寄生都市游戏失败画面

屏幕中会出现红色字体失败。

一种情况是taptap服务器出故障了，正在维修中，需要工作人员维护好后才能正常玩游戏。还有一种情况是作为未成年玩家被防沉迷限制了。

寄生都市是一款模拟现代职场上的各种生活，游戏结合现代化的元素在其中，看一个小人物如何逆袭成为商业巨鳄，从大学毕业找到属于自己的一份工作，开始人生的第一次投资来赚取创业的第一桶金，创立属于自己的公司。

　　PS模拟器使用介绍

　　模拟器初步认识

　　1什么是模拟器？

　　我喜欢用这样的比喻来解释模拟器：一个软解压VCD播放软件，比如超级解霸，你可以称它为VCD播放软件，也可以叫它影碟机模拟器。一般来说，模拟器是一种计算机应用程序，它可以使某个硬件平台上的程序软件在其他的平台上运行。也有称模拟器为仿真器的，但除了感觉充满书呆子气味外并不显得更加专业。模拟器的概念出现时间相当早，几乎是伴随整个电脑技术的发展的，但我们现在所常常接触的模拟器则是在近7、8年才出现的。

　　2模拟器可以用来做什么？

　　至少我们可以肯定它不能吃也不能喝。模拟器最大的功能是在不同的硬件上运行相同的软件,从逻辑上来说，计算机的硬件和软件是等效的，所以软件可以在硬件环境下运行，也同样可以在软件环境下运行。根据被模拟的硬件，这些软件可以是计算机应用软件、影碟……当然也可以是游戏。一个好的模拟器可以精确再现这些软件的原貌，包括功能、图形和操作等等，尽管我们可能永远也无法100%还原硬件的全部功能，但就实际运行状况来说，还是可以达到很完美，或者超完美的程度的。在模拟器提供这些功能的前提下，你如何使用这些功能就完全不受限制了，你可以用来调试软件的运行状态，也可以干脆直接使用这些软件——玩。

　　3我们为什么要用模拟器？

　　不同的人会有不同的理由。我们作为普通使用者，使用模拟器的最大理由是可以不必购买硬件而玩这些硬件上的游戏软件。尽管你还可以提出许多其他的模拟器的好处，比如说画面的增强、即时存档和金手指等，但无可否认，大多数的人是冲着“免费玩游戏”这样的诱人口号进到这个圈子里来的。但我在这里必须提醒你，如果你因为在事实上的确享受到了免费的游戏而认为这是合理又自然的事情，那么你毫无疑问将是LAMER的接班人。

　　4我是新手，如何学会使用模拟器？

　　基本的电脑知识是必要的，阅读模拟器软件的说明文件，访问模拟器的官方网站，都可以帮助你得到关于这个模拟器详细使用信息。唯一的问题是语言，如果你像我一样是个英文半盲或者全盲，你该考虑的是去参加英文补习班或者钟情于某个翻译软件，而不是在模拟器站点的论坛上喋喋不休。所谓的勤学好问，绝不意味着指望别人帮你把蛋糕作好并端到你面前。

　　5运行模拟器的硬件条件是什么？

　　因为模拟器软件本身的特殊性，所以并没有一个泛用的硬件配置可供参考。你只能尽最大努力提高自己PC配置，并祈祷这个配置足够运行你希望运行的模拟器。单独某个模拟器所需要的配置通常可以在模拟器的说明文件中找到，但像MAME这样的怪物级模拟器，这样的配置通常起不了什么作用。需要注意的是，如果在高速CPU和高速显卡中选择一样的话，CPU无疑更加重要，其次是大容量的内存。

　　6模拟器是谁写的？为什么写？

　　如果让我说，编写模拟器的CODER无疑是天才。他们是群杰出的软件程序员，精通软件编程和硬件系统原理。大多数免费的模拟器的作者都是出于兴趣，以及无私的共享精神，而编写，发表模拟器的。这样的人无疑应该获得你我的尊敬。收费模拟器的作者通常会在使用者的圈子里受到一定排斥，但通常他们的作品都是模拟器中的精品。他们必须为用户所付出的金钱负责，并把模拟器开发作为一项工作。但无论怎么样，编写模拟器的CODER和用户之间都是周俞打黄盖，CODER没有一定要编写模拟器的义务，用户也没有一定使用的必要。

