1.Java超高精度无线定位技术--UWB (超宽带)人员定位系统源码
2.H264和MPEG-4是视频什视什么关系?
3.VIDEO矩阵视频矩阵的常见故障及其排除方法
4.在微信上买的源码,1500,对方发空包,退不了款,可以报警吗
5.急啊 跪求高人看看这息是啥意思
Java超高精度无线定位技术--UWB (超宽带)人员定位系统源码
Java超高精度无线定位技术--UWB (超宽带)人员定位系统深度解析
UWB (超宽带)技术,作为无线定位领域的框架革新,其独特性在于它通过发送和接收纳秒级甚至更短的源码意思极窄脉冲,实现了GHz级的频报超宽带通信,为高精度室内定位开辟了新纪元。警框架源它在工业自动化、视频什视双雄公式源码安全监控和室内导航等领域展现出了卓越的框架性能。相较于传统窄带系统,源码意思UWB具备穿透力强、频报功耗低、警框架源抗多径干扰强、视频什视安全性高和系统复杂度低等优势,框架尤其在提供厘米级别的源码意思定位精度上,其应用潜力不可估量。频报
然而,警框架源UWB定位并非完美无缺。它依赖于密集的基站网络,每个定位点至少需要三个基站的支持,且对无线环境的遮挡较为敏感。尽管有这些局限,UWB在监狱看守所的智能化监控、医院的设备定位和高危化工厂的人员安全管理中,都发挥了关键作用。例如,监狱通过实时追踪犯人位置、智能预警越界,医院通过实时定位医疗设备,保障医疗安全,化工厂则能有效管理人员和设备,预防事故的发生。
UWB室内定位的实现,依赖于三个核心组件:UWB标签或设备,它们搭载定位芯片,发射UWB信号;UWB基站或接收器,分布在目标区域内,捕捉并解析信号;以及数据处理平台,对接收到的信号进行计算和分析,输出精确的位置信息。
UWB技术的优势在于其高精度定位,即使在多路径环境中也能保持稳定性能;其实时性使得位置信息更新迅速,且能有效处理多路径信号。它在室内环境中的应用广泛,如商场、医院、工厂等,为人员和物体的精确定位提供了强大支持。
在室内人员定位系统中,工厂人员定位不仅实现了物资、车辆的实时追踪与智能调度,还结合了人脸识别、智能考勤等功能,强化了人员管理。系统通过联动监控,智能分析人员行为,以实现可视化和智能化的生产环境管理。此外,车辆测距防撞报警功能,进一步保障了人员安全。
具体到系统功能,人员实时定位提供实时分布及统计,视频画面联动功能则让管理者能够快速掌握现场情况。设备与区域管理模块,确保了权限的精确控制和电子围栏的高效应用。巡检管理不仅记录任务进度,还通过智能考核工具,提升工作效能。而报警管理模块则从静止、超员、越界和紧急求救等多个维度,确保了人员和环境的安全。
UWB技术的超宽带特性,使得在追求精确度的同时,我们也要面对基站部署和环境适应性的tgamebox 网站源码挑战。然而,正是这些挑战推动着我们不断优化和改进,使得UWB在无线定位领域中占据重要一席,为未来的智能环境提供了无限可能。
H和MPEG-4是什么关系?
