浅谈病毒与木马防范.docVIP

浅谈病毒与木马防范 　　摘 要：该文对计算机病毒和木马存在的问题进行了探讨，并提出了对应的改进和防范措施，从而有助于保持系统安全和用户信息安全、同时避免一些不必要的损失。 　　关键词：病毒、木马、防范 　　计算机病毒是人为编制可以自我复制的程序，木马也是一段程序，虽然它能提供一些有用的，或令人感兴趣的功能.但是它还有用户所不知道的其他功能，所以在现在的网络时代，随着Internet的风靡，给病毒和木马的传播又增加了新的途径，它的发展使病毒和木马可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。所以在使用电脑的时候应该采取有效的防范措施，保证我们的计算机的所有信息的安全。 　　计算机病毒木马防范归纳为：“防”、“堵”、“查”、“杀”四个字： 　　一、 防 　　首先我们应该了解病毒及木马的传播途径，有效的控制病毒及木马的扩散，根据常见的传播途径（外存储设备、盗版软件、下载软件、非法网站等）采取有效的措施： 　　1.防移动存储器的循环使用导致带入病毒和木马，应该采取先杀后用的原则。 　　2.防盗版软件带入的捆绑或隐藏的病毒和木马，应该尽可能采用正版系统软件和应用软件。 　　3.防网络带入的程序，应该不上不良网站，不下载不明软件和程序，及时更新系统和浏览器，下载系统补丁安装安全插件，保证上网的安全。 　　二、 查 　　如果电脑出现文件破坏、速度变慢、信息被盗等情况，在使用电脑的时候应该可以初步的诊断是电脑中毒或被种木马，此时应该从以下几个方面查看电脑： 　　1.查进程 　　大部分病毒和木马运行后电脑可能会有一些症状有些可以凭使用着感觉出来有些事感觉不出来的，但会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。 　　2.查注册表、ini文件和服务 　　注册表内是没有病毒和木马但病毒和木马可以依靠注册表运行，木马为了能够在开机后自动运行，往往是修改注册表如下选项中注册表项的信息： 　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run 　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce 　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx 　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices 　　HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce 　　木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。 　　在Windwos xp/2007中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。 　　3.查端口 　　端口可以认为是是计算机与外界通讯交流的出口，远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。一旦发现可疑端口应该及时关闭。 　　三、堵 　　堵住控制通路如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。如果是路由器出现问题可以通过路由器上的复位按钮或者路由设置里面的恢复初始化把路由器设置恢复出厂状态。 　　四、杀 　　1.杀进程 　　如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。