從寫(xiě)入角度著手

只有想辦法將病毒文件寫(xiě)入藏匿到計(jì)算機(jī)的各個(gè)位置處，日后才有機(jī)會(huì)發(fā)作運(yùn)行。如果我們提前預(yù)防，禁止網(wǎng)絡(luò)病毒的寫(xiě)入操作，那么病毒木馬連攻擊我們的機(jī)會(huì)都沒(méi)有。

圖1 鼠標(biāo)定位分支

首先，要禁止寫(xiě)入到系統(tǒng)注冊(cè)表關(guān)鍵分支下。為了達(dá)到自啟動(dòng)目的，病毒木馬很喜歡將自己寫(xiě)入到系統(tǒng)注冊(cè)表的啟動(dòng)項(xiàng)中，所以我們只能對(duì)這些注冊(cè)表中的啟動(dòng)分支授予只讀權(quán)限，而不能授予修改權(quán)限，避免被網(wǎng)絡(luò)病毒偷偷利用。正常情況下，網(wǎng)絡(luò)病毒最喜歡藏身的地方，就是注冊(cè)表中的Run、Winlogon、load、RunOnce、RunServices、RunServicesOnce、RunOnceEx等分支，取消這些分支項(xiàng)目的寫(xiě)入權(quán)限，就能攔截病毒的寫(xiě)入操作，防止病毒通過(guò)它們自動(dòng)運(yùn)行。

以Run分支為例，要限制普通用戶向該分支下寫(xiě)入內(nèi)容時(shí)，可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“regedit”命令，開(kāi)啟系統(tǒng)注冊(cè)表編輯器運(yùn)行狀態(tài)。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到如圖1所 示 的“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”分支下，位于該分支下的所有程序或命令都能在系統(tǒng)開(kāi)機(jī)啟動(dòng)的時(shí)候自動(dòng)運(yùn)行。用鼠標(biāo)右鍵單擊目標(biāo)分支選項(xiàng)，打開(kāi)它的右鍵菜單，點(diǎn)擊“權(quán)限”命令，展開(kāi)對(duì)應(yīng)分支項(xiàng)目的權(quán)限編輯對(duì)話框，在“組或用戶名稱”列表中，刪除所有陌生用戶賬號(hào)。之后按下“添加”按鈕，導(dǎo)入everyone賬號(hào)，同時(shí)將該賬號(hào)的讀取權(quán)限設(shè)置為“允許”，其他權(quán)限設(shè)置為“拒絕”，確認(rèn)后保存設(shè)置即可。

當(dāng)然，Run分支也會(huì)出現(xiàn) 在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”等位置處，我們還需要對(duì)這些路徑下的Run分支權(quán)限進(jìn)行嚴(yán)格限制，謹(jǐn)防網(wǎng)絡(luò)病毒趁虛而入。

其次要禁止寫(xiě)入到系統(tǒng)分區(qū)下。一些自我復(fù)制能力極強(qiáng)的病毒，往往無(wú)法一次性被清除干凈，只有在重啟系統(tǒng)后，才能被徹底刪除掉。不過(guò)，在重啟系統(tǒng)的時(shí)候，殘留病毒文件又會(huì)將自身復(fù)制寫(xiě)入到系統(tǒng)分區(qū)中。為了對(duì)付這類頑固病毒，我們可以通過(guò)Windows系統(tǒng)的“磁盤(pán)配額”程序，不讓病毒將自身寫(xiě)入到系統(tǒng)分區(qū)中。

打開(kāi)“計(jì)算機(jī)”或“我的電腦”窗口，找到系統(tǒng)分區(qū)圖標(biāo)，從該分區(qū)右鍵菜單中選擇“屬性”命令，在系統(tǒng)分區(qū)的“配額”屬性頁(yè)面中，逐一選中“啟用配額管理”、“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶”等選項(xiàng)，開(kāi)啟Windows系統(tǒng)內(nèi)置的磁盤(pán)配額管理功能（如圖2所示）。之后將“磁盤(pán)空間限制”選中，同時(shí)將允許使用的磁盤(pán)空間大小限制為“1KB”，確認(rèn)后保存設(shè)置操作。這樣，頑固的網(wǎng)絡(luò)病毒日后在重啟過(guò)程中，嘗試將自身復(fù)制到系統(tǒng)分區(qū)時(shí)，會(huì)遭到“磁盤(pán)配額”功能的限制。

