史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-02-05, 11:13 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 為你的Windows穿上防彈衣

為你的Windows穿上防彈衣

本文將首先闡述對PC用戶資料產生重大危害的各種病毒、間諜軟體和其他威脅,並教你如何檢查PC是否安全,當然我們還會教你如何對它進行更好的保護。
  在線安全問題是否被媒體和安全廠商所誇大?我從來沒有安裝反病毒軟體,但我的電腦一直用得很好。為什麼非要安裝Internet防火牆?我覺得沒有什麼黑客會對我電腦中的資料感興趣。  
  以上觀點正是不少普通電腦用戶的真實想法,但這種「天下無賊」式的天真想法具有很大的危險性,實際上黑客們有非常多的動機去入侵你的機器,比如,免費利用你的PC的閒置運算能力就是一個最簡單的理由。當然,他們能幹的事情遠不止此,攻擊者可以利用你的電腦以及其他人的電腦構建一個龐大的破壞性網路來散佈病毒或LJ訊息。還有一些攻擊者則喜歡搜集你的個人訊息用於更進一步的破壞活動(比如盜用你的信用卡)。在你自以為安全的電腦上,也許正執行著幾十個病毒和數百個間諜程序,這一點也不誇張,而是我們每天都要面對的現實。  
  在接下來的幾頁內容中,我們將為你講述最近在PC安全領域出現的幾個重大趨勢,之後我們將指出一些有價值的小技巧,幫你為Windows穿上一件能夠有效防止黑客攻擊的防彈衣。  
  人人都有危險  
  只要是在線的電腦都有遭到攻擊的危險,但不管是家庭用戶還是商業用戶,都對這種風險有所低估。來自美國國家網路安全協會(NCSA,National Cyber Security Alliance)的一份調查報告(
www.staysafeonline.infonewssafety_study_v04.pdf
)表明:84%的被調查者會在電腦中儲存敏感性資料;72%的在線用戶會在網上使用這些敏感性資料;77%的在線用戶認為自己的電腦很安全但他們實際上並沒有採取太多的防護措施;將近2/3的被調查者沒有及時更新防病毒軟體或者根本就沒有安裝;67%的被調查者沒有使用Internet防火牆,而在安裝了防火牆的用戶當中又有將近70%的人未能正確組態(比如仍然存在好幾個開放的連接阜);12%的被調查者在使用WLAN產品,但幾乎沒有人啟用WPA(Wi-Fi Protected Access)加密選項,其中62%的WLAN用戶使用安全性較差的WEP(Wireless Encryption Protocol)加密,剩下的WLAN用戶則沒有採取任何保護措施。  
  在調查對像中,每5台電腦中就有一台曾經感染過病毒(19%),在一些電腦中甚至有200種以上的病毒。至於間諜軟體和廣告程序的問題就更加讓人觸目驚心,有超過80%的電腦曾遭受過它們的侵擾,平均每台電腦遭受過93種惡意工具的攻擊,而有的電腦甚至遭受過超過1000種惡意工具的攻擊。
  僅在2004年11月,就產生了1379種新病毒,而2004年上半年新產生的病毒數量為4500,這些資料與2003年相比有了近5倍的增長。截止到2004年年底,大約有98000種病毒還在四處傳播,而到了2005年1月這一資料已經超過了10萬種。
  堵不完的安全漏洞  
  安全漏洞不僅存在於操作系統中,瀏覽器、應用程式也存在著漏洞,從安全漏洞被發現到第一次利用該漏洞的攻擊行為發生,這中間的時間間隔越來越短,目前這個平均時間間隔為6天左右。但具體到某個安全漏洞,留給用戶彌補漏洞的時間可能就更加緊迫,有些漏洞在被發現的當天可能就會出現相應的攻擊行為。而那些通過網路或Internet攻擊安全漏洞的病毒可能會在數秒鍾內傳遍全世界,比如Mydoom-AH病毒就是一例。  
  在2004年,有大約3000個軟體漏洞被發現。對多數用戶來說,其中的一小部分漏洞遭受攻擊的可能性不大。但根據Symantec安全專家對2004年上半年發現的1237種安全漏洞進行的統計來看,其中70%的安全漏洞很容易被惡意利用,而96%的安全漏洞可以被較有經驗的黑客們利用。毫無疑問,絕大多數安全漏洞都出現在沒有打過修正檔的Windows系統以及Internet Explorer瀏覽器中。被惡意程序控制的PC已經成為相當普遍的現象,而絕大多數用戶並不會察覺,當你的上網速度變慢時,你很容易將它歸結為伺服器負載過大,而很可能此時你的私人資料已經在不知不覺中被人偷走。
  為生存而戰  
  在2004年還出現了一種很有趣的情況,病毒編寫者們似乎花了不少的精力進行互相爭鬥。一些蠕蟲和病毒中包含了去除其他惡意程序的程式碼,比如網路天空(Worm.Netsky)就可以清除Mydoom和Bagle病毒,而被清除一方病毒的編寫者則會編寫病毒變種以抗衡,這種情況促成了病毒變種的急劇增多。
  病毒編寫者被檢舉和揭發的情況也變得普遍起來,2004年有好幾個病毒編寫者被捕,他們被認定與Sasser、Netsky、Agobot、Phatbot和 Lovesan等病毒有關。
  LJ郵件的昂貴代價  
  LJ訊息的氾濫也成為令人頭疼的問題,它們已經不僅僅是廣告的媒體,同時也能傳播蠕蟲、病毒和特洛伊木馬程序。  
  根據E-mail安全解決方案廠商MXLogic(
www.mxlogic.com
)的說法,大約有93%的e-mail都屬於LJ郵件,另一家廠商Frontbridge(
www.frontbridge.com
)的調查結果則顯示該比率為82%。儘管這兩家安全解決方案廠商的資料多少有些誇大的成分(畢竟他們有推銷自己產品的動機嘛),但實際情況的確令人擔憂,我想70%的e-mail屬於LJ郵件還是比較符合事實的。2005年預計會有3500萬封e-mail被傳送,而其中的2450萬封都屬於LJ郵件,還有可能帶有惡意程式碼。  
