最近很多朋友都中了馬被盜了號(hào)，所以在收集了一些關(guān)于系統(tǒng)安全和維護(hù)的東東供大家參考（提示，這些方法只能對(duì)付一般的初學(xué)者的攻擊。）。歡迎大家批評(píng)指正和補(bǔ)充。


首先，說(shuō)一點(diǎn)關(guān)于第三方軟件的東西。（我對(duì)3721、雅虎助手恨之入骨。盡管雅虎不知道怎么買通了公安部門說(shuō)這不是垃圾軟件。）系統(tǒng)運(yùn)行速度變慢。很多朋友就認(rèn)為是中了病毒或者木馬，其實(shí)并不是這樣的。第三方軟件會(huì)占用很大甚至全部的系統(tǒng)資源（如sploosv遠(yuǎn)程打印機(jī)的問(wèn)題。還有更可恨的stdup）。所以建議大家下載360安全衛(wèi)士先把自己電腦里的第三方軟件和那些不需要的自啟動(dòng)程序清除（建議上奇虎官方網(wǎng)站www.360safe.com上或者www.xdowns.com綠盟上下載。因?yàn)樯厦娴能浖话愫苌倮壊寮＃┏?jí)兔子雖然也有相似的功能，但超級(jí)兔子還是帶了個(gè)超級(jí)兔子上網(wǎng)精靈這么個(gè)第三方軟件。所以不推薦。

然后，關(guān)于防火墻殺毒軟件的選擇。第一，我不推薦瑞星。瑞星的防毒殺毒能力都不強(qiáng)，很多北斗加殼的木馬都不能查出來(lái)（什么是殼？形象簡(jiǎn)單的說(shuō)就是給木馬穿了馬甲讓乃認(rèn)不出來(lái)。）防火墻我推薦avast，是一款捷克出品的防火墻，在免費(fèi)的當(dāng)中算是很出色的了。有14個(gè)月的免費(fèi)使用期。（同樣建議在綠盟下載，提示，不是做廣告，我和綠盟沒(méi)有任何商業(yè)關(guān)系。）至于殺毒，卡巴斯基還湊合。諾頓也不錯(cuò)。

好，現(xiàn)在開始進(jìn)入正題。

一、刪除共享

運(yùn)行cmd，在下面鍵入命令net share可以看到你的電腦上存在的共享，然后用net share 共享名稱 \delete命令刪除共享（注意命令中有3個(gè)空格）

二、刪除ipc$空連接

打開注冊(cè)表（什么，乃不知道什么是注冊(cè)表），HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\Lsa 項(xiàng)里數(shù)值名稱“restrict anonymous”的數(shù)值數(shù)據(jù)由0改為1。

三、關(guān)閉139、445、和3389端口

139端口是一種TCP端口，該端口用于網(wǎng)上鄰居訪問(wèn)局域網(wǎng)中的共享文件或共享打印機(jī)。445端口也是一種TCP端口，和139的作用差不多。3389是遠(yuǎn)程桌面控制協(xié)助端口。

關(guān)閉139端口的方法是在網(wǎng)絡(luò)屬性->Internet協(xié)議(TCP/IP)屬性->高級(jí)對(duì)話框中的WINS選項(xiàng)頁(yè)中將最下面的3選1選項(xiàng)卡從默認(rèn)的“啟用 TCP/IP 上的NetBIOS”改為“禁用 TCP/IP 上的NetBIOS”。

關(guān)閉445端口的方法是打開注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中新建Dword值“SMBDeviceEnabled”將其值設(shè)置為0。

關(guān)閉3389端口的方法是用鼠標(biāo)右鍵單擊桌面上的“我的電腦”圖標(biāo)，從彈出的快捷菜單中選中“屬性”選項(xiàng)，在隨后打開的屬性設(shè)置界面中，單擊“遠(yuǎn)程”標(biāo)簽，并在對(duì)應(yīng)的標(biāo)簽頁(yè)面中，取消“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”和“允許從這臺(tái)計(jì)算機(jī)發(fā)送遠(yuǎn)程協(xié)助邀請(qǐng)”這兩個(gè)選項(xiàng)，最后單擊一下“確定”按鈕，就能達(dá)到屏蔽3389端口的目的了。

當(dāng)然，如果你對(duì)上網(wǎng)需要的端口有一定的了解，可以直接利用TCP/IP篩選工具篩選有用的端口。打開本地連接->屬性->TCP/IP協(xié)議->屬性->高級(jí)->選項(xiàng)->TCP/IP篩選->屬性里就可以篩選網(wǎng)絡(luò)端口。

四、禁用服務(wù)

打開控制面板->管理工具->服務(wù)中禁止下列服務(wù)。

1.NetMeeting Remote Desktop Sharing：允許受權(quán)的用戶通過(guò)NetMeeting在網(wǎng)絡(luò)上互相訪問(wèn)對(duì)方。這項(xiàng)服務(wù)對(duì)大多數(shù)個(gè)人用戶并沒(méi)有多大用處，況且服務(wù)的開啟還會(huì)帶來(lái)安全問(wèn)題，因?yàn)樯暇W(wǎng)時(shí)該服務(wù)會(huì)把用戶名以明文形式發(fā)送到連接它的客戶端，黑客的嗅探程序很容易就能探測(cè)到這些賬戶信息。

2.Universal Plug and Play Device Host：此服務(wù)是為通用的即插即用設(shè)備提供支持。這項(xiàng)服務(wù)存在一個(gè)安全漏洞，運(yùn)行此服務(wù)的計(jì)算機(jī)很容易受到攻擊。攻擊者只要向某個(gè)擁有多臺(tái)Win XP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個(gè)虛假的UDP包，就可能會(huì)造成這些Win XP主機(jī)對(duì)指定的主機(jī)進(jìn)行攻擊（DDoS）。另外如果向該系統(tǒng)1900端口發(fā)送一個(gè)UDP包，令“Location”域的地址指向另一系統(tǒng)的chargen端口，就有可能使系統(tǒng)陷入一個(gè)死循環(huán)，消耗掉系統(tǒng)的所有資源（需要安裝硬件時(shí)需手動(dòng)開啟）。

3.Messenger：俗稱信使服務(wù)，電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換（傳輸客戶端和服務(wù)器之間的Net Send和Alerter服務(wù)消息，此服務(wù)與Windows Messenger無(wú)關(guān)。如果服務(wù)停止，Alerter消息不會(huì)被傳輸）。這是一個(gè)危險(xiǎn)而討厭的服務(wù)，Messenger服務(wù)基本上是用在企業(yè)的網(wǎng)絡(luò)管理上，但是垃圾郵件和垃圾廣告廠商，也經(jīng)常利用該服務(wù)發(fā)布彈出式廣告，標(biāo)題為“信使服務(wù)”。而且這項(xiàng)服務(wù)有漏洞，MSBlast和Slammer病毒就是用它來(lái)進(jìn)行快速傳播的。

4.Terminal Services：允許多位用戶連接并控制一臺(tái)機(jī)器，并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序。如果你不使用Win XP的遠(yuǎn)程控制功能，可以禁止它。

5.Remote Registry：使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置。注冊(cè)表可以說(shuō)是系統(tǒng)的核心內(nèi)容，一般用戶都不建議自行更改，更何況要讓別人遠(yuǎn)程修改，所以這項(xiàng)服務(wù)是極其危險(xiǎn)的。

6.Fast User Switching Compatibility：在多用戶下為需要協(xié)助的應(yīng)用程序提供管理。Windows XP允許在一臺(tái)電腦上進(jìn)行多用戶之間的快速切換，但是這項(xiàng)功能有個(gè)漏洞，當(dāng)你點(diǎn)擊“開始→注銷→快速切換”，在傳統(tǒng)登錄方式下重復(fù)輸入一個(gè)用戶名進(jìn)行登錄時(shí)，系統(tǒng)會(huì)認(rèn)為是暴力破解，而鎖定所有非管理員賬戶。如果不經(jīng)常使用，可以禁止該服務(wù)?；蛘咴凇翱刂泼姘濉脩糍~戶→更改用戶登錄或注銷方式”中取消“使用快速用戶切換”。

7.Telnet：允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序，并支持多種 TCP/IP Telnet客戶，包括基于 UNIX 和 Windows 的計(jì)算機(jī)。又一個(gè)危險(xiǎn)的服務(wù)，如果啟動(dòng)，遠(yuǎn)程用戶就可以登錄、訪問(wèn)本地的程序，甚至可以用它來(lái)修改你的ADSL Modem等的網(wǎng)絡(luò)設(shè)置。除非你是網(wǎng)絡(luò)專業(yè)人員或電腦不作為服務(wù)器使用，否則一定要禁止它。

8.Performance Logs And Alerts：收集本地或遠(yuǎn)程計(jì)算機(jī)基于預(yù)先配置的日程參數(shù)的性能數(shù)據(jù)，然后將此數(shù)據(jù)寫入日志或觸發(fā)警報(bào)。為了防止被遠(yuǎn)程計(jì)算機(jī)搜索數(shù)據(jù)，堅(jiān)決禁止它。

9.Remote Desktop Help Session Manager：如果此服務(wù)被終止，遠(yuǎn)程協(xié)助將不可用。

10.TCP/IP NetBIOS Helper：NetBIOS在Win 9X下就經(jīng)常有人用它來(lái)進(jìn)行攻擊，對(duì)于不需要文件和打印共享的用戶，此項(xiàng)也可以禁用。

可以禁止的服務(wù)

以上十項(xiàng)服務(wù)是對(duì)安全威脅較大的服務(wù)，普通用戶一定要禁用它。另外還有一些普通用戶可以按需求禁止的服務(wù)：

1.Alerter：通知所選用戶和計(jì)算機(jī)有關(guān)系統(tǒng)管理級(jí)警報(bào)。如果你未連上局域網(wǎng)且不需要管理警報(bào)，則可將其禁止。

2.Indexing Service：本地和遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性，提供文件快速訪問(wèn)。這項(xiàng)服務(wù)對(duì)個(gè)人用戶沒(méi)有多大用處。

3.Application Layer Gateway Service：為Internet連接共享和Internet連接防火墻提供第三方協(xié)議插件的支持。如果你沒(méi)有啟用Internet連接共享或Windows XP的內(nèi)置防火墻，可以禁止該服務(wù)。

4.Uninterruptible Power Supply：管理連接到計(jì)算機(jī)的不間斷電源，沒(méi)有安裝UPS的用戶可以禁用。

5.Print Spooler：將文件加載到內(nèi)存中以便稍后打印。如果沒(méi)裝打印機(jī)，可以禁用。

6.Smart Card：管理計(jì)算機(jī)對(duì)智能卡的讀取訪問(wèn)?；旧嫌貌簧?，可以禁用。

7.Ssdp Discovery Service：?jiǎn)?dòng)家庭網(wǎng)絡(luò)上的upnp設(shè)備自動(dòng)發(fā)現(xiàn)。具有upnp的設(shè)備還不多，對(duì)于我們來(lái)說(shuō)這個(gè)服務(wù)是沒(méi)有用的。

8.Automatic Updates：自動(dòng)從Windows Update網(wǎng)絡(luò)更新補(bǔ)丁。利用Windows Update功能進(jìn)行升級(jí)，速度太慢，建議大家通過(guò)多線程下載工具下載補(bǔ)丁到本地硬盤后，再進(jìn)行升級(jí)。

9.Clipbook：?jiǎn)⒂谩凹糍N板查看器”儲(chǔ)存信息并與遠(yuǎn)程計(jì)算機(jī)共享。如果不想與遠(yuǎn)程計(jì)算機(jī)進(jìn)行信息共享，就可以禁止。

10.Imapi Cd-burning Com Service：用Imapi管理CD錄制，雖然Win XP中內(nèi)置了此功能，但是我們大多會(huì)選擇專業(yè)刻錄軟件，另外如果沒(méi)有安裝刻錄機(jī)的話，也可以禁止該服務(wù)。

11.Workstation：創(chuàng)建和維護(hù)到遠(yuǎn)程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止，這些連接都將不可用。

12.Error Reporting Service：服務(wù)和應(yīng)用程序在非標(biāo)準(zhǔn)環(huán)境下運(yùn)行時(shí)，允許錯(cuò)誤報(bào)告。如果你不是專業(yè)人員，這個(gè)錯(cuò)誤報(bào)告對(duì)你來(lái)說(shuō)根本沒(méi)用。

再就是如下幾種服務(wù)對(duì)普通用戶而言也沒(méi)有什么作用，大家可以自己決定取舍，如：Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。

五、禁止關(guān)機(jī)事件跟蹤

運(yùn)行中輸入命令gpedit.msc打開組策略。在出現(xiàn)的窗口的左邊部分，選擇 計(jì)算機(jī)配置->管理模板-> 系統(tǒng)，在右邊窗口雙擊“Shutdown Event Tracker” 在出現(xiàn)的對(duì)話框中選擇“禁止”，點(diǎn)擊然后確定就OK了。

六、密碼

說(shuō)到這個(gè)問(wèn)題有點(diǎn)弱了，雖然一個(gè)16位的密碼如果暴力破解的話需要一周，但有些人會(huì)根據(jù)對(duì)方的生日、電話號(hào)碼等等做出比較優(yōu)秀的字典來(lái)破解。另外提醒大家一點(diǎn)，不要在QQ上亂接受對(duì)方傳來(lái)的文件，包括圖片，音樂(lè)，壓縮包等等。如果加了殼的木馬捆綁在這些文件上防火墻是很難查出來(lái)的（需要破殼什么的，這個(gè)不比乃脫P(yáng)LMM的衣服簡(jiǎn)單。）我見(jiàn)過(guò)的最小的郵件TXT炸彈只有不到10K，這么小的東西捆綁在圖片文件上也發(fā)覺(jué)不了。最后預(yù)祝大家有一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

常在河邊走，哪有不濕腳？所以有時(shí)候上網(wǎng)時(shí)間長(zhǎng)了，很有可能被攻擊者在電腦中種了木馬。如何來(lái)知道電腦有沒(méi)有被裝了木馬呢？



一、手工方法：


1、檢查網(wǎng)絡(luò)連接情況


由于不少木馬會(huì)主動(dòng)偵聽(tīng)端口，或者會(huì)連接特定的IP和端口，所以我們可以在沒(méi)有正常程序連接網(wǎng)絡(luò)的情況下，通過(guò)檢查網(wǎng)絡(luò)連情情況來(lái)發(fā)現(xiàn)木馬的存在。具體的步驟是點(diǎn)擊“開始”->“運(yùn)行”->“cmd”，然后輸入netstat -an這個(gè)命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽(tīng)的端口，它包含四個(gè)部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過(guò)這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。


2、查看目前運(yùn)行的服務(wù)


服務(wù)是很多木馬用來(lái)保持自己在系統(tǒng)中永遠(yuǎn)能處于運(yùn)行狀態(tài)的方法之一。我們可以通過(guò)點(diǎn)擊“開始”->“運(yùn)行”->“cmd”，然后輸入“net start”來(lái)查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進(jìn)入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。


3、檢查系統(tǒng)啟動(dòng)項(xiàng)


由于注冊(cè)表對(duì)于普通用戶來(lái)說(shuō)比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊(cè)表啟動(dòng)項(xiàng)的方法如下：點(diǎn)擊“開始”->“運(yùn)行”->“regedit”，然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的怠?


Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個(gè)文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了！


4、檢查系統(tǒng)帳戶


惡意的攻擊者喜在電腦中留有一個(gè)賬戶的方法來(lái)控制你的計(jì)算機(jī)。他們采用的方法就是激活一個(gè)系統(tǒng)中的默認(rèn)賬戶，但這個(gè)賬戶卻很少用的，然后把這個(gè)賬戶的權(quán)限提升為管理員權(quán)限，這個(gè)帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過(guò)這個(gè)賬戶任意地控制你的計(jì)算機(jī)。針對(duì)這種情況，可以用以下方法對(duì)賬戶進(jìn)行檢測(cè)。


點(diǎn)擊“開始”->“運(yùn)行”->“cmd”，然后在命令行下輸入net user，查看計(jì)算機(jī)上有些什么用戶，然后再使用“net user 用戶名”查看這個(gè)用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了?？焓褂谩皀et user用戶名/del”來(lái)刪掉這個(gè)用戶吧！


如果檢查出有木馬的存在，可以按以后步驟進(jìn)行殺木馬的工作。


1、運(yùn)行任務(wù)管理器，殺掉木馬進(jìn)程。


2、檢查注冊(cè)表中RUN、RUNSERVEICE等幾項(xiàng)，先備份，記下可以啟動(dòng)項(xiàng)的地址， 再將可疑的刪除。


3、刪除上述可疑鍵在硬盤中的執(zhí)行文件。


4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會(huì)單獨(dú)存在，很可能是有某個(gè)母文件復(fù)制過(guò)來(lái)的，檢查C、D、E等盤下有沒(méi)有可疑的.exe，.com或.bat文件，有則刪除之。


5、檢查注冊(cè)表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(xiàng)(如Local Page)，如果被修改了，改回來(lái)就可以。


6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和　　HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個(gè)常用文件類型的默認(rèn)打開程序是否被更改。這個(gè)一定要改回來(lái)。很多病毒就是通過(guò)修改.txt文件的默認(rèn)打開程序讓病毒在用戶打開文本文件時(shí)加載的。


二、利用工具：


查殺木馬的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付一定的費(fèi)用，木馬分析專家是免費(fèi)授權(quán)使用。

該病毒是灰鴿子變種，屬后門類。病毒運(yùn)行后，釋放病毒文件%WINDIR%\wincup.exe，屬性為隱藏且只讀，修改注冊(cè)表，新建服務(wù)，利用服務(wù)自啟動(dòng)，以達(dá)到隨機(jī)啟動(dòng)的目的。在任務(wù)管理器中病毒進(jìn)程名為IEXPLORE.EXE，且用戶名為SYSTEM，用以迷惑用戶。該病毒可遠(yuǎn)程控制用戶機(jī)器，進(jìn)行復(fù)制、刪除、上傳等操作，從而盜取用戶的敏感信息。

　　建議清除方案：

　　1、使用安天木馬防線可徹底清除此病毒

　　2、手工清除請(qǐng)按照行為分析刪除對(duì)應(yīng)文件，恢復(fù)相關(guān)系統(tǒng)設(shè)置。

　　(1) 使用安天木馬防線“進(jìn)程管理”關(guān)閉病毒進(jìn)程

　　(2) 刪除病毒文件

%WINDIR%\wincup.exe

　　(3) 恢復(fù)病毒修改的注冊(cè)表項(xiàng)目，刪除病毒添加的注冊(cè)表項(xiàng)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "Class "="LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "ClassGUID "="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "ConfigFlags "=" 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\

鍵值: 字串: "*NewlyCreated*"="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\

鍵值: 字串: "ActiveService "="WIN服務(wù)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "DeviceDesc "="WIN服務(wù)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "Legacy "=-"0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "Service "="WIN服務(wù)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\

鍵值: 字串: "NextInstance "="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\

鍵值: 字串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\ {9B365890-165F-11D0-A195-0020AFD156E4}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: "Description "="WIN能讓你的電腦正常運(yùn)行這很重要"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: "DisplayName "="WIN服務(wù)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\Enum

鍵值: 字串: "0"="Root\LEGACY_WIN*670D*52A1\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\Enum\

鍵值: 字串: "Count "="1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\Enum\

鍵值: 字串: "NextInstance "="1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: "ErrorControl "="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: "ObjectName "="LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: "Start"="2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務(wù)\

鍵值: 字串: " Type "="272"

盡管Windows 2003的功能在不斷增強(qiáng)，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會(huì)給整個(gè)系統(tǒng)帶來(lái)不必要的麻煩；下面筆者就介紹Windows2003中不常見(jiàn)的安全隱患的防堵方法，希望能對(duì)各位帶來(lái)幫助！


堵住自動(dòng)保存隱患


Windows 2003操作系統(tǒng)在調(diào)用應(yīng)用程序出錯(cuò)時(shí)，系統(tǒng)中的Dr. Watson會(huì)自動(dòng)將一些重要的調(diào)試信息保存起來(lái)，以便日后維護(hù)系統(tǒng)時(shí)查看，不過(guò)這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調(diào)試信息就會(huì)暴露無(wú)疑，為了堵住Dr. Watson自動(dòng)保存調(diào)試信息的隱患，我們可以按如下步驟來(lái)實(shí)現(xiàn)：


1、打開開始菜單，選中“運(yùn)行”命令，在隨后打開的運(yùn)行對(duì)話框中，輸入注冊(cè)表編輯命令“ergedit”命令，打開一個(gè)注冊(cè)表編輯窗口；


2、在該窗口中，用鼠標(biāo)依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對(duì)應(yīng)AeDebug鍵值的右邊子窗口中，用鼠標(biāo)雙擊Auto值，在彈出的參數(shù)設(shè)置窗口中，將其數(shù)值重新設(shè)置為“0”，


3、打開系統(tǒng)的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對(duì)應(yīng)DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。


完成上面的設(shè)置后，重新啟動(dòng)一下系統(tǒng)，就可以堵住自動(dòng)保存隱患了。



堵住資源共享隱患


為了給局域網(wǎng)用戶相互之間傳輸信息帶來(lái)方便，Windows Server 2003系統(tǒng)很是“善解人意”地為各位提供了文件和打印共享功能，不過(guò)我們?cè)谙硎茉摴δ軒?lái)便利的同時(shí)，共享功能也會(huì)“引狼入室”，“大度”地向黑客們敞開了不少漏洞，給服務(wù)器系統(tǒng)造成了很大的不安全性；所以，在用完文件或打印共享功能時(shí)，大家千萬(wàn)要隨時(shí)將功能關(guān)閉喲，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟：


1、執(zhí)行控制面板菜單項(xiàng)下面的“網(wǎng)絡(luò)連接”命令，在隨后出現(xiàn)的窗口中，用鼠標(biāo)右鍵單擊一下“本地連接”圖標(biāo)；


2、在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個(gè)“Internet協(xié)議(TCP/IP)”屬性設(shè)置對(duì)話框；


3、在該界面中取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”這個(gè)選項(xiàng)；


4、如此一來(lái)，本地計(jì)算機(jī)就沒(méi)有辦法對(duì)外提供文件與打印共享服務(wù)了，這樣黑客自然也就少了攻擊系統(tǒng)的“通道”。


堵住遠(yuǎn)程訪問(wèn)隱患


在Windows2003系統(tǒng)下，要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)連接時(shí)，該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時(shí)輸入的用戶名以及密碼，通過(guò)普通明文內(nèi)容方式傳輸給對(duì)應(yīng)連接端的客戶端程序；在明文帳號(hào)傳輸過(guò)程中，實(shí)現(xiàn)“安插”在網(wǎng)絡(luò)通道上的各種嗅探工具，會(huì)自動(dòng)進(jìn)入“嗅探”狀態(tài)，這個(gè)明文帳號(hào)就很容易被“俘虜”了；明文帳號(hào)內(nèi)容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統(tǒng)被“瘋狂”攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來(lái)為系統(tǒng)“加固”：


1、點(diǎn)擊系統(tǒng)桌面上的“開始”按鈕，打開開始菜單；


2、從中執(zhí)行控制面板命令，從彈出的下拉菜單中，選中“系統(tǒng)”命令，打開一個(gè)系統(tǒng)屬性設(shè)置界面；


3、在該界面中，用鼠標(biāo)單擊“遠(yuǎn)程”標(biāo)簽；


4、在隨后出現(xiàn)的標(biāo)簽頁(yè)面中，將“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”選項(xiàng)取消掉，這樣就可以將遠(yuǎn)程訪問(wèn)連接功能屏蔽掉，從而堵住遠(yuǎn)程訪問(wèn)隱患了。


堵住用戶切換隱患


Windows 2003系統(tǒng)為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統(tǒng)中；不過(guò)在享受這種輕松時(shí)，系統(tǒng)也存在安裝隱患，例如我們要是執(zhí)行系統(tǒng)“開始”菜單中的“注銷”命令來(lái)，快速“切換用戶”時(shí)，再用傳統(tǒng)的方式來(lái)登錄系統(tǒng)的話，系統(tǒng)很有可能會(huì)本次登錄，錯(cuò)誤地當(dāng)作是對(duì)計(jì)算機(jī)系統(tǒng)的一次暴力“襲擊”，這樣Windows2003系統(tǒng)就可能將當(dāng)前登錄的帳號(hào)當(dāng)作非法帳號(hào)，將它鎖定起來(lái)，這顯然不是我們所需要的；不過(guò)，我們可以按如下步驟來(lái)堵住用戶切換時(shí)，產(chǎn)生的安全隱患：


在Windows 2003系統(tǒng)桌面中，打開開始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執(zhí)行下級(jí)菜單中的“計(jì)算機(jī)管理”命令，找到“用戶帳戶”圖標(biāo)，并在隨后出現(xiàn)的窗口中單擊“更改用戶登錄或注銷的方式”；在打開的設(shè)置窗口中，將“使用快速用戶切換”選項(xiàng)取消掉就可以了。


堵住頁(yè)面交換隱患


Windows 2003操作系統(tǒng)即使在正常工作的情況下，也有可能會(huì)向黑客或者其他訪問(wèn)者泄漏重要的機(jī)密信息，特別是一些重要的帳號(hào)信息。也許我們永遠(yuǎn)不會(huì)想到要查看一下，那些可能會(huì)泄漏隱私信息的文件，不過(guò)黑客對(duì)它們倒是很關(guān)心的喲！Windows 2003操作系統(tǒng)中的頁(yè)面交換文件中，其實(shí)就隱藏了不少重要隱私信息，這些信息都是在動(dòng)態(tài)中產(chǎn)生的，要是不及時(shí)將它們清除，就很有可能成為黑客的入侵突破口；為此，我們必須按照下面的方法，來(lái)讓W(xué)indows 2003操作系統(tǒng)在關(guān)閉系統(tǒng)時(shí)，自動(dòng)將系統(tǒng)工作時(shí)產(chǎn)生的頁(yè)面文件全部刪除掉：


1、在Windows 2003的“開始”菜單中，執(zhí)行“運(yùn)行”命令，打開運(yùn)行對(duì)話框，并在其中輸入“Regedit”命令，來(lái)打開注冊(cè)表窗口；


2、在該窗口的左邊區(qū)域中，用鼠標(biāo)依次單擊HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management鍵值，找到右邊區(qū)域中的ClearPageFileAtShutdown鍵值，并用鼠標(biāo)雙擊之，在隨后打開的數(shù)值設(shè)置窗口中，將該DWORD值重新修改為“1”；


3、完成設(shè)置后，退出注冊(cè)表編輯窗口，并重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就能讓上面的設(shè)置生效了。

