常常碰到名為“_desktop.ini”的一個隱藏文件。經查是一種叫做威金的蠕蟲病毒。它的癥狀是感染10MB以下的可執行程序，表現為改變程序的圖標，并且導致可執行程序不能被執行。計算機反應變慢，斷網等現象。通過網上下載的專殺工具試圖驅逐無果，刪是刪不掉的，它從你的計算機的最后一個盤向上不停的復制。似乎只有通從新分區后再做重做系統才會徹底。但是這樣，就丟了計算機上很多寶貴的東東。
這幾天被病毒害苦了，到處都是_desktop.ini
　　
網上搜了一下。。基本搞定,　下面這個方法不錯。
批量刪除_desktop.ini的命令
現在使用DOS命令批量刪除_desktop.ini，如下：
　　del d:\_desktop.ini /f/s/q/a
　　強制刪除d盤下所有目錄內（包括d盤本身）的_desktop.ini文件并且不提示是否刪除
　　/f 強制刪除只讀文件
　　/q 指定靜音狀態。不提示您確認刪除。
　　/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
　　/a的意思是按照屬性來刪除了
　　這個命令的作用是在殺掉viking病毒之后清理系統內殘留的_desktop.ini文件用的

手動清除方案：

１、手工清除請按照行為分析刪除對應文件，恢復相關系統設置。
(1) 使用“進程管理”關閉病毒進程
(2) 刪除病毒文件
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統根目錄\_desktop.ini
系統根目錄\1.txt
系統根目錄\MH_FILE\MH_DLL.dll
系統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"

下面是病毒的詳細資料：
病毒名稱： Worm.Win32.Viking.p
病毒類型： 蠕蟲
文件 MD5： E939658C090087B08A1CD498F2DB59B3
公開范圍： 完全公開
危害等級： 中
文件長度： 1,025,308 字節
感染系統： windows98以上版本
開發工具： Borland Delphi V3.0
加殼類型： Upack 2.4 - 2.9 beta
命名對照： Symentec[W32.Looked.P]
　　　　　 Mcafee[無]
該病毒屬蠕蟲類，病毒運行后釋放病毒文件%WINDDIR%\rundl132.exe、系統盤根目錄\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll，會在大量文件夾中釋放文件_desktop.ini；連接網絡，開啟端口，下載病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe；開啟進程conime.exe及其自身，注入到進程explorer.exe中，修改注冊表，添加啟動項，以達到隨機啟動的目的；感染大部分非系統文件；病毒把自身加入到要感染的程序，在被感染的程序運行時，病毒也同時運行，但在運行一次后自動釋放病毒體，被感染文件也恢復正常，隔段時間后病毒會再次感染此應用程序；病毒嘗試終止相關殺病毒軟件；病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。

1、病毒運行后釋放病毒文件：
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統根目錄\_desktop.ini
系統根目錄\1.txt
系統根目錄\MH_FILE\MH_DLL.dll
系統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini

2、連接網絡，開啟端口，下載病毒文件：
協議：TCP
IP：61.152.116.22
本地端口：隨機開啟本地1024以上端口，如：1156
下載病毒文件：
路徑名：
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名：
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs

3、開啟進程conime.exe及其自身，注入到進程explorer.exe中。

4、修改注冊表，添加啟動項，以達到隨機啟動的目的：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"

5、感染大部分非系統文件，不感染下列文件夾中的文件：
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information

6、病毒嘗試終止相關殺病毒軟件。

7、病毒把自己身加入到要感染的程序，在被感染的程序運行時，病毒也同時運行，但在運行一次后自動釋放病毒體，被感染文件也恢復正常，隔段時間后病毒會再次感染此應用程序。

8、病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
注：% System%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

第一：進程是什么

進程為應用程序的運行實例，是應用程序的一次動態執行。看似高深，我們可以簡單地理解為：它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括：系統管理計算機個體和完成各種操作所必需的程序；用戶開啟、執行的額外程序，當然也包括用戶不知道，而自動運行的非法程序（它們就有可能是病毒程序）。

危害較大的可執行病毒同樣以“進程”形式出現在系統內部（一些病毒可能并不被進程列表顯示，如“宏病毒”），那么及時查看并準確殺掉非法進程對于手工殺毒有起著關鍵性的作用。

第二：什么是木馬

木馬病毒源自古希臘特洛伊戰爭中著名的“木馬計”而得名，顧名思義就是一種偽裝潛伏的網絡病毒，等待時機成熟就出來害人。

傳染方式：通過電子郵件附件發出，捆綁在其他的程序中。

病毒特性：會修改注冊表、駐留內存、在系統中安裝后門程序、開機加載附帶的木馬。

木馬病毒的破壞性：木馬病毒的發作要在用戶的機器里運行客戶端程序，一旦發作，就可設置后門，定時地發送該用戶的隱私到木馬程序指定的地址，一般同時內置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。

防范措施：用戶提高警惕，不下載和運行來歷不明的程序，對于不明來歷的郵件附件也不要隨意打開。

第三：什么是計算機病毒

計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。

除復制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其它類型的災害。若是病毒并不寄生于一個污染程序，它仍然能通過占據存貯空間給你帶來麻煩，并降低你的計算機的全部性能。可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網絡等作為媒介傳播擴散,能“傳染” 其他程序的程序。另一種是能夠實現自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內存）或程序里。當某種條件或時機成熟時,它會自生復制并傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網絡,危害正常工作的“病原體”。它能夠對計算機系統進行各種破壞,同時能夠自我復制, 具有傳染性。

所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。

第四：什么是蠕蟲病毒

蠕蟲病毒是計算機病毒的一種。它的傳染機理是利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件。

比如近幾年危害很大的“尼姆達”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作系統的漏洞，計算機感染這一病毒后，會不斷自動撥號上網，并利用文件中的地址信息或者網絡共享進行傳播，最終破壞用戶的大部分重要數據。

蠕蟲病毒的一般防治方法是：使用具有實時監控功能的殺毒軟件，并且注意不要輕易打開不熟悉的郵件附件。

第五：什么是廣告軟件Adware

廣告軟件（Adware）是指 未經用戶允許，下載并安裝或與其他軟件捆綁通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。安裝廣告軟件之后，往往造成系統運行緩慢或系統異常。

防治廣告軟件，應注意以下方面：

1、不要輕易安裝共享軟件或“免費軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來安全風險。


2、有些廣告軟件通過惡意網站安裝，所以，不要瀏覽不良網站。

3、采用安全性比較好的網絡瀏覽器，并注意彌補系統漏洞。

第六：什么是間諜軟件Spyware

間諜軟件（Spyware）是能夠在使用者不知情的情況下，在用戶電腦上安裝后門程序的軟件。 用戶的隱私數據和重要信息會被那些后門程序捕獲， 甚至這些 “后門程序” 還能使黑客遠程操縱用戶的電腦。

防治間諜軟件，應注意以下方面：

1、不要輕易安裝共享軟件或“免費軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來安全風險。

2、有些間諜軟件通過惡意網站安裝，所以，不要瀏覽不良網站。

3、采用安全性比較好的網絡瀏覽器，并注意彌補系統漏洞。

第七：Dll文件是什么

DLL是Dynamic Link Library的縮寫，意為動態鏈接庫。在Windows中，許多應用程序并不是一個完整的可執行文件，它們被分割成一些相對獨立的動態鏈接庫，即DLL文件，放置于系統中。當我們執行某一個程序時，相應的DLL文件就會被調用。一個應用程序可有多個DLL文件，一個DLL文件也可能被幾個應用程序所共用，這樣的DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目錄下。

1、如何了解某應用程序使用哪些DLL文件

右鍵單擊該應用程序并選擇快捷菜單中的“快速查看”命令，在隨后出現的“快速查看”窗口的“引入表”一欄中你將看到其使用DLL文件的情況。

2、如何知道DLL文件被幾個程序使用

運行Regedit，進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-

ersionSharedDlls子鍵查看，其右邊窗口中就顯示了所有DLL文件及其相關數據，其中數據右邊小括號內的數字就說明了被幾個程序使用，（2）表示被兩個程序使用，（0）則表示無程序使用，可以將其刪除。

3、如何解決DLL文件丟失的情況

有時在卸載文件時會提醒你刪除某個DLL文件可能會影響其他應用程序的運行。所以當你卸載軟件時，就有可能誤刪共享的DLL文件。一旦出現了丟失DLL文件的情況，如果你能確定其名稱，可以在Sysbckup（系統備份文件夾）中找到該DLL文件，將其復制到System文件夾中。如果這樣不行，在電腦啟動時又總是出現“***dll文件丟失……”的提示框，你可以在“開始/運行”中運行Msconfig，進入系統配置實用程序對話框以后，單擊選擇“System.ini”標簽，找出提示丟失的DLL文件，使其不被選中，這樣開機時就不會出現錯誤提示了。

rundll的功能是以命令列的方式呼叫Windows的動態鏈結庫。

Rundll32.exe與Rundll.exe的區別就在于前者是呼叫32位的鏈結庫，后者是用于16位的鏈結庫。rundll32.exe是專門用來調用dll文件的程序。

如果用的是Win98，rundll32.exe一般存在于Windows目錄下；

如果用的WinXP，rundll32.exe一般存在于WindowsSystem32目錄下。

若是在其它目錄，就可能是一個木馬程序，它會偽裝成rundll32.exe。

第八：什么是系統進程

進程是指在系統中正在運行的一個應用程序；線程是系統分配處理器時間資源的基本單元，或者說進程之內獨立執行的一個單元。對于操 作系統而言，其調度單元是線程。一個進程至少包括一個線程，通常將該線程稱為主線程。一個進程從主線程的執行開始進而創建一個或多個附加線程，就是所謂基于多線程的多任務。

那進程與線程的區別到底是什么？進程是執行程序的實例。例如，當你運行記事本程序（Nodepad）時，你就創建了一個用來容納組成Notepad.exe的代碼及其所需調用動態鏈接庫的進程。每個進程均運行在其專用且受保護的地址空間內。因此，如果你同時運行記事本的兩個拷貝，該程序正在使用的數據在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例打開的數據。

以沙箱為例進行闡述。一個進程就好比一個沙箱。線程就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去，并且可能將沙子攘到別的孩子眼中，他們會互相踢打或撕咬。但是，這些沙箱略有不同之處就在于每個沙箱完全由墻壁和頂棚封閉起來，無論箱中的孩子如何狠命地攘沙，他們也不會影響到其它沙箱中的其他孩子。因此，每個進程就象一個被保護起來的沙箱。未經許可，無人可以進出。


