文章大纲：

• 1、怎样防止病毒和木马
• 2、怎样防黑客及木马软件?
• 3、简述计算机病毒的传播途径及预防措施
• 4、如何防范木马
• 5、怎样预防木马
• 6、什么是点脑病毒?如何防范计算机病毒和木马?

怎样防止病毒和木马

玩转电脑技巧(4)

5.个人电脑详细的安全设置 ***

由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000

pro（建议还在使用98的朋友换换系统，连微软都放弃了的系统你还用它干嘛

？）所以后面我将主要讲一下基于这两个操作系统的安全防范。

个人电脑常见的被入侵方式

谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我

们遇到的入侵方式大概包括了以下几种：

(1)被他人盗取密码；

(2)系统被木马攻击；

(3)浏览网页时被恶意的java scrpit程序攻击；

(4)Q被攻击或泄漏信息；

(5)病毒感染；

(6)系统存在漏洞使他人攻击自己。

(7)黑客的恶意攻击。

下面我们就来看看通过什么样的手段来更有效的防范攻击。

本文主要防范 ***

察看本地共享资源

删除共享

删除ipc$空连接

账号密码的安全原则

关闭自己的139端口

445端口的关闭

3389的关闭

4899的防范

常见端口的介绍

如何查看本机打开的端口和过滤

禁用服务

本地策略

本地安全策略

用户权限分配策略

终端服务配置

用户和组策略

防止rpc漏洞

自己动手DIY在本地策略的安全选项

工具介绍

避免被恶意代码 木马等病毒攻击

1.察看本地共享资源

运行CMD输入net

share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开

机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制

了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$

/delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到

HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，ipc和RPC漏洞存在于此。

关闭139端口的 *** 是在“ *** 和拨号连接”中“本地连接”中选取

“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里

面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止rpc漏洞

打开管理工具——服务——找到RPC(Remote

Procedure Call (RPC) Locator)服务——将故障恢复中的之一次失败，第二

次失败，后续失败，都设置为不操作。

XP

SP2和2000 pro

sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNet *** Parameters在

右面的窗口建立一个 *** BDeviceEnabled

为REG_DWORD类型键值为 0这样就ok了

7．3389的关闭

XP：我的电脑上点右键选属性--远程，将里面的远程协助和远程桌面两

个选项框里的勾去掉。

Win2000server

开始--程序--管理工具--服务里找到Terminal

Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该

*** 在XP同样适用）

使用2000

pro的朋友注意， *** 上有很多文章说在Win2000pro 开始--设置--控制面

板--管理工具--服务里找到Terminal

Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以

关闭3389，其实在2000pro 中根本不存在Terminal

Services。

8．4899的防范

*** 上有许多关于3389和4899的入侵 *** 。4899其实是一个远程控制软

件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来

控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全

。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服

务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你

的。

9、禁用服务

打开控制面板，进入管理工具——服务，关闭以下服务

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed

File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远

程计算机无法访问共享

4.Distributed Link

Tracking Server[适用局域网分布式链接? �

5.Human Interface Device

Access[启用对人体学接口设备(HID)的通用输入访问]

6.IMAPI CD-Burning COM Service[管理 CD

录制]

7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，

泄露信息]

8.Kerberos Key

Distribution Center[授权协议登录 *** ]

9.License

Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

10.Messenger[警报]

11.NetMeeting

Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

12.Network

DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

13.Network DDE DSDM[管理动态数据交换 (DDE)

*** 共享]

14.Print Spooler[打印机服务，没有打印机就禁止吧]

15.Remote Desktop Help

nbsp;Session Manager[管理并控制远程协助]

16.Remote

Registry[使远程计算机用户修改本地注册表]

17.Routing and Remote

Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

18.Server[支持此计算机通过 *** 的文件、打印、和命名管道共享]

19.Special

Administration Console Helper[允许管理员使用紧急管理服务远程访问命

令行提示符]

20.TCP/IPNetBIOS

Helper[提供 TCP/IP 服务上的 NetBIOS 和 *** 上客户端的 NetBIOS

名称解析的支持而使用户能够共享文件、打印和登录到 *** ]

21.Telnet[允许远程用户登录到此计算机并运行程序]

22.Terminal

Services[允许用户以交互方式连接到远程计算机]

23.Window s Image Acquisition

(WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须

马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端

怎样防黑客及木马软件?

安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]

2. *** 访问.不允许SAM帐户的匿名枚举 启用

3. *** 访问.可匿名的共享 将后面的值删除

4. *** 访问.可匿名的命名管道 将后面的值删除

5. *** 访问.可远程访问的注册表路径 将后面的值删除

6. *** 访问.可远程访问的注册表的子路径 将后面的值删除

7. *** 访问.限制匿名访问命名管道和共享

8.帐户.重命名来宾帐户guest [更好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]

9.帐户.重命名系统管理员帐户[建议取中文名]

E计划.用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从 *** 访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID

2.从远程系统强制关机,Admin帐户也删除,一个都不留

3.拒绝从 *** 访问这台计算机 将ID删除

4.从 *** 访问此计算机,Admin也可删除,如果你不使用类似3389服务

5.通过终端允许登陆 删除Remote Desktop Users

F计划.终端服务配置

打开管理工具

终端服务配置

1.打开后，点连接,右键,属性,远程控制,点不允许远程控制

2.常规,加密级别,高,在使用标准windows验证上点√!

