如何用好殺毒軟件ppt-PowerPointPrese

1、如何用好我校Symantec殺毒軟件現(xiàn)在教育技術(shù)中心網(wǎng)絡(luò)部2004年12月26日1一、Symantec軟件介紹1、我校購買的是Symantec AntiVirus企業(yè)版軟件，它包括以下幾個組件： Symantec 系統(tǒng)中心 Symantec AntiVirus 企業(yè)版服務(wù)器 Symantec AntiVirus 企業(yè)版客戶端 LiveUpdate 中央隔離區(qū)2Symantec 系統(tǒng)中心管理控制臺運行在MS Windows系統(tǒng)上，安裝在我校網(wǎng)絡(luò)部的服務(wù)器上，起到中心控制作用。3Symantec AntiVirus 企業(yè)版服務(wù)器可以將配置和病毒定義文件更新分裝到客戶端上。4Symantec Ant

2、iVirus 企業(yè)版客戶端為聯(lián)網(wǎng)及未聯(lián)網(wǎng)的用戶提供病毒防護(hù)，支持的系統(tǒng)主要是基于Windows系列的操作系統(tǒng)。5LiveUpdate是Symantec技術(shù)，它允許每臺計算機(jī)從內(nèi)部LiveUpdate服務(wù)器或直接從Symantec LiveUpdate 服務(wù)器上自動提取病毒定義更新。6中央隔離區(qū)是“數(shù)字免疫系統(tǒng)”的一部分，它對啟發(fā)式檢測到的新病毒或不可識別的病毒提供自動響應(yīng)。受感染的項目會在Symantec AntiVirus企業(yè)版服務(wù)器和客戶端上被隔離，然后轉(zhuǎn)發(fā)到“中央隔離區(qū)”。“中央隔離區(qū)”可以將可疑文件自動轉(zhuǎn)發(fā)到“Symantec安全響應(yīng)中心”，該中心開發(fā)并返回更新后的病毒定義。7Syma

3、ntec AntiVirus的用途有效地部署防護(hù)防護(hù)病毒響應(yīng)病毒根據(jù)連接管理Symantec AntiVirus企業(yè)版客戶端集中管理和更新安全性驗證安全狀態(tài)建立和實施策略查看歷史和事件日志數(shù)據(jù)8病毒定義代碼庫Symantec 所提供的病毒定義代碼庫始終是最新的，目前的代碼庫中已經(jīng)具備了68549多條病毒信息，我們在安裝后所看到的病毒定義代碼庫的版本號是官方發(fā)布的版本號，它不影響我們的使用，其中的病毒定義是始終是最新的，不要因為版本號而懷疑它的內(nèi)容。9針對病毒定義更新的通信病毒定義傳輸方法，使用兩種通信形式Symantec AntiVirus企業(yè)版服務(wù)器與它們管理的客戶端通信，以驗證病毒定義是否

4、為最新需要更新病毒定義時，Symantec AntiVirus企業(yè)版服務(wù)器將新的病毒定義更新文件推送到它們管理的客戶端。10通信Symantec AntiVirus企業(yè)版一級服務(wù)器定期與其二級服務(wù)器通信，以驗證二級服務(wù)器上的病毒定義文件是否為最新。如果病毒定義不是最新，一級服務(wù)器則將新的病毒定義文件推送到受影響的計算機(jī)。同樣， Symantec AntiVirus企業(yè)版父服務(wù)器定期與Symantec AntiVirus企業(yè)版客戶端通信，以檢查它們的病毒定義文件是否為最新，它們的客戶端配置設(shè)置是否為最新。如果病毒定義不是最新，父服務(wù)器則將新的病毒定義和配置數(shù)據(jù)推送到受影響的計算機(jī)。11病毒定義傳

5、輸方法網(wǎng)絡(luò)上的一級服務(wù)器從Symantec或內(nèi)部LiveUpdate服務(wù)器收到新的病毒定義后，即開始執(zhí)行推送操作。一級服務(wù)器將病毒定義包傳送到所有二級服務(wù)器。二級服務(wù)器自動提取病毒定義并將其放在相應(yīng)目錄下，然后再將病毒定義推送到它們管理的客戶端上。 客戶端提取病毒定義并將它們放在相應(yīng)目錄下。12除“病毒定義傳輸方法”外，還可使用LiveUpdate進(jìn)行病毒定義更新。如果在客戶端調(diào)度了LiveUpdate會話，或者用戶手動執(zhí)行LiveUpdate,就會自動進(jìn)行LiveUpdate通信。在LiveUpdate會話過程中，客戶端可設(shè)置為連接到內(nèi)部LiveUpdate服務(wù)器，也可設(shè)置為連接到Syman

6、tec LiveUpdate服務(wù)器。如果病毒定義不是最新的，客戶端將從LiveUpdate服務(wù)器提取病毒定義。13針對狀態(tài)信息的通信Symantec AntiVirus企業(yè)版客戶端向它們的父服務(wù)器提供狀態(tài)信息。默認(rèn)情況下，客戶端每60分鐘向其父服務(wù)器發(fā)送一個稱為“保持活動包”的小數(shù)據(jù)包（小于1KB）.此數(shù)據(jù)包中有該客戶端的配置信息。如果客戶端的父服務(wù)器收到保持活動包表明客戶端沒有最新的病毒定義文件或配置數(shù)據(jù)，父服務(wù)器則將相應(yīng)文件推送到該客戶端。14防護(hù)病毒為所有運行Symantec AntiVirus企業(yè)版的計算機(jī)設(shè)置掃描選項并運行病毒掃描為具有同一父服務(wù)器或均為同一服務(wù)器組或客戶端組成員的計

