McAfee股票市值

Ⅰ 75歲「殺毒軟體之父」死在監獄：科技大佬變毒梟，揮霍數億資產…

范主說：殺毒卻被反殺？

最近，「殺毒軟體之父」約翰·邁克菲 （John McAfee） 死於巴塞羅那監獄的新聞，引發了不少熱議。

早在去年10月，邁克菲就因涉嫌逃避繳稅的罪名，在巴塞羅那機場被捕，並根據西班牙法律關押在當地監獄中。在他死亡的幾個小時前，法院剛剛批准了將他引渡到美國的決議。

據西班牙媒體報道稱，邁克菲的死很可能是自殺，監獄的醫務人員曾試圖搶救他，但沒有成功。

但是關於他的死因，坊間也有各種傳言。雖然邁克菲曾在法庭上表示：「如果我被引渡，我怕我會在監獄中度過餘生 （可能面臨60年監禁） 。」看起來像是擔心自己忍受不了太長的監禁，而尋了短見。

可是邁克菲之前自己也說過，如果他死在監獄里，不會是自殺，並說「要知道，如果我像愛潑斯坦那樣上吊自殺，那不是我的錯」。

他的律師也表示，自己和邁克菲聯系密切， 但他沒有表露任何自殺的跡象 ，且目前不知道監獄是否在他的牢房中安裝了攝像機。

更加讓人感到撲朔迷離的是，在邁克菲死亡30分鍾後，他的INS發了一張圖，圖上之後一個字母Q，然後這個賬戶就被注銷了。

關於他死亡的陰謀論也因此流傳起來，很多人不相信他是自殺，並且將他類比同樣在監獄神秘死亡的「淫魔富豪」愛潑斯坦。斯諾登甚至發推提醒「維基揭秘」創始人阿桑奇，說他可能是「下一個」……

雖然現在邁克菲死因尚未知曉，但他本人的經歷，卻是真的像電影一樣。從 科技 大佬到階下囚，制毒、養軍隊無法無天，還有各種混亂的私生活...幾乎一輩子都在折騰。

今天范主就來和大家聊聊，邁克菲大起大落的一生，是如何從「 科技 大佬」變成「法外狂徒」的。

發家史：從癮君子變成 科技 大佬

邁克菲是家中獨子，出生在一個普通家庭，母親是一名銀行出納，父親則是道路測量員，但他酗酒成性，在邁克菲15歲時就自殺了。

在父親去世的接下來的幾年裡，邁克菲也開始酗酒和吸毒，不過學習倒是沒落下，1967年他獲得了弗吉尼亞州羅阿諾克學院的數學學士學位，雖然稱不上是學霸，也算是知識分子一枚。

大學畢業後，他就開啟了自己的程序員生涯，曾先後在NASA、Univac和施樂公司從事軟體設計和運營工作，但經常因為吸high了被公司開除。

邁克菲曾告訴《連線》雜志，他在一家名為Omex的信息存儲系統公司工作時，每天都會在辦公桌前吸食可卡因，以及喝一瓶威士忌。

而且他不僅自己吸毒，還常年干著販毒的買賣。 沒過多久，他的妻子就受不了和他離婚。在此之後，邁克菲決定戒毒，老老實實當起了程序員。

直到20世紀80年代，在洛克希德公司工作的邁克菲，收到了世界上第一個個人電腦病毒的復製版本，並開始著手研發殺毒軟體。1987年，他成立了自己的公司，並開始售賣全球第一款商用殺毒軟體McAfee。

五年內，邁克菲的公司就佔領了近70%的桌面殺毒軟體市場。 在他的宣傳和營銷下，McAfee的業務一直處於狂漲的狀態。

當年《財富》榜上的100強中，有一半的公司都在使用他的軟體。 到1990 年時，McAfee就已經年收入500萬美元了，到了1992年公司在納斯達克上市時，股票更是價值8000萬美元。

然而就在公司發展得如日中天時，他忽然決定要把公司賣掉，原因是厭倦了...1994年他以1億美元的價格賣出了自己所有的股份，正式開啟「瞎霍霍」模式。

而McAfee後來被英特爾以76.8億美元的價格收購，之後又幾經易手，去年又重返納斯達克，估值約為86億美元，不過這些和邁克菲已經沒什麼關系了。

財富大起大落，依然瘋狂揮霍

賺了錢變身富豪的邁克菲，花式燒錢的方式也很奇葩。

賺錢後各種揮霍

離開公司後，邁克菲就開始瘋狂買買買，全美境內到處購置豪宅房產、買私飛遊艇，總之是頂級富豪的標配他都要來一套。

他先是在夏威夷僻靜的莫 洛凱島 購買了一座海濱豪宅、 佔地5.3英畝，而且花了七年時間來建造了這座豪宅，然而幾乎沒怎麼住過。

（圖片為示例）

後來又在新墨西哥州建立了一座牧場，裡面建造了一個可以容納35人的電影院，還在這里存放了不少他收藏的藝術品和豪車。

還斥資了2500萬美元的現金，在科羅拉多州建造了一座佔地280英畝的豪華庄園， 娛樂 設施、馬場等一應俱全，更誇張的是，他花了超過15年的時間從全世界各地淘收藏品把房子填滿...

匪夷所思的是，邁克菲還在這里開設了一個瑜伽靜修中心，後來他還寫了四本關於靈性的書籍……

邁克菲似乎是對庄園有什麼執念，據外媒統計，他前前後後擁有大約12處庄園，分布在北美、斐濟和他後來的主要居住國家貝里斯等，甚至可能更多。

除了全球置 （揮） 業 （霍） ，豪華的交通出行工具他也沒落下，可以容納10人、方便他飛來飛去的塞斯納私人飛機，買了。

（圖片為示例）

用來度假、又能彰顯身份的遊艇，也買了。據說他還很喜歡收藏古董車，也買過不少。

邁克菲骨子裡是個愛冒險的人，對於風箏翼飛機十分痴迷，據說他還花費了將近1200萬美元，在亞利桑那州和新墨西哥州的偏遠地區建立了7個飛行基地。

雖然生活方式很壕，但邁克菲一直都不修邊幅，穿衣也很程序員。

他佩戴過的腕錶可以扒到的較少，之前常戴這枚綠盤的運動表。

近年來戴得比較多的，就是這塊Bell&Ross了。

投資失敗、制毒養雇傭兵無法無天

一直在買買買的邁克菲也沒有停止投資，然而因為投資失敗，他開始瘋狂在法律的禁區蹦躂。

當年賣掉公司的他，在一通壕式購物之後，又買了價值數百萬美元的雷曼兄弟債券，直到2008年金融危機，雷曼兄弟宣布破產，邁克菲的投資也悉數化為泡沫。

無可奈何的他開始瘋狂拋售自己苦心建造的各種庄園，7年打造的夏威夷豪宅150萬美元，賣！2500萬科羅拉多庄園拋售價570萬美元，賣！各種豪車收藏品全部打折賣...

投資失敗給了他重重一擊，加上以往奢華無度，邁克菲的1億美元資產幾乎被揮霍一空。在外吹噓自己有數十億家產，最後實際上手頭只剩400萬美元。

2009年，受挫的邁克菲不得不離開了美國，搬到了講英語的中美洲國家貝里斯，並且在這里繼續折騰。

（邁克菲在貝里斯買的別墅）

為了賺錢，他表面上創辦了一些諸如雪茄製造、咖啡分銷公司和提供水上計程車服務之類的只能賺些「零花錢」的企業。

而他在貝里斯當地成立的一家制葯公司，被警方懷疑這是一個制毒窩點，當警察去他家突襲時，意外發現了數十槍，被當局指控組建私人軍隊。這只「軍隊」的成員全部由前罪犯組成，總之就是在法律的禁區變著花兒蹦噠。後來他在貝里斯的資產，也被當局沒收了。

他還因涉嫌謀殺鄰居被通緝，雖然他稱自己是無辜的，但還是選擇逃亡並繼續作妖，甚至還在網上懸賞12000美元徵集「真凶線索」。

除此之外，邁克菲還有許多犯罪行徑，據他本人說，自己曾先後在11個國家因違反槍支規定、販毒、逃稅和證券欺詐等罪行，被捕了21次 （真·半本刑法無疑） 。

其實在賣掉McAfee公司之後，邁克菲曾在 科技 領域連續創業，但都水花不大。近年來又搖身一變成了一名技術專家和加密貨幣的推動者，但又受到了推銷虛假的加密貨幣的指控，捲入欺詐和洗錢的罪名...

