实战个人计算机网络安全检查

浏览网页就被植入木马或者打开后门，经常在媒体看到有关“网银大盗”、“挂马”、“灰鸽子”、“熊猫病毒”等报道，在“黑客”中，流行一句话“网页挂马，银子一大把！”，目前网络病毒和木马程序已经严重威胁到个人计算机的安全，特别是当安全跟实际的经济利益相关联时，尤其恐怖，试想，当个人计算机被木马等程序控制后，电子邮箱等个人帐号和密码以及个人隐私信息均会泄漏，入侵者将这些信息利用起来，严重的将直接造成重大的经济损失。入侵者真的那么可怕吗？其实不然，主要是我们不了解这些背后的黑手、背后的敌人，如果有了相应的安全检查手段，我们还怕吗？本文从补丁检查、端口检查、查找 Rootkit 等由浅入深的介绍如何进行安全检查，构建一个安全的个人计算机系统。

（一）补丁检查

    对于个人用户来说，最大的网络安全隐患往往发生在访问网页时，有一些网站由于程序上的漏洞或者配置不当，往往极易被入侵者入侵和被完全控制，入侵者控制成功后，往往会利用 IE 等浏览器或者系统已存在漏洞来进行网页挂马（通过访问网页来下载木马程序，并执行木马程序），如果个人计算机没有安装漏洞补丁程序，那么一般来说，只要访问被挂马的网页，那么个人计算机被植入的木马的几率极高。解决这种安全隐患方法相对简单，如果是使用了国内杀毒软件，可以通过使用杀毒软件中的“漏洞扫描”功能，来扫描系统存在漏洞，如果存在漏洞可以通过杀毒软件提供的“修复”进行自动修复。还有一种方法就是利用 Windows 系统自带的自动更新程序自动更新系统漏洞补丁。

注意：

（1 ）如果个人电脑使用的是盗版操作系统，在自动更新时，不要选择微软的正版验证Windows Genuine Advantage 安装程序。

（2 ）一个不存在安全漏洞的计算机相对被感染木马和病毒程序的几率小的多。

（二）端口检查

1 、端口相关概念

一般来说每个网络软件都可以打开任何一个没有被使用的端口来使用，跟端口相对应的就是服务和协议，一个服务往往对应一个端口，在 Windows 操作系统中会有一个 Services 文件，该文件以列表的形式列出了 Windows 系统中常见的一些端口、服务以及协议等信息（图 1 ）。例如在 Windows Xp 的 C:\WINDOWS\system32\drivers\etc 目录下可以通过记事本打开 Services 文件。端口又分常见端口和非常见端口，常见端口如 80 端口（ http 服务也就是 Web 服务）， 110 端口（ POP3 收信服务端口）等，非常见端口主要是一些特殊软件和木马使用。

图 1 系统中的 Services 文件

2 、查看系统开放端口

    可以通过“开始” - “运行”中输入“ cmd ”命令，然后在 Dos 命令提示符下输入“ netstat -an ”来查看系统开放了哪些端口（图 2 ）。该命令能够查看绝大多数软件开放的端口，但是 Rootkit 等木马程序会自动隐藏端口和服务，通过该命令显示网路端口和连接一起正常。

图 2 网络连接情况

3 、使用CurrPorts 查看系统开放端口

   网上有很多实时监控网路连接的软件，例如 TcpView 、 Aports 等，但是功能强大、又方便还是要算 CurrPorts ， CurrPorts 可以实时监控网络连接，可以关闭选择的网络连接，可以以 Html 格式显示目前端口和网络连接等情况，直接执行 CurrPorts 就以查看网络连接情况（图 3 ）。使用 CurrPorts 主要用来查看目前系统中有哪些程序正在运行，打开了哪些端口，对于不熟悉的应用程序打开的端口，则需要通过经验进行判断或者通过 Google 、百度等搜索引擎进行程序名称等相关信息的搜索，网上一般会提供相应其信息，这些信息可以作为判断该程序是否为木马程序的依据之一。

