论文部分内容阅读
摘 要 随着互联网技术的发展,它渐渐成为人们生活中重要的组成部分。但是由于互联网络具有共享与开放的特点,网络安全问题也应该引起我们足够的重视。
关键词 网络安全 文件加密 URL骗术 间谍软件
中图分类号:TP393.08文献标识码:A
由于互联网络是共享与开放的,它的安全问题就成为人们关注的热点。网络安全是十分复杂的。用户常常同时使用不同厂商研发的、在非专业的安全软件操作平台上运行的产品,这样就造成了网络更加复杂并且更加不安全。对于一般用户来说,过于复杂的网络保护是不实在不方便使用的。简化而专业的网络安全才是他们最为所需。
在实际应用中,有很多小窍门能帮我们更好的维护网络安全。笔者归纳了如下三种。
1 文件加密功能
用户往往有很多重要性文件是不希望别人看到的,那么文件加密功能就非常重要了。下面介绍几种简单的文件加密方法。
1.1 后缀名加密法
严格说来,这并不是一种严密的加密方法,因为这种方法对高手没用!但如果要求不高,没有真正的高手惦记的话,这方法倒是颇为简单易行。这种方法就是将你想保密的文件后缀名改变。例如:将apple.txt改为orange.bat。
1.2 目录欺骗法
新建一个目录,把想保密的文件放入这个文件夹,然后重命名这个文件夹为“a.wav.{00020c01-0000-0000-c000- 000000000046}”,如果你安装了media player 7.0,请改为:a.wav.{00022602-0000-0000- c000-000000000046},按F5“刷新”,看到文件夹的图标由黄色的文件夹式样变成了一个声音文件的图标,双击它不是进入文件夹,而是试图用Windows自带的播放器(如media player)打开。这样改名后,这个文件夹变成了一个名为a.wav的声音文件。甚至你如果按F2试图再次为此文件夹“重命名”,此文件夹的名称也只能显示出“a.wav”这几个字符,后面花括号内的内容是不会显示出来的。如果你自己要进入此文件夹,就不要双击它,而是选取此文件夹,点击右键,在右键菜单中选第一个“打开”命令,即可进入。
这里“a.wav.”后面的内容(即“{}”和“{}”中间的内容)是“类标识符(CLSID)”。“类标识符”由花括号和花括号中间的数字、字母、“-”号组成,是Windows系统用来标识程序、文件等对象的“身份证”。
提示:这里再介绍几个类似的“类标识符”给大家:{00021401-0000-0000-c000-000000000046}:无关联文件,双击无反应,右键中的“打开”也不可进入;{d3e34b21-9d75-101a-8c3d-00aa001a1652}:BMP文件,双击拒绝访问;{25336920-03f9-11cf-8fd0-00aa00686f13}:HTML文件,双击用IE打开,右键中的“打开”也不可进入;{00022601-0000-0000-c000-000000000046}:媒体剪辑文件,双击试图打开。
方法三:使用软件法:使用一些专业的文件加密软件。
1.3 硬件加密
就是利用一些诸如“硬件狗”等这类工具进行设定,使用计算机时必须使用这类硬件才能正常启动电脑和使用。
1.4 利用回收站来隐藏文件
首先,对“文件夹选项”进行设置,将它设为“显示所有文件”,这样在硬盘的每个分区中都可以看到一个名为“Recycled”的回收站图标。如果我们想把文件隐藏在D盘的“回收站”中,就先查看D盘“回收站”的属性,将属性中的“只读”去掉,并选中“启用缩略图查看方式”,“确定”后再次查看它的属性,发现又变回了“只读”,再次将去掉“只读”,确定后可以看到“回收站”图标已经变成了一个普通文件夹的图标了。此时就可以把要保密的文件放到这个文件夹中了。接下来我们要恢复这个文件夹的“回收站”属性,将“只读”选中,将“启用缩略图查看方式”去掉,确定后再看,又变成回收站的图标。这个时候对“回收站”进行常规的操作既不能看到我们要保密的文件,也不会删除这些文件,而且通过“查找”也不能找到这些文件,不知道方法的人是绝对打不开的。
2 识破URL骗术
很多病毒是通过网上各种链接等待你的点击而猖獗的。有论坛里各式各样的链接,网友发过来的祝福,还有各种广告或者qq尾巴,这些等待你点击的链接,或许暗藏杀机,学会看懂它是很有必要的。
