大蝦電腦不被入侵的秘密

小老鼠　哈利菠菜

人物介紹

王小菜:國(guó)家公務(wù)員，初級(jí)電腦用戶，網(wǎng)絡(luò)安全意識(shí)比較薄弱。

李大蝦:某IT公司網(wǎng)絡(luò)安全工程師，對(duì)系統(tǒng)及網(wǎng)絡(luò)安全有非常深刻的認(rèn)識(shí)。

NO1 不被入侵的秘密之入門篇

王小菜和李大蝦是哥們兼鄰居。某晚，王小菜打開(kāi)電腦上了一會(huì)網(wǎng)之后，發(fā)現(xiàn)鼠標(biāo)忽然不聽(tīng)使喚，好像要找什么東西似的，指針到處翻文件夾。小菜不知為何。是故，以一頓宵夜的代價(jià)請(qǐng)來(lái)了李大蝦幫其解決問(wèn)題。

王小菜:大蝦，你看我這電腦是咋回事呢？為啥鼠標(biāo)自己會(huì)到處亂點(diǎn)？

李大蝦:不要說(shuō)我鄙視你，你真是人如其名??！有人在遠(yuǎn)程控制你的電腦，電腦變成“肉雞”了都不懂！

王小菜:啊，“肉雞”是什么？李大蝦:看來(lái)啊，今天我得好好的給你上上課了。

(一)何謂“肉雞”電腦？

所謂“肉雞”電腦，簡(jiǎn)單地說(shuō)就是被別人遠(yuǎn)程控制的電腦。當(dāng)你的電腦被別人控制之后，就好像成了別人砧板上的肉，別人想怎么吃就怎么吃，肉雞(機(jī))一名由此而來(lái)。

一般來(lái)說(shuō)，只要是中了木馬，或者存在系統(tǒng)漏洞以及后門的，被攻擊者利用并可以遠(yuǎn)程操控的電腦都屬于“肉雞”。

王小菜:我暈，誰(shuí)這么無(wú)聊？控制我的電腦有啥用？電腦里面又沒(méi)啥，他也搬不走，不還在我家里放著么。

李大蝦:還好你電腦里面沒(méi)啥艷照，要不你就陳冠希了！對(duì)于攻擊者來(lái)說(shuō)，“肉雞”的價(jià)值可大了。

(二)“肉雞”電腦有什么“商業(yè)價(jià)值”？

1盜竊“肉雞”電腦的虛擬財(cái)產(chǎn)，比如網(wǎng)絡(luò)游戲ID裝備、QQ幣等。

2盜竊“肉雞”電腦里的真實(shí)財(cái)產(chǎn)，比如網(wǎng)上銀行，一旦你的網(wǎng)銀賬號(hào)被盜，就可能為別人的消費(fèi)買單。

3盜竊他人的隱私數(shù)據(jù)。陳冠希的“艷照門”事件，相信大家都知道，如果身份證、隱秘照片、個(gè)人檔案被人發(fā)布在網(wǎng)上，或者偽裝成你的身份進(jìn)行各種不法活動(dòng)，后果很嚴(yán)重。

4偷到受害人電腦上的商業(yè)信息，比如財(cái)務(wù)報(bào)表、人事檔案和客戶檔案等，攻擊者可以利用這些資訊謀取非法利益。

5在“肉雞”電腦上種植流氓軟件，自動(dòng)點(diǎn)擊廣告獲利。攻擊者在控制大量肉雞之后，可以通過(guò)強(qiáng)行彈出廣告，從廣告主那里收獲廣告費(fèi)，這也是流氓軟件泛濫的原因之一。

6以“肉雞”電腦為跳板(代理服務(wù)器)，對(duì)其他電腦發(fā)起攻擊。黑客的任何攻擊行為都可能留下痕跡，為了更好地隱藏自己，必然要經(jīng)過(guò)多次代理的跳轉(zhuǎn)，肉雞電腦充當(dāng)了中介和替罪羊。

7控制著大批“肉雞”電腦的攻擊者，他們會(huì)為了某個(gè)目的，對(duì)目標(biāo)主機(jī)進(jìn)行DDoS攻擊從而獲取利益，而“肉雞”電腦是發(fā)起DDoS攻擊的馬前卒。

此外，在攻擊者的圈子里，“肉雞”電腦可以像白菜一樣被買賣。在黑色產(chǎn)業(yè)鏈的高端，那些龐大的“肉雞”電腦群的控者還可以構(gòu)筑一個(gè)木馬帝國(guó)，進(jìn)行各種牟利活動(dòng)。總之，“肉雞”電腦是攻擊者致富的源泉。

小知識(shí):何謂DDoS

DDoS被稱為分布式拒絕服務(wù)。如果你手里有許多完全歸你控制的“肉雞”電腦，它們的帶寬加起來(lái)就是你的流量，你用這些流量去訪問(wèn)你想要吃掉的目標(biāo)電腦，只要你的流量大于它，別人就無(wú)法訪問(wèn)這臺(tái)電腦，就相當(dāng)于你把它干掉，這就叫DDoS。

