多方支援 困住安全威脅

引言： 經(jīng)常上網(wǎng)訪問(wèn)的計(jì)算機(jī)系統(tǒng)，怎會(huì)不遭遇病毒木馬的攻擊呢！？為了避免這樣的攻擊，很多用戶不得不“請(qǐng)”來(lái)殺毒軟件幫忙，以期其能阻止運(yùn)行某些感染病毒的程序或訪問(wèn)暗藏威脅的網(wǎng)頁(yè)。但在實(shí)際工作的時(shí)候，用戶有時(shí)需要“明知山有虎，偏向虎山行”。

俗話說(shuō)“常在網(wǎng)上漂，哪有不中招”，經(jīng)常上網(wǎng)訪問(wèn)的計(jì)算機(jī)系統(tǒng)，怎會(huì)不遭遇病毒木馬的攻擊呢！？為了避免這樣的攻擊，很多用戶不得不“請(qǐng)”來(lái)殺毒軟件幫忙，以期其能阻止運(yùn)行某些感染病毒的程序或訪問(wèn)暗藏威脅的網(wǎng)頁(yè)。但在實(shí)際工作的時(shí)候，用戶有時(shí)需要“明知山有虎，偏向虎山行”，例如明明知道一些網(wǎng)站安全性不好，不過(guò)由于特殊原因必須要訪問(wèn)它，或者明知某些內(nèi)網(wǎng)程序可能有危險(xiǎn)，但工作起來(lái)離不開(kāi)它。這時(shí)候，殺毒軟件將無(wú)法發(fā)力，我們能做只有想方設(shè)法，困住各種安全威脅，讓威脅程度降到最低。

圖1 磁盤(pán)配額選項(xiàng)設(shè)置頁(yè)面

不讓寫(xiě)入內(nèi)容

很多用戶都有這樣的體會(huì)，殺毒軟件掃描特定程序時(shí)，沒(méi)有發(fā)現(xiàn)任何異常，但用戶在啟動(dòng)運(yùn)行它時(shí)，卻看到它暗中綁定了非法插件程序，該程序在啟動(dòng)過(guò)程中擅自向系統(tǒng)分區(qū)植入大量無(wú)關(guān)的垃圾，嚴(yán)重影響了系統(tǒng)的啟動(dòng)運(yùn)行效率。如果希望能夠正常啟動(dòng)該程序，又不讓其向系統(tǒng)瘋狂植入垃圾文件時(shí)，可以利用Windows系統(tǒng)自帶的磁盤(pán)配額管理功能，來(lái)禁止惡意插件向系統(tǒng)分區(qū)寫(xiě)入內(nèi)容，畢竟再厲害的病毒木馬程序，一旦不允許其執(zhí)行寫(xiě)入操作，那么它的安全威脅將無(wú)法發(fā)作。

以Window XP系統(tǒng)為例，在拒絕惡意程序?qū)懭雰?nèi)容時(shí)，首先以超級(jí)用戶權(quán)限登錄系統(tǒng)，進(jìn)入“我的電腦”窗口，選中系統(tǒng)分區(qū)盤(pán)符，并用鼠標(biāo)右鍵單擊之，點(diǎn)擊快捷菜單中的“屬性”命令，展開(kāi)系統(tǒng)分區(qū)屬性對(duì)話框，選擇“配額”選項(xiàng)卡，彈出磁盤(pán)配額選項(xiàng)設(shè)置頁(yè)面，如圖1所示。

