計算機病毒之所以成為網絡安全的頭號公敵一是因為其極強的傳播性二是因為其難以清除的特性我們經常會碰到一些難以清除的病毒即使殺毒軟件提示已經查殺成功但是病毒文件並沒有被刪除仍舊留在系統中作威作福要想對付這類病毒我們應該換一個思路既然刪除不了那麼我們索性就不去刪除它而是通過系統的一些內置功能限制它的運行只要它運行不了那麼自然就無法進行破壞了本期就讓我們來看看如何利用Win系統自帶的軟件控制策略限制病毒的運行
提示病毒為何難以清除?
在某些病毒面前殺毒軟件只能達到查毒的效果為什麼會出現這種情況呢?殺毒軟件不是應該對病毒殺無赦嗎?其實這不能怪殺毒軟件而要怪病毒太狡猾利用技術上的手段讓殺毒軟件對其無可奈何下面我們來分析一下殺毒軟件無法清除病毒的兩種原因
狡“毒”三窟
某些病毒為了防止自身被殺毒軟件查殺會將病毒文件復制到系統的多個位置在這些病毒文件當中會故意讓殺毒軟件查殺其中的一個而對其他幾個病毒文件進行加密躲過查殺這樣殺毒軟件將暴露的病毒文件刪除後其他病毒文件就又會偷偷的將其恢復這就是某些病毒感覺永遠也刪不干淨的原因
病毒文件正在被系統使用
我們都知道正在運行的程序是無法刪除的因為程序有很多的dll動態鏈接庫文件與系統掛鉤病毒正是利用這個原理死死的與系統粘在一起殺毒軟件想殺我?把系統一起給刪了吧對付這種病毒最好的辦法就是限制其運行讓它能夠存在但無法作惡就像給它建造了一座監獄一樣
Win相對WindowsXP增加了很多功能雖然這些功能我們平時很少用到但是用起來卻非常實用例如AppLocker功能稱為“應用程序控制策略”我們可以用它輕松創建對某個程序的限制策略用來對付“牛皮癬”式的病毒是最合適不過的了
Step單擊“開始”→在“搜索程序和文件”框中輸入“secpolmsc”→按回車→打開本地安全策略窗口→找到應用程序控制策略→AppLocker→可執行規則
Step在右側空白區域右鍵菜單選擇“創建新規則”→進入新規則向導
Step選中“權限”項將其“操作”設置為“拒絕”“用戶或組”選擇為“Everyone”這樣就所有人都無法運行被限制的病毒包括系統本身
Step選中“條件”項這裡我們可以通過三種條件類型來限制程序運行分別是“發布者”“路徑”“文件哈希”“發布者”是根據數字簽名來進行判斷的由於病毒通常沒有數字簽名因此該項暫時用不到但是這條在限制普通軟件的時候尤其有用 “路徑”則是直接選中病毒文件或者文件夾而“文件哈希”可以通過哈希值來限制病毒即使病毒復制了很多份到不同地方也能讓其全部報廢這裡我們以“路徑”限制為例進入下一步後我們點擊“浏覽文件”按鈕選中病毒文件然後點擊“創建”按鈕
Step由於我們創建的是第一條規則那麼在完成後會有個默認規則創建提示需點擊“是”允許創建默認規則以免設置的規則使得系統文件程序遭到限制
這樣一條限制規則就生效了我們可以雙擊運行一下病毒試試看是不是發現病毒已經被限制運行了?
小貼士如果設置AppLocker規則無效請單擊“開始”→在“搜索程序和文件”框中鍵入servicesmsc→按Enter鍵→打開“服務”找到找到ApplicationIdentity項將其啟動類型設為“自動”然後按“啟動”就可讓規則生效
From:http://tw.wingwit.com/Article/Common/201311/5738.html