巧用Win7控制策略 困死木马病毒

 　　计算机病毒之所以成为网络安全的头号公敌，一是因为其极强的传播性，二是因为其难以清除的特性。我们经常会碰到一些难以清除的病毒，即使杀毒软件提示已经查杀成功，但是病毒文件并没有被删除，仍旧留在系统中作威作福。要想对付这类病毒，我们应该换一个思路，既然删除不了，那么我们索性就不去删除它，而是通过系统的一些内置功能限制它的运行，只要它运行不了，那么自然就无法进行破坏了。本期就让我们来看看如何利用Win7系统自带的软件控制策略限制病毒的运行。

　　编辑提示：病毒为何难以清除?

　　在某些病毒面前，杀毒软件并不能很好的履行其杀毒的职责，最多只能达到查毒的效果。为什么会出现这种情况呢?杀毒软件不是应该对病毒杀无赦吗?其实这不能怪杀毒软件，而要怪病毒太狡猾，利用技术上的手段让杀毒软件对其无可奈何。下面我们来分析一下杀毒软件无法清除病毒的两种原因：

　　1、狡“毒”三窟。某些病毒为了防止自身被杀毒软件查杀，会将病毒文件复制到系统的多个位置。在这些病毒文件当中，会故意让杀毒软件查杀其中的一个，而对其他几个病毒文件进行加密，躲过查杀。这样杀毒软件将暴露的病毒文件删除后，其他病毒文件就又会偷偷的将其恢复，这就是某些病毒感觉永远也删不干净的原因。

　　2、病毒文件正在被系统使用。我们都知道，正在运行的程序是无法删除的，因为程序有很多的dll动态链接库文件与系统挂钩，病毒正是利用这个原理，死死的与系统粘在一起，杀毒软件想杀我?把系统一起给删了吧。对付这种病毒，最好的办法就是限制其运行，让它能够存在，但无法作恶，就像给它建造了一座监狱一样。

　　Win7相对Windows XP增加了很多功能，虽然这些功能我们平时很少用到，但是用起来却非常实用，例如AppLocker功能，称为“应用程序控制策略”，我们可以用它轻松创建对某个程序的限制策略。用来对付“牛皮癣”式的病毒是最合适不过的了。

　　Step1：单击“开始”→在“搜索程序和文件”框中输入“secpol.msc”→按回车→打开本地安全策略窗口→找到应用程序控制策略→AppLocker→可执行规则。

　　Step2：在右侧空白区域右键菜单，选择“创建新规则”→进入新规则向导。

　　Step3：选中“权限”项，将其“操作”设置为“拒绝”，“用户或组”选择为“Everyone”，这样就所有人都无法运行被限制的病毒，包括系统本身。

　　Step4：选中“条件”项。这里我们可以通过三种条件类型来限制程序运行，分别是：“发布者”、“路径”、“文件哈希”。“发布者”是根据数字签名来进行判断的，由于病毒通常没有数字签名，因此该项暂时用不到，但是这条在限制普通软件的时候尤其有用。“路径”则是直接选中病毒文件或者文件夹。而“文件哈希”可以通过哈希值来限制病毒，即使病毒复制了很多份到不同地方，也能让其全部报废。这里我们以“路径”限制为例，进入下一步后，我们点击“浏览文件”按钮选中病毒文件，然后点击“创建”按钮。

巧用Windows 7控制策略 困死木马病毒
　　Step5：由于我们创建的是第一条规则，那么在完成后会有个默认规则创建提示，需点击“是”，允许创建默认规则，以免设置的规则使得系统文件程序遭到限制。

巧用Windows 7控制策略 困死木马病毒
　　这样一条限制规则就生效了。我们可以双击运行一下病毒试试看，是不是发现病毒已经被限制运行了?

　　小贴士：如果设置AppLocker规则无效，请单击“开始”→在“搜索程序和文件”框中键入services.msc→按Enter键→打开“服务”，找到找到Application Identity项，将其启动类型设为“自动”，然后按“启动”，就可让规则生效。