木马防范三绝技-谈木马的“查、堵、杀”(要求置顶)
以下资料是我从网上转载的: <br>RFC1244(Request for Comments:1244)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展,木马的攻击、危害性越来越大。木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下蛛丝马迹,我们可以通过“查、堵、杀”将它“缉拿归案”。 <br>1.检查系统进程 <br> 大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象。 <br> 2.检查注册表、ini文件和服务 <br> 木马为了能够在开机后自动运行,往往在注册表如下选项中添加注册表项: <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce <br> 木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果在这些选项后面加载程序是你不认识的,就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名,只需稍稍改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细观察是很难被发现。 <br> 在Windwos NT/2000中,木马会将自己作为服务添加到系统中,甚至随机替换系统没有启动的服务程序来实现自动加载,检测时要对操作系统的常规服务有所了解。 <br> 3.检查开放端口 <br> 远程控制型木马以及输出Shell型的木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行。通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。在命令行中输入Netstat na,可以清楚地看到系统打开的端口和连接。也可从<a target=_blank href="http://www.foundstone.com/">http://www.foundstone.com/</a>下载Fport软件,运行该软件后,可以知道打开端口的进程名,进程号和程序的路径,这样为查找“木马”提供了方便之门。 <br> 4.监视网络通讯 <br> 对于一些利用ICMP数据通讯的木马,被控端没有打开任何监听端口,无需反向连接,不会建立连接,采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程,然后打开Sniffer软件进行监听,如此时仍有大量的数据,则基本可以确定后台正运行着木马。 <br> 1.堵住控制通路 <br> 如果你的网络连接处于禁用状态后或取消拨号连接,反复启动、打开窗口等不正常现象消失,那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线,就可以完全避免远端计算机通过网络对你的控制。当然,亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。 <br> 2.杀掉可疑进程 <br> 如通过Pslist查看可疑进程,用Pskill杀掉可疑进程后,如果计算机正常,说明这个可疑进程通过网络被远端控制,从而使计算机不正常。 <br> 1.手工删除 <br> 对于一些可疑文件,不能立即删除,有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析,查看文件的导入函数列表和数据段部分,初步了解程序的主要功能。最后,删除木马文件及注册表中的键值。 <br> 2.软件杀毒 <br> 由于木马编写技术的不断进步,很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星杀毒软件进行杀毒,对于杀毒软件,一定要及时更新,并通过病毒公告及时了解新木马的预防和查杀绝技,或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。 <br>求职信新变种W32.Klez.H@mm介绍 <br>病毒名称:W32.Klez.H@mm <br><br>病毒大小:大约90K <br><br>瑞星命名:Worm.Klez.L <br><br>W32.Klez.H(Worm.Klez.L)是一个被更改过的W32.Klez.E@mm,这个变种可以通过Email和网络共享传播,感染文件。 <br><br>如果病毒被运行后,病毒会将自身拷贝到SYSTEM目录下取名为Wink[随机字符].exe。 <br>病毒在注册表: <br>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <br>下添加: <br>Wink[随机字符] %System%\Wink[随机字符].exe <br>或者创建: <br>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]并添加一个键值,使得系统启动时病毒也可以运行。 <br><br>病毒试图通过停止一些进程来终止反病毒软件以及阻止一些蠕虫的运行,病毒会删除下列文件: <br>Anti-Vir.dat <br>Chklist.dat <br>Chklist.ms <br>Chklist.cps <br>Chklist.tav <br>Ivb.ntz <br>Smartchk.ms <br>Smartchk.cps <br>Avgqt.dat <br>Aguard.dat <br>病毒还会将自身拷贝至本地、映射网络驱动器中,文件名可能为: <br>双扩展名的随机文件,如Filename.txt.exe <br>双扩展名的.rar文件,如Filename.txt.rar <br><br>病毒会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件地址,并将自己作为邮件的附件发送给上述邮件地址,病毒有自己的SMTP引擎。 <br><br>带毒邮件的主题、邮件正文、附件名称都是随机的,其邮件来源(From:项)是从被感染机器上所找到的邮件地址中随机选取的。 <br><br>病毒从如下后缀名的文件中搜索邮件地址: <br>.mp8 <br>.exe <br>.scr <br>.pif <br>.bat <br>.txt <br>.htm <br>.html <br>.wab <br>.asp <br>.doc <br>.rtf <br>.xls <br>.jpg <br>.cpp <br>.pas <br>.mpg <br>.mpeg <br>.bak <br>.mp3 <br>.pdf <br><br>邮件标题可能为: <br>Undeliverable mail--"[随机字符]" <br>Returned mail--"[随机字符]" <br>a [随机字符] [随机字符] game <br>a [随机字符] [随机字符] tool <br>a [随机字符] [随机字符] website <br>a [随机字符] [随机字符] patch <br>[随机字符] removal tools <br>how are you <br>let's be friends <br>darling <br>so cool a flash,enjoy it <br>your password <br>honey <br>some questions <br>please try again <br>welcome to my hometown <br>the Garden of Eden <br>introduction on ADSL <br>meeting notice <br>questionnaire <br>congratulations <br>sos! <br>japanese girl VS playboy <br>look,my beautiful girl friend <br>eager to see you <br>spice girls' vocal concert <br>japanese lass' sexy pictures <br><br>其中[随机字符]可能是下列之一: <br>new <br>funny <br>nice <br>humour <br>excite <br>good <br>powful <br>WinXP <br>IE 6.0 <br>W32.Elkern <br>W32.Klez.E <br>Symantec <br>Mcafee <br>F-Secure <br>Sophos <br>Trendmicro <br>Kaspersky <br>邮件正文的内容是随机的。 <br><br>如果在未打补丁的Outlook或Outlook Express中打开病毒邮件,邮件附件会自动运行。 <br><br>病毒感染可执行文件时先创建一个待感染文件的副本,并将文件副本加密,但该副本中不含病毒代码,文件副本与原文件名相同,但是扩展名是随机的。然后病毒将待染毒文件用病毒覆盖。 <br><br>病毒会向Program Files目录中释放另一个病毒,文件名随机,并运行它。 <br>求职信最新变种KLEZ.K详细资料 <br>病毒名称:Klez.k病毒,自称Klez.e(由于有其它人修改此病毒导致总版本高于病毒作者自己的命名)。 <br>病毒类型:复合型病毒,包含两个部分,随着邮件传播的蠕虫病毒Klez和此蠕虫释放出来的Foroux病毒。 <br>病毒传播目的:释放病毒作者新完成的Foroux病毒。 <br><br>此次由瑞星公司未知邮件系统首先截获的Klez.k病毒自称Klez.e,由于又有其他人又修改了此病毒,因而 <br>总版本高于病毒作者自己的命名。 <br><br>klez.k病毒是一个复合型病毒,包含两个部分:随邮件传播的蠕虫病毒Klez和由此蠕虫释放出来的Foroux <br>病毒。此次病毒传播的主要目的就是释放病毒作者新完成的Foroux病毒。 <br><br>此次最新发现的Klez.k病毒和以往版本的“求职信”病毒类似,启动了7个线程,其作用主要如下: <br>1.外发邮件; <br>2.修改注册表; <br>3.搜索本地文件; <br>4.搜索网络邻居。 <br><br>通过邮件传播,这个Klez.k“求职信”病毒的信件主题可能为以下几组内容的组合(%s用于互相组合): <br>Hi,Hello,Re:Fw:Undeliverable mail--"%s",Returned mail--"%s" <br>a %s %s game.a%s %s tool.a %s%s website.a %s%s patch.