受用终身的防毒技巧，练就火眼金睛一眼识破病毒

72380656

无意中在网上看到，觉得很有用，不敢独享，与各位饭友分享。
摘自：http://uir.blog.hexun.com/6337653_d.html
【IT168 实用技巧】说起预防病毒的方法，大家首先想到的应该是打开杀毒软件实时监控。但老鸟却这样告诉你：NO！当今的杀毒软件几乎个个是系统资源杀手，打开实时监控会立即让你有“奔四变赛扬”的感觉。那么，我们能否像老鸟一样，练就成一眼识破病毒的火眼金睛术呢？能！不信？就跟我一起开始下面的训练吧！
准备活动：打开“我的电脑→控制面板→文件夹选项”，在“查看”选项卡里勾选“显示系统文件夹的内容”并取消“隐藏受保护的操作系统文件（推荐）”的勾选，最后将“隐藏文件和文件夹”选项设置为“显示所有文件和文件夹”，如图（图01）准备活动所示。这样，某些伪装成系统文件的病毒就会现身，这是手动杀毒的基础。下面训练正式开始！

图1

第一招：扩展名识毒
防毒类型：QQ爱虫、狐狸王变种等扩展名伪装类病毒。
招式流程：打开 “我的电脑→控制面板→文件夹选项”， 在“查看”选项卡里取消“隐藏已知文件类型的扩展名”的勾选，如图（图01）第一招所示。
防毒原理：这种病毒一般都有一个非常诱人的名字来吸引用户点击，如图（图02）类型1。



图2    由于Windows XP的默认设置是“隐藏已知文件类型的扩展名”，所以它在普通用户的电脑里显示的文件名是“漂亮美眉.jpg”“机密文件.doc”等，图标也非常相象。学会第一招后，这种病毒的骗人伎俩已不攻自破，选定这些文件，“Shift+Delete”伺候吧！
第二招：关闭自动运行
防毒类型：Perlovga.a、Trogan-Dropper等自动运行病毒。
招式流程：1：在“开始→运行”中输入“regedit.exe”打开注册表编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom”项，将键值“Autorun”由“1”改为“0”，如图（图03）。这样，新插入磁盘时，系统将不会按照其根目录下的“Autorun.inf”文件来擅自运行程序了。



图3    2：在“开始→运行”中输入“gpedit.msc”打开组策略，依次打开“计算机配置→管理模板→系统→关闭自动播放”，在“设置”选项卡中选择“已启用”并将“关闭自动播放”设置为“所有驱动器”，如图（图04），确定后重启生效。此后，当你在“我的电脑”里双击打开U盘或光盘时，系统会打开该盘根目录而不会运行“Autorun.inf”指向的程序。



图4    防毒原理：这种病毒一般由两个文件组成：“Autorun.inf”及一个类似于“copy.exe”的病毒程序，如图（图02）类型2。“Autorun.inf”是把双刃剑，在正版软件光盘里，它负责一步步引导用户完成软件的安装；但对居心叵测的病毒来说，“Autorun.inf”则是它们赖以传播的温床。病毒程序常将“Autorun.inf”中的“Open=”命令指向自己，使用户在神不知鬼不觉的情况下感染病毒。关闭自动运行可大大降低感染该类病毒的几率。
第三招：良好的文件打开习惯
防毒类型：尼姆达、欢乐时光等脚本病毒。
招式流程：插入染毒状况不明的光盘/U盘/软盘后，按下“Win+E”键打开资源管理器，在资源管理器左侧窗口用鼠标单击文件夹树来浏览文件夹，如果发现某些文件夹里面有 “Desktop.ini”和“Folder.htt”这两个隐藏文件，如图（图05），则应手动删除之。另外，将系统文件夹查看方式设置为“使用Windows传统风格的文件夹”也可以避免此类病毒的感染。