實際上線程運行而進程不運行。兩個進程彼此獲得專用數據或內存的唯一途徑就是通過協議來共享內存塊。這是一種協作策略。下面讓我們分析一下任務管理器里的進程選項卡。

這里的進程是指一系列進程，這些進程是由它們所運行的可執行程序實例來識別的，這就是進程選項卡中的第一列給出了映射名稱的原因。請注意，這里并沒有進程名稱列。進程并不擁有獨立于其所歸屬實例的映射名稱。換言之，如果你運行5個記事本拷貝，你將會看到5個稱為Notepad.exe的進程。它們是如何彼此區別的呢？其中一種方式是通過它們的進程ID，因為每個進程都擁有其獨一無二的編碼。該進程ID由Windows NT或Windows 2000生成，并可以循環使用。因此，進程ID將不會越編越大，它們能夠得到循環利用。

第三列是被進程中的線程所占用的CPU時間百分比。它不是CPU的編號，而是被進程占用的CPU時間百分比。此時我的系統基本上是空閑的。盡管系統看上去每一秒左右都只使用一小部分CPU時間，但該系統空閑進程仍舊耗用了大約99%的CPU時間。

第四列，CPU時間，是CPU被進程中的線程累計占用的小時、分鐘及秒數。請注意，我對進程中的線程使用占用一詞。這并不一定意味著那就是進程已耗用的CPU時間總和，因為，如我們一會兒將看到的，NT計時的方式是，當特定的時鐘間隔激發時，無論誰恰巧處于當前的線程中，它都將計算到CPU周期之內。通常情況下，在大多數NT系統中，時鐘以10毫秒的間隔運行。每10毫秒NT的心臟就跳動一下。有一些驅動程序代碼片段運行并顯示誰是當前的線程。讓我們將CPU時間的最后10毫秒記在它的帳上。因此，如果一個線程開始運行，并在持續運行8毫秒后完成，接著，第二個線程開始運行并持續了2毫秒，這時，時鐘激發，請猜一猜這整整10毫秒的時鐘周期到底記在了哪個線程的帳上？答案是第二個線程。因此，NT中存在一些固有的不準確性，而NT恰是以這種方式進行計時，實際情況也如是，大多數32位操作系統中都存在一個基于間隔的計時機制。請記住這一點，因為，有時當你觀察線程所耗用的CPU總和時，會出現盡管該線程或許看上去已運行過數十萬次，但其CPU時間占用量卻可能是零或非常短暫的現象，那么，上述解釋便是原因所在。上述也就是我們在任務管理器的進程選項卡中所能看到的基本信息列。

第九：什么是應用程序

應用程序指的是程序開發人員要開發的一個數據庫應用管理系統，它可以是一個單位的財務管理系統、人事管理系統等。（各種有關功能的窗口的集合構成一個完整的應用系統，分發給各個終端用戶的就是一個應用程序。

第十：如何察看正在運行的進程

察看正在運行的進程的方法有很多，最簡單就是使用Windows自帶的進程管理器察看正在運行的進程：同時按下“Ctl Alt Del”打開Windows進程管理器。點擊進程的標簽，即可察看系統中進行的進程列表。或者用鼠標右鍵點系統狀態欄“系統管理器”進入系統進程管理器。

第十一：如何強制結束一個運行中的進程

1、打開“終端服務管理器（任務管理器）”。

2、在“進程”選項卡上的“用戶”列下，右鍵單擊要結束的進程，然后單擊“結束進程”。

注意：

（1）必須具有完全控制權限才能結束進程。

（2）要打開“終端服務管理器”，請依次單擊“開始”和“控制面板”，雙擊“管理工具”，然后雙擊“終端服務管理器”。

（3）請注意：在沒有警告的情況下結束進程會導致用戶會話中的數據丟失。

（4）可能需要結束進程，因為應用程序沒有響應

（5）也可以使用 tskill 命令結束進程。

強制結束進程的命令行

Windows操作系統中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的，最后那個是Win32子系統，ntsd本身需要它。ntsd從2000開始就是系統自帶的用戶態調試工具。被調試器附著(attach)的進程會隨調試器一起退出，所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權限，從而能殺掉大部分的進程。ntsd會新開一個調試窗口，本來在純命令行下無法控制，但如果只是簡單的命令，比如退出(q)，用-c參數從命令行傳遞就行了。Ntsd按照慣例也向軟件開發人員提供。只有系統開發人員使用此命令。有關詳細信息，請參閱 NTSD 中所附的幫助文件。用法：開個cmd.exe窗口，輸入：

ntsd -c q -p PID



把最后那個PID，改成你要終止的進程的ID。如果你不知道進程的ID，任務管理器->進程選項卡->查看->選擇列->勾上“PID(進程標識符)”，然后就能看見了。

XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的進程，和相應的信息。tskill能查殺進程，語法很簡單：tskill 程序名！

結束進程的一些巧用小竅門

誤刪VCD文件的另類恢復

現在很多人會把一些不錯的VCD直接拷入硬盤保存。但你是否誤刪過這些百看不厭的經典之作呢？那么怎樣才能在不用恢復軟件的情況下手動恢復它們呢?

筆者找到了一個另類的恢復方法，并且效果還不錯。首先要知道誤刪的VCD文件的文件名和原文件存儲路徑。一般情況下VCD的主要視頻文件是VCD根目錄下的Mpegav文件夾，文件名一般為Avseq0？.dat或Music0？.dat,其中“?”代表數字(1～9)。有的VCD序幕和正式內容是一個文件，即Avseq01.dat或Music01.dat；也有的VCD序幕和正式內容分別為兩個文件，即序幕為Avseq01.dat或Music01.dat，而正式內容為Avseq02.dat或Music02.dat。

首先，找一個和誤刪文件同名的文件(暫且稱為A)，接著將A復制到原誤刪文件的同一文件夾中。在出現“正在復制...”窗口時，按下Ctrl+Alt+Del結束“正在復制...”任務，如果“正在復制...”窗口不消失，就再次按下Ctrl+Alt+Del結束“正在復制...”任務。就這么簡單，到原誤刪文件存儲的地方看一下，是不是又失而復得了?用多媒體播放軟件打開，只是開頭幾秒種是文件A的內容，后面的照看不誤。

保存拷了一部分的文件

如果你經常會把MP3、CD、VCD、MPEG、RM等音、視頻文件(或其他類型的文件)從光盤中復制到硬盤，那么可能會遇到復制到只剩下一點點時，Windows提示“復制文件出錯”，這時只要按回車鍵或點擊“確定”按鈕，那么辛辛苦苦復制的文件就會丟失。

其實只要馬上激活“任務管理器”，把“出錯的對話框”和“正在復制”的任務都關閉掉。那么文件就會以原文件大小保存下來了，當然這還是有缺點的，當此類文件播放到斷點的地方時就會停止。

巧玩游戲

本人用的是Windows XP家庭版，運行一些支持Windows 2000但不支持Windows XP的游戲時，鼠標、鍵盤失去反應。某日發現一解法：打開“任務管理器”，結束EXPLORER.EXE進程，點“新任務”，找到游戲運行文件，運行即可。另外，結束SVCHOST.exe(為當前用戶名的)進程可以去掉Windows XP風格。

第十二：一些常見的進程


進程名描述
smss.exeSessionManager
csrss.exe 子系統服務器進程
winlogon.exe管理用戶登錄
services.exe包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件加載到內存中以便遲后打印。
explorer.exe資源管理器
internat.exe托盤區的拼音圖標
mstask.exe允許程序在指定時間運行.
regsvc.exe允許遠程注冊表操作。(系統服務)→remoteregister
tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。
llssrv.exe證書記錄服務
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務數據庫。
clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁
msdtc.exe 并列事務，是分布于兩個以上的數據庫，消息隊列，文件系統或其他事務保護資源
管理器。
grovel.exe掃描零備份存儲(SIS)卷上的重復文件，并且將重復文件指向一個數據存儲點，以
節省磁盤空間（只對 NTFS 文件系統有用）。
snmp.exe包含代理程序可以監視網絡設備的活動并且向網絡控制臺工作站匯報。



以上這些進程都是對計算機運行起至關重要的，千萬不要隨意“殺掉”，否則可能直接影響系統的正常運行。

第十三：什么是網絡釣魚

什么是網絡釣魚?

網絡釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

如何防備網絡釣魚？

不要在網上留下可以證明自己身份的任何資料，包括手機號碼、身份證號、銀行卡號碼等。

不要把自己的隱私資料通過網絡傳輸，包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播，這些途徑往往可能被黑客利用來進行詐騙。

不要相信網上流傳的消息，除非得到權威途徑的證明。如網絡論壇、新聞組、 QQ 等往往有人發布謠言，伺機竊取用戶的身份資料等。

不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業合同、工作安排等重大事項，不要僅僅通過網絡完成，有心計的騙子們可能通過這些途徑了解用戶的資料，伺機進行詐騙。

不要輕易相信通過電子郵件、網絡論壇等發布的中獎信息、促銷信息等，除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息，而騙子們往往喜歡這樣進行詐騙。

第十四：什么是瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改，使用戶瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁 / 搜索頁等被修改為劫持軟件指定的網站地址等異常。

瀏覽器劫持如何防止，被劫持之后應采取什么措施？

瀏覽器劫持分為多種不同的方式，從最簡單的修改IE默認搜索頁到最復雜的通過病毒修改系統設置并設置病毒守護進程，劫持瀏覽器，都有人采用。針對這些情況，用戶應該采取如下措施：

不要輕易瀏覽不良網站。

不要輕易安裝共享軟件、盜版軟件。

建議使用安全性能比較高的瀏覽器，并可以針對自己的需要對瀏覽器的安全設置進行相應調整。

如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網站下載。

第十五：什么是惡意共享軟件

惡意共享軟件（malicious shareware）是指采用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上，并且利用一些病毒常用的技術手段造成軟件很難被卸載，或采用一些非法手段強制用戶購買的免費、共享軟件。 安裝共享軟件時，應注意以下方面： 注意仔　　細閱讀軟件提供的“安裝協議”，不要隨便點“next”進行安裝。

不要安裝從不良渠道獲得的盜版軟件，這些軟件往往由于破解不完全，安裝之后帶來安全風險。

使用具有破壞性功能的軟件，如硬盤整理、分區軟件等，一定要仔細了解它的功能之后再使用，避免因誤操作產生不可挽回的損失。

第十六：如何更好地預防計算機病毒入侵

有病治病，無病預防這是人們對健康生活的最基本也是最重要的要求，預防比治療更為重要。對計算機來說，同樣也是如此，了解病毒，針對病毒養成一個良好的計算機應用管理習慣，對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾，建議大家平時能做到“三打三防”。

“三打” 就是安裝新的計算機系統時，要注意打系統補丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統漏洞傳播的，打好補丁就可以防止此類病毒感染；用戶上網的時候要打開殺毒軟件實時監控，以免病毒通過網絡進入自己的電腦；玩網絡游戲時要打開個人防火墻，防火墻可以隔絕病毒跟外界的聯系，防止木馬病毒盜竊資料。


“三防” 就是防郵件病毒，用戶收到郵件時首先要進行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網站散播，用戶從網上下載任何文件后，一定要先進行病毒掃描再運行；防惡意“好友”，現在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友將會遭到病毒的入侵。

第十七：如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒

當計算機感染病毒的時候，絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒，這里說的正常模式準確的說法應該是實模式（Real Mode），這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隱匿和狡猾的手段往往會對殺毒軟件進行攻擊甚至是刪除系統中的殺毒軟件的做法，針對這樣的病毒絕大多數的殺毒軟件都被設計為在安全模式可安裝、使用、執行殺毒處理。

在安全模式（Safe Mode）或者純DOS下進行清除清除時，對于現在大多數流行的病毒，如蠕蟲病毒、木馬程序和網頁代碼病毒等，都可以在安全模示下清除。DOS下殺毒(建議用干凈軟盤啟動殺毒)。而且，當計算機原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒了！

第十三：什么是網絡釣魚

什么是網絡釣魚?

