• WAP手機版 RSS訂閱 加入收藏  設為首頁
電腦故障

什么稱之為電腦病毒--危害性有多大--講述電腦病毒歷史

時間:2012-2-8 22:30:59   作者:電腦技術商城   來源:電腦技術商城   閱讀:5657   評論:0
內容摘要:新上網的朋友最為困惑的,莫過于對病毒和各種惡意攻擊的恐懼和迷惑了——“我什么都沒有做,為什么就中毒了?”是因為我們對電腦病毒一竅不通嗎?還是什么原因,真是搞不明白。接下來,就跟隨我一起,進入入門級的電腦安全之旅,解讀電腦病毒的基礎知...

新上網的朋友最為困惑的,莫過于對病毒和各種惡意攻擊的恐懼和迷惑了——“我什么都沒有做,為什么就中毒了?”是因為我們對電腦病毒一竅不通嗎?還是什么原因,真是搞不明白。接下來,就跟隨我一起,進入入門級的電腦安全之旅,解讀電腦病毒的基礎知識,即便是中毒我們也要整個明白。希望通過這篇文章,能讓您對一些電腦病毒的基本概念,機制有所把握,從而在今后的中作中做到心中有數。

  第一篇——講述病毒入門之旅

  潘多拉的魔盒被打開,從此世間便多了疾病、瘟疫、災難——自從1962年,貝爾實驗室三位杰出程序員——羅泊.莫里斯、維克多.維索茨基、道格.邁克勞埃以“編制一些程序,讓這些程序根據某種規則自己在內存中生存、搏斗”而理念而造就的“磁芯大戰”程序開始,計算機世界的潘多拉魔盒就此打開。當時三位積極探索計算機技術的優秀程序員大概不會想到,病毒之門被打開,直至今日陰影仍揮之不去。可悲的是,以技術之鑰打開的病毒之門,在半個世紀里越來越墮落,淪為一些人實施經濟犯罪或標榜自我的工具,在計算機世界四處游蕩著病毒幽靈。

  病毒——這個源自醫學界的名詞,被用在計算機中,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼,就像生物病毒一樣,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。

  木馬——來自“特伊諾木馬”,指深入到內部進行攻擊與破壞的行為。現在的木馬程序一般是指,利用系統漏洞或用戶操作不當進入用戶的計算機系統,通過修改啟動項目或捆綁進程方式自動運行,運行時有意不讓用戶察覺,將用戶計算機中的敏感信息都暴露在網絡中或接受遠程控制的惡意程序。

  蠕蟲——蠕蟲病毒是指利用網絡缺陷進行繁殖的病毒程序,其原始特征之一是通過網絡協議漏洞進行網絡傳播。

  腳本病毒——利用腳本來進行破壞的病毒,其特征為本身是一個ascii碼或加密的ascii碼文本文件,由特定的腳本解釋器執行。主要利用腳本解釋器的疏忽和用戶登陸身份的不當對系統設置進行惡意配置或惡意調用系統特點命令造成危害。

  但目前,由于病毒,木馬,蠕蟲,腳本病毒這四類程序在不斷雜交中衍生,已經形成了“你中有我,我中有你”的多態特性。為了行文方便,以下統稱為“病毒”,但其實四類程序的感染機制和編寫方式是完全不同的,請讀者們在閱讀的時候詳加辨析。

 現階段的病毒,主要分為以下幾種:

  1.感染可執行文件的病毒

  病毒描述:這類病毒就是上面所介紹的4種破壞性程序中的傳統病毒。這類病毒的編寫者的技術水平可說相當高超,此類病毒大多用匯編/c編寫,利用被感染程序中的空隙,將自身拆分為數段藏身其中,在可執行文件運行的同時進駐到內存中并進行感染工作,dos下大多為此類病毒居多,在windows下由于win95時期病毒編寫者對pe32的格式沒吃透,那段時間比較少,之后在win98階段這類病毒才擴散開來,其中大家廣為熟悉的CIH病毒就是一例;在windows發展的中后期,互聯網絡開始興盛,此類病毒開始結合網絡漏洞進行傳播,其中的杰出代表為funlove傳播——由于windows操作系統的局網共享協議存在默認共享漏洞,以及大部分用戶在設置共享的時候貪圖方便不設置復雜密碼甚至根本就沒有密碼,共享權限也開啟的是“完全訪問”。導致funlove病毒通過簡單嘗試密碼利用網絡瘋狂傳播。

  病毒淺析:由于此類病毒的編寫對作者要求很高,對運行環境的要求也相當嚴格,在編寫不完善的時候,會導致系統異常(例如CIH的早期版本會導致winzip出錯和無法關閉計算機等問題;funlove在nt4上會導致mssqlserver的前臺工具無法調出界面等問題)。這類病毒賴以生存的制約是系統的運行時間和隱蔽性。運行時間——系統運行的時間越長,對其感染其他文件越有利,因此此類病毒中一般不含有惡意關機等代碼,染毒后短期內(一般24小時內)也不會導致系統崩潰(如果你是25日感染cih除外),和其他病毒相比用戶有足夠的處理時間。破壞引導區的大腦病毒、擇日發作的星期五病毒、直接讀寫主板芯片,采用驅動技術的CIH病毒都是其中的代表。

  感染途徑:此類病毒本身依靠用戶執行而進行被動運行,常見感染途徑為:盜板光盤、軟盤、安全性不佳的共享網絡;

  病毒自查:此類病毒大多通過的是進駐內存后篇歷目錄樹的方式,搜索每個目錄下的可執行文件進行感染,因此對內存占用得比較厲害——如果突然在某個時間后發現自己的機器內存占用很高,可能就是感染了此類病毒。

  病毒查殺:這類病毒由于編寫難度較大,因此升級(病毒也玩升級?對,例如CIH是在1.4版本后才完善的)速度相對較慢,但由于開機后進駐的程序可能已經被病毒感染,因此殺毒條件是各種病毒中最為嚴格的,且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒:

  1.軟盤(光盤)啟機使用殺毒軟(光)盤進行殺毒;在進行這一步的時候,必須要保證軟盤或光盤的病毒庫內已經有殺除該病毒的特征碼。

  2.將硬盤拆下,作為其他機器的從盤;從其他機器的主盤啟動進行殺毒(該機需打開病毒即時監控,以防止來自從盤的可執行文件中的病毒進駐到內存中); 以常見的國產幾種殺毒軟件為例,在購買的正式版本中,除了供安裝使用的光盤外,一般還包含幾張軟盤(一張引導盤,一張殺毒程序盤,一張病毒庫盤)。在對待上面提到的這類病毒時,最好的做法就是用引導盤啟動計算機,然后根據提示將殺毒程序盤和病毒盤依次插入,進行病毒查殺。注意2點:1.目前比較新版本的殺毒程序盤都能完善地支持ntfs分區的讀寫,如果您是在幾年以前購買的殺毒盤,可以根據廠家的服務方式進行升級;2.由于采用軟盤殺毒的時候,使用的是軟盤上的病毒庫,為了能正確地查殺病毒,請定期升級軟盤的病毒庫,否則真到用的時候就哭也哭不出來了。

