如何構建僵屍網路

A. 電腦中了僵屍網路怎麼辦

僵屍網路防禦方法

如果一台計算機受到了一個僵屍網路的DoS攻擊，幾乎沒有什麼選擇。一般來說，僵屍網路在地理上是分布式的，我們難於確定其攻擊計算機的模式。

被動的操作系統指紋識別可以確認源自僵屍網路的攻擊，網路管理員可以配置防火牆設備，使用被動的操作系統指紋識別所獲得的信息，對僵屍網路採取行動。最佳的防禦措施是利用安裝有專用硬體的入侵防禦系統。

一些僵屍網路使用免費的DNS託管服務將一個子域指向一個窩藏「肉雞」的IRC伺服器。雖然這些免費的DNS服務自身並不發動攻擊，但卻提供了參考點。清除這些服務可以破壞整個僵屍網路。近來，有些公司想方設法清除這些域的子域。僵屍社團將這種路由稱之為「空路由」，因為DNS託管服務通常將攻擊性的子域重新定向到一個不可訪問的IP地址上。

前述的僵屍伺服器結構有著固有的漏洞和問題。例如，如果發現了一個擁有僵屍網路通道的伺服器，也會暴露其它的所有伺服器和其它僵屍。如果一個僵屍網路伺服器缺乏冗餘性，斷開伺服器將導致整個僵屍網路崩潰。然而，IRC伺服器軟體包括了一些掩飾其它伺服器和僵屍的特性，所以發現一個通道未必會導致僵屍網路的消亡。

基於主機的技術使用啟發式手段來確認繞過傳統的反病毒機制的僵屍行為。而基於網路的方法逐漸使用上述技術來關閉僵屍網路賴以生存的伺服器，如「空路由」的DNS項目，或者完全關閉IRC伺服器。

但是，新一代的僵屍網路幾乎完全都是P2P的，將命令和控制嵌入到僵屍網路中，通過動態更新和變化，僵屍網路可以避免單個點的失效問題。間諜軟體可以將所有可疑的口令用一種公鑰「硬編碼」到僵屍軟體中。只能通過僵屍控制者所掌握的私鑰，才能讀取僵屍網路所捕獲的數據。

必須指出，新一代僵屍網路能夠檢測可以分析其工作方式的企圖，並對其作出響應。如大型的僵屍網路在檢測到自己正在被分析研究時，甚至可以將研究者從網路中斷開。所以單位需要專業的僵屍網路解決

僵屍網路解決方案

好消息是在威脅不斷增長時，防禦力量也在快速反應。如果你是一家大型企業的負責人，你可以使用一些商業產品或開源產品，來對付這些威脅。

首先是FireEye的產品，它可以給出任何攻擊的清晰視圖，而無需求助於任何簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點，阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動，然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時，可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機，而無需使用簽名技術或基於行為的技術。此外，SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。

著名的大型公司，如谷歌等，不太可能被僵屍網路擊垮。其原因很簡單，它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路，而這幾乎是不太可能的，因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊，如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。

