巴楚網站制作哪家好 - 巴楚網站制作公司推薦

　　誰動了我的計算機下
三. 來自內核的欺騙——Rootkit木馬
        老宏是一家大公司的資深網管之一，常年負責維護整個公司的網絡運作和安全設置，幾年下來平安無事，可是最近公司網絡頻頻出問題，職員電腦里的資料也遭遇盜竊，公司管理階層很注重這事情，懷疑網絡已經被入侵，老宏和其他網管從天亮就開始在機房里忙著檢查系統，由于公司內部網絡復雜，十幾臺承擔各種網絡功能的服務器系統也不盡相同，客戶機更是多不勝數，連續(xù)幾天下來，檢測工作一無進展，負責系統檢測的老宏更是想不通，所有系統看起來都沒有被入侵的痕跡，也查找不到可疑文件和進程，那究竟是什么東西在折騰？無奈之下，公司暫時切斷了內部網絡，老宏在一臺被獨立出來的基于Linux系統的網絡服務器旁看著顯示器發(fā)呆。屏幕上進程監(jiān)視程序里都是熟悉的進程，也沒有任何數據傳輸，因為連接內部的網線已經拔掉了，網絡服務也已經停止了。老宏點了支煙，望著不遠處的交換機出神，在煙霧繚繞中，他仿佛看到交換機面板上代表這臺網絡服務器的數據指示燈在閃爍，公司網絡沒出問題的時候，這里有多么繁忙的數據傳輸啊，它代表著公司業(yè)務的……老宏突然嚇得差點把煙甩掉，因為他突然清醒過來了：交換機的數據指示燈真的一直在閃爍！他轉頭看看顯示器上的流量統計，它們卻一直沒變化！顯示器表達的信息與交換機表達的信息不能同步，老宏只覺得整個機房變得詭異起來……
        這樣的事情并不一定會發(fā)生在所有個人計算機用戶的身上，因為它們并非主流的群體，然而一旦不幸發(fā)生，卻會給你帶來遠比以前遭受的一切病毒襲擊更恐懼的感受，你會驚恐的發(fā)現系統有點異常行為、敏感數據遭遇盜竊、甚至有明顯的木馬感染的表現，但是殺毒軟件報告你的系統完好，你用流行的進程查看工具也沒有發(fā)現可疑程序，但是你的機器卻一直表現異常……
正如自然界的規(guī)則一樣，最流行的病毒，對生物的傷害卻是最小的，例如一般的感冒，但是最不流行的病毒，卻是最奪命的。Rootkit木馬就是信息世界里的AIDS，一旦感染，就難以用一般手段消滅了，因為它和自然界里的同類做的事情一樣，破壞了系統自身檢測的完整性——拋開術語的描述也許難以理解，但是可以配合AIDS的圖片想象一下，由于AIDS破壞了人體免疫系統，導致白細胞對它無能為力，只能眼睜睜看著人體機能被慢慢破壞。計算機系統沒有免疫功能，但是它提供了對自身環(huán)境的相關檢測功能——枚舉進程、文件列表、級別權限保護等，大部分殺毒軟件和進程工具都依賴于系統自帶的檢測功能才得以運作，而Rootkit木馬要破壞的，正是這些功能。    轉自：奈薇建站網（www.nev.cn）
        要了解Rootkit木馬的原理，就必須從系統原理說起，我們知道，操作系統是由內核（Kernel）和外殼（Shell）兩部分組成的，內核負責一切實際的工作，包括CPU任務調度、內存分配管理、設備管理、文件操作等，外殼是基于內核提供的交互功能而存在的界面，它負責指令傳遞和解釋。由于內核和外殼負責的任務不同，它們的處理環(huán)境也不同，因此處理器提供了多個不同的處理環(huán)境，把它們稱為運行級別（Ring），Ring讓程序指令能訪問的計算機資源依次逐級遞減，目的在于保護計算機遭受意外損害——內核運行于Ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內核來決定能否執(zhí)行，一旦發(fā)現有可能對系統造成破壞的指令傳遞（例如超越指定范圍的內存讀寫），內核便返回一個“非法越權”標志，發(fā)送這個指令的程序就有可能被終止運行，這就是大部分常見的“非法操作”的由來，這樣做的目的是為了保護計算機免遭破壞，如果外殼和內核的運行級別一樣，用戶一個不經意的點擊都有可能破壞整個系統。
