左眼球 - 2009-5-15 16:53:00
常识篇
从病毒的传播途径入手
目前病毒入侵最主要的两大途径是 “网页挂马” 和 “U盘传播”(包括MP3、移动硬盘、各种存储卡等)
知道了病毒主要传播的途径,就要从根源入手,“网页挂马”无非就是利用了网页浏览器的漏洞执行恶意代码,所以“网页浏览器”成为了根源入口;
常听人说IE不安全,Firefox如何如何好,其实说的并不是这两种浏览器本身的安全性能。看过相关的统计报告,漏洞最多的浏览器正是Firefox,漏洞数量远多于IE,为什么还说它更安全呢?因为微软的垄断地位,决定了IE的市场占有率有着压倒性优势,使得IE成为了黑客争相攻击的目标。
在选择网页浏览器的时候,建议选择一款非IE核心的作为只要浏览器,因为目前大部分网马都是针对IE漏洞实施攻击,在非IE核心浏览器上是无效的,同时一款好的浏览器在脚本执行效率、图片渲染能力上也能得到较好的体验,个人推荐Firefox3.5或以上版本,Google Chrome也是个不错的选择,他们也都集成了Google的安全浏览功能,在试图访问恶意网站时就会进行拦截;
当然很多网站需要安装ActiveX控件方能正常浏览(如网银支付类、视频播放类等),这成为了我们不能完全抛弃IE的重要原因,并且对于那些不符合W3C标准的网页,IE拥有着很好的兼容性(容错性),某些在Firefox等浏览器无法正常显示的页面,使用IE则可以正常显示。ActiveX是块鸡肋,在给我们提供了丰富的扩展性能的同时,也带来了严重的安全隐患,很多病毒的传播也正是利用了第三方控件的漏洞,这时我们就需要有一款较好反挂马软件,个人认为瑞星在这方面很不错
至于“U盘病毒”的传播,无外乎就是利用了系统“自动播放”的特性来实施攻击,我们可以关闭自动播放功能,同时配合一款安全软件来阻止U盘上的程序直接运行,有的朋友可能认为这样很不方便,其实不然,个人认为还是应该养成一个良好的习惯,U盘只用来存储数据,想要运行的程序可以先复制到本地硬盘,一方面提高了安全性,另一方面由于本地磁盘内部传输速度高于U盘传输速度,程序也会获得较好的运行效率;
必不可少的安全环节
有了上面的最基础的保护,我们的系统安全性提高了不少,但这还远远不够,之前提到过“病毒传播利用了系统的漏洞”(当然也包括很多第三方软件漏洞),所以及时给系统打补丁是必不可少的安全环节;
打补丁的途径很多种,如果你的系统能够通过微软的正版验证,当然是用Windows Updata是最佳途径,否则就要使用第三方软件,卡卡助手、360、超级兔子升级天使都是不错的选择;
参考:利用卡卡上网安全助手打windows系统漏洞补丁【图解七步曲】
让黑客一无所获
黑客制作病毒为了什么?在CIH那个年代,无非是为了炫耀技术。但是在今天却大不相同,他们早已有了更加明确更加实际的目标——获取利益。说道“利益”,大家都会想到“网银账号”、“游戏帐号”、“游戏装备”等等,一旦我们的帐号丢失,将会给我们造成直接经济损失,如何保护这些网络中常用的财产呢?
可以参考另一篇帖子:网游帐号与虚拟财产防盗手册
除此之外,还有什么值得黑客盗取的呢?个人隐私!个人隐私的泄露虽然不会给我们造成直接的经济损失,但产生的影响同样不可小觑,有时甚至比帐号丢失更加致命,怎么办?
这里推荐万事达版主的经验:互联网中如何保护好个人隐私
防护篇
话说我们在安装完系统后会安装硬件驱动、应用软件,这其中当然也包括安防软件,应该如何选择一款适合自己的安全软件并合理搭配呢?
