网络安全技术课件网络安全

《网络安全技术课件网络安全》由会员分享，可在线阅读，更多相关《网络安全技术课件网络安全（24页珍藏版）》请在装配图网上搜索。

1、基础知识 -注册表部分注册表部分注册表与注册表编辑器 1.1什么是注册表 简单地说，它是用来对Windows操作系统进行配置的一个工具。通过它，可以对操作系统及应用软件进行优化，可以自己设置Windows的使用权限，可以解决硬件及网络设置不当带来的故障，甚至可以改造自己的操作系统。1.2为什么需要注册表 在Windows 3.X时代，主要通过Win.ini及System.ini文件对Windows系统进行配置，但Win.ini及System.ini文件存在着安全性不高、大小受限制等问题，为了解决这一问题，Microsoft公司（Windows系统的开发者）在Windows 98以后的版本中引入

2、了注册表这一概念，以便更好的对Windows系统进行配置，这就是为什么我们要使用注册表。1.3注册表的作用和功能 注册表是保存程序所需要的信息，当程序需要这些信息时，就从注册表里读出。因此，注册表最基本的功能就是保存信息。当了解了注册表的主要功能保存信息后，再来了解其保存信息所能发挥的作用！（1）记录安装信息；（2）设置硬件；（3）定制Windows以及应用软件。1.41.4注册表的逻辑结构体系注册表的逻辑结构体系 注册表逻辑结构中最基本的是主键、子键、键值项注册表逻辑结构中最基本的是主键、子键、键值项以及键值。它们是按照分级的方式来管理和组织以及键值。它们是按照分级的方式来管理和组织的。首先

3、是最底层的根键，每个根键下有若干个子键，每个的。首先是最底层的根键，每个根键下有若干个子键，每个 子键下又可以有若干（一个或多个）子键，子键下可以子键下又可以有若干（一个或多个）子键，子键下可以有一个或多个键值项和键值（如图所示）。有一个或多个键值项和键值（如图所示）。根键：注册表中最底层的键，类似于磁盘上的根目录。根键：注册表中最底层的键，类似于磁盘上的根目录。子键：子键位于根键下，又可以嵌套于其他子键中。在子键：子键位于根键下，又可以嵌套于其他子键中。在注册表的六大根键中，有若干的子键，而每个子键中又可以注册表的六大根键中，有若干的子键，而每个子键中又可以嵌套成千上万的子键。嵌套成千上万的

4、子键。键值项与键值：在每个根键和子键下，可以有若干键值键值项与键值：在每个根键和子键下，可以有若干键值项和项和 键值，这种结构类似于磁盘上根目录和子目录里的文件键值，这种结构类似于磁盘上根目录和子目录里的文件和文件内容。和文件内容。1.5注册表的六大根键 Windows 9X注册表逻辑结构中包含六个根键，每个根键包含着分类不同的信息！在Windows NT/2000/XP中，如果用Windows自带的编辑器打开的时候，只能看到五个，还有一个隐藏的根键：HKEY_PERFOR-MANCE_DATA。HKEY_CLASS_ROOTHKEY_CLASS_ROOT记录记录WindowsWindows操

5、作系统中所有数据文件的格式和关联信息，主要记录不同文件的文件操作系统中所有数据文件的格式和关联信息，主要记录不同文件的文件名后缀和与之对应的应用程序。其下子键可分为两类：一类是已经注册的各类文件的名后缀和与之对应的应用程序。其下子键可分为两类：一类是已经注册的各类文件的扩展名，这类子键前面都有一个扩展名，这类子键前面都有一个“.”“.”；另一类是各类文件类型有关信息。；另一类是各类文件类型有关信息。HKEY_CURRENT_USERHKEY_CURRENT_USER此根键包含了当前登录用户的用户配置文件信息。这些信息保证不同的用户登录计算此根键包含了当前登录用户的用户配置文件信息。这些信息保证

