流氓软件通常会将自己伪装成合法程序，诱使用户上当受骗。对于这些狡猾的流氓软件，确实很让人讨厌。在很多情况下，用户是在毫不知情的情况下，稀里糊涂地装上了流氓软件。看来，对付流氓软件最好的办法是积极防御，将其拦截在外，让其无法获得入侵的机会。

多管齐下，让IE摆脱“流氓”的骚扰

IE浏览器是很多流氓软件的侵袭目标，流氓软件之所以得手，很大程度上是钻了各种漏洞的空子。因此，及时为IE打上各种补丁，将IE的各种漏洞都修补好，就可以有效防御流氓软件的入侵。因为很多恶意网站都暗藏木马，如果不小心误入其中的话，网页木马就会乘机通过IE漏洞，在您的电脑中安装各种流氓软件，一旦让其得手，您的系统就会永无宁日了，只要将IE补丁全部打上，这些入侵伎俩就会失效了。

此外，利用IE提供的筛选器功能，也可以拦截可疑文件，堵住流氓软件的入侵通道，可以有效提高系统的安全性。通过对下载的文件以及访问的网站进行安全性检测，可以发现危险的文件或者恶意网站，并对其进行拦截。但是一些用户为了省事往往将其关闭，这对于系统安全会带来不利影响，因此最好开启该功能。

例如，在Windows 8中可以点击“Win+X”键，在弹出菜单中点击“控制面板”项，在控制面板中点击“系统和安全”项，在弹出窗口中选择“操作中心”项，在打开窗口左侧选择“更改Windows SmartScreen删选器设置”项，在弹出的对话框中激活该功能。

这样，当下载文件时，SmartScreen删选器就会对其进行检测。即使其通过检测，当用户运行该文件时，SmartScreen删选器会将其信息发送到微软云端服务器，通过对其进行安全评估，进一步检测其安全性。如果其不符合微软设定的安全规则，系统就禁止运行该文件，并弹出“Windows已保护你的电脑”的提示信息。如果用户确定该文件是安全的，可以在提示窗口中点击“更多信息”链接，点击“仍要运行”按钮，就可以顺利运行该文件了，如果点击“不运行”按钮，该文件就被拦截。

图5 管控和IE相关的注册表项目

当然，为了防止流氓软件以IE插件的形式运行，最好对注册表中和IE相关的部位进行防护。运行“regedit.exe”程序，注册表配置编辑器中依次展开“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tI n t e r n e t Explorern”分支，在“Main”子键的右键菜单上点击“安全”→“权限”项，在权限设置界面中选中Users组（或者其它账户和组），在权限列表中的“拒绝”列中禁用“完全控制”，“读取”等权限。选择“创建子项”、“删除”等权限的“拒绝”栏中打勾（如图5所示）。与此类似，给“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”分支也进行合适的权限控制，这样恶意软件就无法修改IE的基本设置了。

除了“Main”子键外，与IE 相 关 的 还 有“MenuExt”、“Search”、“Restrictions”、“Plugins”等子健。为了防止流氓软件以插件的形式绑架IE，可以对“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerBrowser Helper Objects”分支进行权限控制，防止随意安装无关插件。通过对这些与IE有关的主键进行保护，就能从根本上防止IE被恶意修改。

此外，现在几乎所有的电脑都安装有Flash插件，但是，Flash插件自身往往存在高危漏洞。一些病毒、木马、流氓软件等恶意程序会借助这些漏洞，对您的电脑发起渗透和攻击。这里就以Windows XP为例，来介绍如何彻底杜绝Flash漏洞。在注册表编辑器中打开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers” 分支，在右侧窗口中双击“TransparentEnabled”项，以十六进制格式（以下与之相同）设置其值为 1， 设 置“DefaultLevel”、“AuthenticodeEnabled”、“PolicyScope”、“Levels”等 项的值分别为 40000、0、0、35000。如果对应项不存在的话，可以手工建立，其数据类型均为DWORD。

运行“gpedit.msc”程序，在组策略编辑器窗口左侧点击“计算机配置”→“Windows设置”→“安全设置”→“软件限制策略”项，如果是初次使用，需要点击菜单“操作”→“创建新的策略”项，在自动出现的“其它策略”项的右键菜单上点击“新散列规则”项，在弹出窗口中点击“浏览”按钮，选择“C：Program FilesInternet Explorer”文件夹中的“iexplore.exe”文件，在“安全级别”列表中选择“基本用户”项，完成针对IE的安全设置。

