讓病毒木馬喪失自啟動本領

技術應用

作者：帷幄

為了達到自啟動目的，一些狡猾的病毒木馬程序在成功入侵係統後，會悄悄將其可執行文件放置到係統啟動文件夾中，下次它就能跟隨Windows係統啟動而自動運行了。現在，我們隻要禁止所有用戶賬號訪問係統啟動文件夾，就能限製病毒木馬將惡意文件隱藏到其中，從而達到讓其喪失自啟動本領的目的。

現在，病毒木馬瘋狂肆虐，它們不但會破壞重要數據文件，而且會占用寶貴係統資源，更為重要的是，在每次計算機重新啟動時，它們都會想方設法讓自己自動運行。要是我們能夠讓病毒木馬程序喪失自啟動本領，那麼它們的攻擊破壞性將會大大下降，這樣計算機係統的運行安全性也就能有保障了。

限製啟動文件夾權限

為了達到自啟動目的，一些狡猾的病毒木馬程序在成功入侵係統後，會悄悄將其可執行文件放置到係統啟動文件夾中，下次它就能跟隨Windows係統啟動而自動運行了。現在，我們隻要禁止所有用戶賬號訪問係統啟動文件夾，就能限製病毒木馬將惡意文件隱藏到其中，從而達到讓其喪失自啟動本領的目的。

要做到這一點，可以先打開Win7係統資源管理器窗口，將鼠標定位到“C：＼Users＼zhoujy＼AppData＼Roaming＼Microsoft＼Windows＼Start Menu＼Programs”文件夾上（“zhoujy”為當前登錄賬號名稱），用鼠標右鍵單擊“啟動”子文件夾，點擊右鍵菜單中的“屬性”命令，打開啟動文件夾屬性對話框。選擇“安全”標簽，打開標簽設置頁麵，在這裏選中administrators用戶賬號，點擊“編輯”按鈕，在其後界麵中將其所有權限都設置為“拒絕”，確認後返回。同樣地，將其他用戶賬號的訪問權限也設置為“拒絕”。值得注意的是，不同版本的操作係統，其啟動文件夾所處位置不同。例如，WinXP係統的啟動文件夾，默認路徑為“C：＼Documents and Settings＼用戶名＼開始菜單程序＼啟動”。

限製啟動項訪問權限

病毒木馬程序有時會利用編輯注冊表鍵值的方式，來將惡意文件設置成自動運行。為了禁止病毒木馬強行添加啟動項到注冊表中，我們可以對Run、RunService、RunOnce等分支的訪問權限進行合適設置，不允許everyone用戶賬號擁有寫入或運行權限，下麵就是具體的操作步驟：

首先依次點擊“開始”、“運行”命令，彈出運行文本框，在其中執行“regedit”命令，開啟係統注冊表編輯器運行狀態。將鼠標定位到編輯窗口左側區域中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”分支上，打開該分支的右鍵菜單，選擇“權限”命令，彈出目標分支選項的權限對話框，在這裏將everyone之外的用戶帳號依次刪除，之後選中everyone用戶帳號，同時在權限列表中將“讀取”權限調整為“允許”，其他權限都改為“拒絕”，確認後保存設置即可。同樣地，我們也要讓everyone賬號隻能擁有RunService、RunOnce等分支的隻讀權限。

為了躲避殺毒軟件的查殺，部分頑固的病毒木馬程序，有時會以係統服務形式自行啟動，而從上麵的注冊表分支中，是找不到這類病毒木馬程序自啟動項的。為了讓這類病毒木馬程序喪失自啟動本領，我們可以打開係統注冊表編輯窗口，依次展開“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注冊表分支，並用鼠標右鍵單擊該分支選項，執行快捷菜單中的“權限”命令，彈出目標分支的權限設置對話框。從“組或用戶名稱”列表中，隻保留everyone用戶賬號，其他賬號全部刪除，再為everyone用戶賬號賦予隻讀權限，其他權限全部設置為“拒絕”。