爱华网一、PC任我行
==============
说到病毒防杀,大家首先想到的就是要安装杀毒软件,而一提到杀毒软件,多数人脑子里想到的不外乎国外的诺顿、熊猫杀毒软件,国产的瑞星杀毒软件、金山毒霸、江民KV系列杀毒软件等等。可是,这些杀毒工具都属于商业软件,要想拥有它们是需要掏钱的。
一直到去年,国产杀毒软件还一直保持着个人通用消费类工具软件中的最高价位——一套软件200元左右。现在,由于激烈的市场竞争,杀毒软件的价位虽然有所下降,但是多数
都是采用了“减少份量”的做法,比如低价位的杀毒软件不再附带病毒防火墙和网络防火墙,或者在升级服务上边有一定的限制。而带有病毒防火墙和网络防火墙的产品则以所谓“套装版”的名义继续保持较高的价位。
特别是这几年由于新病毒层出不穷,杀毒软件不可能购买一次就可以在相当长的时间内高 枕无忧,它差不多属于个人电脑上通用工具软件中最需要频繁升级的软件类型。而对于很多商业杀毒软件来说,是不可能永远为客户提供免费升级服务的,目前除了 诺顿和熊猫等国外杀毒软件还在坚持免费升级服务,几家主流的国产杀毒软件都是在经过一定期限的免费升级以后,要求用户为升级而再支付费用。算下来,这也是 一笔不菲的开支!
在这种情况下,那些买不起杀毒软件,或者买得起简装版却买不起套装版杀毒软件,以及虽然买得起杀毒软件却最终不能承受升级费用的朋友,面对这个病毒、黑客肆虐的网络世界,难道只能坐以待毙么?
当然不是!有钱人买得起商业反毒软件,像我等穷人要想在这个病毒横行的世界上生存,就需要学学“防毒空手道”了。何谓“防毒空手道”?顾名思义,自然就是赤手空拳防毒、杀毒了。当然不是说电脑上什么都不装就能防毒杀毒,而是采用完全Free的方法来防毒杀毒。其实,只要你多动脑子,除了“自己动手丰衣足食”以外,网上防毒、杀毒的“免费午餐”也是不少的,只要对这些措施加以综合利用,“防毒空手道”并不是天方夜谭。
不信?就随着我们的专题来看看吧!
-----------------千里之堤,溃于蚁穴——系统漏洞防范篇---------------------
古人云:千里之堤,溃于蚁穴。区区蚁穴尚且能使千里长堤毁于一旦,更何况Windows操作系统的众多漏洞呢!面对如此危局,又如何空手防毒呢?
没关系,古人还说过:兵来将挡、水来土掩。生活总要继续,只要没有更流行的操作系统,Windows就还得继续用下去。以下,笔者就将结合Windows目前常用的3大系统来说说我们应如何搭造安全之门,建立安全防线,把系统安全隐患消灭于萌芽状态。
(一)、脆弱的Windows 98
Windows 98已经是一个非常老的操作系统了,但是由于它对电脑硬件要求低和兼容性比较好,所以目前虽然Windows 2003都出了,它仍然占据了相当一部分人的电脑,而这些用户也是最容易受到伤害的。
以下我们就列举一些Windows 98常见的系统漏洞及防范措施。
(1).蓝屏炸弹
蓝屏攻击利用的是Windows 98操作系统的内核缺陷,采用大量的非法格式数据包发向被攻击的机器,使Windows 98操作系统的网络层受到破坏,而引起蓝屏当机。蓝屏炸弹一般使用的是IGMP协议,由于IGMP是一种类似ICMP的无连接协议,所以在向服务器连接时 不需要指定连接的端口,只需要指定IP地址即可,由于Windows98不能很好的处理过大的IGMP数据包,很容导致系统崩溃。
解决办法是将NETBIOS(控制面板→网络)关闭,关闭NETBIOS还可以阻止别人访问你的共享资源。另外一个办法就是下载相关补丁升级。
(2).共享密码检验漏洞
Windows 98中提供的文件和打印共享服务的共享级密码保护可以被绕过。这个漏洞是由于在密码认证处理过程中密码长度会与发送的数据长度作比较,如果程序设定密码为 一个字节,那么只有第一个字节会验证有效,因此别人只要能正确猜出目标机器上的密码的第一个字节,那么他就可以轻易突破密码防线进入共享文件夹。 Windows 98远程管理也会受到这个漏洞影响,因为它也使用了这种认证方案。利用这个漏洞,攻击者可以获得对文件及打印共享保护的文件的恢复、修改、删除、增加的权 限。
因此,Windows98用户的解决方法就是不要共享自己的任何磁盘根目录,否则,你将随时处于危险中。
(3).防范恶意代码
网上冲浪,遭遇恶意网页的攻击早已经不是什么新鲜事了,恶意网页中包含有恶意代码, 利用浏览器或者其他已知系统弱点、漏洞,会对访问者的电脑进行非法设置和恶意攻击。常见的有:修改注册表,利用IE的文本漏洞通过编辑的脚本程序修改注册 表,如修改IE的起始主页、工具栏、默认的搜索引擎、IE标题栏,修改或禁止IE右键,定时弹出IE新窗口;禁止修改注册表;系统启动时弹出网页或对话框 等;无聊恶意网页利用编写的JAVASCRIPT代码,弹出无数关不完的窗口,让CPU资源耗尽重新启动;恶意网页还可以利用IE漏洞,格式化硬盘、执 行.exe文件、自动运行木马程序、泄露用户信息……
装有商业软件病毒防火墙的用户自然可以有效防范恶意网页的攻击,我等穷人则可以采用以下方法免受此类攻击:
(1)升级你的IE到最新版本。
(2)在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安 全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这 样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
(3)打开C:WINDOWSJAV
APackagsCVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于Windows Me用户,打开CWINDOWSJAVAPackages
5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响系统正常运行。
(4)打开IE,点击“工具”→“Internet选项”→“内容”→“分级审查”,点“启用”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,如http://www.000.com,按“从不”按钮,再点击“确定”即大功告成!
(5)运行注册表编辑器;在HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersion
PoliciesSystem下,增加名为DisableRegistryTools的DWORD值项,并将其值改为“1”,即可防止恶意网页禁用注册表编辑器的攻击。
(二)、无敌的Windows 2000
目前Windows 2000系统的使用者特别多,所以导致它在受攻击的系统排行榜中高居榜首,但这不能说Windows 2000的安全性不好,只要合理配置和管理有方,它还是相当安全的。以下我们从四个方面谈谈Windows 2000的安全设置问题。
1.用户安全设置方面
禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是 极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。除此以外,对于那些不必要的默认用户也尽量停止和限 制,特别是对于个人用户,基本上保留一个Administrator(系统管理员)足矣。
2.密码安全设置方面
在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。
有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利 用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统 身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是离开电脑时要锁定计算机(Windows 2000下,按Ctrl+Alt+Del,在弹出的“关机”菜单中选择“锁定计算机”即可)。
3.系统安全设置方面
(1)使用NTFS格式分区
NTFS分区要比FAT分区安全很多,且只有使用NTFS分区才能真正发挥 Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x /FS NTFS(x为所要转换的盘符),执行时如果转换的是非操作系统所在分区,则立即执行分区转换。如果转换的是操作系统所在分区,则重启后执行分区转换。注 意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致 分区不可用,所以建议只用Convert命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。其实,并不需要将所有分区都做成NTFS分区, 而应保留一个分区为FAT32,用于存放一些常用工具,并可方便Ghost备份。
另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。
(2)经常到微软网站下载最新的补丁程序
虽然微软支持在线安装,但这绝对不安全。在系统未全部安装完之前不要连入网络,特别 是Internet!甚至不要把一切硬件都连接好来安装。因为Windows 2000安装时,在输入用户管理员账号Administrator的密码后,系统会建立一个“ADMIN”的共享账号,但是并没有用刚输入的密码来保护 它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“ADMIN”进入系统;同时,安装完成,各种服务会马上自动运行,而这时的服务器 还到处是漏洞,非常容易从外部侵入。
(3)关闭默认共享
这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表 “HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下,在右栏空 白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc$”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输 入:“net share ipc$/del”,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN$。
(4)锁住注册表
Windows 2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。(图1)Regedit.exe不同的是它有一个“安全”选项,可以给注 册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改,不给其他人可乘之。
4.在服务安全设置方面
(1)关闭不必要的端口
可惜Windows 2000并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如Telnet等。
(2)设置好安全记录的访问
Windows 2000操作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志(图2),里面会有详细的审核记录,审核通常为 成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在 怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志,就可以看到审核的消息。
(3)停止不必要的服务
服务开的太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道是 干什么的服务,还开着干什么!免得给系统带来灾难。另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉(图 3)。注意,除非特别需要,否则禁用“Task Scheduler”、“RunAs Service”服务!关闭一项服务的方法很简单,运行cmd.exe之后,直接net stop servername即可。
(4)限制管理员组的用户数量
严格限制管理员组的用户,时时刻刻保证只有一个Administrator(也就是 你自己)是该组的用户。至少每天检查一次该组的用户,发现多增加的用户一律删除!毫无疑问,那新增的用户一定是入侵者留下的后门!同时要注意Guest用 户,聪明的入侵者一般不会添加陌生用户名,这样容易被发现行踪,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组,但Guest无端 跑到管理员组来干嘛?停掉!
