嗅探器的英文寫法是siffer, 所謂網絡嗅探，其實就是對大量網絡數據流進行分析，從中分離出我們感興趣的東西并記錄下來或顯示出來。可以理解為個安裝在計算機上的竊聽設備，它可以用來竊聽計算機在網絡上所產生的眾多的信息，可以監視網絡的狀態、數據流動情況及網絡上傳輸的信息。當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式竊取網上傳送的數據包。將網絡接口設置在監聽模式，可以將網上傳輸的信息截獲。

嗅探類型的工具有以下模塊組成：

• 數據包嗅探模塊：大規模的應用程序很少采用單機運行模式，Snort通常采用分布式體系對網絡進行入侵檢測。最典型的安裝方式是3層體系，即傳感器層、服務器層、分析員控制臺。通常數據包采集模塊和包解碼器運行在傳感器上，負責對抓來的包進行解釋。由于傳感器必須放置在被監控的網段，為了保證安全，通常只安裝Snort和在它之下運行的支撐應用程序。傳感器的兩塊網卡中的一塊用作被動采集數據包，接口不分配IP地址，另一塊用作管理接口，需要分配IP地址。數據包采集程序運行在Libpcap平臺上，由于Libpcap平臺的獨立性使得Snort可以被移植到任何地方，成為一個真正與平臺無關的應用程序。

• 預處理程序模塊：預處理程序是Snort的一類插件。它在Snort運行檢測引擎之前對數據進行處理，并且努力與不斷變化的漏洞和攻擊保持同步。用戶可以添加新的協議為Snort提供支持，它既能對數據包操作以便檢測引擎能正確分析數據包，又能檢測特征檢測所不能單獨發現的可疑流量。新的攻擊方法和IDS躲避技術不斷涌現，以至Snort的檢測引擎要么不能檢測，要么檢測效率不高。預處理程序可以將數據標準化以便檢測引擎能正確對其進行分析。此外，一些病毒制造者為了躲避反病毒程序的特征匹配引擎而引入多態病毒；同樣的技術也被用于遠程利用，shell代碼具有多種形態。Fnord預處理程序能檢測出變異的NO-OP Sled，從而避免了由于緩沖區溢出使處理器強制執行惡意代碼導致的程序崩潰。NO-OP Sled能被許多IDS輕易地檢測到，除非它在每次被使用時都做修改。如果沒有Fnord預處理，Snort將無法檢測多態Shell代碼。

• 檢測引擎模塊：檢測引擎是Snort的主要組件。它有兩個主要功能：規則分析和特征檢測。檢測引擎通過分析Snort規則來建立攻擊特征。Snort規則被載入到檢測引擎并以樹形數據結構分類。規則按功能分為兩個部分：規則頭（規則樹節點）和規則選項（選項樹節點）。規則頭包含特征應用的條件信息。樹形結構通過最小化發現可疑行為的必要檢測次數來提高效率。惡意行為被發現后，Snort將入侵數據寫入不同的輸出插件。最有效的檢測攻擊的方法是基于特征的檢測。基于特征的檢測的基礎是異常或惡意網絡流量符合一種獨特的模式，而正常或良性流量不符合。對Snort來說，一個惡意流量特征可以被創建成一個規則以載入它的檢測引擎，用于進行特征匹配。通過特征檢測出可疑流量后，還可以進一步檢測可疑的數據包內容字段。

• 數據聚合模塊：以一種工業標準格式從許多完全不同的安全設施聚合數據，從而進行事件關聯。

• 報警模塊：Snort有兩種主要的報警方法，即Syslog和Swatch報警、入侵數據庫控制臺報警。Swatch是一種簡單且功能強大的工具，它能積極地監控系統日志，當發生了事先配置的事件時就發出報警。

