问：我有一个关于.eml文件的问题。它在我系统的多个文件夹中，但我不能成功地删除它们。该文件也会自己复制到USB设备上。由于它的影响，我的应用程序都不能正常运作。为了防止它影响网络上的其他设备，您有什么方法可以帮助我处理掉电脑上的这个文件呢？ 

　　答：首先，将你的电脑与网络断开，以防止恶意软件复制受感染的文件到网络设备上。无论什么恶意软件感染了你的系统，它都有可能在你的系统上执行，并有能力阻止被人移除。你可能会将你的电脑恢复到你认为好的状态。如果那样也不管用，你就需要了解该如何手动从你的硬盘驱动中移除恶意软件。

　　要手动将恶意软件从系统中移除，要遵行以下基本歩骤：

1. 在未感染的计算机上，下载恶意软件移除工具，如McAfee Stinger（或从主要反病毒厂商那下载类似的工具），然后将它存储在USB驱动器中。根据某个特定的恶意软件，你可能还需要其他类似的工具。从你组织中的反恶意软件/反病毒软件中下载安装程序和更新文件。
2. 在安全模式下启动你的电脑。
3. 在受感染的计算机上运行McAfee Stinger，以移除恶意软件。如果McAfee Stinger不能移除该恶意软件，你需要使用之前下载的其他移除工具。如果这些工具都不行，你就需要手动修复相关的文件。在微软的官方网站上，有一些很好的指导和建议；你可以看看Windows XP恶意软件移除指南。
4. 在计算机上安装或更新反恶意软件或反病毒软件之后，进行系统扫描。

　　为了防止以后再发生类似的事情，你需要确保你经常登陆的账户没有提升的或管理员级别的权限（精明的黑客可以很容易地利用管理级别的用户帐号），并且要安装和及时更新反恶意软件。如果你要用具有权限的账户登录，你需要联系你的IT部门，让他们解除你的账户权限。

当黑客入侵一台主机后，会想方设法保护自己的“劳动成果”，因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏的账户，以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门，一般用户很难发现系统中隐藏账户的存在，因此危害性很大，本文就对隐藏账户这种黑客常用的技术进行揭密。

　　在隐藏系统账户之前，我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”，控制面板的“计算机管理”，“注册表”中对存在的账户进行查看，而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常，因此如何让系统账户在这两者中隐藏将是本文的重点。

　　一、“命令提示符”中的阴谋

　　其实，制作系统隐藏账户并不是十分高深的技术，利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。

　　点击“开始”→“运行”，输入“CMD”运行“命令提示符”，输入“net user piao$ 123456 /add”，回车，成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车，这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”，密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。

　　我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”，回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”，打开其中的“计算机”，查看其中的“本地用户和组”，在“用户”一项中，我们建立的隐藏账户“piao$”暴露无疑。

　　可以总结得出的结论是：这种方法只能将账户在“命令提示符”中进行隐藏，而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用，只对那些粗心的管理员有效，是一种入门级的系统账户隐藏技术。

二、在“注册表”中玩转账户隐藏

　　从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显，很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢？答案是肯定的，而这一切只需要我们在“注册表”中进行一番小小的设置，就可以让系统账户在两者中完全蒸发。

　　1、峰回路转，给管理员注册表操作权限

　　在注册表中对系统账户的键值进行操作，需要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改，但是当我们来到该处时，会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限，没有给予修改权限，因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。

　　点击“开始”→“运行”，输入“regedt32.exe”后回车，随后会弹出另一个“注册表编辑器”，和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户操作注册表时的权限(为便于理解，以下简称regedt32.exe)。

　　在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，点击“安全”菜单→“权限”，在弹出的“SAM的权限”编辑窗口中选中“administrators”账户，在下方的权限设置处勾选“完全控制”，完成后点击“确定”即可。然后我们切换回“注册表编辑器”，可以发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值都可以展开了。

　　提示：上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中，对于权限的操作可以直接在注册表中进行，方法为选中需要设置权限的项，点击右键，选择“权限”即可。