3.网卡,将最多连接数上设置为0

4.高级,将里面的权限也删除.[我没设置]

再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话

G计划.用户和组策略

打开管理工具

计算机管理.本地用户和组.用户

删除Support_388945a0用户等等

只留下你更改好名字的adminisrator权限

计算机管理.本地用户和组.组

组.我们就不组了.分经验的(不管他.默认设置)

X计划.DIY策略[根据个人需要]

1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.

2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.

3.对匿名连接的额外限制

4.禁止按 alt+crtl+del

5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]

6.只有本地登陆用户才能访问cd-rom

7.只有本地登陆用户才能访问软驱

8.取消关机原因的提示

1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；

2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；

3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；

4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。

9.禁止关机事件跟踪

开始“Start -”运行“ Run -输入”gpedit.msc “，在出现的窗口的左边部分，

选择 ”计算机配置“（Computer Configuration ）- ”管理模板“

（Administrative Templates）- ”系统“（System）,在右边窗口双击

“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），

点击然后“确定”（OK）保存后退出这样，你将看到类似于windows 2000的关机窗口

三、修改权限防止病毒或木马等破坏系统

winxp、windows2003以上版本适合本 *** .

因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话

那么,它们就没有办法写在里面了.看命令

A命令

cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录

cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录

呵呵，这样病毒等就进不去了，如果你觉得这个还不够安全，

还可以进行修改觉得其他危险目录,比如直接修改C盘的权限，但修改c修改、写入后，安装软件时需先把权限恢复过来才行

B命令

cacls C: /G administrator:R 禁止修改、写入C盘

cacls C: /G administrator:F 恢复修改、写入C盘

这个 *** 防止病毒，

如果您觉得一些病毒防火墙消耗内存太大的话

此 *** 稍可解决一点希望大家喜欢这个 *** ^_^

X命令

以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]

cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止 *** 用户、本地用户在命令行和gui下使用cmd

cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复 *** 用户、本地用户在命令行和gui下使用cmd

cacls %SystemRoot%system32t /E /D IUSR_Lsa 禁止 *** 用户、本地用户在命令行和gui下使用t

cacls %SystemRoot%system32t /E /D IUSR_Lsa 恢复 *** 用户、本地用户在命令行和gui下使用t

cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止 *** 用户、本地用户在命令行和gui下使用tftp32.exe

cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复 *** 用户、本地用户在命令行和gui下使用tftp32.exe

四、重要文件名加密[NTFS格式]

此命令的用途可加密windows的密码档, *** 密码档等等^.^

命令行方式

加密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名（或文件夹名）”。

解密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名（或文件夹名）”。

五、修改注册表防御D.D.O.S

在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

更多新的防御技巧请搜索其他信息,

由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...

六、打造更安全的防火墙

只开放必要的端口，关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放，

黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人：OICQ 13946296

　 端口 协议 应用程序

　 21 TCP FTP

　 25 TCP *** TP

　 53 TCP DNS

　 80 TCP HTTP SERVER

　 1433 TCP SQL SERVER

　 5631 TCP PCANYWHERE

　 5632 UDP PCANYWHERE

　 6（非端口） IP协议

　 8（非端口） IP协议

那么,我们根据自己的经验,将下面的端口关闭

　 TCP

　 21

　 22

　 23

　 25 TCP *** TP

　 53 TCP DNS

　 80

　 135 epmap

　 138 [冲击波]

　 139 *** b

　 445

　 1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

　 1026 DCE/12345778-1234-abcd-ef00-0123456789ac

　 1433 TCP SQL SERVER

　 5631 TCP PCANYWHERE

　 5632 UDP PCANYWHERE

　 3389

　 4444[冲击波]

　 4489

　 UDP

　 67[冲击波]

　 137 netbios-ns

　 161 An SNMP Agent is running/ Default community names of the SNMP Agent

　 关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了

七、保护个人隐私

1、TT浏览器

选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.

TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)

2、移动“我的文档”

进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，

选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，

建议经常使用的朋友做个快捷方式放到桌面上。

3、移动IE临时文件

进入“开始→控制面板→Internet 选项”，在“常规”选项卡的“Internet 文件”栏里点“设置”按钮，

在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，

系统会自动重新登录。点本地连接,高级,安全月志,把月志的目录更改专门分配月志的目录，

不建议是C:再重新分配月志存储值的大小,我是设置了10000KB

八、第三方软件的帮助

防火墙：天网防火墙（建议）[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)

杀毒软件：卡巴斯基

二道贩子后注:

现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.

