计算机病毒

对病毒的直接查杀和防范  首先要研究一个问，就是为什么病毒还能绕过杀毒软件来侵入电脑。其实，很多杀毒软件的开发水平应该都是很高的。但是，似乎经常性的让很多用户感觉是没防住的。为什么会造成这样的现象呢？ 　　 我们猜想有这样几方面的情况： 　　 1. 新病毒无法防御。 　　 因为杀毒软件主要采用的是特征码的检查方式，所以，无法对刚出来的病毒进行特征码检查。 　　 2. 有些软件虽然自己不是病毒，但是却到处破坏安全规则，比如，经常性的弹出一个框来，让用户到不良网站上去。因为杀毒软件不能当病毒来杀，所以病毒通过这个渠道又进来了。 　　 3. 所有的新安装软件在刚使用时，会引起杀毒软件的报警，报警会弹出一个窗口来问：是否允许呢？这是因为杀毒软件无法判断是否病毒，所以就只好来问一下。从理论上说，只要对正常的软件来确定一下，对非正常的软件来否认一下就可以了。但是对一个企业的网络来说，这实际又是不现实的。因为企业里有很多人，每个人的计算机水平是不同的，而面对提问的次数又很多，总有的人会选择允许，总有的人会选择拒绝。即使你是计算机很熟悉又很小心的人，当你日复一日的面临不停的提问时，总有一次你会疏忽，哪怕是手误，而这一次就决定了你的计算机将从此陷入无尽的折磨中了。 　　 4. 杀毒软件对已经入侵的病毒只能杀掉一部分，但是对很多是无能为力的。杀毒软件不能对付已入侵的病毒，这跟软件的设计构架有关。操作系统给于软件分配了不同的权限，当病毒没有运行起来时，杀毒软件具有查杀的权限。当病毒运行起来时，往往就可以有和杀毒软件一样的权限了，或者说双方已经平等了，所以杀毒软件不能完全查杀病毒也就不奇怪了。 　　 5. 其他计算机对同一网络内的计算机发送的病毒的抵抗能力很弱。这是跟网络的使用方式有关。因为在内部计算机需要使用大量的应用，包括文件共享等工作，所以需要采用信任域的方式来协同工作。在病毒没有入侵网络时，病毒能找到的入侵途径就是前面所说的上网或外设。一旦入侵了网络，就可以借助内部信任的网络服务来更容易的扩散。所以，时间一久，网络内的计算机就逐渐的被病毒渗透，逐渐的陷入了瘫痪。　　杀毒的主体是杀毒软件，这已经被现在的应用所证明了的。但是，从上面的分析来看，现在的杀毒软件构成的体系似乎是肯定在某个情况下要被突破，事实上也是如此。当一个计算机熟悉的人员，并且小心的使用计算机时，如果使用了顶尖的杀毒软件时，实际上用上很多年也不会有问题。但是在一个网络中，则由于网络中的计算机的关联性和可信任性，总有计算机被突破，网络也总会面临危机。 　　那么，怎么在病毒木马入侵后及时有效的发现感染迹象呢？这将提供及时的线索，以便在确定后对感染源采取隔离措施。 　　 所以，还需要引入更多的机制，来及早的发现和管理网络的病毒感染情况。 　　新的监控分析方法： 　　 清扬内网管理软件引入了运行特征分析的功能，简单的说：就是对进程、注册表、netstat等运行情况进行分析，用统计和比对的方式来提供对计算机运行情况的了解和掌握。 　　 1. 病毒也是程序，所以病毒活跃时总以进程的形式存在。深一步，任何进程需要调用特定的模块DLL，这就构成了一个运行特征。通过对进程及其调用模块的分析，将进一步的显示出对病毒的珠丝马迹来。 　　 2. 其次就是注册表的监控，病毒需要潜伏，通常需要寻找一个注册表引导区来潜伏，否则等计算机一重起，病毒就失效了。注册表的是操作系统的核心，留出的引导区域是有限的。通过对这些引导区域的全网统一监控，通过对这些引导区增删改的监控，将极大的提高对病毒入侵的行为的发现。除了对一些常用的引导区域，注册表监控也将提高了象通过修改文件关联项这样的病毒的管理能力，修改了TXT或EXE文件的关联项的病毒是很难发现和处理的。 　　 3. 其他的监控。通过netstat可以来看到活跃的网络活动连接，开异常的端口应该引起网管人员的重视。 　　 4. 管理木马的说明：通常，为破坏计算机运行为目的的病毒的行为可能更加的诡异一些，木马的目的在于提供控制和窃取数据的手段，所以更加象一个正常的程序。尤其是一些特定的木马，用寻常的杀毒办法可能更加不容易。但是以上的监控手段却可能更加的有效用。 　　 通过建立一个独立的全网式的运行监控手段，实际是达到了对网络运行状态的有益的监测手段。一个网络内的计算机因为工作相关的缘故，通常使用非常雷同的软件，所以为大规模的进程、注册表等运行特征的比对提供了可行性。往往容易在比对中逐渐剥离出异常来。 　　 对个人用户来说，上面的介绍的方法可能不是最有用的，因为个人电脑也较为随意，很难用严格的管理来加强防护。但是对一个企业来说，适当的管理不仅是可能的，而且是必要的。因为企业的日常经营的保障是所有工作的前提，应尽力让企业的运营工作排除干扰和威胁。 　　 以上介绍了一个全面的病毒防护体系的建立。防病毒是一个长期的管理工作。单纯的依赖杀毒软件是很难持久的，用全方位的思路去管理网络，这将提高网络的安全运行的保障能力。防护需要纵深，孤立的手段是脆弱的。 　　 此外，对全网的运行状态进行有针对性的监控，也是在这里介绍的新思路，将给防病毒的管理工作带来全新的视角和手段。 如何根据名称识别计算机病毒 很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？ 　　其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。 　　世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。 　　病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 　　病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。 　　