7、算機(jī)設(shè)置掃描選 項并運行病毒掃描配置運行Symantec AntiVirus企業(yè)版客戶端的32位計算機(jī)來掃描以下應(yīng)用程序的電子郵件附件：。Lotus Notes客戶端使用“消息處理應(yīng)用程序編程接口”(MAPI)的Microsoft Exchange/Outlook客戶端.15實時防護(hù)對于計算機(jī)的掃描，有連續(xù)掃描和過程分級掃描。連續(xù)掃描所有文件是避免感染病毒的最安全方式，但卻不實用。最佳方式是將掃描過程分級處理，將目標(biāo)對準(zhǔn)那些最可能含有病毒的文件或計算機(jī)區(qū)域。16實時防護(hù)從計算機(jī)讀取文件和電子郵件數(shù)據(jù)或?qū)⑵鋵懭胗嬎銠C(jī)時，實時掃描會連續(xù)不斷地對其進(jìn)行檢查。默認(rèn)情況下，啟用實時防護(hù)。17中央隔離區(qū)“

8、中央隔離區(qū)”是整個防病毒策略的關(guān)鍵組件。默認(rèn)情況下， Symantec AntiVirus企業(yè)版客戶端的配置是將受感染且無法修復(fù)的項目隔離到本地“隔離區(qū)”。此外，還可手動隔離任何可疑文件。18二、如何安裝客戶端軟件191、院、系級服務(wù)器在各院、系的服務(wù)器上安裝服務(wù)端防病毒程序，先同現(xiàn)代教育技術(shù)中心網(wǎng)絡(luò)部進(jìn)行聯(lián)系，并告訴我你服務(wù)器的IP地址，在安裝前注意以下幾點：20系統(tǒng)只支持windows 2000 Server、windows 2003 server版本.將服務(wù)器端的所有防病毒程序、防火墻完全卸載。先將系統(tǒng)的各種補(bǔ)丁打全，然后再安裝。在安裝前，請將服務(wù)器密碼改掉，在安裝完以后再改回。將你服務(wù)

9、器上安裝有系統(tǒng)的系統(tǒng)驅(qū)動器設(shè)為共享，比如盤就設(shè)為C$將你的winnt目錄設(shè)為共享，名稱為admin$,這些共享目錄是windows的默認(rèn)的共享。21打開你的控制面板，從“管理工具”里，打開“服務(wù)”工具，將Remote Procedure Call (RPC)服務(wù)打開。等待安裝，大約需分鐘即可安裝完成，完成后，恢復(fù)你的設(shè)置，然后重啟動機(jī)器即可。從start開始，進(jìn)入“程序”打開Symantec，并打開，開啟服務(wù)時，系統(tǒng)會要密碼，要密碼時，請同現(xiàn)代教育技術(shù)中心網(wǎng)絡(luò)部聯(lián)系。在使用過程中，服務(wù)器端不要進(jìn)行任何設(shè)置即可。222、對于家庭光纖用戶和單位辦公機(jī)器客戶端的安裝請在礦大主頁上有一個病毒公告，下載

10、客戶端軟件.最好先確認(rèn)機(jī)器上所有的系統(tǒng)補(bǔ)丁盡可能的打全。再將機(jī)器上的所有的殺毒軟件刪除，關(guān)閉防火墻。安裝已經(jīng)下載的客戶端軟件.23安裝過程中，根據(jù)提示進(jìn)行選擇安裝即可，當(dāng)安裝到“郵件管理單元”選擇時，如果你使用outlook，請選擇要安裝的管理單元為microsoft exchange/outlook(E)，否則就不選,在安裝到“網(wǎng)絡(luò)安裝類型”時，請一定要選擇“接受管理”，這樣病毒定義代碼升級時只從我校的服務(wù)器上進(jìn)行升級了，否則升級要到國外才可以的，服務(wù)器名稱為ANTIVIRUS,如果找不到的話，請查找服務(wù)器地址：00,然后繼續(xù)安裝即可。24安裝完成以后，一般情況下是不需要進(jìn)行手動升級的，系統(tǒng)

11、會自動為客戶升級。當(dāng)你打開任務(wù)管理器里，會發(fā)現(xiàn)在進(jìn)程里增加了三個進(jìn)程。 在安裝了Symantec客戶端以后，將出現(xiàn)如下的進(jìn)程： VPTray.exe 4MB Rtvscan.exe 12.8MB DefWatch.exe 1.6MB 描述: Norton Anti-Virus掃描你的文件和email以檢查病毒。25對于各院系辦公用機(jī)器客戶端安裝先確認(rèn)你所在的院、系服務(wù)器是否已經(jīng)安裝了服務(wù)器端程序。如果所在的院、系服務(wù)器沒有安裝服務(wù)器端程序，則安裝步驟完全同在家庭機(jī)器上的安裝。否則，如果你希望你的機(jī)器從院、系服務(wù)器上進(jìn)行病毒代碼的升級，則進(jìn)行如下安裝步驟：前面的安裝同上1到4，只是到第5步驟在安

