摘要：關(guān)于計(jì)算機(jī)病毒木馬的防御網(wǎng)上的辦法數(shù)不勝數(shù)，但絕大多數(shù)都借助于某種軟件，本文主要是針對(duì)計(jì)算機(jī)的初級(jí)用戶，不借助任何工具，在Windows XP平臺(tái)上采用一些簡單措施，使計(jì)算機(jī)病毒和木馬程序無用武之地。

關(guān)鍵詞：防御；備份；注冊(cè)表；方案

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)12-20843-03

1 基本防御思想

1.1 備份勝于補(bǔ)救

1.1.1 備份

裝好機(jī)器之后，首先備份C盤（系統(tǒng)盤）WINDOWS里面，和C:\\WINDOWS\\SYSTEM32下的文件目錄。

運(yùn)行CMD命令如下：

dir/a C:\\windows\\system32 >c:\\1.txt

dir/a c:\\windows >c:\\2.txt

這樣就備份了windows和system32下面的文件列表，如果有一天覺得電腦有問題，同樣命令列出文件，然后CMD下面，F(xiàn)C命令比較一下，格式為，假如你出問題那一天system32列表為3.txt，那么FC 1.txt 3.txt >c:/4.txt

(說明: dir/a是為了查看隱藏文件，備份位置放在c根目錄是為了好找)

因?yàn)槟抉R病毒大多要調(diào)用動(dòng)態(tài)連接庫，可以對(duì)system32進(jìn)行更詳細(xì)的列表備份，如下

CD c:\\windows\\system32

dir/a >c:\\1.txt

dir/a *.DLL >c:\\>2.txt

dir/a *. >c:\\>3.txt

然后把這些備份保存在一個(gè)地方，除了問題對(duì)比一下列表便于查看多出了哪些DLL或者文件，雖然有一些是安裝軟件的時(shí)候產(chǎn)生的，并不是病毒木馬，但是還是可以提供很好參考的。

1.1.2 備份進(jìn)程中的DLL， CMD下面命令

TASKLIST/m >c:/dll.txt

這樣正在運(yùn)行的進(jìn)程的DLL列表就會(huì)出現(xiàn)在c根目錄下面。以后可以對(duì)照一下，比較方法如上不再說明，對(duì)于DLL木馬，逐個(gè)去檢查太麻煩了，直接比較方便一些。

1.1.3 備份注冊(cè)表

運(yùn)行REGEDIT，文件—導(dǎo)出，選擇全部，然后找一個(gè)位置保存。如圖1、圖2。

1.1.4 備份C盤（硬盤大的朋友使用）

開始菜單—所有程序—附件—系統(tǒng)工具—備份，然后按著向?qū)?，選擇自己備份的內(nèi)容，把系統(tǒng)備份在一個(gè)你選定的位置。如圖3、圖4、圖5。

出了問題，同樣打開，選擇還原，然后找到你的備份，還原過去就是了。這個(gè)方法比系統(tǒng)還原好用，而且省心，只備份剛安裝時(shí)的系統(tǒng)最好。

1.2 防病勝于治病

（1）關(guān)閉共享，這個(gè)網(wǎng)上說得很多，可以自己搜索，不再詳細(xì)說明。關(guān)閉139、445端口，終止Windows XP默認(rèn)共享。

（2）關(guān)閉Server， Telnet， Task Scheduler， Remote Registry這四個(gè)服務(wù)。防止一般小黑客常用的at命令等等。其他的服務(wù)可以搜索相關(guān)資料。（注意關(guān)閉以后定時(shí)殺毒、定時(shí)升級(jí)之類的計(jì)劃任務(wù)就不能執(zhí)行了。）

（3）控制面板，管理工具，本地安全策略，安全設(shè)置，本地策略，安全選項(xiàng)給Administrator系統(tǒng)管理員和guest用戶重新命名，最好起一個(gè)中文名字的，如果修改了管理員的默認(rèn)空命令更好。不過一般改一個(gè)名字對(duì)于一般游戲心態(tài)的黑客就足夠?qū)Ω读?。高手一般不?duì)個(gè)人電腦感興趣。