病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。 　　综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。 　　下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）： 　　1、系统病毒 　　系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 　　2、蠕虫病毒 　　蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。 　　3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 4、脚本病毒 　　脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 　　5、宏病毒 　　其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。 　　6、后门病毒 　　后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 　　7、病毒种植程序病毒 　　这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 　　8．破坏性程序病毒 　　破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。 　　9．玩笑病毒 　　玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。 　　10．捆绑机病毒 　　捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。 　　以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下： 　　DoS：会针对某台主机或者服务器进行DoS攻击； 　　Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； 　　HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。 　　你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。 区别计算机病毒与故障技巧 在清除计算机病毒的过程中, 有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起, 同时有些病毒发作现象又与硬件或软件的故障现象相类似, 如引导型病毒等。这给用户造成了很大的麻烦, 许多用户往往在用各种查解病毒软件查不出病毒时就去格式化硬盘, 不仅影响了硬盘的寿命, 而且还不能从根本上解决问题。所以, 正确区分计算机的病毒与故障是保障计算机系统安全运行的关键。 　　一、计算机病毒的现象与查解方法 　　在一般情况下, 计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散, 病毒发作时危及计算机的正常工作, 破坏数据与程序, 侵犯计算机资源。计算机在感染病毒后, 总是有一定规律地出现异常现象: 　　①屏幕显示异常, 屏幕显示出不是由正常程序产生的画面或字符串, 屏幕显示混乱; 　　②程序装入时间增长, 文件运行速度下降; 　　③用户没有访问的设备出现工作信号; 　　④磁盘出现莫名其妙的文件和坏块, 卷标发生变化; 　　⑤系统自行引导; 　　⑥丢失数据或程序, 文件字节数发生变化; 　　⑦内存空间、磁盘空间减小; 　　⑧异常死机; 　　⑨磁盘访问时间比平时增长; 　　⑩系统引导时间增长。 　　如果出现上述现象时, 应首先对系统的BOOT区、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE文件进行仔细检查, 并与正确的文件相比较, 如有异常现象则可能感染病毒。然后对其它文件进行检查，有无异常现象, 找出异常现象的原因。病毒与故障的区别的关键是, 一般故障只是无规律的偶然发生一次而病毒的发作总是有规律的。 　　这里建议使用在DOS6.0以上版本所带的MSAV软件, 它的最突出的功能是能查出所有文件的变化, 并能做出记录。 　　如果MSAV报告有大量的文件被改动, 则系统可能被病毒感染。 二、与病毒现象类似的硬件故障 　　硬件的故障范围不太广泛, 但是很容易被确认。在处理计算机的异常现象时很容易被忽略, 只有先排除硬件故障,才是解决问题的根本。 　　1. 系统的硬件配置 　　这种故障常在兼容机上发生, 由于配件的不完全兼容, 导致一些软件不能够正常运行。笔者遇到过一台兼容机, 联迅绿色节能主板, 昆腾大脚硬盘, 开始时安装小软件非常顺利, 但是安装WINDOWS时却出现了装不上的故障, 开始也怀疑病毒作怪, 在用了许多杀毒软件后也不能解决问题。后来查阅了一些资料才发现了问题所在, 因主板是节能型的,而CPU、硬盘却不是节能型的, 当安装软件的时间超过主板进入休眠时间的期限时, 主板就进入了休眠状态, 于是就由于主板、CPU、硬盘工作不协调而出现了故障。解决的办法很简单, 把主板的节能开关关掉就一切正常了。所以, 用户在自己组装计算机时应首先考虑配件的兼容性, 购买配件前应仔细阅读产品说明书。 　　2. 电源电压不稳定 　　由于计算机所使用的电源的电压不稳定, 容易导致用户文件在磁盘读写时出现丢失或被破坏的现象, 严重时将会引起系统自启动。