當提到木馬和流氓軟件這些字樣時，不知道有多少網民痛心疾首，甚至也讓許多網民束手無策。就從最近在IT界上發生了無數次事件來說吧，9月12日晚上11時37分，著名的搜索引擎機構-北京百度公司被黑客攻擊，隨后，這次攻擊使百度搜索服務在全國各地出現了近30分鐘的故障，從而使百度不能提供正常的服務，最近一段時間以來，百度公司負面事件不斷；專業提供虛擬主機以及域名服務商-北京新網數碼信息技術有限公司（簡稱：新網）接二連三地被黑客攻擊，新網被黑后幾天，國內另一域名注冊和虛擬主機服務提供商-創聯萬網國際信息技術北京有限公司（簡稱：中國萬網）也被黑客們大規模的攻擊，其次就是流氓軟件的泛濫成災，導致許多用戶的機器成為病毒的棲息地，用戶拼命地用各種各樣的殺毒軟件去干掉它們，甚至重裝系統或者格式化硬盤，中文域名的搶注與被搶注問題等等，朋友們，事實就擺在我們面前，我們該拿什么出來挽救自己的網絡呢？我們怎樣行動起來呢？

木馬病毒的寄生所：注冊表

現在最讓網民頭痛的除了木馬、病毒之外，而注冊表一直都是很多木馬和病毒“青睞”的寄生場所，除此之外恐怕就是那種修改注冊表的惡意代碼了，它們不僅隨意篡改用戶IE瀏覽器的各種屬性，如標題欄、起始頁等等，甚至有時還會在注冊表中加入一些特殊的鍵值來達到禁用注冊表編輯或限制程序運行的目的，最可惡的是，有些木馬你通過各種清除它的方法首先把它干掉了，可是你重新啟動你的機器時，木馬死而復生了,例如說曾讓許多網民痛恨的7939木馬病毒。面對如此猖獗的惡意代碼，我們豈能坐以待斃，那我們怎么做到一人防守萬人(木馬病毒以及流氓軟件等等帶有破壞性的東東)難攻呢？

當某天我們打開自己的電腦或者在上網的路途中，發現自己的機器像是蝸牛在爬行時，甚至同一個網頁不斷在自己眼前跳舞，一分鐘之內就可以連續跳100步舞曲之上，最后直到資源耗盡死機，說到這里，我想有意識的人應該會覺悟得到，我的電腦中毒了。有些人不禁在問，我是電腦盲，我還是第一次用電腦呢，我該怎么做才能把病毒一網打盡呢？這個問題問得好，對于一些電腦新手來說，注冊表是個很難理解的一組詞語，簡單來說的話，注冊表就是操作系統的數據庫，相當于一個國家的金庫，里面存放著許多金銀財寶以及國家秘密，那我們通過什么樣的方法進入呢？在XP/2000/2003等等WINDOWS系列的操作系統中,我們可以通過下面這個方法，看到電腦的左下角一個”開始”菜單，然后我們用鼠標點擊它一下，再點擊”運行”此選項，我們進入”運行”工作環境中，我們在空白框中輸入這樣的英文字母, regedit，最后點擊確定就可以進入注冊表編輯器倉庫了，緊接著我們就可以進入下一個環節了。

檢查注冊表以及設置注冊表

一、檢查注冊表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run以及HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名一般為EXE，然后記住木馬程序的文件名，再在整個注冊表中搜索，凡是看到了一樣的文件名的鍵值就要毫不留情地刪除，接著到電腦中找到木馬文件的藏身地將其徹底刪除。

二、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的幾項(如Local Page)，如果發現鍵值被修改了，只要根據你的判斷改回去就行了。

三、檢查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來，很多病毒就是通過修改.txt、.ini等的默認打開程序而清除不了的。

四、有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

DisableRegistryTools =

為了阻止用戶利用.REG文件修改注冊表鍵值，以下鍵值也會被修改來顯示一個內存訪問錯誤窗口

例如:Win32.Swen.B 病毒 會將缺省健值修改為:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(Default) = "cxsgrhcl.exe

showerror"

五、取消“默認共享”

安全隱患:大家都知道在windows 2000/xp/2003中，系統默認開啟了一些“共享”，它們是ipc$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個默認共享入侵操作系統的。

解決方法:要防范ipc$攻擊應該將注冊表中“hkey_local_machine\system\currentcontrolset\control\lsa”的restrictanonymous項設置為“1”，這樣就可以禁止ipc$的連接。