不過，由於DDoS攻擊活動太容易被發現而且強度大，防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。

B. 僵屍網路是什麼

僵屍網路是指採用一種或多種傳播手段，將大量主機感染bot程序（僵屍程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。
攻擊者通過各種途徑傳播僵屍程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵屍網路。之所以用僵屍網路這個名字，是為了更形象的讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵屍群一樣被人驅趕和指揮著，成為被人利用的一種工具。
在Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫，是指實現惡意控制功能的程序代碼；「僵屍計算機」就是被植入bot的計算機；「控制伺服器（Control Server）」是指控制和通信的中心伺服器，在基於IRC（網際網路中繼聊天）協議進行控制的Botnet中，就是指提供IRC聊天服務的伺服器。
Botnet
首先是一個可控制的網路，這個網路並不是指物理意義上具有拓撲結構的網路，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵屍計算機添加到這個網路中來。
其次，這個網路是採用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行Botnet的傳播，從這個意義上講，惡意程序bot也是一種病毒或蠕蟲。
最後一點，也是Botnet的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分布式拒絕服務（DDos）攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平台的角色，這也就使得Botnet不同於簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。
僵屍網路是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網路攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息，譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意「取用」。因此，不論是對網路安全運行還是用戶數據安全的保護來說，僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而，發現一個僵屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」，這些主機的用戶往往並不知情。因此，僵屍網路是目前互聯網上黑客最青睞的作案工具。
對網友而言，感染上「僵屍病毒」卻十分容易。網路上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網友輕輕一點滑鼠。但事實上，點擊之後毫無動靜，原來一切只是騙局，意在誘惑網友下載有問題的軟體。一旦這種有毒的軟體進入到網友電腦，遠端主機就可以發號施令，對電腦進行操控。
專家表示，每周平均新增數十萬台任人遙控的僵屍電腦，任憑遠端主機指揮，進行各種不法活動。多數時候，僵屍電腦的根本不曉得自己已被選中，任人擺布。
僵屍網路之所以出現，在家高速上網越來越普遍也是原因。高速上網可以處理(或製造)更多的流量，但高速上網家庭習慣將電腦長時間開機，唯有電腦開機，遠端主機才可以對僵屍電腦發號施令。
網路專家稱：「重要的硬體設施雖然非常重視殺毒、防黑客，但網路真正的安全漏洞來自於住家用戶，這些個體戶欠缺自我保護的知識，讓網路充滿地雷，進而對其他用戶構成威脅。」
Botnet的發展過程
Botnet是隨著自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網路中，有一些服務是重復出現的，如防止頻道被濫用、管理許可權、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993 年，在IRC 聊天網路中出現了Bot 工具——Eggdrop，這是第一個bot程序，能夠幫助用戶方便地使用IRC 聊天網路。這種bot的功能是良性的，是出於服務的目的，然而這個設計思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對大量的受害主機進行控制，利用他們的資源以達到惡意目標。
20世紀90年代末，隨著分布式拒絕服務攻擊概念的成熟，出現了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機，發動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經具有了Botnet的雛形。
1999 年，在第八屆DEFCON 年會上發布的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對僵屍主機的控制信道，也成為第一個真正意義上的bot程序。隨後基於IRC協議的bot程序的大量出現，如GTBot、Sdbot 等，使得基於IRC協議的Botnet成為主流。
2003 年之後，隨著蠕蟲技術的不斷成熟，bot的傳播開始使用蠕蟲的主動傳播技術，從而能夠快速構建大規模的Botnet。著名的有2004年爆發的Agobot/Gaobot 和rBot/Spybot。同年出現的Phatbot 則在Agobot 的基礎上，開始獨立使用P2P 結構構建控制信道。
從良性bot的出現到惡意bot的實現，從被動傳播到利用蠕蟲技術主動傳播，從使用簡單的IRC協議構成控制信道到構建復雜多變P2P結構的控制模式，Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網路，給當前的網路安全帶來了不容忽視的威脅。
Botnet的工作過程
Botnet的工作過程包括傳播、加入和控制三個階段。
一個Botnet首先需要的是具有一定規模的被控計算機，而這個規模是逐漸地隨著採用某種或某幾種傳播手段的bot程序的擴散而形成的，在這個傳播過程中有如下幾種手段：
（1）主動攻擊漏洞。其原理是通過攻擊系統所存在的漏洞獲得訪問權，並在Shellcode 執行bot程序注入代碼，將被攻擊系統感染成為僵屍主機。屬於此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊，獲得許可權後下載bot程序執行。攻擊者還會將僵屍程序和蠕蟲技術進行結合，從而使bot程序能夠進行自動傳播，著名的bot樣本AgoBot，就是實現了將bot程序的自動傳播。
（2）郵件病毒。bot程序還會通過發送大量的郵件病毒傳播自身，通常表現為在郵件附件中攜帶僵屍程序以及在郵件內容中包含下載執行bot程序的鏈接，並通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接，或是通過利用郵件客戶端的漏洞自動執行，從而使得接收者主機被感染成為僵屍主機。
（3）即時通信軟體。利用即時通信軟體向好友列表發送執行僵屍程序的鏈接，並通過社會工程學技巧誘騙其點擊，從而進行感染，如2005年年初爆發的MSN性感雞（Worm.MSNLoveme）採用的就是這種方式。
（4）惡意網站腳本。攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本，當訪問者訪問這些網站時就會執行惡意腳本，使得bot程序下載到主機上，並被自動執行。
（5）特洛伊木馬。偽裝成有用的軟體，在網站、FTP 伺服器、P2P 網路中提供，誘騙用戶下載並執行。
通過以上幾種傳播手段可以看出，在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復雜的間諜軟體很相近。
在加入階段，每一個被感染主機都會隨著隱藏在自身上的bot程序的發作而加入到Botnet中去，加入的方式根據控制方式和通信協議的不同而有所不同。在基於IRC協議的Botnet中，感染bot程序的主機會登錄到指定的伺服器和頻道中去，在登錄成功後，在頻道中等待控制者發來的惡意指令。圖2為在實際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。
在控制階段，攻擊者通過中心伺服器發送預先定義好的控制指令，讓被感染主機執行惡意行為，如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。圖3為觀測到的在控制階段向內網傳播惡意程序的Botnet行為。
Botnet的分類
Botnet根據分類標準的不同，可以有許多種分類。
按bot程序的種類分類
（1）Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵屍工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析)，這個數目也在穩步增長。僵屍工具本身使用跨平台的C++寫成。Agobot 最新可獲得的版本代碼清晰並且有很好的抽象設計，以模塊化的方式組合，添加命令或者其他漏洞的掃描器及攻擊功能非常簡單，並提供像文件和進程隱藏的Rootkit 能力在攻陷主機中隱藏自己。在獲取該樣本後對它進行逆向工程是比較困難的，因為它包含了監測調試器(Softice 和O11Dbg)和虛擬機（VMware 和Virtual PC)的功能。
（2）SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟體目前是最活躍的bot程序軟體，SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特徵，但是命令集沒那麼大，實現也沒那麼復雜。它是基於IRC協議的一類bot程序。
（3）GT-Bots。GT-Bots是基於當前比較流行的IRC客戶端程序mIRC編寫的，GT是（Global Threat）的縮寫。這類僵屍工具用腳本和其他二進制文件開啟一個mIRC聊天客戶端, 但會隱藏原mIRC窗口。通過執行mIRC 腳本連接到指定的伺服器頻道上，等待惡意命令。這類bot程序由於捆綁了mIRC程序，所以體積會比較大，往往會大於1MB。
按Botnet的控制方式分類
（1）IRC Botnet。是指控制和通信方式為利用IRC協議的Botnet，形成這類Botnet的主要bot程序有spybot、GTbot和SDbot，目前絕大多數Botnet屬於這一類別。
（2）AOL Botnet。與IRC Bot類似，AOL為美國在線提供的一種即時通信服務，這類Botnet是依託這種即時通信服務形成的網路而建立的，被感染主機登錄到固定的伺服器上接收控制命令。AIM-Canbot和Fizzer就採用了AOL Instant Messager實現對Bot的控制。
（3）P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端，可以連入採用了Gnutella技術（一種開放源碼的文件共享技術）的伺服器，利用WASTE文件共享協議進行相互通信。由於這種協議分布式地進行連接，就使得每一個僵屍主機可以很方便地找到其他的僵屍主機並進行通信，而當有一些bot被查殺時，並不會影響到Botnet的生存，所以這類的Botnet具有不存在單點失效但實現相對復雜的特點。Agobot和Phatbot採用了P2P的方式。
Botnet的危害
Botnet構成了一個攻擊平台，利用這個平台可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網路或者重要應用系統癱瘓，也可以導致大量機密或個人隱私泄漏，還可以用來從事網路欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類型，Botnet還可能被用來發起新的未知攻擊。
（1）拒絕服務攻擊。使用Botnet發動DDos攻擊是當前最主要的威脅之一，攻擊者可以向自己控制的所有bots發送指令，讓它們在特定的時間同時開始連續訪問特定的網路目標，從而達到DDos的目的。由於Botnet可以形成龐大規模，而且利用其進行DDos攻擊可以做到更好地同步，所以在發布控制指令時，能夠使得DDos的危害更大，防範更難。
（2）發送垃圾郵件。一些bots會設立sockv4、v5 代理，這樣就可以利用Botnet發送大量的垃圾郵件，而且發送者可以很好地隱藏自身的IP信息。
（3）竊取秘密。Botnet的控制者可以從僵屍主機中竊取用戶的各種敏感信息和其他秘密，例如個人帳號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網路數據，從而獲得網路流量中的秘密。
（4）濫用資源。攻擊者利用Botnet從事各種需要耗費網路資源的活動，從而使用戶的網路性能受到影響，甚至帶來經濟損失。例如：種植廣告軟體，點擊指定的網站；利用僵屍主機的資源存儲大型數據和違法數據等，利用僵屍主機搭建假冒的銀行網站從事網路釣魚的非法活動。
可以看出，Botnet無論是對整個網路還是對用戶自身，都造成了比較嚴重的危害，我們要採取有效的方法減少Botnet的危害。
Botnet的研究現狀
對於Botnet的研究是最近幾年才逐漸開始的，從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發，將其視為一種由後門工具、蠕蟲、Spyware 等技術結合的惡意軟體而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2004 年開始，在其每半年發布一次的安全趨勢分析報告中，以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟體趨勢分析報告中指出，僵屍程序的盛行是2004年病毒領域最重大的變化。
學術界在2003年開始關注Botnet的發展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析，如Azusa Pacific大學的Bill McCarty、法國蜜網項目組的Richard Clarke、華盛頓大學Dave Dittrich和德國蜜網項目組。特別是德國蜜網項目組在2004年11月到2005 年1月通過部署Win32蜜罐機發現並對近100個Botnet進行了跟蹤，並發布了Botnet跟蹤的技術報告。
Botnet的一個主要威脅是作為攻擊平台對指定的目標發起DDos（分布式拒絕服務攻擊）攻擊，所以DDos的研究人員同樣也做了對Botnet的研究工作。由國外DDosVax組織的「Detecting Bots in Internet Relay Chat Systems」項目中，分析了基於IRC協議的bot程序的行為特徵，在網路流量中擇選出對應關系，從而檢測出Botnet的存在。該組織的這個研究方法通過在plantlab中搭建一個Botnet的實驗環境來進行測試，通過對得到的數據進行統計分析，可以有效驗證關於Botnet特徵流量的分析結果，但存在著一定的誤報率。
國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目，對收集到的惡意軟體樣本，採用了沙箱、蜜網這兩種各有優勢的技術對其進行分析，確認其是否為僵屍程序，並對僵屍程序所要連接的Botnet控制信道的信息進行提取，最終獲得了60,000 多個僵屍程序樣本分析報告，並對其中500多個仍然活躍的Botnet進行跟蹤，統計出所屬國分布、規模分布等信息。
國家應急響應中心通過863－917網路安全監測平台，在2005年共監測到的節點大於1000個的Botnet規模與數量統計如圖4所示。
這些數據和活動情況都說明，我國國內網上的Botnet的威脅比較嚴重，需要引起網路用戶的高度重視。
CCERT惡意代碼研究項目組在2005年7月開始對Botnet的研究工作，通過對大量已經掌握的Botnet的實際跟蹤與深入分析，對基於IRC協議的Botnet的伺服器端的特徵進行了分類提取，形成對於Botnet 伺服器端的判斷規則，從而可以對網路中的IRC Server進行性質辨別。設計並初步實現了Botnet自動識別系統，應用於中國教育和科研計算機網路環境中。
可以看出，從國內到國外，自2004年以來對Botnet的研究越來越多地受到網路安全研究人員的重視，研究工作已經大大加強。但是這些工作還遠遠不夠，在檢測和處置Botnet方面還有許多工作要做。
Botnet的研究方法
對於目前比較流行的基於IRC協議的Botnet的研究方法，主要使用蜜網技術、網路流量研究以及IRC Server識別技術。
（1）使用蜜網技術。蜜網技術是從bot程序出發的，可以深入跟蹤和分析Botnet的性質和特徵。主要的研究過程是，首先通過密罐等手段盡可能多地獲得各種流傳在網上的bot程序樣本；當獲得bot程序樣本後，採用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的屬性，如Botnet伺服器地址、服務埠、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今後有效地跟蹤Botnet和深入分析Botnet的特徵提供了條件。在具備了這些條件之後，使用偽裝的客戶端登錄到Botnet中去，當確認其確實為Botnet後，可以對該Botnet採取相應的措施。
（2）網路流量研究。網路流量的研究思路是通過分析基於IRC協議的Botnet中僵屍主機的行為特徵，將僵屍主機分為兩類：長時間發呆型和快速加入型。具體來說就是僵屍主機在Botnet中存在著三個比較明顯的行為特徵，一是通過蠕蟲傳播的僵屍程序，大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中；二是僵屍計算機一般會長時間在線；三是僵屍計算機作為一個IRC聊天的用戶，在聊天頻道內長時間不發言，保持空閑。將第一種行為特徵歸納為快速加入型，將第二、三種行為特徵歸納為長期發呆型。
研究對應這兩類僵屍計算機行為的網路流量變化，使用離線和在線的兩種分析方法，就可以實現對Botnet的判斷。
（3）IRC Server識別技術的研究。通過登錄大量實際的基於IRC協議的Botnet的伺服器端，可以看到，由於攻擊者為了隱藏自身而在伺服器端刻意隱藏了IRC伺服器的部分屬性。同時，通過對bot源代碼的分析看到，當被感染主機加入到控制伺服器時，在伺服器端能夠表現出許多具有規律性的特徵。通過對這些特徵的歸納總結，就形成了可以用來判斷基於IRC協議的Botnet的伺服器端的規則，這樣就可以直接確定出Botnet的位置及其規模、分布等性質，為下一步採取應對措施提供有力的定位支持。
以上三種研究方法都是針對基於IRC協議的Botnet。對於P2P結構的Botnet的研究較少，原因是由於其實現比較復雜，在網路中並不佔有太大比例，同時也因為其在控制方式上的分布性使得對它的研究比較困難。但隨著Botnet的發展，對於P2P結構的Botnet的研究也將進一步深入。

