论文部分内容阅读
网络病毒让人防不胜防,即使定期使用各式各样的杀毒工具将病毒清除干净之后,它们又有可能会卷土重来。那么,如何才能最大限度地预防网络病毒,让病毒无法靠近自己呢?
阻断入侵通道
微软公司很久以前就推出了浏览器辅助对象标准,允许用户可以通过自行编写的命令代码来控制IE浏览器的动作和事件,这些符合浏览器辅助对象标准的应用程序往往会被编译为DLL动态链接库文件,日后用户浏览一些网站的时候,DLL动态链按库文件可能会被自动注册到本地系统注册表中,同时以COM对象形式存在。不过,现在一些病毒为了实现自动加载目的,往往会想方设法地在系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorerk\Browser Helper Objects分支下创建COM对象的类标泌符,以便让IE浏览器每次启动运行后,都能从这里获取加载对象。当然,寻找潜藏在系统中的浏览器辅助对象应用程序,并将它们从系统中删除掉,并不是我们的主要目标,为了保护本地系统的安全,我们需要想办法禁止非法的浏览器辅助对象应用程序,通过IE浏览器进行恶意入侵。
及时打上补丁
IE先天性的安全漏洞,常常会成为许多黑客人侵本地系统的“通道”,如果我们没有养成定期安装漏洞补丁程序的好习惯,那就随时有遭遇网络病毒攻击的危险。因此,为了保护系统的运行安全,IE浏览器的漏洞补丁程序该打还要打;在打补丁程序的时候,应该依次单击“开始”“设置”“控制面板”命令,在弹出的系统控制面板窗口中,双击“Windows Update”图标,在其后界面中单击“检查更新”按钮,随后Windows系统会自动扫描本地系统(如图1所示),如果发现有新的漏洞补丁程序,系统会提示有多少个更新补丁可以利用,单击“安装更新”按钮就会自动执行补丁安装操作。
禁用控件脚本
许多病毒木马往往需要通过脚本、控件才能进行自动激活,要是阻止IE浏览器自动运行脚本程序或者禁止控件自动下载,那么网络病毒就不会对本地系统造成威胁。在禁止各类脚本程序时,可以先启动运行IE浏览器程序,依次单击浏览窗口工具栏中的“工具”“Internet选项”命令,切换到Internet选项设置对话框,点选“安全”标签,打开如图2所示的标签设置页面,单击其中的“自定义级别”按钮,在安全设置列表中,找到“脚本”设置项,将“活动脚本”和“Java小程序脚本”全部设置为“禁用”,再按“确定”按钮保存设置操作。同样地,找到“ActiveX控件和插件”设置项,将ActiveX控件自动提示、对未标记未可安全执行脚本的ActiveX控件初始化并执行脚本这几个参数都设置为“禁用”,再按“确定”按钮保存设置操作。
当然,根据实际使用情况来看,在许多安全性要求不高的场合下,我们也可以不进行这一步设置,否则可能会造成许多站点的页面效果或网站功能无法发挥作用,甚至会造成用户不能正常上网浏览信息。
拒绝修改键值
考虑到不少病毒、木马程序都是通过浏览器辅助对象与IE浏览器发生联系的,如果拒绝普通用户修改系统相关注册表键值,那么就能切断病毒、木马与IE浏览器之问的联系。在进行这种设置操作时,可以依次单击“开始”“运行”命令,弹出系统运行对话框,输入“regedit”命令,打开系统注册表编辑窗口;
其次将鼠标定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects分支上(如图3所示),依次单击菜单栏中的“编辑”“权限”命令,展开权限设置对话框,单击“高级”按钮,切换到高级设置框,在“权限”标签设置页面中单击“添加”按钮,将自己的登录账号选中并添加进来,再为对应账号赋予“读取控制”、“查询数值”权限,最后按“确定”按钮保存设置操作。
同样地,我们也可以对Network Service、LocalService、System等对象的访问权限进行设置,确保病毒或其他流氓程序以各种对象的形式出现在系统注册表中,这样IE浏览器被病毒、木马利用的机率就会大大减少了。
阻断传播通道
为了提高自身的传播复制能力,有些病毒会将移动存储设备的自动运行性能利用得淋漓尽致。例如,优盘病毒就是充分利用了磁盘的自动播放功能,实现大面积传播、扩散的。
修改组策略
