今天我先讲讲防病毒的基本思路,至于详细操作方法,建议大家问下deepseek即可。
一.账户控制
a.只使用两个账户,一个标准用户权限,一个管理员权限,禁用系统默认的administrator和guest,如需要开启共享,建议在组策略中把guest账户改名称。
b.开启组策略中的本地安全策略,这样在系统日志中就会记录创建、登录等账户的日常操作,给大家发现的黑账户的可能性,当然日志可能会被清空,建议搜索下我csdn博客发的使用python在系统登录后,自动发送邮件通知自己的文章,这样就能实时监控自己的个人电脑。
c.
1.系统可能存在如xxxx
这
样
以
这样以
这样以结尾的隐藏账户,通过net user、lusermgr.msc、登录界面都看不到;2.有些黑账户会克隆正常账户的SID安全标志符,比如克隆admin账户的sid,那么这个账户就有管理员的权限,如果再以KaTeX parse error: Undefined control sequence: \SOFTWARE at position 45: …Y_LOCAL_MACHINE\̲S̲O̲F̲T̲W̲A̲R̲E̲\Microsoft\Wind…结尾的隐藏账户
对于2,需检查注册表中的sam注册表项,注意默认的系统账户没有查看sam的权限,需要添加下,添加后检查user项和账户的sid,也可以通过powershell运行如下命令查看:Get-LocalUser | Format-Table Name, Enabled, SID
对于3,直接查看对应账户的dword值即可。
4.有些账户可能使用了一些特殊技术,比如通过rootkit隐藏了一些东西,比如注册表的某些账户相关项目,这样你在ring3权限下是看不到的,可以通过一些反rootkit工具查看。
二.文件控制
文件控制相对简单一点,主要是使用技巧。
1.安装杀毒软件,并把实时监控全部打开,并设置到最高,有人说会卡,其实不然,因为现在的cpu都是多核,而且现在的杀毒其实占用资源并不大,完全可以开启所有安全设置,并设置杀毒软件的保护密码,达到最大保护效果。
2.使用组策略的软件限制策略,添加你需要保护的目录到其他规则-新建路径规则里去,这样这个目录里运行不了程序,然后在一步步的添加需要允许的程序路径,允许的程序的优先级自动大于禁用的目录,这样我们可以把一些重要的系统目录添加进去,比如temp这种藏污纳垢的地方,当然有些安装程序也会解压安装文件到temp目录,需要使用时再解除限制即可。
3.注意杀毒软件的使用习惯,建议安装带反rootkit的杀毒软件,顺便说说反rootkit吧,有些病毒运行在很高的权限下,我们普通权限的用户是看不到这些病毒文件、注册表、驱动文件的,这时就需要反rookit工具,这类工具以前有很多比如冰剑等,现在win10-11能用的不多,比较官方的就是安天的Atool,自带4重验证功能,是手杀rootkit病毒的好工具,可以检查的项目也很多,自启动、注册表、服务、ssdt、系统钩子都能查,一般有风险的会显示黄色或橙色,比较醒目,一目了然,对于一些隐藏做的比较好的病毒就需要经验和综合比较、分析才能判断,这时就需要第4条。
4.在线云端扫描病毒,这类网站有很多,国外的有virustotal,国内有奇安信威胁情报中心,经过我使用下来的结果,virustotal比较适合小白,结果比较直观,结合了各种防病毒库;而奇安信作为国内安全界老大,你可能没听说过它,但是你一定听过ios的盘古越狱工具,现在它们是一家公司了。奇安信威胁情报中心做的比较专业,不单单有病毒库云端扫描,还有沙箱可以分析病毒文件的所有,比如exe文件使用的所有dll库、运行时访问的所有域名,并能在它的数据库中扫描这些域名的危险性,你上传上去的文档或者exe程序、安装包,它能自动安装并分析运行时的各种行为,你甚至能像虚拟机一样控制沙箱里运行的程序方便测试这个病毒样本,至于怎么使用这个网站,只要把你在杀毒软件或反rootkit工具中查到的可疑病毒拖进去就行了。
三.网络防御
1.万变不离其中,杀毒软件不可少,同时不管你是什么版本的系统,都要把系统更新打开,并更新所有重要的补丁,一些人偏见的认为更新系统会导致系统卡顿,我再重申下,请关闭传递优化(win10以上特有),更新后会有一小段时间的卡顿,因为系统更新了很多文件,而你可能打开了文件索引功能,导致系统卡顿,所以可以关掉c盘目录的索引功能,只保留你的工作目录,对于固态硬盘或者m.2硬盘用户可以忽略,当然设置下更好,系统文件本来就不需要索引,至于机械硬盘用户,可以使用磁盘碎片整理工具整理下磁盘,可以重复多整理几遍,之后你会有一种全新的使用体验,更新系统后,建议使用系统自带的磁盘清理工具,清理下系统垃圾,如果是win10以上用户,可以打开存储感知,并把清理选项都打开并设置周期为一天,这样你的系统每天都能保持干净。
2.用好系统自带的防火墙,并关闭一些黑客通常会攻击的端口的出入站,比如138、139、445、3389,这些端口可以使用系统自带防火墙屏蔽掉出入站,当然这只是最基本的防御策略。但是对于个人用户也只能做到这步。对于企业级的防护,应用层面可以使用应用级的web防火墙WAF,网络层面的vlan分段,终端防护,比如EDR或XDR,日志监控审核服务器,网络探针,这样才能做到纵横双向的网络防御和入侵回溯复盘。
3.作为个人或小企业用户,建议可以使用网络分析工具,比如wireshark之类的,在交换机上做个端口镜像,把所有流量都导入到电脑本地网卡上,用wireshark分析网络流量,分析这些需要一定的专业知识,可以结合一些行为检测软件比如sysmon慢慢分析,wireshark可以抓一段时间的数据包,保存在本地慢慢分析,对于一些异常流量的行为分析有一定帮助,需要学习这方面的朋友可以看下《Wireshark网络分析的艺术》和《Wireshark网络分析就这么简单》这两本书是一个作者,大家可以看看,比较简单。
今天先说到这里,太多了大家也记不住,建议收藏,以后慢慢研究,也可以关注我,以便可以收到后续更新帖子,谢谢大家的观看,再见!👋
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