網絡釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

如何防備網絡釣魚？

不要在網上留下可以證明自己身份的任何資料，包括手機號碼、身份證號、銀行卡號碼等。

不要把自己的隱私資料通過網絡傳輸，包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播，這些途徑往往可能被黑客利用來進行詐騙。

不要相信網上流傳的消息，除非得到權威途徑的證明。如網絡論壇、新聞組、 QQ 等往往有人發布謠言，伺機竊取用戶的身份資料等。

不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業合同、工作安排等重大事項，不要僅僅通過網絡完成，有心計的騙子們可能通過這些途徑了解用戶的資料，伺機進行詐騙。

不要輕易相信通過電子郵件、網絡論壇等發布的中獎信息、促銷信息等，除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息，而騙子們往往喜歡這樣進行詐騙。

第十四：什么是瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改，使用戶瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁 / 搜索頁等被修改為劫持軟件指定的網站地址等異常。

瀏覽器劫持如何防止，被劫持之后應采取什么措施？

瀏覽器劫持分為多種不同的方式，從最簡單的修改IE默認搜索頁到最復雜的通過病毒修改系統設置并設置病毒守護進程，劫持瀏覽器，都有人采用。針對這些情況，用戶應該采取如下措施：

不要輕易瀏覽不良網站。

不要輕易安裝共享軟件、盜版軟件。

建議使用安全性能比較高的瀏覽器，并可以針對自己的需要對瀏覽器的安全設置進行相應調整。

如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網站下載。

第十五：什么是惡意共享軟件

惡意共享軟件（malicious shareware）是指采用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上，并且利用一些病毒常用的技術手段造成軟件很難被卸載，或采用一些非法手段強制用戶購買的免費、共享軟件。 安裝共享軟件時，應注意以下方面： 注意仔　　細閱讀軟件提供的“安裝協議”，不要隨便點“next”進行安裝。

不要安裝從不良渠道獲得的盜版軟件，這些軟件往往由于破解不完全，安裝之后帶來安全風險。

使用具有破壞性功能的軟件，如硬盤整理、分區軟件等，一定要仔細了解它的功能之后再使用，避免因誤操作產生不可挽回的損失。

第十六：如何更好地預防計算機病毒入侵

有病治病，無病預防這是人們對健康生活的最基本也是最重要的要求，預防比治療更為重要。對計算機來說，同樣也是如此，了解病毒，針對病毒養成一個良好的計算機應用管理習慣，對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾，建議大家平時能做到“三打三防”。

“三打” 就是安裝新的計算機系統時，要注意打系統補丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統漏洞傳播的，打好補丁就可以防止此類病毒感染；用戶上網的時候要打開殺毒軟件實時監控，以免病毒通過網絡進入自己的電腦；玩網絡游戲時要打開個人防火墻，防火墻可以隔絕病毒跟外界的聯系，防止木馬病毒盜竊資料。

“三防” 就是防郵件病毒，用戶收到郵件時首先要進行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網站散播，用戶從網上下載任何文件后，一定要先進行病毒掃描再運行；防惡意“好友”，現在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友將會遭到病毒的入侵。

第十七：如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒

當計算機感染病毒的時候，絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒，這里說的正常模式準確的說法應該是實模式（Real Mode），這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隱匿和狡猾的手段往往會對殺毒軟件進行攻擊甚至是刪除系統中的殺毒軟件的做法，針對這樣的病毒絕大多數的殺毒軟件都被設計為在安全模式可安裝、使用、執行殺毒處理。

在安全模式（Safe Mode）或者純DOS下進行清除清除時，對于現在大多數流行的病毒，如蠕蟲病毒、木馬程序和網頁代碼病毒等，都可以在安全模示下清除。DOS下殺毒(建議用干凈軟盤啟動殺毒)。而且，當計算機原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒了！

上網的人中，很少有誰沒被病毒侵害過。但在大多數人將注意力放在對付病毒上時，業內權威人士新近指出，現在要想保證上網安全，必須對以下這三種威脅同時設防。第一是以傳統宏病毒、蠕蟲等為代表的入侵性病毒；第二是以間諜軟件、廣告軟件、網絡釣魚軟件、木馬程序為代表的擴展類威脅；第三是以黑客為首的有目標的專門攻擊或無目標的隨意攻擊為代表的網絡侵害。

三大新威脅

Spyware(間諜軟件)：主要是用作偷取用戶個人資料的惡意程序，如用戶使用網上銀行、網上購物等電子商務應用時，如果沒有相關的防御措施與意識，那么用戶的網銀賬號和密碼就很容易被竊取。

Adware(廣告軟件)：是一種軟件，一般表現為用戶點擊網站后就一連出現好多疊加著的網頁，非常不好關。它通常都跟某些工具軟件綁在一起，當你安裝這些軟件后，也就跟著進入你的電腦了。它不但占用系統資源，還常常連著一些色情網站。除強行向用戶做廣告外，更會刺探用戶的個人隱私資料，例如姓名、郵箱、銀行資料、電話、地址等，因此隱藏著不小的危害性，需要盡快清除。

Phishing(網絡釣魚軟件，又稱電子黑餌)：是fishing和phone的縮寫。是指盜取他人個人資料、銀行及財務賬戶資料的網絡相關誘騙行為，可分為誘騙式及技術式兩種。誘騙式是利用特制的電郵，引導收件人連接到特制的網頁，這些網頁通常會偽裝成真正的銀行或理財網頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等；技術性的Phishing則是將程序安裝到受害者的電腦中，直接盜取個人資料或使用木馬程序、按鍵記錄程序等。

只防病毒不安全

信息產業部發布的最新統計數據顯示，目前中國互聯網上網人數已達9880萬。目前眾多網民已不再是簡單地上網瀏覽網頁及收發電郵，隨著網上銀行、網上購物等電子商務應用的出現，來自網上的威脅不僅僅是傳統的病毒了。

有報道稱，中國目前已經成黑客首選的攻擊目標，每天有3萬臺PC機處于隨時可能被攻擊的失控狀態。業內人士指出，未來對電腦及電腦用戶造成最大威脅的并不是我們慣常認為的電腦病毒(Virus)，而是一些Spyware(間諜軟件)、Adware(廣告軟件)、Phishing(網絡釣魚軟件)、Trojan(木馬程序)、Worms(蠕蟲)。原因是大部分用戶及商業機構對一般的電腦病毒已有一定的防范，譬如安裝防毒程序等，再新的病毒也能在短時間內被解決，可是對于Spyware、Trojan及Worms絕大多數網民防范意識較為薄弱。雖然一般的電腦上也安裝了防毒程序，但實際上單一的防毒程序并不能阻擋來自網上的侵襲。數碼周刊在此向大家介紹如何架構一個縝密的“三防”電腦防御系統，以保證上網安全。

害人四大新趨勢

Symantec中國區技術總監Robert在接受記者采訪時表示，總體來說，以前的黑客攻擊和犯罪的目的性不很明確，他們大多出于好奇、出風頭的目的。而現在多是有組織、有目的的經濟犯罪。據我們分析，黑客的攻擊大致有如下四大趨勢：

1.盜取個人資料

近年來利用Phishing攻擊的犯罪增長非常快，主要出現在電子商務應用中。黑客假借銀行之名給銀行用戶發電子郵件，提示銀行系統升級要求用戶重新注冊，用戶一旦輕信進行注冊，銀行賬號即落入黑客掌中，與此伴隨的將是你的銀行存款不翼而飛。

2.“僵尸”入侵

據Symantec今年3月份公布的安全報告顯示，去年7月—12月，從全球來看，僵尸即機器人(BOT)程序在中國的增長最快，而整個亞太區也居于全球前十名。BOT類似于木馬程序，它執行的是預先沒有設置好的程序，通過所有被程序控制的“僵尸”電腦一同對某一目標發起攻擊。這種攻擊的危險性最大，因為它不像病毒可以提前監控。

3.Adware、Spyware偷襲

Symantec的技術中心曾在用戶送修的筆記本電腦中發現，其已經被植入了多達近百種的Adware或Spyware軟件。它們一般通過小的用戶在下載Flash和小游戲時安裝，由于它們不像病毒和蠕蟲那么敏感，于是得以在不知不覺中入侵你的電腦。現在一些正規的軟件廠商也在應用這些軟件來搜集用戶的資料。盡管目前這類軟件不見得都有害，但它們搜集的畢竟是你的個人隱私信息。這也將成為未來防范的重點。


4.垃圾郵件改頭換面

從當前來看，垃圾郵件的總量雖然呈下降態勢，但其逃避技術卻越來越強。這類郵件中攜帶著大量的病毒、Phishing、蠕蟲、木馬及額外的風險。

三防靠六招

人們常常認為，只要安裝一些單純的網絡防御產品就等于構建了一個完備的電腦防御系統。殊不知，這些還不足以構建起一個完善的網絡整體防御體系，還需要在網絡安全管理標準的指導下，通過網絡安全管理整體解決方案，結合各種不同的網絡防御技術和產品，在整體上維護網絡和信息系統的安全。

1.基本防(殺)毒軟件不可少

對于一般用戶而言，首先要做的就是為電腦安裝一套殺毒軟件。只要是正規廠商的正版殺毒軟件，任選一套即可。安裝的步驟很簡單，只要將安裝盤放入光驅，按照系統的自動安裝界面的提示選擇安裝**殺毒軟件→選擇安裝的語言版本→再一路NEXT即可。

2.個人防火墻設定是關鍵

在上述防病毒軟件中都含有個人防火墻，所以可用同一張光盤運行個人防火墻安裝，重點提示防火墻在安裝后一定要根據需求進行詳細配置。

各種防火墻的設置技巧有一定的共通之處，那就是在選擇將目前上網中的“區域連線 ”→“設定值”的“服務”中的大部分連接協議剔除，只保留基本的HTTP、HTTPS、SMTP、POP3項目能夠通過防火墻，按下確定后你的電腦就能防范大部分的蠕蟲入侵了。

3.斬斷Phishing魚鉤

反網絡釣魚組織APWG(Anti-PhishingWorkingGroup)最新統計指出，約有70.8%的網絡欺詐是針對金融機構而來。從國內前幾年的情況看大多Phishing只是被用來騙取QQ密碼與游戲點卡與裝備，但今年國內的眾多銀行已經多次被Phishing過了。可以下載一些工具來防范Phishing活動。