• 分層報警模塊：入侵檢測系統領域的報警分為3類，無優先級報警、嚴格編碼的優先級報警、可定制的優先級報警。無優先級報警不能按嚴重程度進行分類，通告會變得非常多，無法采用緊急時間自動通知機制；嚴格編碼的優先級報警由銷售商決定哪些報警重要，程序員可以進行排序和篩選，但這種“one fits all”的方法對于報警并不適合；可定制的優先級報警是現代網絡的模塊化和獨特性所需要的。報警能基于事先設置的優先級進行排序。Snort自帶了32種預定義的警報分類。

Web掃描/爬蟲/google hack檢測

基于知名或常用命名webshell的文件名

基于web日志的檢測

部分webshel會講操作的目標參數放在url參數中日志若可記錄referer字段

基于文件屬性的檢測

基于文件創建日期的檢測
設置文件的創建基準日期(用戶附件目錄除外)
以創建時間為線索進行搜索,基準日期后所有文件
文件最后修改日期
用于查找被插入到已有文件中的一句話木馬
基于文件的MD5值檢測
初始狀態下設立安全基準值
安裝狀態下記錄WEB目錄結構并對目錄中文件計算

基于文件內容的檢測

基于關鍵字檢測
黑客常用關鍵字
常用命令執行、文件操作函數
基于文件屬性的檢測
特殊目錄中的特殊類型文件
用戶可寫入的目錄
非用戶可寫入的文件類型

嗅探器的英文寫法是siffer, 所謂網絡嗅探，其實就是對大量網絡數據流進行分析，從中分離出我們感興趣的東西并記錄下來或顯示出來。可以理解為個安裝在計算機上的竊聽設備，它可以用來竊聽計算機在網絡上所產生的眾多的信息，可以監視網絡的狀態、數據流動情況及網絡上傳輸的信息。當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式竊取網上傳送的數據包。將網絡接口設置在監聽模式，可以將網上傳輸的信息截獲。

嗅探類型的工具有以下模塊組成：

• 數據包嗅探模塊：大規模的應用程序很少采用單機運行模式，Snort通常采用分布式體系對網絡進行入侵檢測。最典型的安裝方式是3層體系，即傳感器層、服務器層、分析員控制臺。通常數據包采集模塊和包解碼器運行在傳感器上，負責對抓來的包進行解釋。由于傳感器必須放置在被監控的網段，為了保證安全，通常只安裝Snort和在它之下運行的支撐應用程序。傳感器的兩塊網卡中的一塊用作被動采集數據包，接口不分配IP地址，另一塊用作管理接口，需要分配IP地址。數據包采集程序運行在Libpcap平臺上，由于Libpcap平臺的獨立性使得Snort可以被移植到任何地方，成為一個真正與平臺無關的應用程序。

• 預處理程序模塊：預處理程序是Snort的一類插件。它在Snort運行檢測引擎之前對數據進行處理，并且努力與不斷變化的漏洞和攻擊保持同步。用戶可以添加新的協議為Snort提供支持，它既能對數據包操作以便檢測引擎能正確分析數據包，又能檢測特征檢測所不能單獨發現的可疑流量。新的攻擊方法和IDS躲避技術不斷涌現，以至Snort的檢測引擎要么不能檢測，要么檢測效率不高。預處理程序可以將數據標準化以便檢測引擎能正確對其進行分析。此外，一些病毒制造者為了躲避反病毒程序的特征匹配引擎而引入多態病毒；同樣的技術也被用于遠程利用，shell代碼具有多種形態。Fnord預處理程序能檢測出變異的NO-OP Sled，從而避免了由于緩沖區溢出使處理器強制執行惡意代碼導致的程序崩潰。NO-OP Sled能被許多IDS輕易地檢測到，除非它在每次被使用時都做修改。如果沒有Fnord預處理，Snort將無法檢測多態Shell代碼。

