看见很多朋友辛辛苦苦打造起来的角色经常被盗，心里实在是很同情他们，又看见一些一知半解的“防范”类文章，感觉很片面漏洞很多，在此介绍一下自己的防御体系，不但是防御盗号，也同时希望提升大家的系统安全防御能力。

本人平时很喜欢接触安全软件和木马病毒的样本，对其常用手法有一定的经验了解，木马一般有特定针对某款游戏的木马，也有多用途全方位的木马（例如大家熟悉的鸽子），鸽子类的木马功能很多，除了键盘**，还有录象抓屏开后门等功能，并不只是盗号，而是要完全控制肉鸡系统，所以一旦被盯上，有时即使改密码，只要再登陆再被**依然会重复被盗。没有特定对象的木马是很倚赖即场监视功能的，包括截图，进程管理器，录象等再配合键盘**完成盗号，但是作为其关键的图象传送从理论上是比较消耗带宽的，显得不方便，于是编写的人适应不同要求就另外编写单独针对某游戏的木马或增加单独功能。要写也不难，基本思路就是运行后遍历进程管理器，得到当前运行中的进程并检测是否有符合的目标（例如剑侠世界的进程名为game.exe），每隔5秒检测一次，一旦发现game.exe运行，就启动键盘**并生成**记录（记录时击键间隔1秒自动换行记录），1分钟后停止**并发送**报告到指定邮箱。

以上是常见的木马手法（不用木马能盗得了号的是很偶然的，只要是在家上，完全可以忽略）。既然要利用木马，就要植木马了，例如针对的是剑世的玩家，就要找一些他们上线的场所（网吧是首选），找一些他们经常会去浏览的网站（例如交易平台，攻略专区，伪装剑世的外挂插件私服，更绝的就是在游戏里说有某某x网叫你去看，实际上是他设置的陷阱，里面有特定针对剑侠的马呵呵，什么刷金币的都是如此），当然了，去的也不见得是傻子，我就天天去，哪里毒我往哪钻（找样本哈哈），上报这些样本也是为了保护大家，还有就是冒充好朋友在QQ直接传给你让你运行，最后的方式对高手不太容易对新手也许成那就是得到你IP后直接入侵植马，这个我后面会有防范对策。

木马是天天更新的，新鲜出炉才有效，又或者随便修改下，例如今天金山更新后杀了这个病毒，那么我就重新定位下特征，做个填充，换掉些功能，再扫一次，好了“没毒”了，再放出去。这次杀软当然就失灵了。说到底，特征码杀毒是很不可靠的，本人的鸽子（只是2006黑防专版，还未是VIP版本）用复合定位填充过瑞星、NOD32和卡巴，用打底修改过金山，要文件头偏移过费尔江民，MACFEE和Avast这些国外更新慢而且冷门的就基本不去做免杀了，至于那位仁兄说的木马清道夫木马杀客之类的花瓶改都懒得改，随便加个壳就KO！最高记录一日4过卡巴（老卡一日新入库4个新鸽子其实都是同一个呵呵），居然还听见360都有人用诧异得很，那东西文件名加路径识别的清理下系统打下补丁还可以，指望杀马绝对不成。

虽然杀软很脆弱，但是没了它绝对行，因为系统有很多漏洞（即使补丁打全设置得很好）但毕竟是前台设置而且没有驱动权限，所以不装杀软的防御是行同虚设的。那么装什么杀软呢？首先要跳出频繁上报升级的怪圈，主动防御是首选（这里推荐微点，在行为智能判断方面它是很出色和完善的）主动防御类杀软是从行为着手去跟踪程序的动作和判断拦截，不倚赖特征更新，木马都有共通的行为，抓住关键就可以轻松防御了，其次微点对驱动加载类木马的防御也是很有效的，避免了木马取得驱动权限后对杀软的攻击和还原类穿透。本人除了装微点，还安装了Sophos，它的检测率在传统特征杀软里是一流水平的，基本和红伞齐平，对付网马很灵敏，可以弥补微点在网马防御方面的不足。装了两个杀软就够了？其实还没！一个完善的体系需要杀软，防火墙，还原软件和最少的基础漏洞。还原类推荐影子系统（虚拟机感觉不适合普通用户使用，ghost用镜象文件方式太脆了很容易破）影子是虚拟硬盘类保险性高一筹。防火墙除了天网其它都不错，我自己是用风云的（因为装多了会冲突所以要设置下排除名单）。

除了装安全软件，平时还要勤打补丁，用尽一切工具都要把补丁打全，关闭不必要的端口，例如135，137，139，445，3389，4899等，关闭共享服务，关闭远程协助远程注册表等危险高的服务，为避免泄露自己的IP遭到直接攻击，可以采用好的防火墙，不过最有效的还是用代理（这样对外的IP即使几万台机都是一个IP，对方要入侵就徒劳无功，本人是校园网所以不需要另外的代理）

好了，基本介绍到这，本人这套组合还是很好用的，两年没重装过还是干净飞快呵呵，祝大家游戏愉快，系统健康！