打造系统御毒金钟罩.docx
《打造系统御毒金钟罩.docx》由会员分享,可在线阅读,更多相关《打造系统御毒金钟罩.docx(14页珍藏版)》请在冰点文库上搜索。
打造系统御毒金钟罩
无毒防毒有毒杀毒:
打造系统御毒金钟罩
从小就被俺家的父母教导“做什么事情都得安全第一”,事实的确如此,如今的IT业中这一观点同样深入人心。
俺接触电脑已有多年,从一个“鸟蛋”已经成长为了如今的“反病毒高手”(自封的)。
俺第一次使用的杀毒软件就是江民公司出品的,当时仅仅知道一个叫CIH的病毒且听说KV对其有特效就买了它。
如今多年下来,已经对其有了浓厚的感情,对其每一代产品都有比较深入的见解。
好,切入正题……
多年前,盛行一时的引导区病毒及像CIH这类仅仅通过文件、软驱、光驱感染的病毒如今已不多见(当然还是不能对他们掉以轻心),所以这里暂且不说他们。
防毒篇:
防患于未然 给系统打补丁
“反病毒”的话题一定要从防病毒开始,谁愿意自己中毒了然后慢慢去杀掉。
目前绝大多数蠕虫、后门等病毒都是利用系统漏洞入侵用户系统的,像“冲击波”“震荡波”“极速波”全部是利用系统漏洞感染用户电脑然后又开始新一轮疯狂传播的,这些可恶的东西别看体积小,一旦多起来势不可挡,甚至造成全球网络瘫痪。
所以补漏成了当前的头等大事。
如何给系统打补丁呢,最好的方式是通过Windows Update这个东东,每个Windows系统中都有,目前微软公司会在每个月的第二个星期二发布安全更新,简体中文版的一般会相对晚一天发布。
当然利用其他软件也能做到这一步,像KV2005的安全中心就有简单的漏洞提示功能,现在的KV2006已经具备了完善的漏洞扫描功能,能全方位扫描并弥补系统的安全隐患。
这里给大家一些基本建议:
首先得放弃使用Win9X、ME系统,这类系统因为先天不足,所以无论怎么补都是非常不安全不稳定的。
对于Win2000系统,首先必须确保自己已经安装了Service Pack 4(SP4),然后再安装后续发布的安全更新;对于XP系统,SP2是理所当然的,目前在SP2发布后的安全更新总容量也已经累积到了差不多50MB的大小,所以大家最好一边泡咖啡一边补漏,可不能性急啊;对于Windows 2003系统,个人用户用得不多,企业用户使用得比较多了,更应该注意系统的安全,打上SP1吧。
补漏不仅仅是系统,应用软件本身也会有漏洞,像Office、反病毒软件本身都会存在漏洞,所以大家也要常更新这类软件。
这里当然包括更新反病毒软件的病毒库。
这里提醒大家的是,江民公司从很早以前的每周更新一次已经晋升为每日更新(包括双休日),遇到紧急病毒会随时更新,最大限度地保障用户的利益。
还有就是,关掉自己不需要的服务,可以一定限度的增强系统安全性。
比如就单机用户来说,像Service、Messenger等这类服务都是不需要的,应该立马斩断它。
关闭这些服务通常在“控制面板—管理工具—服务”中进行,当然也可以修改注册表。
这类操作具有一定危险性,应当有高人指导,呵呵。
还有一点,就是建议大家把系统“自动播放”这项功能观点,现在很多病毒都利用这个人性化功能来启动自己,真是够狠的。
大家可以经常去江民网站查看安全动态新闻:
杀毒篇:
兵来将挡 水来土掩
如果不慎中毒了,就得使出看家本领了。
严格意义上来说,纯DOS下面杀毒是最彻底的,一切不能在Windows系统下清除的病毒全部可以在DOS下面杀掉,KV的DOS杀毒软件就我来看是做得最棒的,不但具有超强杀毒能力,更可贵的是使用了图形界面,而且能够加载鼠标进行操作,方便了用户。
当然KV的DOS杀毒程序早就开始支持在纯DOS下查杀NTFS分区格式了。
但是基于这个视窗时代,已经有很多人对DOS一窍不通了,所以如何在Windows下清除病毒才是这里的重点。
一些感染其他文件的病毒,在Windows下清除确实有些难度,不过事在人为。
要想在Windows下清除这些病毒最好将系统启动到“安全模式”中,进入安全模式后,系统加载的程序比较少,清除起来相对简单一些。
这时我们要做得就是先把内存中的病毒先解决掉,否则病毒会重复感染文件,杀毒将会没完没了。
从很早以前的KV3000开始,KV就具备了清除内存中病毒的能力,到现在来看,KV的内存杀毒做得相当完善,非常优秀,所以清除这些病毒简直就是小菜一碟儿。
再来说说臭名昭著的“灰鸽子后门”,这个东西在各大安全论坛上是闹到翻天覆地,它采用了Hook编程技术,将自己挂接到其他进程中(这也是很多人会说在内存中查出几十个灰鸽子的原因,实际上真正的病毒体就只有那么3、4个而已),导致无法从内存中将其干掉,若要强行将其从内存中剥离出来,势必导致崩溃。
所以必须借助一些手段——从注册表下手。
通常“灰鸽子后门”将自己注册成为服务,启动项位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下,一般来说删除它的服务,重新启动计算机就能使用KV轻松将其解决掉。
这里介绍一个小软件HijackThis,本来是用来反浏览器劫持的,不过现在基本上都被用来清除病毒,有了它做起事来就方便多了。
可惜的是现在的“灰鸽子”可是飞得越来越高了,很多都开始利用Rootkit技术了。
说道Rootkit,它也是一种编程技术,用来隐藏自身的。
本身不具备危险,但是一旦被滥用就糟了。
像上面说到的利用此技术的“灰鸽子”,我们是看不到它的,在进程中看不到,在资源管理器中也看不到。
怎么办呢?
