木马防治之“九阴真经”

开水 · 发表于 2008-12-26 19:18

首先：对坛友其其一表示道歉，因为我的失误，给你造成不便~
次之：为感谢各位坛友对论坛的关心、关爱、帮助，在新年即将到来之际，为大家能更安全的上网，特发此贴！（其实这个帖子也不是我写的，只是总结了别人的经验:p1 (69)) :p1 (69)) ）
本文大部分转自ZDnet、Enet学院、IT168、赛迪网、电脑迷、奇虎等网站，感谢这些网站……
言归正传！

预防网络病毒的八个忠告

现在人们还没有养成定期进行系统升级、维护的习惯，这也是最近受病毒侵害感染率高的原因之一。只要培养良好的预防病毒意识，并充分发挥杀毒软件的防护能力，完全可以将大部分病毒拒之门外。
　　纵观全球病毒的发展，不难发现蠕虫病毒着实让杀毒市场火了一把。蠕虫病毒信手拈来，如库尔尼科娃、Sircam、红色代码、蓝色代码、**等等，一个比一个厉害，一个比一个恶毒，令人防不胜防，只要你上网，不经意之间就有可能染上病毒而浑然不知。　　　　
　　现在人们还没有养成定期进行系统升级、维护的习惯，这也是最近受病毒侵害感染率高的原因之一。只要培养良好的预防病毒意识，并充分发挥杀毒软件的防护能力，完全可以将大部分病毒拒之门外。　　
　　
　　1、安装防毒软件：鉴于现今病毒无孔不入，安装一套防毒软件很有必要。首次安装时，一定要对计算机做一次彻底的病毒扫描，尽管麻烦一点，但可以确保系统尚未受过病毒感染。另外建议你每周至少更新一次病毒定义码或病毒引擎（引擎的更新速度比病毒定义码要慢得多），因为最新的防病毒软件才是最有效的。定期扫描计算机也是一个良好的习惯。　　　
　
　　2、注意软盘、光盘媒介：在使用软盘、光盘或活动硬盘其他媒介之前，一定要对之进行扫描，不怕一万，就怕万一。　　
　　
　　3、下载注意点：下载一定要从比较可*的站点进行，对于互联网上的文档与电子邮件，下载后也须不厌其烦做病毒扫描。　
　　　
　　4、用常识进行判断：来历不明的邮件决不要打开，遇到形迹可疑或不是预期中的朋友来信中的附件，决不要轻易运行，除非你已经知道附件的内容。　
　
　　5、禁用Windows Scripting Host。许多病毒，特别是蠕虫病毒正是钻了这项“空子”，使得用户无需点击附件，就可自动打开一个被感染的附件。　
　　　
　　6、使用基于客户端的防火墙或过滤措施，以增强计算机对黑客和恶意代码的攻击的免疫力。或者在一些安全网站中，可对自己的计算机做病毒扫描，察看它是否存在安全漏洞与病毒。如果你经常在线，这一点很有必要，因为如果你的系统没有加设有效防护，你的个人资料很有可能会被他人窃取。

　　7、警惕欺骗性或文告性的病毒。这类病毒利用了人性的弱点，以子虚乌有的说辞来打动你，记住，天下没有免费的午餐，一旦发现，尽快删除。更有病毒伪装成杀毒软件骗人。　　　
　
　　8、使用其它形式的文档，比如说办公处理换用.wps或.pdf文档以防止宏病毒。当然，这不是彻底避开病毒的万全之策，但不失为一个避免病毒缠绕的好方法。

开水 · 发表于 2008-12-26 19:19

五招分辨“磁碟机”病毒

针对“磁碟机(Worm.Win32.Diskgen)”病毒在网上肆虐的情况，计算机反病毒专家向用户介绍五招分辨“磁碟机”病毒的方法。

　　1、某些杀毒软件和安全软件无法运行，被强关闭。

　　2、计算机安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致。

　　3、无法正常显示隐藏文件，且工具——文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。

　　4、打开任务管理器，会发现两个lsass.exe和smss.exe进程。

　　5、使用Winrar可以发现如下病毒文件：%systemroot%/system32/com/lsass.exe，%systemroot%/system32/com/smss.exe，%systemroot%/system32/com/netcfg.dll，%systemroot%/system32/com/netcfg.000。

开水 · 发表于 2008-12-26 19:21

有效防范局域网病毒入侵的方法
      个人用户感染病毒后，使用单机版杀毒软件即可清除;然而企业的网络中，一台机器一旦感染病毒，它便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护对病毒的防护策略。
      一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。
   (1)增加安全意识
   杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。
   (2)小心邮件
   随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90%的病毒通过邮件进行传播。
   尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。
   (3)挑选网络版杀毒软件
   选择一个功力高深的网络版病毒"杀手"就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否集中管理是决定一个网络杀毒软件的三大要素。

