一.基本防御思想:备份胜于补救。
1.备份,装好机器之后,金州首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录。运行,cmd命令如下; dir/a C:\WINDOWS\system32 >c:\1.txt dir/a c:\windows >c:\2.txt 这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32列表为3.txt,那么fc 1.txt 3.txt >c:/4.txt (金州说明: dir/a是为了察看隐藏文件,备份位置放在c根目录是为了好找) 因为木马
病毒大多要调用动态连接库,可以对system32进行更详细的列表备份,如下 cd C:\WINDOWS\system32 dir/a >c:\1.txt dir/a *.dll >c:\>2.txt dir/a *.exe >c:\>3.txt 然后把这些备份保存在一个地方,除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件,虽然有一些是安装
软件的时候产生的,并不是病毒木马,但是还是可以提共很好的参考的。
2.备份进程中的DLL, CMD下面命令 tasklist/m >c:/dll.txt 这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下,比较方法如上不多说,对于DLL木马,一个一个检查DLL太麻烦了。直接比较方便一些。 3.备份
注册表,运行REGEDIT,文件——导出——全部,然后随便找一个地方保存。 4.备份C盘,(硬盘大的朋友使用,金州注释)开始菜单,所有程序,附件,系统工具,备份,然后按这说明下一步,选择我自己选择备份的内容,然后把系统备份在一个你选定的位置。出了问题,同样打开,选择还原,然后找到你的备份,还原过去就是了。(金州说明,这个方法比系统还原好用,而且剩心,只备份才安装时候的系统就好,是最终解决方案。)
二,基本防御思想,防病胜于治病.
1.关闭共享,这个网上说得很多,可以自己搜索,金州不再详细说明。关闭139.445端口,终止xp默认共享。
2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。防止一般小
黑客常用的at命令等等。其他的服务可以搜索相关资料自己看着办。(注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。)
3.控制面板,管理工具,本地安全策略,安全策略,本地策略,安全选项给管理员和guest用户从新命名,最好是起一个中文名字的,如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。
4.网络连接属性里面除了tcp/ip协议全部其他的全部停用,或者干脆卸载。
5.关闭远程连接,桌面,我的电脑,属性,远程,LOGO设计公司里面取消就是了。也可以关闭Terminal Services服务,不过关闭了以后,任务管理器中就看不到用户名字了。(金州注释,注意如果你是一个喜欢黑客
技术的人并且准备学习研究黑客技术,以上设置不适合你,呵呵,另外相关安全细节网上资料很多,不再啰嗦。自己可以搜索看看。)
三,基本解决方法,进程服务注册表。
1. 首先应该对进程服务注册表有一个简单的了解,大约需要3个小时看看网上的相关知识应该就会懂得了。