6、不同的用户登录计算机时，使用自己的个性化设置，例如自己定义的墙纸、自己的收件箱、自己的安全访机时，使用自己的个性化设置，例如自己定义的墙纸、自己的收件箱、自己的安全访问权限等。问权限等。HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE此根键包含了当前计算机的配置数据，包括所安装的硬件以及软件的设置。这些信息此根键包含了当前计算机的配置数据，包括所安装的硬件以及软件的设置。这些信息是为所有的用户登录系统服务的。它是整个注册表中最庞大也是最重要的根键！是为所有的用户登录系统服务的。它是整个注册表中最庞大也是最重要的根键！HKEY_USERSHKEY_USERS根键根键HKE

7、Y_USERSHKEY_USERS根键包括默认用户的信息（根键包括默认用户的信息（DefaultDefault子键）和所有以前登录用户的信子键）和所有以前登录用户的信息。息。HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG此根键实际上是此根键实际上是HKDY_LOCAL_MACHINEHKDY_LOCAL_MACHINE中的一部分，其中存放的是计算机当前设中的一部分，其中存放的是计算机当前设置，如显示器、打印机等外设的设置信息等。它的子键与置，如显示器、打印机等外设的设置信息等。它的子键与HKDY_LOCAL_MACHINEConfig0001HKDY_LOCAL_

8、MACHINEConfig0001分支下的数据完全一样。分支下的数据完全一样。HKEY_DYN_DATAHKEY_DYN_DATA根键根键HKEY_DYN_DATAHKEY_DYN_DATA根键中保存每次系统启动时，创建的系统配置和当前性能信息。根键中保存每次系统启动时，创建的系统配置和当前性能信息。这个根键只存在于这个根键只存在于Windows 9xWindows 9x中。中。HKEY_PERFORMANCE_DATAHKEY_PERFORMANCE_DATA根键根键在在Windows NT/2000/XPWindows NT/2000/XP注册表中虽然没有注册表中虽然没有HKEY_DYN_

9、DATAHKEY_DYN_DATA键，但是它却隐藏了键，但是它却隐藏了一个名为一个名为“HKEY_PERFORMANCE_DATA”“HKEY_PERFORMANCE_DATA”的键。所有系统中的动态信息都是存放在的键。所有系统中的动态信息都是存放在此子键中。系统自带的注册表编辑器无法看到此键，但可以用专门的程序来查看此此子键中。系统自带的注册表编辑器无法看到此键，但可以用专门的程序来查看此键，比如使用性能监视器。键，比如使用性能监视器。学用注册表编辑器 2.12.1认识注册表编辑器认识注册表编辑器 使用注册表编辑器使用注册表编辑器RegeditRegedit，可以查看和修改注册表，可以查看和

10、修改注册表的逻辑结构，学习注册表最主要的也就是掌握和操作它的逻的逻辑结构，学习注册表最主要的也就是掌握和操作它的逻辑结构。辑结构。要运行注册表编辑器，只要打开要运行注册表编辑器，只要打开“开始开始/运行运行”，在对，在对话框话框中输入中输入RegeditRegedit并确定就可以启动注册表编辑器了。并确定就可以启动注册表编辑器了。这个工具在以后会经常用到，总是像这样运行有点麻这个工具在以后会经常用到，总是像这样运行有点麻烦，所以为了方便，你可以在桌面做一个快捷方式。烦，所以为了方便，你可以在桌面做一个快捷方式。特别提醒：注册表编辑器是个危险的程序，如果计算机不是特别提醒：注册表编辑器是个危险的

11、程序，如果计算机不是一个人使用的话，最好不要将它的快捷方式做到桌面上，防一个人使用的话，最好不要将它的快捷方式做到桌面上，防止一些用户运行注册表编辑器后对注册表进行破坏性的修止一些用户运行注册表编辑器后对注册表进行破坏性的修改。改。2.22.2运行注册表编辑器（从运行注册表编辑器（从Windows 9xWindows 9x到到Windows XPWindows XP）在在Windows 9xWindows 9x里面打开注册表编辑器的里面打开注册表编辑器的方法只有一种，在方法只有一种，在“开始开始/运行运行”中输入中输入RegeditRegedit就可以了。就可以了。在在Windows NT/2

