电脑安全基础知识.docx

电脑安全基础知识l 什么是木马? 特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马程序是具有欺骗性的文件（宣称是良性的，但事实上是恶意的）。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 木马程序与病毒的重大区别是木马程序并不像病毒那样复制自身。木马包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使木马传播，必须在计算机上有效地启用这些程序。木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言，常见的有银行账号被盗，QQ被盗，游戏账号被盗等。 几个臭名昭著的木马：机器狗、灰鸽子木马、盗号木马、QQ盗号木马、qhbpri木马、网游盗号、梦幻西游盗号木马。l 什么是病毒？ 病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。 病毒 (定义)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。 与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。 蠕虫病毒：与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时，它们传播的速度非常快。它们堵塞网络并可能导致您（以及其他每个人）等很长的时间才能查看 Internet 上的网页。 蠕虫的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机。最近的蠕虫示例包括 Sasser 蠕虫和 Blaster 蠕虫。 特洛伊木马：一种表面上有用、实际上起破坏作用的计算机程序。 特洛伊木马也可能包含在免费下载软件中。切勿从不信任的来源下载软件。 蠕虫和其他病毒如何传播？ 实际上，所有病毒和许多蠕虫是无法传播的，除非您打开或运行了受感染的程序。很多最危险的病毒主要通过电子邮件附件（随电子邮件一起发送的文件）传播。通常，可判断电子邮件是否包含附件，因为您将看到表示附件且包括附件名称的回形针图标。有些文件格式（例如，图片、用 Microsoft Word 写的信件或 Excel 电子表格）可能是每天都要通过电子邮件接收的。当打开受感染的文件附件（通常是双击附件图标以打开附件）时，就会启动病毒。 提示：切勿打开附加在电子邮件中的任何内容，除非附件是您期望的文件且您清楚该文件的内容。 果收到陌生人发来的带附件的邮件，请立即删除它。不幸的是，有时打开来自熟人的附件也可能不安全。病毒和蠕虫都能从电子邮件程序中窃取信息，然后将自已发送给地址簿中的所有联系人。因此，如果某人发来一封电子邮件，但其中的消息您并不了解，或其中的附件不是您期望的文件，请一定先与发件人联系并确认附件内容，然后再打开文件。 另一些病毒可能通过从 Internet 下载的程序进行传播，或通过从朋友那里借来的或甚至是从商店买来的带病毒计算机磁盘进行传播。这些属于比较少见的病毒感染方式。大多数人是因为打开和运行不认识的电子邮件附件感染病毒。 l 如何判断你的电脑是否中毒或中木马 电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 1. 经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。 2. 系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。 3. 文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。 4. 经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。 5. 提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的私人盘使用空间限制，因查看的是整个网络盘的大小，其实私人盘上容量已用完了。 6. 出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。 7. 启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等 8. 数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。 9. 键盘或鼠标无端地锁死：病毒作怪，特别要留意木马；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。 