一、账户
把系统管理员账户 administrator 改名,并加长密码
自建一个自己使用的账户,并加密码
新建一个 adminstrator 账户,设置为 user 组,并加密码
二、防 u 盘自动运行病毒
方法一
1、点击“开始”、“运行” ,输入 后,按“回车键”,打开“组策略编辑器”
2、点击左侧“计算机配置”、“管理模板”、“系统”,在右侧找到“关闭自动播放”并双击
3、在“设置”选项卡里,选择“已启用”,并在下方的“关闭自动播放”下拉框中选择“所有
驱动器”,最后点击“确定”
缺点:无法自动播放 cd
方法二
1、点击“开始”、“运行” ,输入 后,按“回车键”,打开“注册表编辑器”
2、点击[hkey_current-user\software\microsoft\windows\currentversion\policies\explorer]
3、双击“nodrivetypeautorun”点击“十进制”输入“149”点击确定
三、保护 IE,防止被嵌入木马
方法一
1、打开 ie 的安全级别设置
双击打开“ie”,点击“工具”、“internet 选项”、“安全”、“自定义级别”
2、禁用 java applet 和 javascript
找到“脚本”、“java 小程序脚本”,设置为“禁用”
找到“脚本”、“活动脚本”,设置为禁用
3、禁用跨域子框架
找到“其他”、“跨域浏览子框架”设置为禁用
缺点:可能会影响一些网站的浏览,但可最大限度保证安全
方法二
删除木马常用的执行对象
1、点击“开始”、“运行” ,输入 后,按“回车键”,打开“注册表编辑器”
2、点击[hkey_local_machine\software\classes\clisid]
3、找到 00000566-0000-0010-8000-00aa006d2ea4 删除
0d43fe01-f093-11cf-8940-00a0c9054228 删除 filesystem object
72c24dd5-d70a-438b-8a42-98424b88afb8
88d969c5-f192-11d4-a65f-0040963251e5
88d969ea-f192-11d4-a65f-0040963251e5
F935dc22-1cf0-11d0-adb9-00c04fd58a0b
能找到的都删掉
缺点:如果有不使用这些系统内置对象的木马恶意脚本时,就必中无疑
四、关闭无用的服务
1、Alerter :
进程名 。依赖 Workstation 服务。
默认启动类型:禁用。
Alerter,警示器。Alerter 服务的功能是,WinXP 将系统上发生的与管理有关的事件以
警示,(Alert)信息传送至网络上指定的电脑或用户。不需要。
建议为禁用。
2、Application Layer Gateway Service:
进程名 。无依存关系。 ALG,应用层网关服务。
默认启动类型:手动。
为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。若需要,可设为手
动。一般用户用不到,
建议设为禁用。
3、Automatic Updates:
进程名 。无依存关系。Wuauserv,自动更新服务。
默认启动类型:自动。
建议设为禁用。
4、Background Intelligent Transfer Service:
进程名 。依赖 Remote Procedure Call(RPC)服务。BITS,后台智能传输服
务。
默认启动类型为手动。
当网络切断或计算机需重启时,后台智能传输服务会自动对文件传输加以维护,当网络
重新连接时,后台智能传输服务将继续从停止的地方继续开始传输文件。基本上它的应用也
就是支持 Windows 自动更新时的断点续传。如果你禁用了 Automatic Updates,留着它基本
上也没有什么意义。
建议设为禁用。
5、ClipBook
进程名 。依赖 Network DDE、Network DDE DSDM 服务。ClipSrv,剪贴板查
看器服务。
默认启动类型为手动。
ClipBook 通过 Network DDE 和 Network DDE DSDM 提供的网络动态数据交换服务,可
查阅远程机器中的剪贴板,通俗的说就是 ClipBook 支持剪贴板查看器(ClipBook Viewer)
程序,该程序可允许剪贴页被远程计算机上的 ClipBook 浏览。不准备使用或极少使用远程
桌面的用户,这个服务完全可以禁用。
建议设为禁用。
6、Computer Browser
进程名 。依赖 Server、Workstation 服务。Browser,计算机浏览器服务。
默认启动类型为自动。
Browser 服务维护着一个网络资源的清单,其中包括基于 Windows 的域、工作组和计算
机,还有其他支持 NetBIOS 协议的网络设备,我们在"网上邻居"上看到显示的内容正是来源
于此。显然对于一般家庭用的计算机这个服务并不需要,除非计算机位于局域网之上,例如
用长城宽带的朋友,用它可方便地知道社区内的网络环境。
一般用户建议设为禁用。
