计算机反病毒知识实用技术资料

一、未雨绸缪——
做好预防措施
　　1.一个好，两个妙
　　无论是菜鸟还是飞鸟，杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多，功能也十分接近，大家可以根据需要去购买正版的(都不算贵)，也可以在网上下载免费的共享杀毒软件(网上有不少哦)，但千万不要使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给计算机“铁桶”般的保护。
　　2.下载文件仔细查
　　网络病毒之所以得以泛滥，很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻烦，尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心，因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。
　　3.拒绝不良诱惑
　　很多中了网页病毒的朋友，都是因为访问不良站点惹的祸，因此，不去浏览这类网页会让你省心不少。另外，当你在论坛、聊天室等地方看到有推荐浏览某个URL时，要千万小心，以免不幸“遇害”，或者尝试使用以下步骤加以防范：
　　1)打开杀毒软件和网络防火墙；
　　2)把Internet选项的安全级别设为“高”；
　　3)尽量使用以IE为内核的浏览器(如MyIE2)，然后在MyIE2中新建一个空白标签，并关闭Script、javaApple、ActiveX功能后再输入URL。
　　小提示：该方法不但能有效对付网页病毒，而且对“蠕虫病毒”也有一定作用。
　　4.免费午餐：在线查毒
　　虽然目前网络上的“免费午餐”越来越少，但仍有一些网站坚持向网民们提供免费的在线查毒服务，实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友，可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”：
　　小提示：1)各网站的在线查毒服务都有所不同，使用前要仔细阅读网站上的相关说明后再进行操作，争取把病毒赶尽杀绝；
　　2)由于查毒时需要调用浏览器的ActiveX控件，因此查毒前要先在IE的“Internet选项”＼“安全”页面中检查该功能是否打开，并相应降低安全级别(一般“中等”即可)再查毒。
　　5.千呼万唤终不应
　　如果你发现有“你中奖啦！”、“打开附件会有意外惊喜哦！”这些话，可千万别信！看到类似广告的邮件标题，最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式)，不要随便打开，如果是你熟悉的朋友发来的，可以先与对方核实后再作处理。同时，也有必要采取一定措施来预防邮件病毒：
　　1)尽量不要用Outlook作为你的邮件客户端，改以Foxmail等代替，同时以文本方式书写和阅读邮件，这样就不用担心潜伏在HTML中的病毒了；
　　2)多使用远程邮箱功能，利用远程邮箱的预览功能(查看邮件Header和部分正文)，可以及时找出垃圾邮件和可疑邮件，从而把病毒邮件直接从服务器上赶走；
　　3)不要在Web邮箱中直接阅读可疑邮件，因为这种阅读方法与浏览网页的原理一样，需要执行一些脚本或Applet才能显示信息，有一定危险性。
　　6.修修补补，填充漏洞
　　当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多)，我们平时除了注意及时对系统软件和网络软件进行必要升级外，还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能，让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件)，以便及早发现漏洞。
　　7.给危险文件加把“锁”
　　不管网络病毒如何“神通广大”，它要对计算机进行破坏，总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等)，根据这个特点，我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范，让病毒无从下手。
　　8.有“备”无患，打造最后防线
　　正所谓“智者千虑，必有一失”，为保证计算机内重要数据的安全，定时备份少不了。如果我们能做好备份工作，即使遭受网络病毒的全面破坏，也能把损失减至最小。当然，前提条件是必须保证备份前数据没被感染病毒，否则只能是徒劳无功。另外，要尽量把备份文件刻录到光盘上或存放到隐藏分区中，以免“全军覆没”。
　　二、见招拆招——杀毒软件的常见问题
　　安装杀毒软件后与其他软件发生冲突怎么办？
　　1)由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的，因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙，然后尝试暂时关闭杀毒软件和防火墙的监测功能，再看看问题是否已经解决；
　　2)到杀毒软件的主页网站看看是否出了相关补丁或升级版本，有则打上补丁或升级到最新版本；
　　3)如果以上措施还不能解决问题，可以通过E-mail联系作者，寻求解决方法。
　　不能正常升级怎么办？
　　1)如果使用的是正版软件，可以先试着完全卸载旧版本，再安装新版本(为安全起见，建议卸载前先进行备份)；
　　2)检查是否安装了多种杀毒软件，卸载其他杀毒软件后再安装；
　　3)检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏，有问题的请与经销商联系解决；
　　4)尝试以下操作方法：清空Temp文件夹→关闭打开的杀毒软件→换路径重新安装→把安装光盘中的安装目录拷贝到硬盘上，然后运行目录里的“Setup.exe”。
　　无法清除病毒怎么办？
　　1)先升级病毒库再杀毒；
　　2)用一张干净的系统引导盘启动机器后，在DOS状态下进行杀毒；
　　3)备份染毒文件并隔离，然后把病毒样本寄给作者，得到新病毒库后再杀毒。
　　三、亡羊补牢——病毒发作后的急救措施
　　虽然已经做足了防范措施，但正所谓：“天有不测之风云”，万一中招了，我们还有什么急救措施呢？
　　1.软件方面
　　1)首先断开全部网络连接，以免病毒向其他在线电脑传播，然后马上用杀毒软件进行扫描杀毒工作(记得要先扫描内存、引导区)；
　　2)赶快备份和转移重要文档到安全地方(软盘、光盘)，记录账号、密码等资料，等病毒清除完毕后再作处理；
　　3)平时曾用GHOST备份的，可以利用映像文件来恢复系统，这样不但能马上恢复工作，而且连同所有病毒也一并清除了，当然，这要求你的GHOST备份是没有感染病毒的。另外，恢复系统前同样要先做好备份重要资料的工作。
　　4)没有进行GHOST备份，并且机器中数据并不重要的，可以用干净的引导盘启动机器后格式化硬盘，然后再重新安装系统和程序。
　　2.硬件方面
　　1)BIOS或CMOS被破坏的，需要找寻相同类型的主板，然后用热插拔的方法进行恢复。此方法存在着极大的危险性，最好找专业技术人员代你进行恢复。
　　2)硬盘引导区或主引导扇区被破坏的，可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。
　　做好了上面这些防范和应对措施，网络病毒再也别想骚扰到你，冲浪当然更安全了！

