Windows下病毒木馬基本防御和解決方案.doc

1、Windows下病毒木馬根本防御和解決方案 電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導致病毒入侵。做好防御也是一大關(guān)鍵，下面一起看看Windows下病毒木馬根本防御和解決方案! 1.備份，裝好機器之后，首先備份c盤(系統(tǒng)盤)windows里面，和C:WINDOWSsystem32下的文件目錄。 運行,cmd命令如下; dir/a C:WINDOWSsystem32 >c:1.txt dir/a c:windows >c:2.txt 這樣就備份了windows和system32下面的文件列表，如果有一天覺得電腦有問題，同樣命令列出文件，然后cmd下面，fc命令比擬

2、一下，格式為，假設(shè)你出問題那一天system32列表為3.txt，那么fc 1.txt 3.txt >c:/4.txt 因為木馬病毒大多要調(diào)用動態(tài)連接庫，可以對system32進行更詳細的列表備份，如下 cd C:WINDOWSsystem32 dir/a >c:1.txt dir/a *.dll >c:>2.txt dir/a *.exe >c:>3.txt 然后把這些備份保存在一個地方，除了問題比照一以下表便于觀察多出了哪些DLL或者EXE文件，雖然有一些是安裝軟件的時候產(chǎn)生的，并不是病毒木馬，但是還是可以提共很好的參考的。 2.備份進程中的DLL, C

3、MD下面命令 tasklist/m >c:/dll.txt 這樣正在運行的進程的DLL列表就會出現(xiàn)在c根目錄下面。以后可以對照一下，比擬方法如上不多說，對于DLL木馬，一個一個檢查DLL太麻煩了。直接比擬方便一些。 3.備份注冊表， 運行REGEDIT，文件導出全部，然后隨便找一個地方保存。 4.備份C盤 開始菜單，所有程序，附件，系統(tǒng)工具，備份，然后按這說明下一步，選擇我自己選擇備份的內(nèi)容，然后把系統(tǒng)備份在一個你選定的位置。 出了問題，同樣翻開，選擇復原，然后找到你的備份，復原過去就是了。 1.關(guān)閉共享。關(guān)閉139.445端口，終止xp默認共享。 2.關(guān)閉效勞server,tel, T

4、ask Scheduler, Remote Registry這四個。(注意關(guān)閉以后定時殺毒定時升級之類的方案任務(wù)就不能執(zhí)行了。) 3.控制面板，管理工具，本地平安策略，平安策略，本地策略，平安選項給管理員和guest用戶從新命名，最好是起一個中文名字的，如果修改了管理員的默認空命令更好。不過一般改一個名字對于一般游戲心態(tài)的黑客就足夠了對付了。高手一般不對個人電腦感興趣。 4.網(wǎng)絡(luò)連接屬性里面除了tcp/ip協(xié)議全部其他的全部停用，或者干脆卸載。 5.關(guān)閉遠程連接，桌面，我的電腦，屬性，遠程，里面取消就是了。也可以關(guān)閉Terminal Services效勞，不過關(guān)閉了以后，任務(wù)管理器中就看不到用

5、戶名字了。 1. 首先應(yīng)該對進程效勞注冊表有一個簡單的了解，大約需要3個小時看看網(wǎng)上的相關(guān)知識應(yīng)該就會懂得了。 2.檢查啟動工程，不建議使用運行msconfig命令，而要好好觀察注冊表的run工程，和文件關(guān)聯(lián)，還有userinit,還有shell后面的explorer.exe是不是被改動。相關(guān)的不在多說，網(wǎng)上資料很多，有詳盡的啟動工程相關(guān)的文章。我只是說出思路。以以下出簡單的35個常見的啟動關(guān)聯(lián)工程 1. HKEYLOCALMACHINESoftwareMicrosoft WindowsCurr entVersionRun 2. HKEYLOCALMACHINESoftwareMicrosof

6、tWindowsCurrentVersionRunOnce 3. HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. 4. HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 5. HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun 6. HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunOnce 7.

7、HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup 8. HKEYUSERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRun 9. HKEYUSERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRunOnce 10. HKEYLOCALMACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon 11. HKEYLOCALMACHINESoftwareMicrosof

8、tActive SetupInstalled Components 12. HKEYLOCALMACHINESystemCurrentControlSetServic esVxD 13. HKEYCURRENTUSERControl PanelDesktop 14. HKEYLOCALMACHINESystemCurrentControlSetContro lSession Manager 15. HKEYCLASSESROOTvbsfileshellopenmand 16. HKEYCLASSESROOTvbefileshellopenmand 17. HKEYCLASSESROOTjsfi

9、leshellopenmand 18. HKEYCLASSESROOTjsefileshellopenmand 19. HKEYCLASSESROOTwshfileshellopenmand 20. HKEYCLASSESROOTwsffileshellopenmand 21. HKEYCLASSESROOTexefileshellopenmand 22. HKEYCLASSESROOTfileshellopenmand 23. HKEYCLASSESROOTbatfileshellopenmand 24. HKEYCLASSESROOTscrfileshellopenmand 25. HKE

