【www.guakaob.com--安全师考试】
关闭Windows不必要服务,电脑更安全
Windows集成了许多功能和服务,所以在很多领域得以应用;但是有很多服务是我们个人用户所用不到的,开启只会浪费内存和资源,并且成为黑客和病毒攻击的靶子,而且,还影响启动速度和运行速度。关掉大部分没用的服务以后,系统的资源占用率有了大幅度的下降,系统运行当然也就更加顺畅了。
关闭服务的方法:我的电脑-控制面板-管理工具-服务。设定时右击一个服务,可以选择“自动”,“手动”或者“禁止”。“自动”为随windows一起启动,“手动”为需要时再启动,“禁止”为任何情况都不启动。
如果调整后电脑出了问题,重新开启那个服务就可以了。方法还是右击一个服务,选择为“自动”,然后点击“启动”按钮立即启动。注意WindowsManagementInstrumentation不能尝试关闭,关闭后将无法设置,只能改注册表了。
以下是每个服务的详细说明。注意:只要开头带*的服务不要关闭!!下面说的关闭就是值设置禁止或者手动。
alerter—错误警报器。(禁止,一般家用计算机根本不需要传送或接收计算机系统管理来的警示)
applicationlayergatewayservice—给与第三者网络共享/防火墙支持的服务,有些防火墙/网络共享软件需要。(例如瑞星某版本的防火墙等),可设为手动。
applicationmanagement—用于设定、发布和删除软件服务。(不要改动它)
automaticupdates—windows自动打补丁!(正版windows开启自动。盗版建议手动。手工升级windows点击“开始”-windosupdate,或者利用360补漏洞)
backgroundintelligenttransferservice—打补丁时需要用它来传输。(建议手动,如打补丁遇到网页警告,请开启此服务)
clipbook—用与局域网电脑来共享/粘贴/剪贴的内容。(禁止,等于打开你电脑中的后门让黑客和木马程序攻击你的电脑)
com+Eventsystem—建议设置手动。一些COM+软件需要,需要时会自己启动它。
COM+Eventsystemapplication—同上(不说了)
Computerbrowser—用来发现局域网其他电脑,家庭用户禁止它。
cryptographicservices—windows更新时用来确认Windows文件指纹的。(一般可设置为手动或自动,免得在安装某些软件时出现莫名其妙的提示)
DHCPclient—动态IP需要(拨号,xDSL等)(静态ip者可以关闭)
Distributedlinktrackingclient—用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。(一般用户用不到,可以关闭;但企业用户就别关闭了)
DistributedTransactioncoordinator—无聊的东西。(还是一般用户用不到)
DNSClient—DNS解析服务。(还是一般用户用不到;前提是你的电脑不做DNS服务器)
Errorreportingservice—错误报告器,把windows中错误报告给微软。(关,及其让人反感的东东)
*EventLog—系统日志纪录服务,很有用于查找系统毛病。(你要是强行关闭了,你别后悔.....)
Fastuserswitchingcompatibility—多用户快速切换服务。(就是开始-注消中的用户切换,自己决定)
helpandsupport—帮助。(就是开始-帮助;一般可以设置为手动)【我的电脑没有ShellHardwareDetection】
Humaninte***cedevice access—支持“弱智“电脑配件的。比如键盘上调音量的按钮等等(一般不要关闭)
IMAPICD-burningCOMservice—XP刻牒服务,用软件就不用了。(关了吧,没什么用处) Indexingser热血传奇免费挂机外挂vice—索引服务,有些服务器可能需要,恐怖的xp减速的东东!!(个人用户非关它不可!)
InternetConnectionFirewall(ICF)—xp防火墙。(就是XP自带的网络防火墙,关了吧,不如其他杀软的网络防火墙)
IPSECServices—一种加密协议服务。(个人用户就关了吧)
LogicalDiskmanager—磁盘管理服务。(自动或手动)
LogicalDiskmanageradministrativeservice—同上。(不说了)
messenger—不是msn;不想被骚扰的话就关。【我的电脑没有ShellHardwareDetection】
MSsoftwareshadowcopyprovider—无用。(是系统自带的备份工具的服务,我看没什么用) NetLogon—登陆DomainController用的。(大众用户快关!)