Windows 2000服务器的安全设置

设置禁用，构建之一道防线c_

在安装完Windows 2000后，首先要装上最新的系统补丁。但即使装上了，在因特网上的任何一台机器上只要输入“＼＼你的IP地址＼c”，然后输入用户名 Guest，密码空，就能进入你的C盘，你还是完全暴露了。解决的 *** 是禁用•格斯特账号，为管理人设置一个安全的密码，将各驱动器的共享设为不共享。同时你还要关闭不需要的服务。你可以在管理工具的服务中将它们设置为禁用，但要提醒的是一定要慎重，有的服务是不能禁用的。一般可以禁用的服务有Telnet、任务调度程序(允许程序在指定时间运行)、遥远的登记服务(允许远程注册表操作)等。这是你构建的服务器的之一道防线。-设置第二，构建第二道防线*i

© 作为校园网的服务器，很多学校将该服务器同时作为网站服务器，而第二的漏洞也是一个棘手的问题。实际上，你可以通过简单的设置，完全可以将网站的漏洞补上。你可以将第二默认的服务都停止(如图 1，FTP服务你是不需要的，要的话笔者推荐用Serv-U；“管理网站点”和“默认网站点”都会给你带来麻烦；简单邮件传输协议一般也不用)，然后再新建一个网站点h

©设置好常规内容后，在“属性→主目录”的配置中对应用程序映射进行设置，删除不需要的映射(如图 2)，这些映射是第二受到攻击的直接原因。如果你需要CGI和PHP的话，可参阅一些资料进行设置LB

这样，配合常规设置，你的第二就可以安全运行了，你的服务器就有了第二道防线。#_t1)

运用扫描程序，堵住安全漏洞[J=

©要做到全面解决安全问题，你需要扫描程序的帮助。笔者推荐使用X浏览(如图 3)，它可以帮助你检测服务器的安全问题。rmp

扫描完成后，你要看一下，是否存在口令漏洞，若有，则马上要修改口令设置；再看一下是否存在第二漏洞，若有，请检查第二的设置。其他漏洞一般很少存在，我要提醒大家的是注意开放的端口，你可以将扫描到的端口记录下来，以方便进行下一步设置。vY)

© 封锁端口，全面构建防线YD_\1

©《 黑客大多通过端口进行入侵，所以你的服务器只能开放你需要的端口，那么你需要哪些端口呢？以下是常用端口，你可根据需要取舍：7e|

80为网网站服务；21为FTP服务；25为电子邮件简单邮件传输协议服务；110为发邮件给POP3服务。?[U

© 其他还有SQL服务者的端口1433等，你可到网上查找相关资料。那些不用的端口一定要关闭！关闭这些端口，我们可以通过Windows 2000的安全策略进行。B

©《借助它的安全策略，完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入，右击“IP安全策略”，选择“创建IP安全策略”，点[下一步]。输入安全策略的名称，点[下一步]，一直到完成，你就创建了一个安全策略OkQcy

接着你要做的是右击“IP安全策略”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP和 139端口为例说明。b]}

关闭了ICMP，黑客软件如果没有强制扫描功能就不能扫描到你的机器，也砰不到你的机器。关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP”，点右边的[添加]，再点[下一步]。在源地址中选“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“ICMP”，点[下一步]。回到关闭ICMP属性窗口，即关闭了ICMP。sf7 FQ

下面我们再设置关闭 139，同样在管理IP筛选器列表中点“添加”，名称设置为“关闭 139”，点右边的“添加”，点[下一步]。在源地址中选择“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“TCP”，点[下一步]。在设置IP协议端口中选择从任意端口到此端口，在此端口中输入 139，点下一步。即完成关闭 139端口，其他的端口也同样设置，结果如图 5。f6WL

特别指出的是关闭UDP4000可以禁止校园网中的机器使用 *** 。Q

©然后进入设置管理筛选器操作，点“添加”，点下一步，在名称中输入“拒绝”，点下一步。选择“阻止”，点[下一步]。u然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。选择“此规则不指定隧道”，点下一步。在选择 *** 类型中选择“所有 *** 连接”，点下一步。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点下一步。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的 *** ，你可以将“关闭 139”等其他筛选器加入进来。添加后的结果如图 7。(8

©《我 最后要做的是指派该策略，只有指派后，它才起作用。 *** 是右击“安全”，在菜单中选择“所有任务”，选择“指派”。IP安全设置到此结束，你可根据自己的情况，设置相应的策略。2

©《设置完成后，你可再用X浏览进行检查，发现问题再补上。9g

通过以上的设置，你的Windows 2000服务器可以说是非常安全了。希望你早日筑起服务器的安全防护林。

Windows下权限设置详解

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO! 要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，更好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了 *** 安全事故，也可以把损失降到更低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页 *** 员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读运，列和读权限；Power users拥有读运，列和读权限；SYSTEM同Administrators;Users拥有读运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Admin

