■

著眼文件防護(hù)

有些未知病毒常常將自身文件偷偷植入到被攻擊計算機(jī)系統(tǒng)中，然后想方設(shè)法地運行，要是我們能提前知曉這些病毒的文件名稱規(guī)律，不妨通過Windows系統(tǒng)的軟件限制策略功能，來阻斷符合特定規(guī)律的病毒文件運行，就能達(dá)到防護(hù)未知病毒攻擊目的。

在通過計算機(jī)系統(tǒng)的軟件限制策略防護(hù)未知病毒攻擊時，可以逐一點擊“開始”、“設(shè)置”、“控制面板”命令，展開系統(tǒng)控制面板窗口，逐一雙擊“管理工具”、“本地安全策略”圖標(biāo)，彈出本地安全策略管理窗口，在該管理窗口的左側(cè)顯示窗格中，找到“軟件限制策略”分支，在指定分支下我們可以按需定義哪些程序或可執(zhí)行文件是不允許Windows系統(tǒng)自動運行的，此外，還可以利用新散列規(guī)則和新路徑規(guī)則對特殊類型的文件進(jìn)行管理和約束。

圖1 設(shè)置安全級別參數(shù)

例如，要想限制符合“iexp*.exe”文件名稱特征的未知病毒程序自動運行時，不妨從“軟件限制策略”分支下面新建路徑規(guī)則，切換到新建路徑對話框中，將路徑指定為“iexp*.exe”，將安全級別參數(shù)設(shè)置為“不允許”（如圖1所示），確認(rèn)后退出設(shè)置對話框。這個時候，所有符合“iexp*.exe”文件名稱特征的程序都將不能正常運行，包括正常的IE瀏覽器程序，當(dāng)我們嘗試運行該程序時，系統(tǒng)會彈出禁止運行的提示，這說明之前設(shè)置的路徑規(guī)則已經(jīng)生效，因為IE瀏覽器的應(yīng)用程序名稱為“iexplorer.exe”，所以該程序會被強(qiáng)行禁止運行。

為了能讓上述設(shè)置操作只限制未知病毒運行，而讓IE瀏覽器程序不受影響，我們還需要定義散列規(guī)則，讓正常的應(yīng)用程序排除在外。在進(jìn)行這種定義操作時，先從“軟件限制策略”分支下面新建散列規(guī)則，在其后彈出的規(guī)則對話框中，按下“瀏覽”按鈕進(jìn)入文件選擇對話框，從中將“iexplorer.exe”導(dǎo)入進(jìn)來，并且將安全級別參數(shù)設(shè)置為“不受限制”，單擊“確定”按鈕保存設(shè)置操作即可。這樣，就能實現(xiàn)禁止所有符合“iexp*.exe”文件名稱特征的未知病毒程序自動運行的目的了，而IE瀏覽器程序運行不會受到任何影響。同樣地，通過上述設(shè)置方式，我們可以對其他符合條件的未知病毒文件進(jìn)行阻斷運行，確保病毒、木馬不能自動運行。

著眼進(jìn)程防護(hù)

眾所周知，一些未知病毒木馬程序，在發(fā)作運行的時候，常常會偷偷調(diào)用系統(tǒng)相關(guān)進(jìn)程，如果我們主動對系統(tǒng)進(jìn)程運行狀態(tài)加強(qiáng)監(jiān)控，并以此來判斷未知程序的運行行為是否正常，這樣也能達(dá)到防護(hù)未知病毒攻擊的目的。這里，我們使用“PS進(jìn)程盾”這款外力工具，著眼系統(tǒng)進(jìn)程來防護(hù)未知病毒木馬的攻擊。

