Windows下病毒木马基本防御和解决方案

　　电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。做好防御也是一大关键，下面一起看看Windows下病毒木马基本防御和解决方案!

　　一.基本防御思想：备份胜于补救。

　　1.备份，装好机器之后，首先备份c盘(系统盘)windows里面，和C:\WINDOWS\system32下的文件目录。

　　运行,cmd命令如下;

　　dir/a C:\WINDOWS\system32 >c:\1.txt

　　dir/a c:\windows >c:\2.txt

　　这样就备份了windows和system32下面的文件列表，如果有一天觉得电脑有问题，同样命令列出文件，然后cmd下面，fc命令比较一下，格式为，假如你出问题那一天system32列表为3.txt，那么fc 1.txt 3.txt >c:/4.txt

　　因为木马病毒大多要调用动态连接库，可以对system32进行更详细的列表备份，如下

　　cd C:\WINDOWS\system32

　　dir/a >c:\1.txt

　　dir/a *.dll >c:\>2.txt

　　dir/a *.exe >c:\>3.txt

　　然后把这些备份保存在一个地方，除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件，虽然有一些是安装软件的时候产生的，并不是病毒木马，但是还是可以提共很好的参考的。

　　2.备份进程中的DLL, CMD下面命令

　　tasklist/m >c:/dll.txt

　　这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下，比较方法如上不多说，对于DLL木马，一个一个检查DLL太麻烦了。直接比较方便一些。

　　3.备份注册表，

　　运行REGEDIT，文件——导出——全部，然后随便找一个地方保存。

　　4.备份C盘

　　开始菜单，所有程序，附件，系统工具，备份，然后按这说明下一步，选择我自己选择备份的内容，然后把系统备份在一个你选定的位置。

　　出了问题，同样打开，选择还原，然后找到你的备份，还原过去就是了。

　　二，基本防御思想，防病胜于治病。

　　1.关闭共享。关闭139.445端口，终止xp默认共享。

　　2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。(注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。)

　　3.控制面板，管理工具，本地安全策略，安全策略，本地策略，安全选项给管理员和guest用户从新命名，最好是起一个中文名字的，如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。

　　4.网络连接属性里面除了tcp/ip协议全部其他的全部停用，或者干脆卸载。

　　5.关闭远程连接，桌面，我的电脑，属性，远程，里面取消就是了。也可以关闭Terminal Services服务，不过关闭了以后，任务管理器中就看不到用户名字了。

　　三，基本解决方法，进程服务注册表。

　　1. 首先应该对进程服务注册表有一个简单的了解，大约需要3个小时看看网上的相关知识应该就会懂得了。

　　2.检查启动项目，不建议使用运行msconfig命令，而要好好察看注册表的run项目，和文件关联，还有userinit,还有shell后面的explorer.exe是不是被改动。相关的不在多说，网上资料很多，有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目

　　1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\

　　2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.

　　4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

　　5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

　　6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

　　8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

　　9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

　　11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

　　12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\

　　13. HKEY_CURRENT_USER\Control Panel\Desktop

　　14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager

　　15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\

　　16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\

　　17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\

　　18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\

　　19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\

　　20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\

　　21. HKEY_CLASSES_ROOT\exefile\shell\open\command\

　　22. HKEY_CLASSES_ROOT\comfile\shell\open\command\

　　23. HKEY_CLASSES_ROOT\batfile\shell\open\command\

　　24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\

　　25. HKEY_CLASSES_ROOT\piffile\shell\open\command\

　　26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\

　　27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\

　　28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline

　　29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline

　　30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

　　31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\

　　32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

　　33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\

　　35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\

　　3.检查服务，最简单的吧，服务列表太长，我估计你也不一定能全部记住。说一个简单的，运行msconfig，服务，把“隐藏所有的microsoft服务”选中，然后就看到了不是系统自带的服务，要看清楚啊，最后在服务里面找找看看属性，看看关联的文件。现在一般杀毒都要添加服务，我其实讨厌杀毒添加服务，不过好像是为了反病毒。

　　4.进程，这个网上资料更多，只说明两点，1.打开任务管理器，在“查看”，“选项列”中把“pid”选中，这样可以看到pid。2.点一个进程的时候右键有一个选项，“打开所在目录”，这个很明显的，但是很多哥们都忽略了，这个可以看到进程文件所在的文件夹，便于诊断。

　　5.cmd下会使用，netstat –ano命令，觉得这一个命令对于简单的使用就可以了，可以查看协议端口连接和远程ip.

　　6.删除注册表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝

　　{0D43FE01-F093-11CF-8940-00A0C9054228}

　　两个项目，搜索到以后你会看到是两个和脚本相关的，备份以后删除，主要是防止一下网上的恶意代码

　　四，举一个简单的清除例子。

　　1.对象是包含在一个流行BT绿色软件里面的木马，杀毒可以杀出，但是错误判断为灰鸽子。有的杀毒杀不出来。以下说的是不用任何工具的判断和清除，当然任何工具中包括杀毒。

　　2.中毒判断：使用时候，忽然硬盘灯无故猛烈闪烁。系统有短暂速度变慢。有程序不正常的反映，怀疑有问题。

　　2.检查，服务发现多了一个不明服务，文件指向C:\Program Files\Internet Explorer下面的server.exe文件，明显的这不是系统自带的文件，命令行下察看端口，有一个平常没有得端口连接。进程发现不明进程。启动项目添加server.exe.确定是木马。

　　4.清除：打开注册表，关闭进程，删除启动项目，注册表搜索相关服务名字，删除，删除源文件。同时检查temp文件夹，发现有一个新的文件夹，里面有一个“免杀.exe”文件，删除，清理缓存。当然最好是安全模式下进行。

　　5.对照原来备份的system32下面的dll列表，发现可疑dll文件，删除，也可以在查看选择“选择详细信息”选择上“创建日期”(这个系统默认是没有添加的)，然后查看详细信息，按创建日期显示，可以发现新创建的文件。这个木马比较简单，没有修改文件日期。

　　在那里的，有时候忘记了清理，病毒如果关联在这个文件上，删除后还会出现的。)

　　相关阅读：2018网络安全事件：

　　一、英特尔处理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

　　二、GitHub 遭遇大规模 Memcached DDoS 攻击

　　2018年2月，知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击，流量峰值高达1.35 Tbps。然而，事情才过去五天，DDoS攻击再次刷新纪录，美国一家服务提供商遭遇DDoS 攻击的峰值创新高，达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现，截止2018年2月底，中国有2.5万 Memcached 服务器暴露在网上 。

　　三、苹果 iOS iBoot源码泄露

　　2018年2月，开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码，泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示，这是 iOS 历史上最严重的一次泄漏事件。

　　四、韩国平昌冬季奥运会遭遇黑客攻击

　　2018年2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击，此次攻击造成网络中断，广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作，许多观众无法打印开幕式门票，最终未能正常入场。

　　五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪

　　2018年2月中旬，工业网络安全企业 Radiflow 公司表示，发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU，致欧洲废水处理服务器瘫痪 。