12、000/XPWindows NT/2000/XP里面有里面有2 2种方法种方法可以打开注册表编辑器。一种是直接在可以打开注册表编辑器。一种是直接在“开始开始/运行运行”中输入中输入RegeditRegedit，出现的界面和，出现的界面和Windows 9xWindows 9x一样。另外一种是打开有权限限一样。另外一种是打开有权限限制的注册表编辑器（打开方法：在制的注册表编辑器（打开方法：在“开始开始/运行运行”中中输输入入Regedt32Regedt32），后面的文章中将有详细讲述。），后面的文章中将有详细讲述。2.3注册表编辑器的视窗结构 每个子键至少包含一个键值项每个子键至少包含一个键值项

13、默认键值项，默认键值项，如果该键值项的键值为空，它的键值会显示成如果该键值项的键值为空，它的键值会显示成“（未设置键值）（未设置键值）”（如上图所示）。（如上图所示）。键值有三种数据类型：字符串、二进制和键值有三种数据类型：字符串、二进制和DWORDDWORD。字符串类型（键值窗口中含字母。字符串类型（键值窗口中含字母“ab”“ab”的小图标，如上图所示）通常用于文本，的小图标，如上图所示）通常用于文本，而二进制及而二进制及DWORDDWORD类型（键值窗口含有类型（键值窗口含有1 1和和0 0的的小图标）通常用于数字信息。但是，字符串值也小图标）通常用于数字信息。但是，字符串值也可以包含数字

14、，而且这种情况很常见。可以包含数字，而且这种情况很常见。备注：子键名不是注册表独有的，而且同一子键备注：子键名不是注册表独有的，而且同一子键名可能出现在几个不同的地方。因此在书中描述名可能出现在几个不同的地方。因此在书中描述某一子键时，通常给出完整的位置，如某一子键时，通常给出完整的位置，如HKEY_CLASSES_ROOTFolderHKEY_CLASSES_ROOTFolder或或HKEY_LOCAL_ HKEY_LOCAL_ MACHINESoftwareClassesFolderMACHINESoftwareClassesFolder。2.42.4修改注册表键值修改注册表键值 2.52

15、.5创建新的子键和键值项创建新的子键和键值项 2.62.6删除子键和键值项删除子键和键值项 2.72.7快速查找子键、键值项和键值快速查找子键、键值项和键值 2.8Windows XP2.8Windows XP注册表编辑器注册表编辑器 使用较新的使用较新的Windows 9X/MEWindows 9X/ME用户界面，而不是使用较早的用户界面，而不是使用较早的Windows 3.xWindows 3.x用户界面，与用户界面，与Windows NT 3.5/4.0Windows NT 3.5/4.0的注册表编辑器的注册表编辑器-Regedt 32-Regedt 32也完全不一样。也完全不一样。可搜

16、索子键、键值项、键值的名称和内容，而不是可搜索子键、键值项、键值的名称和内容，而不是Regedt32Regedt32那样只能搜索子键。那样只能搜索子键。在一个完整的窗口中显示注册表的全部内容，而不是像在一个完整的窗口中显示注册表的全部内容，而不是像Regedt32Regedt32那样对每一根键显示各那样对每一根键显示各自的窗口。自的窗口。可以导出、引入文本格式的可以导出、引入文本格式的.reg.reg及其他更多格式文件，而不像及其他更多格式文件，而不像Regedt32Regedt32那样可以导出但那样可以导出但不能引入文本格式的文件，且和不能引入文本格式的文件，且和.reg.reg文件格式完全

