第一篇:典型病毒分析報告
典型病毒的分析
班級: 姓名: 學號:
一、計算機病毒
1.1、簡介
計算機病毒是一個程序,一段可執行碼。就像生物病毒一樣,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。
除復制能力外,某些計算機病毒還有其他一些共同特性:一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖像上時,它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其他類型的災害。若是病毒并不寄生于一個污染程序,它仍然能通過占據存儲空間給你帶來麻煩,并降低你的計算機的全部性能。
可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網絡等作為媒介傳播擴散,能“傳染”其他程序的程序。另一種是能夠實現自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體(如磁盤、內存)或程序里。當某種條件或時機成熟時,它會自生復制并傳播,使計算機的資源受到不同程序的破壞等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網絡,危害正常工作的“病原體”。它能夠對計算機系統進行各種破壞,同時能夠自我復制,具有傳染性。
所以,計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里,當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。
1.2、計算機病毒的引導過程
一般包括以下三方面。
(1)駐留內存病毒若要發揮其破壞作用,一般要駐留內存。為此就必須開辟所用內存空間或覆蓋系統占用的部分內存空間。有的病毒不駐留內存。
(2)竊取系統控制權在病毒程序駐留內存后,必須使有關部分取代或擴充系統的原有功能,并竊取系統的控制權。此后病毒程序依據其設計思想,隱蔽自己,等待時機,在條件成熟時,再進行傳染和破壞。
(3)恢復系統功能病毒為隱蔽自己,駐留內存后還要恢復系統,使系統不會死機,只有這樣才能等待時機成熟后,進行感染和破壞的目的。
有的病毒在加載之前進行動態反跟蹤和病毒體解密。對于寄生在磁盤引導扇區的病毒來說,病毒引導程序占有了原系統引導程序的位置,并把原系統引導程序搬移到一個特定的地方。這樣系統一啟動,病毒引導模塊就會自動地裝入內存并獲得執行權,然后該引導程序負責將病毒程序的傳染模塊和發作模塊裝入內存的適當位置,并采取常駐內存技術以保證這兩個模塊不會被覆蓋,接著對該兩個模塊設定某種激活方式,使之在適當的時候獲得執行權。處理完這些工作后,病毒引導模塊將系統引導模塊裝入內存,使系統在帶毒狀態下運行。對于寄生在可執行文件中的病毒來說,病毒程序一般通過修改原有可執行文件,使該文件一執行首先轉入病毒程序引導模塊,該引導模塊也完成把病毒程序的其他兩個模塊駐留內存及初始化的工作,然后把執行權交給執行文件,使系統及執行文件在帶毒的狀態下運行。
1.3、常見病毒發作癥狀
(1)屏幕異常滾動,和行同步無關。(2)系統文件長度發生變化。(3)出現異常信息、異常圖形。
(4)運行速度減慢,系統引導、打印速度變慢。(5)存儲容量異常減少。(6)系統不能由硬盤引導。(7)系統出現異常死機。(8)數據丟失。(9)執行異常操作。
(10)綁架安全軟件,殺毒軟件、系統管理工具、反間諜軟件不能正常啟動。
二、典型病毒分析(包括特征、原理及清除辦法)
2.1、特洛伊木馬——NetBus NetBus是一個和著名網絡攻擊程序Back Orifice類似的網絡特洛伊木馬程序。它會在被駐留的系統中開一個“后門”,使所有連接到Internet上的人都能神不知鬼不覺地訪問到被駐留機器,然后控制者可以惡作劇地隨意控制你的鼠標,在你機器上播放聲音文件,或者打開你的光驅等,更危險的當然是刪除你的文件,讓你的機器徹底崩潰。
NetBus由兩部分組成:客戶端程序(netbus.exe)和服務器端程序(通常文件名為:patch.exe)。要想“控制”遠程機器,必須先將服務器端程序安裝到遠程機器上(如:通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序)。
特別是NetBus 1.70,它在以前的版本上增加了許多“新功能”,從而使它更具危險性,如NetBus 1.60只能使用固定的服務器端TCP/UDP端口:12345,而在1.70版本中則允許任意改變端口號,從而減少了被發現的可能性;重定向功能(Redirection)更使攻擊者可以通過被控制機控制其網絡中的第三臺機器,從而偽裝成內部客戶機。這樣,即使路由器拒絕外部地址,只允許內部地址相互通信,攻擊者也依然可以占領其中一臺客戶機并對網中其他機器進行控制。
通常,NetBus服務器端程序是放在Windows的系統目錄中,它會在Windows啟動時自動啟動。該程序的文件名是patch.exe,如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話,文件名應為explore.exe或game.exe。可以檢查Windows系統注冊表,NetBus會在下面的路徑中加入自身啟動項項: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun” NetBus通過該注冊項實現Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del組合鍵,在任務列表中是看不到它的存在的。
有些木馬程序在種木馬的同時,感染系統文件,所以即使用以上方法去除了木馬,系統文件被運行后,會重新種植木馬。即使是防病毒軟件,也不一定能徹底清除。
