个人计算机安全Word文件下载.docx

1、启动，点击打开后把里面全部删掉。注册表注册表（Registry）是Windows 9x/Me/NT/2000操作系统、硬件设备以及 客户应程序得以正常运行和储存设置的核心“数据库” ，也能够讲是一个庞 大的树状分层结构的数据库系统。它记录用户安装在机器上的软件和每个 程序的相互关联信息，包括运算机的硬件配置，其中包括自动配置的即插 即用设备和已用的各种设备讲明、状态属性以及各种状态信息和数据。注册表中相应的启动加载项目 注册表的启动项目是病毒和木马程序的最爱，专门多的病毒木马的 顽固性确实是通过注册表来实现的，专门是在安装了新的软件程序，一定 不要被程序漂亮的外表困惑，一定要看清晰它的实质是不

2、是木马的假装外 壳或者是捆绑程序，必要的时候能够按照备份来复原注册表。我们也能够通过手动的方法来检查注册表中相应的位置，注意同安 全、清洁的系统注册表相应键进行比较，如果发觉不一致的地点，一定要 弄清晰它是什么东西 !不要相信写在不处的 “system”、 “windows”、“pro gramfiles”等名称，专门是如果你认真观看的话，有些字符是不一样的，例 如 0 和 o 的区不， 1 和 l 的区不等，如果通过详细的比较，能够确定它是不 明程序的话，不要手软，赶忙删除。通过注册表来检测一些专门：1.）检查注册表看 HKEY_LOCAL_MACHINE SOFTWAREMicrosoft

3、Windows Curren Version和 HKEY_CURRENT_USER SoftwareMicrosoftWindo wsCurrentVersion下，所有以“ Run”开头的键值名，其下有没有可疑的 文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。2.）检查启动组 木马们如果隐藏在启动组尽管不是十分隐藏，但那个地点的确是自动 加载运行的好场所，因此依旧有木马喜爱在那个地点驻留的。启动组对应 的文件夹为：C:windowsstart menu programsstartup,在注册表中的 位置： HKEY_CURRENT_USER SoftwareMicrosoftW

4、indowsCurrent VersionExplorer Shell Folders Startup= windowsstart menuprog ramsstartup。要注意经常检查这两个地点哦！3.）Win.ini 以及 System.ini 也是木马们喜爱的隐藏场所，要注意这些地点比方讲，Win.ini的Windows小节下的load和run后面在正常情形下是没 有跟什么程序的，如果有了那就要小心了，看看是什么；在 System.ini的boot小节的Shell二Explorer.exe后面也是加载木马的好场所，因此也要注意那 个地点了。当你看到变成如此： Shell二Explore

5、r.exe windOws.exe,请注意那个windOws.exe专门有可能确实是木马服务端程序！赶快检查吧。4.）关于下面所列文件也要勤加检查，木马们也专门可能隐藏在那儿windowswinstart.bat、C:windowswininit.ini 、Autoexec.bat。5.）如果是 EXE 文件启动，那么运行那个程序， 看木马是否被装入内存， 端口是否打开。如果是的话，则讲明要么是该文件启动木马程序，要么是 该文件捆绑了木马程序，只好再找一个如此的程序，重新安装一下了。6.）万变不离其宗，木马启动都有一个方式，它只是在一个特定的情形 下启动因此，平常多注意一下你的端口，查看一下正

6、在运行的程序，用此来 监测大部分木马应该没咨询题的。（二）组策略 组策略是系统策略的高级扩展，是治理员为用户和运算机操纵程序、 网络资源、系统、 Windows 组件的要紧工具，可对系统的各种专门属性进 行设置。简单地讲明确实是：组策略是调整注册表的一个所见即所得编辑 器。系统高手们往往不仅熟知注册表，还经常通过组策略完成一些系统的 高级调整与修改。下面就介绍三招，如何利用组策略提升系统安全性。第一招：清理 IE 上网痕迹在 Windows XP 系统中，关于组策略“ Internet Explorer 爱护”的 技巧有专门多，我们能够进行个性化设置。其中，能够通过添加脚本的方 法，实现在退出

7、 IE 时对上网痕迹进行自动清理。具体步骤是找一台 Windo ws 2000操作系统，将Deltree.exe文件复制到 Windows XP系统的system3 2 名目下。用记事本编写一个如下内容的文本文件：echo offcd c:documents ad settingsadministratorlocal settingstemporary internet files c:winntsystem32deltree .*.* /y将文本储存为.bat批处理文件。在“开始” “运行”中输入“ gpedit.msc”打开组策略对话框，依次进入“用户配置” “ Windows设置”“脚本

8、（登录/注销）”，双击右边窗口中的“注销” ，在“添加”项目中导 入那个脚本文件即可。常见的端口号对应的协议及用途21: FTP （文件传输）80： HTTP（WWW 服务）119: NNTP （新闻服务）常见木马的入侵端口号灰鸽子: 3389黑洞： 2000冰河： 7626 广外女生： 6267 第二招：禁用指定软件程序在组策略中，能够采取禁用注册表或光驱、隐藏磁盘分区等一系 列设置。这些功能在 Windows 2000 中就能实现。 在 Windows XP 系统中还 增加了对软件的限制策略。在此以常用即时通讯软件 QQ 为例进行实例讲明。打开组策略对话框， 依次进入“运算机配置” “Wi