10、YCLASSESROOTpiffileshellopenmand 26. HKEYLOCALMACHINESystemCurrentControlSetServices 27. HKEYLOCALMACHINESystemCurrentControlSetServicesWinsock2ParametersProtocolCatalogCatalogEn tries 28. HKEYLOCALMACHINESystemControlWOWcmdline 29. HKEYLOCALMACHINESystemControlWOWwowcmdline 30. HKEYLOCALMACHINESoft

11、wareMicrosoftWindows NTCurrentVersionWinlogonUserinit 31. HKEYLOCALMACHINESoftwareMicrosoftWindowsCurr entVersionShellServiceObjectDelayLoad 32. HKEYCURRENTUSERSoftwareMicrosoftWindows NTCurrentVersionWindowsrun 33. HKEYCURRENTUSERSoftwareMicrosoftWindows NTCurrentVersionWindowsload 34. HKEYCURRENTU

12、SERSoftwareMicrosoftWindowsCurre ntVersionPoliciesExplorerrun 35. HKEYLOCALMACHINESoftwareMicrosoftWindowsCurr entVersionPoliciesExplorerrun 3.檢查效勞，最簡單的吧，效勞列表太長，我估計你也不一定能全部記住。說一個簡單的，運行msconfig，效勞，把“隱藏所有的microsoft效勞”選中，然后就看到了不是系統(tǒng)自帶的效勞，要看清楚啊，最后在效勞里面找找看看屬性，看看關(guān)聯(lián)的文件。現(xiàn)在一般殺毒都要添加效勞，我其實討厭殺毒添加效勞，不過好似是為了反病毒。 4

13、.進程，這個網(wǎng)上資料更多，只說明兩點，1.翻開任務(wù)管理器，在“查看”，“選項列”中把“pid”選中，這樣可以看到pid。2.點一個進程的時候右鍵有一個選項，“翻開所在目錄”，這個很明顯的，但是很多哥們都忽略了，這個可以看到進程文件所在的文件夾，便于診斷。 5 d下會使用，stat ano命令，覺得這一個命令對于簡單的使用就可以了，可以查看協(xié)議端口連接和遠程ip. 6.刪除注冊表F935DC22-1CF0-11D0-ADB9-00C04FD58A0B 0D43FE01-F093-11CF-8940-00A0C9054228 兩個工程，搜索到以后你會看到是兩個和腳本相關(guān)的，備份以后刪除，主要是防止

14、一下網(wǎng)上的惡意代碼 四，舉一個簡單的去除例子。 1.對象是包含在一個流行BT綠色軟件里面的木馬，殺毒可以殺出，但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和去除，當然任何工具中包括殺毒。 2.中毒判斷：使用時候，突然硬盤燈無故猛烈閃爍。系統(tǒng)有短暫速度變慢。有程序不正常的反映，疑心有問題。 2.檢查，效勞發(fā)現(xiàn)多了一個不明效勞，文件指向C:Program FilesInter Explorer下面的server.exe文件，明顯的這不是系統(tǒng)自帶的文件，命令行下觀察端口，有一個平常沒有得端口連接。進程發(fā)現(xiàn)不明進程。啟動工程添加server.exe.確定是木馬。 4.去除：翻開

15、注冊表，關(guān)閉進程，刪除啟動工程，注冊表搜索相關(guān)效勞名字，刪除，刪除源文件。同時檢查temp文件夾，發(fā)現(xiàn)有一個新的文件夾，里面有一個“免殺.exe”文件，刪除，清理緩存。當然最好是平安模式下進行。 5.對照原來備份的system32下面的dll列表，發(fā)現(xiàn)可疑dll文件，刪除，也可以在查看選擇“選擇詳細信息”選擇上“創(chuàng)立日期”(這個系統(tǒng)默認是沒有添加的)，然后查看詳細信息，按創(chuàng)立日期顯示，可以發(fā)現(xiàn)新創(chuàng)立的文件。這個木馬比擬簡單，沒有修改文件日期。 在那里的，有時候忘記了清理，病毒如果關(guān)聯(lián)在這個文件上，刪除后還會出現(xiàn)的。) 一、英特爾處理器曝“Meltdown”和“Spectre漏洞” 20XX年1

16、月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年出售的所有設(shè)備都受到影響，受影響的設(shè)備包括 、電腦、效勞器以及云計算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。 二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊 20XX年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊

17、再次刷新紀錄，美國一家效勞提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，到達1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 效勞器進行攻擊。網(wǎng)絡(luò)平安公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止20XX年2月底，中國有2.5萬 Memcached 效勞器暴露在網(wǎng)上 。 三、蘋果 iOS iBoot源碼泄露 20XX年2月，開源代碼分享網(wǎng)站 GitHub(軟件工程托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 平安系統(tǒng)的重要組成局部iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計的 iOS 設(shè)備面臨平安威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。 四、韓國平昌冬季奧運會遭遇黑客攻擊 20XX年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，播送系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