电脑安全知识：防御计算机病毒十大必知步骤
近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤：
　　1、用常识进行判断
　　决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件 -- 因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。
　　2、安装防病毒产品并保证更新最新的病毒定义码
　　建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。
　　3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描
　　当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。
　　 4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。
　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。
　　 5、不要从任何不可靠的渠道下载任何软件
　　这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
　　6、警惕欺骗性的病毒
　　如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。
　　7、使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）
　　常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。

::::::::::恶意网页病毒十三大症状分析及简单修复方法::::::::::::
一、对IE浏览器产生破坏的网页病毒：
　　
　　（一）.默认主页被修改
　　
　　1.破坏特性：默认主页被自动改为某网站的网址。
　　
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　
　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　
　　危害程度：一般
　　
　　（二）.默认首页被修改
　　
　　1.破坏特性：默认首页被自动改为某网站的网址。
　　
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　
　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　
　　危害程度：一般
　　
　　（三）.默认的微软主页被修改
　　
　　1.破坏特性：默认微软主页被自动改为某网站的网址。
　　
　　2.表现形式：默认微软主页被篡改。
　　
　　3.清除方法：
　　
　　(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
　　"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
　　
　　危害程度：一般
　　
　　（四）.主页设置被屏蔽锁定，且设置选项无效不可更改
　　
　　1.破坏特性：主页设置被禁用。
　　
　　2.表现形式：主页地址栏变灰色被屏蔽。
　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
　　"HomePage"=dword:00000000
　　
　　危害程度：轻度
　　
　　（五）.默认的IE搜索引擎被修改
　　
　　1.破坏特性：将IE的默认微软搜索引擎更改。
　　
　　2.表现形式：搜索引擎被篡改。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
　　"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
　　"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
　　
　　危害程度：一般
　　
　　（六）.IE标题栏被添加非法信息
　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。
　　
　　2.表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！ http://www.zhengdian.com "尾巴。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
　　
　　第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
　　"Window Title"="Microsoft Internet Explorer"
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
　　"Window Title"="Microsoft Internet Explorer"
　　
　　危害程度：一般
　　
　　（七）.OE标题栏被添加非法信息破坏特性：
　　
　　破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
　　表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
　　"WindowTitle"=""
　　"Store Root"=""
　　
　　危害程度：一般
　　
　　（八）.鼠标右键菜单被添加非法网站链接：
　　
　　1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。
　　
　　2.表现形式：添加“网址之家”等诸如此类的链接信息。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。
　　
　　4.危害程度：一般
　　
　　（九）.鼠标右键弹出菜单功能被禁用失常：
　　
　　1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
　　
　　2.表现形式：在IE中点击右键毫无反应。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoBrowserContextMenu"=dword:00000000
　　
　　危害程度：轻度
　　
　　（十）.IE收藏夹被强行添加非法网站的地址链接
　　
　　破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。
　　
　　表现形式：躲藏在收藏夹下。
　　
　　清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。
　　
　　危害程度：一般
　　
　　（十一）.在IE工具栏非法添加按钮
　　
　　破坏特性：工具栏处添加非法按钮。
　　
　　表现形式：有按钮图标。
　　
　　清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。
　　
　　危害程度：一般
　　
　　（十二）.锁定地址栏的下拉菜单及其添加文字信息
　　
　　破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。
　　
　　表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。
　　
　　危害程度：轻度
　　
　　（十三）.IE菜单“查看”下的“源文件”项被禁用
　　
　　破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色。
　　
　　表现形式：“源文件”项不可用。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoViewSource"=dword:00000000
　　
　　[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoViewSource"=dword:00000000
　　
　　危害程度：轻度

:::::::::::::::::::::::常见用户提出的几个疑问:::::::::::::::::::::
用户在使用计算机的过程中经常会提出下面的一些问题，下面做出简要的解答。
1、我的计算机为什么突然变慢？
答：计算机可能感染蠕虫病毒，不停往外发送数据包，在命令提示符下面用netstat –an察看一下计算机是否对局域网其他机器发送数据包，主要看是否往其他机器的445端口发送数据包，检查计算机是否感染蠕虫，可以用最新的杀毒软件，附录中给出最近一些常见蠕虫的杀查方法。
2、我的计算机为什么流量突然增加？
答：计算机可能感染了蠕虫，或者种了木马程序而被别人设置了代理。用户可以用“netstat –an”命令察看自己的计算机是否往局域网其他计算机发送数据包。

4、我的计算机为什么突然丢失文件，而且多了一个未知的账号？
答：多发生于Win2k操作系统，计算机可能由于没有设置口令或者口令过于简单导致系统被蠕虫病毒攻破，而病毒会自动在你的系统里面添加一个管理员账户，并且植入一个木马程序。或者网络上的一些上网用户通过文件://202.118.118.118/c$这样的命令访问你的计算机，如果管理员帐户没有设置口令或者口令过于简单，计算机马上就能被控制。解决的方法，设置复杂的口令，更改Administrator帐户名称。
5、我的计算机安装了操作系统补丁（windows update），安装了防病毒软件，而且也按时升级病毒定义文件，为什么还是被种了木马程序？
答：有几个原因，可能是由于管理员口令过于简单，或者没有设置口令，导致被口令蠕虫病毒攻击；可能是由于打开了不明邮件的附件导致；可能是由于下载了不明软件或者程序导致。
针对上面的这些问题最彻底的解决方法就是格式化系统盘重新安装操作系统，否则不能保证杀毒软件能够彻底杀除病毒，更不能确定系统是否留有后门。在后面的附录中给出近期常见蠕虫和杀查方法。

\-------------------------木马专题----------------------------\
一、win2000口令设置方法:
当前用户口令：
在桌面环境下按crtl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。
其他用户口令：
在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

二、113端口木马的清除（仅适用于windows系统）：
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具需要下载，例如我们用fport看到如下结果：
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\winnt\system32下。
3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找
到那个程序，并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、IPcpass.dic、IPcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）
6.重新启动机器。

三、3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。
win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

四、4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件。

五、5800，5900端口：
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\explorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项
5.重新启动机器。

六、6129端口的关闭：
首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。
关闭6129端口：
选择开始-->设置-->控制面板-->管理工具-->服务，找到DameWareMini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

八、45576端口：
这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）
关闭代理软件：
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
3.到该程序所在目录下将该程序删除。

