多角度實現病毒立體防護

從寫入角度著手

只有想辦法將病毒文件寫入藏匿到計算機的各個位置處，日后才有機會發作運行。如果我們提前預防，禁止網絡病毒的寫入操作，那么病毒木馬連攻擊我們的機會都沒有。

圖1 鼠標定位分支

首先，要禁止寫入到系統注冊表關鍵分支下。為了達到自啟動目的，病毒木馬很喜歡將自己寫入到系統注冊表的啟動項中，所以我們只能對這些注冊表中的啟動分支授予只讀權限，而不能授予修改權限，避免被網絡病毒偷偷利用。正常情況下，網絡病毒最喜歡藏身的地方，就是注冊表中的Run、Winlogon、load、RunOnce、RunServices、RunServicesOnce、RunOnceEx等分支，取消這些分支項目的寫入權限，就能攔截病毒的寫入操作，防止病毒通過它們自動運行。

以Run分支為例，要限制普通用戶向該分支下寫入內容時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“regedit”命令，開啟系統注冊表編輯器運行狀態。在該窗口的左側列表中，將鼠標定位到如圖1所 示 的“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”分支下，位于該分支下的所有程序或命令都能在系統開機啟動的時候自動運行。用鼠標右鍵單擊目標分支選項，打開它的右鍵菜單，點擊“權限”命令，展開對應分支項目的權限編輯對話框，在“組或用戶名稱”列表中，刪除所有陌生用戶賬號。之后按下“添加”按鈕，導入everyone賬號，同時將該賬號的讀取權限設置為“允許”，其他權限設置為“拒絕”，確認后保存設置即可。

當然，Run分支也會出現 在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”等位置處，我們還需要對這些路徑下的Run分支權限進行嚴格限制，謹防網絡病毒趁虛而入。

其次要禁止寫入到系統分區下。一些自我復制能力極強的病毒，往往無法一次性被清除干凈，只有在重啟系統后，才能被徹底刪除掉。不過，在重啟系統的時候，殘留病毒文件又會將自身復制寫入到系統分區中。為了對付這類頑固病毒，我們可以通過Windows系統的“磁盤配額”程序，不讓病毒將自身寫入到系統分區中。

打開“計算機”或“我的電腦”窗口，找到系統分區圖標，從該分區右鍵菜單中選擇“屬性”命令，在系統分區的“配額”屬性頁面中，逐一選中“啟用配額管理”、“拒絕將磁盤空間給超過配額限制的用戶”等選項，開啟Windows系統內置的磁盤配額管理功能（如圖2所示）。之后將“磁盤空間限制”選中，同時將允許使用的磁盤空間大小限制為“1KB”，確認后保存設置操作。這樣，頑固的網絡病毒日后在重啟過程中，嘗試將自身復制到系統分區時，會遭到“磁盤配額”功能的限制。

圖2 磁盤配額管理功能

圖3 手工創建路徑規則

值得注意的是，在徹底清除頑固病毒后，必須及時停用磁盤配額功能，以保證計算機運行工作。

第三，要禁止寫入到系統組策略中。為了避免殺毒軟件“圍剿”，一些病毒木馬可能會將啟動程序偷偷寫入到系統組策略有關分支下，以實現登錄啟動目的。對此，我們可以依次單擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，逐一展開系統組策略編輯窗口中的“本地計算機策略”、“用戶配置”、“管理模板”、“系統”、“登錄”分支，用鼠標雙擊“在用戶登錄時運行這些程序”選項，選中“已禁用”選項，單擊“確定”按鈕保存設置操作。這樣，病毒木馬就無法將啟動程序寫到組策略設置中了。

從運行角度著手

不管是哪種類型的病毒，它必須要擁有運行權限，才能發揮它的攻擊破壞作用。如果我們能夠想辦法限制其運行，那么再“兇猛”的病毒也會變成溫順的“羔羊”。在知道病毒文件名稱的情況下，我們可以通過系統軟件限制策略，來限制特定病毒的發作運行。

例如，要禁止“spoo1sv.exe”病毒運行發作時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”節點上，用鼠標右擊該節點選項，單擊右鍵菜單中的“新建軟件限制策略”命令，選中“其他規則”，打開它的右鍵菜單，點選“新路徑規則”命令，進入如圖3所示的設置對話框，在這里手工創建一個新的路徑規則。將“spoo*.exe”關鍵字填寫在“路徑”文本框中，在“安全級別”位置處選中“不允許”，確認后保存設置操作。

在定義好上述規則后，發現打印機無法工作，這是因為我們拒絕了以“spoo”字符開頭的可執行程序的運行，而打印機后臺程序名為“spoolsv.exe”，所以該規則生效，打印機程序不能執行。

圖4 打開“關閉自動播放”設置框

圖5 組策略屬性對話框

為了不影響正常打印，我們還必須新建散列規則，讓正常的打印機后臺程序排除在外。在進行這種操作時，先從“其他規則”子項下面新建散列規則，切換到散列規則創建對話框，按“瀏覽”按鈕選中并導入“spoolsv.exe”，并在“安全級別”位置處選中“不受限制”選項，確認后退出設置對話框。這樣，就能達到既限制“spoo1sv.exe”病毒運行，又不影響打印機工作的目的了。同樣地，我們可以對其他病毒程序進行限制運行。

從傳播角度著手

當不慎感染上病毒后，切斷其傳播通道，防止其大面積傳播、蔓延，是相當有必要的。例如，在防止常見的優盤病毒傳播擴散時，可以采取如下安全措施進行預防。

1.停止自動播放功能

逐一點選“開始”、“運行”選項，展開系統運行對話框，在其中執行“gpedit.msc”命令，彈出系統組策略編輯窗口。依次展開“本地計算機策”、“計算機配置”、“管理模板”、“系統”分支，雙擊該分支下的“關閉自動播放”組策略，打開對應組策略屬性對話框。選中“已啟用”選項，再從關閉自動播放列表中，選擇優盤分區，確認后保存設置操作。