简述计算机病毒的传播途径及预防措施

计算机病毒的传播途径有

1、通过移动存储设备进行病毒传播：如U盘、CD、软盘、移动硬盘等都可以是传播病毒的路径，而且因为它们经常被移动和使用，所以它们更容易得到计算机病毒的青睐，成为计算机病毒的携带者。

2、通过 *** 来传播：这里描述的 *** *** 也不同，网页、电子邮件、 *** 、BBS等都可以是计算机病毒 *** 传播的途径，特别是近年来，随着 *** 技术的发展和互联网的运行频率，计算机病毒的速度越来越快，范围也在逐步扩大。

3、利用计算机系统和应用软件的弱点传播：近年来，越来越多的计算机病毒利用应用系统和软件应用的不足传播出去因此这种途径也被划分在计算机病毒基本传播方式中。

预防措施：

（1）安装最新的杀毒软件，每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时要开启杀毒软件的全部监控。培养良好的上网习惯。

（2）不要执行从 *** 下载后未经杀毒处理的软件等；不要随便浏览或登录陌生的网站，加强自我保护现在有很多非法网站，而被潜入恶意的代码，一旦被用户打开，即会被植入木马或其他病毒。

（3）培养自觉的信息安全意识，在使用移动存储设备时，尽可能不要共享这些设备，因为移动存储也是计算机进行传播的主要途径，也是计算机病毒攻击的主要目标，

在对信息安全要求比较高的场所，应将电脑上面的USB接口封闭，同时，有条件的情况下应该做到专机专用。

（4）用Windows Update功能打全系统补丁，同时，将应用软件升级到最新版本，比如：播放器软件，通讯工具等，避免病毒从网页木马的方式入侵到系统或者通过其他应用软件漏洞来进行病毒的传播；

将受到病毒侵害的计算机进行尽快隔离，在使用计算机的过

程，若发现电脑上存在有病毒或者是计算机异常时，应该及时中断 *** ；当发现计算机 *** 一直中断或者 *** 异常时，立即中断 *** ，以免病毒在 *** 中传播。

扩展资料：

病毒只有在满足其特定条件时，才会对计算机产生致命的破坏，电脑或者系统中毒后不会马上反应，病毒会长期隐藏在系统中。

比如说最难忘的是26日发作的CIH，此外还有著名的“黑色星期五”在每逢13号的星期五发作等等。病毒一般情况下都附在正常硬盘或者程序中，计算机用户在它激活之前很难发现他们，

其使用很高编程技巧编程，是一种短小精悍的可执行程序，对电脑有着毁灭性的破坏作用；一般没有用户主动执行病毒程序，但是病毒会在其条件成熟后产生作用，

或者破坏程序，扰乱系统的工作等；计算机的非授权运行性是计算机病毒的典型特点，其会在未经操作者的许可而自动运行。

参考资料来源：百度百科-计算机病毒

如何防范木马

1.察看本地共享资源

运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，Ipc和RPC漏洞存在于此

关闭139端口的 *** 是在“ *** 和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止Rpc漏洞

打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的之一次失败，第二次失败，后续失败，都设置为不操作。

Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Net *** \Parameters在右面的窗口建立一个 *** BDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。

7．3389的关闭

WindowsXP：我的电脑上点右键选属性--远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该 *** 在XP同样适用）

使用Windows2000 Pro的朋友注意， *** 上有很多文章说在Win2000pro 开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

8．4899的防范

*** 上有许多关于3389和4899的入侵 *** 。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

打开控制面板，进入管理工具——服务，关闭以下服务：

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无

法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接]

5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

6.IMAPI CD-Burning COM Service[管理 CD 录制]

7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

8.Kerberos Key Distribution Center[授权协议登录 *** ]

9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

10.Messenger[警报]

11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

13.Network DDE DSDM[管理动态数据交换 (DDE) *** 共享]

14.Print Spooler[打印机服务，没有打印机就禁止吧]

15.Remote Desktop Help nbsp;Session Manager[管理并控制远程协助]

16.Remote Registry[使远程计算机用户修改本地注册表]

17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

18.Server[支持此计算机通过 *** 的文件、打印、和命名管道共享]

19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和 *** 上客户端的 NetBIOS 名称解析的支

持而使用户能够共享文件 、打印和登录到 *** ]

21.Telnet[允许远程用户登录到此计算机并运行程序]

22.Terminal Services[允许用户以交互方式连接到远程计算机]

23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，更好改成中文的），而且要设置一个密码，更好是8位以上字母数字符号组合。

如果你使用的是其他帐号，更好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，更好在安全模式下设置，因为经我研究发现，在系统中拥有更高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到更大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。