上述木馬病毒正確的去除方法見下圖:
2.2、震蕩波病毒(1)病毒描述
Sasser病毒,中文名為“震蕩波”病毒,也有人稱之為“殺手”病毒,這是一種蠕蟲病毒。它利用微軟WindowsNT內核平臺上的LSASS漏洞,隨機的掃描其他網絡中計算機的IP端口,然后進行傳播。
中毒電腦出現機器CPU資源被消耗殆盡、系統反復重啟等癥狀。震蕩波病毒的具體破壞方式是:在本地開辟后門,監聽TCP 5554端口,作為FTP服務器等待遠程控制命令。病毒以FTP的形式提供文件傳送,黑客可以通過這個端口偷竊用戶機器的文件和其他信息。病毒開辟128個掃描線程,以本地IP地址為基礎,取隨機IP地址,瘋狂的試探連接445端口,試圖利用windows的LSASS中存在一個緩沖區溢出漏洞進行攻擊。一旦攻擊成功會導致對方機器感染此病毒并進行下一輪的傳播,攻擊失敗也會造成對方機器的緩沖區溢出,導致對方機器程序非法操作以及系統異常等。
(2)病毒清除
第一步:http://www.tmdps.cn/china/technet/security/bulletin/ms04-011.mspx下載相應的漏洞補丁程序,斷網安裝。第二步:清除內存中“avserve.exe”的進程。
第三步:清除在系統安裝目錄(默認為C:WINNT)下avserve.exe的病毒文件和系統目錄下(默認為C:WINNTSystem32)_UP.exe的病毒文件。
第四步:刪除注冊表:HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentversionRun項中名為“avserve.exe”的病毒鍵值。第五步:重新啟動計算機。
2.3、求職信病毒
(1)特征及原理:Worm.Klez.L是一種蠕蟲病毒,病毒體內包含大量加密字符串。由于此病毒能提升自身的運行級別,使得一般程序無法結束或訪問它的進程,包括Windows自帶的任務管理器。因此無法手工清除此病毒。
病毒在得到運行后,首先提升自身的運行級別,然后將自己復制到Windows系統目錄下,文件名總以Wink開頭,同時還會放出一個小病毒體(Win32.Foroux.exe),最后分別運行它們并退出。當病毒被自己再次運行時,它會發現自身已處于系統目錄下,此時病毒運行線路發生改變,它不再復制自身,而是創建7個病毒線程,并以系統服務的形式駐留內存。
Worm.Klez.L的最大特點在于其抑制殺毒軟件的能力大為提高,甚至包括一些著名病毒(它的早期版本),只要是阻礙Worm.Klez.L傳播的軟件它都不放過。它通過注冊表和內存兩方面破壞這些軟件。
而Worm.Klez.L還把此進程所對應的程序文件也給刪除了。由于殺毒軟件和某些工具的代碼塊或數據塊中常包含此類字符串。并且病毒每次輪詢的間隔只有64毫秒(加上搜索的時間也不過幾秒)。在它之后啟動的殺毒軟件在單擊殺毒按鈕前就已被干掉,以至于無法帶毒殺毒。
(2)清除辦法:
在WINDOWS 95/98/ME系統下的清除:先運行在WINDOWS 95/98/ME系統下的安全模式
下,使用注冊表編輯工具regedit將網絡蠕蟲增加的鍵值刪除:HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrent VersionRun 和HKEY_LOCAL_MACHINESystemCurrentControlSetServices 要刪除的注冊表項目是wink——?.exe的鍵值。
同時還必須相應的將WINDOWS的SYSTEM目錄下的該隨機文件Wink——?.exe刪除,注意 還必須將回收站清空。刪除了相應的病毒文件后,可以重新啟動計算機,然后,在KVW3 000的安裝目錄下執行KVD3000.EXE來清除該病毒。注意一些全部是網絡蠕蟲的程序或者
文件是需要按照提示完全刪除的。在Windows 2000/XP系統下的清除: 清除方法基本和Windows 95/98/ME系統下的清除方法相同:先以安全模式啟動計算 機,運行注冊表編輯工具,同樣刪除該網絡蠕蟲增加的鍵值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要刪除病毒增加的表項是: wink開頭的隨機的表項。當然你必須記住該項目的具體名稱(雖然是隨機的),然后在 系統目錄下將該文件刪除。注意該文件是隱含的,必須打開顯示所有文件的選擇項目 才能查看該病毒文件。同樣的注冊表項還有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 2.4、灰鴿子木馬病毒
(1)病毒簡介、特征及原理
灰鴿子是國內一款著名后門,其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。“灰鴿子”自2001年誕生之后,2004年、2005年、2006年連續三年被國內殺毒軟件廠商列入10大病毒,甚至有些年度位居“毒王”。它的真正可怕之處是擁有“合法”的外衣,可以在網絡上買到,客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。
黑客可以通過此后門遠程控制被感染的電腦,在用戶毫無察覺的情況下,任意操控用戶的電腦,盜取網絡游戲密碼、銀行賬號、個人隱私郵件、甚至機密文件等。入侵者在滿足自身目的之后,可自行刪除灰鴿子文件,受害者根本無法察覺。
灰鴿子遠程監控軟件分兩部分:客戶端和服務端。黑客操縱著客戶端,利用客戶端配置生成出一個服務端程序,名字默認為G_Server.exe。G_Server.exe運行后將自己拷貝到Windows目錄下(系統盤的windows目錄),然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。(G_Server.exe這個名稱并不固定,它是可以定制的。)
