注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

水手的IT生活

实践、学习、思考、分享,IT生活每一天。http://haoweiNet.cn

 
 
 

日志

 
 
关于我

从事企业IT运维管理工作,工作中对微软产品与技术有全面的接触和应用。我的关注:IT业内动态、微软技术、网络安全、管理、个人提高、Web2.0

网易考拉推荐

安全普及:关于网络远程控制和木马的几点误区  

2007-03-12 10:40:28|  分类: 安全相关 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

误区1:远程控制是病毒

确实有一部分病毒和绝大部分木马(注意,病毒和木马是2个不同的概念)能够实现远程控制功能,但是我们通常所说的“网络远程控制”是Windows本身的功能之一,目的是为了进行远程系统维护/诊断。这一功能是默认起动的,也就是说,安装完Windows之后,如果不做设置,则这一功能是默认打开的。而要关闭,也很简单,根本不需要象某些帖子里说的那样,每次都要使用进程管理器关闭,只需要按照如下步骤操作一次,就可以一劳永逸的关闭这一功能(事实上,绝大多数用户都用不上这个功能,所以还是关了好。还可以节省一些系统资源。我Athlon 64 3000+ CPU & 1G内存的机器都是把这个功能关闭掉的)。

步骤:打开控制面板,双击“管理工具”,双击“服务”进入本地服务查看工具,然后就可以看到本机可启用和已启用的所有服务列表。在列表中找到名称分别为“Remote Access Auto Connection Manager”、“Remote Access Connection Manager”和“Remote Desktop Help Session Manager”的项目,右键点击该项目,选“属性”,先点击“停止(T)”按钮,停止该项目,然后把“启动类型(E)”修改为“手动”或者“已禁用”(个人建议,选“手动”比较好),然后点“确定”即可。这样,以后这台机器上就无法使用Windows自身的远程控制功能了(通过木马实现的远程控制,我下面会提到)。

如果希望更彻底一点,还有一些服务也可以关掉,不仅可以节省更多资源,还可以少掉很多麻烦。比如“Remote Registry”(远程修改注册表,最好改成“已禁用”)、“Server”(除非象我一样家里有3、4台机器组网,否则没必要打开,改成“手动”即可)、“Telnet”(没几个人还会用Telnet指令了吧?“手动”即可)、“Netmeeting Remote Desktop Sharing”(有几个人用网络会议的?“手动”即可)、“Net Logon”(家里没局域网的话,也没必要打开。“手动”即可)、“Messenger”(有没有收到过那种突然象系统提示信息一样跳出来,必须按下面的确定键才能关闭的小的广告窗口?如果对这种窗口很厌烦的话,把这一项改成“已禁用”,以后就不会收到了。另外,这个服务与MSN Messenger或者QQ什么的没有任何关系,所以停止这个服务以后不会影响到MSN、QQ、ICQ的使用。)、“Computer Browser”(还是那句话,家里没局网的话,改成“手动”即可)。

方法二步骤:如果对电脑不是很熟悉的话,可以用下面的方法关闭远程控制功能。右键点“我的电脑”→选“属性”→选“远程”→去掉“远程协助”和“远程桌面”前面的钩→点“确定”。

误区2:使用杀毒软件或防火墙软件防木马。

这是个具有很强隐蔽性的错误认识!我再强调一次:病毒和木马是两种完全不同的概念。虽然现在很多防火墙都能够防范若干种类的木马,但是防火墙软件的主要针对目标是病毒而不是木马。

而杀毒软件和防火墙软件,也是2种完全不同种类的软件——虽然现在的防火墙软件都集成了杀毒软件。打个比方,防火墙软件相当于防狼的围墙,而杀毒软件则是对付墙内的大灰狼的猎枪。

对付木马软件,要么选择专门的木马查杀软件,要么用端口监视/通信监听软件。这样的软件也比较多。我就只介绍一下我常用的软件好了(当然也就是我个人用了感觉比较好的)。

木马查杀:推荐使用《Spybot - Search & Destroy》。这个软件不仅可以查杀目前几乎所有的木马,而且连广告软件都能清除掉,还可以直接给3000来种(会随着升级而增加)有害或者广告软件免疫。另外,对于高手,他有自定义模式,对于菜鸟,他有一键定乾坤的傻瓜模式。大小只有20多M,最好的是,他是个免费软件,而且又有中文版。可谓“价格便宜量又足”,值得一用。下载好以后,先升级,然后用他检测一下机器,再做下免疫,之后每个月把他升级一下,再用他检测一下,可以省不少事情。

