关于系统安全的心得

我行我素2008

现在的木马种类繁多，而且有些木马十分顽固，根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?


你所说的木马，也就是一种能潜伏在受害者计算机里，并且秘密开放一个甚至多个数据传输通道的远程控制程序，一般由两部分组成:客户端(Client)和服务器端(Server)，客户端也称为控制端。

　　木马的传播感染其实指的就是服务器端，入侵者必须通过各种手段把服务器端程序传送给受害者运行，才能达到木马传播的目的。当服务器端被受害者计算机执行时，便将自身复制到系统目录，并把运行代码加入系统启动时会自动调用的区域里，借以达到跟随系统启动而运行，这一区域通常称为“启动项”。当木马完成这部分操作后，便进入潜伏期——偷偷开放系统端口，等待入侵者连接。

　　阻止木马运行——查杀更彻底

　　任何操作系统都会在启动时自动运行一些程序，用以初始化系统环境或额外功能等，这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行，这些区域就是“启动项”，不同的系统提供的“启动项”数量也不同，对于Win9x来说，它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys，Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项，分别是:

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　到了2000/XP系统时代，DOS环境被取消，却新增了一种称之为“服务”的启动区域，注册表也在保持原项目不变的基础上增加了2个“启动项”:

　　项目 键名

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs

　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run

　　这么多的启动入口，木马自然不会放过，于是我们经常在一些计算机的启动项里发现陌生的程序名，这时候就只能交由你或者病毒防火墙来判断了，毕竟系统自身会在这里放置一些必要的初始化程序，还有一些正常工具，包括病毒防火墙和网络防火墙，它们也必须通过启动项来实现跟随系统启动。

　　此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统路径遍历优先级欺骗”，Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位的，这就意味着，如果有两个同样名称的文件分别放在C:\和C:\Windows下，Windows会执行C:\下的程序，而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里，Windows就会想当然的执行了木马程序，系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”，因为无论哪个Windows版本的启动项里，它都是没有设置路径的。

　　要提防这种占用启动项而做到自动运行的木马，用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。至于利用系统路径漏洞的木马，则只能靠用户自己的细心了。

　　根除木马——文件并联型木马的查杀

　　某些用户经常会很郁闷，自己明明已经删除了木马文件和相应的启动项，可是不知道什么时候它自己又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有应用程序都打不开了。这时候，如果用户对计算机技术的了解仅限于使用杀毒软件，那可只能哭哭啼啼的重装系统了!

　　为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单，因为这种木马修改了应用程序(EXE文件)的并联方式。

　　什么是“并联方式”呢?在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“\"%1\" %*”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程，最终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 \"%1\" %*”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复自身文件，所以在一般用户看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源，并不是木马更改了系统核心，更没必要因此重装整个系统。

　　根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序，立即停止这个程序的进程，如果它还产生了其他木马文件的话，也一起停止，然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。

　　如果删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候不要着急，如果你是Win9x用户，请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进入Windows只剩下一个注册表编辑器了，赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。

　　对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
[/table]

我行我素2008

用户们总会用层出不穷的方法给自己惹上麻烦。他们会使用共享软件使自己暴露在入侵者面前或者忘记使用电压保护装置。与您的用户分享这个傻事清单，能够避免他们犯这些 原本可以避免发生的错误。

我们都做过傻事，计算机用户当然也不例外。无意中按错组合键或者在不知情的情况下在报错对话框上选了“确定”都可能会改变重要设置，这样会影响计算机的行为，甚至导致 系统崩溃。

紧张的新手经常会害怕某个错误操作会永久破坏计算机。幸运的是，结果并没有想象的那么严重。虽然如此，但是用户还是经常给计算机以及您的网络创造各种麻烦。以下是一些 您和您的用户能够引以为戒，远离可预防的问题的常见错误。

#1:使用没有过电压保护的电源

这个错误真的能够毁掉计算机设备以及上面所保存的数据。您可能以为只在雷暴发生时，系统才会有危险，但其实任何能够干扰电路使电流回流的因素都能烧焦你的设备元件。有 时甚至一个简单的动作，比如打开与电脑设备同在一个电路中的设备（特别是电吹风、电加热器或者空调等高压电器）就能导致电涌，或者树枝搭上电线也能导致电涌。如果遇到 停电，当恢复电力供应时也会出现电涌。

使用电涌保护器就能够保护系统免受电涌的危害，但是请记住，大部分价钱便宜的电涌保护器只能抵御一次电涌，随后需要进行更换。不间断电源（UPS）更胜于电涌保护器，UPS 的电池能使电流趋于平稳，即使断电，也能给你提供时间从容的关闭设备。

#2: 不使用防火墙就上网

许多家庭用户会毫不犹豫的将电脑接上漂亮的新电缆或者DSL调制解调器开始上网，而没有意识到他们正将自己暴露在病毒和入侵者面前。无论是宽带调制解调器或者路由器中内置 的防火墙，还是调制解调器或路由器与电脑之间的独立防火墙设备，或者是在网络边缘运行防火墙软件的服务器，或者是电脑上安装的个人防火墙软件（如Windows XP中内置的ICF/Windows 防火墙，或者类似Kerio 或ZoneAlarm的第三方防火墙软件），总之，所有与互联网相连的计算机都应该得到防火墙的保护。

笔记本电脑上安装的个人防火墙的好处在于，当用户带着电脑上路或者插入酒店DSL或电缆端口，或者与无线热点相连接时，已经有了防火墙。拥有防火墙不是全部，你还需要确认 防火墙已经开启，并且配置得当，能够发挥保护作用。

#3: 忽视防病毒软件和防间谍软件的运行和升级

让我们面对现实: 防病毒程序非常令人讨厌。他们总是阻断一些你想要使用的应用，有时你不得不在安装新软件时先停止防病毒程序。而且为了保证效用，不得不经常进行升级。好象原来的版本总 是要过期，并催促您进行升级，在很多情况下，升级都是收费的。但是在现在的环境下，你无法承担不使用防病毒所带来的后果。 病毒、木马、蠕虫等恶意程序不仅会削弱和破坏系统，还能通过您的电脑向网络其他部分散播病毒。在极端情况下，甚至能够破坏整个网络。

