第一篇：Windows系統(tǒng)安全分析-病毒篇

病毒是如何進(jìn)入我們的系統(tǒng)的?

有一點(diǎn)可以肯定計(jì)算機(jī)病毒不會(huì)在自己的硬盤(pán)里“生”出來(lái)。它一定是從其它儲(chǔ)存介質(zhì)復(fù)制到我們的硬盤(pán)，通常有許多途徑都可以讓病毒有被復(fù)制在我們硬盤(pán)的可能性。下載就是其中被病毒傳播者用得比較多的一種途徑。我們?cè)谙螺d時(shí)，不管是電影、壓縮包、游戲、文檔、或是郵件都有可能被置放病毒。因而下載回來(lái)一定要記住:先掃描后使用。

由于閃盤(pán)價(jià)格的大幅度下降，擁有U盤(pán)等閃盤(pán)的用戶(hù)越來(lái)越多。閃盤(pán)被病毒盯上，這種傳播方式需要在U盤(pán)根目錄下新建一個(gè)名為autorun.inf的文件和復(fù)制病毒本身。事前在根目錄下新建名為autorun.inf的文件夾能防止這種方式的傳播此外

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主鍵下，在右窗格中找到“NoDriveTypeAutoRun”，就是這個(gè)鍵決定了是否執(zhí)行各類(lèi)盤(pán)的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移動(dòng)驅(qū)動(dòng)器。也就是說(shuō)可以利用這個(gè)鍵來(lái)防止各類(lèi)盤(pán)的自動(dòng)播放，預(yù)防中毒。[1]

光盤(pán)有時(shí)也有可能會(huì)被病毒感染，成為病毒傳播的途徑之一。另外系統(tǒng)本身存在的漏洞也是病毒利用的途徑之一。

因而預(yù)防病毒要做到，外來(lái)的文件要先經(jīng)過(guò)掃描后才使用，系統(tǒng)的漏洞要及時(shí)補(bǔ)上。

病毒是如何激活運(yùn)行的?

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，一個(gè)可執(zhí)行文件。如何它不運(yùn)行它就不會(huì)對(duì)系統(tǒng)造成威脅。最多只是占著硬盤(pán)空間。但是一旦激運(yùn)行了病毒程序，它會(huì)對(duì)系統(tǒng)造成怎么樣的損害依病毒的破壞性強(qiáng)弱和計(jì)算機(jī)系統(tǒng)本身的自我保護(hù)能力而定。因而不給病毒運(yùn)行的機(jī)會(huì)，就是病毒存在于硬盤(pán)中也不會(huì)對(duì)系統(tǒng)造成嚴(yán)重破壞。那如何防止病毒的激活呢?一般情況下，病毒會(huì)有好幾種啟動(dòng)方式。病毒用的比較多的是注冊(cè)表和系統(tǒng)服務(wù)。注冊(cè)表環(huán)境復(fù)雜，大多數(shù)計(jì)算機(jī)用戶(hù)對(duì)其望而生畏。病毒很喜歡將其啟動(dòng)的資料放在這里面。而系統(tǒng)服務(wù)會(huì)在系統(tǒng)啟動(dòng)的過(guò)程中被自動(dòng)啟動(dòng)，因而病毒也很喜歡躲在這里面混水摸魚(yú)。[2]

除了這兩種啟動(dòng)方式外，還有捆綁文件，各類(lèi)盤(pán)的自動(dòng)播放，文件關(guān)聯(lián)，程序映射等方法也能讓病毒有被激活運(yùn)行的可能性。

保證計(jì)算機(jī)病毒不被激活是計(jì)算機(jī)病毒預(yù)防工作的重點(diǎn)之一。所以對(duì)注冊(cè)表用啟動(dòng)程序的關(guān)鍵鍵值要加以注意。定時(shí)查看系統(tǒng)服務(wù)是不是正常。利用一些小工具查看文件關(guān)聯(lián)是否正常，有沒(méi)有程序已經(jīng)被映射了。對(duì)外來(lái)文件要先經(jīng)過(guò)掃描后先可以使用。

除了以上方法外，給系統(tǒng)裝上一個(gè)合適的殺病軟件和防火墻也是非常必要的。它們對(duì)已經(jīng)出名的病毒的查殺能力是很強(qiáng)的。這樣可以幫計(jì)算機(jī)管理員省去不少工作。

如果病毒已經(jīng)激活了。及時(shí)發(fā)現(xiàn)病毒的存在能保證系統(tǒng)受到的破壞最小。那病毒有哪些癥狀呢?

