關閉網絡病毒“保護傘”

引言：在病毒木馬層出不窮的今天，每臺上網的計算機系統，幾乎免不了要與病毒、木馬不期而遇。為了躲避各式安全工具的查殺，這些病毒、木馬常常會煞費苦心，在Windows系統中尋找各自的“保護傘”，希望在它們的庇護下，能安全地隨系統啟動而自動發作運行。為此，我們有必要著眼Windows系統自身，通過正確的設置，關閉網絡病毒“保護傘”，讓它們無處藏身，確保系統遠離非法攻擊！

關閉特定目錄“保護傘”

Windows系統中有一些特殊目錄，能對保存在其中的內容提供安全保護，任何程序或用戶都無權將其刪除。如果病毒程序選擇這類特殊目錄作為“保護傘”時，安全工具即使掃描到了它們，也無法將它們從系統中直接刪除掉，日后等待機會，它們將會“卷土重來”。為此，我們可以進行下面的操作，關閉特定目錄“保護傘”，讓病毒、木馬程序無法藏身其中：

首先，清除特定目錄下的已有病毒文件。病毒、木馬特別喜歡選擇“system32”、“drivers”之類的系統目錄作為自己的“保護傘”，也喜歡選擇一些自啟動應用程序的安裝目錄作為“保護傘”，這些特殊目錄默認會處于隱藏狀態。在清除這些目錄下的陌生文件時，先要用鼠標雙擊系統桌面上的“我的電腦”或“計算機”圖標，從其后彈出的窗口中，逐一點選菜單欄中的“工具”、“文件夾選項”命令，展開文件夾選項設置對話框，點選“查看”選項卡，彈出如圖1所示的選項設置頁面。勾選“顯示所有文件和文件夾”選項，取消勾選“隱藏受系統保護的操作系統文件”，確認后保存設置操作。這時，打開系統資源管理器窗口，進入特定目錄窗口，從中找到網絡病毒文件，直接采用手工方法進行刪除。如果看到目標病毒文件無法采用手工方法刪除時，不妨嘗試通過瑞星卡卡之類的專業工具直接進行文件粉碎操作。

其次，對特殊目錄進行授權保護。為了不讓病毒、木馬下次再將特殊目錄作為“保護傘”，需要修改它們的訪問權限，禁止病毒木馬將惡意文件保存其中。例如，在對“system32”目錄進行授權保護時，先找到并選中該特殊目錄，同時右擊該目錄圖標，單擊快捷菜單中的“屬性”命令，切換到特定目錄屬性對話框，選擇“安全”選項卡，在其后選項設置頁面中按下“高級”按鈕，展開特定目錄高級對話框。下面選擇“權限”選項卡，選中并加入“everyone”賬號，再按下“編輯”按鈕，彈出如圖2所示的設置對話框，在這里僅將“讀取”權限授予合法可信用戶賬號，確認后退出設置對話框。這樣，任何病毒程序都將不能將“system32”這個特殊目錄作為自己的“保護傘”了。

圖1 選項設置頁面

圖2 設置對話框

圖3 設置對話框

關閉回收站“保護傘”

眾所周知，系統回收站中的數據文件經常會受到Windows的自動保護，而一些狡猾的病毒、木馬程序自然也深諳此道，它們也愿意將系統回收站作為自己的“保護傘”，讓安全工具根本對它們無可奈何。實際上，大家可以調整系統回收站的屬性，讓系統被刪除的文件不保存到回收站中，而是直接被徹底刪除，這樣網絡病毒就沒有了“保護傘”，下面就是詳細的操作步驟：

首先找到系統桌面上的系統回收站圖標，打開它的右鍵菜單，點選“屬性”命令，彈出系統回收站屬性設置對話框。點選“全局”選項卡，展開如圖3所示的選項設置頁面。接著看看“刪除時不將文件移入回收站，而是徹底刪除”選項有沒有被勾選，如果看到其沒有被勾選時，應該立即將它重新勾選起來，確認后保存設置操作即可。當然，系統回收站中如果已經保存有垃圾文件時，必須先要對其執行垃圾清空操作，確保病毒、木馬程序無法利用垃圾文件，作為自己的安全“保護傘”。

關閉注冊表“保護傘”

注冊表對于系統的影響是相當大的，一些病毒、木馬程序在發作運行時，喜歡將系統的注冊表作為“保護傘”，以便實現跟隨系統一起啟動運行目的。為了不讓系統注冊表成為病毒、木馬的“保護傘”，我們可以嚴格控制注冊表啟動項的訪問權限，拒絕病毒、木馬隨意將惡意程序隱藏到注冊表啟動分支下。

例如，系統注冊表中的HKEY_CURRENT_USERSoft wareMicrosoftWindowsCurrentVersionRun、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、HKEY_CURRENT_USERSoft wareMicrosoftWindows NTCurrentVersionWindows、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce等分支下，就包含一些自啟動程序的配置信息，病毒木馬常常會將自身隱藏在這些分支下。

圖4 注冊表分支

為了關閉注冊表“保護傘”，我們可以依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“regedit”命令并回車，開啟系統注冊表編輯器運行狀態。將鼠標定位到特定注冊表分支下（如圖4所示），逐一單擊“編輯”、“權限”命令，展開特定分支選項的權限編輯對話框，在“組或用戶名稱”設置項處選中“everyone”賬號，授予該賬號正常的“讀取”權限，將其他權限修改為“拒絕”，之后逐一將其他不可信用戶賬號刪除掉，確認后退出權限對話框。這樣，病毒木馬程序就無法對特定注冊表分支進行隨意修改，那么注冊表也就不能作為它們的安全“保護傘”了。