「狂人」邁克菲還多次聲稱稅收是非法的，並自曝自己從2010年起就沒有提交過納稅申報單，自己已經成為國稅局的「首要目標」。

或許邁克菲覺得自己虱子多了不怕癢，然而他最終還是栽在了稅務問題上，甚至搭上了自己的性命。

迷惑行為不停，私生活混亂

行為古怪，賺眼球博出位

放飛自我的邁克菲，近年來也有很多迷惑行為。

比如他曾在YouTube上傳過一個惡搞視頻，名為如何卸載邁克菲殺毒軟體。視頻中他身穿大富翁標配浴袍，環繞在周圍的美女最後把他扒個精光。這段視頻有一千萬的瀏覽量。邁克菲自己說是為了嘲笑媒體對他的負面報道。

此外他還在2016年和2020年兩次競選總統，競選綱領也是圍繞著網路安全、加密貨幣等等，第一次競選時就在推特上各種怒懟川普，第二次競選則是還在海外逃亡。雖然選上的可能性幾乎為0，但還是給他賺了不少眼球。

此外他還經常做一些出格的事情博出位，比如去年疫情期間，他戴著一條丁字褲作為口罩出現在挪威，結果又被警方逮捕。

私生活混亂，私生子眾多

瘋狂揮霍和花式犯罪之餘，邁克菲的私生活也是相當混亂。

他的第一任妻子，是他還在讀博士時候的本科生學妹，因為戀情邁克菲還被學校開除了，似乎結婚沒幾年就分道揚鑣了；第二任妻子名為Judy，曾幫助他一起成立和經營公司，但也在2002年以離婚告終。

而到了貝里斯之後，他開始徹底無視法律和道德，肆意妄為，和一名未成年的當地女孩交往。

後來甚至還同時和七個女人交往和群居，組成了自己的「後宮」，而且這7名女子年齡均在18-25歲之間...他還大言不慚地表示：和七個女人住在一起比有一個妻子壓力要小得多。

而關於自己的私生子，更是當成一種炫耀，在推特上廣而告之說自己有「47個孩子」.....

2012年邁克菲被驅逐而重返美國時，結識並僱傭了性工作者珍妮絲·戴森。珍妮絲比邁克菲小了足足30歲，不過兩人還是慢慢談戀愛並且結婚了。

然而這段「忘年戀」是不是真愛也很難說，因為珍妮絲在最初的幾年間，還肩負著監視和給外界提供邁克菲行蹤的任務。

之後珍妮絲似乎也確實愛上了邁克菲，她後來告訴媒體說，邁克菲不但解救了她，還讓她和兒子重新建立了聯系，看起來更像是對他抱有一些恩情。

就在去年邁克菲被監禁時，珍妮絲還曾在推特上激情發言，決定要為邁克菲的自由而戰，也算是用情至深了......

好啦，邁克菲憑大起大落的一生就給大家講到這里，雖然他早年取得了成就，但也確實不斷觸及法律和道德的底線，最終落得個no zuo no die的下場。大家對他看法如何，評論區聊聊吧

圖片來自網路，部分來自視覺中國

商務范出品：編輯 Blair Shira | 運營 Kien

來源微信公眾號『商務范』（微信號：bfaner）

Ⅱ 有沒有全球知名安全軟體廠商市值、利潤的排行

好像有一個利潤和市場份額的排名，前幾名的有emc、賽門鐵克、ibm、趨勢、麥咖啡[]

Ⅲ mcafee security centery提示迅雷有特洛伊木馬病毒是怎麼回事

一位客戶的PC出現了奇怪的症狀，速度變慢，CD-ROM托盤毫無規律地進進出出，從來沒有見過的錯誤信息，屏幕圖像翻轉，等等。我切斷了他的Internet連接，然後按照對付惡意軟體的標准步驟執行檢查，終於找出了罪魁禍首：兩個遠程訪問特洛伊木馬——一個是Cult of the Dead Cow臭名昭著的Back Orifice，還有一個是不太常見的The Thing。在這次事件中，攻擊者似乎是個小孩，他只想搞些惡作劇，讓別人上不了網，或者交換一些色情資料，但沒有什麼更危險的舉動。如果攻擊者有其他更危險的目標，那麼他可能已經從客戶的機器及其網路上竊得許多機密資料了。

特洛伊木馬比任何其他惡意代碼都要危險，要保障安全，最好的辦法就是熟悉特洛伊木馬的類型、工作原理，掌握如何檢測和預防這些不懷好意的代碼。

一、初識特洛伊木馬

特洛伊木馬是一種惡意程序，它們悄悄地在宿主機器上運行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言，大多數特洛伊木馬都模仿一些正規的遠程式控制制軟體的功能，如Symantec的pcAnywhere，但特洛伊木馬也有一些明顯的特點，例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟體之中，誘使粗心的用戶在自己的機器上運行。最常見的情況是，上當的用戶要麼從不正規的網站下載和運行了帶惡意代碼的軟體，要麼不小心點擊了帶惡意代碼的郵件附件。

大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程序的工具將伺服器部分綁定到某個合法軟體上，誘使用戶運行合法軟體。只要用戶一運行軟體，特洛伊木馬的伺服器部分就在用戶毫無知覺的情況下完成了安裝過程。通常，特洛伊木馬的伺服器部分都是可以定製的，攻擊者可以定製的項目一般包括：伺服器運行的IP埠號，程序啟動時機，如何發出調用，如何隱身，是否加密。另外，攻擊者還可以設置登錄伺服器的密碼、確定通信方式。

伺服器向攻擊者通知的方式可能是發送一個email，宣告自己當前已成功接管的機器；或者可能是聯系某個隱藏的Internet交流通道，廣播被侵佔機器的IP地址；另外，當特洛伊木馬的伺服器部分啟動之後，它還可以直接與攻擊者機器上運行的客戶程序通過預先定義的埠進行通信。不管特洛伊木馬的伺服器和客戶程序如何建立聯系，有一點是不變的，攻擊者總是利用客戶程序向伺服器程序發送命令，達到操控用戶機器的目的。

特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器，也可以用廣播方式發布命令，指示所有在他控制之下的特洛伊木馬一起行動，或者向更廣泛的范圍傳播，或者做其他危險的事情。實際上，只要用一個預先定義好的關鍵詞，就可以讓所有被入侵的機器格式化自己的硬碟，或者向另一台主機發起攻擊。攻擊者經常會用特洛伊木馬侵佔大量的機器，然後針對某一要害主機發起分布式拒絕服務攻擊（Denial of Service，即DoS），當受害者覺察到網路要被異乎尋常的通信量淹沒，試圖找出攻擊者時，他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜數據機用戶，真正的攻擊者早就溜之大吉。

