playcow - 2006-9-24 1:32:00
很多流氓软件和木马是通过开机自动运行,然后建立守护进程防止你删除的方法来保护自己的,应该说绝大部分都是这样,很多时候遇到的恶意程序就是你在注册表里删除它,它又会自动建立,这样最后只能借助第三方工具比如icesword才可以,甚至有时候连icesword都拿它没办法。
其实对于这种东西,有一个比较治本的方法(狠招)来应对,估计这里有不少人也知道。
恶意程序要开机自动运行,是通过在注册表的自启动项来添加数据实现的,因此就可以从这里入手,如果你c盘是ntfs分区,可以通过ntfs的目录权限设置来禁止程序对注册表操作,但大部分人c盘都是fat分区不能设置目录权限,这时候就可以对注册表自启动项设置权限,使恶意程序无法访问,就不会中招了,或者说,即使中招,因为它无法自启动,那你等下次开机就自然无事,根本用不着费心想办法删它。
就拿
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
这一项来说,在此项中设置一个数据,就可以做到开机自动加载。在注册表编辑器里依次展开到run子项,对其点右键,选权限,然后是高级,然后在出现的选框中选择当前的用户帐号,然后点编辑,就可以出现权限设置界面了,在“设置数值”这一项的“拒绝”框里打勾,这样一来,病毒程序就没有办法对run子项进行写操作和删除操作,但是读取还是可以的。确定完以后你可以自己做个实验,无论是用注册表编辑器,还是icesword,都没办法删除这一项中的数据了。
注册表中自启动项还有好几个地方,基本都是在各主键的\Windows\CurrentVersion\Run下面,一一对其设置拒绝设置数值的权限。这么一来,不但病毒无法设置自启动项,连你自己都做不到了,呵呵当然你可以重新用刚才的方法把拒绝设置数值的权限允许就可以了。不过如果你真的有需要添加程序到开机自动启动,我建议在启动菜单中添加,这样更为方便,不用碰复杂的注册表了。
其实对于这种东西,有一个比较治本的方法(狠招)来应对,估计这里有不少人也知道。
恶意程序要开机自动运行,是通过在注册表的自启动项来添加数据实现的,因此就可以从这里入手,如果你c盘是ntfs分区,可以通过ntfs的目录权限设置来禁止程序对注册表操作,但大部分人c盘都是fat分区不能设置目录权限,这时候就可以对注册表自启动项设置权限,使恶意程序无法访问,就不会中招了,或者说,即使中招,因为它无法自启动,那你等下次开机就自然无事,根本用不着费心想办法删它。
就拿
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
这一项来说,在此项中设置一个数据,就可以做到开机自动加载。在注册表编辑器里依次展开到run子项,对其点右键,选权限,然后是高级,然后在出现的选框中选择当前的用户帐号,然后点编辑,就可以出现权限设置界面了,在“设置数值”这一项的“拒绝”框里打勾,这样一来,病毒程序就没有办法对run子项进行写操作和删除操作,但是读取还是可以的。确定完以后你可以自己做个实验,无论是用注册表编辑器,还是icesword,都没办法删除这一项中的数据了。
注册表中自启动项还有好几个地方,基本都是在各主键的\Windows\CurrentVersion\Run下面,一一对其设置拒绝设置数值的权限。这么一来,不但病毒无法设置自启动项,连你自己都做不到了,呵呵当然你可以重新用刚才的方法把拒绝设置数值的权限允许就可以了。不过如果你真的有需要添加程序到开机自动启动,我建议在启动菜单中添加,这样更为方便,不用碰复杂的注册表了。