  殺毒遺留:由于這類病毒是寄生到其他程序內部,即使非常優秀的殺毒軟件,能做到的也只是把該染毒程序內的病毒某關鍵執行部分刪除,使得染毒程序在運行時病毒無法運行。因此并不是嚴格意義上的完全清除——病毒程序的某部分依然殘留在程序內部,俗稱“病毒僵尸”。

  在殺除這類病毒的時候,最主要的是分析捕捉特征代碼,因為抓特征碼的過程中不僅要準確地破壞病毒的執行部分,而且不可以觸動正常的程序代碼。否則會常常出現殺毒之后該程序無法使用的情形——那還叫什么殺毒?還不如直接刪除文件比較好嘛!在查殺這類病毒上,根據天緣的使用經驗,norton和國內的金山毒霸做的比較好一些。(此評價只根據我個人使用經驗如實說出,不帶任何廣告性質,請各位選擇殺毒產品的時候不要以我的介紹為依據,本人不承擔任何責任,下同。)

  病毒防范:安裝包含即時監控的殺毒軟件并啟機執行,每天升級病毒庫獲取最新病毒特征代碼;盡量不使用來源不可靠的軟盤和光盤,使用前先掃描;關于網絡防毒部分后面一并介紹。

  2.后臺運行進行惡意控制和破壞的病毒

  病毒描述:帳號被偷,密碼被盜,機器被人遠程控制著放歌/開關機/屏幕倒轉過來,硬盤不住地轉動將關鍵資料向外發出,就是這類病毒的杰作了。這類病毒和上一類病毒最本質的區別是——這類病毒本身是獨立的程序,而不是寄生于另一個程序中。這類病毒的編寫主要在于對操作系統本身接口的熟悉,網絡傳輸的熟悉,以及對隱蔽性的要求,此類病毒的編寫可使用多種語言,對病毒寫作者本身的實力也是一種考驗。這個病毒中,最出名的莫過于BO了,可以說,它指引了這種病毒在windows平臺的發展理念。這類病毒就是統稱的“木馬”病毒,通過系統漏洞/用戶操作疏忽進入系統并駐留,通過改寫啟動設置來達到每次啟機運行或關聯到某程序的目的。在windows系統中,表現為修改注冊表啟動項、關聯Explorer、關聯notepad等方式。

病毒淺析: 此類病毒編寫者的功力就有高有低了。高手所編寫的遠程控制系統可以和最優秀的遠程管理工具相媲美,例如開山鼻主BO,國產的冰河,著名的黃金木馬sub7都屬于這一類,這類程序分為2個部分,控制端和被控制端;而在unix類平臺下的木馬經常是一個簡單外部命令的重新實現——例如將原本的ls命令替換掉,用自己寫的一個程序代替,在執行正常文件列表的同時隱含執行特殊命令,這類木馬的編寫水平也相當高,但在windows下極少出現類似程序替代的木馬,這類病毒的聯系一般是單向進行的;還有一類木馬就是網絡盜竊性質的,以im軟件,網絡游戲盜號居多,近來發展為對金融業有所染指,這類一般就是通過程序監視當前窗口,并獲得當前窗口特定控件的值(用戶名/密碼框里的值),然后通過email,遠程登陸web數據庫等方式把獲得的密碼發出去,這類程序具有一定編程基礎的各位朋友都能做到;第4類是惟恐天下不亂的純搗亂程序,原理跟上一種類似,不過是朝文本框寫信息,例如著名的qq尾巴病毒,這類病毒由于病毒作者將源代碼放出,改寫起來相當容易,智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。

  感染途徑:系統漏洞/用戶錯誤權限/社會工程學;

  利用系統漏洞——造成溢出——獲取一定權限——利用其他漏洞或用戶設置不當提升權限——上傳惡意程序/修改系統設置——啟動惡意程序。是這類病毒感染的慣用方式。在后期,出現了以誘騙用戶執行為主要感染方式的新木馬,充分利用了社會工程學,例如在im類軟件上給你發送一個名為“我的照片.exe”這樣的文件給你,引誘你打開執行。由于木馬的用途主要是將病毒編寫者感興趣的資料回發——因此感染途徑99%來源于網絡,在完全無網絡單機狀態下的木馬等于是沒用的死馬。

  病毒自查:由于木馬發送者的企圖都是通過控制你的機器操作來獲得一定利益,因此都會設置啟動時加載該程序。控制類的木馬需要占用相當一部分系統資源——用戶直接能感覺到的就是啟動速度變慢,系統運行速度變慢;而帳號盜取類的木馬由于需要獲得特定窗口的窗口句柄,因此會在當前窗口切換的時候進行讀取判斷——在機器配置不高的機器上,如果快速輪循窗口,則感覺到窗口出現速度明顯下降;惡作劇類的木馬就不用提了,大家都知道不對勁。

  木馬病毒在編制不夠完美的時候,會導致程序溢出——例如運行ie的時候多次出現“非法操作”、打開資源瀏覽器速度狂慢等現象,也可能是系統中了木馬后的蛛絲馬跡。在現象判斷上,確實沒有切實的客觀規則可循,主要是依據主觀經驗判斷。總之——如果您沒有安裝任何軟件/修改任何設置,原本昨天速度飛快的機器今天要么總是非法操作,要么速度延遲——那么您被感染了病毒或木馬的可能性相當大了。當然,如果您的qq帳號,傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外,相當多的木馬程序由于帶了hook鉤子,常常導致調試類程序出錯,如果您使用softice調試某些程序時經常無故報錯,那或許也是系統中掛接了異常的hook程序——木馬。

  病毒查殺:木馬病毒的繁衍也是相當快速的,特別是行為上難以判斷——合法遠程控制軟件和木馬在本質上基本上無區別,在執行行為上也相當類似。而木馬的控制協議一般是走tcp/ip協議,理論上是可以在65535個端口中隨意選擇(當然實際中會避開一些保留端口,防止系統沖突——木馬最必要的生存條件就是其隱蔽性),因此也無法利用端口方式準確判斷出病毒種類;通過特征碼方式,如果木馬作者沒有留下版本信息或說明文字,則也相當難以判斷;特別是木馬的源代碼公開后,想在其中加入一段獨特的功能代碼不是什么難事,因而衍生的版本特別快也特別多,這更加大了殺毒軟件查殺的的難度。

