网络安全经验之谈

星空神话724823

   
一、防火墙篇。  比较好的防火墙，卡巴斯基有隐身登录，诺顿有IP隐身，国外很多防火墙【包括系统防火墙】都有端口隐藏，也叫端口静默。COMDO防火墙和赛门铁克企业防火墙，在编写规则方面，能更详细和全面。
防火墙测试排行榜【防泄漏】，COMODO防火墙、OP防火墙和PF防火墙是前三名。
当然Look 'n' Stop、 Online Armor 也不差。
国内的防火墙，风云防火墙在对付反弹远控木马等方面很好。是一款不可多得的防火墙。【在NDIS驱动的兼容性方面有待改进】。
其他的，瑞星防火墙、360防火墙【基于OP的内核】也很不错。
国内的防火墙在ARP防御方面更出色【符合国情】。比如：彩影防火墙、风云防火墙，虚拟链路【功能比较单一】等。

       首先谈网络攻击：有ARP欺骗和攻击、溢出攻击、DOS及DDOS攻击、ICMP死亡之PING、SYN洪水碎片攻击、僵尸网络攻击等。
          再谈黑客入侵：利用黑客工具，扫描端口【这种工具多的是。 ssbaidu，S，还有黑鹰专用端口描扫器 】、寻找和利用系统和软件的漏洞来进行攻击【流光】，
蠕虫病毒、远程控制木马【冰河、灰鸽子】、 木马下载器，下载各种木马。rootkit获取根权限，建立黑客的管理员账户。
被入侵造成的后果：资料文档、信息、隐私、帐号等泄漏和被窃取。电脑变成肉鸡，成为攻击其他电脑的跳板。
被攻击：IP\DNS被更改。网络瘫痪、感染局域网其他电脑、无法正常连接网络。电脑系统也被破坏。

二、HIPS。Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。
我们个人用的HIPS可以分为3D，AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend）文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
AD(Application Defend）应用程序防御体系
RD(Registry Defend）注册表防御体系
FD(File Defend）文件防御体系
它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。

HIPS软件有COMODO、MAMUTU、Threat Fire、GKR、 Maiware Defender、中网S3、火绒、等等。现在很多杀毒软件也带有部分HIPS功能

      防御类型有：文件系统防御、注册表防御、程序行为防御、系统网络服务保护。插件控件防御、底层磁盘防御、内存防御、键盘防御、COM接口防御、进程、窗口、钩子防御等等。还可以禁止新的驱动和服务，如：火绒盾、GKR、MAMUTU.  防硬盘格式化，如：GKR.    禁止隐藏安装程序，如：Mamutu。 防御A程序控制B程序，如：Threat Fire。
        有些配合内核检测工具，比如： Maiware Defender 、火绒盾。系统网络服务保护：GKR      权限控制：科莫多的D+ 有【部分限制、低权限级别、不信任级别等。      
        有些是内核免疫加固，如GKR、火绒盾、COMODO. 有些更细化监视程序的文件，写入、删除、创建。如：TF\火绒。

       HIPS可分为：经典HIPS[MD]、智能HIPS【Mamutu、Threat Fire、火绒】，内核加固HIPS【GKR]   沙箱类HIPS。.

       HIPS报警提示，最危险的程序行为：修改内核、提升权限、修改权限、加载内核模块、访问物理内存、安装全局钩子、底层磁盘访问、写方式打开物理磁盘、格式化硬盘、修改MBR,等等。

三、主动防御。又叫前瞻性防御。说到主动防御，东方微点是第一个提出这个概念的。现在很多安全类软件都带主动防御性质的。
           我们来看看微点是怎么说的：微点主动防御软件是第三代反病毒软件，颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念。微点主动防御软件采用主动防御技术能够自主分析判断病毒，解决了杀毒软件无法防杀层出不穷的未知木马和新病毒的弊端。
        微点主动防御软件是北京东方微点信息技术有限责任公司（以下简称微点公司）自主研发的具有完全自主知识产权的第三代反病毒产品，在国际上首次实现了主动防御技术体系，并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是，除具有特征值扫描技术查杀已知病毒的功能外，更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制，自主发现并自动清除未知木马和新病毒。
         微点主动防御软件技术及其原理：
既然反病毒工程师可以通过分析程序行为而准确判定一个程序是否是病毒，那么能否将这种分析判断过程自动化、程序化呢？
我国著名反病毒专家刘旭认为，这种想法是可行的。微点主动防御技术正是根据这种思路设计而来：通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库，模拟专家发现新病毒的机理，通过分布在操作系统的众多探针，动态监视所运行程序调用各种应用程序编程接口（API）的动作，将程序的一系列动作通过逻辑关系分析组成有意义的行为，再综合应用病毒识别规则知识，实现自动判定病毒。