12、裝到“網(wǎng)絡(luò)安裝類型”時，請一定要選擇“接受管理”時，如果你想用院、系的服務(wù)器進(jìn)行升級，則用服務(wù)器名稱為院、系服務(wù)器名,如果找不到的話，請同院、系網(wǎng)絡(luò)管理員聯(lián)系，要院、系服務(wù)器的IP地址；然后繼續(xù)安裝即可。26三、系統(tǒng)進(jìn)程與注冊表簡單地說，進(jìn)程是程序在計算機(jī)上的一次執(zhí)行活動。當(dāng)你運行一個程序，你就啟動了一個進(jìn)程。進(jìn)程又分為系統(tǒng)進(jìn)程和用戶進(jìn)程。系統(tǒng)進(jìn)程主要用于完成操作系統(tǒng)的功能，而QQ、Foxmail等應(yīng)用程序的進(jìn)程就是用戶進(jìn)程。 進(jìn)程的重要性體現(xiàn)在可以通過觀察它，來判斷系統(tǒng)中到底運行了哪些程序，以及判斷系統(tǒng)中是否入駐了非法程序。正確地分析進(jìn)程能夠幫助我們在殺毒軟件不起作用時，手動除掉病毒或木馬。

13、27如何知道系統(tǒng)中目前有哪些進(jìn)程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”組合鍵就可以直接查看進(jìn)程，或打開“Windows 任務(wù)管理器”的“進(jìn)程”選項來查看進(jìn)程。通常來說，系統(tǒng)常見的進(jìn)程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉進(jìn)程，首先就要熟悉最常見的系統(tǒng)進(jìn)程，這樣當(dāng)發(fā)現(xiàn)其它奇怪的進(jìn)程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）時就方便判斷了。281、系統(tǒng)進(jìn)程alg.exe csrss.exe ddhelp.exedllhost.exe

14、explorer.exe inetinfo.exeinternat.exe kernel32.dll lsass.exemdm.exe mmtask.tsk mprexe.exemsgsrv32.exe mstask.exe regsvc.exerpcss.exe services.exe smss.exesnmp.exe spool32.exe spoolsv.exestisvc.exe svchost.exe systemtaskmon.exe tcpsvcs.exe winlogon.exe winmgmt.exe 292、一般程序absr.exe acrobat.exe acrord3

15、2.exe agentsvr.exe aim.exe airsvcu.exe alogserv.exe avconsol.exe avsynmgr.exebackWeb.exe bcb.exe calc.exe ccapp.exe cdplayer.exe charmap.execidaemon.exe cisvc.exe cmd.execmesys.exe ctfmon.exe ctsvccda.execut defwatch.exe devldr32.exe directcd.exe dreamweaver.exe emexec.exe excel.exe findfast.exe fro

16、ntpage.exegmt.exe hh.exe 30hidserv.exe icq.exe iexplore.exe irmon.exe kodakimage.exe loadqm.exe loadwc.exe mad.exe mcshield.exemgabg.exe mmc.exe mobsync.exe,以下省略31幾個常用的Windows XP系統(tǒng)進(jìn)程taskmgr.exe 2.8MB 進(jìn)程文件：taskmgr or taskmgr.exe 進(jìn)程名稱：The Windows Task Manager 描述：Windows任務(wù)管理器,是Windows任務(wù)管理執(zhí)行者，這是任務(wù)管理器的系統(tǒng)

17、進(jìn)程，在正常情況下是沒有的，只有當(dāng)你使用 Ctrl+Alt+del組合鍵以后才能激活的系統(tǒng)進(jìn)程。32explorer.exeexplorer.exe 12MB有的達(dá)到31MB 進(jìn)程名稱：程序管理 描述：Windows Program Manager或者Windows Explorer用于控制Windows圖形Shell，包括開始菜單、任務(wù)欄，桌面和文件管理。這個進(jìn)程主要負(fù)責(zé)顯示系統(tǒng)桌面上的圖標(biāo)以及任務(wù)欄33spoolsv.exespoolsv.exe 4.2MB 進(jìn)程文件：spoolsv or spoolsv.exe 進(jìn)程名稱：Printer Spooler Service 描述：Window

18、s打印任務(wù)控制程序，用以打印機(jī)就緒34 svchost.exe svchost.exe 4.2MB左右 進(jìn)程文件：svchost or svchost.exe 進(jìn)程名稱：Service Host Process 描述：Service Host Process是一個標(biāo)準(zhǔn)的動態(tài)連接庫主機(jī)處理服務(wù)。 進(jìn)程詳解：Svchost.exe是一個系統(tǒng)的核心進(jìn)程，并不是病毒進(jìn)程。但由于Svchost.exe進(jìn)程的特殊性，所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進(jìn)程的執(zhí)行路徑可以確認(rèn)是否中毒 35Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運行的服務(wù)的通用主機(jī)進(jìn)

19、程名稱。其實Svchost.exe是Windows XP系統(tǒng)的一個核心進(jìn)程。Svchost.exe不單單只出現(xiàn)在Windows XP中，在使用NT內(nèi)核的Windows系統(tǒng)中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進(jìn)程的數(shù)目為2個，而在Windows XP中Svchost.exe進(jìn)程的數(shù)目就上升到了4個及4個以上。所以看到系統(tǒng)的進(jìn)程列表中有幾個Svchost.exe不用那么擔(dān)心。 如果你懷疑計算機(jī)有可能被病毒感染，Svchost.exe的服務(wù)出現(xiàn)異常的話通過搜索Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會找到一個在：“C:Windows

