萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 菜鳥QQ安全防患絕招之一 餓死木馬

菜鳥QQ安全防患絕招之一 餓死木馬

  MM的QQ密碼又被盜了,朋友一百萬兩銀子又被竊了……面對防不勝防的木馬,作為普通用戶而言,如何防范、如何應對、如何將損失降在最低呢?當然,首先最要緊的是扎緊籬笆——及時為操作系統打上補丁;拒木馬於千裡之外——不隨便下載和運行不明來源的程序,這些在前幾期的文章中已有詳述。我們今天談一下,如果第一道防線被攻破,木馬已經進駐電腦,那麼應該如何識別,並且不讓它得逞呢?

  一、不給權限,餓死木馬

  在Windows 2000/XP/2003等系統中,用戶可以加入Administrators、Power Users、Users等不同權限的組,分別具有不同級別的操作權限。如果你平時也就上上網看看新聞,打打游戲聊聊天,編寫文字處理幾張圖片,而不需要頻繁地裝卸軟件,那麼不妨藏起管理員,使用一個低權限的用戶賬戶。

  通過“控制面板→用戶賬戶”,創建一個新的用戶,然後安裝常用的軟件之後,將其加入到受限用戶(Users)組。受限用戶能夠正常運行大部分的程序,但是無法對系統的心髒——系統目錄和注冊表進行寫操作。該操作需要一個前提條件,即C盤應采用NTFS格式。

  木馬以及其他惡意軟件有個特殊的愛好:往往喜歡藏身於系統目錄,並且修改注冊表以達到自動加載的目的。而采用這個辦法,很大程度上限制了木馬的滲透。即使木馬已進入硬盤,也不會有權限進行相應的操作,有效地降低了木馬的破壞力,事後在滅殺木馬過程中也不至於破壞系統。

  但是有的軟件需要管理員權限賬戶才可以正常運行,或者有時候我們需要安裝一些軟件,目前賬戶權限不夠,怎麼辦?切換用戶太麻煩,而且也容易因此給木馬可乘之機。那麼,用下面的辦法實現吧!

  右鍵點擊程序,選擇“運行方式”,彈出窗口,然後選擇合適的賬戶並輸入相應密碼即可。這樣軟件就可以其他賬戶的方式運行,而與當前賬戶無關。雖然比起直接管理員賬戶登錄操作麻煩了點,但是安全上得到了保障,還是值得的。

  小提示

  有時候一些常用軟件必須以管理員權限運行,如果每次都這麼選擇未免太麻煩,小程序RunAs可以解決這個問題。

二、勤查戶口,不速客out

  賬戶信息安全之重要性,自然不言而喻。黑客入侵,往往會偷偷在你的系統中建立一個賬戶,或者把普通賬戶提升權限,以達到幕後操縱之目的,而這個往往是普通用戶容易忽略的問題,所以大家要養成一個勤查戶口的習慣。

  打開“管理工具→計算機管理→本地用戶和組”,這裡枚舉了當前的所有賬戶信息。要看看是不是多了不認識的名字,或者誰偷偷地升級了,這些都需要引起重視。比如臭名昭著的lovgate病毒就會在感染電腦上建立一個名為“lee”的賬戶。

  但是,有時候突然多出一個不速之客也未必就是“中標”了,比如在安裝Microsoft .Net Framework後,系統會自動建立一個ASP.NET賬戶,這是正常的,大可不必為之擔心。

  另外,還要對現有賬戶做好安全工作。如果沒有必要,可以不啟用Guest賬戶;同時應對內置的管理員賬戶Administrator加上密碼,並且“改頭換面”,防止入侵者惡意窮舉:通過“管理工具→本地安全策略→本地策略→安全選項→賬戶”對系統管理員賬戶進行重命名操作,,將Administrator修改為一個別人不容易猜測到的名字。


三、關緊城門,出入查證

  木馬也好,其他惡意程序也好,如果不能和釋放者保持聯系,也就失去了威力。所以城門就是我們的最後一道防線。

  首先是關閉一些危險的端口。打開“管理工具→本地安全策略→IP 安全策略,在本地計算機”,在右側窗格中右擊鼠標並選擇“創建 IP 安全策略”命令,然後根據向導一步一步設置,分別添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。關閉了這些端口,可以避免入侵者通過這些通道秘密潛入。

  其次,安裝一款合適的防火牆。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比較強大。如果嫌這些設置比較復雜,也可以選擇天網、金山毒霸網絡個人防火牆、瑞星個人防火牆等。它們就像把門者,每一個進出者都會被檢查是否有“良民證”:如果確認可靠的就直接放行,如果陌生人想偷偷挾帶情報出逃,對不起,攔下。

  四、明察秋毫,逮住“馬跡”

  感染木馬或其他惡意程序後,系統不可避免地會出現一些特殊征兆,如果及早發現並及時處理,可以將損失降到最低點。下面的這些“馬跡”千萬不要放過。

  1、密碼被改,金幣被偷。雖然損失已經造成,但是亡羊補牢,至少避免更多損失。

  2、殺軟被關閉。很多木馬會自動關閉殺毒軟件,如果發現殺軟防火牆被退出,而且無法啟動,絕對不能忽視,排除系統或者殺軟本身的問題,很有可能就是被木馬或病毒先下手為強了。

  3、一閃而過的窗口。打開記事本,或其他軟件的時候,會有隱約的窗口一閃而過,這很有可能就是木馬或病毒已經寄生在正常程序上了。

  4、奇怪的進程。經常用Ctrl Alt Del鍵調出任務管理器進行查看。首先你要熟悉系統的正常進程,如果有陌生進程出現,那就將它一查到底。

  5、魚目混珠的文件名或錯位的程序。有些木馬會偽造和正常程序相似的名字,比如“svch0st”等;有些則索性冒名,不過路徑不同,比如出現在Windows目錄下的“rundll32.exe”(正常應該在windows\system32和windows\system32\dllcache下)。

  6、自作多情的啟動項目。經常使用“msconfig”查看啟動項目,如果有不經允許就擅自加載的,不妨查查其身份。

  7、綁架浏覽器。使用hijackthis輔助,把這些綁匪統統請出系統去。

  8、運行“netstat”,查看當前網絡的連接情況,是否有偷偷向外報信者。

copyright © 萬盛學電腦網 all rights reserved