卡饭完全防毒杀毒手册.docx

1、卡饭完全防毒杀毒手册今天，我们的第一课就算开始了讲神马呢？就从天天都要打交道的文件名以及扩展名开始。我相信，对于文件名和扩展，你一定是既熟悉又陌生的。看看对于你熟悉的伙伴，你又了解多少？下面先来看几张熟悉的截图没错，15号都是大家熟悉的文件，分别是可执行文件，文本文件，网页文件，图片和office文件，区别嘛，你看扩展名不一样 啥？不知道扩展名是什么？OK，众所周知，在计算机里，每一个文件都有自己的文件名和扩展名。如QQ.exe , QQ就是文件名，中间以. 分开，后面的 exe就是扩展名。扩展名是操作系统用来标志文件格式的一种机制，换句话说，就是标识这一类扩展名的文件用什么程序去打开。当然，

2、同时加上一个系统默认的图标来标记（注意，扩展名只能说明用什么程序打开文件，无法说明文件本身是什么类型的文件，这点非常重要）终于，有童鞋提问了：“那个6号看起来很奇怪啊，图标不对嘛，不像照片 对喽！不过只对了一半关于文件的扩展名，windows系统默认设置是隐藏的。让我们来显示文件扩展名：依次打开我的电脑工具文件夹选项隐藏已知文件的扩展名，然后这个不要选中（把勾去掉，确定）然后nani？！这就是猫腻所在所谓的双后缀！其实只有最后那个exe是真的后缀，jpg只是前面名称的一部分。（注意，其实我们说的可执行文件不只是exe，还有 .sys文件 .com文件 .bat文件等，不过sys一般不能独立运行

3、。其中最有欺骗性的就是，此文件后缀其实是com，如果有这样的文件名，可别当作网址。除此之外，vbs，reg这种可执行的脚本也要注意）接着在虚拟机中把此文件跑一跑（不用担心，虚拟机中的东东与实际的电脑隔离，基本没有影响虚拟机其实很神奇的，想进一步学习的，欢迎前来卡饭论坛虚拟机交流区！）双击6号文件，结果悲剧的IE主页看来果然不是好东西。看来显示扩展名是多么要紧，看到这种双后缀，还不赶紧干掉文件，以绝后患（估计没有人愿意运行）。那么7号呢？已经显示扩展名了，还是如此，扩展名，图标似乎都很正常一样，还是拿到虚拟机里运行一番然后照片并没有出现，而是这个更加邪恶！右边的IE图标是假的，还有万恶的淘宝图标

4、应该有同学见过，并且深恶痛绝吧。于是问题出现了到底哪里不对劲？谜底揭晓，选择7号文件，右键属性：果然，文件类型是应用程序，根本不是什么照片。注意上方的文件名，有没有觉得不太对劲？这就是传说中的unicode反转技术。说来简单，就是改变文件名和后缀中一部分的显示顺序：比如，文件名是XXXXjpg.exe，结果后面部分的显示顺序颠倒，变成XXXXexe.jpg实际上仍然是可执行文件。还有图标，前面说了，那个只是照片默认的图标，实际可以通过工具修改，想改成什么样就是什么样。这一切对病毒作者来说都不是难事，但只要在XXXX部分起一个诱惑性的名字，可以想象到杀伤力有多大！于是，对于某些你下载或者别人发给

5、你的文件来说，显示扩展名和关注文件的属性就比较重要了，当然，对于莫名其妙有人给你的文件，能不运行就不运行。怀疑有问题的，马上干掉。当然，我们欢迎来卡饭把可疑文件提交给我们。以上病毒，一个来自通过QQ传播的“我的照片”，一个就是最近猖獗的淘宝诈骗木马，有一个类似的例子就是有人收到此类文件，运行后，病毒修改了淘宝的付款方的信息，然后钱到了骗子手中以上主要是扩展名的问题，关于文件名的防范，我基本引用了卡饭某牛人的著作：本文不是说哪个文件是病毒，而是以我的经验概括哪些文件长的像病毒，是一种以貌取人的方法哈。我个人推荐，不要省略掉常见文件名的后缀。（我的电脑工具文件夹选项隐藏已知文件的扩展名，这个不要选

