13计算机安全知识.doc

计算机安全知识保护你的计算机安全，一是防止和移除病毒，二是阻止入侵。其实只要你采取了必要的措施， 很容易防止这类安全问题的产生。下边我按重要性列出应该采取的措施：1. 及时下载补丁为什么补丁是最重要的？凡是病毒和人为的入侵，大多数都是利用了系统的漏洞，而且是利用了已知的公布的漏洞。至于未公布的或者只有少数人了解的漏洞，你大可以不必管它。因为掌握这种隐秘漏洞的顶尖高手，不可能把这样极有价值的手段应用在像你和我这样微不足道的个人用户上。如果是网络上的汪洋大盗，他会利用它进入金融系统，如果是安全专家，他会思考如何弥补这漏洞，如果是间谍，他则会试图进入他国军事系统等等，偶尔也会有一，二个恶作剧地进入某个安全措施极为严格的系统，以炫耀一下自己的手段。总之，不会将这种漏洞用在普通个人用户身上。所以，你要做的第一件事就是及时下载系统的补丁， 如果你装了Office，那么你同样要下载Office的补丁，如果还有其他软件有补丁，也请及时下载更新。系统的补丁是最重要的，但某些破解的Windows XP装了补丁会锁定的，所以即使你用的是盗版系统，也不要用破解版本的，所谓破解版本，就是修改了一部份系统的文件的版本。下载补丁具体步骤：开始菜单-右键点我的电脑-属性-自动更新-在自动上打勾。如果你的XP是正版，你也可以手动更新，喜欢手动更新的，大部分不是新手，我就不讲具体怎么操作了。实例：有次我就利用漏洞进入了一个青岛市的网站， 然后下载了系统的账号文件， 再擦掉了入侵记录， 我知道这样的网站一般是疏忽造成的， 漏洞很快会补上。我在本地花了几小时破解了管理员账号，几个月以后再上去，漏洞已经补上了， 但我有管理员账号，还是能够进入机器。不过我从来不干破坏活动，只是验证一下我学到的知识。2. 适宜的安全策略这里边最重要的就是密码问题， 如果你的系统是NT，你一定要设置密码，而且不要忘了另外一个帐号 Administrator也要设置密码，否则就等于没有密码，只能骗骗小白。如果你的系统是XP，由于XP不能用空密码远程登陆，你可以根据具体情况来决定是否设置密码。 我不知道现在NT是否有新补丁来防止空密码远程登陆，我只是基于我几年前的知识，而且我几乎没用过NT。如果你决定给XP设定密码，那么同样道理不要忘了Administrator也要设置密码。给XP设定密码的人，其实主要是防止本地入侵的，比如你单位的电脑不想让你同事随便打开，你家里电脑不想让小孩子打开，或者你有隐私不想让你家人知道。像我一般在XP 上设置3个帐户， 一个管理员帐号是我的，其他2个普通用户，一个老婆用，一个小孩用，他们普通账户的安全问题我完全不用担心，即使有黑客入侵普通账户，也没有足够的权限对计算机系统造成危害。给XP设了密码以后，理论上给远程黑客一定的机会来入侵你的电脑。因为如果你的系统打全了补丁，又没有密码，你的系统中也没有后门程序，一般的黑客是无法进入你电脑的。真正的高手虽然有可能，但不屑进入你的破机器的。黑客新手最喜欢进入空密码（NT系统）和弱密码的机器了，因为最容易入侵这样的机器，他们只要找个软件暴力破解就可以了。这种软件一般先尝试空密码，然后尝试弱密码，所谓弱密码， 就是像“123456”，“123”，“aaa”，“qaz”，“66666”，“abcde”之类的，这些密码破解软件是优先尝试的，只要几秒钟就可以了。如果不行，软件一般会尝试全数字的密码比如人的生日等，这类密码也只要几十秒就可以破了，再接下来就会试一下密码字典，包括人名，单词等，比如 “david”, “sunshine”, “cat”, “iloveyou” 等，甚至英文名加中文姓或者中文的首字组合也会收录进字典，比如“tomli”，“ljg”，“zhanggr”等。这样的破解也用不了几分钟。再接下来几乎纯粹是暴力破解， 破解从几小时到几天都有，理论上没有破不了的密码。实例：和我住同一小区的同事取了个8-10位纯字母的密码， 由于我知道他的用户名， 我用了4-5个小时破了他的密码，让他意识到复杂密码的重要性。也许我有点危言耸听了， 我的一位朋友听了我的解释马上把密码改成了十几位的，其实对于我们普通用户也是不必要的，而且有另外的手段来对付这种暴力破解。一般密码取个8位就可以了， 中间夹个数字就让破解难度大大增加，如果加个”,”&” 之类的符号更不容易破了。另外我告诉大家一个秘密， 你在密码中可以加入个特殊字符， 办法是按住“ALT”键， 在小键盘上键入255， 再放开“ALT”键，就会出现个空的特殊字符，这样的密码是无法破解的，根据我的亲身体会， 我即使把这样的密码放入破解字典， 软件还是无法破解， 可能不认这样一个特殊字符， 至少到目前为止我没有发现那个软件能破这样的密码。另外中文用户名+英文名密码也比较难破， 有一次我进入一韩国电脑， 破了密码， 但用户名是韩文的， 我无法打出韩文字，无法用用户名进入，只能用漏洞进入。取了个比较难破的密码只是第一步，如前所述， 理论上总是可以破解， 那么怎么办呢？ 其实很简单，打开控制面板-性能和维护-管理工具-本地安全策略，然后点击账户策略，再点账户锁定策略-账户锁定阈值，填入10。