电脑安全与病毒防范.DOC_文客久久网wenke99.com

资源描述

1、第 5 章电脑安全与病毒防范5.1 个人电脑安全5.1.1 个人电脑怎样来防御黑客1. 慎用软件因为不管是病毒程序还是黑客程序首先都要骗你在自己的机器上运行它，所以对来历不明的软件不要轻易尝试，并且定期用不同版本的杀毒软件杀毒。检测并清除特洛伊程序一旦被人操纵，上网是会出现很多奇怪的现象，比如突然出现蓝屏然后死机； CD-ROM 莫

2、名其妙地自己弹出；鼠标左右键功能颠倒或者失灵；文件被删除这时你最好查一查你的注册表，看看 HKEY_LO-CAL_MACHINESOFTWAREMicrosoft WindowsCurrenVersionRun（或 RunServices）下面有没有类似 netspy.exe、空格 .exe或其他可疑的文件名，如果有，需要删除用应的键值，再删除相应的程序（不过，如果遇到最新的 BackDoor-G 等，你

3、可能根本不能找到它的藏身之处）。也可以使用一些清除软件，比如 The Cleaner（。保护 E-mail 可将电子邮件内容加密，用加了密码的 zip 文件做附件就是一个很好的办法，当然，也可以使用专用加密软件。使用有过滤功能和远程邮箱管理功能的邮件服务软件，比如 Fox-Mail 3.0。如果想用软件清除，可以选用 Spam Fxterminator（）等。2.

4、安全设置浏览器设置安全级别，关掉 Cookies。 Cookie 是在浏览过程中被有些网站往硬盘写入的一些数据，它们记录下用户的特定信息，因而当用户回到这个页面上时，这些信息（称作状态信息）就可以被重新利用。但是关注 Cookie 的原因不是因为可以重新利用这些信息，而是关心这些被重新利用信息的来源你的硬盘。所以你要格外小心，干

5、脆，关掉这个功能！以 IE5 为例，步骤如下。选择 “工具 ”菜单下的 “Internet 选项 ”，选择其中的 “安全 ”标签，就可以为不同区域的 Web 内容指定安全设置。点击下面的 “自定义级别 ”，可以看到对 Cookies 和 Java 等不安全因素的使用限制。182第 5 章电脑安全与病毒防范53. 隐藏 IP 地址如果经常使用 ICQ，最好在进入 “ICQMenu” “Securi-ty&Privacy”

6、，把 “IP Publishing”下面的 “Do not Publish IP ad-dress”选项上。如果已经遭攻击，用 ICQ Bombsquad 等软件拆除炸弹。5.1.2 个人电脑的网络安全对策1. 端口你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是 TCP/IP 协议，任何网络软件的通讯都基于 TCP/IP 协议。如果把互联网比作公路网，电脑就是路边

7、的房屋，房屋要有门你才可以进出， TCP/IP 协议规定，电脑可以有256 乘以 256 扇门，即从 0 到 65535 号 “门 ”， TCP/IP 协议把它叫作 “端口 ”。当你发电子邮件的时候， E-mail 软件把信件送到了邮件服务器的 25 号端口，当你收信的时候，E-mail 软件是从邮件服务器的 110 号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的

8、80 端口。新安装好的个人电脑打开的端口号是 139 端口，你上网的时候，就是通过这个端口与外界联系的。2. 通过端口进入你的电脑黑客是怎么样进入你的电脑的呢？当然也是基于 TCP/IP 协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过 139 端口进入你的电脑，注意！ Windows 有个缺陷，就算你的共

9、享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了 139 端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑

10、的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做 netspy.exe。如果你不小心运行了 netspy.exe，那么它就会告诉 Windows，以后每次开电脑的时候都要运行它，然后， netspy.exe 又在你的电脑上开了一扇 “门 ”， “门 ”的编号是 7306 端口，如果黑客知道你的 7306 端口是开放的话，就可以用软件偷

11、偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。 Windows 本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。1835第 5 章电脑安全与病毒防范3. 如何发现自己电脑中的木马以 netspy.e

