snifferpython

『壹』 python遇到網路問題時，怎麼解決

解決方法如下：
File "e:\python\sniffer.py", line 14, in
sniffer = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket_protocol)
File "F:\python\Lib\socket.py", line 191, in init
_sock = _realsocket(family, type, proto)

『貳』 黑客的行為特徵。

這些多網路一下，就可以得到答案。以下僅供參考。

要想更好的保護網路不受黑客的攻擊，就必須對黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解，只有這樣才能更有效、更具有針對性的進行主動防護。下面通過對黑客攻擊方法的特徵分析，來研究如何對黑客攻擊行為進行檢測與防禦。

一、反攻擊技術的核心問題

反攻擊技術（入侵檢測技術）的核心問題是如何截獲所有的網路信息。目前主要是通過兩種途徑來獲取信息，一種是通過網路偵聽的途徑（如Sniffer，Vpacket等程序）來獲取所有的網路信息（數據包信息，網路流量信息、網路狀態信息、網路管理信息等），這既是黑客進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統和應用程序的系統日誌進行分析，來發現入侵行為和系統潛在的安全漏洞。

二、黑客攻擊的主要方式

黑客對網路的攻擊方式是多種多樣的，一般來講，攻擊總是利用「系統配置的缺陷」，「操作系統的安全漏洞」或「通信協議的安全漏洞」來進行的。到目前為止，已經發現的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經有相應的解決方法，這些攻擊大概可以劃分為以下六類：

1.拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象（通常是工作站或重要伺服器）的系統關鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

2.非授權訪問嘗試：是攻擊者對被保護文件進行讀、寫或執行的嘗試，也包括為獲得被保護訪問許可權所做的嘗試。

3.預探測攻擊：在連續的非授權訪問嘗試過程中，攻擊者為了獲得網路內部的信息及網路周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、埠掃描和IP半途掃描等。

4.可疑活動：是通常定義的「標准」網路通信范疇之外的活動，也可以指網路上不希望有的活動，如IP Unknown Protocol和Duplicate IP Address事件等。

5.協議解碼：協議解碼可用於以上任何一種非期望的方法中，網路或安全管理員需要進行解碼工作，並獲得相應的結果，解碼後的協議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。

6.系統代理攻擊：這種攻擊通常是針對單個主機發起的，而並非整個網路，通過RealSecure系統代理可以對它們進行監視。

三、黑客攻擊行為的特徵分析與反攻擊技術

入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為，要有效的進反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析，並提出相應的對策。

1.Land攻擊

攻擊類型：Land攻擊是一種拒絕服務攻擊。

攻擊特徵：用於Land攻擊的數據包中的源地址和目標地址是相同的，因為當操作系統接收到這類數據包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環發送和接收該數據包，消耗大量的系統資源，從而有可能造成系統崩潰或死機等現象。

檢測方法：判斷網路數據包的源地址和目標地址是否相同。

反攻擊方法：適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為（一般是丟棄該數據包），並對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址）。

2.TCP SYN攻擊

攻擊類型：TCP SYN攻擊是一種拒絕服務攻擊。

攻擊特徵：它是利用TCP客戶機與伺服器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包，當被攻擊主機接收到大量的SYN數據包時，需要使用大量的緩存來處理這些連接，並將SYN ACK數據包發送回錯誤的IP地址，並一直等待ACK數據包的回應，最終導致緩存用完，不能再處理其它合法的SYN連接，即不能對外提供正常服務。

檢測方法：檢查單位時間內收到的SYN連接否收超過系統設定的值。

反攻擊方法：當接收到大量的SYN數據包時，通知防火牆阻斷連接請求或丟棄這些數據包，並進行系統審計。

3.Ping Of Death攻擊

攻擊類型：Ping Of Death攻擊是一種拒絕服務攻擊。

攻擊特徵：該攻擊數據包大於65535個位元組。由於部分操作系統接收到長度大於65535位元組的數據包時，就會造成內存溢出、系統崩潰、重啟、內核失敗等後果，從而達到攻擊的目的。