Windows目錄下的G_Server.exe文件將自己注冊成服務,每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒,因此中毒后查看不到病毒文件及病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
(2)病毒的清除
清除灰鴿子的服務。
打開 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注冊表項,查找“game.exe”,可以找到灰鴿子的服務項如Game_Server,刪除整個Game_Server項。
刪除灰鴿子程序文件。
在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動計算機。
2.5宏病毒(1)特征及原理:
Word宏病毒是一些制作病毒的專業人員利用MicrosoftWord的開放性即Word中提供的WordBASIC編程接口,專門制作的一個或多個具有病毒特點的宏的集合,這種病毒宏的集合影響到計算機使用,并能通過.DOC文檔及.DOT模板進行自我復制及傳播。宏病毒與以往的計算機病毒不同,它是感染微軟Word文檔文件.DOC和模板文件.DOT等的一種專向病毒。宏病毒與以往攻擊DOS和Windows文件的病毒機理完全不一樣,它以VB(WORDBASIC)高級語言的方式直接混雜在文件中,并加以傳播,不感染程序文件,只感染文檔文件。也許有人會問:MicrosoftWordforWindows所生成的.DOC文件難道不是數據文件嗎?回答既是肯定的又是否定的。.DOC文件是一個代碼和數據的綜合體。雖然這些代碼不能直接運行在x86的CPU上,但是可以由Word解釋執行操作,因此他們的結果是一樣的。宏病毒是針對微軟公司的字處理軟件Word編寫的一種病毒。微軟公司的字處理軟件是最為流行的編輯軟件,并且跨越了多種系統平臺,宏病毒充分利用了這一點得到恣意傳播。Word的文件建立是通過模板來創建的,模板是為了形成最終文檔而提供的特殊文檔,模板可以包括以下幾個元素:菜單、宏、格式(如備忘錄等)。模板是文本、圖形和格式編排的藍圖,對于某一類型的所有文檔來說,文本、圖像和格式編排都是類似的。
Word提供了幾種常見文檔類型的模板,如備忘錄、報告和商務信件。您可以直接使用模板來創建新文檔,或者加
以修改,也可以創建自己的模板。一般情況下,Word自動將新文檔基于缺省的公用模板(Normal.dot)。可以看出,模板在建立整個文檔中所起的作用,作為基類,文檔繼承模板的屬性,包括宏、菜單、格式等。WORD處理文檔需要同時進行各種不同的動作,如打開文件、關閉文件、讀取數據資料以及儲存和打印等等。每一種動作其實都對應著特定的宏命令,如存文件與FileSave相對應、改名存文件對應著FileSaveAS、打印則對應著Fil_ePrint等。WORD打開文件時,它首先要檢查是否有AutoOpen宏存在,假如有這樣的宏,WORD就啟動它,除非在此之前系統已經被“取消宏(DisableAutoMacros)”命令設置成宏無效。當然,如果Auto Close宏存在,則系統在關閉一個文件時,會自動執行它。
(2)清除方法:
①手工:以Word為例,選取“工具”菜單中“宏”一項,進入“管理器”,選取標題為“宏”的一頁,在“宏 有效范圍”下拉列表框中打開要檢查的文檔。這時在上面的列表框中就會出現該文檔模板中所含的宏,將不明來源的自動執行宏刪除即可。
②使用專業殺毒軟件:目前殺毒軟件公司都具備清除宏病毒的能力,當然也只能對已知的宏病毒進行檢查和清除, 對于新出現的病毒或病毒的變種則可能不能正常地清除,或者將會破壞文件的完整性,此時還是手工清理為妙。
2.6蠕蟲病毒(1)特征及原理:
蠕蟲病毒不需要將其自身附著到宿主程序,它是一種獨立智能程序。有兩種類型的蠕蟲:主機蠕蟲與網絡蠕蟲。主計算機蠕蟲完全包含(侵占)在它們運行的計算機中,并且使用網絡的連接僅將自身拷貝到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機后,就會終止它自身(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行),這種蠕蟲有時也叫“野兔”,蠕蟲病毒一般是通過1434端口漏洞傳播。蠕蟲利用的端口是UDP/1434,該端口是SQL Server Resolution服務。Microsoft SQL Server 2000支持在單個物理主機上伺服多個SQL服務器的實例,每個實例操作需要通過單獨的服務,不過多個實例不能全部使用標準SQL服務會話會話端口(TCP 1433),所以SQL Server Resolution服務操作監聽在UDP 1434端口,提供一種使客戶端查詢適當的網絡末端用于特殊的SQL服務實例的途徑。
當SQL Server Resolution服務在UDP 1434端口接收到第一個字節設置為0x04的UDP包時,SQL監視線程會獲取UDP包中的數據并使用此用戶提供的信息來嘗試打開注冊表中的某一鍵值,如發送x04x41x41x41x41類似的UDP包,SQL服務程序就會打開如下注冊表鍵:HKLMSoftwareMicrosoftMicrosoft SQL ServerAAAAMSSQLServerCurrentVersion攻擊者可以通過在這個UDP包后追加大量字符串數據,當嘗試打開這個字符串相對應的鍵值時,會發生基于棧的緩沖區溢出,通過包含“jmp esp”或者“call esp”指令的地址覆蓋棧中保存的返回地址,可導致以SQL Server進程的權限在系統中執行任意指令。