NO2 不被入侵的秘密之驗(yàn)“雞”篇

王小菜:不聽(tīng)不知道，一聽(tīng)嚇一跳！哥們，你是如何斷定我的電腦成“肉雞”的？

李大蝦:看在宵夜的分上，我就免費(fèi)給你介紹如何檢查自己的電腦是否成為他人的“肉雞”的。

(一)快速檢查自己的電腦是不是“肉雞”

相信誰(shuí)也不希望自己的電腦赤裸裸地暴露在黑客面前。實(shí)際上，對(duì)于電腦水平一般的人而言，檢查電腦是否是“肉雞”并不是一件非常困難的事情，如果你發(fā)現(xiàn)電腦有如下的現(xiàn)象中的一個(gè)或幾個(gè)，那么你的電腦十有八九已成了別人的“肉雞”了。

實(shí)戰(zhàn):7個(gè)不正常系統(tǒng)現(xiàn)象要當(dāng)心

現(xiàn)象1:有時(shí)會(huì)突然發(fā)現(xiàn)你的鼠標(biāo)不聽(tīng)使喚，在你不動(dòng)鼠標(biāo)的時(shí)候，鼠標(biāo)也會(huì)移動(dòng)，并且還會(huì)點(diǎn)擊有關(guān)按鈕進(jìn)行操作。這種鼠標(biāo)的移動(dòng)軌跡和性能與光電鼠標(biāo)自動(dòng)漂移明顯不同。

現(xiàn)象2:電腦運(yùn)行過(guò)程中或者開(kāi)機(jī)的時(shí)候，彈出莫名其妙的對(duì)話框或者IE窗口，但很快就自動(dòng)關(guān)閉了。

現(xiàn)象3:QQ、MSN的登錄或信息異常。你在登錄QQ時(shí)，系統(tǒng)提示上一次登錄的IP和你完全不相干，比如你家明明在北京，但是QQ卻提醒你上一次登錄地點(diǎn)在廣州(見(jiàn)圖1)。當(dāng)你登錄MSN時(shí)，可能有朋友給你發(fā)消息，問(wèn)你剛發(fā)了什么，你卻很清楚自己從未給這個(gè)朋友發(fā)過(guò)什么消息。

圖1

現(xiàn)象4:登錄網(wǎng)絡(luò)游戲后，發(fā)現(xiàn)裝備丟失或者上次下線時(shí)的位置不符，甚至用正確的密碼無(wú)法登錄。很顯然，你沒(méi)有登錄這個(gè)游戲的時(shí)候，別人替你登錄過(guò)。

現(xiàn)象5:正常上網(wǎng)時(shí)，突然感覺(jué)很慢，硬盤燈在閃爍，就好像在不停地COPY文件一樣。這種情況很可能是攻擊者在嘗試COPY你的文件，在大量COPY文件時(shí)，磁盤的讀寫明顯會(huì)增加，系統(tǒng)也會(huì)變慢。此時(shí)，你應(yīng)該毫不猶豫地拔掉網(wǎng)線，立即檢查你的系統(tǒng)進(jìn)程是否異常。

現(xiàn)象6:當(dāng)你準(zhǔn)備使用攝像頭時(shí)，系統(tǒng)提示該設(shè)備正在使用中，這說(shuō)明攻擊者正在盜用你的攝像頭。由于攝像頭開(kāi)始工作時(shí)系統(tǒng)是不會(huì)提示的，而且工作狀態(tài)是不可見(jiàn)的，所以當(dāng)你不用攝像頭時(shí)，建議把鏡頭給蓋上(筆記本電腦屏幕內(nèi)置的)或者直接拔下來(lái)(USB外置的)，攻擊者就無(wú)機(jī)可乘了。

現(xiàn)象7:在你沒(méi)有使用任何網(wǎng)絡(luò)資源時(shí)，你發(fā)現(xiàn)網(wǎng)卡燈在不停地閃爍。當(dāng)你在“網(wǎng)絡(luò)連接”中雙擊“本地連接”查看其狀態(tài)時(shí)，你會(huì)發(fā)現(xiàn)窗口中的“小電腦”在不停地閃，而且“已發(fā)送”的數(shù)據(jù)量增加很快。

王小菜:原來(lái)如此。大蝦你就是根據(jù)我鼠標(biāo)的異常斷定我是被抓“雞”的吧？

李大蝦:基本上是吧，不過(guò)也不盡然，有時(shí)候必須用一些輔助工具來(lái)幫忙。你自己的系統(tǒng)里面就有，只是你沒(méi)有好好利用罷了。

(二)找?guī)讉€(gè)驗(yàn)“雞”的好幫手

通過(guò)一些表面的現(xiàn)象判斷是否被入侵，可能不是十分準(zhǔn)確，但是實(shí)際上，不管攻擊者以何種方式來(lái)控制“肉雞”電腦，該電腦肯定是要與外界發(fā)生聯(lián)系，通過(guò)某些端口給向外面發(fā)送數(shù)據(jù)，因此我們可以借助一些常用的軟件來(lái)觀察網(wǎng)絡(luò)活動(dòng)情況。