檢測方法：判斷數據包的大小是否大於65535個位元組。

反攻擊方法：使用新的補丁程序，當收到大於65535個位元組的數據包時，丟棄該數據包，並進行系統審計。

4.WinNuke攻擊

攻擊類型：WinNuke攻擊是一種拒絕服務攻擊。

攻擊特徵：WinNuke攻擊又稱帶外傳輸攻擊，它的特徵是攻擊目標埠，被攻擊的目標埠通常是139、138、137、113、53，而且URG位設為「1」，即緊急模式。

檢測方法：判斷數據包目標埠是否為139、138、137等，並判斷URG位是否為「1」。

反攻擊方法：適當配置防火牆設備或過濾路由器就可以防止這種攻擊手段（丟棄該數據包），並對這種攻擊進行審計（記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址MAC）。

5.Teardrop攻擊

攻擊類型：Teardrop攻擊是一種拒絕服務攻擊。

攻擊特徵：Teardrop是基於UDP的病態分片數據包的攻擊方法，其工作原理是向被攻擊者發送多個分片的IP包（IP分片數據包中包括該分片數據包屬於哪個數據包以及在數據包中的位置等信息），某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。

檢測方法：對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。

反攻擊方法：添加系統補丁程序，丟棄收到的病態分片數據包並對這種攻擊進行審計。

6.TCP／UDP埠掃描

攻擊類型：TCP/UDP埠掃描是一種預探測攻擊。

攻擊特徵：對被攻擊主機的不同埠發送TCP或UDP連接請求，探測被攻擊對象運行的服務類型。

檢測方法：統計外界對系統埠的連接請求，特別是對21、23、25、53、80、8000、8080等以外的非常用埠的連接請求。

反攻擊方法：當收到多個TCP/UDP數據包對異常埠的連接請求時，通知防火牆阻斷連接請求，並對攻擊者的IP地址和MAC地址進行審計。

對於某些較復雜的入侵攻擊行為（如分布式攻擊、組合攻擊）不但需要採用模式匹配的方法，還需要利用狀態轉移、網路拓撲結構等方法來進行入侵檢測。

四、入侵檢測系統的幾點思考

從性能上講，入侵檢測系統面臨的一個矛盾就是系統性能與功能的折衷，即對數據進行全面復雜的檢驗構成了對系統實時性要求很大的挑戰。

從技術上講，入侵檢測系統存在一些亟待解決的問題，主要表現在以下幾個方面：

1.如何識別「大規模的組合式、分布式的入侵攻擊」目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中，我們了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復雜的攻擊手法，使入侵檢測系統必須不斷跟蹤最新的安全技術。

2.網路入侵檢測系統通過匹配網路數據包發現攻擊行為，入侵檢測系統往往假設攻擊信息是明文傳輸的，因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測，因此字元串匹配的方法對於加密過的數據包就顯得無能為力。

3.網路設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定製，以適應更多的環境的要求。

4.對入侵檢測系統的評價還沒有客觀的標准，標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術，隨著技術的發展和對新攻擊識別的增加，入侵檢測系統需要不斷的升級才能保證網路的安全性。

5.採用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火牆結合在一起工作，當入侵檢測系統發現攻擊行為時，過濾掉所有來自攻擊者的IP數據包，當一個攻擊者假冒大量不同的IP進行模擬攻擊時，入侵檢測系統自動配置防火牆將這些實際上並沒有進行任何攻擊的地址都過濾掉，於是造成新的拒絕服務訪問。

6.對IDS自身的攻擊。與其他系統一樣，IDS本身也存在安全漏洞，若對IDS攻擊成功，則導致報警失靈，入侵者在其後的行為將無法被記錄，因此要求系統應該採取多種安全防護手段。