Netmeetingremotedesktopsharing—用Netmeeting实现电脑共享。(设为禁止,谁还用它?一个很土的软件,关!)
NetworkConnections—上网/局域网要用的东东!(别关)
NetworkDDE—和Clipbook一起用的。(没啥用,自己决定)
NetworkDDEDSDM—同上(不说了)
NetworkLocationAwareness—如有网络共享或ICS/ICF可能需要。(比如:网吧的服务器必须设置为自动,其他人就不用了)
NTLMSecuritysupportprovider—telnet服务用的东东。(关了吧传奇1.85星王服务端~) NVIDIADriverHelperservice—nvidia显卡帮助。(关了它,可减少2MB内存使用空间) PDEngine—perfectdisk引擎(一般不要动)
PDScheduler—perfectdisk计划服务(同上)
PerFORMancelogsand alerts—记录机器运行状况而且定时写入日志或发警告。(内容可能过于专业,所以~~自己决定)
*PlugandPlay—自动查测新装硬件,(就是即插即用)
Portablemediaserialnumber—绝对无用。(关了吧~)
PrintSpooler—打印机用(就是把准备打印的东东先cache,一般可以关了;但网络打印机就不要关闭了)
ProtectedStorage—储存本地密码和网上服务密码的服务。(常见的有:填表时的“自动完成”功能)
Remoteaccessautoconnectionmanager—宽带者/网络共享可能需要!
Remotedesktophelpsessionmanager—远程帮助服务。(安全(关闭)与方便(自动或手动),你选择哪个?)
*RemoteProcedureCall(RPC)—远程过程调用,系统核心服务!(你敢关它?!)
RemoteProcedureCall LOCATOR—管理RPC数据库服务。(这个倒没什么用)
remoteregistry—远程注册表运行/修改。(大漏洞,还不快关!)<热血传奇私服1.76br />removablestorage—一般情况下不用。(磁带备份用的)
routingandremoteaccess—如果你不知它有什么用,禁止它!
secondarylogon—给与administrator以外的用户分配指定操作权。(默认吧)
securityaccountsmanager—像ProtectedStorage,IISAdmin才需要。(不要修改) server—如果你的电脑用作服务器,就开启它,否则关闭。
shellhardwaredetection—给有些配置自动启动。(例如:U盘和有些cd驱动器等)
smartcard—关。(你还用N年前的设备么?)
smartcardhelper—关!(同上)
SSDPDiscoveryservice—没有什么硬件利用这个服务。(XP的核心果然是N年前的产物) stisvc.exe-stillimageservice,用于控制扫描仪与数码相机连接在windows。
systemeventnotification—记录用户登录/注销/重起/关机信息。(产生的LOG文件足以让你头痛,关了吧)
systemrestoreservice—系统还原服务,吃资源和内存的怪兽。(不说了,自己决定) taskscheduler—windows计划服务。(某些杀软升级必须依赖的服务,你自己决定)
TCP/IPNetBIOShelper—如果你的网络不用Netbios或WINS。(你只有在安全(关闭)与方便(自动或手动)仿盛大传奇私服登陆器中选择)
Telephony—拨号服务。(如果你用的宽带上网,就可以关掉它)
telnet—大漏洞。(系统的大漏洞,这跟dos中telnet命令没关系)
terminalservices—实现远程登录本地电脑,快速用户切换和远程桌面功能需要。(不用这些功能就关了吧)
themes—支持xp华丽的外表。(一般不要关)
uninterruptiblepowersupply—支持UPS的服务。(没有UPS的就关)
universalplugandplaydevicehost—同SSDPDiscoveryService,没用。(关了吧,垃圾就是垃圾)
uploadmanager—用来实现服务器和客户端输送文件的服务。(简单文件传输不需要这个) volumeshadowcopy—同MSSoftwareShadowCopyProvider一样无用。(一个字:关) webclient—可能和以后的.net技术有联系。(安全起见,我关得实实的)
*WindowsAudio—控制着你听到的声音。(关了就没声音了)
WindowsInstaller—windows的MSI安装服务。(建议设成手动)
windowsimageacquisition(WIA)—有些数码相机和扫描器用的。(开着吧,不然,MM通过摄像头就看不到你了,呵呵)
*WindowsManagementInstrumentation—满重要的服务,是管"服务依靠"的。(跟RPC服务是同一个等级)
windows仿盛大传奇客户端下载managementinstrumentationdriver extensions—没上面的重要。(建议设成手动)
windowstime—网上时间校对。(就是屏幕右下角的时间自动校对,没用,关)
wirelesszeroconfiguration—无线网络设置服务。(你在无线局域网中么?)