如果用户所用的电源的电压经常性的不稳定, 为了使您的计算机更安全地工作, 建议您使用电源稳压器或不间断电源（UPS）。 　　3. 插件接触不良 　　由于计算机插件接触不良, 会使某些设备出现时好时坏的现象。例如: 显示器信号线与主机接触不良时可能会使显示器显示不稳定; 磁盘线与多功能卡接触不良时会导致磁盘读写时好时坏; 打印机电缆与主机接触不良时会造成打印机不工作或工作现象不正常; 鼠标线与串行口接触不良时会出现鼠标时动时不动的故障等等。 　　4. 软驱故障 　　用户如果使用质量低劣的磁盘或使用损坏的、发霉的磁盘, 将会把软驱磁头弄脏, 出现无法读写磁盘或读写出错等故障。遇到这种情况, 只需用清洗盘清洗磁头, 一般情况下都能排队故障。如果污染特别严重, 需要将软驱拆开, 用清洗液手工清洗。 　　5. 关于CMOS的问题 众所周知, CMOS中所存储的信息对计算机系统来说是十分重要的, 在微机启动时总是先要按CMOS中的信息来和初始化系统(当然是最基本的初始化)。在486以上的主板里, 大都有一个病毒监测开关, 用户一般情况下都设置为"ON", 这时如果安装WINDOWS95, 就会发生死机现象。原因是安装WINDOWS95时, 安装程序会修改硬盘的引导部分、系统的内部中断和中断向量表, 而病毒监测程序不允许这样做, 于是就导致了死机。 建议用户在安装新系统时, 先把CMOS中病毒监测开关关掉。另外, 系统的引导速度和一些程序的运行速度减慢也可能与CMOS有关, 因为CMOS的高级设置中有一些影子内存开关, 这也会影响系统的运行速度。 三、与病毒现象类似的软件故障 　　软件故障的范围比较广泛, 问题出现也比较多。对软件故障的辨认和解决也是一件很难的事情, 它需要用户有相当的软件知识和丰富的上机经验。这里介绍一些常见的症状。 　　1. 出现"Invalid drive specification"(非法驱动器号) 　　这个提示是说明用户的驱动器丢失, 如果用户原来拥有这个驱动器, 则可能是这个驱动器的主引导扇区的分区表参数破坏或是磁盘标志50AA被修改。遇到这种情况用DEBUG或NORTON等工具软件将正确的主引导扇区信息写入磁盘的主引导扇区。 　　2. 软件程序已被破坏(非病毒) 　　由于磁盘质量等问题, 文件的数据部分丢失, 而这程序还能够运行, 这时使用就会出现不正常现象, 如Format程序被破坏后, 若继续执行, 会格式化出非格式的磁盘, 这样就会产生一连串的错误。但是这种问题极为罕见。 　　3. DOS系统配置不当 　　DOS操作系统在启动时会去查找其系统配置文件CONFIG.SYS,并按其要求配置运行环境。如果系统环境设置不当会造成某些软件不能正常运行, 如CC++语言系统、AUTOCAD等等。原因是这些程序运行时打开的文件过多, 超过系统默认值。 　　4. 软件与DOS版本的兼容性 　　DOS操作系统自身的特点是具有向下的兼容性。但软件却不同,许多软件都要过多地受其环境的限制, 在某个版本下可正常运行的软件, 到另一个DOS版本下却不能正常运行, 许多用户就怀疑是病毒引起的。如旧版的2.13汉字系统, 在DOS 3.30下运行正常, 而在DOS6.2下运行会出现乱码现象。 　　5. 引导过程故障 　　系统引导时屏幕显示"Missing operating system"（操作系统丢失）, 故障原因是硬盘的主引导程序可完成引导,但无法找到DOS系统的引导记录。造成这种现象的原因是C盘无引导记录及DOS系统文件, 或CMOS中硬盘的类型与硬盘本身的格式化时的类型不同。需要将系统文件传递到C盘上或修改CMOS配置使系统从软盘上引导。 　　6. 用不同的编辑软件程序 　　用户用一些编辑软件编辑源程序, 编辑系统会在文件的特殊地方做上一些标记。这样当源程序编译或解释执行时就会出错。例如, 用WPS的N命令编辑的文本文件, 在其头部也有版面参数,有的程序编译或解释系统却不能将之与源程序分辨开, 这样就出现了错误。 　　7. 有关FOXBASE问题 　　经常使用FOXBASE的用户可能会发现在磁盘中会生成一些"S"字符或数字命名的文件, 还会发现某些数据库文件数据丢失。这一现象与计算机病毒极为相似, 其实造成这一现象的主要原因是用户在使用FOXBASE后，没有后退到DOS状态就关掉机器, 或在使用FOXBASE中途掉。建议用户在使用FOXBASE后返回到DOS状态后才关机, 否则不但会造成上述现象, 并且会对磁盘造成损坏。 　　在学习、使用计算机的过程中, 可能还会遇到许许多多与病毒现象相似的软硬件故障, 所以用户要多阅读、参考有关资料, 了解检测病毒的方法, 并注意在学习、工作中积累经验, 就不难区分病毒与软硬件故障了。 防御计算机病毒十大必知步骤 近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤： 　　1、用常识进行判断 　　决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件 -- 因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。 　　2、安装防病毒产品并保证更新最新的病毒定义码 　　建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”（LiveUpdate）功能。 　　3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描 　　当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。 　