1.NTFS分区格式可以增强系统安全性能
NTFS就是为了提高安全性而诞生的,当你安装Windows NT的时候,你有二种选择组织和存储你的文件:NTFS(NT文件系统)或者FAT(文件分配表)。为要共享的目录和文件选择和配置NTFS格式是一个好的选择。
要保护文件夹和文件,使用Windows NT资源管理器或者点击桌面的“我的电脑”,选择指定的文件后使用右键菜单,选择弹出菜单的“属性”,你可以看见三个安全标签:权限、审核和所有者。权限选项允许你设置哪些用户组对这些文件或者文件夹有什么样的存取级别,你可以看见各种存取选项,从全部存取到不可存取。你也可以设置该安全级别是否应用于为该文件夹下的所有文件和子文件夹,为你需要跟踪的用户选择用户组和文件夹和文件。
所有者选项让你选择文件和文件夹的所有者。在默认情况下,如果你创建一个文件夹或者文件的时候已经有了所有者,而且你也已经拥有了编辑权限。
2.常用的黑客后门程序
这些后门程序有一个别称“特洛伊木马”.所有的后门程序里面最著名的要算是俗称“BO”的号称突破微软安全限制的黑客程序,它的Trojan是Boserve.exe,使用的端口是31337。运行后会自动删除自身,然后在Windows/System下加入一个 .exe的程序(注意是文件名是空格,在DOS下是EXEC~1.exe),大小为122KB,而且这个程序没有图标。
近来BO还有一个新型的Trojan,它隐藏在一个用锤子打小熊的游戏当中,当你运行游戏时就会自动运行这个程序。这个Trojan程序更名成Sys.exe,使用的端口为31666。在注册表中的位置是/HKEY_LOCAL_MACHINE/SOFTWARE/ microsoft/ Windows/CurrentVer-sion/RunServices,子键为默认( .exe)。
网络精灵是国人自制的程序。它的Trojan是Netspy.exe,大小136KB,运行后的文件为Windows/System下的netspy.exe。在注册表中的位置是/HKEY_LOCAL_MACHINE/SOFTWARE/ microsoft/Windows/CurrentVersion/Run的同名子键。其插件的Trojan是ProcSpy(29KB)和xspy(118KB)。它的特殊功能是能在目标机器上显示信息并且执行各种已注册类型的文件以及察看和关闭目标机器的进程。这两种是目前网上比较流行的木马程序。
3.单机病毒防范
考虑到黑客程序的危害性,我们不妨把黑客程序也归于电脑病毒类,如果按传播方式划分,可以把病毒分为单机病毒和网络病毒。单机病毒就是以前的DOS病毒、Windows病毒和能在多操作系统下运行的宏病毒。
DOS病毒是在MS-DOS及其兼容操作系统上编写的病毒程序,例如以前著名的“黑色星期五”、“DIR”等病毒,它们运行在DOS平台上,由于Win3.x/Win9x依然采用或含有DOS内核,所以这类病毒仍然能够攻击Windows系统,在Windows平台上发作,感染硬盘上的文件。
Windows病毒是在Win3.x/Win9x上编写的纯32位病毒程序,例如4月26号危害全球的CIH病毒等,这类病毒运行于Windows平台,发作时破坏硬盘引导区、感染系统文件和可执行文件、破坏用户资料,甚至擦除主板BIOS,造成主板损坏。众所周知,DOS和Win3.x/Win9x上的病毒数量惊人,而Windows NT上的病毒就要少得多。
宏病毒是利用Office特有的“宏(Macro)”编写的病毒,它专门攻击微软Office系列Word和Excel文件。这种病毒不仅能运行在Windows环境,还能运行在OS/2或MAC OS上的微软Office软件中,因为Office软件有For Windows、For OS/2或For MAC OS的多种版本,而所有版本中“宏”的定义都相同,所以只要在这些操作系统上打开Office文档,宏病毒就开始发作,感染其他Office文档、改变文件属性,甚至删除文件,例如“七月杀手”宏病毒,会在七月的任一天发作,发作时弹出“醒世恒言”对话框,要求用户选择“确定”或“取消”,如果按了“取消”,就会在autoexec.bat中增加一条删除C盘的命令,重新开机时,就会删除C盘上的全部数据。
要防范单机病毒,首先应该考虑到每种杀毒产品都有其局限性,所以最好准备几套杀毒软件,用它们来交叉杀毒,杀毒软件还要及时升级;定期用杀毒软件检查硬盘,如果用的是Win9x(CIH病毒对Windows NT和Windows 2000不起作用),每月的26号前一定要检查是否有CIH病毒,或者将系统日期跳过26号;在系统中最好安装病毒实时监控软件(一般杀毒软件都带); 所有准备上机的光盘和软盘都要先进行查毒才可使用;用Ghost软件将系统分区备份成一个文件,存放在其他分区上,一旦系统被病毒破坏,几分钟就可恢复,但备份前一定要对硬盘杀毒;最好将硬盘分成多个逻辑盘,例如C、D、E,每个盘最好是FAT32格式,把C盘作为系统盘,容量当然要设大些,C盘最好是FAT32格式,容量应大于2G,这样设置的好处是,有利于提高系统运行速度,此外如果C盘被CIH病毒破坏了,只要它是FAT32格式,且容量大于2G,用一般杀毒软件就可以将C盘上的数据恢复98%。CIH病毒至少有9个变种,其中V1.2和V1.3在4月26号发作,V1.4在每月的26号发作,还有的版本发作日期在6月26号。
4.对Foxmail、ICQ、QQ加密
首先来看看Foxmail,FoxMail是我们收发信件最常用的工具,而这里边也许就包含着你我的工作秘密,而且还有一些私人秘密,所以FoxMail的加密也显得非常重要了。FoxMail的加密非常简单,在需要加密的帐户上点击鼠标右键,选择“访问口令”,在弹出的窗口中选择要设置的密码就可以了
至于ICQ是和朋友交流的地方,当然有许多秘密了,特别是和女网友的秘密谈话,这些自然都不希望别人知道乐。点击ICQ左下角的“ICQ”图标,选择“preferences & Security”下的“Security & Privacy”,在弹出的窗口新设置一个密码,然后将“Save Password”前面的勾去掉,并将“Security Level”设置为High ,这下,使用ICQ和查看ICQ消息之前必须输入设置的密码,从此你的ICQ有了安全保障。
和ICQ一样,我们不希望聊天的信息被别人窥探,所以就要设置QQ密码。点击QQ左下角的“QQ2000”图标,选择“个人设定”命令,在弹出的窗口中切换到“安全设置”部分,在里边添加新的密码即可。然后使用相同的方法,点击QQ左下角的“QQ2000”图标,选择“系统参数”命令, 然后将“不出现登录提示框”前面的勾去掉。我们就完全地为QQ加了密。
5.检测我们的系统里面存在木马程序
