让病毒木马丧失自启动本领
2014-08-29周勇生
周勇生
现在,病毒木马疯狂肆虐,它们不但会破坏重要数据文件,而且会占用宝贵系统资源,更为重要的是,在每次计算机重新启动时,它们都会想方设法让自己自动运行。要是我们能够让病毒木马程序丧失自启动本领,那么它们的攻击破坏性将会大大下降,这样计算机系统的运行安全性也就能有保障了。
限制启动文件夹权限
为了达到自启动目的,一些狡猾的病毒木马程序在成功入侵系统后,会悄悄将其可执行文件放置到系统启动文件夹中,下次它就能跟随Windows系统启动而自动运行了。现在,我们只要禁止所有用户账号访问系统启动文件夹,就能限制病毒木马将恶意文件隐藏到其中,从而达到让其丧失自启动本领的目的。
要做到这一点,可以先打开Windows 7系统资源管理器窗口,将鼠标定位到“C:\Users\zhoujy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs”文件夹上(“zhoujy”为当前登录账号名称),用鼠标右键单击“启动”子文件夹,点击右键菜单中的“属性”命令,打开启动文件夹属性对话框。选择“安全”标签,打开如图1所示的标签设置页面,在这里选中administrators用户账号,点击“编辑”按钮,在其后界面中将其所有权限都设置为“拒绝”,确认后返回。同样地,将其他用户账号的访问权限也设置为“拒绝”。值得注意的是,不同版本的操作系统,其启动文件夹所处位置不同。例如,Windows XP系统的启动文件夹,默认路径为“C:\Documents and Settings\用户名\开始菜单程序\启动”。
限制启动项访问权限
病毒木马程序有时会利用编辑注册表键值的方式,来将恶意文件设置成自动运行。为了禁止病毒木马强行添加启动项到注册表中,我们可以对Run、RunService、RunOnce等分支的访问权限进行合适设置,不允许everyone用户账号拥有写入或运行权限,下面就是具体的操作步骤:
首先依次点击“开始”、“运行”命令,弹出运行文本框,在其中执行“regedit”命令,开启系统注册表编辑器运行状态。将鼠标定位到编辑窗口左侧区域中的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支上,打开该分支的右键菜单,选择“权限”命令,弹出目标分支选项的权限对话框,如图2所示。在这里将everyone之外的用户帐号依次删除,之后选中everyone用户帐号,同时在权限列表中将“读取”权限调整为“允许”,其他权限都改为“拒绝”,确认后保存设置即可。同样地,我们也要让everyone账号只能拥有RunService、RunOnce等分支的只读权限。
为了躲避杀毒软件的查杀,部分顽固的病毒木马程序,有时会以系统服务形式自行启动,而从上面的注册表分支中,是找不到这类病毒木马程序自启动项的。为了让这类病毒木马程序丧失自启动本领,我们可以打开系统注册表编辑窗口,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”注册表分支,并用鼠标右键单击该分支选项,执行快捷菜单中的“权限”命令,弹出目标分支的权限设置对话框。从“组或用户名称”列表中,只保留everyone用户账号,其他账号全部删除,再为everyone用户账号赋予只读权限,其他权限全部设置为“拒绝”。
值得注意的是,注册表中“HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows”分支下“LOAD”、“RUN”等子项,也会被病毒木马悄悄修改,添加它们的自启动项。由于这种情况出现机率不高,很多朋友不清楚这些子项在注册表中的位置,在注册表编辑器中对它们的访问权限进行编辑,经常会找不到编辑目标。此时,不妨在注册表编辑窗口中,依次点击“编辑”、“查找”命令,来搜索一下需要编辑的自启动分支项目。
限制文件关联修改
有不少病毒木马程序会偷偷修改某些特定文件关联,比方说,常用的TXT、CHM、BMP、DOC,当我们尝试打开这类文件时,Windows系统就会自动调用合适的应用程序来处理,要是该程序是病毒木马时,那就意味着病毒木马程序会自动运行,日后系统的安全运行就会受到威胁,所以我们应该限制普通用户随意修改文件关联。
例如,要限制他人修改CHM类型文件的关联时,可以先打开系统注册表编辑界面,依次跳转到“HKEY_CLASSES_ROOT\chm.file\shell\open\command”注册表分支上,双击该分支下的“默认”键值,在其后界面中,看看其数值是否为“"%SystemRoot%\hh.exe" %1”(如图3所示),如果不正确的话,及时将其修改过来。
接着用鼠标右键单击“command”分支选项,点击右键菜单中的“权限”命令,弹出目标分支选项权限编辑框,在这里只保留everyone用户账号,其他账号全部删除,再为everyone用户账号赋予只读权限,其他权限全部设置为“拒绝”。对于其他类型文件的关联权限,也需要按照同样的操作进行修改。
