未知病毒防護見高招

■

著眼文件防護

有些未知病毒常常將自身文件偷偷植入到被攻擊計算機系統中，然后想方設法地運行，要是我們能提前知曉這些病毒的文件名稱規律，不妨通過Windows系統的軟件限制策略功能，來阻斷符合特定規律的病毒文件運行，就能達到防護未知病毒攻擊目的。

在通過計算機系統的軟件限制策略防護未知病毒攻擊時，可以逐一點擊“開始”、“設置”、“控制面板”命令，展開系統控制面板窗口，逐一雙擊“管理工具”、“本地安全策略”圖標，彈出本地安全策略管理窗口，在該管理窗口的左側顯示窗格中，找到“軟件限制策略”分支，在指定分支下我們可以按需定義哪些程序或可執行文件是不允許Windows系統自動運行的，此外，還可以利用新散列規則和新路徑規則對特殊類型的文件進行管理和約束。

圖1 設置安全級別參數

例如，要想限制符合“iexp*.exe”文件名稱特征的未知病毒程序自動運行時，不妨從“軟件限制策略”分支下面新建路徑規則，切換到新建路徑對話框中，將路徑指定為“iexp*.exe”，將安全級別參數設置為“不允許”（如圖1所示），確認后退出設置對話框。這個時候，所有符合“iexp*.exe”文件名稱特征的程序都將不能正常運行，包括正常的IE瀏覽器程序，當我們嘗試運行該程序時，系統會彈出禁止運行的提示，這說明之前設置的路徑規則已經生效，因為IE瀏覽器的應用程序名稱為“iexplorer.exe”，所以該程序會被強行禁止運行。

為了能讓上述設置操作只限制未知病毒運行，而讓IE瀏覽器程序不受影響，我們還需要定義散列規則，讓正常的應用程序排除在外。在進行這種定義操作時，先從“軟件限制策略”分支下面新建散列規則，在其后彈出的規則對話框中，按下“瀏覽”按鈕進入文件選擇對話框，從中將“iexplorer.exe”導入進來，并且將安全級別參數設置為“不受限制”，單擊“確定”按鈕保存設置操作即可。這樣，就能實現禁止所有符合“iexp*.exe”文件名稱特征的未知病毒程序自動運行的目的了，而IE瀏覽器程序運行不會受到任何影響。同樣地，通過上述設置方式，我們可以對其他符合條件的未知病毒文件進行阻斷運行，確保病毒、木馬不能自動運行。

著眼進程防護

眾所周知，一些未知病毒木馬程序，在發作運行的時候，常常會偷偷調用系統相關進程，如果我們主動對系統進程運行狀態加強監控，并以此來判斷未知程序的運行行為是否正常，這樣也能達到防護未知病毒攻擊的目的。這里，我們使用“PS進程盾”這款外力工具，著眼系統進程來防護未知病毒木馬的攻擊。

從網上獲得“PS進程盾”的安裝程序包后，將其釋放到臨時目錄中，雙擊其中的可執行文件，該工具不需要經過安裝操作就能直接啟動運行，運行時它會自動退回到系統后臺，我們只能從系統托盤區域處看到它的“身影”。在缺省狀態下，“PS進程盾”會自動啟用一些功能選項，例如，啟用“信任所有微軟已簽名程序”功能，可以讓Windows系統自動放行那些事先通過微軟公司MD5驗證的程序文件，啟用“開啟進程保護”功能，可以讓Windows系統進程不被病毒木馬強行關閉。為了讓“PS進程盾”程序更高效地防護未知病毒攻擊，建議大家進入該程序的配置對話框，同時選中“隨系統啟動”、“運行后自動隱藏”等選項，確保該程序能跟隨Windows系統開機自動工作。

圖2“PS進程盾”主操作界面

日后，當用戶嘗試在本地系統運行某些未知程序時，“PS進程盾”將會智能判斷程序的運行行為是否安全。如果未知程序沒有調用Windows系統中的其他進程，那么目標工具將會認為未知程序不是病毒木馬，同時允許其正常運行，而且在系統任務欄右下方出現安全提示。如果未知程序在運行過程中，調用了系統中的其他進程，那么目標工具會自動彈出相關提示，征詢用戶對未知程序的處理意見。在這里，我們必須認真分析“試圖運行”位置處的內容，利用這個位置處的圖標信息和進程名稱，基本就能識別出未知程序是否為自己需要的應用程序了。

一旦認定未知程序是合法的程序時，那就直接按下“允許”按鈕，讓其正常啟動運行。如果該合法程序日后需要頻繁運行時，為了不讓“PS進程盾”反復出現安全提示從而干擾我們的工作效率，可以選中“創建路徑規則”選項，再按下“允許”按鈕，確保目標工具不再攔截合法程序。如果我們認定未知程序就是病毒木馬時，不妨按下“阻止”按鈕來阻止它的運行，再利用“試圖運行”位置處提供的路徑內容，深入對應路徑刪除病毒木馬的源頭文件。

