介绍几款常用的系统安全工具，很实用哦

huaqiyue

许多人有过中毒的经历，但大多数人都不知道该如何解决，有的人找朋友帮忙，有的人就干脆直接格式化，为此，失去了许多文件。之所以这样，是因为对病毒的畏惧心理！其实如果你知道病毒的传播原理的话，就会发现，其实也没有什么！那么我们就学学如何解决吧！

     1. 准备：如果你的移动存储设备（U盘 移动硬盘 MP3 MP4 手机 存储卡 等）中毒了，那么请首先找一台没有感染病毒的电脑，装杀毒软件的话就直接杀毒，没有杀毒软件或者病毒库没有更新的话也没有关系，但必须没有感染了病毒的机器！一下就是如何手工杀毒的方法。

     2. 预防：进行杀毒之前，不要急着将自己的盘与电脑连接！你要做的是首先看看机器的自动运行是否开启。

     方法：单击“开始”菜单，找到“运行”并单击，出现【运行】窗口后，在其中输入gpedit.msc，点击“确定”后，会出现一个“组策略”的窗口，在左侧依次找到“计算机配置”->“管理模板”->“系统”并单击打开，之后右侧会出现一个“关闭自动播放”的项，双击打开。在出现的窗口中点击选择“已启用”，在下面的列表中选择“所有驱动器”，点击“确定”。
     解释一下，之所以进行这些操作是为了防止将盘插上电脑的时候激活病毒。

     现在你可以将自己的盘与电脑连接了。但记得：不要急着双击打开！千万记得哦！

     3. 发现：下一步要做的是让病毒文件现身！按步骤跟着做：选择“开始”菜单->“控制面板”->找到“文件夹选项”并打开，点击最上面的“查看”选项卡->在“高级设置”中找到“显示系统文件夹内容”，并在其前面的方框中打上钩。去掉“隐藏受保护的系统文件”前面的钩，点击“显示所有文件和文件夹”。去掉“隐藏已知文件类型的文件名”前面的钩。



     这步做完后，病毒就要现身了！

     4.删除：打开“我的电脑”->注意了！此时不要直接双击磁盘打开！一定要选择“地址栏”中的盘符（F盘/G盘/H盘）！盘打开了，此刻你发现什么了吗？对！有些文件或文件夹的图标是半透明的，有点虚。还有些原来的文件夹模样Office文档模样的图标竟然后面又多了个".exe"的尾巴！而且原来的文件夹都出现了。当你把鼠标放到它们的图标上的时候你会发现它们的大小是一样的。



     嘿嘿，此刻搜索整个磁盘，查找所有大小等于这种文件大小的文件，把这些伪装成文件夹和Office 文档的exe间谍们都删除了吧！其实他们都是一个个傀儡，真正的幕后真凶一定要揪出来！看到一个Autorun.inf文件没有？将其打开，其中有一些.exe，.vbs，.com，.bat，.cmd模样的文本，这些才是主谋！在你的盘中找到这些文件命名的文件，将其删除，最后把autorun.inf这个文件也给删除了吧！现在病毒是杀掉了，你可以安心地使用自己的文件了。

为了安全起见，你可以进行如下操作来实现对一般的U盘传播的病毒实现简单的预防。

     5.免疫：点击“开始”->“运行”->输入“cmd　”->在窗口中输入“i:　”，敲回车（这里的“i　”是你要实现免疫的磁盘盘符），输入“md autorun.inf　”，回车，输入“cd autorun.inf　”，回车，输入“md aa..\　”这里的“\”不能省略的！



     现在就可以了，打开你的盘符，里面多了一个autorun.inf的文件夹，里面还有一个aa.文件夹，打不开，也删不掉，这就简单的实现了免疫。但是免疫只是相对的，如果有病毒就想到了这点，那你也没有办法的，但现在还暂时没有发现。

其实一般的电脑有些步骤可以省略的，只需要按照红色字体的部分操作就行了！

     PS：网吧，公用机房等多人共用电脑的地方通常是中毒率最高的地方，所以我们在这些场所用过后要在其它电脑上使用之前一定要先进行杀毒！没有杀毒软件也没有关系，使用这个手工杀毒的方法！
  


