McAfee股票市值

Ⅰ 75岁“杀毒软件之父”死在监狱：科技大佬变毒枭，挥霍数亿资产…

范主说：杀毒却被反杀？

最近，“杀毒软件之父”约翰·迈克菲 （John McAfee） 死于巴塞罗那监狱的新闻，引发了不少热议。

早在去年10月，迈克菲就因涉嫌逃避缴税的罪名，在巴塞罗那机场被捕，并根据西班牙法律关押在当地监狱中。在他死亡的几个小时前，法院刚刚批准了将他引渡到美国的决议。

据西班牙媒体报道称，迈克菲的死很可能是自杀，监狱的医务人员曾试图抢救他，但没有成功。

但是关于他的死因，坊间也有各种传言。虽然迈克菲曾在法庭上表示：“如果我被引渡，我怕我会在监狱中度过余生 （可能面临60年监禁） 。”看起来像是担心自己忍受不了太长的监禁，而寻了短见。

可是迈克菲之前自己也说过，如果他死在监狱里，不会是自杀，并说“要知道，如果我像爱泼斯坦那样上吊自杀，那不是我的错”。

他的律师也表示，自己和迈克菲联系密切， 但他没有表露任何自杀的迹象 ，且目前不知道监狱是否在他的牢房中安装了摄像机。

更加让人感到扑朔迷离的是，在迈克菲死亡30分钟后，他的INS发了一张图，图上之后一个字母Q，然后这个账户就被注销了。

关于他死亡的阴谋论也因此流传起来，很多人不相信他是自杀，并且将他类比同样在监狱神秘死亡的“淫魔富豪”爱泼斯坦。斯诺登甚至发推提醒“维基揭秘”创始人阿桑奇，说他可能是“下一个”……

虽然现在迈克菲死因尚未知晓，但他本人的经历，却是真的像电影一样。从 科技 大佬到阶下囚，制毒、养军队无法无天，还有各种混乱的私生活...几乎一辈子都在折腾。

今天范主就来和大家聊聊，迈克菲大起大落的一生，是如何从“ 科技 大佬”变成“法外狂徒”的。

发家史：从瘾君子变成 科技 大佬

迈克菲是家中独子，出生在一个普通家庭，母亲是一名银行出纳，父亲则是道路测量员，但他酗酒成性，在迈克菲15岁时就自杀了。

在父亲去世的接下来的几年里，迈克菲也开始酗酒和吸毒，不过学习倒是没落下，1967年他获得了弗吉尼亚州罗阿诺克学院的数学学士学位，虽然称不上是学霸，也算是知识分子一枚。

大学毕业后，他就开启了自己的程序员生涯，曾先后在NASA、Univac和施乐公司从事软件设计和运营工作，但经常因为吸high了被公司开除。

迈克菲曾告诉《连线》杂志，他在一家名为Omex的信息存储系统公司工作时，每天都会在办公桌前吸食可卡因，以及喝一瓶威士忌。

而且他不仅自己吸毒，还常年干着贩毒的买卖。 没过多久，他的妻子就受不了和他离婚。在此之后，迈克菲决定戒毒，老老实实当起了程序员。

直到20世纪80年代，在洛克希德公司工作的迈克菲，收到了世界上第一个个人电脑病毒的复制版本，并开始着手研发杀毒软件。1987年，他成立了自己的公司，并开始售卖全球第一款商用杀毒软件McAfee。

五年内，迈克菲的公司就占领了近70%的桌面杀毒软件市场。 在他的宣传和营销下，McAfee的业务一直处于狂涨的状态。

当年《财富》榜上的100强中，有一半的公司都在使用他的软件。 到1990 年时，McAfee就已经年收入500万美元了，到了1992年公司在纳斯达克上市时，股票更是价值8000万美元。

然而就在公司发展得如日中天时，他忽然决定要把公司卖掉，原因是厌倦了...1994年他以1亿美元的价格卖出了自己所有的股份，正式开启“瞎霍霍”模式。

而McAfee后来被英特尔以76.8亿美元的价格收购，之后又几经易手，去年又重返纳斯达克，估值约为86亿美元，不过这些和迈克菲已经没什么关系了。

财富大起大落，依然疯狂挥霍

赚了钱变身富豪的迈克菲，花式烧钱的方式也很奇葩。

赚钱后各种挥霍

离开公司后，迈克菲就开始疯狂买买买，全美境内到处购置豪宅房产、买私飞游艇，总之是顶级富豪的标配他都要来一套。

他先是在夏威夷僻静的莫 洛凯岛 购买了一座海滨豪宅、 占地5.3英亩，而且花了七年时间来建造了这座豪宅，然而几乎没怎么住过。

（图片为示例）

后来又在新墨西哥州建立了一座牧场，里面建造了一个可以容纳35人的电影院，还在这里存放了不少他收藏的艺术品和豪车。

还斥资了2500万美元的现金，在科罗拉多州建造了一座占地280英亩的豪华庄园， 娱乐 设施、马场等一应俱全，更夸张的是，他花了超过15年的时间从全世界各地淘收藏品把房子填满...

