麥捷深度分析

Ⅰ 無間道3劇情分析

無間道3劇情:

陳永仁(梁朝偉飾)被殺後許久，劉建明(劉德華飾)也被警隊內部調查，因此被派做沒有權利的事務性工作。

而與妻子MARY的婚姻破裂，使得身心俱疲的劉建明，每日的生活十分痛苦。而警隊內，一顆明日之星正在崛起——不到四十歲的年輕警司楊錦榮(黎明飾)一步一步邁向警隊高層，劉建明忽然想起了以前的自己……

一次機緣，劉建明與楊錦榮成為好友，卻發現楊錦神秘的一面，於是他開始了調查榮的過程……，卻因為始終得不到最終的答案，開始對自己產生懷疑。 陳永仁：陳永仁作卧底跟隨韓琛。

(1)麥捷深度分析擴展閱讀:

幕後花絮

「浪費了這么多好演員！」這是電影結束後還沒開燈的黑暗裡爆出的第一句評論。21世紀初港產片里的地標性建築終於在倉促的第三部中露出了疲態。

我至今也不敢肯定，堅持要把陳永仁和劉健明的故事講得那麼清楚到底是劉偉強還是庄澄的意思。我們當然不能把無間系列的後兩部歸為狗尾續貂，但你顯然不能睜著眼睛把導演充滿自信廣告詞的自作為客觀評價。短短的100分鍾終極之旅後，留在我心裡的僅僅是大銀幕後面隱隱約約的一絲誠意。

說實話，將無間道第一部的品質絲毫不差地延續到以後的兩部中基本是個不可能的任務。第一集原是最低潮潮中厚積薄發之作，承載的不但有希望，還有一點破釜沉舟的意味。

到了第二部，已帶上了揮之不去的富貴氣。而年底的《終極無間》，只要看看臃腫的演員名單，就知道劉偉強、麥兆輝哥倆兒這次做的是「佛跳牆」一類的東東。

正宗佛跳牆需要密封在瓦罐內蒸上一天一夜，可惜《終極無間》選擇了速成的捷徑，偏偏編導們的激情還沒修成星星在食神中那樣的功力，結果自然可想而知。

Ⅱ 同花順免費股票軟體和深度分析版有什麼確保

沒什麼確保，如果你是想花錢買了深度版後有賺錢保障的話。股票有風險，贏賠均自負。深度版就是可以看到更多盤口交易狀況，還有一些交易數據和指標。不是股票老鳥來說深度版沒用，因為你都不會做「宏觀」（分析國內金融、經濟形勢和官方主要是銀行的導向），和做「微觀」（主要是從上市公司的財務指標、30/60/日/周K線、MACD、RSI等指標預測股票走向），要那些深度數據有什麼用，只會越看越迷糊。免費版也有五檔盤口的各種交易信息，你看得懂嗎？看不懂的話用深度版就更不懂了，比如庄的拖拉機單，盤口擺在那裡了，但不會看反而會被拉進去。 我從1997年炒股的，現在還是用同花順免費版。去年年底和今年年初，大形勢上是國家經濟下行壓力沉重但有兩會召開，因此重要報紙和券商都透漏了2015年「形勢倒逼政策出利好」的信息；然後看月K和周K，加上前幾年大熊2000點是政策貼底，就可以看出大盤已築底了，那麼年內「牛市」肯定要有（即便沒有，大盤按規律也要作兩個年報行情的多少要漲），就選了業績不錯的幾個買入，然後放到6月份股指沖到4800－5000點「大媽大爺們舉著錢跑步進場」時賣出（歷史規律，當散戶們一擁而上同時指數呈現頂背離時就是要落袋為安的時候了）。散戶炒股就這么簡單，掌握必須要會的知識和技術，然後放下貪婪的心，做中長線，一年只做一個或兩個波段，賺30-50%就收。

Ⅲ 深度解析大數據在公安領域的應用

深度解析大數據在公安領域的應用

近一兩年，大數據開始在公安等行業領域得到普及應用，除了行業自身的特殊要求外，大數據也帶動了相關行業的需求發展。未來，基於大數據的行業應用會變得更加深入，更多的相關廠商也會涉及其中，大數據在公安領域的商業模式架構逐漸清晰起來。

