本帖最后由 毛豆小新 于 2012-1-11 18:43 编辑
我对个人PC防御的看法之~意识流防毒 众多卡饭和杀软综合征患者都喜欢打造各种安全体系,鄙人小菜一个,对安全方面的知识也知之甚少,不敢评论各种安全组合的优劣好坏,仅仅是和各位探讨下我对于个人PC防御的理解。
防御体系构成:
1.意识流防毒→所谓的良好的习惯
解释下何为意识流防毒,意识流防毒就是不利用安全软件的情况下自己来保障安全,也就是利用良好的习惯来规避部分风险。看过有些帖子说过这个问题,但都不详细,现在我以我的理解来说说什么是良好的习惯,而良好的习惯又是如何规避了不必要的风险。
保障资源获取的安全性。
网页浏览安全
2.入口防御:
浏览安全
U盘防毒
下载安全
软件安全
3.实时对抗阶段:
杀软的实时监控
HIPS等防护软件
4.系统备份/还原、资料备份、 个人资料的加密防泄漏等
影子系统
各种备份软件
网盘同步软件
方法不一定正确,主要是提供一种思路。
首先分析普通用户中毒的两个主要来源,第一就是资源获取的安全性,比如在下载电影安装游戏软件过程中碰见的各种安全问题。第二就是网页浏览的安全性。
1) 文件安全性分析,如何安全的获取资源,这个表格会告诉你一切: | 文件类型 | 文件来源 | 扩展名 | 安全性 | 应对方法 | | 原始文件 | 下载电影 | RM,RMVB,AVI,MKV等 | 除RM和WMV的弹窗外很安全,电影本身是没问题的,关键是看电影的途径 | 迅雷旋风直接下载(能看到电影文件)》BT下载(排除url、link、exe等文件)》电驴(不要下载小压缩包和10M以内的小文件)》只用官方的qvod播放器/baidu影音播放器,只去大站点 | | 下载歌曲 | MP3,WMA | 很安全 | 不去各种彩铃手机DJ垃圾小站点就行了 | | 下载文档、小说 | TXT、PDF、DOC等 | 宏病毒? | 去大站下载,比如豆丁/百度文库,避免各种垃圾电子书网站,特别是不要下载exe、CHM等格式的电子书,直接下载PDF、txt、DOC,不要为了下载一本电子书去安装所谓下载器/下载软件 | | 压缩包 | 论坛附件(病毒样本除外) | 主流格式有: RAR,ZIP,7-ZIP | 大论坛下载数较多的附件安全性有一定保障,如果压缩包内是可执行文件,还是谨慎打开运行 | 在winrar安全选项卡设置 在解压时排出文件类型 *.exe,*.com,*.bat,*.cmd等 | | 各种游戏软件安装包 | 官网下载=云端/360/金山/QQ软件管家》知名下载站》普通下载站》网盘 官方原版》官方+破解补丁/去广告补丁》各种修改版/破解版 | 只在官网/知名下载站点下载软件 | | 网盘下载的各种资源 | 主要看压缩包内的文件类型 | 在winrar安全选项卡设置 在解压时排出文件类型 *.exe,*.com,*.bat,*.cmd等 | | 自解压/可执行文件 | 软件安装包 | EXE,MSI,BAT等 | 根据来源决定安全性,一般无数字签名的安装包可以无视 | 官网下载=360/金山/QQ软件管家》知名下载站》普通下载站》网盘 | | 游戏安装包 | | 批处理 | 差 | 普通用户难以判定其安全性,而如果是有害的批处理可能造成严重的后果,所以不建议运行 | 注:原始文件的含义为,下载文件为原格式,而不是压缩包,比如你下电影的时候直接能看到电影文件,而不是下载来一个含电影的压缩包或者文件夹。
| 如何安全的获取各种XX资源(狼友必备):
论坛的安全性很高,主要是各大知名论坛,对于资源直接下载种子就行了,基本不存在中毒风险,只要在种子中排除url、link、exe等文件非媒体文件就行了。推荐大家用这种方法,其他偏门的资源也可以参照。个人感觉在卡饭下载软件要比不知名下载站点更可靠,不知道大家是怎么看的?