匪夷所思的是，迈克菲还在这里开设了一个瑜伽静修中心，后来他还写了四本关于灵性的书籍……

迈克菲似乎是对庄园有什么执念，据外媒统计，他前前后后拥有大约12处庄园，分布在北美、斐济和他后来的主要居住国家伯利兹等，甚至可能更多。

除了全球置 （挥） 业 （霍） ，豪华的交通出行工具他也没落下，可以容纳10人、方便他飞来飞去的塞斯纳私人飞机，买了。

（图片为示例）

用来度假、又能彰显身份的游艇，也买了。据说他还很喜欢收藏古董车，也买过不少。

迈克菲骨子里是个爱冒险的人，对于风筝翼飞机十分痴迷，据说他还花费了将近1200万美元，在亚利桑那州和新墨西哥州的偏远地区建立了7个飞行基地。

虽然生活方式很壕，但迈克菲一直都不修边幅，穿衣也很程序员。

他佩戴过的腕表可以扒到的较少，之前常戴这枚绿盘的运动表。

近年来戴得比较多的，就是这块Bell&Ross了。

投资失败、制毒养雇佣兵无法无天

一直在买买买的迈克菲也没有停止投资，然而因为投资失败，他开始疯狂在法律的禁区蹦跶。

当年卖掉公司的他，在一通壕式购物之后，又买了价值数百万美元的雷曼兄弟债券，直到2008年金融危机，雷曼兄弟宣布破产，迈克菲的投资也悉数化为泡沫。

无可奈何的他开始疯狂抛售自己苦心建造的各种庄园，7年打造的夏威夷豪宅150万美元，卖！2500万科罗拉多庄园抛售价570万美元，卖！各种豪车收藏品全部打折卖...

投资失败给了他重重一击，加上以往奢华无度，迈克菲的1亿美元资产几乎被挥霍一空。在外吹嘘自己有数十亿家产，最后实际上手头只剩400万美元。

2009年，受挫的迈克菲不得不离开了美国，搬到了讲英语的中美洲国家伯利兹，并且在这里继续折腾。

（迈克菲在伯利兹买的别墅）

为了赚钱，他表面上创办了一些诸如雪茄制造、咖啡分销公司和提供水上出租车服务之类的只能赚些“零花钱”的企业。

而他在伯利兹当地成立的一家制药公司，被警方怀疑这是一个制毒窝点，当警察去他家突袭时，意外发现了数十枪，被当局指控组建私人军队。这只“军队”的成员全部由前罪犯组成，总之就是在法律的禁区变着花儿蹦哒。后来他在伯利兹的资产，也被当局没收了。

他还因涉嫌谋杀邻居被通缉，虽然他称自己是无辜的，但还是选择逃亡并继续作妖，甚至还在网上悬赏12000美元征集“真凶线索”。

除此之外，迈克菲还有许多犯罪行径，据他本人说，自己曾先后在11个国家因违反枪支规定、贩毒、逃税和证券欺诈等罪行，被捕了21次 （真·半本刑法无疑） 。

其实在卖掉McAfee公司之后，迈克菲曾在 科技 领域连续创业，但都水花不大。近年来又摇身一变成了一名技术专家和加密货币的推动者，但又受到了推销虚假的加密货币的指控，卷入欺诈和洗钱的罪名...

“狂人”迈克菲还多次声称税收是非法的，并自曝自己从2010年起就没有提交过纳税申报单，自己已经成为国税局的“首要目标”。

或许迈克菲觉得自己虱子多了不怕痒，然而他最终还是栽在了税务问题上，甚至搭上了自己的性命。

迷惑行为不停，私生活混乱

行为古怪，赚眼球博出位

放飞自我的迈克菲，近年来也有很多迷惑行为。

比如他曾在YouTube上传过一个恶搞视频，名为如何卸载迈克菲杀毒软件。视频中他身穿大富翁标配浴袍，环绕在周围的美女最后把他扒个精光。这段视频有一千万的浏览量。迈克菲自己说是为了嘲笑媒体对他的负面报道。

此外他还在2016年和2020年两次竞选总统，竞选纲领也是围绕着网络安全、加密货币等等，第一次竞选时就在推特上各种怒怼川普，第二次竞选则是还在海外逃亡。虽然选上的可能性几乎为0，但还是给他赚了不少眼球。

此外他还经常做一些出格的事情博出位，比如去年疫情期间，他戴着一条丁字裤作为口罩出现在挪威，结果又被警方逮捕。

私生活混乱，私生子众多

疯狂挥霍和花式犯罪之余，迈克菲的私生活也是相当混乱。

他的第一任妻子，是他还在读博士时候的本科生学妹，因为恋情迈克菲还被学校开除了，似乎结婚没几年就分道扬镳了；第二任妻子名为Judy，曾帮助他一起成立和经营公司，但也在2002年以离婚告终。

而到了伯利兹之后，他开始彻底无视法律和道德，肆意妄为，和一名未成年的当地女孩交往。

后来甚至还同时和七个女人交往和群居，组成了自己的“后宫”，而且这7名女子年龄均在18-25岁之间...他还大言不惭地表示：和七个女人住在一起比有一个妻子压力要小得多。

而关于自己的私生子，更是当成一种炫耀，在推特上广而告之说自己有“47个孩子”.....

