作者Joba07 (骗人布)
看板AntiVirus
标题[心得] Win7防毒心得
时间Tue May 2 04:11:52 2017
最近看到不少人中了病毒
( 不管是首页绑架 或是挖矿 甚至是勒索病毒 )
至少我目前是没中的
我提供一下我自己的心得
在 16 年前我还在使用 Win98 的时代
那时候不是很懂 忘记是中了甚麽病毒
总之是被搞得很惨 之後就开始自己摸索防毒
後来使用 XP 时 在 11 年前
我写了这篇
#14v9Uzvb 的心得
不过後来就没写有关登录资料库和防火墙设定
後来这几年改用 Win7 後
之前 XP 时期的登录资料库设定太久没碰都忘了
然後那时候我用的 Sygate Personal Firewall
後来这家公司早就没更新了 也跟 Win7 不相容
所以只好另外换防火墙
不过使用习惯还是一样的道理
常常会看到有人写
" 只要不乱点连结 不乱安装软体就没事 "
或者是 " 只要装了防毒软体就没事 "
这些都是错误的观念
那样做并不保证你的电脑没事
只要你的使用习惯很差 照样容易中奖
这里要讲的一点很重要
就是 " 预防重於治疗 "
尤其是现在勒索病毒猖獗
一旦中奖 几乎是无解
那预防就非常非常重要了
我的预防方式有以下几点 :
( 以 Win7 SP1 Home Premium 为例 )
1. 帐号与密码
任何帐号最好都要设密码
而且开机时最好要输入密码才能登入
再来密码最好用复杂的
例如用 $c0ttB0r@$ 既复杂又容易记
万一真的被攻陷 要暴力破解也要花一些时间
然後要停用来宾帐户
控制台/使用者帐户与家庭安全/使用者帐户/管理其他帐户/
Guest来宾帐户 将其关闭
2. 网路芳邻
停用 File & Printer Sharing for Microsoft Networks
和 停用 NetBIOS over TCP/IP
控制台/网路及网际网路/网路共用中心/变更介面卡设定
点选你使用上网的介面卡 滑鼠右键/内容
将 File & Printer Sharing for Microsoft Networks 该选项打勾给取消
再点选 TCP/IPv4 /内容/进阶
点选上方 WINS 的 Tab 选 停用 NetBIOS over TCP/IP
3. 档案与资料夹
忘记是哪个病毒 档案是放在预设隐藏的资料夹位置
就算用扫毒软体或是 Adwcleaner 抓出来扫掉
後来还是会死灰复燃 因为躲在你隐藏的地方
档案总管/组合管理/资料夹和搜寻选项/检视
在 隐藏档案和资料夹 选 显示隐藏的档案 资料夹和磁碟机
4. 服务
没有用的服务就关掉它 如 Remote Desktop Services 和 Remote Registry
和 Internet Connect Sharing ( ICS )
开启服务 :
a 开启/电脑 右键/管理/服务与应用程式/服务
b 开启/输入 services.msc
停用 Remote Desktop Services 和 Remote Registry 和 ICS
我平时也停用 Printer Spooler 等到要列印再手动启动
停用 TCP/IP NetBIOS Helper
同时看看描述是空白的服务 有没有特殊异常的服务
本来 XP 还有 Terminal Service 的服务
不过 Win7 已经改到别的地方
开启/电脑 右键/内容/ 远端设定
将 允许到这台电脑的远端协助连线 勾勾取消
另外也不要用 TeamViewer 这款远端桌面软体
5. 上网前的准备
除了开启工作管理员之外
还要开启命令提示字元
在 开始 / 所有程式 / 附属应用程式 / 命令提示字元
然後输入 netstat -an
先观察上网前的数据以及工作管理员有没有呈现 CPU 飙高的情形
以上两者都有替代软体
观察网路数据可以用 TCPView
http://imgur.com/a/xW6q1
而工作管理员可以用 Process Explorer
http://imgur.com/a/0KPZz
6. Windows Update
一定要开启自动更新 一定要开启自动更新 一定要开启自动更新
很重要所以要说三次
这次不少人中毒 就是因为没有做更新
7. 用 NAT 方式上网
不管是用分享器或是 router
只要不是以实体方式连网 就不容易被攻进来
这种方式的 ip 都是 192.168.开头的 ip
8. 其他软体
不少病毒并非从 Windows 漏洞攻进来
而是其他软体的漏洞 尤其是 Flash Player 和 Java
如果可以就移除 如果还是有需要 一定要做更新
http://imgur.com/a/EGaQW 这也是我爱用 Avast 的原因
9. 浏览器外挂
现在有很多浏览器的安全连线外挂
如 McAfee 的 WebAdvisor Avira 的 Browser Safety
Avast 的 Online Safety
http://imgur.com/a/Hf7XU
安装这些可以防止乱点到危险连结
http://imgur.com/a/f91nX
另外安装 Adblock Plus 之类的防广告外挂
也多少可以防范一些网页广告
另外也不要乱点不明连结
也不要随便逛特定网站 尤其是对岸的
10. 防毒软体 防骇软体 及防火墙
这些该装的还是要安装 而且不要因为麻烦就停掉
至於哪些比较好用 我个人都是用免费的
重要的是 这三者中
一定要有一个是有 HIPS ( 主动入侵防御系统 ) 方式的
http://imgur.com/a/L2uWZ
