積極防御 將流氓軟件拒之門外

流氓軟件通常會將自己偽裝成合法程序，誘使用戶上當受騙。對于這些狡猾的流氓軟件，確實很讓人討厭。在很多情況下，用戶是在毫不知情的情況下，稀里糊涂地裝上了流氓軟件?？磥?，對付流氓軟件最好的辦法是積極防御，將其攔截在外，讓其無法獲得入侵的機會。

多管齊下，讓IE擺脫“流氓”的騷擾

IE瀏覽器是很多流氓軟件的侵襲目標，流氓軟件之所以得手，很大程度上是鉆了各種漏洞的空子。因此，及時為IE打上各種補丁，將IE的各種漏洞都修補好，就可以有效防御流氓軟件的入侵。因為很多惡意網站都暗藏木馬，如果不小心誤入其中的話，網頁木馬就會乘機通過IE漏洞，在您的電腦中安裝各種流氓軟件，一旦讓其得手，您的系統(tǒng)就會永無寧日了，只要將IE補丁全部打上，這些入侵伎倆就會失效了。

此外，利用IE提供的篩選器功能，也可以攔截可疑文件，堵住流氓軟件的入侵通道，可以有效提高系統(tǒng)的安全性。通過對下載的文件以及訪問的網站進行安全性檢測，可以發(fā)現危險的文件或者惡意網站，并對其進行攔截。但是一些用戶為了省事往往將其關閉，這對于系統(tǒng)安全會帶來不利影響，因此最好開啟該功能。

例如，在Windows 8中可以點擊“Win+X”鍵，在彈出菜單中點擊“控制面板”項，在控制面板中點擊“系統(tǒng)和安全”項，在彈出窗口中選擇“操作中心”項，在打開窗口左側選擇“更改Windows SmartScreen刪選器設置”項，在彈出的對話框中激活該功能。

這樣，當下載文件時，SmartScreen刪選器就會對其進行檢測。即使其通過檢測，當用戶運行該文件時，SmartScreen刪選器會將其信息發(fā)送到微軟云端服務器，通過對其進行安全評估，進一步檢測其安全性。如果其不符合微軟設定的安全規(guī)則，系統(tǒng)就禁止運行該文件，并彈出“Windows已保護你的電腦”的提示信息。如果用戶確定該文件是安全的，可以在提示窗口中點擊“更多信息”鏈接，點擊“仍要運行”按鈕，就可以順利運行該文件了，如果點擊“不運行”按鈕，該文件就被攔截。

圖5 管控和IE相關的注冊表項目

當然，為了防止流氓軟件以IE插件的形式運行，最好對注冊表中和IE相關的部位進行防護。運行“regedit.exe”程序，注冊表配置編輯器中依次展開“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tI n t e r n e t Explorern”分支，在“Main”子鍵的右鍵菜單上點擊“安全”→“權限”項，在權限設置界面中選中Users組（或者其它賬戶和組），在權限列表中的“拒絕”列中禁用“完全控制”，“讀取”等權限。選擇“創(chuàng)建子項”、“刪除”等權限的“拒絕”欄中打勾（如圖5所示）。與此類似，給“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”分支也進行合適的權限控制，這樣惡意軟件就無法修改IE的基本設置了。

除了“Main”子鍵外，與IE 相 關 的 還 有“MenuExt”、“Search”、“Restrictions”、“Plugins”等子健。為了防止流氓軟件以插件的形式綁架IE，可以對“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerBrowser Helper Objects”分支進行權限控制，防止隨意安裝無關插件。通過對這些與IE有關的主鍵進行保護，就能從根本上防止IE被惡意修改。

此外，現在幾乎所有的電腦都安裝有Flash插件，但是，Flash插件自身往往存在高危漏洞。一些病毒、木馬、流氓軟件等惡意程序會借助這些漏洞，對您的電腦發(fā)起滲透和攻擊。這里就以Windows XP為例，來介紹如何徹底杜絕Flash漏洞。在注冊表編輯器中打開“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers” 分支，在右側窗口中雙擊“TransparentEnabled”項，以十六進制格式（以下與之相同）設置其值為 1， 設 置“DefaultLevel”、“AuthenticodeEnabled”、“PolicyScope”、“Levels”等 項的值分別為 40000、0、0、35000。如果對應項不存在的話，可以手工建立，其數據類型均為DWORD。