开水 · 发表于 2008-12-26 19:24

从容对付计算机病毒的三大秘笈
　　本文教你从防范电脑病毒、杀毒软件的常见问题、病毒发作后的急救措施三个方面教你做电脑病毒的防范和应对措施，网络病毒再也别想骚扰到你，冲浪更安全。
　　一、未雨绸缪——做好预防措施
　　1.一个好，两个妙
　　无论是菜鸟还是飞鸟，杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多，功能也十分接近，大家可以根据需要去购买正版的(都不算贵)，也可以在网上下载免费的共享杀毒软件(网上有不少哦)，但千万不要使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给计算机“铁桶”般的保护。
　　2.下载文件仔细查
　　网络病毒之所以得以泛滥，很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻烦，尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心，因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。
　　3.拒绝不良诱惑
　　很多中了网页病毒的朋友，都是因为访问不良站点惹的祸，因此，不去浏览这类网页会让你省心不少。另外，当你在论坛、聊天室等地方看到有推荐浏览某个URL时，要千万小心，以免不幸“遇害”，或者尝试使用以下步骤加以防范：
　　1)打开杀毒软件和网络防火墙;
　　2)把Internet选项的安全级别设为“高”;
　　3)尽量使用以IE为内核的浏览器(如MyIE2)，然后在MyIE2中新建一个空白标签，并关闭Script、javaApple、ActiveX功能后再输入URL。
　　小提示：该方法不但能有效对付网页病毒，而且对“蠕虫病毒”也有一定作用。
　　4.免费午餐：在线查毒
　　虽然目前网络上的“免费午餐”越来越少，但仍有一些网站坚持向网民们提供免费的在线查毒服务，实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友，可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”：
　　小提示：1)各网站的在线查毒服务都有所不同，使用前要仔细阅读网站上的相关说明后再进行操作，争取把病毒赶尽杀绝;
　　2)由于查毒时需要调用浏览器的ActiveX控件，因此查毒前要先在IE的“Internet选项”\“安全”页面中检查该功能是否打开，并相应降低安全级别(一般“中等”即可)再查毒。
　　5.千呼万唤终不应
　　如果你发现有“你中奖啦!”、“打开附件会有意外惊喜哦!”这些话，可千万别信!看到类似广告的邮件标题，最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式)，不要随便打开，如果是你熟悉的朋友发来的，可以先与对方核实后再作处理。同时，也有必要采取一定措施来预防邮件病毒：
　　1)尽量不要用Outlook作为你的邮件客户端，改以Foxmail等代替，同时以文本方式书写和阅读邮件，这样就不用担心潜伏在HTML中的病毒了;
　　2)多使用远程邮箱功能，利用远程邮箱的预览功能(查看邮件Header和部分正文)，可以及时找出垃圾邮件和可疑邮件，从而把病毒邮件直接从服务器上赶走;
　　3)不要在Web邮箱中直接阅读可疑邮件，因为这种阅读方法与浏览网页的原理一样，需要执行一些脚本或Applet才能显示信息，有一定危险性。
　　6.修修补补，填充漏洞
　　当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多)，我们平时除了注意及时对系统软件和网络软件进行必要升级外，还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能，让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件)，以便及早发现漏洞。
　　7.给危险文件加把“锁”
　　不管网络病毒如何“神通广大”，它要对计算机进行破坏，总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等)，根据这个特点，我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范，让病毒无从下手。
　　8.有“备”无患，打造最后防线
　　正所谓“智者千虑，必有一失”，为保证计算机内重要数据的安全，定时备份少不了。如果我们能做好备份工作，即使遭受网络病毒的全面破坏，也能把损失减至最小。当然，前提条件是必须保证备份前数据没被感染病毒，否则只能是徒劳无功。另外，要尽量把备份文件刻录到光盘上或存放到隐藏分区中，以免“全军覆没”。

　　二、见招拆招——杀毒软件的常见问题

　　安装杀毒软件后与其他软件发生冲突怎么办?
　　1)由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的，因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙，然后尝试暂时关闭杀毒软件和防火墙的监测功能，再看看问题是否已经解决;
　　2)到杀毒软件的主页网站看看是否出了相关补丁或升级版本，有则打上补丁或升级到最新版本;
　　3)如果以上措施还不能解决问题，可以通过E-mail联系作者，寻求解决方法。
　　不能正常升级怎么办?
　　1)如果使用的是正版软件，可以先试着完全卸载旧版本，再安装新版本(为安全起见，建议卸载前先进行备份);
　　2)检查是否安装了多种杀毒软件，卸载其他杀毒软件后再安装;
　　3)检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏，有问题的请与经销商联系解决;
　　4)尝试以下操作方法：清空Temp文件夹→关闭打开的杀毒软件→换路径重新安装→把安装光盘中的安装目录拷贝到硬盘上，然后运行目录里的“Setup.exe”。
　　无法清除病毒怎么办?
　　1)先升级病毒库再杀毒;
　　2)用一张干净的系统引导盘启动机器后，在DOS状态下进行杀毒;
　　3)备份染毒文件并隔离，然后把病毒样本寄给作者，得到新病毒库后再杀毒。
　　
三、亡羊补牢——病毒发作后的急救措施
　　虽然已经做足了防范措施，但正所谓：“天有不测之风云”，万一中招了，我们还有什么急救措施呢?
　　1.软件方面
　　1)首先断开全部网络连接，以免病毒向其他在线电脑传播，然后马上用杀毒软件进行扫描杀毒工作(记得要先扫描内存、引导区);
　　2)赶快备份和转移重要文档到安全地方(软盘、光盘)，记录账号、密码等资料，等病毒清除完毕后再作处理;
　　3)平时曾用GHOST备份的，可以利用映像文件来恢复系统，这样不但能马上恢复工作，而且连同所有病毒也一并清除了，当然，这要求你的GHOST备份是没有感染病毒的。另外，恢复系统前同样要先做好备份重要资料的工作。
　　4)没有进行GHOST备份，并且机器中数据并不重要的，可以用干净的引导盘启动机器后格式化硬盘，然后再重新安装系统和程序。
　　2.硬件方面
　　1)BIOS或CMOS被破坏的，需要找寻相同类型的主板，然后用热插拔的方法进行恢复。此方法存在着极大的危险性，最好找专业技术人员代你进行恢复。
　　2)硬盘引导区或主引导扇区被破坏的，可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。