(三)、体贴的Windows XP
Windows XP自从推出以来,就凭借其华丽的外包装、NT内核的稳定性、可靠的安全性吸引了不少用户去使用它。由于它采用的内核与Windows 2000一样,所以某些安全方面的操作策略上是基本一致的。重复的部分我们这里就不赘述了。
1.屏蔽不需要的服务组件
尽管服务组件安装得越多,用户可以享受的服务功能也就越多。但是普通用户平时使用到 的服务组件毕竟还是有限的,而那些很少用到的组件不但占用了不少系统资源,引起系统不稳定外,还会为黑客的远程入侵提供了多种途径,为此我们应该尽量把那 些暂不需要的服务组件屏蔽掉。具体的操作方法为:首先在控制面板中找到“性能和维护”图标(图4),之后选择“管理工具”,然后再打开“服务”对话框, (图5)在该对话框中选中需要屏蔽的程序,并单击鼠标右键,从弹出的快捷菜单中依次选择“属性”→“停止”命令,同时将“启动类型”设置为“手动”或“已 禁用”,这样就可以对指定的服务组件进行屏蔽了(图6)。
2.使用“连接防火墙”功能
在网络时代,病毒的传播方式、传播速度和破坏力发生了翻天覆地变化,而且黑客行为也 正在全世界范围内活动。为了防止病毒和黑客的随意入侵,最好在计算机中安装网络防火墙。其实,不一定非要购买昂贵的商业防火墙软件,利用Windows XP自身的“Internet连接”功能,就能对出入系统的所有信息进行动态数据包筛选,允许系统同意访问的用户与数据进入自己的内部网络,同时将不允许 的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移 动甚至删除网络上的重要信息。
在使用“连接防火墙”功能时,你可以依次单击开始菜单中的“控制面板”→“网络和 Internet连接”菜单项,之后,选择“网络连接”,然后从弹出的窗口中选择需要上网的拨号连接,然后用鼠标右键单击该连接图标,并选择“属性”命 令,在随后弹出的拨号属性窗口中再单击“高级”标签,在对应标签的页面中选中“Internet连接防火墙”选项,然后再单击对应防火墙的“设置”按钮, 来根据自己的要求设置防火墙,以便防火墙能更高效地工作。
虽然防止远程入侵很重要,但系统的本地安全也不容忽视,入侵者往往不一定在远处,有可能就在你的身边!
3.随时启用屏保程序
看到“屏保”二字,大家肯定会很自然地想到计算机中的屏幕保护程序,它主要是通过采 用不同方式轮流显示指定图片来达到屏幕保护的目的。但是只有当不操作电脑达到事先设置的时间后,系统才会启动屏幕保护程序,如果我们想在任意指定的时间内 启动屏幕保护程序,该怎么办呢?我们可以按照下面的操作方法来实现:在Windows XP的开始菜单中,依次单击“开始”→“搜索”→“文件或文件夹”,然后在弹出的搜索对话框中,点击“所有文件和文件夹”类型,并在对应文件名的文本框中 输入“*.scr”字符,再在搜索范围下拉列表中,选择“本机磁盘(C:)”或计算机上存储系统文件的驱动器,最后单击“搜索”按钮。然后在找到的屏幕保 护程序列表中,选择需要的屏保程序,最后给这个屏保程序建立一个存放在桌面上的快捷方式,以后要启动屏保程序时直接用鼠标双击桌面上的屏保快捷方式。
4.为自己分配管理权限
Windows XP系统中的许多程序,都要求用户具有一定的管理权限才能使用,因此为了能够使用好程序,我们有时需要为自己临时分配一个访问程序的管理权限。在分配管理 权限时,我们可以先以普通用户身份登录到Windows XP的系统中,然后用鼠标右键单击程序安装文件,同时按住键盘上的Shift键,从随后出现的快捷菜单中点击“运行方式”,最后在弹出的窗口中输入具有相 应管理权限的用户名和密码就可以了。
5.对重要信息进行加密
为防止其他人偷看自己存储在电脑中的文件信息,Windows XP特意为普通用户提供了“文件和文件夹加密”功能,利用该功能我们可以对存储在电脑中的重要信息进行加密,这样在没有密码的情况下是无法访问文件或者文 件夹中的内容的。在对文件进行加密时,我们首先打开Windows XP的资源管理器,然后在资源管理器操作窗口中找到需要进行加密的文件或者文件夹,然后用鼠标右键单击选中的文件或文件夹,从弹出的快捷菜单中选择“属性 ”命令,随后Windows XP会弹出文件加密对话框,单击对话框中的“常规”标签,然后再依次选择“高级”→“加密内容以便保护数据”就可以了。不过,只可以加密NTFS文件系统 卷上的文件和文件夹噢。
以上我们简述了Windows 9x、Windows 2000、Windows XP等系统的基本安全策略,还希望大家今后能勤加练习,防患于未然。
提高警惕御敌于国门之外——日常操作防范篇
如果我们生活在一个不发生坏事的世界里那是多美好的事啊!然而可惜这只能是一个美好 的幻想。保护我们自己的电脑安全方法绝不像晚上睡觉时关门那么简单。电脑系统受到的最大威胁就来自计算机病毒。那么作为普通电脑用户,在我们电脑的日常使 用中,应该注意哪些,才能御病毒于电脑之外呢?
在这里,我们的第一个忠告就是建议您在使用中禁用Windows Scripting Host(WSH)。
Windows Script Host本来是为系统管理员用来配置桌面环境和系统服务,实现最小化管理的一个手段。但是,现在Windows Scripting Host已经成为多数流行病毒用来攻击系统的工具。WSH可以解释执行各种类型的文本代码,但主要是VB Script或Jave Script。这些代码可支持VBScript、Jave Script或Perl及所有Windows磁盘管理、文件操作的功能,包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒都要使 用Windows Scripting Host实现其破坏功能。而对于大部分普通用户而言,在日常操作中是很少用到WSH的,所以最好禁止WSH,这样也就禁止了病毒常用的VB Script或Jave Script文件的运行环境。如果在企业网络环境中,系统管理员禁止那些不需要VB Script和Jave Script的客户机,在防毒方面的功效甚至比一台台地安装防病毒软件更为简单有效。
禁止VBScript(JScript)文件执行有几个办法:
1.在“我的电脑”—“工具”—“文件夹选项”对话框中,点击“文件类型”,删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
2.在Windows目录中,找到WScript.exe和JScript.exe,更改其名称或者干脆删除
3.在Windows9X和Windows NT 4.0上,可以通过控制面板中“添加/删除程序”项来安全删除WSH。
电子邮件是现在电脑上非常常用的通讯方式,所以也最易遭受计算机病毒攻击。如何有效地防范计算机病毒的入侵呢?这里提供几个日常操作中应该注意的地方,建议大家参考执行。
首先,对于邮箱中出现的那些不明来源的邮件应小心谨慎对待,尤其是带有可执行附件的 邮件,如.EXE、.VBS、.JS等,没有特殊情况应该直接删除。需要说明两点,第一,即使附件看来好像是.jpg一类的图片或者文档,也要小心对待, 因为Windows允许用户在文件命名时使用多个后缀,而许多电子邮件程序只显示第一个后缀。例如,你看到的邮件附件名称是wow.jpg,而它的全名实 际是wow.jpg.vbs,打开这个附件就意味着运行一个恶意的VBScript病毒。其次,即使发件人是你熟悉的好朋友,也不要掉以轻心!因为邮件病 毒有可能会在感染了你的朋友的机器后从他的机器上利用他的地址簿自动把自身发送出去。
其次,如非必要尽量关闭邮件“预览”特性。很多嵌入在HTML格式邮件中的病毒代码 会在预览的时候执行,我们经常从媒体看到这样一种恐怖说法:“用户只要收到这些带病毒的邮件,即使不打开,病毒也能发作”,其实就是病毒代码在邮件预览的 时候执行的。对于这种邮件病毒,只要关闭了邮件预览功能,它就不会自动发作了。
具体到实际操作中,对于使用率非常高的Outlook的用户,为了防止可能包含邮件中的宏病毒的发作,可以选择菜单“工具”—“宏”—“安全性”,然后将安全级别设置为“高安全性”。
如果是使用Outlook Express收信,要修改它的安全级别则可以按照如下步骤操作:
“工具→设置→安全→安全区域→选择受限区域(较安全)”。对于Foxmail用户,则可选择“帐户属性→字体与显示→使用嵌入式IE浏览器显示html邮件”,把这个关闭即可。
还需要警惕欺骗性的带毒邮件。如果你收到一封来自朋友的邮件,提醒你小心一个最具杀 伤力的新病毒,并让你将这封警告性质的邮件转发给你所有认识的人,十有八九这封邮件本身就带有欺骗性的病毒。建议你可以访问防病毒软件供应商如赛门铁克的 网站http://www.symantec.com/avcenter,证实是否确有其事。
除了操作系统和邮件之外,文字处理等办公应用也是电脑常用的功能,因此也成为计算机 病毒经常“关照”的地方,比如“历史悠久”的宏病毒,就是主要以微软的Office系列办公软件为攻击对象和传播途径的。为此,建议大家平时在进行文字处 理的时候,尽量使用那些不会被宏病毒感染的文档格式保存文件。减少使用Office文档类型的机会将可以有效降低系统感染宏病毒的风险。虽然理论上采用纯 文本格式的.txt文件更安全,但是由于纯文本不带有编辑版式,所以我们推荐.rtf(Rich Text Format)和.pdf(Portable Document Format)两种文档保存格式。要用Rich Text格式存储文件,只要在Microsoft Word中,用“另存为”指令,在对话框中选择RTF格式存储即可。RTF格式既可以保留你在Word中所做的大部分格式(如字体设置、版式等),本身不 支持Visual Basic Macros或Jscript,因此更为安全,而且各个版本的Word办公软件均可识别它,可谓在保留文档格式和防止病毒感染中间的一个两全其美的解决方 案。至于Adobe Acrobat的pdf文件,不仅跨平台,而且更为安全,只是比起RTF格式来,它在办公领域的普及性稍差。
关于网上安全的防护,本专题前一篇文章中已经介绍了不少比较实用的方法。但是,对于 互联网用户,特别是长时间在线的宽带用户来说,除了手工补上Windows系统的种种漏洞之外,一款网络防火墙还是非常必要的。不过我们这里要讨论的是完 全Free的“空手道”,所以各类商业软件的防火墙就不介绍了,而是推荐一款共享软件——天网防火墙,作为穷人上网的防身武器。天网防火墙 (SkyNet-FireWall)个人版是由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则(Security Rules)把守网络,并可与天网安全实验室的网站配合,根据可疑的攻击信息找到攻击者,可以有效地控制个人用户电脑的信息在互联网上的收发。用户自己可 以通过设定一些参数,从而达到控制本机与互联网之间的信息交流,阻止和杜绝一些恶性信息对本机的攻击,比如ICMP flood攻击、聊天室炸弹、木马信息等等。
“天网”是国产软件,所以界面是中文的。下边就以天网防火墙个人版为例简单介绍其用法。
“天网”的安装非常简单,当你下载完后双击程序,接着只要不断按“下一步”就可以完 成安装。安装完成后,天网会自动运行一个设置向导。它会首先要求用户选择安全级别,天网防火墙本身已经为用户制定了由低到高三种安全级别,对于普通用户来 说,建议直接选择“中安全级别”即可,然后天网会要求用户选择允许哪些程序可以连接网络,这里根据电脑安装网络的实际情况选择即可。最后天网防火墙会要求 重新启动,重新启动后天网盾牌的图标就会出现在Windows任务栏上,此时,你的系统就已经处于天网防火墙的保护之下了。天网防火墙个人版还带有一个“ 天网安全检测修复系统”,运行它会自动扫描系统中的漏洞,并予以修复。
------------------------挽狂澜于即倒扶危厦于将倾——系统恢复补救篇-----------------------
在“防毒空手道”的教程中我们已经教给大家很多立足于“防”的知识,但是“不怕一万,就怕万一”,即使我们在采取了上述种种预防,仍然难免会遇到病毒已经侵入电脑的境况,在这种情况下,崇尚“空手道”的我们又该如何应付呢?
