论文部分内容阅读
一、经典的启动——“启动”文件夹
单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:当前用户:所有用户:
二、有名的启动——注册表启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键,Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun],其下的所有程序在每次启动登录时都会按顺序自动执行。还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun],也要仔细查看。
2.RunOnce键,RunOnce位于[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.RunServicesOnce键,RunServicesOnce键位于[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
4.RunServices键,RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]键。
5.RunOnceEx键,该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx]。
6.load键,[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]下的load键值的程序也可以自启动。
7.Winlogon键,该键位于注册表[HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
8.其他注册表位置,还有一些其他键值,经常会有一些程序在这里自动运行,如:[HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWINLOGONUserinit]、[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShell]、[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]、[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemScripts]、[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemScripts]。
三、古老的启动——自动批处理文件
从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
四、常用的启动——系统配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
1)Win.ini文件,使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
2)System.ini文件,使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序。
3)wininit.ini,wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
五、智能的启动——开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。
六、定时的启动——任务计划
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
七、跟着别人的启动——随软件开启的程序,如随MyIE2启动的程序。
彻底清查Windows自启动。
(1)从“系统信息”查看启动程序
单击“开始→程序→附件→系统工具→系统信息”,双击“软件环境”,单击“启动程序”,在右边窗口出现的程序就是所有自启动程序,在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序,不能对自启动程序进行禁止自启动等任何更改操作。软件性质:Windows自身功能,推荐指数:★★★★
(2)MSConfig
在Windows 98/Me/XP/2003中,单击“开始→运行”,输入msconfig回车即可打开“系统配置实用程序”窗口,单击“启动”标签,在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序,没有对号的则不会自启动。如果想取消某个程序的自启动,单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑,取消其中的自启动程序。
(3)startup.cpl
只需要将startup.cpl文件拷贝到Windows安装目录下的system32文件夹下面即可,单击“开始→设置→控制面板”打开控制面板,你会发现里面多了一个Startup项,双击打开它,在打开的对话框中,可以方便地对“启动”文件夹和注册表中的启动项目进行管理,如右击空白处新建一个启动项,右击已有的启动项目可以对其进行编辑、删除、禁用和立刻运行等操作。软件性质:免费,绿色软件,推荐指数:★★★★★
下载地址http://86516.onlinedown.net/down/StartupCPL.zip
(4)StartupMonitor
双击StartupMonitor.msi执行安装,安装完成后,它就乖乖的在后台运行,只占据100多KB的内存,什么时候才显示出它的本事呢?当你安装了一个软件的时候,如果它想自己偷偷自启动,就必须通过StartupMonitor的这一关,如图所示,它管得非常宽,无论是什么程序,它都不放过!笔者强烈推荐。软件性质:免费,小巧实用推荐指数:★★★★★
下载地址http://ha.newhua.com/down/StartupMonitor_61019.zip
汉化补丁http://nc.onlinedown.net/down/hb_startupmonitor_xlong.rar
(5)StartStop
软件安装后它会将自己加到注册表的RunOnce自启动,启动后会自动缩小到托盘区一个小图标,双击即可打开StartStop主界面,在这里列出了本机启动程序,右击某个程序可以选择总是启动、从不启动还是每次询问是否启动,如图所示,它有特色的一个地方是单击菜单“Options→Startup delay”,可以设置启动时延迟多少时间启动程序。软件性质:免费,有特色推荐指数:★★★★
下载地址http://cncspace.newhua.com/down/strtst11.exe
汉化补丁http://heze.onlinedown.net/down/HB-startstop110-NW.exe
(6)Autoruns
下载autoruns.zip后解压缩直接执行里面的autoruns.exe即可,由于它不会在启动时加载,显得更绿色。双击autoruns.exe打开程序界面,它不仅仅列出的是非常全的启动项,而且详细地列出了启动程序的公司和路径,如果还不满意,右击某个启动项目,选择属性,可以查看该启动项的文件属性。它还有两个特色功能,一个是右击任何一个启动项,选择Jump to就会立刻跳转到具体的位置,如跳转到注册表的具体键值、打开启动文件夹、打开INI文件等,非常方便!还有一个功能是单击View菜单,可以切换是否显示所有的启动位置、是否显示启动的服务、是否只显示非Microsoft公司的项目,这对于检查启动项目和过滤项目非常有用。软件性质:免费,绿色软件推荐指数:★★★★★
下载地址http://china35.newhua.com/down/HA_Autoruns9.53_LRH_21022.zip
(7)StartUp Organizer
Startup Organizer的组织和管理自启动项功能很强大,它在控制启动项目方面做的也比较细,如为某个启动设定声音提示,还能设置在Windows启动时按某个键来控制某些程序启动与否,还可以备份自启动配置文件以便应急恢复、比较启动程序的变化、恢复第一次运行时的默认配置,操作也比较简单,遗憾之处就是该软件不是免费的。
下载地址http://nj2.newhua.com/down/sosetup_1500.zip
汉化补丁http://cqgwbn.skycn.com/down/so_cn_fixe.rar
通过手工设置拒绝自动运行,禁止改注册表自动运行项。可以针对它们修改的三种方式,来设置相应的三种对策:
1)设置注册表自启动项为everyone只读权限(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动。
2)设置.txt、.com、.exe、.inf、.ini、.bat等文件关联为everyone只读权限,防止木马、病毒通过文件关联启动。
HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND
3)设置注册表HKLMSYSTEMCurrentControlSet001Services为everyone只读权限,防止木马、病毒以“服务”方式启动。
白名单,只运行许可的Windows应用程序,设置白名单可以有效地防范外来的恶意程序在你系统中运行或者设置自动运行,方法简单有效。
第1步,首先以管理员账户(Administrator)登录WinXP。
第2步,选择“开始”菜单里面的“运行”项,输入“gpedit.msc”命令,然后单击“确定”按钮打开“组策略编辑器”窗口。
第3步,在“组策略”窗口的左侧窗格中依次展开“用户配置→管理模板→系统”分支,然后在右侧窗格中双击“只运行许可的Windows应用程序”策略项打开“只运行许可的Windows应用程序属性”窗口。
第4步,在“只运行许可的Windows应用程序属性”窗口中“设置”选项卡,先选择“启动”项,再单击“显示”按钮打开“显示内容”对话框。
第5步,在“显示内容”对话框中单击“添加”按钮打开“添加项目”对话框,再在相应文本框中输入允许运行程序的命令行,然后单击“确定”按钮将它添加到“显示内容”对话框的列表中。
当设置完成后,在WinXP中除了列表中指定的程序外,其他程序将一律被禁止运行,即使病毒想方设法将自己加入到自动运行的行列,也无法在系统启动时运行。
限制病毒木马容身之所,通过浏览网页时下载到本地被执行的病毒木马,很多时候会先进入在一些常见的系统目录中,比如Temp、system32、drivers等,我们对这些目录做一定的权限设定,很容易将它们拦阻,防止它们自动运行。这里要求我们的C盘必须是NTFS格式的,这样才能设置权限,这里我们以Temp目录为例:
第1步,选择“我的电脑→工具→文件夹选项→查看→去掉‘隐藏受保护的系统文件’→选中‘显示所有文件和文件夹’→确定”。做这一步是为了显示出temp文件夹,以便设置权限。
第2步,右键单击“temp文件夹→属性→安全→高级”,现在开始设置,选择名称为你用户名的权限项目,点击“编辑”。在“遍历文件夹/运行文件”勾选“拒绝”,依次确定。
当然,比如著名的sxs病毒,除了C盘之外,也在其它盘的根目录下生成两个或三个文件autorun.inf、sxs.exe、autorun.pif,为了预防这种木马我们也可以通过设置权限来预防。不过,我们要付出的代价就是不能在根目录下创建文件了。方法如下:
第1步,右键单击D盘,选择“属性→安全→组或用户名称”,这里只留一个你的用户名。
第2步,选择“高级”,在“应用到”列表中选择该文件夹或文件。这里的意思是说只对于本目录有效,下级目录我们仍可以写删。
第3步,设置“创建文件/写入数据”为“拒绝”;设置“文件夹/附加数据”为“拒绝”。这样就可以了。
单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:当前用户:
二、有名的启动——注册表启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键,Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun],其下的所有程序在每次启动登录时都会按顺序自动执行。还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun],也要仔细查看。
2.RunOnce键,RunOnce位于[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.RunServicesOnce键,RunServicesOnce键位于[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
4.RunServices键,RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]键。
5.RunOnceEx键,该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx]。
6.load键,[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]下的load键值的程序也可以自启动。
7.Winlogon键,该键位于注册表[HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
8.其他注册表位置,还有一些其他键值,经常会有一些程序在这里自动运行,如:[HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWINLOGONUserinit]、[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShell]、[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]、[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemScripts]、[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemScripts]。
三、古老的启动——自动批处理文件
从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
四、常用的启动——系统配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
1)Win.ini文件,使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
2)System.ini文件,使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序。
3)wininit.ini,wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
五、智能的启动——开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。
六、定时的启动——任务计划
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
七、跟着别人的启动——随软件开启的程序,如随MyIE2启动的程序。
彻底清查Windows自启动。
(1)从“系统信息”查看启动程序
单击“开始→程序→附件→系统工具→系统信息”,双击“软件环境”,单击“启动程序”,在右边窗口出现的程序就是所有自启动程序,在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序,不能对自启动程序进行禁止自启动等任何更改操作。软件性质:Windows自身功能,推荐指数:★★★★
(2)MSConfig
在Windows 98/Me/XP/2003中,单击“开始→运行”,输入msconfig回车即可打开“系统配置实用程序”窗口,单击“启动”标签,在列表框中显示的就是从注册表、“启动”文件夹和系统配置文件中自启动的程序。程序前有对号的是允许自启动的程序,没有对号的则不会自启动。如果想取消某个程序的自启动,单击取消程序前的对勾即可。还可以在autoexec.bat、system.ini和win.ini标签里面对它们进行编辑,取消其中的自启动程序。
(3)startup.cpl
只需要将startup.cpl文件拷贝到Windows安装目录下的system32文件夹下面即可,单击“开始→设置→控制面板”打开控制面板,你会发现里面多了一个Startup项,双击打开它,在打开的对话框中,可以方便地对“启动”文件夹和注册表中的启动项目进行管理,如右击空白处新建一个启动项,右击已有的启动项目可以对其进行编辑、删除、禁用和立刻运行等操作。软件性质:免费,绿色软件,推荐指数:★★★★★
下载地址http://86516.onlinedown.net/down/StartupCPL.zip
(4)StartupMonitor
双击StartupMonitor.msi执行安装,安装完成后,它就乖乖的在后台运行,只占据100多KB的内存,什么时候才显示出它的本事呢?当你安装了一个软件的时候,如果它想自己偷偷自启动,就必须通过StartupMonitor的这一关,如图所示,它管得非常宽,无论是什么程序,它都不放过!笔者强烈推荐。软件性质:免费,小巧实用推荐指数:★★★★★
下载地址http://ha.newhua.com/down/StartupMonitor_61019.zip
汉化补丁http://nc.onlinedown.net/down/hb_startupmonitor_xlong.rar
(5)StartStop
软件安装后它会将自己加到注册表的RunOnce自启动,启动后会自动缩小到托盘区一个小图标,双击即可打开StartStop主界面,在这里列出了本机启动程序,右击某个程序可以选择总是启动、从不启动还是每次询问是否启动,如图所示,它有特色的一个地方是单击菜单“Options→Startup delay”,可以设置启动时延迟多少时间启动程序。软件性质:免费,有特色推荐指数:★★★★
下载地址http://cncspace.newhua.com/down/strtst11.exe
汉化补丁http://heze.onlinedown.net/down/HB-startstop110-NW.exe
(6)Autoruns
下载autoruns.zip后解压缩直接执行里面的autoruns.exe即可,由于它不会在启动时加载,显得更绿色。双击autoruns.exe打开程序界面,它不仅仅列出的是非常全的启动项,而且详细地列出了启动程序的公司和路径,如果还不满意,右击某个启动项目,选择属性,可以查看该启动项的文件属性。它还有两个特色功能,一个是右击任何一个启动项,选择Jump to就会立刻跳转到具体的位置,如跳转到注册表的具体键值、打开启动文件夹、打开INI文件等,非常方便!还有一个功能是单击View菜单,可以切换是否显示所有的启动位置、是否显示启动的服务、是否只显示非Microsoft公司的项目,这对于检查启动项目和过滤项目非常有用。软件性质:免费,绿色软件推荐指数:★★★★★
下载地址http://china35.newhua.com/down/HA_Autoruns9.53_LRH_21022.zip
(7)StartUp Organizer
Startup Organizer的组织和管理自启动项功能很强大,它在控制启动项目方面做的也比较细,如为某个启动设定声音提示,还能设置在Windows启动时按某个键来控制某些程序启动与否,还可以备份自启动配置文件以便应急恢复、比较启动程序的变化、恢复第一次运行时的默认配置,操作也比较简单,遗憾之处就是该软件不是免费的。
下载地址http://nj2.newhua.com/down/sosetup_1500.zip
汉化补丁http://cqgwbn.skycn.com/down/so_cn_fixe.rar
通过手工设置拒绝自动运行,禁止改注册表自动运行项。可以针对它们修改的三种方式,来设置相应的三种对策:
1)设置注册表自启动项为everyone只读权限(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动。
2)设置.txt、.com、.exe、.inf、.ini、.bat等文件关联为everyone只读权限,防止木马、病毒通过文件关联启动。
HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND
3)设置注册表HKLMSYSTEMCurrentControlSet001Services为everyone只读权限,防止木马、病毒以“服务”方式启动。
白名单,只运行许可的Windows应用程序,设置白名单可以有效地防范外来的恶意程序在你系统中运行或者设置自动运行,方法简单有效。
第1步,首先以管理员账户(Administrator)登录WinXP。
第2步,选择“开始”菜单里面的“运行”项,输入“gpedit.msc”命令,然后单击“确定”按钮打开“组策略编辑器”窗口。
第3步,在“组策略”窗口的左侧窗格中依次展开“用户配置→管理模板→系统”分支,然后在右侧窗格中双击“只运行许可的Windows应用程序”策略项打开“只运行许可的Windows应用程序属性”窗口。
第4步,在“只运行许可的Windows应用程序属性”窗口中“设置”选项卡,先选择“启动”项,再单击“显示”按钮打开“显示内容”对话框。
第5步,在“显示内容”对话框中单击“添加”按钮打开“添加项目”对话框,再在相应文本框中输入允许运行程序的命令行,然后单击“确定”按钮将它添加到“显示内容”对话框的列表中。
当设置完成后,在WinXP中除了列表中指定的程序外,其他程序将一律被禁止运行,即使病毒想方设法将自己加入到自动运行的行列,也无法在系统启动时运行。
限制病毒木马容身之所,通过浏览网页时下载到本地被执行的病毒木马,很多时候会先进入在一些常见的系统目录中,比如Temp、system32、drivers等,我们对这些目录做一定的权限设定,很容易将它们拦阻,防止它们自动运行。这里要求我们的C盘必须是NTFS格式的,这样才能设置权限,这里我们以Temp目录为例:
第1步,选择“我的电脑→工具→文件夹选项→查看→去掉‘隐藏受保护的系统文件’→选中‘显示所有文件和文件夹’→确定”。做这一步是为了显示出temp文件夹,以便设置权限。
第2步,右键单击“temp文件夹→属性→安全→高级”,现在开始设置,选择名称为你用户名的权限项目,点击“编辑”。在“遍历文件夹/运行文件”勾选“拒绝”,依次确定。
当然,比如著名的sxs病毒,除了C盘之外,也在其它盘的根目录下生成两个或三个文件autorun.inf、sxs.exe、autorun.pif,为了预防这种木马我们也可以通过设置权限来预防。不过,我们要付出的代价就是不能在根目录下创建文件了。方法如下:
第1步,右键单击D盘,选择“属性→安全→组或用户名称”,这里只留一个你的用户名。
第2步,选择“高级”,在“应用到”列表中选择该文件夹或文件。这里的意思是说只对于本目录有效,下级目录我们仍可以写删。
第3步,设置“创建文件/写入数据”为“拒绝”;设置“文件夹/附加数据”为“拒绝”。这样就可以了。