WMIperformanceadapter—关!(跟上面的WMI不是同一路服务)
*Workstation—访问网络需要,开启。
[顶] 电脑经典故障解决方法集 不断更新中
光驱出现黄色感叹号,找不到盘符的解决办法。
偶的光驱是“HL-DT-ST RW/DVD GCC-4247N”,系统是英文版的WINDOWS XP SP3
最近用不起来了,“我的电脑”里没有光驱的盘符,设备管理器里光驱栏打着黄底黑色的感叹号,属性里写着:“Windows 无法加载这个硬件的设备驱动程序。驱动程序可能已损坏或不见了。 (代码 39)”,可驱动程序明明好好的在C盘。 解决方法如下:进入注册表,到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11C
E-BFC1-08002BE10318} 删除“upperfilter”项和“loweverfilter”项,并卸载光驱驱动,重装搜索并安装后就正常了。
桌面文字有蓝底的解决方法
右键点“我的电脑”,左键点“属性”、“高级”、“设置”、再点“性能”里的“设置”,在“视觉效果”选项卡中选择“自定义”,然后在“在桌面上为图标标签使用阴影”这一条前面保持打勾,然后确定即可。
适用于windows XP和windows 2003。
如果不行,在桌面空白处点右键,“属性”、点“桌面”选项卡,点“自定义桌面”按钮,点“web”选项卡,将“网页”下面方框里的网址全部删除,并保持在“锁定桌面项目”前不要打勾,确定即可。
或者在桌面空白处点右键,“排列图标”下确保“在桌面上锁定web项目”的勾处于没有打上的状态。
如何删除隐藏的网卡
无意中把网卡从PCI插槽拔出,换了一个PCI插槽插入,重启后,winxp提示找到新的网络设备。打开网络连接,重新输入地址,点应用,电脑提示此地址已分配给另外一块网卡,该网卡已在网络文件夹中隐藏,你是否需要重新为此网卡分配地址,点击否即可。出现这个问题,我想是系统为硬件安装了2次网卡驱动,并分别分配硬件资源id了,所以认为是两个网卡适配器,但只有一个工作,当分配ip的时候还会有原来网卡ip的信息才会提示错误。
1、在XP/2K3下显示隐藏设备
我的电脑->属性>高级->环境变量
在“改变当前用户的环境变量”中或“改变系统所有用户的环境变量”中,按“新建” 然后“变量名”为
DEVMGR_SHOW_NONPRESENT_DEVICES,“变量值设”为 1
2、注销
3、打开设备管理器,然后“查看”-->“显示隐藏的设备”,然后删除你不想要的设备。
如何恢复禁用的自动播放功能?
1、开始→运行→regedit→组策略-计算机配置→管理模板→系统→关闭自动播放→已禁用
2、开始→运行→regedit→组策略-用户配置→管理模板→系统→关闭自动播放→已禁用
3、我的电脑→管理→服务和应用程序→服务→Shell Hardware Detection→
为自动播放硬件事件提供通知→自动
4、开始→运行→regedit→HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun更改二进制值成“1”
5、开始→运行
→regedit→HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explroer\NoDriveTypeAutoRun更改二进制值成95 00 00 00
6、DVD-RAM 驱动器→属性→自动播放→每次提醒我选择一个操作
如果你做的更改和我上面说的设置一样的话注销一下就应该可以了,如果还不好的话你就把
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explroer\NoDriveTypeAutoRun里的
NoDriveTypeAutoRun删除掉,然后点右键→新建→二进制值(记住:是二进制值),然后把名字改成NoDriveTypeAutoRun,然后双击在里面输入:95 00 00 00。退出以后注销或重起以后就能用了。
再不能用的话我也没有办法了,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explroer\NoDriveTypeAutoRun里的
NoDriveTypeAutoRun值是DWORD的,在那里面也可以改二进制值,但是在那里面改的话有些电脑管用,有些电脑不行,这时候就要你你把他删除掉,然后再建一个名字一样的 二进制值 里面改成95 00 00 00才可以。
如果你电脑上装有还原卡或还原精灵的话还要保存一下数据,要不你一重起所有更改的数据都将还原,还是不能用。
我的电脑E盘出现文件名为“recycle.{645FF040-5081-101B-9F08-00AA002F954E}”的文件夹,可以重命名,但是删除不掉,如何删掉?
