系统另类防毒指南

“本软件由于采用XXX技术，所以可能引起杀毒软件的警示，在运行程序前清暂时关闭主动防御功能。”我们都曾经在各种游戏外挂、程序或软件注册机的使用说明中看到类似的提示，很多对系统安全不甚了解的朋友都会毫不犹豫的照做，通常都不会有什么问题，但有的时候却是把自己推向万劫不复的深渊……遇到杀毒软件不能解决的情况时该如何面对呢？

坚清壁野困住危险内容

虽然大多数时候，在用户运行某个带有病毒的程序或是开启危险页面的瞬间，杀毒软件就能够即时阻止用户做出傻事，但是有些时候用户通常会遇到非做傻事不可的情况，比如某些内部传播的软件、安全性不高但却异常重要的网站。

网页屏蔽恶意代码

上述状况最典型的例子莫过于各大学的主页，许多黑客都将入侵自己学校的首页视为向朋友们炫耀的资本，而学校方面通常对不会把学校网站的安全性当一回事，所以学生们时常会发现登录自己学校首页填写考试信息或查询成绩时，突然网页并防火墙发出警报，显示首页中被植入木马病毒若干，并阻止自己继续访问该网页。

遇到这种情况是干脆不考试了，还是关掉杀毒软件等访问完病毒页面再全面杀毒？情况当然没有那么恐怖，再厉害的网页木马跟病毒也都是通过脚本加载插件的形式进入用户的电脑中，用户只需让浏览器禁止危险页面加载任何插件就可以高枕无忧了，虽然不同的浏览器阻止插件加载的操作各有不同，不过通常都会有一键屏蔽所有加载项的功能：

IE8/9浏览器：点击浏览器右上方齿轮形状的工具栏，在弹出菜单中将“安全”一栏的“ActiveX筛选”项选中，这样IE浏览器中的所有加载项就都会被临时屏蔽，当用户访问存在加载项的页面时会在地址栏处出现一个蓝色的禁止标志，如果用户想对加载项“放行”，只需点击这个禁止标志并选择“关闭ActiveX筛选”（如图1）。

Chrome：点击浏览器右上方扳手形状的工具栏，并依次点击“选项/高级选项/内容设置/插件”，选中“阻止所有插件”即可（如图2），同时也可以在“例外”选项中添加不想临时屏蔽插件的网站。

火狐：火狐浏览器自身并没有直接一键屏蔽所有加载项的功能，不过可以借助第三方插件NoScript实现这一效果。下载并安装完NoScript后，插件就会开始自动屏蔽所有网站的脚本代码，并在浏览器的下方做出提示（如图3），如果用户不想继续对脚本代码进行拦截，在火狐浏览器中依次点击“工具/附加组件/NoScript/禁用”即可。

阻止病毒写入系统

不少朋友都会有这样的经历：某一个程序顺利通过杀毒软件检测后，运行时却发现它被绑定了某些恶意插件，于是开始疯狂的往系统里添加各种无用的垃圾文件。想在程序运行的同时又阻止其往系统写入程序的方法也很简单，因为厉害的病毒也都会通过对系统写入文件的方式破坏系统，要是让整个系统盘都变成一个不能被写入的状态，任何病毒都拿我们没办法了：

在分区上面点击鼠标右键，选择“属性”，并依次打开“配额/显示配额设置”。

在弹出新设置页面上选中“启用配额管理”（如图4），这样如果用户在分区中写入了一个大于1KB的文件，系统就会出现写入文件失败的提示，因此就能看到自己的程序是否真的在秘密行事了。不过，这种方式只能够作为一种临时的解决方案，因为开启了配额管理后，无论开机启动程序、程序的安装或更新、甚至WORD文档文件都不能正常运行，所以在运行完“危险”的程序后，记得立即将其关闭，好让系统重新正常运行。

