近年来著名的蠕虫如Code-Red、SQL.Slammer、Blaster 和Sasser 等，都是通过缓冲区溢出攻击获得系统权限后进行传播。
　　
第2种，同步漏洞攻击。这种方法主要是利用程序在处理同步操作时的缺陷，如竞争状态。信号处理等问题，以获取更高权限的访问。发掘信任漏洞攻击则利用程序滥设的信任关系获取访问权的一种方法，著名的有Win32 平台下互为映像的本地和域Administrator 凭证、LSA 密码（Local SecurityAuthority）和Unix 平台下SUID 权限的滥用和X Window 系统的xhost 认证机制等。
　　
第3种，格式化字符串攻击。这种方法主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。输入验证攻击针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指定的命令。
　　
下面是一个很有代表性的例子。打开某些网页时，可以把网址中的“/”换成“%5c”然后提交，这样就可以暴出数据库的路径。成功后，会有类似的提示：“确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。” 在Google或者百度中，搜索关键词“wishshow.asp?id=”，找到一些具有缺陷的的许愿板程序。本例是一个台湾测试站点，地址为http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117。在wish后，用“%5c”替换“/”，地址就变成了http://web.gges.tp.edu.tw/asp/wish%5c wishshow.asp?id=117，这样就可以暴出对方数据库了。根据错误提示，数据库是db.mdb，而且还可以直接下载。

“%5c”并不是网页本身的漏洞，而是利用了IIS解码方式的一个缺陷。实际上是“\”的十六进制代码，是“\”的另一种表示法。但是，提交“\”和“%5c”却会产生不同的结果。

IE会自动把“\”转变成“/”，从而访问到同一地址。但是，当我们把“/”换成十六进制写法“%5c”时，IE就不会对此进行转换，地址中的“%5c”被原样提交了。2007年以来，针对网站、论坛等程序的攻击依然是一大热点，一些大学网站、论坛甚至一些知名企业的站点都遭遇了不同程度的攻击。比较热门的事件有：OBlog2.52文件删除漏洞、COCOON在线文件管理器上传漏洞、PJBlog v2.2用户提权再提权、BBSXP 6.0 SQL版的版主提权漏洞、雪人“SF v2.5 for Access”版论坛漏洞等，这些攻击手法都综合了多种技巧，尤其是数据驱动攻击技术的运用。

5、隐藏技术及其新发展

攻击者在完成其攻击目标后，通常会采取隐藏技术来消除攻击留下的蛛丝马迹，避免被系统管理员发现，同时还会尽量保留隐蔽的通道，使其以后还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、内核套件、安装后门等。
　　
第1种，日志清理。日志清理主要对系统日志中攻击者留下的访问记录进行清除，从而有效地抹除自己的动踪迹。Unix平台下较常用的日志清理工具包括zap、wzap、wted 和remove。攻击者通常在获得特权用户访问权后会安装一些后门工具，以便轻易地重新进入或远程控制该主机，著名的后门工具包括BO、netbus和称为“瑞士军刀”的netcat等；攻击者还可对系统程序进行特洛伊木马化，使其隐藏攻击者留下的程序、服务等。
　　
第2种，内核套件。内核套件则直接控制操作系统内核，提供给攻击者一个完整的隐藏自身的工具包，著名的有knark for Linux、Linux Root Kit 及rootkit。
　　
第3种，安装木马后门。木马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文件操作等等，一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。木马在被植入攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制攻击主机。

值得注意的是，2007年木马技术发展迅猛，除了一些老牌木马，其他有特色的木马也让人头疼不已，例如管理型木马——ncph远程控制；国产木马新秀PCView 2007；五毒俱全的蜜蜂大盗；木马Erazer Lite；另类的远程控制工具JXWebSver等。这些木马隐藏技术的不断提高，也给用户带来了许多麻烦。

四、实例分析　　
　　
现实生活中，网络应用越来越复杂，利用浏览器、网站插件、代码等方面的漏洞进行攻击的事件也愈演愈烈，甚至被有心人士用来窃取顾客的私人信息。一般来说，漏洞的威胁类型基本上决定了它的严重性，很多公司在公布安全漏洞的危险等级时候，把严重性分成高、中、低三个级别，再提示用户根据具体的情况，要采取程度不同的防范措施。在网络攻击者的眼里，“肉鸡”意味着可以轻松占有一台或多台服务器；至于网吧，针对服务器和网吧管理软件的攻击也十分频繁，醉翁之意不在酒，当然是想免费上网了。
　　
针对网络服务器的攻击，也出现了许多独特的思路和新方法。如利用SA用户权限的安全隐患快速入侵网站；利用wmf远程执行漏洞（MS06－001）攻击服务器；利用Metasploit Framework体验MS06-040漏洞；利用Ability FTP Server新漏洞入侵网站；利用Windows图形渲染引擎WMF格式代码执行漏洞；利用文件后缀解析的漏洞攻击Apache服务器；百度、TOM、21CN系列搜索引擎漏洞等。
　　
现在，网络管理员加强了内网的安全管理。比较常见的情况是网管通常都会封杀比较常见的服务端口，导致用户不能访问某些网站，不能使用QQ等工具进行聊天、玩游戏等。另外，出于安全考虑，有些网络管理员会限制某些协议，如不能使用FTP、对下载进行限制等。一般情况下，网络攻击者可以使用普通的HTTP代理或者SOCKS代理。现在，提供socks服务的代理软件有很多，如“通通通”软件（http://www.tongtongtong.com）、Socksonline（http://www.waysonline.com/mader/download）等。

Socksonline正常启动后，该程序就变成了本地的Socks Proxy，用户就可以通过Http Proxy或其他Proxy访问Internet了。如果要突破内网登陆QQ，可以打开QQ中的设置窗口输入参数。以QQ2007为例，在“代理设置”界面中，选择“使用SOCKS5代理服务器”。然后在代理服务器地址栏填入“localhost”，在端口栏填入“1080”或自己设置的服务端口，默认不需要用户名和密码验证。可以单击“测试”按钮，看是否连接网络。
　　
同样，如果要突破内网，实现自由上网，也可以使用类似方法在IE浏览器中设置SOCKS5代理服务器。如果身处学校机房或管理比较严格的单位网络，还可以通过Socksonline和e-Border软件的配合，突破内网的限制就很容易了。
　　
e-Border安装完成后，会弹出一个设置客户端程序的窗口，根据向导设置代理服务器名和默认的端口1080。在e-Border的代理方式中，选择Proxy only方式，表示将所有的网络连接全部截获并通过Socks代理连接。然后按下“Include list（包含列表）”按钮，在弹出的对话框中按下Add（添加）按钮，把Socksonline软件加入到列表框中。用同样的方法把平时上网需要使用Socks协议的软件都加入列表框。当然，网络攻击者也可以把一些特殊的黑客工具软件和游戏软件也添加进去。点OK关闭此对话框。

这样，无论是内网还是外网，攻击者都可以横行了，这也是目前很多网络管理员比较头疼的一个地方。在山东临沂银雀山出土的《孙膑兵法》上，有这样一段对话。齐威王曰：“地平卒齐，合而败北者，何也？”（翻译为：地形很好，士兵也很齐心，为什么打了败仗？）孙膑的回答是：“阵无锋也。”意即：“因为没有找到突破口。”这个典故说明了两军对垒，能否突破一点，向纵深进兵，往往是能否夺取全局性胜利的重要关键。总之，在网络安全实践中，我们也必须随时掌握最新的攻击技术发展动态，寻找防守的突破口，这样才能达到有效防范的目的。