實(shí)戰(zhàn)1:用防火墻揪出占用流量的黑手

通常，網(wǎng)絡(luò)防火墻(比如天網(wǎng)、金山網(wǎng)鏢、C.O.M.O.D.O等)都會(huì)有網(wǎng)絡(luò)檢測(cè)的功能，我們可以通過(guò)這些軟件來(lái)查看網(wǎng)絡(luò)流量和可疑的網(wǎng)絡(luò)連接來(lái)確認(rèn)“肉雞”。筆者以“金山網(wǎng)鏢”為例。

首先在安裝有“金山網(wǎng)鏢”系統(tǒng)上，雙擊系統(tǒng)托盤區(qū)中的軟件圖標(biāo)，打開(kāi)程序主窗口。然后在“安全狀態(tài)”頁(yè)面下，檢查“當(dāng)前網(wǎng)絡(luò)活動(dòng)狀態(tài)”中的程序有沒(méi)有陌生的程序，接著觀察一下當(dāng)前網(wǎng)絡(luò)流量情況，如果“發(fā)送流量”增加很快，那么你就要小心了(見(jiàn)圖2)。最后切換到“網(wǎng)絡(luò)狀態(tài)”頁(yè)面，仔細(xì)查看相關(guān)連接，如果發(fā)現(xiàn)自己根本沒(méi)有使用的軟件在連接到遠(yuǎn)程計(jì)算機(jī)，那么你的電腦很可能就是中標(biāo)了(見(jiàn)圖3)。

圖2

圖3

小提示:

金山網(wǎng)鏢通常包含在金山毒霸套裝中，下載地址為http://www.duba.net/download/index.shtml。

實(shí)戰(zhàn)2:誰(shuí)開(kāi)的后門？用TCPView一看就明！

通常情況下，遠(yuǎn)程入侵者會(huì)預(yù)先在“肉雞”電腦上打開(kāi)一些特定的端口，而這些端口則隨時(shí)等待控制端連接或是主動(dòng)連接到遠(yuǎn)程服務(wù)器。當(dāng)然，只要我們把這些端口關(guān)閉，就可以拒絕入侵者的控制了，怎樣才能查看PC當(dāng)前打開(kāi)的端口呢？

TCPView是一個(gè)查看端口和線程的小工具(下載地址為http://www.newhua.com/soft/16626.htm)，它可以詳細(xì)地列出系統(tǒng)打開(kāi)的端口。在TCPView界面的列表中，一個(gè)圖標(biāo)就對(duì)應(yīng)一個(gè)已經(jīng)打開(kāi)的端口，而且詳細(xì)地顯示本地和遠(yuǎn)程的連接情況。如果某個(gè)端口發(fā)生數(shù)據(jù)交換，TCPView會(huì)以醒目的顏色來(lái)提示。

有些打開(kāi)端口的程序名稱可能會(huì)與系統(tǒng)內(nèi)的程序名稱一樣，但是不是系統(tǒng)的程序，雙擊你認(rèn)為可疑的端口打開(kāi)其屬性，看一下占用了該端口的程序的“路徑”是不是有問(wèn)題。如果有問(wèn)題，點(diǎn)擊“結(jié)束進(jìn)程”干掉它(見(jiàn)圖4)。

圖4

小提示:

★netstat命令只有在安裝了TCP/IP協(xié)議后才可以使用;

★“狀態(tài)”下對(duì)應(yīng)的“LISTENING”表示端口是開(kāi)放的，等待連接但還沒(méi)有被連接的;而“ESTABLISHED”表示已建立連接的端口;“TIME_WAIT”表示該端口曾經(jīng)被訪問(wèn)過(guò)，但訪問(wèn)結(jié)束了。

小知識(shí):何謂端口？

所謂端口“PORT”，即電腦與外界通訊交流的出入口，如果把電腦在互聯(lián)網(wǎng)上的IP地址比作門牌號(hào)，那么端口就相當(dāng)于房門，家人通過(guò)這些門和外界溝通、聯(lián)系。在網(wǎng)絡(luò)中，根據(jù)TCP／IP協(xié)議規(guī)定，電腦可以有256×256(65536)個(gè)端口，每一個(gè)端口就好像一扇門，PC就是通過(guò)這些特定的“門”來(lái)和外界交流。

李大蝦:這是有專門的軟件來(lái)幫忙，如果手頭上沒(méi)有這些工具，還可以利用系統(tǒng)中自帶的工具來(lái)幫忙。

王小菜:哦？說(shuō)來(lái)聽(tīng)聽(tīng)！

實(shí)戰(zhàn)3:借助系統(tǒng)自帶DOS命令查看開(kāi)放的端口(Windows 2000/XP/Vista/7)

在Windows系統(tǒng)中自帶了一個(gè)“netstat”命令，它可以顯示當(dāng)前的TCP/IP網(wǎng)絡(luò)連接。在“運(yùn)行”中輸入“cmd”，在打開(kāi)的命令窗口中輸入“netstat –an”，回車后就會(huì)在窗口內(nèi)顯示了當(dāng)前系統(tǒng)所打開(kāi)的端口及連接情況(見(jiàn)圖5)。

