关于病毒防护 关于病毒防护_职场
2008-04-02 21:34:17
 标签:病毒 数据恢复    [推送到博客圈]

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。[url]http://andysea.blog.51cto.com/347525/69665[/url]
 
常上网不中病毒的不多,自己也经常中,最近看了个病毒防护的讲座,简单的写一下还记得的东西吧,以后中了毒还可以参考一下,呵~
病毒,是指编制或在计算机程序中考入的破坏计算机的功能或者破坏数据并且自我复制,影响计算机使用的程序或代码。
进行计算机的病毒防护主要包括几个方面:
 
一,合适的杀毒软件以及杀毒方法
 
这一点,个人认为诺顿很垃圾(上次,把系统文件当病毒杀了的那个是谁来着?忘了...),瑞星一般,卡巴不错。不评论macfeeavast什么的了。不过卡巴相当占用资源,卡吧,死机就是这么来的。有的时候,有人说病毒杀不掉,不是因为杀毒软件差或者病毒有多猛,只是病毒的主程序在运行,你一边杀,它一边传永远也杀不干净
所以杀毒之前要把病毒的主程序关掉,怎么关呢?你并不知道哪一个是病毒的主程序,所以我们的办法是除了不能关的都关掉。系统有一些进程是不能关闭的(关了就蓝屏,死机,60s重启)这些进程有1-Csrss.exe 2-Lsass.exe 3-Services.exe 4-System 5-Smss.exe 6-svchost.exe 这里就不一一解释了,其中比较特殊的是svchost.exe这个进程,它一般会有几个,长的都一样,数目也不固定,所以很多病毒伪装成它的样子。识别它很简单,推荐一个软件:Process explorer.运行它,查看进程,将鼠标移动到那几个svchost上,就会显示出它们所处的位置,如果都在system32的文件夹下就没有问题,不然一定有问题,关掉。
对了,还有,system idle process这个不是进程,是闲置的cpu,千万不要结束它(不知道结不结束的掉
刚才那个软件还有一个好处就是可以关闭进程,有些进程是无法在任务管理器里结束的,但是在这个软件里就可以了(可以杀进程到蓝屏死机)。还有一些进程,你已关闭它它又出来了,这个不是病毒就是服务,是服务就把服务关掉就好了。右键点击“我的电脑”à“管理”à“服务和应用程序”à“服务”。说到这个想起一个东西,其实我们的系统中有一些服务完全是没有必要的,却还是占据着系统内存,大家尽可以把它们关掉,比如有一个服务叫Error Reporting Service,它的官方描述是“服务和应用程序在非标准环境下运行时允许错误报告。”其实就是那个有时候应用程序出错会弹出来的出错窗口,说什么应用程序出现错误,微软感到sorry,请与微软联系什么之类的。其实我们一般人跟微软联系的机会微乎其微,盗版用户就更别提了,微软很恨这个的,呵~~
在这里介绍一个命令,在运行中输入ntsd –c q –p pid 这个pid是一个进程id,所以大家不要真的打pid三个字母上去,在任务管理器里面有进程对应的进程id大家自己找就好了。对了,XP里默认不显示pid的大家要在“查看à选择列”里把它选出来。
有的人说windows超垃圾,老中病毒,linux就很好。其实,任何事情都是有原因的,90%以上的终端用户都是使用windows的操作系统的,所以针对它的病毒就多。据专业人士统计(我一哥们儿),针对linux的病毒有一百多种,但是针对ms windows的有300多万种。而且,很多时候跟windows本身并没有关系,比如IE浏览器,它集成在windows里,但其实并不是ms做的。它漏洞比较多,你大可以使用firefox的浏览器嘛~
NT4.0刚推出的时候就达到了C2的安全标准,而那时的linux只有C1(没有攻击linux的意思,纯属比较)。这个是美国国家安全局制定的安全标准,又叫“橘皮书”。它分为4个大的等级,安全性由高到低依次为A,B,C,D.商用目前最多到C2,美国军用的有B1 B2 A1。不过安全级别高,可用性相对也就差了。
又扯远了,回来。
 
 
二,注册表
 
有的时候杀毒软件杀完了毒,过几个小时,病毒又出来了,那么是不是没杀干净呢?不一定的,很可能是你又打开了什么文件导致又中病毒了,就是文件关联。在系统注册表里第一个键值是代表系统识别的文件类型以及打开方式和位置,有的病毒会修改打开方式,把它用病毒文件打开,这就是文件关联。比较容易被关联的文件类型有.txt .exe 等等。所以大家在系统盘外最好不要留.exe的文件,都压缩成.rar的或者.iso的,比较安全。也有一些软件是修复文件关联的,我也不太清楚,大家可以百度一下,所谓“知之为知之,不知百度之”。呵~玩笑而已,google不要生气~~
有的时候病毒关联了.exe大家可以用.com关联了.com的话就比较狠了,大家可以用.srt要是连.srt都关联了就太狠了,那就只有用网络帮助导入注册表,在别人的机器上帮你手动恢复注册表了,中这种病毒命确实衰点儿…(中过的不要打我..;)
对了,有些病毒是放在启动项里的,注册表里userslocal machine里有software-->microsoft-->windows-->current version-->run,这里有当前的启动项,没用的都删了吧。进了注册表就可以看见了吧IEwindows是分开的,呵~
这里还有一个run once,这个就是那种很多安装后需要重启的都要在这儿,重启之后继续安装,然后这个键值就别删除了,有些病毒也利用这个,它一检测到你要关机了,就在这里生成一个,然后下次开机,这里的键值已经被删除了,你什么都看不到,但是你已经中毒了。
 
 
三,中毒后恢复数据
 
有很多恢复数据的软件的,大家可以去网上找一下。有几个据说还好的,什么easy recovery 什么R-studio什么Acronis diskeditor的,前两个比较简单,后一个比较慢,不过是直接从硬盘上读数的,据说比较好。问题是我们为什么能恢复数据呢?不是已经把数据从电脑上删除了么?其实,大家想一想,往硬盘上写一个10G的文件需要多久?删一个10G的文件需要多久?所以,数据并没有从硬盘上删除,只是删除了文件分配表。什么是文件分配表呢?每一个文件都有一个文件分配表,用于指定文件具体写在硬盘上的什么地方。所以删除文件只是删除了文件分配表,格式化分区也只是格式化了分区上的文件分配表而已。在美国,有一种技术,在硬盘上写文件,然后格式化,再写,再格,反复7次,还有可能把第一次写的数据恢复一部分。就算你把硬盘掰碎了,用每一个碎片,还是可以恢复一些数据的。那么,怎么把数据彻底删除呢?把硬盘磨成粉~~玩笑~~
  
       哦,对了,大家记得,如果除了光驱之外的分区右键菜单里有自动播放一定是有毒了哦~~
 
    说了这么多了,其实讲起病毒防护的话还有很多,一些建议我也就不提了(什么不要上不好的网站,不要打开不认识的人发的邮件什么的),很多我也不懂,毕竟不是这个领域里的,还有的想到了再不上来吧~
       ps:刚写完静态路由就写的这个,手都酸了,呵~·
本文出自 “慕枫的部落格~” 博客,请务必保留此出处[url]http://andysea.blog.51cto.com/347525/69665[/url]