PHP博客-草原的天空-文章分类-Windows

此系统的本地策略不允许您采用交互式登录解决方法

草原的天空 — Sat, 24 Mar 2007 01:58:00 GMT

如果计算机是一台不在域中的单独的Windows 2000计算机，参考以下步骤：

1)       启动故障计算机至登录状态；

2)       登录到网络中的另外一台Windows 2000 或 Windows XP的计算机上，打开开始，单击运行，键入cmd,回车；

3)       在命令行模式下运行 net use \\computername\ipc$ /user:administrator password,请使用正确的参变量值替代其中的computername、password；

4)       打开开始，单击运行，键入\\computername\c$\security\database, 在打开的窗口中重新命名secedit.sdb至色Secedit.old，将一个标准版本的数据库文件拷贝至该目录，标准版本的数据库文件可以在未更改过组策略的单独的相应的计算机的c:\winnt\security\database中获得。（假设您的系统安装在c:\）；

5)       重新启动故障计算机，尝试登录。

如果计算机是在域中一台Windows 2000客户端或member server，参考以下步骤：

1)     请检查Site、Domain、OU级别的组策略，是否定义过本地登录，拒绝本地登录的选项，具体位置在计算机配置>Windows设置〉安全设置〉本地策略〉用户权利指派；

2)     如在该设置中有错误设置，请更正后，重新启动客户端；

3)     如果仍然不可以，请参考以上的五步重置secedit.db文件，断开故障计算机的网络，重新启动该计算机再尝试登录；

如果该计算机是一台域控制器，请参考以下步骤：

1）  以管理员的身份登录网络中的另外一台Windows 2000的计算机；

2）  获得ntrights.exe Resource Kit工具，将之拷贝到系统盘的Winnt\system32目录中；

3）  如果您确认该问题是因为更改的组策略，对某个用户或组设置了拒绝本地登录而导致，在命令行中运行：

ntrights -m \\computer -u -r SeDenyInteractiveLogonRight

4）  如果您确认该问题是因为更改的组策略，删除某个用户或组的本地登录的权限而导致，在命令行中运行：

ntrights -m \\computer -u +r SeInteractiveLogonRight

5）  重新启动故障计算机，再次尝试登录。

草原的天空 2007-03-24 09:58 发表评论

在Windows 2003下创建软RAID-2

草原的天空 — Thu, 15 Mar 2007 04:29:00 GMT

RAID卷的管理

　　1、添加镜像卷

　　对于已有的动态磁盘，可以简单地通过添加镜像卷的方式来提高数据的安全性。

　　在“磁盘管理”中，右击要添加镜像磁盘的动态磁盘，并在快捷菜单中选择“添加镜像”选项，此时将显示“添加镜像”对话框。在磁盘列表中选择要设置为镜像的动态磁盘，然后单击“添加镜像”按钮，至此镜像添加完成，需要注意的是，添加为镜像的磁盘空间必须大于或等于现存卷。

　　2、测试镜像系统或启动卷

　　关闭计算机，然后断开或关闭某个磁盘以模拟磁盘故障，使用剩余镜像来重新启动计算机。验证　Windows 可正确启动后，请关闭计算机然后重新连接磁盘，重新启动计算机。启动菜单出现时，选择仍保持连接状态的磁盘上的镜像。打开计算机管理(本地)，在控制台树中单击“磁盘管理”，右键单击具有任一标有“失败的重复”的卷的磁盘，然后单击“重新激活磁盘。

　　3、重新激活 RAID-5 磁盘

　　如果 I/O 错误是暂时的，则可以尝试重新激活磁盘;打开计算机管理(本地)，在控制台树中单击”磁盘管理“。右键单击局部出现故障的磁盘，然后单击”重新激活磁盘“，RAID-5　卷的状态应变为”正在重新生成“，然后变为”良好“。

　　4、软RAID的恢复

　　磁盘冗余的目的就在于当磁盘出现故障时，系统能够保存数据的完整性。虽然在RAID-1和RAID-5中某个磁盘成员的失败不会导致丢失数据，其他成员仍然可以继续运转，但是如果失败不能得到及时恢复，那么磁盘卷将不再拥有冗余的特性。因此，必须及时恢复失败的RAID-1和RAID-5。