　　2、偷梁换柱，将隐藏账户替换为管理员

　　成功得到注册表操作权限后，我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，当前系统中所有存在的账户都会在这里显示，当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”，在右边显示的键值中的“类型”一项显示为0x3e9，向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处，可以找到“000003E9”这一项，这两者是相互对应的，隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的，我们可以找到“administrator”账户所对应的项为“000001F4”。

　　将“piao$”的键值导出为piao$.reg，同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。接下来进入“命令提示符”，输入“net user piao$ /del”将我们建立的隐藏账户删除。最后，将piao$.reg和user.reg导入注册表，至此，隐藏账户制作完成。

　　3、过河拆桥，切断删除隐藏账户的途径

　　虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了，但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户，那么如何才能让我们的隐藏账户坚如磐石呢？

　　打开“regedt32.exe”，来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，设置“SAM”项的权限，将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行操作的时候将会发生错误，而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户，也是无可奈何的。

三.专用工具，使账户隐藏一步到位

　　虽然按照上面的方法可以很好得隐藏账户，但是操作显得比较麻烦，并不适合新手，而且对注册表进行操作危险性太高，很容易造成系统崩溃。因此我们可以借助专门的账户隐藏工具来进行隐藏工作，使隐藏账户不再困难，只需要一个命令就可以搞定。

　　我们需要利用的这款工具名叫“HideAdmin”，下载下来后解压到c盘。

　　然后运行“命令提示符”，输入“HideAdmin piao$ 123456”即可，如果显示“Create a hiden Administrator piao$ Successed!”，则表示我们已经成功建立一个账户名为piao$，密码为123456的隐藏账户。利用这款工具建立的账户隐藏效果和上文中修改注册表的效果是一样的。

　　四、把“隐藏账户”请出系统

　　隐藏账户的危害可谓十分巨大。因此我们有必要在了解了账户隐藏技术后，再对相应的防范技术作一个了解，把隐藏账户彻底请出系统

　　1、添加“$”符号型隐藏账户

　　对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后，会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦，可以直接打开“计算机管理”进行查看，添加“$”符号的账户是无法在这里隐藏的。

　　2、修改注册表型隐藏账户

　　由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的，因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”，把这里存在的账户和“计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了。想要删除它也很简单，直接删除以隐藏账户命名的项即可。

　　3、无法看到名称的隐藏账户

　　如果黑客制作了一个修改注册表型隐藏账户，在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的，甚至无法知道黑客建立的隐藏账户名称。不过世事没有绝对，我们可以借助“组策略”的帮助，让黑客无法通过隐藏账户登陆。点击“开始”→“运行”，输入“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。

　　4、开启登陆事件审核功能

　　进行登陆审核后，可以对任何账户的登陆操作进行记录，包括隐藏账户，这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称，甚至黑客登陆的时间。即使黑客将所有的登陆日志删除，系统还会记录是哪个账户删除了系统日志，这样黑客的隐藏账户就暴露无疑了。

　　5、通过事件查看器找到隐藏帐户

　　得知隐藏账户的名称后就好办了，但是我们仍然不能删除这个隐藏账户，因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效，黑客无法再用这个隐藏账户登陆。

上海臻万信息技术有限公司 专业从事网络安全,服务器代维等网络综合服务 www.beeteam.cn

Linux进程监控方法和工具都是基于调用操作系统给我们提供的相应的API接口函数或者系统调用来实现的。我们所得到的只是接口函数处理后的结果，不能够主动地从操作系统内核的进程数据结构当中获取我们需要的信息。

　　因而，它们具有如下一些问题：

　　1、传统的进程监控方法运行效率比较低，同时反应时间也比较长，实时性能差。

　　2、不能够实时、高效地向用户报告当前系统运行的安全状况，就算系统中有不法进程在运行，系统也不能识别出来。

　　3、不能给用户捕捉不法进程的行为提供证据和进程的活动轨迹。当一个不法进程运行并对系统产生破坏时，用户即使通过察看进程列表找到了不合法的进程，也不清楚到底从进程开始运行直到捕捉到这样一个不法进程这样一段时间内，进程都对系统造成了哪些破坏，比如说，访问、修改了哪些重要的系统文件，占用了哪些系统资源等等。这些都给以后的恢复和处理工作带来了很大的问题。

