防患于未然 将“流氓”挡在系统之外

网络“流氓”是时下最流行的词语之一,最突出的便是各种流氓软件、插件,想着法的要在系统中驻扎生根。大家在极其反感之时,也发现这些“流氓”真的是无赖至极,一旦它们攻入到系统中,再想将其赶走就没那么容易了。因此,做到防患于未然,提前进行有效的防范措施,就远比“亡羊补牢”要实在的多。


一、知己知彼,流氓种类细细数


先来简单了解一下流氓家族,按其在系统中的表现形式可大体分为两类。一是以独立软件的形式出现,代表人物有“播霸、网络猪、青娱乐”等,此类流氓可单独行动,平白占用大量系统资源,其主要依靠捆绑在一些软件中,在安装软件的同时也偷偷进入到了系统内。二是以插件形式出现,代表人物有“划词搜索、百度搜霸、中文网址”等,它们和浏览器、资源管理器“紧密集成”,看似无形却有形,象牛皮癣一样令人生厌!经常在访问一些网站时,被莫名安装在了系统中。


流氓软件(插件)定义:凡未经用户许可强行潜伏到用户系统中,而且此类程序大多没有卸载程序,无法正常卸载和删除,在进行强行删除操作后还会自动生成。其主要的流氓行为包括广告程序、间谍软件、IE插件等。


二、就地取材,赤手空拳拦截流氓


其实Windows XP本身(或常见的软件)中的很多组件,即可有效的拦截流氓的入侵,我们只要就地取材即可阻挡大部分无赖插件。


1.用好注册表,轻松屏蔽流氓插件


平时在访问一些网页时,经常会跳出要求安装某些流氓插件窗口,这些插件是通过调用相应的ActiveX来安装的,只要知道其在注册表中相应的CLSID标识,便可阻截此类流氓的骚扰。比如要彻底屏蔽“CNNIC”的安装,打开记事本输入下列内容并保存为cnnic.reg文件,然后导入注册表,这样下次就不会再弹出提示安装窗口了。


Windows Registry Editor Version 5.00


#9A578C98-3C2F-4630-890B-FC04196EF420 CNNIC’s CLSID


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\]


“Compatibility Flags”=dword:00000400


命令解释:这里的“{9A578C98 -3C2F-4630-890B-FC04196EF420}”就是“cnnic”的CLSID标识,其它流氓插件的CLSID标识可通过网络搜索获得,之后按上述格式进行屏蔽即可。


对于Windows SP2和使用Maxthon浏览器的用户,可启用弹出窗口过滤功能,当弹出插件安装窗口时,只要选择“从不安装”便可始终对流氓插件保持屏蔽状态了。


2.用活组策略,废掉流氓软件安装能力



系统组策略中有一项“软件限制策略”,可有效阻止流氓软件的安装,不过该法的前提是要获得流氓软件本身,比如需要阻止“网络猪”的安装,可进行如下操作。


步骤1:在“运行”栏中执行“gpedit.msc”命令,打开组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→软件限制策略”项,然后单击菜单栏的“操作→创建新的策略”,新建一个策略。


步骤2:展开新建的策略,在“其它规则”上右击选择“新散列规则”,在弹出的窗口中单击“浏览”按钮,选择网络猪安装程序,这时会生成一个文件散列号码,系统会读取该文件的基本信息,如版本、公司名等。最后,只要将“安全级别”选择为“不允许”即可(如图1)。






图1

设置完成,以后只要在安装新软件时,如果其捆绑了网络猪,那么不管安装程序改成什么名字,只要流氓软件源数据没有发生变化,系统便会拒绝安装,从而有效的避免了此类“隐形”流氓。


流氓软件可从其官方主页下载,然后将其导入限制策略,可以依次导入多种常见的流氓软件。注意当流氓软件推出新版本时,应及时更新限制策略,做到全面拦截。


三、擦亮双眼,程序安装莫盲目


1.安装前的选择


很多流氓软件是通过自解压形式捆绑在应用程序中的。安装这类软件时应先用WinRAR解压,然后提取其中所需的文件即可。比如“水晶情缘热键专家”就捆绑多个流氓软件,用WinRAR打开后只要解压其中的“hykey.exe”即可(如图2)。

#p#副标题#e#




图2

2.安装过程中的选择


其实很多捆绑了流氓软件的安装程序都有一些说明,只要在安装时注意加以选择即可避免流氓的入侵,比如“千千静听”就捆绑了“百度搜霸”,在安装到最后一步时,取消勾选安装百度搜霸即可。


被捆绑的流氓软件在安装时都有一个释放过程,一般是释放到系统临时文件夹(C:\Windows\Temp),如果在安装软件时发现异常,可启动任务管理器终止应用程序的安装,通过进程列表可看到被释放的流氓软件安装程序进程,根据进程路径打开目录将流氓软件删除即可。如果是自解压文件,默认解压路径一般在“C:\Documents and Settings\当前用户\Local Settings\Temp\”下,以RarSFX0、RarSFX1…….命名的文件夹中,可在此找到流氓软件的安装程序并删除。


四、未雨绸缪,用权限打好预防针


对于自己经常遭遇的流氓,还可预先在其安装路径下建立文件夹,比如“Vika”是安装在“C:\Program Files\Vika”目录中,可先在上述路径建立对应的文件夹,然后通过权限设置,将“Vika”文件夹的权限设置为不允许任何人写入,这样即使不小心运行了Vika安装程序,也会因为没有写入权限,而导致流氓软件安装失败(如图3)。只是该法需先知道流氓软件的安装路径,系统所在分区也要为NTFS格式。






图3

五、聘请外援,专业软件阻截流氓


现在的流氓软件智商越来越高,使用上面的方法也不能做到万无一失,这时不妨借助一些专业的软件来进行“专项治理”。


1.插件王牌管家Upiea


Upiea可显示出当前已安装的插件并可进行完全的卸载,由于它已将常见的流氓插件按类别归类好,所以运行程序后只要选择相应的类别并勾选需要免疫的项目,然后单击“应用”即可将要提防的流氓插件彻底拒绝在系统之外(如图4)。




图4

软件屏蔽的原理是通过向注册表中添加相应的键值来达到目的,这可使流氓插件误认为已在本机安装过。所以在使用Upiea时,不要屏蔽过多插件,否则会向注册表中写入很多键值,影响系统运行速度。只要按需定制,屏蔽经常骚扰自己的插件即可。


2.安装程序监工System Safety Monitor



System Safety Monitor可调整程序性能并控制它们对本地资源的存取,安装程序任何新增的进程都会被它截取。运行它后,先单击“选项→语言”切换到简体中文界面,之后单击“选项→程序”命令,在程序特征中设置“阻止进程创建”项,使其可在后台监控进程创建。由于流氓软件安装时会创建新的进程,所以它便可及时阻止流氓软件的安装,比如笔者在安装Winamp时,程序便及时的阻止了流氓软件的运行,根据程序名称很容易便判断出了其中的流氓程序(如图5)。






图5

System Safety Monitor的监控功能很强大,不过为避免其影响系统的运行速度,可以选择在安装新软件时,再运行并启动它的监控功能。