17、不一样。文件格式完全不一样。支持访问权限控制安全特性。支持访问权限控制安全特性。支持全部注册表数据类型（字符串、二进制、支持全部注册表数据类型（字符串、二进制、DWORDDWORD、多字符串、可扩展字符串、资、多字符串、可扩展字符串、资源描述符等）源描述符等）可以以二进制位数据方式显示、编辑键值，大大提高了方便性。可以以二进制位数据方式显示、编辑键值，大大提高了方便性。具有具有“记忆记忆”功能，每次重新启动功能，每次重新启动RegedtRegedt时，它会自动跳转到上次使用时最后打开的位时，它会自动跳转到上次使用时最后打开的位置。置。具有收藏夹功能，方便访问、管理最常用的注册表编辑项目。具有收

18、藏夹功能，方便访问、管理最常用的注册表编辑项目。可以导出更多格式文件可以导出更多格式文件 注册表备份与恢复 3.1用注册表编辑器导出和引入注册表文件 备注：引入.reg文件可以创建新注册表条目（子键、键值项和键值）并修改现有条目。即使你要引入的.reg文件会改写已有的值，注册表编辑器也不会出示警告，所以在引入.reg文件之前，切记备份注册表。3.23.2在在MS-DOSMS-DOS命令行模式下导出注册表文件命令行模式下导出注册表文件 在在MS-DOSMS-DOS命令行模式下导出注册表文件的命令格式为：命令行模式下导出注册表文件的命令格式为：RegeditRegedit/L:system/R:u

19、ser/E file.reg Regpath1/L:system/R:user/E file.reg Regpath1/L/L：systemsystem是指定是指定System.datSystem.dat文件所在的路径。文件所在的路径。/R/R：useruser是指定是指定User.datUser.dat文件所在的路径。文件所在的路径。如果没有如果没有/L/L和和/R/R参数，注册表编辑器就会在默认的路径下（比如参数，注册表编辑器就会在默认的路径下（比如C:WindowsC:Windows）找找这两个文件。这两个文件。/E/E：此参数告诉注册表编辑器要进行导出注册表操作。在此参数后面，应该：此

20、参数告诉注册表编辑器要进行导出注册表操作。在此参数后面，应该空一空一格格，输入导出，输入导出注册表的文件名注册表的文件名。可选项可选项RegpathRegpath是指定要导出哪个注册表的分支，如果不指定是指定要导出哪个注册表的分支，如果不指定RegpathRegpath选项，选项，那么则导出全部注册表分支。那么则导出全部注册表分支。例如，我们要将保存在例如，我们要将保存在C:WindowsSystem.datC:WindowsSystem.dat和保存在和保存在C:WindowsProfilesUser.datC:WindowsProfilesUser.dat中的关于控制中的关于控制Windo

21、ws 98Windows 98启动项目的分支导出到启动项目的分支导出到test.regtest.reg里，命令如下：里，命令如下：Regedit/L:C:Windows/R:C:WindowsProfiles/e test.reg HKEY_ Regedit/L:C:Windows/R:C:WindowsProfiles/e test.reg HKEY_ LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunLOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun而要直接导出在默认路径

22、里的而要直接导出在默认路径里的System.datSystem.dat和和User.datUser.dat所包含的所有的注册表内所包含的所有的注册表内容，那么用容，那么用Regedit/e All.regRegedit/e All.reg命令就可以了。命令就可以了。备注：这里应该特别注意的是备注：这里应该特别注意的是/L:system/L:system和和/R:user/R:user参数为可选项。如果不选，那参数为可选项。如果不选，那么注册表编辑器认为是对么注册表编辑器认为是对Windows 98Windows 98目录下的目录下的System.datSystem.dat和和User.datU

