Tag Archives: 病毒反病毒

只要电脑连上了互联网，虽然可以尽情翱翔在丰富多彩的网络时代，但是木马病毒同样也会悄悄"访问"你的电脑。随着这位不速之客的到来你的电脑会出现各种奇怪的症状：丢失DLL文件、内存不为read、任务管理器被禁用等等。 那应该如何抵御木马病毒的入侵呢？还是要从了解木马启动方式开始~看看木马会通过哪几种方式在我们的电脑中偷偷运行，以及如何干掉它们。 一、通过"开始程序启动" 　　隐蔽性：2星 　　应用程度：较低 　　这也是一种很常见的方式，很多正常的程序都用它，大家常用的QQ就是用这种方式实现自启动的，但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”（msconfig.exe，以下简称msconfig）中。事实上，出现在“开始”菜单的“程序启动”中足以引起菜鸟的注意，所以，相信不会有木马用这种启动方式。 二、通过Win.ini文件 　　隐蔽性：3星 　　应用程度：较低 　　同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。在Windows3.2中，Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中。而且，在Windows98安装完成后这两项就会被Windows的程序使用了，也不很适合木马使用。 三、通过注册表启动 　　1、通过HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun， 　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和 　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 　　隐蔽性：3.5星 　　应用程度：极高 　　应用案例：BO2000，GOP，NetSpy，IEthief，冰河…… 　　这是很多Windows程序都采用的方法，也是木马最常用的。使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表中的主键，通常木马会使用最后一个。使用Windows自带的程序：msconfig或注册表编辑器（regedit.exe，以下简称regedit）都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除（手工删除后，木马程序又自动添加上了），相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢？其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。 　　破解方法：首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了；然后，你就可以删除注册表中的键值和相应的木马程序了。 　　2、通过HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce， 　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce和 　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 　　隐蔽性：4星 　　应用程度：较低 　　应用案例：Happy99月 　　这种方法好像用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢？ 　　其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。 　　还有一种方法，不是在启动的时候加而是在退出Windows的时候加，这要求木马程序本身要截获WIndows的消息，当发现关闭Windows消息时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样用Regedit也找不到它的踪迹了。这种方法也有个缺点，就是一旦Windows异常中止（对于Windows9x这是经常的），木马也就失效了。 　　破解他们的方法也可以用安全模式。 　　另外使用这三个键值并不完全一样，通常木马会选择第一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束会才继续启动Windows。… Read more »

我以前写过一篇文章上网千万不要下载安装的十个软件！，相信大家对于恶意软件恨之入骨，而近来360安全卫士在这方面非常的火，而最近看到的一篇文章很让我失望。 这篇文章最初黑客X档案08年3月分册刊登，一篇关于《对360查杀插件木马原理的揭密》，原作者孤独の狼。文章中指出360安全卫士仅按路径查杀恶意插件。对此我将亲自做测试。 而360论坛上官方发布的《顶级风投注资3.6亿元 360誓为网民打造一流免费安全平台》帖子，实在无法忍受奇虎对广大网民说出这么真的谎言，今天我对360进行彻底揭密。 首先，大家对奇虎老板周鸿祎也有所了解吧，传说中的流氓插件之父。大家也都知道吧，360是靠清除3721上网助手火起来的，自己做的流氓插件自己清除当然得心应手了。说出来360都不害臊。 根据孤独の狼在X档案上的叙述：360安全卫士的查杀木马以及卸载流氓插件的原理，是根据文件名和路径。大家一定很吃惊吧，不必吃惊，我现在再次为大家测试360查杀原理。 我以最近在网上流行的“克邻大盗”为例，感染上了之后。它存在于WINDOWS下为linkinfo.dll的文件会插入explorer进程，释放nvnimi.sys (注意是在windows下而不是system32下的)。 实验开始： （若看不清图片，单击图片即可查看原图） 1.首先用360对恶意插件进行扫描，结果没有任何恶意插件： 2.然后复制c:windowsexplorer.exe，将这个文件重命名为linkinfo.dll，然后放入windows文件夹。再用360查杀，看！ 居然有了恶意插件….其他我不想多说了！ 国产的软件都是这样的嘛？？？？？？ 也许还是看看这个吧：杀毒软件、防火墙、防间谍2008最新世界排名！