蠕蟲溢出成功取得系統控制權后,就開始向隨機IP地址發送自身,由于這是一個死循環的過程,發包密度僅和機器性能和網絡帶寬有關,所以發送的數據量非常大。在綠盟科技安全小組的測試中,和被感染機器在同一網段的每一臺分析機每秒鐘都收到了近千個數據包。
該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件。對于感染的系統,重新啟動后就可以清除蠕蟲,但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬,形成Udp Flood,感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。
(2)清除方法
修補漏洞,安裝最新補丁。(請務必安裝補丁,避免二次中毒)手動清除方法:
第一步,用任務管理器結束avserve進程
第二步,刪除windows目錄(WINNT、WINDOWS等)下的avserve.exe;查找是否在系統目錄(SYSTEM32、SYSTEM)下存在<隨機字符>_UP.EXE的文件,如果有則刪除
第三步,刪除注冊表中的鍵值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“avserve.exe ”=“%WINDOWS%avserve.exe ”
三、結束語
目前計算機病毒種類繁多,而且新的病毒不斷出現,本文僅介紹幾種常見典型病毒的特征、原理及其清除方法,對于絕大多數病毒我們應嚴加警惕,實時更新自己的殺毒軟件和防病毒工具,只有做到時時預防,時時警惕,才能保證我們的電腦不被攻擊。
第二篇:病毒查殺分析報告
東營市醫藥公司和扣分公司
病毒查殺分析報告
2013本企業計算機網絡系統未發生重大病毒感染情況,計算機系統運行正常。
信息科
2014年1月6日
第三篇:MS08-067病毒分析
MS08-067病毒剖析
【染毒現象】
感染上Worm.Win32.MS08-067.c病毒的機器,其典型的染毒特征是:
1.不斷的向外發送垃圾數據包,并以此手段對全網進行傳播。
2.在本機的“任務計劃”中添加大量以“AT”開頭的任務計劃,并且啟動的時候大都是整
點,如11:00、13:00等。
3.如是域環境,并且設置了域賬戶登錄策略(登錄密碼輸入錯誤幾次之后鎖定賬戶),會
造成域賬戶經常被鎖,因為該病毒會不斷的猜測域賬戶密碼。
4.造成無法正常訪問瑞星官網和微軟官方網站,以及其它部分安全網站。停止或是重啟
“DNS Client”服務之后,可以打開上述網站,但重啟電腦后又無法打開。
【傳播方式】
Worm.Win32.MS08-067.c是一個利用微軟系統MS08-067漏洞為主要傳播手段的的蠕蟲病毒。
另外該病毒亦可通過U盤以自動加載運行的方式進行傳播、并且由于病毒自身帶一個弱密碼表,會猜解網絡中計算機的登錄密碼,如局域網中存在可讀寫的共享,也會造成該病毒通過局域網共享進行傳播。
【病毒分析】
首先病毒會判斷系統版本是否是 Win2000或WinXP 以上系統,如果是病毒才繼續執行,并且為病毒進程添加 SeDebugPrivilege 權限,對本機計算機名稱進行 CRC32 計算,通過得到的 CRC32 值創建病毒互斥量,判斷自己是否是 rundll32.exe 程序啟動的。如果不是就判斷是否能找到“svchost.exe-k netsvcs” 或者explorer.exe 進程,然后將自己的代碼加載到這兩個進程中的其中一個進程上,最后修改注冊表,讓系統不顯示隱藏文件,從而使病毒可以被系統加載。
該病毒會在%windir%system32目錄下釋放一個動態庫文件,名字隨機生成,如XXXXXXX.DLL ;并且會以獨占內存的方式存在,需要多次重啟才能刪除。
針對services.exe、“svchost.exe-k netsvcs”、“svchost.exe-k NetworkService”、進程進行DNS查詢以及TCP傳輸過程攔截,針對殺毒軟件關鍵字進行過濾,其中包含 rising、avast、nod32、mcafee 等等。使當前中毒計算機無法訪問安全廠商的網站。
停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服務,并且改為手動,避免系統更新以及系統安全檢查程序。
枚舉網絡計算機的用戶名和自帶的密碼表,利用 IPC$ ADMIN$ 共享復制病毒到遠程計算機然后通過Rundll32遠程啟動,枚舉驅動器 創建自身到 RECYCLER、System32文件夾下面,嘗試訪問 http://、http://等等網站得到當前月數。再通過時間經過內置算法計算病毒的升級鏈接,方便病毒作者更新。
【處理辦法】
一、使用專殺處理方式:(推薦)
①首先將瑞星軟件升級到最新版本并使用抓包工具確定病毒發包源,染毒機器一般都會通過139、445端口發送大量數據包,特別是在整點時段。
② 確定發包源后,將發包機器斷網,進入安全模式之后清空多余的“任務計劃”并使用專殺工具查殺,無論是否查出病毒都需重啟,進入正常模式后將系統補丁全部打上,尤其是MS08-067補丁,該漏洞在微軟上的補丁名稱為:KB958644。
③ 確認MS08-067補丁正確打上:打上該補丁之后,在%windir%system32目錄下會有一個netapi32.dll文件,并且需要確定該文件的版本是否正確,版本正確才證明正確打上該補丁了,否則需要通過控制面板卸載重裝:
? windows2000 sp4系統下,此文件的版本應該為:5.0.2195.7203
? windows xp sp2/sp3系統下,此文件的版本為:5.1.2600.3462/5694
? windows 2003 SP1/SP2系統下,此文件版本為:5.2.3790.3229/4392
? windows 2008 vista系統下,此文件版本為:6.0.6000.16764;
