只用兩三招，病毒木馬不上門

　同在一個宿舍中，共享同一條寬頻，木瓜的電腦總是感染一些木馬病毒或是流氓軟體，而我的電腦上卻是「一塵不染」。這樣在木瓜每次氣急敗壞的重裝系統時，就會說我沒義氣。聽到兄弟這麼說，我還真是感覺有些冤枉，其實保護系統的方法不過就這兩三招，還是統統都傳授給他吧！

　　一、赤手空拳防木馬

　　木瓜的Windows XP系統可稱得上是一個「毒窩」了，不僅有木馬程序「潛伏」，各類惡意插件也在其中死纏爛打。而造成這種情況的主要原因就是給予了登錄帳戶和上網者過多的使用許可權，使木馬和插件能夠堂而皇之的出入系統。所以，要想有效的加強系統安全，就要在帳戶許可權上加以限制。

　　步驟一：建立受限帳戶

　　打開「運行」對話框，在其中輸入命令「net user xiaoyao 123456 /add」，回車執行后，即可在系統中添加一個名為「xiaoyao」的新帳戶，密碼為「123456」。

　　用「net user」命令添加的新帳戶，其默認許可權為「USERS組」，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統設置，這樣便可避免大部分的木馬程序和惡意網頁的破壞。

　　步驟二：金蠶脫殼  加固IE

　　惡意網頁是系統感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。

　　1．建殼

　　刪除桌面上的IE圖標，打開「C:\Program Files\Internet Explorer」文件夾，右鍵點擊「Iexplore.exe」程序，選擇「發送到」→「桌面快捷方式」命令，在桌面上創建一個新的IE快捷圖標。接著回到桌面，右鍵點擊新建的IE圖標，選擇「屬性」命令，在彈出窗口中，切換到「快捷方式」選項卡，點擊「高級」按鈕，勾選「以其他用戶身份運行」選項（如圖1），確定后關閉對話框。

　　

　　圖1

　　

　　2．脫殼

　　現在以管理員帳戶或其它非「xiaoyao」帳戶登錄Windows XP系統后，雙擊桌面上的IE快捷方式時，就會彈出一個運行身份對話框，在其中輸入之前新建的帳戶名「xiaoyao」及密碼，確定后便可進行正常上網操作（如圖2）。

　　

　　圖2

　　接下來，我們試試IE是否還能受到惡意插件的騷擾。進入「www.baidu.com」，點擊百度頁面中的「把百度設為首頁」按鈕，修改IE的主頁。然後點擊頁面中的「更多」→「搜霸」鏈接，下載「百度搜霸」。當下載完畢后，該插件將自動運行安裝程序，此時會看到它彈出了一個身份認證對話框，默認是以「xiaoyao」身份進行安裝的（如圖3）。

　　

　　圖3

　　

　　在安裝完成後，以「xiaoyao」帳戶身份再次運行IE時，將會發現首頁已變成了百度。以非「xiaoyao」帳戶運行IE時，可看到IE首頁沒有任何改變。而之前安裝的百度搜霸，則無論以什麼帳戶運行IE，都不會見到它的蹤影！

　　此時我們是以「xiaoyao」這個USERS組的帳戶，來進行上網操作的。由於「xiaoyao」帳戶在當前並未登陸，所以百度搜霸根本無法安裝並載入到IE中，網頁也僅能對「xiaoyao」帳戶的IE首頁進行修改。也就是說，以「xiaoyao」帳戶身份運行IE后，瀏覽到的惡意網頁只能對「xiaoyao」帳戶的IE設置進行修改，而惡意網頁中的流氓軟體或木馬間諜運行后，根本就無法對當前帳戶和系統產生任何影響。

　　3．換殼

　　如果「xiaoyao」帳戶的IE設置被更改或破壞，那麼可在「運行」對話框中執行「net user xiaoyao /delete」命令，來刪除「xiaoyao」帳號。之後，再次執行創建帳戶命令，新建一個名為「xiaoyao」的帳戶，即可使IE「完好如初」。

　　步驟三：加固系統

　　通過網頁瀏覽感染系統，只是木馬病毒和流氓插件的一種途徑。如果不小心以當前帳戶身份運行了木馬病毒程序，系統還是會被破壞。只是這類破壞「跡象」都較明顯，不像惡意網頁在後台進行「暗箱操作」，因此我們可提前阻止它們。

　　1．禁止程序啟動

　　很多木馬病毒都是通過註冊表載入啟動的，因此可通過許可權設置，禁止病毒和木馬對註冊表的啟動項進行修改。

　　啟動註冊表編輯器，依次展開「HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run」分支，在「Run」分支上點擊右鍵，選擇「許可權」命令，將當前帳戶對該分支的「讀取」許可權設置為「允許」，並取消對「完全控制」許可權的選擇（如圖4）。使用同樣方法設置以下註冊表啟動鍵的許可權：

　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunEx

　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run

　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices

　　在「HKEY_CURRENT_USER」下，也有相同的多個註冊表啟動項需要設置許可權。

　　

　　

　　

　　圖4

　　2．禁止服務啟動

　　一些高級的木馬病毒會通過系統服務進行載入，對此可禁止木馬病毒啟動服務的許可權。

　　可依次展開「HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services」分支，將當前帳戶的「讀取」許可權設置為「允許」，同時取消其「完全控制」許可權。

　　3．系統安全設置

　　最厲害的木馬病毒會採用DLL注入方式，或者搶先系統啟動運行，對此可在註冊表中限制其啟動許可權。

　　設置的方法同上，需設置許可權的註冊表項有以下分支：

　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\UserInit

　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\Shell

　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\GinaDll

　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\System

　　HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\

　　4．保護文件關聯

　　有些狡猾的木馬，還會通過更改系統文件關聯，達到啟動運行目的。對此可展開「HKEY_CLASSES_ ROOT」分支，將其下的「.exe」、.「com」、「.cmd」、「.BAT」、「.VBS」等項目設置許可權，操作方法同上。

　　使用設置了註冊表許可權的帳戶登錄系統后，是無法安裝軟體或進行重要系統更改設置的。如要安裝軟體，可更換為管理員帳戶登錄系統，並進行正常的安裝操作。

　　二、另類「還原精靈」保系統

　　

　　對於木瓜這種超級懶惰的人來說，使用手動設置來保護系統顯得太過繁瑣了，所以最好還是給他一款軟體來達到自動保護系統的目的。而他提出使用「還原精靈」之類的軟體，真是太耗費系統資源了，搞不好還會把硬碟鎖死了，這裡我有更高級的「秘密武器」。

　　1．IE從此無憂

　　安裝這款名為「Sandboxie」的軟體后，它會隨系統自動運行，利用軟體的沙盤功能，即可保護系統不受任何病毒和插件的侵襲。【下載Sandboxie漢化版】

　　右鍵點擊桌面上的IE圖標，在彈出菜單中選擇「Run Sandboxed」命令，即可以沙盤保護方式運行IE（如圖5）。此時瀏覽任意惡意帶毒的網站，系統都會經過「沙盤」的過濾保護，保證自身不會受到任何影響。即使木馬病毒程序已下載到硬碟中，也會隨著Sandboxie的關閉而自動消失。

　　

　　

　　

　　圖5

　　

　　如果要保存通過「沙盤」下載的文件，可右鍵點擊系統托盤區的沙盤圖標，在彈出菜單中選擇「從沙盤恢復文件」命令。在打開的對話框中，選擇沙盤中暫存的文件，點擊「恢復到同一文件夾」按鈕，即可將文件保存到硬碟中了（如圖6）。

　　

　　圖6

　　

　　2．告別木馬病毒

　　下載了好多軟體要安裝，但不能確定其中是否夾帶著流氓插件或木馬，這時可使用右鍵點擊程序文件，通過「Run Sandboxed」命令運行安裝，此時程序對系統所作的修改都會被沙盤攔截保護，在關閉沙盤后安裝的木馬病毒也將隨之消失。

　　如果在沙盤中安裝運行后，確認程序是安全的，那麼就可再次以正常方式安裝運行程序了。

　　三、程序許可權輕鬆設

　　雖然限制用戶許可權保護系統安全的方法很好用，但對於木瓜這種經常安裝卸載軟體的用戶來說，不時彈出的「許可權不夠」提示便顯得太過「煩人」了，這裡就在給出一個兩全其美的方法。

　　安裝名為「DropMyRights」的軟體，用這個軟體啟動其它程序，這樣啟動的程序就只具有基本的許可權，無法對系統產生破壞了。方法很簡單，以IE為例。

　　右鍵點擊桌面IE快捷圖標，選擇「屬性」→「快捷方式」，在「目標」位置中輸入如下命令（如圖7）：

　　"C:\程序安裝目錄\DropMy Rights.exe"  "C:\Program Files\Internet Explorer\Iexplore.exe" N

　　程序後面的參數「N」，代表以普通用戶許可權運行程序。確定后關閉對話框，雙擊該快捷方式就能以指定的身份啟動IE瀏覽器，以後瀏覽到惡意網頁也不用擔心繫統會遭到破壞了，所達到的效果與前面提到的「金蠶脫殼」法差不多（如圖8）。

　　

　　圖7

　　

　　

　　

　　圖8

　　

請問樓主
是不是用你的方法加固IE后每次打開IE都會有個運行身份的確認啊
這樣的話是不是有點太麻煩了

看了此文,真是獲益非淺.

好象挺不錯的

謝謝樓主！

看了此文,真是獲益非淺.