運行“gpedit.msc”程序，在組策略編輯器窗口左側點擊“計算機配置”→“Windows設置”→“安全設置”→“軟件限制策略”項，如果是初次使用，需要點擊菜單“操作”→“創(chuàng)建新的策略”項，在自動出現的“其它策略”項的右鍵菜單上點擊“新散列規(guī)則”項，在彈出窗口中點擊“瀏覽”按鈕，選擇“C：Program FilesInternet Explorer”文件夾中的“iexplore.exe”文件，在“安全級別”列表中選擇“基本用戶”項，完成針對IE的安全設置。

注意，這里的散列規(guī)則的主要作用是降低IE的權限，讓其無法對系統(tǒng)進行修改寫入等操作。以后當在IE中試圖向“C：Windows”等系統(tǒng)文件夾中寫入或者修改文件時，系統(tǒng)會彈出“無法創(chuàng)建文件，拒絕訪問”的提示。如果執(zhí)行刪除操作，同樣會遭到系統(tǒng)拒絕。這樣，即使您安裝的Flash插件存在漏洞，當病毒木馬想借助于該漏洞IE中執(zhí)行數據下載寫入等操作時，會因為缺乏權限而無法對系統(tǒng)構成任何威脅。當然。在使用該方法之前，最好IE中安裝好所需的各種插件。

圖6 使用Upiea為IE免疫流氓插件

為了提高IE抗擊流氓軟件的能力，還可以使用Upiea這款小巧的IE插件管理程序，對各種流氓插件進行免疫處理。因為每一種流氓插件在注冊表中都會創(chuàng)建對應的特殊的鍵值，惡意網站通過讀取該鍵值，就會判斷是否已經在本機上安裝了對應的流氓插件。使用Upiea這款小工具，就可以在注冊表中偽造這些鍵值信息，實現免疫的目的。Upiea是一款免費的純綠色軟件，自身只有一個可執(zhí)行文件，但是卻可以對371種惡意IE插件進行免疫，有了Upiea的保護，用戶就可以盡情沖浪，不用擔心流氓軟件對IE進行非法修改了。

在Upiea主窗口（如圖6所示）中打開“插件免疫”面板，可以看到Upiea提供了包括國內、國外、聊天、聊天、影音、游戲、日常、商務、必備、其他等10大類IE插件免疫項目。在默認情況下，Upiea不對任何插件免疫，用戶需要選擇相應的免疫項目，可以手工逐一選擇，也可以點擊“全選”按鈕選擇所有的免疫項目。選擇完畢后，點擊“應用”按鈕保存設置。然后在瀏覽器中登錄包含常見流氓插件的網站，就會發(fā)現這些流氓軟件無法安裝了。

此外，Upiea還可以有效地管理已經安裝的IE插件，在Upiea主窗口中打開“插件管理”面板，在其中列出所有已經安裝的IE插件，選中可疑的插件，在處理列表中選擇“設置該插件為禁用狀態(tài)”項，即可禁用該插件，也可以點擊“刪除”按鈕刪除該插件。

使用防火墻抗擊流氓軟件

流氓軟件設計得越來越狡猾，一旦讓其潛入系統(tǒng)興風作浪，往往是“請神容易送神難”。例如當用戶安裝了從網上下載的共享軟件之后，往往會招來一些流氓軟件的光顧。那么，這些流氓軟件是如何進入系統(tǒng)中的呢？實際上，很多共享軟件在其安裝程序中都捆綁了各種類型的流氓軟件，甚至有些共享軟件在安裝流氓插件時，根本沒有任何提示信息。面對流氓軟件的猖狂進攻，我們完全可以使用EQSpyWatch這款獨特的安全軟件，為系統(tǒng)筑起一道防范流氓的“防火墻”。EQSpyWatch是完全免費的軟件，工作在系統(tǒng)底層，通過對文件、注冊表、程序運行進行監(jiān)控，利用內置的安全規(guī)則，讓系統(tǒng)徹底擺脫流氓軟件的騷擾。