其次就是电驴了,方法吗,各种ED2K搜索神器+迅雷/旋风,不要选择那些小文件和小压缩包,安全性也很高。
最不安全的方法就是qvod/百度影音了,只用官方的qovd,不要去下载安装各种qvod网站的播放器,据说qvod现在支持非IE内核浏览器了,收藏几个大的qvod站点,用chrome/firefox等非IE浏览器+qvod,能加个沙盘最好了,这招多少还是有点风险,所以站点的选择很重要,虽然qvod多数站点都不怎么干净,但还是有些大站点还是不错的。对于不少新手而言,用qvod,主要还是方便,资源有保障。
有个比较偏门的方法,就是去各大网盘搜索,一般都有不少用户共享出来的资源。安全性一般。
不要去下载任何网站的所谓XX播放器/网址更新获取器,这样中毒了活该,某些手贱的新手切记。
| 特别说明:不要过于依赖搜索引擎。
大家获取信息或者资源的时候第一想法,就是Google一下或者百度一下,现在才觉得这其实是一个非常糟糕的习惯。因为你不能保证通过搜索引擎获取到的资源的安全性和有效性,有的时候仿冒的站点往往让你蛋疼不已,记得我用大白菜的U盘工具的时候就上过这当,下载了一个仿冒站点的工具,结果装出来的系统,首页被锁定了。对有效性最好的说明就是各种欺骗下载,比如这个网站明明没有这个资源,出于提高流量,放一些关键词甚至弄些某些流氓软件,等你上钩。举个例子,作为宅男的你突然想下XX门,然后直接一搜索,打开某个网站,不知不觉可能你就中毒了,你为什么会觉得那个网站不会挂马?很有可能某些不良的站长自己放个热门资源然后挂马当然也有可能是黑客盯上这些热门资源。
所以较为妥当的方法是,需要什么资源直接在相关的网站和论坛搜索寻找。
| 总结:很多用户往往在获取资源的时候中毒了,首先保证获取途径的安全,比如只去固定的几个大站点下载各种资源,其次不要依赖搜索引擎,原因前面已经说明了。如果大家平时有良好的习惯,比如只在官方下载软件和游戏,资源的安全性已经有了很大的保障。那么平时需要接触到的未知可执行文件概率还是很低的,再加上压缩软件排出掉可执行文件,是不是感觉比较安全了。
始终对可执行文件抱有警惕的心理,不要轻易去下载更不要轻易运行。毕竟:神也挡不住双击和下一步党。
谨记一条:小站点、偏门站点不可信。不管是什么。同时如果自己需要某些的偏门资源(不知名软件游戏,各种破解版修改版软件游戏等)的时候也要注意。
|
尽量去大的知名站点下载资源,虽然不能说百分百,但至少在或许资源这个环节上能保障一定程度的安全。
既然偏门站点不可靠,那知名下载站点是否就可靠呢?软件下载站调查:欺诈下载潜规则横行哪怕是知名下载站大家还是要防范欺骗下载的问题,没办法这就是中国国情。对于怎么防范,最好的方法不是不点击、依赖个人经验,毕竟人都有疏忽的时候,通过浏览器过滤掉那些无用的欺骗广告是个非常好的方法。至于各种论坛网站的欺骗点击链接就只能靠自己识别了。
对流氓的看泛:
1、正常软件的流氓行为,对系统无害但违背用户意愿的软件行为
软件捆绑:不仅仅是国内软件,国外也有不少捆绑的,最熟悉的莫过于,小A捆绑chrome了。其实这个算不上太流氓,首先两个都是正常软件,其次小A是免费提供给用户使用的,chrome的安装与否是可以选择的,并不是强制安装,就算用户不小心被安装了chrome,对用户的安全并无任何不良影响,chrome也是正常软件,可以轻易卸载。国内的捆绑就更正常了,因为是免费软件,用户安装软件即为遵守软件的协议,所以软件捆绑虽然让你颇为不爽,但确实不算恶意行为,最多流氓了点。就像现实生活中某个人行为不检点,但是他不一定犯法一样。
