如何编程判断一台电脑是否安装了杀毒软件和防火墙?-CSDN社区

这套课程是反汇编系列课程的基础阶段，后期将陆续推出反汇编进阶及反汇编课程。整套反汇编课程的教学目标是为了让大家能够窥息计算机程序世界的奥妙，为将来成为一名合格的大Hacker打下夯实的基础。反汇编技术在计算机编程领域的应用非常广泛，从程序的性能优化到竞品软件的功能分析，从游戏外挂制作到大型厂商的反外挂体系，从木马病毒反人类到杀毒软件保平安等均需要从业者有深厚的反汇编功底。

浅谈办公网络安全——病毒防治随着信息化的不断扩展，办公网络在提高数据传输效率、实现数据集中、数据共享等方面发挥着越来越重要的作用。办公网络安全是办公系统软硬件正常顺利运行的基本前提，因此办公网络安全建设在确保各项工作安全有效地进行过程中更显得尤为重要。一、计算机网络安全的概念国际标准化组织将"计算机安全"定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是对网络信息保密性、完整性和可用性的保护。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面缺一不可。二、常见办公网络安全问题办公网络是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此办公网内信息的传输速率比较高，同时采用的技术比较简单，安全措施较少，给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。（一）网络病毒的传播与感染随着计算机和网络的发展，计算机病毒也不断涌现，其破环性也不断增强，而网络病毒破坏性就更强。如果服务器的硬盘被病毒感染，就可能造成系统损坏、数据丢失，使网络服务器无法起动，应用程序和数据无法正确使用，甚至导致整个网络瘫痪。网络病毒普遍具有较强的再生机制，可以通过网络扩散与传染。（二）数据破坏在办公网络中，有多种因素可能导致数据的破坏。首先是黑客侵入，黑客基于各种原因侵入网络，恶意侵入对网络的危害可能是多方面的，其中一种危害就是破坏数据，可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏，病毒可能攻击系统数据区，包括硬盘主引导扇区、Boot扇区、FA T表、文件目录等；病毒还可能攻击文件数据区，使文件数据被删除、改名、替换、丢失数据文件。第三是灾难破坏，由于自然灾害、突然停电、强烈震动等造成数据破坏。三、办公网络的安全防范措施针对办公网络常见的安全问题，可运用以下安全措施解决：（一）病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运行，特别是通过网络传播的病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。主要从以下几方面制定有针对性的防病毒措施： 1.加强办公网络管理人员及使用人员的安全意识。很多计算机系统常用口令来控制对系统资源的访问，这是防病毒最容易和最经济的方法之一。使用人员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。对办公网络使用人员明确病毒的危害，文件共享的时候尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，这些措施对杜绝病毒起到很重要的作用。 2.加强对移动存储设备的管理。在使用移动存储设备之前进行病毒的扫描和查杀，也可把病毒拒绝在外。 3.严格挑选网络版杀毒软件。查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素,有效使用杀毒软件是防毒杀毒的关键。（二）网络防火墙技术 防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于办公网络群体计算机与外界通道之间，限制外界用户对办公网络访问及管理内部用户访问外界网络的权限。防火墙过滤不安全的服务从而降低风险。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全防范措施来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。（三）安全加密技术信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。 1.常规密码。收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。 2.公钥密码。收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求，且密钥管理问题也

