卡饭完全防毒杀毒手册.docx
《卡饭完全防毒杀毒手册.docx》由会员分享,可在线阅读,更多相关《卡饭完全防毒杀毒手册.docx(47页珍藏版)》请在冰豆网上搜索。
卡饭完全防毒杀毒手册
今天,我们的第一课就算开始了……讲神马呢?
就从天天都要打交道的文件名以及扩展名开始。
我相信,对于文件名和扩展,你一定是既熟悉又陌生的。
看看对于你熟悉的伙伴,你又了解多少?
下面先来看几张熟悉的截图……
没错,1——5号都是大家熟悉的文件,分别是可执行文件,文本文件,网页文件,图片和office文件,区别嘛,你看扩展名不一样……啥?
不知道扩展名是什么?
OK,众所周知,在计算机里,每一个文件都有自己的文件名和扩展名。
如QQ.exe,QQ就是文件名,中间以.分开,后面的exe就是扩展名。
扩展名是操作系统用来标志文件格式的一种机制,换句话说,就是标识这一类扩展名的文件用什么程序去打开。
当然,同时加上一个系统默认的图标来标记……(注意,扩展名只能说明用什么程序打开文件,无法说明文件本身是什么类型的文件,这点非常重要……)
终于,有童鞋提问了:
“那个6号看起来很奇怪啊,图标不对嘛,不像照片……对喽!
不过只对了一半……关于文件的扩展名,windows系统默认设置是隐藏的。
让我们来显示文件扩展名:
依次打开我的电脑——工具——文件夹选项——隐藏已知文件的扩展名,然后这个不要选中(把勾去掉,确定)
然后……nani?
!
这就是猫腻所在——所谓的双后缀!
其实只有最后那个exe是真的后缀,jpg只是前面名称的一部分。
(注意,其实我们说的可执行文件不只是exe,还有.sys文件.com文件.bat文件等,不过sys一般不能独立运行。
其中最有欺骗性的就是,此文件后缀其实是com,如果有这样的文件名,可别当作网址。
除此之外,vbs,reg这种可执行的脚本也要注意)
接着在虚拟机中把此文件跑一跑……(不用担心,虚拟机中的东东与实际的电脑隔离,基本没有影响……虚拟机其实很神奇的,想进一步学习的,欢迎前来卡饭论坛虚拟机交流区!
)
双击6号文件,结果……
悲剧的IE主页……看来果然不是好东西。
看来显示扩展名是多么要紧,看到这种双后缀,还不赶紧干掉文件,以绝后患(估计没有人愿意运行……)。
那么7号呢?
已经显示扩展名了,还是如此,扩展名,图标似乎都很正常……一样,还是拿到虚拟机里运行一番……然后……照片并没有出现,而是
这个更加邪恶!
右边的IE图标是假的,还有万恶的淘宝图标……应该有同学见过,并且深恶痛绝吧。
于是问题出现了——到底哪里不对劲?
谜底揭晓,选择7号文件,右键属性:
果然,文件类型是应用程序,根本不是什么照片。
注意上方的文件名,有没有觉得不太对劲?
这就是传说中的unicode反转技术。
说来简单,就是改变文件名和后缀中一部分的显示顺序:
比如,文件名是XXXXjpg.exe,结果后面部分的显示顺序颠倒,变成XXXXexe.jpg实际上仍然是可执行文件。
还有图标,前面说了,那个只是照片默认的图标,实际可以通过工具修改,想改成什么样就是什么样。
这一切对病毒作者来说都不是难事,但只要在XXXX部分起一个诱惑性的名字,可以想象到杀伤力有多大!