表示在10次无效登陆以后，锁定账户一段时间。这样破密码的家伙， 可能破了几十个小时也一无所获，软件是不会通知他账号锁了，还在傻乎乎的破解。假如你设定了这个，即使你取了个简单密码， 也几乎不会被破， 那个软件运气会那么好， 算了十次就破了呢？ 除非你真的取了个123456的弱密码。其实破解人家密码也不容易， 首先你要知道账户名， 以前可以侦测出账户名，现在的XP系统已经不能远程探测了，黑客的日子也不好过。不过大多数人忽略了个Administrator的内置账号， 如果你只想防本地的菜鸟，这个账户是不用设密码的，这样不会给远程的高手有机会破解。但一旦你设了密码， 最好将这个用户名改名， 大多数的黑客都拿这个用户名下手，因为一般人不会去改动。改动的办法是打开控制面板-性能和维护-管理工具-计算机管理-本地用户和组-用户-右手键点击账户名-重命名-键入新的用户名。小技巧：你的计算机经常提醒你密码过期吗？ 一般在使用40天以后， 你讨厌这样的提醒吗？ 我来帮你解决这样的问题，打开控制面板-性能和维护-管理工具-密码策略-密码最长存留期-改称0天，密码永远不过期。对于我们这样的普通用户，如果你有了我上述的密码策略，没有必要去在固定时期里变换密码，我们要的是方便！看了上面几位朋友的回帖，我想要再次强调的是，在打全补丁的情况下，浏览网页的时候木马，病毒不可能自动进入你的电脑，除非你主动去下载运行某些文件，或者在弹出窗口上点击确定按钮。如果有这样的大的安全缺陷，微软是不可能视而不见的。图片，音乐，电影等格式的文件，不是可执行文件，也绝无可能感染病毒，不要杯弓蛇影。如果你被所谓的图片软件给感染了，那是表面现象，真正的罪魁祸首你先被另一个病毒感染了，这样的病毒会修改注册表，改变程序的图标，把本来的可执行文件比如EXE文件变成看起来像图片或者音乐文件。 像以前有个病毒就伪装成TXT文件，当你双击它的时候，它不是调用NoteBook记事本来打开文本文件，而是直接执行了。在现在的XP系统中，已知类型的扩展名都被隐藏了起来，如果你改变一下设置，显示所有文件的扩展名，那些所谓的带病毒的图片，音乐，电影等的实际扩展名大多数都是.EXE!网页上带病毒不可怕，可怕的是你不去打补丁！我经常浏览一些成人网站和破解网站，那里的病毒可谓是多如牛马，但是我没有感染过，而且我的机器还没有杀毒软件！当然在某些时候，我不得不运行一些可能带有病毒的破解补丁，但运行完毕以后我都会检查是否感染了病毒，如果是，我会手动去除，后边我会讲到如何判断一个文件是病毒并手动清除它们。我为什么先讲这些？ 因为你们对补丁不够重视，对防病毒软件和防火墙过于依赖，对密码随意处理，感染了病毒又对他们产生莫名的恐惧。所以我们要在战略上重视病毒，在战术上轻视它们。上面朋友有提到对计算机不太懂，看不懂我说的， 我建议是把我写的打印下来，一步一步照着做，做过一遍之后，你会发现原来如此简单! 又有朋友埋怨网站，插件， 甚至9C， 我不否认他们也有些责任， 但最应该埋怨的是你自己， 是我们自己不够重视才造成的。我很难相信一些比较大的插件网站会主动在他们的代码中加入后门，难道他们想自裁于广大玩家面前？ 难道他们辛辛苦苦建立个插件网站只是想盗你们的号？他们的目的大多是让网站知名度扩大，以后能接到广告，又岂在乎几个游戏金币而已？何况现在信息如此发达，如果哪个插件有这些后门， 大家老早就群起而攻之了，还可能依旧堂而皇之地开着网站吗？最有可能的是他们网站也感染了病毒，他们也是受害者。在你享受着插件便利的时候，请不要漫骂他们，我很尊重这些开发者，因为有些开发者纯粹是在奉献。又有朋友称某些软件和外界在大量交换数据，所以感染病毒几率大，这种说法也不对，病毒感染你计算机只要几秒到几十秒的时间，何必要大量交换数据？可以这么说，只要你插上网线，打开计算机，你的电脑和外界无时不刻在交换数据，就是你不在干什么，你的电脑每天也会遭到可能几十次甚至上百次的攻击，只是大多数的攻击没成功而已。所以，假如存在一个绝对安全的办法，那就是拔掉你的网线，或者关上你的电源。好了，上边啰里啰唆扯了一大通，让我们回归正题吧。上次我们谈到了密码策略，这次我将谈一下安装系统的时候应该注意点什么，如果你下次重装系统，可以考虑我的建议。系统我推荐目前最流行的Windows XP SP2， 安装的时候最好拔掉网线，安装完毕以后如果手头有最新的补丁请赶快打上，如果没有则上网第一时间下载补丁并安装。硬盘文件系统请选择NTFS，不要用FAT32，NTFS系统的好处之一是节省空间，但最重要的是比FAT32安全！黑客有时候虽然能进入你的电脑，但不是每次都能取得管理员权限，如果你的文件系统是NTFS，以普通用户身份进入的黑客能做的事十分有限，但如果你的文件系统是FAT32，几乎任何人都可以变更，删除一些重要的文件。安装完毕以后只安装一些必需的软件，不要乱七八糟的软件都去装上，尤其不要滥装IE的插件，像3721，百度搜索，各式各样的工具栏等等都是IE插件，这些东西大多数是ActiveX控件，很霸道，即占内存，又容易和其他插件冲突，严重的时候你的计算机会崩溃，甚至不能启动。