为了阻断这类病毒的传播通道,我们可以禁用移动存储设备的自动播放功能,在进行这类操作时,可以依次单击“开始”“运行”命令,在系统运行对话框中,输入“gpedit.msc”命令,按回车键后,切换到系统组策略编辑窗口;选中该窗口左侧列表区域的“本地计算机策”节点,从目标节点下逐一展开“计算机配置”“管理模板”“系统”选项,用鼠标双击右侧列表区域的“关闭自动播放”选项,展开目标组策略选项设置框;选中“已启用”选项,同时从关闭自动播放列表中选择移动存储介质,再按“应用”按钮执行设置保存操作。不过,上面的配置操作仅对Windows XP系统有效,在Vista以上版本系统中,需要从“计算机配置”“管理模板”“Windows组件”“自动播放策略”分支下打开“关闭自动播放”组策略选项设置框,如图4所示,再选择“已启用”选项即可。
修改注册表
除了通过修改组策略,来达到禁止移动存储设备自动播放外,对注册表编辑操作熟悉的用户也可以通过编辑相关注册表键值的方法,不让移动存储设备自动播放。例如,打开系统注册表编辑窗口,从该窗口左侧显示区域找到如下分支:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoHcies\Explorer,双击该分支下的“NoDriveTypeAutoRun”注册表键值;在其后弹出的编辑数值对话框中,输入“十六进制”的“4”,按“确定”按钮,再刷新一下系统注册表,这样就能禁止移动存储设备自动播放了。当然,我们也可以将鼠标定位到注册表编辑窗口左侧区域的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2分支上,依次单击“编辑”、“权限”命令,展开权限设置对话框,在这里将目标分支设置成对所有用户全部拒绝,如此一来autorun病毒程序由于操作权限不够,而无法自动激活运行了。
创建同名文件
autorun病毒程序几乎都是利用autorun.inf文件,来实现病毒自动激活、传播的,要是用户事先在移动存储介质根目录中手工创建一个名称完全一样的autorun.inf文件时,那么根据Windows系统在同一个文件夹中不能有同名文件的规定,autorun病毒程序自然就无法将病毒配置文件直接复制到移动存储介质根目录中了,如此一来就能阻断病毒通过移动存储传播的通道了。
借助优盘配额
倘若移动存储介质使用了NTFS分区格式,那么我们还能通过Windows系统自带的磁盘配额功能,来预防病毒通过移动存储介质入侵系统。磁盘配额功能实际上就是为用户事先划分了一定大小的磁盘空间,要是超出规定的大小,那么Windows系统就会提示无法写入!在启用移动存储介质的磁盘配额功能时,可以先进入系统的“计算机”窗口,从中找到目标磁盘分区图标,同时用鼠标右击该图标,执行右键菜单中的“属性”命令,切换到移动存储介质的属性对话框;选择“配额”选项卡,打开如图5所示的选项设置页面,将“启用配额管理”项目选中,同时将磁盘空间修改为“1”KB,这样任何autorun病毒文件都将不能写入到目标移动存储介质中,从而确保了移动存储介质的使用安全。当然,日后自己需要向移动存储介质中写入文件时,可以临时关闭磁盘配额功能,恢复移动存储介质的文件写入权限。
阻断运行通道
病毒要是将自身文件成功复制到本地磁盘,它就会想方设法地运行自己,如果能提前知晓病毒文件的名称,我们就能阻断这些病毒文件的运行通道了。
在阻断病毒运行通道时,可以利用系统的软件限制策略来实现,在进行这种操作时,只要依次单击“开始”“设置”“控制面板”选项,在弹出的系统控制面板窗口中,逐一双击“管理工具”“本地安全策略”图标,切换到本地安全策略管理窗口;在该管理窗口的左侧列表区域中,展开“软件限制策略”节点,在该节点下我们可以自由定义哪些程序或呵执行文件是不允许系统自动运行的,此外还可以利用新敞列规则和新路径规则对特殊类型的文件进行管理和约束。
比方说,要想限制iexplerer病毒程序的自动运行时,可以从“软件限制策略”节点下面新建路径规则,在其后弹出的新建路径对话框中,将路径设置为“iexp*.exe”,从安全级别下拉列表中选择“不允许”,再单击“确定”按钮保存设置操作。此时,启动运行IE浏览器时,系统会弹出禁止运行的提示,这说明之前设置的路径规则已经生效,因为IE浏览器的应用程序名称为“iexplorer.exe”,所以浚程序会被强行禁止运行。为了能让IE不受影响,我们还需要定义散列规则,让正常的应用程序排除在外;在进行这种定义操作时,先从“软件限制策略”节点下面新建散列规则,在其后弹出的规则对话框中,单击“浏览”按钮将“iexplorer.exe”导入进来,同时从安全级别下拉列表巾选择“不受限制”选项,再单击“确定”按钮保存设置操作,这样就能实现禁止iexplerer病毒程序运行的目的了,而IE浏览器的运行不会受到任何影响。显然,通过上述设置方式,我们可以对各种符合条件的未知病毒文件进行阻断运行,确保病毒、木马无法自动运行。
阻断写入通道
