后使用快捷导航没有帐号?
查看: 10157|回复: 12
如何防止木马病毒入侵你的电脑[]转载]
帖子好友金豆
LV.8, 积分 4791, 距离下一级还需 1210 积分
如何防止木马病毒入侵我的电脑呢?
阅读: 31688 时间: 13:09:36 整理:华夏黑盟
------------------------------------------------------------------
&&声明:原创文章,转载请指名来自华夏黑客联盟(),违者必究!
可能除了专业研究病毒的,没有哪些人的机器会像搞黑客的人的爱机那样会整天的与病毒、木马、流氓件、间谍件等等天天亲密接触了。尤其是做上网冲浪的,简直就是一台病毒过滤机——信息流过去,病毒留下。
久而久之,机器简直就成毒窝了!好一点的机器大概能挺得就一些,差一点的,就算是每天保养也坚持不住。再加上经常性的与各种帐户、网银打交道,没问题也会疑神疑鬼的。还要担心自己哪天别成了别人的肉鸡*************,任人宰割。于是重做系统,就成了黑客人士的家常便饭,那熟练程度恐怕也只有电脑城的装机小伙能媲美。
年复一年、日复一日的重做系统,不胜厌烦!但可恶的是操作系统的毛病是层出不穷!补丁一个接着一个,病毒也进化的快,跟都跟不上。翻来覆去的重装系统,没病都整出毛病来了。那么有没有捷径呢?还是让我来告诉你吧!
主题内容:如何防止木马病毒入侵我的电脑呢?
一、及时更新Windows安全补丁。非常重要!
因为绝大多数肉鸡都是因为没有及时打补丁,然后就中了别人的网页木马等!
方法一:系统开启自动更新设置,让系统自动安装微软的更新补丁。
方法二:在微软的官方网站更新Windows安全补丁。
方法三:使用反病毒软件中的漏洞修复功能,比如360安全卫士、QQ医生、金山毒霸等。
如果需要正版Windows。
二、安装防火墙和反病毒软件,并实时更新病毒库。
比如360安全卫士、瑞星杀毒软件、瑞星个人防火墙、金山毒霸、江民、天网等。
三、密码不要太过于简单,设置复杂的密码,防止密码心理学或者社会工程学破解。
密码设置过于简单,或者使用有特别意义的数字(比如:生日、纪念日等)作为密码,容易导致帐号被盗。
原因在于:
1、密码设置过于简短和大众化,比如:类似123456的密码,容易被猜中而盗取您的帐号。
2、用有特别意义的数字作为密码。比如:您的生日密码(),银行卡密码,容易被他人剽窃、记住、推测到。
3、全数字、全字母密码,容易被盗号者使用软件暴力破解。
4、密码最好不要搞得全部一样,如果所有密码相同,要是其中一个密码被泄密或者是被破解,那么其它密码是不是全部都遭殃呢?
所以我们强烈建议用户使用位数大于6位、有字母和数字交替组成的复杂密码,可以增加猜中和破解难度,保障您的密码安全。
四、不乱上危险网站,不接受不明信息来源的文件,防止木马入侵电脑。重要!
1、不要随便打开来历不明的网站,也不要随便接收来历不明的邮件等!
现在被挂有网页木马的网站越来越多了,所以大家平时千万不要随便打开来历不明的网站!
2、不要随便运行可执行文件!重要!
可执行文件专指.exe,.com等直接可运行的文件:
可执行文件exe .bat .pif . scr .cmd .com 等
可以带直接运行脚本的:htm chm html asp htt 等
.wav .mp3 、.mid、.doc等类型的文件也有可能被人捆绑木马
大家平时运行文件的时候一定要慎重,特别是.exe后缀的文件运行要特别慎重!
原创:如何判断黑客工具是否捆绑木马和后门!
运行可执行文件一定要经过严格的检验,切勿随便打开来历不明的可执行文件。
五、有条件,就安装虚拟机或影子系统,但使用影子时不要忘了定期关闭影子进行系统和防护软件的升级。升级时不要做别的事情。
如果你有条件,可以使用虚拟机或者使用肉鸡上网!
1、不要相信那些还原精灵一类的东西!
不要相信那些还原精灵一类的东西,因为有些病毒是可以突破还原精妙的!
