该用户帖子内容已被屏蔽

曾有人说过,只要你的电脑连在网上,再安全的防护,也有人能攻破(没有绝对的安全.)现在,你不在网上,只要用U盘等,也能让你中个够.(时代进步了.~)

所以说,不管你对你的电脑做了如何铜墙铁壁的防护,都只是片面的安全吧.
当然,版主的意思.我想,应该是这样:在开启尽量少的服务,打开尽量少的端口,使用尽量小的权限,尽量的能够让自已了解运行的这些程序.尽量的能够明白那些安全工具发出的那些提示,是不是可能让自已尽量少的被攻破呢?

而现在网络上的用户,我觉得能做到版主说的这一步的,可能都很少.
剩下的那些大部分人,可能用一些扫描工具,就能轻松搞定了

我做为这个论坛里的菜鸟族的一员.真心的希望版主和网警能够真正的是在做一些显而易懂的技术上的讨论,而不是说些我们看不太懂的争执.

菜鸟们需要能够让自已逐渐的去学会守护自已的电脑.
授人以鱼,何不授人以渔!

呵呵，很久没有在kaka看到这样的讨论了，幸好小聪即时通知……

tom的文章，看起来说的的确有点乱。大多数人看完之后，恐怕都会感觉不知道你想强调的是什么。
我很费力地终于在前一篇文章里找到这么一句话：“安全并不是只在安全软件上操作系统甚至应用软件都有安全问题希望大家不要忽略。”
难道这就是你要说的核心观点？如果是，那我支持这个观点。但是你的思路的确有点“千丝万缕”，我的确是看不出来你通篇说的，跟这个观点有什么直接的紧密的联系。倒是taylor说了很多关于利用系统漏洞和应用软件安全问题的例子。

还有对前一篇文章，对非固定IP用户不是黑客的目标这种说法，我也觉得不合适。taylor对此也说了一些东西，比如黑客攻占服务器后挂马，其目的就是为了让防问服务的电脑中毒，这何尝不是一种“攻击手段和方式”？！这何尝不说明黑客对非固定IP用户的电脑感兴趣？！

我想，你所说的“最小的服务……”等等，目的应该是告诉大家要养成良好的安全习惯吧，如果是，在这一点上没有分歧。但是如果说“最小的服务……”这种思想就足够了，那还是片面的，这一点taylor又指出了一些例子。

还有，看完了整篇文章后，我很难理出一个清晰的逻辑思路，反而对帖子的逻辑思维产生了一些疑问：

1.既然承认“我们需要注意系统的漏洞”，就说明很明显知道一些系统漏洞是存在于系统关键文件本身的（如MS07-017，其中的ANI漏洞是存在于user32.dll中的），是不能用“最小的服务”这样的方式来避免的。

2.既然明确了“内防火墙必须防住病毒木马，阻止其向外传送数据”，这正是taylor提倡的思想，我没有看出在这一点上你和taylor的观点有任何的冲突。

3.既然承认了用户大多数情况下是通过浏览网页等方式中毒的，而一但中了后门之类的，防火墙又防不住的话，就会成为黑客的肉鸡。那么在这样的事实面前，怎么还可以说“非固定IP地址的用户电脑不是黑客的目标”“非固定IP用户没有价值”？
正如taylor所强调，这种用户中毒的方式正是现在黑客所广泛采用的手法，这种让用户“自己撞到枪口上”的手法，难道就不能算是黑客的“攻击手段”？（可是明显我们又承认黑客是在采取这种行动）
难道只有黑客直接手工入侵你的电脑，这样才能算是“攻击”？如果是这么定义的，那么我就更怀疑这篇帖子讨论的重点了，花这么大的篇幅说明非固定IP用户不需要担心这一类型的攻击，似乎并不必要，非固定IP用户更需要担心的，正如你所说，正是黑客给存在漏洞的电脑设下的“陷阱”。

