電腦系統(tǒng)病毒防范要點

1、 現如今，病毒、木馬如雨后春筍般不斷涌出，一不小心系統(tǒng)就會因病毒感染而變得"滿目瘡痍"，造成機器運行速度非常的慢，雖然我們可以通過使用殺毒軟件對系統(tǒng)進行掃描殺毒，但有些時候卻發(fā)現掃描的結果沒有發(fā)現病毒，使我們束手無，其實在這種情況下我們只要掌握了病毒的規(guī)律，完全可以通過自檢的方式將病毒"揪"出來并將其消滅。    一、了解病毒藏匿的位置     "知己知彼，百戰(zhàn)不殆"，只有對病毒藏身位置有了一定了解，才能夠徹底消除病毒。病毒經常隱匿之處最常見的地方就是&q

2、uot;啟動"菜單項。我們都知道只要將應用程序放置到"開始""程序"菜單內的"啟動"菜單項中，當系統(tǒng)啟動時，該程序就會自動運行，一些病毒正是利用這一特性達到自啟動的目的。不過"啟動"菜單項過于顯眼，即使是初學者也會在這里將病毒清除，較為高深一些的病毒絕對不會將自身程序放置在這里，而是將其加載到了系統(tǒng)中的win.ini、system.ini中，對于這兩個地方，一般初學者或者對系統(tǒng)不夠深入了解的人是不敢去"觸摸"的，一旦它們稍有損害，整個系統(tǒng)就要面臨崩潰狀態(tài)，而病毒真是利用了人們的這一心理

3、，將自身藏入其中，比如在win.ini文件中，病毒會將啟動程序放置windows域中的load項和run項內，這樣系統(tǒng)啟動后就會自動加載了。而system.ini則不同，事實上，system.ini文件并沒有給用戶可用的啟動項目，然而通過它啟動卻是非常好用的。在system.ini文件的boot域中的shell項的值正常情況下是"explorer.exe"，這是windows的外殼程序，換一個程序就可以徹底改變windows的面貌，很多病毒程序就是在"explorer.exe"后面加上自身程序的路徑，這樣windows啟動后木馬也就隨之啟動，而且即使是安

4、全模式啟動也不會跳過這一項，這樣木馬也就可以保證永遠隨windows啟動了。     病毒比較喜歡隱藏的地方還有就是注冊表。在注冊表中提供了很多供病毒藏匿的地方，比如我們經常接觸的run鍵。run鍵的位置是    hkey_current_usersoftwaremicrosoftwindowscurrentversionrun     hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun 

5、    其下的所有程序在每次啟動登錄時都會按順序自動執(zhí)行。  還有一個不被注意的run鍵，位于注冊表     hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun  以及    hkey_local_machinesoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun

6、60;。     另外，runonce鍵、runservicesonce鍵、runservices鍵、runonceex鍵、load鍵以及winlogon鍵等等地方，都是病毒經常"駐扎"的地方，而且這些地方非常復雜，一旦漏刪了某一鍵，病毒仍然會自動啟動的。除此之外，病毒也會通過某些特定的程序或者文件啟動，比如"寄生"在特定程序之中，與相關文件關聯以及將特定程序更名等方式，使電腦使用者防不勝防。1    二、對系統(tǒng)進行全面自檢     通

7、過以上的分析，我們對病毒藏身之處有了一定的了解，當然病毒的藏身如"狡兔三窟"，一時間不可能全部查找出來，但是"再狡猾的狐貍，也逃不掉獵人的眼睛"，我們只要多付出一些耐心、細致，就會將病毒徹底清除。    （一）從隱藏文件中查找：病毒文件通常都是隱藏的，為此要想消除病毒，我們可以先從隱藏文件下手。在"資源管理器"中，單擊菜單欄中的"工具文件夾選項"命令，在彈出的"文件夾選項"對話框中的"查看"標簽面板內，將"隱藏受保護的操作系統(tǒng)

8、文件"前面的鉤取消，并選中"顯示所有文件和文件夾"單選項，最后單擊"確定"按鈕后即可看到所有的隱藏文件，這時我們只要在資源管理器中查看一下是否有異常文件即可。    （二）從系統(tǒng)啟動項中查找：我們在前面的講解中了解到，病毒一般都是隨著系統(tǒng)的啟動而啟動，那么我們可以通過在"啟動項"中將病毒刪除掉的方法來解決。    1、 使用"系統(tǒng)配置實用程序"    單擊"開始運行&

9、quot;命令，在彈出的對話框中輸入"msconfig"命令，打開"系統(tǒng)配置實用程序"對話框，在其中切換到"啟動"標簽面板中，我們可以看到在其中包含了所有的啟動程序，如圖1所示。啟動項     如果要找出其中的病毒，必須要進行仔細分辨，因為病毒會使用各種方法來迷惑我們，如果有不認識的啟動項目，可以通過上網查找相關信息來進一步確定，若為病毒，則取消該啟動項目，然后單擊"確定"按鈕即可。     2、 使用工具 

10、0;   "系統(tǒng)配置實用程序"是系統(tǒng)自帶的程序，它的優(yōu)點就在于方便，隨時都可以在系統(tǒng)中調用，但是缺點在于對于其中的啟動項沒有詳細的說明，對于初學者來說是不敢輕易亂動的，怕引起系統(tǒng)崩潰。其實在網絡上有很多工具都提供了檢測啟動項的功能，而且功能更為強大，對于初學者來講也非常容易上手，在這里我們借助"奇虎360安全衛(wèi)士"來達到從"啟動項"中將病毒刪除掉的目的。     打開"奇虎360安全衛(wèi)士"，進入到"高級""啟動項狀態(tài)"

