瑞星2008主动防御之程序启动控制

今天我们要介绍的程序启动控制是主动防御中的一个重要部分。通过程序启动控制，我们可以有选择地对进程之间的联系进行了解和控制。比如我们可以通过这个功能来获知，个子病毒文件到底是由哪些个源病毒文件触发或生成的。

下而我们以Windows中的计算器程序CALC.EXE和IE浏览器程序IEXPLORE EXE硌菔旧鲜龅恼飧龉δ堋

首先打开瑞星2008主界面，在“防御”页面中找到“程序启动控制”，点击“设置”，进入到“主动防御”设置界面中(见图1)在“程序启动控制”选项里点击“添加”，在这个演示里我们将以系统自带的计算器CALC EXE程序添加到“规则应用对象”中，然后点击“确定”。

在弹出的“添加规则”中点击“添加”，将IE浏览器程序IEXPLOREE.EXE添加进来(也可以选所有程序，在这里我们为了演示就以IE浏览器来代替)，之后一路“确定”，返回Windows桌面。

此时我们已将CALC.EXE设置为需要检测的对象，并将]EXPLORE.EXE作为触发CALC.EXE的应用程序。下面我们首先直接点击计算器程序图标可以发现计算器可以正常运行，瑞星2008并没有任何提示，这是正常的，因为直接运行并不需要IEPLORE.EXE来触发。

再打开IE浏览器，地址栏中输入C:\Windows\SYS/EM32\CALC.EXE，这个是CALC.EXE的存放路径。然后点击“转到”，这嘉颐蔷涂梢苑⑾秩鹦2008会弹出提示框。从其中的内容我们可以得知是IE浏览W程序触发了CALC计算器程序(见图2)。

很多情况下，当我们使用手工删除病毒的时候，往往会有病毒删除不干净的现象，这是由于越来越多的病毒都有了自我保护和自动复制的能力。当我们仅仅删除一个病毒子文件时，而没有删除病毒的源文件，那么很快的，原病毒文件就会检测系统中文件的变化，而将子文件重新复制到系统中去，从而带来病毒删除不干净的现象。

通过上述演示，如果我们将CALC.EXE程序换成病毒程序，而将IE浏览器程序换成任何可疑的文件，那么我们就可以获知病毒程序之间的关系，根据瑞星的提示我们就可以从源头来消除病毒文件，从而便于我们有效的遏制病毒的传播。