打开管理工具—本地安全设置—密码策略：

1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是8

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史 记住0个密码

6.用可还原的加密来存储密码 禁用

11、本地策略

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

打开管理工具，找到本地安全设置—本地策略—审核策略：

1.审核策略更改 成功失败

2.审核登陆事件 成功失败

3.审核对象访问 失败

4.审核跟踪过程 无审核

5.审核目录服务访问 失败

6.审核特权使用 失败

7.审核系统事件 成功失败

8.审核帐户登陆时间 成功失败

9.审核帐户管理 成功失败

nb sp;然后再到管理工具找到事件查看器：

应用程序：右键属性设置日志大小上限，我设置了50mb，选择不覆盖事件。

安全性：右键属性设置日志大小上限，我也是设置了50mb，选择不覆盖事件。

系统：右键属性设置日志大小上限，我都是设置了50mb，选择不覆盖事件。

12、本地安全策略

打开管理工具，找到本地安全设置—本地策略—安全选项：

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登

陆的]。

2. *** 访问.不允许SAM帐户的匿名枚举 启用。

3. *** 访问.可匿名的共享 将后面的值删除。

4. *** 访问.可匿名的命名管道 将后面的值删除。

5. *** 访问.可远程访问的注册表路径 将后面的值删除。

6. *** 访问.可远程访问的注册表的子路径 将后面的值删除。

7. *** 访问.限制匿名访问命名管道和共享。

8.帐户.（前面已经详细讲过拉 ）。

13、用户权限分配策略

打开管理工具，找到本地安全设置—本地策略—用户权限分配：

1.从 *** 访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属

于自己的ID。

2.从远程系统强制关机，Admin帐户也删除，一个都不留 。

3.拒绝从 *** 访问这台计算机 将ID删除。

4.从 *** 访问此计算机，Admin也可删除，如果你不使用类似3389服务。

5.通过远端强制关机。删掉。

14、终端服务配置

打开管理工具，终端服务配置：

1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。

2.常规，加密级别，高，在使用标准Windows验证上点√!

3.网卡，将最多连接数上设置为0。

4.高级，将里面的权限也删除。

再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。

15、用户和组策略

打开管理工具，计算机管理—本地用户和组—用户：

删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。

计算机管理—本地用户和组—组，组.我们就不分组了。

16、自己动手DIY在本地策略的安全选项

1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透。

2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户

名.让他去猜你的用户名去吧。

3）对匿名连接的额外限制。

4）禁止按 alt+crtl +del(没必要）。

5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]。

6）只有本地登陆用户才能访问cd-rom。

7）只有本地登陆用户才能访问软驱。

8）取消关机原因的提示。

A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签

页面；

B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确

定”按钮，来退出设置框；

C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能

键，来实现快速关机和开机；

D、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页

面，并在其中将“启用休眠”选项选中就可以了。

9）禁止关机事件跟踪

开始“Start -”运行“ Run -输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）- ”管理模板“（Administrative Templates）- ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口。

17、常见端口的介绍

TCP

21 FTP

22 SSH

23 TELNET

25 TCP *** TP

53 TCP DNS

80 HTTP

135 epmap

138 [冲击波]

139 *** b

445

1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

1026 DCE/12345778-1234-abcd-ef00-0123456789ac

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

3389 Terminal Services

4444[冲击波]

�

UDP

67[冲击波]

137 netbios-ns

161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯 *** 会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了。

18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤

开始－－运行－－cmd，输入命令netstat -a ，会看到例如（这是我的机器开放的端口）：

Proto Local Address Foreign Address State

TCP yf001:epmap yf001:0 LISTE

TCP yf001:1025（端口号） yf001:0

LISTE

TCP (用户名）yf001:1035 yf001:0

LISTE

TCP yf001:netbios-ssn yf001:0 LISTE

UDP yf001:1129 *:*

UDP yf001:1183 *:*

UDP yf001:1396 *:*

UDP yf001:1464 *:*

UDP yf001:1466 *:*

UDP yf001:4000 *:*

UDP yf001:4002 *:*

UDP yf001:6000 *:*

UDP yf001:6001 *:*

UDP yf001:6002 *:*

UDP yf001:6003 *:*

UDP yf001:6004 *:*

UDP yf001:6005 *:*

UDP yf001:6006 *:*

UDP yf001:6007 *:*

UDP yf001:1030 *:*

UDP yf001:1048 *:*

UDP yf001:1144 *:*

UDP yf001:1226 *:*

UDP yf001:1390 *:*

UDP yf001:netbios-ns *:*

UDP yf001:netbios-dgm *:*

UDP yf001:isakmp *:*

现在讲讲基于Windows的tcp/ip的过滤。

控制面板—— *** 和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。

19、胡言乱语

(1)、TT浏览器

选择用另外一款浏览器浏览网站.我推荐用TT，使用TT是有道理的。

TT可以识别网页中的脚本，JAVA程序，可以很好的抵御一些恶意的脚本等等，而且TT即使被感染，你删除掉又重新安装一个就是。

MYIE浏览器

是一款非常出色的浏览器，篇幅有险，不做具体介绍了。（建议使用）

(2)、移动“我的文档”