间谍软件是另外一种不断增加的威胁；这些软件能够自行在电脑上进行安装（通常都是在你不知道的情况下），搜集系统中的情报然后发送给间谍软件程序的作者或销售商。防病 毒程序经常无法察觉间谍软件，因此请务必使用一个专业的间谍软件探测清除软件。

#4:安装和卸载大量程序，特别是测试版程序

由于用户对最新技术的渴望，经常安装和尝试新软件。免费提供的测试版程序能够使您有机会抢先体验新的功能。另外还有许多可以从网上下载的免费软件和共享软件。我们知道 有些用户还曾经安装盗版软件或者“warez”。

您安装的软件数量越多，您使用含有恶意代码的软件，或者使用编写不合理能够导致系统工作不正常或者崩溃的软件的几率就更高。这样的风险远高于使用盗版软件。

即使您只会安装经过授权的最终版本的的商业软件，过多的安装和卸载也会弄乱注册表。不是所有的卸载步骤都能将程序剩余部分清理干净，这样的行为会导致系统逐渐变慢。

您应该只安装您真正需要使用的软件，只使用合法软件，并且尽量减少安装和卸载软件的数量。

#5: 磁盘总是满满的并且非常凌乱

频繁安装和卸载程序（或增加和删除任何类型的数据）都会使磁盘变得零散。信息在磁盘上的保存方式导致了磁盘碎片的产生：在新的空磁盘中保存文件时，文件被保存在连续的 簇上。如果您删除的文件占用了5个簇，然后保存了一个占用8个簇的文件，那么头5个簇的数值会保存在删除产生的5个空簇中，剩余的3个则保存在下三个空的簇中。这样就使得文 件变得零散或者分裂。然后在访问文件时，磁头不会同时找到文件的所有部分，而是到磁盘的不同地址上找回全部文件。这样使得访问速度变慢。如果文件是程序的一部分，程序 的运行速度就会变慢。过于零散的磁盘运行速度极慢就象在爬行一样。

你可以使用Windows里带有的磁盘碎片整理工具（程序| 附件 | 系统工具） 或者第三方磁盘碎片整理工具defrag来重新安排文件的各个部分，以使文件在磁盘上能够连续存放。

另外一个常见的能够导致性能问题和应用行为不当的原因是磁盘过满。许多程序都会生成临时文件，运行时需要磁盘提供额外空间。你可以使用Windows XP的磁盘清理工具或者第三方程序查找和删除很少用到的文件，或者你也可以手动删除文件来释放磁盘空间。

#6: 打开所有的附件

有些人就是无法控制自己：收到带有附件的电子邮件就好象收到一份意料之外的礼物。你只是想窥视一下是什么附件。但是就好象您门前的包裹里可能有炸弹一样，电子邮件中的 文件附件可能包含能够删除文件或系统文件夹，或者向地址簿中所有联系人发送病毒的编码。

最容易被洞察的危险附件是可执行文件（即可以运行的编码），扩展名为.exe，.cmd以及其他很多类型（参见http://antivirus.about.com/od/securitytips/a/fileextview.htm 查看不同类型的可执行文件扩展名列表）。不能自行运行的文件，如Word的.doc文件，以及Excel的.xls文件，能够含有内置的宏。脚本(Visual Basic, JavaScript, Flash等) 不能被计算机直接执行，但是可以通过程序进行运行。

过去一般认为纯文本文件(.txt)或图片文件(.gif, .jpg, .bmp)是安全的，但是现在不是了。文件扩展名也可以伪装；入侵者能够利用Windows默认的不显示普通的文件扩展名的设置，将可执行文件名称设为类似greatfile.jpg.exe这样。 实际的扩展名被隐藏起来，只显示为greatfile.jpg。这样收件人会以为它是图片文件，但实际上却是恶意程序。

您只能在确信附件来源可靠并且您知道是什么内容的情况下才可以打开附件。即使带有附件的邮件看起来似乎来自你可以信任的人，也有可能是某些人将他们的地址伪装成这样， 甚至是发件人的电脑已经感染了病毒，在他们不知情的情况下发送了附件。

#7: 点击所有链接

打开附件不是鼠标所能带给您的唯一麻烦。点击电子邮件或者网页上的超级链接能将您带入植入ActiveX控制或者脚本的网页，利用这些就可能进行各种类型的恶意行为，如清除硬 盘，或者在计算机上安装后门软件，这样黑客就可以潜入并夺取控制权。

点错链接也可能会带您进入具有色情图片，盗版音乐或软件等不良内容的网站。如果您使用的是工作电脑可能会因此麻烦缠身，甚至惹上官司。

请不要向“点击狂燥症”屈服。在点击链接之前请务必考虑一下。有些链接可能被伪装在网络钓鱼信息或者那些可能将你带到别的网站的网页里。例如，链接地址可能是 www.safesite.com，但是实际上会指向www.gotcha.com。一般情况下，您可以用鼠标在链接上滑过而不要点击，就可以看到实际的URL。

#8: 共享或类似共享的行为

老师教导我们分享是一种良好的行为，但是在网络上，分享则可能将你暴露在危险之中。如果您允许文件和打印机共享，别人就可以远程与您的电脑连接，并访问您的数据。即使 您没有设置共享文件夹，在默认情况下，Windows系统会隐藏每块磁盘根目录上可管理的共享。一个黑客高手有可能利用这些共享侵入您的电脑。解决方法之一就是，如果您不需要 网络访问您电脑上的任何文件，就请关闭文件和打印机共享。如果您是通过公用无线热点上使用笔记本进行连接，这个建议非常重要。你可以在以下地址得到一些指导。 http://www.pcmag.com/article2/0,1895,1277222,00.asp

如果你确实需要共享某些文件夹，请务必通过共享级许可和文件级(NTFS)许可对文件夹进行保护。另外还要确保您的帐号和本地管理帐号的密码足够安全。

#9: 用错密码

这也是使得我们暴露在入侵者面前的又一个常见错误：用错密码。即使您的网络环境中没有管理员强迫您选择强大的密码并定期更换，您也应该这样做。不要选用容易被猜中的密 码，如您的生日，爱人的名字，社会保险号码等。密码越长越不容易被破解，因此您的密码至少为8位，14位就更好。常用的密码破解方法采用“字典”破解法，因此不要使用字典 中能查到的单词做为密码。为安全起见，密码应该由字母、数字以及符号组合而成。

