论文部分内容阅读
片名:The Day The PC Stood Still
译名:电脑停转之日
■主演:Windows 2000/XP/Vista、病毒、杀毒软件
■类型:科幻、灾难、剧情
■片长:5页
■级别:PG-13级(灾难画面、暴力)
■上映日期:2009年3月1日
■IMDB评分:见读者评刊表
■编剧:北京 DEF、湖南新晃蒲涛■导演:CFan 编辑部■制片人:Cornel■出品:计算机世界传媒集团
一架来自外太空的飞碟着陆在亚洲中部的一个小国,飞碟上载着已经幻化成人形的外星高级智慧生命克拉图,他此行的目的,是代表他的种族来看看人类能否有效控制温室效应,以及阻止一系列地球生态环境的破坏。
军方对突然空降的克拉图充满了敌对态度。他被带到某个实验室进行盘问,克拉图被迫逃走。他本来就对人类持有的负面态度,在经历了这一系列待遇后他决定——人类应该从地球上消失,它将外星的一种特殊病毒到处传播──人类面临灭顶之灾。人类自发的拯救计划已经开始实行,但一切也许都已太迟……
我们生活的地球也许不会停转,但我们时刻联网的电脑却可能因为病毒、木马随时出乱子。别等到病毒上身再找杀毒软件吧,告诉你一件杀毒软件厂商不愿承认的事情:就算有那么多杀毒软件、那么多专杀工具,在病毒发作后,彻底清除病毒也是一件难事。
★本文可以学到
▲中毒症状3秒钟极速诊断
▲无杀软裸奔系统强力推荐
▲手工排查 木马一招显身
▲免费拆弹专家全线登场
第一章 悬疑片:最后3秒钟排除炸弹
——确认中毒的7种特征
在我们看过的众多悬疑片中,警察总是在炸弹爆炸前的最后几秒钟排除了引信,而排除的方式往往是在红线和黑线之间随机选择一条,果断地剪下去——计时器停止,炸弹被解除。我们的电脑有时也面临类似的局面:重现倒计时关机的“冲击波”病毒、幽灵般的系统进程、自动发QQ消息的“尾巴”、盗取银行账号的木马……虽然不需要争分夺秒,但是晚一点查杀病毒,我们的电脑就面临更多的风险,如何从蛛丝马迹中发现病毒的影子呢?
1启动不正常
★电脑无故重启 (如冲击波病毒)
★登录前准备时间长(长时间不出现登录窗口)
★登录后桌面图标不显示(需排除加载程序过多情况)
程序载入的时间比平常久,有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行它们的动作,因此会花更多的时间来载入程序(见图1)。
2硬盘疯狂读取
当你没有存取磁盘,但磁盘指示灯一直在亮。硬盘的指示灯无缘无故一直在亮着,电脑这时可能已经受到病毒的感染了。在Windows系统刚刚登录后,硬盘转一段时间是正常的。但几分钟后就会恢复到正常状态。假如你的电脑在没有频繁读写操作的时候经常疯狂读硬盘,那就要注意了。
3CPU占用率奇高
按下“Ctrl+Shift+Esc”键启动任务管理器,点击“性能”标签,发现“CPU使用”项占用率很高,如果经常超过60%,就应该引起注意(见图2)。
★实例:查看CPU时间中的异常
打开任务管理器,切换到进程选项卡,在菜单中点“查看→选择列”,勾选“CPU时间”,然后点击“确定”,单击“CPU时间”的标题,进行排序,寻找除了“SystemIdle Process”和“SYSTEM”以外,CPU占用时间较长的进程(超过10以上),这类进程需要引起一定的警惕。
4任务管理器
打开任务管理器,看看有没有奇怪的进程?系统服务、用户运行的正常程序也会在“任务管理器”中,要如何识别某些进程是否正常,就需要一定的电脑知识和经验。如果你是电脑新手,不知道该如何辨别,可以用360安全卫士的“高级→系统进程状态”来查询,安全级别为“安全”的就可以不检查了(见图3);如果是“未知”的,也不一定就是危险的,具体根据文件路径分析一下。
小提示:网络查询进程
如果没有安装这类软件,可以登录http://processee.cn/index.html,将怀疑的进程名称输入,然后点“查询”,就能知道该进程是系统进程还是木马了。比如Trojan.PSW.Lmir.pj这种病毒,在系统进程中的名字是svch0st_.exe,和系统自带的svchost.exe非常像,只是把字母改成数字,加了一个下划线,一般人很难发现。
5文件相关症状
★文件奇怪消失
★文件的内容被加上一些奇怪的资料
★文件名称、扩展名、日期、属性被更改过
★电脑中多了未知文件 (经常查看自己电脑中的文件和目录,如果突然出现一些莫名其妙的文件,那就要警惕了。比如Autorun.inf、_desktop.ini,都是病毒的特征。)
6网游被盗号症状
现在的木马和病毒和以前不太一样了,更关注网游账号等能产生价值的东西了。针对《魔兽世界》等热门网络游戏的盗号层出不穷。玩家被盗号的典型症状有哪些?