以前的Windows XP SP1, 这些东西会不请自来，经常在你浏览网页的时候跳出来要求你安装，烦不胜烦，很多人只好编写小软件或者直接在注册表里屏蔽它们，好在 XP SP2现在已经能够屏蔽这些弹出窗口，真正是我们广大用户的福音。不过由于这些垃圾插件用了无所不及的手段，很多用户从最初的被迫接受，到后来也用顺了，以致于主动去下载使用，还有些人则是在用某些免费软件的时候，被捆绑安装的，另一些免费软件虽然也捆绑了插件，但尚属友好，在安装的时候或者提醒你，或者给你个选择可以不安装捆绑的插件，可叹我们的大多数用户在安装软件是看也不看，一路回车键到底的。不过，有的ActiveX控件是必须装的，比如微软的更新系统，网上银行的验证系统等等， 而像3721这类的插件，编程的方法和病毒没什么两样，真的没有必要安装这种有极大危害性的插件。如果你不幸安装了此类软件，现在又想痛改前非，那么请在控制面板-添加和删除软件里边删除它们，有的插件在这里不能删除，或者不能充分删除，那么我们还可以换一个办法。 打开浏览器，点菜单上的工具-Internet选项-常规-（Internet临时文件）下的设置-查看对象，你就会看到所有的ActiveX的插件。如果你有很多插件，可以说你的计算机性能受到了相当大的影响，你可以右键点击再点属性看这个插件版本，一般会显示这个插件是由哪个公司制作的，除了保留微软1-2个插件外，其余的插件如果你不知道用途，都可以删除，删除的办法也是右键点击，然后再点删除。今后不排除会有新的病毒会藏匿在这里边。为了使你的系统更安全或者更快捷，我们还可以禁用Windows自带的一些服务，其中最主要的一个是Remote Registry服务（该服务使远程用户能修改此计算机上的注册表设置），我不清楚微软为什么会设定此服务的默认是开启，这个服务对普通用户没什么用处，却带来了很大的安全问题，我的建议是关闭它。办法是控制面板-性能和维护-管理工具-服务，按字母排列顺序可以找到该服务，右键点它，再点属性，在常规-启动类型中改成“已禁用”，下次重启动就OK了，如果你想马上停止它，那么右键点它，再点停止，不过这样的停止虽然是即时的，下次是否启动还是按照启动类型来决定的。另外一个应该禁用的服务是Messenger，这个服务和我们平常用的MSN Messenger 没有关系，也基本没什么安全问题，但人家可以通过这个服务（Net Send）来发些垃圾信息给你，如果你想眼不见为净，那么把它关了。当然还有其他一些可以关闭的服务，视你的需求而不同，有兴趣的可以自己去研究下。3.安装防病毒软件和开启防火墙这2个保护措施说实在的，其重要性远远比不上上边提及的2点，而且随着你计算机水平的提高，防病毒软件和防火墙所起的作用越来越有限，反而占了你机器的内存。如果说对一个熟手而言，防病毒软件和防火墙能起到1-5%的作用，那么对一个新手来说，大概能起到10-20%的作用，而不是大多数人认为的能起到80-90%的作用。计算机新手最容易犯的错误就是太依赖于这类软件，而忽视了其他的安全措施。随着病毒类型和数量的急剧增多，这类依靠特征码来识别病毒的软件，特征码文件势必越来越庞大，从而占据你计算机越来越多的资源，运行速度也越来越慢。如果这类软件在智能识别病毒方面不能取得革命性的进展，那么就像今日的软盘一样，将来必成为鸡肋而遭淘汰。至于专门的杀木马，杀间谍程序的，则更是不值一提， 我从来没有装过什么杀木马的软件，只装过一款好像叫Anti-Adware专门杀间谍程序的，用了几次也删除了。因为所谓的间谍，广告程序无处不在，杀不胜杀，对你的计算机又几乎不会产生什么危害，这类小东西所占的全部空间还没有杀它的程序多，何必去捡了芝麻，丢了西瓜。当然，不管怎么说，安装防病毒程序仍然是大部分人的必选，尤其对于一些不想花费很多心思的人来说，更是一种最便捷的办法，至于效果，多少也能算一些吧。那么，如何选择一款适合你的防病毒软件呢？回顾一下我用这类软件的历史，也许能给大家一个参考。我最早用的就是80年代在Dos系统环境下的英文杀病毒软件McAfee，当时很多流行病毒都在他们公司的BBS上公布，是一家早期就比较权威的研究病毒的公司，想当初我其实还不懂什么叫BBS，只知其名，不知其意，因为那个时候我们国家还没有网络，就算在国外，我想也应该只有局域网。在McAfee的某个版本中，我想大概是它的Dos系统中的最后一个版本吧，有个技术我非常欣赏的，就是它把你计算机中的所有文件的校验码和其他主要特征储存在一个数据文件中，当你计算机感染了病毒甚至是未知病毒的时候，它会检查那个数据文件以检验你的所有可执行文件是否被改动过，如果是那么它会尝试恢复，并且成功恢复的几率相当大。我当时编了个类似病毒的软件并感染我计算机里的文件，McAfee成功恢复了，我很兴奋并且用了很长时间这个软件，并且以后又几次成功清除了一些未知病毒。后来从学校毕业以后，条件较差，无法得到McAfee的最新版本，而且随着计算机的发展，机器里的文件越来越多，越来越大，用这种去除病毒的时间也较长，所以我就改用了国内金辰公司的Kill软件，当时国内也有很多人开始制造病毒，国内和国外基本没有网络相连，各类流行病毒基本是土生土长，显然国内的杀病毒软件更实用些。