7.隨著網路的帶寬的不斷增加，如何開發基於高速網路的檢測器（事件分析器）仍然存在很多技術上的困難。

入侵檢測系統作為網路安全關鍵性測防系統，具有很多值得進一步深入研究的方面，有待於我們進一步完善，為今後的網路發展提供有效的安全手段。

『叄』 請問如何跨網段實現網路喚醒

下面的分析可以參考，跨網喚醒需要在路由上進行設置：

遠程喚醒：
1、除了在BIOS中開啟遠程喚醒功能外，有些主板要求開啟以下功能：
AC Back Function（設置掉電重啟後系統的狀態）
主板的來電喚醒功能 比如一插電源線主機就啟動看你想怎麼設置了 使用遠程喚醒將「AC BACK Function」設置為「Full-on」即可 關機，開機，先前的狀態（原來開時後來電就馬上開機，原來關機後來電時還保持關機狀態）

2、另外，有些網卡還要在其屬性中進行另外設置：
系統重新啟動後，單擊[開始]-][控制面板]，然後選擇[系統]。
在「系統屬性」窗口中，選擇[硬體] 標簽，然後單擊[設備管理器]。
在「設備管理器」窗口中，單擊[網路適配器] 旁邊的加號+，然後雙擊[marvell yukon 88e8036/8053 pci-e fast ethernet controller]。
選擇[高級] 標簽，然後選擇[wake from shut down] 屬性。
在「值」列表中選擇[開]，然後單擊[確定] 以關閉對話框。
跨網段遠程喚醒：
由
於跨網段要經過交換機或路由器，而它們是不允許廣播的，所有些網友回答用 ip help address 原理么類似跨網段的DHCP，或者IP
DIRECTED BROADCAST 和 IP FORWARD PROTOCOL 需要ENABLE等。可是使用後發現還是不行，後來見到一文章：
************************************************************
遠程開機，現在有兩種方法，本地同一廣播域內開機，遠程過路由開機。
先談談本地開機。

要打開mac地址是00-0E-7F-7B-BD-32這台主機，發起pc發出一個廣播。通過sniffer的ip包。可以看到目的MAC地址是FF-
FF-FF-FF-FF-FF，這是一個廣播，再看目的ip地址，192.168.200.255，是ip廣播，向下看，數據包是UDP，目的埠是
2304，源埠不必理會。

那麼說，發一個廣播，只要埠是2304就可以開機嗎？顯然不是，開機是有針對性的，不是發一個這樣的廣播，所有的機器都開機。關鍵就在那個數據裡面。
看一下這個126位元組的數據到底有什麼，最初的6個子位元組是全F，7到12位元組就是要開機的MAC地址，然後循環出現，直到填充到126個位元組為止。這才
是確定開那一台機器的關鍵。
總結一下，要開機就必須讓被開的機器，收到埠為2304的udp數據包，包的內容包含了被開機的MAC地址。但是沒有開機的機器沒有辦法設定ip地址，怎麼才能讓其收到，於是廣播就是最好的方式了。
那麼遠程過路由開機怎麼辦，又不能進行廣播。
通過抓包可以發現，目的mac地址變成了網關的，目的ip地址變成了那台機器設定的靜態ip，其它數據沒有變化。那麼這樣可以開機嗎？前面不是說過了，沒有開機的機器是無法設定ip的，它如何才能把這個數據送到該網卡呢。

這里就牽扯到一些路由器，交換機，hub的一些原理。hub是把所有的數據都發送到所有埠（物理），所以效率不高；交換機呢，是根據已經注冊的mac
地址和埠（物理）的對應關系轉發，那麼沒有開機的情況下，當然也沒有注冊mac地址了，但是交換機在對待沒有注冊的mac地址的時候，會把這個數據包發
往所有的埠（物理），這樣也沒問題了。那麼作為遠程的關鍵導入點的路由器，是工作在3層，它要查找ip地址和mac的對應關系，就用arp協議，我們知
道如果這台機器是down狀態下，是不會應答arp廣播的，那麼這樣說來無法開機了？結果卻出人意料，機器卻開機了，為什麼？
分
析一下，進入路由器，察看arp
table，竟然有ip地址和mac的對應，稍作思考就明白，原來這台測試用的電腦剛剛做完開機測試，剛關機，開機的時候，即使我們什麼都不
做，windows機器也會去找微軟的伺服器的，這已經不是秘密，那麼它必然找過網關，所以網關當然就知道了這個ip和mac的對應關系，根本就不用
arp查找，直接就發出數據，機器接收到也就能開機了。為了證實這個想法，把路由器內的對應關系刪除，果然不能開機了。
遠程開機不能只開剛剛關閉的機器吧，症結就在ip和mac的關繫上，那麼綁定對應關系，問題迎刃而解。
************************************************************
於是在交換機中加入IP與MAC地址的綁定命令：arp 192.168.1.2 0011.e4e5.2489 arpa
然後用AMD的開機軟體測試，在IP地址中輸入192.168.1.2，在MAC地址中輸入0011.e4e5.2489 ，OK成功。

