计算机安全知识大全.pdf

《计算机安全知识大全.pdf》由会员分享，可在线阅读，更多相关《计算机安全知识大全.pdf（62页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、计算机安全知识大全一、未雨绸缪做好预防措施1.一个好，两个妙无论是菜鸟还是飞鸟，杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多，功能也十分接近，大家可以根据需要去购买正版的（都不算贵），也可以在网上下载免费的共享杀毒软件（网上有不少哦），但千万不要使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给 计 算 机“铁桶”般的保护。2.下载文件仔细查网络病毒之所以得以泛滥，很

2、大程度上跟人们的惰性和侥幸心理有关。当你下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻烦，尤其是对于一些Flash.MP3、文本文件同样不能掉以轻心，因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。3.拒绝不良诱惑很多中了网页病毒的朋友，都是因为访问不良站点惹的祸，因此，不去浏览这类网页会让你省心不少。另外，当你在论坛、聊天室等地方看到有推荐浏览某个URL时、要千万小心，以免不幸“遇害”，或者尝试使用以下步骤加以防范：1）打开杀毒软件和网络防火墙；2）把Internet选项的安全级别设为“高”；3）尽量使用以IE为内核的浏览器（如MyIE2）,然 后 在MyIE2中新建一个空白标签

3、,并关闭 Script、javaApple、ActiveX 功能后再输入 URL。小提示：该方法不但能有效对付网页病毒，而 且 对“蠕虫病毒”也 有 定 作 用。4.免费午餐：在线查毒虽然目前网络上的“免费午餐”越来越少，但仍有一些网站坚持向网民们提供免费的在线查毒服务，实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友，可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”：小提示：1）各网站的在线查毒服务都有所不同，使用前要仔细阅读网站上的相关说明后再进行操作，争取把病毒赶尽杀绝；2）由于查毒时需要调用浏览器的ActiveX控件，因此查毒前要先在IE的“Internet选项”“

4、安全”页面中检查该功能是否打开，并相应降低安全级别（一 般“中等”即可）再查毒。5.千呼万唤终不应如果你发现有“你中奖啦！”、“打开附件会有意外惊喜哦！”这些话，可千万别信！看到类似广告的邮件标题，最好马上把它删掉。对于形迹可疑的邮件（特别 是HTML格式），不要随便打开，如果是你熟悉的朋友发来的，可以先与对方核实后再作处理。同时，也有必要采取一定措施来预防邮件病毒：1）尽量不要用Outlook作为你的邮件客户端，改 以Foxmail等代替，同时以文本方式书写和阅读邮件，这样就不用担心潜伏在HTML中的病毒了；2）多使用远程邮箱功能，利用远程邮箱的预览功能（查看邮件Header和部分正文），可

5、以及时找出垃圾邮件和可疑邮件，从而把病毒邮件直接从服务器上赶走；3）不 要 在W eb邮箱中直接阅读可疑邮件，因为这种阅读方法与浏览网页的原理一样，需要执行一些脚本或Applet才能显示信息，有一定危险性。6.修修补补，填充漏洞当前各种各样的安全漏洞给网络病毒开了方便之门（其中以IE 和 PHP脚本语言的漏洞最多），我们平时除了注意及时对系统软件和网络软件进行必要升级外，还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“WindowsUpdate”功能，让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测（例如东方卫士

6、的“系统漏洞检测精灵”就是一个不错的软件）,以便及早发现漏洞。7.给危险文件加把“锁”不管网络病毒如何“神通广大”，它要对计算机进行破坏，总是要调用系统文件的执行程序（例如format.exe、delete.exe deltree.exe等），根据这个特点，我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范，让病毒无从下手。8.有“备”无患，打造最后防线正所谓“智者千虑，必有一失”，为保证计算机内重要数据的安全，定时备份少不了。如果我们能做好备份工作，即使遭受网络病毒的全面破坏，也能把损失减至最小。当然，前提条件是必须保证备份前数据没被感染病毒，否则只

7、能是徒劳无功。另外，要尽量把备份文件刻录到光盘上或存放到隐藏分区中，以 免“全军覆没”。二、见招拆招一一杀毒软件的常见问题安装杀毒软件后与其他软件发生冲突怎么办？1）由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的，因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙，然后尝试暂时关闭杀毒软件和防火墙的监测功能，再看看问题是否已经解决：2）到杀毒软件的主页网站看看是否出了相关补丁或升级版本，有则打上补丁或升级到最新版本；3）如果以上措施还不能解决问题，可以通过E-mail联系作者，寻求解决方法。不能正常升级怎么办？1）如果使用的是正版软件，可以先试着完全卸载旧版本，再安装新版本（为安全

