引言：在病毒木馬層出不窮的今天，每臺(tái)上網(wǎng)的計(jì)算機(jī)系統(tǒng)，幾乎免不了要與病毒、木馬不期而遇。為了躲避各式安全工具的查殺，這些病毒、木馬常常會(huì)煞費(fèi)苦心，在Windows系統(tǒng)中尋找各自的“保護(hù)傘”，希望在它們的庇護(hù)下，能安全地隨系統(tǒng)啟動(dòng)而自動(dòng)發(fā)作運(yùn)行。為此，我們有必要著眼Windows系統(tǒng)自身，通過正確的設(shè)置，關(guān)閉網(wǎng)絡(luò)病毒“保護(hù)傘”，讓它們無處藏身，確保系統(tǒng)遠(yuǎn)離非法攻擊！

關(guān)閉特定目錄“保護(hù)傘”

Windows系統(tǒng)中有一些特殊目錄，能對(duì)保存在其中的內(nèi)容提供安全保護(hù)，任何程序或用戶都無權(quán)將其刪除。如果病毒程序選擇這類特殊目錄作為“保護(hù)傘”時(shí)，安全工具即使掃描到了它們，也無法將它們從系統(tǒng)中直接刪除掉，日后等待機(jī)會(huì)，它們將會(huì)“卷土重來”。為此，我們可以進(jìn)行下面的操作，關(guān)閉特定目錄“保護(hù)傘”，讓病毒、木馬程序無法藏身其中：

首先，清除特定目錄下的已有病毒文件。病毒、木馬特別喜歡選擇“system32”、“drivers”之類的系統(tǒng)目錄作為自己的“保護(hù)傘”，也喜歡選擇一些自啟動(dòng)應(yīng)用程序的安裝目錄作為“保護(hù)傘”，這些特殊目錄默認(rèn)會(huì)處于隱藏狀態(tài)。在清除這些目錄下的陌生文件時(shí)，先要用鼠標(biāo)雙擊系統(tǒng)桌面上的“我的電腦”或“計(jì)算機(jī)”圖標(biāo)，從其后彈出的窗口中，逐一點(diǎn)選菜單欄中的“工具”、“文件夾選項(xiàng)”命令，展開文件夾選項(xiàng)設(shè)置對(duì)話框，點(diǎn)選“查看”選項(xiàng)卡，彈出如圖1所示的選項(xiàng)設(shè)置頁面。勾選“顯示所有文件和文件夾”選項(xiàng)，取消勾選“隱藏受系統(tǒng)保護(hù)的操作系統(tǒng)文件”，確認(rèn)后保存設(shè)置操作。這時(shí)，打開系統(tǒng)資源管理器窗口，進(jìn)入特定目錄窗口，從中找到網(wǎng)絡(luò)病毒文件，直接采用手工方法進(jìn)行刪除。如果看到目標(biāo)病毒文件無法采用手工方法刪除時(shí)，不妨嘗試通過瑞星卡卡之類的專業(yè)工具直接進(jìn)行文件粉碎操作。

其次，對(duì)特殊目錄進(jìn)行授權(quán)保護(hù)。為了不讓病毒、木馬下次再將特殊目錄作為“保護(hù)傘”，需要修改它們的訪問權(quán)限，禁止病毒木馬將惡意文件保存其中。例如，在對(duì)“system32”目錄進(jìn)行授權(quán)保護(hù)時(shí)，先找到并選中該特殊目錄，同時(shí)右擊該目錄圖標(biāo)，單擊快捷菜單中的“屬性”命令，切換到特定目錄屬性對(duì)話框，選擇“安全”選項(xiàng)卡，在其后選項(xiàng)設(shè)置頁面中按下“高級(jí)”按鈕，展開特定目錄高級(jí)對(duì)話框。下面選擇“權(quán)限”選項(xiàng)卡，選中并加入“everyone”賬號(hào)，再按下“編輯”按鈕，彈出如圖2所示的設(shè)置對(duì)話框，在這里僅將“讀取”權(quán)限授予合法可信用戶賬號(hào)，確認(rèn)后退出設(shè)置對(duì)話框。這樣，任何病毒程序都將不能將“system32”這個(gè)特殊目錄作為自己的“保護(hù)傘”了。

圖1 選項(xiàng)設(shè)置頁面

圖2 設(shè)置對(duì)話框

圖3 設(shè)置對(duì)話框

關(guān)閉回收站“保護(hù)傘”

眾所周知，系統(tǒng)回收站中的數(shù)據(jù)文件經(jīng)常會(huì)受到Windows的自動(dòng)保護(hù)，而一些狡猾的病毒、木馬程序自然也深諳此道，它們也愿意將系統(tǒng)回收站作為自己的“保護(hù)傘”，讓安全工具根本對(duì)它們無可奈何。實(shí)際上，大家可以調(diào)整系統(tǒng)回收站的屬性，讓系統(tǒng)被刪除的文件不保存到回收站中，而是直接被徹底刪除，這樣網(wǎng)絡(luò)病毒就沒有了“保護(hù)傘”，下面就是詳細(xì)的操作步驟：

