三国志曹魏传攻略:废除电脑所有木马

木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、盗窃密码、甚至用你的QQ发一些乱七八糟的东西给你的好友……
木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。
正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。
毫不夸张地说：木马就是从网线上走进你家里的小偷强盗。防杀木马，已成为现代电脑用户的必修课。
木马危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手，阻止木马建立用户。这样，即便你的电脑已经感染了木马病毒，但是由于不能建立用户，木马就不能发挥远程控制的功能。换句话说，就是废了它，让他变成【请注意文明用语】。当然，【请注意文明用语】也需要清理，但这已经不在本文的讨论范围之内了。
废除方法：
运行 regedt32.exe 打开你的注册表，里面有一个目录树：
打开其中目录 HKEY_LOCAL_MACHINE
再打开其中目录 SAM
再打开其中目录 SAM
再打开其中目录 Domains
再打开其中目录 Account
再打开其中目录 Groups
好了，就是这个 Groups 就是负责建立用户的。删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。所以，在这个操作之前，你必须要进行备份，必要的时候，可以还原。
备份方法：右键点击 Groups 选择“导出”，给导出的文件起个名字，保存好，就可以了。
说明： 可能你进入注册表的时候，只能看到第一个 SAM 目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己（通常是 Administrators ）设置为“允许完全控制”就可以了。以此类推，一直找到 Groups 目录为止。
还原： 很简单，找到你导出的那的文件，直接点击就可以了。
由于删除 Groups 目录之后，你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能，因此，备份文件很重要。需要使用相应功能的时候，先还原一下，就跟以前一样了。当然，如果你是一个个人用户，一直都是你一个人使用这台计算机，那就无所谓了
一招让你的电脑永无病毒
如果大家使用的是windows2k 或xp那么教大家一招金蝉脱壳 ―― 而且只需要这一招就让电脑永无病毒！！
如果你是新装的系统（或者是你能确认你的系统当前是无毒的），那就再好不过了，如果不能确定你的电脑有没有毒，那最好先重装系统，现在就立即就打开：
“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧！
首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽回的余地，免得你被拒绝于系统之外；再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。接着再添加两个用户，比如用户名分别为：user1、user2；并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了。只使用user1登陆就可以了。
登陆之后上网的时候找到ie，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式运行”点确定！要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密码！！！好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了！因为你当前的系统活动的用户时user1。而user2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过ie得到的信息都将让它都将以为这个user2就是你当前活动的用户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅时use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为user2根本就没运行，怎么能取得系统的操作权呢？？既然取不得，也就对你无可奈何了。而他们更不可能跨越用户来操作，因为微软得配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据user1的位置！所以你只要能保证总是以这个user2用户做代理来上网（但却不要使用user2来登陆系统，因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活！），那么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒！