后来不知道为什么，Kill慢慢销声匿迹了，代之而起的是江民公司的KV，我也随大流用KV直到用到那个逻辑炸弹发作，毁了我的一个硬盘，当时KV为了防盗版，居然在软件里放上逻辑炸弹，我这个用盗版的当然中了招，不过一些正版用户也中了，当时全国上下同声讨伐，江民公司被迫道歉。我从此对国内软件有点另眼相看，恨屋及乌，对其他杀病毒软件也产生了敬而远之的态度，我的电脑中很多年以来第一次没有了杀病毒软件。直到有一次我不慎用了个带病毒的软件，而不幸感染了臭名昭著的CIH病毒，无奈之下，只好向别人借了个正版的，号称杀CIH特别有效的瑞星软件，这个软件带一张光盘和软盘，光盘里的软件可以在Windows 95，98中安装并运行，软盘是从软驱驱动再在Dos环境下杀毒的。我满怀希望的运行之后，瑞星告知我一部分程序必须要从软驱重驱动才能杀干净，意思是无法在带毒环境中安全清除，清除失败！我可以用我的光盘重启动，却无法使用那个软盘，因为我认为软盘迟早要淘汰，所以几年之前我就把所有软盘和软驱扔了，只是最近几年才证明了我软盘无用论的理论，我帮朋友配的机器在那个时候都不配软驱了。可惜瑞雪这样的公司居然意识不到这点，另外也因为那时候的主要加密措施就是在软盘上打个激光孔来防止拷贝，所以重要的东西都放在软盘上，我真是晕死。没办法了，我突然想到了Norton，在Dos时代就以各类计算机工具出名的Norton，听说最近在计算机安全领域也风头正健，我马上带毒上网找寻软件下载，在死机几次的情况下，终于下载并安装完成，顺利带毒杀除了CIH病毒，从此我对国产软件的失望又多了一些。在我用Norton软件的同时，我也一直在关注McAfee的发展，McAfee依然是计算机安全领域里佼佼者，只是它的软件一直没有汉化版本的，我虽然也可以用英文的，但中文终究是我们的母语，对那些鸟语界面看起来始终不爽，所以一直用Norton的，一直到McAfee企业版出了汉化版，这个时候Norton个人版也差不多采用了和Windows一样的激活机制，所以我就又转向了McAfee。当然，Norton依然有没有加密的企业版可以供你选择，不过里边的技术相对而言有点过时了。虽然我家里的电脑早已没有了杀毒软件，但我单位用的电脑却从那个时候起到现在一直在用McAfee企业版（人多手杂，没办法），现在的版本是 VirusScan Enterprise 8.0 With Patch 10，个人感觉这个软件真的很好，技术不错，几乎没有防盗版措施，和正版一样享受。强烈推荐。 如果你不喜欢McAfee，那么可供选择的是Norton和卡巴斯基，我从未用过卡巴斯基，据说该软件更新病毒码相当快，但缺点是占内存多。至于国产杀毒软件，我劝大家都放弃了吧，硬要搞个排名，KV稍好些，瑞星次之，金山再次之， 但KV搞逻辑炸弹，瑞星网站去年被黑客黑了，金山嘛，除了词霸可以用用，它的杀毒软件不值一提。并非我不支持国产软件，但号称国内最好的瑞星被黑客玩过，叫大家怎么放心用呢？何况现在随着Internet的普及，再也不存在国产软件杀国产病毒的优势，全世界的病毒码几乎在同一时间更新的，所以我们要选技术好，兼容性好，保护并尊重用户隐私（特别善意提醒这一点）的软件。同时注意最好不要装2种以上的软件，它们之间多半不太兼容，也无必要。说完了杀毒软件，再来说防火墙软件。说实话， 我可能比较笨，我一直有疑问防火墙到底能防什么? 我现在只用Windows XP自带的，聊胜于无吧。我记得第一次装Norton防火墙的时候，搞了半天才弄懂些操作，然后看着它经常报告阻挡了什么软件之类的，很兴奋，认为真的在起很大作用。自从我学黑客进了很多机器以后，就发现进的机器大多数都装有防火墙，那么它到底挡住了什么？很多介绍防火墙的文章都宣称，装了防火墙，要关闭一些无用的端口，防止黑客利用，可是既然是无用的端口，关闭和开放又有什么区别？！举个例子，你的机器上没有IIS和FTP服务，那么你可以利用防火墙关闭80和25端口， 但既然你没有这2个服务，开放了难道有危险吗？ 我从来没有听说任何黑客能利用80和25端口在没有IIS和FTP服务的机器上能干些什么，既然机器上没有主页，你能黑它主页？每个端口都有它自己的用处，你无法利用一个端口干别的不相关的事情，正如你无法利用浴缸来生火做饭一样。当然有一种可能性，就是黑客利用其他漏洞进了你的机器，在你的机器上启动了IIS服务，做个主页，供其他人访问，却发现别人不能访问，因为80端口被防火墙关闭了，所以黑客就无法利用你的机器了。其实上述是个悖论，既然黑客能进你机器，他自己难道不能开放80端口？再从另一个方面来说，如果你想启动IIS服务，你就必须打开80端口，这个时候你就无法指望防火墙能起到什么作用，只能希望你的IIS软件没有漏洞，所以最主要的还是更新补丁！装了防火墙的兄弟姐妹们，请你们不妨回忆一下，防火墙曾经警告过你什么，无非是当你在用一些正常软件的时候，比如E-mail软件，下载软件的时候，经常会跳出个框来骚扰你，问你一个看起来其蠢无比的问题，比如“解除阻止？