送你把剑——冰刃IceSword,它是一个网名叫做pjf的顶尖高手写的,这个东西能看见几乎所有的隐藏东西。
下面以一个简单的Rootkit病毒为例。
一个病毒实例:
extel.exe rdriv.sys
如何知道自己是中了此病毒,很简单,就是用IceSword的进程查看,如果发现有extel.exe的存在,且此进程又属于隐藏进程,那么你多半就是中了这个病毒(注意,在IceSword中隐藏进程是以红色显示的)
清除方法:
1、欣赏一下病毒的隐藏进程,你可以看看Windows的任务管理器中是否有此进程的存在。
没有吧,再看看IceSword里面,怎么样,是否显原形了。
不要试图去结束它,没用的,病毒会反复运行(如图所示)
。
2、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具,展开并找到这两个键然后将它们删除(如图所示,注意这里只列举了其中一个注册表键值):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Externtelecom]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
3、重新启动计算机,然后找到并删除以下文件:
%Windir%\extel.exe
%Windir%\System32\rdriv.sys
%Windir%代表:
对于9X、ME、XP、2003系统为windows目录
对于2000系统为winnt目录
——上面提到的这些工具全部都可以到我的个人空间下载:
(各软件的所有权归软件撰写者所有)
经验告之,对于后门、木马这类病毒,一般都是大家在浏览一些含有病毒的网页时种下的,自己的浏览器存在漏洞才会让病毒得逞。
当然在网上下载的很多东西也会包含病毒,比如许多破解、黑客工具这些,所以平时大家要多注意。
介绍江民杀毒软件KV2006的四大领先技术
接着,我就自己对KV的认识而言来说说KV的一些比较先进的技术。
希望能够帮助大家能更好地使用KV系列杀毒软件来防御病毒。
1、KV的杀毒引擎是很优秀的,能够脱掉很多壳并能解开很多压缩包格式直接查杀,病毒再怎么伪装都无法藏匿自己。
2、KV从2005版本开始,就引入了一个叫做“木马一扫光”的组件,相比以前版本及其他杀毒软件的注册表监控技术来说要全面、强大得多。
这个功能,对付那些未知木马、后门等特别有效,能够根据病毒的行为进行阻断。
“木马一扫光”时刻监视着注册表的敏感区域,比如“启动组”“文件关联”等地方,自动判断是否阻止还是询问用户如何操作。
一年多下来这个功能不知道帮助过多少用户免于新病毒的威胁。
通常来说自己不比手动设置,默认的已经是比较理想的了。
下面是关于它的截图:
3、江民公司凭借多年的反病毒经验,研发了一个非常强大的“未知病毒检测工具”,以概率的形式判断未知病毒的可能性,在25%以上概率的文件都得引起重视。
准确率是相当高的。
这个工具使用也非常简单,运行后只需要点击“扫描”按钮即可。
对于扫出的可疑文件,可以右键点击它选择“结束进程”“删除文件”等,非常方便,利用好了,还可以帮助解决许多难缠的病毒。
注意到没,这个工具有个“样本库”的功能,我们能直接将新病毒样本添加进去,通过这个“未知病毒检测”工具直接查杀了,不需要等到下一次KV的升级,很方便。
利用这个功能我们还可以做许多事情,比如自己添加“流氓软件”样本查杀。
实际上这就是一个非常方便的DIY杀毒、反间谍软件。
4、KV2006的一个重头戏——BootScan功能。
这个功能很实用,它的作用和DOS杀毒非常相似,能够轻易解决在Windows环境下无法清除的病毒。
这个功能只需要到KV2006的参数设置中设置一下,然后重新启动计算机即可实现,无须人为干涉。
前面说的“灰鸽子后门”“Rootkit类后门”全部可以通过它轻松解决。
因为不是依靠DOS杀毒的引擎,所以脱壳及解包能力都比KVDOS强,扫描速度很自然的比DOS下快。
要是哪一天微软彻底抛弃了DOS,相信这项技术肯定会成为KV最闪亮的光点。
——KV系列杀毒软件还有许多优点,技术先进,这些还必须从实际慢慢体会。
还是那句话,病毒也只是程序,并不可怕,可怕的是我们自己没有一种安全的信念!
升级会员 