在安防的細分領域中，大數據在公安及智能交通探索應用得比較早，相關的解決方案和技術也比較成熟，在廣西等地也已經有相關的項目落地，大數據應用系統已經上線運營，取得了預期的效果。

項目應用前景看好

以相關的案例來講，在廣西公安廳投入使用的大數據系統中，整個項目是以自治區的總數據為出發點，對每天在所有卡口過道產生的上千萬條數據，每年大概三十億條的數據進行分布式存儲和快速檢索。在此基礎上，後續可以給公安用戶提供進一步的解決方案和增值服務，比如已經推出的卡口過車大數據、視頻圖像大數據和公安情報大數據三方面的解決方案。這些方案提供多種功能的查詢，以及基於測控的分析和基站行業的服務，目的就是讓公安能快速科學地偵破案件。

在智能交通領域，目前主要應用於車輛的疏導，比如基於不同道路、路口車流量的統計(時、日、月統計等)，根據這些統計可以分析不同時段某條道路實時的車流密度、發展方向和趨勢等。這些項目的應用已經在很多大城市落地，比如平時大家在公交上看到的移動電視里播放的上下班高峰路段實時畫面，就是基於大數據的技術分析所得。從應用上看，用戶切實感到便捷好用，所以市場潛力很大，未來的應用會更加廣泛。

大數據應用存在的難題

大數據本身是針對數據的存儲、檢索、關聯、推導等有價值的挖掘，這些數據本身來說是通用的。但在安防領域，哪些數據是有用的，哪些是我們需要關心和提取的，這是目前在摸索的問題。也就是說，當前的困難在於如何讓技術熱點和相關業務進行結合，以提取更有價值的數據。

從技術上分析，有兩個技術難點：

第一個難點是如何從非結構化的數據中提取結構化的數據出來。所謂非結構化數據是指在視頻裡面進行特徵的提取，這些可能是人類不能理解和不能處理的;結構化數據則是人可以理解和處理的，比如在視頻里有幾個活動目標、是人還是車。如果是人，身上穿的是什麼樣的衣服;如果是車，車牌號是多少、什麼樣的品牌型號、顏色、行進速度、方向等數據，這些都是可以轉化為結構化數據為人所用。目前，安防的數據很多涉及到視頻數據，而視頻數據本身是不能夠被結構化的數據，也就不能被計算機直接所處理。所以未來擺在技術人員面前的課題是如何把視頻數據轉換成計算機能夠處理的結構化或者半結構化數據。

第二個難點是尋找這些數據之間的關聯和價值。數據是有關聯沒關聯之分的，我們只能通過工具來找。所有這些存儲的特徵數據，包括公安行業、平安城市中每天產生的海量視頻數據，可以為很多案件的偵查提供有價值的線索。現在技術需要攻克的難題就是能不能把這些數據通過相應的工具模塊，通過大數據技術把原來被忽視的數據信息關聯起來，找到或提取這些數據之間的相關性，為案件的偵破和方案決策提供科學的數據依據。

公安數據流動的單向性

公安行業每天獲取的數據數以千萬，如何確保這些數據信息的安全成為行業共同關注的熱點。從傳統意義上講，數據產生之後，首先要確保數據本身的安全，目前行業內有非常成熟的技術和解決方案。在海量數據面前，如果你對數據不了解，就算把這些數據擺在面前，你也很難去提取有用的數據，但這並不能作為行業忽視其重要性的借口。因為對安防廠商而言，很多有價值的數據是需要提供保護的，也就是對數據應用模式採取高規格的保護措施，因為這些數據一旦被不法分子挖掘並關聯起來，可能整個地區的安全漏洞就會被利用。

