强人总结：病毒木马的基本防御和解决

　　关于病毒木马网上的资料实在是太多，怎么说都很难说是自己原创的文章，所以笔者在此说明，凡是网上已经很详细的资料就不再多写了，主要是说明一个思路。这个文章本来是写给我的一位上海的朋友的，是很简单的东西。

　　说明:1.因为我的朋友不大会用工具，所以这篇文章说的是不用任何工具的简单的对病毒木马的防御和解决.

　　2.解决的也是简单的木马病毒，我的朋友是一般使用电脑的用户。中了复杂的病毒木马我干脆劝他重装。

　　3.针对的是我朋友的Windows XP 专业版本系统。

　　4.关于网上已经很详细的一些方法，不再做过多阐述。可自己搜索。

　　一、基本防御思想：备份胜于补救

　　1.备份，装好机器之后，笔者首先备份c盘(系统盘)windows里面，和C:\WINDOWS\system32下的文件目录。

　　运行,cmd命令如下;

以下是引用片段：
dir/a C:\WINDOWS\system32 >c:\1.txt
dir/a c:\windows >c:\2.txt

　　这样就备份了windows和system32下面的文件列表，如果有一天觉得电脑有问题，同样命令列出文件，然后cmd下面，fc命令比较一下，格式为，假如你出问题那一天system32列表为3.txt，那么fc 1.txt 3.txt >c:/4.txt

　　(笔者说明: dir/a是为了察看隐藏文件，备份位置放在c根目录是为了好找)

　　因为木马病毒大多要调用动态连接库，可以对system32进行更详细的列表备份，如下

cd C:\WINDOWS\system32
dir/a >c:\1.txt
dir/a *.dll >c:\>2.txt
dir/a *.exe >c:\>3.txt

　　然后把这些备份保存在一个地方，除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件，虽然有一些是安装软件的时候产生的，并不是病毒木马，但是还是可以提共很好的参考的。

　　2.备份进程中的DLL, CMD下面命令

tasklist/m >c:/dll.txt

　　这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下，比较方法如上不多说，对于DLL木马，一个一个检查DLL太麻烦了。直接比较方便一些。

　　3.备份注册表，

　　运行REGEDIT，文件——导出——全部，然后随便找一个地方保存。

　　4.备份C盘，(硬盘大的朋友使用，笔者注释)

　　开始菜单，所有程序，附件，系统工具，备份，然后按这说明下一步，选择我自己选择备份的内容，然后把系统备份在一个你选定的位置。

　　出了问题，同样打开，选择还原，然后找到你的备份，还原过去就是了。

　　(笔者说明，这个方法比系统还原好用，而且剩心，只备份才安装时候的系统就好，是最终解决方案。)

　　二、基本防御思想：防病胜于治病

　　1.关闭共享，这个网上说得很多，可以自己搜索，笔者不再详细说明。关闭139.445端口，终止xp默认共享。

　　2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。防止一般小黑客常用的at命令等等。其他的服务可以搜索相关资料自己看着办。(注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。)

　　3.控制面板，管理工具，本地安全策略，安全策略，本地策略，安全选项给管理员和guest用户从新命名，最好是起一个中文名字的，如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。

　　4.网络连接属性里面除了tcp/ip协议全部其他的全部停用，或者干脆卸载。

　　5.关闭远程连接，桌面，我的电脑，属性，远程，里面取消就是了。也可以关闭Terminal Services服务，不过关闭了以后，任务管理器中就看不到用户名字了。

　　(笔者注释，注意如果你是一个喜欢黑客技术的人并且准备学习研究黑客技术，以上设置不适合你，呵呵，另外相关安全细节网上资料很多，不再啰嗦。自己可以搜索看看。)

　　三、基本解决方法：进程服务注册表

　　1. 首先应该对进程服务注册表有一个简单的了解，大约需要3个小时看看网上的相关知识应该就会懂得了。

　　2.检查启动项目，不建议使用运行msconfig命令，而要好好察看注册表的run项目，和文件关联，还有userinit,还有shell后面的explorer.exe是不是被改动。相关的不在多说，网上资料很多，有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目，(笔者声明，不是我自己找出来的，只是觉得这个最全面一点。)

1． HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\．
4． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\Run\
9． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11． HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13． HKEY_CURRENT_USER\Control Panel\Desktop
14． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15． HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16． HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17． HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18． HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19． HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20． HKEY_CLASSES_ROOT\wsffile\shell\open\command\

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有