Nebula如何使用区域对战

Nebula使用详解

"Nebula"是由EISemi所写的最好的街机模拟器之一，目前最新版本是220，支持CPS-1、CPS-2、NEOGEO、IGS、Konami等，NEOGEO、IGS游戏则需要BIOS的支持,分别为neogeozip和pgmbioszip，都不解压的放入roms目录中即可，支持新游戏最快就数它了,且有多种画面显示处理效果，强烈推荐大家使用。

一、运行环境

赛扬500加TNT都可以很好的运行了。平台方面Win98、WinXP都没问题，98下面建议安装DirectX 80以上版本。

二、初步设置

1、界面的选择

运行“nebulaconfigexe”，在“GUI”选项中选择“NEW window GUI”按“Continue”,出现类似“winkawaks”的界面，选择"Classic Fullscreen GUI"按“Continue”出现类似"Neoragex"的界面。（建议使用“NEW window GUI”，这个界面比较直观，用起来也比较方便，下面所介绍都是以它来说的。）

2、选择语言包

执行菜单命令Misc->Language->Chinese(Simp)，重新打开Nebula生效。

3、ROMS目录设置（模拟->ROM目录）

一共可以有10个ROM目录，除主目录roms不能更改，其它都可以点击空行右边的图标浏览，增加或更改ROM目录，也可以手动输入路径，相对路径也行，如“\emu\igs\roms”（如果刻成CD的话，建议使用相对路径）

4、视频设置

主要是全屏模式(Alt+Enter全屏与窗口快速切换）。

a、分辨率

视频->全屏幕模式->分辨率->600480

b、图象增强

视频->全屏幕模式->图象增强->2xSAI(平滑扫描）。这种显示方式已很好了，如果你的机器够Power的话，试试其它方式吧，或许会有惊人的表现。运行游戏时很慢的话试试 Hardware Blit (works on 32 bpp) (硬件加速（适用32位色深）)模式，还很慢的话，就加速吧 “模拟->快速模式”，还很慢的话，去借个锤子吧。

c、全屏模式

视频->全屏幕模式->不拉伸：在全屏状态下不拉伸图象，只显示原始太小；

视频->全屏幕模式->保持外表：接照比例拉伸图象至全屏幕；（建议便用这种方式）

视频->全屏幕模式->适应屏幕：拉伸图象至全屏。

d、其它选项

“垂直同步”及“三倍缓冲”都钩上吧，不过效果不是很明显。

5、声音

默认就可以了，怎么调也差不多。各机种的设置也差不多，以Neogeo为例：“声音->Neogeo->采样率->22050”,“声音->Neogeo->插补->2点”。(在运行游戏时最好不要调声音设置，有时会引起非法操作）

三、载入游戏（模拟->读取ROM）

首先在“CPS-1（显示“CPS-1”游戏）、CPS-2（显示“CPS-2”游戏）、Neogeo（显示“Neogeo”游戏）、Konami（显示“Konami”游戏）、PolyGameMaster（显示“IGS”游戏）”前打钩，在All(显示所有游戏）、Available Only（拥有的游戏）、Favorites （收藏夹的游戏）三项中选Available Only（拥有的游戏），然后点击“rescan Roms（重新扫描游戏）”，扫描完毕后，点击左边的你所想玩的游戏，双击或点击LOAD。

四、控制设置(载入游戏方可用）

玩家1（1P）：游戏->控制设置->player 1

a、Main Controls(主要控制）

无非是：投币(Coin)、Start(1P)、上、左、下、右、按键1（Button 1)至按键6

Save as Default Layout(保存为默认设置）

Load Default layout（载入默认设置）

load layout （载入设置）

save layout （保存设置）

b、Hotkeys(热键)、Buttons(热键定义)

以“西游记释厄传”为例：载入游戏，游戏->控制设置->player 1，热键1(Hotkey1)设为键盘的“A”键，在同一行上“S（开启）”、“1”、“2”、“3”前面打钩，其它的空着，点击Clase(关闭)返回游戏。按键盘上“A”试试看，是否与同时按下按键1、按键2、按键3的效果一样？

c、Per-Char Macros(宏定义)、Global Macros(通用宏定义)

Nebula的宏定义与“Winkawaks”差不多，U，D，B，F代表上下左右，组合方向,右上UF，左下是DL，依次类推，1～6代表6个键位。Nebula还可以定义多个宏特性，通过“游戏->宏设置”来选择。

下面以“西游记释厄传”为例：

在记事本新建文件，输入：

[Player1]

Character=0

Direction=108330,0,1

[Player2]

Character=0

Direction=108330,0,1

[0]

Name=1

Macro1Name=下跳

Macro1Move=D,2

Macro2Name=必杀攻击右边

Macro2Move=B,D,DF,F,B,D,DF,F,1

Macro3Name=必杀攻击左边

Macro3Move=r,d,ld,l,r,d,ld,l,1

[Global]

Macro1Name=下B

Macro1Move=D,2

保存为orlegendmac（文件名必须与ROM一致，因为“西游记释厄传”ROM是orlegendzip，所以保存为orlegendmac），放到与nebulaexe同一目录下的Macros文件夹中。重启nebula，载入“西游记释厄传”,"游戏->控制设置->player 1"，"Macro 1"设为键盘上"s","Macro 2"设为键盘上"d"，"Macro 3"设为键盘上"f",点击Clase(关闭)返回游戏。你会发觉“下跳”只要按s就行了，往右边发出必杀只要按d就行了。

