流氓軟件通常會(huì)將自己偽裝成合法程序，誘使用戶上當(dāng)受騙。對(duì)于這些狡猾的流氓軟件，確實(shí)很讓人討厭。在很多情況下，用戶是在毫不知情的情況下，稀里糊涂地裝上了流氓軟件?？磥恚瑢?duì)付流氓軟件最好的辦法是積極防御，將其攔截在外，讓其無法獲得入侵的機(jī)會(huì)。

多管齊下，讓IE擺脫“流氓”的騷擾

IE瀏覽器是很多流氓軟件的侵襲目標(biāo)，流氓軟件之所以得手，很大程度上是鉆了各種漏洞的空子。因此，及時(shí)為IE打上各種補(bǔ)丁，將IE的各種漏洞都修補(bǔ)好，就可以有效防御流氓軟件的入侵。因?yàn)楹芏鄲阂饩W(wǎng)站都暗藏木馬，如果不小心誤入其中的話，網(wǎng)頁木馬就會(huì)乘機(jī)通過IE漏洞，在您的電腦中安裝各種流氓軟件，一旦讓其得手，您的系統(tǒng)就會(huì)永無寧日了，只要將IE補(bǔ)丁全部打上，這些入侵伎倆就會(huì)失效了。

此外，利用IE提供的篩選器功能，也可以攔截可疑文件，堵住流氓軟件的入侵通道，可以有效提高系統(tǒng)的安全性。通過對(duì)下載的文件以及訪問的網(wǎng)站進(jìn)行安全性檢測，可以發(fā)現(xiàn)危險(xiǎn)的文件或者惡意網(wǎng)站，并對(duì)其進(jìn)行攔截。但是一些用戶為了省事往往將其關(guān)閉，這對(duì)于系統(tǒng)安全會(huì)帶來不利影響，因此最好開啟該功能。

例如，在Windows 8中可以點(diǎn)擊“Win+X”鍵，在彈出菜單中點(diǎn)擊“控制面板”項(xiàng)，在控制面板中點(diǎn)擊“系統(tǒng)和安全”項(xiàng)，在彈出窗口中選擇“操作中心”項(xiàng)，在打開窗口左側(cè)選擇“更改Windows SmartScreen刪選器設(shè)置”項(xiàng)，在彈出的對(duì)話框中激活該功能。

這樣，當(dāng)下載文件時(shí)，SmartScreen刪選器就會(huì)對(duì)其進(jìn)行檢測。即使其通過檢測，當(dāng)用戶運(yùn)行該文件時(shí)，SmartScreen刪選器會(huì)將其信息發(fā)送到微軟云端服務(wù)器，通過對(duì)其進(jìn)行安全評(píng)估，進(jìn)一步檢測其安全性。如果其不符合微軟設(shè)定的安全規(guī)則，系統(tǒng)就禁止運(yùn)行該文件，并彈出“Windows已保護(hù)你的電腦”的提示信息。如果用戶確定該文件是安全的，可以在提示窗口中點(diǎn)擊“更多信息”鏈接，點(diǎn)擊“仍要運(yùn)行”按鈕，就可以順利運(yùn)行該文件了，如果點(diǎn)擊“不運(yùn)行”按鈕，該文件就被攔截。

圖5 管控和IE相關(guān)的注冊表項(xiàng)目

當(dāng)然，為了防止流氓軟件以IE插件的形式運(yùn)行，最好對(duì)注冊表中和IE相關(guān)的部位進(jìn)行防護(hù)。運(yùn)行“regedit.exe”程序，注冊表配置編輯器中依次展開“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tI n t e r n e t Explorern”分支，在“Main”子鍵的右鍵菜單上點(diǎn)擊“安全”→“權(quán)限”項(xiàng)，在權(quán)限設(shè)置界面中選中Users組（或者其它賬戶和組），在權(quán)限列表中的“拒絕”列中禁用“完全控制”，“讀取”等權(quán)限。選擇“創(chuàng)建子項(xiàng)”、“刪除”等權(quán)限的“拒絕”欄中打勾（如圖5所示）。與此類似，給“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”分支也進(jìn)行合適的權(quán)限控制，這樣惡意軟件就無法修改IE的基本設(shè)置了。

