引言： 經(jīng)常上網(wǎng)訪問的計算機系統(tǒng)，怎會不遭遇病毒木馬的攻擊呢??？為了避免這樣的攻擊，很多用戶不得不“請”來殺毒軟件幫忙，以期其能阻止運行某些感染病毒的程序或訪問暗藏威脅的網(wǎng)頁。但在實際工作的時候，用戶有時需要“明知山有虎，偏向虎山行”。

俗話說“常在網(wǎng)上漂，哪有不中招”，經(jīng)常上網(wǎng)訪問的計算機系統(tǒng)，怎會不遭遇病毒木馬的攻擊呢?。繛榱吮苊膺@樣的攻擊，很多用戶不得不“請”來殺毒軟件幫忙，以期其能阻止運行某些感染病毒的程序或訪問暗藏威脅的網(wǎng)頁。但在實際工作的時候，用戶有時需要“明知山有虎，偏向虎山行”，例如明明知道一些網(wǎng)站安全性不好，不過由于特殊原因必須要訪問它，或者明知某些內(nèi)網(wǎng)程序可能有危險，但工作起來離不開它。這時候，殺毒軟件將無法發(fā)力，我們能做只有想方設(shè)法，困住各種安全威脅，讓威脅程度降到最低。

圖1 磁盤配額選項設(shè)置頁面

不讓寫入內(nèi)容

很多用戶都有這樣的體會，殺毒軟件掃描特定程序時，沒有發(fā)現(xiàn)任何異常，但用戶在啟動運行它時，卻看到它暗中綁定了非法插件程序，該程序在啟動過程中擅自向系統(tǒng)分區(qū)植入大量無關(guān)的垃圾，嚴(yán)重影響了系統(tǒng)的啟動運行效率。如果希望能夠正常啟動該程序，又不讓其向系統(tǒng)瘋狂植入垃圾文件時，可以利用Windows系統(tǒng)自帶的磁盤配額管理功能，來禁止惡意插件向系統(tǒng)分區(qū)寫入內(nèi)容，畢竟再厲害的病毒木馬程序，一旦不允許其執(zhí)行寫入操作，那么它的安全威脅將無法發(fā)作。

以Window XP系統(tǒng)為例，在拒絕惡意程序?qū)懭雰?nèi)容時，首先以超級用戶權(quán)限登錄系統(tǒng)，進(jìn)入“我的電腦”窗口，選中系統(tǒng)分區(qū)盤符，并用鼠標(biāo)右鍵單擊之，點擊快捷菜單中的“屬性”命令，展開系統(tǒng)分區(qū)屬性對話框，選擇“配額”選項卡，彈出磁盤配額選項設(shè)置頁面，如圖1所示。

將這里的“啟用配額管理”、“拒絕將磁盤空間給超過配額限制的用戶”等選項選中，之后在“磁盤空間控制限為”位置處輸入適當(dāng)數(shù)值，正常來說應(yīng)該將該數(shù)值輸入為1KB大小，同時將警告等級也輸入為1KB大小。如此一來該系統(tǒng)中的用戶日后只能獲得1KB大小的磁盤使用空間，如果病毒嘗試在系統(tǒng)分區(qū)中植入了一個超過1KB大小的文件時，Windows系統(tǒng)將會自動彈出文件寫入失敗的報警提示，所以就能困住惡意插件程序威脅系統(tǒng)安全了。只是這種方法只能用于救急場合，畢竟啟用了Windows系統(tǒng)的磁盤配額管理功能后，不管日后進(jìn)行程序安裝或更新，還是開機運行程序，甚至進(jìn)行普通的辦公操作，都會遇到不正常現(xiàn)象，因此在成功啟動好可能存在安全威脅的應(yīng)用程序后，必須記得及時關(guān)閉該功能，以便讓系統(tǒng)恢復(fù)正常工作狀態(tài)。

