安全怪癖大放送, 大大们快来念经

jasonliul

安全本来不是依赖安全软件的, 跟使用习惯有很大关系.
大大们都有不少零星的自己的怪癖, 实际上是很好的安全意识和习惯.
所以集中征集, 让我等也来学习一下下.

来来来, 每人来点真经验....
小小技巧大作用.



◇俺先扔个松果, 你等抛玉.

Tip1: 不是特殊需要, 不要安装java[JRE], 宁愿选择其他替代软件.
没有安软会吹嘘对付java病毒有多牛逼的.

清道夫900

其实我自己最关注的是防火墙，因为很多非注入的木马，一招防火墙就能断了小命。

如果没有防火墙的杀软，我比较看重查杀和网页入口防护。其实最好的防火墙comodo现在在U的利用率上已经没什么优势了，不再那么轻巧强悍了。

op死掉了，对更往后的win版本肯定也会慢慢不支持。

现在还活着的墙，基本上都是套装墙，其中
1.卡巴IS以上的版本，大家在用的时候应该把低限制组联网程序关掉，这样能挡住大部分流氓。
2.ess墙用的时候把接受信任区域的arp那个选项去掉，能防护一部分arp攻击。
3.avast防火墙玩得时候最好不管是公共区域还是家庭区域最好都设置成询问模式。
4.诺顿NS以上版本的墙，最好没事的时候看看墙里面都有哪些程序，哪些程序需要阻止联网的。
5.FSCS的墙设置成询问模式，去掉允许已知程序联网。
6.火绒IS，现在已经是IS了，玩得时候去掉信任数字签名，设置为询问模式，就是一简单的程序联网控制软件。


最好：.干掉微软自带的explorer、Taskmgr和task后台等进程联网，干掉报错进程联网。
ps：卡巴斯基下不要设置阻止explorer联网，否则大部分程序就没法联网了。


现在好墙不多了，能支持win10的独立墙基本绝户了，因为做墙没什么商业前途。
昨天在市图上网，开始后的时候频繁掉线，肯定是arp了，然后装了OP，结果OP一直在检测攻击arp，但是网速依然很慢很慢，然后开了安全狗，结果没检测到攻击，卸载了op，没掉线了，今天用的MES端点安全，带的信誉墙，到现在也没掉线，证明有时候防火墙比如像OP这样的强力墙，敏感度太高，其实也不一定适合真正的安全和办公。

之所以会频繁换杀软，因为换杀软简单迅速，快感、新鲜感、安全感都可以快速实现。

杀软综合征不是因为你太无聊，而是因为心里有点问题。

qftest

我倒没有什么综合症，只是单纯的喜欢玩各种搭配，喜欢看安软和病毒的对抗表演
然后我发现无论怎么搭配，如果想让安软胜算更大，至少要保证1尽可能的防注入，2尽量选择有命令行检测功能的，3不加防火墙或有却禁用相当于自废武功

cfhdrty

防流氓：
1，不点有@、download文件名的文件
2，下载的文件检查大小，是否和下载页面写的不一致
3，游戏不点启动器，在游戏目录找EXE启动
4，开显示扩展名、隐藏文件，这样很容易看出一些奇怪文件了，比如远控

pal家族

随便讲，
下载软件时，选择本地下载，而不是高速下载。
下载下来的如果后面有一串儿数字比如@141465845，那90%是流氓推广。

安装系统之后，先把显示隐藏文件给打开，再把文件后缀名显示出来。免得想打开avi结果是exe。
你能在网上随便搜索到的外{过}{滤}挂全是假的，谁贪小便意就中毒活着被骗钱。
传奇sifu一般都会释放一个驱动到系统目录，一般用于弹广告，很难杀除，所以还是别用私-Fu好。

jasonliul

cfhdrty 发表于 2016-7-31 20:48
JAVA那个真不知道。。而且我本 ...

最简单是使用微软的查看器阅读不明文档
https://www.microsoft.com/en-us/download/search.aspx?q=Viewer

MS的查看器本身没有宏支持.