　　4、执行程序工作在用户态，本身就不安全，入侵系统的黑客可以轻松地找到这些进程监控程序的磁盘映像，进行删除甚至替换，从而会给系统带来不可估量的损失。这一点尤其需要强调，比如说，黑客入侵系统成功，就可以植入他们所改写的ps程序以替换原来系统的ps程序，这样就使得用户不能通过该工具得知系统中当前运行的不法进程，这样无论黑客如何植入木马或者其他程序，用户都无法知道，从而无法采取措施终止这些行为。不言而喻，这样的后果是很严重的。而在我们下面所要介绍的一种运行于内核的进程监控程序当中，黑客根本无法或者很难深入内核来破坏该进程监控程序，从而使其能够很好地保证自身的安全。

　　基于上述种种不足，我们提出了在Linux内核中实现进程实时监控的原理和技术。该技术主要分为以下几个步骤：

　　首先，在“干净”的系统环境下，全面地运行系统中的安全进程，分析和搜集Linux环境下这些进程的相关信息(包括进程ID号、进程名称、进程可执行映像、进程的开始时间、进程的父进程等主要信息)，形成一张“系统安全进程列表”，作为进程监控的依据。

　　接着，监控代码在进程调度过程中实时地搜集系统中运行进程的信息。如果发现进程不在 “系统安全进程列表”当中，则马上通过终端输出该进程的PID号、名称、进程的可执行映像等信息，或者通过声音向用户报警，等待用户处理，在这个等待的过程中，终止调度该进程，直到用户做出响应(放行该进程或者杀死该进程)。

　　在第二步当中，如果超级用户(系统管理员)放行了该进程，则可以将该进程加入“系统安全进程列表”，以完善该列表;如果是一般用户在使用过程当中放行了某个进程，那么，需要将该用户的用户名和身份记录下来，并且将放行的进程记录下来存为日志，那么，当超级用户(系统管理员)无论是在审核用户行为还是在修改“系统安全进程列表”时，都是一个有力的依据。

　　另外，在系统运行过程当中，如果发现“系统安全进程列表”当中的某些重要的进程 (包括kswapd、bdflush等)不在运行，则马上将该进程“遗失”的信息存入文件，以备在系统的恢复过程当中，对它们进行针对性的恢复，根据不同的情况，有的需要马上停机，恢复进程，有的则可以现场恢复。


www.beeteam.net  上海臻万信息技术有限公司

根据调查数据显示，目前微软领先于其他系统管理厂商，超过48％的受访者选择系统中心操作管理器（SCOM）和系统中心虚拟机管理器（SCVMM）这样一些软件。虽然厂商捆绑的概念令许多IT专业人士感到厌恶，但专家仍表示，微软可以对那些Windows服务器厂商产生积极的影响，因为一旦安装了这些软件，监测、维护和环境管理就能实现简化。 

　　美国科罗拉多州Kroll Factual Data公司的程序设计技术总监Chris Steffen 表示，“为了将产品整合成监控套件，微软已经做出了巨大的努力”。他说，“我认为，他们完全有理由这么做。”

　　Parker也同意Steffen的观点。他说，“过去，这些产品最大的问题之一是确定你得到信息的重要性。如果你可以信任微软在这方面的努力，那这可能就是这些产品最大的亮点所在了。”

　　如何选择合适的系统管理工具，这本身就已是一个很难的问题，更何况企业通常还需要基于当前的环境、业务需求和技术能力对工具进行评估。根据我们的调查数据，82%的IT专业人士认为特性和功能是最重要的选择标准，而50%的受访者认为价格是最重要的因素。其它的选择标准还有：集成度（22%）、易于安装和使用（19%），与工具供应商（15%）之前的关系也是重要的考虑因素。

