独门绝技!防木马三招两式

显示全部楼层 · 发表于 2007-1-9 02:29:22

这个应该是很好的哦!曾经在网上看见建立多个帐户,然后只用一个登陆防毒的,不过没有这个帖子详细.原文在这里http://inf.rsdown.cn/Html/soft_security/2006-11/20/155805490.html里面有图.....

独门绝技!防木马三招两式
独门绝技!防木马三招两式			★★☆☆★ 红软基地下载站-[我看行]

2006-11-20 15:57:35 来源：作者：　　同在一个宿舍中，共享同一条宽带，木瓜的电脑总是感染一些木马病毒或是流氓软件，而笔者的电脑上却是“一尘不染”。这样在木瓜每次气急败坏的重装系统时，就会说笔者没义气。听到兄弟这么说，还真是感觉有些冤枉，其实保护系统的方法不过就这两三招，还是统统都传授给他吧！ 一、赤手空拳防木马
　　木瓜的Windows XP系统可称得上是一个“毒窝”了，不仅有木马程序“潜伏”，各类恶意插件也在其中死缠烂打。而造成这种情况的主要原因就是给予了登录帐户和上网者过多的使用权限，使木马和插件能够堂而皇之的出入系统。所以，要想有效的加强系统安全，就要在帐户权限上加以限制。
　　步骤一：建立受限帐户
　　打开“运行”对话框，在其中输入命令“net user xiaoyao 123456 /add”，回车执行后，即可在系统中添加一个名为“xiaoyao”的新帐户，密码为“123456”。
　　用“net user”命令添加的新帐户，其默认权限为“USERS组”，所以只能运行许可的程序，而不能随意添加删除程序和修改系统设置，这样便可避免大部分的木马程序和恶意网页的破坏。

图1

　　步骤二：金蚕脱壳加固IE
　　恶意网页是系统感染木马病毒及流氓插件的最主要途径，因此很有必要对IE作一些保护设置。
　　1．建壳
　　删除桌面上的IE图标，打开“C:\Program Files\Internet Explorer”文件夹，右键点击“Iexplore.exe”程序，选择“发送到”→“桌面快捷方式”命令，在桌面上创建一个新的IE快捷图标。接着回到桌面，右键点击新建的IE图标，选择“属性”命令，在弹出窗口中，切换到“快捷方式”选项卡，点击“高级”按钮，勾选“以其他用户身份运行”选项（如图2），确定后关闭对话框。

图2

　　2．脱壳
　　现在以管理员帐户或其它非“xiaoyao”帐户登录Windows XP系统后，双击桌面上的IE快捷方式时，就会弹出一个运行身份对话框，在其中输入之前新建的帐户名“xiaoyao”及密码，确定后便可进行正常上网操作（如图3）。

图3

　　接下来，试试IE是否还能受到恶意插件的骚扰。进入“www.baidu.com”，点击百度页面中的“把百度设为首页”按钮，修改IE的主页。然后点击页面中的“更多”→“搜霸”链接，下载“百度搜霸”。当下载完毕后，该插件将自动运行安装程序，此时会看到它弹出了一个身份认证对话框，默认是以“xiaoyao”身份进行安装的（如图4）。

图4

　　在安装完成后，以“xiaoyao”帐户身份再次运行IE时，将会发现首页已变成了百度。以非“xiaoyao”帐户运行IE时，可看到IE首页没有任何改变。而之前安装的百度搜霸，则无论以什么帐户运行IE，都不会见到它的踪影！
　　此时是以“xiaoyao”这个USERS组的帐户，来进行上网操作的。由于“xiaoyao”帐户在当前并未登陆，所以百度搜霸根本无法安装并加载到IE中，网页也仅能对“xiaoyao”帐户的IE首页进行修改。也就是说，以“xiaoyao”帐户身份运行IE后，浏览到的恶意网页只能对“xiaoyao”帐户的IE设置进行修改，而恶意网页中的流氓软件或木马间谍运行后，根本就无法对当前帐户和系统产生任何影响。
　　3．换壳
　　如果“xiaoyao”帐户的IE设置被更改或破坏，那么可在“运行”对话框中执行“net user xiaoyao /delete”命令，来删除“xiaoyao”帐号。之后，再次执行创建帐户命令，新建一个名为“xiaoyao”的帐户，即可使IE“完好如初”。
　　步骤三：加固系统
　　通过网页浏览感染系统，只是木马病毒和流氓插件的一种途径。如果不小心以当前帐户身份运行了木马病毒程序，系统还是会被破坏。只是这类破坏“迹象”都较明显，不像恶意网页在后台进行“暗箱操作”，因此可提前阻止它们。
　　1．禁止程序启动
　　很多木马病毒都是通过注册表加载启动的，因此可通过权限设置，禁止病毒和木马对注册表的启动项进行修改。
　　启动注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”分支，在“Run”分支上点击右键，选择“权限”命令，将当前帐户对该分支的“读取”权限设置为“允许”，并取消对“完全控制”权限的选择（如图5）。使用同样方法设置以下注册表启动键的权限：