      按我的分析和理解认为：主动防御，就是将未知风险，第一时间拦截在外，做到未雨绸缪！  这样能更好的对付未知木马间谍等恶意程序。
      比如说：一个人出门，会遇到各种风险，我带好各种防御装备、预防措施。但是攻击才是最好的防御。还应该随时带把长剑、匕首、暗器。
      随时可以正当防卫。防御的超前一步。
      
    主动防御的要点：     1、前瞻性：未雨绸缪、把各种潜在危机预计在内，把风险当在外。防御的超前一步。
                                     2、敏感、灵活、主动。防御基于漏洞的攻击。
                                     3、智能性。智能分析可疑程序的一系列动作。为了减少误报，必须智能。
  目前，微点主动防御，误报也很多。灵敏过度，就成了过敏。所以加上可信云认证。也用了一些HIPS的功能。还有动态虚拟机做为辅助。

     脱壳，“壳”就是一个压缩rar层.全世界有4000种壳，病毒隐藏在壳里，能脱壳，就不用再添加繁多的数据库，从而运行更快。大蜘蛛杀毒是俄罗斯军方杀软，脱壳能力和修复能力可以称东欧第一。


四、

现在越来越多的流氓程序、伪优化软件、伪安全软件、间谍程序。选择软件一定要注意。
       这里说一下网吧：网吧有很多但是装的盗版严重的系统，藏有病毒。而且无法正常安装安全防御软件，因为网吧有驱动防火墙，禁止加载驱动。一定要注意。
      GHOST系统，特别是一些盗版严重的 GHOST装机光盘，都带有木马病毒后门等。请注意谨慎选择。

          公共网络，不要网购和财产交易。注意网址的正确性，避免进入山寨网址。
          有一些，虽然是以前是官方网站，但是一些官网被黑了。黑客攻占了。
          下载软件到软件管家下载，官方下载，华彩软件站等。不下载名不见经传、非主流的和未知软件。

           重要文件，随时备份。转移到安全的地方备份。各大知名网盘。
          U盘数据，请用隐身侠备份在可以隐藏的保险箱里。或者瑞星加密盘。
          及时更新系统补丁，更新软件。减少黑客木马利用漏洞的攻击。
          注意软件之间的兼容性很重要，避免软件冲突。尽量不要安装功能重复的两个软件。

          帐号密码，使用密保。重要帐号用重要的邮箱，一般帐号用一般的邮箱，隔离开来。
     网页挂马、网购木马、即时消息、邮箱邮件、U盘、移动硬盘、下载软件。都有风险的。所以，除了安装安全防御软件，上网安全意识非常重要。

   安全技术：HIPS、主动防御、虚拟机、启发式、沙箱。

   云的好处是收集病毒快。可以有云，但不能过于依赖云。

   多了解下电脑系统和安全知识，有了好习惯、安全意识和安全经验，比只依靠安全毒软件好很多。

   至少得先了解下安全软件的引擎、设置和优缺点。

HEMM

版要排好!内容要新颖，转载要注明。

jlj0199

良好的习惯才是最安全的防护

马上要学习linux了，lamp就差linux就大功告成了

星空神话724823

HEMM 发表于 2013-10-31 20:52
版要排好!内容要新颖，转载要注明。

至少有一半都是自己的经验分享。

HEMM

星空神话724823 发表于 2013-10-31 20:55
至少有一半都是自己的经验分享。

= =可是这看起来有点乱乱的，你不排一下吗？而且......而且......你的经验之谈中的HIPS软件中网S3和360防火墙还有很大的进步空间...介个还有....难免会让人疑惑....

gwsbhqt

呵呵，排不排版无所谓，反正手机咋看都是一个样~百度转码就是坑！下面的文字广告：中东男子如何一夜战六妻？植物伟哥来帮你重振雄风！

SUNKESS

gwsbhqt 发表于 2013-10-31 21:50
呵呵，排不排版无所谓，反正手机咋看都是一个样~百度转码就是坑！下面的文字广告：中东男子如何一夜战六妻？ ...

用uc浏览器有论坛模式，再开无图和极速模式

gwsbhqt

SUNKESS 发表于 2013-10-31 04:01
用uc浏览器有论坛模式，再开无图和极速模式

原网页已由UC论坛模式转码


点击可 退出论坛模式


找美女、找对象、 找老婆

58同城 180万单身帅哥美女同时相亲

＋＋＋＋＋＋＋＋
额，你这是...好吧，这是UC的，我无语了，都是坑啊~话说还有其他转码吗？对了，你说那个极速模式怎么回事？我找不到~

SUNKESS

gwsbhqt 发表于 2013-11-1 07:06
原网页已由UC论坛模式转码

右上角有个方格一样的按钮，要是没有就点添加

Miostartos

中网S3好像是死了吧。还有theatfire也是死得差不多了