從寫入角度著手

只有想辦法將病毒文件寫入藏匿到計算機的各個位置處，日后才有機會發(fā)作運行。如果我們提前預(yù)防，禁止網(wǎng)絡(luò)病毒的寫入操作，那么病毒木馬連攻擊我們的機會都沒有。

圖1 鼠標定位分支

首先，要禁止寫入到系統(tǒng)注冊表關(guān)鍵分支下。為了達到自啟動目的，病毒木馬很喜歡將自己寫入到系統(tǒng)注冊表的啟動項中，所以我們只能對這些注冊表中的啟動分支授予只讀權(quán)限，而不能授予修改權(quán)限，避免被網(wǎng)絡(luò)病毒偷偷利用。正常情況下，網(wǎng)絡(luò)病毒最喜歡藏身的地方，就是注冊表中的Run、Winlogon、load、RunOnce、RunServices、RunServicesOnce、RunOnceEx等分支，取消這些分支項目的寫入權(quán)限，就能攔截病毒的寫入操作，防止病毒通過它們自動運行。

以Run分支為例，要限制普通用戶向該分支下寫入內(nèi)容時，可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。在該窗口的左側(cè)列表中，將鼠標定位到如圖1所 示 的“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”分支下，位于該分支下的所有程序或命令都能在系統(tǒng)開機啟動的時候自動運行。用鼠標右鍵單擊目標分支選項，打開它的右鍵菜單，點擊“權(quán)限”命令，展開對應(yīng)分支項目的權(quán)限編輯對話框，在“組或用戶名稱”列表中，刪除所有陌生用戶賬號。之后按下“添加”按鈕，導(dǎo)入everyone賬號，同時將該賬號的讀取權(quán)限設(shè)置為“允許”，其他權(quán)限設(shè)置為“拒絕”，確認后保存設(shè)置即可。

當然，Run分支也會出現(xiàn) 在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”等位置處，我們還需要對這些路徑下的Run分支權(quán)限進行嚴格限制，謹防網(wǎng)絡(luò)病毒趁虛而入。

其次要禁止寫入到系統(tǒng)分區(qū)下。一些自我復(fù)制能力極強的病毒，往往無法一次性被清除干凈，只有在重啟系統(tǒng)后，才能被徹底刪除掉。不過，在重啟系統(tǒng)的時候，殘留病毒文件又會將自身復(fù)制寫入到系統(tǒng)分區(qū)中。為了對付這類頑固病毒，我們可以通過Windows系統(tǒng)的“磁盤配額”程序，不讓病毒將自身寫入到系統(tǒng)分區(qū)中。

打開“計算機”或“我的電腦”窗口，找到系統(tǒng)分區(qū)圖標，從該分區(qū)右鍵菜單中選擇“屬性”命令，在系統(tǒng)分區(qū)的“配額”屬性頁面中，逐一選中“啟用配額管理”、“拒絕將磁盤空間給超過配額限制的用戶”等選項，開啟Windows系統(tǒng)內(nèi)置的磁盤配額管理功能（如圖2所示）。之后將“磁盤空間限制”選中，同時將允許使用的磁盤空間大小限制為“1KB”，確認后保存設(shè)置操作。這樣，頑固的網(wǎng)絡(luò)病毒日后在重啟過程中，嘗試將自身復(fù)制到系統(tǒng)分區(qū)時，會遭到“磁盤配額”功能的限制。

圖2 磁盤配額管理功能

圖3 手工創(chuàng)建路徑規(guī)則

值得注意的是，在徹底清除頑固病毒后，必須及時停用磁盤配額功能，以保證計算機運行工作。

第三，要禁止寫入到系統(tǒng)組策略中。為了避免殺毒軟件“圍剿”，一些病毒木馬可能會將啟動程序偷偷寫入到系統(tǒng)組策略有關(guān)分支下，以實現(xiàn)登錄啟動目的。對此，我們可以依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，逐一展開系統(tǒng)組策略編輯窗口中的“本地計算機策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”分支，用鼠標雙擊“在用戶登錄時運行這些程序”選項，選中“已禁用”選項，單擊“確定”按鈕保存設(shè)置操作。這樣，病毒木馬就無法將啟動程序?qū)懙浇M策略設(shè)置中了。

從運行角度著手

不管是哪種類型的病毒，它必須要擁有運行權(quán)限，才能發(fā)揮它的攻擊破壞作用。如果我們能夠想辦法限制其運行，那么再“兇猛”的病毒也會變成溫順的“羔羊”。在知道病毒文件名稱的情況下，我們可以通過系統(tǒng)軟件限制策略，來限制特定病毒的發(fā)作運行。

