防止病毒和间谍软件感染系统的正确方法
发表于:
2007-3-19 14:36
8246
Windows内建的系统安全架构其实是很完善的,只不过很多人,包括微软自己不知道或者用错了。如果微软知道,它没理由不提醒别人。
1。如果不是为了下载安全补丁,在任何情况下都绝对不要以系统管理员的身份登陆。
遗憾的是绝大部分人都是以管理员的身份进入系统,然后上网。Windows2000/XP的默认安装也是让你以管理员的身份登陆。所以你能干什么,通过网页和下载传播的病毒和间谍软件就能干什么。Vista通过LUA(Limited User Access)来限制管理员的默认权限,除了用户的使用习惯是个问题,而且还是有办法攻破,比如一些通过social engineering的方法。所以那也不是绝对安全的。
2。在系统完成安装后,建立两个普通用户A和B,以A登陆,90%以上的普通病毒和间谍软件从此基本上是没法修改你的系统和配置文件。
3。如果上网,右点击浏览器的图标,在菜单中选择“Run As”,以B的身份运行。因为软件的session ID和你的不同,很多情况下如果它能有机会运行的话,对当前系统也是无能为力。一些有些分量的病毒通过安装driver或service的企图基本上都会失败。
4。以管理员的身份修改配置,对所有软件打开DEP(Data Execution Protection),关掉“Remote Assistance”。98%以上的恶意软件运行不了,剩下的2%则是微软的后门(它总以为别人不知道,可早晚总有人知道),和其它一些Windows的漏洞。另外,Linux并不比Windows更安全,只是写出来的恶意代码不如Windows上的通用性那么强,在我的机器上写的未必可以在你的机器上运行,所以引不起很多黑客的兴趣。
5。别太迷信反病毒和间谍软件的软件。如果他们知道或者告诉你这些方法,他们基本上是没有多少生意可做的。从80年代反DOS时代的病毒开始,他们不知道已经赚了多少银子,比如MCAFEE;可是你我觉得更安全了吗?没有。何时是个尽头?更不知道。
国内反毒厂家的水平普遍是不行的,和国外比差距较大。内行人看看广告词就知道他的水平和进展情况,当然广告也是哄普通用户的。
比如绝大部分恶意程序都被加密或/和压缩过,厂家支持多少?每个压缩和加密软件的不同版本方法又有不同,我说我支持UPX和UPACK,如果只是其中部分版本是没有意义的。因为只要漏掉一个,你的机器就难说了,而且这些个厂家是不会赔你一个子儿的,而是要你不断下载补丁。
Windows上的虚拟机运行是病毒分析的相对较新的方法,几年前几大著名厂家都在做,但现在还在research阶段,主要就是效率问题,以及和传统方法一样的false positive问题。国内有厂家号称用已使用此法,请列出你的方法和正常方法效率上的差别,你的专利号和在相关国际会议上发表的文章。如果你做到了,绝对是轰动性的。
我的XP机器上是微软的Windows Defender,可是它从来不报警。也许上面的方法确实管用?So far, so good. ^_^
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)