很长的无意义的字符串密码很难被破解，但是如果你因为记不住密码而不得不将密码写下来的话，就违背了设置密码的初衷，因为入侵者可能会找到密码。可以造一个容易记住的 短语，并使用每个单词的第一个字母，以及数字和符号生成一个密码。例如，使用“My cat ate a mouse on the 5th day of June”可以得到密码“Mc8amot5doJ。”

#10: 忽视对备份和恢复计划的需要

即使您听取了所有的建议，入侵者依然可能弄垮您的系统，您的数据可能遭到篡改，或因硬件问题而被擦除。因此备份重要信息，制定系统故障时的恢复计划具有相当重要的地位。

大部分计算机用户都知道应该备份，但是许多用户从来都不进行备份，或者最初做过备份但是从来都不定期对备份进行升级。使用内置的Windows备份程序(Windows NT, 2000, 及XP 中内置的Ntbackup.exe)或者第三方备份程序以及可以自动进行备份的定期备份程序。所备份的数据应当保存在网络服务器或者远离计算机自身的可移动驱动器中，以防止洪水、火 灾以及龙卷风等灾难情况的发生。

请牢记数据是您计算机上最重要的东西。操作系统和应用都可以重新安装，但是重建原始数据则是难度很高甚至根本无法完成的任务。

尽管如此，备份系统信息也可以节省时间，减少受挫。你可以使用常用的ghost或者克窿程序创建磁盘镜像。这样就可以快速恢复系统，而无需经过冗长乏味的安装过程。
[/table]

我行我素2008

随着电脑越来越深入到普通用户的生活、工作之中，原来只有专业人员才会遇到的问题，例如配置小型(家庭)网络，现在普通用户也会经常遇到。Windows系列操作系统一直以易用著称，力图让本来复杂的任务通过简单的操作即可完成。但是有的时候，易用性和安全是相互冲突的；同时，由于网络的广泛使用，每一台上网的PC实际上就是一个Internet的节点，所以安全是每一个用户必须关注的问题。XP作为Windows最新的版本，当然也是最容易使用的操作系统；另一方面，为了提高易用性而采用的许多默认设置却带来了安全风险。
　　
　　 一、简单文件共享。为了让网络上的用户只需点击几下鼠标就可以实现文件共享，XP加入了一种称为“简单文件共享”的功能，但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是：打开“我的电脑”，选择菜单“工具”→“文件夹选项”，点击“查看”，在“高级设置”中取消“使用简单文件共享(推荐)”。
　　
　　 二、FAT32。凡是新买的机器，许多硬盘驱动器都被格式化成FAT32。要想提高安全性，可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限，进而还可以使用加密文件系统(EFS，Encrypting File System)，从文件分区这一层次保证数据不被窃取。在“我的电脑”中用右键点击驱动器并选择“属性”，可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS，先备份一下重要的文件，选择菜单“开始”→“运行”，输入cmd，点击“确定”。然后，在命令行窗口中，执行convert x: /fs:ntfs(其中x是驱动器的盘符)。
　　
　　 三、Guest帐户。Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户，最好禁用它。在Win XP Pro中，打开“控制面板”→“管理工具”，点击“计算机管理”。在左边列表中找到“本地用户和组”并点击其中的“用户”，在右边窗格中，双击Guest帐户，选中“帐户已停用”。WinXP Home不允许停用Guest帐户，但允许为Guest帐户设置密码：先在命令行环境中执行Net user guest password命令，然后进入“控制面板”、“用户设置”，设置Guest帐户的密码。
　　
　　 四、Administrator帐户。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限，但不一定非用“Administrator”这个名称不可。所以，无论在XP Home还是Pro中，最好创建另一个拥有全部权限的帐户，然后停用Administrator帐户。另外，在WinXP Home中，修改一下默认的所有者帐户名称。最后，不要忘记为所有帐户设置足够复杂的密码。
　
　　　五、交换文件。即使你的操作完全正常，Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件，但黑客肯定会。你首先要做的是，要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的“开始”菜单，选择“运行”，执行Regedit。在注册表中找到HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management，然后创建或修改ClearPageFileAtShutdown，把这个DWORD值设置为1。
　　
　　 六、转储文件。系统在遇到严重问题时，会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题，但对一般用户来说没有用；另一方面，就象交换文件一样，转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下：打开“控制面板”→“系统”，找到“高级”，然后点击“启动和故障恢复”下面的“设置”按钮，将“写入调试信息”这一栏设置成“(无)”。类似于转储文件，Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是：在注册表中找到HKEY_local_machine＼software＼Microsoft＼WindowsNT＼CurrentVersion＼AeDebug，把Auto值改成“0”。然后在Windows资源管理器中打开Documents and Settings＼All Users＼Shared Documents＼DrWatson，删除User.dmp和Drwtsn32.log这两个文件。
　　
　　 七、多余的服务。为了方便用户，WinXP默认启动了许多不一定要用到的服务，同时也打开了入侵系统的后门。如果你不用这些服务，最好关闭它们：NetMeeting Remote Desktop Sharing，Remote Desktop Help Session Manager，Remote Registry，Routing and Remote Access，SSDP Discovery Service，telnet，Universal Plug and Play Device Host。打开“控制面板”→“管理工具”→“服务”，可以看到有关这些服务的说明和运行状态。要关闭一个服务，只需右键点击服务名称并选择“属性”菜单，在“常规”选项卡中把“启动类型”改成“手动”，再点击“停止”按钮。
（出处：风闪网络学院）
[/table]

我行我素2008

世界真奇妙，谁能想到一条网线就彻底改变了人们的生活，通过互联网我们可以轻松实现在家办公、在家炒股、VOD视频点播、在线游戏等的应用。网络的快速发展的确让我们尝到了甜头。但是，有时也会给我们带来无奈：就在我们上网冲浪时，网络病毒，黑客工具频频出现，让你烦恼让你忧。