:::::::::::::::手工去除13种木马:::::::::::::::
一、BO2000
　　查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。
二、NetSpy(网络精灵)
　　国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。
　　清除方法：
　　1.进入dos，在C:\windows\system\目录下输入以下命令：del netspy.exe 回车；
　　2.进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，删除Netspy.exe和Spynotify.exe的键值即可安全清除Netspy。
三、Happy99
　　此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System”目录下，更名为Ska.exe，并创建文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册\HEKY-LOCAL-MACHINE\Softwre\Microsoft\Windows\ Current Version\RunOnce中有无键值Ska.exe。有则将其删除，并删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。
四、NetBus(网络公牛)
　　国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:
　　win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；
　　winnt/2000下：(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。
　　服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根，如下：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
　　[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
　　网络公牛没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。
　　清除方法：
　　1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
　　2.把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。
　　3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们。然后点击“开始－>附件－>系统工具－>系统信息－>工具－>系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些软件卸载，再重新安装。
五、Asylum
　　这个木马程序是修改了system.ini win.ini两个文件，先查一下system.ini文件下面的[BOOT]项，看看"shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在[windows]项下的"run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。
六、冰河
　　冰河标准版的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。
　　清除方法：
　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要先改掉它们的隐藏、只读属性，就可以删除。
　　删除后进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe%1”，如是改回"notepad.exe %1” 。
七、GOP
　　GOP木马会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值让自己自动运行。所以，首先要禁止该项。点击“开始”→“运行”，输入“msinfo32”，查看其中的“软件环境”→“正在运行的任务”，如果发现哪个项目只有程序名和路径，而没有版本、厂商和说明，你就应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用”。现在运行regedit，进入到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，记住刚才那个身份不明的运行项目，找到后删除该键值。然后关闭计算机，稍候一下启动计算机。还记得刚才查看到的项目路径吧？那就是木马的程序的藏身之处！接下来的任务是删除木马程序本身。
八、Nethief(网络神偷)
　　反弹端口型木马。大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。
　　清除方法：
　　1.网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除；
　　2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
九、广外女生
　　广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。
　　清除方法：
　　1.由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除；
　　2.由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；
　　3.回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；
　　4.找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*；
　　5.找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值；
　　6.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。
十、SubSeven
　　最新版为2.2(默认连接端口27374)，服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。
　　清除方法：
　　1.运行Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="c:\windows\system\***"。(注：加载器和文件名是随意改变的)
　　2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。
　　3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。
　　4.重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，例如vqpbk.exe。
十一、WAY2.4(火凤凰、无赖小子)
　　国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表*控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从试验情况来看，WAY2.4的注册表*作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4在注册表*控方面可以说是木马老大。
　　WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！
　　清除方法：
　　要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份。
十二、聪明基因
　　国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！
　　清除方法：
　　1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。
　　2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！
　　3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。
　　4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。
十三、黑洞2001
　　国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。黑洞2001服务端被执行后，会在c:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件用来机器开机时立刻运行，并打开默认连接端口2001，S_Server.exe文件用来和TXT文件打开方式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被种入！
　　清除方法：
　　1.将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
　　2.将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
　　3.将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows删除。
　　4.将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。
　　5.到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。

::::::::::::::::::::::::::::104种木马清除方法::::::::::::::::::::::::::
1. 冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的两个路径，并删除
" C:windowssystem kernel32.exe"
" C:windowssystem sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
因此，不能明确说明。
你可以察看注册表，把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK

2. Acid Battery v1.0
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer ="C:WINDOWSexpiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:windowsexpiorer.exe木马程序
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤：
重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE"
关闭Regedit
重新启动。OK

4. Ambush
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:Windows zcn32.exe
重新启动。OK

5. AOL Trojan
清除木马的步骤：
启动到MSDOS方式
删除C: command.exe（删除前取消文件的隐含属性）
注意：不要删除真的command.com文件。
删除C: americ~1.0buddyl~1.exe（删除前取消文件的隐含属性）
删除C: windowssystemnorton~1regist~1.exe（删除前取消文件的隐含属性）
打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的WinProfile = c:command.exe
关闭Regedit，重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤：
注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名，必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马，把它查找出来，删除。
保存退出win.ini。
OK

7. AttackFTP
清除木马的步骤：
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ，正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Reminder="wscan.exe /s"
关闭Regedit，重新启动到MSDOS系统中
删除C:windowssystem wscan.exe
OK

8. Back Construction 1.0 - 2.5
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的"C:WINDOWSCmctl32.exe"
关闭Regedit，重新启动到MSDOS系统中
删除C:WINDOWSCmctl32.exe
OK

9. BackDoor v2.00 - v2.03
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的‘c:windowsnotpa.exe /o=yes‘
关闭Regedit，重新启动到MSDOS系统中
删除c:windowsnotpa.exe
注意：不要删除真正的notepad.exe笔记本程序
ＯＫ

10. BF Evolution v5.3.12
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的(Default)=" "
关闭Regedit，再次重新启动计算机。
将C:windowssystem .exe（空格exe文件）
ＯＫ

11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤：
首先准备一张98的启动盘，用它启动后，进入c:windows目录下，用attrib libupd~1.exe -h
命令让木马程序可见，然后删除它。
抽出软盘后重新启动，进入98下，在注册表里找到：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
的子键WinLibUpdate = "c:windowslibupdate.exe -hide"
将此子键删除。

12. Bla v1.0 - 5.03
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Systemdoor = "C:WINDOWSSystemmprdll.exe"
关闭Regedit，重新启动计算机。
查找到C:WINDOWSSystemmprdll.exe和
C:WINDOWSsystemrundll.exe
注意：不要删除C:WINDOWSRUNDLL.EXE正确文件。
并删除两个文件。
OK

13. BladeRunner
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
可以找到System-Tray = "c:-Somethingsomething.exe"
右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。
重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的DirrectLibrarySupport ="C:WINDOWSSYSTEMDllclient.exe"
关闭Regedit，重新启动计算机。
DEL C:WindowsSystemDllclient.exe
OK

清除木马v2.0
打开注册表Regedit
点击目录至：
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。
重新启动计算机。OK

15. BrainSpy vBeta
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
右边有 ??? = "C:WINDOWSsystemBRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit，重新启动计算机
查找删除C:WINDOWSsystemBRAINSPY .exe
ＯＫ

16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:windowsmsabel32.exe
并删除它。ＯＫ

