飞鱼博客

2010年过年了，Aerofish给各位网友拜年了，祝大家新年快乐！但是这几天我却很头疼，因为我的个人电脑发生了很不幸的事情，感染了病毒木马。不过大家可以放心，我的网站和个人电脑是不同的，网站是租用了国内很有名望、技术水平很高的一家公司的服务器，安全性和个人电脑比不是同一个级别的。

我一直认为我自己的电脑很安全很健康，是不会中病毒的，因为我使用的是瑞星杀毒软件。平时用电脑来写写文章、看看电影、玩玩游戏等等，一向来都很好用，即使是现在中毒了，我依然没有感到和平时有什么不一样的地方。

那为什么我会觉得自己的电脑中毒了呢？起因是这样的，某日我在浏览自己电脑的时候，发现在c盘根目录有一个奇怪的文件，文件名为“img2-001.raw”。于是我就去谷歌、百度等知名搜索引擎找这个文件的资料。但是很遗憾，找到的结果都是些正面的结果，即这个文件是一个正常的文件，没有危害。提供这个结果最多的网站是“百度知道”，有很多人去那里寻求帮助，也有很多好心人来帮助别人，但这些好心人当中却有很多只为了提高“百度知道”的积分，而胡乱帮助人，甚至是误导人。在这里我强烈谴责下百度，一个优秀搜索引擎公司，但却对其下的问答平台的回答质量不妥善管理，导致了大量不正确的信息在互联网上流传，从而误导了众多可怜的用户，实在是罪过啊。“百度知道”如果再这样疏于管理，改天我自己亲自做个问答平台，保证比百度的更好，这当然是开玩笑了。

下面转为正题。关于“img2-001.raw”是否和病毒有关？我来举个例子：“有A、B、C和我共4个人，我们4人都互相不认识。现在，在我们4人的电脑中都发现了‘img2-001.raw’这个文件，并且都是在C盘根目录中。”大家应该相信这不是巧合吧，这很明显这不是一般的文件，这是有预谋的被安放在电脑中的伪装文件，任何正规的程序都不会偷偷的在C盘根目录放文件的，而且还取了个这么隐蔽的名字。至于这个文件会造成什么危害，我目前还不能确定，因为我已经手动把它删除了。

在删除“img2-001.raw”之前，由于我使用的瑞星没有杀出病毒来，所以我去网上找了360安全卫士和杀毒软件。为什么我去用360，因为这两家公司最近在网上争吵的很热，我觉得他们是在做秀，不过我也受他们影响了，所以下载了360，试用看看。但是，很遗憾，360也不认为“img2-001.raw”是病毒，可能这个文件还真不是病毒。不过，在使用360时，我选用的是全盘扫描模式，却意外的发现了另一件郁闷的事。360在我的电脑中找到了1个木马病毒，注意，它只是找到了1个，而瑞星连1个都没找出来。这时我很担心，因为我的电脑里有太多的重要资料，一旦被盗或者被破坏，损失将是无法估计。

幸好我有一位在黑客界很有名望的好朋友，他姓马，我叫他小马。黑客分为两种，好黑客和坏黑客，小马当然属于前者了。小马很聪明，我懂的电脑知识他基本都会，而他懂的知识我却不会，特别是在电脑安全技术方面，我由于原先的电脑不放重要资料，所以对这方面的知识疏于学习。我拨通了小马的电话，请他来帮我检查下我的电脑安全情况。

小马到我这里一阵忙活，我也没弄明白，只知道他将我的杀毒软件给卸载掉了，然后都是手动给我检查电脑的，最后还给我装了另一款杀毒软件McAfee，又教了我McAfee的使用注意事项。然后我就聊别的事了。

在电脑检查过程中，我的电脑被发现隐藏了好几个木马程序，其中最危险的应该是一个会窃取Cookie信息的盗号木马。Cookie信息是保留我常去网站的账号和密码的地方，虽然我有密保，但被盗贼了总还是不好。幸好有小马在，之后我也将重要的密码给修改了。虽然我中了盗号木马，但我发现密码还没被修改过，其实密码没被修改是正常现象。

小马告诉我，windows的个人操作系统，中病毒是很正常的事，也没有绝对安全的杀毒软件。据小马透露，在黑客界有一门很基础的技术，叫做“免杀”。所谓“免杀”，是一门将黑客工具、木马、病毒等免遭杀毒软件查杀的技术。“免杀”是要专门针对某一款杀毒软件来做的，做了免杀的木马程序杀毒软件在相当一段时间内是没有办法查出来的。一个木马程序在被发布到网上时通常会对市面上流行的杀毒软件都做免杀处理，也可能只做一两款杀毒软件的免杀，因此杀毒软件知名度越高，就越是会成为免杀的对象。从这点上来看，杀毒软件的经营环境实在是相当的不好，名气低了，没人用，名气高了，又会被人做免杀，从而减低了查杀病毒的能力。杀毒软件要解除对应的免杀，只有当个别网民被病毒危害了，当杀毒软件公司获得做过免杀的病毒数据时，然后才能做出对应的升级包。但在这木马被发布和杀毒软件能查杀这段时间内，木马能造成多大的危害，这都很难估计的。

