宝水的72松博客

又转载了一个，无情的转载

原帖链接

http://www.happyguo.cn/web/elegant-and1.html

http://www.happyguo.cn/web/elegant-and2.html

http://www.happyguo.cn/web/elegant-and3.html

“裸奔”一年多了,开始的动机是内存小,开着杀毒软件的话用户体验(就是我的体验啦,XD)很不好,而且没钱买正版杀毒软件.后来渐渐喜欢上这种生活状态,无拘无束,没有那么多恼人的杀毒提示跳出来(杀毒软件常报错,或者大惊小怪).

宿舍的朋友都装了杀毒软件,可是有的还是老中毒(或者是中流氓软件).1G多的内存,开机时状态栏出一堆东西(当然,笔记本总是比台式机buff多的),等半天.我的虽然是256内存,但是开机速度快的多.看看我现在的状态栏 ,QQ企鹅左边那个是截图软件,右边的呢?这个卖个弯子,以后告诉你.

当然,做事情还是要理智,不能一下子就把杀毒软件给卸了,那只会给自己带来烦恼.还有,如果计算机里有非常重要的内容,不能承受中毒后打击的,要好好斟酌.另外,推荐看看这篇如何摆脱你的操作系统,在本地硬盘上保留的东西越少,你就能越坦然而舒适地”裸奔”.

意识

在网络上,无论你问谁,”裸奔”的要点是什么,他都会告诉你,首先要有好的意识.我无法保证你按照我的设置配置好之后就不会中毒,实际上,我的机器如果给朋友用,还是有可能中毒的.

要保持警惕的心理,网络很危险

Q友发来的链接不要随便点,要再三确认

很多朋友都喜欢所有账户一个密码,但是email密码相对来说是最重要的(因为别的帐户丢了要用email找回,而且还有信用卡绑定,个人信息等),要跟其余的所有密码都要不一样,强度要更大.

不要轻信中奖信息,要相信世界上没有免费的午餐.(免费软件/服务还是有的,但那不是免费的午餐,它们是有盈利方法的)

不要登录那些域名看起来就会引起人误会的链接,一个网站的良心常常是可以从域名看出来的.

不要点那些诱惑性flash(比如一个windows窗口样子的弹窗,里面写着冒充比尔盖茨说得话)

不要点看起来很漂亮的H图(大部分都是广告,点击之后进入一个充满了这类图的网站,很可能就隐藏了病毒或者流氓软件)

不要用IE6浏览器.这么说可能很不客观,因为没有强力证明Firefox或者其他浏览器就更加安全,但是据我的经验,IE确实更容易被利用漏洞,装上自己本不想装上的东西.

从官方网站下载软件,并且下载最新版

随时给系统打补丁.

安装软件的时候,不要一路下一步,看清楚,不要装了额外的东西.

安装程序到D盘,不要在C盘.最起码的.

就先写到这里吧,这几天更新会少,因为其中考试就来了,很多博友的更新速度也慢下来了,估计都是一个原因.大学就是这样,抱佛脚太普遍了,一到考试前夕,自习室都没座位.

在上一篇中,我们说到裸奔最重要的是防范病毒的意识.这一篇着重讲”权限”.虽然比不上ubuntu,windows还是提供了较好的权限设置.本文的方法需要修改分区和注册表的权限.所以执行以下操作时强烈建议您确定您的系统是干净无毒的,如果不能确定,或者您的系统已经比较臃肿了(表现为开机关机速度慢,常死机),我建议您备份好重要数据后,重新安装一遍系统.然后按照以下操作进行,这样安全系数大大增加.

以下System32文件集权限的设置和注册表权限设置是相互独立的.你可以只设置一个,也可以先注册表再System32文件夹的顺序修改.二者无影响或冲突.正常情况下修改权限是安全的,但是风险往往不可预测,执行以下操作之前请做好备份.而且权限有时候需要更改回来,建议您收藏本文,这样恢复的时候也好有所依据.

System32文件夹的权限

一般来说,病毒, 木马是不需要安装在特定文件夹的,但是它们都比较喜欢System32这个文件夹,因为我们检查系统可疑进程的时候常常会观察进程的名称和所在目录.System32是系统服务所在目录,病毒把自己放在系统目录下可以更好的伪装自己.

我们要做的就是,安装好必要的程序和驱动以后,禁止System32文件夹的写入权限,这样不仅是病毒,就算你手动也无法往System32目录里写入任何东西了.包括修改和新建,都不行.需要安装程序和驱动的时候,再手动把权限改回来.

这样可以说System32文件夹就是铁布衫了~~心动了吧,让我们一起来看看怎么做到.

1.首先必须要将权限设置显现出来.

随便打开一个文件夹,在工具栏上,右键,自定义,然后添加文件夹选项后,关闭,在工具栏上出现了这样的图标: 就是文件夹上面一个勾.这个是文件夹选项.打开之后,推荐您按照我的方法改一下勾选,下面有图.去掉简单文件夹共享—这样就可以显示出权限设置—-去掉隐藏受保护的操作系统文件&显示所有文件和文件夹—这样可以看到所有隐藏的文件夹,有利于发现病毒—-去掉隐藏已知文件类型的扩展名—-这样所有的文件都会显示扩展名,有利于发现类似于mm.jpg.exe这样的病毒文件.

2.C盘分区一定要是NTFS

在Windows下,只有NTFS分区才能设置权限,所以,至少确认你的C盘分区的格式是NTFS.

如果不是,可以用以下命令转化,不会造成数据丢失.开始,运行:

convert c: /fs:ntfs

系统会让您输入分区名称,比如我这个就是WINXP,然后下次重启的时候会自动运行转化,大概需要1分钟时间.