二、極度危險的惡意程序

對於大多數惡意程序，只要把它們刪除，危險就算過去，威脅也不再存在，但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣，也會刪除或修改文件、格式化硬碟、上傳和下載文件、騷擾用戶、驅逐其他惡意程序，例如，經常可以看到攻擊者霸佔被入侵機器來保存游戲或攻擊工具，用戶所有的磁碟空間幾乎都被侵佔殆盡，但除此之外，特洛伊木馬還有其獨一無二的特點——竊取內容，遠程式控制制——這使得它們成為最危險的惡意軟體。

首先，特洛伊木馬具有捕獲每一個用戶屏幕、每一次鍵擊事件的能力，這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射，甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有一個麥克風，特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭，許多特洛伊木馬能夠把它打開，捕獲視頻內容——在惡意代碼的世界中，目前還沒有比特洛伊木馬更威脅用戶隱私的，凡是你在PC前所說、所做的一切，都有可能被記錄。

一些特洛伊木馬帶有包嗅探器，它能夠捕獲和分析流經網卡的每一個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門，即使木馬後來被清除了，攻擊者仍可以利用以前留下的後門方便地闖入。

其次，如果一個未經授權的用戶掌握了遠程式控制制宿主機器的能力，宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力，而且還能夠冒充PC合法用戶，例如冒充合法用戶發送郵件、修改文檔，當然還可以利用被侵佔的機器攻擊其他機器。二年前，一個家庭用戶請我幫忙，要我幫他向交易機構證明他並沒有提交一筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址，而且在他的瀏覽器緩沖區中，我也找到了該筆有爭議的交易的痕跡。另外，我還找到了SubSeven（即Backdoor_G）特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關，但可以看出交易發生之時特洛伊木馬正處於活動狀態。

三、特洛伊木馬的類型

常見的特洛伊木馬，例如Back Orifice和SubSeven等，都是多用途的攻擊工具包，功能非常全面，包括捕獲屏幕、聲音、視頻內容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程式控制制器、FTP伺服器、HTTP伺服器、Telnet伺服器，還能夠尋找和竊取密碼。攻擊者可以配置特洛伊木馬監聽的埠、運行方式，以及木馬是否通過email、IRC或其他通信手段聯系發起攻擊的人。一些危害大的特洛伊木馬還有一定的反偵測能力，能夠採取各種方式隱藏自身，加密通信，甚至提供了專業級的API供其它攻擊者開發附加的功能。由於功能全面，所以這些特洛伊木馬的體積也往往較大，通常達到100 KB至300 KB，相對而言，要把它們安裝到用戶機器上而不引起任何人注意的難度也較大。

對於功能比較單一的特洛伊木馬，攻擊者會力圖使它保持較小的體積，通常是10 KB到30 KB，以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用，它們把受害用戶的每一個鍵擊事件記錄下來，保存到某個隱藏的文件，這樣攻擊者就可以下載文件分析用戶的操作了。還有一些特洛伊木馬具有FTP、Web或聊天伺服器的功能。通常，這些微型的木馬只用來竊取難以獲得的初始遠程式控制制能力，保障最初入侵行動的安全，以便在不太可能引起注意的適當時機上載和安裝一個功能全面的大型特洛伊木馬。

隨便找一個Internet搜索網站，搜索一下關鍵詞Remote Access Trojan，很快就可以得到數百種特洛伊木馬——種類如此繁多，以至於大多數專門收集特洛伊木馬的Web網站不得不按照字母順序進行排列，每一個字母下有數打甚至一百多個木馬。下面我們就來看看兩種最流行的特洛伊木馬：Back Orifice和SubSeven。

■ Back Orifice

1998年，Cult of the Dead Cow開發了Back Orifice。這個程序很快在特洛伊木馬領域出盡風頭，它不僅有一個可編程的API，還有許多其他新型的功能，令許多正規的遠程式控制制軟體也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）發行，希望能夠吸引一批正規用戶，以此與老牌的遠程式控制制軟體如pcAnywhere展開競爭。

但是，它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內接受。攻擊者可以利用BO2K的伺服器配置工具可以配置許多伺服器參數，包括TCP或UDP、埠號、加密類型、秘密激活（在Windows 9x機器上運行得較好，在Windows NT機器上則略遜一籌）、密碼、插件等。

Back Orifice的許多特性給人以深刻的印象，例如鍵擊事件記錄、HTTP文件瀏覽、注冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP埠重定向、消息發送、遠程重新啟動、遠程鎖定、數據包加密、文件壓縮，等等。Back Orifice帶有一個軟體開發工具包（SDK），允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程式控制制機器的鍵盤和滑鼠。就實際應用方面而言，Back Orifice對錯誤的輸入命令非常敏感，經驗不足的新手可能會使它頻繁地崩潰，不過到了經驗豐富的老手那裡，它又會變得馴服而又強悍。

■ SubSeven

SubSeven可能比Back Orifice還要受歡迎，這個特洛伊木馬一直處於各大反病毒軟體廠商的感染統計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用，還具有埠重定向、注冊表修改、麥克風和攝像頭記錄的功能。圖二顯示了一部分SubSeven的客戶端命令和伺服器配置選項。

SubSeven具有許多令受害者難堪的功能：攻擊者可以遠程交換滑鼠按鍵，關閉/打開Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和關閉CD-ROM驅動器，關閉和打開監視器，翻轉屏幕顯示，關閉和重新啟動計算機，等等。

SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發起人聯系，它能夠隨機地更改伺服器埠，並向攻擊者通知埠的變化。另外，SubSeven還提供了專用的代碼來竊取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保護程序的密碼。

四、檢測和清除特洛伊木馬

如果一個企業網路曾經遭受病毒和Email蠕蟲的肆虐，那麼這個網路很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密，因此對於常規的反病毒軟體來說，查找木馬要比查找蠕蟲和病毒困難得多。另一方面，特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此，檢測和清除特洛伊木馬是系統管理員的首要任務。

要反擊惡意代碼，最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬，並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬，但某些工具的效果令人懷疑，至少不值得完全信任。不過，Agnitum的Tauscan確實稱得上頂級的掃描軟體，過去幾年的成功已經證明了它的效果。

特洛伊木馬入侵的一個明顯證據是受害機器上意外地打開了某個埠，特別地，如果這個埠正好是特洛伊木馬常用的埠，木馬入侵的證據就更加肯定了。一旦發現有木馬入侵的證據，應當盡快切斷該機器的網路連接，減少攻擊者探測和進一步攻擊的機會。打開任務管理器，關閉所有連接到Internet的程序，例如Email程序、IM程序等，從系統托盤上關閉所有正在運行的程序。注意暫時不要啟動到安全模式，啟動到安全模式通常會阻止特洛伊木馬裝入內存，為檢測木馬帶來困難。

大多數操作系統，當然包括Windows，都帶有檢測IP網路狀態的Netstat工具，它能夠顯示出本地機器上所有活動的監聽埠（包括UDP和TCP）。打開一個命令行窗口，執行「Netstat -a」命令就可以顯示出本地機器上所有打開的IP埠，注意一下是否存在意外打開的埠（當然，這要求對埠的概念和常用程序所用的埠有一定的了解）。

顯示了一次Netstat檢測的例子，檢測結果表明一個Back Orifice使用的埠（即31337）已經被激活，木馬客戶程序使用的是遠程機器（ROGERLAP）上的1216埠。除了已知的木馬常用埠之外，另外還要特別留意未知的FTP伺服器（埠21）和Web伺服器（埠80）。

但是，Netstat命令有一個缺點，它能夠顯示出哪些IP埠已經激活，但卻沒有顯示出哪些程序或文件激活了這些埠。要找出哪個執行文件創建了哪個網路連接，必須使用埠枚舉工具，例如，Winternals Software的TCPView Professional Edition就是一個優秀的埠枚舉工具。Tauscan除了能夠識別特洛伊木馬，也能夠建立程序與埠的聯系。另外，Windows XP的Netstat工具提供了一個新的-o選項，能夠顯示出正在使用埠的程序或服務的進程標識符（PID），有了PID，用任務管理器就可以方便地根據PID找到對應的程序。

