间谍、欺骗,何人斯的医书
网络通信
网页木马显然已经成为众多网友的心头大患,特别是在鹿采薇用网页木马黑掉雪柔之后。网页木马那种无法辨认真假、神不知鬼不觉的植入方式的确令很多人不敢轻易打开陌生的网页。但现在有很多可恶的网站竟然利用各种脚本编写小间谍程序收集你的Cook和上网信息。如何对付网页木马?如何隐藏自己的机密文件?如何防止被黑客的伪装SMTP邮件戏弄?何人斯在此为你一一破解……
症结:被植入间谍软件
症状
(1)操作系统的运行速度变得非常的缓慢,在任务管理器中发现陌生的程序进程占用资源非常高。
(2)杀毒软件或防火墙停止了工作,并在你再一次开启它时提示:由于缺少了重要的文件,不能正常启动。即使重新安装了软件仍无法使问题得以彻底解决。
(3)默认主页地址被更改,或者有莫名其妙的广告弹出。
(4)没有进行任何的设置,但“猫”的指示灯却不停闪烁。
医治方法
出现上述症状的主要根源是各种间谍软件。这些间谍软件进驻电脑的方式可谓花样百出,有些通过Java程序读取你的缓存,有些改写你的注册表,有些通过IE下载控件强行植入程序。对付这些种类繁多的间谍软件需要专门的反间谍软件。我最推崇两款反间谍软件,一款是Spy Sweeper,一款是Spybot-Search & Destroy。
Spybot-Search & Destroy的使用比较简单,而且它还是一款免费软件,汉化后的界面对于初次闯荡网络的新手来说非常适用。我想,在给雪柔的计算机装上这款软件之后,虽然不能防范所有的木马,但是对付那些网页木马应该绰绰有余了。Spybot-Search & Destroy的安装非常简单,安装后进入软件界面,将英文转换成中文,更新一下它的文件库,随后点击“检查问题”。现在,你就可耐心等待Spybot-Search & Destroyg的“检查结果”了。
我行医多年来,还没有见过哪一个人的电脑里是没有间谍程序的,只要你上网,就会或多或少地有一些危险的或不太危险的间谍软件植入到你的系统中,悄悄地盯着你。
在完成对木马的搜索后,针对那些找到的间谍程序,进行修复或删除操作即可,就这么简单。我个人建议大家在Spybot-Search & Destroy中点选免疫程序,这样你至少不会出现像雪柔那样被网页木马黑掉的现象。
Spy Sweeper的使用相对来说更加复杂、更加专业一些,在软件安装完成后,点击“Sweep Now”即可进行扫描,然后清除那些被扫描到的文件就可以了。
症结:3389端口开放
症状:服务器开放3389端口后被扫描攻击
医治方法
在留香客栈的服务器中,3389端口的开放是必需的,因为任何服务器的管理员如果想很好地管理自己的服务器,都需要开启这种方便的网络管理服务。不过3389端口一旦开启,必然会引来无数网贼,即便那些网贼破解不了密码,也很可能占用你的连接请求数,使你无法登录自己的服务器。在留香客栈被攻下的几个小时前,正是由于3389端口的请求连接数已经满负荷,才致使我无法连接上留香客栈。雪柔问我,难道就没有一种不使用3389端口的远程管理方式吗?这提醒了我,如果留香客栈早一步将自己的3389端口隐藏起来,使用PCAnywhere这样的远程管理工具或许能够躲过这次灭顶之灾。
关闭服务器中的3389端口的方法很简单。在Windows 2000或Windows 2003中,进入控制面板,然后选择“管理工具”中的“服务”,在弹出的服务列表中,选中“Terminal Services”,将该服务的启动类型改为“手动”(图1),然后停止这个服务就可关闭3389端口了,此时想安装什么远程协作软件全看你自己的意愿了。
在Windows XP中被黑客悄悄开启远程协作的现象也不是没有发生过。你可以右键点击“我的电脑”,进入“系统属性”窗口中的“远程”选项卡界面,取消对“远程桌面”和“远程协作”选择,再单击“确定”,即可关闭3389端口。
症结:文件夹隐藏无效
症状:藏有秘密的文件被人打开
医治方法
鹿采薇在听雨不在的时候很轻松地打开了听雨的文件夹,找到了那个Mail文件夹,这显然是我们不想看到的,特别是在一个公共场所。如何很好地隐藏重要的文件很有必要。
很多人都使用一种简单的办法来保护和隐藏自己的重要文件:选择“不显示隐藏的文件和文件夹”(图2),然后将重要的文件或文件夹的属性设为“系统或隐藏文件”,从而使文件在他人的眼皮底下消失了。这对江湖中的新手来说是非常有效的方法,但对于鹿采薇这样的黑客,这却是不堪一击的。只要选定“显示所有文件”,一切便全部展现在眼前了。
我隐藏文件夹的方法是直接在注册表上做文章,首先打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\Softwaer\Microsoft\Windows
\CurrentVersion\explorer\Advanced\Folder\Hidden\”。在这里有三个主键,分别是NOHIDDEN、NOHIDORSYS、SHOWALL。在SHOWALL下面有一个二进制键值CheckedValue,把它的键值修改为“0”(图3)。这样,即使选择“显示所有文件”,隐藏文件也不会被发现。
不过更加隐秘、更加简单的方法是在启动注册表编辑器后,打开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL”,为安全起见,先将该分支导出,然后删除SHOWALL分支。这下你再也找不到“显示所有文件和文件夹”选项了,他人想进行修改也无从下手了。
症结:SMTP伪装
症状:好友的邮箱被冒充
医治方法
鹿采薇使用SMTP欺骗的确是一个非常狡猾的手段,在江湖中,很多新手都被这种方法戏弄过。不过,这种方法并不是万能的,最简单的对策就是给自己的邮箱加上自动回复功能。当然,最好在收到一些提及某种要求的信件时,再一次跟好友确认一下。
如果无法做到上述两点,你只能通过分析邮件头的信息判断对方是否真正发信。在OE中,我们可以通过“详细信息”选项看到对方发信时的IP地址和发信时所用的SMTP服务器(图4),不过这对于鹿采薇那种采用同一个免费服务器上的SMTP发信的方式仍然是很难防范的。采用邮件加密的方法又需要双方都采用同样的签名认证,也不是很方便。因此,还是在必要的时候多问问朋友,进行一下确认比较好。