进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，建议经常使用的朋友做个快捷方式放到桌面上。

(3)、移动IE临时文件

进入“开始→控制面板→Internet 选项”，在“常规”选项“Internet 文件”栏中点“设置”按钮，在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，系统会自动重新登录。点本地连接高级安全日志，把日志的目录更改专门分配日志的目录，不建议是C:再重新分配日志存储值的大小，我是设置了10000KB。

20、避免被恶意代码 木马等病毒攻击

以上主要讲怎样防止黑客的恶意攻击，下面讲避免机器被恶意代码，木马之类的病毒攻击。

其实 *** 很简单，所以放在最后讲。

我们只需要在系统中安装杀毒软件 如 卡巴基斯，瑞星，金山独霸等。

还有防止木马的木马克星和金山的反木马软件（可选）。

并且能够及时更新你的病毒定义库，定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行，这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。

还有就是一定要给自己的系统及时的打上补丁，安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布，而且如果你使用的是中文版的操作系统，那么至少要等一个月的时间才能下到补丁，也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。

本人强烈建议个人用户安装使用防火墙（目前最有效的方式）。

例如：天网个人防火墙、诺顿防火墙、瑞星防火墙等等。

因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数 *** 攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。

怎样预防木马

木马是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。由于木马是在我们先运行了SERVER端（服务端），然后再启动GLIENT端（客户端或称控制端）进行控制。因此只要我们保持警惕，不让SERVER端有机会进入我们的电脑，也就不会被控制了，以下是我总结的防范特洛伊木马的二十条铁律：

以下六招是预防木马的常用招数：

1. 不要运行来历不明的软件，即使通过一般反病毒软件的检查也不要轻易运行。现在的反病毒软件把特洛伊木马定性为病毒，但还有相当数量的木马是这些软件所不能检查出来的，尤其是一些有一定编程技术的人自己编的后门程序。对于此类软件要用专门的黑客程序清除软件去检查。

2. 不要轻易相信别人。有些人别有用心，经常装作“大虾”善意地帮助人，给您发各种软件或图片，在您运行了这些软件后就后悔莫及了。这一点，对于热忠于网上聊天的MM们特别重要。

3. 下载软件要到有名的大站点，不要去野路子小站点。

4. 保持警惕性，对不熟悉的人发来的E-MAIL不要轻易打开，带有附件的就更要小心。另外，就算是熟人发来的E-MAIL，对其中的附件也要小心，您的朋友也许会无意中害了您（他的电脑被感染了木马，但他可能自己并不知道）。

5. 一定要给自己找个好点的实时监控反病毒软件，同时还要准备反黑软件，对下载的软件在运行前用它们进行检查。

6. 安装 *** 防火墙。这样即使中了木马，当有程序要连线上网时，防火墙会有所提示，就有可能发现木马。

以下三招是预防浏览网页中木马的招数：

7. 及时为系统安装补丁和疫苗。这样做可以减少浏览网页中木马的可能，会相对安全一点。

8. 运行IE，点击“工具--INTERNET选项--安全--INTERNET区域的安全级别”，把安全级别由“中”改为“高”。

9. 由于该类网页还有有害代码的ACTIVE X *** 文件，因此在IE设置中将ACTIVE X插件和控件、JAVA脚本等全部禁止就可以避免中招。具体 *** 是在IE窗口点击“工具--INTERNET选项--安全--自定义级别”会弹出“安全设置”对话框，把其中的所有ACTIVE

X插件和控件以及JAVA相关全部选择“禁用”即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ACTIVE

X的网站无法浏览。没办法，有利有弊嘛，自己看着办吧。

以下为检查特洛伊木马的 *** ：

10. 注意检查注册表。如果觉得系统异常，请检查注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current

Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version以及HKEY-USERS\Default\software\Microsoft\Windows\Current

Version下，所有以“Run”开头的键值名，看其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

11. 注意检查启动组。木马们如果隐藏在启动组，虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:\windows\start

menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\software\Microsoft\Windows\Current

Version\Explorer\Shell

12. 注意检查Win.ini。在Win.ini的字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\n0tepad.exe，load=c:\windows\n0tepad.exe。要小心了，这个n0tepad.exe（注意在“n”后是数字“0”而非字母“o”）很可能是木马。

13. 注意检查System.ini。System.ini位于Windows的安装目录下，其字段的“shell=Explorer.exe”是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为：“shell=Explorer.exe

n0tepad.exe”，注意这里的n0tepad.exe就是木马服务端程序。

14. 注意检查Autoexec.bat和Config.sys。在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

15. 注意检查C:\windows\winstart.bat文件。winstart.bat是一个特殊性毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由winstart.ba代替完成，因此木马完全可以象在Autoexec.bat中那样被加载运行，危险由此而来。

16. 注意*.ini文件。Ini文件即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端，覆盖同名文件，这样就可以达到启动木马的目的了。

