根据国外网站的统计,列出了2006国外杀毒软件10强:
金 奖:BitDefender
银 奖:Kaspersky
铜 奖:F-Secure Anti-Virus
第 四 名:PC-cillin
第 五 名:ESET Nod32
第 六 名:McAfee VirusScan
第 七 名:Norton AntiVirus
第 八 名:AVG Anti-Virus
第 九 名:eTrust EZ Antivirus
第 十 名:Norman Virus Control
第十一名:AntiVirusKit
第十二名:AVAST!
第十三名:Panda Titanium
第十四名:F-Prot
这是排名的国外网站,各种功能、价格、获奖等非常详细:http://anti-virus-software-review.toptenreviews.com/
BitDefender
简介:BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件,二十四万超大病毒库,它将为你的计算机提供最大的保护,具有功能强大的反病毒引擎以及互联网过滤技术,为你提供即时信息保护功能,通过回答几个简单的问题,你就可以方便的进行安装,并且支持在线升级。它包括 1.永久的防病毒保护;2.后台扫描与网络防火墙;3.保密控制;4.自动快速升级模块;5.创建计划任务;6.病毒隔离区。
个人评价:BitDefender Pro Edition v9.0
排名第一的软件竟然是我以前没用过的,国内各大论坛和软件站都没给它很高的评价,既然是第一的,怎么样都要试一下,卸掉mcafee装上BD,BD的功能很周到,有3大主要功能——杀毒、反LJ、防火墙(这3项都是可选的,我从来都不装防火墙,一个IP策略走天下^-^,所以我只装了杀毒)。因为偶还在试用,所以也不能给出更深入的评价。
主要特点:1.设置选项简单易懂,容易上手;2.病毒库升级频繁,再怎么流行的病毒也杀,杀,杀;3.有注册机,可在线升级(汗!这也算?当然,像我们这些穷人当然要“免费”的)。
缺点:1.没有中文版,虽然有汉化的,总觉得没中文版的好;2.开机加载项太多,一共有7个进程主进程占20M左右,其他3-4M。
Kaspersky
简介:Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件,查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力,能真正实现带毒杀毒!提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护:抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail通路和防火墙。它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口,它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和IT出版机构的证书,确认了卡巴斯基具有汇集行业最高水准的突出品质。
个人评价:Kaspersky Anti-Virus Pro v5.0
这是我用的时间最长的杀毒软件,也是大多BS国产杀毒软件的人首选的杀毒软件,对于Kaspersky我也不必多费口水(大家太熟悉了啊!)。
主要特点:1.杀毒能力特强;2.病毒库升级频繁(大概1-4小时就更新);3.查壳能力强;4.通过选项设置可以适合不同需要的人。
缺点:1.用Kaspersky的人最怕中病毒——那个杀猪般的叫声让人受不了;2.监控能力差了点,而且用起来一个字“卡”,很占内存;3.杀毒速度慢,如果你实在害怕病毒,而且喜欢玩专业,愿意牺牲性能换来安全,你就用卡巴斯基吧!
F-Secure AntiVirus
简介:来自Linux的故乡芬兰的杀毒软件,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核,而且青出于蓝胜于蓝,个人感觉杀毒效率比Kaspersky要好,该软件采用分布式防火墙技术,对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一,但后来Kaspersky增加了扩展病毒库,反超F-secure。鉴于普通用户用不到扩展病毒库,因此F-secure还是普通用户很不错的一个选择。F-Secure AntiVirus是一款功能强大的实时病毒监测和防护系统,支持所有的 Windows 平台,它集成了多个病毒监测引擎,如果其中一个发生遗漏,就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件,软件更提供密码的保护性,并提供病毒的信息。
个人评价:F-Secure Anti-Virus Client Security v6.01 build 11441
我用下来的感觉就是F-Secure的综合能力可以排第一名!但是这个软件也有不足,就是进程太多,要近15个进程,呵呵,谁叫它有四套杀毒引擎呢?不过也够安全吧,进程虽多,却一点不觉得卡!
主要特点:最大的特点在于使用了Data Fellows 公司的 CounterSign Technology,这项技术可以使扫毒程序更有效率,可以同时执行更多的功能。比如:可以同时执行多个模组,扫描所有的文件类型、格式、压缩文件。虽然使用者在使用的时候,并不会感觉到操作上的差异,但根据Data Fellows 公司的说明,这一项技术绝对可以提升病毒检测的效率。它另外一项特色是Gatekeeper 功能。这项功能使用 Dynamic Virus Protection technology,最大的好处就是可以动态的检测病毒。当你访问任何储存在电脑中的文件或文件夹,Gatekeeper 就会自动启动,进行扫毒工作。它会常驻在内存中,随时侦测Windows、Dos 程序,不但可以检测到传统的病毒,即使是变种病毒以及经过加密也都可以侦测出来。总体来说F-Secure Anti-Virus 在各方面可以说都是相当出色的杀毒软件。
Pc-Cillin(趋势)
简介:趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防LJ邮件等功能于一体,最大限度地提供对桌面机的保护并不需要用户进行过多的操作。在用户日常使用及上网浏览时,进行“实时的安全防御监控”;内置的防火墙不仅更方便您使用因地制宜的设定,“专业主控式个人防火墙”及“木马程序损害清除还原技术”的双重保障还可以拒绝各类黑客程序对计算机的访问请求;趋势科技全新研发的病毒阻隔技术,包含“主动式防毒应变系统”以及“病毒扫瞄逻辑分析技术”不仅能够精准侦测病毒藏匿与化身并予以彻底清除外,还能针对特定变种病毒进行封锁与阻隔,让病毒再无可趁之机;强有力的“LJ邮件过滤功能”为您全面封锁不请自来的LJ邮件。趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常,从此摆脱病毒感染的恶梦。
个人评价:PC-cillin 2005网络安全版
经过对PC-cillin 2005网络安全版的全面试用,PC-cillin 2005在查杀传统病毒方面表现平平,查杀病毒能力和人性化设计方面还有待提高。不过,在PC-cillin 2005网络安全版中也有许多让我们感到欣喜的地方,如私密数据保护、集成化管理的远程保护、针对多种网络连接方式的个人防火墙等等,在这些方面都别具特色。PC-cillin 2005网络安全版还是很值得大家一用的。
ESET Nod32
简介:国外很权威的防病毒软件评测给了NOD32很高的分数,在全球共获得超过40多个奖项,包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等,更加是全球唯一通过26次VB100%测试的防毒软件,高据众产品之榜首!产品线很长,从DOS、Windows 9x/Me、Windows NT/XP/2000,到Novell Netware Server、Linux、BSD等,都有提供。可以对邮件进行实时监测,占用内存资源较少,清除病毒的速度效果都令人满意。
个人评价:NOD32 Ant
ivirus v2.51.22 中文版
微软御用了四年的杀毒软件,自然不差,启动较快,占资源超少,多次获得权威大奖。我就试了一下,正如同学说的占用资源是比我以前用的杀毒软件小的多。 我使用以后觉得唯一的缺点是升级很慢,很难,能升级的基本都是国内院校的破解服务器,而官方服务器升级很慢。
主要特点:1.占用资源较小;2.防毒能力强;3.它可以在文件下载过程中就检测出是否感染了病毒(包括rar、zip中的文件);4.扫描速度超快。
缺点:1.病毒库更新太慢,有时候好几天才更新一次;2.好像是为了反盗版,很多杀毒软件把注册机当病毒杀掉,用过NOD的人知道,NOD杀毒的时候不会询问你怎么办而直接杀掉,然后给你个提示(是邀功还是气我?!),这样我几个注册机都被杀了,还有就是开着NOD下个盗版软件,解压后只有安装程序——注册机在下载中就被XX了。
McAfee Virusscan
简介:全球最畅销的杀毒软件之一,McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能!除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。
个人评价:Mcafee 10.0.27 中文版
McAfee它其实杀毒并没有怎么厉害,肯定没有卡巴斯基那么野蛮,但是为什么它也拥有广泛的用户群,有很好的口碑,很显然macfee的监控做的很完美,可以说滴水不漏,监控这么好的杀软我想杀毒能力稍微弱点又有何妨呢?