將這里的“啟用配額管理”、“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶”等選項(xiàng)選中，之后在“磁盤(pán)空間控制限為”位置處輸入適當(dāng)數(shù)值，正常來(lái)說(shuō)應(yīng)該將該數(shù)值輸入為1KB大小，同時(shí)將警告等級(jí)也輸入為1KB大小。如此一來(lái)該系統(tǒng)中的用戶日后只能獲得1KB大小的磁盤(pán)使用空間，如果病毒嘗試在系統(tǒng)分區(qū)中植入了一個(gè)超過(guò)1KB大小的文件時(shí)，Windows系統(tǒng)將會(huì)自動(dòng)彈出文件寫(xiě)入失敗的報(bào)警提示，所以就能困住惡意插件程序威脅系統(tǒng)安全了。只是這種方法只能用于救急場(chǎng)合，畢竟啟用了Windows系統(tǒng)的磁盤(pán)配額管理功能后，不管日后進(jìn)行程序安裝或更新，還是開(kāi)機(jī)運(yùn)行程序，甚至進(jìn)行普通的辦公操作，都會(huì)遇到不正常現(xiàn)象，因此在成功啟動(dòng)好可能存在安全威脅的應(yīng)用程序后，必須記得及時(shí)關(guān)閉該功能，以便讓系統(tǒng)恢復(fù)正常工作狀態(tài)。

圖2 設(shè)置對(duì)話框

此外，要提醒用戶的是，磁盤(pán)配額功能只對(duì)NTFS磁盤(pán)分區(qū)有效，要是特定磁盤(pán)分區(qū)不屬于NTFS格式，不妨先執(zhí)行“convert X: /fs:NTFS”字符串命令，來(lái)將磁盤(pán)分區(qū)格式轉(zhuǎn)換成符合要求的格式。而且，為了確保Windows系統(tǒng)可以始終高效穩(wěn)定地運(yùn)行，大家應(yīng)該盡量少將系統(tǒng)分區(qū)的空間分配給一般權(quán)限的用戶。

不讓加載控件

一些惡意用戶常常將入侵他人網(wǎng)站的首頁(yè)，作為向親朋好友炫耀的本錢，而很多單位對(duì)自己的網(wǎng)站運(yùn)行安全性也視而不見(jiàn)，所以單位員工有時(shí)會(huì)看到瀏覽自己?jiǎn)挝痪W(wǎng)站主頁(yè)時(shí)，系統(tǒng)防火墻會(huì)出現(xiàn)報(bào)警提示，告訴用戶主頁(yè)中可能存在病毒木馬，同時(shí)拒絕用戶繼續(xù)瀏覽網(wǎng)站主頁(yè)。

碰到這類安全麻煩時(shí)，是干脆關(guān)閉瀏覽窗口了事，還是退出防火墻程序等瀏覽完惡意頁(yè)面再重新查殺惡意程序呢？在非訪問(wèn)不可的情況下，我們還是能夠找到應(yīng)急措施的，因?yàn)樵俳苹牟《灸抉R程序都是利用腳本加載控件的方式，偷偷“溜”進(jìn)上網(wǎng)終端系統(tǒng)中的，現(xiàn)在只要想辦法讓瀏覽器拒絕那些存在安全威脅的頁(yè)面自動(dòng)加載任何控件程序，就能困住惡意程序發(fā)作運(yùn)行了。

不同瀏覽器程序禁止加載控件的設(shè)置操作不一樣，以IE7、IE8等瀏覽器程序?yàn)槔谠O(shè)置禁止加載控件操作時(shí)，先打開(kāi)IE瀏覽器窗口，依次單擊“工具”、“Internet選項(xiàng)”命令，展開(kāi)Internet選項(xiàng)設(shè)置對(duì)話框，點(diǎn)擊“安全”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中，按下“自定義級(jí)別”按鈕，進(jìn)入如圖2所示的設(shè)置對(duì)話框，將“二進(jìn)制和腳本行為”、“對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本”等選項(xiàng)設(shè)置為“禁用”，單擊“確定”按鈕保存設(shè)置操作。

經(jīng)過(guò)上述設(shè)置后，用戶再次訪問(wèn)可能存在病毒木馬的危險(xiǎn)頁(yè)面時(shí)，瀏覽器的地址框處會(huì)出現(xiàn)一個(gè)醒目的禁止提示，那么危險(xiǎn)的ActiveX控件或其他腳本程序?qū)o(wú)法加載運(yùn)行，那么潛藏在網(wǎng)頁(yè)背后的病毒木馬自然就失去破壞性了。要是用戶想放行網(wǎng)頁(yè)中的加載項(xiàng)時(shí)，只要簡(jiǎn)單地點(diǎn)擊提示對(duì)話框中的“關(guān)閉ActiveX篩選”按鈕即可。

