作者Joba07 (騙人布)
看板AntiVirus
標題[心得] Win7防毒心得
時間Tue May 2 04:11:52 2017
最近看到不少人中了病毒
( 不管是首頁綁架 或是挖礦 甚至是勒索病毒 )
至少我目前是沒中的
我提供一下我自己的心得
在 16 年前我還在使用 Win98 的時代
那時候不是很懂 忘記是中了甚麼病毒
總之是被搞得很慘 之後就開始自己摸索防毒
後來使用 XP 時 在 11 年前
我寫了這篇
#14v9Uzvb 的心得
不過後來就沒寫有關登錄資料庫和防火牆設定
後來這幾年改用 Win7 後
之前 XP 時期的登錄資料庫設定太久沒碰都忘了
然後那時候我用的 Sygate Personal Firewall
後來這家公司早就沒更新了 也跟 Win7 不相容
所以只好另外換防火牆
不過使用習慣還是一樣的道理
常常會看到有人寫
" 只要不亂點連結 不亂安裝軟體就沒事 "
或者是 " 只要裝了防毒軟體就沒事 "
這些都是錯誤的觀念
那樣做並不保證你的電腦沒事
只要你的使用習慣很差 照樣容易中獎
這裡要講的一點很重要
就是 " 預防重於治療 "
尤其是現在勒索病毒猖獗
一旦中獎 幾乎是無解
那預防就非常非常重要了
我的預防方式有以下幾點 :
( 以 Win7 SP1 Home Premium 為例 )
1. 帳號與密碼
任何帳號最好都要設密碼
而且開機時最好要輸入密碼才能登入
再來密碼最好用複雜的
例如用 $c0ttB0r@$ 既複雜又容易記
萬一真的被攻陷 要暴力破解也要花一些時間
然後要停用來賓帳戶
控制台/使用者帳戶與家庭安全/使用者帳戶/管理其他帳戶/
Guest來賓帳戶 將其關閉
2. 網路芳鄰
停用 File & Printer Sharing for Microsoft Networks
和 停用 NetBIOS over TCP/IP
控制台/網路及網際網路/網路共用中心/變更介面卡設定
點選你使用上網的介面卡 滑鼠右鍵/內容
將 File & Printer Sharing for Microsoft Networks 該選項打勾給取消
再點選 TCP/IPv4 /內容/進階
點選上方 WINS 的 Tab 選 停用 NetBIOS over TCP/IP
3. 檔案與資料夾
忘記是哪個病毒 檔案是放在預設隱藏的資料夾位置
就算用掃毒軟體或是 Adwcleaner 抓出來掃掉
後來還是會死灰復燃 因為躲在你隱藏的地方
檔案總管/組合管理/資料夾和搜尋選項/檢視
在 隱藏檔案和資料夾 選 顯示隱藏的檔案 資料夾和磁碟機
4. 服務
沒有用的服務就關掉它 如 Remote Desktop Services 和 Remote Registry
和 Internet Connect Sharing ( ICS )
開啟服務 :
a 開啟/電腦 右鍵/管理/服務與應用程式/服務
b 開啟/輸入 services.msc
停用 Remote Desktop Services 和 Remote Registry 和 ICS
我平時也停用 Printer Spooler 等到要列印再手動啟動
停用 TCP/IP NetBIOS Helper
同時看看描述是空白的服務 有沒有特殊異常的服務
本來 XP 還有 Terminal Service 的服務
不過 Win7 已經改到別的地方
開啟/電腦 右鍵/內容/ 遠端設定
將 允許到這台電腦的遠端協助連線 勾勾取消
另外也不要用 TeamViewer 這款遠端桌面軟體
5. 上網前的準備
除了開啟工作管理員之外
還要開啟命令提示字元
在 開始 / 所有程式 / 附屬應用程式 / 命令提示字元
然後輸入 netstat -an
先觀察上網前的數據以及工作管理員有沒有呈現 CPU 飆高的情形
以上兩者都有替代軟體
觀察網路數據可以用 TCPView
http://imgur.com/a/xW6q1
而工作管理員可以用 Process Explorer
http://imgur.com/a/0KPZz
6. Windows Update
一定要開啟自動更新 一定要開啟自動更新 一定要開啟自動更新
很重要所以要說三次
這次不少人中毒 就是因為沒有做更新
7. 用 NAT 方式上網
不管是用分享器或是 router
只要不是以實體方式連網 就不容易被攻進來
這種方式的 ip 都是 192.168.開頭的 ip
8. 其他軟體
不少病毒並非從 Windows 漏洞攻進來
而是其他軟體的漏洞 尤其是 Flash Player 和 Java
如果可以就移除 如果還是有需要 一定要做更新
http://imgur.com/a/EGaQW 這也是我愛用 Avast 的原因
9. 瀏覽器外掛
現在有很多瀏覽器的安全連線外掛
如 McAfee 的 WebAdvisor Avira 的 Browser Safety
Avast 的 Online Safety
http://imgur.com/a/Hf7XU
安裝這些可以防止亂點到危險連結
http://imgur.com/a/f91nX
另外安裝 Adblock Plus 之類的防廣告外掛
也多少可以防範一些網頁廣告
另外也不要亂點不明連結
也不要隨便逛特定網站 尤其是對岸的
10. 防毒軟體 防駭軟體 及防火牆
這些該裝的還是要安裝 而且不要因為麻煩就停掉
至於哪些比較好用 我個人都是用免費的
重要的是 這三者中
一定要有一個是有 HIPS ( 主動入侵防禦系統 ) 方式的
http://imgur.com/a/L2uWZ
