文章大纲：

• 1、LINUX操作系统是否真的安全
• 2、急~我中了很厉害的病毒~解决了愿意送上所有分
• 3、和XP兼容更好的杀毒软件
• 4、番茄社区木马如何清除

LINUX操作系统是否真的安全

思路有问题，明显的在看 Linux 时，人心险恶，看 Windows 时众人皆善果，在这个前提下，你根本不能理解开源对于很多企业尤其是需要保密的地方那么重要：

开源，源代码放开，所以源代码里面的漏洞很快会被阅读代码的人找到。你编写一串木马怎么放进去？首先你需要获得软件发布者的同意才能把木马代码放进官方的源代码来进行发布。

不然你自己修改代码自己发布，这个和番茄花园放流氓软件设置 administrator 允许空密码远程登录而且不设置密码的行为一样。这个需要别人相信你的代码才行，而且也不能让别人看到你的源代码而找到漏洞，但不提供源代码就违反了 GPL 协议。

源代码放开更大的作用就是把全部放在大家面前，让大家看看你的代码，而不是让大家摸黑前进。

就像 Windows ，你有什么证明他里面没有偷偷放下让美国在战时让你系统瘫痪的代码？Linux 是把源代码交给你，你自己去分析有没有后门。而不是 Windows 的根本不让你去检查有没有后门。

Linux 安全在他的源代码放开，大家都可以查看代码找漏洞，添加新的功能。

另一个安全的特点是它的权限系统。

Linux 的权限系统是从 UNIX 延续而来。在这种权限设定下，用户的权限最小。

Windows 为了易用，他设定的是用户权限更大。

Linux 下面，标准用户只能写入自己个人目录里面的文件，系统程序只能读不能写，而且并不是所有的命令都能运行。这样就算你攻破了这个用户，你还需要进一步的进行提升权限才能控制系统。不然你的行为只能在这个用户下面有效。一个被严重限制了权限的用户，根本不能影响一个系统的正常运行。

Windows 恰恰相反，他给了普通用户足够的权限。这点直到 XP 开始才有所改观，但 XP 默认还是给用户足够的权限，限制权限的用户只有自己设置才能实现。

同时 Linux 的服务是有需要才开，有需要才允许远程访问。而不像 Windows ，装好了还没操作，就已经启动了很多系统级别的服务端口。

当然用户少也是一个安全的方向，不过 *nix 类系统的一些特殊设置也限制了很多安全问题的爆发。

应用方向也有一定的安全效果，服务器运行 Linux ，这个时候都有专业的管理人员进行设置。Windows 针对桌面，很多人被 N 个木马控制都不知道。

急~我中了很厉害的病毒~解决了愿意送上所有分

这是被镜像劫持了。病毒通过修改注册表来屏蔽对手的软件及网站。只要相关杀软的 *** IP被列入注册表被禁止项就无法打开该网站。（一打开就自动关闭）把相关的注册表项删掉后杀毒就好了。具体如Image File Execution Options (IFEO in short)劫持

一、典型症状：双击某些可执行程序无法正常执行（或者说执行了没看到预期的结果）但改一个名字就可以。

二、典型案例：OSO.exe新变种60{.exe 美女游戏.pif （转载如下）

============================= 转载Start================================

OSO.exe 新变种

这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种，以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星，金山均没有命名，但在病毒行为上大同小异。以下是具体分析：

此样本于2007年02月01日截获，跟上次的变种一样是采用记事本的图标，是一类IFEO映象劫持病毒。（变种不同这处用红色加粗标识）

病毒行为分析：病毒运行后，会不断打开run time error的消息提示，直到系统资源耗尽，当然用任务管理器，结束error窗口可暂时减少提示的生成。生成文件如下：（以系统盘为C盘，XP SP2为例）oso.exe的分析：生成文件：C:\WINDOWS\system32\drivers\60{.exe 38,510

C:\WINDOWS\system32\drivers\conime.exe 38,510

C:\WINDOWS\system32\severe.exe 38510

C:\WINDOWS\system32\.exe 38510

C:\WINDOWS\system32\.dll 38400C:\WINDOWS\system32\hx1.dat 生成运行后自删除 C:\WINDOWS\system32\noruns.reg 生成运行后自删除

C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节 修改HOSTS文件，屏避对手的网站：127.0.0.1 localhost