传统组合(适合菜鸟)
菜鸟级用户对安全知识了解的并不多,平时用电脑大多是用来浏览网页、看看视频、打打Word之类的简单应用,他们需要的是方便、傻瓜化,最头疼的是看到一大堆安全软件的提示窗而无从判断,最郁闷的是安全软件把自己的正常软件拦截了,这类用户选择最传统的组合再合适不过,即一款主流杀毒软件+一款个人防火墙。
推荐:瑞星杀毒软件+瑞星防火墙 (或单独安装瑞星全功能安全软件)
优点:防网页挂马能力十分出色;查杀率逐渐提高;主动防御模块带有自动放行签名程序功能,进一步减少对正常软件的弹窗;启发式扫描可以发现一些可疑文件,并由云安全系统自动处理,不需用户参与;可加载高手制作的防火墙规则包是安全性大幅提升;
缺点:传统的特征码识别技术滞后于病毒更新;主动防御能力还有待提高;
智能组合(适合对安全知识稍有了解或喜欢钻研的小鸟)
当菜鸟们不断的被病毒、流氓软件折磨后,终于下定决心要苦学反病毒技能,初入这个阶段对自己电脑的安全会很敏感,稍有可疑就会抓住一只老鸟一问到底,并且从中不断积累经验;这个时期的小鸟酷爱钻研,但苦于刚刚入门,各种问题还不能自己处理的得心应手,选择一款智能化的防御软件是再合适不过了,即能获得较高的安全性,又能通过防御日志不断获取经验。
推荐:主流杀毒软件+主流个人防火墙+智能化较高的HIPS(部分HIPS集成了网络控制模块,可以取代防火墙)
目前比较好的智能化较高的HIPS包括:Norton AntiBot、ThreatFire、RTD Smart、GKR内核加固免疫系统等;
优点:较高的智能化使弹窗明显减少,甚至不需要自己编写规则;通过学习分析防御记录可以进一步加强反病毒技能;
缺点:也是因为较高的智能化和兼容性,可能会造成某些防护性能降低,不能自定义规则可能出现一定程度的漏报,也不利于相关知识的进阶提高;
手动型HIPS组合(适合对系统支持、安全技能有一定了解,爱钻研,有能力自行编辑规则或改编完善现有规则的能力者)
处在这一阶段的大多是一些专业技术人员或者对系统知识、安全知识有较深理解的高手,智能型HIPS已经不能满足安全需求和技术成长,热衷于自己编写规则,将系统打造成铜墙铁壁一般;
推荐:主流杀毒软件(辅助作用,也可不装)+主流个人防火墙+传统HIPS(部分HIPS集成了网络控制模块,可以取代防火墙)
传统型(手动)HIPS主要包括:CA HIPS、Tiny、Comodo、EQSecure、GSS、Real-time Defender Pro、SSM、中网S3等;
优点:安全性能较高,可以根据不同类型的程序自定义不同防护级别的规则,将程序分组管理,控制每一个细节动作,一且尽在自己掌控;
缺点:较严格的格则可能带来一些软件的兼容性问题,甚至可能导致正常软件被拦截而无法正常使用的现象,初期需要经历一个规则打磨调试的阶段,方可保证安全性与兼容性兼得;
发烧友组合(适合反病毒发烧友,试毒狂人,评测爱好者等)
处在这几阶段的大多是反病毒狂热发烧友,喜欢尝试各种新鲜的软件、工具,酷爱下载各种病毒样本来考验自己的防御规则,追求极致的防护效果,乐于将自己打磨的规则分享给其他狂人试毒;
推荐:主流杀毒软件(主要用来评测查杀率,也可不装)+主流个人防火墙+传统HIPS(部分HIPS集成了网络控制模块,可以取代防火墙)+主流沙盘
主要介绍几款主流沙盘:Sandboxie、GesWall、DefenseWall、BufferZone、SafeSpace等;
优点:极致的安全性,合理的搭配,几乎可以做到摆渡不侵;
缺点:同时搭配多款防护软件在一定程序上可能会出现兼容性问题,如果没有设置好相互之间的放行策略可能或出现蓝屏、卡机等现象,初期打磨规则会很耗精力,最重要的一点,自己共享出来的规则可能会遭到菜鸟的质疑;
备份篇
无论选用了那种组合,在软件部署完成之后,我们要做的就是留下一个当前系统状态的备份,因为无论怎么做,也无法保证100%不会中毒,尤其是对存储有重要数据的电脑来说,备份更加重要,Ghost无疑是最方便快捷的选择。
准备工作
1、给系统打全补丁
做备份是为了以防万一,一旦出现任何问题可以随时恢复,你肯定不想每次恢复完系统就重新安装几十个甚至更多漏洞补丁吧?那么就在备份之前把现有的漏洞补丁全部打全;
2、全盘查毒、清理流氓软件;
这个不用过多解释了,为了恢复备份之后系统是干净的;杀毒就用自己安装的杀毒软件就可以,要先升级到最新版本,然后断网查杀;清理流氓软件推荐使用windows清理助手,也要先升级到最新版本;
3、系统优化:包括禁止不用的服务、清理注册表垃圾、清理垃圾文件等;