现在解释一下上面的语句：

[Player1] 表示1P

Character=0 初始化特性为"0"（定义多个特性时，用逗号分开，如:Character=0,l,o,v,e)

Direction=108330,0,1 定义方向

[0] 定义特性"0"

Name=1 特性"0"的名称为"1"

Macro1Name=下跳 定义宏键1的名字为“下跳”

Macro1Move=D,2 宏键1=↓按键2 (逗号表示一帖动作）

Macro2Name=必杀攻击右边 定义宏键1的名字为"必杀攻击右边"

Macro2Move=B,D,DF,F,B,D,DF,F,1 宏键1=←↓↘→←↓↘→+A(按键1)

[Global] 定义通用特性（所谓的通用特性，就是说这个特性所定义的宏，所有玩家都可以通过设置“Global Macros”下面“Macro 1”等宏键来使用）

nebula宏定义在三国战记中使用，可惜现在写出来好像有点迟了。

[Player1]

Character=0,1

Direction=108330,0,1

[Player2]

Character=0,1

Direction=108330,0,1

[0]

Name=赵云

Macro1Name=大鹏展翅

Macro1Move=D,U,1

Macro2Name=必杀

Macro2Move=l,r,1

[1]

Name=关羽

Macro1Name=右边飞龙在天

Macro1Move=d,r,1,r

Macro2Name=左边飞龙在天

Macro2Move=D,L,1,L

[Global]

Macro1Name=MAX必杀

Macro1Move=d,u,d,u,1

KOF系列的动作太复杂了，nebula好像又不支持KOF标准按键，八神庵的乌鸦咬“→↓↘ + A”用相应的代码“l,d,ld,1”表示使不出来，kawaks145官方版没问题。

五、IGS、NEOGEO区域设置（载入游戏方可用）

IGS：游戏->区域->china

NEOGEO：游戏->NEOGEO optiope(NEOGEO 选项)->region(区域)->Europe（欧洲）

六、存档、取档

存档：模拟->保存进度

取档：模拟->载入进度

游戏复位：模拟->重新开始（热键是“F3”）

七、联网

大家有没有注意到与Nebulaexe同一目录下有一个叫“nebulanetexe”的可执文件。

运行nebulanetexe，发觉出现的窗口与“WinKawaks”联机游戏的窗口一样，使用方法也一样。

左上角有All serves(所有服务器）、Recent（最近的）、Favorites（常用的）、Waiting games Options（等待游戏选项）这几个选项。

All serves(所有服务器）：显示网上的所有的kaillera服务器，点击Refresh list(刷新列表）可以刷新服务器列表。

Recent（最近的）：最近使用过的服器。

Favorites（常用的）：暂时不能用该功能。

Waiting games Options（等待游戏选项）：默认就行了，不必去设置。

点击All serves(所有服务器）选项，如果你是第一次玩网络对战请在左下角的Username中为自己起个名字,在右下角Connection Type（连接类型）中根据自己的网络状况选取一个合适的连接类型。然后选中列表中的服务器,并按下Connect（连接）按钮联接到该服务器。如果你知道服务器的IP地址可以使用Enter IP Adress选项，例如中国广州电信的服务器，输入IP地址6114513350按Connect即可。

连接上服务器，弹出新窗口，左上方是玩家对话信息窗口,右上方为玩家列表包含了玩家的Nick Name,Ping值与当前属性等信息,中间的空白长条可以输入文字供聊天使用最下面的为玩家已经建立的GAME列表,可以看到GAME名称(玩家建立的游戏使用那个ROM),Version(模拟器版本号),Status(目前状态Playing为正在玩),Users(当前人数/最大容纳人数)这里请注意你与对方的模拟器版本是否一致,以及Rom的名称是否相同!如果你看见已经有人建立合适的游戏你只要选择他建立的游戏并按Join就能进入啦，剩下的事情就是等对方开始游戏与你一起玩啦，如果没有找到合适的就自己建立一个吧。点击Create new game会出现一个按照游戏名字排列的列表,选择你想要玩的游戏。

到这儿，你对Nebula应有所了解吧，谢谢你的视角支持：）

（原文链接：http://6117764109/game/book/listaspid=110）

_________________________________________________________

Nebula223补充说明：

(1)安装Nebula 223a

从本站下载Nebula 223a的安装包，解压缩至你指定的位置，假定为M:\emu\Nebula223a 。

(2)配置Nebula 223a

首次运行时，必须对Nebula进行配置:

这是一个关于版权的声明，你最好仔细看一下。等左下角的时间倒数完毕之后，点击I agree进入。继续直至出现下图的配置界面:

如果有支持里反馈的设备，可以在Device Mapping里进行设置，其他的采用默认值，直接点击continue进入。出现Nebula的主窗口:

第一步：配置Nebula的界面语言。

从Misc菜单中选择Language，然后选择Chinese(simp), 按照提示关闭Nebula，重新启动Nebula，界面变成中文了，对英语不好的朋友很有帮助。

第二步：配置Nebula的rom路径。

从“模拟”菜单下选择Rom目录，打开Rom设置对话框：

除了Nebula目录下的Roms，Nebula允许另加9条Rom目录。这样就不必将游戏rom放在Nebula目录下，例如Nebula可以使用winkawaks目录下的rom，从而实现了多个模拟器共享rom。最好的办法是将所有的rom按分类放在一个地方，然后在各个模拟器中设置rom路径指向所需的rom目录。