從目前發(fā)現(xiàn)的病毒來(lái)看，主要癥狀有：

（1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái)，磁盤(pán)壞簇莫名其妙地增多。

（2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間，使可執(zhí)行程序容量增。

（3）由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽，使接觸到的磁盤(pán)出現(xiàn)特別標(biāo)簽。

（4）由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間，使可用系統(tǒng)空間變小。

（5）由于病毒程序的異?；顒?dòng)，造成異常的磁盤(pán)訪問(wèn)。

（6）由于病毒程序附加或占用引導(dǎo)部分，使系統(tǒng)導(dǎo)引變慢。

（7）丟失數(shù)據(jù)和程序。

（8）中斷向量發(fā)生變化。

（9）打印出現(xiàn)問(wèn)題。

（10）死機(jī)現(xiàn)象增多。

（11）生成不可見(jiàn)的表格文件或特定文件。

（12）系統(tǒng)出現(xiàn)異常動(dòng)作，例如：突然死機(jī)，又在無(wú)任何外界介入下，自行起動(dòng)。

（13）出現(xiàn)一些無(wú)意義的畫(huà)面問(wèn)候語(yǔ)等顯示。

（14）程序運(yùn)行出現(xiàn)異常現(xiàn)象或不合理的結(jié)果。

（15）磁盤(pán)的卷標(biāo)名發(fā)生變化。

（16）系統(tǒng)不認(rèn)識(shí)磁盤(pán)或硬盤(pán)不能引導(dǎo)系統(tǒng)等。

（17）在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。

（18）在使用寫(xiě)保護(hù)的軟盤(pán)時(shí)屏幕上出現(xiàn)軟盤(pán)寫(xiě)保護(hù)的提示。

（19）異常要求用戶(hù)輸入口令

當(dāng)出現(xiàn)這些情況時(shí)請(qǐng)及時(shí)檢查系統(tǒng)?；蛟S病毒正運(yùn)行在系統(tǒng)上，破壞著系統(tǒng)！

鬼片網(wǎng) http:// 整理

第二篇：Windows系統(tǒng)安全技巧

Window系統(tǒng)安全技巧

系統(tǒng)光盤(pán)個(gè)人比較喜歡使用雨林木風(fēng)安裝版或者GHOST版，純凈無(wú)插件，破解和優(yōu)化得都比較好。使用電腦公司裝機(jī)版也可以，番茄花園以前做得不錯(cuò)，現(xiàn)在的版本插件比較多，且界面不是很喜歡。

（1）系統(tǒng)安裝完后，做個(gè)純凈版的ghost備份，可以使用MaxDos或者矮人DOS工具箱。以備以后系統(tǒng)出問(wèn)題可以快速恢復(fù)到純凈系統(tǒng)，節(jié)省安裝系統(tǒng)時(shí)間，（使用安裝版安裝系統(tǒng)需要時(shí)間大約45分鐘，恢復(fù)系統(tǒng)時(shí)間只需10分鐘左右）。

（2）在連接網(wǎng)絡(luò)之前先安裝殺毒軟件，連接網(wǎng)絡(luò)后將殺毒軟件更新到最新。個(gè)人比較喜歡NOD32（占用系統(tǒng)資源小，殺毒速度快，防護(hù)能力強(qiáng)）或者卡巴斯基（主動(dòng) 防御很強(qiáng)，殺毒能力強(qiáng)，但是殺毒速度很慢，占用系統(tǒng)資源較大）；感覺(jué)江民還可以，尤其不喜歡瑞星和金山，并非不支持國(guó)產(chǎn)，瑞星我覺(jué)得除了界面還可以之外，其他的優(yōu)點(diǎn)沒(méi)有什么感覺(jué)，金山感覺(jué)能力平平。