%s removal tools new.funny.nice.humour. <br>excite.good.powful.WinXP.IE 6.0.W32.Elkern How are you.Let's be friends.Darling.So cool a flash, <br>enjoy it.Your password.Honey.some questions.Please try again.Welcome to my hometown.The Garden <br>of Eden.Introduction on ADSL.Meeting notice. <br>Questionnaire.Congratulations.Sos!.Japanese girlVS playboy.Look,my beautiful girl friend.Eager <br>to see you.Spicegirls' vocal concert.Japanese lass' sexy pictures <br><br>邮件附件的虚假扩展名可能为以下之一: <br>txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3 <br><br>真实扩展名为以下之一:EXE SCR PIF BAT <br>病毒体内有以下加密信息: <br>Win32 KlezV2.01 & Win32 Foroux V1.0..Copyright 2002,made in Asia..About Klez V2.01 <br>1,Main mission is to release the new baby PE virus,Win32 Foroux <br>2,No significant change.No bug fixed.No any payload About Win32Foroux (plz keep the name,thanx) <br>1,Full compatible Win32 PE virus on Win9X/2K/NT/XP <br>2,With very interestingfeature.Check it! <br>3,No any payload.No any optimization <br>4,Not bug free,because of a hurry work.No more than three weeks fromhaving such idea to accompl <br>-ishing coding and testing <br><br><br>病毒体内还有一段html格式的信息,如下: <br>Worm Klez.E immunity.Klez.E is the most common world-wide spreading worm. <br>It'svery dangerous by corrupting your files. <br><br>Because of its very smart stealth and anti-anti-virus technic,most common AV software can't <br>detect or clean it. <br><br>We developedthis free immunity tool to defeat the maliciousvirus. <br><br>Youonly need to run this tool once,and then Klez will never come into your PC. <br><br>NOTE: Because this tool acts as a fake Klez tofool the real worm,some AV monitor maybe cry when <br>you run it. <br><br>If so,Ignorethe warning,andselect 'continue'. <br><br>If you have any question,please mailto me <br>Klez释放出的Foroux病毒,大小为10240字节,可能用汇编语言在windows2000下编写的。此病毒进行了简 <br>单但多次的加密和变形,以阻止静态和动态分析。 <br>病毒会搜索kernel32.dll以获得以下函数的入口地址: <br>SetEndOfFile,SetFilePointer,CreateFileA,GetFileAttributesA,SetFileAttributesA,FindCloseChenge, <br>GetFileTime,SetFileTime,GetFileSize,CreateFileMappingA,MapViewFille,UmapViewFile,OpenFileMappingA, <br>VirtualProtectEx,ReadProceseeeMemory,WriteProcessMemory,OpenProcess,FindFirstFileA,FindNextFileA, <br>FindClose,LoadLibraryA,CreateThread,MultiByteToWideChar,Sleep,lstrcmpiA,GetModuleFileName, <br>GetDirverTypeA,GetTickCount,GetVersion,CreatToolhelp32Snapshot,Process32First,Process32Next <br>此病毒的隐蔽性表现在: <br>1、不会感染操作系统保护的文件,以防止系统提示用户。 <br>2、遍历进程,并打开EXPLORER进程进行感染,但由于程序的问题,经常导致EXPLORER和其它进程运行错误。 <br>3、此病毒遍历文件系统,试图进行感染。 <br>4、此病毒会创建名为WQK的命名内存映象,并将病毒体置于其中,用于进程间感染。 <br><br>此病毒的破坏性表现在: <br>1、加密保存用户文件,造成用户程序使用不正常。 <br>2、影响了EXPLORER等进程的正常工组,导致用户使用中经常出现非法操作。 <br>3、乱发邮件加重邮件系统负荷。 <br>4、搜索网络导致占用网络资源。 <br><br>此病毒的传播途径有: <br>1、通过邮件附件 <br>2、网络邻居或者映射的网络驱动器 <br>瑞星反病毒专家:养成良好习惯 提高病毒免疫力 <br><br>瑞星反病毒专家的安全建议: <br>1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。 <br>2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。 <br>3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。 <br>4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 <br>5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。 <br>6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 <br>7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。 <br><br>提高系统安全的注册表修改秘籍(一) <br>现在的电脑给人有一种弱不禁风的感觉,不是今天受到这个病毒突袭,就是明天受到那个黑客的攻击,出错、死机变得象家常便饭一样了。为了让计算机“坚强”起来,不少人找来了杀毒软件、防火墙,希望通过这些软件来增强计算机的免役力。的确,这些软件在一定程度上增强了计算机抵抗外来攻击的能力,但对于计算机内部系统存在的漏洞就无能为力了。本文的目的主要是向大家介绍一下通过修改注册表的方法,来提高系统的安全。 <br><br> 一、隐藏一个服务器 <br><br> 为了保证局域网中服务器上的资源不受其他人的非法访问和攻击,我们从安全的角度考虑,有时需要把局域网中指定的服务器计算机名称隐藏起来,以便让其他局域网用户无法访问到,那么我们该如何实现呢?下面请看该设置的具体步骤: <br><br> 1、打开注册表编辑器,并在编辑器对话框中用鼠标依次单击如下分支:HKEY_LOCAL_ MACHINE \ SYSTEM \ CurrentControlSet \Services \ LanmanServer \ Parameters键值。 <br><br> 2、用鼠标单击该键值下面的Hidden数值名称,如果未发现此名称,那么添加一个,其数据类型为REG_DWORD。 <br><br> 3、接着用鼠标双击此项,在弹出的“DWORD编辑器”对话框中输入1即可。 <br><br> 4、最后单击“确定”按钮,并退出注册表编辑窗口,重新启动计算机就可以在局域网中隐藏一个服务器了。 <br><br> 二、防止其他人非法编辑注册表 <br><br> 注册表是整个系统的灵魂所在,任何对注册表的错误修改都有可能让系统瘫痪。因此,如果您不是一位系统高手的话,最好不要轻易动手修改注册表。当然在公共场所,为了防止那些电脑“菜鸟”们,随意更改注册表设置,我们最好还是取消其他用户对注册表进行修改的权利。我们可以按照如下步骤来实现这样的目的: <br><br> 1、首先在注册表编辑界面中,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\键值; <br><br> 2、然后在Policies键值的下面新建一个System主键,如果该主键已经存在的话,可以直接进行下一步; <br><br> 3、接着在对应System主键右边窗口的空白处再新建一个DWORD串值,并命名为DisableRegistryTools; <br><br> 4、把DisableRegistryTools的值设置为1,设置好以后,重新启动计算机就可以达到防止其他人非法编辑注册表的目的了。 <br><br> 三、屏蔽“控制面板”的访问 <br><br> 由于通过控制面板,我们可以对计算机系统中的绝大部分软硬件进行设置和控制,因此为了防止其他人随意通过控制面板对Windows系统进行非法修改,我们就很有必要屏蔽其他用户对“控制面板”的访问了,要实现该功能,我们可以对注册表进行如下修改: <br><br> 1、首先在开始菜单中的运行栏中输入regedit命令,打开注册表编辑器操作界面; <br><br> 2、接着在该界面中,依次用鼠标访问\\HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System键值; <br><br> 3、随后在对应System键值的右边窗口中,用鼠标右键单击该窗口的空白处,并从弹出的快捷菜单中选择“新建”/“DWORD”命令,来新建一个DWORD值; <br><br> 4、把DWORD值的名称命名为NoDispCPL,同时设置NoDispCPL的值为1。 <br><br> 四、不允许其他人对桌面进行任意设置 <br><br> 如果在培训时,每台计算机的桌面设置都一样,那么老师说到什么图标或者执行什么操作,每个学员都能迅速找到目标;相反,一旦桌面中的设置被任意修改后,每一台计算机中的设置就会不一样,那么在教学时,就很难保证教学操作的同步性。为此,不少学校机房或者培训机房,都对锁定桌面进行了设置,下面是具体的设置步骤: <br><br> 1、在Windows的运行对话框中输入regedit命令,来打开注册表编辑器窗口; <br><br> 2、在编辑窗口中,用鼠标依次访问Hkey-Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores键值; <br><br> 3、在对应Explores键值右边的窗口中,用鼠标双击“No Save Setting”子键,并将其键值从0改为1! <br><br> 4、重新启动计算机,上述设置就可以生效了。 <br><br> 五、抵御BackDoor的破坏 <br><br> 如果您的计算机上网了,那么您的计算机就会存在着被黑客攻击的危险,而一旦被攻击中的,您的计算机就会面临着瘫痪或者被监视的安全威胁,其中有一个名叫BackDoor的后门程序,专门拣系统的漏洞进行攻击。为防止这种程序对系统造成破坏,我们有必要通过相应的设置来预防BackDoor对系统的破坏。