• 檢測引擎模塊：檢測引擎是Snort的主要組件。它有兩個主要功能：規則分析和特征檢測。檢測引擎通過分析Snort規則來建立攻擊特征。Snort規則被載入到檢測引擎并以樹形數據結構分類。規則按功能分為兩個部分：規則頭（規則樹節點）和規則選項（選項樹節點）。規則頭包含特征應用的條件信息。樹形結構通過最小化發現可疑行為的必要檢測次數來提高效率。惡意行為被發現后，Snort將入侵數據寫入不同的輸出插件。最有效的檢測攻擊的方法是基于特征的檢測。基于特征的檢測的基礎是異常或惡意網絡流量符合一種獨特的模式，而正常或良性流量不符合。對Snort來說，一個惡意流量特征可以被創建成一個規則以載入它的檢測引擎，用于進行特征匹配。通過特征檢測出可疑流量后，還可以進一步檢測可疑的數據包內容字段。

• 數據聚合模塊：以一種工業標準格式從許多完全不同的安全設施聚合數據，從而進行事件關聯。

• 報警模塊：Snort有兩種主要的報警方法，即Syslog和Swatch報警、入侵數據庫控制臺報警。Swatch是一種簡單且功能強大的工具，它能積極地監控系統日志，當發生了事先配置的事件時就發出報警。

• 分層報警模塊：入侵檢測系統領域的報警分為3類，無優先級報警、嚴格編碼的優先級報警、可定制的優先級報警。無優先級報警不能按嚴重程度進行分類，通告會變得非常多，無法采用緊急時間自動通知機制；嚴格編碼的優先級報警由銷售商決定哪些報警重要，程序員可以進行排序和篩選，但這種“one fits all”的方法對于報警并不適合；可定制的優先級報警是現代網絡的模塊化和獨特性所需要的。報警能基于事先設置的優先級進行排序。Snort自帶了32種預定義的警報分類。

網絡監聽的防范措施如下：

• 加密技術：在傳輸的數據中，最重要的是用戶名及口令，所以使用加密技術來防止網絡監聽。數據經過加密后，監聽到的數據顯示為亂碼，黑客在一般情況下是不能解密的。但是使用加密技術會影響數據傳輸速率。

• 對網絡分段：在拓撲結構上從邏輯或物理上對網絡進行分段，其目的是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法監聽。

• 用交換式集線器代替共享式集線器：對局域網的中心交換機進行網絡分段后，局域網監聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，使用最廣泛的分支集線器通常是共享式集線器，當用戶與主機進行數據通信時，兩臺機器之間的數據包還是會被同一臺集線器上的其他用戶所監聽。因此，應該以交換式集線器代替共享式集線器，使數據包僅在兩個節點之間傳送，從而防止非法監聽。

• 安全技術：運用VLAN技術將以太網通信變為點到點通信，這樣可以防止大部分基于網絡監聽的入侵。網絡監聽往往是攻擊者在入侵系統后進行的，當攻擊者得到了用戶權限后，就會在這臺計算機上安裝監聽軟件去攻擊同一網段上的其他主機，對以太網設備上傳送的數據進行偵聽，從而收集計算機的有用信息，所以防止系統被攻破是重中之重。

• 驗證：對傳入數據包進行身份驗證是防止暴露出真實ip地址或 MAC 地址被抓包。使用提供身份驗證的標準和協議。大多數加密協議，例如 TLS、安全/多用途 Internet 郵件擴展、OpenPGP 和IPsec，都包含某種形式的身份驗證。

• 網絡監控：安全團隊應該通過滲透檢測系統或端口是否存在異常網絡活動。安全團隊還應該使用惡意行為者用來檢測網絡漏洞的相同嗅探器程序。

• 提高安全意識：讓大家了解監聽風險以及防范此類竊聽的方法。由于許多竊聽都涉及惡意軟件，因此建議大家不要單擊鏈接或下載不熟悉的文件。不定的修改賬號密碼可以防止攻擊者通過泄露的憑據獲得訪問權限。此外，告訴大家避免使用公共Wi-Fi 網絡。