主要特点:1.防毒能力很强;2.免费,只要一个国际邮箱,简单的注册一下就可以享受这个优秀的杀毒软件的在线升级服务。
缺点:1.配置比较麻烦,新手不推荐使用;2.病毒库升级慢—-以天为单位升级;3.程序速度慢,要打开一下设置得等几秒钟。
Norton AntiVirus
简介:Norton AntiVirus是一套强而有力的防毒软件,它可帮你侦测上万种已知和未知的病毒,并且每当开机时,自动防护便会常驻在System Tray,当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性,若档案内含病毒,便会立即警告,并作适当的处理。另外它还附有“LiveUpdate”的功能,可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码,於下载完后自动完成安装更新的动作。
个人评价:Norton AntiVirus 9.0 中文版
Norton大家很熟悉,老实说诺顿的广告宣传还真是不错的,但是大家注意,别看广告,看疗效!也是一年破解升级几年前叱诧风云的软毒软件,功能强大,当然诺顿企业版要比个人版本的杀毒能力更强悍,建议大家使用9.0版的,最新10.0版占用资源有点大,不算完美。但是如果你使用诺顿公司的全套产品,systemworks+安全特警,你会发现比蜗牛还慢,启动超慢(比卡巴斯基还慢),我实在搞不懂,一个杀毒软件,CPU P4 1.8G、内存700多M的配置用起来都卡,还有什么意义?所以还是上面那句话,如果你愿意牺牲性能换来安全,你就用卡巴斯基吧!因为同样牺牲性能,卡巴斯基比诺顿好很多!
主要特点:诺顿杀毒软件企业版本和专业版本,标准版本相比能为你带来更低的系统资源占用,更可靠的性能!
缺点:1.误杀、误报率高;2.防火墙发现病毒后,提示信息无法关闭;3.升级慢。
AVG Anti-Virus
简介:AVG Anti-Virus欧洲有名的杀毒软件,AVG Anti-Virus System功能上相当完整,可即时对任何存取文件侦测,防止电脑病毒感染;可对电子邮件和附加文件进行扫瞄,防止电脑病毒透过电子邮件和附加文件传播;“病毒资料库”里面则记录了一些电脑病毒的特性和发作日期等相关资讯;“开机保护”可在电脑开机时侦测开机型病毒,防止开机型病毒感染。在扫毒方面,可扫瞄磁碟片、硬盘、光盘机外,也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件(支持ZIP,ARJ,RAR等压缩文件即时解压缩扫描)。在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt,待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大家使用,安装之前先去官方网站填个表,从回信中得到一个序列号。AVG Anti-Virus 有三个版本(专业、服务器、免费),其中有个人非营利使用的免费版本,功能完整,但是仅某部份功能是无法设定的,例如扫毒排程只能每天一次等等。
eTrust EZ AntiVirus
简介:反病毒软件“eTrust EZ Antivirus”已经获得了国际计算机安全协会(ICSA:International Computer Security Association)的认证。ICSA专门负责检测和认证产品对来自病毒及恶意代码的攻击的有效性。CA公司表示,在ICSA的测试中,eTrust EZ Antivirus软件甚至连“In-The-Wild”恶性病毒也可以100%地检测出来。eTrust EZ Antivirus是一种主要为中小型企业及SOHO用户提供解决方案的反病毒软件。该产品支持的操作系统包括Windows 98、Windows ME、Windows NT以及Windows 2000 Professional等。除此以外,CA公司还提供包括eTrust EZ Antivirus在内的反病毒解决方案组件“eTrust EZ Armor”。 新版本采用全新用户界面,更加易于使用;新的文件隔离功能可有效防止系统文件被误删;改进了帮助系统;增强了“闪动”系统托盘图标功能。
个人评价:eTrust EZ Antivirus 2005 v7.0官方简体中文版
这款由CA公司出品的小巧强悍的杀毒软件,通过和微软联合举行的免费下载活动,已经深得国人的喜爱。与Norton AntiVirus、卡巴斯基等拥有官方中文版本的大牌杀毒软件相比,它对国人造成的唯一缺憾恐怕就是其生硬的英文界面了。近来,CA公司终于意识到中国个人单机反病毒软件市场的重要性,发布了官方简体中文版本的eTrust EZ Antivirus。eTrust EZ Antivirus 2005采用蓝色主题界面,布局简洁明快,操作简单、功能强大,保持了eTrust EZ Antivirus一贯低系统资源占用的特色。其文件隔离功能可防止误删重要文件,能提供曾经运行在用户系统上的恶性程序的详细信息,拥有易于使用的问题快照,可帮助诊断使用中发现的问题,并且通过了国际权威的ICSA认证,推荐国人使用。简单注册一下就可以免费用1年。
Norman Virus Control
简介:Norman Virus Control是欧洲名牌杀毒软件,为了确保您的计算机系统得到最好的保护,Norman 数据安全系统提供了多种防毒工具供您选择,以满足您的不同需要。此产品结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术,可有效查杀已知和未知病毒。NVC 可以查杀所有类型的病毒,包括文件和引导扇区病毒而无需使用杀毒软件重新启动开机。
个人评价:Norman Virus Control v5.81 R4 简体中文版
Norman防毒软件V5(NVCv5)可以保护您的工作站和服务器免受恶意程序和病毒软件的威胁。当发现文件受病毒感染,NVC会在破坏代码生效前立即将它隔离或删除。著名的Norman病毒扫描引擎取得重大的技术突破,在新版本中加入了革命性的SandBox诱捕技术,更有效查杀新型未知病毒
分类 : 业界动态 | 发表时间 06-05-2006
分类 : 业界动态 | 发表时间 06-05-2006
目前和”五一”期间开放论坛
(1)龙帝国论坛:
http://www.msfans.net/bbs/index.asp
简介:一个以研究启动技术为主的技术型论坛
高手有:FXZM、死性不改、米高佐敦
(2)春秋论坛
为庆祝论坛成立3周年, 论坛决定在5月1日将会再次开放注册
本次开放注册后短期内将不会再次开放注册
http://cqvip.bbsvod.com/index.php
(3)中国卡吧娱乐社区
http://www.cnka8.net/stats.php
(4)FTP情报站
www.filmunited.net
(5)石狮影视论坛
http://bbs.yssn.com/
(6)天使论坛
不知不觉天使精品影视论坛正式成立至今己有二年了,这二年有过太多
的酸甜苦辣。但是庆幸的是我们一直在努力,一直在坚持,终于冲破种种
难关,奠定了天使精品影视论坛的影视精品意识。但是所不幸的是,也
招来其它同行论坛的嫉妒,并采用卑劣手段,恶意攻击论坛。在天使周
年庆典之际,同时论坛全面开放。欢迎更多的朋友加入天使,认识天使!
http://www.tsxz.com/
(7)【丽影论坛】- CN5566
论坛建立时间:2000年3月26日
论坛类别: 影视资源论坛
开放性较高的论坛 下载主要依赖bt,综艺也很不错。
http://www.cn5566.com/index.asp
三台服务器同时开放资源!共七千G影视资源!
(8)荆楚天地象山影院论坛
4月28号早上9点开放注册!下午4时关闭!
http://bbs.jmsky.com/index.php
有兴趣的话,注册一个,还是不错的!!!!
(9) Cdbest.net
http://bbs.cdbest.net/
自己上去看了看,感觉可以学点东西,刻录发烧友可以看看
也推荐一个同类的
http://www.pcdvd.com.tw/
(10)影视帝国目前开放注册
注册地址:http://bbs.cnxp.cn/register.php
老牌的影视论坛,资源丰富,各种下载方式都有,FTP流量巨大,
想要的快去,不知道什么时候关闭。
(11))宁海热线——五一开放注册~~
http://bbs.ninghai.net/index.php
(12)梦想三峡开放注册中
注册网址:http://www.mx3x.com/register.php
这个论坛主要以少儿教育为主的著名论坛
(13)中国狂热IT技术联盟
http://bbs.5icrack.com/
(14)绅博GDATA AntiVirenKit(中国)论坛
绅博GDATA AntiVirenKit(中国)论坛开放注册.28号到5.1号!
地址:http://bbs.hypost.cn/index.php
(15)BTchina论坛开放注册!
http://bbs.btchina.net/index.php
喜欢BT的朋友可以去注册下,
(16)珊瑚虫论坛
现在开放注册,QQ专业论坛
http://bbs.coralqq.com/index.php
(17)UKOO
http://www.ukoo.net/bbs/index.php
为了庆祝五.一国际劳动节,论坛开放注册一天!
(18) 琵琶行论坛开放注册
http://www.ppxbbs.com/register.php
(19)全球华人论坛
http://www.chinesetalks.net/forum/index.php
(20) FrankBBS音乐论坛已开放注册
http://www.frankbbs.net/register.php
新会员请务必在注册后24小时之内要去会员报到区报到,
报到的帖子请依照格式,论坛版主会给予加分!
没有去报到以及不按照格式报到的会员,
系统会在关闭注册后将其帐号自动删除!
(21)侠客居论坛
侠客居论坛虽然成立不久,但由于电影,音乐……的更新快,吸引了大量的会员。
论坛正全面开放。欢迎更多的朋友加入侠客居,认识侠客居!
http://www.zk1225.com/
(22)中国辣客联盟 论坛
中国辣客联盟 论坛,一个人气很旺的论坛!目前开放注册中!
