安全普及:关于网络远程控制和木马的几点误区
誤區1:遠程控制是病毒
確實有一部分病毒和絕大部分木馬(注意,病毒和木馬是2個不同的概念)能夠實現遠程控制功能,但是我們通常所說的“網絡遠程控制”是Windows本身的功能之一,目的是為了進行遠程系統維護/診斷。這一功能是默認起動的,也就是說,安裝完Windows之后,如果不做設置,則這一功能是默認打開的。而要關閉,也很簡單,根本不需要象某些帖子里說的那樣,每次都要使用進程管理器關閉,只需要按照如下步驟操作一次,就可以一勞永逸的關閉這一功能(事實上,絕大多數用戶都用不上這個功能,所以還是關了好。還可以節省一些系統資源。我Athlon 64 3000+ CPU?& 1G內存的機器都是把這個功能關閉掉的)。
步驟:打開控制面板,雙擊“管理工具”,雙擊“服務”進入本地服務查看工具,然后就可以看到本機可啟用和已啟用的所有服務列表。在列表中找到名稱分別為“Remote Access Auto Connection Manager”、“Remote Access Connection Manager”和“Remote Desktop Help Session Manager”的項目,右鍵點擊該項目,選“屬性”,先點擊“停止(T)”按鈕,停止該項目,然后把“啟動類型(E)”修改為“手動”或者“已禁用”(個人建議,選“手動”比較好),然后點“確定”即可。這樣,以后這臺機器上就無法使用Windows自身的遠程控制功能了(通過木馬實現的遠程控制,我下面會提到)。
如果希望更徹底一點,還有一些服務也可以關掉,不僅可以節省更多資源,還可以少掉很多麻煩。比如“Remote Registry”(遠程修改注冊表,最好改成“已禁用”)、“Server”(除非象我一樣家里有3、4臺機器組網,否則沒必要打開,改成“手動”即可)、“Telnet”(沒幾個人還會用Telnet指令了吧?“手動”即可)、“Netmeeting Remote Desktop Sharing”(有幾個人用網絡會議的?“手動”即可)、“Net Logon”(家里沒局域網的話,也沒必要打開。“手動”即可)、“Messenger”(有沒有收到過那種突然象系統提示信息一樣跳出來,必須按下面的確定鍵才能關閉的小的廣告窗口?如果對這種窗口很厭煩的話,把這一項改成“已禁用”,以后就不會收到了。另外,這個服務與MSN Messenger或者QQ什么的沒有任何關系,所以停止這個服務以后不會影響到MSN、QQ、ICQ的使用。)、“Computer Browser”(還是那句話,家里沒局網的話,改成“手動”即可)。
方法二步驟:如果對電腦不是很熟悉的話,可以用下面的方法關閉遠程控制功能。右鍵點“我的電腦”→選“屬性”→選“遠程”→去掉“遠程協助”和“遠程桌面”前面的鉤→點“確定”。
誤區2:使用殺毒軟件或防火墻軟件防木馬。
這是個具有很強隱蔽性的錯誤認識!我再強調一次:病毒和木馬是兩種完全不同的概念。雖然現在很多防火墻都能夠防范若干種類的木馬,但是防火墻軟件的主要針對目標是病毒而不是木馬。
而殺毒軟件和防火墻軟件,也是2種完全不同種類的軟件——雖然現在的防火墻軟件都集成了殺毒軟件。打個比方,防火墻軟件相當于防狼的圍墻,而殺毒軟件則是對付墻內的大灰狼的獵槍。
對付木馬軟件,要么選擇專門的木馬查殺軟件,要么用端口監視/通信監聽軟件。這樣的軟件也比較多。我就只介紹一下我常用的軟件好了(當然也就是我個人用了感覺比較好的)。
木馬查殺:推薦使用《Spybot - Search & Destroy》。這個軟件不僅可以查殺目前幾乎所有的木馬,而且連廣告軟件都能清除掉,還可以直接給3000來種(會隨著升級而增加)有害或者廣告軟件免疫。另外,對于高手,他有自定義模式,對于菜鳥,他有一鍵定乾坤的傻瓜模式。大小只有20多M,最好的是,他是個免費軟件,而且又有中文版。可謂“價格便宜量又足”,值得一用。下載好以后,先升級,然后用他檢測一下機器,再做下免疫,之后每個月把他升級一下,再用他檢測一下,可以省不少事情。