于是,对于某些你下载或者别人发给你的文件来说,显示扩展名和关注文件的属性就比较重要了,当然,对于莫名其妙有人给你的文件,能不运行就不运行。
怀疑有问题的,马上干掉。
当然,我们欢迎来卡饭把可疑文件提交给我们。
以上病毒,一个来自通过QQ传播的“我的照片”,一个就是最近猖獗的淘宝诈骗木马,有一个类似的例子就是有人收到此类文件,运行后,病毒修改了淘宝的付款方的信息,然后钱到了骗子手中……
以上主要是扩展名的问题,关于文件名的防范,我基本引用了卡饭某牛人的著作:
——————————————————————————————————
本文不是说哪个文件是病毒,而是以我的经验概括哪些文件长的像病毒,是一种以貌取人的方法哈。
我个人推荐,不要省略掉常见文件名的后缀。
(我的电脑——工具——文件夹选项——隐藏已知文件的扩展名,这个不要选中)
1、欺诈、伪装类
1.1伪装知名网站:
举例:
文件名叫的com文件淘宝商城.Lnk(指向钓鱼页)
1.2伪装系统文件
举例:
1sass.exe,exp1orer.exe,svch0st.exe,IE.exe,InternatExplorer.lnk,(注意字母l和数字1的区别,数字0和字母O,这种十分狡猾,还有一些看起来像系统文件的名称,要小心)
1.3伪装知名软件
举例:
假的qq.exe(假IE类)IE.exe,InternatExplorer.lnk
Adobe_Flash_Playe.exe
1.4伪装安装文件
举例:
假的dnf_setup.exe,假的keygen.exe(包含setup的文件名得格外当心)
1.5伪装生理学、赌博等
举例:
成人影院.exe,洗澡偷拍.exe,fucking_sexygirl.mepg.exe,pornoplayer.exe
2、古怪类
2.1、过于简单的名字
举例:
1.exe,2.exe,1.reg,2.reg,a.exe,a1.exe过于简单的名字,难懂不像草草了事做出来的病毒?
除非是你自己草草了事写
2.2、后缀偏门
(一般人hta、pif、vbs这三个后缀比较可能用不着,通常可能是病毒。
另外各位注意bat)
举例:
setup.hta、1.vbs、1.pif例外:
微软验证程序legitcheck.hta(我还没见过它)
2.3、前缀乱写
举例:
eufhew.exe,45516.exe(纯数字的exe一般都很可疑)
——————————————————————————————————
至此,第一节课接近尾声,或许有童鞋注意到,全过程中没有出现杀毒软件的身影。
不是说我们不用杀软,而是我们推崇在有一款不错的安全软件的同时,做好意识防毒。
请相信,你的大脑,你的意识强过一切杀软!
有了相对完美的计算机安全意识,你不用担心如果病毒来了杀软没有拦截住怎么办,因为病毒没有运行的机会!
之后的一切都不会有!
当然在接下去的课中,我们会陆续介绍除了文件名和杀软以外的一些有效的,简单的防毒以及杀毒方法。
不过始终牢记:
没有什么比可靠的安全意识更要紧的了……有的高手裸奔一年不中毒,而有些人装了一堆安全软件,没几天就中招,原因就在“意识”二字。
当然,不建议裸奔,那是高高手干的事情,杀软还是需要的。
但是,从现在开始不要纠结于那个杀软最好,因为你的意识就是最好的杀软。
最后,欢迎有各种兴趣的童鞋,前来卡饭观光学习,别忘了注册帐号……OK,那么这些该死的病毒又是如何进入我们的电脑的呢?
第二课,让我们期待与之相关的一部分知识吧~
今天我们开始我们的第二讲了……一起来讨论病毒从哪里来的问题。
生活中许多人常常被“从天而降的病毒”弄得不知所措……。
恶意软件天上来?
这个当然不现实。
俗话说,冤有头,债有主,病毒也是凡间的东西,还是会通过特定的途径袭击我们的电脑!
所以……意识防毒第二波!
让病毒没有机会出现在我们的电脑上,半路狙杀之!
超越文件名的判断!
其实,还是那句老话,相比较杀毒而言,防毒更为重要。
因为其实中了毒之后如果杀毒软件不管用的话,普通用户是很难对付的。
就算是有一定功底的人,即使把病毒杀了,系统也会变得千疮百孔,且基本不可能完全修复,因此防御病毒的入侵是最为重要的,切记切记!
OK,言归正传。
病毒会通过哪些途径侵袭大家呢?