不过总有疏忽的时候，一个不小心中毒了怎么办？？
不用担心，现在我们就可以来尽情的表演脱壳的技术了！
开始金蝉脱壳：
重新启动计算机，使用超级管理员登陆――进入系统后什么程序都不要运行
你会惊奇的发现在的系统竟然表现的完全无毒！！，那就再好不过了，现在就立即就打开：
“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧！
把里面的user1和user2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了――（好象是陪葬，呵呵！）。这么做过之后我保证你的win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的！
好！现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为win2k重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的！！！建立完成之后立即注销超级管理员，转如使用user1登陆，继续你象做的事吧，你会发现你的系统如同全新了！以上方法可以周而复始的用，再加上经常的去打微软的补丁，几乎可以永远保证你的操作系统是无毒状态！只要你能遵循以下几条规辙：
一、任何时间都不以超级管理员的身份登陆系统――除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。
二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不！ 只做做用户和系统的管理和维护就立即退出，而决不多做逗留！（这也是微软的要求，微软最了解自己的东东，他的建议是正确的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了


黑客是怎样入侵个人电脑的？
说到黑客入侵，一般网友会认为那是很遥远的事情，因为自己和黑客无冤无仇，再说自己的机器也不是要害部门的机器，入侵何用？
可是，我们经过调查发现，就目前使用默认管理员无密码登陆的个人电脑，80%以上都不同程度遭受黑客入侵。也就是说，这些被黑客造访过的个人电脑，100%都有新的用户名或是后门程序。
一般说来，只要你的机器发生下列症状，很有可能就是被别人开了后门。一是忽然重新启动；二是一瞬间的蓝屏；三是上网速度或是机器运行速度突然变慢；四是开机时出现DOS窗口，三五行英文一闪之后才转到正常启动界面；五是防火墙被关掉等等，这足以说明你已经中招。
如果你是局域网上网，不用拨号方式，机器的功能除了上网发贴和聊天，没有其他作用，一般对个人损失不大。如果你是ADSL拨号上网，麻烦就会接踵而来。如果黑客控制了你的电脑，你就没有任何隐私可言，比如你的系统用户帐号密码、QQ、UC、MSN、邮箱帐号密码、ADSL帐号密码、你的支付宝帐号密码等等，尤其是对那些经常进行网上交易和炒股票的网友而言，信用卡就成别人的了。如果你的电脑还有公家的业务，尤其是机密数据和诸如税务缴纳之类的业务，很可能就会出事。近年来上千起计算机经济犯罪，都是通过入侵个人计算机获取信用卡帐号和密码的，一夜之间丢掉几千万已经不是稀罕事了。
当然，现在的入侵个人计算机的黑客大多数都是初级水平的计算机技术爱好者，使用的工具也都是些网上公布的小程序，如果轻易得手，用你的ADSL帐号刷QQ之类的十分常见，用你的机器攻击别人，也是常事。
那么黑客是如何入侵个人电脑的呢？
入侵个人电脑大概分这样几个过程：
一是全面扫描：
最最简单的办法，就是弱口令攻击，所谓弱口令就是默认管理员不设密码，或是简单密码的登陆的方式，这样的设置，只要利用端口扫描工具一扫，就能扫出N多，然后利用3389远程登录，不费吹灰之力就进去了。如果对方不是XP系统，是2003的话，还有一个通用密码，不管你先前设了什么密码，只要输入四到六个特定字符，就会绕过密码验证，直接登陆了，行内叫后门钥匙，也叫万能通用密码。为了防止你修改登陆方式，黑客登陆后会悄悄地设一个用户，或是捆绑一个后门程序，对没有专业知识的一般网友来讲，很难发现。只要黑客还想利用你的电脑，他不会动你电脑的东西，这样的话，你不会认为别人进了你的电脑。
如果不是弱口令，或是黑客对某台机器发生了兴趣，黑客一般要用比较高级的扫描工具对你的机器进行全面扫描，高级扫描的内容一般是从这台机器到那台机器之间经过多少路由器、服务器周转，他们的型号是什么？然后扫描这台机器直接连接的交换机、路由器、服务器，再扫描这台机器地网卡号、CPU号、这台机器的操作系统、开放端口等等。
