木马小常识

chou99

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。

　　一、木马的危害

　　相信木马对于众多网民来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！

　　木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！

　　广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

　　二、木马原理

　　特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。

　　为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种：

　　1.)在任务栏里隐藏

　　这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。

　　2.)在任务管理器里隐藏

　　查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。

　　3.)端口

　　一台机器由65536个端口，你会注意这么多端口么？而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么？

　　4.)木马的加载方式隐蔽

　　木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。

　　5.)木马的命名

　　木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使用原来的名字。谁不知道这是个木马程序呢？所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除么？还有的就是更改一些后缀名，比如把dll改为dl等，你不仔细看的话，你会发现么？

　　6.)最新隐身技术

　　目前，除了以上所常用的隐身技术，又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同，它基本上摆脱了原有的木马模式—监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况，DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。
三、木马防范工具

　　防范木马可以使用防火墙软件和各种反黑软件，用它们筑起网上的马其诺防线，上网会安全许多。

　　网上防火墙软件很多，推荐使用“天网防火墙个人版”。它是一款完全的免费的软件，安装成功后，它就变成一面盾牌图表缩小到任务来的系统托盘里，并时刻监视黑客的一举一动，当有黑客入侵时，它就会自动报警，并显示入侵者的IP地址。

　　用鼠标双击盾牌图标，就会弹出天网的控制台，控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签，会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务，但UDP端口服务还开放着，别人无法通过端口的漏洞来入侵，它阻挡了几乎所有的蓝屏攻击和信息泄漏问题，并且不会影响普通网络软件的使用)

　　在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑，天网防火墙会将其自动拦截，并告警提示，同时在控制台的“安全纪录”里会将连接者的IP，协议，来源端口，防火墙采取的操作，时间记录等攻击信息显示出来。

　　在控制台的“检测”、“关于”标签里主要有安全漏洞的说明，防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络，点一下控制台上的“停”就可以了。

chou99

四、木马的查杀

　　木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！

　　由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

　　1.)检查注册表

　　看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

　　2.)检查启动组

　　木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

　　Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！

　　3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

　　比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

　　4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

　　C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

　　5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

　　6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

　　所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

chou99

感谢作者。

一、关于木马
??
??木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。
??
??二、发现木马
??
??由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027……，QQ会打开4000、4001……等端口。
??
??在DOS命令行下用netstat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用（特别是木马常用端口被占用），那可要好好查查了，你很有可能“中彩”了！比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口……如果发现这些端口被占用了，基本上就可以判定: 你中木马了！
??
??三、查找木马
??
??首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。
??
??多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具体位置在：
??
??HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值;
??
??HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值;
??
??HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。
??
??如木马冰河的启动键值是:
??
??[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
??@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE"
??
??广外女生1.51版的启动键值是:
??[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
??"Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE"
??
??蓝色火焰0.5的启动键值是:
??[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
??"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe"
??
??不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:
??
??①在Win.ini中启动
??
??在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子:
??
??run=c:\windows\file.exe
??
??load=c:\windows\file.exe
??
??要小心了，这个file.exe很可能是木马。
??
??②在System.ini中启动
??
??System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样hell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。
??
??另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。
??
??③在Autoexec.bat和Config.sys中加载运行
??
??但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心哦。
??
??④在Winstart.bat中启动
??
??Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
??
??⑤启动组
??
??木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。

??⑥*.INI
??
??即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。
??
??⑦修改文件关联
??
??修改文件关联是木马常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的。“冰河”就是通过修改
??HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C: \Windows\Notepad.exe %1”改为“C:\Windows\System\SYSEXPLR.EXE %1”，这样一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command 主键，查看其键值是否正常。
??
??⑧捆绑文件
??
??实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
??
??当发现可疑文件时，你可以试试能不能删除它，因为木马多是以后台方式运行的，通过按Ctrl+Alt+Del是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了（提示正在被使用）那就应该注意了。
??
??四、手工清除
??
??如果你发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时就应该想办法清除这些家伙了。
??
??那么如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年而不应该是最近的时间（安装最新的Win2000、 WinXP的系统除外），文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。
??
??首先查进程，检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉后，然后再看看原来怀疑的端口还有没有开放（有时需重启），如果没有了那说明你对了，再把该程序删掉，这样你就手工删除了这匹木马了。
??
??如果该木马改变了TXT、EXE或ZIP等文件的关联，那你应把注册表改过来，如果不会改，那就把注册表改回到以前的就可以恢复文件关联，可通过在DOS下执行scanreg/restore命令来恢复注册表，不过这条命令只能恢复前五天的注册表（这是系统默认的）。此举可轻松恢复被木马改变的注册表键值，简单易用。

chou99

一、注册表被修改的原因及解决办法

　　其实，该恶意网页是含有有害代码的ActiveX网页文件，这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。