6.0.6000.20937;6.0.6001.18157;6.0.6001.22288
④ 使用cmd命令進入命令行模式,使用“net share”命令查看本機共享,至少需要關閉所有讀寫共享,只讀共享可以保留。
⑤ 定期修改系統密碼,并需要設置十位以上強密碼。盡量不使用域管理員賬號在其它非域控機器上登錄。
⑥ 最后使用已經升級到最新版的瑞星殺毒軟件全盤殺毒,確定本機無病毒之后,再接入網內。
⑦ 所有發包源機器都處理完成之后,再執行全網同時殺毒,確保讓病毒無處隱藏。如果有條件的,可以通過防火墻或交換機將135、139和445這三個常見的病毒利用端口屏蔽。
二、手動處理方式:
① 首先通過“文件夾選項”顯示出所有隱藏文件,包括受保護的操作系統文件。② 打開%windir%system32目錄,將文件按詳細信息排列,顯示文件屬性和創建日期。讓文件按照屬性排列,查看是否有可疑的DLL文件,并且為隱藏屬性,注意創建的時間是否是染毒時間,確認之后在刪除的時候提示無法刪除。
③ 打開注冊表編輯器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost,雙擊右側的netsvcs,查看neisvcs的數值數據,查找其中的可疑項(此操作需要對net svcs的服務熟悉才行,一般可疑項會在wmdmpmsp之后)。
④ 記下此服務名,定位到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscServer,嘗試刪除此項,提示無法刪除,查看此項權限,僅有system,且沒有讀取權限,可以增加權限,點擊“高級”,勾選從父項繼承和替換到子對象兩個勾,提示都點擊是和確定即可。操作后,即可刪除wscserver項鍵值;
⑤ 重啟計算機,刪除一開始在%windir%system32目錄下發現的可疑文件,刪除HKEY_LOCAL_MACHINESYSTEMControlSet001和
HKEY_LOCAL_MACHINESYSTEMControlSet002下的wscServer鍵值(避免恢復到上一次正確的配置后再次恢復此鍵值)即可。
第四篇:典型相關分析
典型相關分析
在SPSS中可以有兩種方法來擬合典型相關分析,第一種是采用Manova過程來擬合,第二種是采用專門提供的宏程序來擬合,第二種方法在使用上非常簡單,而輸出的結果又非常詳細,因此這里只對他進行介紹。該程序名為Canonical correlation.sps,就放在SPSS的安裝路徑之中,調用方式如下: 文件——新建——語法
INCLUDE ' C:Program FilesSPSSIncPASWStatistics18SamplesEnglishCanonical correlation.sps'.CANCORR SET1=體重 腰圍 脈搏 /SET2=單杠 仰臥起坐 跳高.1.Correlations for Set-1 Correlations for Set-2 首先給出的是兩組變量內部各自的相關矩陣,可見生理指標之間具有相關性、訓練指標之間也有相關性。
2.Correlations Between Set-1 and Set-2 接著給出的是兩組變量間各變量的兩兩相關矩陣,可見生理指標與訓練指標之間確實存在相關性。
3.Canonical Correlations 提取典型相關系數的大小,可見第一典型相關系數為0.796
4.Test that remaining correlations are zero 檢驗各典型相關系數有無統計學意義,可見第一典型相關系數有統計學意義,第二第三典型相關系數沒有統計學意義。
5.Standardized Canonical Coefficients for Set-1 Raw Canonical Coefficients for Set-1 各典型變量與變量組1中各變量間標化與未標化的系數列表,由此我們可以寫出典型變量的轉換公式(標化的):U1=0.775x1-1.579x2+0.059x3
6.各典型變量與變量組2中各變量間標化與未標化的系數列表,同理可以寫出典型變量的轉換公式:V1=0.349y1+1.054y2-0.716y3
7.各典型變量與原變量之間相關系數。
U與x之間相關系數
V與x之間相關系數
V與y之間相關系數
U與y之間相關系數
第五篇:電子商務典型案例分析報告
電子商務典型案例分析報告
一、JAMY 基本情況:
韓國互聯網服裝企業前三強的JAMY建立于2007年7月7日,從2008年11月21日開始,該企業把網站給BIMC品牌整合營銷公司(以下簡稱BIMC)做電子商務托管,托管給BIMC之后,效果非常明顯。銷售額上升1000%以上,網站用戶體驗、網站價值、網站訪問量、粘度、網站發展都是直線上升,2008年12月內訂單次數連續突破三次大關,而2009年一月初業績更是讓人驚訝,突破了900個大關,差點突破了1000個大關,目前JAMY已成為了進入中國市場中最出色的韓國企業之一。
分析:
從JAMY的電子商務案例可以看出,電子商務根本不是建好一個功能強大的網站,而是如何將你的產品推銷給人們,JAMY就是通過把網站交給BIMC做電子商務推廣才能有今天這樣的成績,因為BIMC根據JAMY策劃了合適的電子商務方案,在電子商務推廣執行中讓JAMY的潛在顧客知道了他們的存在,哪怕是網友暫時不愿意購買,但是知道有個地方可以買到,這就是電子商務推廣好處。可能有企業想過做自己公司組建團隊做電子商務推廣,但不知道有沒有算過一筆賬,企業IT技術人員月平均成本是5000元,每年是6萬,請3個人就是18萬,成本太高,這還不算一臺就幾萬塊的服務器,還有電腦,還有諸如四險一金等的其他管理成本,就算不惜高成本組建起自己的推廣團隊,這些團隊也要花很長的時間去摸索推廣的方法,收益卻僅僅“一般”??