大家知道,系统注册表中的许多分支键值都是相对固定的,要是被随意修改、编辑的话,系统的运行状态可能会受到影响,或者病毒就容易入侵本地系统,所以我们应该充分利用Windows系统白带的安全策略功能,来保护重要的注册表分支项日,让普通用户只能对它们进行常规的读取操作,而无法进行编辑、修改操作。一般来说,病毒、木马程序最喜欢修改注册表的Run、RunOnce、RunServicesOnce、RunServices、RunOnceEx、load、Winlogon等分支键值,控制好这些分支键值的写入权限,就能阻断病毒写入通道,拒绝病毒威胁本地安全。
Run键是病毒经常躲避的场所,该键主要位于注册表中的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”分支和“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”分支(如图6所示),这些分支下的所有程序在每次系统启动成功都会按顺序自动执行。此外,在系统注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”分支和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”分支下,也有Run键内容,对上述四个分支的读取权限进行严格控制,就能避免病毒将启动项写入到Run键中了。
RunOnce键也是病毒、木马青睐的地方,它通常能于“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”分支和“HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce”分支下,与Run键稍有不同的是,RunOnce键下的启动程序只会被Windows系统自动执行一次,对这两个位置处的RunOnce键权限进行控制,也能预防注册表启动项内容被恶意修改。对于其他启动键值在注册表中的位置,网络中都能查到,本文在这里就省略不再描述了。
通过阻断写入通道,病毒即使能够意外运行,但也只是昙花一现,只要我们重新启动计算机系统,那么病毒就再也无法自动运行了,这个效果就象计算机中安装了还原卡一样,十分实用。
也许经过全面阻断的计算机系统操作起来,可能没有正常的流畅,不过与病毒入侵后无法使用系统相比,相信没有多少朋友会在意这点不便!
阻断入侵通道
微软公司很久以前就推出了浏览器辅助对象标准,允许用户可以通过自行编写的命令代码来控制IE浏览器的动作和事件,这些符合浏览器辅助对象标准的应用程序往往会被编译为DLL动态链接库文件,日后用户浏览一些网站的时候,DLL动态链按库文件可能会被自动注册到本地系统注册表中,同时以COM对象形式存在。不过,现在一些病毒为了实现自动加载目的,往往会想方设法地在系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorerk\Browser Helper Objects分支下创建COM对象的类标泌符,以便让IE浏览器每次启动运行后,都能从这里获取加载对象。当然,寻找潜藏在系统中的浏览器辅助对象应用程序,并将它们从系统中删除掉,并不是我们的主要目标,为了保护本地系统的安全,我们需要想办法禁止非法的浏览器辅助对象应用程序,通过IE浏览器进行恶意入侵。
及时打上补丁
IE先天性的安全漏洞,常常会成为许多黑客人侵本地系统的“通道”,如果我们没有养成定期安装漏洞补丁程序的好习惯,那就随时有遭遇网络病毒攻击的危险。因此,为了保护系统的运行安全,IE浏览器的漏洞补丁程序该打还要打;在打补丁程序的时候,应该依次单击“开始”“设置”“控制面板”命令,在弹出的系统控制面板窗口中,双击“Windows Update”图标,在其后界面中单击“检查更新”按钮,随后Windows系统会自动扫描本地系统(如图1所示),如果发现有新的漏洞补丁程序,系统会提示有多少个更新补丁可以利用,单击“安装更新”按钮就会自动执行补丁安装操作。
禁用控件脚本
许多病毒木马往往需要通过脚本、控件才能进行自动激活,要是阻止IE浏览器自动运行脚本程序或者禁止控件自动下载,那么网络病毒就不会对本地系统造成威胁。在禁止各类脚本程序时,可以先启动运行IE浏览器程序,依次单击浏览窗口工具栏中的“工具”“Internet选项”命令,切换到Internet选项设置对话框,点选“安全”标签,打开如图2所示的标签设置页面,单击其中的“自定义级别”按钮,在安全设置列表中,找到“脚本”设置项,将“活动脚本”和“Java小程序脚本”全部设置为“禁用”,再按“确定”按钮保存设置操作。同样地,找到“ActiveX控件和插件”设置项,将ActiveX控件自动提示、对未标记未可安全执行脚本的ActiveX控件初始化并执行脚本这几个参数都设置为“禁用”,再按“确定”按钮保存设置操作。