對于c$、d$和admin$等類型的默認共享則需要在注冊表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters”項。如果系統為windows 2000 server或windows 2003，則要在該項中添加鍵值“autoshareserver”(類型為“reg_dword”，值為“0”)。如果系統為windows 2000 pro，則應在該項中添加鍵值“autosharewks”(類型為“reg_dword”，值為“0”)。

六、拒絕activex控件的惡意騷擾

安全隱患:不少木馬和病毒都是通過在網頁中隱藏惡意activex控件的方法來私自運行系統中的程序，從而達到破壞本地系統的目的。為了保證系統安全，我們應該阻止activex控件私自運行程序。

解決方法:activex控件是通過調用windows scripting host組件的方式運行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣activex控件就不能調用windows scripting host了。然后，在注冊表中找到“HKEY_LOCAL_MACHINE\software\ classes\clsid\{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}”，將該項刪除。通過以上操作，activex控件就再也無法私自調用腳本程序了。

七、禁止病毒啟動服務

安全隱患:現在的病毒很聰明，不像以前只會通過注冊表的run值或msconfig中的項目進行加載。一些高級病毒會通過系統服務進行加載。那么，我們能不能使病毒或木馬沒有啟動服務的相應權限呢?

解決方法:運行“regedit”指令啟用帶權限分配功能的注冊表編輯器。在注冊表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services”分支，接著點擊菜單欄中的“編輯→權限”，在彈出的services權限設置窗口中單擊“添加”按鈕，然后單擊”高級“->“立即查找”,將everyone賬號導入進來，然后選中“everyone”賬號，將該賬號的“讀取”權限設置為“允許”，將它的“完全控制”權限取消。現在任何木馬或病毒都無法自行啟動系統服務了。當然，該方法只對沒有獲得管理員權限的病毒和木馬有效。

八、病毒自討苦吃

安全隱患:很多病毒都是通過注冊表中的run值進行加載而實現隨操作系統的啟動而啟動的，我們可以按照“禁止病毒啟動服務”中介紹的方法將病毒和木馬對該鍵值的修改權限去掉。

解決方法:運行“regedit”指令啟動注冊表編輯器。找到注冊表中的“HKEY_LOCAL_MACHINE\software\microsoft\windows\

currentversion\run”分支，將everyone對該分支的“讀取”權限設置為“允許”，取消對“完全控制”權限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。

九、防止網頁腳本病毒執行

腳本病毒的執行離不開WSH。WSH全稱“Windows Scripting Host”,是微軟提供的一種基于32位Windows平臺的、與語言無關的腳本解釋機制，它使得腳本能夠直接在Windows桌面或命令提示符下運行。WSH所對應的程序“WScript.exe”是一個腳本語言解釋器，位于Windows所在的文件夾下，大多數系統在默認安裝后都會有WSH的身影。正是由于它使得腳本可以被執行，也因此給腳本病毒的傳播提供了途徑，方法：通過打開“我的電腦”，依次點擊[工具]→[文件夾選項]→[文件類型]在文件類型中將后綴名為“VBS、VBE、JS、JSE、WSH、WSF”的所有針對腳本文件的操作均刪除。這樣這些文件就不會被執行了。

十、做好IE的安全設置

ActiveX控件和Java Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控件編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是:“工具”→“Internet選項”→“安全”→“自定義級別”，建議您將ActiveX控件與Java相關選項禁用。謹慎些總沒有錯!

另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過，微軟在這里隱藏了“我的電腦”的安全性設定，通過修改注冊表把該選項打開，可以使我們在對待ActiveX控件和Java Applets時有更多的選擇，并對本地電腦安全產生更大的影響。

下面是具體的方法:打開“開始”菜單中的“運行”，在彈出的“運行”對話框中輸入Regedit.exe，打開注冊表編輯器，點擊前面的“+”號順次展到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右邊窗口中找到DWORD值“Flags”，默認鍵值為十六進制的21(十進制33)，雙擊“Flags”，在彈出的對話框中將它的鍵值改為“1”即可，關閉注冊表編輯器。無需重新啟動電腦，重新打開IE，再次點擊“工具→Internet選項→安全”標簽，你就會看到多了一個“我的電腦”圖標，在這里你可以設定它的安全等級。將它的安全等級設定高些，這樣的防范更嚴密。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001