广告弹窗:软件协议+免费软件
添加自启动:并不是添加启动项的软件就不正常,我的意思是多数软件并不需要添加自启动项,比如本地播放器等,但是依然在默认安装的情况下添加,明显是不顾及用户感受和体验的。
添加没有必要的后台更新服务/任务计划/进程等:暴风门就是这样来的。
强制文件关联:即使用户设置了取消,但是只要安装了这款软件就强制管理自己的文件格式,比如快播等。
卸载不干净或难以卸载:貌似QQ就有点这个问题,卸载不干净不仅会对系统造成不良影响,更为关键的是当用户想重新安装这款软件就要悲剧了。
解决办法:不要在一棵树上吊死,换个软件吧。要就是用修改版,或者用安全软件来限制软件的非正常行为。
2、流氓软件:
这个不想再提了,性质是违法的,流氓软件恶意插件广告软件等。
防不胜防,除了多个心眼,不知道有什么特别好的防范措施。
2) 网页浏览安全 host~恶意网站实验室
WOT~浏览器防护插件/扩展等
搜狗浏览器的网页卫士,opera浏览器的恶意网站提示,遨游浏览器的安全网址,360浏览器红绿灯等,各个浏览器自带的安全措施?
Google搜索引擎的恶意网址,搜狗搜索引擎的恶意网站
网址扫描网站
如何识别流氓站点,看网站备案,网页域名,
善用搜索识别网站安全,例:群里某人发了一个网站,按惯例邮件和qq聊天记录中的网站都不要进,但是你手贱,就是想进去看看,可以不要急,先不要进入这个网站,在搜索引擎搜索下这个网站,如果相关信息很少,那可能就是垃圾站点,如果看见xxx.com绑定首页或者有网友反映有毒被挂马,那么恭喜你至少躲过一次攻击。最好就是陌生垃圾站点别进,要不开个沙盘虚拟机也行。
非IE内核浏览器安全性更高??
意识流防毒说起来有点文件信誉、网页信誉的味道,只不过这不是依赖安软而是靠人脑自己去判断。
3) 系统补丁的问题,因为我不懂漏洞到底怎么利用,不过既然不少大牛都说了系统补丁的重要性,该打补丁还是要打的。
2、入口防御:
浏览安全 sandboxie 、DW、组策略、UAC
AVG链接雷达 畅游精灵
Sandboxie的具体教程见 沙盘之路~卡饭帖子
U盘防毒
关于各种策略防范U盘病毒的讨论
下载安全
金山/360云鉴定
国产卫士的网盾
小A等安软的网页防护网络防护等
软件安全
正常软件/文件被误报的概率还是很低的,有良好使用习惯的用户应该相信安全软件,就算是认为误报,也先隔离了,等确定安全后再恢复文件或者添加排除/信任也不迟。
5.实时对抗阶段:
杀软的实时监控
HIPS等防护软件
试用过一段时间各种HIPS和防火墙,发现上手难度太大了,主要问题在于规则的制定和弹窗安全性的判定,每个人的系统环境软件使用习惯不同导致规则不可能适用于所有人,甚至应付多数人都是有难度的,对普通用户而言,付出的时间精力和得到的安全保障完全不成比例,而且严重影响电脑的正常使用,估计这也是HIPS为什么得不到普及的原因。除了部分带有智能主防的安全软件,传统的HIPS对普通用户基本没什么太大价值。
但是国内的安全环境决定了HIPS还是有一定市场的,至少在控制流氓软件上。国内两大卫士都有锁定首页的功能,何况360还是靠清理插件流氓起家的。
对安全要求较高的,也可以选择一些简易和智能化的HIPS或者有智能主防的杀软防火墙。
例如:opoust,360卫士,瑞星木马防御,金山K+~~~~~~