  據專家估計,由於LJ郵件引起的工作效率下降導致的經濟損失在2004年達到了200億美元,對於一個有500名員工的公司來說,每年處理LJ郵件帶來的損失會高達400萬美元。  
  在2004年出現的另一種趨勢是「偽造陷阱」的增多,這種e-mail會誘使你訪問偽造的網站(它們粗看起來和正規的網站非常相似),這類網站往往會讓你驗證銀行賬戶的訊息,比如讓你輸入帳號和密碼,而隨後你會發現你的賬戶中的錢莫名其妙地被人花掉了。大約有140萬網上用戶落入過這種「偽造陷阱」,造成銀行和信用卡公司的直接經濟損失高達12億美元,而個人用戶的經濟損失可能也在這個數量級。
  根據Anti-Phishing Working Group(
www.antiphishing.org
)的調查,截止到2004年10月,已經出現了1142個偽造在線網站,這個數量在以每月25%的速度增長,每家偽造網站的生存週期平均為6天。
  未來會怎樣?  
  未來的情況會如何呢?安全專家們一致認為,2005年安全問題將變得更加令人關注,下列攻擊行為仍將繼續增長:  
  ● 通過關於Web的應用程式發動的攻擊  
  ● 自動郵件群發、LJ郵件、特洛伊木馬和DDoS攻擊  
  ● 具有自動防禦機制的病毒攻擊  
  ● 針對安全工具(如防病毒軟體、Internet防火牆、路由器)發起的攻擊
  ● 更智能化和更大規模的自動程序網路(botnets)  
  ● 更多的隱蔽性攻擊  
  ● 社會工程學攻擊  
  正所謂「道高一尺、魔高一丈」,未來可能還會出現更多我們以前沒有碰到過的病毒檔案類型,比如在2004年我們就領教了首次出現的移動電話蠕蟲病毒—Cabir,儘管它只是一款概念驗證性惡意程序(與首次出現於Pocket PC手持設備的特洛伊木馬程序Duts類似),暫時還沒有太大的危害,但無疑已經吹響了攻擊的號角。隨著WLAN變得越來越普及,黑客們肯定不會放過這個誘人的攻擊目標,而與之相對應的現實是:絕大多數無線用戶都缺少安全防護意識。目前大約有12%的在線訪問是通過Wi-Fi方式進行的,這一比率將在2009年上升到50%,不難想像,黑客們將有更多的機會從開放的WLAN熱點或者終端中竊取資料、植入木馬程序並建立自動程序網路發起惡意攻擊。
  未來的安全工具   
  整合式的安全防護工具會在2005年成為主流,功能單一的安全工具將逐步讓位於功能更為豐富的軟體包。一個基本的概念是:用戶不需要也不可能把自己訓練成為電腦安全領域的專家,他們所需要的是一個完整的防護方案。整合式的安全防護工具也有缺點,因為這種安全軟體包中的每一種工具不一定都是最好用的。比如,安全廠商A的軟體包中可能包含了最優秀的Internet防火牆,安全廠商B的軟體包中則有最出色的防病毒軟體,而安全廠商C的軟體包中有最好的反LJ郵件工具。  
  來自McAfee 的Toralv Dirro認為,單純的被動式防病毒軟體將逐漸結束市場,整合了桌面防火牆和入侵防護系統(IPS,Intrusion prevention systems)的產品會成為主流。入侵防護系統可能會成為2005年廠商著力宣揚的賣點,入侵防護系統的主要目標是在惡意程式碼發動攻擊之前攔截它們,這就要求入侵防護系統能夠對網路安全漏洞進行檢測並搜尋已經發怖的修正檔程序。儘管這個概念聽起來很不錯,但即便是最智能的入侵防護系統也無法阻止用戶自己去點擊帶有惡意程式碼的e-mail附件,事實上絕大多數攻擊都是用戶自己點擊某按鈕或執行e-mail附件所造成的。
  安全建議  
  防護你的XP和Internet Explorer
  為了防止遭受攻擊,你需要避免在PC上執行任何惡意程式碼。實現有效的防護實際上並不困難,任何想要入侵系統或者對你的電腦進行遠端控制的黑客都需要突破三道關卡。首先,他們需要把文件傳送到你的PC上,然後他們需要用欺騙的辦法讓用戶或者操作系統執行程式碼,最後,他們還不能讓自己的行蹤輕易被發覺。下面我們將講述幾個基本的PC安全法則,說明 你更好地保護你的PC和資料不受攻擊。  
  警惕性是最有力的武器  
  如果你收到一封不明發件人的e-mail,帶有明顯的廣告訊息或折扣訊息,你可能會看也不看就把它們刪掉。但如果這封e-mail中帶有某個女明星的照片或類似的連接,你可能會克制不住好奇心去看上一眼,而這一次點擊就可能會讓黑客們輕易衝破前兩道關卡。  
  因此PC安全的首要法則就是:永遠不要開啟任何附件,除非你自己主動向別人索取過該附件。如果無法驗證或存在疑問,最好在開啟之前向發件人詢問一下他們是否真的傳送了這封e-mail。  
  你還可以咨詢一下郵件服務商是否對發出的郵件提供了病毒掃瞄服務。同時你應該及時更新自己電腦上的防病毒軟體並開啟對郵件和壓縮檔案的既時監測選項。把你的Internet防火牆設定成高安全等級,這是防止特洛伊木馬和遠端控制工具的唯一辦法。  
  安裝Windows XP Service Pack 2  
  儘管Service Pack 2也無法完全擔保Windows的安全,但與以前相比,它在安全性方面的確有了顯著的提高,因此我們建議你最好儘快把Windows XP昇級到SP2。一方面,這個昇級版本對此前發現的安全漏洞進行了一次全面的彌補,另一方面它也增強了操作系統在安全方面的功能,比如提供了Windows安全中心(如圖1所顯示)和Windows防火牆。與執行Windows XP SP1的系統相比,昇級到Service Pack 2的系統的安全漏洞要少得多。如果你正在使用Windows XP,可以到Windows更新網站下載Service Pack 2或者訂購昇級光碟。

