网络的安全在于防治,用软件防范病毒,用软件杀病毒。
1、关于防范病毒的软件:最常用的有天网防火墙,你可以设置网络访问权限;自定义IP规则;系统设置等。
2、关于杀毒的软件:做网赚最怕的是木马病毒,除了防范安装天网防火墙外,万一得了病毒用什么软件?木马克星!电脑店里买来的软件还要进一步的安装---==木马克星(iparmor) V5.42 注册信息+注册方法==--- 注册名:cnyou.com 注册码:1181973430 安装原版,使用上述注册信息完成注册。到C:\WINDOWS\system32\drivers\etc下用记事簿打开hosts文件,在最后添加“61.129.72.113 www.luosoft.com”就可以去除网络验证。若您的系统不是Xp/2000,请自行搜索hosts文件进行更改。
McAfee防毒软件,也叫"卖咖啡",除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。可到华军下载http://www.onlinedown.net/soft/14937.htm
3、检测和删除系统中的木马(Trojan Horse)教程 作者:陈昀/太平洋网络学院
一、木马(Trojan Horse)介绍
木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan)。此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为是计算机病毒。
由于很多用户对计算机安全问题了解不多,所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒,但它们并不能防范新出现的木马病毒(哪怕宣传上称有查杀未知病毒的功能)。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后,系统不能正常工作,或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序,新的查杀毒软件是连检查都检测不到,更不用说要删除它了(哪怕是使用的是最新的病毒库)。因此最关键的还是要知道特洛伊木马的工作原理,由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马,再根据其藏匿的方式对其进行删除。
二、木马工作的原理
在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。
既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。
好了,现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行,那么它就要乘计算机刚开机的时候得到运行,进而常驻内存中。想一想,Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢?你可能会想到“开始->程序->启动”中的项目!没错,这是Windows启动时要运行的东西,但要是木马服务器程序明显地放在这就不叫木马了。
木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。
在win.ini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目,木马可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan,它把自身伪装成command.exe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。
在system.ini文件中,[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe,而是“shell=Explorer.exe 程序名”,那么后面跟着的那个程序就是木马程序,明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。
隐蔽性强的木马都在注册表中作文章,因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT,那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西,通过regedit等注册表编辑工具查看SAM主键,里面下应该是空的。
木马驻留计算机以后,还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测,在第三部分有详细介绍。
三、检测木马的存在
知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看system.ini文件
选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是这样,就可能中了木马了。
2、查看win.ini文件
选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空。
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都屏蔽掉了。如下图,只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现,自是一目了然。
4、查看注册表
由“开始->运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下加入Explorer=“C:\WINDOWS\expiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别!
通过类似的方法对下列各个主键下面的键值进行检查:HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