第三步：配置视频和音频

音频采用默认配置即可，视频可以先采用默认配置，等进入游戏之后，根据计算机的配置，尝试不同的视频配置，选择最佳配置。

第四步：配置输入

要设置键盘输入必须载入游戏ROM，因此一般在首次运行游戏时设置键盘输入。

(3)运行游戏

从“模拟”菜单下选择读取Rom，显示Load Rom对话框:

左边是Nebula223a支持的游戏列表。右边Show Romsets下有两组选择按钮，左边一栏按照基板类型控制游戏列表中显示的游戏，右边一栏分别为显示所有/已有/收藏的游戏。为了方便装载游戏，选择显示已有的游戏，然后点击Rescan Roms按钮，重新搜索Rom路径中的游戏。新下载了游戏之后必须Rescan Roms才能在游戏列表中看到新添加的游戏。从左边的列表中选中要玩的游戏，然后点击Load按钮，稍等片刻就可以看到游戏画面了:

首次运行游戏必须先设置键盘输入，从“游戏”菜单中选择控制设置Player 1 打开Control config对话框：

在Main Controls一栏中，点击Up右边的字母(默认的是Up Arrow)，显示Press a Key or Button时，按下w键即可将设置[上]为w。同样可以设置其他的方向键以及拳脚按键。由于载入的游戏sfa3是六键系统，需要设置button1-3分别为轻中重拳，button4-6分别轻中重脚，3 punches为三段拳，3 kicks为三段脚。除了基本的输入设置外，Nebula允许设置宏和热键，具体的设置方法请参考docs\目录下的文档或者访问官方主页。为了方便配置其他同类型游戏输入，可以将此键盘输入配置保存下来。点击Save Layout，即可将此配置保存到config\目录下的一个文件中。浏览config目录，你可以发现已经存在很多预定义的输入配置文件(key)。因此，配置输入时，可以点击Load Layout选择按键自己保存的或者预定义的配置文件，这样同类型的游戏输入设置就很方便了。

设置完键盘输入之后就可以投币开始游戏了。

游戏过程中，使用“模拟”菜单中的save state保存进度，load state读取进度，record movie开始录制录像，play movie播放录像，stop recording/playback停止录制或者播放;使用“声音”菜单下的“记录为wav”录音。

(4)作弊

Nebula支持作弊功能，只要从网上下载相应游戏的作弊码文件(dat)放入Nebula安装目录下的cheats\子目录中，在游戏中从“游戏”菜单选中中金手指，就可以看到数个作弊选项，在每个选项中选中yes启动此项作弊，no则停止作弊

Nebula安装包中提供了少数作弊码文件，另外winkawaks安装包中的作弊码文件也可以用在Nebula中。

(5)联网

与winkawaks一样，Nebula也采用kaillera进行联网。运行Nebula安装目录下的nebulanetexe即可启动即弹出kaillera客户端，联网的方法参考这里。

2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。

Stuxnet蠕虫（俗称“震网”、“双子”）在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，截止到2010年09月全球已有约45000个网络被该蠕虫感染， 其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、600多个不同哈希值的样本实体。 21 运行环境

Stuxnet蠕虫在以下操作系统中可以激活运行： Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中，即刻退出。

被攻击的软件系统包括： SIMATIC WinCC 70 SIMATIC WinCC 62 但不排除其他版本存在这一问题的可能。

22 本地行为

样本被激活后，典型的运行流程如图1 所示。

样本首先判断当前操作系统类型，如果是Windows 9X/ME，就直接退出。

接下来加载一个主要的DLL模块，后续的行为都将在这个DLL中进行。为了躲避查杀，样本并不将DLL模块释放为磁盘文件然后加载，而是直接拷贝到内存中，然后模拟DLL的加载过程。

具体而言，样本先申请足够的内存空间，然后Hookntdlldll导出的6个系统函数： ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 为此，样本先修改ntdlldll文件内存映像中PE头的保护属性，然后将偏移0x40处的无用数据改写为跳转代码，用以实现hook。

进而，样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节，并将要加载的DLL模块拷贝到其中，最后使用LoadLibraryW来获取模块句柄。

图1 样本的典型运行流程

此后，样本跳转到被加载的DLL中执行，衍生下列文件：

%System32%\drivers\mrxclssys %System32%\drivers\mrxnetsys%Windir%\inf\oem7APNF%Windir%\inf\mdmeric3PNF %Windir%\inf\mdmcpq3PNF%Windir%\inf\oem6CPNF其中有两个驱动程序mrxclssys和mrxnetsys，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。这两个驱动程序都使用了Rootkit技术，并有数字签名。

mrxclssys负责查找主机中安装的WinCC系统，并进行攻击。具体地说，它监控系统进程的镜像加载操作，将存储在%Windir%\inf\oem7APNF中的一个模块注入到servicesexe、S7tgtopxexe、CCProjectMgrexe三个进程中，后两者是WinCC系统运行时的进程。

mrxnetsys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件（图2 ）。

图2驱动程序隐藏某些lnk文件

图3 样本的多种传播方式

23 传播方式　Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图3所示。

整体的传播思路是：首先感染外部主机；然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。

231 快捷方式文件解析漏洞（MS10-046）

这个漏洞利用Windows在解析快捷方式文件（例如lnk文件）时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。具体而言，Windows在显示快捷方式文件时，会根据文件中的信息寻找它所需的图标资源，并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中，系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件，使系统加载指定的DLL文件，从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行，无需用户交互，因此漏洞的利用效果很好。