127.0.0.1 mmsk.cn

127.0.0.1 ikak ***

127.0.0.1 safe.qq.com

127.0.0.1 360safe.com

127.0.0.1

127.0.0.1

127.0.0.1 tool.ikak ***

127.0.0.1

127.0.0.1 zs.kingsoft.com

127.0.0.1 forum.ikak ***

127.0.0.1 up.rising.com.cn

127.0.0.1 scan.kingsoft.com

127.0.0.1 kvup.jiangmin.com

127.0.0.1 reg.rising.com.cn

127.0.0.1 update.rising.com.cn

127.0.0.1 update7.jiangmin.com

127.0.0.1 download.rising.com.cn

127.0.0.1 dnl-us1.kaspersky-labs.com

127.0.0.1 dnl-us2.kaspersky-labs.com

127.0.0.1 dnl-us3.kaspersky-labs.com

127.0.0.1 dnl-us4.kaspersky-labs.com

127.0.0.1 dnl-us5.kaspersky-labs.com

127.0.0.1 dnl-us6.kaspersky-labs.com

127.0.0.1 dnl-us7.kaspersky-labs.com

127.0.0.1 dnl-us8.kaspersky-labs.com

127.0.0.1 dnl-us9.kaspersky-labs.com

127.0.0.1 dnl-us10.kaspersky-labs.com

127.0.0.1 dnl-eu1.kaspersky-labs.com

127.0.0.1 dnl-eu2.kaspersky-labs.com

127.0.0.1 dnl-eu3.kaspersky-labs.com

127.0.0.1 dnl-eu4.kaspersky-labs.com

127.0.0.1 dnl-eu5.kaspersky-labs.com

127.0.0.1 dnl-eu6.kaspersky-labs.com

127.0.0.1 dnl-eu7.kaspersky-labs.com

127.0.0.1 dnl-eu8.kaspersky-labs.com

127.0.0.1 dnl-eu9.kaspersky-labs.com

127.0.0.1 dnl-eu10.kaspersky-labs.com

X:\autorun.inf (X在此指非系统盘，不包括移动设备)

X:\oso.exe (X在此指非系统盘，不包括移动设备)

U:\autorun.inf (U指移动设备 )

U:\oso.exe

U:\重要资料.exe

U:\美女游戏.pif 注册表修改情况：添加自启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

60{

C:\WINDOWS\system32\.exe－－－－－－－－－－－－－－－－－－－－－HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

@ －－－默认项

C:\WINDOWS\system32\severe.exe被映象劫持的软件名列表（这次被劫持和软件名多了NOD32杀毒软件和EGHOST） HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe

Debugger

C:\WINDOWS\system32\drivers\60{.exe 都是指向此项，以下不一一列述

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ *** Doctor.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe

用一个批处理hx1.dat修改系统时间为2004-1-22 使防病毒软件失效 由于此病毒修改的内容较多手动修复相当麻烦，U盘病毒专杀工具USBCleaner可彻底清除此病毒。此版本已在之官方网站发布，欢迎下载使用！ 永久转向域名：友情提示：U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具

============================= 转载End================================

三、解决 *** ：

可以手动删除添加的非法 IFEO 劫持项目，重启后即可。

具体 *** ：

1、进入系统目录。例如 C:\windows

2、找到 regedit.exe ，复制，粘贴 ，运行“附件 regedit.exe”

3、按上面说的 *** 删除相应的被劫持项目即可。

四、提示：

防止Image File Execution Options hijack(映象劫持)的 *** 是通过在S *** 等行为防火墙中添加一条注册表的监控规则（如下图）来防御，具体可google ，或点此此处链接。

下：

和XP兼容更好的杀毒软件

金山毒霸2008

亮点功能一：顽固病毒彻底清除技术

该技术的内部代号为bootclean，意思是重启清除。大家知道毒霸2005时就率先推出了抢先加载，是由实时监控程序抢在系统完全启动之前加载，如果发现病毒企图加载，就将病毒清除。在此后较长的一段时间里，用户减少了重启到安全模式杀毒的机会。但魔与道的斗争总是此消彼涨，现在有很多顽固的病毒，即使重启到安全模式，病毒还是会加载。而这种情况下，采用bootscan技术的杀毒软件也是无忌于事。（注：Bootscan技术，是在开机时，用户选择是否进行病毒扫描，扫描完毕再加载资源管理器，其加载速度并不比通常的病毒快）

顽固病毒清除技术（Bootclean）是指在杀毒软件检测到病毒时，发现不能在普通模式下安全清除掉（这种情况现在相当多见）。此时，将调用特殊的驱动程序，在下次重启电脑的过程中，直接将目标病毒文件清除掉。对用户来说，只是需要重启一次电脑就可以。