現在，公安的數據一般在區域網內運行，並有相關的保護措施來提供安全保障。如會把數據分成不同的網路和不同的層次，讓數據在不同的網路安全系統之間，從低安全性網路向高安全性網路實行單向流動，最後在公安的核心網路里匯集所有的數據(這個安全等級是最高的，通過安全邊界、物理隔離來保護)。同時在外圍的視頻網，主要以視頻數據為主，輔以視頻相關的業務，這些數據只有進入公安網後才與其他的數據發生關聯，才能發掘出一些有價值的數據。比如辦案民警在視頻網路上，可以獲取犯罪嫌疑人的照片，但這個人是誰，他的信息是什麼，只有進入公安網以後才能獲取，才能將相關信息匹配關聯起來，然後通過其他資料庫的關聯，進一步挖掘出他在哪個網吧出現過，在哪個酒店居住過……以上信息都可以挖掘出來，但這種挖掘只能在高安全性網路中進行，這種信息流動都是單向的。

未來的商業模式

從傳統的安防業務來講，還是以公安客戶投資建設系統為主，廠商提供產品和集成的解決方案，最終由集成商來做落地實施，最後交付給客戶使用並進行相應的維護。同時，未來行業對大數據中數據的獲取、存儲、分析、處理會變得更加的專業，用戶本身在處理和應用時可能會遇到各種困難，那麼針對這類問題可能會有一些小型的服務公司出現，給終端用戶提供各種各樣專業的數據服務。比如專業的視頻提取會有專業的公司切入，用專業的演算法工具幫助你把視頻裡面的數據提取出來，或者有那些專業的通訊廠商對數據進行挖掘和處理，包括提供一些工具和服務的模式(未來會更傾向於服務的模式)。但限於公安行業的特點，這些公共服務在公安行業目前還比較難做，不過未來也可以由一些廠家對整個應用系統進行構建，以運營服務收費的方式與公安客戶或者政府機構進行合作。

對於大型、特別大型的項目，比如涉及到一個城市、一個省乃至全國范圍的項目，一般來說可能會找專業的IT廠商來做，特別是互聯網公司(現在也有牽涉其中)，他們更多是以技術提供商的角色參與，安防廠商側重點放在業務上。這樣大家分工比較明確，因為即使是技術比較領先的行業廠商，它也很難或者沒有必要投大量的研發在大數據基礎的研發上，而是應該將重點放在大數據的基礎應用或業務解決方案上，然後底層的基礎架構由IT廠商來分擔完成。彼此互利共贏，持續發展。

