安全普及：关于网络远程控制和木马的几点误区

误区1：远程控制是病毒

确实有一部分病毒和绝大部分木马（注意，病毒和木马是2个不同的概念）能够实现远程控制功能，但是我们通常所说的“网络远程控制”是Windows本身的功能之一，目的是为了进行远程系统维护/诊断。这一功能是默认起动的，也就是说，安装完Windows之后，如果不做设置，则这一功能是默认打开的。而要关闭，也很简单，根本不需要象某些帖子里说的那样，每次都要使用进程管理器关闭，只需要按照如下步骤操作一次，就可以一劳永逸的关闭这一功能（事实上，绝大多数用户都用不上这个功能，所以还是关了好。还可以节省一些系统资源。我Athlon 64 3000+ CPU & 1G内存的机器都是把这个功能关闭掉的）。

步骤：打开控制面板，双击“管理工具”，双击“服务”进入本地服务查看工具，然后就可以看到本机可启用和已启用的所有服务列表。在列表中找到名称分别为“Remote Access Auto Connection Manager”、“Remote Access Connection Manager”和“Remote Desktop Help Session Manager”的项目，右键点击该项目，选“属性”，先点击“停止（T）”按钮，停止该项目，然后把“启动类型（E）”修改为“手动”或者“已禁用”（个人建议，选“手动”比较好），然后点“确定”即可。这样，以后这台机器上就无法使用Windows自身的远程控制功能了（通过木马实现的远程控制，我下面会提到）。

如果希望更彻底一点，还有一些服务也可以关掉，不仅可以节省更多资源，还可以少掉很多麻烦。比如“Remote Registry”（远程修改注册表，最好改成“已禁用”）、“Server”（除非象我一样家里有3、4台机器组网，否则没必要打开，改成“手动”即可）、“Telnet”（没几个人还会用Telnet指令了吧？“手动”即可）、“Netmeeting Remote Desktop Sharing”（有几个人用网络会议的？“手动”即可）、“Net Logon”（家里没局域网的话，也没必要打开。“手动”即可）、“Messenger”（有没有收到过那种突然象系统提示信息一样跳出来，必须按下面的确定键才能关闭的小的广告窗口？如果对这种窗口很厌烦的话，把这一项改成“已禁用”，以后就不会收到了。另外，这个服务与MSN Messenger或者QQ什么的没有任何关系，所以停止这个服务以后不会影响到MSN、QQ、ICQ的使用。）、“Computer Browser”（还是那句话，家里没局网的话，改成“手动”即可）。

方法二步骤：如果对电脑不是很熟悉的话，可以用下面的方法关闭远程控制功能。右键点“我的电脑”→选“属性”→选“远程”→去掉“远程协助”和“远程桌面”前面的钩→点“确定”。

误区2：使用杀毒软件或防火墙软件防木马。

这是个具有很强隐蔽性的错误认识！我再强调一次：病毒和木马是两种完全不同的概念。虽然现在很多防火墙都能够防范若干种类的木马，但是防火墙软件的主要针对目标是病毒而不是木马。

而杀毒软件和防火墙软件，也是2种完全不同种类的软件——虽然现在的防火墙软件都集成了杀毒软件。打个比方，防火墙软件相当于防狼的围墙，而杀毒软件则是对付墙内的大灰狼的猎枪。

对付木马软件，要么选择专门的木马查杀软件，要么用端口监视/通信监听软件。这样的软件也比较多。我就只介绍一下我常用的软件好了（当然也就是我个人用了感觉比较好的）。

木马查杀：推荐使用《Spybot - Search & Destroy》。这个软件不仅可以查杀目前几乎所有的木马，而且连广告软件都能清除掉，还可以直接给3000来种（会随着升级而增加）有害或者广告软件免疫。另外，对于高手，他有自定义模式，对于菜鸟，他有一键定乾坤的傻瓜模式。大小只有20多M，最好的是，他是个免费软件，而且又有中文版。可谓“价格便宜量又足”，值得一用。下载好以后，先升级，然后用他检测一下机器，再做下免疫，之后每个月把他升级一下，再用他检测一下，可以省不少事情。