首先找到系統(tǒng)桌面上的系統(tǒng)回收站圖標(biāo)，打開它的右鍵菜單，點(diǎn)選“屬性”命令，彈出系統(tǒng)回收站屬性設(shè)置對(duì)話框。點(diǎn)選“全局”選項(xiàng)卡，展開如圖3所示的選項(xiàng)設(shè)置頁面。接著看看“刪除時(shí)不將文件移入回收站，而是徹底刪除”選項(xiàng)有沒有被勾選，如果看到其沒有被勾選時(shí)，應(yīng)該立即將它重新勾選起來，確認(rèn)后保存設(shè)置操作即可。當(dāng)然，系統(tǒng)回收站中如果已經(jīng)保存有垃圾文件時(shí)，必須先要對(duì)其執(zhí)行垃圾清空操作，確保病毒、木馬程序無法利用垃圾文件，作為自己的安全“保護(hù)傘”。

關(guān)閉注冊(cè)表“保護(hù)傘”

注冊(cè)表對(duì)于系統(tǒng)的影響是相當(dāng)大的，一些病毒、木馬程序在發(fā)作運(yùn)行時(shí)，喜歡將系統(tǒng)的注冊(cè)表作為“保護(hù)傘”，以便實(shí)現(xiàn)跟隨系統(tǒng)一起啟動(dòng)運(yùn)行目的。為了不讓系統(tǒng)注冊(cè)表成為病毒、木馬的“保護(hù)傘”，我們可以嚴(yán)格控制注冊(cè)表啟動(dòng)項(xiàng)的訪問權(quán)限，拒絕病毒、木馬隨意將惡意程序隱藏到注冊(cè)表啟動(dòng)分支下。

例如，系統(tǒng)注冊(cè)表中的HKEY_CURRENT_USERSoft wareMicrosoftWindowsCurrentVersionRun、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、HKEY_CURRENT_USERSoft wareMicrosoftWindows NTCurrentVersionWindows、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce等分支下，就包含一些自啟動(dòng)程序的配置信息，病毒木馬常常會(huì)將自身隱藏在這些分支下。

圖4 注冊(cè)表分支

為了關(guān)閉注冊(cè)表“保護(hù)傘”，我們可以依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊(cè)表編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到特定注冊(cè)表分支下（如圖4所示），逐一單擊“編輯”、“權(quán)限”命令，展開特定分支選項(xiàng)的權(quán)限編輯對(duì)話框，在“組或用戶名稱”設(shè)置項(xiàng)處選中“everyone”賬號(hào)，授予該賬號(hào)正常的“讀取”權(quán)限，將其他權(quán)限修改為“拒絕”，之后逐一將其他不可信用戶賬號(hào)刪除掉，確認(rèn)后退出權(quán)限對(duì)話框。這樣，病毒木馬程序就無法對(duì)特定注冊(cè)表分支進(jìn)行隨意修改，那么注冊(cè)表也就不能作為它們的安全“保護(hù)傘”了。

當(dāng)然，系統(tǒng)注冊(cè)表中還有許多分支會(huì)被病毒、木馬程序當(dāng)作“保護(hù)傘”，例如注冊(cè)表分支HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain、HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN等被病毒非法修改時(shí)，IE瀏覽器的默認(rèn)主頁面中就可能潛藏有病毒、木馬程序。這時(shí)，打開系統(tǒng)注冊(cè)表編輯窗口，找到目標(biāo)注冊(cè)表分支選項(xiàng)，再依次單擊“編輯”、“權(quán)限”選項(xiàng)，切換到目標(biāo)分支的權(quán)限設(shè)置對(duì)話框。在“組或用戶名稱”位置處，將“everyone”的“讀取”權(quán)限調(diào)整為“允許”，將其他權(quán)限調(diào)整為“拒絕”，同時(shí)將其他一些不信任的用戶賬號(hào)逐一刪除掉即可。

此外，病毒、木馬程序也有可能將惡意文件悄悄隱藏到IE瀏覽器的缺省搜索頁面中，因?yàn)?，我們還需要進(jìn)行相同的操作，在系統(tǒng)注冊(cè)表的HKEY_CURRENT_USERSoft wareMicrosoftInternet ExplorerUrlSearchHooks、HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerUrlSearchHooks等分支上，控制“everyone”賬號(hào)的訪問權(quán)限，讓其只可以進(jìn)行讀取操作，而不能擁有更多的操作權(quán)限。

關(guān)閉系統(tǒng)還原“保護(hù)傘”

為了讓遭受意外的Windows系統(tǒng)快速恢復(fù)到正常工作狀態(tài)，Windows XP以上版本的操作系統(tǒng)都自帶有系統(tǒng)還原功能，與該功能對(duì)應(yīng)的Restore系統(tǒng)文件夾當(dāng)然也會(huì)受到Windows的自動(dòng)保護(hù)，在缺省狀態(tài)下，任何應(yīng)用程序甚至任何個(gè)人都無法隨意刪除該文件夾中的數(shù)據(jù)文件，這自然也包括安全軟件了。因此，要是病毒、木馬程序選擇Restore系統(tǒng)文件夾作為安全“保護(hù)傘”時(shí)，安全軟件對(duì)待這些病毒、木馬程序也是望洋興嘆的。為了關(guān)閉系統(tǒng)還原“保護(hù)傘”，我們可以進(jìn)行如下設(shè)置操作，禁止病毒、木馬程序?qū)阂馕募[藏到Restore系統(tǒng)文件夾中：

