計算機(jī)病毒木馬程序的基本防御與解決

摘要：關(guān)于計算機(jī)病毒木馬的防御網(wǎng)上的辦法數(shù)不勝數(shù)，但絕大多數(shù)都借助于某種軟件，本文主要是針對計算機(jī)的初級用戶，不借助任何工具，在Windows XP平臺上采用一些簡單措施，使計算機(jī)病毒和木馬程序無用武之地。

關(guān)鍵詞：防御；備份；注冊表；方案

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)12-20843-03

1 基本防御思想

1.1 備份勝于補(bǔ)救

1.1.1 備份

裝好機(jī)器之后，首先備份C盤（系統(tǒng)盤）WINDOWS里面，和C:\\WINDOWS\\SYSTEM32下的文件目錄。

運(yùn)行CMD命令如下：

dir/a C:\\windows\\system32 >c:\\1.txt

dir/a c:\\windows >c:\\2.txt

這樣就備份了windows和system32下面的文件列表，如果有一天覺得電腦有問題，同樣命令列出文件，然后CMD下面，F(xiàn)C命令比較一下，格式為，假如你出問題那一天system32列表為3.txt，那么FC 1.txt 3.txt >c:/4.txt

(說明: dir/a是為了查看隱藏文件，備份位置放在c根目錄是為了好找)

因為木馬病毒大多要調(diào)用動態(tài)連接庫，可以對system32進(jìn)行更詳細(xì)的列表備份，如下

CD c:\\windows\\system32

dir/a >c:\\1.txt

dir/a *.DLL >c:\\>2.txt

dir/a *. >c:\\>3.txt

然后把這些備份保存在一個地方，除了問題對比一下列表便于查看多出了哪些DLL或者文件，雖然有一些是安裝軟件的時候產(chǎn)生的，并不是病毒木馬，但是還是可以提供很好參考的。

1.1.2 備份進(jìn)程中的DLL， CMD下面命令

TASKLIST/m >c:/dll.txt

這樣正在運(yùn)行的進(jìn)程的DLL列表就會出現(xiàn)在c根目錄下面。以后可以對照一下，比較方法如上不再說明，對于DLL木馬，逐個去檢查太麻煩了，直接比較方便一些。

1.1.3 備份注冊表

運(yùn)行REGEDIT，文件—導(dǎo)出，選擇全部，然后找一個位置保存。如圖1、圖2。

1.1.4 備份C盤（硬盤大的朋友使用）

開始菜單—所有程序—附件—系統(tǒng)工具—備份，然后按著向?qū)Вx擇自己備份的內(nèi)容，把系統(tǒng)備份在一個你選定的位置。如圖3、圖4、圖5。

出了問題，同樣打開，選擇還原，然后找到你的備份，還原過去就是了。這個方法比系統(tǒng)還原好用，而且省心，只備份剛安裝時的系統(tǒng)最好。

1.2 防病勝于治病

（1）關(guān)閉共享，這個網(wǎng)上說得很多，可以自己搜索，不再詳細(xì)說明。關(guān)閉139、445端口，終止Windows XP默認(rèn)共享。

（2）關(guān)閉Server， Telnet， Task Scheduler， Remote Registry這四個服務(wù)。防止一般小黑客常用的at命令等等。其他的服務(wù)可以搜索相關(guān)資料。（注意關(guān)閉以后定時殺毒、定時升級之類的計劃任務(wù)就不能執(zhí)行了。）

（3）控制面板，管理工具，本地安全策略，安全設(shè)置，本地策略，安全選項給Administrator系統(tǒng)管理員和guest用戶重新命名，最好起一個中文名字的，如果修改了管理員的默認(rèn)空命令更好。不過一般改一個名字對于一般游戲心態(tài)的黑客就足夠?qū)Ω读恕８呤忠话悴粚€人電腦感興趣。

（4）網(wǎng)絡(luò)連接屬性里面除了TCP/IP協(xié)議，其他的全部停用，或者干脆卸載。

（5）關(guān)閉遠(yuǎn)程連接，桌面，我的電腦，屬性，遠(yuǎn)程，里面取消就是了。也可以關(guān)閉Terminal Services服務(wù)，不過關(guān)閉了以后，任務(wù)管理器中就看不到用戶名字了。

（注意：如果你喜歡鉆研黑客技術(shù)并且加以學(xué)習(xí)利用，以上設(shè)置不適合。）

2 使用注冊表

2.1 Windows XP注冊表

注冊表是windows的內(nèi)部數(shù)據(jù)庫，是一個巨大的樹狀分層的數(shù)據(jù)庫。它容納了應(yīng)用程序和計算機(jī)系統(tǒng)的全部配置信息、系統(tǒng)和應(yīng)用程序的初始化信息、應(yīng)用程序和文檔文件的關(guān)聯(lián)關(guān)系，硬件設(shè)備的說明、狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。注冊表中存放著各種參數(shù)。直接控制著Windows的啟動、硬件驅(qū)動程序的裝載以及一些Windows應(yīng)用程序的運(yùn)行，從而在整個Windows系統(tǒng)中起著核心作用。

2.2 病毒攻擊注冊表的類型

（1）在注冊表HKEY_LOCAL_MACHINE\\Software\\Microsoft \\Windows\\CurrentVersion\\Run\\下加載程序，使之開機(jī)時自動運(yùn)行。類似“RUN”開頭，諸如RunOnce，RunServices等都要注意有沒有惡意程序被加載。