如果用戶使用的是Chrome瀏覽器，可以進(jìn)入該瀏覽器的程序設(shè)置對(duì)話框，逐一點(diǎn)選“選項(xiàng)”、“高級(jí)選項(xiàng)”、“內(nèi)容設(shè)置”、“插件”，再將“阻止所有插件”選中，確認(rèn)后退出設(shè)置對(duì)話框即可。

不讓任意修改

在實(shí)際工作中，一些程序十分重要，但不幸被意外感染病毒，想啟動(dòng)運(yùn)行它但被系統(tǒng)提示存在安全威脅，這種現(xiàn)象常常讓用戶啟動(dòng)也不是，不啟動(dòng)也不是。實(shí)際上，這種問(wèn)題很好解決，只要有針對(duì)性地設(shè)置Windows系統(tǒng)的UAC功能，就能強(qiáng)行啟動(dòng)那些感染了病毒木馬的特定程序，它能有效困住病毒木馬的破壞性和攻擊性。

圖3 設(shè)置界面

從Vista版本系統(tǒng)開(kāi)始，UAC功能就被集成在Windows系統(tǒng)中了，該功能可以在危險(xiǎn)操作啟動(dòng)前強(qiáng)化安全驗(yàn)證，攔截惡意程序在沒(méi)有許可的情況下對(duì)操作系統(tǒng)進(jìn)行的改變。在Vista系統(tǒng)環(huán)境下，UAC功能只為用戶提供關(guān)閉、開(kāi)啟兩種功能選項(xiàng)，一旦開(kāi)啟了該功能后，不管是調(diào)整系統(tǒng)設(shè)置，還是安裝應(yīng)用程序，甚至進(jìn)行系統(tǒng)更新操作，Windows系統(tǒng)都會(huì)彈出報(bào)警提示窗口，要求用戶確認(rèn)操作是否安全。而在Win7系統(tǒng)環(huán)境下，UAC功能有了明顯的進(jìn)步，在區(qū)別安全操作、不安全操作方面表現(xiàn)得明顯智能化多了，同時(shí)用戶能根據(jù)實(shí)際的安全需要自由控制UAC安全級(jí)別，力爭(zhēng)操作效率與安全性能兩不誤。為了便于安全設(shè)置操作，Win7系統(tǒng)為用戶提供了UAC功能控制滾動(dòng)條，只要簡(jiǎn)單地拖動(dòng)鼠標(biāo)，就能在操作效率與系統(tǒng)安全之間找到平衡了。

為了困住安全威脅，大家應(yīng)該嘗試將UAC功能級(jí)別設(shè)置為“始終通知”，只要依次單擊Win7系統(tǒng)桌面上的“開(kāi)始”、“控制面板”選項(xiàng)，進(jìn)入系統(tǒng)控制面板窗口，逐一單擊“用戶賬戶和家庭安全”、“用戶賬戶”圖標(biāo)選項(xiàng)，展開(kāi)用戶賬戶控制列表界面，點(diǎn)擊“更改用戶賬戶控制設(shè)置”按鈕，進(jìn)入如圖3所示的設(shè)置界面。看看UAC的滑動(dòng)按鈕有沒(méi)有處于“始終通知”位置處，如果不在該位置時(shí)，應(yīng)該及時(shí)將滑動(dòng)按鈕移到該位置處，確認(rèn)后保存設(shè)置即可。