9、ndows 设置” “安 全设置” “软件限制策略” “其它规则” “新路径规则”，点击“扫 瞄”找到QQ安装名目下的“ QQ.exe”文件，在“安全级不”下选择“不 承诺”重启运算机后，就无法用 QQ 了。若要重新使用QQ,把安全级不 选为“不受限的”即可第三招：打造系统防火墙 在“组策略”中还能够打造系统防火墙。在默认设置下， Windows 有 专门多端口是开放的，网络病毒和黑客能够通过这些端口接入你的电脑。 为了资料的安全，应该把不必要的端口封闭，减少居心不良者入侵的机会。 以封闭80端口为例：先在“运算机配置”的“ IP安全策略”中单击右键， 创建一个新的 IP 安全策略，在“属性”

10、中添加“选择器列表” ，在“编辑规 则属性”中选择“新IP选择器列表”对话框并点击“添加”。现在用三个步骤屏蔽80端口。第一步寻址，源地址选“任何IP地址” 目标地址选“我的IP地址”；第二步选协议，选择“ TCP”在“到此端口” 下的文本框中输入 “80”；第三步创建， 返回后进入“编辑规则属性” 的“选 择器操作”，选择“要求安全（可选）”，确定后返回，再对“创建 IP 安全策 略”选择“指派”。如此就对TCP的80端口的服务进行了屏蔽，因为端口 80是HTFP的协议，提供 WWW服务，因而屏蔽之后HTFP协议网站也将 无法打开 （要重新开放可对以上各项进行修改和删除 ）。同理我们也可对一

11、些 易被木马入侵的端口进行屏蔽，让木马靠边站其他组策略安全技巧1、隐藏电脑的驱动器位置：用户配置 治理模板 Windows 组件 Windows 资源治理器将“隐 藏我的电脑中的这些指定驱动器”和“防止从我的电脑访咨询驱 动器”设置为“已启用”并设置欲阻止访咨询的驱动器。2、禁用注册表 位置：用户配置 治理模板 系统 将“组织访咨询注册表编辑工具”设置为“已启用” 。3、禁用操纵面板 位置：用户配置 治理模板 操纵面板 将“禁止访咨询操纵面板“设置为“已启用” ；或启用“隐藏指定的操 纵面板程序”并设定隐藏的项目，如想在操纵面板中隐藏 Internet 选项，则在隐藏操纵面板程序里添加Inet

12、cpl.cpl，具体名称可查看WindowsSystem3 2 里以 cpl 结尾的文件。4、隐藏文件夹 位置：用户配置 治理模板 Windows 组件 Windows 资源治理器将“工 具菜单删除文件夹选项菜单”设置为“已启用” 。服务与进程若 PC 没有专门用途，基于安全考虑，打开操纵面板，进入治理工具 服务，关闭以下服1.Alerter 通知选定的用户和运算机治理警报 2.ClipBook 启用“剪贴簿查看器”储存信息并与远程运算机共享 3.Distributed File System将分散的文件共享合并成一个逻辑名称，共 享出去，关闭后远程运算机无法访咨询共享4.Distribute

13、d Link Tracking Server适用局域网分布式链接5ndex ing Service提供本地或远程运算机上文件的索引内容和属性， 泄露信息 6.Messe nger警报7.NetMeet ing Remote Desktop Shari ng netmeet ing 公司留下的客户信 息收集8.Network DDE 为在同一台运算机或不同运算机上运行的程序提供动 态数据交换 9.Network DDE DSDM治理动态数据交换 （DDE）网络共享10.Remote Desktop Help Session Manager治理并操纵远程协助11.Remote Registry 使

14、远程运算机用户修改本地注册表12.R outi ng and Remote Access在局域网和广域往提供路由服务.黑客 理由路由服务刺探注册信息13.Server支持此运算机通过网络的文件、打 印、和命名管道共享 17.Window s Image Acquisition （WIA） 照相服务， 应用与数码摄象机 如果发觉机器开启了一些专门惊奇的服务， 如r_server如此的服务，必须赶忙停止该服务，因为这完全有可能是黑客使用操纵程序的服务端。进程 任何病毒和木马存在于系统中，都无法完全和进程脱离关系，即使 采纳了隐藏技术，也依旧能够从进程中找到蛛丝马迹，因此，查看系统中 活动的进程成为我们检测病毒木马最直截了当的方法。然而系统中同时运 行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被 病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。病毒进程隐藏三法 当我们确认系统中存在病毒，然而通过“任务治理器”查看系统 中的进程时又找不出异样的进程，这讲明病毒采纳了一些隐藏措施，总结 出来有三法：1. 以假乱真系统中的正常进程有： svchost.exe、 explorer.exe、 iexplore.exe、 wi n log on .exe等，可能你发觉过系统中存在如此的进程：svch0st.exe explore. exe iexp