防御技巧简单三招手动预防木马
   颁布日期:2009年10月22日   来源:信息办、信息中心
 

        防御技巧 简单三招手动预防木

                       2009.10.22  信息中心

   这年头的网络越来越不安全了,黑客制作工具比Word还要简单,随便一个菜鸟都可以借助工具制作出力强劲的攻击武器。看网页、收邮件、聊QQ都有可能被马到。稍不留意,你的个人信息、账户 、密码等重要信息就会被它走,你知道如何识马、抓马吗?下面的几个方法将告诉你如何对付这些顽劣的马。

一、赤手空拳防木马

有些的Windows XP系统可称得上是一个毒窝了,不仅有木马程序潜伏,各类恶意插件也在其中死缠烂打。而造成这种情况的主要原因就是给予了登录帐户和上网者过多的使用权限,使木马和插件能够堂而皇之的出入系统。所以,要想有效的加强系统安全,就要在帐户权限上加以限制。

步骤一:建立受限帐户

打开运行对话框,在其中输入命令“net user xiaoyao 123456 /add”,回车执行后,即可在系统中添加一个名为“xiaoyao”的新帐户,密码为“123456”。用“net user”命令添加的新帐户,其默认权限为“USERS,所以只能运行许可的程序,而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。

步骤二:金蚕脱壳 加固IE

恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。

1.建壳

删除桌面上的IE图标,打开“C:\Program Files\Internet Explorer”文件夹,右键点击“Iexplore.exe”程序,选择发送到”→“桌面快捷方式命令,在桌面上创建一个新的IE快捷图标。接着回到桌面,右键点击新建的IE图标,选择属性命令,在弹出窗口中,切换到快捷方式选项卡,点击高级按钮,勾选以其他用户身份运行选项确定后关闭对话框。

2.脱壳

现在以管理员帐户或其它非“xiaoyao”帐户登录Windows XP系统后,双击桌面上的IE快捷方式时,就会弹出一个运行身份对话框,在其中输入之前新建的帐户名“xiaoyao”及密码,确定后便可进行正常上网操作。

接下来,试试IE是否还能受到恶意插件的骚扰。进入“www.baidu.com”,点击百度页面中的把百度设为首页按钮,修改IE的主页。然后点击页面中的更多”→“搜霸链接,下载百度搜霸。当下载完毕后,该插件将自动运行安装程序,此时会看到它弹出了一个身份认证对话框,默认是以“xiaoyao”身份进行安装的。

在安装完成后,以“xiaoyao”帐户身份再次运行IE时,将会发现首页已变成了百度。以“xiaoyao”帐户运行IE时,可看到IE首页没有任何改变。而之前安装的百度搜霸,则无论以什么帐户运行IE,都不会见到它的踪影!

此时是以“xiaoyao”这个USERS组的帐户,来进行上网操作的。由于“xiaoyao”帐户在当前并未登陆,所以百度搜霸根本无法安装并加载到IE中,网页也仅能对“xiaoyao”帐户的IE首页进行修改。也就是说,以“xiaoyao”帐户身份运行IE后,浏览到的恶意网页只能对“xiaoyao”帐户的IE设置进行修改,而恶意网页中的流氓软件或木马间谍运行后,根本就无法对当前帐户和系统产生任何影响。

3.换壳

如果“xiaoyao”帐户的IE设置被更改或破坏,那么可在运行对话框中执行“net user xiaoyao /delete”命令,来删除“xiaoyao”帐号。之后,再次执行创建帐户命令,新建一个名为“xiaoyao”的帐户,即可使IE“完好如初

步骤三:加固系统

通过网页浏览感染系统,只是木马病毒和流氓插件的一种途径。如果不小心以当前帐户身份运行了木马病毒程序,系统还是会被破坏。只是这类破坏迹象都较明显,不像恶意网页在后台进行暗箱操作,因此可提前阻止它们。

1.禁止程序启动

很多木马病毒都是通过注册表加载启动的,因此可通过权限设置,禁止病毒和木马对注册表的启动项进行修改。

启动注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”分支,在“Run”分支上点击右键,选择权限命令,将当前帐户对该分支的读取权限设置为允许,并取消对完全控制权限的选择。使用同样方法设置以下注册表启动键的权限:

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunEx

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices

“HKEY_CURRENT_USER”下,也有相同的多个注册表启动项需要设置权限。

2.禁止服务启动

一些高级的木马病毒会通过系统服务进行加载,对此可禁止木马病毒启动服务的权限。

可依次展开“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services”分支,将当前帐户的读取权限设置为允许,同时取消其完全控制权限。

3.系统安全设置

最厉害的木马病毒会采用DLL注入方式,或者抢先系统启动运行,对此可在注册表中限制其启动权限。

设置的方法同上,需设置权限的注册表项有以下分支:

HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\UserInit

HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\Shell

HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\GinaDll

HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\System

HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\

4.保护文件关联

有些狡猾的木马,还会通过更改系统文件关联,达到启动运行目的。对此可展开“HKEY_CLASSES_ ROOT”分支,将其下的“.exe”.“com”“.cmd”“.BAT”“.VBS”等项目设置权限,操作方法同上。

使用设置了注册表权限的帐户登录系统后,是无法安装软件或进行重要系统更改设置的。如要安装软件,可更换为管理员帐户登录

系统,并进行正常的安装操作。

杀毒软件下载地址:http://down.360safe.com/360sd_se.exe

Copyright © 2011 厦门理工学院信息办、信息中心版权所有
地址:福建省厦门市集美区理工路600号 | 邮政编码:361024 | 电话:0592-6291559 0592-6291018 | 传真:0592-6291016