前几天我发一个《我们上网安全吗》的贴子，看的不多，回复的更少，截至今天是3/107的数据，让我很是汗颜，自己思考了下？是不是我所提的话题不接地气？好吧我就换个大家几乎天天都用到的——电脑，那么我们就来聊聊关于电脑的安全问题。
   
这是一个很大的题目，其实我这个标题取得我自己都有点担心能不能说得让大家明白，我也尽力把自己所了解的一点皮毛分享给大家，希望对你们有一些帮助，也更希望大家能多回复和帮点红心。谢谢了！


（以下以Windows平台为例）


说到电脑安全大家的第一映像大约就是病毒了，这是因为病毒爆发后的破坏性是大家能看得到的（比如你的电脑里忽然程序不能运行，系统运行忽然变很慢，系统忽然蓝屏重启，甚至再也进不了系统），请注意这里是指病毒爆发后，而在爆发之前病毒都有个潜伏期，而在这时期你是察觉不到病毒的存在的。有的朋友可能会说不是有杀毒软件吗？是的，这就是我首先给大家分享的第一个基本认识：杀毒软件肯定不能查杀最新的病毒的，它只能在病毒库更新后才能查杀。而这里就有个时间差，谁也不能保证在杀软更新病毒库之前你的电脑是否已经中了某病毒。


有的朋友可能又说，那我等病毒库更新以后不就又安全了吗？在这里我说下杀软的杀毒原理和基本构成：


1、杀软的基本构造是扫描器、虚拟机和病毒库，然后用一个用户界面和上面三个子部件进行交互，如下图。


这里最重要的就是扫描器了，现在大多数杀软都是多个扫描组件集成的，它体现在于扫描的速度的质量。病毒库呢，就是储存着海量病毒所具有唯一性质的特征字符，也就是大家所说的“特征码”，所以说杀软查杀病毒的根据就是这个“特征码”。虚拟机就是在杀软的内部虚拟出一个环境，在这个环境里就可以完全展开病毒，以便分析和检测。


2、杀软的原理，简单的说就是匹配特征码，你可以这么理解，病毒为了扩散感染其它文件，会把已中毒的文件里面打上一个标志，而这个标志你也可以理解为特征码，这个特征码并不只仅仅存在于可执行文件（exe文件），就意味着一些非执行文件也可能被感染，如RMVB、JPG、TXT都有可能存在特征码。这就是我给大家分享的第二个基本认识：病毒感染的文件不一定只有可执行文件。杀软会把内存流里的数据和病毒库的特征码进行对比，或者在虚拟机把要检查的文件展开然后根据运行后的行为和结果来判断是不是病毒。这两种方法都需要在内存里单独划拨一部分空间给杀软使用，所以在安装了杀软的机器上我们有时就会觉得顿卡。


从上面我们可以知道查杀病毒是根据特征码的，等杀软的病毒库更新了，这时你再进行查杀是可以把已知病毒查杀干净，但病毒也是人编的，杀软能根据特征码对我进行查杀，难道我就不能改变我的特征码吗？好吧免杀技术就出来了。（因为免杀一般都是分析杀软的扫描技术和规律来做相应的规避和更改免杀代码结构）下面这个例子是十多年前的第一代杀软的扫描技术，只是做个演示方便不太清楚朋友理解。


假设我们的病毒库里有段这样的特征码：09E2 33B5（实际上特征码远不止这么少，我只是方便下面分析），那么杀软试着做以下的操作：A、匹配09，如果能找到就继续往下找，如果找不到就跳出；B、匹配E2，如果能找到就继续往下找，如果找不到就跳出；匹配33，如果能找到就继续往下找，如果找不到就跳出；匹配B5，如果找不到就跳出，如果能找到就把该文件定义为病毒。既然扫描器的规律找到了就可以利用这个规律来进行免杀（其实杀软和病毒的战争持续到现在，这么多年来矛与盾早已更新好几代，朋友们也不要想用这个去干什么，这个早就过时了，老夫这个帖子也不是教你们来做那些事的，所以免杀方面就不说了）


就这样免杀成功的病毒对于杀软来说就摇身一变成为新的未知病毒。杀软又不能识别了，就别说查杀了。由于杀软杀毒的原理使杀软永远都在病毒后面，造成很被动的杀毒环境，这时杀软产商们就开始动脑筋了，病毒的免杀技术掐住了杀软的脖子，好吧，这是原理上的硬伤，我也没办法让你不掐，但是我可以让脖子变大。当时在国内占了绝大部分杀软市场份额的那头黄色小狮子，就开始在杀软里集成一个自动在线诊断的模块了，主要功能就是通过RsAMA把可疑的样本自动上传到RsSD里，然后其它的小狮子都可以从RsSD里更新病毒库了。这样一来变相的就把由一台电脑和一个病毒的战争扩大到千万个小狮子和一个病毒的战场。其它杀软厂商看到效果很不错，也就都跟着这么做了，这样一来，病毒的生存空间越来越小，终于杀软在这场战争的战略上扳回了一局。（这就是现在所谓“云查杀”的前身）