如果手頭沒有埠枚舉工具，無法快速找出幕後肇事者的真正身份，請按照下列步驟操作：尋找自動啟動的陌生程序，查找位置包括注冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式，可能的話，用Netstat命令確認一下特洛伊木馬尚未裝入內存。接下來，分別運行各個前面找出的有疑問的程序，每次運行一個，分別用Netstat命令檢查新打開的埠。如果某個程序初始化了一個Internet連接，那就要特別小心了。深入研究一下所有可疑的程序，刪除所有不能信任的軟體。

Netstat命令和埠枚舉工具非常適合於檢測一台機器，但如果要檢測的是整個網路，又該怎麼辦？大多數入侵檢測系統（Intrusion Detection System，IDS）都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構，特洛伊木馬數據包也一樣。只要正確配置和經常更新IDS，它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見http://www.snort.org，了解常見的源代碼開放IDS工具。

五、處理遺留問題

檢測和清除了特洛伊木馬之後，另一個重要的問題浮現了：遠程攻擊者是否已經竊取了某些敏感信息？危害程度多大？要給出確切的答案很困難，但你可以通過下列問題確定危害程度。首先，特洛伊木馬存在多長時間了？文件創建日期不一定值得完全信賴，但可資參考。利用Windows資源管理器查看特洛伊木馬執行文件的創建日期和最近訪問日期，如果執行文件的創建日期很早，最近訪問日期卻很近，那麼攻擊者利用該木馬可能已經有相當長的時間了。

其次，攻擊者在入侵機器之後有哪些行動？攻擊者訪問了機密資料庫、發送Email、訪問其他遠程網路或共享目錄了嗎？攻擊者獲取管理員許可權了嗎？仔細檢查被入侵的機器尋找線索，例如文件和程序的訪問日期是否在用戶的辦公時間之外？

在安全要求較低的環境中，大多數用戶可以在清除特洛伊木馬之後恢復正常工作，只要日後努力防止遠程攻擊者再次得逞就可以了。至於安全性要求一般的場合，最好能夠修改一下所有的密碼，以及其他比較敏感的信息（例如信用卡號碼等）。

在安全性要求較高的場合，任何未知的潛在風險都是不可忍受的，必要時應當調整管理員或網路安全的負責人，徹底檢測整個網路，修改所有密碼，在此基礎上再執行後繼風險分析。對於被入侵的機器，重新進行徹底的格式化和安裝。

特洛伊木馬造成的危害可能是非常驚人的，由於它具有遠程式控制制機器以及捕獲屏幕、鍵擊、音頻、視頻的能力，所以其危害程度要遠遠超過普通的病毒和蠕蟲。深入了解特洛伊木馬的運行原理，在此基礎上採取正確的防衛措施，只有這樣才能有效減少特洛伊木馬帶來的危害.

Ⅳ 想下載一個免費的防火牆，要好的，哪裡有

一、 防病毒軟體
（一） 國外殺毒軟體
1． Kaspersky
官方網站：http://www.kaspersky.com
最新版本：Kaspersky Internet Security 2006 RC11
Kaspersky Anti-VirusPersonal Pro 5.0.522 正式版
提到Kaspersky不得不提Eugene Kaspersky，他是國際反病毒史上最著名的專家之一。1989年，Eugene Kaspersky開始研究計算機病毒現象。從1991年到1997年，他在俄羅斯大型計算機公司「KAMI」的信息技術中心，帶領一批助手研發出了AVP (AntiVirus Tookit Pro)反病毒程序。Kaspersky Lab於1997年成立，Eugene Kaspersky是創始人之一。2000年11月，AVP更名為Kaspersky Anti-Virus。Eugene Kaspersky是計算機反病毒研究員協會(CARO)的成員，該協會的成員都是國際頂級的反病毒專家。AVP的反病毒引擎和病毒庫，一直以其嚴謹的結構、徹底的查殺能力為業界稱道。
AVP雖然是技術的巔峰之作，但由於長時間懶於開發市場，很長時間里用戶並不多，導致部分的開發人員流失。俄羅斯的另一家反病毒產品Dr.Web，與AVP有很深的淵源，而Symantec NAV的主力開發人員裡面，也可見Eugene舊部的身影，還有人跳槽去了McAfee，但這始終也改變不了AVP是全球頂級反病毒引擎的事實。芬蘭的F-Secure，德國的G-Date，日本的Vintage Solutions都使用了卡巴的AV核心模塊。AVP殺毒引擎「解決辦法」在法國被解密後，Kaspersky反病毒引擎被許多國家的殺毒軟體「借用」，使得Kaspersky實驗室忙不迭地到處打擊盜版。同時，隨著AVP產品被盜用得越來越頻繁，AVP近親產品的「市場佔有率」空前高漲。
Kaspersky無疑是當今國際最頂級的反病毒軟體。病毒庫更新快，2小時升級一次。查殺能力強，最大缺點是佔用系統資源過大，如果電腦配置不高建議還是放棄吧，它會起到跟病毒軟體同樣的效果「卡巴死機」。Kaspersky官方有中文版軟體，但是更新速度比英文版稍慢，最新英文版的民間漢化一直由漢化新世紀的呂達嶸跟進，想嘗鮮的朋友可以訪問漢化新世紀獲得最新消息。
最新版的Kaspersky Internet Security 2006比較值得期待，他集病毒防護、個人防火牆於一身，系統資源佔用情況也有所改觀，現在還處於測試階段。繼續關注

2． McAfee
官方網站：http://www.mcafee.com
最新版本：McAfee VirusScan v10.0.27 簡體中文個人版
Mcafee Virusscan Enterprise 8.0i 簡體中文企業版
McAfee 公司最初叫McAfee Associates，創始人John MacAfee。初期的McAfee 性能並不出色，1997年McAfee收購Network General（大名鼎鼎的Sniffer軟體開發商）成立了Network Associates，1998年收購了歐洲最大的反病毒企業Doctor Soloman公司。之後McAfee停用自己的殺毒引擎，轉而使用收購來Doctor Soloman產品的引擎。2004年7月，Network Associates重新更名為McAfee公司，專心研發網路安全產品。 Network General脫離McAfee重新成為一家獨立的公司，脫離McAfee的同時，誕生自Network General公司之手的Sniffer品牌也重新回到Network General手中。
McAfee殺毒能力較Kaspersky稍差，但資源佔用小，啟動速度快。系統監控能力強，對於惡意代碼的防護能力非常好。
PS：McAfee緩沖區溢出保護跟金山詞霸的屏幕取詞功能有沖突。解決方法：1.關閉McAfee緩沖區溢出保護功能.2. 在VirusScan控制台的緩沖區溢出保護屬性中設置緩沖區溢出排除金山詞霸。
3． Norton AntiVirus 
官方網站：http://www.symantec.com/region/cn/index.htm
最新版本：Norton Internet Security™ 2006中文版
Symantec Antivirus v10 中文企業版
1982年4月Gary Hendrix博士創立賽門鐵克公司（SYMANTEC），總部位於加利福尼亞的Cupertino。1990年賽門鐵克收購了皮特.諾頓（Peter Norton Computing），正式跨入反病毒軟體行業，經過幾年的發展諾頓成為賽門鐵克最著名的品牌，並購是賽門鐵克公司轉型成為網路安全解決方案提供商的主要手段。1998年5月並購IBM的反病毒部門和系統免疫技術（Immune），1998年9月並購英特爾的LANDesk Virus Protect反病毒業務（Trend 技術），這兩次成功的並購使得賽門鐵克的NORTON防病毒系統如虎添翼。現在賽門鐵克公司已經發展成為了世界上最大的反病毒長商。
NORTON系列產品在市場上可謂叱詫風雲一度成為個人和企業防病毒的首選品牌。但是其最大的缺點就是佔用系統資源過大（特別是個人版產品），而且其病毒的查殺效果並不像其口碑那麼好。同樣的系統資源佔用，我寧可選擇Kaspersky。如果你一定要用，那麼就選企業版吧。