  其他的安全工具  
  除了昇級到Service Pack 2,你還需要正確選項另外的安全工具。你至少需要安裝一款防病毒軟體,比如Norton AntiVirus 2005(
www.symantec.com
)或Panda Antivirus Titanium(
www.pandasoftware.com
)。桌面防火牆也是必不可少的,Sygate Firewall Pro(
www.sygate.com
)就是一款不錯的產品,此外,你還應該同時使用關於路由器的防火牆。  
  LJ郵件過濾工具也是值得投資的,你可以選項獨立的工具,比如Mailwasher Pro 4.1.9(
www.mailwasher.net
),也可以選項插件,比如Spambully (
www.spambully.com
)。安全清除工具也會說明 你徹底清除惡意程式碼,這方面我們推薦你使用O&O Safe Erase 2(
www.oo-software.com
)和免費的Eraser 5.7(
www.heidi.ie/eraser
)。
  最低限度的防火牆  
  Windows XP Service Pack 2附帶的Windows防火牆能夠提供最低限度的安全防護。如果你想使用Windows防火牆的話,首先你需要找出有哪些連接阜被其他的程序所用。  
  你可以在Windows XP 的指令行模式下執行netstat.exe來完成這項檢測工作。首先你需要啟動被檢測的軟體,並讓它訪問網路資源。然後開啟Windows XP 的指令行模式(開始 執行 cmd),輸入netstat -ano >corts.txt指令並按Enter鍵鍵。這時Windows會把所有開放的連接阜寫入corts.txt文件。  
  接著輸入tasklist > c: asks.txt指令並按Enter鍵鍵。Windows會把當前執行的所有工作寫入c: asks.txt文件。開啟c: asks.txt文件,你會看到一系列當前執行的工作的執行檔案名、PID會話名和記憶體使用情況。你需要特別注意的是它們的PID(Process Identification Number)會話名,因為這是用來區分工作的唯一標幟。  
  你可以在ports.txt中找到使用開放連接阜的程序的PID,連接阜號會顯示在Foreign Address一列中,而傳輸協定則會顯示在Proto一列。從我們的例子中可以看出,PID為4044的程序為flashget.exe,它通過連接阜8080建立了與202.103.49.156的8個連接。你也可以使用免費的第三方工具來進行檢測,如圖2所顯示的TCPview 2.34(
www.sysinternals.com
)。  

 
  選項開放連接阜
  通常情況下,你應該只允許少數的幾個程序不經詢問就能訪問Internet。  
  在控制台中開啟「Windows安全中心」並點擊「管理安全性設定」中的「Windows防火牆」,在「例外」選擇項中就能看到被允許訪問網路連接的程序(如圖3所顯示)。另一種快速訪問「Windows防火牆」選擇項的辦法是在「開始」 「執行」對話視窗中輸入firewall.cpl並按Enter鍵鍵。如果你想開放某個連接阜,就點擊「例外」選擇項中的「增加連接阜」按鈕,它會彈出一個「增加連接阜」的對話視窗。你需要輸入程式名稱稱和所用的連接阜號,並指定連接阜所使用的傳輸協定類別(TCP或UDP),然後按「確定」按鈕即可。