对于网民来说，各种潜在的威胁可能会随时到来。在这些威胁中，往往是“明枪好躲、暗箭难防”，网络病毒，黑客工具大家比较重视，损失相对少一些，但对于利用特殊手段窥探个人隐私的人，却有所忽视。明明已经造成隐私外泄，却毫不知情。所以采取什么样的措施才能确保个人网络安全，必然成为网络用户们最为关注的问题。

一、网络中隐身的办法

提醒经常在网上冲浪的网民要注意，Win9x以上的操作系统可以对以前用户登录的信息具有记忆功能，下次重新启动计算机时，我们会在用户名栏中发现上次用户的登录名，这个信息可能会被一些非法分子利用，而给用户造成威胁，为此我们有必要隐藏上机用户登录的名字。有三种方法可以使用， 具体步骤如下：

第一种方法：首先打开本地连接属性（控制面板→网络连接），在“常规”选项卡中选中“Microsoft网络的文件和打印机共享”，单击“卸载”按钮，在弹出的对话框中单击“确定”即可禁止了“Microsoft网络的文件和打印机共享”，从而将这台计算机隐藏起来。

第二种方法：首先打开注册表编辑器（开始→运行→Regedit）,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”分支，在右窗格中将“Hidden”(REG_DWORD型)的值改为1（0 为不隐藏），完成后退出注册表编辑器，重新启动计算机即可。

第三种方法：首先打开“开始”菜单中的“运行”对话框，在“打开”中输入“gpedit.msc”命令，启动组策略，依次单击“计算机配置→Windows设置→本地策略→用户权利指派”，在右侧窗口中找到“拒绝从网络访问这台计算机”，双击，单击“添加用户或组”，在弹出对话框中单击“高级”，用“立即查找”功能选择确定阻止哪些用户通过网络访问计算机。使用以上办法重新设置以后，放心吧！你的这台计算机已经隐藏起来，再也不用为资源泄漏问题而担心了！

二、经常更新你的软件

为了保护计算机免受来自Internet的侵袭。我们的杀毒软件需要经常进行更新。目前大多数反病毒软件都有自动提醒功能，如果你的病毒库已经使用了一段时间而没有更新的话，杀毒软件便会弹出提醒，看到后请务必及时更新你的杀毒软件。杀毒软件对于病毒库内没有定义的病毒是无从下手的。如果做不到，你将付出惨重代价的。

另外，更新Windows操作系统本身也是很有必要。当前Microsoft出安全补丁频率是很高的。但从另一个方面来看，Microsoft虽然不能避免漏洞出现，但却一直在积极的采取措施，很有成效。从Windows98开始一直到最新的Windows版本，在开始菜单里都有一个直达Windows更新站点的链接；装有service pack 3的Windows2000以及XP还有自动更新功能，能够自动在后台下载最新的升级文件。让计算机软件处于最新版本对于计算机安全大有裨益。

同时一定要提防类似Kazaa文件的共享服务，因为这类文件共享服务和几年前相比陷阱很多，不可大意。如果你要使用这类软件来下载文件，一定要检查一下文件大小是不是合理，尤其是要核查一下你下载的文件的真名。这么做了也不能保证百分之百安全，因为Peer-to-Peer（点对点）共享软件本身就是一个不安全因素。可以去这里看看有关Kazaa被利用于病毒传播的报道。http：//www.blue198.com.cn/news/findnews/shownews.asp?newsid=4328，也可在www.google.上搜索“Kazaa”来获悉相关的信息。

三、配置Windows XP防火墙

安装和配置防火墙是当前一种有效地保护你的计算机或网络的好办法。但是需要有一部集成防火墙/NAT的Cable/DSL路由器，或者一款防火墙软件，比如ZoneAlarm，BlackIce。也可以使用Windows XP家庭版或者专业版。我们在此将要配置的防火墙，以及大多数防火墙软件，其默认配置都是将所有的数据接收端口关闭。所以，如果你想要让一台Internet上的计算机访问你所在网络内的某些部分，你就必须对默认配置加以修改。同时，也需要对应用程序进行检查，以确定它们各自将使用哪些端口。所有的软件厂商都会在自己的软件中加上这些信息的。现在我们就来对两种最普遍的防火墙进行配置。主要角色：Windows XP操作系统内带的防火墙程序及一台普通的cable/DSL路由器。

如何配置WindowsXP防火墙呢？首先需要激活防火墙。以英文版XP为例，进入“start/control panel/network and Internet connections/network connections” ，然后右键单击你的Internet连接，选择“properties” ，当进入属性页后选择“advanced”标签，然后点击“Internet Connection Firewall”即可。 目前我们所做只是使一个包过滤和链路级网关的合成体开始工作。现在你的计算机将会记录下那些意图访问Internet的本地程序，以便在对传入数据检查时作为参照。未被请求的数据包都会被防火墙拒之门外。如果你也选择开启Internet连接共享，防火墙便也会受理那些来自与你同网的计算机的请求，就像网关一样。XP的防火墙能够有效的阻隔外界未经授权的数据。

另外，配置防火墙服务也很关键，因为XP的防火墙无法对你发送的数据进行过滤，这是其主要的不足之处。这也是危险隐患。因为你的计算机很有可能在你不知情的情况下被安置了特洛伊木马程序，木马程序回将你的个人信息发送至外网的预设地点。不对传出数据进行过滤，意味着对木马程序敞开大门。鉴于这个原因，你更需要保证经常更新杀毒软件了。如果你想允许外网访问内网内计算机上的程序，比如网页或者FTP服务器，你必须在防火墙的设定栏里进行配置。进入Internet连接属性的高级标签，单击对话框底部“settings”按钮。屏幕上的每个列表选项都代表了一个操作系统的预置服务，你可以设定允许某个服务能从特定的端口能被外网的其它计算机访问到。比如，选中“Web Server（HTTP）”列表项目，然后单击“edit”按钮。这时候可以看到，弹出的对话框列出了对该服务的描述，这有利于操作的便利性。“name or IP address of the computer hosting this service on your network”——建立此服务的主机名或IP地址——这个文本框里需要填写你希望能够被外网访问的内网计算机的名字或IP地址。“The External Port ＃”（外部端口号）用于指定该内网HTTP服务向外网开放的端口号。“The Internal Port ＃”（内部端口号）用于指定内网计算机访问问此服务的端口。倘若该HTTP服务运行在某台内网计算机而非网关上时，就需要填入运行服务的内网计算机的服务端口 。这个步骤叫做端口映射。利用端口映射可以实现从Internet到局域网内部机器的特定端口服务的访问。如何才能实现轻松创建你自己的服务呢？其实很简单，你只需要搞清楚所要向外网开放的服务用的是哪个端口，并且还要知道它是遵循TCP还是UDP协议。如果图个省事，在端口映射时让外部端口号与内部端口号保持一致就可以了。