目前该论坛正在进行中 “迎五一踢楼狂送8无qq活动!!”
今天晚上9点先进行预热活动,开踢8无QQ若干个,本周六,
论坛将要疯狂送出大量8无! 该论坛是主要由大学生组织,
整个论坛充满着生机,到处可以看到渴求知识的学子在辛勤的奉献中!
http://luckerer.com
(23)吁吁论坛
首先感谢大家很长时间以来对吁吁论坛的支持!又逢一年一度的五一劳动节,
吁吁论坛将继续举行节日送大礼活动!
http://www.apppp.com/
(24)e城精品论坛
http://bbs.e666.cn/
(25)新萤火虫社区
http://www.xyhc.com/
(26)飘云阁
QQ专业论坛
http://www.chinapyg.cn/
(27)看雪技术论坛开放
看雪技术论坛汇聚了许多技术人才,特别是一篇篇有技术含量的精华文章!
这些文章不光对他人有帮助,同时也是自己才华展示的资本!!
http://bbs.pediy.com/
气氛不错喔!!
不少公司都很关注该论坛,经常到那招聘到合适的人才。如果你是^_^牛人^_^,可以进去看看!!!
(28) 牛8论坛 开放注册
著名的影视论坛,FTP容量巨大
http://city.niu8.net/
(29)落伍论坛开放注册
注册后您只在”新人交流投稿”拥有发表权限,其它栏目只拥有阅读及搜索帖子标题的权限;
http://www.im286.com/index.php
只有您投的稿得或者交流态度到落伍者管理团队的认可获得加分或者成为精华,您才能正式成为落伍者一员
(30)JX:极限主题
http://www.themex.net/forum/
出名的windows美化论坛。
分类 : 技术文摘 | 发表时间 28-04-2006
文件也有“身份证”——交换数据流(1)
笔者的办公室配了一台新的品牌机,最近发现在下载软件时多出了一个“安全警告”对话框(如图1),这可是以前都没有遇见过的。办公室里的品牌机和旧电脑都是使用的Windows XP,可是为什么用旧电脑下载软件就没有这个对话框呢?经过仔细对比品牌机和旧电脑,发现品牌机的操作系统安装了SP2,而旧电脑则没有安装,兴许问题就在这儿了。后来咨询了一位专家,证实了笔者的猜想,这是微软的一项安全技术——交换数据流。
什么是交换数据流
NTFS文件系统中有一个很少被大家注意的特性,通过该特性,我们可以在保证一个文件完整的情况下给该文件附加一些额外的信息,这些本不属于该文件的信息就叫做“交换数据流(Alternate Data Stream)”;而文件本身则叫做该文件的“主数据流(Primary Data Stream)”。在用IE浏览器下载软件时通常会弹出一个下载提示框时,可以选择直接运行或是保存到本地,如果选择了直接运行的话,软件就会被下载到临时文件夹,然后自动运行。当可执行文件在下载完成后自动运行时就会出现图1所示的对话框。由于这些可执行文件可能含有病毒或者其它危险因素,随意运行这些文件就有可能给我们的系统带来损害。为了防止用户错误地运行这种文件,微软在Windows XP SP2中使用了这样一个新功能来提醒用户,该功能就是依赖交换数据流工作的。
当我们使用IE浏览器把网上的可执行文件保存到NTFS文件系统的分区上,IE浏览器就会自动给下载回来的文件附加一个交换数据流,当我们双击运行带有这种数据流的文件时,系统就会出现图2所示的提示。通过这个实例我们知道,要使该选项生效,需要同时满足下列条件:1、文件是从网络中获得的;2、文件必须保存在NTFS文件系统的分区上;3、文件必须使用IE浏览器下载到本地,使用其它下载工具下载的文件不会被添加这一数据流。
取消安全警告
虽然这是一种善意的提示,但我们有可能会觉得麻烦,希望能够取消这种提示。我们可以直接在图1所示的对话框中取消“打开此文件前总是询问”的选中状态。或者直接查看文件属性,在“属性”对话框的“常规”标签上点击“解除锁定”按钮,也可以禁用这种提示。这两种方法都可以删除文件中的交换数据流,但是要注意,通过这两种方法删除的只是特定文件中的交换数据流,其它文件不受影响。换句话说,在运行其它包含交换数据流的文件时同样会出现这种提示,除非对其它文件重新执行上述操作。
·文件也有“身份证”——交换数据流文件也有“身份证”——交换数据流(2)
查看交换数据流
我们如何查看某个文件里是否含有交换数据流呢?可以使用一个叫做Streams的工具。这是一个命令行工具,需要先打开命令提示符,再从命令提示符窗口中运行Streams,直接双击Streams.exe是无法运行程序的。假设我们要查看保存在C盘根目录下的dxwebsetup.exe文件的交换数据流,可以使用命令“streams c:\dxwebsetup.exe”。为了方便对比,我们对同一文件分别使用了该命令两次,第一次是在文件带有交换数据流的情况下使用的,运行结果显示为“:Zone.Identifier:$DATA 26”;而第二次则是删除交换数据流之后使用的,结果显示为“No files with streams found”,这充分说明了交换数据流的存在(如图3)。
提示:在运行streams时添加参数“-d”可以删除文件的交换数据流。
交换数据流的其它作用
想知道交换数据流还有什么其它作用吗?不说远了,就说电脑迷光盘中的卡巴斯基杀毒软件,该软件就利用了类似交换数据流的特性,只不过在卡巴斯基中该功能被称为“iChecker”(用于FAT32文件系统)和“iStreams”(用于NTFS文件系统)。
当我们第一次使用5.0以上版本的卡巴斯基杀毒软件对整个系统查毒的时候,杀毒软件会自动给所有扫描过的文件添加交换数据流信息,标记该文件已经被检查过,是安全无毒的。日后再次扫描文件时杀毒软件会首先检查每个文件的交换数据流中有没有自己标记的信息,如果有,则会跳过这个文件,这会极大地提高扫描速度。
你可能会担心每一个文件都被卡巴斯基添加了交换数据流后会占用很多硬盘空间,其实这个担心是多余的,交换数据流并不会占用硬盘空间,大家可以用前面的方法删除一个文件的交换数据流,然后对比删除前后的文件体积来验证。也许你还会想如果不再使用卡巴斯基了,该如何删除大量文件中留下的交换数据流呢?这里就需要用到卡巴斯基公司提供的一个小程序KLStreamRemover,与使用Streams一样,KLStreamRemover也需要用命令提示符来运行。将文件保存在想要清除数据流的文件所在的硬盘分区,然后打开命令提示符窗口,运行“Klstreamremover.exe -r”命令,程序就会自动将该分区下被卡巴斯基杀毒软件附加的交换数据流全部删除。
提示:在使用KLStreamRemover之前应先把巴斯基杀毒软件卸载掉。KLStreamRemover一次只能清除一个分区内文件的数据流,若要清除多个分区的话,需要重复运行KLStreamRemover多次。
分类 : 技术文摘 | 发表时间 23-04-2006
信息来源: 网络分析专家论坛
昨天上网的时候,发现了这个论坛。我是在研究如何使用MRTG来监测华为路由器和交换机的CPU使用率时,无意间找到这个论坛的。这个问题目前还没有找到解决方法。今天睡的早了点,半夜就起来了,一口气看了论坛的好多文章,的的确确是“网络分析专家”,有好多概念模糊的问题都可以找到答案。很幸运没有错过!希望有了解MRTG的朋友指点一下我所遇到的问题。
刚才看了本站劳模1259的一篇文章《使用SNIFFER PRO来进行监控BT协议的流量信息》,连接地址是:http://www.netexpert.cn/viewthread.php?tid=354&fpage=3,想到了去年公安局来我们这里查QQ号码的事,当时说正在搜捕一个持枪逃犯,现在知道他的QQ号,并且发现最近一天他的QQ号在本地上过网,而且IP地址就是我们的(通过显示IP的QQ版本,已经取得了该QQ的IP地址和端口号)。刚开始领导以为又是来找什么麻烦,但是人家来了不能不配合。当时要求我们尽快查找上网记录,找到究竟哪个用户在用这个QQ号码,不巧的是我们的计费管理系统正在升级,近一个月的都没有记录,这可怎么办呢?心想先装装样子再说吧。顺便说明一下,我们这里上网是NAT转换出去的,并不是每个用户一个公网IP。所以现在就是要找到这个QQ用的内部私有地址是什么,再进一步找到上网帐号。
开始的时候想,如果这个QQ号码在某一个时刻通过我们的宽带接入上网的话,那么只要刑警查看一下对方的IP地址和端口号,这边立刻登陆到路由器上,通过查看NAT地址转换的SESSION,就可以找到对方的内部私有地址了。于是一边假装配合着查找上网记录(其实都是以前的,最近一个月的记录根本没有),一面说只要这个号码上网了,这边立刻就能找到(通过查看路由器的NAT session)。但是大家等了大半夜,也没等到。这下可苦了我了。那也没办法,只能一直目不转睛地等着。接下来我就琢磨,怎样才能做到,当这个QQ号码上网之后,立刻就能用软件截取到信息,自然就想到了SNIFFER这个软件。
开始用自己的QQ号码作试验。思路很简单,先把自己的QQ号码换算成16进制的,就用WINDOWS自带的科学计算器就可以了。原本以为QQ的通讯过程会把所有信息都加密,但是抱着瞎猫碰死耗子的想法试验一下。在SNIFFER里面设定至只抓取UDP协议的报文,因为一般情况下QQ使用UDP协议,再就是把后台运行的其他网络软件关掉,避免抓到一些没用的干扰数据。呵呵!没想到这么顺利,一下子就在一个UDP包里面找到了自己的QQ号码的16进制,再一看,好多包里都有,到处都是,而且固定在偏移量31H处开始的4个字节,就是你的QQ号码。接下来就很简单了,在几台网管设备上分别运行SNIFFER(已经在适当的节点配置了端口镜像),设定条件是第31H处是需要查找的QQ号码的16进制,只抓取UDP,并且目的端口等于8000。接下来就可以睡觉了,只要有结果,就会被筛选出来。具体设定过滤条件时候需要设置Data Pattern请大家参考一下前面1259写的那篇文章,方法是一样的。
