第一篇:典型病毒分析报告
典型病毒的分析
班级: 姓名: 学号:
一、计算机病毒
1.1、简介
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
1.2、计算机病毒的引导过程
一般包括以下三方面。
(1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
(2)窃取系统控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系统一启动,病毒引导模块就会自动地装入内存并获得执行权,然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置,并采取常驻内存技术以保证这两个模块不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当的时候获得执行权。处理完这些工作后,病毒引导模块将系统引导模块装入内存,使系统在带毒状态下运行。对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件一执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。
1.3、常见病毒发作症状
(1)屏幕异常滚动,和行同步无关。(2)系统文件长度发生变化。(3)出现异常信息、异常图形。
(4)运行速度减慢,系统引导、打印速度变慢。(5)存储容量异常减少。(6)系统不能由硬盘引导。(7)系统出现异常死机。(8)数据丢失。(9)执行异常操作。
(10)绑架安全软件,杀毒软件、系统管理工具、反间谍软件不能正常启动。
二、典型病毒分析(包括特征、原理及清除办法)
2.1、特洛伊木马——NetBus NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器,然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃。
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上(如:通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序)。
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性,如NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。
通常,NetBus服务器端程序是放在Windows的系统目录中,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe或game.exe。可以检查Windows系统注册表,NetBus会在下面的路径中加入自身启动项项: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun” NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键,在任务列表中是看不到它的存在的。
有些木马程序在种木马的同时,感染系统文件,所以即使用以上方法去除了木马,系统文件被运行后,会重新种植木马。即使是防病毒软件,也不一定能彻底清除。
上述木马病毒正确的去除方法见下图:
2.2、震荡波病毒(1)病毒描述
Sasser病毒,中文名为“震荡波”病毒,也有人称之为“杀手”病毒,这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其他网络中计算机的IP端口,然后进行传播。
中毒电脑出现机器CPU资源被消耗殆尽、系统反复重启等症状。震荡波病毒的具体破坏方式是:在本地开辟后门,监听TCP 5554端口,作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送,黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作以及系统异常等。
(2)病毒清除
第一步:http://www.xiexiebang.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,断网安装。第二步:清除内存中“avserve.exe”的进程。
第三步:清除在系统安装目录(默认为C:WINNT)下avserve.exe的病毒文件和系统目录下(默认为C:WINNTSystem32)_UP.exe的病毒文件。
第四步:删除注册表:HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentversionRun项中名为“avserve.exe”的病毒键值。第五步:重新启动计算机。
2.3、求职信病毒
(1)特征及原理:Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
而Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉,以至于无法带毒杀毒。
(2)清除办法:
在WINDOWS 95/98/ME系统下的清除:先运行在WINDOWS 95/98/ME系统下的安全模式