相對(duì)于有線網(wǎng)絡(luò)的局限性，無(wú)線網(wǎng)絡(luò)增加了機(jī)動(dòng)性和生產(chǎn)力。這正是世界各都市無(wú)線區(qū)域網(wǎng)絡(luò)爆炸性成長(zhǎng)的原因。根據(jù)資訊安全公司RSA Security的調(diào)查，2005無(wú)線網(wǎng)絡(luò)連接點(diǎn)(wireless access point)的數(shù)量，倫敦攀升了57%，紐約增加20%，巴黎則在2年內(nèi)驚人地成長(zhǎng)了119%。

　　盡管企業(yè)使用無(wú)線科技的消息令人鼓舞，它也出現(xiàn)了安全上的問(wèn)題。當(dāng)無(wú)線區(qū)域網(wǎng)絡(luò)的用量增加時(shí)，黑客入侵企業(yè)網(wǎng)絡(luò)的機(jī)會(huì)也相對(duì)增加。然而好消息是，當(dāng)無(wú)線區(qū)域網(wǎng)絡(luò)業(yè)成長(zhǎng)時(shí)，企業(yè)對(duì)網(wǎng)絡(luò)安全議題也較往常重視，至少在基本安全方面。

　　很多倫敦、紐約和巴黎的使用無(wú)線科技的企業(yè)，今年第一季度借啟動(dòng)無(wú)線區(qū)域網(wǎng)絡(luò)硬件提供的“有線等效加密”(WEP)的能力來(lái)防衛(wèi)他們的無(wú)線網(wǎng)絡(luò)有了大幅度增長(zhǎng)。RSA Security的國(guó)際行銷地區(qū)副總裁提姆.皮卡德(Tim Pickard)評(píng)論道，今年是他們第五個(gè)年度進(jìn)行這方面的調(diào)查，也是第一次看到在無(wú)線網(wǎng)絡(luò)的安全保護(hù)方面有如此驚人的提高。其中倫敦使用“有線等效加密”(WEP)保護(hù)其無(wú)線網(wǎng)絡(luò)安全從2005年的65%上升到74%;紐約從2005年的62%上升到75%;巴黎–從2005年的9%竄升到78%。

　　盡管如此，然而仍有許多改善的空間。在這三大都市中，仍有近四分之一的企業(yè)未采取任何措施來(lái)保護(hù)他們的網(wǎng)絡(luò)免受惡意的攻擊。這些公司除了可能被竊取機(jī)密資料，有感染病毒和木馬程序(Trojans)之虞，也會(huì)增加潛藏的風(fēng)險(xiǎn)：這些病毒通過(guò)他們的網(wǎng)絡(luò)發(fā)動(dòng)廣泛地攻擊。

　　巴黎、倫敦和紐約有近1/4的聯(lián)接點(diǎn)仍然沒(méi)有設(shè)定“有線等效加密”為預(yù)設(shè)值，而提供的只是基本安全。面對(duì)越來(lái)越多的病毒、黑客、木馬程序、間諜軟件、網(wǎng)絡(luò)釣魚等安全威脅，有些大企業(yè)和線上金融機(jī)構(gòu)采用“雙因素認(rèn)證解決方案”。這個(gè)方案是由全球網(wǎng)絡(luò)安全解決方案的領(lǐng)先供應(yīng)商RSASecurity和 DynamiCode攜手推出。它的特點(diǎn)是將傳統(tǒng)的靜態(tài)口令變?yōu)閯?dòng)態(tài)口令;DynamiCode把RSA Security的雙因素認(rèn)證技術(shù)集成到一個(gè)“認(rèn)證令牌”上，該令牌非常小巧，可以串在鑰匙扣上，放在口袋中，便于攜帶;每60秒就能產(chǎn)生一個(gè)新的和獨(dú)特的口令。用戶只需要簡(jiǎn)單地鍵入個(gè)人用戶身份證號(hào)碼(ID或PIN)，以及令牌產(chǎn)生的代碼，就可以完成認(rèn)證而進(jìn)入系統(tǒng)。

　　這種“雙因素認(rèn)證解決方案”的好處是，無(wú)論多么高明的黑客都無(wú)法在短時(shí)間內(nèi)猜出如此復(fù)雜的動(dòng)態(tài)口令。此外，DynamiCode提供了包括硬件、軟件和實(shí)施服務(wù)的一站式解決方案，企業(yè)避免了構(gòu)建基礎(chǔ)架構(gòu)的前置成本，無(wú)須負(fù)擔(dān)額外的人力資源、硬件或軟件，減少了部署時(shí)間、部署和管理成本。對(duì)操作者而言，它相當(dāng)簡(jiǎn)單易用的。

　　除了企業(yè)無(wú)線區(qū)域網(wǎng)絡(luò)，公眾無(wú)線上網(wǎng)據(jù)點(diǎn)也持續(xù)上升;值得注意的是有一些是“偽裝”的“公眾無(wú)線上網(wǎng)據(jù)點(diǎn)”是為了竊取用戶的資料：一種短暫性的無(wú)線網(wǎng)絡(luò)的橋接器，設(shè)計(jì)看起來(lái)像真實(shí)的橋接器以便于竊取用戶的機(jī)密資料。

　　提供安全諮詢服務(wù)的英國(guó)凱捷管理顧問(wèn)公司(Capgemini UK)的菲爾.克拉克內(nèi)爾(Phil Cracknell)表示：“無(wú)線網(wǎng)絡(luò)安全漏洞中，“偽裝”的公眾無(wú)線上網(wǎng)據(jù)點(diǎn)現(xiàn)已形成最嚴(yán)重和最可能的界面，使攻擊者幾乎在很短的時(shí)間內(nèi)即可截獲一批有價(jià)值的資料?！?

　　盡管無(wú)線網(wǎng)絡(luò)能引導(dǎo)產(chǎn)生更高的產(chǎn)值，然而企業(yè)必須懂得采取適當(dāng)?shù)念A(yù)防措施，確保網(wǎng)絡(luò)的安全性，以防外來(lái)者入侵破壞。最好能使用高階的網(wǎng)絡(luò)安全解決方案，否則，最起碼要啟動(dòng)無(wú)線設(shè)定中的“有線等效加密”功能，比起毫無(wú)安全防衛(wèi)措施，它至少是一種基本方法。

眾所周知，操作系統(tǒng)的注冊(cè)表是一個(gè)藏龍臥虎的地方，所有系統(tǒng)設(shè)置都可以在注冊(cè)表中找到蹤影，所有的程序啟動(dòng)方式和服務(wù)啟動(dòng)類型都可通過(guò)注冊(cè)表中的小小鍵值來(lái)控制。

　　然而，正因?yàn)樽?cè)表的強(qiáng)大使得它也成為了一個(gè)藏污納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地干著罪惡勾當(dāng)，威脅著原本健康的操作系統(tǒng)。如何才能有效地防范病毒和木馬的侵襲，保證系統(tǒng)的正常運(yùn)行呢？今天筆者將從服務(wù)、默認(rèn)設(shè)置、權(quán)限分配等九個(gè)方面入手為大家介紹如何通過(guò)注冊(cè)表打造一個(gè)安全的系統(tǒng)。


　　特別提示：在進(jìn)行修改之前，一定要備份原有注冊(cè)表。

　　1.拒絕“信”騷擾

　　安全隱患：在Windows 2000/XP系統(tǒng)中，默認(rèn)Messenger服務(wù)處于啟動(dòng)狀態(tài)，不懷好意者可通過(guò)“net send”指令向目標(biāo)計(jì)算機(jī)發(fā)送信息。目標(biāo)計(jì)算機(jī)會(huì)不時(shí)地收到他人發(fā)來(lái)的騷擾信息，嚴(yán)重影響正常使用。

　　解決方法：首先打開注冊(cè)表編輯器。對(duì)于系統(tǒng)服務(wù)來(lái)說(shuō)，我們可以通過(guò)注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”項(xiàng)下的各個(gè)選項(xiàng)來(lái)進(jìn)行管理，其中的每個(gè)子鍵就是系統(tǒng)中對(duì)應(yīng)的“服務(wù)”，如“Messenger”服務(wù)對(duì)應(yīng)的子鍵是“Messenger”。我們只要找到Messenger項(xiàng)下的START鍵值，將該值修改為4即可。這樣該服務(wù)就會(huì)被禁用，用戶就再也不會(huì)受到“信”騷擾了。

　　2.關(guān)閉“遠(yuǎn)程注冊(cè)表服務(wù)”

　　安全隱患：如果黑客連接到了我們的計(jì)算機(jī)，而且計(jì)算機(jī)啟用了遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry)，那么黑客就可遠(yuǎn)程設(shè)置注冊(cè)表中的服務(wù)，因此遠(yuǎn)程注冊(cè)表服務(wù)需要特別保護(hù)。

　　解決方法：我們可將遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry)的啟動(dòng)方式設(shè)置為禁用。不過(guò)，黑客在入侵我們的計(jì)算機(jī)后，仍然可以通過(guò)簡(jiǎn)單的操作將該服務(wù)從“禁用”轉(zhuǎn)換為“自動(dòng)啟動(dòng)”。因此我們有必要將該服務(wù)刪除。

　　找到注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry項(xiàng)，右鍵點(diǎn)擊該項(xiàng)選擇“刪除”(圖1)，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了。

　　在刪除之前，一定要將該項(xiàng)信息導(dǎo)出并保存。想使用該服務(wù)時(shí)，只要將已保存的注冊(cè)表文件導(dǎo)入即可。

　　3.請(qǐng)走“默認(rèn)共享”

　　安全隱患：大家都知道在Windows 2000/XP/2003中，系統(tǒng)默認(rèn)開啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過(guò)這個(gè)默認(rèn)共享入侵操作系統(tǒng)的。

　　解決方法：要防范IPC$攻擊應(yīng)該將注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous項(xiàng)設(shè)置為“1”，這樣就可以禁止IPC$的連接。

　　對(duì)于c$、d$和admin$等類型的默認(rèn)共享則需要在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項(xiàng)。如果系統(tǒng)為Windows 2000 Server或Windows 2003，則要在該項(xiàng)中添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為Windows 2000 PRO，則應(yīng)在該項(xiàng)中添加鍵值“AutoShareWks”(類型為“REG_DWORD”，值為“0”)。

　　4.嚴(yán)禁系統(tǒng)隱私泄露

　　安全隱患：在Windows系統(tǒng)運(yùn)行出錯(cuò)的時(shí)候，系統(tǒng)內(nèi)部有一個(gè)DR.WATSON程序會(huì)自動(dòng)將系統(tǒng)調(diào)用的隱私信息保存下來(lái)。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過(guò)破解這個(gè)程序而了解系統(tǒng)的隱私信息。因此我們要阻止該程序?qū)⑿畔⑿孤冻鋈ァ?

　　解決方法：找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionAeDebug”，將AUTO鍵值設(shè)置為0，現(xiàn)在DR.WATSON就不會(huì)記錄系統(tǒng)運(yùn)行時(shí)的出錯(cuò)信息了。同時(shí)，依次點(diǎn)擊“Documents and Settings→ALL Users→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并刪除。刪除這兩個(gè)文件的目的是將DR.WATSON以前保存的隱私信息刪除。

　　提示：如果已經(jīng)禁止了DR.WATSON程序的運(yùn)行，則不會(huì)找到“drwatson”文件夾以及user.dmp和drwtsn32.log這兩個(gè)文件。

　　5.拒絕ActiveX控件的惡意騷擾

　　安全隱患：不少木馬和病毒都是通過(guò)在網(wǎng)頁(yè)中隱藏惡意ActiveX控件的方法來(lái)私自運(yùn)行系統(tǒng)中的程序，從而達(dá)到破壞本地系統(tǒng)的目的。為了保證系統(tǒng)安全，我們應(yīng)該阻止ActiveX控件私自運(yùn)行程序。

　　解決方法：ActiveX控件是通過(guò)調(diào)用Windows scripting host組件的方式運(yùn)行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣ActiveX控件就不能調(diào)用Windows scripting host了。然后，在注冊(cè)表中找到“HKEY_LOCAL_MACHINESOFTWARE ClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，將該項(xiàng)刪除。通過(guò)以上操作，ActiveX控件就再也無(wú)法私自調(diào)用腳本程序了。

　　6.防止頁(yè)面文件泄密

　　安全隱患：Windows 2000的頁(yè)面交換文件也和上文提到的DR.WATSON程序一樣經(jīng)常成為黑客攻擊的對(duì)象，因?yàn)轫?yè)面文件有可能泄露一些原本在內(nèi)存中后來(lái)卻轉(zhuǎn)到硬盤中的信息。畢竟黑客不太容易查看內(nèi)存中的信息，而硬盤中的信息則極易被獲取。

　　解決方法：找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management”，將其下的ClearPageFileAtShutdown項(xiàng)目的值設(shè)置為1(圖2)。

這樣，每當(dāng)重新啟動(dòng)后，系統(tǒng)都會(huì)將頁(yè)面文件刪除，從而有效防止信息外泄。

　　7.密碼填寫不能自動(dòng)化

　　安全隱患：使用Windows系統(tǒng)沖浪時(shí)，常會(huì)遇到密碼信息被系統(tǒng)自動(dòng)記錄的情況，以后重新訪問(wèn)時(shí)系統(tǒng)會(huì)自動(dòng)填寫密碼。這樣很容易造成自己的隱私信息外泄。