端口监视/通信监听:如果机器比较好(就是说内存在384M或者更高),推荐用《诺顿网络特警》,英文名称是《Norton Internet Security》(简称NIS)。在安装好之后,这个软件会先搜索一次你的硬盘,把里面所有具有网络通信功能的文件都列出来,然后你可以选择是否允许这个文件向外发送信息。并且,对于每个文件,都会给你建议,建议你是否允许这个文件与网络进行通信。而在使用中,只要有任何一个软件试图向网络上发送信息,或者是有任何一台机器试图向你的机器发送信息,他都会提醒你。比如说,你打开IE,那么他就会提醒你,IE试图与网络进行联系,问你是否允许,因为IE是浏览器,所以同时会告诉你,这个是已知的软件,危险性很低,建议你允许这个软件进行通信。你确定之后,他就会记住,下次再打开IE的时候,就不会再问你了。但是比如说,有木马软件试图通信,而他检测出这个是已知的木马软件,他就会直接拦截掉,然后告诉你拦截掉了木马的通信,而如果是他不知道的种类的木马,他会问你是否要拦截,并且告诉你这个是不知名的软件,危险性很高。而如果你的IE被病毒修改掉了,IE的起动文件被修改成了带有病毒的起动文件,那么在起动IE的时候,他会与以前记忆住的做对比,发现起动文件与以往的不一致,就会重新问你是否允许IE进行通信。而你制定的通信规则(就是允许哪些软件与网络进行通信,不允许哪些软件通信),可以在选项里查看和修改。

另外,当有外部的机器试图访问你的机器的时候,NIS也会进行检测,如果发现与木马库中的木马访问特征相符,就会自动禁止那台机器访问你的机器半个小时,并且告诉你有机器试图攻击你。还会告诉你攻击者的IP,并且,你可以利用NIS自带的追踪功能查到那台机器所在的大致方位(其实也就是IP检索功能而已,可以查到市级)。

不过NIS占用的资源略多一些,需要占用大约35到40M的内存。所以如果是小于384M内存的机器,不推荐使用(其实现在内存也便宜,512M的DDR400内存条也不到400块,内存不到512M的,还是给自己的机器升个级吧。运行XP本身就要求256M内存,加上各种软件,512M比较合理。只有256M内存的话,才只是刚能让XP跑流畅而已,运行的软件稍微多点,速度就低下来了。决定电脑整体性能的,不是性能最高的那个部件,而是全系统中性能最低的那个部件。1.5G以上的CPU配低于512M的内存,纯粹是大马配小鞍,CPU是无法发挥全部性能的——而且是CPU频率越高,性能浪费越厉害。)。

如果内存容量小于384M,推荐使用《卡巴斯基反黑客》。请注意,卡巴斯基包括两套软件,一套是《卡巴斯基反病毒》,是专门针对病毒的杀毒软件+病毒防火墙,还有一套是《卡巴斯基反黑客》,是专门针对木马和各种来自网络的攻击的。《卡巴斯基反黑客》的基本原理和NIS差不多。不过占用内存相对比较小一些,大约在5到10M的样子,比较适合于机器不太好的人。效果还可以,不过就是有个小毛病,有些软件不知道是不是开发商和卡巴斯基的开发商有过节,他们的软件在安装过卡巴斯基的机器上是无法安装的,就算安装了也无法使用。比如阿里巴巴的那个叫做“贸易通”的通信软件,在安装过《卡巴斯基反黑客》的机器上,会不断跳出要求确认是否允许贸易通进行通信的对话框,不管选什么都没用。

我自己的机器,自己平时用的机器(Athlon64 3000+ & 1G内存)、笔记本(迅驰Ⅱ1.73G & 1G内存)还有给朋友用的机器(Athlon XP 2500+ & 512M内存)是装的《NIS2005》+《Norton Antivirus 2005》,还有一台用于BT下载的机器(AMD移动版雷鸟1.2G & 320M内存(128+128+64))是装的《卡巴斯基反病毒》+《卡巴斯基反黑客》。另外,所有的机器都安装了《Spybot》,每个月都用《Spybot》扫描一次,并且对新增加的免疫内容做一次免疫。整体来说,无论是系统速度还是反病毒、反攻击能力都比较满意。大家可以把自己的机器配置和我的机器配置对比一下,然后选择相应的软件组合。

  评论这张
 
阅读(567)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017