未知病毒防护见高招

■

着眼文件防护

有些未知病毒常常将自身文件偷偷植入到被攻击计算机系统中，然后想方设法地运行，要是我们能提前知晓这些病毒的文件名称规律，不妨通过Windows系统的软件限制策略功能，来阻断符合特定规律的病毒文件运行，就能达到防护未知病毒攻击目的。

在通过计算机系统的软件限制策略防护未知病毒攻击时，可以逐一点击“开始”、“设置”、“控制面板”命令，展开系统控制面板窗口，逐一双击“管理工具”、“本地安全策略”图标，弹出本地安全策略管理窗口，在该管理窗口的左侧显示窗格中，找到“软件限制策略”分支，在指定分支下我们可以按需定义哪些程序或可执行文件是不允许Windows系统自动运行的，此外，还可以利用新散列规则和新路径规则对特殊类型的文件进行管理和约束。

图1 设置安全级别参数

例如，要想限制符合“iexp*.exe”文件名称特征的未知病毒程序自动运行时，不妨从“软件限制策略”分支下面新建路径规则，切换到新建路径对话框中，将路径指定为“iexp*.exe”，将安全级别参数设置为“不允许”（如图1所示），确认后退出设置对话框。这个时候，所有符合“iexp*.exe”文件名称特征的程序都将不能正常运行，包括正常的IE浏览器程序，当我们尝试运行该程序时，系统会弹出禁止运行的提示，这说明之前设置的路径规则已经生效，因为IE浏览器的应用程序名称为“iexplorer.exe”，所以该程序会被强行禁止运行。

为了能让上述设置操作只限制未知病毒运行，而让IE浏览器程序不受影响，我们还需要定义散列规则，让正常的应用程序排除在外。在进行这种定义操作时，先从“软件限制策略”分支下面新建散列规则，在其后弹出的规则对话框中，按下“浏览”按钮进入文件选择对话框，从中将“iexplorer.exe”导入进来，并且将安全级别参数设置为“不受限制”，单击“确定”按钮保存设置操作即可。这样，就能实现禁止所有符合“iexp*.exe”文件名称特征的未知病毒程序自动运行的目的了，而IE浏览器程序运行不会受到任何影响。同样地，通过上述设置方式，我们可以对其他符合条件的未知病毒文件进行阻断运行，确保病毒、木马不能自动运行。

着眼进程防护

众所周知，一些未知病毒木马程序，在发作运行的时候，常常会偷偷调用系统相关进程，如果我们主动对系统进程运行状态加强监控，并以此来判断未知程序的运行行为是否正常，这样也能达到防护未知病毒攻击的目的。这里，我们使用“PS进程盾”这款外力工具，着眼系统进程来防护未知病毒木马的攻击。

从网上获得“PS进程盾”的安装程序包后，将其释放到临时目录中，双击其中的可执行文件，该工具不需要经过安装操作就能直接启动运行，运行时它会自动退回到系统后台，我们只能从系统托盘区域处看到它的“身影”。在缺省状态下，“PS进程盾”会自动启用一些功能选项，例如，启用“信任所有微软已签名程序”功能，可以让Windows系统自动放行那些事先通过微软公司MD5验证的程序文件，启用“开启进程保护”功能，可以让Windows系统进程不被病毒木马强行关闭。为了让“PS进程盾”程序更高效地防护未知病毒攻击，建议大家进入该程序的配置对话框，同时选中“随系统启动”、“运行后自动隐藏”等选项，确保该程序能跟随Windows系统开机自动工作。

图2“PS进程盾”主操作界面

日后，当用户尝试在本地系统运行某些未知程序时，“PS进程盾”将会智能判断程序的运行行为是否安全。如果未知程序没有调用Windows系统中的其他进程，那么目标工具将会认为未知程序不是病毒木马，同时允许其正常运行，而且在系统任务栏右下方出现安全提示。如果未知程序在运行过程中，调用了系统中的其他进程，那么目标工具会自动弹出相关提示，征询用户对未知程序的处理意见。在这里，我们必须认真分析“试图运行”位置处的内容，利用这个位置处的图标信息和进程名称，基本就能识别出未知程序是否为自己需要的应用程序了。

一旦认定未知程序是合法的程序时，那就直接按下“允许”按钮，让其正常启动运行。如果该合法程序日后需要频繁运行时，为了不让“PS进程盾”反复出现安全提示从而干扰我们的工作效率，可以选中“创建路径规则”选项，再按下“允许”按钮，确保目标工具不再拦截合法程序。如果我们认定未知程序就是病毒木马时，不妨按下“阻止”按钮来阻止它的运行，再利用“试图运行”位置处提供的路径内容，深入对应路径删除病毒木马的源头文件。

