多方支援 困住安全威胁

引言： 经常上网访问的计算机系统，怎会不遭遇病毒木马的攻击呢！？为了避免这样的攻击，很多用户不得不“请”来杀毒软件帮忙，以期其能阻止运行某些感染病毒的程序或访问暗藏威胁的网页。但在实际工作的时候，用户有时需要“明知山有虎，偏向虎山行”。

俗话说“常在网上漂，哪有不中招”，经常上网访问的计算机系统，怎会不遭遇病毒木马的攻击呢！？为了避免这样的攻击，很多用户不得不“请”来杀毒软件帮忙，以期其能阻止运行某些感染病毒的程序或访问暗藏威胁的网页。但在实际工作的时候，用户有时需要“明知山有虎，偏向虎山行”，例如明明知道一些网站安全性不好，不过由于特殊原因必须要访问它，或者明知某些内网程序可能有危险，但工作起来离不开它。这时候，杀毒软件将无法发力，我们能做只有想方设法，困住各种安全威胁，让威胁程度降到最低。

图1 磁盘配额选项设置页面

不让写入内容

很多用户都有这样的体会，杀毒软件扫描特定程序时，没有发现任何异常，但用户在启动运行它时，却看到它暗中绑定了非法插件程序，该程序在启动过程中擅自向系统分区植入大量无关的垃圾，严重影响了系统的启动运行效率。如果希望能够正常启动该程序，又不让其向系统疯狂植入垃圾文件时，可以利用Windows系统自带的磁盘配额管理功能，来禁止恶意插件向系统分区写入内容，毕竟再厉害的病毒木马程序，一旦不允许其执行写入操作，那么它的安全威胁将无法发作。

以Window XP系统为例，在拒绝恶意程序写入内容时，首先以超级用户权限登录系统，进入“我的电脑”窗口，选中系统分区盘符，并用鼠标右键单击之，点击快捷菜单中的“属性”命令，展开系统分区属性对话框，选择“配额”选项卡，弹出磁盘配额选项设置页面，如图1所示。

将这里的“启用配额管理”、“拒绝将磁盘空间给超过配额限制的用户”等选项选中，之后在“磁盘空间控制限为”位置处输入适当数值，正常来说应该将该数值输入为1KB大小，同时将警告等级也输入为1KB大小。如此一来该系统中的用户日后只能获得1KB大小的磁盘使用空间，如果病毒尝试在系统分区中植入了一个超过1KB大小的文件时，Windows系统将会自动弹出文件写入失败的报警提示，所以就能困住恶意插件程序威胁系统安全了。只是这种方法只能用于救急场合，毕竟启用了Windows系统的磁盘配额管理功能后，不管日后进行程序安装或更新，还是开机运行程序，甚至进行普通的办公操作，都会遇到不正常现象，因此在成功启动好可能存在安全威胁的应用程序后，必须记得及时关闭该功能，以便让系统恢复正常工作状态。

图2 设置对话框

此外，要提醒用户的是，磁盘配额功能只对NTFS磁盘分区有效，要是特定磁盘分区不属于NTFS格式，不妨先执行“convert X: /fs:NTFS”字符串命令，来将磁盘分区格式转换成符合要求的格式。而且，为了确保Windows系统可以始终高效稳定地运行，大家应该尽量少将系统分区的空间分配给一般权限的用户。

不让加载控件

一些恶意用户常常将入侵他人网站的首页，作为向亲朋好友炫耀的本钱，而很多单位对自己的网站运行安全性也视而不见，所以单位员工有时会看到浏览自己单位网站主页时，系统防火墙会出现报警提示，告诉用户主页中可能存在病毒木马，同时拒绝用户继续浏览网站主页。

碰到这类安全麻烦时，是干脆关闭浏览窗口了事，还是退出防火墙程序等浏览完恶意页面再重新查杀恶意程序呢？在非访问不可的情况下，我们还是能够找到应急措施的，因为再狡猾的病毒木马程序都是利用脚本加载控件的方式，偷偷“溜”进上网终端系统中的，现在只要想办法让浏览器拒绝那些存在安全威胁的页面自动加载任何控件程序，就能困住恶意程序发作运行了。