硬件还原卡现在似乎不太流行了,软件还有。这些东西是很不可靠的。他们的原理一般是在硬盘上开辟一块特殊的分区,将你的系统后备文件采取某种加密方式后写入。道理不错,但一旦该硬件或软件出现问题,或者硬盘本身有点瑕疵,非常有可能导致整个系统的崩溃!数据尽毁!而且他们还有一个毛病是卸载困难,几乎没有能完全顺利的卸载的,强行卸载后也会导致崩溃。
2、影子系统并不防毒!
也有许多赚友给系统安装影子系统,以为这样就会一劳永逸,因为每次关机重起后都会自动还原,病毒、木马尽数逝去。其实不然!尽管系统重起后受保护的硬盘分区会还原,但未受保护的部分依然会保留入侵者的东西,而且在影子运行期间,有的人会误以为不需要防毒软件和防火墙软件,使机器大开门路充分暴露于网上,机器内的什么信息都会被人窥视无余!而且这时如果操纵网银等,无异于将银子拱手相送。即便你重起机器后还原了系统,也已是亡羊补牢。
六、玩黑之前先学会如何保护好自己的系统安全。
人们常说:常在河边走,哪有不湿鞋。
操作系统安全系列教程:
教你打造一道超级防御的电脑防火墙
winXP如何加强系统安全
七、电脑每次开机的时候都检查一下系统。
养成良好的习惯,电脑在每次开机的时候都用心的检查一下系统安全!
首先检查系统进程,关于系统进程,可以借助冰刃IceSword v1.22来检查;
一般即使隐藏进程,冰刃IceSword v1.22也应该可以检测得出来的吧!
检查启动项目等;
原创:如何判断自己的系统是否安全!
这个贴子已经说得比较具体了!
检查进程后,就可以连接网络,连接网络之后不要急于上网,
开始——运行——cmd——然后输入netstat -an——查看有没有外部IP连接你电脑
有些木马病毒是可以实现开机延长启动发作的,那你为了系统安全开机后不防等上几分钟;
有人认为我说的是废话,进程是可以隐藏,你不可能同时隐藏进程,同时隐藏启动项目,同时隐藏端口连接情况吧,如果你有这个技术,那你去发明一个系统,目前中国都是使用美国微软的系统,如果你有实力,你去开发系统,给中国争光!
八、离开电脑的时候最好关机,不要大意!
离开电脑的时候最好关机,或者设置好屏幕保护密码,或者用挂机锁,千万不要大意!
如果你离开了电脑,别人动你电脑,给你中木马病毒,这个也得防范!
世界上没有入侵不了的电脑,只是在于时间、技术的较量,如果你的电脑长时间在线,就会有机会让人入侵;相反,如果你的电脑在互联网上的时间越短,岂不是减轻了这种危险?
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
如何预防电脑受到病毒的感染 {转}
一、如何预防电脑受到病毒的感染
1、使用正版操作系统软件和应用软件,因为往往有些破解的东西给别人加绑有木马。
2、及时升级系统补丁程序(windowsxp可以打开控制面板自动升级),(微软网站) Windows Update 如图
3、安装防病毒软件,并及时更新;若可能安装防火墙软件。定期执行全盘扫描。如瑞星,金山,Norton等…,如果没有安装杀毒软件,可以访问防病毒软件公司网站使用在线查毒功能等,如:瑞星,金山,Norton等…,笔者使用Norton企业版。
4、尽量避免使用软盘,U盘复制数据,如果使用软盘或者U盘拷贝数据,请在待拷贝文件上点击右键,使用杀毒软件提供的功能进行病毒查杀和清除。
5、对于不了解的邮件(尤其是带有附件的),尽量避免打开。
6、不浏览不熟悉的网站,更不要轻易从这些网站下载软件。建议使用IE 7因为有些网站自动下载,或自动安装的组件时,IE 7都做出提示,等你确认。提示如图
7、使用即时通信软件(MSN、QQ)的时候,不增加不熟悉的联系人,尤其不要点击陌生人发给你的图片和网址链接,熟悉的人都要问一下是不是他发给你的,因为可能是他的电脑感染了病毒,自动发送。
二、清除病毒注意事项
如果电脑感染了病毒,清除病毒即可。但是在清除病毒过程中及之后还有一些事项需要你关注。
1、查杀病毒之前:最好能备份你的有用数据
电脑中的数据对于您的工作来说是非常重要的,应该尽可能地保护。备份是一种较为有效的方法。所需要备份的数据包括:您创建的word,execl等文档,重要的财务数据,工作资料,股票软件所产生的相关数据,银行证书等等,一般数据的备份方法,只需通过系统中的复制、粘贴功能将所需要的数据备份到U盘等其他存储设备中即可,专有数据(如股票数据)可能要询问相关软件厂商(例如是股票软件数据,需要股票软件厂商协助)。进行了这些的操作后,最好使用最新版本的杀毒软件(病毒代码库也是最新)进行杀毒操作。