20、System32”目錄下的Svchost.exe程序。如果你在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話，那很可能就是中毒了。36lsass.exelsass.exe 5.4MB 進(jìn)程名稱：本地安全權(quán)限服務(wù) 描述：這個本地安全權(quán)限服務(wù)控制Windows安全機(jī)制。 進(jìn)程詳解：管理 IP 安全策略以及啟動ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) 產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗證的服務(wù)憑據(jù)(ticket),也就是本地安全權(quán)限服務(wù),屬于Windowsde的核心進(jìn)程之一,也被黑客千方百計的尋找漏洞,大名鼎鼎的震蕩波利用的就是其中一個漏洞,37servi

21、ces.exe 2.7MB 進(jìn)程名稱：Windows Service Controller 描述：管理Windows服務(wù)winlogon.exe 3MB 進(jìn)程文件：winlogon or winlogon.exe 進(jìn)程名稱：Windows Logon Process 描述：Windows NT用戶登陸程序。38csrss.exe 4MB 進(jìn)程名稱：Client/Server Runtime Server Subsystem 描述：客戶端服務(wù)子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng)。 system 270KB進(jìn)程文件: system or system進(jìn)程名稱: Windows System

22、 Process,Windows內(nèi)存處理系統(tǒng)進(jìn)程描述: Microsoft Windows系統(tǒng)進(jìn)程。Windows頁面內(nèi)存管理進(jìn)程，擁有0級優(yōu)先。39smss.exesmss.exe 360KB進(jìn)程文件: smss or smss.exe進(jìn)程名稱: Session Manager Subsystem描述: 該進(jìn)程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動名稱類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運行在Windows登陸過程40snmp.exesnmp.exe 4.5MB進(jìn)程文件: snmp or snmp.exe進(jìn)程名稱: Microsoft SNMP Agent描述: W

23、indows簡單的網(wǎng)絡(luò)協(xié)議代理（SNMP）用于監(jiān)聽和發(fā)送請求到適當(dāng)?shù)木W(wǎng)絡(luò)部分41inetinfoinetinfo 8MB進(jìn)程文件: inetinfo or inetinfo.exe進(jìn)程名稱: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯。如果在你的主機(jī)上沒有Web頁的發(fā)布，或者說沒有安裝IIS，則沒有這一進(jìn)程。42如果你安裝了SP2，則可能還有以下幾個進(jìn)程會出現(xiàn)： control.exe 3.5MB 控制面板程序。 wscntfy.exe 3.2

24、MB 微軟安全中心警告程序 alg.exe 336KB 進(jìn)程文件：alg or alg.exe 進(jìn)程名稱：應(yīng)用層網(wǎng)關(guān)服務(wù) 描述：這是一個應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享，這一般是你的應(yīng)用層上的網(wǎng)關(guān)服務(wù)（微軟提供的防火墻） rundll32.exe 43Wuauclt.exe描述：是主管Windows自動升級的系統(tǒng)進(jìn)程. 可以在線檢測最近Windows更新,如果你沒有開啟自動升級的話就不會有這項進(jìn)程了，而且就算你開啟了它，它也不是任何時候都開啟的。Wuauclt.exe占用的資源也不算太小。運行時內(nèi)存占用達(dá)到了6MB左右，好在自動升級不是每時每刻開著的。但是如果你關(guān)閉了這個程序的話，wscenfy.e

25、xe就會啟動44在安裝了Symantec客戶端以后，將出現(xiàn)如下的進(jìn)程：VPTray.exe 4MB進(jìn)程文件: vptray or vptray.exe進(jìn)程名稱: Norton AntiVirus描述: Norton Anti-Virus掃描你的文件和email中的病毒。Rtvscan.exe 12.8MB進(jìn)程文件: rtvscan or rtvscan.exe進(jìn)程名稱: Norton AntiVirus 描述: Norton Anti-Virus用以掃描你的文件和email中的病毒。DefWatch.exe 1.6MB進(jìn)程文件: defwatch or defwatch.exe進(jìn)程名稱: No

26、rton AntiVirus描述: Norton Anti-Virus掃描你的文件和email以檢查病毒。45關(guān)于系統(tǒng)進(jìn)程，如有感興趣的老師，。462、注冊表的使用在Windows XP中，采用了將應(yīng)用程序和計算機(jī)系統(tǒng)全部配置信息容納在一起的注冊表數(shù)據(jù)庫來進(jìn)行統(tǒng)一管理。注冊表的特點如下：1).注冊表允許對硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動程序進(jìn)行跟蹤配置，這使得修改某些設(shè)置后不用重新啟動成為可能。472).注冊表中登錄的硬件部分?jǐn)?shù)據(jù)可以支持高版本W(wǎng)indows的即插即用特性。當(dāng)Windows檢測到機(jī)器上的新設(shè)備時，就把有關(guān)數(shù)據(jù)保存到注冊表中，另外，還可以避免新設(shè)備與原有設(shè)備之間的資源沖突。3)

