漏洞、木马,何人斯的药方
网络通信
何人斯是江湖中的一名高手,他无门无派,但是他的手却能医治普天之下所有系统和电脑的遗难杂症,无论是黑客营还是留香客栈,如果遇到的了极其棘手的问题,请何人斯出手已经成为了江湖中默认的规矩。虽然何人斯收费不低,不过如此高明的医术,对于那些有重要文件和数据的人们来说,这算不了什么……
以下就是针对雪柔的机器问题,何人斯的诊治手记和手段,希望对大家如何防御木马有所帮助。
7月20日,留香客栈的雪柔电话告诉我,她的机器再三被黑,希望我能够解决,雪柔的忙还是要帮的,我随即奔赴留香客栈静女坊。
雪柔最早被黑我分析大概是由于系统本身漏洞原因所致,因为她在没有利用电脑接收任何东西的情况下就被黑掉了。而解释这一切的只有一个理由,那就是漏洞。加之雪柔告诉我,那时她正在追踪扫描一个攻击留香客栈的黑客,我更相信了我最初的判断。因为多数黑客本身就非常注重自己的安全防卫意识,多会安装防火墙,而防火墙现在自带入侵检测系统(IDS=instrusion detection system)也不是什么稀奇事情了。就拿天网和BlackICE来说,它们都能够准确地把正在扫描你系统的黑客IP得到,甚至能够知道他们扫描攻击的类型,雪柔的第一个错误看来就是漏洞……
症结:漏洞
症状:系统没有打全补丁,导致黑客扫描入侵
医治方法:
多数漏洞特别是溢出型漏洞,是在程序编写过程中,由于程序员自身的疏忽所造成的。因此一旦有人利用漏洞进行进攻,那么这种由内而外的进攻方式很可能造成严重的损失。针对漏洞这一项弱点,惟一最有效地方法还是修补漏洞打补丁。Windows操作系统的补丁升级方法可以大体分作两种,一种是通过Windows开始菜单中的Windows Update进行网络升级,这种方式最大的好处就是方便,当然致命的弱点就是你必须连接到网络中才能够进行Update升级。这样就有一个问题出现了,由于冲击波等网络病毒的肆虐,往往没有等到我打完补丁,系统就中了病毒。
在这方面我个人比较倾向于第二种方法。我会先将那些补丁包下载到硬盘上,保存到非系统磁盘的分区中,当然最好能够刻录成光盘。如果有了这些,当再一次出现了迫不得已需要重新做系统的情况时,我们就可以在无须连接网络的状态下,打完例如防止冲击波之类病毒漏洞的补丁,避免网络升级中那种想打补丁必须先中毒的尴尬局面。
雪柔在被黑客攻破后,黑客就掌握了留香客栈的密码,以至于灭了留香客栈,由此我推断,黑客很可能当时给雪柔种了木马。
症结:木马
症状:查杀不到、格式化C盘后仍然无法根除
医治方法:
处理木马问题首先是用杀毒软件查杀,(注意,病毒库最好是最新的)但根据杀毒软件没有查到任何病毒的显示,雪柔中的木马显然是被别人改动过,杀毒软件根本无法查杀到。如果有条件可以尝试用一些专门的杀木马软件来对付,例如木马克星之类。当然还有一个有效果的手工处理办法。不过仍然有部分木马还是没有办法查杀,这些木马大多数都被修改了病毒特征代码。而这个时候你可以用黑客营中提供的木马辅助查找工具进行寻找。
由于木马会在每次用户启动机器时自动装载服务端,Windows系统启动时自动加载应用程序,如:启动组、win.ini、system.ini、注册表等等,都是木马藏身的角落。在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载木马程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上木马了。
而在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是木马程序,就是说你已经中木马了。木马伪装在注册表中的情况最复杂,通过点击开始菜单,输入regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\M icrosoft\Windows\CurrentVersion \Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,通常木马的扩展名为EXE。这种情况下,利用木马辅助查找工具是一种非常好的选择。你需要特别注意“启动项管理”中的“文件关联管理”,因为多数木马会修改这里的文件关联,雪柔的这一项就显示了异常状况,说明中了木马。另外可以在注册表启动项中查看是否有木马,所有未知的,或者情况不明的程序都可以剔除。
在我诊治的电脑中,多数中木马之后都需要格式化,这不仅仅是因为木马本身顽固,更因为很多黑客已经将木马移植并合并到你其他的看似正常的程序中了。面对木马捆绑的棘手问题,我们可以选择一些优秀的杀毒软件先进行查杀。不过凭我行医多年的经验来看,很少有杀毒软件能够查杀到那些捆绑得非常完美的木马。曾有一位高手跟我提起,可以反汇编程序。不过面对机器里几十甚至几百个程序来说,我们不可能一个个地都去反汇编。还有人提醒我说先安装网络防火墙,就可以知道、预防并消灭这些木马。不过很多黑客将木马植入了你的网络程序中,甚至防火墙安装软件本身中木马的时候,这样做显然还是有一定风险的。
我认为最好的两种方法是对比和除根。对于备份软件少的人来说,我们可以去一些软件下载网站,看看上面提示的软件容量是多大,再对比硬盘中软件的容量,如果多出几十KB甚至几百KB的,那么肯定是被捆绑了木马。但是如果你的备份相当多,那么没有办法了,斩草除根全面格式化硬盘是最好的方法。
何人斯医嘱:
江湖中的新手很多认为安装了病毒防火墙就万事大吉了,其实则不然。病毒防火墙通常只能够诊治发现到的那些它已知的病毒,而对于那些它未知的,或者更改了特征码的病毒和木马来说,它形同虚设。因此最好的解决办法仍然是安装网络防火墙。此外,我本人从来不用Outlook这类软件收发邮件,Web方式收信对我来说更加安全,这样能够预防网贼们用Outlook的漏洞入侵。
网络如江湖,江湖自然多凶险,奸诈小人卑鄙之徒随处可见,因此随时保持警惕才是江湖中生存的惟一道理。我虽贵为江湖名医,但是医治并不是良方,因为当你决定请我医的时候,往往已经到了病入膏肓之时。而在生病之前的预防才是根本之道……(医书待续……)