讓病毒木馬喪失自啟動本領

周勇生

現在，病毒木馬瘋狂肆虐，它們不但會破壞重要數據文件，而且會占用寶貴系統資源，更為重要的是，在每次計算機重新啟動時，它們都會想方設法讓自己自動運行。要是我們能夠讓病毒木馬程序喪失自啟動本領，那么它們的攻擊破壞性將會大大下降，這樣計算機系統的運行安全性也就能有保障了。

限制啟動文件夾權限

為了達到自啟動目的，一些狡猾的病毒木馬程序在成功入侵系統后，會悄悄將其可執行文件放置到系統啟動文件夾中，下次它就能跟隨Windows系統啟動而自動運行了。現在，我們只要禁止所有用戶賬號訪問系統啟動文件夾，就能限制病毒木馬將惡意文件隱藏到其中，從而達到讓其喪失自啟動本領的目的。

要做到這一點，可以先打開Windows 7系統資源管理器窗口，將鼠標定位到“C：＼Users＼zhoujy＼AppData＼Roaming＼Microsoft＼Windows＼Start Menu＼Programs”文件夾上（“zhoujy”為當前登錄賬號名稱），用鼠標右鍵單擊“啟動”子文件夾，點擊右鍵菜單中的“屬性”命令，打開啟動文件夾屬性對話框。選擇“安全”標簽，打開如圖1所示的標簽設置頁面，在這里選中administrators用戶賬號，點擊“編輯”按鈕，在其后界面中將其所有權限都設置為“拒絕”，確認后返回。同樣地，將其他用戶賬號的訪問權限也設置為“拒絕”。值得注意的是，不同版本的操作系統，其啟動文件夾所處位置不同。例如，Windows XP系統的啟動文件夾，默認路徑為“C：＼Documents and Settings＼用戶名＼開始菜單程序＼啟動”。

限制啟動項訪問權限

病毒木馬程序有時會利用編輯注冊表鍵值的方式，來將惡意文件設置成自動運行。為了禁止病毒木馬強行添加啟動項到注冊表中，我們可以對Run、RunService、RunOnce等分支的訪問權限進行合適設置，不允許everyone用戶賬號擁有寫入或運行權限，下面就是具體的操作步驟：

首先依次點擊“開始”、“運行”命令，彈出運行文本框，在其中執行“regedit”命令，開啟系統注冊表編輯器運行狀態。將鼠標定位到編輯窗口左側區域中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”分支上，打開該分支的右鍵菜單，選擇“權限”命令，彈出目標分支選項的權限對話框，如圖2所示。在這里將everyone之外的用戶帳號依次刪除，之后選中everyone用戶帳號，同時在權限列表中將“讀取”權限調整為“允許”，其他權限都改為“拒絕”，確認后保存設置即可。同樣地，我們也要讓everyone賬號只能擁有RunService、RunOnce等分支的只讀權限。

為了躲避殺毒軟件的查殺，部分頑固的病毒木馬程序，有時會以系統服務形式自行啟動，而從上面的注冊表分支中，是找不到這類病毒木馬程序自啟動項的。為了讓這類病毒木馬程序喪失自啟動本領，我們可以打開系統注冊表編輯窗口，依次展開“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注冊表分支，并用鼠標右鍵單擊該分支選項，執行快捷菜單中的“權限”命令，彈出目標分支的權限設置對話框。從“組或用戶名稱”列表中，只保留everyone用戶賬號，其他賬號全部刪除，再為everyone用戶賬號賦予只讀權限，其他權限全部設置為“拒絕”。

值得注意的是，注冊表中“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows”分支下“LOAD”、“RUN”等子項，也會被病毒木馬悄悄修改，添加它們的自啟動項。由于這種情況出現機率不高，很多朋友不清楚這些子項在注冊表中的位置，在注冊表編輯器中對它們的訪問權限進行編輯，經常會找不到編輯目標。此時，不妨在注冊表編輯窗口中，依次點擊“編輯”、“查找”命令，來搜索一下需要編輯的自啟動分支項目。

限制文件關聯修改

有不少病毒木馬程序會偷偷修改某些特定文件關聯，比方說，常用的TXT、CHM、BMP、DOC，當我們嘗試打開這類文件時，Windows系統就會自動調用合適的應用程序來處理，要是該程序是病毒木馬時，那就意味著病毒木馬程序會自動運行，日后系統的安全運行就會受到威脅，所以我們應該限制普通用戶隨意修改文件關聯。

例如，要限制他人修改CHM類型文件的關聯時，可以先打開系統注冊表編輯界面，依次跳轉到“HKEY_CLASSES_ROOT＼chm.file＼shell＼open＼command”注冊表分支上，雙擊該分支下的“默認”鍵值，在其后界面中，看看其數值是否為“"%SystemRoot%＼hh.exe" %1”（如圖3所示），如果不正確的話，及時將其修改過來。

接著用鼠標右鍵單擊“command”分支選項，點擊右鍵菜單中的“權限”命令，彈出目標分支選項權限編輯框，在這里只保留everyone用戶賬號，其他賬號全部刪除，再為everyone用戶賬號賦予只讀權限，其他權限全部設置為“拒絕”。對于其他類型文件的關聯權限，也需要按照同樣的操作進行修改。

