关于病毒防御

常上网不中病毒的很少，本身也常常中，最近看了个病毒防御的讲座，简单的写一下还记得的东西吧，之后中了毒还能够参考一下，呵~

病毒，是指编制或在计算机程序中考入的破坏计算机的功能或者破坏数据而且自我复制，影响计算机使用的程序或代码。

进行计算机的病毒防御主要包括几个方面：

一，合适的杀毒软件以及杀毒方法

这一点，我的认为诺顿很垃圾（上次，把系统文件当病毒杀了的那个是谁来着？忘了...），瑞星通常，卡巴不错。不评论macfee和avast什么的了。不过卡巴至关占用资源，卡吧，死机…就是这么来的。有的时候，有人说病毒杀不掉，不是由于杀毒软件差或者病毒有多猛，只是病毒的主程序在运行，你一边杀，它一边传…永远也杀不干净…

因此杀毒以前要把病毒的主程序关掉，怎么关呢？你并不知道哪个是病毒的主程序，因此咱们的办法是除了不能关的都关掉。系统有一些进程是不能关闭的（关了就蓝屏，死机，60s重启…）这些进程有1-Csrss.exe 2-Lsass.exe 3-Services.exe 4-System 5-Smss.exe 6-svchost.exe 这里就不一一解释了，其中比较特殊的是svchost.exe这个进程，它通常会有几个，长的都同样，数目也不固定，因此不少病毒假装成它的样子。识别它很简单，推荐一个软件：Process explorer.运行它，查看进程，将鼠标移动到那几个svchost上，就会显示出它们所处的位置，若是都在system32的文件夹下就没有问题，否则必定有问题，关掉。

对了，还有，system idle process这个不是进程，是闲置的cpu，千万不要结束它（不知道结不结束的掉…）

刚才那个软件还有一个好处就是能够关闭进程，有些进程是没法在任务管理器里结束的，可是在这个软件里就能够了（能够杀进程到蓝屏死机…）。还有一些进程，你已关闭它它又出来了，这个不是病毒就是服务，是服务就把服务关掉就行了。右键点击“个人电脑”à“管理”à“服务和应用程序”à“服务”。说到这个想起一个东西，其实咱们的系统中有一些服务彻底是没有必要的，却仍是占据着系统内存，你们尽能够把它们关掉，好比有一个服务叫Error Reporting Service，它的官方描述是“服务和应用程序在非标准环境下运行时容许错误报告。”其实就是那个有时候应用程序出错会弹出来的出错窗口，说什么应用程序出现错误，微软感到sorry，请与微软联系什么之类的。其实咱们通常人跟微软联系的机会微乎其微，盗版用户就更别提了，微软很恨这个的，呵~~

在这里介绍一个命令，在运行中输入ntsd –c q –p pid 这个pid是一个进程id，因此你们不要真的打pid三个字母上去，在任务管理器里面有进程对应的进程id你们本身找就行了。对了，XP里默认不显示pid的你们要在“查看à选择列”里把它选出来。

有的人说windows超垃圾，老中病毒，linux就很好。其实，任何事情都是有缘由的，90%以上的终端用户都是使用windows的操做系统的，因此针对它的病毒就多。据专业人士统计（我一哥们儿），针对linux的病毒有一百多种，可是针对ms windows的有300多万种。并且，不少时候跟windows自己并无关系，好比IE浏览器，它集成在windows里，但其实并非ms作的。它漏洞比较多，你大可使用firefox的浏览器嘛~

NT4.0刚推出的时候就达到了C2的安全标准，而那时的linux只有C1（没有***linux的意思，纯属比较）。这个是美国国家安全局制定的安全标准，又叫“橘皮书”。它分为4个大的等级，安全性由高到低依次为A,B,C,D.商用目前最多到C2，美国军用的有B1 B 2 A 1。不过安全级别高，可用性相对也就差了。

又扯远了，回来。

二，注册表

有的时候杀毒软件杀完了毒，过几个小时，病毒又出来了，那么是否是没杀干净呢？不必定的，极可能是你又打开了什么文件致使又中病毒了，就是文件关联。在系统注册表里第一个键值是表明系统识别的文件类型以及打开方式和位置，有的病毒会修改打开方式，把它用病毒文件打开，这就是文件关联。比较容易被关联的文件类型有.txt .exe 等等。因此你们在系统盘外最好不要留.exe的文件，都压缩成.rar的或者.iso的，比较安全。也有一些软件是修复文件关联的，我也不太清楚，你们能够百度一下，所谓“知之为知之，不知百度之”。呵~玩笑而已，google不要生气~~

有的时候病毒关联了.exe你们能够用.com关联了.com的话就比较狠了，你们能够用.srt要是连.srt都关联了就太狠了，那就只有用网络帮助导入注册表，在别人的机器上帮你手动恢复注册表了，中这种病毒命确实衰点儿…(中过的不要打我..;)

对了，有些病毒是放在启动项里的，注册表里users或local machine里有software-->microsoft-->windows-->current version-->run，这里有当前的启动项，没用的都删了吧。进了注册表就能够看见了吧IE和windows是分开的，呵~

这里还有一个run once，这个就是那种不少安装后须要重启的都要在这儿，重启以后继续安装，而后这个键值就别删除了，有些病毒也利用这个，它一检测到你要关机了，就在这里生成一个，而后下次开机，这里的键值已经被删除了，你什么都看不到，可是你已经中毒了。

三，中毒后恢复数据

有不少恢复数据的软件的，你们能够去网上找一下。有几个听说还好的，什么easy recovery 什么R-studio什么Acronis diskeditor的，前两个比较简单，后一个比较慢，不过是直接从硬盘上读数的，听说比较好。问题是咱们为何能恢复数据呢？不是已经把数据从电脑上删除了么？其实，你们想想，往硬盘上写一个 10G 的文件须要多久？删一个 10G 的文件须要多久？因此，数据并无从硬盘上删除，只是删除了文件分配表。什么是文件分配表呢？每个文件都有一个文件分配表，用于指定文件具体写在硬盘上的什么地方。因此删除文件只是删除了文件分配表，格式化分区也只是格式化了分区上的文件分配表而已。在美国，有一种技术，在硬盘上写文件，而后格式化，再写，再格，反复7次，还有可能把第一次写的数据恢复一部分。就算你把硬盘掰碎了，用每个碎片，仍是能够恢复一些数据的。那么，怎么把数据完全删除呢？把硬盘磨成粉…呵~~玩笑~~

哦，对了，你们记得，若是除了光驱以外的分区右键菜单里有自动播放必定是有毒了哦~~

说了这么多了，其实讲起病毒防御的话还有不少，一些建议我也就不提了(什么不要上很差的网站，不要打开不认识的人发的邮件什么的),不少我也不懂，毕竟不是这个领域里的，还有的想到了再不上来吧 ~

ps：刚写完静态路由就写的这个，手都酸了，呵~·

本文出自 “ 慕枫的部落格~” 博客，请务必保留此出处 [url]http://andysea.blog.51cto.com/347525/69665[/url]