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。 5、不要从任何不可靠的渠道下载任何软件 　　这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。 　　6、警惕欺骗性的病毒 　　如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，如赛门铁克的网站www.symantec.com/avcenter， 证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。 　　7、使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format） 　　常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。 　　8、不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘 　　这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。 　　9、禁用Windows Scripting Host 　　Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。 　　10、使用基于客户端的防火墙或过滤措施 　　如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。 端口·木马·安全·扫描应用知识 　　一）、端口的一般含义 　　说到端口，这确实是个老话题，但一切都是从它开始的，不得不说。何谓端口，打个比方，你住在一座房子里，想让别人来拜访你，得在房子上开个大门，你养了个可爱的小猫，为了它的进出，专门给它修了个小门，为了到后花园，又开了个后门……所有这些为了进到这所房子里而开的门我们叫它端口，这些为了别人进来而开的端口称它为"服务端口"。 　　你要拜访一个叫张三的人，张三家应该开了个允许你来的门____服务端口，否则将被拒之门外。去时，首先你在家开个"门"，然后通过这个"门"径直走进张三家的大门。为了访问别人而在自己的房子开的"门"，我们称它为"客户端口"。它是随机开的而且是主动打开的，访问完就自行关闭了。它和服务端口性质是不一样的，服务端口是开了个门等着别人来访问，而客户端口是主动打开一个门去打开别人的门，这点一定要清楚。 　　下面我们从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议，协议就是计算机通信的语言，计算机之间必须说一种语言才能彼此通信，Internet的通用语言是TCP/TP，它是一组协议，它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的，端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和被动连接的服务端口两种。在Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样，从这个门走进哪个门。 　　当你装好系统后默认就开了很多"服务端口"。如何知道自己的计算机系统开了那些端口呢？这就是下面要说的： 　　二）、查看端口的方法 　　1、命令方式 　　下面以Windows XP为例看看新安装的系统都开了那些端口，也就是说都预留了那些门，不借助任何工具来查看端口的命令是netstat，方法如下： 　　a、如图1，在"开始"的"运行"处键入cmd，回车 　　b、在dos命令界面，键入netstat -na，图2显示的就是打开的服务端口，其中Proto 代表协议，该图中可以看出有TCP和UDP两种协议。Local Address代表本机地址，该地址冒号后的数字就是开放的端口号。Foreign Address代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开了，但此时还没有人进来。以第一行为例看看它的意思。 　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 　　这一行的意思是本机的135端口正在等待连接。注意：只有TCP协议的服务端口才能处于LISTENING状态。 图2 　2、用TCPView工具 　　为了更好的分析端口，最好用TCPView这个软件，该软件很小只有93KB，而且是个绿色软件，不用安装。 　　图3是TCPView的运行界面。第一次显示时字体有些小，在"Options"->"Font"中将字号调大即可。TCPView显示的数据是动态的。图3中Local Address显示的就是本机开放的哪个端口（：号后面的数字），TCPView可以看出哪个端口是由哪个程序发起的。从图3可以看出445、139、1025、135、5000等端口是开放的，445、139等端口都是system发起的，135等都是SVCHOST发起的。 图3 　　三）、研究端口的目的： 　　1、知道本机开了那些端口，也就是可以进入到本机的"门"有几个，都是谁开的？ 　　2、目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接（木马等）？ 　　3、目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还是访问到一个陷阱？ 　　当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只有TCP协议才有状态，UDP协议是不可靠传输，是没有状态的。 　　