（4）網(wǎng)絡(luò)連接屬性里面除了TCP/IP協(xié)議，其他的全部停用，或者干脆卸載。

（5）關(guān)閉遠(yuǎn)程連接，桌面，我的電腦，屬性，遠(yuǎn)程，里面取消就是了。也可以關(guān)閉Terminal Services服務(wù)，不過關(guān)閉了以后，任務(wù)管理器中就看不到用戶名字了。

（注意：如果你喜歡鉆研黑客技術(shù)并且加以學(xué)習(xí)利用，以上設(shè)置不適合。）

2 使用注冊(cè)表

2.1 Windows XP注冊(cè)表

注冊(cè)表是windows的內(nèi)部數(shù)據(jù)庫，是一個(gè)巨大的樹狀分層的數(shù)據(jù)庫。它容納了應(yīng)用程序和計(jì)算機(jī)系統(tǒng)的全部配置信息、系統(tǒng)和應(yīng)用程序的初始化信息、應(yīng)用程序和文檔文件的關(guān)聯(lián)關(guān)系，硬件設(shè)備的說明、狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。注冊(cè)表中存放著各種參數(shù)。直接控制著Windows的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些Windows應(yīng)用程序的運(yùn)行，從而在整個(gè)Windows系統(tǒng)中起著核心作用。

2.2 病毒攻擊注冊(cè)表的類型

（1）在注冊(cè)表HKEY_LOCAL_MACHINE\\Software\\Microsoft \\Windows\\CurrentVersion\\Run\\下加載程序，使之開機(jī)時(shí)自動(dòng)運(yùn)行。類似“RUN”開頭，諸如RunOnce，RunServices等都要注意有沒有惡意程序被加載。

（2）某些對(duì)系統(tǒng)進(jìn)行破壞的病毒。此類病毒會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE\\SERVICES\\VxdD目錄下建立子鍵，并把鍵值設(shè)為1，使系統(tǒng)運(yùn)行后自動(dòng)加載病毒程序。

（3）病毒通過更改文件的打開方式，這樣可以使程序隨你打開的那種類型文件一起啟動(dòng)。在注冊(cè)表HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command，默認(rèn)值為：\"%1\"%*。例如把此默認(rèn)值改為(Trojan.exe\"%1\"%*)。則每次運(yùn)行exe文件時(shí)，Trojan.exe文件將會(huì)被執(zhí)行。

2.3 解決方案

首先應(yīng)該對(duì)注冊(cè)表有一個(gè)簡單的了解，大約需要3個(gè)小時(shí)看看相關(guān)知識(shí)。

檢查啟動(dòng)項(xiàng)目，建議運(yùn)行REGEDIT命令，好好查看注冊(cè)表的RUN項(xiàng)目，文件關(guān)聯(lián)， USERINIT，還有shell后面的explorer。是不是被改動(dòng)。相關(guān)的不再贅述，有詳盡啟動(dòng)項(xiàng)目相關(guān)的文章可以參考，為了提供一個(gè)簡單的思路，這里只列出常見的10個(gè)啟動(dòng)關(guān)聯(lián)項(xiàng)目：

(1) HKEY_LOCAL_MACHINE\\Software\\Microsoft \\Windows\\CurrentVersion\\Run

(2) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

(3) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

(4) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce

(5) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

(6) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

(7) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\up

(8) HKEY_USERS\\．Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

(9) HKEY_USERS\\．Default\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

(10) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

（凡是木馬，必須要啟動(dòng)，所以這些簡單的啟動(dòng)項(xiàng)目還是應(yīng)該好好看一下的。）

檢查服務(wù)，最簡單的吧，服務(wù)列表太長，我估計(jì)你也不一定能全部記住。說一個(gè)簡單的，運(yùn)行MSCONFIG，單擊“服務(wù)”選項(xiàng)，勾選“隱藏所有Microsoft服務(wù)”，然后就看到了不是系統(tǒng)自帶的服務(wù)，要看清楚啊?，F(xiàn)在一般殺毒軟件都要添加服務(wù)，我其實(shí)討厭殺毒添加服務(wù)，不過好像是為了反病毒。

