电脑不被入侵的秘密

　(一)何谓“肉鸡”电脑？
所谓“肉鸡”电脑，简单地说就是被别人远程控制的电脑。当你的电脑被别人控制之后，就好像成了别人砧板上的肉，别人想怎么吃就怎么吃，肉鸡(机)一名由此而来。
一般来说，只要是中了木马，或者存在系统漏洞以及后门的，被攻击者利用并可以远程操控的电脑都属于“肉鸡”。
 
(二)“肉鸡”电脑有什么“商业价值”？
1盗窃“肉鸡”电脑的虚拟财产，比如网络游戏ID装备、QQ币等。
2盗窃“肉鸡”电脑里的真实财产，比如网上银行，一旦你的网银账号被盗，就可能为别人的消费买单。
3盗窃他人的隐私数据。陈冠希的“艳照门”事件，相信大家都知道，如果身份证、隐秘照片、个人档案被人发布在网上，或者伪装成你的身份进行各种不法活动，后果很严重。
4偷到受害人电脑上的商业信息，比如财务报表、人事档案和客户档案等，攻击者可以利用这些资讯谋取非法利益。
5在“肉鸡”电脑上种植流氓软件，自动点击广告获利。攻击者在控制大量肉鸡之后，可以通过强行弹出广告，从广告主那里收获广告费，这也是流氓软件泛滥的原因之一。
6以“肉鸡”电脑为跳板(代理服务器)，对其他电脑发起攻击。黑客的任何攻击行为都可能留下痕迹，为了更好地隐藏自己，必然要经过多次代理的跳转，肉鸡电脑充当了中介和替罪羊。
7控制着大批“肉鸡”电脑的攻击者，他们会为了某个目的，对目标主机进行DDoS攻击从而获取利益，而“肉鸡”电脑是发起DDoS攻击的马前卒。
此外，在攻击者的圈子里，“肉鸡”电脑可以像白菜一样被买卖。在黑色产业链的高端，那些庞大的“肉鸡”电脑群的控者还可以构筑一个木马帝国，进行各种牟利活动。总之，“肉鸡”电脑是攻击者致富的源泉。

小知识:何谓DDoS
DDoS被称为分布式拒绝服务。如果你手里有许多完全归你控制的“肉鸡”电脑，它们的带宽加起来就是你的流量，你用这些流量去访问你想要吃掉的目标电脑，只要你的流量大于它，别人就无法访问这台电脑，就相当于你把它干掉，这就叫DDoS。

NO2 不被入侵的秘密之验“鸡”篇
 

实战:7个不正常系统现象要当心
现象1:有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。这种鼠标的移动轨迹和性能与光电鼠标自动漂移明显不同。
现象2:电脑运行过程中或者开机的时候，弹出莫名其妙的对话框或者IE窗口，但很快就自动关闭了。
现象3:QQ、MSN的登录或信息异常。你在登录QQ时，系统提示上一次登录的IP和你完全不相干，比如你家明明在北京，但是QQ却提醒你上一次登录地点在广州(见图1)。当你登录MSN时，可能有朋友给你发消息，问你刚发了什么，你却很清楚自己从未给这个朋友发过什么消息。



现象4:登录网络游戏后，发现装备丢失或者上次下线时的位置不符，甚至用正确的密码无法登录。很显然，你没有登录这个游戏的时候，别人替你登录过。
现象5:正常上网时，突然感觉很慢，硬盘灯在闪烁，就好像在不停地COPY文件一样。这种情况很可能是攻击者在尝试COPY你的文件，在大量COPY文件时，磁盘的读写明显会增加，系统也会变慢。此时，你应该毫不犹豫地拔掉网线，立即检查你的系统进程是否异常。
现象6:当你准备使用摄像头时，系统提示该设备正在使用中，这说明攻击者正在盗用你的摄像头。由于摄像头开始工作时系统是不会提示的，而且工作状态是不可见的，所以当你不用摄像头时，建议把镜头给盖上(笔记本电脑屏幕内置的)或者直接拔下来(USB外置的)，攻击者就无机可乘了。
现象7:在你没有使用任何网络资源时，你发现网卡灯在不停地闪烁。当你在“网络连接”中双击“本地连接”查看其状态时，你会发现窗口中的“小电脑”在不停地闪，而且“已发送”的数据量增加很快。
 

(二)找几个验“鸡”的好帮手
通过一些表面的现象判断是否被入侵，可能不是十分准确，但是实际上，不管攻击者以何种方式来控制“肉鸡”电脑，该电脑肯定是要与外界发生联系，通过某些端口给向外面发送数据，因此我们可以借助一些常用的软件来观察网络活动情况。

