为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U5.1.0.0,安装在d:"ftpservice"serv-u目录下。杀毒软件和防火墙用的分别是NortonAntivirus和BlackICE,路径分别为d:"nortonAV和d:"firewall"blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:"www"bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(RemoteRegistry)的话他还可以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。
要想彻底关闭远程注册表服务可以采用如下方法:
一、通过任务栏的“开始->运行”,输入regedit进入注册表编辑器。
二、找到注册表中HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services下的“RemoteRegistry”项。
三、右键点击“RemoteRegistry”项,选择“删除”。
一、打开“我的电脑”——“控制面板”,双击打开“管理工具”。
二、在“管理工具”界面中,双击打开“本地安全策略”。
三、在弹出的“本地安全设置”对话框中,选择“安全选项”。
五、单击右键,选择“属性”。
在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
找到“HKEY_LOACL_MACHINE"SOFTWARE"Microsoft"WindowsNT"CurrentVersion"AeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。
在注册表中进行设置
一、单击“开始”——“运行”,输入“regedit”打开注册表编辑器。
二、在注册表编辑器中找到“HKEY_LOACL_MACHINE"SOFTWARE"Microsoft"WindowsNT"CurrentVersion"AeDebug”项。
三、在右边对应的键值中找到“AUTO”,右键单击,在弹出的菜单中,选择“修改”。
四、在弹出的“编辑字符串”对话框,“数值数据”下输入“0”,点击“确定”按钮,设置完成。
在用户安全设置方面1.禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。2.限制不必要的用户。此时需注意:
恶意网站往往通过修改注册表来破坏我们的系统,甚至禁用注册表,也就是通过修改注册表来给注册表自身加锁,当注册表被锁定以后,我们也可以在系统中解除锁定。
一、单击“开始”-“运行”,输入“gpedit.msc”,打开组策略编辑器。
二、在“组策略编辑器”对话框中,选择“‘本地计算机’策略”-“用户配置”-“管理模块”-“系统”。
三、在“系统”右边对应的选项列表中,选择“阻止访问注册表编辑工具”。
四、右键单击“阻止访问注册表编辑工具”,选择“属性”。
五、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已启用”,单击“确定”按钮。锁定注册表编辑器。
六、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已禁用”,单击“确定”按钮。解除锁定注册表编辑器。
当SynAttackProtect值(如无特别说明,本文提到的注册表键值都为十六进制)为0或不设置时,系统不受SynAttackProtect保护。
当SynAttackProtect值为2时,系统通过减少重传次数和延迟未连接时路由缓冲项(routecacheentry)防范SYN攻击。
修改注册表,防止SYN攻击
一、单击“开始”——“运行”输入“regedit”,单击“确定”按钮,打开注册表。
二、找到注册表位置:HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"Tcpip"Parameters
新建DWORD值,名为SynAttackProtect。
三、点击右键修改SynAttackProtect键值的属性。
三、在弹出的“编辑DWORD值”对话框数值数据栏中输入“2”
四、单击“确定”,继续在注册表中添加下列键值,防范SYN洪水攻击。
EnablePMTUDiscoveryREG_DWORD0
NoNameReleaseOnDemandREG_DWORD1
EnableDeadGWDetectREG_DWORD0
KeepAliveTimeREG_DWORD300,000
PerformRouterDiscoveryREG_DWORD0
EnableICMPRedirectsREG_DWORD0
默认安装WINDOWS系统的情况下,所有的硬盘都是隐藏共享,据说是为了管理方便,把系统安装分区自动进行共享,这样可以在网络中访问你的资源,不过这些默认共享的目录是只有系统管理员才能够在网络中查看的,因为在在共享名后边加上了美元号($),除非别人知道这个共享,否则他是找不着的。虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
修改注册表防范IPC$攻击:
一、单击“开始”——“运行”,输入“regedit”单击“确定”按钮,打开注册表。
二、防范IPC$攻击,查找注册表中“HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"LSA”的“RestrictAnonymous”项。
三、单击右键,选择“修改”。
四、在弹出的“编辑DWORD值”对话框中数值数据框中添入“1”,将“RestrictAnonymous”项设置为“1”,这样就可以禁止IPC$的连接,单击“确定”按钮。
修改注册表关闭默认共享
一、对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"LanmanServer"Parameters”项。在该项的右边空白处,单击右键选择新建DWORD值。
二、添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。
注:如果系统为Windows2000Server或Windows2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows2000PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。
【简介】作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍WindowsXP中如何进行密码的保护,和一些使用方法。
【编者按】
Windows2000server含有很多的安全功能和选项,如果你合理的配置它们,那么windows2000server将会是一个很安全的操作系统。首先我们应将Windows2000server服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
【简介】在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
问:我在Windows2000桌面右击IE图标并选择“属性”,选择了“安全”标签后,发现“自定义级别”和“默认级别”按钮变成灰色不可选状态,无法改变IE的安全等级。请问该如何解决?答:出现这个问题的原因是系统在注册表中添加了一个“SecChangeSettings”键进行了限制。请打开注册表编辑器,找到[HKEY_CURRENT_USER"Software"Policies"Microsoft"InternetExplorer"ControlPanel],将右侧窗口中的“SecChangeSettings”键删除后,重启IE即可解决问题。