一、免费的午餐,聊胜于无
当电脑感染病毒以后,最常规的处理方法就是用反病毒软件来杀毒。有钱人可以使用强大 的商业软件,对于我们来说,就该考虑免费的杀毒软件了。虽然在功能,升级服务方面,免费杀毒软件确实无法和功能强大的商业反病毒软件相比较,但是所谓“聊 胜于无”呀!更何况,在多数情况下侵扰我们电脑的病毒也就是常见的那几种,对付这种病毒,免费的杀毒软件还是完全能应付的。因此,不要看不起免费杀毒软 件,除非你的机器感染了某种未知的新病毒,否则免费的杀毒软件也是完全有可能把你的电脑从病毒的魔掌中解救出来的。
免费的杀毒软件可以到网上的下载站点去找。如华军软件园(www.onlinedown.net)、华游软件(www.cnyou.com)等。不过需要注意的是,在这些网站上也可以下载到很多商业杀毒软件的试用版,这些试用版有的有功能上的限制,比如很多是只能查毒不能杀毒,反而还不如真正的免费杀毒软件好使。下面我们就以“费尔托斯特安全”免费杀毒软件为例,来简单介绍利用免费杀毒软件进行杀毒的方法。
“费尔托斯特安全”杀毒软件集杀病毒、杀木马、病毒免疫、杀未知病毒、启发式扫毒、实时防护为一体,采用先进的“3+1四道防护”。它独特的文件DNA分析技术能有效探测“未知病毒”。它功能强大,使用也非常简便。
第一步:启动“费尔托斯特”软件(图1);
第二步:选定所需要的功能(选定系统扫描)(图2);
第三步:扫描完成后选定退出。至此,查毒和杀毒的过程完成(图3)。
二、免费杀毒组合装
除了使用杀毒软件外,对付病毒还有一种免费的解决方案,就是采用“查毒软件+病毒专 杀工具”的“免费杀毒组合装”来代替杀毒软件。前边已经介绍过,在网上我们可以免费下载到很多商业反病毒软件的试用版,这些版本有的只能查毒,但是不能杀 毒。而对于流行病毒,包括金山毒霸和瑞星杀毒软件在内的各反病毒厂商也都制作了很多“病毒专杀工具”,这种工具专门针对某个具体病毒,可查可杀,而且是免 费提供的。这样我们就可以先用可以查毒的杀毒软件试用版查出自己机器中的是什么病毒,然后再有针对性地到网上下载这种病毒的专杀工具去杀除它们。例如前一 阵闹的很凶的“冲击波”病毒,各厂商就都推出了各式针对此病毒的专用杀毒工具。例如瑞星公司提供的“冲击波(Worm.Blaster)”病毒专杀工具 1.0就是针对“冲击波(Worm.Blaster)”病毒的专杀工具,使用起来非常简单,下载后直接运行,杀毒时,点击Scan按钮即可(图5)。
三、因特网上有救兵——在线杀毒
除了上述的杀毒手段外,求助于在线杀毒也是一种经济实用的手段。在线杀毒是一种基于网络的,具有强大即时线上扫毒功能的新技术,使用在线杀毒用户无须下载或安装任何软件,便可以迅速、简便地进行病毒防护和管理,目前不少在线杀毒服务都可免费使用。
比起本地杀毒软件杀毒,在线杀毒具有如下好处:
首先不论身处何方,只要能连线上网,便能在最短的时间通过Internet进行电脑 的扫毒及解毒工作。它还不必像传统杀毒软件那样定期升级,而且因为无须安装软件,所以系统资源占用少。但是,在线杀毒的唯一缺点就是它要求你的电脑必须在 中毒以后仍然能上网,像那种能导致系统崩溃或者能阻断系统上网的病毒,就没法用这种方法消灭了。
下面就以科技趋势(Trend)的在线杀毒服务为例讲一讲如何在线杀毒,(图6)其他提供在线查杀病毒的网站的操作与之大同小异。
第一步:上网访问tech.sina.com.cn/trendmicro/corporate/freetools/freetools.htm,个人用户,点击图“HouseCall for PC”继续。 第二步:趋势科技会在你使用在线扫毒服务之前,要求你提供一些个人相关信息,按照实际情况填写即可。
第三步:弹出安装趋势科技的安全认证证书,选择“总是信任Trend_Micro Incorporated内容”,点击“是”确认。
第四步:自动下载扫毒的ActiveX控件并连接Active Update服务器,因是初次使用,还需要加载扫毒引擎,所以要耐心等候。
第五步:扫毒引擎下载完毕,将在浏览器出现类似于杀毒软件界面的画面,从列有磁盘列表的窗口中勾选需要检查的磁盘,并将“自动清除”一项也选中,点击“开始扫描”即开始查杀病毒。
第六步:网站会在线启动“趋势科技在线扫毒程序”,扫描引擎开始工作,当发现病毒 时,病毒名称以及中毒文件名称均会被列出,此时扫毒引擎将自动清除检测到的病毒,当然你也可以按下“清除病毒”手工删除。若病毒无法被清除,软件会提供删 除文件的选项供您选择。扫描过程中你可以继续做其他事情。查杀完毕按“关闭”返回。
除了科技趋势外,还有一些网站提供在线杀毒服务,大家可以根据自己的实际选用:
1.263在线杀毒:upload.263.net/ahn/myv3light/authuser/indexdemo.html,263有免费试用版本与收费版本两种。
2.VRV2000在线杀毒:www.vrv2000.com/online/killonline.htm,国产杀毒软件“威啊威”提供的网上查毒杀毒服务,可免费使用。
3.瑞星在线杀毒:www.rising.com.cn/Ravonline/online.htm,瑞星强力推出在线杀毒服务,目前处于免费测试期,瑞星公司保留随时撤销这项服务的权利。
4.McAfee在线杀毒:http://www.mcafee.com/myapps/clinic/protect/default.asp
最后,针对不同的病毒破坏结果我们再介绍一些较为常用的补救措施。
1.Flash BIOS被破坏:重写BIOS程序,这项操作最好由专业技术人员进行,对于某些主板可能无法重写BIOS,此时只能更换主板。
2.CMOS被破坏:将CMOS放电,然后进行重新设置。注:有些主板提供了键盘恢复功能。开机时按住“Insert”键不放,可使CMOS恢复至初始状态。
3.引导区或主引导扇区被破坏:某些工具软件可以备份和恢复系统主引导和引导区信息 内容,出现问题后可用此备份恢复。对于没有备份引导区记录的用户,可以使用相关的工具来恢复。如果确认为引导区病毒破坏的情况(通常的症兆是计算机无法检 测到硬盘),数据本身还在,只是链接文件被破坏,很多工具都可以协助我们恢复数据。
4.系统文件丢失:如能正常启动,只需运行系统文件检查器进行恢复。在Windows 98下操作方法如下:
通过提示得知丢失文件的名称和路径。随后单击“开始”—“附件”—“系统工具”—“ 系统信息”程序。然后单击“系统信息”程序的“工具”菜单中的“系统文件检查器”。选中“系统文件检查器”中的“从安装软盘提取一个文件”,然后在下面的 文本框中输入要提取的文件名。最后单击对话框左下方的“开始”按钮,打开“提取文件”对话框。如果你使用原始安装盘进行恢复且事先用“系统文件检查器”扫 描过系统,它会自动在“还原自”和“将文件保存到”框内给出文件的源路径和恢复路径,然后单击“确定”即可。
在Windows 2000中,可在“开“SFC /SCANNOW”。系统会自动启动文件保护,Windows会验证所有受保护的系统文件,此时插入Windows 2000安装盘,选择修复即可。
5.应用程序文件丢失:出现这种情况时,可重新安装应用程序。
============================================
二、拒绝成为肉鸡 教你几招让黑客永远抓不到你
============================================
本文想告知普通电脑用户的是,防止电脑成为别人的“肉鸡”,和攻击者抓“肉鸡”一样超级简单,并且行之有效。您只要认识到如果成为“肉鸡”,会很受伤,你一定会拒绝被任何人控制。做到这几点,攻击者想抓住你,门儿都没有。
言归正传,防止成为“肉鸡”的,你只需要注意以下几点:
----------------------------------------------------------------
要点1:盗版windowsXP存在巨大风险,需要对这样立即进行安全性改造。
----------------------------------------------------------------
如果你的操作系统是其它技术人员安装,或者有可能是盗版XP,比如电脑装机商的**版本,蕃茄花园XP,雨木林风XP,龙卷风XP等。这样的系统,很多是无人值守安装的。安装步骤非常简单,你把光盘放进电脑,出去喝茶,回来就可能发现系统已经安装完毕。
这样的系统,最大的缺陷在哪儿呢?再明白不过,这种系统的管理员口令是空的,并且自动登录。也就是说,任何人都可以尝试用空口令登录你的系统,距离对于互联网来说,根本不是障碍。
-----------------改造方法:----------------
立即修改administrator用户口令,口令使用字母和其它特殊字符的组合,长度不低于8位。
改变登录方式,要求必须按ctrl+alt+del才可以登录。
-------------------------------------------------------------------------------------------------------------------
要点2:任何时候离开你的电脑,建议拔掉网线,不能断线的计算机,建议立即锁定,不要让陌生人能够物理的接触到你的计算机。
--------------------------------------------------------------------------------------------------------------------
随便找一个windowsPE的光盘(深山红叶修复工具盘等),用这种光盘引导,可轻易修改你的管理员登录密码,修改你的注册表信息,当然也包括写入病毒,再启动病毒程序。
曾经有个例子,上海某白领的网上银行一次性被云南的黑客划走数10万元。对于一般的网上银行来说,大众版通常限制了一天取款1000元左右,是小额支付,一旦丢失账号,也不至于损失特别巨大。对于专业版网上银行来说,如果数字证书是存储在本机计算机,当你较长时间离开你的电脑时,攻击者可以远程控制你的电脑,在你的电脑上转移财产。这和你本地进行在线银行业务没有任何区别。对于使用移动数字证书的网上银行用户,千万注意,用完就拔掉数字证书,不要给攻击者任何机会。
----------------解决办法:-----------------
当你需要较长时间离开电脑时,锁定电脑,或拔掉网线。
---------------------------
