電腦不被入侵的秘密

　(一)何謂“肉雞”電腦？
所謂“肉雞”電腦，簡單地說就是被別人遠端控制的電腦。當你的電腦被別人控制之後，就好像成了別人砧板上的肉，別人想怎麼吃就怎麼吃，肉雞(機)一名由此而來。
一般來說，只要是中了木馬，或者存在系統漏洞以及後門的，被攻擊者利用並可以遠程操控的電腦都屬於“肉雞”。
 
(二)“肉雞”電腦有什麼“商業價值”？
1盜竊“肉雞”電腦的虛擬財產，比如網路遊戲ID裝備、QQ幣等。
2盜竊“肉雞”電腦裡的真實財產，比如網上銀行，一旦你的網銀帳號被盜，就可能為別人的消費買單。
3盜竊他人的隱私資料。陳冠希的“豔照門”事件，相信大家都知道，如果身份證、隱秘照片、個人檔案被人發布在網上，或者偽裝成你的身份進行各種不法活動，後果很嚴重。
4偷到受害人電腦上的商業資訊，比如財務報表、人事檔案和客戶檔案等，攻擊者可以利用這些資訊謀取非法利益。
5在“肉雞”電腦上種植流氓軟體，自動點擊廣告獲利。攻擊者在控制大量肉雞之後，可以通過強行彈出廣告，從廣告主那裡收穫廣告費，這也是流氓軟體泛濫的原因之一。
6以“肉雞”電腦為跳板(Proxy 伺服器)，對其他電腦發起攻擊。駭客的任何攻擊行為都可能留下痕迹，為了更好地隱藏自己，必然要經過多次代理的跳轉，肉雞電腦充當了中介和替罪羊。
7控制著大批“肉雞”電腦的攻擊者，他們會為了某個目的，對目標主機進行DDoS攻擊從而擷取利益，而“肉雞”電腦是發起DDoS攻擊的馬前卒。
此外，在攻擊者的圈子裡，“肉雞”電腦可以像白菜一樣被買賣。在黑色產業鏈的高端，那些龐大的“肉雞”電腦群的控者還可以構築一個木馬帝國，進行各種牟利活動。總之，“肉雞”電腦是攻擊者致富的源泉。

小知識:何謂DDoS
DDoS被稱為分散式阻斷服務。如果你手裡有許多完全歸你控制的“肉雞”電腦，它們的頻寬加起來就是你的流量，你用這些流量去訪問你想要吃掉的目標電腦，只要你的流量大於它，別人就無法訪問這台電腦，就相當於你把它幹掉，這就叫DDoS。

NO2 不被入侵的秘密之驗“雞”篇
 

實戰:7個不正常系統現象要當心
現象1:有時會突然發現你的滑鼠不聽使喚，在你不動滑鼠的時候，滑鼠也會移動，並且還會點擊有關按鈕進行操作。這種滑鼠的移動軌跡和效能與光電滑鼠自動漂移明顯不同。
現象2:電腦運行過程中或者開機的時候，彈出莫名其妙的對話方塊或者IE視窗，但很快就自動關閉了。
現象3:QQ、MSN的登入或資訊異常。你在登入QQ時，系統提示上一次登入的IP和你完全不相干，比如你家明明在北京，但是QQ卻提醒你上一次登入地點在廣州(見圖1)。當你登入MSN時，可能有朋友給你發訊息，問你剛發了什麼，你卻很清楚自己從未給這個朋友發過什麼訊息。

現象4:登入網路遊戲後，發現裝備丟失或者上次下線時的位置不符，甚至用正確的密碼無法登入。很顯然，你沒有登入這個遊戲的時候，別人替你登入過。
現象5:正常上網時，突然感覺很慢，硬碟燈在閃爍，就好像在不停地COPY檔案一樣。這種情況很可能是攻擊者在嘗試COPY你的檔案，在大量COPY檔案時，磁碟的讀寫明顯會增加，系統也會變慢。此時，你應該毫不猶豫地拔掉網線，立即檢查你的系統進程是否異常。
現象6:當你準備使用網路攝影機時，系統提示該裝置正在使用中，這說明攻擊者正在盜用你的網路攝影機。由於網路攝影機開始工作時系統是不會提示的，而且工作狀態是不可見的，所以當你不用網路攝影機時，建議把鏡頭給蓋上(膝上型電腦螢幕內建的)或者直接拔下來(USB外置的)，攻擊者就無機可乘了。
現象7:在你沒有使用任何網路資源時，你發現網卡燈在不停地閃爍。當你在“網路連接”中雙擊“本地串連”查看其狀態時，你會發現視窗中的“小電腦”在不停地閃，而且“已發送”的資料量增加很快。
 