圖5

在沒(méi)有任何網(wǎng)絡(luò)行為的情況下，所有端口的狀態(tài)應(yīng)該是“LISTENING”，如果你發(fā)現(xiàn)有大量的端口處于“ESTABLISHED”狀態(tài)，那么你最好用殺毒軟件或其他安全工具檢查一下系統(tǒng)。

實(shí)戰(zhàn)4:巧用“資源監(jiān)視器”找出硬盤狂閃的罪魁禍?zhǔn)?Windows Vista/7)

相信所有的人在使用系統(tǒng)的過(guò)程中，都碰到過(guò)硬盤狂閃但又不知道誰(shuí)在作怪的事情，是殺毒軟件、QQ，還是攻擊者在讀寫你的硬盤呢？實(shí)際上，在Windows Vista和Windows 7系統(tǒng)中有一個(gè)“資源監(jiān)測(cè)器”的工具，利用它就可以輕松找出硬盤狂閃的根源。筆者以Windows 7的“資源監(jiān)視器”為例。

首先按下“Crtl+Shift+Esc”打開(kāi)“資源管理器”，在“性能”頁(yè)面下單擊“資源監(jiān)測(cè)器”，然后在彈出的“資源監(jiān)測(cè)器”窗口中就可以查看CPU、內(nèi)存、磁盤以及網(wǎng)絡(luò)等硬件的資源使用情況了。如果你想知道哪個(gè)程序在瘋狂地讀寫硬盤，那么就切換到“磁盤”頁(yè)面看看各個(gè)進(jìn)程的讀取和寫入的速度就知道了。

通常，如果你沒(méi)有操作電腦，那么除了“System”和殺毒軟件進(jìn)程外，其他程序是不會(huì)經(jīng)常讀寫硬盤的(見(jiàn)圖6)，如果你發(fā)現(xiàn)有莫名其妙的進(jìn)程在讀寫的硬盤，很可能就是病毒或木馬。

圖6

小技巧:用資源監(jiān)測(cè)器輕松找出入侵者的遺留文件

如果在“資源監(jiān)測(cè)器”的“硬盤”項(xiàng)目中有可疑的進(jìn)程，你可以勾選該進(jìn)程，在“硬盤活動(dòng)”項(xiàng)下就可以看到該進(jìn)程到底在讀寫哪些文件了。如果該進(jìn)程是病毒或木馬，你就可以輕松地找出它寫入的文件并將其刪除。

(三)判斷進(jìn)程是否安全

進(jìn)程指的是程序在內(nèi)存中的一次運(yùn)行。當(dāng)Windows系統(tǒng)啟動(dòng)后，就會(huì)有30～40個(gè)(XP稍微少一些，而Vista和Win7則多一些)的進(jìn)程在內(nèi)存中運(yùn)行著，而這些進(jìn)程可能包括系統(tǒng)服務(wù)、應(yīng)用程序、惡意程序以及木馬控制程序等。

實(shí)戰(zhàn)1:用好系統(tǒng)管理進(jìn)程的利器

察看系統(tǒng)正在運(yùn)行的進(jìn)程的方法有很多，使用Windows自帶的“任務(wù)管理器”是最簡(jiǎn)單也是最方便的:同時(shí)按下“Ctrl＋Shift＋Esc”就可以打開(kāi)“任務(wù)管理器”了。點(diǎn)擊“進(jìn)程”標(biāo)簽即可察看到正在運(yùn)行的進(jìn)程列表了(見(jiàn)圖7)。

圖7

一般情況下，進(jìn)程是否有問(wèn)題有兩個(gè)基本原則:一是仔細(xì)檢查進(jìn)程的文件名;二是檢查其路徑。由于系統(tǒng)啟動(dòng)后，常見(jiàn)的進(jìn)程是相對(duì)固定的，有問(wèn)題的進(jìn)程很多時(shí)候會(huì)偽裝成系統(tǒng)進(jìn)程(命名上與系統(tǒng)進(jìn)程一樣或者相似)，這時(shí)通過(guò)文件路徑來(lái)判斷。

網(wǎng)絡(luò)大補(bǔ)貼:

很多時(shí)候，判斷進(jìn)程是否有問(wèn)題主要是靠經(jīng)驗(yàn)，經(jīng)驗(yàn)較少的朋友可以借助搜索引擎或者相關(guān)的知識(shí)庫(kù)來(lái)判斷，比如:

進(jìn)程知識(shí)庫(kù):http://file.52hardware.com

系統(tǒng)進(jìn)程信息庫(kù):http://www.dllexe.com

實(shí)戰(zhàn)2:找個(gè)管理進(jìn)程的好幫手

系統(tǒng)內(nèi)置的“任務(wù)管理器”功能相對(duì)比較簡(jiǎn)單，有時(shí)候它可能發(fā)現(xiàn)不了一些刻意隱藏了的進(jìn)程，因此我們可以使用一些專業(yè)的進(jìn)程管理工具，例如Process Explorer(下載地址為http://www.onlinedown.net/soft/31805.htm#)。