限制陌生程序运行
如果我们事先规定好Windows系统只能运行一些合法、可信程序,其他陌生的应用程序都不允许运行,那么日后各种自启动型病毒木马程序即使已经潜入到了本地计算机系统中,它们也无法自动运行发作。要限制陌生程序的运行,可以利用Windows系统的白名单功能来实现,下面就是具体的操作步骤:
首先以系统管理员权限登录Windows系统桌面,依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,切换到系统组策略控制台界面。在该界面左侧列表中,依次跳转到“本地计算机策略”、“用户配置”、“管理模板”、“系统”节点上,找到该节点下面的“只运行许可的Windows应用程序”组策略,并用鼠标双击该选项,打开如图4所示的选项设置对话框。endprint
其次选中“已启用”选项,激活“允许的应用程序列表”位置处的“显示”按钮,点击该“显示”按钮,切换到显示内容对话框,在其中输入合法应用程序的可执行文件名称,例如,输入Winword.exe、Poledit.exe等文件名称,点击“确定”按钮保存设置操作。设置结束后,在Windows系统中除了事先指定的合法程序外,其他各类应用程序都将无权自动运行。这么一来,病毒木马程序即使将自己添加到系统启动项中,也无法在系统开机时自动运行。
限制优盘自动播放
现在,优盘使用频率很高,有些病毒木马程序专门利用优盘,来达到让病毒自动运行、传播目的。一旦染毒优盘插入到计算机系统中,Windows系统默认会自动弹出优盘窗口,以帮助用户快速访问文件。而自动弹出优盘窗口的操作,有利于病毒木马程序自动运行。所以,我们只要限制优盘自动播放功能,就能切断这类病毒木马程序的启动运行通道,日后它们自启动的本领也就随之丧失。
要限制优盘自动播放功能时,使用“Win+R”快捷键,调出系统运行对话框,在其中执行“gpedit.msc”命令,开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中,依次跳转到“本地计算机策”、“计算机配置”、“管理模板”、“系统”分支选项上,找到该分支下的“关闭自动播放”选项,并用鼠标双击之,打开目标组策略选项设置框。
其次检查其中的“已启用”选项是否处于选中状态,如果发现其没有被选中时,应该及时将其重新选中,同时从关闭自动播放列表中,选择移动硬盘或优盘设备对应的分区符号,按下“应用”按钮返回。当然,上述设置操作仅对WinXP系统有效,在Vista之后版本系统中,必须将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“自动播放策略”节点上,才能找到“关闭自动播放”组策略(如图5所示),并将其启用起来。
除了利用组策略编辑方式,来限制优盘自动播放外,对注册表编辑操作很熟悉的朋友,也能利用注册表编辑方式,禁止优盘自动播放。启动运行注册表编辑器,跳转到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”注册表分支下面,找到该节点下的“NoDriveTypeAutoRun”键值,用鼠标双击该键值,在其后弹出的编辑键值对话框中,将“十六进制”选项选中,再输入数值“4”,确认后重新启动计算机系统即可。
限制病毒木马藏身
在上网访问网页的时候,潜藏在网页背后的病毒木马程序,可能会不请自来,并且它们会想方设法地将自己隐藏到drivers、system、temp之类的系统文件夹中,以便随时发作运行。如果我们对这些特殊系统文件夹的访问权限进行严格限制,就能轻易地将自动下载的病毒木马程序拦截下来,这样它们就无法藏身到系统文件夹中,日后自然也就不能随意自动运行了。
例如,要拦截病毒木马程序藏身到drivers文件夹时,可以先打开系统资源管理器窗口,依次点击“工具”、“文件夹选项”命令,弹出文件夹选项设置对话框,选择“查看”标签,切换到如图6所示的标签设置页面,将“隐藏受保护的系统文件”选项取消选中,再将“显示隐藏的文件和文件夹”选项选中,单击“确定”按钮保存设置操作。这样,可以确保处于隐藏状态的drivers文件夹显示出来,从而方便对其设置访问权限。
从系统资源管理器窗口中找到drivers文件夹,用鼠标右键单击之,执行快捷菜单中的“属性”命令,打开目标系统文件夹的属性对话框,点击“安全”标签,点击对应标签页面中的“高级”按钮,进入高级安全设置对话框。选中名称为当前用户账号的权限项目,按下“编辑”按钮,在其后界面中将“遍历文件夹/运行文件”权限设置为“拒绝”,将“创建文件/写入数据”权限也设置为“拒绝”,确认后退出设置对话框即可。
如果我们事先规定好Windows系统只能运行一些合法、可信程序,其他陌生的应用程序都不允许运行,那么日后各种自启动型病毒木马程序即使已经潜入到了本地计算机系统中,它们也无法自动运行发作。要限制陌生程序的运行,可以利用Windows系统的白名单功能来实现。endprint