病毒、木马、流氓软件...... 整天疲于应付，而杀毒软件的盾时常显得破烂不堪，甚至被缴械投降。最后一招，也是最好用的一招，就是——手工杀毒。

1、Autoruns

SysInternals 的大名都知道了吧，虽然被MS招安了，但是MS并没有太吝啬，还是免费，其中的Autoruns 是我见过最好的启动项目管理工具。

Autoruns 运行后，将各项启动程序、设备驱动程序、服务等等，都显露出来。由于信息量太大，如何找出蛛丝马迹，我的经验就是：

先看签名，如果签名比较怪异，或者根本就没有，值得注意。当然，签名也不是万全之策，最好花点时间仔细每项都看一眼。

大部分的病毒、木马在此都能现形。发现后，"Delete" 该项，并且确保删除对应的文件。

2、Process Explorer

一样是 SysInternals 的作品，可以找出一些非 Rootkie 的内存病毒，但是发现病毒的功能有限，仅当作检查有无笨病毒的手段。

检查的方法也是先看签名，有经验的当然需要留意文件名及目录。记住 Windows 正常的系统文件名在此很有用，比如 SVCHOST.EXE 是正常的，SCVHOST.EXE 就一定是病毒无疑。

找到后，立即结束进程，删除文件。并且用下面要介绍的工具：mkdir （也不能叫工具吧，DOS 下的一个内部命令），如 MKDIR SCVHOST.EXE，病毒发现进程结束了，而且文件不在了，肯定要重新创建一个文件的，因为名字被占住了，创建不了同名文件，大部分都无计可施，乖乖投降。

3、RegEdit

最常见的工具了。当然查查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。建议也查查 HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

仔细分辨每项启动项是否正常，这当然需要一定的技术，如果你觉得 "c:\tmp\ASHK6&S.TMP" 作为一个正常的启动项话，那么电脑的安全必然不保。

发现有问题后，当然要删除这一项及对应文件。当时往往病毒此时还驻留，必须在结合 Process Explorer, MKDIR 等方法，结束结成并迅速占位，否则驻留程序马上就创建一个一样的启动项。所以删除后，按 F5 刷新注册表是必要的，否则白忙了。

4、Rootkit Revealer

SysInternals 多产，这个工具也是旗下的产品。启动后，SCAN，然后等待，最后对 SCAN 的结果进行逐项的分析。因为 RootKit 的扫描结果包含很多正常的键值，分辨可以的项需要比较深厚的功力。

比如：著名的 HackerDefender，在这个工具下，轻松就找出了隐藏的注册表及内核驱动程序。

但是因为理论上，RootKit 一旦进驻内核，可以窃取任何 API 调用，比如 RegOpenKeyEX，然后对返回的数据进行篡改，所以 Rootkit Revealer 也无法确保 100% 的木马都能现形。好在目前这种超超级木马还很少见。

找到后，当然就是在注册表删除设备驱动程序所在的服务项，然后删除驱动程序，MKDIR 占坑。

5、Ultraedit

为什么提到 Ultraedit 因为大部分木马程序，都用 UPX 等加壳软件进行加壳。如果发现一个可执行文件/DLL/OCX 等，含有 UPX 等字符串，建议关注一下。

因为 Windows Explorer 的 Search 弱智，建议用 Ultraedit 的 Find in Files 来找这些文件。

如果安装一个专业的文件查找工具当然更好，比如可以指定文件大小，据我的经验，大部分木马都在 300KB 以下。这样查找起来效率和针对性就更强了。查找的目录以 TEMP, SYSTEMDIR 等系统目录为最高等级。

另外，不少木马截获本地信息后，大都通过邮件的方式发送出去，因此查找可执行文件里面是否有 Sendmail 的字符串有时候也有惊喜地发现。我用这种方法发现过一个病毒。

6、CMD 和 MKDIR

其实，命令行是最可信的。

木马一般不会修改所有文件的，这时候手工杀毒还是有用的。其实木马文件一般是DLL或EXE或COM的，所以主要看WINDOWS、SYSTEM32和DRIVERS目录。按时间顺序排序查看目录中有近期DLL，COM，EXE为后缀名的这三类文件，jpg,tmp,dll,txt文件，也要......DIR*.DLL /od /a DIR*.COM /od /aDIR *.EXE /od /a
木马病毒文件一般都是最近日期的，，，

如果判断为木马，以前用惯了DOS，我的方法一般是先进CMD命令行

cd\windows
dir/a/od

cd\windows\system32
dir/a/od

cd\windows\system32\drivers
dir/a/od



首先，dir /a 可以列出一些隐藏的目录和文件。如果 Rootkit 隐藏住了无法列出，mkdir 一个文件名，如果无法显示 "A subdirectory or file system32 already exists."，那么中毒的可能性为 99%。