欢迎踊跃发言……(waiting)
众高手经过讨论,一致认为主要有下列几点:
1.下载软件中招
2.插入的U盘带毒
3.浏览恶意或者挂马网页中招
4.接受别人(QQ好友或者淘宝卖家)的文件中招
5.局域网ARP病毒
…………
第二波的第一部分,也就是这节课,我们来详细研究一下下载软件中招的问题。
选择题:
各位童鞋,平时你们都会去哪里下载自己想要的软件?
A.我就相信官方的,从来都去软件的官方网站下载。
B.华军,天空,太平洋,非凡神马的大型下载站我最喜欢了……就去那里。
C.360,QQ,金山卫士这一类的软件管家功能很好,都这里下的。
D.好东东都在偏僻的角落,在各种论坛,网盘搜罗一圈总有各种我喜欢的……(咳咳,省去100字不和谐内容……)
E.神马都是浮云!
XX随便一搜一大堆,管他第一个还是最后一个链接,随便点一个下载了事,哪那么多麻烦?
等待中………………………………………………………………
选A,B,C的童鞋恭喜了,你们有着不错的下载习惯,这个可以帮助你避免不少难缠的病毒……选D的要引起注意了!
很快大家就会知道,这个不见得安全……下面……全体人员为选了E的童鞋默哀3分钟……………………………………………………………………
有E这种习惯的童鞋务必引起足够重视!
说不定哪天你的电脑就真的浮云了……至于为什么嘛,我们向下看。
一般说来,官方网站的软件由软件的官方发布,安全性几乎无懈可击;大型的知名下载站,对于软件来源的管理和审核还是不错的,虽然比官方网站可能稍稍逊色一些,不过也不错;至于软件管家提供的下载,来源可靠,很多来自官网,并有安全厂商的严格审核,也是放心的。
关键问题在于论坛,网盘和不知名下载站点的下载!
让我们来看一下这个网站:
没见过吧?
没听说过吧?
正常,我也没听说过这个站点……
第一印象是什么?
广告多,“下载地址”多,处处“高速”……
点广告的关闭按钮一样弹广告……
到这里,估计有同学有疑问:
很多大型下载站不是一样有广告吗?
这个没错,不过区别在于,大站的广告位置固定,没有漂浮和弹窗,而且有提示把你引导到正确的下载地址。
而这些小下载站的最大问题就在于,你有很大的可能下载到你所不需要的东西……
当点击了高速下载地址中的一个后:
好吧,有MM……不过谁都知道这是个弹窗广告。
然后……
咳咳,根据之前文件名的判断,这种纯数字命名东东估计有问题!
下载下来之后……
右键属性:
貌似世界之窗浏览器?
反正不是我们想要的。
运行一下看看……
好吧,世界之窗是出来了,不过,那个淘宝特卖……
然后,我们打开世界之窗看看。
我承认这个不是官方版本的世界之窗,很明显被修改过了……
那么换一个电信下载地址试试呢?
右下角是亮点……链接失效,附带下载一个带毒的文件……
折腾到现在,承诺的酷狗音乐播放器去哪里了?
很明显是没有了。
现在我估计大家可以认清这些“垃圾”下载站的面目了:
两多一无:
广告多,“下载地址”巨多,不过没有一个是我们想要的。
而且下载的东西往往是恶意软件,或者是某些被恶意修改的。
所以,珍爱电脑生命,远离“垃圾”下载站!
像选ABC的童鞋学习。
不过下载到正规软件的童鞋还要注意一点,就是安装过程中的选项问题。
以QQ为例:
要不要安装这些软件,要显示什么图标,要看清楚,有些是你不需要的。
还有安装结束
几个选项看清楚,特别是改主页和开机启动,不需要的就不选(貌似QQ不用开机启动的)。
不同的软件或许有所不同,留个心眼就好。
每每看到一些人开机启动时“QQ与PPS齐飞,迅雷共暴风一色”,并且开机暴卡的情形,总是表示相当的同情和无奈……
接着看一下论坛和网盘下载的问题。
这两个地方的文件都是会员或者网民自行上传的。
论坛有版主检查,不过能力有限,不见得每一个都能仔细检查,难免漏网之鱼,即使是卡饭这样的计算机安全论坛也不能避免(或许是会员自己也不知道,或许是有人故意的);而网盘更是没有人检查,安全性更是值得怀疑。
以下就是卡饭的一个例子,帖子中给的是软件的下载链接,不是卡饭的网站:
又是这样的一个网站:
好在还是可以找到真实的下载地址的(上方图片再下面一点的位置)下载成功,但是:
其实exe和swf都可以成为flash文件的后缀,不过这个双后缀……难道被修改?
