社区便民服务电话
中兴物管处88985349
美都物管处88984317
社区警务室88974733 |
|
|
 |
您现在的位置:首页 >> 电脑时空 >> 网络知识小百科 |
|
病毒与木马的防范
一、病毒
由于网络是一个开放的环境,因此网上用户受到恶意程序的威胁要比普通用户大一些,其中主要的是病毒和特络伊木马程序。当然对中国的用户来说,主要的威胁似乎仍然来自光盘或者磁盘这样的传统介质,可以作为以上观点重要佐证的就是:以光盘为主要传播手段的CIH病毒给国内造成了巨大损失,而以邮件附件传播的melissa病毒则在国内没有掀起什么波澜。 我一向认为,对普通用户来说,除了了解病毒的一些知识,破除病毒的神秘感,增强保护意识之外,更重要的是要选择一套可靠的杀毒软件,但关于杀毒软件的优劣是一个非常敏感的问题。我认为,一个合格95/98平台的杀毒软件至少实现以下特点:
1、软件结构合理,采用反病毒引擎/反病毒库分离的结构,具有成熟的虚拟机和启发式扫描引擎的机制。
2、合理嵌入95/98内核的,兼容性好,占用系统资源低,有在线防御能力,能监控用户的多项操作。
3、对病毒处理安全可靠,没有造成文件损坏、数据和分区丢失的安全隐患。
4、出品公司有覆盖面广泛的反病毒网络,或者与其他反病毒公司形成有效的标本共享机制,对新病毒反应时间短,可处理病毒总数至少在15000以上。
5、能查解各种常见压缩包,能一定程度上抵御恶意Active X和JAVA小程序。
6、完善的数据保护机制,可以备份重要信息到应急盘。
7、有完整的帮助机制和详细的病毒库资料,提示信息准确。
8、有完善的升级机制,支持自动网上升级、下载升级等方式。 … …等等,难以一一列举。 这些都是先进反病毒产品的有效特征,国外这样产品的代表是AVP、NAV、MCAFEE SCAN等等,国内的AV98和金辰与美国CA公司联合推出的KILL98也是非常不错的。另外,金山公司的金山毒霸目前还没有正式上市,如果这个程序能进一步提高运行效率和稳定性,也将是一个不错的产品。 WIN9X用户对于病毒防御必须有一些观念的变革, 第一是为了杀毒而杀毒:我再次重申一个观点,杀毒的目的是保证用户数据安全和正常使用,如果某个杀毒软件解毒后的情况比杀毒前更坏,造成文件损坏、分区丢失、系统无法正常启动等情况,这绝不是病毒造成的,而是杀毒软件的质量造成的。不能保证用户数据安全的杀毒软件是没有意义的。如果你的杀毒软件是可以信赖的,一般的来说,你也无需想到重新格式化硬盘。顺便说一下,我特别反对低格硬盘,杀除任何病毒都无需低格,低格是损害硬盘寿命的,这两点都已经是技术定论。如果你认为系统必需重灌的话,用干净引导盘启动,用fdisk/mbr可以清除主引导扇区的病毒,然后重新format就可以保证没有病毒的存在。 第二个必须更新的观念是反病毒必须从DOS软盘启动,运行一个for DOS的程序;不在DOS下启动病毒杀不干净等等。我认为,一个好的具备实时检测能力的软件加上用户的按时升级足够满足9X用户的需要,一般的来说用户根本没有必要从软盘启动杀毒,9X下杀毒软件可以让你高枕无忧。开机对引导区、自动批处理和注册表的检查,在9X环境下的内存解毒、引导区病毒的清除、系统独占访问的染毒文件的解毒,比较出色的for 9X的反病毒产品都有一些自己的处理思路,不是非要用DOS下的杀毒软件不可。重要的是,一个好的杀毒软件的在线检查机制,基本可以保证你不被病毒感染。9X环境下病毒能否杀干净的问题也就无从谈起。因此,我特别建议你,要充分利用你手中反病毒产品的在线功能,一般来说,你只需要它在后台运行,剩下的只是定期升级你的程序就可以了。你可能并没有必要经常扫描你的驱动器,比如你要从光盘安装某软件,你先扫描再安装和你在在线监控下安装实际并没有区别。特别注意,不要关闭你的反病毒产品的在线检查功能,如果你觉得开放这个功能占用系统负荷比较严重,甚至死机频频,那就说明你选择的这种杀毒软件设计有缺陷,技术不成熟,你应当更换它。同时我建议你把CMOS SETUP的启动顺序设定为C ONLY,禁止机器A盘启动能有效的防御引导型病毒。 关于反病毒方面的误区实在很多,这里难以说得很清楚,我今后会进一步撰文继续澄清。