  Microsoft公司為Windows XP SP2防火牆和群組原則的使用提供了詳盡的說明,你可以檢視到網站上進行檢視(
www.microsoft.com/downloads/details
. aspx?familyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=en)。
  找出安全漏洞  
  即便你已經安裝了Windows XP SP2,也並非意味著可以高枕無憂,接下來你需要做的一件事就是對系統進行安全掃瞄。你可以使用免費的Microsoft 基準安全分析器(MBSA,Microsoft Baseline Security Analyzer)V1.2來對系統進行掃瞄(
http://www.microsoft.com/china/techn.../mbsahome.mspx
)。《個人電腦》的下載頻道也提供了該軟體的下載(
http://www.pcpro.com.cn/club/downloa...ware.php?id=79
)。當然你也可以選項來自第三方的安全掃瞄工具,比如Symantec公司的產品。 
  Microsoft 基準安全分析器會對操作系統和常用的Microsoft 應用程式進行檢測和監聽,比如Office 和Internet Explorer,搜尋已知的安全漏洞並指出可能的解決辦法。如果你願意的話,還可以把監聽範圍擴大到其他一系列的IP位址,這樣就可以檢查區域網路中的所有客戶端電腦。當然,你需要擁有這些電腦的管理員(administrator)權限才行。
  在進行監聽之前,Microsoft 基準安全分析器會讓你選項對單台電腦還是多台電腦進行監聽,如果你選項了單台電腦,只需選該電腦就可以開始進行掃瞄了。如果選項檢查網路中的多台電腦,你需要輸入一個域的名稱或是一組IP位址,比如192.168.0.0到192.168.0.10,然後再進去行掃瞄。
  網路安全監聽  
  如果你是公司的網路管理員,並且有一台專門的軟體昇級伺服器(SUS,Software Update Services Server)的話,你需要修改一下Microsoft 基準安全分析器的掃瞄設定選項。你需要啟動「Use SUS Server」選項並輸入相應的URL。這樣一來,Microsoft 基準安全分析器就會幫你檢查軟體昇級伺服器上所有可用的安全修正檔是否已經被發放到每一個客戶端。不過目前Microsoft 基準安全分析器在使用「Use SUS Server」選項進行掃瞄時還無法對SQL Server、Exchange或Office的昇級修正檔進行檢查。
  修補安全漏洞  
  Microsoft 基準安全分析器在掃瞄結束之後會為你提供一份清晰的安全報告,其中嚴重的問題會被標記為紅色的X號,不太嚴重的問題則被標記為黃色的X號。如果要修補該問題,你需要點擊「Procedure for fixing this problem」並按照它的提示進行操作。  
  我們建議你對Microsoft 基準安全分析器發現的所有問題都進行一次修補,然後再執行一次Microsoft 基準安全分析器進行掃瞄。這樣才能保證你的系統已經完全修補了Microsoft至今為止發現的所有安全漏洞。  
  Windows自動更新  
  儘管Windows自動更新經常顯得比較煩人,但最好不要關閉這個功能,畢竟這是及時獲得操作系統安全修正檔的最有效的辦法。從安全漏洞被發現到針對其編寫的病毒出現,這之間的間隔越來越短,因此儘快安裝操作系統安全修正檔是非常有必要的。  
  不過,如果你對電腦知識比較精通的話,可以設定讓Windows只是下載這些修正檔程序但不要安裝,之後你可以自行決定是否安裝這些修正檔程序,因為的確有些程序可能是完全不必要安裝的。  
  你可以到Windows XP的控制台中雙按「自動更新」工具,然後在彈出視窗中選定「下載更新,但是由我來決定什麼時候安裝」(如圖4所顯示)。

  這樣一來, Windows會自動檢查是否有新的昇級修正檔,如果有的話就下載回來,並且在右下角的工作列中顯示一個小圖示提示你找到了新的昇級修正檔。點擊該圖示就可以看到下載的狀態,如果你不想馬上安裝某個昇級修正檔,可以從內容視窗中取消選項某個修正檔。Windows會提示你已經下載但沒有安裝該修正檔,你可以在需要時再安裝它。  
  最新的消息
  我們建議每個Windows XP用戶都應該經常訪問一下Microsoft安全公告網頁(
http://www.microsoft.com/china/security/Bulletins/
),你還可以訂閱每月一次的安全通訊電子期刊。這樣一旦微軟發怖了什麼重要的安全修正檔,你都可以及時地獲得消息並下載安裝。  
  如果你是一名系統管理員,那麼你應該比一般人更注意及時跟蹤PC安全方面的動向,你可以到
http://www.securityfocus.com
去訂閱Bugtraq安全郵件列表,還可以訪問著名的Georgi Guninski安全研究中心(
www.guninski.com
),那裡有大量的有用訊息。  
  縮減不必要的Windows服務  
  在安裝了Windows XP SP2之後,它會預設關閉Messenger服務,這個服務通常會被LJ訊息傳送者所濫用,除此之外,出於安全的考慮,還有若干服務也應該關閉。問題在於,我們無法指出一個確定的應當關閉的服務列表,畢竟每個人的套用環境是各不相同的。如果你需要使用Internet連接共享,那麼你就要開啟Internet Connection Sharing(ICS)服務,而如果你不需要進行Internet連接共享,就可以關掉這個服務。  
  安全衝浪
  隨著Internet 上令人眼花繚亂的資源越來越豐富,網上衝浪的危險性也越來越大。為了讓網站更有吸引力、更易用,網頁設計者會使用大量的動態內容,而這些動態內容是通過ActiveX或Javascript程式碼來實現的,而ActiveX或Javascript程式碼也會被用來植入病毒、特洛伊木馬或蠕蟲。如果想更安全地進行網上衝浪,也許你可以考慮選項Firefox作為瀏覽器,但多數人恐怕不會這麼做,畢竟很多網頁都是針對IE開發的,在其他瀏覽器中也許會有些不便。修改一下Internet Explorer的組態可能是比較現實的做法,在IE瀏覽器中選項「工具」 「Internet選項」,然後開啟「安全」選擇項,選Internet圖示,並點擊「預設等級」按鈕。如果想獲得更多的安全控制,可以點擊「自訂等級」按鈕,然後在下拉「設定」列表中找到「ActiveX控件和插件」項目,你可以把該項目下所有與ActiveX有關的子項目都禁用,只開啟一項「下載已簽名的ActiveX控件」即可(如圖5所顯示),這樣有害的Web內容就很難對你造成危害了。  