UAC阻止病毒进驻系统

网络上已经“绝版”的软件被病毒感染、想玩一下黑客软件但却被提示存在安全隐患……这些情况都让用户删也不是，留也不是。其实这一看似无解的问题并不难解决，只要对Windows 7下的UAC进行合理设置，即使运行了被病毒感染的程序，它也无法对系统有任何影响。

UAC(User Account Control，用户账户控制)是微软从Vista系统开始中引入的新技术，通过在这些操作启动前对其进行验证，UAC可以帮助用户防止病毒在未经许可的情况下对系统进行更改。不过这项功能在Vista中刚刚推出的时候只有开启和关闭两种选项，这就让用户开启UAC后，无论是安装软件、更新驱动、改变系统设置都会跳出警告窗口询问用户是否允许，所以许多朋友都习惯在系统安装后直接将其关闭了事。其实在Windows 7中UAC的提醒方式有了较大的改进，特别是遇到上述情况时，可以重新开启UAC帮助我们阻止病毒的进犯。依次点击“控制面板/用户账户和家庭安全/用户账户/更改用户帐户设置”将UAC的设置页面改回默认的第三等级即可（如图5）。

这样用户主动改变Windows设置时不会通知系统管理员，但是操作系统上有恶意程序在运行时，它能保证病毒不会给操作系统造成太大的负面影响。

Tips

不会给操作系统带来大影响不代表没有大麻烦，比如前一段时间比较流行的在桌面添加一个删不掉的快捷方式，就是在很低的用户权限下完成的。所以切不可太过迷信UAC。

斗转星移系统轻松还原

不管用户多么小心，总是会有一时不慎中招的情况发生，系统桌面进不去了、杀毒软件无法启动了、病毒文件越杀越多……遇到这种境况，恐怕除了重装系统已经没有更好的解决方式了。虽然如今各种一键重装的软件、工具盘越来越多，但要么是直接回到出厂设置、要么需要用户直接将整个分区备份，为了不让我们的大好时光浪费在重装、恢复各类文件上，自然要找到更加智能的备份还原方式：

Windows 7下的智能还原

虽然Windows自带的系统还原并不是一项太新鲜的东西，不过真正让它被用户接受还是在Windows 7中。系统还原不再是对系统文件进行简单的修复还原，而是能让任意的文件到用户指定的时间的状态。

在桌面上右键单击“计算机”的“属性”，并在弹出的窗口中依次点击“系统/系统保护/创建”，输入一个还原点的名称，系统就会直接将整个系统自动备份（如图6）。当用户想对系统进行还原时，在该页面下点击“系统还原”按钮，整个系统就恢复到了备份时的状态。

如果用户某一个程序或文件夹被感染了病毒，那么就右键选择该文件的“属性”，并切换至“以前的版本”项，就可以看到用户备份时的状态（图7），接下来点击“还原”按钮，程序就瞬间被恢复了。

在Windows 7的默认设置中，系统只开启了对系统分区下的还原，如果用户想开启其他分区的还原模式，可以在此窗口中选择相应的分区，并点击“配置”按钮，将弹出窗口中将“关闭系统保护”改为“仅还原以前版本的文件”，并设定一个最大使用量即可（如图8）。

不要重装要重置

Windows 7的还原功能虽然强大，但是对于数量依旧庞大的XP用户来说，也只能是望洋兴叹了，好在即使是在XP系统下也会有许多第三方工具达到相同的效果。金山装机精灵是一款最近推出的系统备份-还原工具，不过从功能上讲它提供给用户的更像是一种重置的效果，用户只需简单几步操作就能重装系统，并且在重装前将系统还原成最理想的状态，同时再重置过程中不需要光盘、U盘，而且操作简单，使用门槛较低。