圖2 設(shè)置對話框

此外，要提醒用戶的是，磁盤配額功能只對NTFS磁盤分區(qū)有效，要是特定磁盤分區(qū)不屬于NTFS格式，不妨先執(zhí)行“convert X: /fs:NTFS”字符串命令，來將磁盤分區(qū)格式轉(zhuǎn)換成符合要求的格式。而且，為了確保Windows系統(tǒng)可以始終高效穩(wěn)定地運行，大家應(yīng)該盡量少將系統(tǒng)分區(qū)的空間分配給一般權(quán)限的用戶。

不讓加載控件

一些惡意用戶常常將入侵他人網(wǎng)站的首頁，作為向親朋好友炫耀的本錢，而很多單位對自己的網(wǎng)站運行安全性也視而不見，所以單位員工有時會看到瀏覽自己單位網(wǎng)站主頁時，系統(tǒng)防火墻會出現(xiàn)報警提示，告訴用戶主頁中可能存在病毒木馬，同時拒絕用戶繼續(xù)瀏覽網(wǎng)站主頁。

碰到這類安全麻煩時，是干脆關(guān)閉瀏覽窗口了事，還是退出防火墻程序等瀏覽完惡意頁面再重新查殺惡意程序呢？在非訪問不可的情況下，我們還是能夠找到應(yīng)急措施的，因為再狡猾的病毒木馬程序都是利用腳本加載控件的方式，偷偷“溜”進(jìn)上網(wǎng)終端系統(tǒng)中的，現(xiàn)在只要想辦法讓瀏覽器拒絕那些存在安全威脅的頁面自動加載任何控件程序，就能困住惡意程序發(fā)作運行了。

不同瀏覽器程序禁止加載控件的設(shè)置操作不一樣，以IE7、IE8等瀏覽器程序為例，在設(shè)置禁止加載控件操作時，先打開IE瀏覽器窗口，依次單擊“工具”、“Internet選項”命令，展開Internet選項設(shè)置對話框，點擊“安全”選項卡，在對應(yīng)選項設(shè)置頁面中，按下“自定義級別”按鈕，進(jìn)入如圖2所示的設(shè)置對話框，將“二進(jìn)制和腳本行為”、“對未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本”等選項設(shè)置為“禁用”，單擊“確定”按鈕保存設(shè)置操作。

經(jīng)過上述設(shè)置后，用戶再次訪問可能存在病毒木馬的危險頁面時，瀏覽器的地址框處會出現(xiàn)一個醒目的禁止提示，那么危險的ActiveX控件或其他腳本程序?qū)o法加載運行，那么潛藏在網(wǎng)頁背后的病毒木馬自然就失去破壞性了。要是用戶想放行網(wǎng)頁中的加載項時，只要簡單地點擊提示對話框中的“關(guān)閉ActiveX篩選”按鈕即可。

如果用戶使用的是Chrome瀏覽器，可以進(jìn)入該瀏覽器的程序設(shè)置對話框，逐一點選“選項”、“高級選項”、“內(nèi)容設(shè)置”、“插件”，再將“阻止所有插件”選中，確認(rèn)后退出設(shè)置對話框即可。

不讓任意修改

在實際工作中，一些程序十分重要，但不幸被意外感染病毒，想啟動運行它但被系統(tǒng)提示存在安全威脅，這種現(xiàn)象常常讓用戶啟動也不是，不啟動也不是。實際上，這種問題很好解決，只要有針對性地設(shè)置Windows系統(tǒng)的UAC功能，就能強行啟動那些感染了病毒木馬的特定程序，它能有效困住病毒木馬的破壞性和攻擊性。

圖3 設(shè)置界面

從Vista版本系統(tǒng)開始，UAC功能就被集成在Windows系統(tǒng)中了，該功能可以在危險操作啟動前強化安全驗證，攔截惡意程序在沒有許可的情況下對操作系統(tǒng)進(jìn)行的改變。在Vista系統(tǒng)環(huán)境下，UAC功能只為用戶提供關(guān)閉、開啟兩種功能選項，一旦開啟了該功能后，不管是調(diào)整系統(tǒng)設(shè)置，還是安裝應(yīng)用程序，甚至進(jìn)行系統(tǒng)更新操作，Windows系統(tǒng)都會彈出報警提示窗口，要求用戶確認(rèn)操作是否安全。而在Win7系統(tǒng)環(huán)境下，UAC功能有了明顯的進(jìn)步，在區(qū)別安全操作、不安全操作方面表現(xiàn)得明顯智能化多了，同時用戶能根據(jù)實際的安全需要自由控制UAC安全級別，力爭操作效率與安全性能兩不誤。為了便于安全設(shè)置操作，Win7系統(tǒng)為用戶提供了UAC功能控制滾動條，只要簡單地拖動鼠標(biāo)，就能在操作效率與系統(tǒng)安全之間找到平衡了。