7、DHCP Client
进程名 。依赖 AFD、NetBios over Tcpip、TCP/IP Protocol Driver、IPSEC driver
服务。Dhcp,动态主机配置协议客户端服务。
默认启动类型为自动。
简单的说 DHCP 过程就是由网络中一台主机(DHCP Server)将所有的网络参数自动分
配给网络内的任何一台计算机,而 DHCP Client 就是网络中被分配网络参数的对象计算机了。
如果要在网络中被自动分配 IP 地址等网络参数,那么这个 DHCP Client 服务就必不可少。
如果你手动设置了 IP 地址,这个服务可以禁用。
建议设为禁用。
8、Distributed Link Tracking Client
进程名 。依赖 Remote Procedure Call(RPC)服务。TrkWks,分布式连结追
踪客户端服务。
默认启动类型为自动。
简单说,就是将整个网络中分散于各台计算机上互相有连接的 NTFS 文件看作一个整体,
当系统内发生文件移动,就会记录这个信息。它是针对"域用户"的"NTFS 文件"的"分布式连
接",这 3 个条件缺一个你就用不上它,对于不在局域网的单机用户来说,当然是禁用它。
一般用户不需要,
建议设为禁用。
9、Distributed Transaction Coordinator
进程名 。依赖 Remote Procedure Call(RPC)、Security Accounts Manager 服务。
MSDTC,分布式交易协调器。
默认启动类型为手动。
主要用来处理分布式交易,所谓分布式交易,就是跨越两个或多个数据库的单一 SQL
Server 内部的交易。同一数据库内不同数据表间的交易,则不能称作分布式交易。显然对于
需要同时处理多个数据库或文件系统的用户来说,这个服务意义重大,但它也是通常意义上
一般用户不会使用到的服务,其实这个服务也容易受到远程拒绝服务攻击。
建议设为禁用。
10、Error Reporting Service
进程名 。依赖 Remote Procedure Call(RPC)服务。ERSvc,错误报告服务。
默认启动类型为自动。
当使用程序出错时会跳出对话框,问你是否需要向微软发送报告,就是这个服务的功能。
此服务完全可设置为手动或禁止。
建议设为禁用。
11、Help and Support
进程名 。依赖 Remote Procedure Call(RPC)服务。Helpsvc,帮助服务。
默认启动类型为自动。
这个服务用于支持 WinXP 帮助和支持中心的功能,如果你刚开始使用 WinXP,这个帮
助中心能解决不少问题,如果你觉得不需要它了,那就禁用吧。
建议设为手动。
12、Human Interface Device Access
进程名 。依赖 Remote Procedure Call(RPC)服务。HidServ,人性化接口装
置服务。
默认启动类型为禁用。
这个服务简单说就是支持那些所谓的带有多媒体功能智能键盘,比如音量调节。当然你
有符合人体工程学标准的设备(主要指键盘和鼠标),那么这个服务就设置为自动,否则这
些设备的一些功能将不能正常使用。而如果你没有这类设备或者你的设备有自己的驱动,即
可禁用此服务。
建议设为禁用。
13、IMAPI CD-Burning COM Service
进程名 。无依存关系。ImapiService,IMAPI CD 刻录服务。
默认启动类型为手动。
这个就是 WinXP 内置的 CD 刻录服务了,总的来说该服务的功能和性能十分有限,有
刻录机的朋友还是安装成熟的第三方刻录软件,关闭这个服务吧。
建议设为禁用。
14、IPSEC Services
进程名 。依赖 IPSEC driver、Remote Procedure Call(RPC)、TCP/IP Protocol
Driver 服务。PolicyAgent,IP 安全策略服务。
默认启动类型为自动。
IPSEC 是一种用来保护内部网、专用网络以及外部网(Internet、Extranet)免遭攻击的
重要防御方法。对于绝大多数用户来说,这是个根本就不用关心的东西。
建议设为禁用。
15、Messenger
进程名 。依赖 NetBIOS Interface、Plug and Play、Remote Procedure Call
(RPC)、Workstation 服务。Messenger,信使服务。
默认启动类型为自动。
如果是在同一域中,只需要用 NET SEND 命令就可以轻易发送消息了。"信使服务"不
仅会干扰工作,影响心情,而且还容易遭到"社会工程"攻击,所以禁用它吧。
建议设为禁用。
16、MS Software Shadow Copy Provider
进程名 。依赖 Remote Procedure Call(RPC)服务。SwPrv,管理磁盘区卷影
复制服务。
默认启动类型为手动。
这个服务是为 WinXP 中的 MS Backup 备份程序提供支持。一般用户不需要,
建议设为禁用。
17、Net Logon
进程名 。依赖 Workstation 服务。Netlogon,网域登录服务。
