七招制造安全的Windows XP系统.doc

七招制造安全的Windows XP#作系统微软的新一代#作系统Vista已经推出一段时间，但由于用户硬件系统面临的更新换代以及软件与Vista系统的兼容等若干原因，大部分用户还是在广泛使用着Windows XP的系统。所以有必要旧话重提，在这篇文章中谈一些Windows XP的安全方面的#作策略，使尽可能地少一些来自于病毒、黑客方面的攻击。1、屏蔽不需要的服务组件 很少用到的组件不但占用了不少系统资源，会引起系统不稳定外，它还会为黑客的远程入侵提供了多种途径，为此我们应该尽量把那些暂不需要的服务组件屏蔽掉。具体的#作方法为：首先在控制面板中找到“服务和应用程序”图标，然后再打开“服务”对话框，在该对话框中选中需要屏蔽的程序，并单击鼠标右键，从弹出的快捷菜单中依次选择“属性”/ “停止”命令，同时将“启动类型”设置为“手动”或“已禁用”，这样就可以对指定的服务组件进行屏蔽了。 2、及时使用Windows Update更新系统 Windows Update做为微软公司保护系统安全、提高Windows性能的重要组件，目前已经走进了它的V6版本。通过它，我们不但可以获得提升系统功能和性能的组件Service Pack，同时也可以获得最新安全漏洞的补丁，获得最新的硬件驱动，计算机受到攻击导致瘫陷的几率将大大降低。 3、对重要信息进行加密为防止其他人在使用自己的电脑时，偷看自己存储在电脑中的文件信息，Windows XP特意为我们普通用户提供了“文件和文件夹加密”功能，在对文件进行加密时，我们首先打开Windows XP的资源管理器，然后在资源管理器#作窗口中找到需要进行加密的文件或者文件夹，然后用鼠标右键单击选中的文件或文件夹，从弹出的快捷菜单中选择“属性”命令，随后Windows XP会弹出文件加密对话框，单击对话框中的“常规”标签，然后再依次选择“高级”/“加密内容以便保护数据”就可以了。 4、锁定您的计算机 如果在使用电脑的过程中因有急事需要短暂离开电脑的话，许多人因担心自己的电脑会被别人占用，往往会采取先关机，后离开，然后回来再开机的办法来处理，但这样频繁开关机器对电脑是不利的。那我们有没有办法做到既不要关机又能防止其他人使用自己的计算机呢?办法当然是有的啦，您可以通过双击桌面快捷方式来迅速锁定键盘和显示器，而无需使用CTRL+ALT+DEL组合键或屏幕保护程序。 5、使用“连接防火墙”功能 为了防止病毒和黑客的随意入侵，不少用户在自己的计算机中都安装了防火墙。在使用“连接防火墙”功能时，您可以依次单击开始菜单中的“设置”/“网络连接”菜单项，然后从弹出的窗口中选择需要上网的拨号连接，然后用鼠标右键单击该连接图标，并选择“属性”命令，在随后弹出的拨号属性窗口中再单击高级标签，在对应标签的页面中选中“Internet连接防火墙”选项，然后再单击对应防火墙的“设置”按钮，来根据自己的要求设置一下防火墙，以便防火墙能更高效地工作。 6、安装第三方的杀毒程序、防火墙程序及其他安全保护程序 事实证明，“Internet 连接防火墙”的功能局限性很大，首先它并不具备杀毒、防毒的功用，其次在防火墙技术上保护很有限，效果微乎其微。用户有必要在开启“Internet 连接防火墙”的基础上再加装第三方的防火墙程序。防火墙软件的选用，首先要看实际的防护效果，能不能有效及时地在程序访问外界的时候第一时间发出提示寻问，并且在受到外界的各类攻击时能不能有效地屏蔽、过滤掉数据包，瑞星防火墙更加入了“追踪位置”的技术，能实时地监视受到的攻击并主动追踪其位置。杀毒程序是必须要安装的，杀毒的效率是值得考虑的问题，另外实时防毒效果更应该受到关注。但在病毒防不胜防杀毒软件败下阵来的时候，杀毒软件+雨过天晴电脑保护系统的组合，无疑是最可靠的。 7、为自己分配管理权限 安装在Windows XP#作系统中的许多程序，都要求用户具有一定的管理权限才能让用户使用程序，因此为了能够使用好程序，我们有时需要为自己临时分配一个访问程序的管理权限。在分配管理权限时，我们可以先普通用户身份登录到Windows XP的系统中，然后用鼠标右键单击程序安装文件，同时按住键盘上的Shift键，从随后出现的快捷菜单中点击运行方式，最后在弹出的窗口中输入具有相应管理权限的用户名和密码就可以了。 现在用XP的人应该很多啊。如果想把自己的FAT32格式转换为NTFS格式也很简单。convert volume /fs:ntfs /v /cvtarea:FileName /nosecurity /x第三条是需要将你的硬盘转换成ntfs格式而且加密功能也只有注销系统以另外一个用户名登录时才生效，转换命令是convert x: /fs:ntfs第四条首先要设置登陆密码，再此说明ctrl+alt+del只能是启动任务管理器，应该使用winkey键+L键锁屏。浅谈网络的安全防护 互连网络的高速发展给我们的生活带来了很大的方便，但是网络的黑客横行让许多人身受其害，前天上网的时候就发现有人在不断扫描我计算机的端口，还好我的安全措施还是做的比较好，因此没有中招，所以我们每个网络用户都应该掌握一些网络安全的常识和手段。其实黑客入侵的手段是多种的，我只是和大家说说比较常见的几种：一口令监视：也是最简单的一种，但是同时也是最多人忽略的一种口令入侵。很多朋友在拨号上网的时候，总是喜欢选中拨号连接窗口中的保存密码项，在下一次上网的时候就不用再输入密码了，这是很方便，但是这个正是一个可以很好被人入侵的途径。因为用一些软件很容易就可以看见你的密码内容，就象有一个叫Pwlview的密码查看工具，很容易就可以查看你的密码，那时侯，你的网费不用我说大家也想到了，所以在这里建议大家宁愿麻烦一点在每次上网的时候再输入密码。