预防病毒的另类方法--不用杀毒软件也能防毒

:病毒总是让我们头痛，通常情况下，我们会通过采取安装防病毒软件、为系统打补丁等措施进行计算机病毒的预防。而在Windows XP系统中通过设置软件限制策略同样可以起到预防病毒的效果。

　　软件限制策略是本地安全策略的一个组成部分，该策略允许管理员针对一个指定的文件或某种类型的文件通过制定相应的规则对其进行标识，同时赋予这些文件相应的安全级别，从而允许或限制这些文件的运行。当用户登录系统后，软件限制策略会自动地作用于用户，如果自启动的文件被规则标识为不允许运行，或用户试图运行标识为不允许运行的文件时，都将运行失败。利用这个机制，我们就可以对一些已知名称或类型的病毒进行预防。

 
　　在软件限制策略中，用于标识文件的规则有4 种，按照规则的优先级依次为：

　　散列规则：利用散列算法计算出指定文件的散列，并以此散列对文件进行惟一标识，只要文件的内容不变，移动和重命名都不会对规则产生影响，该规则适用于所有的可执行代码。

　　证书规则：利用与文件关联的签名证书对文件进行标识，该规则适用于脚本和Windows 安装程序包。

　　路径规则：利用文件的路径对文件进行标识，这里的路径可以是一个完整的文件名称、以通配符表示的一类文件和路径。该规则中一旦路径改变或文件重命名，规则会失去效力。

　　Internet区域规则：利用应用程序下载的Internet 区域进行标识，该规则主要应用于Windows 的安装程序包。

　　文件的安全级别分为“不允许的”和“不受限的”两种，其中“不允许的”将禁止该程序运行，不论用户的权限如何；“不受限的”允许用户依据其拥有的权限运行程序。

 
利用软件限制策略预防病毒需要制定的规则通常为散列规则和路径规则，文件的安全级别要设定为“不允许的”。下面通过实例来介绍一下如何制定规则。
　　一、预防已知文件名的病毒，如震荡波病毒

　　震荡波病毒会复制自己，病毒文件保存在Windows目录中(假定Windows XP的系统目录为Windows)，病毒文件名为avserve.exe。

　　由于已知病毒文件的名称，可以制定路径规则或散列规则对该文件进行标识，操作步骤如下：

　　1.以管理员或管理员组成员的身份登录系统，在“开始”菜单的“运行”处运行secpol.msc 命令，启动本地安全策略编辑器，展开“安全设置”，点击“软件限制策略”项；或者在“开始”菜单的“运行”处运行gpedit.msc 命令，启动组策略编辑器，依次展开“‘本地计算机’策略”、“计算机设置”、“Windows 设置”、“安全设置”，点击“软件限制策略”项。

　　2.首次访问“软件限制策略”需要管理员手动新建一条策略，在“软件限制策略”上点击右键，选择“创建新的策略”，在“软件限制策略”下会增加“安全级别”和“其他规则”两项，在“其他规则”上点击右键，在快捷菜单中选择“新路径规则”，如图1 所示。

　　3.“新路径规则”窗口中，在“路径”处输入“C:Windowsavserve.exe”，或点击“浏览”指定该文件，在“安全级别”下拉列表中选择“不允许的”，需要的话，可以在“描述”处输入该规则的一些注释信息，点击“确定”，如图2 所示。

　　4.可以看到在右侧窗格的列表中增加了一条类型为路径的规则，如图3所示。

   要制定该病毒文件的散列规则只需要在上述步骤2 中，在快捷菜单中选择“新散列规则”，并在“新散列规则”窗口中，点击“浏览”选择指定的文件，并选择“不允许的”安全级别。

　　散列规则要求指定的文件必须能够访问到，也就是说计算机中存在病毒而且没有清除。而路径规则可以在没有感染病毒的情况下起到先期预防的作用，一旦感染，指定的病毒文件也不会运行。

　　二、预防采用Visual BasicScript(VBS)语言编写蠕虫

　　通过制定以通配符标识的规则路径可以禁止计算机中所有VBS 文件的运行，从而可以对采用Visual Basic Script(VBS)语言编写的蠕虫病毒进行预防。

　　操作步骤和上文中制定路径规则的步骤类似，只是需要在步骤3 中在“路径”处输入“*.VBS”。

　　禁止所有的VBS 文件的运行同时也会禁止本地用户自己编写的一些VBS文件的运行，为了避免这种情况，可以针对这些VBS文件制定散列规则或指定文件名称的路径规则，或是利用用户拥有的签名证书对他的VBS文件进行签名认证，进而制定相应的证书规则，在这些规则中安全级别要设定为“不受限的”。由于这几种规则的优先级要高于以通配符标识的路径规则，当进行策略处理时，以这些规则标识的VBS 文件最终可以不受限制地运行。

　　三、设置策略的作用对象

　　对于病毒的预防需要将策略作用于所有的用户，默认情况下，策略将应用到包括管理员在内的所有用户。如何查看并设置策略的应用范围，需要通过设置软件限制策略的“强制”属性实现。方法如下：

　　1.进入本地策略编辑器或组策略编辑器，点击“软件限制策略”，在右侧窗格中可以看到“强制”项目；

　　2.双击“强制”，如果当前的用户范围是“除本地管理员以外的所有用户”，选择“所有用户”选项，点击“确定”，如图4 所示。

　　以上介绍了利用软件限制策略来预防病毒的两种方法，当然这种方式对于可预防病毒的种类比较有限，同时要求管理员了解病毒的信息并针对病毒设置合理的规则，这需要一定的维护工作量，另外，要清楚这种方式并不能真正地将病毒从计算机中清除，他的作用只是通过禁止病毒程序的运行来防止病毒发作。不过，这种方式作为防范病毒的一种辅助形式，在某些情况下，可以起到较好的效果。面对日益肆虐、种类繁多的计算机病毒，我们最终还要依靠安装防病毒软件、堵住系统漏洞提高系统健壮性这些手段。