频道栏目
首页 > 安全 > 系统安全 > 正文

monyer教你玩电脑—安全地维护系统

2008-06-18 02:03:45           
收藏   我要投稿

简单在“monyer教你玩电脑”系列里看一看,似乎从来没有教过大家关于维护系统安全方面的文章,所以最近略准备了一下,和大家一起来安全地维护的系统。但请注意的是,这篇文件并不是让你“打造安全的系统”,Monyer目前还“没有这个能力”,因为即使系统固若金汤,你未必就能把它维护好,所以关于怎样打造安全的系统,Monyer这里不会介绍,但你可以点击上面的链接自行查找。

这里简单地以病毒木马为例(刨除“黑客”人为入侵)。大家中病毒的主要途径不外乎两种(就目前的现状来说),一种是网络入侵,一种是U盘入侵。(至于光盘或其他什么方式这里略过)

病毒木马网络入侵主要又两种:一种是服务溢出,一种是IE溢出。(同样,基于管理员密码脆弱性和默认共享等方式同样略过)。

病毒U盘入侵主要又两种:一种是自动运行,一种是欺骗(捆绑可以算在内)。

关于自动运行,建议大家看一下彻底摆脱autorun.inf的诱惑

Monyer建议你用唯一的方式打开U盘:资源管理器列表方式。(如下图)

通过“鼠标右键打开”这种方式已经是除了双击之外最危险的方式。建议所有人不要使用。(当然,如果你喜欢在“运行”里输入盘符,那也未尝不可)。

另一种就是欺骗。Monyer常见到的欺骗方式有三种:模拟文件夹、捆绑DOC(EXE等)、多重目录干扰。

我们先看看前两种:(下图你可以假设是同一目录在选取“隐藏常用扩展名”和非选取下的结果。)

通过上图例子你可以看出来,有些病毒和木马通过把图标伪装成文件夹或DOC来欺骗用户,但其特点就是其后缀会是可执行文件。

所以Monyer第二个建议是:建议所有用户取消“隐藏已知文件扩展名”选项。

我们再来看看一个最有趣的欺骗式病毒,这种欺骗即使是高手亦会中招。

就是把你U盘中的文件夹多级嵌套起来,然后在某一级采取文件夹图标欺骗(如下图)

我相信看了这幅图,大家应该明白我的意思——本以为自己只是被人恶作剧,从而疯狂地双击,直到最后一个exe文件却依然没来得及停止脚步......

然后我们来提一下可执行文件捆绑。Monyer试过很多可执行文件捆绑检测工具,几乎没有一款能准确地验证可执行文件是否被捆绑过,通过MZ数数的方式已经过时了,而且极端不准确。至于杀毒软件声称可以查杀所有病毒的笑话也请大家一笑了之。所以你可以认为U盘上的一切可执行文件都是可疑文件

所以Monyer的第三个建议是:不要执行任何U盘上的可执行文件。除非你有它的Hash(这个Hash是非对方电脑上的此文件的Hash,因为你无法保证此文件在对方的电脑上是否已经被感染过了。)

关于可执行的文件后缀曾经在UDisk里对此进行过介绍,这些执行文件包括:*.app *.bat *.cmd *.com *.cpl *.dll *.exe *.hta *.htm *.html *.htt *.inf *.jse *.msi *.msp *.mst *.pif *.prf *.prg *.reg *.scf *.scr *.sct *.shb *.shs *.url *.vbe *.vbs *.vsmacros *.ws *.wsc *.wsf *.wsh

关于Hash,有一款比较方便的工具,HashTab,目前最新的版本是2.08,它集成到Shell Extension,校验速度一流,并且同时支持MD5,SHA和CRC校验,希望有此需求的朋友使用。

如果你能做到以上三点,那么你应该就解决了90%以上的U盘病毒了。至于文档宏病毒之类,我相信你电脑中的杀毒软件应该能检测出来。上网查了下,通过在Word窗口中点击“工具”菜单,选择“宏”→“安全性”菜单项,在弹出的窗口中将其安全性设为“高”,来对非系统签署宏进行防御。