17. Canasson
清除木马的步骤：
打开WIN.INI文件
查找c:msie5.exe，删除全部主键
保存win.ini
重新启动计算机
删除c:msie5.exe木马文件
ＯＫ

18. Chupachbra
清除木马的步骤：
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini，再打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的‘System Protect‘ = winprot.exe
重新启动Windows
查找到C:windowssystem winprot.exe，并删除。
ＯＫ

19. Coma v1.09
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的‘RunTime‘ = C:windowsmsgsrv36.exe
重新启动Windows
查找到C:windows msgsrv36.exe，并删除。
ＯＫ

20. Control
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的Load MSchv Drv = C:windowssystemMSchv.exe
保存Regedit，重新启动Windows
查找到C:windowssystemMSchv.exe，并删除。
ＯＫ

21. Dark Shadow
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit，重新启动Windows
查找到C:windowssystem winfunctions.exe，并删除。

:::::::::::::::::::::::木马病毒的通用解法:::::::::::::::::::::::::
由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。
　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，:-)，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。
　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。
　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值杏忻挥凶约翰皇煜さ淖远舳募┱姑狤XE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。
　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

木马病毒的通用解法　了解“木马”工作原理
很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。
　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。
　　当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，:-)，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。
　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可

如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。
　　小知识：

　　“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

自己动手清除电脑中的木马程序【转贴】
特络伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在你并不知情的的状态下控制你或者监视你的电脑。下面就讲讲木马经常藏身的地方和清除方法。
　　首先查看自己的电脑中是否有木马
　　1、集成到程序中
　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
　　2、隐藏在配置文件中
　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe
　　这时你就要小心了，这个file.exe很可能是木马哦。
4、伪装在普通文件中
　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
3、潜伏在Win.ini中
　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe
　　这时你就要小心了，这个file.exe很可能是木马哦。
4、伪装在普通文件中
　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
7、隐形于启动组中
　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦！
　　8、隐蔽在Winstart.bat中
　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
9、捆绑在启动文件中
　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。
　　10、设置在超级连接中
　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。
面再看木马的清除方法
　　1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。
　　2、删除上述可疑键在硬盘中的执行文件。
　　3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。
　　4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\　　Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。
　　5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和　　HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让病毒“长生不老，永杀不尽”的。
　　6、如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。
　　至此，病毒完全删除！笔者建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多，所以尽量自己杀毒（较简单的病毒、木马）。

::::::::::::::::::::冲击波”病毒全面答疑（6大问题::::::::::::::::::::

金山公司反病毒专家陈飞舟，经过对冲击波病毒的仔细研究后针对目前用户的重大
困惑做出权威答疑如下：
一、提防“冲击波”病毒
“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒！受影
响的系统包括：WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产
品，有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于
难。

二、什么是RPC漏洞
Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议，
RPC提供进程间交互通信机制，允许在某台计算机上运行的程序无缝地在远程系统
上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题，远程攻
击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致，漏洞影响使用RPC的DCOM接口。此接口处
理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用
此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如
安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
通俗地说：利用这个漏洞，一个攻击者可以随意在远程计算机上执行任何指
令！！！

三、被攻击的机器有哪些现象
1、莫名其妙地死机或重新启动计算机；
2、IE浏览器不能正常地打开链接；
3、不能复制粘贴；
4、有时出现应用程序，比如Word异常；
5、网络变慢；
6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！

3、升级反病毒软件

一、对于已经感染而不能打开补丁链接的问题：
可以这么解决：方法1、先打开IE浏览器，把补丁链接复制到浏览器的地址栏
里就可以下载了。如果不幸复制粘贴也不能用了，那只好照着上面的内容在地址栏
里输入了；方法2、打开网络蚂蚁或网络快车，把上面的地址复制或输入到下载的
任务里就行了。

二、怎么知道我是否成功地打上了这个补丁？
根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这
一项。
打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入
“regedit"(不要引号)。
在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资
源管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看
HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了，就不罗索了)。
展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，依次分
别：
1、对于WindowsNT4.0：找到 Updates，Windows NT， SP6，看看里面有没
有kb823980
2、对于Windows2000：找到 Updates，Windows 2000，SP5，看看里面有没
有kb823980
3、对于WindowsXP：找到 Updates，Windows XP， SP1，看看里面有没
有kb823980
4、对于WindowsXP SP1：找到 Updates，Windows XP， SP2，看看里面有没
有kb823980
如果找到，那就说明已经打上补丁了。如果没有，那就只有再来一次啦。

“冲击波”肆虐第2天：金山毒霸四大救援措施全面出台

8月3日，金山反病毒中心警告，该中心捕获的“流言”病毒（Worm.SdBotRPC）是
国内出现的第一个针对Windows RPC服务漏洞进行攻击的病毒，并预计破坏性不亚
于两年前在我国爆发的恶性病毒“红色代码”。