4． TREND
官方網站：http://www.trendmicro.com/cn/home/enterprise.htm
最新版本：PC-cillin 2006網路安全版
1988年中國台灣省人張明正白手起家，在美國洛杉磯創建了一家防病毒軟體公司——趨勢科技（Trend Micro），公司最開始只有一位員工——他的太太。10年後，趨勢科技先後在日本東京和美國納斯達克掛牌上市，張明正也一度藉此成為台灣首富。如今，他領導的趨勢科技在30多個國家和地區設有分公司，擁有員工3000多名，市值約66億美元，被美國《商業周刊》雜志評選為全球前100名最熱門上市公司之一。
趨勢科技一直是國人的驕傲，獨立創新了多項專利技術，97年曾發生過國際知名反病毒廠商Mcafee和Symantec都盜用趨勢針對Intermet、E-Mail及群組軟體（groupware）資料傳輸過程中即時攔截的「空中抓毒」（On The Fly）技術的事件，PC－cillin（取名抗生素盤尼西林的諧音），是趨勢科技目前的主要品牌。初期，趨勢進入中國大陸市場較晚，由於缺乏對國內市場的認識以及較差的國產病毒查殺能力，所以並不太受國內用戶認可。
PC-cillin 網路安全版功能強大集成多種網路安全技術，缺點是資源佔用較大，建議按需求開放相應的功能模塊。個人感覺趨勢的強項在於企業版，微軟現在用的就是趨勢。個人版性能病毒查殺能力中上。

5． F-Secure
官方網站：http://www.f-secure.com/
最新版本：F-Secure Internet Security 2006
國內使用F-SECURE的人可能較少，其實F-SECURE國際上知名度很高，目前排名僅次於Kaspersky，來自芬蘭的殺毒軟體，集合AVP,LIBRA,ORION,DRACO四套殺毒引擎。該軟體採用分布式防火牆技術,在《PC Utilites》評測中曾經超過Kaspersky，排名第一，但後來Kaspersky增加了擴展病毒庫，反超f-secure 。 這個軟體我沒有實際用過，但是看國外評測和國內的用戶評價，應該不錯。喜歡的朋友可以嘗試，F-SECURE目前沒有中文版，早期由漢化新世紀的吳忠興在跟，最新2006版尚無漢化，喜歡的朋友可關注世紀的動向。

6． 熊貓衛士
官方網站：http://www.pandaguard.com/
最新版本：熊貓衛士鈦金版2006
熊貓衛士是Panda 軟體公司在中國推出的反病毒產品。Panda軟體公司是歐洲第一位的計算機安全產品公司，也是唯一最大的殺病毒軟體公司內擁有100%自有技術，且足以同美國相抗衡的公司，同時Panda 也是世界上在該領域成長最快的公司。2002年北大方正入資Panda中國，現在名字改為方正熊貓衛士。
熊貓1999年底進入中國市場，初期運作良好，佔領了一定的市場份額，目前似乎越來越少受人們的關注，份額也逐漸下降，估計跟方正的市場運作有關系。最新的2006版國際評測表現還算不俗。
7． NOD32
官方網站：http://www.nod32cn.com/home/home.php 
最新版本：NOD32 2.51.20
ESET，於1992年建立，是一個全球性的安全防範軟體公司，主要為企業和個人消費者提供服務。其得獎之旗艦產品 NOD32 能針對已知及未知的病毒，間諜軟體（SPYWARE）及其它對用戶系統帶來威脅的程式進行實時的保護。NOD32以其佔用最少系統資源及最快的偵測速度，向用戶提供最好的保護，並且較其它防病毒軟體獲得更多的Virus Bulletin 100%獎項(www.virusbulletin.com)。被微軟御用了四年的防病毒軟體.二版科技(深圳)有限公司是其國內總代，有中文版。
各方面都有其獨到之處。目前在國內很火，各大論壇都在討論，NOD32的病毒防範能力確實很強，而且佔用系統資源很少，查殺速度很快。其缺點是對於流氓軟體及國內木馬病毒防範效果較差。另外IMON兼容性較差，如果使用發現問題，可以關閉這個功能。PS：官方有簡體中文，不過做的很爛，建議使用大S漢化的版本。

8． Windows Onecare Live
官方網站：http://www.windowsonecare.com/
發布時間：2006年6月
1993年春天，微軟發行了自己的反病毒軟體——微軟反病毒軟體（MSAV），這是微軟購買了「中心點」公司的CPAV之後發布的微軟版CPAV。但這是一次不成功的嘗試，微軟很快就認識到作為一個通用軟體廠商，如此深入的進入一個非常專業的領域是非常不明智的，比爾.蓋茨很快就放棄了這一產品。
去年，微軟收購了一些小型安全公司，另外還包括在2003年6月收購的GeCAD軟體反病毒技術和知識產權(IP)、2004年12月收購的Giant AntiSpyware、2005年2月的Sybari Software、2005年7月的FrontBridge Technologies。現在的安全軟體製造商，包括Symantec，雖然聲稱不會對微軟進行反病毒起訴，但已經開始對微軟即將入侵安全軟體市場這一舉動充滿抱怨。最近已經有消息發布，明年Windows Vista的大多數版本(包括Home Basic Edition)都將包含反病毒、反垃圾郵件和反間諜軟體技術。雖然微軟也給其它安全軟體製造商留出了空間，但究竟在實質上能夠留下多少空間還尚待分曉。
作為對Windows平台內一些間諜軟體、惡意代碼和小范圍病毒潛在威脅的回應，微軟將最近獲得的安全技術與自己的In-house機制相結合來打造OneCare Live(開發代碼為Atlanta)。微軟的市場部門發布了OneCare一些主要功能的摘要：
• 反病毒、雙向防火牆、反間諜軟體功能幫助用戶的計算機不受病毒、蠕蟲、特洛伊木馬、黑客、間諜軟體以及其它有害軟體的侵害.
• 每月優化功能提供的日常維護幫助用戶提高計算機的性能。
• 使用完整的和增加的CD/DVD備份功能，可以避免因意外刪除或病毒侵害造成的重要數據不被丟失或損壞，而且備份操作簡便易行.
對Windows 2000用戶而言，有一個壞消息：Windows OneCare Live需要Windows XP或更高版本。測試的版本是Beta版，最終版本會有一些改變。下面是OneCare Live系統需求的詳細列表：
• Windows XP家庭版、專業版、媒體中心版或Tablet PC版(SP2)，Beta版需要英文版
• Internet Explorer 6 for Windows XP SP2 (IE 6.0.2900.2180)
• 300 MHz或更高的CPU
• 256 MB內存
• 550 MB可用硬碟空間(在系統分區)
• 56 kbps或更快的Internet連接(建議使用寬頻接入Internet)
• 可讀寫CD/DVD驅動器(CD-RW/DVD-RW)，用於備份與恢復功能
Windows OneCare Live無疑是非常令人期待的，不過需要說的是他的價格：一份通過Live進行服務的 Windows OneCare™ Live 可以授權在三台計算機上,它的價格為49.95美元,但微軟為了答謝測試者,向參加過測試的成員放出了19.95美元的低價,這個價格只在4月1日至4月30日之間注冊成員的有效.