★莫名其妙掉线
★被盗号者出现在不应该、不太可能出现的地方
中了AV终结者病毒的玩家不但经常掉线,而且杀毒软件会被终止,在IE里面输入“病毒”进行搜索IE会被自动关闭,无法进入安全模式。连申请了《魔兽世界》密保卡的账号都可以被盗
★无法通过官方网站修改密码,找回密码功能失效。就算找回密码或修改密码成功也无法正常登录游戏,直到玩家装备被偷光为止
★游戏币被从直接提走
★被盗的装备、时装等大件物品人间蒸发
★玩家身上不可被交易和丢弃的物品消失。很多玩家反映,身上一些平时想扔想卖都做不到的物品,都被盗走了,这不奇怪么?
7你的感觉
请相信我,你的感觉有时比杀毒软件还灵,假如你熟悉的人心理突然出现问题,比如遇到了特别悲伤的事情,就算他极力掩饰,你一定也可以从他的言谈举止中发现问题。电脑也一样,你和它接触久了,它有什么头疼脑热都逃不过你的眼睛。出现以下情况,你就应该有所“感觉”了:
★出现意外的声音、画面
★提示信息及不寻常的错误信息(如奇怪的弹出窗口等,见图4)
★无缘无故的乱码。尤其是当这种信息频繁出现时,表示你的系统可能已经中毒了!
小提示
你应该已经知道中毒症状
QQ乱发消息、启动项出现不明来客、局域网大面积无法上网,这些都是感染病毒的常见现象。
第二章 港产喜剧:不用杀软 废掉病毒武功
如果说美国的动作大片喜欢动用高科技、花重金追求视觉特效,体现个人英雄主义,那么香港的喜剧片就恰好不同——总是热衷于展示小人物特征,从无名小辈,通过自己的努力最终成为赌神、富豪。
亚洲人低调、内敛的风格其实在个人电脑中也有体现,功能、资源占用巨高的杀毒、防火墙套装其实并不见得适合我们,其实只要我们对系统做少许改造,在不影响任何系统操作的前提下,我们的电脑一样可以“裸奔”!
★实例:“流氓”没地儿住 它就没活路!
“流氓会武术,谁也挡不住”。但是,只要把病毒的“武功”废了,让它无处藏身,病毒也只不过是个普普通通的文件而已。
第一步:单击“开始”菜单→“运行”对话框输入 “secpol.msc”并回车,打开“本地安全设置”窗口(Windows XP HOME版没有此功能)。
第二步:在该编辑窗口的左侧显示区域,右击“软件限制策略”,选择“创建新的策略”,创建之后单击“其他规则”,右侧区域将显示规则内容(里面的几条规则千万不能动,否则可能导致系统崩溃)。
第三步:在右侧区域右击,选择“新路径规则”,打开“新路径规则”对话框。
第四步:在“新路径规则”对话框的路径文本框中输入“?:\*.*”, 安全级别设置为“不允许的”,然后单击“确定”。
用同样方法,依次将下列目录的安全级别都设置为“不允许的”(见图5)。
1) ?:\System Volume Information
2) C:\Documents and Settings\*\Local Settings\Temporary Internet Files
3) ?:\Recycled
4) ?:\RECYCLER
5) C:\Windows\Downloaded Program Files
6) C:\Windows\system
7) C:\Windows\Tasks
8) C:\Windows\Temp
9) C:\Windows\system32\Com
10) C:\ Windows \System32\drivers
11) C:\Documents and Settings\*\Local Settings\Temp
12) C:\Program Files\Common Files
第五步:在右侧区域右击,选择“新散列规则”,打开“新散列规则”对话框。单击“浏览”按钮,定位到“C:\Windows\system32\net.exe”文件后选择打开,安全级别设置为“不允许的”,在描述中填写“net.exe”以便以后区分。
第六步:如果较少对系统进行设置和安装软件,同样可把“C:\Windows\system32 \ rundll32.exe”的散列规则安全级别设置也为“不允许的”。
小提示:这些规则干什么用
第4步“?:\*.* ”为“不允许的”的规则就可以预防所有的U盘类病毒,只要用此规则,就可以放心的双击U盘而不用担心中毒了,但此规则会使得根目录下所有可执行文件被禁止运行,如果仅仅是防U盘病毒,可将“?:\*.* ”修改成“?:\autorun.inf”。也可以直接填上USB驱动器的盘符,如果U盘插到电脑上,它所分配的盘符是“H”,那么使用“H:\ ”为“不允许的”的路径规则后,双击打开任何U盘上的可执行文件都不会运行。如果双击盘符时出现“Windows无法打开程序”提示框(见图6),则说明该盘里可能有病毒。
双击盘符时出现该提示框,说明该盘里可能含有病毒
散列规则可以提取文件的特征信息,无论这个文件跑到哪里系统都可以把它认出来,如把“C:\Windows\system32\”下的“net.exe”文件复制到别的目录下,并改名,系统还是不会放过它,让它运行的。
限制“C:\Windows\system32\”下的“net.exe”文件主要是防止它被黑客利用来创建用户和提升权限。一般用户很少利用到这个功能。
另外,把 “C:\Windows\system32\Com”、“C:\Documents and Settings\*\Local Settings\Temp”、“C:\Program Files\Common Files”几个目录设置为“不允许的”后,会导致有些软件无法成功安装,在安装那些软件的时候,可以把这些目录设置为“不受限的”,安装完成后再改回去。
“C:\Documents and Settings\*\Local Settings\Temporary Internet Files ”目录为Internet临时文件夹路径,如果Internet临时文件夹不是这个地址请自行修改。
“C:\Windows\system32 \ rundll32.exe”文件也是经常被病毒利用的对象,但禁用后系统有些功能会无法使用,如果觉得不方便可以不限制rundll32.exe的运行。
其他目录和文件如果觉得有必要设置,也可以加上去,若出现问题把它解除限制就可以了。
★实例:文件夹权限的设置——我的文件我做主!
