自已的电脑,自已的安全一定要 DIY!(2)

来源:http://www.euyao.com

11:33 2009-1-17 作者:口车

上一篇我讲到计算机通信端口,可能会给读者产生误解,有人会问:“你讲的通信端口不就是指 HTTP 的 80 端口?”

这里更正,我上篇所讲的通信端口指的是 TCP 的 Socket 连接,它由客户机网络端口和服务器网络端口相乘来唯一标识。

我现在就来说明我 DIY 电脑安全的方法:

  1. SysinternalsSuite

    首先从原 Windows 内核开发牛人的网站 www.sysinternals.com 下载 SysinternalsSuite 工具集,不大,才 9 兆,但功能却是无比强大,更重要的是从作者的公信度来讲,也是不用太多置疑的。

    我从安全需求角度来介绍这里面的工具的用途:

    • 我想查看我的硬盘里的文件现在被哪些进程访问,怎么办?

      那就用 Filemon.exe 吧,里面有筛选过滤的功能。

    • 我想查看我的系统注册表现在被哪些进程访问,怎么办?

      那就用 Regmon.exe 吧,里面有筛选过滤的功能。

    • 我想查看我的系统现在有哪些进程访问网络,怎么办?

      那就用 Tcpview.exe 吧,里面有筛选过滤的功能。

    • 我想看任务管理器中的某个进程是由谁启动的,也就是想看进程树关系,怎么办?

      那就用 procexp.exe 吧,里面还有其它很强大的功能。

    • 我想看我系统的资源,包括文件系统、注册表、网络,现在有哪些进程在访问,怎么办?

      那就用 Procmon.exe 吧,一定要用好里面的过滤功能,否则你会看到哗啦一片,从无着手。

    • 里面还有很多工具,如命令行工具 handle.exe,pipelist.exe等等,等待你去发掘。

  2. VMWare

    您一定蒙了,这不是装虚拟机的软件吗?怎么和安全扯上关系啦?

    且听我解释,您喜欢上网吧?您喜欢用讯雷下载大东西吧?可是您又担心网络传来病毒,担心系统里潜藏着特务借着讯雷下载之时窜过网络联系总部。这该如何是好?

    装个 VMWare,在 VMWare 里装个 WinXP 系统,在 VMWare 里的 WinXP 系统里装上讯雷,装上防火墙,装上杀毒软件,还要装什么……,脑袋不好使了,反正这样装下来,3G 硬盘空间绝对搞定,再把这个虚拟机文件复制三四个也是不用吃奶的劲就能干得出来的。

    可是我在虚拟机里下载的大则以 G 算的文件搁哪?

    我真被雷倒了,VMWare 主界面菜单中有“安装 VMWare 工具”,在虚拟机里装好操作系统后装它,把它装好后,就在虚拟机设置里,选项页中有“共享文件夹”功能,把真要下载的文件搁外面机器里。

  3. IceSword.exe 冰刃

    冰刃里有一个功能很实用,是查看 SSDT,应该叫内核服务例程表,这是令很多 Rootkit 工具嘴馋的地方,比如可以替换某个函数入口地址,隐藏进程之类,而杀毒软件更把这里改得面目全非,不但你不知道它们在做什么,而且很会把你的系统搞得慢如蜗牛。

  4. DllSpy.exe

    这也是微软网站上的一个小工具,功能挺实用,就是可以查看某个 dll 动态库现在正被哪些运行的程序使用。我现在忘记是在哪个地址下的,您可以网上搜一下,或来信告诉我。

  5. EUYAO Replayer

    这个不是我在做自家广告,您没听过某位英国 IT 专家建议的,夜里不要开着电脑吗?可是俺要夜里开着 down 大东西啊?俺不是小孩,只听不想办法。那这跟 EUYAO Replayer 啥关系?有很多黑客,就是通过在半夜检测“肉鸡”没有人动才开始罪恶勾当的,把 EUYAO Replayer 开着吓吓他们,“咦,这哥们啥这么勤奋呢?半夜三更了还吱吱不倦呢?不妙,不动为上策。”

    很简单,把 VMWare 开着 download,在外面的机器里运行 EUYAO Replayer,在 EUYAO Replayer 回放一个很具屏保性质,或音乐特效性质,或某个办公性质的重复操作(有点衰,现在还远没到使您从繁重工作中解脱出来的地步,但我们会努力的,相信我们),是选中反复回放选项地回放,比如,打开桌面属性菜单,摇一摇窗口,关掉,打开我的电脑,进入某个目录,运行一下里面的 3d 游戏,退出,再反复。看着看着就有睡意了,相信您一定会睡得很美味,因为第二天就有好的大片看,有好的游戏可以玩……

  6. Wireshark

    如果要分析当桌面右下角任务栏中网络图标为什么一闪一闪,还有一个工具,这个工具是很专业,专业得让手脚忙乱的你吐血,启动要花一分钟,选择主菜单- "Capture" - "Interface" -识别真正的网卡条目-选择该条目的 "Options" -点击弹出来对话框里的 "Capture Filter" 选择一个网络端口过滤条件,比如常用的 "TCP or UDP port 80 (HTTP)" - "OK" - "Start" 开始真正地监控网络数据包,真***累,等设置好,网络图标早不闪了。

    建议您在心情好的时候试一下这个工具。