2、将杀毒软件升级到最新的病毒代码库。
3、当你偶到较多网络病毒是,建议你需要断开网络;即将网线从网卡中拔出,注意操作的规范和安全。
4、重新启动计算机进入安全模式,再查杀病毒;即启动时点击F8进入安全模式,如何干净地清除病毒。
5、防病毒软件在查杀病毒时候的三种处理方式:清除,隔离,删除文件
5.1 清除:是默认的方式,防病毒软件将被感染文件中的病毒代码清除;
5.2 隔离:是由于防病毒软件认为文件已经被病毒感染但是无法清除病毒,防病毒软件会将此文件进行隔离(有的会有提示),即将该文件放入特定的文件夹中,并且停止使用该文件。对于隔离区中的文件,若您确认无病毒,可以点击恢复将文件回复到原有位置并可以正常使用,也可以将文件发送给防病毒厂商,以确认是否真正存在病毒,有关公司病毒上报的。
5.3 删除:是三种处理方式中最彻底同时也是最有危险性的操作,防病毒软件一般将认为被病毒感染放入隔离区中,此时若您确认该文件的病毒无法清除,同时确认对您的计算机系统或者应用程序来说是无用文件,您可以选择删除文件,彻底清除病毒。
6、最好对前面备份过后数据也进行一个查病毒的操作,以防止备份的数据中还存在有病毒。
以上三种杀病毒的方式都有可能造成应用程序甚至系统文件的损坏,因此,当发生杀毒后系统不能正常使用或应用程序不能使用时,你可再按照下面第三条操作
三、查杀病毒后:
1、升级windows补丁程序,(微软网站) Windows Update,(开始Windows Update)如图
2、若通过防病毒软件查杀病毒后,发现病毒依然存在或未完全被清除,这时您可能要寻求防病毒软件厂商的帮助,方法是,访问相关软件厂商的网站,查询常见病毒的清除方法,瑞星提供最新病毒清除办法,和该病毒是否有专杀工具。若有专杀工具,金山专杀工具,Norton专杀工具,按照专杀工具的方法查杀病毒。若专杀工具无效或者没有专杀工具,此时清除病毒的最简单方法即重新安装操作系统(最好重新分区格式化重新安装操作系统)。
3、查杀病毒后,可能出现某个应用程序无法使用,这时候请您重新安装此应用程序尝试。
4、查杀病毒后,由于病毒破坏了系统的核心文件,所以可能造成系统运行不稳定,蓝屏死机等,这时也没有其他更好的方法,重新卸载SP 补丁包,再重装安装补丁包,看看是否能解决,否则需要重新安装操作系统。
四、安装系统漏洞补丁,注意密码管理,加强电脑安全
1、加强密码和帐号管理,保护系统和数据安全
在使用电脑时,为了安全设置密码时至少要求8位,密码要包含大小写,数字多种组合,不要使用生日和同一数字(如000000)等作密码,不要使用与自己邮箱,网上论坛等相同的密码,以避免密码泄漏。
为了防止机器受到非授权的访问和攻击,需要停用本机的Guest帐号,通过右键单击我的电脑,点击管理系统工具本地用户和组中,在用户中找到Guest帐号 ,双击Guest帐号,选择帐户已停用即可(如图)。
对于使用Windows XP的用户,一定要升级最新的sp2补丁,并在控制面板启用Windows防火墙,或者安装其他防火墙软件,笔者使用windowns 防火墙如下图:
安装系统漏洞补丁,注意文件共享,保持良好上网操作习惯 在网络环境中使用电脑,经常要访问共享资源,浏览网页,下载资料等,为了安全及时安装漏洞补丁非常重要,使用Windows时一定要升级Windows操作系统和IE浏览器安全和补丁程序,(微软网站) Windows Update,若有可能安装防火墙软件,防止黑客入侵您的计算机。
如果设置共享目录需要注意共享目录的权限设置,不能共享给Everyone用户,需要设置单独的共享帐号,同时要停用默认的C$,D$,E$等共享目录,通过右键单击我的电脑,点击管理,在系统工具共享文件夹中删除这些共享。
建议把计算机中的hosts文件修改为只读,Windows XP的hosts文件一般在C:\WINDOWS\system32\drivers\etc目录下。
五、预防间谍软件(Spyware),恶意软件(Malware)、流氓软件
间谍软件,或者称为恶意软件或者流氓软件,是执行某些行为(例如广告、收集个人信息或通常没有经过您的同意就更改计算机的设置)的软件的通用术语。