　　“对我来说，在互操作性实现之后，系统管理工具用起来非常容易”，Steffen说，“因为我们可以在这个框架上把所需的监控加进去，所以我们正沿着所设定的管理道路向前推进。”

　　然而，仅仅选择一个系统管理工具是不够的。一个公司必须有实施和使用工具的专业技能，这对小公司而言是一个巨大的技术挑战，因此他们通常会选择较为简单的“点解决方案”。但是，这对许多大企业而言也是一个很棘手的成本问题，因为在所选框架内实现所有的监测目标将相当繁琐复杂。

　　“如果你完成了所有伤脑筋的设置，那么这很有希望能管理监控环境中你需要的所有信息”，Steffen说，“如果你为多个不同的产品多次设置它，那么这恐怕会是最坏的情况。”

　　虽然系统管理工具正推动着更强大的一体化和异构性的出现，但在实现过程中您可能需要多种工具，甚至需要为特定的环境提供相应的工具，牢记这一点非常重要。我们的目标不是要展现一个无处不包的工具，而是要选择一个可以完成日常管理工作的工具。例如，系统中心套件上的系统管理工具会覆盖管理员每天都要做的所有基本任务，但对某些无需太多监控和管理的网络交换机而言，使用点工具对其进行管理可能更容易实现。

系统管理的未来

　　专家们希望在未来可以看到更高水平的互操作性，使系统管理产品可以支持数据中心里不断增加的各种设备。微软已经公开了SCOM外部管理包，SCVMM也支持VMware VI3一类的多厂商虚拟化平台，这是两个成功的例子。此外，管理工具最终应提供更多的移动性选择，允许管理员通过移动设备（如iPhone）访问报警系统、仪表及其它细节管理设备。

　　但系统管理工具中最值得注意的一个方向也许是自动化进程的智能改进，即允许系统管理工具做出更好的决策，并在没有管理员监管和默许的情况下采取行动。


www.beeteam.net 上海臻万信息技术有限公司

你的服务器上是否存有一些不能随意公开的重要数据呢？当然有吧？而最近，偏偏服务器遭受的风险又特别大，越来越多的病毒、心怀不轨的黑客，以及那些商业间谍都将服务器当作目标。很显然，服务器的安全问题一刻都忽视不得。

　　不可能在一篇文章中谈遍电脑安全问题，毕竟，市面上的已有许多这方面的书籍，不过，我倒是可以告诉你七个维护服务器安全的技巧。

　　技巧一：从基本做起

　　从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式;同理，防毒程序也必须按时更新。建议同时在服务器和桌面电脑上安装防毒软件。这些软件还应该设定成每天自动下载最新的病毒定义文件。另外，Exchange Server(邮件服务器)也应该安装防毒软件，这类软件可扫描所有寄进来的电子邮件，寻找被病毒感染的附件，若发现病毒，邮件马上会被隔离，减低使用者被感染的机会。

　　另一个保护网络的好方法是依员工上班时间来限定使用者登录网络的权限。例如，上白天班的员工不该有权限在三更半夜登录网络。

　　最后，存取网络上的任何数据皆须通过密码登录。强迫大家在设定密码时，必须混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。你还应该设定定期更新密码，且密码长度不得少于八个字符。若你已经做了这些措施，但还是担心密码不安全，你可以试试从网络下载一些黑客工具，然后测试一下这些密码到底有多安全。

　　技巧二：保护备份

　　大多数人都没有意识到，备份本身就是一个巨大的安全漏洞，怎么说呢？试想，大多数的备份工作多在晚上10点或11点开始，依数据多寡，备份完成后大概也是夜半时分了。现在，想像一下，现在是凌晨四点，备份工作已经结束。有心人士正好可趁此时偷走备份磁盘，并在自己家中或是你竞争对手办公室里的服务器上恢复。不过，你可以阻止这种事情发生。首先，你可利用密码保护你的磁盘，若你的备份程序支持加密功能，你还可以将数据进行加密。其次，你可以将备份完成的时间定在你早上进办公室的时间，这样的话，即使有人半夜想溜进来偷走磁盘的话也无法了，因为磁盘正在使用中;如果窃贼强行把磁盘拿走，他一样无法读取那些损毁的数据。