图5    防毒原理：单从文件用途来看，“Desktop.ini”是文件夹样式定义文件，它决定了文件夹的显示方式等信息，“Folder.htt”文件是系统Web浏览样式文件。当文件夹查看方式设置为“允许文件夹使用Web内容”（Windows 2000）或“在文件夹中显示常见任务”（Windows XP）时，这两个文件才会被操作系统激活并调用。而使用资源管理器查看文件夹时，左侧的文件夹树替代了Web内容，文件夹的查看方式也就成了“传统风格”，操作系统不再调用这两个文件，避免了此类病毒的感染。
第四招：用WinRAR打开自解压文件
防毒类型：“异形”等一些捆绑木马的自解压程序
招式流程：此种病毒多是一个WinRAR自解压程序，如图（图02）类型4。对于这类文件，我们不妨点击右键选择“用WinRAR打开”来查看其内部文件及自解压脚本命令，确认其默认解压路径及流程后再作处理。
防毒原理：以图（图03）中的“类型4：Boot.exe”为例，用WinRAR打开后如图（图06）所示，其内部只有一个文件：Boot.ini，自解压脚本命令为：



图6

Path=C:\ /*解压路径为C盘*/

SavePath

Silent=1 /*安静模式，即后台解压*/

Overwrite=1 /*强行覆盖原有文件*/

可以看出，这个程序运行时会偷偷将系统的“Boot.ini”文件强行替换，可能导致系统无法启动。这种危及系统的文件，不赶快删除还等什么？
至此，“火眼金睛术”的练习该告一段落了。有了以上四招，你那不听话的操作系统再也不会自作主张帮你运行病毒程序了，常见病毒的长相与伎俩也能被你一眼看穿了。虽说网络病毒是当今病毒的主流，但文件病毒的防治仍不可小视，尤其是在单位、学校这些公用计算机密集的场所，软盘/U盘依然是病毒传播的主要载体。懂得一些人工识别并杀灭病毒的方法，既能提高系统的安全性，又能提高自己的计算机水平，何乐而不为呢？
高效保护系统安全 管好XP防火墙几则技巧
天极yesky

　　作者：逢逢
　　尽管Windows系统自带有防火墙功能，但不少人认为该功能并不是十分强大，往往无法保护好系统安全，为此他们常常借助外来“力量”，在本地计算机中安装第三方安全保护程序，来“护驾”系统安全运行。事实上，Windows系统自带防火墙的“潜能”还是十分巨大的，只要我们善于从细节出发，深入对其“潜能”进行挖掘，完全可以用自带防火墙保护好本地系统的安全。这不，本文下面就为各位总结了几则防火墙的管理维护技巧，但愿这些技巧能帮助各位更高效地保护好系统安全!

　　巧用命令，管理防火墙
　　在管理Windows系统内置的防火墙时，相信多数人都会在Windows状态下，进入防火墙的参数配置界面来对其进行管理控制。事实上，除了在Windows界面下能管理防火墙外，我们还能改变管理思路，通过一些简单的命令来对防火墙进行快速管理控制。例如，当有人对防火墙的配置参数进行胡乱修改，导致网络不能正常访问连接时，我们只要按照如下操作步骤就能快速地让防火墙的参数恢复到默认数值:

　　首先打开Windows系统的“开始”菜单，并执行其中的“运行”命令，打开系统运行对话框，在其中输入“cmd”字符串命令，单击回车键后，将Windows系统切换到MS-DOS工作模式;

　　然后在MS-DOS命令提示符下，输入“netsh firewall reset”字符串命令，单击回车后系统就会自动将Windows内置防火墙的各项参数恢复到出厂设置状态，并返回“确定”提示(如图1所示);将防火墙参数恢复到默认状态后，我们再重新对其正确配置，这样说不定就能将由防火墙引起的网络故障快速排除掉了。