Stuxnet蠕虫搜索计算机中的可移动存储设备（图4）。一旦发现，就将快捷方式文件和DLL文件拷贝到其中（图5）。如果用户将这个设备再插入到内部网络中的计算机上使用，就会触发漏洞，从而实现所谓的“摆渡”攻击，即利用移动存储设备对物理隔离网络的渗入。

图4 查找U盘

拷贝到U盘的DLL文件有两个：~wtr4132tmp和~wtr4141tmp。后者Hook了kernel32dll和ntdlldll中的下列导出函数：

FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施（内核态驱动程序、用户态Hook API）来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。

图5 拷贝文件到U盘

232 RPC远程执行漏洞（MS08-067）与提升权限漏洞

这是2008年爆发的最严重的一个微软操作系统漏洞，具有利用简单、波及范围广、危害程度高等特点。

图6 发动RPC攻击

具体而言，存在此漏洞的系统收到精心构造的RPC请求时，可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播（图6）。利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限（图1），然后再次尝试攻击。截止本报告发布，微软尚未给出该提权漏洞的解决方案。

233 打印机后台程序服务漏洞（MS10-061）

这是一个零日漏洞，首先发现于Stuxnet蠕虫中。

Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求，将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码，从而实现传播和攻击。

图7 利用打印服务漏洞

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示，它向目标主机发送两个文件：winstaexe、sysnullevntmof。后者是微软的一种托管对象格式（MOF）文件，在一些特定事件驱动下，它将驱使winstaexe被执行。

234内核模式驱动程序（MS10-073）

235任务计划程序漏洞（MS10-092）

24 攻击行为

Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统（图8）：

HKLM\SOFTWARE\SIEMENS\WinCC\Setup

HKLM\SOFTWARE\SIEMENS\STEP7

图8 查询注册表，判断是否安装WinCC

一旦发现WinCC系统，就利用其中的两个漏洞展开攻击：

一是WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库（图9）。

二是在WinCC需要使用的Step7工程中，在打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。最终，Stuxnet通过替换Step7软件中的s7otbxdxdll，实现对一些查询、读取函数的Hook。

图9 查询WinCC的数据库

25 样本文件的衍生关系

本节综合介绍样本在上述复制、传播、攻击过程中，各文件的衍生关系。

如图10所示。样本的来源有多种可能。

对原始样本、通过RPC漏洞或打印服务漏洞传播的样本，都是exe文件，它在自己的stud节中隐形加载模块，名为“kernel32dllaslr<随机数字>dll”。

对U盘传播的样本，当系统显示快捷方式文件时触发漏洞，加载~wtr4141tmp文件，后者加载一个名为“shell32dllaslr<随机数字>dll”的模块，这个模块将另一个文件~wtr4132tmp加载为“kernel32dllaslr<随机数字>dll”。

图10 样本文件衍生的关系

模块“kernel32dllaslr<随机数字>dll”将启动后续的大部分操作，它导出了22个函数来完成恶意代码的主要功能；在其资源节中，包含了一些要衍生的文件，它们以加密的形式被保存。

其中，第16号导出函数用于衍生本地文件，包括资源编号201的mrxclssys和编号242的mrxnetsys两个驱动程序，以及4个pnf文件。

第17号导出函数用于攻击WinCC系统的第二个漏洞，它释放一个s7otbxdxdll，而将WinCC系统中的同名文件修改为s7otbxsxdll，并对这个文件的导出函数进行一次封装，从而实现Hook。

第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。

第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中，资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。 31 抵御本次攻击

西门子公司对此次攻击事件给出了一个解决方案，链接地址见附录。下面根据我们的分析结果，给出更具体的措施。

1使用相关专杀工具或手工清除Stuxnet蠕虫

手工清除的步骤为： 使用Atool管理工具，结束系统中的父进程不是winlogonexe的所有lsassexe进程； 强行删除下列衍生文件：

%System32%\drivers\mrxclssys

%System32%\drivers\mrxnetsys

%Windir%\inf\oem7APNF

%Windir%\inf\mdmeric3PNF

%Windir%\inf\mdmcpq3PNF

%Windir%\inf\oem6CPNF 删除下列注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET 2 安装被利用漏洞的系统补丁

安装微软提供的下列补丁文件： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 内核模式驱动程序漏洞（MS10-073） 任务计划程序程序漏洞（MS10-092） 3 安装软件补丁

安装西门子发布的WinCC系统安全更新补丁，地址见附录。

32 安全建议

此次攻击事件凸显了两个问题： 即便是物理隔离的专用局域网，也并非牢不可破； 专用的软件系统，包括工业控制系统，也有可能被攻击。 因此，我们对有关部门和企业提出下列安全建议：

加强主机（尤其是内网主机）的安全防范，即便是物理隔离的计算机也要及时更新操作系统补丁，建立完善的安全策略；

安装安全防护软件，包括反病毒软件和防火墙，并及时更新病毒数据库；

建立软件安全意识，对企业中的核心计算机，随时跟踪所用软件的安全问题，及时更新存在漏洞的软件；

进一步加强企业内网安全建设，尤其重视网络服务的安全性，关闭主机中不必要的网络服务端口；

所有软件和网络服务均不启用弱口令和默认口令；

加强对可移动存储设备的安全管理，关闭计算机的自动播放功能，使用可移动设备前先进行病毒扫描，为移动设备建立病毒免疫，使用硬件式U盘病毒查杀工具。 相比以往的安全事件，此次攻击呈现出许多新的手段和特点，值得我们特别关注。