小老虎t

安装软件的时候留意打勾的地方，每次点下一步之前先仔细看看有什么打勾的东西。
软件一定要从官网自己下，除非找不到官网。
重要资料备份或传到云端，要用靠谱的云。
如果你在使用win10的话，请你尽量使用应用商店中的UWP应用，即使它功能简陋。

bayern

好久不说话了。。。。。。
MSDN原版系统是基础，现在能见到的封装系统几乎都有流氓，讲真的，这个绝对是中招第一步；
其次呢，上网一定要分析网页，网页挂马钓鱼有时候远远要比PC本地你的损失更大
再有，任何软件都是工具，我是不喜欢搭配的人，杀软也好，防火墙也罢，还是沙盒之类，用好一个足矣
一句话，懂自己的电脑比啥都强

km2002

1、用了这么久杀软 还是喜欢带HIPS的 其实许多时候真的需要自定义一些规则 哪怕这些规则只是用来防护你电脑里比较重要的文件（当然备份更重要）或者只是简单用来拦截流氓

2、防火墙我也感觉有必要 虽然现在能用的纯墙越来越少 虽然装着好像没什么用 但是总有 墙到用时方恨少的时候

3、至于电脑安全与否 很多时候跟自己的使用习惯有很大的关系（反正定期该做好的 都不要偷懒） 经常喜欢百度搜索后 下载的东西 要特别注意   就算不是病毒 也要注意是否货不对板 装上一大堆垃圾软件 天朝大环境如此 大家都懂得的

4、虽然没有杀软综合症 但是只要有新玩意 都喜欢在虚拟机上玩一玩

lixihong10

自己笔记本内容太多，就不描述了。

拿公司电脑来说吧(配置不高 i3的U)。

1.重装 ISO 的系统并优化服务；关闭windows更新；关闭IPv6 禁用 NetBios等。

2.ESET ESS，先手动优化一些设置让其更加轻巧；HIPS关闭；防火墙交互模式；开启ARP防御等；

3.安装sandboxie沙盘,在桌面创建个文件夹 “强制入沙” 设置规则里面的文件全部沙盘中打开；
这个文件夹在ESET扫描中排除。网上下载的程序基本在里面跑。

4.用的 360 极速浏览器(听说会自己上传隐私所以ESET屏蔽 360域名) + 谷歌原版浏览器(f_q用);

5.辅助装备比较多：
独立版的 360 流量监控(ESET阻止联网)看流量情况和限速用；
System explorer任务管理器后台(进程记录+事物记录)；
HMAP(最近才装的反测漏工具);
抓包 工具 SRSNIFFER、Wireshark、Http Analyzer等；
Pchunter，UNINSTALL TOOL，CC，Unlocker；

好像就这些了。有没有和我装备差不多的

天耀群星

一.浏览器选择安全的、带沙箱的浏览器，浏览器防沙箱运行。软件选择漏洞少的和正式版。
不下载未知软件 非要下应该在沙箱、虚拟化运行一遍看看。推荐虚拟机，再次影子、sandboxie COMODO自动沙箱。

二、QQ安全须知：
1、QQ设置代{过}{滤}理连接，TCP 443端口。
2、输入密码试时，不按顺序输入，先输入前面的，和后面的。再在当中插入光标，再输入密码当中的三四位数。

3、设置强密码，包含大小写、特殊符号的10位数以上的密码。并有密保等。
4、安装QQ电脑管家，启用帐号宝。安装巨盾拦拦，防盗号。安装防火墙。

5、不打开陌生的邮件和弹窗提示。不轻信中奖等诈骗信息。
6、谨慎打开消息弹窗提示。接受文件为要求高安全。

7、如果有手机防盗号密保，尽量保持手机在线，少关机。
8、不泄漏邮箱帐号给别人。电脑给别人用时，关闭自动登录。

9、不在公告电脑和公告网络上，登录QQ。采取软键盘或虚拟键盘输入密码。

10、不用QQ登录不可信的小网站。注意网址正确。
        没有自动登录的QQ申诉等网站，都是假腾讯官方网站。

11、安装原版QQ，及时更新。打漏洞补丁。不下载未知的软件。

12、使用沙箱隔离缓存。防御隐私泄露。

不要轻信网络上的垃圾广告消息
有没有收到过下面这些消息？“进我个人资料,教你免费拿QB”、“有些话一直想说，但不方便说出来，给你录成语音留言了，
你用手机拨打12590XXXXXXX就听到了……”、“网上兼职www.XXXXXX.cn，120元/天”、
“将这个消息发送给你的五个好友，你就能获得更快升级”……你知道这些都是骗人的吗？这种垃圾消息，
一般都利用了好友之间的信任，骗取用户的手机话费或者短信费用。