　　修复镜像卷和RAID-5卷

　　在”磁盘管理“中，失败卷的状态将显示为”失败的冗余“，磁盘之一将显示为”脱机“、”丢失“或”联机(错误)“。可以通过下述操作来恢复镜像卷:

　　①确保该磁盘已连接到了计算机，并且已经加电。

　　②在”磁盘管理“中，右击标识为”脱机“、”丢失“或”联机(错误)“的磁盘，然后在快捷菜单中单击”重新激活磁盘“选项。此时该磁盘的状态应当回到”良好“，同时镜像卷应该自动重新生成。

　　如果磁盘被严重破坏或者不可能修复，在弹出的快捷菜单中将只能看到”删除“命令，此时Windows 2003将无法再修复该镜像卷。另外，如果磁盘连续显示”联机(错误)“，则有可能表明该磁盘很快就要发生故障了，应当尽可能快地替换该磁盘。

　　替换磁盘和创建新的镜像卷

　　如果经修复仍未能重新激活镜像磁盘，或者镜像卷的状态没有恢复到”良好“状态，就必须替换失败磁盘，并创建新的镜像卷。

　　①在失败的卷上右击鼠标，并选择”删除镜像“选项，将显示”删除镜像“对话框。

　　②从磁盘列表中选择丢失的磁盘，然后单击”删除镜像“按钮，将显示”磁盘管理“警告框，以提示用户确认。

　　③单击”是“按钮，将删除该镜像卷。然后右击该丢失的磁盘，并在弹出的快捷菜单中选择”删除磁盘“选项，将该磁盘删除。

　　④更换新的磁盘，并将磁盘设置为动态磁盘。

　　⑤创建新的镜像卷。新镜像卷的创建过程请参见前述”添加镜像卷“。

　　3)替换磁盘和重新生成RAID-5卷

　　①更换故障磁盘，并将它设置为动态磁盘。

　　②在”磁盘管理“中，右击失败磁盘的RAID-5卷，在弹出的快捷菜单中选择”恢复卷“选项，将显示”修复RAID-5卷“对话框。

　　③选择要在RAID-5卷中替换失败磁盘的磁盘，并单击”确定“按钮。此时RAID-5卷开始自动修复。

　　④右击失败的磁盘，并在弹出的快捷菜单中选择”删除磁盘“选项，并从系统中删除该磁盘。

关于RAID更为直观的原理演示，请参看下帖：

http://winos.cn/forum/viewthread.php?tid=1246&extra=page%3D2

草原的天空 2007-03-15 12:29 发表评论

NETBIOS

草原的天空 — Thu, 15 Mar 2007 04:27:00 GMT

计算机有几种放法在网络上标识自己：
其他——NetBIOS名称
传输层——TCP,UDP端口号
网络层——IP地址
数据链路层——MAC地址

其中：
NetBIOS服务
名字服务： NetBIOS具有独立的计算机名、用户名和组名。名字在它们的名字空间中以广播的方式传送，或者在WINS下通过点对点通信来传送。
会话服务：通过会话命令为一对NetBIOS建立双工、连续、可靠的连接。
数据报服务：通过对组名的广播或者直接投诉到单个的、独立的名字以在两个参与者之间发送和接收消息。

关于NetBIOS的名称
一个 NetBIOS 名称包含 16 个字符。每个名称的前 15 个字符是用户指定的，表示：
标识与网络上单个用户或计算机相关联的某个资源的唯一名称。
标识与网络上的一组用户或计算机相关联的某个资源的组名。
每个 NetBIOS 名称中的第 16 个字符被 Microsoft NetBIOS 客户用作名称后辍（后辍一般是不显示的），用来标识该名称，并表明用该名称在网络上注册的资源的有关信息。每个 NetBIOS 名称都配置成一个唯一的（专有的）名称或组（非专有的）名。
唯一的名称通常用来向计算机上的特定进程发送网络通讯。组名用来同时向多台计算机发送信息。
NetBIOS 名字的 15 个字符中可以包括各种字母和数字，还可以包括以下特殊字符：
！ @ # $ % ^ & ( ) – ` { } .
某些NetBIOS中还允许在名字中有空格，但是使用空格后，这个机名在DNS中是完全无效的。