圖5 選項(xiàng)設(shè)置對(duì)話框

首先找到系統(tǒng)桌面上的“我的電腦”或“計(jì)算機(jī)”圖標(biāo)，鼠標(biāo)右鍵單擊該圖標(biāo)選項(xiàng)，點(diǎn)選右鍵菜單中的“屬性”命令，彈出系統(tǒng)屬性設(shè)置對(duì)話框。點(diǎn)擊“系統(tǒng)還原”選項(xiàng)卡，切換到如圖5所示的選項(xiàng)設(shè)置頁面，看看這里的“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”選項(xiàng)是否已經(jīng)被勾選起來，要是看到該選項(xiàng)還沒有被勾選時(shí)，只要立即將它重新選中，確認(rèn)后保存好上述設(shè)置操作。這樣，病毒、木馬程序就無法悄悄隱藏到系統(tǒng)還原文件夾中了，系統(tǒng)還原功能自然就不會(huì)成為它們的安全“保護(hù)傘”。

關(guān)閉臨時(shí)目錄“保護(hù)傘”

在通過Windows系統(tǒng)內(nèi)置的IE瀏覽器上網(wǎng)沖浪時(shí)，Windows系統(tǒng)會(huì)自動(dòng)生成不少臨時(shí)數(shù)據(jù)，這些臨時(shí)數(shù)據(jù)集中存儲(chǔ)到一個(gè)臨時(shí)目錄中，而安全工具對(duì)隱藏在臨時(shí)目錄中的病毒、木馬文件常常是無能為力。為了關(guān)閉臨時(shí)目錄“保護(hù)傘”，讓病毒、木馬程序不能隱藏到系統(tǒng)的臨時(shí)目錄中，我們必須在使用安全工具查殺病毒木馬之前，及時(shí)清除干凈IE臨時(shí)文件，下面就是詳細(xì)的操作步驟：

首先開啟IE瀏覽器窗口，逐一點(diǎn)選該界面菜單欄中 的“工 具”、“Internet選項(xiàng)”命令，展開Internet選項(xiàng)設(shè)置對(duì)話框，點(diǎn)選“常規(guī)”選項(xiàng)卡，同時(shí)在對(duì)應(yīng)選項(xiàng)設(shè)置頁面中逐一按下“刪除Cookie”、“刪除文件”按鈕，將上網(wǎng)訪問過程中生成的所有Internet臨時(shí)文件全部清除干凈。

之后在同樣的選項(xiàng)設(shè)置頁面中，按下“歷史記錄”位置處的“清除歷史記錄”按鈕，將存儲(chǔ)在臨時(shí)目錄中的歷史記錄文件也清除干凈，確認(rèn)后退出設(shè)置對(duì)話框。這么一來，病毒、木馬程序日后就不會(huì)將臨時(shí)目錄作為安全“保護(hù)傘”了。

為了防止病毒日后再次非法利用IE瀏覽器的臨時(shí)目錄，大家還要打開系統(tǒng)組策略編輯對(duì)話框，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”、“其他規(guī)則”節(jié)點(diǎn)上，選中“其他規(guī)則”選項(xiàng)，打開它的右鍵菜單，單擊“新路徑規(guī)則”命令，在“路徑”設(shè)置項(xiàng)處，輸入IE瀏覽器臨時(shí)目錄路徑，或者按下“瀏覽”按鈕，將臨時(shí)目錄導(dǎo)入進(jìn)來。再在“安全級(jí)別”設(shè)置項(xiàng)處單擊下拉按鈕，從下拉列表中點(diǎn)選“不允許”選項(xiàng)，確認(rèn)后保存設(shè)置操作。這樣，病毒、木馬程序日后就無法將惡意文件偷偷保存到IE瀏覽器的臨時(shí)目錄中了。

關(guān)閉組策略“保護(hù)傘”

也有一些病毒、木馬程序喜歡選擇系統(tǒng)組策略，作為安全“保護(hù)傘”，它們往往會(huì)將惡意文件偷偷隱藏到系統(tǒng)組策略中，讓安全工具不能發(fā)現(xiàn)它們的“影子”。為了關(guān)閉組策略“保護(hù)傘”，我們可以進(jìn)行下面的操作步驟：

首先逐一點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，展開組策略編輯對(duì)話框，在該對(duì)話框的左側(cè)顯示區(qū)域，將鼠標(biāo)定位到“本地用戶和組”、“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”分支上。在指定分支的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊“在用戶登錄時(shí)運(yùn)行這些程序”選項(xiàng)，打開選項(xiàng)設(shè)置框，取消“已啟用”選項(xiàng)的選中狀態(tài)，確認(rèn)后保存設(shè)置操作。這樣，病毒木馬日后無法將自身隱藏到系統(tǒng)組策略的登錄分支下。