6、严防中奖诈骗，了解被骗的报警手段
我们在QQ安全频道反馈区和大家交流的时候，经常遇到有用户被骗子诈骗钱财的案例，
很多用户被骗后不知道该如何处理，在这种情况下，大家记住一定要保留被骗的证据，及时拨打110报警，
另外，也要及时通过公安部网络违法犯罪举报网站www.cyberpolice.cn来及时报案。

三、
1、阻止从可移动盘加载dl，防钩子。 同样，U盘程序加载系统dll和自身dll外。其他链接库禁止加载。
2、拦截根目录创建文件，阻止创建autorun.inf
3、U盘 h:\*等目录降权，少数安全软件可防在【杀毒防火墙组】，其他严格控制可执行文件、无运行权限。
4、U盘文件防修改和删除，特别是重要资料。文件修改询问。所有可执行创建询问。

通过禁止注册表中MountPoints2的写入好像也有效果，具体原理忘了。。、
然后大家都知道的：禁止自动播放。。。
U盘根目录不存放文件
同时可以考虑打开隐藏文件。。

锁定主页永不更改：
进入Internet选项，把主页改成你所想要的→然后按应用→不要按确认→千万记住这个→也不要关闭选项卡→然后按开始→运行→输入→ gpedit.msc
打开组策略→在左边的树状结构中找到：
用户配置→管理模板→Windows组件→点击 Internet Explorer
找到窗口右面有一项为：→“禁用更改主页设置”→设置好你想要的默认主页→然后双击该项→选为“已启用”。
完成这一步之后就可以确定internet选项卡了→再次打开internet选项卡→可以发现主页那一栏变灰了就是不可更改了。

天耀群星

一、取消文件夹隐藏共享

　　如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择"共享"，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?

　　原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\\计算机名或者IP\C$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

　　怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

　　二、拒绝恶意代码

　　恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

　　一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

　　运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

　　三、封死黑客的“后门”

　　俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧!

　　1.删掉不必要的协议

　　对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

　　2.关闭“文件和打印共享”

　　文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

　　虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

　　3.把Guest账号禁用

　　有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

　　4.禁止建立空连接

　　在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

　　方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

　　建议大家给自己的系统打上补丁。

　　四、隐藏IP地址

　　黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代{过}{滤}理服务器。

　　与直接连接到Internet相比，使用代{过}{滤}理服务器能保护上网用户的IP地址，从而保障上网安全。代{过}{滤}理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代{过}{滤}理服务器首先截取用户的请求，然后代{过}{滤}理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代{过}{滤}理服务器后，其它用户只能探测到代{过}{滤}理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代{过}{滤}理服务器的网站有很多，你也可以自己用代{过}{滤}理猎手等工具来查找。

　　五、关闭不必要的端口

　　黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

　　六、更换管理员帐户

　　Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

　　首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

　　七、杜绝Guest帐户的入侵

　　Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

　　禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

　　八、安装必要的安全软件

　　我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

　　九、防范木马程序

　　木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

　　● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

　　● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

　　● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

　　十、不要回陌生人的邮件

　　有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

　　做好IE的安全设置

　　ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!

　　另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。

　　下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。


如何躲过那些表面平静,却暗藏病毒的网页陷阱。

先想想,如果是我们中了马或病毒，那木马总要执行吧，但我们把它的执行那条路封掉，那还能执行么? 所以我们先找到这些个可能被执行的地方!

C:\Documents and Settings\Administrator\Local Settings\Temp

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

这两个地方是上网页时,所有网页病毒到达我们电脑的必经之地,

如何限制?先请出我们的主角 “组策略编辑器” gpedit.msc

点击开始菜单,选择运行,输入 gpedit.msc确定即可

再点击计算机配置--WINDOWS设置--安全设置--软件限制策略--其他规则,

右击其他规则,点"新路径规则"

    然后 输入C:\Documents and Settings\Administrator\Local Settings\Temp这个路的地址,安全级别当然是不了!

    点确定即可,另一条地址也按这方法重复添加就OK了,看网页病毒怎么转进来!