27、.管理人員和用戶通過注冊表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，使得遠(yuǎn)程管理得以實現(xiàn)。注冊表是一個層次數(shù)據(jù)庫，有如下嵌套結(jié)構(gòu)和數(shù)據(jù)組成：48子樹（Subtrees）：在注冊表結(jié)構(gòu)中，子樹是包含項、子項和值項的主要節(jié)點。 項（Keys）：子樹下的主要分支。在“注冊表編輯器”中，出現(xiàn)在“注冊表編輯器”窗口左窗格中的文件夾。項可以包含子項和值項。例如，Environment是HKEY_CURRENT_USER的一個項。 子項（Subkeys）：項中的項。在注冊表結(jié)構(gòu)中，子項附屬于子樹和項。項和子項類似于 .ini 文件中的部分頭；但是，子項可以執(zhí)行某些功能。 值項（Value Entries）：出現(xiàn)在注

28、冊表窗口右窗格中的數(shù)據(jù)字符串，定義了當(dāng)前所選項的值。值項有三個部分：名稱、數(shù)據(jù)類型和值本身，它主要用來保存影響系統(tǒng)的實際數(shù)據(jù)。494)、注冊表一般要慎用：單擊“開始運行”，在打開的“運行”窗口中輸入“regedit”打開你機(jī)器中的注冊表編輯器 或單擊“開始運行”，在打開的“運行”窗口中輸入“cmd”,進(jìn)入DOS命令窗口，發(fā)如下命令：“regedit” 即可打開你機(jī)器中的注冊表505)、分支名 功 能 hkey_classes_root 所有用戶都要使用該分支，存放可打開文件的類型、擴(kuò)展名以及與應(yīng)用程序的關(guān)聯(lián)等 hkey_current_user 保存當(dāng)前登錄用戶的系統(tǒng)設(shè)置、控制面板選項、映射的

29、網(wǎng)絡(luò)驅(qū)動器等? hkey_local_machine 保存機(jī)器上的所有硬件信息、本機(jī)上安裝的應(yīng)用軟件信息 hkey_users 保存所有用戶的信息，例如安裝的應(yīng)用軟件、自定義桌面等 hkey_current_config 計算機(jī)上連接的硬件（例如顯示器、打印機(jī)等）配置數(shù)據(jù) hkey_dyn_data 保存系統(tǒng)性能和即插即用狀態(tài)的動態(tài)信息 詳細(xì)的內(nèi)容請同進(jìn)行聯(lián)系513、非法進(jìn)程的識別與刪除常規(guī)殺滅進(jìn)程法 A.有的進(jìn)程在進(jìn)程選項中無法刪除，這時可以打開注冊表編輯器（在“開始運行”中鍵入regedit），找到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur

30、rentVersionRun”下面的鍵，將可疑的選項刪除。 52B.另外，還可以通過系統(tǒng)的“管理工具”里面的“服務(wù)”查看目前的全部進(jìn)程。這里重點要看服務(wù)中啟動選項為“自動”的那部分進(jìn)程，檢查它們的名字、路徑以及登錄賬戶、服務(wù)屬性的“恢復(fù)“里面有沒有重啟計算機(jī)的選項（有些機(jī)器不斷重新啟動的秘密就在這里）。一旦發(fā)現(xiàn)可疑的名字需要馬上禁止此進(jìn)程的運行。 53而要徹底刪除這些程序進(jìn)程可以用下面的辦法： 打開注冊表編輯器,展開分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”,在右側(cè)窗格中顯示的就是本機(jī)安裝的服務(wù)項，如果要刪除某項服務(wù)，只要刪除注冊

31、表中相關(guān)鍵值即可。54C.除了上面兩種方法，我們還可以先查看這個進(jìn)程文件所在的路徑和名稱。重啟系統(tǒng)，按F8鍵進(jìn)入安全模式，然后在安全模式下刪除這個程序。 不少病毒和木馬是以用戶進(jìn)程的形式出現(xiàn)的，所以大部分人認(rèn)為“病毒是不可能獲得SYSTEM權(quán)限的”。其實，這是個錯誤的想法，很多病毒或木馬也能獲得SYSTEM權(quán)限，并偽裝成系統(tǒng)進(jìn)程出現(xiàn)在你面前。所以這類病毒就相當(dāng)容易迷惑人，遇到這種情況，只有不斷提高并關(guān)注系統(tǒng)安全方面的知識，才能準(zhǔn)確判斷該進(jìn)程是否安全。55四、常見病毒病毒的行為從操作系統(tǒng)的觀點去看，是一些正常的行為，對于操作系統(tǒng)來說是不違法的，是被允許的，因此在殺毒軟件查殺病毒時，往往會因為操作

32、系統(tǒng)的阻撓“文件被系統(tǒng)占用不能更改”、“病毒代碼在系統(tǒng)的解釋器中運行”等等原因，而不能將病毒清除干凈。所以，我們在殺毒的時候也要講究一些技巧，去繞過操作系統(tǒng)的阻撓，從而成功的將病毒從系統(tǒng)中清除干凈。56震蕩波(Worm.Sasser)病毒發(fā)作現(xiàn)象：該病毒會使“安全認(rèn)證子系統(tǒng)”進(jìn)程LSASS.exe崩潰，出現(xiàn)系統(tǒng)反復(fù)重啟的現(xiàn)象，并且使跟安全認(rèn)證有關(guān)的程序出現(xiàn)嚴(yán)重運行錯誤。在C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒體。病毒處理：如果已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，手工刪除方法：查找該目錄C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將