四）、服务端口的状态变化 　　先在本机（IP地址为：192.168.1.10）配置FTP服务，然后在其它计算机（IP地址为：192.168.1.1）访问FTP服务，从TCPView看看端口的状态变化。 　　下面黑体字显示的是从TCPView中截取的部分。 　　1、LISTENING状态 　　FTP服务启动后首先处于侦听（LISTENING）状态。 　　State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。 　　从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21端口，FTP默认的端口为21，可见在本机开放了FTP服务。目前正处于侦听状态。 　　inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 　　2、ESTABLISHED状态 　　现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。 　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。 　　下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。 　　inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED 　　注意：处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。后面我们要讲到这个问题。 　　3、 TIME_WAIT状态 　　现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。 　　TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。 　　[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT 　　4、小技巧 　　a、可以telnet一个开放的端口，来观察该端口的变化。比如看1025端口是开放的，在命令状态（如图1运行cmd）运行： telnet 192.168.1.10 1025 　　b、从本机也可以测试，只不过显示的是本机连本机 　　c、在Tcpview中双击连接可看出程序的位置，右键点击该连接，选择End Process即可结束该连接 五）、客户端口的状态变化 　　客户端口实际上就是从本机访问其它计算机服务时打开的源端口，最多的应用是上网，下面就以访问www.baidu.com为例来看看端口开放以及状态的变化情况。 　　1、SYN_SENT状态 　　SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。 　　下面显示的是本机连接www.baidu.com网站时的开始状态，如果你的网络正常的，那很快就变为ESTABLISHED的连接状态。 　　IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT 　　2、ESTABLISHED状态 　　下面显示的是本机正在访问www.baidu.com网站。如果你访问的网站有许多内容比如访问www.yesky.com，那会发现一个地址有许多ESTABLISHED，这是正常的，网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注意是不是IEXPLORE.EXE程序（IE）发起的连接，如果是EXPLORE.EXE之类的程序发起的连接，那也许是你的计算机中了木马了。 　　IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED 　　3、TIME_WAIT状态 　　如果浏览网页完毕，那就变为TIME_WAIT状态。 　　[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT 　　六）、端口详细变迁图 　　以上是最主要的几个状态，实际还有一些，图4是TCP的状态详细变迁图（从TCP/IP详解中剪来），用粗的实线箭头表示正常的客户端状态变迁，用粗的虚线箭头表示正常的服务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。 图4 TCP的状态变迁图 　　七）、要点 　　一般用户一定要熟悉（再啰嗦几句）： 　　1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，　　ESTABLISHED是谁在访问你的机器，从哪个地址访问的。 　　2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很短，但如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常程序发起的。 　二、木马 　　什么是木马，简单的说就是在未经你许可偷偷在你的计算机中开个后门，木马开后门主要有两种方式。 　　1、有服务端口的木马，这类木马都要开个服务端口的后门，成功后该后门处于LISTENING状态，它的端口号可能固定一个数，也可能变化，还有的木马可以与正常的端口合用，例如你开着正常的80端口（WEB服务），木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态，需要远程计算机连接它。