默认启动类型为自动。
这个服务是用来做网域审查的。当你的计算机处在一个域网内时,如果要使用网内的域
服务器登录到域网时,就要通过它来登录了。一般用户用不着,
建议设为禁用。
18、NetMeeting Remote Desktop Sharing
进程名 。无依存关系。Mnmsrvc,NetMeeting 远程桌面共享服务。
默认启动类型为手动。
使用 NetMeeting 可透过公司内部网络,让使用者将计算机的控制权分享给局域网上或
因特网上的其他使用者,很多人都因为安全问题关掉它,而且它很占网络资源。但如果你想
和别人做些非文字的交流,还是比较好玩的。注意关掉它后,远程桌面共享功能将无法使用。
建议设为禁用。
19、Network DDE
进程名 。依赖 Network DDE DSDM 服务。NetDDE,网络动态数据交换服务。
默认启动类型为手动。
是微软早期设计的一种方法,可让应用程序在不同 PC 上的 Windows 之间交换动态数
据,现在已经很少使用。实际上在 WinXP 中,真正使用它的只有 ClipBook 服务。数据共享
服务通常是经过可信赖的沟通渠道,负责管理这项服务的是网络 DDE 代理(Network DDE
Agent),实际上网络 DDE 代理会使机器非常容易遭受攻击而失去本机的管理员控制权。因
此如果无需 ClipBook 共享这个特殊服务,不妨禁用。
建议设为禁用。
20、Network DDE DSDM
进程名 。无依存关系。NetDDEdsdm,网络动态数据交换网络共享服务。
默认启动类型为手动。
它不依赖于其他服务。如果此服务终止,Network DDE 服务将不可用,实际上如果不
用 Network DDE,那么 Network DDE DSDM 也禁用好了。
建议设为禁用。
21、Network Location Awareness (NLA)
进程名 。依赖 AFD、TCP/IP Protocol Driver、IPSEC Driver 服务。NLA,网
络位置识别服务。
默认启动类型为手动。
NLA 可以探测网络系统的相关信息,当这些信息发生变化时通知相关的应用程序。基
本上,这个服务主要针对的对象是笔记本电脑。对于经常移动办公的人,这确实是个不错的
功能。一般用户用不到,
建议设为禁用。
22、Network Provisioning Service
进程名 。依赖 Remote Procedure Call(RPC)服务。xmlprov,
默认启动类型为手动。
为自动网络提供管理基于域的 XML 配置文件。一般用户用不到,
建议设为禁用。
23、NT LM Security Support Provider
进程名 。无依存关系。NtLmSsp,NT LM 安全性支持提供者服务。
默认启动类型为手动。
是 NT 下提供的认证方法之一,使用了 64 位的加密手段。NtLmSsp 这个服务主要针对
RPC(远程过程调用),通常 RPC 可以选择基于两种通信方式,一种是传输协议,比如 TCP/IP、
UDP、IPX 等,另一种为命名管道(Pipeline)。通常情况下 Windows 默认选择都是传输协议,
而由于 RPC 是采用非加密传输的,通信数据安全无法得到保证,而 NtLmSsp 就可向这一类
RPC 提供安全服务。WinXP 中已知的这类 RPC 应用就是 Telnet 服务(Telnet 也依赖于
NtLmSsp),因此无需 Telnet 服务的单机用户可将其关闭。一般用户用不到,
建议设为禁用。
24、Portable Media Serial Number Service
进程名 。无依存关系。WmdmPmSN,便携的媒体序号服务。
默认启动类型为自动。
这个服务其实非常简单,它是微软用来防盗版的工具之一,但目前基本上只是针对音乐。
微软用它获得你系统中媒体播放器的序列号,做什么用呢?其实它是在试图控制你将盗版的
音乐文件拷贝到类似 MP3、MD 等便携播放器上。没有多大意义,
建议设为禁用。
25、Print Spooler
进程名 。依赖 Remote Procedure Call(RPC)服务。Spooler,打印缓存服务。
默认启动类型为自动。
Spooler 是为了提高文件打印效率,将多个请求打印的文档统一进行保存和管理,先将
要打印的文件拷贝到内存,待打印机空闲后,再将数据送往打印机处理。这样处理速度更快
些。
如果有打印机,则设为自动,没有打印机自然是禁用了。
26、QoS RSVP
进程名 。依赖 AFD、Remote Procedure Call(RPC)、TCP/IP Protocol Driver、
IPSEC driver 服务。RSVP,QoS 许可控制服务。
默认启动类型为手动。
这就是微软那个饱受争议的占用了 20%网络带宽的服务了。对大多数朋友来说,关掉
它是简单正确的选择。
建议设为禁用。
27、Remote Access Auto Connection Manager
进程名 。依赖 Remote Access Connection Manager、Telephony、Plug and
