Defensa básica y soluciones para virus y troyanos de Windows
Los virus informáticos son invisibles e intangibles, pero están en todas partes. A veces, unas medidas de protección inadecuadas o un funcionamiento inadecuado pueden provocar una invasión de virus. La mejor manera es estar bien defendido. ¡Echemos un vistazo a las defensas y soluciones básicas para Windows!
I. Filosofía básica de defensa: la copia de seguridad es mejor que la recuperación.
1. Copia de seguridad, después de la instalación, primero haga una copia de seguridad de Windows en la unidad c (unidad del sistema) y del directorio de archivos en C:\WINDOWS\system32.
Ejecutar, el comando cmd es el siguiente
dir/a C:\WINDOWS\system32 gt:\1.txt
dir/a c; :\windows gt;c:\2.txt
Esto hará una copia de seguridad de los archivos en Windows y System32. Si su computadora tiene un problema un día, el mismo comando enumerará los archivos y luego usará el comando fc en cmd para comparar los formatos. Si hay un problema con el 3.txt que figura en system32 ese día, entonces fc 1.txt. 3.txt gt; c:/4.txt
Debido a que la mayoría de los virus troyanos llaman a bibliotecas de enlaces dinámicos, system32 puede ser más detallado. Obtenga una lista de copias de seguridad más detallada en system32, como se muestra a continuación
cd C:\WINDOWS\system32
dir/a gt;c:\1.txt
dir/a *.dll gt;c:\gt;2.txt
dir/a *.exe gt;c:\gt;3.txt
Luego estas copias de seguridad se guardan en un solo lugar. Además de comparar los problemas en la lista, también puede ver fácilmente qué archivos DLL o EXE son más comunes. Aunque algunos programas instalados no tienen virus ni troyanos, aún pueden proporcionar una buena referencia.
2. Haga una copia de seguridad de la DLL del proceso, CMD el siguiente comando
tasklist/m gt; c:/dll.txt
De esta manera, la DLL La lista del proceso en ejecución aparecerá en c en el directorio raíz. No entraré en detalles sobre los siguientes métodos de comparación como se indicó anteriormente. Para los troyanos DLL, es demasiado problemático verificar los archivos DLL uno por uno. Es más conveniente directamente.
3. Haga una copia de seguridad del registro,
Ejecute REGEDIT, ¿archivo? ¿Exportar? Todo está bien y luego busca un lugar para guardarlo.
4. Haga una copia de seguridad de la unidad C
Menú Inicio, todos los programas, accesorios, herramientas del sistema, copia de seguridad, luego siga estas instrucciones para el siguiente paso, seleccione el contenido de la copia de seguridad de mi elección. y luego haga una copia de seguridad de su sistema en la ubicación que elija.
Si algo sale mal, abre la misma opción, selecciona Restaurar, luego busca tu copia de seguridad y restáurala.
La filosofía básica de la defensa es que más vale prevenir que curar.
1. Cerrar **** disfrutar. Cierre el puerto 139.445 y finalice el disfrute *** predeterminado de XP.
2. Cierre el servidor de servicios, telnet, programador de tareas y registro remoto. (Tenga en cuenta que el plan antivirus, el plan de actualización y otras tareas planificadas no se ejecutarán después del cierre).
3. Proporcione a los administradores y usuarios invitados nuevos nombres en el panel de control, herramientas de administración, política de seguridad local, política de seguridad, política local y opciones de seguridad. Es mejor dar un nombre chino. a la administración. Es mejor que los miembros utilicen de forma predeterminada comandos vacíos. Sin embargo, cambiar el nombre suele ser suficiente para el hacker medio con mentalidad de juego. Los hackers avanzados generalmente no están interesados en las computadoras personales.
4. Deshabilite todos los demás protocolos excepto el protocolo tcp/ip en las propiedades de conexión de red, o simplemente desinstálelos.
5. Cierra la conexión remota, Escritorio, Mi PC, Propiedades, Remoto y cancélala. También puedes desactivar Terminal Services, pero si lo haces, no podrás ver tu nombre de usuario en el Administrador de tareas.
Solución básica, proceso de registro de servicios.
1. En primer lugar, debe tener una comprensión simple del proceso de registro del servicio. Esto le llevará aproximadamente 3 horas. Debería poder comprenderlo buscando conocimientos relevantes en Internet.