Ⅳ 比特幣挖礦火爆，比特幣圈得大哥是如何評論的

本文為我個人在芥末圈工作時創作，收集的一些比特幣大咖的信息，並不是挖礦的，因為現在礦越來越難挖了。如果你需要一些這樣的消息可以去百家號，芥末圈， 海外 CCN，Coindesk 這一些網站上去看一下，收貨會很大的。希望能回答你的問題。
John McAfee
McAfee是著名殺毒軟體McAfee的創始人，是密碼領域最著名的人物之一，也是認為比特幣將來會達到新高度的人之一。 據他介紹，比特幣到2020年底將達到100萬美元，並且他打賭如果到時候達不到這個價格，他將會直播吃他小雞雞。
與此同時，他表示，他的模型預測未來2到5年內，BTC的價值在190萬美元至260萬美元之間。
Twitter：https://twitter.com/officialmcafee

6月24日帖子
https://ambcrypto.com/john-mcafee-stands-brave-against-bear-spooking-bitcoin-btc/
約翰•麥卡菲(John McAfee)勇敢地與嚇死人的比特幣作斗爭
6月24日帖子
https://thecryptograph.net/john-mcafee-interview-exclusive-fiat-will-be-worthless/
約翰·邁克菲與密碼學對話
在對密碼學的獨家采訪中，約翰•邁克菲預測，在未來5年內，法定貨幣將變得一文不值，同時他預測到2020年，比特幣將達到100萬美元。

縱觀約翰·邁克菲的推特，他在推特上十分活躍，除了每日的自拍和動態，其他都是與比特幣有關的推文和鏈接。大多都是他的采訪或和他有關的新聞， 總體都在表現他對於比特幣和密碼學的信任。
Cameron Winklevoss
卡梅倫·文克萊沃斯Cameron Winklevoss 是著名的加密貨幣交易所Gemini的雙胞胎創始人之一，他表示，比特幣的價值可能是目前價值的40倍。他為什麼這么說？因為他將黃金的市值與比特幣相比較。
在接受CNBC采訪時他評論道：
「比特幣今天才比特幣1000億美元左右的市值，我們認為可能會升值30到40倍，因為你看看今天的黃金市場，這是一個7萬億美元的市場。所以很多人開始認識到這一點，他們認識到有價值資產的存儲。」
此外，他表示，由於比特幣擁有固定的供應量，對比特幣的需求增加，因此比特幣作為一種資產被忽略。
Twitter：https://twitter.com/winklevoss
https://www.forbes.com/sites/laurashin/2016/09/21/whats-the-best-price-for-a-bitcoin-winklevoss-exchange-gemini-aims-to-find-out-with-daily-auction/#4c5fba6d5af9
比特幣的最佳價格是多少?Winklevoss exchange Gemini旨在通過每日拍賣找到答案
由投資者、前奧運選手泰勒(Tyler)和卡梅倫•文克萊沃斯(Cameron Winklevoss：該大咖)創立的密碼貨幣交易公司Gemini周三推出了一項新功能，可以幫助買家和賣家在任何一天更好地找到比特幣的真實價格。
Cameron Winklevoss在推特還算活躍，在這個2018年6月份累計發帖10個。主要是轉推他人和他創立的Gemini 貨幣交易公司的推文。
下圖為其轉推的鏈接之一，記錄其公司拍賣的記錄和價格的波動。
https://gemini.com/auction-data/

Dan Morehead：Pantera Capital
根據Pantera Capital首席執行官Dan Morehead（達恩·莫爾黑德）的說法，比特幣今年可能達到新高。 「比特幣可能會下降50％，」他表示，但可能比2017年12月的歷史高點高出許多。
「下周比特幣可能會下降50％......這是一個月前的情況，但在一年內它會比今天高出許多，」他在2017年底說道。
Pantera Capital CEO of @PanteraCapital - the first investment firm in the US to launch digital currency, ICO, and blockchain-enabled venture funds. Chairman of @Bitstamp.
PanteraCapital是美國首家推出數字貨幣、ICO和支持區塊鏈的風險基金的投資公司。@Bitstamp主席。
PanteraCapital Twitter： https://twitter.com/PanteraCapital

Dan Morehead的個人推特的更新和內容都較少，主要內容都在公司推特PanteraCapital 上發表。該推特上數據與圖表類型的數據較多，內容多與區塊鏈掛鉤。
Bobby Lee 鮑比李
BTC Foundation的董事會成員Bobby Lee是中國第一家比特幣交易所的創始人，在倫敦舉行的區塊鏈會議上表示，比特幣將超過100萬美元。
是的，根據Bobby Lee的說法，比特幣價值超過100萬美元。類似於約翰邁克菲所說的。但主要的不同是Bobby Lee認為這可能發生在20年之後。
李先生在倫敦區塊鏈周發表講話時說：
「比特幣，我認為每比特幣將達到100萬美元......現在是10000，它將達到10萬，然後是20萬，50萬。」
Bobby Lee 推特: https://twitter.com/bobbyclee

比特幣佈道者Andreas Antonopoulos
推特：https://twitter.com/aantonop

國外比特幣區塊鏈大咖，他的推特主要以Q&A 問答 和 發布文章鏈接，在Twitter非常活躍

Roger Ver
Roger Ver世界上第一個比特幣初創公司的投資者，包括Bitcoin.com, Blockchain.com, Z.cash，BitPay, Kraken，Purse.io。對唯意志論感興趣
推特：https://twitter.com/rogerkver

在推特比較有權威性的推主，主推虛擬貨幣與比特幣
最後，比特幣大咖還有,比爾蓋茨, 巴菲特，比特幣投資信託基金的創始人：Barry Silbert等。 但由於他們的Twitter上的信息少或沒有這方面的信息，故沒有討論。不過值得一提的是,比爾蓋茨, 巴菲特包括馬雲都看好區塊鏈，不看好比特幣，認為比特幣是泡沫。

Ⅵ 雲計算與Jevons悖論有何關聯

雲計算無疑是極具革命性的新型模式。它確實帶來了令人震驚地業務增長（瞧瞧Netflix，你就明白了）。但你也需要去了解它以及它所產生的影響。相反，對於雲計算，企業並沒有涉入太深。這又是為什麼呢？首先，大肆宣傳是一種自我動力。雲計算最好、最先的用例華而不實，妄自尊大，基於Web業務、社會媒體與新媒體的宣傳型領域。Amazon Web Services就是這個空想世界的最佳典型，他們讓我們了解到雲計算。其次，它令人影響深刻的：這里找不出一個IT人，他沒看到雲計算如何成功運作並反思「自身困境與雲計算」。但我們要牢記雲計算的重要之處，它並非一場大規模的改革浪潮，而是一種最大限度的創造價值。雲計算是一個將規范化科技帶入我們生活的真正階段。它將我們推向Jevons悖論：為什麼人們更多地選擇在線科技，難道雲計算的物質上的足跡不出色嗎？雲計算如何適應經濟矛盾Andrew McAfee寫過一篇很有見解的報道，感概IT需求會繼續增長到何種程度。他注意到一個顯而易見的矛盾趨勢——人們對於效率、可靠和廉價上的需求與硬體、服務銷售增長間的矛盾。我們又該如何要求降低開銷的同時保持市場增長呢？這就是所謂的Jevons悖論，你越能創造出用戶所需的廉價，他們就會越使用它，盡管東西不可能永遠便宜下去。過去是糖、玉米、木材、豬腩，而現如今又是計算力。糖太廉價以至於全球運輸遠比自家種植更有意義。現在同樣的情況又發生在了CPU周期和數據存儲上。我們都見證了眼下IT所發生的變化。雲計算意味著花費更多的金錢，而非降低開支。如果你正運作此道，事實上雲計算並沒有削減你的開支。同樣的設備和資金情況下，你只是被要求產出得更多。這才是Jevons悖論和雲計算對於企業的實質意義。任何說雲計算可以節省開支的人其實並不了解自己在說些什麼。從沒有人說過，「我們可以成功地削減掉日常開支！」相反，在日益縮減預算的情況下，IT部門卻被要求使硬體和軟體操作越來越高產。這並不是什麼新趨勢（外包早就開始於1999年），但是雲計算卻在加速這一趨勢。Jevons悖論效應任何尋求本質考驗的人們可以看看市場，這歸結為「愚蠢與保守」。隨著網路設備製造商F5市值大跌25%，拖管及雲供應商Rackspace市值下跌11%，昨日一些雲計算股票引起市場關注。盡管擁有大量的使用率，收益卻十分小。Rackspace擁有10萬雲計算用戶，但卻從雲計算中獲利不到總利潤的四分之一。有關雲計算的公司並沒有被減持，這其中包括Amazon和Netflix，因為他們的商業模式（和極高的股票市場估值）是建立在傳統零售業上的。對於IT人員的好消息則是：技術依舊會繼續前進。雲計算技術本身是十分出色的，即使他們中的一些出色技術還不完善，加以時日，縱使老闆提出不花錢辦事這樣的荒唐事，說不定你也有能力辦到。lg=t

