1 计算机防病毒知识培训
1.1 明确病毒的分类
1.1.1. 木马病毒
木马病毒的前缀是：Trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏，然后再向外界泄露用户的信息。一般的木马如QQ消息尾巴Trojan.QQPSW.r，网络游戏木马病毒Trojan.StartPage.FH等。病毒名中有PSW或者什么PWD之类的是表示这个病毒有盗取密码的功能，所有这类病毒特别需要注意。中国最有名的木马：冰河；

1.1.2. 脚本病毒
脚本病毒的前缀是：Script。脚本病毒是用脚本语言编写，通过网页进行的传播的病毒，如红色代码Script.Redlof等。有些脚本病毒还会有VBS、HTML之类的前缀，是表示用何种脚本编写的，如欢乐时光VBS.Happytime、HTML.Reality.D等。

1.1.3. 系统病毒
系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的特点是可以感染Windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播，如以前有名的CIH病毒就属于系统病毒。

1.1.4. 宏病毒
宏病毒也可以算是脚本病毒的一种，由于它的特殊性，因此就单独算成一类。宏病毒的前缀是：Macro，第二前缀有Word、Word97、Excel、Excel97等，根据感染的文档类型来选择相应的第二前缀。该类病毒的特点就是能感染OFFICE系列的文档，然后通过OFFICE通用模板进行传播，如以前著名的美丽莎病毒Macro.Melissa。

1.1.5. 蠕虫病毒
蠕虫病毒的前缀是：Worm。这种病毒的特点是可以通过网络或者系统漏洞来进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性，大家比较熟悉的这类病毒有冲击波、震荡波等。

1.1.6. 捆绑机病毒
捆绑机病毒的前缀是：Binder。病毒作者会使用特定的捆绑程序把病毒与一些应用程序（如QQ等大家常用的软件）捆绑起来，表面上看去是个正常的文件，但当用户运行这些应用程序时，也同时运行了被捆绑在一起的病毒文件，从而给用户造成危害。如系统杀手Binder.killsys。

1.1.7. 后门病毒
后门病毒的前缀是：Backdoor。该类病毒的特点就是通过网络传播来给中毒系统开后门，给用户电脑带来安全隐患。如爱情后门病毒Worm.Lovgate.a/b/c。

1.1.8. 破坏性程序病毒
破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

1.2 黑客攻击的主要方式
黑客对网络的攻击方式是多种多样的，从攻击原理上讲，网络攻击主要是利用"系统配置的缺陷"，"操作系统的安全漏洞"，"通信协议的安全漏洞"，"数据库缺陷"等来进行的。据相关权威机构统计，截至到目前为止，已经发现的攻击方式超过数千种，其中对绝大部分黑客攻击手段已经有相应的解决方法。目前，网络攻击的主要方式有以下六类：

1.2.1 拒绝服务攻击
拒绝服务攻击，又称DDoS攻击。一般情况下，拒绝服务攻击是通过网络使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前，已知的拒绝服务攻击就有几百种，它是网络攻击最常用的一种攻击手段，也是最难对付的入侵攻击方式之一，典型拒绝服务攻击方式有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段，可是这个Ping也能给Windows系统带来严重的后果，那就是Ping入侵即是ICMP（Internet Control and Message Protocal是因特网控制消息错误报文协议）入侵，原理是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃，通常在一个时段内连续向计算机发出大量请求而导致CPU处理不及而死机。

1.2.2 非授权访问尝试
该种攻击方式是攻击者对被保护文件进行读、写或执行的尝试，其中包括为获得被保护访问权限所做的尝试。通过反复尝试获得计算机的权限，获取了权限之后，计算机就成为攻击者手中的玩物了。

1.2.3 预探测攻击
在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用一些攻击软件进行攻击尝试。典型的扫描软件有X-Scan，SSport高端口扫描软件及IP扫描软件等。借助这些软件，攻击者可以非常容易的发现计算机的漏洞，从而找出漏洞进行攻击。

1.2.4 可疑活动
是通常定义的"标准"网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

1.2.5 协议解码
协议解码是攻击方式中最有效的模式之一，因为对协议解码之后，用户可以获得网络中计算机的用户名、密码等信息。有了计算机的用户名和密码，攻击者还有什么不可以做？对于工作在网络中的计算机，FTP服务器，Web服务器，通过协议解码都可以获得服务器的权限。

1.2.6系统代理攻击
这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

1.3 如何配置WIN2000服务器安全问题
目前，WIN2000 SERVER是比较流行的服务器操作系统之一，但是要想安全的配置微软的这个操作系统，却不是一件容易的事。本文试图对win2000 SERVER的安全配置进行初步的探讨。