总结:只是觉得防重于杀的观点有点本末倒置,对于一般的病毒,我能杀,为什么一定要能防呢,我网页防护就能干掉的东西,为什么一定他要留到本地才杀呢?对于所谓过免杀,既然有免杀,你能确定你能防住。为什么不从源头上避免和终结危险的存在,而是一定要等到最后一步。防护本身就是以牺牲用户的时间精力和便捷性来换取一定的安全,我想问的是值不值得,从某个角度来看,360卫士目前的普及并不是简单的其防护有多全面,主要还是和国内的安全环境(软件想怎么流氓怎么来)和不少用户使用习惯造成的,要不怎么来的可笑的看片保护(不是说这功能不好,只是嘲讽下),何须看片保护,用过两年电脑有点安全常识的都知道,不要去下那个该死的所谓XXX播放器。问题是很多人用了两年电脑还是只会点点鼠标打Dota,连个系统都不会装,更别谈什么安全意识。这就更说明了一个问题,安全软件可以给用户普及安全知识,但是不能让用户做选择题,特别是普通用户。大家都承认360的防护很全面,但是不少新手用了还是中毒,问题就在这里,360让用户做选择题了,但是新手怎么知道选哪个,基本都是乱点,如果下的外{过}{滤}挂不能用了他不会抱怨外{过}{滤}挂的安全性问题,而是直接把360关了。这个和Vista和Windows7的UAC是一个道理,频繁的弹窗提示只会让普通用户失去耐心,结果就是多数用户都选择关闭这项功能。当然出问题不能怪安软,能做的就这么多了,某些人手贱也没办法但这也说明目前各大杀软的主防智能程度还不够。
一年也难中一次毒的卡饭应该不少吧,我不相信他们有什么独门绝技,都是装同一个杀软为什么有些人就中毒了,可见良好的使用习惯和安全意识和杀软的防护一样重要,某种程度上甚至是相辅相成的。既然多数用户已经知道杀软不可能防御所有的攻击为什么还要自己给自己找麻烦,很多人的心理就不怎么正常,电脑随便用,中毒了总是杀软的错。汽车有安全气囊并不等于你可以随便横冲直撞,要你命的不是安全气囊质量不够好,而是你的开车习惯问题。再安全的汽车到蹩脚的司机手里也可能变成破铜烂铁。
其实只要大家有良好的使用习惯,配合入口防御,基本的安全问题已经能解决了,对于部分漏网之鱼,装个主流杀软应该就能应付了,而不需要疲于奔命于各种杀软防火墙组合套装。
仅仅是强调下安全意识和良好使用习惯的重要性,因为以前一直被很多人忽视了,而不是说杀软不重要。
正对国内的流氓软件,大家可以提前采取部分措施,锁定主页、启动项等。
裸奔:
没有任何有价值的账号、或重要的机密资料;有网银和网游的请勿裸奔!呵呵,后果很严重!
讨厌所谓的防重于杀:
杀软仅仅用过小A毒霸360瑞星MSE,hips也是浅尝辄止,SSM用过一段时间,简单试用过comodo,对防火墙知之甚少,还是停留在控制程序联网的概念上。不过我还是不赞同简单的防重于杀的观念。如果把家比作系统,保安比作杀软,哪怕你家是铜墙铁壁,保安再多,但是如果你带一个杀手回家,一切都徒劳,好一点的保安可能会与杀手同归于尽,但是你也可能损失惨重,差一点的保安可能直接就挂了。再强悍的杀软/安全组合也不可能防范住所有的攻击,就像穿了防弹衣中弹了照样可能会死一样。
如果按照防重于杀的观点,那某些没主防的杀软是不是死的早,相反别人还活得好好的,尽管特征码技术有种种缺陷,但是准确性效率都是最高,不管何种环境对用户的影响是最小的。主防能做到这点吗?当然如果那天主防也能做到和特征码那样准确高效对用户的干扰极少自然会被市场和用户接受。
防与杀不应该放到对立面,根据安全厂商自己的理念和自己的使用习惯选择就好了。
无所谓防与杀,易用高效才是王道。
零零散散说了一大堆,也懒的整理了,欢迎拍砖。
| 
[复制链接]
发表于 2012-1-11 13:30:45
楼主
额 好 支持了