在HTTP规范中,网络协议名称之后的完整格式为http://IP:@name:pass/,其中只有第一部分IP是必需的,“@”后面是用户名参数,“:”后面是密码,这使服务器可以解析带有更多信息的完整字符串。我们最常见的通过浏览器登录Ftp服务器时的URL格式(ftp://[email protected]:port)就是这样一种情况,如果用户名和密码包含在URL中,真正的主机地址是从“@”字符之后开始,这就可以产生欺骗。
例如一位网友告诉你http://[email protected]/search?jswi-ty=er&RER-1&er=RER-1这个地址有你需要的微软某软件最新版本下载,恐怕你看到之前的www.microsoft.com就不假思索就会点上去。但请注意看一下“@”后面的内容,那才是真正的网址,而“www.microsoft.com”将被视为百度服务器上的一个用户名,实际指向后面的页面。倘若这个地址是感染了病毒的网页,后果堪忧。
3 间谍软件也不可不防
相对于垃圾邮件和网页欺骗来说,间谍软件更具有迷惑性,同时也更有威力,它往往能让网民们无法察觉,直到造成了实际的损失才发现原来自己已经被间谍软件所控制。
我们在安装各类软件的时候,对它的申明或者服务条款都不会一个字一个字去读完吧?你知道里面究竟说了什么吗?
我们来看看CuteFtp 5.0的安装协议,估计很少有人仔细看这些东西:
(1)……
(5)信息收集。本软件具有一种功能,能够基于系统信息为您的计算机指定一个独特的号码。当您安装本软件及/或输入您的注册号码时,本软件会把该独特的号码报告给我们。本软件还可能识别并向我们报告您的Windows语言识别器设置、IP地址、以及安装及/或注册日期和时间。我们仅仅把该信息用于计算安装数目、检测盗版和编制关于用户地理位置的大致统计数据。如果您注册使用我们的软件,我们会把上述信息与我们保存的能够识别您身份的信息综合使用。
……
(9)无保证。在有关法律许可范围内,本软件及任何支持服务“按现状”提供,不作任何明确或隐含保证,包括但不限于隐含适销性保证、特殊用途适用性保证或非侵犯保证。如果相关法律要求提供保证,要求提供的保证仅限于九十(90)日内,从您收到本软件拷贝之日算起。计算机程序本身就很复杂,本软件也可能无法避免出错。本软件连同其所有缺陷一道提供,您对质量、性能、准确性及操作等方面之满意程度自行承担所有风险。
现在看出来了吧。其实大多数协议书中都有“The SOFTWARE PRODUCT is ad-sponsored software”的提示,当你发现系统信息被发送出去、软件突然弹出广告页面的时候,你能有怨言么,毕竟我们大多数人确实点击了“I agree”按钮同意安装。这就是钓鱼式攻击的一个“温床”,通过这类软件,更多的钓鱼者在捕获计算机相关数据,如操作系统、服务器以及密码、信用卡号和其它机密数据。
那么如何保证电脑上安装的软件的安全呢?解决这样的问题,目前最好的方法是使用公开密钥加密系统PKI,只有保证了网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性,电子商务活动才能蓬勃发展起来。
用户可以为自己申请数字证书,也可以为一台安全服务器申请数字凭证。目前有几个CA中心提供试用型数字证书,其申请过程在即时网上完成,并立即可以免费使用。
这些看起来简单但是很实用的办法在日常生活中能够帮我们应对很多实际问题。网络安全任重而道远,只有用户时时注意,不让病毒黑客钻空子,才能更好的享受网络给我们带来的便利。
参考文献
[1] 沈建苗编译.文件加密的注意事项.计算机世界. 2007-10-08.
[2] 巧用“回收站”给文件装上“双保险”.搜狐社区.2007-10-14.http://club.learning.sohu.com/r-zz0010-12744-0-0-0.html.
[3] 李兆勇.您能识别URL及其中的骗术吗?.2004.(2).
[4] 钓鱼式攻击中欺骗和伪造的艺术.百度博客. 2006-09-23.http://hi.baidu.com/stuhacker/blog/item/c4dd7f8bd49d9112c9fc7a3d.html.