33、其刪除。然后上網(wǎng)下載補(bǔ)丁程序，并升級殺毒軟件或者下載專殺工具。57沖擊波（Worm.Blaster）病毒發(fā)作現(xiàn)象：沖擊波（Worm.Blaster）病毒是利用微軟公司在7月21日公布的RPC漏洞進(jìn)行傳播的，只要是計算機(jī)上有RPC服務(wù)并且沒有打安全補(bǔ)丁的計算機(jī)都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Windows2000、XP、Server 2003。該病毒感染系統(tǒng)后，會使計算機(jī)產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟, 不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。58病毒詳細(xì)說明：

34、1.病毒運行時會將自身復(fù)制到window目錄下，并命名為： msblast.exe。2.病毒運行時會在系統(tǒng)中建立一個名為：“BILLY”的互斥量，目的是病毒只保證在內(nèi)存中有一份病毒體，為了避免用戶發(fā)現(xiàn)。3.病毒運行時會在內(nèi)存中建立一個名為：“msblast.exe”的進(jìn)程，該進(jìn)程就是活的病毒體。4.病毒會修改注冊表，在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下鍵值：“windows auto update”=“msblast.exe”，以便每次啟動系統(tǒng)時，病毒都會運行。595.病毒體內(nèi)隱藏有一段文本信息：I

35、just want to say LOVE YOU SAN!billy gates why do you make this possible ? Stop making money and fix your software!6.病毒會以20秒為間隔，每20秒檢測一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時，病毒會在本地的UDP/69端口上建立一個tftp服務(wù)器，并啟動一個攻擊傳播線程，不斷地隨機(jī)生成攻擊地址，進(jìn)行攻擊，另外該病毒攻擊時，會首先搜索子網(wǎng)的IP地址，以便就近攻擊。7.當(dāng)病毒掃描到計算機(jī)后，就會向目標(biāo)計算機(jī)的TCP/135端口發(fā)送攻擊數(shù)據(jù)。608.當(dāng)病毒攻擊成功后，便會監(jiān)聽目標(biāo)計算機(jī)的TCP/44

36、44端口作為后門，并綁定cmd.exe。然后蠕蟲會連接到這個端口，發(fā)送tftp命令，回連到發(fā)起進(jìn)攻的主機(jī)，將msblast.exe傳到目標(biāo)計算機(jī)上并運行。9.當(dāng)病毒攻擊失敗時，可能會造成沒有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰，Windows XP系統(tǒng)可能會自動重啟計算機(jī)。該蠕蟲不能成功攻擊Windows Server2003，但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟。10.病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后，就會向微軟的更新站點“”發(fā)動拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點無法為用戶提供服務(wù)。61病毒處理：1) 清除方案

37、： 一、下載專殺工具：二、DOS環(huán)境下清除該病毒：1.當(dāng)用戶中招出現(xiàn)以上現(xiàn)象后，用DOS系統(tǒng)啟動盤啟動進(jìn)入DOS環(huán)境下，進(jìn)入C盤的操作系統(tǒng)目錄.操作命令集：C:CD C:windows (或CDc:winnt)2. 查找目錄中的“msblast.exe”病毒文件。命令操作集：dir msblast.exe /s/p3.找到后進(jìn)入病毒所在的子目錄，然后直接將該病毒文件刪除。Del msblast.exe62三、在安全模式下清除病毒如果用戶手頭沒有DOS啟動盤，還有一個方法，就是啟動系統(tǒng)后進(jìn)入安全模式，然后搜索C盤，查找msblast.exe文件，找到后直接將該文件刪除，然后再次正常啟動計算機(jī)即可

38、。2) 給系統(tǒng)打補(bǔ)?。?3愛情后門病毒發(fā)作現(xiàn)象：1) d, e, f, g盤不能雙擊打開，硬盤驅(qū)動器根目錄下存在Autorun.inf 2) 在每個硬盤驅(qū)動器根目錄下存在很多.zip和.rar壓縮文件，文件名多為pass, work, install ,letter大小約為126K 3) 在每個硬盤驅(qū)動器根目錄下存在COMMAND.EXE 4) WinHelp.exe、spoolsv.exe、hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe等進(jìn)程占用了cup。感覺機(jī)器很慢。 5) 有可能出現(xiàn)rpc關(guān)閉也倒計時重啟的現(xiàn)象 646) 殺毒后出

39、現(xiàn)Windows無法找到COMMAND.EXE文件，要求定位該文件。 7) 在任務(wù)管理器上看到多個cmd.exe進(jìn)程.病毒處理：1） 先斷網(wǎng)后下載愛情后門(Worm.LovGate)病毒專殺工具。查殺幾遍，重啟后再殺一遍，如出現(xiàn)殺毒失敗再做第二步。2）升級殺毒軟件病毒庫、斷網(wǎng)后進(jìn)入安全模式查殺病毒。3） 請給系統(tǒng)賬戶設(shè)置足夠復(fù)雜的登陸密碼，建議是字母+數(shù)字+特殊字符。654） 關(guān)閉共享文件夾。5） 打補(bǔ)丁開始-Windows Update.升級程序會自動檢測你需要打哪些補(bǔ)丁安裝好所有系統(tǒng)必須的關(guān)鍵更新和Service Pack安裝MS03-039（KB824146）補(bǔ)?。╓indows 200

