Storm_Center

　　检查文件时间有不确定性，再加一个检查项目文件版本，也是在文件的属性中查看，有文件版本、厂商信息等。首先明确一下，不是所有文件都有版本信息，也不是所有无版本信息的文件都是病毒文件，更不是所有显示微软信息的文件都真是微软的。

　　文件名是第一眼印象，通过文件名来初步判断是否可疑是最直接的方法，之所以放在时间判断后面，实在是从一大堆文件中分拣可疑分子太难了，还是用时间排下序方便些。

　　注意，所说的内容不能照搬，删除自认为的“病毒文件”前最好备份，否则后果自负。有时候，就是宁可放过，不可错杀。不过只要确认不是系统的文件，错杀就杀了，大不了重新安装应用软件，比重装系统好些，不是说重装系统的过程，ghost也很快，主要是其它的影响，所有软件都要重装，重新设置才是麻烦，多伤神。

　　《一行代码解决iframe挂马（包含服务器端注入、客户端ARP注入等）》得到了很多朋友的认可，这确实是个避避风雨的好办法。可现在挂网马的方式真如我所料地改变了，现在流行挂script木马，看了几个网友的网站都被这样了——页面的顶部或底部加上了……

　　相信大多数朋友都是iframe木马的受害者，有朋友的网站被注入了n回iframe，心情可想而知。而且现在ARP攻击，注入iframe也是轻而易举的事，仅局域网里都时刻面临威胁，为了防止更多的朋友受到攻击，于是细细说下。

　　最近公司和好朋友的网站纷纷被IFRAME了，有的挂上了鸽子，有的疯狂地弹窗，有的给人家增加流量。一个个文件去查找替换那些IFRAME代码，刚松口气，不久又加上去了。因为FF(Firefox)不怕IFRAME，于是就拿IE开刀。我只写了一句代码，就搞定了。就是IE 特有的的CSS中的属性expression，插进去试试，果然那些IFRAME不起作用了。

　　双进程木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它，而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。

　　冰刃结束Winlogon.exe进程不重启的方法；用冰刃的复制来改写病毒文件……

　　虚拟机技术、沙盘仿真、主动防御、NTFS流杀毒技术、钓鱼攻击、防御零日攻击的利器……

　　手机病毒借智能手机的普及开始传播，而一个主要的病毒传播途径就是彩信。好奇之心，人皆有之，即使是陌生的号码传来的彩信，也还是有人想看看是什么内容，可往往就因此踏入陷阱。为了防止在接受查看彩信时中招，介绍一种方法，就是到网上查看彩信内容。