　　7我在哪里可以得到模拟器？

　　通常模拟器都会有一个由作者建立的官方网站。在这里你可以得到最新公众版。但一般模拟器的官方站点不会提供给你诸如BIOS等可能是模拟器运行所必须的，但却是有版权的文件。另外一些非官方的修改版（Hack版）、以及收费模拟器的破解版（Crack版）模拟器往往不会在正式的模拟器网站发表，你需要从非官方途径获得这些模拟器的下载地点，当然也一定会有不在乎版权的站点放这些模拟器，而且这样的站点也不在少数。

　　8什么是ROM？

　　我们称模拟器运行的软件叫做ROM。这源于这些软件最早是保存在ROM芯片中，就像你从FC卡带上看到的芯片一样。现在这些软件的载体有了改变，比如变成硬盘或者光盘，但习惯上我们仍然称之为ROM。ROM本身是对游戏程序原文的一个拷贝，他可以被任何相应硬件的模拟模拟器所运行，并不存在专属性质。街机的ROM通常会以复数形式出现，这是因为街机所使用的电路板PCB上所使用的ROM芯片不止一个的缘故，这个时候，按照模拟器的要求进行ROM的设置（如改名，压缩等等）就很重要。

　　9ROM是从哪里来的？

　　ROM来自于Dumper，他们将ROM从原来的数据载体中复制到电脑硬盘上，这个过程称做Dump。Dumper可能并不精通编程，但却非常了解硬件原理，知道如何从硬件中复制出数据。至于Dumper是处于什么目的来进行Dump工作就不一定了。有些是处于兴趣爱好，另外一些则是处于利益，比如帮助制作盗版。Dumper通常是被厂商所直接仇视的对象，因为即使是出于非商业利益的目的而散布ROM，也同样损害了厂商的利益。所以现在的Dumper还经常起到调节模拟进度的作用，典型的例子是CPS2Shock发表XOR表的三年期限。

　　ROM在没有被模拟之前，其正确性通常没有办法验证，所以除非Coder或者Dumper确定那是错误的，否则那就是正确的。

　　10我从什么地方可以得到ROM？

　　一般来说，你可以从很多模拟器站点找到ROM的下载连接。如果你希望能以最快的速度得到最新的ROM而不是等待ROM站点将ROM放到本地后再公开下载连接的话，你可以尝试访问ROM Dump小组的IRC频道，在IRC的文件服务器上你可以与模拟器站长同时间得到最新发表的ROM。同样的地方还有新闻组，电子小组等等。但真正意义上的最新ROM，一般是不会在能够被模拟前流传到普通用户手上的。

　　PS模拟器常见问题集合

　　游戏模拟器的发展并不顺利，PSEMU Pro虽然开放，但是兼容性太差，被Bleem�彻底淘汰，可Bleem�商业气氛太浓，失去了软件自由的天性。这个时候VGS（Connectix Virtual GameStation）出现了，虽然VGS不支持3D加速功能，但是免费，而且对系统要求降了不少，依然受到游戏FANS的追捧，可惜VGS已经好久没有更新，让人失望。

　　VGS虽然不支持3D加速功能，但是免费，可惜已经好久没有更新，让人失望。不过最后的才是最好的，ePSXe继承了Bleem!的大部分特性，支持3D加速，支持插件，而且对游戏的兼容也非常不错，更为重要的是，和VGS一样，ePSXe是免费的，版本升级也相当迅速，成为目前最流行的PS模拟器之一。

我去过“北京汉王科技有限公司”，在上地软件园，民族自主产业，公司规模不小，网管有五位左右，他们用的就是“趋势”杀毒软件，但效果并不理想，病毒总是不能被清除掉，而且我个人也测试过，跟其它杀软也对比过，功能确实不怎么样。

建议你使用非常好的杀毒软件--Mcafee VirusScan Enterprise 85i产品，该产品包括两部分：(我不是做广告的，只是自己的使用心得，你自己掌握，仅做参考，当然可以一块儿研究，建议你自己在虚拟机上反复做实验，希望你能成功！)