运行一下:
确实是一个flash游戏。
不过关闭它之后,试着打开IE,
好吧,主页被修改,还是不太干净的软件……论坛的东西不一定保险,切记!
关于网盘,曾经看见过某牛人的网盘,全是exe后缀的大小几十KB的文件,文件名都是带颜色(yellow)的那种……
很好,有同学认为那个文件不正常,没错,用杀软一试,全是一种病毒……这个相当无语。
总的来说,论坛和网盘的下载都不怎么靠谱,当然“垃圾”下载站更加不对劲……我们也知道,有一些同学去这些地方找资源是不得以,因为他找的是一些“灰色资源”:
比如某些小型视频网站的特制版快播,或者是外-挂。
对于快播,它是个好软件,不过想一想为什么要你下载特制的?
很明显,快播是被做过手脚的,这一点通过我们意识防毒的学习应该不难判断。
公司不对,不是快播的,而且没有数字签名。
运行文件,没有安装界面(压根不是安装程序),我们记录下了一堆病毒的行为,然后虚拟机竟然自动重启了……貌似危害不小。
外-挂更不用说,十挂九毒可不是传说啊!
本来,单机游戏用的修改器无可非议,但是在网游用外-挂就是严重扰乱游戏公平的行为,我们坚决反对。
关键是由于外-挂软件干的某些事情本来就和病毒很像,容易被杀软报病毒,所以一般人判断外-挂是否带病毒不容易(方法还是有的,不过不容易掌握,有兴趣可以来卡饭学习研究,这里不说了)。
所以说根本不用这些灰色软件才是王道。
到这里,第二课的讲述基本完成。
在今后的课里,我们不仅会对病毒入侵的其他途径做详细论述,还会教授很多的防毒杀毒相关的基本知识。
最后,关于文章的难度和其他方面,有任何想说的话,都欢迎反馈!
‘
终于,防毒第三讲……出来啦!
在各类下载中,我们的意识防毒已经成功地御病毒于千里之外,当然病毒不会善罢甘休,它们试图通过U盘暗渡陈仓……
对于U盘病毒,想必大家都见识过,一些人或许还深受其害,对于U盘病毒,你了解多少呢?
OK,言归正传……
U盘病毒,其实是一个宽泛的概念,凡是可以通过U盘等可移动存储设备传播的病毒,都可以算作U盘病毒,即使它还有其他的传播途径。
U盘病毒大致可以分为3类(个人意见):
autorun(自动运行),文件夹或者文件模仿类,微软的lnk漏洞类。
下面就分开介绍三种,在最后,会有统一的解决方案,主要是普及版和高级版的防御方案以及一般的处理病毒的防法。
一.
autorun(自动运行)病毒(最常见)
在之前的防毒课程中,想必童鞋们已经了解了显示隐藏文件和扩展名的方法了……
今天我们一样会用到。
这是一只U盘,电脑上已经显示扩展名,但没有显示隐藏文件。
现在此U盘一切正常。
然后…………运行病毒!
(我们依然是在虚拟机里操作)
仔细一看……?
多出3个快捷方式?
这还是次要的……下面显示隐藏文件(扩展名已经显示了):
再看U盘,咦?
这里,最上方三个文件夹是原有的文件夹,正常,注意最后多出的两个文件,病毒现身了!
autorun.inf估计很多人看见过,不过你了解吗?
我们用记事本打开autorun.inf文件:
大致的意思是,双击盘符,右键单击打开,用资源管理器打开U盘都会运行病毒文件!