二、海爾
基本情況:
創立于1484年崛起于改革大潮之中的海爾集團,是在引進德國利勃海爾電冰箱生產技術成立的青島電冰箱總廠基礎上發展起來的。在海爾集團首席執行官張瑞敏“名牌戰略”思想的引領下,海爾經過十八年的艱苦奮斗和卓越創新,從一個瀕臨倒閉的集體小廠發展壯大成為在國內外享有較高聲譽的跨國企業。網絡經濟時代的到來,企業如何發展,是一個嶄新而迫切的的問題。分析:
海爾電子商務的經營模式
(1)商品的采購方式
(2)商品的儲存方式
(3)商品的運輸方式
(4)商品的配送方式
(5)商品的結算方式
海爾電子商務的管理模式
(1)海爾的斜坡球體論(2)OEC管理法(3)市場鏈
海爾電子商務的資本模式
海爾電子商務的資本模式主要采用傳統投資型的資本模式,其電子商務網站主要采取自建方式。尤其是投資較大的在線采購招標,沒有像許多企業一樣利用公共的交易平臺,而是自建采購平臺,要求所有希望為其供貨的供應商都在網上注冊,有效地保證了海爾全球供應鏈戰略的實施。
三、IBM公司
基本情況:
IBM(國際商業機器公司)公司是1414年成立于美國的世界上最大的信息工業跨國公司,其業務包括計算機硬件設施、軟件、網絡系統、存儲設備及微電子產品。
IBM是最早運用Internet的公司之一,它不僅能夠在企業電子商務應用的各個階段提供全方位的技術支持,是優秀的電子商務服務提供商。
分析:
IBM公司電子商務的商業模式
(1)戰略目標
(2)目標客戶群
(3)產品以及收入來源 1)IBM的電子商務產品 2)IBM的電子商務解決方案
(4)關鍵活動
IBM公司電子商務的經營管理模式
IBM公司經營管理的最大特點是為客戶提供滿意的服務。IBM鼓勵在公司能力所及的情形下,員工竭盡所能提供給顧客最佳最完整的服務,IBM深知顧客才是IBM的衣食父母,只有顧客持續滿意于IBM的產品與服務才會忠誠。
IBM電子商務就是通過在線銷售自己的產品、電子商務解決方案和全球服務,獲得了明顯的競爭優勢,保持了電子商務的商業利益。
四、buildbook建筑書店
基本情況:
總部設在廣東省汕頭市的buildbook建筑書店網站(www.tmdps.cn如圖4.10所示),是一家完全的B2C電子商務網站。buildbook建筑書店包括一個地面的實體書店和網上的虛擬書店——buildbook網站。
分析:
buildbook建筑書店的商業模式
(1)目標定位
汕頭建筑書店在實體發展的基礎上,通過對虛擬網站的構建和運行,實現低成本、高效率地擴展自己的業務范圍、擴大整體知名度、完成快速發展。
(2)收入和利潤來源
1)銷售收入
2)增值業務收入
①建筑專業書報雜志等信息發布 ②廣告投放 ③優惠促銷活動 ④網上交流 ⑤銷售數據分析 ⑥網上調查 ⑦與個人合作
buildbook建筑書店的經營模式
(1)實現進銷存業務和財務一體化的管理(2)完善供應鏈管理(3)強大的分析決策(4)高效的客戶服務管理
buildbook建筑書店的管理模式
(1)優秀的管理團隊(2)先進的管理系統(3)星級會員制 buildbook建筑書店的資本模式
buildbook建筑書店網站的資本模式屬于傳統企業直接投資電子商務,網站的創建者原是建設工程行業的資深工作者,在工作中深切體會到專業書籍對建設行業的重要性,于是投資創辦了buildbook建筑書店,在地面的實體書店經營穩定的基礎上,建立了buildbook網站,拓展了廣闊的市場發展空間。
五、湖北移動商城--e動商網(e159.com)
基本情況:
湖北移動于2006年建設了e動商網,以期通過引導用戶網上電子商務消費體驗,開辟新的增值服務市場,拉近湖北移動用戶與網上電子商務時尚生活的距離,增強用戶粘性。
分析:
e動商網(www.tmdps.cn)以互聯網網站為依托,成功地將移動技術和互聯網以及電子商務相結合,將短信、彩信、WAP等移動技術融入平臺及應用中,同時將電子商務與移動終端進行了有效對接,E動商網用戶不僅可以通過互聯網購物,還可使用手機短信、WAP方式在商家現場進行移動支付,通過該平臺,用戶可以使用話費消費積分兌換網上商品和業務,可以在線使用移動積分、小額支付、手機錢包、網上銀行等多種支付方式網上購物、訂購移動數據業務,并支持多種支付方式混合使用。媒介評論說,e動商網建立了全國第一家具有實用意義的移動電子商務應用平臺,打開了移動支付與傳統電子商務之間的實際應用瓶頸,開創了電子商務發展與應用的新模式。
e動商網自2006年5月正式上線運營以來,有兩大效應最為明顯。首先,e動商網豐富了手機錢包和小額支付的線下業務,實質推動了移動支付的應用。湖北移動從2005年即開通了手機錢包和小額支付業務,但因缺乏線下應用和體驗環境,用戶使用甚少,e動商網的推廣大幅度帶動了這個應用,提升了移動支付品牌知名度。同時依托e動商網平臺,為全省用戶提供了24小時跨區域的全球通用戶積分和動感地帶M值兌換服務,滿足了用戶不斷增長的積分(M值)兌換個性化需求,提高了用戶對移動客戶積分的感知度。