要点3:确保启用网络防火墙
---------------------------
对于互联网用户来说,网络防火墙(注意,这里指firewall,不是很多人认为的病毒实时监控)是隔离你和外界的一道关口,正确启用和配置防火墙,将会使你减少很多直接面对攻击的机会。在你的系统有漏洞未修补时,防火墙可能是唯一可保护你的电脑安全的解决方案。
但是,不要以为开启了防火墙就万事无忧了,防火墙基本只是拦截由外到内(由互联网到本机)通信,由内向外的访问,很容易使用各种手段进行欺骗,木马就是这样逃避防火墙完成盗窃任务的。
尽管,防火墙不是总有效,但有防火墙比没有强很多,是必须要启用的。
----------------------------------------------------------------------
要点4:切实关注安全漏洞信息,及时使用各种补丁修复工具,提升系统安全性
----------------------------------------------------------------------
系统漏洞在正式公布前,通常会被黑客利用很长时间,这就是通常说的0day攻击,这样的攻击也越来越常见。漏洞涉及windows操作系统文件和其它应用软件,但风险最大的仍是windows系统漏洞。应用软件漏洞的利用会受到较多的环境制约,通常风险相对较低。
最近广泛引起人们关注的是flashplayer漏洞,攻击者可利用这个漏洞运行任意指定的代码。
----------------解决方案:--------------
能用windowsupdate的,一定要用,让windows进行自动更新。看到右下角windowsupdate正在工作的图标,别给阻止了。
部分盗版用户不能正常使用windowsupdate或microsoftupdate的,建议使用第三方漏洞修复工具,比如金山清理专家的漏洞扫描修复模块。
-----------------------------------------------------------------------------
要点5:安装使用杀毒软件,并经常检查是否工作正常,是否可以进行病毒特征的更新
------------------------------------------------------------------------------
不要把安全问题只交给杀毒软件来负责,安全是系统工程,杀毒软件只是其中的一环。总是先有病毒,才会有杀毒软件更新。在很多情况下,安装杀毒软件之后,还是会中各种各样的病毒。但这不能说明杀毒软件不必要,相反,杀毒软件是非常重要的,如果没有杀毒软件,你的系统可能会更糟。
越来越多的病毒为了入侵你的系统,首先会尝试将杀毒软件废掉。破坏杀毒软件的功能,可能比杀毒软件对付病毒还要容易。因为破坏者的目标很明确,就是市面最流行的软件,针对这几种安全软件做手脚是很容易的。并且,病毒制造者不象杀毒软件那样,必须考虑每个更新带来的兼容性问题,攻击者只关注木马需要完成的任务,其它后果,病毒制造者是不用花很多功夫去考虑的。
木马病毒制造者是这样痛恨杀毒软件,以至于目前有相当多的木马入侵后,首先会去破坏杀毒软件,只要破坏者愿意,有针对性的破坏杀毒软件总是可以做到的,用户不要指望杀毒软件自身可以做成铜墙铁壁。连操作系统都可以被破坏,何况杀毒软件。
我们还可以把杀毒软件的工作状态,当作另一种检验工具:只要观察到杀毒软件突然不工作了,你首先应该考虑是不是被木马给破坏了。
---------------------解决办法:---------------------
安装一款适合自己的杀毒软件,并且在有效期内注意经常检查其功能,比如能不能正常启动,能不能正常升级等等。
-----------------------------------
要点6:一定要小心使用移动存储设备
-----------------------------------
在互联网发展起来之前,病毒的传播是依赖于软磁盘的,其后让位于网络。现在,公众越来越频繁的使用移动存储设备(移动硬盘、U盘、数码存储卡)传递文件,这些移动存储设备成为木马传播的重要通道。计算机用户通常把这样的病毒称为U盘病毒或AUTO病毒。意思是插入U盘这个动作,就能让病毒从一个U盘传播到另一台电脑。
-----------------------解决办法:---------------
立即毫不犹豫的禁用U盘的自动播放功能,这个功能的方便性微不足道,但染毒的风险非常重要。
禁用的方法,可以在毒霸的设置中修改。
-----------------
要点7:安全上网
-----------------
成为肉鸡很重要的原因之一是浏览不安全的网站,区分什么网站安全,什么网站不安全,这对普通用户来说,是很困难的。并且还存在原来正常的网站被入侵植入木马的可能性,也有被ARP攻击之后,访问任何网页都下载木马的风险。
上网下载木马的机会总是有的,谁都无法避免,只能减轻这种风险。
浏览器的安全性需要得到特别关注,浏览器和浏览器插件的漏洞是黑客们的最爱,flashplayer漏洞就是插件漏洞,这种漏洞是跨浏览器平台的,任何使用flashplayer的场合都可能存在这种风险。
----------------------解决办法:-----------------------
及时修补浏览器漏洞,及时将浏览器升级到最新的版本,减少把有风险的系统暴露给攻击者的时间。
避免浏览一些灰色站点,通常这种站点流量比较大,比如人数众多的生活社区、在线视频社区、聊天交友社区、色情类网站、赌博类网站等等。浏览这类网站,如果发现系统异常,应该立即用《”如何检测电脑是不是”肉鸡“》所介绍的方法进行检查。
以上,绝不是安全防护的全部,可以说是最重要的风险最大的几个环节,注意从上面这几点进行安全防护,至少三角猫的黑客拿你没办法。
安全防护是动态的,时刻提高警惕吧,对互联网来说,要有视一切为威胁的观点。就象对一个外科医生来说,在他的眼里,一切物体都是被细菌病毒污染的,消毒是最基本原则。
==================
三、安全上网指南
==================
1、如何避免感染病毒木马、首页篡改、账号密码被盗等
随着互联网的日益普及,上网已经成为我们生活中的一部分。但不安全的网站和软件给网民造成危害的情况也日益增加,如电脑感染病毒木马、首页被恶意篡改、遇到假冒的银行网站、QQ密码被盗、网游账号或股票账号被盗等等问题。这些轻则影响使用,重则造成个人财产损失。
在此,2345网址导航提供几个简单实用的办法,解决广大网友的困扰。安全上网,重在预防。如果您的电脑出现了异常情况,请按照以下首页修复方法解决。修复地址是http://www.2345.com/help/zyxf.htm
(1)、养成良好的上网习惯 (2)、保护电脑安全(3)、保护网上银行安全
(一)、养成良好的上网习惯
预防重于治疗。养成良好的上网习惯是避免电脑感染病毒的根本方法。
1、电脑使用习惯
----<个人电脑>
※ 设置操作系统登录密码,并开启防火墙软件。
※ 安装杀毒软件并及时更新病毒特征库。
※ 尽量不转借个人电脑。
----<公共电脑>
※ 不在未安装杀毒软件的电脑上登录个人帐户。
※ 尽量不在公共电脑登录网络银行等敏感帐户。
※ 不在公共电脑保存个人资料和帐号信息。
※ 尽量使用软键盘输入密码。
※ 离开前注意退出所有已登录的帐户。
2、使用安全的软件
※ 只到绿色安全的软件下载站下载软件,如:多特软件站,新浪下载中心等。
※ 开启操作系统及其他软件的自动更新设置,及时修复系统漏洞和第三方软件漏洞。
※ 非下载站获得的软件在运行前须进行病毒扫描。
※ 定期全盘扫描病毒等可疑程序 。
※ 定期清理未知可疑插件和临时文件。
3、访问安全的网站
※ 尽量通过2345网址导航访问其他网站,以免中病毒。2345网址导航是绿色安全导航网,收录的每个网站都经过严格审核,杜绝了有病毒木马的网站。
※ 不访问包含黄色、暴力等不良信息的网站。
※ 对于网站意外弹出的下载文件或安装插件等请求应拒绝或询问专业人士。如果首页不幸被恶意插件篡改或IE被劫持,请及时使用首页修复:http://www.2345.com/help/zyxf.htm
※ 登录网络银行等重要帐户时,要注意网站地址是否和服务商提供的网址一致。
※ 不轻信网站中发布的诸如“幸运中奖”等信息,更不要轻易向陌生帐户汇款。
※ 收到来历不明的电子邮件,在确认来源可靠前,不要打开附件或内容中的网站地址。
※ 网上购物时,应避免在收到货物前直接付款到对方帐户(应尽可能使用“支付宝”等支付平台购物,付款有保障)。
※ 发现恶意网站,应及时举报,举报地址:http://safesurf.china.cn/data_form.php
(二)、保护电脑安全
您只需要按照以下四个步骤对计算机进行必要的防护,就可以大大增强个人电脑的安全性。
1、安装防火墙——电脑的防盗门
防火墙是电脑上网的第一层保护,它位于电脑和互联网之间,就像电脑的一扇安全门。
防火墙可以检查来自 Internet 或网络的信息,然后根据防火墙设置阻止或允许这些信息进入计算机。防火墙有助于防止黑客或恶意软件(如蠕虫)通过网络或 Internet 访问计算机。
常用防火墙软件下载:http://www.duote.com/sort/7_88_dwon_0_1_.html
2、安装杀毒软件——驻守电脑的警察
相对于防火墙,杀毒软件是电脑的第二层保护手段,它的作用很像上网计算机雇佣的专业警察。由于各种原因,即使您安装了防火墙,病毒仍然有可能侵入您的电脑,此时,杀毒软件就可以实时发出警报、主动防御以及解除威胁,保护您的计算机不受侵害。
重要提醒:杀毒软件一般每日更新病毒库以发现最新的病毒,请确定您的杀毒软件能够自动更新病毒特征库。如果使用已过期的病毒库,杀毒软件也无法保证您电脑的安全。
3、常用杀毒软件下载:http://www.duote.com/zhuanti/zt7/index.html
及时修复操作系统和应用软件漏洞——电脑较脆弱的后门
操作系统和应用软件的漏洞就像是电脑脆弱的后门,病毒和恶意软件可以通过这个脆弱的后门乘虚而入。
用户通常使用的Windows操作系统以及各种应用软件不可避免的会存在漏洞,这些漏洞容易被恶意程序利用入侵用户的电脑。QQ软件安全组通过对盗号木马监测数据分析发现,对于反复感染盗号木马的计算机,绝大多数都存在已发现的操作系统漏洞。
●如何修复操作系统漏洞?
