獨門絕技!防木馬三招兩式

　　同在一個宿捨中，共享同一條寬帶，木瓜的電腦總是感染一些木馬病毒或是流氓軟件，而筆者的電腦上卻是“一塵不染”。這樣在木瓜每次氣急敗壞的重裝系統時，就會說筆者沒義氣。聽到兄弟這麼說，還真是感覺有些冤枉，其實保護系統的方法不過就這兩三招，還是統統都傳授給他吧！

一、赤手空拳防木馬

　　木瓜的Windows XP系統可稱得上是一個“毒窩”了，不僅有木馬程序“潛伏”，各類惡意插件也在其中死纏爛打。而造成這種情況的主要原因就是給予了登錄帳戶和上網者過多的使用權限，使木馬和插件能夠堂而皇之的出入系統。所以，要想有效的加強系統安全，就要在帳戶權限上加以限制。

　　步驟一：建立受限帳戶

　　打開“運行”對話框，在其中輸入命令“net user xiaoyao 123456 /add”，回車執行後，即可在系統中添加一個名為“xiaoyao”的新帳戶，密碼為“123456”。

　　用“net user”命令添加的新帳戶，其默認權限為“USERS組”，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統設置，這樣便可避免大部分的木馬程序和惡意網頁的破壞。

圖1

　　步驟二：金蠶脫殼 加固IE

　　惡意網頁是系統感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。

　　1．建殼

　　刪除桌面上的IE圖標，打開“C:\Program Files\Internet Explorer”文件夾，右鍵點擊“Iexplore.exe”程序，選擇“發送到”→“桌面快捷方式”命令，在桌面上創建一個新的IE快捷圖標。接著回到桌面，右鍵點擊新建的IE圖標，選擇“屬性”命令，在彈出窗口中，切換到“快捷方式”選項卡，點擊“高級”按鈕，勾選“以其他用戶身份運行”選項（如圖2），確定後關閉對話框。

圖2

　　2．脫殼

　　現在以管理員帳戶或其它非“xiaoyao”帳戶登錄Windows XP系統後，雙擊桌面上的IE快捷方式時，就會彈出一個運行身份對話框，在其中輸入之前新建的帳戶名“xiaoyao”及密碼，確定後便可進行正常上網操作（如圖3）。

圖3

　　接下來，試試IE是否還能受到惡意插件的騷擾。進入“”，點擊百度頁面中的“把百度設為首頁”按鈕，修改IE的主頁。然後點擊頁面中的“更多”→“搜霸”鏈接，下載“百度搜霸”。當下載完畢後，該插件將自動運行安裝程序，此時會看到它彈出了一個身份認證對話框，默認是以“xiaoyao”身份進行安裝的（如圖4）。

圖4

　　在安裝完成後，以“xiaoyao”帳戶身份再次運行IE時，將會發現首頁已變成了百度。以非“xiaoyao”帳戶運行IE時，可看到IE首頁沒有任何改變。而之前安裝的百度搜霸，則無論以什麼帳戶運行IE，都不會見到它的蹤影！

　　此時是以“xiaoyao”這個USERS組的帳戶，來進行上網操作的。由於“xiaoyao”帳戶在當前並未登陸，所以百度搜霸根本無法安裝並加載到IE中，網頁也僅能對“xiaoyao”帳戶的IE首頁進行修改。也就是說，以“xiaoyao”帳戶身份運行IE後，浏覽到的惡意網頁只能對“xiaoyao”帳戶的IE設置進行修改，而惡意網頁中的流氓軟件或木馬間諜運行後，根本就無法對當前帳戶和系統產生任何影響。

　　3．換殼

　　如果“xiaoyao”帳戶的IE設置被更改或破壞，那麼可在“運行”對話框中執行“net user xiaoyao /delete”命令，來刪除“xiaoyao”帳號。之後，再次執行創建帳戶命令，新建一個名為“xiaoyao”的帳戶，即可使IE“完好如初”。

　　步驟三：加固系統

　　通過網頁浏覽感染系統，只是木馬病毒和流氓插件的一種途徑。如果不小心以當前帳戶身份運行了木馬病毒程序，系統還是會被破壞。只是這類破壞“跡象”都較明顯，不像惡意網頁在後台進行“暗箱操作”，因此可提前阻止它們。

　　1．禁止程序啟動

　　很多木馬病毒都是通過注冊表加載啟動的，因此可通過權限設置，禁止病毒和木馬對注冊表的啟動項進行修改。

　　啟動注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”分支，在“Run”分支上點擊右鍵，選擇“權限”命令，，將當前帳戶對該分支的“讀取”權限設置為“允許”，並取消對“完全控制”權限的選擇（如圖5）。使用同樣方法設置以下注冊表啟動鍵的權限：

　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunEx　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices

　　在“HKEY_CURRENT_USER”下，也有相同的多個注冊表啟動項需要設置權限。

圖5

　　2．禁止服務啟動

　　一些高級的木馬病毒會通過系統服務進行加載，對此可禁止木馬病毒啟動服務的權限。

　　可依次展開“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services”分支，將當前帳戶的“讀取”權限設置為“允許”，同時取消其“完全控制”權限。

　　3．系統安全設置

　　最厲害的木馬病毒會采用DLL注入方式，或者搶先系統啟動運行，對此可在注冊表中限制其啟動權限。

　　設置的方法同上，需設置權限的注冊表項有以下分支：

　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\UserInit　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\Shell　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\GinaDll　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\System　　HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\

　　4．保護文件關聯

　　有些狡猾的木馬，還會通過更改系統文件關聯，達到啟動運行目的。對此可展開“HKEY_CLASSES_ ROOT”分支，將其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等項目設置權限，操作方法同上。

　　使用設置了注冊表權限的帳戶登錄系統後，是無法安裝軟件或進行重要系統更改設置的。如要安裝軟件，可更換為管理員帳戶登錄系統，並進行正常的安裝操作。

　　二、另類“還原精靈”保系統

　　對於木瓜這種超級懶惰的人來說，使用手動設置來保護系統顯得太過繁瑣了，所以最好還是給他一款軟件來達到自動保護系統的目的。而他提出使用“還原精靈”之類的軟件，真是太耗費系統資源了，搞不好還會把硬盤鎖死了，這裡還有更高級的“秘密武器”。

　　1．IE從此無憂

　　安裝這款名為“Sandboxie”的軟件後，它會隨系統自動運行，利用軟件的沙盤功能，即可保護系統不受任何病毒和插件的侵襲。

　　右鍵點擊桌面上的IE圖標，在彈出菜單中選擇“Run Sandboxed”命令，即可以沙盤保護方式運行IE（如圖6）。此時浏覽任意惡意帶毒的網站，系統都會經過“沙盤”的過濾保護，保證自身不會受到任何影響。即使木馬病毒程序已下載到硬盤中，也會隨著Sandboxie的關閉而自動消失。

圖6