Process Explorer可以將系統(tǒng)的進(jìn)程分為系統(tǒng)進(jìn)程和一般進(jìn)程兩個(gè)大類來(lái)管理，并且以不同的顏色進(jìn)行區(qū)分。其中，而svchost.exe、winlogon.exe、spoolsv.exe等都屬于系統(tǒng)進(jìn)程，以“SYSTEM”、“LOCANL SERVIVE”以及“NETWORK SERVICE”等權(quán)限更高的用戶來(lái)運(yùn)行;“explorer.exe”下屬的進(jìn)程屬于一般進(jìn)程，以當(dāng)前登錄的用戶名來(lái)運(yùn)行，如果你在“explorer.exe”中發(fā)現(xiàn)了svchost.exe，那么不用說(shuō)，肯定是病毒或木馬冒充的。

小提示:

在默認(rèn)狀態(tài)下，Process Explorer并不顯示進(jìn)程的用戶名，在軟件界面中依次選擇“查看→選擇列”，在打開(kāi)的對(duì)話框中勾選“用戶名”(見(jiàn)圖8)，即可顯示進(jìn)程所屬的用戶名了。

圖8

實(shí)戰(zhàn)3:給進(jìn)程和DLL文件來(lái)一個(gè)“安全認(rèn)證”

由于可以通過(guò)進(jìn)程來(lái)判斷系統(tǒng)是否存在安全問(wèn)題，因此有些殺毒軟件特別針對(duì)此設(shè)計(jì)了“安全認(rèn)證”功能，如果真在運(yùn)行的進(jìn)程有問(wèn)題，軟件會(huì)將其標(biāo)示出來(lái)，甚至可以幫你將可疑的進(jìn)程找出來(lái)。筆者以“金山毒霸2009”為例。

首先，打開(kāi)“金山毒霸2009”主窗口，在“安全百寶箱”頁(yè)面中單擊“進(jìn)程管理器”工具(或者在系統(tǒng)任務(wù)欄上右鍵，選擇“金山毒霸進(jìn)程管理器”)。進(jìn)入“進(jìn)程管理器”界面，它可以像系統(tǒng)的“任務(wù)管理器”一樣查看當(dāng)前系統(tǒng)進(jìn)程的信息。

但與系統(tǒng)自帶的管理器相比，“進(jìn)程管理器”對(duì)所有的進(jìn)程進(jìn)行了“可信認(rèn)證”，用戶可以很方便簡(jiǎn)單地發(fā)現(xiàn)是否有可疑的進(jìn)程存在。如果發(fā)現(xiàn)有問(wèn)題的進(jìn)程，單擊“找出存在風(fēng)險(xiǎn)的進(jìn)程”按鈕，“進(jìn)程管理器”就會(huì)幫你將可疑的進(jìn)程找出來(lái)，勾選該進(jìn)程后單擊“結(jié)束進(jìn)程”即可。

另外，進(jìn)程通常都不是孤立的，會(huì)加載許多DLL文件，如果你想看看有沒(méi)有可疑的DLL文件，勾選“顯示加載到進(jìn)程中的DLL”，如果可疑則在其上右鍵，在彈出菜單中選擇“定位文件”即可找到該DLL文件(見(jiàn)圖9)，然后將其刪除即可。

圖9

NO3 不被入侵的秘密之防范篇

李大蝦:哥們，說(shuō)了這么多，口都干了，有沒(méi)有可樂(lè)什么的喝喝？

王小菜:有！我去給你拿。

……

王小菜:給！剛才說(shuō)的那些只是如何確診是不是“肉雞”，我想知道的重點(diǎn)是，怎么防止被別人抓“雞”！

李大蝦:實(shí)際上啊，防止水平不是很高的攻擊者，避免電腦成為別人的“肉雞”，其實(shí)是比較簡(jiǎn)單的，關(guān)鍵在于你有防范“肉雞”的意識(shí)。

攻擊者要登錄遠(yuǎn)程的“肉雞”電腦必須知道三個(gè)參數(shù):遠(yuǎn)程電腦的IP、用戶名和密碼。因此，攻擊者會(huì)想方設(shè)法地取得目標(biāo)電腦的控制權(quán)，通常采取的手段有兩種:一是讓目標(biāo)感染病毒或木馬，二是端口或漏洞掃描。

相對(duì)而言，第一種手段比較簡(jiǎn)單，但攻擊者比較被動(dòng);后一種手段則是主動(dòng)出擊。也就是說(shuō)，電腦沒(méi)有感染病毒，也可能成為“肉雞”。因此，如果你不想讓你的電腦變成別人的“肉雞”，那么請(qǐng)記住以下幾個(gè)要點(diǎn):