不允许通信？稍后询问？”之类的问题，当你的机器真正中招了的时候，它大概反而会保持沉默了。特别是一些初学者装了第三方的防火墙软件的时候，却出现FTP不能用了，MSN不能用了，QQ不能用了，到最后我发现十有八九是他们没能准确设置防火墙的功能。所以我的建议是，你越是不懂计算机，越不值得去装防火墙，最多像我那样用个XP自带的，不要去用专业的，专门的第三方程序。当然，防火墙也不是一无所长，至少我有时候也会用它来做些另类事情，比如我曾经用过一个软件叫牛津词典，它会上网去试图验证你用的软件是否是正版或者是否过了试用期，这个时候你可以利用防火墙阻止验证程序与外界通信，从而继续享用你的软件，这显然有点无赖，但有时候很管用。另外只有当你的计算机全部打上补丁以后，你的防火墙可能还有点额外的作用，否则比不装还要糟糕。好了，打了所有的补丁，安装了防病毒软件和防火墙，甚至也养成了良好习惯不去运行一些可疑程序，那么我想95%以上的安全问题已经解决了。不过总还有一些你无法避免的问题， 比如你的计算机被别人用了，你的比较信任的一个软件的新版本被别有用心的人捆绑了恶意程序，你自己挡不住诱惑去点了个不该点的窗口或者不该运行的程序，最后不幸的事情发生了，你中招了或者你怀疑中招了，但你的防病毒软件一点反应也没有, 再或者你的防病毒软件发现了病毒，却无法修复和隔离病毒。怎么办？在回答这样一个问题之前，我只能先绕一个圈子再回来。我觉得先讨论一下当前病毒有些什么样的特征，我们才好对症下药。可以这么说，当前的病毒和十几年前的病毒已经发生了质的变化，以前的病毒内部主要通过文件和文件之间的传染，外部则通过软盘，寄生方式通常是依附在很多可执行文件里，如果任何一个可执行文件运行，则病毒就会运行。 而现在的病毒内部基本不传染，外部则通过Internet靠漏洞传染（俗称蠕虫），或者靠你直接运行，或者被人黑了机器主动放入（俗称木马），一般不会寄生在别的文件中，通常是独立的文件，病毒要想运行只能靠自己，或者在启动组，或者作为一个服务，或者被其他程序调用。这样的变化大多数是被迫的，否则病毒难以生存，对病毒来说，现在能够通过Interne传播是利好消息，其他变化可以说简直是对它们的一种毁灭性打击！从而杀病毒软件的前景也显得暗淡，我们完全可以不用这些软件，但靠手工就可以了。以前的病毒是寄生的，无处不在的，感染了所有的可执行文件，不要担心自己不被运行，而且好的病毒可以隐藏自己的长度，你可能无法依靠查看文件是否增大来判断是否染毒，感染的文件多不胜数，靠手工只能杀引导型病毒，无法批量杀文件型病毒，就算你能手工杀，把病毒和被寄生的文件分离出来是一项费时的工作，你只能偶一为之，无法为几百个甚至上千上万的文件做同样的工作。病毒和杀毒公司皆大欢喜，甚至很多病毒我怀疑是杀病毒公司自己放出来的。可是Windows XP来了，带来了一种文件保护机制，对一些重要文件都做了保护，你无法改变这些重要文件，如果你改变或者删除它们，几秒钟以后就会从备份那里恢复，而且有文件验证机制，病毒无法再寄生在里边，也许可以寄生在一些不重要的文件里，但通常这些不重要的文件不会经常运行，病毒需要的是开机就驻在内存里，所以只能另谋出路，作为独立文件而存在，再用各种办法进入启动组或者作为服务启动。这样在理论上，我们就很容易发现它们，因为在启动组里或者服务是有限的，你只要留心就很容易发现，也很容易就手工把它们杀了，因为我们所要做的就是把它们剔出启动组，或者停止服务，停止它们的运行，然后直接删除文件即可，其实删除与否无所谓了，只是一个善后工作而已。好吧，让我们继续，以Windows XP为例，点开始-运行-再输入 msconfig, 点确定，就能打开一个程序叫系统配置实用程序，再点最上面一排按钮中的最后一个按钮“启动”，你就能看到所有的启动项目，它们一般分布在4个位置，注册表里的HKLM，HKCU，以及比较普通的Common Startup 和 Startup， 你从那个界面的第三栏里就可以看得出来。Common Startup（公用启动组），其实就位于 开始-所有程序-启动里边Startup （启动组），位于 开始-所有程序-附件-启动里边一般我们可以忽略上述2个位置，如果病毒就放在这2个地方，也太小看我们了吧？ 这里通常放些 Microsoft-office，QQ，金山词霸等等之类的启动程序，如果你不希望一启动就运行这些程序，直接右键点击它们再点删除即可。开始-运行-再输入 regedit, 点确定, 就能打开注册表编辑器，请慎重使用！如果你第一次用，请在注册表编辑器文件菜单里先点导出，导出范围选择全部，将注册表保存到一个地方，万一不小心损坏了注册表，则重新导入。建议第一次打开只熟悉一下注册表，不要做任何修改。HKLM, HKCU里的启动，最终位置在注册表Hkey_Local_machineSoftwareMicrosoftWindowsCurrentversionRun 和Hkey_Current_UserSoftwareMicrosoftWindowsCurrentversionRun由于系统配置实用程序界面的问题，无法将这些启动项目看得一清二楚，所以我把我单位计算机里这2个启动项目从注册表里导出来贴在下面，再来给大家分析一下这些程序是干什么的。