8月12日，金山公司接到潮水般的客户求助电话，“冲击波”（新流言）的蠕虫病
毒开始在国内大面积爆发，当日仅仅金山反病毒中心就接到近2000遭受攻击用户求
助。

8月12日下午，金山毒霸“冲击波”病毒专杀工具完成并公布在 www.duba.net
<http://www.duba.net> 供用户下载。

8月13日，“冲击波”病毒在全球包括美国、欧洲、台湾等地进一步疯狂传播，金
山反病毒专家陈飞舟提醒更要提防新变种的可能性。

国内著名反病毒骨干企业金山公司通知金山毒霸单机版以及企业版用户紧急更新病
毒库，并向全社会提供四大紧急救援措施：

3. 公布800紧急救援电话 8008105770

4.全面开通短信紧急救援服务用户编写“毒霸：XXXXXXXXXX(描述机器故障)，移
动用户发送到6008；联通用户发送到9008。

瑞星“利剑”行动对抗“冲击波” 紧急发放20万张免费救援光盘

8月12日开始泛滥的“冲击波”病毒在国内造成了大规模感染，到目前为止瑞星技术服务部门已经统计有数千个企事业单位的局域网瘫痪，“中招”的个人用户更是难以计数。从目前的形势判断，“冲击波”病毒在国内的泛滥程度几乎超过当年的“CIH”和“红色代码”。
针对这一严峻形势,瑞星公司决定在全国范围内展开一场“层层设防、彻底查杀、不留死角”的大规模扫毒行动，并将这一系列行动统一命名为“利剑”行动。
8月14日，瑞星“利剑”行动的第一个举措紧急出炉：联合1000余家软件经销商，在全国范围内紧急发放20万张免费救援光盘。
据了解，8月13日瑞星公司各个部门全部停止正常的工作，全力接受用户的救援请求和技术咨询，同时24小时赶制光盘光盘并预定已全国各地的航班，争取在14日中午将第一批光盘送达全国各主要城市。请广大用户关注瑞星在各城市主要软件店面的光盘发放消息。
瑞星副总裁毛一丁表示，从12、13日两天的形势看，“冲击波”病毒在国内的蔓延速度几乎失控，到13日晚上20：00点为止，瑞星公司累计收到用户求助信息8100多个。我们判断近几天“冲击波”将继续在全国各地泛滥，局势非常紧迫。他认为，这个时候正是反病毒厂商和经销商为用户解决问题，回报社会的时候，因此瑞星公司几乎暂停了所有的正常工作，全力投入到这场战斗中来。
毛一丁解释，此次免费光盘发放的对象是已经被感染的用户，这些用户的机器被感染后根本无法上网并下载补丁程序和专杀工具，因此只能用光盘来恢复系统并彻底查杀病毒。瑞星救援光盘的内容包括各种版本的系统补丁程序、RPC漏洞的补丁程序、瑞星专杀工具、瑞星杀毒软件最新版本的升级程序。

光盘使用说明：
一、将光盘放入光驱。
二、安装系统补丁程序：
1.WINDOWS NT系统的用户：需要安装Service Pack 6补丁程序包
路径为：光盘\系统补丁程序\NT4SP6_CN\sp6i386.exe
2.WINDOWS 2000系统的用户：需要安装Service Pack 3补丁程序包
路径为：光盘\系统补丁程序\WIN2K SP3_CN\W2KSP3.exe
3.WINDOWS　XP系统的用户：需要安装Service Pack 1补丁程序包
路径为：光盘\系统补丁程序\WINDOWS XP SP1_CN\xpsp1.exe
三、安装RPC漏洞的补丁程序：
1.WINDOWS NT系统的用户：
需要安装针对WINDOWS NT的RPC漏洞补丁程序
路径为：光盘\RPC漏洞补丁程序\WINNT-SERVER\CHS\CHSQ823980I.EXE
2.WINDOWS 2000系统的用户：
需要安装针对WINDOWS 2000的RPC漏洞补丁程序
路径为：光盘\RPC漏洞补丁程序\WIN2000\CHS\WINDOWS2000-KB823980-X86-CHS.EXE
3.WINDOWS　XP系统的用户：
需要安装针对WINDOWS XP的RPC漏洞补丁程序
路径为：光盘\RPC漏洞补丁程序\WINXP-32\CHS\WINDOWSXP-KB823980-X86-CHS.EXE
4.WINDOWS　SERVER 2003系统的用户：
需要安装针对WINDOWS SERVER 2003的RPC漏洞补丁程序
路径为：光盘\RPC漏洞补丁程序\SERVER2003-32\CHS\WINDOWSSERVER2003-KB823980-X86-CHS.EXE

四、使用瑞星专杀工具：
瑞星专杀工具的路径为：光盘\瑞星程序\ravzerg.exe，用户直接运行该工具，按照提示操作即可清除“冲击波”病毒。
五、瑞星杀毒软件最新版本的升级程序：
路径为：光盘\瑞星程序\upgrade.exe文件，
运行瑞星杀毒软件最新版本的升级程序，即可升级本机的瑞星杀毒软件，而后打开实时监控，进行全盘杀毒即可。

“冲击波”两变种今日再现，金山毒霸一路追杀

8月14日上午，金山毒霸反病毒中心监测到“冲击波”病毒的两个最新变种，请广大用户提高警惕，及时升级杀毒软件或者下载专杀工具。
金山反病毒工程师经过初步分析，认为该病毒变种并没有在原始病毒上做太多的改动，造成的影响和第一个版本的病毒是无出其右的，这两个变种病毒只是重新采用了新的压缩方式来压缩病毒体，在原始病毒体外增加了一层外壳，并改变了病毒文件名称和注册表键值。可以认为，这种改动的目的完全是为了躲避杀毒软件的追杀。
金山公司将会密切关注“冲击波”的最新动态，并随时向广大用户报告此病毒的最新走向。
再次提醒广大用户，警惕RPC漏洞，及时修补系统漏洞，安装官方发布的补丁程序，详情请参照
<http://www.duba.net/c/2003/08/12/88900.shtml>

“冲击波”病毒背景材料
8月3日，金山反病毒中心警告，该中心捕获的“流言”病毒（Worm.SdBotRPC）是国内出现的第一个针对WindowsRPC服务漏洞进行攻击的病毒，并预计破坏性不亚于两年前在我国爆发的恶性病毒“红色代码”。
8月12日，金山公司接到潮水般的客户求助电话，“冲击波”（新流言）的蠕虫病毒开始在国内大面积爆发，当日仅仅金山反病毒中心就接到近2000遭受攻击用户求助。

8月12日下午，金山毒霸“冲击波”病毒专杀工具完成并公布在 www.duba.net <http://www.duba.net/> 供用户下载。

8月13日，“冲击波”病毒在全球包括美国、欧洲、台湾等地进一步疯狂传播，金山反病毒专家陈飞舟提醒更要提防新变种的可能性。
“冲击波”病毒解决方案
首要是给系统打补丁，亡羊补牢尤未晚已。
下载补丁：
< Windows2000简体中文版：
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
< WindowsXP简体中文版：
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
< Windows2000英文版：
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
< WindowsXP英文版：
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

2、下载专杀工具清除病毒：
下载冲击波专杀工具： http://www.duba.net/download/3/91.shtml

3. 公布800紧急救援电话 8008105770
4.全面开通短信紧急救援服务用户编写“毒霸：XXXXXXXXXX(描述机器故障)，移动用户发送到6008；联通用户发送到9008。