如果要使用文件访问权限,文件还必须位于NTFS文件系统的分区上。跟FAT和FAT32文件系统相比,NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性,建议使用。不过DOS和Windows9x操作系统并不能支持这种文件系统。有两种方法获得NTFS文件系统的分区:创建一个分区,然后格式化为NTFS文件系统;或者把现有的FAT或者FAT32文件系统的分区在保留数据的前提下转化为NTFS文件系统。这个转化可以使用Windows自带的convert.exe程序,在命令行状态下输入“convertc:/fs:ntfs”并回车就可以把C盘转换,其他盘需要替换C为相应的盘符。另外要注意,转换系统盘可能需要你重启动系统才能完成。
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。一、给我们的IP添加安全策略在“计算机配置”→“Windows设置”→“安全设置”→“IP安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。小提示:由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”。
三、禁用指定的文件类型在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:1.打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
五、给“休眠”和“待机”加个密码只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个记录
小提示如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。
在网上偶尔看到这篇关于Window2000安全的问题,虽然有点老了,但觉得还是挺实用的,于是就转过来了,希望大家有所帮助。注意:很多操作请不要在服务器上直接尝试,因为操作不当可能会引起服务器很多功能出错或无法使用,建议您在个人的机器上操作成功后再试。---51windows(海娃)
具体清单如下:
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicateuser帐户,测试用帐户,共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators权限的帐户只在需要的时候使用。可以让管理员使用“RunAS”命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows2000的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。
6.创建一个陷阱帐号
“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10.使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
2.关闭不必要的服务
windows2000的TerminalServices(终端服务),IIS,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:ComputerBrowserserviceTCP/IPNetBIOSHelperMicrosoftDNSserverSpoolerNTLMSSPServerRPCLocatorWINSRPCserviceWorkstationNetlogonEventlog
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。"system32"drivers"etc"services文件中有知名端口和服务的对照表可供参考。具体方法为:网上邻居>属性>本地连接>属性>internet协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:策略设置审核系统登陆事件成功,失败审核帐户管理成功,失败审核登陆事件成功,失败审核对象访问成功审核策略更改成功,失败审核特权使用成功,失败审核系统事件成功,失败
5.开启密码密码策略
策略设置密码复杂性要求启用密码长度最小值6位强制密码历史5次强制密码历史42天
6.开启帐户策略
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:HKLM"Software"Microsoft"WindowsNT"CurrentVersion"Winlogon"DontDisplayLastUserName把REG_SZ的键值改成1.
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:Local_Machine"System"CurrentControlSet"Control"LSA-RestrictAnonymous的值改成”1”即可。
11.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的servicepack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇
1.关闭DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&),但是对于绝大多数的商业站点都应该是没有影响的。修改注册表HKLM"SYSTEM"CurrentControlSet"Control"GraphicsDrivers"DCI的Timeout(REG_DWORD)为0即可。
2.关闭默认共享
3.禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表HKLM"SYSTEM"CurrentControlSet"Control"SessionManager"MemoryManagement把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CDRom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到10phtcrack等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
限制对注册表的网络访问
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。注意:在Windows2000和更高版本中,只有管理员和备份操作员具有对注册表的默认网络访问权限。对于某些特定情况,此部分可能不适用。要限制对注册表的网络访问,请执行下列步骤来创建下面的注册表项:
HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"SecurePipeServers"winreg名称:Description类型:REG_SZ值:RegistryServer
在此项中设置的安全权限规定了哪些用户或组可以连接到系统以对注册表进行远程访问。默认的Windows安装会定义此项,并按如下所示设置“访问控制列表”以限制对注册表的远程访问:
管理员拥有完全控制权限
Windows的默认配置只允许管理员对注册表进行远程访问。为使用户可以对注册表进行远程访问而对此项进行的更改要在重新启动系统后才能生效。
要创建注册表项以限制对注册表的访问,请执行下列步骤:
1.