1）计算机防病毒客户端：McAfee VirusScan 85i，包括各种Windows平台工作站、服务器防病毒客户端，Unix和Linux服务器平台防病毒客户端；Windows平台的客户端有On-Access实时扫描保护和On-Demand定制定时扫描两部分，Unix和Linux平台为Command Line定制定时扫描。

2）防病毒管理服务器：McAfee ePolicy Orchestrator 36。

McAfee网络防病毒系统建立后，将达到以下防病毒效果：

1）主动的病毒防护，McAfee防病毒客户端不需要病毒签名就可以阻挡未知蠕虫病毒；

2）Spyware过滤，McAfee防病毒系统集成了业界最强大的Spyware探测清除模块；

3）Windows平台微软安全补丁安装状态检测和报警，并且提供详细的报表；

4）能够自动探测未受保护的计算机

5）能够自动探测外来用户电脑接入内部网络；

6）对网络内的应用服务器进行全面防护，包括Unix/Linux服务器，从而切断病毒在服务器内的寄生和传播；

7）对所有的客户机进行全面防护，彻底消除病毒对客户机的破坏，保证所有工作人员都有一个干净、安全的计算机平台

8）防病毒管理服务器能够检测微软安全漏洞和补丁安装情况，并且给出详细报表和通知；

9）通过分层的防病毒管理服务器实现分布式自动更新和分层分地域分权管理；

10）技术领先的病毒爆发响应，同过不需签名防护蠕虫病毒技术，端口锁定、文件、文件夹锁定和通知功能，使得在病毒爆发阻止和病毒爆发快速响应方面具有完善有效的技术手段。

完全自动化的更新

McAfee AutoUpdate TM 保证通过http，ftp，UNC共享，本地或映射驱动进行快速更新。

更新信息包括小型增量DAT，完整DAT，引擎更新，ExtraDAT，SP或hot-fix等。

基础知识

1、计算机系统的安全需求是什么？

答：为了保证系统资源的安全性、完整性、可靠性、保密性、可用性、有效性和合法性，为了维护正当的信息活动，以及与应用发展相适应的社会公共道德和权利，而建立和采取的组织技术措施和方法的总和。

安全性：标志防止非法使用和访问的程度。

完整性：标志程序和数据能满足预定要求的完整程度。

可靠性：计算机在规定条件下和规定时间内完成规定功能的概率。

保密性：利用密码技术对信息进行加密处理，以防止信息泄漏。

可用性：对符合权限的实体提供服务的程度。

有效性和合法性：接受方应能证实它所受到的信息内容和顺序都是真实的，应能检验受到的信息是否是过时或重播的消息。

2、计算机安全措施包括哪三个方面？

答：1、安全立法：包括社会规范和技术规范。

2、安全管理：包括社会规范人员培训与教育和健全机构、岗位设置和规章制度。

3、安全技术。

3、系统安全对策的一般原则是什么？

答：1、综合平衡代价原则、

2、整体综合分析和分级授权原则；

3、方便用户原则；

4、灵活适应性原则；

风险评估

1、什么是风险？风险的特性是什么？如何解决系统中遇到的风险

答：风险是伤害和损失的可能性；特性（核心因素）是不确定性，而且任何生意都有风险；

实施方法：1、清除风险：采取某种措施彻底消除一个威胁；

2、减轻风险：通过某些安防措施减轻威胁的危害；

3、转移风险：把风险后果从自己的企业转移到第三方去。

2、计算机安全需要保护的资产包括哪些？

答：硬件：各种服务器，路由器、邮件服务器、web服务器。

软件：网络服务和协议，传递的信息，访问权限。

3、风险评估分为哪几个步骤？那几部最关键？

答：第一布：资产清单、定义和要求；第二步：脆弱性和威胁评估；第三步：安防控制措施评估；第四步：分析决策和文档；第五步：沟通与交流；第六步：监督实施；

关键步骤：第一步、第二步、第五步

4、风险评估需要解决什么问题？

答：1、什么东西会出现问题？2、如果它发生，最坏的情况是什么？3、出现的频率4、前三个问题的答案有多肯定？5、可以采取什么措施消除、减轻和转移风险？6、它需要划分多少钱？7、它多有效？