备份驱动

首先运行金山装机精灵1.0 Beta ，单击“系统重置”（如图9），然后根据提示向导进行操作，每个步骤都有说明提示，即使是菜鸟也可以轻松搞定。再单击“立即开始”，然后备份驱动和其他数据，选择“备份数据，重装后确保您的个人信息和文档等还原如初”，单击“下一步”，勾选要备份的内容（可以备份QQ聊天记录、浏览器数据、桌面数据、个人文档照片、驱动等，单击各个项目后面的“详情”，还可以选择该项目下的具体内容），选择完毕后，单击“更改目录”设置备份数据的保存位置，一般选择存储到C盘以外的其它分区中，另外备份需要的时间和备份的数据大小在下面也会显示出来，再单击“开始备份”就可以了。

备份完成后，单击“下一步”，开始自动手机用户的数据资料，包括“收集信息”、“更新文件”、“准备安装”等过程。在这个过程中“系统重置”工具需要从网上下载所需要的相关系统文件（不必担心它会把整个系统安装文件下载，程序只是用很短的时间下载几个关键文件），下载完毕后根据提示点击“立即重启”，重启后金山装机精灵开始重置系统，整个过程大概需要5-6分钟，新的系统就被重置完毕了。

恢复信息

系统重置完成后，除了还保留着金山装机精灵自身，和正常重装的系统没有其它区别，这时就可以利用金山装机精灵恢复刚刚备份的硬件驱动和个人信息了。单击金山装机精灵的“还原数据”，然后单击“选择还原包”，选择前面备份数据的文件路径后再选择备份包名称，然后单击“下一步”，选择要还原的项目，再单击“开始还原”就可以了(如图10)。还原完成后，弹出“恭喜您，系统重置完成”，这样系统就安装好了，并且绝大多数软件的信息也恢复到原来的状态。

用不坏的虚拟系统

将系统的安全级别提高虽然可以有效的保护系统不受木马病毒的侵袭，但同时也会让用户正常使用电脑的过程中遇到障碍；而系统的备份跟还原无论多么简便，也都要浪费不少的时间，如果你是一个时常把自己的系统搞崩溃的人，那么不如体验一下虚拟系统的威力：

影子系统

PowerShadow Master（影子系统）是一款很奇特的软件。当用户安装它并重新启动电脑以后，电脑就像安装了双系统一样，多出一个名为PowerShadow Master的启动项，原系统是完全一样的使用，但是用户的一切操作，包括安装程序（甚至运行病毒）在下次用原系统启动时，都会还原至初始状态，对程序安装测试非常有用，不会因为安装卸载而产生垃圾文件，也不会对真正的系统造成任何伤害。下面笔者就以ShadowUser这款小巧的影子系统软件为例，讲述一下它的使用方法：

在安装完毕后需要进行设置才可以使用。首先打开影子系统主界面的“配置”按钮，在配置项的右边有分区、排除列表和自动转储3个选项(如图11)。

其中“分区”页面中列出了电脑中的所有分区，在默认的情况下，所有的文件都是被勾选的，表示影子系统将保护用户所有的分区，在影子系统中重新启动，那么系统将会直接还原至初始状态。如果某些分区不需要还原保护的话，就将相应的分区前的勾选去掉。

“排除列表”中可以添加不需要保护的文件夹，在排除列表中的文件夹在影子系统重启后不会进行自动还原。

在“自动存储”界面中添加文件夹后，软件会将用户在影子系统中操作的文件自动储存到该文件夹下，用来保护用户的劳动成果。

接下来点击界面中的“选项”按钮，可以看到常规、管理和壁纸3个项。用户如果选中了“常规”项中的“重启后继续保持在影子模式状态”，那么以后每次开机影子系统都会成为首选系统；“管理”里可以为自己的影子系统设置密码及其他个性选项，根据用户的需要来设置，对于初级用户笔者建议使用默认参数即可；“壁纸”项可以设置影子系统下你的桌面墙纸的造型，它的主要作用是提醒用户正处于影子系统中，避免因用户疏忽而造成重要文件丢失（如图12）。