如果你以前保存了密码也不要紧的，只要用Windows的查找功能把扩展名为PWL的文件找出来并删除就行了。还有就是一般免费邮箱或是ICQ等的口令，大多数人一般都喜欢用生日或是电话号码，对大家来说是很方便，但是对一些黑客来说也同样方便，有很多的字典程序是很快可以破解这些口令的，在网络情况好的时候一般不用超过十五分钟就可以轻易的破解，所以大家口令的字母长度应该在六个以上，口令不妨用一些数字和符号，如：cwh13$，对于比较重要的口令最好还要定时更换。二端口监视：端口就象是计算机的门，各种信息就是从这道门进出的。TCP/IP协议规定了计算机可以有65535个端口，1-1024是系统默认的，其他是用户自定义的。比如25端口是用来发送电子邮件的，110是用于电子邮件的接收，21是用于文件传输的协议。在Windows里，一般只有139的端口是开放的，大家可以用以下这种方法来检查计算机的端口情况。进入MS-DOS方式，键入NETSTAT-A就会列出计算机的端口情况。如果有其他端口被开放了，这很可能就是中了黑客木马，因为木马正是通过这扇后门来进入计算机的。现在比较流行的木马所使用的默认端口：BO（31337），nerspy（7306），冰河（7626），subseven（6711）但是现在木马的端口都是可以重新定义的。如果真的中了木马，就要运行Msconfig，查看Autoexec.bat和Config.sys 然后查看Win.ini文件的Windows load=,run=,这个文件是控制系统启动时加载的程序，再看看system.ini中的386Enh driver=查看启动栏，去掉有可疑的对象，最后是要在Windows目录下有没有Winstart.bat文件，如果是有的话，查看里面是否有可疑的驱动，把它删除，然后重启，基本上就可以删除木马了。为了防患于未然，大家的计算机上应该安装一些网络防火墙，我个人推荐的是国产的天网防火墙，还有是国外的产品The cleaner,Lockdown2000,都是比较好的防火墙，可以有效的防止黑客的入侵和木马。还有一些病毒防火墙也可以查到木马，个人推荐使用Kill和PC- cillin，占用的资源较少，病毒库也升级的较快。三炸弹炸弹分为几种，最常见的就是E-mail炸弹了，这是黑客攻击常用的手段，以匿名的身份发送庞大的邮件到邮箱，造成邮箱瘫痪。对于这种方法，大家要注意使用信箱的自动回信功能和不要轻易告诉别人你的邮箱地址。如果不幸被炸了，应该通知网管帮忙。值得注意的是，但是也是最多朋友疏忽的，千万不要随便打开随邮件一起的附件，把黑客软件和病毒保存成附件形式随邮件一起发送，是众多木马和病毒在网上流传的重要方法。如果要查看附件，应该先用杀毒软件进行查杀，确定安全，才可浏览附件内容。还有就是IP炸弹，这种方法能导致你的系统出现蓝屏，死机和重启，而攻击的人只要查到IP地址就能进行攻击。不过这种方法比较好防范，只要大家装上上述的防火墙就可以避免。你也可以考虑使用代理服务器，就算有人查你的IP地址，也只是服务器的，这样就比较安全。爱聊天的朋友请注意了，现在很多聊天室是可以发送HTML语句的，只要攻击者发送一条恶意的HTML语句到你的电脑，就可以在你的电脑上打开无数个窗口，直到系统资源耗尽为止。这种就是大名顶顶的Java炸弹，也叫做聊天室炸弹。不过只要打开Internet选项里安全中的自定义级别，把Java和脚本功能去掉，就接收不到HTML语句了。四软件下载下载软件进行安装时要小心，在运行EXE文件时，在后台可能会有另外一些软件也同时在运行，这种方法比较隐蔽，要仔细查找，一般杀毒软件要查几次才能发现，然后用上述方法删除。不过安装了防火墙，在运行这些程序时，防火墙一般会发出警告，所以在这里再提醒大家，一定要安装一个到两个防火墙，不要为了怕损失一点系统的资源，否则就会得不偿失了。妙用Windows磁盘配额 让黑客无从下手在大多数情况下黑客入侵远程系统必须把木马程序或后门程序上传到远程系统当中。如何才能切断黑客的这条后路呢?NTFS文件系统中的磁盘配额功能就能帮助用户轻松实现对磁盘使用空间的管理。1.首先右击系统中一个NTFS分区，选择“属性”，可以打开“分区属性设置窗口”，选择其中的“配额”选项。首先勾上“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”，这时所有的配额选项将变为可选状态。2.接着选中“磁盘空间限制”选项，这时我们就可以在其中规定系统中用户使用磁盘空间的大小，如1KB。这样如果用户在分区中传入了一个大于1KB的文件，那么该文件将遭到系统拒绝，无法顺利地传入到该分区当中。3.同理在“磁盘空间限制”选项下还有一个“警告级别”选项，如果设置了警告级别的文件大小，当用户在使用磁盘空间的过程中超出了警告级别的大小，系统将提示用户该文件超出了磁盘配额中的警告级别。4.最后用户可以勾选上“用户超出配额限制时记录事件”和“用户超出警告等级时记录事件”两个选项，这样如果系统中有其他用户超出了分区的警告等级和配额限制，系统将把这些事件自动记录到系统日志当中，非常有利于管理员对系统分区空间的监控5.当完成这些配置选项设置之后，点击窗口下的“确定”按钮，即可完成对磁盘配额功能的初步配置，这时用户可以惊奇地发现，原本还有很多剩余空间的分区，现在可用空间变得所剩无几。6.这时用户已经无法向这个分区中写入大于配额的文件。并且这个配置对于系统中所有的用户生效，包括Administrators组中的用户。7.但是如果配置对系统中所有用户生效的话，显然很不方便用户对系统的#作，而在磁盘配额功能中还提供了一个针对不同用户划分使用空间的功能。