Play、Remote Procedure Call(RPC)服务。RasAuto,远程访问自动联机管理员服务。
默认启动类型为手动。
为某些程序引用远程 DNS、NetBIOS 名或者地址创建一个到远程网络的连接。一般用
户用不到,
建议设为禁用。
28、Remote Access Connection Manager
进程名 。依赖 Telephony、Plug and Play、Remote Procedure Call(RPC)服
务。RasMan,远程访问联机管理员服务。
默认启动类型为手动。
如果你使用了 Internet 连接共享,那么需要打开它。一般用户用不到
建议设为禁用。
29、Remote Desktop Help Session Manager
进程名 。依赖 Remote Procedure Call(RPC)服务。RDSessMgr,远程桌面
协助服务。
默认启动类型为手动。
这是与 NetMeeting Remote Desktop Sharing 很类似的一个服务。
建议设为禁用。
30、Remote Procedure Call (RPC) Locator
进程名 。依赖 Workstation 服务。RpcLocator,远程过程调用定位服务。
默认启动类型为手动。
这一服务和 RPC 服务并无太多关系,是用来给 RPC 的命名服务的。其用途简单解释就
是,通过它对 RPC 的命名管理,调用者才能找到被调用者的位置。但由于微软系统注册表
的存在,使得这些命名服务在本机上的调用上毫无意义。因此对于一般用户,
建议设为禁用。
31、Remote Registry
进程名 。依赖 Remote Procedure Call(RPC)服务。RemoteRegistry,远程注
册表服务。
默认启动类型为自动。
此服务是向其他连机的计算机开放你的注册表,也就是说,别人可以连机修改你的注册
表。微软总是让这种明显是安全隐患的服务自动启动实在让人费解。
强烈建议设为禁用。
32、Removable Storage
进程名 。依赖 Remote Procedure Call(RPC)服务。NtmsSvc,卸除式存放装
置服务。
默认启动类型为手动。
此服务的名称太容易让人误解,实际上它只是对特殊可移动存储器的管理,比如 ZIP 软
驱和磁带驱动器,不要担心你的 CD 和 DVD 等设备。从事图像设计的用户经常会用 ZIP 同
苹果机交换文件,一般人恐怕很少使用这些特殊设备,
建议设为禁用。
56、Secondary Logon
进程名 。无依存关系。Seclogon,二次登录服务。
默认启动类型为自动。
这个服务对应于用户临时权限分配功能,在多用户使用的计算机上,某些用户因为是非
管理员权限,导致某些程序无法执行。为了让没有管理员权限的已经登录用户可以使用这些
程序,WinXP 设计了这个功能来分配临时的管理员权限。打开这个服务后,右键点击鼠标
选择"运行方式"将会出现对话框,让你选择执行这个程序的用户身份。
建议设为禁用。
58、Security Center
进 程 名 。 依 赖 Remote Procedure Call ( RPC )、 Windows Management
Instrumentation 服务。wscsvc,安全中心。
默认启动类型为自动。
监视系统安全设置和配置。
建议设为禁用。
59、Server
进程名 。无依存关系。Lanmanserver,服务器服务。
默认启动类型为自动。
Server 服务对应的是网络上的文件/打印机器共享,以及网络的路径映射共享功能。没
有这些方面的需要你就可以关闭它。一般用户用不到,
建议设为禁用。
61、Smart Card
进程名 。依赖 Plug and Play 服务。 SCardSvr,智能卡服务。
默认启动类型为手动。
Smart Card(智能卡)其外型和一般信用卡大小一样,但多了一块指甲大小的 IC 芯片
后,使原本普通的一张卡片变成拥有资料控管与逻辑运算的能力。如果你拥有智能卡及相关
的读卡设备就开启这个服务,否则就禁用吧。一般用户用不到,
建议设为禁用。
62、SSDP Discovery Service
进程名 。依赖 HTTP 服务。SSDPSRV,简易服务发现协议之发现服务。
默认启动类型为手动。
SSDPSRV 主要用于家庭网络上 UPnP(Universal Plug and Play,统一即插即用)设备的
搜索。一般用户用不到,
建议设为禁用。
64、System Restore Service
进程名 。依赖 Remote Procedure Call(RPC)服务。 Srservice,系统还原
服务。
默认启动类型为自动。
这是大家都非常熟悉的系统还原功能了,如果不使用的话,先在"我的电脑"属性中的系
统还原选项卡关闭,然后在这里将服务禁用即可。
建议设为禁用。
65、Task Scheduler
进程名 。依赖 Remote Procedure Call(RPC)服务。 Schedule,计划任务服
务。
默认启动类型为自动。
