Johnny 的学校里,常常发生严重的电脑中毒事件,如果您需要研究病毒样本,欢迎来到我们学校哦,Johnny 在学校里恭候您的到来,啊哈哈。同学们老是碰到电脑中毒的问题,很多都是莫名其妙就中毒,甚至有人说,啥都没干,自己就感染了,咱们今天就来聊聊病毒的问题。
其实,电脑染上病毒根本不是什么稀奇事,特别是学校这种电脑比较多,而同学们防病毒能力不高的场合。Johnny 观察后发现,电脑病毒的来源大概有几种:
1. U 盘、移动硬盘等移动存储设备。是滴,当年 Windows XP 的自动运行功能让盖茨先生的小伙伴们好好地享受了一把插上 U 盘就中毒的美好时光,现在巨硬改造了 Windows,顺手也给 XP 打上了补丁,以前那种插优盘就中毒的日子算是到头了。不过,优盘到处插,里面的可执行文件(扩展名是 .exe 的文件)难免会在那些有毒的机器上被那么来一下,到了您自己的电脑上,您打开了,那就有可能像个野猪一样,在您的电脑里面四处乱窜啦。
2. 网络。我们学校的局域网,是一个很大的网络,整个网络可以容纳 65, 533 个网络设备,并且,在逻辑上没有分开成小块的子网,也就是,所有电脑共享一个很大的广播域,这样,染上了病毒的电脑要把病毒传染到网络上的其它电脑是很容易的,如果在三层交换机分配不同的子网,然后设置 ACL,让同学们不能彼此访问,染毒的问题就没那么多了。在难以改造现有架构的情况下,防火墙显得很有必要。
3. 不打补丁的软件。软件在设计实,难免会有各种各样的瑕疵,安全性方面亦是如此,不打补丁的软件就像破了的渔网那样,病毒可以很容易进行渗透。
4. 软件下载站。有一些分享软件的网站,出于管理上的漏洞,亦或者蓄意传播电脑病毒,从那边下载软件实,很容易下载到不需要的软件,或者电脑病毒。
知道了病毒的来源,咱们就可以一步一个脚印地解决问题。首先,我们来聊一下系统当中与安全相关的四剑客:用户账户控制、防火墙、防病毒软件和自动更新。
* 用户账户控制 *
相信我们大多数同学,在使用 Windows XP 的时候,都是作为 Administrator 帐户登录的,当时这样做也是出于无奈,虽然巨硬一直主张应该使用普通帐户登录,但对于我们不是计算机专页的同学来说,也太过于耗费精力,在安装软件,升级软件的时候,都要切换一下管理员帐户,完成后,又切换回普通帐户,或者使用“运行方式”命令。更加让我们难以适应的情况是,很多的软件在普通帐户的权限下并不能正常运行。
到了 Windows 7,情况发生了变化,系统中多出了用户账户控制(UAC),Johnny 可以说,这是个神器,因为它可以让我们自己创建的管理员帐户在平时变成普通帐户,需要的时候它又会变成管理员帐户,哈哈。
刚才说了这么多,到底普通帐户跟管理员帐户有什么不同呢?普通帐户只能使用系统,不能修改系统,而管理员帐户可以对系统进行修改,比如添加或删除应用程序,修改系统层级的注册表设定,或者添加一个服务,最终,提升到至高无上的本地系统权限是完全没问题的。请同学们想一下,如果病毒,或者恶意软件具有管理员的权限,它们都会拿来干嘛?肯定不会干好事对不对?用户账户控制就是为了避免这样的事情设计出来的,平时,普通的管理员只有普通帐户的权限,如果您需要,或者某个应用程序提出需要管理员权限,系统就会提示您,是允许提升,还是不允许。
如果某一天,您什么事情也没做,电脑突然自己提示需要提升管理员权限,一定是恶意软件试图破坏系统的信号,那时候只要否决了即可。各位同学,您觉得用户账户控制是不是很有帮助呢?可惜因为种种原因,Johnny 去排查的时候,都发现同学们关掉了 UAC,这应该是争渡读屏软件弄的。在这里,Johnny 不得不批评一下某些软件开发者,您的软件的功能,看起来根本无需管理员权限,为什么在打开您编写的软件时,系统都会提示需要管理员权限?