如果希望“PS进程盾”处理未知程序更智能一些，我们也可以提前创建一些识别规律，来避免安全提示窗口的反复出现干扰我们的高效工作。在创建识别规律时，先进入“PS进程盾”主操作界面（如图2所示），单击“查看规则”按钮，在其后界面中就能按需创建各种识别规则，创建方法包含“白名单”和“路径规则”两种形式，要是想创建路径规则时，只要点击“新建”按钮，展开新建规则对话框，单击“浏览”按钮，从文件或文件夹选择对话框中按需导入允许运行的程序内容，再按“确定”按钮结束规则创建操作。

此外，使用这种方法还能拒绝特定应用程序的运行，只是需要在弹出的设置框中选择“阻止运行”选项才行。要是我们想创建白名单规则的话，可以在新规则创建对话框中，先选择“白名单”选项，该选项表示允许调用Windows系统所有进程的应用程序，通常指的就是一些“父程序”。例如，当尝试将系统资源管理器的可执行 文 件“explorer.exe”导入到白名单列表时，我们日后用鼠标双击系统资源管理器窗口中的任何程序或软件时，“PS进程盾”都不会对其进行拦截，之后按下“新建”按钮，在其后界面中点击“浏览”按钮，选中“explorer.exe”文件并进行确认操作后，就能将目标程序添加到白名单中了。值得注意的是，“PS进程盾”以不同形式创建识别规律时，优先级别最高的是“路径规则”形式，其次是“白名单”形式，最后是“微软验证”形式，要是一个未知程序同时符合几种形式，那么“PS进程盾”将只考虑是否符合路径规则形式，因此，一般来说我们只要使用路径规则来判断未知程序即可。

图3 进程选项设置页面

图4 属性对话框

着眼任务器防护

如今的网络病毒泛滥成灾，在没有安装杀毒软件的情况下，如何使用Windows系统自带的任务管理器功能，对付让计算机无法正常运行的未知病毒程序呢？

很简单！首先使用“Ctrl+Alt+Del”复合键调出系统任务管理器窗口，点击“进程”标签，进入如图3所示的进程选项设置页面，依次选择菜单“查看”、“选择列”命令，在其后出现的设置框中，勾选PID和映象路径选项，日后一旦看到有未知程序的进程CPU占用率奇高时，那么它就是病毒，只要结束它的进程，就能阻止未知病毒程序的继续发作运行了。

如果不能成功结束恶意进程，必须想办法将病毒原始文件删除干净。首先在任务管理器窗口中，获取未知病毒进程的执行路径，找到未知病毒程序的可执行文件，进入对应路径窗口手动删除它。要是连文件也删除不了，可以尝试在系统任务管理器窗口中结束所有自己不熟悉的进程，再逐一单击“开始”、“程序”、“附件”、“命令提示符”选项，切换到DOS命令行窗口，在其中执行“ntsd-cq-PID”命令即可，其中PID为未知病毒进程的标志符。

着眼快捷方式

众所周知，快捷方式一半都是要指向特定数据文件、某个网站地址或应用程序的，而一些未知病毒程序为了达到遮人耳目的目的，常常会借助快捷图标的快速访问特性，将用户频繁访问的目标偷偷替换为病毒。可是，从表面角度来看，普通用户根本不会看出其中的猫腻。

实际上，用户可以尝试认真检查常用快捷图标所指向的网站地址或应用程序，来识别它们是否为网络病毒或木马程序，要是它们指向未知的应用程序或网络站点，那基本就能判断出该快捷图标为未知病毒程序的快捷方式。在进行这种识别检查操作时，可以用鼠标右键单击特定快捷图标，从弹出的右键菜单中选择“属性”命令，切换到如图4所示的属性对话框，在“目标”位置处就能直观看出当前快捷图标究竟指向哪里了。要是确认其为网络病毒或木马程序的快捷方式时，必须立即打开该快捷图标的右键菜单，选择“删除”选项，将其从Windows系统中删除出去。

如果认为手工搜索未知程序快捷图标比较麻烦时，也可以通过360安全卫士等外力工具，对本地计算机系统进行全面、彻底地扫描，这样就可以快速高效地将存在问题的未知快捷方式扫描出来，同时可以自动删除它们，避免它们威胁本地系统安全。