4.反間諜、廣告軟件必殺

要防范Spyware的話，除了需要在電腦上安裝有如防毒程序的反間程序，時常監察及清除電腦的Spyware外。還要對將要在計算機上安裝的共享軟件進行甄別選擇，尤其是那些你并不熟悉的，可以登錄其官方網站了解詳情。此外，在安裝共享軟件時，不要總是心不在焉地一路單擊“OK”按鈕，而應仔細閱讀各個步驟出現的協議條款，特別留意那些有關Spyware行為的語句。

Adware和其他惡意程序相近，它們中簡單的會出現在控制面板的添加或刪除程序里，用戶可直接把它們移除。不過大部分Adware為了掩人耳目都不會直接顯示程序本體，要刪除它們就需要利用一些針對性的軟件。

5.自建網站黑名單

清除了廣告程序后，并不代表已存在瀏覽器內的問題會自動被還原，還需要用戶手動重新更改標題及首頁。雖然《SpybotSearch＆Destory》也有相近的功能，但使用起來卻沒有一款叫《SpywareBlaster》的軟件方便。通過該軟件用戶可以先對有問題的網站做出預防，限制他們對電腦安裝程序，并能清除目前已經安裝的有害ActiveX控件。建議與上述軟件同時安裝。另外，用戶若要防備有問題的網站對電腦安裝不明軟件，同樣可使用《SpywareBlaster》來解決。

6.訓練軟件認垃圾

相信擁有電子郵箱的用戶都受到過不同程度的垃圾郵件(SPAM)騷擾，令人不勝其煩，特別是每每長假過后郵箱被塞爆之虞。為此，用戶要做的就是安裝一款電郵過濾程序，把SPAM過濾掉。

最近很多朋友都中了馬被盜了號，所以在收集了一些關于系統安全和維護的東東供大家參考（提示，這些方法只能對付一般的初學者的攻擊。）。歡迎大家批評指正和補充。


首先，說一點關于第三方軟件的東西。（我對3721、雅虎助手恨之入骨。盡管雅虎不知道怎么買通了公安部門說這不是垃圾軟件。）系統運行速度變慢。很多朋友就認為是中了病毒或者木馬，其實并不是這樣的。第三方軟件會占用很大甚至全部的系統資源（如sploosv遠程打印機的問題。還有更可恨的stdup）。所以建議大家下載360安全衛士先把自己電腦里的第三方軟件和那些不需要的自啟動程序清除（建議上奇虎官方網站www.360safe.com上或者www.xdowns.com綠盟上下載。因為上面的軟件一般很少捆綁插件。）超級兔子雖然也有相似的功能，但超級兔子還是帶了個超級兔子上網精靈這么個第三方軟件。所以不推薦。

然后，關于防火墻殺毒軟件的選擇。第一，我不推薦瑞星。瑞星的防毒殺毒能力都不強，很多北斗加殼的木馬都不能查出來（什么是殼？形象簡單的說就是給木馬穿了馬甲讓乃認不出來。）防火墻我推薦avast，是一款捷克出品的防火墻，在免費的當中算是很出色的了。有14個月的免費使用期。（同樣建議在綠盟下載，提示，不是做廣告，我和綠盟沒有任何商業關系。）至于殺毒，卡巴斯基還湊合。諾頓也不錯。

好，現在開始進入正題。

一、刪除共享

運行cmd，在下面鍵入命令net share可以看到你的電腦上存在的共享，然后用net share 共享名稱 \delete命令刪除共享（注意命令中有3個空格）

二、刪除ipc$空連接

打開注冊表（什么，乃不知道什么是注冊表），HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\Lsa 項里數值名稱“restrict anonymous”的數值數據由0改為1。

三、關閉139、445、和3389端口

139端口是一種TCP端口，該端口用于網上鄰居訪問局域網中的共享文件或共享打印機。445端口也是一種TCP端口，和139的作用差不多。3389是遠程桌面控制協助端口。

關閉139端口的方法是在網絡屬性->Internet協議(TCP/IP)屬性->高級對話框中的WINS選項頁中將最下面的3選1選項卡從默認的“啟用 TCP/IP 上的NetBIOS”改為“禁用 TCP/IP 上的NetBIOS”。

關閉445端口的方法是打開注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中新建Dword值“SMBDeviceEnabled”將其值設置為0。

關閉3389端口的方法是用鼠標右鍵單擊桌面上的“我的電腦”圖標，從彈出的快捷菜單中選中“屬性”選項，在隨后打開的屬性設置界面中，單擊“遠程”標簽，并在對應的標簽頁面中，取消“允許用戶遠程連接到這臺計算機”和“允許從這臺計算機發送遠程協助邀請”這兩個選項，最后單擊一下“確定”按鈕，就能達到屏蔽3389端口的目的了。

當然，如果你對上網需要的端口有一定的了解，可以直接利用TCP/IP篩選工具篩選有用的端口。打開本地連接->屬性->TCP/IP協議->屬性->高級->選項->TCP/IP篩選->屬性里就可以篩選網絡端口。

四、禁用服務

打開控制面板->管理工具->服務中禁止下列服務。

1.NetMeeting Remote Desktop Sharing：允許受權的用戶通過NetMeeting在網絡上互相訪問對方。這項服務對大多數個人用戶并沒有多大用處，況且服務的開啟還會帶來安全問題，因為上網時該服務會把用戶名以明文形式發送到連接它的客戶端，黑客的嗅探程序很容易就能探測到這些賬戶信息。

2.Universal Plug and Play Device Host：此服務是為通用的即插即用設備提供支持。這項服務存在一個安全漏洞，運行此服務的計算機很容易受到攻擊。攻擊者只要向某個擁有多臺Win XP系統的網絡發送一個虛假的UDP包，就可能會造成這些Win XP主機對指定的主機進行攻擊（DDoS）。另外如果向該系統1900端口發送一個UDP包，令“Location”域的地址指向另一系統的chargen端口，就有可能使系統陷入一個死循環，消耗掉系統的所有資源（需要安裝硬件時需手動開啟）。

3.Messenger：俗稱信使服務，電腦用戶在局域網內可以利用它進行資料交換（傳輸客戶端和服務器之間的Net Send和Alerter服務消息，此服務與Windows Messenger無關。如果服務停止，Alerter消息不會被傳輸）。這是一個危險而討厭的服務，Messenger服務基本上是用在企業的網絡管理上，但是垃圾郵件和垃圾廣告廠商，也經常利用該服務發布彈出式廣告，標題為“信使服務”。而且這項服務有漏洞，MSBlast和Slammer病毒就是用它來進行快速傳播的。

4.Terminal Services：允許多位用戶連接并控制一臺機器，并且在遠程計算機上顯示桌面和應用程序。如果你不使用Win XP的遠程控制功能，可以禁止它。

5.Remote Registry：使遠程用戶能修改此計算機上的注冊表設置。注冊表可以說是系統的核心內容，一般用戶都不建議自行更改，更何況要讓別人遠程修改，所以這項服務是極其危險的。

6.Fast User Switching Compatibility：在多用戶下為需要協助的應用程序提供管理。Windows XP允許在一臺電腦上進行多用戶之間的快速切換，但是這項功能有個漏洞，當你點擊“開始→注銷→快速切換”，在傳統登錄方式下重復輸入一個用戶名進行登錄時，系統會認為是暴力破解，而鎖定所有非管理員賬戶。如果不經常使用，可以禁止該服務。或者在“控制面板→用戶賬戶→更改用戶登錄或注銷方式”中取消“使用快速用戶切換”。

7.Telnet：允許遠程用戶登錄到此計算機并運行程序，并支持多種 TCP/IP Telnet客戶，包括基于 UNIX 和 Windows 的計算機。又一個危險的服務，如果啟動，遠程用戶就可以登錄、訪問本地的程序，甚至可以用它來修改你的ADSL Modem等的網絡設置。除非你是網絡專業人員或電腦不作為服務器使用，否則一定要禁止它。

8.Performance Logs And Alerts：收集本地或遠程計算機基于預先配置的日程參數的性能數據，然后將此數據寫入日志或觸發警報。為了防止被遠程計算機搜索數據，堅決禁止它。

9.Remote Desktop Help Session Manager：如果此服務被終止，遠程協助將不可用。

10.TCP/IP NetBIOS Helper：NetBIOS在Win 9X下就經常有人用它來進行攻擊，對于不需要文件和打印共享的用戶，此項也可以禁用。

可以禁止的服務

以上十項服務是對安全威脅較大的服務，普通用戶一定要禁用它。另外還有一些普通用戶可以按需求禁止的服務：

1.Alerter：通知所選用戶和計算機有關系統管理級警報。如果你未連上局域網且不需要管理警報，則可將其禁止。

2.Indexing Service：本地和遠程計算機上文件的索引內容和屬性，提供文件快速訪問。這項服務對個人用戶沒有多大用處。

3.Application Layer Gateway Service：為Internet連接共享和Internet連接防火墻提供第三方協議插件的支持。如果你沒有啟用Internet連接共享或Windows XP的內置防火墻，可以禁止該服務。

4.Uninterruptible Power Supply：管理連接到計算機的不間斷電源，沒有安裝UPS的用戶可以禁用。

5.Print Spooler：將文件加載到內存中以便稍后打印。如果沒裝打印機，可以禁用。

6.Smart Card：管理計算機對智能卡的讀取訪問。基本上用不上，可以禁用。

7.Ssdp Discovery Service：啟動家庭網絡上的upnp設備自動發現。具有upnp的設備還不多，對于我們來說這個服務是沒有用的。

8.Automatic Updates：自動從Windows Update網絡更新補丁。利用Windows Update功能進行升級，速度太慢，建議大家通過多線程下載工具下載補丁到本地硬盤后，再進行升級。

9.Clipbook：啟用“剪貼板查看器”儲存信息并與遠程計算機共享。如果不想與遠程計算機進行信息共享，就可以禁止。

10.Imapi Cd-burning Com Service：用Imapi管理CD錄制，雖然Win XP中內置了此功能，但是我們大多會選擇專業刻錄軟件，另外如果沒有安裝刻錄機的話，也可以禁止該服務。

11.Workstation：創建和維護到遠程服務的客戶端網絡連接。如果服務停止，這些連接都將不可用。

12.Error Reporting Service：服務和應用程序在非標準環境下運行時，允許錯誤報告。如果你不是專業人員，這個錯誤報告對你來說根本沒用。

再就是如下幾種服務對普通用戶而言也沒有什么作用，大家可以自己決定取舍，如：Routing and Remote Access、Net Logon、Network DDE和Network DDE DSDM。

五、禁止關機事件跟蹤

運行中輸入命令gpedit.msc打開組策略。在出現的窗口的左邊部分，選擇 計算機配置->管理模板-> 系統，在右邊窗口雙擊“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”，點擊然后確定就OK了。

六、密碼

說到這個問題有點弱了，雖然一個16位的密碼如果暴力破解的話需要一周，但有些人會根據對方的生日、電話號碼等等做出比較優秀的字典來破解。另外提醒大家一點，不要在QQ上亂接受對方傳來的文件，包括圖片，音樂，壓縮包等等。如果加了殼的木馬捆綁在這些文件上防火墻是很難查出來的（需要破殼什么的，這個不比乃脫PLMM的衣服簡單。）我見過的最小的郵件TXT炸彈只有不到10K，這么小的東西捆綁在圖片文件上也發覺不了。最后預祝大家有一個安全的網絡環境。

常在河邊走，哪有不濕腳？所以有時候上網時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？



一、手工方法：


1、檢查網絡連接情況


由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網絡的情況下，通過檢查網絡連情情況來發現木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”，然后輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息，我們就可以完全監控電腦的網絡連接情況。


2、查看目前運行的服務


服務是很多木馬用來保持自己在系統中永遠能處于運行狀態的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”，然后輸入“net start”來查看系統中究竟有什么服務在開啟，如果發現了不是自己開放的服務，我們可以進入“服務”管理工具中的“服務”，找到相應的服務，停止并禁用它。


3、檢查系統啟動項


由于注冊表對于普通用戶來說比較復雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊“開始”->“運行”->“regedit”，然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的怠?


Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內容，如有這樣的內容，那這里的file.exe就是木馬程序了！


4、檢查系統帳戶


惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統中的默認賬戶，但這個賬戶卻很少用的，然后把這個賬戶的權限提升為管理員權限，這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。


點擊“開始”->“運行”->“cmd”，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user 用戶名”查看這個用戶是屬于什么權限的，一般除了Administrator是administrators組的，其他都不應該屬于administrators組，如果你發現一個系統內置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧！


如果檢查出有木馬的存在，可以按以后步驟進行殺木馬的工作。


1、運行任務管理器，殺掉木馬進程。


2、檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址， 再將可疑的刪除。


3、刪除上述可疑鍵在硬盤中的執行文件。


4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。


5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(如Local Page)，如果被修改了，改回來就可以。


6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和　　HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的。


二、利用工具：


查殺木馬的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付一定的費用，木馬分析專家是免費授權使用。

該病毒是灰鴿子變種，屬后門類。病毒運行后，釋放病毒文件%WINDIR%\wincup.exe，屬性為隱藏且只讀，修改注冊表，新建服務，利用服務自啟動，以達到隨機啟動的目的。在任務管理器中病毒進程名為IEXPLORE.EXE，且用戶名為SYSTEM，用以迷惑用戶。該病毒可遠程控制用戶機器，進行復制、刪除、上傳等操作，從而盜取用戶的敏感信息。

　　建議清除方案：

　　1、使用安天木馬防線可徹底清除此病毒

　　2、手工清除請按照行為分析刪除對應文件，恢復相關系統設置。

　　(1) 使用安天木馬防線“進程管理”關閉病毒進程

　　(2) 刪除病毒文件

%WINDIR%\wincup.exe

　　(3) 恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "Class "="LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "ClassGUID "="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "ConfigFlags "=" 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\

鍵值: 字串: "*NewlyCreated*"="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\

鍵值: 字串: "ActiveService "="WIN服務"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "DeviceDesc "="WIN服務"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "Legacy "=-"0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\0000\

鍵值: 字串: "Service "="WIN服務"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN*670D*52A1\

鍵值: 字串: "NextInstance "="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\

鍵值: 字串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\ {9B365890-165F-11D0-A195-0020AFD156E4}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: "Description "="WIN能讓你的電腦正常運行這很重要"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: "DisplayName "="WIN服務"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\Enum

鍵值: 字串: "0"="Root\LEGACY_WIN*670D*52A1\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\Enum\

鍵值: 字串: "Count "="1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\Enum\

鍵值: 字串: "NextInstance "="1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: "ErrorControl "="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: "ObjectName "="LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: "Start"="2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\

鍵值: 字串: " Type "="272"

盡管Windows 2003的功能在不斷增強，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會給整個系統帶來不必要的麻煩；下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法，希望能對各位帶來幫助！


堵住自動保存隱患


Windows 2003操作系統在調用應用程序出錯時，系統中的Dr. Watson會自動將一些重要的調試信息保存起來，以便日后維護系統時查看，不過這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調試信息就會暴露無疑，為了堵住Dr. Watson自動保存調試信息的隱患，我們可以按如下步驟來實現：


1、打開開始菜單，選中“運行”命令，在隨后打開的運行對話框中，輸入注冊表編輯命令“ergedit”命令，打開一個注冊表編輯窗口；


2、在該窗口中，用鼠標依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對應AeDebug鍵值的右邊子窗口中，用鼠標雙擊Auto值，在彈出的參數設置窗口中，將其數值重新設置為“0”，


3、打開系統的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對應DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。


完成上面的設置后，重新啟動一下系統，就可以堵住自動保存隱患了。



堵住資源共享隱患


為了給局域網用戶相互之間傳輸信息帶來方便，Windows Server 2003系統很是“善解人意”地為各位提供了文件和打印共享功能，不過我們在享受該功能帶來便利的同時，共享功能也會“引狼入室”，“大度”地向黑客們敞開了不少漏洞，給服務器系統造成了很大的不安全性；所以，在用完文件或打印共享功能時，大家千萬要隨時將功能關閉喲，以便堵住資源共享隱患，下面就是關閉共享功能的具體步驟：


1、執行控制面板菜單項下面的“網絡連接”命令，在隨后出現的窗口中，用鼠標右鍵單擊一下“本地連接”圖標；


2、在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個“Internet協議(TCP/IP)”屬性設置對話框；


3、在該界面中取消“Microsoft網絡的文件和打印機共享”這個選項；


4、如此一來，本地計算機就沒有辦法對外提供文件與打印共享服務了，這樣黑客自然也就少了攻擊系統的“通道”。


堵住遠程訪問隱患


在Windows2003系統下，要進行遠程網絡訪問連接時，該系統下的遠程桌面功能可以將進行網絡連接時輸入的用戶名以及密碼，通過普通明文內容方式傳輸給對應連接端的客戶端程序；在明文帳號傳輸過程中，實現“安插”在網絡通道上的各種嗅探工具，會自動進入“嗅探”狀態，這個明文帳號就很容易被“俘虜”了；明文帳號內容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統被“瘋狂”攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來為系統“加固”：


1、點擊系統桌面上的“開始”按鈕，打開開始菜單；


2、從中執行控制面板命令，從彈出的下拉菜單中，選中“系統”命令，打開一個系統屬性設置界面；


3、在該界面中，用鼠標單擊“遠程”標簽；


4、在隨后出現的標簽頁面中，將“允許用戶遠程連接到這臺計算機”選項取消掉，這樣就可以將遠程訪問連接功能屏蔽掉，從而堵住遠程訪問隱患了。


堵住用戶切換隱患


Windows 2003系統為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統中；不過在享受這種輕松時，系統也存在安裝隱患，例如我們要是執行系統“開始”菜單中的“注銷”命令來，快速“切換用戶”時，再用傳統的方式來登錄系統的話，系統很有可能會本次登錄，錯誤地當作是對計算機系統的一次暴力“襲擊”，這樣Windows2003系統就可能將當前登錄的帳號當作非法帳號，將它鎖定起來，這顯然不是我們所需要的；不過，我們可以按如下步驟來堵住用戶切換時，產生的安全隱患：


在Windows 2003系統桌面中，打開開始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執行下級菜單中的“計算機管理”命令，找到“用戶帳戶”圖標，并在隨后出現的窗口中單擊“更改用戶登錄或注銷的方式”；在打開的設置窗口中，將“使用快速用戶切換”選項取消掉就可以了。


堵住頁面交換隱患


Windows 2003操作系統即使在正常工作的情況下，也有可能會向黑客或者其他訪問者泄漏重要的機密信息，特別是一些重要的帳號信息。也許我們永遠不會想到要查看一下，那些可能會泄漏隱私信息的文件，不過黑客對它們倒是很關心的喲！Windows 2003操作系統中的頁面交換文件中，其實就隱藏了不少重要隱私信息，這些信息都是在動態中產生的，要是不及時將它們清除，就很有可能成為黑客的入侵突破口；為此，我們必須按照下面的方法，來讓Windows 2003操作系統在關閉系統時，自動將系統工作時產生的頁面文件全部刪除掉：


1、在Windows 2003的“開始”菜單中，執行“運行”命令，打開運行對話框，并在其中輸入“Regedit”命令，來打開注冊表窗口；


2、在該窗口的左邊區域中，用鼠標依次單擊HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management鍵值，找到右邊區域中的ClearPageFileAtShutdown鍵值，并用鼠標雙擊之，在隨后打開的數值設置窗口中，將該DWORD值重新修改為“1”；


3、完成設置后，退出注冊表編輯窗口，并重新啟動計算機系統，就能讓上面的設置生效了。

相對于有線網絡的局限性，無線網絡增加了機動性和生產力。這正是世界各都市無線區域網絡爆炸性成長的原因。根據資訊安全公司RSA Security的調查，2005無線網絡連接點(wireless access point)的數量，倫敦攀升了57%，紐約增加20%，巴黎則在2年內驚人地成長了119%。

　　盡管企業使用無線科技的消息令人鼓舞，它也出現了安全上的問題。當無線區域網絡的用量增加時，黑客入侵企業網絡的機會也相對增加。然而好消息是，當無線區域網絡業成長時，企業對網絡安全議題也較往常重視，至少在基本安全方面。

　　很多倫敦、紐約和巴黎的使用無線科技的企業，今年第一季度借啟動無線區域網絡硬件提供的“有線等效加密”(WEP)的能力來防衛他們的無線網絡有了大幅度增長。RSA Security的國際行銷地區副總裁提姆.皮卡德(Tim Pickard)評論道，今年是他們第五個年度進行這方面的調查，也是第一次看到在無線網絡的安全保護方面有如此驚人的提高。其中倫敦使用“有線等效加密”(WEP)保護其無線網絡安全從2005年的65%上升到74%;紐約從2005年的62%上升到75%;巴黎–從2005年的9%竄升到78%。

　　盡管如此，然而仍有許多改善的空間。在這三大都市中，仍有近四分之一的企業未采取任何措施來保護他們的網絡免受惡意的攻擊。這些公司除了可能被竊取機密資料，有感染病毒和木馬程序(Trojans)之虞，也會增加潛藏的風險：這些病毒通過他們的網絡發動廣泛地攻擊。

　　巴黎、倫敦和紐約有近1/4的聯接點仍然沒有設定“有線等效加密”為預設值，而提供的只是基本安全。面對越來越多的病毒、黑客、木馬程序、間諜軟件、網絡釣魚等安全威脅，有些大企業和線上金融機構采用“雙因素認證解決方案”。這個方案是由全球網絡安全解決方案的領先供應商RSASecurity和 DynamiCode攜手推出。它的特點是將傳統的靜態口令變為動態口令;DynamiCode把RSA Security的雙因素認證技術集成到一個“認證令牌”上，該令牌非常小巧，可以串在鑰匙扣上，放在口袋中，便于攜帶;每60秒就能產生一個新的和獨特的口令。用戶只需要簡單地鍵入個人用戶身份證號碼(ID或PIN)，以及令牌產生的代碼，就可以完成認證而進入系統。