实战1:用防火墙揪出占用流量的黑手
通常，网络防火墙(比如天网、金山网镖、C.O.M.O.D.O等)都会有网络检测的功能，我们可以通过这些软件来查看网络流量和可疑的网络连接来确认“肉鸡”。笔者以“金山网镖”为例。
首先在安装有“金山网镖”系统上，双击系统托盘区中的软件图标，打开程序主窗口。然后在“安全状态”页面下，检查“当前网络活动状态”中的程序有没有陌生的程序，接着观察一下当前网络流量情况，如果“发送流量”增加很快，那么你就要小心了(见图2)。最后切换到“网络状态”页面，仔细查看相关连接，如果发现自己根本没有使用的软件在连接到远程计算机，那么你的电脑很可能就是中标了

小提示:
金山网镖通常包含在金山毒霸套装中，下载地址为http://www.duba.net/download/index.shtml。

实战2:谁开的后门？用TCPView一看就明！
通常情况下，远程入侵者会预先在“肉鸡”电脑上打开一些特定的端口，而这些端口则随时等待控制端连接或是主动连接到远程服务器。当然，只要我们把这些端口关闭，就可以拒绝入侵者的控制了，怎样才能查看PC当前打开的端口呢？
TCPView是一个查看端口和线程的小工具(下载地址为http://www.newhua.com/soft/16626.htm)，它可以详细地列出系统打开的端口。在TCPView界面的列表中，一个图标就对应一个已经打开的端口，而且详细地显示本地和远程的连接情况。如果某个端口发生数据交换，TCPView会以醒目的颜色来提示。有些打开端口的程序名称可能会与系统内的程序名称一样，但是不是系统的程序，双击你认为可疑的端口打开其属性，看一下占用了该端口的程序的“路径”是不是有问题。如果有问题，点击“结束进程”干掉它
 
小提示: 
★netstat命令只有在安装了TCP/IP协议后才可以使用; 
★“状态”下对应的“LISTENING”表示端口是开放的，等待连接但还没有被连接的;而“ESTABLISHED”表示已建立连接的端口;“TIME_WAIT”表示该端口曾经被访问过，但访问结束了。 
 
小知识:何谓端口？ 
所谓端口“PORT”，即电脑与外界通讯交流的出入口，如果把电脑在互联网上的IP地址比作门牌号，那么端口就相当于房门，家人通过这些门和外界沟通、联系。在网络中，根据TCP／IP协议规定，电脑可以有256×256(65536)个端口，每一个端口就好像一扇门，PC就是通过这些特定的“门”来和外界交流。
实战3:借助系统自带DOS命令查看开放的端口(Windows 2000/XP/Vista/7) 
在Windows系统中自带了一个“netstat”命令，它可以显示当前的TCP/IP网络连接。在“运行”中输入“cmd”，在打开的命令窗口中输入“netstat –an”(有空隔)，回车后就会在窗口内显示了当前系统所打开的端口及连接情况.
在没有任何网络行为的情况下，所有端口的状态应该是“LISTENING”，如果你发现有大量的端口处于“ESTABLISHED”状态，那么你最好用杀毒软件或其他安全工具检查一下系统。 
 
实战4:巧用“资源监视器”找出硬盘狂闪的罪魁祸首(Windows Vista/7) 
相信所有的人在使用系统的过程中，都碰到过硬盘狂闪但又不知道谁在作怪的事情，是杀毒软件、QQ，还是攻击者在读写你的硬盘呢？实际上，在Windows Vista和Windows 7系统中有一个“资源监测器”的工具，利用它就可以轻松找出硬盘狂闪的根源。笔者以Windows 7的“资源监视器”为例。 
首先按下“Crtl+Shift+Esc”打开“资源管理器”，在“性能”页面下单击“资源监测器”，然后在弹出的“资源监测器”窗口中就可以查看CPU、内存、磁盘以及网络等硬件的资源使用情况了。如果你想知道哪个程序在疯狂地读写硬盘，那么就切换到“磁盘”页面看看各个进程的读取和写入的速度就知道了。 
通常，如果你没有操作电脑，那么除了“System”和杀毒软件进程外，其他程序是不会经常读写硬盘的，如果你发现有莫名其妙的进程在读写的硬盘，很可能就是病毒或木马。 　　 
小技巧:用资源监测器轻松找出入侵者的遗留文件 
如果在“资源监测器”的“硬盘”项目中有可疑的进程，你可以勾选该进程，在“硬盘活动”项下就可以看到该进程到底在读写哪些文件了。如果该进程是病毒或木马，你就可以轻松地找出它写入的文件并将其删除。 
 