6、中）1、欺诈、伪装类 1.1伪装知名网站：举例：文件名叫的com文件淘宝商城.Lnk(指向钓鱼页)1.2伪装系统文件举例：1sass.exe，exp1orer.exe，svch0st.exe，IE.exe，Internat Explorer.lnk，（注意字母l和数字1的区别，数字0和字母O，这种十分狡猾，还有一些看起来像系统文件的名称，要小心） 1.3伪装知名软件举例：假的qq.exe(假IE类)IE.exe，Internat Explorer.lnkAdobe_Flash_Playe.exe1.4伪装安装文件举例：假的dnf_setup.exe,假的keygen.exe(包含setup的文

7、件名得格外当心)1.5伪装生理学、赌博等举例：成人影院.exe,洗澡偷拍.exe，fucking_sexygirl.mepg.exe，pornoplayer.exe2、古怪类2.1、过于简单的名字举例：1.exe，2.exe，1.reg，2.reg，a.exe，a1.exe过于简单的名字，难懂不像草草了事做出来的病毒？除非是你自己草草了事写 2.2、后缀偏门（一般人hta、pif、vbs这三个后缀比较可能用不着，通常可能是病毒。另外各位注意bat）举例：setup.hta、1.vbs、1.pif例外：微软验证程序legitcheck.hta（我还没见过它）2.3、前缀乱写举例：eufhew.e

8、xe，45516.exe（纯数字的exe一般都很可疑）至此，第一节课接近尾声，或许有童鞋注意到，全过程中没有出现杀毒软件的身影。不是说我们不用杀软，而是我们推崇在有一款不错的安全软件的同时，做好意识防毒。请相信，你的大脑，你的意识强过一切杀软！有了相对完美的计算机安全意识，你不用担心如果病毒来了杀软没有拦截住怎么办，因为病毒没有运行的机会！之后的一切都不会有！当然在接下去的课中，我们会陆续介绍除了文件名和杀软以外的一些有效的，简单的防毒以及杀毒方法。不过始终牢记：没有什么比可靠的安全意识更要紧的了有的高手裸奔一年不中毒，而有些人装了一堆安全软件，没几天就中招，原因就在“意识”二字。当然，不建议

9、裸奔，那是高高手干的事情，杀软还是需要的。但是，从现在开始不要纠结于那个杀软最好，因为你的意识就是最好的杀软。最后，欢迎有各种兴趣的童鞋，前来卡饭观光学习，别忘了注册帐号OK，那么这些该死的病毒又是如何进入我们的电脑的呢？第二课，让我们期待与之相关的一部分知识吧今天我们开始我们的第二讲了一起来讨论病毒从哪里来的问题。生活中许多人常常被“从天而降的病毒”弄得不知所措。恶意软件天上来？这个当然不现实。俗话说，冤有头，债有主，病毒也是凡间的东西，还是会通过特定的途径袭击我们的电脑！所以意识防毒第二波！让病毒没有机会出现在我们的电脑上，半路狙杀之！超越文件名的判断！其实，还是那句老话，相比较杀毒而言，

10、防毒更为重要。因为其实中了毒之后如果杀毒软件不管用的话，普通用户是很难对付的。就算是有一定功底的人，即使把病毒杀了，系统也会变得千疮百孔，且基本不可能完全修复，因此防御病毒的入侵是最为重要的，切记切记！ OK，言归正传。病毒会通过哪些途径侵袭大家呢？欢迎踊跃发言（waiting）众高手经过讨论，一致认为主要有下列几点：1.下载软件中招2.插入的U盘带毒3.浏览恶意或者挂马网页中招4.接受别人（QQ好友或者淘宝卖家）的文件中招5.局域网ARP病毒第二波的第一部分，也就是这节课，我们来详细研究一下下载软件中招的问题。选择题：各位童鞋，平时你们都会去哪里下载自己想要的软件？A我就相信官方的，从来都去

