从用户到管理员 间谍软件的诸多责任

  这个小贴士是关于在处理间谍软件(spyware)和广告软件(adware)时如何理解和应用最优方法的,它可以用在一台单独的台式机、家庭网络、小型办公室网络或者是企业级网络中的一定数量的计算机中。它最好是表示为一系列的警告以此来确保你的计算机(以及用户)能够识别那些间谍软件,并且知道如何保护自身不受这些软件的危害。

  阻止间谍软件是一个过程,它有很多层次。有些任务得让用户来做,另外的一些得让管理员来做。这些忠告贯穿最基本的开始直到发展到高级的实践。

  “保护你的个人电脑”

  这实际上是在微软主页上的一个十分有用的提供资料的网页的标题。当这个网页第一次出现的时候,它就建议每一个访问者在访问之后要做到(a)使Windows保持最新,(b)使用个人防火墙,以及(c)使用最新的反病毒软件。

  最近这个网页忠告访问者“使用微软的Windows 安全中心(Windows Security Center)”(它包括上述所有的主要部分),并且“得到微软的反间谍软件,”它包括优秀的微软反间谍软件的试用软件包(仍旧是免费获得;同时微软也在它的反间谍软件( antispyware) 页面中链接了Lavasoft Ad-Aware SE 和Spybot Search & Destroy来清除间谍软件和广告程序,这个使我大吃一惊)。

  使用间谍软件的扫描器/ 筛分器

  只有当你安装了适当的反间谍软件的软件包,你才不会受到间谍软件和广告程序软件的侵害,(参见TopTenReviews 公司的反间谍软件排行榜,在那上面列出了各种软件的类型特点以供参考)。第一个安装在你的机计算机上的该类型的软件包,它通常也仅仅就像是反病毒软件一样地工作。但是,它不仅是定期地运行并且扫描你的硬盘,而且它会检查所有接踵而来的文件、 消息、 网页等,从而找出并且阻止间谍软件、广告程序软件以及其它恶意软件进驻你的机器。就因为那个原因,扫描的作用是非常重要的,因为它提供实时保护以防止潜在的大量恶意软件的攻击。

  每周运行至少一次备份扫描

  最近研究表明,与反病毒的软件包不同(大多数的软件包在病毒处理部门是按规定达到100%的有效率等级,就像是病毒通报100%清除(Virus Bulletin 100% award)所表明的那样),没有一个单独的反间谍软件的软件包能够正确的识别或者是阻塞所有我们知道的间谍软件(更别提那些新的、我们不知道的间谍软件的了)。

  因此,最佳的实践表明你需要在所有的机器上至少安装两个反间谍软件包。其中的一个软件包用于实时筛选和定期扫瞄;另外一个软件包每周作为备份扫描器使用一次,目的是捕捉另一个软件包可能错过的间谍软件和广告程序软件。当然,必不可少的一点就是:保持这两个或者更多的软件包的不断更新,以此来确保它们能够扫描出那些确实存在的恶意软件。最好是自动完成这些扫描以防人为错误导致没有发现间谍软件。

  了解清除:过程和工具

  反病毒软件还有很多用处,反间谍软件工具能够在已知形式的间谍软件蔓延之后将其检测出来并且进行清除。然而,值得我们关注的是那些功能强大、多种用途的清除工具如Hijack This!。你可以在MajorGeeks.com这个网站上去下载它,而且在这个网站你还会发现大量的关于间谍软件、广告程序软件以及病毒的清除指南,它讲述了清除的基本任务和相关过程。“官方”的Hijack This!套装软件还涉及到了许多关于如何使用它来检测以及帮助指导清除这方面的信息和用法说明。

  MajorGeeks 的间谍软件工具页也是一个列出这些最有用的工具的纲要。它值得我们花时间来研究。

  使用一台rootkit 检测器

  近来还有另外一种恶意软件在网上蔓延。它是一种很特殊的、极其难以察觉的软件,而且它能够尽可能不被发现的自动安装和运行。

  Rootkits是一个有特殊恶意的软件工具包,它是针对特定的操作系统的(或者是一系列系统,例如所有的32位的Windows版本),而且它能够掩人耳目的以管理员级别的身份入侵。Rootkits通常安装在一个或者多个操作系统中、在后台隐蔽运行、搜集用户名和密码,以此来进行更进一步入侵和破坏。

  虽然这些工具能经常的自动运行(并且在那种模式下仍存在很大危险性),但是它们越来越多的融入到高明黑客散播的间谍软件和病毒中。它们甚至可能与Trojans病毒结合在一起通过局部地区网或者互联网将其获得的信息传送到边远地区。它们允许键盘记录软件(keyloggers)来捕获帐户信息、密码以及其他敏感数据。

  Rootkits最现实的问题在于:大多数的反病毒或者反间谍软件的工具并不能检测到它们。我们急切需要一类称作rootkit检测器的特殊的工具来检测捕获这样的恶意软件。更为糟糕的是,到目前为止还没有自动的清除工具能够清除掉rootkits,因此阻止这种蔓延的唯一办法只能是清除驱动,重新安装你的系统(然后通过你知道的安全干净的备份来恢复你的数据文件和软件)。

  为了了解更多的关于这个主题的知识,得到更多的关于检测器的说明指导,请访问rootkit.com这个网站或者阅读该网站管理员Greg Hoglund and Jamie Butler所著的书:《Rootkits:Subverting the Windows Kernel》(Addison-Wesley出版社,2005年,国际标准图书编号ISBN:0321294319)。

  通过遵循这些简单步骤——选择正确的软件组件来处理这里描述的各种问题、执行保护措施——个人以及组织都可以进行适当的保护以防止恶意软件。下周的小贴士钟我会讲述更多的细节(和工具)。