保護桌面和惡意圖標的較量

劉景云

桌面是眾多快捷圖標的棲息地，在同惡意程序的較量中，桌面也難以獨善其身，惡意程序會通過使用竄改、替換等各種非法手段，在桌面上放置外觀頗能迷惑人的非法圖標。當無辜的用戶雙擊此類圖標后，就會誤入其精心預設的惡意網站中，從而招來病毒木馬的襲擊。我們當然不能任由這些流氓圖標在桌面上為非作歹，必須采取各種防御方法，將其徹底從桌面上驅逐出去！

清除黏在桌面上的“牛皮癬”圖標

有時，我們會發現桌面上出現一些奇怪的圖標，當雙擊這些圖標時，就進入在線游戲、廣告宣傳甚至是內藏木馬病毒的惡意網站。但是，使用普通的方法，根本無法將其刪除，這些賴在桌面上的垃圾圖標實在讓人厭惡。其實，這些“牛皮癬”圖標之所以難以對付，關鍵是其對注冊表做了手腳。

運行“regedit.exe”程序，打開

“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Desktop＼NameSpace”分支，在其下存在很多子鍵，其名稱實際上是CLSID字符串。它們和桌面上的圖標存在對應關系（如圖1）。當然，這里顯示的只是和桌面圖標對應的CLSID名稱，其具體的配置信息其實是保存在“HKEY_CLASSES_ROOT＼CLSID”分支中的。對其仔細觀察，不難發現這些子鍵與正常圖標是一一對應的。但是，依次打開其中最后幾個子鍵，發現其右側內容為空，就說明其和桌面上的垃圾圖標存在關聯。記下該子健CLSID名稱（例如“{93163F2E-6B9C-8276-AF59-A1EBE3392799}”，之后將其刪除。

接下來選中“HKEY_CLASSES_ROOT＼CLSID”，點擊Ctrl+F鍵，在其中搜索上述CLSIS值，找到相關子鍵，將其一定刪除。然后刷新桌面，就會發現與其關聯的流氓圖標消失了。按照同樣的方法，可以清除所有的流氓圖標。當然，也可以在QQ電腦管家中打開“電腦診所”窗口，點擊桌面圖標按鈕，在彈出窗口中點擊“桌面圖標刪除不了”項，點擊“修復”按鈕，QQ電腦管家會自動分析桌面圖標信息（如圖2），單擊“進入全屏模式”按鈕，勾選無法刪除的圖標，點擊屏幕右下角的確定按鈕，將其導入到刪除列表中，點擊下一步按鈕，這些討厭的快捷圖標就會徹底消失。

利用權限，為桌面圖標巧加鎖

對于自己精心布設的桌面，我們最討厭別人隨意刪除或者添加快捷圖標，將桌面搞得混亂不堪。其實，只要利用系統提供的權限設置功能，就可以將桌面圖標徹底保護起來。例如，對于Windows 7來說，當前的用戶名為“feiyun”可以創建多個賬戶，在“C：＼Users＼feiyun＼Desktop”文件夾中保存的是當前用戶的桌面內容，在“C：＼Users＼公用＼Desktop”中保存的是公用用戶的桌面內容。在別人使用您的電腦之前，在“C：＼Users＼feiyunDesktop”的屬性窗口中打開“安全”面板，在其中點擊“高級”按鈕，在彈出窗口中確保取消“包括可從該對象的父項繼承的權限”項的選擇狀態。

點擊“更改權限”按鈕，在權限項目列表中選擇“feiyun”賬戶名，或者點擊“添加”按鈕，添加所需的賬戶。點擊“編輯”按鈕，在權限設置窗口（如圖3）中的“允許”列中取消“創建文件/寫入數據”、“刪除子文件夾及文件”、“刪除”、“更改權限”等項的選擇狀態。對于“C：＼Users＼Publish＼Desktop”文件夾，執行同樣的權限設置動作。這樣，當其他人在本機上操作時，就無法在桌面上進行創建、刪除、更改圖標等操作，保護了桌面圖標的安全性和完整性。當您使用時，取消上述權限約束，就可以正常操作桌面圖標了。

為合法圖標穿上“防護衣”

