指南:在不使用任何杀毒软件的实时防护的情况下,安全使用 Windows 电脑

讨论分享
,
22

不如期待数年后的Windows全面沙盒化

2 个赞
23

UWP 有沙盒,但是 UWP 的市场占有率你懂的。

24

其实不需要更换 DNS,我下载软件的时候一般会看下网页是不是https的,https被劫持的概率很低。然后再校验下数字签名,基本上差不多了。

杀毒软件的实时保护功能虽然确实能发现异常的应用,但是性能开销太大了。而且杀毒软件还有一个问题,它们会在系统里面插入组件,这些新增的东西本身就是风险点。

另一个问题是,很多用户高估 Windows 系统的不安全性,然后低估 macOS 的安全风险。但是说实话,大部分病毒真的是他们自己双击运行的,很多时候还顺便给了个管理员权限。良好的使用习惯比杀毒软件重要多了。非要遇见可执行文件就一定要执行,不管数字签名,不管从哪里下载的,Linux 也照样中病毒。

1 个赞
25

为什么浏览器必须要有可靠的 Sandbox

浏览器需要 Sandbox 是因为这个东西算是最大的风险点,浏览器会直接访问各种网页,然后网页里面还能运行 JS。访问到有恶意代码的网页的可能性太高了。如果没有浏览器沙盒的保护,一旦网页利用 JS 引擎或者其他浏览器的漏洞实现了任意代码执行,就直接获取了你的账户的权限,就算不是管理员权限,这也是非常高的权限。有沙盒的话,需要:

  1. 利用浏览器漏洞,实现任意代码执行。
  2. 利用操作系统内核漏洞,或者浏览器沙盒实现的漏洞,突破沙盒。

这比只有1难多了。

PDF 和 Microsoft Office 算是第二梯队的风险点。什么程序都放到独立的虚拟机运行是很安全,但是太难用了。

原则上图片文件和视频文件也能利用软件漏洞来达到任意代码执行,但是大部分视频播放器和图片查看器是没有沙盒机制的(Windows 10 自带的 UWP 版本的应用应该是例外,UWP 应用是有沙盒的),所以我就没提了。而且这些被利用的难度比网页高很多,需要用户先下载文件,然后使用特定的软件打开。

UAC

检查数字签名和 UAC 没有关系,只要是下载的软件,不管是否索要管理员权限,都必须检查数字签名。

看过去很正规的恶意软件

这种很麻烦。使用数字签名只能知道这个文件看过去比较正规,剩下的就靠常识了:你是否信任这个软件的发布者,它像不像一个流氓软件。如果不信任,我一般就直接把它丢 Windows Sandbox 里运行了。

至于你提到的 “诺顿杀毒软件”,“SGNews.exe”,请问有什么杀毒软件会把它们判断为病毒吗?有的话我打算装一个,或者在 VirusTotal 上看它们的扫描报告。

限制不需要管理员权限的软件

如果想要全面管控软件的权限,就要用我之前提到过的 ReHIPS 了,这个软件能全面限制软件的权限。虽然没法阻挡 Windows 内核漏洞导致的提权,但是它能极大地缩小攻击面。缺点是:非常复杂,不适合普通用户使用。

26

在不使用任何杀毒软件的情况下,安全使用Windows电脑。这前提是要有一定的电脑应用基础,因为环境没变,杀毒软件不干的事只能人干了,所以这个人要具备基本的手工查毒和杀毒能力。
对于小白来说,还是开着好,牺牲性能换安全,为了游戏性能能理解,其他时间还是不要关了。

1 个赞
27

虽然有时候Windows Defender老是删东西,我也常常想把他关掉,但最终没有这样做的原因是留着它始终是保留了一道防线,不论是真正意义上的防线,还是说其实只是一种心理作用,无论如何至少还算得上省心。
按照楼主的方法,不使用杀毒软件的同时增加了很多额外的心智负担,那么这样做的优点是什么呢?