当然,根据实际使用情况来看,在许多安全性要求不高的场合下,我们也可以不进行这一步设置,否则可能会造成许多站点的页面效果或网站功能无法发挥作用,甚至会造成用户不能正常上网浏览信息。
拒绝修改键值
考虑到不少病毒、木马程序都是通过浏览器辅助对象与IE浏览器发生联系的,如果拒绝普通用户修改系统相关注册表键值,那么就能切断病毒、木马与IE浏览器之问的联系。在进行这种设置操作时,可以依次单击“开始”“运行”命令,弹出系统运行对话框,输入“regedit”命令,打开系统注册表编辑窗口;
其次将鼠标定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObjects分支上(如图3所示),依次单击菜单栏中的“编辑”“权限”命令,展开权限设置对话框,单击“高级”按钮,切换到高级设置框,在“权限”标签设置页面中单击“添加”按钮,将自己的登录账号选中并添加进来,再为对应账号赋予“读取控制”、“查询数值”权限,最后按“确定”按钮保存设置操作。
同样地,我们也可以对Network Service、LocalService、System等对象的访问权限进行设置,确保病毒或其他流氓程序以各种对象的形式出现在系统注册表中,这样IE浏览器被病毒、木马利用的机率就会大大减少了。
阻断传播通道
为了提高自身的传播复制能力,有些病毒会将移动存储设备的自动运行性能利用得淋漓尽致。例如,优盘病毒就是充分利用了磁盘的自动播放功能,实现大面积传播、扩散的。
修改组策略
为了阻断这类病毒的传播通道,我们可以禁用移动存储设备的自动播放功能,在进行这类操作时,可以依次单击“开始”“运行”命令,在系统运行对话框中,输入“gpedit.msc”命令,按回车键后,切换到系统组策略编辑窗口;选中该窗口左侧列表区域的“本地计算机策”节点,从目标节点下逐一展开“计算机配置”“管理模板”“系统”选项,用鼠标双击右侧列表区域的“关闭自动播放”选项,展开目标组策略选项设置框;选中“已启用”选项,同时从关闭自动播放列表中选择移动存储介质,再按“应用”按钮执行设置保存操作。不过,上面的配置操作仅对Windows XP系统有效,在Vista以上版本系统中,需要从“计算机配置”“管理模板”“Windows组件”“自动播放策略”分支下打开“关闭自动播放”组策略选项设置框,如图4所示,再选择“已启用”选项即可。
修改注册表
除了通过修改组策略,来达到禁止移动存储设备自动播放外,对注册表编辑操作熟悉的用户也可以通过编辑相关注册表键值的方法,不让移动存储设备自动播放。例如,打开系统注册表编辑窗口,从该窗口左侧显示区域找到如下分支:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoHcies\Explorer,双击该分支下的“NoDriveTypeAutoRun”注册表键值;在其后弹出的编辑数值对话框中,输入“十六进制”的“4”,按“确定”按钮,再刷新一下系统注册表,这样就能禁止移动存储设备自动播放了。当然,我们也可以将鼠标定位到注册表编辑窗口左侧区域的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2分支上,依次单击“编辑”、“权限”命令,展开权限设置对话框,在这里将目标分支设置成对所有用户全部拒绝,如此一来autorun病毒程序由于操作权限不够,而无法自动激活运行了。
创建同名文件
autorun病毒程序几乎都是利用autorun.inf文件,来实现病毒自动激活、传播的,要是用户事先在移动存储介质根目录中手工创建一个名称完全一样的autorun.inf文件时,那么根据Windows系统在同一个文件夹中不能有同名文件的规定,autorun病毒程序自然就无法将病毒配置文件直接复制到移动存储介质根目录中了,如此一来就能阻断病毒通过移动存储传播的通道了。
借助优盘配额
倘若移动存储介质使用了NTFS分区格式,那么我们还能通过Windows系统自带的磁盘配额功能,来预防病毒通过移动存储介质入侵系统。磁盘配额功能实际上就是为用户事先划分了一定大小的磁盘空间,要是超出规定的大小,那么Windows系统就会提示无法写入!在启用移动存储介质的磁盘配额功能时,可以先进入系统的“计算机”窗口,从中找到目标磁盘分区图标,同时用鼠标右击该图标,执行右键菜单中的“属性”命令,切换到移动存储介质的属性对话框;选择“配额”选项卡,打开如图5所示的选项设置页面,将“启用配额管理”项目选中,同时将磁盘空间修改为“1”KB,这样任何autorun病毒文件都将不能写入到目标移动存储介质中,从而确保了移动存储介质的使用安全。当然,日后自己需要向移动存储介质中写入文件时,可以临时关闭磁盘配额功能,恢复移动存储介质的文件写入权限。