此服务支持 WinXP 的计划任务,它能使程序在预定的时间自动运行,如定期进行磁盘
碎片整理、病毒扫描、更新等,可根据自己的需要选择是否开启。
建议设为禁用。
66、TCP/IP NetBIOS Helper
进程名 。依赖 AFD、NetBios over Tcpip、TCP/IP Protocol Driver、IPSEC driver
服务。 LmHosts,TCP/IP NetBIOS 助手服务。
默认启动类型为自动。
该服务能在 TCP/IP 上提供 NetBIOS 支持。NetBIOS 网络协议,它是由 IBM 开发的一
个很古老的协议,当年在局域网上占据主导。由于 NetBIOS 不具备路由功能,也就是说它
的数据包无法跨网段传输,因此在广域网、城域网大行其道的今天,它只能退居配角。由
于 NetBIOS 是完全基于局域网的,因此作为访问 Internet 资源的一般用户可以禁用它,除非
你的系统处在小局域网中,而且使用的也正是 NetBIOS 协议。一般用户用不到,
建议设为禁用。
68、Telnet
进 程 名 。 依 赖 NT LM Security Support Provider 、 Remote Procedure Call
(RPC)、TCP/IP Protocol Driver、IPSEC driver 服务。 tlntSvr,远程登录服务。
默认启动类型为手动。
让用户以模拟终端的方式,登录到 Internet 的某台主机上,一旦连接成功,这些个人计
算机就好像是远程计算机的一个终端,可以像使用自己的计算机一样输入命令,运行远程计
算机中的程序。基于安全性理由,如果没有特别需求,这个服务一定要关掉禁用。
建议设为禁用。
69、Terminal Services
进程名 svchost。依赖 Remote Procedure Call(RPC)服务。TermService,终端机服务。
默认启动类型为手动。
它的简单描述是"允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和
应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务
器的基础结构"。这段描述已将该服务的用途解释得很清楚了,需要强调的是,这些方便都
是以安全为代价的,如果平时不用就一定要关掉。
建议设为禁用。
71、Uninterruptible Power Supply
进程名 。无依存关系。UPS,不间断电源管理服务。
默认启动类型为手动。
它的简单描述是"管理连接到计算机的不间断电源(UPS)"。
建议设为禁用。
72、Universal Plug and Play Device Host
进程名 。依赖 HTTP、SSDP Discovery Service 服务。UPNPhost,统一即插
即用驱动主机服务。
默认启动类型为手动
。它同 SSDP Discovery Service 是继承关系,后者搜索发现 UPnP 设备,而 UPNPhost
为 UPnP 设备提供驱动支持。当然通常情况下关闭即可。一般用户不需要,
建议设为禁用。
73、Volume Shadow Copy
进程名 。依赖 Remote Procedure Call(RPC)服务。VSS,卷影复制服务。
默认启动类型为手动
管理并执行用于备份和其他目的的卷影复制。一般用户不需要,
建议设为禁用。
74、WebClient
进程名 。依赖 WebDav Client Redirector 系统组件。WebClient,Web 客户端
服务。
默认启动类型为自动。
使用 WebDav 可将档案或数据夹上传到某个 Web 服务,这个服务对于未来.NET 意义更
大。基于安全性的理由,现在你可以尝试关闭它。一般用户极少用到,
建议设为禁用。
75、Windows Media Player Network Sharing Service
进 程 名 。 依 赖 HTTP 、 HTTP SSL 、 Universal Plug and Play Device
Host、SSDP Discovery Service 服务。
默认启动类型为手动。
使用通用即插即用设备与其它网络播放机和媒体设备共享 Windows Media Player 媒体
库。一般用户不需要,
建议设为禁用。
76、Wireless Zero Configuration
进程名 。依赖 NDIS 用户模式 I/O 协议、Remote Procedure Call(RPC)服务。
WZCSVC,无线配置服务。
默认启动类型为自动。
它的简单描述是"为您的 适配器提供自动配置"。 是大家都比较熟悉的无
线局域网协议标准了,其已经在市场上占据了优势。当然, 协议、蓝牙标准和 HomeRF
工业标准是无线局域网所有标准中最主要的竞争对手,它们也各有优劣。然而 无线
局域网技术已经在美国得到了广泛的应用,所以微软的 WinXP 内置服务支持也就不足为奇
了。如果你没有使用无线网络适配卡装置,那么可以关闭服务。一般用户不需要,
建议设为禁用。
五、关闭端口
什么是端口,它在网络中又有什么意义呢?