下,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrent VersionRun 和HKEY_LOCAL_MACHINESystemCurrentControlSetServices 要删除的注册表项目是wink——?.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink——?.exe删除,注意 还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机,然后,在KVW3 000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者
文件是需要按照提示完全删除的。在Windows 2000/XP系统下的清除: 清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算 机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是: wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在 系统目录下将该文件删除。注意该文件是隐含的,必须打开显示所有文件的选择项目 才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 2.4、灰鸽子木马病毒
(1)病毒简介、特征及原理
灰鸽子是国内一款著名后门,其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。“灰鸽子”自2001年诞生之后,2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒,甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣,可以在网络上买到,客户端简易便捷的操作使刚入门的初学者都能充当黑客。
黑客可以通过此后门远程控制被感染的电脑,在用户毫无察觉的情况下,任意操控用户的电脑,盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后,可自行删除灰鸽子文件,受害者根本无法察觉。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序,名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(系统盘的windows目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。(G_Server.exe这个名称并不固定,它是可以定制的。)
Windows目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒,因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
(2)病毒的清除
清除灰鸽子的服务。
打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项,查找“game.exe”,可以找到灰鸽子的服务项如Game_Server,删除整个Game_Server项。
删除灰鸽子程序文件。
在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。
2.5宏病毒(1)特征及原理:
Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。宏病毒与以往的计算机病毒不同,它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样,它以VB(WORDBASIC)高级语言的方式直接混杂在文件中,并加以传播,不感染程序文件,只感染文档文件。也许有人会问:MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗?回答既是肯定的又是否定的。.DOC文件是一个代码和数据的综合体。虽然这些代码不能直接运行在x86的CPU上,但是可以由Word解释执行操作,因此他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加
以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于缺省的公用模板(Normal.dot)。可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。WORD处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ePrint等。WORD打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,WORD就启动它,除非在此之前系统已经被“取消宏(DisableAutoMacros)”命令设置成宏无效。当然,如果Auto Close宏存在,则系统在关闭一个文件时,会自动执行它。
(2)清除方法:
①手工:以Word为例,选取“工具”菜单中“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。