10. 系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。 11. 系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。l 不得不说的-插件：插件是一种遵循一定规范的应用程序接口编写出来的程序。很多软件都有插件，插件有无数种。例如在IE中，安装相关的插件后，WEB浏览器能够直接调用插件程序，用于处理特定类型的文件。软件本来没有好的坏的之分，用的人多了，就是好的，骂的人多了，就成了坏的。就如鲁迅先生说的：世上本没有路，走的人多了，也便成了路。IE浏览器常见的插件例如：Flash插件、RealPlayer插件、MMS插件、MIDI五线谱插件、ActiveX插件等等；再比如Winamp的DFX，也是插件。还有很多插件都是程序员新开发的。 1.什么是插件? 插件是指会随着IE浏览器的启动自动执行的程序. 2.恶意插件有什么特征? 有些插件程序能够帮助用户更方便浏览因特网或调用上网辅助功能,也有部分程序被人称为广告软件(Adware)或间谍软件(Spyware).此类恶意插件程序监视用户的上网行为,并把所记录的数据报告给插件程序的创建者,以达到投放广告,盗取游戏或银行帐号密码等非法目的. 因为插件程序由不同的发行商发行,其技术水平也良莠不齐,插件程序很可能与其它运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,阻塞了正常浏览. 3.插件会从什么位置加载到IE浏览器中? 根据插件在浏览器中的加载位置,可以分为工具条(Toolbar)、浏览器辅助(BHO)、搜索挂接(URL SEARCHHOOK)、下载ActiveX(ACTIVEX). 4.不同类型插件名词解释下载ActiveX(ACTIVEX):ActiveX插件也叫做OLE控件或OCX控件,它是一些软件组件或对象,可以将其插入到WEB网页或其它应用程序中.在因特网上,ActiveX插件软件的特点是:一般软件需要用户单独下载然后执行安装,而ActiveX插件是当用户浏览到特定的网页时,IE浏览器即可自动下载并提示用户安装. ActiveX插件安装的前提是必须先下载,然后经过认证,最终用户确认同意方能安装,因此嵌有ActiveX脚本程序的页面可能会变得非常慢,甚至导致浏览器瞬间失去响应. 浏览器辅助(BHO)BHO全称Browser Helper Object, 是一种随因特网浏览器(如IE)每次启动而自动执行的小程序.通常情况下,一个BHO文件是由其它软件安装到用户的系统中的.例如一些带有下载功能的广告软件,它可能会安装一个BHO文件从而追踪用户在上网冲浪遇到的众多网页广告.通常的BHO会帮助用户更方便地浏览因特网或调用上网辅助功能,也有一部分BHO被人称为广告软件(Adware)或间谍软件(Spyware),它们监视用户的上网行为并把记录的相关数据报告给BHO的创建者.BHO也可能会与其它运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,通常阻止了正常浏览的进行.插件管理专家2005提供的BHO清理能够帮助用户查看并屏蔽被IE浏览器加载的BHO文件. 搜索挂接(URL SEARCHHOOK)用户在地址栏中输入非标准的网址,如英文字符或者中文的时候,当地址栏无法对输入字符串解释成功时,浏览器会自动打开一个以用户输入的字符串为搜索词的结果页面,帮助用户找到需要的内容.URLSearchhook对象就是完成搜索功能的插件.它通常是由第三方公司或者个人开发,通过插件的方式安装到浏览器上, 目的是为了帮助用户更好的使用互联网.例如用户在地址栏中输入手机,就可以直接看到手机搜索结果.也有一些企业或者个人为了达到提高网站访问或其它商业目的,在用户不知情的情况下修改IE浏览器的URLSearchhook.使用插件管理专家2005可以对URLSearchhook插件程序进行管理,屏蔽或者删除不需要的恶意插件.工具条(Toolbar)工具条,通常指加载在浏览器的辅助工具.它位于浏览器标准工具条的下方,在IE工具栏空白处点击右键,可以查看所有已经安装的工具条,通过勾选显示或者隐藏已安装的工具条恶评插件包括广告程序、间谍软件、IE插件等，它们严重干扰了正常的网络秩序，使广大网络用户不胜其扰。这些程序共同的特征是未经用户许可强行潜伏到用户电脑中，而且此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。此外，象广告程序会强迫用户接受阅读广告信息，间谍软件搜集用敏感信息并向外发送，严重侵犯了用户的选择权和知情权。360恶评软件十大排行：1.雅虎助手&上网助手；2.Cnnic中文上网；3.搜狗工具条；4.