  事實上現在世面上的殺毒軟件對待木馬的查殺能力并不夠強大,如果有可能,可以選擇專用的木馬查殺軟件,如木馬克星等。當然,木馬也有手工解決的辦法,而且對待層出不窮的木馬也只有手工查殺才能以不變應萬變——感染/修改設置/啟動加載/運行獲取密碼 是木馬必經過的4個步驟,讓我們看看怎么找出藏在機器中的馬來——由于木馬需要啟動加載執行,因此大多采取修改啟動項目來加載的方式進行——那么,我們就到啟動項目里去牽馬吧;

  在這一步,需要用戶對自己windows的啟動項目熟悉。Win98中,病毒可能在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 或者HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Services中,或者是system.ini文件的[boot]小節將默認項目修改,或者是在Win.ini中的[Windows]小節中的load、run部分進行加載;在Windows\Start Menu\Programs\啟動這里加載,如果是2000或者xp,除了上面提到的幾個地方,還可能以服務方式加載,在HKEY_LOCAL_MACHINE\Sytem\Current Control Set\Services可以查到具體的加載項目。

  對于這一步,由于每個人的機器設置不同,所以天緣也沒辦法給出列表來說明到底加載的程序中哪些程序是正常的,哪些是不正常的。有個比較方便的方法是——當您系統把需要安裝的軟件安裝得當時,您查看一下以上幾個位置,并把其中的項目記錄下來,以后覺得自己可能中木馬了后,再對比一下以前的記錄,將后來添加的自啟動程序記錄下名字/路徑,進行刪除操作。這樣做的好處是——即使刪除掉的是正常程序,也不會是關鍵進程,不會導致系統無法啟動,有恢復修改的余地。在Win98和XP中有個方便的Msconfig命令便于我們查看以上說的啟動項目,如果使用的是Win2000,可以將XP的該文件Copy過去使用。

  如果的確發現了可疑的啟動項,那么接下來的工作就是刪除它了。在刪除的步驟上,有2個選擇:

  1.刪除啟動項目,重新啟機,刪除木馬文件;
  2.禁止當前運行的木馬程序,刪除啟動項目,重新啟機;

  兩種方法各有其優點,下面我們來一一分析。第一種方法,是刪除啟動設置里的木馬程序選項,并記錄下該木馬文件的位置(可用“查找”功能定位,并記錄下來),然后重新啟動機器(直到機器被重新啟動前木馬依然是存活著的),重新啟動后,木馬程序本身依然存留在硬盤上,然后直接象刪除普通程序一樣刪除掉——這個方法的要點就是先禁止木馬的啟動然后再行殺除,好處是操作簡單,不需要借助其他軟件,特別是在Win98下默認是無法查看某些進程的,因此用這個方法相當方便,壞處則是對某些木馬無效——某些木馬在運行的時候會定期查看設置的啟動項是否還存在,若是不存在的話會自動修改過來,屬于比較強硬的做法,于是第一種殺除方法就無法應對這樣的木馬了;第2種方法是先通過進程管理器查看,記錄并終止運行可疑程序(不光是注冊表/配置文件里的木馬啟動項,有時候木馬程序本身會運行一個附帶的獨立監視程序來防止自己被改寫

  因此需要非常熟悉自己的機器上的固定正常運行程序才能準確判斷,當然還有一個做法是非關鍵進程都殺——天緣在給朋友機器手工殺木馬的時候常這樣),之后再到啟動項目里去殺除掉相關的啟動項目,重新啟動機器后再把剛才記錄下的進程進行仔細查看,把確認為木馬的文件刪除掉。這個方法好處當然就是比較容易殺掉一些定期檢查/回寫啟動項目的疑難木馬,不過對用戶的操作要求比較高一些。

  以上2種方法如果掌握了,基本上就能把目前的木馬全部手工殺除掉,但遇到木馬使用2個程序互相關聯/檢查啟動,或者是在加載基本驅動階段時以驅動程序方式嵌入的木馬程序時候用上面提到的2種方法都無效。在Win2000/xp中,啟動機器的時候會加載system32/drivers目錄下的驅動,而如果這些驅動中含有惡意程序,那么它可以做到改寫i/o,讓Windows修改某些文件無效,或讓操作某一注冊表無效,目前這一技術在病毒中尚未看到先例,但頗有爭議的3721已經成功地運用了該技術,相信在不久的將來一些功力深厚的病毒作者也會運用到此技術。天緣在這里預先提一下對該類病毒的刪除方法——由于病毒已改寫i/o,故最好的做法是在非windows環境中將其刪除,具體的做法是用軟盤/光驅引導啟動,或者利用vFloppy等工具配合boot引導程序制作一個小型虛擬引導盤,進行殺除工作。

  殺毒遺留:由于木馬程序并不一定只有一個可執行文件,因此如果利用手工查殺的方法,或許會有一些木馬留下的dll,ocx等資源文件留下,副作用沒什么,但是會殘留在硬盤上。殺毒軟件嚴格意義上來說只是殺除了一些比較流行的主流木馬,對待一些不太流行的木馬是視而不見的,專業的木馬查殺工具能殺除90%左右的木馬,但剩下的10%高技術的木馬也無法查殺——如上文提到采用3721那種加載到system32/drivers下的木馬在windows上改寫文件/注冊表的讀寫,則無法在windows環境下查殺。

  病毒防御:對待木馬,防止感染遠比事后殺除更為重要——重要的文件/資料/帳號已經被獲取了,即使把木馬殺了也無事于補。木馬的進駐,除了利用系統漏洞,大多采用欺騙方式——記得一句古話:“便宜莫貪”。網絡上初認識的朋友熱情地給你發他的照片,四處標榜著的免費游戲外掛,一些小站點吹噓的精品軟件,一些情色站點的專用播放器,一些所謂“安全站點”的所謂黑客工具。

  世界上沒有絕對免費的事,以上提到的這些事情中的確有一些是免費的,當更多的是木馬程序,或者利用程序捆綁技術,將正常程序和木馬程序捆綁在一起的。如非必要盡量不要在這些地方進行下載。總想貪圖便宜,會吃大虧的——生活中如此,網絡上同樣是!網絡上喜歡你6位qq號的人遠比覺得你帥的人多;網絡上喜歡你40級帳號的人遠比喜歡你在游戲中造型的人多;網絡上希望你作他肉機的人遠比他做你肉機的人多。總之一句話,無事獻殷勤——大多非奸即盜!對待漏洞或權限設置不當的,在后面蠕蟲病毒部分一并介紹。

3.蠕蟲病毒

  繁殖,繁殖,再繁殖,利用系統漏洞,通過網絡感染感染其他計算機,繁殖,繁殖,再繁殖。此類病毒深得“乾坤生兩儀,兩儀生四象,四象生八卦”之能,每臺受感染的機器,本身又以病毒發送者的身份將蠕蟲病毒送向四面八方。