这样的来回割据，你打我一拳，我踢你一腿的战争持续了很多年，某年杀软产商忽然发现自己的杀软在处理一些病毒的时候开始没有什么效果，而病毒也开始由重破坏性为主转变成潜伏性、传染性为主的恶意程序和木马了。在这种形式下用特征码来判断已经有点力不从心，这时是国内互联网上最黑暗的时期，那时网上极为混乱，杀软对一些当时先进的理论衍生的恶意程序和木马几乎是没有一点用。被这些恶意程序和木马打了当头一棒后那头黄色的小狮子开始丢失市场份额了，国外的杀软也一股脑的冒了出来，引用当年霏凡和hygs的话，大概描述了目前世界四大软件各自的特点：


卡巴就好象西毒，凶猛强悍，神功盖世，对敌决不留情，出手狠辣，招招夺命，绝少失手，不愧为一代枭雄，但毕竟练的不是纯正内功，容易走火入魔，导致系统出问题。
麦咖啡就象东邪，玉树临风，俊朗潇洒，对敌招式繁多，机关重重，杀伐决断从不迟疑，为江湖第一机智聪明之人，但因其心机太深，令人难以掌握。
诺顿就象南帝，雍容华贵，稳沉厚重，胸怀博大，练的是纯正内功，靠的是教化感人，对敌有慈悲心肠，一般采取隔离教化，使其不在作恶，很少杀人，称的上是一代宗师，但因其过于敦厚，不仅自己活的累，别人也为他感到累。
nod32就想北丐，来无影去无踪，潇潇洒洒，笑傲江湖，对敌用的是逍遥游和打狗棍法，江湖上少有对手，但因其过于轻浮，难免误事。


（以上为纯引用，笑谈而已，别较真）


国内的杀软一下子就全急了，开始研发新的杀软引擎，开始新的包装，慢慢也由杀毒软件改名为安全套装了（其实就是在原来的基础上加了一个软件防火墙）。刚开始出来，防火墙效果很好大部分的木马都能成功的识别和拦截，这时的木马的隐蔽性很差，本体差不多都是EXE文件，都会开端口，太明显了啊！不行，得改，于是木马的作者们调整思路，把后门做成DLL文件，这样就没有进程，也不会开端口了，当时的榕X出品和灰X子刚出来的时候所向披靡啊。（那时老夫本着以测试软件为已任，以维护单位电脑为目的小试了下灰X子，那酸爽！重点不在这，重点在老夫只是用来测试和维护嘀！）杀软们怎么办？于是各种专杀也出来了，反正你出专杀，我就出变种，这架也掐了好久。


也许是木马制作者们打得手酸了，好吧，那木马的技术就再一次进步呗，这次就从防火墙的命脉下手。防火墙你拦着我不让我进去，我就不进去，但防火墙你总不能拦着用户不上网吧，所以木马和恶意程序开始配合：先通过Windows的漏洞让你的机器感染恶意程序，然后先取得本地的Shell，然后通过正常端口访问一个特殊的IP，把后门端口转发出去，这样一个反弹后门就做好了，后面就是正常的木马操控程序，不多说了。


唉，老夫发现本来是想聊聊电脑安全的，说着说着就变成讲故事，还有老夫也觉得越说越多有点收不拢了，好吧，故事就说到这里，我们还是回正题：如何让自己的电脑变得安全点。

首先还是得装个安全软件，这个就看个人喜好了，我个人是认为现在全杀软市场都启用了云安全技术，既然是云技术当然是用的人越多越好，就选了国内用户平台最大的企鹅。


然后就可以选择是用沙盒还是HIPS了。


1、HIPS（计算机入侵检测防御系统）
早期的HIPS类软件真心烦人，有一定计算机基础的都烦得头疼，主要是对注册表、应用程序和文件进行监控，并对此做出防御。这类软件最大的好处就是不需要病毒库，因为它不需要从特征码来判断是不是病毒，它会从系统的底层监控着你的计算机，不管是不是病毒，只要是触碰到它的监控，它就会弹出一个窗口，问你是否允许这个操作，如果你点否，那这个操作就会被阻止。听上去是不是很美，嗯，我也必须得承认，多有成就感啊，多有安全感啊！不过，当你在一个美好的早晨，呼吸着清爽的空气想要打开一个企鹅程序的时候，弹出十多个窗口的时候，你就会开始头冒三根线了。


不过现在已经有所谓的智能HIPS软件了，它们内置一些判断方法和处理规则，甚至网上有现成的规则库，下载就可以了，这种就方便很多，可以推荐使用。


适用人群：有一定计算机基础的人。（毕竟规则是死的，还是会有让你人工判断处理的时候）


2、沙盒（虚拟技术）
沙盒类软件就是在计算机内部虚拟一个环境，在这个环境下所做的任何操作都不会对你的系统造成损害，其中就包括病毒了。老夫就用的是这种，简单，方便，绿色，还有什么好要求的呢？比如说，老夫今天准备上SIS，于是在沙盒里启动浏览器，看到一个好视频，上网盘下载的时候，不小心点到广告了，然后就听到硬盘马上吱吱的开响，中招了！不过老夫这次是在沙盒里开的网页，无视病毒在机器横行着，下载解压完毕，把视频文件从沙盒系统里单独提出来存好，在沙盒上点右键，选择删除沙盒，嘴里吟道：你强由你强，清风拂山岗；你横由你横，明月照大江。你自狠来你自恶,我自一点笑呵呵！所有刚才的你的操作、病毒偷偷的操作，你的上网痕迹，除了你提出来的视频文件，弹指间，灰飞烟灭！