目的是提高系统运行效率,减小备份文件的大小。具体步骤不多说了,一般情况下用优化软件来做就可以,如 WinXP总管、Windows优化大师、超级兔子等,需要注意做任何优化前如果没有把握一定要做好备份;
开始备份
推荐使用一键备份/恢复工具,如:雨林木风OneKey Ghost
1、运行OneKey Ghost,选择“备份系统”,在下方选择要备份的分区,然后点“保存”;
2、选择要将备份好的文件存在在哪里,输入文件名,并点击“保存”;
3、点击“确定”,出现提示,选择“是”;
4、系统自动重启,重启后自动进入Ghost,并且按照刚才的设置去自动完成备份,备份完成后自动重启进入Windows系统(这一步骤全部自动完成,不需要人工参与操作);
还原备份
话说系统出现了不可预知的异常,需要恢复到原来的备份,这时候分两种情况:
1、系统还能够正常进入(安全模式能进也行),可以直接在Windows系统下使用OneKey Ghost来还原;
2、系统无法进入,需要在DOS下运行Ghost来还原系统;
Windows系统下使用OneKey Ghost还原
1、运行OneKey Ghost,选择“还原系统”,在下方选择要还原的分区,然后点“打开”;
2、选择之前保存的备份文件(.gho文件),点击“打开”;
3、点击“确定”,出现提示,选择“是”;
4、系统自动重启,重启后自动进入Ghost,并且按照刚才的设置去自动完成还原,还原完成后自动重启进入Windows系统(这一步骤全部自动完成,不需要人工参与操作);
DOS下执行还原
没装虚拟机,DOS下无法截图,晚上再补充截图吧
(未完待续)
杀毒篇
求助篇
从病毒的传播途径入手
目前病毒入侵最主要的两大途径是 “网页挂马” 和 “U盘传播”(包括MP3、移动硬盘、各种存储卡等)
知道了病毒主要传播的途径,就要从根源入手,“网页挂马”无非就是利用了网页浏览器的漏洞执行恶意代码,所以“网页浏览器”成为了根源入口;
常听人说IE不安全,Firefox如何如何好,其实说的并不是这两种浏览器本身的安全性能。看过相关的统计报告,漏洞最多的浏览器正是Firefox,漏洞数量远多于IE,为什么还说它更安全呢?因为微软的垄断地位,决定了IE的市场占有率有着压倒性优势,使得IE成为了黑客争相攻击的目标。
在选择网页浏览器的时候,建议选择一款非IE核心的作为只要浏览器,因为目前大部分网马都是针对IE漏洞实施攻击,在非IE核心浏览器上是无效的,同时一款好的浏览器在脚本执行效率、图片渲染能力上也能得到较好的体验,个人推荐Firefox3.5或以上版本,Google Chrome也是个不错的选择,他们也都集成了Google的安全浏览功能,在试图访问恶意网站时就会进行拦截;
当然很多网站需要安装ActiveX控件方能正常浏览(如网银支付类、视频播放类等),这成为了我们不能完全抛弃IE的重要原因,并且对于那些不符合W3C标准的网页,IE拥有着很好的兼容性(容错性),某些在Firefox等浏览器无法正常显示的页面,使用IE则可以正常显示。ActiveX是块鸡肋,在给我们提供了丰富的扩展性能的同时,也带来了严重的安全隐患,很多病毒的传播也正是利用了第三方控件的漏洞,这时我们就需要有一款较好反挂马软件,个人认为瑞星在这方面很不错
至于“U盘病毒”的传播,无外乎就是利用了系统“自动播放”的特性来实施攻击,我们可以关闭自动播放功能,同时配合一款安全软件来阻止U盘上的程序直接运行,有的朋友可能认为这样很不方便,其实不然,个人认为还是应该养成一个良好的习惯,U盘只用来存储数据,想要运行的程序可以先复制到本地硬盘,一方面提高了安全性,另一方面由于本地磁盘内部传输速度高于U盘传输速度,程序也会获得较好的运行效率;
必不可少的安全环节
有了上面的最基础的保护,我们的系统安全性提高了不少,但这还远远不够,之前提到过“病毒传播利用了系统的漏洞”(当然也包括很多第三方软件漏洞),所以及时给系统打补丁是必不可少的安全环节;
打补丁的途径很多种,如果你的系统能够通过微软的正版验证,当然是用Windows Updata是最佳途径,否则就要使用第三方软件,卡卡助手、360、超级兔子升级天使都是不错的选择;
参考:利用卡卡上网安全助手打windows系统漏洞补丁【图解七步曲】
让黑客一无所获
黑客制作病毒为了什么?在CIH那个年代,无非是为了炫耀技术。但是在今天却大不相同,他们早已有了更加明确更加实际的目标——获取利益。说道“利益”,大家都会想到“网银账号”、“游戏帐号”、“游戏装备”等等,一旦我们的帐号丢失,将会给我们造成直接经济损失,如何保护这些网络中常用的财产呢?