HIPS 是能监控你电脑中档案的运行 档案运用其他的档案
以及档案对於登录资料库的修改 并向你报告寻求允许
只要你阻止了 那麽它就无法运行及更改
11. 开启 UAC ( 使用者帐户控制 )
千万不要嫌跳出视窗很麻烦就关掉它
否则一旦中奖 後悔就来不及了
控制台/使用者帐户和家庭安全/使用者帐户/变更使用者帐户控制设定
不要调到最底下 ( 即不要通知 )
12. 备份资料
备份档案资料一定要用异地备份
例如光碟机或是上传至云端 如果要用外接硬碟备份
备份完後一定要拔掉 如果还是连在主机 一样一起中奖
13. 开启信件 以 Outlook 2010 为例
http://tinyurl.com/kxlu42z
不要任意开启邮件附加档
即使是朋友寄来的也要特别小心
14. 关闭自动拨放
这是要防 USB 病毒的
控制台/硬体与音效/自动拨放
将 所有媒体与装置都使用自动拨放功能 的勾勾取消
以前在用 XP 时 我会用登录资料库设定和 Sygate Personal Firewall
把 135-139 和 445 的 port 全部关起来
( Sygate 是 NIPS 的防火墙 可以直接针对特定 port 来设定
可是 Comodo 好像不行 我试过几次都没成功 )
http://imgur.com/a/o2lvi
现在用 Win7 135 和 445 的 port 一直都是开的 @@
目前是用别的方式 好像是这样
http://imgur.com/a/VqgQu
总之虽然目前 135 445 port 是开启的
但是从
https://doublepulsar.below0day.com/ scan 是没问题的
大概就是这样 之後想到再补充
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.15.48.81
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1493669516.A.608.html
※ 编辑: Joba07 (101.15.48.81), 05/02/2017 04:19:34
※ 编辑: Joba07 (101.15.48.81), 05/02/2017 04:39:31
1F:推 j790822: 大推专业分享 05/02 07:54
2F:推 xjp004123: 推专业 05/02 08:09
※ 编辑: Joba07 (101.15.48.81), 05/02/2017 08:19:49
3F:→ changshinn: 推,专业文 05/02 09:36
4F:推 Adven: push 05/02 10:06
5F:推 KevinYu0504: 好文,推 05/02 10:33
6F:→ KevinYu0504: 我用过 AVG.Avast.Avira.Bitdefender.Norton.Kaspers 05/02 10:35
7F:→ KevinYu0504: ky.PCCillin.Windowd defender.Emsisoft.Panda.Comod 05/02 10:35
8F:→ KevinYu0504: o 等等,Emsisoft 是我首选 ;) 05/02 10:35
9F:推 jk01: 推 05/02 10:40
10F:→ Joba07: 虚拟机器和沙盒我还没用 不过两者中我倾向用前者 因为看过 05/02 11:07
11F:→ Joba07: 有的勒索病毒可以绕过沙盒 05/02 11:07
12F:→ gwofeng: 好心得 05/02 11:29
13F:→ gwofeng: 卡巴也有检查其他软体更新 HIPS 封PORT的功能 05/02 11:45
14F:→ gwofeng: 卡巴预设就把135-139 445跟Remote Desktop的3389都封了 05/02 11:54
15F:推 koihime: 看到好熟的ID,原来我正在看mobile01上KevinYu0504大的文 05/02 11:55
16F:→ KevinYu0504: 被楼上记住了 (羞) 05/02 12:01
17F:推 mayuyu: 推 感谢分享心得 05/02 13:41
18F:→ mayuyu: 请问您说的勒索病毒可以绕过的沙盒是哪一个? 05/02 13:41
19F:→ mayuyu: 顺带一提 目前没有看过勒索病毒可以穿透虚拟机器 05/02 13:42
20F:→ mayuyu: 但是虚拟机器也有重大的执行任意程式码的漏洞 05/02 13:42
21F:→ mayuyu: 例如VMWare 12.5.2之前的12.x版本 05/02 13:42
22F:→ mayuyu: 有一个严重的drag-and-drop漏洞 05/02 13:42
23F:→ mayuyu: 可以让guest穿透虚拟机在host主机中执行任意程式码 05/02 13:42
24F:→ mayuyu: 而今年三月的Pwn2Own大赛 骇客又利用edge+vmware的漏洞 05/02 13:43
25F:→ mayuyu: 展示过程只需要90秒就攻破虚拟机 可以执行任意程式码 05/02 13:43
26F:→ mayuyu: 取得主机的最高权限 VMware六天後紧急推出12.5.5来修补 05/02 13:43
27F:→ mayuyu: 所以即使是沙盒或虚拟机都还是可能存在漏洞的 05/02 13:43