C. 僵屍網路的4個發展階段 如何防禦僵屍網路（一）

因為，如今每一個僵屍網路都似乎在用最高級的技術並且使用高質量的軟體流程，挑釁著當前入侵檢測系統(IPS)的防禦策略。 因此，我們在這篇文章中先重點介紹一下僵屍網路和隱蔽軟體的技術狀況及其產業發展情況。 一個僵屍網路是一個被惡意軟體控制的分布式計算機或者系統的集合。因此，這些計算機也經常被稱作僵屍電腦。僵屍電腦由一個僵屍牧人(bot-herder)通過一台或者多台指揮與控制伺服器控制或者指揮。最常見的情況是僵屍牧人使用指揮與控制伺服器控制僵屍電腦，通過IRC(互聯網中繼聊天)或者P2P等網路通訊實施控制。僵屍電腦軟體一般是通過惡意軟體、蠕蟲、木馬程序或者其它後門渠道安裝的。 各個機構報告的僵屍電腦規模與增長的統計數據有很大差別。據安全公司賽門鐵克的「Threat Horizon Report」(威脅視野報告)稱，每天能夠檢測到5.5萬個新的僵屍網路節點。而《今日美國》報紙2008年的一篇報告稱，平均每天連接到互聯網的8億台電腦中有40%的電腦是用來發送垃圾郵件、病毒和竊取敏感個人數據的僵屍電腦。《今日美國》還報道稱，2008年的僵屍網路威脅比2007年增加了10倍。許多消息來源預測稱，最著名的僵屍網路Storm、Kraken和Conficker已經感染了大量的計算機。這些數字包括Storm(風暴)感染了8.5萬台計算機，Kraken感染了49.5萬台計算機，Conficker感染了900萬台計算機。 地下經濟與僵屍網路的發展 同任何由金錢驅動的市場一樣，僵屍網路開發者就像經營一個合法的生意那樣工作：他們利用合作、貿易和開發流程以及質量等好處。最近，僵屍網路已經開始使用生命周期管理工具、同行審查、面向對象和模塊化等通用的軟體質量做法。僵屍網路開發者正在銷售其軟體和感染載體，提供說明書和技術支持，並且收集用戶的反饋意見和要求。 在僵屍網路團體中，一致的經濟目標是推動技術創新、合作和風險教育。在線易貨貿易和市場網站已經開始為這種地下經濟團體服務，向僵屍牧人提供更好的易貨貿易和交易方式、在線技術支持以及租借和租賃等服務。這種合作已經催生了一個非常成熟的經濟。這里可以銷售和購買僵屍網路節點或者僵屍網路群。僵屍牧人在對一個實體展開攻擊的時候會在這里尋求合作。僵屍網路可以被租借用於發送垃圾郵件。竊取的身份證和賬戶可以在這個地下市場的參與者之間交換和出售。 僵屍網路的生命周期 僵屍網路的生命周期一般包括四個階段：傳播、感染、指揮與控制和攻擊，見圖1。圖1 僵屍網路的生命周期(來源：英特爾公司，2009年) 傳播階段。在許多僵屍網路的傳播階段，僵屍電腦程序到處傳播和感染系統。僵屍電腦能夠通過各種手段傳播，如垃圾郵件、網路蠕蟲、以及在用戶不知情的情況下通過網路下載惡意軟體。由於傳播階段的目標主要是感染系統，僵屍牧人或者採取引誘用戶安裝惡意軟體負載，或者通過應用程序或瀏覽器利用用戶的系統中的安全漏洞傳播惡意軟體負載。 感染階段。一旦安裝到系統，這個惡意軟體負載就使用各種技術感染機器和隱藏自己。僵屍電腦感染能力的進步包括隱藏感染的技術和通過攻擊殺毒工具和安全服務延長感染壽命的技術等。殺毒工具和安全服務一般能夠發現和清除這種感染。僵屍網路使用當前病毒使用的許多標準的惡意軟體技術。多形性和「rootkitting」是兩種最常用的技術。 ·通過多形性，惡意軟體每一次進行新的感染時都會改變代碼，從而使殺毒軟體產品很難檢測到它。而且，僵屍網路的開發者目前還使用軟體開發人員用來防止軟體盜版和反向工程的增強代碼的技術。這些技術包括代碼迷惑、加密和進一步隱藏惡意代碼真實性質的編碼以及讓殺毒軟體廠商更難分析的編碼。許多跡象表明，惡意軟體和僵屍網路開發者正在開始研究高級的「rootkitting」技術，以便更深地隱藏惡意軟體。 ·通過利用「rootkitting」技術，也就是隱蔽地安裝惡意軟體的技術，每一次系統啟動的時候這個名為「rootkit」的惡意軟體都會啟動。rootkit是很難發現的，因為這種惡意軟體在電腦的操作系完全啟動之前就啟動了。rootkit技術的進步包括超劫持和基於虛擬化的rootkit以及發現和利用新目標以便注入固件和BIOS等代碼。 虛擬機監視器(VMM)或者在一個操作系統下面運行的管理程序是僵屍網路和惡意軟開發者控制計算機系統的一個非常有用的手段。超劫持包括安裝一個能夠完全控制這個系統的惡意管理程序。普通的安全措施很難對付這種管理程序，因為操作系統不知道這個機器已經被攻破了，殺毒軟體和本地防火牆也不能發現它們。 僵屍網路開發者目前使用的另一個技術是主動攻擊殺毒軟體、本地防火牆以及入侵防禦與檢測軟體(IPS/ IDS)和服務。僵屍網路攻擊殺毒軟體和防火牆軟體使用的技術包括殺死安全軟體流程或者阻止其更新能力等手段。下面是我們了解的僵屍網路封鎖安全軟體更新的兩個例子： ·一個僵屍網路改變了被感染的系統的本地DNS設置以阻止殺毒軟體訪問其更新網站。 ·僵屍網路主動檢查安全軟體連接其更新網站的企圖並且封鎖這個連接。 這些封鎖安全軟體更新的技術阻止安全軟體獲得其廠商提供的更新的惡意軟體特徵，或者阻止安全軟體向中心廠商伺服器報告異常情況和獲得更新，從而阻止安全軟體發布對抗僵屍網路的新版本程序。 僵屍網路開發者使用的另一種感染技術是把感染的時間定在安全軟體實施惡意軟體檢測服務掃描的間隔時間里。僵屍電腦程序緩慢地感染一個系統不會引起入侵檢測軟體服務發出報警。 其它高級的僵屍電腦程序能夠欺騙IDS/IPS系統和殺毒軟體執行的本地和遠程掃描。在這種情況下，這個僵屍網路的惡意軟體會向進行掃描的殺毒軟體展示虛假的內存鏡像或者虛假的硬體鏡像，或者這個軟體通過丟棄數據包中斷安全漏洞掃描，欺騙網路的響應或者重新定向來自安全漏洞掃描器的通訊。 指揮與控制。僵屍網路指揮與控制伺服器使用若干協議中的一個協議進行通訊，目前最常用的一個協議是IRC。然而，最近開始出現一種使用增強的或者保護的協議的趨勢。例如，Storm(風暴)僵屍網路使用加密的P2P協議(eDonkey/Overnet)。指揮與控制技術的進步對於僵屍牧人防止其僵屍網路被發現和關閉是非常重要的。要達到這個目的，僵屍網路已經開始利用在網路上常用的HTTP和P2P等協議，從而使僵屍網路更難發現。HTTP協議對於僵屍網路是特別有利的，因為目前來自系統的HTTP通訊量非常大並且具有多種類型的通訊。此外，僵屍網路軟體還能夠利用本地瀏覽器軟體的許多功能和通訊棧，利用HTTP協議穿過防火牆的能力。其它即將出現的技術還包括使用VoiP、Web服務和HTTP通訊棧中的腳本等技術。另一個高級的技術是使用直接發送的方式，就是利用用戶能夠匿名發布信息的互聯網論壇或者新聞組等網站傳播僵屍網路軟體。僵屍網路節點能夠在這種網站上發布信息。僵屍牧人能夠匿名地查看自己的節點發送的信息並且發布指令。然後，這個僵屍網路節點能夠查詢這個網站了解新的指令和進行其它基於消息的指揮與控制通訊。 現代僵屍網路發展的一個關鍵功能是在感染一個系統之後能夠重新編程或者更新這個僵屍網路節點。這個指揮與控制指令可以讓這個節點直接下載更新軟體或者去一個被感染的具體網址下載這個更新軟體。具有可重新編程能力的僵屍網路在這種地下經濟中有很高的價值，因為這些僵屍網路能夠隨著發展而擴大以執行新的和高級的攻擊和隱蔽的任務。 如上所述，隱蔽是僵屍網路技術的一個關鍵的功能。Kracken和Conficker僵屍網路都攻擊和關閉安裝在系統中的殺毒軟體。其它僵屍網路故意通過客戶化制定感染的時機和通訊的頻繁程度以避開門限檢測軟體，防止本地的和網路的安全產品發現其蹤跡。演算法技術是下一種方式。僵屍網路開發者計劃利用這種技術避開檢測。這種技術包括使用隱蔽的通訊頻道和基於速記式加密的信息，如模仿和嵌入內容(也就是嵌入在圖像、流媒體、VoiP等內容中的消息)。 攻擊階段。僵屍網路生命周期的最後階段是攻擊階段。在許多情況下，這種攻擊只是簡單地發送攜帶感染病毒的垃圾郵件。當攻擊成功的時候，這個僵屍網路本身的規模將擴大。僵屍網路還經常用於發送垃圾郵件，作為實物交易和租借交易的一部分。這樣，釣魚攻擊者、黑客、垃圾郵件製造者和病毒作者就能夠利用僵屍網路銷售信息和服務。僵屍網路還用來實施大規模拒絕服務攻擊，攻擊的目標包括政府和企業系統，甚至還攻擊其它僵屍網路。一些新的僵屍網路能夠升級到使用各種黑客工具和故障注入器等技術進一步攻擊它們已經滲透進去的網路。例如，Asprox僵屍網路包含一種SQL注入攻擊工具，另一種僵屍網路包括一個蠻力SSH攻擊引擎。除了實施遠程攻擊之外，僵屍網路還能夠實施持續的本地攻擊，竊取被感染的系統及其用戶的身份證和賬戶。

