保護個人電腦

iwxiaot

現(xiàn)在的網(wǎng)絡(luò),病毒,木馬滿天飛,隨便在一個黑客網(wǎng)站上看一篇關(guān)于木馬的教程,一個菜鳥也能抓到一堆肉雞.殺毒軟件也只能殺已知的木馬,它畢竟是個死東西,靠分析特征碼來殺毒,如果把特征碼改下,加個花指令,加個殼,殺毒軟件又無視了(我以前抓過一些,那些機子里有些有江民,有些有瑞星,有些有卡馬,都沒用,我只不過是把灰鴿子加了個殼,它們就不認(rèn)識了,大家別BS哈,沒搞破壞,試驗一下,主動卸載了,其實很沒意思,不知道為什么有些人這么喜歡.)所以最好還是要知道一些安全常識.
       首先,如何判斷自己中了木馬.如果系統(tǒng)忽然變得很遲鈍,或者沒運行什么東西的情況下硬盤指示燈閃個不停,那要小心了,可能是中招了,(也不排除可能是正在運行的某些軟件發(fā)生異常),打開進程管理器,看看CPU的使用情況,再看看是哪個進程占用大量的CPU,這就要你熟悉系統(tǒng)正常的進程了,我簡單說一下:
                alg.exe 處理Windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻;
                 smss.exe 負(fù)責(zé)操作你系統(tǒng)的對話
        csrss.exe 管理Windows圖形相關(guān)任務(wù)
        dllhost.exe 管理DLL(動態(tài)鏈接庫)應(yīng)用
        explorer.exe 資源管理器的進程,簡單說就是桌面的那些東西,把它刪了桌面就看不到東西了       
        lsass.exe  windows的安全機制,像本地安全,登陸什么的.
        spoolsv.exe  與打印機相關(guān)的進程
        wuaclt.exe和wuauclt.exe 這兩個是windows自動更新的東西,前一個是微軟軟件方面的更新,后一個是windows的更新(下漏洞補丁時會出來)
        taskmgr.exe 就是任務(wù)管理器的進程了.
        winlogon.exe 看名字就知道,登陸方面的.
        hkcmd.exe 關(guān)于intel顯卡方面的.
        services.exe windows服務(wù)方面的.
        ctfmon.exe  關(guān)于輸入法方面的.
        然后還有五到六個svchost.exe這些都是系統(tǒng)相關(guān)的,各有各的任務(wù),我也不太清楚,上網(wǎng)找找就知道了,大概是處理DLL文件什么的吧.
    這些看個二三遍就知道個大概了,我的機子上就這些進程,其他的你們上網(wǎng)查一下就知道了,這些進程CPU的使用率基本都為0(0%-2%),
有不正常的就要小心了,現(xiàn)在的木馬一般不會單獨創(chuàng)建一個進程,它們會寄宿在其他的系統(tǒng)進程中,也就是DLL木馬,像灰鴿子一般是嵌入到iexplorer.exe進程中,這就需要借助工具來看了,我一般用IceSword來看,如果進程里有不知明的DLL模塊,那這個進程IceSword會顯示成紅色.IceSword可以在安全焦點網(wǎng)站下到.看到紅色進程后,當(dāng)然是先刪掉了,然后就在"開始"--"運行"框里輸入msconfig,這彈出一個對話框,里面有服務(wù),啟動什么的,關(guān)于服務(wù),勾上下面那個"隱藏所有Microsoft服務(wù)",就會顯示出系統(tǒng)以外的服務(wù),看著辦吧,我是一個都沒有,如果你有殺毒軟件的話就應(yīng)該會有一些服務(wù).然后是啟動標(biāo)簽下的,我的機子上是:TINTSETP(字體相關(guān)),hkcmd(顯卡相關(guān)),pfw(防火墻),ctfmon(輸入法相關(guān)).一般都這些.看到名字怪怪的,上網(wǎng)找下沒找到的,記住它的名字和位置,把勾去掉,確定.然后就是找了,在system32文件夾下找,在注冊表里找,在服務(wù)里找,找到后刪,刪不掉進安全模式刪.找的方法下次再說,語文水平不好,寫個貼子亂七八糟的.