28F:→ mayuyu: 只是在野外的真实世界中 没有看过利用这些漏洞的勒索样本 05/02 13:44
30F:→ Joba07: _3807.html 05/02 13:49
31F:→ Joba07: 延迟一小时以上才执行,避开传统沙箱的侦测,因为沙箱通常 05/02 13:51
32F:→ Joba07: 只能运行几分钟 05/02 13:51
33F:→ gwofeng: 沙盒还是极少数人在使用 攻克难度高 不如往其他漏洞钻 05/02 14:04
34F:→ munsimli: 卡巴的应用程式控制好用,但软体设定繁复,设定档存好就 05/02 14:06
35F:→ munsimli: 一劳永逸,Emsi也还不错,设定无敌简单,防护效果也不 05/02 14:06
36F:→ munsimli: 错,尤其可以用试用30天去刷授权,等於免费试用 05/02 14:06
37F:→ gwofeng: 最近藉网路漏洞进来的勒索病毒 沙盒应该就没用了 05/02 14:07
38F:推 mayuyu: 原来是指这种防毒「检测时」使用的沙箱 05/02 14:12
39F:→ mayuyu: 我以为是指Sandboxie或Comodo的Container 05/02 14:13
40F:→ mayuyu: (Sandboxie就是你贴的文章中推荐的沙盒) 05/02 14:13
41F:→ mayuyu: Comodo最近是有bypass的例子 05/02 14:13
43F:→ mayuyu: 但那是因为该恶意程式被云端信任 根本没有进入沙箱 05/02 14:13
44F:→ mayuyu: 如果有进沙箱 应该是不可能逃逸的 05/02 14:13
45F:推 mayuyu: Comodo的防火墙应该可以挡住这次的网路攻击 05/02 14:15
46F:→ mayuyu: 从一开始大概就无法入侵 即使被入侵 05/02 14:16
47F:→ mayuyu: 执行木马下载其他恶意软体时也会被抓到自动沙盒 05/02 14:16
48F:→ gwofeng: COMODO沙盒就怕白名单PASS 对新软体用手动入沙就没问题了 05/02 14:17
49F:推 mayuyu: 附带一提 如果想检查「从外面」是否看得到自己的port开启 05/02 14:18
50F:→ mayuyu: 网路上有很多Open Port Check的工具网站 05/02 14:18
52F:→ mayuyu: 如果你是用数据机硬拨取得实体IP 05/02 14:19
53F:→ mayuyu: 主机是躲在数据机後面用NAT上网 有数据机的防火墙挡着 05/02 14:19
54F:→ mayuyu: 通常检查所有port都会是关闭的 05/02 14:19
55F:→ mayuyu: 除非你有另外打开Virtual Server(Port Forwarding) 05/02 14:19
56F:→ Joba07: 谢谢 我用那个连结查询 果然那些port都是关的 05/02 14:22
57F:→ Joba07: 我是有Oracle的VirtualBox Comodo自己也有沙盒 不过我 05/02 14:24
58F:→ Joba07: 只是一般玩家 所以还没有玩过 因为已经10几年没中毒了 05/02 14:26
59F:→ Joba07: 就还没想要用那些 05/02 14:27
60F:→ apharomeo: comodo要有设定阻挡那些port才能挡住 05/02 14:31
61F:→ apharomeo: 一般人装完comodo大概不会去特地去设 05/02 14:32
62F:→ apharomeo: 有看到实例是入侵後把comodo 8的 05/02 14:33
63F:→ apharomeo: 沙箱 HIPS VirusScope关掉的 05/02 14:33
64F:→ apharomeo: comodo 10就不确定能不能被关掉 05/02 14:33
65F:→ Joba07: 请问 Comodo v8 要如何设定挡住 port ? 05/02 14:34
66F:→ apharomeo: 总之, OS的漏洞一定要先补起来 05/02 14:34
67F:→ Adven: 感谢port check网站,看来已关 05/02 17:11
※ 编辑: Joba07 (101.15.48.81), 05/03/2017 00:06:09
68F:→ apharomeo: comodo要挡port就:防火墙->全域规则 里面去新增规则 05/03 01:51
69F:→ Joba07: 谢谢 原来是先在连接埠组先定义 再到全域规则设定 05/03 03:20
70F:→ Joba07: 难怪我光在连接埠组弄半天都没用 05/03 03:20
71F:→ DINJIAPC: nat下所有的对外连接埠都是关闭的,如果要挡直接在分享器 05/03 09:46
72F:→ DINJIAPC: 下规则就好 05/03 09:47
※ 编辑: Joba07 (101.15.48.81), 05/03/2017 20:51:07
73F:推 waterblue85: 那请问kevin大之前看了你的文章买了终身版的malware 05/06 03:41
74F:→ waterblue85: bytes,有需要换成emsisoft吗? 05/06 03:41
75F:推 sttropez1996: 推专业 05/16 10:49