12、xe 为例，现在知道 netspy.exe 打开了电脑的 7306 端口，要想知道自己的电脑是不是中 netspy.exe，只要敲敲 7306 这扇 “门 ”就可以了。你先打开C:Windowswinipcfg.exe 程序，找到自己的 IP 地址（比如你的 IP 地址是 10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http:/10.10.10.10:7306/，如果浏览器告诉你连接不上，说明你的

13、电脑的 7306 端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的 netspy.exe 的版本，那么你的电脑中了 netspy.exe 木马了。这是最简单最直接的办法，但是需要你知道各种木马所开放的端口，已知下列端口是木马开放的： 7306、 7307、 7308、 12345、 12346、 31337、 6680、 8111、 9910。但是就算你熟悉了所有已知木马

14、端口，也还是不能完全防范这些木马的，我们需要进一步查找木马例如知道 netspy.exe 开放的是 7306 端口，于是用工具把它的端口修改了，经过修改的木马开放的是 7777 端口了，你现在再用老办法是找不到 netspy.exe 木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。前面讲了电脑的端口

15、是从 0 到 65535 为止，其中 139 端口是正常的，首先找个端口扫描器，推荐 “代理猎手 ”，你上网以后，找到自己的 IP 地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对 0 到65535 端口扫描，如果除了 139 端口以外还有其他的端口开放，那么很可能是木马造成的。排除了 139 端口以外的端口

16、，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。在硬盘上删除木马。最简单的办法当然是用杀毒软件删除木马了， Netvrv 病毒防护墙可以帮你删除netspy.exe 和 bo.exe 木马，但是不能删除 netbus 木马。netbus 木马的客户端有两种，开放的都是 12345 端口，一种以 Mring.exe 为代表（ 4

17、72,576 字节），一种以 SysEdit.exe 为代表（ 494,592 字节）。Mring.exe 一旦被运行以后， Mring.exe 就告诉 Windows，每次启动就将它运行，Windows 将它放在了注册表中，你可以打开 C:WindowsREGEDIT.EXE 进入：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 找到Mring.exe 然后删除这个健值，你再到 Windows 中找到

18、 Mring.exe 删除。注意了，Mring.exe 可能会被黑客改变名字，字节长度也被改变了，但是在注册表中的位置不会184第 5 章电脑安全与病毒防范5改变，你可以到注册表的这个位置去找。另外，你可以找包含有 “netbus”字符的可执行文件，再看字节的长度， Windows 和其他的一些应用软件没有包含 “netbus”字符的，被你找到的文件多半就是 Mring

19、.exe 的变种。SysEdit.exe 被运行以后，并不加到 Windows 的注册表中，也不会自动挂到其他程序中，于是有人认为这是傻瓜木马，但这是最最可恶、最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的 BO 木马也可以轻而易举地被我们从注册表中删除。而 SysEdit.exe 要是挂在其他的软件中，只要你不

20、碰这个软件， SysEdit.exe 也就不发作，一旦运行了被安装 SysEdit.exe 的程序， SysEdit.exe 也同时启动了。 SysEdit.exe 可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上。有的时候知道自己中了 netbus 木马，特别是 SysEdit.exe，能发现 12345 端口被开放，并且可以用 netbus 客户端软件进入自己的电脑，却不

21、知道木马在什么地方。这时候，你可以检视内存，请打开 C:WindowsDRWATSON.EXE，然后对内存拍照，查看 “高级视图 ”中的 “任务 ”菜单， “程序 ”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看 “路径 ”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe 虽然可以隐藏在其他的程序后面，但是在 C:WindowsDRWATSON.EXE 中

22、还是暴露了。电脑上的木马，来源有两种，一种是不小心，运行了包含有木马的程序，另一种情况是 “网友 ”送给你 “好玩 ”的程序。所以，以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难。5.1.3 菜鸟安全指南不知道在大家上网的同时，有没有注意到自身的安全。要知道在我们学习对抗别人的时候也要学会保护自己，这样才能够知己