文件夹权限的设置是目前裸奔高手们抵御病毒最普遍的做法,是化解病毒“往系统目录中写入病毒文件并运行,修改、删除、新建某些文件或数据”这两种作案手段的最重要武器,网上也有较多的讨论。要实现对文件和文件夹进行设置,要求该文件所在分区的文件格式是NTFS格式,且在文件夹选项中取消“使用简单文件共享”。
★小提示
如果分区已经为NTFS格式,但在文件夹属性框中没有“安全”标签,只要取消文件夹选项中的“使用简单文件共享”就可以了:打开“资源管理器→工具→文件夹选项”,打开“文件夹选项”对话框,依次单击“查看→高级设置”,将“使用简单文件共享(推荐)”前的勾取消。
下面以设置C盘根目录文件夹的权限为例,讲解如何设置好文件夹的权限。
第一步:打开“资源管理器”,选定C盘图标,右击选择“属性”,弹出C盘“属性”对话框。
第二步:单击“安全”标签,依次单击“高级”按钮→“添加”按钮→“高级”按钮→“立即查找”按钮,在出现的用户组中选择“Replicator”,然后“确定”,弹出C盘的“权限项目”对话框。
第三步:如图所示,为Replicator设置C盘的只读权限。在允许一列勾选“遍历文件夹/运行文件、列出文件/读取数据、读取属性、读取扩展属性、读取权限”,在拒绝一列勾选“创建文件/写入属性、创建文件夹/附加数据、写入属性、写入扩展属性、删除子文件夹及文件、删除、更改权限、取得所有权” (见图7)。设置好后两次单击“确定”,弹出“安全”警告框,点“是”。
第四步:一般情况下,安全选项卡中有“Administrators ”“SYSTEM ”“Users”“Replicator”几个用户组就可以了(见图8),选中其他没用的用户或用户组,单击“删除”按钮删除。
按照此步骤,必须把以下几个最受病毒们欢迎的目录也设置成针对“Replicator”用户组的只读权限:
* C:\Windows
* C:\Windows\temp
* C:\Windows\system32
* C:\Windows\System32\drivers
* C:\Windows\System32\ wbem
* C:\Program Files
* C:\Documents and Settings\All Users\「开始」菜单\程序\启动
* C:\Documents and Settings\codexy\「开始」菜单\程序\启动“codexy”是受限的用户名,请根据情况进行修改。
★小提示
以下目录病毒也喜欢,但可以不用设置,它们通常可以通过继承权限来获得权限。
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
C:\Windows\help
C:\Windows\fonts
用于备份的分区也应如此设置只读权限,防止病毒改写和删除数据。其他的盘及文件夹根据实际应用情况自行安排其权限(“Replicator”完全读写文件夹下的exe、dll等文件设置为只读权限可以防止病毒恶意修改)。这样设置好后,使用受限用户将无法对这些文件夹和文件夹进行修改(见图9),这将从根本上阻止了病毒在系统目录里从事破坏活动的行为。
受限用户无法在只有只读权限的文件夹下建立文件或目录
★实例:快捷地切换用户
再好的盾如果不会使用,也是不能抵御任何攻击的。系统设置好后,一定要将受限的用户作为日常使用的用户,否则一切设置都是白搭的。但使用受限用户的过程中,有些软件不能正常安装或使用,需要临时切换到管理员账户进行操作。下面将以在受限用户下使用管理员的身份来管理注册表,以此说明如何快捷地切换用户。
进入“C:\WINDOWS”目录,找到“regedit.exe”文件。选定“regedit.exe”并右击,选择“运行方式”,弹出“运行身份”对话框,选择“下列用户”,然后输入管理员的用户名和密码,按回车键后就在受限用户下使用管理员身份管理注册表了(见图10)。
用运行方式使用管理员身份运行软件
★实例:软件无限制安装
除系统管理软件外,绝大多数的软件都可以在受限用户下正常使用,只有极个别的使用时会出现些小问题(比如“星空极速”、“QQ游戏”、“二笔输入法”、“QQ跟打器”等少数几种不能正常使用)。碰到不能安装或不能受限用户正常使用的软件,可以按照“右击——运行方式”的方法运行软件。