11、;標簽面板中，我們可以看到"奇虎360安全衛(wèi)士"將系統(tǒng)中所有的啟動項目全部列舉出來了，而且對于每一個啟動項目都給出了詳細說明、所在位置以及安全級別，但點擊其中一個啟動項目時，"奇虎360安全衛(wèi)士"會彈出一個詳細的說明，幫助你了解這個啟動項目，從而正確地判斷出是否是病毒，這對于初學者來說是一個很好的幫助，如圖2所示?！捌婊?60安全衛(wèi)士”啟動項1google2008版主 作為版主板塊：網吧技術交流,網絡安全交流昵稱： 小佳發(fā)帖：41175精華：1150頭銜：太平洋艦隊發(fā)言人太平洋幣：1055.5 注冊：05-04-04查看資料  

12、60;   發(fā)送消息    （三）從"服務"項中檢測     "服務"也是病毒經常下手的地方，病毒只要在"服務"項目中動些手腳也可達到隨系統(tǒng)自啟動的目的。進入到"控制面板"中的"管理工具"內，雙擊其中的"服務"快捷方式，即可進入到"服務"面板中，在其中我們針對服務中描述的部分就可以查找病毒添加的項目，在其中上面單擊鼠標右鍵，從彈出的快捷菜單中選擇&

13、quot;停止"命令即可。圖三 服務項目    （四）從進程中查找    什么是進程？進程就是應用程序的運行實例，是應用程序的一次動態(tài)執(zhí)行?？此聘呱睿瑢嶋H上可以簡單地理解為它是操作系統(tǒng)當前運行的執(zhí)行程序。在系統(tǒng)當前運行的執(zhí)行程序里包括：系統(tǒng)管理計算機個體和完成各種操作所必需的程序；用戶開啟、執(zhí)行的額外程序，當然也包括用戶不知道，而自動運行的非法程序，它們就有可能是病毒程序。    按住鍵盤上的"ctrl+alt+del"鍵打開"

14、;任務管理器"，并進入到"進程"標簽面板中，勾選中"顯示所有用戶的進程"復選框，我們從中可以查看到運行的所有程序名稱、程序所在路徑以及每個程序所占用的內存，如圖4所示。進程列表    當某一進程我們既不知道它的名稱含義，而且它所占用的內存又非常大，同時機器又處在運行緩慢的狀態(tài)，這時我們就要注意了，這個進程有可能是病毒，通過確認后應及時將其關閉。其實病毒還喜歡使用與系統(tǒng)進程相似的名稱來迷惑電腦使用者，比如用假名稱"svch0st.exe"來冒充真正的進程"svchost.exe

15、"，很多人不仔細觀察是不容易發(fā)現的。另外有些病毒所使用主程序名稱與正常系統(tǒng)進程名稱一樣，但你只要稍微觀察一下，就會發(fā)現二者還是有區(qū)別的，它們的路徑不一樣。   如果對于"任務管理器"中進程確實沒有太大的把握確定的話，我們不妨使用一些輔助軟件，如"泛華進程管理工具"來實現結束病毒的進程。     軟件檔案軟件名稱： 泛華進程管理工具 v1.0  軟件大小： 2.11mb  軟件語言： 簡體

16、中文  軟件類別： 國產軟件 / 免費版 / 系統(tǒng)其它  運行環(huán)境： vista, win2003, winxp, win2000, nt, winme  下載地址：    "泛華進程管理工具"是一款免費軟件，將"泛華進程管理工具"下載后打開，可以看到它的界面，如圖5所示。泛華進程管理工具    我們在使用時

17、應先選中所懷疑的進程，然后單擊界面下方的"獲取選中進程的信息"按鈕，"泛華進程管理工具"會將系統(tǒng)中所有與此進程相關的信息列出來供我們分析，使我們做到一目了然，待確定后即可單擊"終止選中的進程"按鈕來結束這個進程，從而達到消除病毒的目的。    "泛華進程管理工具"所提供的功能非常的多，甚至提供了windows"任務管理器"一些不具備的功能，如能結束"任務管理器"殺不掉的進程；用戶可使用"定位文件"功能方便地找到進程所

18、在的文件夾；可按進程的"修改時間"排序，這樣被病毒感染的文件一目了然了等等。除了"泛華進程管理工具"以外，進程管理工具procexp也是一款非常不錯的進程管理工具，通過它也可以有效查出冒充病毒進程。   五、從系統(tǒng)內核中檢測    現在的病毒更加的"狡猾"，采用rootkit技術將服務隱藏，這就需要使用系統(tǒng)內核檢查才能夠將其"消滅"掉。所謂的rootkit技術，就是通過修改系統(tǒng)的內核讓病毒的進程、服務以及文件等隱藏起來，躲過電腦操作者的查殺，因此

19、，當我們在上述的工具中如果沒有發(fā)現沒有發(fā)現病毒，我們就需要對系統(tǒng)內核進行檢查了，可以利用專門的工具，如icesword。    軟件檔案 軟件名稱： 冰刃 icesword 1.20 中文版 軟件大?。?#160;2120kb 軟件類別： 國產軟件/系統(tǒng)安全 軟件授權： 免費版 軟件語言： 簡體中文 運行環(huán)境： win9x/me/nt/2000/xp/2003 下載地址：