11、软件的官方网站下载。B华军，天空，太平洋，非凡神马的大型下载站我最喜欢了就去那里。C360，QQ，金山卫士这一类的软件管家功能很好，都这里下的。D好东东都在偏僻的角落，在各种论坛，网盘搜罗一圈总有各种我喜欢的（咳咳，省去100字不和谐内容）E神马都是浮云！XX随便一搜一大堆，管他第一个还是最后一个链接，随便点一个下载了事，哪那么多麻烦？等待中 选A,B,C的童鞋恭喜了，你们有着不错的下载习惯，这个可以帮助你避免不少难缠的病毒选D的要引起注意了！很快大家就会知道，这个不见得安全下面全体人员为选了E的童鞋默哀3分钟 有E这种习惯的童鞋务必引起足够重视！说不定哪天你的电脑就真的浮云了至于为什么嘛，我

12、们向下看。 一般说来，官方网站的软件由软件的官方发布，安全性几乎无懈可击；大型的知名下载站，对于软件来源的管理和审核还是不错的，虽然比官方网站可能稍稍逊色一些，不过也不错；至于软件管家提供的下载，来源可靠，很多来自官网，并有安全厂商的严格审核，也是放心的。关键问题在于论坛，网盘和不知名下载站点的下载！让我们来看一下这个网站：没见过吧？没听说过吧？正常，我也没听说过这个站点第一印象是什么？广告多，“下载地址”多，处处“高速”点广告的关闭按钮一样弹广告到这里，估计有同学有疑问：很多大型下载站不是一样有广告吗？这个没错，不过区别在于，大站的广告位置固定，没有漂浮和弹窗，而且有提示把你引导到正确的下载

13、地址。而这些小下载站的最大问题就在于，你有很大的可能下载到你所不需要的东西当点击了高速下载地址中的一个后：好吧，有MM不过谁都知道这是个弹窗广告。然后咳咳，根据之前文件名的判断，这种纯数字命名东东估计有问题！下载下来之后右键属性：貌似世界之窗浏览器？反正不是我们想要的。运行一下看看好吧，世界之窗是出来了，不过，那个淘宝特卖然后，我们打开世界之窗看看。我承认这个不是官方版本的世界之窗，很明显被修改过了那么换一个电信下载地址试试呢？右下角是亮点链接失效，附带下载一个带毒的文件折腾到现在，承诺的酷狗音乐播放器去哪里了？很明显是没有了。现在我估计大家可以认清这些“垃圾”下载站的面目了：两多一无：广告多

14、，“下载地址”巨多，不过没有一个是我们想要的。而且下载的东西往往是恶意软件，或者是某些被恶意修改的。所以，珍爱电脑生命，远离“垃圾”下载站！像选ABC的童鞋学习。不过下载到正规软件的童鞋还要注意一点，就是安装过程中的选项问题。以QQ为例：要不要安装这些软件，要显示什么图标，要看清楚，有些是你不需要的。还有安装结束 几个选项看清楚，特别是改主页和开机启动，不需要的就不选（貌似QQ不用开机启动的）。 不同的软件或许有所不同，留个心眼就好。每每看到一些人开机启动时“QQ与PPS齐飞，迅雷共暴风一色”，并且开机暴卡的情形，总是表示相当的同情和无奈 接着看一下论坛和网盘下载的问题。这两个地方的文件都是会