关键词 网络安全 文件加密 URL骗术 间谍软件
中图分类号:TP393.08文献标识码:A
由于互联网络是共享与开放的,它的安全问题就成为人们关注的热点。网络安全是十分复杂的。用户常常同时使用不同厂商研发的、在非专业的安全软件操作平台上运行的产品,这样就造成了网络更加复杂并且更加不安全。对于一般用户来说,过于复杂的网络保护是不实在不方便使用的。简化而专业的网络安全才是他们最为所需。
在实际应用中,有很多小窍门能帮我们更好的维护网络安全。笔者归纳了如下三种。
1 文件加密功能
用户往往有很多重要性文件是不希望别人看到的,那么文件加密功能就非常重要了。下面介绍几种简单的文件加密方法。
1.1 后缀名加密法
严格说来,这并不是一种严密的加密方法,因为这种方法对高手没用!但如果要求不高,没有真正的高手惦记的话,这方法倒是颇为简单易行。这种方法就是将你想保密的文件后缀名改变。例如:将apple.txt改为orange.bat。
1.2 目录欺骗法
新建一个目录,把想保密的文件放入这个文件夹,然后重命名这个文件夹为“a.wav.{00020c01-0000-0000-c000- 000000000046}”,如果你安装了media player 7.0,请改为:a.wav.{00022602-0000-0000- c000-000000000046},按F5“刷新”,看到文件夹的图标由黄色的文件夹式样变成了一个声音文件的图标,双击它不是进入文件夹,而是试图用Windows自带的播放器(如media player)打开。这样改名后,这个文件夹变成了一个名为a.wav的声音文件。甚至你如果按F2试图再次为此文件夹“重命名”,此文件夹的名称也只能显示出“a.wav”这几个字符,后面花括号内的内容是不会显示出来的。如果你自己要进入此文件夹,就不要双击它,而是选取此文件夹,点击右键,在右键菜单中选第一个“打开”命令,即可进入。
这里“a.wav.”后面的内容(即“{}”和“{}”中间的内容)是“类标识符(CLSID)”。“类标识符”由花括号和花括号中间的数字、字母、“-”号组成,是Windows系统用来标识程序、文件等对象的“身份证”。
提示:这里再介绍几个类似的“类标识符”给大家:{00021401-0000-0000-c000-000000000046}:无关联文件,双击无反应,右键中的“打开”也不可进入;{d3e34b21-9d75-101a-8c3d-00aa001a1652}:BMP文件,双击拒绝访问;{25336920-03f9-11cf-8fd0-00aa00686f13}:HTML文件,双击用IE打开,右键中的“打开”也不可进入;{00022601-0000-0000-c000-000000000046}:媒体剪辑文件,双击试图打开。
方法三:使用软件法:使用一些专业的文件加密软件。
1.3 硬件加密
就是利用一些诸如“硬件狗”等这类工具进行设定,使用计算机时必须使用这类硬件才能正常启动电脑和使用。
1.4 利用回收站来隐藏文件
首先,对“文件夹选项”进行设置,将它设为“显示所有文件”,这样在硬盘的每个分区中都可以看到一个名为“Recycled”的回收站图标。如果我们想把文件隐藏在D盘的“回收站”中,就先查看D盘“回收站”的属性,将属性中的“只读”去掉,并选中“启用缩略图查看方式”,“确定”后再次查看它的属性,发现又变回了“只读”,再次将去掉“只读”,确定后可以看到“回收站”图标已经变成了一个普通文件夹的图标了。此时就可以把要保密的文件放到这个文件夹中了。接下来我们要恢复这个文件夹的“回收站”属性,将“只读”选中,将“启用缩略图查看方式”去掉,确定后再看,又变成回收站的图标。这个时候对“回收站”进行常规的操作既不能看到我们要保密的文件,也不会删除这些文件,而且通过“查找”也不能找到这些文件,不知道方法的人是绝对打不开的。
2 识破URL骗术
很多病毒是通过网上各种链接等待你的点击而猖獗的。有论坛里各式各样的链接,网友发过来的祝福,还有各种广告或者qq尾巴,这些等待你点击的链接,或许暗藏杀机,学会看懂它是很有必要的。