大家都知道，近年以来各种病毒和黑客软件层出不穷，尽管有了五花八门的网络防火墙和杀毒软件保护，却也时常令人防不胜防。所以还要提醒大家注意：在我们使用电脑中，为了资料的本地安全必须层层设防，不可大意；不仅仅要打开病毒防火墙，还要打开网络防火墙——确保计算机和整个内网的安全，有了这样的“多重保险”我们才可以在网络中更有安全感！
[/table]

我行我素2008

一、IP地址盗用方法分析

　　IP地址的盗用方法多种多样，其常用方法主要有以下几种:

　　1、静态修改IP地址

　　对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。

　　2、成对修改IP-MAC地址

　　对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。

　　另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

　　3、动态修改IP地址

　　对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗并不是一件很困难的事。

二、防范技术研究

　　针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。

　　1、交换机控制

　　解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

　　2、路由器隔离

　　采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如:

　　a. 使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;

　　b. 向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送;

　　c. 修改路由器的存取控制列表，禁止非法访问。

　　路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。

　　路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。

　　3、防火墙与代理服务器

　　使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义;合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。

　　使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦;另外，对于大数量的用户群(如高校的学生)来说，用户管理也是一个问题。



快速更改自己的IP地址

第一招：批处理

我们知道在命令行下用netsh命令更改IP的步骤是：
1。在运行栏裡输入cmd打开命令提示符
2。输入netsh 回车
3。输入int ip 回车
4。输入set address name="本地连接" source="static" addr=ip mask=255.255.255.0 Gateway 1
(解释一下 set address是更改IP的命令，name=你要更改IP的连接名称、source=设置成静态的IP 、
addr=要更改成的IP、mask=子网掩码 、gateway是你的网关IP、 后面的1是到达网关的跃点数。)
等待几秒鐘会出现一个”确定“的信息，表示你的IP已经更改成功了，不信用ipconfig /all检验一下。
知道了命令的用户我们就可以把它写成批处理如下：

@ echo off
echo This Programe will change your Ipaddress and Gateway.
echo Press any key to continue
pause >nul


rem 设置变量
set Nic=本地连接  
rem //可以根据你的需要更改,
set Add=202.96.134.9
rem //可以根据你的需要更改
set Gat=202.96.134.60

netsh interface ip set address name=%Nic% source=static addr=%add% mask=255.255.255.0 %Gat% 1
rem //顺便把DNS也改掉
netsh interface ip set dns name=%Nic% source=static addr=%add% primary

echo OK!

注：把上面代码复制到空白的记事本裡，把“Nic=、Add= Gat=”更改成你自己的值然后另存為*.bat即可



第二招 利用Dump导出导入配置文件
在命令提示符下输入netsh -c int ip dump >c:\net.txt
然后打开C盘，你将会看到一个net.txt的文本文档打开它会看到下列信息
注：各人电脑上的信息会有所不同

# ----------------------------------
# 介面 IP 设定         
# ----------------------------------
pushd interface ip


# "Local Area Connection" 的介面 IP 设定

set address name="Local Area Connection" source=static addr=202.96.134.9 mask=255.255.255.0
set address name="Local Area Connection" gateway=202.96.134.60 gwmetric=0
set dns name="Local Area Connection" source=static addr=202.96.134.60 register=PRIMARY
add dns name="Local Area Connection" addr=202.96.134.1 index=2
set wins name="Local Area Connection" source=static addr=none


popd
# 介面 IP 设定结束

把“addr=、gateway= 改成你自巳的值即可 注意第一个addr=后面跟著的是你的IP地址、第二个addr=后面
跟著的是你的主DNS地址，更改后把它别存為net1.txt。再次打开命令提示符，输入netsh -f c:\net1.txt
稍等一会，使用Ipconfig /all查查看ip是不是已经更改成功了。以后你就可以使用netsh -f c:\net1.txt
或进netsh -f c:\net.txt 在两者之间快速切换了。当然你也可以把它们写成两个批处理或者创建一个快捷
方式更方便的执行。


第三招 利用Netsh 的exec命令
打开记事本输入
int ip
set address name="Local Area Connection" source=static addr=202.96.134.9 mask=255.255.255.0 202.96.134.60 1
set dns name="Local Area Connection" source=static addr=202.96.134.60 register=PRIMARY
注：addr=更改成你自己的值。
然后把它另存為c:\*.sh
打开命令提示符输入netsh exec c:\*.sh

稍等一会你的IP就更改成功了。



利用上面的三种方法再加以优化我相信你一定会把更改IP做得更好更简单.例如我们可以把第三种方法改成一键更改IP地址。
新建了一个*.sh文件之后我们在桌面上新建一个快捷方式,命令指向為c:\windows\system32\netsh.exe exec c:\*.sh 把它取一个名字。然后右击你刚创建的快捷方式切换到“快捷方式”选项卡在“快捷键”裡指定一个快捷键例如F6，在“运行方式”裡选择“最小化”。单击确定以后你只要按一下F6键就可以悄无声息的更改IP了。够快够简单吧!