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始→运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。 第一步我们可以查看system.ini文件,选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是这样,就可能中了木马了。
第二步就是查看win.ini文件,选中win.ini标签,展开[Windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空。
第三步就是查看启动组,看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,极有可能就是木马了。
我们一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都屏蔽掉了。只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现,自是一目了然。
第四步就是查看注册表,由“开始→运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:“HKEY-LOCAL-MACHINE/Software/ Microsoft/ Windows/CurrentVersion/Run”目录下,查看键值中有没有自己不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run”下加入Explorer=“C:/Windows/expiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别!
然后我们通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE/Software /Microsoft/Windows/CurrentVersion/RunOnce
HKEY-LOCAL-MACHINE/Software/ Microsoft/Windows/CurrentVersion/RunOnceEx
HKEY-LOCAL-MACHINE/Software/ Microsoft/Windows/CurrentVersion/RunServices
HKEY-LOCAL-MACHINE/Software/ Microsoft/Windows/CurrentVersion/RunServicesOnce
如果操作系统是Windows NT/2000,还得注意HKEY-LOCAL-MACHINE/Software/ SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER/Software/Microsoft/ Windows/CurrentVersion/Run、HKEY-USERS/****/Software/Microsoft/Windows/Current Version/Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINE/Software/ Microsoft/Windows/ CurrentVersion/Run或其他主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,你会发现注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的,这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
6.鼠标乱动不听指挥,是否中了病毒
现象:鼠标有时胡乱乱动,不听指挥。这是一种NIMDA病毒。解决方案如下:
(1) 检查临时文件夹是否存在MEPXXXX. tmp 和MEPXXXX.tmp.exe文件,XXXX是由字幕和数字随机组成的字符串。
(2) 检查C:/,D:/,E:/是否存在httpodbc.dll文件。
(3) 是否带宽被严重占用。
(4) 在Windows 9x/ME系统中,/Windows/ system目录下是否存在LOAD.exe文件。
(5) 在Windows NT/2K系统中,/Windows/ System目录下是否存在CSRSS.exe隐藏文件。
建议你下载Symantec和Trendmicro的查杀Nimda_E病毒工具进行检测和清除。http://support.marsec.net/focus/nimda_e/FxNimdaE.com
http://support.marsec.net/focus/nimda/trend_nimda.zip
查杀步骤:
(1)在http://support.marsec.net/focus/nimda_e/FxNimdaE.com下载FxNimdaE.com,存放在系统里。
(2)停掉系统所有正在运行的程序。如果你的系统是Windows Me,你必须停掉Windows Me的系统恢复功能,因为病毒有可能被自动保存在备份目录里。双击运行FxNimdaE. com,运行此程序需要你以系统管理员帐号登录,在操作前停掉IIS服务或者拔离网线,以免在清除过程中再次感染。然后点击Start键运行程序直到报告说系统已经清除掉病毒。
7.清除冰河
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。
一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
要清除冰河,首先要删除C:/Windows/system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE/ software/ microsoft/ Windows/CurrentVersion/Run分支下扎根,键值为C:/Windows/system/Kernel32. exe,删除它。在注册表的HKEY_LOCAL_ MACHINE/ software/microsoft/Windows/Current Version/Runservices分支下,还有键值为C:/Windows/system/ Kernel32.exe的,也要删除。
最后,恢复注册表中的TXT文件关联功能,只要将注册表的HKEY_CLASSES_ROOT/txtfile/ shell/open/command下的默认值,由中木马后的C:/Windows/system/ Sysexplr.exe %1改为正常情况下的C:/Windows/ notepad.exe %1即可。
扫一扫
4039
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