  病毒描述:這類病毒的本質特征之一就是透過網絡主動進行感染,本身不具有太多破壞特性,以消耗系統帶寬、內存、CPU為主。這類病毒最大的破壞之處不是對終端用戶造成的麻煩,而是對網絡的中間設備無謂耗用。例如網絡中的交換機/路由器/DNS服務器/郵件服務器常常是蠕蟲病毒爆發的最大受害者——“互聯網癱瘓了!?”——2003年1月的SQL蠕蟲爆發就是最好的例證。

  病毒淺析:在以前,編寫這類病毒的技術要求相當高。1988年,前面提到的“磁芯大戰”之子羅伯特.莫里斯在發現了幾個系統漏洞后,編寫了一個精巧的程序,短短時間便將當時的大半個互聯網癱瘓。由以上可以看出,蠕蟲的出現,傳播,感染是需要系統漏洞和獲得系統權限的。莫里斯不愧為技術高手,不光在于對病毒的編寫,更在于對系統漏洞的發掘上。隨著時間的推移,操作系統的進步,在功能完善的同時,漏洞也隨之增加。

  不少真正的安全小組在發現漏洞的同時,除了會給出詳細的技術說明外,往往附帶一個小程序的源代碼,說明利用漏洞獲得權限的實現。而這個小程序被蠕蟲病毒編寫者如獲至寶,將起改寫,加上文件傳輸,ping掃描,修改啟動項自動執行等能用代碼簡單實現的功能,就成了一個蠕蟲病毒——換句話說,現在編寫蠕蟲病毒的門檻已經大大降低了,所以大家會看到18歲的優秀病毒編寫者云云——其實相較起破壞特性來,發現安全漏洞更是需要高超的技術水平——這是安全小組做到的,而不是病毒編寫者。因此可以這樣概括:自從莫里斯發明出蠕蟲病毒以來,該種病毒的編寫者自身實力日漸下降,從操作系統級水平淪落到代碼編寫級水平,不可同日而語。

  感染途徑:系統漏洞/用戶錯誤權限

  蠕蟲病毒本事是一個需要以一定身份執行的程序。因此通過系統漏洞進行感染是其手段,提升權限是其企圖,重復感染是其目的。沒打上系統漏洞補丁的操作系統,權限設置松散的設置,極其簡單的用戶密碼是這類病毒的最愛。

  病毒自查:由于通過網絡感染,這類病毒都會大量占用網絡帶寬。由于現在普通pc的性能相當不錯,因此一些新興的蠕蟲病毒在大肆占用網卡發送封包的同時,本機速度不會變的太緩慢,這跟自查帶來了一定麻煩。以天緣工作為例,檢查到內網中有用戶染毒后,電話通知他,結果被反問:“我運行單機程序的時候這么快,只有上網的時候才覺得慢,是不是你們網絡中心故意搗亂??”網管難做啊,不對單機造成任何傷害的病毒用戶一般難以察覺,因此還是后來會導致系統出錯1分鐘內自動關閉的這類病毒比較受我們網管歡迎呢。上網的朋友可以檢查一下網絡連接的封包發送,如果自己沒進行任何操作的時候,依然有大量的數據報文不斷發出——那么有很大可能您中了蠕蟲病毒。

  病毒查殺:這類蠕蟲病毒由于感染非常迅速,而且是通過系統漏洞方式感染,所以對互聯網絡的危害相當大,唇亡齒寒,因此一般來說發現了該漏洞的操作系統公司和殺毒公司都不會坐視不管,會在第一時間推出補丁和專殺工具。用戶下載后,斷網進行殺毒,然后打上patch,重新啟動系統就能避免再次重復感染了。至于病毒傳播速度太快,在殺毒后下載patch的中途又被重復感染的問題,可見我以前的一篇文章《網管筆記之小兵逞英雄》,舉一反三則可以 。

  殺毒遺留:由于該類病毒本身是獨立程序,利用系統漏洞進行遠程權限獲取,進而上傳,運行,感染,所以用專用的軟件殺除后,基本無文件殘留,但部分專殺工具沒有將其啟動項目清理得非常完全,可以使用上面查找木馬啟動設置的方法手工查找加載位置進行刪除。另外切記一定在殺毒后第一時間及時打上補丁,否則重復感染機會高達100% 。

  病毒防御:

  1.勤打補丁,一般說來一個操作系統被發現漏洞以后,大概在15天以內相關的病毒就會出現,因此有必要隨時關注自己所使用的操作系統的補丁升級情況,養成每天定時查看補丁升級情形的習慣。這里的補丁不光包括操作系統自身的,也包含程序服務的補丁,例如ftp服務器的補丁等等。

  2.權限設置,很多蠕蟲感染的條件是需要以root級運行的進程出現漏洞,那么蠕蟲才有權限進行上載、執行的權利,在windows下由于大多數后臺進程是以administrator權限執行,帶來的危害也相當大;*nix下則可設置非關鍵進程使用普通用戶或chroot方式來避免權限提升。

  3.盡量少開服務,可開可不開的服務絕對不開,最小化風險;

  4.安裝網絡封包防火墻,只允許特定的端口的數據包通過或者特定的程序訪問網絡。這部分我們放在后面攻擊防御那里介紹。

  4.腳本病毒

  這類病毒編寫最為簡單,但造成的危害非常大。我們常見的瀏覽了xx站點就被改了主頁,在收藏夾里被添加上很多無謂的東西,就是拜這類病毒所賜。

  病毒描述:這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶權限設置不當進行感染傳播;病毒本身是ascii碼或者加密的ascii碼,通過特定的腳本解釋器執行產生規定行為,因其行為對計算機用戶造成傷害,因此被定性為惡意程序。最常見的行為就是修改用戶主頁,搜索頁,修改用戶收藏夾,在每個文件夾下放置自動執行文件拖慢系統速度等;比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬于這類。

  病毒淺析:為了完成一些自動化的任務,需要用程序方式來實現。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率,方便用戶操作,加強系統特性,于是許多軟件/操作系統都預留了接口給用戶,用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的,不編譯,直接解釋執行,在調試/修改使用上相當簡便,雖然犧牲一定效率,但是換來了易用性。這本是一個良好的愿望,但太多的時候,這沒有起到積極的作用,反而為腳本病毒編寫者提供了良機。

  以web病毒為例,由于用戶缺乏安全意識用錯誤的權限登陸,導致ie中的解釋器使用wsh可以操作硬盤上的文件和注冊表,而javascript和vbscript調用wsh是很容易的事情——于是惡意腳本的作者只需要讓你訪問該頁面,就能在你本地寫上一些惡意的腳本,在注冊表里修改你的主頁/搜索項了。而利用ie的activex檢查漏洞,則可以在不提示地情況下從網絡上下載文件并自動執行——這就成了木馬攻擊的前奏曲;利用mime頭漏洞,則可以用一個以jpg結尾的url中,指向一個事實上的web頁,然后在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶;利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼;利用本地硬盤上有執行autorun.inf的特性(這功能本來是光驅用的,我們的光盤之所以放進去就能自動讀出程序,就是光盤上有個名為autorun.inf文件起的作用,它是個文本文件,各位可以看看)把一些需要加載的程序寫到該文件下導致每次訪問該分區的時候就會自動運行;利用windows下會優先讀取folder.htt和desktop.ini的特性,將惡意代碼寫入其中,導致訪問任何一個文件夾的時候都會啟動該病毒,再配合上鎖定注冊表的功能,殺除起來異常麻煩——不復雜,但是相當煩瑣,一不留意沒殺干凈一處,又導致死灰復燃,前功盡棄。