(三)判断进程是否安全 
进程指的是程序在内存中的一次运行。当Windows系统启动后，就会有30～40个(XP稍微少一些，而Vista和Win7则多一些)的进程在内存中运行着，而这些进程可能包括系统服务、应用程序、恶意程序以及木马控制程序等。 
实战1:用好系统管理进程的利器 
察看系统正在运行的进程的方法有很多，使用Windows自带的“任务管理器”是最简单也是最方便的:同时按下“Ctrl＋Shift＋Esc”就可以打开“任务管理器”了。点击“进程”标签即可察看到正在运行的进程列表了。 
 
一般情况下，进程是否有问题有两个基本原则:一是仔细检查进程的文件名;二是检查其路径。由于系统启动后，常见的进程是相对固定的，有问题的进程很多时候会伪装成系统进程(命名上与系统进程一样或者相似)，这时通过文件路径来判断。 
 
网络大补贴: 
很多时候，判断进程是否有问题主要是靠经验，经验较少的朋友可以借助搜索引擎或者相关的知识库来判断，比如: 
进程知识库:http://file.52hardware.com 
系统进程信息库:http://www.dllexe.com 
 
实战2:找个管理进程的好帮手 
系统内置的“任务管理器”功能相对比较简单，有时候它可能发现不了一些刻意隐藏了的进程，因此我们可以使用一些专业的进程管理工具，例如Process Explorer(下载地址为http://www.onlinedown.net/soft/31805.htm#)。 
Process Explorer可以将系统的进程分为系统进程和一般进程两个大类来管理，并且以不同的颜色进行区分。其中，而svchost.exe、winlogon.exe、spoolsv.exe等都属于系统进程，以“SYSTEM”、“LOCANL SERVIVE”以及“NETWORK SERVICE”等权限更高的用户来运行;“explorer.exe”下属的进程属于一般进程，以当前登录的用户名来运行，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒或木马冒充的。 
 
小提示: 
在默认状态下，Process Explorer并不显示进程的用户名，在软件界面中依次选择“查看→选择列”，在打开的对话框中勾选“用户名”，即可显示进程所属的用户名了。 
实战3:给进程和DLL文件来一个“安全认证” 
由于可以通过进程来判断系统是否存在安全问题，因此有些杀毒软件特别针对此设计了“安全认证”功能，如果真在运行的进程有问题，软件会将其标示出来，甚至可以帮你将可疑的进程找出来。笔者以“金山毒霸2009”为例。 
首先，打开“金山毒霸2009”主窗口，在“安全百宝箱”页面中单击“进程管理器”工具(或者在系统任务栏上右键，选择“金山毒霸进程管理器”)。进入“进程管理器”界面，它可以像系统的“任务管理器”一样查看当前系统进程的信息。 
但与系统自带的管理器相比，“进程管理器”对所有的进程进行了“可信认证”，用户可以很方便简单地发现是否有可疑的进程存在。如果发现有问题的进程，单击“找出存在风险的进程”按钮，“进程管理器”就会帮你将可疑的进程找出来，勾选该进程后单击“结束进程”即可。 
另外，进程通常都不是孤立的，会加载许多DLL文件，如果你想看看有没有可疑的DLL文件，勾选“显示加载到进程中的DLL”，如果可疑则在其上右键，在弹出菜单中选择“定位文件”即可找到该DLL文件，然后将其删除即可。 
NO3 不被入侵的秘密之防范篇 

　攻击者要登录远程的“肉鸡”电脑必须知道三个参数:远程电脑的IP、用户名和密码。因此，攻击者会想方设法地取得目标电脑的控制权，通常采取的手段有两种:一是让目标感染病毒或木马，二是端口或漏洞扫描。 
　　相对而言，第一种手段比较简单，但攻击者比较被动;后一种手段则是主动出击。也就是说，电脑没有感染病毒，也可能成为“肉鸡”。因此，如果你不想让你的电脑变成别人的“肉鸡”，那么请记住以下几个要点: 
 
