防杀病毒学习记录2

      让工作更简单 2008-8-3 18:51
1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE---这个是针对本地计算机的 整个计算机


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
【28.8疯狂售】原单Kitty猫 长袖牛仔裙/风衣/可配亲子装
28.8元 


2、在自动加载处加载

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

安装一次要重启的的键值 运行一次 读完即清空

3、将来源文件更改
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup 中有一个SourcePath
有存储的地址  注意是否有修改

4、将删除面板去掉
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

如果删除这个键值 那么在删除面板就看不到对应的程序了

5、隐藏功能被关闭

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
下有2个:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
showall    文件隐藏和查看    经常被修改的键值

hidden  其中有一个1被改成了其他 CheckedValue

6、exploer被加载
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell  应该是 exploer.exe
Userinit  注意后面有一个逗号 C:\WINDOWS\system32\userinit.exe,

7、服务被改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

关键1:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

关键2:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

记录的都是服务  ----病毒装成服务

比如:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs

Start  的键值被改 如2自动改成4禁用  3手动

8、regedit 可以改成EXE  SCR COM或远程控制

9、隐藏C$ E$

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

加入一个1键值将隐藏共享全部取消

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
这个很有用

默认的Windows共享大体可分为三类:第一类是“ADMIN$ ”共享,它所指向的就是当前的系统工作目录 (WINNT目录)。第二类是类似于“C$ 、D$ 、E$ ……”的共享,它指向的其实就是本机上每个磁盘分区的根目录。而最后一类则是“IPC$ ”,它就是 我们常说的“共享命名管道”,而著名的空连接漏洞也正是利用了这个IPC$ .

修改注册表法

  方便指数:★★★

推荐指数:★★★★★

方案优势:可以从根本上解决系统自动启动默认共享的问题

负 作 用:需要执行注册表操作,略显麻烦

适用环境:该方案适合普通电脑系统及服务器系统

        关闭分区默认共享(如C$ 、D$ 、E$ ……)

1. 点击“开始”菜单→“运行”,在弹出的“运行”对话框中输入“regedit”后回车,打开注册表编辑器

2. 展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注册表项

3. 双击右窗格中的“AutoShareServer”,将它的键值改为“0”即可。

        关闭管理默认共享(ADMIN$ )

  1. 点击“开始”菜单→“运行”,在弹出的“运行”对话框中输入“regedit”后回车,打开注册表编辑器

2. 展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注册表项

3. 双击右窗格中的“AutoShareWks”,将它的键值改为“0”即可

关闭IPC$ 默认共享

1. 点击“开始”菜单→“运行”,在弹出的“运行”对话框中输入“regedit”后回车,打开注册表编辑器

2. 展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”注册表项

3. 双击“restrictanonymous”,将其键值设为“1”即可(注意,不是“0”,是“1”)


10、设置键值读取 写入 权限和审核功能

11、禁止远程管理注册表
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
修改内容:
在右边的窗口中新建一个DWORD值“NoAdminPage”,并设值为“1

12、http://www.crsky.com/soft/2286.html

http://blog.csdn.net/dlyhlq/archive/2008/03/15/2185795.aspx



图1

  在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。

  3.请走“默认共享”

  安全隐患:大家都知道在Windows 2000/XP/2003中,系统默认开启了一些“共享”,它们是IPC$ 、c$ 、d$ 、e$ 和admin$ 。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

  解决方法:要防范IPC$ 攻击应该将注册表中“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control LSA”的RestrictAnonymous项设置为“1”,这样就可以禁止IPC$ 的连接。

  对于c$ 、d$ 和admin$ 等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters”项。如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。

  4.严禁系统隐私泄露

  安全隐患:在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在 user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。

  解决方法:找到“HKEY_LOACL_MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion AeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击“Documents and Settings→ALL Users→Documents→drwatson”,找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将 DR.WATSON以前保存的隐私信息删除。

  提示:如果已经禁止了DR.WATSON程序的运行,则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。

  5.拒绝ActiveX控件的恶意骚扰

  安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止ActiveX控件私自运行程序。

  解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样ActiveX控件就不能调用 Windows scripting host了。然后,在注册表中找到“HKEY_LOCAL_MACHINE SOFTWARE assesCLSID{F935DC2 2-1CF0-11D0-ADB9-00C04FD58A0B}”,将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。


安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?

  解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设置窗口中单击“添加”按钮,将Everyone账号导入进 来,然后选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动 系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。



图3

  9.不准病毒自行启动

  安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。

  解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINE SOFTWARE Microsoft Windows CurrentVersion RUN”分支,将Everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。

回复Comments() 点击Count()

回复Comments

{commentauthor}
{commentauthor}
{commenttime}
{commentnum}
{commentcontent}
作者:
{commentrecontent}