2 个赞
28

杀毒软件还是建议上一个的,对于初学者直接上360比较方便,不喜欢广告且有动力折腾可以试试火绒(开启自定义防护,再去火绒论坛下几个规则)

  1. 查看数字签名确实是个鉴别病毒的方法,但对于喜欢折腾开源、小众软件的用户来说这条可能不太友好,而 VirusTotal 在扫描这类软件时也总是有几家会爆毒

  2. Google 作为世界上 T0 级别科技公司,其技术与能力毋庸置疑,因此 Chrome 在网页浏览方面的防护可能的确是最好的,但其扩展市场却良莠不齐,不少用户量极多的扩展都曾被发现过内推广告、窃取隐私等行为

  3. 自带沙盒的软件安全性较高,可惜数量较少,可以试试 Sandboxie (已开源) 这类第三方的沙盒软件

  4. 虚拟机推荐下 Virtualbox ,毕竟大部分用的还是家庭版Windows

实际上,在各大互联网巨头以及各家 信息安全公司的帮助下,如今的网络环境相比以前已经大大改善,甚至过于安全的环境使得杀毒软件演变为了一种象征物,但这并不代表已经不再需要杀毒软件了

  • 其一:本地的杀毒软件依旧能减轻用户的焦虑感(增加用户的控制)以及减少不必要的重复劳动(比如一个个看数字签名)
  • 其二:网络环境的改善并不意味着就彻底没有病毒,虽然一生中碰上病毒的概率无限地小,但没有多少人会选择冒着丧失所有数据的巨大风险,却只为了节省那一点点cpu与内存占用
29

优点

  1. 系统速度显著变快。我从2013年开始就没有用任何杀毒软件了,从来没有中毒过。
  2. 不会有乱七八糟的误杀干扰使用。
  3. 不会有乱七八糟的弹窗。当然这说的是各种XX管家,XX卫士。我的电脑常年无弹窗,有弹窗的应用都被我处理了。
  4. 操作系统不会被“安全软件”劫持,比如浏览器主页被篡改,被安装全家桶。当然这说的是各种XX管家,XX卫士。
  5. 系统稳定性显著提升。杀毒软件会修改系统,导致系统稳定性降低。Windows Defender 是系统自带的,不会有稳定性问题。当然你安装的系统设置类软件少的话,估计杀毒软件带来的负面影响没那么大。

心智负担

对我来说没有。我用 Linux 和 macOS 的时候是按照一样的步骤来保证安全性的。

  1. 你只需要在第一次运行程序的时候检查数字签名,不需要每次都检查。你应该不会天天安装软件吧?
  2. Google Chrome 以及 Microsoft Office 这些支持沙盒的软件安装了就能用了,不需要你思考什么。你浏览网站的时候也不用思考这个链接是否安全,有没有被挂马,直接点就是了。相比用 IE 浏览器的时候天天担心中毒,心智负担显著降低。钓鱼网站是另外一个问题,这个和因为浏览网页导致电脑中毒是两回事。

我以前被各种杀毒软件厂家的软文忽悠,以为 Windows 很容易中毒,导致用 Windows 的时候小心翼翼的。这显著增加了我的心智负担。后来发现 Windows 系统本身就很安全,只要把软件安装这个步骤管理好了,不做一些危险的行为,随便怎么用都行,完全不用担心。这显著降低了我的心智负担。

30
  1. 焦虑感是杀毒软件厂家的软文宣传出来的。比如很久很久之前我被“360安全浏览器”的广告忽悠得从 Firefox 转到了它;后来认识到“360安全浏览器”用的是 IE 内核,一堆安全漏洞,远远没有 Firefox 安全;然后我就很生气地切换回了 Firefox。
  2. 很遗憾的是,macOS 用户都没有用杀毒软件,他们也不用 VirusTotal。他们普遍对 macOS 的安全性有种蜜汁自信,觉得不管运行什么乱七八糟的软件,就是不可能中毒。我是少数会去检查软件安全性的 macOS 用户。
  3. 数据丢失风险,这个,备份到移动硬盘就好了。备份完了物理断开连接。
31