8、起见，建议卸载前先进行备份）；2）检查是否安装了多种杀毒软件，卸载其他杀毒软件后再安装；3）检查输入的序列号是否正确、钥匙盘（A 盘）有没有损坏，有问题的请与经销商联系解决；4）尝试以下操作方法：清空Temp文件夹一关闭打开的杀毒软件一换路径重新安装一把安装光盘中的安装目录拷贝到硬盘上，然后运行目录里的“Setup.exe”。无法清除病毒怎么办？1）先升级病毒库再杀毒；2）用一张干净的系统引导盘启动机器后，在 DOS状态下进行杀毒；3）备份染毒文件并隔离，然后把病毒样本寄给作者，得到新病毒库后再杀毒。三、亡羊补牢病毒发作后的急救措施虽然已经做足了防范措施，但正所谓：“天有不测之风云”，万一中招

9、了，我们还有什么急救措施呢？1.软件方面1）首先断开全部网络连接，以免病毒向其他在线电脑传播，然后马上用杀毒软件进行扫描杀毒工作（记得要先扫描内存、引导区）：2）赶快备份利转移重要文档到安全地方（软盘、光盘），记录账号、密码等资料，等病毒清除完毕后再作处理；3）平时曾用GHOST备份的，可以利用映像文件来恢复系统，这样不但能马上恢复工作,而且连同所有病毒也一并清除了，当然，这要求你的GHOST备份是没有感染病毒的。另外,恢复系统前同样要先做好备份重要资料的工作。4）没有进行GHOST备份，并且机器中数据并不重要的，可以用干净的引导盘启动机器后格式化硬盘，然后再重新安装系统和程序。2.硬件方面D

10、BIOS或 CMOS被破坏的，需要找寻相同类型的主板，然后用热插拔的方法进行恢复。此方法存在着极大的危险性，最好找专业技术人员代你进行恢复。2）硬盘引导区或主引导扇区被破坏的，可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。做好了上面这些防范和应对措施，网络病毒再也别想骚扰到你，冲浪当然更安全了！电脑安全知识：防御计算机病毒十大必知步骤近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤：1、用常识进行判断决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.

11、jpg文 件-因 为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。2、安装防病毒产品并保证更新最新的病毒定义码建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒利蠕虫。3、首次安装防病毒软

12、件时，一定要对计算机做一次彻底的病毒扫描当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。5、不要从任何不可靠的渠道下载任何软件这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们

13、一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。6、警惕欺骗性的病毒如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。7、使用其它形式的文档，i（ll.rtf（Rich Text Format）和.pdf（Portable Document Format）常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。

14、尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在 Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich TextFormat依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或 Jscript。而 pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。:恶意网页病毒十三大症状分析及简单修复方法一、对 IE浏览器产生破坏的网页病毒：（）.默认主页被修改1.破坏特性：默认主页被自动改为某网站的网址。2.表现形式：浏览器的默认主页被自动设为如*.COM的网址。3

15、.清除方法：采用手动修改注册表法，开始菜单一 运行一 regedit-确定，打开注册表编 辑 工 具，按 顺 序 依 次 打 开：HKEY_LOCAL_USERSoftwareMicrosoftIntemetExplorerM ain分支，找到Default_Page_URL键值名（用来设置默认主页），在右窗口点击右键进行修改即可。按 F5键刷新生效。危害程度：般（-）.默认首页被修改1.破坏特性：默认首页被自动改为某网站的网址。2.表现形式：浏览器的默认主页被自动设为如*.COM的网址。3.清除方法：采用手动修改注册表法，开始菜单一 运行一 regedi 确定，打开注册表编 辑 工 具，按

16、如 下 顺 序 依 次 打 开：HKEY_LOCAL_USERSoftwareMicrosoftIntemetExplorerMain分支，找 到 StartPage键值名（用来设置默认首页），在右窗口点击右键进行修改即可。按 F5键刷新生效。危害程度：一般（三）.默认的微软主页被修改1.破坏特性：默认微软主贝被自动改为某网站的网址。2.表现形式：默认微软主页被篡改。3.清除方法:（1）手动修改注册表法：开始菜单一 运行一 regedit-确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwareMicrosoftIntemetExplorerMain

17、分支，找 到 Default_Page_URL键值名（用来设置默认微软主页），在右窗口点击右键，将键值修改为 http:/ F5 键刷新生效。（2）自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMaindefault_page_url=http: 运行一 regedit-确定，打开注册表编辑 工 具，按 如 下 顺 序 依 次 打 开：HKEY_CUR

18、RENT_USERSoftwareMicrosoftlnternetExplorer分支，新 建 ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的 DWORD值，值 为“00000000”,按F5键刷新生效。（2）自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwarePoliciesMicrosoftIntemet ExplorerControl PanelHomePage=dwo

19、rd:00000000危害程度：轻度（五）.默认的IE 搜索引擎被修改1.破坏特性：将 IE 的默认微软搜索引擎更改。2.表现形式：搜索引擎被篡改。3.清除方法：(1)手动修改注册表法：开始菜单一 运行一 regedit-确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwareMicrosoftIntemetExplorerSearch分支，找 到 SearchAssistant”键值名，在右面窗口点击 修改，即可对其键值进行输入为：http:/ 1766/srchasst/srchasst.htm.然后再找 到 “CustomizeSearch

20、”键值名，将其键值修改为：http:/ F5 键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4|HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerSearch|SearchAssistant=http:/ 标题栏被添加非法信息1.破坏特性：通过修改注册表，使 IE 标题栏被强行添加宣传网站的广告信息。2.表现形式：在 I E 顶 端 蓝 色 标 题 栏 上 多 出 了 什 么“正 点 网

21、，即 使 正 点 网！http:/“尾巴。3.清除方法：(1)手动修改注册表法：开始菜单一 运行一 regedit-确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USERSoftwareMicrosoftIntemetExploreAMain 分支，找 到 Window Title”键值名，输入键值为 Microsoft Internet Explorer,按 F5刷新。第 二，按 如 下 顺 序 依 次 打 开：HKEY_CURRENT_MACHINESoftwareMicrosoftInternetExplorerMain 分支，找至U Window Tit

22、le键值名，输入键值为 MicrosoftInternet Explorer,按 F5 刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title=Microsoft Internet ExplorerHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainWin

23、dow Title=Microsoft Internet Explorer1 1危害程度：一般（七）.0E 标题栏被添加非法信息破坏特性：破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。清除方法：（1）手动修改注册表法：开始菜单一 运行一 regedit-确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USERSoftwareMicrosoftOutlook Express 分支，找到亚3 10亚 11成 以 及 80代101键值名

24、，将其键值均设为空。按 F5键刷新生效。（2）自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftOutlook ExpressWindowTitle=Store Root=危害程度：一般（A）.鼠标右键菜单被添加非法网站链接：1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。2.表现形式：添 加“网址之家”等诸如此类的链接信息。3.清除方法：（1）手动修改注册表法：开始

25、菜单一 运行一 regedit-确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftIntemetExploreAMenuExt分支，在左边窗口凡是属于非法链接的主键-一律删除，按 F5键刷新生效。4.危害程度：一般（九）.鼠标右键弹出菜单功能被禁用失常：1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE 浏览器中被完全禁止。2.表现形式：在正中点击右键毫无反应。3.清除方法：（1）手动修改注册表法：开始菜单一 运行一 regedit-确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_US

26、ERSoftwarePoliciesMicrosoftIntemetExplorerRestrictions 分支，找至 NoBrowserContextMenu”键值名，将其键值设为“00000000”，按 F 5 键刷新生效。（2）自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwarePoliciesMicrosoftIntemet ExplorerRestrictionsN oBrowserConte xt

27、Menu=dword:00000000危害程度：轻度（+）.IE收藏夹被强行添加非法网站的地址链接破坏特性：通过修改注册表，强行在IE 收藏夹内自动添加非法网站的链接信息。表现形式：躲藏在收藏夹下。清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。危害程度：一般（十一）.在IE工具栏非法添加按钮破坏特性：工具栏处添加非法按钮。表现形式：有按钮图标。清除方法：直接点击鼠标右键弹出菜单，选 择“删除”即可。危害程度：一般（十二）.锁定地址栏的下拉菜单及其添加文字信息破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。表现形式：不仅使下拉菜单消失，而

28、且在其上覆盖非法文字信息。清除方法：（1）手动修改注册表法：开始菜单一,运行一 regedit,确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftIntemetExplorerToolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”,多余的字符一律去掉，按 F5键刷新生效。危害程度：轻度（十三）JE 菜 单“查看”下 的“源文件”项被禁用破坏特性：通过修改注册表，将 正 菜 单“查看”下 的“源文件”项锁定变为灰色。表现形式：“源文件”项不可用。清除方法：（1）手动修改注册表