23、ser.dat进行操进行操作。作。3.33.3在在MS-DOSMS-DOS命令行模式下引入注册表文件命令行模式下引入注册表文件RegeditRegedit/L:system/R:user file.reg/L:system/R:user file.reg/L/L：systemsystem是指定是指定System.datSystem.dat文件所在的路径。文件所在的路径。/R/R：useruser是指定是指定User.datUser.dat文件所在的路径。文件所在的路径。引入注册表仅需要指定被引入的引入注册表仅需要指定被引入的.reg.reg文件的路径和名称就可文件的路径和名称就可以了，而不需要

24、象以了，而不需要象“/E”“/E”、“/C”“/C”这样的参数。这样的参数。例如，我们要将例如，我们要将test.regtest.reg文件中的部分注册表内容，引入到文件中的部分注册表内容，引入到C:WindowsSystem.datC:WindowsSystem.dat和保存在和保存在C:WindowsProfilesUser.datC:WindowsProfilesUser.dat中，命令可以如下：中，命令可以如下：Regedit/L:C:Windows/R:C:WindowsProfiles test.regRegedit/L:C:Windows/R:C:WindowsProfiles

25、test.reg而要将而要将test.regtest.reg文件中的注册表内容直接引入到默认路径里的文件中的注册表内容直接引入到默认路径里的System.datSystem.dat和和User.datUser.dat文件中，那么用文件中，那么用Regedit test.regRegedit test.reg命令命令就可以了。就可以了。3.4在MS-DOS命令行模式下重建注册表 Regedit/L:system/R:user/C file.regRegedit/L:system/R:user/C file.reg/L/L：systemsystem是指定是指定System.datSystem.da

26、t文件所在的路径。文件所在的路径。/R/R：useruser是指定是指定User.datUser.dat文件所在的路径。文件所在的路径。/C/C：此参数将告诉注册表编辑器，用所指定的：此参数将告诉注册表编辑器，用所指定的.reg.reg文件中的内容，重建文件中的内容，重建注册表。注册表。例如，我们要用例如，我们要用test.regtest.reg文件中的注册表内容，重新建立整个文件中的注册表内容，重新建立整个注册表，并将其保存到注册表，并将其保存到C:WindowsSystem.datC:WindowsSystem.dat和和C:WindowsProfiles User.datC:Window

27、sProfiles User.dat中，命令可以如下：中，命令可以如下：Regedit/L:C:Windows/R:C:WindowsProfiles/C test.regRegedit/L:C:Windows/R:C:WindowsProfiles/C test.reg备注：备注：/C/C选项将引入选项将引入.reg.reg文件中的全部内容，从头开始创建一个全新的文件中的全部内容，从头开始创建一个全新的注册表。注册表。在这里应该特别注意，所指定的在这里应该特别注意，所指定的.reg.reg文件应该包含整个注册表的全部内文件应该包含整个注册表的全部内容。因为注册表编辑器并不检查指定的容。因为注

28、册表编辑器并不检查指定的.reg.reg文件中是否包括了整个注册文件中是否包括了整个注册表的内容。另外在重建注册表命令之前，一定要备份整个注册表，以防表的内容。另外在重建注册表命令之前，一定要备份整个注册表，以防出现错误而造成损失。出现错误而造成损失。3.53.5在在MS-DOSMS-DOS命令行模式下删除注册表分支命令行模式下删除注册表分支Regedit/L:system/R:user/D REGPATHRegedit/L:system/R:user/D REGPATH/L/L：systemsystem是指定是指定System.datSystem.dat文件所在的路径。文件所在的路径。/R/

29、R：useruser是指定是指定User.datUser.dat文件所在的路径。文件所在的路径。/D/D：此参数将告诉注册表编辑器，将：此参数将告诉注册表编辑器，将REGPATHREGPATH所所指定的注册表子键分支删除。指定的注册表子键分支删除。例如，我们要将注册表中关于控制例如，我们要将注册表中关于控制Windows 98Windows 98启动启动项目的分支删除，命令可以如下：项目的分支删除，命令可以如下：Regedit/L:C:Windows/R:C:WindowsProfiles/D Regedit/L:C:Windows/R:C:WindowsProfiles/D HKEY_ LO