4.从小细节上：
“非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决”
一方面强调ARP攻击是没有办法绝对防御的，一方面又认为非固定IP的用户转换IP后就可以解决了，这是不是矛盾的？因为一般ADSL或局域网的用户，虽然IP是变动的，但是总是在这个网段之中，总是要通过同一个网关，在你明确强调的“无针对性的攻击，这样基本上是一个IP段上的扫描”下，变换一个同一网段的IP，还是在它的覆盖范围之内呀？！
至于有多少普通用户会遭受ARP攻击，一些高校的局域网上ARP攻击泛滥的例子是很多的，我们学校某校区一年前就是这样子的（你总不会认为我们不是“普通用户”的范畴吧？！）

总体上我感觉，你似乎是要强调一些东西，但是总是不能把它说清楚。的确大部分正确的观念你已经说出来了，但是对某些问题的表述，仍存在需要商榷之处，没有很好地把它们连成一线，反而有种“越想面面俱到，越是顾此失彼”的感觉。


归纳你们前面说的一些，大体是如此的：

1.对于一般非固定IP用户来说，黑客直接手工入侵你的电脑，这种方式已经不是最主要的威胁。用户们更需要注意的是，由于自己的电脑系统存在漏洞，导致自己通过网页浏览等其他方式而把病毒木马“请进门来”的问题，这才是普通用户电脑安全系数无法提升的重要一环。

2.一款称职的防火墙，必须能够防止住病毒木马进入电脑或者进入后正常运作外传数据。

3.用户必须建立良好的安全意识，不仅仅是“最少的服务”这样的内容，更包括在所开启的“最少服务”中，要避免因系统和应用程序漏洞所带来的问题。

个人觉得，大家说了这么多，对于个人用户安全的建议，其实还是不超出以下这段“老调”：

打全系统和应用程序补丁，谨慎使用盗版软件。不上可能有危险的网站，不下载运行可能有危险的程序（这不就是所谓“最少服务”？！）。为电脑配置合适的安全软件（至少怎么样才叫合适，的确是见仁见智，根据个人的实际情况，不能一概而论）。学习基本的电脑安全常识（做到即使当你面临了威胁时，也不会六神无主，至少你知道怎么做会有益于解决问题）。

对于基本电脑安全常识，再罗嗦一句：就像生活中的“防火安全宣传月”等一样，难道“电脑使用安全宣传”就不需要吗？或者说，用电脑的大家，难道觉得学会如何避免火灾不难，而学会最基本的避免电脑中毒的知识就这么难？！

最后多谢tom和taylor的发帖和回复，卡卡社区反病毒论坛真的很久没有正儿八经地用这样的篇辐这样热烈地来讨论有关这方面的问题了。

思路确实会有一些问题，因为都是一些自己的凌乱的思绪组成的文字。但是这帖子的核心都是在攻击的者调度考虑防火墙及个人桌面安全的问题。

有关防火墙的问题，大家几乎还是没有明白他的理念和作用，面对浏览器漏洞以及下载包的木马防火墙是没有办法防御的，因为这已经超出防火墙的职责范围。而黑客注入攻击是防火墙要面对的，但是这种情况就像我说的那样机率很少

关于断网更换IP的问题，实际情况扫描器基本不会在一个IP断上进行反复的重复扫描.所以理上上是不可理解的问题，在显示确用最简单的方法就可以解决！

对我帖子有意见的朋友我 都虚心都听取，但是大家基本都是在理论上针对我的想法，问题是这些现时操作性呢？我的思路都是用可以在普通用户付出实现的，而且最主要的思路还是大家基本都是理论对理论，但是请贴近显现因为我的理论基础都是出自现时，大家可以分析一下自己朋友，同事，家人现时的网络情况安全，到底是什么！而且一个对普通用户可以实施解决方案是什么。