这时我问小马那McAfee杀毒软件，不是也不安全，也会遭到免杀。这是当然的，被免杀这是所有杀毒软件不可避免的命运，McAfee、瑞星、360等等所有杀毒软件都不能避免被免杀，但他们都能很好的查杀那些免杀已经失效的木马病毒。所以说杀毒软件应该安装，但是无论装了哪款都是一样。现在看过本篇文章的朋友，如果还在认为哪款杀毒软件最好，查杀能力怎么怎么的强，以为安装了就能高枕无忧，那就是大错特错，迟早会吃苦头的，本人之前就是这种人，现在终于领悟了。其实，杀毒软件公司早知道这点，并不存在杀毒能力绝对强的软件。但为什么最近瑞星和360要吵得沸沸扬扬呢？这不是做秀又是什么呢？

小马推荐我用McAfee并不是因为它的杀毒能力好，而是因为它比其它杀毒软件要多些功能。McAfee是国外的一款著名杀毒软件，有许多独特的技术，其中它的“访问保护”和“缓冲区溢出保护”都相当的有特色，能最大限度的限制各种软件的底层操作，当然由于这些功能必须手动根据实际需要来设置，设置不当又会对正常软件造成麻烦，使用起来还真有点复杂，因此默认安装是关闭的。

这里还不得不提一下Windows操作系统的安全问题。Windows系统做得太复杂了，很多功能都是没有必要的，存在许许多多多余的底层操作。这些底层操作，用户是很难看出来的，只用被特殊设计的软件才能发现它们的作用，这里被特殊设计的软件绝大多数当然是病毒软件了。微软自己也认识到了这点，但是程序制作容易修改却难，连微软自己也不能去除那些多余的底层操作了，所以只能频繁的推出更新补丁来修复他们的漏洞。从某种意义上说，目前病毒如此众多，关键就是Windows惹得祸。当然最好根除病毒的方法就是微软重新做个操作系统，一个强大，代码精简，没有沉与，没用多余底层操作的系统。但这是不可能的，不是技术问题，而是市场不行。Windows操作系统之所以能做到现在的垄断地位，不仅仅是因为它有众多的终端用户，更重要的是因为有太多的应用程序是依附在Windows操作系统上的，就是这些应用程序的支持限制了Windows不能重新制作，只能不断升级。既然Windows存在众多多余底层操作，应用程序也是基于Windows平台开发的，那就有可能也会存在多余底层操作，漏洞也会被传递到应用程序这边，这样病毒的发展空间就更大了。

所以目前能更好的控制病毒危害的方法就是限制程序的多余底层操作，只能通过对内限制内部访问，对外限制网络访问，只允许你需要用到的功能或软件使用，其它统统禁止，这样即使中了病毒，也不会有危害。所以我现在真正在使用的是McAfee的“访问保护”功能，即使是不幸中了“免杀”的木马病毒，但它由于能造成危害的地方被禁止了，所以也就不可怕了，等过几天杀毒软件的病毒库更新了，免杀病毒也就会被杀掉的。虽然我目前使用了McAfee，但并不认为瑞星、360等其它杀毒软件不好，我原先一直使用瑞星的，其市场份额和美誉度都很高，但这却坏事了，它成了众多不良黑客的免杀目标，最终导致我中病毒却没能查出来。另外还要说明的是McAfee的“访问保护”功能是限制计算机内部访问的，限制网络访问还得使用别外的网络防火墙才行，而瑞星的网络防火墙还不错，因为它操作简单，自动化程度高，所以我一直在用。

哈哈，现在我的中毒事件已经过去了，也没造成什么危害，又学到了很多新知识，真是因祸得福啊。我现在有很多电脑安全方面的知识要向小马兄请教了，以后我会陆续记录在我的博客中。

最后再提供几个我刚学的电脑安全注意事项：

1. 尽量自己多学些电脑安全技术，能自己修电脑尽量自己来修，修不来也应尽量找技术好的熟人来修。如果要找市场的电脑维修公司，一定要找信誉好的。经常听说一些不道德的维修公司，明明你的电脑没什么大问题，却偏要说成很严重的样子。更有胜者，你明明没有中毒，却偷偷在你电脑中装个病毒。反正你不懂，被骗也不知道。
2. 重要资料多备份，备份地点不单一，比如硬盘上备份了，U盘上再备份，然后网络硬盘上也备份一遍，一般备份3份应该差不多了。
3. 开启Windows的自动更新功能，这样系统的漏洞就会更少，很多病毒制造者都是根据微软最新的补丁，来制作病毒的，这样那些没有及时更新系统的电脑就会容易中毒。
4. 很多网站都有提供保存账号和密码的cookie功能，这个功能应该尽量少用。至少重要的账号密码不应该用。我之前连网络游戏的账号和密码都是自动记录，还好这次账号没有丢。

【原创文章，转载请注明出处，2010年2月14日0时首发于飞鱼博客blog.e-520.com.cn，作者：Aerofish，祝大家虎年快乐】