關(guān)閉網(wǎng)絡(luò)病毒“保護傘”

引言：在病毒木馬層出不窮的今天，每臺上網(wǎng)的計算機系統(tǒng)，幾乎免不了要與病毒、木馬不期而遇。為了躲避各式安全工具的查殺，這些病毒、木馬常常會煞費苦心，在Windows系統(tǒng)中尋找各自的“保護傘”，希望在它們的庇護下，能安全地隨系統(tǒng)啟動而自動發(fā)作運行。為此，我們有必要著眼Windows系統(tǒng)自身，通過正確的設(shè)置，關(guān)閉網(wǎng)絡(luò)病毒“保護傘”，讓它們無處藏身，確保系統(tǒng)遠離非法攻擊！

關(guān)閉特定目錄“保護傘”

Windows系統(tǒng)中有一些特殊目錄，能對保存在其中的內(nèi)容提供安全保護，任何程序或用戶都無權(quán)將其刪除。如果病毒程序選擇這類特殊目錄作為“保護傘”時，安全工具即使掃描到了它們，也無法將它們從系統(tǒng)中直接刪除掉，日后等待機會，它們將會“卷土重來”。為此，我們可以進行下面的操作，關(guān)閉特定目錄“保護傘”，讓病毒、木馬程序無法藏身其中：

首先，清除特定目錄下的已有病毒文件。病毒、木馬特別喜歡選擇“system32”、“drivers”之類的系統(tǒng)目錄作為自己的“保護傘”，也喜歡選擇一些自啟動應(yīng)用程序的安裝目錄作為“保護傘”，這些特殊目錄默認會處于隱藏狀態(tài)。在清除這些目錄下的陌生文件時，先要用鼠標雙擊系統(tǒng)桌面上的“我的電腦”或“計算機”圖標，從其后彈出的窗口中，逐一點選菜單欄中的“工具”、“文件夾選項”命令，展開文件夾選項設(shè)置對話框，點選“查看”選項卡，彈出如圖1所示的選項設(shè)置頁面。勾選“顯示所有文件和文件夾”選項，取消勾選“隱藏受系統(tǒng)保護的操作系統(tǒng)文件”，確認后保存設(shè)置操作。這時，打開系統(tǒng)資源管理器窗口，進入特定目錄窗口，從中找到網(wǎng)絡(luò)病毒文件，直接采用手工方法進行刪除。如果看到目標病毒文件無法采用手工方法刪除時，不妨嘗試通過瑞星卡卡之類的專業(yè)工具直接進行文件粉碎操作。

其次，對特殊目錄進行授權(quán)保護。為了不讓病毒、木馬下次再將特殊目錄作為“保護傘”，需要修改它們的訪問權(quán)限，禁止病毒木馬將惡意文件保存其中。例如，在對“system32”目錄進行授權(quán)保護時，先找到并選中該特殊目錄，同時右擊該目錄圖標，單擊快捷菜單中的“屬性”命令，切換到特定目錄屬性對話框，選擇“安全”選項卡，在其后選項設(shè)置頁面中按下“高級”按鈕，展開特定目錄高級對話框。下面選擇“權(quán)限”選項卡，選中并加入“everyone”賬號，再按下“編輯”按鈕，彈出如圖2所示的設(shè)置對話框，在這里僅將“讀取”權(quán)限授予合法可信用戶賬號，確認后退出設(shè)置對話框。這樣，任何病毒程序都將不能將“system32”這個特殊目錄作為自己的“保護傘”了。

圖1 選項設(shè)置頁面

圖2 設(shè)置對話框

圖3 設(shè)置對話框

關(guān)閉回收站“保護傘”

眾所周知，系統(tǒng)回收站中的數(shù)據(jù)文件經(jīng)常會受到Windows的自動保護，而一些狡猾的病毒、木馬程序自然也深諳此道，它們也愿意將系統(tǒng)回收站作為自己的“保護傘”，讓安全工具根本對它們無可奈何。實際上，大家可以調(diào)整系統(tǒng)回收站的屬性，讓系統(tǒng)被刪除的文件不保存到回收站中，而是直接被徹底刪除，這樣網(wǎng)絡(luò)病毒就沒有了“保護傘”，下面就是詳細的操作步驟：