（3）打上最新的系統(tǒng)補(bǔ)丁，建議用手動(dòng)安裝版，安裝速度快。將IE升級(jí)到IE7.0。將系統(tǒng)更新方式更改為“手動(dòng)”，防止安裝windows正版驗(yàn)證程序。

（4）安裝好常用的軟件。個(gè)人比較喜歡雨林木風(fēng)下載，無(wú)插件，破解比較完美。建議使用魔法兔子或者優(yōu)化大師，方便以后對(duì)系統(tǒng)進(jìn)行維護(hù)。

（5）修改注冊(cè)表啟動(dòng)項(xiàng)（run、runonce等），刪除不必要的隨系統(tǒng)啟動(dòng)的程序，以節(jié)省系統(tǒng)開(kāi)機(jī)時(shí)間、系統(tǒng)資源、系統(tǒng)關(guān)機(jī)時(shí)間。并關(guān)閉run項(xiàng)的設(shè)置權(quán)限，可以使大部分木馬程序失去作用。（必做）

（6）刪除不必要的服務(wù)。以節(jié)省系統(tǒng)資源及開(kāi)機(jī)時(shí)間。（必做）

（7）設(shè)置系統(tǒng)組策略。如無(wú)局域網(wǎng)可以關(guān)閉網(wǎng)絡(luò)訪問(wèn)；關(guān)閉自動(dòng)播放功能。（必做）

（8）屏蔽TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口。減少給黑客入侵的機(jī)會(huì)。（推薦）

（9）最后做個(gè)ghost備份鏡像，用于以后萬(wàn)一系統(tǒng)出問(wèn)題時(shí)恢復(fù)系統(tǒng)，可以免去安裝軟件，設(shè)置系統(tǒng)麻煩，所需時(shí)間大約是10分鐘。

第三篇：Windows操作系統(tǒng)安全(一)

一、實(shí)驗(yàn)項(xiàng)目名稱(chēng)

Windows操作系統(tǒng)安全

（一）二、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)掌握Windows賬戶(hù)與密碼的安全設(shè)置、文件系統(tǒng)的保護(hù)和加密、安全策略與安全模板的使用、審核和日志的啟用、本機(jī)漏洞檢測(cè)軟件MBSA的使用，建立一個(gè)Windows操作系統(tǒng)的基本安全框架。根據(jù)Windows操作系統(tǒng)的各項(xiàng)安全性實(shí)驗(yàn)要求，詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報(bào)告。

三、實(shí)驗(yàn)內(nèi)容與實(shí)驗(yàn)步驟

(1)．賬戶(hù)與密碼的安全設(shè)置

(2)．啟用安全策略與安全模板

(3)．用加密軟件EFS加密硬盤(pán)數(shù)據(jù)

(4)．NTFS文件系統(tǒng)的權(quán)限設(shè)置和管理

四、實(shí)驗(yàn)環(huán)境

1臺(tái)安裝Windows2000/XP操作系統(tǒng)的計(jì)算機(jī)，磁盤(pán)格式配置為NTFS，預(yù)裝MBSA(Microsoft Baseline Security Analyzer)工具。

五、實(shí)驗(yàn)過(guò)程與分析

任務(wù)一賬戶(hù)和密碼的安全設(shè)置

1．刪除不再使用的賬戶(hù)，禁用guest賬戶(hù)

⑴ 檢查和刪除不必要的賬戶(hù)，用戶(hù)列表如下

⑵ 禁用guest賬戶(hù)

1）操作前用guest用戶(hù)登錄，可以登錄，表示guest用戶(hù)可以用。在其他用戶(hù)登錄下禁止guest用戶(hù)的使用。

2）之后再次注銷(xiāo)，試圖登陸guest，發(fā)現(xiàn)無(wú)法登陸，證明被禁止了。

２．啟用賬戶(hù)策略

⑴ 設(shè)置密碼策略

1）對(duì)密碼策略設(shè)置如圖

2）對(duì)長(zhǎng)度最小值的改變進(jìn)行測(cè)試：設(shè)置只有一個(gè)字符的密碼，不成功就代表了長(zhǎng)度最小值策略設(shè)置成功。

