第九章安全工具

第九章安全工具 介绍几种具有代表性的安全工具，通过它可以了解这些安全工具的功能和使用方法，而且还可以将前几章所介绍的有关计算机通信信息安全的理论、方法、概念以及抽象的术语等与实际安全问题的解决联系起来，了解实际使用的安全工具的原理。 9.1 清除病毒工具 9.2 扫描工具 9.3 入侵检测工具 9.4 小结

9.1.1 KV3000杀病毒软件 1、基本功能 KV3000是一套系列杀毒软件，可分为DOS版和Wndows版，该软件保存在两张磁盘和一张光盘上。 KV3000具有预防、浏览和消除病毒的功能，并具有独特的开放式系统。 KVW3000（KV3000W）可完成对外来软盘、光盘和因特网的病毒及其黑客的实时监测。 KV3000能够按照用户意愿主动在软盘上保存硬盘正常的引导区信息，用以恢复被病毒破坏后的硬盘。 KV3000具有自我检查、自我修复、自我解除感染自身的病毒的功能，以保自身清洁和完整。 9.1 清除病毒工具

2、KV3000功能键 KV3000运行时采用全屏幕的显示方式。各功能键的作用见配套教材。 3、硬盘主引导信息保护保存正确的硬盘主引导信息的命令格式为KV3000/B。建议用户对重要的机器一定要使用这种格式。 4、清除所有引导型病毒清除所有引导型病毒的命令格式为KV3000/K。这种格式能安全清除所有引导型病毒，并在软盘上保存硬盘的主引导信息。 9.1.1 KV3000杀病毒软件

5、恢复当前硬盘的主引导信息 恢复当前硬盘的主引导信息的命令格式为:KV3000/Hdpt.vir。 6、实时监测病毒 7、Word宏病毒的清除 KV3000能查出已知名和以后出现的绝大多数未知名Word（Normal.dot）中的宏病毒。清除Word宏病毒有两种方法。 9.1.1 KV3000杀病毒软件

1、基本功能 “瑞星杀毒软件”是针对流行于国内外危害较大的计算机病毒和有害程序研制的反病毒安全工具。用于对已知病毒、黑客程序的查找，实时监控和清除，恢复被病毒感染的文件或系统，维护计算机系统的安全。能全面清除感染DOS、Wndows和Office等系统和应用程序的病毒以及危害计算机安全的各种“黑客”程序等有害程序。 2、DOS版使用方法 3、命令行工作方式的使用方法 4、引导型病毒提取程序 5、Windows版的使用方法 6、实时监控“防火墙” 9.1.2瑞星杀毒软件

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器各种TCP端口的分配，提供的服务，以及它们的软件版本。这就能让我们间接地或直观地了解远程主机所存在的安全问题。扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器各种TCP端口的分配，提供的服务，以及它们的软件版本。这就能让我们间接地或直观地了解远程主机所存在的安全问题。扫描器主要是通过比较已知的弱点数据库数据与系统配置的数据，探测系统或网络中的缺陷。大多数扫描器还可以设置希望扫描的具体内容以及扫描时间。 9.2 扫描工具

对于整个系统的安全检测，由于网络资源的不同，扫描的对象也不尽相同，所应用的扫描手段也有很大的差异，其主要分类有：对于整个系统的安全检测，由于网络资源的不同，扫描的对象也不尽相同，所应用的扫描手段也有很大的差异，其主要分类有：服务扫描直接漏洞攻击扫描端口扫描尝试性扫描 9.2 扫描工具

nmap简介： nmap允许系统管理员查看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描，如UDP、TCP connect（）、TCP SYN、ftp proxy（bounce attack）、Reverse-ident、ICMP（ping sweep）、FIN、ACK sweep、Xmas Tree、SYN sweep和Null扫描等。nmap提供了一些实用功能。 9.2.1 nmap

John the Ripper的中文意思是John的撕裂工具。实际上它是一个工具软件，用于在已知密文的情况下尝试破解出明文的破解密码软件。目前的最新版本是John1.6版，主要支持对DES、MD两种加密方式的密文进行破解工作。John提供了几种不同的破解方式，方便使用者的不同需求，甚至还可以自定义方式，以加速程序的运行。它也提供了保存解密中间结果，随后继续运行的功能。在站点http://www.false.com/security/John，使用者可以了解John的最新动态。 9.2.2 John the Ripper

SATAN的中文含义是安全管理员的网络分析工具，也有人称之为审计网络的安全分析工具。它是一个网络安全漏洞搜索与报告工具。 SATAN用于扫描远程主机的许多已知的漏洞，其中包括但并不限于下列这些漏洞：FTPD脆弱性和可写的FTP目录、NFS脆弱性、NIS脆弱性、RSH脆弱性、Sendmail、X服务器脆弱性。 SATAN比一般扫描器需要更多的资源，尤其是在内存和处理器功能方面要求更高一些。总之，对安全管理者而言，SATAN是一个值得使用的工具，尤其对于管理由分散的拥有者维护的系统网络安全性。 9.2.3 SATAN

9.3.1 Crack Crack简介 Crack是UNIX行业协会最著名的口令审计工具，它具有灵活性，可以配置，运行速度快，而且可通过Berkeley 的rsh程序（或者类似的程序）使用多个网络主机”。 Crack网站地址为http://www.users.dircon.co.uk/-crypto/index.html 9.3 入侵检测工具

NetRanger可在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。系统包括两部分:检测网络包和发告警的传感器检测器，以及接收并分析告警和启动对策的控制器（或称为导向器）。另外，至少还需要一台奔腾PC来运行传感器程序以及一台Sun SparcStation通过OpenView或NetView来运行控制器程序。检测器是一种高速网络“工具”，它分析网络中各个数据包的内容和所处的环境，以确定所传输的业务是否经过授权。导向器是以软件为基础的高性能管理系统，从中心监控位于本地或远程网段的多个检测器的活动，综合多站点的信息并监视散布在整个企业网上的攻击。 9.3.2 NetRanger

CyberCop嵌入NetRaner的引擎和攻击模式数据库，它是网络入侵检测与风险评估套件，包括CybeCop Scanner，CyberCop Network和CyberCop Server三个独立产品，基本涵盖了动态安全技术的主要方面，并通过此三个产品的结合使用，给企业提供最大程度的入侵检测保护。 Cybercop Scanner的目标是在复杂的网络环境中检测出薄弱环节，它对Intranet、Web服务器、防火墙等网络安全环节进行全面的检查，从而发现这些安全环节的攻击脆弱所在，其中包括已经众所周知的漏洞，也有许多尚不为人知的漏洞。 9.3.3 CyberCop

Cybercop Server的目标是在复杂的网络环境中提供防范、检测和对攻击作出反应，并能采取自动抗击措施的工具。它基于客户机/服务器对整个网络进行检测，建立了新的工业标准，即多维安全保护。 Cybercop Netwok的主要功能是在复杂的网络环境中通过循环检测网络流量的手段保护网络上的共享资源，提供不停顿的对全网络的检测，以及对攻击企图的实时报警。 9.3.3 CyberCop

RealSecure2.0 for Windows NT是一种领导市场的攻击检测方案。它提供了分布式安全体系结构，多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以采用 128bit RSA进行认证和加密。 9.3.4 ReaSecure

第九章 安全工具