N年防毒经验总结，如何远离病毒侵袭 - 下篇

跨过上篇，如果你还没有看过上篇，可以点击进入:

N年防毒经验总结，如何远离病毒侵袭 - 上篇

下面进入下篇，说说如何防毒！

---

有了以上的经验总结，下面就开始说说，如何防毒：
主要从以下几个方面进行防范：

1. 加强计算机自身的防护

及时安装最新的操作系统补丁

　　这里不评判windows操作系统的洞满天下，谁让windows太流行，成为众矢之的呢？。
　　windows的漏洞补丁基本上是每月出一次，主要用于修复系统已发现的安全漏洞，这个一定要及时修补，除非是没有接入互联网的离线计算机。windows由于流行最广，用户群很大，黑客很喜欢研究这样的操作系统，所以windows报漏洞的可能性很大，这责任不在开发者，因为开发者本身并非神人，出Bug是难以避免的，更何况是如此复杂的操作系统，一旦出现高危漏洞，发现者一般都会通过0day的方式进行公布，这其中一般都会包含Bug发现者的演示程序及shellcode，这样其他的低手就很容易在此基础上开发出利用程序，这也就是一旦出现高危漏洞，在微软发布补丁之前，网上一片叫苦声的原因所在，所以一定要及时修复系统漏洞，以降低系统暴漏给攻击者的可能性。

及时更新常用的应用软件

　　更新应用软件的道理和打操作系统补丁是一样的，也是为了降低系统被攻击的可能行。
　　尽管这可能比系统漏洞的危害要低一些，但是也要受到重视。

　　比如腾讯QQ，我想我辈中人都会必装吧，QQ的客户群已经好几亿了，这是一个很庞大的数字，攻击者越来越乐意研究这类流行软件的漏洞，进而开发相应的漏洞利用程序，以达到大量抓肉鸡的目的，比如现在越来越多的QQ病毒就是此类。

　　其他流行软件也是如此，像千千静听，迅雷等等，国外的流行软件也一样，所以及时更新是个好习惯

安装防毒能力较强的杀毒软件

安装防护能力较强的防火墙

　　对于喜欢机器裸奔的朋友就跳过后面的吧，因为中毒是早晚的事，这已经不是当年的DOS时代了，中毒症状是很难凭经验发现的，尤其是现在rootkit技术越来越普及，病毒岂会被轻易发现？
　　所以一定要安装一款较优秀的杀毒软件，注意不是多款，尤其对于普通使用者难以手动控制多款杀毒软件并存，很容易由于杀毒软件冲突导致系统死机/崩溃，因为病毒技术慢慢渗透进ring0层，这是操作系统的所在，多款杀毒软件往往会争夺ring0层的控制权，而导致出现冲突。
　　这里推荐几款杀毒软件：

• 卡巴斯基
• BitDefence
• Avast
• ESET Nod32
• 小红伞 Avira
• 麦咖啡
• 诺顿

等等

几款防火墙：

• BlackIce
• ZoneAlarm
• 天网

等等
　　仅仅是推荐，没有歧视其他杀软/防火墙的意思，上面的几个我大都用过，所以才敢推荐，以上杀软基本都有对应的互联网套装，会附带自家开发的防火墙，邮件过滤等功能，基本的网络防护够用了，其他专业的防火墙一般用户也很难操作，所以这里不推荐安装。

及时更新病毒库

　　及时更新病毒库我想基本深入人心了，大家或多或少都领略过不更新的悲惨，呵呵
　　而且现在的病毒每天都是以万为单位的蹦，更新尚且不一定能够包罗所有最新的病毒，不更新就会死的更惨。
　　而且现在的杀毒技术尽管已经引入主动防御，虚拟机杀毒，行为特征分析等等功能，但是很不成熟，就像要完整分析一个善变的人一样，技术难度太大，正确率太低，很容易误杀，这也是各杀毒厂商不停地为误杀良民道歉的主要原因。
　　所以，一定要及时更新病毒库！！！

关闭U盘/光盘等的自动播放功能

　　这个是重中之重，这也是我上面说的手动围剿U盘病毒的重要前提。
　　简单描述一下这个自动播放功能，这是windows的一个辅助性的功能，当有U盘接入时，如果U盘根目录下有Autorun.inf系统文件的话，操作系统会尝试解析其中的指令，以主动执行相关命令而不需用户确认，比如自动执行U盘中的可执行文件，挂钩U盘盘符鼠标右键的相关菜单命令等，这样病毒就有机会在你插入U盘的时候，神不知鬼不觉的做一些小动作。
有些所谓的U盘免疫功能，其实就是以其他手段在U盘中预先放置一个具有系统属性的autorun.inf的文件或文件夹，以阻止病毒向U盘中写入autorun.inf信息而达到防止U盘主动感染计算机的目的，这也有挂羊头卖狗肉之嫌，因为真正的病毒文件还是可以保存到U盘中的，只是废掉了病毒的自动运行能力而已。