　　1、IE默认连接首页被修改

　　IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。

　　受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

　　通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

　　解决办法：

　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

　　②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

　　下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；

　　③同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。

　　④退出注册表编辑器，重新启动计算机，一切OK了！

　　特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

　　解决办法：运行注册表编辑器regedit.exe，然后依次展开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

　　主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。


    2、篡改IE的默认页

　　有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL

　　“Default_Page_URL”这个子键的键值即起始页的默认页。

　　解决办法：

　　运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

　　3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。

　　主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Settings"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Links"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecAddSites"=dword:1

　　解决办法：

　　将上面这些DWORD值改为“0”即可恢复功能。

　　4、IE的默认首页灰色按扭不可选

　　这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

　　下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。

　　解决办法：

　　将“homepage”的键值改为“0”即可。

    5、IE标题栏被修改

　　在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。

　　具体说来受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

　　解决办法：

　　①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

　　②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

　　下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字；

　　③同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　然后按②中所述方法处理。

　　④退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题解决了！

　　6、IE右键菜单被修改

　　受到修改的注册表项目为：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

　　下被新建了网页的广告信息，并由此在IE右键菜单中出现！

　　解决办法：

　　打开注册标编辑器，找到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

　　删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉啊，这两个可是“正常”的呀，除非你不想在IE的右键菜单中见到它们。

chou99

8、系统启动时弹出对话框

　　受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！你瞧，多讨厌啊！

　　解决办法：

　　打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。

　　9、浏览网页注册表被禁用

　　这是由于注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

　　下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。

　　解决办法

　　用记事本程序建立以REG为后缀名的文件，将下面这些内容复制在其中就可以了：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000

　10、浏览网页开始菜单被修改

　　这是最“狠”的一种，让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的那些症状，还会有以下更悲惨的遭遇：

　　1)禁止“关闭系统”
　　2)禁止“运行”
　　3)禁止“注销”
　　4)隐藏C盘——你的C盘找不到了！
　　5)禁止使用注册表编辑器regedit
　　6)禁止使用DOS程序
　　7)使系统无法进入“实模式”
　　8)禁止运行任何程序

　　具体的原因和解决办法请看天极网e企业之安全之路栏目的这篇文章：《浏览网页注册表被修改之迷及解决办法》。

　　以上是比较常见的修改浏览者注册表的现象，今天在浏览网页时，无意中来到某个个人网站，又遇到了以前没有碰到过的问题：

　　11、IE中鼠标右键失效

　　浏览网页后在IE中鼠标右键失效，点击右键没有任何反应！

　　12、查看““源文件”菜单被禁用

　　在IE窗口中点击“查看”→“源文件”，发现“源文件”菜单已经被禁用。



　　我在浏览网页时并没有注意到上面这两个问题，因为当时正好朋友叫我有事，于是我就退出电脑了，晚上吃完饭开启电脑连线上网，就发现IE中鼠标右键失效，“查看”菜单中的“源文件”被禁用。不能查看源文件也就罢了，但是无法使用鼠标右键真是太不方便了。得想个办法！

　　找出最新版的超级兔子魔法设置试试吧，呀！不能解决！看来是个新问题，不过自己好歹也是“老革命”了，这点问题应该难不住我。于是到注册表中一番搜寻，经过一番查找终于弄明白了问题的所在。

原来，恶意网页修改了我的注册表，具体的位置为：

　　在注册表

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

　　下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。

　　在注册表

   HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

　　下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。

　　通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到的注册表的分支，修改第1点中所说的注册表键值，第2点中注册表键值随之改变。

　　解决办法：

　　明白了道理，问题解决起来就容易多了，具体解决办法为：将以下内容另存为后缀名为reg的注册表文件，比方说unlock.reg，双击unlock.reg导入注册表，不用重启电脑，重新运行IE就会发现IE的功能恢复正常了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000

　　要特别注意的是，在你编制的注册表文件unlock.reg中，“REGEDIT4”一定要大写，并且它的后面一定要空一行，还有，“REGEDIT4”中的“4”和“T”之间一定不能有空格，否则将前功尽弃！许多朋友写注册表文件之所以不成功，就是因为没有注意到上面所说的内容，这回该注意点喽。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”改为Windows Registry Editor Version 5.00。

chou99

　　1、要避免中招，关键是不要轻易去一些自己并不了解的站点，特别是那些看上去美丽诱人的网址更不要贸然前往，否则吃亏的往往是你。

　　2、由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。

　　具体方法是：在IE窗口中点击“工具→Internet选项，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉，有利就有弊，你还是自己看着办吧。

　　3、对于Windows98用户，请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开
C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉。请放心，删除这个组件不会影响到你正常浏览网页的。

