一:用组策略阻击“流氓软件”
在网友下载的软件中附带未经用户许可就强制安装的软件或插件,这就是“捆绑”,是“流氓软件”们的重要推广式,一般来说,用户很难避免它们的骚扰,但探究一下就会发现,软件的安装其实就是个解压和调用安装程序,复制文件的过程,如果能在“流氓软件”的安装文件被调用时就阻止它的运行,不就把它们拒之门外了吗?明白了这个原理,我们就可用系统组策略阻击流氓软件了。
第一步,在“开始”-“运行”中输入“gpedit.msc”,回车打开“组策略”窗口。
第二步,依次单击“windowns设置”-“安全设置”-“软件限制策略”,默认状态下此策略应为空白,在“软件限制策略”上单击右键,选择“创建新的策略”,其下会出现“安全级别”和“其它规则”两个策略。
第三步,选择“其它规则”,然后在右边窗口中选择“新散列规则”,单击“文件散列”中的“浏缆”选择“流氓软件”的安装文件,再在“安全级别”下拉列表中选择“不允许的”,单击“确定”关闭对话框。
提示:这一步的关键就在于如何确定“流氓软件”的安装文件,其实并不困难,以常用的P2P软件Poco为例,此软件捆绑了3721上网助手,只要查看其安装目录就可以找到两个看上去和P2P不相关的程序3721.bat的Assist4.exe,前者毫无疑问是3721,查看后者的文件属性就会发现其“描述”为“上网助手”。禁止目标就是这样确定的。
设置完成后重启计算机,此策略即可生效。以后当此程序将被执行时,就会弹出“windowns无法打开此程序”的错误提示。
二:利用UltraEdit巧妙分离带木马病毒的文件
第一步:用UltraEdit的十六进制方式打开绑定程序,选中第二个MZ到第三个MZ之间的内容(即第二个文件),将该部分复制。然后新建一个文件,粘贴,保存为EXE文件。
第二步:选中第三个MZ至文件末尾之间的内容(即第三个文件),同样复制,新建文件后粘贴、保存为EXE文件。
第三步:现在你要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序。一般来说,所需程序文件与捆绑后的图标一致,且文件体积较大的那个文件就是我们所要的原文件。 |
发表于 2007-5-15 22:13:25