1检查: 在system。ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer。exe”,如果不是“explorer。exe”,而是“shell= explorer。exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
还有注册表中,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1。
0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer。
exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
2。如何杀“木马病毒”: 最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win。ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system。
ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer。exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。 。
预防木马 比如密码是123456。你先输入456后按键盘上的“home”键在接着输入123即可 这样木马显示的是456123了 这种方法要灵活运用啊
不可以~的 一定要删除木马名~
1,是可以定期或不定期检查你的电脑,各文件是否有异常资料运行,是否有未知的隐藏文件等. 2,是要装上有效的杀毒软件,和防火墙啊!再就是下载该病毒的终结软件! 3,下载软件还是在 天空软件站 或是 华军软件站
1。购买正版的防火墙软件,例如天网之类,并不定时的更新。天下能够白拿的东西永远不是最好的东西!2。3。购买正版的杀毒软件,例如金山毒霸,瑞星等(呵呵,我们是中国人,支持国产!)。总之现在钱解决不了的问题并不多,有钱人真好!
我认为你可以简单一点,他们讲的有点复杂了,你可以先杀毒软件查杀一下,在装个绿鹰精灵杀木马就可以了,没什么复杂的。
平常多装点杀毒软件如KV3000瑞星什么的都可以呀
自己设置防火墙啊!
以上的人的回答中有问题,你可以自己看看,具体是谁我就不说了. 不过我可以告诉你,国外有个工具杀木马很好的,在WWW.HACKERXFILES.NET中可以找到.
分数很高,无能为力。
首先表态:最恨木马 1。装几个管用的防火墙,和查毒软件,这个可以找到(有免费的和受费的) 2。用杀木马软件,还有偶更阴的,慢慢找,可以找到他的油箱地址和密码,进去一下会有收获哦,他偷东西,你来用,很爽吧 3。很多软件点都收费的,那些比较好,你也可以在网上下载点免费的,但效果不是太好 我也不给你网址了,你自己找,很容易,搜一下,就OK了(怕你中木马,说是我啊) 最后希望盗号的和装木马的捉到一下,国家就枪毙一个!!!!!!!!!!!!!
首先表态:最恨木马 1。装几个管用的防火墙,和查毒软件,这个可以找到(有免费的和受费的) 2。用杀木马软件,还有偶更阴的,慢慢找,可以找到他的油箱地址和密码,进去一下会有收获哦,他偷东西,你来用,很爽吧 3。很多软件点都收费的,那些比较好,你也可以在网上下载点免费的,但效果不是太好 我也不给你网址了,你自己找,很容易,搜一下,就OK了(怕你中木马,说是我啊) 最后希望盗号的和装木马的捉到一下,国家就枪毙一个!!!!!!!!!!!!!
金山毒霸6 带个木马专杀工具 不错 你可以试试
同上
找反的就可以啦
特洛伊木马程序:乃以netspy。exe为例;现在知道netspy。exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy。exe。只要敲敲7306这扇‘门’就可以了呀! 1你先打开c:\windows\winIPCFG。EXE程序 2找到自己的IP地址比如我的IP地址是HTTP:// :7306/如果浏览器告诉你连接不上,说明你的 电脑的7306端口没有开放。
如果连接上了,并在浏览器中跳出netspy。exe的版本那么你就不辛,你的电脑中存在netspy。exe的木马程序。 已知,下例端口是木马程序开放的:7306。7307。7308。12345。12346。31337。6680。8111。
9910电脑从0到65535为止,其中139端口是正常的。 netbus的木马程序: netbus木马,netbus木马的客户端有两种,开放的都是12345端口。一种一mring。exe为代表(472。576字节)一种一sysedit。
exe为代表(494。592字节): Mring。exe一旦运行以后,mring。exe就告诉windows运行windows每次启动就放在注册表中, 你可以打开c:\windows\REGEDIT。EXE进入HKEY_LOCAL_MACHINE\softuare\microsoft\windows\currenetversion\run找到mring。