身份验证

1、身份验证主要解决什么问题？

答：1、你是谁？2、你是属于这里的么？3、你有什么样的权限？4、怎么才能知道你就是你声称的那个人？

2、身份认证的方法有哪些？最常用的方法有哪些？

答：1、用户ID和口令字；2、数字证书；3、SecurID；4、生物测定学；5、Kerberos协议（网络身份验证协议）；6、智能卡；7、iButton(电子纽扣)；

最常用的有：1、2

3、怎样的口令是强口令？

答：（1）它至少要有七个字符长 （2）大小写字母混用

（3）至少包含一个数字 （4）至少包含一个特殊字符

（5）不是字典单词、不是人或物品的名称、也不是用户的“珍贵”资料

4、什么是单站式签到技术？采用单站式签到技术会存在哪些问题？

答：用户表明一次自己的身份并得到验证，再进入自己有权访问的其他系统或软件时不用再次表明自己身份。问题有：1、单站式签到技术是否安全；2、黑客的单站式攻击点；3、遇到系统故障或拒绝服务怎么办；4、如何跨平台支持；

网络体系结构和物理安防措施

1、VLAN按地址类型划分可以分四种方式

包括：1、根据（端口）地址划分；

2、根据（MAC）地址划分；

3、根据（IP）地址划分；

4、通过（IP）广播地址划分；

2、举出计算机安全3个物理安防的措施？

答：1、安装声像监控；2、门锁；3、安一扇坚固的门；4、灾难预防；5、雇用优秀的接待人员；6、选择房间位置；7、工作站的安防措施；8、注意天花板；9、使用不间断电源（UPS）；