在EQSpyWatch主窗口中打開“設置”面板，在右側窗口中勾選“系統(tǒng)啟動時自動運行”項，讓EQSpyWatch自動跟隨系統(tǒng)啟動，讓流氓軟件沒有可乘之機。在“程序運行狀態(tài)”面板中可以調整監(jiān)控功能、自動更新功能的開啟和關閉狀態(tài)。在默認情況下，EQSpyWatch的監(jiān)控功能處于開啟狀態(tài)，點擊其中的“規(guī)則編輯器”鏈接，在彈出的窗口（如圖7所示）中可以看到EQSpyWatch內置的所有安全規(guī)則。EQSpyWatch的規(guī)則分為“監(jiān)控操作分類”和“監(jiān)控規(guī)則分類”兩種。在左側列表中的“監(jiān)控操作分類”下提供了“運行程序”、“文件操作”、“注冊表訪問”三種監(jiān)控機制，可以從流氓軟件的運行、操作文件、修改注冊表等方面，全面監(jiān)視各種其活動情況。

圖7 管理安全規(guī)則

在窗口右側的“規(guī)則列表”中顯示其中包含的所有規(guī)則，包括流氓軟件常見安裝位置、創(chuàng)建和讀寫的文件路徑、經常操作的注冊表路徑等信息。從中選中某一監(jiān)控類型，例如選擇“注冊表訪問”項，點擊某一規(guī)則，在窗口底部顯示該規(guī)則的描述信息注冊表路徑、注冊表名稱等內容，在“監(jiān)控規(guī)則分類”中包含了大量的“熱門”流氓軟件清單，選中其中的某個流氓軟件，在右側窗口中顯示針對該流氓軟件的所有安全規(guī)則，從而從根本上禁止該流氓軟件的安裝和運行。此外，在“程序運行狀態(tài)”面板中點擊“立即升級”鏈接，可以從網上快速下載最新的規(guī)則包。

在默認情況下，所有的規(guī)則都處于禁止狀態(tài)。當然，我們可以也自定義規(guī)則，從而提高防御的靈活性。在“規(guī)則分類”列表中選中對應的類別分支，在右側窗口中點擊“新建規(guī)則”按鈕，在“新建規(guī)則”窗口的“監(jiān)控操作”面板中選擇類型，包括注冊表訪問、文件操作、運行程序等項。例如選中“文件操作”項，在“描述”和“文件路徑”欄中分別設置規(guī)則的名稱、流氓軟件的安裝路徑等信息，在“監(jiān)控信息”面板中選擇“記錄日志”項，表示當流氓軟件觸發(fā)該規(guī)則時，將其寫入日志文件，在“默認操作”面板中選擇“拒絕”，表示攔截流氓軟件的運行，點擊“確定”按鈕，即可創(chuàng)建新的規(guī)則。

此外，EQSpyWatch還提供了規(guī)則共享機制，當我們編輯了大量的規(guī)則后，可以點擊工具欄上的“導出”按鈕，將所有的規(guī)則導出為單獨的文件，提供給別人共享，也可以點擊“導入”按鈕，將別人提供的規(guī)則文件導入進來。當設置完成后，點擊EQSpyWatch窗口上的關閉按鈕，將其隱藏在系統(tǒng)托盤中。當我們運行捆綁了流氓插件的共享軟件時，EQSpyWatch立即阻止其運行，并在系統(tǒng)托盤區(qū)彈出警告提示框，告訴用戶已經發(fā)現并攔截的流氓軟件名稱。

當安裝軟件中包含多個流氓插件時，EQSpyWatch會逐一拒絕其安裝，并在攔截成功后彈出對應的提示框，在系統(tǒng)托盤中雙擊EQSpyWatch圖標，在“程序運行狀態(tài)”面板中顯示已經成功攔截的流氓軟件的操作數量，在“日志”面板中顯示詳細的日志信息，包括攔截發(fā)生的時間、流氓軟件的進程名稱、攔截的動作、流氓軟件的操作方式（運行程序、訪問文件、訪問注冊表）等。此外，在EQSpyWatch中還提供了功能強大的進程管理器，在其“程序運行狀態(tài)”面板中點擊“進程管理器”鏈接，即可在其中有效地管理當前所有進程。