②使用专业杀毒软件:目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除, 对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是手工清理为妙。
2.6蠕虫病毒(1)特征及原理:
蠕虫病毒不需要将其自身附着到宿主程序,它是一种独立智能程序。有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含(侵占)在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫“野兔”,蠕虫病毒一般是通过1434端口漏洞传播。蠕虫利用的端口是UDP/1434,该端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例,每个实例操作需要通过单独的服务,不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433),所以SQL Server Resolution服务操作监听在UDP 1434端口,提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。
当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时,SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值,如发送x04x41x41x41x41类似的UDP包,SQL服务程序就会打开如下注册表键:HKLMSoftwareMicrosoftMicrosoft SQL ServerAAAAMSSQLServerCurrentVersion攻击者可以通过在这个UDP包后追加大量字符串数据,当尝试打开这个字符串相对应的键值时,会发生基于栈的缓冲区溢出,通过包含“jmp esp”或者“call esp”指令的地址覆盖栈中保存的返回地址,可导致以SQL Server进程的权限在系统中执行任意指令。
蠕虫溢出成功取得系统控制权后,就开始向随机IP地址发送自身,由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。在绿盟科技安全小组的测试中,和被感染机器在同一网段的每一台分析机每秒钟都收到了近千个数据包。
该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
(2)清除方法
修补漏洞,安装最新补丁。(请务必安装补丁,避免二次中毒)手动清除方法:
第一步,用任务管理器结束avserve进程
第二步,删除windows目录(WINNT、WINDOWS等)下的avserve.exe;查找是否在系统目录(SYSTEM32、SYSTEM)下存在<随机字符>_UP.EXE的文件,如果有则删除
第三步,删除注册表中的键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“avserve.exe ”=“%WINDOWS%avserve.exe ”
三、结束语
目前计算机病毒种类繁多,而且新的病毒不断出现,本文仅介绍几种常见典型病毒的特征、原理及其清除方法,对于绝大多数病毒我们应严加警惕,实时更新自己的杀毒软件和防病毒工具,只有做到时时预防,时时警惕,才能保证我们的电脑不被攻击。
第二篇:病毒查杀分析报告
东营市医药公司和扣分公司
病毒查杀分析报告
2013本企业计算机网络系统未发生重大病毒感染情况,计算机系统运行正常。
信息科
2014年1月6日
第三篇:MS08-067病毒分析
MS08-067病毒剖析
【染毒现象】
感染上Worm.Win32.MS08-067.c病毒的机器,其典型的染毒特征是:
1.不断的向外发送垃圾数据包,并以此手段对全网进行传播。
2.在本机的“任务计划”中添加大量以“AT”开头的任务计划,并且启动的时候大都是整
点,如11:00、13:00等。
3.如是域环境,并且设置了域账户登录策略(登录密码输入错误几次之后锁定账户),会
造成域账户经常被锁,因为该病毒会不断的猜测域账户密码。
4.造成无法正常访问瑞星官网和微软官方网站,以及其它部分安全网站。停止或是重启
“DNS Client”服务之后,可以打开上述网站,但重启电脑后又无法打开。
【传播方式】
Worm.Win32.MS08-067.c是一个利用微软系统MS08-067漏洞为主要传播手段的的蠕虫病毒。
另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,如局域网中存在可读写的共享,也会造成该病毒通过局域网共享进行传播。
【病毒分析】
首先病毒会判断系统版本是否是 Win2000或WinXP 以上系统,如果是病毒才继续执行,并且为病毒进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到“svchost.exe-k netsvcs” 或者explorer.exe 进程,然后将自己的代码加载到这两个进程中的其中一个进程上,最后修改注册表,让系统不显示隐藏文件,从而使病毒可以被系统加载。
该病毒会在%windir%system32目录下释放一个动态库文件,名字随机生成,如XXXXXXX.DLL ;并且会以独占内存的方式存在,需要多次重启才能删除。