等被电话叫醒的时候,已经中午了。这时公安那边已经发现对方上QQ了,但是确看不到对方的IP地址和端口号(公安那边就是在用珊瑚虫QQ想看到对方的IP和端口号,我还以为有什么先进的软件或者设备呢),但是我们知道由于各种原因,类似的这种显示IP的QQ并不是总能看到对方的IP和端口号的。赶紧去查看了一下几台正在运行SNIFFER的服务器,有一台服务器已经有数据筛选出来了,赶紧查看了一下,呵呵!要找的东西出来了,幸好提前想到了SNIFFER,要不然那边公安的没看到对方的IP,这里就得抓瞎。进一步查了一下上网帐号……
后来想进一步查看是否能查到本地QQ正在和哪些号码聊天,不过这一点没有想象的那么简单了。不过还是略有一点其他的发现。就是当你使用类似于珊瑚虫版QQ时,有时也看不到对方的IP地址,相信大家也经常遇到这种情况。网上有文章介绍说,这时如果你试图浏览一下对方的共享文件夹,再重新打开聊天窗口后,就可以看到对方的IP了。试了一下,的确有时候好用,但也不是总好使。受这一点启发,粗略地分析了一下,一般聊天的时候,文字信息都是通过QQ服务器中转的,也就是说,你和对方的IP并没有直接建立联系。那么只要想办法让自己和对方直接建立联系,那就可以用SNIFFER捕捉到对方的IP了,浏览对方的共享文件夹大概就是这个意思。接下来就想到视频和语音聊天,发送文件等等这些QQ附加功能,一般情况都应该是试图直接建立直连的。但是这些都需要对方许可才行,但是发送图片不需要对方确认,对,随便发一张对方没有的图片试一试。效果不错,前面通过各种方法都无法看到IP的QQ号码,通过这种方法都查找到了IP。不过不敢保证这种方法总是有效的。另外QQ的版本升级比较快,不同的版本的通讯原理可能也有变化,而且对QQ的通讯过程掌握的不是很清楚。说到这里大家可能觉得上网简直是一点安全感都没有,有象我这样的“坏蛋”在研究怎样监视大家的秘密。不过我这是工作需要逼着你去做的,要不然我才不会干这样的“坏事”。不过通过研究的过程确实能学习到很多知识,欢迎大家一起讨论!
分类 : 技术文摘 | 发表时间 21-04-2006
Web服务器(Web Server)
Web服务器可以解析(handles)HTTP协议。当Web服务器接收到一个HTTP请求(request),会返回一个HTTP响应 (response),例如送回一个HTML页面。为了处理一个请求(request),Web服务器可以响应(response)一个静态页面或图片,进行页面跳转(redirect),或者把动态响应(dynamic response)的产生委托(delegate)给一些其它的程序例如CGI脚本,JSP(JavaServer Pages)脚本,servlets,ASP(Active Server Pages)脚本,服务器端(server-side)JavaScript,或者一些其它的服务器端(server-side)技术。无论它们(译者注:脚本)的目的如何,这些服务器端(server-side)的程序通常产生一个HTML的响应(response)来让浏览器可以浏览。
要知道,Web服务器的代理模型(delegation model)非常简单。当一个请求(request)被送到Web服务器里来时,它只单纯的把请求(request)传递给可以很好的处理请求 (request)的程序(译者注:服务器端脚本)。Web服务器仅仅提供一个可以执行服务器端(server-side)程序和返回(程序所产生的)响应(response)的环境,而不会超出职能范围。服务器端(server-side)程序通常具有事务处理(transaction processing),数据库连接(database connectivity)和消息(messaging)等功能。
虽然Web服务器不支持事务处理或数据库连接池,但它可以配置(employ)各种策略(strategies)来实现容错性(fault tolerance)和可扩展性(scalability),例如负载平衡(load balancing),缓冲(caching)。集群特征(clustering—features)经常被误认为仅仅是应用程序服务器专有的特征。
应用程序服务器(The Application Server)
根据我们的定义,作为应用程序服务器,它通过各种协议,可以包括HTTP,把商业逻辑暴露给(expose)客户端应用程序。Web服务器主要是处理向浏览器发送HTML以供浏览,而应用程序服务器提供访问商业逻辑的途径以供客户端应用程序使用。应用程序使用此商业逻辑就象你调用对象的一个方法 (或过程语言中的一个函数)一样。
应用程序服务器的客户端(包含有图形用户界面(GUI)的)可能会运行在一台PC、一个Web服务器或者甚至是其它的应用程序服务器上。在应用程序服务器与其客户端之间来回穿梭(traveling)的信息不仅仅局限于简单的显示标记。相反,这种信息就是程序逻辑(program logic)。正是由于这种逻辑取得了(takes)数据和方法调用(calls)的形式而不是静态HTML,所以客户端才可以随心所欲的使用这种被暴露的商业逻辑。
在大多数情形下,应用程序服务器是通过组件(component)的应用程序接口(API)把商业逻辑暴露(expose)(给客户端应用程序)的,例如基于J2EE(Java 2 Platform, Enterprise Edition)应用程序服务器的EJB(Enterprise JavaBean)组件模型。此外,应用程序服务器可以管理自己的资源,例如看大门的工作(gate-keeping duties)包括安全(security),事务处理(transaction processing),资源池(resource pooling),和消息(messaging)。就象Web服务器一样,应用程序服务器配置了多种可扩展(scalability)和容错(fault tolerance)技术。
一个例子
例如,设想一个在线商店(网站)提供实时定价(real-time pricing)和有效性(availability)信息。这个站点(site)很可能会提供一个表单(form)让你来选择产品。当你提交查询 (query)后,网站会进行查找(lookup)并把结果内嵌在HTML页面中返回。网站可以有很多种方式来实现这种功能。我要介绍一个不使用应用程序服务器的情景和一个使用应用程序服务器的情景。观察一下这两中情景的不同会有助于你了解应用程序服务器的功能。
情景1:不带应用程序服务器的Web服务器
在此种情景下,一个Web服务器独立提供在线商店的功能。Web服务器获得你的请求(request),然后发送给服务器端(server- side)可以处理请求(request)的程序。此程序从数据库或文本文件(flat file,译者注:flat file是指没有特殊格式的非二进制的文件,如properties和XML文件等)中查找定价信息。一旦找到,服务器端(server-side)程序把结果信息表示成(formulate)HTML形式,最后Web服务器把会它发送到你的Web浏览器。
简而言之,Web服务器只是简单的通过响应(response)HTML页面来处理HTTP请求(request)。
情景2:带应用程序服务器的Web服务器
情景2和情景1相同的是Web服务器还是把响应(response)的产生委托(delegates)给脚本(译者注:服务器端(server -side)程序)。然而,你可以把查找定价的商业逻辑(business logic)放到应用程序服务器上。由于这种变化,此脚本只是简单的调用应用程序服务器的查找服务(lookup service),而不是已经知道如何查找数据然后表示为(formulate)一个响应(response)。这时当该脚本程序产生HTML响应(response)时就可以使用该服务的返回结果了。
在此情景中,应用程序服务器提供(serves)了用于查询产品的定价信息的商业逻辑。(服务器的)这种功能(functionality)没有指出有关显示和客户端如何使用此信息的细节,相反客户端和应用程序服务器只是来回传送数据。当有客户端调用应用程序服务器的查找服务(lookup service)时,此服务只是简单的查找并返回结果给客户端。
通过从响应产生(response-generating)HTML的代码中分离出来,在应用程序之中该定价(查找)逻辑的可重用性更强了。其他的客户端,例如收款机,也可以调用同样的服务(service)来作为一个店员给客户结帐。相反,在情景1中的定价查找服务是不可重用的因为信息内嵌在 HTML页中了。
总而言之,在情景2的模型中,在Web服务器通过回应HTML页面来处理HTTP请求(request),而应用程序服务器则是通过处理定价和有效性(availability)请求(request)来提供应用程序逻辑的。
警告(Caveats)
现在,XML Web Services已经使应用程序服务器和Web服务器的界线混淆了。通过传送一个XML有效载荷(payload)给服务器,Web服务器现在可以处理数据和响应(response)的能力与以前的应用程序服务器同样多了。