ISO/OSI安全體系包括安全服務、安全機制、安全管理和安全層次四部分內容。其中，安全機制是ISO/OSI安全體系的核心內容之一，通過安全機制實現了ISO/OSI安全體系中的安全服務和安全管理，而安全層次描述了安全服務的位置。ISO/OSI安全體系中提供了五種安全服務，分別是認證服務、數據機密性服務、數據完整性服務、訪問控制服務和不可否認性服務。

ISO/OSI 安全體系具有以下功能：

1. 安全服務

   ISO/OSI安全體系中提供了五種安全服務，分別是認證服務、數據機密性服務、數據完整性服務、訪問控制服務和不可否認性服務。

2. 安全機制

   ISO/OSI安全體系中的安全機制分為特殊安全機制和通用安全機制兩大類。

   特殊安全機制包括加密機制、數字簽名、訪問控制、數據完整性、鑒別交換、業務流量填充、路由控制和公證機制。

   通用安全機制包括可信任功能、安全標簽、事件檢測、安全審計跟蹤和安全恢復。

3. 安全管理

   ISO/OSI安全體系中的安全管理可分為系統安全管理、安全服務管理和安全機制管理三個部分。

   系統安全管理包括安全策略管理、事件處理管理、安全審計管理、安全恢復管理等。

   安全服務管理包括為服務決定與指派目標安全保護、指定與維護選擇規則、用以選取為提供所需的安全服務而使用的特定的安全機制、對那些需要事先取得管理同意的可用安全機制進行協商（本地的和遠程的）、通過適當的安全機制管理功能調用特定的安全機制，例如，用來提供行政管理而強加的安全服務等。

   安全機制管理包括密鑰管理、加密管理、數字簽名管理、訪問控制管理、數據完整性管理、鑒別管理、通信業務填充管理、路由選擇控制管理和公證管理等。

4. 安全層次

   ISO/OSI安全體系是通過在不同的網絡層上分布不同的安全機制實現的，這些安全機制是為了滿足相應的安全服務所必須選擇的，其在不同網絡層上的分布情況如圖所示。

ISO/OSI安全體系中的安全服務與安全機制間的相互關系參見下圖。在圖中，對于每一種安全服務都標明了哪些安全機制被認為是適宜的，或單獨提供一種機制，或多種機制聯合提供。

個人隱私信息面臨的主要威脅有以下這些：

• 通過用戶賬號竊取隱私：通過用戶的賬戶信息竊取用戶隱私是最簡單、最直接的方式。隨著互聯網服務的快速發展，個人信息愈來愈多地被存儲在互聯網上。簡單而言，通過社交網站獲得用戶的人際關系，通過電商網站獲得用戶的住址、電話等，通過支付類網站獲取用戶的身份信息，通過招聘網站獲取用戶的簡歷信息。如此，網絡服務中包含著用戶方方面面的個人信息，而這些信息數據可以通過用戶的賬戶直接獲取，所以，保護賬戶信息對于保護隱私和保持網絡安全意識而言尤為重要。

• 通過誘導輸入搜集隱私：誘導輸入是一種直接通過用戶交互獲得用戶隱私信息的方法，常見的形式包括線上的賬戶注冊和線下的問卷調查。

• 通過終端設備提取隱私：通過終端設備提取隱私是目前常見的、極其重要的一種隱私泄露途徑。隨著網絡時代的發展，電子設備應用非常廣泛，常見的終端包括筆記本電腦、手機、平板電腦、智能手表、智能手環等。這些電子設備都存儲了用戶大量的個人信息，是隱私泄露的重大隱患。舉個例子，很多不法分子在回收二手手機后，使用數據恢復程序恢復設備中殘留的網銀信息、支付寶信息、照片等敏感數據，用于其他違法犯罪活動。