41 专门攻击工业系统

Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制（SCADA）系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行于Windows平台，常被部署在与外界隔离的专用局域网中。

一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。这也表明攻击的意图十分明确，是一次精心谋划的攻击。

42 利用多个零日漏洞

Stuxnet蠕虫利用了微软操作系统的下列漏洞： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 内核模式驱动程序漏洞（MS10-073） 任务计划程序程序漏洞（MS10-092） 后四个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大规模的使用多种零日漏洞，并不多见。

这些漏洞并非随意挑选。从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞实现U盘传播。

另一方面，在安天捕获的样本中，有一部分实体的时间戳是2013年3月。这意味着至少在3月份，上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发，漏洞才首次披露出来。这期间要控制漏洞不泄露，有一定难度。

43 使用数字签名

Stuxnet在运行后，释放两个驱动文件：

%System32%\drivers\mrxclssys

%System32%\drivers\mrxnetsys

这两个驱动文件伪装RealTek的数字签名（图7）以躲避杀毒软件的查杀。目前，这一签名的数字证书已经被颁发机构吊销，无法再通过在线验证，但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名，因此有可能被欺骗。图11 Stuxnet伪造的数字签名

44 明确的攻击目标

根据赛门铁克公司的统计，7月份，伊朗感染Stuxnet蠕虫的主机只占25%，到9月下旬，这一比例达到60%。

WinCC被伊朗广泛使用于基础国防设施中。9月27日，伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解，该核电站原计划于2013年8月开始正式运行。因此，此次攻击具有明确的地域性和目的性。 51 工业系统安全将面临严峻挑战

在我国，WinCC已被广泛应用于很多重要行业，一旦受到攻击，可能造成相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故。

对于Stuxnet蠕虫的出现，我们并未感到十分意外。早在去年，安天就接受用户委托，对化工行业仪表的安全性展开过研究，情况不容乐观。

工业控制网络，包括工业以太网，以及现场总线控制系统早已在工业企业中应用多年，目前在电力、钢铁、化工等大型重化工业企业中，工业以太网、DCS（集散控制系统）、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC，大多数同样基于Windows-Intel平台，工业以太网与民用以太网在技术上并无本质差异，现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击，例如通过局域网传播的恶意代码之外，还可能遭到针对现场总线的专门攻击，不可轻视。

针对民用/商用计算机和网络的攻击，目前多以获取经济利益为主要目标，但针对工业控制网络和现场总线的攻击，可能破坏企业重要装置和设备的正常测控，由此引起的后果可能是灾难性的。以化工行业为例，针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控，导致反应器超温/超压，最终就会导致冲料、起火甚至爆炸等灾难性事故，还可能造成次生灾害和人道主义灾难。因此，这种袭击工业网络的恶意代码一般带有信息武器的性质，目标是对重要工业企业的正常生产进行干扰甚至严重破坏，其背景一般不是个人或者普通地下黑客组织。

目前，工业以太网和现场总线标准均为公开标准，熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此，对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的： 基于Windows-Intel平台的工控PC和工业以太网，可能遭到与攻击民用/商用PC和网络手段相同的攻击，例如通过U盘传播恶意代码和网络蠕虫，这次的Stuxnet病毒就是一个典型的例子。 DCS和现场总线控制系统中的组态软件（测控软件的核心），目前其产品，特别是行业产品被少数公司所垄断，例如电力行业常用的西门子SIMATIC WinCC，石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系，Stuxnet病毒的攻击目标正是WinCC系统。 基于RS-485总线以及光纤物理层的现场总线，例如PROFIBUS和MODBUS（串行链路协议），其安全性相对较好；但短程无线网络，特别是不使用Zigbee等通用短程无线协议（有一定的安全性），而使用自定义专用协议的短程无线通信测控仪表，安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表，其无线通信部分采用通用24GHz短程无线通信芯片，连基本的加密通信都没有使用，可以说毫无安全性可言，极易遭到窃听和攻击，如果使用，将成为现场总线中极易被攻击的薄弱点。 工业控制网络通常是独立网络，相对民用/商用网络而言，数据传输量相对较少，但对其实时性和可靠性的要求却很高，因而出现问题的后果相当严重。

传统工业网络的安全相对信息网络来说，一直是凭借内网隔离，而疏于防范。因此，针对工业系统的安全检查和防范加固迫在眉睫。

双机互联

双机互联方法很多，你可以使用两块以太网卡，通过非屏蔽双纹线(UTP)连接；也可以通过串口或并口直接连接，或使用USB接口连接，还可以利用计算机的红外线接口无线连接以及通过两台MODEM通过拨号实现远程共享等等。在这些方法中，用两块网卡通过双绞线连接是最简单方便同样也是最常用的一种连接方式，下面我们就着重介绍通过这种方式来实现双机互联。

一、通过网卡互联

1、网线的制作

在连接网络之前，我们首先应该考虑的是网线的制作。一般若使用双绞线组建网络，需要一个集线器（HUB），通过集线器联网时，双绞线的夹线方法非常容易，只需把两头的网线一一对应的夹好就可以了， 夹线顺序是两边一致，统一都是：1、白橙、2、橙、3、白绿、4、蓝、5、白蓝、6、绿、7、白棕、8、棕。注意两端都是同样的线序且一一对应。这就是100M网线的做线标准，即568B标准，也就是我们平常所说的正线或标准线。

