非主流打造最牛系统
董师傅茶房
很多时候,病毒都是导致系统崩溃、被迫重装的罪魁祸首。尽管我们可以通过安装杀毒软件等常规的方法来防止病毒破坏系统,但经验告诉我们,杀毒软件也有失手的时候。想让系统百毒不侵?董师傅将带来三种更有奇效的非主流方案,打造出一个让病毒无法上身的超牛系统!
权限当道 把病毒挡在“窗”外
阻止病毒入侵的最高境界当然是将病毒彻底挡在“窗(Windows)”外。在这套方案里,董师傅将通过使用受限账户并降低该账户权限,让病毒根本无法进入系统关键目录(Windows目录,病毒通常会破坏这里的文件)。
很多人都已经知道了这样的操作可以提升系统安全性:先以管理员身份登录系统,安装所需软件,然后创建一个受限账户,平常对电脑的使用都在这个账户中进行。
因为使用的是受限账户操作电脑,因此可以避免用户对系统设置进行更改。但接下来我们要更进一步:再次降低这个用户的权限,以阻止病毒进入系统重要目录。在Win XP系统的操作如下(系统分区必须使用NTFS格式):
以管理员账户登录系统,打开C盘的Windows目录,用鼠标右键点击并选择“属性→安全”,单击“高级”按钮,在打开的窗口选中受限账户(如本例中的“cpcw”账户)后单击“编辑”,在打开的窗口勾选拒绝权限下的“写入属性”、“写入扩展属性”、“删除子文件夹及文件”、“删除”(如图1所示)。最后返回属性窗口,勾选“cpcw”账户拒绝权限下的“写入”。
设置好后,以后操作电脑就使用cpcw账户,这样一来,病毒想在Windows目录里藏身都不可能了!
董师傅提示:由于受限用户权限很低,如果有些操作提示没有权限运行,我们可以使用“runas”进行提权。比如需要运行“系统配置实用程序”,只要在命令提示符窗口输入“runas /user:本机管理员账户名 /savecred msconfig”,然后后输入管理员账户密码(只要输入一次)即可启动。
效果测试
经过上述设置后,受限账户登录系统后将无法删除Windows目录下的文件(系统提示没有权限),当然病毒也就无法往其中写入文件,如此一来文件的安全性自然有所保障,病毒也无可奈何。
体验心得
默认情况下,受限账户权限就很低了,日常操作基本不会对系统造成伤害,我们通过进一步的权限设置,让病毒无法进入系统重要目录,给系统安全加了另一道“锁”。
未雨绸缪 “沙盘”提前保护
很多朋友都有安装软件或者上网浏览时中招的经历,董师傅提供的第二套方案就是用“Sandbox ”(中文译为“沙盘”, 支持Windows 7系统)把病毒隔离起来。这样即使中毒,病毒也只是在“沙盘”中运行,不会对真实系统造成任何伤害。如果要删除病毒,只要简单的进行沙盘移除操作即可。
启动沙盘后,依次点击“沙盘→DefaultBox→在沙盘中运行→从开始菜单中运行”,然后在弹出的沙盘开始菜单中即可运行各种程序。在沙盘中运行的程序窗口标题前会添加上“[#]”标记,所有操作产生的数据都保存在沙盘中(如图2所示)。
董师傅提示:在沙盘中运行的子进程可以自动启用沙盘保护,例如在沙盘中运行IE,然后在IE中启动迅雷下载,那么迅雷也是在沙盘中运行,即使通过迅雷下载到病毒文件,病毒也不会感染正常的系统。因此,只要不独立启动其他程序,我们就可以有效保护系统安全。对于需要保存的数据,也可以在沙盘中查看并复制到其他分区。
效果测试
为了测试沙盘的保护能力到底如何,我们直接在沙盘中下载并运行一个病毒。
首先在沙盘中运行IE,打开某病毒下载链接后,本机杀毒软件立刻报警并阻止打开该页面(如图3所示)。现在关闭杀毒软件监控并继续打开该页面,此时会自动下载网页木马。在沙盘中运行“services.msc”可以看到这个木马在系统中新增了一个名为“VNC Sever”服务项。根据该木马的说明提示,我们在沙盘中可以顺利启动木马客户端和服务端,至此在理论上我们已经在沙盘中中招了。
接下来,启用杀毒软件,也可以发现木马文件在沙盘目录下(C:\Sandbox)。返回沙盘窗口,依次点击“沙盘→DefaultBox→删除保存内容”,再依次选择“沙盘→DefaultBox→移除沙盘”。操作完成后使用杀毒软件查杀,你会发现没有任何病毒残余。病毒已经随着沙盘一并消失,而真实系统也没有受到丝毫的影响。
董师傅提示:虽然在沙盘中运行的程序会在沙盘移除后消失,但是大家一定要注意,沙盘仍然是一个真实的操作环境,请勿在此环境中测试盗号木马等恶意程序,否则你的账号、密码仍然有可能在沙盘中被窃取。
体验心得