  病毒自查:上面有提到,這類病毒一般以搗亂居多,所以特別容易發現。而其另一個作用是作為木馬進駐系統的先遣部隊,利用瀏覽器漏洞等達到下載木馬文件到本地硬盤,并修改啟動項,達到下次啟機運行的目的。因此一旦發現木馬的同時,也可以檢查一下是不是有些可疑的腳本文件。

  病毒查殺:這類病毒一般來說由于其編寫靈活,源代碼公開,所以衍生版本格外地多;殺毒軟件/木馬殺除軟件對待這類病毒大多沒用。而由于腳本病毒(除宏病毒外)大多是獨立文件,只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是,利用微軟的瀏覽器的漏洞,在點擊選擇某些文件的同時就自動執行了,甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。

  正確的做法是使用其他第三方的資源瀏覽器,例如Total Command就是一個非常不錯的選擇。查殺大致過程如下:首先,在資源瀏覽器——工具——文件夾選項中,將“使用Windows傳統風格的桌面”取消掉,在桌面上點右鍵,點“屬性”——“桌面設置”,將使用活動桌面取消,接著查殺可疑對象;常見查殺對象:各個根分區下的autorun.inf,各個目錄下的desktop.ini和folder.htt(有幾個是系統自帶的,不過刪除了也無關系的),這一步最好采用第三方的資源瀏覽器,例如前面介紹的Total Command來完成。在這一步,最忌諱查殺不凈,即使有一個病毒遺漏,很快就又遍布各個文件夾內了。關于郵件病毒的殺除使用專殺工具就行了。

  病毒殘留:純粹腳本病毒在殺除后不會有任何殘留,但由于目前的病毒大都采用復合形態,捆綁多種傳染方式和多種特性,因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其后進入系統,因此在殺除掉腳本病毒后,非常有必要連帶著檢查系統中是否已經有了木馬和蠕蟲病毒。

  病毒防御:腳本病毒的特性之一就是被動觸發——因此防御腳本病毒最好的方法是不訪問帶毒的文件/web網頁,在網絡時代,腳本病毒更以欺騙的方式引誘人運行居多。由于ie本身存在多個漏洞,特別是執行activex的功能存在相當大的弊端,最近爆出的重大漏洞都和它有關,包括mozilla的windows版本也未能幸免。因此個人推薦使用myie2軟件代替ie作為默認瀏覽器,因為myie2中有個方便的功能是啟用/禁用web頁面的activex控件,在默認的時候,可以將頁面中的activex控件全部禁用,待訪問在線電影類等情況下根據自己的需要再啟用。關于郵件病毒,大多以eml作為文件后綴的,如果您單機有用outlook取信的習慣,最好準備一個能檢測郵件病毒的殺毒軟件并及時升級。如果非必要,將word等office軟件中的宏選項設置為禁用。腳本病毒是目前網絡上最為常見的一類病毒,它編寫容易,源代碼公開,修改起來相當容易和方便,而且往往給用戶造成的巨大危害。

  以上4類程序的介紹,為了降低學習難度,我是單態方式來介紹的。事實上目前的病毒大多以具有上面4類程序中的2到3類的特征,因此無論感染,傳播,殺除的困難都大大增加。例如發文前夕的mydoom新變種病毒的分析中:它利用系統漏洞/郵件群發/共享漏洞方式傳播(具備了蠕蟲、腳本病毒和新型病毒的傳播特性),進駐用戶系統后上載自身并運行(木馬特性),獲取用戶本地outlook中的地址本(木馬特性),通過調用google等搜索引擎獲取用戶email地址本中同后綴的相關選項(調用系統程序,木馬功能),再主動給地址本中的每個程序發出email(木馬特性)。對待這樣一個病毒,無論是系統存在漏洞、共享安全設置不當、或者隨意地打開了“朋友”發來的email,都可能導致中毒。關于中毒途徑的分析,留待下一站《攻擊防御之旅》內一并介紹。

  在從第一個病毒出現到現在,已經有整整半個世紀了,病毒的發展日新月異,令查殺的困難大大增加,造成的損失也異常巨大。或許,計算機病毒這個幽靈,從計算機誕生的那一刻起就注定要如影相隨的。只要還有用心險惡的人存在,那么病毒就不會消亡。病毒之戰,恐怕會在今后的日子里越演越烈……

第二篇、有了攻擊就會有防御

  除了病毒,互聯網絡上還有一股暗潮——人為攻擊。

  早期的攻擊者大多是技藝高超之輩,他們對服務器的系統、程序相當熟悉,常常通過尋找他人系統中的漏洞來提高自身技術水平,并以此為樂。不過他們的默認準則之一是不攻擊普通終端用戶、進駐服務器后不改變服務器重要設置。那是一群令人尊敬的人,他們在技/藝的邊緣地帶行走,以自己獨特的方式磨練著自己;獨特立行,或許你曾因為各種原因在im軟件上,在web論壇中,在irc聊天室里與他們匆匆邂逅又匆匆離別,卻茫然不知道他們的真正身份;都是真正意義上的技術好手,對操作系統,網絡協議,編程語言都有相當造詣,他們中相當一部分人的正當職業就是高級程序員、系統分析師、網絡管理員——這類人,我們尊敬地稱他們為“黑客”,俗稱“黑帽”。

  到了商業時代,隨著金錢利益的驅動,行行色色的各類人進入了互聯網。其中有一群被金錢利益驅動著的人,他們也有著不錯的技術,卻被金錢物欲所俘獲,將自己的技術和靈魂出賣給金錢——只要為了經濟利益,可以不擇手段地進行破壞。他們對沒利益的終端個人用戶也沒有什么興趣,相比之下服務器更令他們青睞。把攻擊得逞的服務器做成肉雞以備后用是他們的習慣之一。這類人,我們稱他們為“駭客”,俗稱“灰帽”。

  就如有影就有光一樣,網絡上也有跟“駭客”相反的一類人,他們以研究系統漏洞、幫助企業實施安全方案為職,我們稱他們為“安全顧問”。他們具有足以和“駭客”匹敵的能力,網絡上的商業服務器攻防之戰大多是在他們與“駭客”之間展開,,俗稱“白帽”。