H. 是MPEG-4 标准所定义的最新,同时也是技术含量最高、代表最新技术水平的视频编码格式之一。 H. 最具价值的部分无疑是更高的数据压缩比。在同等的图像质量条件下,H. 的数据压缩比能比当前 DVD 系统中使用的 MPEG-2 高2-3 倍,比MPEG-4 高1.5-2 倍。正因为如此,经过H. 压缩的视频数据, 在网络传输过程中所需要的带宽更少,也更加经济。在 MPEG-2 需要6Mbps 的传输速率匹配时,H. 只需 要1Mbps-2Mbps 的传输速率。 与MPEG-4 一样,经过H. 压缩的视频文件一般也是采用.avi 作为其后缀名,同样不容易辨认,只能通过解码器来自己识别
H. 与MPEG4 区别 压缩方式是DVR 的核心技术,压缩方式很大程度上决定着图像的质量、压缩比、 传输效率、传输速度等性能,它是评价DVR 性能优劣的重要一环。 随着多媒体 技术的发展,相继推出了许多压缩编码标准,目前主要有JPEG/M-JPEG、 H./H. 和MPEG 等标准。 1、JPEG/M-JPEG ①、JPEG 是一种静止图像的压缩标准,它是一种标准的帧内压缩编码方 式。当硬件处理速度足够快时,JPEG 能用于实时动图像的视频压缩。在画面变 动较小的情况下能提供相当不错的图像质量,传输速度快,使用相当安全,缺点 是数据量较大。 ②、M-JPEG 源于JPEG 压缩技术,是一种简单的帧内JPEG 压缩,压缩 图像质量较好,在画面变动情况下无马赛克,但是由于这种压缩本身技术限制, 无法做到大比例压缩,录像时每小时约1-2GB 空间,网络传输时需要2M带宽, 所以无论录像或网络发送传输,都将耗费大量的硬盘容量和带宽,不适合长时间 连续录像的需求,不大实用于视频图像的网络传输。 2、H./H. ①、H. 标准通常称为P*,H. 对全色彩、实时传输动图像可以达 到较高的压缩比,算法由帧内压缩加前后帧间压缩编码组合而成,以提供视频压 缩和解压缩的快速处理。由于在帧间压缩算法中只预测到后1 帧,所以在延续时 间上比较有优势,但图像质量难以做到很高的清晰度,无法实现大压缩比和变速 率录像等。 ②、H. 的基本编码方法与H. 是相同的,均为混合编码方法,但H. 为适应极低码率的传输,在编码的各个环节上作了改进,如以省码字来提高编码 图像的质量,此外, H. 还吸取了MPEG 的player c源码双向运动预测等措施,进一步提 高帧间编码的预测精度,一般说,在低码率时,采用H. 只要一半的速率可 获得和H. 相当的图像质量。 3、MPEG MPEG 是压缩运动图像及其伴音的视音频编码标准,它采用了帧间压缩, 仅存储连续帧之间有差别的地方 ,从而达到较大的压缩比。MPEG 现有 MPEG—1、MPEG—2 和MPEG—4 三个版本,以适应于不同带宽和图像质量 的要求。 ①、MPEG—1 的视频压缩算法依赖于两个基本技术,一是基于*(像 素*行)块的运动补偿,二是基于变换域的压缩技术来减少空域冗余度,压缩比 相比M-JPEG 要高,对运动不激烈的视频信号可获得较好的图像质量,但当运 动激烈时,图像会产生马赛克现象。 MPEG-1 以1.5Mbps 的数据率传输视音频 信号,MPEG-1 在视频图像质量方面相当于VHS 录像机的图像质量,视频录像 的清晰度的彩色模式≥TVL,两路立体声伴音的质量接近CD 的声音质 量。 MPEG-1 是前后帧多帧预测的压缩算法,具有很大的压缩灵活性,能变速 率压缩视频,可视不同的录像环境,设置不同的压缩质量,从每小时 MB 至 MB 不等,但数据量和带宽还是比较大。 ②、MPEG-2 它是获得更高分辨率(*)提供广播级的视音频编码标 准。MPEG-2 作为MPEG-1 的兼容扩展,它支持隔行扫描的视频格式和许多高 级性能包括支持多层次的可调视频编码,适合多种质量如多种速率和多种分辨率 的场合。它适用于运动变化较大,要求图像质量很高的实时图像。对每秒 帧、 * 分辨率的视频信号进行压缩,数据率可达3-Mbps。由于数据量太大, 不适合长时间连续录像的需求。 ③、MPEG-4 是为移动通信设备在Internet 网实时传输视音频信号而制定的 低速率、高压缩比的视音频编码标准。 MPEG-4 标准是面向对象的压缩方式, 不是像MPEG-1 和MPEG-2 那样简单地将图像分为一些像块,而是根据图像的 内容,其中的对象(物体、人物、背景)分离出来,分别进行帧内、帧间编码, 并允许在不同的对象之间灵活分配码率,对重要的对象分配较多的字节,对次要 的对象分配较少的字节,从而大大提高了压缩比,在较低的码率下获得较好的效 果, MPEG-4 支持MPEG-1、MPEG-2 中大多数功能,提供不同的视频标准源 格式、码率、帧频下矩形图形图像的有效编码。 总之,MPEG-4 有三个方面的优势: ①、具有很好的兼容性; ②、MPEG-4 比其他算法提供更好的压缩比,最高达:1; ③、MPEG-4 在提供高压缩比的同时,对数据的损失很小。所以,MPEG-4 的趋势准备源码应用能大幅度的降低录像存储容量,获得较高的录像清晰度,特别适用于长时 间实时录像的需求,同时具备在低带宽上优良的网络传输能力。 