安全技巧：找到电脑中隐藏的入侵黑手

admin · 发表于 2010-12-28 00:19:15

<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div>　    平时使用电脑的时候也许会遇到这样的情况：
　　计算机突然死机，有时又自动重新启动，无端端的少了些文件，发现桌面刷新慢，没有运行什么大的程序，硬盘却在拼命的读写，系统也莫明其妙地对软驱进行搜索，杀毒软件和防火墙报警，发现系统的速度越来越慢，这时候你就要小心了。
　　第一时间反应(养成一个好的习惯往往可以减少所受的损失)：用CTRL＋ALT＋DEL调出任务表，查看有什么程序在运行，如发现陌生的程序就要多加注意，一般来说，凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意：这里说的是基本运行，先和大家说明白，关于这条我是在网络上关于这个研究的结果)，所以大家可以关闭一些可疑的程序来看看，发现一些不正常的情况恢复了正常，那么就可以初步确定是中了木马了，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这也是一种可疑的现象也要特别注意，你这时是在连入Internet网或是局域网后才发现这些现象的话，不要怀疑，动手查看一下吧！，(注：也有可能是其它一些病毒在作怪)
　　1. 先升级杀毒软件到最新，对系统进行全面的检查扫描。
　　2. 点击工具→文件夹选项→查看把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉，以方便查看。
　　3. 查看Windows目录下的WIN.INI文件中开头的几行：[WINDOWS] load= ren=这里放的是启动Windows自动执行的程序，可以看看对比对比一下。
　　4. 查看Windows目录下的SYSTEM.INI文件中的这几行：[386Enh] device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如：device=c：windowssystem32tianyangdemeng.exe(这里只是打个比方)
　　5. 查看开始菜单中的“程序”→“启动”。这里放的也是启动Windows自动执行的程序，如果有的话，它就放在C：WindowsStart MenuPrograms中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。
　　6. 在“开始”→“运行”中输入"MSCONFIG"查看是否有可疑的启动项，你也许会问，前面不是说了吗？其实，这两种方法是不同的，你分别用这两个方法查看一下就会发现不同了。
　　7. 查看注册表，在“开始”→“运行”中输入“REGEDIT”。
　　先对注册表进行备份，才对注册查看。(一定要养成一个习惯，在修改木文件时，对自己没有把握的需要先进行备份)
　　查看 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项，看看有没有可疑的程序。
　　查看 HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND，看看是否有。EXE文件关联的木马，正确值为"%1"%*查看 HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND，看看是否有。INF文件关联的木马，正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND，看看是否有。TXT文件关联的木马，正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1启动CMD，输入NETSTAT -AN 查看有没有异常的端口。
<style type="text/css">
.pb{}
.pb textarea{font-size:14px; margin:10px; font-family:"宋体"; background:#FFFFEE; color:#000066}
.pb_t{line-height:30px; font-size:14px; color:#000; text-align:center;}

/* 分页 */
.pagebox{overflow:hidden; zoom:1; font-size:12px; font-family:"宋体",sans-serif;}
.pagebox span{float:left; margin-right:2px; overflow:hidden; text-align:center; background:#fff;}
.pagebox span a{display:block; overflow:hidden; zoom:1; _float:left;}
.pagebox span.pagebox_pre_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;}
.pagebox span.pagebox_pre{color:#3568b9; height:23px;}
.pagebox span.pagebox_pre a,.pagebox span.pagebox_pre a:visited,.pagebox span.pagebox_next a,.pagebox span.pagebox_next a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; text-align:center; width:53px; cursor:pointer; height:21px; line-height:21px;}
.pagebox span.pagebox_pre a:hover,.pagebox span.pagebox_pre a:active,.pagebox span.pagebox_next a:hover,.pagebox span.pagebox_next a:active{color:#363636; border:1px #2e6ab1 solid;}
.pagebox span.pagebox_num_nonce{padding:0 8px; height:23px; line-height:23px; color:#fff; cursor:default; background:#296cb3; font-weight:bold;}
.pagebox span.pagebox_num{color:#3568b9; height:23px;}
.pagebox span.pagebox_num a,.pagebox span.pagebox_num a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; padding:0 8px; cursor:pointer; height:21px; line-height:21px;}
.pagebox span.pagebox_num a:hover,.pagebox span.pagebox_num a:active{border:1px #2e6ab1 solid;color:#363636;}
.pagebox span.pagebox_num_ellipsis{color:#393733; width:22px; background:none; line-height:23px;}
.pagebox span.pagebox_next_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;}</style>
　　8. Windows中的执行文件。exe、。com、。dll ……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候，把以上文件做一个备份，到需要的时候就可以写回去！
　　9. 在Windows目录下，看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件，不过，它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序，把它记录下来，到百度查一下，一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)
　　10. 查看c：autoexec.bat与c：config.sys，这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。
　　11. 右击“我的

许甲 · 发表于 2011-1-31 00:31:06

[url=http://bbs.52cnw.net]人间佛教网真不错，收藏了

西北汉子 · 发表于 2011-2-9 14:00:43

我在努力中

周亿成 · 发表于 2011-3-1 06:55:15

风物长宜放眼量

左手幸福 · 发表于 2011-3-30 06:44:09

我想要`~

浓烟熏湿眼 · 发表于 2011-3-31 06:50:37

真它??的?蚝

吕侄 · 发表于 2011-4-4 06:56:47

好人一个

帐号		自动登录	找回密码
密码			免费注册