未知病毒防護(hù)見(jiàn)高招

■

著眼文件防護(hù)

有些未知病毒常常將自身文件偷偷植入到被攻擊計(jì)算機(jī)系統(tǒng)中，然后想方設(shè)法地運(yùn)行，要是我們能提前知曉這些病毒的文件名稱規(guī)律，不妨通過(guò)Windows系統(tǒng)的軟件限制策略功能，來(lái)阻斷符合特定規(guī)律的病毒文件運(yùn)行，就能達(dá)到防護(hù)未知病毒攻擊目的。

在通過(guò)計(jì)算機(jī)系統(tǒng)的軟件限制策略防護(hù)未知病毒攻擊時(shí)，可以逐一點(diǎn)擊“開始”、“設(shè)置”、“控制面板”命令，展開系統(tǒng)控制面板窗口，逐一雙擊“管理工具”、“本地安全策略”圖標(biāo)，彈出本地安全策略管理窗口，在該管理窗口的左側(cè)顯示窗格中，找到“軟件限制策略”分支，在指定分支下我們可以按需定義哪些程序或可執(zhí)行文件是不允許Windows系統(tǒng)自動(dòng)運(yùn)行的，此外，還可以利用新散列規(guī)則和新路徑規(guī)則對(duì)特殊類型的文件進(jìn)行管理和約束。

圖1 設(shè)置安全級(jí)別參數(shù)

例如，要想限制符合“iexp*.exe”文件名稱特征的未知病毒程序自動(dòng)運(yùn)行時(shí)，不妨從“軟件限制策略”分支下面新建路徑規(guī)則，切換到新建路徑對(duì)話框中，將路徑指定為“iexp*.exe”，將安全級(jí)別參數(shù)設(shè)置為“不允許”（如圖1所示），確認(rèn)后退出設(shè)置對(duì)話框。這個(gè)時(shí)候，所有符合“iexp*.exe”文件名稱特征的程序都將不能正常運(yùn)行，包括正常的IE瀏覽器程序，當(dāng)我們嘗試運(yùn)行該程序時(shí)，系統(tǒng)會(huì)彈出禁止運(yùn)行的提示，這說(shuō)明之前設(shè)置的路徑規(guī)則已經(jīng)生效，因?yàn)镮E瀏覽器的應(yīng)用程序名稱為“iexplorer.exe”，所以該程序會(huì)被強(qiáng)行禁止運(yùn)行。

為了能讓上述設(shè)置操作只限制未知病毒運(yùn)行，而讓IE瀏覽器程序不受影響，我們還需要定義散列規(guī)則，讓正常的應(yīng)用程序排除在外。在進(jìn)行這種定義操作時(shí)，先從“軟件限制策略”分支下面新建散列規(guī)則，在其后彈出的規(guī)則對(duì)話框中，按下“瀏覽”按鈕進(jìn)入文件選擇對(duì)話框，從中將“iexplorer.exe”導(dǎo)入進(jìn)來(lái)，并且將安全級(jí)別參數(shù)設(shè)置為“不受限制”，單擊“確定”按鈕保存設(shè)置操作即可。這樣，就能實(shí)現(xiàn)禁止所有符合“iexp*.exe”文件名稱特征的未知病毒程序自動(dòng)運(yùn)行的目的了，而IE瀏覽器程序運(yùn)行不會(huì)受到任何影響。同樣地，通過(guò)上述設(shè)置方式，我們可以對(duì)其他符合條件的未知病毒文件進(jìn)行阻斷運(yùn)行，確保病毒、木馬不能自動(dòng)運(yùn)行。

著眼進(jìn)程防護(hù)

眾所周知，一些未知病毒木馬程序，在發(fā)作運(yùn)行的時(shí)候，常常會(huì)偷偷調(diào)用系統(tǒng)相關(guān)進(jìn)程，如果我們主動(dòng)對(duì)系統(tǒng)進(jìn)程運(yùn)行狀態(tài)加強(qiáng)監(jiān)控，并以此來(lái)判斷未知程序的運(yùn)行行為是否正常，這樣也能達(dá)到防護(hù)未知病毒攻擊的目的。這里，我們使用“PS進(jìn)程盾”這款外力工具，著眼系統(tǒng)進(jìn)程來(lái)防護(hù)未知病毒木馬的攻擊。

