APP下载

让漏网病毒无力回天

2016-11-26

网络安全和信息化 2016年11期
关键词:潜藏注册表对话框

引言: 对付网络病毒,很多人常常简单地认为用杀毒软件就能万事大吉。殊不知,现在杀毒软件能力有限,加之病毒木马程序极度狡猾,常有一些漏网病毒文件,躲过杀毒软件的“围剿”。这些漏网病毒不但隐蔽性强,而且还时刻渗透和破坏着系统,对系统带来了相当大的威胁。为此,需要想方设法,让漏网病毒无力回天。

对付网络病毒,很多人常常简单地认为“请”出杀毒软件就能万事大吉。殊不知,现在杀毒软件能力有限,加之病毒木马程序极度狡猾,常有一些漏网病毒文件躲过杀毒软件的“围剿”。这些漏网病毒不但隐蔽性强,而且还时刻渗透和破坏着系统,对系统带来了相当大的威胁。为此,需要想方设法,让漏网病毒无力回天。

寻找漏网病毒踪迹

为了逃避杀毒软件的扫描检测,漏网病毒常常会将自身隐藏到系统的暗角,以便让各类安全工具对其可望不可及。这时,只能手动寻找其踪迹了。

1.从临时文件中找

在长时间工作过程中,Windows系统会生成各式各样的临时文件,它们集中存储在系统临时文件夹中,杀毒软件对其往往无可奈何。正是基于这点,漏网病毒才会将自身混迹其中,以等待机会卷土重来。所以,及时删除各种临时文件,既能让漏网病毒无机可乘,又能有效节约宝贵的磁盘空间。

例如在Windows 7系统环境下,进入系统文件 夹“X:User用户名AppdataLocalTemp”,可看到所有的临时文件,选中并删除,就能让所有漏网病毒全部从计算机中消失。值得注意的是,在默认状态下,“Appdata”文件夹处于不可显示状态,用户只有先打开“文件夹选项”对话框,勾选“显示所有文件和文件夹”选项,才能让该文件夹正常显示出来。

2.从系统还原点找

为了保护数据和系统安全,有些用户会启用系统还原功能,及时为重要内容做好备份操作。而杀毒软件无法清理系统还原文件夹,这让不少漏网病毒趋之若骛。为了对付这种类型的漏网病毒,需定期清除系统还原点,以铲除网络病毒的“温床”。

在Windows 8系统环境下,要删除所有的系统还原点时,可使用“Windows+X”组合键,调出系统快捷访问菜单,单击“控制面板”命令,进入系统控制面板窗口,逐一双击“系统安全”、“系统”图标,在其后界面的左侧列表区域,选择“系统保护”选项。在系统保护标签页面中,选择“配置”按钮,单击其后窗口中的“删除”按钮,可彻底删除所有的系统还原点。

3.从引导记录中找

一些相当狡猾的漏网病毒,有时会将自身潜藏到系统的引导记录中,只要用户重新启动计算机系统,漏网病毒就会借机进入系统内存并运行。这种类型的病毒相当难缠,用户即使格式化硬盘也无法真正除掉病毒文件,毕竟其已深入到系统引导扇区中。为让此类漏网病毒无力回天,只有重新创建引导扇区记录,让病毒文件无处藏身。

使用外力工具“DiskGenius”,即可轻松对付潜藏在系统引导扇区中的漏网病毒。先使用Windows PE重新启动计算机系统,在Windows PE状态下开启目标工具的运行状态,打开对应程序主操作界面,依次单击“磁盘”、“重建主引导记录”菜单命令,确认后目标工具就会自动重新创建系统主引导记录,潜藏在引导记录中的漏网病毒文件就灰飞烟灭了。

如果不想重新创建系统主引导记录时,不妨使用更强力的安全工具——“PowerTool”,来对引导记录进行强制修复。打开目标工具的主操作窗口,逐一进入“系统修复”、“主引导记录”标签页面,按下“检测”或“强力检测”按钮,开始自动扫描测试系统引导区内容,按下“自动修复主引导记录”按钮,就能达到删除漏网病毒目的了。

图1 注册表编辑器

4.从系统文件中找

某些漏网病毒为了更好地躲避用户,经常会将自身伪装成系统文件,甚至直接替换掉系统文件。要想对付这类漏网病毒文件,用户只有选择去修复系统文件。

以系统管理员权限登录系统,依次单击“开始”、“运行”命令,弹出系统运行对话框,输入命令“sfc /scannow”并回车,确定后开始扫描测试所有系统文件。一旦有系统文件受到损坏时,正确放置系统安装光盘到计算机中,执行系统文件提取安装操作,就能将被漏网病毒替换掉的系统文件恢复正常。当然,如果无法成功执行“sfc /scannow”命令时,不妨尝试使用“sfc /scanonce”命令,让系统下次启动时自动扫描系统文件。

5.从系统注册表找

有的漏网病毒会将自身拷贝到系统注册表启动项中,以实现随系统自动启动的目的。为了让这种类型漏网病毒无力回天,可以进行下面的操作来寻找并对付漏网病毒:

首先依次单击“开始”、“运行”命令,弹出运行对话框,执行“regedit”命令,打开系统注册表编辑窗口,将鼠标先定位到左侧列表中的注册表节 点“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”上(如图1所示),检查对应节点下是否存在陌生键值,如果看到陌生键值,不妨通过双击键值找出漏网病毒的源头文件,同时将其直接删除,一并删除注册表中的陌生键值。

接着将鼠标定位到注册表节点“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun” 上,将该节点下的陌生键值所有病毒源文件依次删除。此外,还要逐一检查“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRunOnce”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunonce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”等注册表节点,看看这些节点下是否存在陌生键值,如果存在,一定要及时将陌生键值和相关病毒文件删除,这样才能将潜藏在系统注册表中的漏网病毒清除干净。

不让漏网病毒潜藏

找到并清除漏网病毒后并不意味着高枕无忧,因为其可能随时会卷土重来。还需采取一劳永逸的措施,禁止其再次潜藏到Windows系统中!

图2 权限设置

图3 在用户登录时运行这些程序设置

1.不让潜藏到注册表中

为防止漏网病毒程序日后再次将自身拷贝到系统注册表启动项中,不妨尝试修改有关注册表节点的操作权限,具体操作为:首先依次单击“开始”、“运行”命令,输入“regedit”命令,切换到系统注册表编辑窗口,选中“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”节点选项,再依次单击“编辑”、“权限”命令,弹出权限设置对话框(如图2所示),在这里将“everyone”帐号权限设置为“读取”,将其他权限全部设置为“拒绝”,同时将其他普通账号删除掉,并单击“确定”按钮保存设置操作即可。同样,将其他节点的“everyone”帐号权限设置为“读取”,将普通账号权限全部设置为拒绝。

2.不让潜藏到组策略

有的漏网病毒隐蔽性很强,往往将自身潜藏到系统组策略中,这样普通用户甚至杀毒软件都很难发现。可以采取下面的操作方法来配置系统组策略:

首先逐一点击“开始”、“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令并回车,展开组策略编辑对话框,在该对话框的左侧显示区域,将鼠标定位到“本地用户和组”、“用户配置”、“管理模板”、“系统”、“登录”节点上。在指定节点的右侧显示区域中,用鼠标右键单击“在用户登录时运行这些程序”选项,打开如图3所示的选项设置框,取消“已启用”选项的选中状态,确认后保存设置操作。

3.不让潜藏到临时目录

系统临时目录是漏网病毒程序的一个好去处,倘若事先将系统临时目录“封杀”,日后漏网病毒就不能潜藏其中了:首先逐一单击“开始”、“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令并回车,开启组策略编辑器。在该编辑界面的左侧列表中,将鼠标定位到“计算机配置”、“Windows 设置”、“安全设置”、“软件限制策略”、“其他规则”节点上。

接着选中“其他规则”选项,用鼠标右键单击该选项,从弹出的右键菜单中执行“新路径规则”命令,在其后界面“路径”位置处(如图4所示),输入系统临时目录路径,或直接单击“浏览”按钮,将临时目录导入进来。之后打开“安全级别”下拉列表,选择“不允许”选项,确认后漏网病毒程序就无法将自身潜藏到系统临时目录中了。

4.不让潜藏到还原点中

Windows XP以上版本系统都支持系统还原功能,漏网病毒经常会将自身隐藏到系统还原点中。可进行如下操作关闭系统还原功能:

图4 新建路径规则

图5 系统属性

图6 注册表编辑器

右击“我的电脑”或“计算机”图标,选择“属性”命令,弹出系统属性设置对话框。点击“系统还原”选项,切换到如图5所示的对话框,勾选“在所有驱动器上关闭系统还原”选项,点击确认。

5.不让潜藏到主页面中

有的漏网病毒会悄悄修改IE浏览器主页面,同时将自身潜藏到默认主页面中去,用户一旦进入IE浏览器窗口,这些漏网病毒就能自动运行。可以采取如下操作进行设置:

首先在系统运行对话框中,输入“regedit”命令,开启注册表编辑器运行状态。将鼠标定位到注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”节点上(如图6所示),逐一点选“编辑”、“权限”命令,展开特定节点选项的权限设置对话框。在“组或用户名称”设置项处,将“everyone”的“读取”权限设置为“允许”,将其他权限设置为“拒绝”,并且将其他一些陌生的用户账号全部删除。

同样地,再将鼠标定位到“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”注册表节点上,打开对应节点的权限设置框,仅将“读取”权限授予“everyone”账号,删除其他陌生账号,最后重新启动本地系统。

猜你喜欢

潜藏注册表对话框
正常恢复虚拟机
热门还是热闹?4月加州鲈见涨,但下半年行情潜藏危机
Mother's hands
Bootlace Worms’Secret etc.
What Is Beauty?
影 子
更上一层楼 用好注册表编辑器
注册表的便捷用法
浅谈VB的通用对话框《CommonDialog》控件的使用