30、CAL_MACHINESoftwareMicrosoftWindows HKEY_ LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunCurrentVersionRun备注：此命令将删除指定子键下所包含的所有内容。（包括备注：此命令将删除指定子键下所包含的所有内容。（包括所有子键、键值项和键值）所有子键、键值项和键值）提高系统与网络安全 1.1.设置生存时间设置生存时间 HKEY_LOCAL_MACHINESYSTEMCurrentContrHKEY_LOCAL_MACHINESYSTEMCurrentContr-olSetServi

31、cesTcpipParameters-olSetServicesTcpipParameters DefaultTTL REG_DWORD 0-0 xff(0-255 DefaultTTL REG_DWORD 0-0 xff(0-255 十进制，默认值十进制，默认值128)128)说明：指定传出说明：指定传出IPIP数据包中设置的默认生存时间数据包中设置的默认生存时间(TTL)(TTL)值。值。TTLTTL决定了决定了IPIP数据包在到达目标前在网络中生存的最大时数据包在到达目标前在网络中生存的最大时间。它实际上限定了间。它实际上限定了IPIP数据包在丢弃前允许通过的路由器数数据包在丢弃前允许通

32、过的路由器数量量.有时利用此数值来探测远程主机操作系统。有时利用此数值来探测远程主机操作系统。2.2.关闭信使服务关闭信使服务 安全隐患安全隐患:在在Windows 2000Windows 2000/XP/XP系统中，默认系统中，默认MessengerMessenger服务处于启动状态，不怀好意者可通过服务处于启动状态，不怀好意者可通过“net send”“net send”指令向目指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。扰信息，严重影响正常使用。解决方法解决方法:首先打开注册表编辑器。对于系统服

33、务来说，首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSe“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”rvices”项下的各个选项来进行管理，其中的每个子键就是系项下的各个选项来进行管理，其中的每个子键就是系统中对应的统中对应的“服务服务”，如，如“Messenger”“Messenger”服务对应的子键是服务对应的子键是“Messenger”“Messenger”。我们只要找到。我们只要找到MessengerMesse

34、nger项下的项下的STARTSTART键键值，将该值修改为值，将该值修改为4 4即可。这样该服务就会被禁用，用户就即可。这样该服务就会被禁用，用户就再也不会受到再也不会受到“信信”骚扰了。骚扰了。3.3.关闭关闭“远程注册表服务远程注册表服务”安全隐患安全隐患:如果黑客连接到了我们的计算机，而且计算如果黑客连接到了我们的计算机，而且计算机机启用了远程注册表服务启用了远程注册表服务(Remote Registry)(Remote Registry)，那么黑客就可远，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保程设置注册表中的服务，因此远程注册表服务需要特别保护。护。解决方法

35、解决方法:我们可将远程注册表服务我们可将远程注册表服务(Remote Registry)(Remote Registry)的的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从仍然可以通过简单的操作将该服务从“禁用禁用”转换为转换为“自动自动启启动动”。因此我们有必要将该服务删除。因此我们有必要将该服务删除。找到注册表中找到注册表中“HKEY_LOCAL_“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetServices”MACHINESYSTEMCurrentContro

36、lSetServices”下的下的RemoteRegistryRemoteRegistry项，右键点击该项选择项，右键点击该项选择“删除删除”，将该项，将该项删除删除后就无法启动该服务了。后就无法启动该服务了。在删除之前，一定要将该项信息导出并保存。想使用该在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。服务时，只要将已保存的注册表文件导入即可。4.4.禁止禁止“默认共享默认共享”安全隐患安全隐患:大家都知道在大家都知道在Windows 2000/XP/2003Windows 2000/XP/2003中，系中，系统默认开启了一些统默认开启了一些“共享共

