Under the hood

互联网上新生活
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

我怎么对付流氓软件

Posted on 2008-10-16 11:11  sting feng  阅读(535)  评论(0编辑  收藏  举报

搞软件的,一大副业是当兼职IT,经常有人找我解决各种各样的电脑问题。今天早上我还没起床就有一位打电话过来问IE一打开就崩溃是怎么回事。帮他 一查,好家伙,乱七八糟的流氓插件不知怎的装了不少。其实一直以来我特奇怪的一个问题是,各位的流氓软件都是怎么中的,我怎么就碰不上,想中一个都不得其 门而入。前段时间my123.com爆发,我就想中一个看看怎么回事,结果搜了好一阵,又到my123.com晃悠半天,一点儿事都没有。我甚至到一个中 了招的博主的帖子上留言,没人理我,可能被他当成捣乱的了,哈哈。

说到对付流氓软件,我还是颇有经验的,不需要会编程,普通电脑用户也能学会。下面说说我的经验。

1,首先当然就是要想办法避免中招。一个原则就是尽量少装一些乱七八糟的软件。另外,目前流氓软件很多都做成IE的插件,所以如果你愿意的话,可以考虑换个浏览器。我现在就改用FireFox了, 只有在一些FireFox显示有问题的网站才用IE。避免中招的另一个很有效的方法是限制浏览器的运行权限。大部分人使用Windows都是以管理员身份 登陆(我也一样),这就给了流氓软件可乘之机。限制浏览器的运行权限可以避免流氓软件偷偷的装到你的硬盘上,或是修改注册表等偷鸡摸狗的勾当。微软也看到 了这个问题,因此在Windows VISTA上,IE 7引入了一种新的运行模式,即保护模式。以保护模式运行的IE 7禁止了很多浏览网页用不着的权限,大大提高了上网的安全性。在Windows 2000或Windows XP上,有一个软件也可以用来限制程序的运行权限,这就是我以前提起过的Sysinternals(现已被微软收购)的psexec。把psexec下载到本地硬盘。比如说你想运行一个运行限制受限的IE,可以用命令行:

psexec.exe -l -d "C:Program FilesInternet Exploreriexplore.exe"

当然如果每次要运行IE都这么来一遍就太麻烦了,我们可以给它做个快捷方式:做一个psexec.exe的快捷方式拉到桌面上(不要告诉我你不会),然后“右键->属性”编辑快捷方式,在目标编辑栏里填入:

D:depositorysysinternalsPsToolspsexec.exe -l -d "C:Program FilesInternet Exploreriexplore.exe"


 


D:"depository"sysinternals"PsTools是psexec.exe的所在目录。以后运行IE用这个快捷方式就行了。如果你用FireFox,可以用同样的方法给它做一个。下图是正常运行IE和以受限权限运行IE的权限差别:



2,基本上照我前面说的做流氓软件就不大会找上你。但世事难预料,总有踩到狗屎的时候。如果你怀疑自己可能中招了,或者想当高手给别人解决问题,你 就得学会怎么查流氓软件。当然你也可以用超级兔子之类的傻瓜软件,不过这就显得不够酷了是不是。而且,这类软件只能查那些已知的,现在的流氓软件层出不 穷,防不胜防,所以你最好学会自己分析。当然不是纯手工分析,也要用辅助工具,这里我推荐的是Sysinternals的Autoruns。 Autoruns可以把windows从开机到进入桌面或者打开IE时会自动运行的所有程序都列出来,包括设备驱动程序、系统服务、登录时自动运行的程 序、IE插件等等。如下图,自动运行的程序非常多,我怎么知道哪些是流氓软件哪些不是呢?其实鉴别方法很简单。首先,在autoruns界面的 Options菜单中把Verify Code Signatures和Hide Signed Microsoft Entries两项选上,再按F5重新扫描一下,列出来的启动项就少多了:


仔细观察Everything TAB中列出的启动项(打勾的),正规的软件在Description和Publisher这两列都会写明程序的用途和公司名。如果空着就很可疑,禁止它 一般不会有错(把勾去掉就行)。但这不是说这两栏没空着就可以排除怀疑了,任何名字看着怪怪,但你又吃不准到底是不是的,这时候就得问google了。如 图,在autoruns中选中你觉得可疑的“右键->google”:



如果搜索出来的网页中你看到了流氓软件,或者malware字样的,那就是没跑了,删了准没错,反之如果没有这类字样一般就不是:



3,第二步介绍的方法可以对付绝大部分流氓软件。还有一些流氓,它会用一些高级技术,诸如多进程互相保护,rootkit等,禁止你删它。比如 CNNIC做了几个驱动程序防止你改它设置的注册表项。对付这种流氓,首先要记住那行你删不掉的启动项的程序路径,然后重新启动windows,进入安全 模式的命令行(启动过程中不停按F8就行了),见下图:



登录系统后windows会打开一个命令行,在命令行里删掉程序就行了。



4,如果还有更变态的,连这种方法都删不掉(我还没碰上过),那就要用绝招了,比如把硬盘卸下来挂到别的机器上,用别的系统删。或者做个ERD启动光盘,从光盘启动一个mini windows再删。ERD光盘的制作和使用教程网上一大堆,我就不深入介绍了。