　　4、对于所有用户，都建议安装Norton AntiVirus 2002 v8.0杀毒软件，此软件已经把通过IE修改注册表的代码定义为Trojan.Offensive ，增加了Script Blocking功能，它将对此类恶作剧进行监控，并予以拦截。

　　另外，下载超级兔子魔法设置软件后安装，如果出现问题，可以用它来恢复。不过，“兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效，“查看”菜单中的“源文件”被禁用这两种现象无法恢复。

　　5、既然这类网页是通过修改注册表来破坏我们的系统，那么我们可以事先把注册表加锁：禁止修改注册表，这样就可以达到预防的目的。不过，自己要使用注册表编辑器regedit.exe该怎么办呢？因此我们还要在此前事先准备一把“钥匙”，以便打开这把“锁”！

　　加锁方法如下：

　　(1)运行注册表编辑器regedit.exe；

　　(2)展开注册表到

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

　　下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器regedit.exe。

　　解锁方法如下：

　　用记事本编辑一个任意名字的.reg文件，比如unlock.reg，内容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000

　　存盘，你就有了一把解锁的钥匙了！如果要使用注册表编辑器，则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”写为Windows Registry Editor Version 5.00。



　　6、对Win2000用户，还可以通过在Win2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用，来对付该类网页。具体方法是：点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”，将这一项禁用即可。

　　7、如果觉得手动修改注册表太危险，可以下载如下reg文件，双击之可恢复被修改的注册表。

　　8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页，但如果以后又不小心进入该站就又得麻烦一次。其实，你可以在IE中做一些设置以便永远不进该站点：

　　打开IE，点击“工具”→“Internet选项”→“内容”→“分级审查”，点“启用”按钮，会调出“分级审查”对话框，然后点击“许可站点”标签，输入不想去的网站网址，如输入：
http://on888.home.chinaren.com，按“从不”按钮，再点击“确定”即大功告成！

　　9、升级你的IE为6.0版本，可以有效防范上面这些症状。

　  10、下载微软最新的Microsoft Windows Script 5.6，可以预防上面所说的现象，更可预防目前流行的、可恶的混客绝情炸弹。 (选自yesky

chou99

各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到“元凶”誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见“元凶”的踪影，其实这未必就是病毒在作怪。
　　这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别“真毒”有一定帮助！
　　病毒与软、硬件故障的区别和联系
　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
　　症状 病毒的入侵的可能性 软、硬件故障的可能性
　　经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。
　　系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。
　　文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。
　　经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。
　　提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。
　　软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。
　　出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。
　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等
　　数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。
　　键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。
　　系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
　　系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。
　　通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。
　　病毒的分类及各自的特征
　　要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！
　　病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。
　　如按传染对象来分，病毒可以划分为以下几类：
　　a、引导型病毒
　　这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒，如KV300、KILL系列等。
　　b、文件型病毒
　　早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。
　　c、网络型病毒
　　这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途经也发生了质的飞跃，不再局限磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。
　　d、复合型病毒
　　把它归为“复合型病毒”，是因为它们同时具备了“引导型”和“文件型”病毒的某些特点，它们即可以感染磁盘的引导扇区文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。
　　以上是按照病毒感染的对象来分，如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：
　　a、良性病毒：
　　这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。
　　b、恶性病毒
　　我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为“恶性病毒”，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。
　　c、极恶性病毒
　　这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。
　　d、灾难性病毒
　　这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这“万一”。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。

chou99

如按其入侵的方式来分为以下几种：
　　a、源代码嵌入攻击型
　　从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。
　　b、代码取代攻击型
　　这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。
　　c、系统修改型
　　这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。
　　d、外壳附加型
　　这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。
　　有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。
　　1、反病毒软件的扫描法
　　这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平！
　　2、观察法
　　这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：
　　a、内存观察
　　这一方法一般用在DOS下发现的病毒，我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用“mem/c/p”发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。
　　b、注册表观察法
　　这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：  

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　　　c、系统配置文件观察法
　　这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell=”项，而在wini.ini文件中有“load= ”、“run= ”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。

chou99

d、复合型病毒
　　把它归为“复合型病毒”，是因为它们同时具备了“引导型”和“文件型”病毒的某些特点，它们即可以感染磁盘的引导扇区文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。
　　以上是按照病毒感染的对象来分，如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：
　　a、良性病毒：
　　这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。
　　b、恶性病毒
　　我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为“恶性病毒”，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。
　　c、极恶性病毒
　　这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。
　　d、灾难性病毒
　　这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这“万一”。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。
　　如按其入侵的方式来分为以下几种：
　　a、源代码嵌入攻击型
　　从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。
　　b、代码取代攻击型
　　这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。
　　c、系统修改型
　　这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。
　　d、外壳附加型
　　这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。
　　1、反病毒软件的扫描法
　　这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平！
　　2、观察法
　　这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：
　　a、内存观察
　　这一方法一般用在DOS下发现的病毒，我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用“mem/c/p”发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。
　　b、注册表观察法
　　这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：  

