实战个人计算机网络安全检查
实战个人计算机网络安全检查浏览网页就被植入木马或者打开后门,经常在媒体看到有关“网银大盗”、“挂马”、“灰鸽子”、“熊猫病毒”等报道,在“黑客” 中,流行一句话“网页挂马,银子一大把!”,目前网络病毒和木马程序已经严重威胁到个人计算机的安全,特别是当安全跟实际的经济利益相关联时,尤其恐怖,试想,当个人计算机被木马等程序控制后,电子邮箱等个人帐号和密码以及个人隐私信息均会泄漏,入侵者将这些信息利用起来,严重的将直接造成重大的经济损失。入侵者真的那么可怕吗?其实不然,主要是我们不了解这些背后的黑手、背后的敌人,如果有了相应的安全检查手段,我们还怕吗?本文从补丁检查、端口检查、查找Rootkit等由浅入深的介绍如何进行安全检查,构建一个安全的个人计算机系统。
(一)补丁检查
对于个人用户来说,最大的网络安全隐患往往发生在访问网页时,有一些网站由于程序上的漏洞或者配置不当,往往极易被入侵者入侵和被完全控制,入侵者控制成功后,往往会利用IE等浏览器或者系统已存在漏洞来进行网页挂马(通过访问网页来下载木马程序,并执行木马程序),如果个人计算机没有安装漏洞补丁程序,那么一般来说,只要访问被挂马的网页,那么个人计算机被植入的木马的几率极高。解决这种安全隐患方法相对简单,如果是使用了国内杀毒软件,可以通过使用杀毒软件中的“漏洞扫描”功能,来扫描系统存在漏洞,如果存在漏洞可以通过杀毒软件提供的“修复”进行自动修复。还有一种方法就是利用Windows系统自带的自动更新程序自动更新系统漏洞补丁。
注意:
(1)如果个人电脑使用的是盗版操作系统,在自动更新时,不要选择微软的正版验证Windows Genuine Advantage安装程序。
(2)一个不存在安全漏洞的计算机相对被感染木马和病毒程序的几率小的多。
(二)端口检查
1、端口相关概念
一般来说每个网络软件都可以打开任何一个没有被使用的端口来使用,跟端口相对应的就是服务和协议,一个服务往往对应一个端口,在Windows操作系统中会有一个Services文件,该文件以列表的形式列出了Windows系统中常见的一些端口、服务以及协议等信息(图1)。例如在Windows Xp的C:\WINDOWS\system32\drivers\etc目录下可以通过记事本打开Services文件。端口又分常见端口和非常见端口,常见端口如80端口(http服务也就是Web服务),110端口(POP3收信服务端口)等,非常见端口主要是一些特殊软件和木马使用。
2、查看系统开放端口
可以通过“开始”-“运行”中输入“cmd”命令,然后在Dos命令提示符下输入“netstat -an”来查看系统开放了哪些端口(图2)。该命令能够查看绝大多数软件开放的端口,但是Rootkit等木马程序会自动隐藏端口和服务,通过该命令显示网路端口和连接一起正常。
3、使用CurrPorts查看系统开放端口
网上有很多实时监控网路连接的软件,例如TcpView、Aports等,但是功能强大、又方便还是要算CurrPorts,CurrPorts可以实时监控网络连接,可以关闭选择的网络连接,可以以Html格式显示目前端口和网络连接等情况,直接执行CurrPorts就以查看网络连接情况(图3)。使用CurrPorts主要用来查看目前系统中有哪些程序正在运行,打开了哪些端口,对于不熟悉的应用程序打开的端口,则需要通过经验进行判断或者通过 Google、百度等搜索引擎进行程序名称等相关信息的搜索,网上一般会提供相应其信息,这些信息可以作为判断该程序是否为木马程序的依据之一。
(三)Rootkit木马检查
对于一般病毒和木马程序,通过目前市面上的杀毒软件一般都能查杀,关键是一些难以被查杀的木马程序,其中以Rootkit为首,最难查杀。
1.Rootkit由来
Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告Ongoing Network Monitoring Attacks(CERT-CC的CA-1994-01)中首先使用了Rootkit这个名词。从出现至今,Rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。Rootkit分为windows和Unix下的Rootkit。所有的Rootkit基本上都是由几个独立的程序组成的,一个典型Rootkit包括:
(1)以太网嗅探器程序,用于获得网络上传输的用户名和密码等敏感信息。
(2)木马程序,为攻击者提供控制后门。
(3)隐藏攻击者的目录和进程的程序。
(4)其它一些工具程序,例如日志清理等工具。
Rootkit分为User Mode Rootkit 和Kernel Mode Rootkit,其中Kernel Mode Rootkit最难检查。由于Rootkit木马程序对个人电脑危害性非常大,而一般查毒软件又很难检测,因此要只能借助专业的软件查杀它。
2.查杀Rootkit
本文推荐两款查杀Rootkit工具,一个是微软收购sysinternals公司的RootkitRevealer工具,RootkitRevealer下载地址:http://download.sysinternals.com/Files/RootkitRevealer.zip。下载到本地后,直接运行程序,程序界面非常简单,单击“Scan”按钮进行扫描,RootkitRevealer会将系统中所有隐藏的注册表键值、 exe、dll以及驱动程序等以路径的形式完全显示出来(图4),供安全检查人员参考,软件本身不对Rootkit进行处理。
注意:
(1)如果在“Path”列表中存在可执行文件(*.exe)、动态链接库文件(*.Dll)以及驱动程序文件(*.sys)那么就要注意了,这些文件极有可能是Rootkit。
(2)如果存在这些文件,可以将这些文件上报杀毒软件公司,然后再找到以后删除。
“AVG Anti-Rootkit是著名安全软件制造商AVG公司发步的一款强大的Rootkit检测、清除工具。下载地址为:http://www.grisoft.cz/filedir/inst/avgarkt/avgarkt-setup-1.1.0.42.exe。该软件安装完成后需要重新启动计算机,其操作也非常简单,查到Rootkit木马程序以后会提示是否进行清除处理。
(四)一些安全建议
1.谨慎运行程序。
平时不要安装不明应用程序,下载软件时尽量到大型正规下载网站下载,下载完成以后要进行杀毒处理,然后再进行程序安装,避免感染捆绑木马程序或者病毒程序。对于Rar压缩软件,不要直接打开,而是将文件解压缩到本地以后再执行。
2.及时更新系统漏洞补丁和病毒库。
及时更新系统漏洞补丁程序和病毒库,平时一定打开所有杀毒软件的实时监控,可以有效查杀绝大多数优盘病毒,防止来自优盘病毒的感染和传播。
3、做好系统备份
系统安装完成以后,依次安装防火墙、杀毒软件、安装系统补丁程序、应用程序,所有程序安装完成以后,使用Ghost做一个完整的备份,如果有条件可以将Ghost文件刻录到DVD中,系统出问题时直接使用Ghost文件进行恢复。