從網(wǎng)上獲得“PS進(jìn)程盾”的安裝程序包后，將其釋放到臨時目錄中，雙擊其中的可執(zhí)行文件，該工具不需要經(jīng)過安裝操作就能直接啟動運行，運行時它會自動退回到系統(tǒng)后臺，我們只能從系統(tǒng)托盤區(qū)域處看到它的“身影”。在缺省狀態(tài)下，“PS進(jìn)程盾”會自動啟用一些功能選項，例如，啟用“信任所有微軟已簽名程序”功能，可以讓W(xué)indows系統(tǒng)自動放行那些事先通過微軟公司MD5驗證的程序文件，啟用“開啟進(jìn)程保護(hù)”功能，可以讓W(xué)indows系統(tǒng)進(jìn)程不被病毒木馬強(qiáng)行關(guān)閉。為了讓“PS進(jìn)程盾”程序更高效地防護(hù)未知病毒攻擊，建議大家進(jìn)入該程序的配置對話框，同時選中“隨系統(tǒng)啟動”、“運行后自動隱藏”等選項，確保該程序能跟隨Windows系統(tǒng)開機(jī)自動工作。

圖2“PS進(jìn)程盾”主操作界面

日后，當(dāng)用戶嘗試在本地系統(tǒng)運行某些未知程序時，“PS進(jìn)程盾”將會智能判斷程序的運行行為是否安全。如果未知程序沒有調(diào)用Windows系統(tǒng)中的其他進(jìn)程，那么目標(biāo)工具將會認(rèn)為未知程序不是病毒木馬，同時允許其正常運行，而且在系統(tǒng)任務(wù)欄右下方出現(xiàn)安全提示。如果未知程序在運行過程中，調(diào)用了系統(tǒng)中的其他進(jìn)程，那么目標(biāo)工具會自動彈出相關(guān)提示，征詢用戶對未知程序的處理意見。在這里，我們必須認(rèn)真分析“試圖運行”位置處的內(nèi)容，利用這個位置處的圖標(biāo)信息和進(jìn)程名稱，基本就能識別出未知程序是否為自己需要的應(yīng)用程序了。

一旦認(rèn)定未知程序是合法的程序時，那就直接按下“允許”按鈕，讓其正常啟動運行。如果該合法程序日后需要頻繁運行時，為了不讓“PS進(jìn)程盾”反復(fù)出現(xiàn)安全提示從而干擾我們的工作效率，可以選中“創(chuàng)建路徑規(guī)則”選項，再按下“允許”按鈕，確保目標(biāo)工具不再攔截合法程序。如果我們認(rèn)定未知程序就是病毒木馬時，不妨按下“阻止”按鈕來阻止它的運行，再利用“試圖運行”位置處提供的路徑內(nèi)容，深入對應(yīng)路徑刪除病毒木馬的源頭文件。

如果希望“PS進(jìn)程盾”處理未知程序更智能一些，我們也可以提前創(chuàng)建一些識別規(guī)律，來避免安全提示窗口的反復(fù)出現(xiàn)干擾我們的高效工作。在創(chuàng)建識別規(guī)律時，先進(jìn)入“PS進(jìn)程盾”主操作界面（如圖2所示），單擊“查看規(guī)則”按鈕，在其后界面中就能按需創(chuàng)建各種識別規(guī)則，創(chuàng)建方法包含“白名單”和“路徑規(guī)則”兩種形式，要是想創(chuàng)建路徑規(guī)則時，只要點擊“新建”按鈕，展開新建規(guī)則對話框，單擊“瀏覽”按鈕，從文件或文件夾選擇對話框中按需導(dǎo)入允許運行的程序內(nèi)容，再按“確定”按鈕結(jié)束規(guī)則創(chuàng)建操作。

此外，使用這種方法還能拒絕特定應(yīng)用程序的運行，只是需要在彈出的設(shè)置框中選擇“阻止運行”選項才行。要是我們想創(chuàng)建白名單規(guī)則的話，可以在新規(guī)則創(chuàng)建對話框中，先選擇“白名單”選項，該選項表示允許調(diào)用Windows系統(tǒng)所有進(jìn)程的應(yīng)用程序，通常指的就是一些“父程序”。例如，當(dāng)嘗試將系統(tǒng)資源管理器的可執(zhí)行 文 件“explorer.exe”導(dǎo)入到白名單列表時，我們?nèi)蘸笥檬髽?biāo)雙擊系統(tǒng)資源管理器窗口中的任何程序或軟件時，“PS進(jìn)程盾”都不會對其進(jìn)行攔截，之后按下“新建”按鈕，在其后界面中點擊“瀏覽”按鈕，選中“explorer.exe”文件并進(jìn)行確認(rèn)操作后，就能將目標(biāo)程序添加到白名單中了。值得注意的是，“PS進(jìn)程盾”以不同形式創(chuàng)建識別規(guī)律時，優(yōu)先級別最高的是“路徑規(guī)則”形式，其次是“白名單”形式，最后是“微軟驗證”形式，要是一個未知程序同時符合幾種形式，那么“PS進(jìn)程盾”將只考慮是否符合路徑規(guī)則形式，因此，一般來說我們只要使用路徑規(guī)則來判斷未知程序即可。