當然，系統注冊表中還有許多分支會被病毒、木馬程序當作“保護傘”，例如注冊表分支HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain、HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN等被病毒非法修改時，IE瀏覽器的默認主頁面中就可能潛藏有病毒、木馬程序。這時，打開系統注冊表編輯窗口，找到目標注冊表分支選項，再依次單擊“編輯”、“權限”選項，切換到目標分支的權限設置對話框。在“組或用戶名稱”位置處，將“everyone”的“讀取”權限調整為“允許”，將其他權限調整為“拒絕”，同時將其他一些不信任的用戶賬號逐一刪除掉即可。

此外，病毒、木馬程序也有可能將惡意文件悄悄隱藏到IE瀏覽器的缺省搜索頁面中，因為，我們還需要進行相同的操作，在系統注冊表的HKEY_CURRENT_USERSoft wareMicrosoftInternet ExplorerUrlSearchHooks、HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerUrlSearchHooks等分支上，控制“everyone”賬號的訪問權限，讓其只可以進行讀取操作，而不能擁有更多的操作權限。

關閉系統還原“保護傘”

為了讓遭受意外的Windows系統快速恢復到正常工作狀態，Windows XP以上版本的操作系統都自帶有系統還原功能，與該功能對應的Restore系統文件夾當然也會受到Windows的自動保護，在缺省狀態下，任何應用程序甚至任何個人都無法隨意刪除該文件夾中的數據文件，這自然也包括安全軟件了。因此，要是病毒、木馬程序選擇Restore系統文件夾作為安全“保護傘”時，安全軟件對待這些病毒、木馬程序也是望洋興嘆的。為了關閉系統還原“保護傘”，我們可以進行如下設置操作，禁止病毒、木馬程序將惡意文件隱藏到Restore系統文件夾中：

圖5 選項設置對話框

首先找到系統桌面上的“我的電腦”或“計算機”圖標，鼠標右鍵單擊該圖標選項，點選右鍵菜單中的“屬性”命令，彈出系統屬性設置對話框。點擊“系統還原”選項卡，切換到如圖5所示的選項設置頁面，看看這里的“在所有驅動器上關閉系統還原”選項是否已經被勾選起來，要是看到該選項還沒有被勾選時，只要立即將它重新選中，確認后保存好上述設置操作。這樣，病毒、木馬程序就無法悄悄隱藏到系統還原文件夾中了，系統還原功能自然就不會成為它們的安全“保護傘”。

關閉臨時目錄“保護傘”

在通過Windows系統內置的IE瀏覽器上網沖浪時，Windows系統會自動生成不少臨時數據，這些臨時數據集中存儲到一個臨時目錄中，而安全工具對隱藏在臨時目錄中的病毒、木馬文件常常是無能為力。為了關閉臨時目錄“保護傘”，讓病毒、木馬程序不能隱藏到系統的臨時目錄中，我們必須在使用安全工具查殺病毒木馬之前，及時清除干凈IE臨時文件，下面就是詳細的操作步驟：

首先開啟IE瀏覽器窗口，逐一點選該界面菜單欄中 的“工 具”、“Internet選項”命令，展開Internet選項設置對話框，點選“常規”選項卡，同時在對應選項設置頁面中逐一按下“刪除Cookie”、“刪除文件”按鈕，將上網訪問過程中生成的所有Internet臨時文件全部清除干凈。

之后在同樣的選項設置頁面中，按下“歷史記錄”位置處的“清除歷史記錄”按鈕，將存儲在臨時目錄中的歷史記錄文件也清除干凈，確認后退出設置對話框。這么一來，病毒、木馬程序日后就不會將臨時目錄作為安全“保護傘”了。

為了防止病毒日后再次非法利用IE瀏覽器的臨時目錄，大家還要打開系統組策略編輯對話框，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”、“其他規則”節點上，選中“其他規則”選項，打開它的右鍵菜單，單擊“新路徑規則”命令，在“路徑”設置項處，輸入IE瀏覽器臨時目錄路徑，或者按下“瀏覽”按鈕，將臨時目錄導入進來。再在“安全級別”設置項處單擊下拉按鈕，從下拉列表中點選“不允許”選項，確認后保存設置操作。這樣，病毒、木馬程序日后就無法將惡意文件偷偷保存到IE瀏覽器的臨時目錄中了。

關閉組策略“保護傘”

也有一些病毒、木馬程序喜歡選擇系統組策略，作為安全“保護傘”，它們往往會將惡意文件偷偷隱藏到系統組策略中，讓安全工具不能發現它們的“影子”。為了關閉組策略“保護傘”，我們可以進行下面的操作步驟：

首先逐一點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，展開組策略編輯對話框，在該對話框的左側顯示區域，將鼠標定位到“本地用戶和組”、“用戶配置”、“管理模板”、“系統”、“登錄”分支上。在指定分支的右側顯示區域中，用鼠標右鍵單擊“在用戶登錄時運行這些程序”選項，打開選項設置框，取消“已啟用”選項的選中狀態，確認后保存設置操作。這樣，病毒木馬日后無法將自身隱藏到系統組策略的登錄分支下。