        由于Ring的存在，除了由系統內核加載的程序以外，由外殼調用執(zhí)行的一般程序都只能運行在Ring 3級別，也就是說，它們的操作指令全部依賴于內核授權的功能，一般的進程查看工具和殺毒軟件也不例外，由于這層機制的存在，我們能看到的進程其實是內核“看到”并通過相關接口指令（還記得API嗎？）反饋到應用程序的，這樣就不可避免的存在一條數據通道，雖然在一般情況下它是難以被篡改的，但是不能避免意外的發(fā)生，Rootkit正是“制造”這種意外的程序。簡單的說，Rootkit實質是一種“越權執(zhí)行”的應用程序，它設法讓自己達到和內核一樣的運行級別，甚至進入內核空間，這樣它就擁有了和內核一樣的訪問權限，因而可以對內核指令進行修改，最常見的是修改內核枚舉進程的API，讓它們返回的數據始終“遺漏”Rootkit自身進程的信息，一般的進程工具自然就“看”不到Rootkit了。更高級的Rootkit還篡改更多API，這樣，用戶就看不到進程（進程API被攔截），看不到文件（文件讀寫API被攔截），看不到被打開的端口（網絡組件Sock API被攔截），更攔截不到相關的網絡數據包（網絡組件NDIS API被攔截）了，幸好網絡設備的數據指示不受內核控制，否則恐怕Rootkit要讓它也不會亮了才好！我們使用的系統是在內核功能支持下運作的，如果內核變得不可信任了，依賴它運行的程序還能信任嗎？
        但即使是Rootkit這一類恐怖的寄生蟲，它們也并非所向無敵的，要知道，既然Rootkit是利用內核和Ring 0配合的欺騙，那么我們同樣也能使用可以“越權”的檢查程序，繞過API提供的數據，直接從內核領域里讀取進程列表，因為所有進程在這里都不可能把自己隱藏，除非它已經不想運行了。也就是說，內核始終擁有最真實的進程列表和主宰權，只要能讀取這個原始的進程列表，再和進程API枚舉的進程列表對比，便能發(fā)現Rootkit進程，由于這類工具也“越權”了，因而對Rootkit進行查殺也就不再是難事，而Rootkit進程一旦被清除，它隱藏自身的措施也就不復存在，內核就能把它“供”出來了，用戶會突然發(fā)現那個一直“找不到”的Rootkit程序文件已經老實的呆在文件管理器的視圖里了。這類工具現在已經很多，例如IceSword、Patchfinder、gdb等。巴楚網站制作公司。
 巴楚網站制作公司。

四. 誰動了我的計算機    轉自：奈薇建站網（www.nev.cn）
在這個不安全的網絡時代，入侵防范變得越來越復雜，然而很多人還依賴著多年前的Process Viewer和傳統防病毒軟件的保護里，因此，在高級木馬到來時，所有的防護措施都成了“馬奇諾防線”；由于一般的“受害思維”影響，人們總是認為任何木馬都是為了害自己的，卻忽略了“傀儡網絡”的存在；而大部分群體，則讓自己計算機裸露于網絡上，使得“45分鐘定律”屢屢成為現實……要知道，在現在的網絡環(huán)境里，差不多每分鐘都會有一次網絡流行漏洞掃描經過你的計算機，每天可能就有一次針對性的全面掃描，如果我們自己不做足夠的防范，那么，也許在某天，你只能無助的看著自己的愛機，說一句：“Who moved my computer?”

巴楚網站制作哪家好？喀什巴楚網站制作公司找“奈薇建站網”

喀什巴楚縣及周邊網站制作服務提供商：巴楚阿納庫勒鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚多來提巴格鄉(xiāng)、巴楚恰爾巴格鄉(xiāng)，讓您體驗喀什巴楚網站制作公司哪家好！