设置时: <br><br> 1、首先在注册表编辑器操作窗口中,用鼠标依次单击键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run; <br><br> 2、在对应Run键值的右边窗口中,如果发现了“Notepad”键值,您只要将它删除就能达到预防BackDoor的目的了。 <br><br> 六、隐藏用户登录名 <br><br> Win9x以上的操作系统可以对以前用户登录的信息具有记忆功能,下次重新启动计算机时,我们会在用户名栏中发现上次用户的登录名,这个信息可能会被一些非法分子利用,而给用户造成威胁,为此我们有必要隐藏上机用户登录的名字 。 <br><br> 1、在设置时,请用鼠标依次访问键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon; <br><br> 2、在对应Winlogon键值右边的窗口中,用鼠标右键单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“字符串”命令; <br><br> 3、给新建字符串命名为"DontDisplayLastUserName",并把该字符串值设置为"1"; <br><br> 4、设置完后,重新启动计算机就可以隐藏上机用户登录的名字了。 <br><br> 七、不允许用户拨号访问 <br><br> 如果用户的计算机上面有重要的信息,有可能不允许其他人随便访问。那么如何禁止其他人拨入访问你的计算机,减少安全隐患呢,具体步骤为: <br><br> 1、打开注册表编辑器,并在编辑器中依次展开以下键值: <br> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]; <br><br> 2、在编辑器右边的列表中用鼠标选择“NoDialIn”键值,如果没有该键值,必须新建一个DWORD值,名称设置为“NoDialIn”; <br><br> 3、接着用鼠标双击“NoDialIn”键值,编辑器就会弹出一个名为“字符串编辑器”的对话框,在该对话框的文本栏中输入数值“1”,其中0代表禁止拨入访问功能,1代表允许拨入访问功能; <br><br> 4、退出后重新登录网络,上述设置就会起作用。 <br>提高系统安全的注册表修改秘籍(二) <br>八、屏蔽对软盘的网络访问 <br><br> 俗话说“病从口入”,计算机中的病毒有很多都是通过访问不干净的软盘而被感染得来的,如果我们允许用户通过网络来访问软盘的话,那么整个网络都有可能被感染病毒,最终的结果将会使网络中的所有计算机都中毒瘫痪。为了防止病毒入侵整个网络,我们必须严格管理计算机的输入设备,以断绝病毒的源头,为此就要禁止通过网络访问软盘。设置时,您可以按照如下操作步骤来进行: <br><br> 1、在系统的运行对话框中输入regedit命令,打开注册表编辑器; <br><br> 2、在注册表编辑器操作窗口中,依次打开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; <br><br> 3、在对应Winlogon右边的窗口中,检查一下其中有没有包含键值AllocateFloppies,如果没有,用鼠标右键单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD值”; <br><br> 4、把新建的DWORD值取名为AllocateFloppies,同时把它的值修改为0或1,其中0代表可被域内所有管理员访问,1代表仅可被当地登陆者访问。 <br><br> 九、禁止访问“文件系统”按钮 <br><br> 在“系统属性”对话框中,有一个名为“文件系统”的功能按钮,利用它您可以对计算机的硬盘、软盘以及其他移动设备进行相关设置。但为了防止非法用户随意篡改这些设备的设置,您有时需要把“系统属性”中“文件系统”的按钮隐藏起来,下面是具体的设置步骤: <br><br> 1、打开注册表编辑器窗口,并在窗口中依次访问如下键支:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System; <br> 2、在对应System键值的右边窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD串值”; <br><br> 3、给新建的DWORD串值,取名为“NoFileSysPage”,并把它的值设置为“1”; <br><br> 4、设置完后,重新启动计算机就可以使设置生效了。 <br><br> 十、让“网上邻居”图标隐藏起来 <br><br> 大家知道,通过网上邻居可以随意访问局域网中其他计算机上的内容,但如果其他计算机没有设置特别的访问权限的话,那些别有用心的破坏者很有可能利用网上邻居来非法删除其他计算机上的重要数据,给其他计算机造成了损失。为了避免这样的损失,我们可以利用注册表来隐藏“网上邻居”。 <br><br> 1、首先在打开的注册表编辑器操作窗口中,用鼠标依次访问键值HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer; <br><br> 2、在对应Explorer键值右边的操作窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中,用鼠标依次访问“新建”/“DWORD串值”; <br><br> 3、给新建的DWORD串值命名为NoNetHood,同时把该值设置为1(十六进制); <br><br> 4、设置好后,重新启动计算机就可以使设置生效了。 <br><br> 十一、限制使用系统的某些特性 <br><br> 在网吧或公用场所中,有时为了保证系统的属性不被其他普通用户随意更改,我们就必须要限制使用系统的某些特性。要实现这个目的,我们可以利用修改注册表编辑器的方法来达到。 <br><br> 1、运行注册表编辑器,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值; <br><br> 2、如果不存在该键值,就新建一个; <br><br> 3、然后将该键值下方的DisableTaskManager的值设为1,表示将阻止用户运行任务管理器。 <br><br> 4、接着将NoDispAppearancePage设为1,表示将不允许用户在控制面板中改变显示模式; <br><br> 5、下面再将NoDispBackgroundPage设为1,表示将不允许用户改变桌面背景和墙纸。 <br><br> 十二、限制用户使用指定程序 <br><br> 为防止用户非法运行或者修改程序,导致整个计算机系统处于混乱状态,我们可以通过修改注册表来达到让用户只能使用指定的程序的目的,从而保证系统的安全。 <br><br> 1、在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值; <br><br> 2、在对应Explorer键值右边的窗口中,新建一个DWORD串值,名字取为“RestrictRun”,把它的值设为“1”; <br><br> 3、在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名。例如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE,则用户只能使用word、记事本、写字板了,这样我们的系统将会做到最大的保障,也可以限制用户运行不必要的软件了。 <br><br> 十三、不允许用户设置屏幕保护密码 <br><br> 许多电脑使用者在使用电脑时,都有一种独占性,他们不希望自己使用的电脑,再去让别人使用,于是他们常常会在短暂离开电脑时,给电脑设定了屏保密码;但遗憾的是,他们在用完电脑之后,又不能及时把这些屏保密码去除,这样很容易导致其他用户不能正常使用,严重的能使计算机无法启动。为了避免这些现象的发生,我们可以通过修改注册表,来设定用户无权进行屏保密码的设置。 <br><br> 1、打开注册表编辑器窗口,在该窗口中用鼠标访问CURRENT_USER\ControlPanel\desktop\ScreenSaveUsePassword键支; <br><br> 2、在对应ScreenSaveUsePassword键值的右边窗口中,将ScreenSaveUsePassword的值设置为0就可以了。 <br><br> 十四、将文件系统设置为NTFS格式 <br><br> 在Windows2000以及NT系统中,用户可以将分区设置为NTFS格式来确保文件系统的安全,当然我们也可以通过修改注册表的方法来达到将文件系统设置为NTFS格式的目的,具体实现步骤如下: <br><br> 1、打开注册表编辑器,并在编辑器中依次展开以下键值: <br><br> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem; <br><br> 2、在注册表编辑器中用鼠标单击“编辑”菜单,并在下拉菜单中选择“新建”菜单项,并在其弹出的子菜单中单击“DWORD值”; <br><br> 3、在编辑器右边的列表中输入DWORD值的名称为“NtfsDisableLastAccessUpdate”; <br><br> 4、接着用鼠标双击NtfsDisableLastAccessUpdate键值,编辑器就会弹出一个名为“字符串编辑器”的对话框,在该对话框的文本栏中输入数值“1”,其中0代表“取消”该项功能,1代表“启用”该项功能。 <br><br> 十五、抵御WinNuke黑客程序对计算机的攻击 <br><br> WinNuke是一个破坏力极强的程序,该程序能对计算机中的Windows系统进行破坏,从而会导致整个计算机系统瘫痪,所以我们有必要预防WinNuke的破坏性。我们可以在注册表中对其进行设置,以保证系统的安全。 <br><br> 1、在注册表编辑器操作窗口中,用鼠标依次单击键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP; <br><br> 2、在对应MSTCP键值的右边窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD值”,并给DWORD值取名为“BSDUrgent”,如果该键值已经存在,可以直接进行下一步; <br><br> 3、然后将BSDUrgent值设置为0,重新启动计算机后就可以实现目的了。 <br><br> 十六、恢复对注册表的错误修改 <br><br> 由于注册表是计算机的核心和灵魂,对注册表进行的任何一个错误修改都有可能使计算机不能正常启动。为了确保万无一失,我们在对注册表进行修改时,都要对注册表进行备份工作,一旦在修改注册表时出了一点小错误,就可将以前备份的注册表文件再导入注册表中,从而恢复注册表以前的内容,下面是具体的操作步骤: <br><br> 1、在运行对话框中输入regedit命令,程序将弹出了一个注册表编辑器窗口; <br><br> 2、在该窗口中用鼠标单击“注册表”菜单下的“导入注册表文件”,从弹出的文件对话框中找到备份的.reg文件,最后再用鼠标单击该对话框中的“确定”按钮,就可以重新向注册表写入正确信息; <br><br> 3、当注册表损坏或错误更改了软硬件设置,导致系统启动失败,并且自动修复无效,用“Scanreg.exe /Fix”也无法恢复时,可在纯DOS下运行“scanreg.exe /restory” 进行恢复,有五个数据供选择,先选日期最近的恢复,若仍不行,再依次选择,直到系统正常运行为止。!Re:木马防范三绝技-谈木马的“查、堵、杀”(要求置顶)
置顶要看本帖子的人气了,给你加精吧!1!!<br>页:
[1]