• 通過黑客攻擊獲取隱私：黑客攻擊是傳統獲取隱私的重要方式，目前仍是隱私泄露的重要原因，黑客會攻擊一些存儲大量信息的數據庫或網站，從而達到盜取用戶個人信息的目的。

防火墻的重要行為是日志記錄，日志記錄是指網絡設備、系統及服務程序等，在運作時都會產生一個叫log的事件記錄，每一行日志都記載著日期、時間、使用者及動作等相關操作的描述，將這些信息進行記錄是防火墻的重要行為。

防火墻主要功能如下：

• 包過濾

  包過濾是防火墻所要實現的最基本功能，它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾，靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制，而動態包過濾是在所有通信層上對包的狀態進行檢測分析，判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序，易擴展、易實現。

• 審計和報警機制

  審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。

• 遠程管理

  遠程管理是防火墻管理功能的擴展之一，也是非常實用的功能，防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻，甚至坐在家中就可以重新調整防火墻的安全規則和策略。

• NAT

  絕大多數防火墻都具有網絡地址轉換（NAT）功能。目前防火墻一般采用雙向NAT，即SNAT和DNAT。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏內部網絡的結構，使得對內部的攻擊更加困難；并可以節省IP資源，有利于降低成本。DNAT主要用于實現外網主機對內網和DMZ區主機的訪問。

• 代理

  目前代理主要有如下兩種實現方式。分別是透明代理（Transparent proxy）和傳統代理。

• MAC地址與IP地址的綁定

  把MAC地址與IP地址綁定在一起，主要用于防止那些受到控制（不允許訪問外網）的內部用戶通過更換IP地址來訪問外網。

• 流量控制（帶寬管理）和統計分析、流量計費

  流量控制可以分為基于IP地址的控制和基于用戶的控制。基于IP地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。

  統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于IP、服務、時間、協議等進行統計，并與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。

• VPN

  在以往的網絡安全產品中，VPN是一個單獨產品，現在大多數廠商把VPN與防火墻捆綁在一起，進一步增強和擴展了防火墻的功能，這也是一種產品整合的趨勢。

MFA全稱Multi-Factor Authentication是一種簡單有效的最佳安全實踐方法，它能夠在用戶名和密碼之外再額外增加一層安全保護。啟用MFA后系統將要求輸入用戶名和密碼（第一安全要素），然后要求輸入來自其MFA設備的動態驗證碼（第二安全要素），雙因素的安全認證將為您的賬戶提供更高的安全保護MFA設備可以基于硬件也可以基于軟件。

堡壘機主要功能如下：

• 登錄功能

  支持對X11、linux、unix、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷安全。

• 賬號管理

  設備支持統一賬戶管理策略，能夠實現對所有服務器、網絡設備、安全設備等賬號進行集中管理，完成對賬號整個生命周期的監控，并且可以對設備進行特殊角色設置如：審計巡檢員、運維操作員、設備管理員等自定義設置，以滿足審計需求

• 身份認證

  身份認證設備提供統一的認證接口，對用戶進行認證，支持身份認證模式包括動態口令、靜態密碼、硬件key、生物特征等多種認證方式，設備具有靈活的定制接口，可以與其他第三方認證服務器之間結合；安全的認證模式，有效提高了認證的安全性和可靠性。

• 資源授權

  設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全

• 訪問控制

  設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

• 操作審計

  設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計；通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

為了安全找回被病毒隱藏的U盤文件，不建議使用殺毒的方法來解決問題，可以通過CMD文件解決U盤文件被病毒隱藏的問題：

1. 使用組合鍵（WIN +R）打開運行窗口，輸入“notepad”后點擊回車鍵，新建一個記事本文件。

2. 接著將下面的代碼復制進記事本中：

for /f "delims=?" %%a in ('dir /a /b') do attrib -a -s -h -r "%%a"
@echo off
pause>nul
exit