开水 · 发表于 2008-12-26 19:26

格式化都没用如何清除不可杀病毒
越来越多的网民认为，病毒是危害互联网安全的重要因素。有的时候当杀毒软件处理完病毒程序后，会造成双击硬盘盘符打不开、右击出现等AUTO字样等，殊不知此类情况的发生跟系统主录下的配置文件autorun.inf有关。由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件，并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件，用户可以用文本编辑软件进行编辑（注：该文件只能位于驱动器的根目录下时，才能实现启动加载），该文件包含了需要自动运行的命令，如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。
病情描述
当用户在选择：工具-文件夹选项-查看-显示所有文件和文件夹时，计算机无法显视出autorun.inf文件，任意点击C、D、E盘符时会另外打开窗口，而U盘、MP3等第三方存储盘更是如此，插入计算机后，画面文件一闪即过，想查看主目录下的autorun.inf文件，却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件，盘符右击，目录中出现AUTO或两个打开字样（粗字体，细字体）信息等情况，利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。
解决方法
面对以上的情况，有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多，这里提供一种方法让用户尝试。
一、让文件不再隐藏
打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值，单击右键新建—Dword值—;命名为CheckedValue，然后修改它的键值为1，此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体，在盘符下输入命令attrib，此时便可查看是否有一个名为SH autorun.inf的文件，完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏，用户只要打开相应的盘符即可看到此文件，将其删除即可。（小提示：attrib 命令是用来设置文件属性，attrib +s或-s [文件名] 设置文件属性是否为系统文件，attrib +h或-h [文件名] 设置文件属性是否隐藏）。
二、删除病毒
在分区盘上单击鼠标右键;打开，看到每个盘跟目录下有autorun.inf和tel.xls.exe 两个文件，将其删除，U盘同样。并在依次打开开始菜单中的：运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目，或者运行regedit调出注册表，在其内找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run删除类似C:\WINDOWS\system32\SVOHOST.exe 键值项即可。
三、清除病毒遗留
打开我的电脑C盘，在WINDOWS\与WINDOWS\System32\目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示：每个文件夹都有两个，因为病毒原因导致系统产生两个一样的文件，其中有一个类似文件，用户在删除时一定要注意不要误删除），重新启动电脑后系统将一切正常。
后记：隐藏病毒文件并不可怕，可怕是不知其原理而盲目下手，困此而导致系统文件损坏，系统崩溃无法启动，当用户重新对C盘格式化，利用ghost软件恢复系统后，如果其他盘符不进行格式化，那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下，才能彻底解决所带来的困惑！

开水 · 发表于 2008-12-26 19:27

病毒隐身遁形揪出元凶的一点心得
病毒的伪装一般都很隐蔽，比如常见的U盘病毒，实际上就是一个根目录隐藏的EXE文件配合注册表，以达到反复感染的目的。既然病毒选择了隐身，它们也同样会设立禁止用户看到自身的操作屏障（一些低级病毒则没有这些限制）。既然如此，我们如何巧妙快速的查清此类病毒的元凶呢？
我们知道，在清理一些病毒时，我们习惯使用文件夹选项中的显示隐藏文件功能来查看系统文件状态，遗憾的是，病毒想在了我们的前面，它们在运行时已经提前做好了保护工作，将系统的该功能禁用，不管如何设置，我们都无法看到系统中隐藏的文件，从而也无法彻底清除病毒。
整个问题的突破点就在于如何看到这些病毒文件，笔者总结了一些心得，希望对广大网友能有所帮助。
如果已经确定是类AUTO病毒，可以用attrib命令，首先显示autorun.inf文件，在CMD下输入attrib -s -h -a -r d:\autorun.inf，然后在D盘就可以看到这个文件了，再用记事本打开，找到其引导的exe文件，同样用上面的命令让该文件显形，在CMD下删除，接着进入注册表，搜索文件名关键字，全部删除就可以了。其它分区操作类似。

如果遇到的不是这类病毒，我们可以借助常规的工具，比如WinRAR、TC等，因为此类工具可以直接查看到隐藏文件，然后再用上述方法。当然，针对那些和系统本身联系非常紧密的病毒来说，WinRAR等并不能完全查看到，如果身边实在没有合适工具，告诉大家一个小技巧，通过任务管理器查看进程名称，一般来说，文件名和进程名是一致的。知道了名称，在CMD下操作就简单了。

开水 · 发表于 2008-12-26 19:28

不再怕病毒电脑中毒后的6招处理方法

现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护，但新病毒和木马，加上黑客人工的入侵方式，电脑中毒的情况还是很普遍。尤其是上网的用户，一不留意就会中招。如何防止中毒的技巧文章，大家已经看得很多了。那么万一中毒了，该如何处理呢?下面就谈谈中毒后的一些紧急处理措施：
一、正在上网的用户，发现异常应首先马上断开连接
如果你发现IE经常询问你是否运行某些ACTIVEX控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：
1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的;还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽资源死机??这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。
2、是黑客的潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾，进一步传播病毒;还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。
处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机，进一步的处理措施请参看后文。
二、中毒后，应马上备份转移文档和邮件等
中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份，所以第一点这里笔者建议您先不要退出windows，因为病毒一旦发作，可能就不能进入windows了。
不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。
三、需要在windows下先运行一下杀CIH的软件(即使是带毒环境)
如果是发现了CIH病毒的，要注意不能完全按平时报刊和手册建议的措施，先关机、冷启动用系统盘来引导再杀毒，应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒软件可能会报告某些文件在受读写保护无法清理，但带毒运行的实际目的不在于完全清除病毒，而是在于把CIH下次开机时候的破坏减到最低，以防它再次开机破坏主板的BIOS硬件，那么就会黑屏，让你的下一步杀毒无法进行。
四、需要干净的DOS启动盘和DOS下面的杀毒软四、需件
到现在，就应该按很多杀毒软件的标准手册去按步就班地做，即关机后冷启动，用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能windows已经被破坏了部分关键文件，会频繁地非法操作，所以windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件来以防万一。
即使能在windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下windows可能要重装，因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如即使杀了CIH，微软的OUTLOOK邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见，由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。
五、如果有GHOST和分区表、引导区的备份，用之来恢复一次最保险
如果你在平时作了windows的GHOST备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的GHOST备份是绝对可靠的，呵呵，要是作GHOST的时候把木马也“备份”了就.....
六、再次恢复系统后，更改你的网络相关密码
包括登录网络的用户名、密码，邮箱的密码和QQ的等等，防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以适当的更改是必要的。