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunEx
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
　　HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices　　在“HKEY_CURRENT_USER”下，也有相同的多个注册表启动项需要设置权限。

图5

　　2．禁止服务启动
　　一些高级的木马病毒会通过系统服务进行加载，对此可禁止木马病毒启动服务的权限。
　　可依次展开“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services”分支，将当前帐户的“读取”权限设置为“允许”，同时取消其“完全控制”权限。
　　3．系统安全设置
　　最厉害的木马病毒会采用DLL注入方式，或者抢先系统启动运行，对此可在注册表中限制其启动权限。
　　设置的方法同上，需设置权限的注册表项有以下分支：
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\UserInit
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\Shell
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\GinaDll
　　HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\System
　　HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\
　　4．保护文件关联
　　有些狡猾的木马，还会通过更改系统文件关联，达到启动运行目的。对此可展开“HKEY_CLASSES_ ROOT”分支，将其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等项目设置权限，操作方法同上。
　　使用设置了注册表权限的帐户登录系统后，是无法安装软件或进行重要系统更改设置的。如要安装软件，可更换为管理员帐户登录系统，并进行正常的安装操作。
　　二、另类“还原精灵”保系统
　　对于木瓜这种超级懒惰的人来说，使用手动设置来保护系统显得太过繁琐了，所以最好还是给他一款软件来达到自动保护系统的目的。而他提出使用“还原精灵”之类的软件，真是太耗费系统资源了，搞不好还会把硬盘锁死了，这里还有更高级的“秘密武器”。
　　1．IE从此无忧
　　安装这款名为“Sandboxie”的软件后，它会随系统自动运行，利用软件的沙盘功能，即可保护系统不受任何病毒和插件的侵袭。
　　右键点击桌面上的IE图标，在弹出菜单中选择“Run Sandboxed”命令，即可以沙盘保护方式运行IE（如图6）。此时浏览任意恶意带毒的网站，系统都会经过“沙盘”的过滤保护，保证自身不会受到任何影响。即使木马病毒程序已下载到硬盘中，也会随着Sandboxie的关闭而自动消失。

[ 本帖最后由 ALEXBLAIR 于 2007-1-9 12:41 编辑 ]

显示全部楼层 · 发表于 2007-1-9 02:30:19

图6

显示全部楼层 · 发表于 2007-1-9 02:31:21

进阶：卡巴斯基杀毒软件应用技巧两则
进阶：卡巴斯基杀毒软件应用技巧两则			★★☆☆★ 红软基地下载站-[我看行]

2006-12-25 11:26:51 来源：网络转摘作者：　　关闭发现病毒时的马嘶声　　　　卡巴斯基每次扫描发现病毒、木马等威胁时，会弹出警告气泡窗口，音箱随即发出难听的马嘶声。对于喜欢清静的朋友，自然不太喜欢，那么你可以取消声音报警。在设置窗口点击“服务”标签页，单击右栏的“高级”按钮，在打开的窗口里取消“所有通知”的“声音”复选框。
　　如果你只是不喜欢默认的马嘶声，可以替换相应的声音文件。以卡巴斯基默认安装路径为例，打开浏览“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\Skin\sounds”文件夹，替换里面的“Infected.wav”波形声音文件即可，你要是喜欢，搞个月亮之上替换上，一查到病毒就放月亮之上给你听，好歹不那么难受咯，哈哈。
　　减少扫描占用的资源
　　扫描操作是杀毒软件保护系统的家常便饭了，为了加快扫描速度，可以“告诉”卡巴斯基不必重复扫描已经检查过的旧文件。打开设置窗口，先点击“扫描”标签页，单击右栏的“自定”按钮。在弹出的窗口选择“扫描程序和文档（按内容）”，并勾选“只扫描新的和已更改的文件”，然后在“复合文件”组里，点击两个复选框的“全部”文字链接，使其变成“仅新的”，最后点击“确定”按钮返回设置窗口。当然，对于常受攻击的“关键区域”，笔者建议将其安装级别设置为“高”。

显示全部楼层 · 发表于 2007-1-9 08:23:40

好招啊

准备给家里的机上了

显示全部楼层 · 发表于 2007-1-9 08:47:36

真是一个很好的文章

显示全部楼层 · 发表于 2007-1-9 10:27:08

江泽民？哎

显示全部楼层 · 发表于 2007-1-9 10:49:36

这个权限设置好象需要在NTFS分区下才能实现。

[ 本帖最后由 wangjay1980 于 2007-1-9 10:54 编辑 ]

显示全部楼层 · 发表于 2007-1-13 12:08:28

很好的文章,学习

显示全部楼层 · 发表于 2007-1-22 02:46:19

牛哦!看完了这篇文章真正懂得了设置权限和看清了病毒木马入侵注册表的位置
太谢谢斑竹了

显示全部楼层 · 发表于 2007-1-28 16:16:39

一定很不错，试一试