而我的IE8+Office07的环境下,通常会弹出提示:

这是因为默认设置为“阻止并提示”

我们改成“阻止并且不提示”,就可以屏蔽所有宏,并且不会再弹出警告的框框。

U盘告一段落,我们来谈病毒的网络入侵。

一个强壮的管理员和当前用户密码是必要的,关于这点,所有的让你“打造固若金汤的系统”之类的文章中都会告诉你,同时还会让你通过防火墙封杀一些端口,通过管理工具禁止一部分服务(其中便包括server——默认共享的服务)。但是这类服务里面有些虽然危险至极,但却也关键之极,譬如RPC。如果你是个老鸟,你应该记得叱诧风云的冲击波和震荡波。所有还请大家通过网络上的资源集思广益,这里略过服务的配置。

对于此类服务溢出,我们似乎没有太多的办法。(后面将介绍一些HIPS防御办法)

Monyer的建议就是:打开系统“自动升级”,及时打补丁,及时升级系统。(当然,金山的清理专家和360安全卫士也都有这种功能)

我们接下来看IE的溢出,一般都是各种软件的ActiveX插件的漏洞啦。头些日子介绍过天空软件站被挂马,它的马采用的便是此种方式,而当时的防御方式也异乎简单——使用了Maxthon。

Maxthon的安全监控其实相当于HIPS的AD罢。

此外此类的结合还有金山清理专家+IE等。(360有无不知道)

有些自认“大牛”的人可能会不以为然——禁止ActiveX插件不就完了?bullshit!

Monyer的建议是,使用Maxthon或之类有AD防御的插件或软件,譬如HIPS,NIDS。(当然你愿意使用根本不支持ActiveX的FireFox也未尝不可,但同时你可能会失去了支付宝和招行的支持(就目前现状来说))。

堵住了网络跟U盘这两大病毒入侵方式,你的电脑应该会很安全。

下面说一下关于服务溢出的HIPS(主机入侵防御系统)防御方法,仅建议高级用户使用。(至于NIDS,我估计还不用劳它大驾)

目前流行的HIPS有很多,大部分都是免费的,而且每种都有不少人追捧,Tiny、Comodo、DW、SMS、Jet等等,中国比较好的讨论HIPS技术的论坛这里介绍一个:http://bbs.kafan.cn/forumdisplay.php?fid=39

Monyer目前用的HIPS是Comodo,原因是它是基于4D的,FD、RD、AD、ND,即文件系统防御、注册表系统防御、应用系统防御、网络系统防御。其他3D的HIPS一般需要配上防火墙来使用,譬如天网或LooknStop。

杀毒软件的思路是查杀黑名单,其余通过;而HIPS的思路是允许白名单,其余阻止(同时也有黑名单)。这就要求用户对系统应用程序的运行方式了如指掌,对HIPS的设置了如指掌,对某软件是否恶意进行判别,否则你将非常痛苦。譬如Jet,每3、5秒钟一个警告窗口将会让你的心情死掉。但如果有良好的规则,你可能就不会有此困扰。Comodo跟SMS等都有“新手模式”或叫做“学习模式”,来帮初学者摆脱这种困扰。

当然还有一种病毒木马的入侵方式我没有提,就是下载的安装软件。

对此Monyer有几个建议,下载软件一定要到官网,或者天空、华军、俺要下载之类有信誉的站点,然后如果下载的文件是安装包,而且你对此不放心,你可以用UniExtract进行拆包,然后看看里面是否有流氓软件的安装文件并可以直接提取其中的有用数据(这里有很多学问,譬如注册动态链接

相关TAG标签 玩电脑 系统
上一篇:遭遇最新Flash 0day网马
下一篇:面对网络安全威胁 你该如何应对?
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站