杀毒经验介绍

星月科教

与计算机病毒抗战八年： 铁甲是怎样练成的
文章来源：http://www.51tk.com/virus-news/2006042088.html
  皖潜山县黄铺中学  罗传纲

   作者的话： 由于本人地处山乡中学，与其他山区中学一样，学校里普遍存在重硬不重软的现象，由此给我们这些搞机房维护工作的教师带来诸多不便，不过也由此积累了一些徒手格斗的功夫，鉴于农村中学的情况大抵相同，我想就网络版杀毒软件写点有共性的东西，就KV网络版的应用写点心得，好给我们的同行或有类似情况的单位提供点借鉴。

   自九七年单位配发了一台电脑起，到现在与电脑为伴己有八年了。按说应算是一只“老鸟”了，但由于诸方面的原因，我这电脑水平还是够菜的。不过水平菜归菜，经过的折腾还真不少，俗话说，吃一堑长一智；又所谓菜者千试，必有一得，与病毒亲密接触久了，还真的让我学到了一些“土”办法。

   一开始，我的电脑只是单兵作战，加上自己什么也不懂，胆子又小，一听说这玩意儿要万儿八千元的，吓得什么操作都浅尝辄止，不敢造次。哪怕是插进一张软盘之类，都要用软盘版的ＫＶ杀毒软件在ＤＯＳ下咔嚓一遍，然后再进行其他操作，其结果是什么毛病没有，牙好胃口好，工作顺当——只不过它当时的工作大部分仅仅只是用XING播放VCD而己。

   话说回来，这么“蠢笨”的作法，在当时的条件及水平下还真是极其正确的。邻单位的机器就是因为没有这么蠢笨的举措，工资报表软盘里面的病毒感染至计算机中，结果机器一片漆黑（仅仅是黑屏），送到县里某电脑培训班（当时县里还没有专卖电脑的）的“老师”处修理，说是主板坏了，硬盘也烧了，（其实当时CIH病毒还没出来呢）白白花了二千元的冤枉钱！现在想起来，电脑ＪＳ还真是产生得早啊。嗨！不说废话了。总之我的机器这么和我一起幸运地度过了两个春秋。其间，我几乎连日带夜地利用它为我服务，什么WPS97、Office97 PS4.0,QBAISC,ForBase等等，均连蒙带猜地学得有点像样，我甚至还用Excel97给我单位编了一套简单的财务管理系统，每月只需在填制好会计凭证后，所有财务报表自动生成……
乐极生悲，在九九年的某一天，这天大家都知道。早晨起来我按下电源开关，发现机器无法启动，硬盘狂转，reset，再reset……结果机器再也无法启动，这才想起去年8月底公安部的CIH病毒通报，原来自己电脑感染了ＣＩＨ病毒，真是欲哭无泪啊，虽然是单位出钱更换了硬件，但我的一系列的手工劳动，单位文件、电子帐册等都化为乌有了……此处省略后悔字句约5000字。

   痛定思痛，专程找了许多有关病毒的资料进行研究，才真正知道自己的防护措施已经落伍了。当时结论有二：第一、自己的硬、软件知识，尤其是对电脑新病毒的了解没有快速更新；第二、杀毒软件没有及时升级。把杀毒软件没升级的原因排在后面的原因是当时的软件对未知病毒的查杀——只能算是口号吧？要不怎么会有那么多的机子倒在陈盈豪的手里啊，呵呵。

   自此之后，我便更加重视对机器的安全防护了，一方面如饥似渴地学习应用软件，一方面全心全意地研究操作系统及硬件。以便不重蹈覆辙，首先学会看懂及编写Autoexec.bat及配置config.sys文件，学点win.ini及system.ini文件的自动加载项目，积累一些常见病毒特征资料，熟悉其加载习惯，以便及时发现，及时清除其加载项。这种办法为我的机器及我“分管”单位解决了许多病毒故障，不过幸好当时没有碰上象冰河一样通过修改注册表启动项来加载的木马。后来我又学会了修改Msconfig文件，调整注册表。单是注册表的应用，东抄西摘地就整整记了一个小电话本，但是通过它，我逐渐掌握了注册的结构及功用，为我以后的系统维护及网络管理乃至硬件修理打下了基础。有些常规键值及其操作至今在与病毒的搏斗中还仍然发挥着重要作用。

   例如，有时在网络管理中要禁止别人修改注册表，就打开HKEY_CURRENT_USER\software\Microsoft\windows\currentVersion\policies\system建双字节值Disableregistrytools=1；需要检查病毒就在HKEY_CURRENT_USER\software\Microsoft\windows\currentVersion\run或runservers项中找可疑的程序及其键值，等等。实际上许多病毒或木马程序大都或是通过修改注册表键值、或通过注册表加载运行程序来达到感染系统、为客户端提供服务的，掌握了注册表，等于会了一把斩杀病毒的利刃。

   当然，才会了这些，如果说就能够高枕无忧的话，那只能说是自欺人。如果只是单机工作，不进行网络连接，除了尽可能地减少与传染源的接触外，再经常如上述一般操作一番，那倒是相安无事，但只要是连上了网络，或者登录用户为数众多，下载内容无法人为监控的话，光靠十指是抓不住那些水平比你高明得多的病毒与Hacker们的，平时我们还是要靠专业的杀毒软件、防火墙或漏洞扫描工具来为我们看家护院，并尽可能地及时升级病毒库。

