自从我用上卡巴斯基以后，几年来一直相信卡巴是最强悍的，百毒不侵，火眼金睛。。。。。。　　前几天，用办公室的机器运行繁重任务，嫌开着卡巴的监控太慢，就把监控关闭了，然后上网时忘了开了，结果一会儿后机器突然中毒，屏幕上出现了好几个IE窗口（我平常只用MAXTHON的，从来不人工打开IE），内容都是些广告，同时防火墙报告有程序试图下载不明网站上的文件，机器的速度骤然慢得让人无法忍受。。。。。。...........................

　　相信每一个从事计算机的人，都对众多系统关键服务与进程有所了解，但却不是每一个人都能详细说出这些进程，普通用户更是对众多的映象名称知之甚少。近日病毒的猖獗也使得部分用户大呼认识了进程就可以手动删除病毒，其实这样的想法都是片面的。从计算机病毒的发展来看，仅仅伪装系统关键进程或者创建新进程的病毒，几乎可能给用户造成任何影响。在此，笔者将详细介绍Windows操作系统进程的相关知识，使用户可以正确认识什么是进程，进程又都在做些什么。　　认识计算机进程　　进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。显然，程序是静态的，进程是动态的。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。。。。。。。。。。。。。。。。。。

      这篇文章里说的方法和欠钱前2天说的用explorer.exe替换sethc.exe然后在3389下用5次shift获得资源管理器的方法差不多，不过做了一些扩展，蛮有意思~

　　在windows 2000/xp/vista下，按shift键5次，可以打开粘置，会运行sethc.exe，而且，在登录界面里也可以打开。这就让人联想到WINDOWS的屏保，将程序替换成cmd.exe后，就可以打开shell了。

　　XP：

　　VISTA：

看到瑞星2008发布了所谓“超越传统HIPS”、“监控功能比传统HIPS的更全面”的功能，当时为之震惊，难道国产杀毒软件终于开发出了强大的HIPS功能了？立刻下了测试版安装，打算进行测试。起初考虑，发布文章中说得如此强大的主动防御技术，是不是需要逆向分析才能清楚呢？可惜，事实告诉我们，灰盒就够了。使用Rootkit Unhooker或者Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了。(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式挂钩了入下函数:ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入.............................

　　ARP欺骗通过伪造IP地址和MAC地址实现，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 笔者将介绍四种利用自制批处理文件来防御ARP攻击的方法。　　一、把下面语句编成BAT处理文件      @echo off 。。。。。。。。。。。。。。。

　　Windows XP的启动会有许多影响速度的功能，尽管ms说已经作过系统优化处理过，但对我们来说还是有许多可定制之处。我一般是这样来做的。 　　1、修改注册表的run键，取消那几个不常用的东西，比如Windows Messenger 。启用注册表管理器:开始→运行→Regedit→找到HKEY_CURRENT_USER Software Microsoft windows CurrentVersion Run MSMSGS /BACKGROUND 这个键值，右键→删除，世界清静多了，顺便把那几个什么cfmon的都干掉吧。 　　2、修改注册表来减少预读取，减少进度条等待时间，效果是进度条跑一圈就进入登录画面了，开始→运行→regedit启动注册表编辑器，找HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ControlSession ManagerMemory Management Prefetch Parameters， 有一个键EnablePrefetcher把它的数值改为"1"就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none(无)。 .................

　1.诺顿：这个最熟悉了，诺顿的杀毒软件实际上防止侦测方面做得并不是很好，很多病毒程序在子程序段中经常借鉴搞崩诺顿的代码，希望在新版本中诺顿可以采用更强的自身防护技术。诺顿的引擎应该是完全自成封闭体系的，没有资料证实诺顿曾经购买或者借鉴过别的杀毒引擎。传闻很多公司都在设计时参考过卡巴斯基的泄漏版引擎设计，因此曾经在微软社区在线聊天时，问过这个问题。回贴一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要，它自己的引擎搞得挺好的。有一个叫fenssa的家伙甚至回贴说不考虑病毒库因素，诺顿的杀毒引擎相当先进，综合防护性能很好。 　　在微软，除了用mcafee的就使用诺顿的(这一点我比较相信，很少见到别的杀软在微软被使用)。从诺顿的技术文档描述和在病毒论坛上流传的29A的一个家伙搞的一篇叫虚拟机环境下诺顿工作过程的步进追踪和反编的文章来看，诺顿的杀毒引擎应该是传统的静态代码对应与实时监控的完美结合，应该有一些改进的虚拟机技术在里面(诺顿的人并不怎么推崇虚拟机技术)。诺顿的杀毒速度慢，应该源于诺顿采用了较多的静态代码这种传统的检查方式有关。我个人非常喜欢诺顿的隔离机制，我认为在没有确定完全正确的处理方式之前，删除是不应该被采用的。一个高手写的病毒应该能尽可能的与系统进程相关，在这种情况下，隔离的优势立刻显现。诺顿资源占用量比较大，但实现了如下设计目标：能识别的病毒和被识别为病毒的进程完全可以正确处理，对已经不可能产生破坏作用的’病毒尸体‘不会产生误判，更不会出现出现一次又一次的在处理完某病毒后又检测其为病毒的状况。....................

　奇虎360安全中心最近发布的《互联网不安全报告》中披露，2007年上半年奇虎共截获病毒、恶意软件及木马程序共计168135个，其中木马程序占据了80%的比例。比如著名的“灰鸽子”木马，仅不完全统计就有大概6万个变种。 可见在现今阶段的互联网，木马的危害已经占据了主导。 　　谈“马”色变并不是空穴来风，你可能觉得自己已经安装了最新版本的杀毒软件和防火墙，自认铜墙铁壁、百毒不侵。可要命的变种木马程序让病毒库防不胜防。毕竟是先有病毒，再有病毒库更新。目前各大杀毒公司纷纷进入主动杀毒/防御领域，正是因为大家已经意识到面对最新木马病毒的查杀，时间是最关键的因素！ 　　那现阶段呢？我们这些饱受侵害的用户该做些什么呢？其实木马发展到现在，最重要的因素就是其很好的利用了社会工程学原理，在伪装和侵入方式上下足了功夫。这对于木马的整个入侵程序来说最为重要——换句话说：你需要运行木马，才能让自己的计算机中招！今天就针对这一环节，分析当前木马惯用伎俩，不用杀毒软件也能分辨出木马程序。

　由于网络和各种存储设备的飞速发展，使得病毒传播的几率也大大的增加了。虽然可以通过安装防病毒软件和网络防火墙来保护你的系统，但是由于病毒技术的发展势头十分迅猛，甚至许多网页中都包含了很多恶意代码，如果用户的防范意识不强的话，即使安装了防病毒软件也很容易“中招”。　　笔者经过查阅微软资料以及个人的使用经验，总结出一套防范病毒的方法，希望能对大家有所帮助。　　如果大家使用的是Windows2000/XP或2003操作系统的话，那么你可以尝试一下以下的方法——从源头上让你的系统可以对病毒免疫。　　首先全新安装的操作系统(或者你能确认你当前使用的系统是无毒的)，立即就打开：..................

讯雷安全组件中病毒库更新只支持即时、每天和手动更新三种方式，选择即时消耗机器性能太多，选择手动又不放心，选择每天则只有每次打开讯雷时才会更新。事实上，我们如果能够让讯雷实现定时病毒库更新就好了。第一步：禁止讯雷自动更新..............