图1

　　除了通过命令可以快速恢复防火墙参数外，我们还能对防火墙进行其他方面的管理操作。例如，要想检查防火墙参数是否设置正确时，我们根本不需要逐一打开每一个配置页面进行依次检查，而只需要在MS-DOS命令提示符下简单地执行一下“netsh firewall show config”字符串命令，系统就能自动把防火墙所有的配置参数列写出来了，这样我们就能一目了然地查看到各种参数配置信息了。
　　要想在本地计算机系统中安装其他更加专业的防火墙程序时，我们往往需要先将Windows系统内置的防火墙程序暂时关闭掉，以防止新安装的防火墙与其发生冲突。在暂时禁用Windows系统内置的防火墙时，我们只需在DOS命令提示符下执行“netsh firewall set opmode mode=disable”字符串命令就可以了，而根本不用麻烦去打开防火墙配置界面。日后想将Windows系统自带防火墙重新启用起来的话，只需执行字符串命令“netsh firewall set opmode mode=enable”就OK了。怎么样，这种管理防火墙的方法是不是很新颖呀!?

着眼服务，启用防火墙
　　在默认状态下，Windows XP系统内置的防火墙是不会被启用的，而要启用防火墙，我们往往需要先打开本地系统的网络连接列表窗口，然后用鼠标右键单击其中的“本地连接”图标，执行快捷菜单中的“属性”命令，进入本地连接属性配置界面，再打开该配置界面中的“高级”标签页面，最后单击其中的“设置”按钮，才能启用防火墙。但在实际启用防火墙的过程中，我们有时会发现进入到本地连接属性配置界面中的“高级”标签页面时，发现“设置”按钮竟然变成了灰色调，这么一来我们就无法将防火墙启用起来了。遇到这种特殊现象时，我们究竟该如何才能将防火墙重新启用起来呢?

　　正常情况下，Windows系统是允许用户手工启用防火墙的，一旦发现“高级”标签页面中的“设置”按钮变为不可设置状态时，很有可能是我们在操作计算机的过程中，意外地将与防火墙相关联的服务停用了。这个时候，我们不妨按照如下步骤来重新启用防火墙:

　　用鼠标右键单击Windows系统桌面中的“我的电脑”图标，从弹出的右键菜单中执行“管理”命令，进入到本地系统的计算机管理窗口，在该窗口的左侧显示区域，找到“服务和应用程序”分支项目，然后选中该分支项目下面的“服务”子项;

　　在对应“服务”子项右侧的列表区域中，用鼠标双击“Windows Firewall/Internet Connection Sharing(ICS)”系统服务，打开如图2所示的系统服务参数设置界面;



图2

　　单击该界面中的“常规”标签，并在对应标签页面的“服务状态”设置项处我们能清楚地查看到该系统服务当前的运行状态;如果发现该系统服务还没有被正常启用的话，那我们只要单击一下“启动”按钮就能让该服务重新启用起来了，之后再次进入本地连接属性配置界面中的“高级”标签页面时，我们就会发现“设置”按钮此时就有效了，单击生效了的“设置”按钮后，我们就能进入防火墙设置窗口，对其中的各项参数进行任意设置了。此外，为了保证“Windows Firewall/Internet Connection Sharing(ICS)”系统服务能随Windows系统一起启动，我们还必须在“常规”标签页面中的“启动类型”设置项处将服务启动类型设置为“自动”。
使用命令，重装防火墙
　　从上面我们不难了解，一旦无法进入防火墙参数配置界面时，只要重新启动一下“Windows Firewall/Internet Connection Sharing(ICS)”系统服务就应该能解决问题了。但事实上，我们有时会碰到“Windows Firewall/Internet Connection Sharing(ICS)”系统服务启动出错的特殊现象，这种现象多半是由防火墙系统文件受到破坏引起的;此时，我们只有按照如下操作步骤，重新安装一下系统防火墙，才能将受损的系统文件修复起来:

　　首先打开Windows系统的“开始”菜单，并执行其中的“运行”命令，打开系统运行对话框，在其中输入“cmd”字符串命令，单击回车键后，将Windows系统切换到MS-DOS工作模式;

　　其次在DOS命令行提示符下，输入字符串命令“Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf”，单击回车键后，再重新启动一下Windows系统;

　　接下来再将Windows系统切换到MS-DOS工作模式，并在DOS命令行提示符下执行“netsh firewall reset”字符串命令，这样Windows防火墙的各项设置参数就被自动恢复到默认状态了;之后，我们再尝试启用“Windows Firewall/Internet Connection Sharing(ICS)”系统服务时，就不会遇到什么系统错误提示了。
　　禁用服务，屏蔽防火墙
　　有时为了实现某种特殊安全防范目的，我们往往需要在本地计算机系统中安装第三方防火墙，为防止该防火墙与系统自带防火墙相互引起冲突，事先必须将Windows系统自带防火墙关闭掉。可是，即使我们将Windows系统自带防火墙关闭掉了，该防火墙有时还会随系统一起启动，那么我们有没有办法将防火墙彻底屏蔽掉呢?

　　其实，彻底屏蔽Windows系统自带防火墙的方法有很多，不过笔者在这里为大家提供一则比较简单的方法，那就是禁用服务“Application Layer Gateway Service”就可以了，下面就是具体的实施步骤:

　　用鼠标右键单击Windows系统桌面中的“我的电脑”图标，从弹出的右键菜单中执行“管理”命令，进入到本地系统的计算机管理窗口，在该窗口的左侧显示区域，找到“服务和应用程序”分支项目，然后选中该分支项目下面的“服务”子项;

　　在对应“服务”子项右侧的列表区域中，用鼠标双击“Application Layer Gateway Service”系统服务，打开如图3所示的系统服务参数设置界面;



图3

　　单击该界面中的“常规”标签，并在对应标签页面中单击“停止”按钮，这样就能将已经启动的“Application Layer Gateway Service”系统服务暂时停用掉了;为了达到彻底屏蔽防火墙的目的，我们还需要在“启动类型”设置项处，将该服务的启动类型设置为“已禁用”，最后单击“确定”按钮，那样的话Windows系统自带防火墙就能被彻底屏蔽掉了。
巧设策略，锁定防火墙
　　在多个人共享使用同一台计算机的情形下，每个人都可以随意进入防火墙参数配置界面，来对计算机系统进行安全限制。但这么一来，本地系统的安全参数很容易被设置混乱，从而影响其他人正常使用该共享计算机系统。为了防止普通用户随意修改防火墙参数，导致计算机系统不能被正常使用，我们可以按照如下步骤将防火墙锁定起来，以便实现禁止修改防火墙参数的目的:

　　在Windows系统桌面中逐一单击“开始”、“运行”命令，在其后出现的运行文本框中输入“gpedit.msc”字符串命令，打开本地计算机的系统组策略窗口;

　　在该窗口的左侧显示区域，找到“计算机配置”分支项目，然后用鼠标逐一展开该分支项目下面的“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”子项，在对应“标准配置文件”子项右侧的显示区域中，用鼠标右键单击“Windows防火墙:保护所有网络连接”项目，从其后出现的快捷菜单中执行“属性”命令，打开如图4所示的属性设置窗口;



图4

　　在该窗口的“设置”标签页面中，检查一下“Windows防火墙:保护所有网络连接”项目此时是否处于“已启用”状态，要是发现该项目已被启用的话，我们只要重新选择“已禁用”选项，再单击确定。

AVAST1

杀花支持

四月小小

学习了，支持

ciciclean

很高深很深入

mr.k1ng

支持下~~

妖言

奇淫技巧!

hohomekyt

太复杂了，还是安装杀软实在

winxie

很实用，谢谢分享

jkcwy

LZ很有心啊！

我需要的不是性

我发现文章里写的我都会，呵呵，看来不知不觉我已经学到了很多东西了。