目前,e動商網可以提供的商品條目涵蓋了虛擬商品、實物商品、電子消費券、電子折扣券、報刊訂閱、保險、電子票務、移動增值服務產品如彩信、彩鈴等。e動商網的所有商家均采用協議簽訂、信用擔保方式入場,確保所有商品質量合格、內容合法,首推用戶手機號注冊,以短信驗證碼確認本人持有,保證了交易雙方誠信,符合目前國家發展互聯網實名制的要求。
3G以至4G時代,將會是移動終端與互聯網無縫結合的時代,手機可自由實現網頁瀏覽乃至網上購物,e動商網從建立之初就以移動特色為概念,在應用的多個流程中將手機終端作為一個重要角色,密碼手機驗證、訂單手機通知、短信與彩信訂單接收、電子券手機接收,并提供手機WAP在線瀏覽、在線支付和購買商品。這種將手機終端引入的模式,將為下一步發展3G電子商務應用打下了基礎。
2007年,湖北移動又嘗試將部分自有數據業務如手機地圖等在e動商網銷售,取得了較好的效果,為下一步將動商網打造為商務應用類新業務推廣和使用平臺積累了一定經驗,湖北移動將在繼續拓展e動商網的移動電子商務模式的基礎上,進一步探索將優質夢網類業務移植到e動商網,依托e動商網暢通的支付通道和高漲的人氣,讓用戶自由選擇感興趣的業務,通過積分、話費、或直接使用手機錢包和銀行卡在線訂購,開辟移動數據業務銷售新渠道。
6688公司全面外包該平臺的建設、維護、運營和日常管理。e動商網在2006年5月17日正式上線試運營后,已聚集了數千商戶的10余萬商品與服務,有近千萬移動用戶通過手機積分、話費小額支付、手機錢包、銀行在線支付等多種交易模式在線訂購商品,享受服務。
該平臺之所以取得如此大的成功,源于在移動商務的發展模式上進行了三項突出的創新應用。
一是采用外包的建設與運營模式。6688參與e動商網的需求分析和規劃,承擔系統集成和應用系統開發、維護工作,并受托負責電子商務平臺的日常運營工作;6688公司派駐專業的運營團隊到委托方現場,并設立專門的招商部門、商業合作部門、客戶服務部門、技術支持部門,分別負責相關工作。這種模式最大限度地發揮了運營商和電子商務專業服務商各自的優勢,加快了應用的推廣,保證了系統的不斷自我完善。
二是向企業開放。數千企業借助平臺提供的“電子商務E點通”工具加盟,自主維護、管理商品與服務,集團采購與龐大的企業群互補,形成“想要你就有”的完整供應鏈,滿足高中低各層次用戶的需要,有效地黏合了中小企業。
三是進行本地化、多樣化服務,黏合了大量消費者。e動商網合作商戶遍及每一個地、市、縣,包括零售、餐飲、娛樂、教育、健康、生活服務等各個行業。
六、HomeVV 基本情況:
HomeVV是大型建材商場建配龍旗下的一家電子商務公司,提供一站式生活用品的網上購物平臺。“為為網商城”于2010年初上線,在不到半年的時間里,交易金額、流量和交易量三項記錄不斷刷新,引起業內人士關注。
分析:
訂單量的飛速增長給HomeVV的物流配送能力帶來了巨大的挑戰和壓力,管理層決定引進電子商務行業內有著大量成功實施經驗的FLUX.WMS產品,結合FLUX咨詢顧問豐富的流程規劃經驗,以最短的時間將HomeVV的物流配送能力提升一個臺階,滿足企業快速擴張的需要。
在HomeVV項目中,富勒FLUX為其部署FLUX.WMS,與HomeVV訂單系統進行集成。除了在各物流環節大量使用RF,還將在揀貨環節采用電子標簽播種和揀選小車揀選相結合的方式。借助FLUX.WMS在電子商務領域豐富的經驗HomeVV將優化其揀選配送流程,提升配送能力,實現企業的加速起飛。
七、dell皇冠上的珠寶――網上商店
基本情況:
dell皇冠上的珠寶――網上商店
分析:
戴爾公司的網絡業務小組的一個主要設計目標就是,創建一個在訪問量增加時可以很容易伸縮容量的站點。戴爾公司采用了分布式方案,將流入的訪問需求分別由許多前端的poweredge服務器中的一臺來處理,由此在網站上平衡負載。同時保證客戶以最少的等候時間盡快得到他們正在查找的數據,例如價格和樣品。
硬件上,戴爾公司前端使用它自己的基于intel pentium pro處理器的 poweredge 4100服務器,負責管理整個網站。大部分的前端服務器存放的是html格式的靜態頁面。前端服務器將顧客的需求流入不同的應用服務器以處理不同的任務。這其中包括戴爾的premier頁面(sm)服務。premier頁面是為公司客戶設計的專用extranet頁面,上面包括訂購信息、訂購歷史、已經被公司客戶認可的系統配置,甚至賬戶信息。