D. 熊貓燒香是怎麼回事該怎麼解決

晨報訊（記者 武新）昨天，記者從北京江民公司獲悉，雖然「熊貓燒香」病毒的作者在年前已經被抓獲，但是由於其已經將病毒源代碼出售外泄，已經被不法分子所利用，演變出更多的「熊貓燒香」新變種，致使「熊貓燒香」病毒仍然在網上繼續流傳。

江民公司的張女士告訴記者，在春節期間，江民公司的客服人員接到不少關於「熊貓燒香」病毒的求助電話，其中一些電腦用戶是在春節期間感染這種病毒的。目前，除了此前發現的700多個「熊貓燒香」病毒變種外，又出現了新的病毒變種。江民公司仍然按照公安部門的要求繼續檢測「熊貓燒香」病毒的動向。

特別提示

江民反病毒專家提醒廣大用戶，在春節後上班的頭幾天，要注意及時升級殺毒軟體，更新殺毒軟體病毒庫，同時啟動殺毒軟體的實時監控功能，及時安裝系統補丁，企業區域網應進行全網查殺病毒。「熊貓燒香病毒最新變種也可以通過江民公司的升級殺毒軟體進行剿殺。」

負責偵辦「熊貓燒香」病毒案的湖北省仙桃市公安局副局長葉鐵官說，「熊貓燒香」病毒製造者李俊已編寫出專殺程序，公安部門正組織專家對這一程序進行鑒定，預計一周內可在互聯網上公布，供網民免費下載。據介紹，李俊向警方表示，他最初編制病毒是應網友要求「編得好玩」，後來見被感染的計算機數量眾多，網上輿論憤怒聲討，「事情鬧大了」，他便編制專殺程序，想把病毒都殺掉，但編好後不敢掛在網上，擔心警方以此為線索找到他。

仙桃市公安局網監部門利用李俊的專殺程序進行了初步試驗，結果表明其程序完全能殺盡「熊貓燒香」病毒及其變種。

偵破紀實

網上追蹤「武漢男孩」揪出「熊貓燒香」案主

求職失敗發泄不滿「編毒」牟利

2006年12月，一種神秘的新型病毒開始在互聯網上大規模爆發，許多企業區域網、網吧和個人電腦遭到重創。每台染上病毒的電腦，屏幕上都會出現一排排熊貓持香作揖圖案。反病毒工程師們將其命名為「尼姆亞」。至2006年12月中旬，「熊貓燒香」進入急速變種期。今年1月7日，國家計算機病毒應急處理中心發出「熊貓燒香」的緊急預警。2007年1月9日，湖北仙桃市公安局接報，該市「江漢熱線」不幸感染「熊貓燒香」病毒而致網路癱瘓。「熊貓」正式進入警方視野。盯上「武漢男孩」查幕後1月中旬，湖北省公安廳網監總隊根據公安部公共信息網路安全監察局的部署，開始對「熊貓燒香」製作者開展調查。據調查，病毒作者在病毒中加入了代碼「WHBOY」（武漢男孩）。因此，警方猜測病毒作者可能是一網名為「武漢男孩」的人。經初步核實，仙桃市網監大隊1月24日正式立案，並命名其為「1·22」製作傳播計算機病毒案。公安部和湖北省公安廳對此案高度重視，要求網監部門不惜一切代價拿下此案。1月31日下午，省公安廳抽調武漢、宜昌、荊門等地6位網監精英和專門從國家計算機病毒應急處理中心趕來的1位專家，以及仙桃市網監大隊全隊人馬齊聚省公安廳，對「1·22」案進行「會診」，同時成立聯合工作專班。在省公安廳網監總隊統一部署下，仙桃市網警運用多種網路技術手段和偵查手段，獲取了確定犯罪嫌疑人「武漢男孩」的身份信息。第1頁try showAd(3,0,1); catch(ex)

准備潛逃被當場抓獲

「武漢男孩」又名「小俊」，網名為「DAVE」。根據「小俊」上網賬戶資料，警方將目標鎖定一個叫羅某的人，此人居住在武昌關山某居民樓。

警方現場發現，此地為一出租屋，羅某租住在第二層一戶三居室。現住有羅某、其女友以及一個被其稱為「師傅」的人。根據房主的描述和警方掌握的嫌疑人照片，專班人員確定羅某的師傅就是「小俊」。

省公安廳網監總隊緊急召開專案會，制定了周密的抓捕方案和審訊方案。

當日下午4時左右，警方在出租屋抓獲了「小俊」的弟弟李明。據其交代，「小俊」真名叫李俊。

下午5時左右，警方在偵查中獲悉，犯罪嫌疑人要潛逃外地。省公安廳網監總隊立即向各個進出口岸發出協查通報。晚7時左右，回出租屋取東西准備潛逃的李俊被當場抓獲。民警從李俊身上找到了一張武昌京都大廈賓館的門卡。專班人員趕往該賓館，當晚將其同夥雷磊抓獲歸案。

