電腦系統(tǒng)病毒防范要點(diǎn)

1、 現(xiàn)如今，病毒、木馬如雨后春筍般不斷涌出，一不小心系統(tǒng)就會(huì)因病毒感染而變得"滿目瘡痍"，造成機(jī)器運(yùn)行速度非常的慢，雖然我們可以通過使用殺毒軟件對(duì)系統(tǒng)進(jìn)行掃描殺毒，但有些時(shí)候卻發(fā)現(xiàn)掃描的結(jié)果沒有發(fā)現(xiàn)病毒，使我們束手無，其實(shí)在這種情況下我們只要掌握了病毒的規(guī)律，完全可以通過自檢的方式將病毒"揪"出來并將其消滅。    一、了解病毒藏匿的位置     "知己知彼，百戰(zhàn)不殆"，只有對(duì)病毒藏身位置有了一定了解，才能夠徹底消除病毒。病毒經(jīng)常隱匿之處最常見的地方就是&q

2、uot;啟動(dòng)"菜單項(xiàng)。我們都知道只要將應(yīng)用程序放置到"開始""程序"菜單內(nèi)的"啟動(dòng)"菜單項(xiàng)中，當(dāng)系統(tǒng)啟動(dòng)時(shí)，該程序就會(huì)自動(dòng)運(yùn)行，一些病毒正是利用這一特性達(dá)到自啟動(dòng)的目的。不過"啟動(dòng)"菜單項(xiàng)過于顯眼，即使是初學(xué)者也會(huì)在這里將病毒清除，較為高深一些的病毒絕對(duì)不會(huì)將自身程序放置在這里，而是將其加載到了系統(tǒng)中的win.ini、system.ini中，對(duì)于這兩個(gè)地方，一般初學(xué)者或者對(duì)系統(tǒng)不夠深入了解的人是不敢去"觸摸"的，一旦它們稍有損害，整個(gè)系統(tǒng)就要面臨崩潰狀態(tài)，而病毒真是利用了人們的這一心理

3、，將自身藏入其中，比如在win.ini文件中，病毒會(huì)將啟動(dòng)程序放置windows域中的load項(xiàng)和run項(xiàng)內(nèi)，這樣系統(tǒng)啟動(dòng)后就會(huì)自動(dòng)加載了。而system.ini則不同，事實(shí)上，system.ini文件并沒有給用戶可用的啟動(dòng)項(xiàng)目，然而通過它啟動(dòng)卻是非常好用的。在system.ini文件的boot域中的shell項(xiàng)的值正常情況下是"explorer.exe"，這是windows的外殼程序，換一個(gè)程序就可以徹底改變windows的面貌，很多病毒程序就是在"explorer.exe"后面加上自身程序的路徑，這樣windows啟動(dòng)后木馬也就隨之啟動(dòng)，而且即使是安

4、全模式啟動(dòng)也不會(huì)跳過這一項(xiàng)，這樣木馬也就可以保證永遠(yuǎn)隨windows啟動(dòng)了。     病毒比較喜歡隱藏的地方還有就是注冊(cè)表。在注冊(cè)表中提供了很多供病毒藏匿的地方，比如我們經(jīng)常接觸的run鍵。run鍵的位置是    hkey_current_usersoftwaremicrosoftwindowscurrentversionrun     hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun 

5、    其下的所有程序在每次啟動(dòng)登錄時(shí)都會(huì)按順序自動(dòng)執(zhí)行。  還有一個(gè)不被注意的run鍵，位于注冊(cè)表     hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun  以及    hkey_local_machinesoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun

6、60;。     另外，runonce鍵、runservicesonce鍵、runservices鍵、runonceex鍵、load鍵以及winlogon鍵等等地方，都是病毒經(jīng)常"駐扎"的地方，而且這些地方非常復(fù)雜，一旦漏刪了某一鍵，病毒仍然會(huì)自動(dòng)啟動(dòng)的。除此之外，病毒也會(huì)通過某些特定的程序或者文件啟動(dòng)，比如"寄生"在特定程序之中，與相關(guān)文件關(guān)聯(lián)以及將特定程序更名等方式，使電腦使用者防不勝防。1    二、對(duì)系統(tǒng)進(jìn)行全面自檢     通

7、過以上的分析，我們對(duì)病毒藏身之處有了一定的了解，當(dāng)然病毒的藏身如"狡兔三窟"，一時(shí)間不可能全部查找出來，但是"再狡猾的狐貍，也逃不掉獵人的眼睛"，我們只要多付出一些耐心、細(xì)致，就會(huì)將病毒徹底清除。    （一）從隱藏文件中查找：病毒文件通常都是隱藏的，為此要想消除病毒，我們可以先從隱藏文件下手。在"資源管理器"中，單擊菜單欄中的"工具文件夾選項(xiàng)"命令，在彈出的"文件夾選項(xiàng)"對(duì)話框中的"查看"標(biāo)簽面板內(nèi)，將"隱藏受保護(hù)的操作系統(tǒng)