不同浏览器程序禁止加载控件的设置操作不一样，以IE7、IE8等浏览器程序为例，在设置禁止加载控件操作时，先打开IE浏览器窗口，依次单击“工具”、“Internet选项”命令，展开Internet选项设置对话框，点击“安全”选项卡，在对应选项设置页面中，按下“自定义级别”按钮，进入如图2所示的设置对话框，将“二进制和脚本行为”、“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”等选项设置为“禁用”，单击“确定”按钮保存设置操作。

经过上述设置后，用户再次访问可能存在病毒木马的危险页面时，浏览器的地址框处会出现一个醒目的禁止提示，那么危险的ActiveX控件或其他脚本程序将无法加载运行，那么潜藏在网页背后的病毒木马自然就失去破坏性了。要是用户想放行网页中的加载项时，只要简单地点击提示对话框中的“关闭ActiveX筛选”按钮即可。

如果用户使用的是Chrome浏览器，可以进入该浏览器的程序设置对话框，逐一点选“选项”、“高级选项”、“内容设置”、“插件”，再将“阻止所有插件”选中，确认后退出设置对话框即可。

不让任意修改

在实际工作中，一些程序十分重要，但不幸被意外感染病毒，想启动运行它但被系统提示存在安全威胁，这种现象常常让用户启动也不是，不启动也不是。实际上，这种问题很好解决，只要有针对性地设置Windows系统的UAC功能，就能强行启动那些感染了病毒木马的特定程序，它能有效困住病毒木马的破坏性和攻击性。

图3 设置界面

从Vista版本系统开始，UAC功能就被集成在Windows系统中了，该功能可以在危险操作启动前强化安全验证，拦截恶意程序在没有许可的情况下对操作系统进行的改变。在Vista系统环境下，UAC功能只为用户提供关闭、开启两种功能选项，一旦开启了该功能后，不管是调整系统设置，还是安装应用程序，甚至进行系统更新操作，Windows系统都会弹出报警提示窗口，要求用户确认操作是否安全。而在Win7系统环境下，UAC功能有了明显的进步，在区别安全操作、不安全操作方面表现得明显智能化多了，同时用户能根据实际的安全需要自由控制UAC安全级别，力争操作效率与安全性能两不误。为了便于安全设置操作，Win7系统为用户提供了UAC功能控制滚动条，只要简单地拖动鼠标，就能在操作效率与系统安全之间找到平衡了。

为了困住安全威胁，大家应该尝试将UAC功能级别设置为“始终通知”，只要依次单击Win7系统桌面上的“开始”、“控制面板”选项，进入系统控制面板窗口，逐一单击“用户账户和家庭安全”、“用户账户”图标选项，展开用户账户控制列表界面，点击“更改用户账户控制设置”按钮，进入如图3所示的设置界面。看看UAC的滑动按钮有没有处于“始终通知”位置处，如果不在该位置时，应该及时将滑动按钮移到该位置处，确认后保存设置即可。

当然，UAC功能的启用，会影响合法、可信程序的高效运行。为了避免这种现象，我们可以请“Microsoft Application Compatibility Toolkit”工具帮忙，将自己经常运行的合法程序手工添加到对应工具的白名单中，确认它们在日后启动运行的时候，不会受到UAC功能的拦截提示。安装好“Microsoft Application Compatibility Toolkit”程序后，进入对应程序安装目录窗口，选中“Compatadmin.exe”文件，以系统管理员权限运行该文件，启动对应程序，逐一选中“Custom DataBases”、“New DataBase”选项，打开它的右键菜单，依次点选“Great New”、“Application Fix”命令。选中其后界面中的“Application Fix”选项，再根据提示依次导入合法、可信的程序命令，点击“Next”按 钮，切换到“Additional compatibility modes”列表，选中这里的“RunAsInvoke”选项。最后退回到主程序界面，逐一单击“File”、“save”命令，将其保存为sdb格式的数据库，再依次选择“File”、“Install”命令，完成UAC白名单导入任务。结束上述设置操作后，UAC功能在困住恶意威胁的同时，不会影响正常程序的启动运行。