可是作为只有两台机器的小网络，买一台几百元的集线器有点太浪费了，事实上我们可以不用集线器而用网线直接把两台电脑连接起来，不过这时候网线的做法就要有一些小小的改变，通过改变网线的顺序来实现不用集线器的双机互联。具体的做法是：一端采用上述的568B做线标准不变，另一端在这个基础上将这八根线中的1,3号线和2,6号线互换一下位置，这时网线的线序就变成了：1、白绿、2、绿、3、白橙、4、蓝、5、白蓝、6、橙、7、白棕、8、棕。 这就是100M网线的568A标准，也就是我们平常所说的反线或交叉线。按照一端568B，一端568A的标准排列好线序并夹好后，一根适用于两台电脑直接连接的网线就做好了。

2、网卡的安装

网线做好后，下一步需要做的是安装网卡。这里我们以TP－LINK TF－3239V网卡(10M/100M双速自适应网卡，采用REALTEK8139主芯片)在WIN98下的安装过程为例做一个简单介绍。

首先关闭主机电源，将TF－3239V网卡插在主板一个空闲的PCI插槽中，插好后固定，然后启动WIN98，进入WIN98后系统将提示找到新硬件，进入硬件安装向导，开始搜索驱动程序，我们选择“指定一个位置”，然后找到网卡驱动程序所在的路径（如a:\win98）,选定后点击确定，此时系统将开始拷贝所需文件，完成后系统将提示是否重启动，点击确定后系统重启，这时网卡的安装过程就顺利完成了。在WIN2000等其他作系统下的网卡安装过程与之类似，这里不再重复。

3、网络的设置

网卡安装好后，下面是双机互联的最后一步同样也是最难的一步：网络设置。这里我同样以WIN98下的网络设置为例。 首先我们要检查系统的网络组件是否已安装完全：在桌面上选定“网上邻居”，点右键打开其属性，在配置列表中是否有如下几项：REALTEK8139 NETWORK ADAPTER (网卡)，MICROSOFT网络客户(服务)， TCP/IP协议(协议)，MICROSOFT网络上的文件与打印机共享服务(服务)。要连接一个局域网并共享资源，以上组件是必不可少的，如果没有可在此处直接添加。 然后是设置IP地址，选择“TCP/IP-à REALTEK8139 NETWORK ADAPTER”（即网卡的TCP/IP协议设置），打开其属性，在IP地址栏中输入“192,168,0，1”，子网掩码为“255,255,255,0”，然后点击“确定”，回到“网络”主画面 (另外一台电脑的IP地址为“192,168,0，2”，子网掩码一样)，在标识项中，你应该为两台计算机输入各自不同的名称，但其工作组应相同，在访问控制项中选取共享级，点击“确定”，再根据提示重新启动计算机。 待重新启动电脑时要注意进行网络登录。电脑完成启动进入Win98界面，在“我的电脑” 中用鼠标右键选中需要共享的驱动器或文件夹，单击快捷菜单中的“共享”，在对话框中输入共享名，按需要设置共享类型和访问口令。这时，驱动器或文件夹会出现一个手掌，表示已经共享。现在我们就可以通过网上邻居象使用本机资源一样访问另外一台计算机了。

二、直接电缆连接

采用直接电缆通过计算机的串口或并口进行连接也是实现双机直联的一种常用解决方案。相对于使用网卡连接而言，这种方案对于联网质量要求不是很高的用户比较实用，其优点主要是连接方便和费用低廉，当然，它的不足之处很明显：

1连接距离相对较短：

采用“直接电缆连接”的并口电缆线长度最好不要超过3米，在这个距离范围之内才能保证我们在进行数据传输时的稳定和完整。这种方式对于两台距离很近的电脑连接比较适用。如果你想连接更远距离的电脑，这种连接方式肯定是不行的；

2采用串口电缆相连时：

传输数据的速度可能较慢，所以你如果连接两台电脑主要是用于玩游戏，这种方式一般是不适宜的。但总的来说，直接电缆连接在你只有两台电脑时，是一种既省钱又简便的组网好方法。 要实现双机直接电缆连接，通讯电缆是必不可少的配件，建议到当地的电脑商店或网络公司直接购买。它主要分为串口电缆和并口电缆两种。需要留意的是，要选择用于电脑和电脑相连的通讯电缆，不要选电脑与打印机等外设相连的通讯电缆。这两种电缆线在一般情况下是不能互换使用的。 买好电缆线后，用它把两台电脑连接起来。然后启动计算机，进入Win98系统。选择“开始”→“程序”→“附件”→“通讯”→“直接电缆连接”（如没有，添加方法是“控制面板”→“添加／删除程序”→“Windows安装程序”→“通讯”→“直接电缆连接”。并在“网络”中设置好“协议”、“标识”与“共享” 等，与前所述用网卡连接的网络设置一样），根据提示设置好端口，并将其中一台设为服务器，另一台设为客户机。在“直接电缆连接”的选项中主机选“侦听”，客户机选“连接”，然后输入你的用户名和口令等即可成功连接，实现双机互联。这时客户机就可使用主机上包括网络资源在内的各种资源，你再也不会为家里或办公室内的电脑间交换数据时，需要将硬盘取来取去的事情而烦恼了。