所以可以这样说:端口便是计算机与外部通信的途径,没有它,计算机便又聋又哑。
端口不会中病毒的,只不过有些端口是黑客要攻你 PC 的一个桥梁,所以要把一些可能被黑
的端口给关闭了才行。
如何关闭端口防止病毒与黑客入侵
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安
全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP
安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命
名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩
去掉,点击“完成”按钮就创建了一个新的 IP 安全策略。
第二步,右击该 IP 安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后
单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,
弹出 IP 筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右
边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地
址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然
后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏
蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过 135 端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续
添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选
器。
重复以上步骤添加 TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口
的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加
一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使
用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作
属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表
示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新 IP 安全策略属性”对话框,在“新
的 IP 筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右
击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口
六、黑客级防御软件 hips
ssm 主机入侵防御系统或系统防火墙
下载地址:
卸载杀毒软件
病毒和木马也是一样的道理,不管如何,它需要运行,需要安装,需要执行。比如我
们安装一个软件的时候,一些下载站点或者共享软件作者在安装程序里偷偷捆绑上其它软件
(目前大多数流氓软件是通过这个途径传播的),或者我们上网的时候,通过浏览器或者操
作系统的漏洞,偷偷下载一些软件,然后执行,结果就中招了。假定我们能知道所有 Windows
系统的运行程序的过程以及观察进程的各种动作,不就可以断绝一切非法操作了?Windows
对大多数用户来说,还是一个黑匣了,一个神秘的东西,除了一些专业人员,很少有人知道
那些进程,那些软件是什么意思。那么对于普通用户,就一点办法没有了吗?答案就是:
SSM。
System Safety Monitor 简称 SSM,是专门针对有害程序及间谍程序等的 Windows 防护
软件范畴, 却并非反病毒软件,它并不提供针对特定有害程序的查找及移除特性,也不提
供系统遭有害程序破坏后的恢复特性,而是真正的“防患于未然”!我们平常所用的防火墙如
天网,Windows 自带的防火墙,它 可监控网络流量并选择性地阻止某些程序对网络资源的
存取,而 SSM 可调整程序性能并控制它们对本地资源的存取,在这层意义上我们可将 SSM
称为系统防火墙。
而我们最依赖的杀毒软件如瑞星,金山,卡巴斯基,它们的原理基本都是不停地升级特
征码,然后根据这个特征码来判断文件是否是病毒,所以理论上来说,杀毒软件是跟着病毒
跑,永远需要不停地升级,可能也正因为这个原因,各大升毒软件厂商最希望看到这种现象,
可以慢慢坐着收钱
我来来看看 SSM 能做什么:
它是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,是针对
操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了
WebAttack 的五星编辑推荐奖,十分优秀!