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　　　c、系统配置文件观察法
　　这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell=”项，而在wini.ini文件中有“load= ”、“run= ”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。
　　d、特征字符串观察法
　　这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。
　　e、硬盘空间观察法
　　有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件（这方法应不需要我来说吧？），相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。

chou99

当上网遇到一些恶意的网站，在背后偷偷修改你的注册表信息，把系统设置乱改一通，然后再锁住“注册表编辑器”（Regedit．exe），让你无法通过执行“Regedit”（注册表编辑器）这个程序来还原设置时，你该怎么办呢？

一、如何使用DOS命令

我们可以通过在DOS方式下执行“Regedit”来修改注册表，这个语法是：regedit files.reg。“files.reg”是指事先建立好的扩展名为“.reg”的注册表信息文件。如果REG文件与“Regedit.exe”不在同一个文件夹下的话（比如REG文件不在C:\Windows中，而“regedit.exe”位于C:\Windows中），REG文件名称前面就需要加上该文件所在的路径。例如：Regedit d:\temp\unlock.reg，这段话的意思就是告诉“Regedit”向注册表输入D:\Temp中名为“unlock.reg”的文件。REG文件只是一个纯文字文件，在文件格式上并没有特殊的地方，所以利用Windows的记事本就可以制作，惟一麻烦的地方是，你必须知道你要修改的注册表值是什么。下面就以实例解说，好让各位更容易明白。

二、如何编写REG文件

假设问题是：“Regedit”已经被锁住了，我们从“开始→运行→Regedit”按确定之后，出现“注册表编辑已经被您的系统管理员停用”。如何才能解除这个限制呢？

因为限制不准用户执行“Regedit”的注册表信息是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System中的 “DisableRegistryTools”这一项值。因此只要我们把“DisableRegistryTools”的值设为“0”（代表关闭），或是干脆把System这个注册表信息删掉（干净的操作系统本来就没有此信息）就行了。那这个REG文件怎么写，才能让“Regedit”顺利把其中的信息导入注册表呢？方法如下：

1、制作REG文件

新建一个文本文件，在其中输入以下内容：

REGEDIT4



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableRegistryTools=dword:00000000

注意：“REGEDIT4”这行与后面行之间要有一空行。

编辑好了以后，为文件取个名字储存，如“unlock.reg”并保存（存盘时请记得在记事本的存盘对话框中的“保存类型”要选择“所有文件（*.*）”，否则会被当作TXT文件的）。

2、导入REG文件

因为在Windows环境下，已经没有办法执行“Regedit”，所以就要改成从DOS下执行此命令。方法是“开始→程序→MS-DOS方式”。当然，你想用启动盘开机，从纯DOS下执行也行，只是不需要这么麻烦，用Windows中的MS-DOS方式即可。

假设我的这个unlock.reg是放在C:\TEMP的话，就输入regedit c:\temp\unlock.reg后按回车。接着画面上会出现“您确定要增加 c:\temp\unlock.reg信息到注册表”的对话窗——按“确定”，“unlock.reg”的内容就输入注册表了，同时也就解除了无法执行“Regedit”的限制了。

三、学会举一反三

REG文件为什么要以“REGEDIT4”开头，而不是“REGEDIT1”或“REGEDIT2”呢？因为这是“规定”。Windows 95/98/ME/NT 4.0等的REG文件开头第一行规定必须是“REGEDIT4”。而Windows 2000/XP则是“Windows Registry Editor Version 5.00”，用以区分所使用的操作系统。从这个REG文件中，我们可以了解REG文件的内容格式：

1、开头第一行一定是：“REGEDIT4”或“Windows Registry Editor Version 5.00”，以区别操作系统；

2、注册表信息头尾用“[”与“]”包起来；

3、 内就是字符串内容；

4、“DWORD”为“0”就是用“dword:00000000”表示，因为“DWORD”值是16进位，16进位的“0”就是“00000000”。

5、因为本例中只有一行注册表信息（[HKEY_CURRENT_USER\Software\Mi...]），所以没有空行。而如果有两个以上的注册表信息，信息与信息之间就需要有空行隔开。

6、如果要删除某个注册表信息该怎么办？很简单，在注册表信息前面加上“-”（减）号。例如，“unlock.reg”我也可以这么写：

REGEDIT4



[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

只要“-HKEY_CURRENT_USER\Soft...”就可以了，“DisableRegistryTools...”那一行就可以省去不写，为什么？因为这行就是告诉“Regedit”直接去把“System”这个注册表信息删掉，而“DisableRegistryTools”又是在“System”下，头都删了，当然里面的东西也就消失了

超愛這篇文章﹐謝謝分享