要点1:安装杀毒软件，随时检查其是否正常工作，并及时更新病毒库。 
不管是植入木马还是让目标感染病毒，这些是入侵者最为常用的入侵手段，因此杀毒软件必不可少的，也是最基本的防护要求。当然，杀毒软件并不是万能的，但是它可以降低成为“肉鸡”的风险。 
事实上，入侵者是非常痛恨杀毒软件的，许多木马或病毒入侵成功后，首先会去破坏杀毒软件，因此你还得随时检查杀毒软件是否正常工作，能不能正常升级等。另外，病毒和木马是会随时更新换代的，及时更新病毒库也非常重要的。 
要点提示: 
杀毒软件有很多中选择，国内的比如金山毒霸和瑞星，国外的比如诺顿、卡巴斯基、McAfee等。但不管哪一款杀毒软件都不是万能的，都存在优点和缺点。如何选择杀毒软件，要根据自己的喜好，只要你觉得好用方便就是好软件。 
 
要点2:安装网络防火墙，并确保其正常工作。 
对于互联网用户来说，网络防火墙是隔离你和外界的一道关口，正确启用和配置防火墙，将会使你减少很多直接面对攻击的机会。在你的系统存在未修补的漏洞时，网络防火墙可能是你的电脑安全的唯一保护软件。 
这里需要提醒的是，由于Windows自带的防火墙功能相对单一，在没有进行相关设置之前，它只能拦截由外到内(即由互联网到本机)的通讯，并不能很好地阻止由内向外的访问，大部分木马或控制软件都可以轻易地逃避Windows自带防火墙的监控，因此安装一款第三方防火墙是非常有必要的。 
 
要点提示: 
实际上，这里所指的都是软件防火墙，而不是硬件防火墙。软件防火墙有很多种，要根据网络环境的不同选择不同的产品。不过不管怎样，笔者不建议使用功能过于单一的产品，要尽量选择一些功能完善的防火墙。 
所谓功能完善，指的是除了具备对外网和局域网的访问行为的监控能力外，可以对一些危险系统行为进行监控，比如修改系统设置、修改或删除系统文件、修改注册表等。另外，许多第三方的防火墙都会自动关闭无用端口，这样可以防止别人扫描。 
 
实战1:斩断局域网无故断网的黑手 
目前，带有ARP欺骗功能的木马或病毒很多，如果局域网中某台电脑中了这种病毒，只要该电脑开机就会向网关发出大量的数据包，从而导致局域网通讯堵塞而断网。对于这种欺骗攻击，普通的防火墙是没有办法监控的，这时候需要专门的ARP防火墙对网关进行保护。 
具有APR防火墙的安全软件有很多，比如金山毒霸ARP防火墙、360安全卫士等。笔者以360安全卫士为例(下载地址:http://down.360safe.com/setup.exe)，对网关进行防欺骗保护可以这样设置: 
打开360安全卫士的主界面，点击“实时保护”，在打开的页面中将“实时保护”标签下的“ARP防火墙”设置为“开启”。重启系统后，360安全卫士的“ARP防火墙”功能就可以运行了。这时你打开“360实时保护”的“高级设置→ARP防火墙”选项页面，在“网关及DNS保护设置”中勾选“手动设置”，然后点击“添加保护网关IP/MAC”，在弹出的界面中点击“添加网关”，输入你所在的局域网的网关IP地址后，单击“自动获取”后，再单击“确定”就可以完成设置了。 
网络大补贴:关于ARP欺骗和ARP病毒的知识，可以参考: 
ARP百科:http://baike.baidu.com/view/32698.htm 
ARP病毒百科:http://baike.baidu.com/view/726493.htm 
 
实战2:用金山网镖关闭3389端口方便又简单 
因为3389端口属于Windows远程桌面功能的初始端口，是为了方便远程管理自己的计算机而设定的，只要3389端口开启，它就可以为任何有管理密码的人提供服务。由于这个端口属于系统服务，绝大部分攻击者都喜欢在“肉鸡”打开这一端口。为防止别人利用3389端口，我们应该用防火墙把它屏蔽掉。 
这里以“金山网镖2009为”例。打开金山网镖的主界面，依次选择“工具→综合设置”，在打开的窗口中切换到“高级”项，然后在右侧勾选“启用TCP/UPD端口过滤”后，单击“添加”，然后将3389端口的远程操作设置为禁止就可以了。主要注意的是，根据协议的不同，彻底禁止需要添加两条规则。
要点3:及时修补系统和软件漏洞，提升系统安全性。 
在Windows系统中，常被利用漏洞有两种:一是Windows系统漏洞，二是应用软件漏洞。由于应用软件漏洞的利用会受到较多的环境制约，风险通常较低;而Windows系统漏洞只要没有打上补丁，该漏洞就会一直存在，因此风险比较高。 
 