二、特洛伊木马
除了病毒之外,网上用户特别需要小心的就是特洛伊木马(Trojan,后门程序植入)。大多数木马程序,都是一个执行文件,当被用户执行后,会带来一些恶性的后果。比如我收到的一个求救MAIL是这样的,某个网友在3月5日收到一个名为leifeng.exe的程序(真实卑劣之极),他就运行了,结果死机,而后软盘硬盘都不能启动了,其实,这个木马程序就是利用高版本DOS启动中要读取分区信息的特性,制造分区表循环,使系统在启动过程中死机。除了这种直接破坏性的木马程序外,有很多木马程序是隐藏在你机器中,使你的机器可以被他人远程控制。 这种远程控制程序可以被称为后门工具,它一般都采用SERVER/CLIENT的模式,SERVER端在你机器上运行,因此大家不必害怕,一般的说,如果你没有开放可以写的共享目录,它不会自己跑到你的机器上,同时如果不运行它的SERVER端,对方也无法控制你。即使你的机器已经在它控制之下,但是你还是能发现一些蛛丝马迹,首先,既然要控制你的机器,一般要能够伴随开机运行。主要实现的方式有在win.ini的load和run选项中加载,在启动组中加载,和在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurreNTVersion项下五个RUN开头的项目中加载,都可以起到开机运行的作用。正常情况下,在95/98系统的win.ini的load选项不应该有任何东西,而注册表上述选项下可能有一些需要开机运行的程序和系统一些进程,比如iNTeneNT、systray、taskmon、以及用户安全的在线查毒工具、系统在线维护和优化工具等,也会在此处。当然,用自身替代这些程序运行,自己加载完毕后再把正常程序运行,或者干脆如病毒般的附身在某个系统的驱动或者应用程序上,更为隐蔽,后门工具的编制者们绝不会想不到,但很少有人采用,我认为这其实更出于某种黑客式的道德因素。autoexec.bat下的东东当然也会随开机运行,但目前还没有关于加载到atuoexec.bat中的后门工具的报道,因为先于9X系统的驱动和GUI进入系统,毕竟做起来不舒服。 你可以对这几处加以检查,win.ini可以用任何编辑器查看,检查注册表可以在运行中执行regedit,查看上面提到的位置,如果你对此不是很了解,对98系统你可以通过MSCONFIG命令加以检查(见图3),这个工具显示你的常规信息和config.sys、atuo-exec.bat、win.ini、system.ini和开机启动选项。其次,既然也是一个程序,就要作为一个进程存在,这意味着你可以用进程查看工具发现它的存在,有的你甚至用ctrl+alt+del激活的窗口中就能发现。最后,既然是要与你进行通讯就一定要有一定的通讯方式,通讯时要开放一些PORT。你可以用netstat -an命令进行观察,这个命令可以查看你当前所有的网络连接和开放端口,包括WWW、FTP、telnet等等,当然也可能发现后门工具的存在。因为一般的说,一个后门工具要通过TCP或者UDP的方式借助一个或多个PORT同clieNT端连接,因此,如果通讯正在进行,你一般还可以在Foreign Address处看到入侵者的IP。