这种木马对一般用户比较好防范，将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。 　　2、反弹型木马，反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端（黑客）地址。木马的服务端软件就像你的Internet Explorer一样，使用动态分配端口去连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，像iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。如果你不仔细看，你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意，很有可能是种木马了。 iexpiore.exe 192.168.1.10(本机IP)：1035（你的端口） Y.Y.Y.Y（远程IP）：80（远程端口） 　　或 Rundll32.exe 192.168.1.10(本机IP)：1035（你的端口） Y.Y.Y.Y（远程IP）：80（远程端口） 　　或 explorer.exe 192.168.1.10(本机IP)：1035（你的端口） Y.Y.Y.Y（远程IP）：80（远程端口） 　　三、安全 　　我们分析端口的目的就是要保证上网安全，根据以上的思路可以从以下几个方面来防范。 　　一）、关闭不需要的端口 　　对一般上网用户来说只要能访问Internet就行了，并不需要别人来访问你，也就是说没有必要开放服务端口，在WIN 98可以做到不开放任何服务端口上网，但在Win XP、Win 2000、Win 2003下不行，但可以关闭不必要的端口。图3是安装完WIN XP系统默认开的端口，以此为例关闭不必要的端口。 　　1、关闭137、138、139、445端口 　　这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一招非常好用，一次全部关闭上述端口。 开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。 　　找到图5界面后禁用该设备重新启动后即可。 图5 2、关闭123端口 　　有些蠕虫病毒可利用UDP 123端口，关闭的方法：如图6停止windows time服务。 图6 关闭123端口 　　3、关闭1900端口 　　攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击（DDoS）。另外如果向该系统1900端口发送一个UDP包，令"Location"域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。 　　关闭1900端口的方法如图7所示：停止SSDP Discovery Service 服务 图7 关闭1900端口 　　通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢？不是。因为有些端口是不能关掉的。像135端口，它是RPC服务打开的端口如果把这个服务停掉，那计算机就关机了，同样像Lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口，对于不能关闭的端口最好的办法一是常打补丁，端口都是相应的服务打开的，但是对于一般用户很难判断这些服务到底有什么用途，也很难找到停止哪些服务就能关闭相应的端口。最好的办法就是下面我们要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里，只要你在房子的四周建了一堵密不透风的墙，那对于墙里的房子就是安全的。 　　二）、安装防火墙 　　对于一般用户来讲有下面三类防火墙 　　1、 自带的防火墙 　　关于Win XP 与Win 2003自带防火墙的设置请参阅天极网中拙作，不再赘述。 　　2、ADSL猫防火墙 　　通过ADSL上网的，如果有条件最好将ADSL猫设置为地址转换方式（NAT），也就是大家常说的路由模式，其实路由与NAT是不一样的，权且这么叫吧。用NAT方式最大的好处是设置完毕后，ADSL猫就是一个放火墙，它一般只开放80、21、161等为了对ADSL猫进行设置开放的端口。如果不做端口映射的话，一般从远程是攻击不到ADSL猫后面的计算机的。ADSL猫最大的安全隐患就是很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口映射就有可能进入到你的计算机，一定把默认密码改掉。 　　用自带的放火墙和ADSL猫的NAT方式基本可以抵御从外到内的攻击，也就是说即使服务端口开放（包括系统开放的端口和中了开个服务端口的木马），黑客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接，不能防止从内到外的连接，当你打开网页和用QQ聊天时就是从内到外的连接，反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽，但也不是没有马脚，防范这类木马最好的办法就是用第三方防火墙。 　　3、第三方防火墙 　　前面说过，反弹型木马而且会使用隐避性较强的文件名，像iexpiore.exe、explorer等与IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之类的好像是系统文件的名字，但木马的本质就是要与远程的计算机通讯，只要通讯就会有连接。如下所示：正常连接是IEXPLORE.EXE发起的，而非正常连接是木马程序explorer发起的。 