针对services.exe、“svchost.exe-k netsvcs”、“svchost.exe-k NetworkService”、进程进行DNS查询以及TCP传输过程拦截,针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站。
停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动,避免系统更新以及系统安全检查程序。
枚举网络计算机的用户名和自带的密码表,利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,枚举驱动器 创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://、http://等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者更新。
【处理办法】
一、使用专杀处理方式:(推荐)
①首先将瑞星软件升级到最新版本并使用抓包工具确定病毒发包源,染毒机器一般都会通过139、445端口发送大量数据包,特别是在整点时段。
② 确定发包源后,将发包机器断网,进入安全模式之后清空多余的“任务计划”并使用专杀工具查杀,无论是否查出病毒都需重启,进入正常模式后将系统补丁全部打上,尤其是MS08-067补丁,该漏洞在微软上的补丁名称为:KB958644。
③ 确认MS08-067补丁正确打上:打上该补丁之后,在%windir%system32目录下会有一个netapi32.dll文件,并且需要确定该文件的版本是否正确,版本正确才证明正确打上该补丁了,否则需要通过控制面板卸载重装:
windows2000 sp4系统下,此文件的版本应该为:5.0.2195.7203
windows xp sp2/sp3系统下,此文件的版本为:5.1.2600.3462/5694
windows 2003 SP1/SP2系统下,此文件版本为:5.2.3790.3229/4392
windows 2008 vista系统下,此文件版本为:6.0.6000.16764;
6.0.6000.20937;6.0.6001.18157;6.0.6001.22288
④ 使用cmd命令进入命令行模式,使用“net share”命令查看本机共享,至少需要关闭所有读写共享,只读共享可以保留。
⑤ 定期修改系统密码,并需要设置十位以上强密码。尽量不使用域管理员账号在其它非域控机器上登录。
⑥ 最后使用已经升级到最新版的瑞星杀毒软件全盘杀毒,确定本机无病毒之后,再接入网内。
⑦ 所有发包源机器都处理完成之后,再执行全网同时杀毒,确保让病毒无处隐藏。如果有条件的,可以通过防火墙或交换机将135、139和445这三个常见的病毒利用端口屏蔽。
二、手动处理方式:
① 首先通过“文件夹选项”显示出所有隐藏文件,包括受保护的操作系统文件。② 打开%windir%system32目录,将文件按详细信息排列,显示文件属性和创建日期。让文件按照属性排列,查看是否有可疑的DLL文件,并且为隐藏属性,注意创建的时间是否是染毒时间,确认之后在删除的时候提示无法删除。
③ 打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost,双击右侧的netsvcs,查看neisvcs的数值数据,查找其中的可疑项(此操作需要对net svcs的服务熟悉才行,一般可疑项会在wmdmpmsp之后)。
④ 记下此服务名,定位到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscServer,尝试删除此项,提示无法删除,查看此项权限,仅有system,且没有读取权限,可以增加权限,点击“高级”,勾选从父项继承和替换到子对象两个勾,提示都点击是和确定即可。操作后,即可删除wscserver项键值;
⑤ 重启计算机,删除一开始在%windir%system32目录下发现的可疑文件,删除HKEY_LOCAL_MACHINESYSTEMControlSet001和
HKEY_LOCAL_MACHINESYSTEMControlSet002下的wscServer键值(避免恢复到上一次正确的配置后再次恢复此键值)即可。
第四篇:典型相关分析
典型相关分析
在SPSS中可以有两种方法来拟合典型相关分析,第一种是采用Manova过程来拟合,第二种是采用专门提供的宏程序来拟合,第二种方法在使用上非常简单,而输出的结果又非常详细,因此这里只对他进行介绍。该程序名为Canonical correlation.sps,就放在SPSS的安装路径之中,调用方式如下: 文件——新建——语法
INCLUDE ' C:Program FilesSPSSIncPASWStatistics18SamplesEnglishCanonical correlation.sps'.CANCORR SET1=体重 腰围 脉搏 /SET2=单杠 仰卧起坐 跳高.1.Correlations for Set-1 Correlations for Set-2 首先给出的是两组变量内部各自的相关矩阵,可见生理指标之间具有相关性、训练指标之间也有相关性。
2.Correlations Between Set-1 and Set-2 接着给出的是两组变量间各变量的两两相关矩阵,可见生理指标与训练指标之间确实存在相关性。
3.Canonical Correlations 提取典型相关系数的大小,可见第一典型相关系数为0.796
