关于动态嵌入式DLL木马病毒的发现清除

内容提要：随着MS的操作系统从Win98过渡到Winnt系统（包括2k/xp），MS的任务管理器也一下子脱胎换骨，变得火眼金睛起来（在WINNT下传统木马再也无法隐藏自己的进程），这使得以前在win98下靠将进程注册为系统服务就能够从任务管 ……

较慢的速度。但是，最重要的是，是改变间隔，而不是速度。　　

　　我们考虑一下一个计数器工作在250000Hz时是否有帮助。我们先忽略其他发生的连接，仅仅考虑这个计数器以固定的频率改变。　　

　　为了知道当前的序列号，发送一个SYN包，收到一个回复：

　　 X---S: SYN(ISN X )

　　 S---X: SYN(ISN S ) ,ACK(ISN X ) (1)

　　第一个欺骗包，它触发下一个序列号，能立即跟随服务器对这个包的反应：

　　 X---S: SYN(ISN X ) ,SRC = T (2)

　　序列号ISN S用于回应了：

　　 S---T: SYN(ISN S ) ,ACK(ISN X )

　　是由第一个消息和服务器接收的消息唯一决定。这个号码是X和S的往返精确的时间。这样，如果欺骗能精确地测量和产生这个时间，即使是一个4-U时钟都不能击退这次攻击。　　

　　抛弃基于地址的信任策略 　　

　　阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r＊类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。 　　

　　进行包过滤 　　

　　如果您的网络是通过路由器接入Internet 的，那么可以利用您的路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。 　　

　　使用加密方法 　　

　　阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。

　　使用随机化的初始序列号 　　

　　黑客攻击得以成功实现的一个很重要的因素就是，序列号不是随机选择的或者随机增加的。Bellovin 描述了一种弥补TCP不足的方法，就是分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加，但是在这些序列号空间中没有明显的关系。可以通过下列公式来说明： 　　

　　ISN =M＋F（localhost，localport ，remotehost ，remoteport ）

　　M：4微秒定时器

　　F：加密HASH函数。 　　

　　F产生的序列号，对于外部来说是不应该能够被计算出或者被猜测出的。Bellovin 建议F是一个结合连接标识符和特殊矢量（随机数，基于启动时间的密码）的HASH函数 。