win2003服务器一招废掉所有木马(防提权)

1.前言：
　　木马的危害，在于它能够长途控制你的电脑。当你成为“肉鸡”的时候，他人（控制端）就可以进入你的电脑，偷看你的文件、盗窃密码、甚至用你的QQ发一些乌七八糟的东西给你的摰友……
　　木马大量涌现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。
　　正由于如此，此刻木马越繁衍越多，大有“野火烧不尽”之势。木马与病毒彼此配合、相得益彰，危害越来越大。
　　毫不夸大地说：木马就是从网线上走进你家里的小偷匪徒。防杀木马，已成为现代电脑会员的必修课。
　　2.道理：
　　木马危害，虽然伎俩繁多，但是万变不离其宗，其中必需的步骤是在你的系统里创立治理员会员。本文就是从这一环节入手，阻止木马创立会员。这样，即使你的电脑已经熏染了木马病毒，但是因为不能创立会员，木马就不能发挥长途控制的功能。换句话说，就是废了它，让他变成废物。当然，废物明也需要清算，但这已经不在本文的计议范畴以内了。
　　3.要领：
　　运转 regedt32.exe 打开你的注册表，里面有一个目录树：
　　打开其中目录 HKEY_LOCAL_MACHINE
　　再打开其中目录 SAM
　　再打开其中目录 SAM
　　再打开其中目录 Domains
　　再打开其中目录 Account
　　再打开其中目录 Groups
　　好了，就是这个 Groups 就是负责创立会员的。删掉它，系统就不能创立会员了。不管木马如何折腾，都没法创立会员，更谈不上晋升为治理员了。这个目录里的文件要是被删除，是没有办法复原的。所以，在这个操纵以前，你必必要进行备份，须要的时候，可以复原。
　　备份要领：右键点击 Groups 选中“导出”，给导出的文件起个名字，保留好，就可以了。
　　4.注明：
　　可能你进入注册表的时候，只能看到第一个 SAM 目录，其他的都看不到。别焦急，那是由于你权限不足，右键点击响应目录选中“权限”，把你本人（平常是 Administrators ）设置为“允许完全控制”就可以了。设置完权限后关了，重进regedt32.exe ，以此类推，不断找到 Groups 目录为止。
　　5.复原：
　　很简略，找到你导出的那的文件，直接点击就可以了。
　　因为删除 Groups 目录之后，你将不能运用控制面板中的“会员帐户”和“当地会员和组”的功能，因而，备份文件很重要。需要运用响应功能的时候，先复原一下，就跟之前同样了。当然，要是你是一个个人会员，不断都是你一个人运用这台盘算机，那就无所谓了。

看看吧，对大家很有用场的，呵呵~~~~某些会员经常会很忧郁，本人明明已经删除了木马文件和响应的启动项，可是不晓得什么时候它本人又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有利用程序都打不开了。这时候，要是会员对盘算机技术的理解仅限于运用杀毒软件，那可只能哭哭啼啼的重装系统了 　　为何会这样?难道这种木马还歹意修改了系统中心?其实答案很简略，由于这种木马修改了利用程序(EXE文件)的并联方式。 　　什么是“并联方式”呢?依据我的老师（网上很有名的，北大青鸟西苑的老于）介绍：在Windows系统里，文件的打开操纵是通过注册表内响应键值指定的利用程序来施行的，这个局部位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为根据在这里辨认文件类型，进而调用响应的程序打开。而利用程序本身也被视为一个文件，它也属于一种文件类型，一样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %*”，让系统内核了解为“可施行请求”，它就会为运用这种打开方式的文件新建进程，终究文件就被加载施行了，要是有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”，运转程序时系统就会先为“木马程序”新建进程，把紧跟着的文件名作为参数通报给它施行，于是在我们看来程序被正常启动了。由于木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复本身文件，所以在个别会员看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到响应的调用程序，于是正常程序就没法施行了，这就是所谓的“所有程序都没法运转”的状况来源，并不是木马更改了系统中心，更没须要因而重装整个系统。 　　铲除这种木马的最简略要领只需要查看EXE文件的打开方式被指向了什么程序，立刻休止这个程序的进程，要是它还发生了其他木马文件的话，也一起休止，然后在维持注册表编辑器开启着的状况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项KEY_CLASSES_ROOT\exefile\shell\open\command)改回本来的“”%1” %*”即可。 　　要是删除木马前忘怀把并联方式改回来，就会发明程序打不开了，这时候不要焦急，要是你是Win9x会员，请运用“外壳替代大法”:重新启动后按F8进入启动菜单选中MS-DOS模式，把Explorer.exe随意改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重新启动后会发明进入Windows只剩下一个注册表编辑器了，赶紧把并联方式改回来吧重新启动后别忘怀恢复之前的Explorer.exe。 　　关于Win2000/XP会员而言，这个操纵更简略了，只有在开机时按F8进入启动菜单，选“下令提醒符的平安模式”，系统就会主动调用下令提醒符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器XP会员甚至不需要重新启动，直接在“打开方式”里阅读到CMD.EXE就能打开“下令提醒符”界面运转注册表编辑器REGEDIT.EXE了。。。。

其实服务器安装一个mcafee就可以了，具体的设置可以参考
//www.jb51.net/hack/40724.html 热门标签：dede模板 / destoon模板 / dedecms模版 / 织梦模板