1. IMJPMIG8.1=D:WINDOWSIMEimjp8_1IMJPMIG.EXE /Spoil /RemAdvDef /Migration322. PHIME2002ASync=D:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /SYNC3. PHIME2002A=D:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /IMEName4. ATIModeChange=Ati2mdxx.exe5. PCTVOICE=pctspk.exe6. Tweak UI=RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp7. NeroCheck=D:WINDOWSsystem32NeroCheck.exe8. DAEMON Tools-1033=D:Program FilesD-Toolsdaemon.exe -lang 20529. CAPON=D:WINDOWSSystem32SpoolDriversw32x863CAPONN.EXE10. IMSCMig=D:PROGRA1COMMON1MICROS1IMEIMSC40AIMSCMIG.EXE /Preload11. ShStatEXE=D:Program FilesNetwork AssociatesVirusScanSHSTAT.EXE /STANDALONE12. McAfeeUpdaterUI=D:Program FilesNetwork AssociatesCommon FrameworkUpdaterUI.exe /StartedFromRunKey13. Network Associates Error Reporting Service=D:Program FilesCommon FilesNetwork AssociatesTalkBackTBMon.exe14. MsnMsgr=D:Program FilesMSN MessengerMsnMsgr.Exe /background15. ctfmon.exe=D:WINDOWSSystem32ctfmon.exe上边总共有15个启动项目，前边的数字是我自己加上去的，便于讲述，我们逐个来分析，注意不同的计算机有不同的启动程序，顺序也不是完全一样，顺序是按安装的顺序来排的。1 这个是输入法程序，一般都有2 同上，在系统配置实用程序这个项目显示为“TINTSETP”稍有不同3 同上4 ATI显示程序，装ATI显卡的一般都有，装TNT显卡的则是另外一个程序。5 声卡程序，不同的计算机程序名不一样。6 我自己用的系统编辑程序，一般没有。7 Nero刻录软件检查程序，可能有。8 DAEMON Tools 光盘虚拟程序，一般没有9 Capon 佳能打引机驱动，视你是否装了打印机和装了什么样的打印机。10 输入法程序，同 111 McAfee 防病毒主程序，不同的防病毒程序有不同的名字12 McAfee 更新程序13 McAfee 错误报告程序14 MSN即时通讯程序，一般都有15 如果装了数码照相机或者摄像头，一般都有。大家是不是看得有些头痛？其实不必担心，你只要关注自己的计算机好了，一般当你确认没病毒的时候，留意一下启动组里有些什么就可以了，如果有新的项目增加，可以从它的路径判断，80%以上的病毒把自己放在Windows 或者 windowssystem32 这2个路径下，像上边的第7项和第15项，或者没有路径，像第4，5项一样，其实没有路径的也基本上在上边提到的2个路径下。如果你近期没有安装新的东西，而启动组却增加了，基本上可以判定新增的是病毒。其次可以搜索找到你怀疑的文件，右手键点该文件并点属性，可以看到该文件的版权，版本等属性，很多是微软自己的东西，你就无须担心，或者看该文件生成的时间，如果和系统是同一时间生成的，也基本不会有问题。再次上网打开Google搜索引擎，搜索你怀疑的文件的信息，一般都可以找到该文件是用来干什么的。反正判断一个文件是否是病毒，是很容易的事情，对自己的计算机熟悉了，看多了，几乎一眼就能看出。再来看服务，同样打开系统配置实用程序，这次我们点击最上面一排按钮中的倒数第二个按钮“服务”，我们看到有很多服务，大概有八，九十个，不过不用担心，绝大部分是系统自带的，接下来我们点击下边“隐藏所有Microsoft服务”按钮，这个时候就只有几个服务了，甚至没有也是可能的。如果要是有病毒启动服务，也只可能在这几个有限的中间，我把我计算机上的服务列出如下：1 Ati Hotkey Puller2 McAfee FrameWork服务3 Network Associates McShield4 Network Associates Task Manager5 Vmware Authorization Service6 Vmware DHCP Service7 Vmware NAT Service上边第一项是Ati显卡热键程序，第2，3，4是McAfee防病毒程序，第5，6，7是Vmware虚拟机程序（一般没有）。