  接下來讓我們來看一下「指令碼」項目的設定,從易用性角度來說,關於Java或Visual Basic的指令碼提供了更豐富的功能,但另一方面它們也是相當危險的。因此很多具有安全警惕性的用戶往往會禁用所有的三個指令碼選項。  
  遺憾的是,如果採用了更嚴格的安全性設定,你會發現有大量的依賴於ActiveX 控件和指令碼的Web網站會變得無法正確顯示,有時甚至完全不可用。 
  組態IE的安全區域選項  
  除了攔截彈出視窗、管理cookies之外,Internet Explorer的安全區域系統還提供了更多的安全特性,比如你可以定義「受信任的站點」和「受限制的站點」,不過似乎很少有用戶會利用這個功能
  你可以在微軟的網站上找到有關安全區域概念的描述(
http://support.microsoft.com/?kbid=174360
)。  
  你可以在網上搜一下受限制的網站名單,或者利用IE-Spyad 工具(
https://netfiles.uiuc.edu/ehowes/www/resource.htm
)。IE-Spyad提供了上千個受限制網站的URL,這些網站中可能帶有危險的程式碼,你仍然可以看這些網站中的內容,但可能有害的程序會被過濾掉。該網站提供了兩個版本的工具:IE-Spyad和IE-Spyad 2,其中IE-Spyad只對Windows的當前賬戶有效,而IE-Spyad 2可以對該電腦上的所有用戶有效。當然你需要使用administrator賬戶來安裝IE-Spyad 2。  
  對於你信任的網站,你可以把它們加入「受信任的站點」,並對它們設定寬鬆一點的安全等級,當然你得確保它們是安全的才行。
  檢測你的PC  
  如果你已經採取了必要的防範措施,可以利用安全監測工具來檢查一下防護手段的有效性。對於家庭用戶來說,可以從各種在線安全測試工具中選項一款,而對於網路管理員來說最好選用更完整的軟體包。  
  在線檢測你的瀏覽器  
  有很多網站都提供了在線安全檢測的功能,我們推薦你使用Symantec Security Check (
http://security.symantec.com/sscv6/d...d=cs&venid=sym
,如圖6所顯示)或者Sygate Security Scan (
http://scan.sygatetech.com
)。這類在線工具會使用各種指令碼來進行測試,比如PHP、Perl、Javascript和ActiveX控件,它們能檢測出何種資料會被洩漏以及哪些連接阜是開放的。有些工具還會檢測是否能利用ActiveX控件更改你電腦中的Windows資料夾名稱,能否重新啟動機器或格式化硬碟。 

  還有幾個在線安全檢測網站值得推薦,包括Security-Check(
www.security-check.ch
)、GFI (
www.gfi.com/emailsecuritytest
)和Shields Up((https//grc.com/x/ne.dll?bh0bkyd2)。  
  病毒和系統掃瞄
  如果想判斷你的系統是否被病毒、特洛伊木馬或者間諜軟體所入侵,也可以選項在線掃瞄方式。其中Trend Micro(
http://www.trendmicro.com/cn/home/personal.htm
)、Kaspersky(
www.kaspersky.com/scanforvirus
)和Panda Software(
www.pandasoftware.com/activescan
)都提供了免費的在線掃毒服務。這三家公司提供的免費系統掃瞄服務都採用了
www.securityspace.com
的安全掃瞄引擎(如圖7所顯示)。它會對超過5600種不同的安全漏洞和1500種以上的網路服務連接阜進行掃瞄。如果你不喜歡在線掃瞄的方式,
www.securityspace.com
也提供了桌面掃瞄工具,你可以在免費試用一次後決定是否購買。

