菜鸟安全防患之饿死木马

二、勤查户口，不速客out

账户信息安全之重要性，自然不言而喻。黑客入侵，往往会偷偷在你的系统中建立一个账户，或者把普通账户提升权限，以达到幕后操纵之目的，而这个往往是普通用户容易忽略的问题，所以大家要养成一个勤查户口的习惯。

打开“管理工具→计算机管理→本地用户和组”(如图2)，这里枚举了当前的所有账户信息。要看看是不是多了不认识的名字，或者谁偷偷地升级了，这些都需要引起重视。比如臭名昭著的lovgate病毒就会在感染电脑上建立一个名为“lee”的账户。

但是，有时候突然多出一个不速之客也未必就是“中标”了，比如在安装Microsoft.Net Framework后，系统会自动建立一个ASP.NET账户，这是正常的，大可不必为之担心。

另外，还要对现有账户做好安全工作。如果没有必要，可以不启用Guest账户;同时应对内置的管理员账户Administrator加上密码，并且“改头换面”，防止入侵者恶意穷举:通过“管理工具→本地安全策略→本地策略→安全选项→账户”对系统管理员账户进行重命名操作，将Administrator修改为一个别人不容易猜测到的名字(如图3)。

三、关紧城门，出入查证

木马也好，其他恶意程序也好，如果不能和释放者保持联系，也就失去了威力。所以城门就是我们的最后一道防线。

首先是关闭一些危险的端口。打开“管理工具→本地安全策略→IP 安全策略，在本地计算机”，在右侧窗格中右击鼠标并选择“创建 IP 安全策略”命令(如图4)，然后根据向导一步一步设置，分别添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。关闭了这些端口，可以避免入侵者通过这些通道秘密潜入。

其次，安装一款合适的防火墙。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比较强大。如果嫌这些设置比较复杂，也可以选择天网、金山毒霸网络个人防火墙、瑞星个人防火墙等。它们就像把门者，每一个进出者都会被检查是否有“良民证”:如果确认可靠的就直接放行，如果陌生人想偷偷挟带情报出逃，对不起，拦下。

四、明察秋毫，逮住“马迹”

感染木马或其他恶意程序后，系统不可避免地会出现一些特殊征兆，如果及早发现并及时处理，可以将损失降到最低点。下面的这些“马迹”千万不要放过。

1、密码被改，金币被偷。虽然损失已经造成，但是亡羊补牢，至少避免更多损失。

2、杀软被关闭。很多木马会自动关闭杀毒软件，如果发现杀软防火墙被退出，而且无法启动，绝对不能忽视，排除系统或者杀软本身的问题，很有可能就是被木马或病毒先下手为强了。

3、一闪而过的窗口。打开记事本，或其他软件的时候，会有隐约的窗口一闪而过，这很有可能就是木马或病毒已经寄生在正常程序上了。

4、奇怪的进程。经常用Ctrl+Alt+Del键调出任务管理器进行查看。首先你要熟悉系统的正常进程，如果有陌生进程出现，那就将它一查到底。

5、鱼目混珠的文件名或错位的程序。有些木马会伪造和正常程序相似的名字，比如“svch0st”等;有些则索性冒名，不过路径不同，比如出现在Windows目录下的“rundll32.exe”(正常应该在windows\system32和windows\system32\dllcache下)。

6、自作多情的启动项目。经常使用“msconfig”查看启动项目，如果有不经允许就擅自加载的，不妨查查其身份。

7、绑架浏览器。使用hijackthis辅助，把这些绑匪统统请出系统去。

8、运行“netstat”，查看当前网络的连接情况，是否有偷偷向外报信者。