图 3 使用 CurrPorts 查看端口

（三）Rootkit 木马检查

    对于一般病毒和木马程序，通过目前市面上的杀毒软件一般都能查杀，关键是一些难以被查杀的木马程序，其中以Rootkit 为首，最难查杀。

1 ．Rootkit 由来

Rootkit 出现于二十世纪 90 年代初，在 1994 年 2 月的一篇安全咨询报告 Ongoing Network Monitoring Attacks （ CERT-CC 的 CA-1994-01 ）中首先使用了 Rootkit 这个名词。从出现至今， Rootkit 的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。 Rootkit 分为 windows 和 Unix 下的 Rootkit 。所有的 Rootkit 基本上都是由几个独立的程序组成的，一个典型 Rootkit 包括：

（ 1 ）以太网嗅探器程序，用于获得网络上传输的用户名和密码等敏感信息。

（ 2 ）木马程序，为攻击者提供控制后门。

（ 3 ）隐藏攻击者的目录和进程的程序。

（ 4 ）其它一些工具程序，例如日志清理等工具。

  Rootkit 分为 User Mode Rootkit 和 Kernel Mode Rootkit ，其中 Kernel Mode Rootkit 最难检查。由于 Rootkit 木马程序对个人电脑危害性非常大，而一般查毒软件又很难检测，因此要只能借助专业的软件查杀它。

2 ．查杀Rootkit

  本文推荐两款查杀 Rootkit 工具，一个是微软收购 sysinternals 公司的 RootkitRevealer 工具， RootkitRevealer 下载地址： [url]http://download.sysinternals.com/Files/RootkitRevealer.zip[/url] 。下载到本地后，直接运行程序，程序界面非常简单，单击“ Scan ”按钮进行扫描， RootkitRevealer 会将系统中所有隐藏的注册表键值、 exe 、 dll 以及驱动程序等以路径的形式完全显示出来（图4 ），供安全检查人员参考，软件本身不对 Rootkit 进行处理。

图 4 RootkitRevealer 查 Rootkit 软件

注意：

（1 ）如果在“Path ”列表中存在可执行文件（*.exe ）、动态链接库文件（*.Dll ）以及驱动程序文件（*.sys ）那么就要注意了，这些文件极有可能是Rootkit 。

（2 ）如果存在这些文件，可以将这些文件上报杀毒软件公司，然后再找到以后删除。

   “ AVG Anti-Rootkit 是著名安全软件制造商 AVG 公司发步的一款强大的 Rootkit 检测、清除工具。下载地址为： [url]http://www.grisoft.cz/filedir/inst/avgarkt/avgarkt-setup-1.1.0.42.exe[/url] 。该软件安装完成后需要重新启动计算机，其操作也非常简单，查到 Rootkit 木马程序以后会提示是否进行清除处理。

图 5 AVG 查杀 Rootkit

（四）一些安全建议

1 ．谨慎运行程序。

平时不要安装不明应用程序，下载软件时尽量到大型正规下载网站下载，下载完成以后要进行杀毒处理，然后再进行程序安装，避免感染捆绑木马程序或者病毒程序。对于Rar 压缩软件，不要直接打开，而是将文件解压缩到本地以后再执行。

2 ．及时更新系统漏洞补丁和病毒库。

及时更新系统漏洞补丁程序和病毒库，平时一定打开所有杀毒软件的实时监控，可以有效查杀绝大多数优盘病毒，防止来自优盘病毒的感染和传播。

3 、做好系统备份

   系统安装完成以后，依次安装防火墙、杀毒软件、安装系统补丁程序、应用程序，所有程序安装完成以后，使用 Ghost 做一个完整的备份，如果有条件可以将 Ghost 文件刻录到 DVD 中，系统出问题时直接使用 Ghost 文件进行恢