圖3 進(jìn)程選項設(shè)置頁面

圖4 屬性對話框

著眼任務(wù)器防護(hù)

如今的網(wǎng)絡(luò)病毒泛濫成災(zāi)，在沒有安裝殺毒軟件的情況下，如何使用Windows系統(tǒng)自帶的任務(wù)管理器功能，對付讓計算機(jī)無法正常運行的未知病毒程序呢？

很簡單！首先使用“Ctrl+Alt+Del”復(fù)合鍵調(diào)出系統(tǒng)任務(wù)管理器窗口，點擊“進(jìn)程”標(biāo)簽，進(jìn)入如圖3所示的進(jìn)程選項設(shè)置頁面，依次選擇菜單“查看”、“選擇列”命令，在其后出現(xiàn)的設(shè)置框中，勾選PID和映象路徑選項，日后一旦看到有未知程序的進(jìn)程CPU占用率奇高時，那么它就是病毒，只要結(jié)束它的進(jìn)程，就能阻止未知病毒程序的繼續(xù)發(fā)作運行了。

如果不能成功結(jié)束惡意進(jìn)程，必須想辦法將病毒原始文件刪除干凈。首先在任務(wù)管理器窗口中，獲取未知病毒進(jìn)程的執(zhí)行路徑，找到未知病毒程序的可執(zhí)行文件，進(jìn)入對應(yīng)路徑窗口手動刪除它。要是連文件也刪除不了，可以嘗試在系統(tǒng)任務(wù)管理器窗口中結(jié)束所有自己不熟悉的進(jìn)程，再逐一單擊“開始”、“程序”、“附件”、“命令提示符”選項，切換到DOS命令行窗口，在其中執(zhí)行“ntsd-cq-PID”命令即可，其中PID為未知病毒進(jìn)程的標(biāo)志符。

著眼快捷方式

眾所周知，快捷方式一半都是要指向特定數(shù)據(jù)文件、某個網(wǎng)站地址或應(yīng)用程序的，而一些未知病毒程序為了達(dá)到遮人耳目的目的，常常會借助快捷圖標(biāo)的快速訪問特性，將用戶頻繁訪問的目標(biāo)偷偷替換為病毒?？墒牵瑥谋砻娼嵌葋砜?，普通用戶根本不會看出其中的貓膩。

實際上，用戶可以嘗試認(rèn)真檢查常用快捷圖標(biāo)所指向的網(wǎng)站地址或應(yīng)用程序，來識別它們是否為網(wǎng)絡(luò)病毒或木馬程序，要是它們指向未知的應(yīng)用程序或網(wǎng)絡(luò)站點，那基本就能判斷出該快捷圖標(biāo)為未知病毒程序的快捷方式。在進(jìn)行這種識別檢查操作時，可以用鼠標(biāo)右鍵單擊特定快捷圖標(biāo)，從彈出的右鍵菜單中選擇“屬性”命令，切換到如圖4所示的屬性對話框，在“目標(biāo)”位置處就能直觀看出當(dāng)前快捷圖標(biāo)究竟指向哪里了。要是確認(rèn)其為網(wǎng)絡(luò)病毒或木馬程序的快捷方式時，必須立即打開該快捷圖標(biāo)的右鍵菜單，選擇“刪除”選項，將其從Windows系統(tǒng)中刪除出去。

如果認(rèn)為手工搜索未知程序快捷圖標(biāo)比較麻煩時，也可以通過360安全衛(wèi)士等外力工具，對本地計算機(jī)系統(tǒng)進(jìn)行全面、徹底地掃描，這樣就可以快速高效地將存在問題的未知快捷方式掃描出來，同時可以自動刪除它們，避免它們威脅本地系統(tǒng)安全。