当杀毒软件不再给力

白名单系统，阻止所有未知瞒毒、木马

“无毒空间”(virusfree)(下载地址：http：//wwww.139.xdown.corn/upIoadFILe/201 1-4/VFSetup.rar)是一款尤为擅长查杀各种未知病毒、木马的安全软件，它使用纯白名单内核技术。对可疑程序的审查非常严苛。如果无法判定，则可通过上传，让全球40家最著名的杀毒公司在线扫描，得出最具权威的检测结论。

在安装“无毒空间”的过程中，可选择预先扫描一下本地硬盘是否存在病毒(如图)。完成安装后，自动驻留系统，并开始实时拦截。在增强保护模式下，将强制拦截未知程序的加载并给予提示，这样未知病毒、木马不会有任何可乘之机。当然，也可自由调节为较宽松的实时拦截模式。

那么，如何快速排查本机中已存在的可疑程序呢?在“无毒空间”主界面中点击“分析”，之后程序将自动扫描系统启动时加载的可疑程序。扫描完毕后查看分析结果，这里会列举出一些未通过认证的文件(如图2)。通过文件名与存储路径，若不能自行判断其是否为未知病毒、木马。可在勾选该项后，点击“上传”按钮，将该文件上传到官网服务器，使用全球数十家最著名的病毒查杀引擎在线扫描，最终获得一个权威可信的检测结果。对于判定存在威胁的文件，可设置其状态为“禁止”，避免其激活。

此外，也可在“无毒空间”程序的“高级”菜单项中，选择“捕获自删除执行程序”。此项功能对于查杀未知木马、后门极为有用，因为此类恶意程序的服务端大都被设置为运行后删除自身。

实时拦截恶意程序进程

如今的后门、键盘记录程序等恶意软件，很多是采用注入系统进程，而达到隐藏自身的目的。如果杀毒软件未能及时查杀此类威胁，发现异常时单凭WindOWS任务管理器是看不出什么端倪的。而通过processGuard(下载地址：http：///Os/qh/pgsetup_36849.rar)这款软件，能够保护windows系统进程免受其它未知进程、服务、驱动程序及其它可执行代码的攻击。

将ProcessGuard安装完成后，必须要重新启动计算机。而后，在系统托盘中用鼠标双击显示为锁头标识的该程序图标，查看程序主界面中的“MAIN”标签页，在“System Status”中显示“SECURE：Protected by ProcessGuard”，表示系统处于ProcessGuard的保护之下；在“ProcessGuard Status”中显示“Running”，表示ProcessGuard处于运行状态。每次在启动程序后，要先查看一下这两项状态是否正常。

阻止一切未知进程

在ProcessGuard的“MAlN”标签页中查看“ProtectionSettjngs”项目，在此可进行常规的保护设置。默认设置下，程序将自动实时保护系统进程。但是，建议大家去除“LearningMode”复选框中的对号(如图3)，以启用学习模式。

在该模式下，当有新增进程出现时，ProcessGuard会弹出一个询问对话框，在其中显示当前程序名称及安装路径等信息。据此，我们就可判断其是否为正常程序。若是则勾选“AlwaysPerform this action”复选框，再点击“Permit”按钮。表示同意其永久运行，不会再询问；否则，若是恶意程序试图运行，则点击“Deny”按钮，阻止其运行(如图4)。

如果日后需要改变指定进程的运行或禁止状态，可在ProcessGuard程序中重新设置。切换到“SECURITY”标签页，在此显示了当前已运行的程序(如图5)。在指定文件名称上，用鼠标右键单击，在弹出菜单中选择“Change Last Action”，在其下级子项中，可自定义设置永久禁止运行、只禁止一次运行或永久允许运行、只允许运行一次。

系统全局保护

在“MAIN”标签页中查看“GIobal Protection Options”项目，在此通过选择相应的选项。可以防止恶意代码的攻击。阻止键盘记录程序及木马、后门等试图窃取数据资料的恶意程序，也能够保护系统进程免受蠕虫或系统服务、驱动程序的威胁，还可阻止非法DLL程序注册……

定制进程保护措施

在ProcessGuard程序中。切换到“PROTECTION”标签页，在上端的列表中显示了当前所有运行的进程，选择指定进程名称后，查看下面的项目，在“Protect this applicalion from”中可设置保护进程的相关选项；在“Authorize this application to”中可设置允许进程的相关选项。