开水 · 发表于 2008-12-26 19:29

从根本上废除木马功能

木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、盗窃密码、甚至用你的QQ发一些乱七八糟的东西给你的好友…… 　　木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。毫不夸张地说：木马就是从网线上走进你家里的小偷强盗。防杀木马，已成为现代电脑用户的必修课。
　　原理：
　　木马危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手，阻止木马建立用户。这样，即便你的电脑已经感染了木马病毒，但是由于不能建立用户，木马就不能发挥远程控制的功能。换句话说，就是废了它，让他变成垃圾。当然，垃圾也需要清理，但这已经不在本文的讨论范围之内了。
　　方法：
　　运行regedt32.exe打开你的注册表，里面有一个目录树：
　　HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Groups，好了，就是这个Groups就是负责建立用户的。（注意，在进行下一步操作之前，你先要对Groups进行备份，必要的时候，可以还原。）删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。
　　备份方法：右键点击 Groups 选择“导出”，给导出的文件起个名字，保存好，就可以了。
　　说明：
　　可能你进入注册表的时候，只能看到第一个SAM目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己（通常是 Administrators ）设置为“允许完全控制”就可以了。以此类推，一直找到Groups目录为止。
　　还原：
　　很简单，找到你导出的那的文件，直接点击就可以了。
　　由于删除 Groups 目录之后，你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能，因此，备份文件很重要。需要使用相应功能的时候，先还原一下，就跟以前一样了。当然，如果你是一个个人用户，一直都是你一个人使用这台计算机，那就无所谓了。

开水 · 发表于 2008-12-26 19:30

扼杀于无形解析木马后门的原理

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。

　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

　　当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

　　这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

　　当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。

　　然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

　　有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。
　　
　　重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

　　小知识：

　　“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

开水 · 发表于 2008-12-26 19:32

攻防全面分析常用九种攻击方法

　　为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可趁。下面我们就来研究一下那些黑客是如何找到你计算机中的安全漏洞的，只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客。
　　1、获取口令
　　这又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户，如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。
　　2、放置特洛伊木马程序
　　特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。
　　3、WWW的欺骗技术
　　在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。
　　4、电子邮件攻击
　　电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。
　　5、通过一个节点来攻击其他节点
　　黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。
　　6、网络监听
　　网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。
　　7、寻找系统漏洞
　　许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。
　　8、利用帐号进行攻击
　　有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
　　9、偷取特权
　　利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。

开水 · 发表于 2008-12-26 19:34

预防U盘感染自动播放病毒的方法
U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的.

　　现状分析：

　　事实表明，目前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如：重要文件.exe，小说.exe)。对于以上这两种传播方式的病毒，仅仅建立autorun.inf文件夹是抵御不了的。

　应对策略：

　　1、在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源治理器(开始-所有程序-附件-windows资源治理器)将其打开，或者使用快捷键winkey E打开资源治理器后，一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)

　　2、假如盘内有来路不明的文件，尤其是文件名比较诱惑人的文件，必须多加小心;需要提醒大家的是，不要看到图标是文件夹就理所当然是文件夹，不要看到图标是记事本就理所当然是记事本，伪装图标是病毒惯用伎俩.

开水 · 发表于 2008-12-26 19:35

教你制服顽固病毒！

最近在论坛上不断看到有网友求助磁盘分区不能双击打开；插入U盘导致感染病毒；中了病毒明明完全重装了系统（指格式化系统盘后重装或者是ghost恢复下同），但是病毒依然横行。本文将教你导致这些现象的原因，对应的防守策略及解决方法。

首先说说磁盘双击不能打开的原理吧

我们来做个实验。将一个可执行文件放在某个分区的根部录下。例子中是打字练习这个软件。然后我们打开记事本，输入：

[autorun]

OPEN=打字软件.exe open=输入你的可执行文件的文件名

然后把它保存为名为Autorun.inf文件也放在该分区的根目录下如图1

接下来重启电脑，然后双击该分区，原本是要进入该分区的，但是却执行了你的可执行文件。在盘符上单击右键可以看到多了一个自动播放

如果该可执行文件是个病毒的话，那后果就...