exe找到删除这个键值,在到windows中找到删除 sysedit。exe:将sysedit。exe和C:\windows\system\abcwin。exe捆绑起来,abcwin。exe是智能abc输入法,当电脑上网打开输入法聊天。sysedit。
exe也就运行了。你就不知道我的12345端口,如果我什么时候想打字了,一旦启动智能abc输入(Abcwin。exe)那么捆绑的sysedit。exe也就同时运行sysedit。exe可以捆绑到各种输入法输出设备/那你不知道电脑中的几百的程序中。
所以说这是最阴险的木马! sysedit。exe能发现12345端口,并且可以用netspy客户端进入自己的电脑,切不知道木马在什么地方,这时候监视内存。请打开: c:\windows\PRWATSON。EXE 然后对内存拍照,查看“高视图中的”‘任务’标签程序栏中列出就是运行的程序,要是发现程序可疑的程序。
再看;‘路径’栏找到这个程序来分析它就知道是什么木马程序了。sysedit。exe说可以隐藏在其他的程序后面,但是在c:\windows\DRUATSON。EXE中还是暴露了。 请你一照我的方法去试试。 。
装一个木马克星试试吧,免费的,上网一查就找的到
鬼画符后
1检查: 在system。ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer。exe”,如果不是“explorer。exe”,而是“shell= explorer。exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
还有注册表中,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1。
0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer。
exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
2。如何杀“木马病毒”: 最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win。ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system。
ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer。exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。 。
首先你要具备一些电脑的常识,比如查看自己的电脑有哪些自启动程序;然后你要对自己的电脑比较熟悉,为什么?晕。。。。。每个人的电脑都不一样,只有你自己知道自己装了哪些硬件软件。最后要说句,不要怕,做好ghost,系统还原等备份工作。就算系统被你搞崩溃了,你也学到东西了。
首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的。发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。 然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器),xp/2000有自带的工具,ctrl+shift+esc呼出,98/me用windows优化大师的进程查看器。
找到进程后,先结束他的进程(不然程序在使用中怎么删得到?),然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马)。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。
如果还是有中木马的迹象,重复上面的步骤。 如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。 看完后,你是不是觉得很简单,就那么几步? :) ############### windows9x/me 下的一些自启动方法######### 1。
Autostart 文件 C:\windows\start menu\programs\startup {chinese/english} 在注册表中的位置: HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup" 所以它将很容易被程序更改 2。
Win。ini [windows] load=file。exe run=file。exe 3。 System。ini [boot] Shell=Explorer。exe file。exe 4。
c:\windows\winstart。bat 看似平常,但每次都重新启动 5。