如果出现以下情况,您的计算机上就可能存在有间谍软件或其他有害的软件:
1、甚至您不在 Web 上也会看见弹出式广告。
2、您的 Web 浏览器首先打开的页面(主页)或您的浏览器搜索设置已在您不知情的情况下被更改。
3、您注意到浏览器中有一个您不需要的新工具栏,并且发现很难将其删除。
4、您的计算机完成某些任务所需的时间比以往要长。
5、计算机崩溃的次数突然上升。
计算机上存在间谍软件,可以使用微软的AntiSpyware(英文),或者防病毒软件的公司的清除工具。根据微软网站关于怎样对付间谍软件和其他有害的软件的文档,预防流氓软件我们需要
1、更新软件,访问 (微软网站) Windows Update
2、调整您的浏览器的Internet选项中的安全设置,设置合适的安全级别,并将非法网站加入受限制站点
3、使用防火墙
4、更安全地上网和下载,比如对于不了解的邮件(尤其是带有附件的),尽量避免打开;不浏览不熟悉的网站,更不要轻易从这些网站下载软件;使用即时通信软件(MSN、QQ)的时候,不增加不熟悉的联系人,尤其不要点击陌生人发给你的图片和网址链接。
5、下载和试用间谍软件删除工具,笔者使用IE 7,IE7上以有“仿冒网站筛选器“这功能,直接打即可以,点击桌面Internet Explorer 右键单击属性高级安全栏找到仿冒网站筛选器选取 打开自动网站检查。如图
为了避免以后再次感染病毒,请您保持良好的计算机上网操作习惯:对于不了解的邮件(尤其是带有附件的),尽量避免打开;不浏览不熟悉的网站,更不要轻易从这些网站下载软件;使用即时通信软件(MSN、QQ)的时候,不增加不熟悉的联系人,尤其不要点击陌生人发给你的图片和网址链接。笔者认为如果还是使用IE6浏览器,建议升级到IE 7。
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
关于木马这点事
一、什么是特洛伊木马 特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。 古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一 计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了 夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典 故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。 在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位 置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等 等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转 指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练 的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
二、木马原理
鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透 彻的了解。
【一、基础知识 】
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取 其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的 网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制 端程序或木马 程序。 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁 等,我们将在“传播木马”这一节中详细介绍。 (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在 “信息反馈”这一节中详细介绍。
【二、传播木马】.