2012年迈克菲被驱逐而重返美国时，结识并雇佣了性工作者珍妮丝·戴森。珍妮丝比迈克菲小了足足30岁，不过两人还是慢慢谈恋爱并且结婚了。

然而这段“忘年恋”是不是真爱也很难说，因为珍妮丝在最初的几年间，还肩负着监视和给外界提供迈克菲行踪的任务。

之后珍妮丝似乎也确实爱上了迈克菲，她后来告诉媒体说，迈克菲不但解救了她，还让她和儿子重新建立了联系，看起来更像是对他抱有一些恩情。

就在去年迈克菲被监禁时，珍妮丝还曾在推特上激情发言，决定要为迈克菲的自由而战，也算是用情至深了......

好啦，迈克菲凭大起大落的一生就给大家讲到这里，虽然他早年取得了成就，但也确实不断触及法律和道德的底线，最终落得个no zuo no die的下场。大家对他看法如何，评论区聊聊吧

图片来自网络，部分来自视觉中国

商务范出品：编辑 Blair Shira | 运营 Kien

来源微信公众号『商务范』（微信号：bfaner）

Ⅱ 有没有全球知名安全软件厂商市值、利润的排行

好像有一个利润和市场份额的排名，前几名的有emc、赛门铁克、ibm、趋势、麦咖啡[]

Ⅲ mcafee security centery提示迅雷有特洛伊木马病毒是怎么回事

一位客户的PC出现了奇怪的症状，速度变慢，CD-ROM托盘毫无规律地进进出出，从来没有见过的错误信息，屏幕图像翻转，等等。我切断了他的Internet连接，然后按照对付恶意软件的标准步骤执行检查，终于找出了罪魁祸首：两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice，还有一个是不太常见的The Thing。在这次事件中，攻击者似乎是个小孩，他只想搞些恶作剧，让别人上不了网，或者交换一些色情资料，但没有什么更危险的举动。如果攻击者有其他更危险的目标，那么他可能已经从客户的机器及其网络上窃得许多机密资料了。

特洛伊木马比任何其他恶意代码都要危险，要保障安全，最好的办法就是熟悉特洛伊木马的类型、工作原理，掌握如何检测和预防这些不怀好意的代码。

一、初识特洛伊木马

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。

二、极度危险的恶意程序

对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。

首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。

一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。

其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。二年前，一个家庭用户请我帮忙，要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有争议的交易的痕迹。另外，我还找到了SubSeven（即Backdoor_G）特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易发生之时特洛伊木马正处于活动状态。

三、特洛伊木马的类型

常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。

对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常，这些微型的木马只用来窃取难以获得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。

随便找一个Internet搜索网站，搜索一下关键词Remote Access Trojan，很快就可以得到数百种特洛伊木马——种类如此繁多，以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列，每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马：Back Orifice和SubSeven。

■ Back Orifice

1998年，Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。

但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得较好，在Windows NT机器上则略逊一筹）、密码、插件等。

Back Orifice的许多特性给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。Back Orifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言，Back Orifice对错误的输入命令非常敏感，经验不足的新手可能会使它频繁地崩溃，不过到了经验丰富的老手那里，它又会变得驯服而又强悍。

■ SubSeven

SubSeven可能比Back Orifice还要受欢迎，这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。

SubSeven具有许多令受害者难堪的功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机，等等。

SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系，它能够随机地更改服务器端口，并向攻击者通知端口的变化。另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。

四、检测和清除特洛伊木马

如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐，那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此，检测和清除特洛伊木马是系统管理员的首要任务。

要反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任。不过，Agnitum的Tauscan确实称得上顶级的扫描软件，过去几年的成功已经证明了它的效果。

特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，特别地，如果这个端口正好是特洛伊木马常用的端口，木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据，应当尽快切断该机器的网络连接，减少攻击者探测和进一步攻击的机会。打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式，启动到安全模式通常会阻止特洛伊木马装入内存，为检测木马带来困难。

大多数操作系统，当然包括Windows，都带有检测IP网络状态的Netstat工具，它能够显示出本地机器上所有活动的监听端口（包括UDP和TCP）。打开一个命令行窗口，执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口，注意一下是否存在意外打开的端口（当然，这要求对端口的概念和常用程序所用的端口有一定的了解）。

显示了一次Netstat检测的例子，检测结果表明一个Back Orifice使用的端口（即31337）已经被激活，木马客户程序使用的是远程机器（ROGERLAP）上的1216端口。除了已知的木马常用端口之外，另外还要特别留意未知的FTP服务器（端口21）和Web服务器（端口80）。

但是，Netstat命令有一个缺点，它能够显示出哪些IP端口已经激活，但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接，必须使用端口枚举工具，例如，Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马，也能够建立程序与端口的联系。另外，Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符（PID），有了PID，用任务管理器就可以方便地根据PID找到对应的程序。

如果手头没有端口枚举工具，无法快速找出幕后肇事者的真正身份，请按照下列步骤操作：寻找自动启动的陌生程序，查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式，可能的话，用Netstat命令确认一下特洛伊木马尚未装入内存。接下来，分别运行各个前面找出的有疑问的程序，每次运行一个，分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接，那就要特别小心了。深入研究一下所有可疑的程序，删除所有不能信任的软件。

Netstat命令和端口枚举工具非常适合于检测一台机器，但如果要检测的是整个网络，又该怎么办？大多数入侵检测系统（Intrusion Detection System，IDS）都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构，特洛伊木马数据包也一样。只要正确配置和经常更新IDS，它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见http://www.snort.org，了解常见的源代码开放IDS工具。

五、处理遗留问题

检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。

其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？

在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。

在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害.