端口监视/通信监听：如果机器比较好（就是说内存在384M或者更高），推荐用《诺顿网络特警》，英文名称是《Norton Internet Security》（简称NIS）。在安装好之后，这个软件会先搜索一次你的硬盘，把里面所有具有网络通信功能的文件都列出来，然后你可以选择是否允许这个文件向外发送信息。并且，对于每个文件，都会给你建议，建议你是否允许这个文件与网络进行通信。而在使用中，只要有任何一个软件试图向网络上发送信息，或者是有任何一台机器试图向你的机器发送信息，他都会提醒你。比如说，你打开IE，那么他就会提醒你，IE试图与网络进行联系，问你是否允许，因为IE是浏览器，所以同时会告诉你，这个是已知的软件，危险性很低，建议你允许这个软件进行通信。你确定之后，他就会记住，下次再打开IE的时候，就不会再问你了。但是比如说，有木马软件试图通信，而他检测出这个是已知的木马软件，他就会直接拦截掉，然后告诉你拦截掉了木马的通信，而如果是他不知道的种类的木马，他会问你是否要拦截，并且告诉你这个是不知名的软件，危险性很高。而如果你的IE被病毒修改掉了，IE的起动文件被修改成了带有病毒的起动文件，那么在起动IE的时候，他会与以前记忆住的做对比，发现起动文件与以往的不一致，就会重新问你是否允许IE进行通信。而你制定的通信规则（就是允许哪些软件与网络进行通信，不允许哪些软件通信），可以在选项里查看和修改。

另外，当有外部的机器试图访问你的机器的时候，NIS也会进行检测，如果发现与木马库中的木马访问特征相符，就会自动禁止那台机器访问你的机器半个小时，并且告诉你有机器试图攻击你。还会告诉你攻击者的IP，并且，你可以利用NIS自带的追踪功能查到那台机器所在的大致方位（其实也就是IP检索功能而已，可以查到市级）。

不过NIS占用的资源略多一些，需要占用大约35到40M的内存。所以如果是小于384M内存的机器，不推荐使用（其实现在内存也便宜，512M的DDR400内存条也不到400块，内存不到512M的，还是给自己的机器升个级吧。运行XP本身就要求256M内存，加上各种软件，512M比较合理。只有256M内存的话，才只是刚能让XP跑流畅而已，运行的软件稍微多点，速度就低下来了。决定电脑整体性能的，不是性能最高的那个部件，而是全系统中性能最低的那个部件。1.5G以上的CPU配低于512M的内存，纯粹是大马配小鞍，CPU是无法发挥全部性能的——而且是CPU频率越高，性能浪费越厉害。）。

如果内存容量小于384M，推荐使用《卡巴斯基反黑客》。请注意，卡巴斯基包括两套软件，一套是《卡巴斯基反病毒》，是专门针对病毒的杀毒软件+病毒防火墙，还有一套是《卡巴斯基反黑客》，是专门针对木马和各种来自网络的攻击的。《卡巴斯基反黑客》的基本原理和NIS差不多。不过占用内存相对比较小一些，大约在5到10M的样子，比较适合于机器不太好的人。效果还可以，不过就是有个小毛病，有些软件不知道是不是开发商和卡巴斯基的开发商有过节，他们的软件在安装过卡巴斯基的机器上是无法安装的，就算安装了也无法使用。比如阿里巴巴的那个叫做“贸易通”的通信软件，在安装过《卡巴斯基反黑客》的机器上，会不断跳出要求确认是否允许贸易通进行通信的对话框，不管选什么都没用。

我自己的机器，自己平时用的机器（Athlon64 3000+ & 1G内存）、笔记本（迅驰Ⅱ1.73G & 1G内存）还有给朋友用的机器（Athlon XP 2500+ & 512M内存）是装的《NIS2005》+《Norton Antivirus 2005》，还有一台用于BT下载的机器（AMD移动版雷鸟1.2G & 320M内存（128+128+64））是装的《卡巴斯基反病毒》+《卡巴斯基反黑客》。另外，所有的机器都安装了《Spybot》，每个月都用《Spybot》扫描一次，并且对新增加的免疫内容做一次免疫。整体来说，无论是系统速度还是反病毒、反攻击能力都比较满意。大家可以把自己的机器配置和我的机器配置对比一下，然后选择相应的软件组合。