截斷病毒特殊啟動通道

編者按：病毒入侵歷來是計算機系統(tǒng)面臨的常見網(wǎng)絡攻擊方式，雖說如今針對病毒攻擊的安全防護措施已非常成熟，但用戶依然會被狡猾的病毒趁虛而入。

病毒往往使用各種五花八門的方式來獲得運行權限，為了擺脫追捕，很多病毒采取了非常規(guī)的更加隱蔽的啟動方式。對于這些狡猾的病毒伎倆，用戶需要對其進行充分了解，才可以戰(zhàn)而勝之。

禁止病毒提前加載運行

為了防止病毒自動搶先運行，獲取系統(tǒng)控制權，需要對注冊表的關鍵位置進行檢測。例 如，運 行“regedit.exe”程序，在注冊表編輯器中打 開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager”分支，在右側(cè)“BootExecute”鍵值名查看是否存在可疑程序，在默認情況下其值為空。如果存在則將其清空即可。

禁止病毒綁架任務管理器

有些狡猾的病毒會采用替換法，將自身偽裝成任務管理器的主文件“taskmgr.exe”，這樣只要打開任務管理器，就會激活病毒。對此，用戶只需打開“C:Windowssystem32” “C:WindowsSysWOW64”等系統(tǒng)文件夾，查看其中的“taskmgr.exe”文件是否發(fā)生了改變，如文件尺寸、創(chuàng)建時間等信息是否出現(xiàn)了變動。如果出現(xiàn)異常，只需將虛假的文件刪除，并恢復正常文件即可。

禁止病毒劫持快捷方式

正常的程序會在桌面等位置創(chuàng)建快捷方式，如果病毒替換某個常用的快捷方式，并進行精心偽裝，那么用戶就會在毫不知情的情況下激活病毒。處理的方法是打開桌面上的某個常用快捷方式屬性窗口，在“目標”欄中查看其內(nèi)容是否發(fā)生了變化，諸如指向某個可疑程序等。并據(jù)此將病毒創(chuàng)建的虛假快捷方式刪除，同時清除對應的病毒文件即可。

禁止病毒利用環(huán)境變量運行

利用環(huán)境變量（如“%System Root%”等），可以快速啟動目標程序。一些病毒會利用環(huán)境變量的這一特性來實現(xiàn)自動運行。例如，病毒會針對“c:windowssystem32”文件夾中存在的某個系統(tǒng)程序（如“xxx.exe”），將自身文件修改為與其同名的文件，但卻藏身到“c:windowssystem32”路徑中，并會擁有更高的運行級別。這種啟動方式應用的并不廣泛，因為大多數(shù)系統(tǒng)程序都位于“c:windowssystem32”路徑中。但這一啟動方式卻不得不引起我們的足夠警覺。

禁止病毒利用文件關聯(lián)運行

非法修改文件關聯(lián)方式是很多病毒的常用伎倆。處理方法是使用“ftype”命令，恢復正常的文件關聯(lián)。例如，執(zhí) 行“ftype exefile="%1"%*”命 令，修 復EXE程 序的關聯(lián)關系，執(zhí)行“ftype txtfile=%SystemRoot%system32NOTEPAD.EXE %1”命令，修復TXT文件關聯(lián)等。

還應恢復目標文件類型的“打開方式”屬性。打開“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts”，在其中列出了所有可用的文件類型，在對應的文件類型（例如“.txt”）下打開“OpenWithList”項，在右側(cè)窗口中雙擊“a” “b” “c”等項，輸入正確關聯(lián)程序，即可恢復正確的打開方式功能。

禁止病毒利用組策略運行

有些病毒會躲進組策略中，實現(xiàn)自動運行。對于這類病毒，只需運行“Gpedit.msc”，在組策略窗口中依次展開“本地計算機策略”→“計算機配置”→“管理模塊”→“系統(tǒng)”→“登錄”，在右側(cè)雙擊“在用戶登錄時運行這些程序”，在屬性窗口中如果發(fā)現(xiàn)已經(jīng)激活了“已啟用”項，就表示有程序隱藏在其中非法運行。點擊“顯示”按鈕，可以瀏覽所有自動運行的程序項，從中找到病毒啟動項，將其刪除即可。