4、其它方法
上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。
如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始->运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非法连接你计算机的木马客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口。对于Windows98来说,正常情况下,会出现一些处于监听状态的端口(安装有NETBEUI协议)。
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该端口的就是特洛伊木马了!
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
四、删除木马
好了,用上面的一些方法发现自己的计算机中了木马,那怎么办?当然要将木马删除了,难道还要保留它!首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。
1、由木马的客户端程序
由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等,很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序,下载并运行该程序,在客户程序对应位置填入本地计算机地址:127.0.0.1和端口号,就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。
这是最容易,相对来说也比较彻底载除木马的方法。不过也存在一些弊端,如果木马文件名给另外改了名字,就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码,既使客户端程序可以连接的上,没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码,那就另当别论了。还有,要是该木马的客户端程序没有提供卸载木马的功能,那么该方法就没什么用了。当然,现在多数木马客户端程序都是有这个功能的。
2、手工
不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......,那我们就手工慢慢来删除这该死的木马吧。
用msconfig打开系统配置实用程序,对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中,将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=xxx”,更改为:“shell=Explorer.exe”。
用regedit打开注册表编辑器,对注册表进行编辑。先由上面的方法找到木马的程序名,再在整个注册表中搜索,并删除所有木马项目。由查找到的木马程序注册项,分析木马文件在硬盘中的位置(多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下)。启动到纯MS-DOS状态(而不是在Windows环境中开个MS-DOS窗口),用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件,还得通过“attrib -s -h -r”将对应文件的属性改变,才可以删除。
为保险起见,重新启动以后再由上面各种检测木马的方法对系统进行检查,以确保木马的确被删除了。
目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定(也就是感染了系统文件)。比如常用到的Explorer.exe,只要Explorer.exe一得到运行,木马也就启动了。这种木马可以感染可执行文件,那就更象病毒了。由手工删除文件的方法处理木马后,一运行Explorer.exe,木马又得以复生!这时要删除木马就得连Explorer.exe文件也给删除掉,再从别人相同操作系统版本的计算机中将该文件Copy过来就可以了。
五、结束语
Internet上每天都有新的木马冒出来,所采取的隐蔽措施也是五花八门。在信息社会里,计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展,本文所讲述的检测、删除木马方法也总有一天会失效,最主要还是要靠用户提高警惕,防范所有的不安全事件于未然。
4、网络安全三步曲:基本设置工具和窍门
作者:yes88 此贴为转摘
基本设置篇
一、在线安全的四个误解
Internet实际上是个有来有往的世界,你可以很轻松地连接到你喜爱的站点,而其他人,例如黑客也很方便地连接到你的机器。实际上,很多机器都因为自己很糟糕的在线安全设置无意间在机器和系统中留下了“后门”,也就相当于给黑客打开了大门。
你上网的时间越多,被别人通过网络侵入机器的可能性也就越大。如果黑客们在你的设置中发现了安全方面的漏洞,就会对你发起攻击,可能是一般的骚扰,如降低你的速度或者让你的机器崩溃;也可能更严重,例如打开你的机密文件、偷窃口令和信用卡密码。
但是很多人并不以为然,因为他们在网络安全方面还存在四个误区:
误区一:我没有连接其他网络,所以我很安全。
对,连接INTERNET是要上网的,但是可以上网的独立机器,与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开,完全没有防范黑客的能力。这种威胁是很现实的:如果你使用了cable modem或是DSL连接上网,而且在网上的时间很长,一天里也许就会有2-4个卑鄙的黑客企图攻击你。
误区二:我是用拨号上网,所以我的机器是安全的。