17. 注意系统中常用文件长度。木马如果捆绑在其中，长度就会发生变化，这是发现捆绑文件型木马的好办法。

18. 注意上网时电脑所用的端口，对1024端口以上的不连续端口要密切注意。可以键入：netstat

-a命令来观察你机器相连的当前所有通信端口，当有具体的IP正使用不常见的端口与你通信时，这一端口很可能就是特洛伊木马的连接端口。（在文后的附录中将罗列出一些有名的特洛伊木马的默认监听端口）

19. 注意检查进程。用查看进程软件来查看，如果发现有可疑进程，立刻看看其对应文件在硬盘中的哪个文件夹下，然后用反病毒、反黑软件进行检查。

20. 发现情况不对立即断线。尽管造成上网速度突然变慢的原因有很多，但有理由怀疑是由特洛伊木马造成的。

附录：（常见特洛伊木马的默认监听端口）

端口 特洛伊木马

21 Blade Runner,Doly Trojan,Fore,Invisible FTP,WebEx,Wincrash

23 Tiny Telnet Server

25 Antigen,Email Password Sender,Haebu Coceda,Shtrilitz

Stealth,Terminator,WinPC,Winspy

31 Hackers Paradise

80 Executor

456 HAckers Paradise

555 Ini-Killer,Phase Zero,Stealth Spy

666 Satanz Backdoor

1001 Silencer,WebEx

1011 Doly Trojan

1170 Psyber Stream Server,Voice

1234 Ultors Trojan

1245 VooDoo Doll

1492 FTP99CMP

1600 Shivka-Burka

1807 SpySender

1981 Shockrave

1999 BackDoor

2001 Trojan Cow

2023 Ripper

2115 Bugs

2140 Deep Throat,The Invasor

2801 Phineas Phucker

3024 WinCrash

3129 Masters Paradise

3150 Deep Throat,The Invasor

3700 Portal of Doom

4092 WinCrash

4590 ICQTrojan

5000 Sockets de Troie

5001 Sockets de Troie

5321 Firehotcker

5400 Blade Runner

5401 Blade Runner

5402 Blade Runner

5569 Robo-Hack

5742 WinCrash

6670 DeepThroat

6771 DeepThroat

6969 GAteCrasher,Priority

7000 Remote Grab

7300 NetMonitor

7301 NetMonitor

7306 NetMonitor

7307 NetMonitor

7308 NetMonitor

7789 ICKiller

9872 Portal of Doom

9873 Portal of Doom

9874 Portal of Doom

9875 Portal of Doom

9989 Ini-Killer

10067 Portal of Doom

10167 Portal of Doom

11000 Senna Spy

11223 Progenic Trojan

12223 Hack'99 KeyLogger

12345 GabanBus,NetBus

12346 GabanBus,NetBus

12361 Whack-a-mole

12362 Whack-a-mole

16969 Priority

20001 Millennium

20034 NetBus2 Pro

21544 GirlFriend

22222 Prosiak

23456 Evil FTP,Ugly FTP

26274 Delta

31337 Back Orifice

31338 Back Orifice

31339 NetSpy DK

31666 BOWhack

33333 Prosiak

34324 BigGluck,TN

40412 The Spy

40421 Masters Paradise

40422 Masters Paradise

40423 Masters Paradise

40426 Masters Paradise

47262 Delta

50505 Sockets de Troie

50766 Fore

53001 Romote Windows Shutdown

61466 Telecommando

65000 Devil

说明：以上所罗列出的端口一般为特洛伊木马的默认端口，而有些特洛伊木马可以随意更改端口，对于这种特洛伊木马，不能靠常规的思维去查找出痕迹，可以试着用专用的端口侦察器对1024至65535端口进行全面的搜索。

个人认为比较好的杀毒软件，金山毒霸，卡巴斯基，但是建议一句这东西不是万能的。。。

什么是点脑病毒?如何防范计算机病毒和木马?

一种恶意计算机代码，可以破坏系统程序，占用空间，盗取账号密码。严重可以导致 *** 、系统瘫痪。详见计算机病毒

计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性，计算机病毒属于计算机软件

病毒

目录

计算机病毒

微博病毒

展开

编辑本段计算机病毒

概念

一种恶意计算机代码，可以破坏系统程序，占用空间，盗取账号密码。严重可以导致 *** 、系统瘫痪。详见计算机病毒

计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性，计算机病毒属于计算机软件

病毒名

由以下6字段组成的：主行为类型。子行为类型.宿主文件类型。主名称.版本信息。主名称变种号#附属名称.附属名称变种号。病毒长度。其中字段之间使用“.”分隔，#号以后属于内部信息，为推举结构。

病毒

目录

计算机病毒

微博病毒

展开

编辑本段计算机病毒

概念

一种恶意计算机代码，可以破坏系统程序，占用空间，盗取账号密码。严重可以导致 *** 、系统瘫痪。详见计算机病毒

计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性，计算机病毒属于计算机软件

去除 ***

使用安

[巴尔的摩分类法是基于病毒mRNA的合成方式]