我举个例子理论上安装HIPS后系统就不会有任何安全上的问题，因为所有的非授权非规则设置。没有手动确认的情况下都是不执行的，但是问题现时中还是有技术可以突破！更重要的是现时用户基本都是把HIPS设置成学习模式或依靠内置规则保护，因为对于普通用户来说提示信息太专业了。即使是我们对计算机稍有了解的用户，在安装HIPS后在安装软件的 时候有几个人能只安装软件而软件捆绑的插件用HIPS阻止安装呢？
这基本就可以从一个侧面体现理论与现时的差距。

拒绝所有，是防火墙核心规则。而且这个点并不是大家字面上的所理解，大家有兴趣PHANT0M编写的LNS中的规则。

最后这2贴的讨论我都提及了我的浏览器安全理念，可惜几乎没有人去找，去看看.大家争论都仅仅只是停留在理论层面上。但是这些没有实际解决方案的，对普通用户几乎没有意义

大家说了那么多，我不知说点，会不会.......................

呵呵！！！！！

都有个问题，你们说的也只给类似你们这样的所谓的会家看咯。

在我所知的，到这里求助或临时参观的看客里，能理解你们所说的，少之又少，就连火影都是看了一遍，说了一些，然后觉得不行，又跑来修改了，嘿嘿！！！

这意味着你们这样的讨论，起点高了点，应该在以后的讨论中，说点简单的词汇，易懂的。

不然，大家只是看你们讨论好玩、有趣而已。对他们没什么帮助的。

尤其是从你们所说的内容看来，有一个主体。

1、就是新系统上网，只浏览网页，怎会中毒。

2、中过毒处理清了，上网浏览网页，怎又中了。

这才是来这的求助和参观一小会的人，最关心的。

如果你们在以后发这类讨论贴，不能从他们最关心得地方入手，不能用简单的语言让他们明白，还不如你们自己私下讨论呢。

可别都气哦。

我可说真的，没别的意思，只想让你们的知识能更好的帮助，来这求助的。

为什么“盖茨”捣鼓出视窗系统，就是因为过去的那些电脑操作，过于复杂和不能为广大用户所理解和熟练的，开发出的现在的这些个Windows系统，界面和操作简单多了，也为用户所接受。

呵呵！！！！

你们如果说的大家都不能很快理解。

这.........

这就只是你们自己的讨论了。

引用:

【tom2000的贴子】思路确实会有一些问题，因为都是一些自己的凌乱的思绪组成的文字。但是这帖子的核心都是在攻击的者调度考虑防火墙及个人桌面安全的问题。 有关防火墙的问题，大家几乎还是没有明白他的理念和作用，面对浏览器漏洞以及下载包的木马防火墙是没有办法防御的，因为这已经超出防火墙的职责范围。而黑客注入攻击是防火墙要面对的，但是这种情况就像我说的那样机率很少 关于断网更换IP的问题，实际情况扫描器基本不会在一个IP断上进行反复的重复扫描.所以理上上是不可理解的问题，在显示确用最简单的方法就可以解决！ 对我帖子有意见的朋友我 都虚心都听取，但是大家基本都是在理论上针对我的想法，问题是这些现时操作性呢？我的思路都是用可以在普通用户付出实现的，而且最主要的思路还是大家基本都是理论对理论，但是请贴近显现因为我的理论基础都是出自现时，大家可以分析一下自己朋友，同事，家人现时的网络情况安全，到底是什么！而且一个对普通用户可以实施解决方案是什么。 我举个例子理论上安装HIPS后系统就不会有任何安全上的问题，因为所有的非授权非规则设置。没有手动确认的情况下都是不执行的，但是问题现时中还是有技术可以突破！更重要的是现时用户基本都是把HIPS设置成学习模式或依靠内置规则保护，因为对于普通用户来说提示信息太专业了。即使是我们对计算机稍有了解的用户，在安装HIPS后在安装软件的 时候有几个人能只安装软件而软件捆绑的插件用HIPS阻止安装呢？ 这基本就可以从一个侧面体现理论与现时的差距。 拒绝所有，是防火墙核心规则。而且这个点并不是大家字面上的所理解，大家有兴趣PHANT0M编写的LNS中的规则。 最后这2贴的讨论我都提及了我的浏览器安全理念，可惜几乎没有人去找，去看看.大家争论都仅仅只是停留在理论层面上。但是这些没有实际解决方案的，对普通用户几乎没有意义 ………………

浏览器的漏洞也好,通过漏洞下载木马也罢.这些数据从哪里来? 从网络上来!!!