Ⅳ 想下载一个免费的防火墙，要好的，哪里有

一、 防病毒软件
（一） 国外杀毒软件
1． Kaspersky
官方网站：http://www.kaspersky.com
最新版本：Kaspersky Internet Security 2006 RC11
Kaspersky Anti-VirusPersonal Pro 5.0.522 正式版
提到Kaspersky不得不提Eugene Kaspersky，他是国际反病毒史上最著名的专家之一。1989年，Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年，他在俄罗斯大型计算机公司“KAMI”的信息技术中心，带领一批助手研发出了AVP (AntiVirus Tookit Pro)反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是创始人之一。2000年11月，AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒研究员协会(CARO)的成员，该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和病毒库，一直以其严谨的结构、彻底的查杀能力为业界称道。
AVP虽然是技术的巅峰之作，但由于长时间懒于开发市场，很长时间里用户并不多，导致部分的开发人员流失。俄罗斯的另一家反病毒产品Dr.Web，与AVP有很深的渊源，而Symantec NAV的主力开发人员里面，也可见Eugene旧部的身影，还有人跳槽去了McAfee，但这始终也改变不了AVP是全球顶级反病毒引擎的事实。芬兰的F-Secure，德国的G-Date，日本的Vintage Solutions都使用了卡巴的AV核心模块。AVP杀毒引擎“解决办法”在法国被解密后，Kaspersky反病毒引擎被许多国家的杀毒软件“借用”，使得Kaspersky实验室忙不迭地到处打击盗版。同时，随着AVP产品被盗用得越来越频繁，AVP近亲产品的“市场占有率”空前高涨。
Kaspersky无疑是当今国际最顶级的反病毒软件。病毒库更新快，2小时升级一次。查杀能力强，最大缺点是占用系统资源过大，如果电脑配置不高建议还是放弃吧，它会起到跟病毒软件同样的效果“卡巴死机”。Kaspersky官方有中文版软件，但是更新速度比英文版稍慢，最新英文版的民间汉化一直由汉化新世纪的吕达嵘跟进，想尝鲜的朋友可以访问汉化新世纪获得最新消息。
最新版的Kaspersky Internet Security 2006比较值得期待，他集病毒防护、个人防火墙于一身，系统资源占用情况也有所改观，现在还处于测试阶段。继续关注

2． McAfee
官方网站：http://www.mcafee.com
最新版本：McAfee VirusScan v10.0.27 简体中文个人版
Mcafee Virusscan Enterprise 8.0i 简体中文企业版
McAfee 公司最初叫McAfee Associates，创始人John MacAfee。初期的McAfee 性能并不出色，1997年McAfee收购Network General（大名鼎鼎的Sniffer软件开发商）成立了Network Associates，1998年收购了欧洲最大的反病毒企业Doctor Soloman公司。之后McAfee停用自己的杀毒引擎，转而使用收购来Doctor Soloman产品的引擎。2004年7月，Network Associates重新更名为McAfee公司，专心研发网络安全产品。 Network General脱离McAfee重新成为一家独立的公司，脱离McAfee的同时，诞生自Network General公司之手的Sniffer品牌也重新回到Network General手中。
McAfee杀毒能力较Kaspersky稍差，但资源占用小，启动速度快。系统监控能力强，对于恶意代码的防护能力非常好。
PS：McAfee缓冲区溢出保护跟金山词霸的屏幕取词功能有冲突。解决方法：1.关闭McAfee缓冲区溢出保护功能.2. 在VirusScan控制台的缓冲区溢出保护属性中设置缓冲区溢出排除金山词霸。
3． Norton AntiVirus 
官方网站：http://www.symantec.com/region/cn/index.htm
最新版本：Norton Internet Security™ 2006中文版
Symantec Antivirus v10 中文企业版
1982年4月Gary Hendrix博士创立赛门铁克公司（SYMANTEC），总部位于加利福尼亚的Cupertino。1990年赛门铁克收购了皮特.诺顿（Peter Norton Computing），正式跨入反病毒软件行业，经过几年的发展诺顿成为赛门铁克最著名的品牌，并购是赛门铁克公司转型成为网络安全解决方案提供商的主要手段。1998年5月并购IBM的反病毒部门和系统免疫技术（Immune），1998年9月并购英特尔的LANDesk Virus Protect反病毒业务（Trend 技术），这两次成功的并购使得赛门铁克的NORTON防病毒系统如虎添翼。现在赛门铁克公司已经发展成为了世界上最大的反病毒长商。
NORTON系列产品在市场上可谓叱诧风云一度成为个人和企业防病毒的首选品牌。但是其最大的缺点就是占用系统资源过大（特别是个人版产品），而且其病毒的查杀效果并不像其口碑那么好。同样的系统资源占用，我宁可选择Kaspersky。如果你一定要用，那么就选企业版吧。