　　要关闭自动播放功能，需要修改注册表，修改如下键值，然后重启计算机即可，也可以使用一些系统设置软件，比如windows优化大师，超级兔子，TuneUp等关闭自动播放功能：
所在注册表键：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
将注册表值NoDriveTypeAutoRun修改为0：

　　关闭该功能之后，就可以直接手杀U盘杀毒了，具体操作见下面的总结。

保护本机文件免受感染型病毒侵害

　　熊猫烧香的文件感染能力我想大家都听说过，现在很多新型病毒大有模仿之势，感染型病毒会越来越多，而且PE文件感染技术被研究的差不多了，门槛降了很多，所以防范这类病毒可以很大程度上避免重要文件被破坏，因为病毒的这种感染往往是很难还原的，想要修复被感染的文件不是一般用户能够完成的，在被批量感染的时候就更加艰巨。
　　可以将本机的重要文件，重点是可执行文件压缩保存，以避免被病毒感染。

　　由于病毒为了达到快速传播的目的，一般都会要求病毒本身的文件要尽量小，一般都要控制在百K左右，过大的体积会影响病毒扩散，一般的病毒寄生都是基于可执行文件，只需要按照PE格式插入病毒代码即可，如果将可执行文件进行压缩，那么文件无法直接执行，病毒如果直接修改压缩文件是没有意义的，而如果要解压文件，修改之后再重新压缩，一来时间消耗太大，二来病毒需要集成相应的压缩库代码，会极大增加病毒本身的体积，所以病毒不会去主动感染这类文件。
　　其他的比如office文件，由于宏病毒的存在，也需要避免感染而压缩存储。
　　这算是一个小技巧吧^_^

2. 避免来自外界的病毒侵犯

防范来自网页的挂马攻击

　　网页挂马是现在通过IE漏洞传播病毒的主要方式，特点就是在网站服务器上放置病毒文件，可以有很多类型，看具体利用的系统漏洞了，比如前一段的GDI漏洞的病毒文件可能是个图片，也可能是可执行文件，只要能够触发漏洞即可。
　　这类病毒传播主要依靠IE内核，所以所有使用IE内核的浏览器都有可能中毒，比如，360安全浏览器，傲游浏览器，搜狗浏览器，世界之窗等等很多变种浏览器。
　　这类病毒的防范可以靠勤打补丁，并且开启杀毒软件的主动防御功能来防范，同时要谨慎浏览网页，不三不四的站点最好别去，要去就全副武装好再去。
　　更好的办法是使用非IE内核的浏览器，比如FireFox，Chrome，Opera，Safari等，这类浏览器由于用户群较低，研究它的黑客也就相对较少，爆发高危漏洞的可能性很低，所以不易被攻击，而且其他浏览器各有各的优点，多试试也没什么坏处

防范来自邮件的欺骗攻击

　　这类攻击，也是主要针对操作系统和相关邮件软件的，比如针对Outlook漏洞的病毒，会在你浏览邮件的时候，直接执行内嵌的病毒代码进而攻陷计算机；
　　更多的则是以欺骗的方式诱使用户打开邮件附件，进而感染病毒
　　这类病毒的伎俩不算高明，基本开着杀毒软件加上一点防范意识就可以了

防范来自软件的捆绑攻击

　　这个主要指的是安装软件时无意安装了其中的捆绑那个插件，尽管这些插件无大的害处，但是过于流氓，所以也要加以防范
　　有的捆绑则是强制，只要执行安装程序，就可能被安装其他的恶意程序，这主要见于早期广告插件横行的时代，现在基本被360等驯服了。

　　像这类被安装捆绑插件的主要是懒人，呵呵。大多都喜欢快速点击下一步来完成软件安装，这其中可能有一些插件是软件作者希望你安装的，但是你又不愿安装，结果中标，所以只要平时留个心眼就可以了