除了“Main”子鍵外，與IE 相 關(guān) 的 還 有“MenuExt”、“Search”、“Restrictions”、“Plugins”等子健。為了防止流氓軟件以插件的形式綁架IE，可以對(duì)“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerBrowser Helper Objects”分支進(jìn)行權(quán)限控制，防止隨意安裝無關(guān)插件。通過對(duì)這些與IE有關(guān)的主鍵進(jìn)行保護(hù)，就能從根本上防止IE被惡意修改。

此外，現(xiàn)在幾乎所有的電腦都安裝有Flash插件，但是，F(xiàn)lash插件自身往往存在高危漏洞。一些病毒、木馬、流氓軟件等惡意程序會(huì)借助這些漏洞，對(duì)您的電腦發(fā)起滲透和攻擊。這里就以Windows XP為例，來介紹如何徹底杜絕Flash漏洞。在注冊表編輯器中打開“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers” 分支，在右側(cè)窗口中雙擊“TransparentEnabled”項(xiàng)，以十六進(jìn)制格式（以下與之相同）設(shè)置其值為 1， 設(shè) 置“DefaultLevel”、“AuthenticodeEnabled”、“PolicyScope”、“Levels”等 項(xiàng)的值分別為 40000、0、0、35000。如果對(duì)應(yīng)項(xiàng)不存在的話，可以手工建立，其數(shù)據(jù)類型均為DWORD。

運(yùn)行“gpedit.msc”程序，在組策略編輯器窗口左側(cè)點(diǎn)擊“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”項(xiàng)，如果是初次使用，需要點(diǎn)擊菜單“操作”→“創(chuàng)建新的策略”項(xiàng)，在自動(dòng)出現(xiàn)的“其它策略”項(xiàng)的右鍵菜單上點(diǎn)擊“新散列規(guī)則”項(xiàng)，在彈出窗口中點(diǎn)擊“瀏覽”按鈕，選擇“C：Program FilesInternet Explorer”文件夾中的“iexplore.exe”文件，在“安全級(jí)別”列表中選擇“基本用戶”項(xiàng)，完成針對(duì)IE的安全設(shè)置。

注意，這里的散列規(guī)則的主要作用是降低IE的權(quán)限，讓其無法對(duì)系統(tǒng)進(jìn)行修改寫入等操作。以后當(dāng)在IE中試圖向“C：Windows”等系統(tǒng)文件夾中寫入或者修改文件時(shí)，系統(tǒng)會(huì)彈出“無法創(chuàng)建文件，拒絕訪問”的提示。如果執(zhí)行刪除操作，同樣會(huì)遭到系統(tǒng)拒絕。這樣，即使您安裝的Flash插件存在漏洞，當(dāng)病毒木馬想借助于該漏洞IE中執(zhí)行數(shù)據(jù)下載寫入等操作時(shí)，會(huì)因?yàn)槿狈?quán)限而無法對(duì)系統(tǒng)構(gòu)成任何威脅。當(dāng)然。在使用該方法之前，最好IE中安裝好所需的各種插件。

圖6 使用Upiea為IE免疫流氓插件

為了提高IE抗擊流氓軟件的能力，還可以使用Upiea這款小巧的IE插件管理程序，對(duì)各種流氓插件進(jìn)行免疫處理。因?yàn)槊恳环N流氓插件在注冊表中都會(huì)創(chuàng)建對(duì)應(yīng)的特殊的鍵值，惡意網(wǎng)站通過讀取該鍵值，就會(huì)判斷是否已經(jīng)在本機(jī)上安裝了對(duì)應(yīng)的流氓插件。使用Upiea這款小工具，就可以在注冊表中偽造這些鍵值信息，實(shí)現(xiàn)免疫的目的。Upiea是一款免費(fèi)的純綠色軟件，自身只有一個(gè)可執(zhí)行文件，但是卻可以對(duì)371種惡意IE插件進(jìn)行免疫，有了Upiea的保護(hù)，用戶就可以盡情沖浪，不用擔(dān)心流氓軟件對(duì)IE進(jìn)行非法修改了。