3.设置权限

打开C:WINDOWS,找到System32文件夹,右键,属性,安全里面,将Administrators和System用户组的权限改成如下:

拒绝修改和写入.但是,千万千万不要取消了其余三项的勾选!!!!.否则Windows无法启动的.

4.更加严密的方法,就是对Windows文件夹进行同样的设置.

5.安装软件前要对目录解禁!否则安装不会成功!!

现在System32文件夹已经刀枪不入啦,你可以试试在System32目录下新建一个文本文档,看看出现什么?

注册表权限

相对来说,注册表权限的修改似乎简单一些.不要求特定的分区属性.按照以下步骤一步一步做就好了.

虽然我已经建议了您不要使用IE6浏览器,但是根据我的访客报告,大部分国人用的还是IE6,所以有必要针对IE进行一些安全设置.

运行注册表编辑器—-方法是”运行,regedit”—-然后将以下两个分支的权限设置为已读:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer]

[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer]

这样IE的注册表就不能被修改了,包括改主页,受信任站点,AxtiveX控件安装都会被拒绝.如果要修改再改回来.

总结:让我们回顾一下主要内容和思想:病毒运行了之后会把自己复制到System32或者Windows目录下,我们只要设置了相应文件夹的权限就可以禁止病毒/您自己/软件写入和修改.所以安装软件的时候需要解禁.网络浏览的时候恶意网站会自动修改您IE的设置,所以修改了IE的注册表权限之后,IE的设置就无法被更改.同样的道理,要安装IE控件的时候需要对它进行解禁.

基于权限的思想—-就是不论是病毒还是合法的用户,所有的对System32和Windows文件夹和注册表的操作都会被拦截下来—-所以我强烈建议您最好是在重新安装了操作系统,并且贴好了所有的补丁,并且安装了常用的程序—-一定要记得从官方网站下载哦—-并且IE设置到最好状态之后再进行上述操作,这样系统就可以说刀枪不入了.

如果您觉得这些操作过于复杂—-我相信有的读者直接跳到最后一句了^_^—-可以完全无视上面所有文字.下一节将讲述更加简单和傻瓜, 但是一样有效的方法.这是做广告么?呵呵,如果您对这方面的信息感兴趣,希望您订阅我的blog.

这是本系列最后一篇了.干脆搞个小串联吧,大家讲讲自己的裸奔经历(安全经历也可以)点名漫步 ,sofish.

防御软件vs杀毒软件

先简单的讲讲大道理,然后具体实施.专门去维基百科查了”杀毒软件”的定义.是这样的:

杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。

杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存裡划分一部分空间，将电脑裡流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间裡面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。

而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在這裡，杀毒软件将会将磁盘上所有的（或者用户自定义的扫描范围内的文件）做一次检查。

监控的时候使用了特征码比较技术,就是某一类病毒的代码是很相似的,杀毒软件通过比对这些代码和运行的程序的代码,就可以判断这个程序是否为病毒.有时候给出一个”可疑度”,都是特征码比较技术的成果.这样的缺点是需要及时更新,下载新的特征码,而且系统消耗资源大.

而防御软件(多谢秦爱提供的信息,wiki得知我用的SSM也是HIPS的一种)是完全不利用特征码技术的,也就是说,不需要更新,由于是监控注册表,监控应用程序,占用的资源完全可以忽略不计!这篇文章要向大家推荐的就是SSM这款超强的防御软件啦,完全可以取代杀毒软件,而且,这款软件是提供免费版的,虽然也有收费版,但是,我认为,免费版已经足够强大了!

System Safety Monitor (SSM)是一种在windows平台下的HIPS防御软件.可以到这里下载免费的SSM,记得选择Download Free,安装时可以选择中文.SSM已知与一些杀毒软件是冲突的,所以一定要卸载干净杀毒软件.

原理

SSM等HIPS是什么工作原理呢?为什么不用特征码匹配就可以识别病毒呢?实际上,它并不是识别出病毒,反而有点像我在上一篇blog中写道的,权限的原理.它能无差别的阻止对注册表,文件的修改,阻止应用程序对dll文件的调用,阻止…..说白一点,什么都阻止了,包括你更换壁纸都阻止!好像铜墙铁壁一样,而你就是这座最坚固的城池的指挥官,所有的行动,所有的与外界的交流都会被汇报到你面前,有种掌握全局的感觉.

最适合新手的防御软件!

为什么说SSM是最适合新手的防御软件呢?如果您用过杀毒软件或者防火墙,您一定有这样的体验:无数次的询问与设置,搞得人崩溃.不过SSM就为新手提供了贴心的设置:新手 模式.

当你勾选”新手模式”的时候,你在此期间所作的所有动作都被认为是合法的.比如说,你希望SSM允许你用千千静听听mp3,可以勾选新手模式,然后用千千静听打开一首mp3,然后再去掉新手模式的勾选.SSM就知道了,以后不会再询问是否允许千千静听打开mp3.

我就是安装了SSM之后,打开新手模式,然后Firefox,kugoo,浩方,wlw,全部平时要做的动作都执行一下(当然,前提是系统无毒哦~).SSM也就知道了用户的行为,以后对这些不会再过问.

建议打开的模块

建议打开对注册表和服务的监控.

我的计算机上找不到病毒文件来演示了,插上U3闪盘看看吧,explorer(就是windows面向用户的shell,是合法的进程)试图运行U盘里的一个文件,被拦截了.请注意,如果试图运行的程序是你不知道的xxxx.exe,那就要非常小心了!或者调用者是rundll32.exe,或者有任何奇怪的名字目录等,都要阻止.

除了监控系统以外,SSM还提供了很多实用的功能,比如增强版的任务管理器(如上图).

其余的就自己探索啦,您在用SSM的时候有什么问题或者心得,可以在评论中提出.