教你如何维护系统的安全

第 1 部分 木马的预防和清除

现在的木马种类繁多，而且有些木马十分顽固，根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?

你所说的木马，也就是一种能潜伏在受害者计算机里，并且秘密开放一个甚至多个数据传输通道的远程控制程序，一般由两部分组成:客户端(Client)和服务器端(Server)，客户端也称为控制端。

木马的传播感染其实指的就是服务器端，入侵者必须通过各种手段把服务器端程序传送给受害者运行，才能达到木马传播的目的。当服务器端被受害者计算机执行时，便将自身复制到系统目录，并把运行代码加入系统启动时会自动调用的区域里，借以达到跟随系统启动而运行，这一区域通常称为“启动项”。当木马完成这部分操作后，便进入潜伏期——偷偷开放系统端口，等待入侵者连接。

阻止木马运行——查杀更彻底

任何操作系统都会在启动时自动运行一些程序，用以初始化系统环境或额外功能等，这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行，这些区域就是“启动项”，不同的系统提供的“启动项”数量也不同，对于Win9x来说，它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys，Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServICes项，分别是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

到了2000/XP系统时代，DOS环境被取消，却新增了一种称之为“服务”的启动区域，注册表也在保持原项目不变的基础上增加了2个“启动项”:

项目 键名

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows ApPINit_DLLs

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run

这么多的启动入口，木马自然不会放过，于是我们经常在一些计算机的启动项里发现陌生的程序名，这时候就只能交由你或者病毒防火墙来判断了，毕竟系统自身会在这里放置一些必要的初始化程序，还有一些正常工具，包括病毒防火墙和网络防火墙，它们也必须通过启动项来实现跟随系统启动。

此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统路径遍历优先级欺**”，Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位的，这就意味着，如果有两个同样名称的文件分别放在C:\和C:\Windows下，Windows会执行C:\下的程序，而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里，Windows就会想当然的执行了木马程序，系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”，因为无论哪个Windows版本的启动项里，它都是没有设置路径的。

要提防这种占用启动项而做到自动运行的木马，用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。至于利用系统路径漏洞的木马，则只能靠用户自己的细心了。

根除木马——文件并联型木马的查杀

某些用户经常会很郁闷，自己明明已经删除了木马文件和相应的启动项，可是不知道什么时候它自己又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有应用程序都打不开了。这时候，如果用户对计算机技术的了解仅限于使用杀毒软件，那可只能哭哭啼啼的重装系统了!

为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单，因为这种木马修改了应用程序(EXE文件)的并联方式。

什么是“并联方式”呢?在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“\"%1\" %*”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程， 终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 \"%1\" %*”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复自身文件，所以在一般用户看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源，并不是木马更改了系统核心，更没必要因此重装整个系统。

根除这种木马的 简单方法只需要查看EXE文件的打开方式被指向了什么程序，立即停止这个程序的进程，如果它还产生了其他木马文件的话，也一起停止，然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。

如果删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候不要着急，如果你是Win9x用户，请使用“外壳替换****”:重启后按F8进入启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进入Windows只剩下一个注册表编辑器了，赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。

对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。

第 2 部分 电脑安全

用户们总会用层出不穷的方法给自己惹上麻烦。他们会使用共享软件使自己暴露在入侵者面前或者忘记使用电压保护装置。与您的用户分享这个傻事清单，能够避免他们犯这些 原本可以避免发生的错误。

我们都做过傻事，计算机用户当然也不例外。无意中按错组合键或者在不知情的情况下在报错对话框上选了“确定”都可能会改变重要设置，这样会影响计算机的行为，甚至导致 系统崩溃。

紧张的新手经常会害怕某个错误操作会永久破坏计算机。幸运的是，结果并没有想象的那么严重。虽然如此，但是用户还是经常给计算机以及您的网络创造各种麻烦。以下是一些 您和您的用户能够引以为戒，远离可预防的问题的常见错误。

#1：使用没有过电压保护的电源

这个错误真的能够毁掉计算机设备以及上面所保存的数据。您可能以为只在雷暴发生时，系统才会有危险，但其实任何能够干扰电路使电流回流的因素都能烧焦你的设备元件。有 时甚至一个简单的动作，比如打开与电脑设备同在一个电路中的设备（特别是电吹风、电加热器或者空调等高压电器）就能导致电涌，或者树枝搭上电线也能导致电涌。如果遇到 停电，当恢复电力供应时也会出现电涌。

使用电涌保护器就能够保护系统免受电涌的危害，但是请记住，大部分价钱便宜的电涌保护器只能抵御一次电涌，随后需要进行更换。不间断电源（UPS）更胜于电涌保护器，UPS 的电池能使电流趋于平稳，即使断电，也能给你提供时间从容的关闭设备。