例如，要禁止“spoo1sv.exe”病毒運行發(fā)作時，可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”節(jié)點上，用鼠標右擊該節(jié)點選項，單擊右鍵菜單中的“新建軟件限制策略”命令，選中“其他規(guī)則”，打開它的右鍵菜單，點選“新路徑規(guī)則”命令，進入如圖3所示的設(shè)置對話框，在這里手工創(chuàng)建一個新的路徑規(guī)則。將“spoo*.exe”關(guān)鍵字填寫在“路徑”文本框中，在“安全級別”位置處選中“不允許”，確認后保存設(shè)置操作。

在定義好上述規(guī)則后，發(fā)現(xiàn)打印機無法工作，這是因為我們拒絕了以“spoo”字符開頭的可執(zhí)行程序的運行，而打印機后臺程序名為“spoolsv.exe”，所以該規(guī)則生效，打印機程序不能執(zhí)行。

圖4 打開“關(guān)閉自動播放”設(shè)置框

圖5 組策略屬性對話框

為了不影響正常打印，我們還必須新建散列規(guī)則，讓正常的打印機后臺程序排除在外。在進行這種操作時，先從“其他規(guī)則”子項下面新建散列規(guī)則，切換到散列規(guī)則創(chuàng)建對話框，按“瀏覽”按鈕選中并導(dǎo)入“spoolsv.exe”，并在“安全級別”位置處選中“不受限制”選項，確認后退出設(shè)置對話框。這樣，就能達到既限制“spoo1sv.exe”病毒運行，又不影響打印機工作的目的了。同樣地，我們可以對其他病毒程序進行限制運行。

從傳播角度著手

當不慎感染上病毒后，切斷其傳播通道，防止其大面積傳播、蔓延，是相當有必要的。例如，在防止常見的優(yōu)盤病毒傳播擴散時，可以采取如下安全措施進行預(yù)防。

1.停止自動播放功能

逐一點選“開始”、“運行”選項，展開系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。依次展開“本地計算機策”、“計算機配置”、“管理模板”、“系統(tǒng)”分支，雙擊該分支下的“關(guān)閉自動播放”組策略，打開對應(yīng)組策略屬性對話框。選中“已啟用”選項，再從關(guān)閉自動播放列表中，選擇優(yōu)盤分區(qū)，確認后保存設(shè)置操作。

當然，在Vista以后版本系統(tǒng)中，我們必須將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“自動播放策略”節(jié)點下，打開該節(jié)點下的“關(guān)閉自動播放”組策略選項設(shè)置框（如圖4所示），選中“已啟用”選項并保存設(shè)置即可。

2.使用同名文件阻斷

優(yōu)盤病毒程序大多都是通過“autorun.inf”文件，來達到傳播、擴散病毒的。如果我們在優(yōu)盤根目錄下面，事先生成一個空白的、名稱也為“autorun.inf”的文件時，那么依照Windows系統(tǒng)中相同目錄下文件名稱不能重復(fù)的規(guī)定，“autorun”類型的優(yōu)盤病毒程序，自然就不能通過優(yōu)盤中的“autorun.inf”文件，來進行惡意傳播、擴散。

3.拒絕優(yōu)盤寫入權(quán)限

對于已感染了優(yōu)盤病毒的計算機系統(tǒng)來說，只要優(yōu)盤插入其中，病毒文件可能就會強行寫入到優(yōu)盤中。

基于這一點，我們有必要關(guān)閉優(yōu)盤的寫入權(quán)限，禁止病毒輕易通過優(yōu)盤擴散。

依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略編輯界面，逐一展開“本地計算機策略”、“計算機配置”、“管理模板”、“系統(tǒng)”、“可移動存儲訪問”節(jié)點。雙擊該節(jié)點下的“可移動磁盤:拒絕寫入權(quán)限”組策略，進入如圖5所示的組策略屬性對話框，選中“已啟用”選項，確認后返回即可。

不過，直接切斷優(yōu)盤寫入保存通道，將會影響合法用戶的正常工作。

為了既能預(yù)防病毒傳播擴散，又能保證合法用戶正常使用優(yōu)盤，可以為優(yōu)盤設(shè)置一個寫保護開關(guān)。在進行設(shè)置時，先手工創(chuàng)建一個批處理文件，假設(shè)該批處理文件名稱為“aaa.bat”，在該文件中輸入如下代碼:

其中，上面的一段代碼表示讓系統(tǒng)正常顯示優(yōu)盤，下面的一段代碼表示讓用戶只能讀取優(yōu)盤內(nèi)容。用鼠標雙擊該批處理文件，優(yōu)盤寫入權(quán)限就會被禁止，那么病毒就不能通過優(yōu)盤蔓延、擴散，這就相當于為優(yōu)盤設(shè)置了寫保護啟用開關(guān)。同樣地，再生成一個“bbb.bat”批處理文件，為優(yōu)盤設(shè)置一個寫保護取消開關(guān)，在該批處理文件中必須要包含下面的代碼內(nèi)容:

圖6 選項設(shè)置對話框

4.防止使用隱藏共享

有的病毒會通過隱藏磁盤共享，在局域網(wǎng)中恣意擴散、傳播。

為了阻斷這條傳播通道，建議大家關(guān)閉所有磁盤分區(qū)隱藏共享。

要做到這一點，可以先啟動運行記事本程序，并將下面的命令代碼正確輸入到文本編輯界面中，同時將代碼內(nèi)容保存為“111.bat”批處理文件:

然后打開系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。在該窗口左側(cè)列表中，依次展開“本地計算機策略”、“用戶配置”、“Windows設(shè)置”、“腳本（登錄/注銷）”節(jié)點，雙擊該節(jié)點下的“登錄”選項，打開如圖6所示的選項設(shè)置對話框，單擊“添加”按鈕，導(dǎo)入之前生成的“111.bat”批處理文件，確認后返回。

這樣，日后每次開機啟動計算機系統(tǒng)時，“111.bat”批處理文件都會被自動執(zhí)行，那么計算機中的所有隱藏共享也就會被自動關(guān)閉了。

從加載角度著手

Internet網(wǎng)絡(luò)上的病毒層出不窮，有不少是通過IE瀏覽器實現(xiàn)加載運行的。為了讓本地系統(tǒng)遠離病毒攻擊，我們必須采取措施切斷網(wǎng)絡(luò)病毒的加載通道，避免其通過IE瀏覽器進行惡意破壞。

1.定期更新補丁

IE瀏覽器的安全漏洞特別多，而多數(shù)病毒都是通過漏洞來感染操作系統(tǒng)和應(yīng)用程序的。

所以一個最新并擁有完整補丁的計算機系統(tǒng)，可以極大地降低病毒感染的可能性。

在為IE瀏覽器更新漏洞補丁程序時，只要逐一單擊“開始”、“設(shè)置”、“控制面板”選項，用鼠標雙擊系統(tǒng)控制面板中的“Windows Update”圖標，切換到系統(tǒng)更新管理界面，按下“檢查更新”按鈕，隨后系統(tǒng)會自動提示是否有補丁程序可以更新，再按“安裝更新”按鈕即可。

圖7 權(quán)限編輯對話框

圖8 安全設(shè)置列表

2.拒絕BHO與IE關(guān)聯(lián)

很多病毒往往通過瀏覽器BHO對象與IE瀏覽器建立關(guān)聯(lián)，我們可以進行如下操作，切斷它們之間的關(guān)聯(lián)。先進入系統(tǒng)注冊表編輯窗口，將鼠標定位到該窗口左側(cè)的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects”節(jié)點上，打開目標節(jié)點選項的右鍵菜單，點擊“權(quán)限”命令，展開權(quán)限編輯對話框（如圖7所示），按下“高級”按鈕，在高級對話框的“權(quán)限”頁面中按“添加”按鈕，選中并導(dǎo)入當前登錄賬號，再為該賬號分配“查詢數(shù)值”、“讀取控制”等權(quán)限，確認后退出設(shè)置對話框。

按照相同的操作方法，再對 System、Local Service、Network Service等對象的訪問權(quán)限進行合適設(shè)置，防止病毒通過各種對象方式潛藏到系統(tǒng)注冊表中。

3.限制使用腳本

病毒木馬程序的發(fā)作運行，一般要借助IE瀏覽器腳本解釋功能才行，如果禁止使用IE瀏覽器的腳本功能，那么網(wǎng)絡(luò)病毒將會失去威脅。要做到這一點，先打開IE瀏覽器窗口，逐一點 擊“工 具”、“Internet選項”命令，進入Internet選項對話框，單擊“安全”選項卡，切換到安全選項設(shè)置頁面，按下“自定義級別”按鈕，展開如圖8所示的安全設(shè)置列表，將其中的“活動腳本”、“Java小程序腳本”、“運行ActiveX控件和插件”等全部選擇為“禁用”，最后點擊“確定”按鈕退出設(shè)置對話框。