|
计算机病毒之所以成为网络安全的头号公敌一是因为其极强的传播性二是因为其难以清除的特性我们经常会碰到一些难以清除的病毒即使杀毒软件提示已经查杀成功但是病毒文件并没有被删除仍旧留在系统中作威作福要想对付这类病毒我们应该换一个思路既然删除不了那么我们索性就不去删除它而是通过系统的一些内置功能限制它的运行只要它运行不了那么自然就无法进行破坏了本期就让我们来看看如何利用Win系统自带的软件控制策略限制病毒的运行 提示病毒为何难以清除? 在某些病毒面前杀毒软件只能达到查毒的效果为什么会出现这种情况呢?杀毒软件不是应该对病毒杀无赦吗?其实这不能怪杀毒软件而要怪病毒太狡猾利用技术上的手段让杀毒软件对其无可奈何下面我们来分析一下杀毒软件无法清除病毒的两种原因 狡“毒”三窟 某些病毒为了防止自身被杀毒软件查杀会将病毒文件复制到系统的多个位置在这些病毒文件当中会故意让杀毒软件查杀其中的一个而对其他几个病毒文件进行加密躲过查杀这样杀毒软件将暴露的病毒文件删除后其他病毒文件就又会偷偷的将其恢复这就是某些病毒感觉永远也删不干净的原因 病毒文件正在被系统使用 我们都知道正在运行的程序是无法删除的因为程序有很多的dll动态链接库文件与系统挂钩病毒正是利用这个原理死死的与系统粘在一起杀毒软件想杀我?把系统一起给删了吧对付这种病毒最好的办法就是限制其运行让它能够存在但无法作恶就像给它建造了一座监狱一样 Win相对WindowsXP增加了很多功能虽然这些功能我们平时很少用到但是用起来却非常实用例如AppLocker功能称为“应用程序控制策略”我们可以用它轻松创建对某个程序的限制策略用来对付“牛皮癣”式的病毒是最合适不过的了 Step单击“开始”→在“搜索程序和文件”框中输入“secpolmsc”→按回车→打开本地安全策略窗口→找到应用程序控制策略→AppLocker→可执行规则 Step在右侧空白区域右键菜单选择“创建新规则”→进入新规则向导 Step选中“权限”项将其“操作”设置为“拒绝”“用户或组”选择为“Everyone”这样就所有人都无法运行被限制的病毒包括系统本身 Step选中“条件”项这里我们可以通过三种条件类型来限制程序运行分别是“发布者”“路径”“文件哈希”“发布者”是根据数字签名来进行判断的由于病毒通常没有数字签名因此该项暂时用不到但是这条在限制普通软件的时候尤其有用 “路径”则是直接选中病毒文件或者文件夹而“文件哈希”可以通过哈希值来限制病毒即使病毒复制了很多份到不同地方也能让其全部报废这里我们以“路径”限制为例进入下一步后我们点击“浏览文件”按钮选中病毒文件然后点击“创建”按钮 Step由于我们创建的是第一条规则那么在完成后会有个默认规则创建提示需点击“是”允许创建默认规则以免设置的规则使得系统文件程序遭到限制 这样一条限制规则就生效了我们可以双击运行一下病毒试试看是不是发现病毒已经被限制运行了? 小贴士如果设置AppLocker规则无效请单击“开始”→在“搜索程序和文件”框中键入servicesmsc→按Enter键→打开“服务”找到找到ApplicationIdentity项将其启动类型设为“自动”然后按“启动”就可让规则生效 |