圖2 磁盤(pán)配額管理功能

圖3 手工創(chuàng)建路徑規(guī)則

值得注意的是，在徹底清除頑固病毒后，必須及時(shí)停用磁盤(pán)配額功能，以保證計(jì)算機(jī)運(yùn)行工作。

第三，要禁止寫(xiě)入到系統(tǒng)組策略中。為了避免殺毒軟件“圍剿”，一些病毒木馬可能會(huì)將啟動(dòng)程序偷偷寫(xiě)入到系統(tǒng)組策略有關(guān)分支下，以實(shí)現(xiàn)登錄啟動(dòng)目的。對(duì)此，我們可以依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，逐一展開(kāi)系統(tǒng)組策略編輯窗口中的“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”分支，用鼠標(biāo)雙擊“在用戶登錄時(shí)運(yùn)行這些程序”選項(xiàng)，選中“已禁用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。這樣，病毒木馬就無(wú)法將啟動(dòng)程序?qū)懙浇M策略設(shè)置中了。

從運(yùn)行角度著手

不管是哪種類型的病毒，它必須要擁有運(yùn)行權(quán)限，才能發(fā)揮它的攻擊破壞作用。如果我們能夠想辦法限制其運(yùn)行，那么再“兇猛”的病毒也會(huì)變成溫順的“羔羊”。在知道病毒文件名稱的情況下，我們可以通過(guò)系統(tǒng)軟件限制策略，來(lái)限制特定病毒的發(fā)作運(yùn)行。

例如，要禁止“spoo1sv.exe”病毒運(yùn)行發(fā)作時(shí)，可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”節(jié)點(diǎn)上，用鼠標(biāo)右擊該節(jié)點(diǎn)選項(xiàng)，單擊右鍵菜單中的“新建軟件限制策略”命令，選中“其他規(guī)則”，打開(kāi)它的右鍵菜單，點(diǎn)選“新路徑規(guī)則”命令，進(jìn)入如圖3所示的設(shè)置對(duì)話框，在這里手工創(chuàng)建一個(gè)新的路徑規(guī)則。將“spoo*.exe”關(guān)鍵字填寫(xiě)在“路徑”文本框中，在“安全級(jí)別”位置處選中“不允許”，確認(rèn)后保存設(shè)置操作。

在定義好上述規(guī)則后，發(fā)現(xiàn)打印機(jī)無(wú)法工作，這是因?yàn)槲覀兙芙^了以“spoo”字符開(kāi)頭的可執(zhí)行程序的運(yùn)行，而打印機(jī)后臺(tái)程序名為“spoolsv.exe”，所以該規(guī)則生效，打印機(jī)程序不能執(zhí)行。

圖4 打開(kāi)“關(guān)閉自動(dòng)播放”設(shè)置框

圖5 組策略屬性對(duì)話框

為了不影響正常打印，我們還必須新建散列規(guī)則，讓正常的打印機(jī)后臺(tái)程序排除在外。在進(jìn)行這種操作時(shí)，先從“其他規(guī)則”子項(xiàng)下面新建散列規(guī)則，切換到散列規(guī)則創(chuàng)建對(duì)話框，按“瀏覽”按鈕選中并導(dǎo)入“spoolsv.exe”，并在“安全級(jí)別”位置處選中“不受限制”選項(xiàng)，確認(rèn)后退出設(shè)置對(duì)話框。這樣，就能達(dá)到既限制“spoo1sv.exe”病毒運(yùn)行，又不影響打印機(jī)工作的目的了。同樣地，我們可以對(duì)其他病毒程序進(jìn)行限制運(yùn)行。

從傳播角度著手

當(dāng)不慎感染上病毒后，切斷其傳播通道，防止其大面積傳播、蔓延，是相當(dāng)有必要的。例如，在防止常見(jiàn)的優(yōu)盤(pán)病毒傳播擴(kuò)散時(shí)，可以采取如下安全措施進(jìn)行預(yù)防。

1.停止自動(dòng)播放功能

逐一點(diǎn)選“開(kāi)始”、“運(yùn)行”選項(xiàng)，展開(kāi)系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。依次展開(kāi)“本地計(jì)算機(jī)策”、“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”分支，雙擊該分支下的“關(guān)閉自動(dòng)播放”組策略，打開(kāi)對(duì)應(yīng)組策略屬性對(duì)話框。選中“已啟用”選項(xiàng)，再?gòu)年P(guān)閉自動(dòng)播放列表中，選擇優(yōu)盤(pán)分區(qū)，確認(rèn)后保存設(shè)置操作。

