免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

文章對象：一般上網(wǎng)用戶
文章目的：不使用任何外界工具簡單防御和解決一般的木馬病毒

關(guān)于病毒木馬網(wǎng)上的資料實(shí)在是太多，怎么說都很難說是自己原創(chuàng)的文章，所以金州在此說明，凡是網(wǎng)上已經(jīng)很詳細(xì)的資料就不再多寫了，主要是說明一個思路。這個文章本來是寫給我的一位上海的朋友的，是很簡單的東西。
說明：1．因?yàn)槲业呐笥巡淮髸霉ぞ?，所以這篇文章說的是不用任何工具的簡單的對病毒木馬的防御和解決．
2．解決的也是簡單的木馬病毒，我的朋友是一般使用電腦的用戶。中了復(fù)雜的病毒木馬我干脆勸他重裝。
3．針對的是我朋友的Windows XP 專業(yè)版本系統(tǒng)。
4．關(guān)于網(wǎng)上已經(jīng)很詳細(xì)的一些方法，不再做過多闡述。可自己搜索。

一．基本防御思想：備份勝于補(bǔ)救。

1．備份，裝好機(jī)器之后，金州首先備份c盤（系統(tǒng)盤）windows里面，和C:\WINDOWS\system32下的文件目錄。
運(yùn)行,cmd命令如下；
dir/a C:\WINDOWS\system32 >c:\1．txt
dir/a c:\windows >c:\2．txt
這樣就備份了windows和system32下面的文件列表，如果有一天覺得電腦有問題，同樣命令列出文件，然后cmd下面，fc命令比較一下，格式為，假如你出問題那一天system32列表為3．txt，那么fc 1．txt 3．txt >c:/4．txt
(金州說明: dir/a是為了察看隱藏文件，備份位置放在c根目錄是為了好找)
因?yàn)槟抉R病毒大多要調(diào)用動態(tài)連接庫，可以對system32進(jìn)行更詳細(xì)的列表備份，如下
cd C:\WINDOWS\system32
dir/a >c:\1．txt
dir/a *．dll >c:\>2．txt
dir/a *．exe >c:\>3．txt
然后把這些備份保存在一個地方，除了問題對比一下列表便于察看多出了哪些DLL或者EXE文件，雖然有一些是安裝軟件的時候產(chǎn)生的，并不是病毒木馬，但是還是可以提共很好的參考的。

2．備份進(jìn)程中的DLL, CMD下面命令
tasklist/m >c:/dll．txt
這樣正在運(yùn)行的進(jìn)程的DLL列表就會出現(xiàn)在c根目錄下面。以后可以對照一下，比較方法如上不多說，對于DLL木馬，一個一個檢查DLL太麻煩了。直接比較方便一些。
3．備份注冊表，
運(yùn)行REGEDIT，文件——導(dǎo)出——全部，然后隨便找一個地方保存。
4．備份C盤，（硬盤大的朋友使用，金州注釋）
開始菜單，所有程序，附件，系統(tǒng)工具，備份，然后按這說明下一步，選擇我自己選擇備份的內(nèi)容，然后把系統(tǒng)備份在一個你選定的位置。
出了問題，同樣打開，選擇還原，然后找到你的備份，還原過去就是了。
（金州說明，這個方法比系統(tǒng)還原好用，而且剩心，只備份才安裝時候的系統(tǒng)就好，是最終解決方案。）

二，基本防御思想，防病勝于治病。

1．關(guān)閉共享，這個網(wǎng)上說得很多，可以自己搜索，金州不再詳細(xì)說明。關(guān)閉139．445端口，終止xp默認(rèn)共享。
2．關(guān)閉服務(wù)server,telnet, Task Scheduler, Remote Registry這四個。防止一般小黑客常用的at命令等等。其他的服務(wù)可以搜索相關(guān)資料自己看著辦。（注意關(guān)閉以后定時殺毒定時升級之類的計劃任務(wù)就不能執(zhí)行了。）
3．控制面板，管理工具，本地安全策略，安全策略，本地策略，安全選項(xiàng)給管理員和guest用戶從新命名，最好是起一個中文名字的，如果修改了管理員的默認(rèn)空命令更好。不過一般改一個名字對于一般游戲心態(tài)的黑客就足夠了對付了。高手一般不對個人電腦感興趣。
4．網(wǎng)絡(luò)連接屬性里面除了tcp/ip協(xié)議全部其他的全部停用，或者干脆卸載。
5．關(guān)閉遠(yuǎn)程連接，桌面，我的電腦，屬性，遠(yuǎn)程，里面取消就是了。也可以關(guān)閉Terminal Services服務(wù)，不過關(guān)閉了以后，任務(wù)管理器中就看不到用戶名字了。
（金州注釋，注意如果你是一個喜歡黑客技術(shù)的人并且準(zhǔn)備學(xué)習(xí)研究黑客技術(shù)，以上設(shè)置不適合你，呵呵，另外相關(guān)安全細(xì)節(jié)網(wǎng)上資料很多，不再啰嗦。自己可以搜索看看。）