為了困住安全威脅，大家應(yīng)該嘗試將UAC功能級別設(shè)置為“始終通知”，只要依次單擊Win7系統(tǒng)桌面上的“開始”、“控制面板”選項，進(jìn)入系統(tǒng)控制面板窗口，逐一單擊“用戶賬戶和家庭安全”、“用戶賬戶”圖標(biāo)選項，展開用戶賬戶控制列表界面，點擊“更改用戶賬戶控制設(shè)置”按鈕，進(jìn)入如圖3所示的設(shè)置界面。看看UAC的滑動按鈕有沒有處于“始終通知”位置處，如果不在該位置時，應(yīng)該及時將滑動按鈕移到該位置處，確認(rèn)后保存設(shè)置即可。

當(dāng)然，UAC功能的啟用，會影響合法、可信程序的高效運行。為了避免這種現(xiàn)象，我們可以請“Microsoft Application Compatibility Toolkit”工具幫忙，將自己經(jīng)常運行的合法程序手工添加到對應(yīng)工具的白名單中，確認(rèn)它們在日后啟動運行的時候，不會受到UAC功能的攔截提示。安裝好“Microsoft Application Compatibility Toolkit”程序后，進(jìn)入對應(yīng)程序安裝目錄窗口，選中“Compatadmin.exe”文件，以系統(tǒng)管理員權(quán)限運行該文件，啟動對應(yīng)程序，逐一選中“Custom DataBases”、“New DataBase”選項，打開它的右鍵菜單，依次點選“Great New”、“Application Fix”命令。選中其后界面中的“Application Fix”選項，再根據(jù)提示依次導(dǎo)入合法、可信的程序命令，點擊“Next”按 鈕，切換到“Additional compatibility modes”列表，選中這里的“RunAsInvoke”選項。最后退回到主程序界面，逐一單擊“File”、“save”命令，將其保存為sdb格式的數(shù)據(jù)庫，再依次選擇“File”、“Install”命令，完成UAC白名單導(dǎo)入任務(wù)。結(jié)束上述設(shè)置操作后，UAC功能在困住惡意威脅的同時，不會影響正常程序的啟動運行。

不讓自動播放

圖4 組策略選項設(shè)置框

圖5 權(quán)限編輯對話框

一些病毒是通過磁盤分區(qū)根目錄下的“autorun.inf”文件來發(fā)作運行的，用戶稍微不注意，用鼠標(biāo)雙擊磁盤分區(qū)圖標(biāo)時，病毒文件就能通過磁盤分區(qū)進(jìn)行傳播，從而產(chǎn)生安全威脅。所以，大家只要關(guān)閉磁盤分區(qū)自動播放功能，就能困住一些病毒、木馬的發(fā)作、運行。

以Vista系統(tǒng)為例，要實現(xiàn)不讓磁盤分區(qū)自動播放功能時，不妨先使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運行文本框，輸入“gpedit.msc”命令并回車，彈出組策略編輯窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows 組件”、“自動播放策略”節(jié)點上。

接著用鼠標(biāo)右鍵單擊目標(biāo)節(jié)點下的“關(guān)閉自動播放”組策略選項，點選快捷菜單中的“編輯”命令，切換到如圖4所示的組策略選項設(shè)置框，將“已啟用”選項選中，同時選中“所有驅(qū)動器”選項，單擊“確定”按鈕執(zhí)行設(shè)置保存操作。這樣，本地計算機系統(tǒng)的磁盤分區(qū)自動播放功能就能被成功關(guān)閉了，一些優(yōu)盤病毒將被困住，無法自動發(fā)作運行。