⑵ 設(shè)置賬戶(hù)鎖定策略

1）對(duì)賬戶(hù)鎖定策略設(shè)置如圖

2）對(duì)賬戶(hù)鎖定閥值進(jìn)行測(cè)試：

連續(xù)輸入三次錯(cuò)誤密碼，賬戶(hù)被關(guān)閉。證明賬戶(hù)鎖定閥值為3。

2）對(duì)賬戶(hù)鎖定時(shí)間進(jìn)行測(cè)試

兩分鐘之后賬戶(hù)又重新開(kāi)放，所以賬戶(hù)鎖定時(shí)間可以為2。

３．開(kāi)機(jī)時(shí)設(shè)置為“不自動(dòng)顯示上次登陸賬戶(hù)”

設(shè)置后注銷(xiāo)重新登錄，發(fā)現(xiàn)賬戶(hù)不顯示。

４．禁止枚舉賬戶(hù)名

任務(wù)二 啟用安全策略與安全模塊

1．啟用安全模板

（1）打開(kāi)系統(tǒng)控制臺(tái)，為控制臺(tái)添加安全膜拜和安全配置分析項(xiàng)，并且查看模板配置信息

（2）建立安全數(shù)據(jù)庫(kù)，選擇一個(gè)安全模板將其導(dǎo)入。

（3）按照模板，選擇“立即分析計(jì)算機(jī)”。分析結(jié)果如下。

（4）記錄當(dāng)前安全配置，以密碼策略為例。

（5）選擇“立即配置計(jì)算機(jī)”，對(duì)計(jì)算機(jī)配置。之后再對(duì)計(jì)算機(jī)分析，可以看到計(jì)算機(jī)設(shè)置發(fā)生了改變，密碼長(zhǎng)度最小值，密碼最長(zhǎng)保存期兩個(gè)不符合模板的項(xiàng)按照模板進(jìn)行了配置。

2．建安全模板

（1）打開(kāi)控制臺(tái)，添加“安全模板”、“安全設(shè)置和分析”，查看其相關(guān)配置。建立安全數(shù)據(jù)庫(kù)，導(dǎo)入安全模板。

（2）新加自設(shè)模板mytem，并且定義安全策略。如圖是對(duì)密碼長(zhǎng)度最小值設(shè)置。

任務(wù)三 利用加密軟件EFS加密硬盤(pán)數(shù)據(jù)

（1）建立名為MYUSER的新用戶(hù)。

（2）打開(kāi)硬盤(pán)格式為NTFS的磁盤(pán)，選擇要進(jìn)行加密的文件夾在屬性窗口對(duì)其設(shè)置將其

加密。

（3）加密完成后，保存當(dāng)前用戶(hù)下的文件注銷(xiāo)當(dāng)前用戶(hù),以剛才新建的MYUSER用戶(hù)登

陸系統(tǒng)，再次訪問(wèn)加密文件夾，發(fā)現(xiàn)其拒絕訪問(wèn)。

（4）以原來(lái)加密文件夾的管理員用戶(hù)登陸系統(tǒng)，打開(kāi)系統(tǒng)控制臺(tái)添加證書(shū)，為當(dāng)前的加密文件系統(tǒng)EFS設(shè)置證書(shū)。在控制臺(tái)窗口左側(cè)的目錄樹(shù)中選擇“證書(shū)”“個(gè)人“證書(shū)”?？梢钥吹接糜诩用芪募到y(tǒng)的證書(shū)顯示在右側(cè)的窗口中。雙擊此證

書(shū)，單擊詳細(xì)信息，則可以看到此證書(shū)包含的詳細(xì)信息。

（5）選中用于EFS的證書(shū),導(dǎo)出證書(shū)，并設(shè)置保護(hù)私鑰的密碼，然后將導(dǎo)出的證書(shū)文件

保存。

（6）以新建的MYUSER登陸系統(tǒng)導(dǎo)入該證書(shū)。

（7）再次雙擊加密文件擊中的文件，發(fā)現(xiàn)可以進(jìn)行訪問(wèn)。

任務(wù)四NTFS文件系統(tǒng)的權(quán)限設(shè)置和管理

1.為學(xué)生創(chuàng)建一個(gè)私有的用戶(hù)文件夾：在NTFS磁盤(pán)分區(qū)上為用戶(hù)stu01建立一個(gè)用戶(hù)文