Registry键 [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices] 。
最好的办法就是从装系统,别开那些陌生的网站
可以考虑使用:木马克星 5.46 build0921版本 增强了程序兼容性能。 针对服务器代码进行的更新以及dll木马以及outlook的oem入侵木马进行更新。很重要的一次更新 更新了扫描硬盘功能,这个版本扫描硬盘中:更加稳定,发现木马更多,速度更快。
不要随便下载和打开来历不明的东东和网站!~
chuangqian1223判定木马的方法是不是太简单了,如今的木马已经智能得狠了,仅靠这几招还是不行的。 对于最终用户来说,防范与清除木马的最好方法就是不乱执行不明邮件的附件和QQ好友传送的文件,安装最新的杀毒软件并定期升级,若怀疑已经中了木马,可以下载清除工具(如“木马克星”) 杀毒软件推荐“瑞星”,能买正版最好,没银子可以到这里看看: 木马克星(iparmor) v5.46 特别版:
1怎麼預防木馬. 答:来历不明的邮件不要打开,尤其是有附件的,来历不明的磁盘不要用,尤其是不是你的。上网是QQ友发来的链接不要点,免费电影网站不要上,木马陷阱多着呢。 2中了木馬怎麼清除木馬程序. 答:用木马软件可除。只要用心找,网上是可以找到它的天敌的。 3哪裡可以找到清除木馬程序的程序. 我用的是:AdAware6.181(免费的,你google下就可以下了) The Cleaner 后者可查杀近4000种木马病毒,google下吧,我都是网上找的。
现在上网的朋友越来越多了,其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是,如果不小心中了病毒而身边又没有杀毒软件怎么办?没有关系,今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马。 查注册表 注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1、 检查注册表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。
比如“爱虫”病毒会修改上面所提的第一项,BO2000木马会修改上面所提的第二项)。 2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。
恶意代码(如“万花谷”)就经常修改这几项。 3、检查HKEY_CLASSES_ROOTinifileshellopencommand和HKEY_CLASSES_ROOT xtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。
这个一定要改回来,很多病毒就是通过修改。txt、。ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括。jpg、。rar、。mp3等)的默认打开程序。 检查你的系统配置文件 其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig。
exe),在里面你可以配置 s、 t、 i和 i,并且可以选择启动系统的时间。 1、检查 i文件(在C:windows下),打开后,在“WINDOWS”下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
比如攻击QQ的“GOP木马”就会在这里留下痕迹。 2、检查 i文件(在C:windows下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer。exe”,如果不是“explorer。exe”,而是“shell= explorer。
exe 程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。 防病毒基础知识 计算机病毒的预防 通过采取技术上和管理上的措施, 计算机病毒是完全可以防 范的。虽然难免仍有新出现的病毒,采用更隐秘的手段,利用现有 DOS系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺 陷,能够一时得以在某一台PC机上存活并进行某种破坏,但是只要 在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这 新病毒就无法逾越计算机安全保护屏障, 从而不能广泛传播。
这 类病毒一旦被捕捉到,反病毒防御系统就可以立即改进性能,提供 对计算机的进一步保护功能。这与人类对于生物病毒的防疫方法 是多么相像!新出现的生物病毒会使某些人致病,但医务工作者和 研究人员在实验室里对病毒进行分析, 搞清致病机理及其防治措 施,通过广为宣传可使更多的人免受其害,而研究人员在仅靠防护 措施的情况下进行研究却不会被病毒传染, 关键就是靠管理上的 防护措施。
