|
一. 不太安分的网络和有备无患的网民 身为某公司网络管理员的小许因为偶尔要远程设置维护公司的服务器,所以经常随身带着他的超轻薄笔记本电脑去一些不便上网的地方,久而久之,小徐就养成了外出携带笔记本电脑的习惯。 今天,小许又带着笔记本去一个朋友家聚会,并把笔记本放在一边给一起来参加聚会的其他朋友上网去了,聚会完毕,小许回到家里打开笔记本,却发现机器运行状况明显异常了,任务栏上也冒出许多陌生的东西,看来是感染病毒了,他苦笑着用另一台电脑连接网络打开搜索引擎,输入了“安全工具”进行查找,很快就在一篇安全文章上得知了各种比较流行的安全工具并下载回来,开始用它们配合歼灭这些不请自来的坏客人…… 这是一个不安分的网络时代,每个网民稍不小心就会受到伤害,同时,网络上也提供了不少用于安全防范的工具,那么,我们该如何选择有用的工具,以及利用这些工具来保护自己呢? 二. 防范,时刻准备着 1.杀毒软件(病毒防火墙) 普通用户对网络安全的理解,无非就是“病毒”、“木马”,因此即使是第一次买电脑的用户,大部分也会跟电脑公司的组装人员再三申明要预装一个杀毒软件,而电脑公司也就顺手装个能运行的杀毒软件草草了事。于是用户欢天喜地的捧着能“防毒”的电脑回去了。 这样的防护手段真的就有效了吗? 看看那些一般的电脑公司安装的杀毒软件,要么是破解版,要么是过期版,这些杀毒软件都具有一个共同点就是无法升级,理解杀毒软件技术的用户都清楚:杀毒软件即使一星期不更新,都有可能查杀不到最新出现的病毒,更何况这些预装的不知道多少个月前的杀毒软件?从安全的角度来看,许多用户已经被这些“预装杀毒软件”的做法给“忽悠”了,看看预装的都是些什么杀毒软件吧,电脑公司会说这是最强的瑞星、这是金山毒霸等等,只是他们不会提及版本信息,等到你发现的时候,感觉大概会比吃了一块已经发霉一星期的蛋糕还要反胃:天啊,这居然是2004年的瑞星…… 什么样的杀毒软件才是真正有效的呢?不用我说明,大家心里都会有答案:使用公认质优的品牌,此类防火墙一般具备比较先进的杀毒引擎技术,例如瑞星、卡巴斯基等,而另一点则同样重要:必须能及时升级,并且该产品的病毒特征码是比较全面和有效的,这样才能尽量防止有漏网之鱼。 在这个前提下,用户又会面临多种选择,一种是购买收费的杀毒软件,如国内的瑞星、金山等,对实在是不知道如何使用电脑的用户而言,这是最有效的路,因为它可以方便及时的升级到最新版本,桌面用户只需要简单的点击几下鼠标就能享受安全防护了;而一些厂商的做法是分别针对不同用户市场推出收费、免费和试用产品,例如卡巴斯基、McAfee等,其个人版是可以免费试用的,并且可以升级,对大部分用户来说,这些都是难得的免费大餐,于是卡巴斯基迅速占据了一定市场。 这些杀毒软件的使用都很简单,它们都提供了实时病毒监控,只要发现可疑文件就会立即弹出来进行拦截,可谓方便至及,可是如果有一天,这场免费大餐不复存在了,我们还能用什么?如果你是具有一定计算机操作能力的用户,那就去找免费的自助餐吧。 所谓的“免费自助餐”,是指一些杀毒软件厂商推出的“在线免费查毒”业务,由于它只能查毒,所以一些太过于初级的用户只能看着它发感慨,但是,难道它就一点实用的性质都没有吗?错,由于“在线”的性质,此类工具的特征码数据库更新是最快的,我们能很方便的利用它来检查机器感染了什么病毒,有人会问了,这个功能我们大家都知道了,但是只能查不能杀有什么意义呢?其实仔细观察一下就不难发现,在线查毒已经做到了收费杀毒的前两步:停止正在运行的病毒进程、列出病毒名称和相应文件,而它没做到的最后一步,则是删除受到牵连的文件(木马后门)或修复受感染的文件(文件型病毒)。 说到这里,有人已经看出来了,只要我们用自己的操作来代替杀毒软件的自动化操作就能完成整个杀毒过程,这就是“自助杀毒”。 那么我们该如何平常这个免费的自助餐呢?举个简单的例子,使用瑞星在线免费线查毒扫描系统,发现感染了灰鸽子病毒,下一步该怎么做呢?