當(dāng)然，UAC功能的啟用，會(huì)影響合法、可信程序的高效運(yùn)行。為了避免這種現(xiàn)象，我們可以請(qǐng)“Microsoft Application Compatibility Toolkit”工具幫忙，將自己經(jīng)常運(yùn)行的合法程序手工添加到對(duì)應(yīng)工具的白名單中，確認(rèn)它們?cè)谌蘸髥?dòng)運(yùn)行的時(shí)候，不會(huì)受到UAC功能的攔截提示。安裝好“Microsoft Application Compatibility Toolkit”程序后，進(jìn)入對(duì)應(yīng)程序安裝目錄窗口，選中“Compatadmin.exe”文件，以系統(tǒng)管理員權(quán)限運(yùn)行該文件，啟動(dòng)對(duì)應(yīng)程序，逐一選中“Custom DataBases”、“New DataBase”選項(xiàng)，打開(kāi)它的右鍵菜單，依次點(diǎn)選“Great New”、“Application Fix”命令。選中其后界面中的“Application Fix”選項(xiàng)，再根據(jù)提示依次導(dǎo)入合法、可信的程序命令，點(diǎn)擊“Next”按 鈕，切換到“Additional compatibility modes”列表，選中這里的“RunAsInvoke”選項(xiàng)。最后退回到主程序界面，逐一單擊“File”、“save”命令，將其保存為sdb格式的數(shù)據(jù)庫(kù)，再依次選擇“File”、“Install”命令，完成UAC白名單導(dǎo)入任務(wù)。結(jié)束上述設(shè)置操作后，UAC功能在困住惡意威脅的同時(shí)，不會(huì)影響正常程序的啟動(dòng)運(yùn)行。

不讓自動(dòng)播放

圖4 組策略選項(xiàng)設(shè)置框

圖5 權(quán)限編輯對(duì)話框

一些病毒是通過(guò)磁盤(pán)分區(qū)根目錄下的“autorun.inf”文件來(lái)發(fā)作運(yùn)行的，用戶稍微不注意，用鼠標(biāo)雙擊磁盤(pán)分區(qū)圖標(biāo)時(shí)，病毒文件就能通過(guò)磁盤(pán)分區(qū)進(jìn)行傳播，從而產(chǎn)生安全威脅。所以，大家只要關(guān)閉磁盤(pán)分區(qū)自動(dòng)播放功能，就能困住一些病毒、木馬的發(fā)作、運(yùn)行。

以Vista系統(tǒng)為例，要實(shí)現(xiàn)不讓磁盤(pán)分區(qū)自動(dòng)播放功能時(shí)，不妨先使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行文本框，輸入“gpedit.msc”命令并回車，彈出組策略編輯窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows 組件”、“自動(dòng)播放策略”節(jié)點(diǎn)上。

接著用鼠標(biāo)右鍵單擊目標(biāo)節(jié)點(diǎn)下的“關(guān)閉自動(dòng)播放”組策略選項(xiàng)，點(diǎn)選快捷菜單中的“編輯”命令，切換到如圖4所示的組策略選項(xiàng)設(shè)置框，將“已啟用”選項(xiàng)選中，同時(shí)選中“所有驅(qū)動(dòng)器”選項(xiàng)，單擊“確定”按鈕執(zhí)行設(shè)置保存操作。這樣，本地計(jì)算機(jī)系統(tǒng)的磁盤(pán)分區(qū)自動(dòng)播放功能就能被成功關(guān)閉了，一些優(yōu)盤(pán)病毒將被困住，無(wú)法自動(dòng)發(fā)作運(yùn)行。

除了通過(guò)修改組策略方式，來(lái)困住自動(dòng)播放的優(yōu)盤(pán)病毒外，熟悉注冊(cè)表編輯操作的用戶，也能通過(guò)調(diào)整注冊(cè)表相關(guān)鍵值方式，禁止優(yōu)盤(pán)病毒自動(dòng)發(fā)作運(yùn)行。使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行文本框，輸入“gpedit.msc”命令并回車，開(kāi)啟注冊(cè)表編輯器窗口，將鼠標(biāo)定位到注冊(cè)表節(jié)點(diǎn)“HKEY_CURRENT_USE RSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”下，選中指定節(jié)點(diǎn)下的“NoDriveTypeAutoRun”鍵值，并用鼠標(biāo)雙擊之，在其后彈出的編輯鍵值對(duì)話框中，選中“十六進(jìn)制”選項(xiàng)，輸入數(shù)值“4”，單擊“確定”按鈕后刷新系統(tǒng)注冊(cè)表即可。