1.3.1定制自己的WIN2000 SERVER
1． 版本的选择：
WIN2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）

2． 组件的定制：
win2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的，你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。如果你确实需要安装其他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)，Remote Registry Service这几个危险服务。

1.3.2正确安装WIN2000 SERVER
1． 分区和逻辑盘的分配，
有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是很不好的，建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

2． 安装顺序的选择：

win2000在安装中有几个顺序是一定要注意的：
首先，何时接入网络：Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之前，一定不要把主机接入网络。
其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。

1.3.3 安全配置WIN2000 SERVER
即使正确的安装了WIN2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。

1． 端口：
端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。

2． IIS：
IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点。
首先，把C盘那个什么Inetpub目录彻底删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向D:\Inetpub；
其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除（罪恶之源呀，忘http://www.target.com/s cripts/..%c1%1c../winnt/system32/cmd.exe了？我们虽然已经把Inetpub从系统盘挪出来了，但是还是小心为上），如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）
第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查以前的漏洞列表吧。

在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。

最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

3．账号安全：

保护操作系统的用户列表
Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA - RestrictAnonymous = 1来禁止139空连接。

删除Administrator帐户
好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的administrator，怎么办？我改改改，在计算机管理->用户账号中右击administrator然后改名，改成什么随便你，只要能记得就行了。

隐藏登录控制台的用户
不对不对，我都已经改了用户名了，怎么还是有人跑我管理员的密码？幸好我的密码够长，但是这也不是办法呀？嗯，那肯定是在本地或者Terminal Service的登录界面看到的，好吧，我们再来把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don't Display Last User Name串数据改成1，这样系统不会自动显示上次的登录用户名。
将服务器注册表
HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1，隐藏上次登录控制台的用户名。

4．安全日志：
请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。

与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟

同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

5.目录和文件权限：
为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。
在进行权限控制时，请记住以下几个原则：
（1）权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；
（2）拒绝的权限要比允许的权限高（拒绝策略会先执行），如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；
（3）文件权限比文件夹权限高
（4）利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；
（5）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；

放弃$共享
"HKEY_LOCAL_MACHINE\SYSTEM\Curren-tControlSet\Services\lanmanserver\parameters"，之后在其下新建一个"双字节值"，取名为"AutoShare-Server"的，并将其值设为"0"。之后重新启动服务器即可。对于professional版：同上面一样只是将AutoShareServer改为AutoShareWks

6.预防DoS：
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，win2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形，在这个工具中，我们可以轻易的定义输入输出包过滤器，例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

1.4 平时只使用user权限使用系统
想必大家都为网上的病毒和木马头疼，如果大家使用的是windows 2K 或Windows XP的话。今天就教大家一招金蝉脱窍，养成良好的使用系统的习惯 -- 可以防止病毒。

如果你是新装的系统(或者是你能确认你的系统当前是无毒的)，那就再好不过了，现在就立即就打开:

"开始→程序→管理工具→计算机管理→本地用户和组→用户"

首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是双保险：如果你忘记了其中一个密码，还可以使用另一个超管密码登陆来挽回，免得你被拒绝于系统之外；再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。

接着再添加两个用户，比如用户名分别为：user1、user2；并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了，只使用user1登陆就可以了。

巧改IE浏览，隐藏活动用户
登录之后上网的时候找到ie，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择"以其他用户方式运行"点确定!要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密码。

好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了！因为你当前的系统活动的用户是user1。而user2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过ie得到的信息都将让它都将以为这个user2就是你当前活动的用户。

如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅是use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为user2根本就没运行，怎么能取得系统的操作权呢？既然取不得，也就对你无可奈何了。

而他们更不可能跨越用户来操作，因为微软的配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据user1的位置!所以你只要能保证总是以这个user2用户做代理来上网(但却不要使用user2来登陆系统，因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活!)，那么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒!

金蝉脱壳之术
不过总有疏忽的时候，一个不小心中毒了怎么办?不用担心，现在我们就可以来尽情的表演脱壳的技术了!

重新启动计算机，使用超级管理员登陆--进入系统后什么程序都不要运行。

你会惊奇的发现在的系统竟然表现的完全无毒，那就再好不过了，现在就立即就打开:

"开始→程序→管理工具→计算机管理→本地用户和组→用户"

把里面的user1和user2两个用户全删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了--(好象是陪葬，呵呵!)。这么做过之后我保证你的win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的!

