讓病毒木馬喪失自啟動本領(lǐng)

周勇生

現(xiàn)在，病毒木馬瘋狂肆虐，它們不但會破壞重要數(shù)據(jù)文件，而且會占用寶貴系統(tǒng)資源，更為重要的是，在每次計(jì)算機(jī)重新啟動時(shí)，它們都會想方設(shè)法讓自己自動運(yùn)行。要是我們能夠讓病毒木馬程序喪失自啟動本領(lǐng)，那么它們的攻擊破壞性將會大大下降，這樣計(jì)算機(jī)系統(tǒng)的運(yùn)行安全性也就能有保障了。

限制啟動文件夾權(quán)限

為了達(dá)到自啟動目的，一些狡猾的病毒木馬程序在成功入侵系統(tǒng)后，會悄悄將其可執(zhí)行文件放置到系統(tǒng)啟動文件夾中，下次它就能跟隨Windows系統(tǒng)啟動而自動運(yùn)行了。現(xiàn)在，我們只要禁止所有用戶賬號訪問系統(tǒng)啟動文件夾，就能限制病毒木馬將惡意文件隱藏到其中，從而達(dá)到讓其喪失自啟動本領(lǐng)的目的。

要做到這一點(diǎn)，可以先打開Windows 7系統(tǒng)資源管理器窗口，將鼠標(biāo)定位到“C：＼Users＼zhoujy＼AppData＼Roaming＼Microsoft＼Windows＼Start Menu＼Programs”文件夾上（“zhoujy”為當(dāng)前登錄賬號名稱），用鼠標(biāo)右鍵單擊“啟動”子文件夾，點(diǎn)擊右鍵菜單中的“屬性”命令，打開啟動文件夾屬性對話框。選擇“安全”標(biāo)簽，打開如圖1所示的標(biāo)簽設(shè)置頁面，在這里選中administrators用戶賬號，點(diǎn)擊“編輯”按鈕，在其后界面中將其所有權(quán)限都設(shè)置為“拒絕”，確認(rèn)后返回。同樣地，將其他用戶賬號的訪問權(quán)限也設(shè)置為“拒絕”。值得注意的是，不同版本的操作系統(tǒng)，其啟動文件夾所處位置不同。例如，Windows XP系統(tǒng)的啟動文件夾，默認(rèn)路徑為“C：＼Documents and Settings＼用戶名＼開始菜單程序＼啟動”。

限制啟動項(xiàng)訪問權(quán)限

病毒木馬程序有時(shí)會利用編輯注冊表鍵值的方式，來將惡意文件設(shè)置成自動運(yùn)行。為了禁止病毒木馬強(qiáng)行添加啟動項(xiàng)到注冊表中，我們可以對Run、RunService、RunOnce等分支的訪問權(quán)限進(jìn)行合適設(shè)置，不允許everyone用戶賬號擁有寫入或運(yùn)行權(quán)限，下面就是具體的操作步驟：

首先依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出運(yùn)行文本框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到編輯窗口左側(cè)區(qū)域中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”分支上，打開該分支的右鍵菜單，選擇“權(quán)限”命令，彈出目標(biāo)分支選項(xiàng)的權(quán)限對話框，如圖2所示。在這里將everyone之外的用戶帳號依次刪除，之后選中everyone用戶帳號，同時(shí)在權(quán)限列表中將“讀取”權(quán)限調(diào)整為“允許”，其他權(quán)限都改為“拒絕”，確認(rèn)后保存設(shè)置即可。同樣地，我們也要讓everyone賬號只能擁有RunService、RunOnce等分支的只讀權(quán)限。

為了躲避殺毒軟件的查殺，部分頑固的病毒木馬程序，有時(shí)會以系統(tǒng)服務(wù)形式自行啟動，而從上面的注冊表分支中，是找不到這類病毒木馬程序自啟動項(xiàng)的。為了讓這類病毒木馬程序喪失自啟動本領(lǐng)，我們可以打開系統(tǒng)注冊表編輯窗口，依次展開“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注冊表分支，并用鼠標(biāo)右鍵單擊該分支選項(xiàng)，執(zhí)行快捷菜單中的“權(quán)限”命令，彈出目標(biāo)分支的權(quán)限設(shè)置對話框。從“組或用戶名稱”列表中，只保留everyone用戶賬號，其他賬號全部刪除，再為everyone用戶賬號賦予只讀權(quán)限，其他權(quán)限全部設(shè)置為“拒絕”。