在Upiea主窗口（如圖6所示）中打開“插件免疫”面板，可以看到Upiea提供了包括國內(nèi)、國外、聊天、聊天、影音、游戲、日常、商務(wù)、必備、其他等10大類IE插件免疫項(xiàng)目。在默認(rèn)情況下，Upiea不對(duì)任何插件免疫，用戶需要選擇相應(yīng)的免疫項(xiàng)目，可以手工逐一選擇，也可以點(diǎn)擊“全選”按鈕選擇所有的免疫項(xiàng)目。選擇完畢后，點(diǎn)擊“應(yīng)用”按鈕保存設(shè)置。然后在瀏覽器中登錄包含常見流氓插件的網(wǎng)站，就會(huì)發(fā)現(xiàn)這些流氓軟件無法安裝了。

此外，Upiea還可以有效地管理已經(jīng)安裝的IE插件，在Upiea主窗口中打開“插件管理”面板，在其中列出所有已經(jīng)安裝的IE插件，選中可疑的插件，在處理列表中選擇“設(shè)置該插件為禁用狀態(tài)”項(xiàng)，即可禁用該插件，也可以點(diǎn)擊“刪除”按鈕刪除該插件。

使用防火墻抗擊流氓軟件

流氓軟件設(shè)計(jì)得越來越狡猾，一旦讓其潛入系統(tǒng)興風(fēng)作浪，往往是“請(qǐng)神容易送神難”。例如當(dāng)用戶安裝了從網(wǎng)上下載的共享軟件之后，往往會(huì)招來一些流氓軟件的光顧。那么，這些流氓軟件是如何進(jìn)入系統(tǒng)中的呢？實(shí)際上，很多共享軟件在其安裝程序中都捆綁了各種類型的流氓軟件，甚至有些共享軟件在安裝流氓插件時(shí)，根本沒有任何提示信息。面對(duì)流氓軟件的猖狂進(jìn)攻，我們完全可以使用EQSpyWatch這款獨(dú)特的安全軟件，為系統(tǒng)筑起一道防范流氓的“防火墻”。EQSpyWatch是完全免費(fèi)的軟件，工作在系統(tǒng)底層，通過對(duì)文件、注冊表、程序運(yùn)行進(jìn)行監(jiān)控，利用內(nèi)置的安全規(guī)則，讓系統(tǒng)徹底擺脫流氓軟件的騷擾。

在EQSpyWatch主窗口中打開“設(shè)置”面板，在右側(cè)窗口中勾選“系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行”項(xiàng)，讓EQSpyWatch自動(dòng)跟隨系統(tǒng)啟動(dòng)，讓流氓軟件沒有可乘之機(jī)。在“程序運(yùn)行狀態(tài)”面板中可以調(diào)整監(jiān)控功能、自動(dòng)更新功能的開啟和關(guān)閉狀態(tài)。在默認(rèn)情況下，EQSpyWatch的監(jiān)控功能處于開啟狀態(tài)，點(diǎn)擊其中的“規(guī)則編輯器”鏈接，在彈出的窗口（如圖7所示）中可以看到EQSpyWatch內(nèi)置的所有安全規(guī)則。EQSpyWatch的規(guī)則分為“監(jiān)控操作分類”和“監(jiān)控規(guī)則分類”兩種。在左側(cè)列表中的“監(jiān)控操作分類”下提供了“運(yùn)行程序”、“文件操作”、“注冊表訪問”三種監(jiān)控機(jī)制，可以從流氓軟件的運(yùn)行、操作文件、修改注冊表等方面，全面監(jiān)視各種其活動(dòng)情況。

圖7 管理安全規(guī)則

在窗口右側(cè)的“規(guī)則列表”中顯示其中包含的所有規(guī)則，包括流氓軟件常見安裝位置、創(chuàng)建和讀寫的文件路徑、經(jīng)常操作的注冊表路徑等信息。從中選中某一監(jiān)控類型，例如選擇“注冊表訪問”項(xiàng)，點(diǎn)擊某一規(guī)則，在窗口底部顯示該規(guī)則的描述信息注冊表路徑、注冊表名稱等內(nèi)容，在“監(jiān)控規(guī)則分類”中包含了大量的“熱門”流氓軟件清單，選中其中的某個(gè)流氓軟件，在右側(cè)窗口中顯示針對(duì)該流氓軟件的所有安全規(guī)則，從而從根本上禁止該流氓軟件的安裝和運(yùn)行。此外，在“程序運(yùn)行狀態(tài)”面板中點(diǎn)擊“立即升級(jí)”鏈接，可以從網(wǎng)上快速下載最新的規(guī)則包。