沙盘使用一个模拟环境接管系统的当前操作,我们在沙盘中所有操作都是封装在沙盘中。它和常见的影子系统不同,即使重启后,沙盘中仍然可以运行安装的程序,所以可以非常方便地用它来测试程序和浏览网页,比如不了解的程序或者网站,在沙盘中运行确定无误后再到正常系统中运行,以确保系统的安全。
系统“只读” 重启即是杀毒
如果可以把硬盘(特别是系统分区)变为只读,这就可以有效地保证系统的相对稳定。董师傅的第三种方案就是借助微软在嵌入式系统中提供的“Ewf”和“Fbwf”组件,打造“只读”电脑,这样即使中招,我们只要重启即可清除病毒。这种方案效果明显,但需要特别注意的是,上述组件需要安装在原版Windows下,请勿使用各种经过精简或优化的系统,否则可导致蓝屏。
董师傅提示:系统在启动和正常运行过程中都会不断写入文件,因此完全只读的分区,系统是无法正常运行的。“Ewf”和“Fbwf”组件运行的原理是将系统可用用内存划出一部分作为可写区域,然后将当前的数据读写转向这个区域,由于内存在重启后数据就会自动清除。因此这两个组件可以实现分区“只读”功能,从而有效保护系统安全。
从上面的原理可以看到,设置为“只读”后,系统运行过程中产生的数据在重启后不会被保存,比如安装的软件,聊天记录(QQ和MSN的聊天记录默认都保存在C盘)就会消失。因此建议所有常用的软件都安装好后再使用这套方案,同时对于确实需要保存的数据如QQ聊天数据,上述组件也提供了保存工具,或者你也可以直接设置某个分区不要保护(专门用于保存数据)。具体操作如下:
Windows XP用户推荐使用Ewf组件(Fbwf兼容性不佳)。安装Ewf后会自动重启,重启后只要依次点击“开始→所有程序→Ewf2.0保护→开启Ewf2.0保护”,然后输入密码和需要保护的分区如“C”,回车并重启后你的系统分区就变成只读分区了(为方便大家操作,我们提供的是网友制作的具有图形界面的Ewf,如图4所示)。
启用Ewf保护后,任何对保护分区的读写都会被重定向到内存区域,如果要保存数据比如要更新病毒库和系统补丁,先重启电脑,进入系统后不要执行其他操作,然后开始升级病毒库和安装补丁。完成操作后单击“开始→所有程序→Ewf2.0保护→保存数据更改”,输入需要保存数据分区的盘符,回车并重启后即可保存数据。
由于Ewf无法直接在Windows 7下运行,所以Windows 7用户只能使用Fbwf组件,而且它的功能比前者更进一步,用户可以设定保护某个文件夹或排除保护区域当中的某个文件夹。
登录http://www.shudoo.com/bzsoft下载我们提供的压缩包后,将所有文件解压到D盘,首先以管理员身份运行“copy.bat”,按提示将所需文件复制到指定目录。接着以管理员身份启动注册表编辑器,依次展开至[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root],右键单击“Root”项并选择“权限”,将当前登录账户对其读取权限设置为“完全控制”。最后,依次将下载到的“fbwf.reg”和“fbwf2.reg”导入注册表,重启后以管理员身份启动命令提示符运行“baohu.bat”即可开启C盘保护。
董师傅提示:如果要排除某个目录或文件可以根据“baohu.bat”中的提示自行修改。特别提醒大家的是,在使用这套方案时,请注意阅读我们提供的下载文件中的说明文件。
效果测试
我们以Windows XP系统为例进行测试。开启系统保护后,把系统重要的启动文件“Ntldr”删除,此时再重启,系统仍然可以正常启动,被删除的“Ntldr”文件已经自动恢复。可见对受保护系统进行的任何操作都是“只读”的,在重启后都将自动恢复。
体验心得
Ewf和Fbwf组件也被誉为微软提供的影子系统,它们可以实现保护分区的“只读”,启用保护后我们只要重启系统,一切读写操作就会自动消除,可以有效保护系统的安全,而且不会对日常的操作带来影响。此外,如果需要保存数据,两个组件也分别提供相应的保存办法,操作起来并不复杂。
董师傅点评>>
病毒啊病毒,这两个字似乎是永远都跟我们用户过不去,甚至很多用户恢复系统的操作比安装系统还要熟练,这一切都要拜病毒所赐!很显然,主流的防范方法很难防得住病毒的攻击,而主流的恢复手段也很难彻底清除病毒。有时候我们需要冷静一下,换一个思路,因为同病毒的斗争注定是一场持久战,而最终的胜利者一定是更智慧的一方,嗯,我们要打造的,不仅仅是一个智慧的地球,更要是一个智慧的系统!