保持您的Windows Update为开启状态,Windows会自动为您的计算机修复系统漏洞(非正版Windows仅会获得紧急漏洞的修复服务),您也可以定期使用专业的系统漏洞修复工具(如瑞星卡卡)扫描系统漏洞。
●如何修复应用软件漏洞?
最新统计发现,恶意程序也会利用常用的应用软件(如多媒体播放软件)漏洞入侵用户计算机。对此,用户应该养成定期更新常用软件的习惯,尽量保证常使用的软件是最新的版本。此外,当您收到软件升级提示信息时,应该尽量按照提示立即更新软件程序。
定期清理间谍软件——电脑中有害的垃圾
间谍软件在未经用户同意的情况下,通过某种方式(如非法捆绑在非正版软件中)偷偷的安装入用户电脑,从而达到获利的目的(如发布广告)。间谍软件可能导致您的计算机运行缓慢,对计算机的重要设置进行恶意篡改,用户甚至无法正常卸载某些间谍软件。
常用系统清理软件下载:http://www.duote.com/zhuanti/zt16/index.html
(三)、保护网上银行安全
作为网银用户,网银的安全性不仅仅是银行的责任,作为使用者的我们,身上也担负着保卫网银的责任。让我们从自己做起,保护网银安全,防止密码泄露造成不必要的损失。
谨防钓鱼网站
其实真正由于银行安全漏洞钱财失窃的事情是少数,更多的人是因为输错了网址,上了钓鱼网站的当才不幸中招。当我们要访问银行网站是,尽量通过2345网址导航中的银行链接来访问,避免上当。
保护好帐号密码
银行卡的帐号和密码是绝对私人所有,不要轻易告诉别人。银行不会通过第三方来转告用户一些事情,当接到陌生的电话或者短信、邮件的时候还需要小心核对。此外定期更换银行密码,尽量不要使用简单易猜的密码。登陆网上银行请尽量使用"软键盘"。(软键盘开启方法:以此点击"开始"->"程序"->"附件"->"辅助工具"->"屏幕键盘")
定期查询详细交易
做好自己的交易日志,保证对自己的每一项有记录的交易印象深刻。
对杀毒软件的使用
将电脑的防火墙设置最高安全级别,及时升级杀毒软件,避免“网银大盗”的侵入。
利用银行提供的各种增值服务
现在很多银行都提供了交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态,反正是免费。
是系统就一定有漏洞,对于银行系统来说也是如此。所以我们也不要埋怨银行的安全系统做的多么不好,只要我们先从自身做起,提高自身安全意识,再加上银行不断升级的安全服务,相信总会有一天“魔高一尺,道高一丈”,毕竟银行背后有千千万万的支持者。
===================================
四、刀枪不入,个人电脑九大安全策略
===================================
以下内容需要积分达到10才可以浏览
(一)、 杀(防)毒软件不可少
病毒的发作给全球计算机系统造成巨大损失,令人们谈“毒”色变。上网的人中,很少有谁没被病毒侵害过。对于一般用户而言,首先要做的就是为电脑安装一套正版的杀毒软件,如《瑞星杀毒软件2005版》、《金山毒霸2005》、《江明杀毒软件kv2005》或《NortonAntiVirus2005》等等。
现在不少人对防病毒有个误区,就是对待电脑病毒的关键是“杀”,其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色,即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序,应该定期升级所安装的杀毒软件(如果安装的是网络版,在安装时可先将其设定为自动升级),给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷,现在各杀毒软件厂商的病毒库更新十分频繁,应当设置每天定时更新杀毒实时监控程序的病毒库,以保证其能够抵御最新出现的病毒的攻击。
每周要对电脑进行一次全面的杀毒、扫描工作,以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒。如果病毒无法清除,或者杀毒软件不能做到对病毒体进行清晰的辨认,那么应该将病毒提交给杀毒软件公司,杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时,我们的第一反应应该是拔掉网络连接端口,或按下杀毒软件上的断开网络连接钮。
(二)、个人防火墙不可替代
如果有条件,安装个人防火墙(Fire Wall)以抵御黑客的袭击。所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙进行更新。在理想情况下,一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看,这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件,防病毒软件中都含有个人防火墙,所以可用同一张光盘运行个人防火墙安装,重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。
(三)、分类设置密码并使密码设置尽可能复杂
在不同的场合使用不同的密码。网上需要设置密码的地方很多,如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。
设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码,最好采用字符与数字混合的密码。
不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件(Outlook Express、Foxmail、The bat等)来收发重要的电子邮箱,如ISP信箱中的电子邮件,在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的,但是这样的加密往往并不保险,一些初级的黑客即可轻易地破译你的密码,而且现在网上就有许多黑客软件可供下载,例如caption-it!软件,下载网址为ftp://www.computerinfo.com.cn/utilities/other/caption-it.zip,利用它可以轻而易举地得到你保存的密码。
定期地修改自己的上网密码,至少一个月更改一次,这样可以确保即使原密码泄露,也能将损失减小到最少。
(四)、不下载来路不明的软件及程序,不打开来历不明的邮件及附件
不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件(尤其是可执行文件),在给你带来方便和快乐的同时,也会悄悄地把一些你不欢迎的东西带到你的机器中,比如病毒。因此应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件,随时监控网上传递的信息。
不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行,有些病毒就是通过电子邮件来传播的(如梅丽莎、爱虫等),这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件,如果您抵挡不住它的诱惑,而下载或运行了它的附件,那么接下来···所以对于来历不明的邮件应当将其拒之门外。
(五)、警惕“网络钓鱼”
目前,网上一些黑客利用“网络钓鱼”手法进行诈骗,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕,防止上当受骗。
目前“网络钓鱼”的主要手法有以下几种方式:
(1)发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。
(3)利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。
(4)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
(5)利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。
实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动,如Netcraft Toolbar,该软件是IE上的Toolbar,当用户开启IE里的网址时,就会检查是否属于被拦截的危险或嫌疑网站,若属此范围就会停止连接到该网站并显示提示。
(六)、防范间谍软件(Spyware)
最近公布的一份家用电脑调查结果显示,大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件(Spyware)是一种能够在用户不知情的情况下偷偷进行安装(安装后很难找到其踪影),并悄悄把截获的信息发送给第三者的软件。它的历史不长,可到目前为止,间谍软件数量已有几万种。间谍软件的一个共同特点是,能够附着在共享文件、可执行图像以及各种免费软件当中,并趁机潜入用户的系统,而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯,有些间谍软件还可以记录用户的键盘操作,捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起,用户很难发现它们是什么时候被安装的。一旦间谍软件进入计算机系统,要想彻底清除它们就会十分困难,而且间谍软件往往成为不法分子手中的危险工具。
从一般用户能做到的方法来讲,要避免间谍软件的侵入,可以从下面三个途径入手:
(1)把浏览器调到较高的安全等级—— Internet Explorer预设为提供基本的安全防护,但您可以自行调整其等级设定。将Internet Explorer的安全等级调到“高”或“中”可有助于防止下载。
(2)在计算机上安装防止间谍软件的应用程序(如Mircrosoft Anti Spyware是一款专门针对Spyware的程序,支持Windows2000/XP/2003,它是用于监测和移除系统中存在的Spyware和其他潜在的不受信任程序的软件),时常监察及清除电脑的间谍软件,以阻止软件对外进行未经许可的通讯。
(3)对将要在计算机上安装的共享软件进行甄别选择,尤其是那些你并不熟悉的,可以登录其官方网站了解详情;在安装共享软件时,不要总是心不在焉地一路单击“OK”按钮,而应仔细阅读各个步骤出现的协议条款,特别留意那些有关间谍软件行为的语句。
(七)、只在必要时共享文件夹
不要以为你在内部网上共享的文件是安全的,其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前,公众可以自由地访问您的那些文件,并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码,一旦不需要共享时立即关闭。
一般情况下不要设置文件夹共享,以免成为居心叵测的人进入你的计算机的跳板。
如果确实需要共享文件夹,一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全”选项,因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的,其他机器不能写入;Windows2000的共享默认是“可写”的,其他机器可以删除和写入文件,对用户安全构成威胁。
不要将整个硬盘设定为共享。例如,某一个访问者将系统文件删除,会导致计算机系统全面崩溃,无法启动。
(八)、不要随意浏览黑客网站、色情网站
这点勿庸多说,不仅是道德层面,而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站,如果你上了这些网站,而你的个人电脑恰巧又没有缜密的防范措施,哈哈,那么你十有八九会中招,接下来的事情可想而知。
(九)、定期备份重要数据
数据备份的重要性毋庸讳言,无论你的防范措施做得多么严密,也无法完全防止“道高一尺,魔高一丈”的情况出现。如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!
