6新手无毒第六课.docVIP

新手无毒培训班第六课完全教程 时间:2008-08-25 13:17来源:网络　　 作者:未知 点击: 561次 一夫当关，万夫莫开，阻止AUTORUN的暗堡—MD命令 在autorun刚开始盛行的时候有人用建立文件夹的方法免疫可是当一些病毒制造者知道后便在病毒中插如了先删除autorun.inf文件夹的代码所以很快变失效了后来找到了另一种方法:就是在autorun.inf文件夹下建立一个不可删除的子目录（1）进入要免疫磁盘的根目录 （2）md autorun.inf 新建一个名为autorun.inf的文件夹 （3）cd autorun.inf（进入Autorun.inf文件夹） （4）md killdu..\（关键一步，使得autorun.inf文件夹无法删除）注意后边一定要带..这样就不可删除了，病毒也就不可以写入了 关于怎么删除这个文件夹：还是在命令行进入刚建立的autorun.inf目录下 用命令rd autorun.inf\killdu..\,然后再删除autorun.inf文件夹即可！ 不过这方法有个缺点就是可能被改名称,如果病毒无法攻下它时就可以给他重命名，这样仍然可以建立新的AUTORUN。INF文件了，所以这里还需要另一个武器： 严格审核的指纹密码锁—CACLS 该命令可以对任意文件夹设置不同的权限，用来设置各个用户对目标文件夹的使用权力的大小。这里我们的目的就是用它给AUTORUNINF文件夹加把锁，禁止任何人对它进行修改： 这里我的用户名为USER 参数/D是拒绝任何操作的意思，这样加个把结实的锁后再想给它改名就会出现： 其实使用了这个命令加锁的话,上面的?md killdu..\ 建立不可删除文件夹步骤也可以省略了 不过这把锁只能用在磁盘格式为NTFS的盘中。 盒子之外 　　怎么样，见识到了这个黑盒子里武器的厉害吧，可惜CMD不是机器猫的口袋，它的容积始终有限。不过没关系，盒子之外还有更广阔的空间，这里仍然有让我们心动的杀毒好帮手等待我们去发挥，那让我们继续来看吧！ 　　微软给我定制的恶意工具清除器—MRT 　　mrt.exe是微软增强安装技术相关程序，用于监视间谍软件和其它系统进程在你不知情的情况下访问网络。 　　在运行栏键入:?? MRT.EXE?? 就可以打开的，并随时查杀系统。 　　查看各个进程路径辨真伪的放大镜—Msinfo32 　　点击开始菜单，选择运行，输入Msinfo32，找到‘软件环境“下的“正在运行任务”。或开始-程序——附件——系统工具——系统信息——软件环境——正在运行任务 在这里可以看到任务管理器里所看不到的当前正在运行的程序所在路径（不过VISTA系统的任务管理器似乎可以查看了），因为有很多病毒会起一个和系统正常进程几乎一样的名子，比如系统正常进程SVCHOST。EXE，病毒会把自己名字起得和它一样，只是把其中字母0改为数字0，这样看来就是SVCH0ST。EXE怎么样，几乎肉眼无法分别出，所以这时候就需要查看这程序所在位置以识别真伪，对于隐藏的进程那只有用相关工具查看了，当然，系统正常进程怎么会隐藏呢？ 　　不过这方法也不绝对有效，因为病毒文件既然名字可以起的类似正常程序，那也可以和正常程序躲到一个被窝里嘛。这时候我们又该怎么办呢？别急，只要对它们说：“请出示您的身份证！“ 证明程序是否合法的身份证—版本信息 每个程序都有记录自己主要信息的身份证，通过它我们可以了解此程序的详细情况，以辨别它是否冒牌货。要程序掏出证件的方法很简单，右击程序选择属性，点击版本，看到没 它的名字，家长，种类等等都一览无余了。不过身份证也是可以伪造的，恶意程序往往都很狡猾，如果它出示****件怎么办呢？别担心，指纹识别检验它 每个程序都唯一的指纹—数字签名 通常，软件发行时，为向用户证明该程序未经篡改，会在发布版本时使用数字签名。确保传输电子文件的完整性、真实性和不可抵赖性。 这里我们就可以通过一些数字签名查看工具查看一些可疑程序是否有签名 而一般的病毒是不具备的。不过指纹技术虽然可靠但也不是无懈可击，如果病毒破坏了数字签名或与正常程序捆绑在一起那可很糟糕了，所以对安全要求很高的我们遇到这种厉害的恶意程序时，也要用厉害的方法—DNA检测来一查到底 不可抵赖的文件DNA—MD5值 MD5的实际应用是对一段Message 字节串 产生fingerprint 指纹 ，可以防止程序被他人“篡改”。 通俗地说MD5码就是个验证码，通过MD5验证即可检查文件的正确性，例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门（若是校验结果不正确就说明原文件已被人擅自篡改）。 现在越来越多的网站提供的软件下载包里也附加了该软件的MD5值，当你下载回来后可以再用MD5校验工具（可以在网