瑞星卡卡安全论坛

讲师：TOM2000

内容简介：简单安全实现和原理。

讲义地址：如何保护计算机安全

本次课程答疑时间：2011年7月8日 14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问，讲师会在答疑时间，编辑提问帖进行答疑！

你好:kaka1:
1.刚开始时，系统崩溃了，硬盘也坏了，由于不懂，让维修人员帮我安装了新系统，结果c盘FAT32，其他的都是NTFS,这不是搞反了么，怎么变回去。。。。
2.那个黑盒：说整个系统都被虚拟了，是不是说，整个系统的运算控制都在一个虚拟的文件中进行，包括对外的通信联网等？那么是的话，攻击者怎么才能脱出这个牢笼而进入真正的系统中呢？？






1Win+R --> 打开命令行输入 cmd 回车 --> convert x: /fs:ntfs  x是盘符,不能转换当前盘,如果要转换系统盘符,会提示重启进行转换.

  注意: 被转换为 NTFS 文件系统的卷无法再转换回 FAT 或 FAT32。要想转换只能使用分区工具或格式化系统

2黑盒其实只是虚拟了软件环境，而软件虚拟是有很安全隐患空间了。这里虚拟软件系统本身都可以被利用就更不用说RING0级别的争夺了

瑞星的实时防护只是对进程的监控吗？

NO！所有当前活动都处于监控保护之中

老师您好！
讲义中提到目前的病毒和木马都无法破坏虚拟机，请问这其中的原理是怎样的？谢谢！

虚拟机是虚拟硬件环境，杀毒软件中卡巴最先使用这样技术，理论上病毒等还没有智能到分辨出什么事虚拟的硬件什么是真实的硬件环境，所以只要虚拟机本身没有安全漏洞。目前的技术还是无法击穿硬件虚拟的。

我个人估计可能是快照的原理吧，破坏了是能破坏，但是之前你建立了一个快照，直接还原不就行了么？:kaka2:

=============================================================================================================================================

黑盒和硬件虚拟说起来可以作为专门一个章节来讲了，其已经超出我目前这份讲义的范围，有兴趣的朋友可以自己查找相关资料或要求瑞星官方增设相关的内容

老师，删除/windows/help下文件时，下图文件夹下文件说需要有权限才可以删除，
 附件: 您所在的用户组无法下载或查看附件，请问老师这个文件夹下文件可以删除么?在help下面又分两个文件夹，分别叫help和windows，然后每个文件夹都有上述文件夹，系统不建议删除
家庭和学校为了多台电脑上网所使用的路由是老师所指的路由么？有安全保护的效果么？



==========================================================================================================================================
计算机 管理 服务 停掉help and support

HELP其实就是帮助文件，如果你经常看win帮助会有用，但是我想应该很少有人看，所以放心删除吧

是！这个其实也很有意思，但是这样这样说吧！路由器设置好了可以起到一个硬件防火墙的作用，毕竟外界攻击首先面对不是上网机器本身而是你使用的路由。

老师您好！我家里的路由器上接了三台电脑，每次只要有两台以上同时使用就会提示-您的IP地址与网络上的其他系统冲突，是怎么回事啊？








========================================================================================================================================================
你启用路由DhCP功能了吗？

如果没有启用你必须为每一台机器都制定IP地址。

老师您好，我买电脑的时候销售人员只给分了C、D两个盘，对系统安全影响大吗，如果想重新分盘该怎么办啊

===================================================================================================================================

其实分区跟系统安全关系不大，老外大多只分一个区

但是我希望大家能有一个好的安全习惯，系统一个区，软件一个区，影音文件一个区，软件/文档备份一个区，这样系统会很有条理，查找和以后重装都很方便，但是C盘就是系统区一定要分50g以上！切记！

老师，你好啊！怎么检查被远控了？我怀疑被远控了，:kaka3: 于是我用nestat -an 检查连接
开机什么都没干联网前截图如下

 附件: 您所在的用户组无法下载或查看附件
联网后什么也没干

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
请老师看看我这是否有被远控迹象？谢谢老师了。:kaka12:

我无法知道你联网环境，但是你138 137 139端口都开了应该引起你的注意！

安了个瑞星杀毒开机从36秒左右到了一分四十秒 开机加速也不管用 请问老师有关系吗 怎样弄哈


==================================================================================================================================
WINDWS系统使用时间长了开机都会出现缓慢的现象，瑞星会开机检测当然就会拖慢系统开机速度，这个现象很正常