29、法：开始菜单一 运行一regedit-确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftIntemet ExplorerRestrictions 分支，找到NoViewSource”键值名，将其键值设为“00000000”,按F5键刷新生效。按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftlntemetExplorerRestrictions 分支，找到NoViewSource”键值名，将其键值设为“00000000”,按 F5键刷新生效。（2）自动文

30、件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C 盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwarePoliciesMicrosoftIntemet ExplorerRestrictionsNoViewSource=dword:00000000H KE Y_LOC AL_M AC HI NESoft warePoli ciesM i crosoftM nte met ExplorerXRestrictionsNoViewSource=dword:00000000危

31、害程度：轻度:常见用户提出的几个疑问用户在使用计算机的过程中经常会提出下面的一些问题，下面做出简要的解答。1、我的计算机为什么突然变慢？答：计算机可能感染蠕虫病毒，不停往外发送数据包，在命令提示符下面用netstat-an察看一下计算机是否对局域网其他机器发送数据包，主要看是否往其他机器的445端口发送数据包，检查计算机是否感染蠕虫，可以用最新的杀毒软件，附录中给出最近一些常见蠕虫的杀查方法。2、我的计算机为什么流量突然增加？答：计算机可能感染了蠕虫，或者种了木马程序而被别人设置了代理。用户可以用“netstat-an”命令察看自己的计算机是否往局域网其他计算机发送数据包。4、我的计算机为什么

32、突然丢失文件，而且多了一个未知的账号？答：多发生于Win2k操作系统，计算机可能由于没有设置口令或者口令过于简单导致系统被蠕虫病毒攻破，而病毒会自动在你的系统里面添加一个管理员账户，并且植入一个木马程序。或者网络上的一些上网用户通过文件:202.118118.118/。$这样的命令访问你的计算机，如果管理员帐户没有设置口令或者口令过于简单，计算机马上就能被控制。解决的方法，设置复杂的口令，更改Administrator帐户名称。5、我的计算机安装了操作系统补丁（windowsupdate）,安装了防病毒软件，而且也按时升级病毒定义文件，为什么还是被种了木马程序？答：有几个原因，可能是由于管理员

33、口令过于简单，或者没有设置口令，导致被口令蠕虫病毒攻击;可能是由于打开了不明邮件的附件导致;可能是由于下载了不明软件或者程序导致。针对上面的这些问题最彻底的解决方法就是格式化系统盘重新安装操作系统，否则不能保证杀毒软件能够彻底杀除病毒，更不能确定系统是否留有后门。在后面的附录中给出近期常见蠕虫和杀查方法。-木马专题-一、win2000 口令设置方法：当前用户口令：在桌面环境下按crtl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。其他用户口令：在开始。控制面板。用

34、户和密码选定一个用户名，点击设置密码二、113端口木马的清除（仅适用于windows薇）：这是一个基于ire聊天室控制的木马程序。1.首先使用netstat-an命令确定自己的系统上是否开放了 113端口2.使用fport命令察看出是哪个程序在监听113端口fport工具需要下载，例如我们用fport看到如下结果：Pid Process Port Proto Path392 svehost-113 TCP C:WINNTsystem32vhos.exe我 们 就 可 以 确 定 在 监 听 在 1 13端 口 的 木 马 程 序 是 vhos.exe而该程序所在的路径为c:winntsyste

35、m32 下。3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、IPcpass.dic、IPcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）6.重新启动机器。三、3389端口的关闭：首先说明3389端口是windows的远程管

36、理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。win2000关闭的方法：win2000server开始-程序-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。win2000pro开 始 设 置 控 制 面 板 管 理 工 具 服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。winxp关闭的方法：在我的电脑上点右键选属性-远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。四、4899端口的关闭：首先说明4899端口是一个远程控

37、制软件（remote administrator）服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。关闭4899端口：请在开始-运行斗 输入cmd（98以下为command）然 后 cd C:winntsystem32（你的系统安装R录），输入 r_server.exe/stop 后 按 回 车。然后在输入 r_server/uninstall/silence 到C:winntsystem32（系统目录）下删除 r_server.exe admdll.dll radbrv.dll 三个文件

38、。五、5800,5900 端口：1.首 先 使 用 fport命令确定出监 听 在 5800和 5900端 口 的 程 序 所 在 位 置（通常会是c:winntfontsexplorer.exe）2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以而新运行 c:winntexplorer.exe）3.删除 C:winntfonts中的 explorer.exe 程序。4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 中的 Explorer 项5.重新启动机器。六、6129端口的关