亮点功能二：恶意行为智能拦截技术

现在“主动防御”成为杀毒软件特别时髦的一个技术名词，采用这类技术后好的方面是对一些新的威胁可以进行报警，另一方面的问题是，这些报警会令普通用户困惑。比如“×××程序企图注入rundll32.exe的空间运行，请选择：1允许，2禁止”。

而对于金山毒霸2008来说，就没有这种困惑。当运行一个可能有危险的程序（通常又称为宿主程序），该程序运行后有危险动作，比如释放出病毒、插入正常程序的空间、修改关键的系统配置信息等等。恶意行为智能拦截技术可以及时发现威胁，并结合联机安全评估系统和系统增强安全计划，反查有恶意行为的危险程序，将这些根据病毒特征库，尚不能判定为病毒的危险程序直接清除或隔离。

亮点功能三：一对一安全诊断

杀毒和病毒之间的战争，是长期的，危害电脑安全的人总会想办法反制杀毒软件，任何方案只能是保一时，持续向用户提供适当的安全服务，显得更为重要。在金山毒霸2008中集成了金山清理专家，通过简单的向导，提升用户电脑系统的安全性。最值得称道的，是在该模块中可清晰查看系统进程、加载项，并且将这些加载信息和金山毒霸的安全认证服务器进行匹配，可以清晰的显示，哪些加载项安全，哪些可疑，相当于金山毒霸的工程师在对用户进行一对一的安全指导。并且，在你仍不能确定的情况下，可以把相关的安全日志导出发送到爱毒霸社区（bbs.duba.net），会有更专业的网友或技术人员协助你完成分析。

其它功能：

1.流行病毒免疫：免疫就是由毒霸来伪造一个病毒已经感染的特征，或者防止病毒创建特定的执行程序，达到阻止病毒传播或危害的目的。目前，毒霸支持对熊猫烧香、威金等严重影响系统的病毒进行免疫。

2.网页滤毒：一般的杀毒软件是文件下载到本地后检查是否带毒，毒霸08的网页滤毒功能，可以阻止利用浏览器安全漏洞在后台偷偷下载木马，危险程序无法被下载到本地计算机。

3.自我保护：以AV终结者为代表的恶意病毒越来越多，病毒为了更顺利的控制用户电脑，会对杀毒软件进行各种破坏。毒霸08针对病毒最常用的破坏手法进行了加固，可以防止自身进程被病毒关闭，防止相关注册表键值被病毒改写。

4.系统安全增强计划：该计划是金山毒霸 *** 蜘蛛计划的一部分，通过该计划，用户在使用毒霸的过程中，用户可以把联机安全诊断中未知的文件联机提交，迅速对这些危险程序进行分析，使金山毒霸对新病毒的响应做到更快。未来还将使用 *** 蜘蛛技术，当一个危险程序在互联网出现，在它还没有大面积扩散时， *** 蜘蛛将首先发现该危险程序，该计划将会令毒霸用户受益菲浅。

金山毒霸 *** 版5.0

数据流杀毒

基于传统的静态磁盘文件和狭义匹配技术，更进一步从 *** 和数据流入手，极大地提高了查杀木马及其变种的能力。

爆发性病毒免疫

针对 *** 中流行的具有高爆发性、高破坏性，并且一旦感染难以彻底清除的病毒，金山毒霸专门研发了应对防护技术。通过金山毒霸 *** 版5.0的部署，能够彻底对该类型病毒免疫（包括计算机已经感染该类型病毒的情况），例如维金病毒、熊猫烧香病毒、科多兽病毒等。

隐蔽软件扫描/反间谍

客户端新增隐蔽软件扫描引擎，全面侦测计算机中未经用户许可隐蔽安装的软件，包括恶意程序、间谍软件、木马、广告软件等。侦测结果之一时间向用户反馈报告，提供快捷清除修复操作。新增附带IE修复工具、进程项管理、启动项管理、文件粉碎器、历史痕迹清除等安全工具。

在线杀毒

基于产品Web服务的在线杀毒功能，专门为尚未安装客户端并有即刻查杀病毒需要的用户而设计，全面集成金山毒霸反病毒、反间谍、反木马三大核心引擎，占用系统资源极低，可与用户计算机中多厂商版本的安全软件兼容，为用户提供不间断的安全服务。

全网智能漏洞修复

针对病毒利用系统漏洞传播的新趋势，金山毒霸 *** 版5.0率先采用了分布式的漏洞扫描及修复技术。管理员可通过管理节点执行全网漏洞扫描，并精确部署漏洞修复程序；其通过Proxy（ *** ）下载修复程序的方式，极大地降低了 *** 对外带宽的占用。全网漏洞扫描及修复过程无需人工参与，且能够在客户机用户未登录或以受限用户登录情况下进行。