例如:在有的系统上使用智能ABC 5.22输入法,可能会有“打开记忆文件tmmr.rem发生错误”等类型的错误提示,这就是该软件在受限用户下没有写权限造成的,只需把C:\WINDOWS\System32目录下的“winabc.ovl、tmmr.rem、user.rem”等文件的权限更改为该受限用户完全控制就可以了。
为了让系统使用更加方便,正常使用各种系统软件和修改系统设置,可以将受限用户也加入到Administrators用户组,那么该受限用户就同时拥有了三个用户组的权限,也同样受三个用户组的不允许限制。但在方便的同时,也为系统增加了安全的风险。
第三章 警匪动作片:拆弹部队
在巴格达城区西部的一个角落里,线人报告一辆汽车中藏有大量爆炸物。美军部队中专门负责拆弹的小分队立即出动,先用遥控的机器人去拆解炸弹,谁知机器人突然出现故障,时间紧迫,只能人工拆除了……
这样的画面曾出现在电影《拆弹部队》中,拆弹专家最重要的工作就是排查现场——发现引爆器的位置。当电脑中出现病毒的时候,我们同样可以首先使用排查的招数。
★实例:排查进程
首先排查的就应该是系统中的进程。方法很简单,注意开机后不要启动任何软件!
第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以用360安全卫士或百度检查一下。
小提示
任务管理器出故障?
如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,同样要引起警惕!
第二步:打开冰刃(下载地址:http://www.onlinedown.net/soft/53325.htm),先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确(见图11)。
如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果在非正常目录中有系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具(下载地址:http://soft.ylmf.com/downinfo/1021.html),查看是否有可疑的线程注入到正常进程中。最简单的还是通过颜色判断——红色表示该服务不是微软服务,而且该服务是非.SYS驱动。(最常见的是.EXE与.DLL的服务,木马大多使用这种方式。)
如果手动排查比较困难,就要动用“自动部队”啦!
★七种免费的杀毒软件大礼包
一、360安全卫士、360保险箱
360大家都很熟悉了,它不是传统意义的杀毒软件,而是一款装机必备的杀毒辅助软件。可以完美配合以下六种杀毒软件。
官方网站:http://www.360safe.com
二、Avira AntiVir 完全免费版(英文版)
国内有一款红透半边天的英文免费杀毒软件,它就是大名鼎鼎的“小红伞”,它占用资源小,防御全面,检出率高得吓人。它是欧洲有名的杀毒软件,功能上相当完整,美中不足高傲的红伞只有英文版。国内的卡饭社区有详细的红伞使用手册。
官方网站:http://www.avira.com
三、超级巡警
超级巡警是国内一款完全免费的杀毒软件,可以局部保护系统,有针对性地保护你的账号密码。可以实现对陌生链接的安全点击,并可以清除网页中的恶意代码而不影响浏览。
官方网站:www.sucop.com
四、Avast! Home 简体中文免费版
这次是大名鼎鼎的捷克小A,赢得过无数荣誉,这是一款过VB100%如小菜一碟的免费软件。它是捷克一家软件公司(ALWILSoftware)的产品。Avast!的实时监控功能十分强大,它拥有网页防护、即时通讯软件防护、P2P软件防护等七大防护。
官方网站:http://www.avast.com/index_cns.html
五、ClamWin 完全免费版
Clamwin号称最低功耗的“静音杀毒软件”。它占用资源非常小,以至于你感觉不到它的存在。是“组合式”杀毒软件使用者的最爱。ClamWin是一套功能非常优秀的免费防毒软件。它的体积非常娇小,不会占用太多计算机资源,不像其他防毒软件安装之后会拖累整台计算机的速度。而且除了强大的文件与电子邮件防护能力之外,它还拥有排程扫描、在线更新病毒码、及时侦测等功能,和市面上知名防毒软件比起来一点也不逊色!
