2nd day：电脑的体检

刚刚在培训课上听了那么多平常闻所未闻的事情，不禁后背冒冷汗，一直认为自己的安全意思比较高，电脑上安装了360，及时打补丁，用网银时都用U盾，没想到这些技术本身还是有很多漏洞，在很多工具面前不堪一击，不禁担心自己的电脑是否安全，自己是否早已经成为了肉鸡?

首先看看自己的电脑是否安全。

除了常规的全盘杀毒、木马检查、电脑体检外，还要进行一些手动的排查：

1、检查系统是否有隐藏用户：

打开计算机管理-->本地用户和组：查看用户情况，guest必须禁用，管理员必须设置复杂的口令；

打开regedit

注册表：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

默认情况下，管理员无法查看隐藏用户的。

需要打开完全控制权限：（***小心修改，注意结束后要修改回来，否则系统启动不了）

重启regedit，能看到：

查看Names里是否有相同的账户，以及比管理面板里的用户多，如果有，则是隐藏账户，有很大的风险。

1F4：管理员

1F5：guest

比较1F4和1F5的F值是否一样，如果一样，表示可能已经被动过了。

处理办法：删除账号，恢复内容。

否则找专业人士来处理。

确认后，此项安全。

2、关闭不必要的端口；

用netstat -ano，可查看端口对应的进程号，也可用一些工具直接查看哪些营养开放了哪些端口；

为了让系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389、113。

如何关闭，就不在此多说了。

1029端口和20168端口：
这两个端口是lovgate蠕虫所开放的后门端口。 

3、确认防火墙是启用状态，并且防火墙里的规则里只放开已知软件的端口

端口也可在自身防火墙中设置IP规则，防火墙会自动拦截不可信的，和想入侵计算机的不安全端口，

安全

4、检查hosts文件

目录：C:\WINDOWS\system32\drivers\etc

只有默认的一句：127.0.0.1       localhost

安全

5、防止LPK.DLL被劫持：

判断方法：搜索全盘，如果在多个应用程序目录下都有lpk.dll，则极有可能已经感染了这个病毒

需要一些专门的工具查杀此病毒。

6、防止windows用户登录系统的后门：

sethc.exe粘滞键后门和放大镜后门

涉及文件：sethc.exe、magnify.exe

查看magnify.exe的图标是否是放大镜的图标，，如果不是，极有可能已经被植入后门；

其次看这两个文件的创建时间、修改时间是否和其他文件一致，如果不一致，也很有可能被替换过；

包括备份文件目录：dllcache或者C:\WINDOWS\ServicePackFiles\i386；