每次当你开始拨号上网,你使用的IP地址都会不同,也就是动态IP,所以相比静态IP的用户而言。黑客是很难找到你,但是有一些黑客软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力,所以只要黑客使用了这些工具,即使是拨号上网的用户也可能受到攻击。
误区三:我使用了防病毒软件,所以我很安全。
一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范黑客、对带有恶意的“合法”程序却无能为力。
误区四:我使用了防火墙,所以我很安全。
防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现bug或者有漏洞,那你很危险了。另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点介绍出去,可能招致一些专门针对它们弱点的攻击。
但是解决方法是有的,你可以使用你已经有的工具,而且本文也会告诉你怎样才是安全的设置和怎样选择安全软件。
二、一分钟的网络基础知识
看到这个内容,你可能想一眼扫过或者直接跳过去,但是这只需要一分钟,而且对你理解下面的内容很有帮助。
简单地说,你可以将你和网络的连接分为三层。
最深的一层是你和网络的物理连接方式,包括硬件。例如拨号上网,要使用“拨号适配器”才能和你的MODEM“交谈”;如果是局域网,需要网卡和驱动程序,以便你的PC和网卡交换数据,而DSL、cable等也需要网卡。一个PC可以同时使用多个硬件适配器,例如可以即用cable modem上网,也连接拨号上网的MODEM,还在局域网中,这样系统的网络设置中就有两个网络适配器和一个拨号适配器。
中间的一层连接由你的机器所使用的和网络其他机器交流的通讯协议和语言组成,例如TCP/IP协议,其他还有NetBEUI和IPX/SPX,这些协议也可以并行工作,一个协议可以被同时捆绑到多个硬件设备上,而一个硬件设备也可以同时捆绑多个协议。
最顶层的连接是网络设备,登录上网、文件与打印共享和以及位于最顶层的客户程序,为你完成需要在网络上完成的任务,但不幸的是,它是双向的,也可以让黑客对你执行他们的操作。
所以,保证安全的窍门在于确保没有那些危险的设置和设备,例如如果不需要从网上进行访问,“文件与打印共享”就完全没有必要,这也是黑客经常利用的地方。换句话说,仔细地设置哪些要进行捆绑,可以确保你的机器不那么轻易被访问,尽管存在一些本身安全性较差的设备和协议。
三、怎样确保连接安全
在按照我下面提到的建议对系统设置进行修改以前,最好先将你系统中的关键数据备份,或者记下你原来的设置,以便在需要的时候恢复。如果你是在局域网或是有特殊的网络要求,请先和管理员商量。
我们先检查你的网络设置:右击“网络邻居”,选择“属性”,现在我们要删除一些很容易就能够让别人通过INTERNET连接到你的INTERNET协议:TCP/IP。
如果你没有使用拨号上网,可以直接跳到下一段。双击“拨号适配器”、“绑定”,把除TCP/IP以外的内容都选掉,,回到主界面,双击“TCP/IP -> 拨号适配器”,你可能看到一个警告,说明如果修改将有危险,不管它,不修改才会有危险呢!单击“绑定”,如果选择了“microsoft 网络用户”和“文件和打印共享”,把它们选掉,这样就只剩下TCP/IP了,你会得到这样一个警告:TCO/IP已经没有绑定到任何驱动程序“,回答NO。
如果你使用了网卡,单击每个卡对应的TCP/IP,例如我就用了一块便宜的Realtek 网卡,则单击“TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.”,单击“绑定”,确认没有选择“micrcosoft 网络用户”和“文件和打印共享”。
但是如果你是在局域网上,希望在本地共享文件和打印机,也有办法呀,添加一个非INTERNET协议IPX/SPX 或者 NetBEUI都可以。添加适当的“micrcosoft 网络用户”,选择“文件和打印共享”,就可以共享文件和打印了!
现在倒回去检查系统中的每个适配器和协议,确保“micrcosoft 网络用户”和“文件和打印共享”只在IPX/SPX and/或 NetBEUI 中被选择了。同时,也确认在TCP/IP中没有选择这两项。然后对局域网中的所有机器重复这个检查过程。用这种方法,你的机器在INTERNET上就只使用TCP/IP,而在局域网上使用非INTERNET协议以便共享打印机和文件。因为黑客必须使用TCP/IP,这样他们就需要花费更多的时间来访问被共享的打印机和文件。
需要注意的是你对网络设置的任何变动都可能重新设置绑定和其他设置,甚至包括你不曾接触的内容,而当你或者是你所安装的软件修改了网络设置,都要执行上面介绍的步骤检查TCP/IP连接以确保它保持“干净”,没有与“micrcosoft 网络用户”和“文件和打印共享”绑定。
AOL(美国在线)有一点是令人厌恶的:它把它自己的(通常是没有必要的)适配器加入到你的网络设置中,而且可能会不正确地修改你的绑定设置,一些用户在安装AOL后报告,他们的“文件和打印共享”被绑定在TCP/IP上,意味着对任何想连接的人都提供打印机和文件,上面的介绍的窍门对避免出现AOL的这个情况也很有效。
要改善你的网络安全性你可以作很多工作,我们将在下面讨论,但是上面的设置将消除WINDOWS PC的最常见和突出的网络安全问题,把最明显的漏洞给你堵上,让你拥有一个更安全的线上操作基础。一旦你学会了上面的方法,只用几分钟进行检查,基本就不需要其他的辅助软件,这样做的好处在于不用花钱哟!
工具篇
在上一部分,我们讨论了怎样调整网络设置以获得更好的安全性,现在,我们来看看怎样利用一些免费或者商业产品和服务做更多的事。
既然你已经有了很好的防范黑客的线上安全基础,现在你可以学习使用决定性的一招,帮你的机器增强抵抗力,能够防范一些常见的和不常见的攻击,甚至一些更高水平的或者更迂回曲折的攻击。于是,你就有了两级安全措施了,一个是前面介绍的网络安全设置,一个是附加的安全产品,即使有其中一个出现了问题,你也仍然有另一个保护,总不能一棵树上吊死人吧!