37、享”，它们是，它们是IPC$IPC$、c$c$、d$d$、e$e$和和admin$admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。很多黑客和病毒都是通过这个默认共享入侵操作系统的。解决方法解决方法:要防范要防范IPC$IPC$攻击应该将注册表中攻击应该将注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl LSA”“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl LSA”的的RestrictAnonymousRestrictAnonymous项设置为项设置为“1”“1”，这样

38、就可以禁止，这样就可以禁止IPC$IPC$的连接。的连接。对于对于c$c$、d$d$和和admin$admin$等类型的默认共享则需要在注册表中找到等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanSe“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServ erParameters”rv erParameters”项。如果系统为项。如果系统为Windows 2000 ServerWindows 2000 Server或或Window

39、s 2003Windows 2003，则要在该项中添加键值，则要在该项中添加键值“AutoShareServer”(“AutoShareServer”(类型为类型为“REG_DWORD”“REG_DWORD”，值为，值为“0”)“0”)。如果系统为。如果系统为Windows 2000 PROWindows 2000 PRO，则应在该项中添加键值，则应在该项中添加键值“AutoSh areWks”(“AutoSh areWks”(类型为类型为“REG_DWORD”“REG_DWORD”，值为，值为“0”)“0”)。5.5.禁止病毒启动服务禁止病毒启动服务 安全隐患安全隐患:现在的病毒很聪明，不像

40、以前只会通过注册表现在的病毒很聪明，不像以前只会通过注册表的的RUNRUN值或值或MSCONFIGMSCONFIG中的项目进行加载。一些高级病毒中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢没有启动服务的相应权限呢?解决方法解决方法:运行运行“regedt32”“regedt32”指令启用带权限分配功能指令启用带权限分配功能的注的注册表编辑器。在注册表中找到册表编辑器。在注册表中找到“HKEY_LOCAL_“HKEY_LOCAL_ MACHINESYSTEMCurrentContro

41、lSetServices”MACHINESYSTEMCurrentControlSetServices”分支，接分支，接着点击菜单栏中的着点击菜单栏中的“安全安全权限权限”，在弹出的，在弹出的ServicesServices权限权限设设置窗口中单击置窗口中单击“添加添加”按钮，将按钮，将EveryoneEveryone账号导入进来，然账号导入进来，然后后选中选中“Everyone”“Everyone”账号，将该账号的账号，将该账号的“读取读取”权限设置为权限设置为“允许允许”，将它的将它的“完全控制完全控制”权限取消。现在任何木马或病毒都无法权限取消。现在任何木马或病毒都无法自自行启动系统服务

42、了。当然，该方法只对没有获得管理员权限行启动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。的病毒和木马有效。6.6.不准病毒自行启动不准病毒自行启动 安全隐患安全隐患:很多病毒都是通过注册表中的很多病毒都是通过注册表中的RUNRUN值进行加载值进行加载而实现随操作系统的启动而启动的，我们可以按照而实现随操作系统的启动而启动的，我们可以按照“禁止病毒禁止病毒启动服务启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。中介绍的方法将病毒和木马对该键值的修改权限去掉。解决方法解决方法:运行运行“regedt32”“regedt32”指令启动注册表编辑器。找到注册表中指令启动注

43、册表编辑器。找到注册表中的的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurren“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”tVersionRUN”分支，将分支，将EveryoneEveryone对该分支的对该分支的“读取读取”权限设置为权限设置为“允许允许”，取消对取消对“完全控制完全控制”权限的选择。这样病毒和木马就无法通过该键值启权限的选择。这样病毒和木马就无法通过该键值启动自动自身了。身了。病毒和木马是不断病毒和木马是不断“发展发展”的，我们也要不断学习新的防护知识，的，我们也要不断学习新的防护知识，才能才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀，不如提抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀，不如提前做好防御工作，修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们前做好防御工作，修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情，所希望发生的事情，“防患于未然防患于未然”才是我们应该追求的。才是我们应该追求的。