★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

[技术] 菜鸟QQ安全防患绝招之一 饿死木马

[复制链接]
发表于 2008-3-12 13:30:35 | 显示全部楼层 |阅读模式
MM的QQ密码又被盗了,朋友一百万两银子又被窃了……面对防不胜防的木马,作为普通用户而言,如何防范、如何应对、如何将损失降在最低呢?当然,首先最要紧的是扎紧篱笆——及时为操作系统打上补丁;拒木马于千里之外——不随便下载和运行不明来源的程序,这些在前几期的文章中已有详述。我们今天谈一下,如果第一道防线被攻破,木马已经进驻电脑,那么应该如何识别,并且不让它得逞呢? 4 x1 b# M2 b; |  u3 }9 x
  一、不给权限,饿死木马7 K! Y$ N% T- z
2 h  ?/ l; N7 u6 \+ b
  在Windows 2000/XP/2003等系统中,用户可以加入Administrators、Power Users、Users等不同权限的组,分别具有不同级别的操作权限。如果你平时也就上上网看看新闻,打打游戏聊聊天,编写文字处理几张图片,而不需要频繁地装卸软件,那么不妨藏起管理员,使用一个低权限的用户账户。( L% c4 h& [- H- h

! A7 s1 a4 ?# F5 i2 ]& t  通过“控制面板→用户账户”,创建一个新的用户,然后安装常用的软件之后,将其加入到受限用户(Users)组。受限用户能够正常运行大部分的程序,但是无法对系统的心脏——系统目录和注册表进行写操作。该操作需要一个前提条件,即C盘应采用NTFS格式。+ B: Y6 r' ~- c4 t' R% B
% d4 Z& |7 U! x2 Y' [: E
  木马以及其他恶意软件有个特殊的爱好:往往喜欢藏身于系统目录,并且修改注册表以达到自动加载的目的。而采用这个办法,很大程度上限制了木马的渗透。即使木马已进入硬盘,也不会有权限进行相应的操作,有效地降低了木马的破坏力,事后在灭杀木马过程中也不至于破坏系统。: d6 r, Q5 k' p
$ E% O8 x5 Z- X! Z3 x# `) m
  但是有的软件需要管理员权限账户才可以正常运行,或者有时候我们需要安装一些软件,目前账户权限不够,怎么办?切换用户太麻烦,而且也容易因此给木马可乘之机。那么,用下面的办法实现吧!2 T; e0 R+ ?) ]/ S! f3 v$ Z
8 U, j4 R7 H1 N3 @. J8 V( F
  右键点击程序,选择“运行方式”,弹出窗口,然后选择合适的账户并输入相应密码即可。这样软件就可以其他账户的方式运行,而与当前账户无关。虽然比起直接管理员账户登录操作麻烦了点,但是安全上得到了保障,还是值得的。; O* X) |: y9 N9 [! N

, L+ h, S0 z. r) |1 u  小提示, L1 B- r# M$ d

# C4 a# x9 N! Q$ e- X1 x  有时候一些常用软件必须以管理员权限运行,如果每次都这么选择未免太麻烦,小程序RunAs可以解决这个问题。0 ]9 w" J& u' t( m' R
. }9 Y, ^7 }. w9 _7 A. ~
二、勤查户口,不速客out
" _0 |% R! n% C; h7 h3 o2 G
. Q9 @1 u: b" a7 n1 L0 r
4 q# m) ^5 ~- l7 k8 x. I6 f: m3 h
  账户信息安全之重要性,自然不言而喻。黑客入侵,往往会偷偷在你的系统中建立一个账户,或者把普通账户提升权限,以达到幕后操纵之目的,而这个往往是普通用户容易忽略的问题,所以大家要养成一个勤查户口的习惯。: \( x8 I  E- q) V# ^: t
7 t# }: _- u' P: ]2 Z
  打开“管理工具→计算机管理→本地用户和组”,这里枚举了当前的所有账户信息。要看看是不是多了不认识的名字,或者谁偷偷地升级了,这些都需要引起重视。比如臭名昭著的lovgate病毒就会在感染电脑上建立一个名为“lee”的账户。
, E' p( T) B  @9 R! s7 N) m2 k' P2 P$ L  G+ ^/ K8 F7 n1 t
  但是,有时候突然多出一个不速之客也未必就是“中标”了,比如在安装Microsoft .Net Framework后,系统会自动建立一个ASP.NET账户,这是正常的,大可不必为之担心。
! f5 g8 ]* d% X2 G3 t+ I% J7 V/ [  H/ h. k0 o
  另外,还要对现有账户做好安全工作。如果没有必要,可以不启用Guest账户;同时应对内置的管理员账户Administrator加上密码,并且“改头换面”,防止入侵者恶意穷举:通过“管理工具→本地安全策略→本地策略→安全选项→账户”对系统管理员账户进行重命名操作,将Administrator修改为一个别人不容易猜测到的名字。% z% q* Y7 b/ w6 D' m9 _4 W

; _3 q! U, {" x, R# a三、关紧城门,出入查证 / m1 h; Y/ q/ V( n% ]/ ~
/ {9 v, S5 t: x5 _* G5 t) I3 w/ u