不让自动播放

图4 组策略选项设置框

图5 权限编辑对话框

一些病毒是通过磁盘分区根目录下的“autorun.inf”文件来发作运行的，用户稍微不注意，用鼠标双击磁盘分区图标时，病毒文件就能通过磁盘分区进行传播，从而产生安全威胁。所以，大家只要关闭磁盘分区自动播放功能，就能困住一些病毒、木马的发作、运行。

以Vista系统为例，要实现不让磁盘分区自动播放功能时，不妨先使用“Win+R”快捷键，调出系统运行文本框，输入“gpedit.msc”命令并回车，弹出组策略编辑窗口。在该窗口的左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows 组件”、“自动播放策略”节点上。

接着用鼠标右键单击目标节点下的“关闭自动播放”组策略选项，点选快捷菜单中的“编辑”命令，切换到如图4所示的组策略选项设置框，将“已启用”选项选中，同时选中“所有驱动器”选项，单击“确定”按钮执行设置保存操作。这样，本地计算机系统的磁盘分区自动播放功能就能被成功关闭了，一些优盘病毒将被困住，无法自动发作运行。

除了通过修改组策略方式，来困住自动播放的优盘病毒外，熟悉注册表编辑操作的用户，也能通过调整注册表相关键值方式，禁止优盘病毒自动发作运行。使用“Win+R”快捷键，调出系统运行文本框，输入“gpedit.msc”命令并回车，开启注册表编辑器窗口，将鼠标定位到注册表节点“HKEY_CURRENT_USE RSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”下，选中指定节点下的“NoDriveTypeAutoRun”键值，并用鼠标双击之，在其后弹出的编辑键值对话框中，选中“十六进制”选项，输入数值“4”，单击“确定”按钮后刷新系统注册表即可。

不让劫持服务

有些病毒、木马程序在攻击Windows系统后，为了方便随时发作运行，同时能够躲避杀毒软件的自动“围剿”，往往会劫持系统服务，来给计算机系统带来安全威胁。为了困住这种类型的病毒、木马程序，用户可以尝试调整系统注册表相关键值，拒绝普通用户帐号获得相关操作权限：

首先以超级用户权限登录本地计算机系统，使用“Win+R”快捷键，调出系统运行文本框，在其中执行“regedit”命令，开启系统注册表编辑窗口。在该窗口的左侧显示区域中，将鼠标定位到如图5所示的“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”注册表节点上，之后依次单击“编辑”、“权限”菜单命令，弹出指定节点下的权限编辑对话框。

图6 运行批处理

接着在“组或用名称”位置处，看看有没有“everyone”账号，要是没有看到该帐号时，不妨按下“添加”按钮，导入“everyone”账号账号，并且将它的“读取”权限选择为“允许”，同时将其他权限选择为“拒绝”。同样地，将其他一些陌生用户账号逐一删除掉，单击“确定”按钮退出设置对话框，最后重启计算机系统，那样病毒之类的恶意程序将不能劫持系统服务了。

不让攻击网关

ARP病毒攻击局域网计算机是常有的事情，这种类型病毒显著的特点，就是攻击局域网网关设备，让终端计算机系统不能正常上网。在手头没有外力工具可以利用的情况下，用户不妨自行创建特殊批处理任务，来自动删除本地系统缓存中的ARP病毒记录，以困住ARP病毒攻击局域网网关的能力。

首先启动记事本之类的应用程序，生成一个名称为“delarp.bat”批处理文件，在对应文件编辑窗口中输入下面的命令代码，这段命令代码可以不断清除本地系统中的ARP缓存记录，从而有效预防局域网中的网关地址被病毒攻击。

日后，一旦检测到本地系统遭遇到ARP病毒攻击的时候，只要启动运行批处理文件“delarp.bat”，随后我们将看到如图6所示的MSDOS工作窗口，在这里，不难看出该批处理程序以自动删除本地系统缓存中的ARP病毒记录，这样ARP病毒自然就被成功困住，从而失去了攻击破坏性。

当然，在网络带宽资源很有限的上网环境中，这种困住病毒运行的方法也有明显不足，那就是它会频繁地向网络中传送ARP病毒数据包，这样宝贵的网络带宽将很快被消耗殆尽，最终会影响整个局域网的上网速度。