3、安防网络体系结构的配置有哪三种常见的配置方案？

答：1、中央型公司；2、使用了托管服务的中央型公司；3、分公司；

防火墙和网络边防

1、什么是防火墙？防火墙应具备什么功能？

答：防火墙是监视和控制可信任网络和不可信任网络之间的访问通道。

功能：1、过滤进出网络的数据包；2、管理进出网络的行为；3、封堵某些禁止的访问行为；4、记录通过防火墙的信息内容和活动；5、对网络攻击进行检测和告警；

2、防火墙实现技术有（数据包过滤器）、（代理）和（状态分析）三种方式。

3、防火墙基本设置方针是什么？一般设计防火墙用那种方针？

答：1、拒绝一切未赋予特许的东西（安全性高）；2、允许一切未被特别拒绝的东西（灵活性好）；第一种方针好，一般采用第一种方针设计防火墙。

4、过滤控制点主要设置在哪三层？

答：（1）源IP和目的IP，以及IP Options

（2）在TCP头中的源端口和目的端口号以及TCP标志上

（3）基于特定协议分别设定

5、什么是NAT？

答：NAT就是网络地址翻译。

6、防护墙体系结构如何选择？

答：1、根据自己公司的情况选择技术合适的防火墙；

2、是使用硬件防火墙还是使用软件防护墙；

3、防火墙的管理和配置是由企业自己来完成还是把这些任务交给一家受控服务提供商。

入侵检测

1、入侵检测系统分为哪几中类别？最常见的有哪些？

答：（1）应用软件入侵监测 （2）主机入侵监测 （3）网络入侵监测 （4）集成化入侵监测

2、入侵检测系统应该具备哪些特点？

答：1、自动运行；2、可以容错；3、无序占用大量的系统资源；4、能发现异常行为；5、能够]适应系统行为的长期变化；6、判断准确；7、可以灵活定制；8、保持领先。

3、入侵行为的误判分为（正误判）、（负误判）和（失控误判）三种类型。

正误判：把一个合法操作判断为异常行为；

负误判：把一个攻击行为判断为非攻击行为并允许它通过检测；

失控误判：是攻击者修改了IDS系统的操作，使他总是出现负误判；

4、入侵检测系统的分析技术最常用的方法是哪三类？

答：1、签名分析法；2、统计分析法；3、数据完整性分析法；

“签名分析法”主要用来监测有无对系统的已知弱点进行的攻击行为。

“统计分析法”以系统正常使用情况下观测到的动作模式为基础，如果某个操作偏离了正常的轨道，这个操作就值得怀疑。

“数据完整性分析法”可以查证文件或者对象是否被别人修改过。

远程访问

1、使用远程访问的人员有哪些？

答：1使用电信线路上网

2旅行中的员工

3网络管理员

4商务伙伴和供应商

2、远程解决方案的基本要求包括哪些？

答：1安全防护

2成本

3可扩展性

4服务质量

5实施、管理和使用方面的易用性

6用户的身份验证

主机的安全保护

1、什么是操作系统的硬化？包括那几步？

答：在细致分析的基础上尽可能的减少它与外界的交流渠道，尽可能的减少在它上面运行的不必要的服务项目。

步骤1：把供应商推荐的安防补丁都打好。

步骤2：取消不必要的服务

步骤3：紧固子目录/文件的访问权限。

步骤4：明晰用户权限，严禁控制用户的访问权限。

2 、实施主机安防步骤包括那些：

答：1 分析计算机将要执行的功能

2 把供应商推荐的安防补丁都打好

3 安装安防监控程序

4 对系统的配置情况进行审查

5 制定的备份和恢复流程

3、 windows 2000 pro 操作系统的硬化主要包括(20选10)

1)禁用登陆信息缓冲功能

2)禁用”guest”账户激活

3)禁用不必要的服务

4)禁用空白口令字

5)保护注册表，不允许匿名访问

6)保证Administrator口令的安全性

7)”syskey”保护功能

8)把内存页面设置为关机时清楚状态

9)修改权限成员

10)隐藏最后一个登录上机的用户名字

11)让用户选用难以破解的口令字

12)FAT转换成NTFS

13)取消用不着的协议

14)删除OS/2和POSIX子系统

15)限制使用“Lanmanager Authentication”的功能

16)限制访问公共的“Local Security Authority”

17)部署一个域结构

18)保护文件和子目录

19)制定出适当的注册表访问控制列表

20)制定账户封锁及撤销制度，严肃处理违反安防制度的行为

服务器的安全保护

1 windows 2000 服务器 操作系统的硬化主要包括

1)断开网络

2)安装windows server

3)使用NTFS格式

4)在安装的GUI部分，选用”stand alone”

5)不要安装communication 、accessories、Multimedia减少不必要的服务

6)删除IPX协议

7)在缺省的administrator account 使用7个字符的安全口令

8)重新启动机器

9)安装hot fixes 和 service packs

2 、安装 windows 2000 服务器后再完成以下步骤

1)从网络配置里去掉 netbios interface, rpc configuration, server, workstation, computer browser

2)在连接因特网的网卡上禁用wins功能

3)在services 菜单里禁用 tcp\ip netbios helps

4)修改注册表

a)系统不显示最后一个登录上机的用户 hkey-local-machine\sofeware\microsoft\windowNT\CurrenVersion\winlogon=1

b)在hkey-local-machine\system\currentcontrolset\control\lsa\ 下创建 restrictanonymouse 新主键，键值=1