预防计算机病毒也必须依靠管理上的措施。 先来谈谈安全使用PC机的方法。 最重要的是思想上要重视计算机病毒可能会给计算机安全运 行带来的危害:轻则影响工作,重则将磁盘中存储的无法以价格来 衡量的数据和程序全破坏掉,使用于实时控制的计算机瘫痪,造成 无法估计的损失。
同样是对于计算机病毒, 有病毒防护意识的人和没有病毒防 护意识的人会采取完全不同的态度。 例如对于反病毒研究人员, 机器内存储的上千种病毒不会随意进行破坏, 所采取的防护措施 也并不复杂。而对于病毒毫无警惕意识的人员, 可能连计算机显 示屏上出现的病毒信息都不去仔细观察一下, 任其在磁盘中进行 破坏。
其实,只要稍有警惕,病毒在传染时和传染后留下的蛛丝马 迹总是能被发现的。 再运用病毒检测程序和前面介绍的DEBUG进 行人工检测是完全可以提前发现病毒, 或在病毒进行传染的过程 中就能发现它。 可供采用的管理措施执行起来并不困难,困难的是坚持下去, 始终一贯地执行和根据实际情况不断地进行调整的监督过程。
下 面总结出一系列行之有效的措施供参考。 (1)对新购置的计算机系统用检测病毒软件检查已知病毒,用 人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破 坏迹象再实际使用。新购置的计算机中是可能携带有病毒的。 (2)新购置的硬盘或出厂时已格式化好的软盘中可能有病毒。
对硬盘可以进行检测或进行低级格式化, 因对硬盘只做DOS的 FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。软盘做 DOS的FORMAT格式化可以去除病毒。 (3) 新购置的计算机软件也要进行病毒检测。有些著名软件 厂商在发售软件时, 软件已被病毒感染或存储软件的软盘已受感 染,这在国内、外都是有实例的。
检测方法要用软件查已知病毒, 也要用人工检测和实际实验的方法检测。 (4) 在保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量 不要用软盘去启动。在不联网的情况下, 软盘是传染病毒的最主 要渠道。启动前,应将软盘驱动器的门打开,并抽出软盘。
这是因 为有些软驱缺乏保养, 门虽然打开了,但磁头仍然锁定着,启动时 还会从软盘引导, 将病毒带入系统中。即使在启动不成功的情况 下,只要软盘在启动时被读过,病毒仍然会进入内存进行传染。很 多人认为, 软盘上没有COMMAND。COM等系统启动文件,就不会带病 毒,其实引导区型病毒根本不需要这些系统文件就能进行传染。
(5)很多以80386为CPU芯片的PC机中,可以通过设置CMOS参数, 使启动时直接从硬盘引导启动,而根本不去读A∶盘。这样即使软 盘驱动器中插着软盘, 启动时也会跳过读A∶软驱,尝试着进行引 导。 (6) 定期与不定期地进行磁盘文件备份工作。
不要等到由于 病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。 重要的数据应当时进行备份。当然备份前要保证没有病毒, 不然 也会将病毒备份。很难想象, 用户数据没有备份的机器在发生灾 难后会造成什么影响。系统程序和应用程序用经费是可以买到的, 而用户数据是无法用钱买到的。
(7) 对于软盘,要尽可能将数据和程序分别存放,装程序的软 盘要贴有写保护签。现在还没有手段可以不在PC机硬件上进行修 改,而只用软件就可以绕过写保护签的方法,更不用说病毒了。抗 病毒软件SCAN的开发人John McAfee曾就此回答过记者的提问。
(8)在别人的机器上使用过自己的已打开了写保护签的软盘, 再在自己的机器上使用, 就应进行病毒检测。在自己的机器上用 别人的软盘时也应进行检查。对重点保护的机器应做到专机、专 人、专盘、专用, 封闭的使用环境中是不会自然产生计算机病毒 的。
(9)任何情况下,总应保留一张不开写保护口的、无病毒的、 带有各种DOS命令文件的系统启动软盘,用于清除病毒和维护系统。 有了CHKDSK。COM、FDISK。COM、DEBUG和COMP等等DOS程序,很多工 作都可以进行了。 (10) 用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方 法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修 复工作时可作为参考。
(11)对于多人共用一台计算机的环境,例如实验室这种情况, 应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、 清除,不致扩散。 以上这些措施不仅可以应用在单机上, 也可以应用在作为网 络工作站的PC机上。而对于网络管理员supervisor, 还应采取下 列针对网络的措施,使网络不受病毒攻击或成为病毒传播渠道。