禁止病毒綁架CMD外殼

有些病毒會修改系統(tǒng)參數(shù)，來綁架CMD程序。在注冊表中打開路徑“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Proce ssor”，可以看到在窗口右側(cè)存在“AutoRun”的鍵值名，其值默認為空。當每次啟動cmd.exe時，該程序都會對該“AutoRun”鍵值名的內(nèi)容進行檢測，一旦發(fā)現(xiàn)其指向了某個程序文件，就會自動加載。解決的方法是清空上述“AutoRun”的鍵值名數(shù)據(jù)。

禁止病毒利用屏保啟動

有的病毒會將其擴展名修改為“.scr”，來冒充屏保程序。處理方法是在注冊表編輯器中展開“HKEY_CURRENT_USERControl PanelDesktop”分 支，在“SCRNSAVE.EXE”鍵值名中查看當前的屏保文件是否正常。也可以在注冊表中定位到“HKEY_USERS.DEFAULTControl PanelDesktop”，將其下的ScreenSaveActive值改為0，來禁用屏保。

禁止病毒利用開機腳本運行

當病毒藏身到組策略中中的開機腳本中，就可以毫不費力的獲得運行權。處理方法是運行“gpedit.msc”程序，在組策略編輯器左側(cè)選擇“用戶配置”→“管理模版”→“系統(tǒng)”項，在右側(cè)雙擊“不要運行指定的Windows應用程序”項，查看相關的安全軟件是否處于禁用行列。在左側(cè)選擇“本地計算機配置”→“計算機配置”→“Windows設置”→“腳本（啟動/關機）”項，在右側(cè)雙擊“啟動”項，查看是否存在和病毒文件相關的信息。如果存在病毒啟動項的話，將其刪除即可。當然，也可以在“C:WINDOWSsystem32GroupPolicyMachineScripts”中打開“Scripts.ini”文件，可以查閱開機腳本中是否加載病毒程序，如果不想啟用啟開機腳本，直接將“Scripts.ini”刪掉即可。

禁止病毒劫持控制面板項目

控制面板中的項目由系統(tǒng)目錄中的眾多“.CPL”文件組成，在Windows 7中，這些“.cpl”文件位于“C:WindowsSysWOW64”文件夾，而且可以直接啟動。實際上，控制面板中的所有程序項其執(zhí)行文件都是獨立的，存儲在系統(tǒng)路徑中的“System32”文件夾中。每一個控制面板程序都和一個“.cpl”文件對應。處理方法對常用控制項目文件進行檢查，來發(fā)現(xiàn)是否存在被替換的情況。同時檢查系統(tǒng)啟動項目，查看其中是否存在非法調(diào)用“.cpl”文件的項目，如果發(fā)現(xiàn)的話及時刪除，并恢復正常的控制面板控制面板項目文件即可。

禁止病毒利用系統(tǒng)服務運行

很多病毒都喜歡將自身注冊為系統(tǒng)服務，來獲得更高的運行權限。運行“services.msc”程序，在服務列表管理器中查看相關的服務項目，如果發(fā)現(xiàn)有的服務的描述信息是空白或全英文的，內(nèi)容看起了很奇怪，則多半是病毒程序所為。雙擊相應的服務名稱，在屬性窗口中將啟動方式改為手動，即可阻止其非法加載運行。

如果不太容易發(fā)現(xiàn)病毒服務名，可以在任務管理器中查找病毒程序名稱，之后運行注冊表編輯器，選中“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices”，打開搜索窗口，根據(jù)程序名在搜尋與之關聯(lián)的主鍵后，在該主鍵右側(cè)的“ImagePath”鍵值名中顯示病毒程序的具體位置，并在“Start”鍵值名中顯示啟動方式，將其設置為“3”或“4”，即可禁止其自動運行。

禁止病毒利用映像劫持啟動

如果殺毒軟件突然無法正常運行了，那么極有可能使病毒通過映像劫持技術綁架了殺毒軟件。例如，某安全軟件的程序名為“xxx.exe”，打開注冊表編輯器，展開“HKEY_LOCAL_ MACHINESOFTWAREMicrosoft Win dows NTCurrent VersionImage File Execution Op tions”分支，在該分支下就會發(fā)現(xiàn)名稱為“xxx.exe”子健，選中該子鍵，在右側(cè)窗口雙擊名稱為“debugger”的鍵值名，在其中就會發(fā)現(xiàn)劫持該安全軟件的病毒。之后在上述注冊表分支下刪除被劫持項即可。