一般网友认为，IP就是某台机器的代号，其实并不完全对，局域网的IP 是相对固定的，ADSL拨号上网的IP是临时自动分配的，我们在调查中发现，许多网友使用黑客QQ或是珊瑚QQ，可以显示在线好友的IP，岂不知这些数据并一定是那个机器的真实身份，如果他使用的是代理上网，或是ADSL上网，这个IP就是代理服务器的IP,唯一能确定这台计算机身份的就是网卡号，这台机器无论是在哪里通过什么方式上网，只要没有更换网卡，就不会改变。难度再大一点的，就是CPU号，这也是惟一的。
扫描操作系统是为了针对系统漏洞实施攻击，一般方是都是注入木马，扫描网卡就是确定这台机器的身份，并选择连接方式和使用工具，一般来讲网卡兼容四种以上协议通讯，平时我们使用的本地连接只是最基本一种，这就是我们即便不使用本地连接，黑客照样在我们不知觉的情况下进入我们机器的原因。端口扫描非常重要，因为端口直接给计算机服务项目关联的，如果你的机器某些端口没有打开，黑客们也要使用远程工具给你代劳。
总之，扫描阶段就是黑客入侵的前期必须的准备。
二是使用工具：
目前网上传播的攻击工具有3000多种，都是智能化比较高的黑客程序，即便没有太专业的技术和知识，照样可以攻击一个配置较高的服务器，不要说一般人的个人电脑了。这里对工具使用不做具体描述。
除了针对某一台机器入侵之外，黑客们为了扩大自己的“肉鸡”资源，通常会用网页挂马、邮件、感兴趣的软件捆绑等等方式，自动获取中马的机器，比如一些黄色网站、一些个人博客、还有哪些游戏外挂、刷QQ币、P2P热门电影下载等等，大都捆绑“一句话”木马，一句话木马很小，只有几K，杀毒软件一般很难查出它的病毒特征，一旦中招，就会小马传大马，把灰鸽子之类的大木马给传上去，就会有很多故事发生了。
当然，如果黑客掌握了还没有在网上公布的工具，后果就更严重了。
因此，对于个人计算机来讲，使用自定用户密码登陆，随时防火墙，及时更新系统补丁，定期进行安全扫描是比较明智的做法，可以拒绝一部分工具扫描和黑客入侵。    目前免费的杀毒软件卡巴比较好，只是太繁琐；防火墙推荐WINDOWS防火墙，免费的天网个人防火墙也不错，但是不如收费的WINDOWS功能全。另外，中元可以给大家赠送一些常用安全工具，当然绝对是安全实用的，有需要的个别交流


家庭上网必学的八条安全窍门
一、经常修改密码
老生常谈了，但却是最简单有效的方法。由于许多黑客利用穷举法来破解密码，像John这一类的密码破解程序可从因特网上免费下载，只要加上一个足够大的字典在足够快的机器上没日没夜地运行，就可以获得需要的帐号及密码，因此，经常修改密码对付这种盗用就显得十分奏效。由于那么多潜在的黑客千方百计想要获得别人的密码，那么拨号上网用户就应该加强防范，以下四个原则可提高密码的抗破解能力。
1.不要选择常用字做密码。
2.用单词和符号混合组成密码。
3.使用9个以上的字符做密码，使你的密码尽可能地长，对Windows系统来说，密码最少要由9个字符组成才算安全。
4.密码组成中最好混合使用大小写字母，一般情况下密码只由英文字母组成，密码中可使用26或52个字母。若对一个8个字母组成的密码进行破解，密码中字母有无大小写之分将使破解时间产生256倍的差别。
二、请他人安装后应立即修改密码
这是一个很容易忽略的细节，许多用户第一次不懂得如何拨号上网，就请别人来教，这样常常把用户名和密码告诉此人，这个人记住以后就可以回去盗用服务了。所以，用户最好自己学会如何拨号后再去申请上网账号，或者首先向ISP问清如何修改自己的密码，在别人教会自己如何拨号后，立刻将密码改掉，避免被人盗用。
三、 使用“拨号后出现终端窗口”功能
选中某一连接，单击鼠标右键，选“属性/常规/配置/选项/拨号后出现终端窗口”，然后拨号时，在拨号界面上不要填入用户名和密码(更不要选中“保存密码”项)，在出现拨号终端窗口后再进行相应的输入，这可以避免用户名和密码被记录到硬盘上的密码文件中，同时，也可以避免被某些黑客程序捕获用户名和密码。
四、 删除.pwl文件
在Windows目录下往往有一些以“.pwl”为后缀名的密码文件，“.pwl”是password的音译缩写。比如:在最初的Windows 95操作系统中密码的保存即存在安全漏洞，从而使黑客可以利用相应的程序轻松获取保存在pwl文件里的密码。这一漏洞在Windows97中已经被修复。因此，你需要为你的电脑安装Windows97以上版本的操作系统。pwl文件还常常记录其他地方要用到的密码，比如开启Exchange电子信箱的密码、玩Mud游戏的密码等，要经常删除这些pwl文件避免将密码留在硬盘上。
五、 禁止安装击键记录程序
很多人知道doskey.exe这个程序，这个在DOS下常用的外部命令能通过恢复以前输入的命令来加快输入命令的速度，在Windows下也有了许多类似的程序，如keylog，它不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。还有些程序能将击键字母记录到根目录下的某一特定文件中，而这一文件可以用文本编辑器来查看。密码就是这样被泄露出去的，偷盗者只要在根目录下看看就可以了，根本无需任何专业知识
六、 对付特洛伊木马
