一、赤手空拳防木馬

　　木瓜的Windows XP系統(tǒng)可稱得上是一個“毒窩”了，不僅有木馬程序“潛伏”，各類惡意插件也在其中死纏爛打。而造成這種情況的主要原因就是給予了登錄帳戶和上網(wǎng)者過多的使用權(quán)限，使木馬和插件能夠堂而皇之的出入系統(tǒng)。所以，要想有效的加強系統(tǒng)安全，就要在帳戶權(quán)限上加以限制。

　　步驟一：建立受限帳戶

　　打開“運行”對話框，在其中輸入命令“net user xiaoyao 123456 /add”，回車執(zhí)行后，即可在系統(tǒng)中添加一個名為“xiaoyao”的新帳戶，密碼為“123456”。用“net user”命令添加的新帳戶，其默認(rèn)權(quán)限為“USERS組”，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設(shè)置，這樣便可避免大部分的木馬程序和惡意網(wǎng)頁的破壞。

　　步驟二：金蠶脫殼  加固IE

    惡意網(wǎng)頁是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設(shè)置。

　　1．建殼

　　刪除桌面上的IE圖標(biāo)，打開“C:\Program Files\Internet Explorer”文件夾，右鍵點擊“Iexplore.exe”程序，選擇“發(fā)送到”→“桌面快捷方式”命令，在桌面上創(chuàng)建一個新的IE快捷圖標(biāo)。接著回到桌面，右鍵點擊新建的IE圖標(biāo)，選擇“屬性”命令，在彈出窗口中，切換到“快捷方式”選項卡，點擊“高級”按鈕，勾選“以其他用戶身份運行”選項確定后關(guān)閉對話框。

    2．脫殼

　　現(xiàn)在以管理員帳戶或其它非“xiaoyao”帳戶登錄Windows XP系統(tǒng)后，雙擊桌面上的IE快捷方式時，就會彈出一個運行身份對話框，在其中輸入之前新建的帳戶名“xiaoyao”及密碼，確定后便可進行正常上網(wǎng)操作

　　接下來，試試IE是否還能受到惡意插件的騷擾。進入“www.baidu.com”，點擊百度頁面中的“把百度設(shè)為首頁”按鈕，修改IE的主頁。然后點擊頁面中的“更多”→“搜霸”鏈接，下載“百度搜霸”。當(dāng)下載完畢后，該插件將自動運行安裝程序，此時會看到它彈出了一個身份認(rèn)證對話框，默認(rèn)是以“xiaoyao”身份進行安裝的

　　在安裝完成后，以“xiaoyao”帳戶身份再次運行IE時，將會發(fā)現(xiàn)首頁已變成了百度。以非“xiaoyao”帳戶運行IE時，可看到IE首頁沒有任何改變。而之前安裝的百度搜霸，則無論以什么帳戶運行IE，都不會見到它的蹤影！

　　此時是以“xiaoyao”這個USERS組的帳戶，來進行上網(wǎng)操作的。由于“xiaoyao”帳戶在當(dāng)前并未登陸，所以百度搜霸根本無法安裝并加載到IE中，網(wǎng)頁也僅能對“xiaoyao”帳戶的IE首頁進行修改。也就是說，以“xiaoyao”帳戶身份運行IE后，瀏覽到的惡意網(wǎng)頁只能對“xiaoyao”帳戶的IE設(shè)置進行修改，而惡意網(wǎng)頁中的流氓軟件或木馬間諜運行后，根本就無法對當(dāng)前帳戶和系統(tǒng)產(chǎn)生任何影響。

    3．換殼

　　如果“xiaoyao”帳戶的IE設(shè)置被更改或破壞，那么可在“運行”對話框中執(zhí)行“net user xiaoyao /delete”命令，來刪除“xiaoyao”帳號。之后，再次執(zhí)行創(chuàng)建帳戶命令，新建一個名為“xiaoyao”的帳戶，即可使IE“完好如初”。

　　步驟三：加固系統(tǒng)

    通過網(wǎng)頁瀏覽感染系統(tǒng)，只是木馬病毒和流氓插件的一種途徑。如果不小心以當(dāng)前帳戶身份運行了木馬病毒程序，系統(tǒng)還是會被破壞。只是這類破壞“跡象”都較明顯，不像惡意網(wǎng)頁在后臺進行“暗箱操作”，因此可提前阻止它們。

　　1．禁止程序啟動

　　很多木馬病毒都是通過注冊表加載啟動的，因此可通過權(quán)限設(shè)置，禁止病毒和木馬對注冊表的啟動項進行修改。

　　啟動注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”分支，在“Run”分支上點擊右鍵，選擇“權(quán)限”命令，將當(dāng)前帳戶對該分支的“讀取”權(quán)限設(shè)置為“允許”，并取消對“完全控制”權(quán)限的選擇。使用同樣方法設(shè)置以下注冊表啟動鍵的權(quán)限：
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunEx
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices
　　在“HKEY_CURRENT_USER”下，也有相同的多個注冊表啟動項需要設(shè)置權(quán)限。