以上是实现双机互联最简单同时也是最常用的两种方法，其他如用红外线端口连接，通过MODEM远程共享等方法还有很多,这里限于篇幅就不一一介绍了。

======================================

我们要知道局域网最大的特点就是可以实现资源的最佳利用，如：共享磁盘设备、打印机等，从而可以在组建的局域网内部互相调用文件，并可在任何一台共享打印机上进行打印；当然我们也可以借助Wingate或Sygate等软件多机共享一台Modem上网；或者通过代理服务器连上Internet，享受非一般的速度。如果你家里有一台以上的电脑，如果你想把你的电脑游戏室升级到网吧，那么你得考虑把它们连成局域网。

别以为很难，其实如果只是组建一个小型的局域网，我们只要添置几块网卡和一些数据线，就可以自己动手“丰衣足食”。我们知道，Win98内置了点到点(pc to pc)的网络配置能力，这使建立小型网络变得简单。如果你的局域网有很多台机，那么您需要一个成熟的网络操作系统来管理网络，例如：WinNT、Netware或Linux等。

串并口通讯联网

如果你只是想把两台装有Windows系列操作系统的PC连接起来，我们可以直接通过计算机的串、并口，利用串、并行通讯电缆(pc to pc)，把两台微机连接好后，在Windows的“控制面板/网络”下的“适配器”中选Microsoft的“拨号网络适配器”和“协议”中的“IPX/SPX兼容协议”及“NetBEUI协议”。然后启动“控制面板”，选择“添加/删除程序”，单击“安装Windows程序”，选择“通讯”，单击“直接电缆连接”，再利用Windows安装盘进行安装。安装好后，重新启动计算机。选定一台计算机作主机，在主机“我的电脑”中用右键某一驱动器(如C驱)，选择“共享”，选好共享级别。分别在两机的附件中运行“直接电缆连接”，在主机上，选择所用的通讯端口。选另一台作客户机，按提示操作，稍等片刻，联机完成。打开“客户机”桌面上的“网上邻居”，你会发现你不再孤独了，你可通过“网上邻居”访问你的主机，也可以通过“映射网络驱动器”的方法将网络驱动器映射为自己的虚拟物理驱动器，更妙的是如果你所联的主机已经上了局域网，那么你还能通过主机访问所有的网上资源。而且在你访问的同时，并不影响主机的正常工作，这一点对于笔记本电脑的用户尤为有利。

网卡通讯联网

当微机(pc)多于两台的话，就需要用到网卡、网线和集线器(HUB)。如果局域网中没有网卡，就如河流没有桥梁架在两岸一样。网卡是网络接口卡NIC(NETWORK Interface Card)的简称，它是局域网最基本的组件之一。网卡安装在网络计算机和服务器的扩展槽中，充当计算机和网络之间的物理接口，因此可以简单地说网卡就是接收和传送数据桥梁。网卡根据传输速率可分为：10Mbps网卡(ISA 插口或PCI插口)、100Mbps PCI插口网卡、10Mbps/100Mbps自适应网卡和千兆网卡。目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额，但由于10Mbps ISA插口网卡的网络传输速率低，且占用大量的CPU资源，只适应于那些对速度要求不高的局域网，因此我推荐用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡，价格不贵又能够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。

在选择网线时要先看你所购买的网卡的接口类型，网卡的接口有两种类型(RJ45和BNC)：BNC口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45是采用双绞线作为传输媒介的一种网卡接口，RJ45的接口酷似电话线的接口，但网络线使用的是8芯的接头，使用RJ45的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用RJ45接口。集线器 (HU：根据微机的数量，利用 HUB构成星形结构，在工作站较多的情况下，会因 HUB的处理速率远远低于通信线路的传输速度，从而造成瓶颈问题。因此有条件的话可选用交换机。一个 Hub所组成的域称为冲突域，也就是说，网络上任何一台计算机在收发数据时，其他所有计算机都能够收到，且这些计算机不能同时进行数据的收发，否则会发生碰撞(CSMA/ CD协议会阻止碰撞 )。此外每台接入 Hub的计算机，都要检测接收到的数据目的地址，以确认是否是收到自己的通信信息，因此计算机 CPU占用率高，全网通信效率低，只适用于小型工作组级别应用。

集线器HUB或者交换机的作用：

(1)每个双绞线接口只与一个工作站 (网卡)相连，信号点对点传输。

(2)当某一端口接收到信号时，HUB将其整形再生并广播到其他每个端口。

(3)HUB本身可自动检测信号碰撞，当碰撞发生时立即发出阻塞 (jam)信号通知其他端口。

(4)某一端口的传输线或网卡发生故障时，HUB自动隔离该端口，使其不影响其他端口的正常工作，因为现在的100MB的交换机价格很便宜，所以一般都选择100Mbps的网卡和100M的交换机。