　　這種“雙因素認證解決方案”的好處是，無論多么高明的黑客都無法在短時間內猜出如此復雜的動態口令。此外，DynamiCode提供了包括硬件、軟件和實施服務的一站式解決方案，企業避免了構建基礎架構的前置成本，無須負擔額外的人力資源、硬件或軟件，減少了部署時間、部署和管理成本。對操作者而言，它相當簡單易用的。

　　除了企業無線區域網絡，公眾無線上網據點也持續上升;值得注意的是有一些是“偽裝”的“公眾無線上網據點”是為了竊取用戶的資料：一種短暫性的無線網絡的橋接器，設計看起來像真實的橋接器以便于竊取用戶的機密資料。

　　提供安全諮詢服務的英國凱捷管理顧問公司(Capgemini UK)的菲爾.克拉克內爾(Phil Cracknell)表示：“無線網絡安全漏洞中，“偽裝”的公眾無線上網據點現已形成最嚴重和最可能的界面，使攻擊者幾乎在很短的時間內即可截獲一批有價值的資料。”

　　盡管無線網絡能引導產生更高的產值，然而企業必須懂得采取適當的預防措施，確保網絡的安全性，以防外來者入侵破壞。最好能使用高階的網絡安全解決方案，否則，最起碼要啟動無線設定中的“有線等效加密”功能，比起毫無安全防衛措施，它至少是一種基本方法。

眾所周知，操作系統的注冊表是一個藏龍臥虎的地方，所有系統設置都可以在注冊表中找到蹤影，所有的程序啟動方式和服務啟動類型都可通過注冊表中的小小鍵值來控制。

　　然而，正因為注冊表的強大使得它也成為了一個藏污納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地干著罪惡勾當，威脅著原本健康的操作系統。如何才能有效地防范病毒和木馬的侵襲，保證系統的正常運行呢？今天筆者將從服務、默認設置、權限分配等九個方面入手為大家介紹如何通過注冊表打造一個安全的系統。


　　特別提示：在進行修改之前，一定要備份原有注冊表。

　　1.拒絕“信”騷擾

　　安全隱患：在Windows 2000/XP系統中，默認Messenger服務處于啟動狀態，不懷好意者可通過“net send”指令向目標計算機發送信息。目標計算機會不時地收到他人發來的騷擾信息，嚴重影響正常使用。

　　解決方法：首先打開注冊表編輯器。對于系統服務來說，我們可以通過注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”項下的各個選項來進行管理，其中的每個子鍵就是系統中對應的“服務”，如“Messenger”服務對應的子鍵是“Messenger”。我們只要找到Messenger項下的START鍵值，將該值修改為4即可。這樣該服務就會被禁用，用戶就再也不會受到“信”騷擾了。

　　2.關閉“遠程注冊表服務”

　　安全隱患：如果黑客連接到了我們的計算機，而且計算機啟用了遠程注冊表服務(Remote Registry)，那么黑客就可遠程設置注冊表中的服務，因此遠程注冊表服務需要特別保護。

　　解決方法：我們可將遠程注冊表服務(Remote Registry)的啟動方式設置為禁用。不過，黑客在入侵我們的計算機后，仍然可以通過簡單的操作將該服務從“禁用”轉換為“自動啟動”。因此我們有必要將該服務刪除。

　　找到注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry項，右鍵點擊該項選擇“刪除”(圖1)，將該項刪除后就無法啟動該服務了。

　　在刪除之前，一定要將該項信息導出并保存。想使用該服務時，只要將已保存的注冊表文件導入即可。

　　3.請走“默認共享”

　　安全隱患：大家都知道在Windows 2000/XP/2003中，系統默認開啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個默認共享入侵操作系統的。

　　解決方法：要防范IPC$攻擊應該將注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous項設置為“1”，這樣就可以禁止IPC$的連接。

　　對于c$、d$和admin$等類型的默認共享則需要在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項。如果系統為Windows 2000 Server或Windows 2003，則要在該項中添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。如果系統為Windows 2000 PRO，則應在該項中添加鍵值“AutoShareWks”(類型為“REG_DWORD”，值為“0”)。

　　4.嚴禁系統隱私泄露

　　安全隱患：在Windows系統運行出錯的時候，系統內部有一個DR.WATSON程序會自動將系統調用的隱私信息保存下來。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過破解這個程序而了解系統的隱私信息。因此我們要阻止該程序將信息泄露出去。

　　解決方法：找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionAeDebug”，將AUTO鍵值設置為0，現在DR.WATSON就不會記錄系統運行時的出錯信息了。同時，依次點擊“Documents and Settings→ALL Users→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并刪除。刪除這兩個文件的目的是將DR.WATSON以前保存的隱私信息刪除。

　　提示：如果已經禁止了DR.WATSON程序的運行，則不會找到“drwatson”文件夾以及user.dmp和drwtsn32.log這兩個文件。

　　5.拒絕ActiveX控件的惡意騷擾

　　安全隱患：不少木馬和病毒都是通過在網頁中隱藏惡意ActiveX控件的方法來私自運行系統中的程序，從而達到破壞本地系統的目的。為了保證系統安全，我們應該阻止ActiveX控件私自運行程序。

　　解決方法：ActiveX控件是通過調用Windows scripting host組件的方式運行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣ActiveX控件就不能調用Windows scripting host了。然后，在注冊表中找到“HKEY_LOCAL_MACHINESOFTWARE ClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，將該項刪除。通過以上操作，ActiveX控件就再也無法私自調用腳本程序了。

　　6.防止頁面文件泄密

　　安全隱患：Windows 2000的頁面交換文件也和上文提到的DR.WATSON程序一樣經常成為黑客攻擊的對象，因為頁面文件有可能泄露一些原本在內存中后來卻轉到硬盤中的信息。畢竟黑客不太容易查看內存中的信息，而硬盤中的信息則極易被獲取。

　　解決方法：找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management”，將其下的ClearPageFileAtShutdown項目的值設置為1(圖2)。

這樣，每當重新啟動后，系統都會將頁面文件刪除，從而有效防止信息外泄。

　　7.密碼填寫不能自動化

　　安全隱患：使用Windows系統沖浪時，常會遇到密碼信息被系統自動記錄的情況，以后重新訪問時系統會自動填寫密碼。這樣很容易造成自己的隱私信息外泄。

　　解決方法：在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子項(如果沒有可自行添加)，在該子項下建立一個新的雙字節值，名稱為disablepasswordcaching，并將該值設置為1。重新啟動計算機后，操作系統就不會自作聰明地記錄密碼了。

　　8.禁止病毒啟動服務

　　安全隱患：現在的病毒很聰明，不像以前只會通過注冊表的RUN值或MSCONFIG中的項目進行加載。一些高級病毒會通過系統服務進行加載。那么，我們能不能使病毒或木馬沒有啟動服務的相應權限呢？

　　解決方法：運行“regedt32”指令啟用帶權限分配功能的注冊表編輯器。在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接著點擊菜單欄中的“安全→權限”，在彈出的Services權限設置窗口中單擊“添加”按鈕，將Everyone賬號導入進來，然后選中“Everyone”賬號，將該賬號的“讀取”權限設置為“允許”，將它的“完全控制”權限取消(圖3)。現在任何木馬或病毒都無法自行啟動系統服務了。當然，該方法只對沒有獲得管理員權限的病毒和木馬有效。

　　9.不準病毒自行啟動

　　安全隱患：很多病毒都是通過注冊表中的RUN值進行加載而實現隨操作系統的啟動而啟動的，我們可以按照“禁止病毒啟動服務”中介紹的方法將病毒和木馬對該鍵值的修改權限去掉。

　　解決方法：運行“regedt32”指令啟動注冊表編輯器。找到注冊表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支，將Everyone對該分支的“讀取”權限設置為“允許”，取消對“完全控制”權限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。

　　病毒和木馬是不斷“發展”的，我們也要不斷學習新的防護知識，才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺，不如提前做好防御工作，修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發生的事情，“防患于未然”才是我們應該追求的。

第一：進程是什么

進程為應用程序的運行實例，是應用程序的一次動態執行。看似高深，我們可以簡單地理解為：它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括：系統管理計算機個體和完成各種操作所必需的程序；用戶開啟、執行的額外程序，當然也包括用戶不知道，而自動運行的非法程序（它們就有可能是病毒程序）。

危害較大的可執行病毒同樣以“進程”形式出現在系統內部（一些病毒可能并不被進程列表顯示，如“宏病毒”），那么及時查看并準確殺掉非法進程對于手工殺毒有起著關鍵性的作用。

第二：什么是木馬

木馬病毒源自古希臘特洛伊戰爭中著名的“木馬計”而得名，顧名思義就是一種偽裝潛伏的網絡病毒，等待時機成熟就出來害人。

傳染方式：通過電子郵件附件發出，捆綁在其他的程序中。

病毒特性：會修改注冊表、駐留內存、在系統中安裝后門程序、開機加載附帶的木馬。

木馬病毒的破壞性：木馬病毒的發作要在用戶的機器里運行客戶端程序，一旦發作，就可設置后門，定時地發送該用戶的隱私到木馬程序指定的地址，一般同時內置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。

防范措施：用戶提高警惕，不下載和運行來歷不明的程序，對于不明來歷的郵件附件也不要隨意打開。

第三：什么是計算機病毒

計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。

除復制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其它類型的災害。若是病毒并不寄生于一個污染程序，它仍然能通過占據存貯空間給你帶來麻煩，并降低你的計算機的全部性能。可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網絡等作為媒介傳播擴散,能“傳染” 其他程序的程序。另一種是能夠實現自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內存）或程序里。當某種條件或時機成熟時,它會自生復制并傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網絡,危害正常工作的“病原體”。它能夠對計算機系統進行各種破壞,同時能夠自我復制, 具有傳染性。

所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。

第四：什么是蠕蟲病毒

蠕蟲病毒是計算機病毒的一種。它的傳染機理是利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件。

比如近幾年危害很大的“尼姆達”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作系統的漏洞，計算機感染這一病毒后，會不斷自動撥號上網，并利用文件中的地址信息或者網絡共享進行傳播，最終破壞用戶的大部分重要數據。

蠕蟲病毒的一般防治方法是：使用具有實時監控功能的殺毒軟件，并且注意不要輕易打開不熟悉的郵件附件。

第五：什么是廣告軟件Adware

廣告軟件（Adware）是指未經用戶允許，下載并安裝或與其他軟件捆綁通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。安裝廣告軟件之后，往往造成系統運行緩慢或系統異常。

