關於病毒防禦

常上網不中病毒的很少，本身也常常中，最近看了個病毒防禦的講座，簡單的寫一下還記得的東西吧，之後中了毒還能夠參考一下，呵~

病毒，是指編制或在計算機程序中考入的破壞計算機的功能或者破壞數據而且自我複製，影響計算機使用的程序或代碼。

進行計算機的病毒防禦主要包括幾個方面：

一，合適的殺毒軟件以及殺毒方法

這一點，我的認爲諾頓很垃圾（上次，把系統文件當病毒殺了的那個是誰來着？忘了...），瑞星通常，卡巴不錯。不評論macfee和avast什麼的了。不過卡巴至關佔用資源，卡吧，死機…就是這麼來的。有的時候，有人說病毒殺不掉，不是由於殺毒軟件差或者病毒有多猛，只是病毒的主程序在運行，你一邊殺，它一邊傳…永遠也殺不乾淨…

因此殺毒以前要把病毒的主程序關掉，怎麼關呢？你並不知道哪個是病毒的主程序，因此咱們的辦法是除了不能關的都關掉。系統有一些進程是不能關閉的（關了就藍屏，死機，60s重啓…）這些進程有1-Csrss.exe 2-Lsass.exe 3-Services.exe 4-System 5-Smss.exe 6-svchost.exe 這裏就不一一解釋了，其中比較特殊的是svchost.exe這個進程，它通常會有幾個，長的都同樣，數目也不固定，因此不少病毒假裝成它的樣子。識別它很簡單，推薦一個軟件：Process explorer.運行它，查看進程，將鼠標移動到那幾個svchost上，就會顯示出它們所處的位置，若是都在system32的文件夾下就沒有問題，否則必定有問題，關掉。

對了，還有，system idle process這個不是進程，是閒置的cpu，千萬不要結束它（不知道結不結束的掉…）

剛纔那個軟件還有一個好處就是能夠關閉進程，有些進程是沒法在任務管理器裏結束的，可是在這個軟件裏就能夠了（能夠殺進程到藍屏死機…）。還有一些進程，你已關閉它它又出來了，這個不是病毒就是服務，是服務就把服務關掉就行了。右鍵點擊「個人電腦」à「管理」à「服務和應用程序」à「服務」。說到這個想起一個東西，其實咱們的系統中有一些服務徹底是沒有必要的，卻仍是佔據着系統內存，你們盡能夠把它們關掉，好比有一個服務叫Error Reporting Service，它的官方描述是「服務和應用程序在非標準環境下運行時容許錯誤報告。」其實就是那個有時候應用程序出錯會彈出來的出錯窗口，說什麼應用程序出現錯誤，微軟感到sorry，請與微軟聯繫什麼之類的。其實咱們通常人跟微軟聯繫的機會微乎其微，盜版用戶就更別提了，微軟很恨這個的，呵~~

在這裏介紹一個命令，在運行中輸入ntsd –c q –p pid 這個pid是一個進程id，因此你們不要真的打pid三個字母上去，在任務管理器裏面有進程對應的進程id你們本身找就行了。對了，XP裏默認不顯示pid的你們要在「查看à選擇列」裏把它選出來。

有的人說windows超垃圾，老中病毒，linux就很好。其實，任何事情都是有緣由的，90%以上的終端用戶都是使用windows的操做系統的，因此針對它的病毒就多。據專業人士統計（我一哥們兒），針對linux的病毒有一百多種，可是針對ms windows的有300多萬種。並且，不少時候跟windows自己並無關係，好比IE瀏覽器，它集成在windows裏，但其實並非ms作的。它漏洞比較多，你大可使用firefox的瀏覽器嘛~

NT4.0剛推出的時候就達到了C2的安全標準，而那時的linux只有C1（沒有***linux的意思，純屬比較）。這個是美國國家安全局制定的安全標準，又叫「橘皮書」。它分爲4個大的等級，安全性由高到低依次爲A,B,C,D.商用目前最多到C2，美國軍用的有B1 B 2 A 1。不過安全級別高，可用性相對也就差了。

又扯遠了，回來。

二，註冊表

有的時候殺毒軟件殺完了毒，過幾個小時，病毒又出來了，那麼是否是沒殺乾淨呢？不必定的，極可能是你又打開了什麼文件致使又中病毒了，就是文件關聯。在系統註冊表裏第一個鍵值是表明系統識別的文件類型以及打開方式和位置，有的病毒會修改打開方式，把它用病毒文件打開，這就是文件關聯。比較容易被關聯的文件類型有.txt .exe 等等。因此你們在系統盤外最好不要留.exe的文件，都壓縮成.rar的或者.iso的，比較安全。也有一些軟件是修復文件關聯的，我也不太清楚，你們能夠百度一下，所謂「知之爲知之，不知百度之」。呵~玩笑而已，google不要生氣~~

有的時候病毒關聯了.exe你們能夠用.com關聯了.com的話就比較狠了，你們能夠用.srt要是連.srt都關聯了就太狠了，那就只有用網絡幫助導入註冊表，在別人的機器上幫你手動恢復註冊表了，中這種病毒命確實衰點兒…(中過的不要打我..;)

對了，有些病毒是放在啓動項裏的，註冊表裏users或local machine裏有software-->microsoft-->windows-->current version-->run，這裏有當前的啓動項，沒用的都刪了吧。進了註冊表就能夠看見了吧IE和windows是分開的，呵~

這裏還有一個run once，這個就是那種不少安裝後須要重啓的都要在這兒，重啓以後繼續安裝，而後這個鍵值就別刪除了，有些病毒也利用這個，它一檢測到你要關機了，就在這裏生成一個，而後下次開機，這裏的鍵值已經被刪除了，你什麼都看不到，可是你已經中毒了。

三，中毒後恢復數據

有不少恢復數據的軟件的，你們能夠去網上找一下。有幾個聽說還好的，什麼easy recovery 什麼R-studio什麼Acronis diskeditor的，前兩個比較簡單，後一個比較慢，不過是直接從硬盤上讀數的，聽說比較好。問題是咱們爲何能恢復數據呢？不是已經把數據從電腦上刪除了麼？其實，你們想想，往硬盤上寫一個 10G 的文件須要多久？刪一個 10G 的文件須要多久？因此，數據並無從硬盤上刪除，只是刪除了文件分配表。什麼是文件分配表呢？每個文件都有一個文件分配表，用於指定文件具體寫在硬盤上的什麼地方。因此刪除文件只是刪除了文件分配表，格式化分區也只是格式化了分區上的文件分配表而已。在美國，有一種技術，在硬盤上寫文件，而後格式化，再寫，再格，反覆7次，還有可能把第一次寫的數據恢復一部分。就算你把硬盤掰碎了，用每個碎片，仍是能夠恢復一些數據的。那麼，怎麼把數據完全刪除呢？把硬盤磨成粉…呵~~玩笑~~

哦，對了，你們記得，若是除了光驅以外的分區右鍵菜單裏有自動播放必定是有毒了哦~~

說了這麼多了，其實講起病毒防禦的話還有不少，一些建議我也就不提了(什麼不要上很差的網站，不要打開不認識的人發的郵件什麼的),不少我也不懂，畢竟不是這個領域裏的，還有的想到了再不上來吧 ~

ps：剛寫完靜態路由就寫的這個，手都酸了，呵~·

本文出自「慕楓的部落格~」博客，請務必保留此出處 [url]http://andysea.blog.51cto.com/347525/69665[/url]