進(jìn)程，這里只說明兩點(diǎn)：(1)打開任務(wù)管理器，單擊“進(jìn)程”選項(xiàng)，選擇“查看”菜單中“選項(xiàng)列”命令，勾選“pid”，這樣可以看到pid，所謂pid，簡單理解為就是進(jìn)程的身份證，這樣便于很多相關(guān)的處理；(2)點(diǎn)一個(gè)進(jìn)程的時(shí)候右鍵有一個(gè)選項(xiàng)，“打開所在目錄”，有很多人忽略了這點(diǎn)，很明顯通過這個(gè)操作可以看到進(jìn)程文件所在的文件夾，便于診斷。

CMD下會(huì)使用NETSTAT-ANO命令，可以查看協(xié)議端口連接和遠(yuǎn)程IP。

刪除注冊(cè)表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B{和{0D43FE01-F093-11CF-8940-00A0C9054228}兩個(gè)項(xiàng)目，搜索到以后，你就會(huì)看到這兩個(gè)與腳本有關(guān)，備份以后刪除，主要是防止網(wǎng)上的惡意代碼（如果對(duì)腳本感興趣，自己準(zhǔn)備學(xué)習(xí)相關(guān)知識(shí)并且測(cè)試的朋友不要?jiǎng)h除）

3 舉一個(gè)簡單的清除例子

（1）對(duì)象是包含在一個(gè)流行BT綠色軟件里面的木馬，殺毒軟件可以查出，但是錯(cuò)誤地判斷為“灰鴿子”。以下說的是不用任何工具的判斷和清除，當(dāng)然包括不使用殺毒軟件。

（2）中毒判斷：使用時(shí)候，忽然硬盤燈無故猛烈閃爍；系統(tǒng)有短暫速度變慢；有程序不正常的反映。

（3）檢查：服務(wù)發(fā)現(xiàn)多了一個(gè)不明服務(wù)，文件指向C:\\Program Files\\Internet Explorer下面的server，很明顯這不是系統(tǒng)自帶的文件，命令行下查看端口，有一個(gè)平常沒有的端口連接，發(fā)現(xiàn)不明進(jìn)程，啟動(dòng)項(xiàng)目添加server，確定是木馬。

（4）清除：打開注冊(cè)表，關(guān)閉進(jìn)程，刪除啟動(dòng)項(xiàng)目，注冊(cè)表搜索相關(guān)服務(wù)名字，刪除，刪除源文件。同時(shí)檢查temp文件夾，發(fā)現(xiàn)有一個(gè)新的文件夾，里面有一個(gè)“免殺”文件，刪除，清理緩存。當(dāng)然最好是安全模式下進(jìn)行。

（5）對(duì)照原來備份的system32下面的DLL列表，發(fā)現(xiàn)可疑DLL文件，刪除，也可以在查看選擇“選擇詳細(xì)信息”選擇上“創(chuàng)建日期”（這個(gè)系統(tǒng)默認(rèn)是沒有添加的），然后查看詳細(xì)信息，按創(chuàng)建日期顯示，可以發(fā)現(xiàn)新創(chuàng)建的文件。這個(gè)木馬比較簡單，沒有修改文件日期。

（這是一個(gè)簡單的病毒，時(shí)間長了，記不住具體病毒開啟的服務(wù)的名字和開啟的端口了，只是說明一下思路。提醒的就是一定不要忘記了清理緩存，因?yàn)楹芏辔募惭b或者下載的時(shí)候是存在那里的，有時(shí)候忘記了清理，病毒如果關(guān)聯(lián)在這個(gè)文件上，刪除后還會(huì)出現(xiàn)的。）

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文