老樹新花，讓XP老本本也能與時俱進

郭建偉

雖說現在的本本安裝的都是Windows 7/8/10等系統，不過不可否認，還有一些老用戶依然使用XP的本本，雖然新系統功能強悍，不過XP系統以其簡單易用，適用性極強，兼容性完美等特點，在眾多用戶心中有著不可替代的作用。一些用戶使用XP的老本本，完全可以滿足實際的工作需要，沒有必要費錢費力的購買新本本。當然，這并不是說XP本本沒有缺點，同新版本Windows相比，XP確實存在很大的差距。在強調與時俱進的今天，我們需要以新版本Windows為參照，為XP老本本增加新的技術亮點，提升其效能，使其更好地為我們服務。

讓XP本本實現代碼完整性檢測

在Windows 7/8/10等操作系統中，Code Integrity（代碼完整性）檢測是很實用的功能。利用該功能可以對系統的重要文件進行Hash值比對，只有檢測通過才可以執行該系統文件。如果新型病毒采用Rootkit技術，或者將白身偽裝成驅動文件的話，就會在該功能面前徹底暴露。一般情況下，我們會采用文件名比對的方式，來發現潛伏的惡意程序。例如在不同時刻分別執行“dir/s c：＼windows＼system＼*.* >old.txt”和“dir/s c：＼windows＼system＼*.* >new.txt”命令，來創建不同時刻點的系統文件信息記錄文件。之后執行“fc old.txtnew.txt”，來發現增多或者減少的文件。如果病毒在系統路徑下創建新文件的話，就會顯示出來。不過該方法存在明顯的弊端，一旦病毒對原系統文件進行了替換，該方法就不靈了。其實，對于基于PE結構的可執行文件來說，不管其后綴是什么類型（例如可以將“notepad.exe”該為“notepad.txt”），都可以采用“cmd/c文件名.后綴”的方式運行該文件。

但是，在代碼完整性檢測面前，病毒的上述伎倆就失效了。不管病毒如何替換文件，其Hash值一定存在差異。例如，可以使用“fciv.exe”這款小工具，為XP添加代碼完整性檢測功能。可以將該程序復制到系統路徑中，作為內部命令來使用。這里我們主要使用該T具對系統關鍵文件進行Hash值檢測。例如執行“fciv.exe c：＼windows-r-wp-hoth-xml dh.xml”命令，就可以對“c：＼windows”路徑下的所有文件進行Hash值檢測，并將檢測結果保存在“dh.xml”文件中，其中的“-r”參數表示執行遞歸檢測，可以檢測所有的子文件夾。“-wp”參數表示檢測非全路徑文件名，不采用該參數表示檢測全路徑文件名。“-hoth”參數表示MD5/SHAIHash檢測，否則默認采用MD5Hash值檢測。采用“-xml”參數表示生成XML格式的文件。以后可以定時隨時執行“fciv.exe-v-hp c：＼mydir -shal-xml dh.xml”命令，對系統路徑下的文件執行基于MD5/SHAIHash值測試，來發現內容發生變動的文件。下載地址：http：//pan.haidu.com/s/lgdy3BUV。

同“fciv.exe”相比，“fsum.exe”的工具就更加強大。其可以檢測多種算法的Hash值，例如CRC32算法等。該程序的參數較多，這里我們只進行簡單介紹。例如在CMD窗口中執行“f'sum.exe-r-d c：＼windows*.*>test.txt”，可以對系統路徑下的所有文件進行Hash值檢測，在實際運行時，可以發現其速度明顯高于“fciv.exe”。其默認采用的是MD5算法。以后當發現系統m現異常時，可以執行“f'sum.exe-d c：＼windows-jf -c test.txt”文件，該程序就會計算當前系統路徑下所有文件的Hash值，并分別與之前測算的Hash值比對，來發現存在差異的文件，如果發現問題的話，就會提示對應文件的出錯信息。