首先找到系統(tǒng)桌面上的系統(tǒng)回收站圖標，打開它的右鍵菜單，點選“屬性”命令，彈出系統(tǒng)回收站屬性設(shè)置對話框。點選“全局”選項卡，展開如圖3所示的選項設(shè)置頁面。接著看看“刪除時不將文件移入回收站，而是徹底刪除”選項有沒有被勾選，如果看到其沒有被勾選時，應(yīng)該立即將它重新勾選起來，確認后保存設(shè)置操作即可。當然，系統(tǒng)回收站中如果已經(jīng)保存有垃圾文件時，必須先要對其執(zhí)行垃圾清空操作，確保病毒、木馬程序無法利用垃圾文件，作為自己的安全“保護傘”。

關(guān)閉注冊表“保護傘”

注冊表對于系統(tǒng)的影響是相當大的，一些病毒、木馬程序在發(fā)作運行時，喜歡將系統(tǒng)的注冊表作為“保護傘”，以便實現(xiàn)跟隨系統(tǒng)一起啟動運行目的。為了不讓系統(tǒng)注冊表成為病毒、木馬的“保護傘”，我們可以嚴格控制注冊表啟動項的訪問權(quán)限，拒絕病毒、木馬隨意將惡意程序隱藏到注冊表啟動分支下。

例如，系統(tǒng)注冊表中的HKEY_CURRENT_USERSoft wareMicrosoftWindowsCurrentVersionRun、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、HKEY_CURRENT_USERSoft wareMicrosoftWindows NTCurrentVersionWindows、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce等分支下，就包含一些自啟動程序的配置信息，病毒木馬常常會將自身隱藏在這些分支下。

圖4 注冊表分支

為了關(guān)閉注冊表“保護傘”，我們可以依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。將鼠標定位到特定注冊表分支下（如圖4所示），逐一單擊“編輯”、“權(quán)限”命令，展開特定分支選項的權(quán)限編輯對話框，在“組或用戶名稱”設(shè)置項處選中“everyone”賬號，授予該賬號正常的“讀取”權(quán)限，將其他權(quán)限修改為“拒絕”，之后逐一將其他不可信用戶賬號刪除掉，確認后退出權(quán)限對話框。這樣，病毒木馬程序就無法對特定注冊表分支進行隨意修改，那么注冊表也就不能作為它們的安全“保護傘”了。

當然，系統(tǒng)注冊表中還有許多分支會被病毒、木馬程序當作“保護傘”，例如注冊表分支HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain、HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN等被病毒非法修改時，IE瀏覽器的默認主頁面中就可能潛藏有病毒、木馬程序。這時，打開系統(tǒng)注冊表編輯窗口，找到目標注冊表分支選項，再依次單擊“編輯”、“權(quán)限”選項，切換到目標分支的權(quán)限設(shè)置對話框。在“組或用戶名稱”位置處，將“everyone”的“讀取”權(quán)限調(diào)整為“允許”，將其他權(quán)限調(diào)整為“拒絕”，同時將其他一些不信任的用戶賬號逐一刪除掉即可。

此外，病毒、木馬程序也有可能將惡意文件悄悄隱藏到IE瀏覽器的缺省搜索頁面中，因為，我們還需要進行相同的操作，在系統(tǒng)注冊表的HKEY_CURRENT_USERSoft wareMicrosoftInternet ExplorerUrlSearchHooks、HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerUrlSearchHooks等分支上，控制“everyone”賬號的訪問權(quán)限，讓其只可以進行讀取操作，而不能擁有更多的操作權(quán)限。

關(guān)閉系統(tǒng)還原“保護傘”

為了讓遭受意外的Windows系統(tǒng)快速恢復(fù)到正常工作狀態(tài)，Windows XP以上版本的操作系統(tǒng)都自帶有系統(tǒng)還原功能，與該功能對應(yīng)的Restore系統(tǒng)文件夾當然也會受到Windows的自動保護，在缺省狀態(tài)下，任何應(yīng)用程序甚至任何個人都無法隨意刪除該文件夾中的數(shù)據(jù)文件，這自然也包括安全軟件了。因此，要是病毒、木馬程序選擇Restore系統(tǒng)文件夾作為安全“保護傘”時，安全軟件對待這些病毒、木馬程序也是望洋興嘆的。為了關(guān)閉系統(tǒng)還原“保護傘”，我們可以進行如下設(shè)置操作，禁止病毒、木馬程序?qū)阂馕募[藏到Restore系統(tǒng)文件夾中：