防治廣告軟件，應注意以下方面：

1、不要輕易安裝共享軟件或“免費軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來安全風險。

2、有些廣告軟件通過惡意網站安裝，所以，不要瀏覽不良網站。

3、采用安全性比較好的網絡瀏覽器，并注意彌補系統漏洞。

第六：什么是間諜軟件Spyware

間諜軟件（Spyware）是能夠在使用者不知情的情況下，在用戶電腦上安裝后門程序的軟件。 用戶的隱私數據和重要信息會被那些后門程序捕獲， 甚至這些 “后門程序” 還能使黑客遠程操縱用戶的電腦。

防治間諜軟件，應注意以下方面：

1、不要輕易安裝共享軟件或“免費軟件”，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來安全風險。

2、有些間諜軟件通過惡意網站安裝，所以，不要瀏覽不良網站。

3、采用安全性比較好的網絡瀏覽器，并注意彌補系統漏洞。

第七：Dll文件是什么

DLL是Dynamic Link Library的縮寫，意為動態鏈接庫。在Windows中，許多應用程序并不是一個完整的可執行文件，它們被分割成一些相對獨立的動態鏈接庫，即DLL文件，放置于系統中。當我們執行某一個程序時，相應的DLL文件就會被調用。一個應用程序可有多個DLL文件，一個DLL文件也可能被幾個應用程序所共用，這樣的DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目錄下。

1、如何了解某應用程序使用哪些DLL文件

右鍵單擊該應用程序并選擇快捷菜單中的“快速查看”命令，在隨后出現的“快速查看”窗口的“引入表”一欄中你將看到其使用DLL文件的情況。

2、如何知道DLL文件被幾個程序使用

運行Regedit，進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-ersionSharedDlls子鍵查看，其右邊窗口中就顯示了所有DLL文件及其相關數據，其中數據右邊小括號內的數字就說明了被幾個程序使用，（2）表示被兩個程序使用，（0）則表示無程序使用，可以將其刪除。

3、如何解決DLL文件丟失的情況

有時在卸載文件時會提醒你刪除某個DLL文件可能會影響其他應用程序的運行。所以當你卸載軟件時，就有可能誤刪共享的DLL文件。一旦出現了丟失DLL文件的情況，如果你能確定其名稱，可以在Sysbckup（系統備份文件夾）中找到該DLL文件，將其復制到System文件夾中。如果這樣不行，在電腦啟動時又總是出現“***dll文件丟失……”的提示框，你可以在“開始/運行”中運行Msconfig，進入系統配置實用程序對話框以后，單擊選擇“System.ini”標簽，找出提示丟失的DLL文件，使其不被選中，這樣開機時就不會出現錯誤提示了。

rundll的功能是以命令列的方式呼叫Windows的動態鏈結庫。

Rundll32.exe與Rundll.exe的區別就在于前者是呼叫32位的鏈結庫，后者是用于16位的鏈結庫。rundll32.exe是專門用來調用dll文件的程序。

如果用的是Win98，rundll32.exe一般存在于Windows目錄下；

如果用的WinXP，rundll32.exe一般存在于WindowsSystem32目錄下。

若是在其它目錄，就可能是一個木馬程序，它會偽裝成rundll32.exe。

第八：什么是系統進程

進程是指在系統中正在運行的一個應用程序；線程是系統分配處理器時間資源的基本單元，或者說進程之內獨立執行的一個單元。對于操 作系統而言，其調度單元是線程。一個進程至少包括一個線程，通常將該線程稱為主線程。一個進程從主線程的執行開始進而創建一個或多個附加線程，就是所謂基于多線程的多任務。

那進程與線程的區別到底是什么？進程是執行程序的實例。例如，當你運行記事本程序（Nodepad）時，你就創建了一個用來容納組成Notepad.exe的代碼及其所需調用動態鏈接庫的進程。每個進程均運行在其專用且受保護的地址空間內。因此，如果你同時運行記事本的兩個拷貝，該程序正在使用的數據在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例打開的數據。

以沙箱為例進行闡述。一個進程就好比一個沙箱。線程就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去，并且可能將沙子攘到別的孩子眼中，他們會互相踢打或撕咬。但是，這些沙箱略有不同之處就在于每個沙箱完全由墻壁和頂棚封閉起來，無論箱中的孩子如何狠命地攘沙，他們也不會影響到其它沙箱中的其他孩子。因此，每個進程就象一個被保護起來的沙箱。未經許可，無人可以進出。

實際上線程運行而進程不運行。兩個進程彼此獲得專用數據或內存的唯一途徑就是通過協議來共享內存塊。這是一種協作策略。下面讓我們分析一下任務管理器里的進程選項卡。

這里的進程是指一系列進程，這些進程是由它們所運行的可執行程序實例來識別的，這就是進程選項卡中的第一列給出了映射名稱的原因。請注意，這里并沒有進程名稱列。進程并不擁有獨立于其所歸屬實例的映射名稱。換言之，如果你運行5個記事本拷貝，你將會看到5個稱為Notepad.exe的進程。它們是如何彼此區別的呢？其中一種方式是通過它們的進程ID，因為每個進程都擁有其獨一無二的編碼。該進程ID由Windows NT或Windows 2000生成，并可以循環使用。因此，進程ID將不會越編越大，它們能夠得到循環利用。

第三列是被進程中的線程所占用的CPU時間百分比。它不是CPU的編號，而是被進程占用的CPU時間百分比。此時我的系統基本上是空閑的。盡管系統看上去每一秒左右都只使用一小部分CPU時間，但該系統空閑進程仍舊耗用了大約99%的CPU時間。

第四列，CPU時間，是CPU被進程中的線程累計占用的小時、分鐘及秒數。請注意，我對進程中的線程使用占用一詞。這并不一定意味著那就是進程已耗用的CPU時間總和，因為，如我們一會兒將看到的，NT計時的方式是，當特定的時鐘間隔激發時，無論誰恰巧處于當前的線程中，它都將計算到CPU周期之內。通常情況下，在大多數NT系統中，時鐘以10毫秒的間隔運行。每10毫秒NT的心臟就跳動一下。有一些驅動程序代碼片段運行并顯示誰是當前的線程。讓我們將CPU時間的最后10毫秒記在它的帳上。因此，如果一個線程開始運行，并在持續運行8毫秒后完成，接著，第二個線程開始運行并持續了2毫秒，這時，時鐘激發，請猜一猜這整整10毫秒的時鐘周期到底記在了哪個線程的帳上？答案是第二個線程。因此，NT中存在一些固有的不準確性，而NT恰是以這種方式進行計時，實際情況也如是，大多數32位操作系統中都存在一個基于間隔的計時機制。請記住這一點，因為，有時當你觀察線程所耗用的CPU總和時，會出現盡管該線程或許看上去已運行過數十萬次，但其CPU時間占用量卻可能是零或非常短暫的現象，那么，上述解釋便是原因所在。上述也就是我們在任務管理器的進程選項卡中所能看到的基本信息列。

第九：什么是應用程序

應用程序指的是程序開發人員要開發的一個數據庫應用管理系統，它可以是一個單位的財務管理系統、人事管理系統等。（各種有關功能的窗口的集合構成一個完整的應用系統，分發給各個終端用戶的就是一個應用程序。

第十：如何察看正在運行的進程

察看正在運行的進程的方法有很多，最簡單就是使用Windows自帶的進程管理器察看正在運行的進程：同時按下“Ctl Alt Del”打開Windows進程管理器。點擊進程的標簽，即可察看系統中進行的進程列表。或者用鼠標右鍵點系統狀態欄“系統管理器”進入系統進程管理器。

第十一：如何強制結束一個運行中的進程

1、打開“終端服務管理器（任務管理器）”。

2、在“進程”選項卡上的“用戶”列下，右鍵單擊要結束的進程，然后單擊“結束進程”。

注意：

（1）必須具有完全控制權限才能結束進程。

（2）要打開“終端服務管理器”，請依次單擊“開始”和“控制面板”，雙擊“管理工具”，然后雙擊“終端服務管理器”。

（3）請注意：在沒有警告的情況下結束進程會導致用戶會話中的數據丟失。

（4）可能需要結束進程，因為應用程序沒有響應

（5）也可以使用 tskill 命令結束進程。

強制結束進程的命令行

Windows操作系統中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的，最后那個是Win32子系統，ntsd本身需要它。ntsd從2000開始就是系統自帶的用戶態調試工具。被調試器附著(attach)的進程會隨調試器一起退出，所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權限，從而能殺掉大部分的進程。ntsd會新開一個調試窗口，本來在純命令行下無法控制，但如果只是簡單的命令，比如退出(q)，用-c參數從命令行傳遞就行了。Ntsd按照慣例也向軟件開發人員提供。只有系統開發人員使用此命令。有關詳細信息，請參閱 NTSD 中所附的幫助文件。用法：開個cmd.exe窗口，輸入：


ntsd -c q -p PID


把最后那個PID，改成你要終止的進程的ID。如果你不知道進程的ID，任務管理器->進程選項卡->查看->選擇列->勾上“PID(進程標識符)”，然后就能看見了。

XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的進程，和相應的信息。tskill能查殺進程，語法很簡單：tskill 程序名！

結束進程的一些巧用小竅門

誤刪VCD文件的另類恢復

現在很多人會把一些不錯的VCD直接拷入硬盤保存。但你是否誤刪過這些百看不厭的經典之作呢？那么怎樣才能在不用恢復軟件的情況下手動恢復它們呢？

筆者找到了一個另類的恢復方法，并且效果還不錯。首先要知道誤刪的VCD文件的文件名和原文件存儲路徑。一般情況下VCD的主要視頻文件是VCD根目錄下的Mpegav文件夾，文件名一般為Avseq0？.dat或Music0？.dat,其中“？”代表數字(1～9)。有的VCD序幕和正式內容是一個文件，即Avseq01.dat或Music01.dat；也有的VCD序幕和正式內容分別為兩個文件，即序幕為Avseq01.dat或Music01.dat，而正式內容為Avseq02.dat或Music02.dat。

首先，找一個和誤刪文件同名的文件(暫且稱為A)，接著將A復制到原誤刪文件的同一文件夾中。在出現“正在復制...”窗口時，按下Ctrl+Alt+Del結束“正在復制...”任務，如果“正在復制...”窗口不消失，就再次按下Ctrl+Alt+Del結束“正在復制...”任務。就這么簡單，到原誤刪文件存儲的地方看一下，是不是又失而復得了？用多媒體播放軟件打開，只是開頭幾秒種是文件A的內容，后面的照看不誤。

保存拷了一部分的文件

如果你經常會把MP3、CD、VCD、MPEG、RM等音、視頻文件(或其他類型的文件)從光盤中復制到硬盤，那么可能會遇到復制到只剩下一點點時，Windows提示“復制文件出錯”，這時只要按回車鍵或點擊“確定”按鈕，那么辛辛苦苦復制的文件就會丟失。

其實只要馬上激活“任務管理器”，把“出錯的對話框”和“正在復制”的任務都關閉掉。那么文件就會以原文件大小保存下來了，當然這還是有缺點的，當此類文件播放到斷點的地方時就會停止。