10 万套《金山毒霸“冲击波”整体解决方案包》光盘赶制中
金山公司紧急对外界通知：决定制作《“冲击波”整体解决方案包》光盘免费向全社会派发。据悉，首批2万套光盘昨日已进入生产，可望明天就可以赶赴全国各地。
随着冲击波病毒进一步泛滥，感染率直线上升。没有清除病毒和给系统打补丁国内用户全面置身于威胁当中。由于该病毒的感染现象是用户上网发生重启以及倒计时推出，更是严重影响网络传输速度。目下网上的种种解决方案会有相当部分的用户无法顺利得到。
另外，众所周知该病毒是针对Windows RPC服务漏洞进行攻击的病毒，所有使用Windows NT、Windows 2000、Windows XP、Windows Server2003的用户都需要完成补丁安装才能确保不受重复感染，对于众多普通用户完成相应程序以及相应语言补丁下载具有知识和时间上的障碍。
再有，完成病毒解决还需要有金山网镖这样的高级个人网络防火墙进行关闭端口的步骤。以及在未来几天内更有可能会出现各种“冲击波”变种病毒的出现。为确保国内计算机个人及企业用户的信息安全，早在8月3日便全国首家截获病毒的著名反病毒厂商金山公司经过紧急讨论决定耗资赶制一批包含“冲击波”专杀工具，各种系统补丁，金山毒霸V、金山网镖V试用程序，以及近年来其它诸如“求职信”、“尼姆达”、“蠕虫王”等病毒的专杀工具打包成《“冲击波”整体解决方案包》，免费在各大中城市的软件专卖店进行免费发放。此举将给广大个人、企业用户带来及时有效的防范。同时，金山公司发言人还声称将于近期开展面向中国10万企业举办大规模的金山毒霸网络版的免费发放工作，以进一步提升全社会尤其是可能损失更大的企业用户的信息安全意识和水平。

::::::::::::病毒防范知识：常见病毒分类及怎样清除病毒的方式:::::::::::
有了杀毒软件并不意味着高枕无忧了，了解一些病毒知识对于使用好你手头的杀毒软件有帮助。先简单介绍一下病毒的分类，帮助大家对于病毒有一个认识。
　　常见病毒分类
　　1.Windows病毒
　　主要指针对Win9X操作系统的病毒。现在的电脑用户一般都安装Windows系统，Windows病毒一般感染Win9X系统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是WindowsNT系列(包括Windows2000)的计算机。一些Windows病毒不仅在Windows9X上容易感染，还可以感染WinNT上的其它文件。主要感染的文件扩展名为EXE、SCR、DLL、OCX等。
　　2.DOS病毒
　　电脑病毒发展初期因为操作系统大多为DOS系统，指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Windows9X病毒的出现，DOS病毒几乎绝迹。但DOS病毒在Win9X环境中仍可以发生感染，因此若执行染毒文件，Win9X用户也会被感染。
　　3.蠕虫类病毒
　　通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。可以说这是Windows病毒的一个分支，但它比一般只感染EXE文件通过文件传播的Windows病毒更凶狠。像蠕虫病毒尼坶达，它不但会感染EXE文件，还会通过局域网，电子邮件网页等途径进行传播。
　　4.木马类程序
　　之所以叫它是程序而不是病毒，是因为这类的程序定义界限比较模糊。一个木马程序可以被用作正常的途径，也可以被一些别有用心的人利用来做非法的事情。木马程序一般被用来进行远程控制，常被一些别有用心的人用来偷取别人机器上的一些重要文件或是QQ密码等东西。
　　不同类型病毒的清除方式
　　1.感染EXE文件的病毒
　　一般对于此类染毒文件，杀毒软件可以安全地清除文件中的病毒代码还你一个干净的文件(即：清除病毒后文件还能正常使用)。但也有一些病毒因为编写时的BUG或编写者的恶毒用心，感染的文件清除病毒后可能也无法正常地使用。如：被求职信感染的EXE文件，清除病毒后就可能无法正常使用。
　　特别说明：有些EXE文件是由病毒生成的，并不是感染了病毒的文件，对于这样的文件杀毒软件采取的就是删除文件操作，即：按下“清除病毒”=“删除病毒文件”。
　　2.感染了DOC，XLS等Office文档的宏病毒
　　此类病毒一般杀毒软件都能安全清除病毒，清除病毒后的文件可以正常使用。
　　3.木马类程序
　　此类程序其程序本身就是一个危害系统的文件，所以杀毒软件对它的操作都是删除文件，即：“清除病毒”=“删除病毒文件”。
　　最后提醒大家，注意定期更新你的杀毒软件和给系统打补丁，别等到暴风骤雨来了以后才慌乱打补丁升级。

:::::::::::::::防范技巧：如何全面防范和抵制黑客攻击::::::::::::::::::

先谈谈怎样发现您的电脑被入侵。
　
　　那些“病毒”文件都存放在D:\winnt\system32\hack\下，有nc.exe、opentelnet.exe等。明显这些不是病毒，而是黑客工具，若您电脑有这种情况，说明电脑被黑客入侵了。
　　进入了D:\Documents and settings\，发现除了使用的Administrator用户和默认的ALL USERS文件夹之外，还多出了一个Justme文件夹。这类黑客都是先给系统添加一个合法用户，再打开服务器的终端服务登入，最后把这些服务器作为跳板来入侵别人的。打开services.msc，若发现服务中多了一个Terminal Services。则您的电脑也被入侵.
拒绝黑客　　
　　从服务器管理中删除这个Justme用户后，开始查找黑客可能留下的后门。运行cmd.exe并输入netstat -an，发现在一些正常的端口中多出了一个可疑7777端口。用TELNET去连接它，返回了一个指向D:\winnt\system32\hack\的路径，并且随意输入一个命令它都能够正确执行。看来这的确是黑客留下的一个后门，那它使用的是哪个程序呢？下面我要查看系统的进程。
　　在进程管理中，看到了一个十分不愿意看到的进程——svchosts.exe。它无法手工结束，每次结束的操作都会弹出一个拒绝访问的提示框。看来是我目前的权限不够，那么这个比Administrators权限还要高的进程一定是以System权限运行的。当我再次打开service.msc时，发现一个叫Kent的服务，所执行的文件就是这个svchosts.exe。于是马上终止了这个服务，并找工具删除了它。就这样，可恶的进程和它的7777端口一起消失了。再仔细地通查了注册表和服务的DLL，直到确定全部安全为止。
　　这个黑客是怎么进来的呢？我看了看安装过的安全补丁，发现只有微软MS-03049号安全公告中的补丁未打上，并且Windows事件查看器里也有WORKSTATION服务异常的记录。这下可以确定黑客是通过MS-03049的安全漏洞进入了表弟的电脑。接下来的事情就是打补丁，安装并开启防火墙。
骚扰黑客　　
　　从hack文件夹里复制了nc.exe到C盘，然后把其他文件删除。运行cmd.exe后.在C:\下新建了一个文本文件haha.txt，写上一些话后保存。在cmd窗口中输入“c:\nc.exe -vv -L -p 7777 < c:\haha.txt”，看到屏幕显示了“listening on [any] 7777 ...”而把这个cmd窗口放在那里，只时不时地注意一下动静。这是因为，黑客一旦发现失去了这台电脑的控制权，就会利用他所布置的后门再次入侵。利用这个心理，骚扰黑客.