　　解決方法：在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子項(xiàng)(如果沒(méi)有可自行添加)，在該子項(xiàng)下建立一個(gè)新的雙字節(jié)值，名稱為disablepasswordcaching，并將該值設(shè)置為1。重新啟動(dòng)計(jì)算機(jī)后，操作系統(tǒng)就不會(huì)自作聰明地記錄密碼了。

　　8.禁止病毒啟動(dòng)服務(wù)

　　安全隱患：現(xiàn)在的病毒很聰明，不像以前只會(huì)通過(guò)注冊(cè)表的RUN值或MSCONFIG中的項(xiàng)目進(jìn)行加載。一些高級(jí)病毒會(huì)通過(guò)系統(tǒng)服務(wù)進(jìn)行加載。那么，我們能不能使病毒或木馬沒(méi)有啟動(dòng)服務(wù)的相應(yīng)權(quán)限呢？

　　解決方法：運(yùn)行“regedt32”指令啟用帶權(quán)限分配功能的注冊(cè)表編輯器。在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接著點(diǎn)擊菜單欄中的“安全→權(quán)限”，在彈出的Services權(quán)限設(shè)置窗口中單擊“添加”按鈕，將Everyone賬號(hào)導(dǎo)入進(jìn)來(lái)，然后選中“Everyone”賬號(hào)，將該賬號(hào)的“讀取”權(quán)限設(shè)置為“允許”，將它的“完全控制”權(quán)限取消(圖3)?，F(xiàn)在任何木馬或病毒都無(wú)法自行啟動(dòng)系統(tǒng)服務(wù)了。當(dāng)然，該方法只對(duì)沒(méi)有獲得管理員權(quán)限的病毒和木馬有效。

　　9.不準(zhǔn)病毒自行啟動(dòng)

　　安全隱患：很多病毒都是通過(guò)注冊(cè)表中的RUN值進(jìn)行加載而實(shí)現(xiàn)隨操作系統(tǒng)的啟動(dòng)而啟動(dòng)的，我們可以按照“禁止病毒啟動(dòng)服務(wù)”中介紹的方法將病毒和木馬對(duì)該鍵值的修改權(quán)限去掉。

　　解決方法：運(yùn)行“regedt32”指令啟動(dòng)注冊(cè)表編輯器。找到注冊(cè)表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支，將Everyone對(duì)該分支的“讀取”權(quán)限設(shè)置為“允許”，取消對(duì)“完全控制”權(quán)限的選擇。這樣病毒和木馬就無(wú)法通過(guò)該鍵值啟動(dòng)自身了。

　　病毒和木馬是不斷“發(fā)展”的，我們也要不斷學(xué)習(xí)新的防護(hù)知識(shí)，才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進(jìn)行查殺，不如提前做好防御工作，修筑好牢固的城墻進(jìn)行抵御。畢竟亡羊補(bǔ)牢不是我們所希望發(fā)生的事情，“防患于未然”才是我們應(yīng)該追求的。

第一：進(jìn)程是什么

進(jìn)程為應(yīng)用程序的運(yùn)行實(shí)例，是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行?？此聘呱睿覀兛梢院?jiǎn)單地理解為：它是操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序。在系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序里包括：系統(tǒng)管理計(jì)算機(jī)個(gè)體和完成各種操作所必需的程序；用戶開啟、執(zhí)行的額外程序，當(dāng)然也包括用戶不知道，而自動(dòng)運(yùn)行的非法程序（它們就有可能是病毒程序）。

危害較大的可執(zhí)行病毒同樣以“進(jìn)程”形式出現(xiàn)在系統(tǒng)內(nèi)部（一些病毒可能并不被進(jìn)程列表顯示，如“宏病毒”），那么及時(shí)查看并準(zhǔn)確殺掉非法進(jìn)程對(duì)于手工殺毒有起著關(guān)鍵性的作用。

第二：什么是木馬

木馬病毒源自古希臘特洛伊戰(zhàn)爭(zhēng)中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來(lái)害人。

傳染方式：通過(guò)電子郵件附件發(fā)出，捆綁在其他的程序中。

病毒特性：會(huì)修改注冊(cè)表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。

木馬病毒的破壞性：木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行客戶端程序，一旦發(fā)作，就可設(shè)置后門，定時(shí)地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時(shí)內(nèi)置可進(jìn)入該用戶電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。

防范措施：用戶提高警惕，不下載和運(yùn)行來(lái)歷不明的程序，對(duì)于不明來(lái)歷的郵件附件也不要隨意打開。

第三：什么是計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來(lái)。

除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序，它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩，并降低你的計(jì)算機(jī)的全部性能。可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過(guò)磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤、內(nèi)存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播,使計(jì)算機(jī)的資源受到不同程序的破壞等等。這些說(shuō)法在某種意義上借用了生物學(xué)病毒的概念,計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞,同時(shí)能夠自我復(fù)制, 具有傳染性。

所以, 計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。

第四：什么是蠕蟲病毒

蠕蟲病毒是計(jì)算機(jī)病毒的一種。它的傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。

比如近幾年危害很大的“尼姆達(dá)”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)撥號(hào)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。

蠕蟲病毒的一般防治方法是：使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件，并且注意不要輕易打開不熟悉的郵件附件。

第五：什么是廣告軟件Adware

廣告軟件（Adware）是指未經(jīng)用戶允許，下載并安裝或與其他軟件捆綁通過(guò)彈出式廣告或以其他形式進(jìn)行商業(yè)廣告宣傳的程序。安裝廣告軟件之后，往往造成系統(tǒng)運(yùn)行緩慢或系統(tǒng)異常。

防治廣告軟件，應(yīng)注意以下方面：

1、不要輕易安裝共享軟件或“免費(fèi)軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來(lái)安全風(fēng)險(xiǎn)。

2、有些廣告軟件通過(guò)惡意網(wǎng)站安裝，所以，不要瀏覽不良網(wǎng)站。

3、采用安全性比較好的網(wǎng)絡(luò)瀏覽器，并注意彌補(bǔ)系統(tǒng)漏洞。

第六：什么是間諜軟件Spyware

間諜軟件（Spyware）是能夠在使用者不知情的情況下，在用戶電腦上安裝后門程序的軟件。 用戶的隱私數(shù)據(jù)和重要信息會(huì)被那些后門程序捕獲， 甚至這些 “后門程序” 還能使黑客遠(yuǎn)程操縱用戶的電腦。

防治間諜軟件，應(yīng)注意以下方面：

1、不要輕易安裝共享軟件或“免費(fèi)軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來(lái)安全風(fēng)險(xiǎn)。

2、有些間諜軟件通過(guò)惡意網(wǎng)站安裝，所以，不要瀏覽不良網(wǎng)站。

3、采用安全性比較好的網(wǎng)絡(luò)瀏覽器，并注意彌補(bǔ)系統(tǒng)漏洞。

第七：Dll文件是什么

DLL是Dynamic Link Library的縮寫，意為動(dòng)態(tài)鏈接庫(kù)。在Windows中，許多應(yīng)用程序并不是一個(gè)完整的可執(zhí)行文件，它們被分割成一些相對(duì)獨(dú)立的動(dòng)態(tài)鏈接庫(kù)，即DLL文件，放置于系統(tǒng)中。當(dāng)我們執(zhí)行某一個(gè)程序時(shí)，相應(yīng)的DLL文件就會(huì)被調(diào)用。一個(gè)應(yīng)用程序可有多個(gè)DLL文件，一個(gè)DLL文件也可能被幾個(gè)應(yīng)用程序所共用，這樣的DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目錄下。

1、如何了解某應(yīng)用程序使用哪些DLL文件

右鍵單擊該應(yīng)用程序并選擇快捷菜單中的“快速查看”命令，在隨后出現(xiàn)的“快速查看”窗口的“引入表”一欄中你將看到其使用DLL文件的情況。

2、如何知道DLL文件被幾個(gè)程序使用

運(yùn)行Regedit，進(jìn)入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-ersionSharedDlls子鍵查看，其右邊窗口中就顯示了所有DLL文件及其相關(guān)數(shù)據(jù)，其中數(shù)據(jù)右邊小括號(hào)內(nèi)的數(shù)字就說(shuō)明了被幾個(gè)程序使用，（2）表示被兩個(gè)程序使用，（0）則表示無(wú)程序使用，可以將其刪除。

3、如何解決DLL文件丟失的情況

有時(shí)在卸載文件時(shí)會(huì)提醒你刪除某個(gè)DLL文件可能會(huì)影響其他應(yīng)用程序的運(yùn)行。所以當(dāng)你卸載軟件時(shí)，就有可能誤刪共享的DLL文件。一旦出現(xiàn)了丟失DLL文件的情況，如果你能確定其名稱，可以在Sysbckup（系統(tǒng)備份文件夾）中找到該DLL文件，將其復(fù)制到System文件夾中。如果這樣不行，在電腦啟動(dòng)時(shí)又總是出現(xiàn)“***dll文件丟失……”的提示框，你可以在“開始/運(yùn)行”中運(yùn)行Msconfig，進(jìn)入系統(tǒng)配置實(shí)用程序?qū)υ捒蛞院?，單擊選擇“System.ini”標(biāo)簽，找出提示丟失的DLL文件，使其不被選中，這樣開機(jī)時(shí)就不會(huì)出現(xiàn)錯(cuò)誤提示了。

rundll的功能是以命令列的方式呼叫Windows的動(dòng)態(tài)鏈結(jié)庫(kù)。

Rundll32.exe與Rundll.exe的區(qū)別就在于前者是呼叫32位的鏈結(jié)庫(kù)，后者是用于16位的鏈結(jié)庫(kù)。rundll32.exe是專門用來(lái)調(diào)用dll文件的程序。

如果用的是Win98，rundll32.exe一般存在于Windows目錄下；

如果用的WinXP，rundll32.exe一般存在于WindowsSystem32目錄下。

若是在其它目錄，就可能是一個(gè)木馬程序，它會(huì)偽裝成rundll32.exe。

第八：什么是系統(tǒng)進(jìn)程

進(jìn)程是指在系統(tǒng)中正在運(yùn)行的一個(gè)應(yīng)用程序；線程是系統(tǒng)分配處理器時(shí)間資源的基本單元，或者說(shuō)進(jìn)程之內(nèi)獨(dú)立執(zhí)行的一個(gè)單元。對(duì)于操 作系統(tǒng)而言，其調(diào)度單元是線程。一個(gè)進(jìn)程至少包括一個(gè)線程，通常將該線程稱為主線程。一個(gè)進(jìn)程從主線程的執(zhí)行開始進(jìn)而創(chuàng)建一個(gè)或多個(gè)附加線程，就是所謂基于多線程的多任務(wù)。

那進(jìn)程與線程的區(qū)別到底是什么？進(jìn)程是執(zhí)行程序的實(shí)例。例如，當(dāng)你運(yùn)行記事本程序（Nodepad）時(shí)，你就創(chuàng)建了一個(gè)用來(lái)容納組成Notepad.exe的代碼及其所需調(diào)用動(dòng)態(tài)鏈接庫(kù)的進(jìn)程。每個(gè)進(jìn)程均運(yùn)行在其專用且受保護(hù)的地址空間內(nèi)。因此，如果你同時(shí)運(yùn)行記事本的兩個(gè)拷貝，該程序正在使用的數(shù)據(jù)在各自實(shí)例中是彼此獨(dú)立的。在記事本的一個(gè)拷貝中將無(wú)法看到該程序的第二個(gè)實(shí)例打開的數(shù)據(jù)。

以沙箱為例進(jìn)行闡述。一個(gè)進(jìn)程就好比一個(gè)沙箱。線程就如同沙箱中的孩子們。孩子們?cè)谏诚渥又信軄?lái)跑去，并且可能將沙子攘到別的孩子眼中，他們會(huì)互相踢打或撕咬。但是，這些沙箱略有不同之處就在于每個(gè)沙箱完全由墻壁和頂棚封閉起來(lái)，無(wú)論箱中的孩子如何狠命地攘沙，他們也不會(huì)影響到其它沙箱中的其他孩子。因此，每個(gè)進(jìn)程就象一個(gè)被保護(hù)起來(lái)的沙箱。未經(jīng)許可，無(wú)人可以進(jìn)出。

實(shí)際上線程運(yùn)行而進(jìn)程不運(yùn)行。兩個(gè)進(jìn)程彼此獲得專用數(shù)據(jù)或內(nèi)存的唯一途徑就是通過(guò)協(xié)議來(lái)共享內(nèi)存塊。這是一種協(xié)作策略。下面讓我們分析一下任務(wù)管理器里的進(jìn)程選項(xiàng)卡。

這里的進(jìn)程是指一系列進(jìn)程，這些進(jìn)程是由它們所運(yùn)行的可執(zhí)行程序?qū)嵗齺?lái)識(shí)別的，這就是進(jìn)程選項(xiàng)卡中的第一列給出了映射名稱的原因。請(qǐng)注意，這里并沒(méi)有進(jìn)程名稱列。進(jìn)程并不擁有獨(dú)立于其所歸屬實(shí)例的映射名稱。換言之，如果你運(yùn)行5個(gè)記事本拷貝，你將會(huì)看到5個(gè)稱為Notepad.exe的進(jìn)程。它們是如何彼此區(qū)別的呢？其中一種方式是通過(guò)它們的進(jìn)程ID，因?yàn)槊總€(gè)進(jìn)程都擁有其獨(dú)一無(wú)二的編碼。該進(jìn)程ID由Windows NT或Windows 2000生成，并可以循環(huán)使用。因此，進(jìn)程ID將不會(huì)越編越大，它們能夠得到循環(huán)利用。