4． TREND
官方网站：http://www.trendmicro.com/cn/home/enterprise.htm
最新版本：PC-cillin 2006网络安全版
1988年中国台湾省人张明正白手起家，在美国洛杉矶创建了一家防病毒软件公司——趋势科技（Trend Micro），公司最开始只有一位员工——他的太太。10年后，趋势科技先后在日本东京和美国纳斯达克挂牌上市，张明正也一度藉此成为台湾首富。如今，他领导的趋势科技在30多个国家和地区设有分公司，拥有员工3000多名，市值约66亿美元，被美国《商业周刊》杂志评选为全球前100名最热门上市公司之一。
趋势科技一直是国人的骄傲，独立创新了多项专利技术，97年曾发生过国际知名反病毒厂商Mcafee和Symantec都盗用趋势针对Intermet、E-Mail及群组软件（groupware）资料传输过程中即时拦截的「空中抓毒」（On The Fly）技术的事件，PC－cillin（取名抗生素盘尼西林的谐音），是趋势科技目前的主要品牌。初期，趋势进入中国大陆市场较晚，由于缺乏对国内市场的认识以及较差的国产病毒查杀能力，所以并不太受国内用户认可。
PC-cillin 网络安全版功能强大集成多种网络安全技术，缺点是资源占用较大，建议按需求开放相应的功能模块。个人感觉趋势的强项在于企业版，微软现在用的就是趋势。个人版性能病毒查杀能力中上。

5． F-Secure
官方网站：http://www.f-secure.com/
最新版本：F-Secure Internet Security 2006
国内使用F-SECURE的人可能较少，其实F-SECURE国际上知名度很高，目前排名仅次于Kaspersky，来自芬兰的杀毒软件，集合AVP,LIBRA,ORION,DRACO四套杀毒引擎。该软件采用分布式防火墙技术,在《PC Utilites》评测中曾经超过Kaspersky，排名第一，但后来Kaspersky增加了扩展病毒库，反超f-secure 。 这个软件我没有实际用过，但是看国外评测和国内的用户评价，应该不错。喜欢的朋友可以尝试，F-SECURE目前没有中文版，早期由汉化新世纪的吴忠兴在跟，最新2006版尚无汉化，喜欢的朋友可关注世纪的动向。

6． 熊猫卫士
官方网站：http://www.pandaguard.com/
最新版本：熊猫卫士钛金版2006
熊猫卫士是Panda 软件公司在中国推出的反病毒产品。Panda软件公司是欧洲第一位的计算机安全产品公司，也是唯一最大的杀病毒软件公司内拥有100%自有技术，且足以同美国相抗衡的公司，同时Panda 也是世界上在该领域成长最快的公司。2002年北大方正入资Panda中国，现在名字改为方正熊猫卫士。
熊猫1999年底进入中国市场，初期运作良好，占领了一定的市场份额，目前似乎越来越少受人们的关注，份额也逐渐下降，估计跟方正的市场运作有关系。最新的2006版国际评测表现还算不俗。
7． NOD32
官方网站：http://www.nod32cn.com/home/home.php 
最新版本：NOD32 2.51.20
ESET，于1992年建立，是一个全球性的安全防范软件公司，主要为企业和个人消费者提供服务。其得奖之旗舰产品 NOD32 能针对已知及未知的病毒，间谍软件（SPYWARE）及其它对用户系统带来威胁的程式进行实时的保护。NOD32以其占用最少系统资源及最快的侦测速度，向用户提供最好的保护，并且较其它防病毒软件获得更多的Virus Bulletin 100%奖项(www.virusbulletin.com)。被微软御用了四年的防病毒软件.二版科技(深圳)有限公司是其国内总代，有中文版。
各方面都有其独到之处。目前在国内很火，各大论坛都在讨论，NOD32的病毒防范能力确实很强，而且占用系统资源很少，查杀速度很快。其缺点是对于流氓软件及国内木马病毒防范效果较差。另外IMON兼容性较差，如果使用发现问题，可以关闭这个功能。PS：官方有简体中文，不过做的很烂，建议使用大S汉化的版本。