另外,现在大多数应用程序服务器也包含了Web服务器,这就意味着可以把Web服务器当作是应用程序服务器的一个子集(subset)。虽然应用程序服务器包含了Web服务器的功能,但是开发者很少把应用程序服务器部署(deploy)成这种功能(capacity)(译者注:这种功能是指既有应用程序服务器的功能又有Web服务器的功能)。相反,如果需要,他们通常会把Web服务器独立配置,和应用程序服务器一前一后。这种功能的分离有助于提高性能(简单的Web请求(request)就不会影响应用程序服务器了),分开配置(专门的Web服务器,集群(clustering)等等),而且给最佳产品的选取留有余地。
分类 : 技术文摘 | 发表时间 20-04-2006
计世网消息
1、SQL Slammer 在微软发布SQL补丁软件一周后,研究人员大卫在Black Hat会议上展示了该缺陷。利用该缺陷的Slammer蠕虫在2003年曾经使互联网出现大塞车。
2、Windows即插即用 互联网安全系统公司的研究人员在2005年4月份发现了该Windows缺陷,它使黑客能够控制有缺陷的系统,并远程地执行代码。到8月份,出现了利用该缺陷的Zotob蠕虫。
3、思科IOS堆栈溢出 前ISS研究人员迈克尔在2005年7月份表明,利用此缺陷黑客能够控制一家公司的网络。思科后来发布了补丁软件,但它还是起诉了迈克尔。
4、Windows图元文件 研究人员摩尔和其他研究人员在1月份发布了利用该缺陷的代码,研究人员吉尔凡诺夫则开发了非官方的解决方法,这促使微软提前5天发布了补丁软件。
5、甲骨文的数据加密 Red-Database-Security的研究人员亚历山大在2006年1月份向甲骨文报告了这一缺陷,甲骨文在同月发布了补丁软件。
6、甲骨文PLSQL网关 大卫在1月份向Black Hat的与会者展示了甲骨文的SQL过程语言扩展中的这一缺陷。甲骨文还没有发布相应的补丁软件。
7、苹果的Mac iChat 2006年2月13日,一匿名人士在MacRumors.com上发布了指向OSX/Leap.a特洛伊木马病毒的链接,这也是苹果的Mac OS X平台上的第一种病毒。
8、IE createTextRange()缺陷 研究人员安德里亚斯在3月份发现了这一缺陷,它使黑客能够在有缺陷的系统上安装与恶意软件类似的击键记录软件。eEye数字安全公司发布了非官方的补丁软件。
9、IE HTA文件 荷兰研究人员杰佛里在3月份向微软报告了这一与IE处理HTML应用软件相关的问题。当微软表示不满后,杰佛里从其网站上删除了与该缺陷相关的资料。
10、Sendmail SMTP服务器软件 ISS于3月份在这一流行的互联网电子邮件软件中发现了缺陷,Sendmail立即发布了相关的补丁软件
分类 : 技术文摘 | 发表时间 17-04-2006
在安装mysql解压包时虽然安装成功但在WINDOW自动启动时无法加载MYSQL服务,通过在网上不断的找资料还有自己的实践终于搞定,希望对遇到这要问题的朋友有点作用,
如何让MYSQL服务进程中自动加载MYSQL
1.在 开始--》运行中执行 c:\mysql\bin\mysqld-nt -install (卸载时执行-uninstall)
2.把c:/mysql/my-medium.ini改名为my.ini并修改里面的相关配置拷到c:/winnt 或c:/winnts c:/windows 下
3.然后在开始--》运行 中执行 net start|stop|restart mysql
下面在本地机上采用安装的方式生成的my.ini
[注:要根据自己的实际情况修改相应的参数即可]
# MySQL Server Instance Configuration File
# ———————————————————————-
# Generated by the MySQL Server Instance Configuration Wizard
#
#
# Installation Instructions
# ———————————————————————-
#
# On Linux you can copy this file to /etc/my.cnf to set global options,
# mysql-data-dir/my.cnf to set server-specific options
# (@localstatedir@ for this installation) or to
# ~/.my.cnf to set user-specific options.
#
# On Windows you should keep this file in the installation directory
# of your server (e.g. C:\Program Files\MySQL\MySQL Server 4.1). To
# make sure the server reads the config file use the startup option
# “–defaults-file”.
#
# To run run the server from the command line, execute this in a
# command line shell, e.g.
# mysqld –defaults-file=”C:\Program Files\MySQL\MySQL Server 4.1\my.ini”
#
# To install the server as a Windows service manually, execute this in a
# command line shell, e.g.
# mysqld –install MySQL41 –defaults-file=”C:\Program Files\MySQL\MySQL Server 4.1\my.ini”
#
# And then execute this in a command line shell to start the server, e.g.
# net start MySQL41
#
#
# Guildlines for editing this file
# ———————————————————————-
#
# In this file, you can use all long options that the program supports.
# If you want to know the options a program supports, start the program
# with the “–help” option.
#
# More detailed information about the individual options can also be
# found in the manual.
#
#
# CLIENT SECTION
# ———————————————————————-
#
# The following options will be read by MySQL client applications.
# Note that only client applications shipped by MySQL are guaranteed
# to read this section. If you want your own MySQL client program to
# honor these values, you need to specify it as an option during the
# MySQL client library initialization.
#
[client]
port=3306
[mysql]
default-character-set=latin1
# SERVER SECTION
# ———————————————————————-
#
# The following options will be read by the MySQL Server. Make sure that
# you have installed the server correctly (see above) so it reads this
# file.
#
[mysqld]
# The TCP/IP Port the MySQL Server will listen on
port=3306
#Path to installation directory. All paths are usually resolved relative to this.
basedir=”C:/Program Files/MySQL/MySQL Server 5.0/”
#Path to the database root
datadir=”C:/Program Files/MySQL/MySQL Server 5.0/Data/”
# The default character set that will be used when a new schema or table is
# created and no character set is defined
default-character-set=latin1
# The default storage engine that will be used when create new tables when
default-storage-engine=INNODB
# Set the SQL mode to strict
sql-mode=”STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”