(1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感 染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序, 木马就会自动安装。
(2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们 开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木 马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见, 并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文 件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经 有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容 可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系 统。
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
(四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新 式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这 样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中 (C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外), 那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来 源,在没有查杀木马的工 具帮助下,就很难删除木马了。
(六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以 断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
【三.运行木马】
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或 C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动 木马了,具体过程见下文:
①由自启动激活木马
自启动木马的条件,大致出现在下面6个地方:
1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中 寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情 况下是空白的,如果有启动程序,可能是木马。
3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在 [386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立 连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端 覆盖这同名文件,这样就可以达到启动木马的目的了。
6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
②由触发式激活木马
1.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改 HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序 了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类 型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑 在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
3.自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什 么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬 盘与U盘,在U盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马 程序的运行。 木马作者还在不断寻找“可乘之机”这里只是举例,又有不断的自启动的地方被挖掘出来。 (2)木马运行过程 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入 NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是 电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只 有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的 连续端口。
(3)4000端口:这是OICQ通讯端口。
(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀 疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
【四.信息泄露】
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E- MAIL,IRC或ICO的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中, 最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
【五.建立连接】
这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制 端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。 假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为 已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已 经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是 开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即 作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得 一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的, 即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围 是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
【六.远程控制】 木马连接建立后,控制端端口和木马端口之间将会出现一条通道。 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制 端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记 录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了 WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软 驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看 服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪 :
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞 破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀 自己的技术. &木马&不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好 玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期 的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程 序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的 一类,但是要单独的从病毒类型中间剥离出来.独立的称之为&木马&程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马 泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀 毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去, 即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病 毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木 马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已 知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现 在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
三、隐形木马启动方式揭秘
大家所熟知的木马程序一般的启动方式有:加载到“开始”菜单中的“启动”项、记录到注册表的 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项中,更高级的木马还会注册为系统的“服务” 程序,以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到 它的踪迹。 另一种鲜为人知的启动方式,是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”,可看到“本地计算机策略”中有两个 选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性 设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文 本框中输入要自启动的程序的路径,单击“确定”按钮就完成了。
添加需要启动的文件面重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。因 为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危 险。 通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在我们所熟知的注册表的 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项内,而是在册表的 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项。如果你怀疑你的电脑被 种了“木马”,可是又找不到它在哪儿,建议你到注册表的 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项里找找吧,或是进入“组 策略”的“在用户登录时运行这些程序”看看有没有启动的程序。
现在网页木马无非有以下几种方式中到你的机器里
1:把木马文件改成BMP文件,然后配合你机器里的DEBUG来还原成EXE,网上存在该木马20%
2:下载一个TXT文件到你机器,然后里面有具体的FTP^-^作,FTP连上他们有木马的机器下载木马,网上存在该木马20%
3:也是最常用的方式,下载一个HTA文件,然后用网页控件解释器来还原木马。该木马在网上存在50%以上
4:采用JS脚本,用VBS脚本来执行木马文件,该型木马偷QQ的比较多,偷传奇的少,大概占10%左右
5:ARP欺骗,利用ARP欺骗拦截局域网数据,攻击网关。在数据包中插入木马。解决方案,安装ARP防火墙。
四、防治木马
现在我们来说防范的方法 那就是把 windows\system\mshta.exe文件改名, 改成什么自己随便 (xp和win2000是在system32下) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls 创建一个基于CLSID的新键值 {6E9_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键 Compatibility,并设定键值为0x即可。
还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除) 一些最新流行的木马 最有效果的防御~~ 比如网络上流行的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt ..... 假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后 也不会在感染了这个办法本人测试过对很多木马 都很有效果的 经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星 没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被 执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE .
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很 难在中毒后发觉。 防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术 的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程 插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是 不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程 相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调 用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称 为Loader, Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技 术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用 程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。 “3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器, 依次展开 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动 项,其键值为“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能。 简单防御方法 DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马 Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么 陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在 DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
不可不看的杀毒技巧
1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。
2、对于局域网内部用户,在杀毒之前请断掉网络。
3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。(对于国内的杀毒软件)
4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。)
5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。(删除文件时删不了有时也因为此)
6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。如果网络中毒,请联系网络管理员,断网杀毒。(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)
7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个人文件,并在有经验的人的指导下进行。使用不当,可能造成硬盘数据全部丢失。(此方法用的较少)
中阶:中鸟看——杀毒技巧集锦
有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?
不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧!
对于杀毒的设置本文就不做介绍了。
杀毒要讲环境。其实说真的,杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的!即费时间,有减少DOS杀毒盘的寿命。那么,该怎么判断该在什么环境下杀毒呢?