從網(wǎng)上獲得“PS進(jìn)程盾”的安裝程序包后，將其釋放到臨時(shí)目錄中，雙擊其中的可執(zhí)行文件，該工具不需要經(jīng)過(guò)安裝操作就能直接啟動(dòng)運(yùn)行，運(yùn)行時(shí)它會(huì)自動(dòng)退回到系統(tǒng)后臺(tái)，我們只能從系統(tǒng)托盤區(qū)域處看到它的“身影”。在缺省狀態(tài)下，“PS進(jìn)程盾”會(huì)自動(dòng)啟用一些功能選項(xiàng)，例如，啟用“信任所有微軟已簽名程序”功能，可以讓W(xué)indows系統(tǒng)自動(dòng)放行那些事先通過(guò)微軟公司MD5驗(yàn)證的程序文件，啟用“開啟進(jìn)程保護(hù)”功能，可以讓W(xué)indows系統(tǒng)進(jìn)程不被病毒木馬強(qiáng)行關(guān)閉。為了讓“PS進(jìn)程盾”程序更高效地防護(hù)未知病毒攻擊，建議大家進(jìn)入該程序的配置對(duì)話框，同時(shí)選中“隨系統(tǒng)啟動(dòng)”、“運(yùn)行后自動(dòng)隱藏”等選項(xiàng)，確保該程序能跟隨Windows系統(tǒng)開機(jī)自動(dòng)工作。

圖2“PS進(jìn)程盾”主操作界面

日后，當(dāng)用戶嘗試在本地系統(tǒng)運(yùn)行某些未知程序時(shí)，“PS進(jìn)程盾”將會(huì)智能判斷程序的運(yùn)行行為是否安全。如果未知程序沒(méi)有調(diào)用Windows系統(tǒng)中的其他進(jìn)程，那么目標(biāo)工具將會(huì)認(rèn)為未知程序不是病毒木馬，同時(shí)允許其正常運(yùn)行，而且在系統(tǒng)任務(wù)欄右下方出現(xiàn)安全提示。如果未知程序在運(yùn)行過(guò)程中，調(diào)用了系統(tǒng)中的其他進(jìn)程，那么目標(biāo)工具會(huì)自動(dòng)彈出相關(guān)提示，征詢用戶對(duì)未知程序的處理意見(jiàn)。在這里，我們必須認(rèn)真分析“試圖運(yùn)行”位置處的內(nèi)容，利用這個(gè)位置處的圖標(biāo)信息和進(jìn)程名稱，基本就能識(shí)別出未知程序是否為自己需要的應(yīng)用程序了。

一旦認(rèn)定未知程序是合法的程序時(shí)，那就直接按下“允許”按鈕，讓其正常啟動(dòng)運(yùn)行。如果該合法程序日后需要頻繁運(yùn)行時(shí)，為了不讓“PS進(jìn)程盾”反復(fù)出現(xiàn)安全提示從而干擾我們的工作效率，可以選中“創(chuàng)建路徑規(guī)則”選項(xiàng)，再按下“允許”按鈕，確保目標(biāo)工具不再攔截合法程序。如果我們認(rèn)定未知程序就是病毒木馬時(shí)，不妨按下“阻止”按鈕來(lái)阻止它的運(yùn)行，再利用“試圖運(yùn)行”位置處提供的路徑內(nèi)容，深入對(duì)應(yīng)路徑刪除病毒木馬的源頭文件。

如果希望“PS進(jìn)程盾”處理未知程序更智能一些，我們也可以提前創(chuàng)建一些識(shí)別規(guī)律，來(lái)避免安全提示窗口的反復(fù)出現(xiàn)干擾我們的高效工作。在創(chuàng)建識(shí)別規(guī)律時(shí)，先進(jìn)入“PS進(jìn)程盾”主操作界面（如圖2所示），單擊“查看規(guī)則”按鈕，在其后界面中就能按需創(chuàng)建各種識(shí)別規(guī)則，創(chuàng)建方法包含“白名單”和“路徑規(guī)則”兩種形式，要是想創(chuàng)建路徑規(guī)則時(shí)，只要點(diǎn)擊“新建”按鈕，展開新建規(guī)則對(duì)話框，單擊“瀏覽”按鈕，從文件或文件夾選擇對(duì)話框中按需導(dǎo)入允許運(yùn)行的程序內(nèi)容，再按“確定”按鈕結(jié)束規(guī)則創(chuàng)建操作。

此外，使用這種方法還能拒絕特定應(yīng)用程序的運(yùn)行，只是需要在彈出的設(shè)置框中選擇“阻止運(yùn)行”選項(xiàng)才行。要是我們想創(chuàng)建白名單規(guī)則的話，可以在新規(guī)則創(chuàng)建對(duì)話框中，先選擇“白名單”選項(xiàng)，該選項(xiàng)表示允許調(diào)用Windows系統(tǒng)所有進(jìn)程的應(yīng)用程序，通常指的就是一些“父程序”。例如，當(dāng)嘗試將系統(tǒng)資源管理器的可執(zhí)行 文 件“explorer.exe”導(dǎo)入到白名單列表時(shí)，我們?nèi)蘸笥檬髽?biāo)雙擊系統(tǒng)資源管理器窗口中的任何程序或軟件時(shí)，“PS進(jìn)程盾”都不會(huì)對(duì)其進(jìn)行攔截，之后按下“新建”按鈕，在其后界面中點(diǎn)擊“瀏覽”按鈕，選中“explorer.exe”文件并進(jìn)行確認(rèn)操作后，就能將目標(biāo)程序添加到白名單中了。值得注意的是，“PS進(jìn)程盾”以不同形式創(chuàng)建識(shí)別規(guī)律時(shí)，優(yōu)先級(jí)別最高的是“路徑規(guī)則”形式，其次是“白名單”形式，最后是“微軟驗(yàn)證”形式，要是一個(gè)未知程序同時(shí)符合幾種形式，那么“PS進(jìn)程盾”將只考慮是否符合路徑規(guī)則形式，因此，一般來(lái)說(shuō)我們只要使用路徑規(guī)則來(lái)判斷未知程序即可。