这个文件夹原本是装病毒的,病毒文件杀软已经干掉了。剩下一个"safe."文件夹删不掉。先把
recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹重命名(这只是为了方便,比如重命名为1)
然后开始菜单->运行->cmd,进入e:\1
运行:
rd safe..\ (注意多一个点和反斜杠)
当然也可以直接
rd e:\1\safe..\
就删掉了,外面的文件夹可以直接删除。
用IE6上网一次打开IE会有两个窗口打开,看网页时偶尔出现“试图引用不存在的令牌”跳出50来个窗口,如何解决? XP系统,IE6浏览器,具体表现为:打开一个网页会自动打开另一个空白窗口,每打开一个就会多一个空白窗口;偶尔会出现“试图引用不存在的令牌”跳出几十个窗口,占用很多系统资源;在网页中打开163邮箱中的附件会提示登录的时间过长,需要重新登录,打开IE浏览网页有些页面无法正常显示。
修复过程:用360修复IE无效,查杀木马等未发现异常情况,用Windows 清理助手也未发现异常,用它修复IE后只能打开空白网页,无法打开正常的网页。
解决方法:打开注册表,删除: HKEY_CLASSES_ROOT\CLSID\{c90250f3-4d7d-4991-9b69-a5c5bc1c2ae6}后一切正常!
解决“无法找到运行搜索助理需要的一个文件”
当进行系统"瘦身"操作后或因安装某个程序而破坏系统文件,可能会引发Windows XP搜索助理功能失效。其具体表现为:在执行"搜索"功能后,系统弹出错误对话框,提示"无法找到运行搜索助理需要的一个文件。您可能需要运行安装。"而后,"搜索助手"工具栏将显示一片空白。
其解决方法有三个,其一:打开文件夹"C:\Windows\inf",找到"srchasst.inf"文件,用鼠标单击右键,在弹出菜单中选择"安装"(可能会提示插入系统安装盘);
其二:运行注册表,定位于"HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState",新建字符串"Use Search Asst",设置其值为"NO"。
其三:打开“记事本”,输入下面的内容,然后将内容另存为一个.BAT文件,运行即可。
cd /d "%SystemRoot%\System32"
regsvr32 /u /s msxml3.dll
regsvr32 /s msxml3.dll
如何删除系统临时文件夹中的com1.{21EC2020-3AEA-1069-A2DD-08002B30309D}目录?
用(开始——运行——cmd) rd(空格) /s (空格)X:\XXX\ 提示是否删除,输入Y,回车。
报错,程序正被使用„„。这步就是关键了打开任务管理器 ,结束explorer.exe进程!
再次Y,回车。然后通过任务管理器运行 explorer,又见到桌面了,打开X盘看,那个文件夹不见了吧!
进系统就自动注销解决方案
具体表现为:一进系统就自动注销,正常模式与安全模式都一样。
分析:系统system32目录下的userinit.exe被破坏或注册表userinit.exe路径被修改所致。
修复方法:用深山红叶等能修改系统注册表的winPE光盘。
具体方法:用PE光盘启动,检查userinit.exe是否被破坏或病毒修改,是的话替换一个好的同版本的userinit.exe文件,不是的话就打开编辑注册表程序,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 下面,看是否有Userinit键值。如果没有,新建一个“字符串值”,命名为userinit并用右键修改数值数据为
C:\WINDOWS\System32\userinit.exe,修改后重启电脑,再进系统就可以了!
