主动防御 谨防安全死角

2015-11-30 08:27
网络安全和信息化 2015年4期
关键词:注册表文件夹对话框

防范Thumbs.db文件惹祸

大家知道,Thumbs.db文件在开启了缩略图这种图片查看方式时,才会自动生成,该文件中缓存有特定文件夹中所有缩略图的内容。对于一些极度隐私的图片内容,很多人为了安全起见,往往会在用完之后及时删除掉,以防泄密事件发生。可是,仅仅删除原始图片文件并不安全,原始图片的缩略图内容仍然存在于Thumbs.db文件中,一些别有用心之人可以通过专业工具,轻松查看到缩略图缓存中的内容,也就是保存在Thumbs.db文件中的内容。很显然,Thumbs.db文件存在安全泄密的风险。

图1 标签设置页面

为了预防Thumbs.db文件惹祸,首先我们可以通过批处理文件方式,删除已经位于各个不同磁盘分区下的Thumbs.db文件。要做到这一点,只要先开启记事本程序,弹出文件编辑窗口,在其中输入如下命令代码:

在确认上面的代码内容输入正确后,依次点击“文件”、“保存”命令,生成一个“aaa.bat”批处理文件。日后,我们只要用鼠标双击该批处理文件,就能自动删除每给磁盘分区中的缩略图缓存内容了。

当然,在这里大家可以根据实际情况添加或调整有关的代码内容,确保将位于所有位置处的Thumbs.db文件都删除掉。

其次,停用缩略图缓存功能,强制Windows系统不自动生成Thumbs.db文件。用鼠标双击系统桌面上的“我的电脑”图标,进入我的电脑管理窗口,依次点击该窗口菜单栏中的“工具”、“文件夹选项”命令,弹出文件夹选项设置对话框。选择“查看”标签,进入如图1所示的标签设置页面,将“高级设置”列表下的“不缓存缩略图”选项取消选中,单击“确定”按钮保存设置操作。这样,Thumbs.db文件就永远不会再惹祸了。

图2 标签设置页面

防范系统文件夹惹祸

系统文件夹本来是存储各式各样系统文件的地方,它是为保障系统正常运行而专门设立的,只有system或administrator权限的用户才能对其进行各种操作,其他任何用户都无权管理它。

正是基于这一点,很多病毒木马程序为了躲避杀毒软件的“围剿”,往往会将自己伪装成系统文件,并藏身到系统文件夹中,这样杀毒软件即使能发现它们,也对它们没有任何办法。

为了不让系统文件夹成为病毒木马的“帮凶”,首先我们需要将隐藏在该文件夹中的病毒文件删除掉。例如,要删除位于“System Volume Information”系统文件夹中的病毒时,可以先打开系统资源管理器窗口,依次点击该窗口菜单栏中的“工具”、“文件夹选项”命令,弹出文件夹选项设置对话框。选择“查看”标签,在对应标签页面中,将“隐藏受保护的操作系统文件”、“使用简单文件共享”等选项取消选中,确认后进入系统分区窗口。从中找到“System Volume Information”系统文件夹,打开它的右键菜单,点击“属性”命令,进入对应系统文件夹属性对话框。点击“安全”标签,打开如图2所示的标签设置页面,逐一点击“添加”、“高级”、“立即查找”按钮,从中选择并导入当前正在使用的登录账号,之后将其操作权限设置为“完全控制”。经过这样设置后,当前账号用户就能在“System Volume Information”系统文件夹中,手工删除被杀毒软件发现的病毒木马文件了。

其次取消特定系统文件夹的访问权限。例如,要取消普通用户访问“system32”系统文件夹的修改权限时,只要在系统资源管理器窗口中找到并选中目标文件夹,同时右击该文件夹,点选右键菜单中的“属性”命令,展开特定系统文件夹属性对话框,点击“安全”标签,在其后标签页面中按下“高级”按钮,切换到指定文件夹高级对话框。单击“权限”标签,导入并选中“everyone”账号,同时单击“编辑”按钮,在其后界面中仅将“读取”权限授予该用户账号,确认后保存设置操作。之后将其他用户账号从权限列表中删除,确保只有当前登录账号可以正常读写特定系统文件夹。

防范index.dat文件惹祸

一些恶意用户常常会通过查看Internet临时文件的方式,来获取他人的上网访问隐私,所以为了避免自己的隐私外泄,很多人会定期打开Internet选项设置对话框,在常规标签页面中,及时删除上网历史记录、临时文件、表单记录、Cookies内容。

其实,仅仅删除这些内容,还无法保证自己的上网隐私不被他人偷窥,因为上网隐私还会存储在Internet临时文件夹下面的index.dat文件中,而普通的方法是无法删除干净该文件中内容的。

恶意用户可以借助专业工具,能轻松查看到保存在index.dat文件中的上网历史记录。例如,使用“index.dat文件查看器”这款外力工具,用户能很方便地读出index.dat文件中的内容,直观查看到以前访问过的网页地址,以及具体的访问时间。

很显然,不将index.dat文件及时删除掉,我们的上网隐私仍然存在外泄的可能。

图3 鼠标定位注册表分支

图4 展开注册表分支

为了防范index.dat文件惹祸,我们唯一要做的就是及时将该文件删除掉。不过,index.dat文件属于系统文件,按常规方法不能直接删除,这时我们不妨利用“Tracks Eraser Pro”这款专业工具来删除它。只要启动该工具的运行状态,在该程序界面的左侧任务列表中,能直观看到许多可以被直接删除的项目,选中index.dat文件选项,点击“Erase Now”按钮,指定文件就被成功删除掉了。这时,再次使用“index.dat文件查看器”工具尝试读写index.dat文件时,会发现读写内容是空白,这就意味着index.dat文件内容已经被清除干净了。

防范系统启动项惹祸

有的时候,网络病毒、木马会将自己“乔装”成系统启动项,躲藏到系统注册表的启动项列表或服务列表中,日后它们会以自启动项或系统服务方式发作运行,从而给本地运行带来安全威胁。为了防范病毒、木马躲藏到系统启动项或服务列表中,我们不妨修改系统注册表相关键值,下面就是具体的操作步骤:

例如,要防范恶意程序将启动项添加到注册表的自启动列表中时,只要依次单击“开始”、“运行”命令,弹出系统运行对话框,输入“regedit”命令并回车,开启注册表编辑器运行状态。在该窗口左侧区域,将鼠标定位到注册表分 支“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”上(如图3所示),逐一点击“编辑”、“权限”命令,展开特定分支选项的权限对话框,在“组或用户名称”列表中选择“everyone”帐号,将其“读取”权限修改为“允许”,将其他权限修改为“拒绝”,再将其他用户账号删除掉,确认后保存设置操作。

之后,分别将鼠标定位 到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce”、“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”等注册表分支上,将这些分支选项的“everyone”帐号权限也修改为“只读”,同时删除其他用户账号,最后重新启动计算机系统。这样,病毒、木马等恶意程序就无法通过系统注册表启动项来惹祸了。

图5 标签设置页面

此外,为了防范恶意程序将启动项添加到服务列表中,以系统服务方式惹祸,我们可以打开注册表编辑窗口,依次展开注册表分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”(如图4所示),展开对应分支选项的权限设置对话框。在“组或用户名称”设置项处,将“everyone”账号“读取”权限修改为“允许”,将其他权限修改为“拒绝”,同时将其他一些陌生或可疑用户账号全部删除掉,再重新启动计算机系统即可。

防范浏览主页面惹祸

在上网冲浪时,IE的浏览主页面常常会被病毒、木马程序盯上,成为恶意程序的运行跳板,用户只要卡其IE浏览器窗口,隐藏在主页面背后的病毒、木马就能自动发作运行。为了防范IE浏览器主页面惹祸,我们可以采取下面的一些措施:

首先,将IE的浏览主页面恢复为空白或合法内容。打开IE浏览器窗口,依次点击“工具”、“Internet选项”命令,弹出Internet选项设置框,点击“常规”标签,进入如图5所示的标签设置页面。单击“使用空白页”按钮,将IE的浏览主页面恢复为空白内容。

当然,也可以在“主页”地址框中,直接输入自己认为合法可信的地址,单击“确定”按钮保存设置操作。

其次,限制主页设置调整权限。为了防止恶意程序随意修改浏览主页面设置,我们可以依次单击“开始”、“运行”命令,打开系统运行对话框,输入“regedit”命令,弹出注册表编辑窗口。将鼠标定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”注册表分支上,逐一单击“编辑”、“权限”选项,弹出特定选项权限设置对话框;在“组或用户名称”位置处,将“everyone”账号“读取”权限修改为“允许”,将其他权限修改为“拒绝”,同时将其他一些无关的用户账号依次删除掉。

同样地,将鼠标定位到“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”注册表分支上,在对应分支的权限设置框中,将“everyone”账号“读取”权限修改为“允许”,将其他权限修改为“拒绝”,同时将其他一些陌生或可疑用户账号全部删除掉,再重新启动计算机系统即可。那样,病毒、木马程序日后就无法通过IE浏览器主页面来攻击本地计算机了。

猜你喜欢
注册表文件夹对话框
正常恢复虚拟机
Bootlace Worms’Secret etc.
What Is Beauty?
更上一层楼 用好注册表编辑器
摸清超标源头 大文件夹这样处理
调动右键 解决文件夹管理三大难题
注册表的便捷用法
浅谈VB的通用对话框《CommonDialog》控件的使用
挂在墙上的文件夹
不容忽视的空文件夹