除了通過修改組策略方式，來困住自動播放的優(yōu)盤病毒外，熟悉注冊表編輯操作的用戶，也能通過調(diào)整注冊表相關(guān)鍵值方式，禁止優(yōu)盤病毒自動發(fā)作運行。使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運行文本框，輸入“gpedit.msc”命令并回車，開啟注冊表編輯器窗口，將鼠標(biāo)定位到注冊表節(jié)點“HKEY_CURRENT_USE RSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”下，選中指定節(jié)點下的“NoDriveTypeAutoRun”鍵值，并用鼠標(biāo)雙擊之，在其后彈出的編輯鍵值對話框中，選中“十六進(jìn)制”選項，輸入數(shù)值“4”，單擊“確定”按鈕后刷新系統(tǒng)注冊表即可。

不讓劫持服務(wù)

有些病毒、木馬程序在攻擊Windows系統(tǒng)后，為了方便隨時發(fā)作運行，同時能夠躲避殺毒軟件的自動“圍剿”，往往會劫持系統(tǒng)服務(wù)，來給計算機系統(tǒng)帶來安全威脅。為了困住這種類型的病毒、木馬程序，用戶可以嘗試調(diào)整系統(tǒng)注冊表相關(guān)鍵值，拒絕普通用戶帳號獲得相關(guān)操作權(quán)限：

首先以超級用戶權(quán)限登錄本地計算機系統(tǒng)，使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運行文本框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯窗口。在該窗口的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到如圖5所示的“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”注冊表節(jié)點上，之后依次單擊“編輯”、“權(quán)限”菜單命令，彈出指定節(jié)點下的權(quán)限編輯對話框。

圖6 運行批處理

接著在“組或用名稱”位置處，看看有沒有“everyone”賬號，要是沒有看到該帳號時，不妨按下“添加”按鈕，導(dǎo)入“everyone”賬號賬號，并且將它的“讀取”權(quán)限選擇為“允許”，同時將其他權(quán)限選擇為“拒絕”。同樣地，將其他一些陌生用戶賬號逐一刪除掉，單擊“確定”按鈕退出設(shè)置對話框，最后重啟計算機系統(tǒng)，那樣病毒之類的惡意程序?qū)⒉荒芙俪窒到y(tǒng)服務(wù)了。

不讓攻擊網(wǎng)關(guān)

ARP病毒攻擊局域網(wǎng)計算機是常有的事情，這種類型病毒顯著的特點，就是攻擊局域網(wǎng)網(wǎng)關(guān)設(shè)備，讓終端計算機系統(tǒng)不能正常上網(wǎng)。在手頭沒有外力工具可以利用的情況下，用戶不妨自行創(chuàng)建特殊批處理任務(wù)，來自動刪除本地系統(tǒng)緩存中的ARP病毒記錄，以困住ARP病毒攻擊局域網(wǎng)網(wǎng)關(guān)的能力。

首先啟動記事本之類的應(yīng)用程序，生成一個名稱為“delarp.bat”批處理文件，在對應(yīng)文件編輯窗口中輸入下面的命令代碼，這段命令代碼可以不斷清除本地系統(tǒng)中的ARP緩存記錄，從而有效預(yù)防局域網(wǎng)中的網(wǎng)關(guān)地址被病毒攻擊。

日后，一旦檢測到本地系統(tǒng)遭遇到ARP病毒攻擊的時候，只要啟動運行批處理文件“delarp.bat”，隨后我們將看到如圖6所示的MSDOS工作窗口，在這里，不難看出該批處理程序以自動刪除本地系統(tǒng)緩存中的ARP病毒記錄，這樣ARP病毒自然就被成功困住，從而失去了攻擊破壞性。

當(dāng)然，在網(wǎng)絡(luò)帶寬資源很有限的上網(wǎng)環(huán)境中，這種困住病毒運行的方法也有明顯不足，那就是它會頻繁地向網(wǎng)絡(luò)中傳送ARP病毒數(shù)據(jù)包，這樣寶貴的網(wǎng)絡(luò)帶寬將很快被消耗殆盡，最終會影響整個局域網(wǎng)的上網(wǎng)速度。