这就是磁盘分区不能双击打开；插入U盘导致感染病毒的原理。

可以看出Autorun.inf文件就是这类病毒的加载途径

有些网友会问 “我看不到有这个病毒呀” 那是因为病毒作者给该文件赋了隐藏属性。

接着网友又会问 “我也选择了显示所有文件呀” 病毒作者为了达到隐藏的目的，修改了注册表中显示隐藏文件的相关选项，使得你即使选择了显示所有文件，也无法达到显示隐藏文件的目的。

知道了原理，我们来防范此类病毒。

首选方法：组策略法（该方法适用于xp专业版用户，xp家庭版用户跳过）

具体操作方法开始-运行-输入gpedit.msc-确定-计算机机配置-管理模板-系统关闭自动播放-已启用-所有驱动器-确定如图2

这样做以后就不怕病毒通过Autorun.inf 自动播放这个功能来加载了。

第二种方法

在每个分区（U盘）的根目录下建立一个名为Autorun.inf的文件夹是文件夹而不是文件哦

这样做有个缺点就是容易被病毒删除。于是我们可以利用文件名特性来在Autorun.inf的文件夹再建立建立一个不易删除的文件夹

开始-程序-附件-命令提示符输入：

———————————————————

md x:\\autorun.inf\\正常的免疫文件..\\

———————————————————

在实际中需把x替换成对应分区的盘符！

中了病毒明明完全重装了系统，但是病毒依然横行。那又是什么原因呢？

第一种情况

就是以上说的，虽然你完全重装了系统，但是其它分区的根目录下的Autorun.inf类病毒还没清除，所以你一双击进入其它分区，即导致重新感染病毒

解决方法：完全重装系统后先不要进入其它分区，右键单击我的电脑，选搜索，选择所有文件和文件夹，再选择更多高级选项，勾选搜索隐藏文件和文件夹，文件名里填入Autorun.inf，然后按搜索，然后打开任意位于分区根目录下的Autorun.inf，并记录OPEN=xxx.exe，这个文件名。接下来回到搜索窗口，删除所有任意位于分区根目录下的Autorun.inf文件 ~

接着搜索刚刚记录的xxx.exe（文件名根据实际情况不同）的文件，删除所有任意位于分区根目录下的这些文件 ~

接着用上边所说的免疫方法为自己的系统做个防范吧 ~

第二种情况

就是你所中的病毒会感染可执行文件和网页文件。有许多网友喜欢把常用软件的安装程序放在硬盘里，以方便重装系统后或者需要时能即时安装使用。

完全重装系统后第一时间就是安装或直接使用那些常用软件（比如杀毒软件，比如QQ），由于安装程序（可执行程序）已被感染，所以造成病毒重新被激活。

防范方法：为防止安装程序受到病毒感染，可以用压缩文件进行压缩打包，这样做既避免了这些程序感染病毒，又节约了磁盘空间

解决方法：完全重装系统后，先不要安装或运行原硬盘里的任何程序，可以用光盘或U盘从别人的电脑里拷贝杀毒软件的安装程序过来，安装杀毒软件并升级到最新病毒库，然后用杀毒软件全盘查杀病毒。记住清除病毒过程中需要选择的是清除病毒，而不是删除病毒。清除病毒是指把病毒从正常程序里清除出去，而删除会直接把你的程序也一并删除了。

第三种情况

完全重装系统后由于你的系统没有打上安全补丁，一联网便遭到蠕虫类病毒的自动感染

防范方法：1.安装并升级杀毒软件，开启实时监控后再联网；2.为系统打全安全补丁。

开水 · 发表于 2008-12-26 19:36

双击盘符打不开盘的解决方法
　　格式化都没用?清除\"不可杀\"病毒的技巧越来越多的网民认为，病毒是危害互联网安全的重要因素。有的时候当杀毒软件处理完病毒程序后，会造成双击硬盘盘符打不开、右击出现等AUTO字样等，殊不知此类情况的发生跟系统主录下的配置文件autorun.inf有关。

　　解读autorun.inf　　

　　由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件，并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件，用户可以用文本编辑软件进行编辑（注：该文件只能位于驱动器的根目录下时，才能实现启动加载），该文件包含了需要自动运行的命令，如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。

　　病情描述　　

　　当用户在选择：工具-文件夹选项-查看-显示所有文件和文件夹时，计算机无法显视出autorun.inf文件，任意点击C、D、E盘符时会另外打开窗口，而U盘、MP3等第三方存储盘更是如此，插入计算机后，画面文件一闪即过，想查看主目录下的autorun.inf文件，却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件，盘符右击，目录中出现AUTO或两个打开字样（粗字体，细字体）信息等情况，利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。解决方法　　面对以上的情况，有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多，这里提供一种方法让用户尝试。　

　

　　一、让文件不再隐藏　　

　　打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL删除CheckedValue键值，单击右键新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体，在盘符下输入命令attrib，此时便可查看是否有一个名为SH autorun.inf的文件，完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏，用户只要打开相应的盘符即可看到此文件，将其删除即可。（小提示：attrib 命令是用来设置文件属性，attrib +s或-s [文件名] 设置文件属性是否为系统文件，attrib +h或-h [文件名] 设置文件属性是否隐藏）。　　

　　二、删除病毒

　　在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有autorun.inf 和tel\\.xls\\.exe 两个文件，将其删除，U盘同样。并在依次打开开始菜单中的：运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目，或者运行regedit调出注册表，在其内找到HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run 删除类似C:\\ WINDOWS\\system32\\SVOHOST.exe 键值项即可。　　

　　三、清除病毒遗留　　

　　打开我的电脑C盘，在WINDOWS\\ 与WINDOWS\\system32\\ 目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示：每个文件夹都有两个，因为病毒原因导致系统产生两个一样的文件，其中有一个类似文件，用户在删除时一定要注意不要误删除），重新启动电脑后系统将一切正常。　　

　　后记：隐藏病毒文件并不可怕，可怕是不知其原理而盲目下手，困此而导致系统文件损坏，系统崩溃无法启动，当用户重新对C盘格式化，利用ghost软件恢复系统后，如果其他盘符不进行格式化，那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下，才能彻底解决所带来的困惑！

开水 · 发表于 2008-12-26 19:37

ARP欺骗解决方案

一、什么是ARP

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓‘地址解析“就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、 ARP的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了：

注：用“arp -d”命令可以删除ARP表的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

作为攻击源的主机伪造一个ARP响应包，此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同，此伪造的ARP响应包广播出去后，网内其它主机ARP缓存被更新，被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机，目的主机不能被正常访问。