任务管理器—这是一般电脑用户强行关闭某进程的唯一工具，但这同样也是病毒、木马特别关注的东西！有时会出现任务管理器已禁用的情况，我们现在就来彻底的解决这个问题~~ 1、任务管理器的运行文件丢失. 任务管理器的运行文件是%SystemRoot%system32TaskMgr.EXE，但是当这个文件被更名或者被删除就会从%systemroot%system32dllcache或%SystemRoot%ServicePackFilesi386下顺序调出TaskMgr.exe到%SystemRoot%system32下，所以如果一旦%systemroot%system32dllcache和%SystemRoot%ServicePackFilesi386下的TaskMgr.exe也被更名或者被删除，那么就无法直接运行任务管理器（一旦%systemroot%system32dllcache里的TaskMgr.exe被更名或删除，而又在ServicePackFiles下找不到或并非SP1、SP2版本的XP，Windows文件保护会提示要求插入Windows安装光盘）。那么根据上面提到的特性，只有从他机拷贝该任务管理器运行文件TaskMgr.exe到%SystemRoot%system32或%SystemRoot%ServicePackFilesi386或%systemroot%system32dllcache这三个地方，因为只要有其中一个地方存在正确的 TaskMgr.exe 文件，其它地方会被自动拷贝复件的。 2、权限方面的原因. “组策略”法，请按照下面步骤进行组策略操作： 1、点击『开始』菜单 2、点击“运行”并键入”gpedit.msc”（不包括双引号）后确定 3、在“组策略”中依次展开 “本地计算机”策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项 4、在该列表中打开 删除“任务管理器” 的属性 5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项，确定。 注：该策略的效果为，“任务栏”上的右键菜单上的“任务管理器”呈不可点击状，而按下组合键Ctrl+Alt+Del之后会弹出题目为“任务管理器”的对话框，内容是“任务管理器已被系统管理员停用”。 上述策略须在管理员帐户下操作 上述方法因需用到“组策略”，故该法适用于： ·Microsoft Windows XP Professional “注册表”法，请按照下面步骤进行注册表编辑操作： 1、点击『开始』 2、点击“运行”并键入”regedit”（不包括双引号）后确定 3、在“注册表编辑器”中依次展开 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies… Read more »

Bitdefender论坛：http://www.bitdefender.org.cn/ 将crack.exe复制到bitdefender安装目录。双击打开，选择相应的版本，点获取按钮。 将获取的序列号填入Key中，然后点破解即可。 若输入的key不能用，就先点破解再输入key~~ 点击下载bitdefender破解 废话不多说了，很简单的，不会的留言~~

随着杀毒软件的身躯越来越庞大,资源占用越来越多,“裸奔”的人也越来越多.其实只要有良好的习惯,平时再多加注意,就算不装杀毒软件也威胁不大. 但有时怀疑系统安全性了怎么办?难道得为一次检测就安装杀毒软件?在这种情况下,最好的方案是在线检测,快速而又免费.这儿有一个在线病毒、恶意软件检测服务的列表,相信能满足你的需求. Avast – Avast的在线版本，能够检测最大512KB的单个文件。 http://onlinescan.avast.com BitDefender – BitDefender的在线版本，能够扫描整个系统，仅仅支持Internet Explorer。http://www.bitdefender.com/scan8/ie.html Computer Associates Malware Scanner – 检测单个文件。http://ca.com/us/securityadvisor/virusinfo/scan.aspx Eset – 检测整个系统是否存在恶意软件。http://www.eset.com/onlinescan/ Freedom – 检测整个系统。http://www.freedom.net/viruscenter/onlineviruscheck.html Jotti’s Malware Scan – 使用多个引擎同时扫描你所上传的文件。http://virusscan.jotti.org/ Panda Security –… Read more »

对于Windows系统来说,进程的作用非常重要，木马病毒一些不良程序和流氓软件也热衷于占据进程这块宝地，遇到这种进程时，我们往往介绍它们，但有时候会遇到用任务管理器关不了的进程，非常顽固。 这时我们可以这样做：在运行中使用 ntsd -c q -p PID 命令. 这个PID是什么呢？其实它相当于进程的一个编号，默认情况下任务管理器是看不到PID的，要先设置一下。 打开任务管理器—>查看—>选择列…—>把PID选上。 这时就可以看到进程的PID了。 比如我们想结束 cmdagent.exe 这个进程，就可以在运行里面输：ntsd -c q -p 1636 回车就可以了！ 使用ntsd这个命令，可以结束系统大部分进程，只有System、SMSS.EXE和CSRSS.EXE不能杀，前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。 是不是又多了一件对付病毒、木马、恶意软件的武器了呢？

一用U盘、闪存病毒满天飞，在AutoRun老大的带领下，蹂躏你的电脑。难道我们只能被动作战吗？这种惨状将被彻底改变。让我们请Windows组策略来帮忙！ 先说说原理，其实很简单，就是让U盘盘符下的exe文件禁止运行。这样即使AutoRun运行，调用exe病毒，也是运行不起来的。 快来看看如何操作的： 1.打开开始菜单—>运行—>输入gpedit.msc—>回车。 2.打开组策略对话框，按下图进行展开。如果软件限制策略下没有安全级别和其他策略。只要在软件限制策略上右击选择新建规则即可。 3.在空白处右击选择新建路径规则… 4.在新路径规则里，安全级别选择不允许。在路径中填入相应的U盘路径，比如U盘路径是G，那么就输入:G:/*.exe,我的U盘路径是I，所以如图： 然后一路确定即可。让我们看看实际效果，如果这时在U盘执行exe文件，Windows就会阻止. 赶快试试吧~当然也可以添加其他扩展名的文件比如,BAT…用的就要顶哦~~~~

今天收集了3种安全软件的世界排名，个人认为还是比较权威的！特拿出来和大家分享！当然不能太迷信排名了，谁是最强还是你说了算，不过很可惜，在里面国产软件。。。。。不提了~伤心~~ 废话少说：2008杀毒软件排名： 2008年防火墙排名： 2008年防间谍排名：