當然，在Vista以后版本系統中，我們必須將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“自動播放策略”節點下，打開該節點下的“關閉自動播放”組策略選項設置框（如圖4所示），選中“已啟用”選項并保存設置即可。

2.使用同名文件阻斷

優盤病毒程序大多都是通過“autorun.inf”文件，來達到傳播、擴散病毒的。如果我們在優盤根目錄下面，事先生成一個空白的、名稱也為“autorun.inf”的文件時，那么依照Windows系統中相同目錄下文件名稱不能重復的規定，“autorun”類型的優盤病毒程序，自然就不能通過優盤中的“autorun.inf”文件，來進行惡意傳播、擴散。

3.拒絕優盤寫入權限

對于已感染了優盤病毒的計算機系統來說，只要優盤插入其中，病毒文件可能就會強行寫入到優盤中。

基于這一點，我們有必要關閉優盤的寫入權限，禁止病毒輕易通過優盤擴散。

依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，打開系統組策略編輯界面，逐一展開“本地計算機策略”、“計算機配置”、“管理模板”、“系統”、“可移動存儲訪問”節點。雙擊該節點下的“可移動磁盤:拒絕寫入權限”組策略，進入如圖5所示的組策略屬性對話框，選中“已啟用”選項，確認后返回即可。

不過，直接切斷優盤寫入保存通道，將會影響合法用戶的正常工作。

為了既能預防病毒傳播擴散，又能保證合法用戶正常使用優盤，可以為優盤設置一個寫保護開關。在進行設置時，先手工創建一個批處理文件，假設該批處理文件名稱為“aaa.bat”，在該文件中輸入如下代碼:

其中，上面的一段代碼表示讓系統正常顯示優盤，下面的一段代碼表示讓用戶只能讀取優盤內容。用鼠標雙擊該批處理文件，優盤寫入權限就會被禁止，那么病毒就不能通過優盤蔓延、擴散，這就相當于為優盤設置了寫保護啟用開關。同樣地，再生成一個“bbb.bat”批處理文件，為優盤設置一個寫保護取消開關，在該批處理文件中必須要包含下面的代碼內容:

圖6 選項設置對話框

4.防止使用隱藏共享

有的病毒會通過隱藏磁盤共享，在局域網中恣意擴散、傳播。

為了阻斷這條傳播通道，建議大家關閉所有磁盤分區隱藏共享。

要做到這一點，可以先啟動運行記事本程序，并將下面的命令代碼正確輸入到文本編輯界面中，同時將代碼內容保存為“111.bat”批處理文件:

然后打開系統運行對話框，在其中執行“gpedit.msc”命令，彈出系統組策略編輯窗口。在該窗口左側列表中，依次展開“本地計算機策略”、“用戶配置”、“Windows設置”、“腳本（登錄/注銷）”節點，雙擊該節點下的“登錄”選項，打開如圖6所示的選項設置對話框，單擊“添加”按鈕，導入之前生成的“111.bat”批處理文件，確認后返回。

這樣，日后每次開機啟動計算機系統時，“111.bat”批處理文件都會被自動執行，那么計算機中的所有隱藏共享也就會被自動關閉了。

從加載角度著手

Internet網絡上的病毒層出不窮，有不少是通過IE瀏覽器實現加載運行的。為了讓本地系統遠離病毒攻擊，我們必須采取措施切斷網絡病毒的加載通道，避免其通過IE瀏覽器進行惡意破壞。

1.定期更新補丁

IE瀏覽器的安全漏洞特別多，而多數病毒都是通過漏洞來感染操作系統和應用程序的。

所以一個最新并擁有完整補丁的計算機系統，可以極大地降低病毒感染的可能性。

在為IE瀏覽器更新漏洞補丁程序時，只要逐一單擊“開始”、“設置”、“控制面板”選項，用鼠標雙擊系統控制面板中的“Windows Update”圖標，切換到系統更新管理界面，按下“檢查更新”按鈕，隨后系統會自動提示是否有補丁程序可以更新，再按“安裝更新”按鈕即可。

圖7 權限編輯對話框

圖8 安全設置列表

2.拒絕BHO與IE關聯

很多病毒往往通過瀏覽器BHO對象與IE瀏覽器建立關聯，我們可以進行如下操作，切斷它們之間的關聯。先進入系統注冊表編輯窗口，將鼠標定位到該窗口左側的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects”節點上，打開目標節點選項的右鍵菜單，點擊“權限”命令，展開權限編輯對話框（如圖7所示），按下“高級”按鈕，在高級對話框的“權限”頁面中按“添加”按鈕，選中并導入當前登錄賬號，再為該賬號分配“查詢數值”、“讀取控制”等權限，確認后退出設置對話框。

按照相同的操作方法，再對 System、Local Service、Network Service等對象的訪問權限進行合適設置，防止病毒通過各種對象方式潛藏到系統注冊表中。

3.限制使用腳本

病毒木馬程序的發作運行，一般要借助IE瀏覽器腳本解釋功能才行，如果禁止使用IE瀏覽器的腳本功能，那么網絡病毒將會失去威脅。要做到這一點，先打開IE瀏覽器窗口，逐一點 擊“工 具”、“Internet選項”命令，進入Internet選項對話框，單擊“安全”選項卡，切換到安全選項設置頁面，按下“自定義級別”按鈕，展開如圖8所示的安全設置列表，將其中的“活動腳本”、“Java小程序腳本”、“運行ActiveX控件和插件”等全部選擇為“禁用”，最后點擊“確定”按鈕退出設置對話框。