四、 ARP欺骗的症状

网络时断时通

网络中断，重启网关设备，网络短暂连通

内网通讯正常、网关不通；

频繁提示ＩＰ地址冲突；

硬件设备正常，局域网不通；

特定IP网络不通，更换IP地址，网络正常；

禁用-启用网卡，网络短暂连通；

网页被重定向。

……………………

五、 ARP欺骗解决方案：

方案A：IP-MAC绑定

通过双向IP-MAC绑定可以抵御ARP欺骗，解决由于ARP欺骗造成的网络掉线、IP冲突等问题，保证网络畅通。

1、客户机绑定网关IP-MAC：在客户机设置网关IP与MAC为静态映射，

将如下内容复制到记事本中并保存为staticarp.reg，（网关IP、网关MAC根据实际情况填写，例：\\\"staticarp\\\"=\\\"arp –s 192.168.0.1 00-01-02-03-04-05\\\"）

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\

CurrentVersion\\\\Run]

\\\"staticarp\\\"=\\\"arp –s 网关IP 网关MAC \\\"

将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置，文件名为run.bat，（网关IP、网关MAC根据实际情况填写，例：\\\"staticarp\\\"=\\\"arp –s 192.168.0.1 00-01-02-03-04-05\\\"）

@each off

regedit /s .\\\\runstaticarp.reg

arp -s网关IP 网关MAC

双击运行run.bat

2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序

将staticarp.reg、run.bat保存到同一文件夹下，登录Ahnlab Plicy Center Admin，服务器管理—登录分发软件—添加，选中保存staticarp.reg、run.bat的文件夹，中输入对所选择的文件夹压缩后生成的压缩文件的名称，中输入应用程序名称，中输入简单说明，中输入run.bat，单击。

Ahnlab Plicy Center Admin—策略管理中选中需要分发的群组或客户机，点右键，紧急安全指令-分发，选中，选中要分发的软件，点击。

3、网关绑定客户机IP-MAC：使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态IP-MAC列表。

注：方案A可以抵御ARP欺骗，保证网络正常运行，但不能定位及清除ARP攻击源。

方案B：利用ARP命令及nbtscan定位ARP攻击源

1、确定ARP攻击源MAC地址

ARP欺骗发作时，在受到ARP欺骗的计算机命令提示符下输入arp –a，APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址，则为ARP攻击源的MAC地址，一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址；在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。

2、定位ARP攻击源计算机

已全网面署APC2.5的环境：在Policy Center Admin 2.5中，查找agent，查找ARP攻击源的MAC地址，定位攻击源计算机。

未布署APC2.5的环境：运行Nbtscan MAC扫描器gui.exe，输入局域网IP地址范围，点击开始，显示局域网内IP、计算机名与MAC对应关系，查找ARP攻击源MAC对应的IP地址及计算机名，根据IP地址及计算机名定位攻击源计算机。

开水 · 发表于 2008-12-26 19:38

对症下药教你清除电脑中的木马

特洛伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在不知情的的状态下控制或者监视用户的电脑。下面就讲讲木马经常藏身的地方和清除方法。

　　首先查看自己的电脑中是否有木马

　　1、集成到程序中

　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

　　2、隐藏在配置文件中

　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

　　3、潜伏在Win.ini中

　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\\windows\\file.exeload=c:\\windows\\file.exe

　　这时你就要小心了，这个file.exe很可能是木马哦。

　　4、伪装在普通文件中

　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于默认设置是\"不显示已知的文件后缀名\",文件将会显示为*.jpg,不注意的人一点这个图标就中木马了。

　　5、内置到注册表中

　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉!然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚!但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表!的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值。

　　6、在System.ini中藏身

　　木马真是无处不在呀!什么地方有空子，它就往哪里钻!这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exefile.exe，如果确实有这样的内容，那就不幸了，因为这里的file.exe就是木马服务端程序!另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在该知道也要注意这里喽。

　　7、隐形于启动组中

　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任用什么方法都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\\windows\\startmenu\\programs\\startup，在注册表中的位置：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

　　Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意经常检查启动组哦!

　　8、隐蔽在Winstart.bat中

　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

　　9、捆绑在启动文件中

　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

　　10、设置在超级连接中

　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗!奉劝不要随便点击网页上的链接，除非了解它，信任它，为它死了也愿意等等。

　　下面再看木马的清除方法

　　1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。

　　2、删除上述可疑键在硬盘中的执行文件。

　　3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。

　　4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的几项(如LocalPage)，如果被修改了，改回来就可以。

　　5、检查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让病毒“长生不老，永杀不尽”的。

　　6、如果有可能，对病毒的母文件进行反汇编。

开水 · 发表于 2008-12-26 19:39

杀毒技巧，看看你懂多少！！！　

一阶：菜鸟看,中鸟老鸟也可以看

　　1、请升级你的杀毒软件到最新版本，保证病毒库是最新的。

　　2、对于局域网内部用户，在杀毒之前请断掉网络。

　　3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中，不要选中“染毒文件清除失败后删除此文件”选项。因为经验证明，很多病毒都是内存驻留型，备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。（对于国内的杀毒软件）

　　4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的，因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。因此，如果碰到杀软在此文件夹中查到病毒，请在系统属性中的系统还原中取消对磁盘的监视，删除还原点即可。（以前我老是强调关闭系统还原的原因，还有就是有的网友问有时杀毒软件走到百分之多少时走不动了，原因也在此。）

　　5、对于一些正在使用中的文件，系统是不允许删除的，碰到这种情况，请在任务管理器中结束该进程，然后按杀软提示的病毒文件路径进行手动删除，或重新杀毒。（删除文件时删不了有时也因为此）