打开C:\Program Files\InternetExplorer文件夹，右击Iexplore.exe文件，选择“发送到→桌面快捷方式”，再右击桌面上新建的快捷方式，即可在后面添加参数，要注意的是，程序名和参数之间要用空格分开，如果有多个参数，则也必须将多个参数用空格分开。

1.给IE穿上一件免费防弹衣

在Iexplore.exe后面添加-nohome参数，这样双击此快捷方式则可以打开一个空白IE窗口,不但能够加快启动速度，更重要的是，即使我们的主页被恶意程序修改了，利用此法也不会自动打开恶意网页。

pkuyzy

突然想到一个小白的习惯....用什么软件之前都喜欢上传到类似vt或者是哈勃火眼这类网站上看看，因为自己不懂逆向分析

900703

拒絕安裝Avira Free Avast Free AVG Free 和國外所有的免費防毒軟體 , 然後pro版的防毒軟體監控和靈敏度全開到高.

最佳配制：Kaspersky IS 2017+Zemana Anti Malware Pro +HitmanPro.Alert 我倒是要看看勒索軟體過不過的了我這關

pkuyzy

900703 发表于 2016-7-31 13:26
拒絕安裝Avira Free Avast Free AVG Free 和國外所有的免費防毒軟體 , 然後pro版的防毒軟體監控和靈敏度全 ...

为什么不用免费版呢？

900703

pkuyzy 发表于 2016-7-31 13:28
为什么不用免费版呢？

請去Mobile01 ppt看看中毒的人都用什麼無能的東西（Avira AVG Avast）

pkuyzy

900703 发表于 2016-7-31 13:32
請去Mobile01 ppt看看中毒的人都用什麼無能的東西（Avira AVG Avast）

抱歉啊，不太理解为什么，比如红伞免费版和收费版差的一个web protwction 一个mail protection，但关键性的apc等技术却完整继承了，AVG同理，查杀引擎和IDP全部继承了，综合防护效果真的有多少吗？不见得吧
不如换个角度看，愿意花钱买杀软的人一般都对于安全更加重视，因此更不容易中毒，相反大多数用免费杀软的用户都是小白吧，详情看天朝情况，中毒的人数和比例更大不是很正常吗

jasonliul

俺的怪癖蛮多的,因为玩得久了, 也会腻味.
相反杀软/墙胡乱用的.

其他怪癖
1.过气的spybot俺每次新机器都装一次, 使用免疫[民兵土包方式, 没有正规厂商使用的], 然后卸载.
2.总有两套office, MS office使用组策略禁用所有用户的宏. Softmaker/Libre/WPS任选其一.
3.总是把冷门浏览器[Qtweb,otter, midori,K-Meleon]设为默认, 虽然几乎不用. 浏览器一定是便携版, 起码免安装.
4.电邮客户端用Becky, Foxmail, 从来不用outlook, 同样禁用宏. 俺只用gmail, GMX, Yandex这几个大户.
5.使用过气的压缩软件做文档图片本地备份, 推荐WinAce, 注意不要设置文件关联. 或者Total Commander的MultiArc插件更好.
6.独立墙腻味了, 改用系统墙,不过经常用Cports查看
http://www.nirsoft.net/utils/cports.html
7. 基本都在代鲤上..........国情特色
8.Flash用旧版, 后来改esr版本. http://bbs.kafan.cn/thread-1822328-1-1.html

天耀群星

HIPS设置好规则，杀软只是辅助。

1、浏览器等文件缓存 c:\users\ljx\appdata\local\temporary internet files\low\content.ie5\*   FD  云安全 流量扫描
2、下载区   下载正规软件  云安全 沙箱

3、U盘      杀毒+HIPS  

4、根目录、temp特殊目录等。fd

5、桌面流氓快捷方式。解决方案：FD

6、入侵系统进程、软件进程。系统和软件漏洞利用和攻击。 AD  主动防御

7、安装各种钩子、加驱动、修改重要注册表、启动项等。  HIPS

8、木马下载器、黑客网络入侵、远控木马、 防火墙 ND

9、溢出攻击、cmd命令、bat批处理、脚本vbs\JS 等。主动防御、HIPS

10、防泄漏：防隐私、防盗号、防间谍。 有专门的防泄漏软件例spyshelter

11、重要资料保护 备份还原。防穿透、保护备份还原软件。云盘、移动硬盘、虚拟机、HIPS

12、硬盘保护：防修改引导区文件、磁盘驱动器保护，防修改物理内存保护。HIPS

13、权限管理，防提权等。 系统自带UAC 使用非管理员账户。

14、防社工，防人乱安装软件、防软件冲突、防流氓广告软件。靠自己和火绒