一、被激活的非系统文件内的病毒
杀这种病毒很简单,只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。
二、已经被激活或发作的非系统文件内的病毒
如果在一般Windows环境下杀毒,效果可能会大打折扣。虽然,现在的反病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能歼灭病毒。
因此,杀此类病毒应在Windows安全模式下进行。在Windows安全模式下,这些病毒都不会在启动时被激活。因此,我们就能放心的杀毒了。
三、系统文件内病毒
这类病毒比较难缠,所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。(如果在Windows下即使杀毒成功估计还会有这了那了的系统问题,很麻烦的)
四、网络病毒(特别是通过局域网传播的病毒)
此类病毒必须在断网的情况下才能清除,而且清除后很容易重新被感染!要根除此类病毒必需靠网络管理员的努力了!(在之一也提到了)
五、感染杀毒厂家有提供专用杀毒工具的病毒
杀灭此类病毒好办,只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具。(遇到什么毒的话先到搜索引擎上搜一下,不要老是问别人,因为首先自己掌握了杀毒技巧不是更好么,其次回复的人大部分也是在网上找的方法,他们并不明白你的具体情况,反而造成帮倒忙)
杀毒很讲究技巧,所以,选择适合自己的反病毒软件和时刻开启监控很重要,还有千万别忘了升级哦!
检查注册表
注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1、检查注册表中HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run和HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。(注册表的启动项给的不全还包括
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
在最后还会有更全面的介绍注册表十大启动项)
2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\InternetExplorer\\\\Main中的几项(如LocalPage),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。(这是ie项的注册表)
3、检查HKEY_CLASSES_ROOT\\\\inifile\\\\shell\\\\open\\\\command和HKEY_CLASSES_ROOT\\\\txtfile\\\\shell\\\\open\\\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。
1、检查win.ini文件(在C:\\\\windows\\\\下),打开后,在?WINDOWS?下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
2、检查system.ini文件(在C:\\\\windows\\\\下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。(你现在就可以是试了)
坚决把“邮件病毒”消灭
邮件病毒”其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”,它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。
1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能,在邮件接收过程中对其进行病毒扫描过滤
2、及时升级病毒库。病毒软件厂商天天都会更新病毒库,提供的升级服务是非常周到,如果用户不及时升级,就很难对新病毒进行查杀。
3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件,如果发现邮件中无内容,无附件,邮件自身的大小又有几十K或者更大,那么此邮件中极有可能包含有病毒;如果附件为可执行文件(.exe、.com)或word文档时,要选择用杀毒软件的扫描查毒察看;如果发现收到的邮件对方地址非常陌生,域名对极不像正常的国内邮箱,那就很有可能是收到病毒了;如果是双后缀那么极有可能是病毒,因为邮件病毒会选择隐藏在附件中,直接册除即可。
5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染,病毒会通过邮件“地址薄”中的联系人来传播。
6、少使用信纸模块。信纸模块都是一些脚本文件,如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等,那用户使用信纸发出去的邮件都带有病毒了。
7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件,还可以过滤掉一些带病毒邮件。
8、不使用邮件软件邮箱中的HTML预览功能。当今,一些传播与破坏力比较大的病毒,往往都是通过邮件预览时进行感染,并不需要打开邮件。
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
计算机防毒杀毒的六大常见误区,实用,详细
误区1:有了杀毒软件我就可以什么毒都不怕
真的有了杀毒软件就什么毒也不怕吗?答案肯定不行的,
病毒是不断有新的出现的,而且它的出现往往无法预料,杀毒软件也要不断更新,要不断升级才能对付新出现的病毒,即使这样,有很多时候杀毒软件升级到最新也不能杀掉全部的病毒,升级到最新,只是能让您的电脑拒绝更多的病毒,让您的电脑处于更安全的状态,并不意味着您就可以忽略电脑安全,平时还是要注意共享安全;不要下载不明程序,不要打开不明网页等等。
误区2:装杀毒软件越多越好
前两天,笔者帮朋友装机,朋友不懂电脑,所以对我说:“装多几个杀毒软件吧,我怕上网很多毒。”晕倒?¥%?#……,真的装杀毒软件越多越好吗?其实不同厂商开发的杀毒软件很容易引起冲突。不少杀毒厂商为了避免这种情况的发生,在安装的时候就检测电脑中是否安装有其他杀毒软件,目的就是为了避免两个杀毒软件同时使用的时候出现的冲突。而且,对于大部分的病毒,一般一个杀毒软件都可以杀掉,对付特殊病毒也有不少专杀工具。装的杀毒软件越多,除了可能出现冲突以外,还会消耗更多的系统资源,减慢电脑运行速度。装多几个杀毒软件,得益却没什么,失去效能就可能很大。所以,并不是杀毒软件越多越好。
误区3:杀毒软件能杀毒就行了
杀毒软件能杀毒就行?是不是等到病毒入侵然后才来杀毒?有些人b了杀毒软件,想减小系统资源的消耗,会把杀毒软件关掉,当病毒入侵时候才用杀毒软件来杀毒。这种意识是不行的,现在病毒风行,可以无孔不入,一不小心,您就会很容易“中毒”,况且现在硬盘之大,令很多杀毒软件杀毒时间都很长;而且假如病毒入侵的时候才杀毒,那么可能您的系统早已崩溃,数据早已丢失,为时已晚,到时候损失就大了。因此,杀毒不是重点,防才是最重要。与其说是杀毒软件,不如说是防毒软件更好!