可以参考另一篇帖子:网游帐号与虚拟财产防盗手册
除此之外,还有什么值得黑客盗取的呢?个人隐私!个人隐私的泄露虽然不会给我们造成直接的经济损失,但产生的影响同样不可小觑,有时甚至比帐号丢失更加致命,怎么办?
这里推荐万事达版主的经验:互联网中如何保护好个人隐私
防护篇
话说我们在安装完系统后会安装硬件驱动、应用软件,这其中当然也包括安防软件,应该如何选择一款适合自己的安全软件并合理搭配呢?
传统组合(适合菜鸟)
菜鸟级用户对安全知识了解的并不多,平时用电脑大多是用来浏览网页、看看视频、打打Word之类的简单应用,他们需要的是方便、傻瓜化,最头疼的是看到一大堆安全软件的提示窗而无从判断,最郁闷的是安全软件把自己的正常软件拦截了,这类用户选择最传统的组合再合适不过,即一款主流杀毒软件+一款个人防火墙。
推荐:瑞星杀毒软件+瑞星防火墙 (或单独安装瑞星全功能安全软件)
优点:防网页挂马能力十分出色;查杀率逐渐提高;主动防御模块带有自动放行签名程序功能,进一步减少对正常软件的弹窗;启发式扫描可以发现一些可疑文件,并由云安全系统自动处理,不需用户参与;可加载高手制作的防火墙规则包是安全性大幅提升;
缺点:传统的特征码识别技术滞后于病毒更新;主动防御能力还有待提高;
智能组合(适合对安全知识稍有了解或喜欢钻研的小鸟)
当菜鸟们不断的被病毒、流氓软件折磨后,终于下定决心要苦学反病毒技能,初入这个阶段对自己电脑的安全会很敏感,稍有可疑就会抓住一只老鸟一问到底,并且从中不断积累经验;这个时期的小鸟酷爱钻研,但苦于刚刚入门,各种问题还不能自己处理的得心应手,选择一款智能化的防御软件是再合适不过了,即能获得较高的安全性,又能通过防御日志不断获取经验。
推荐:主流杀毒软件+主流个人防火墙+智能化较高的HIPS(部分HIPS集成了网络控制模块,可以取代防火墙)
目前比较好的智能化较高的HIPS包括:Norton AntiBot、ThreatFire、RTD Smart、GKR内核加固免疫系统等;
优点:较高的智能化使弹窗明显减少,甚至不需要自己编写规则;通过学习分析防御记录可以进一步加强反病毒技能;
缺点:也是因为较高的智能化和兼容性,可能会造成某些防护性能降低,不能自定义规则可能出现一定程度的漏报,也不利于相关知识的进阶提高;
手动型HIPS组合(适合对系统支持、安全技能有一定了解,爱钻研,有能力自行编辑规则或改编完善现有规则的能力者)
处在这一阶段的大多是一些专业技术人员或者对系统知识、安全知识有较深理解的高手,智能型HIPS已经不能满足安全需求和技术成长,热衷于自己编写规则,将系统打造成铜墙铁壁一般;
推荐:主流杀毒软件(辅助作用,也可不装)+主流个人防火墙+传统HIPS(部分HIPS集成了网络控制模块,可以取代防火墙)
传统型(手动)HIPS主要包括:CA HIPS、Tiny、Comodo、EQSecure、GSS、Real-time Defender Pro、SSM、中网S3等;
优点:安全性能较高,可以根据不同类型的程序自定义不同防护级别的规则,将程序分组管理,控制每一个细节动作,一且尽在自己掌控;
缺点:较严格的格则可能带来一些软件的兼容性问题,甚至可能导致正常软件被拦截而无法正常使用的现象,初期需要经历一个规则打磨调试的阶段,方可保证安全性与兼容性兼得;
