搞軟件的,一大副業是當兼職IT,經常有人找我解決各種各樣的電腦問題。今天早上我還沒起牀就有一位打電話過來問IE一打開就崩潰是怎麼回事。幫他一查,好傢伙,亂七八糟的流氓插件不知怎的裝了不少。其實一直以來我特奇怪的一個問題是,各位的流氓軟件都是怎麼中的,我怎麼就碰不上,想中一個都不得其門而入。前段時間my123.com爆發,我就想中一個看看怎麼回事,結果搜了好一陣,又到my123.com晃悠半天,一點兒事都沒有。我甚至到一箇中了招的博主的帖子上留言,沒人理我,可能被他當成搗亂的了,哈哈。
說到對付流氓軟件,我還是頗有經驗的,不需要會編程,普通電腦用戶也能學會。下面說說我的經驗。
1,首先當然就是要想辦法避免中招。一個原則就是儘量少裝一些亂七八糟的軟件。另外,目前流氓軟件很多都做成IE的插件,所以如果你願意的話,可以考慮換個瀏覽器。我現在就改用FireFox了,只有在一些FireFox顯示有問題的網站才用IE。避免中招的另一個很有效的方法是限制瀏覽器的運行權限。大部分人使用Windows都是以管理員身份登陸(我也一樣),這就給了流氓軟件可乘之機。限制瀏覽器的運行權限可以避免流氓軟件偷偷的裝到你的硬盤上,或是修改註冊表等偷雞摸狗的勾當。微軟也看到了這個問題,因此在Windows VISTA上,IE 7引入了一種新的運行模式,即保護模式。以保護模式運行的IE 7禁止了很多瀏覽網頁用不着的權限,大大提高了上網的安全性。在Windows 2000或Windows XP上,有一個軟件也可以用來限制程序的運行權限,這就是我以前提起過的Sysinternals(現已被微軟收購)的psexec。把psexec下載到本地硬盤。比如說你想運行一個運行限制受限的IE,可以用命令行:
當然如果每次要運行IE都這麼來一遍就太麻煩了,我們可以給它做個快捷方式:做一個psexec.exe的快捷方式拉到桌面上(不要告訴我你不會),然後“右鍵->屬性”編輯快捷方式,在目標編輯欄裏填入:
D:/depository/sysinternals/PsTools是psexec.exe的所在目錄。以後運行IE用這個快捷方式就行了。如果你用FireFox,可以用同樣的方法給它做一個。下圖是正常運行IE和以受限權限運行IE的權限差別:
2,基本上照我前面說的做流氓軟件就不大會找上你。但世事難預料,總有踩到狗屎的時候。如果你懷疑自己可能中招了,或者想當高手給別人解決問題,你就得學會怎麼查流氓軟件。當然你也可以用超級兔子之類的傻瓜軟件,不過這就顯得不夠酷了是不是。而且,這類軟件只能查那些已知的,現在的流氓軟件層出不窮,防不勝防,所以你最好學會自己分析。當然不是純手工分析,也要用輔助工具,這裏我推薦的是Sysinternals的Autoruns。Autoruns可以把windows從開機到進入桌面或者打開IE時會自動運行的所有程序都列出來,包括設備驅動程序、系統服務、登錄時自動運行的程序、IE插件等等。如下圖,自動運行的程序非常多,我怎麼知道哪些是流氓軟件哪些不是呢?其實鑑別方法很簡單。首先,在autoruns界面的Options菜單中把Verify Code Signatures和Hide Signed Microsoft Entries兩項選上,再按F5重新掃描一下,列出來的啓動項就少多了:
仔細觀察Everything TAB中列出的啓動項(打勾的),正規的軟件在Description和Publisher這兩列都會寫明程序的用途和公司名。如果空着就很可疑,禁止它一般不會有錯(把勾去掉就行)。但這不是說這兩欄沒空着就可以排除懷疑了,任何名字看着怪怪,但你又喫不準到底是不是的,這時候就得問google了。如圖,在autoruns中選中你覺得可疑的“右鍵->google”:
如果搜索出來的網頁中你看到了流氓軟件,或者malware字樣的,那就是沒跑了,刪了準沒錯,反之如果沒有這類字樣一般就不是:
3,第二步介紹的方法可以對付絕大部分流氓軟件。還有一些流氓,它會用一些高級技術,諸如多進程互相保護,rootkit等,禁止你刪它。比如CNNIC做了幾個驅動程序防止你改它設置的註冊表項。對付這種流氓,首先要記住那行你刪不掉的啓動項的程序路徑,然後重新啓動windows,進入安全模式的命令行(啓動過程中不停按F8就行了),見下圖:
登錄系統後windows會打開一個命令行,在命令行裏刪掉程序就行了。
4,如果還有更變態的,連這種方法都刪不掉(我還沒碰上過),那就要用絕招了,比如把硬盤卸下來掛到別的機器上,用別的系統刪。或者做個ERD啓動光盤,從光盤啓動一個mini windows再刪。ERD光盤的製作和使用教程網上一大堆,我就不深入介紹了。