五种与硬盘相关的蓝屏死机错误解析
当Windows操作系统从错误中恢复时,其还是相当有活力的。即便如此,文件系统崩溃、病毒感染、硬盘控制器故障以及类似的其它灾难都会导致Windows不可恢复的错误。当出现这种情况时,Windows以全屏、非窗口文本模式显示此错误信息,这就是广为人知的"蓝屏死机(BSOD)"。
无论何时出现蓝屏死机(代号BSOD)错误,这个错误都会发送一个Stop消息,这是一个简短的错误消息,提示你有可能引起错误的原因。当由于硬盘的原因导致BSOD错误时,会发送5种不同的Stop消息。下面讲述5种不同的Stop消息的含义。 Stop 0x0000007B or INACCESSIBLE_BOOT_DEVICE
这个错误消息只会在Windows启动时发生。有两种情况会导致这个错误: ● Windows无法初始化硬盘。
● Windows成功初始化硬盘,但是无法识别系统卷上的数据。
我曾经看到过的这类错误发生的原因一般都是由于硬盘控制器的设备驱动器崩溃或者不正确所致。(当系统从SCSI驱动器或RAID磁盘阵列启动时,这种情况尤其普遍。)然而,文件系统崩溃、启动区病毒或者与硬盘硬件问题也会导致这些错误。甚至,当在新系统的硬盘控制器中包含旧式的固件时也会发现这样的错误。 Stop 0x00000050 or PAGE_FAULT_IN_NONPAGED_AREA
实际上,这个特殊的Stop错误通常并不是与硬盘相关,更多的时候,它是由于内存缺陷造成的。当系统试图从内存读取数据,却找不到请求的数据时,就会产生这个错误。
当这个错误是由于硬盘的原因才产生时,通常,其原因可以归结于崩溃的磁盘卷或者是硬盘cache内存缺陷。
Stop 0x00000024 NTFS_FILE_SYSTEM
在新一代的Windows版本中,这个错误信息几乎通常要么是由于NTFS卷上的系统文件崩溃,要么是由于硬盘上存在坏块。无论是这两种情况中的哪一种,我都建议运行chkdsk工具,结合/F开关来更正这个错误。尽管chkdsk能够修复很多硬盘类型的错误,但是使用chkdsk,必须重新安装最新的Windows服务包(或者如果新的服务包还未开发时,需要重新安装Windows),以便覆盖原有的系统文件,呈现全新的版本。
老版本的Windows产生这一类错误信息的原因则不同。如果在共享卷上有太多的文件,AppleTalk驱动器就会触发这个错误信息。使用不兼容的反病毒程序或硬盘工具也有可能引发这类错误。
0x00000077 or KERNEL_STACK_INPAGE_ERROR
这是另一个错误信息,产生这一类错误的原因有好几个。错误本身的意思是,系统尝试从页面文件中读取数据,但是无法定位到请求页面。这通常是由于内存错误或者是存储硬件问题所致,如数据带松开、SCSI终止不正确或者是硬盘上存在坏扇区。如果另一个系统组件与硬盘控制器存在资源冲突,或者是发现病毒时,也会产生这个错误。
Stop 0x0000007A or KERNEL_DATA_INPAGE_ERROR
尽管这个错误涉及的是实际的页面文件数据,而不是堆栈,但是实际上,这个错误被归结为是KERNEL_STACK_INPAGE_ERROR一类的错误。唯一存在的不同就是,这个错误很少发生,当系统在非分页池资源不足的情况下运行时,才会出现这个错误
六招关闭Windows XP自动播放防止病毒
每次把移动硬盘插到USB口就会自动播放,尤其是移动硬盘分了N个区的时候,要手动一个一个的关掉,真是十分的麻烦!怎么样能解决这个问题呢?下面介绍几种关闭移动硬盘或者U盘自动播放的方法供大家参考:
1、 SHIFT按键法
这个方法早在Windows98就用过了吧?好像是哦,反正我最早在关闭自动播放CD的时候就使用的这种方法。插入移动硬盘的时候按住SHIFT键,移动硬盘就不会自动播放啦。
2、 组策略关闭法
在前段时间熊猫烧香流行的时候,网上就流传着使用组策略关闭移动硬盘或者U盘自动关闭功能的方法。具体如:单击“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口。在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。
3、 关闭服务法
在“我的电脑”点击鼠标右键,选择“管理”,在打开的“计算机管理”中找到“服务和应用程序-服务”,然后在右窗格找到“ShellHardwareDetection”服务,这个服务的功能就是为自动播放硬件事件提供通知,双击它,在“状态”中点击“停止”按钮,然后将“启动类型”修改为“已禁用”或者“手动”就可以了。
4、 磁盘操作法