在线安全工具

基于产品Web服务的多种金山毒霸安全工具下载，包括病毒专杀工具、系统修复工具、数据恢复工具等，用户能够在局域网内任何一台联网的计算机上下载并使用这些工具。

智能离线升级

提供基于可移动存储设备的智能离线升级工具，自动引导用户将本地产品同步至金山毒霸 *** 服务器上的程序版本，更大限度方便 *** 隔离用户产品升级使用。

全网杀毒，多维防护

 率先实现每日病毒库实时更新、防毒体系主动实时升级并自动分发、防毒系统抢先在所有病毒之前启动，赢得时间。

金山毒霸 *** 版5.0的主动升级机制可保证在之一时间获取最新病毒库，并自动分发给网内所有客户机。而这一切都不需要管理员作任何操作。即使面对病毒一日出现多个变种， *** 体系依然可以有效防御。

防毒胜于杀毒，抢先启动的防毒系统可保障在Windows未完全启动时就开始保护用户的计算机系统，早于一切开机自运行的病毒程序，使用户避免“带毒杀毒”的危险。抢先式防毒使您赢得时间，让安全领先一步。

 分布式防毒体系，防毒从桌面到服务器覆盖到全网每个节点，在空间上不留盲点.

管理员可通过管理节点对全网或指定的客户机发出查杀病毒指令，以有效遏止病毒疫情爆发，避免 *** 内病毒交叉、重复感染；自动检测多途径的病毒源，实时监测各类病毒入侵，全方位体现病毒实时防护。

 自动检测多途径的病毒源，实时监测各类病毒入侵，防毒从源头堵起。

自动检测多途径的病毒源，实时监测各类病毒入侵，全方位体现病毒实时防护。

 国际领先的“蓝芯”杀毒引擎，全面查杀数万种病毒，支持数十种压缩格式、多重压缩包直接查杀。

核心技术采用国际领先水平的“蓝芯”杀毒引擎，对各类已知、未知病毒、可疑文件、木马以及其它有害程序可全面查杀；全面支持DOS、Windows、UNIX等系统下的数十种压缩格式、多重压缩包的查毒；支持ZIP、RAR等压缩格式、UPX加壳文件的包内直接查杀；嵌入协议层的邮件监控，可双向过滤邮件病毒。

易用灵活的部署及管理，为企业量身定做

 可移动的Web管理控制台

控制台基于WEB结构开发，管理员无需安装额外的控制软件，就可以在任意一台计算机上轻松管理整个防毒体系，真正实现了“管理无处不在”。

 高效的安装部署方式

管理员可以根据企业 *** 环境采用WEB页面（ActiveX）安装、远程安装、域脚本安装等方式，在较短的时间内完成 *** 内大量客户端的安装，简单快速地实现整个 *** 反病毒体系的部署，更大限度贴合 *** 实际环境。

 灵活定制企业级安全策略

通过金山毒霸 *** 版5.0的管理节点，既可以配置全网统一的安全策略，又可以将具有不同需求的客户机分配到特定的组，配置具有针对性的组策略。通过这种灵活的配置方式，管理员可以轻松地定制企业级安全策略。

 多途径报警机制

管理员可以通过SNMP Trap、NT事件日志、Email及Windows信使服务等多种方式接收病毒事件报警，以保证及时应对病毒疫情。

 图形化统计病毒信息

图形化的统计页面可以将 *** 内的病毒分布状况直观地呈现出来，以便于管理员分析网内病毒发展趋势，并采取针对性的措施。

跨平台

 跨平台的病毒防护

支持Windows、Linux等多种平台操作系统，彻底扫除 *** 反病毒盲点。

 跨平台的应急杀毒盘

金山毒霸创造性地采用Linux作为应急启动盘，通过跨操作系统杀毒确保系统环境的绝对干净，支持包括NTFS分区在内的多种分区格式。

随需切换的客户端操作界面

针对不同用户的需求，客户端采用两种操作界面，用户可通过安全状态界面查看大部分信息并可执行“一键升级”、“一键杀毒”、“一键漏洞扫描”等常见任务，操作简单方便。切换到主界面后，高级用户可进行更为复杂的操作和设置。

番茄社区木马如何清除

注销该APP。

*** /步骤：1.将番茄社区打开，点击头像一下。

2.接着点击设置选项。

3.接着点击注销账号选项。

4接着点击申请注销按钮。

5最终点击确定按钮，就可以注销番茄社区。该APP既有假直播功能,还可以盗取通讯录信息、截图和录制视频等。建议不要下载。