当然,这项操作最好是你断开其他网络连接后,因为从一堆连接中猜测哪个可能是可疑的也不见得很方便,最好是你对一些常见黑客工具的PORT有所警惕,比如netbus,它的port是12345,如果你用netstat -an发现其中包含如下信息。 C:\>netstat -an Active Connections Proto Local Address Foreign Address State… … … TCP 0.0.0.0: 12345 0.0.0.0:0 LISTENING TCP 0.0.0.0:1234 0.0.0.0:0 LISTENING… … … 则说明你的机器已经运行了netbus的server端,但目前没有人遥控你的机器,如果netbus连接对应的Foreign Address处有一个地址,那么这个IP就是控制你的人的地址。 其实我倾向于普通用户借助工具,来检查处理感染后门程序,但就我用十一种比较常见的木马程序对常见杀毒软件进行测试,发现没有一种可以全部发现,他们的表现甚至不如共享的专门清除后门工具的共享软件,因此还有必要介绍几种共享、清除实例和一些常见的后门工具,加强用户的自救意识。 LOCKDOWN:LOCKDOWN是一个个人防火墙性质的软件,它会以在线方式,监控你的网络连接,记录访问和入侵者的IP、主机名等信息,也可以清除BO、NETBUS等木马程序(见图4)。 CLEANER:这是一个专门用来清除黑客程序的工具,据说能清除上千种木马,只能静态扫描(见图5)。 SUDO99:搜毒99是由上海程序员陶辰制作的一个很出色的共享杀毒软件,特别一提的是其在清除BO时,会全面告知你Boserver端的设定信息,如端口、密码等等。 下面举一个发现清除特洛伊木马的例子,为了给大家一个新鲜感,我举一个不太常见的木马happypig,它的标本是的站长小鲤提供给本人的。假定,我误运行了happypig.exe,此时屏幕出现了一只小猪,这时怎么办,是不是欣赏一下?我给网友最根本的忠告是,对网上的外来程序(也包括.doc、.exl),即使通过了你反病毒软件的检查也不要运行。如果一旦误运行了,要果断处理,比如发现运行后硬盘狂转,有可能是该程序开始破坏你的硬盘,你要马上关机,可能还有的补救。如果运行后毫无反映、或程序自身消失、或屏幕上出现一些好看的信息,这可能是某个黑客工具,你需要做的应该是马上断线,进行检查。 好了,我看到屏幕的小猪,马上断线。用NETSTAT命令检查一下,发现开放着一个44445端口,检查autoexec.bat和win.ini都没发现什么,注册表呢?也没看见什么呀。仔细看看HKEY_LOCAL_MACHINE-\Software\Microsoft\Windows\CurreNTVersion\下,哦? Run下有个systray, RunServices下怎么还有一个,原来RunServices下的那个是happypig添加的主键,对应的程序名称是5ystray.exe,真狡猾,因为从注册表的字体看起来,5和S非常相象。 好了,把这个主键删除,此时系统目录下的5ystray.exe因被系统占用,删除不掉,须重新启动,这时又发生问题,老说因进程无法终止不能关机,按crtl+alt+del一下,果然有个进程叫5ystray,把他结束任务就可以了。 重启动后,把对应程序删除就可以了。以上举了一个分析清除后门工具的例子,还要再强调几点,第一、就是不要过分敏感、疑神疑鬼,比如一般情况下,只要你装了microsoft网络的文件和打印机共享,你的139、138、137等端口就是开放的,并不是黑客工具开的。