# The maximum amount of concurrent sessions the MySQL server will
# allow. One of these connections will be reserved for a user with
# SUPER privileges to allow the administrator to login even if the
# connection limit has been reached.
max_connections=100
# Query cache is used to cache SELECT results and later return them
# without actual executing the same query once again. Having the query
# cache enabled may result in significant speed improvements, if your
# have a lot of identical queries and rarely changing tables. See the
# “Qcache_lowmem_prunes” status variable to check if the current value
# is high enough for your load.
# Note: In case your tables change very often or if your queries are
# textually different every time, the query cache may result in a
# slowdown instead of a performance improvement.
query_cache_size=0
# The number of open tables for all threads. Increasing this value
# increases the number of file descriptors that mysqld requires.
# Therefore you have to make sure to set the amount of open files
# allowed to at least 4096 in the variable “open-files-limit” in
# section [mysqld_safe]
table_cache=256
# Maximum size for internal (in-memory) temporary tables. If a table
# grows larger than this value, it is automatically converted to disk
# based table This limitation is for a single table. There can be many
# of them.
tmp_table_size=5M
# How many threads we should keep in a cache for reuse. When a client
# disconnects, the client’s threads are put in the cache if there aren’t
# more than thread_cache_size threads from before. This greatly reduces
# the amount of thread creations needed if you have a lot of new
# connections. (Normally this doesn’t give a notable performance
# improvement if you have a good thread implementation.)
thread_cache_size=8
#*** MyISAM Specific options
# The maximum size of the temporary file MySQL is allowed to use while
# recreating the index (during REPAIR, ALTER TABLE or LOAD DATA INFILE.
# If the file-size would be bigger than this, the index will be created
# through the key cache (which is slower).
myisam_max_sort_file_size=100G
# If the temporary file used for fast index creation would be bigger
# than using the key cache by the amount specified here, then prefer the
# key cache method. This is mainly used to force long character keys in
# large tables to use the slower key cache method to create the index.
myisam_max_extra_sort_file_size=100G
# If the temporary file used for fast index creation would be bigger
# than using the key cache by the amount specified here, then prefer the
# key cache method. This is mainly used to force long character keys in
# large tables to use the slower key cache method to create the index.
myisam_sort_buffer_size=8M
# Size of the Key Buffer, used to cache index blocks for MyISAM tables.
# Do not set it larger than 30% of your available memory, as some memory
# is also required by the OS to cache rows. Even if you’re not using
# MyISAM tables, you should still set it to 8-64M as it will also be
# used for internal temporary disk tables.
key_buffer_size=8M
# Size of the buffer used for doing full table scans of MyISAM tables.
# Allocated per thread, if a full scan is needed.
read_buffer_size=64K
read_rnd_buffer_size=256K
# This buffer is allocated when MySQL needs to rebuild the index in
# REPAIR, OPTIMZE, ALTER table statements as well as in LOAD DATA INFILE
# into an empty table. It is allocated per thread so be careful with
# large settings.
sort_buffer_size=212K
#*** INNODB Specific options ***
# Use this option if you have a MySQL server with InnoDB support enabled
# but you do not plan to use it. This will save memory and disk space
# and speed up some things.
#skip-innodb
# Additional memory pool
that is used by InnoDB to store metadata
# information. If InnoDB requires more memory for this purpose it will
# start to allocate it from the OS. As this is fast enough on most
# recent operating systems, you normally do not need to change this
# value. SHOW INNODB STATUS will display the current amount used.
innodb_additional_mem_pool_size=2M
# If set to 1, InnoDB will flush (fsync) the transaction logs to the
# disk at each commit, which offers full ACID behavior. If you are
# willing to compromise this safety, and you are running small
# transactions, you may set this to 0 or 2 to reduce disk I/O to the
# logs. Value 0 means that the log is only written to the log file and
# the log file flushed to disk approximately once per second. Value 2
# means the log is written to the log file at each commit, but the log
# file is only flushed to disk approximately once per second.
innodb_flush_log_at_trx_commit=1
# The size of the buffer InnoDB uses for buffering log data. As soon as
# it is full, InnoDB will have to flush it to disk. As it is flushed
# once per second anyway, it does not make sense to have it very large
# (even with long transactions).
innodb_log_buffer_size=1M
# InnoDB, unlike MyISAM, uses a buffer pool to cache both indexes and
# row data. The bigger you set this the less disk I/O is needed to
# access data in tables. On a dedicated database server you may set this
# parameter up to 80% of the machine physical memory size. Do not set it
# too large, though, because competition of the physical memory may
# cause paging in the operating system. Note that on 32bit systems you
# might be limited to 2-3.5G of user level memory per process, so do not
# set it too high.
innodb_buffer_pool_size=8M
# Size of each log file in a log group. You should set the combined size
# of log files to about 25%-100% of your buffer pool size to avoid
# unneeded buffer pool flush activity on log file overwrite. However,
# note that a larger logfile size will increase the time needed for the
# recovery process.
innodb_log_file_size=10M
# Number of threads allowed inside the InnoDB kernel. The optimal value
# depends highly on the application, hardware as well as the OS
# scheduler properties. A too high value may lead to thread thrashing.
innodb_thread_concurrency=8
分类 : 编码知识 | 发表时间 17-04-2006
目前Java开发领域的各种集成开发环境(IDE)呈现出百花齐放的局面,从Borland的JBuilder,到IBM的Visual Age for Java、WebSphere Studio,Oracle的JDeveloper,Sun的 Forte for Java,WebGain的Visual Cafe,TogetherSoft的Together,还有开放源代码的Eclipse、NetBeans 等,种类10种有余。这么多种类的IDE繁荣了Java开发工具家族,但是也为开发人员的选择提出了难题。这些IDE的开发环境有着较大的差别,在一种开发环境下开发的项目不能很方便地移植到另一种开发环境,这就要求更为谨慎地选择适合项目目标的开发工具。
在目前所有的IDE中,Eclipse可以说是最有发展前途的产品之一。Eclipse最初由OTI和IBM两家公司的IDE产品开发组创建,起始于1999年4月。IBM提供了最初的Eclipse代码基础,包括Platform、JDT和PDE。目前由IBM牵头,围绕着Eclipse项目已经发展成为了一个庞大的Eclipse联盟,有150多家软件公司参与到Eclipse项目中,其中包括Borland、Rational Software、Red Hat及Sybase,最近Oracle也计划加入到Eclipse联盟中。