使用说明:
七、影子系统
影子系统主要用于保护您的系统,它构建现有操作系统的虚拟影像(即影子模式),它和
真实的系统完全一样,用户可随时选择启用或者退出这个虚拟影像。用户进入影子模式后,
所有操作都是虚拟的,不会对真正的系统产生影响,一切改变将在退出影子模式后消失。因
此所有的病毒、木马程序、流氓软件都无法侵害真正的操作系统,它们的所有操作都只是假
象。
在您启动影子模式后,仍然和原系统完全一样使用,但是在下次启动前如果您遭到了病
毒、木马的入侵,破坏了您的系统,您不必担心,一切的操作都是针对您的原系统的影子的。
您的一切操作,包括安装程序在下次用原系统启动时,也都是无效的,这对做程序安装测试
非常有用,不会因为安装卸载而产生垃圾文件!影子系统不同于还原类软件,不需做任何镜
象,PowerShadow 也并非虚拟系统,它是你原操作系统的“影子系统”。
1、防范未知的新病毒
过去新病毒出来以后,首先由杀毒软件公司找到对策,用户再去升级杀毒软件,这期间
总有一批人要成为新病毒的牺牲品。现在我们再也不用害怕这种威胁,在影子模式下,任何
病毒、变种病毒、木马、流氓软件都无机可乘。
2、让您放心大胆的运行网上下载的程序
大家经常从网上下载安装软件,虽然用杀毒软件扫描了病毒,但是系统仍然经常遭到破
坏甚至崩溃,影子系统可以解决这样的问题,让您无忧的试用任何软件。
3、保护个人隐私,用电脑不留任何痕迹
影子系统可以最大限度的保护您个人的隐私。在影子模式下使用电脑,重启系统或退出
影子模式后将不会留下任何痕迹。影子模式下您还可以放心的打开邮件里的可疑附件。
4、系统免维护专家
影子系统能给你的操作系统最坚强的保护。电脑使用一段时间后难免会出现各种各样的
问题,甚至崩溃,用影子系统使您的电脑常用常新,再也不用花大量的时间来维护或者重新
安装操作系统。
免费试用版下载:
八、ghost 的使用
ghost 是一个备份软件 它能将一个分区内所有文件 通常我们是将系统盘 C 盘 制作成一
个“压缩文件” 存放在电脑其它安全的分区内 再在系统出现任意已知或未知的问题时候 再
启动 GHOST 提取此备份文件 再还原到系统盘 C 盘 以保证到系统正常安全运行 GHOST
适用于各种操作系统
名词解释
镜像文件 此处泛指 GHOST 软件制作成的压缩文件 以.gho 为后缀 在 ghost 中显示为黄色
源盘 即将要备份的磁盘 在一般的情况下我们泛指 操作系统盘 C 盘
镜像盘 存放备份镜像的磁盘 在一般的情况下我们泛指 文件存放盘 D 盘 或 E F G 盘
打包 制作镜像文件 通常是指将 操作系统盘 C 盘 经压缩后存放在其它盘 如 D 盘 里
面
解包 还原镜像文件 通常在系统盘 C 盘 出现错误或病毒木马后 将存放在其它盘里面的
镜 像文件 还原到系统盘内 以求能恢复干净 良好的操作系统
1、 使用 GHOST 之前必定要注意到的
1). 一定要到没有任意问题才算好的 否则不可以删除前一个安全良好的包(有些朋友们硬
盘空间比较小 有时会为了空间删除 镜像文件 )通常建议您将镜像文件复制一下 放在安全
的地方比如说放在另外的盘里面 或设置为只读或隐藏 防止误删除
2).在备份系统前 进行磁盘碎片整理 整理源盘和镜像盘,以加快备份速度。
3).在备份系统前及恢复系统前 源盘和镜像盘 进行磁盘检查错误 如有修复磁盘错误 系统
备份之前必定要升级杀毒软件后 仔细完全查杀一次毒 如有可能 下载好各种系统安全补丁
确定系统运行得十分正常且安全 再备份
4).在恢复系统时 最好先检查一下要恢复的目标盘是否有重要的文件还未转移 (切记切记)
目标盘上的原有数据将全部被覆盖 使用任何反删除法都无法恢复 我们要养成一个良好的习
惯 不要在系统盘 C 盘 放任意需要保存的资料 下载软件的下载默认一定要设置到 D 盘或其
它盘里面
二 软件下载 安装
三 进入 GHOST 软件界面
1 启动计算机
2、用启动光盘、启动 u 盘等启动系统
3 进入后会出现 DOS 提示符 如 C:\> 此处意思为 现在显示的是 C 盘
4 在 c:\> 后面输入 d:此处的意思为进入 D 盘 输入后回车 出现 d:\>
5 再在 d:\>后面输入 g 此处意思为运行 g 程序 此处的 g 实际上就是原有的 ghost 程序
6 输入后回车 就会进入 GHOST 的操作界面 见 图一
三 打包 制作镜像文件
1、 进入图一所示 GHOST 界面后 由于是在 DOS 下 只能用键盘操作 按回车 进入下一个
界面
2、 DOS 界面下 键盘操作:TAB 键进行切换 回车键进行确认 方向键进行选择
如图二 用方向键选择
此处操作
选择菜单 Local(本机)--Partition(分区)--To Image(到镜像)
