个人电脑安全防范

jsedy

杀毒软件
现在杀毒软件的功能越来越强大，实时监视文件，网页，邮件等等！但在众多的杀毒软件我推荐使用江民KV，因为它的脱壳能力较强，有些重新加壳的病毒或者木马，它都能正确查杀。当然网络世界总是先有病毒的出现，才有杀毒软件的查杀，装个杀毒软件只是防范未然，最好的办法是能手工查杀，手工查杀的前提就是要对进程有所了解！
进程 < LT电脑网络部落 www.luotuo.net >
我从网上摘转了一篇介绍系统进程的文章如下：
??smss.exe?????Session?Manager < LT电脑网络部落 www.luotuo.net >
??csrss.exe ????子系统服务器进程
??winlogon.exe???管理用户登录 < LT电脑网络部落 www.luotuo.net >
??services.exe???包含很多系统服务
??lsass.exe ????管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 < LT电脑网络部落 www.luotuo.net >
??svchost.exe??? Windows 2000/XP 的文件保护系统
??SPOOLSV.EXE ???将文件加载到内存中以便迟后打印。)
??explorer.exe???资源管理器 < LT电脑网络部落 www.luotuo.net >
??internat.exe???托盘区的拼音图标)
??mstask.exe????允许程序在指定时间运行。
??regsvc.exe????允许远程注册表操作。(系统服务)->remoteregister < LT电脑网络部落 www.luotuo.net >
??winmgmt.exe ???提供系统管理信息(系统服务)。
??inetinfo.exe???msftpsvc,w3svc,iisadmn < LT电脑网络部落 www.luotuo.net >
??tlntsvr.exe ???tlnrsvr
??tftpd.exe ????实现 TFTP Internet 标准。该标准不要求用户名和密码。 < LT电脑网络部落 www.luotuo.net >
??termsrv.exe ???termservice < LT电脑网络部落 www.luotuo.net >
??dns.exe ?????应答对域名系统(DNS)名称的查询和更新请求。
??tcpsvcs.exe ???提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。 < LT电脑网络部落 www.luotuo.net >
??ismserv.exe ???允许在 Windows Advanced Server 站点间发送和接收消息。 < LT电脑网络部落 www.luotuo.net >
??ups.exe ?????管理连接到计算机的不间断电源(UPS)。 < LT电脑网络部落 www.luotuo.net >
??wins.exe?????为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
??llssrv.exe????证书记录服务 < LT电脑网络部落 www.luotuo.net >
??ntfrs.exe ????在多个服务器间维护文件目录内容的文件同步。
??RsSub.exe ????控制用来远程储存数据的媒体。 < LT电脑网络部落 www.luotuo.net >
??locator.exe ???管理 RPC 名称服务数据库。 < LT电脑网络部落 www.luotuo.net >
??lserver.exe ???注册客户端许可证。 < LT电脑网络部落 www.luotuo.net >
??dfssvc.exe????管理分布于局域网或广域网的逻辑卷。
??clipsrv.exe ???支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。 < LT电脑网络部落 www.luotuo.net >
??msdtc.exe ????并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。 < LT电脑网络部落 www.luotuo.net >
??faxsvc.exe????帮助您发送和接收传真。
??cisvc.exe ????索引服务 < LT电脑网络部落 www.luotuo.net >
??dmadmin.exe ???磁盘管理请求的系统管理服务。 < LT电脑网络部落 www.luotuo.net >
??mnmsrvc.exe ???允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 < LT电脑网络部落 www.luotuo.net >
??netdde.exe????提供动态数据交换 (DDE) 的网络传输和安全特性。 < LT电脑网络部落 www.luotuo.net >
??smlogsvc.exe???配置性能日志和警报。
??rsvp.exe?????为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
??RsEng.exe ????协调用来储存不常用数据的服务和管理工具。 < LT电脑网络部落 www.luotuo.net >
??RsFsa.exe ????管理远程储存的文件的操作。
??grovel.exe????扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。
??SCardSvr.ex ???对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 < LT电脑网络部落 www.luotuo.net >
??snmp.exe?????包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
??snmptrap.exe???接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。
??UtilMan.exe ???从一个窗口中启动和配置辅助工具。 < LT电脑网络部落 www.luotuo.net >
??msiexec.exe???依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
对于我们这些小菜，不需要知道它的用处，只要知道哪些是系统进程就足够了。查看系统进程的方法一个是单击任务栏右键--任务管理器---进程（用CTRL+ALT+DEL组合键调出也行，看到可以的进程就结束掉它，最好借助工具像“进程查看器”等查看进程的工具，网上有很多，搜索就能找到了。 < LT电脑网络部落 www.luotuo.net >
  < LT电脑网络部落 www.luotuo.net >
注册表 < LT电脑网络部落 www.luotuo.net >
一般情况下，木马为了能自启动，会将进程写入注册表RUN键，小菜们要关注以下键值有无可疑： < LT电脑网络部落 www.luotuo.net >
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run < LT电脑网络部落 www.luotuo.net >
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx < LT电脑网络部落 www.luotuo.net >
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce < LT电脑网络部落 www.luotuo.net >
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run < LT电脑网络部落 www.luotuo.net >
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows这个键下主要关注load这个健值。 < LT电脑网络部落 www.luotuo.net >
广外女生、冰河及早期版本的灰鸽子都会利用关联来使自己运行，一旦被关联可以从以下几次修改
txt关联：HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command 键值为NOTEPAD.EXE %1，若不是此值就是被修改了，将其改回。
Exe关联：HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command键值为\"%1\" %*，若不是此值就是被修改，改回（若是因为exe被关联导致所有可执行文件不可用时可将regdit.exe改名为regedit.com后打开注册表修复exe关联）
打补丁 < LT电脑网络部落 www.luotuo.net >
象我们这些菜鸟都是选用微软的操作系统，因此要经常关注它的安全补丁。2003年8月的“冲击波”就是利用ms03-026这个漏洞，今年5月的“震荡波”又是利用ms04-011的漏洞，所以，勤打补丁不仅可以让我们防止利用这些漏洞编写的蠕虫外，还可以有效阻止那些所谓的黑客利用这些漏洞编写的溢出工具远程得到我们电脑的shell。 < LT电脑网络部落 www.luotuo.net >
网络防火墙
网络防火墙是个人电脑安全的一个重要保障,是我们装机必备的软件,它可以阻止对135,139,445这些端口的攻击和探测,以及一切非法连接.在众多的防火墙中我推崇天网,因为它是国内最早开发个人电脑防火墙(软件)的厂商之一,技术比较成熟.
天网防火墙有个访问网络权限设置(当然不是只有天网才有这个功能),只要有应用程序访问网络,天网先将其拦截,显示出程序的绝对路径,并询问用户是否允许该程序访问.这个功能有效地阻止那些反弹端口木马及一些蠕虫.去年8月,天网帮我阻拦了一个要访问网络的应用程序,先禁止后用最新版本的瑞星查不出来,第二天瑞星的官方网站通报发现最新蠕虫”冲击波”,其文件名,大小跟我机上一模一样,升级瑞星查杀,果然是”冲击波”.可见,网络防火墙对电脑的重要性!(本来还想介绍一下常用端口,但天网防火墙的帮助文件就有介绍这方面的知识,大家可以自行去看!) < LT电脑网络部落 www.luotuo.net >
社会在进步,科技在进步,要想更好的保护个人电脑还需要不断学习.最后建议各位小菜们坚持每月月初买本黑客防线来充电!