实现方法也非常简单。首先点击配额配置窗口中的“配额项”按钮，这时会弹出“分区配额项目”的窗口，点击窗口左上方的“配额”选项，再选择其中的“新建配额项”，这时会弹出一个选择用户的窗口，在其中填入或者选择系统中的一个用户名(如XieWei)，确定之后就会出现一个针对该用户使用磁盘空间限制的选项，而大家可以根据该用户在系统中的权限和使用情况，合理地为该用户指定使用空间，这样配置既不影响系统常规的#作，同时也加强了系统的安全性。 Windows防范非法用户入侵的七条妙计 本文针对Windows 2000和Windows XP#作系统如何防范非法用户入侵的“七招第一招：屏幕保护 在Windows中启用了屏幕保护之后，只要我们离开计算机（或者不#作计算机）的时间达到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。 提示：部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重大Bug。 不过，屏幕保护最快只能在用户离开1分钟之后自动启动，难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗？其实我们只要打开 Windows安装目录里面的system子目录，然后找到相应的屏幕保护程序（扩展名是SCR），按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的 “在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。 此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。第二招：巧妙隐藏硬盘 在“按Web页”查看方式下，进入Windows目录时都会弹出一句警告信息，告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，这时单击“显示文件”就可以进入该目录了。 原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下（由于这两个文件是隐藏文件，之前必须在文件夹选项中单击“查看”标签，选择“显示所有文件”，这样就可以看见这两个文件了）。再按“F5”键刷新一下，看看发生了什么，是不是和进入Windows目录时一样。 接下来我们用“记事本”打开folder.htt，这是用HTML语言编写的一个文件，发挥你的想像力尽情地修改吧。 如果你不懂HTML语言也没关系，先找到“显示文件”将其删除，找到“修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，将其改为自己喜欢的文字，例如“安全重地，闲杂人等请速离开”。 将“要查看该文件夹的内容，请单击”改为“否则，后果自负！”，接着向下拖动滑块到倒数第9行，找到“（file：/%TEMPLATEDIR% wvlogo.gif）”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用“d：tupiantupian1.jpg” 替换“/”后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。 当然，你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中“”之间的内容就可以了。 *This file was automatically generated by Microsoft Internet EXPlorer 5.0 *using the file %THISDIRPATH%folder.htt. 保存并退出，按“F5”键刷新一下，是不是很有个性？接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将folder.htt原文件中“”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。第三招：禁用“开始”菜单命令 在Windows 2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始运行”命令，在“运行” 对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按钮即可启动Windows XP组策略编辑器。 在“本地计算机策略”中，逐级展开“用户配置管理模板任务栏和开始菜单”分支，在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。 在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体#作步骤为： 1）在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。 2）在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。第四招：桌面相关选项的禁用 Windows XP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置管理模板桌面”分支，即可在右侧窗口中显示相应的策略选项。 1）隐藏桌面的系统图标 倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。 