『肆』 軟體測試JIRA中這幾個缺陷的解決狀態是什麼意思

fixed : 已修復 （需要你驗證)
Won't fix: 不修復 （項目經理認為本階段或者實際上不用修復)
Duplicate : 重復的BUG （相似BUG你已經在之前提出過了)
Incomplete : 不完整的bug (描敘不清楚，開發人員無法重現或者不懂你的意思)
Can't Reproce : 無法重現的BUG
Invalid: 無效的BUG （意思是這個BUG並不存在或者沒有這個模塊了）
Remind: 提醒（意思是只是一個提醒，要修復，可以暫時不解決，稍後解決）

『伍』 運維工程師需要掌握什麼技能

運維工程師需要掌握的技能：

1、首先是主機、網路及操作系統基本知識。在出現問題時，懂得在各個網路位置抓包，來確認故障設備或線路，會使用Linux的tcpmp抓包或者ethreal、sniffer、Wireshark等抓包軟體，會在網路設備上配置鏡像，將關心的流量抓出來進行分析。

2、懂開發，能實現自動化運維。比如使用Shell、Python、Perl等腳本語言做一些自動化運行腳本、診斷故障的腳本，使用這些腳本可以提升工作效率，將重復性的簡單工作交給腳本程序處理，也可以通過這些腳本判斷故障發生的位置和原因，高效的運維將不再需要人工去逐個字元地去輸入各種命令。

3、未來雲計算與大數據勢必成為整個互聯網行業的支撐。所有雲計算運維工程師以及大數據工程師的作用就越來與明顯，同時雲計算以及大數據相關高端人才的需求量也會越來越大。

『陸』 08S/RF計價器亂碼如何設置

將Python安裝目錄下的C:\Python27\Lib\site-packages\robot\utils\encodingsniffer.py中編碼格式改為cp936



2、將Python安裝目錄下的C:\Python27\Lib\site-packages\robotide\lib\robot\utils\encodingsniffer.py中編碼格式改為cp936



3、將Python安裝目錄下的C:\Python27\Lib\site-packages\robot\utils\unic.py文件

引入json庫：import json

將下面代碼復制到如圖位置，注意對齊方式：

if isinstance(item, (list, dict, tuple)): try: item = json.mps(item,ensure_ascii=False, encoding='cp936') except UnicodeDecodeError: try: item =json.mps(item, ensure_ascii=False, encoding='cp936') except: pass except:pass

『柒』 Python中scapy和socket性能優化的問題

我想不出還有什麼更好解決辦法了。期待高手解答。

『捌』 電腦病毒是什麼東西

瑞星病毒疫情監測網 > 幫助

計算機通用病毒定義及命名規范詳解

病毒名是由以下6欄位組成的：主行為類型.子行為類型.宿主文件類型.主名稱.版本信息.主名稱變種號#附屬名稱.附屬名稱變種號.病毒長度。其中欄位之間使用「.」分隔，#號以後屬於內部信息，為推舉結構。

主行為類型與病毒子行為類型

病毒可能包含多個主行為類型，這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的主行為類型。同樣的，病毒也可能包含多個子行為類型，這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的子行為類型。其中危害級別是指對病毒所在計算機的危害。