例如，你若是不希望常驻系统的杀毒软件及防火墙之类系统防护工具非法退出(用以避免被恶意程序封杀)，在“Authorize this application to”中激活“Terminate protectedapplications”选项即可(如图6)。

通杀桌面虚假IE图标

几乎每个网友都遇到过，在安装了一款软件或游戏后，就自动在桌面上添加某网站的IE快捷方式或在IE添加工具条，而且往往通过Windows自身功能无法删除。即便是在正规软件下载站下载的程序，也可能会出现这种问题。这样的边缘性病毒，建议使用“村落安全网页专杀”工具(下载地址：http：///uploadFile/2010-6/vsafe.rar)来彻底清除，其最新版可以通杀9348cn、6700cn、2548cn、苹果工具条等近乎所有虚假IE桌面图标。

运行绿色版的“村落安全网页专杀”工具后，无需任何设置，即可一键扫描本机是否存在虚假IE桌面图标与第三方可疑IE工具条(如图7)。若检测出此类项目，勾选后点击“清除选中”按钮即可。

若IE存在主页被非法篡改后还被禁用了功能。以及被捆绑了BHO、额外按钮等问题。可切换到“修复”标签页，在此扫描故障并修复即可(如图8)。

降权使用IE，不给病毒滋生的土壤

IE绝对算极易招惹病毒的“体质”，时常会有狡猾的未知新病毒“穿越”杀毒软件的重重拦截通过IE在浏览网页时被感染。而利用WindOWS×P系统的多用户特性，降低权限即可有效避免IE招惹来的病毒、木马。不过，使用系统受限帐户，在操作上会遇到很多不便之处，例如安装软件、修改系统配置时需切换到管理员。而我们使用网友自编的小软件“让IE运行于基本用户状态”(下载地址：http：//www ，shared/6nb8klhurk)即可仅给IE浏览器降低权限，使其运行于“基本用户”(BasicUser)的状态。

运行“让IE运行于基本用户状态”程序后，将自动添加或 替换桌面、快速启动栏及开始菜单中的IE快捷方式。快捷方式指向的IE将运行于“基本用户”状态。当我们通过以上任意方式启动IE后。浏览器会获得一个受限的访问令牌(RestrictedToken)，这种状态下将无法对系统目录和注册表进行写入操作。如此一来网页中的恶意代码、病毒或木马、后门自然也就无法实施破坏活动了。

揪出常规文件夹中的可疑程序

有一种QQ等IM软件的盗号程序，是通过劫持原程序来达到隐藏自身并激活的目的，即替换或修改主程序文件。怎样能快速察觉这种隐蔽性极强的恶意程序呢?使用“文件异常检测器”(下载地址：http：///uploadFiIe/2010-12/％，CE％，C4％，BC％，FE％，D2％，EC％B3％，A3％BC％EC％B2％E2％C6％F7.rar)，即可批量检测目标文件夹内的所有文件，是否存在被修改、被删除、被替换或新增文件等异常情况。

运行“文件异常检测器”后，先注册用户并登录。再点击“添加项目”按钮，选择文件夹监视目标，之后即开始载入其中的所有文件(如图9)。程序提示“添加完毕”后，选择“保存数据”。当感觉目标文件夹可能存在异常情况时，载人数据，再点击“开始验证”按钮，验证完成后，其中是否有被擅自修改或添加之类的文件。将一目了然(如图10)。

修改Hosts免疫恶意网站

我们在浏览网页时，对于木马及含有恶意代码的各类型的恶意网站，往往是防不胜防，它们很多都是通过弹窗或内嵌框架等形式主动推送给浏览者。而如果能事先修改Hosts，屏蔽这些恶意网站，即可以更为彻底地解决问题。“高危恶意网站hosts屏蔽文件自动更新器”(下载地址：http：//wwww /upIoadFile/2011-1/hostssoft.rar)就是专用于封杀恶意网站的绿色小软。

将下载压缩包释放到目标路径后，运行其中的“Hosts.exe”程序。但需注意，由于该程序会修改hosts，所以会被安全软件拦截，需设置它为可信任的程序。之后。查看“高危恶意网站hosts屏蔽文件自动更新器”主界面(如图11)，可看到列表中已预置了数万个恶意网址。目前为最新版，以后使用时可点击“获取最新收录恶意域名”按钮，及时更新导入屏蔽库。

此后，按提示的操作步骤，先生成HOSTS文件，再更新HOSTS文件，将那些高危恶意网站全部导入至HOSTS。完成后。可打开该文件，看看是否成功添加屏蔽网址(如图12)。