若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。 当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。2）禁止对桌面的某些更改 如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存第五招：禁止访问“控制面板” 如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略用户配置管理模板控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策略启用即可。 此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。 提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个#作。第六招：设置用户权限 当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行： 1）运行组策略编辑器程序。 2）在编辑器窗口的左侧窗口中逐级展开“计算机配置Windows设置安全设置本地策略用户权限指派”分支。 3）双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。第七招：文件夹设置审核 Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下： 1）在组策略窗口中，逐级展开右侧窗口中的“计算机配置Windows设置安全设置本地策略”分支，然后在该分支下选择“审核策略”选项。2）在右侧窗口中用鼠标双击“审核对象访问”选项。 3）用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的“属性”命令，接着在弹出的窗口中选择“安全”标签。 4）单击“高级”按钮，然后选择“审核”标签。 5）根据具体情况选择你的#作： 倘若对一个新组或用户设置审核，可以单击“添加”按钮，并且在“名称”框中键入新用户名，然后单击“确定”按钮打开“审核项目”对话框。 要查看或更改原有的组或用户审核，可以选择用户名，然后单击“查看/编辑”按钮。 要删除原有的组或用户审核，可以选择用户名，然后单击“删除”按钮即可。 6）如有必要的话，在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。 7）如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。 注意：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核。 了解计算机引导型病毒传染的过程在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中，再感染其他系统。可执行文件感染病毒后又怎样感染新的可执行文件可执行文件.COM或.EXE感染上了病毒，例如黑色星期五病毒，它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下#作：（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒；（2）当条件满足，利用INT 13H将病毒链接到可执行文件的首部或尾部或中间，并存大磁盘中；（3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。#作系统型病毒是怎样进行传染的?正常的PC DOS启动过程是：（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测；（2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000:7C00处；（3）转入Boot执行之；（4）Boot判断是否为系统盘，如果不是系统盘则提示；non-system disk or disk errorReplace and strike any key when ready否则，读入IBM BIO.COM和IBM DOS.COM两个隐含文件；（5）执行IBM BIO.COM和IBM DOS.COM两个隐含文件，将COMMAND.COM装入内存；（6）系统正常运行，DOS启动成功。如果系统盘已感染了病毒，PC DOS的启动将是另一番景象，其过程为：（1）将Boot区中病毒代码首先读入内存的0000:7C00处；（2）病毒将自身全部代码读入内存的某一安全地区、常驻内存，监视系统的运行；（3）修改INT 13H中断服务处理程序的入口地址，使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘，都离不开对磁盘的读写#作，修改INT13H中断服务程序的入口地址是一项少不了的#作；（4）病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000:7C00处，进行正常的启动过程；（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。如果发现有可攻击的对象，病毒要进行下列的工作：（1）将目标盘的引导扇区读入内存，对该盘进行判别是否传染了病毒；（2）当满足传染条件时，则将病毒的全部或者一部分写入Boot区，把正常的磁盘的引导区程序写入磁盘特写位置；（3）返回正常的INT 13H中断服务处理程序，完成了对目标盘的传染。