第三列是被進(jìn)程中的線程所占用的CPU時(shí)間百分比。它不是CPU的編號(hào)，而是被進(jìn)程占用的CPU時(shí)間百分比。此時(shí)我的系統(tǒng)基本上是空閑的。盡管系統(tǒng)看上去每一秒左右都只使用一小部分CPU時(shí)間，但該系統(tǒng)空閑進(jìn)程仍舊耗用了大約99%的CPU時(shí)間。

第四列，CPU時(shí)間，是CPU被進(jìn)程中的線程累計(jì)占用的小時(shí)、分鐘及秒數(shù)。請(qǐng)注意，我對(duì)進(jìn)程中的線程使用占用一詞。這并不一定意味著那就是進(jìn)程已耗用的CPU時(shí)間總和，因?yàn)椋缥覀円粫?huì)兒將看到的，NT計(jì)時(shí)的方式是，當(dāng)特定的時(shí)鐘間隔激發(fā)時(shí)，無(wú)論誰(shuí)恰巧處于當(dāng)前的線程中，它都將計(jì)算到CPU周期之內(nèi)。通常情況下，在大多數(shù)NT系統(tǒng)中，時(shí)鐘以10毫秒的間隔運(yùn)行。每10毫秒NT的心臟就跳動(dòng)一下。有一些驅(qū)動(dòng)程序代碼片段運(yùn)行并顯示誰(shuí)是當(dāng)前的線程。讓我們將CPU時(shí)間的最后10毫秒記在它的帳上。因此，如果一個(gè)線程開始運(yùn)行，并在持續(xù)運(yùn)行8毫秒后完成，接著，第二個(gè)線程開始運(yùn)行并持續(xù)了2毫秒，這時(shí)，時(shí)鐘激發(fā)，請(qǐng)猜一猜這整整10毫秒的時(shí)鐘周期到底記在了哪個(gè)線程的帳上？答案是第二個(gè)線程。因此，NT中存在一些固有的不準(zhǔn)確性，而NT恰是以這種方式進(jìn)行計(jì)時(shí)，實(shí)際情況也如是，大多數(shù)32位操作系統(tǒng)中都存在一個(gè)基于間隔的計(jì)時(shí)機(jī)制。請(qǐng)記住這一點(diǎn)，因?yàn)?，有時(shí)當(dāng)你觀察線程所耗用的CPU總和時(shí)，會(huì)出現(xiàn)盡管該線程或許看上去已運(yùn)行過(guò)數(shù)十萬(wàn)次，但其CPU時(shí)間占用量卻可能是零或非常短暫的現(xiàn)象，那么，上述解釋便是原因所在。上述也就是我們?cè)谌蝿?wù)管理器的進(jìn)程選項(xiàng)卡中所能看到的基本信息列。

第九：什么是應(yīng)用程序

應(yīng)用程序指的是程序開發(fā)人員要開發(fā)的一個(gè)數(shù)據(jù)庫(kù)應(yīng)用管理系統(tǒng)，它可以是一個(gè)單位的財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)等。（各種有關(guān)功能的窗口的集合構(gòu)成一個(gè)完整的應(yīng)用系統(tǒng)，分發(fā)給各個(gè)終端用戶的就是一個(gè)應(yīng)用程序。

第十：如何察看正在運(yùn)行的進(jìn)程

察看正在運(yùn)行的進(jìn)程的方法有很多，最簡(jiǎn)單就是使用Windows自帶的進(jìn)程管理器察看正在運(yùn)行的進(jìn)程：同時(shí)按下“Ctl Alt Del”打開Windows進(jìn)程管理器。點(diǎn)擊進(jìn)程的標(biāo)簽，即可察看系統(tǒng)中進(jìn)行的進(jìn)程列表。或者用鼠標(biāo)右鍵點(diǎn)系統(tǒng)狀態(tài)欄“系統(tǒng)管理器”進(jìn)入系統(tǒng)進(jìn)程管理器。

第十一：如何強(qiáng)制結(jié)束一個(gè)運(yùn)行中的進(jìn)程

1、打開“終端服務(wù)管理器（任務(wù)管理器）”。

2、在“進(jìn)程”選項(xiàng)卡上的“用戶”列下，右鍵單擊要結(jié)束的進(jìn)程，然后單擊“結(jié)束進(jìn)程”。

注意：

（1）必須具有完全控制權(quán)限才能結(jié)束進(jìn)程。

（2）要打開“終端服務(wù)管理器”，請(qǐng)依次單擊“開始”和“控制面板”，雙擊“管理工具”，然后雙擊“終端服務(wù)管理器”。

（3）請(qǐng)注意：在沒(méi)有警告的情況下結(jié)束進(jìn)程會(huì)導(dǎo)致用戶會(huì)話中的數(shù)據(jù)丟失。

（4）可能需要結(jié)束進(jìn)程，因?yàn)閼?yīng)用程序沒(méi)有響應(yīng)

（5）也可以使用 tskill 命令結(jié)束進(jìn)程。

強(qiáng)制結(jié)束進(jìn)程的命令行

Windows操作系統(tǒng)中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個(gè)是純內(nèi)核態(tài)的，最后那個(gè)是Win32子系統(tǒng)，ntsd本身需要它。ntsd從2000開始就是系統(tǒng)自帶的用戶態(tài)調(diào)試工具。被調(diào)試器附著(attach)的進(jìn)程會(huì)隨調(diào)試器一起退出，所以可以用來(lái)在命令行下終止進(jìn)程。使用ntsd自動(dòng)就獲得了debug權(quán)限，從而能殺掉大部分的進(jìn)程。ntsd會(huì)新開一個(gè)調(diào)試窗口，本來(lái)在純命令行下無(wú)法控制，但如果只是簡(jiǎn)單的命令，比如退出(q)，用-c參數(shù)從命令行傳遞就行了。Ntsd按照慣例也向軟件開發(fā)人員提供。只有系統(tǒng)開發(fā)人員使用此命令。有關(guān)詳細(xì)信息，請(qǐng)參閱 NTSD 中所附的幫助文件。用法：開個(gè)cmd.exe窗口，輸入：


ntsd -c q -p PID


把最后那個(gè)PID，改成你要終止的進(jìn)程的ID。如果你不知道進(jìn)程的ID，任務(wù)管理器->進(jìn)程選項(xiàng)卡->查看->選擇列->勾上“PID(進(jìn)程標(biāo)識(shí)符)”，然后就能看見(jiàn)了。

XP下還有兩個(gè)好用的工具tasklist和tskill。tasklist能列出所有的進(jìn)程，和相應(yīng)的信息。tskill能查殺進(jìn)程，語(yǔ)法很簡(jiǎn)單：tskill 程序名！

結(jié)束進(jìn)程的一些巧用小竅門

誤刪VCD文件的另類恢復(fù)

現(xiàn)在很多人會(huì)把一些不錯(cuò)的VCD直接拷入硬盤保存。但你是否誤刪過(guò)這些百看不厭的經(jīng)典之作呢？那么怎樣才能在不用恢復(fù)軟件的情況下手動(dòng)恢復(fù)它們呢？

筆者找到了一個(gè)另類的恢復(fù)方法，并且效果還不錯(cuò)。首先要知道誤刪的VCD文件的文件名和原文件存儲(chǔ)路徑。一般情況下VCD的主要視頻文件是VCD根目錄下的Mpegav文件夾，文件名一般為Avseq0？.dat或Music0？.dat,其中“？”代表數(shù)字(1～9)。有的VCD序幕和正式內(nèi)容是一個(gè)文件，即Avseq01.dat或Music01.dat；也有的VCD序幕和正式內(nèi)容分別為兩個(gè)文件，即序幕為Avseq01.dat或Music01.dat，而正式內(nèi)容為Avseq02.dat或Music02.dat。

首先，找一個(gè)和誤刪文件同名的文件(暫且稱為A)，接著將A復(fù)制到原誤刪文件的同一文件夾中。在出現(xiàn)“正在復(fù)制...”窗口時(shí)，按下Ctrl+Alt+Del結(jié)束“正在復(fù)制...”任務(wù)，如果“正在復(fù)制...”窗口不消失，就再次按下Ctrl+Alt+Del結(jié)束“正在復(fù)制...”任務(wù)。就這么簡(jiǎn)單，到原誤刪文件存儲(chǔ)的地方看一下，是不是又失而復(fù)得了？用多媒體播放軟件打開，只是開頭幾秒種是文件A的內(nèi)容，后面的照看不誤。

保存拷了一部分的文件

如果你經(jīng)常會(huì)把MP3、CD、VCD、MPEG、RM等音、視頻文件(或其他類型的文件)從光盤中復(fù)制到硬盤，那么可能會(huì)遇到復(fù)制到只剩下一點(diǎn)點(diǎn)時(shí)，Windows提示“復(fù)制文件出錯(cuò)”，這時(shí)只要按回車鍵或點(diǎn)擊“確定”按鈕，那么辛辛苦苦復(fù)制的文件就會(huì)丟失。

其實(shí)只要馬上激活“任務(wù)管理器”，把“出錯(cuò)的對(duì)話框”和“正在復(fù)制”的任務(wù)都關(guān)閉掉。那么文件就會(huì)以原文件大小保存下來(lái)了，當(dāng)然這還是有缺點(diǎn)的，當(dāng)此類文件播放到斷點(diǎn)的地方時(shí)就會(huì)停止。

巧玩游戲

本人用的是Windows XP家庭版，運(yùn)行一些支持Windows 2000但不支持Windows XP的游戲時(shí)，鼠標(biāo)、鍵盤失去反應(yīng)。某日發(fā)現(xiàn)一解法：打開“任務(wù)管理器”，結(jié)束EXPLORER.EXE進(jìn)程，點(diǎn)“新任務(wù)”，找到游戲運(yùn)行文件，運(yùn)行即可。另外，結(jié)束SVCHOST.exe(為當(dāng)前用戶名的)進(jìn)程可以去掉Windows XP風(fēng)格。

第十二：一些常見(jiàn)的進(jìn)程


進(jìn)程名描述

smss.exeSessionManager

csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程

winlogon.exe管理用戶登錄

services.exe包含很多系統(tǒng)服務(wù)

lsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。

svchost.exe Windows 2000/XP 的文件保護(hù)系統(tǒng)

SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。

explorer.exe資源管理器

internat.exe托盤區(qū)的拼音圖標(biāo)

mstask.exe允許程序在指定時(shí)間運(yùn)行.

regsvc.exe允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù))→remoteregister

tftpd.exe 實(shí)現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。

llssrv.exe證書記錄服務(wù)

ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。

RsSub.exe 控制用來(lái)遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。

locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫(kù)。

clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁(yè)

msdtc.exe 并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫(kù)，消息隊(duì)列，文件系統(tǒng)或其他事務(wù)保護(hù)資源

管理器。

grovel.exe掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)，以

節(jié)省磁盤空間（只對(duì) NTFS 文件系統(tǒng)有用）。

snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。


以上這些進(jìn)程都是對(duì)計(jì)算機(jī)運(yùn)行起至關(guān)重要的，千萬(wàn)不要隨意“殺掉”，否則可能直接影響系統(tǒng)的正常運(yùn)行。

第十三：什么是網(wǎng)絡(luò)釣魚

什么是網(wǎng)絡(luò)釣魚？

網(wǎng)絡(luò)釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

如何防備網(wǎng)絡(luò)釣魚？

不要在網(wǎng)上留下可以證明自己身份的任何資料，包括手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào)碼等。

不要把自己的隱私資料通過(guò)網(wǎng)絡(luò)傳輸，包括銀行卡號(hào)碼、身份證號(hào)、電子商務(wù)網(wǎng)站賬戶等資料不要通過(guò)QQ 、MSN 、Email 等軟件傳播，這些途徑往往可能被黑客利用來(lái)進(jìn)行詐騙。

不要相信網(wǎng)上流傳的消息，除非得到權(quán)威途徑的證明。如網(wǎng)絡(luò)論壇、新聞組、 QQ 等往往有人發(fā)布謠言，伺機(jī)竊取用戶的身份資料等。

不要在網(wǎng)站注冊(cè)時(shí)透露自己的真實(shí)資料。例如住址、住宅電話、手機(jī)號(hào)碼、自己使用的銀行賬戶、自己經(jīng)常去的消費(fèi)場(chǎng)所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項(xiàng)，不要僅僅通過(guò)網(wǎng)絡(luò)完成，有心計(jì)的騙子們可能通過(guò)這些途徑了解用戶的資料，伺機(jī)進(jìn)行詐騙。

不要輕易相信通過(guò)電子郵件、網(wǎng)絡(luò)論壇等發(fā)布的中獎(jiǎng)信息、促銷信息等，除非得到另外途徑的證明。正規(guī)公司一般不會(huì)通過(guò)電子郵件給用戶發(fā)送中獎(jiǎng)信息和促銷信息，而騙子們往往喜歡這樣進(jìn)行詐騙。

第十四：什么是瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過(guò)DLL插件、BHO 、Winsock LSP 等形式 對(duì)用戶的瀏覽器進(jìn)行篡改，使用戶瀏覽器出現(xiàn) 訪問(wèn)正常網(wǎng)站時(shí)被轉(zhuǎn)向到惡意網(wǎng)頁(yè)、IE瀏覽器主頁(yè) / 搜索頁(yè)等被修改為劫持軟件指定的網(wǎng)站地址等異常。