件夾StuData01,用戶(hù)文件夾只允許用戶(hù)本人完全控制，用戶(hù)tutor讀取訪問(wèn)，其他人拒絕訪問(wèn)。用其他用戶(hù)訪問(wèn)，無(wú)法訪問(wèn)。

2.創(chuàng)建一個(gè)學(xué)生組公用文件夾

為學(xué)生組Students在windows 2000服務(wù)器的NTFS磁盤(pán)分區(qū)上建立一個(gè)公用文件夾，該文件夾允許students成員讀取及運(yùn)行，tutor完全控制，Administrator只有列出文件夾，創(chuàng)建文件夾，刪除文件夾和文件的權(quán)限。并且此文件夾對(duì)Administrator的NTFS權(quán)限設(shè)置不傳播到子文件夾。

3.文件夾共享

（1）創(chuàng)建一個(gè)文件夾share共享它。

（2）為這個(gè)文件夾分配共享權(quán)限，安全權(quán)限

（3）從網(wǎng)絡(luò)上訪問(wèn)這個(gè)文件夾。嘗試用不同賬號(hào)訪問(wèn)權(quán)限

假設(shè)：share共享權(quán)限是everyone完全控制，完全權(quán)限是everyone只讀，那么用戶(hù)從網(wǎng)絡(luò)上的訪問(wèn)權(quán)限是什么？

回答：只讀權(quán)限

假設(shè)：share共享權(quán)限是everyone只讀，完全權(quán)限是everyone完全控制，那么用戶(hù)從網(wǎng)絡(luò)上的訪問(wèn)權(quán)限是什么？

回答:只讀權(quán)限

六、實(shí)驗(yàn)結(jié)果總結(jié)

1．如何檢查系統(tǒng)是否允許guest賬戶(hù)登陸？

回答：打開(kāi)控制面板中的管理工具，選擇計(jì)算機(jī)管理中本地用戶(hù)和組，打開(kāi)用戶(hù)，若

guest用戶(hù)前有叉號(hào)，則已經(jīng)被禁用。

2.如果一個(gè)用戶(hù)（非管理員）創(chuàng)建一個(gè)文件夾，內(nèi)有文件，他設(shè)置安全權(quán)限，禁止除他以外的用戶(hù)訪問(wèn)，請(qǐng)問(wèn)管理員有權(quán)限訪問(wèn)嗎？可以的話(huà)，如何操作？

回答：有的，管理員可以更改文件的所有者，可以把所有者改成自己，就可以訪問(wèn)了?？偨Y(jié)：本實(shí)驗(yàn)內(nèi)容包括對(duì)于windows賬戶(hù)密碼的安全進(jìn)行設(shè)置，啟用了安全策略和安全模板，用加密軟件EFS加密硬盤(pán)數(shù)據(jù)，設(shè)置和管理NTFS文件系統(tǒng)四個(gè)方面。通過(guò)以上的手段，建立了windows操作系統(tǒng)的基本安全框架。

第四篇：MS08-067病毒分析

MS08-067病毒剖析

【染毒現(xiàn)象】

感染上Worm.Win32.MS08-067.c病毒的機(jī)器，其典型的染毒特征是：

1.不斷的向外發(fā)送垃圾數(shù)據(jù)包，并以此手段對(duì)全網(wǎng)進(jìn)行傳播。

2.在本機(jī)的“任務(wù)計(jì)劃”中添加大量以“AT”開(kāi)頭的任務(wù)計(jì)劃，并且啟動(dòng)的時(shí)候大都是整

點(diǎn)，如11:00、13:00等。

3.如是域環(huán)境，并且設(shè)置了域賬戶(hù)登錄策略（登錄密碼輸入錯(cuò)誤幾次之后鎖定賬戶(hù)），會(huì)