2003年開始「編毒」

李俊今年25歲，是武漢市新洲區陽邏街人，中專畢業後參加過網路技術職業培訓班，曾在某電腦城工作。同為25歲的同夥雷磊是其同鄉兼同學，兩人關系較好。

2004年畢業後，李俊曾多次到北京、廣州等地尋找IT方面的工作，尤其鍾情於網路安全公司，但均未成功。為發泄不滿，同時抱著賺錢的目的，李俊開始編寫病毒，2003年曾編寫過「武漢男生」病毒，2005年編寫了「武漢男生2005」病毒及「QQ尾巴」病毒。

李俊交代，他於2006年10月16日編寫了「熊貓燒香」病毒。這是一種超強病毒，感染病毒的電腦會在硬碟的所有網頁文件上附加病毒，天涯社區等門戶網站就遭受過它的襲擊。

除了帶有病毒的所有特性外，「熊貓燒香」還具有強烈的商業目的：可以暗中盜取用戶游戲賬號、QQ賬號，以供出售牟利；還可以控制受感染的電腦，將其變為「網路僵屍」，暗中訪問一些按訪問流量付費的網站，從而獲利。部分變種中還含有盜號木馬（可竊取用戶密碼和信息的程序）。

多人改寫構建「僵屍網路」

李俊以自己出售和由他人代賣的方式，每次要價500元—1000元不等，將該病毒銷售給120餘人，非法獲利10萬余元。經病毒購買者進一步傳播，該病毒的各種變種在網上迅速大面積蔓延。據估算，被「熊貓燒香」病毒控制的「僵屍網路」數以百萬計，其訪問按訪問流量付費的網站一年累計可獲利上千萬元。

抓獲李俊和雷磊後，警方乘勝追擊，又抓獲王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）等4名改寫、傳播「熊貓燒香」病毒的嫌疑人。這些人通過改寫、傳播「熊貓燒香」病毒，構建「僵屍網路」，通過盜竊各種游戲和QQ賬號等方式非法牟利。文/沈公宣李亦中

圖：2月14日，「熊貓燒香」病毒製造者李俊被帶出監室接受審訊 新華社發

監倉自白

沒想到後果嚴重，編出殺毒程序不敢公開

他今年25歲中專畢業

14日下午，當記者在湖北省仙桃市第一看守所與「熊貓燒香」病毒製造者李俊面對面時，感覺他相貌平平，表情木訥，看不出有何過人之處。

李俊今年25歲，武漢市新洲區人，中專畢業。「我是1999年開始接觸電腦的，學習電腦知識也主要是靠泡網吧。」李俊垂著頭低聲說，「最初我設計病毒只是好奇和好玩，後來有網友找我買木馬，我看靠這個能賺錢，就……」

警方介紹，去年9月，李俊應網友之邀製作「熊貓燒香」病毒，從去年12月初開始，這一病毒在互聯網上蔓延肆虐，泛濫成災，引起一片恐慌，一些損失慘重的企業和網民還發出重金懸賞追查病毒製造者的「通緝令」。

殺毒軟體上留下一句話

身高1．75米的李俊剃著光頭，身穿黃色馬甲，略顯頹廢。他說：「開始，我也預計不出會有什麼後果，沒想到後果這么嚴重，事情鬧得這么大，慢慢就害怕起來，所以後來就編制殺毒程序，想把病毒都殺掉，但編好後不敢掛在網上，怕警察找到我。」

據警方介紹，李俊在殺毒軟體上留了一句話：「我真的很抱歉，給大家造成了負面影響與損失。」

曾應聘廣東IT企業

李俊中專畢業後，曾到廣東等地的IT企業應聘，但一直沒能如願。後來，李俊到武漢市電腦城打工，月工資約1000元。

「熊貓燒香」病毒問世後，浙江一位病毒販賣傳播者先是每天給李俊在銀行賬戶上匯3500元，後來每天匯6000元，直至被抓捕前，總計不到一個月時間，他就牟利十幾萬元。李俊把錢存在銀行卡里，很少出去玩。辦案民警告訴記者，他的錢主要用來到外地見網友。·據新華社電·

圖：李俊在民警的監督下試驗「熊貓燒香」病毒專殺程序 新華社發

評論

黑客崇拜之憂

「我國破獲的國內首例製作計算機病毒的大案」偵破引人矚目。「國內首例」的另一層含意，其實也暴露出刑事司法在打擊網路犯罪上的尷尬。10年前的《刑法》修訂，以三個條款明確規定了計算機犯罪，其中第286條就有「故意製作、傳播計算機病毒」的具體規制。

10年來，我們幾乎沒有看到這一罪名進入公共媒體的視野，其原因，並非因為我們沒有故意製作、傳播計算機病毒的案例———有數據顯示，去年全球發現的計算機病毒產自中國的幾乎佔了三分之一，其中不乏危害性大的惡性傳播事件。然而這些業已發生的犯罪行為卻要麼沒能立案，要麼無法偵結。

以涉嫌製作「熊貓燒香」的李俊為例，這位25歲的「武漢男生」自2003年起，先後編寫過「武漢男生」病毒、「武漢男生2005」病毒。如果李俊在四年前就能被警示，甚至被追究法律責任，也許就不會有今天的「熊貓燒香」。正是多次製作並傳播病毒的行為長期未得到司法的矯正，才造成了李俊於此問題上的法盲心態。

在今天的網路生活里，有著和李俊相似心態的網路少年應當不在少數。在某門戶網站對如何懲治李俊的網路調查中，同意讓李戴罪立功的網友與贊同依法嚴懲的網友相差並不多。各類新聞評論、跟帖及回復中，不乏有將李稱為「網路奇才」、「黑客英雄」、「武漢大俠」者。計算機犯罪高度智能化以及低齡化的特徵，已經使許多犯罪者非但不被譴責，反而被頂禮膜拜。這樣的反法治思潮露頭，與司法的遲到不無關系。（新京）

說法

有關法律專家稱，「熊貓燒香」病毒的製造者是典型的故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果嚴重的行為。根據《刑法》規定，犯此罪後果嚴重的，處5年以下有期徒刑或者拘役；後果特別嚴重的，處5年以上有期徒刑

E. 電腦中了僵屍網路怎麼辦

僵屍網路解決方案

好消息是在威脅不斷增長時，防禦力量也在快速反應。如果是一家大型企業的負責人，可以使用一些商業產品或開源產品，來對付這些威脅。
首先是飢啟吵FireEye的產品，它可以給出任何攻擊的清晰視圖，而無需求助於任何簽名。FireEye的虛擬爛侍機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點，阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動，然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時，可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機，而無需使用簽名技術或基於行為的技術。此外，SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。
著名的大型公司，如谷歌等，不太可能被僵屍網路擊垮。其原因很簡單，它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路，而這幾乎是不太可能旁攜的，因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊，如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。
不過，由於DDoS攻擊活動太容易被發現而且強度大，防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。

F. 僵屍網路的網路特點

是一個可控制的網路，這個網路並不是指物理意義上具有拓撲結構的網路，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵屍計算機添加到這個網路中來。僵屍病毒被人放到計算機時機器會滴滴的響上2秒
僵屍網路是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網路攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息，譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意「取用」。因此，不論是對網路安全運行還是用戶數據安全的保護來說，僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而，發現一個僵屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」，這些主機的用戶往往並不知情。因此，僵屍網路是目前互聯網上黑客最青睞的作案工具。
對網友而言，感染上「僵屍病毒」卻十分容易。網路上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網友輕輕一悶梁脊點滑鼠。但事實上，點擊之後毫無動靜，原來一切只是騙局，意在誘惑網友下載有問題的軟體。一旦這種有毒的軟體進入到網友電腦，遠端主機就可以發號施令，對電腦進行操控。下載時只用一種殺毒軟體查不出來。
專家表示，每周平均新螞滲增數十萬台任人遙控的僵屍電腦，任憑遠端主機指揮，進行各種不法活動。多數時候，僵屍電腦的主人根本不曉得自己已被選中，任人擺布。
僵屍網路之所以出現，在家高速上網越來越普遍也是原因。高速上網可以處理(或製造)更多的流量，但高速上網家庭習慣將電腦長時間開機，唯有電腦開機，遠端主機才可以對僵屍電腦發號施令。
網路專家稱：「重要的硬體設施雖然非常重視殺毒、防黑客，但網路真正的安全漏洞來自於住家用戶，這些個體戶欠缺自我保護的知識，讓網路充滿地雷，進而對其他用戶構成威脅。」 Botnet是隨著自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網路中，有一些服務是重復出現的，如防止頻道被濫用、管理許可權、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993 年，在IRC 聊天網路中出現了Bot 工具——Eggdrop，這是第一個bot程序，能夠幫助用戶方便地使用IRC 聊天網路。這種bot的功能是良性的，是出於服務的目的，然而這個設計思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對大量的受害主機進行控制，利用他們的資源以達到惡意目標。
20世紀90年代末，隨著分布式拒絕服務攻擊渣兆概念的成熟，出現了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機，發動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經具有了Botnet的雛形。
1999 年，在第八屆DEFCON 年會上發布的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對僵屍主機的控制信道，也成為第一個真正意義上的bot程序。隨後基於IRC協議的bot程序的大量出現，如GTBot、Sdbot 等，使得基於IRC協議的Botnet成為主流。
2003 年之後，隨著蠕蟲技術的不斷成熟，bot的傳播開始使用蠕蟲的主動傳播技術，從而能夠快速構建大規模的Botnet。著名的有2004年爆發的Agobot/Gaobot 和rBot/Spybot。同年出現的Phatbot 則在Agobot 的基礎上，開始獨立使用P2P 結構構建控制信道。
從良性bot的出現到惡意bot的實現，從被動傳播到利用蠕蟲技術主動傳播，從使用簡單的IRC協議構成控制信道到構建復雜多變P2P結構的控制模式，Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網路，給當前的網路安全帶來了不容忽視的威脅。