官方网站:http://www.clamwin.com
六、Dr.Web CureIT完全免费版(绿色版)
真正专业杀软发烧友对Dr.Web(大蜘蛛)不会陌生,因为遇到病毒关掉所有杀毒软件的时候,还得去请大蜘蛛。免费版Dr.WebCureIT扫描时偶尔会有广告弹出,关闭即可。
官方网站:http://www.drweb.com
七、Comodo AntiVirus 完全免费版
Comodo AntiVirus 支持定向检测、邮件扫描、进程监控和蠕虫屏蔽等,不支持9x系统。美中不足它的界面是英文的。
官方网站:http://antivirus.comodo.com
★小提示
病毒最爱藏身的地方
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\WINDOWS
C:\WINDOWS\Temp
C:\WINDOWS\SYSTEM32
C:\System Volume Information。
译名:电脑停转之日
■主演:Windows 2000/XP/Vista、病毒、杀毒软件
■类型:科幻、灾难、剧情
■片长:5页
■级别:PG-13级(灾难画面、暴力)
■上映日期:2009年3月1日
■IMDB评分:见读者评刊表
■编剧:北京 DEF、湖南新晃蒲涛■导演:CFan 编辑部■制片人:Cornel■出品:计算机世界传媒集团
一架来自外太空的飞碟着陆在亚洲中部的一个小国,飞碟上载着已经幻化成人形的外星高级智慧生命克拉图,他此行的目的,是代表他的种族来看看人类能否有效控制温室效应,以及阻止一系列地球生态环境的破坏。
军方对突然空降的克拉图充满了敌对态度。他被带到某个实验室进行盘问,克拉图被迫逃走。他本来就对人类持有的负面态度,在经历了这一系列待遇后他决定——人类应该从地球上消失,它将外星的一种特殊病毒到处传播──人类面临灭顶之灾。人类自发的拯救计划已经开始实行,但一切也许都已太迟……
我们生活的地球也许不会停转,但我们时刻联网的电脑却可能因为病毒、木马随时出乱子。别等到病毒上身再找杀毒软件吧,告诉你一件杀毒软件厂商不愿承认的事情:就算有那么多杀毒软件、那么多专杀工具,在病毒发作后,彻底清除病毒也是一件难事。
★本文可以学到
▲中毒症状3秒钟极速诊断
▲无杀软裸奔系统强力推荐
▲手工排查 木马一招显身
▲免费拆弹专家全线登场
第一章 悬疑片:最后3秒钟排除炸弹
——确认中毒的7种特征
在我们看过的众多悬疑片中,警察总是在炸弹爆炸前的最后几秒钟排除了引信,而排除的方式往往是在红线和黑线之间随机选择一条,果断地剪下去——计时器停止,炸弹被解除。我们的电脑有时也面临类似的局面:重现倒计时关机的“冲击波”病毒、幽灵般的系统进程、自动发QQ消息的“尾巴”、盗取银行账号的木马……虽然不需要争分夺秒,但是晚一点查杀病毒,我们的电脑就面临更多的风险,如何从蛛丝马迹中发现病毒的影子呢?
1启动不正常
★电脑无故重启 (如冲击波病毒)
★登录前准备时间长(长时间不出现登录窗口)
★登录后桌面图标不显示(需排除加载程序过多情况)
程序载入的时间比平常久,有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行它们的动作,因此会花更多的时间来载入程序(见图1)。
2硬盘疯狂读取
当你没有存取磁盘,但磁盘指示灯一直在亮。硬盘的指示灯无缘无故一直在亮着,电脑这时可能已经受到病毒的感染了。在Windows系统刚刚登录后,硬盘转一段时间是正常的。但几分钟后就会恢复到正常状态。假如你的电脑在没有频繁读写操作的时候经常疯狂读硬盘,那就要注意了。
3CPU占用率奇高
按下“Ctrl+Shift+Esc”键启动任务管理器,点击“性能”标签,发现“CPU使用”项占用率很高,如果经常超过60%,就应该引起注意(见图2)。
★实例:查看CPU时间中的异常
打开任务管理器,切换到进程选项卡,在菜单中点“查看→选择列”,勾选“CPU时间”,然后点击“确定”,单击“CPU时间”的标题,进行排序,寻找除了“SystemIdle Process”和“SYSTEM”以外,CPU占用时间较长的进程(超过10以上),这类进程需要引起一定的警惕。
4任务管理器
打开任务管理器,看看有没有奇怪的进程?系统服务、用户运行的正常程序也会在“任务管理器”中,要如何识别某些进程是否正常,就需要一定的电脑知识和经验。如果你是电脑新手,不知道该如何辨别,可以用360安全卫士的“高级→系统进程状态”来查询,安全级别为“安全”的就可以不检查了(见图3);如果是“未知”的,也不一定就是危险的,具体根据文件路径分析一下。
小提示:网络查询进程
如果没有安装这类软件,可以登录http://processee.cn/index.html,将怀疑的进程名称输入,然后点“查询”,就能知道该进程是系统进程还是木马了。比如Trojan.PSW.Lmir.pj这种病毒,在系统进程中的名字是svch0st_.exe,和系统自带的svchost.exe非常像,只是把字母改成数字,加了一个下划线,一般人很难发现。
5文件相关症状
★文件奇怪消失
★文件的内容被加上一些奇怪的资料
★文件名称、扩展名、日期、属性被更改过
★电脑中多了未知文件 (经常查看自己电脑中的文件和目录,如果突然出现一些莫名其妙的文件,那就要警惕了。比如Autorun.inf、_desktop.ini,都是病毒的特征。)
6网游被盗号症状
现在的木马和病毒和以前不太一样了,更关注网游账号等能产生价值的东西了。针对《魔兽世界》等热门网络游戏的盗号层出不穷。玩家被盗号的典型症状有哪些?