本软件来源于网络，本人搜集，如影响您的权益，请通知删除。网络岗旁路监控　　如果用户以硬件路由器（或FireWall)为出口上Internet，为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段：　　1.在网关处添加共享式HUB（集线器），Internet出口网络线和监控机网络线均接入HUB。　　2.在主交换机网口上设置镜像端口（一个镜像端口，一个被镜像端口)；监控机网络线接入镜像端口。　　上面实现的监控就是所谓的“旁路监控”。　　打个更形象的比喻：交警为监视公路上汽车行驶状况，为不影响交通，仅在路边配置一台监控设备，同步监视路上的每辆车，并不需要在路中间设卡检查车辆，这种方式相当与“旁路监控”。如果设卡监控，那就应该属于“非旁路监控” 优点：　　对网速影响甚小,如果不考虑封堵，可实现电信级的网络监视；所以网络流量庞大且封包需求很少时，必须采用该监控方式。缺点：　　1、封堵TCP连接时采用发送带RST标记的IP包，以破坏TCP连接；系统控制不好的话，则可能导致发送的封包太多，影响网络。　　2、不能封堵UDP通讯包。　　3、如果监控机处理速度慢，而流量太大，则可能导致分析包丢失。非旁路监控(拦截式) 　　1.网路岗NAT　　2.网路岗虚拟网桥（单网卡）　　3.网路岗网桥（双网卡）　　　防火墙产品是单纯采用“拦截式”技术的典型网络产品，所有进出FireWall数据包，都必须经过筛选，符合过滤过滤条件的数据包，将被抛弃。　　因此，防火墙的处理器性能和筛选规则的复杂程度，将直接影响到防火墙对数据包的处理速度，进而影响到网络速度。基于网卡、基于帐户、基于IP 　　所有的网络监控产品，都必须面对这个问题：在对具体电脑进行监控时，以什么信息来判断所捕获的数据包是由哪台机器发出的？　　“网路岗”提供了多种选项给客户选择，当用户网络是单网段，也就是说没有划分不同的IP段，我们建议客户选用“基于网卡”的方式，也就是说以“网卡地址MAC”来作为判断数据包的依据。　　相对IP地址来讲，网卡地址一般是不会改变的，而且是全球唯一的。针对单一网段内机器而言，网卡地址是网络寻址的重要依据，一旦网卡地址重复或不确定，必然造成网络通讯的紊乱或不稳定。　　针对多网段（划分VLAN）的情况，情况比较复杂，当数据包从某个VLAN转到其他VLAN时候，数据包中的网卡地址会发生改变，所以，我们捕获的网卡地址是发生变化了的，这时，如果系统对该MAC不加处理而简单使用，必然导致监控错乱。　　但是，这种情况，“网路岗”已经充分考虑了其应对策略，我们的客户依然可以选择“基于网卡”的方式，正如单一网段环境一样。　　当然，如果客户网络庞大，IP地址相对固定，从操作的简单性方面考虑，选择“基于IP”地址来监控也是可以的，用户也必须容忍IP地址是经常变化的。如果客户对某个范围IP的电脑行为感兴趣，那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。　　最后，我们要谈谈“基于帐户”。当客户机通过浏览器上网时候，会出现一个输入用户名和密码的画面，此时，只有当客户拥有了自己的用户名和密码，才拥有了上网的权限，这就是“基于帐户”模式的具体表现。　　“基于帐户”的方式从理论上讲，是完美的，因为该方式下，与被监控电脑的网卡地址和IP地址均无关系，而只需要根据用户帐号来判断监控对象。但其缺点也非常明显，因为客户机每次上网时候，都必须输入帐号及其对应的密码，给客户机上网带来麻烦，而且因为密码容易被忘记，网络管理员还不得不经常为客户机Reset密码。从目前客户的使用情况来看，“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。　网桥　　先解释一下通常意义下的“网桥”概念。　　网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。　　网桥通常有透明网桥和源路由选择网桥两大类。　　1、透明网桥　　简单的讲，使用这种网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。只须插入电缆就可以，现有LAN的运行完全不受网桥的任何影响。　　2、源路由选择网桥　　源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网（LAN）上。当发送一帧到另外的网段时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。　　下面图示的是在WinXP和Win2003系统下创建“网桥”：(Win2k下无此功能) 同时选中两块网卡，点Mouse右键，会弹出上图中的菜单。　　网桥一旦建立完成，其网卡原配的IP地址将消失，网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了？不是，用户仍然可以在上面显示的“网络桥”上配置另外的IP。　　透明网桥示意图：左右两边的机器可以相互访问，不用做任何额外的配置，就象两台交换机之间接入新的交换机设备一样。启用《网路岗》“网络桥” 　　网路岗也提供了“网络桥”功能，可以在WinXP/2K/2003上使用，应用更加广泛，如用户需要较严格的上网过滤，请启用网路岗网桥功能，记住：启用网路岗网桥之前，请确认系统自带的“网络桥”已经删除．虚拟网桥　　“虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同，仅仅因为其通讯过程类似“网桥”罢了。　　通常意义上的“网桥”一般需要两块网卡来实现，而这里所谓的“虚拟网桥”只需要一块网卡。　　下面的网络结构是非常常见的：机器：192.168.0.2发出的Internet数据包，直接发向网关192.168.0.1 　　以下是“网路岗”启用“虚拟网桥”功能后，数据包走向图：　　当“网路岗”主机启用“虚拟网桥”功能后，从客户机192.168.0.2发向Internet的数据包，先送到“网路岗”主机，然后由“网路岗”主机转发到网关192.168.0.1，反之亦然。　　