15、员或者网民自行上传的。论坛有版主检查，不过能力有限，不见得每一个都能仔细检查，难免漏网之鱼，即使是卡饭这样的计算机安全论坛也不能避免（或许是会员自己也不知道，或许是有人故意的）；而网盘更是没有人检查，安全性更是值得怀疑。 以下就是卡饭的一个例子，帖子中给的是软件的下载链接，不是卡饭的网站：又是这样的一个网站：好在还是可以找到真实的下载地址的（上方图片再下面一点的位置）下载成功，但是：其实exe和swf都可以成为flash文件的后缀，不过这个双后缀难道被修改？运行一下：确实是一个flash游戏。不过关闭它之后，试着打开IE，好吧，主页被修改，还是不太干净的软件论坛的东西不一定保险，切记！关于网盘

16、，曾经看见过某牛人的网盘，全是exe后缀的大小几十KB的文件，文件名都是带颜色（yellow）的那种 很好，有同学认为那个文件不正常，没错，用杀软一试，全是一种病毒这个相当无语。 总的来说，论坛和网盘的下载都不怎么靠谱，当然“垃圾”下载站更加不对劲我们也知道，有一些同学去这些地方找资源是不得以，因为他找的是一些“灰色资源”：比如某些小型视频网站的特制版快播，或者是外-挂。对于快播，它是个好软件，不过想一想为什么要你下载特制的？很明显，快播是被做过手脚的，这一点通过我们意识防毒的学习应该不难判断。公司不对，不是快播的，而且没有数字签名。 运行文件，没有安装界面（压根不是安装程序），我们记录下了一

17、堆病毒的行为，然后虚拟机竟然自动重启了貌似危害不小。 外-挂更不用说，十挂九毒可不是传说啊！本来，单机游戏用的修改器无可非议，但是在网游用外-挂就是严重扰乱游戏公平的行为，我们坚决反对。关键是由于外-挂软件干的某些事情本来就和病毒很像，容易被杀软报病毒，所以一般人判断外-挂是否带病毒不容易（方法还是有的，不过不容易掌握，有兴趣可以来卡饭学习研究，这里不说了）。所以说根本不用这些灰色软件才是王道。 到这里，第二课的讲述基本完成。在今后的课里，我们不仅会对病毒入侵的其他途径做详细论述，还会教授很多的防毒杀毒相关的基本知识。最后，关于文章的难度和其他方面，有任何想说的话，都欢迎反馈！终于，防毒第三讲

18、出来啦！在各类下载中，我们的意识防毒已经成功地御病毒于千里之外，当然病毒不会善罢甘休，它们试图通过U盘暗渡陈仓对于U盘病毒，想必大家都见识过，一些人或许还深受其害，对于U盘病毒，你了解多少呢？OK，言归正传 U盘病毒，其实是一个宽泛的概念，凡是可以通过U盘等可移动存储设备传播的病毒，都可以算作U盘病毒，即使它还有其他的传播途径。 U盘病毒大致可以分为3类（个人意见）：autorun（自动运行），文件夹或者文件模仿类，微软的lnk漏洞类。下面就分开介绍三种，在最后，会有统一的解决方案，主要是普及版和高级版的防御方案以及一般的处理病毒的防法。一autorun（自动运行）病毒（最常见）在之前的防毒课

19、程中，想必童鞋们已经了解了显示隐藏文件和扩展名的方法了今天我们一样会用到。这是一只U盘，电脑上已经显示扩展名，但没有显示隐藏文件。现在此U盘一切正常。然后运行病毒！（我们依然是在虚拟机里操作）仔细一看？多出3个快捷方式？这还是次要的下面显示隐藏文件（扩展名已经显示了）：再看U盘，咦？这里，最上方三个文件夹是原有的文件夹，正常，注意最后多出的两个文件，病毒现身了！autorun.inf估计很多人看见过，不过你了解吗？ 我们用记事本打开autorun.inf文件：大致的意思是，双击盘符，右键单击打开，用资源管理器打开U盘都会运行病毒文件！ 问题出现了！最早的autorun病毒只在双击盘符时运行，于

