一、Windows98系统揪出蛀虫:
Windows98系统虽然已经推出年份很久,使用的频率也越来越低。不过对于一些有培训机房的公司来说Windows98系统还是占有一席之地的。很多硬件配置不高的计算机都可以流畅的使用Windows98。
我们通过Msconfig这个工具来揪出系统启动的蛀虫。
第一步:启动Windows98进入桌面,通过任务栏的"开始->运行"。
第二步:在“运行”中输入Msconfig,通过这个启动项配置工具来查看当前计算机都有哪些程序随系统的启动而启动。
第三步:在“启动”标签中我们通过将启动项前的勾去掉来实现取消该程序随系统启动而启动。
另外Windows98中有些程序是通过注册表来加载的,不过Msconfig启动配置工具会自动读取标准的RUN键值,所以不需要我们进入注册表中进行查看了。
二、Windows2000系统揪出蛀虫:
Windows2000是目前在公司使用最多的操作系统了,主要分professional和server两个版本。professional主要用于个人用户而server版用于服务器。不过这两个版本在揪出系统启动的蛀虫方面步骤基本类似,我们一并介绍。
方法一:注册表法
在Windows2000系统中没有为我们提供类似Windows98那样的启动项配置工具,我们只能通过注册表来查看有哪些程序随系统启动而启动。
第一步:进入Windows2000桌面,通过“开始->运行”输入regedit进入注册表编辑器。(如图1)
图1
第二步:在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值,在右边就可以看到当前有哪些程序随系统的启动而启动了,我们可以通过DEL键删除这些程序。(如图2)
图2
第三步:继续在在注册表编辑器中定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值,在右边就可以看到当前有哪些程序随系统的启动而启动了,我们可以通过DEL键删除这些程序。(如图3)
图3
方法二:复制Msconfig法:
虽然在Windows2000中没有启动项配置工具Msconfig,不过我们可以通过复制Msconfig.exe文件将这个启动项配置工具从98系统迁移到2000系统中。方法是在98的Windows目录中的system目录,找到Msconfig.exe程序,将其复制到2000系统中的Winnt目录下的system32目录和system目录。这样我们就可以在2000系统中通过“开始->运行->输入Msconfig”来运行启动项配置工具了。
小提示:当然我们直接把Msconfig.exe文件复制到2000系统桌面,当要查看启动项程序时直接运行该可执行程序也是可以的,效果是一样的。
通过上面介绍的复制98中Msconfig.exe文件方法可以实现查看哪些程序随系统启动而启动的功能,不过由于98系统文件格式和2000不同,所以直接运行98系统中的Msconfig.exe程序时会出现系统找不到config及autoexec等文件,我们不用理会直接跳过即可。
方法三:新版Msconfig法:
网上的热心网络管理员为我们制作了绿色版和升级版的Msconfig文件,我们可以直接使用该文件来查看系统启动项,启动时和98系统,XP系统一样,不会出现找不到任何文件的报错信息。(如图4)
图4
三、Windows XP系统揪出蛀虫:
在Windows XP中我们可以使用注册表法和Msconfig启动项配置工具两种方法查看随系统启动的程序,由于步骤和方法与下面介绍的Windows 2003类似,所以这里就不详细介绍了。不过值得一提的是在最新的Windows XP安装SP2补丁后,10月初的一个补丁更新对Msconfig这个启动项配置工具进行了改进,我们通过“开始->运行->输入Msconfig”后看到的启动项配置工具发生了一些变化,多出了一个叫做工具的标签,在工具标签中我们可以快速启动很多系统常用小工具,包括internet属性设置,事件查看器,命令提示符,Windows属性,注册表编辑器等十几项,点下方的启动按钮就可以快速启动相应的工具了,为我们日常工作提供了极大的方便。(如图5)
图5 点击看大图
四、Windows 2003系统揪出蛀虫:
Windows2003系统主要用在服务器,和98与XP系统一样我们可以通过两种方法来查看系统启动程序。