在默認(rèn)情況下，所有的規(guī)則都處于禁止?fàn)顟B(tài)。當(dāng)然，我們可以也自定義規(guī)則，從而提高防御的靈活性。在“規(guī)則分類”列表中選中對(duì)應(yīng)的類別分支，在右側(cè)窗口中點(diǎn)擊“新建規(guī)則”按鈕，在“新建規(guī)則”窗口的“監(jiān)控操作”面板中選擇類型，包括注冊表訪問、文件操作、運(yùn)行程序等項(xiàng)。例如選中“文件操作”項(xiàng)，在“描述”和“文件路徑”欄中分別設(shè)置規(guī)則的名稱、流氓軟件的安裝路徑等信息，在“監(jiān)控信息”面板中選擇“記錄日志”項(xiàng)，表示當(dāng)流氓軟件觸發(fā)該規(guī)則時(shí)，將其寫入日志文件，在“默認(rèn)操作”面板中選擇“拒絕”，表示攔截流氓軟件的運(yùn)行，點(diǎn)擊“確定”按鈕，即可創(chuàng)建新的規(guī)則。

此外，EQSpyWatch還提供了規(guī)則共享機(jī)制，當(dāng)我們編輯了大量的規(guī)則后，可以點(diǎn)擊工具欄上的“導(dǎo)出”按鈕，將所有的規(guī)則導(dǎo)出為單獨(dú)的文件，提供給別人共享，也可以點(diǎn)擊“導(dǎo)入”按鈕，將別人提供的規(guī)則文件導(dǎo)入進(jìn)來。當(dāng)設(shè)置完成后，點(diǎn)擊EQSpyWatch窗口上的關(guān)閉按鈕，將其隱藏在系統(tǒng)托盤中。當(dāng)我們運(yùn)行捆綁了流氓插件的共享軟件時(shí)，EQSpyWatch立即阻止其運(yùn)行，并在系統(tǒng)托盤區(qū)彈出警告提示框，告訴用戶已經(jīng)發(fā)現(xiàn)并攔截的流氓軟件名稱。

當(dāng)安裝軟件中包含多個(gè)流氓插件時(shí)，EQSpyWatch會(huì)逐一拒絕其安裝，并在攔截成功后彈出對(duì)應(yīng)的提示框，在系統(tǒng)托盤中雙擊EQSpyWatch圖標(biāo)，在“程序運(yùn)行狀態(tài)”面板中顯示已經(jīng)成功攔截的流氓軟件的操作數(shù)量，在“日志”面板中顯示詳細(xì)的日志信息，包括攔截發(fā)生的時(shí)間、流氓軟件的進(jìn)程名稱、攔截的動(dòng)作、流氓軟件的操作方式（運(yùn)行程序、訪問文件、訪問注冊表）等。此外，在EQSpyWatch中還提供了功能強(qiáng)大的進(jìn)程管理器，在其“程序運(yùn)行狀態(tài)”面板中點(diǎn)擊“進(jìn)程管理器”鏈接，即可在其中有效地管理當(dāng)前所有進(jìn)程。

巧用數(shù)字簽名防范流氓軟件

大家可能都有這樣的經(jīng)歷，在安裝了某款軟件后，系統(tǒng)中就莫名奇妙地自動(dòng)安裝了其他一些來歷不明的軟件，而且其往往是同一個(gè)公司的“杰作”，這種不請(qǐng)自來的安裝“技術(shù)”實(shí)在讓人感到厭煩，其實(shí)，這也堪稱是時(shí)下流行的流氓軟件“推廣”方式。如何才能禁止這種“自動(dòng)化”的安裝方式，將流氓軟件拒之門外呢？利用數(shù)字簽名技術(shù)，就可以徹底阻擋上述讓人生厭的流氓軟件安裝模式了。