23、知彼，战无不胜嘛：这里就向大家介绍介绍个人上网时如何进行自我保护。1. 个人电脑常见的被入侵方式谈到个人上网时的安全，还是先将大家可能会遇到的问题归个类吧。我们遇到的入侵大概包括了以下几种：(1) 被他人盗取密码；(2) 系统中被中木马；(3) 浏览网页时被恶意的 java scrpit 程序攻击；(4) QQ 被攻击或泄漏信息供他人攻击；185

24、5第 5 章电脑安全与病毒防范(5) 病毒感染；(6) 系统存在漏洞使他人攻击自己。以上的入侵方式不一定是单一的，也有可能是几种方式混合进行的，不过大家了解了每种入侵的原理和自我保护的方法后不管是什么混合的入侵，大家就不会坐以待毙了。下面我们就来一个一个的了解吧。2. 网络上的密码我们在网络上漫游的时候会遇到大量输入密码的

25、时候，而密码被盗相信是令大家非常头痛的问题了。而密码被盗在我们遇到的入侵中最多的一种了，其中由于密码过于简单而被盗又占了极大的一部分，超过 80%的安全侵犯都是由于选用了拙劣的口令而导致的。这样，因此 80%的入侵可以通过选择好的口令来阻止。因此我们在设定密码的时候应该遵循以下的几个原则：口令应该包括大小写字母，

26、最好能加上控制符和数字，一起使用以期达到最好的保密效果；口令不要太常规，例如 111、 aaa、 123、用户名称、生日、电话号码、常用单词等等；不要在很多的账户中使用同一个口令；应保守口令秘密并经常改变口令，不要循环使用旧的口令；至少每九十天把所有的口令改变一次，对于那些具有高安全特权的口令更应该经常地改变；应把所

27、有的缺省都从系统中去掉，如果服务器是有某个服务公司建立的，要注意找出类似 GUEST， MANAGER， SERVICE 等的口令并立即改变这些口令；口令不得以明文方式存放在系统中，确保口令以加密的形式写在硬盘上并包含口令的文件是只读的；建立账号锁定机制，一旦同一账号密码校验错误若干次即断开连接并锁定该账号，至一段时间才解锁再次

28、开放使用。除了口令的选择外，我们还要谈到另外一个问题，那就是在公共环境下使用机器时用户名和密码被保存及被窃听的问题。我们在外面的网吧或是在公司的机器上上网时会遇到 IE 提示的是否保存密码，这时我们一定不能选择保存密码，否则的话嘿嘿，等到被别人将密码修改后你就等着哭吧。那么有人问假如我已经不小心保存了怎么办

29、呢？不要紧，我们可以清除掉。点击 IE 浏览器菜单中的工具 /Internet 选项 /内容 /自动完成。186第 5 章电脑安全与病毒防范5看到清除表单和清除密码的按钮没有，那就是了。按下它并将所有的多选框去掉就可以了。那么关于密码监听呢？现在我们就来了解它。在公共环境中的机器时非常不安全的，因为在各种各样的用户中总有那么一些喜欢调皮

30、捣蛋的坏孩子，他们会在机器上放置一些木马的程序。这些程序每次开机时都会自动运行，并且在后台中躲藏着。这些程序监视着你输入的任何信息，特别是类似于密码之类的信息。当你输入密码时，这些程序就会把你所输入的用户名和密码记录下来，保存到某个文件。通常在累计到一定程度后就自动发给预先设置好的邮箱中去，也有的是那个

31、放置它的人自己到这台机器上取回文件。我们如何防止这种情况的发生呢？假如你用的系统是使用的 Win 98，那你可以按下 ctrl+alt+del 察看系统正在执行的程序，你只需保留两个系统进程即可： internat（输入法的进程）、 explorer（系统进程）就可以了。当然，假如你开了其他的程序或窗口就也会出现对应的进程，当你发现有不明的进程时