值得注意的是，注冊表中“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows”分支下“LOAD”、“RUN”等子項(xiàng)，也會被病毒木馬悄悄修改，添加它們的自啟動項(xiàng)。由于這種情況出現(xiàn)機(jī)率不高，很多朋友不清楚這些子項(xiàng)在注冊表中的位置，在注冊表編輯器中對它們的訪問權(quán)限進(jìn)行編輯，經(jīng)常會找不到編輯目標(biāo)。此時(shí)，不妨在注冊表編輯窗口中，依次點(diǎn)擊“編輯”、“查找”命令，來搜索一下需要編輯的自啟動分支項(xiàng)目。

限制文件關(guān)聯(lián)修改

有不少病毒木馬程序會偷偷修改某些特定文件關(guān)聯(lián)，比方說，常用的TXT、CHM、BMP、DOC，當(dāng)我們嘗試打開這類文件時(shí)，Windows系統(tǒng)就會自動調(diào)用合適的應(yīng)用程序來處理，要是該程序是病毒木馬時(shí)，那就意味著病毒木馬程序會自動運(yùn)行，日后系統(tǒng)的安全運(yùn)行就會受到威脅，所以我們應(yīng)該限制普通用戶隨意修改文件關(guān)聯(lián)。

例如，要限制他人修改CHM類型文件的關(guān)聯(lián)時(shí)，可以先打開系統(tǒng)注冊表編輯界面，依次跳轉(zhuǎn)到“HKEY_CLASSES_ROOT＼chm.file＼shell＼open＼command”注冊表分支上，雙擊該分支下的“默認(rèn)”鍵值，在其后界面中，看看其數(shù)值是否為“"%SystemRoot%＼hh.exe" %1”（如圖3所示），如果不正確的話，及時(shí)將其修改過來。

接著用鼠標(biāo)右鍵單擊“command”分支選項(xiàng)，點(diǎn)擊右鍵菜單中的“權(quán)限”命令，彈出目標(biāo)分支選項(xiàng)權(quán)限編輯框，在這里只保留everyone用戶賬號，其他賬號全部刪除，再為everyone用戶賬號賦予只讀權(quán)限，其他權(quán)限全部設(shè)置為“拒絕”。對于其他類型文件的關(guān)聯(lián)權(quán)限，也需要按照同樣的操作進(jìn)行修改。

限制陌生程序運(yùn)行

如果我們事先規(guī)定好Windows系統(tǒng)只能運(yùn)行一些合法、可信程序，其他陌生的應(yīng)用程序都不允許運(yùn)行，那么日后各種自啟動型病毒木馬程序即使已經(jīng)潛入到了本地計(jì)算機(jī)系統(tǒng)中，它們也無法自動運(yùn)行發(fā)作。要限制陌生程序的運(yùn)行，可以利用Windows系統(tǒng)的白名單功能來實(shí)現(xiàn)，下面就是具體的操作步驟：

首先以系統(tǒng)管理員權(quán)限登錄Windows系統(tǒng)桌面，依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略控制臺界面。在該界面左側(cè)列表中，依次跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“系統(tǒng)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下面的“只運(yùn)行許可的Windows應(yīng)用程序”組策略，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖4所示的選項(xiàng)設(shè)置對話框。endprint

其次選中“已啟用”選項(xiàng)，激活“允許的應(yīng)用程序列表”位置處的“顯示”按鈕，點(diǎn)擊該“顯示”按鈕，切換到顯示內(nèi)容對話框，在其中輸入合法應(yīng)用程序的可執(zhí)行文件名稱，例如，輸入Winword.exe、Poledit.exe等文件名稱，點(diǎn)擊“確定”按鈕保存設(shè)置操作。設(shè)置結(jié)束后，在Windows系統(tǒng)中除了事先指定的合法程序外，其他各類應(yīng)用程序都將無權(quán)自動運(yùn)行。這么一來，病毒木馬程序即使將自己添加到系統(tǒng)啟動項(xiàng)中，也無法在系統(tǒng)開機(jī)時(shí)自動運(yùn)行。

限制優(yōu)盤自動播放

現(xiàn)在，優(yōu)盤使用頻率很高，有些病毒木馬程序?qū)ｉT利用優(yōu)盤，來達(dá)到讓病毒自動運(yùn)行、傳播目的。一旦染毒優(yōu)盤插入到計(jì)算機(jī)系統(tǒng)中，Windows系統(tǒng)默認(rèn)會自動彈出優(yōu)盤窗口，以幫助用戶快速訪問文件。而自動彈出優(yōu)盤窗口的操作，有利于病毒木馬程序自動運(yùn)行。所以，我們只要限制優(yōu)盤自動播放功能，就能切斷這類病毒木馬程序的啟動運(yùn)行通道，日后它們自啟動的本領(lǐng)也就隨之喪失。