========================
五、互联网时代的PC安全
========================
---------防病毒、防火墙、防间谍软件,一个都不能少-------------
(一)、互联网时代,PC面临着比病毒更多的威胁
随着信息时代的发展,使用PC或笔记本电脑的个人用户越来越依赖互联网 – 上网看新闻、查信息、联机交易、远程办公、下载软件、在线聊天/玩游戏,等等。每当您连接到互联网,除了获取有用的信息和服务外,同时还会面对大量恶意程序和黑客入侵的风险,防不胜防。
常见的网络危害活动有:
? 病毒(Virus)
病毒是有危害性的程序,能够自我复制,往往会侵占内存、硬盘空间,并引起系统或网络中断。计算机病毒主要通过网络、电子邮件、移动介质等形式进行传播,造成系统异常、数据破坏、网络堵塞。
? 蠕虫(Worm)
蠕虫是独立的破坏性程序,常常执行恶意代码操作,例如:侵占计算机系统资源、导致系统宕机。与病毒不同之处在于,蠕虫作为独立的程序进行自我复制,不会将自身附加在其它对象之上。蠕虫具备如下显著特征:1.利用系统漏洞进行攻击;2.通过网络广泛传播。蠕虫通过网络传播,造成的危害广泛、迅速、经济损失巨大。
? 木马(Trojan Horse)
特洛伊木马是伪装成正常应用的破坏性程序。与病毒和蠕虫不同,木马不进行自我复制,它通过传递(或下载)其它恶意软件的方法对网络和系统进行破坏。
? 后门(Backdoor)
后门是对程序、服务、计算机以致整个网络进行访问的秘密通道。大多数后门程序通过探测系统漏洞获取访问权限,由黑客进行远程控制。后门是一个潜在的安全风险,允许黑客非法获取访问系统以及文件的权限。
? 间谍软件(Spyware)
间谍软件是一种窃取用户信息的程序,它往往在用户不知情的情况下利用其网络连接悄悄获取信息。间谍软件一旦被安装,便可以监视用户的网络活动、并在后台将信息传递给不法分子。间谍软件常收集用户地址信息、银行帐户和密码信息。
? 广告软件(Adware):
广告软件是在计算机上自动作广告的软件,它们可能出现在浏览器窗口,在用户最初同意后随即生效。广告软件不造成恶意损害,但某些广告软件收集用户信息(例如浏览器访问习惯),弹出烦人的窗口,有些广告软件还以轰炸形式减慢PC速度。
? 键盘记录器(Key Loggers):
键盘记录器是一种监视类软件,能够将每一次键盘敲击动作完整地记录到一个日志文件中,可被发送给特定的接收者,以此窃取你的密码和机密信息。
? 浏览器劫持(Hijacker):
浏览器劫持是一个文件,可以重设浏览器缺省主页和搜索结果,禁止你修改浏览器主页或访问特定网站,或者在您进行网上冲浪时被强迫重定向到那些非法网站。
? 网络钓鱼(Phishing)
“网络钓鱼”是指以电子方式骗取用户重要信息的网络欺诈活动。网络钓鱼者通过散发大量垃圾邮件等形式,诱骗用户访问其假冒网站,非法获取财务账户、密码等信息。
? 黑客(Hacker)
黑客是一些熟悉计算机和网络高级技术的一群人或组织,他们可利用黑客工具或人工技术探测网络目标,发现漏洞后进行展开攻击。一旦被黑客入侵,您的电脑可能被完全控制。
最常见的安全防御手段就是安装防病毒软件,广大用户对此早已耳熟能详。然而,随着网络威胁种类和危害手段的不断增多,单一的防病毒措施开始显得力不从心。
为全面应对互联网安全威胁,我们需要采用更加全面的技术进行综合防御。近几年新兴的“互联网安全套件”正是解决这些问题的有效手段,值得广大PC用户引起重视。
(二)、互联网安全套件:全面防御PC安全威胁
IDC近年调查分析的数据表明,病毒、蠕虫、木马、间谍软件、垃圾邮件、用户失误和黑客入侵是成为当今计算机用户面临的最主要危害。“互联网安全套件”正是面向PC用户提供安全保护的综合软件,它比传统的防病毒软件防御范围更广、也更加有效。
以冠群金辰的CA互联网安全套件2008(Internet Security Suite,CA ISS)为例,它集成了防病毒、防间谍软件、个人防火墙、反垃圾邮件四大功能,可综合防御病毒传播,阻止黑客入侵攻击,避免个人身份信息、财务信息、机密信息、隐私信息失窃,克服恶意程序造成的电脑工作性能下降,防止垃圾邮件干扰破坏和信息欺诈。具体表现在:
防病毒:如果没有任何防护,病毒会以很多种形式侵入。例如电子邮件、网络下载、即时消息(MSN、QQ等)、移动U盘、甚至网页传播。病毒会删除你的文件、破坏硬盘、毁坏有价值的信息(照片、音乐、文档)。CA ISS的防病毒组件可全面防御病毒、蠕虫、木马的破坏。
防间谍软件:间谍软件可窃取银行卡或证券帐号和密码、显示一些讨厌的广告、将用户网络搜索转换到危害或欺骗网站、降低电脑速度、甚至远程控制电脑。CA ISS的防间谍软件可保护用户电脑免受间谍软件威胁,避免暴露您的机密信息,保障电脑性能不受侵害。
个人防火墙:每一个连接到互联网的个人电脑都是黑客和身份窃取者的潜在目标。CA ISS的防火墙组件可保护用户电脑免受已知和未知的威胁,并可提供防黑客和隐私保护。它可阻止入侵者和恶意程序,并保护用户私密信息免遭窃取。
反垃圾邮件:CA ISS可有效过滤垃圾邮件,无须创建和管理复杂的规则和过滤器。它可与Microsoft Outlook或Outlook Express无缝结合,阻止不需要的垃圾邮件和网络钓鱼陷阱。
(三)、用户选择:互联网安全套件,还是防病毒软件?
如果您希望保护得越全面越好,我们自然建议您选择“互联网安全套件”。但毕竟它要多花些银子啊。
虽然我们说“互联网安全套件”比“防病毒软件”功能更全、效果更好,但并不是说防病毒软件就从此可以退出历史舞台了。防病毒软件价廉物美、易使用、速度快,对于只关心防病毒的用户也是足够的了。至于用户是选择“互联网安全套件”还是“防病毒软件”,还需看具体情况。还是那就话:没有最好、只有更好,只有适合的才是最好的。
===========================
六、使用杀毒软件的十大误区
===========================
几乎每个用电脑的人都遇到过计算机病毒,也使用过杀毒软件。但是,对病毒和杀毒软件的认识许多人还存在误区。杀毒软件不是万能的,但也绝不是废物。撰写此文的目的就是让更多的人能够对杀毒软件有正确的认识,更合理地使用杀毒软件。
误区一:好的杀毒软件可以查杀所有的病毒
许多人认为杀毒软件可以查杀所有的已知和未知病毒,这是不正确的。对于一个病毒,杀毒软件厂商首先要先将其截获,然后进行分析,提取病毒特征,测试,然后升级给用户使用。
虽然,目前许多杀毒软件厂商都在不断努力查杀未知病毒,有些厂商甚至宣称可以100%杀未知病毒。不幸的是,经过专家论证这是不可能的。杀毒软件厂商只能尽可能地去发现更多的未知病毒,但还远远达不到100%的标准。
甚至,至于一些已知病毒,比如覆盖型病毒。由于病毒本身就将原有的系统文件覆盖了。因此,即使杀毒软件将病毒杀死也不能恢复操作系统的正常运行。
误区二:杀毒软件是专门查杀病毒的,木马专杀才是专门杀木马的
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息安全技术的不断发展,病毒的定义已经被扩大化。
随着技术的不断发展,计算机病毒的定义已经被广义化,它大致包含:引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本、恶意程序、键盘记录器、黑客工具等等。
可以看出木马是病毒的一个子集,杀毒软件完全可以将其查杀。从杀毒软件角度讲,清除木马和清除蠕虫没有配制的区别,甚至查杀木马比清除文件型病毒更简单。因此,没有必要单独安装木马查杀软件。
误区三:我的机器没重要数据,有病毒重装系统,不用杀毒软件
许多电脑用户,特别是一些网络游戏玩家,认为自己的计算机上没有重要的文件。计算机感染病毒,直接格式化重新安装操作系统就万事大吉,不用安装杀毒软件。这种观点是不正确的。
几年前,病毒编写者撰写病毒主要是为了寻找乐趣或是证明自己。这些病毒往往采用高超的编写技术,有着明显的发作特征(比如某月某日发作,删除所有文件等等)。
但是,近几年的病毒已经发生了巨大的变化,病毒编写者以获取经济利益为目的。病毒没有明显的特征,不会删除用户计算机上的数据。但是,它们会在后台悄悄运行,盗取游戏玩家的账号信息、QQ密码甚至是银行卡的账号。由于这些病毒可以直接给用户带来经济损失。对于个人用户来说,它的危害性比传统的病毒更大。
对于此种病毒,往往发现感染病毒时,用户的账号信息就已经被盗用。即使格式化计算机重新安装系统,被盗的账号也找不回来了。
误区四:查毒速度快的杀毒软件才好
不少人都认为,查毒速度快的杀毒软件才是最好的。甚至不少媒体进行杀毒软件评测时都将查杀速度作为重要指标之一。不可否认,目前各个杀毒软件厂商都在不断努力改进杀毒软件引擎,以达到更高的查杀速度。但仅仅以查毒速度快慢来评价杀毒软件的好坏是片面的。
杀毒软件查毒速度的快慢主要与引擎和病毒特征有关。举个例子,一款杀毒软件可以查杀10万个病毒,另一款杀毒软件只能查杀100个病毒。杀毒软件查毒时需要对每一条记录进行匹配,因此查杀100个病毒的杀毒软件速度肯定会更快些。
一个好的杀毒软件引擎需要对文件进行分析、脱壳甚至虚拟执行,这些操作都需要耗费一定的时间。而有些杀毒软件的引擎比较简单,对文件不做过多的分析,只进行特征匹配。这种杀毒软件的查毒速度也很快,但它却有可能会漏查比较多的病毒。
由此可见,虽然提高杀毒速度是各个厂商不断努力奋斗的目标,但仅从查毒速度快慢来衡量杀毒软件好坏是不科学的。
误区五:杀毒软件不管正版盗版,随便装一个能用的就行
目前,有很多人机器上安装着盗版的杀毒软件,他们认为只要装上杀毒软件就万无一失了,这种观点是不正确的。杀毒软件与其他软件不太一样,杀毒软件需要经常不断升级才能够查杀最新最流行的病毒。
此外,大多数盗版杀毒软件都在破解过程中或多或少地损坏了一些数据,造成某些关键功能无法使用,系统不稳定或杀毒软件对某些病毒漏查漏杀等等。更有一些居心不良的破解者,直接在破解的杀毒软件中捆绑了病毒、木马或者后门程序等,给用户带来不必要的麻烦。
杀毒软件买的是服务,只要正版的杀毒软件,才能得到持续不断的升级和售后服务。同时,如果盗版软件用户真的遇到无法解决的问题也不能享受和正版软件用户一样的售后服务,使用盗版软件看似占了便宜,实际得不偿失。
误区六:根据任务管理器中的内存占用判断杀毒软件的资源占用
很多人,包括一些媒体进行杀毒软件评测,都用Windows自带的任务管理器来查看杀毒软件的内存占用,进而判断一款杀毒软件的资源占用情况,这是值得商榷的。
不同杀毒软件的功能不尽相同,比如一款优秀的杀毒软件有注册表、漏洞攻击、邮件发送、接收、网页、引导区、内存等监控系统。比起只有文件监控的杀毒软件,内存占用肯定会更多,但却提供了更全面的安全防护。
同时,也有一小部分杀毒软件厂商为了对付评测,故意在程序中限定杀毒软件可占用内存数的大小,使这些数值看上去很小,一般在100KB甚至几十KB左右。实际上,内存占用虽然小了,但杀毒软件却要频繁的进行硬盘读写,反倒降低了软件的运行效率。
误区七:只要不用软盘,不乱下东西就不会中毒
目前,计算机病毒的传播有很多途径。它们可以通过软盘、U盘、移动硬盘、局域网、文件,甚至是系统漏洞等进行传播。一台存在漏洞的计算机,只要连入互联网,即使不做任何操作,都会被病毒感染。
因此,仅仅从使用计算机的习惯上来防范计算机病毒难度很大,一定要配合杀毒软件进行整体防护。