经过什么? 经过防火墙!!!

对于在01/02年的端口强制关闭防火墙的确比较难以防御此类漏洞以及漏洞利用程序

但是随着特征过滤的防火墙的推出,此类漏洞以及漏洞所利用的木马完全可以被特征过滤掉.

这也就是 为什么规则用户几乎不会中网页木马的原因.

时代是发展的,如果观念停留在01-02年的时代看现在的问题.你永远看不明白.


扫描网段的事情,我说的很明白了,自03年以后此类扫描很少见了.现有网络上流传的自动攻击/扫描主要是netbot/worm以及其他自动传播的东西.
回退到03年以前,网段扫描更换IP 根本是无用的原因如下

1 更换IP,基本不可能跳出 你城市所在的IP段

2 相同的IP段中 黑客并不止一个啊,你扫描了,放弃了,其他黑客呢?
这么简单的道理,为什么不会换一个角度去考虑呢?
----------------------------------
网络安全对于 安全人员是复杂的.需要一大堆的分析和演算.其工作强度是很高的.
但是对于普通用户,所作的一切是什么?

1 每个月的补丁

2 挑选一款杀毒软件并予以安装.
3 挑选一款防火墙并予以安装
4 及时升级

5 对于规则用户 多一个关注规则更新

以上所作的一切 都是绝大部分都只需要点击 下一步 直至完成.

根本不需要动脑子.

良好的安全习惯  还有不看 不明的网站,这些都不难做到啊.

所以我说过 对于用户而言 网络安全根本不复杂.对于网络安全人员而言网络安全非常复杂.
复杂的部分由专业人员做,用户只用 加载成品就成了.

就从这里的发贴求助的系统中，可以看出，大多中毒的，是通过浏览网页中的。

我知道会有人立即说：“不对，也有不少是通过移动存储设备中的毒。”

呵呵！！！

别急，那移动存储设备里的毒哪来的呢？

绝大多数，还不是在另一个浏览网页中毒的电脑上感染的嘛！！！

源头，绝大多数还是聚拢在浏览网页。

被人为故意黑了的，有！！

不是大多数哦。

因为真如你们所说的，黑一个系统必须是固定的IP才好黑，或黑一个没有任何防护的开放的系统。

这不是大多数的。

真正要强调的是，浏览网页中毒！！！！！

重中之重哦。

很多网页只含恶意代码，利用的是网页的脚本或任何网页中可以在点击网页后自动运行的任何口令来执行，这是现今的任何单机方法，不能完全阻止的，例如一个动画的图，在用户点击网页以后，这个动画动起来的口令都可能成为黑客挂恶意代码的专营方向。

想阻止这些漏洞，除非你不上网浏览网页。

现在的毒，大多是为了利益，下载木马才是最主要的，现在的杀软大多能干掉好多木马，这就迫使作恶的人必须想法，现在大多这样，一股脑塞进很多东西，其中只夹少量新变种的木马，大多用户是只依赖杀软的，无法彻底清除木马，导致很多网民利益损失。

那么这越来越多的木马怎么下来的，这也是很多求助的贴里常喊的、常问的、常骂的。

呵呵！！

这就得说说漏洞了，网页一旦放有恶意代码，有相应漏洞的系统使用者在点击网页后，系统将执行其恶意代码，大多是简单的去恶意代码指定的地址下载大量的木马病毒。并在下载后执行运行指令。

这一套下来，系统就哈哈了..............