在HTTP规范中,网络协议名称之后的完整格式为http://IP:@name:pass/,其中只有第一部分IP是必需的,“@”后面是用户名参数,“:”后面是密码,这使服务器可以解析带有更多信息的完整字符串。我们最常见的通过浏览器登录Ftp服务器时的URL格式(ftp://[email protected]:port)就是这样一种情况,如果用户名和密码包含在URL中,真正的主机地址是从“@”字符之后开始,这就可以产生欺骗。
例如一位网友告诉你http://[email protected]/search?jswi-ty=er&RER-1&er=RER-1这个地址有你需要的微软某软件最新版本下载,恐怕你看到之前的www.microsoft.com就不假思索就会点上去。但请注意看一下“@”后面的内容,那才是真正的网址,而“www.microsoft.com”将被视为百度服务器上的一个用户名,实际指向后面的页面。倘若这个地址是感染了病毒的网页,后果堪忧。
3 间谍软件也不可不防
相对于垃圾邮件和网页欺骗来说,间谍软件更具有迷惑性,同时也更有威力,它往往能让网民们无法察觉,直到造成了实际的损失才发现原来自己已经被间谍软件所控制。
我们在安装各类软件的时候,对它的申明或者服务条款都不会一个字一个字去读完吧?你知道里面究竟说了什么吗?
我们来看看CuteFtp 5.0的安装协议,估计很少有人仔细看这些东西:
(1)……
(5)信息收集。本软件具有一种功能,能够基于系统信息为您的计算机指定一个独特的号码。当您安装本软件及/或输入您的注册号码时,本软件会把该独特的号码报告给我们。本软件还可能识别并向我们报告您的Windows语言识别器设置、IP地址、以及安装及/或注册日期和时间。我们仅仅把该信息用于计算安装数目、检测盗版和编制关于用户地理位置的大致统计数据。如果您注册使用我们的软件,我们会把上述信息与我们保存的能够识别您身份的信息综合使用。
……
(9)无保证。在有关法律许可范围内,本软件及任何支持服务“按现状”提供,不作任何明确或隐含保证,包括但不限于隐含适销性保证、特殊用途适用性保证或非侵犯保证。如果相关法律要求提供保证,要求提供的保证仅限于九十(90)日内,从您收到本软件拷贝之日算起。计算机程序本身就很复杂,本软件也可能无法避免出错。本软件连同其所有缺陷一道提供,您对质量、性能、准确性及操作等方面之满意程度自行承担所有风险。
现在看出来了吧。其实大多数协议书中都有“The SOFTWARE PRODUCT is ad-sponsored software”的提示,当你发现系统信息被发送出去、软件突然弹出广告页面的时候,你能有怨言么,毕竟我们大多数人确实点击了“I agree”按钮同意安装。这就是钓鱼式攻击的一个“温床”,通过这类软件,更多的钓鱼者在捕获计算机相关数据,如操作系统、服务器以及密码、信用卡号和其它机密数据。
那么如何保证电脑上安装的软件的安全呢?解决这样的问题,目前最好的方法是使用公开密钥加密系统PKI,只有保证了网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性,电子商务活动才能蓬勃发展起来。
用户可以为自己申请数字证书,也可以为一台安全服务器申请数字凭证。目前有几个CA中心提供试用型数字证书,其申请过程在即时网上完成,并立即可以免费使用。
这些看起来简单但是很实用的办法在日常生活中能够帮我们应对很多实际问题。网络安全任重而道远,只有用户时时注意,不让病毒黑客钻空子,才能更好的享受网络给我们带来的便利。
参考文献
[1] 沈建苗编译.文件加密的注意事项.计算机世界. 2007-10-08.
[2] 巧用“回收站”给文件装上“双保险”.搜狐社区.2007-10-14.http://club.learning.sohu.com/r-zz0010-12744-0-0-0.html.
[3] 李兆勇.您能识别URL及其中的骗术吗?.2004.(2).
[4] 钓鱼式攻击中欺骗和伪造的艺术.百度博客. 2006-09-23.http://hi.baidu.com/stuhacker/blog/item/c4dd7f8bd49d9112c9fc7a3d.html.