判断一项服务是否合法，可以参考上面提到的判断启动组里的程序的办法。综上所述，假定你先前有10个启动项目，3个额外服务，过了一段时间以后，在你没有安装任何程序的情况下（安装游戏和小型程序一般不会产生启动项目和服务），多了一个启动或者服务，那么新增的项目就几乎是病毒了。剩下来的事情就是如何清除它们了，对于每一个项目我都给出个临时办法和解决办法，临时办法比较简单，主要适用于初学者，或者担心判断错误而采取的办法，解决办法实际也不复杂，但因为涉及到注册表的修改，所以适用于对计算机有一定知识的人，并且已经确定哪个程序是病毒而采取的办法。启动项目病毒的清除：1临时办法：打开系统配置实用程序（msconfig）的启动项目，在你所怀疑的启动项目前清除前边的打勾，然后点确定，这个时候系统处于“有选择的启动”，可能重启动的时候会警告你，以后你也可以随时恢复被你屏蔽的启动项目。2解决办法：打开注册表编辑程序（regedit），展开键值至Hkey_Local_machineSoftwareMicrosoftWindowsCurrentversionRun 和Hkey_Current_UserSoftwareMicrosoftWindowsCurrentversionRun在右边的窗口中鼠标右键单击你想删除的项目，点删除即可。服务项目病毒的清除：1临时办法：打开系统配置实用程序（msconfig）的服务项目，在你所怀疑的服务项目前清除前边的打勾，然后点确定。或者参照我前边所提到的打开控制面板-性能和维护-管理工具-服务，然后停止，禁用服务。以上2种办法你都可以随时恢复你屏蔽的服务项目。2解决办法：打开注册表编辑程序（regedit），展开键值至Hkey_Local_machineSYSTEMCurrentControlSet Services在这个键值下有很多分支，在左边窗口一个个像目录状结构的就是每个目录的分支，一般你需要将整个分支目录都删除。举个例子，Windows自带的刻录功能也是个服务，这个服务就位于Hkey_Local_machineSYSTEMCurrentControlSet ServicesImapi, 如果你想删除这个服务，你就应该在左边窗口鼠标右键单击 Imapi，然后删除整个分支目录。对一个第一次操作删除服务的人来说，找出服务位于哪儿稍微有些困难，但也有个笨办法可供选择，仍然以Windows自带的刻录功能服务为例，如果你无法找到Imapi分支，那么你换个办法去找这个服务的关键文件imapi.sys, 关键文件的查找可以从控制面板-性能和维护-管理工具-服务，按字母排列顺序可以找到服务，右键点它，再点属性来进行，知道了imapi.sys是关键文件，然后再在注册表编辑程序菜单上点编辑-查找，在查找目标中键入imapi.sys开始查找，找到以后删除相关子键或者父键，再按F3继续查找，直到相关的所有项目全部删除，这样不仅删除了该服务，连相关的垃圾（虽然删不删无多大所谓）也一起清除完了。注意上述的操作大多数需要重启动才能生效，病毒虽然依旧在你电脑里，但已经无效了，如果你觉得还没爽够，找到相关病毒文件直接删除即可。如果不经过上述操作，即使你知道哪个文件是病毒，你也无法删除它们，因为你无法删除正在运行的程序。到这儿，我想基本的都已经讲完了，剩下来就靠你们的实战经验了，我强烈建议每一个对计算机安全知识感兴趣的人，能把上述内容打印下来，在操作的时候对照参考，你会发现其实删除一个未知的病毒，或者软件和别人删不了的病毒，实在是一件让人很愉快和值得骄傲的事情。当然，病毒的隐匿之处，就目前所知，尚不止上述提到的2个地方，但已经是微乎其微了，如果实在一一要罗列出来，恐怕另外要这么长的一篇文章，有兴趣的人可以自己作更深入的研究。没时间研究的人也不必担心，因为剩下的地方如果还有病毒存在，其几率我绝对可以保证不超过1%。高级进阶篇本来我已经不想对余下的不足1%的病毒或者恶意程序藏身地方作一一披露，因为我太懒了，打字是好累的，不过突然想到1-2年前我曾经在VeryCD论坛上发表过一片文章，正好拿过来向大家推介一个软件HijackThis的小程序，以便提高大家分析病毒的能力。大家可以去下载这个软件的英文版，慎用中文版，因为这个软件太好用了，以致前段日期居然在一个号称是中文版的软件里捆绑了木马！英文版我的记忆里大概只有几十到几百K的样子，可是那个中文版居然超过了1M的容量，我当时看到就怀疑，于是在Google里打上“HijackThis 中文版”的关键词，一搜之下果然有很多网友反映此版本捆绑了木马。所以请大家对任何文件一要细心，二要勤快地向网络这个免费老师讨教。下边就转载我在VeryCD论坛上的文章：最近部分网友在打开浏览器的时候，有个 广告窗口不时弹出，即使装了SP2也无法阻止该窗口，该窗口目前是“传奇”的广告，真是太恶心了。