你的HKEY_LOCAL_-MACHINE\Software-\Microsoft\Windows\-CurreNTVersion\RUNXX中,有很多的正常工具和进程,也不要乱改乱删。第二、就是要谨慎小心。不能过分敏感当然也不能麻木,如果机器表现异常,是否中了后门工具的标,也是考虑因素之一。再次提醒的是千万不要运行一些来历不明的程序,即使来自熟人,比如你的朋友的机器感染了HAPPY99,他向你发送邮件时,HAPPY99就会自己加在附件当中,而你的朋友一无所知。无论病毒还是后门,大家切记一个原则是,与其感染了再杀,不如不感染,特别是你的机器一旦被他人侵入过,他就可能埋下一些新后门,使你防不胜 备份与数据维护 记得在BYTE上看过一篇文章,就是关于主机系统为何稳定,而桌面系统为何容易崩溃,当时作者提出一个重要观点,桌面系统的用户水平不一,且缺少维护。当然对于许多个人用户来说,电脑只是一般学习娱乐而已,硬盘上并没有什么非常重要的数据,但我还是建议,即使对一般用户及时的备份也有助于你,因为你不至于因为硬盘崩溃丢失了所有的朋友的联系方法,失去了所有重要网址甚至损失几个月的心血。 什么需要备份?面对你装的满满的十个G的大硬盘,你一定为如何备份他发愁,就算是刻碟吧,至少也要十几张,不,千万别弄错,需要备份的不是硬盘杀手WIN98,不是吃掉你1G空间的visual statio 98,也不是你装的满满的GAME,真正需要备份的是你自己的工作,是属于你自己的个性化的东西。 一般的来说,除非你为了能更快的重新灌制系统制作克隆镜像你没有必要完整备份你的系统和应用软件,你需要注意经常备份的包括以下信息。
1、系统重要的恢复信息,硬盘引导扇区、FAT表、注册表、CMOS设置信息(对新型微机来说并非必要)等等。
2、你自己的工作文件:各种重要文档、整理的资料、你编制的程序甚至包括你游戏的进度等等。
3、一些系统设置文件和私人信息,包括MAIL通讯录、重要的MAIL、ICQ信息和地址、浏览器的书签和设置、输入法的知识库等等。
4、你其他的独门暗器:比如你的硬件驱动程序(特别是存放在软盘上的),你收集的小工具等等 以下信息有助你的备份。 Mail:一些MAIL系统的邮件地址列表可以导出的,不过我还是建议你单独再用一个文本文件保留你的联系信息。另外,对于重要信件,你可以另存出来后整理分类保存,当然,对于Foxmail这样比较小的MAIL客户端,你可以连同整个程序目录一同备份,只要把它COPY回来就好用,但如果你是outlook一族你就要备份95/98目录下的Application Data里面相应的设置信息。 ICQ:你是否有这种历史,重装了ICQ,结果以前的谈话的history都不见了,其实你可以备份ICQ目录下的DB子目录,这里放着你和网友的谈话信息,你可以在重新装ICQ后把备份内容覆盖回去,当你重新把网友加入列表后,你会发现你和他的谈话记录还在。 浏览器:NETSCAPE下有个USER目录,里面存储了用户的个人信息,如果你只是希望保留你自己的网址书签,那么你可以只备份bookmark.htm,IE用户的收藏夹信息在系统的Favorites目录下,每个连接是一个独立的文件,打个包就可以了。 输入法:我知道用智能ABC的人很多,智能ABC的知识库的文件名叫tmmr.rem,在system目录下,你如果重装系统后,把这个文件COPY回去,这样你的智能ABC中的自造词就不会丢失了。 用什么备份?首先说硬件吧,大到磁带机小到软盘都可以,但这完全取决于用户信息的价值、性质与用户的经济实力,对于一般用户来说,我比较推崇的是CD-R,目前一个比较可靠的SCSI接口的内置刻录机价格在2000RMB左右(含卡),我想对一般企业和电脑烧友还说还算可以承受。