问题出现了!
最早的autorun病毒只在双击盘符时运行,于是有人右键打开U盘,安全……后来右键打开U盘也不安全了,就有人用资源管理器访问U盘,那时还是安全的……现在,资源管理器也不保险了……至于怎么预防后面再说。
偶们的童鞋是细心的,很快有人注意到,开始生成的那3个快捷方式是怎么回事?
传统的auto病毒只有那两个文件(一个autorun.inf,一个可以执行的病毒文件,exe或者其他),这个病毒更进一步,我们看看快捷方式的属性:
非常明显,如果点击了快捷方式,首先运行病毒,同时打开你原来想访问的那个文件夹。
因为快捷方式的图标就是那个文件夹的,不注意容易误点击,果然狡猾!
二.文件夹或者文件模仿类(比较常见)文件夹模仿者(隐藏者)病毒算是其中最常见的了,它没有运用自动运行的方法,而是直接引诱点击
这是正常的U盘,扩展名和隐藏文件均没有显示,只有一个可见的文件夹。
运行病毒
仔细观察,还是一个文件夹?
不过图标有点粗糙?
现在显示扩展名+显示隐藏文件:
一目了然。
原有文件夹被隐藏,显示的只是相同名称的,图标模仿的病毒文件。
此类病毒曾经广泛爆发,现在依然多见。
还有一类是将原有的照片或者可执行文件隐藏并且改名,然后显示病毒文件的,比如死亡宅男(sola):
这里的情况是显示的是病毒文件,而不是原有的照片。
后来sola的变种更胜一筹,不只是隐藏照片,而是直接删除照片,用病毒文件代替,而且图标显示的还是照片的默认图标!
!
三.微软Lnk漏洞病毒(现在很少见)微软Lnk漏洞(快捷方式漏洞)具有非常好的触发特性,一句话解释就是,“看一眼就中毒”。
病毒传播者会精心构造一个特殊的lnk文件和一个lnk调用的病毒文件。
通过U盘、移动硬盘、数码存储卡复制传播这些文件。
只要查看这些文件,有漏洞的系统就会触发病毒运行。
听起来比较恐怖,不过只要打上了相应补丁,此类病毒不过是浮云……嗯嗯,下面就是童鞋们最感兴趣的了…………怎么防御U盘病毒呢?
(我们分普及版和高级版讲解)
普及版!
1.意识打头,之前的描述很明确了,如果能够正常显示隐藏文件和扩展名,相信大家都能发现那些不对劲的文件并且歼灭之,无论如何伪装都是逃不过滴……
2.对于autorun病毒的预防,原先的误区是很多的,用以下Q&A说明:
Q:
听说这样关闭自动播放可以预防autorun病毒?
(单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。
)
A:
不对!
靠组策略中关闭自动播放来预防U盘毒是完全没有用的!
自动播放(Autoplay)和自动运行(autorun)并不是一回事。
Q:
那么在U盘以及硬盘分区建立无法删除的autorun.inf同名文件夹是否可以?
不让病毒文件进入。
A:
用来防御autorun可以,不过只限于这种病毒,对于引诱你点击的无效。
还有,autorun.inf同名文件夹只能阻止autorun.inf文件进入,病毒的主体文件还会进来,只是不会自动运行。
注意,下面3和4是对付autorun行之有效的方法:
3.最简单的方法:
安装微软的补丁,win7这方面的安全已经完善了,没有补丁。
安装后系统不再支持非光学便携媒体的自动运行(AutoRun)功能。
WindowsXP:
WindowsXP64
位:
WindowsVista:
WindowsVista64位:
4.稍稍麻烦:
关闭ShellHardwareDetection服务(同时把自动播放和自动运行取消)
5.或许有人注意到,以前的教程都没有涉及到杀软……现在,我们的好搭档已经准备好了,表示要发挥很大的作用……没错,在U盘病毒的防护中,杀软和卫士都有着重要作用!
!