(二)找幾個驗“雞”的好幫手
通過一些表面的現象判斷是否被入侵，可能不是十分準確，但是實際上，不管攻擊者以何種方式來控制“肉雞”電腦，該電腦肯定是要與外界發生聯絡，通過某些連接埠給向外面發送資料，因此我們可以藉助一些常用的軟體來觀察網路活動情況。

實戰1:用防火牆揪出佔用流量的黑手
通常，網路防火牆(比如天網、金山網鏢、C.O.M.O.D.O等)都會有網路檢測的功能，我們可以通過這些軟體來查看網路流量和可疑的網路連接來確認“肉雞”。筆者以“金山網鏢”為例。
首先在安裝有“金山網鏢”系統上，雙擊系統托盤區中的軟體表徵圖，開啟程式主視窗。然後在“安全狀態”頁面下，檢查“當前網路活動狀態”中的程式有沒有陌生的程式，接著觀察一下當前網路流量情況，如果“發送流量”增加很快，那麼你就要小心了(見圖2)。最後切換到“網路狀態”頁面，仔細查看相關串連，如果發現自己根本沒有使用的軟體在串連到遠端電腦，那麼你的電腦很可能就是中標了

小提示:
金山網鏢通常包含在金山毒霸套裝中，為http://www.duba.net/download/index.shtml。

實戰2:誰開的後門？用TCPView一看就明！
通常情況下，遠程入侵者會預先在“肉雞”電腦上開啟一些特定的連接埠，而這些連接埠則隨時等待控制端串連或是主動串連到遠程伺服器。當然，只要我們把這些連接埠關閉，就可以拒絕入侵者的控制了，怎樣才能查看PC當前開啟的連接埠呢？
TCPView是一個查看連接埠和線程的小工具(為http://www.newhua.com/soft/16626.htm)，它可以詳細地列出系統開啟的連接埠。在TCPView介面的列表中，一個表徵圖就對應一個已經開啟的連接埠，而且詳細地顯示本地和遠端串連情況。如果某個連接埠發生資料交換，TCPView會以醒目的顏色來提示。有些開啟連接埠的程式名稱可能會與系統內的程式名稱一樣，但是不是系統的程式，雙擊你認為可疑的連接埠開啟其屬性，看一下佔用了該連接埠的程式的“路徑”是不是有問題。如果有問題，點擊“結束進程”幹掉它
 
小提示: 
★netstat命令只有在安裝了TCP/IP協議後才可以使用; 
★“狀態”下對應的“LISTENING”表示連接埠是開放的，等待串連但還沒有被串連的;而“ESTABLISHED”表示已建立串連的連接埠;“TIME_WAIT”表示該連接埠曾經被訪問過，但訪問結束了。 
 
小知識:何謂連接埠？ 
所謂連接埠“PORT”，即電腦與外界通訊交流的出入口，如果把電腦在互連網上的IP地址比作門牌號，那麼連接埠就相當於房門，家人通過這些門和外界溝通、聯絡。在網路中，根據TCP／IP協議規定，電腦可以有256×256(65536)個連接埠，每一個連接埠就好像一扇門，PC就是通過這些特定的“門”來和外界交流。
實戰3:藉助系統內建DOS命令查看開放的連接埠(Windows 2000/XP/Vista/7) 
在Windows系統中內建了一個“netstat”命令，它可以顯示當前的TCP/IP網路連接。在“運行”中輸入“cmd”，在開啟的命令視窗中輸入“netstat –an”(有空隔)，斷行符號後就會在視窗內顯示了當前系統所開啟的連接埠及串連情況.
在沒有任何網路行為的情況下，所有連接埠的狀態應該是“LISTENING”，如果你發現有大量的連接埠處於“ESTABLISHED”狀態，那麼你最好用殺毒軟體或其他安全工具檢查一下系統。 
 