同一般的Hash值檢測軟件不同，Easy Hash堪稱有最強大的檢測功能，這是一款綠色的免費軟件，可以讓您輕松擁有幾乎所有校驗算法，它支持APHash、BP Hash、CK SUM MPEG-2、FNV 0 8-1024、GHash 5、GOST、Haval 128 （3-5）、 JHash、MD-5、Murmur、Pearson Hash、RIPEMD 128等130多種校驗算法，可以讓您更加靈活的執行文件校驗操作。在Easy Hash主窗口（如圖1）中點擊菜單“File”→“Openfiles”項，導入所需的文件（可多選），點擊“Ctrl+E”鍵，可以選擇目標路徑（例如系統路徑），將其中的文件信息全部導入進來。之后在主窗口列出導入的文件信息，在工具欄最右側的列表中顯示其內置的所有算法，選擇合適的校驗算法，之后點擊工具欄上第五個按鈕（或者點擊F9鍵），Easy Hash即可使用預設算法，計算所有文件的校驗值，在“Hash”列中顯示具體的校驗值。Easy Hash校驗的速度很快，即使對于體積為4GB的大文件來說，也可以迅速完成校驗操作。點擊“Ctrl+S”鍵，可以保存校驗信息。

點擊工具欄上的第七個按鈕，在設置窗口中的“Favourite algorithms”欄中顯示所有的校驗算法，從中可以勾選最初常用的算法，或者點擊“Most poplar”按鈕，來自動選擇最流行的校驗算法。在“Fileassomation”欄中點擊“Register”按鈕，可以讓校驗文件（例如后綴為“.eh、.md5、.shal”等）和Easy Hash建立關聯，這樣直接點擊上述文件類型，即可白動打開Easy Hash顯示對應的校驗信息。對于選定的常用校驗算法，在Easy Hash主窗口的校驗算法列表中可以加粗顯示，這樣便于您迅速找到所需的算法。Easy Hash不僅可以校驗文件，還可以校驗文本信息。點擊“Ctrl+T”鍵，在彈出窗口的“Input text”欄中輸入文本信息，在校驗列表中選擇合適的算法，點擊“Calculate”按鈕，在“Output text”欄中即可顯示校驗值，點擊“Copy to cliphoard”按鈕，可以將其復制到剪切板上。endprint

讓XP本本擁有WindowsDefender殺軟

提起與病毒、木馬等惡意軟件的斗爭，大家都會想起殺毒軟件。其實，在新版本的Windows中已經內置了微軟自己開發的殺軟Windows Defender，和一般的殺軟相比，Windows Defender無疑可以和系統實現無縫對接。在大家的印象中，只要安裝一個殺軟，系統安全就沒有問題了。其實這是一個誤區，對于單機防護來說，比較穩妥的方法是將多種安全軟件聯合起來使用，例如可以同時安裝金山衛士（類似的有360安全衛士等）、Windows Defender、主動防御工具以及Windows自帶的防火墻。對于主動防御類工具，現在種類也有很多，例如ProSecurity、Mamutu、SystemSafety Monitor、ThreatFire、微點等，這些軟件可以根據目標程序的行為來判斷其是否具有威脅性，其包括智能型和非智能型主動防御兩種。

對于Windows Defender來說，有和Windows XP對應的版本可供使用。之所以使用該軟件，主要是因為其擁有強大靈活的功能。Windows Defender具有出色的實時保護功能，程序自身默認就提供了該功能，無需用戶單獨設置。一旦其檢測到病毒等惡意軟件對系統采取威脅動作，就會立即彈出警告信息提醒用戶注意。Windows的每天都會對系統進行一次快速掃描操作，發現可能存在的惡意程序，最大限度的保護系統安全。快速掃描的目標是系統最有可能被病毒破壞的部位，例如系統盤等。此外，利用系統內置的WindowsUpdate功能，可以同步更新病毒庫，來發現新型病毒。同其他殺軟相比，Windows Defender的運行和升級基本無需用戶費心。

讓XP本本擁有UAC認證機制

在Windows 7/8/10等操作系統中，提供了UAC（User Account Control用戶賬戶控制）安全管理機制。當您執行更改系統設置、運行程序等操作時，系統會對其進行攔截并彈出 UAC認證提示窗口。UAC可以對程序的運行安全認證，防止惡意軟件和間諜軟件在未經許可的情況下運行。而且UAC可以根據目標程序的危險程度，以不同的圖標顯示其安全等級。

我們知道，我們在登錄系統時，往往習慣于使用Administrator級別的賬戶，這實際上會帶來很多安全問題。因為這類賬戶權限很大，一旦招來病毒的侵襲，病毒也會借助于該賬戶擁有的權限對系統進行大肆破壞。反之，如果使用Guest級別的賬戶登錄系統，即使病毒發作，對系統也構不成什么威脅，因為病毒具有的運行權限也極為有限。UAC功能的出現，其作用就是改善Windows的授權機制，限制高權限的用戶隨意運行來歷不明的程序。但是，在Windows XP中卻沒有提供UAC功能。