NetBIOS的特点
NetBIOS的名字名字空间是非层次的，而不是层次型的。这给使用带来了一定的局限性。

NetBIOS的名称识别
P节点—利用名称服务器的点对点通信解析名称。在p节点环境中，所有的客户计算机都被配置成用WINS服务器注册，由WINS服务器负责将所有网络名称解析成IP地址。对于网络上能看到的机器，有必要为WINS配置每个系统。
m节点—首先利用b节点，如果失败，则利用p节点来解析名称。M节点是把b节点和p节点结合起来使用。在m节点环境中，系统首先要尝试使用b节点，利用广播来解析名称，如果b节点失败，将自动切换到p节点，利用名称服务器的点对点通信解析名称。很明显，使用m节点将增加信息流量。但是这种方法允许用户在广域网中通过路由器进行通信，其创建不必要的网络信息流量的选择，使得它不能成为一种优秀的方法。
H节点—首先利用p节点进行名称查询，如果不能获得名称服务或者在WINS数据库中没有该名称，则使用b -节点。h节点是仍然使用b节点和p节点解析名称的一个标准，但它先使用p节点。这将减少整个网络的信息流量，因而更具有意义。在IP解析时，如果p节点失败， h节点将在利用b节点的同时继续轮询 WINS服务器，直到联机返回。此时h节点将切换回p节点以重新解析地址。

总结
netbios一般用在wins服务中。

草原的天空 2007-03-15 12:27 发表评论

从Windows Server 2003的服务器上导入导出DHCP数据库

草原的天空 — Thu, 15 Mar 2007 04:23:00 GMT

将 DHCP 数据库和配置从运行 Windows Server 2003 的服务器移动到另一台运行 Windows Server 2003 的服务器：
1. 使用具有本地 Administrators 组的成员身份的帐户登录到源 DHCP 服务器。
2. 依次单击“开始”和“运行”，在“打开”框中键入 cmd，然后单击“确定”。
3. 键入 netsh dhcp server export C:\dhcp.txt all，然后按 Enter。

注意：您必须具有本地管理员权限才能导出数据。

在运行 Windows Server 2003 的服务器上安装 DHCP 服务器服务
在现有基于 Windows Server 2003 的服务器上安装 DHCP 服务器服务： 1. 单击“开始”，单击“控制面板”，然后双击“添加或删除程序”。
2. 单击“添加/删除 Windows 组件”。
3. 在“Windows 组件向导”中，单击“组件”框中的“网络服务”，然后单击“详细信息”。
4. 如果尚未选中“动态主机配置协议 (DHCP)”复选框，请单击该复选框，将其选中，然后单击“确定”。
5. 在“Windows 组件向导”中，单击“下一步”以安装所选组件。请将 Windows Server 2003 CD 插入到您计算机的 CD 驱动器或 DVD 驱动器中（如果提示您这样做）。安装程序会将 DHCP 服务器和工具文件复制到计算机上。
6. 安装完成后，单击“完成”。

导入 DHCP 数据库
注意：如果您不是 Backup Operators 组的成员，则在此过程中您可能会收到一条“access denied”消息。如果您收到“Unable to determine the DHCP server version for server”错误消息，请确保在服务器上正在运行 DHCP 服务器服务并且已登录的用户是本地管理员组的成员。

重要说明：不要使用 Dhcpexim.exe 在 Windows Server 2003 中导入 DHCP 数据库。此外，如果目标 Windows 2003 服务器是成员服务器，并且您打算将其升级为域控制器，我们建议您在将其升级为域控制器之前首先执行 DHCP 数据库迁移。尽管您可以将 DHCP 数据库迁移至 Windows 2003 域控制器，但是迁移至成员服务器要更加容易，原因是存在本地管理员帐户。 1. 以本地 Administrators 组的显式成员的用户身份进行登录。作为本地 Administrators 组的成员的组中的用户帐户将不起作用。如果不存在对域控制器的本地 Administrators 帐户，请以目录服务还原模式重新启动计算机，并按照本部分后面所述，使用管理员帐户导入数据库。
2. 将导出的 DHCP 数据库文件复制到基于 Windows Server 2003 的计算机的本地硬盘上。
3. 验证在基于 Windows Server 2003 的计算机上已启动 DHCP 服务。
4. 依次单击“开始”和“运行”，在“打开”框中键入 cmd，然后单击“确定”。
5. 在命令提示符下，键入 netsh dhcp server import c:\dhcpdatabase.txt all，然后按 Enter，其中 c:\dhcpdatabase.txt 是您复制到服务器上的数据库文件的完整路径和文件名。