将上述内容设置完毕后，点击界面中的“模式/开启影子系统”，重启后系统就进入了影子模式（如图13），即使是再恐怖的病毒，只要重启电源后也都会立即灰飞烟灭了。

优 势 使用便捷、不额外消耗系统

资源，遇到再大的问题都可

以在重启后自动还原

缺 点 储存文件过于不便

适用场景 检查软件的安全性与兼容性

虚拟机VMWare

虽然影子系统在每次重启后都能解决病毒造成的所有危害，但是这种一次清除上一次所有操作内容的方法也并不比系统还原有太多的优势，而虚拟机VMWare则是通过在系统中直接再创建一个子系统并运行，用户不但可以在两个系统中随意切换，而且无论子系统遭遇了多大的破坏，母系统都不会受到丝毫的影响。

在第一次运行虚拟机程序VMWare时，程序会提示用户创建一个新的虚拟机，当用户根据提示把虚拟机创建完毕后，就可以点击界面中的“启动虚拟机”运行了。不过此时的虚拟磁盘还处于一个裸机的状态（如图14），用户需要像正常安装一台计算机操作系统那样为虚拟机安装系统与各种应用程序。不过方便的是虚拟机除了支持软盘、光驱及无盘工作室的所有启动模式外，还支持虚拟光驱模式，用户可以依次点击“虚拟机/可移动设备/CD-ROM/编辑”中导入虚拟光驱镜像文件。接下来在虚拟机中安装系统和正常装机完全一致，在此无需细说，安装完毕后就可以访问这个系统中的系统了（如图15）。

虽然用户在虚拟机中无论如何操作都不会影响系统的正常运行，但是虚拟机一旦崩溃，重装系统也是一件颇为麻烦的事情。所以VMWare提供了一种快照恢复的功能，可以让虚拟机中的系统像游戏中的进度一样被一键保存或读取，点击主界面上方的“创建虚拟快照”按钮后，程序会自动将当前虚拟机状态保存，当用户打算恢复到上一次的系统状态时，只需要点击“恢复到虚拟机先前的快照”按钮，系统就会被瞬间恢复。这个虚拟机快照功能有些类似GHOST中的“一键恢复系统”功能，只是虚拟机中的快照功能更加强大。如果创建的虚拟快照过多，可以使用右侧的“管理虚拟快照”按钮进行管理（如图16），用户只需要点击准备恢复的快照处，就可以实现瞬间互相切换的功能。

优 势 对系统模拟程度最高，恢复

方便，完全不影响真实系统

缺 点 占用资源太高，不支持GPU

加速

适用场景 占用系统资源不高的程序或

文件

Sandboxie

无论是虚拟机还是影子系统，虽然都能够比较有效的保证系统的安全，但是有时用户只是想打开一个页面或是对某款程序是否安全不太放心，为此就要创建出一个系统来未免也太小题大做，在这种情况下Sandboxie（通常被称作沙盘或沙盒）就派上用场了：

Sandboxie的工作原理是在用户运行的程序与系统之间建立一个隔离层，当运行程序的时候，就会将程序直接调入这个隔离层中。程序对系统所做的任何修改，都会被限制在这个隔离层中，而不会真正地去触及系统，这样就算电脑感染了病毒和木马，也不会对系统造成真正的伤害。所以用户可以将Sandboxie看作是更灵活的局部影子系统。

该程序安装完毕后Sandboxie会提醒用户还没有建立配置文件，用户只需点击“沙盘/创建”新沙盘，接下来就可以将任何想通过沙盘运行的程序直接拖拽到沙盘中运行（如图17）。

为了防止用户下载了某些危险的程序后，自己不慎在非沙盘模式下运行，可以设定特定的程序或文件夹强制在沙盘中打开，依次点击“沙盘/沙盘名称/沙盘设置/强制运行程序”后，选择想强制在沙盘中打开的程序（如图18），以后用户无论是什么情况下运行该程序，沙盘都会强制将其设定为在隔离区内运行。

优 势 一键式操作，既不会对系统

造成破坏，也能有效地保存

程序的改动

缺 点 被隔离的程序将无法访问关

联文件

适用场景 不需要关联文件的单一程序

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文