2016關(guān)于系統(tǒng)安全的心得

　　現(xiàn)在的木馬種類繁多，而且有些木馬十分頑固，根本沒法殺干凈。有什么方法能有效的防止木馬和清除它們的方法嗎?

　　你所說的木馬，也就是一種能潛伏在受害者計(jì)算機(jī)里，并且秘密開放一個(gè)甚至多個(gè)數(shù)據(jù)傳輸通道的遠(yuǎn)程控制程序，一般由兩部分組成:客戶端(Client)和服務(wù)器端(Server)，客戶端也稱為控制端。

　　木馬的傳播感染其實(shí)指的就是服務(wù)器端，入侵者必須通過各種手段把服務(wù)器端程序傳送給受害者運(yùn)行，才能達(dá)到木馬傳播的目的。當(dāng)服務(wù)器端被受害者計(jì)算機(jī)執(zhí)行時(shí)，便將自身復(fù)制到系統(tǒng)目錄，并把運(yùn)行代碼加入系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)調(diào)用的區(qū)域里，借以達(dá)到跟隨系統(tǒng)啟動(dòng)而運(yùn)行，這一區(qū)域通常稱為“啟動(dòng)項(xiàng)”。當(dāng)木馬完成這部分操作后，便進(jìn)入潛伏期——偷偷開放系統(tǒng)端口，等待入侵者連接。

　　阻止木馬運(yùn)行——查殺更徹底

　　任何操作系統(tǒng)都會(huì)在啟動(dòng)時(shí)自動(dòng)運(yùn)行一些程序，用以初始化系統(tǒng)環(huán)境或額外功能等，這些被允許跟隨系統(tǒng)啟動(dòng)而運(yùn)行的程序被放置在專門的區(qū)域里供系統(tǒng)啟動(dòng)時(shí)加載運(yùn)行，這些區(qū)域就是“啟動(dòng)項(xiàng)”，不同的系統(tǒng)提供的“啟動(dòng)項(xiàng)”數(shù)量也不同，對(duì)于Win9x來說，它提供了至少5個(gè)“啟動(dòng)項(xiàng)”:DOS環(huán)境下的Autoexec.bat、Config.sys，Windows環(huán)境下的“啟動(dòng)”程序組、注冊表的2個(gè)Run項(xiàng)和1個(gè)RunServices項(xiàng)，分別是:

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

　　到了2000/XP系統(tǒng)時(shí)代，DOS環(huán)境被取消，卻新增了一種稱之為“服務(wù)”的啟動(dòng)區(qū)域，注冊表也在保持原項(xiàng)目不變的基礎(chǔ)上增加了2個(gè)“啟動(dòng)項(xiàng)”:

　　項(xiàng)目 鍵名

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs

　　HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows run

　　這么多的啟動(dòng)入口，木馬自然不會(huì)放過，于是我們經(jīng)常在一些計(jì)算機(jī)的啟動(dòng)項(xiàng)里發(fā)現(xiàn)陌生的程序名，這時(shí)候就只能交由你或者病毒防火墻來判斷了，畢竟系統(tǒng)自身會(huì)在這里放置一些必要的初始化程序，還有一些正常工具，包括病毒防火墻和網(wǎng)絡(luò)防火墻，它們也必須通過啟動(dòng)項(xiàng)來實(shí)現(xiàn)跟隨系統(tǒng)啟動(dòng)。

　　此外還有一種不需要通過啟動(dòng)項(xiàng)也能達(dá)到跟隨系統(tǒng)啟動(dòng)的卑劣手法，那就是“系統(tǒng)路徑遍歷優(yōu)先級(jí)欺騙”，Windows系統(tǒng)搜尋一個(gè)不帶路徑信息的文件時(shí)遵循一種“從外到里”的規(guī)則，它會(huì)由系統(tǒng)所在盤符的根目錄開始向系統(tǒng)目錄深處遞進(jìn)查找，而不是精確定位的，這就意味著，如果有兩個(gè)同樣名稱的文件分別放在C:和C:Windows下，Windows會(huì)執(zhí)行C:下的程序，而不是C:Windows下的。這樣的搜尋邏輯就給入侵者提供了一個(gè)機(jī)會(huì)，木馬可以把自己改為系統(tǒng)啟動(dòng)時(shí)必定會(huì)調(diào)用的某個(gè)文件名，并復(fù)制到比原文件要淺一級(jí)以上的目錄里，Windows就會(huì)想當(dāng)然的執(zhí)行了木馬程序，系統(tǒng)的噩夢就此拉開序幕。這種手法常被用于“internat.exe”，因?yàn)闊o論哪個(gè)Windows版本的啟動(dòng)項(xiàng)里，它都是沒有設(shè)置路徑的。

　　要提防這種占用啟動(dòng)項(xiàng)而做到自動(dòng)運(yùn)行的木馬，用戶必須了解自己機(jī)器里所有正常的啟動(dòng)項(xiàng)信息，才能知道木馬有沒有混進(jìn)來。至于利用系統(tǒng)路徑漏洞的木馬，則只能靠用戶自己的細(xì)心了。

　　根除木馬——文件并聯(lián)型木馬的查殺

　　某些用戶經(jīng)常會(huì)很郁悶，自己明明已經(jīng)刪除了木馬文件和相應(yīng)的啟動(dòng)項(xiàng)，可是不知道什么時(shí)候它自己又原封不動(dòng)的回來了，這還不算，更悲慘的是有時(shí)候殺掉某個(gè)木馬后，系統(tǒng)也出了故障:所有應(yīng)用程序都打不開了。這時(shí)候，如果用戶對(duì)計(jì)算機(jī)技術(shù)的了解僅限于使用殺毒軟件，那可只能哭哭啼啼的重裝系統(tǒng)了!