 
  物理安全性  
  看好你的設備  
  如果資料竊賊能夠直接取走你的電腦硬碟,最好的防火牆和最複雜的密碼也無濟於事。因此你還必須採取一些措施來保證電腦的物理安全性。  
  資料竊賊  
  物理安全性往往被人們所忽略,而其潛在的危險性決不容小視,尤其是在企業套用環境中。資料竊賊可以很輕鬆地從一台開著的辦公電腦中拿走大量重要的資料,比如銷售客戶的聯繫方式和項目計劃。當一名商業間諜簡直太容易了,只要你衣著光鮮,很容易被當成公司的來訪者或者新來的同事,等到人們去吃午飯的時候,你就可以迅速掏出一個USB碟來啟動某人的電腦,從中拷走一些文件。而在下班時間假扮成打掃衛生的服務人員也是個絕妙的主意,你可以有充分的時間拷走任何你想要的東西。
  同樣,如果你想進行破壞活動,通過區域網路散佈病毒、木馬或者間諜軟體也是相當方便和隱蔽的。
  為了對這類行為進行防範,我們給你的第一條建議就是對硬碟上的重要資料進行加密。在Windows XP Pro版中你可以利用NTFS文件系統來實現加密,右鍵點擊某個資料夾並選項「內容」,然後在「一般」選擇項中點擊「進階」按鈕(注意,只有採用NTFS的分區才有這個按鈕),然後啟動「加密內容以便保護資料」選項。  
  如果你想到Ebay、淘寶網上出售你的舊硬碟,最好先對舊硬碟進行一次徹底的安全移除,否則上面的資料有可能被他人所獲取。免費的Eraser 5.7(
www.heidi.ie/eraser
)就能完成這項工作。  
  更安全的螺絲  
  為了確保資料的安全性,你不能僅僅依賴關於軟體的安全方案。為了防止資料竊賊從你的電腦中偷走硬碟,你應該使用能被鎖定的機箱螺絲,PC Guardian(
www.pcguardiananti-theft.com
)和Kensington(
www.kensington.co.uk
)都能提供這方面的產品。而當筆記型電腦沒有被隨身攜帶時,也應該使用金屬鏈和鎖將它鎖住。  
  封鎖接頭  
  為了防止外人通過軟碟、光碟等接頭訪問你的電腦,你需要在不需要時關閉這些訪問接頭,通常利用一些軟體工具就能實現。但目前還沒有能簡單關閉USB接頭的程序,你需要到BIOS中進行設定或者直接拆除USB物理接頭。  
  未來的PC安全防護措施會引入生物工程系統,它能夠儲存視網膜和指紋等唯一身份訊息,你需要用智能卡來獲得操作硬體或者軟體的權限,只有當你的視網膜和指紋資料與智能卡中儲存於的一致時才有可能獲得訪問權限。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-02-12, 05:26 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

拒絕入侵 搞定電腦病毒就是這麼簡單

通過平時的接觸,筆者發現很多朋友對於防毒殺毒存在不少的一夥和誤區:病毒和木馬是不是一回事,中了病毒怎麼殺不乾淨,我裝了三個殺毒軟件絕對安全,我的殺毒軟件防火牆很有效根本不需要網絡防火牆,還有的人甚至說:「只要不去黃色網站就不會中毒...」   對於防毒殺毒長久以來都是計算機使用者比較頭疼的問題,很多人都存在以上的疑問和誤區。針對近年來,病毒開始由傳統形向網絡蠕蟲和隱蔽的木馬病毒發展,筆者這篇文章就以這兩個禍害開刀,和大家一步一步談談從殺到防搞定病毒。(不要疑惑,很多人都是中了病毒以後才想起預防的重要。)文章結合自己的經驗,用簡單的語言和大家說說如何殺毒,如何防止病毒入侵,加強大家正確的安全意識,提高自己動手解決問題的能力。
一、先來看看蠕蟲

  隨著我國寬帶爆炸式的發展,蠕蟲病毒引起的危害開始快速的顯現!蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特徵,如不利用文件寄生(有的只存在於內存中),快速的自身複製並通過網絡感染,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓。相信去年經歷的衝擊波、震盪波大家一定還沒忘記吧。

  傳播特點

  蠕蟲一般都是通過變態的速度複製自身並在互聯網環境下進行傳播,目標是互聯網內的所有計算機。這樣一來局域網內的共享文件夾,電子郵件,網絡中的惡意網頁,大量安裝了存在漏洞操作系統的服務器就都成為蠕蟲傳播的良好途徑,使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!這其中通過操作系統漏洞或者通過IE漏洞攻擊的方式最為常見。

  蠕蟲的預防解決

  蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞,這裡的漏洞或者說是缺陷,我們分為2種:軟件的和人為的。

  軟件上的缺陷,如系統漏洞,微軟ie和outlook的自動執行漏洞等等,需要大家經常更新系統補丁或者更換新版本軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。例如,當收到QQ好友發來的照片、遊戲的時候大多數人都會報著好奇去點擊的,從而被感染上了病毒。

  個人用戶對蠕蟲病毒的防範措施

  通過上述的分析,我們瞭解蠕蟲的特點和傳播的途徑,因此防範需要注意以下幾點:

  (1)選擇合適的殺毒軟件

  殺毒軟件必須提供內存實時監控和郵件實時監控以及網頁實時監控!(當然2004年以後的殺毒軟件基本都有這些功能,如果還在使用老版本的朋友趕快更換新版本)。像瑞星,kv(江民),金山等國產軟件無論是在功能和反應速度以及病毒更新頻率上都做的不錯,相對國外的反病毒軟件他們對於像QQ這類國產病毒具有明顯優勢,同時消耗系統資源也比較少,大家可以放心使用。

  (2)經常升級病毒庫

  沒有最新病毒庫的殺毒軟件就好比沒有瞄準器的狙擊槍,想想這不就是個廢物?由於目前反病毒技術領域還基本以病毒的特徵碼為依據的,而病毒每天都層出不窮,再加上如今的網絡時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!

  (3)提高防患意識

  不要輕易接受任何陌生人的郵件附件或者QQ上發來的圖片,軟件等等。必須經過對方的確認(因為一旦對方中毒後他的QQ會自動向好友發送病毒,他自己根本不知道,這個時候只要問一問他本人就真相大白!),或者此人是你絕對可以相信的人!另外對於收發電子郵件,筆者強烈建議大家通過WEB方式(就是登陸郵箱網頁)打開郵箱收發郵件(這樣比使用Outlook和foxmail更安全)。雖然殺毒軟件可以實時監控但是那樣不僅耗費內存,也會影響網絡速度!

  (4)必要的安全設置

  運行IE時,點擊「工具→Internet選項→安全」,把其中各項安全級別調高一級。在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體操作是:在IE窗口中點擊「工具」→「Internet選項」,在彈出的對話框中選擇「安全」標籤,再點擊「自定義級別」按鈕,就會彈出「安全設置」對話框,把其中所有ActiveX插件和控件以及與Java相關全部選項選擇「禁用」。但是,這樣做在以後的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

  (5) 第一時間打上系統補丁

  雖然看上去可怕,但是細心的朋友注意蠕蟲攻擊系統的途徑可以看出:最主要的方式就是利用系統漏洞,因此微軟的安全部門已經加大了系統補丁的推出頻率,大家一定要養成好習慣,經常的去微軟網站更新系統補丁,消除漏洞(通過點擊開始上端的「windows Update」)

二、再來看看「老朋友」木馬


  1、關於木馬

  木馬是病毒當中非常特殊的一族。他的實質只是一個網絡客戶程序。木馬工作的原理是這樣的:一台中了木馬被控制的機器相當於一台服務器,控制端則相當於一台客戶機,作為服務器的主機會由木馬打開一個端口並接收控制端的命令,如果控制端提出連接請求,這時中毒機器上的木馬就會自動運行,來回應控制端的請求(開始將中毒機器中對方需要的資料或者文件傳送給木馬發送者的機器)。因此,這就是整個木馬工作的程序。

  2、發現木馬

  木馬常見的中毒症狀表現如下:莫名其妙的死機,在沒有操作的情況下硬盤自動讀取(機箱指示燈在閃爍)等等以外,通過下面幾個辦法可以幫助大家發現木馬:

  (1)奇怪的開機運行程序

  很多木馬都是開機就運行的,如果你發現了奇怪的開機運行程序可以通過【開始】-【運行】輸入「msconfig」回車,打開【系統實用配置程序】-【啟動】在這裡關閉你不需要的。往往病毒在這裡關閉以後還會出來,並且2000系統沒有msconfig這個程序,所以需要修改註冊表,咱們往下看。

  筆者經過整理發現一般木馬都會在以下位置加載自己達到開機運行的目的:

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

  [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]

  一旦在註冊表以上位置發現含有奇怪的程序路徑完全可以刪除,然後記住程序名稱在註冊表中通過搜索找到並刪除!

  (2)網絡流量異常

  平時如果沒有下載或者上傳,但是卻發現網絡流量較大(可以通過ADSL指示燈或者通過任務欄裡面上網絡狀態查看),很有可能就是木馬正在工作。這是應該立刻關閉網絡,重啟進入安全模式下仔細檢查。

  (3)任務管理器中檢查可疑進程

  通過ctrl + shift + del打開 [任務管理器]-[進程],經常看看裡面都有哪些進程在運行。如果你一個都不瞭解可以上網通過搜索引擎查詢。這裡筆者推薦一個非常好專業的進程查詢網站:http://www.dofile.com/ 一旦發現可疑進程就要立刻檢查。

  另外,很多時候會出現某個進程對應的cpu使用率接近100%,首先通過軟件或者網絡搜索這個進程信息對應的程序,關閉程序或者替換別的版本(比如從2.1版替換成3.0版)如果排除程序與系統兼容或者系統本身問題後還出現這樣的情況可以斷定該進程是軟件綁定的木馬。

  (4)系統服務中的奇怪項目

  開始-運行,輸入services.msc在這裡可以看到眾多的服務,也許第一次你會頭疼?教大家一個竅門:首先最大化這個窗口,[如圖2] 點擊最上端的【狀態】將所以已啟動的服務排列在一起,這樣就一幕了然了,點擊任何一個在左側就有對應的解釋。一般病毒的服務是沒有解釋的(這不是說沒有解釋的就是病毒)所以大家遇到不清楚的上網查查很快就明白了,如果發現有問題的服務趕緊關閉。方法:雙擊準備關閉的服務-進入屬性窗口,點擊「停止」然後將【啟動類型】選擇「已禁用」確定即可!