要點(diǎn)1:安裝殺毒軟件，隨時(shí)檢查其是否正常工作，并及時(shí)更新病毒庫(kù)。

不管是植入木馬還是讓目標(biāo)感染病毒，這些是入侵者最為常用的入侵手段，因此殺毒軟件必不可少的，也是最基本的防護(hù)要求。當(dāng)然，殺毒軟件并不是萬(wàn)能的，但是它可以降低成為“肉雞”的風(fēng)險(xiǎn)。

事實(shí)上，入侵者是非常痛恨殺毒軟件的，許多木馬或病毒入侵成功后，首先會(huì)去破壞殺毒軟件，因此你還得隨時(shí)檢查殺毒軟件是否正常工作，能不能正常升級(jí)等。另外，病毒和木馬是會(huì)隨時(shí)更新?lián)Q代的，及時(shí)更新病毒庫(kù)也非常重要的。

要點(diǎn)提示:

殺毒軟件有很多中選擇，國(guó)內(nèi)的比如金山毒霸和瑞星，國(guó)外的比如諾頓、卡巴斯基、McAfee等。但不管哪一款殺毒軟件都不是萬(wàn)能的，都存在優(yōu)點(diǎn)和缺點(diǎn)。如何選擇殺毒軟件，要根據(jù)自己的喜好，只要你覺(jué)得好用方便就是好軟件。

要點(diǎn)2:安裝網(wǎng)絡(luò)防火墻，并確保其正常工作。

對(duì)于互聯(lián)網(wǎng)用戶來(lái)說(shuō)，網(wǎng)絡(luò)防火墻是隔離你和外界的一道關(guān)口，正確啟用和配置防火墻，將會(huì)使你減少很多直接面對(duì)攻擊的機(jī)會(huì)。在你的系統(tǒng)存在未修補(bǔ)的漏洞時(shí)，網(wǎng)絡(luò)防火墻可能是你的電腦安全的唯一保護(hù)軟件。

這里需要提醒的是，由于Windows自帶的防火墻功能相對(duì)單一，在沒(méi)有進(jìn)行相關(guān)設(shè)置之前，它只能攔截由外到內(nèi)(即由互聯(lián)網(wǎng)到本機(jī))的通訊，并不能很好地阻止由內(nèi)向外的訪問(wèn)，大部分木馬或控制軟件都可以輕易地逃避Windows自帶防火墻的監(jiān)控，因此安裝一款第三方防火墻是非常有必要的。

要點(diǎn)提示:

實(shí)際上，這里所指的都是軟件防火墻，而不是硬件防火墻。軟件防火墻有很多種，要根據(jù)網(wǎng)絡(luò)環(huán)境的不同選擇不同的產(chǎn)品。不過(guò)不管怎樣，筆者不建議使用功能過(guò)于單一的產(chǎn)品，要盡量選擇一些功能完善的防火墻。

所謂功能完善，指的是除了具備對(duì)外網(wǎng)和局域網(wǎng)的訪問(wèn)行為的監(jiān)控能力外，可以對(duì)一些危險(xiǎn)系統(tǒng)行為進(jìn)行監(jiān)控，比如修改系統(tǒng)設(shè)置、修改或刪除系統(tǒng)文件、修改注冊(cè)表等。另外，許多第三方的防火墻都會(huì)自動(dòng)關(guān)閉無(wú)用端口，這樣可以防止別人掃描。

實(shí)戰(zhàn)1:斬?cái)嗑钟蚓W(wǎng)無(wú)故斷網(wǎng)的黑手

目前，帶有ARP欺騙功能的木馬或病毒很多，如果局域網(wǎng)中某臺(tái)電腦中了這種病毒，只要該電腦開(kāi)機(jī)就會(huì)向網(wǎng)關(guān)發(fā)出大量的數(shù)據(jù)包，從而導(dǎo)致局域網(wǎng)通訊堵塞而斷網(wǎng)。對(duì)于這種欺騙攻擊，普通的防火墻是沒(méi)有辦法監(jiān)控的，這時(shí)候需要專門的ARP防火墻對(duì)網(wǎng)關(guān)進(jìn)行保護(hù)。

具有APR防火墻的安全軟件有很多，比如金山毒霸ARP防火墻、360安全衛(wèi)士等。筆者以360安全衛(wèi)士為例(下載地址:http://down.360safe.com/setup.exe)，對(duì)網(wǎng)關(guān)進(jìn)行防欺騙保護(hù)可以這樣設(shè)置:

打開(kāi)360安全衛(wèi)士的主界面，點(diǎn)擊“實(shí)時(shí)保護(hù)”，在打開(kāi)的頁(yè)面中將“實(shí)時(shí)保護(hù)”標(biāo)簽下的“ARP防火墻”設(shè)置為“開(kāi)啟”。重啟系統(tǒng)后，360安全衛(wèi)士的“ARP防火墻”功能就可以運(yùn)行了。這時(shí)你打開(kāi)“360實(shí)時(shí)保護(hù)”的“高級(jí)設(shè)置→ARP防火墻”選項(xiàng)頁(yè)面，在“網(wǎng)關(guān)及DNS保護(hù)設(shè)置”中勾選“手動(dòng)設(shè)置”，然后點(diǎn)擊“添加保護(hù)網(wǎng)關(guān)IP/MAC”，在彈出的界面中點(diǎn)擊“添加網(wǎng)關(guān)”，輸入你所在的局域網(wǎng)的網(wǎng)關(guān)IP地址后，單擊“自動(dòng)獲取”后，再單擊“確定”就可以完成設(shè)置了(見(jiàn)圖10)。