要限制優(yōu)盤自動播放功能時(shí)，使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中，依次跳轉(zhuǎn)到“本地計(jì)算機(jī)策”、“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”分支選項(xiàng)上，找到該分支下的“關(guān)閉自動播放”選項(xiàng)，并用鼠標(biāo)雙擊之，打開目標(biāo)組策略選項(xiàng)設(shè)置框。

其次檢查其中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，如果發(fā)現(xiàn)其沒有被選中時(shí)，應(yīng)該及時(shí)將其重新選中，同時(shí)從關(guān)閉自動播放列表中，選擇移動硬盤或優(yōu)盤設(shè)備對應(yīng)的分區(qū)符號，按下“應(yīng)用”按鈕返回。當(dāng)然，上述設(shè)置操作僅對WinXP系統(tǒng)有效，在Vista之后版本系統(tǒng)中，必須將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“自動播放策略”節(jié)點(diǎn)上，才能找到“關(guān)閉自動播放”組策略（如圖5所示），并將其啟用起來。

除了利用組策略編輯方式，來限制優(yōu)盤自動播放外，對注冊表編輯操作很熟悉的朋友，也能利用注冊表編輯方式，禁止優(yōu)盤自動播放。啟動運(yùn)行注冊表編輯器，跳轉(zhuǎn)到“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer”注冊表分支下面，找到該節(jié)點(diǎn)下的“NoDriveTypeAutoRun”鍵值，用鼠標(biāo)雙擊該鍵值，在其后彈出的編輯鍵值對話框中，將“十六進(jìn)制”選項(xiàng)選中，再輸入數(shù)值“4”，確認(rèn)后重新啟動計(jì)算機(jī)系統(tǒng)即可。

限制病毒木馬藏身

在上網(wǎng)訪問網(wǎng)頁的時(shí)候，潛藏在網(wǎng)頁背后的病毒木馬程序，可能會不請自來，并且它們會想方設(shè)法地將自己隱藏到drivers、system、temp之類的系統(tǒng)文件夾中，以便隨時(shí)發(fā)作運(yùn)行。如果我們對這些特殊系統(tǒng)文件夾的訪問權(quán)限進(jìn)行嚴(yán)格限制，就能輕易地將自動下載的病毒木馬程序攔截下來，這樣它們就無法藏身到系統(tǒng)文件夾中，日后自然也就不能隨意自動運(yùn)行了。

例如，要攔截病毒木馬程序藏身到drivers文件夾時(shí)，可以先打開系統(tǒng)資源管理器窗口，依次點(diǎn)擊“工具”、“文件夾選項(xiàng)”命令，彈出文件夾選項(xiàng)設(shè)置對話框，選擇“查看”標(biāo)簽，切換到如圖6所示的標(biāo)簽設(shè)置頁面，將“隱藏受保護(hù)的系統(tǒng)文件”選項(xiàng)取消選中，再將“顯示隱藏的文件和文件夾”選項(xiàng)選中，單擊“確定”按鈕保存設(shè)置操作。這樣，可以確保處于隱藏狀態(tài)的drivers文件夾顯示出來，從而方便對其設(shè)置訪問權(quán)限。

從系統(tǒng)資源管理器窗口中找到drivers文件夾，用鼠標(biāo)右鍵單擊之，執(zhí)行快捷菜單中的“屬性”命令，打開目標(biāo)系統(tǒng)文件夾的屬性對話框，點(diǎn)擊“安全”標(biāo)簽，點(diǎn)擊對應(yīng)標(biāo)簽頁面中的“高級”按鈕，進(jìn)入高級安全設(shè)置對話框。選中名稱為當(dāng)前用戶賬號的權(quán)限項(xiàng)目，按下“編輯”按鈕，在其后界面中將“遍歷文件夾/運(yùn)行文件”權(quán)限設(shè)置為“拒絕”，將“創(chuàng)建文件/寫入數(shù)據(jù)”權(quán)限也設(shè)置為“拒絕”，確認(rèn)后退出設(shè)置對話框即可。

如果我們事先規(guī)定好Windows系統(tǒng)只能運(yùn)行一些合法、可信程序，其他陌生的應(yīng)用程序都不允許運(yùn)行，那么日后各種自啟動型病毒木馬程序即使已經(jīng)潛入到了本地計(jì)算機(jī)系統(tǒng)中，它們也無法自動運(yùn)行發(fā)作。要限制陌生程序的運(yùn)行，可以利用Windows系統(tǒng)的白名單功能來實(shí)現(xiàn)。endprint