其实真小白遇见病毒的可能性不大,更多的是流氓软件,这玩意儿签名可看不出来,哪怕是杀软也不会完全隔离掉。

其实我觉得与其从下载页面分辨,不如直接用广告拦截工具。看不到自然点不了了。

至于杀毒软件,还是要装一个的,所谓玩游戏不需要杀毒软件,那是建立到你可以正确使用Steam等工具的前提下,在国内能做到这一点,你根本没办法被分类到小白。

真正的小白,用盗版软件,下盗版游戏(这是有国情在这,国内你根本没办法去要求普通人全正版),那有一个有足够覆盖率的杀软是必须的;这一系列的盗版软件带毒的可能性比只看在线视频的高太多了。

当然会有性能损失这是必然,当然你也可以选择占用较低的杀软。

不装杀毒不是不行,但那不是小白可以玩得转的

占比小所以较少有针对mac的病毒而已,当然它就显得安全,另外相对封闭的软件来源也是个问题,你侧载的话依然会有不小几率能中病毒,更容易的方式是邮件,我就见过几个因为病毒邮件中勒索的mac电脑

32

路不拾遗是可能存在的,
但是推广路不拾遗的, 一定没安好心.

33

要安全不都是使用的不联网的电脑吗?联网了怎么可能“安全”?人工写的代码怎么可能没漏洞?操作系统开发公司员工们和外包公司员工们,网络服务商啥的不都能掌控你电脑吗?

34

小白遇见病毒和流氓软件的我都见过,
中了毒(同学或朋友、哥哥)就让我去弄,
头都大[苦笑],杀不掉啊杀不掉。。。
有些流氓软件也是,弄走有点困难,
所以,在那一点点性能和安全二选一的话,我选择安全与省心

1 个赞
35

中毒…重装吧
流氓软件的话用工具大概率还是能恢复到可用阶段的,主要是卸载工具或者手段一定要扫描残留和注册表,不然卸载了也没用

36

这是你的观点:

这是我的观点:

1 个赞
37

这点操作能防的毒随便来个杀软一样能防,顶多防点流氓程序

无论是小白还是老鸟电脑里带个杀软都是最安全省心的防护方案

性能损耗?不会有人的电脑全天候满载吧?

游戏、渲染之类的高负载情况把杀软关了不就行了,在这些场景下也不会进行什么有风险的操作了

所谓的弹窗、劫持完完全全的流氓软件的错,为什么要一棍子把杀软全部打死呢

1 个赞
38

同学那台机子确实是通过重装解决的,
忘了当时机子的状况是怎样的了,
反正可以视为一台不是很正常的机子,
台机,“洋垃圾”货场里捡的,
当时费了好大的劲,麻烦得很

39

要不再教教如何最大限度的拦截各种广告、弹窗附带自动安装各种贪玩蓝月等流氓软件吧~

40

还有一个问题,很多时候电脑城里的电脑早就加入广告联盟了,安装的系统是正版的,但是自带各种垃圾软件,浏览器主页绑定。

最关键的是第一步,需要遭遇流氓软件的入侵和病毒的宣传,人们才会知道这些东西。

41

这,你不安装不就没有流氓软件了吗?

虽然网上有很多安装了国产的不开源的免费的商业软件,然后发现电脑被流氓软件绑架的故事。但是我安装了这么多,好像都没啥事,一点弹窗都没有。我10年前左右安装了2345好压都没事;还有很多现在被放在流氓软件榜单上的软件,我之前都用过。 :joy: 可能是在我不用它之后变流氓的?我知道很多国产的不开源的免费的商业软件有流氓行为,比如我之前发现很多国产软件居然安装了内核驱动。但是它们又不是硬件驱动,安装内核驱动肯定不正常。你可以用 InstalledDriversList 看下,估计有惊喜。但是弹窗真的几乎不存在。

偷数据这种问题比较麻烦,隔离应用权限很简单,问题是 Windows 安装软件大部分时候强制要求管理员权限。你一旦给了管理员权限,等于给了这些流氓软件核弹发射按钮,它们可以把你的电脑直接给端了。甚至在极小概率情况下,重装可能都没用,我知道有些软件会感染恢复分区,应该也有软件可以直接感染重装的U盘(你制作重装U盘的时候,一般是在这台被感染的电脑上做的,所以它们可以污染你的U盘)。

如果不怕麻烦,确实想要隔离流氓软件(你就把所有国产软件全隔离了得了,免得还要分辨什么是流氓,什么不是)和正常软件,可以看下我的这个帖子: