第1页共10页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共10页本帖最后由清华小四于2010-4-2818:11编辑●进程分析(任务管理器taskmgr)一个纯净的win7刚启动时进程数应该不会太多,比如我的系统启动时就只有20多个。当然,如果你的配置越高,可能进程会越多,这并不奇怪。只要你掌握常见进程的运行情况,遇到不认识的进程百度一下,一般就能分析出某个进程是否异常了!●注册表检查(regeidt)与注册表有关的安全问题主要在于文件关联、启动项、映像劫持、IE首页、隐藏所有文件·文件关联路径:HKEY_CLASSES_ROOT下面全都是。·注册表可设置启动项的位置比较多,这里提供几个常见位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,Shell和UserinitHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce·映像劫持路径为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions只要这里设置了劫持某进程,那么该进程休想运行,这是病毒特别喜欢做的事情,用于K掉杀软。·IE首页修改,其主要路径在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main但其他还有好几个地方,如果你的IE首页被修改成了其他网址,而上面又没有问题,就要考虑搜索整个注册表键值了!·隐藏所有文件,也是病毒特别喜欢干的事情。把自己彻底隐藏起来的方法:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL把CheckedValue值改成0,你任何隐藏属性和系统属性的文件都不会显示了!●插件扫描其实插件也是一系列的文件和注册表键值组成的嵌套在其他软件内运行的程序,只是要寻找他们的所在路径比较麻烦,所以一般都用工具扫描。大家用得最多的就是360的插件扫描了。这个不用多说,软件也会提示是否恶意插件,所以,一般用360就可以清理掉不干净的插件了!●系统配置工具(msconfig)这里与安全有关的我们可以设置系统服务和启动项·服务:对于那么对服务,我们可以先勾选“隐藏所有Microsoft服务”,这样所剩的就不多了。再来禁用我们不需要的服务。见图2第2页共10页第1页共10页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共10页下载(26.2KB)2010-4-2818:11对于更多系统服务,请大家参考:Windows7_个人服务详解及优化.rar(18.44KB)下载次数:622010-4-2818:08·启动:除了注册表几个启动位置外,还有两个较明显的地方:1.开始—所有程序—启动,该文件夹内的快捷方式也能启动2.组策略gpedit.msc,计算机配置—Windows设置—脚本(启动/关机)用户配置——Windows设置—脚本(登陆/注销)由于启动项位置太多了,所以在寻找一些问题根源时得仔细查找!●UAC设置(UserAccountControlSettings)控制面板\所有控制面板项\用户帐户,“更改用户账户控制设置”,把提示通知的级别设置到自己认为合适的界别见图3第3页共10页第2页共10页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共10页下载(37.3KB)2010-4-2818:11●计算机管理(compmgmt.msc)这里可以管理服务,磁盘分区各种操作,Administrator和Guest的启用和禁用,删除系统默认共享见图4第4页共10页第3页共10页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共10页下载(34.5KB)2010-4-2818:11●系统信息(msinfo32)这里可以查看到系统几乎所有的硬软件信息!见图5你还可以通过文件,导出这里的所有信息哦!第5页共10页第4页共10页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共10页下载(30.24KB)2010-4-2818:11●事件查看器(eventvwr.exe)最常用的时候就是查看你的电脑上次什么时候被人用过,一般开机和关机都会被记录在这里面的!见图6第6页共10页第5页共10页编号...