其實，我們可以采用變通的方法，來實現類似的功能。例如，運行“lusrmgr.msc”程序，在賬戶管理窗口中創建一個賬戶，使其歸屬于Users組。當然，為了安全起見，您也可以在CMD中窗口中執行“netlocalgroup guests guser /add"和“net localgroup usersguser /del”命令，這樣guser賬戶就徹底脫離了Users組，并隸屬于Guest組了，使之具有Guest賬戶級別的權限。這樣，使用上述兩類賬戶登錄系統時，其活動權限就會受到很大限制，例如無法安裝程序、訪問注冊表受限等。如果這類賬戶想擺脫約束（例如安裝軟件等），可以采用兩種辦法解決，一種是采用基于GUI界面的權限提升方式。例如，使用ADVrunas來切換權限。首先以管理員身份安裝ADVrunas，ADVrunas安裝完成后和系統緊密集成，之后不管在任何用戶環境中都可以自由的使用該軟件。

在上述受限賬戶環境中需要操作的文件（可以包括快捷方式、可執行文件、壓縮文件、0ffice文檔等任何類型的文件）。在其右鍵菜單上點擊“ADVrunas”項，在彈出的“ADVrunas”窗口（如圖2）中選擇“Another account”項，在“User name”列表中列出管理員賬戶名，或者點擊其右側的瀏覽按鈕，在“選擇用戶”窗口中點擊“高級”按鈕，之后點擊“立即查找”按鈕，系統會自動搜索并顯示所有的用戶信息，在搜索列表中選擇高權限賬戶名，點擊“確定”按鈕，該用戶名稱就出現在“ADVrunas”窗口中的“Username”欄中了，在“Password”欄中輸入該用戶的密碼，點擊OK按鈕，就可以使用該賬戶用戶的權限來執行對應的操作了。當然，也可以采用基于命令行格式的權限提升方式。例如，可以創建一個名為“su.hat”的文件，其內容為“@runas /user：administrator%！”，將其保存到您想運行的程序的同級目錄下。例如，將其存放到“c：＼windows＼system32”文件夾中。當您想運行注冊表編輯器時，只需在CMD窗口中執行“suregedit.exe”命令，輸入管理員賬戶密碼，就可以啟動注冊表編輯器了。

讓XP本本擁有家長控制功能

在新版本的Windows中，提供了非常實用的家長控制功能，主要功能是控制孩子避免他接觸到網上的不良信息或者沉迷于網絡，影響他們的身心健康以致荒廢學業。其方法很簡單，以計算機管理員身份登錄Windows 7，在“控制面板”中的“用戶賬戶和家庭安全”欄下運行“為所有用戶設置家長控制”程序，通過創建特定的用戶，并為其設置密碼，設置其使用電腦的時間，禁止運行的軟件等項目，來限制孩子隨意操作。

其實，在Windows XP下也可以使用相關軟件來實現類似的功能，例如使用系統內置“net user”命令，就可以輕松限制指定賬戶允許登錄的時間。例如執行 “net user username /times：M-F，7am-9am；Sa-Su，7pm-lOpm”命，就可以設定username賬戶只能在星期一到星期五的早上7：00到9點以及周六周日的晚上7：00到10： 00時間范圍內登錄系統等。當然，使用專業的賬戶管理軟件，可以實現更加高級的功能。這樣的軟件有很多，例如，使用User Time Control（簡稱UTC）這款軟件，就可以輕松實現上述功能。endprint

在UTC主窗口中點擊菜單“Edit"→“ProgramsOptions”項，點擊“Administrator Password”按鈕，可以設置主密碼。當啟動、退出、修改UTC配置時，必須使用該密碼。點擊菜單“Edit”→“UserControl Panel”項，在窗口左下角列表中選擇目標賬戶，在下一步窗口（如圖3）中顯示時間表格，其橫坐標為星期數，縱坐標為小時數。點擊對應時間塊（即一個小時），在窗口右側的“Minutes”欄中拖動滑塊，設置該時間塊內禁止登錄的時長。同理，可以設置禁止登錄的其他時間段。