巧玩游戲

本人用的是Windows XP家庭版，運行一些支持Windows 2000但不支持Windows XP的游戲時，鼠標、鍵盤失去反應。某日發現一解法：打開“任務管理器”，結束EXPLORER.EXE進程，點“新任務”，找到游戲運行文件，運行即可。另外，結束SVCHOST.exe(為當前用戶名的)進程可以去掉Windows XP風格。

第十二：一些常見的進程


進程名描述

smss.exeSessionManager

csrss.exe 子系統服務器進程

winlogon.exe管理用戶登錄

services.exe包含很多系統服務

lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。

svchost.exe Windows 2000/XP 的文件保護系統

SPOOLSV.EXE 將文件加載到內存中以便遲后打印。

explorer.exe資源管理器

internat.exe托盤區的拼音圖標

mstask.exe允許程序在指定時間運行.

regsvc.exe允許遠程注冊表操作。(系統服務)→remoteregister

tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。

llssrv.exe證書記錄服務

ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。

RsSub.exe 控制用來遠程儲存數據的媒體。

locator.exe 管理 RPC 名稱服務數據庫。

clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁

msdtc.exe 并列事務，是分布于兩個以上的數據庫，消息隊列，文件系統或其他事務保護資源

管理器。

grovel.exe掃描零備份存儲(SIS)卷上的重復文件，并且將重復文件指向一個數據存儲點，以

節省磁盤空間（只對 NTFS 文件系統有用）。

snmp.exe包含代理程序可以監視網絡設備的活動并且向網絡控制臺工作站匯報。


以上這些進程都是對計算機運行起至關重要的，千萬不要隨意“殺掉”，否則可能直接影響系統的正常運行。

第十三：什么是網絡釣魚

什么是網絡釣魚？

網絡釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

如何防備網絡釣魚？

不要在網上留下可以證明自己身份的任何資料，包括手機號碼、身份證號、銀行卡號碼等。

不要把自己的隱私資料通過網絡傳輸，包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播，這些途徑往往可能被黑客利用來進行詐騙。

不要相信網上流傳的消息，除非得到權威途徑的證明。如網絡論壇、新聞組、 QQ 等往往有人發布謠言，伺機竊取用戶的身份資料等。

不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業合同、工作安排等重大事項，不要僅僅通過網絡完成，有心計的騙子們可能通過這些途徑了解用戶的資料，伺機進行詐騙。

不要輕易相信通過電子郵件、網絡論壇等發布的中獎信息、促銷信息等，除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息，而騙子們往往喜歡這樣進行詐騙。

第十四：什么是瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改，使用戶瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁 / 搜索頁等被修改為劫持軟件指定的網站地址等異常。

瀏覽器劫持如何防止，被劫持之后應采取什么措施？

瀏覽器劫持分為多種不同的方式，從最簡單的修改IE默認搜索頁到最復雜的通過病毒修改系統設置并設置病毒守護進程，劫持瀏覽器，都有人采用。針對這些情況，用戶應該采取如下措施：

不要輕易瀏覽不良網站。

不要輕易安裝共享軟件、盜版軟件。

建議使用安全性能比較高的瀏覽器，并可以針對自己的需要對瀏覽器的安全設置進行相應調整。

如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網站下載。

第十五：什么是惡意共享軟件

惡意共享軟件（malicious shareware）是指采用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上，并且利用一些病毒常用的技術手段造成軟件很難被卸載，或采用一些非法手段強制用戶購買的免費、共享軟件。 安裝共享軟件時，應注意以下方面： 注意仔　　細閱讀軟件提供的“安裝協議”，不要隨便點“next”進行安裝。

不要安裝從不良渠道獲得的盜版軟件，這些軟件往往由于破解不完全，安裝之后帶來安全風險。

使用具有破壞性功能的軟件，如硬盤整理、分區軟件等，一定要仔細了解它的功能之后再使用，避免因誤操作產生不可挽回的損失。

第十六：如何更好地預防計算機病毒入侵

有病治病，無病預防這是人們對健康生活的最基本也是最重要的要求，預防比治療更為重要。對計算機來說，同樣也是如此，了解病毒，針對病毒養成一個良好的計算機應用管理習慣，對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾，建議大家平時能做到“三打三防”。

“三打” 就是安裝新的計算機系統時，要注意打系統補丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統漏洞傳播的，打好補丁就可以防止此類病毒感染；用戶上網的時候要打開殺毒軟件實時監控，以免病毒通過網絡進入自己的電腦；玩網絡游戲時要打開個人防火墻，防火墻可以隔絕病毒跟外界的聯系，防止木馬病毒盜竊資料。

“三防” 就是防郵件病毒，用戶收到郵件時首先要進行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網站散播，用戶從網上下載任何文件后，一定要先進行病毒掃描再運行；防惡意“好友”，現在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友將會遭到病毒的入侵。

第十七：如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒

當計算機感染病毒的時候，絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒，這里說的正常模式準確的說法應該是實模式（Real Mode），這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隱匿和狡猾的手段往往會對殺毒軟件進行攻擊甚至是刪除系統中的殺毒軟件的做法，針對這樣的病毒絕大多數的殺毒軟件都被設計為在安全模式可安裝、使用、執行殺毒處理。

在安全模式（Safe Mode）或者純DOS下進行清除清除時，對于現在大多數流行的病毒，如蠕蟲病毒、木馬程序和網頁代碼病毒等，都可以在安全模示下清除。DOS下殺毒(建議用干凈軟盤啟動殺毒)。而且，當計算機原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒了！

2、帶毒文件在\Temporary Internet Files目錄下

由于這個目錄下的文件，Windows 會對此有一定的保護作用，所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除，對于這種情況，請先關閉其他一些程序軟件，然后打開 IE ，選擇IE工具欄中的“工具\Internet 選項”，選擇 "刪除文件”刪除即可，如果有提示“刪除所有脫機內容”，也請選上一并刪除。

3、帶毒文件在 \_Restore 目錄下，*.cpy 文件中

這是系統還原存放還原文件的目錄，只有在裝了Windows Me/XP 操作系統上才會有這個目錄，由于系統對這個目錄有保護作用。

對于這種情況需要先取消“系統還原”功能，然后將帶毒文件刪除，甚至將整個目錄刪除也是可以的。

4、帶毒文件在.rar、.zip、.cab 等壓縮文件中

對于絕大多數的反病毒軟件來說，現在的查殺壓縮文件中病毒的功能已經基本完善了，單是對于一些特殊類型的壓縮文件或者加了密碼保護的壓縮文件就可能直接清除了。

要清除壓縮文件中的病毒，建議解壓縮后清除，或者借助壓縮工具軟件的外掛殺毒程序的功能，對帶毒的壓縮文件進行殺毒。

5、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中

這種病毒一般是引導區病毒，報告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在于移動存儲設備（如軟盤、閃存盤、移動硬盤）上，就可以借助本地硬盤上的反病毒軟件直接進行查殺。

如果這種病毒是在硬盤上，則需要用干凈的可引導盤啟動進行查殺。 對于這類病毒建議用干凈軟盤啟動進行查殺，不過在查殺之前一定要備份原來的引導區，特別是原來裝有別的操作系統的情況，如日文Windows 、Linux 等。 如果沒有干凈的可引導盤，則可使用下面的方法進行應急殺毒：

(1) 在別的計算機上做一張干凈的可引導盤，此引導盤可以在Windows 95/98/ME 系統上通過“添加／刪除程序”進行制作，但要注意的是，制作軟盤的操作系統須和自己所使用的操作系統相同；

(2) 用這張軟盤引導啟動帶毒的計算機，然后運行以下命令：


A:\>fdisk/mbr

A:\>sys a: c:


針對 NT 構架的操作系統可首先安裝“管理員控制臺”，安裝后使用管理員控制臺，然后分別執行 fixmbr（恢復主引導記錄）和 fixboot（恢復啟動盤上的引導區）命令對引導區及啟動信息進行修復。

如果帶毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那么直接刪除即可。這是系統在安裝的時候對硬盤引導區做的一個備份文件，一般作用不大，病毒在其中已經不起作用了。

6、帶毒文件在一些郵件文件中，如dbx、eml、box 等

絕大多數的防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒，對于郵箱中的帶毒的信件，可以根據用戶的設置殺毒或刪除帶毒郵件，但是由于此類郵箱的復合文件結構，易出現殺毒后的郵箱依舊可以檢測到病毒情況，這是由于沒有壓縮郵箱進行空間釋放的原因導致的，您可以嘗試在 Outlook Express 中選擇“工具” — 〉“選項” — 〉“維護” — 〉“立即清除” — 〉“壓縮”

7、文件中有病毒的殘留代碼

這種情況比較多見的就是帶有 CIH、Funlove、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文檔中的宏病毒）和個別網頁病毒的殘留代碼，通常防毒軟件對這些帶有病毒殘留代碼的文件報告的病毒名稱后綴通常是int、app 等結尾，而且并不常見，如 W32/FunLove.app、W32.Funlove.int。一般情況下，這些殘留的代碼不會影響正常程序的運行，也不會傳染，如果需要徹底清除的話，要根據各個病毒的實際情況進行清除。

8、文件錯誤

這種情況出現的并不多，通常是由于某些病毒對系統中的關鍵文件修改后造成的，異常的文件無法正常使用，同時易造成別的系統錯誤，針對此種情況建議進行修復安裝的方法恢復系統中的關鍵文件。

9、加密的文件或目錄

對于一些加密了的文件或目錄，請在解密后再進行病毒查殺。

10 、共享目錄殺毒

這里包括兩種情況：本地共享目錄和網絡中遠程共享目錄（其中也包括映射盤）。

遇到本地共享的目錄中的帶毒文件不能清除的情況，通常是局域網中別的用戶在讀寫這些文件，殺毒的時候表現為無法直接清除這些帶毒文件中的病毒，如果是有病毒在對這些目錄在寫病毒操作，表現為對共享目錄進行清除病毒操作后，還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況，都建議取消共享，然后針對共享目錄進行徹底查殺，恢復共享的時候，注意不要開放太高的權限，并對共享目錄加設密碼。 對遠程的共享目錄（包括映射盤）查殺病毒的時候，首先要保證本地計算機的操作系統是干凈的，同時對共享目錄也有最高的讀寫權限。如果是遠程計算機感染病毒的話，建議還是直接在遠程計算機進行查殺病毒。

特別的，如果在清除別的病毒的時侯都建議取消所有的本地共享，再進行殺毒操作。在平時的使用中，也應注意共享目錄的安全性，加設密碼，同時，非必要的情況下，不要直接讀取遠程共享目錄中的文件，建議拷貝到本地檢查過病毒后再進行操作。

11、光盤等一些存儲介質

對于光盤上帶有的病毒，不要試圖直接清除，這是因為光盤上的文件都是只讀的原因導致的。同時，對另外一些存儲設備查殺病毒的，也需要注意其是否處于寫保護或者密碼保護狀態。