圖10

網(wǎng)絡(luò)大補(bǔ)貼:關(guān)于ARP欺騙和ARP病毒的知識(shí)，可以參考:

ARP百科:http://baike.baidu.com/view/32698.htm

ARP病毒百科:http://baike.baidu.com/view/726493.htm

實(shí)戰(zhàn)2:用金山網(wǎng)鏢關(guān)閉3389端口方便又簡(jiǎn)單

因?yàn)?389端口屬于Windows遠(yuǎn)程桌面功能的初始端口，是為了方便遠(yuǎn)程管理自己的計(jì)算機(jī)而設(shè)定的，只要3389端口開(kāi)啟，它就可以為任何有管理密碼的人提供服務(wù)。由于這個(gè)端口屬于系統(tǒng)服務(wù)，絕大部分攻擊者都喜歡在“肉雞”打開(kāi)這一端口。為防止別人利用3389端口，我們應(yīng)該用防火墻把它屏蔽掉。

這里以“金山網(wǎng)鏢2009為”例。打開(kāi)金山網(wǎng)鏢的主界面，依次選擇“工具→綜合設(shè)置”，在打開(kāi)的窗口中切換到“高級(jí)”項(xiàng)，然后在右側(cè)勾選“啟用TCP/UPD端口過(guò)濾”后，單擊“添加”，然后將3389端口的遠(yuǎn)程操作設(shè)置為禁止就可以了。主要注意的是，根據(jù)協(xié)議的不同，徹底禁止需要添加兩條規(guī)則(見(jiàn)圖11)。

圖11

要點(diǎn)3:及時(shí)修補(bǔ)系統(tǒng)和軟件漏洞，提升系統(tǒng)安全性。

在Windows系統(tǒng)中，常被利用漏洞有兩種:一是Windows系統(tǒng)漏洞，二是應(yīng)用軟件漏洞。由于應(yīng)用軟件漏洞的利用會(huì)受到較多的環(huán)境制約，風(fēng)險(xiǎn)通常較低;而Windows系統(tǒng)漏洞只要沒(méi)有打上補(bǔ)丁，該漏洞就會(huì)一直存在，因此風(fēng)險(xiǎn)比較高。

要點(diǎn)提示:

一般情況下，漏洞在被正式公布之前，通常會(huì)被黑客利用很長(zhǎng)時(shí)間，這就是通常說(shuō)的0day攻擊。因此，為了讓系統(tǒng)能及時(shí)發(fā)現(xiàn)有新的Windows補(bǔ)丁，最好將系統(tǒng)“自動(dòng)更新”功能打開(kāi)。

另外，雖然第三方應(yīng)用軟件漏洞的風(fēng)險(xiǎn)較低，但是一些常用工具軟件，比如Flashplayer、Realplayer、Adobe Reader、Photoshop、WinRAR、QQ、MSN、千千靜聽(tīng)等，也可能被攻擊者利用，因此時(shí)常更新軟件的版本也是非常有必要的。

實(shí)戰(zhàn)3:打補(bǔ)丁、軟件更新，用360一網(wǎng)打盡

有時(shí)候給系統(tǒng)打補(bǔ)丁或更新軟件可能會(huì)存在一些障礙，特別是非正版系統(tǒng)用戶，或者對(duì)軟件更新關(guān)注不多的朋友。針對(duì)這些情況，現(xiàn)在已經(jīng)有很多能將這些問(wèn)題打包解決的軟件了，非常簡(jiǎn)單方便，比如360安全衛(wèi)士。

在安裝了360安全衛(wèi)士的系統(tǒng)上打開(kāi)軟件的主界面，點(diǎn)擊“修復(fù)系統(tǒng)漏洞”標(biāo)簽進(jìn)入“360漏洞修復(fù)”頁(yè)面，軟件會(huì)自動(dòng)掃描系統(tǒng)是否存在漏洞，如果存在它將根據(jù)重要的等級(jí)分類，選擇你需要修復(fù)的漏洞之后，單擊頁(yè)面下方的“修復(fù)選中漏洞”按鈕即可。與系統(tǒng)自動(dòng)更新相比，用360安全衛(wèi)士修復(fù)系統(tǒng)漏洞有兩個(gè)好處，那就是下載速度會(huì)比較快，而且支持?jǐn)帱c(diǎn)續(xù)傳。

另外，如果系統(tǒng)中常用的軟件存在安全漏洞，“360漏洞修復(fù)”也可以掃描到，并且還集成了軟件的升級(jí)功能。在“360安全衛(wèi)士”的主界面中點(diǎn)擊“裝機(jī)必備”，在打開(kāi)的“360軟件管理”界面中切換到“軟件升級(jí)”界面，選擇你需要升級(jí)的軟件，點(diǎn)擊“升級(jí)”按鈕，待下載完成后，點(diǎn)擊下方的“安裝”即可(見(jiàn)圖12)。