40、0 簡體中文版）；MS03-039（KB824146）補(bǔ)?。╓indows XP 簡體中文版）。66愛情森林病毒名稱：Trojan.sckiss.176643病毒類型：木馬程序病毒特征：該木馬程序原始文件名為hack.exe,用Delphi編寫，并用UPX進(jìn)行了壓縮。木馬程序被運行后會： (1)復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下，并改名為Explorer.exe。由于它和Windows目錄下的Explorer文件同名，因此會迷惑用戶，使用戶誤認(rèn)為這是一個正常的系統(tǒng)文件。 (2)修改注冊表，在HKEY_LOCAL_MACHINESoftwar

41、eMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer=“%windowssystem%Explorer.exe”,使木馬程序可以在開機(jī)后自動運行。(其中%windowssystem%為Windows的系統(tǒng)目錄) 67(3)該木馬程序還會在站點下載文件update.exe，并執(zhí)行下載下來的程序，進(jìn)行其它的破壞活動。清除方法：(1)先打開任務(wù)管理器，結(jié)束掉位于下面的那個Explorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序Explorer.exe?；蛘咧匦聠拥紻OS下到system目錄直接刪除該木馬程序。(2)打開注冊表編輯器，刪除HKEY_LOCAL_MA

42、CHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。68求職信新變種Klez.h(G.K)此病毒是臭名昭著的Klez（求職信wantjob）蠕蟲的最新變種，它有三種名稱，即Klez.g，Klez.h和Klez.k，金山毒霸命名為WantJob.E, WantJob.H。其主要特點是通過電子郵件系統(tǒng)進(jìn)行傳播，感染電腦之后能主動關(guān)閉許多殺毒軟件的運行，正是這一個特點使得它的傳播速度明顯快于其他病毒，其次它還能感染通過在局域網(wǎng)與電腦相連接的共享驅(qū)動器。此變種能夠通過電子郵件、文件傳染和網(wǎng)絡(luò)共享的方式來傳播，攻擊方式不同于以往病毒，

43、以往是透過電子郵件傳播并開啟、執(zhí)行電子郵件附件才會感染，但此新變種攻擊手法更惡劣，使用者只要預(yù)覽病毒信件，不需執(zhí)行任何附件，就已經(jīng)受到感染。用戶一旦中毒，病毒便會大量寄發(fā)郵件給通訊簿的收件者，造成服務(wù)器與網(wǎng)絡(luò)的負(fù)荷69“SQL服務(wù)器蠕蟲病毒”簡介病毒名稱：JScript/SQLSpida.B 別名：Digispid.B.Worm（賽門鐵克） , MSSQL Worm, Worm.SQL.Spida.b, Sqlsnake, JS.Sqlspida.B, JS/SQLSpida.js.b 病毒類型：JavaScript蠕蟲 感染長度：1,140 字節(jié), 2,208字節(jié), 4,249字節(jié), 20,

44、480 字節(jié), 368,640字節(jié), 32,768字節(jié), 243字節(jié), 36,864字節(jié), 13,312字節(jié), 4,701字節(jié) 受影響系統(tǒng)：Windows, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me 70病毒危害： 1.刪除文件：刪除“%SystemRoot%system32msver241.srq” 文件； 2.泄露機(jī)密數(shù)據(jù)：將受到威脅的服務(wù)器IP地址發(fā)送給黑客的電子郵件帳號； 3.威脅安全設(shè)置：將SQL管理員密碼改為一由四個隨機(jī)字母組成的字符串。 病毒傳播： 1.端口：1433； 2.感

45、染目標(biāo)：空SQL管理員密碼的SQL服務(wù)器 71“尼姆達(dá)”（Nimda）新變種病毒簡介“尼姆達(dá)”新變種命名為Worm.Concept.118784。有趣的是病毒作者在病毒源代碼中有一段說明：Concept Virus(CV)V.6,Copyright(C)2001,(Thiss CV,No Nimda.）。最后一句話的意思是：“這是概念病毒，不是尼姆達(dá)病毒?！边@個病毒是尼姆達(dá)病毒（Worm.Concept.57344）的變種，修正病毒的一些bug，并作了一些改動：1.附件名從Readme.exe改為Sample.exe；2.感染IIS系統(tǒng)時生成的文件從Admin.dll改為Httpodbc.dl

46、l；3.在NT/2000及相關(guān)系統(tǒng)，病毒拷貝自己到Windows的system目錄下，不再叫mmc.exe，而用Csrss.exe的名字。72五、常見病毒攻擊端口表 病毒名稱 攻擊端口 傳播途徑振蕩波 5554，445 網(wǎng)絡(luò)沖擊波 tcp/135、udp/69 網(wǎng)絡(luò)/RPC漏洞SCO炸彈 Tcp:80、1080、3128、8080、10080 網(wǎng)絡(luò)/郵件愛情后門 1092、20168 網(wǎng)絡(luò)/郵件73常用端口按端口號可分為3大類：（1）公認(rèn)端口（Well Known Ports）：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口

47、實際上總是HTTP通訊。 （2）注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。 （3）動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實際上，機(jī)器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。74常用端口端口：21 服務(wù)：FTP 說明：FTP服務(wù)器所開放的端口，用于上傳、下載。最常見的攻擊者用于尋找打開anonymo