在你向系统中添加任何安全性产品之前,作一个额外的测试,检查一下你的设置是否已经OK了。最好是定时(每月或者每周)检查一下你的基本网络设置是否安全。
我推荐三个绝好的免费站点帮助你从外端检测你的INTERNET连接,以便你检测和纠正潜在的安全问题。
http://grc.com/intro.htm
http://www.dslreports.com/r3/dsl/secureme
http://www.antionline.com/
我曾经连续使用过这第三个站点,他们测试的对象是一样的,有些重复,但是采用了不同的方法,测试的重点也不同。通过一个一个地在这三个网站进行测试,你可以“嗅”到你的INTERNET连接中存在的最常见的漏洞,如果你通过了这三个测试,你就可以防范绝大多数的常见的黑客攻击了。
另外,Gibson Research 网站(http://grc.com/intro.htm )所提供的额外的帮助文件值得一读,特别是当你对关闭一个端口有疑惑(例如NetBIOS 的Port 39)的时候,Gibson提供了一步一步的指导可以确保你将端口关闭,具体参看 http://grc.com/su-bondage.htm 。
一旦你的PC经过了上面的测试,你就可以再增加一个加强安全的程序了,这种程序有很多,但是目前最热门的是“个人用防火墙”,下面我们讨论的重点也就是如何选择这一类产品。
不管你是否已经使用了公用的防火墙、代理服务器、域名服务器,这些本地的防火墙在你的机器内部监视你的INTERNET数据交换,防止来自黑客的不正常的访问,其中一些还可以监视非正常的数据输出,也就是那种特洛伊木马程序式偷偷摸摸留下的“后门”,在你不知道的情况下,向你的机器发送信息或者获取信息。
我现在使用的个人防火墙是免费而绝妙的ZoneAlarm,虽然它还有一些粗糙,但是它更新很快,最新的版本已经是2.0.26了,而且解决了很多早期版本存在的问题,而且它免费,却比很多售价50美圆的商业产品更有效,例如它是少数能够检测到特洛伊程序的防火墙之一。
Aladdin的eSafe Protect Desktop也加入了类似于防病毒程序的功能,相当于防火墙加沙箱的功能,能够防范决大多数带有恶意的访问,并将它们隔离起来。另外,它们让人满意的是占用很少的系统资源,只有2%而已。它是一个值得注意的产品,售价为30美圆。但是为了与流行的ZoneAlarm抗衡,Aladdin的Protect Desktop现在对个人使用完全免费,因此很值得试试看,我正在试用,可能它会变成我的新欢哟!
FWProxy是一个简单免费的程序,能够在设定的端口监听进入的TCP连接,检查用户对设备的授权,在远程RAS用户和设定的内部TCP设备之间建立连接,你如果你只需要这个功能,那你可以试试它。
Sybergen Secure Desktop(以前叫 SyShield)非常灵活,可以从多方面进行设置,售价为30美圆,它的长处在于安装简单,虽然为数不多的文档让那些迷失在它过多的设置选项中的初学者有些困惑,但是它马上就会出新版本了,以后我们还要介绍。
BlackIce Defender是一个享有盛誉、非常流行的防火墙,花费40美圆就可以获得BlackIce Defender和一年的安全升级。和ZoneAlarm一样,BlackIce 也有其显得粗糙的地方,例如它的错误检测警告,几乎让你发生一种错觉,好象你受到外界的攻击是基本不变的,另外文档也不够完善,除非你对防火墙技术和端口分配都非常精通,还有一些用户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经被他们的胜利淹没了,很难继续保持原来的状态。这种说法分的另一个佐证是关于Windows 2000 ,Windows 2000 已经推出一段时间了,而BlackIce的站点还在说:“Win2k 目前仍然是beta版本,我们目前还不能支持它,检测侵入的部分运行良好,而防火墙部分现在还不行,我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的安全产品,因为人们总是希望它的内容能够尽量保持最新状态。
如果你到过各种黑客站点和黑客的BBS,你可以看到一个让黑客们又爱又怕的软件,售价为49美圆的ConSeal Private Desktop,他们喜欢在自己的机器上安装这个软件,但又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McAfee收购,我们还不清楚McAfee的计划是什么,你可以到http://www.signal9.com/上去看看相关信息。