在下一步窗口中可以分別設置該賬戶每天可以使用電腦的總時長，每次登錄后有效使用時長，每星期內總可用時長。在下一步窗口中勾選“Allow use PChetween specified dates only”項，可以設置該賬戶可以使用電腦的有效日期范圍。在下一步窗口中可以選擇該賬戶登錄系統后的限制條件，依次包括禁止改變系統時間、禁止安裝非法軟件、禁用進程管理器、禁止添加/刪除程序、禁止修改賬戶信息等。在下一步窗口中“Add”按鈕，可以添加禁止該賬戶瀏覽的文件夾。在下一步窗口中勾選“Alllow users suspend timerestrictions while they leave the computer”項，表示在用戶離開電腦后可以暫時掛起UTC，不將離開時間計算在內。

激活該功能方法是在系統托盤中UTC圖標的右鍵菜單中點擊“Suspend Time”項，讓UTC進入鎖定狀態，用戶離開電腦返回后，在鎖定界面右上角點擊“Activate”按鈕，激活UTC使其恢復控制功能。在“Action after the user time expiration”欄中選擇“Logoff a user”項，表示使用時間到期后注銷該賬戶。選擇“Restart Windows”項，則會重啟系統。選擇“Shutdown Windows”項，則執行關機操作。此外，還可以設置到期提示窗口的持續顯示時間（默認為3分鐘），以及到期后輸入管理員密碼取消上述預設動作的等待時間（默認為40秒），設置激活UTC的熱鍵（默認為“Alt+Ctrl+C”），更換UTC鎖定界面的背景圖片等。

注意，如果該賬戶需要緊急登錄系統，可以開啟一次性密碼功能。點擊菜單“Edit”→“Extra UsageTime”項，點擊“Add”按鈕，在彈出窗口中的“Extendtlme to”欄中設置許可時間（默認為2小時），在“Generate X password”欄中設置一次性密碼個數（默認為10個），點擊“Generate”按鈕，可以創建指定數量的一次性密碼。這樣，該用戶在緊急情況下，可以使用其中任意一個一次性密碼系統登錄，當使用時間超過與該密碼綁定的時限后，將無法繼續使用系統。當然，該密碼只能一次有效，使用完畢后將自動失效。其余的配置保持默認。最后點擊窗口底部第三個按鈕，保存上述配置信息。同理，您可以針對不同的賬戶，分別為其設置有效登錄以及使用系統的時間。下載地址：http：//www.lsecuritycenter.com/downloads/utcc.zip。

當然，如果想禁止指定的程序在規定時間運行，可以使用Password Door來實現。在其安裝程序的“Set Admin Password”欄中可以設置管理密碼，之后必須使用該密碼，才可以操作該軟件。在PasswordDoor主界面中點擊“Protect a Program”按鈕，在窗口列表中顯示安裝的所有程序，選擇需要保護的程序（例如QQ）。如果這里沒有所需的程序，也可以點擊窗口底部第一個按鈕，手工選擇目標程序。或者將帶有瞄準星圖標直接拖動到目標程序窗口中，來完成選定操作。點擊“Protect”按鈕，在保護窗口（如圖4）可以看到其默認采用的密碼保護功能，點擊“Change”按鈕，可以為其單獨設置密碼，否則的話使用管理密碼。

如果在“Protection mode”欄中選擇“Deny”項，表示在規定時間之外禁止運行目標程序。點擊“Schdule”按鈕，在定時保護窗口中的“Schduleoption”列表中選擇“Daily”項，針對每天預設的時間段決定是否啟用保護功能。在“Hour of day”欄中顯示24個按鈕，代表每天24個小時。默認其全為藍色，表示時刻保護目標程序。點擊對應的時間段按鈕，使其顏色變為白色，表示在該時間段內禁用保護功能。例如將上午8：00到12：00、下午14：00到18點等按鈕設置為白色。這樣，在正常工作時間段，您可以自由運行QQ，在其他時間段則無法運行，或者必須輸入與之匹配的保護密碼，才可以運行QQ。當然，您也可以在“Schdule option”列表中選擇其它周期類型，包括每星期、每月等，為目標程序設置定時保護時段。下載地址：http：//www.toplang.com/pdsetup.exe.