不过这种引导型的病毒已渐渐淡出了舞台。 电脑运行高速化,最少快40倍!（灾难降临，小心陷阱）未经证实请慎重使用！电脑运行高速化,最少快40倍!（灾难降临，小心陷阱）原文出自木蚂蚁社区:/viewthread.php?tid=1099926 才看了 电脑运行高速化,最少快40倍！ 很心动. 想试下但是有有点怕 才去网上搜索了下 的出以下结论: 第一，经过瑞星杀毒，不是病毒 第二，快不快没感觉 第三、在google了一下，看到一段，如下： 用这个方法（IE 6.INI）加速的朋友，灾难降临了！ 昨天夜里听一骇客高手指点，惊出一身冷汗。早上第一件事就是发贴告诉全体论坛的朋友：小心陷阱啊！ IE 6.INI 相信大家在很多论坛看到过，说是可以提高IE的浏览速度40倍，其实是一段放在system32下的代码（大概是：%PDF-1.3 % 22 0 obj endobj xref 22 54 0000000016 00000 n 0000001427 00000 n 0000001858 00000 n 0000002068 00000 n 0000002438 00000 n 。略）其实是从严格PDF文件头上剥下的一段加了自己的代码，和网络加速基本无关。网上搜了一下没人知道原理！ 大家可别小看这段你自己放在系统目录下的代码，它是新型连接式病毒的一段代码（4）。该病毒共十段代码，分段1-6是伪装后让网上“掏宝者”自行下载安装到指定地点的，只有7-10段具有传播性。一般杀毒软件不会对一段没意义的代码查杀，所以它隐蔽性及强，当你下载全该病毒全部10个分段后，病毒自行连接成可运行的破坏程序，自毁的同时将硬盘0磁道随意漂移（这是查到病毒也晚了！）事后你就是用专用工具修复硬盘也必须低级格式化才能使用-后果不要我说了吧！ 其他9段代码对方没有透露，我就不知道了，但你删掉（4）就没问题了。 我以前装上没变化随手就删了，希望安装过的论坛朋友看到贴后尽快删除它！ 希望大家支持，顶起来让大家都知道，少几个受害者！教你取消文件夹隐藏共享 如果你使用了Windows2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?原来，在默认状态下，Windows2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。 教大家检测硬盘与内存中的隐藏病毒 病毒要进行传染，必然会留下痕迹。生物医学病毒如此，电脑病毒也是一样。检测电脑病毒，就要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认电脑病毒的存在。电脑病毒静态时存储于硬盘中，被激活时驻留在内存中，因此对电脑病毒的检测可以分为对硬盘的检一般对硬盘进行病毒检测时，要求内存中不带病毒，因为某些电脑病毒会向检测者报告假情况。例如“4096”病毒在内存中时，查看被它感染的文件，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增长了4096字节;又例如，“DIR2”病毒在内存中，用Debug程序查看被感染文件时，根本看不到“DIR2”病毒的代码，很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒，当它活跃在内存中时，检查引导区就看不到病毒程序而只看到正常的引导扇区。因此，只有在要求确认某种病毒的类型和对其进行分析、研究时，才能在内存中带毒的情况下作检测工作。从原始的、未受病毒感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动，因为某些病毒可以通过截取键盘中断，将自己驻留在内存中。检测硬盘中的病毒，启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM，硬盘压缩存储管理软件Stacker、DoubleSpace等，启动系统软盘时应把这些软件的驱动程序包括在软盘上，并把它们写入config.sys文件中，否则用系统软盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的病毒逃过检查。检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同，但由于病毒的存储方式不同，检测方法还是有差别的。主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。比较法这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法，可以用打印的代码清单(比如Debug的D命令输出格式)进行比较，也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。比较法不需要专用的查病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行，而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。因为病毒传播得很快，新病毒层出不穷，而目前还没有能查出一切病毒的通用程序，或通过代码分析，可以判定某个程序中是否含有病毒的查毒程序，所以只有靠比较法和分析法，或这两种方法相结合来发现新病毒。对硬盘的主引导区或对DOS的引导扇区作检查，用比较法能发现其中的程序源代码是否发生了变化。由于要进行比较，因此保留好原始备份是非常重要的。制作备份时必须在无电脑病毒的环境里进行，制作好的备份必须妥善保管，写好标签，贴好写保护。