由于如今许多木马都采取了一定的保护措施,在普通的使用环境里很难清理干净,因此最好重启进入安全模式,然后再用在线查毒功能扫描一下系统,记录下病毒的相应路径和文件名如C:\WINDOWS\G_Server.exe,待扫描结束后浏览C:\WINDOWS目录找到G_Server.exe,用Shift+Delete彻底删除掉这个文件,本次杀毒就完成得差不多了,如果你看不到相应的文件,则说明尚未设置显示隐藏和系统文件的选项,方法是进入控制面板的“文件夹选项”,点击“查看”选目卡,把列表里的“隐藏受保护的操作系统文件”的勾去掉,并把“隐藏文件和文件夹”的状态选到“显示所有文件和文件夹”,那些被加了系统和隐藏属性的文件就能显示出来了。由于大部分病毒还会改注册表,因而还需要一些工具的辅助来完成修复,这个在后面会讲到。 这样的“手工杀毒”弊端就是无法同时修复注册表,如果是一般的修改启动项的木马,那么用户下次开机时可能会看到错误提示说“系统找不到指定的模块”,而如果是修改了文件关联的木马,用户头就大了:杀个毒回来,什么可执行文件都打不开了!(其实即使是一部分收费的杀毒软件杀了这类病毒后也会导致这个问题) 这是为什么?究其原因,这个故障还是Windows系统的特性导致的,在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源。 要恢复这种故障其实很简单,只需要进入“带有命令提示符的安全模式”,然后分别执行以下两个命令就能修复: assoc .exe=exefile ftype exefile="%1" %* 国内目前有两家比较知名的杀毒厂商提供了在线查毒技术,一个是瑞星(http://online.rising.com.cn),另一个则是金山(http://shadu.kingsoft.com),两家都分别各有千秋,除此之外,金山还提供了免费的金山毒霸下载,用户只需要简单的点一下扫描就可以自动清除病毒了。 适当而灵活的使用杀毒软件,能为我们少走许多弯路,至于要不要让它时刻驻扎在系统托盘区做安全卫士,则是仁者见仁的事情了,对于一部分有安全经验的用户来说,一个经过优化设置的系统从来不装杀毒软件也不会被病毒纠缠上来,但是我们并不推荐所有用户都去效仿这个做法。 2.网络防火墙 在这个网络里,除了病毒木马带来的危害,用户还要面临另一种威胁,那就是入侵者、各种网络报文攻击和无处不在的蠕虫等,由于在这个疯狂的时代里,简单易用的网络攻击工具已经随处可见了,一不留神一个菜鸟就成了多台机器的入侵者,一不留神你的机器就成了菜鸟试炼场,因此我们不得不使用网络防火墙来保障自己爱机的安全。 网络防火墙可分为硬件防火墙和软件防火墙两大类,普通个人用户使用一款比较好的软件防火墙便已足够了。 软件防火墙的工作原理是报文检查和过滤。在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。传统意义上的防火墙技术分为三大类,“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful Inspection),个人计算机上使用最广泛的就是包过滤技术了,关于防火墙的细节讨论请参阅笔者的相关文章,这里不再赘述。 网络防火墙的品牌很多,名堂也多,作为普通用户,我们应该如何选择呢?虽然Windows XP里是内置了一个ICF防火墙,但是在所有客观的防火墙测试里,它的得分都是排最后的,因此我们需要选择比较实用的防火墙,如果根据世界排名的话,ZoneAlarm和LooknStop还不错,而国内产品里,金山、瑞星和天网的网络防火墙产品也还是很优秀的。 安装好天网防火墙后,会出现向导界面让你简单设置防火墙的防御级别和一些基础参数,以后更详细的设置可以双击系统托盘区的天网图标,进到主界面里设置防火墙规则,天网已经提前为我们设置好了满足一般上网要求的规则列表,我们只需要根据自己的实际环境稍做修改即可,例如局域网用户就要把与局域网有关的规则选中,而开了网络服务器的用户则需要把“禁止所有人连接”方面的规则取消掉。 