巧用數字簽名防范流氓軟件

大家可能都有這樣的經歷，在安裝了某款軟件后，系統(tǒng)中就莫名奇妙地自動安裝了其他一些來歷不明的軟件，而且其往往是同一個公司的“杰作”，這種不請自來的安裝“技術”實在讓人感到厭煩，其實，這也堪稱是時下流行的流氓軟件“推廣”方式。如何才能禁止這種“自動化”的安裝方式，將流氓軟件拒之門外呢？利用數字簽名技術，就可以徹底阻擋上述讓人生厭的流氓軟件安裝模式了。

對于軟件來說，數字簽名就是其身份證，通過查閱其數字簽名信息，可以了解其開發(fā)者、版本等信息。對于某些殺毒軟件來說，將各種惡意軟件的數字簽名添加到病毒庫中，可以簡單有效地發(fā)現和清除這些不法之徒。對于您不想要的某款軟件，可以在其安裝文件的右鍵菜單上點擊“屬性”項，在其屬性窗口中的“數字簽名”面板中點擊“詳細信息”按鈕，在彈出窗口中點擊“查看證書”按鈕，在出現的窗口中的“詳細信息”面板中點擊“復制到文件”按鈕，在操作向導的幫助下，將其數字簽名信息導出到指定的文件中。

圖8 創(chuàng)建證書規(guī)則

運行“gpedit.msc”程序，在組策略窗口左側點擊“計算機配置”-“Windows設置”-“安全設置”-“軟件限制策略”項，如果是初次使用，可以在其右鍵菜單上點擊“創(chuàng)建軟件限制策略”項，之后在右側窗口的“其它策略”項的右鍵菜單上點擊“創(chuàng)建證書規(guī)則”項，在彈出窗口（如圖8所示）中點擊瀏覽按鈕，選擇上述證書文件，在“安全級別”列表中選擇“不允許”項，點擊確定按鈕保存配置信息。之后運行具有該證書的軟件（尤其是同一個公司開發(fā)的軟件）時，就會遭到該策略的攔截，讓其無法執(zhí)行安裝操作。

當創(chuàng)建很多這樣的限制策略后，可以運行“軟件限制策略導入導出 綠色版”這款小工具，在其主界面中點擊“導出軟件限制策略”按鈕，將其導出名為“date.dat”的獨立文件，在其他主機上運行該工具，點擊“導入軟件限制策略”按鈕，完成導入操作。當然，“date.dat”文件必須在該綠色軟件運行路徑下。這樣，可以快速部署預設的策略，提高抗擊流氓軟件的能力。

使用其他技巧防范流氓軟件

當然，使用其他的小技巧，也可以抵御流氓軟件的入侵。例如，打 開“C：WINDOWSsystem32driversetc”文件夾，將其中的名為“Hosts”的文件打開，如果發(fā)現可疑的地址映射關系，最好將其刪除，或者只保留“127.0.0.1 localhost”項，將其余的內容刪除，這樣，就可以避免誤入惡意網站的陷阱了。

在安裝軟件的時候，不要盲目地點擊下一步按鈕，追求安裝的速度。而應該在每一個安裝步驟仔細查看安裝界面，如果發(fā)現看起來不起眼的選擇項目，就應該引起警惕，最好將這些自動選擇的項目清除，防止流氓軟件蒙混過關，堂而皇之地進駐系統(tǒng)。

在網上尋找軟件時，盡量去正規(guī)的大型網站，而不要到來歷不明的小網站中下載軟件。即使在正規(guī)網站下載，也應該注意觀察，選擇合適的下載位置，而不要被滿屏的下載按鈕欺騙。利用NTFS格式的權限設置功能，同樣可以阻止流氓軟件的運行。例如，對流氓軟件的安裝路徑進行權限設置，讓其無法獲得運行權，在流氓軟件經常藏身的位置創(chuàng)建與之同名的文件夾，并且在其權限設置窗口設置嚴格的權限保護機制，讓其無法創(chuàng)建同名文件夾等。