简简单单防病毒

病毒程序有别于正常程序的特征：

如有的病毒扩展名为pif，但查看其属性后，发现字节数达数10KB，比正常的pif文件大很多
有害程序通常没有版权信息和数字签名，在程序图标上单击鼠标右键，选择属性。

这是通常情况下正常的可执行程序的属性

如果文件被病毒感染，数据签名页将会丢失。

这是病毒程序
没有版本信息和数字签名，注意，个别病毒也有版本信息，但可以发现明显伪造的信息。每一行检查一下。

02病毒的文件属性.png (11.56 KB)

2007-9-14 17:23

识破病毒程序的伪装

查看文件的扩展名，检查文件的真实属性，判断其是否有伪造的痕迹，如果不是WORD文档，却使用DOC文件的图标。如果一个EXE使用了rm文件的图标，不用杀毒软件检查，基本可以判定为病毒。
最容易被用来欺骗的文件图标有rm、mpg、txt、doc、xls、swf、文件夹、IE浏览器、JPG等图片、zip、rar等等

病毒名仿冒正常程序的文件名，中间只有细微的差异，比如用数字1伪装字母l，或者数字0和字母o，数字5和字母s等等。比如这个例子

还有，病毒文件的大小和正常程序明显不同。

比如下面这个酷狮子病毒，伪造成WOW在线游戏，大小只有26KB，正常的游戏客户端是几MB大小。

注意文件大小，还有上面提到的版本信息。

引用:

经典视图：“控制面板”->“文件夹选项”
分类视图：“控制面板”->“外观和主题”->“文件夹选项”

切换到“查看”选项卡，勾选“显示系统文件夹的内容”，去掉“隐藏受保护的操作系统文件(推荐)”勾选，点选“显示所有文件和文件夹”，去掉“隐藏已知文件类型的扩展名”勾选，最后点击“确定”。

图示：
                                               

防毒方法——备份

俗话说有备无患，没有永久的安全，只有永久的风险。最重要的数据，一定要做备份。还要定期检查备份是不是有效的。比如，你把数据备份在U盘上，却没有去检查这个U盘是不是已经损坏了。当出现问题时，拿来恢复才发现——原来备份已经坏了。

有很多备份工具，供我们选择，我们最常用的是ghost备份系统，建议把系统完整备份到一个独立的分区，备份完成后，再把分区隐藏。最简单的方法，就是准备一个移动硬盘，或者刻录机，把自己要备份的文档，直接COPY或刻录。还有windows系统自带的备份工具基本可以我们一般的备份需求，弄个DVD的刻录机就可以了。

漏洞修补

漏洞包括系统软件漏洞和管理漏洞

漏洞永远是攻击者最喜欢使用的攻击方式，这其中影响最大的，是windows操作系统漏洞、office漏洞、SQL漏洞、mediaplayer漏洞、IIS漏洞、IE漏洞。还有其它应用软件，如播放器、QQ、迅雷，甚至杀毒软件。

常用的漏洞扫描修复工具：
1.windows update，最容易得到（有windows就有，只是部分盗号不能用）
用法：

引用:

经典视图：“控制面板”->“自动更新”
分类视图：“控制面板”->“安全中心”->“自动更新”
或“控制面板”->“性能和维护”->“系统”，“自动更新”选项卡

推荐选择第一项“自动”，定期下载并安装更新程序。

图示：

如果不使用自动更新，也可以上 Windows Update 网站进行更新的下载和安装，在开始菜单、IE浏览器工具菜单、自动更新窗口中都有 Windows Update 网站链接。

图示：

使用 Windows Update ，需要首先确认以下三个服务已经启动，并且：
“自动更新”，“启动类型”为“自动”
“后台智能传输服务(BITS)”，“启动类型”为“手动”或“自动”
“事件日志”，“启动类型”为“自动”

2.金山毒霸2007中的漏洞扫描修复
3.金山清理专家2.0中的漏洞扫描修复，看这里的清理专家简易手册：http://bbs.duba.net/thread-21830227-1-1.html

管理漏洞，比如，你的系统登录，没有口令。这样的系统是非常多，很多使用盗版windows xp的用户，这个盗版安装后，管理员是空口令，这样的电脑，是黑客的最爱，黑客随便拿个扫描器，就能在网上抓一大把。然后，不必经过你允许，远程直接关掉你的杀毒软件，直接把木马植入你的电脑。