禁止病毒劫持下載工具

很多下載工具都提供了病毒檢測功能，可以自動調(diào)用殺毒軟件來檢測下載的文件是否安全。如果被病毒非法利用，就會對系統(tǒng)造成威脅。例如，對于某款下載在工具來說，打開其配置文件“Config.ini”，如果在其中的“[SafeHost]”節(jié)下的“ProgramPath”欄中發(fā)現(xiàn)可疑程序信息，說明病毒已經(jīng)和該下載工具進行了非法關聯(lián)。當該下載工具掃描文件時，調(diào)用的是卻是病毒程序。

當然，如果病毒直接劫持了某個常用的下載工具，就會更加肆無忌憚的運行。處理的方法是將該虛假的下載程序主程序刪除，并重新安裝該下載工具即可。

有的下載工具提供的下載鏈接信息也可能被病毒利用，同樣會對系統(tǒng)安全造成威脅。處理方法是找到相關的文件（例如“geturl.htm”等），查看其內(nèi)容是否被病毒篡改。如果其內(nèi)容存在異常，將其刪除即可。

禁止病毒利用注冊表啟動

在注冊表中除了常見的啟動項位置外，還有一些地方也可實現(xiàn)隱蔽啟動預設程序的功能，給計算機帶來潛在危害。例如，打開 “HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”分支，在其下的“Load”鍵值名查看是否存在病毒程序信息等。為了防止病毒利用ActiveX方式啟動，可以打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components”路徑，其中有很多以GUID字符串命名的鍵值，選擇對應的項目，在右側(cè)的“StubPath”鍵值名中查看是否存在病毒信息。

之后展開“HKEY_LOCAL_MACHINESOFTWAREMicro softWindows NTCurrent VersionWinlogon”分支，并在窗口右側(cè)雙擊“Shell”鍵值名，如果它的內(nèi)容不是“Explorer.exe”，說明病毒已經(jīng)替換了系統(tǒng)外殼。將其恢復為默認值，即可禁止病毒非法啟動。在上述分支下檢查“userinit”，“l(fā)ogonui.exe”等鍵值名，如果內(nèi)容異常的話，說明病毒也對其進行了替換操作。

禁止病毒強制運行

病毒為了達到非法運行的目的，往往會不擇手段，例如通過強制系統(tǒng)只運行預設的程序的方式，來強迫系統(tǒng)執(zhí)行病毒程序。在注冊表編輯器中打開“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”，在窗口右側(cè)如果出現(xiàn)類型為DWORD名稱為“RestrictRun”的鍵值名，并且數(shù)值為1，就說明病毒已經(jīng)開啟了強制運行預設程序功能。

同時，在上述分支中發(fā)現(xiàn)名稱為“RestrictRun”的子鍵，選擇該子鍵，如果在其中發(fā)現(xiàn)以一些字符串類型的、名稱為數(shù)字編碼的（例如“0”等）的鍵值名，其中包含了一些來路不明的程序，那么就說明病毒已經(jīng)對系統(tǒng)進行了綁架，讓其只能運行這些規(guī)定的程序。應對方式病毒復雜，只需分別刪除上述注冊表路徑中預設的啟動項即可。

禁止病毒冒充驅(qū)動運行

現(xiàn)在很多安全軟件都提供了主動防御功能，可以讓很多病毒徹底現(xiàn)出原形。為了對抗主動防御，有些病毒會將以驅(qū)動程序的嘴臉出現(xiàn)，披著看似合法的驅(qū)動程序外衣，從系統(tǒng)底層進行滲透破壞，讓主動防御對其無能為力。

對于這類病毒木馬，由于其活動在系統(tǒng)底層，使用了高級隱身技術，一般的安全工具根本無法尋覓，只有使用PowerTool、XurTr等專業(yè)反黑利器，才可以發(fā)現(xiàn)其行蹤，進而將相關的病毒驅(qū)動文件及DLL文件徹底刪除。

禁止病毒利用計劃任務運行

Windows內(nèi)置的計劃任務功能可以讓我們定時啟動程序。實際上，很多正常的軟件也都會創(chuàng)建所需的計劃任務，來實現(xiàn)定時升級的目的。病毒也很有可能會將魔爪伸向計劃任務，通過創(chuàng)建看似合法的計劃任務，可以在系統(tǒng)啟動時，登錄時，空閑時或者指定的時間日期，來啟動病毒程序。

對付這類病毒的最好辦法就是打開“計劃任務”窗口，逐一檢測所有的計劃任務，發(fā)現(xiàn)可疑的項目將其刪除。此外，通過查閱病毒計劃項目，可以了解病毒程序的藏身地，跟蹤追擊將病毒徹底殲滅。