我们真正应该关心的，就是怎样阻止这些，现在看来，打补丁和
上防火墙监控欲连接网络的东西，上一些能监控进程运行的小软件，例如一些具有主动防御的软件。都是必须的。

至于怎么做，这就得各位会家，各位版主们出出主意啦。


本人很菜啦，没大主意咯。

能说一下什么防火墙有你说的功能吗？我可以实验一下吗？其次特征过滤防火墙都是抓封包，这不能直接过滤木马，防火墙就是管理和控制。它不可能对木马进行所谓的识别！如果有请告诉我，我马上进行测试实验。而关于漏洞攻击则基本上是已知漏洞的防范，这个几乎没有再讨论的必要

前面已经用了大量的篇幅说用户面对安全威胁，是几乎无法防御的。但是解决方案又没有一个明确的配置。用这样的配置去抵御前文的 攻击是什么效果？

分析了个人用户安全日志了吗？结果是什么？再今天有多少用户仍然再 被反复的扫描所困扰。请不要再死包理论的东西，回到现时吧！

还是我说的我们的处在一个很尴尬的位置，一方面面对不断增场的 安全威胁，我们不断的更新的自己的知识。但是实际上我 的理论和现时是脱节的，又回到我们的话题我们用很多高深的安全攻击理念，以及防御理念，但是涉及到实际防御手段我们却仍旧停留现有的方法上，所以直扣主题。“有关个人桌面安全我们走错了路！”

还有有时间不要只针对我的文字内容，可以看看我 发浏览器安全的帖子，也许这样会有一个新的思路：）

引用:

【tom2000的贴子】能说一下什么防火墙有你说的功能吗？我可以实验一下吗？其次特征过滤防火墙都是抓封包，这不能直接过滤木马，防火墙就是管理和控制。它不可能对木马进行所谓的识别！如果有请告诉我，我马上进行测试实验。 前面已经用了大量的篇幅说用户面对安全威胁，是几乎无法防御的。但是解决方案又没有一个明确的配置。用这样的配置去抵御前文的 攻击是什么效果？ 分析了个人用户安全日志了吗？结果是什么 还是我说的我们的处在一个很尴尬的位置，一方面面对不断增场的 安全威胁，我们不断的更新的自己的知识。但是实际上我 的理论和现时是脱节的，又回到我们的话题我们用很多高深的安全攻击理念，以及防御理念，但是涉及到实际防御手段我们却仍旧停留现有的方法上，所以直扣主题。“有关个人桌面安全我们走错了路！” 还有有时间不要只针对我的文字内容，可以看看我 发浏览器安全的帖子，也许这样会有一个新的思路：） ………………

软件防火墙 装在哪里?

装在系统上!!!

当防火墙启动的时候要进入哪里?

内存!!!

好了,如果通过规则执行 行为特征静态扫描,所有的问题都解决了.

当然 遇到无法防御的威胁 特征码需要更新.


软墙和硬墙不一样.软墙驻留系统内存,而硬墙不可以(硬墙是独立的 硬件/OS)


所以 防火墙仅仅控制/管理以及特征过滤的墙仅仅抓封包,这是 很早以前的事情了.

测试随你做,但是前提有这么几点

1 瑞星防火墙必须是正版. 规则是最新规则下载地址看偶的签名

2 系统必须保证为原版,任何修改/精简/美化的版本 测试都不准确

3 系统不能装有或者曾经装过HIPS/还原类软件(比如还原精灵)此类软件会破坏系统低层

4 所谓leaktest 的测试软件 规则均视为无害,不予拦截


另外附 一段 其他人做的 运行 威金后 仅仅使用瑞星防火墙+ 规则阻断 威金感染 EXE 的录像 比较早了

偶一直没放出来, 对方用的是深度精简版 用原版 效果会更好.
下载地址
http://fanrong.cc715.com/taylor/luxiang.rar