   在选用杀毒软件上我着实费了一番脑筋，老早用的是江民的那个ＫＶ３００，后来在中了ＣＩＨ之后一度失去了信心，（其实那时是对杀毒软件大过高要求了）见人家用PC-cillin，自己也用了一段时间，感觉不太好用，一度又更换为金山毒霸、瑞星。就这样用了换、换了用，主要原因是没钱买正版。后来我利用工作之便，将我所管辖的一所学校配备的正版瑞星2004拷贝了一份，并用其序列号经常升级病毒库，用以防“毒”防“火”。只可惜我的机器本来并不强悍（老鸟的坏处？），瑞星一工作起来，系统资源只够它一个人享用，我实在无法忍受，只好在平时工作时关闭其进程，暂停其工作，一到上网才把它打开。每次这样操作一番费力事小，最可怕的是，经常在上网时就忘了打开它的防火墙，有时为了不影响ＢＴ下载速度也关了防火墙。终于有一天我开机发现我的硬盘到处都有一堆堆记不清名字的相同文件，文件体积很大，这个分区里删了，另一个分区里又有，而且体积很大，用杀毒软件杀毒……无济于事。一时搞得慌了神，吓得赶紧光驱启动，不管3721，format c:/q，重装系统后WIN+f找到这些文件，Ctrl+a,Ctlr+Del，这才清除干净。

   此那以后，我利用兼职当网管工作上的便利，我有针对性地比较使用了几个比较有名的正版杀毒软件，有国外的诺顿、卡巴斯基，国内的KV200*及金山毒霸200*，总的体会是，这些软件各有千秋，国外的杀毒软件占用系统资源普遍比较厉害（可能是他们的机器配置普遍比较高吧），另外对于国内新病毒的反应还没有国内软件好。国内的软件中经比较还是江民公司的更顺手些，一方面占用系统资源较少，另一方面不太烦人，不像有些杀毒软件过于夸张，动不动在上网时来个漏洞攻击什么的提示，而且还要把提示显示在桌面的正中间，有时简直让人有点无法忍受，就像是两恋人正准备接吻时，忽然有个“大哥”问路一样。当然这只是我个人理解，个人喜好而已哦。

   各杀毒软件推出其新版——*2006版之后，我均下载了试用版进行试用，最终我将目标锁定在江民的KV2006版上，我看重的就是它的主动防御功能里的未知病毒扫描工具及该版本的智能利用资源和真正的BOOTSCAN功能，这方面已有“大虾”们详细论述，我也就不班门弄斧了，有了这个新版的超级武器，我的那些一步一步的注册表展开＋号、在win.ini，system.ini寻找启动命令以及费力的Autoexec.bat的编写也都免了，唯一必须所要做是点击一下在线升级按钮，一般按照其默认设置便能完成以前那些手工操作所能完成和无法完成的纠马杀毒的工作了。有专业装甲防护，我们手中这把冷兵器时代的刀剑也只能暂且搁置，或放进历史的的博物馆中收藏了。并非鸟飞尽，良弓藏，而是KV2006给我把关，饶是你“现有”的灰色鸽子漫天飞，你飞得进来么？


   一味依赖杀毒软件，当然还是不够的，因为病毒总在不断更新，而我们的防火装备总是只能在新的病毒出现以后再打上防护补丁。事实上真正要做到万无一失，除了经常升级杀毒软件外，我还及时的对系统补丁进行更新。大多数病毒和黑客都是通过系统漏洞进来的，例如风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁，例如IE、OUTLOOK、SQL、OFFICE等应用程序。 另外要把那些不需要的服务关闭，例如TELNET，还有关闭Guset帐号等。

   在接收邮件时方面，提高警惕性，当收到那些无标题的邮件，或是你不认识的人发过来的，或是全是英语例如什么happy99，money，然后又带有一个附件的邮件，直接删除，不去点击附件，因为百分之九十以上是病毒。这样会比较好地防止新的、不能被杀毒软件识别的病毒感染。除了不去查看这些邮件之外，我们还要利用一下outlook中带有的黑名单功能和邮件过滤的功能。 还有很多黑客都是通过你访问网页的时候进来的，你是否经常碰到这种情况，当你打开一个网页的时候，会不断的跳出非常多窗口，你关都关不掉，这不是黑客试图进入你的电脑，就是你的系统被植入了恶意代码。 所以我将IE的安全级别调高一点，并经常删除一些cookies和脱机文件，还禁用那些Active X的控件。

   经这样一番操作，我的系统才正真能做到能守善“工”了。我的铁甲就是这样炼成的啊！

天天向上

支持！

华成

感谢分享
对牛弹琴，我没看懂，惭愧

自由飞翔

我也要学学

sxq006

看是看了，不过，天也太晚了，明天再细看吧。哦，不，已经到了“今天”，那就等今天有时间时再看吧。

今世缘

终于看完了,感谢楼主让大家和你一起分享你和电脑病毒对抗的心得,让我们学到不少有用的知识.

心雨科技

不错，支持

心雨科技

不错，支持

星星雨

好长啊，好不容易看完的，可惜没看懂:L