误区八:杀毒软件应该至少装三个才能保障系统安全
尽管杀毒软件的开发厂商不同,宣称使用的技术不同,但他们的实现原理却可能是相似或相同的。同时开启多个杀毒软件的实时监控程序很可能会产生冲突,比如多个病毒防火墙同时争抢一个文件进行扫描。安装有多种杀毒软件的计算机往往运行速度缓慢并且很不稳定,因此,我们并不推荐一般用户安装多个杀毒软件,即使真的要同时安装,也不要同时开启它们的实时监控程序(病毒防火墙)。
误区九:杀毒软件和个人防火墙装一个就行了
许多人把杀毒软件的实时监控程序认为是防火墙,确实有一些杀毒软件将实时监控称为“病毒防火墙”。实际上,杀毒软件的实时监控程序和个人防火墙完全是两个不同的产品。
通俗地说,杀毒软件是防病毒的软件,而个人防火墙是防黑客的软件,二者功能不同,缺一不可。建议用户同时安装这两种软件,对计算机进行整体防御。
误区十:专杀工具比杀毒软件好 有病毒先找专杀
不少人都认为杀毒软件厂商推出专杀工具是因为杀毒软件存在问题,杀不干净此类病毒,事实上并非如此。针对一些具有严重破坏能力的病毒,有及传播较为迅速的病毒,杀毒软件厂商会义务地推出针对该病毒的免费专杀工具,但这并不意味着杀毒软件本身无法查杀此类病毒。如果你的机器安装有杀毒软件,完全没有必要再去使用专杀工具。
专杀工具只是在用户的计算机上已经感染了病毒后进行清除的一个小工具。与完整的杀毒软件相比,它不具备实时监控功能,同时专杀工具的引擎一般都比较简单,不会查杀压缩文件、邮件中的病毒,并且一般也不会对文件进行脱壳检查。
================================
七、病毒关掉杀毒软件的解决技巧
================================
电脑中毒后往往会把杀毒软件和安全工具关闭或者禁止它们运行。要使杀毒软件和安全工具运行起来,必须将后台运行的病毒进程关闭掉,下面就介绍几种方法:
1、进入安全模式尝试开启杀毒软件和安全工具,如果无法运行,将杀软和安全工具改名,比如将rising.exe修改为a.com或者a.scr,看是否可以运行。
2、如果不行,看看msconfig和服务是否能打开,如果能打开,把可疑进程和可疑服务取消和关闭掉,重新启动。
3、如果上面的方法不行,使用任务管理器,找到可疑进程,在进程上点右键,选择“结束进程树”,这样可以防止病毒的守护程序再次开启刚关闭的进程。
如果“任务管理器”也打不开,试着进入cmd,使用tasklist和taskkill把病毒进程关闭掉,如果也不行,看看gpedit.msc是否可以运行,如果可以运行,那就到组策略中的“用户配置”--“管理模板”--“系统”--“不要运行制定的windows应用程序”,将病毒名加进去,使其无法开机运行。
4、如果gpedit.msc也无法运行,到网上把icesword找来,看是否能运行,如果能运行,关闭病毒进程。
5、如果icesword也无法运行,那就注销这个用户,登陆到其他用户,看看是否能把杀毒软件和安全工具运行起来,我发现这个方法很有效。
到了这一步,杀毒软件和安全工具基本都可以运行起来了,至少维护计算机这么多年还没有遇到上面这些方法没有解决的,当然除了rootkit除外。360安全卫士是个不错的安全工具,建议与杀毒软件搭配使用。
===========================================
八、决不做“肉鸡” 从零开始保护自己的系统
===========================================
摘要:现在的黑客技术有朝着大众化方向发展的趋势,能够掌握攻击他人系统技术的人越来越多了,只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序,就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?
近来黑客攻击事件频频发生,我们身边的朋友可能有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势,能够掌握攻击他人系统技术的人越来越多了,只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序,就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?
(一)、要命的端口
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。如果开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利。尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。在Windows 下,通过“开始”选取“运行”,然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务,就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。
(二)、敌人的“进程”
在Windows 下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;还可以通过系统自带的工具msinfo32看到,在“开始→运行”里输入msinfo32,打开“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。
但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,
(三)、小心,远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题,如强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞,黑客可以利用这个漏洞在系统上执行任意指令。所以,要安全地远程使用它就要进行IP限制。
安装最新版的远程控制软件也有利于提高安全性,比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
(四)、“专业人士”帮你免费检测
很多安全站点都提供了在线检测,可以帮助我们发现系统的问题,如天网安全在线推出的在线安全检测系统──天网医生,它能够检测你的计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。
天网医生可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目,可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线以及蓝盾在线检测。另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿,就是一个专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。
(五)、自己扫描自己
天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果你有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。
我们知道,黑客在入侵他人系统之前,常常用自动化工具对目标机器进行扫描,我们也可以借鉴这个思路,在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan,当然小蓉流光也很不错。
以X-Scan为例,它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项,更为重要的是列出系统漏洞之外,它还给出了十分详尽的解决方案,我们只需要“按方抓药”即可。
例如,用X-Scan对隔壁某台计算机进行完全扫描之后,发现如下漏洞:
[192.168.1.70]: 端口135开放: Location Service
[192.168.1.70]: 端口139开放: NET BIOS Session Service
[192.168.1.70]: 端口445开放: Mi crosoft-DS
[192.168.1.70]: 发现 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 发现 “NetBios信息”
从其中我们可以发现,Windows 2000弱口令的问题,这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135~139端口。
(六)、别小瞧Windows Update
微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要点击“开始”菜单中的Windows Update,就到了微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能把黑客和病毒拒之门外。
================================================
九、灭毒有招 如何全面清除计算机病毒(防毒技巧)
================================================
网络时代,病毒已经无所不在。在层出不穷、变化多端的病毒袭击下,中招基本上是不可避免的了。那么中招以后我们改如何处理(当然必须处理,否则计算机没法替你工作)?是格式化系统然后重装Windows,还是请人帮忙……。因为职业关系,我不得不与这些让人讨厌的东西战斗着,逐步地积累了一些行之有效的办法,供大家参考。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
四、建议
防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是:Internet的接入处是外网防火墙;紧接着是防毒网关(熊猫卫士的性价比较高);然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
=========================================
十、打赢防毒战争 教你彻底防杀木马病毒
=========================================
“我想,我们应该烧掉这个东西。”3000多年前,面对希腊人突然遗留在战场废墟上的这只巨大的木马,特洛伊王国的小王子帕里斯对他的父王说。因为他有一种不安的感觉,这个突然出现的物体会带来厄运。然而没有人听他的话,整个军队固执的把这只庞然大物作为战利品运回了城里。几天后的夜里,藏在木马里的希腊士兵从内部打开了特洛伊那坚不可摧的城门——特洛伊因此沦陷。如果帕里斯仍有灵魂存在的话,他也许会苦苦思索这个问题:如果当初我坚持把这个带来厄运的东西焚烧掉,那么特洛伊将会是怎样一种结局呢? 众所周知,木马(Trojan,或称后门“BackDoor”)是一种危害巨大的程序,它们让被害的计算机对着未知的入侵者敞开了大门,使得受害者的系统和数据暴露在混乱的网络世界里。和病毒一样,木马也经历了好几代的演变,使得它越藏越深,成为另一种难以揪除的寄生虫。 ——如果,我们趁早把木马焚烧掉呢?