premier頁面幫助戴爾公司為公司客戶提供更好的服務,這減少了公司電話中心的負擔,并幫助公司將它的市場擴展到全世界。戴爾公司使用 cisco的分布式控制器來在各個服務器之間平衡負載。這些服務器的內容彼此鏡像。在網站訪問量急劇上升時,戴爾公司可以在一個小時內增加需要的硬件容量。
處理商業事務和包含站點內容信息的sqlserver數據庫服務器,都布置在 防火墻的后面,以保證安全性和防止可能帶來損害甚至迫使站點關閉的外來干擾。
戴爾公司選用microsoft site server, commerce edition為網站的商業引擎,它是網站的核心。為了處理數據庫管理業務,戴爾公司采用microsoft sql server 6.5作為數據庫引擎。
internet為戴爾公司的直銷方法提供了重大的機會。戴爾公司的網址每周被顧客訪問的次數超過80萬次,戴爾公司因此而每天獲得平均超過四百萬美元的收入。戴爾公司的管理者發現,在訪問了dell.com后,超過40%的顧客會通過打電話購買他們需要的計算機產品。戴爾公司利用該系統降低了成本,改善了客戶服務。
八、sainsbury 基本情況:
sainsbury’s supermarkets是英國第二大零售商。sainsbury每時每刻都進行著各種促銷活動,其中涉及億萬英鎊的產品和大量的后勤工作。對于“買一送一”的促銷活動,如果促銷成功,促銷商品的儲備過少,供不應求,那么消費者就會不滿;如果促銷商品訂購太多,而促銷活動失敗,那么sainsbury各個連鎖店將會產生商品積壓,從而造成經濟損失。sainsbury是如何計算需要多少額外的促銷商品呢? 分析:
sainsbury建造了一個基于web的供應鏈計劃和協作系統。這個系統在
microsoft windows nt server平臺上建造,其宿主應用程序是microsoft sql server的internet information server。信息存儲在一個microsoft sql server數據庫內。系統的電子數據功能和搜集動態數據的功能由microsoft site server 3.0 commerce edition提供。
該系統可以允許sainsbury的4000家供應商與買主在計劃、執行和管理成功的產品促銷活動方面一同工作,使供應商和購買者事先獲知一個產品促銷活動的詳細信息,并及時地跟蹤促銷活動的成功性。這個解決方案還具有管理和跟蹤新產品介紹、產品收益和產品生命周期的潛力。
九、洛杉磯市政府
基本情況:
洛杉磯市(los angeles county)是美國最大的地方政府,每年要從25000家投標者中購買價值6500萬美元的貨物。原來,所有這些采購都是使用紙張表格完成的。大量文書工作總是造成混亂、低效益和巨額的倉儲費用。每一項采購任務,都會包括令人頭疼的大量項目和供應商。如果一件貨物存放在倉庫中,想要比較它的價格并作出合理的決定,是根本不可能的。在這種情況下,洛杉磯市決定利用internet來解決這些問題。
分析:
在解決方案供應商commerce one 的幫助下,洛杉磯市采用microsoft site server 3.0 commerce edition創建了基于web的采購系統。現在洛杉磯市政府可以通過internet查詢供應商的產品目錄,比較價格,檢查可靠性,發送訂單,最后支付貨款。洛杉磯市政府的采購系統已成為美國國家erp的一部分。
該系統使洛杉磯市政府定購周期縮短快,文書工作減少,中小企業的機會更多,且降低了存貨成本。洛杉磯市已關閉了中央倉庫,為其在今后5年內節約大約2900萬美元。通過將85%的采購工作自動化,該市期望能夠節約5%的貨物采購開銷。
十、BabyAndMeGifts.com 基本情況:
BabyAndMeGifts.com銷售母嬰用品。店主杰奎琳·邁爾斯(Jacquelyn Myers)在她的Facebook店面上強調最有人氣的產品,并在Facebook Page上提供優惠折扣和獎勵方案,這種做法獲得了很不錯的效果。分析:
邁爾斯的Facebook店面使用的是BigCommerce軟件,她的電子商務商店也使用同樣的軟件。這讓她在不增加成本的情況下在其Facebook Page上顯示庫存量,用戶被引導到她的主網站上完成購買交易。這和一些能讓用戶在Facebook內購物結帳的店面不同。
邁爾斯說:“用這個方法吸引我的顧客們光顧BabyAndMeGifts.com十分簡單。他們可以快速了解到他們能在BabyAndMeGifts.com上購買到什么樣的東西。顧客們還可以點擊產品了解更多信息。”
邁爾斯估計約50%的網上銷售量來自于她的Facebook Page。
她表示:“這種方式非常好,我相信對于BabyAndMeGifts.com來說,這就像電子郵件營銷一樣有效。”
點擊咨詢 