瀏覽器劫持如何防止，被劫持之后應(yīng)采取什么措施？

瀏覽器劫持分為多種不同的方式，從最簡(jiǎn)單的修改IE默認(rèn)搜索頁(yè)到最復(fù)雜的通過(guò)病毒修改系統(tǒng)設(shè)置并設(shè)置病毒守護(hù)進(jìn)程，劫持瀏覽器，都有人采用。針對(duì)這些情況，用戶應(yīng)該采取如下措施：

不要輕易瀏覽不良網(wǎng)站。

不要輕易安裝共享軟件、盜版軟件。

建議使用安全性能比較高的瀏覽器，并可以針對(duì)自己的需要對(duì)瀏覽器的安全設(shè)置進(jìn)行相應(yīng)調(diào)整。

如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網(wǎng)站下載。

第十五：什么是惡意共享軟件

惡意共享軟件（malicious shareware）是指采用不正當(dāng)?shù)睦壔虿煌该鞯姆绞綇?qiáng)制安裝在用戶的計(jì)算機(jī)上，并且利用一些病毒常用的技術(shù)手段造成軟件很難被卸載，或采用一些非法手段強(qiáng)制用戶購(gòu)買的免費(fèi)、共享軟件。 安裝共享軟件時(shí)，應(yīng)注意以下方面： 注意仔　　細(xì)閱讀軟件提供的“安裝協(xié)議”，不要隨便點(diǎn)“next”進(jìn)行安裝。

不要安裝從不良渠道獲得的盜版軟件，這些軟件往往由于破解不完全，安裝之后帶來(lái)安全風(fēng)險(xiǎn)。

使用具有破壞性功能的軟件，如硬盤整理、分區(qū)軟件等，一定要仔細(xì)了解它的功能之后再使用，避免因誤操作產(chǎn)生不可挽回的損失。

第十六：如何更好地預(yù)防計(jì)算機(jī)病毒入侵

有病治病，無(wú)病預(yù)防這是人們對(duì)健康生活的最基本也是最重要的要求，預(yù)防比治療更為重要。對(duì)計(jì)算機(jī)來(lái)說(shuō)，同樣也是如此，了解病毒，針對(duì)病毒養(yǎng)成一個(gè)良好的計(jì)算機(jī)應(yīng)用管理習(xí)慣，對(duì)保障您的計(jì)算機(jī)不受計(jì)算機(jī)病毒侵?jǐn)_是尤為重要的。為了減少病毒的侵?jǐn)_，建議大家平時(shí)能做到“三打三防”。

“三打” 就是安裝新的計(jì)算機(jī)系統(tǒng)時(shí)，要注意打系統(tǒng)補(bǔ)丁，震蕩波一類的惡性蠕蟲病毒一般都是通過(guò)系統(tǒng)漏洞傳播的，打好補(bǔ)丁就可以防止此類病毒感染；用戶上網(wǎng)的時(shí)候要打開殺毒軟件實(shí)時(shí)監(jiān)控，以免病毒通過(guò)網(wǎng)絡(luò)進(jìn)入自己的電腦；玩網(wǎng)絡(luò)游戲時(shí)要打開個(gè)人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料。

“三防” 就是防郵件病毒，用戶收到郵件時(shí)首先要進(jìn)行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過(guò)惡意網(wǎng)站散播，用戶從網(wǎng)上下載任何文件后，一定要先進(jìn)行病毒掃描再運(yùn)行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過(guò) MSN、 QQ等即時(shí)通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友將會(huì)遭到病毒的入侵。

第十七：如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒

當(dāng)計(jì)算機(jī)感染病毒的時(shí)候，絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒，這里說(shuō)的正常模式準(zhǔn)確的說(shuō)法應(yīng)該是實(shí)模式（Real Mode），這里通俗點(diǎn)說(shuō)了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隱匿和狡猾的手段往往會(huì)對(duì)殺毒軟件進(jìn)行攻擊甚至是刪除系統(tǒng)中的殺毒軟件的做法，針對(duì)這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計(jì)為在安全模式可安裝、使用、執(zhí)行殺毒處理。

在安全模式（Safe Mode）或者純DOS下進(jìn)行清除清除時(shí)，對(duì)于現(xiàn)在大多數(shù)流行的病毒，如蠕蟲病毒、木馬程序和網(wǎng)頁(yè)代碼病毒等，都可以在安全模示下清除。DOS下殺毒(建議用干凈軟盤啟動(dòng)殺毒)。而且，當(dāng)計(jì)算機(jī)原來(lái)就感染了病毒，那就更需要在安裝反病毒軟件后（升級(jí)到最新的病毒庫(kù)），在安全模式（Safe Mode）或者純DOS下清除一遍病毒了！

2、帶毒文件在\Temporary Internet Files目錄下

由于這個(gè)目錄下的文件，Windows 會(huì)對(duì)此有一定的保護(hù)作用，所以對(duì)這個(gè)目錄下的帶毒文件即使在安全模式下也不能進(jìn)行清除，對(duì)于這種情況，請(qǐng)先關(guān)閉其他一些程序軟件，然后打開 IE ，選擇IE工具欄中的“工具\(yùn)Internet 選項(xiàng)”，選擇 "刪除文件”刪除即可，如果有提示“刪除所有脫機(jī)內(nèi)容”，也請(qǐng)選上一并刪除。

3、帶毒文件在 \_Restore 目錄下，*.cpy 文件中

這是系統(tǒng)還原存放還原文件的目錄，只有在裝了Windows Me/XP 操作系統(tǒng)上才會(huì)有這個(gè)目錄，由于系統(tǒng)對(duì)這個(gè)目錄有保護(hù)作用。

對(duì)于這種情況需要先取消“系統(tǒng)還原”功能，然后將帶毒文件刪除，甚至將整個(gè)目錄刪除也是可以的。

4、帶毒文件在.rar、.zip、.cab 等壓縮文件中

對(duì)于絕大多數(shù)的反病毒軟件來(lái)說(shuō)，現(xiàn)在的查殺壓縮文件中病毒的功能已經(jīng)基本完善了，單是對(duì)于一些特殊類型的壓縮文件或者加了密碼保護(hù)的壓縮文件就可能直接清除了。

要清除壓縮文件中的病毒，建議解壓縮后清除，或者借助壓縮工具軟件的外掛殺毒程序的功能，對(duì)帶毒的壓縮文件進(jìn)行殺毒。

5、病毒在引導(dǎo)區(qū)或者SUHDLOG.DAT或SUHDLOG.BAK文件中

這種病毒一般是引導(dǎo)區(qū)病毒，報(bào)告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在于移動(dòng)存儲(chǔ)設(shè)備（如軟盤、閃存盤、移動(dòng)硬盤）上，就可以借助本地硬盤上的反病毒軟件直接進(jìn)行查殺。

如果這種病毒是在硬盤上，則需要用干凈的可引導(dǎo)盤啟動(dòng)進(jìn)行查殺。 對(duì)于這類病毒建議用干凈軟盤啟動(dòng)進(jìn)行查殺，不過(guò)在查殺之前一定要備份原來(lái)的引導(dǎo)區(qū)，特別是原來(lái)裝有別的操作系統(tǒng)的情況，如日文Windows 、Linux 等。 如果沒(méi)有干凈的可引導(dǎo)盤，則可使用下面的方法進(jìn)行應(yīng)急殺毒：

(1) 在別的計(jì)算機(jī)上做一張干凈的可引導(dǎo)盤，此引導(dǎo)盤可以在Windows 95/98/ME 系統(tǒng)上通過(guò)“添加／刪除程序”進(jìn)行制作，但要注意的是，制作軟盤的操作系統(tǒng)須和自己所使用的操作系統(tǒng)相同；

(2) 用這張軟盤引導(dǎo)啟動(dòng)帶毒的計(jì)算機(jī)，然后運(yùn)行以下命令：


A:\>fdisk/mbr

A:\>sys a: c:


針對(duì) NT 構(gòu)架的操作系統(tǒng)可首先安裝“管理員控制臺(tái)”，安裝后使用管理員控制臺(tái)，然后分別執(zhí)行 fixmbr（恢復(fù)主引導(dǎo)記錄）和 fixboot（恢復(fù)啟動(dòng)盤上的引導(dǎo)區(qū)）命令對(duì)引導(dǎo)區(qū)及啟動(dòng)信息進(jìn)行修復(fù)。

如果帶毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那么直接刪除即可。這是系統(tǒng)在安裝的時(shí)候?qū)τ脖P引導(dǎo)區(qū)做的一個(gè)備份文件，一般作用不大，病毒在其中已經(jīng)不起作用了。

6、帶毒文件在一些郵件文件中，如dbx、eml、box 等

絕大多數(shù)的防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒，對(duì)于郵箱中的帶毒的信件，可以根據(jù)用戶的設(shè)置殺毒或刪除帶毒郵件，但是由于此類郵箱的復(fù)合文件結(jié)構(gòu)，易出現(xiàn)殺毒后的郵箱依舊可以檢測(cè)到病毒情況，這是由于沒(méi)有壓縮郵箱進(jìn)行空間釋放的原因?qū)е碌?，您可以嘗試在 Outlook Express 中選擇“工具” — 〉“選項(xiàng)” — 〉“維護(hù)” — 〉“立即清除” — 〉“壓縮”

7、文件中有病毒的殘留代碼

這種情況比較多見(jiàn)的就是帶有 CIH、Funlove、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文檔中的宏病毒）和個(gè)別網(wǎng)頁(yè)病毒的殘留代碼，通常防毒軟件對(duì)這些帶有病毒殘留代碼的文件報(bào)告的病毒名稱后綴通常是int、app 等結(jié)尾，而且并不常見(jiàn)，如 W32/FunLove.app、W32.Funlove.int。一般情況下，這些殘留的代碼不會(huì)影響正常程序的運(yùn)行，也不會(huì)傳染，如果需要徹底清除的話，要根據(jù)各個(gè)病毒的實(shí)際情況進(jìn)行清除。

8、文件錯(cuò)誤

這種情況出現(xiàn)的并不多，通常是由于某些病毒對(duì)系統(tǒng)中的關(guān)鍵文件修改后造成的，異常的文件無(wú)法正常使用，同時(shí)易造成別的系統(tǒng)錯(cuò)誤，針對(duì)此種情況建議進(jìn)行修復(fù)安裝的方法恢復(fù)系統(tǒng)中的關(guān)鍵文件。

9、加密的文件或目錄

對(duì)于一些加密了的文件或目錄，請(qǐng)?jiān)诮饷芎笤龠M(jìn)行病毒查殺。

10 、共享目錄殺毒

這里包括兩種情況：本地共享目錄和網(wǎng)絡(luò)中遠(yuǎn)程共享目錄（其中也包括映射盤）。

遇到本地共享的目錄中的帶毒文件不能清除的情況，通常是局域網(wǎng)中別的用戶在讀寫這些文件，殺毒的時(shí)候表現(xiàn)為無(wú)法直接清除這些帶毒文件中的病毒，如果是有病毒在對(duì)這些目錄在寫病毒操作，表現(xiàn)為對(duì)共享目錄進(jìn)行清除病毒操作后，還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況，都建議取消共享，然后針對(duì)共享目錄進(jìn)行徹底查殺，恢復(fù)共享的時(shí)候，注意不要開放太高的權(quán)限，并對(duì)共享目錄加設(shè)密碼。 對(duì)遠(yuǎn)程的共享目錄（包括映射盤）查殺病毒的時(shí)候，首先要保證本地計(jì)算機(jī)的操作系統(tǒng)是干凈的，同時(shí)對(duì)共享目錄也有最高的讀寫權(quán)限。如果是遠(yuǎn)程計(jì)算機(jī)感染病毒的話，建議還是直接在遠(yuǎn)程計(jì)算機(jī)進(jìn)行查殺病毒。

特別的，如果在清除別的病毒的時(shí)侯都建議取消所有的本地共享，再進(jìn)行殺毒操作。在平時(shí)的使用中，也應(yīng)注意共享目錄的安全性，加設(shè)密碼，同時(shí)，非必要的情況下，不要直接讀取遠(yuǎn)程共享目錄中的文件，建議拷貝到本地檢查過(guò)病毒后再進(jìn)行操作。

11、光盤等一些存儲(chǔ)介質(zhì)

對(duì)于光盤上帶有的病毒，不要試圖直接清除，這是因?yàn)楣獗P上的文件都是只讀的原因?qū)е碌?。同時(shí)，對(duì)另外一些存儲(chǔ)設(shè)備查殺病毒的，也需要注意其是否處于寫保護(hù)或者密碼保護(hù)狀態(tài)。

這是一個(gè)病毒樣本eraseme_88446.exe（樣本來(lái)自“劍盟”）釋放到系統(tǒng)中的。瑞星今天的病毒庫(kù)不報(bào)。

C:\windows\alg.exe偷偷潛入系統(tǒng)后，下次開機(jī)時(shí)會(huì)遇到1－2次藍(lán)屏重啟。

特點(diǎn)：
1、C:\windows\alg.exe注冊(cè)為系統(tǒng)服務(wù)，實(shí)現(xiàn)啟動(dòng)加載。
2、C:\windows\alg.exe控制winlogon.exe進(jìn)程。因此，在WINDOWS下無(wú)法終止C:\windows\alg.exe進(jìn)程。
3、在IceSword的“端口”列表中可見(jiàn)C:\windows\alg.exe打開5－6個(gè)端口訪問(wèn)網(wǎng)絡(luò)。
4、C:\windows\alg.exe修改系統(tǒng)文件ftp.exe和tftp.exe。與原系統(tǒng)文件比較，病毒改動(dòng)后的ftp.exe和tftp.exe文件大小不變，但MD5值均變?yōu)?9d81f8dca0cbd5b110e53e6460b0d3b（見(jiàn)附圖）。系統(tǒng)原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目錄下。