Ⅶ MCAFEE發現了病毒,刪了還有!

丁香魚有專殺www.luckfish.net進木馬防護
特洛伊木馬完全解析

一位客戶的PC出現了奇怪的症狀，速度變慢，CD-ROM托盤毫無規律地進進出出，從來沒有見過的錯誤信息，屏幕圖像翻轉，等等。我切斷了他的Internet連接，然後按照對付惡意軟體的標准步驟執行檢查，終於找出了罪魁禍首：兩個遠程訪問特洛伊木馬——一個是Cult of the Dead Cow臭名昭著的Back Orifice，還有一個是不太常見的The Thing。在這次事件中，攻擊者似乎是個小孩，他只想搞些惡作劇，讓別人上不了網，或者交換一些色情資料，但沒有什麼更危險的舉動。如果攻擊者有其他更危險的目標，那麼他可能已經從客戶的機器及其網路上竊得許多機密資料了。

特洛伊木馬比任何其他惡意代碼都要危險，要保障安全，最好的辦法就是熟悉特洛伊木馬的類型、工作原理，掌握如何檢測和預防這些不懷好意的代碼。

一、初識特洛伊木馬

特洛伊木馬是一種惡意程序，它們悄悄地在宿主機器上運行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言，大多數特洛伊木馬都模仿一些正規的遠程式控制制軟體的功能，如Symantec的pcAnywhere，但特洛伊木馬也有一些明顯的特點，例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟體之中，誘使粗心的用戶在自己的機器上運行。最常見的情況是，上當的用戶要麼從不正規的網站下載和運行了帶惡意代碼的軟體，要麼不小心點擊了帶惡意代碼的郵件附件。

大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程序的工具將伺服器部分綁定到某個合法軟體上，誘使用戶運行合法軟體。只要用戶一運行軟體，特洛伊木馬的伺服器部分就在用戶毫無知覺的情況下完成了安裝過程。通常，特洛伊木馬的伺服器部分都是可以定製的，攻擊者可以定製的項目一般包括：伺服器運行的IP埠號，程序啟動時機，如何發出調用，如何隱身，是否加密。另外，攻擊者還可以設置登錄伺服器的密碼、確定通信方式。

伺服器向攻擊者通知的方式可能是發送一個email，宣告自己當前已成功接管的機器；或者可能是聯系某個隱藏的Internet交流通道，廣播被侵佔機器的IP地址；另外，當特洛伊木馬的伺服器部分啟動之後，它還可以直接與攻擊者機器上運行的客戶程序通過預先定義的埠進行通信。不管特洛伊木馬的伺服器和客戶程序如何建立聯系，有一點是不變的，攻擊者總是利用客戶程序向伺服器程序發送命令，達到操控用戶機器的目的。

特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器，也可以用廣播方式發布命令，指示所有在他控制之下的特洛伊木馬一起行動，或者向更廣泛的范圍傳播，或者做其他危險的事情。實際上，只要用一個預先定義好的關鍵詞，就可以讓所有被入侵的機器格式化自己的硬碟，或者向另一台主機發起攻擊。攻擊者經常會用特洛伊木馬侵佔大量的機器，然後針對某一要害主機發起分布式拒絕服務攻擊（Denial of Service，即DoS），當受害者覺察到網路要被異乎尋常的通信量淹沒，試圖找出攻擊者時，他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜數據機用戶，真正的攻擊者早就溜之大吉。

二、極度危險的惡意程序

對於大多數惡意程序，只要把它們刪除，危險就算過去，威脅也不再存在，但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣，也會刪除或修改文件、格式化硬碟、上傳和下載文件、騷擾用戶、驅逐其他惡意程序，例如，經常可以看到攻擊者霸佔被入侵機器來保存游戲或攻擊工具，用戶所有的磁碟空間幾乎都被侵佔殆盡，但除此之外，特洛伊木馬還有其獨一無二的特點——竊取內容，遠程式控制制——這使得它們成為最危險的惡意軟體。

首先，特洛伊木馬具有捕獲每一個用戶屏幕、每一次鍵擊事件的能力，這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射，甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有一個麥克風，特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭，許多特洛伊木馬能夠把它打開，捕獲視頻內容——在惡意代碼的世界中，目前還沒有比特洛伊木馬更威脅用戶隱私的，凡是你在PC前所說、所做的一切，都有可能被記錄。

一些特洛伊木馬帶有包嗅探器，它能夠捕獲和分析流經網卡的每一個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門，即使木馬後來被清除了，攻擊者仍可以利用以前留下的後門方便地闖入。

其次，如果一個未經授權的用戶掌握了遠程式控制制宿主機器的能力，宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力，而且還能夠冒充PC合法用戶，例如冒充合法用戶發送郵件、修改文檔，當然還可以利用被侵佔的機器攻擊其他機器。二年前，一個家庭用戶請我幫忙，要我幫他向交易機構證明他並沒有提交一筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址，而且在他的瀏覽器緩沖區中，我也找到了該筆有爭議的交易的痕跡。另外，我還找到了SubSeven（即Backdoor_G）特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關，但可以看出交易發生之時特洛伊木馬正處於活動狀態。

三、特洛伊木馬的類型

常見的特洛伊木馬，例如Back Orifice和SubSeven等，都是多用途的攻擊工具包，功能非常全面，包括捕獲屏幕、聲音、視頻內容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程式控制制器、FTP伺服器、HTTP伺服器、Telnet伺服器，還能夠尋找和竊取密碼。攻擊者可以配置特洛伊木馬監聽的埠、運行方式，以及木馬是否通過email、IRC或其他通信手段聯系發起攻擊的人。一些危害大的特洛伊木馬還有一定的反偵測能力，能夠採取各種方式隱藏自身，加密通信，甚至提供了專業級的API供其它攻擊者開發附加的功能。由於功能全面，所以這些特洛伊木馬的體積也往往較大，通常達到100 KB至300 KB，相對而言，要把它們安裝到用戶機器上而不引起任何人注意的難度也較大。

對於功能比較單一的特洛伊木馬，攻擊者會力圖使它保持較小的體積，通常是10 KB到30 KB，以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用，它們把受害用戶的每一個鍵擊事件記錄下來，保存到某個隱藏的文件，這樣攻擊者就可以下載文件分析用戶的操作了。還有一些特洛伊木馬具有FTP、Web或聊天伺服器的功能。通常，這些微型的木馬只用來竊取難以獲得的初始遠程式控制制能力，保障最初入侵行動的安全，以便在不太可能引起注意的適當時機上載和安裝一個功能全面的大型特洛伊木馬。

