独门绝技!防木马三招两式

2023年12月1日发(作者：)

独门绝技!防木马三招两式.txt男人应该感谢20多岁陪在自己身边的女人。因为20岁是男

人人生的最低谷，没钱，没事业；而20岁，却是女人一生中最灿烂的季节。只要锄头舞得好，

哪有墙角挖不到？独门绝技!防木马三招两式

同在一个宿舍中，共享同一条宽带，木瓜的电脑总是感染一些木马病毒或是流氓软件，而笔

者的电脑上却是“一尘不染”。这样在木瓜每次气急败坏的重装系统时，就会说笔者没义气。

听到兄弟这么说，还真是感觉有些冤枉，其实保护系统的方法不过就这两三招，还是统统都

传授给他吧！

一、赤手空拳防木马

木瓜的Windows XP系统可称得上是一个“毒窝”了，不仅有木马程序“潜伏”，各类恶

意插件也在其中死缠烂打。而造成这种情况的主要原因就是给予了登录帐户和上网者过多的

使用权限，使木马和插件能够堂而皇之的出入系统。所以，要想有效的加强系统安全，就要

在帐户权限上加以限制。

步骤一：建立受限帐户

打开“运行”对话框，在其中输入命令“net user xiaoyao 123456 /add”，回车执行后，

即可在系统中添加一个名为“xiaoyao”的新帐户，密码为“123456”。

用“net user”命令添加的新帐户，其默认权限为“USERS组”，所以只能运行许可的程

序，而不能随意添加删除程序和修改系统设置，这样便可避免大部分的木马程序和恶意网页

的破坏。

图1

步骤二：金蚕脱壳 加固IE

恶意网页是系统感染木马病毒及流氓插件的最主要途径，因此很有必要对IE作一些保护

设置。

1．建壳

删除桌面上的IE图标，打开“C:Program FilesInternet Explorer”文件夹，右键点

击“”程序，选择“发送到”→“桌面快捷方式”命令，在桌面上创建一个新

的IE快捷图标。接着回到桌面，右键点击新建的IE图标，选择“属性”命令，在弹出窗口

中，切换到“快捷方式”选项卡，点击“高级”按钮，勾选“以其他用户身份运行”选项（如

图2），确定后关闭对话框。

3．换壳

如果“xiaoyao”帐户的IE设置被更改或破坏，那么可在“运行”对话框中执行“net user

xiaoyao /delete”命令，来删除“xiaoyao”帐号。之后，再次执行创建帐户命令，新建一

个名为“xiaoyao”的帐户，即可使IE“完好如初”。

步骤三：加固系统

通过网页浏览感染系统，只是木马病毒和流氓插件的一种途径。如果不小心以当前帐户

身份运行了木马病毒程序，系统还是会被破坏。只是这类破坏“迹象”都较明显，不像恶意

网页在后台进行“暗箱操作”，因此可提前阻止它们。

1．禁止程序启动

很多木马病毒都是通过注册表加载启动的，因此可通过权限设置，禁止病毒和木马对注

册表的启动项进行修改。

启动注册表编辑器，依次展开“HKEY_LOCAL_MACHINESoftware

MicrosoftWindowsCurrentVersionRun”分支，在“Run”分支上点击右键，选择“权限”

命令，将当前帐户对该分支的“读取”权限设置为“允许”，并取消对“完全控制”权限的选

择（如图5）。使用同样方法设置以下注册表启动键的权限：

HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunEx

HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionPolicies

ExplorerRun

HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunServices

在“HKEY_CURRENT_USER”下，也有相同的多个注册表启动项需要设置权限。

2．禁止服务启动

一些高级的木马病毒会通过系统服务进行加载，对此可禁止木马病毒启动服务的权限。

可依次展开“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支，将

当前帐户的“读取”权限设置为“允许”，同时取消其“完全控制”权限。

3．系统安全设置

最厉害的木马病毒会采用DLL注入方式，或者抢先系统启动运行，对此可在注册表中限

制其启动权限。

设置的方法同上，需设置权限的注册表项有以下分支：

HKEY_LOCAL_MACHINESoftwareMicrosoft Windows

Windows HKEY_LOCAL_MACHINESoftwareMicrosoft

NTCurrentVersionWinlogonUserInit

NTCurrentVersionWinlogonShell

HKEY_LOCAL_MACHINESoftwareMicrosoft Windows

NTCurrentVersionWinlogonGinaDll

HKEY_LOCAL_MACHINESoftwareMicrosoft Windows

NTCurrentVersionWinlogonSystem

HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPolicies

4．保护文件关联

有些狡猾的木马，还会通过更改系统文件关联，达到启动运行目的。对此可展开

“HKEY_CLASSES_ ROOT”分支，将其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等项

目设置权限，操作方法同上。

使用设置了注册表权限的帐户登录系统后，是无法安装软件或进行重要系统更改设置的。

如要安装软件，可更换为管理员帐户登录系统，并进行正常的安装操作。

二、另类“还原精灵”保系统

对于木瓜这种超级懒惰的人来说，使用手动设置来保护系统显得太过繁琐了，所以最好

还是给他一款软件来达到自动保护系统的目的。而他提出使用“还原精灵”之类的软件，真

是太耗费系统资源了，搞不好还会把硬盘锁死了，这里还有更高级的“秘密武器”。

1．IE从此无忧

安装这款名为“Sandboxie”的软件后，它会随系统自动运行，利用软件的沙盘功能，即

可保护系统不受任何病毒和插件的侵袭。

右键点击桌面上的IE图标，在弹出菜单中选择“Run Sandboxed”命令，即可以沙盘保

护方式运行IE（如图6）。此时浏览任意恶意带毒的网站，系统都会经过“沙盘”的过滤保护，

保证自身不会受到任何影响。即使木马病毒程序已下载到硬盘中，也会随着Sandboxie的关

闭而自动消失。

如果要保存通过“沙盘”下载的文件，可右键点击系统托盘区的沙盘图标，在弹出菜单中选

择“从沙盘恢复文件”命令。在打开的对话框中，选择沙盘中暂存的文件，点击“恢复到同

一文件夹”按钮，即可将文件保存到硬盘中了（如图7）。

图7

2．告别木马病毒

下载了好多软件要安装，但不能确定其中是否夹带着流氓插件或木马，这时可使用右键

点击程序文件，通过“Run Sandboxed”命令运行安装，此时程序对系统所作的修改都会被沙

盘拦截保护，在关闭沙盘后安装的木马病毒也将随之消失。

如果在沙盘中安装运行后，确认程序是安全的，那么就可再次以正常方式安装运行程序

了。

三、程序权限轻松设

虽然限制用户权限保护系统安全的方法很好用，但对于木瓜这种经常安装卸载软件的用

户来说，不时弹出的“权限不够”提示便显得太过“烦人”了，这里就在给出一个两全其美

的方法。

安装名为“DropMyRights”的软件，用这个软件启动其它程序，这样启动的程序就只具

有基本的权限，无法对系统产生破坏了。方法很简单，以IE为例。

右键点击桌面IE快捷图标，选择“属性”→“快捷方式”，在“目标”位置中输入如下

命令（如图8）：

图8

"C:程序安装目录DropMy " "C:Program FilesInternet

" N

程序后面的参数“N”，代表以普通用户权限运行程序。确定后关闭对话框，双击该快捷

方式就能以指定的身份启动IE浏览器，以后浏览到恶意网页也不用担心系统会遭到破坏了，

所达到的效果与前面提到的“金蚕脱壳”法差不多。