48、us的FTP服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible 、WinCrash和Blade Runner所開放的端口。 75端口：23服務(wù)：Telnet 說明：遠(yuǎn)程登錄，入侵者在搜索遠(yuǎn)程登錄UNIX的服務(wù)。大多數(shù)情況下掃描這一端口是為了找到機(jī)器運行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。 端口：25 服務(wù)：SMTP 說明：SMTP服務(wù)器所開放的端口，用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E-MAIL服務(wù)器上，將

49、簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。 76端口：53 服務(wù)：Domain Name Server（DNS） 說明：DNS服務(wù)器所開放的端口，入侵者可能是試圖進(jìn)行區(qū)域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通信。因此防火墻常常過濾或記錄此端口。 端口：80 服務(wù)：HTTP 說明：用于網(wǎng)頁瀏覽。木馬Executor開放此端口。 77端口：135 服務(wù)：Location Service 說明：Microsoft在這個端口運行DCE RP

50、C end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務(wù)利用計算機(jī)上的end-point mapper注冊它們的位置。遠(yuǎn)端客戶連接到計算機(jī)時，它們查找end-point mapper找到服務(wù)的位置。HACKER掃描計算機(jī)的這個端口是為了找到這個計算機(jī)上運行Exchange Server嗎？什么版本？還有些DOS攻擊直接針對這個端口。78 端口：137、138、139 服務(wù)：NETBIOS Name Service 說明：其中137、138是UDP端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時用這個端口。而139端口：通過這個端口進(jìn)入的連接試圖獲得

51、NetBIOS/SMB服務(wù)。這個協(xié)議被用于windows文件和打印機(jī)共享和SAMBA。還有WINS Regisrtation也用它端口：161 服務(wù)：SNMP 說明：SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運行信息的儲存在數(shù)據(jù)庫中，通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認(rèn)的密碼public、private訪問系統(tǒng)。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網(wǎng)絡(luò)。79實用工具NetstatC:netstat /?顯示協(xié)議統(tǒng)計和當(dāng)前的 TCP/IP 網(wǎng)絡(luò)連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用.NET

52、STAT -a -e -n -s -p proto -r interval -a 顯示所有連接和偵聽端口。 -e 顯示以太網(wǎng)統(tǒng)計。該參數(shù)可以與-s 選項結(jié)合使用80-n 以數(shù)字格式顯示地址和端口號（而不是嘗試查找名稱）。-p protocol顯示由 protocol 指定的協(xié)議的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協(xié)議的統(tǒng)計，protocol 可以是 tcp、udp、icmp 或 ip。 -r 顯示路由表的內(nèi)容. -s 顯示每個協(xié)議的統(tǒng)計。默認(rèn)情況下，顯示 TCP、UDP、ICMP 和 IP 的統(tǒng)計。-p 選項可以用來指定默認(rèn)的子集. inte

53、rval 重新顯示所選的統(tǒng)計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統(tǒng)計。如果省略該參數(shù)，netstat 將打印一次當(dāng)前的配置信息。.81fport查詢端口及相關(guān)聯(lián)接的Activeport也是查詢端口狀態(tài)，并可關(guān)閉相關(guān)進(jìn)程的82關(guān)閉常見端口保障系統(tǒng)安全震蕩波病毒、木馬等病毒常見端口關(guān)閉113端口木馬的清除（僅適用于windows系統(tǒng)）：這是一個基于irc聊天室控制的木馬程序。1.首先使用netstat -an命令確定自己的系統(tǒng)上是否開放了113端口2.使用fport命令察看出是哪個程序在監(jiān)聽113端口fport工具下載例如我們用fport看到如下結(jié)果：Pid

54、Process Port Proto Path392 svchost - 113 TCP C:WINNTsystem32vhos.exe 83我們就可以確定在監(jiān)聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:winntsystem32下。3.確定了木馬程序名（就是監(jiān)聽113端口的程序）后，在任務(wù)管理器中查找到該進(jìn)程，并使用管理器結(jié)束該進(jìn)程。4.在開始-運行中鍵入regedit運行注冊表管理程序，在注冊表里查找剛才找到那個程序，并將相關(guān)的鍵值全部刪掉。5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會包括其他一些程序，如rscan.exe、psexec.exe、ipcpa

55、ss.dic、ipcscan.txt等，根據(jù)木馬程序不同，文件也有所不同，你可以通過察看程序的生成和修改的時間來確定與監(jiān)聽113端口的木馬程序有關(guān)的其他程序）6.重新啟動機(jī)器。84win2000server 開始-程序-管理工具-服務(wù)里找到Terminal Services服務(wù)項，選中屬性選項將啟動類型改成手動，并停止該服務(wù)。85限制端口的方法對于個人用戶來說，您可以限制所有的端口，因為您根本不必讓您的機(jī)器對外提供任何服務(wù)；而對于對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器，我們需把必須利用的端口（比如WWW端口80、FTP端口21、郵件服務(wù)端口25、110等）開放，其他的端口則全部關(guān)閉。這里，對于采用Windows 2000或者Windows XP的用戶來說，不需要安裝任何其他軟件，可以利用“TCP/IP篩選”功能限制服務(wù)器的端口。86具體設(shè)置如下：1、右鍵點擊“網(wǎng)上鄰居”，選擇“屬性”