造成域賬戶(hù)經(jīng)常被鎖，因?yàn)樵摬《緯?huì)不斷的猜測(cè)域賬戶(hù)密碼。

4.造成無(wú)法正常訪問(wèn)瑞星官網(wǎng)和微軟官方網(wǎng)站，以及其它部分安全網(wǎng)站。停止或是重啟

“DNS Client”服務(wù)之后，可以打開(kāi)上述網(wǎng)站，但重啟電腦后又無(wú)法打開(kāi)。

【傳播方式】

Worm.Win32.MS08-067.c是一個(gè)利用微軟系統(tǒng)MS08-067漏洞為主要傳播手段的的蠕蟲(chóng)病毒。

另外該病毒亦可通過(guò)U盤(pán)以自動(dòng)加載運(yùn)行的方式進(jìn)行傳播、并且由于病毒自身帶一個(gè)弱密碼表，會(huì)猜解網(wǎng)絡(luò)中計(jì)算機(jī)的登錄密碼，如局域網(wǎng)中存在可讀寫(xiě)的共享，也會(huì)造成該病毒通過(guò)局域網(wǎng)共享進(jìn)行傳播。

【病毒分析】

首先病毒會(huì)判斷系統(tǒng)版本是否是 Win2000或WinXP 以上系統(tǒng)，如果是病毒才繼續(xù)執(zhí)行，并且為病毒進(jìn)程添加 SeDebugPrivilege 權(quán)限，對(duì)本機(jī)計(jì)算機(jī)名稱(chēng)進(jìn)行 CRC32 計(jì)算,通過(guò)得到的 CRC32 值創(chuàng)建病毒互斥量，判斷自己是否是 rundll32.exe 程序啟動(dòng)的。如果不是就判斷是否能找到“svchost.exe-k netsvcs” 或者explorer.exe 進(jìn)程，然后將自己的代碼加載到這兩個(gè)進(jìn)程中的其中一個(gè)進(jìn)程上，最后修改注冊(cè)表，讓系統(tǒng)不顯示隱藏文件，從而使病毒可以被系統(tǒng)加載。

該病毒會(huì)在%windir%system32目錄下釋放一個(gè)動(dòng)態(tài)庫(kù)文件，名字隨機(jī)生成，如XXXXXXX.DLL ；并且會(huì)以獨(dú)占內(nèi)存的方式存在，需要多次重啟才能刪除。

針對(duì)services.exe、“svchost.exe-k netsvcs”、“svchost.exe-k NetworkService”、進(jìn)程進(jìn)行DNS查詢(xún)以及TCP傳輸過(guò)程攔截，針對(duì)殺毒軟件關(guān)鍵字進(jìn)行過(guò)濾，其中包含 rising、avast、nod32、mcafee 等等。使當(dāng)前中毒計(jì)算機(jī)無(wú)法訪問(wèn)安全廠商的網(wǎng)站。

停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服務(wù)，并且改為手動(dòng)，避免系統(tǒng)更新以及系統(tǒng)安全檢查程序。

枚舉網(wǎng)絡(luò)計(jì)算機(jī)的用戶(hù)名和自帶的密碼表，利用 IPC$ ADMIN$ 共享復(fù)制病毒到遠(yuǎn)程計(jì)算機(jī)然后通過(guò)Rundll32遠(yuǎn)程啟動(dòng)，枚舉驅(qū)動(dòng)器 創(chuàng)建自身到 RECYCLER、System32文件夾下面，嘗試訪問(wèn) http://、http://等等網(wǎng)站得到當(dāng)前月數(shù)。再通過(guò)時(shí)間經(jīng)過(guò)內(nèi)置算法計(jì)算病毒的升級(jí)鏈接，方便病毒作者更新。

【處理辦法】

一、使用專(zhuān)殺處理方式：（推薦）

①首先將瑞星軟件升級(jí)到最新版本并使用抓包工具確定病毒發(fā)包源，染毒機(jī)器一般都會(huì)通過(guò)139、445端口發(fā)送大量數(shù)據(jù)包，特別是在整點(diǎn)時(shí)段。

② 確定發(fā)包源后，將發(fā)包機(jī)器斷網(wǎng)，進(jìn)入安全模式之后清空多余的“任務(wù)計(jì)劃”并使用專(zhuān)殺工具查殺，無(wú)論是否查出病毒都需重啟，進(jìn)入正常模式后將系統(tǒng)補(bǔ)丁全部打上，尤其是MS08-067補(bǔ)丁，該漏洞在微軟上的補(bǔ)丁名稱(chēng)為：KB958644。