★莫名其妙掉线
★被盗号者出现在不应该、不太可能出现的地方
中了AV终结者病毒的玩家不但经常掉线,而且杀毒软件会被终止,在IE里面输入“病毒”进行搜索IE会被自动关闭,无法进入安全模式。连申请了《魔兽世界》密保卡的账号都可以被盗
★无法通过官方网站修改密码,找回密码功能失效。就算找回密码或修改密码成功也无法正常登录游戏,直到玩家装备被偷光为止
★游戏币被从直接提走
★被盗的装备、时装等大件物品人间蒸发
★玩家身上不可被交易和丢弃的物品消失。很多玩家反映,身上一些平时想扔想卖都做不到的物品,都被盗走了,这不奇怪么?
7你的感觉
请相信我,你的感觉有时比杀毒软件还灵,假如你熟悉的人心理突然出现问题,比如遇到了特别悲伤的事情,就算他极力掩饰,你一定也可以从他的言谈举止中发现问题。电脑也一样,你和它接触久了,它有什么头疼脑热都逃不过你的眼睛。出现以下情况,你就应该有所“感觉”了:
★出现意外的声音、画面
★提示信息及不寻常的错误信息(如奇怪的弹出窗口等,见图4)
★无缘无故的乱码。尤其是当这种信息频繁出现时,表示你的系统可能已经中毒了!
小提示
你应该已经知道中毒症状
QQ乱发消息、启动项出现不明来客、局域网大面积无法上网,这些都是感染病毒的常见现象。
第二章 港产喜剧:不用杀软 废掉病毒武功
如果说美国的动作大片喜欢动用高科技、花重金追求视觉特效,体现个人英雄主义,那么香港的喜剧片就恰好不同——总是热衷于展示小人物特征,从无名小辈,通过自己的努力最终成为赌神、富豪。
亚洲人低调、内敛的风格其实在个人电脑中也有体现,功能、资源占用巨高的杀毒、防火墙套装其实并不见得适合我们,其实只要我们对系统做少许改造,在不影响任何系统操作的前提下,我们的电脑一样可以“裸奔”!
★实例:“流氓”没地儿住 它就没活路!
“流氓会武术,谁也挡不住”。但是,只要把病毒的“武功”废了,让它无处藏身,病毒也只不过是个普普通通的文件而已。
第一步:单击“开始”菜单→“运行”对话框输入 “secpol.msc”并回车,打开“本地安全设置”窗口(Windows XP HOME版没有此功能)。
第二步:在该编辑窗口的左侧显示区域,右击“软件限制策略”,选择“创建新的策略”,创建之后单击“其他规则”,右侧区域将显示规则内容(里面的几条规则千万不能动,否则可能导致系统崩溃)。
第三步:在右侧区域右击,选择“新路径规则”,打开“新路径规则”对话框。
第四步:在“新路径规则”对话框的路径文本框中输入“?:\*.*”, 安全级别设置为“不允许的”,然后单击“确定”。
用同样方法,依次将下列目录的安全级别都设置为“不允许的”(见图5)。
1) ?:\System Volume Information
2) C:\Documents and Settings\*\Local Settings\Temporary Internet Files
3) ?:\Recycled
4) ?:\RECYCLER
5) C:\Windows\Downloaded Program Files
6) C:\Windows\system
7) C:\Windows\Tasks
8) C:\Windows\Temp
9) C:\Windows\system32\Com
10) C:\ Windows \System32\drivers
11) C:\Documents and Settings\*\Local Settings\Temp
12) C:\Program Files\Common Files
第五步:在右侧区域右击,选择“新散列规则”,打开“新散列规则”对话框。单击“浏览”按钮,定位到“C:\Windows\system32\net.exe”文件后选择打开,安全级别设置为“不允许的”,在描述中填写“net.exe”以便以后区分。
第六步:如果较少对系统进行设置和安装软件,同样可把“C:\Windows\system32 \ rundll32.exe”的散列规则安全级别设置也为“不允许的”。
小提示:这些规则干什么用
第4步“?:\*.* ”为“不允许的”的规则就可以预防所有的U盘类病毒,只要用此规则,就可以放心的双击U盘而不用担心中毒了,但此规则会使得根目录下所有可执行文件被禁止运行,如果仅仅是防U盘病毒,可将“?:\*.* ”修改成“?:\autorun.inf”。也可以直接填上USB驱动器的盘符,如果U盘插到电脑上,它所分配的盘符是“H”,那么使用“H:\ ”为“不允许的”的路径规则后,双击打开任何U盘上的可执行文件都不会运行。如果双击盘符时出现“Windows无法打开程序”提示框(见图6),则说明该盘里可能有病毒。
双击盘符时出现该提示框,说明该盘里可能含有病毒
散列规则可以提取文件的特征信息,无论这个文件跑到哪里系统都可以把它认出来,如把“C:\Windows\system32\”下的“net.exe”文件复制到别的目录下,并改名,系统还是不会放过它,让它运行的。
限制“C:\Windows\system32\”下的“net.exe”文件主要是防止它被黑客利用来创建用户和提升权限。一般用户很少利用到这个功能。
另外,把 “C:\Windows\system32\Com”、“C:\Documents and Settings\*\Local Settings\Temp”、“C:\Program Files\Common Files”几个目录设置为“不允许的”后,会导致有些软件无法成功安装,在安装那些软件的时候,可以把这些目录设置为“不受限的”,安装完成后再改回去。
“C:\Documents and Settings\*\Local Settings\Temporary Internet Files ”目录为Internet临时文件夹路径,如果Internet临时文件夹不是这个地址请自行修改。
“C:\Windows\system32 \ rundll32.exe”文件也是经常被病毒利用的对象,但禁用后系统有些功能会无法使用,如果觉得不方便可以不限制rundll32.exe的运行。
其他目录和文件如果觉得有必要设置,也可以加上去,若出现问题把它解除限制就可以了。
★实例:文件夹权限的设置——我的文件我做主!