而ConSeal的AtGuard,是另一个让黑客爱恨交织的防火墙,刚刚被Symantec收购,现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品相比,AtGuard略显单薄,但是Norton Internet Security 2000是一个安全“巨人”,虽然它的设置也很麻烦。但是无论如何,AtGuard安全部分的功能仍然使非常出色的,尽管它现在已经被其他产品的光芒掩盖了。
上面介绍的产品都是一些用途广泛功能全面的防护软件,但是还有一些功能比较精细集中的产品:
Jammer,售价为20美圆,专门设计用来防范NetBus和 BackOrifice的攻击,如果你的其他安全产品只有一般的防护能力,它倒还是挺有用的;
ProtectX,售价为25美圆,可以同时监视最多20个端口,还可以帮你追踪攻击你的黑客的来源,也是一个享有盛誉的产品,尽管它所能监视的端口数量受到限制,和同类产品相比显得有些不足。
Rainbow Diamond Intrusion Detector,售价为40 美圆,在你可能受到侵犯的时候会发出警报,Intrusion Detector直接在机器中监视可疑的网络活动,一旦发现对象,就发出报警。 Intrusion Detector还会试图确定攻击你的用户的身份。
TDS-2,售价33美圆,来自澳大利亚的Trojan特洛伊防范系统,对特洛伊有比其他软件更强的检测能力。
哦,你的选择真是太多了,有了这些产品,你的机器的安全级别一定可以到很高的级别。
但是,即使有了上面的这些产品,我们的安全工作还是没有完成,下一步或者是对上述产品的补充,或是对上述产品的替代,另外,还有一个特殊的措施你可以使用,将你的安全性能提高到一个很高的程度。
窍门篇
前面我们分别从PC的网络安全设置和优秀的网络安全产品出发,介绍了如何提高机器的安全性能,对大多数人而言,如果仅仅是一般的上网冲浪和日常的网络操作,这些措施已经相当足够了。
但是也许你的要求和他们不同,因此我们还继续讨论第三步,如何让你的安全性能变得更高。实际上,这一步是针对我的个人而定的,因为我有下面几个特殊的地方:
我每周7天、每天24小时在INTERNET上;
我通过INETRNET做生意,并经营网站;
我比一般人要显眼,更容易成为黑客的目标;
我将INTERNET连接共享给其他的几台机器。
如果你也具备上述的几个或全部特征,你可能也希望采用我的方法来让你的机器“固若金汤”,那么我们就交流一下。
首先,我使用了在第一部分和第二部分介绍的所有技术,例如我的任何一台机器都没有绑定“网络用户”、“文件和打印共享”到TCP/IP,所有常见的攻击对我不起作用;第二,在每台机器里我都用了个人防火墙,ZoneAlarm,可以帮助我阻塞黑客的侵入。
上面只是两个安全的级别,但是我还有第三个更简单和更便宜的方法,那就是:我所有的机器都没有直接连接INTERNET。相反地,我用了一台烂机器(古老的486,内存很少)作为与INTERNET连接的服务器,在它上面运行Windows 和 Sygate,有了Sygate,几台机器可以通过一个机器上网,而Sygate的防火墙功能非常出色。从外界能够看到的只有这台烂机器,而其余几台共享连接的机器从外面看不到,所以黑客也无法检测和攻击。
Sygate的防火墙功能帮了大忙,它把它自己藏了起来,准确地说,是把运行它的机器藏起来了,面对黑客的探测“屏声禁气”,所有的现象都说明这里根本就没有一台机器,所以Sygate的防火墙算是第四层保护了。
下面的设置应该说是第五层的防护了:如果黑客打算侵入,他会发现他到了一台又空又烂的机器,不管怎么看都毫无兴趣和吸引力。我的其他几台位于局域网上的机器都有口令保护,而我从来不在烂机器中WINDOWS保存任何密码,所以即使黑客进入到这台机器,也很难进入到局域网中其他机器的系统,要通过防火墙、口令和内部的安全设置这几关可不是容易的事呢!
最后,我还有第六关:我的cable modem ISP使用动态IP地址,和绝大多数拨号上网ISP使用相同的技术,有了动态网址,每次你上网的时候都用的是新地址,对黑客来讲,很难预见下次的IP将是什么。利用动态IP地址的优势,我每搁一天或者是通过 modem发现有异常活动的时候,就会拔去 cable modem 的插头。每当我将插头重新插回去、重新上线,就会获得一个和上次不同的地址,即使有黑客发现过我,他也要一切重新开始了。
话虽这么说,你也应该知道没有任何线上的系统是完全保险的,除非你完全不和INTERNET连接,理论上任何系统都可能被攻击,但是如果你的机器加上了6层安全保护,给黑客们增加了太多的障碍,那么你的安全系数就很高了,也许因为他不能忍受如此多的麻烦就放弃了你呢!
没有评论:
发表评论