(12) 启动Novell网或其它网络的服务器时,一定要坚持用硬 盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失 的将不是一个人的机器,而会影响到联接整个网络的中枢。 (13) 在网络服务器安装生成时,应将整个文件系统划分成多 文件卷系统, 而不是只划分成不区分系统、应用程序和用户独占 的单卷文件系统。
建议至少划分成SYS系统卷、共享的应用程序 卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于 维护网络服务器的安全稳定运行和用户数据的安全。例如,第一, 如果系统卷受到某种损伤, 导致服务器瘫痪,那么,通过重装系统 卷,恢复网络操作系统,就可以使服务器又马上投入运行。
而装在 共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损 伤。第二, 用户卷内由于病毒或由于使用上的原因导致存储空间 拥塞时,系统卷是不受影响的,不会导致网络系统运行失常。第三, 这种划分十分有利?谙低彻芾碓鄙柚猛绨踩嫒∪ㄏ? 保证网 络系统不受病毒感染和破坏。
(14) 安装服务器时应保证没有病毒存在,即安装环境不能带 病毒,网络操作系统本身不感染病毒。 (15) 网络系统管理员应将SYS系统卷设置成对其它用户为只 读状态,屏蔽其它网络用户对系统卷除读以外的所有其它操作,如 修改、改名、删除、创建文件和写文件等操作权限。
保证除系统 管理员外, 其它网络用户不可能将病毒感染到系统卷中。使网络 用户总有一个安全的联网工作环境。 (16)在应用程序卷安装共享软件时,应由系统管理员进行,或 由系统管理员临时授权进行。软件本身应不含病毒, 安装环境不 得带病毒, 以保护网络用户使用共享资源时总是安全无毒的。
应 用卷也应设置成对一般用户是只读的,不经授权、不经检测病毒, 就不允许在共享的应用程序卷中安装程序。 (17)系统管理员对网络内的共享电子邮件系统、共享存储区 域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。 如果可能, 在应用程序卷中维持最新版本的反病毒软件供用户使 用。
(18)系统管理员的口令应严格管理,不使泄漏,定期不定期地 予以更换,保护网络系统不被非法存取,感染上病毒或遭受破坏。 (19) 在网络工作站上采取必要的抗病毒技术措施,可使网络 用户一开机就有一个良好的上机环境, 不必再耽心来自网络内和 网络工作站本身的病毒。
可供采取的方法有基于硬件支持的ROM BIOS存取控制和防病毒卡,以及基于软件的病毒防御程序,如前面 介绍的VSAFE、VSHI ELD或自行开发的软件系统。 (20)在服务器上安装LAN PROTECT等防病毒系统。实践表明, 这些简单易行的措施是非常有效的。
通过采取上述的一部分措施, 作者所在单位的多个局域网、近百台网络工作站已安全运行了两 年多,从未发生过在网络上串扰病毒的情况。 另外,作为应急措施,网络系统管理员应牢记下列几条。 (21) 在互联网络中,由于不可能有百分之百的把握来阻止某 些未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象 时,应立即隔离被感染系统和网络,并进行处理。
不应带病毒继续 工作下去, 要按照特别情况查清整个网络,使病毒无法反复出现, 干扰工作。 (22) 由于计算机病毒在网络中传播得非常迅速,很多用户不 知应如何处理。因此,应立即得到专家的帮助。 由于技术上的防病毒方法尚无法达到完美的境地, 难免有新 病毒会突破防护系统的保护,传染到计算机中。
因此,及时发现异 常情况, 不使病毒传染到整个磁盘,传染到相邻的计算机,应对可 能由病毒引起的现象予以注意。 (23) 注意观察下列现象: ·文件的大小和日期是否变化; ·系统启动速度是否比平时慢; ·没做写操作时出现"磁盘有写保护"信息; ·对贴有写保护的软盘操作时音响很大; ·系统运行速度异常慢; ·用MI检查内存会发现不该驻留的程序已驻留; ·键盘、打印、显示有异常现象; ·有特殊文件自动生成; ·磁盘空间自动产生坏簇或磁盘空间减少; ·文件莫名其妙有丢失; ·系统异常死机的次数增加。
这里不再一一列举。要说明的是, 异常情况并不一定说明系 统内肯定有病毒,而需要进一步做检查。 说到预防计算机病毒, 正如不可能研究出一种像能包治人类 百病的灵丹妙药一样, 研制出万能的防计算机病毒程序也是不可 能的。但针对病毒的特点, 利用现有的技术,开发出新的技术,防 御病毒软件在与计算机病毒的对抗中会不断得到完善, 更好地发 挥保护计算机的作用。
一、防病毒策略 通过分析病毒的工作原理, 我们知道了病毒利用直接读写能 进行感染, 利用驻留内存、利用截取中断向量等方法能进行传染 和破坏。通过分析PC机的系统结构和DOS的组成及工作方式,我们 知道了病毒正是利用系统安全存取方面的漏洞进行传染。
