Windows下病毒木馬基本防御和解決方案

時間：2024-01-09 06:01:16 加城1195由分享

　　電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導致病毒入侵。做好防御也是一大關(guān)鍵，下面一起看看Windows下病毒木馬基本防御和解決方案!

　　一.基本防御思想：備份勝于補救。

　　1.備份，裝好機器之后，首先備份c盤(系統(tǒng)盤)windows里面，和C:\WINDOWS\system32下的文件目錄。

　　運行,cmd命令如下;

　　dir/a C:\WINDOWS\system32 >c:\1.txt

　　dir/a c:\windows >c:\2.txt

　　這樣就備份了windows和system32下面的文件列表，如果有一天覺得電腦有問題，同樣命令列出文件，然后cmd下面，fc命令比較一下，格式為，假如你出問題那一天system32列表為3.txt，那么fc 1.txt 3.txt >c:/4.txt

　　因為木馬病毒大多要調(diào)用動態(tài)連接庫，可以對system32進行更詳細的列表備份，如下

　　cd C:\WINDOWS\system32

　　dir/a >c:\1.txt

　　dir/a *.dll >c:\>2.txt

　　dir/a *.exe >c:\>3.txt

　　然后把這些備份保存在一個地方，除了問題對比一下列表便于察看多出了哪些DLL或者EXE文件，雖然有一些是安裝軟件的時候產(chǎn)生的，并不是病毒木馬，但是還是可以提共很好的參考的。

　　2.備份進程中的DLL, CMD下面命令

　　tasklist/m >c:/dll.txt

　　這樣正在運行的進程的DLL列表就會出現(xiàn)在c根目錄下面。以后可以對照一下，比較方法如上不多說，對于DLL木馬，一個一個檢查DLL太麻煩了。直接比較方便一些。

　　3.備份注冊表，

　　運行REGEDIT，文件——導出——全部，然后隨便找一個地方保存。

　　4.備份C盤

　　開始菜單，所有程序，附件，系統(tǒng)工具，備份，然后按這說明下一步，選擇我自己選擇備份的內(nèi)容，然后把系統(tǒng)備份在一個你選定的位置。

　　出了問題，同樣打開，選擇還原，然后找到你的備份，還原過去就是了。

　　二，基本防御思想，防病勝于治病。

　　1.關(guān)閉共享。關(guān)閉139.445端口，終止xp默認共享。

　　2.關(guān)閉服務(wù)server,telnet, Task Scheduler, Remote Registry這四個。(注意關(guān)閉以后定時殺毒定時升級之類的計劃任務(wù)就不能執(zhí)行了。)

　　3.控制面板，管理工具，本地安全策略，安全策略，本地策略，安全選項給管理員和guest用戶從新命名，最好是起一個中文名字的，如果修改了管理員的默認空命令更好。不過一般改一個名字對于一般游戲心態(tài)的黑客就足夠了對付了。高手一般不對個人電腦感興趣。

　　4.網(wǎng)絡(luò)連接屬性里面除了tcp/ip協(xié)議全部其他的全部停用，或者干脆卸載。

　　5.關(guān)閉遠程連接，桌面，我的電腦，屬性，遠程，里面取消就是了。也可以關(guān)閉Terminal Services服務(wù)，不過關(guān)閉了以后，任務(wù)管理器中就看不到用戶名字了。

　　三，基本解決方法，進程服務(wù)注冊表。

　　1. 首先應(yīng)該對進程服務(wù)注冊表有一個簡單的了解，大約需要3個小時看看網(wǎng)上的相關(guān)知識應(yīng)該就會懂得了。

　　2.檢查啟動項目，不建議使用運行msconfig命令，而要好好察看注冊表的run項目，和文件關(guān)聯(lián)，還有userinit,還有shell后面的explorer.exe是不是被改動。相關(guān)的不在多說，網(wǎng)上資料很多，有詳盡的啟動項目相關(guān)的文章。我只是說出思路。以下列出簡單的35個常見的啟動關(guān)聯(lián)項目

　　1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\

　　2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.