隨便找一個Internet搜索網站，搜索一下關鍵詞Remote Access Trojan，很快就可以得到數百種特洛伊木馬——種類如此繁多，以至於大多數專門收集特洛伊木馬的Web網站不得不按照字母順序進行排列，每一個字母下有數打甚至一百多個木馬。下面我們就來看看兩種最流行的特洛伊木馬：Back Orifice和SubSeven。

■ Back Orifice

1998年，Cult of the Dead Cow開發了Back Orifice。這個程序很快在特洛伊木馬領域出盡風頭，它不僅有一個可編程的API，還有許多其他新型的功能，令許多正規的遠程式控制制軟體也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）發行，希望能夠吸引一批正規用戶，以此與老牌的遠程式控制制軟體如pcAnywhere展開競爭。

但是，它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內接受。攻擊者可以利用BO2K的伺服器配置工具可以配置許多伺服器參數，包括TCP或UDP、埠號、加密類型、秘密激活（在Windows 9x機器上運行得較好，在Windows NT機器上則略遜一籌）、密碼、插件等。

Back Orifice的許多特性給人以深刻的印象，例如鍵擊事件記錄、HTTP文件瀏覽、注冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP埠重定向、消息發送、遠程重新啟動、遠程鎖定、數據包加密、文件壓縮，等等。Back Orifice帶有一個軟體開發工具包（SDK），允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程式控制制機器的鍵盤和滑鼠。就實際應用方面而言，Back Orifice對錯誤的輸入命令非常敏感，經驗不足的新手可能會使它頻繁地崩潰，不過到了經驗豐富的老手那裡，它又會變得馴服而又強悍。

■ SubSeven

SubSeven可能比Back Orifice還要受歡迎，這個特洛伊木馬一直處於各大反病毒軟體廠商的感染統計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用，還具有埠重定向、注冊表修改、麥克風和攝像頭記錄的功能。圖二顯示了一部分SubSeven的客戶端命令和伺服器配置選項。

SubSeven具有許多令受害者難堪的功能：攻擊者可以遠程交換滑鼠按鍵，關閉/打開Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和關閉CD-ROM驅動器，關閉和打開監視器，翻轉屏幕顯示，關閉和重新啟動計算機，等等。

SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發起人聯系，它能夠隨機地更改伺服器埠，並向攻擊者通知埠的變化。另外，SubSeven還提供了專用的代碼來竊取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保護程序的密碼。

四、檢測和清除特洛伊木馬

如果一個企業網路曾經遭受病毒和Email蠕蟲的肆虐，那麼這個網路很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密，因此對於常規的反病毒軟體來說，查找木馬要比查找蠕蟲和病毒困難得多。另一方面，特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此，檢測和清除特洛伊木馬是系統管理員的首要任務。

要反擊惡意代碼，最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬，並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬，但某些工具的效果令人懷疑，至少不值得完全信任。不過，Agnitum的Tauscan確實稱得上頂級的掃描軟體，過去幾年的成功已經證明了它的效果。

特洛伊木馬入侵的一個明顯證據是受害機器上意外地打開了某個埠，特別地，如果這個埠正好是特洛伊木馬常用的埠，木馬入侵的證據就更加肯定了。一旦發現有木馬入侵的證據，應當盡快切斷該機器的網路連接，減少攻擊者探測和進一步攻擊的機會。打開任務管理器，關閉所有連接到Internet的程序，例如Email程序、IM程序等，從系統托盤上關閉所有正在運行的程序。注意暫時不要啟動到安全模式，啟動到安全模式通常會阻止特洛伊木馬裝入內存，為檢測木馬帶來困難。

大多數操作系統，當然包括Windows，都帶有檢測IP網路狀態的Netstat工具，它能夠顯示出本地機器上所有活動的監聽埠（包括UDP和TCP）。打開一個命令行窗口，執行「Netstat -a」命令就可以顯示出本地機器上所有打開的IP埠，注意一下是否存在意外打開的埠（當然，這要求對埠的概念和常用程序所用的埠有一定的了解）。

顯示了一次Netstat檢測的例子，檢測結果表明一個Back Orifice使用的埠（即31337）已經被激活，木馬客戶程序使用的是遠程機器（ROGERLAP）上的1216埠。除了已知的木馬常用埠之外，另外還要特別留意未知的FTP伺服器（埠21）和Web伺服器（埠80）。

但是，Netstat命令有一個缺點，它能夠顯示出哪些IP埠已經激活，但卻沒有顯示出哪些程序或文件激活了這些埠。要找出哪個執行文件創建了哪個網路連接，必須使用埠枚舉工具，例如，Winternals Software的TCPView Professional Edition就是一個優秀的埠枚舉工具。Tauscan除了能夠識別特洛伊木馬，也能夠建立程序與埠的聯系。另外，Windows XP的Netstat工具提供了一個新的-o選項，能夠顯示出正在使用埠的程序或服務的進程標識符（PID），有了PID，用任務管理器就可以方便地根據PID找到對應的程序。

如果手頭沒有埠枚舉工具，無法快速找出幕後肇事者的真正身份，請按照下列步驟操作：尋找自動啟動的陌生程序，查找位置包括注冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式，可能的話，用Netstat命令確認一下特洛伊木馬尚未裝入內存。接下來，分別運行各個前面找出的有疑問的程序，每次運行一個，分別用Netstat命令檢查新打開的埠。如果某個程序初始化了一個Internet連接，那就要特別小心了。深入研究一下所有可疑的程序，刪除所有不能信任的軟體。

Netstat命令和埠枚舉工具非常適合於檢測一台機器，但如果要檢測的是整個網路，又該怎麼辦？大多數入侵檢測系統（Intrusion Detection System，IDS）都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構，特洛伊木馬數據包也一樣。只要正確配置和經常更新IDS，它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見http://www.snort.org，了解常見的源代碼開放IDS工具。

五、處理遺留問題

檢測和清除了特洛伊木馬之後，另一個重要的問題浮現了：遠程攻擊者是否已經竊取了某些敏感信息？危害程度多大？要給出確切的答案很困難，但你可以通過下列問題確定危害程度。首先，特洛伊木馬存在多長時間了？文件創建日期不一定值得完全信賴，但可資參考。利用Windows資源管理器查看特洛伊木馬執行文件的創建日期和最近訪問日期，如果執行文件的創建日期很早，最近訪問日期卻很近，那麼攻擊者利用該木馬可能已經有相當長的時間了。

其次，攻擊者在入侵機器之後有哪些行動？攻擊者訪問了機密資料庫、發送Email、訪問其他遠程網路或共享目錄了嗎？攻擊者獲取管理員許可權了嗎？仔細檢查被入侵的機器尋找線索，例如文件和程序的訪問日期是否在用戶的辦公時間之外？

在安全要求較低的環境中，大多數用戶可以在清除特洛伊木馬之後恢復正常工作，只要日後努力防止遠程攻擊者再次得逞就可以了。至於安全性要求一般的場合，最好能夠修改一下所有的密碼，以及其他比較敏感的信息（例如信用卡號碼等）。

在安全性要求較高的場合，任何未知的潛在風險都是不可忍受的，必要時應當調整管理員或網路安全的負責人，徹底檢測整個網路，修改所有密碼，在此基礎上再執行後繼風險分析。對於被入侵的機器，重新進行徹底的格式化和安裝。

特洛伊木馬造成的危害可能是非常驚人的，由於它具有遠程式控制制機器以及捕獲屏幕、鍵擊、音頻、視頻的能力，所以其危害程度要遠遠超過普通的病毒和蠕蟲。深入了解特洛伊木馬的運行原理，在此基礎上採取正確的防衛措施，只有這樣才能有效減少特洛伊木馬帶來的危害!

補充：
你可以用一些文件粉碎工具強制粉碎（如瑞星卡卡）就帶有這個功能