::::::::::::防范Linux系统下缓冲区溢出漏洞攻击::::::::::::::

虽然Linux病毒屈指可数，但是基于缓冲区溢出（Buffer Overflow）漏洞的攻击还是让众多Linux用户大吃一惊。所谓“世界上第一个Linux病毒”——reman，严格地说并不是真正的病毒，它实质上是一个古老的、在Linux/Unix（也包括Windows等系统）世界中早已存在的“缓冲区溢出”攻击程序。reman只是一个非常普通的、自动化了的缓冲区溢出程序，但即便如此，也已经在Linux界引起很大的恐慌。
　　缓冲区溢出漏洞是一个困扰了安全专家30多年的难题。简单来说，它是由于编程机制而导致的、在软件中出现的内存错误。这样的内存错误使得黑客可以运行一段恶意代码来破坏系统正常地运行，甚至获得整个系统的控制权。
　　Linux系统特性
　　利用缓冲区溢出改写相关内存的内容及函数的返回地址，从而改变代码的执行流程，仅能在一定权限范围内有效。因为进程的运行与当前用户的登录权限和身份有关，仅仅能够制造缓冲区溢出是无法突破系统对当前用户的权限设置的。因此尽管可以利用缓冲区溢出使某一程序去执行其它被指定的代码，但被执行的代码只具有特定的权限，还是无法完成超越权限的任务。
　　但是，Linux（包括Unix）系统本身的一些特性却可以被利用来冲破这种权限的局限性，使得能够利用缓冲区溢出获得更高的、甚至是完全的权限。主要体现在如下两方面：
　　1．Linux（包括Unix）系统通过设置某可执行文件的属性为SUID或SGID，允许其它用户以该可执行文件拥有者的用户ID或用户组ID来执行它。如果该可执行文件的属性是root，同时文件属性被设置为SUID，则该可执行文件就存在可利用的缓冲区溢出漏洞，可以利用它以root的身份执行特定的、被另外安排的代码。既然能够使得一个具有root权限的代码得以执行，就能够产生一个具有超级用户root权限的Shell，那么掌握整个系统的控制权的危险就产生了。
　　2．Linux（包括Unix）中的许多守护进程都是以root权限运行。如果这些程序存在可利用的缓冲区溢出，即可直接使它以root身份去执行另外安排的代码，而无须修改该程序的SUID或SGID属性。这样获得系统的控制权将更加容易。
　　随着现代网络技术的发展和网络应用的深入，计算机网络所提供的远程登录机制、远程调用及执行机制是必须的。这使得一个匿名的Internet用户有机会利用缓冲区溢出漏洞来获得某个系统的部分或全部控制权。实际上，以缓冲区溢出漏洞为攻击手段的攻击占了远程网络攻击中的绝大多数，这给Linux系统带来了极其严重的安全威胁。
　　途径分析
　　通常情况下攻击者会先攻击root程序，然后利用缓冲区溢出时发生的内存错误来执行类似“exec（sh）”的代码，从而获得root的一个Shell。为了获得root权限的Shell，攻击者需要完成如下的工作：
　　1．在程序的地址空间内安排适当的特定代码。一般使用如下两种方法在被攻击的程序地址空间内安排攻击代码。
　　2．通过适当地初始化寄存器和存储器，使程序在发生缓冲区溢出时不能回到原来的执行处，而是跳转到被安排的地址空间执行。
　　当攻击者找到一种途径可以改变原程序的执行代码和流程时，攻击的危险就产生了。
　　防范措施
　　Linux下的缓冲区溢出攻击威胁既来自于软件的编写机制，也来自于Linux（和Unix）系统本身的特性。实际上，缓冲区溢出攻击及各种计算机病毒猖獗的根本原因在于现代计算机系统都是采用冯·诺依曼“存储程序”的工作原理。这一基本原理使得程序和数据都可以在内存中被繁殖、拷贝和执行。因此，要想有效地防范缓冲区溢出攻击就应该从这两个方面双管其下。
　　确保代码正确安全
　　缓冲区溢出攻击的根源在于编写程序的机制。因此，防范缓冲区溢出漏洞首先应该确保在Linux系统上运行的程序（包括系统软件和应用软件）代码的正确性，避免程序中有不检查变量、缓冲区大小及边界等情况存在。比如，使用grep工具搜索源代码中容易产生漏洞的库调用，检测变量的大小、数组的边界、对指针变量进行保护，以及使用具有边界、大小检测功能的C编译器等。
　　基于一定的安全策略设置系统
　　攻击者攻击某一个Linux系统，必须事先通过某些途径对要攻击的系统做必要的了解，如版本信息等，然后再利用系统的某些设置直接或间接地获取控制权。因此，防范缓冲区溢出攻击的第二个方面就是对系统设置实施有效的安全策略。这些策略种类很多，由于篇幅有限只列举几个典型措施：
　　（1）在装有Telnet服务的情况下，通过手工改写“/etc/inetd.conf”文件中的Telnet设置，使得远程登录的用户无法看到系统的提示信息。具体方法是将Telnet设置改写为：
　　telnet stream tcp nowait root /usr/sbin/tcpd/in.telnetd -h