以上是小編為大家分享的關於 深度解析大數據在公安領域的應用的相關內容，更多信息可以關注環球青藤分享更多干貨

Ⅳ 震網病毒的深度分析

2010年10月，國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據採集與監控系統SIMATIC WinCC進行攻擊的事件，稱其為「超級病毒」、「超級工廠病毒」，並形容成「超級武器」、「潘多拉的魔盒」。
Stuxnet蠕蟲（俗稱「震網」、「雙子」）在2010年7月開始爆發。它利用了微軟操作系統中至少4個漏洞，其中有3個全新的零日漏洞；偽造驅動程序的數字簽名；通過一套完整的入侵和傳播流程，突破工業專用區域網的物理限制；利用WinCC系統的2個漏洞，對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。據賽門鐵克公司的統計，截止到2010年09月全球已有約45000個網路被該蠕蟲感染， 其中60%的受害主機位於伊朗境內。伊朗政府已經確認該國的布希爾核電站遭到Stuxnet蠕蟲的攻擊。
安天實驗室於7月15日捕獲到Stuxnet蠕蟲的第一個變種，在第一時間展開分析，發布了分析報告及防範措施，並對其持續跟蹤。截止至本報告發布，安天已經累計捕獲13個變種、600多個不同哈希值的樣本實體。 2.1 運行環境
Stuxnet蠕蟲在以下操作系統中可以激活運行： Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 當它發現自己運行在非Windows NT系列操作系統中，即刻退出。
被攻擊的軟體系統包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在這一問題的可能。
2.2 本地行為
樣本被激活後，典型的運行流程如圖1 所示。
樣本首先判斷當前操作系統類型，如果是Windows 9X/ME，就直接退出。
接下來載入一個主要的DLL模塊，後續的行為都將在這個DLL中進行。為了躲避查殺，樣本並不將DLL模塊釋放為磁碟文件然後載入，而是直接拷貝到內存中，然後模擬DLL的載入過程。
具體而言，樣本先申請足夠的內存空間，然後Hookntdll.dll導出的6個系統函數： ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 為此，樣本先修改ntdll.dll文件內存映像中PE頭的保護屬性，然後將偏移0x40處的無用數據改寫為跳轉代碼，用以實現hook。
進而，樣本就可以使用ZwCreateSection在內存空間中創建一個新的PE節，並將要載入的DLL模塊拷貝到其中，最後使用LoadLibraryW來獲取模塊句柄。
圖1 樣本的典型運行流程
此後，樣本跳轉到被載入的DLL中執行，衍生下列文件：
%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 其中有兩個驅動程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統服務，實現開機自啟動。這兩個驅動程序都使用了Rootkit技術，並有數字簽名。
mrxcls.sys負責查找主機中安裝的WinCC系統，並進行攻擊。具體地說，它監控系統進程的鏡像載入操作，將存儲在%Windir%infoem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中，後兩者是WinCC系統運行時的進程。
mrxnet.sys通過修改一些內核調用來隱藏被拷貝到U盤的lnk文件和DLL文件（圖2 ）。
圖2驅動程序隱藏某些lnk文件
圖3 樣本的多種傳播方式
2.3 傳播方式Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟體。後者主要用於工業控制系統的數據採集與監控，一般部署在專用的內部區域網中，並與外部互聯網實行物理上的隔離。為了實現攻擊，Stuxnet蠕蟲採取多種手段進行滲透和傳播，如圖3所示。
整體的傳播思路是：首先感染外部主機；然後感染U盤，利用快捷方式文件解析漏洞，傳播到內部網路；在內網中，通過快捷方式解析漏洞、RPC遠程執行漏洞、列印機後台程序服務漏洞，實現聯網主機之間的傳播；最後抵達安裝了WinCC軟體的主機，展開攻擊。
2.3.1. 快捷方式文件解析漏洞（MS10-046）
這個漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時的系統機制缺陷，使系統載入攻擊者指定的DLL文件，從而觸發攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據文件中的信息尋找它所需的圖標資源，並將其作為文件的圖標展現給用戶。如果圖標資源在一個DLL文件中，系統就會載入這個DLL文件。攻擊者可以構造這樣一個快捷方式文件，使系統載入指定的DLL文件，從而執行其中的惡意代碼。快捷方式文件的顯示是系統自動執行，無需用戶交互，因此漏洞的利用效果很好。
Stuxnet蠕蟲搜索計算機中的可移動存儲設備（圖4）。一旦發現，就將快捷方式文件和DLL文件拷貝到其中（圖5）。如果用戶將這個設備再插入到內部網路中的計算機上使用，就會觸發漏洞，從而實現所謂的「擺渡」攻擊，即利用移動存儲設備對物理隔離網路的滲入。
圖4 查找U盤
拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。後者Hook了kernel32.dll和ntdll.dll中的下列導出函數：
FindFirstFileW FindNextFileW ZwQueryDirectoryFile 實現對U盤中lnk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施（內核態驅動程序、用戶態Hook API）來實現對U盤文件的隱藏，使攻擊過程很難被用戶發覺，也能一定程度上躲避殺毒軟體的掃描。
圖5 拷貝文件到U盤
2.3.2. RPC遠程執行漏洞（MS08-067）與提升許可權漏洞
這是2008年爆發的最嚴重的一個微軟操作系統漏洞，具有利用簡單、波及范圍廣、危害程度高等特點。
圖6 發動RPC攻擊