4.Test that remaining correlations are zero 检验各典型相关系数有无统计学意义,可见第一典型相关系数有统计学意义,第二第三典型相关系数没有统计学意义。
5.Standardized Canonical Coefficients for Set-1 Raw Canonical Coefficients for Set-1 各典型变量与变量组1中各变量间标化与未标化的系数列表,由此我们可以写出典型变量的转换公式(标化的):U1=0.775x1-1.579x2+0.059x3
6.各典型变量与变量组2中各变量间标化与未标化的系数列表,同理可以写出典型变量的转换公式:V1=0.349y1+1.054y2-0.716y3
7.各典型变量与原变量之间相关系数。
U与x之间相关系数
V与x之间相关系数
V与y之间相关系数
U与y之间相关系数
第五篇:电子商务典型案例分析报告
电子商务典型案例分析报告
一、JAMY 基本情况:
韩国互联网服装企业前三强的JAMY建立于2007年7月7日,从2008年11月21日开始,该企业把网站给BIMC品牌整合营销公司(以下简称BIMC)做电子商务托管,托管给BIMC之后,效果非常明显。销售额上升1000%以上,网站用户体验、网站价值、网站访问量、粘度、网站发展都是直线上升,2008年12月内订单次数连续突破三次大关,而2009年一月初业绩更是让人惊讶,突破了900个大关,差点突破了1000个大关,目前JAMY已成为了进入中国市场中最出色的韩国企业之一。
分析:
从JAMY的电子商务案例可以看出,电子商务根本不是建好一个功能强大的网站,而是如何将你的产品推销给人们,JAMY就是通过把网站交给BIMC做电子商务推广才能有今天这样的成绩,因为BIMC根据JAMY策划了合适的电子商务方案,在电子商务推广执行中让JAMY的潜在顾客知道了他们的存在,哪怕是网友暂时不愿意购买,但是知道有个地方可以买到,这就是电子商务推广好处。可能有企业想过做自己公司组建团队做电子商务推广,但不知道有没有算过一笔账,企业IT技术人员月平均成本是5000元,每年是6万,请3个人就是18万,成本太高,这还不算一台就几万块的服务器,还有电脑,还有诸如四险一金等的其他管理成本,就算不惜高成本组建起自己的推广团队,这些团队也要花很长的时间去摸索推广的方法,收益却仅仅“一般”„„
二、海尔
基本情况:
创立于1484年崛起于改革大潮之中的海尔集团,是在引进德国利勃海尔电冰箱生产技术成立的青岛电冰箱总厂基础上发展起来的。在海尔集团首席执行官张瑞敏“名牌战略”思想的引领下,海尔经过十八年的艰苦奋斗和卓越创新,从一个濒临倒闭的集体小厂发展壮大成为在国内外享有较高声誉的跨国企业。网络经济时代的到来,企业如何发展,是一个崭新而迫切的的问题。分析:
海尔电子商务的经营模式
(1)商品的采购方式
(2)商品的储存方式
(3)商品的运输方式
(4)商品的配送方式
(5)商品的结算方式
海尔电子商务的管理模式
(1)海尔的斜坡球体论(2)OEC管理法(3)市场链
海尔电子商务的资本模式
海尔电子商务的资本模式主要采用传统投资型的资本模式,其电子商务网站主要采取自建方式。尤其是投资较大的在线采购招标,没有像许多企业一样利用公共的交易平台,而是自建采购平台,要求所有希望为其供货的供应商都在网上注册,有效地保证了海尔全球供应链战略的实施。
三、IBM公司
基本情况:
IBM(国际商业机器公司)公司是1414年成立于美国的世界上最大的信息工业跨国公司,其业务包括计算机硬件设施、软件、网络系统、存储设备及微电子产品。
IBM是最早运用Internet的公司之一,它不仅能够在企业电子商务应用的各个阶段提供全方位的技术支持,是优秀的电子商务服务提供商。
分析:
IBM公司电子商务的商业模式
(1)战略目标
(2)目标客户群
(3)产品以及收入来源 1)IBM的电子商务产品 2)IBM的电子商务解决方案
(4)关键活动
IBM公司电子商务的经营管理模式
IBM公司经营管理的最大特点是为客户提供满意的服务。IBM鼓励在公司能力所及的情形下,员工竭尽所能提供给顾客最佳最完整的服务,IBM深知顾客才是IBM的衣食父母,只有顾客持续满意于IBM的产品与服务才会忠诚。
IBM电子商务就是通过在线销售自己的产品、电子商务解决方案和全球服务,获得了明显的竞争优势,保持了电子商务的商业利益。
四、buildbook建筑书店
基本情况:
总部设在广东省汕头市的buildbook建筑书店网站(www.xiexiebang.com如图4.10所示),是一家完全的B2C电子商务网站。buildbook建筑书店包括一个地面的实体书店和网上的虚拟书店——buildbook网站。
分析:
buildbook建筑书店的商业模式
(1)目标定位
汕头建筑书店在实体发展的基础上,通过对虚拟网站的构建和运行,实现低成本、高效率地扩展自己的业务范围、扩大整体知名度、完成快速发展。
(2)收入和利润来源
1)销售收入
2)增值业务收入
①建筑专业书报杂志等信息发布 ②广告投放 ③优惠促销活动 ④网上交流 ⑤销售数据分析 ⑥网上调查 ⑦与个人合作
buildbook建筑书店的经营模式
(1)实现进销存业务和财务一体化的管理(2)完善供应链管理(3)强大的分析决策(4)高效的客户服务管理
buildbook建筑书店的管理模式
(1)优秀的管理团队(2)先进的管理系统(3)星级会员制 buildbook建筑书店的资本模式