另外我希望大家知道,如果没有什么重要的信息的话,你买7、8元一张的蓝碟就可以了,拥有了CD-R后,你首先发现的就是硬盘不再拥挤不堪,因为你可以定期把东西“倒”到光盘上。CD-R的另外一个好处是如果你保养的好CD-R是不会损坏的,而磁盘的寿命一定是有限的,特别是目前机器的软驱都不是很可靠。除了CD-R你可能会想到CD-RW,但他最大的麻烦是其他光驱无法读出,你也可能会想到ZIP或者MO,但是我感觉他们用来导数据还可以,用来备份太不实惠了。用第二块硬盘?成本太高了吧。当然有这些设备的人还是要比只能用软盘的人们幸福。我特别提起注意的是,不要闲置你的资源,象我们这样年纪或者更老的用户手中可能还积攒着学生时代留下数十张甚至数百张闲置的5.25英寸的软盘,挑选出可靠的,用来做备份不是很好么?就算你没有5.25驱动器,我告诉你,在旧件商那里,你花5-10元就可以买到一个这东西。 备份必须的软件除了你的CD-R、MO、ZIP的驱动和应用程序之外,你可能还需要一些软件,比如压缩软件,最流行的当然是WINZIP了,我在6.3的WINZIP中并没有找到分卷压缩的功能,使用软盘备份时可能还需要文件分割的工具。 关于95/98系统的维护与优化,我不想说更多了,再次建议大家去水木清华windows9x精华区去读一下蓝海的让PWIN95更顺手系列和让PWIN98更顺手系列,下面给出一些个人建议:
1、建议95/98用户把机器分成两个区,C盘装载系统,一定保证C盘足够大,因为95/98默认使用C盘做虚拟内存,而在D盘存储重要数据或者做重要数据的备份,以我的经验,C盘崩溃的可能性最大。扩展分区面临的最大问题是包含的逻辑分区可能丢失,一般的来说,此时你可以借助NU等工具轻松找回他们而不会受到任何数据的损失。
2、如果你的硬盘足够大,我建议你把当前你WINDOWS系统安装盘的所有CAB备份在硬盘上,这样安装新硬件或者组件时,会免去你插光盘的苦恼,另外,建议你建一个DRIVER目录,把所有本机硬件的驱动COPY进去。这些都会使你需要重灌系统时,节省不少时间。
3、你有必要对发生的崩溃有所准备,至少你要准备一张干净的、与硬盘版本一致的引导盘,如果方便的话,要用你的反病毒软件定期的制作应急盘,但你不见得需要单独准备DOS下的查毒程序,因为好的杀毒软件在制作应急盘时,会在盘上COPY一个自身的DOS版本。
4、如果你有条件的话,在机器状态比较理想,安装的应用程序也差不多了的时候,用GHOST PRO做一份硬盘克隆的镜象,你可以把镜象刻在光盘上,总之,用这个镜象恢复将非常迅速。
5、如果你的机器发生了崩溃,但你的机器已经装了好多程序的话,你不见得就要重做,很多时候是因为某些非法操作损害了某个动态连接库而已,如果能猜到是哪个,找相同或更高版本的COPY过来就可以了。如果不行,你不妨覆盖安装一下9X,这会保全你所有的设置,当然这样有可能还是不好使,因为这种情况下很多东西并不更新。但有时会使问题变简明。 写到这里,这个系列就算完成了,题目很大,感觉有些方面过于单薄或者漏掉了,我会再争取写一些关于反病毒的专门性文章和一个数据恢复的手册性东西作为补充,由于中间的时间跨度超过了一年,因此,回头看觉得凌乱而没有整体性,只能希望不算浪费大家的时间。电脑使用同一切事情一样,并没有一步到位的诀窍,一切取决于用户经验的积累,也没有绝对安全可靠的系统,真正万能的是谨慎、维护和备份。用一个特定的方式结束这个系列吧 ---- 曾经有一个备份的想法在我脑海中,我却没有去做,等到硬盘崩溃了才悔恨不已,如果重新给我一个机会,我一定对我的数据说那三个字,“备份吧”,如果给这件事一个周期,我希望是----- 每周一次。
|
|