其實，我們完全可以借鑒上述“牛皮癬”圖標的創建技術，反其道而行之，將其使用到保護合法的圖標的“正道”上。例如以保護迅雷快捷圖標為例，運行注冊表編輯器，在“HKEY_CLASSES_ROOT＼CLSID”分支下創建一個合適的CSLID子鍵，名稱可以隨意設置，例如“{2EE3F720-6CE7-98A8-AA8F-901AD79A0DAF}”。在該子鍵下依次創建“DefaultIcon”（顯示桌面圖標）、“Shell”（該圖標右鍵菜單）、“ShellFolder”（右擊信息）等項。選擇其中的“DefalutIcon”子鍵，在右側窗口雙擊“默認”鍵值名，將其內容修改為“%SystemRoot%＼system32＼Shell32.dll，192”，表示使用“Shell32.dll”動態庫中指定序號為192的圖標為其顯示圖標。當然，您可以為其選擇其他的圖標。之后在上述“Shell”子鍵下創建名為“安全啟動”的子鍵，當然，其名稱可以隨意設置。

在其下再創建名為“command”的子鍵，選中“command”子鍵，雙擊其右側的“默認”鍵值名，在其中輸入迅雷程序路徑信息。在上述“ShellFolder”子鍵右側窗口中分別創建“Attributes”（DWORD類型）、“HideOnDesktopPerUser”（字符串型）、“HideFolderVerbs”（字符串型）、“WantParsDisplayName”（字符串型）等鍵值名，其中的“Attributes”項的數值為0，其余項的內容為空。下面執行最后一步，打開“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Desktop＼NameSpace”分支，在其下創建名為“{2EE3F720-6CE7-98A8-AA8F-901AD79A0DAF}”的子鍵，并將其默認值設置為需要的名稱（例如“安全的迅雷圖標”等）。這樣，在桌面上就會出現無法刪除的快捷圖標了。

識破危險的“文本”圖標

在網上沖浪時，最擔心的就是誤入黑客精心布設的惡意網站。對于這些惡意網站，我們警惕性一般比較高，總是想方設法避開陷阱。但是，如果某天在您的桌面上出現了某個文本文件圖標，名稱看起來也沒有問題（例如“聯系信息”等），估計您會放心地雙擊打開，但是，接下來很可能會自動進入一個惡意網站，讓人在毫不知情中中招。

其實，這種看似正常的文本圖標絕非善類，而是黑客精心設置的虛假文件。即使您打開文件夾選項窗口，在其中的“查看”面板中取消“隱藏已知文件類型的擴展名”項的選擇狀態，都無法看到其真實身份。而且，在該假冒的文本文件右鍵菜單上點擊“打開方式”項，卻無法使用記事本打開。使用WinHEX這款強悍的編輯工具打開這個所謂的文本文件，在右側的ASCII區域可以清晰地看到該文件的真實內容，里面的網址明顯是掛馬網址（如圖4）。在WinHEX的文件名稱標簽上顯示其完整名稱，其后綴卻是“.url”，這類文件是不會顯示擴展名的。

在WinHEX中點擊菜單“文件”→“另存為”項，將文件名稱修改為“真實內容.txt”。這樣，就可以直接使用記事本了解其真實內容，其中包含了一些代碼，經過分析，前四行中的“BASEURL”和“URL”欄定義的目標惡意網址，當用戶雙擊該文件后，就直接進入了該頁面，毫無疑問，其中包含了木馬等惡意程序。第五句中的“Modified”字樣可能是修改屬性的意思，用來修改上述內容的屬性信息。第六行和第七行是使用系統路徑中的“shell32.dll”中包含的圖標信息，來偽裝該文件圖標，其中第70號圖標對應的就是TXT圖標。

所以，一旦發現看起來很像TXT、Word等類型的文件，而且使用正常方法無法顯示其擴展名，同時其名稱頗具迷惑性，最好使用記事本或者WinHEX等工具將其手工打開，來充分了解其內容。其實，要想查看這類特殊的文件類型，還有一種簡單易行的方法，只需在CMD窗口中切換到目標路徑下（例如“C：＼Users＼用戶名＼Desktop”），執行“dir /a”命令，就可以讓其擴展名顯露無遺（如圖5）。