不难看出，要达到一台机器监控整个网络的目的，只需要启用“虚拟网桥”功能就可以了，这种监控技术可以在纯交换机环境下实现，不需要添加HUB，也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。　　而实际使用中，该技术的缺点非常明显，虽然“网路岗”已经加入该技术，但有必要向客户交代其中问题所在。缺点1：客户机盲目安装. 　　既然装在任何一台电脑就可以实现对整个网络的监控，员工或学生是否会随意下载、随意安装、随意监控？这是完全可能的，因为毕竟实现监控的门槛太低。不过，当同时多台机器启用这类监控方式后，网络会出现紊乱状况，很可能导致无法上网。缺点2：很容易逃避监控　　所有采用类似监控技术的产品，均需要发送ARP欺骗包，以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包，使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。　　因此，在单网段环境下，我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段，那么请注意：“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品)，并记录在历史记录中。如何启用“虚拟网桥”？ 1、选中“非旁路监控”选项 2、设置“虚拟网桥”相关选项 3、选中并启用“虚拟网桥” 　共享上网NAT 　　“网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。　　NAT 对于解决 IPv4 地址耗费问题（在 IPv6 部署中却没必要）尽管成效及时，但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。　　除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。跨VLAN/单网段/多网段　　VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。　　VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。　　　　VLAN在交换机上的实现方法，可以大致划分为六类:　　1. 基于端口的VLAN（最常应用的一种VLAN划分方法)　　2. 基于MAC地址的VLAN　　3. 基于网络层协议的VLAN　　4. 根据IP组播的VLAN 　　5. 按策略划分的VLAN　　6. 按用户定义、非用户授权划分的VLAN 　　在监控产品中，所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。　　单网段：整个局域网只有一个IP段，如：192.168.0.x (255.255.255.0) 　　多网段：整个局域网有多个不同IP段，如：192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0) 镜像端口/监控端口/被监控端口　　在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上，这个过程就是“端口镜像”，如下图：　　端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。　　市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成了“单向接受”模式；这类情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；不过“网路岗”针对此类情况有专门的解决手段，如碰到此类情况，用户可以咨询我公司技术人员。　　不过仍然有部分交换机除外，比如：TPLink-SF2008 或TPLink-SF2008(web)，因为其价格便宜，功能实用，因此我们一般建议客户购买此款交换机进行监控。汇聚MAC 　　在多VLan环境下，假如 Vlan-1最靠近因特网，通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网，那么，其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时，其数据包中原来的网卡地址通常会改变，改变后的地址就是我们这里提到的“汇聚MAC”。　　建议用“工具”菜单下的“ip包分析工具”抓包，如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。　 MAC采集点　　见安装包中程序MacSetup.exe，网卡地址“采集”程序，在跨VLAN环境、且选择“基于网卡MAC”的方式监控时才用，一般可在每个VLAN中安装一个，不安装也可以，安装“MAC采集点”程序是为了获取更及时、准确、全面的客户机网卡地址情况，且可有效进行IP-MAC绑定。　　尽管客户不安装该程序，系统仍然可以跨VLAN获取机器MAC信息，所以本程序并非必须安装。　　安装方法极其简单,只需要在选定的机器上运行此程序即可,不用任何配置.