局域网所需的组件都已经齐了，现在就以在现时最稳定的个人操作系统Windows2000 Professional为基础跟我来一步一步组建局域网吧。

连接局域网的步骤：

1、安装网卡。关闭计算机，打开机箱，找到一空闲PCI插槽(一般为较短的白色插槽)，插入网卡，上好螺丝。

2、连接网线。将网线一头插在网卡接头处，一头插到交换机或HUB上。

3、安装网卡驱动程序。打开计算机，操作系统会检测到网卡并提示您插入驱动程序盘。插入随网卡销售的驱动程序盘，然后单击“下一步”，Windows找到驱动程序后，会显示确定屏幕，单击“下一步”。如果Windows没有找到驱动程序，单击“设备驱动程序向导”中的“浏览”按钮来指定驱动器的位置。如果您的驱动程序不是最新的版本，可以打开“设备管理”，运行“更新设备驱动程序器向导”，双击“网络适配器”，然后选中您的网卡，选择“驱动程序”键，单击“升级驱动程序”按钮。Windows会提示您插入Windows安装盘，按照提示操作即可。您还必须为网络中的每一台计算机指定一个唯一的名字和相同的工作组名(例如默认的Workgroup)，然后再重新启动计算机。具体操作为在桌面“我的电脑”图标上点右键，单击“属性”。在弹出的对话框里点击“网络标识”，再点击“属性”，在“计算机”名中填入你想要指定的机器名，在工作组中填入统一的工作组名，点击确定完成。

4、安装必要的网络协议。在桌面“网上邻居”图标上单击右键，点击“属性”，在“本地连接”图标上单击右键，在弹出的属性对话框里点击“安装”，双击“协议”安装“Internet协议(TCP/IP)”，双击“客户”安装“Microsoft网络客户端”，重新启动计算机。

5、实现网络共享。在桌面“网上邻居”图标上单击右键，点击“属性”，在“本地连接”图标上单击右键，在弹出的属性对话框里点击“安装”，双击“服务”安装“Microsoft网络的文件和打印机共享”，单击“确定”，需重新启动计算机后这些设置才有效。如果您要共享驱动器或目录，在资源管理器中或桌面上，打开“我的电脑”，右击欲共享的驱动器或目录，选择“共享”，填写相应的内容。如果选择共享整个驱动器，则该驱动器下的所有目录均为网络共享。打开“网络邻居”图标可以得到网络上计算机的列表。双击您欲访问的计算机，进入驱动器。要想映射网络驱动器，请查阅Windows帮助文件。如果在使用网络访问打印机或别的计算机时出现问题，请检查您的网线连接，保证连线和共享设置正确。

6、设置可任选的启动口令安装网络驱动程序后第一次启动计算机时，会弹出一对话框提示您键入Microsoft网络的用户和口令。键入用户名，以后每次启动计算机时它会自动显示(可以使用第三步中指定的计算机名)。如果不想设置口令，将口令行置空，然后“确定”，否则键入口令，并确定口令。如果输入的口令与设置的口令不符，则计算机虽可在本地运行操作系统，但不能上网共享资源。

局域网就是将单独的微机或终端，利用通信线路相互连接起来，遵循一定的协议，进行信息交换，实现资源共享。其中，通信线路，即传输介质常用的有：双绞线、同轴电缆、光纤等。从性价比和可维护性出发，大多数局域网使用非屏蔽双绞线(UTP—Unshielded Twisted Pair)作为布线的传输介质来组网。

网线由一定距离长的双绞线与RJ45头组成。双绞线由8根不同颜色的线分成4对绞合在一起，成队扭绞的作用是尽可能减少电磁辐射与外部电磁干扰的影响，双绞线可按其是否外加金属网丝套的屏蔽层而区分为屏蔽双绞线（STP）和非屏蔽双绞线（UTP）。在EIA/TIA-568A标准中，将双绞线按电气特性区分有：三类、四类、五类线。网络中最常用的是三类线和五类线，目前已有六类以上线。第三类双绞线在LAN中常用作为10Mbps以太网的数据与话音传输，符合IEEE8023 10Base-T的标准。第五类双绞线目前占有最大的LAN市场，最高速率可达100Mbps，符合IEEE8023 100Base-T的标准。做好的网线要将RJ45水晶头接入网卡或HUB等网络设备的RJ45插座内。相应地RJ45插头座也区分为三类或五类电气特性。RJ45水晶头由金属片和塑料构成,特别需要注意的是引脚序号,当金属片面对我们的时候从左至右引脚序号是1-8, 这序号做网络联线时非常重要,不能搞错。双绞线的最大传输距离为100米。

EIA/TIA的布线标准中规定了两种双绞线的线序568A与568B。

标准568A：橙白--1，橙--2，绿白--3，蓝--4，蓝白--5，绿--6，棕白--7，棕--8；

标准568B：绿白--1，绿--2，橙白--3，蓝--4，蓝白--5，橙--6，棕白--7，棕--8。

在整个网络布线中应用一种布线方式，但两端都有RJ-45 plug 的网络联线无论是采用端接方式A，还是端接方式B， 在网络中都是通用的。双绞线的顺序与RJ45头的引脚序号--对应。10M以太网的网线使用1，2，3，6编号的芯线传递数据，100M以太网的网线使用4，5，7，8编号的芯线传递数据。为何现在都采用4对(8芯线)的双绞线呢？这主要是为适应更多的使用范围，在不变换基础设施的前提下，就可满足各式各样的用户设备的接线要求。例如,我们可同时用其中一对绞线来实现语音通讯。

布线标准中规定了两种双绞线的线序 568A与568B。一般网络布线系统采用的是568B的接线方式。

标准 568B：橙白--1，橙--2，绿白--3，蓝--4，蓝白--5，绿--6，棕白--7，棕—8

100BASE-T4 RJ-45对双绞线的规定如下： rj45水晶头,RJ45头,水晶头,网络接头,RJ45,布线接头

1、2用于发送，3、6用于接收，4、5，7、8是双向线。

1、2线必须是双绞，3、6双绞，4、5双绞，7、8双绞。