端口監視/通信監聽:如果機器比較好(就是說內存在384M或者更高),推薦用《諾頓網絡特警》,英文名稱是《Norton Internet Security》(簡稱NIS)。在安裝好之后,這個軟件會先搜索一次你的硬盤,把里面所有具有網絡通信功能的文件都列出來,然后你可以選擇是否允許這個文件向外發送信息。并且,對于每個文件,都會給你建議,建議你是否允許這個文件與網絡進行通信。而在使用中,只要有任何一個軟件試圖向網絡上發送信息,或者是有任何一臺機器試圖向你的機器發送信息,他都會提醒你。比如說,你打開IE,那么他就會提醒你,IE試圖與網絡進行聯系,問你是否允許,因為IE是瀏覽器,所以同時會告訴你,這個是已知的軟件,危險性很低,建議你允許這個軟件進行通信。你確定之后,他就會記住,下次再打開IE的時候,就不會再問你了。但是比如說,有木馬軟件試圖通信,而他檢測出這個是已知的木馬軟件,他就會直接攔截掉,然后告訴你攔截掉了木馬的通信,而如果是他不知道的種類的木馬,他會問你是否要攔截,并且告訴你這個是不知名的軟件,危險性很高。而如果你的IE被病毒修改掉了,IE的起動文件被修改成了帶有病毒的起動文件,那么在起動IE的時候,他會與以前記憶住的做對比,發現起動文件與以往的不一致,就會重新問你是否允許IE進行通信。而你制定的通信規則(就是允許哪些軟件與網絡進行通信,不允許哪些軟件通信),可以在選項里查看和修改。
另外,當有外部的機器試圖訪問你的機器的時候,NIS也會進行檢測,如果發現與木馬庫中的木馬訪問特征相符,就會自動禁止那臺機器訪問你的機器半個小時,并且告訴你有機器試圖攻擊你。還會告訴你攻擊者的IP,并且,你可以利用NIS自帶的追蹤功能查到那臺機器所在的大致方位(其實也就是IP檢索功能而已,可以查到市級)。
不過NIS占用的資源略多一些,需要占用大約35到40M的內存。所以如果是小于384M內存的機器,不推薦使用(其實現在內存也便宜,512M的DDR400內存條也不到400塊,內存不到512M的,還是給自己的機器升個級吧。運行XP本身就要求256M內存,加上各種軟件,512M比較合理。只有256M內存的話,才只是剛能讓XP跑流暢而已,運行的軟件稍微多點,速度就低下來了。決定電腦整體性能的,不是性能最高的那個部件,而是全系統中性能最低的那個部件。1.5G以上的CPU配低于512M的內存,純粹是大馬配小鞍,CPU是無法發揮全部性能的——而且是CPU頻率越高,性能浪費越厲害。)。
如果內存容量小于384M,推薦使用《卡巴斯基反黑客》。請注意,卡巴斯基包括兩套軟件,一套是《卡巴斯基反病毒》,是專門針對病毒的殺毒軟件+病毒防火墻,還有一套是《卡巴斯基反黑客》,是專門針對木馬和各種來自網絡的攻擊的。《卡巴斯基反黑客》的基本原理和NIS差不多。不過占用內存相對比較小一些,大約在5到10M的樣子,比較適合于機器不太好的人。效果還可以,不過就是有個小毛病,有些軟件不知道是不是開發商和卡巴斯基的開發商有過節,他們的軟件在安裝過卡巴斯基的機器上是無法安裝的,就算安裝了也無法使用。比如阿里巴巴的那個叫做“貿易通”的通信軟件,在安裝過《卡巴斯基反黑客》的機器上,會不斷跳出要求確認是否允許貿易通進行通信的對話框,不管選什么都沒用。
我自己的機器,自己平時用的機器(Athlon64 3000+ & 1G內存)、筆記本(迅馳Ⅱ1.73G & 1G內存)還有給朋友用的機器(Athlon XP 2500+ & 512M內存)是裝的《NIS2005》+《Norton Antivirus 2005》,還有一臺用于BT下載的機器(AMD移動版雷鳥1.2G & 320M內存(128+128+64))是裝的《卡巴斯基反病毒》+《卡巴斯基反黑客》。另外,所有的機器都安裝了《Spybot》,每個月都用《Spybot》掃描一次,并且對新增加的免疫內容做一次免疫。整體來說,無論是系統速度還是反病毒、反攻擊能力都比較滿意。大家可以把自己的機器配置和我的機器配置對比一下,然后選擇相應的軟件組合。
總結
以上是生活随笔為你收集整理的安全普及:关于网络远程控制和木马的几点误区的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 区块链技术的应用领域
- 下一篇: Borax.Lunardate:中国农历