32、，就坚决的将它关闭吧！当你使用Win 2000 系统时，按下你 ctrl+alt+del 选择任务管理器 /进程，这时看到的进程就很多了，但是这就不能像在 Win 98 下那样只删得剩 internat 和 explorer 了，你必须清楚的知道那些是正常的进程才行。可是又有人会问，现在很多这种程序会将自己隐藏起来啊，那该怎么办呢？有办法！我们可以打开 Win 98

33、下的 msconfig 程序，选择开始菜单中的运行，输入 msconfig 就可以打开这个程序了。看到里面的各种自动启动的文件了吗？把那些可疑的程序全都删除再重新启动，这时就可以了。在 Win 2000 下的呢，那就用注册表编辑器搞定它吧。打开开始菜单中的运行，输入 regedit，就可以打开 Windows 自带的注册表编辑器了，这个编辑器在 Win 98 下面

34、也有，可惜没有 msconfig 好用，麻烦一点点。打开HKEY_LOCAL_MACHINE/HKEY_LOCAL_MACHINESOFTWARE/HKEY_LOCAL_ MACHINESOFTWAREMicrosoft/HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows/HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion/HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 和其他的一些关

35、于 run 的下面可以看到自启动的程序，将那些不需要的程序删掉就 ok 了。4. 木马入侵的防护办法木马实际上就是一个网络通讯的程序，它分为客户端和控制端。客户端执行后会把自己的名字加入到启动的程序中，对某个特定的端口进行监听。控制端的程序将入侵者的命令发到这个端口，客户端的程序接受的相应的命令后将控制端需要的信息传

36、回给控制端，或者在客户端进行控制文件，执行程序等动作。1875第 5 章电脑安全与病毒防范如何防范木马程序驻留在你的机器上呢？首先我们要从根本上来解决它，不要执行来历不明的程序！有很多人在网络上的安全意识极其淡薄，这也就为木马的传播创造了条件，假如大家都非常小心的话，相信木马的流行会非常的困难了。假如你已经中了木马

37、，不要紧，去掉它自启动的方法和上面讲到的密码监听是一样的。毕竟密码监听本来就是木马中常带的功能嘛。另外我们还可以安装杀毒软件，虽然木马实际上并不是一种标准意义上的病毒，但是现在的杀毒软件生产厂家基本上都提供了查杀木马的功能。所以安装一个较好的杀毒软件应该可以应付很多流行的木马了。最后向大家推荐一种底层上

38、防范木马的办法，安装一个个人防火墙。防火墙实际上也是一个程序，它对所有发送到本机的信息都会进行检查，如何处理这些信息呢？这里就要看怎么设置的了，可以只打开几个需要开放的端口，其他的端口全部都关闭，当防火墙接受到从其他端口发过来的信息包时，就会将其全部抛离，这样的话我刚刚谈到的木马控制端的程序发过来的控制

39、信息当然也就被当作垃圾扔掉了。除此之外，防火墙还可以屏蔽掉其他的恶意信息，比如利用系统漏洞进行的攻击等。对于初学者，装个天网防火墙就可以了。天网防火墙的配置较为简单，初始的配置就足以应付很多攻击了。要是想获得更多的信息，那就装个 lockdown。 LockDown 2000 软件，堵住了 Windows 95/98/NT 中新发现的安全漏洞，能

40、防止网络炸弹的攻击，能清除目前几乎所有的特洛伊木马程序，能自动启动、自动监测、自动阻止黑客进入、自动追踪黑客 IP 地址和 ISP域名，并提供了根据该域名，查找其 ISP 联络信息的工具，这样，被攻击者就知道到哪里投诉，甚至起诉入侵者，使黑客受到应有惩罚。即使你允许某些人进入你的电脑，与你共享文件， LockDown 2000 也会全

41、程记录他们的活动，比如，某人是什么时候来的、他的 IP 地址是什么、他在你的电脑里面做了些什么等等。既然是一个防火墙程序，而且能自动监视网络通信端口，自动记录登录到您的计算机上的远程计算机的 IP 地址、登录时间、登录状态等信息，同时还可以限制登录和强行断开登录等功能。5. 恶意的 java scrpit 程序或 html 语句大家在上