注意，这里的散列规则的主要作用是降低IE的权限，让其无法对系统进行修改写入等操作。以后当在IE中试图向“C：Windows”等系统文件夹中写入或者修改文件时，系统会弹出“无法创建文件，拒绝访问”的提示。如果执行删除操作，同样会遭到系统拒绝。这样，即使您安装的Flash插件存在漏洞，当病毒木马想借助于该漏洞IE中执行数据下载写入等操作时，会因为缺乏权限而无法对系统构成任何威胁。当然。在使用该方法之前，最好IE中安装好所需的各种插件。

图6 使用Upiea为IE免疫流氓插件

为了提高IE抗击流氓软件的能力，还可以使用Upiea这款小巧的IE插件管理程序，对各种流氓插件进行免疫处理。因为每一种流氓插件在注册表中都会创建对应的特殊的键值，恶意网站通过读取该键值，就会判断是否已经在本机上安装了对应的流氓插件。使用Upiea这款小工具，就可以在注册表中伪造这些键值信息，实现免疫的目的。Upiea是一款免费的纯绿色软件，自身只有一个可执行文件，但是却可以对371种恶意IE插件进行免疫，有了Upiea的保护，用户就可以尽情冲浪，不用担心流氓软件对IE进行非法修改了。

在Upiea主窗口（如图6所示）中打开“插件免疫”面板，可以看到Upiea提供了包括国内、国外、聊天、聊天、影音、游戏、日常、商务、必备、其他等10大类IE插件免疫项目。在默认情况下，Upiea不对任何插件免疫，用户需要选择相应的免疫项目，可以手工逐一选择，也可以点击“全选”按钮选择所有的免疫项目。选择完毕后，点击“应用”按钮保存设置。然后在浏览器中登录包含常见流氓插件的网站，就会发现这些流氓软件无法安装了。

此外，Upiea还可以有效地管理已经安装的IE插件，在Upiea主窗口中打开“插件管理”面板，在其中列出所有已经安装的IE插件，选中可疑的插件，在处理列表中选择“设置该插件为禁用状态”项，即可禁用该插件，也可以点击“删除”按钮删除该插件。

使用防火墙抗击流氓软件

流氓软件设计得越来越狡猾，一旦让其潜入系统兴风作浪，往往是“请神容易送神难”。例如当用户安装了从网上下载的共享软件之后，往往会招来一些流氓软件的光顾。那么，这些流氓软件是如何进入系统中的呢？实际上，很多共享软件在其安装程序中都捆绑了各种类型的流氓软件，甚至有些共享软件在安装流氓插件时，根本没有任何提示信息。面对流氓软件的猖狂进攻，我们完全可以使用EQSpyWatch这款独特的安全软件，为系统筑起一道防范流氓的“防火墙”。EQSpyWatch是完全免费的软件，工作在系统底层，通过对文件、注册表、程序运行进行监控，利用内置的安全规则，让系统彻底摆脱流氓软件的骚扰。

在EQSpyWatch主窗口中打开“设置”面板，在右侧窗口中勾选“系统启动时自动运行”项，让EQSpyWatch自动跟随系统启动，让流氓软件没有可乘之机。在“程序运行状态”面板中可以调整监控功能、自动更新功能的开启和关闭状态。在默认情况下，EQSpyWatch的监控功能处于开启状态，点击其中的“规则编辑器”链接，在弹出的窗口（如图7所示）中可以看到EQSpyWatch内置的所有安全规则。EQSpyWatch的规则分为“监控操作分类”和“监控规则分类”两种。在左侧列表中的“监控操作分类”下提供了“运行程序”、“文件操作”、“注册表访问”三种监控机制，可以从流氓软件的运行、操作文件、修改注册表等方面，全面监视各种其活动情况。

图7 管理安全规则

在窗口右侧的“规则列表”中显示其中包含的所有规则，包括流氓软件常见安装位置、创建和读写的文件路径、经常操作的注册表路径等信息。从中选中某一监控类型，例如选择“注册表访问”项，点击某一规则，在窗口底部显示该规则的描述信息注册表路径、注册表名称等内容，在“监控规则分类”中包含了大量的“热门”流氓软件清单，选中其中的某个流氓软件，在右侧窗口中显示针对该流氓软件的所有安全规则，从而从根本上禁止该流氓软件的安装和运行。此外，在“程序运行状态”面板中点击“立即升级”链接，可以从网上快速下载最新的规则包。

在默认情况下，所有的规则都处于禁止状态。当然，我们可以也自定义规则，从而提高防御的灵活性。在“规则分类”列表中选中对应的类别分支，在右侧窗口中点击“新建规则”按钮，在“新建规则”窗口的“监控操作”面板中选择类型，包括注册表访问、文件操作、运行程序等项。例如选中“文件操作”项，在“描述”和“文件路径”栏中分别设置规则的名称、流氓软件的安装路径等信息，在“监控信息”面板中选择“记录日志”项，表示当流氓软件触发该规则时，将其写入日志文件，在“默认操作”面板中选择“拒绝”，表示拦截流氓软件的运行，点击“确定”按钮，即可创建新的规则。