不讓劫持服務(wù)

有些病毒、木馬程序在攻擊Windows系統(tǒng)后，為了方便隨時(shí)發(fā)作運(yùn)行，同時(shí)能夠躲避殺毒軟件的自動(dòng)“圍剿”，往往會(huì)劫持系統(tǒng)服務(wù)，來(lái)給計(jì)算機(jī)系統(tǒng)帶來(lái)安全威脅。為了困住這種類型的病毒、木馬程序，用戶可以嘗試調(diào)整系統(tǒng)注冊(cè)表相關(guān)鍵值，拒絕普通用戶帳號(hào)獲得相關(guān)操作權(quán)限：

首先以超級(jí)用戶權(quán)限登錄本地計(jì)算機(jī)系統(tǒng)，使用“Win+R”快捷鍵，調(diào)出系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“regedit”命令，開(kāi)啟系統(tǒng)注冊(cè)表編輯窗口。在該窗口的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到如圖5所示的“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”注冊(cè)表節(jié)點(diǎn)上，之后依次單擊“編輯”、“權(quán)限”菜單命令，彈出指定節(jié)點(diǎn)下的權(quán)限編輯對(duì)話框。

圖6 運(yùn)行批處理

接著在“組或用名稱”位置處，看看有沒(méi)有“everyone”賬號(hào)，要是沒(méi)有看到該帳號(hào)時(shí)，不妨按下“添加”按鈕，導(dǎo)入“everyone”賬號(hào)賬號(hào)，并且將它的“讀取”權(quán)限選擇為“允許”，同時(shí)將其他權(quán)限選擇為“拒絕”。同樣地，將其他一些陌生用戶賬號(hào)逐一刪除掉，單擊“確定”按鈕退出設(shè)置對(duì)話框，最后重啟計(jì)算機(jī)系統(tǒng)，那樣病毒之類的惡意程序?qū)⒉荒芙俪窒到y(tǒng)服務(wù)了。

不讓攻擊網(wǎng)關(guān)

ARP病毒攻擊局域網(wǎng)計(jì)算機(jī)是常有的事情，這種類型病毒顯著的特點(diǎn)，就是攻擊局域網(wǎng)網(wǎng)關(guān)設(shè)備，讓終端計(jì)算機(jī)系統(tǒng)不能正常上網(wǎng)。在手頭沒(méi)有外力工具可以利用的情況下，用戶不妨自行創(chuàng)建特殊批處理任務(wù)，來(lái)自動(dòng)刪除本地系統(tǒng)緩存中的ARP病毒記錄，以困住ARP病毒攻擊局域網(wǎng)網(wǎng)關(guān)的能力。

首先啟動(dòng)記事本之類的應(yīng)用程序，生成一個(gè)名稱為“delarp.bat”批處理文件，在對(duì)應(yīng)文件編輯窗口中輸入下面的命令代碼，這段命令代碼可以不斷清除本地系統(tǒng)中的ARP緩存記錄，從而有效預(yù)防局域網(wǎng)中的網(wǎng)關(guān)地址被病毒攻擊。

日后，一旦檢測(cè)到本地系統(tǒng)遭遇到ARP病毒攻擊的時(shí)候，只要啟動(dòng)運(yùn)行批處理文件“delarp.bat”，隨后我們將看到如圖6所示的MSDOS工作窗口，在這里，不難看出該批處理程序以自動(dòng)刪除本地系統(tǒng)緩存中的ARP病毒記錄，這樣ARP病毒自然就被成功困住，從而失去了攻擊破壞性。

當(dāng)然，在網(wǎng)絡(luò)帶寬資源很有限的上網(wǎng)環(huán)境中，這種困住病毒運(yùn)行的方法也有明顯不足，那就是它會(huì)頻繁地向網(wǎng)絡(luò)中傳送ARP病毒數(shù)據(jù)包，這樣寶貴的網(wǎng)絡(luò)帶寬將很快被消耗殆盡，最終會(huì)影響整個(gè)局域網(wǎng)的上網(wǎng)速度。