好!现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为win2k重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的!!!建立完成之后立即注销超级管理员，假如使用user1登录，继续你做的事吧，你会发现你的系统如同全新了。

1.5 一般病毒的手动查杀方法
如果我们不幸染上了病毒，大多数情况我们可以手动查杀。
1.5.1让病毒从目录中消失
我们先得从病毒所在的目录入手，如果病毒像正常的软件一样有自己独立的目录，那么我们可以略微的笑笑了--这个病毒比较弱。检查目录的创建时间就可以知道您是什么时候染的毒，并可能发现毒从何来。如果它没有自己单独的目录，而是存在于系统目录，那也比较好办，这种病毒的破坏性一般不是很大，您就直接查看它的属性就可以了解到一切必要的信息。如果它存在于您计算机上的每个目录，那这时候Windows自带的文件搜索功能就派上用场了。尽管它复制的到处都是，但这种病毒都只有一个主程序文件，且都是一个娘胎生的，文件大小必然一致。打开文件搜索的高级功能，填入EXE文件类型并把文件的大小输入，然后按下回车键，接着藏在您硬盘每个角落的病毒就会被暴露无疑。利用创建时建排序，您可以发现第一个攻击您机器的病毒了。现在所有的病毒数据文件几本都在眼前了，至少是病毒能对你发动攻击的主要成分，那么就请大开杀戒吧，把您找到的与任何与病毒相关的EXE、DLL、数据全部删除。不过别做的太绝，留上至少一个EXE作为标本，将其扩展名改为DAT并用RAR打包，我们以后还用的上。另外还是请您非常的小心谨慎，别把不是病毒的文件给误删了，那可是致命的错误！在处理完硬盘病毒后，千万不要重起计算机，那可能会导致前功尽弃，因为有的病毒的正身我们并不能如此轻易的找到。如果有些病毒不以EXE的身份出现，而是其它的比如COM、RAR等，我们的文件尺寸搜索法一样适用，换个扩展名就行了。不过我还是要告诉您一件不幸的事，主程序文件尺寸不一样的病毒现在还没有但并不代表以后不会有，到那时我们只能用关键数据匹配搜索了。

1.5.2对病毒最后的阵地发动总攻
硬盘上的病毒虽然已被我们斩草除根，但更麻烦的事还在等着我们，要知道负隅顽抗的敌人才是最可怕的。病毒的最后阵地在哪呢？无疑就是那传说中的注册表。因为系统服务的信息都存储在注册表里，我就把服务的内容归类在这一节了。首先应该做的事是仔细检查你的服务列表，仔细核对每一个没有描述的服务，看是否和你刚结束掉的进程有关。对于中文版Windows的用户来说，查出病毒服务是有一定优势的，原因说来比较可笑，那就是国外写病毒的程序员不懂中文，因此他们不会用中文的描述来将自己伪装成系统服务。因此对于一切英文描述的服务也应该格外注意。我还见过更狠的病毒，它将系统正常的进程干掉，然后将那个进程的描述、名称等信息套用在自己身上，伪装的真是天衣无缝。但最终还是露出了马脚，它所对应的EXE文件是完全不对路的。当确保进程是安全的，那我们就可以直接进入注册表了，先检查系统起动时自动运行的注册项，看有没有可疑的程序。我的经验是在系统启动时基本不运任何程序，真的要运行就放在开始菜单的启动项里，这样不仅安全，而且可以为你发现病毒带来极大的便利。事实上，长期以来的无数次实践证明，将所有的自动启动项都删除对于机器是没有任何不良影响的。系统本身不会把关键的启动程序放在那里，对于系统运行最关键的其实是服务。不过当你在这里发现病毒时先不要急于删除键值，您应该将它记录下来，看看它对应的程序是否已被你备案。然后将病毒程序可能的名字都复制下来，逐个在注册表中搜索，把找到的所有的匹配项全部删掉。不过这样做还是有一定的危险性，我强烈建议您在删除前导出键值以做备份。在注册表的查杀和扫描工作结束后，我们终于可以长嘘一口气了，因为病毒及其家人很可能已经被我们残忍的屠杀干净了。在您再次检查进程列表确保无误后，就可以重起计算机看看病毒是否会再次发作了。

原来目前不少流行的网络病毒一旦启动后，会自动在计算机系统的注册表启动项中遗留有修复选项，待系统重新启动后这些病毒就能恢复到修改前的状态了。为了"拒绝"网络病毒重启，我们可以从一些细节出发，来手工将注册表中的病毒遗留选项及时删除掉，以确保计算机系统不再遭受病毒的攻击。

例如计算机系统感染了网络病毒后，可能会在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
等注册表分支下面的键值中，出现有类似有.html或.htm这样的内容，事实上这类启动键值主要作用就是等计算机系统启动成功后，自动访问包含网络病毒的特定网站，如果我们不把这些启动键值及时删除掉的话，很容易会导致网络病毒重新发作。