具體而言，存在此漏洞的系統收到精心構造的RPC請求時，可能允許遠程執行代碼。在Windows 2000、Windows XP和Windows Server 2003系統中，利用這一漏洞，攻擊者可以通過惡意構造的網路包直接發起攻擊，無需通過認證地運行任意代碼，並且獲取完整的許可權。因此該漏洞常被蠕蟲用於大規模的傳播和攻擊。
Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播（圖6）。利用這一漏洞時，如果許可權不夠導致失敗，還會使用一個尚未公開的漏洞來提升自身許可權（圖1），然後再次嘗試攻擊。截止本報告發布，微軟尚未給出該提權漏洞的解決方案。
2.3.3. 列印機後台程序服務漏洞（MS10-061）
這是一個零日漏洞，首先發現於Stuxnet蠕蟲中。
Windows列印後台程序沒有合理地設置用戶許可權。攻擊者可以通過提交精心構造的列印請求，將文件發送到暴露了列印後台程序介面的主機的%System32%目錄中。成功利用這個漏洞可以以系統許可權執行任意代碼，從而實現傳播和攻擊。
圖7 利用列印服務漏洞
Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。如圖7所示，它向目標主機發送兩個文件：winsta.exe、sysnullevnt.mof。後者是微軟的一種託管對象格式（MOF）文件，在一些特定事件驅動下，它將驅使winsta.exe被執行。
2.3.4.內核模式驅動程序（MS10-073）
2.3.5.任務計劃程序漏洞（MS10-092）
2.4 攻擊行為
Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統（圖8）：
HKLMSOFTWARESIEMENSWinCCSetup
HKLMSOFTWARESIEMENSSTEP7
圖8 查詢注冊表，判斷是否安裝WinCC
一旦發現WinCC系統，就利用其中的兩個漏洞展開攻擊：
一是WinCC系統中存在一個硬編碼漏洞，保存了訪問資料庫的默認賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統的SQL資料庫（圖9）。
二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL載入策略上的缺陷，從而導致一種類似於「DLL預載入攻擊」的利用方式。最終，Stuxnet通過替換Step7軟體中的s7otbxdx.dll，實現對一些查詢、讀取函數的Hook。
圖9 查詢WinCC的資料庫
2.5 樣本文件的衍生關系
本節綜合介紹樣本在上述復制、傳播、攻擊過程中，各文件的衍生關系。
如圖10所示。樣本的來源有多種可能。
對原始樣本、通過RPC漏洞或列印服務漏洞傳播的樣本，都是exe文件，它在自己的.stud節中隱形載入模塊，名為「kernel32.dll.aslr.<隨機數字>.dll」。
對U盤傳播的樣本，當系統顯示快捷方式文件時觸發漏洞，載入~wtr4141.tmp文件，後者載入一個名為「shell32.dll.aslr.<隨機數字>.dll」的模塊，這個模塊將另一個文件~wtr4132.tmp載入為「kernel32.dll.aslr.<隨機數字>.dll」。
圖10 樣本文件衍生的關系
模塊「kernel32.dll.aslr.<隨機數字>.dll」將啟動後續的大部分操作，它導出了22個函數來完成惡意代碼的主要功能；在其資源節中，包含了一些要衍生的文件，它們以加密的形式被保存。
其中，第16號導出函數用於衍生本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序，以及4個.pnf文件。
第17號導出函數用於攻擊WinCC系統的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統中的同名文件修改為s7otbxsx.dll，並對這個文件的導出函數進行一次封裝，從而實現Hook。
第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。
第22號導出函數負責利用RPC漏洞和列印服務漏洞進行傳播。它釋放的文件中，資源編號221的文件用於RPC攻擊、編號222的文件用於列印服務攻擊、編號250的文件用於提權。 3.1 抵禦本次攻擊
西門子公司對此次攻擊事件給出了一個解決方案，鏈接地址見附錄。下面根據我們的分析結果，給出更具體的措施。
1.使用相關專殺工具或手工清除Stuxnet蠕蟲
手工清除的步驟為： 使用Atool管理工具，結束系統中的父進程不是winlogon.exe的所有lsass.exe進程； 強行刪除下列衍生文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
%Windir%infoem7A.PNF
%Windir%infmdmeric3.PNF
%Windir%infmdmcpq3.PNF
%Windir%infoem6C.PNF 刪除下列注冊表項：
HKEY_LOCAL_
HKEY_LOCAL_ 2. 安裝被利用漏洞的系統補丁
安裝微軟提供的下列補丁文件： RPC遠程執行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 列印機後台程序服務漏洞（MS10-061） 內核模式驅動程序漏洞（MS10-073） 任務計劃程序程序漏洞（MS10-092） 3. 安裝軟體補丁
安裝西門子發布的WinCC系統安全更新補丁，地址見附錄。
3.2 安全建議
此次攻擊事件凸顯了兩個問題： 即便是物理隔離的專用區域網，也並非牢不可破； 專用的軟體系統，包括工業控制系統，也有可能被攻擊。 因此，我們對有關部門和企業提出下列安全建議：
加強主機（尤其是內網主機）的安全防範，即便是物理隔離的計算機也要及時更新操作系統補丁，建立完善的安全策略；
安裝安全防護軟體，包括反病毒軟體和防火牆，並及時更新病毒資料庫；
建立軟體安全意識，對企業中的核心計算機，隨時跟蹤所用軟體的安全問題，及時更新存在漏洞的軟體；
進一步加強企業內網安全建設，尤其重視網路服務的安全性，關閉主機中不必要的網路服務埠；
所有軟體和網路服務均不啟用弱口令和默認口令；