　　末尾加上“-h”参数可以让守护进程不显示任何系统信息，只显示登录提示。
（2）改写“rc.local”文件。默认情况下，当登录Linux系统时系统运行rc.local文件，显示该Linux发行版本的名字、版本号、内核版本和服务器名称等信息，这使得大量系统信息被泄露。将“rc.local”文件中显示这些信息的代码注释掉，可以使系统不显示这些信息。
　　一种方法是在显示这些信息的代码行前加“#”：
……
# echo "">/etc/issue
# echo "$R">>/etc/issue
# echo "Kernel $ (uname -r)on $a $(uname -m)">>/etc/issue
#
# echo >>/etc/issue
……
　　另一种方法是将保存有系统信息的文件/etc/issue.net和issue删除。这两个文件分别用于在远程登录和本地登录时向用户提供相关信息。删除这两个文件的同时，仍需要完成方法一中的注释工作，否则，系统在启动时将会自动重新生成这两个文件。
　　（3）禁止提供finger服务。在Linux系统中，使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息。禁止提供finger服务的有效方法是，通过修改该文件属性、权限（改为600）使得只有root用户才可以执行该命令。
　　（4）处理“inetd.conf”文件。Linux系统通过inetd（超级服务器）程序根据网络请求装入网络程序。该程序通过“/etc/inetd.conf”文件获得inetd在监听哪些网络端口，为每个端口启动哪些特定服务等信息。因此，该文件同样会泄露大量的敏感信息。解决问题的方法是，通过将其权限改为600只允许root用户访问，并通过改写“/etc/inetd.conf”文件将不需要的服务程序禁止掉，最后修改该文件的属性使其不能被修改。
　　结束语
　　缓冲区溢出攻击之所以能成为一种常见的攻击手段，其原因在于缓冲区溢出漏洞太普遍，且易于实现攻击，因此缓冲区溢出问题一直是个难题。
　　所幸的是，OpenBSD开发组为解决这一安全难题采用了三种新的有效策略。相信不久的将来，Linux用户可以不再为缓冲区溢出攻击而寝食难安了。
RAR文件在Linux下用起来
要在Linux下处理.rar文件，需要安装RAR for Linux。该软件可以从网上下载，但要记住，它不是免费的。大家可从http://www.onlinedown.net/sort/125_1.htm下载RAR for Linux 3.2.0，然后用下面的命令安装：
# tar -xzpvf rarlinux-3.2.0.tar.gz
# cd rar
# make

　　安装后就有了rar和unrar这两个程序，rar是压缩程序，unrar是解压程序。它们的参数选项很多，这里只做简单介绍，依旧举例说明一下其用法：
# rar a all *.mp3

　　这条命令是将所有.mp3的文件压缩成一个rar包，名为all.rar，该程序会将.rar 扩展名将自动附加到包名后。
# unrar e all.rar

　　这条命令是将all.rar中的所有文件解压出来。

:::::::::::::::数据恢复：从电脑硬盘的数据结构谈起:::::::::::::::
说到数据恢复，我们就不能不提到硬盘的数据结构、文件的存储原理，甚至操作系统的启动流程，这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据，理解了这些知识（即使只是稍微多知道一些），对于你平时的电脑操作和应用也是很有帮助的。
　　
　　硬盘数据结构
　　初买来一块硬盘，我们是没有办法使用的，你需要将它分区、格式化，然后再安装上操作系统才可以使用。就拿我们恢毖赜玫较衷诘腤in9x/Me系列来说，我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分（其中只有主引导扇区是唯一的，其它的随你的分区数的增加而增加）。
　　主引导扇区
　　主引导扇区位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR（Main Boot Record）和分区表DPT（Disk Partition Table）。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区）调入内存加以执行。至于分区表，很多人都知道，以80H或00H为开始标志，以55AAH为结束标志，共64字节，位于本扇区的最末端。值得一提的是，MBR是由分区程序（例如DOS 的Fdisk.exe）产生的，不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个，只要它能完成前述的任务即可，这也是为什么能实现多系统启动的原因（说句题外话:正因为这个主引导记录容易编写，所以才出现了很多的引导区病毒）。
　　操作系统引导扇区
　　OBR（OS Boot Record）即操作系统引导扇区，通常位于硬盘的0磁道1柱面1扇区（这是对于DOS来说的，对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区），是操作系统可直接访问的第一个扇区，它也包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的本分区参数记录表。其实每个逻辑分区都有一个OBR，其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件（例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就把第一个文件读入内存，并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元（Allocation Unit，以前也称之为簇）的大小等重要参数。OBR由高级格式化程序产生（例如DOS 的Format.com）。
　　文件分配表
　　FAT(File Allocation Table)即文件分配表，是DOS/Win9x系统的文件寻址系统，为了数据安全起见，FAT一般做两个，第二FAT为第一FAT的备份, FAT区紧接在OBR之后，其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择，Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式，但除此以外并非没有其它格式的FAT，像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
　　目录区
　　DIR是Directory即根目录区的简写，DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置，FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件（目录）的起始单元（这是最重要的）、文件的属性等。定位文件位置时，操作系统根据DIR中的起始单元，结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后，才是真正意义上的数据存储区，即DATA区。
　　数据区
　　DATA虽然占据了硬盘的绝大部分空间，但没有了前面的各部分，它对于我们来说，也只能是一些枯燥的二进制代码，没有任何意义。在这里有一点要说明的是，我们通常所说的格式化程序（指高级格式化，例如DOS下的Format程序），并没有把DATA区的数据清除，只是重写了FAT表而已，至于分区硬盘，也只是修改了MBR和OBR，绝大部分的DATA区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破坏的话，也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是，如果你经常整理磁盘，那么你的数据区的数据可能是连续的，这样即使MBR/FAT/DIR全部坏了，我们也可以使用磁盘编辑软件（比如DOS下的DiskEdit），只要找到一个文件的起始保存位置，那么这个文件就有可能被恢复（当然了，这需要一个前提，那就是你没有覆盖这个文件……）。
　　硬盘分区方式
　　我们平时说到的分区概念，不外乎三种:主分区、扩展分区和逻辑分区。
　　主分区是一个比较单纯的分区，通常位于硬盘的最前面一块区域中，构成逻辑C磁盘。在主分区中，不允许再建立其它逻辑磁盘。
　　扩展分区的概念则比较复杂，也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间，而每个分区的参数占据16个字节，故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据，如果说逻辑磁盘就是分区，则系统最多只允许4个逻辑磁盘。对于具体的应用，4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用，系统引入了扩展分区的概念。
　　所谓扩展分区，严格地讲它不是一个实际意义的分区，它仅仅是一个指向下一个分区的指针，这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外，仅需要存储一个被称为扩展分区的分区数据，通过这个扩展分区的数据可以找到下一个分区（实际上也就是下一个逻辑磁盘）的起始位置，以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘，在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
　　需要特别注意的是，由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的，因此，若单�

Zhlw.com - 中华龙网