3.3.4 Windows注册表分析与维护
利用Windows注册表不仅可以帮组用户、网络管理人员提高工作效率,同时也大大加强Windows操作系统的安全性。它包含五个方面的信息:PC全班硬件设置、软件设置、当前配置、动态状态和用户特定设置等内容。
1、注册表的概述
注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用运行方式的设置。Windows注册表包括的项目有:每个用户的配置文件、计算机上安装的程序和每个程序可以创建的文档类型、文件夹和程序图标的属性设置、系统中的硬件、正在使用的端口等。
注册表按层次结构来组织,由项、子项、配置单元和值项组成。
单击“开始”菜单中的“运行”命令,在打开的对话框中输入“regedit”,回车后即可打开注册表编辑器,如图3-6所示;在注册表编辑器中可以修改、新建或删除注册表项,也可以导入和导出注册表项。
图3-6 注册表编辑器
2、注册表的内部结构
注册表是Windows的一个内部数据库,是一个巨大的树状分层的数据库。它记录了用户安装在机器上的软件和每个程序的相互关联关系;它包含了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备。
注册表的外部形式是Windows目录下的两个二进制文件System.dat和User.dat,内部组织结构是一个类似于目录管理的树状分层的结构包括:根键、子建、键值名称及键值数据。
3、注册表的日常维护
注册表被破坏后系统会有出现无法启动,无法关机;无法运行合法的应用程序。
破坏注册表的原因:
(1)向系统中添加应用程序和驱动程序。 (2)硬件被更换或被损坏。 (3)用户手工修改注册表。 4、注册表的备份与恢复
(1)使用regedit备份/恢复注册表 注册表的备份
运行“regedit”,打开“注册表编辑器”窗口。
打开“注册表”→“导出注册表文件”菜单命令,弹出“导出注册表文件”对话框。如图3-7所示,选择注册表备份文件的保存路径、名称以及保存全部还是只保存注册表的某个分支。根据需要设置好后,单击“保存”按钮完成注册表的备份。
图3-7导出注册表文件
注册表的恢复
打开“注册表编辑器”后,运行“注册表”→“导出注册表文件”,弹出的“引入注册表文件”对话框。
找到已经导出的注册表备份文件,单击“打开”按钮即完成注册表的恢复,恢复完成后单击“确定”按钮并重启计算机。
(2)利用注册表编辑器恢复
用引导盘启动计算机,进入Windows目录,在该目录下键入“regedit/C*.reg”,其中*reg为备份的注册表文件名,然后重新启动计算机使新的注册表生效。 3.3.5关闭不必要的端口
以下是一些可能被攻击的端口,一般情况下,应该要把这些端口屏蔽掉。
(1)23端口。若这个端口开着非常的危险,这个端口主要用做TELNET登录。Telnet服务给我们的最直接的感受就是它可以使得我们忘掉电脑与电脑之间的距离。利用23端口的Telnet我们可以象访问本机那样访问远程的计算机。Telnet协议的初衷是用来帮助我们对于计算机实现远程管理与维护,以提高我们的工作效率。但在一定情况下反而成为了一个黑客攻击最常利用的一个端口。若不怀好意的人利用Telnet服务登陆到23端口,就可以任意在对方电脑上上传与下载数据,包括上传木马与病毒等等。
(2)21端口。这个端口主要用来运行FTP服务。糟糕的是,这个端口,若管理不善的话,是可以用户进行匿名登陆的。并能够利用这个端口远程登陆并运行远程命令,这也就是说,可以在远程上传木马等工具并在远程控制其运行。同时,还可以利用FTP服务了解到攻击所需要的基本信息,如用的是什么操作系统等等;甚至能够获知可用的帐号,等等。一般情况下,没有必要开启21号端口。
(3)135端口。通过135端口入侵实际上就是在利用操作系统的RPC漏洞。一般情况下,135端口主要用来实现远程过程调用。通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码。利用这个漏洞,可以通过这个端口得到电脑上的“主机”文件。得到这个文件后,再利用一定的工具便可以知道该电脑上可用的计算机用户名与密码,甚至是管理员的用户名与密码。得到这个用户名之后,如可以上传木马工具,随意的查看重要的文件,并对进行破坏和窃取。
以关闭135端口的方法来举例说明端口的关闭:
1、单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。 2、在弹出的“组件服务”对话框中,选择“计算机”选项。 3、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”
4、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
5、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
第四章 病毒防护
防病毒技术是网络安全维护日常中最基本的工作,也是工作量最大、最经常性的任务。所以掌握计算机病毒的相关知识是非常重要的。本章简单的介绍了计算机病毒的基本定义、组成与分类,以及计算机病毒的检测与清除方法。通过对计算机病毒的了解达到建立无毒的网络环境的目的
4.1计算机病毒的定义
计算机病毒是人为编制的破坏计算机功能或数据,影响计算机软、硬件正常运行,且能够自我复制的一组计算机程序。
它具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。
4.2 计算机病毒的组成与分类
经对目前出现的计算机病毒的分析发现,所有计算机病毒都是由三部分组成的,即病毒引导模块、病毒传染模块和病毒表现模块。计算机病毒程序组成如下图4-1
图4-1 计算机病毒程序组成
(1)引导模块:负责将病毒引导到内存,并向系统中请求一定的存储空间,对相应的存储空间实施保护,以防止其他程序覆盖,并且修改系统的一些功能入口,在这些入口处引导病毒传染模块和病毒实现模块。
(2)传染模块:它是整个病毒程序的核心,传染模块又分为两部分:判断部分、传染部分。
(3)表现模块:包括病毒触发条件判断和具体表现。
而从技术来分可以分为:网络病毒、邮件病毒、文件型病毒、宏病毒、引导型病毒、变体病毒、混合型病毒、其它类型病毒(java,pdf,图文病毒)。
4.3 病毒的检测、清除和防范
4.3.1病毒的检测
想要知道自己的计算机中是否染有病毒,可以根据以下几种情况来做简单判断。 (1)计算机执行速度越来越慢。
(2)系统出现莫名其妙的死机或者重启。
(3)网络速度变慢或者出现一些陌生的网络连接。 (4)文件夹无缘无故多了一些文件。 (5)突然出现蓝屏或无端黑屏等。
除此以外,还可以比较法、搜索法、分析法、人工智能陷阱技术和宏病毒陷阱技术、软件仿真扫描法来检查。
4.3.2病毒的清除
计算机病毒的清除方法大致可以分为两种:手动删除、软件杀毒。 1、手动删除
建议进入安全模式下手动删除病毒。 (1)、关闭系统还原功能。
你要用一只笔把病毒所在文件路径和文件名抄下来。
(2)、你在安全模式下,按照它的路径和文件名,把病毒所在那个文件找到,删除就可以了。 你可以在搜索一栏中输入病毒所在路径,文件名,找到后,删除就可以了。具体方法是在安全模式下打开\我的电脑\,在上面菜单上点击\搜索\(一个放大镜一样的图标),然后在左面弹出的页面上输入你刚抄下的病毒所在路径,文件名,点下面的“立即搜索”按钮,然后在右边弹出的页面上找到该文件,然后右键点它,右键菜单点\删除\。就可以删除了。
(3)、删除病毒所在文件后,最好再清理一下注册表:方法是:开始-运行(点任务栏左下角的\开始\在弹出的菜单中选“运行”),在弹出的运行对话框中输入regedit,从而打开了注册表编辑器。然后在注册表编辑器中点:“我的电脑”,然后是“编辑”,在弹出的菜单中点“查找”,在“查找”中你输入你所用的杀毒软件所查到的病毒所在路径和文件名,找到一个,右键点它,在快捷菜单中点“删除”,按F3继续查找,直到查完,删完。没有,就删完了。
(4)、请删完之后清空回收站。 2、软件杀毒
随着计算机技术的不断发展,病毒不断涌现出来,杀毒软件也层出不穷,各个品牌的杀毒软件也不断更新换代,功能更加完善。在我国最流行、最常用的杀毒软件有金山毒霸、瑞星、360、rsky、NOD32、Norton AntiVirus、McAfee VirusScan、Kv3000、KILL等。
各个品牌的杀毒软件各有特色,但是基本功能都大同小异。从学生群体统计来看个人计算机防病毒使360的占绝大多数。它具有资源占有少、永久免费、操作简单等特点。 下面以360杀毒软件为例简单介绍下软件杀毒。图4-2所示为360杀毒软件的主界面。