三，基本解決方法，進(jìn)程服務(wù)注冊表。

1． 首先應(yīng)該對進(jìn)程服務(wù)注冊表有一個簡單的了解，大約需要3個小時看看網(wǎng)上的相關(guān)知識應(yīng)該就會懂得了。
2．檢查啟動項(xiàng)目，不建議使用運(yùn)行msconfig命令，而要好好察看注冊表的run項(xiàng)目，和文件關(guān)聯(lián)，還有userinit,還有shell后面的explorer．exe是不是被改動。相關(guān)的不在多說，網(wǎng)上資料很多，有詳盡的啟動項(xiàng)目相關(guān)的文章。我只是說出思路。以下列出簡單的35個常見的啟動關(guān)聯(lián)項(xiàng)目，（金州聲明，不是我自己找出來的，只是覺得這個最全面一點(diǎn)。）
1． HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\．
4． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\Run\
9． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11． HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13． HKEY_CURRENT_USER\Control Panel\Desktop
14． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15． HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16． HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17． HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18． HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19． HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20． HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21． HKEY_CLASSES_ROOT\exefile\shell\open\command\
22． HKEY_CLASSES_ROOT\comfile\shell\open\command\
23． HKEY_CLASSES_ROOT\batfile\shell\open\command\
24． HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25． HKEY_CLASSES_ROOT\piffile\shell\open\command\
26． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
27． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28． HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29． HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34． HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
 （金州注釋，凡是木馬，必須要啟動，所以這些簡單的啟動項(xiàng)目還是應(yīng)該好好看一下的。）
3．檢查服務(wù)，最簡單的吧，服務(wù)列表太長，我估計你也不一定能全部記住。說一個簡單的，運(yùn)行msconfig，服務(wù)，把“隱藏所有的microsoft服務(wù)”選中，然后就看到了不是系統(tǒng)自帶的服務(wù)，要看清楚啊，最后在服務(wù)里面找找看看屬性，看看關(guān)聯(lián)的文件?，F(xiàn)在一般殺毒都要添加服務(wù)，我其實(shí)討厭殺毒添加服務(wù)，不過好像是為了反病毒。
4．進(jìn)程，這個網(wǎng)上資料更多，只說明兩點(diǎn)，1．打開任務(wù)管理器，在“查看”，“選項(xiàng)列”中把“pid”選中，這樣可以看到pid，所謂pid金州簡單理解為就是進(jìn)程的身份證，這樣便于很多相關(guān)的處理。2．點(diǎn)一個進(jìn)程的時候右鍵有一個選項(xiàng)，“打開所在目錄”，這個很明顯的，但是很多哥們都忽略了，這個可以看到進(jìn)程文件所在的文件夾，便于診斷。
5．cmd下會使用，netstat –ano命令，覺得這一個命令對于簡單的使用就可以了，可以查看協(xié)議端口連接和遠(yuǎn)程ip．
6．刪除注冊表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝
{0D43FE01-F093-11CF-8940-00A0C9054228}
兩個項(xiàng)目，搜索到以后你會看到是兩個和腳本相關(guān)的，備份以后刪除，主要是防止一下網(wǎng)上的惡意代碼
（金州注釋：如果對腳本感興趣，自己準(zhǔn)備學(xué)習(xí)相關(guān)知識并且測試的朋友不要刪除）

四，舉一個簡單的清除例子。

1．對象是包含在一個流行BT綠色軟件里面的木馬，殺毒可以殺出，但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和清除，當(dāng)然任何工具中包括殺毒。
2．中毒判斷：使用時候，忽然硬盤燈無故猛烈閃爍。系統(tǒng)有短暫速度變慢。有程序不正常的反映，懷疑有問題。
2．檢查，服務(wù)發(fā)現(xiàn)多了一個不明服務(wù)，文件指向C:\Program Files\Internet Explorer下面的server．exe文件，明顯的這不是系統(tǒng)自帶的文件，命令行下察看端口，有一個平常沒有得端口連接。進(jìn)程發(fā)現(xiàn)不明進(jìn)程。啟動項(xiàng)目添加server．exe．確定是木馬。
4．清除：打開注冊表，關(guān)閉進(jìn)程，刪除啟動項(xiàng)目，注冊表搜索相關(guān)服務(wù)名字，刪除，刪除源文件。同時檢查temp文件夾，發(fā)現(xiàn)有一個新的文件夾，里面有一個“免殺．exe”文件，刪除，清理緩存。當(dāng)然最好是安全模式下進(jìn)行。
5．對照原來備份的system32下面的dll列表，發(fā)現(xiàn)可疑dll文件，刪除，也可以在查看選擇“選擇詳細(xì)信息”選擇上“創(chuàng)建日期”（這個系統(tǒng)默認(rèn)是沒有添加的），然后查看詳細(xì)信息，按創(chuàng)建日期顯示，可以發(fā)現(xiàn)新創(chuàng)建的文件。這個木馬比較簡單，沒有修改文件日期。
（金州注釋，這是一個簡單的病毒，時間長了，記不住具體病毒開啟的服務(wù)的名字和開啟的端口了，只是說明一下思路。提醒的就是一定不要忘記了清理緩存，因?yàn)楹芏辔募惭b或者下載的時候是存在那里的，有時候忘記了清理，病毒如果關(guān)聯(lián)在這個文件上，刪除后還會出現(xiàn)的。）

最后說明：
1．這篇文章首先提交于邪惡八進(jìn)制。
2．這篇文章是很簡單的知識，主要是提供一個思路。本文是金州為華東師范大學(xué)現(xiàn)代文學(xué)研究生毋二賓弟弟所寫的殺毒簡單指導(dǎo)。祝福我的朋友幸福，幸福，幸福。
3．轉(zhuǎn)載勞煩注明出處并保持完整。