實戰4:巧用“資源監視器”找出硬碟狂閃的罪魁禍首(Windows Vista/7) 
相信所有的人在使用系統的過程中，都碰到過硬碟狂閃但又不知道誰在作怪的事情，是殺毒軟體、QQ，還是攻擊者在讀寫你的硬碟呢？實際上，在Windows Vista和Windows 7系統中有一個“資源監測器”的工具，利用它就可以輕鬆找出硬碟狂閃的根源。筆者以Windows 7的“資源監視器”為例。 
首先按下“Crtl+Shift+Esc”開啟“資源管理員”，在“效能”頁面下單擊“資源監測器”，然後在彈出的“資源監測器”視窗中就可以查看CPU、記憶體、磁碟以及網路等硬體的資源使用方式了。如果你想知道哪個程式在瘋狂地讀寫硬碟，那麼就切換到“磁碟”頁面看看各個進程的讀取和寫入的速度就知道了。 
通常，如果你沒有操作電腦，那麼除了“System”和殺毒軟體進程外，其他程式是不會經常讀寫硬碟的，如果你發現有莫名其妙的進程在讀寫的硬碟，很可能就是病毒或木馬。 　　 
小技巧:用資源監測器輕鬆找出入侵者的遺留檔案 
如果在“資源監測器”的“硬碟”項目中有可疑的進程，你可以勾選該進程，在“硬碟活動”項下就可以看到該進程到底在讀寫哪些檔案了。如果該進程是病毒或木馬，你就可以輕鬆地找出它寫入的檔案並將其刪除。 
 
(三)判斷進程是否安全 
進程指的是程式在記憶體中的一次運行。當Windows系統啟動後，就會有30～40個(XP稍微少一些，而Vista和Win7則多一些)的進程在記憶體中運行著，而這些進程可能包括系統服務、應用程式、惡意程式以及木馬控製程序等。 
實戰1:用好系統管理進程的利器 
察看系統正在啟動並執行進程的方法有很多，使用Windows內建的“工作管理員”是最簡單也是最方便的:同步選取“Ctrl＋Shift＋Esc”就可以開啟“工作管理員”了。點擊“進程”標籤即可察看到正在啟動並執行進程列表了。 
 
一般情況下，進程是否有問題有兩個基本原則:一是仔細檢查進程的檔案名稱;二是檢查其路徑。由於系統啟動後，常見的進程是相對固定的，有問題的進程很多時候會偽裝成系統進程(命名上與系統進程一樣或者相似)，這時通過檔案路徑來判斷。 
 
網路大補貼: 
很多時候，判斷進程是否有問題主要是靠經驗，經驗較少的朋友可以藉助搜尋引擎或者相關的知識庫來判斷，比如: 
進程知識庫:http://file.52hardware.com 
系統進程資訊庫:http://www.dllexe.com 
 
實戰2:找個管理進程的好幫手 
系統內建的“工作管理員”功能相對比較簡單，有時候它可能發現不了一些刻意隱藏了的進程，因此我們可以使用一些專業的進程管理工具，例如Process Explorer(為http://www.onlinedown.net/soft/31805.htm#)。 
Process Explorer可以將系統的進程分為系統進程和一般進程兩個大類來管理，並且以不同的顏色進行區分。其中，而svchost.exe、winlogon.exe、spoolsv.exe等都屬於系統進程，以“SYSTEM”、“LOCANL SERVIVE”以及“NETWORK SERVICE”等許可權更高的使用者來運行;“explorer.exe”下屬的進程屬於一般進程，以當前登入的使用者名稱來運行，如果你在“explorer.exe”中發現了svchost.exe，那麼不用說，肯定是病毒或木馬冒充的。 
 
小提示: 
在預設狀態下，Process Explorer並不顯示進程的使用者名稱，在軟體介面中依次選擇“查看→選擇列”，在開啟的對話方塊中勾選“使用者名稱”，即可顯示進程所屬的使用者名稱了。 
實戰3:給進程和DLL檔案來一個“安全認證” 
由於可以通過進程來判斷系統是否存在安全問題，因此有些殺毒軟體特別針對此設計了“安全認證”功能，如果真在啟動並執行進程有問題，軟體會將其標示出來，甚至可以幫你將可疑的進程找出來。筆者以“金山毒霸2009”為例。 
首先，開啟“金山毒霸2009”主視窗，在“安全百寶箱”頁面中單擊“進程管理器”工具(或者在系統工作列上右鍵，選擇“金山毒霸進程管理器”)。進入“進程管理器”介面，它可以像系統的“工作管理員”一樣查看當前系統進程的資訊。 
但與系統內建的管理器相比，“進程管理器”對所有的進程進行了“可信認證”，使用者可以很方便簡單地發現是否有可疑的進程存在。如果發現有問題的進程，單擊“找出存在風險的進程”按鈕，“進程管理器”就會幫你將可疑的進程找出來，勾選該進程後單擊“結束進程”即可。 
另外，進程通常都不是孤立的，會載入許多DLL檔案，如果你想看看有沒有可疑的DLL檔案，勾選“顯示載入到進程中的DLL”，如果可疑則在其上右鍵，在快顯功能表中選擇“定位檔案”即可找到該DLL檔案，然後將其刪除即可。 
NO3 不被入侵的秘密之防範篇 

　攻擊者要登入遠端“肉雞”電腦必須知道三個參數:遠程電腦的IP、使用者名稱和密碼。因此，攻擊者會想方設法地取得目標電腦的控制權，通常採取的手段有兩種:一是讓目標感染病毒或木馬，二是連接埠或漏洞掃描。 
　　相對而言，第一種手段比較簡單，但攻擊者比較被動;後一種手段則是主動出擊。也就是說，電腦沒有感染病毒，也可能成為“肉雞”。因此，如果你不想讓你的電腦變成別人的“肉雞”，那麼請記住以下幾個要點: 
 
要點1:安裝殺毒軟體，隨時檢查其是否正常工作，並及時更新病毒庫。 
不管是植入木馬還是讓目標感染病毒，這些是入侵者最為常用的入侵手段，因此殺毒軟體必不可少的，也是最基本的防護要求。當然，殺毒軟體並不是萬能的，但是它可以降低成為“肉雞”的風險。 
事實上，入侵者是非常痛恨殺毒軟體的，許多木馬或破壞入侵成功後，首先會去破壞殺毒軟體，因此你還得隨時檢查殺毒軟體是否正常工作，能不能正常升級等。另外，病毒和木馬是會隨時更新換代的，及時更新病毒庫也非常重要的。 
要點提示: 
殺毒軟體有很多中選擇，國內的比如金山毒霸和瑞星，國外的比如諾頓、卡巴斯基、McAfee等。但不管哪一款殺毒軟體都不是萬能的，都存在優點和缺點。如何選擇殺毒軟體，要根據自己的喜好，只要你覺得好用方便就是好軟體。 
 
要點2:安裝網路防火牆，並確保其正常工作。 
對於互連網使用者來說，網路防火牆是隔離你和外界的一道關口，正確啟用和配置防火牆，將會使你減少很多直接面對攻擊的機會。在你的系統存在未修補的漏洞時，網路防火牆可能是你的電腦安全的唯一保護軟體。 
這裡需要提醒的是，由於Windows內建的防火牆功能相對單一，在沒有進行相關設定之前，它只能攔截由外到內(即由互連網到本機)的通訊，並不能很好地阻止由內向外的訪問，大部分木馬或控制軟體都可以輕易地逃避Windows內建防火牆的監控，因此安裝一款第三方防火牆是非常有必要的。 
 