正常连接 木马连接 　　一般的防火墙都有应用程序访问网络的权限设置，如图8所示，在防火墙的这类选项中将不允许访问网络的应用程序选择X，即不允许访问网络。 　　在写这篇文章之前我中了一个反弹型木马，就是explorer程序向外连接，用了好几个查毒软件也没有杀掉，当时就先用天网放火墙阻止它访问网络，然后手工费了很大的劲才清除掉。可惜没有做截图。没有勇气为了写这篇文章再牺牲一把了。 图8 　4、用Tcpview结束一个连接 　　当你用Tcpview观察哪个连接有可能是不正常的连接，可在Tcpview中直接鼠标右键点击该连接，选择End Process即可结束该连接。 　　四、扫描 　　谈起扫描又是个大话题了，有端口扫描（Superscan）、漏洞扫描(X-scan)等，关于扫描的话题以后再论，本文只对一般用户简单说一下在线安全检测。如果你按上面的说得作了相应的安全措施，就可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况，如到下面网站： 　　1、千禧在线--在线检测 　　2、蓝盾在线检测 　　3、天网安全在线 　　4、诺顿在线安全检测 　　说明一点，测试我的机器时开了21、23、80端口，但这都是ADSL的服务端口，我的猫没有提供修改和关闭的地方，不过没关系，只要把密码设的复杂点就行了。 　　五、震荡波 　　如果你按上述关闭了445端口或者开启了放火墙那就不会受到震荡波及类似的病毒骚扰了，关于震荡波病毒的文章太多了，我就不在这啰嗦了。只要做好了安全防护，不管是震荡大波还是冲击小波只能在你的计算机门前掠过而奈何不了你。 　　六、后记 　　关于计算机的安全还有很多要设置，但对于一般用户来说，太多的安全设置就等于没有了安全，因为即使对于专业从事计算机安全的人员对于安全的设置也不是件容易的事，何况对于对计算机的知识还不够的一般用户。如果要作很多设置才能保证安全，那肯定就有很多人不做了。对一般用户我的建议是力所能及的事一定要做，比如： 　　1、上网时一定要安装防病毒软件并及时升级。 　　2、至少安装一个防火墙，ADSL用户最好用路由方式上网，改掉默认密码。 　　3、经常打补丁，Windows用户最好将系统设为自动升级。 　　4、自己要做的就是用Tcpview 常常看看连接，防止反弹型木马。常常看看，时间长了也许就看成专家了。 　　5、Udp协议是不可靠传输，没有状态，从Tcpview中很难看出它是不是在传输数据，感兴趣的朋友可以用iris、sniffer这类的协议分析工具看看是不是有Udp的数据。关于这个话题以后再聊。 　　6、本文题目起的很大，但写起来又觉得很多问题都是别人说了再说的，也就没有深谈。 　　道高一尺，魔高一丈。网络安全将是一个永恒的话题，没有绝对的安全，但有了防范意识总比敞开了大门还不知道好吧。 网络蠕虫病毒的检测与防治 随着1988年11月2号由Robert Morris Jr编写的一只基于BSD Unix的“Internet Worm”蠕虫出现，到2001年8月5号的红色代码“Code Red”蠕虫发作，直至2003年8月12号的冲击波“Blaster”蠕虫的大规模爆发。互联网的安全威胁正逐渐逼近每一个普通用户。从1988 年CERT（计算机紧急响应小组）由于Morris 蠕虫事件成立以来，统计到的Internet 安全威胁事件每年以指数增长，近年来的增长态势变得的尤为迅猛（图1）。 图1 因特网安全时间报告 　　每一次蠕虫的爆发都会给社会带来巨大的损失。1988 年11 月2 日，Morris 蠕虫发作，几天之内6000 台以上的Internet 服务器被感染而瘫痪，损失超过一千万美元。2001 年7 月19日，CodeRed 蠕虫爆发，在爆发后的9 小时内就攻击了25 万台计算机，造成的损失估计超过20 亿美元，随后几个月内产生了威力更强的几个变种，其中CodeRed II造成的损失估计超过12 亿美元。2001 年9 月18 日，Nimda 蠕虫被发现，对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后，继续攀升，到现在已无法估计。目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如冲击波、振荡波等）出现。对蠕虫进行深入研究，并提出一种行之有效的解决，为企业和政府提供一个安全的网络环境成为我们急待解决的问题。 　　1．蠕虫的定义 　　Internet 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。[1] 蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。 2．蠕虫的行为特征 　　2.1 蠕虫的#工作流程# 　　2.1.1 蠕虫的工作流程： 　　蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图　　2所示。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。   图2蠕虫的工作流程 　　2.2 蠕虫的行为特征 　　通过对蠕虫的整个工作流程进行分析，可以归纳得到它的行为特征： 　　自我繁殖： 　　蠕虫在本质上已经演变为黑客入侵的自动化工具， 当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。 　　利用软件漏洞： 　　任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。 　　造成网络拥塞： 　　在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发