8． Windows Onecare Live
官方网站：http://www.windowsonecare.com/
发布时间：2006年6月
1993年春天，微软发行了自己的反病毒软件——微软反病毒软件（MSAV），这是微软购买了“中心点”公司的CPAV之后发布的微软版CPAV。但这是一次不成功的尝试，微软很快就认识到作为一个通用软件厂商，如此深入的进入一个非常专业的领域是非常不明智的，比尔.盖茨很快就放弃了这一产品。
去年，微软收购了一些小型安全公司，另外还包括在2003年6月收购的GeCAD软件反病毒技术和知识产权(IP)、2004年12月收购的Giant AntiSpyware、2005年2月的Sybari Software、2005年7月的FrontBridge Technologies。现在的安全软件制造商，包括Symantec，虽然声称不会对微软进行反病毒起诉，但已经开始对微软即将入侵安全软件市场这一举动充满抱怨。最近已经有消息发布，明年Windows Vista的大多数版本(包括Home Basic Edition)都将包含反病毒、反垃圾邮件和反间谍软件技术。虽然微软也给其它安全软件制造商留出了空间，但究竟在实质上能够留下多少空间还尚待分晓。
作为对Windows平台内一些间谍软件、恶意代码和小范围病毒潜在威胁的回应，微软将最近获得的安全技术与自己的In-house机制相结合来打造OneCare Live(开发代码为Atlanta)。微软的市场部门发布了OneCare一些主要功能的摘要：
• 反病毒、双向防火墙、反间谍软件功能帮助用户的计算机不受病毒、蠕虫、特洛伊木马、黑客、间谍软件以及其它有害软件的侵害.
• 每月优化功能提供的日常维护帮助用户提高计算机的性能。
• 使用完整的和增加的CD/DVD备份功能，可以避免因意外删除或病毒侵害造成的重要数据不被丢失或损坏，而且备份操作简便易行.
对Windows 2000用户而言，有一个坏消息：Windows OneCare Live需要Windows XP或更高版本。测试的版本是Beta版，最终版本会有一些改变。下面是OneCare Live系统需求的详细列表：
• Windows XP家庭版、专业版、媒体中心版或Tablet PC版(SP2)，Beta版需要英文版
• Internet Explorer 6 for Windows XP SP2 (IE 6.0.2900.2180)
• 300 MHz或更高的CPU
• 256 MB内存
• 550 MB可用硬盘空间(在系统分区)
• 56 kbps或更快的Internet连接(建议使用宽带接入Internet)
• 可读写CD/DVD驱动器(CD-RW/DVD-RW)，用于备份与恢复功能
Windows OneCare Live无疑是非常令人期待的，不过需要说的是他的价格：一份通过Live进行服务的 Windows OneCare™ Live 可以授权在三台计算机上,它的价格为49.95美元,但微软为了答谢测试者,向参加过测试的成员放出了19.95美元的低价,这个价格只在4月1日至4月30日之间注册成员的有效.

Ⅳ 比特币挖矿火爆，比特币圈得大哥是如何评论的

本文为我个人在芥末圈工作时创作，收集的一些比特币大咖的信息，并不是挖矿的，因为现在矿越来越难挖了。如果你需要一些这样的消息可以去百家号，芥末圈， 海外 CCN，Coindesk 这一些网站上去看一下，收货会很大的。希望能回答你的问题。
John McAfee
McAfee是著名杀毒软件McAfee的创始人，是密码领域最着名的人物之一，也是认为比特币将来会达到新高度的人之一。 据他介绍，比特币到2020年底将达到100万美元，并且他打赌如果到时候达不到这个价格，他将会直播吃他小鸡鸡。
与此同时，他表示，他的模型预测未来2到5年内，BTC的价值在190万美元至260万美元之间。
Twitter：https://twitter.com/officialmcafee

6月24日帖子
https://ambcrypto.com/john-mcafee-stands-brave-against-bear-spooking-bitcoin-btc/
约翰•麦卡菲(John McAfee)勇敢地与吓死人的比特币作斗争
6月24日帖子
https://thecryptograph.net/john-mcafee-interview-exclusive-fiat-will-be-worthless/
约翰·迈克菲与密码学对话
在对密码学的独家采访中，约翰•迈克菲预测，在未来5年内，法定货币将变得一文不值，同时他预测到2020年，比特币将达到100万美元。

纵观约翰·迈克菲的推特，他在推特上十分活跃，除了每日的自拍和动态，其他都是与比特币有关的推文和链接。大多都是他的采访或和他有关的新闻， 总体都在表现他对于比特币和密码学的信任。
Cameron Winklevoss
卡梅伦·文克莱沃斯Cameron Winklevoss 是著名的加密货币交易所Gemini的双胞胎创始人之一，他表示，比特币的价值可能是目前价值的40倍。他为什么这么说？因为他将黄金的市值与比特币相比较。
在接受CNBC采访时他评论道：
“比特币今天才比特币1000亿美元左右的市值，我们认为可能会升值30到40倍，因为你看看今天的黄金市场，这是一个7万亿美元的市场。所以很多人开始认识到这一点，他们认识到有价值资产的存储。”
此外，他表示，由于比特币拥有固定的供应量，对比特币的需求增加，因此比特币作为一种资产被忽略。
Twitter：https://twitter.com/winklevoss
https://www.forbes.com/sites/laurashin/2016/09/21/whats-the-best-price-for-a-bitcoin-winklevoss-exchange-gemini-aims-to-find-out-with-daily-auction/#4c5fba6d5af9
比特币的最佳价格是多少?Winklevoss exchange Gemini旨在通过每日拍卖找到答案
由投资者、前奥运选手泰勒(Tyler)和卡梅伦•文克莱沃斯(Cameron Winklevoss：该大咖)创立的密码货币交易公司Gemini周三推出了一项新功能，可以帮助买家和卖家在任何一天更好地找到比特币的真实价格。
Cameron Winklevoss在推特还算活跃，在这个2018年6月份累计发帖10个。主要是转推他人和他创立的Gemini 货币交易公司的推文。
下图为其转推的链接之一，记录其公司拍卖的记录和价格的波动。
https://gemini.com/auction-data/