  最后一類,可說是墮落的平庸者。使用著前幾類人所開發者的工具,對網絡上的機器——不管是終端用戶還是服務器進行掃描;看到有漏洞的系統就又使用他人的教程、工具嘗試進入,并在進入之后大肆進行破壞;在無法進入的時候,甚至就直接用DDOS攻擊了事。他們破壞的理由大多是為了逞一時之愉快或為了炫耀自己而已,這類人沒有什么技術可言,行為也無道德可言。他們不具備扎實地技術功底,大多是使用前三類高手所開發的工具,這樣的一類人,一般被稱為“腳本小子”。值得附帶一提的是,國內不少所謂“安全站點”上馳騁風云、威風八面的“高手”也不過就屬于這類檔次的混混而已——不知天高地厚的自吹自擂也是這類家伙常見的特性之一呢。

  對個人用戶而言,由于不具備較大的經濟利益,因此前三類人一般不會染指用戶的計算機。讓用戶深受其害的,常常是腳本小子的所為。

  攻擊的六大步驟

  首先,讓我們看看這類家伙是怎么樣一步步發起攻擊的,一次典型的正面攻擊大概分這么幾步來進行,值得一提目前的網絡病毒傳染方式從實質上來講也是一種自動攻擊,因此下面的步驟對待病毒也是同樣適用;

  1.利用掃描工具批量ping一個段的地址,判斷存活主機;

  為了加快感染的速度,常常是ping不通的主機就放棄后續的操作,相當多的病毒均是屬于先ping目標主機,再進行感染操作的;

  2.掃描所開放端口;

  針對常見的默認端口來猜測服務器的性質,如80是web服務器;21是ftp,22是 ssh,25是smtp等等;

  3.根據獲得的情報,判斷主機的操作系統和決定攻擊方式;

  如果操作系統開了80的,就看看web服務器的信息;如果開了21,就看看ftp服務器的信息——從這些蛛絲馬跡中獲得資料,如從iis的版本號、ftp服務的歡迎信息來判斷所用的程序,以及操作系統可能使用的版本;

  4.嘗試攻擊——在這一步,分為漏洞攻擊、溢出攻擊、密碼破解攻擊;

  對待網絡共享,一般采用利用弱密碼漏洞方式進入;對待公共服務,如web、ftp則通過查找該版本的軟件漏洞(這個在google上搜索到很容易,甚至有示范代碼的)進行溢出攻擊;枚舉用戶帳號,通過掛載密碼字典,進行弱密碼窮盡猜測攻擊等等;

  5.進入系統,想辦法提升權限;

  如果是通過服務漏洞進入,則不少情況下默認就是最高權限了(windows的服務大多默認以administrator權限運行),如果通過其他方式獲得帳號密碼的,那么還要想辦法提升權限,常見的做法有利用重定向方式寫系統設置文件、運行有權限執行的高權限程序并造成溢出獲得;

  6.獲得最高權限后進行破壞行為實施;

  常見的就是安裝木馬、設置后門、修改配置、刪除文件、復制重要文件等;

  應對攻擊行為

  讓我們分析一下以上6步,看看該怎么應對攻擊行為。

  利用掃描工具批量ping一個段的地址,判斷存活主機;

  由于無謂的攻擊一個不能確定是否開機的ip地址從效率上來說比較低下,在要求快速攻擊/感染的情況下,常常會對目標地址進行ping檢測——如著名的沖擊波病毒等;換句話說,如果能讓我們的主機不回應icmp包,則對方無法確定我們的存活,很可能就此放棄攻擊。目前不少免費/商業的個人網絡防火墻都帶了這一功能;

  判斷主機的操作系統和掃描所開放端口;

  個人用戶所開主機的服務類端口不多,但由于windows自身的設置問題,例如win98共享漏洞、win2k默認開著telnet服務等原因,讓攻擊者有多個攻擊選擇。在這一步,同樣可以用防火墻把必要的端口禁止掉——我常用的做法是把135、137、138、139、445端口禁止掉,這能避免很多麻煩,windows的網絡共享安全性實在不怎么好,個人推薦用戶考慮放棄網絡共享,采用ftp等方式進行必要的文件傳輸;

  根據獲得的情報,決定攻擊方式;

  在這一步,攻擊者將上一步掃描的資料進行匯總,然后確定攻擊方式——因此上一步中,我們如果能將對外的端口開得盡量少,那么攻擊者能利用的資源也就越少,出現漏洞攻擊的可能行就越小;

  嘗試攻擊——在這一步,分為漏洞攻擊、溢出攻擊、密碼破解攻擊;

  由于攻擊個人用戶的家伙大多是屬于腳本小子一級的,只會用別人現成工具的居多,因此有了上面的防御后,能讓他們利用的漏洞也不是太多了。只要密切注意自己所用操作系統的動態,隨時給系統升級補丁,一般來說攻擊者已經沒折了。

  進入系統,想辦法提升權限;

  進入到系統之后,對其他平臺而言,攻擊者獲得的大多不是root權限,還要進行權限提升的步驟,利用重定向寫配置文件、信任欺騙等手段來提升權限;而在windows下,個人用戶大多直接以administrator的身份登陸并進行日常使用(值得一提的是天緣看到不少win2k/nt服務器的管理員在進行日常操作的時候也使用administrator帳號,甚至在服務器上瀏覽不可信任的web頁),且windows的后臺服務大多直接以administrator身份運行,因此一旦被入侵,直接獲得administrator的幾率相當高,客觀上降低了攻擊難度。漏洞多,補丁慢,服務權限設置設置不嚴格——這就是攻擊者更喜歡攻擊windows系列操作系統的原因了。

  獲得最高權限后進行破壞行為實施;

  到這一步,基本上用戶已經無力阻擋了——最好的做法是立即拔掉網線再謀對策了。

  對待上面這樣典型的正面攻擊行為,有一個好的個人用戶防火墻是不錯的選擇,天網/金山的的偶比較好用,目前我個人的桌面系統使用的是費爾防火墻,它操作上不如天網/金山方便,但可定制性更好一些。普通用戶可以下一個天網的防火墻來用,默認的規則已經可以對付上面提到的大部分攻擊行為了。

  正因為隨著個人防火墻的使用,腳本小子進行正面攻擊不容易得逞,因此采用欺騙的手段進行攻擊成為了更為可取的方式。

常見欺騙手法

  1.im軟件中的一個網站地址——該網站地址其實是一個利用了activex漏洞或mime漏洞的頁面,當用戶采用啟用activex的瀏覽器或mime解析不嚴格的web瀏覽器訪問該頁面時,會導致腳本病毒自動執行,修改用戶的本機設置,并將遠程木馬木馬下載到本地,在沒有提示的情形下運行起來,之后又掛接到im軟件,在用戶知情/不知情的情形下,將該網站地址發送到用戶im軟件里的好友中,以次延續感染;對付activex漏洞的方式是使用能準確控制是否啟用頁面中activex的瀏覽器,如myie2;對付mime頭的方法是及時打上系統補丁——“美女圖片”病毒就是典型的一個利用瀏覽器沒檢查jpg的mime的漏洞,而這個漏洞微軟在很早前就發布了patch,結果沒想到還是很多人中招了。

  2.主動在im軟件中發送木馬——這類方法比較拙劣,攻擊者以“這是我的照片”,“新發現一個好用的軟件”等借口,將一個文件發過來——并要求你執行,由于可執行文件的后綴是以.exe .bat .pif . scr .cmd 為主,所以用戶看到這幾類后綴就要小心了。如果的確想看對方的照片怎么辦?讓對方把圖片轉成jpg文件發過來,記住是放到你本地來,而不是給你一個url,否則上面提到的mime頭檢查漏洞正等著你呢!