手工殺毒流程：
1、清理注冊(cè)表：
（1）展開：HKLM\System\CurrentControlSet\Services
刪除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將SFCDisable的建值改為dword:00000000

（3）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
刪除："SFCScan"=dword:00000000

（4）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
刪除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重啟系統(tǒng)。顯示隱藏文件。
3、刪除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp，改名為ftp.exe；找到backup.tftp，改名為tftp.exe。然后，將ftp.exe和tftp.exe拖拽到system32文件夾，覆蓋被病毒改寫過(guò)的ftp.exe和tftp.exe。

1、上網(wǎng)沖浪前就要做好安全工作：

a、大部分會(huì)員使用WINDOWS視窗系統(tǒng)，都盡可能的打上最新系統(tǒng)和IE補(bǔ)?。ㄉ?jí)站點(diǎn)：http://www.windowsupdate.com)；

b、裝一款適合自己的殺毒軟件和防火墻（WINDOWS XP 系統(tǒng)的可以使用系統(tǒng)自帶防火墻），經(jīng)常升級(jí)至最新病毒庫(kù)，并打開所有監(jiān)控；

2、網(wǎng)上沖浪的安全事項(xiàng)：

a、下載的文件先掃描查毒，確認(rèn)安全后則可打開執(zhí)行；

b、在瀏覽頁(yè)面時(shí)出現(xiàn)病毒警報(bào)，即時(shí)殺毒后也最好馬上全盤查一查。

c、可疑文件提交在線查毒推薦：

VirusTotal http://www.virustotal.com/flash/index_en.html

Jotti Online MalwareScan http://virusscan.jotti.org/

d、確認(rèn)中毒后，先根據(jù)所報(bào)病毒名，到搜索站點(diǎn)查詢相關(guān)病毒處理辦法，自己學(xué)著處理。

e、搜索站點(diǎn)推薦：

google http://www.google.com

baidu http://www.baidu.com

f、建議根據(jù)網(wǎng)上相關(guān)處理辦法，關(guān)閉瀏覽器，終止所有可終止的進(jìn)程，全盤殺毒，爭(zhēng)取時(shí)間在系統(tǒng)重啟動(dòng)前刪除隱患。

3、斷網(wǎng)后要不定時(shí)間的全盤查一查系統(tǒng)：

a、在線掃描本地系統(tǒng)的中文在線網(wǎng)站推薦：

國(guó)內(nèi)外免費(fèi)在線殺毒 http://hi.baidu.com/teyqiu/blog/item/6ac57d1e077734f41bd57610.html

4、對(duì)于自己不能處理的病毒問(wèn)題，則可以到網(wǎng)上虛心尋求會(huì)員朋友幫助解決，記住那也是學(xué)習(xí)討論交流過(guò)程，得益更多。

注意提供給會(huì)員朋友的相關(guān)信息如下：

a、中毒前后的情況說(shuō)明（包括瀏覽或下載執(zhí)行過(guò)什么程序，出現(xiàn)什么癥狀，殺毒軟件已報(bào)的病毒信息，根據(jù)哪個(gè)站點(diǎn)已做過(guò)哪些處理）

b、提供相關(guān)掃描日志，所用掃描日志修復(fù)工具推薦：
工具：SRENG http://bbs.360safe.com/viewthread.php?tid=55006&extra=page%3D1

c、常用小型工具推薦：——部分引用了卡卡社區(qū)的說(shuō)明:-)

1>冰刃 Icesword v1.12（新手慎用）

Icesword v1.12這是一斬?cái)嗪谑值睦?，它適用于Windows 2000/XP/2003 操作系統(tǒng), 其內(nèi)部功能是十分強(qiáng)大，用于查探系統(tǒng)中的幕后黑手-木馬后門，并作出處理。

注意事項(xiàng)：此程序運(yùn)行時(shí)不要激活內(nèi)核調(diào)試器(如softice)，否則系統(tǒng)可能即刻崩潰。另外使用前請(qǐng)保存好您的數(shù)據(jù)，以防萬(wàn)一未知的Bug帶來(lái)?yè)p失。

IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計(jì)，另外運(yùn)行IceSword需要管理員權(quán)限。

下載地址：http://aqfrs.ys168.com
作者主頁(yè)：http://www.blogcn.com/user17/pjf/index.html
說(shuō)明文本在程序中。

2>killbox v2.0.0.175

國(guó)外反病毒論壇很受歡迎的工具軟件，實(shí)質(zhì)是一個(gè)刪除任意文件的利器

它不管這個(gè)文件是EXE還是DLL等其它文件，也不管這個(gè)文件是正在運(yùn)行中，還是被系統(tǒng)調(diào)用了，KillBox 都可以簡(jiǎn)單幾步就將文件刪除。

下載地址：http://wx.onlinedown.net/soft/37257.htm

3> Procexp和Autoruns

高級(jí)進(jìn)程管理器和系統(tǒng)啟動(dòng)項(xiàng)查看工具，下載頁(yè)面都有說(shuō)明及貼圖

下載地址：http://www.sysinternals.com/Files/ProcessExplorerNt.zip

http://www.sysinternals.com/Files/Autoruns.zip

<4>WinsockXPFix

一個(gè)小巧的winsock和tcp/ip修復(fù)工具。

hijackthis在修復(fù)010項(xiàng)時(shí)有可能會(huì)破壞winsock2的SPI，引起WinXP的Winsock故障，導(dǎo)致所有網(wǎng)絡(luò)應(yīng)用中斷?？梢酝ㄟ^(guò)這個(gè)工具來(lái)修復(fù)。

下載地址：http://www.wedoc.com/software/WinsockXPFix.exe
http://www.snapfiles.com/get/winsockxpfix.html

Winsock repair utility designed for Windows 98, 98SE, and ME.

Winsock repair utility designed for Windows XP.

Winsock repair utility for Windows 95/98/98SE/ME.

----入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要組成部分，它不但可以實(shí)現(xiàn)復(fù)雜煩瑣的信息系統(tǒng)安全管理，而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)和網(wǎng)絡(luò)系統(tǒng)中的漏洞,有時(shí)還能實(shí)時(shí)地對(duì)攻擊作出反應(yīng)。

----入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。

----漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測(cè)，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測(cè)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。

----一個(gè)健全的網(wǎng)絡(luò)信息系統(tǒng)安全方案應(yīng)該包括安全效用檢驗(yàn)、安全審計(jì)、安全技術(shù)、安全教育與培訓(xùn)、安全機(jī)構(gòu)與程序和安全規(guī)則等內(nèi)容，是一個(gè)復(fù)雜的系統(tǒng)工程。安全技術(shù)是其中一個(gè)重要的環(huán)節(jié)，入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)是安全技術(shù)的核心。目前經(jīng)常使用的安全技術(shù)有防火墻、防病毒軟件、用戶認(rèn)證、加密、入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)等。防火墻作為防護(hù)措施中的一層能夠起到一定的作用，但事實(shí)證明它是不充分的，防火墻充當(dāng)了外部網(wǎng)和內(nèi)部網(wǎng)的一個(gè)屏障，但并不是所有的外部訪問(wèn)都是通過(guò)防火墻的。比如，一個(gè)未經(jīng)認(rèn)證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連到了外部網(wǎng)，就可以繞開防火墻，對(duì)系統(tǒng)的安全構(gòu)成威脅。此外，安全威脅也可能來(lái)自內(nèi)部，而防火墻本身也極容易被外部黑客攻破。入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)是防火墻的重要補(bǔ)充，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)。

入侵檢測(cè)
　

----1．常用的入侵檢測(cè)技術(shù)

----入侵檢測(cè)技術(shù)可分為五種：

----(1)基于應(yīng)用的監(jiān)控技術(shù)主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來(lái)越受到注意，其缺點(diǎn)在于有可能降低技術(shù)本身的安全。

----(2)基于主機(jī)的監(jiān)控技術(shù)主要特征是使用主機(jī)傳感器監(jiān)控本系統(tǒng)的信息。這種技術(shù)可以用于分布式、加密、交換的環(huán)境中監(jiān)控，把特定的問(wèn)題同特定的用戶聯(lián)系起來(lái)；其缺點(diǎn)在于主機(jī)傳感器要和特定的平臺(tái)相關(guān)聯(lián)，對(duì)網(wǎng)絡(luò)行為不易領(lǐng)會(huì)，同時(shí)加大了系統(tǒng)的負(fù)擔(dān)。

----(3)基于目標(biāo)的監(jiān)控技術(shù)主要特征是針對(duì)專有系統(tǒng)屬性、文件屬性、敏感數(shù)據(jù)、攻擊進(jìn)程結(jié)果進(jìn)行監(jiān)控。這種技術(shù)不依據(jù)歷史數(shù)據(jù)，系統(tǒng)開銷小，可以準(zhǔn)確地確定受攻擊的部位，受到攻擊的系統(tǒng)容易恢復(fù)；其缺點(diǎn)在于實(shí)時(shí)性較差，對(duì)目標(biāo)的檢驗(yàn)數(shù)依賴較大。

----(4)基于網(wǎng)絡(luò)的監(jiān)控技術(shù)主要特征是網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)控包監(jiān)聽(tīng)器收集的信息。該技術(shù)不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會(huì)影響其他數(shù)據(jù)源；其缺點(diǎn)在于如果數(shù)據(jù)流進(jìn)行了加密，就不能審查其內(nèi)容，對(duì)主機(jī)上執(zhí)行的命令也感覺(jué)不到。此外，該技術(shù)對(duì)高速網(wǎng)絡(luò)不是特別有效。

----(5)綜合以上4種方法進(jìn)行監(jiān)控其特點(diǎn)是可提高偵測(cè)性能，但會(huì)產(chǎn)生非常復(fù)雜的網(wǎng)絡(luò)安全方案，嚴(yán)重影響網(wǎng)絡(luò)的效率，而且目前還沒(méi)有一個(gè)統(tǒng)一的業(yè)界標(biāo)準(zhǔn)。

----2.入侵檢測(cè)技術(shù)的選用

----在使用入侵檢測(cè)技術(shù)時(shí)，應(yīng)該注意具有以下技術(shù)特點(diǎn)的應(yīng)用要根據(jù)具體情況進(jìn)行選擇：

----(1)信息收集分析時(shí)間：可分為固定時(shí)間間隔和實(shí)時(shí)收集分析兩種。采用固定時(shí)間間隔方法，通過(guò)操作系統(tǒng)審計(jì)機(jī)制和其他基于主機(jī)的登錄信息，入侵檢測(cè)系統(tǒng)在固定間隔的時(shí)間段內(nèi)收集和分析這些信息，這種技術(shù)適用于對(duì)安全性能要求較低的系統(tǒng)，對(duì)系統(tǒng)的開銷影響較?。坏@種技術(shù)的缺點(diǎn)是顯而易見(jiàn)的，即在時(shí)間間隔內(nèi)將失去對(duì)網(wǎng)絡(luò)的保護(hù)。采用實(shí)時(shí)收集和分析技術(shù)可以實(shí)時(shí)地抑制攻擊，使系統(tǒng)管理員及時(shí)了解并阻止攻擊，系統(tǒng)管理員也可以記錄黑客的信息；缺點(diǎn)是加大了系統(tǒng)開銷。

----(2)采用的分析類型：可分為簽名分析、統(tǒng)計(jì)分析和完整性分析。簽名分析就是同攻擊數(shù)據(jù)庫(kù)中的系統(tǒng)設(shè)置和用戶行為模式匹配。在許多入侵檢測(cè)系統(tǒng)中，都建有這種已知攻擊的數(shù)據(jù)庫(kù)。這種數(shù)據(jù)庫(kù)可以經(jīng)常更新，以對(duì)付新的威脅。簽名分析的優(yōu)點(diǎn)在于能夠有針對(duì)性地收集系統(tǒng)數(shù)據(jù)，減少了系統(tǒng)的開銷，如果數(shù)據(jù)庫(kù)不是特別大，那么簽名分析比統(tǒng)計(jì)分析更為有效，因?yàn)樗恍枰↑c(diǎn)運(yùn)算。

----統(tǒng)計(jì)分析用來(lái)發(fā)現(xiàn)偏離正常模式的行為，通過(guò)分析正常應(yīng)用的屬性得到系統(tǒng)的統(tǒng)計(jì)特征，對(duì)每種正常模式計(jì)算出均值和偏差，當(dāng)偵測(cè)到有的數(shù)值偏離正常值時(shí)，就發(fā)出報(bào)警信號(hào)。這種技術(shù)可以發(fā)現(xiàn)未知的攻擊，使用靈活的統(tǒng)計(jì)方法還可以偵測(cè)到復(fù)雜的攻擊。當(dāng)然，如果高明的黑客逐漸改變?nèi)肭帜Ｊ剑敲催€是可以逃避偵測(cè)的，而且統(tǒng)計(jì)傳感器發(fā)出虛警的概率就會(huì)變大。

----完整性分析主要關(guān)注某些文件和對(duì)象的屬性是否發(fā)生了變化。完整性分析通過(guò)被稱為消息摘錄算法的超強(qiáng)加密機(jī)制，可以感受到微小的變化。這種分析可以偵測(cè)到任何使文件發(fā)生變化的攻擊，彌補(bǔ)了簽名分析和統(tǒng)計(jì)分析的缺陷，但是這種分析的實(shí)時(shí)性很差。

