网络中的个人计算机安全网络中的个人计算机安全1目 录1.计算机网络面临的安全威胁.22.电脑感染途径.33.计算机感染病毒木马的症状.44.为什么杀毒软件不杀病毒.45. 主机入侵防御系统(HIPS).55.1 HIPS 介绍.55.2 HIPS 安全测试.76. 沙盘技术.97.Windows 7 的安全特性.107.1 Internet Explorer 8.107.2 Data Executive Protection（数据执行保护）.127.3 UAC(User Account Control，用户帐户控制).137.4 Session 0 隔离.158.外国版的 360.169.推荐使用的杀毒软件和浏览器.1810.好的使用习惯是安全的基础.1911.总结.20网络中的个人计算机安全21.计算机网络面临的安全威胁网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬 件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效 率;信息安 全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。网 络信息安全是网络赖以生存的根基,只有安全得到保障,网络才能充分 发挥自身的价 值。然而,随着互联网的迅速发展和广泛应用,计算机病毒、木马数量也在呈现爆炸式 增长。据金山毒霸“云安全”中心监测数据显示,2008 年,金山毒霸共 截获新增病毒、 木马 13 899 717 个,与 2007 年相比增长 48 倍,全国共有 69 738 785 台计算机感染病毒,与 07 年相比增长了 40%。在新增的病毒、木马中,新增木马数达 7 801 911 个,占全年新 增病毒、木马总数的 56.13%;黑客后门类占全年新增病毒、木马总数的 21.97%;而网 页脚本所占比例从去年的 0.8%跃升至 5.96%,成为增长速度最快的一类病毒。该中 心统计数据还显示,90%的病毒依附网页感染用户,这说明,人类在尽情享受网络信息带 来的巨大财富和便捷的 同时,也被日益严峻的网络信息安全问题所困扰。网络中的个人计算机安全32.电脑感染途径图 2-1 电脑感染病毒木马的途径 从中可以看出，网络下载或浏览网页占感染的大多数，有 47.8%，然后就是移 动储存介质，占了 26.8%，接下来，还有电子邮件、局域网和其他途径。3.计算机感染病毒木马的症状计算机无法开机计算机常死机、黑屏、无故重启计算机的执行速度变慢、无法使用某些软件出现奇怪的对话窗口或报错系统配置莫名其妙地被更改或禁止 （如首页、时间、桌面、屏保、启动项等）出现奇怪的文件（目录） 、文件大小被改变、某些文件被损毁或无法打开QQ 密码、卡密码被盗计算机不停的读写硬盘网络中的个人计算机安全44.为什么杀毒软件不杀病毒“为什么安装了杀毒软件，我们还会感染木马和病毒？”这想必是大家经常询 问的问题，也是反病毒厂商头痛的问题。要想说清楚这个问题，就不得不提及一个 名词免杀。 单从汉语“免杀”的字面意思来理解，可以将其看为一种能使病毒木马避免被 杀毒软件查杀的技术。但是不得不客观地说，免杀技术的涉猎面非常广，您可以由 此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术，由此可 见免杀并不简单。 说到免杀，就涉及到杀毒软件对病毒的定位方法，也就是特征码定位。 特征码：能识别一个程序是一个病毒的一段不大于 64 字节的特征串。为了减少 误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果, 当然有些杀毒软件要同时改几处才能免杀。 特征码的查找方法:文件中的特征码被我们填入的数据（比如 0）替换了，杀毒软件就不会报警，以此确定特征码的位置。5. 主机入侵防御系统(HIPS)5.1 HIPS 介绍图 5-1 Malware Defender 使用界面网络中的个人计算机安全5Host Intrusion Prevent System主机入侵防御系统。HIPS 是一种能监控你 电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告 请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一 个病毒程序，HIPS 软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一 句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而 HIPS 能解决 这些问题。 ” 。 HIPS 是以后系统安全发展的一种趋势，只要你有足够的专业水平， 你可以只用 HIPS 而不需杀毒软件。但是 HIPS 并不能称为防火墙，最多只能叫做系 统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。 （注：目前一些 HIPS 已经集成了网络防火墙的功能。 ）Malware Defender 是一个 HIPS (主机入侵防御系统)软件，它可以有效的保护 您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录 软件、rootkit 等)的侵害。 Malware Defender 也是一个 rootkit 检测软件，它提供了很多有效的工具来检测 和删除已经安装在您的计算机系统中的恶意软件。 无论您是否是一个计算机专家用户，Malware Defender 都是您保护您的系统的 理想选择。主要功能：主要功能：一、实时保护系统：监控对进程、注册表、文件和网络的可疑操作，即 4D 防御。能够检测到各种已知和未知的恶意软件。提供学习模式和安静模式。比较高的 性能和比较低的资源占用。二、进程管理器：检测隐藏进程和线程。检测未通过签名验证的进程和模块。 使用底层技术结束进程和线程。挂起/恢复进程和线程。卸载进程模块。关闭进程句 柄。三、内核模块管理器：检测隐藏内核模块和内核线程。检测未通过签名验证的 内核模块。结束、挂起或恢复内核线程。删除内核延迟调用定时器。四、钩子检测器：检测并恢复系统服务表钩子(SSDT 钩子)。检测并恢复 Win32K 服务表钩子(shadow SSDT 钩子)。检测并恢复中断描述表钩子(IDT 钩子)。检测并恢 复 SYSENTER 处理例程。检测并恢复内核对象钩子。检测并恢复系统通知例程。检测 并恢复内核模式代码钩子。检测并恢复用户模式代码钩子。检测并恢复全局消息钩 子。检测附加设备。检测驱动程序分发例程。五、自动运行程序管理器：搜索所有已知的自动运行程序所在位置。检测隐藏 自动运行程序。检测新增的自动运行程序。允许撤销和重做对自动运行程序的删除 操作。六、文件浏览器：检测隐藏的文件和文件夹。显示和删除 NTFS 数据流。删除使网络中的个人计算机安全6用中的文件。七、注册表编辑器：全功能注册表编辑器。检测隐藏注册表条目。图 5-2 Malware Defender的规则展示手工的 HIPS 软件，其规则设置是一件非常重要的事情，如果规则设置得不好， 弹出的询问框就会很多，让人不胜其烦。合理地设置各种保护规则，不仅可以全面 地保护监控系统，而且可以大大减少弹出询问框的数量，使用起来更省心。网上有 许多高手设置的规则，直接套用就可以方便省心省力地保护系统。退出 Malware Defender 并停止所有保护，将下载的规则文件包解压后，复制规则文件 “rules.dat” ，粘贴到 MD 安装目录下替换同名文件。然后重新运行 MD，改回正常 全面保护模式即可。也可以在 MD 界面中点击菜单“规则导入” ，将下载的规则文 件使用导入功能导入启用。要注意的是，使用导入方式会保留原有的一些规则，覆 盖重复规则，为避免自设规则与导入规则冲突，最好使用覆盖方式使用。导入规则 后，有一些正常的软件可能还不能用，可以开启学习模式，或者设置例外。推荐根 据阻止日志来设立例外规则(见图 7)，设置时要活用通配符。5.2 HIPS 安全测试安全测试简介，使用 2502 机房的病毒做测试，打开有健全安全规则的 MD 软件。如图 5-3网络中的个人计算机安全7然后，查看 MD 软件的日志文件，观看病毒运行情况。如图 5-4通过查看日志，可以得出结论，Malware Defender 完全防御住了这个病毒。图 5-3 启动Malware Defender 的安全监控网络中的个人计算机安全8图 5-4 查看 Malware Defender 安全日志6. 沙盘技术图 6-1 沙盘的工作原理沙盘也为 HIPS 的一种，称为沙盘 HIPS。Sandboxie 是一款专业的虚拟类软件，它的工作软件：通过重定向技术，把程序网络中的个人计算机安全9生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和 一些系统的核心数据。通过加载自身的驱动来保护底层数据，属于驱动级别的保护。 我个人是用 Sandboxie 来测试病毒的，在里面运行病毒可以说也是安全操作。在 360 浏览器的文件夹中（桌面快捷方式的目标的上一级路径，除了浏览器程 序之外还有一个文件夹） ，你可以找到 Sandboxie 的安全程序，以及调出它的程序控 制台 S