预防计 算机病毒的软件就是要监视、跟踪系统内类似病毒的操作, 提供 对系统的保护。 老一代的防病毒砑荒芏约扑慊低程峁┯邢薜谋;? 只能识 别出已知的病毒。新一代的防病毒软件则不仅能识别出已知的病 毒,提前在病毒获得运行权之前发出警报,还能屏蔽掉病毒程序的 传染功能和破坏功能而不使受感染的程序得不到运行 (即所谓带 毒运行技术) ,同时还能利用病毒行为特征,防范未知病毒的侵扰 和破坏(即前面第三章提到的ACTIVITY TRAP技术, 也有人称之为 人工智能的防病毒技术)。
另外,新研制的防病毒软件还应实现超 前防御,即将系统中可能被病毒利用的资源都加以保护,不给病毒 以可乘之机。 防御是对付计算机病毒的积极而又有效的措施, 比等待病毒出现 之后再去扫描和清除更能有效地保护计算机系统。病毒的工作方 式是可以按类划分的。
防病毒软件就是针对这几类已归纳总结出 的病毒工作方式进行防范的。当被分析过的已知病毒出现时, 由 于其工作方式早已被记录在案, 防病毒软件能识别出它是很自然 的事情。当以前未曾被分析过的新病毒, (又称为未知病毒)出现 时,如果其工作方式仍可被归入已知的病毒工作方式,则这种病毒 应能被防病毒软件所捕获。
这也就是采取积极防御措施的防病毒 方法优越于"必须等待捕获到并分析以后才能进行扫描和清除这 种病毒"的地方。当然, 如果新出现的病毒不按以往已知的方式 工作,这种新的传染方式又不能被防病毒软件所识别,则防病毒软 件只得放其过关了。这时人们只能采取两种措施进行保护: 第一 是依靠管理上的措施, 及早发现疫情,捕捉病毒,修复系统。
第二 是设计功能更加完善的、 具有更多超前防御功能的防病毒软件, 尽可能多地堵住能被病毒利用的PC机和DOS的漏洞。 作为防病毒的主要技术措施之一,防病毒软件都是驻留内存的,有 的以设备驱动程序的形式,有的以TSR程序的形式来提供对病毒的 实时监测, 对类似病毒行为的监控和提供对重要的系统区域的保 护。
三、防病毒程序应具备的功能 下面列出计算机病毒防御程序应具备的功能: (1)对请求运行的程序检查是否染有已知病毒,拒绝其运行请 求或屏蔽其传染和破坏功能后,实现安全带毒运行。 (2)程序驻留请求的监视,发出警告或予以登记,待后续处理。
这里的驻留请求是指DOS的INT 27H和INT 21H的31号子功能。 (3)对直接修改MCB方式驻留的程序进行监视,或予以登记,待 后续处理。 (4)监视读写可执行文件的请求,因为文件型病毒主要是依靠 传染可执行文件。除了在软件开发环境下和个别软件要自我修改 配置的情况,在大多数计算机应用环境下,不应该有对可执行文件 的读写请求。
这是个不容易准确判断的问题。采用不好的判别准 则会发生大量假警报,将正常操作当作病毒行为向用户报告,造成 "狼来了"的假象,容易引起用户的反感,要么对这类警报不再留 意而一律放行,将病毒也放了过去;要么干脆放弃使用这类软件。 采用较好的判别准则时,只会出现很少的假警报,而且为完成这种 防病毒所做的操作只占用极少的CPU处理时间, 既高效又准确,使 用户感觉不到由于使用了这种防病毒软件而使整机运行速度受到 影响。
(5)利用预先生成的文件校验码对被存取的文件进行检查,发 现异常时进一步作病毒检查并发出警报。校验码的生成需要好的 算法,否则发现不了由于感染了病毒而使文件发生的变化。 (6)监视PC机系统内一些特别中断向量的变化,予以登记或发 出警报。
这些中断有2、8、9、13、16、1C、21、26、2F等(以上 中断向量均以十六进制表示) 。这些中断有属于ROM BIO S的,有 属于DOS的。 病毒利用这些中断进行抗跟踪、定时、传染、键盘 控制以及信息显示等。早期的防病毒软件特别重视中断向量表的 监视和管理, 甚至专门保留一份用于进行比较和恢复。
这在一定 程度上发挥了作用。但现在已出现很多新病毒不通过修改中断向 量表, 仍能完成传染功能。因此新一代防病毒软件应重视中断向 量表的变化, 但不应将其作为判断病毒的唯一条件和防护PC机的 唯一手段。 (7) 病毒防御程序应检查DOS引导扇区是否已感染病毒,或者 利用预先生成的核验码进行检查。
对这个扇区的写操作也应进行 检查。 (8) 硬盘内的主引导扇区是一般DOS程序不必去存取的扇区, 除非要进行分区划分, 平时这个扇区内容不应被改变。防病毒程 序应对这个扇区提供保护。很多防病毒程序也都是这样做的, 在 发生对主引导扇区的写操作或格式化操作时应发出警报。
(9)对重要的系统文件提供保护,例如引导时必需的COMMAND。 COM等,对这类文件的非病毒变更一般只会发生在更新操作系统版 本的时候,不会是经常发生的情况。 (10) 对磁盘提供全面的写禁止功能,通过划分合适的分区大 小, 对某些分区提供保护。
例如对C∶盘设置写禁止功能后,可以 保证病毒不会感染到C∶盘,从而使硬盘引导启动后的环境总是个 无病毒的干净环境。 根据不断总结出来的防病毒经验, 在具体实现一个防病毒系 统时,可以按照实际情况对上述功能进行取舍,并增加新的功能 。
叫专业人士
答:預防腰痛的体操:体操一① 基本姿势:自然站立,双目平视,双脚略分幵,与肩 同宽,双手自然下垂,全身放松。② 前術后仰:双手上举,先抬头挺胸、尽量背伸后仰, 同时...详情>>
