打印

[其它问题] 凑个热闹，也说 ‘裸奔’---可以防御99%的病毒

yaoyusheng

赛留香

网盟版主

帖子: 607
精华: 4
积分: 3241
威望: 2246
盟币: 360

现任版主勋章

楼主大中小发表于 2008-5-29 12:22 只看该作者

凑个热闹，也说 ‘裸奔’---可以防御99%的病毒

本文网址:http://bbs.bitscn.com/172150 复制

本人也属于菜鸟之列，杀软只用过寥寥数款，很多防火墙也没用过，HIPS更是不会。组策略、注册表知道一点，看到高手们的组策略规则，的确是好东西。但看得简直晕乎，感觉挺复杂的，没有耐心去弄。那么，象我们这类普通电脑用户，怎样才能既拥有电脑的流畅性能，又能拥有很好的安全性，还不用太麻烦的设置呢？也许，下面讲的方法，可以给你带来一点帮助。因本人并非行内人士，只是平常经常接触电脑而已，错误之处，欢迎拍砖，向各位爱好者学习以提高。本文不涉及其它任何安全软件知识，不涉及组策略规则，只是几步简单的系统设置。

1、首先，需要我们的磁盘文件格式是NTFS ，如图１所示。

如果不是NTFS可以用convert转换一下。比如：将C盘的文件格式从Fat32转换为NTFS，在‘开始’--‘运行’--输入‘convert c: /fs:ntfs',如图2所示。

确定后进入Dos窗口，如果你的C盘有卷标，就要求你输入C盘的卷标（在C盘的属性页图1中可察看），我这儿就是winxp，回车后提示是否强制卸下卷，这里可以输入Y，再回车，提示是否重启时转换，再输入Y。重启一下电脑，就自动完成转换。其他盘同理操作。

2、在‘我的电脑’右键菜单中选‘管理’，打开‘计算机管理’窗口。新建一个普通用户user，为了平常方便登录，可以不设密码，user默认是属于users组。如图3。

3、打开‘我的电脑’，在‘工具’菜单中选择‘文件夹选项’，在‘文件夹选项’窗口中选择‘查看’页，去掉‘使用简单文件共享’的选中状态，如图4所示。

选中C盘，在右键菜单中选择‘属性’，再选择‘安全’页。只保留三个用户组就可以了，其中Adminstrators、SYSTEM具有全部权限，users组只有读取和运行的三项权限，如图5所示。

再点击‘高级’，可以删除users创建的权限，users只留下一个读取和运行权限，如图6所示。同理，可以设置其他需要保护盘的权限。

4、默认状态下，新建的user用户对注册表 HKEY_CURRENT_USER下的键值是有写权限的。但病毒一般不喜欢利用这里来加载，毕竟只要删除这个user用户，再新建一次user，病毒也就无法启动了。当然，为了更为稳妥，可以将这下面的一些关键项的权限修改为Users组不能写入。注销系统后，用user登录，在注册表中找到以下项，点击右键菜单中‘权限’，就可以将user的写入权限勾上‘拒绝’。（以后若需要改回来，要以管理员身份运行regedit或以管理员登录系统，注意这时候不是在HKEY_CURRENT_USER下面去改，而是要到HKEY_USERS下面找到对应user的项里面的相似位置去修改。）

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnceEx]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunEx]
[HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows/load]

      以上步骤设置正确后，我们就可以注销系统，以user登录系统。这时候去写保护的文件夹里面是不能新建文件的（如：c:\windows\）。

      平常我们使用电脑就可以用user登录系统，这样系统就比较安全。用user登录系统，没有杀软监控的情况下，可以达到：
   a、登录带毒、带木马的网站，不会中毒。
   b、插入带毒U盘，即使没有关闭自动播放，双击盘符，不会中毒。
   c、直接运行病毒样本，不会中毒。

下面简单举例说明：

   a、如果某个网站带毒，一般打开这个网站时IE会卡死，网站页面不能完全出来，我们只需结束IE进程就可以了。如图7。

b、前段时间，机器狗、磁碟机闹得厉害，我也下了样本，作了简单测试，防御仍然成功。

   先运行磁碟机，导致屏幕闪掉，卡了一会儿，进程explorer出错，病毒进程pagefile.pif也出错。同时，导致系统不能注销，也不能重启。如图8。

再运行机器狗，因驱动未加载成功，而无法运行。如图9

现在，删除桌面的病毒样本，磁碟机病毒的文件夹因占用无法删除，但文件都删掉了。打开卡巴，对C盘进行查杀。没有病毒文件写入系统文件夹中，也没感染。如图10。

阅读本文至此，有的朋友也许会说，用user登录系统后，要删除、移动文件怎么办？要在线更新游戏怎么办？安装程序怎么办？难不成又要切换用户到管理员(administrator)下，那还不麻烦死了。这个问题当初也是困扰了我，而且在网上也没找到能解决这个问题的工具软件，最后没办法，只好自己动手，边学边写完了这个工具（汉石资源管理器），基本上解决了这些问题，需要管理员权限的操作就可以在汉石管理器中完成。下面提供一个简单版的下载地址，有兴趣的朋友可以体验一下（因出自业余之手，专业人士就不要看了哈^_^）。如果有朋友用得习惯，需要完整版的（修正了几个发现了的bug），可以加我QQ 742931801，愿与大家分享。

  最后说一句，并不推荐大家裸奔，但即使开启杀软监控，本文的方法仍然适用，还可避免监控被病毒关闭、破坏的尴尬，让你的系统更加安全。当然如果你的机子老，运行杀软监控感到力不从心，或者运行网游时追求极致的性能，或者想享受无拘的快感，那么就赶快加入裸奔的行列吧，到时有了快感你就喊。

   汉石管理器下载  http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2921588

   本文转自  http://hi.baidu.com/hsandstone

[ 本帖最后由 yaoyusheng 于 2008-5-29 12:31 编辑 ]