病毒主行為類型有是否顯示的屬性，用於生成病毒名時隱藏主行為名稱。它與病毒子行為類型存在對應關系，見下表：

主行為類型 子行為類型
Backdoor
危害級別：1
說明：
中文名稱—「後門」， 是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程式控制制，而且用戶無法通過正常的方法禁止其運行。「後門」其實是木馬的一種特例，它們之間的區別在於「後門」可以對被感染的系統進行遠程式控制制（如：文件管理、進程式控制制等）。

Worm
危害級別：2
說明：
中文名稱—「蠕蟲」，是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟體（如：MSN、OICQ、IRC等）、可移動存儲介質（如：U盤、軟盤），這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用於表示病毒所使用的傳播方式。
Mail
危害級別：1
說明：通過郵件傳播

IM
危害級別：2
說明：通過某個不明確的載體或多個明確的載體傳播自己

MSN
危害級別：3
說明：通過MSN傳播

QQ
危害級別：4
說明：通過OICQ傳播

ICQ
危害級別：5
說明：通過ICQ傳播

P2P
危害級別：6
說明：通過P2P軟體傳播

IRC
危害級別：7
說明：通過IRC傳播

說明：不依賴其他軟體進行傳播的傳播方式，如：利用系統漏洞、共享目錄、可移動存儲介質。

Trojan
危害級別：3
說明：
中文名稱—「木馬」，是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行，而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。
Spy
危害級別：1
說明：竊取用戶信息（如：文件等）

PSW
危害級別：2
說明：具有竊取密碼的行為

DL
危害級別：3
說明：下載病毒並運行
一、判定條款:
沒有可調出的任何界面,邏輯功能為:從某網站上下載文件載入或運行.
二、邏輯條件引發的事件:
事件1、.不能正常下載或下載的文件不能判定為病毒。
操作準則:該文件不能符合正常軟體功能組件標識條款的,確定為:Trojan.DL
事件2.下載的文件是病毒
操作準則: 下載的文件是病毒,確定為: Trojan.DL

IMMSG
危害級別：4
說明：通過某個不明確的載體或多個明確的載體傳播即時消息（這一行為與蠕蟲的傳播行為不同，蠕蟲是傳播病毒自己，木馬僅僅是傳播消息）

MSNMSG
危害級別：5
說明：通過MSN傳播即時消息

QQMSG
危害級別：6
說明：通過OICQ傳播即時消息

ICQMSG
危害級別：7
說明：通過ICQ傳播即時消息

UCMSG
危害級別：8
說明：通過UC傳播即時消息

Proxy
危害級別：9
說明：將被感染的計算機作為代理伺服器

Clicker
危害級別：10
說明：點擊指定的網頁
判定條款:
沒有可調出的任何界面,邏輯功能為:點擊某網頁。
操作準則:
該文件不符合正常軟體功能組件標識條款的,確定為:Trojan.Clicker。
(該文件符合正常軟體功能組件標識條款,就參考流氓軟體判定規則進行流氓軟體判定)

Dialer
危害級別：12
說明：通過撥號來騙取Money的程序

說明：無法描述其利益目的但又符合木馬病毒的基本特徵，則不用具體的子行為進行描述

AOL
按照原來病毒名命名保留。

Notifier
按照原來病毒名命名保留。

Virus
危害級別：4
說明：中文名稱—「感染型病毒」，是指將病毒代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件）中，使病毒代碼在被感染宿主文件運行時取得運行權的病毒。

Harm
危害級別：5
說明：中文名稱—「破壞性程序」，是指那些不會傳播也不感染，運行後直接破壞本地計算機（如：格式化硬碟、大量刪除文件等）導致本地計算機無法正常使用的程序。

Dropper
危害級別：6
說明：中文名稱—「釋放病毒的程序」，是指不屬於正常的安裝或自解壓程序，並且運行後釋放病毒並將它們運行。
一．Dropper判定條款:
沒有可調出的任何界面，邏輯功能為:自釋放文件載入或運行。