天网防火墙免费无限期试用版下载地址:http://pfw.sky.net.cn/news/info/list.php?sortid=1 ZoneAlarm防火墙试用版免费下载地址:http://www.zonelabs.com/store/content/home.jsp 3.来自系统策略的防御 Windows系统最大的灵活性在于它为用户提供的一种个性化设置方案,这个方案被称为“策略”(Policy),使用策略,管理员可以方便的为不同的用户和权限设置系统运行环境,策略又分为“系统策略”(System Policy)和“组策略”(Group Policy),通常我们要设置的都属于组策略,使用gpedit.msc控制台进入。 微软从Windows XP开始提供了一套内置的免费防火墙系统ICF,但是ICF的表现平平,只能达到勉强防御网络攻击的要求,其中一个原因就是因为ICF默认的规则比较少,而且在组策略里的相应设置也未开启,用户可以自行通过组策略让ICF的安全性稍微提高。 近来,针对XP的3389入侵又迎来了一番热潮,原因是市面上许多修改版的XP系统都开放了3389端口,而管理员账户Administrator为空密码,这就相当于系统自带了“后门”,入侵者可以不费吹灰之力的进入受害者的电脑。而防范的措施就是关闭“远程协助”功能,然后在“运行”里输入gpedit.msc,定位到“计算机配置”——“管理模板”——“网络”——“网络连接”——“Windows防火墙”,下面分别是“域配置文件”和“标准配置文件”,只要把里面的“允许远程桌面例外”设置为“禁用”就可以了。 除了对ICF进行设置以外,Windows NT以上的系统还提供了一种基于IP和端口的安全策略,使用它也能直接达到网络防火墙的作用。 首先我们要在网络上下载一个被称为“WINDOWS最强的安全策略”的文件,里面是一个以IPSEC为后缀的文件,现在打开控制面板,进入“管理工具”——“本地安全策略”,在“IP安全策略”上点击鼠标右键选择“所有任务”——“导入策略”,把下载回来的策略文件添加进去,就会出现一个“常用安全策略禁用不必要的端口”策略,双击即可对其进行配置,如果你四局域网用户,就要取消策略对445、139、137和138端口的封锁,至此用户的计算机就能得到比较安全的网络防护了。 三. 在和病毒做斗争的日子里 虽然上文介绍了如何使用免费查毒功能配合手工方法消灭病毒,可是在实际应用中,一部分用户会发现病毒没能彻底杀完,或者杀了病毒以后系统注册表被篡改的功能依然没有恢复正常,这是因为一部分私底下交流或经过再次加工的病毒并不能被流行杀毒软件所察觉,或者引起用户电脑故障的是流氓软件和浏览器劫持,这种形式的破坏并不属于杀毒软件能管的范围,自然也就无效了,因此我们还需要一套较为完善的安全防范工具大网。 1.CurrPorts告诉我,我的端口在干什么? 俗话说眼睛是心灵的窗户,而计算机界里,端口则是计算机与网络沟通的窗户,除了极少数不需要端口的报文协议,大部分数据传输都是建立在端口的基础上的,所以端口不仅成为用户和网络连接的门户,也成为入侵者们翻墙入室的途径,普通情况下,每个开启的端口都是由一个程序请求的,用户要想关闭某个端口,必须让幕后对应的程序停止运行或暂停某种网络服务的实现方法来达到目的。当我们怀疑机器是否感染了病毒开启了异常的数据传输时,稍有经验的用户会执行netstat –an来检查本机的端口使用情况,但是文字界面能表达的范围实在有限,很多情况下只能看到机器开了什么端口,下一步就没有头绪了,这个情况逐渐有人着手去解决,于是各式各样的端口状态查看工具便诞生了,从最初由文字界面扩展出来的FPorts,到早期的图形界面Active Ports,到现在小而强大的CurrPorts,普通用户自己动手检查木马已经不再是难题。 CurrPorts的界面很简洁,但是已经包含了大部分实用的功能,包括端口号、IP、对应的进程号、可执行文件名和路径、端口状态等,并可以直接从界面上设置进程的优先级、关闭掉相应的进程或关闭被打开的端口,这个功能使得它在同类产品里独树一帜。 2.更强大的进程检查器Process Explorer [1] [2] 下一页
|