方法一:Msconfig法
在Windows2003中我们可以Msconfig这个工具来揪出系统启动的蛀虫。
第一步:启动Windows2003进入桌面,通过任务栏的"开始->运行"。
第二步:在“运行”中输入Msconfig,通过这个启动项配置工具来查看当前计算机都有哪些程序随系统的启动而启动。
第三步:在“启动”标签中我们通过将启动项前的勾去掉来实现取消该程序随系统启动而启动。(如图6)
图6
方法二:注册表法
在Windows2003系统中我们还可以通过注册表来查看有哪些程序随系统启动而启动。
第一步:进入Windows2003桌面,通过“开始->运行”输入regedit进入注册表编辑器。
第二步:在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值,在右边就可以看到当前有哪些程序随系统的启动而启动了,我们可以通过DEL键删除这些程序。
第三步:继续在在注册表编辑器中定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值,在右边就可以看到当前有哪些程序随系统的启动而启动了,我们可以通过DEL键删除这些程序。
对比上面介绍的两种方法还是Msconfig法更加简单,网络管理员上手更加容易。
五、服务也能藏蛀虫:
一般来说通过上面介绍的注册表和Msconfig可以查看到决大多数随系统启动而启动的程序名称,然而病毒和木马以及间谍软件也是不断发展的,目前很多程序都具备了将自身注册为服务的功能,也就是说这些程序以服务的形式进行加载,从而实现随系统启动而启动的目的。
如何有效的防范这类蛀虫呢?需要网络管理员具备一定的经验,至少要对没有感染病毒和木马以及间谍软件的系统中默认开启的服务要熟悉,不能说精通也要混个脸熟。这样当服务中出现其他面孔时可以在第一时间怀疑并关闭该程序。
如何查看陌生服务呢?我们有两种方法,一种是注册表法,一种是服务组件法。
方法一:注册表法
系统的关键信息都是保存在注册表中的,服务的状态也不例外。我们可以在注册表中找到每个服务对应的启动方式和当前状态。既然如此我们就可以使用注册表文件实现对服务状态的控制了。并且可以在注册表中将我们不熟悉的怀疑的服务删除。
第一步:通过任务栏的“开始->运行”,输入regedit进入注册表编辑器。
第二步:找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在该键值下的都是服务,例如有一个RemoteRegistry项,这个就是远程注册表服务对应的键值。当然对于其他服务来说也分别对应不同的项。
第三步:在该键值右边窗口中显示的各个项就是对应的服务状态,其中description是对该服务的描述,desplayname是服务显示的名称,failureactions是服务启动失败采取的操作,start是启动类型。
小提示:start中启动类型是4代表禁用,2代表自动启动,3代表手动启动。
第四步:通过上面的键值我们就可以查看当前系统有哪些服务了,遇到陌生的我们可以坚决的将其删除,从而杜绝木马和病毒这些蛀虫隐藏在本机。
小提示:为了更好的管理服务我们还可以在没有安装什么组件,干干净净的系统下将设置好服务类型的注册表导出,这样在今后快速切换服务状态时就可以通过运行注册表程序来实现了。从而实现快速恢复系统默认服务状态的目的了。
方法二:服务组件法
服务组件法操作起来比较简单,图形化的界面更容易得到我们的接收,容易上手。
第一步:通过打开任务栏的“开始->控制面板->管理工具”。
第二步:双击“服务”图标打开服务设置窗口。
第三步:在这个服务设置窗口中我们可以查看随本机启动的有哪些服务,以及启动类型等信息。遇到我们不熟悉的服务名称完全可以将其设置为“禁用”。
小提示:还有两种方法快速进入服务设置窗口,一个是打开任务栏的“开始->运行”。然后在运行文本框中输入services.msc直接打开服务设置窗口。另一个是在桌面“我的电脑”图标上点鼠标右键选择“管理”。在计算机管理窗口中找到“计算机管理(本地)->服务和应用程序->服务”。你会看到在窗口右边出现了当前计算机的所有服务状况,和上面提到的服务设置窗口一模一样。
总结:其实蛀虫可以存活在操作系统中的很多个角落,上面介绍的方法仅仅是一个普通的最常见的揪出系统启动蛀虫的方法。更多的技巧还需要网络管理员一点点的积累,在实际工作中不断找寻更新更方便的技巧。