圖12

要點(diǎn)4:盜版系統(tǒng)存在風(fēng)險(xiǎn)，安裝后要對(duì)其進(jìn)行安全改造。

對(duì)于如蕃茄花園、雨木林風(fēng)、龍卷風(fēng)、深度技術(shù)等第三方個(gè)人或論壇改造的Windows XP，通常都是采用無(wú)人值守的方式來(lái)安裝，雖然安裝步驟非常簡(jiǎn)單，但是系統(tǒng)會(huì)存在一個(gè)致命的缺陷——管理員口令是空的，并且自動(dòng)登錄。也就是說(shuō)，任何人都可以嘗試用空口令登錄你的系統(tǒng)。

要點(diǎn)提示:

既然知道了問(wèn)題的所在，應(yīng)對(duì)的方法就很簡(jiǎn)單了。依次打開(kāi)“控制面板→用戶賬戶”，在彈出的窗口中選中“Administrator”，點(diǎn)選“創(chuàng)建密碼”后輸入你的密碼即可。建議密碼使用字母和其他特殊字符的組合，長(zhǎng)度不低于8位。

另外，如果你不希望攻擊者知道的管理員賬戶，你還將“Administrator”改為其他賬戶，在開(kāi)始菜單的“運(yùn)行”中輸入“l(fā)usrmgr.msc”打開(kāi)“本地用戶和組”，在右側(cè)窗口的“Administrator”上右鍵，選擇“重命名”并輸入一個(gè)只有你自己才知道的賬戶(見(jiàn)圖13)。

圖13

要點(diǎn)5:一定要小心使用移動(dòng)存儲(chǔ)設(shè)備

現(xiàn)在，公眾越來(lái)越頻繁的使用移動(dòng)存儲(chǔ)設(shè)備(移動(dòng)硬盤、U盤、數(shù)碼存儲(chǔ)卡)傳遞文件，于是移動(dòng)存儲(chǔ)設(shè)備就成為木馬或病毒傳播的重要通道，比如臭名昭著的“熊貓燒香”、“U盤寄生蟲”和“磁碟機(jī)”等都是屬于此類。

要點(diǎn)提示:

由于Windows系統(tǒng)在默認(rèn)狀態(tài)下會(huì)自動(dòng)運(yùn)行移動(dòng)存儲(chǔ)設(shè)備，只要插入有毒此類設(shè)備，病毒就可以感染該電腦上。對(duì)于這種被攻擊的行為，最簡(jiǎn)單的做法是在插設(shè)備時(shí)后按住Shift鍵不松即可。不過(guò)，最好就是禁用系統(tǒng)的自動(dòng)播放功能。以Vista系統(tǒng)為例，設(shè)置方法為:

依次點(diǎn)擊“開(kāi)始→運(yùn)行”，輸入“gpedit.msc”打開(kāi)組策略編輯器，依次定位到“計(jì)算機(jī)配置→管理模板→Windows組建→自動(dòng)播放策略”，在右側(cè)窗口中雙擊“關(guān)閉自動(dòng)播放”項(xiàng)目的屬性并將其設(shè)置為“已啟用”，并將下方的關(guān)閉對(duì)象設(shè)置為“所有驅(qū)動(dòng)器”(見(jiàn)圖14)，確認(rèn)設(shè)置并退出組策略編輯器，重啟系統(tǒng)后就自動(dòng)播放功能就關(guān)閉了。

圖14

另外，你還可以下載一個(gè)專門的U盤病毒免疫器(下載地址http://www.onlinedown.net/soft/74892.htm)，徹底將U盤病毒拒之門外。

要點(diǎn)6:網(wǎng)頁(yè)掛馬很流行，瀏覽器要做好防護(hù)！

瀏覽不安全的網(wǎng)站成為“肉雞”很重要的原因之一。區(qū)分什么網(wǎng)站安全，什么網(wǎng)站不安全，這對(duì)普通用戶來(lái)說(shuō)，是很困難的。事實(shí)上，任何一個(gè)缺少安全管理的網(wǎng)站都可能被黑客入侵后植入木馬或病毒。因此只要瀏覽網(wǎng)頁(yè)，誰(shuí)都無(wú)法避免網(wǎng)頁(yè)沒(méi)有木馬或者病毒，我們能做的只有盡可能地降低這種風(fēng)險(xiǎn)。

要點(diǎn)提示:

降低瀏覽網(wǎng)頁(yè)的風(fēng)險(xiǎn)有很多方法，比如安裝并啟用可以監(jiān)控網(wǎng)頁(yè)木馬的殺毒軟件(幾乎所有的殺毒軟件都具備此功能)，盡可能使用具有攔截功能的第三方瀏覽器(比如遨游、GreenBrowser、世界之窗等)，而且盡量避免瀏覽一些灰色站點(diǎn)，比如色情類網(wǎng)站、賭博類網(wǎng)站等。