讓XP本本具備網絡訪問控制功能

新版本的Windows在網絡訪問、瀏覽器安全等方面提供了很多安全配置功能，提供了完善的網絡訪問控制功能。其實，在Windows XP中也可以使用相應的方法，禁止Administrator賬戶之外的賬戶隨意訪問網絡。首先以管理員身份登錄系統，在組策略管理器中展開“用戶配置”→“Windows設置”→“InternetExplorer維護”→“連接”分支，在右側窗口中雙擊“代理設置”項，在彈出窗口中勾選“啟用代理服務器設置”項，將“HTTP”的代理服務器的地址設為“127.0.0.1”，點擊確定按鈕保存配置信息。這樣做的目的在于借用IE瀏覽器的代理功能，來限制其他賬戶隨意上網。IE是可以使用代理服務器上網的，因此只要將其代理服務器指向“127.0.0.1”地址，那么普通用戶就無法通過IE瀏覽網頁了。

這樣，當在IE中瀏覽網頁時，因為其代理服務器實際上并不存在，因此就無法訪問因特網了那么問題的關鍵在于如何讓管理員用戶可以跳過上述限制，從而正常使用IE訪問因特網。實際上，打開“C：＼WIN DOWS＼system32＼CGroupPoliCy＼User＼ MICROSOFT＼IEAK”文件夾，在其中可以看到名稱為“install.ins”的文件，在該文件中就包含了IE的代理服務器信息。打開該文件，其中的“Proxy_Enable”參數的數值為1，表示啟用了代理服務器，其中的“HTTP_Proxy_Server”參數就指明了代理地址。因此，如果不允許其他賬戶讀取“install.ins”文件，就可以讓其無法擺脫上述限制。而組策略“用戶配置”部分中的配置項目大多都是在登錄后才生效的，因此，只要使用NTFS分區的權限分配機制，讓其他賬戶無法讀取“install.ins”文件，即可實現上述要求。endprint

在“install.ins”文件的屬性窗口的“安全”面板中選中管理員賬戶，如果不存在的話，可以點擊“添加”按鈕導人該用戶。之后在其下的權限設置面板中的“讀取”欄中勾選“拒絕”項，禁止管理員賬戶讀取該文件。這樣，當再次使用管理員賬戶登錄系統時，就不再讀取“install.ins”文件，從而跳過了IE的代理服務配置自由上網。但是普通用戶卻沒有此特權，依然正常加載IE代理服務信息，當然無法正常使用IE了。此外，還可以使用NetSh命令，通過控制網關來限制指定的賬戶上網操作。

假設本機的IP為192.168.0.2，路由器網關的IP為192.168.0.1。Netsh是Windows 2000/XP/2003自身提供的實用工具，允許用戶在本地或遠程顯示和修改當前系統的網絡配置信息。這里就使用該命令并配合相關的組策略，讓管理員賬戶可以擁有正確的網關配置，而讓普通用戶無法得到，因此巧妙的阻止普通用戶連接因特網。首先以管理員賬戶身份登錄系統，建立“Linkok.hat”和“Linkno，hat”兩個批處理文件，其中“Linkok.hat”的內容為“netsh interface ipset address”本地連接”source=static addr=192.168.0.2mask=255.255.255.0 gateway=192.168.0.1 gwmetric=l”，“Linkno.bat”的內容為“netsh interface ip setaddress”本地連接”source=static addr=192.168.0.2mask=255.255.255.0 gateway=none”。

之后在“開始”→“運行”中執行“gpedit.msc”程序，在組策略窗口左側展開“用戶配置”→“Windows設置”→“腳本（登錄注銷）”，在右側窗口中雙擊“登錄”項，在登錄屬性窗口中點擊“添加”按鈕，在添加腳本窗口中的“腳本名”欄中輸入“Linkok.hat”文件的完整路徑即可。在右側窗口中雙擊“注銷”項，按照同樣的方法，將“Linkno.hat”文件添加到注銷腳本中。這樣，當該賬戶登錄系統時，就會自動執行“Linkok.hat”程序，將網關配置為正確信息，當注銷該賬戶時，就自動執行“Linkno.hat”程序，從而清空網關的配置信息。然而當User賬戶組中的用戶登錄系統時，雖然也可以運行以上登錄腳本，但是普通用戶是沒有權限執行NetSh命令的，因此普通用戶只能就無法得到正確的網關配置，也就無法正常上網了。既使普通用戶在本地連接屬性窗口中試圖修改網絡配置信息，系統也會彈出權限不夠的提示，從而禁止其手工配置網關信息。endprint