20、是有人右键打开U盘，安全后来右键打开U盘也不安全了，就有人用资源管理器访问U盘，那时还是安全的现在，资源管理器也不保险了至于怎么预防后面再说。 偶们的童鞋是细心的，很快有人注意到，开始生成的那3个快捷方式是怎么回事? 传统的auto病毒只有那两个文件（一个autorun.inf，一个可以执行的病毒文件，exe或者其他），这个病毒更进一步，我们看看快捷方式的属性：非常明显，如果点击了快捷方式，首先运行病毒，同时打开你原来想访问的那个文件夹。因为快捷方式的图标就是那个文件夹的，不注意容易误点击，果然狡猾！ 二. 文件夹或者文件模仿类（比较常见） 文件夹模仿者（隐藏者）病毒算是其中最常见的了，它没有

21、运用自动运行的方法，而是直接引诱点击这是正常的U盘，扩展名和隐藏文件均没有显示，只有一个可见的文件夹。运行病毒仔细观察，还是一个文件夹？不过图标有点粗糙？现在显示扩展名+显示隐藏文件：一目了然。原有文件夹被隐藏，显示的只是相同名称的，图标模仿的病毒文件。此类病毒曾经广泛爆发，现在依然多见。 还有一类是将原有的照片或者可执行文件隐藏并且改名，然后显示病毒文件的，比如死亡宅男（sola）：这里的情况是显示的是病毒文件，而不是原有的照片。 后来sola的变种更胜一筹，不只是隐藏照片，而是直接删除照片，用病毒文件代替，而且图标显示的还是照片的默认图标！ 三微软Lnk漏洞病毒（现在很少见）微软Lnk漏洞

22、（快捷方式漏洞）具有非常好的触发特性，一句话解释就是，“看一眼就中毒”。病毒传播者会精心构造一个特殊的lnk文件和一个lnk调用的病毒文件。通过U盘、移动硬盘、数码存储卡复制传播这些文件。只要查看这些文件，有漏洞的系统就会触发病毒运行。听起来比较恐怖，不过只要打上了相应补丁，此类病毒不过是浮云 嗯嗯，下面就是童鞋们最感兴趣的了怎么防御U盘病毒呢？（我们分普及版和高级版讲解）普及版！1. 意识打头，之前的描述很明确了，如果能够正常显示隐藏文件和扩展名，相信大家都能发现那些不对劲的文件并且歼灭之，无论如何伪装都是逃不过滴2.对于autorun病毒的预防，原先的误区是很多的，用以下Q&A说明：Q：听

23、说这样关闭自动播放可以预防autorun病毒？（单击“开始”-“运行”，在运行中输入gpedit.msc进入组策略编辑器，依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”，在“关闭自动播放”属性窗口选择“已启用”，关闭自动播放中选择“所有驱动器”，单击“应用”按钮禁用系统中所有驱动器的自动播放功能。）A：不对！靠组策略中关闭自动播放来预防U盘毒是完全没有用的！自动播放（Autoplay）和自动运行（autorun）并不是一回事。Q：那么在U盘以及硬盘分区建立无法删除的autorun.inf同名文件夹是否可以？不让病毒文件进入。A：用来防御autorun可以，不过只限于这种病毒，对

24、于引诱你点击的无效。还有，autorun.inf同名文件夹只能阻止autorun.inf文件进入，病毒的主体文件还会进来，只是不会自动运行。 注意，下面3和4是对付autorun行之有效的方法：3.最简单的方法：安装微软的补丁，win7这方面的安全已经完善了，没有补丁。安装后系统不再支持非光学便携媒体的自动运行(AutoRun)功能。WindowsXP：Windows XP 64位： Windows Vista： Windows Vista 64位： 4.稍稍麻烦：关闭Shell Hardware Detection服务（同时把自动播放和自动运行取消） 5.或许有人注意到，以前的教程都没有涉及