HIPS 是能監控你電腦中檔案的運行 檔案運用其他的檔案
以及檔案對於登錄資料庫的修改 並向你報告尋求允許
只要你阻止了 那麼它就無法運行及更改
11. 開啟 UAC ( 使用者帳戶控制 )
千萬不要嫌跳出視窗很麻煩就關掉它
否則一旦中獎 後悔就來不及了
控制台/使用者帳戶和家庭安全/使用者帳戶/變更使用者帳戶控制設定
不要調到最底下 ( 即不要通知 )
12. 備份資料
備份檔案資料一定要用異地備份
例如光碟機或是上傳至雲端 如果要用外接硬碟備份
備份完後一定要拔掉 如果還是連在主機 一樣一起中獎
13. 開啟信件 以 Outlook 2010 為例
http://tinyurl.com/kxlu42z
不要任意開啟郵件附加檔
即使是朋友寄來的也要特別小心
14. 關閉自動撥放
這是要防 USB 病毒的
控制台/硬體與音效/自動撥放
將 所有媒體與裝置都使用自動撥放功能 的勾勾取消
以前在用 XP 時 我會用登錄資料庫設定和 Sygate Personal Firewall
把 135-139 和 445 的 port 全部關起來
( Sygate 是 NIPS 的防火牆 可以直接針對特定 port 來設定
可是 Comodo 好像不行 我試過幾次都沒成功 )
http://imgur.com/a/o2lvi
現在用 Win7 135 和 445 的 port 一直都是開的 @@
目前是用別的方式 好像是這樣
http://imgur.com/a/VqgQu
總之雖然目前 135 445 port 是開啟的
但是從
https://doublepulsar.below0day.com/ scan 是沒問題的
大概就是這樣 之後想到再補充
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.15.48.81
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1493669516.A.608.html
※ 編輯: Joba07 (101.15.48.81), 05/02/2017 04:19:34
※ 編輯: Joba07 (101.15.48.81), 05/02/2017 04:39:31
1F:推 j790822: 大推專業分享 05/02 07:54
2F:推 xjp004123: 推專業 05/02 08:09
※ 編輯: Joba07 (101.15.48.81), 05/02/2017 08:19:49
3F:→ changshinn: 推,專業文 05/02 09:36
4F:推 Adven: push 05/02 10:06
5F:推 KevinYu0504: 好文,推 05/02 10:33
6F:→ KevinYu0504: 我用過 AVG.Avast.Avira.Bitdefender.Norton.Kaspers 05/02 10:35
7F:→ KevinYu0504: ky.PCCillin.Windowd defender.Emsisoft.Panda.Comod 05/02 10:35
8F:→ KevinYu0504: o 等等,Emsisoft 是我首選 ;) 05/02 10:35
9F:推 jk01: 推 05/02 10:40
10F:→ Joba07: 虛擬機器和沙盒我還沒用 不過兩者中我傾向用前者 因為看過 05/02 11:07
11F:→ Joba07: 有的勒索病毒可以繞過沙盒 05/02 11:07
12F:→ gwofeng: 好心得 05/02 11:29
13F:→ gwofeng: 卡巴也有檢查其他軟體更新 HIPS 封PORT的功能 05/02 11:45
14F:→ gwofeng: 卡巴預設就把135-139 445跟Remote Desktop的3389都封了 05/02 11:54
15F:推 koihime: 看到好熟的ID,原來我正在看mobile01上KevinYu0504大的文 05/02 11:55
16F:→ KevinYu0504: 被樓上記住了 (羞) 05/02 12:01
17F:推 mayuyu: 推 感謝分享心得 05/02 13:41
18F:→ mayuyu: 請問您說的勒索病毒可以繞過的沙盒是哪一個? 05/02 13:41
19F:→ mayuyu: 順帶一提 目前沒有看過勒索病毒可以穿透虛擬機器 05/02 13:42
20F:→ mayuyu: 但是虛擬機器也有重大的執行任意程式碼的漏洞 05/02 13:42
21F:→ mayuyu: 例如VMWare 12.5.2之前的12.x版本 05/02 13:42
22F:→ mayuyu: 有一個嚴重的drag-and-drop漏洞 05/02 13:42
23F:→ mayuyu: 可以讓guest穿透虛擬機在host主機中執行任意程式碼 05/02 13:42
24F:→ mayuyu: 而今年三月的Pwn2Own大賽 駭客又利用edge+vmware的漏洞 05/02 13:43
25F:→ mayuyu: 展示過程只需要90秒就攻破虛擬機 可以執行任意程式碼 05/02 13:43
26F:→ mayuyu: 取得主機的最高權限 VMware六天後緊急推出12.5.5來修補 05/02 13:43
27F:→ mayuyu: 所以即使是沙盒或虛擬機都還是可能存在漏洞的 05/02 13:43