5)激活syskey功能

3、数据库的安全主要进行那些方面的工作

1)删除缺省账户和样本数据库

2)控制数据库名称和存放位置的传播范围

3)合理使用审计功能

4)隔离并保护业务数据库

客户端的安全防护

1、什么是计算机病毒，特征？

计算机病毒是一个程序，一段可执行码，

1)是通过磁盘、磁带和网络等作为媒介传播扩散，能传播其他程序的程序。

2)能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。

3)一种人为制造的程序，使计算机的资源受到不同程序的破坏。

特征：传染性，破坏性、隐蔽性、触发性、寄生性。

2、计算机病毒常用的分类方法，按照病毒本身的特征分类？

1)按照病毒传染文件的类型分类：文件型病毒、引导型病毒和综合型病毒。

2)按照病毒本身的特征：木马类病毒、蠕虫类病毒、黑客类病毒、宏病毒和脚本病毒。

3)按照病毒依赖的操作系统分：DOS ,window 3x ,windows 9x ,windows NT病毒和其他操作系统病毒。

3、从微观角度来看计算机病毒有什么危害？

1)影响计算机正常使用

2)造成数据丢失

3)影响声誉，带来不良影响

4)个人信息泄漏

5)造成严重的泄密事件

4、常见病毒的传播方式：

1)宏病毒：依靠OFFICE的模板文档传染

2)蠕虫病毒：大部分依靠E-mail传播

3)脚本病毒：依靠网页传播

4)木马程序：依靠服务器端程序进行破坏

5、从客户端的安全考虑，应该采取哪些措施

1)预防电脑的失窃和盗用

a)物理安防措施

b)访问控制软件和身份验证软件

c)失窃追踪系统

2)计算机病毒的防护

3)恶意代码的防护

4)软件防护（微软公司软件）

a)安防补丁

b)动态内容的安全防护

c)个人防火墙

5)即时消息（的安防）

应用软件的开发

1、应用软件面临哪些威胁？解决办法是什么？

答：伪造身份；解决方案：双重身份验证

破坏数据；解决方案：数据完整性检查性

否认事实；解决方案：对操作行为进行日志纪录

泄漏信息；解决方案：身份验证和加密

拒绝服务；解决方案：网络流量分析；防火墙

私自提升优先级；解决方案：紧跟最新的安防补丁、优化OS

2、WEB应用软件的脆弱点有哪几大类？

答：1、不可见数据域：指暗藏着的HTML表单数据域。

2、后门和调试选项：给软件开发人员提供非正式的且不受限制的访问权限。

3、跨站点脚本：是把代码插到从其他源地址发来的页面中去这样一个过程。

4、篡改参数：指对URL字符串进行精心策划，使之能检验出原本不应该让这名用户看到的信息资料

5、COOKIE中毒：指对保存在COOKIE里的数据进行篡改的行为。

6、操纵输入信息：在HTML表单里，攻击者利用在CGI脚本程序名的后面输入一些精心安排的“非法”数据来运行系统命令。

3、什么是COOKIE中毒？

答：COOKIE中毒是指对保存在COOKIE里的数据进行篡改的行为。

在随后的3个月当中我们将逐步推出：信息安防、密码学基础、网络体系架构、入侵检测、主机与服务器的安防、等专题文章供大家学习讨论，敬请大家关注。

一般而言，高防服务器除了具备普通服务器的功能之外，还具有“防攻击、抗病毒”等方面的能力，对于大部分类型的网络攻击具有一定的防护作用。

现如今，虽然有很多用户出于对业务稳定性和网站安全的考虑，选择租用“高防服务器”来加固防御，但是他们对高防服务器的防御原理以及主要通过哪些方式进行防御，不甚了解。

硬防和软防

在选择高防服务器的时候，要先了解防御类型和防御大小。防火墙是介于内部网和外部网之间、专用网和公共网之间的一种保护屏障，防火墙分为两种：一种是软件防火墙、另一种是硬件防火墙。

1、软件防火墙：软件防火墙是寄生于操作平台上的，软件防火墙是通过软件去实现隔离内部网与外部网之间的一种保护屏障。

2、硬件防火墙：硬件防火墙是镶嵌系统内的，硬件防火墙是有软件和硬件结合而生成的，硬件防火墙从性能方面和防御方面都要比软件防火墙要好。

以上内容参考-高防服务器

参考文献：http://wwwenetcomcn/article

检测和删除系统中的木马教程

一、木马（Trojan Horse）介绍

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理

在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有winini、systemini和注册表等。

在winini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成commandexe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在systemini文件中，[BOOT]下面有个“shell=Explorerexe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorerexe，而是“shell=Explorerexe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorerexe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。

三、检测木马的存在

知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

首先，查看systemini、winini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看systemini文件

选中“Systemini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorerexe”

，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看winini文件

选中winini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，

极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都

屏蔽掉了

4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：

“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己

不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的

服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项

“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“CWINDOWSexpiorerexe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母

的差别！

通过类似的方法对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它方法

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始->运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address

：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000

），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被

Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非

法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不

到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口

。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该

端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何

网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

1、由木马的客户端程序

由先前在winini、systemini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址： 127001和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

2、手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对winini、systemini和启动项目进行编辑。屏蔽掉非法启动项。如在winini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑systemini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorerexe”。

转贴于 华夏黑客同盟 http://www77169org

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorerexe，只要 Explorerexe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行 Explorerexe，木马又得以复生！这时要删除木马就得连Explorerexe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。

五、结束语

Internet上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。

典型案例一：

我的机器已中了木马病毒TrojanTRCmIRCf

是在c:\WINNT\system32\sy5tem文件中，我想要把文件删掉，可是提示为：源文件正在被使用，瑞星杀毒软件又不能杀掉，我的系统是win2oooprofessinal,并不能运行msconfig命令，请教：该怎么办？