#2：不使用防火墙就上网

许多家庭用户会毫不犹豫的将电脑接上漂亮的新电缆或者DSL调制解调器开始上网，而没有意识到他们正将自己暴露在病毒和入侵者面前。无论是宽带调制解调器或者路由器中内置 的防火墙，还是调制解调器或路由器与电脑之间的独立防火墙设备，或者是在网络边缘运行防火墙软件的服务器，或者是电脑上安装的个人防火墙软件（如Windows XP中内置的ICF/Windows 防火墙，或者类似Kerio 或ZoneAlarm的第三方防火墙软件），总之，所有与互联网相连的计算机都应该得到防火墙的保护。

笔记本电脑上安装的个人防火墙的好处在于，当用户带着电脑上路或者插入酒店DSL或电缆端口，或者与无线热点相连接时，已经有了防火墙。拥有防火墙不是全部，你还需要确认 防火墙已经开启，并且配置得当，能够发挥保护作用。

#3： 忽视防病毒软件和防间谍软件的运行和升级

让我们面对现实: 防病毒程序非常令人讨厌。他们总是阻断一些你想要使用的应用，有时你不得不在安装新软件时先停止防病毒程序。而且为了保证效用，不得不经常进行升级。好象原来的版本总 是要过期，并催促您进行升级，在很多情况下，升级都是收费的。但是在现在的环境下，你无法承担不使用防病毒所带来的后果。 病毒、木马、蠕虫等恶意程序不仅会削弱和破坏系统，还能通过您的电脑向网络其他部分散播病毒。在极端情况下，甚至能够破坏整个网络。

间谍软件是另外一种不断增加的威胁；这些软件能够自行在电脑上进行安装（通常都是在你不知道的情况下），搜集系统中的情报然后发送给间谍软件程序的作者或销售商。防病 毒程序经常无法察觉间谍软件，因此请务必使用一个专业的间谍软件探测清除软件。

#4：安装和卸载大量程序，特别是测试版程序

由于用户对 新技术的渴望，经常安装和尝试新软件。免费提供的测试版程序能够使您有机会抢先体验新的功能。另外还有许多可以从网上下载的免费软件和共享软件。我们知道 有些用户还曾经安装盗版软件或者“warez”。

您安装的软件数量越多，您使用含有恶意代码的软件，或者使用编写不合理能够导致系统工作不正常或者崩溃的软件的几率就更高。这样的风险远高于使用盗版软件。

即使您只会安装经过授权的 终版本的的商业软件，过多的安装和卸载也会弄乱注册表。不是所有的卸载步骤都能将程序剩余部分清理干净，这样的行为会导致系统逐渐变慢。

您应该只安装您真正需要使用的软件，只使用合法软件，并且尽量减少安装和卸载软件的数量。

#5： 磁盘总是满满的并且非常凌乱

频繁安装和卸载程序（或增加和删除任何类型的数据）都会使磁盘变得零散。信息在磁盘上的保存方式导致了磁盘碎片的产生：在新的空磁盘中保存文件时，文件被保存在连续的 簇上。如果您删除的文件占用了5个簇，然后保存了一个占用8个簇的文件，那么头5个簇的数值会保存在删除产生的5个空簇中，剩余的3个则保存在下三个空的簇中。这样就使得文 件变得零散或者分裂。然后在访问文件时，磁头不会同时找到文件的所有部分，而是到磁盘的不同地址上找回全部文件。这样使得访问速度变慢。如果文件是程序的一部分，程序 的运行速度就会变慢。过于零散的磁盘运行速度极慢就象在爬行一样。

你可以使用Windows里带有的磁盘碎片整理工具（程序| 附件 | 系统工具） 或者第三方磁盘碎片整理工具defrag来重新介绍文件的各个部分，以使文件在磁盘上能够连续存放。

另外一个常见的能够导致性能问题和应用行为不当的原因是磁盘过满。许多程序都会生成临时文件，运行时需要磁盘提供额外空间。你可以使用Windows XP的磁盘清理工具或者第三方程序查找和删除很少用到的文件，或者你也可以手动删除文件来释放磁盘空间。

#6： 打开所有的附件

有些人就是无法控制自己：收到带有附件的电子邮件就好象收到一份意料之外的礼物。你只是想窥视一下是什么附件。但是就好象您门前的包裹里可能有****一样，电子邮件中的 文件附件可能包含能够删除文件或系统文件夹，或者向地址簿中所有联系人发送病毒的编码。

容易被洞察的危险附件是可执行文件（即可以运行的编码），扩展名为.exe，.cmd以及其他很多类型（参见http://antivirus.about.com/od/securityTIPS/a/fileextview.htm 查看不同类型的可执行文件扩展名列表）。不能自行运行的文件，如Word的.doc文件，以及Excel的.xls文件，能够含有内置的宏。脚本(Visual Basic, JavaScript, Flash等) 不能被计算机直接执行，但是可以通过程序进行运行。

过去一般认为纯文本文件(.txt)或图片文件(.gif, .jpg, .bmp)是安全的，但是现在不是了。文件扩展名也可以伪装；入侵者能够利用Windows默认的不显示普通的文件扩展名的设置，将可执行文件名称设为类似greatfile.jpg.exe这样。 实际的扩展名被隐藏起来，只显示为greatfile.jpg。这样收件人会以为它是图片文件，但实际上却是恶意程序。