基本概念
在学习使用Eclipse之前,有必要对关于这个项目的名词做一些解释。
Eclipse是一个开放源代码的软件开发项目,专注于为高度集成的工具开发提供一个全功能的、具有商业品质的工业平台。它由Eclipse项目、Eclipse工具项目和Eclipse技术项目三个项目组成,每一个项目由一个项目管理委员会监督,并由它的项目章程管理。每一个项目由其自身的子项目组成,并且使用 Common Public License(CPL)版本1.0许可协议。
Eclipse工具项目为不同的工具建造者提供一个焦点,以保证为Eclipse Platform创建最好的工具。Eclipse工具项目的任务是为Eclipse Platform培育广泛的工具的创建。工具项目提供单一的联系点以调和开放源代码工具建造者,从而使得覆盖和重复最小化,并保证共享的最大化和共同组件的创建,促进不同类型工具的无缝互操作。工具项目由工具开发者委员会和工具项目的项目管理委员会提议、选择和开发的子项目组成。
Eclipse技术项目的任务是为开放源代码开发者、研究者、学院和教育者提供新的管道,以参与将来Eclipse的演化。它按照研究、培育和教育三个项目流来组织,研究项目在Eclipse相关领域诸如编程语言、工具和开发环境方面进行探索和研究;培育项目是小型的、未正式结构化的项目,为Eclipse软件基础添加新的能力;教育项目聚焦于教育材料的开发、教学帮助和课件。
Eclipse Platform是一个开放的可扩展的IDE。Eclipse Platform提供建造块和构造并运行集成软件开发工具的基础。Eclipse Platform允许工具建造者独立开发与他人工具无缝集成的工具你无须分辨一个工具功能在哪里结束,而另一个工具功能在哪里开始。
Eclipse SDK(软件开发者包)是3个Eclipse项目的子项目(Platform、JDT、PDE)所生产的组件合并,它们可以一次下载。这些部分在一起提供了一个具有丰富特性的开发环境,允许开发者有效地建造可以无缝集成到Eclipse Platform中的工具。Eclipse SDK由Eclipse项目生产的工具和来自其它开放源代码的第三方软件组合而成。Eclipse项目生产的软件以 CPL发布,第三方组件有各自自身的许可协议。
下载、安装Eclipse
知道了这些关于Eclipse项目的信息,我们可以下载、安装一个Eclipse。Eclipse SDK就是我们要下载的,其中包括了开发Java应用的所有内容和Eclipse项目的所有成果。
进入Eclipse项目的主页http://www.eclipse.org,点击Downloads,进入下载页。Eclipse最新的版本是2.0.2版,但是2.0.2版的多国语言翻译包还没有出来,所以我们可以使用一个稍早一点的版本2.0.1。点击2.0.1进入其下载页,这个页面有很多下载连接,包括Eclipse SDK在很多平台上的版本,这里我们只需要下载eclipse-SDK-2.0.1-win32.zip和NLS-SDK-2.0.1-Translations.zip两个文件就可以了,另外还有一个 eclipse-examples-2.0.1-win32.zip文件,是学习《Java开发用户指南》所需要的。将这3个文件解压缩到相同的目录,如D:\eclipse。
在运行Eclipse之前首先应该安装好JDK(Sun 的JDK或IBM的JDK都可以,应该安装1.3以上版本,推荐使用1.4以上版本,因为只有使用1.4以上版本的JDK才可以享受到新增的HotSwap功能对于调试带来的方便),设置好环境变量JAVA_HOME、CLASSPATH和PATH。
为D:\eclipse下的eclipse.exe在桌面上建立一个快捷方式。双击快捷方式启动Eclipse。Eclipse也可以以命令行方式启动,在命令行上指定使用的JVM和保存数据的workspace,例如:
D:\eclipse\eclipse.exe-vmD:\WebSphere\AppServer\java
\bin\javaw.exe -data
D:\WORK\workspace
其中,D:\WORK\workspace是保存项目文件的位置。
可以选择帮助→帮助内容进入Eclipse的帮助系统。有了Eclipse的多国语言翻译包,所有的选单和联机帮助都已经翻译成了中文,使用起来非常方便。
下面我们编写一个HellWorld程序,步骤如下:
1.选择文件→新建→项目;
2.项目类别选Java;
3.项目列表选Java项目;
4.点击“下一步”;
5.输入项目名称,例如:HelloProject;
6.点击“完成”;
7.在工具条里点击“创建Java类”的按钮(带有一个C标记)见图1;
8.在名称域输入HelloWorld;
9.点击public static void main(String[] args) 的复选框,让Eclipse创建main方法(见图2); 
10.点击“完成”;
11.一个Java编辑窗口将打开,在main方法中输入System.out.println(“Hello World”)行;
12.使用Ctrl-s保存,这将自动编译 HelloWorld.java;
13.点击工具条里的“运行”按钮;
14.选择“Java应用程序”,然后选“新建”;
15.输入项目名称Hello-Project和main类名 HelloWorld;
16.点击“运行”;
17.这时候,将会打开一个控制台窗口,一句 “Hello World”将会显示在里面(见图3)。
Eclipse有一个增量编译器,每次保存一个Java文件时它就自动进行编译。这个特性被称做“自动构建”。如果不需要这个功能,可以在窗口→首选项→工作台→对资源修改执行自动构建,关闭这个特性。随后工具条中会出现“全部构建”的按钮。类似的选项也会出现在相关的选单中。
创建CVS资源库
现在我们知道如何创建一个项目了,下一步是与某个版本服务器建立连接,将项目发布到版本服务器中。目前开源软件都是使用CVS来做版本管理,因此我们也使用CVS来举例。Eclipse SDK已经包括了支持CVS的插件,要想使用其它的版本管理软件,例如VSS,可以从Eclipse的网站上下载
相关的插件。创建一个CVS资源库位置的步骤如下:
1.打开CVS资源库开发透视图(窗口→打开透视图→其它→CVS资源库开发)。
2.在CVS资源库视图里点右键,新建→资源库位置,见图4。 
3.在添加CVS资源库对话框中输入CVS Server 的详细信息。
4.点击“完成”。
5.一旦配置好CVS资源库,就可以把项目输入资源库了。转到Java透视图,在项目名称上点右键,选择小组→共享项目。
6.选择刚才添加的资源库。
7.点击“完成”。
8.在同步窗口中的项目上点右键,选提交。
9.输入为提交加入的注释,如图5。 
10.点击“确定”,则项目被发布到CVS资源库中。
11.将项目共享到资源库中后,可以使用“与资源库同步”功能来发布代码,并且赶上别人对资源库中代码所做的修改。在项目上点右键,小组→与资源库同步。
下载、安装应用服务器JBoss
为了做服务器端的开发,还需要一个应用服务器,并且把应用服务器与Eclipse集成起来。Eclipse可以与多种应用服务器共同工作,包括WebLogic、WebSphere、JRun、Orion/Oracle9iAS、JBoss、JOnAS、Resin等。下面以目前流行的开放源代码应用服务器JBoss来举例。首先要下载并安装好JBoss,我使用的是JBoss 3.0.3,安装在D:\jboss-3.0.3目录。为了把JBoss与Eclipse相集成,还需要下载相关的插件,下载位置是http://www.genuitec.com/products_easie.htm、http://www.genuitec.com/products/EASIEJBoss1.0.6.zip。在http://www.genuitec.com/products/Eclipse_JBoss.pdf还有一个安装的指导。退出Eclipse,将刚才下载的文件解压缩到D:\eclipse下,重新启动Eclipse。
新安装的插件需要激活才能使用,选择窗口→定制透视图,将“其它”中的EASIE JBoss项选中。
然后配置这个插件,选择窗口→首选
ps:不知道是否结束,转发自:中国it实验室
分类 : 技术文摘 | 发表时间 16-04-2006
无论是使用手工试探还是使用安全测试工具,恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。
1.通过互联网直接连接
这些连接可以用来攻击没有防火墙保护、全世界都可以看到和访问的SQL服务器。DShield公司的端口报告显示了有多少系统在那里等待遭受攻击。我不理解允许从互联网直接访问这种重要的服务器的理由是什么。但是,我在我的评估中仍发现了这种安全漏洞。我们都记得SQL Slammer蠕虫对那样多的有漏洞的SQL服务器系统造成的影响。而且,这些直接的攻击能够导致拒绝服务攻击、缓存溢出和其它攻击。
2.安全漏洞扫描
安全漏洞扫描通常可以基本的操作系统、网络应用程序或者数据库系统本身的弱点。从没有使用SQL安全补丁、互联网信息服务(IIS)设置弱点到SNMP(简单网络管理协议)漏洞等任何事情都能够被攻击者发现,并且导致数据库被攻破。这些坏蛋也需使用开源软件、自己制作的工具软件或者商业性工具软件。有些技术高手甚至能够在命令提示符下实施手工黑客攻击。为了节省时间,我建议使用商业性的安全漏洞评估工具,如Qualys公司的QualysGuard(用于普通扫描)、SPI Dynamics公司的WebInspect(用于网络应用程序扫描)和下一代安全软件公司的“NGSSquirrel for SQL Server”(用于数据库扫描)。这些工具软件很容易使用,提供了最广泛的评估,并且可以提供最佳的结果。图1显示了你可能发现的一些SQL注入安全漏洞。
3.列举SQL服务器解析服务
在UDP端口1434上运行,这能让你发现隐蔽的数据库实例和更深入地探查这个系统。Chip Andrews的“SQLPing v 2.5”是一个极好的工具,可用来查看SQL服务器系统并且确定版本编号。你的数据库实例即使不监听这个默认的端口,这个工具软件也能发挥作用。此外,当过分长的SQL服务器请求发送到UDP端口1434的广播地址的时候,会出现缓存溢出问题。
4.破解SA口令
攻击者还可以通过破解SA口令的方法进入SQL服务器数据库。遗憾的是,在许多情况下不需要破解口令,因为没有分配口令。因此,可以使用上面提到的一种小工具SQLPing。Application安全公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。
5.直接利用安全漏洞攻击
使用图1显示的Metasploit等工具软件可以直接实施攻击。这种软件的商业性软件“CANVAS”和“CORE IMPACT”等能够利用在正常的安全漏洞扫描过程中发现的安全漏洞实施攻击。这是非常有效的攻击手段,攻击者可利用这种手段突破系统、从事代码注入或者取得非经授权的命令行访问权限。
6.SQL注入
SQL注入攻击可以通过没有正确验证用户输入的前端网络应用程序实施。包括SQL指令在内的异常的SQL查询可以直接注入到网络URL(统一资源定位符)中,并且返回一些错误通知,执行一些指令等等。如果你有时间的话,这些攻击可以手工实施。我一旦发现一个服务器有一个潜在的SQL注入安全漏洞,我喜欢使用一种自动的工具深入研究这个漏洞。这些工具包括图3显示的SPI Dynamics公司的SQL注入器等。
7.SQL盲注攻击
这些攻击以标准的SQL注入攻击相同的基本方式利用网络应用程序和后端SQL服务器的安全漏洞。最大的区别是攻击者收不到以错误通知形式从网络服务器发回的信息。这种攻击由于涉及到猜口令,速度要比标准的SQL注入攻击慢一些。在这种情况下,你需要一种比较好的工具。那就是图4显示的Absinthe工具。
8.对系统实施逆向工程
逆向工程的方法可以查找软件的安全漏洞和内存损坏弱点等漏洞。在利用软件安全漏洞方面,可以参考Greg Hoglund和Gary McGraw合著的“如何破解代码”一书,你可以发现有关逆向工程方法的一些讨论。
9.Google hacks
Google hacks利用Google搜索引擎不同寻常的力量搜出可公开访问的系统泄漏出来的SQL服务器的错误,如“Incorrect syntax near”(附近语法错误)。Johnny Long编写的“Google Hacking Database”数据库中一些Google的查询项目。(查看错误信息和包含口令的文件部分)。黑客能够使用Google找到口令、网络服务器中的安全漏洞、基本的操作系统、公开提供的程序以及其它能够用来攻破SQL服务器系统的东西。通过Google网站的“site:”操作符把这些查询结合在一起同场可以发现你想不到能够找到的东西。
10.熟读网站源代码
源代码还能够暴露可能导致SQL服务器被攻破的信息。特别是开发人员为了简化身份识别过程把SQL服务器身份识别信息存储在ASP脚本中的情况下更是如此。手工评估或者Google能够在一瞬间就发现这个信息。
分类 : 系统安全 | 发表时间 16-04-2006
L-blog是一款较为成熟的blog程序,拥有强大的功能和简便的操作,这些优点使L-blog有着数量可观的用户群。然而,L-blog程序中代码的过滤不严,导致黑客可以向L-blog中写入恶意数据,从而将自己的账号提升为管理员,进而登录L-blog后台管理系统,写入webshell,并进一步得提升权限,从而获取服务器的控制权。威胁如何产生?我们又该如何防范?这正是本文所要讲述的重点。
一、洞查先机,漏洞成因早知道
下载L-blog程序,用记事本打开其中的member.asp,可以找到如下代码:“mem_Sex=”&CheckStr(Request.Form(“mem_Sex”))&””,这句代码是对用户在修改资料时的性别一栏进行更新,而这句代码却存在过滤不严的漏洞,黑客可以绕过验证,将需要写入的数据本地提交到“性别”一栏中,从而利用这个漏洞将账号提升为L-blog管理员。
目前网上使用最多的L-blog有两个版本,L-Blog V1.08 (SE) Final和L-Blog V1.10 AIO,后者是前者的升级版本,但是这两个版本都存在过滤不严的漏洞,由于两者的代码不同,因此有着不同的利用方法,下面我们就对这两个版本的利用方法进行阐述。
二、提升权限,构造本地提交页面
我们首先打开使用L-Blog V1.08 (SE) Final版本的blog,注册一个用户。完成后我们点击用户控制面板上的“修改资料”,进入“编辑个人资料”页面。这时我们点击IE的查看菜单,选择“源文件”,将弹出的源文件内容保存为test.txt。用记事本的“查找”功能可以找到如下代码:“form action=”member.asp?action=edit&edit=post””,由于我们需要本地提交,因此需要将这里的相对路径改为绝对路径,即将member.asp前面的网址补充完整。继续往下看,来到如下代码处:
“
男
女
保密”
这段代码就是让用户在修改个人资料时选择自己的性别,从正常的页面中我们可以看到,“性别”这一栏中是“男,女,保密”三个选项的单选框,那么我们又如何将恶意数据从“性别”这一栏写入呢?