还有，你在公司内部网，为了交换文件方面，你使用了共享文件，但是没有注意安全问题，你为了使用方便，采用了可写共享，并且是任何人都可以写入。这样，局域网其它电脑中毒，病毒会写到这个目录，然后，你或者其它能访问这个目录的人就可能打开共享目录中的带毒文件。病毒就传播开了。

修改口令和管理共享文件夹的操作，看下http://bbs.duba.net/thread-21830181-1-1.html的7楼和10楼。

启用防火墙（这个防火墙是网络防火墙，象金山网镖、windows防火墙、天网防火墙等）

注意控制面板中windows 安全中心或windows防火墙的启动提示，如果有第三方防火墙，看一下系统托盘是否有相应图标，检查其状态是否为启动。

06防火墙.PNG (22.08 KB)

2007-9-14 18:12

有关金山网镖的使用，请参考这里，注意网镖通常情况下不需要高安全级，高安全级会有较多的提示信息，这些提示信息，多数情况下是正常的，但初学者会觉得很困惑。对于某些应用程序来说，高安全级可能会影响部分软件的使用。
http://bbs.duba.net/thread-21821993-1-1.html

启用防病毒软件

非常重要的一条，就是启用防病毒软件，防病毒软件将会大大降低你的安全风险。有已知病毒入侵时，防病毒软件会及时清除。

要问防病毒软件哪个好，我当然是推荐毒霸了。毒霸不能保证100%拦截（谁要说能的话，那他一定在说谎，呵呵，工程师是不擅长说谎的。

用毒霸，你的风险会低很多。你要遇到毒霸没有处理掉的病毒，及时来论坛求助，相信会找到满意的答案。

注意检查毒霸的工作状态，就是要检查那个盾牌是不是红色的，在系统状态页，看毒霸的实时监控是否启用。

禁用自动播放

自动播放传播的大量病毒，相对于自动播放的高风险，自动播放带给我们的易用性简直微不足道。

关闭的方法：
组策略配置禁用：

引用:

使用组策略禁用自动播放

“开始”菜单->“运行”，输入“gpedit.msc”，点击“确定”或回车，打开“组策略”。

图示：

      
在左侧“‘本地计算机’策略”中，依次找到以下位置：
计算机配置 -> 管理模板 -> 系统

接下来在右侧找到“关闭自动播放”项目，双击它打开“关闭自动播放属性”对话框，点选“已启用”，然后在下方“关闭自动播放：”中的下拉菜单里选择“所有驱动器”，最后点击“确定”。

注：在“用户配置”下也有相同的项目可以设置。

AV终结者专杀


毒霸

 

用最新版本的浏览器，最新版本修正了旧版的安全漏洞，可明显降低系统安全风险。

检查浏览器的安全设置，千万不要用低安全级浏览。低安全级浏览时障碍最小，最不安全，只有对信任的站点才可以适用低安全级，访问互联网至少要采用中级以上的安全等级，注意启用防冒网络拦截。



或者采用安全风险较小的浏览器，比如firefox。注意这里的安全风险，指的是相对而言。并不代表其它浏览器就一定比IE安全，只是现阶段专门攻击firefox的网页还是比较少的。


除用好浏览器本身的安全设置外，我们还可以考虑一些与安全相关的浏览器插件，比如：金山清理专家的反网页挂马和毒霸里的网页防火墙和反网络钓鱼组件。

引谨慎处理电子邮件附件和即时通信软件发送的附件

对任何含有可执行程序的附件文件禁止执行，不管发件人怎样诱惑你使用它

压缩格式的附件也要小心，大量病毒利用双扩展名欺骗
辨别虚假病毒警报，不要按邮件的提示进行转发，这样会让收到你转发邮件的人认为您不专业，实际上完成了邮件病毒的发信功能。

新版本outlook提供了更好的安全性，缺省情况下有风险的附件是不可以访问的。对于MSN或QQ传送的文件，一定要非常小心。

在你收到这些附件时，别忘了问一下发件人，如果没有任何回应，应该拒收，病毒程序自动发送后复制的可能性非常大。在收下来的文件中，一般可能是zip格式的文件，千万不要草率的打开这类文件。注意按照本贴前几楼的方法对文件的可靠性进行判断，使用杀毒软件检查这些文件是必须的，但是，不能完全依赖杀毒软件的检查。

启用宏安全性检查，对于大多数用户来说，宏功能更多地是和宏病毒相关。推荐采用高安全级，如果打开一个office文档，提示有宏运行，应该小心处理。

附件

12宏安全性.png (82.34 KB)

2007-9-14 22:48

原文地址：http://bbs.duba.net/thread-21831353-1-1.html