點擊“文件>另存為”選項>將文件名命名為“病毒隱藏文件夾.cmd”>點擊“保存”按鈕。

3. 將保存的“病毒隱藏文件夾.cmd”的文件拷貝進U盤根目錄，并雙擊運行程序。該程序將對所有根目錄文件執行attrib命令，恢復所有被病毒隱藏文件。

不同人員或部門對網絡安全內容的側重點分別是：

• 網絡安全工程人員：從實際應用角度出發，更注重成熟的網絡安全解決方案和新型網絡安全產品，注重網絡安全工程建設開發與管理、安全防范工具、操作系統防護技術和安全應急處理措施等。

• 網絡安全研究人員：注重從理論上采用數學等方法精確描述安全問題的特征，之后通過安全模型等解決具體的網絡安全問題。

• 網絡安全評估人員：主要關注網絡安全評價標準與準則、安全等級劃分、安全產品測評方法與工具、網絡信息采集、網絡攻擊及防御技術和采取的有效措施等。

• 網絡管理員或安全管理員：主要側重網絡安全管理策略、身份認證、訪問控制、入侵檢測、防御與加固、網絡安全審計、應急響應和計算機病毒防治等安全技術和措施。主要職責是配置與維護網絡，在保護授權用戶方便快捷地訪問網絡資源的同時，必須防范非法訪問、病毒感染、黑客攻擊、服務中斷和垃圾郵件等各種威脅，一旦系統遭到破壞，致使數據或文件造成損失，可以采取相應的應急響應和恢復等措施。

• 國家安全保密人員：注重網絡信息泄露、竊聽和過濾的各種技術手段，以避免涉及國家政治、軍事和經濟等重要機密信息的無意或有意泄露；抑制和過濾威脅國家安全的暴力與邪教等信息傳播，以免給國家的穩定帶來不利影響，甚至危害國家安全。

• 國防軍事相關人員：更關心信息對抗、信息加密、安全通信協議、無線網絡安全、入侵攻擊、應急處理和網絡病毒傳播等網絡安全綜合技術，以此奪取網絡信息優勢，擾亂敵方指揮系統，摧毀敵方網絡基礎設施，打贏未來信息戰爭。

網絡安全協議數據報結構包括以下方面：

• IP：IP協議面向無連接，主要負責在主機間尋址并為數據包設定路由，在交換數據前它并不建立會話，因為它不保證正確傳遞；另一方面，當數據被收到時，IP不需要收到確認，所以它是不可靠的。

• ARP：ARP用于獲得在同一物理網絡中的主機的硬件地址。要在網絡上通信必須知道對方主機的硬件地址，地址解析就是將主機IP地址映射為硬件地址的過程。

• ICMP：ICMP用于報告錯誤并對消息進行控制。ICMP是IP層的一個組成部分，它負責傳遞差錯報文及其他需要注意的信息。ICMP報文通常被IP層或更高層協議（TCP或UDP）使用，一些ICMP報文把差錯報文返回給用戶進程。

• IGMP：IGMP把信息傳給別的路由器，以使每個支持組播的路由器獲知哪個主機組處于哪個網絡中。

• TCP：TCP提供一種面向連接的、可靠的字節流服務。面向連接意味著兩個使用TCP的應用在彼此交換數據之前必須先建立一個TCP連接。

• UDP：UDP是一個簡單的面向數據報的傳輸層協議，進程的每個輸出操作都產生一個UDP數據報，并組裝成一份待發送的IP數據報。這與面向流字符的協議（如TCP）不同，應用程序產生的全體數據與真正發送的單個數據報可能沒有什么聯系。

針對挖礦木馬常用工具有如下幾個：

• ProcessExplorer：ProcessExplorer是進程管理工具，它能管理隱藏在后臺運行的程序，可監視、掛起、重啟、強行終止任何程序，包括系統級的不允許隨便終止的關鍵進程等。