本人也不幸中招，因为我未装任何防病毒程序和第三方防火墙程序，所以无法判断我是否中了木马或者病毒，本人也忒为托大，认为任何病毒和木马均无法逃脱我的法眼，所以为节约内存和提高速度，这类耗资源的常驻程序没有安装。事实也证明即使装了此类程序，目前流行的杀毒程序等均无法除去。我上网查找关于 广告窗口的资料，发现部分网友和我一样，有此现象但束手无策。瑞星和金山杀毒论坛上都有网友提出此问题，但目前尚无解决方案，其他杀毒论坛未去拜访，估计情况差不多。可见真有问题的时候，这些杀毒厂商也帮不上大忙。其实我估计早在七月份（从文件创建日期判断）就已感染，只是上个礼拜天才发作而已。无奈之下本人只好手工查找，从启动项里未发现可疑项目，启动的服务也全是已知的，注册表里也无的踪影。再继续查资料，发现一个叫HijackThis的小程序也许有用，于是Down下来对IE作了个全面分析，以下是扫描的内容。Logfile of HijackThis v1.98.2Scan saved at 19:41:35, on 2004-10-13Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINXPSystem32smss.exeC:WINXPsystem32winlogon.exeC:WINXPsystem32services.exeC:WINXPsystem32lsass.exeC:WINXPSystem32Ati2evxx.exeC:WINXPsystem32svchost.exeC:WINXPSystem32svchost.exeC:WINXPsystem32spoolsv.exeC:WINXPSystem32mnmsrvc.exeC:WINXPsystem32rundll32.exeC:PROGRA1Serv-UServUDaemon.exeC:WINXPSystem32svchost.exeC:WINXPSystem32svchost.exeC:WINXPsystem32Ati2evxx.exeC:WINXPExplorer.EXEC:Program FilesD-Toolsdaemon.exeC:WINXPsystem32ctfmon.exeC:Program FilesMSN MessengerMsnMsgr.ExeD:Program FileseMuleeMule.exeC:Program FilesInternet ExplorerIEXPLORE.EXEC:WINXPsystem32conime.exeC:Program FilesUltrasurfButterfly.exeC:Program FilesInternet ExplorerIEXPLORE.EXEC:WINXPsystem32cmd.exeC:Program FilesInternet ExplorerIEXPLORE.EXEC:Program FilesWinRARWinRAR.exeC:Documents and Settingsxxxx桌面HijackThis.exeO2 - BHO: BHO Class - 04DCC17E-35E1-417A-ABCF-41623FA2ACE7 - C:Documents and Settings瞿亚桌面Gardengbho.dllO2 - BHO: AcroIEHlprObj Class - 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 - C:Program FilesAdobe ReaderReaderActiveXAcroIEHelper.dllO2 - BHO: NaviHelperObj Class - 3E422F49-1566-40D3-B43D-077EF739AC32 - C:WINXPSystem32NaviHelper.dllO2 - BHO: IeCatch2 Class - A5366673-E8CA-11D3-9CD9-0090271D075B - C:PROGRA1FlashGetjccatch.dllO3 - Toolbar: FlashGet Bar - E0E899AB-F487-11D5-8D29-0050BA6940E3 - C:PROGRA1FlashGetfgiebar.dllO4 - HKLM.Run: C:WINXPIMEimjp8_1IMJPMIG.EXE /Spoil /RemAdvDef /Migration32O4 - HKLM.Run: C:WINXPSystem32IMETINTLGNTTINTSETP.EXE /SYNCO4 - HKLM.Run: C:WINXPSystem32IMETINTLGNTTINTSETP.EXE /IMENameO4 - HKLM.Run: C:PROGRA1COMMON1MICROS1IMEIMSC40WIMSCMIG.EXE /SetPreload /LogO4 - HKLM.Run: C:WinXPsystem32rasphone.exe -d