一款监控不错的杀软配合卫士(什么卫士都行)的U盘监控功能,加上之前的显示隐藏文件、扩展名,以及打补丁,就可以非常好地防御U盘病毒感染。
而且对于U盘某些感染型病毒,自然也是杀软比较给力。
PS:
我们的凝逸版主研发的凝逸反毒--U盘防御也是相当给力滴……
再下面呢,就是一些高级的方法了,由于水平限制,不一定完全正确,欢迎给意见。
如果对高级方法没有兴趣或者觉得太难,没有关系,掌握好前面的基本方法足矣。
1.U盘可执行文件软件散列规则禁运开始运行,输入secpol.msc,打开,看到软件限制策略。
2.
3.规则对于指定的文件类型里的所有可执行文件都有效。
4.
5.然后看到软件限制策略下的其他规则:
6.
7.默认的东西不要动,右侧,右键,新建路径规则:
8.
9.
关于路径,从你光驱的盘符之后开始写,一般几个就行(不会插那么多设备的,比如X:
\,你要写到Z也可以……),安全级别自然是不允许,需要几个盘符就写几个规则。
此后,直接运行U盘里的可执行文件就会这样:
当然,运行PPT之类的文件不会有问题,网银的U盾似乎也不受影响。
只是如果要运行安装程序,请先复制到电脑上再说。
这样,U盘里的所有病毒自然没有机会运行。
1.U盘根目录NTFS权限法:
此法比较麻烦,不过可能是能够阻止有毒电脑上的病毒文件进入你的U盘的少数方法之一,毕竟大多数防御都是在你自己电脑上做文章。
以下纯属引用:
首先U盘的文件系统要是NTFS(废话,不然怎么设置权限?
)最简单的做法是:
开始——运行——cmd——convertG:
/fs:
ntfs(G是u盘盘符,当然你直接格式化成这样也行)。
然后:
查看——文件夹选项——把“使用简单文件共享”前面的钩取掉。
这么做之后鼠标右键点击u盘盘符——属性,会出现安全选项卡!
接下来,我们就要在这里作文章了!
作文章之前先别忙,我们在u盘根目录下创建一个空文件夹名字就叫“都放在这里吧”。
呵呵!
~(以后的文件真的只有放在里面,我这里是新建文件夹)
u盘默认的组或用户是Everyone,并且权限是完全控制。
也就是说,u盘插在谁的电脑上谁的电脑就对它有完全控制权。
如果电脑上带有病毒,它要对你的u盘做些什么是你无法控制的。
点击“高级”——“编辑”我们来对Everyone的权限作一些限制。
拒绝掉创建文件/写入数据、创建文件夹/附加数据、写入属性。
这样,任何人都不能在u盘根目录下创建文件、文件夹了。
但是别忘了,你还有一个空文件夹——名叫“都放在这里吧”。
正常文件的存储读取怎么办呢?
当然都要在“都放在这里吧”文件夹(新建文件夹)中了。
对该文件夹的权限设置仍然很重要!
属性——安全选项卡——这里默认有两个用户administrator(就是自己的用户名,也可以是其他)和SYSTEM。
到这里,我的u盘根目录下这个文件夹到了别人的电脑上是打不开的,也就是无法拷东西了。
在这里我们要添加一个用户Everyone。
点击“高级”设置Everyone对该文件夹。
注意,“从父项继承哪些可以应用到子对象的权限项目。
。
。
”一定要选上,默认就是选上的吧。
拒绝掉删除子文件夹及文件、删除。
这样可以防止资料在别的电脑上被误删。
本机用户就采用完全控制好了~自信我的电脑上没毒~
至此,NTFS格式的安全u盘打造完毕。
以后使用中所要做的就是把东西都放在那个名叫“都放在这里吧”的文件夹下,根目录下是不能新建任何东西了,病毒也就没有了可趁之机。
PS:
此法自然可靠,当年我用它抵御过文件夹隐藏者病毒。
不过文件只能放在特定的文件夹里,不是很方便,而且操作不能出错,有一定风险,一般推荐。
3.这个或许是卡饭历史上最蛋疼,但最有效的绝招(感谢天月来
升级会员 