加強對可移動存儲設備的安全管理，關閉計算機的自動播放功能，使用可移動設備前先進行病毒掃描，為移動設備建立病毒免疫，使用硬體式U盤病毒查殺工具。 相比以往的安全事件，此次攻擊呈現出許多新的手段和特點，值得我們特別關注。
4.1 專門攻擊工業系統
Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據採集與監視控制（SCADA）系統，被廣泛用於鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程；它運行於Windows平台，常被部署在與外界隔離的專用區域網中。
一般情況下，蠕蟲的攻擊價值在於其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反，最終目標既不在開放主機之上，也不是通用軟體。無論是要滲透到內部網路，還是挖掘大型專用軟體的漏洞，都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確，是一次精心謀劃的攻擊。
4.2 利用多個零日漏洞
Stuxnet蠕蟲利用了微軟操作系統的下列漏洞： RPC遠程執行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 列印機後台程序服務漏洞（MS10-061） 內核模式驅動程序漏洞（MS10-073） 任務計劃程序程序漏洞（MS10-092） 後四個漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規模的使用多種零日漏洞，並不多見。
這些漏洞並非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發揮了獨特的作用。比如基於自動播放功的U盤病毒被絕大部分殺毒軟體防禦的現狀下，就使用快捷方式漏洞實現U盤傳播。
另一方面，在安天捕獲的樣本中，有一部分實體的時間戳是2013年3月。這意味著至少在3月份，上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。
4.3 使用數字簽名
Stuxnet在運行後，釋放兩個驅動文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
這兩個驅動文件偽裝RealTek的數字簽名（圖7）以躲避殺毒軟體的查殺。目前，這一簽名的數字證書已經被頒發機構吊銷，無法再通過在線驗證，但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名，因此有可能被欺騙。圖11 Stuxnet偽造的數字簽名
4.4 明確的攻擊目標
根據賽門鐵克公司的統計，7月份，伊朗感染Stuxnet蠕蟲的主機只佔25%，到9月下旬，這一比例達到60%。
WinCC被伊朗廣泛使用於基礎國防設施中。9月27日，伊朗國家通訊社向外界證實該國的第一座核電站「布希爾核電站」已經遭到攻擊。據了解，該核電站原計劃於2013年8月開始正式運行。因此，此次攻擊具有明確的地域性和目的性。 5.1 工業系統安全將面臨嚴峻挑戰
在我國，WinCC已被廣泛應用於很多重要行業，一旦受到攻擊，可能造成相關企業的設施運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。
對於Stuxnet蠕蟲的出現，我們並未感到十分意外。早在去年，安天就接受用戶委託，對化工行業儀表的安全性展開過研究，情況不容樂觀。
工業控制網路，包括工業乙太網，以及現場匯流排控制系統早已在工業企業中應用多年，目前在電力、鋼鐵、化工等大型重化工業企業中，工業乙太網、DCS（集散控制系統）、現場匯流排等技術早已滲透到控制系統的方方面面。工業控制網路的核心現在都是工控PC，大多數同樣基於Windows-Intel平台，工業乙太網與民用乙太網在技術上並無本質差異，現場匯流排技術更是將單片機/嵌入式系統應用到了每一個控制儀表上。工業控制網路除了可能遭到與攻擊民用/商用網路手段相同的攻擊，例如通過區域網傳播的惡意代碼之外，還可能遭到針對現場匯流排的專門攻擊，不可輕視。
針對民用/商用計算機和網路的攻擊，目前多以獲取經濟利益為主要目標，但針對工業控制網路和現場匯流排的攻擊，可能破壞企業重要裝置和設備的正常測控，由此引起的後果可能是災難性的。以化工行業為例，針對工業控制網路的攻擊可能破壞反應器的正常溫度/壓力測控，導致反應器超溫/超壓，最終就會導致沖料、起火甚至爆炸等災難性事故，還可能造成次生災害和人道主義災難。因此，這種襲擊工業網路的惡意代碼一般帶有信息武器的性質，目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞，其背景一般不是個人或者普通地下黑客組織。
目前，工業乙太網和現場匯流排標准均為公開標准，熟悉工控系統的程序員開發針對性的惡意攻擊代碼並不存在很高的技術門檻。因此，對下列可能的工業網路安全薄弱點進行增強和防護是十分必要的： 基於Windows-Intel平台的工控PC和工業乙太網，可能遭到與攻擊民用/商用PC和網路手段相同的攻擊，例如通過U盤傳播惡意代碼和網路蠕蟲，這次的Stuxnet病毒就是一個典型的例子。 DCS和現場匯流排控制系統中的組態軟體（測控軟體的核心），目前其產品，特別是行業產品被少數公司所壟斷，例如電力行業常用的西門子SIMATIC WinCC，石化行業常用的浙大中控等。針對組態軟體的攻擊會從根本上破壞測控體系，Stuxnet病毒的攻擊目標正是WinCC系統。 基於RS-485匯流排以及光纖物理層的現場匯流排，例如PROFIBUS和MODBUS（串列鏈路協議），其安全性相對較好；但短程無線網路，特別是不使用Zigbee等通用短程無線協議（有一定的安全性），而使用自定義專用協議的短程無線通信測控儀表，安全性較差。特別是國內一些小企業生產的「無線感測器」等測控儀表，其無線通信部分採用通用2.4GHz短程無線通信晶元，連基本的加密通信都沒有使用，可以說毫無安全性可言，極易遭到竊聽和攻擊，如果使用，將成為現場匯流排中極易被攻擊的薄弱點。 工業控制網路通常是獨立網路，相對民用/商用網路而言，數據傳輸量相對較少，但對其實時性和可靠性的要求卻很高，因而出現問題的後果相當嚴重。
傳統工業網路的安全相對信息網路來說，一直是憑借內網隔離，而疏於防範。因此，針對工業系統的安全檢查和防範加固迫在眉睫。