　　6、碰到病毒已经清除，但系统重新启动又出现中毒情况的，请确认你所在网络无毒，然后制作dos杀毒盘在dos下查杀。如果网络中毒，请联系网络管理员，断网杀毒。（补充此点：有时系统重新启动又出现中毒是因为你的系统还原是在监视状态，或者是杀毒没有把文件和注册表删除了（朋友用江民是遇到过这样的）

　　7、在dos下使用dos杀毒伴侣，硬盘修复王时，请备份你的敏感数据和个人文件，并在有经验的人的指导下进行。使用不当，可能造成硬盘数据全部丢失。（此方法用的较少）

　　中阶：中鸟看——杀毒技巧集锦

　　有人认为杀毒是一件简单的事情，不就是点击杀毒软件的“杀毒”按钮就行了吗？

　　不错，杀毒的确要借助杀毒软件，但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽，有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧！

　　对于杀毒的设置本文就不做介绍了。

　　杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？

　　一、被激活的非系统文件内的病毒

　　杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。

　　二、已经被激活或发作的非系统文件内的病毒

　　如果在一般Windows环境下杀毒，效果可能会大打折扣。虽然，现在的反病毒软件都能查杀内存病毒，但是此技术毕竟还未成熟，不一定能歼灭病毒。

　　因此，杀此类病毒应在Windows安全模式下进行。在Windows安全模式下，这些病毒都不会在启动时被激活。因此，我们就能放心的杀毒了。

　　三、系统文件内病毒

　　这类病毒比较难缠，所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。（如果在Windows下即使杀毒成功估计还会有这了那了的系统问题，很麻烦的）

　　四、网络病毒（特别是通过局域网传播的病毒）

　　此类病毒必须在断网的情况下才能清除，而且清除后很容易重新被感染！要根除此类病毒必需靠网络管理员的努力了！（在之一也提到了）

　　五、感染杀毒厂家有提供专用杀毒工具的病毒

　　杀灭此类病毒好办，只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高，因此我推荐在条件许可的情况下使用专用杀毒工具。（遇到什么毒的话先到搜索引擎上搜一下，不要老是问别人，因为首先自己掌握了杀毒技巧不是更好么，其次回复的人大部分也是在网上找的方法，他们并不明白你的具体情况，反而造成帮倒忙）

　　杀毒很讲究技巧，所以，选择适合自己的反病毒软件和时刻开启监控很重要，还有千万别忘了升级哦！

　　检查注册表

　　注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。

　　1、检查注册表中HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run和HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除。（注册表的启动项给的不全还包括

　　HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

　　HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

　　在最后还会有更全面的介绍注册表十大启动项）

　　2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\InternetExplorer\\\\Main中的几项(如LocalPage)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。（这是ie项的注册表）

　　3、检查HKEY_CLASSES_ROOT\\\\inifile\\\\shell\\\\open\\\\command和HKEY_CLASSES_ROOT\\\\txtfile\\\\shell\\\\open\\\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。

　　检查你的系统配置文件

　　其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

　　1、检查win.ini文件(在C:\\\\windows\\\\下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

　　2、检查system.ini文件(在C:\\\\windows\\\\下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。（你现在就可以是试了）

　　坚决把“邮件病毒”消灭

　　邮件病毒”其实和普通的电脑病毒一样，只不过由于它们的传播途径主要是通过电子邮件，所以才被称为“邮件病毒”，它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。

　　1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能，在邮件接收过程中对其进行病毒扫描过滤

　　2、及时升级病毒库。病毒软件厂商天天都会更新病毒库，提供的升级服务是非常周到，如果用户不及时升级，就很难对新病毒进行查杀。

　　3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。

　　4、不要轻易打开陌生人的邮件附件，如果发现邮件中无内容，无附件，邮件自身的大小又有几十K或者更大，那么此邮件中极有可能包含有病毒；如果附件为可执行文件（.exe、.com）或word文档时，要选择用杀毒软件的扫描查毒察看；如果发现收到的邮件对方地址非常陌生，域名对极不像正常的国内邮箱，那就很有可能是收到病毒了；如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接册除即可。

　　5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染，病毒会通过邮件“地址薄”中的联系人来传播。

　　6、少使用信纸模块。信纸模块都是一些脚本文件，如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等，那用户使用信纸发出去的邮件都带有病毒了。

　　7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件，还可以过滤掉一些带病毒邮件。

　　8、不使用邮件软件邮箱中的HTML预览功能。当今，一些传播与破坏力比较大的病毒，往往都是通过邮件预览时进行感染，并不需要打开邮件。

　　计算机防毒杀毒的六大常见误区,实用,详细

　　误区1：有了杀毒软件我就可以什么毒都不怕

　　真的有了杀毒软件就什么毒也不怕吗？答案肯定不行的，

　　病毒是不断有新的出现的，而且它的出现往往无法预料，杀毒软件也要不断更新，要不断升级才能对付新出现的病毒，即使这样，有很多时候杀毒软件升级到最新也不能杀掉全部的病毒，升级到最新，只是能让您的电脑拒绝更多的病毒，让您的电脑处于更安全的状态，并不意味着您就可以忽略电脑安全，平时还是要注意共享安全；不要下载不明程序，不要打开不明网页等等。