(第三种方法试过,可行)
[/table]

我行我素2008

随着计算机网络的普及，各种各样的口令也成为我们网络生活的一部分。可是，有相当多的用户安全意识不够强烈，宁可采用自己的“土方法”，也不愿意听取安全专家对于口令选取的建议，而他们的口令有很多是高风险的。为了使大家对此有一个形象的认识，笔者参考了十数个黑客软件的工作原理，按照口令破译的难易程度，以破解需要的时间为排序指标，制作了这张危险口令排行榜。

　　 第一名：使用用户名（账号）作为口令。尽管，这种方法在便于记忆上有着相当的优势，可是在安全上几乎是不堪一击。几乎所有以破解口令为手段的黑客软件，都首先会将用户名作为口令的突破口，而破解这种口令几乎不需要时间。不要以为没有人会采用这种愚蠢的办法，根据有经验的黑客反映，在一个用户数超过一千的电脑网络中，一般可以找到10至20个这样的用户，而他们则成为了黑客入侵的最佳途径。

　　 第二名：使用用户名（账号）的变换形式作为口令。使用这种方法的用户自以为很聪明，将用户名颠倒或者加前后缀作为口令，既容易记忆又可以防止许多黑客软件。不错，对于这种方法的确是有相当一部分黑客软件无用武之地，不过那只是一些初级的软件。一个真正优秀的黑客软件是完全有办法对付的，比如说著名的黑客软件John，如果你的用户名是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如fool123、fool1、loof、loof123、lofo等作为口令，只要是你想得到的变换方法，John也会想得到，它破解这种口令，几乎也不需要时间。

　　 第三名：使用自己或者亲友的生日作为口令。这种口令有着很大的欺骗性，因为这样往往可以得到一个6位或者8位的口令，从数学理论上来说分别有1000000和100000000种可能性，很难得到破解。其实，由于口令中表示月份两位数数字只有1～12可以使用，表示日期的两位数数字也只有1－31可以使用，而8位数的口令其中作为年份的4位数铁定是19xx年，经过这样推理，使用生日作为口令尽管有6位甚至8位，但实际上可能的表达方式只有100×12×31= 37200种，即使再考虑到年月日三者共有六种排列顺序，一共也只有37200×6=223200种，仅仅是原来100000000的1/448，而一台普通的P200计算机每秒可以搜索3～4万种，仅仅需要5.58秒时间就可以搜索完所有可能的口令。如果再考虑到实际使用计算机人的年龄，1930～1980就可以概括掉大多数的可能性，那么搜索需要的时间还可以进一步缩短。

　　 第四名：使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。前几种只需要时间一定能破解，而这一种则未必。如果你选用的单词是十分偏僻的，那么黑客软件就可能无能为力了。不过不要高兴得太早，黑客多有一个很大的字典库，一般包含10万～20万的英文单词以及相应的组合，如果你不是研究英语的专家，那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。如果是那样的话，以20万单词的字典库计算，再考虑到一些DES(数据加密 算法 )的加密运算，每秒1800个的搜索 速度 也不过只需要110秒。

　　 第五名：使用5位或5位以下的字符作为口令。从理论上来说，一个系统包括大小写、控制符等可以作为口令的一共有95个，5位就是95的5次方=7737809375种可能性，使用P200虽说要多花些时间，不过最多也不过53个小时，如果考虑到许多用户喜欢使用字母加数字，那么62的5次方= 916132832种可能性，只需要6.23小时就可以破解，再考虑还有更多的用户只喜欢使用小写字母加数字作为口令，那么就只有36的5次访= 60466176种可能性，那就只需要25分钟就可以破解。可见5位的口令是很不可靠的，而6位口令也不过将破解的时间延长到一周左右。

　　 那么，怎样的口令才是安全的哪？首先必须是8位长度，其次必须包括大小写、数字字母，如果有控制符那么更好，最后就是不要太常见。比如说：e8B3Z6v0或者fOOL6mAN这样的密码都是比较安全的。不过再安全的密码也不是无懈可击的，只有安全的密码配上3～6个月更换一次的安全制度才是真正安全的
[/table]

我行我素2008

1、对染毒软盘DIR操作会导致硬盘被感染(错)

　　如果计算机的内存没有病毒，那么只有在执行了带有病毒的程序(文件)后，才会感染计算机。而DIR命令是DOS的内部命令，不需要执行任何外部的程序(文件)，因此对染毒软盘进行DIR操作不会感染病毒。

　　不过需要注意的是，如果计算机内存已有病毒(或者说计算机已染毒)，如果对没有染毒的软盘进行DIR操作， 就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。

　　2、将文件改为只读方式可免受病霉的感染(错)

　　某些人认为通过DOS的外部命令ATTRIB，将文件设置为只读会十分有效地抵御病毒。 其实修改一个文件的属性只需要调用几个DOS中断就可以了，因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。

　　3、病毒能感染写保护的磁盘(错)

　　由于病毒可感染只读文件，不少人由此认为病毒也能修改在写保护磁盘上的文件。事实上，磁盘驱动器可以判断磁盘是否写保护，是否应该对其进行写操作，这一切都是由硬件来控制的，您可以物理地解除PC的写保护传感器，却不能用软件来做这件事。

　　如果您的软驱是正常的，而软盘的写保护一次也没有取下来，绝对不会感染病毒。但是如果您取下来了，并且用带毒的机器DIR过，则完全有可能感染病毒。注意这个DIR是从机器向软盘感染病毒，而不是把病毒从软盘传染到机器。

　　写保护和文件只读方式不同，设置文件只读方式是通过计算机，所以病毒能插上一手，可是写保护非要人手参与不可，病毒可没办法把写保护弄掉。计算机不能对写保护磁盘进行改写，这是任何操作都无法改变的(除非您把驱动器弄坏)。

　　4、反病毒软件能够杀除所有已知病毒(错)

　　病毒感染方式很多，有些病毒会强行覆盖执行程序的某一部分，将自身代码嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，因此这种病毒是无法安全杀除的。 病毒破坏了文件的某些内容， 在杀除这种病毒后是不能恢复文件的原貌的。

　　5、使用杀毒软件可以免受病毒的侵扰(错)

　　目前市场上出售的杀毒软件，都只能在病毒泛滥之后才“一展身手”。但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以，应该选择一套完善的反毒系统，它不仅应包括常见的查、杀病毒功能，还应该同时包括有实时防毒功能，能实时地监测、跟踪对文件的各种操作，一旦发现病毒，立即报警，只有这样才能最大程度地减少被病毒感染的机会。

11、发现CMOS中有病毒(错)

　　CMOS是微机中的一种特殊存储器，记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要，所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒，但在CMOS中并不存在病毒。