适用人群：所有人


写了一天了哇，虽然字不多，才4000多字，但每一字都是我的心血啊，如果不对请大家指教！


还有啊，本贴开放菊花，欢迎来搞！

By zixi1
2014.11.21

在做这个帖子的时候，没有比较详细的介绍一下沙盒，于是今天又专门做了一个沙盒介绍的帖子
关于沙盒软件sandboxie的基本使用方法介绍：[bbs]viewthread.php?tid=6051437&page=1#pid103961796[/bbs]


By zixi1
2014.11.23

[ 本帖最后由 zixi1 于 2014-11-23 14:30 编辑 ]

心1.问下楼主沙盒能不说详细点,比如什么软件的推荐一个.给我名字就好,我可找度娘

引用:

原帖由 日升昌 于 2014-11-21 21:21 发表
心1.问下楼主沙盒能不说详细点,比如什么软件的推荐一个.给我名字就好,我可找度娘

感谢兄台的支持，我用的就是Sandboxie

感谢楼主科普，俺下一个试试什么情况～

楼主，对于我这样的电脑小白，还是不明白什么是沙盒，什么是HIPS，还有一个就是如果用了沙盒，电脑就不用所谓的国产杀毒软件，如360，瑞星等？

不上不正规网站下载东西，中毒几率下降99%。
就算上了不正规网站，安装防火墙，或者设置浏览器关闭网页脚本自动运行，也能很大程度上降低中毒几率。
杀毒软件基本毫无用处，据我自身的体验，能杀毒软件能杀的病毒一般能手动杀掉，如果手动杀不了的杀毒软件一样没辙
除非是专门研究病毒木马之类的人，普通用户正常上网和使用电脑，接触到病毒的几率真的非常低
再就是电脑小白，刚刚买回电脑能上网了，频繁下载安装各种不明网站的软件，极其容易中毒中木马
而且就算中毒了，只要不是特别恶质的病毒，一般能通过系统还原和重装系统解决，比起杀软长达数个小时的扫描快得多
如果遇上恶质病毒，杀软通常也会瘫痪，这时候只能等待出专杀，或者直接格式化硬盘，所以说，对重要数据的备份极其重要

引用:

原帖由 可乐加冰2008 于 2014-11-22 13:18 发表
楼主，对于我这样的电脑小白，还是不明白什么是沙盒，什么是HIPS，还有一个就是如果用了沙盒，电脑就不用所谓的国产杀毒软件，如360，瑞星等？

抱歉，我们这边停电，刚来不久

如果是普通用户还是建议用沙盒，要不明天我再做一个沙盒的帖子吧，今天停了一天电，还有很多事要做呢

杀软的还，也还是建议装个，至于什么国内的都差不多，你随便选一个吧，这无所谓，现在的病毒样本流通很快，只要一家能查，其它家的也就能查杀了

引用:

原帖由 lgz2012 于 2014-11-22 14:23 发表
不上不正规网站下载东西，中毒几率下降99%。
就算上了不正规网站，安装防火墙，或者设置浏览器关闭网页脚本自动运行，也能很大程度上降低中毒几率。
杀毒软件基本毫无用处，据我自身的体验，能杀毒软件能杀的病毒一 ...

感谢兄台对我这帖子这么认真的回复
首先正如badboy_ak兄在《我们上网安全吗》里回复一样，现在的上网的毒比上网的人要多，所以就算不上H网还是很容易中招的。
你说得很对，手动杀毒杀不了的杀软也同样杀不了，但这里有个技术层次在里面，不是所有人都能手动杀毒的，而且手动杀毒毕竟很麻烦，需要一定的经验才能清除干净，虽然我对杀软无好感，但至少省事很多啊，不过手动杀毒成就感还是很不错的，我也喜欢，老夫很久以前专门搞了个硬盘来装从霏X论坛里的样本专区下病毒来玩手动杀毒。

像可乐加冰2008兄这样问我要不要装杀软，我还是会建议安装，现在的计算机的配置完全可以无视现在杀软的硬件要求，如果装上杀软配合好沙盒基本上就是比较安全了。计算机本来就是用来交换和使用资源的，不管用什么媒介都会与外界进行数据交换（其中就有不可见的操作），杀软还是有需要的，装不装看个人，我只是建议啦！

红星点上，对我这个电脑小白来说很有帮助，能介绍一下沙盒怎样使用就好了。

引用:

原帖由 redchina 于 2014-11-22 22:59 发表
红星点上，对我这个电脑小白来说很有帮助，能介绍一下沙盒怎样使用就好了。

感谢redchina兄支持！
今天刚才已更新了沙盒基本操作的贴子，传送门在此贴正文最下门红色字体后面。