  3.利用郵件方式傳播病毒。對利用outlook等客戶端工具的朋友來說,自動在郵件里顯示出html是一項很貼心的設計——可惜是有漏洞的設計——這樣在ie存在漏洞的時候,讀取html格式的郵件同樣會中毒;預防方式要么是禁用html方式解析,要么是及時升級windows補丁,要么是不采用outlook本地方式收信,而是先利用webmail方式以文本格式讀信,然后將有必要的信保留,沒必要的刪除,再行下載。

  本來利用imap遠程管理信箱是個好主意——可以將名字/來源email看著不對勁的信直接刪除掉;但由于smtp協議本身的不完善和不少郵件病毒采用獲取用戶outlook地址本的特性,使得信件來源常常來自一個可信任的朋友地址,令遠程管理無從僅僅根據信件來源email地址和信件標題判斷是否為病毒。對待這類病毒,除了依仗郵件系統自身的殺毒功能外,用戶在自己機器上裝一個帶郵件監控功能的殺毒系統也是非常有益的。當然,最好的方法就是用純文本方式閱讀信件——舍棄一點華麗,換來更多安全是值得的,至少在有重要資料的機器上是如此。

  4.程序捆綁欺騙。目前有一種程序,專門將2個文件捆綁到一起,稱為捆綁機。具體來說——打個比方,我把a.exe文件和b.exe文件捆綁到一起的話,會生成一個c.exe文件——那么如果我運行c.exe,則等于同時執行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是一個木馬的話……常見的做法就是不少所謂的“安全站點”告訴好奇的學習者——這是xx強大的安全工具、掃描工具。結果是捆綁著木馬的,下載下來一運行,自己先中招了。不少腳本小子自己的機器上都被人種了木馬還茫然不知,真是報應啊,哈哈哈。不過對普通用戶來說,對待不信任的人發給的這類文件還是不運行比較好;當然自己去一些不是太正規的站主動下載文件就更是腦袋里進水了。

  著名病毒的攻擊原理

  當然,攻擊的方式從來不是被單獨利用的 ,讓我們分析一下幾個著名病毒的攻擊原理看看就知道了;

  沖擊波病毒(蠕蟲類病毒):通過ping命令探測主機——檢查是否為win2k/xp系統——利用rpc漏洞獲取權限——通過tftp上載必要文件——修改注冊表,添加服務——感染其他機器;

  這類病毒的預防手段:

  禁止ping的icmp回應封包發出;
  打patch將漏洞補上;
  在管理工具 ——服務 中 ,將“允許遠程編輯注冊表”功能禁用;

  網絡天空病毒(郵件類病毒):廣發病毒郵件——用戶收到郵件后打開運行——利用漏洞/欺騙執行郵件中的帶毒程序 ——修改系統注冊表設置——復制自身到系統目錄——搜索本地htm,eml等文件中的郵件地址——利用自帶smtp將病毒以多種標題連帶欺騙文字向各個地址發出——某些病毒會ddos攻擊某些站點;

  這類病毒的預防手段:

  不閱讀來歷不明和沒理由收到的信件;
    使用web方式在線閱讀、管理信件;
    打上最新的瀏覽器、outlook補丁;
    禁止信件以html格式顯示信件;
    平時不用administrator身份登陸,而以普通用戶登錄,讓病毒修改注冊表和系統文件的權限受到抑止;
    使用帶郵件即時監控的殺毒程序;

  新歡樂時光病毒(腳本類病毒):outlook傳播——瀏覽染毒郵件時利用outlook漏洞運行vb代碼——各個目錄下生成大量folder.htt和desktop.ini文件,由于資源瀏覽器的腳本檢查漏洞,瀏覽該目錄即感染——搜索網絡內其他機器共享——對有可寫權限的(新變種能自動枚舉嘗試123,111,用戶名123這樣的簡單密碼)其他機器共享目錄上載folder.htt和desktip.ini文件——其他機器使用資源瀏覽器瀏覽該文件夾時被感染

   此類病毒的預防手段:

    最好不使用網絡鄰居,必要使用的時候請只開放讀取權限;
      打上outlook補丁和瀏覽器補丁;
      禁止采用html格式查看信件;
      采用帶即時文件監控的殺毒程序:
    采用第三方資源瀏覽器瀏覽網絡鄰居資源,如total command等等;

  由此可見,目前的主流病毒/攻擊,都是將上面介紹的病毒方式/攻擊方式進行復核后,以多種方式傳播,力爭在最短時間內感染數量盡量多的機器。行文到這里,基本上主要的攻擊方式都介紹完了,在下面,我例出一張表,各位可以大致地看看應對方法。

  病毒/攻擊防御 ——對應主動攻擊:

  <掃描存活主機>( 防御方法:禁止icmp反饋,用防火墻實現);

  <掃描端口、漏洞> (防御方法:1,禁用不必要的服務;2.禁止一些不對外的敏感端口; 3打系統補丁)

  <攻擊> (防御方法:1.用戶密碼設置得復雜一些;有特定服務的一定留意該服務的權限設置和打上針對該服務的最新補丁)

病毒/攻擊防御2——對應欺騙攻擊:

  <發起欺騙> (防御方法:檢查對方可信任度,這里的對方,不光是指操作計算機的人,而是指對方的機器是否可靠——如果對方是可信任的人,給你發了個url,你可以詢問是不是對方發給你,因為病毒是不會自動應答你的詢問的,由此你可以判斷出是對方給你發的,還是對方機器已經中毒后自動發的)
         
  <訪問潛在欺騙源> (防御方法:每一個web頁,每一封信件——不管是不是來自朋友,也不管是不是門戶站點,都有可能存在木馬或腳本病毒,最好的辦法就是禁用activex,必要的時候才打開,及時升級瀏覽器/郵件工具補丁,防止瀏覽器漏洞被利用;)

  病毒不斷演化,隨著編程技術的進步,目前的病毒具備越來越多的欺騙特征——可以說目前病毒傳播的2條主要途徑就是漏洞和欺騙;對待漏洞沒說的,第一時間打上補丁是最好的解決辦法,對待欺騙則就要依靠用戶主觀的判斷了。雖然很難量化標準,但天緣還是盡力把防止病毒/攻擊的辦法大致例舉一下,下面的有些條件比較茍苛,但還是希望能盡力做到——雖然麻煩一點,但總比中毒/攻擊后受到損失強。