（2）某些對系統(tǒng)進(jìn)行破壞的病毒。此類病毒會在注冊表HKEY_LOCAL_MACHINE\\SERVICES\\VxdD目錄下建立子鍵，并把鍵值設(shè)為1，使系統(tǒng)運(yùn)行后自動加載病毒程序。

（3）病毒通過更改文件的打開方式，這樣可以使程序隨你打開的那種類型文件一起啟動。在注冊表HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command，默認(rèn)值為：\"%1\"%*。例如把此默認(rèn)值改為(Trojan.exe\"%1\"%*)。則每次運(yùn)行exe文件時，Trojan.exe文件將會被執(zhí)行。

2.3 解決方案

首先應(yīng)該對注冊表有一個簡單的了解，大約需要3個小時看看相關(guān)知識。

檢查啟動項目，建議運(yùn)行REGEDIT命令，好好查看注冊表的RUN項目，文件關(guān)聯(lián)， USERINIT，還有shell后面的explorer。是不是被改動。相關(guān)的不再贅述，有詳盡啟動項目相關(guān)的文章可以參考，為了提供一個簡單的思路，這里只列出常見的10個啟動關(guān)聯(lián)項目：

(1) HKEY_LOCAL_MACHINE\\Software\\Microsoft \\Windows\\CurrentVersion\\Run

(2) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

(3) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

(4) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce

(5) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

(6) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

(7) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\up

(8) HKEY_USERS\\．Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

(9) HKEY_USERS\\．Default\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

(10) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

（凡是木馬，必須要啟動，所以這些簡單的啟動項目還是應(yīng)該好好看一下的。）

檢查服務(wù)，最簡單的吧，服務(wù)列表太長，我估計你也不一定能全部記住。說一個簡單的，運(yùn)行MSCONFIG，單擊“服務(wù)”選項，勾選“隱藏所有Microsoft服務(wù)”，然后就看到了不是系統(tǒng)自帶的服務(wù)，要看清楚啊。現(xiàn)在一般殺毒軟件都要添加服務(wù)，我其實(shí)討厭殺毒添加服務(wù)，不過好像是為了反病毒。

進(jìn)程，這里只說明兩點(diǎn)：(1)打開任務(wù)管理器，單擊“進(jìn)程”選項，選擇“查看”菜單中“選項列”命令，勾選“pid”，這樣可以看到pid，所謂pid，簡單理解為就是進(jìn)程的身份證，這樣便于很多相關(guān)的處理；(2)點(diǎn)一個進(jìn)程的時候右鍵有一個選項，“打開所在目錄”，有很多人忽略了這點(diǎn)，很明顯通過這個操作可以看到進(jìn)程文件所在的文件夾，便于診斷。

CMD下會使用NETSTAT-ANO命令，可以查看協(xié)議端口連接和遠(yuǎn)程IP。

刪除注冊表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B{和{0D43FE01-F093-11CF-8940-00A0C9054228}兩個項目，搜索到以后，你就會看到這兩個與腳本有關(guān)，備份以后刪除，主要是防止網(wǎng)上的惡意代碼（如果對腳本感興趣，自己準(zhǔn)備學(xué)習(xí)相關(guān)知識并且測試的朋友不要刪除）

3 舉一個簡單的清除例子

（1）對象是包含在一個流行BT綠色軟件里面的木馬，殺毒軟件可以查出，但是錯誤地判斷為“灰鴿子”。以下說的是不用任何工具的判斷和清除，當(dāng)然包括不使用殺毒軟件。

（2）中毒判斷：使用時候，忽然硬盤燈無故猛烈閃爍；系統(tǒng)有短暫速度變慢；有程序不正常的反映。

（3）檢查：服務(wù)發(fā)現(xiàn)多了一個不明服務(wù)，文件指向C:\\Program Files\\Internet Explorer下面的server，很明顯這不是系統(tǒng)自帶的文件，命令行下查看端口，有一個平常沒有的端口連接，發(fā)現(xiàn)不明進(jìn)程，啟動項目添加server，確定是木馬。

（4）清除：打開注冊表，關(guān)閉進(jìn)程，刪除啟動項目，注冊表搜索相關(guān)服務(wù)名字，刪除，刪除源文件。同時檢查temp文件夾，發(fā)現(xiàn)有一個新的文件夾，里面有一個“免殺”文件，刪除，清理緩存。當(dāng)然最好是安全模式下進(jìn)行。

（5）對照原來備份的system32下面的DLL列表，發(fā)現(xiàn)可疑DLL文件，刪除，也可以在查看選擇“選擇詳細(xì)信息”選擇上“創(chuàng)建日期”（這個系統(tǒng)默認(rèn)是沒有添加的），然后查看詳細(xì)信息，按創(chuàng)建日期顯示，可以發(fā)現(xiàn)新創(chuàng)建的文件。這個木馬比較簡單，沒有修改文件日期。

（這是一個簡單的病毒，時間長了，記不住具體病毒開啟的服務(wù)的名字和開啟的端口了，只是說明一下思路。提醒的就是一定不要忘記了清理緩存，因為很多文件安裝或者下載的時候是存在那里的，有時候忘記了清理，病毒如果關(guān)聯(lián)在這個文件上，刪除后還會出現(xiàn)的。）

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文