Dan Morehead：Pantera Capital
根据Pantera Capital首席执行官Dan Morehead（达恩·莫尔黑德）的说法，比特币今年可能达到新高。 “比特币可能会下降50％，”他表示，但可能比2017年12月的历史高点高出许多。
“下周比特币可能会下降50％......这是一个月前的情况，但在一年内它会比今天高出许多，”他在2017年底说道。
Pantera Capital CEO of @PanteraCapital - the first investment firm in the US to launch digital currency, ICO, and blockchain-enabled venture funds. Chairman of @Bitstamp.
PanteraCapital是美国首家推出数字货币、ICO和支持区块链的风险基金的投资公司。@Bitstamp主席。
PanteraCapital Twitter： https://twitter.com/PanteraCapital

Dan Morehead的个人推特的更新和内容都较少，主要内容都在公司推特PanteraCapital 上发表。该推特上数据与图表类型的数据较多，内容多与区块链挂钩。
Bobby Lee 鲍比李
BTC Foundation的董事会成员Bobby Lee是中国第一家比特币交易所的创始人，在伦敦举行的区块链会议上表示，比特币将超过100万美元。
是的，根据Bobby Lee的说法，比特币价值超过100万美元。类似于约翰迈克菲所说的。但主要的不同是Bobby Lee认为这可能发生在20年之后。
李先生在伦敦区块链周发表讲话时说：
“比特币，我认为每比特币将达到100万美元......现在是10000，它将达到10万，然后是20万，50万。”
Bobby Lee 推特: https://twitter.com/bobbyclee

比特币布道者Andreas Antonopoulos
推特：https://twitter.com/aantonop

国外比特币区块链大咖，他的推特主要以Q&A 问答 和 发布文章链接，在Twitter非常活跃

Roger Ver
Roger Ver世界上第一个比特币初创公司的投资者，包括Bitcoin.com, Blockchain.com, Z.cash，BitPay, Kraken，Purse.io。对唯意志论感兴趣
推特：https://twitter.com/rogerkver

在推特比较有权威性的推主，主推虚拟货币与比特币
最后，比特币大咖还有,比尔盖茨, 巴菲特，比特币投资信托基金的创始人：Barry Silbert等。 但由于他们的Twitter上的信息少或没有这方面的信息，故没有讨论。不过值得一提的是,比尔盖茨, 巴菲特包括马云都看好区块链，不看好比特币，认为比特币是泡沫。

Ⅵ 云计算与Jevons悖论有何关联

云计算无疑是极具革命性的新型模式。它确实带来了令人震惊地业务增长（瞧瞧Netflix，你就明白了）。但你也需要去了解它以及它所产生的影响。相反，对于云计算，企业并没有涉入太深。这又是为什么呢？首先，大肆宣传是一种自我动力。云计算最好、最先的用例华而不实，妄自尊大，基于Web业务、社会媒体与新媒体的宣传型领域。Amazon Web Services就是这个空想世界的最佳典型，他们让我们了解到云计算。其次，它令人影响深刻的：这里找不出一个IT人，他没看到云计算如何成功运作并反思“自身困境与云计算”。但我们要牢记云计算的重要之处，它并非一场大规模的改革浪潮，而是一种最大限度的创造价值。云计算是一个将规范化科技带入我们生活的真正阶段。它将我们推向Jevons悖论：为什么人们更多地选择在线科技，难道云计算的物质上的足迹不出色吗？云计算如何适应经济矛盾Andrew McAfee写过一篇很有见解的报道，感概IT需求会继续增长到何种程度。他注意到一个显而易见的矛盾趋势——人们对于效率、可靠和廉价上的需求与硬件、服务销售增长间的矛盾。我们又该如何要求降低开销的同时保持市场增长呢？这就是所谓的Jevons悖论，你越能创造出用户所需的廉价，他们就会越使用它，尽管东西不可能永远便宜下去。过去是糖、玉米、木材、猪腩，而现如今又是计算力。糖太廉价以至于全球运输远比自家种植更有意义。现在同样的情况又发生在了CPU周期和数据存储上。我们都见证了眼下IT所发生的变化。云计算意味着花费更多的金钱，而非降低开支。如果你正运作此道，事实上云计算并没有削减你的开支。同样的设备和资金情况下，你只是被要求产出得更多。这才是Jevons悖论和云计算对于企业的实质意义。任何说云计算可以节省开支的人其实并不了解自己在说些什么。从没有人说过，“我们可以成功地削减掉日常开支！”相反，在日益缩减预算的情况下，IT部门却被要求使硬件和软件操作越来越高产。这并不是什么新趋势（外包早就开始于1999年），但是云计算却在加速这一趋势。Jevons悖论效应任何寻求本质考验的人们可以看看市场，这归结为“愚蠢与保守”。随着网络设备制造商F5市值大跌25%，拖管及云供应商Rackspace市值下跌11%，昨日一些云计算股票引起市场关注。尽管拥有大量的使用率，收益却十分小。Rackspace拥有10万云计算用户，但却从云计算中获利不到总利润的四分之一。有关云计算的公司并没有被减持，这其中包括Amazon和Netflix，因为他们的商业模式（和极高的股票市场估值）是建立在传统零售业上的。对于IT人员的好消息则是：技术依旧会继续前进。云计算技术本身是十分出色的，即使他们中的一些出色技术还不完善，加以时日，纵使老板提出不花钱办事这样的荒唐事，说不定你也有能力办到。lg=t

Ⅶ MCAFEE发现了病毒,删了还有!