选中上文中的这段代码,将其替换为“
”,然后保存这个文本文档,接着将这个文本文档的后缀名改为htm。用IE打开test.htm,网页会显示不全,但是可以看到,“性别”一栏处已经从单选框变成了文本框,这也就意味着我们可以写入任意数据了。
在“性别”一栏的文本框中输入:“0,mem_Status=”SupAdmin””(不包括引号),点击“确定编辑”即可完成本地提交。我们重新登陆L-blog,可以发现,在“用户中心”中多出了两个选项“发表日志”和“系统管理”(如图1),这两个选项是只有L-blog的管理员才能够看到的,因此证明我们已经成功将自己的账号提升为管理员了。
三、绕过验证,利用工具提交数据
在上文中我们已经说到L-blog的两个版本利用方法不同,那不同在哪呢?由于L-Blog V1.10 AIO更新了验证机制,使原有的本地提交页面这种方法已经不起作用。然而新版本只是更新了验证机制,而并没有从根本上修补漏洞,因此我们可以利用工具将数据提交上去,从而绕过新版本的验证机制,其效果和构造本地提交页面是一样的。
1.NC、WSockExpert,双剑合壁
NC和WSockExpert是本地提交入侵中经常用到的工具,WSockExpert用于数据包的抓取,NC用于数据包的提交。下面我们就来看看如何利用这两款工具绕过L-blog的本地提交验证。同上文中步骤,注册完成后来到“编辑个人资料”页面,我们运行WSockExpert,点击工具栏处的“打开”按钮,找到IE的进程,双击,选中当前L-blog的进程信息,点击“OPEN”进入抓包状态。我们切换回L-blog,在“编辑个人资料”页面中填入旧密码,点击“确定编辑”。这时我们会发现
WSockExpert中已经抓取到了许多数据包,其中可以找到一个以“POST”开头的数据包,这正是我们所需要的。选中以“PSOT”开头的数据包,在下方会出现其具体内容(如图2)。将所有的内容复制下来,保存为test.txt,最内容的最下方可以找到mem_Sex这一个参数,其默认的参数值为“0”,我们需要将它修改为“0,mem_Status=”SupAdmin””,由于我们修改后使整个数据包增加了22个字节,所以我们还需要对数据包中Content-Length参数进行相应的修改,完成后保存。
提示:在“编辑个人资料”页面中只需填入旧密码,其他选项一概不要填写,否则将使测试失败。
将test.txt和NC放在同一目录下,运行“命令提示符”,输入如下命令“NCwww.***.com 80 < test.txt”,其中的网址为L-blog的地址,这句命令的意思是将test.txt的内容提交到L-blog上。回车后我们回看到很多乱码,不用管它,重新登陆L-blog,是不是同样提升成功了呢?
2.L-blog漏洞利用工具,见血封喉
从上文中我们可以看到,这两种L-blog漏洞的利用方法都显得比较麻烦,而且一旦利用过程中疏忽了一个字节,那么测试也将以失败告终。因此有网络安全爱好者开发了L-blog漏洞的利用程序,可以很方便得对L-blog进行测试。
运行“L-Blog提权利用程序”,如图3所示,在地址一栏中填写欲测试的L-blog地址,在Cookie中填入你在L-blog中的cookie。至于cookie的获取,可以使用WSockExpert进行抓包,在“POST”数据包中可以找到Cookie字段,复制其后面的数值到L-blog漏洞利用程序中就可以了。接着在“旧密码”选项中填入账户的密码即可。最后点击“提交”,即可对L-blog进行测试,测试的效果和NC,WSockExpert进行测试是一样的。
四、得到webshell,后台写入木马
按照上面的步骤,我们可以很快得到L-blog的管理员权限,接下去我们可以在后台写入asp木马,从而得到一个webshell,获取更大的权限。
这里我们选用的asp木马是“冰狐浪子微型ASP后门”,这是一款C/S形式的asp木马,其分为客户端和服务端两部分,由于其服务端只有一句代码,因此也被称为“一句话木马”。由于L-blog的后台管理并没有可以写入大型asp木马的地方,因此“一句话木马”的优势就可以充分发挥出来了。
进入L-blog的后台,找到“数据管理”选项,查看L-blog的数据库地址,例如“d:\free\blogdata\acblog10.asa”,这里显示的只是数据库的本地路径,我们需要将它补充到网址后面,例如“http://www.***.com/blogdata/acblog10.asa”。然后进入“链接管理”,新建一项链接,如图4所示,其中“名称”和“图片”选项可以随便填,然后在“链接”一项中填入“冰狐浪子微型ASP后门”的服务端代码“”,其中“piao”为连接密码,完成后点击“编辑”即可。这样我们就可以将木马写入数据库了。
提示:写入的木马只对以asp或asa为后缀的数据库有效
运行“冰狐浪子微型ASP后门”的客户端icyfox007.htm,在“ASP URL”一项中填入L-blog的数据库地址,然后在“PassWord”一项中填入我们设置的连接密码“piao”,接着在下方选择需要执行的命令,点击“RUN”即可,执行成功后会弹出一个新窗口显示执行效果(如图5)。这样,我们就得到了一个功能强大的webshell。接下去,便可以对服务器进行各种控制了。
五、拒绝黑客,修改代码升级系统
由于L-blog的漏洞是由于代码的疏忽造成的,因此修补漏洞的方法十分简单,可以归纳为以下几点:
1.修改漏洞代码
从上文中可以得知,出现漏洞的一句代码为“mem_Sex=”&CheckStr(Request.Form(“mem_Sex”))&””,由于这句代码缺少一对单引号,造成过滤不严,因此我们只要将这对缺少的单引号加上去,就可以修补漏洞。修改完成后的代码为“mem_Sex=’”&CheckStr(Request.Form(“mem_Sex”))&”‘”。
2.升级最新版本
目前L-blog的官方网站上已经有新版本,新版本不存在此漏洞,因此可以通过升级最新的L-blog版本避免攻击。
3.修改数据库后缀
由于L-blog的后台没有可以写入大型asp木马的地方,因此想得到webshell必须使用“一句话木马”,而使用“一句话木马”的前提是数据库必须为asp或asa后缀,即直接可以在IE中浏览数据库内容。因此我们可以将数据库的后缀名改为mdb,这样即使L-blog被入侵,黑客也是无法得到webshell的,当然修改完数据库后缀后别忘了修改commond.asp中的数据库连接地址。