H. 是ITU-T 的VCEG(视频编码专家组)和ISO/IEC 的MPEG(活动图像 编码专家组)的联合视频组(JVT:joint video team)开发的一个新的数字视频 编码标准,它既是ITU-T 的H.,又是ISO/IEC 的MPEG-4 的第 部分。 年1 月份开始草案征集, 年9 月,完成第一个草案, 年5 月制 定了其测试模式TML-8, 年6 月的 JVT 第5 次会议通过了H. 的FCD 板。目前该标准还在开发之中,预计明年上半年可正式通过。 H. 和以前的标准一样,也是DPCM加变换编码的混合编码模式。但它 采用“回归基本”的简洁设计,不用众多的选项,获得比H.++好得多的压缩性 能;加强了对各种信道的适应能力,采用“网络友好”的结构和语法,有利于对误 码和丢包的处理;应用目标范围较宽,以满足不同速率、不同解析度以及不同传 输(存储)场合的需求;它的基本系统是开放的,使用无需版权。 在技术上, H. 标准中有多个闪光之处,如统一的VLC 符号编码,高精 度、多模式的位移估计,基于4×4 块的整数变换、分层的编码语法等。这些措 施使得 H. 算法具有很的高编码效率,在相同的重建图像质量下,能够比 H. 节约%左右的码率。H. 的码流结构网络适应性强,增加了差错恢 复能力,能够很好地适应IP 和无线网络的应用。 其实现在多数的什么H. 都是H.++通过改进后的算法,是压缩率变的小 了点(包括现在有个别的生产厂家,我同事都看到过他们的源代码)!如果是从 单个画面清晰度比较,MPEG4 有优势;从动作连贯性上的清晰度,H. 有优 势!
VIDEO矩阵视频矩阵的常见故障及其排除方法
一、矩阵控制云台或镜头问题解决 1. 检查矩阵与解码器的协议和波特率是否一致。 2. 验证矩阵键盘与矩阵通讯的正常性,确保键盘能接收到矩阵的反馈数据,同时绿灯以一秒钟一次的频率闪烁。 3. 确保解码器与矩阵的Code2连接正确无误。 4. 检查解码器自检是否正常。 5. 将正常解码器放置在相同位置,测试是否能被控制,以确定线路是否存在问题。 6. 检查总线上的驱动能力,确认总线上连接的解码器数量不超过个,并确保总线距离不超过米。推荐在总线两端的端口上连接Ω终端电阻。 7. 将矩阵的其他通信口的连线拔除,仅保留矩阵键盘与CODE2,以防止其他连线短路导致的通信故障。 二、视频或音视频矩阵无法进入主菜单问题解决 1. 检查第一路视频输入是否有图像,并确保其切换至第一路视频输出。 2. 确认键盘的编程钥匙处于PROG位置,拨码第8位处于OFF状态,并保证键盘通电后屏幕显示(主控)或(副控)标志。 3. 检查键盘与矩阵的通讯情况,确保能接收到矩阵的反馈数据与绿灯以一秒钟一次的频率闪烁。 4. 对矩阵进行带电硬复位。 5. 检查键盘能否直接控制解码器动作,以判断问题是由键盘还是矩阵主板引起。 三、DVR无法控制云台或镜头问题解决 1. 检查DVR与解码器的网站源码type协议和波特率设置是否一致。 2. 确认DVR的串口与-码转通讯是否正常,且软件串口选择正确。 3. 若使用有源码转,请确保工作电压达到额定值。 4. 检查DVR与解码器的串口以及报警盒的串口是否能够共用。 5. 确保总线上的驱动能力,总线距离不超过米。 四、矩阵某路输出无图像或图像有问题解决 1. 检查监视器访问权限设置。 2. 确认输入通道正常,将确认OK的输入通道切换至该输出。 3. 进行系统主菜单的软复位操作。 4. 检查输入、输出卡的稳固性。 五、DVR无法控制矩阵问题解决 1. 确定DVR是通过Code4直接连接矩阵还是通过数模连接器与矩阵的Code1连接。 2. 在DVR中设置与矩阵的通讯协议,并确保矩阵菜单中设置的协议与DVR一致。 3. 在数模连接器中设置协议,确保与DVR设置一致。 4. 检查矩阵是否具备联网功能。 六、配合矩阵的外置报警主机无法报警问题解决 1. 确认矩阵报警端口设置为串行或并行/串行模式。 2. 检查报警主机工作模式,确保拨号为矩阵模式,波特率与控制设备匹配,地址正确对应。 3. 确保报警探头类型为常闭或常开,并连接相应的2.2K匹配电阻。 4. 检查报警输出的警灯或警笛是否已连接相应电源。 5. 确认报警主机自检功能正常。扩展资料
VIDEO矩阵是指通过阵列切换的方法将m路视频信号任意输出至n路监看设备上的电子装置,一般情况下矩阵的输入大于输出即m>n。有一些视频矩阵也带有音频切换功能,能将视频和音频信号进行同步切换,这种矩阵也叫做视音频矩阵。目前的视频矩阵就其实现方法来说有模拟矩阵和数字矩阵两大类。视频矩阵一般用于各类监控场合。在微信上买的源码,,对方发空包,退不了款,可以报警吗
可以。根据查询消费者协会官网显示,在网上购买的任何物品,都有权退换货,退不了款的可直接报警处理。微信是腾讯公司于年1月日推出的一款通过网络快速发送语音短信、视频、和文字,支持多人群聊的手机聊天软件。
急啊 跪求高人看看这息是啥意思
特洛伊木马完全解析