一旦删除一个进程文件或者病毒文件或者驱动程序后，马上用 mkdir 做个名字一样的目录，大部分情况下可以防止病毒重新创建该文件。

如果文件无法删除，试试 rename，有时候，handle 被 lock 了，但是改名并不会删除该句柄，改名后立即 mkdir，也可以成功删除一些顽强的病毒。

8、善用 Windows 的 NTFS 文件安全

有时，MKDIR 后，为了防止智能比较高的病毒删除这个目录，将目录属性设为所有人都“Access deny”。

当你的杀毒软件被病毒干掉后，相信这些技巧能让你轻松找回系统研究控制权。

9、日志分析 最常用的处理方法
用System Repair Engineer扫描，分析log，看启动项，服务和驱动，进程用到的dll，根据经验大致能找出怀疑对象。
用Total Commander看那些文件，如果在windows下，有隐藏/系统属性的小文件，基本就不是好鸟了。
process explorer杀进程，unlocker删除dll，实在不行光盘启动删除文件。重启前改注册表，去掉病毒的启动项。


现在上网的朋友越来越多了，其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是，如果不小心中了病毒而身边又没有杀毒软件怎么办?没有关系，今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马 :
检查注册表

　　注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。

　　1、 检查注册表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项)。

　　2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

　　3、检查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

检查你的系统配置文件

　　其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

　　1、检查win.ini文件(在C:＼windows＼下)，打开后，在WINDOWS下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

　　2、检查system.ini文件(在C:＼windows＼下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多，比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”。


修改注册表清除黑客程序

在网络给我们的工作学习带来极大方便的同时，病毒、木马、后门以及黑客程序也严重影响着信息的安全。这些程序感染计算机的一个共同特点是在注册表中写入信息，来达到如自动运行、破坏和传播等目的。我们可以通过修改注册表来对付病毒、木马、后门以及黑客程序，保证个人计算机的安全。

　　1.预防Acid Battery v1.0木马的破坏

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下若在右边窗口中如发现了“Explorer”键值，则说明中了YAI木马，将它删除。

　　2.预防YAI木马的破坏

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下若在右边窗口中如发现了“Batterieanzeige”键值，则说明中了YAI木马，将它删除。

　　3.预防Eclipse 2000木马的破坏

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下若在右边窗口中如发现了“bybt”键值，则将它删除。然后在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下删除右边的键值“cksys”，重新启动电脑。

　　4.预防BO2000的破坏

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下若在右边窗口中如发现了“umgr32.exe”键值，则说明中了BO2000，将它删除。

　　5.预防爱虫的破坏

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下若在右边窗口中如发现了“MSKernel32”键值，就将它删除。

　　6.禁止出现IE菜单中“工具”栏里“interner选项”

　　把c:\windows\system下的名为inetcpl.cpl更名为inetcpl.old或则别的名字后就会出现禁止使用的情况把名字再换回来，就可以恢复使用。

　　7.预防BackDoor的破坏

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下若在右边窗口中如发现了“Notepad”键值，就将它删除。 金山毒霸免费下载地址http://xz.duba.net/

　　8.预防WinNuke的破坏

　　在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP下在右边的窗口中新建或修改字符串“BSDUrgent”，设其值为0。

　　9.预防KeyboardGhost的破坏

　　在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下如发现KG.EXE这一键值，就将它删除，并查找KG.exe文件和kg.dat文件，将它们都删除

　　10.查找NetSpy黑客程序

　　在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,在右边的窗口中寻找键"NetSpy",如果存在,就说明已经装有NetSpy黑客程序,把它删除.

　　11.清理访问“网络邻居”后留下的字句信息

　　
　　在HEKY_CURRENT_USER/Network/Recent下，删除下面的主键。

　　12.取消登录时选择用户

　　已经删除了所有用户，但登录时还要选择用户，我们要取消登录时选择用户，就要在HKEY_LOCAL_MACHINE\Network\Logon下，在右边的窗口中,修改"UserProfiles"值为"0"。

　　13.隐藏上机用户登录的名字

　　在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon下在右边的窗口中新建字符串"DontDisplayLastUserName",设值为"1"。

天原

怎么感觉文章有点旧

Ayer

一个sandboxie就能搞定一切，不愿再折腾这些那些工具了。

360265092

学习了