28F:→ mayuyu: 只是在野外的真實世界中 沒有看過利用這些漏洞的勒索樣本 05/02 13:44
30F:→ Joba07: _3807.html 05/02 13:49
31F:→ Joba07: 延遲一小時以上才執行,避開傳統沙箱的偵測,因為沙箱通常 05/02 13:51
32F:→ Joba07: 只能運行幾分鐘 05/02 13:51
33F:→ gwofeng: 沙盒還是極少數人在使用 攻克難度高 不如往其他漏洞鑽 05/02 14:04
34F:→ munsimli: 卡巴的應用程式控制好用,但軟體設定繁複,設定檔存好就 05/02 14:06
35F:→ munsimli: 一勞永逸,Emsi也還不錯,設定無敵簡單,防護效果也不 05/02 14:06
36F:→ munsimli: 錯,尤其可以用試用30天去刷授權,等於免費試用 05/02 14:06
37F:→ gwofeng: 最近藉網路漏洞進來的勒索病毒 沙盒應該就沒用了 05/02 14:07
38F:推 mayuyu: 原來是指這種防毒「檢測時」使用的沙箱 05/02 14:12
39F:→ mayuyu: 我以為是指Sandboxie或Comodo的Container 05/02 14:13
40F:→ mayuyu: (Sandboxie就是你貼的文章中推薦的沙盒) 05/02 14:13
41F:→ mayuyu: Comodo最近是有bypass的例子 05/02 14:13
43F:→ mayuyu: 但那是因為該惡意程式被雲端信任 根本沒有進入沙箱 05/02 14:13
44F:→ mayuyu: 如果有進沙箱 應該是不可能逃逸的 05/02 14:13
45F:推 mayuyu: Comodo的防火牆應該可以擋住這次的網路攻擊 05/02 14:15
46F:→ mayuyu: 從一開始大概就無法入侵 即使被入侵 05/02 14:16
47F:→ mayuyu: 執行木馬下載其他惡意軟體時也會被抓到自動沙盒 05/02 14:16
48F:→ gwofeng: COMODO沙盒就怕白名單PASS 對新軟體用手動入沙就沒問題了 05/02 14:17
49F:推 mayuyu: 附帶一提 如果想檢查「從外面」是否看得到自己的port開啟 05/02 14:18
50F:→ mayuyu: 網路上有很多Open Port Check的工具網站 05/02 14:18
52F:→ mayuyu: 如果你是用數據機硬撥取得實體IP 05/02 14:19
53F:→ mayuyu: 主機是躲在數據機後面用NAT上網 有數據機的防火牆擋著 05/02 14:19
54F:→ mayuyu: 通常檢查所有port都會是關閉的 05/02 14:19
55F:→ mayuyu: 除非你有另外打開Virtual Server(Port Forwarding) 05/02 14:19
56F:→ Joba07: 謝謝 我用那個連結查詢 果然那些port都是關的 05/02 14:22
57F:→ Joba07: 我是有Oracle的VirtualBox Comodo自己也有沙盒 不過我 05/02 14:24
58F:→ Joba07: 只是一般玩家 所以還沒有玩過 因為已經10幾年沒中毒了 05/02 14:26
59F:→ Joba07: 就還沒想要用那些 05/02 14:27
60F:→ apharomeo: comodo要有設定阻擋那些port才能擋住 05/02 14:31
61F:→ apharomeo: 一般人裝完comodo大概不會去特地去設 05/02 14:32
62F:→ apharomeo: 有看到實例是入侵後把comodo 8的 05/02 14:33
63F:→ apharomeo: 沙箱 HIPS VirusScope關掉的 05/02 14:33
64F:→ apharomeo: comodo 10就不確定能不能被關掉 05/02 14:33
65F:→ Joba07: 請問 Comodo v8 要如何設定擋住 port ? 05/02 14:34
66F:→ apharomeo: 總之, OS的漏洞一定要先補起來 05/02 14:34
67F:→ Adven: 感謝port check網站,看來已關 05/02 17:11
※ 編輯: Joba07 (101.15.48.81), 05/03/2017 00:06:09
68F:→ apharomeo: comodo要擋port就:防火牆->全域規則 裏面去新增規則 05/03 01:51
69F:→ Joba07: 謝謝 原來是先在連接埠組先定義 再到全域規則設定 05/03 03:20
70F:→ Joba07: 難怪我光在連接埠組弄半天都沒用 05/03 03:20
71F:→ DINJIAPC: nat下所有的對外連接埠都是關閉的,如果要擋直接在分享器 05/03 09:46
72F:→ DINJIAPC: 下規則就好 05/03 09:47
※ 編輯: Joba07 (101.15.48.81), 05/03/2017 20:51:07
73F:推 waterblue85: 那請問kevin大之前看了你的文章買了終身版的malware 05/06 03:41
74F:→ waterblue85: bytes,有需要換成emsisoft嗎? 05/06 03:41
75F:推 sttropez1996: 推專業 05/16 10:49