2. Verifique los elementos de inicio. No se recomienda ejecutar el comando msconfig. En su lugar, observe detenidamente los elementos en ejecución en el registro, así como las asociaciones de archivos, userinit y si el explorador. exe detrás del shell ha sido cambiado. No diré mucho al respecto. Hay mucha información en línea, incluidos artículos detallados relacionados con el inicio de proyectos. Sólo estoy explicando la idea.
A continuación se enumeran 35 elementos comunes relacionados con el inicio
1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\
2.Microsoft\Windows\CurrentVersion\RunOnce\
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
5 .HKEY_CURRENT_USER. \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce/
6.Microsoft\Windows\CurrentVersion\Run
6.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce/
7. HKEY_CURRENT_USER\Software\Windows\CurrentVersion\RunServicesOnce/
8.CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
8. HKEY_USERS\ .CurrentVersion\Run\
9.HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10.HKEY_LOCAL_MACHINE Software\Microsoft\Windows NT\CurrentVersion\ Winlogon
11.HKEY_LOCAL_MACHINE Software\Microsoft\Active Setup\Installed Components\
12.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic\VxD\
13.HKEY_CURRENT_USER \Control Panel\Escritorio\
14.
14.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
15.HKEY_CLASSES_ROOT\vbsfile\shell\ open\command
16.HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17.HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18. HKEY_CLASSES_ROO
T\jsfile\shell\open\command\
19.HKEY_CLASSES_ROOT\jsefile\shell\open\command\ 20.ROOT\jsefile\shellopen\command\
19.HKEY_CLASSES_ROOT\ wshfile\shell\open\command\
20.HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21.HKEY_CLASSES_ROOTwsffile\shell\open\command\
21.HKEY_CLASSES_ROOTexefile\shell\open\command\
22.HKEY_CLASSES_ROOT\comfile\shell\open\command\
23.23.HKEY_CLASSES_ROOT\batfile\shell\open\command\
24.HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25.HKEY_CLASSES_ROOT \piffile\shell\open\command\
26.HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\
27.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
28.CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_Entry
28 .HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29. cmdline
29.HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
30.HKEY_LOCAL_MACHINE\Software \Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32.HKEY_CURRENT_USER\Software\Microsoft\Windows NT < /p
>
35.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
3. Verifique el servicio, el más simple es sí, la lista de servicios es demasiado larga, yo Te extraño. Es imposible recordarlos todo el tiempo. En pocas palabras, ejecute msconfig, servicio, seleccione "Ocultar todos los servicios de Microsoft" y luego verifique si es un servicio que viene con el sistema. Finalmente, búsquelo en el servicio y mire el. propiedades y observe los archivos asociados. Hoy en día, la mayoría del software antivirus tiene que agregar servicios. De hecho, odio que el software antivirus agregue servicios, pero parece que es para antivirus.
4. Proceso, hay mucha información sobre esto en línea, solo hay dos puntos: 1. Abra el administrador de tareas, haga clic en "¿Ver?" el administrador de tareas, haga clic en "¿Ver?" Marque "pid" en la barra de opciones, para que pueda ver el pid 2. Cuando hace clic en el proceso, hay una opción, "¿Abrir directorio?". ¿Abrir directorio? Esto es muy obvio, pero mucha gente lo ignora. Esto le permite ver la carpeta donde se encuentran los archivos del proceso, facilitando el diagnóstico.
5. cmd usará el comando netstat ?ano. Creo que este comando es fácil de usar y puede ver la conexión del puerto del protocolo y la IP remota.
6. Elimine el registro {F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}}.
{ 0D43FE01-F093-11CF-8940-00A0C9054228}
Después de buscar, verá que hay dos scripts relacionados con la copia de seguridad y la eliminación, principalmente para evitar códigos maliciosos en Internet
4. Un ejemplo de eliminación simple.
1. El objeto es un troyano contenido en un popular software verde BT. El software antivirus puede detectarlo y eliminarlo, pero se determina erróneamente que es Gray Pigeon. Algunos programas antivirus no pueden eliminarlo. No utilizaremos ninguna herramienta para juzgarlos y eliminarlos a continuación. Por supuesto, todas las herramientas incluyen software antivirus.
2. Juicio de intoxicación: durante el uso, el indicador del disco duro parpadea repentinamente violentamente sin ningún motivo. El sistema se ralentiza brevemente. Algunos programas informan anomalías y se sospecha que hay un problema.
2. Durante la inspección, se encontró que hay varios servicios desconocidos en el servicio. El archivo apunta al archivo server.exe en C:\Program Files\Internet Explorer. archivo que viene con el sistema. La línea de comando Verifique el puerto, hay un puerto de conexión que normalmente no está allí. Encontré un proceso desconocido en proceso. Server.exe se agregó al proyecto de inicio.