阻断运行通道
病毒要是将自身文件成功复制到本地磁盘,它就会想方设法地运行自己,如果能提前知晓病毒文件的名称,我们就能阻断这些病毒文件的运行通道了。
在阻断病毒运行通道时,可以利用系统的软件限制策略来实现,在进行这种操作时,只要依次单击“开始”“设置”“控制面板”选项,在弹出的系统控制面板窗口中,逐一双击“管理工具”“本地安全策略”图标,切换到本地安全策略管理窗口;在该管理窗口的左侧列表区域中,展开“软件限制策略”节点,在该节点下我们可以自由定义哪些程序或呵执行文件是不允许系统自动运行的,此外还可以利用新敞列规则和新路径规则对特殊类型的文件进行管理和约束。
比方说,要想限制iexplerer病毒程序的自动运行时,可以从“软件限制策略”节点下面新建路径规则,在其后弹出的新建路径对话框中,将路径设置为“iexp*.exe”,从安全级别下拉列表中选择“不允许”,再单击“确定”按钮保存设置操作。此时,启动运行IE浏览器时,系统会弹出禁止运行的提示,这说明之前设置的路径规则已经生效,因为IE浏览器的应用程序名称为“iexplorer.exe”,所以浚程序会被强行禁止运行。为了能让IE不受影响,我们还需要定义散列规则,让正常的应用程序排除在外;在进行这种定义操作时,先从“软件限制策略”节点下面新建散列规则,在其后弹出的规则对话框中,单击“浏览”按钮将“iexplorer.exe”导入进来,同时从安全级别下拉列表巾选择“不受限制”选项,再单击“确定”按钮保存设置操作,这样就能实现禁止iexplerer病毒程序运行的目的了,而IE浏览器的运行不会受到任何影响。显然,通过上述设置方式,我们可以对各种符合条件的未知病毒文件进行阻断运行,确保病毒、木马无法自动运行。
阻断写入通道
大家知道,系统注册表中的许多分支键值都是相对固定的,要是被随意修改、编辑的话,系统的运行状态可能会受到影响,或者病毒就容易入侵本地系统,所以我们应该充分利用Windows系统白带的安全策略功能,来保护重要的注册表分支项日,让普通用户只能对它们进行常规的读取操作,而无法进行编辑、修改操作。一般来说,病毒、木马程序最喜欢修改注册表的Run、RunOnce、RunServicesOnce、RunServices、RunOnceEx、load、Winlogon等分支键值,控制好这些分支键值的写入权限,就能阻断病毒写入通道,拒绝病毒威胁本地安全。
Run键是病毒经常躲避的场所,该键主要位于注册表中的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”分支和“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”分支(如图6所示),这些分支下的所有程序在每次系统启动成功都会按顺序自动执行。此外,在系统注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”分支和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”分支下,也有Run键内容,对上述四个分支的读取权限进行严格控制,就能避免病毒将启动项写入到Run键中了。
RunOnce键也是病毒、木马青睐的地方,它通常能于“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce”分支和“HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce”分支下,与Run键稍有不同的是,RunOnce键下的启动程序只会被Windows系统自动执行一次,对这两个位置处的RunOnce键权限进行控制,也能预防注册表启动项内容被恶意修改。对于其他启动键值在注册表中的位置,网络中都能查到,本文在这里就省略不再描述了。
通过阻断写入通道,病毒即使能够意外运行,但也只是昙花一现,只要我们重新启动计算机系统,那么病毒就再也无法自动运行了,这个效果就象计算机中安装了还原卡一样,十分实用。
也许经过全面阻断的计算机系统操作起来,可能没有正常的流畅,不过与病毒入侵后无法使用系统相比,相信没有多少朋友会在意这点不便!