而且一般优化软件，开机加速效果其实很有限。

老师您好
        在学习分析病毒时，计算机上的杀毒软件会查杀病毒样本，如果暂时关闭杀毒软件，又怕不小心运行了病毒，有没有什么安全的方法保存病毒样本。



========================================================================================================================================
安装HIPS吧

还有几个问题
1.教程中提到硬件密码，这个怎么改啊？
2.杀掉进程命令 c:\>ntsd -c q -p PID，可以具体讲讲命令各个字母的含义么？
3.防水墙是什么？
4.瑞星防火墙集成了HIPS么？
5.我的瑞星防火墙每次开机后不久就提示这个

 附件: 您所在的用户组无法下载或查看附件
taskhost.exe进程是Windows7自带的一个进程,是负责Windows7运行计划的。他怎么会一直想试图联网呢？

=========================================================================================================================================
1你能接触到软件都可以还原，比如BIOS密码 路由还原
2嘿嘿！其实你自己查比我直接告诉你，更有助你的学习
3防火墙是只防止外部信息攻击本地计算机，防水墙相反是防止内部信息泄露到网络中（比如COMODO）
4RIS集成了
5该进程要是系统自带的应该是正常，但是也可能是病毒木马伪装的，我建议你全盘查杀一下，不放心可以使用瑞星上报系统提交瑞星人工检测。

还有老师，我刚才看了下我电脑上盘符的分区格式 ，全部是NTFS的，这样一般会出现什么问题，能不能用什么办法把除C盘之外其他盘改成那个FAT32格式的么？

==================================================================================================================================
没问题

FAT32其实跟98一样都是过去式了

应该使用某种格式转换软件可以，但是这个我不清楚，你可以自己查找一下，但是NTFS转FAT32除非你有特殊要求否则意义不大。

老师你好，在安全软件的选择模块里，你说有一加快安全软件扫描的方法，就是删除系统目录下\WINDOWS\HELP文件夹，这里我没看懂，文件夹删除了，那里面的帮助文件不是也没了？为什么你又说一般安装的软件的帮助文件不在这里？那这文件夹里装的是什么帮助文件？

另外还有就是在国产安全产品中，您推荐的是瑞星2009，不过这是之前的培训资料，按照现在是情况来看，使用2011版是不是比09版更好呢？

========================================================================================================================================

这里是我的笔误，你可以用2011更可以期待即将测试的2012

驱动级病毒会深入系统底层，虽然是古董级病毒 但杀软一般很难清除，而且重装系统一般不起作用。
对于这种病毒的处理方式有哪些？

1.虚拟机不能正常启动啊，这是怎么回事？
如下图：
 附件: 您所在的用户组无法下载或查看附件
2.我本身就是计算机管理员，为什么还提示需提供计算机管理权限？
如下图：
 附件: 您所在的用户组无法下载或查看附件
3.还有，如果压缩包里面含有病毒文件，我只是解压了一下他，并没有对他里面的文件就行打
开，复制等操作，问这样会不会中毒？
4.U盘里面有些东西删不掉，如下图，这是什么原因，难道U盘里面还装有系统文件么？
如下图：
 附件: 您所在的用户组无法下载或查看附件
5.瑞星怎么检测挂马网站的？是通过源文件么？还有如果真的打开一个挂马网站，但由于网速问题，网站处于正在打开时立即关掉网页，是否会中毒？
6.我在程序联网规则中看了下，有关暴风影音的一共有7个联网程序，其为，后面的数字为该程序的模数 
暴风媒体中心 2
暴风影音 2
暴风资讯 2
暴风影音升级程序 5
暴风影音2011-3.11.06.09.exe 1
暴风盒子 1
3.11.06.21  1
前四个都能想来，而后面三个究竟是什么？为什么一个小小的暴风影音软件竟包含这么多东西，还有其模块数究竟指什么东西。怎么来判断该程序是否正常？

麻烦老师了，问题比较多，比较简单。:kaka3:

=======================================================================================================================================
1
我没有现场看无法给出准确的判断，建议你参考http://zhidao.baidu.com/question/39137674.html

2
你使提升一下软件权限就可以了，可以使用工具把权限提升集成到鼠标右键会很方便

3
会

4
THUMBS是系统缓存文件，正被系统使用所以无法删除很正常

5
一般来说软件没有报，就没有问题

6
我看不到机器所以还是没有什么发言权，但是我推荐使用Shark007 Codecs这个的解码包而不是某些播放软件，尝试一下，你会喜欢的。

这些文件都是啥东西啊

 附件: 您所在的用户组无法下载或查看附件

=======================================================================================================================================]

疑似某些软件安装后的临时目录，你打开看看就知道了基本上可以放心删除！