安全課堂:從零開始為您電腦系統做漏洞自檢

【賽迪網－IT技術】近來黑客攻擊事件頻頻發生，我們身邊的朋友也不斷有QQ、E-mail和遊戲賬號被盜事件發生。現在的黑客技術有朝著大眾化方向發展的趨勢，能夠掌握攻擊他人系統技術的人越來越多了，只要你的電腦稍微有點系統Bug或者安裝了有問題的應用程序，就有可能成為他人的肉雞。如何給一台上網的機器查漏洞並做出相應的處理呢?

一、要命的端口

計算機要與外界進行通信，必須通過一些端口。別人要想入侵和控制我們的電腦，也要從某些端口連接進來。某日筆者查看了一位朋友的系統，吃驚地發現開放了139、445、3389、4899等重要端口，要知道這些端口都可以為黑客入侵提供便利，尤其是4899，可能是入侵者安裝的後門工具Radmin打開的，他可以通過這個端口取得系統的完全控制權。

在Windows 98下，通過「開始」選取「運行」，然後輸入「command」(Windows 2000/XP/2003下在「運行」中輸入「cmd」)，進入命令提示窗口，然後輸入netstat/an，就可以看到本機端口開放和網絡連接情況。

那怎麼關閉這些端口呢?因為計算機的每個端口都對應著某個服務或者應用程序，因此只要我們停止該服務或者卸載該程序，這些端口就自動關閉了。例如可以在「我的電腦 →控制面板→計算機管理→服務」中停止Radmin服務，就可以關閉4899端口了。

如果暫時沒有找到打開某端口的服務或者停止該項服務可能會影響計算機的正常使用，我們也可以利用防火牆來屏蔽端口。以天網個人防火牆關閉4899端口為例。打開天網「自定義IP規則」界面，點擊「增加規則」添加一條新的規則，在「資料包方向」中選擇「接受」，在「對方IP地址」中選擇「任何地址」，在TCP選項卡的本地端口中填寫從4899到0，對方端口填寫從0到0，在「當滿足上面條件時」中選擇「攔截」，這樣就可以關閉4899端口了。其他的端口關閉方法可以此類推。

二、敵人的「進程」

在Windows 2000下，可以通過同時按下「Ctrl+Alt+Del」鍵調出任務管理器來查看和關閉進程;但在Windows98下按「Ctrl+Alt+del」鍵只能看到部分應用程序，有些服務級的進程卻被隱藏因而無法看到了，不過通過系統自帶的工具msinfo32還是可以看到的。在「開始→運行」裡輸入msinfo32，打開「Microsoft系統信息」界面，在「軟體環境」的「正在運行任務」下可以看到本機的進程。但是在Windows98下要想終止進程，還是得通過第三方的工具。很多系統優化軟體都帶有查看和關閉進程的工具，如春光系統修改器等。

但目前很多木馬進程都會偽裝系統進程，新手朋友很難分辨其真偽，所以這裡推薦一款強大的殺木馬工具──「木馬剋星」，它可以查殺8000多種國際木馬，1000多種密碼偷竊木馬，功能十分強大，實在是安全上網的必備工具!

三、小心，遠程管理軟體有大麻煩

現在很多人都喜歡在自己的機器上安裝遠程管理軟體，如Pcanywhere、Radmin、VNC或者Windows自帶的遠程桌面，這確實方便了遠程管理維護和辦公，但同時遠程管理軟體也給我們帶來了很多安全隱患。例如Pcanywhere10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題，一旦入侵者通過某種途徑得到了*.CIF文件，他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號和密碼。

而Radmin則主要是空口令問題，因為Radmin默認為空口令，所以大多數人安裝了Radmin之後，都忽略了口令安全設置，因此，任何一個攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機器，並做一切他想做的事情。

Windows系統自帶的遠程桌面也會給黑客入侵提供方便的大門，當然是在他通過一定的手段拿到了一個可以訪問的賬號之後。

可以說幾乎每種遠程管理軟體都有它的問題，如本報43期G12版介紹的強大的遠程管理軟體DameWare NTUtilitie。它工具包中的DameWare Mini RemoteControl某些版本也存在著緩衝區溢出漏洞，黑客可以利用這個漏洞在系統上執行任意指令。所以，要安全地遠程使用它就要進行IP限制。這裡以Windows 2000遠程桌面為例，談談6129端口(DameWare Mini RemoteControl使用的端口)的IP限制:打開天網「自定義IP規則」界面，點擊「增加規則」添加一條新的規則。在「資料包方向」中選擇「接受」，在「對方IP地址」中選擇「指定地址」，然後填寫你的IP地址，在TCP選項卡的本地端口中填寫從6129到0，對方端口填寫從0到0，在「當滿足上面條件時」中選擇「通行」，這樣一來除了你指定的那個IP(這裡假定為192.168.1.70)之外，別人都連接不到你的電腦上了。

安裝最新版的遠程控制軟體也有利於提高安全性，比如最新版的Pcanywhere的密碼文件採用了較強的加密方案。

(