39、闭：首先说明6129端口是-个远程控制软件（dameware nt utilities）服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。关闭6129端口:选择开始-设置-控制面板-管 理 工 具 服 务，找至I DameWareMini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。到 c:winntsystem32（系统目录）下 将 DWRCS.EXE 程序删 除。到 注册表 内 将HKEY_LOCAL_MACHINESYSTEMControlSet0

40、01ServicesDWMRCS 表项删除。八、45576 端口：这是个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）关闭代理软件：1.请先使用fport察看出该代理软件所在的位置2.在服务中关闭该服务（通常为SkSocks）,将该服务关掉。3.到该程序所在目录下将该程序删除。:手工去除 13 种木马一、B02000查看注册表 HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunSendcse中是否存在Umgr32.exe的键值。有则将其删除。重新启动电脑，并将WindowsSyste

41、m 中的 Umgr32.exe 删除。二、NetSpy（网络精灵）国产木马，最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor,通过IE 或 Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和B02000!服务端程序被执行后，会在C:Windowssystem 目录下生成 netspy.exe 文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoft windowsCurrentVersionRun F 建 立 键 值C:windowssystemnetspy.exe

42、,用于在系统启动时自动加载运行。清除方法：1.进入d o s,在 C:windowssystem目录下输入以下命令：del netspy.exe回车；2.进 入 注 册 表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun,删除 Netspy.exe和 Spynotify.exe的键值即可安全清除Netspy。三、H叩py99此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的System”目录下，更名为Ska.exe,并创建文件Ska.dll,同

43、时修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。另外，用户可以检查注册HEKY-LOCAL-MACHINESoftwreMicrosoftWindows Current VersionRunOnce中有无键值Ska.exe。有则将其删除，并删除WindowsSystem中的Ska.exe和 Ska.dll两个文件，将 Wsock32.ska 更名为 Wscok32.dll四、NetBus（网络公牛）国产木马，默认连接端口 23444,最新版本VI。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe,位于C:WINDOWSSY

44、STEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时.，服务端运行后会自动捆绑以下文件：win9x 下：捆绑 notepad.exe；write.exe,regedit.exe,winmine.exe,winhelp.exe；winnt/2000下：（在 2 0 0 0 下会出现文件改动报警，但也不能阻止以下文件的捆绑）notepad.exe：regedit.exe.reged32.exes drwtsn32.exe：winmine.exe。服务端运行后还会捆绑在开机时自动运行的第三方软件（如:realplay.exe、QQ、IC Q 等）上。在注册表中网络公牛也

45、悄悄地扎下了根，如下：|HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun|“CheckDll.exe 二 C:WINDOWSSYSTEMCheckDll.exe”HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices“CheckDll.exe C:WINDOWSSYSTEMCheckDll.exe”HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunlCheckDlLexe1 C:

46、WINDOWSSYSTEMCheckDll.exe网络公牛没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。清除方法：1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe,2.把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了 40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们。然后点击“开始一 附件一 系统工具一 系统信息一 工具一 系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件”，在框中填入要提取的文件（前面

47、你删除的文件），点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、1CQ等被捆绑上了，那就得把这些软件卸载，再重新安装。五、Asylum这个木马程序是修改了 system.ini win.ini两个文件，先查一 下 system.ini文件下面的BOOT项，看看sheLexplorer.exe，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在windows项下的run=是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文

48、件名。六、冰河冰河标准版的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为 7626o 一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和 sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和 TXT文件关联。即使你删除了 Kernel32.exe,但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe,于是冰河又回来了！这就是冰河屡删不止的原因。清除方法：用 纯 D O S 启 动 进 入

49、 系 统（以防木马的自动恢复），删 除 你 安 装 的 windows下的syste mkernel 32.e xe和systemsysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要先改掉它们的隐藏、只读属性，就可以删除。删除后进入 windows 系统进入注册表中，找 到HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun 和HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServic

50、es W项，然 后 查 找 kem el32.exe和sysexplr.exe两 个 键 值 并 删 除。再 找 到|HKEY_CLASSES_ROOTtxtfileopencommand,看在键值中是不是已改为 sysexplr.exe%1,如是改回notepad.exe%1 。七、GOPGOP 木 马 会 在 注 册 表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主 键 下 添 加 个 键值让自己自动运行。所以，首先要禁止该项。点 击“开始”一 运行”，输 入“msinfo32，查看其中的“软件环境”一“正在运行的