要點提示: 
實際上，這裡所指的都是軟體防火牆，而不是硬體防火牆。軟體防火牆有很多種，要根據網路環境的不同選擇不同的產品。不過不管怎樣，筆者不建議使用功能過於單一的產品，要盡量選擇一些功能完善的防火牆。 
所謂功能完善，指的是除了具備對外網和區域網路的訪問行為的監控能力外，可以對一些危險系統行為進行監控，比如修改系統設定、修改或刪除系統檔案、修改註冊表等。另外，許多第三方的防火牆都會自動關閉無用連接埠，這樣可以防止別人掃描。 
 
實戰1:斬斷區域網路無故斷網的黑手 
目前，帶有ARP欺騙功能的木馬或病毒很多，如果區域網路中某台電腦中了這種病毒，只要該電腦開機就會向網關發出大量的資料包，從而導致區域網路通訊堵塞而斷網。對於這種欺騙攻擊，普通的防火牆是沒有辦法監控的，這時候需要專門的ARP防火牆對網關進行保護。 
具有APR防火牆的安全軟體有很多，比如金山毒霸ARP防火牆、360安全衛士等。筆者以360安全衛士為例(:http://down.360safe.com/setup.exe)，對網關進行防欺騙保護可以這樣設定: 
開啟360安全衛士的主介面，點擊“即時保護”，在開啟的頁面中將“即時保護”標籤下的“ARP防火牆”設定為“開啟”。重啟系統後，360安全衛士的“ARP防火牆”功能就可以運行了。這時你開啟“360即時保護”的“進階設定→ARP防火牆”選項頁面，在“網關及DNS保護設定”中勾選“手動設定”，然後點擊“添加保護網關IP/MAC”，在彈出的介面中點擊“添加網關”，輸入你所在的區域網路的網關IP地址後，單擊“自動擷取”後，再單擊“確定”就可以完成設定了。 
網路大補貼:關於ARP欺騙和ARP病毒的知識，可以參考: 
ARP百科:http://baike.baidu.com/view/32698.htm 
ARP病毒百科:http://baike.baidu.com/view/726493.htm 
 
實戰2:用金山網鏢關閉3389連接埠方便又簡單 
因為3389連接埠屬於Windows遠端桌面功能的初始連接埠，是為了方便遠端管理自己的電腦而設定的，只要3389連接埠開啟，它就可以為任何有管理密碼的人提供服務。由於這個連接埠屬於系統服務，絕大部分攻擊者都喜歡在“肉雞”開啟這一連接埠。為防止別人利用3389連接埠，我們應該用防火牆把它屏蔽掉。 
這裡以“金山網鏢2009為”例。開啟金山網鏢的主介面，依次選擇“工具→綜合設定”，在開啟的視窗中切換到“進階”項，然後在右側勾選“啟用TCP/UPD連接埠過濾”後，單擊“添加”，然後將3389連接埠的遠程操作設定為禁止就可以了。主要注意的是，根據協議的不同，徹底禁止需要添加兩條規則。
要點3:及時修補系統和軟體漏洞，提升系統安全性。 
在Windows系統中，常被利用漏洞有兩種:一是Windows系統漏洞，二是應用軟體漏洞。由於應用軟體漏洞的利用會受到較多的環境制約，風險通常較低;而Windows系統漏洞只要沒有打上補丁，該漏洞就會一直存在，因此風險比較高。 
 
要點提示: 
一般情況下，漏洞在被正式公布之前，通常會被駭客利用很長時間，這就是通常說的0day攻擊。因此，為了讓系統能及時發現有新的Windows補丁，最好將系統“自動更新”功能開啟。 
另外，雖然第三方應用軟體漏洞的風險較低，但是一些常用工具軟體，比如Flashplayer、Realplayer、Adobe Reader、Photoshop、WinRAR、QQ、MSN、千千靜聽等，也可能被攻擊者利用，因此時常更新軟體的版本也是非常有必要的。 
 
實戰3:打補丁、軟體更新，用360一網打盡 
有時候給系統打補丁或更新軟體可能會存在一些障礙，特別是非正版系統使用者，或者對軟體更新關注不多的朋友。針對這些情況，現在已經有很多能將這些問題打包解決的軟體了，非常簡單方便，比如360安全衛士。 
在安裝了360安全衛士的系統上開啟軟體的主介面，點擊“修複系統漏洞”標籤進入“360漏洞修複”頁面，軟體會自動掃描系統是否存在漏洞，如果存在它將根據重要的等級分類，選擇你需要修複的漏洞之後，單擊頁面下方的“修複選中漏洞”按鈕即可。與系統自動更新相比，用360安全衛士修複系統漏洞有兩個好處，那就是下載速度會比較快，而且支援斷點續傳。 
另外，如果系統中常用的軟體存在安全性漏洞，“360漏洞修複”也可以掃描到，並且還整合了軟體的升級功能。在“360安全衛士”的主介面中點擊“裝機必備”，在開啟的“360軟體管理”介面中切換到“軟體升級”介面，選擇你需要升級的軟體，點擊“升級”按鈕，待下載完成後，點擊下方的“安裝”即可。
要點4:盜版系統存在風險，安裝後要對其進行安全改造。 
對於如蕃茄花園、雨木林風、龍捲風、深度技術等第三方個人或論壇改造的Windows XP，通常都是採用無人值守的方式來安裝，雖然安裝步驟非常簡單，但是系統會存在一個致命的缺陷——管理員口令是空的，並且自動登入。也就是說，任何人都可以嘗試用空口令登入你的系統。 
 
要點提示: 
既然知道了問題的所在，應對的方法就很簡單了。依次開啟“控制台→使用者賬戶”，在彈出的視窗中選中“Administrator”，點選“建立密碼”後輸入你的密碼即可。建議密碼使用字母和其他特殊字元的組合，長度不低於8位。 
另外，如果你不希望攻擊者知道的管理員賬戶，你還將“Administrator”改為其他賬戶，在開始菜單的“運行”中輸入“lusrmgr.msc”開啟“本機使用者和組”，在右側視窗的“Administrator”上右鍵，選擇“重新命名”並輸入一個只有你自己才知道的賬戶。 

要點5:一定要小心使用移動存放裝置 
現在，公眾越來越頻繁的使用移動存放裝置(移動硬碟、隨身碟、數位儲存卡)傳遞檔案，於是移動存放裝置就成為木馬或病毒傳播的重要通道，比如臭名昭著的“熊貓燒香”、“隨身碟寄生蟲”和“磁碟機”等都是屬於此類。 
 
要點提示: 
由於Windows系統在預設狀態下會自動運行移動存放裝置，只要插入有毒此類裝置，病毒就可以感染該電腦上。對於這種被攻擊的行為，最簡單的做法是在插裝置時後按住Shift鍵不松即可。不過，最好就是禁用系統的自動播放功能。以Vista系統為例，設定方法為: 
依次點擊“開始→運行”，輸入“gpedit.msc”開啟組策略編輯器，依次定位到“電腦配置→系統管理範本→Windows組建→自動播放策略”，在右側視窗中雙擊“關閉自動播放”項目的屬性並將其設定為“已啟用”，並將下方的關閉對象設定為“所有磁碟機”，確認設定並退出組策略編輯器，重啟系統後就自動播放功能就關閉了。 

另外，你還可以下載一個專門的隨身碟病毒免疫器(http://www.onlinedown.net/soft/74892.htm)，徹底將隨身碟病毒拒之門外。 
 
要點6:網頁掛馬很流行，瀏覽器要做好防護！ 
瀏覽不安全的網站成為“肉雞”很重要的原因之一。區分什麼網站安全，什麼網站不安全，這對普通使用者來說，是很困難的。事實上，任何一個缺少安全管理的網站都可能被駭客入侵後植入木馬或病毒。因此只要瀏覽網頁，誰都無法避免網頁沒有木馬或者病毒，我們能做的只有儘可能地降低這種風險。 
 
要點提示: 
降低瀏覽網頁的風險有很多方法，比如安裝並啟用可以監控網頁木馬的殺毒軟體(幾乎所有的殺毒軟體都具備此功能)，儘可能使用具有攔截功能的第三方瀏覽器(比如遨遊、GreenBrowser、世界之窗等)，而且盡量避免瀏覽一些灰色網站，比如色情類網站、賭博類網站等。