防范来自影音文件的挂马攻击

　　这类攻击主要见于rm/rmvb格式的影音文件，因为Real公司在定义rm格式的时候允许其中插入网页链接，当影音播放到指定帧的时候，会自动打开，这样就给通过网页挂马的站点留下了乘虚而入的可能。
　　这类攻击基本没有技术含量，会点编程的人都能写出一些简单工具进行过滤以删除其中的链接，如果你使用迅雷应该也会注意到，迅雷会自动过滤这类影音文件，对于这些攻击，只要在下载完影音之后，拿工具过滤一下就可以了

防范来自U盘的传播攻击

　　接下来就说说如何手动围剿U盘病毒吧
　　由于通过上述的办法已经关闭U盘的自动播放功能，所以当插入U盘之后，病毒无法自动执行，那就让我们去砍瓜切菜吧，当初写杀软的时候就是这样获取病毒样本的。。。

要切忌几点：
1。不要双击打开U盘，否则autorun.inf会由于双击而触发系统解析，进而执行相关的病毒程序

2。进入U盘后不要打开任何文件/文件夹，因为你看到的很可能不是你想要的
3。不要随意删除你不认识的东西，因为很可能你杀的是良民

好了，开工
1。打开系统显示隐藏文件和系统文件的功能
2。打开系统显示文件扩展名的功能

点击 文件夹选项，进入 显示，设置如下图：

3。打开U盘，通过地址栏进入

然后仔细观察你看到的文件，见以下文件，杀：
1。扩展名是.exe，但图标明显不是的

2。文件是隐藏的，扩展名是.exe/dll的
不要认为dll不能独立执行，因为系统有rundll32程序。。。

3。见属性为系统，但是明确不是你自己的文件的

4。autorun.inf本身
除非你确定这是你需要的文件

　　然后，在发现上述类型的文件时，如果能够确定病毒类型为感染型（需要一定经验），需要将U盘中的可执行文件全部删除，至少要使用杀毒软件扫描一下其他文件，因为被感染的文件所遭受的破坏一般都是不可逆的，至少不是简单就能够恢复的，所以无法使用，只能删除，这也就是查杀感染型病毒之后，系统需要重装的主要原因。

最后，将被病毒隐藏的正常文件恢复显示。

　　这类文件的特征就是具备隐藏属性，但是属性无法直接去除，这是windows对系统文件的特殊保护。

要恢复文件属性可以使用attrib命令行工具。

　　要是和我一样懒的话，那就用这个小工具吧，这是我为了简化恢复文件属性操作而编写的，纯汇编写的，可以放心使用，要做的就是拖放文件/文件夹，但后点击。。。（内附源代码）
DelSysProperty.zip

防范来自局域网的ARP攻击

　　ARP攻击主要表现是，Hacker使用工具伪造ARP协议包，将自己伪装为目标计算机和来源计算机进行通信，以截取目标计算机和来源计算机之间的通信数据，这样Hacker就有机会对数据进行修改，比如截取隐私数据，或者插入恶意数据，可能会导致目标计算机出现网络异常等情况。
　　其实ARP攻击的技术难度并不高，主要是发送原始ARP包，以达到伪装的目的，但是由于技术门槛不高，导致相关的破坏工具不少，经常会出现网络异常的问题，所以值得重视。
这个问题比较好解决，如果你有兴趣可以试试反欺骗，你玩我，我就玩你！以彼之道还施彼身嘛，当然这可能需要一定的编程基础了。
　　一般用户只要能够保证网络正常，免遭ARP攻击即可，安装一些ARP防火墙即可解决

防范来自网络钓鱼网站的攻击

　　不知道大家有没有碰到过这样的网站，比如 www.goog1e.com 这样的网站，你能看出这和 www.google.com 的区别吗？其中就是将小写字母l换成数字1，足以以假乱真，这就是这里谈的钓鱼攻击，钓鱼网站主要会模仿一些银行网站的页面，并且网址和真实网站类似，在仔细的情况下，用户输入的账号和密码就会进入钓鱼者的囊中，进而。。。
　　钓鱼攻击更谈不上什么技术，关键看使用者是否有甄别的意识，所以当涉及敏感信息时一定要注意保护个人隐私的意识，同事可以安装一些反钓鱼网站的软件，现在很多杀毒软件都会内置防钓鱼功能，会根据内置的钓鱼网站列表等信息辨别用户当前浏览的网站是否是钓鱼网站，并及时进行屏蔽，推荐使用。

　　好了，大概就这么多了，基本总结完了。说到底，要说反病毒，与其等待中毒后不彻底的杀毒，不如注意平时的一些防毒意识，在杀毒软件的辅佐下，其实远离病毒也不难，希望我上面的总结能够起到一些作用，让朋友们远离病毒的干扰。