G. （二）大連接：社交網路的形成與行為

主要內容：三元閉包關系的強度及其與網路結構的關系

一、圖論

1、圖：包含一組元素以及他們之間連接關系的集合

（1）節點（vertex，node，point）

邊（鏈接，連接，關系，聯系；edge，link，tie）

鄰居

（2）常用的圖：合作圖、即時通信圖、信息鏈接圖

（3）有向圖（節點、有向邊）、無向圖

2、圖的同構：畫法不同，但本質上（結構上）相同

節點的連接關系比節點的位置更重要。

【題目】下面哪些圖是同構的？

【題目】

3、路徑、最短路徑、距離、圈

①路徑：一個節點序列的集合，且序列中任意兩個相鄰節點都有一條邊相連。

兩點之間可有多條路徑。

路徑念攜的長度：一條路徑所包含的邊數

②最短路徑-->又叫兩點之間的距離

③距離-->最短路徑的長度

【題目】下圖中節點A和節點B之間的距離是多少？

④圈

環狀結構；至少三條邊，起點與終點相同，所有節點均不重復。

部署網路的一個原則：要求每條邊都至少在一個圈裡（為了保證連通性，帶來冗餘）。eg：ARPANET的每條邊都在圈裡

4、連通性

（1）連通圖：一個圖中任意兩點間有路徑相通；每條邊都在一個圈裡。

（2）非連通圖

（3）連通分量

若圖G的節點子集滿足：①連通性：子集中任意兩個節點間均有路徑相連；②獨立性：該子集不是其他滿足條件1的子集的一部分；則稱G的節點子集是連通分量

【題目】下面指出的哪些節點集合不對應這個6節點圖的一個連通分量？

（4）超大連通分量（giant component）

非形式化地對於包含其中大部分節點的連通分量的稱謂。

Q：全世界友型游誼圖是否為連通圖？A：即使本身不具備聯通性，其中的連通分量也是巨大的。

5、距離與廣度優先搜索法

深度搜索和廣度搜索的演算法復雜度相同，但是深度搜索用的多，因為廣度搜索對存儲的要求高，一層中節點太多。

廣度優先：從一個節點開始，沿著相連的邊，將圖的節點一一列舉。

二、弱聯系和強聯系

1、三元閉包（triadic closure）

在一個社交圈內，如果兩個互不認識的人有了一個共同的朋友，則他們將來成為朋友的可能性會提高。

三元閉包是社交網路演化的基本結構性原因。

三語閉包產生的原因：機會、信任、動機

三元閉包原理擴展：

①「量」的方面

兩個人的共同朋友越多，他們成為朋友的可能性越高

②「質」的方面

兩個人與共同朋友的關系越密切，則他們成為朋友的可能性越高。

2、聚卜高銷集系數

節點A的聚集系數：A的任意兩個朋友彼此也是朋友的概率

總對數=節點的度*（節點度-1）/2

聚集系數就是三元閉包在一個節點上的屬性測度，表示「凝聚力」的大小

聚集系數隨時間的變化體現了三元閉包對網路結構的影響趨勢。節點附近的三元閉包過程越強，其聚集系數就越大。

【題目】

3、三元閉包原理的大數據驗證

（1）三元閉包原理的表達（定量）

最初表述：如果兩個互不認識的人有了一個共用朋友，則他們在未來成為朋友的可能性增加。

轉變成：兩個互不認識的人的共同朋友數越多，則他倆在未來成為朋友的可能性越大。

（2）驗證數據：電子郵件網路≈社會網路

（3）考察網路的演化：考察兩個相繼的網路快照

考察三元閉包現象的測度：當前共同朋友數與後來成為朋友的概率關系。

得到一個圖-->找不連接的邊-->計算不連接節點他們的共同朋友-->過一定的時間再做。

【題目】

4、弱聯系的力量

（1）橋：一張圖中，已知A和B相連，若去掉連接A和B的邊，會導致A和B屬於不同的連通分量，則該邊稱為橋。（斷開就不通）

（2）捷徑（local bridge）：若邊A-B的端點A和B沒有共同朋友，則稱邊A-B為捷徑。（斷開距離>2）

（3）跨度：沒有捷徑時的距離。

如果A和B的跨度>2，則A和B之間的邊是捷徑。

跨度很大的捷徑的作用類似於橋。

通過捷徑聯系的人更可能為你提供工作信息。（找工作問題的第一個解釋）

5、強三元閉包

捷徑很大程度上可能是弱聯系

考慮社交網路中關系的強度-->邊的屬性

邊屬性的一種測度：強-弱（強度可以使連續變數）

（1）強三元閉包原理（架設）：如果A-B和A-C之間的關系為強聯系，則B-C之間形成邊的可能性應該很高

若A有兩個強聯系鄰居B和C，但B-C之間沒有任何關系（s或w，即strengh或weak），則稱節點A違背了強三元閉包原理。反之，則稱A符合強三元閉包原理。

（2）在一定條件下：捷徑-->弱聯系

若節點A符合強三元閉包，且至少有兩個強聯系鄰居，則與A相連的任何捷徑必定是弱聯系。

（假設A-B是s，而A有個強聯系鄰居C，即A-C為s，那麼根據強三元閉包，一段時間後B-C會有聯系，A-B的跨度為2，與捷徑的定義矛盾）

連接關系：強聯系、弱聯系

結構關系：捷徑、非捷徑

三元閉包將連接關系和結構關系連接起來了。

（兩人的關系強度如何，與兩人是否有共同好友相關，但不等價）捷徑意味著沒有共同朋友，強度為「弱」。

（3）統計推論：共同朋友越多，關系強度越高

6、鄰里重疊度

（1）社交網路中，橋、捷徑一般不存在-->鄰里重疊度（Neighborhood Overlap）

①捷徑是鄰里重疊度為0的邊

②可以把鄰里重疊地很低的邊粗略的視為捷徑

③一種很好的從二到多的數學抽象的例子

目標3：弱聯系起到將包含大量強聯系的緊密社區連接起來的作用。（方法：從強度最強的關系邊開始，按強度的降序逐漸刪邊；從強度最弱的關系邊，按強度的升序，逐漸刪除邊。發現：從弱的開始刪，網路崩的快）