另外,Johnny 也发现,好多同学装完原版系统后,很快就改用 Administrator 帐户,这是不被推荐的,在 Windows 10 系统,这样做还可能带来其它的问题,例如,无法登录微软账户等。
* 防火墙 *
我们学校有门卫,避免社会上的不良人员接触同学们,那么,电脑同样也有门卫,避免外面的电脑主动与我们的电脑建立连接,这就是防火墙。还记得 2017 年席卷全球的 WannaCry 勒索软件吗?它就是主动与受害者的电脑建立连接,从而勒索受害者的。这是比较严重的事件,常常发生在同学们身边的是蠕虫攻击,蠕虫也是通过主动连接有问题的系统,从而进行攻击的。那么,我们只要把能关闭的大门关闭,这类攻击就可以避免,电脑里的大门,专业术语是端口(Port)。
系统自带的防火墙,在默认情况下可以抵挡很多的主动连接,最长被利用的是文件共享服务器的漏洞,同学们平时也用不到文件共享服务器功能,把端口挡住并无问题,挡住之后,不会影响访问文件共享服务器,只是您的电脑不能被访问,也不影响正常的网页浏览。Johnny 巡查的时候也发现,很多同学,不知道是出于什么原因,关掉了系统自带的防火墙。
有一些说法是:一些应用程序不能在打开 Windows 防火墙的情况下运行,应该关闭 Windows 防火墙,这类说法极不负责任,常常造成个人电脑被入侵。同学们用的很多软件,都不需要让其它人主动连接,例如浏览器,下载工具,音乐播放器,视频播放器,办公软件等。如果确实需要,例如在局域网里面架设小型服务器,用来测试等,只要您把那些特殊的应用程序加入到防火墙的白名单,它就可以正常工作,如果不能,重启电脑,如果还是有问题,请跟网络管理员联系。一些像是 P2P 下载的软件,例如电驴,在学校当中是不能正常使用的,因为您没有权限操作主路由器的 uPnP 设定选项,这是企业级路由器的安全规定限制的,换句话说,就算您关掉系统的防火墙,那些软件也不能正常工作,并且还会让您的电脑处于被蠕虫攻击的危险当中。
值得一提的是,当您首次安装 Windows 7 系统,在选择网络位置的步骤,一定要选择“公用网络”,否则,文件共享服务器功能默认是打开的。Windows 10 则应当关闭“网络发现”功能,没有必要让别的同学发现您电脑的存在,毕竟,您并不是要把电脑做成服务器。
* 防病毒软件 *
防火墙会挡住外面的攻击者主动攻击您的电脑,同学们在平时上网下载软件,难免会遇上恶意软件或者病毒木马等。由于防火墙只能阻挡其它人主动连接您的电脑,您自己下载的文件,这是您主动连接其它的电脑,防火墙是不会干涉的,即便您把拆墙工请来,防火墙也不会做出任何反应。由于防火墙不会检查下载的文件是否有问题,这便是杀毒软件的绝活了。杀毒软件在您下载文件,或者文件被创建的时候自动检查文件的程序代码,如果遇到恶意代码,就将文件删除,并且通知您。
病毒不仅导致电脑变慢,还会引起工号增加,因为病毒要想传染,必须一直运行,并监视可以感染的文件,这会耗费大量 CPU 资源,从而导致 CPU 的工号增加,连带造成热量增多并使得散热器高速运转产生噪声,除此之外,盗窃电脑里的私人文件也是病毒的功能之一,更有甚者可以接受攻击者传来的命令,让电脑变成炮灰,攻击别人的网站、服务器,并且继续传播到其它可以被传染的电脑。
微软公司开发了杀毒软件,叫做 Microsoft Security Essentials,俗称的微软杀毒,或者 MSE 杀毒软件,它可以运行在 Windows 7,Windows 10 已经自带了杀毒软件。同学们可以使用这套杀毒软件,因为它占用的系统资源比较低,且可以很好地与读屏软件兼容,主流的读屏软件也不会被误杀。一些像是 360 安全卫士,腾讯电脑管家之类的杀毒软件是不推荐安装使用的,一方面,它对系统资源的占用比较高,另一方面,还容易杀掉读屏软件。
值得一提的是,一些大家常用的软件,像是冲浪星、PC 秘书等,由于涉及到敏感操作,常会引起杀毒软件将其删除,给同学们带来不便,为此,您只要花费几分钟时间,将其纳入杀毒软件的排除列表即可解决问题,这样做胜过染毒后被动的重装系统,也胜过由于病毒占用资源,导致电脑变慢变热带来的诸多麻烦。
* 自动更新 *
复杂的软件,难免存在意料之外的设计瑕疵,安全漏洞在所难免,软件开发者有义务确保其软件在一定的时间内得到维护,也就是缺陷的修复,修复缺陷的操作需要通过更新来完成,现代化的软件都可以自动更新,因此,自动更新在保护系统安全方面也发挥了很大的作用。同学们还记得吗?WannaCry 是如何侵入电脑并实施勒索的呢?它就是利用了 Windows 系统的设计缺陷得逞的,在勒索事件爆发之前,微软早已提供了安全补丁,关闭自动更新的 Windows 7 电脑就成了攻击的牺牲者。
一些说法称,微软会利用自动更新来打击盗版系统,在这个背景下,Johnny 还是强烈建议同学们打开自动更新,如今很多的盗版系统,都是采用 KMS 非法激活服务器进行激活,与之前通过篡改系统文件来激活的方法相比,由于没有篡改过系统文件,因此在更新后,几乎不可能被打击。另外,开启自动更新确实会让一些电脑在开机时,CPU 占用率稍高,为此,没有什么好办法。
最后,同学们只要知道:用户账户控制是用来在需要管理员权限实提示您,防火墙是主外,杀毒软件是主内,自动更新是让系统焕然一新即可,平时不要随便关闭其中任何一项哦。
* 常见问题 *
Q. 不打开陌生网站,不打开不知名的软件这类常被提起的良好上网习惯真的能防止病毒吗?
A. 是的,但是这样做,同学们会失去很多探索的机会,Johnny 并不是在鼓励同学们访问不合时宜的网站哦。
Q. 有一些软件,我不知道它是否安全,有什么好办法测试一下吗?
A. Johnny 建议把文件上传到 virustotal.com 进行分析,如果没有发现报读的情况,可以在本地进行安装尝试。
Q. 我深受仿冒软件的危害,我要如何搜索一个知名软件?
A. 请通过 Google 搜索软件的官方网站,或者,也可以使用必应进行搜索,不建议使用百度,据反馈称,百度常有将仿冒网站的排序提升到比正规官方网站高的情况,另外,百度自己的软件中心也存在捆绑安装的问题。
如果同学们还有其它疑问,可以再评论区提出。