③ 確認(rèn)MS08-067補(bǔ)丁正確打上：打上該補(bǔ)丁之后，在%windir%system32目錄下會(huì)有一個(gè)netapi32.dll文件，并且需要確定該文件的版本是否正確，版本正確才證明正確打上該補(bǔ)丁了，否則需要通過(guò)控制面板卸載重裝：

? windows2000 sp4系統(tǒng)下，此文件的版本應(yīng)該為:5.0.2195.7203

? windows xp sp2/sp3系統(tǒng)下，此文件的版本為:5.1.2600.3462/5694

? windows 2003 SP1/SP2系統(tǒng)下，此文件版本為：5.2.3790.3229/4392

? windows 2008 vista系統(tǒng)下，此文件版本為：6.0.6000.16764；

6.0.6000.20937；6.0.6001.18157；6.0.6001.22288

④ 使用cmd命令進(jìn)入命令行模式，使用“net share”命令查看本機(jī)共享，至少需要關(guān)閉所有讀寫(xiě)共享，只讀共享可以保留。

⑤ 定期修改系統(tǒng)密碼，并需要設(shè)置十位以上強(qiáng)密碼。盡量不使用域管理員賬號(hào)在其它非域控機(jī)器上登錄。

⑥ 最后使用已經(jīng)升級(jí)到最新版的瑞星殺毒軟件全盤(pán)殺毒，確定本機(jī)無(wú)病毒之后，再接入網(wǎng)內(nèi)。

⑦ 所有發(fā)包源機(jī)器都處理完成之后，再執(zhí)行全網(wǎng)同時(shí)殺毒，確保讓病毒無(wú)處隱藏。如果有條件的，可以通過(guò)防火墻或交換機(jī)將135、139和445這三個(gè)常見(jiàn)的病毒利用端口屏蔽。

二、手動(dòng)處理方式：

① 首先通過(guò)“文件夾選項(xiàng)”顯示出所有隱藏文件，包括受保護(hù)的操作系統(tǒng)文件。② 打開(kāi)%windir%system32目錄，將文件按詳細(xì)信息排列，顯示文件屬性和創(chuàng)建日期。讓文件按照屬性排列，查看是否有可疑的DLL文件，并且為隱藏屬性，注意創(chuàng)建的時(shí)間是否是染毒時(shí)間，確認(rèn)之后在刪除的時(shí)候提示無(wú)法刪除。

③ 打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost，雙擊右側(cè)的netsvcs，查看neisvcs的數(shù)值數(shù)據(jù)，查找其中的可疑項(xiàng)（此操作需要對(duì)net svcs的服務(wù)熟悉才行，一般可疑項(xiàng)會(huì)在wmdmpmsp之后）。

④ 記下此服務(wù)名，定位到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscServer，嘗試刪除此項(xiàng)，提示無(wú)法刪除，查看此項(xiàng)權(quán)限，僅有system，且沒(méi)有讀取權(quán)限，可以增加權(quán)限，點(diǎn)擊“高級(jí)”，勾選從父項(xiàng)繼承和替換到子對(duì)象兩個(gè)勾，提示都點(diǎn)擊是和確定即可。操作后，即可刪除wscserver項(xiàng)鍵值；

⑤ 重啟計(jì)算機(jī)，刪除一開(kāi)始在%windir%system32目錄下發(fā)現(xiàn)的可疑文件，刪除HKEY_LOCAL_MACHINESYSTEMControlSet001和

HKEY_LOCAL_MACHINESYSTEMControlSet002下的wscServer鍵值（避免恢復(fù)到上一次正確的配置后再次恢復(fù)此鍵值）即可。

第五篇：病毒查殺分析報(bào)告

東營(yíng)市醫(yī)藥公司和扣分公司

病毒查殺分析報(bào)告

2013本企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)未發(fā)生重大病毒感染情況，計(jì)算機(jī)系統(tǒng)運(yùn)行正常。

信息科

2014年1月6日