一位客户的PC出现了奇怪的症状,速度变慢,CD-ROM托盘毫无规律地进进出出,从来没有见过的错误信息,屏幕图像翻转,等等。我切断了他的Internet连接,然后按照对付恶意软件的标准步骤执行检查,终于找出了罪魁祸首:两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice,还有一个是不太常见的The Thing。在这次事件中,攻击者似乎是个小孩,他只想搞些恶作剧,让别人上不了网,或者交换一些色情资料,但没有什么更危险的举动。如果攻击者有其他更危险的目标,那么他可能已经从客户的机器及其网络上窃得许多机密资料了。
特洛伊木马比任何其他恶意代码都要危险,要保障安全,最好的办法就是熟悉特洛伊木马的类型、工作原理,掌握如何检测和预防这些不怀好意的代码。
一、初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
二、极度危险的恶意程序
对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。
首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。
一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。
其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。
三、特洛伊木马的类型
常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到 KB至 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。
对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是 KB到 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。
随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马:Back Orifice和SubSeven。
■ Back Orifice
年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice (即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。
但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。
要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。
显示了一次Netstat检测的例子,检测结果表明一个Back Orifice使用的端口(即)已经被激活,木马客户程序使用的是远程机器(ROGERLAP)上的端口。除了已知的木马常用端口之外,另外还要特别留意未知的FTP服务器(端口)和Web服务器(端口)。
但是,Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接,必须使用端口枚举工具,例如,Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马,也能够建立程序与端口的联系。另外,Windows XP的Netstat工具提供了一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),有了PID,用任务管理器就可以方便地根据PID找到对应的程序。
如果手头没有端口枚举工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下特洛伊木马尚未装入内存。接下来,分别运行各个前面找出的有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能信任的软件。
Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整个网络,又该怎么办?大多数入侵检测系统(Intrusion Detection System,IDS)都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构,特洛伊木马数据包也一样。只要正确配置和经常更新IDS,它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见http://www.snort.org,了解常见的源代码开放IDS工具。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,最好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
贴来的,谢谢原版.