42、网的时候遇到过不停弹出对话框的情况过吗？这就是 java scrpit 干的坏事了。只要在网页中加入下面的内容就可以了，大家可以试试。再看看这个页面：188第 5 章电脑安全与病毒防范5bomb一看就蓝屏。防范办法：在 IE 中点击 “工具 ” “Internet 选项 ” “安全 ” “自定义安全级别 ”，将所有的 java 功能禁用，将 ActiveX 相关选项全部都禁用。在 “自

43、定义安全级别 ”中有关文件下载的选项都禁止。6. QQ 的自我保护在上网聊天的同时不可避免的带给我们一个 QQ 的安全问题。最近出现了一种恶意盗取密码的方式，发给你一个号码，并恭喜我说成为幸运用户，被选中赠送一个好号码。当你信以为真，将这个号码的密码改成你的常用密码（请注意，这就是多个账户使用同一密码的毛病），过一会儿

44、你会发现你改过的密码又被改了，原来别人申请了密码保护，你如果使用的是常用密码，你的邮箱、 QQ 号以及其他一些账户可就惨了。希望大家今后别在上这种当了。我们上 QQ 的同时也向外界暴露了自己的位置，入侵者就可以发动攻击了。如何隐藏自己的 IP 呢？有一些可以在网上搜索代理服务器的软件，大家可以去下一个，在上QQ 时找到一

45、个可用的服务器，这时对方看到的 IP 实际上只不过是代理服务器的 IP。7. 防范病毒的入侵对于病毒相信大家都是吃过亏的。那我们该怎么对付它呢？这在世界范围内都是一个问题，每年因为病毒造成的损失简直不可估量。我们现在只有靠杀毒软件来解决了，毕竟不可能每个人都用手工来杀吧。在现在的杀毒软件使用者中存在着很多这样的人，把

46、软件一装就什么都不管了，好一点的还定时杀毒。可是世界上每天产生的病毒太多了，大概每天就会有 15 种新的病毒诞生。而杀毒软件怎么能做到包治百病呢，因此我们一定要注意随时更新病毒数据库。现在有某些防毒软件的开发者提出一种杀毒的新思路，把杀毒程序做成可以自我复1895第 5 章电脑安全与病毒防范制的病毒形式在网络上传播，

47、以毒攻毒。8. 邮件炸弹不知道大家被邮件炸弹炸过没有。如果是免费邮箱还好，要是收费邮箱的话可就损失惨重了。不过现在大部分软件都提供了邮件过滤的功能，只要我们设置好需要过滤的邮件就可以躲过大部分的邮件炸弹了。9. 系统漏洞产生的隐患对于微软的系统的种种漏洞想必大家都已经见怪不怪了。而我们现在用的系统不是微软的大概不

48、多吧。著名的炸弹 winnuke 就是利用的操作系统漏洞，假如你的系统没有升级的话可就玩完了。所以我们只有不停地打补丁。5.2 病毒防范5.2.1 CIH 病毒1. CIH 病毒简介(1) 类型：驻留型计算机病毒 (2) 特征：该计算机病毒属于 W32 家族，感染 Windows 95/98 中以 EXE 为后缀的可行性文件。它具有极大的破坏性，可以重写 BIOS 使之无用 (只要

49、计算机的微处理器是 Pentium Intel 430TX)，其后果是使用户的计算机无法启动，惟一的解决方法是替换系统原有的芯片（ chip），该计算机病毒于 4 月 26 日发作，它还会破坏计算机硬盘中的所有信息。该计算机病毒不会影响 MS/DOS、 Windows 3.x 和 Windows NT 操作系统。(3) 传播途径： CIH 可利用所有可能的途径进行传播：软盘、 CD-ROM、 Internet、 FTP 下载、电子邮件等。只有当执行受感染的文件时计算机病毒才会发作，否则计算机病毒将永远处于潜伏状态。(4) 症状：计算机病毒可能隐藏在任何以 EXE 为扩展名的可执

展开阅读全文