启动注册表编辑器(Regedt32.exe)并转到下面的子项:
HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control
2.
在编辑菜单中,单击添加项。
3.
输入下列数值:
项名称:SecurePipeServers类型:REG_SZ
4.
转到下面的子项:
HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"SecurePipeServers
5.
6.
项名称:winreg类型:REG_SZ
7.
HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"SecurePipeServers"winreg
8.
在编辑菜单上,单击添加数值。
9.
数值名称:Description数据类型:REG_SZ字符串:RegistryServer
10.
11.
选择“winreg”。单击安全,然后单击权限。添加要向其授予访问权限的用户或组。
12.
退出注册表编辑器并重新启动Windows。
13.
如果您以后想要更改可以访问注册表的用户的列表,请重复步骤10-12。
不使用访问限制
某些服务需要远程访问注册表才能正常工作。例如,目录复制程序服务和后台打印程序服务在通过网络连接到打印机时需要访问远程注册表。您可以将运行该服务的帐户名称添加到“winreg”项的访问列表中,也可以配置Windows以便不对某些特定项使用访问限制,方法为:在AllowedPaths项下的Machine或Users值中列出这些项。
HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"SecurePipeServers"winreg"AllowedPaths
值:Machine数值类型:REG_MULTI_SZ–多字符串默认数据:System"CurrentControlSet"Control"ProductOptionsSystem"CurrentControlSet"Control"Print"PrintersSystem"CurrentControlSet"Services"EventlogSoftware"Microsoft"WindowsNT"CurrentVersionSystem"CurrentControlSet"Services"Replicator有效范围:注册表中某个位置的有效路径。描述:如果对于注册表中列出的位置不存在明确的访问限制,则允许计算机访问该位置。值:Users数值类型:REG_MULTI_SZ–多字符串默认数据:(无)有效范围:注册表中某个位置的有效路径。描述:如果对于注册表中列出的位置不存在明确的访问限制,则允许用户访问该位置。
在Windows2000和更高版本中略有不同:
值:Machine数值类型:REG_MULTI_SZ–多字符串默认数据:System"CurrentControlSet"Control"ProductOptionsSystem"CurrentControlSet"Control"Print"Printerssystem"CurrentControlSet"control"ServerApplicationsSystem"CurrentControlSet"Services"EventlogSoftware"Microsoft"WindowsNT"CurrentVersion值:Users–默认情况下不存在。
备份注册表文件、用软件免疫、禁用js
显然这些方法都不怎么理想,其实有一招简单的方法是可以永远免疫的,就是在注册表中删除恶意代码会用到的一个id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了,那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它再注册表里面的路径是HKEY_CLASSES_ROOT"CLSID"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},找到后把整个项删掉就可以了,这个项删掉不会对系统有任何影响,请放心删除.
这里再介绍几个对系统安全有隐患的ID
HKEY_CLASSES_ROOT"CLSID"{0D43FE01-F093-11CF-8940-00A0C9054228},网页代码可以利用他在硬盘里面生成文件
HKEY_CLASSES_ROOT"CLSID"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},可以生成命令格式,比如格式化硬盘,执行任何程序.
HKEY_CLASSES_ROOT"CLSID"{B83FC273-3522-4CC6-92EC-75CC86678DA4},这个好像是3721中文网址的,我发现很多朋友都觉得3721很霸道,删了就不用管它了
上次我陈述了四大病毒可以一劳永逸,有朋友提到如何防范?
1.在“我的电脑”—“工具”—“文件夹选项”对话框中,点击“文件类型”,删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射2.在Windows目录中,找到WScript.exe和JScript.exe,更改其名称或者干脆删除