　　有时，机器发生问题，问题出在CMOS设置上，有人认为，这是躲藏在CMOS里面的病毒!因而误认为杀毒软件不行，采取对CMOS存储器又是放电、又是短路的措施，重新设置CMOS参数后，机器恢复了正常，从此确信CMOS中有病毒。这种行为及其危险，很容易将主板搞坏。我们说“CMOS设置破坏者病毒，不等于CMOS中有病毒!病毒不能将自身自动传染到CMOS里面而存留和被激活!”，“病毒可以将CMOS设置改变或加密，但用户也可以重新设置和恢复。”

　　某些情况下，如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS 设置紊乱，也可以说，是紊乱性加密，因而，造成机器不能引导或不能正常工作。这时，一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码，然后再设置正确参数。

　　CMOS中不会有病毒寄生，因为:

　　(1)CMOS是通过I/O读写与CPU交换数据的， CPU的物理机能决定了只能读写CMOS的数据，不能把CMOS中的数据当作指令代码来执行。而病毒想要工作的话就一定要执行其程序码，但CMOS只是用来存放数据的，在CMOS中的数据不是可执行的，所以并没有CMO5病毒，只有会破坏CMOS数据的病毒。

　　(2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行，存储在CMOS中的“病毒程序”将毫无作用，病毒不能在CMOS中蔓延或藏身于其中。

　　(3)CMOS的有效存储容量只有128个字节，不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件，不可能有病毒存在。

　　12、发现Cache中有病毒

　　与CMOS中没有病毒一样，Cache中也是根本不可能存在病毒的。

　　我们知道，程序执行时，数据流是这样被传送的:

　　外存(软/硬盘)

　　网络=>内存(RAM)=>Cache->CPU

　　Cache物理器件上是一块高速缓存芯片，它被设置在RAM与CPU之间，是RAM到CPU的一条必由通道。由于CPU的运算速度越来越快，而计算机的内存(RAM)的速度总是显得跟不上CPU。“为了缓解CPU与RAM之间的速度矛盾，一般采用在它们之间加入一块高速缓存芯片Cache，使同一时间下 RAM为CPU准备的代码不再是单一的指令/数据，而是一长段指令序列或可访问数据块。

　　可见Cache中存放的是非静态数据(计算机用语中的“数据”包括“程序代码”)， 它总是随程序的执行在不断刷新，被RAM中的数据不断更换。它的内容总是RAM中数据的某一部分的备份。

　　如果RAM中有了病毒，其病毒代码将经由Cache送到CPU，由CPU解码执行。病毒代码“流经” Cache这一现象并不能称为“有Cache病毒”，就好像我们不能因为病毒代码在CPU中执行就认为有CPU病毒一样。事实上，从PC机的组成原理来看，所有病毒都必须经由Cache进入CPU，因为所有正常或非正常数据都是这样进入CPU中解码执行的。

　　此外，Cache中不可能有病毒的重要原因之一也在于Cache不能被软件编址，无法人为控制。

　　和CMOS不一样的是，Cache并没有专用电源供电。因而Cache中的数据将在关机后自动清除，在开机时自动刷新。这样的环境中的“病毒”是既无法存储又无法复制的。可见，Cache并不是病毒的安乐窝， 没有人会考虑在这样的环境中置放病毒。

　　13、病毒不感染数据文件(错)

　　通常是这样。因为病毒是一段程序，而数据文件一般不包含程序，当然就不会感染病毒.TXT、.PCX等文件因为肯定不包含程序，所以可能不会感染病毒。不过有些病毒会破坏各种文件，所以备份数据文件还是非常必要的。作为例外的是，若数据文件包含了可执行码，那么它就能够被病毒感染了。关于这方面的一个好的例子Microsoft Word文件(.DOC和.DOT)。虽然word文件是技术上的数据文件，但Word中可以包含一段程序，因此它们能够容纳病毒，并因为是可执行文件，故而是容易受病毒感染的。目前大部分的病毒感染报告都是来源于宏病毒。

　　14、安装有实时杀毒功能的防火墙，就万事大吉了(错)

　　有很多用户持一种错误的观念，以为只要买了杀毒软件，特别是只要安装了有实时杀毒功能的防火墙，就能挡住所有病毒，万事大吉了—这是大错而特错的。从 1999年4月26日CIH病毒大发作的情况来看，安装了病毒防火墙且于1998年9月以后至少升级过一次的，都没有受到CIH病毒的攻击，而那些虽然安装且运行病毒防火墙，却太久没有升级的用户，有相当大的比例不幸成为CIH病毒的牺牲品。究其原因，完全是没有及时升级，使原有的杀毒软件无法具备防范查杀、阻击CIH病毒的能力。因此，我们要再一次特别郑重地提醒用户，不管您使用的是什么样的杀毒软件，它的生命力在于及时地不停升级，否则，当一个全新的病毒袭来的时候，旧版本的杀毒软件将会形同虚设。请用户一定要随时关注反病毒厂家关于新病毒的流行通报，及时升级，以免造成不必要的损失。
[/table]

我行我素2008

一：密码安全  
无论你是申请邮箱还是玩网络游戏，都少不了要注册，这样你便会要填密码。大多数人都会填一些简单好记的数字或字母。还把自己的几个邮箱、几个QQ和网络游戏的密码都设成一样。在网上你有可能会因为需要而把密码告诉朋友，但若那位朋友的好奇心很强的话，他可能会用你给他的这个密码进入你的其他邮箱或QQ，你的网上秘密便成了他举手可得的资料了。因此建议，你最常用的那个邮箱密码设置一个不少于7位的有字母、数字和符号组成的没有规律的密码，并至少每月改一次。其他不常用的几个邮箱密码不要和主邮箱的密码设成一样，密码可以相对简单点，也可以相同。不过密码内容千万不要涉及自己的名字、生日、电话（很多密码字典都是根据这些资料做出来的）。其他的密码设置也是同样道理，最常用的那个密码要设置的和其他不同，免得被人“一路破”。  
顺便提醒一下，不要把写有你密码的那本笔记本放在你认为安全的地方。  