比较法的好处是简单、方便，不用专用软件;缺点是无法确认病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是电脑病毒造成的，还是DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确认是否存在病毒。搜索法这种方法主要是对每一种病毒含有的特定字符串进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。国外称这种按搜索法工作的病毒扫描软件为“Scanner”。这种病毒扫描软件由两部分组成:一部分是病毒代码库，含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序，病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。病毒代码串的选择是非常重要的，短小的病毒代码只有一百多个字节，长的也只有10KB字节。一定要在仔细分析程序之后选出最具代表特性的，足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。一般情况下，代码串是由连续若干个字节组成的，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时，只要除“模糊”字节之外的字串都能完好匹配，就也能够判别出病毒。另外，特征串还必须能将病毒与正常的非病毒程序区，不然就会出现“假报、误报”。特征字识别法这是基于特征串扫描法发展起来的一种方式，运行速度较快、误报频率较低。特征字识别法只须从病毒体内抽取很少的几个关键特征字，组成特征字库。由于需要处理的字节很少，又不必进行串匹配，因此大大加快了识别速度，当被处理的程序很大时，用这种办法比较合适。由于特征字识别法更注意电脑病毒的“程序活性”，因此减少了错报的可能性。使用基于特征串扫描法的查病毒软件方法与使用基于特征字识别法的查病毒软件方法是一样的，只要运行查毒程序，就能将已知的病毒检查出来。这两种方法的使用，都须要不断地对病毒库进行扩充，一旦捕捉到病毒，经过提取特征并加入到病毒库，就能使查病毒程序多检查出一种新病毒来。分析法这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒，另一方面可以辨认病毒的类型和种类，判定是否为一种新病毒，另外还可以搞清楚病毒体的大致结构，提取用于特征识别的字节串或特征字，增添到病毒代码库中供病毒扫描和识别程序使用。同时，详细地分析病毒代码，还有助于制定相应的反病毒方案。与前三种检测病毒的方法不同，使用分析法检测病毒，除了要具有相关的知识外，还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。因为即使是很精通病毒的技术人员，使用性能完善的分析软件，也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作，把软盘、硬盘内的数据完全毁坏掉，所以分析工作必须在专门的试验用PC机上进行，不怕其中的数据被破坏。不具备必要的条件，不要轻易开始分析工作。很多电脑病毒采用了自加密、抗跟踪等技术，使得分析病毒的工作经常是冗长枯燥的。特别是某些文件型病毒的源代码可达10KB以上，与系统的牵扯层次很深，使详细的剖析工作十分复杂。病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。分析法分为静态和动态两种。静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代码可被用做特征码以及如何防御这种病毒等等。分析人员的素质越高，分析过程就越快，理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下，对病毒作动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。在病毒编码比较简单的情况下，动态分析不是必须的。但是，当病毒采用了较多的技术手段时，就必须使用动、静相结合的分析方法才能完成整个分析过程。综上所述，利用原始备份和被检测程序相比较的方法适合于不用专用软件，可以发现异常情况的场合，是一种简单、基本的病毒检测方法;扫描特征串和识别特性字的方法更适用于广大PC机用户使用，方便而又迅速;但对新出现的病毒会出现漏检的情况，须要与分析和比较法结合使用 Windows#作系统常遇木马的预防技巧 木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程#控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。 木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了! 随着微软的#作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X#作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。 要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。 因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。 在WinNT系统，DLL木马一般都藏在System32目录下(因为