Ⅳ 急！！！

.....................................

Ⅵ 求助關於TCP/IP協議深度分析

TCP/IP（Transmission Control Protocol/Internet Protocol的簡寫，中文譯名為傳輸控制協議/互聯網路協議）協議是Internet最基本的協議，簡單地說，就是由網路層的IP協議和傳輸層的TCP協議組成的。

眾所周知，如今電腦上網際網路都要作TCP/IP協議設置，顯然該協議成了當今地球村「人與人」之間的「牽手協議」。

1997年，為了褒獎對網際網路發展作出突出貢獻的科學家，並對TCP/IP協議作出充分肯定，美國授予為網際網路發明和定義TCP/IP協議的文頓·瑟夫和卡恩「國家技術金獎」。這無疑使人們認識到TCP/IP協議的重要性。

在阿帕網（ARPR）產生運作之初，通過介面信號處理機實現互聯的電腦並不多，大部分電腦相互之間不兼容，在一台電腦上完成的工作，很難拿到另一台電腦上去用，想讓硬體和軟體都不一樣的電腦聯網，也有很多困難。當時美國的狀況是，陸軍用的電腦是DEC系列產品，海軍用的電腦是Honeywell中標機器，空軍用的是IBM公司中標的電腦，每一個軍種的電腦在各自的系裡都運行良好，但卻有一個大弊病：不能共享資源。