圖5 選項設(shè)置對話框

首先找到系統(tǒng)桌面上的“我的電腦”或“計算機”圖標，鼠標右鍵單擊該圖標選項，點選右鍵菜單中的“屬性”命令，彈出系統(tǒng)屬性設(shè)置對話框。點擊“系統(tǒng)還原”選項卡，切換到如圖5所示的選項設(shè)置頁面，看看這里的“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”選項是否已經(jīng)被勾選起來，要是看到該選項還沒有被勾選時，只要立即將它重新選中，確認后保存好上述設(shè)置操作。這樣，病毒、木馬程序就無法悄悄隱藏到系統(tǒng)還原文件夾中了，系統(tǒng)還原功能自然就不會成為它們的安全“保護傘”。

關(guān)閉臨時目錄“保護傘”

在通過Windows系統(tǒng)內(nèi)置的IE瀏覽器上網(wǎng)沖浪時，Windows系統(tǒng)會自動生成不少臨時數(shù)據(jù)，這些臨時數(shù)據(jù)集中存儲到一個臨時目錄中，而安全工具對隱藏在臨時目錄中的病毒、木馬文件常常是無能為力。為了關(guān)閉臨時目錄“保護傘”，讓病毒、木馬程序不能隱藏到系統(tǒng)的臨時目錄中，我們必須在使用安全工具查殺病毒木馬之前，及時清除干凈IE臨時文件，下面就是詳細的操作步驟：

首先開啟IE瀏覽器窗口，逐一點選該界面菜單欄中 的“工 具”、“Internet選項”命令，展開Internet選項設(shè)置對話框，點選“常規(guī)”選項卡，同時在對應(yīng)選項設(shè)置頁面中逐一按下“刪除Cookie”、“刪除文件”按鈕，將上網(wǎng)訪問過程中生成的所有Internet臨時文件全部清除干凈。

之后在同樣的選項設(shè)置頁面中，按下“歷史記錄”位置處的“清除歷史記錄”按鈕，將存儲在臨時目錄中的歷史記錄文件也清除干凈，確認后退出設(shè)置對話框。這么一來，病毒、木馬程序日后就不會將臨時目錄作為安全“保護傘”了。

為了防止病毒日后再次非法利用IE瀏覽器的臨時目錄，大家還要打開系統(tǒng)組策略編輯對話框，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”、“其他規(guī)則”節(jié)點上，選中“其他規(guī)則”選項，打開它的右鍵菜單，單擊“新路徑規(guī)則”命令，在“路徑”設(shè)置項處，輸入IE瀏覽器臨時目錄路徑，或者按下“瀏覽”按鈕，將臨時目錄導(dǎo)入進來。再在“安全級別”設(shè)置項處單擊下拉按鈕，從下拉列表中點選“不允許”選項，確認后保存設(shè)置操作。這樣，病毒、木馬程序日后就無法將惡意文件偷偷保存到IE瀏覽器的臨時目錄中了。

關(guān)閉組策略“保護傘”

也有一些病毒、木馬程序喜歡選擇系統(tǒng)組策略，作為安全“保護傘”，它們往往會將惡意文件偷偷隱藏到系統(tǒng)組策略中，讓安全工具不能發(fā)現(xiàn)它們的“影子”。為了關(guān)閉組策略“保護傘”，我們可以進行下面的操作步驟：

首先逐一點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，展開組策略編輯對話框，在該對話框的左側(cè)顯示區(qū)域，將鼠標定位到“本地用戶和組”、“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”分支上。在指定分支的右側(cè)顯示區(qū)域中，用鼠標右鍵單擊“在用戶登錄時運行這些程序”選項，打開選項設(shè)置框，取消“已啟用”選項的選中狀態(tài)，確認后保存設(shè)置操作。這樣，病毒木馬日后無法將自身隱藏到系統(tǒng)組策略的登錄分支下。