巴尔的摩分类法是基于病毒mRNA的合成方式

全的杀毒软件清除。

病毒名

由以下6字段组成的：主行为类型。子行为类型.宿主文件类型。主名称.版本信息。主名称变种号#附属名称.附属名称变种号。病毒长度。其中字段之间使用“.”分隔，#号以后属于内部信息，为推举结构。

主行为类型与病毒子行为类型

病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。

病毒主行为类型有是否显示的属性，用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系，见下表：

主行为类型子行为类型

Backdoor

危害级别：1

说明：

中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的 *** 禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。

Worm

危害级别：2

说明：

中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。

Mail

危害级别：1

说明：通过邮件传播

IM

危害级别：2

说明：通过某个不明确的载体或多个明确的载体传播自己

MSN

危害级别：3

说明：通过MSN传播

***

危害级别：4

说明：通过OICQ传播

ICQ

危害级别：5

说明：通过ICQ传播

P2P

危害级别：6

说明：通过P2P软件传播

IRC

危害级别：7

说明：通过ICR传播

说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。

Trojan

危害级别：3

说明：

中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的 *** 禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。

Spy

危害级别：1

说明：窃取用户信息（如：文件等）

PSW

危害级别：2

说明：具有窃取密码的行为

DL

危害级别：3

说明：下载病毒并运行

一、判定条款：

没有可调出的任何界面，逻辑功能为：从某网站上下载文件加载或运行。

二、逻辑条件引发的事件：

事件1..不能正常下载或下载的文件不能判定为病毒。

操作准则:该文件不能符合正常软件功能组件标识条款的，确定为：Trojan.DL

事件2.下载的文件是病毒

操作准则： 下载的文件是病毒,确定为：Trojan.DL

IMMSG

危害级别：4

说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）

MSNMSG

危害级别：5

说明：通过MSN传播即时消息

*** MSG

危害级别：6

说明：通过OICQ传播即时消息

ICQMSG

危害级别：7

说明：通过ICQ传播即时消息

UCMSG

危害级别：8

说明：通过UC传播即时消息

Proxy

危害级别：9

说明：将被感染的计算机作为 *** 服务器

Clicker

危害级别：10

说明：点击指定的网页

判定条款:

没有可调出的任何界面，逻辑功能为：点击某网页。

操作准则：

该文件不符合正常软件功能组件标识条款的，确定为：Trojan.Clicker。

(该文件符合正常软件功能组件标识条款，就参考流氓软件判定规则进行流氓软件判定)

Dialer

危害级别：12

说明：通过拨号来骗取Money的程序

说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述

AOL

按照原来病毒名命名保留。

Notifier

按照原来病毒名命名保留。

Virus

危害级别：4

说明：中文名称—“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。

Harm

危害级别：5

说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。

Dropper

危害级别：6

说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。

一．Dropper判定条款:

没有可调出的任何界面，逻辑功能为：自释放文件加载或运行。

二．逻辑条件引发的事件：

事件1：。释放的文件不是病毒。

操作准则：释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper

事件2：释放的文件是病毒。

操作准则：释放的文件是病毒，确定该文件为：Droper

Hack

危害级别：无

说明：中文名称—“黑客工具”，是指可以在本地计算机通过 *** 攻击其他计算机的工具。

Exploit

说明：漏洞探测攻击工具

DDoser

说明：拒绝服务攻击工具

Flooder

说明：洪水攻击工具

说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述

Spam

说明：垃圾邮件。

Nuker

Sniffer

Spoofer

Anti

说明：免杀的黑客工具

Binder

危害级别：无

说明：捆绑病毒的工具

正常软件功能组件标识条款：被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件：文件版本信息，软件信息（注册表键值、安装目录）等。

Autorun

危害级别：9

说明：用U盘传播的系统文件（被利用）

这样的病毒杀毒软件查不出来

宿主文件

宿主文件是指病毒所使用的文件类型，有是否显示的属性。目前的宿主文件有以下几种。

*** 说明：JavaScript脚本文件

VBS 说明：VBScript脚本文件

HTML 说明：HTML文件

Java 说明：Java的Class文件

COM 说明：Dos下的Com文件

EXE 说明：Dos下的Exe文件

Boot 说明：硬盘或软盘引导区

Word 说明：MS公司的Word文件

Excel 说明：MS公司的Excel文件

PE 说明：PE文件

WinREG 说明：注册表文件

Ruby 说明：一种脚本

Python 说明：一种脚本

BAT 说明：BAT脚本文件

IRC 说明：IRC脚本

主名称

病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。

版本信息

版本信息只允许为数字，对于版本信息不明确的不加版本信息。

主名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

附属名称

病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：

Client 说明：后门程序的控制端

KEY_HOOK 说明：用于挂接键盘的模块

API_HOOK 说明：用于挂接API的模块

Install 说明：用于安装病毒的模块

Dll 说明：文件为动态库，并且包含多种功能

（空） 说明：没有附属名称，这条记录是病毒主体记录

附属名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

病毒长度

病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。