回复：

从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。

把它COPY 到Win2000的WinntSystem目录下，然后直接运行。

程序首先会弹出一个出错的消息框，提示找不到以下几个系统文件：Configsys、Autoexecbat、Systemini 及Winini，“忽略”它，点击“确定”之后就会看到 Msconfig 程序窗口。

1、便于搜索引擎收录

多ip站群服务器的优势是每个网站都有一个独立的ip，这样搜索引擎会比较看重，网站的权重和排名也会提高。

云霸天下IDC多IP站群服务器

2、 多ip站群服务器拥有大量独立IP

多ip站群服务器拥有大量独立ip，有的数量多的达到两百多个，因为ip资源丰富，而且都是独立的，对站群优化有着很大的作用，所以备受站长们的青睐。

3、多ip站群服务器更利于优化

多ip站群服务器指的是针对站群优化用户开发的服务器，用户租用服务器来放置多个网站，很多用户为了在线上增大曝光会选择优化多个网站。因为主要是针对网站优化的服务器， 所以在优化方面具有一定的优势。

4、多ip站群服务器有利于网站权重提高

多IP站群服务器，可以大大降低同一IP上的网站数量，如果网站数量在128以下，还可以每个网站分配一个独立IP，从而可以减少网站之间的分权。

5、不易遭受其它网站的牵连

因为都是独立的ip，所以每个网站都是独立开来的，互不干扰，假如一个网站受到了惩罚，其他网站也不会受其影响。

6、多ip避免封杀网站受影响

如果一个ip放多个网站，就会被认为是作弊现象。如果在这个IP上放了多个网站的话，那么一个网站不会被收录，其它放在此IP上的网站都不会再被收录，这是网站就会出现全面封杀的现象。

7、多ip站群服务器搜索引擎惩罚的风险

所谓站群，就是网站的数量比较多，所以才称为“群”。所以，就需要很多个独立ip来放置，才能把每个网站独立开来，才不会被搜索引擎视为是垃圾网站，而多IP站群服务器大恰好满足这样的需求。此外，当站群中一个网站被惩罚时，也不会殃及到站群中的其他网站，即使被惩罚的网站所在的IP被封也没有很大影响。

高防的机房，机房硬件防火墙设备起码在10G以上。并且可认为单个客户供给安全保护，作为高防机房，有必要确保该机房要具有足够大的出口带宽，由于许多攻击也都是运用的带宽做去攻击他人的机器的。那么机房就有必要也要具有足够大的带宽资本，才干承受大的攻击。这样才干满意高防服务器的特色，所以在挑选高防服务器时必定要注意这一点，

本来能够从国内高防机房散布线路看出的，国内高防多以电信为主，网通也有高防，可是防护不高，而双线机房就彻底是没防护的，即是由于双线机房接入的带宽通常也就20G摆布。电信之所以高防多，也都是由于电信机房的出口带宽冗余多，可扩展性大，有规模的电信机房出口带宽起码40G摆布，那么挑选高防的时分，如果是真的要运用防护实力好的，就锁定在电信线路，来挑选。别的线路即使说自个防护多好多好，都没法跟电信的防护比。那么是不是一切称自个是电信高防的机房都是防护好的 这个也是有待用户多去讲究的。

以江浙区域 以及广东区域的为主。这些城市的电信机房在国内都比照闻名的。运用高防的用户多是集中在这些区域。至于怎么判别这些区域中哪些机房防护是真的好。

首要需求了解到现在常遇到的攻击 多是DOS CC SYN 这些攻击。要知道市场上硬件防火墙的本钱。那么你就拿他们机器的报价跟市场上的硬防报价来做个比照在征询某公司高防时分，如果某客服通知你，咱们这硬防是多高，就能够防护多大的攻击；又或许通知你咱们这硬防能够防护一切类型的攻击，不可信，全球最牛的13台根服务器还被攻击跨过呢，所以不存在肯定的工作。又或许通知你，咱们的高防仅仅只百元就能够享用单机防护十几G甚至更高，也不可信。

在选择高防服务器方面一定要选择有资质、有经验的服务商公司。比如群英在高防服务器和唯一这些的高防都是不错的。如果有需求的，你可以去问问。