" g. w' p4 ^3 d. l  木马也好,其他恶意程序也好,如果不能和释放者保持联系,也就失去了威力。所以城门就是我们的最后一道防线。
8 C; W" v- `3 w  @5 t# \
; g8 V4 s+ g; O9 b  首先是关闭一些危险的端口。打开“管理工具→本地安全策略→IP 安全策略,在本地计算机”,在右侧窗格中右击鼠标并选择“创建 IP 安全策略”命令,然后根据向导一步一步设置,分别添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。关闭了这些端口,可以避免入侵者通过这些通道秘密潜入。5 ~$ `% |8 {1 g; i

" M2 }5 F: M! ^9 _# \* N' e  其次,安装一款合适的防火墙。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比较强大。如果嫌这些设置比较复杂,也可以选择天网、金山毒霸网络个人防火墙、瑞星个人防火墙等。它们就像把门者,每一个进出者都会被检查是否有“良民证”:如果确认可靠的就直接放行,如果陌生人想偷偷挟带情报出逃,对不起,拦下。
. [( i: e, Z6 t3 I9 s8 |+ W5 C- S2 R. s+ N9 T: q
  四、明察秋毫,逮住“马迹”
( ~1 K8 B, Y6 o7 _1 J+ Y5 N1 Q9 \0 I: L/ e  J1 I8 Q
* T6 [9 E' u" S( B+ ]4 }* G/ _0 I
  感染木马或其他恶意程序后,系统不可避免地会出现一些特殊征兆,如果及早发现并及时处理,可以将损失降到最低点。下面的这些“马迹”千万不要放过。
2 |3 h$ ~* {" v
+ Q- i% P4 l& n& I$ {- x  1、密码被改,金币被偷。虽然损失已经造成,但是亡羊补牢,至少避免更多损失。2 d  F5 i4 s2 c/ c' O
/ \6 Y2 T: m# v! o
  2、杀软被关闭。很多木马会自动关闭杀毒软件,如果发现杀软防火墙被退出,而且无法启动,绝对不能忽视,排除系统或者杀软本身的问题,很有可能就是被木马或病毒先下手为强了。- u6 M, Z! ^9 |# C' |
8 ^6 s) T+ t) w9 a! T8 e
  3、一闪而过的窗口。打开记事本,或其他软件的时候,会有隐约的窗口一闪而过,这很有可能就是木马或病毒已经寄生在正常程序上了。6 m( `$ z; X0 e! u+ K  p
( |. \6 |7 C3 B; K  X  j
  4、奇怪的进程。经常用Ctrl+Alt+Del键调出任务管理器进行查看。首先你要熟悉系统的正常进程,如果有陌生进程出现,那就将它一查到底。, \8 V8 g, c$ S: ]. J4 ~" f5 z
6 i# e$ k, y' z8 u; K/ v3 y
  5、鱼目混珠的文件名或错位的程序。有些木马会伪造和正常程序相似的名字,比如“svch0st”等;有些则索性冒名,不过路径不同,比如出现在Windows目录下的“rundll32.exe”(正常应该在windows\system32和windows\system32\dllcache下)。( y, q/ k  J( e; }$ ]: o% F( a

( B. H+ F; x& w, _7 ?* l  6、自作多情的启动项目。经常使用“msconfig”查看启动项目,如果有不经允许就擅自加载的,不妨查查其身份。3 w% h; R5 ~2 y/ A  i4 X8 [
- l% T" o9 ?1 r. E4 h
  7、绑架浏览器。使用hijackthis辅助,把这些绑匪统统请出系统去。3 m) Y  S2 n( ~8 s

% m: B1 X" t& O9 b6 _) m  8、运行“netstat”,查看当前网络的连接情况,是否有偷偷向外报信者。
发表于 2009-4-13 19:03:52 | 显示全部楼层
很好·:victory:
发表于 2009-4-14 12:48:45 | 显示全部楼层
谢谢分享!!
发表于 2009-4-16 22:07:16 | 显示全部楼层
很绝 我喜欢!!:lol   # d  z0 `8 o6 G' T
不过貌似有时有的病毒不行哦 
发表于 2009-4-17 05:10:10 | 显示全部楼层

回复 1# jack 的帖子

很实用的文章!谢谢楼主
发表于 2009-4-17 23:35:04 | 显示全部楼层
谢谢分享~
发表于 2009-4-19 13:33:42 | 显示全部楼层
好   不错    :victory:
发表于 2009-5-7 18:51:49 | 显示全部楼层
谢谢分享
发表于 2009-5-16 01:09:35 | 显示全部楼层
我很想看我初恋的QQ空间,但被加密了,我和他失去联络5年了,只知道她QQ,但又不敢奢望能去搭讪她,也不敢,对于能看到她的相片的话我认为是最奢侈的幸福,因为我清楚的知道她不爱我,或许已经忘了我是谁!愿意帮我的请加QQ103158799  无尽感谢.
发表于 2009-5-16 02:04:20 | 显示全部楼层
看一下!
发表于 2009-5-21 22:29:19 | 显示全部楼层
这么好的帖子也沉的那么深,顶起。
发表于 2009-5-21 22:43:11 | 显示全部楼层
肉鸡  肉鸡 我爱你~~~~
发表于 2009-5-22 14:08:52 | 显示全部楼层
饿死木马。。。太残忍了吧:hug:
发表于 2009-5-31 18:14:20 | 显示全部楼层
``感谢楼主``谢谢分享``
发表于 2009-5-31 18:24:28 | 显示全部楼层
道高一尺 魔高一丈
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-12-25 09:40 , Processed in 0.102495 second(s), 22 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表