网络实名；5.伪TIMPlatform.exe木马；6.cmdbcs；7.36sqgw7；8.实用网址导航(酷站导航)；9.易趣购物按钮；10.灰鸽子木马；不要看到什么助手了，工具栏了，就安装，90%带有广告性质或非善意的目的，名为保护，实为非法控制。QQ工具栏，超级兔子上网助手，你不懂的，就不要装。不装的时候，你的电脑听你的；装了，你的电脑听他们的。严重影响你正常登录网站。还有：免费软件一般都不是免费的，如果你不小心，就给你捆绑安装一些插件和恶意软件，广告软件。天上不会掉馅饼，就算掉了，里面可能塞着“糖炮弹”！一不留神你就中招了！比如QQ，你装了QQ客户端，就算你不选择，他也会帮您装上QQ游戏等软件，其他游戏类的，对勾就有好几个，想不选都不行。360奇虎安全卫士、超级兔子、金山清理专家等，可以用来清楚系统的恶意软件，同时他们也会“帮”你安装一些软件，他们给你“推荐”的！还用鲁迅先生的一句话：我们要擦亮眼睛，“应该取其精华，去其糟粕”。l 如何防治病毒和木马？首先是安装杀毒软件：个人可以根据条件，安装知名度较高的杀毒软件，卡巴斯基，瑞星，金山毒霸等。杀毒软件要及时更新。不更新病毒库的杀毒软件等于老虎被拔了牙。最好是每天定时查毒。根据个人爱好，熟练者可以使用一些HIPS(主机入侵防御系统). 一般来说不同厂商生产的杀毒软件，相互间不兼容，很容易把CPU使用率搞到100，机器慢死，建议安装杀毒软件时，先了解兼容性如何。其次是手工清除：当杀毒软件杀不掉病毒时或者被劫持时，就需要我们手工清除病毒了。进入安全模式，使用冰刃、autorun、SREng、金山清理助手等工具，查看进程，找出异常进程，分析，结束掉可疑进程，在电脑和注册表中搜索病毒文件，使用粉碎机粉碎。最后一键ghost：明确的说是“一键还原”！系统安装后，一键ghost备份，对于难以处理的病毒，直接恢复到无毒状态。需要注意的是好多病毒都是全盘感染，ghost后C盘是没有病毒了，但其他盘仍然有，所以ghost后，立即升级杀毒软件，全面查杀毒。另外重装系统并不是最好的方法。良好个人使用习惯：又分为网络应用方面和计算机应用方面1. 网络应用方面：在IM（即时通信）方面，我的建议是不要选用带各种花哨功能的破解版本，除非你对破解组织或个人的“人品”了解和信任。我一直都在用QQ/MSN/POPO/UC等官方发布的版本，并随时同官方的升级保持一致。这样从IM软件方面，尽量减少漏洞存在的可能。在页面浏览方面，我的建议是不要胡乱去一些莫明其妙的小网站（特别是美女图之类的），由于这些小网站以获得PV和IP流量为根本目的，内容提供方面的恶劣低俗暂且不论，其自身的网站建设安全问题不容忽视。有人要问了：我从没浏览过美女图片网站，为什么会中招？不错，有这种可能，可能是你访问的网页被黑客挂了木马。BBS方面，不要随便去一些不知名的更加重要的，论坛程序的漏洞一直被黑白人士整天的琢磨，好的大一些的站点对自身的网站安全管理较好。软件的下载：到大牌网站上下载，千万不要在小网站上下载，因为发现某些不良的人利用偷梁换柱的方法用病毒文件替换正常的软件来打包。2. 计算机应用方面：禁忌1：U盘（磁盘）自动播放功能。我第一次遇到的U盘中，10个中有9个带病毒的。这个可以通过对“我的电脑”右键“管理”或者通过gpedit.msc设置，关闭移动磁盘插入后的自动播放功能。（如果不关，有通过U盘传播的病毒则立刻得到了执行的机会，如果没有杀毒软件的及时防护，则中毒）参考如下的方法：使用组策略一次性全部关闭windows xp的自动播放功能：可以使用组策略。1、点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口；2、在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；3、选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。 提醒：“关闭自动播放”设置是只能使系统不再列出光盘和移动存储的目录，并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放，你就只有更改移动设备的属性了。禁忌2：双击打开U盘（移动磁盘）。很多人操作习惯了，打开U盘就是和其他硬盘盘符一样对待，双击打开，我建议的操作是右键点U盘图标，选“打开”。（注意：如果右键打开后，有 Auto, 两个打开之类的 比如Auto为黑体字的显示即双击时的默认操作或者第一个打开是黑体字的，则说明该U盘已经有不合法AUTORUN.INF生成，应该点选第二个“打开”，进入后，将显示系统文件和隐藏文件的文件夹属性打开，找到AutoRun.inf文件，删除，删除前可用记事本打开看一下其内容，提到的 .exe和 .pif , .com后缀的文件即病毒体目标，找到后一并删除）。删除