病毒防护技巧

病毒防护技巧

该文章是听东方标准高显蒿老师讲课笔记。详细讲解了病毒的特征和防范措施。因为是笔记，不免有错漏，请阅读者谅解。

第一讲：

病毒传播主要途径：

网上下载或浏览、电子邮件、局域网、光盘或磁盘

病毒特性：传染性、潜伏性、隐蔽性、寄生性、触发性（日期时间触发、计数器触发、键盘触发、启动触发、感染触发、组合条件触发）、非授权执行性、破坏性。

按病毒破坏能力分：无害型（如占用磁盘空间）、无危险型（如女鬼病毒、光驱弹出）、危险型、非常危险型（如清楚数据）

病毒对计算机的影响：

操作系统病毒现象：

引导系统时间变长

计算机处理速度比以前明显放慢

系统文件出现莫名其妙的丢失、或字节变长，日期修改等现象

系统生成一些特殊的文件

驱动程序被修改使得某些外设不能正常工作

软驱、光驱丢失

计算机经常死机或重新启动

应用程序病毒现象：

启动应用程序出现“非法错误”对话框

应用程序文件变大

应用程序不能被复制、移动、删除

硬盘上出现大量无效文件

某些程序运行时载入时间变长

第二讲：

操作系统安全：

系统进程：

Csrss.exe

Lsass.exe

Services.exe

System

Smss.exe

Srevices.exe

Svchost.exe

除了以上七个进程保留外，其它进程都可以结束。不管什么病毒，只要这样做一般就能清除掉。

当不知道什么进程保留、什么进程不保留时，把不能清楚的进程留下，剩下的进程全部清掉。

其中还有一个进程System Idle Process从CPU看出就用80－90，实际上它并不是一个进程。它是剩余资源值，是越多越好。不要杀死，也就杀不死。

System：严格意义上说也不是一个进程。真正的进程是.exe文件。它是一个副进程，在它下面有.exe 进程。如Smss.exe/Winlogon.exe(用户登录进程，一结束就会蓝屏)/Csrss.exe（Win32系统运行进程）/Services.exe(维护系统服务)/Lsass.exe（与本地安全性相关的进程）

Svchost.exe：有好多这个进程，其中有一个不能结束（结束后会60秒重启，不能操作界面没有了，复制、粘贴功能没有了，控制面板会乱，系统就不能用了）。但有的还必须结束（很多病毒就伪装成这个进程），当这个进程过多、或者不在system32文件夹下，那么这个进程100%有问题，是否在system32文件夹下只有用process explorer进程管理软件才能看到（鼠标放在上面就会显示），Windows自带的进程管理器是看不到的。

Explorer.exe：这个进程是可以结束的。代表资源管理器。结束后操作界面没有了，但不影响杀毒。很多病毒都是跟它关联的，所以在杀毒前还必须把这个进程结束。

结束了进程再进行杀毒，才能杀干净。否则是杀不死病毒的。

杀进程命令：ntsd –c q –p (进程编号)，该命令供系统员调试系统用，一定要慎用。千万不能用该命令将系统七个必要的进程也杀死。另外还可以用工具process explorer进行清除。

有些进程终止了，又出来了怎么办？这是因为有关该进程的服务没有取消。只需要在服务中将该服务禁止，就可以结束进程了。这些杀不掉的进程一般不是服务就是病毒。

windowsNT文件系统安全

windowsNT4.0以上的系统都叫NT。

权限分两种：本地权限和共享权限

磁盘分区

远程文件访问控制

基本的文件权限

Windows2000 注册表安全

注册表结构

注册表访问控制

注册表的审核

两种方法可打开：一种是“运行－regedit”（XP和win2003）；一种是“运行――regedt32”（win2000）。

注册表任何项都可以删掉，只看你的权限大小了。

HKEY_USERS和HKEY_CURRENT_CONFIT两个键值不需要改，改了也没用。

与清除病毒和日常使用相关的注册表修改：

HKEY_CLASSES_ROOT键下记录的是一些本计算机能识别的文件类型，与清病毒关联很大。要想在计算机注册一个新的文件类型，必须建立两个键值：一个是.*，一个是在.*中定义该文件类型的键值（如.txt文件就是：txtfile）。

有些病毒与文件是关联的。如与.txt文件关联的病毒，当你停止某病毒进程后，再打开.txt文件，该病毒进程就又运行了。关联就是靠修改上述键值实现的。

如何打开txt文件，就是注册表中有.txt项，默认键值：txtfile，还有txtfile项，其中

shell-open-command 项默认值：notepad.exe 1%（说明打开该文件用命令notepad，1%意思是将双击文件传到记事本中）。

如何将病毒与txt文件关联：就是将txtfile-shell-open-command值改为病毒的名子，如sys.exe 1%。该病毒程序中又包含了执行后再用notepad.exe 1%打开文本文件的内容，所以每次双击文本文档的时候，都要先执行病毒程序，而后再打开文件文档，使你在不经意中启动病毒程序。

当杀了该种病毒后，文本文件可能打不开，或让你选择打开方式。这时就需要将被改的部分再改正：txtfile-shell-open-command-notepad.exe 1%。千万不能改错，如将1%忘记写，就会出现双击编辑好的文本文件，但没有内容的问题。

最严重的是与.exe文件关联：与.txt文件关联一样，双击.exe文件后，先执行病毒，然后再由病毒文件打开.exe文件。严重的是清除该病毒后，所有.exe文件都打不开了。

第三讲注册表修改

HKEY_CURRENT_USER针对个人用户（如设置个人桌面、参数、选项等）：没有多少可以修改的。重点是software（只针对注册登录用户）

HKEY_LOCAL_MACHINE（关于本地计算机，每个用户都不同）：重点是software（针对所有用户的）和system。

Software：记录所有软件的信息。其中IE键值记录了默认主页、自动弹出等。

Windows：在current version/run下记录了开机启动项，有些病毒也是从这里启动加载的。你尽管