您只能在确信附件来源可靠并且您知道是什么内容的情况下才可以打开附件。即使带有附件的邮件看起来似乎来自你可以信任的人，也有可能是某些人将他们的地址伪装成这样， 甚至是发件人的电脑已经感染了病毒，在他们不知情的情况下发送了附件。

#7：点击所有链接

打开附件不是鼠标所能带给您的唯一麻烦。点击电子邮件或者网页上的超级链接能将您带入植入ActiveX控制或者脚本的网页，利用这些就可能进行各种类型的恶意行为，如清除硬 盘，或者在计算机上安装****软件，这样黑客就可以潜入并夺取控制权。

点错链接也可能会带您进入具有****图片，盗版音乐或软件等不良内容的网站。如果您使用的是工作电脑可能会因此麻烦缠身，甚至惹上官司。

请不要向“点击狂燥症”屈服。在点击链接之前请务必考虑一下。有些链接可能被伪装在网络钓鱼信息或者那些可能将你带到别的网站的网页里。例如，链接地址可能是 www.safesite.com，但是实际上会指向www.gotcha.com。一般情况下，您可以用鼠标在链接上滑过而不要点击，就可以看到实际的URL。

#8： 共享或类似共享的行为

老师教导我们分享是一种良好的行为，但是在网络上，分享则可能将你暴露在危险之中。如果您允许文件和打印机共享，别人就可以远程与您的电脑连接，并访问您的数据。即使 您没有设置共享文件夹，在默认情况下，Windows系统会隐藏每块磁盘根目录上可管理的共享。一个黑客有可能利用这些共享侵入您的电脑。解决方法之一就是，如果您不需要 网络访问您电脑上的任何文件，就请关闭文件和打印机共享。如果您是通过公用无线热点上使用笔记本进行连接，这个建议非常重要。你可以在以下地址得到一些指导。 http://www.PCMag.com/article2/0,1895,1277222,00.asp

如果你确实需要共享某些文件夹，请务必通过共享级许可和文件级(NTFS)许可对文件夹进行保护。另外还要确保您的帐号和本地管理帐号的密码足够安全。

#9：用错密码

这也是使得我们暴露在入侵者面前的又一个常见错误：用错密码。即使您的网络环境中没有管理员强迫您选择强大的密码并定期更换，您也应该这样做。不要选用容易被猜中的密 码，如您的生日，爱人的名字，社会保险号码等。密码越长越不容易被破解，因此您的密码至少为8位，14位就更好。常用的********方法采用“字典”破解法，因此不要使用字典 中能查到的单词做为密码。为安全起见，密码应该由字母、数字以及符号组合而成。

很长的无意义的字符串密码很难被破解，但是如果你因为记不住密码而不得不将密码写下来的话，就违背了设置密码的初衷，因为入侵者可能会找到密码。可以造一个容易记住的 短语，并使用每个单词的第一个字母，以及数字和符号生成一个密码。例如，使用“My cat ate a mouse on the 5th day of June”可以得到密码“Mc8amot5doJ。”

#10：忽视对备份和恢复计划的需要

即使您听取了所有的建议，入侵者依然可能弄垮您的系统，您的数据可能遭到篡改，或因硬件问题而被擦除。因此备份重要信息，制定系统故障时的恢复计划具有相当重要的地位。

大部分计算机用户都知道应该备份，但是许多用户从来都不进行备份，或者 初做过备份但是从来都不定期对备份进行升级。使用内置的Windows备份程序(Windows NT, 2000, 及XP 中内置的Ntbackup.exe)或者第三方备份程序以及可以自动进行备份的定期备份程序。所备份的数据应当保存在网络服务器或者远离计算机自身的可移动驱动器中，以防止洪水、火 灾以及龙卷风等灾难情况的发生。

请牢记数据是您计算机上 重要的东西。操作系统和应用都可以重新安装，但是重建原始数据则是难度很高甚至根本无法完成的任务。

尽管如此，备份系统信息也可以节省时间，减少受挫。你可以使用常用的ghost或者克窿程序创建磁盘镜像。这样就可以快速恢复系统，而无需经过冗长乏味的安装过程。

第 3 部分 XP安全风险

随着电脑越来越深入到普通用户的生活、工作之中，原来只有专业人员才会遇到的问题，例如配置小型(家庭)网络，现在普通用户也会经常遇到。Windows系列操作系统一直以易用著称，力图让本来复杂的任务通过简单的操作即可完成。但是有的时候，易用性和安全是相互冲突的；同时，由于网络的广泛使用，每一台上网的PC实际上就是一个Internet的节点，所以安全是每一个用户必须关注的问题。XP作为Windows 新的版本，当然也是 容易使用的操作系统；另一方面，为了提高易用性而采用的许多默认设置却带来了安全风险。

• 1
• 2
• 3
• 下一页

相关文章

• 上一篇： 怎样判断我的网络是否安全
• 下一篇： 如何保护网上银行的安全