误区4:只要我不上网就不会有病毒
有些人的电脑连接到因特网,以为只要不打开网页上网就不会感染病毒,所以想不打开杀毒软件防毒。其实,虽然不少病毒是通过网页传播的,但是也有不少病毒不等您打开网页早已入侵您的机器,这个是必须防范的。冲击波,蠕虫病毒等等都会在您不知不觉中进入电脑。而且,盗版的光盘,软盘也会存在病毒。因此,只要您的电脑开着,最好就防着!
误区5:文件设置只读就可以避免病毒
设置只读,只是调用系统几个命令而已,而病毒也可以调用系统命令。因此,可以病毒可以改掉文件属性,严重的可以删掉重要文件,格式化硬盘,让系统崩溃!因此,设置只读,并不能有效防毒,不过对于局域网中为了共享安全,防止误删除,设置只读属性还是比较有用的。
误区6:病毒不感染数据文件
有人觉得,病毒是一段程序,而数据文件如.txt、.pcx等格式文件一般不会包含程序,因此不会感染病毒。殊不知像word、excel等数据文件由于包含了可执行码却会被病毒感染,而且,有些病毒可以让硬盘里面的文件全部格式化掉,因此,我们不能忽视数据文件的备份。
上面只介绍了常见的防毒杀毒误区,还有一些其它的误区,在我们使用电脑的时候都可能慢慢碰到的。在我们使用电脑的时候,最重要还是防毒,而能做好防毒,那就需要不断更新您的杀毒软件,同时注意打上系统地升级补丁。
高阶:老鸟看——注册表十大启动项
Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉,实际上,在WindowsXP/2K中,让Windows自动启动程序的办法很多,下文告诉你最重要的两个文件夹和八个注册键。
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:[url=]\\\\DocumentsandSettings\\\\\\\\[/url]「开始」菜单[url=]\\\\[/url]程序[url=]\\\\[/url]启动,其中“”是当前登录的用户帐户名称。
二、对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:[url=]\\\\DocumentsandSettings\\\\AllUsers\\\\[/url]「开始」菜单[url=]\\\\[/url]程序[url=]\\\\[/url]启动。
三、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\WindowsNT\\\\CurrentVersion\\\\Windows\\\\load。
四、Userinit注册键
位置:HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\WindowsNT\\\\CurrentVersion\\\\Winlogon\\\\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,如图一,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。
五、Explorer\\\\Run注册键
和load、Userinit不同,Explorer\\\\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer\\\\Run,和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer\\\\Run。
六、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServicesOnce,和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServicesOnce。 七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices,和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices。
八、RunOnce\\\\Setup注册键
RunOnce\\\\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce\\\\Setup,和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce\\\\Setup。
九、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce和HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnceEx。
十、Run注册键
Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run,和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前
初从文,三年不中;遂习武,校场发一矢,中鼓吏,逐之出;后学医,有所成。自撰一良方,服之,卒
帖子好友金豆
要是能发个影音版的就好了,字太多了,又专业太枯燥了
帖子好友金豆
[jx04] [jx04] 头看昏了,接着看,慢慢研究
对酒当歌,人生几何? 譬如朝露,去日苦多。慨当以慷,忧思难忘。何以解忧?唯有杜康....
山不厌高,水不厌深。周公吐哺,天下归心
帖子好友金豆
能看完的没几个,有1W字没,谁没事干数下[jx11]
Powered by
Copyright & 2014 .All rights reserved.