二：QQ安全  
QQ即OICQ，是腾讯公司出品的网络即时聊天工具，现在的用户多的惊人！所以现在针对QQ的工具也十分之多。这里在提一下QQ的密码安全，你在申请完QQ后第一件事就是去腾讯公司的主页上的服务专区申请密码保护，这点很重要，但也很容易被忽略。  
现在言归正转，说QQ的安全，在网上用QQ查IP地址（IP地址是一个32位二进制数，分为4个8位字节，是使用TCP/IP协议的网络中用于识别计算机和网络设备的唯一标识）的事情极为普遍。QQ查IP可以用专门的软件，也可以用防火墙或DOS命令，这里不详细说明。IP被查到后，不怀好意的人可以用各种各样的炸弹攻击你，虽然这些攻击对你的个人隐私没什么危害，但常常被人炸下线，这滋味一定不好。  
解决办法有两种：  
1.不要让陌生人或你不信任的人加入你的QQ（但这点很不实用，至少我这样认为）。  
2.使用代理服务器（代理服务器英文全称Proxy Sever，其功能就是代理网络用户去取得网络信息，更确切地说，就是网络信息的中转站）。设置方法是点击QQ的菜单==>系统参数==>网络设置==>代理设置==>点击使用SOCKS5代理服务器，填上代理服务器地址和端口号，确定就好了，然后退出QQ，再登陆，这就搞定了。（代理服务器的地址可以到“古巴星云”或“代理猎手http://ipsky.3322.net”去找）  
QQ密码的破解工具也很多，你只要把密码设的复杂点，一般不容易被破解。所以恶意攻击者可能会使用GOP木马，这是一款针对QQ密码的木马，具体我没用过，所以不在这里乱说。据了解，运行GOP木马后会弹出窗口说“恭喜你！你以中了大奖！请到本公司认领奖品！附带你的有关证件，切记！”。具体关于木马，我会在下下节说。  


三：代理服务器安全  
使用代理服务器后可以很有效的防止恶意攻击者对你的破坏。但是天下没有白吃的午餐，因为你再使用代理服务器后你的上网资料都会记录在代理服务起的日志中，要是那个网管想“关照”你一下的话，你是一点生还余地都没有的。（除非你进入代理服务器删了他的日志:P）  


四：木马防范  
木马，也称为后门，直截了当的说，木马有二个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入如你的计算机，通过指挥服务器程序达到控制你的计算机的目的。千万不要小看木马，它可以所定你的鼠标、记录你的键盘按键、修改注册表、远程关机、重新启动等等功能。想知道木马的危害有多大的话，建议你去http://www.starkun.com下载一个“冰河”研究。这可是能让你一步成为纵横网络菜菜鸟中的极品工具，可不要因为“冰河”而学坏了呀~~  
想不中木马，先要了解木马的传播途径：  
1：邮件传播：木马很可能会被放在邮箱的附件里发给你。因此一般你不认识的人发来的带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的。  
2：QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东，你接受后运行的话，你就成了木马的牺牲品了。  
3：下载传播：在一些个人网站下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。  
万一你不幸中了木马的话，立刻开启你的杀毒程序，接下来等着木马杀！杀！杀！（现在的杀毒程序能查杀大不份的木马）。另外手工清除木马的方法我就不说了，这涉及注册表知识，而且也没杀毒程序来得方便（我这样认为）。  


五：病毒防杀  
计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。  
从目前发现的病毒来看，计算机感染病毒后的主要症状有：  
1：由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来，磁盘坏簇莫名其妙地增多。  
2：由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量加大。  
3：由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。  
4：由于病毒程序本身或其复制品不断入侵占系统空间，使可用系统空间变小。  
5：由于病毒程序的异常活动，造成异常的磁盘访问。  
6：由于病毒程序附加或占用引导部分，使系统引导变慢。  
7：丢失数据和程序。  
8：中断向量发生变化。  
9：打印出现问题。  
10：死机现象增多。  
11：生成不可见的表格文件或特定文件。  
12：系统出现异常活动。  
13：出现一些无意义的画面问候语等。  
14：程序运行出现异常现象或不合理的结果。  
15：磁盘卷标名发生变化。  
16：系统不认识磁盘或硬盘，不能引导系统等。  
17：在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。  
18：在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。  
19：异常要求用户输入口令。  
你想尝试一下中病毒的滋味的话可去cn.yeah.net>http://badbocn.yeah.net下载病毒感染模拟器。  
若你现在发生以上状况，千万不要迟疑，遵循以下步骤处理：  
1：立刻关掉电源。  
2：找“决对干净”的DOS系统磁盘启动计算机。这时，记得要关上这张磁盘个写保护。  
3：用杀毒软件开始扫描病毒。  
4：若侦测到是文件中毒时，则有三种方试处理：删除文件、重命名文件或是请除病毒。记住：千万不要对中毒文件置之不理，特别是不能让其停留在可执行文件中。  
5：若侦测到的是硬盘分区或引导区的病毒时，则你可以用干净的DOS磁盘中的FDISK指令，执行FDISK/MBR命令，以恢复硬盘的引导信息；或是在A驱中执行A:/>SYS C:（C:为中毒磁盘），以救回硬盘引导区的资料。  
6：现在，可以重新建文件、重新安装软件或 ，准备备份资料，请切记，备份资料在重新导入系统前，应先进行扫描，以防万一。  
7：千万记住，重新建文档到开始运行之前。应再次扫描整个系统，以免中毒文件不小心又被存入系统中。  
8：现在可以安心的开始操作计算机了。  
注意：每周要记得更新一次病毒库。  


六：网吧安全  
这里的内容很简单，让你一看就懂。如果你在网吧上网时使用QQ，进过自己的邮箱（或其他需要你输入密码的地方）。那就请你在离开网吧是，到C:Program FilesTencent将自己的QQ号所在的文件夹删了。再到C:WINDOWSCookies把里面和你有关的内容都删了。接下来你就可以放心的走了，因为涉及你密码的资料以被你删了。  
不过现在很多网吧都装有“美萍”这类安全软件，所以你无法直接访问本地C盘，所以建议在网吧不要使用QQ和进入需要密码的地方（更有些可恶的网管在网吧设置键盘记录）。如果你现在正坐在某网吧看这篇文章，还有QQ和朋友聊的热火朝天。那你可以在腾讯的浏览器的地址栏上键入C:，这样你就能访问C盘了。不过现在大多网吧的安全软件都升过级，这招不一定能用