4. Borrar: abra el registro, cierre el proceso, elimine elementos de inicio, busque en el registro nombres de servicios relacionados, elimine y elimine los archivos fuente. También verifique la carpeta temporal y busque un archivo FreeKill.exe en la nueva carpeta. Elimínelo y borre el caché. Eso sí, lo mejor es hacerlo en modo seguro.
5. Compare la lista de dll en system32 de la copia de seguridad original y encuentre un archivo dll sospechoso. Elimínelo. También puede verlo y seleccionar "Seleccionar detalles". ¿Elegir? ¿Fecha de creación? (Este sistema no lo agrega de forma predeterminada) y luego ver la información detallada. Puede encontrar el archivo recién creado según la fecha de creación. Este troyano es relativamente sencillo y no modifica la fecha del archivo.
Eso es todo, a veces me olvido de limpiarlo y si el virus está asociado con este archivo, seguirá apareciendo después de eliminarlo ().
Lectura relacionada: Principales eventos de ciberseguridad en 2018:
1. ¿Están expuestas las vulnerabilidades "Meltdown" y "Spectre" en los procesadores Intel?
En enero de 2018, dos nuevas vulnerabilidades, "Meltdown" y "Spectre", quedaron expuestas en los procesadores Intel, incluidos los sistemas y procesadores AMD, ARM e Intel. Casi todos los dispositivos vendidos en los últimos 20 años. afectados, incluidos teléfonos móviles, ordenadores, servidores y productos de computación en la nube. Estas vulnerabilidades permiten que programas maliciosos roben información del espacio de memoria de otros programas, lo que significa que contraseñas, información de cuentas, claves de cifrado y cualquier otra información que teóricamente podría almacenarse en la memoria podría quedar expuesta.
En segundo lugar, GitHub sufrió un ataque DDoS Memcached a gran escala.
En febrero de 2018, el conocido sitio web de alojamiento de código GitHub sufrió el mayor ataque DDoS Memcached de la historia, con el pico de tráfico alcanzando los 1,35 Tbps. Sin embargo, solo cinco días después, un ataque DDoS volvió a establecer un nuevo récord de ataques DDoS contra proveedores de servicios de EE. UU., ¡alcanzando un máximo de 1,7 Tbps! Los atacantes aprovechan los servidores Memcached expuestos en la red para llevar a cabo ataques. Los investigadores de la empresa de ciberseguridad Cloudflare descubrieron que, a finales de febrero de 2018, 25.000 servidores Memcached en China estaban expuestos en la red.
3. Se filtró el código fuente de Apple iOS iBoot
En febrero de 2018, alguien en el sitio web abierto para compartir código fuente GitHub (una plataforma de alojamiento de proyectos de software) compartió los componentes principales del sistema operativo del iPhone. Código fuente, ¿el código filtrado pertenece a una parte importante del sistema de seguridad de iOS? iBoot es equivalente al sistema BIOS de una computadora con Windows. El desarrollador de iOS y MacOS, Jonathan Levin, dijo que esta es una de las peores filtraciones en la historia de iOS.
4. Los Juegos Olímpicos de Invierno de PyeongChang en Corea del Sur sufrieron un ataque de piratas informáticos
En febrero de 2018, la ceremonia inaugural de los Juegos Olímpicos de Invierno de PyeongChang en Corea del Sur sufrió un ataque de piratas informáticos el día de la inauguración , lo que provocó que la red se interrumpiera y la transmisión se interrumpiera. El sistema (el público no pudo ver la transmisión en vivo) y el sitio web oficial de los Juegos Olímpicos no funcionaban correctamente. Muchos espectadores no pudieron imprimir las entradas para la ceremonia de apertura y finalmente lo hicieron. incapaz de entrar al lugar normalmente.
5. Los ataques al software de minería de criptomonedas paralizaron las instalaciones de tratamiento de aguas residuales europeas
A mediados de febrero de 2018, la empresa de seguridad de redes industriales Radiflow dijo que había descubierto acceso a la tecnología operativa de las instalaciones de tratamiento de aguas residuales europeas Cuatro de Los servidores de la red se vieron comprometidos por malware de minería de criptomonedas. El malware paralizó directamente la CPU del servidor de interfaz hombre-máquina de la instalación de tratamiento de aguas residuales y el servidor europeo de tratamiento de aguas residuales quedó paralizado.