丁香鱼有专杀www.luckfish.net进木马防护
特洛伊木马完全解析

一位客户的PC出现了奇怪的症状，速度变慢，CD-ROM托盘毫无规律地进进出出，从来没有见过的错误信息，屏幕图像翻转，等等。我切断了他的Internet连接，然后按照对付恶意软件的标准步骤执行检查，终于找出了罪魁祸首：两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice，还有一个是不太常见的The Thing。在这次事件中，攻击者似乎是个小孩，他只想搞些恶作剧，让别人上不了网，或者交换一些色情资料，但没有什么更危险的举动。如果攻击者有其他更危险的目标，那么他可能已经从客户的机器及其网络上窃得许多机密资料了。

特洛伊木马比任何其他恶意代码都要危险，要保障安全，最好的办法就是熟悉特洛伊木马的类型、工作原理，掌握如何检测和预防这些不怀好意的代码。

一、初识特洛伊木马

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。

二、极度危险的恶意程序

对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。

首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。

一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。

其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。二年前，一个家庭用户请我帮忙，要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有争议的交易的痕迹。另外，我还找到了SubSeven（即Backdoor_G）特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易发生之时特洛伊木马正处于活动状态。

三、特洛伊木马的类型

常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。

对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常，这些微型的木马只用来窃取难以获得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。

随便找一个Internet搜索网站，搜索一下关键词Remote Access Trojan，很快就可以得到数百种特洛伊木马——种类如此繁多，以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列，每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马：Back Orifice和SubSeven。

■ Back Orifice

1998年，Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。

但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得较好，在Windows NT机器上则略逊一筹）、密码、插件等。

Back Orifice的许多特性给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。Back Orifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言，Back Orifice对错误的输入命令非常敏感，经验不足的新手可能会使它频繁地崩溃，不过到了经验丰富的老手那里，它又会变得驯服而又强悍。

■ SubSeven

SubSeven可能比Back Orifice还要受欢迎，这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。

SubSeven具有许多令受害者难堪的功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机，等等。

SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系，它能够随机地更改服务器端口，并向攻击者通知端口的变化。另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。

四、检测和清除特洛伊木马

如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐，那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此，检测和清除特洛伊木马是系统管理员的首要任务。

要反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任。不过，Agnitum的Tauscan确实称得上顶级的扫描软件，过去几年的成功已经证明了它的效果。

特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，特别地，如果这个端口正好是特洛伊木马常用的端口，木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据，应当尽快切断该机器的网络连接，减少攻击者探测和进一步攻击的机会。打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式，启动到安全模式通常会阻止特洛伊木马装入内存，为检测木马带来困难。

大多数操作系统，当然包括Windows，都带有检测IP网络状态的Netstat工具，它能够显示出本地机器上所有活动的监听端口（包括UDP和TCP）。打开一个命令行窗口，执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口，注意一下是否存在意外打开的端口（当然，这要求对端口的概念和常用程序所用的端口有一定的了解）。

显示了一次Netstat检测的例子，检测结果表明一个Back Orifice使用的端口（即31337）已经被激活，木马客户程序使用的是远程机器（ROGERLAP）上的1216端口。除了已知的木马常用端口之外，另外还要特别留意未知的FTP服务器（端口21）和Web服务器（端口80）。

但是，Netstat命令有一个缺点，它能够显示出哪些IP端口已经激活，但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接，必须使用端口枚举工具，例如，Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马，也能够建立程序与端口的联系。另外，Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符（PID），有了PID，用任务管理器就可以方便地根据PID找到对应的程序。

如果手头没有端口枚举工具，无法快速找出幕后肇事者的真正身份，请按照下列步骤操作：寻找自动启动的陌生程序，查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式，可能的话，用Netstat命令确认一下特洛伊木马尚未装入内存。接下来，分别运行各个前面找出的有疑问的程序，每次运行一个，分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接，那就要特别小心了。深入研究一下所有可疑的程序，删除所有不能信任的软件。

Netstat命令和端口枚举工具非常适合于检测一台机器，但如果要检测的是整个网络，又该怎么办？大多数入侵检测系统（Intrusion Detection System，IDS）都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构，特洛伊木马数据包也一样。只要正确配置和经常更新IDS，它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见http://www.snort.org，了解常见的源代码开放IDS工具。

五、处理遗留问题

检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。

其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？

在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。

在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害!

补充：
你可以用一些文件粉碎工具强制粉碎（如瑞星卡卡）就带有这个功能