  1.用戶密碼足夠復雜,推薦8~16位數字+大小寫字符+特殊符號 ;win2k/xp可考慮把administrator用戶改名;

  2.盡量使用網絡共享,采用ftp等更安全的方式代替(默認共享目錄,例舉用戶名,空密碼漏洞是著名的容易被利用);如果必要情況下需要使用,請一定設置上8位以上的復雜密碼,并制定文件目錄的確實需要的最小權限(例如提供資料讓人下載的,就只需要設置成只讀權限就行了)

  3.及時升級系統和工具補丁;(這點我在此文中一直在強調,但事實上是——不少用戶寧可每天花10個小時的時間玩游戲,也不愿意花10分鐘去訪問一下windows的update站點,安裝殺毒軟件/防火墻是治標,打patch才是治本,隨時打好patch是每日必修功課);

  4.安裝帶有病毒即時監控/郵件監控的殺毒程序,并及時升級病毒庫;(很多朋友強調自己用的是正版殺毒軟件,但一直忽略了購買正版殺毒軟件的最必要因素——獲得良好的升級支持服務,不升級病毒庫的殺毒軟件是無法捕捉到新病毒的。因此天緣個人建議每天2次升級最新病毒庫是比較適合的,一次在早上開機時,一次在下午開機時);

  5.使用更優秀的軟件代替產品;(例如用myie2代替ie,用total command 代替資源瀏覽器。不是說微軟自身的產品不能用——有時候就是因為微軟的產品功能太多,眾多的功能中有可能有存在漏洞的,就會危機到系統安全了,所以推薦使用代替產品。而事實上不少第三方軟件的確相當好用的)

  6.使用個人版網絡防火墻,將icmp反饋禁止,再根據自己需要把敏感端口全部禁止掉;(在金山、瑞星、kv、天網的防火墻設置中,很容易找到“禁止icmp回應”,“禁止ping響應”這樣的規則,勾選上就行了)win2k/xp自帶的ipsec也能實現,不過比較繁復一些,個人感覺適合系統管理員而不是普通用戶,另外winxp自帶的防火墻也能作到禁止ping回應,各位可以試著開啟它)

  7.修改xp/win2000的默認設置,在服務中禁止掉自己不需要的一些服務。如messager和遠程操作注冊表都是常常被利用的服務程序;(在中文版本中,都有詳細的中文提示,yesky網站上的介紹文章也相當多,各位可以搜索一下)

  8.養成安全意識。網絡前輩說過一句名言“安全,從來都不是技術問題,而是一個意識。”前面幾條都是在第8條的基礎上得到體現的,如果沒有了安全意識,即使用再昂貴的殺毒軟件也懶于升級、用再優秀的操作系統也懶于打patch,那么一切都是白費了。特別是對待目前逐漸成為主流的病毒/攻擊欺騙而言,如果用戶不在主觀上保持“存疑”的態度,那么隨意接受/打開外來的文件,中毒的可能性是相當大的。另外補充一句,網絡上只有“本地”和“遠程”2個概念,不管是不是朋友的計算機,是不是同一個工作組內的機器,它始終是臺遠程機器發送過來的數據——保持必要的懷疑,不管該計算機是誰擁有。

  9.在金山,瑞星和kv3000的主頁,對待流行病毒,都有專殺工具和注冊表修復工具免費下載,如果用戶能確認自己所中的是何種病毒時,使用專殺工具能獲得更高的殺毒效率;而且在這些站點上,還有最新的病毒預報可以看到,方便用戶提前作好準備以及了解攻擊細節。

  第三篇。目前殺毒軟件對電腦的重要性

  目前對待聯網的桌面操作系統而言,安全主要在于對網絡上病毒/攻擊的防御,事前充分地做好準備工作,遠比病毒、攻擊入侵后再進行補救更好。病毒、攻擊除了依賴于技術實現,更重要的是依賴于用戶自身的安全意識——天緣接觸的不少用戶都知道要升級操作系統、要買正版殺毒軟件、不在網絡上隨便下載東西,但真到實施的時候卻常常因為貪圖便利和抱有僥幸心理,最后到病毒、攻擊入侵機器后才悔之晚矣。現在的windows系統的升級做的相當方便、殺毒軟件更是做得相當貼心,升級不是多麻煩的事情,貴在持之以恒。

  安全在各個行業都是一個永恒的話題,桌面操作系統從單機時代走向網絡時代是一次計算機業的重大進步,隨著互聯網絡的資訊增多、娛樂豐富、商機漸顯,它在我們的生活中變得越來越重要,而隨之而來的病毒和攻擊也越來越猖獗。希望此文能對飽受病毒/攻擊之苦的朋友一點點啟示。切記殺毒軟件不能少,開機啟動少不了。


【電腦技術城】http://www.nnpznq.tw 是專門為客戶網上處理電腦問題和南寧市地區電腦上門維修服務的平臺。一切的電腦問題你都可以在網上免費咨詢(客服QQ全程在線)。同時我們也提供了網上電腦維修服務和電腦技術支持,專門處理客戶系統的常見問題、網上重裝系統、和一切均能上網QQ遠程處理的電腦問題。我們還開設了組裝電腦配置清單及價格_臺式電腦主機配置推薦_電腦維修_手機推薦,最權威的、電腦維修、知識學習、技術問題咨詢、視頻教程網站、提供電腦維修知識、電腦維修視頻教程、電腦維修技術、電腦維修問題咨詢、南寧電腦上門服務維修店電話、電腦維修學習相關資料希望大家能夠自覺遵守網站規則,不做任何傷害國家、辱罵他人及擾亂網站管理和違反法律管理的一切行為。   

 

 客服QQ:小美(2276781688) 小夕 (2689901577)  QQ交流群: 3920471   電腦技術商城交流群
 
相關評論
電腦故障
    該欄目下無二級欄目

電腦技術城-組裝電腦配置清單及價格_臺式電腦主機配置推薦_電腦維修_手機推薦,電腦維修、知識學習、技術問題咨詢、視頻教程網站、提供電腦維修知識、電腦維修視頻教程

鄭重聲明:歡迎大家活躍轉載分享。但未經授權禁止、摘編、復制或建立鏡像、采取一切手段修改本站文章發布到其他網站的一切行為,如有違反,追究法律責任。

電腦技術城客服QQ   小美(2276781688)   飛躍夢想(349693211)    坦誠相待(344368100)    QQ交流群:3920471

本站部分內容來源于互聯網,如有侵犯您的權利,請聯系我們,我們將會及時刪除,謝謝!

桂公網安備 45010202000198號
桂ICP備11007466號
中国福利26选5