注意：当您尝试从 Windows 2000 域控制器上向该域的 Windows Server 2003 成员服务器导出 DHCP 数据库时，可能会收到以下错误消息：
Error initializing and reading the service configuration - Access Denied
注意：您必须具有本地管理员权限才能导入数据。
6. 要解决此问题，请将 Windows Server 2003 DHCP 服务器计算机添加到 DHCP Admins 组的“企业”级别。
7. 如果在您按照步骤 4 所述，将 Windows Server 2003 DCHP 服务器计算机添加到 DHCP Admins 组的“企业”级别之后，仍然出现“access is denied”错误消息，请验证当前用于导入的用户帐户是否属于本地管理员组。如果该帐户不属于此组，请将该帐户添加到管理员组，或作为本地管理员登录以完成导入。

注意：如果对于不是本地 Administrators 组的显式成员的用户，DHCP IMPORT 或 EXPORT 命令失败，则必须在基于 Windows Server 2003 的计算机上应用以下修复程序：

833167 (http://support.microsoft.com/kb/833167/) Windows Server 2003 的卷影复制服务 (VSS) 更新程序包现已推出
8. 在您收到命令成功完成的消息后，请退出命令提示符。

授权 DHCP 服务器
1. 单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“DHCP”。

注意：您必须使用具有 Administrators 组成员身份的帐户才能登录到该服务器。在 Active Directory 域中，您必须使用具有 Enterprise Administrators 组成员身份的帐户才能登录到该服务器。
2. 在 DHCP 管理单元的控制台树中，展开新的 DHCP 服务器。如果在服务器对象的右下角有一个红色箭头，则说明该服务器尚未被授权。
3. 右键单击该服务器对象，然后单击“授权”。
4. 过一会，再次右键单击该服务器，然后单击“刷新”。绿色箭头指示该 DHCP 服务器已被授权。

草原的天空 2007-03-15 12:23 发表评论

windows系统帐户权限设置详解

草原的天空 — Thu, 15 Mar 2007 03:31:00 GMT

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

　　DOS跟WinNT的权限的分别

　　DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

　　Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

　　Administrators，管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

　　Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

　　Users：普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

　　Guests：来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

　　Everyone：顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

　　其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

　　权限实例攻击

　　权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

　　假设服务器外网域名为http：//www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。

　　打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。

　　通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。

　　还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

　　那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。

　　系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权;Everyone拥有读&运，列和读权限;Power users拥有读&运，列和读权限;SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。

　　对于Winnt，Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权!

　　现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。

　　那么，怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。

　　对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e：\www目录，也就是网站目录读、写权。

　　最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。

　　当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

草原的天空 2007-03-15 11:31 发表评论

远程桌面的WEB链接

草原的天空 — Thu, 15 Mar 2007 02:53:00 GMT

基于个人原因,我在笔记本上装了个苹果机的操作系统,没有windows远程桌面的客户端,也找不到用于苹果用于连接Windows Server的软件,在这就把终端服务器的一个小的功能说一下.
先要安装一下Internet信息服务,点击详细信息,万维网服务的详细信息，选上远程桌面WEB链接.安装基于web链接的客户端组件.

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

服务器端启用远程桌面链接
还可以设定那些用户可以连接过来．如图：

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

客户端访问
在开始菜单，运行框中输入HTTP//服务器名/TSWEB，
出现如图：若客户端第一次使用，会要求下载Ａctive控件，在服务器后的文本框中输入远程桌面的分辨率，选择全屏就跟mstsc(远程桌面客户端工具)一样，不是全屏就会在IE上显示，如图：

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

我的服务器端装的是2003sp1 Enterprise Edition 版，可以安装终端服务配置，
主要用于客户端设备映射连接，这只是其中的好处，
Windows 2003终端服务具有三个主要优点．
快速，集中地部署应用程序，访问数据时仅占用低度带宽，由于可以通过任何设备（包括功能不够强大的硬件和非Windows桌面系统）访问最新应用程序，终端服务器提高了用户的生产力．