（2）社交網路實驗

Facebook的三種連接：相互連接、單向連接、保持關系。

社交網路中好友數目：盡管一個用戶可聲明關注大量（幾百）其，但實際關注的大約在50以下，而真正有聯系的則更少，在20以下。

社會網路是用弱系連起來的若干緊密群體。

7、結構洞

（1）嵌入性：一條邊的嵌入性為其兩個端點共同的鄰居數

①嵌入性就是鄰里疊度的分子

②捷徑就是嵌入性0的邊

③嵌入性越大的邊相互間的信任就越強；嵌入性越強的邊社會資本也越多

節點A：

①聚集系數較高（7/10）

②A關聯的邊多數具有較大的嵌入性

③處於一個相對比較誠實可信的群體

節點B：

①聚集數較（2/10）

②他關聯的邊多數具有較小的嵌入性

③結構洞： 兩個沒有緊密聯系的節點集合之間的「空地」

節點B具有的優勢：

①信息優勢： 可以較早地獲得網路中多個互不交叉部分的信息

②創新優勢： 處在捷徑的一端對創造性有放大功能

③權力優勢：所處位置具有某種社交「把關」的機會

啟示：有效破壞網路的連通性（以最快最小的代價）：破壞處於結構洞位置的節點或捷徑（關鍵連接）

（2）數字大炮（一種DDoS）（攻的是路由器的BGP協議）

邊界網關協議（BGP）

主要用於兩個自治系統（AS）間交換路由信息

使用矢量路徑機制，路由信息格式：<目的站， AS有序列表（由AS構成的路徑） >

UPDATE報文：（發生時機：發生變化時，發送UPDATE報文）

「數字大炮」攻擊示意：

攻擊的基本原理：

數字大炮的攻擊步驟：

① 構建僵屍網路（可預先構建）

② 啟動僵屍網路中的計算機之間流量發送，建立它們之間的「路徑地圖」 （拓撲發現），找到眾多路共用的連接（關鍵鏈路）（可預先構建）

③ 由僵屍網路對關鍵鏈路兩端路由器BGP協議發動ZMW攻擊，使得關鍵鏈路處於斷開狀態

④ 附近路由器會對此作出回應，發送BGP更新消息

⑤ 很短的時間之後，這兩個被切斷的路由器可能會重新連接，並發送BGP更新信息

⑥ 不斷重復（3） ~（5），最後互聯網上每一台路由器都會接收到超出自身處理能力的更新消息，從而導致互聯網癱瘓

數字大炮的攻擊效果：

選好節點，靠網路自身的擴散功能。實驗不錯，但是實際中很難。這幾年很少用，DDoS多用放大協議，即受到的包不大，但是會回過來一個很大的包。

（3）如何找到重要的邊

①橋，捷徑，鄰里疊度很低的邊，……

②許多節點之間的最短路徑都要經過它

8、介數

節點介數定義為網路中所有最短路徑中經過該節點的路徑的數目占最短路徑總數的比例。

邊介數定義為網路中所有最短路徑中經過該邊的路徑的數目占最短路徑總數的比例。

（本課中，後面說的介數，都是指最短路徑數）

（1）介數：一條邊承載的一種「流量」

①兩個節點A和B，設想1個單位的流量從A到B，均分到它們之間所有的最短路徑上

②K條路徑，則每條路徑上分得1/k，

③若一條邊被m條路徑共用，則在它面流過m/k

④所有節點對都考慮後，一條邊上的累記流量就是它的介數（betweenness）

（2）破壞連通性

①Girvan-Neman方法： 逐步刪除高介數邊

（3）介數計算的一種方法-->廣度搜索

路徑的數目從上往下算

下圖：因為A給每個人都發了一個單位流量（可以想數據包），所以每個節點都會留下1個單位流量

介數：很適合描述實際網路中，承載流量的邊的信息

三、回顧總結

H. 如何構建網路安全戰略體系

網路安全是確保信息的完整性、保密性和可用性的實踐。它代表防禦安全事故和從安全事故中恢復的能力。這些安全事故包括硬碟故障或斷電，以及來自競爭對手的網路攻擊等。後者包括腳本小子、黑客、有能力執行高級持續性威脅（APT）的犯罪團伙，以及其他可對企業構成嚴重威脅的人。業務連續性和災難恢復能力對於網路安全（例如應用安全和狹義的網路安全）至關重要。

安全應該成為整個企業的首要考慮因素，且得到高級管理層的授權。我們如今生活的信息世界的脆弱性也需要強大的網路安全控制戰略。管理人員應該明白，所有的系統都是按照一定的安全標准建立起來的，且員工都需要經過適當的培訓。例如，所有代碼都可能存在漏洞，其中一些漏洞還是關鍵的安全缺陷。畢竟，開發者也只是普通人而已難免出錯。

安全培訓

人往往是網路安全規劃中最薄弱的環節。培訓開發人員進行安全編碼，培訓操作人員優先考慮強大的安全狀況，培訓最終用戶識別網路釣魚郵件和社會工程攻擊——總而言之，網路安全始於意識。

然而，即便是有強大的網路安全控制措施，所有企業還是難逃遭遇某種網路攻擊的威脅。攻擊者總是利用最薄弱的環節，但是其實只要通過執行一些基本的安全任務——有時被稱為「網路衛生」，很多攻擊都是可以輕松防護的。外科醫生不洗手決不允許進入手術室。同樣地，企業也有責任執行維護網路安全的基本要求，例如保持強大的身份驗證實踐，以及不將敏感數據存儲在可以公開訪問的地方。

然而，一個好的網路安全戰略需要的卻不僅僅是這些基本實踐。技術精湛的黑客可以規避大多數的防禦措施和攻擊面——對於大多數企業而言，攻擊者入侵系統的方式或「向量」數正在不斷擴張。例如，隨著信息和現實世界的日益融合，犯罪分子和國家間諜組織正在威脅物理網路系統的ICA，如汽車、發電廠、醫療設備，甚至你的物聯網冰箱。同樣地，雲計算的普及應用趨勢，自帶設備辦公（BYOD）以及物聯網（IoT）的蓬勃發展也帶來了新的安全挑戰。對於這些系統的安全防禦工作變得尤為重要。

網路安全進一步復雜化的另一個突出表現是圍繞消費者隱私的監管環境。遵守像歐盟《通用數據保護條例》（GDPR）這樣嚴格的監管框架還要求賦予新的角色，以確保組織能夠滿足GDPR和其他法規對於隱私和安全的合規要求。

如此一來，對於網路安全專業人才的需求開始進一步增長，招聘經理們正在努力挑選合適的候選人來填補職位空缺。但是，對於目前這種供求失衡的現狀就需要組織能夠把重點放在風險最大的領域中。

網路安全類型

網路安全的范圍非常廣，但其核心領域主要如下所述，對於這些核心領域任何企業都需要予以高度的重視，將其考慮到自身的網路安全戰略之中：

1.關鍵基礎設施

關鍵基礎設施包括社會所依賴的物理網路系統，包括電網、凈水系統、交通信號燈以及醫院系統等。例如，發電廠聯網後就會很容易遭受網路攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查，以確保了解這些漏洞並對其進行防範。其他所有人也都應該對他們所依賴的關鍵基礎設施，在遭遇網路攻擊後會對他們自身造成的影響進行評估，然後制定應急計劃。

2.網路安全（狹義）

網路安全要求能夠防範未經授權的入侵行為以及惡意的內部人員。確保網路安全通常需要權衡利弊。例如，訪問控制（如額外登錄）對於安全而言可能是必要的，但它同時也會降低生產力。

用於監控網路安全的工具會生成大量的數據，但是由於生成的數據量太多導致經常會忽略有效的告警。為了更好地管理網路安全監控，安全團隊越來越多地使用機器學習來標記異常流量，並實時生成威脅警告。

3.雲安全

越來越多的企業將數據遷移到雲中也會帶來新的安全挑戰。例如，2017年幾乎每周都會報道由於雲實例配置不當而導致的數據泄露事件。雲服務提供商正在創建新的安全工具，以幫助企業用戶能夠更好地保護他們的數據，但是需要提醒大家的是：對於網路安全而言，遷移到雲端並不是執行盡職調查的靈丹妙葯。

4.應用安全

應用程序安全（AppSec），尤其是Web應用程序安全已經成為最薄弱的攻擊技術點，但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始，並通過模糊和滲透測試來增強。

應用程序的快速開發和部署到雲端使得DevOps作為一門新興學科應運而生。DevOps團隊通常將業務需求置於安全之上，考慮到威脅的擴散，這個關注點可能會發生變化。

5.物聯網（IoT）安全

物聯網指的是各種關鍵和非關鍵的物理網路系統，例如家用電器、感測器、列印機以及安全攝像頭等。物聯網設備經常處於不安全的狀態，且幾乎不提供安全補丁，這樣一來不僅會威脅到用戶，還會威脅到互聯網上的其他人，因為這些設備經常會被惡意行為者用來構建僵屍網路。這為家庭用戶和社會帶來了獨特的安全挑戰。

網路威脅類型

常見的網路威脅主要包括以下三類：

保密性攻擊

很多網路攻擊都是從竊取或復制目標的個人信息開始的，包括各種各樣的犯罪攻擊活動，如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國家間諜也將保密性攻擊作為其工作的重要部分，試圖獲取政治、軍事或經濟利益方面的機密信息。