发烧友组合(适合反病毒发烧友,试毒狂人,评测爱好者等)
处在这几阶段的大多是反病毒狂热发烧友,喜欢尝试各种新鲜的软件、工具,酷爱下载各种病毒样本来考验自己的防御规则,追求极致的防护效果,乐于将自己打磨的规则分享给其他狂人试毒;
推荐:主流杀毒软件(主要用来评测查杀率,也可不装)+主流个人防火墙+传统HIPS(部分HIPS集成了网络控制模块,可以取代防火墙)+主流沙盘
主要介绍几款主流沙盘:Sandboxie、GesWall、DefenseWall、BufferZone、SafeSpace等;
优点:极致的安全性,合理的搭配,几乎可以做到摆渡不侵;
缺点:同时搭配多款防护软件在一定程序上可能会出现兼容性问题,如果没有设置好相互之间的放行策略可能或出现蓝屏、卡机等现象,初期打磨规则会很耗精力,最重要的一点,自己共享出来的规则可能会遭到菜鸟的质疑;
备份篇
无论选用了那种组合,在软件部署完成之后,我们要做的就是留下一个当前系统状态的备份,因为无论怎么做,也无法保证100%不会中毒,尤其是对存储有重要数据的电脑来说,备份更加重要,Ghost无疑是最方便快捷的选择。
准备工作
1、给系统打全补丁
做备份是为了以防万一,一旦出现任何问题可以随时恢复,你肯定不想每次恢复完系统就重新安装几十个甚至更多漏洞补丁吧?那么就在备份之前把现有的漏洞补丁全部打全;
2、全盘查毒、清理流氓软件;
这个不用过多解释了,为了恢复备份之后系统是干净的;杀毒就用自己安装的杀毒软件就可以,要先升级到最新版本,然后断网查杀;清理流氓软件推荐使用windows清理助手,也要先升级到最新版本;
3、系统优化:包括禁止不用的服务、清理注册表垃圾、清理垃圾文件等;
目的是提高系统运行效率,减小备份文件的大小。具体步骤不多说了,一般情况下用优化软件来做就可以,如 WinXP总管、Windows优化大师、超级兔子等,需要注意做任何优化前如果没有把握一定要做好备份;
开始备份
推荐使用一键备份/恢复工具,如:雨林木风OneKey Ghost
1、运行OneKey Ghost,选择“备份系统”,在下方选择要备份的分区,然后点“保存”;
2、选择要将备份好的文件存在在哪里,输入文件名,并点击“保存”;
3、点击“确定”,出现提示,选择“是”;
4、系统自动重启,重启后自动进入Ghost,并且按照刚才的设置去自动完成备份,备份完成后自动重启进入Windows系统(这一步骤全部自动完成,不需要人工参与操作);
还原备份
话说系统出现了不可预知的异常,需要恢复到原来的备份,这时候分两种情况:
1、系统还能够正常进入(安全模式能进也行),可以直接在Windows系统下使用OneKey Ghost来还原;
2、系统无法进入,需要在DOS下运行Ghost来还原系统;
Windows系统下使用OneKey Ghost还原
1、运行OneKey Ghost,选择“还原系统”,在下方选择要还原的分区,然后点“打开”;
2、选择之前保存的备份文件(.gho文件),点击“打开”;
3、点击“确定”,出现提示,选择“是”;
4、系统自动重启,重启后自动进入Ghost,并且按照刚才的设置去自动完成还原,还原完成后自动重启进入Windows系统(这一步骤全部自动完成,不需要人工参与操作);
DOS下执行还原
没装虚拟机,DOS下无法截图,晚上再补充截图吧
(未完待续)
杀毒篇
求助篇