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}" border="0" />

草原的天空 2007-03-15 10:53 发表评论

系统安全之利用操作系统自带命令杀毒

草原的天空 — Wed, 14 Mar 2007 08:32:00 GMT

阅读提示：文章列举了一些通用的杀毒方法，你可以自己亲自动手来用系统自带的工具来绞杀各种病毒。具体如何来做，请仔细阅读本文。

上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：

一、自己动手前，切记有备无患——用TaskList备份系统进程

新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

在命令提示符下输入：

TaskList /fo:csv>g:zc.csv

上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件。

二、自己动手时，必须火眼金睛——用FC比较进程列表文件

如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

进入命令提示符下，输入下列命令：

TaskList /fo:csv>g:yc.csv

生成一个当前进程的yc.csv文件列表，然后输入：

FC g:\zccsv g:\yc.csy

回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

三、进行判断时，切记证据确凿——用Netstat查看开放端口

对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符下输入：

Netstat -a-n-o

参数含义如下：

a:显示所有与该主机建立连接的端口信息
n:显示打开端口进程PID代码
o：以数字格式显示地址和端口信息

回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接！

连接参数含义如下：

LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

ESTABLISHED的意思是建立连接。表示两台机器正在通信。TIME-WAIT意思是结束了这次连接。说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。

四、下手杀毒时，一定要心狠手辣——用NTSD终止进程

虽然知道 “Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办？

在命令提示符下输入下列命令：

ntsd –c q-p 1756

回车后可以顺利结束病毒进程。
提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看→选择列→勾上PID（进程标识符）即可。NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

五、断定病毒后，定要斩草除根——搜出病毒原文件

对于已经判断是病毒文件的“Winion0n.exe”文件，通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建日期、大小再次进行搜索，找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。

六、清除病毒后一定要打扫战场

手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。

1、用reg export备份自启动。由于自启动键值很多，发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。

启动记事本输入下列命令：

reg export HKLM\software\Microsoft\Windows\
CurrentVersion\Run fo:\hklmrun.reg
reg export HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
reg export HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run hklml.reg

注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。

然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的reg文件中，接着再输入：

copy f:\*.reg ziqidong.txt

命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件，即可快速找出新增自启动项目。

2、用reg delete删除新增自启动键值。比如：通过上面的方法在

[HKER_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

找到一个“Logon”自启动项，启动程序为“c:\windows\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值：

reg delete HKLM\software\Microssoft\Windows\
CurrentVersion\Run /f

3、用reg import恢复注册表。Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表：

reg import f:\hklmrun.reg

上面介绍手动杀毒的几个系统命令，其实只要用好这些命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。

提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令导出/删除/导入操作，而且速度更快！

七、捆绑木马克星——FIND

上面介绍利用系统命令查杀一般病毒，下面再介绍一个检测捆绑木马的“FIND”命令。相信很很多网虫都遭遇过捆绑木刀，这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。当我们打开这些文件的时候，虽然在当前窗口显示的确实是一幅图片（或是播放的FLASH），但可恶的木马却已经在后台悄悄地运行了。比如近日我就收到一张好友从QQ传来的超女壁纸，但是当我打开图片时却发现：图片已经用“图片和传真查看器”打开了，硬盘的指示灯却一直在狂闪。显然在我打开图片的同时，有不明的程序在后台运行。现在用FIND命令检测图片是否捆绑木马，在命令提示符输入：

FIND /c /I〝This program〞g:\chaonv.jpe.exe

其中:

g:\chaonv.jpe.exe表示需要检测的文件；FIND命令返回的提示是“___G:CHAONV.EXE: 2”。这表明“G：、CHAONV.EXE”确实捆绑了其它文件。因为FIND命令的检测：如果是EXE文件，正常情况下返回值应该为“1”；如果是不可执行文件，正常情况下返回值应该为“0”，其它结果就要注意了。

提示：其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们，比如本例的“chaonv.jpe.exe”，由于这个文件采用了JPG文件的图标，才导致上当。打开“我的电脑”，单击“工具→文件夹选项”，“单击”“查看”，去除“隐藏已知类型文件扩展名”前的小勾，即可看清“狼”的真面目。

八、总结

最后我们再来总结一下手动毒的流程：

用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。这样从发现病毒、删除病毒、修复注册表，这完成整个手动查毒、杀毒过程。

草原的天空 2007-03-14 16:32 发表评论