• PCHunter：PCHunter是一個功能強大的Windows系統信息查看軟件，同時也是手工殺毒軟件，它不但可以查看各類系統信息，還可以查出計算機中潛伏的挖礦木馬。PCHunter使用了Windows內核技術。

• 金山毒霸隱蜂挖礦病毒專殺工具：金山毒霸隱蜂挖礦病毒專殺工具是金山毒霸推出的一款專殺挖礦木馬病毒的軟件。金山毒霸首家支持對“隱蜂”Bootkit挖礦木馬的查殺防御，并在詳細分析病毒行為后，第一時間推出了“隱蜂”Bootkit挖礦病毒專殺工具，以控制該病毒再次傳播。

• 360安全衛士：360安全衛士是奇虎360推出的一款Windows、Linux及Mac OS操作系統下的電腦安全輔助軟件。360安全衛士擁有電腦體檢、木馬查殺、系統修復、清理垃圾、優化加速、軟件管家等多種功能。360安全衛士獨創了“木馬防火墻”“360密盤”等功能，依靠搶先偵測和云端鑒別，可全面、智能地攔截各類木馬，保護用戶的帳號、隱私等重要信息，360安全衛士使用極其方便實用。

防火墻主要有以下三種技術：

• 包過濾技術：包過濾技術(IP Filtering or packet filtering) 的原理在于利用路由器監視并過濾網絡上流入流出的IP包，拒絕發送可疑的包。由于Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經端口，Router的廠商在Router上加入IP 過濾 功能，過濾路由器也可以稱作包過濾路由器或篩選路由器（Packet FilterRouter）。防火墻常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應該是足夠安全的，但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。

• 應用代理技術：應用代理(Application Proxy)技術是指在web服務器上或某一臺單獨主機上運行代理服務器軟件，對網絡上的信息進行監聽和檢測，并對訪問內網的數據進行過濾，從而起到隔斷內網與外網的直接通信的作用，保護內網不受破壞。在代理方式下，內部網絡的數據包不能直接進入外部網絡，內網用戶對外網的訪問變成代理對外網的訪問。同樣，外部網絡的數據也不能直接進入內網，而是要經過代理的處理之后才能到達內部網絡。所有通信都必須經應用層代理軟件轉發，應用層的協議會話過程必須符合代理的安全策略要求，因此在代理上就可以實現訪問控制、網絡地址轉換(NAT)等功能。

• 狀態檢測技術：狀態檢測技術是防火墻近幾年才應用的新技術。傳統的包過濾防火墻只是通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕，而狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性。

對漏洞管理有以下階段：

• 漏洞發現：通過人工或者自動的方法對漏洞進行探測、分析，并證實漏洞存在的真實性的過程。

• 漏洞接收：通過相應途徑接收漏洞報告者提交的漏洞信息的過程。

• 漏洞驗證：收到漏洞報告后，進行漏洞信息的技術驗證、確認和反饋的過程。

• 漏洞處置：通過升級版本、補丁、更改配置等方式，對漏洞進行修補的過程。

• 漏洞發布：通過公開渠道（如網站、郵件列表等）將漏洞信息向社會公布，或向限定范圍的個人和組織公布的過程。

• 督促核查：督促并監督漏洞管理活動的實施情況。

現在市面上的流量監控模型主要分為兩種：

• 串聯監聽

  串聯監聽顧名思義采用串聯的方式把流量監聽設備串聯在核心設備之上或者之下。監聽設備串聯在路由之上。所有流量必須經過監聽設備才能出網。

  • 優點：可以有效地監聽和阻隔流量

  • 缺點：一旦設備崩潰就斷網了

• 并聯模式

  并聯模式不同于串聯模式，采用旁路監聽進行流量監控。作用主要為流量監控，阻隔和響應作用不強。

  • 優點：可以更加靈活，不會因設備崩潰而影響網絡

  • 缺點：一般不具有阻隔作用