限制陌生程序運行

如果我們事先規定好Windows系統只能運行一些合法、可信程序，其他陌生的應用程序都不允許運行，那么日后各種自啟動型病毒木馬程序即使已經潛入到了本地計算機系統中，它們也無法自動運行發作。要限制陌生程序的運行，可以利用Windows系統的白名單功能來實現，下面就是具體的操作步驟：

首先以系統管理員權限登錄Windows系統桌面，依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，切換到系統組策略控制臺界面。在該界面左側列表中，依次跳轉到“本地計算機策略”、“用戶配置”、“管理模板”、“系統”節點上，找到該節點下面的“只運行許可的Windows應用程序”組策略，并用鼠標雙擊該選項，打開如圖4所示的選項設置對話框。endprint

其次選中“已啟用”選項，激活“允許的應用程序列表”位置處的“顯示”按鈕，點擊該“顯示”按鈕，切換到顯示內容對話框，在其中輸入合法應用程序的可執行文件名稱，例如，輸入Winword.exe、Poledit.exe等文件名稱，點擊“確定”按鈕保存設置操作。設置結束后，在Windows系統中除了事先指定的合法程序外，其他各類應用程序都將無權自動運行。這么一來，病毒木馬程序即使將自己添加到系統啟動項中，也無法在系統開機時自動運行。

限制優盤自動播放

現在，優盤使用頻率很高，有些病毒木馬程序專門利用優盤，來達到讓病毒自動運行、傳播目的。一旦染毒優盤插入到計算機系統中，Windows系統默認會自動彈出優盤窗口，以幫助用戶快速訪問文件。而自動彈出優盤窗口的操作，有利于病毒木馬程序自動運行。所以，我們只要限制優盤自動播放功能，就能切斷這類病毒木馬程序的啟動運行通道，日后它們自啟動的本領也就隨之喪失。

要限制優盤自動播放功能時，使用“Win+R”快捷鍵，調出系統運行對話框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。在該編輯窗口左側列表中，依次跳轉到“本地計算機策”、“計算機配置”、“管理模板”、“系統”分支選項上，找到該分支下的“關閉自動播放”選項，并用鼠標雙擊之，打開目標組策略選項設置框。

其次檢查其中的“已啟用”選項是否處于選中狀態，如果發現其沒有被選中時，應該及時將其重新選中，同時從關閉自動播放列表中，選擇移動硬盤或優盤設備對應的分區符號，按下“應用”按鈕返回。當然，上述設置操作僅對WinXP系統有效，在Vista之后版本系統中，必須將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“自動播放策略”節點上，才能找到“關閉自動播放”組策略（如圖5所示），并將其啟用起來。

除了利用組策略編輯方式，來限制優盤自動播放外，對注冊表編輯操作很熟悉的朋友，也能利用注冊表編輯方式，禁止優盤自動播放。啟動運行注冊表編輯器，跳轉到“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer”注冊表分支下面，找到該節點下的“NoDriveTypeAutoRun”鍵值，用鼠標雙擊該鍵值，在其后彈出的編輯鍵值對話框中，將“十六進制”選項選中，再輸入數值“4”，確認后重新啟動計算機系統即可。

限制病毒木馬藏身

在上網訪問網頁的時候，潛藏在網頁背后的病毒木馬程序，可能會不請自來，并且它們會想方設法地將自己隱藏到drivers、system、temp之類的系統文件夾中，以便隨時發作運行。如果我們對這些特殊系統文件夾的訪問權限進行嚴格限制，就能輕易地將自動下載的病毒木馬程序攔截下來，這樣它們就無法藏身到系統文件夾中，日后自然也就不能隨意自動運行了。

例如，要攔截病毒木馬程序藏身到drivers文件夾時，可以先打開系統資源管理器窗口，依次點擊“工具”、“文件夾選項”命令，彈出文件夾選項設置對話框，選擇“查看”標簽，切換到如圖6所示的標簽設置頁面，將“隱藏受保護的系統文件”選項取消選中，再將“顯示隱藏的文件和文件夾”選項選中，單擊“確定”按鈕保存設置操作。這樣，可以確保處于隱藏狀態的drivers文件夾顯示出來，從而方便對其設置訪問權限。

從系統資源管理器窗口中找到drivers文件夾，用鼠標右鍵單擊之，執行快捷菜單中的“屬性”命令，打開目標系統文件夾的屬性對話框，點擊“安全”標簽，點擊對應標簽頁面中的“高級”按鈕，進入高級安全設置對話框。選中名稱為當前用戶賬號的權限項目，按下“編輯”按鈕，在其后界面中將“遍歷文件夾/運行文件”權限設置為“拒絕”，將“創建文件/寫入數據”權限也設置為“拒絕”，確認后退出設置對話框即可。

如果我們事先規定好Windows系統只能運行一些合法、可信程序，其他陌生的應用程序都不允許運行，那么日后各種自啟動型病毒木馬程序即使已經潛入到了本地計算機系統中，它們也無法自動運行發作。要限制陌生程序的運行，可以利用Windows系統的白名單功能來實現。endprint