这个方法对WindowsXP有效,也比较好用。打开“我的电脑”,在“硬盘”里面或者在“有可移动的存储设备”下面会看到你的盘符,一般移动硬盘的盘符会在“硬盘”中,U盘或者数码相机什么的在“有可移动的存储设备”中。鼠标右键点击需要关闭自动播放功能的盘符,选择“属性”,在弹出的窗体中选择“自动播放”选项卡,在这里用户可以针对“音乐文件”、“图片”、“视频文件”、“混
合内容”和“音乐CD”五类内容设置不同的操作方式,都选用“不执行操作”即可禁用自动运行功能,“确定”后设置立即生效。这种方法同样使用于针对DVD/CD驱动器。
5、 注册表法
注册表是个麻烦的东西,一般icech不建议使用注册表来修改。但是为了凑条目还是写上吧,呵呵。打开注册表编辑器,展开到
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下,在右窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
NoDriveTypeAutoRun这个键决定了是否执行Autorun功能。其中每一位代表一个设备,不同设备用以下数值表示:
设备名称 第几位 数值 设备用如下数值表示 设备名称含义
DRIVE_UNKNOWN 0 1 01H 不能识别的类型设备
DRIVE_NO_ROOT_DIR 1 0 02H 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04H 可移动驱动器
DRIVE_FIXED 3 0 08H 固定的驱动器
DRIVE_REMOTE 4 1 10H 网络驱动器【我的电脑没有ShellHardwareDetection】
DRIVE_CDROM 5 0 20H 光驱
DRIVE_RAMDISK 6 0 40H RAM磁盘
以上值“0”表示设备运行,“1”表示设备不运行。
6、 软件法
Tweak UI是Microsoft出品的软件,可以针对任何操作系统。使用Tweak UI软件,可以控制任意盘符是否可以自动播放。
注意伪进程病毒
木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序。
即使我们查找出了DLL插入进程,如果它是嵌入在系统基本进程中的,如“svchost.exe”等进程,我们是无法结束其运行的。
遇到此类可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口,并显示相应的应用程序(支持WinNT4/2000/XP)。运行“命令提示符”后,进入fport程序的存储路径,运行它。
要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库。
如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累。推荐一款比较优秀的软件——进程间谍。利用它,可以查看窗口和子窗口句柄、ID、标题,以及父进程ID线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能,试图找出可疑的插入进程。
进程间谍
运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页,在此显示了很多该进程中插入的DLL线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程,例如广外女生的DLL插入线程是“%system32gwboydll.dll”。
注意子进程
一个应用程序运行后,还可能调用其它的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的,并非只有一个层次的子进程)。该应用程序称之为父进程,其所调用的对象称之为子进程。
运行“Process Viewer”程序后,在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”,在弹出对话框中即可以进程树的模式查看相关进程
封杀不可见窗口的进程
对于某些在后台运行的木马服务器,我们从屏幕上当然是看不见的,但如果能够获取隐藏的不可见窗口,就有可能查看到木马的踪影。
《系统查看大师》主程序即可,在其左侧视图中点击“取不可见窗口”按钮。此后,在其右侧的进程列表中就将显示出所有当前运行的未在屏幕上直观显示出的窗口标题,选定其中的可疑窗口后,点击右下端的“结束此窗口”按钮即可。
本文来源:http://www.guakaob.com/jianzhugongchengkaoshi/690343.html
上一篇:安全生产例会等安全生产会议制度