圖3 進(jìn)程選項(xiàng)設(shè)置頁(yè)面

圖4 屬性對(duì)話框

著眼任務(wù)器防護(hù)

如今的網(wǎng)絡(luò)病毒泛濫成災(zāi)，在沒(méi)有安裝殺毒軟件的情況下，如何使用Windows系統(tǒng)自帶的任務(wù)管理器功能，對(duì)付讓計(jì)算機(jī)無(wú)法正常運(yùn)行的未知病毒程序呢？

很簡(jiǎn)單！首先使用“Ctrl+Alt+Del”復(fù)合鍵調(diào)出系統(tǒng)任務(wù)管理器窗口，點(diǎn)擊“進(jìn)程”標(biāo)簽，進(jìn)入如圖3所示的進(jìn)程選項(xiàng)設(shè)置頁(yè)面，依次選擇菜單“查看”、“選擇列”命令，在其后出現(xiàn)的設(shè)置框中，勾選PID和映象路徑選項(xiàng)，日后一旦看到有未知程序的進(jìn)程CPU占用率奇高時(shí)，那么它就是病毒，只要結(jié)束它的進(jìn)程，就能阻止未知病毒程序的繼續(xù)發(fā)作運(yùn)行了。

如果不能成功結(jié)束惡意進(jìn)程，必須想辦法將病毒原始文件刪除干凈。首先在任務(wù)管理器窗口中，獲取未知病毒進(jìn)程的執(zhí)行路徑，找到未知病毒程序的可執(zhí)行文件，進(jìn)入對(duì)應(yīng)路徑窗口手動(dòng)刪除它。要是連文件也刪除不了，可以嘗試在系統(tǒng)任務(wù)管理器窗口中結(jié)束所有自己不熟悉的進(jìn)程，再逐一單擊“開始”、“程序”、“附件”、“命令提示符”選項(xiàng)，切換到DOS命令行窗口，在其中執(zhí)行“ntsd-cq-PID”命令即可，其中PID為未知病毒進(jìn)程的標(biāo)志符。

著眼快捷方式

眾所周知，快捷方式一半都是要指向特定數(shù)據(jù)文件、某個(gè)網(wǎng)站地址或應(yīng)用程序的，而一些未知病毒程序?yàn)榱诉_(dá)到遮人耳目的目的，常常會(huì)借助快捷圖標(biāo)的快速訪問(wèn)特性，將用戶頻繁訪問(wèn)的目標(biāo)偷偷替換為病毒?？墒?，從表面角度來(lái)看，普通用戶根本不會(huì)看出其中的貓膩。

實(shí)際上，用戶可以嘗試認(rèn)真檢查常用快捷圖標(biāo)所指向的網(wǎng)站地址或應(yīng)用程序，來(lái)識(shí)別它們是否為網(wǎng)絡(luò)病毒或木馬程序，要是它們指向未知的應(yīng)用程序或網(wǎng)絡(luò)站點(diǎn)，那基本就能判斷出該快捷圖標(biāo)為未知病毒程序的快捷方式。在進(jìn)行這種識(shí)別檢查操作時(shí)，可以用鼠標(biāo)右鍵單擊特定快捷圖標(biāo)，從彈出的右鍵菜單中選擇“屬性”命令，切換到如圖4所示的屬性對(duì)話框，在“目標(biāo)”位置處就能直觀看出當(dāng)前快捷圖標(biāo)究竟指向哪里了。要是確認(rèn)其為網(wǎng)絡(luò)病毒或木馬程序的快捷方式時(shí)，必須立即打開該快捷圖標(biāo)的右鍵菜單，選擇“刪除”選項(xiàng)，將其從Windows系統(tǒng)中刪除出去。

如果認(rèn)為手工搜索未知程序快捷圖標(biāo)比較麻煩時(shí)，也可以通過(guò)360安全衛(wèi)士等外力工具，對(duì)本地計(jì)算機(jī)系統(tǒng)進(jìn)行全面、徹底地掃描，這樣就可以快速高效地將存在問(wèn)題的未知快捷方式掃描出來(lái)，同時(shí)可以自動(dòng)刪除它們，避免它們威脅本地系統(tǒng)安全。