3、清除木馬


  木馬一旦進入系統,就會採取多種方式隱藏自己,徹底清除可不容易。因為他不像蠕蟲和別的病毒那樣單純,木馬往往通過更改註冊表,更改系統服務,甚至windows引導文件加載自己,達到開機就加載木馬程序,所一單純的通過殺毒軟件是無法清理乾淨的,即使殺掉了重啟以後又出來了,這要怎麼辦?魔高一尺,道高一仗,咱們就和木馬鬥鬥法!

  考慮到木馬與系統關聯的比較深,如果在正普通的系統下處理會因為加載很多服務和後台程序而受到干擾,因此筆者強烈建議大家進入安全模式(這也是清理其他病毒最好的選擇)。方法:開機後按F8-選擇「安全模式」即可。

  來到安全模式下,ctrl + shift + del打開任務管理器,右鍵點擊要關閉的木馬進程(這裡建議大家選擇「結束進程樹」,這樣可以更徹底解除與系統的關聯)

  然後,開始-運行,輸入「services.msc」打開服務,按照上面介紹的步驟關閉木馬服務(當然不是每個木馬都有服務,沒有直接進入下一步)

  開始-運行,輸入「regedit」打開註冊表,檢查第一部分提到的幾處位置,將木馬對應的鍵值都刪除。

  最後運行木馬專殺工具(這裡推薦「木馬剋星」,當然是必須更新病毒庫)完整的再檢查一次!

  4、補充說明

  由於木馬的特殊性,一旦感染後系統程序關聯一般都會被竄改,這樣即使清除了木馬病毒,也會出現有些程序無法打開,甚至連桌面「我的電腦」都打不開,一旦雙擊就彈出「選擇打開方式」的對話框。其實大家如果安裝較新的殺毒軟件比如瑞星2005,金山2005,KV2005 都帶有註冊表修復工具,運行就可以解決。如果沒有也可以使用超級兔子魔法設置提供的註冊表修復工具。

  三、預防病毒需要注意的

  1.數量多力量並不大

  有的人感覺多裝幾套殺毒軟件和防火牆這樣多管齊下「人多力量大」,其實正好相反! 因為不同軟件公司開發所用的殺毒引擎和病毒識別方式的不同使得不同殺毒軟件之間存在很大的差異,因此存在嚴重的兼容問題(有你沒我),造成他們都無法正常工作。並且如今殺毒軟件在同病毒較量中為了佔據主動都採用了搶駐內存的方式提前攔截病毒啟動,安裝太多殺毒軟件只會嚴重消耗資源。如此以來不但安全毫無保障,系統性能也大大折扣得不償失。

  正確的做法:一套帶有實時監控功能的殺毒軟件 + 一款合適的網絡防火牆

  2.病毒、網絡兩道防火牆缺一不可

  對於安裝殺毒軟件大家都能理解,但是網絡防火牆又是幹什麼用呢?說簡單一點:前者防止病毒進入你的系統,後者切斷病毒與外界的一切聯繫,這對於木馬尤其有效。

  細心的朋友會發現剛剛安裝winsp-sp2系統後或者安裝網絡防火牆以後上網打開QQ或者BT甚至瀏覽器都會提示「XX程序試圖連接網絡,是否允許?」等類似的警告,目的就是防止木馬等惡意程序訪問網絡。因此一旦感染木馬後,如果有了網絡防火牆就不怕個人資料的洩漏。

  同時網絡防火牆也防止試圖進入你系統的訪問,從源頭切斷惡意的攻擊。給大家舉最簡單的一個例子:都熟悉的網絡命令「ping」,很多別有用心的人就是首先使用這個命令刺探你的網絡防衛狀態,獲得你的IP地址,進而展開網絡攻擊的。但是如果使用了網絡防火牆後 ping 就只能無功而返。同時網絡防火牆還全方位的監視著系統的各個端口的動態,確保本機與網絡鏈接的安全。

  目前主流的最新殺毒軟件都是不錯的選擇,至於網絡防火牆,不同產品原理都差不多,根據個人使用習慣選擇就好:例如一般的用戶不是很瞭解防火牆的IP規則,選擇系統集成的就完全可以。安裝XP-sp2系統,打開【控制面板】-【安全中心】啟動防火牆就可以。但是有些朋友希望研究網絡,想獲得更多信息反饋和功能的專業朋友可是選擇「天網防火牆」「瑞星個人防火牆」等等。

  四、總結

  最後,筆者建議大家平時做個有心人,經常看看進程?硬盤讀寫、軟件運行是否出現莫名其妙的問題?上網注意看看網絡狀態,處處仔細萬無一失。

  相信大家跟著這篇文章一步一步進行慢慢的你也會發現病毒並沒有你想想的可怕,殺毒也不是那麼困難!
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:29 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1