　　误区2：装杀毒软件越多越好

　　前两天，笔者帮朋友装机，朋友不懂电脑，所以对我说：“装多几个杀毒软件吧，我怕上网很多毒。”晕倒?￥%?#……，真的装杀毒软件越多越好吗？其实不同厂商开发的杀毒软件很容易引起冲突。不少杀毒厂商为了避免这种情况的发生，在安装的时候就检测电脑中是否安装有其他杀毒软件，目的就是为了避免两个杀毒软件同时使用的时候出现的冲突。而且，对于大部分的病毒，一般一个杀毒软件都可以杀掉，对付特殊病毒也有不少专杀工具。装的杀毒软件越多，除了可能出现冲突以外，还会消耗更多的系统资源，减慢电脑运行速度。装多几个杀毒软件，得益却没什么，失去效能就可能很大。所以，并不是杀毒软件越多越好。

　　误区3：杀毒软件能杀毒就行了

　　杀毒软件能杀毒就行？是不是等到病毒入侵然后才来杀毒？有些人b了杀毒软件，想减小系统资源的消耗，会把杀毒软件关掉，当病毒入侵时候才用杀毒软件来杀毒。这种意识是不行的，现在病毒风行，可以无孔不入，一不小心，您就会很容易“中毒”，况且现在硬盘之大，令很多杀毒软件杀毒时间都很长；而且假如病毒入侵的时候才杀毒，那么可能您的系统早已崩溃，数据早已丢失，为时已晚，到时候损失就大了。因此，杀毒不是重点，防才是最重要。与其说是杀毒软件，不如说是防毒软件更好！

　　误区4：只要我不上网就不会有病毒

　　有些人的电脑连接到因特网，以为只要不打开网页上网就不会感染病毒，所以想不打开杀毒软件防毒。其实，虽然不少病毒是通过网页传播的，但是也有不少病毒不等您打开网页早已入侵您的机器，这个是必须防范的。冲击波，蠕虫病毒等等都会在您不知不觉中进入电脑。而且，盗版的光盘，软盘也会存在病毒。因此，只要您的电脑开着，最好就防着！

　　误区5：文件设置只读就可以避免病毒

　　设置只读，只是调用系统几个命令而已，而病毒也可以调用系统命令。因此，可以病毒可以改掉文件属性，严重的可以删掉重要文件，格式化硬盘，让系统崩溃！因此，设置只读，并不能有效防毒，不过对于局域网中为了共享安全，防止误删除，设置只读属性还是比较有用的。

　　误区6：病毒不感染数据文件

　　有人觉得，病毒是一段程序，而数据文件如.txt、.pcx等格式文件一般不会包含程序，因此不会感染病毒。殊不知像word、excel等数据文件由于包含了可执行码却会被病毒感染，而且，有些病毒可以让硬盘里面的文件全部格式化掉，因此，我们不能忽视数据文件的备份。

　　上面只介绍了常见的防毒杀毒误区，还有一些其它的误区，在我们使用电脑的时候都可能慢慢碰到的。在我们使用电脑的时候，最重要还是防毒，而能做好防毒，那就需要不断更新您的杀毒软件，同时注意打上系统地升级补丁。

　　高阶：老鸟看——注册表十大启动项

　　Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉，实际上，在WindowsXP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。

　　一、当前用户专有的启动文件夹

　　这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：\\\\DocumentsandSettings\\\\\\\\「开始」菜单\\\\程序\\\\启动，其中“”是当前登录的用户帐户名称。

　　二、对所有用户有效的启动文件夹

　　这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：\\\\DocumentsandSettings\\\\AllUsers\\\\「开始」菜单\\\\程序\\\\启动。

　　三、Load注册键

　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\WindowsNT\\\\CurrentVersion\\\\Windows\\\\load。

　　四、Userinit注册键

　　位置：HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\WindowsNT\\\\CurrentVersion\\\\Winlogon\\\\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe，如图一，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”（不含引号）。

　　五、Explorer\\\\Run注册键

　　和load、Userinit不同，Explorer\\\\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer\\\\Run，和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer\\\\Run。

　　六、RunServicesOnce注册键

　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是：HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServicesOnce，和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServicesOnce。

　　七、RunServices注册键

　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是：HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices，和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices。

　　八、RunOnce\\\\Setup注册键

　　RunOnce\\\\Setup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce\\\\Setup，和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce\\\\Setup。

　　九、RunOnce注册键

　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce和HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnceEx。

　　十、Run注册键

　　Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run，和HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。

开水 · 发表于 2008-12-26 19:43

沸沸扬扬整了这么多，希望对各位有所帮助，有点长但是一定有用的

我从电脑白痴到现在的准白痴，就收集了这些东西，今天一次性发出来了:p1 (25)) :p1 (25))

其其一 · 发表于 2008-12-27 03:37

开水超级斑竹，麻烦你不要把我放在置顶的位置——就像法院公告宣判的第一名人犯，好不尴尬。谢谢你上面介绍的方方面面，直看得我眼花缭乱，都消化不良了。下来还要认真学习，深刻领会，然后再写总结报告（开个玩笑哈）。再一次谢谢你的良苦用心。

不是成都人 · 发表于 2008-12-27 23:40

知错能改，就是好同志:p1 (51))

飞碟 · 发表于 2008-12-28 11:44

我现在还是电脑白痴，希望能从这里学到一些东西，谢了

		自动登录	找回密码
密码			立即注册

[同城生活] 木马防治之“九阴真经”

中华儿女

龙的传人

论坛卫士

风雨同舟

特殊贡献

退役版主

活动精英

热心肠

“简阳论坛会员卡”持有者

“简阳论坛文化衫”拥有者

活力四射

热情洋溢

2008年优秀会员

爱心天使

激情奔放

勤奋大师

08年前曾被评选为优秀版主

2009年优秀版主

10元计划

“勇者无畏”爱心献血勋章

精英会员

“简阳论坛会员卡”联盟商家

2008年优秀版主

2009年优秀会员

男生

家有宝贝

QQ达人