　　技巧三：使用RAS的回拨功能

　　Windows NT最酷的功能之一就是支持服务器远端存取(RAS)，不幸的是，RAS服务器对黑客来说实在太方便了，他们只需要一个电话号码、一点耐心，然后就能通过RAS进入主机。不过你可以采取一些方法来保护RAS服务器的安全。

　　你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网，建议你使用回拨功能，它允许远端用户登录后即挂断，然后RAS服务器会拨出预设的电话号码接通用户，因为此一电话号码已经预先在程序中了，黑客也就没有机会指定服务器回拨的号码了。

　　另一个办法是限定远端用户只能存取单一服务器。你可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上，再将远端用户的登录限制在一台服务器上，而非整个网络。如此一来，即使黑客入侵主机，他们也只能在单一机器上作怪，间接达到减少破坏的程度。

　　最后还有一个技巧就是在RAS服务器上使用“另类”网络协议。很都以TCP/IP协议当作RAS协议。利用TCP/IP协议本身的性质与接受程度，如此选择相当合理，但是RAS还支持IPX/SPX和NetBEUI协议，如果你使用NetBEUI当作RAS协议，黑客若一时不察铁定会被搞得晕头转向.

技巧四：考虑工作站的安全问题

　　在服务器安全的文章里提及工作站安全感觉似乎不太搭边，但是，工作站正是进入服务器的大门，加强工作站的安全能够提高整体网络的安全性。对于初学者，建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统，如果你没有Windows 2000，那至少使用Windows NT。如此你便能将工作站锁定，若没有权限，一般人将很难取得网络配置信息。

　　另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机(dumb terminal)或者说，智慧型的简易终端机。换言之，工作站上不会存有任何数据或软件，当你将电脑当作dumb terminal使用时，服务器必须执行Windows NT 终端服务程序，而且所有应用程序都只在服务器上运作，工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本，和一份微软Terminal Server Client。这种方法应该是最安全的网络设计方案。

　　技巧五：执行最新修补程序

　　微软内部有一组人力专门检查并修补安全漏洞，这些修补程序(补丁)有时会被收集成service pack(服务包)发布。服务包通常有两种不同版本：一个任何人都可以使用的40位的版本，另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。

　　一个服务包有时得等上好几个月才发行一次，但要是有严重点的漏洞被发现，你当然希望立即进行修补，不想苦等姗姗来迟的服务包。好在你并不需要等待，微软会定期将重要的修补程序发布在它的FTP站上，这些最新修补程序都尚未收录到最新一版的服务包里，我建议你经常去看看最新修补程序，记住，修补程序一定要按时间顺序来使用，若使用错乱的话，可能导致一些文件的版本错误，也可能造成Windows当机。

　　技巧六：颁布严格的安全政策

　　另一个提高安全性的方式就是制定一强有力的安全策略，确保每一个人都了解，并强制执行。若你使用Windows 2000 Server，你可以将部分权限授权给特定代理人，而无须将全部的网管权利交出。即使你核定代理人某些权限，你依然可县制其权限大小，例如无法开设新的使用者帐号，或改变权限等。

　　技巧七：防火墙，检查，再检查

　　最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份，因为它能使公司电脑不受外界恶意破坏。

　　首先，不要公布非必要的IP地址。你至少要有一个对外的IP地址，所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器，这些IP地址也要穿过防火墙对外公布。但是，工作站和其他服务器的IP地址则必须隐藏。

　　你还可以查看所有的通讯端口，确定不常用的已经全数关闭。例如，TCP/IP port 80是用于HTTP流量，因此不能堵掉这个端口，也许port 81应该永远都用不着吧，所以就应该关掉。你可以在网络上查到每个端口的详细用途。

　　服务器安全问题是个大议题，你总不希望重要数据遭病毒/黑客损毁，或被人偷走做为不利你的用途，本文介绍了7个重要的安全检查关卡，你不妨试试看。


www.beeteam.net