文件夹权限的设置是目前裸奔高手们抵御病毒最普遍的做法,是化解病毒“往系统目录中写入病毒文件并运行,修改、删除、新建某些文件或数据”这两种作案手段的最重要武器,网上也有较多的讨论。要实现对文件和文件夹进行设置,要求该文件所在分区的文件格式是NTFS格式,且在文件夹选项中取消“使用简单文件共享”。
★小提示
如果分区已经为NTFS格式,但在文件夹属性框中没有“安全”标签,只要取消文件夹选项中的“使用简单文件共享”就可以了:打开“资源管理器→工具→文件夹选项”,打开“文件夹选项”对话框,依次单击“查看→高级设置”,将“使用简单文件共享(推荐)”前的勾取消。
下面以设置C盘根目录文件夹的权限为例,讲解如何设置好文件夹的权限。
第一步:打开“资源管理器”,选定C盘图标,右击选择“属性”,弹出C盘“属性”对话框。
第二步:单击“安全”标签,依次单击“高级”按钮→“添加”按钮→“高级”按钮→“立即查找”按钮,在出现的用户组中选择“Replicator”,然后“确定”,弹出C盘的“权限项目”对话框。
第三步:如图所示,为Replicator设置C盘的只读权限。在允许一列勾选“遍历文件夹/运行文件、列出文件/读取数据、读取属性、读取扩展属性、读取权限”,在拒绝一列勾选“创建文件/写入属性、创建文件夹/附加数据、写入属性、写入扩展属性、删除子文件夹及文件、删除、更改权限、取得所有权” (见图7)。设置好后两次单击“确定”,弹出“安全”警告框,点“是”。
第四步:一般情况下,安全选项卡中有“Administrators ”“SYSTEM ”“Users”“Replicator”几个用户组就可以了(见图8),选中其他没用的用户或用户组,单击“删除”按钮删除。
按照此步骤,必须把以下几个最受病毒们欢迎的目录也设置成针对“Replicator”用户组的只读权限:
* C:\Windows
* C:\Windows\temp
* C:\Windows\system32
* C:\Windows\System32\drivers
* C:\Windows\System32\ wbem
* C:\Program Files
* C:\Documents and Settings\All Users\「开始」菜单\程序\启动
* C:\Documents and Settings\codexy\「开始」菜单\程序\启动“codexy”是受限的用户名,请根据情况进行修改。
★小提示
以下目录病毒也喜欢,但可以不用设置,它们通常可以通过继承权限来获得权限。
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
C:\Windows\help
C:\Windows\fonts
用于备份的分区也应如此设置只读权限,防止病毒改写和删除数据。其他的盘及文件夹根据实际应用情况自行安排其权限(“Replicator”完全读写文件夹下的exe、dll等文件设置为只读权限可以防止病毒恶意修改)。这样设置好后,使用受限用户将无法对这些文件夹和文件夹进行修改(见图9),这将从根本上阻止了病毒在系统目录里从事破坏活动的行为。
受限用户无法在只有只读权限的文件夹下建立文件或目录
★实例:快捷地切换用户
再好的盾如果不会使用,也是不能抵御任何攻击的。系统设置好后,一定要将受限的用户作为日常使用的用户,否则一切设置都是白搭的。但使用受限用户的过程中,有些软件不能正常安装或使用,需要临时切换到管理员账户进行操作。下面将以在受限用户下使用管理员的身份来管理注册表,以此说明如何快捷地切换用户。
进入“C:\WINDOWS”目录,找到“regedit.exe”文件。选定“regedit.exe”并右击,选择“运行方式”,弹出“运行身份”对话框,选择“下列用户”,然后输入管理员的用户名和密码,按回车键后就在受限用户下使用管理员身份管理注册表了(见图10)。
用运行方式使用管理员身份运行软件
★实例:软件无限制安装
除系统管理软件外,绝大多数的软件都可以在受限用户下正常使用,只有极个别的使用时会出现些小问题(比如“星空极速”、“QQ游戏”、“二笔输入法”、“QQ跟打器”等少数几种不能正常使用)。碰到不能安装或不能受限用户正常使用的软件,可以按照“右击——运行方式”的方法运行软件。
例如:在有的系统上使用智能ABC 5.22输入法,可能会有“打开记忆文件tmmr.rem发生错误”等类型的错误提示,这就是该软件在受限用户下没有写权限造成的,只需把C:\WINDOWS\System32目录下的“winabc.ovl、tmmr.rem、user.rem”等文件的权限更改为该受限用户完全控制就可以了。
为了让系统使用更加方便,正常使用各种系统软件和修改系统设置,可以将受限用户也加入到Administrators用户组,那么该受限用户就同时拥有了三个用户组的权限,也同样受三个用户组的不允许限制。但在方便的同时,也为系统增加了安全的风险。