對(duì)于軟件來說，數(shù)字簽名就是其身份證，通過查閱其數(shù)字簽名信息，可以了解其開發(fā)者、版本等信息。對(duì)于某些殺毒軟件來說，將各種惡意軟件的數(shù)字簽名添加到病毒庫中，可以簡單有效地發(fā)現(xiàn)和清除這些不法之徒。對(duì)于您不想要的某款軟件，可以在其安裝文件的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性窗口中的“數(shù)字簽名”面板中點(diǎn)擊“詳細(xì)信息”按鈕，在彈出窗口中點(diǎn)擊“查看證書”按鈕，在出現(xiàn)的窗口中的“詳細(xì)信息”面板中點(diǎn)擊“復(fù)制到文件”按鈕，在操作向?qū)У膸椭?，將其?shù)字簽名信息導(dǎo)出到指定的文件中。

圖8 創(chuàng)建證書規(guī)則

運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)點(diǎn)擊“計(jì)算機(jī)配置”-“Windows設(shè)置”-“安全設(shè)置”-“軟件限制策略”項(xiàng)，如果是初次使用，可以在其右鍵菜單上點(diǎn)擊“創(chuàng)建軟件限制策略”項(xiàng)，之后在右側(cè)窗口的“其它策略”項(xiàng)的右鍵菜單上點(diǎn)擊“創(chuàng)建證書規(guī)則”項(xiàng)，在彈出窗口（如圖8所示）中點(diǎn)擊瀏覽按鈕，選擇上述證書文件，在“安全級(jí)別”列表中選擇“不允許”項(xiàng)，點(diǎn)擊確定按鈕保存配置信息。之后運(yùn)行具有該證書的軟件（尤其是同一個(gè)公司開發(fā)的軟件）時(shí)，就會(huì)遭到該策略的攔截，讓其無法執(zhí)行安裝操作。

當(dāng)創(chuàng)建很多這樣的限制策略后，可以運(yùn)行“軟件限制策略導(dǎo)入導(dǎo)出 綠色版”這款小工具，在其主界面中點(diǎn)擊“導(dǎo)出軟件限制策略”按鈕，將其導(dǎo)出名為“date.dat”的獨(dú)立文件，在其他主機(jī)上運(yùn)行該工具，點(diǎn)擊“導(dǎo)入軟件限制策略”按鈕，完成導(dǎo)入操作。當(dāng)然，“date.dat”文件必須在該綠色軟件運(yùn)行路徑下。這樣，可以快速部署預(yù)設(shè)的策略，提高抗擊流氓軟件的能力。

使用其他技巧防范流氓軟件

當(dāng)然，使用其他的小技巧，也可以抵御流氓軟件的入侵。例如，打 開“C：WINDOWSsystem32driversetc”文件夾，將其中的名為“Hosts”的文件打開，如果發(fā)現(xiàn)可疑的地址映射關(guān)系，最好將其刪除，或者只保留“127.0.0.1 localhost”項(xiàng)，將其余的內(nèi)容刪除，這樣，就可以避免誤入惡意網(wǎng)站的陷阱了。

在安裝軟件的時(shí)候，不要盲目地點(diǎn)擊下一步按鈕，追求安裝的速度。而應(yīng)該在每一個(gè)安裝步驟仔細(xì)查看安裝界面，如果發(fā)現(xiàn)看起來不起眼的選擇項(xiàng)目，就應(yīng)該引起警惕，最好將這些自動(dòng)選擇的項(xiàng)目清除，防止流氓軟件蒙混過關(guān)，堂而皇之地進(jìn)駐系統(tǒng)。

在網(wǎng)上尋找軟件時(shí)，盡量去正規(guī)的大型網(wǎng)站，而不要到來歷不明的小網(wǎng)站中下載軟件。即使在正規(guī)網(wǎng)站下載，也應(yīng)該注意觀察，選擇合適的下載位置，而不要被滿屏的下載按鈕欺騙。利用NTFS格式的權(quán)限設(shè)置功能，同樣可以阻止流氓軟件的運(yùn)行。例如，對(duì)流氓軟件的安裝路徑進(jìn)行權(quán)限設(shè)置，讓其無法獲得運(yùn)行權(quán)，在流氓軟件經(jīng)常藏身的位置創(chuàng)建與之同名的文件夾，并且在其權(quán)限設(shè)置窗口設(shè)置嚴(yán)格的權(quán)限保護(hù)機(jī)制，讓其無法創(chuàng)建同名文件夾等。