要点提示: 
一般情况下，漏洞在被正式公布之前，通常会被黑客利用很长时间，这就是通常说的0day攻击。因此，为了让系统能及时发现有新的Windows补丁，最好将系统“自动更新”功能打开。 
另外，虽然第三方应用软件漏洞的风险较低，但是一些常用工具软件，比如Flashplayer、Realplayer、Adobe Reader、Photoshop、WinRAR、QQ、MSN、千千静听等，也可能被攻击者利用，因此时常更新软件的版本也是非常有必要的。 
 
实战3:打补丁、软件更新，用360一网打尽 
有时候给系统打补丁或更新软件可能会存在一些障碍，特别是非正版系统用户，或者对软件更新关注不多的朋友。针对这些情况，现在已经有很多能将这些问题打包解决的软件了，非常简单方便，比如360安全卫士。 
在安装了360安全卫士的系统上打开软件的主界面，点击“修复系统漏洞”标签进入“360漏洞修复”页面，软件会自动扫描系统是否存在漏洞，如果存在它将根据重要的等级分类，选择你需要修复的漏洞之后，单击页面下方的“修复选中漏洞”按钮即可。与系统自动更新相比，用360安全卫士修复系统漏洞有两个好处，那就是下载速度会比较快，而且支持断点续传。 
另外，如果系统中常用的软件存在安全漏洞，“360漏洞修复”也可以扫描到，并且还集成了软件的升级功能。在“360安全卫士”的主界面中点击“装机必备”，在打开的“360软件管理”界面中切换到“软件升级”界面，选择你需要升级的软件，点击“升级”按钮，待下载完成后，点击下方的“安装”即可。
要点4:盗版系统存在风险，安装后要对其进行安全改造。 
对于如蕃茄花园、雨木林风、龙卷风、深度技术等第三方个人或论坛改造的Windows XP，通常都是采用无人值守的方式来安装，虽然安装步骤非常简单，但是系统会存在一个致命的缺陷——管理员口令是空的，并且自动登录。也就是说，任何人都可以尝试用空口令登录你的系统。 
 
要点提示: 
既然知道了问题的所在，应对的方法就很简单了。依次打开“控制面板→用户账户”，在弹出的窗口中选中“Administrator”，点选“创建密码”后输入你的密码即可。建议密码使用字母和其他特殊字符的组合，长度不低于8位。 
另外，如果你不希望攻击者知道的管理员账户，你还将“Administrator”改为其他账户，在开始菜单的“运行”中输入“lusrmgr.msc”打开“本地用户和组”，在右侧窗口的“Administrator”上右键，选择“重命名”并输入一个只有你自己才知道的账户。 

要点5:一定要小心使用移动存储设备 
现在，公众越来越频繁的使用移动存储设备(移动硬盘、U盘、数码存储卡)传递文件，于是移动存储设备就成为木马或病毒传播的重要通道，比如臭名昭著的“熊猫烧香”、“U盘寄生虫”和“磁碟机”等都是属于此类。 
 
要点提示: 
由于Windows系统在默认状态下会自动运行移动存储设备，只要插入有毒此类设备，病毒就可以感染该电脑上。对于这种被攻击的行为，最简单的做法是在插设备时后按住Shift键不松即可。不过，最好就是禁用系统的自动播放功能。以Vista系统为例，设置方法为: 
依次点击“开始→运行”，输入“gpedit.msc”打开组策略编辑器，依次定位到“计算机配置→管理模板→Windows组建→自动播放策略”，在右侧窗口中双击“关闭自动播放”项目的属性并将其设置为“已启用”，并将下方的关闭对象设置为“所有驱动器”，确认设置并退出组策略编辑器，重启系统后就自动播放功能就关闭了。 

另外，你还可以下载一个专门的U盘病毒免疫器(下载地址http://www.onlinedown.net/soft/74892.htm)，彻底将U盘病毒拒之门外。 
 
要点6:网页挂马很流行，浏览器要做好防护！ 
浏览不安全的网站成为“肉鸡”很重要的原因之一。区分什么网站安全，什么网站不安全，这对普通用户来说，是很困难的。事实上，任何一个缺少安全管理的网站都可能被黑客入侵后植入木马或病毒。因此只要浏览网页，谁都无法避免网页没有木马或者病毒，我们能做的只有尽可能地降低这种风险。 
 
要点提示: 
降低浏览网页的风险有很多方法，比如安装并启用可以监控网页木马的杀毒软件(几乎所有的杀毒软件都具备此功能)，尽可能使用具有拦截功能的第三方浏览器(比如遨游、GreenBrowser、世界之窗等)，而且尽量避免浏览一些灰色站点，比如色情类网站、赌博类网站等。