　　為什么會(huì)這樣?難道這種木馬還惡意修改了系統(tǒng)核心?其實(shí)答案很簡單，因?yàn)檫@種木馬修改了應(yīng)用程序(EXE文件)的并聯(lián)方式。

　　什么是“并聯(lián)方式”呢?在Windows系統(tǒng)里，文件的打開操作是通過注冊表內(nèi)相應(yīng)鍵值指定的應(yīng)用程序來執(zhí)行的，這個(gè)部分位于注冊表的“HKEY_CLASSES_ROOT”主鍵內(nèi)，當(dāng)系統(tǒng)收到一個(gè)文件名請(qǐng)求時(shí)，會(huì)以它的后綴名為依據(jù)在這里識(shí)別文件類型，進(jìn)而調(diào)用相應(yīng)的程序打開。而應(yīng)用程序自身也被視為一個(gè)文件，它也屬于一種文件類型，同樣可以用其他方式開啟，只不過Windows設(shè)置它的調(diào)用程序?yàn)?ldquo;"%1" %*”，讓系統(tǒng)內(nèi)核理解為“可執(zhí)行請(qǐng)求”，它就會(huì)為使用這種打開方式的文件創(chuàng)建進(jìn)程，最終文件就被加載執(zhí)行了，如果有另外的程序更改了這個(gè)鍵值，Windows就會(huì)調(diào)用那個(gè)指定的文件來開啟它。一些木馬程序把EXE后綴名對(duì)應(yīng)的exefile類型的“打開方式”改成了“木馬程序 "%1" %*”，運(yùn)行程序時(shí)系統(tǒng)就會(huì)先為“木馬程序”創(chuàng)建進(jìn)程，把緊跟著的文件名作為參數(shù)傳遞給它執(zhí)行，于是在我們看來程序被正常啟動(dòng)了。因?yàn)槟抉R程序被作為所有EXE文件的調(diào)用程序，使得它可以長期駐留內(nèi)存，每次都能恢復(fù)自身文件，所以在一般用戶看來，這個(gè)木馬就做到了“永生不死”。然而一旦木馬程序被刪除，Windows就會(huì)找不到相應(yīng)的調(diào)用程序，于是正常程序就無法執(zhí)行了，這就是所謂的“所有程序都無法運(yùn)行”的情況來源，并不是木馬更改了系統(tǒng)核心，更沒必要因此重裝整個(gè)系統(tǒng)。

　　根除這種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序，立即停止這個(gè)程序的進(jìn)程，如果它還產(chǎn)生了其他木馬文件的話，也一起停止，然后在保持注冊表編輯器開啟著的情況下(否則你的所有程序都會(huì)打不開了)刪除掉所有木馬文件，把exefile的“打開方式”項(xiàng)(HKEY_CLASSES_ROOTexefileshellopencommand)改回原來的“”%1” %*”即可。

　　如果刪除木馬前忘記把并聯(lián)方式改回來，就會(huì)發(fā)現(xiàn)程序打不開了，這時(shí)候不要著急，如果你是Win9x用戶，請(qǐng)使用“外殼替換大法”:重啟后按F8進(jìn)入啟動(dòng)菜單選擇MS-DOS模式，把Explorer.exe隨便改個(gè)名字，再把REGEDIT.EXE改名為Explorer.exe，再次重啟后會(huì)發(fā)現(xiàn)進(jìn)入Windows只剩下一個(gè)注冊表編輯器了，趕快把并聯(lián)方式改回來吧!重啟后別忘記恢復(fù)以前的Explorer.exe。

　　對(duì)于Win2000/XP用戶而言，這個(gè)操作更簡單了，只要在開機(jī)時(shí)按F8進(jìn)入啟動(dòng)菜單，選“命令提示符的安全模式”，系統(tǒng)就會(huì)自動(dòng)調(diào)用命令提示符界面作為外殼，直接在里面輸入REGEDIT即可打開注冊表編輯器!XP用戶甚至不需要重啟，直接在“打開方式”里瀏覽到CMD.EXE就能打開“命令提示符”界面運(yùn)行注冊表編輯器REGEDIT.EXE了。

【系統(tǒng)安全的心得】相關(guān)文章：

如何維護(hù)我們電腦的系統(tǒng)安全11-08

Win7系統(tǒng)安全體系是什么11-27

怎樣才保障筆記本電腦系統(tǒng)安全10-14

保護(hù)通用操作系統(tǒng)安全的十大方法11-05

Win7系統(tǒng)安全中心打不開怎么辦10-13

交通系統(tǒng)安全生產(chǎn)領(lǐng)導(dǎo)講話稿04-25

幼兒園心得培訓(xùn)心得01-03

研修心得心得體會(huì)04-28

師德師風(fēng)心得心得體會(huì)06-06

裝修的心得02-26