最近看到不少人中了病毒 ( 不管是首頁綁架 或是挖礦 甚至是勒索病毒 ) 至少我目前是沒中的 我提供一下我自己的心得 在 16 年前我還在使用 Win98 的時代 那時候不是很懂 忘記是中了甚麼病毒 總之是被搞得很慘 之後就開始自己摸索防毒 後來使用 XP 時 在 11 年前 我寫了這篇 #14v9Uzvb 的心得 不過後來就沒寫有關登錄資料庫和防火牆設定 後來這幾年改用 Win7 後 之前 XP 時期的登錄資料庫設定太久沒碰都忘了 然後那時候我用的 Sygate Personal Firewall 後來這家公司早就沒更新了 也跟 Win7 不相容 所以只好另外換防火牆 不過使用習慣還是一樣的道理 常常會看到有人寫 " 只要不亂點連結 不亂安裝軟體就沒事 " 或者是 " 只要裝了防毒軟體就沒事 " 這些都是錯誤的觀念 那樣做並不保證你的電腦沒事 只要你的使用習慣很差 照樣容易中獎 這裡要講的一點很重要 就是 " 預防重於治療 " 尤其是現在勒索病毒猖獗 一旦中獎 幾乎是無解 那預防就非常非常重要了 我的預防方式有以下幾點 : ( 以 Win7 SP1 Home Premium 為例 ) 1. 帳號與密碼 任何帳號最好都要設密碼 而且開機時最好要輸入密碼才能登入 再來密碼最好用複雜的 例如用 $c0ttB0r@$ 既複雜又容易記 萬一真的被攻陷 要暴力破解也要花一些時間 然後要停用來賓帳戶 控制台/使用者帳戶與家庭安全/使用者帳戶/管理其他帳戶/ Guest來賓帳戶 將其關閉 2. 網路芳鄰 停用 File & Printer Sharing for Microsoft Networks 和 停用 NetBIOS over TCP/IP 控制台/網路及網際網路/網路共用中心/變更介面卡設定 點選你使用上網的介面卡 滑鼠右鍵/內容 將 File & Printer Sharing for Microsoft Networks 該選項打勾給取消 再點選 TCP/IPv4 /內容/進階 點選上方 WINS 的 Tab 選 停用 NetBIOS over TCP/IP 3. 檔案與資料夾 忘記是哪個病毒 檔案是放在預設隱藏的資料夾位置 就算用掃毒軟體或是 Adwcleaner 抓出來掃掉 後來還是會死灰復燃 因為躲在你隱藏的地方 檔案總管/組合管理/資料夾和搜尋選項/檢視 在 隱藏檔案和資料夾 選 顯示隱藏的檔案 資料夾和磁碟機 4. 服務 沒有用的服務就關掉它 如 Remote Desktop Services 和 Remote Registry 和 Internet Connect Sharing ( ICS ) 開啟服務 : a 開啟/電腦 右鍵/管理/服務與應用程式/服務 b 開啟/輸入 services.msc 停用 Remote Desktop Services 和 Remote Registry 和 ICS 我平時也停用 Printer Spooler 等到要列印再手動啟動 停用 TCP/IP NetBIOS Helper 同時看看描述是空白的服務 有沒有特殊異常的服務 本來 XP 還有 Terminal Service 的服務 不過 Win7 已經改到別的地方 開啟/電腦 右鍵/內容/ 遠端設定 將 允許到這台電腦的遠端協助連線 勾勾取消 另外也不要用 TeamViewer 這款遠端桌面軟體 5. 上網前的準備 除了開啟工作管理員之外 還要開啟命令提示字元 在 開始 / 所有程式 / 附屬應用程式 / 命令提示字元 然後輸入 netstat -an 先觀察上網前的數據以及工作管理員有沒有呈現 CPU 飆高的情形 以上兩者都有替代軟體 觀察網路數據可以用 TCPView http://imgur.com/a/xW6q1 而工作管理員可以用 Process Explorer http://imgur.com/a/0KPZz 6. Windows Update 一定要開啟自動更新 一定要開啟自動更新 一定要開啟自動更新 很重要所以要說三次 這次不少人中毒 就是因為沒有做更新 7. 用 NAT 方式上網 不管是用分享器或是 router 只要不是以實體方式連網 就不容易被攻進來 這種方式的 ip 都是 192.168.開頭的 ip 8. 其他軟體 不少病毒並非從 Windows 漏洞攻進來 而是其他軟體的漏洞 尤其是 Flash Player 和 Java 如果可以就移除 如果還是有需要 一定要做更新 http://imgur.com/a/EGaQW 這也是我愛用 Avast 的原因 9. 瀏覽器外掛 現在有很多瀏覽器的安全連線外掛 如 McAfee 的 WebAdvisor Avira 的 Browser Safety Avast 的 Online Safety http://imgur.com/a/Hf7XU 安裝這些可以防止亂點到危險連結 http://imgur.com/a/f91nX 另外安裝 Adblock Plus 之類的防廣告外掛 也多少可以防範一些網頁廣告 另外也不要亂點不明連結 也不要隨便逛特定網站 尤其是對岸的 10. 防毒軟體 防駭軟體 及防火牆 這些該裝的還是要安裝 而且不要因為麻煩就停掉 至於哪些比較好用 我個人都是用免費的 重要的是 這三者中 一定要有一個是有 HIPS ( 主動入侵防禦系統 ) 方式的 http://imgur.com/a/L2uWZ HIPS 是能監控你電腦中檔案的運行 檔案運用其他的檔案 以及檔案對於登錄資料庫的修改 並向你報告尋求允許 只要你阻止了 那麼它就無法運行及更改 11. 開啟 UAC ( 使用者帳戶控制 ) 千萬不要嫌跳出視窗很麻煩就關掉它 否則一旦中獎 後悔就來不及了 控制台/使用者帳戶和家庭安全/使用者帳戶/變更使用者帳戶控制設定 不要調到最底下 ( 即不要通知 ) 12. 備份資料 備份檔案資料一定要用異地備份 例如光碟機或是上傳至雲端 如果要用外接硬碟備份 備份完後一定要拔掉 如果還是連在主機 一樣一起中獎 13. 開啟信件 以 Outlook 2010 為例 http://tinyurl.com/kxlu42z 不要任意開啟郵件附加檔 即使是朋友寄來的也要特別小心 14. 關閉自動撥放 這是要防 USB 病毒的 控制台/硬體與音效/自動撥放 將 所有媒體與裝置都使用自動撥放功能 的勾勾取消 以前在用 XP 時 我會用登錄資料庫設定和 Sygate Personal Firewall 把 135-139 和 445 的 port 全部關起來 ( Sygate 是 NIPS 的防火牆 可以直接針對特定 port 來設定 可是 Comodo 好像不行 我試過幾次都沒成功 ) http://imgur.com/a/o2lvi 現在用 Win7 135 和 445 的 port 一直都是開的 @@ 目前是用別的方式 好像是這樣 http://imgur.com/a/VqgQu 總之雖然目前 135 445 port 是開啟的 但是從 https://doublepulsar.below0day.com/ scan 是沒問題的 大概就是這樣 之後想到再補充 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.15.48.81 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1493669516.A.608.html ※ 編輯: Joba07 (101.15.48.81), 05/02/2017 04:19:34 ※ 編輯: Joba07 (101.15.48.81), 05/02/2017 04:39:31 ※ 編輯: Joba07 (101.15.48.81), 05/02/2017 08:19:49 ※ 編輯: Joba07 (101.15.48.81), 05/03/2017 00:06:09 ※ 編輯: Joba07 (101.15.48.81), 05/03/2017 20:51:07