第三章 警匪动作片:拆弹部队
在巴格达城区西部的一个角落里,线人报告一辆汽车中藏有大量爆炸物。美军部队中专门负责拆弹的小分队立即出动,先用遥控的机器人去拆解炸弹,谁知机器人突然出现故障,时间紧迫,只能人工拆除了……
这样的画面曾出现在电影《拆弹部队》中,拆弹专家最重要的工作就是排查现场——发现引爆器的位置。当电脑中出现病毒的时候,我们同样可以首先使用排查的招数。
★实例:排查进程
首先排查的就应该是系统中的进程。方法很简单,注意开机后不要启动任何软件!
第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以用360安全卫士或百度检查一下。
小提示
任务管理器出故障?
如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,同样要引起警惕!
第二步:打开冰刃(下载地址:http://www.onlinedown.net/soft/53325.htm),先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确(见图11)。
如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果在非正常目录中有系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具(下载地址:http://soft.ylmf.com/downinfo/1021.html),查看是否有可疑的线程注入到正常进程中。最简单的还是通过颜色判断——红色表示该服务不是微软服务,而且该服务是非.SYS驱动。(最常见的是.EXE与.DLL的服务,木马大多使用这种方式。)
如果手动排查比较困难,就要动用“自动部队”啦!
★七种免费的杀毒软件大礼包
一、360安全卫士、360保险箱
360大家都很熟悉了,它不是传统意义的杀毒软件,而是一款装机必备的杀毒辅助软件。可以完美配合以下六种杀毒软件。
官方网站:http://www.360safe.com
二、Avira AntiVir 完全免费版(英文版)
国内有一款红透半边天的英文免费杀毒软件,它就是大名鼎鼎的“小红伞”,它占用资源小,防御全面,检出率高得吓人。它是欧洲有名的杀毒软件,功能上相当完整,美中不足高傲的红伞只有英文版。国内的卡饭社区有详细的红伞使用手册。
官方网站:http://www.avira.com
三、超级巡警
超级巡警是国内一款完全免费的杀毒软件,可以局部保护系统,有针对性地保护你的账号密码。可以实现对陌生链接的安全点击,并可以清除网页中的恶意代码而不影响浏览。
官方网站:www.sucop.com
四、Avast! Home 简体中文免费版
这次是大名鼎鼎的捷克小A,赢得过无数荣誉,这是一款过VB100%如小菜一碟的免费软件。它是捷克一家软件公司(ALWILSoftware)的产品。Avast!的实时监控功能十分强大,它拥有网页防护、即时通讯软件防护、P2P软件防护等七大防护。
官方网站:http://www.avast.com/index_cns.html
五、ClamWin 完全免费版
Clamwin号称最低功耗的“静音杀毒软件”。它占用资源非常小,以至于你感觉不到它的存在。是“组合式”杀毒软件使用者的最爱。ClamWin是一套功能非常优秀的免费防毒软件。它的体积非常娇小,不会占用太多计算机资源,不像其他防毒软件安装之后会拖累整台计算机的速度。而且除了强大的文件与电子邮件防护能力之外,它还拥有排程扫描、在线更新病毒码、及时侦测等功能,和市面上知名防毒软件比起来一点也不逊色!
官方网站:http://www.clamwin.com
六、Dr.Web CureIT完全免费版(绿色版)
真正专业杀软发烧友对Dr.Web(大蜘蛛)不会陌生,因为遇到病毒关掉所有杀毒软件的时候,还得去请大蜘蛛。免费版Dr.WebCureIT扫描时偶尔会有广告弹出,关闭即可。
官方网站:http://www.drweb.com
七、Comodo AntiVirus 完全免费版
Comodo AntiVirus 支持定向检测、邮件扫描、进程监控和蠕虫屏蔽等,不支持9x系统。美中不足它的界面是英文的。
官方网站:http://antivirus.comodo.com
★小提示
病毒最爱藏身的地方
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\WINDOWS
C:\WINDOWS\Temp
C:\WINDOWS\SYSTEM32
C:\System Volume Information。