8、文件"前面的鉤取消，并選中"顯示所有文件和文件夾"單選項(xiàng)，最后單擊"確定"按鈕后即可看到所有的隱藏文件，這時(shí)我們只要在資源管理器中查看一下是否有異常文件即可。    （二）從系統(tǒng)啟動(dòng)項(xiàng)中查找：我們?cè)谇懊娴闹v解中了解到，病毒一般都是隨著系統(tǒng)的啟動(dòng)而啟動(dòng)，那么我們可以通過在"啟動(dòng)項(xiàng)"中將病毒刪除掉的方法來解決。    1、 使用"系統(tǒng)配置實(shí)用程序"    單擊"開始運(yùn)行&

9、quot;命令，在彈出的對(duì)話框中輸入"msconfig"命令，打開"系統(tǒng)配置實(shí)用程序"對(duì)話框，在其中切換到"啟動(dòng)"標(biāo)簽面板中，我們可以看到在其中包含了所有的啟動(dòng)程序，如圖1所示。啟動(dòng)項(xiàng)     如果要找出其中的病毒，必須要進(jìn)行仔細(xì)分辨，因?yàn)椴《緯?huì)使用各種方法來迷惑我們，如果有不認(rèn)識(shí)的啟動(dòng)項(xiàng)目，可以通過上網(wǎng)查找相關(guān)信息來進(jìn)一步確定，若為病毒，則取消該啟動(dòng)項(xiàng)目，然后單擊"確定"按鈕即可。     2、 使用工具 

10、0;   "系統(tǒng)配置實(shí)用程序"是系統(tǒng)自帶的程序，它的優(yōu)點(diǎn)就在于方便，隨時(shí)都可以在系統(tǒng)中調(diào)用，但是缺點(diǎn)在于對(duì)于其中的啟動(dòng)項(xiàng)沒有詳細(xì)的說明，對(duì)于初學(xué)者來說是不敢輕易亂動(dòng)的，怕引起系統(tǒng)崩潰。其實(shí)在網(wǎng)絡(luò)上有很多工具都提供了檢測(cè)啟動(dòng)項(xiàng)的功能，而且功能更為強(qiáng)大，對(duì)于初學(xué)者來講也非常容易上手，在這里我們借助"奇虎360安全衛(wèi)士"來達(dá)到從"啟動(dòng)項(xiàng)"中將病毒刪除掉的目的。     打開"奇虎360安全衛(wèi)士"，進(jìn)入到"高級(jí)""啟動(dòng)項(xiàng)狀態(tài)"

11、;標(biāo)簽面板中，我們可以看到"奇虎360安全衛(wèi)士"將系統(tǒng)中所有的啟動(dòng)項(xiàng)目全部列舉出來了，而且對(duì)于每一個(gè)啟動(dòng)項(xiàng)目都給出了詳細(xì)說明、所在位置以及安全級(jí)別，但點(diǎn)擊其中一個(gè)啟動(dòng)項(xiàng)目時(shí)，"奇虎360安全衛(wèi)士"會(huì)彈出一個(gè)詳細(xì)的說明，幫助你了解這個(gè)啟動(dòng)項(xiàng)目，從而正確地判斷出是否是病毒，這對(duì)于初學(xué)者來說是一個(gè)很好的幫助，如圖2所示?！捌婊?60安全衛(wèi)士”啟動(dòng)項(xiàng)1google2008版主 作為版主板塊：網(wǎng)吧技術(shù)交流,網(wǎng)絡(luò)安全交流昵稱： 小佳發(fā)帖：41175精華：1150頭銜：太平洋艦隊(duì)發(fā)言人太平洋幣：1055.5 注冊(cè)：05-04-04查看資料  

12、60;   發(fā)送消息    （三）從"服務(wù)"項(xiàng)中檢測(cè)     "服務(wù)"也是病毒經(jīng)常下手的地方，病毒只要在"服務(wù)"項(xiàng)目中動(dòng)些手腳也可達(dá)到隨系統(tǒng)自啟動(dòng)的目的。進(jìn)入到"控制面板"中的"管理工具"內(nèi)，雙擊其中的"服務(wù)"快捷方式，即可進(jìn)入到"服務(wù)"面板中，在其中我們針對(duì)服務(wù)中描述的部分就可以查找病毒添加的項(xiàng)目，在其中上面單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇&

13、quot;停止"命令即可。圖三 服務(wù)項(xiàng)目    （四）從進(jìn)程中查找    什么是進(jìn)程？進(jìn)程就是應(yīng)用程序的運(yùn)行實(shí)例，是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行?？此聘呱睿瑢?shí)際上可以簡(jiǎn)單地理解為它是操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序。在系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序里包括：系統(tǒng)管理計(jì)算機(jī)個(gè)體和完成各種操作所必需的程序；用戶開啟、執(zhí)行的額外程序，當(dāng)然也包括用戶不知道，而自動(dòng)運(yùn)行的非法程序，它們就有可能是病毒程序。    按住鍵盤上的"ctrl+alt+del"鍵打開"

