个人计算机安全Word文件下载.docx

个人计算机安全Word文件下载.docx

《个人计算机安全Word文件下载.docx》由会员分享，可在线阅读，更多相关《个人计算机安全Word文件下载.docx（13页珍藏版）》请在冰豆网上搜索。

启动"

，点击打开后把里面全部删掉。

注册表

注册表（Registry）是Windows9x/Me/NT/2000操作系统、硬件设备以及客户应程序得以正常运行和储存设置的核心“数据库”，也能够讲是一个庞大的树状分层结构的数据库系统。

它记录用户安装在机器上的软件和每个程序的相互关联信息，包括运算机的硬件配置，其中包括自动配置的即插即用设备和已用的各种设备讲明、状态属性以及各种状态信息和数据。

注册表中相应的启动加载项目注册表的启动项目是病毒和木马程序的最爱，专门多的病毒木马的顽固性确实是通过注册表来实现的，专门是在安装了新的软件程序，一定不要被程序漂亮的外表困惑，一定要看清晰它的实质是不是木马的假装外壳或者是捆绑程序，必要的时候能够按照备份来复原注册表。

我们也能够通过手动的方法来检查注册表中相应的位置，注意同安全、清洁的系统注册表相应键进行比较，如果发觉不一致的地点，一定要弄清晰它是什么东西!

不要相信写在不处的“system”、“windows”、“programfiles”等名称，专门是如果你认真观看的话，有些字符是不一样的，例如0和o的区不，1和l的区不等，如果通过详细的比较，能够确定它是不明程序的话，不要手软，赶忙删除。

通过注册表来检测一些专门：

1.）检查注册表

看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。

如果有，就需要删除相应的键值，再删除相应的应用程序。

2.）检查启动组木马们如果隐藏在启动组尽管不是十分隐藏，但那个地点的确是自动加载运行的好场所，因此依旧有木马喜爱在那个地点驻留的。

启动组对应的文件夹为：

C:

\windows\startmenu\programs\startup,在注册表中的位置：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup="

\windows\startmenu\programs\startup"

。

要注意经常检查这两个地点哦！

3.）Win.ini以及System.ini也是木马们喜爱的隐藏场所，要注意这些地

点比方讲，Win.ini的［Windows］小节下的load和run后面在正常情形下是没有跟什么程序的，如果有了那就要小心了，看看是什么；

在System.ini的［b

oot］小节的Shell二Explorer.exe后面也是加载木马的好场所，因此也要注意那个地点了。

当你看到变成如此：

Shell二Explorer.exewindOws.exe,请注意那

个windOws.exe专门有可能确实是木马服务端程序！

赶快检查吧。

4.）关于下面所列文件也要勤加检查，木马们也专门可能隐藏在那儿

\windows\winstart.bat、C:

\windows\wininit.ini、Autoexec.bat。

5.）如果是EXE文件启动，那么运行那个程序，看木马是否被装入内存，端口是否打开。

如果是的话，则讲明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个如此的程序，重新安装一下了。

6.）万变不离其宗，木马启动都有一个方式，它只是在一个特定的情形下启动

因此，平常多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没咨询题的。

（二）组策略组策略是系统策略的高级扩展，是治理员为用户和运算机操纵程序、网络资源、系统、Windows组件的要紧工具，可对系统的各种专门属性进行设置。

简单地讲明确实是：

组策略是调整注册表的一个所见即所得编辑器。

系统高手们往往不仅熟知注册表，还经常通过组策略完成一些系统的高级调整与修改。

下面就介绍三招，如何利用组策略提升系统安全性。

第一招：

清理IE上网痕迹

在WindowsXP系统中，关于组策略“InternetExplorer爱护”的技巧有专门多，我们能够进行个性化设置。

其中，能够通过添加脚本的方法，实现在退出IE时对上网痕迹进行自动清理。

具体步骤是找一台Windows2000操作系统，将Deltree.exe文件复制到WindowsXP系统的system32名目下。

用记事本编写一个如下内容的文本文件：

@echooff

cdc:

\documentsadsettings\administrator\localsettings\temporaryinternetfilesc:

\winnt\system32\deltree.\*.*/y

将文本储存为.bat批处理文件。

在“开始”“运行”中输入“g

pedit.msc”打开组策略对话框，依次进入“用户配置”“Windows设置”

“脚本（登录/注销）”，双击右边窗口中的“注销”，在“添加”项目中导入那个脚本文件即可。

常见的端口号对应的协议及用途

21:

FTP（文件传输）

80：

HTTP（WWW服务）

119:

NNTP（新闻服务）

常见木马的入侵端口号

灰鸽子:

3389

黑洞：

2000

冰河：

7626广外女生：

6267第二招：

禁用指定软件程序

在组策略中，能够采取禁用注册表或光驱、隐藏磁盘分区等一系列设置。

这些功能在Windows2000中就能实现。

在WindowsXP系统中还增加了对软件的限制策略。

在此以常用即时通讯软件QQ为例进行实例讲

明。

打开组策略对话框，依次进入“运算机配置”“Windows设置”“安全设置”“软件限制策略”“其它规则”“新路径规则”，点击“扫瞄”找到QQ安装名目下的“QQ.exe”文件，在“安全级不”下选择“不承诺”重启运算机后，就无法用QQ了。

若要重新使用QQ,把安全级不选为“不受限的”即可

第三招：

打造系统防火墙在“组策略”中还能够打造系统防火墙。

在默认设置下，Windows有专门多端口是开放的，网络病毒和黑客能够通过这些端口接入你的电脑。

为了资料的安全，应该把不必要的端口封闭，减少居心不良者入侵的机会。

以封闭80端口为例：

先在“运算机配置”的“IP安全策略”中单击右键，创建一个新的IP安全策略，在“属性”中添加“选择器列表”，在“编辑规则属性”中选择“新IP选择器列表”对话框并点击“添加”。

现在用三个步骤屏蔽80端口。

第一步寻址，源地址选“任何IP地址”目标地址选“我的IP地址”；

第二步选协议，选择“TCP”在“到此端口”下的文本框中输入“80”；

第三步创建，返回后进入“编辑规则属性”的“选择器操作”，选择“要求安全（可选）”，确定后返回，再对“创建IP安全策略”选择“指派”。

如此就对TCP的80端口的服务进行了屏蔽，因为端口80是HTFP的协议，提供WWW服务，因而屏蔽之后HTFP协议网站也将无法打开（要重新开放可对以上各项进行修改和删除）。

同理我们也可对一些易被木马入侵的端口进行屏蔽，让木马靠边站

其他组策略安全技巧

1、隐藏电脑的驱动器

位置：

用户配置治理模板\Windows组件\Windows资源治理器将“隐藏‘我的电脑'

中的这些指定驱动器”和“防止从‘我的电脑'

访咨询驱动器”设置为“已启用”并设置欲阻止访咨询的驱动器。

2、禁用注册表位置：

用户配置治理模板系统将“组织访咨询注册表编辑工具”设置为“已启用”。

3、禁用操纵面板位置：

用户配置治理模板操纵面板将“禁止访咨询操纵面板“设置为“已启用”；

或启用“隐藏指定的操纵面板程序”并设定隐藏的项目，如想在操纵面板中隐藏Internet选项，则

在隐藏操纵面板程序里添加Inetcpl.cpl，具体名称可查看Windows\System32里以cpl结尾的文件。

4、隐藏文件夹位置：

用户配置治理模板\Windows组件\Windows资源治理器将“‘工具'

菜单删除‘文件夹选项'

菜单”设置为“已启用”。

服务与进程

若PC没有专门用途，基于安全考虑，打开操纵面板，进入治理工具——服务，关闭以下服

1.Alerter[通知选定的用户和运算机治理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程运算机共享]

3.DistributedFileSystem[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程运算机无法访咨询共享

4.DistributedLinkTrackingServer[适用局域网分布式链接]

5」ndexingService[提供本地或远程运算机上文件的索引内容和属性，泄露信息]

6.Messenger警报]

7.NetMeetingRemoteDesktopSharing[netmeeting公司留下的客户信息收集]

8.NetworkDDE［为在同一台运算机或不同运算机上运行的程序提供动态数据交换］

9.NetworkDDEDSDM［治理动态数据交换（DDE）网络共享］

10.RemoteDesktopHelpSessionManager［治理并操纵远程协助］

11.RemoteRegistry［使远程运算机用户修改本地注册表］

12.RoutingandRemoteAccess［在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息］13.Server支持此运算机通过网络的文件、打印、和命名管道共享］

17.WindowsImageAcquisition（WIA）［照相服务，应用与数码摄象机］

如果发觉机器开启了一些专门惊奇的服务，如r_server如此的服务，必

须赶忙停止该服务，因为这完全有可能是黑客使用操纵程序的服务端。

进程任何病毒和木马存在于系统中，都无法完全和进程脱离关系，即使采纳了隐藏技术，也依旧能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直截了当的方法。

然而系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？

请看本文。

病毒进程隐藏三法当我们确认系统中存在病毒，然而通过“任务治理器”查看系统中的进程时又找不出异样的进程，这讲明病毒采纳了一些隐藏措施，总结出来有三法：

1.以假乱真

系统中的正常进程有：

svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发觉过系统中存在如此的进程：

svch0st.exeexplore.exeiexp