完整性攻擊

一般來說，完整性攻擊是為了破壞、損壞、摧毀信息或系統，以及依賴這些信息或系統的人。完整性攻擊可以是微妙的——小范圍的篡改和破壞，也可以是災難性的——大規模的對目標進行破壞。攻擊者的范圍可以從腳本小子到國家間諜組織。

可用性攻擊

阻止目標訪問數據是如今勒索軟體和拒絕服務（DoS）攻擊最常見的形式。勒索軟體一般會加密目標設備的數據，並索要贖金進行解密。拒絕服務（DoS）攻擊（通常以分布式拒絕服務攻擊的形式）向目標發送大量的請求佔用網路資源，使網路資源不可用。

這些攻擊的實現方式：

1.社會工程學

如果攻擊者能夠直接從人類身上找到入口，就不能大費周章地入侵計算機設備了。社會工程惡意軟體通常用於傳播勒索軟體，是排名第一的攻擊手段（而不是緩沖區溢出、配置錯誤或高級漏洞利用）。通過社會工程手段能夠誘騙最終用戶運行木馬程序，這些程序通常來自他們信任的和經常訪問的網站。持續的用戶安全意識培訓是對抗此類攻擊的最佳措施。

2.網路釣魚攻擊

有時候盜取別人密碼最好的方法就是誘騙他們自己提供，這主要取決於網路釣魚攻擊的成功實踐。即便是在安全方面訓練有素的聰明用戶也可能遭受網路釣魚攻擊。這就是雙因素身份認證（2FA）成為最佳防護措施的原因——如果沒有第二個因素（如硬體安全令牌或用戶手機上的軟體令牌認證程序），那麼盜取到的密碼對攻擊者而言將毫無意義。

3.未修復的軟體

如果攻擊者對你發起零日漏洞攻擊，你可能很難去責怪企業，但是，如果企業沒有安裝補丁就好比其沒有執行盡職調查。如果漏洞已經披露了幾個月甚至幾年的時間，而企業仍舊沒有安裝安全補丁程序，那麼就難免會被指控疏忽。所以，記得補丁、補丁、補丁，重要的事說三遍！

4.社交媒體威脅

「Catfishing」一詞一般指在網路環境中對自己的情況有所隱瞞，通過精心編造一個優質的網路身份，目的是為了給他人留下深刻印象，尤其是為了吸引某人與其發展戀愛關系。不過，Catfishing可不只適用於約會場景。可信的「馬甲」賬戶能夠通過你的LinkedIn網路傳播蠕蟲。如果有人非常了解你的職業聯系方式，並發起與你工作有關的談話，您會覺得奇怪嗎?正所謂「口風不嚴戰艦沉」，希望無論是企業還是國家都應該加強重視社會媒體間諜活動。

5.高級持續性威脅（APT）

其實國家間諜可不只存在於國家以及政府組織之間，企業中也存在此類攻擊者。所以，如果有多個APT攻擊在你的公司網路上玩起「捉迷藏」的游戲，請不要感到驚訝。如果貴公司從事的是對任何人或任何地區具有持久利益的業務，那麼您就需要考慮自己公司的安全狀況，以及如何應對復雜的APT攻擊了。在科技領域，這種情況尤為顯著，這個充斥著各種寶貴知識產權的行業一直令很多犯罪分子和國家間諜垂涎欲滴。

網路安全職業

執行強大的網路安全戰略還需要有合適的人選。對於專業網路安全人員的需求從未像現在這樣高過，包括C級管理人員和一線安全工程師。雖然公司對於數據保護意識的提升，安全部門領導人已經開始躋身C級管理層和董事會。現在，首席安全官（CSO）或首席信息安全官（CISO）已經成為任何正規組織都必須具備的核心管理職位。

此外，角色也變得更加專業化。通用安全分析師的時代正在走向衰落。如今，滲透測試人員可能會將重點放在應用程序安全、網路安全或是強化網路釣魚用戶的安全防範意識等方面。事件響應也開始普及全天制（724小時）。以下是安全團隊中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C級管理人員，負責監督一個組織的IT安全部門和其他相關人員的操作行為。此外，首席信息安全官還負責指導和管理戰略、運營以及預算，以確保組織的信息資產安全。

2.安全分析師

安全分析師也被稱為網路安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師。這一角色通常具有以下職責:

計劃、實施和升級安全措施和控制措施；

保護數字文件和信息系統免受未經授權的訪問、修改或破壞；

維護數據和監控安全訪問；

執行內／外部安全審計；

管理網路、入侵檢測和防護系統；分析安全違規行為以確定其實現原理及根本原因；

定義、實施和維護企業安全策略；

與外部廠商協調安全計劃；

3.安全架構師

一個好的信息安全架構師需要能夠跨越業務和技術領域。雖然該角色在行業細節上會有所不同，但它也是一位高級職位，主要負責計劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網路安全基礎設施。這就需要安全架構師能夠全面了解企業的業務，及其技術和信息需求。

4.安全工程師

安全工程師的工作是保護公司資產免受威脅的第一線。這項工作需要具備強大的技術、組織和溝通能力。IT安全工程師是一個相對較新的職位，其重點在於IT基礎設施中的質量控制。這包括設計、構建和防護可擴展的、安全和強大的系統；運營數據中心系統和網路；幫助組織了解先進的網路威脅；並幫助企業制定網路安全戰略來保護這些網路。

I. 網路僵屍的用法

什麼是僵屍網路？ 僵屍網路是指採用一種或多種傳播手段，將大量主機感染bot程序（僵屍程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。在Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫，是指實現惡意控制功能的程序代碼；「僵屍計算機」就是被植入bot的計算機；「控制伺服器（Control Server）」是指控制和通信的中心伺服器。 僵屍網路首先是一個可控制的網路，這個網路並不是指物理意義上具有拓撲結構的網路，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵屍計算機添加到這個網路中來。其次，這個網路是採用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行Botnet的傳播，從這個意義上講，惡意程序bot也敏衫腔是一種病毒或蠕蟲。最後一點，也是僵屍網路的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分布式拒絕服務（DDos）攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平台的角色，這也就使得Botnet不同於簡單的病毒和蠕蟲塌唯，也與通常意義的木馬有所不同。 黑客如何利用補丁郵件？ 目前，有黑客利用偽造的微軟補丁郵件構建僵屍網路，因此請廣大的網民確認收到的有關於微軟補丁的郵件，並弄清楚您到底下載了什麼到自己的計算機中。互聯網風暴中心（Internet Storm Center）指出，黑客正在基於微軟的安全更新偽造惡意電子橋衫郵件，這種偽造的郵件不能給用戶提供任何有用的安全補丁，而實際上在郵件提供的鏈接或者附件中包含了惡意代碼，那些沒有警惕性的用戶在點擊了這些鏈接後即下載了惡意程序到自己的主機中。 實際上，對微軟的安全補丁稍微留意的用戶就會知道，微軟是從來不會通過電子郵件的形式來通告用戶安裝安全更新補丁的，微軟都是以安全公告的形式在其安全中心主頁上（ http://www.microsoft.com/china/technet/security/default.mspx）發布安全信息的。通過這種偽造的郵件中，以安全補丁下載到的應用程序，實際上是一個後門木馬，即在上面提到的bot程序。受這種木馬影響的機器，將會被黑客遠程的控制，受影響的機器至此就加入了僵屍網路。偽造郵件的黑客非常聰明，他們在受害者的姓名或者公司的名字里加入超級鏈接，鏈接到木馬程序。到目前為止，安全研究人員已經發現了4種均是指向木馬程序的不同的URL地址。在黑客偽造的郵件中，其中有封信的原文如下： 「由於您使用了微軟的軟體而收到這封郵件，我們是通過你提交給『微軟Windows更新』的郵件列表中獲得您的電子郵件地址的。一個0day漏洞（未公布的漏洞）已經在網路上流傳開來，該漏洞將影響那些使用MICROSOFT OUTLOOK的用戶。成功利用該漏洞後，黑客能夠完全控制您的機器。（此處是一個補丁的鏈接地址）」

J. 挖礦僵屍網路怎麼整改

挖礦僵屍網路通過防護體系整改。挖礦木馬病毒特徵變化快，很難通過一個安全產品實現有效的防護，需要基於縱深式防護體系構建多重防護機制，結合病毒特性，進行有針對性的多重檢測保護。方案建議伍談世從挖礦木馬病毒的監測、分析、處置、溯源的閉環處置方案進行規劃和設腔肢計，通過在安全管理中心部署全局態勢感知平台提供威脅情報侍神與包括挖礦木馬病毒在內的威脅行為監測能力。