5 选中后回车 将出现如图三
选择硬盘 此处第一次是显示的第一个硬盘的信息
此处操作
回车
6 选中后回车 将出现下一个操作界面 如图四
选择要备份的分区 通常我们是选择 C 盘 也就是系统盘
此处操作
选择分区(可以用方向键上下选择 用 TAB 选择项目 )通常选择第一个就是 C 盘 分区
7 选中后回车 将出现如图 5
此处需要是输入备份文件名字
此处操作
1 按 TAB 选定到图片下面的输入名字的地方 在空格内输入您确定的名字 回车
2 此处选择的名字为 windows 当然您也可以选择别的名字的
3 通常我选择的是 001
8 输入后回车 就会进入如下所示 见 图 6
此处是提示您选择压缩模式 上面共有三个选择:
No 表示不压缩,Fast 表示适量压缩,High 高压缩
限于适用与速度 通常我们选择适量压缩 Fast
此处操作
1 按 TAB 或左右方向键 选定 Fast 回车
9 输入后回车 就会进入下一操作界面 见 图 7
此处是提示您选择是否开始备份 共有二个选择 YES 是 NO 不 我们需要选定 YES
此处操作
1 按左右方向键 选定 YES 回车
10 输入后回车 就会进入下一个操作界面 见 图 8
此处是提示 GHOST 根据您的指示 开始备份
此处操作
1 此处请不要做任意动作 您的任意动作都会带来不可预见之后果
请 1 不要按键盘 2 不要关机 静心等待到进度条走完
11 进度条跑完后会进入到下一个 操作界面 见 图 9
此处是提示 GHOST 根据您的指示 已经备份完毕 回车退出
此处操作
1 回车
备份完毕 重新启动就可以了
备份的文件以 GHO 后缀名储存在设定的目录中 如上所述
您的这个文件名叫
此文件在 windows 界面下是不显示什么的 在 DOS 下运行 GHOST 显示为黄色
您的这个 保存在 D 盘目录下 就是和 一个目录下
通常建议您将镜像文件复制一下 放在安全的地方防止误删除
三 解包 还原镜像文件
要提醒您注意的是在使用 GHSOT 软件恢复系统时,请勿中途中止!如果您在恢复过程
中重新启动了计算机那么您的计算机将无法启动!必定要接双硬盘或用光盘系统启动才可
恢复
在您的系统遇到以下的情况之一 怀疑或确定您的系统中了病毒或木马 系统运行了半个月以
上 或出现无故死机 变慢 及相关类别 您需要还原您的系统镜像文件 以保证到系统的安全
与良好运行
1 重新启动 快速按 F8 进入 DOS 界面 运行 进入 GHOST 界面 回车
2 回车后 就会进入 GHOST 的操作界面 见 图 10
此处操作
选择菜单到 Local(本机)--Partition(分区)--From Image
3 选定后回车 就会进入下一个操作界面 见 图 11
此处是提示您 选择 需要还原的镜像文件 如上所述 我们打的包是
所以我们这里选择
此处操作
1 按上下方向键 选择好 回车
4 输入后回车 就会进入下一个操作界面 见 图 12
此处显示硬盘信息 不需要处理 直接回车
此处操作
1 回车
5 输入后回车 就会进入下一个操作界面 见 图 13
此处显示硬盘信息 不需要处理 直接回车
如果您是双盘操作 此处必定要选择好硬盘 切记切记 通常是选择第二块硬盘
此处操作:回车
6 输入后回车 就会进入下一个操作界面 见 图 14
此处显示分区信息 提示您是需要还原到哪珍上分区 默认是还原第一个分区 也就是 C 盘系
统盘 如果您是要还原到此分区 不需要处理 直接回车
此处操作:回车
7 输入后回车 就会进入下一个操作界面 见 图 15
此处显示信息 此处是为了防止误操作 再次提醒您是不是一定要还原镜像文件
您到了这一步 如果说没有十分的把握 这是最后一次机会 默认是 NO 按下可以退出到起始
界面 如果选择 YES 将进行还原操作 此操作到了此处已经不可逆转 此处需要的是用左右
方向键 选择 YES 回车
此处操作
1 用左右方向键 选择 YES 回车
8 输入后回车 就会进入 GHOST 的操作界面 见 图 16
此处是提示 GHST 根据您的指示 开始还原镜像文件 此时千万不要进行操作
此处操作
1 此处请不要做任意动作 您的任意动作都会带来不可预见之后果 包括系统不能启动
请 1 不要按键盘 2 不要关机 静心等待到进度条走完
9 输入后回车 就会进入下一个操作界面 见 图 17
此处是提示 GHST 根据您的指示 已经备份完毕 给出的二个选择 一 默认为重新启动
二 以后再重新启动 此处需要的是重新启动
此处操作
1 回车
至此 您已经成功的还原了您的系统镜像 您的系统又和原来最最良好的时候是一样的了
恭喜您的电脑有了百毒不侵 之身 有了可以防止误操作的万事无忧之方法
有了以上的说明 在通常的情况下 您可以随时随地将您的系统还原到最良好运行之境地