二．邏輯條件引發的事件:
事件1：.釋放的文件不是病毒。
操作準則: 釋放的文件和釋放者本身沒邏輯關系並該文件不符合正常軟體功能組件標識條款的,確定為:Droper
事件2：釋放的文件是病毒。
操作準則: 釋放的文件是病毒，確定該文件為:Droper

Hack
危害級別：無
說明：中文名稱—「黑客工具」，是指可以在本地計算機通過網路攻擊其他計算機的工具。
Exploit
說明：漏洞探測攻擊工具

DDoser
說明：拒絕服務攻擊工具

Flooder
說明：洪水攻擊工具

說明：不能明確攻擊方式並與黑客相關的軟體，則不用具體的子行為進行描述

Spam
說明：垃圾郵件。

Nuker

Sniffer

Spoofer

Anti
說明：免殺的黑客工具

Binder
危害級別：無
說明：捆綁病毒的工具

正常軟體功能組件標識條款：被檢查的文件體內有以下信息能標識出該文件是正常軟體的功能組件：文件版本信息,軟體信息（注冊表鍵值、安裝目錄）等。

宿主文件

宿主文件是指病毒所使用的文件類型，有是否顯示的屬性。目前的宿主文件有以下幾種。

JS 說明：JavaScript腳本文件
VBS 說明：VBScript腳本文件
HTML 說明：HTML文件
Java 說明：Java的Class文件
COM 說明：Dos下的Com文件
EXE 說明：Dos下的Exe文件
Boot 說明：硬碟或軟盤引導區
Word 說明：MS公司的Word文件
Excel 說明：MS公司的Excel文件
PE 說明：PE文件
WinREG 說明：注冊表文件
Ruby 說明：一種腳本
Python 說明：一種腳本
BAT 說明：BAT腳本文件
IRC 說明：IRC腳本

主名稱

病毒的主名稱是由分析員根據病毒體的特徵字元串、特定行為或者所使用的編譯平台來定的，如果無法確定則可以用字元串」Agent」來代替主名稱，小於10k大小的文件可以命名為「Small」。

版本信息

版本信息只允許為數字，對於版本信息不明確的不加版本信息。

主名稱變種號

如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位，並且都均為小寫字母a—z，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。

附屬名稱

病毒所使用的有輔助功能的可運行的文件，通常也作為病毒添加到病毒庫中，這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種：

Client 說明：後門程序的控制端
KEY_HOOK 說明：用於掛接鍵盤的模塊
API_HOOK 說明：用於掛接API的模塊
Install 說明：用於安裝病毒的模塊
Dll 說明：文件為動態庫，並且包含多種功能
（空） 說明：沒有附屬名稱，這條記錄是病毒主體記錄

附屬名稱變種號

如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。變種號為小寫字母a—z，如果一位版本號不夠用則最多可以擴展3位，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。

病毒長度

病毒長度欄位只用於主行為類型為感染型（Virus）的病毒，欄位的值為數字。欄位值為0，表示病毒長度可變。

『玖』 python 判斷是否ping通

通過mac查ip
方法一：用ARP -A 查詢
這種方法只能查到與本機通訊過（20分鍾內）的主機MAC地址和IP地址。可在遠程主機所屬網段中的任一台主機上運行此命令，這樣可查出IP欺騙類病毒的主機。
方法二：用專用軟體查，如nbtscan
命令方式是：nbtscan -r 網路號/掩碼位，這種方法可查詢某網段的所有IP與MAC對應關系，但裝有防火牆的主機則禁止查詢。
方法三： 如果所連交換機有網管功能，可用ARP SHOW 命令顯示交換機的arp緩存信息，這種方式基本可查詢所有的IP 與MAC地址，但只有網管才有這個許可權。
方法四：用sniffer類的嗅探軟體抓包分析，packet中一般都含用IP地址與MAC地址。
方法五：用solarwinds類軟體中的MAC ADDRESS DISCOVERY查詢，但這個工具好象不能跨網段查詢。