14、;任務(wù)管理器"，并進(jìn)入到"進(jìn)程"標(biāo)簽面板中，勾選中"顯示所有用戶的進(jìn)程"復(fù)選框，我們從中可以查看到運(yùn)行的所有程序名稱、程序所在路徑以及每個(gè)程序所占用的內(nèi)存，如圖4所示。進(jìn)程列表    當(dāng)某一進(jìn)程我們既不知道它的名稱含義，而且它所占用的內(nèi)存又非常大，同時(shí)機(jī)器又處在運(yùn)行緩慢的狀態(tài)，這時(shí)我們就要注意了，這個(gè)進(jìn)程有可能是病毒，通過確認(rèn)后應(yīng)及時(shí)將其關(guān)閉。其實(shí)病毒還喜歡使用與系統(tǒng)進(jìn)程相似的名稱來迷惑電腦使用者，比如用假名稱"svch0st.exe"來冒充真正的進(jìn)程"svchost.exe

15、"，很多人不仔細(xì)觀察是不容易發(fā)現(xiàn)的。另外有些病毒所使用主程序名稱與正常系統(tǒng)進(jìn)程名稱一樣，但你只要稍微觀察一下，就會(huì)發(fā)現(xiàn)二者還是有區(qū)別的，它們的路徑不一樣。   如果對(duì)于"任務(wù)管理器"中進(jìn)程確實(shí)沒有太大的把握確定的話，我們不妨使用一些輔助軟件，如"泛華進(jìn)程管理工具"來實(shí)現(xiàn)結(jié)束病毒的進(jìn)程。     軟件檔案軟件名稱： 泛華進(jìn)程管理工具 v1.0  軟件大小： 2.11mb  軟件語言： 簡(jiǎn)體

16、中文  軟件類別： 國(guó)產(chǎn)軟件 / 免費(fèi)版 / 系統(tǒng)其它  運(yùn)行環(huán)境： vista, win2003, winxp, win2000, nt, winme  下載地址：    "泛華進(jìn)程管理工具"是一款免費(fèi)軟件，將"泛華進(jìn)程管理工具"下載后打開，可以看到它的界面，如圖5所示。泛華進(jìn)程管理工具    我們?cè)谑褂脮r(shí)

17、應(yīng)先選中所懷疑的進(jìn)程，然后單擊界面下方的"獲取選中進(jìn)程的信息"按鈕，"泛華進(jìn)程管理工具"會(huì)將系統(tǒng)中所有與此進(jìn)程相關(guān)的信息列出來供我們分析，使我們做到一目了然，待確定后即可單擊"終止選中的進(jìn)程"按鈕來結(jié)束這個(gè)進(jìn)程，從而達(dá)到消除病毒的目的。    "泛華進(jìn)程管理工具"所提供的功能非常的多，甚至提供了windows"任務(wù)管理器"一些不具備的功能，如能結(jié)束"任務(wù)管理器"殺不掉的進(jìn)程；用戶可使用"定位文件"功能方便地找到進(jìn)程所

18、在的文件夾；可按進(jìn)程的"修改時(shí)間"排序，這樣被病毒感染的文件一目了然了等等。除了"泛華進(jìn)程管理工具"以外，進(jìn)程管理工具procexp也是一款非常不錯(cuò)的進(jìn)程管理工具，通過它也可以有效查出冒充病毒進(jìn)程。   五、從系統(tǒng)內(nèi)核中檢測(cè)    現(xiàn)在的病毒更加的"狡猾"，采用rootkit技術(shù)將服務(wù)隱藏，這就需要使用系統(tǒng)內(nèi)核檢查才能夠?qū)⑵?quot;消滅"掉。所謂的rootkit技術(shù)，就是通過修改系統(tǒng)的內(nèi)核讓病毒的進(jìn)程、服務(wù)以及文件等隱藏起來，躲過電腦操作者的查殺，因此

19、，當(dāng)我們?cè)谏鲜龅墓ぞ咧腥绻麤]有發(fā)現(xiàn)沒有發(fā)現(xiàn)病毒，我們就需要對(duì)系統(tǒng)內(nèi)核進(jìn)行檢查了，可以利用專門的工具，如icesword。    軟件檔案 軟件名稱： 冰刃 icesword 1.20 中文版 軟件大小： 2120kb 軟件類別： 國(guó)產(chǎn)軟件/系統(tǒng)安全 軟件授權(quán)： 免費(fèi)版 軟件語言： 簡(jiǎn)體中文 運(yùn)行環(huán)境： win9x/me/nt/2000/xp/2003 下載地址：