为此，我们在使用杀毒程序清除了计算机系统中的病毒后，还需要及时打开系统注册表编辑窗口，并在该窗口中逐一查看上面的几个注册表分支选项，看看这些分支下面的启动键值中是否包含有.html或.htm这样的后缀，一旦发现的话我们必须选中该键值，然后依次单击"编辑"/"删除"命令，将选中的目标键值删除掉，最后按F5功能键刷新一下系统注册表就可以了。

当然，也有一些病毒会在上述几个注册表分支下面的启动键值中，遗留有.vbs格式的启动键值，发现这样的启动键值时我们也要一并将它们删除掉。

阻止通过后门进行启动
为了躲避用户的手工"围剿"，不少网络病毒会在系统注册表的启动项中进行一些伪装隐蔽操作，不熟悉系统的用户往往不敢随意清除这些启动键值，这样一来病毒程序就能达到重新启动目的了。
例如，一些病毒会在上面几个注册表分支下面创建一个名为"system32"的启动键值，并将该键值的数值设置成"regedit -s D:\Windows"（如图1所示）；咋看上去，许多用户会认为这个启动键值是计算机系统自动产生的，而不敢随意将它删除掉，殊不知"-s"参数其实是系统注册表的后门参数，该参数作用是用来导入注册表的，同时能够在Windows系统的安装目录中自动产生vbs格式的文件，通过这些文件病毒就能实现自动启动的目的了。所以，当我们在上面几个注册表分支的启动项中看到"regedit -s D:\Windows"这样的带后门参数键值时，必须毫不留情地将它删除掉。

阻止通过文件进行启动
除了要检查注册表启动键值外，我们还要对系统的"Win.ini"文件进行一下检查，因为网络病毒也会在这个文件中自动产生一些遗留项目，如果不将该文件中的非法启动项目删除掉的话，网络病毒也会卷土重来的。
一般来说，"Win.ini"文件常位于系统的Windows安装目录中，我们可以进入到系统的资源管理器窗口，并在该窗口中找到并打开该文件，然后在文件编辑区域中检查"run="、"load="等选项后面是否包含一些来历不明的内容，要是发现的话，必须及时将"="后面的内容清除干净；当然，在删除之前最好看一下具体的文件名和路径，完成删除操作后，再进入到系统的"system"文件夹窗口中将对应的病毒文件删除掉。

1.5.3真正可怕的对手
还记得上面的内容中曾经提到过的寄生在浏览器进程或系统服务进程中的病毒吗？它们当之无愧是我们最可怕的敌人。然而随着您将他们藏在注册表里的信息清除掉，它们中的大多数在您重起机器后就不会再附加在系统进程上了，这时就可以按照上面的方法将它们清除，这听起来并不很复杂是吗？但更加令人恐怖的病毒还在后面，那就是病毒在运行的时候对注册表实施了监控，一旦发现它在注册表里的注册信息被破坏，将会立即复原，使你对注册表的操作无效。对于这样的病毒，我们只能用干净的DOS启动盘启动机器，然后将它的程序文件删掉，再启动进入Windows，删除它在注册表里的信息。有的朋友会问，为什么不进入安全模式杀毒。当然，在安全模式下绝大多数无用的服务和进程不会被启动，然而这对于那些丧心病狂的特殊病毒这是无效的，甚至于当它们发现您的机器进入了安全模式后会立即发动最后猛攻，使您的机器彻底瘫痪。虽然这么狠的病毒对于一般的朋友来说是百年难遇的。

1.6 个人防病毒手册
了解清楚了计算机病毒的本质，其实病毒一点也不可怕，而且有助于提高大家的计算机水平，计算机一直就是伴随着病毒的发展而不断发展的。
病毒的来源主要包括两个方面：病毒自己来的，使用者主动找来的。为了减少病毒对工作的影响，我们需要在两个方面养成良好的工作习惯。

（1）首先将自己的操作系统的进行安全配置
可以按照第三部分的内容，即时的更新操作系统的补丁，封堵漏洞；
合理配置系统，关闭不常用的服务和端口；

（2）安装杀毒软件和防火墙

（3）平时尽量不用administrator权限的用户登录系统，使用user用户；必须使用超级管理员登录的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成。

（4）尽量调低user的权限，不让修改注册表，系统时间等等，使用不活跃的user用户上网；

（5）不要点电子邮件中的链接和回复电子邮件；

（6）不要去不安全的小网站；

（7）不要在网上下载文件，在自己的计算机上安装；

（8）另外，发现病毒，立刻与网络断开。