----(3)偵測(cè)系統(tǒng)對(duì)攻擊和誤用的反應(yīng)：有些基于網(wǎng)絡(luò)的偵測(cè)系統(tǒng)可以針對(duì)偵測(cè)到的問(wèn)題作出反應(yīng)，這一特點(diǎn)使得網(wǎng)絡(luò)管理員對(duì)付諸如拒絕服務(wù)一類的攻擊變得非常容易。這些反應(yīng)主要有改變環(huán)境、效用檢驗(yàn)、實(shí)時(shí)通知等。當(dāng)系統(tǒng)偵測(cè)到攻擊時(shí)，一個(gè)典型的反應(yīng)就是改變系統(tǒng)的環(huán)境，通常包括關(guān)閉聯(lián)接，重新設(shè)置系統(tǒng)。由于改變了系統(tǒng)的環(huán)境,因此可以通過(guò)設(shè)置代理和審計(jì)機(jī)制獲得更多的信息，從而能跟蹤黑客。狡猾的黑客通常瞄準(zhǔn)偵測(cè)傳感器和分析引擎進(jìn)行攻擊，在這種情況下，就有必要對(duì)這些傳感器和引擎進(jìn)行效用評(píng)估，看它們能否正常工作。許多實(shí)時(shí)系統(tǒng)還允許管理員選擇一種預(yù)警機(jī)制，把發(fā)生的問(wèn)題實(shí)時(shí)地送往各個(gè)地方。

----(4)偵測(cè)系統(tǒng)的管理和安裝：用戶采用偵測(cè)系統(tǒng)時(shí)，需要根據(jù)本網(wǎng)的一些具體情況而定。實(shí)際上，沒(méi)有兩種完全相同的網(wǎng)絡(luò)環(huán)境，因此，就必須對(duì)采用的系統(tǒng)進(jìn)行配置。比如，可以配置系統(tǒng)的網(wǎng)絡(luò)地址、安全條目等。某些基于主機(jī)的偵測(cè)系統(tǒng)還提供友好的用戶界面，讓用戶說(shuō)明要傳感器采集哪些信息。一個(gè)好的偵測(cè)系統(tǒng)會(huì)為用戶帶來(lái)方便，讓用戶記錄系統(tǒng)中發(fā)生的安全問(wèn)題，在運(yùn)行偵測(cè)系統(tǒng)的時(shí)候，還可以說(shuō)明一些控制功能和效用檢驗(yàn)機(jī)制。

----(5)偵測(cè)系統(tǒng)的完整性：所謂完整性就是系統(tǒng)自身的安全性，鑒于偵測(cè)系統(tǒng)的巨大作用，系統(tǒng)設(shè)計(jì)人員要對(duì)系統(tǒng)本身的自保性能有足夠的重視，黑客在發(fā)動(dòng)攻擊之前首先要對(duì)安全機(jī)制有足夠的了解后才會(huì)攻擊，所以偵測(cè)系統(tǒng)完整性就成為必須解決的問(wèn)題，經(jīng)常采用的手段有認(rèn)證、超強(qiáng)加密、數(shù)字簽名等，確保合法使用，保證通信不受任何干擾。

----(6)設(shè)置誘騙服務(wù)器：有的偵測(cè)系統(tǒng)還在安全構(gòu)架中提供了誘騙服務(wù)器，以便更準(zhǔn)確地確定攻擊的威脅程度。誘騙服務(wù)器的目的就是吸引黑客的注意力，把攻擊導(dǎo)向它，從敏感的傳感器中發(fā)現(xiàn)攻擊者的攻擊位置、攻擊路徑和攻擊實(shí)質(zhì)，隨后把這些信息送到一個(gè)安全的地方，供以后查用。這種技術(shù)是否采用可根據(jù)網(wǎng)絡(luò)的自身情況而定。

漏洞檢測(cè)
　

----1.分類

----漏洞檢測(cè)技術(shù)可分為5種：

----(1)基于應(yīng)用的檢測(cè)技術(shù)它采用被動(dòng)的、非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。

----(2)基于主機(jī)的檢測(cè)技術(shù)它采用被動(dòng)的、非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。通常，它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問(wèn)題。這種技術(shù)還包括口令解密，把一些簡(jiǎn)單的口令剔除。因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)存在的問(wèn)題，發(fā)現(xiàn)系統(tǒng)漏洞。它的缺點(diǎn)是與平臺(tái)相關(guān)，升級(jí)復(fù)雜。

----(3)基于目標(biāo)的檢測(cè)技術(shù)它采用被動(dòng)的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫(kù)、注冊(cè)號(hào)等。通過(guò)消息文摘算法，對(duì)文件的加密數(shù)進(jìn)行檢驗(yàn)。其基本原理是消息加密算法和哈希函數(shù)，如果函數(shù)的輸入有一點(diǎn)變化，那么其輸出就會(huì)發(fā)生大的變化，這樣文件和數(shù)據(jù)流的細(xì)微變化都會(huì)被感知。這些算法加密強(qiáng)度極大，不易受到攻擊，并且其實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上，不斷地處理文件和系統(tǒng)目標(biāo)屬性，然后產(chǎn)生檢驗(yàn)數(shù)，把這些檢驗(yàn)數(shù)同原來(lái)的檢驗(yàn)數(shù)相比較，一旦發(fā)現(xiàn)改變就通知管理員。

----(4)基于網(wǎng)絡(luò)的檢測(cè)技術(shù)它采用積極的、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本對(duì)系統(tǒng)進(jìn)行攻擊，然后對(duì)結(jié)果進(jìn)行分析。網(wǎng)絡(luò)檢測(cè)技術(shù)常被用來(lái)進(jìn)行穿透實(shí)驗(yàn)和安全審計(jì)。這種技術(shù)可以發(fā)現(xiàn)平臺(tái)的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡(luò)的性能，不會(huì)檢驗(yàn)不到系統(tǒng)內(nèi)部的漏洞。

----(5)綜合的技術(shù)它集中了以上4種技術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)了漏洞識(shí)別的精度。

----2.特點(diǎn)

----(1)檢測(cè)分析的位置：在漏洞檢測(cè)中，第一步是收集數(shù)據(jù)，第二步是數(shù)據(jù)分析。在大型網(wǎng)絡(luò)中，通常采用控制臺(tái)和代理結(jié)合的結(jié)構(gòu)，這種結(jié)構(gòu)特別適用于異構(gòu)型網(wǎng)絡(luò)，容易檢測(cè)不同的平臺(tái)。在不同威脅程度的環(huán)境下，可以有不同的檢測(cè)標(biāo)準(zhǔn)。

----(2)報(bào)表與安裝：漏洞檢測(cè)系統(tǒng)生成的報(bào)表是理解系統(tǒng)安全狀況的關(guān)鍵，它記錄了系統(tǒng)的安全特征，針對(duì)發(fā)現(xiàn)的漏洞提出需要采取的措施。整個(gè)漏洞檢測(cè)系統(tǒng)還應(yīng)該提供友好的界面及靈活的配置特性。安全漏洞數(shù)據(jù)庫(kù)可以不斷更新補(bǔ)充。

----(3)檢測(cè)后的解決方案：一旦檢測(cè)完畢，如果發(fā)現(xiàn)了漏洞，那么系統(tǒng)可有多種反應(yīng)機(jī)制。預(yù)警機(jī)制可以讓系統(tǒng)發(fā)送消息、電子郵件、傳呼等來(lái)報(bào)告發(fā)現(xiàn)了漏洞。報(bào)表機(jī)制則生成綜合的報(bào)表列出所有的漏洞。根據(jù)這些報(bào)告可以采用有針對(duì)性的補(bǔ)救措施。同偵測(cè)系統(tǒng)一樣，漏洞檢測(cè)有許多管理功能,通過(guò)一系列的報(bào)表可讓系統(tǒng)管理員對(duì)這些結(jié)果做進(jìn)一步的分析。

----(4)檢測(cè)系統(tǒng)本身的完整性：同樣，這里有許多設(shè)計(jì)、安裝、維護(hù)檢測(cè)系統(tǒng)要考慮的安全問(wèn)題。安全數(shù)據(jù)庫(kù)必須安全，否則就會(huì)成為黑客的工具，因此，加密就顯得特別重要。由于新的攻擊方法不斷出現(xiàn)，所以要給用戶提供一個(gè)更新系統(tǒng)的方法，更新的過(guò)程也必須給予加密，否則將產(chǎn)生新的危險(xiǎn)。實(shí)際上，檢測(cè)系統(tǒng)本身就是一種攻擊，如果被黑客利用，那么就會(huì)產(chǎn)生難以預(yù)料的后果。因此，必須采用保密措施，使其不會(huì)被黑客利用。

實(shí)現(xiàn)模型
　

----入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)的實(shí)現(xiàn)是和具體的網(wǎng)絡(luò)拓?fù)涿芮邢嚓P(guān)的，不同的網(wǎng)絡(luò)拓?fù)鋵?duì)入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)的結(jié)構(gòu)和功能有不同的要求。通常情況下該系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中可設(shè)計(jì)為兩個(gè)部分：安全服務(wù)器（Securityserver）和偵測(cè)代理（Agent）。

----如附圖所示，偵測(cè)代理分布在整個(gè)網(wǎng)絡(luò)中，大體上有三種：一是主機(jī)偵測(cè)代理，二是網(wǎng)絡(luò)設(shè)備偵測(cè)代理，三是公用服務(wù)器偵測(cè)代理。



----主機(jī)代理中有主機(jī)偵測(cè)代理和主機(jī)漏洞檢測(cè)代理兩種類型，其中偵測(cè)代理動(dòng)態(tài)地實(shí)現(xiàn)探測(cè)入侵信號(hào)，并作出相應(yīng)的反應(yīng)；漏洞檢測(cè)代理檢測(cè)系統(tǒng)的配置、日志等，把檢測(cè)到的信息傳給安全服務(wù)器和用戶。

----在網(wǎng)段上有唯一的代理負(fù)責(zé)本網(wǎng)段的安全。該代理主要完成本網(wǎng)段的入侵檢測(cè)。

----在防火墻的外部還需有專門的代理負(fù)責(zé)公用服務(wù)器的安全，這些代理也要有偵測(cè)代理和主機(jī)漏洞檢測(cè)代理兩種類型。在安全服務(wù)器上，有一個(gè)網(wǎng)絡(luò)漏洞檢測(cè)代理從遠(yuǎn)程對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行漏洞檢測(cè)。

----入侵檢測(cè)代理在結(jié)構(gòu)上由傳感器、分析器、通信管理器等部件組成。顧名思義，傳感器就是安全信息感受器，它偵測(cè)諸如多次不合法的登錄，對(duì)端口進(jìn)行掃描等信息。傳感器中有過(guò)濾正常和非正常信息的能力，它只接受有意義的安全信息。分析器首先接收來(lái)自傳感器的信息，把這些信息同正常數(shù)據(jù)相比較，將結(jié)果送往通信管理器，并動(dòng)態(tài)地作出一定的反應(yīng)。通信管理器再把這些信息分類，送往安全服務(wù)器。

----漏洞檢測(cè)代理在結(jié)構(gòu)上由檢測(cè)器、檢測(cè)單元、通信管理器等部件組成。檢測(cè)器是檢測(cè)單元的管理器，它決定如何調(diào)度檢測(cè)單元。檢測(cè)單元是一系列的檢測(cè)項(xiàng)，通常是一些腳本文件。通信管理器把檢測(cè)的結(jié)果發(fā)給用戶和安全服務(wù)器。

----每一個(gè)主機(jī)代理感受敏感的安全信息，對(duì)這些信息進(jìn)行處理，作出反應(yīng)，然后把一些信息交給網(wǎng)段代理和安全服務(wù)器處理。網(wǎng)段代理對(duì)本網(wǎng)段的安全負(fù)責(zé)，它一邊監(jiān)視本網(wǎng)段的情況，一邊向安全服務(wù)器匯報(bào)。

----安全服務(wù)器中包含網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)、通信管理器、聯(lián)機(jī)信息處理器等部件，它的主要功能是和每一個(gè)代理進(jìn)行相互通信，實(shí)時(shí)處理所有從各代理發(fā)來(lái)的信息，作出響應(yīng)的反映，同時(shí)對(duì)本網(wǎng)的各安全參數(shù)進(jìn)行審計(jì)和記錄日志，為完善網(wǎng)絡(luò)的安全性能提供參數(shù)。它還有一個(gè)重要的功能就是控制防火墻。從圖中可以看出這些部件相互協(xié)作，為整個(gè)系統(tǒng)提供了一個(gè)分布式的、完整的解決方案。

結(jié)　論
　

----入侵檢測(cè)和漏洞檢測(cè)技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全解決方案中非常重要的部分，它極大地提高了整個(gè)系統(tǒng)的安全性能。一個(gè)分布式的解決方案可以可靠地實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的安全。通過(guò)部署入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)可以實(shí)現(xiàn)：支持內(nèi)部審計(jì)、責(zé)任曝光、突發(fā)事件處理與調(diào)查、估計(jì)損失與迅速恢復(fù)、改善安全管理過(guò)程、發(fā)現(xiàn)新的問(wèn)題、記錄系統(tǒng)發(fā)生的問(wèn)題等?？傊?，入侵檢測(cè)和漏洞檢測(cè)技術(shù)是一項(xiàng)非常重要的技術(shù)，它的完美實(shí)現(xiàn)會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)革命性的變化。