    2．禁止服務(wù)啟動

　　一些高級的木馬病毒會通過系統(tǒng)服務(wù)進行加載，對此可禁止木馬病毒啟動服務(wù)的權(quán)限。

　　可依次展開“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services”分支，將當(dāng)前帳戶的“讀取”權(quán)限設(shè)置為“允許”，同時取消其“完全控制”權(quán)限。

　　3．系統(tǒng)安全設(shè)置

　　最厲害的木馬病毒會采用DLL注入方式，或者搶先系統(tǒng)啟動運行，對此可在注冊表中限制其啟動權(quán)限。

　　設(shè)置的方法同上，需設(shè)置權(quán)限的注冊表項有以下分支：
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\UserInit
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\Shell
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\GinaDll
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\System
　　HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\

　　4．保護文件關(guān)聯(lián)

　　有些狡猾的木馬，還會通過更改系統(tǒng)文件關(guān)聯(lián)，達到啟動運行目的。對此可展開“HKEY_CLASSES_ ROOT”分支，將其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等項目設(shè)置權(quán)限，操作方法同上。

　　使用設(shè)置了注冊表權(quán)限的帳戶登錄系統(tǒng)后，是無法安裝軟件或進行重要系統(tǒng)更改設(shè)置的。如要安裝軟件，可更換為管理員帳戶登錄系統(tǒng)，并進行正常的安裝操作。

    二、另類“還原精靈”保系統(tǒng)

    對于木瓜這種超級懶惰的人來說，使用手動設(shè)置來保護系統(tǒng)顯得太過繁瑣了，所以最好還是給他一款軟件來達到自動保護系統(tǒng)的目的。而他提出使用“還原精靈”之類的軟件，真是太耗費系統(tǒng)資源了，搞不好還會把硬盤鎖死了，這里還有更高級的“秘密武器”。

　　1．IE從此無憂

　　安裝這款名為“Sandboxie”的軟件后，它會隨系統(tǒng)自動運行，利用軟件的沙盤功能，即可保護系統(tǒng)不受任何病毒和插件的侵襲。

　　右鍵點擊桌面上的IE圖標(biāo)，在彈出菜單中選擇“Run Sandboxed”命令，即可以沙盤保護方式運行IE。此時瀏覽任意惡意帶毒的網(wǎng)站，系統(tǒng)都會經(jīng)過“沙盤”的過濾保護，保證自身不會受到任何影響。即使木馬病毒程序已下載到硬盤中，也會隨著Sandboxie的關(guān)閉而自動消失。

    如果要保存通過“沙盤”下載的文件，可右鍵點擊系統(tǒng)托盤區(qū)的沙盤圖標(biāo)，在彈出菜單中選擇“從沙盤恢復(fù)文件”命令。在打開的對話框中，選擇沙盤中暫存的文件，點擊“恢復(fù)到同一文件夾”按鈕，即可將文件保存到硬盤中了

　　2．告別木馬病毒

　　下載了好多軟件要安裝，但不能確定其中是否夾帶著流氓插件或木馬，這時可使用右鍵點擊程序文件，通過“Run Sandboxed”命令運行安裝，此時程序?qū)ο到y(tǒng)所作的修改都會被沙盤攔截保護，在關(guān)閉沙盤后安裝的木馬病毒也將隨之消失。

　　如果在沙盤中安裝運行后，確認(rèn)程序是安全的，那么就可再次以正常方式安裝運行程序了。

    三、程序權(quán)限輕松設(shè)

    雖然限制用戶權(quán)限保護系統(tǒng)安全的方法很好用，但對于木瓜這種經(jīng)常安裝卸載軟件的用戶來說，不時彈出的“權(quán)限不夠”提示便顯得太過“煩人”了，這里就在給出一個兩全其美的方法。

　　安裝名為“DropMyRights”的軟件，用這個軟件啟動其它程序，這樣啟動的程序就只具有基本的權(quán)限，無法對系統(tǒng)產(chǎn)生破壞了。

　　右鍵點擊桌面IE快捷圖標(biāo)，選擇“屬性”→“快捷方式”，在“目標(biāo)”位置中輸入如下命令
　　"C:\程序安裝目錄\DropMy Rights.exe"  "C:\Program Files\Internet Explorer\Iexplore.exe" N

　　程序后面的參數(shù)“N”，代表以普通用戶權(quán)限運行程序。確定后關(guān)閉對話框，雙擊該快捷方式就能以指定的身份啟動IE瀏覽器，以后瀏覽到惡意網(wǎng)頁也不用擔(dān)心系統(tǒng)會遭到破壞了，所達到的效果與前面提到的“金蠶脫殼”法差不多。