1、认识木马
简言之,信息领域的木马,就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,它由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自己复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。到此为止,木马还只处于被特洛伊的市民拉入城内的阶段,是不会进行破坏行动的。 当入侵者使用客户端连接上木马服务器端开放的端口后,特洛伊的城门就被打开了,到这里,木马的噩梦才正式开始…… 所以,在木马屠城的军号吹响之前,如果帕里斯及时点燃了这只庞然大物,特洛伊也许就不会消失——至少,它不会是被一只木马给毁掉的。
2、阻止木马进城——不同时期的木马形态与相应的系统保护
特洛伊被木马计的前提是因为特洛伊人自己把藏有希腊士兵的木马运进了城内,让木马计得以成功实施,换个角度,如果当初特洛伊人任凭木马搁在海滩上发霉发臭,或者直接焚烧了这只装载着厄运的东西,那么“特洛伊木马”将会被作为与“马奇诺防线”同样性质的著名无效战略而被列入史册,而且后世可能再也不会采用这种攻击手段。 但是希腊人的木马计成功了,正如现在数以千计的现代网络木马计成功了一样。现代的希腊人——入侵者积极使用各种手段让现代的特洛伊人——受害者把那只木马程序高高兴兴的领回家去。早期的防病毒思想并不盛行,那时候的网民也比较单纯,使用网络防火墙的人也只有少数,所以那时候的入侵者可以算是幸福的,他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行,这一时期的木马种植手段(如今的普遍称谓为“下马”)基本上不需要牵涉到技术,也许唯一需要的技术就是如何配置和使用一个木马,因为那时候木马也还是个新产物而已。那时候的网民,只能依靠自己的判断和技术,才能免受或摆脱木马之害。因此,当木马技术刚在国内开始的时候,任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻,可以毫不夸张的说,那时候是木马的第一黄金时期,唯一美中不足的制约条件就是当时的网络速度普遍太慢了。随着时间的流逝,木马技术发展日益成熟,但网民的安全意识也普遍提高,更出现了初期的病毒防火墙概念,这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了,这时期的木马虽然隐蔽性有了相对提高,但仍然是基于客户端寻找连接服务器端的模式。由于出现了病毒防火墙,网民判断和查杀木马的效率大大提高,而且大部分人也知道“人心不古”了,不再轻易接收陌生人给的程序,使得木马不再像上时期那样肆无忌弹的横行,但是因为病毒防火墙是个新兴产物,仍然有相对多的人没有安装使用,以至于许多老旧的木马依然可以横行无忌。再后来,随着网络防火墙技术诞生和病毒防火墙技术的成熟,木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”,同时由于网络防火墙技术的出现,让计算机与网络之间不再直接,尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略,导致大部分木马纷纷失效,这时期的木马逐渐分裂成两个派别:一种依然采用客户端连接服务器端的方式,只是改为了其他传输途径,如E-MAIL、FTP等,或者在内部除掉网络防火墙,以便自己畅通无阻;另一种则改变了入侵的思维,把“客户端连接服务器端”变为“服务器端连接客户端”,再加上一点社会工程学技术,从而突破了网络防火墙的限制,也因此诞生了一种新的木马技术——“反弹型”木马。这一时期里,入侵者与受害者之间的战争终于提升到技术级别,若想保护自己,除了安装网络防火墙和病毒防火墙,以及接触网络攻防技术以外别无他法,这个“基础互动”一直保持到今天的XP时代。到了XP时代,网络速度有了质的飞跃,黑客攻防战更是越来越多的浮上水面,因为系统变了,一个专门为网络应用而诞生的操作系统,必定会存在与网络有关的缺陷。没错,WinXP相对于Win9x的弱点就是它的网络漏洞太多了,无论是利用MIME漏洞传播的信件木马,还是通过LSASS溢出而放下的木马,都能在XP系统上分到一块肉。你也许会说,Win9x同样有许多漏洞,但是为什么它没有XP的烦恼?这是因为Win9x的网络功能太弱了,几乎没有什么系统组件需要依靠网络运行!所以现在的用户,除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外,还要三天两头去微软的系统更新站点安装各种漏洞修复程序……
3、别让士兵们下马!——防止木马启动
话说藏在木马里的希腊士兵入城以后,并没有急着下马屠城,而是待到夜深人静之时,才出来打开了牢固的城门,为特洛伊的毁灭奏响了哀歌。而计算机内部没有人类社会的地理和时间关系,即使你的硬盘里现在就存放着100个木马程序,它们也比特洛伊海滩上那只大木马的处境好不到哪里去,因为对于操作系统来说,任何有害程序只要没有运行,它就可以等同于那些未能下马的士兵,一律视为无害。要让系统变成特洛伊城的黑夜,唯一的方法只能是启动木马的服务器端,而启动木马的最简单途径,就是通过“启动项”加载运行。 任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。 此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:和C:Windows下,Windows会执行C:下的程序,而不是C:Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
3、为什么它无法根除?——文件并联型木马的查杀
某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOTexefileshellopencommand)改回原来的“”%1” %*”即可。如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
4、偷梁换柱——追回被盗的系统文件
除了添加自己到启动项、路径欺骗和更改文件并联以外,一般的木马还有一种计俩可以使用,那就是替换系统文件。由于如今的操作系统都是由许多文件共同构造的,并不是所有用户都能明白系统文件夹里每个文件的作用,这就给了木马可乘之机,它们盯上了系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序internat.exe、让动态链接库可以像程序一样运行的rundll32.exe等。木马先把系统原来的文件改名成只有它们自己知道的一个偏僻文件名,再把自己改名成那个被替换的文件,这样就完成了隐藏极深的感染工作,从此只要系统需要调用那个被替换的程序进行工作,木马就能继续驻留内存了。那么文件被替换会不会导致系统异常呢?只要木马没有被删除,就不会造成系统异常,因为木马在作为原来的程序而被系统启动时,会获得一个由系统传递来的运行参数,这就是系统要求该程序工作的关键所在,木马会直接把这个参数传递给被改名的程序执行,像接力比赛那样完成数据操作,这样在系统看来就是命令被正常执行了,自然不会出现异常。但是也因为这样的特性导致木马被查杀后,系统的某些命令无法传递到本该执行操作的程序中,反而让系统出错了。要修复它其实很简单,只要记住这个木马的文件名,在删除它之后再从系统光盘复制一个“原配”文件就可以了,如果没有系统光盘,就必须通过工具追踪木马传递参数的目标程序名,再把它改回来。
5、结束语
木马的发展促进了安全技术的提高,而安全技术的提高又迫使木马必须往更高的级别发展,到现在木马已经形成了多个派系的共存,侦测它们的方法也不能再像以前那样简单了,例如检测异常端口的方法对于反弹木马而言是无效的,它并不在本机开放端口;就算防火墙能阻止内部未授权程序访问网络,但那只能针对TCP/UDP协议的木马,别忘记了还有ICMP后门的存在,防火墙通常不会阻止这类报文的。虽然ICMP协议的数据报文能完成的事情相对较少,但是对于一般的命令控制,它已经足够了……
木马之战,何时才能停歇呢?
===================================
十一、--特洛以木马病毒是什么玩意?
===================================
木马这个名字来源于古希腊传说,他的含义是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
======================
十二、什么是木马病毒
======================
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
----------传染方式:通过电子邮件附件发出,捆绑在其他的程序中。-------------
----------病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
----------防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
----------传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
----------病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
----------木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
----------防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要
===========================================================
十三、专家提醒计算机用户近期高度警惕“断网病毒下载器”木马
===========================================================
反病毒专家提醒计算机用户,近期需高度警惕“断网病毒下载器”(Win32.VirInstaller.Mudrop.fc.139264)木马。该木马运行后,会立即从网络上下载大量的病毒,并且试图关闭用户电脑内的杀毒软件。同时,它还发送大量的ARP欺骗数据干扰网络,造成用户中断,无法正常上网。
金山反病毒专家戴光剑表示,此病毒为防止被安全软件删除,运行后立刻搜索金山、卡巴斯基等安全软件的进程,一旦发现,便试图将其关闭,使用户的系统安全性大大降低。之后,病毒迅速连接至http://www.9*****3.com/e*****sto.txt这一地址,获得病毒列表,根据该文本文件里的病毒列表去下载更多病毒。
该病毒会在本机4444端口创建一个后门,通过该端口进行ARP操作,干扰用户上网。而且,黑客也可通过该后门进行远程连接,获取用户系统内的信息。此外,该病毒还会搜索所有的非系统盘,感染所有以EXE为后缀的文件,造成用户无法正常使用被感染的EXE文件,给用户带来极大的损失。
除此之外,用户还需警惕“系统侵蚀者”(Win32.Troj.AntiAV.e.172098)和“AUTO病毒17463”(Worm.AutoRun.c.17463)。
专家说,前者是一个破坏性极强的病毒,当病毒一运行后,桌面文件立即会消失,而且无法对系统做任何的操作,能看见的只是一个蓝色的桌面而已。除了立即使桌面消失以外,当用户重启机器后,会发现同样只显示蓝色的桌面,此时寻找explorer.exe系统文件时,会发现该系统文件已经被病毒删除。使用Ctrl+Alt+Del热键显示出任务管理器时,通过浏览方式查看到“我的电脑”图标已经被删除,变成默认的图标。
后者是一个AUTO病毒,病毒成功运行后会自删除,可以通过U盘传播,关闭部分杀毒软件以及修改系统时间,最终下载大量病毒在用户的机器上。
=======================================
十四、提高网上交易安全性的十大安全习惯
=======================================
为什么计算机上安装了全套安全防护工具还是会中招吗?
安全防护技术总是落后于安全攻击技术的,也就是说,先有病毒,才会有防毒,先有木马,才会有防木马。另外,病毒木马已经形成了一个从研发到部署到获利的完整产业链,根据AV-Test.org的最新统计,全球恶意程序已超过1100万个,而且每4秒钟就产生一个新病毒。在网络威胁飙升的今天,更新病毒码成为网民每天必备的工作,从每周一次到每天数次,防病毒库大小急剧增长,传统防毒技术查杀病毒的有效性急剧下降,反病毒行业正在寻找新的技术突破。
在这种情况下如何保证自己的计算机的安全性呢? 安全技术中心根据多年的安全防护经验,总结了十大安全习惯,可以极大提高网上交易的安全性:
1. 使用姓名的全拼或者更高复杂度的操作系统登录密码,并开启系统自带的软件防火墙;
2. 安装杀毒软件并及时更新病毒特征库。
3. 开启操作系统及其他软件的自动更新设置,及时修复系统漏洞和软件漏洞;
4. 尽量使用正版软件, 只从官方网站上下载网上交易软件,不明渠道获取的网上交易软件都不能保证是安全的;
5. 不访问包含色情等不良信息的网站(这些网页常常包含木马程序)。
6. 收到来历不明的电子邮件,在确认来源可靠前,不要打开附件或内容中的网站地址。
7. 访问与交易相关的网络连接时,请反复确认访问的网站地址是否为券商的官方网站。
8. 不在网络中透露交易密码、银行帐号、个人帐户密码等敏感内容。不在交谈、个人资料以及论坛留言中轻易泄露真实姓名、个人照片、身份证号码或家庭电话等任何能够识别身份的信息。不随意在不知底细的网站注册会员或向其提供个人资料。对包含隐私内容的个人网站(如博客)应设置访问密码。
9. 不在公共电脑上使用网上交易软件。
10.关闭U盘的自动运行功能,防止U盘传毒。
以上好习惯,病毒木马将远离您的计算机。