　　4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

　　5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

　　6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

　　8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

　　9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

　　11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

　　12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\

　　13. HKEY_CURRENT_USER\Control Panel\Desktop

　　14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager

　　15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\

　　16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\

　　17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\

　　18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\

　　19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\

　　20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\

　　21. HKEY_CLASSES_ROOT\exefile\shell\open\command\

　　22. HKEY_CLASSES_ROOT\comfile\shell\open\command\

　　23. HKEY_CLASSES_ROOT\batfile\shell\open\command\

　　24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\

　　25. HKEY_CLASSES_ROOT\piffile\shell\open\command\

　　26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\

　　27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\

　　28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline

　　29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline

　　30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

　　31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\

　　32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

　　33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\

　　35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\

　　3.檢查服務(wù)，最簡單的吧，服務(wù)列表太長，我估計你也不一定能全部記住。說一個簡單的，運行msconfig，服務(wù)，把“隱藏所有的microsoft服務(wù)”選中，然后就看到了不是系統(tǒng)自帶的服務(wù)，要看清楚啊，最后在服務(wù)里面找找看看屬性，看看關(guān)聯(lián)的文件?，F(xiàn)在一般殺毒都要添加服務(wù)，我其實討厭殺毒添加服務(wù)，不過好像是為了反病毒。

　　4.進程，這個網(wǎng)上資料更多，只說明兩點，1.打開任務(wù)管理器，在“查看”，“選項列”中把“pid”選中，這樣可以看到pid。2.點一個進程的時候右鍵有一個選項，“打開所在目錄”，這個很明顯的，但是很多哥們都忽略了，這個可以看到進程文件所在的文件夾，便于診斷。

　　5.cmd下會使用，netstat –ano命令，覺得這一個命令對于簡單的使用就可以了，可以查看協(xié)議端口連接和遠程ip.

　　6.刪除注冊表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝

　　{0D43FE01-F093-11CF-8940-00A0C9054228}

　　兩個項目，搜索到以后你會看到是兩個和腳本相關(guān)的，備份以后刪除，主要是防止一下網(wǎng)上的惡意代碼

　　四，舉一個簡單的清除例子。

　　1.對象是包含在一個流行BT綠色軟件里面的木馬，殺毒可以殺出，但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和清除，當然任何工具中包括殺毒。

　　2.中毒判斷：使用時候，忽然硬盤燈無故猛烈閃爍。系統(tǒng)有短暫速度變慢。有程序不正常的反映，懷疑有問題。

　　2.檢查，服務(wù)發(fā)現(xiàn)多了一個不明服務(wù)，文件指向C:\Program Files\Internet Explorer下面的server.exe文件，明顯的這不是系統(tǒng)自帶的文件，命令行下察看端口，有一個平常沒有得端口連接。進程發(fā)現(xiàn)不明進程。啟動項目添加server.exe.確定是木馬。

　　4.清除：打開注冊表，關(guān)閉進程，刪除啟動項目，注冊表搜索相關(guān)服務(wù)名字，刪除，刪除源文件。同時檢查temp文件夾，發(fā)現(xiàn)有一個新的文件夾，里面有一個“免殺.exe”文件，刪除，清理緩存。當然最好是安全模式下進行。

　　5.對照原來備份的system32下面的dll列表，發(fā)現(xiàn)可疑dll文件，刪除，也可以在查看選擇“選擇詳細信息”選擇上“創(chuàng)建日期”(這個系統(tǒng)默認是沒有添加的)，然后查看詳細信息，按創(chuàng)建日期顯示，可以發(fā)現(xiàn)新創(chuàng)建的文件。這個木馬比較簡單，沒有修改文件日期。

　　在那里的，有時候忘記了清理，病毒如果關(guān)聯(lián)在這個文件上，刪除后還會出現(xiàn)的。)

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機、電腦、服務(wù)器以及云計算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務(wù)器暴露在網(wǎng)上。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

　　四、韓國平昌冬季奧運會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺接入歐洲廢水處理設(shè)施運營技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關(guān)鍵基礎(chǔ)設(shè)施運營商的運營技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為人機交互(簡稱HMI)設(shè)備，之所以導致廢水處理系統(tǒng)癱瘓，是因為這種惡意軟件會嚴重降低 HMI 的運行速度。

Windows下病毒木馬基本防御和解決方案相關(guān)文章：

1.win7系統(tǒng)如何清除偽裝木馬病毒文件