當時科學家們提出這樣一個理念：「所有電腦生來都是平等的。」為了讓這些「生來平等」的電腦能夠實現「資源共享」就得在這些系統的標准之上，建立一種大家共同都必須遵守的標准，這樣才能讓不同的電腦按照一定的規則進行「談判」，並且在談判之後能「握手」。

在確定今天網際網路各個電腦之間「談判規則」過程中，最重要的人物當數瑟夫（Vinton G.Cerf）。正是他的努力，才使今天各種不同的電腦能按照協議上網互聯。瑟夫也因此獲得了與克萊因羅克（「網際網路之父」）一樣的美稱「互聯網之父」。

瑟夫從小喜歡標新立異，堅強而又熱情。中學讀書時，就被允許使用加州大學洛杉磯分校的電腦，他認為「為電腦編程序是個非常激動人心的事，…只要把程序編好，就可以讓電腦做任何事情。」1965年，瑟夫從斯坦福大學畢業到IBM的一家公司當系統工程師，工作沒多久，瑟夫就覺得知識不夠用，於是到加州大學洛杉磯分校攻讀博士，那時，正逢阿帕網的建立，「介面信號處理機」（IMP）的研試及網路測評中心的建立，瑟夫也成了著名科學家克萊因羅克手下的一位學生。瑟夫與另外三位年輕人（溫菲爾德、克羅克、布雷登）參與了阿帕網的第一個節點的聯接。此後不久，BBN公司對工作中各種情況發展有很強判斷能力、被公認阿帕網建成作出巨大貢獻的鮑伯·卡恩（Bob Kahn）也來到了加州大學洛杉磯分校。 在那段日子裡，往往是卡恩提出需要什麼軟體，而瑟夫則通宵達旦地把符合要求的軟體給編出來，然後他們一起測試這些軟體，直至能正常運行。當時的主要格局是這樣的，羅伯茨提出網路思想設計網路布局，卡恩設計阿帕網總體結構，克萊因羅克負責網路測評系統，還有眾多的科學家、研究生參與研究、試驗。69年9月阿帕網誕生、運行後，才發現各個IMP連接的時候，需要考慮用各種電腦都認可的信號來打開通信管道，數據通過後還要關閉通道。否則這些IMP不會知道什麼時候應該接收信號，什麼時候該結束，這就是我們現在所說的通信「協議」的概念。70年12月制定出來了最初的通信協議j 由卡恩開發、瑟夫參與的「網路控制協議」（NCP），但要真正建立一個共同的標准很不容易，72年10月國際電腦通信大會結束後，科學家們都在為此而努力。「包切換」理論為網路之間的聯接方式提供了理論基礎。卡恩在自己研究的基礎上，認識到只有深入理解各種操作系統的細節才能建立一種對各種操作系統普適的協議，73年卡恩請瑟夫一起考慮這個協議的各個細節，他們這次合作的結果產生了目前在開放系統下的所有網民和網管人員都在使用的「傳輸控制協議」（TCP，Transsmission-Control Protocol）和「網際網路協議」（IP，Internet Protocol）即TCP/IP協議。

通俗而言：TCP負責發現傳輸的問題，一有問題就發出信號，要求重新傳輸，直到所有數據安全正確地傳輸到目的地。而IP是給網際網路的每一台電腦規定一個地址。1974年12月，卡恩、瑟夫的第一份TCP協議詳細說明正式發表。當時美國國防部與三個科學家小組簽定了完成TCP/IP的協議，結果由瑟夫領銜的小組捷足先登，首先制定出了通過詳細定義的TCP/IP協議標准。當時作了一個試驗，將信息包通過點對點的衛星網路，再通過陸地電纜，再通過衛星網路，再由地面傳輸，貫串歐洲和美國，經過各種電腦系統，全程9.4萬公里竟然沒有丟失一個數據位，遠距離的可靠數據傳輸證明了TCP/IP協議的成功。

1983年1月1日，運行較長時期曾被人們習慣了的NCP被停止使用，TCP/IP協議作為網際網路上所有主機間的共同協議，從此以後被作為一種必須遵守的規則被肯定和應用。正是由於TCP/IP協議，才有今天「地球村」網際網路的巨大發展。