特洛伊木马程序常被定义为当执行一个任务时却实际上执行着另一个任务的程序，用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过。典型的一个例子是:伪造一个登录界面，当用户在这个界面上输入用户名和密码时，程序将它们转移到一个隐蔽的文件中，然后提示错误要求用户再输入一遍，程序这时再调用真正的登录界面让用户登录，于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。现在互联网上有许多所谓的特洛伊木马程序，像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说，它们属于客户机/服务器(C/S)程序，因为它们往往带有一个用于驻留在用户机器上的服务器程序，以及一个用于访问用户机器的客户端程序，就好像NT的Server和Workstation的关系一样。
在对付特洛伊木马程序方面，有以下几种办法
1.多读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包，在没有弄清软件包中几个程序的具体功能前，就匆匆地执行其中的程序，这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品。软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明，尽管它一般是英文的，但还是有必要先阅读一下，如果实在读不懂，那最好不要执行任何程序，丢弃软件包当然是最保险的了。有必要养成在使用任何程序前先读readme.txt的好习惯。
值得一提的是，有许多程序说明做成可执行的readme.exe形式，readme.exe往往捆绑有病毒或特洛伊木马程序，或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的，目的就是让用户误以为是程序说明文件去执行它，可谓用心险恶。所以从互联网上得来的readme.exe最好不要执行它。
2.使用杀毒软件。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，可以不定期地在脱机的情况下进行检查和清除。另外，有的杀毒软件还提供网络实时监控功能，这一功能可以在黑客从远端执行用户机器上的文件时，提供报警或让执行失败，使黑客向用户机器上载可执行文件后无法正确执行，从而避免了进一步的损失。
3.立即挂断。尽管造成上网速度突然变慢的原因有很多，但有理由怀疑这是由特洛伊木马造成的，当入侵者使用特洛伊的客户端程序访问你的机器时，会与你的正常访问抢占宽带，特别是当入侵者从远端下载用户硬盘上的文件时，正常访问会变得奇慢无比。这时，你可以双击任务栏右下角的连接图标，仔细观察一下“已发送字节”项，如果数字变化成1～3kbps(每秒1～3千字节)，几乎可以确认有人在下载你的硬盘文件，除非你正在使用ftp功能。对TCP/IP端口熟悉的用户，可以在“MS-DOS方式”下键入“netstat-a”来观察与你机器相连的当前所有通信进程，当有具体的IP正使用不常见的端口(一般大于1024)与你通信时，这一端口很可能就是特洛伊木马的通信端口。当发现上述可疑迹象后，你所能做的就是:立即挂断，然后对硬盘有无特洛伊木马进行认真的检查。
4.观察目录。普通用户应当经常观察位于c:、c:windows、c:windowssystem这三个目录下的文件。用“记事本”逐一打开c:下的非执行类文件(除exe、bat、com以外的文件)，查看是否发现特洛伊木马、击键程序的记录文件，在c:Windows或c:Windowssystem下如果有光有文件名没有图标的可执行程序，你应该把它们删除，然后再用杀毒软件进行认真的清理。
七、 尽量不要使用共享硬盘功能
使用了远程拨号接入局域网功能的Windows98用户要慎用硬盘共享和文件共享功能，共享就意味着允许别人下载文件。当硬盘或文件夹图标下有一只手托着时，表明启动了共享功能，选中该图标，选择“文件”选单下的“共享”，再选“不共享”，这只手就消失了。
八、 不使用“MyDocuments”文件夹存放Word、Excel文件
Word、Excel默认的文件存放路径是根目录下的“MyDocuments”文件夹，在特洛伊木马把用户硬盘变成共享硬盘后，入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的，这个目录几乎就是用户的特征标识，所以为安全起见应把工作路径改成别的目录，并且层次越深越好，比如:c:abcdefghijkl。可以肯定地说，在互联网上，没有什么措施是绝对安全的，黑客入侵的一个重要法则是:入侵者不只用一种方法入侵，这就意味着只有堵塞一切漏洞才能防止入侵，这显然是不可能的。具有讽刺意味的是，许多安全措施本身却带来了新的安全隐患，就好像药品常带有副作用一样。或许，你不上网就没有这些烦恼，那是不是可以说，不使用计算机就没有一切烦恼了呢!的确如此