如果希望“PS進程盾”處理未知程序更智能一些，我們也可以提前創建一些識別規律，來避免安全提示窗口的反復出現干擾我們的高效工作。在創建識別規律時，先進入“PS進程盾”主操作界面（如圖2所示），單擊“查看規則”按鈕，在其后界面中就能按需創建各種識別規則，創建方法包含“白名單”和“路徑規則”兩種形式，要是想創建路徑規則時，只要點擊“新建”按鈕，展開新建規則對話框，單擊“瀏覽”按鈕，從文件或文件夾選擇對話框中按需導入允許運行的程序內容，再按“確定”按鈕結束規則創建操作。

此外，使用這種方法還能拒絕特定應用程序的運行，只是需要在彈出的設置框中選擇“阻止運行”選項才行。要是我們想創建白名單規則的話，可以在新規則創建對話框中，先選擇“白名單”選項，該選項表示允許調用Windows系統所有進程的應用程序，通常指的就是一些“父程序”。例如，當嘗試將系統資源管理器的可執行 文 件“explorer.exe”導入到白名單列表時，我們日后用鼠標雙擊系統資源管理器窗口中的任何程序或軟件時，“PS進程盾”都不會對其進行攔截，之后按下“新建”按鈕，在其后界面中點擊“瀏覽”按鈕，選中“explorer.exe”文件并進行確認操作后，就能將目標程序添加到白名單中了。值得注意的是，“PS進程盾”以不同形式創建識別規律時，優先級別最高的是“路徑規則”形式，其次是“白名單”形式，最后是“微軟驗證”形式，要是一個未知程序同時符合幾種形式，那么“PS進程盾”將只考慮是否符合路徑規則形式，因此，一般來說我們只要使用路徑規則來判斷未知程序即可。

圖3 進程選項設置頁面

圖4 屬性對話框

著眼任務器防護

如今的網絡病毒泛濫成災，在沒有安裝殺毒軟件的情況下，如何使用Windows系統自帶的任務管理器功能，對付讓計算機無法正常運行的未知病毒程序呢？

很簡單！首先使用“Ctrl+Alt+Del”復合鍵調出系統任務管理器窗口，點擊“進程”標簽，進入如圖3所示的進程選項設置頁面，依次選擇菜單“查看”、“選擇列”命令，在其后出現的設置框中，勾選PID和映象路徑選項，日后一旦看到有未知程序的進程CPU占用率奇高時，那么它就是病毒，只要結束它的進程，就能阻止未知病毒程序的繼續發作運行了。

如果不能成功結束惡意進程，必須想辦法將病毒原始文件刪除干凈。首先在任務管理器窗口中，獲取未知病毒進程的執行路徑，找到未知病毒程序的可執行文件，進入對應路徑窗口手動刪除它。要是連文件也刪除不了，可以嘗試在系統任務管理器窗口中結束所有自己不熟悉的進程，再逐一單擊“開始”、“程序”、“附件”、“命令提示符”選項，切換到DOS命令行窗口，在其中執行“ntsd-cq-PID”命令即可，其中PID為未知病毒進程的標志符。

著眼快捷方式

眾所周知，快捷方式一半都是要指向特定數據文件、某個網站地址或應用程序的，而一些未知病毒程序為了達到遮人耳目的目的，常常會借助快捷圖標的快速訪問特性，將用戶頻繁訪問的目標偷偷替換為病毒。可是，從表面角度來看，普通用戶根本不會看出其中的貓膩。

實際上，用戶可以嘗試認真檢查常用快捷圖標所指向的網站地址或應用程序，來識別它們是否為網絡病毒或木馬程序，要是它們指向未知的應用程序或網絡站點，那基本就能判斷出該快捷圖標為未知病毒程序的快捷方式。在進行這種識別檢查操作時，可以用鼠標右鍵單擊特定快捷圖標，從彈出的右鍵菜單中選擇“屬性”命令，切換到如圖4所示的屬性對話框，在“目標”位置處就能直觀看出當前快捷圖標究竟指向哪里了。要是確認其為網絡病毒或木馬程序的快捷方式時，必須立即打開該快捷圖標的右鍵菜單，選擇“刪除”選項，將其從Windows系統中刪除出去。

如果認為手工搜索未知程序快捷圖標比較麻煩時，也可以通過360安全衛士等外力工具，對本地計算機系統進行全面、徹底地掃描，這樣就可以快速高效地將存在問題的未知快捷方式掃描出來，同時可以自動刪除它們，避免它們威脅本地系統安全。