25、到杀软现在，我们的好搭档已经准备好了，表示要发挥很大的作用没错，在U盘病毒的防护中，杀软和卫士都有着重要作用！一款监控不错的杀软配合卫士（什么卫士都行）的U盘监控功能，加上之前的显示隐藏文件、扩展名，以及打补丁，就可以非常好地防御U盘病毒感染。而且对于U盘某些感染型病毒，自然也是杀软比较给力。PS：我们的凝逸版主研发的凝逸反毒-U盘防御也是相当给力滴 再下面呢，就是一些高级的方法了，由于水平限制，不一定完全正确，欢迎给意见。如果对高级方法没有兴趣或者觉得太难，没有关系，掌握好前面的基本方法足矣。1. U盘可执行文件软件散列规则禁运开始运行，输入secpol.msc，打开，看到软件限制策略。2.

26、 3. 规则对于指定的文件类型里的所有可执行文件都有效。4. 5. 然后看到软件限制策略下的其他规则：6. 7. 默认的东西不要动，右侧，右键，新建路径规则：8. 9. 关于路径，从你光驱的盘符之后开始写，一般几个就行（不会插那么多设备的，比如X：，你要写到Z也可以），安全级别自然是不允许，需要几个盘符就写几个规则。 此后，直接运行U盘里的可执行文件就会这样：当然，运行PPT之类的文件不会有问题，网银的U盾似乎也不受影响。只是如果要运行安装程序，请先复制到电脑上再说。这样，U盘里的所有病毒自然没有机会运行。 1. U盘根目录NTFS权限法：此法比较麻烦，不过可能是能够阻止有毒电脑上的病毒文件进

27、入你的U盘的少数方法之一，毕竟大多数防御都是在你自己电脑上做文章。 以下纯属引用：首先U盘的文件系统要是NTFS（废话，不然怎么设置权限？）最简单的做法是：开始运行convert :/fs:ntfs（是盘盘符，当然你直接格式化成这样也行）。然后：查看文件夹选项把“使用简单文件共享”前面的钩取掉。这么做之后鼠标右键点击盘盘符属性，会出现安全选项卡！接下来，我们就要在这里作文章了！ 作文章之前先别忙，我们在盘根目录下创建一个空文件夹名字就叫“都放在这里吧”。呵呵！ （以后的文件真的只有放在里面，我这里是新建文件夹） 盘默认的组或用户是，并且权限是完全控制。也就是说，盘插在谁的电脑上谁的电脑就对它有

28、完全控制权。如果电脑上带有病毒，它要对你的盘做些什么是你无法控制的。点击“高级”“编辑”我们来对的权限作一些限制。拒绝掉创建文件写入数据、创建文件夹附加数据、写入属性。这样，任何人都不能在盘根目录下创建文件、文件夹了。但是别忘了，你还有一个空文件夹名叫“都放在这里吧”。正常文件的存储读取怎么办呢？当然都要在“都放在这里吧”文件夹（新建文件夹）中了。对该文件夹的权限设置仍然很重要！属性安全选项卡这里默认有两个用户administrator（就是自己的用户名，也可以是其他）和。到这里，我的盘根目录下这个文件夹到了别人的电脑上是打不开的，也就是无法拷东西了。在这里我们要添加一个用户。点击“高级”设置对该文件夹。注意，“从父项继承哪些可以应用到子对象的权限项目。”一定要选上，默认就是选上的吧。拒绝掉删除子文件夹及文件、删除。这样可以防止资料在别的电脑上被误删。本机用户就采用完全控制好了自信我的电脑上没毒至此，格式的安全盘打造完毕。以后使用中所要做的就是把东西都放在那个名叫“都放在这里吧”的文件夹下，根目录下是不能新建任何东西了，病毒也就没有了可趁之机。PS：此法自然可靠，当年我用它抵御过文件夹隐藏者病毒。不过文件只能放在特定的文件夹里，不是很方便，而且操作不能出错，有一定风险，一般推荐。3.这个或许是卡饭历史上最蛋疼，但最有效的绝招（感谢天月来