buildbook建筑书店网站的资本模式属于传统企业直接投资电子商务,网站的创建者原是建设工程行业的资深工作者,在工作中深切体会到专业书籍对建设行业的重要性,于是投资创办了buildbook建筑书店,在地面的实体书店经营稳定的基础上,建立了buildbook网站,拓展了广阔的市场发展空间。
五、湖北移动商城--e动商网(e159.com)
基本情况:
湖北移动于2006年建设了e动商网,以期通过引导用户网上电子商务消费体验,开辟新的增值服务市场,拉近湖北移动用户与网上电子商务时尚生活的距离,增强用户粘性。
分析:
e动商网(www.xiexiebang.com)以互联网网站为依托,成功地将移动技术和互联网以及电子商务相结合,将短信、彩信、WAP等移动技术融入平台及应用中,同时将电子商务与移动终端进行了有效对接,E动商网用户不仅可以通过互联网购物,还可使用手机短信、WAP方式在商家现场进行移动支付,通过该平台,用户可以使用话费消费积分兑换网上商品和业务,可以在线使用移动积分、小额支付、手机钱包、网上银行等多种支付方式网上购物、订购移动数据业务,并支持多种支付方式混合使用。媒介评论说,e动商网建立了全国第一家具有实用意义的移动电子商务应用平台,打开了移动支付与传统电子商务之间的实际应用瓶颈,开创了电子商务发展与应用的新模式。
e动商网自2006年5月正式上线运营以来,有两大效应最为明显。首先,e动商网丰富了手机钱包和小额支付的线下业务,实质推动了移动支付的应用。湖北移动从2005年即开通了手机钱包和小额支付业务,但因缺乏线下应用和体验环境,用户使用甚少,e动商网的推广大幅度带动了这个应用,提升了移动支付品牌知名度。同时依托e动商网平台,为全省用户提供了24小时跨区域的全球通用户积分和动感地带M值兑换服务,满足了用户不断增长的积分(M值)兑换个性化需求,提高了用户对移动客户积分的感知度。
目前,e动商网可以提供的商品条目涵盖了虚拟商品、实物商品、电子消费券、电子折扣券、报刊订阅、保险、电子票务、移动增值服务产品如彩信、彩铃等。e动商网的所有商家均采用协议签订、信用担保方式入场,确保所有商品质量合格、内容合法,首推用户手机号注册,以短信验证码确认本人持有,保证了交易双方诚信,符合目前国家发展互联网实名制的要求。
3G以至4G时代,将会是移动终端与互联网无缝结合的时代,手机可自由实现网页浏览乃至网上购物,e动商网从建立之初就以移动特色为概念,在应用的多个流程中将手机终端作为一个重要角色,密码手机验证、订单手机通知、短信与彩信订单接收、电子券手机接收,并提供手机WAP在线浏览、在线支付和购买商品。这种将手机终端引入的模式,将为下一步发展3G电子商务应用打下了基础。
2007年,湖北移动又尝试将部分自有数据业务如手机地图等在e动商网销售,取得了较好的效果,为下一步将动商网打造为商务应用类新业务推广和使用平台积累了一定经验,湖北移动将在继续拓展e动商网的移动电子商务模式的基础上,进一步探索将优质梦网类业务移植到e动商网,依托e动商网畅通的支付通道和高涨的人气,让用户自由选择感兴趣的业务,通过积分、话费、或直接使用手机钱包和银行卡在线订购,开辟移动数据业务销售新渠道。
6688公司全面外包该平台的建设、维护、运营和日常管理。e动商网在2006年5月17日正式上线试运营后,已聚集了数千商户的10余万商品与服务,有近千万移动用户通过手机积分、话费小额支付、手机钱包、银行在线支付等多种交易模式在线订购商品,享受服务。
该平台之所以取得如此大的成功,源于在移动商务的发展模式上进行了三项突出的创新应用。
一是采用外包的建设与运营模式。6688参与e动商网的需求分析和规划,承担系统集成和应用系统开发、维护工作,并受托负责电子商务平台的日常运营工作;6688公司派驻专业的运营团队到委托方现场,并设立专门的招商部门、商业合作部门、客户服务部门、技术支持部门,分别负责相关工作。这种模式最大限度地发挥了运营商和电子商务专业服务商各自的优势,加快了应用的推广,保证了系统的不断自我完善。
二是向企业开放。数千企业借助平台提供的“电子商务E点通”工具加盟,自主维护、管理商品与服务,集团采购与庞大的企业群互补,形成“想要你就有”的完整供应链,满足高中低各层次用户的需要,有效地黏合了中小企业。
三是进行本地化、多样化服务,黏合了大量消费者。e动商网合作商户遍及每一个地、市、县,包括零售、餐饮、娱乐、教育、健康、生活服务等各个行业。
六、HomeVV 基本情况:
HomeVV是大型建材商场建配龙旗下的一家电子商务公司,提供一站式生活用品的网上购物平台。“为为网商城”于2010年初上线,在不到半年的时间里,交易金额、流量和交易量三项记录不断刷新,引起业内人士关注。
分析:
订单量的飞速增长给HomeVV的物流配送能力带来了巨大的挑战和压力,管理层决定引进电子商务行业内有着大量成功实施经验的FLUX.WMS产品,结合FLUX咨询顾问丰富的流程规划经验,以最短的时间将HomeVV的物流配送能力提升一个台阶,满足企业快速扩张的需要。
在HomeVV项目中,富勒FLUX为其部署FLUX.WMS,与HomeVV订单系统进行集成。除了在各物流环节大量使用RF,还将在拣货环节采用电子标签播种和拣选小车拣选相结合的方式。借助FLUX.WMS在电子商务领域丰富的经验HomeVV将优化其拣选配送流程,提升配送能力,实现企业的加速起飞。
七、dell皇冠上的珠宝――网上商店
基本情况:
dell皇冠上的珠宝――网上商店
分析:
戴尔公司的网络业务小组的一个主要设计目标就是,创建一个在访问量增加时可以很容易伸缩容量的站点。戴尔公司采用了分布式方案,将流入的访问需求分别由许多前端的poweredge服务器中的一台来处理,由此在网站上平衡负载。同时保证客户以最少的等候时间尽快得到他们正在查找的数据,例如价格和样品。
硬件上,戴尔公司前端使用它自己的基于intel pentium pro处理器的 poweredge 4100服务器,负责管理整个网站。大部分的前端服务器存放的是html格式的静态页面。前端服务器将顾客的需求流入不同的应用服务器以处理不同的任务。这其中包括戴尔的premier页面(sm)服务。premier页面是为公司客户设计的专用extranet页面,上面包括订购信息、订购历史、已经被公司客户认可的系统配置,甚至账户信息。
premier页面帮助戴尔公司为公司客户提供更好的服务,这减少了公司电话中心的负担,并帮助公司将它的市场扩展到全世界。戴尔公司使用 cisco的分布式控制器来在各个服务器之间平衡负载。这些服务器的内容彼此镜像。在网站访问量急剧上升时,戴尔公司可以在一个小时内增加需要的硬件容量。
处理商业事务和包含站点内容信息的sqlserver数据库服务器,都布置在 防火墙的后面,以保证安全性和防止可能带来损害甚至迫使站点关闭的外来干扰。
戴尔公司选用microsoft site server, commerce edition为网站的商业引擎,它是网站的核心。为了处理数据库管理业务,戴尔公司采用microsoft sql server 6.5作为数据库引擎。
internet为戴尔公司的直销方法提供了重大的机会。戴尔公司的网址每周被顾客访问的次数超过80万次,戴尔公司因此而每天获得平均超过四百万美元的收入。戴尔公司的管理者发现,在访问了dell.com后,超过40%的顾客会通过打电话购买他们需要的计算机产品。戴尔公司利用该系统降低了成本,改善了客户服务。
八、sainsbury 基本情况:
sainsbury’s supermarkets是英国第二大零售商。sainsbury每时每刻都进行着各种促销活动,其中涉及亿万英镑的产品和大量的后勤工作。对于“买一送一”的促销活动,如果促销成功,促销商品的储备过少,供不应求,那么消费者就会不满;如果促销商品订购太多,而促销活动失败,那么sainsbury各个连锁店将会产生商品积压,从而造成经济损失。sainsbury是如何计算需要多少额外的促销商品呢? 分析:
sainsbury建造了一个基于web的供应链计划和协作系统。这个系统在
microsoft windows nt server平台上建造,其宿主应用程序是microsoft sql server的internet information server。信息存储在一个microsoft sql server数据库内。系统的电子数据功能和搜集动态数据的功能由microsoft site server 3.0 commerce edition提供。
该系统可以允许sainsbury的4000家供应商与买主在计划、执行和管理成功的产品促销活动方面一同工作,使供应商和购买者事先获知一个产品促销活动的详细信息,并及时地跟踪促销活动的成功性。这个解决方案还具有管理和跟踪新产品介绍、产品收益和产品生命周期的潜力。
九、洛杉矶市政府
基本情况:
洛杉矶市(los angeles county)是美国最大的地方政府,每年要从25000家投标者中购买价值6500万美元的货物。原来,所有这些采购都是使用纸张表格完成的。大量文书工作总是造成混乱、低效益和巨额的仓储费用。每一项采购任务,都会包括令人头疼的大量项目和供应商。如果一件货物存放在仓库中,想要比较它的价格并作出合理的决定,是根本不可能的。在这种情况下,洛杉矶市决定利用internet来解决这些问题。
分析:
在解决方案供应商commerce one 的帮助下,洛杉矶市采用microsoft site server 3.0 commerce edition创建了基于web的采购系统。现在洛杉矶市政府可以通过internet查询供应商的产品目录,比较价格,检查可靠性,发送订单,最后支付货款。洛杉矶市政府的采购系统已成为美国国家erp的一部分。
该系统使洛杉矶市政府定购周期缩短快,文书工作减少,中小企业的机会更多,且降低了存货成本。洛杉矶市已关闭了中央仓库,为其在今后5年内节约大约2900万美元。通过将85%的采购工作自动化,该市期望能够节约5%的货物采购开销。
十、BabyAndMeGifts.com 基本情况:
BabyAndMeGifts.com销售母婴用品。店主杰奎琳·迈尔斯(Jacquelyn Myers)在她的Facebook店面上强调最有人气的产品,并在Facebook Page上提供优惠折扣和奖励方案,这种做法获得了很不错的效果。分析:
迈尔斯的Facebook店面使用的是BigCommerce软件,她的电子商务商店也使用同样的软件。这让她在不增加成本的情况下在其Facebook Page上显示库存量,用户被引导到她的主网站上完成购买交易。这和一些能让用户在Facebook内购物结帐的店面不同。
迈尔斯说:“用这个方法吸引我的顾客们光顾BabyAndMeGifts.com十分简单。他们可以快速了解到他们能在BabyAndMeGifts.com上购买到什么样的东西。顾客们还可以点击产品了解更多信息。”
迈尔斯估计约50%的网上销售量来自于她的Facebook Page。
她表示:“这种方式非常好,我相信对于BabyAndMeGifts.com来说,这就像电子邮件营销一样有效。”
点击咨询 