此外，EQSpyWatch还提供了规则共享机制，当我们编辑了大量的规则后，可以点击工具栏上的“导出”按钮，将所有的规则导出为单独的文件，提供给别人共享，也可以点击“导入”按钮，将别人提供的规则文件导入进来。当设置完成后，点击EQSpyWatch窗口上的关闭按钮，将其隐藏在系统托盘中。当我们运行捆绑了流氓插件的共享软件时，EQSpyWatch立即阻止其运行，并在系统托盘区弹出警告提示框，告诉用户已经发现并拦截的流氓软件名称。

当安装软件中包含多个流氓插件时，EQSpyWatch会逐一拒绝其安装，并在拦截成功后弹出对应的提示框，在系统托盘中双击EQSpyWatch图标，在“程序运行状态”面板中显示已经成功拦截的流氓软件的操作数量，在“日志”面板中显示详细的日志信息，包括拦截发生的时间、流氓软件的进程名称、拦截的动作、流氓软件的操作方式（运行程序、访问文件、访问注册表）等。此外，在EQSpyWatch中还提供了功能强大的进程管理器，在其“程序运行状态”面板中点击“进程管理器”链接，即可在其中有效地管理当前所有进程。

巧用数字签名防范流氓软件

大家可能都有这样的经历，在安装了某款软件后，系统中就莫名奇妙地自动安装了其他一些来历不明的软件，而且其往往是同一个公司的“杰作”，这种不请自来的安装“技术”实在让人感到厌烦，其实，这也堪称是时下流行的流氓软件“推广”方式。如何才能禁止这种“自动化”的安装方式，将流氓软件拒之门外呢？利用数字签名技术，就可以彻底阻挡上述让人生厌的流氓软件安装模式了。

对于软件来说，数字签名就是其身份证，通过查阅其数字签名信息，可以了解其开发者、版本等信息。对于某些杀毒软件来说，将各种恶意软件的数字签名添加到病毒库中，可以简单有效地发现和清除这些不法之徒。对于您不想要的某款软件，可以在其安装文件的右键菜单上点击“属性”项，在其属性窗口中的“数字签名”面板中点击“详细信息”按钮，在弹出窗口中点击“查看证书”按钮，在出现的窗口中的“详细信息”面板中点击“复制到文件”按钮，在操作向导的帮助下，将其数字签名信息导出到指定的文件中。

图8 创建证书规则

运行“gpedit.msc”程序，在组策略窗口左侧点击“计算机配置”-“Windows设置”-“安全设置”-“软件限制策略”项，如果是初次使用，可以在其右键菜单上点击“创建软件限制策略”项，之后在右侧窗口的“其它策略”项的右键菜单上点击“创建证书规则”项，在弹出窗口（如图8所示）中点击浏览按钮，选择上述证书文件，在“安全级别”列表中选择“不允许”项，点击确定按钮保存配置信息。之后运行具有该证书的软件（尤其是同一个公司开发的软件）时，就会遭到该策略的拦截，让其无法执行安装操作。

当创建很多这样的限制策略后，可以运行“软件限制策略导入导出 绿色版”这款小工具，在其主界面中点击“导出软件限制策略”按钮，将其导出名为“date.dat”的独立文件，在其他主机上运行该工具，点击“导入软件限制策略”按钮，完成导入操作。当然，“date.dat”文件必须在该绿色软件运行路径下。这样，可以快速部署预设的策略，提高抗击流氓软件的能力。

使用其他技巧防范流氓软件

当然，使用其他的小技巧，也可以抵御流氓软件的入侵。例如，打 开“C：WINDOWSsystem32driversetc”文件夹，将其中的名为“Hosts”的文件打开，如果发现可疑的地址映射关系，最好将其删除，或者只保留“127.0.0.1 localhost”项，将其余的内容删除，这样，就可以避免误入恶意网站的陷阱了。

在安装软件的时候，不要盲目地点击下一步按钮，追求安装的速度。而应该在每一个安装步骤仔细查看安装界面，如果发现看起来不起眼的选择项目，就应该引起警惕，最好将这些自动选择的项目清除，防止流氓软件蒙混过关，堂而皇之地进驻系统。

在网上寻找软件时，尽量去正规的大型网站，而不要到来历不明的小网站中下载软件。即使在正规网站下载，也应该注意观察，选择合适的下载位置，而不要被满屏的下载按钮欺骗。利用NTFS格式的权限设置功能，同样可以阻止流氓软件的运行。例如，对流氓软件的安装路径进行权限设置，让其无法获得运行权，在流氓软件经常藏身的位置创建与之同名的文件夹，并且在其权限设置窗口设置严格的权限保护机制，让其无法创建同名文件夹等。