當(dāng)然，在Vista以后版本系統(tǒng)中，我們必須將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“自動(dòng)播放策略”節(jié)點(diǎn)下，打開(kāi)該節(jié)點(diǎn)下的“關(guān)閉自動(dòng)播放”組策略選項(xiàng)設(shè)置框（如圖4所示），選中“已啟用”選項(xiàng)并保存設(shè)置即可。

2.使用同名文件阻斷

優(yōu)盤(pán)病毒程序大多都是通過(guò)“autorun.inf”文件，來(lái)達(dá)到傳播、擴(kuò)散病毒的。如果我們?cè)趦?yōu)盤(pán)根目錄下面，事先生成一個(gè)空白的、名稱也為“autorun.inf”的文件時(shí)，那么依照Windows系統(tǒng)中相同目錄下文件名稱不能重復(fù)的規(guī)定，“autorun”類型的優(yōu)盤(pán)病毒程序，自然就不能通過(guò)優(yōu)盤(pán)中的“autorun.inf”文件，來(lái)進(jìn)行惡意傳播、擴(kuò)散。

3.拒絕優(yōu)盤(pán)寫(xiě)入權(quán)限

對(duì)于已感染了優(yōu)盤(pán)病毒的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，只要優(yōu)盤(pán)插入其中，病毒文件可能就會(huì)強(qiáng)行寫(xiě)入到優(yōu)盤(pán)中。

基于這一點(diǎn)，我們有必要關(guān)閉優(yōu)盤(pán)的寫(xiě)入權(quán)限，禁止病毒輕易通過(guò)優(yōu)盤(pán)擴(kuò)散。

依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，打開(kāi)系統(tǒng)組策略編輯界面，逐一展開(kāi)“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”、“可移動(dòng)存儲(chǔ)訪問(wèn)”節(jié)點(diǎn)。雙擊該節(jié)點(diǎn)下的“可移動(dòng)磁盤(pán):拒絕寫(xiě)入權(quán)限”組策略，進(jìn)入如圖5所示的組策略屬性對(duì)話框，選中“已啟用”選項(xiàng)，確認(rèn)后返回即可。

不過(guò)，直接切斷優(yōu)盤(pán)寫(xiě)入保存通道，將會(huì)影響合法用戶的正常工作。

為了既能預(yù)防病毒傳播擴(kuò)散，又能保證合法用戶正常使用優(yōu)盤(pán)，可以為優(yōu)盤(pán)設(shè)置一個(gè)寫(xiě)保護(hù)開(kāi)關(guān)。在進(jìn)行設(shè)置時(shí)，先手工創(chuàng)建一個(gè)批處理文件，假設(shè)該批處理文件名稱為“aaa.bat”，在該文件中輸入如下代碼:

其中，上面的一段代碼表示讓系統(tǒng)正常顯示優(yōu)盤(pán)，下面的一段代碼表示讓用戶只能讀取優(yōu)盤(pán)內(nèi)容。用鼠標(biāo)雙擊該批處理文件，優(yōu)盤(pán)寫(xiě)入權(quán)限就會(huì)被禁止，那么病毒就不能通過(guò)優(yōu)盤(pán)蔓延、擴(kuò)散，這就相當(dāng)于為優(yōu)盤(pán)設(shè)置了寫(xiě)保護(hù)啟用開(kāi)關(guān)。同樣地，再生成一個(gè)“bbb.bat”批處理文件，為優(yōu)盤(pán)設(shè)置一個(gè)寫(xiě)保護(hù)取消開(kāi)關(guān)，在該批處理文件中必須要包含下面的代碼內(nèi)容:

圖6 選項(xiàng)設(shè)置對(duì)話框

4.防止使用隱藏共享

有的病毒會(huì)通過(guò)隱藏磁盤(pán)共享，在局域網(wǎng)中恣意擴(kuò)散、傳播。

為了阻斷這條傳播通道，建議大家關(guān)閉所有磁盤(pán)分區(qū)隱藏共享。

要做到這一點(diǎn)，可以先啟動(dòng)運(yùn)行記事本程序，并將下面的命令代碼正確輸入到文本編輯界面中，同時(shí)將代碼內(nèi)容保存為“111.bat”批處理文件:

然后打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。在該窗口左側(cè)列表中，依次展開(kāi)“本地計(jì)算機(jī)策略”、“用戶配置”、“Windows設(shè)置”、“腳本（登錄/注銷）”節(jié)點(diǎn)，雙擊該節(jié)點(diǎn)下的“登錄”選項(xiàng)，打開(kāi)如圖6所示的選項(xiàng)設(shè)置對(duì)話框，單擊“添加”按鈕，導(dǎo)入之前生成的“111.bat”批處理文件，確認(rèn)后返回。

這樣，日后每次開(kāi)機(jī)啟動(dòng)計(jì)算機(jī)系統(tǒng)時(shí)，“111.bat”批處理文件都會(huì)被自動(dòng)執(zhí)行，那么計(jì)算機(jī)中的所有隱藏共享也就會(huì)被自動(dòng)關(guān)閉了。

從加載角度著手

Internet網(wǎng)絡(luò)上的病毒層出不窮，有不少是通過(guò)IE瀏覽器實(shí)現(xiàn)加載運(yùn)行的。為了讓本地系統(tǒng)遠(yuǎn)離病毒攻擊，我們必須采取措施切斷網(wǎng)絡(luò)病毒的加載通道，避免其通過(guò)IE瀏覽器進(jìn)行惡意破壞。

1.定期更新補(bǔ)丁

IE瀏覽器的安全漏洞特別多，而多數(shù)病毒都是通過(guò)漏洞來(lái)感染操作系統(tǒng)和應(yīng)用程序的。

所以一個(gè)最新并擁有完整補(bǔ)丁的計(jì)算機(jī)系統(tǒng)，可以極大地降低病毒感染的可能性。

在為IE瀏覽器更新漏洞補(bǔ)丁程序時(shí)，只要逐一單擊“開(kāi)始”、“設(shè)置”、“控制面板”選項(xiàng)，用鼠標(biāo)雙擊系統(tǒng)控制面板中的“Windows Update”圖標(biāo)，切換到系統(tǒng)更新管理界面，按下“檢查更新”按鈕，隨后系統(tǒng)會(huì)自動(dòng)提示是否有補(bǔ)丁程序可以更新，再按“安裝更新”按鈕即可。

圖7 權(quán)限編輯對(duì)話框

圖8 安全設(shè)置列表

2.拒絕BHO與IE關(guān)聯(lián)

很多病毒往往通過(guò)瀏覽器BHO對(duì)象與IE瀏覽器建立關(guān)聯(lián)，我們可以進(jìn)行如下操作，切斷它們之間的關(guān)聯(lián)。先進(jìn)入系統(tǒng)注冊(cè)表編輯窗口，將鼠標(biāo)定位到該窗口左側(cè)的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects”節(jié)點(diǎn)上，打開(kāi)目標(biāo)節(jié)點(diǎn)選項(xiàng)的右鍵菜單，點(diǎn)擊“權(quán)限”命令，展開(kāi)權(quán)限編輯對(duì)話框（如圖7所示），按下“高級(jí)”按鈕，在高級(jí)對(duì)話框的“權(quán)限”頁(yè)面中按“添加”按鈕，選中并導(dǎo)入當(dāng)前登錄賬號(hào)，再為該賬號(hào)分配“查詢數(shù)值”、“讀取控制”等權(quán)限，確認(rèn)后退出設(shè)置對(duì)話框。

按照相同的操作方法，再對(duì) System、Local Service、Network Service等對(duì)象的訪問(wèn)權(quán)限進(jìn)行合適設(shè)置，防止病毒通過(guò)各種對(duì)象方式潛藏到系統(tǒng)注冊(cè)表中。

3.限制使用腳本

病毒木馬程序的發(fā)作運(yùn)行，一般要借助IE瀏覽器腳本解釋功能才行，如果禁止使用IE瀏覽器的腳本功能，那么網(wǎng)絡(luò)病毒將會(huì)失去威脅。要做到這一點(diǎn)，先打開(kāi)IE瀏覽器窗口，逐一點(diǎn) 擊“工 具”、“Internet選項(xiàng)”命令，進(jìn)入Internet選項(xiàng)對(duì)話框，單擊“安全”選項(xiàng)卡，切換到安全選項(xiàng)設(shè)置頁(yè)面，按下“自定義級(jí)別”按鈕，展開(kāi)如圖8所示的安全設(shè)置列表，將其中的“活動(dòng)腳本”、“Java小程序腳本”、“運(yùn)行ActiveX控件和插件”等全部選擇為“禁用”，最后點(diǎn)擊“確定”按鈕退出設(shè)置對(duì)話框。