我怎么对付流氓软件

搞软件的，一大副业是当兼职IT，经常有人找我解决各种各样的电脑问题。今天早上我还没起床就有一位打电话过来问IE一打开就崩溃是怎么回事。帮他一查，好家伙，乱七八糟的流氓插件不知怎的装了不少。其实一直以来我特奇怪的一个问题是，各位的流氓软件都是怎么中的，我怎么就碰不上，想中一个都不得其门而入。前段时间my123.com爆发，我就想中一个看看怎么回事，结果搜了好一阵，又到my123.com晃悠半天，一点儿事都没有。我甚至到一个中了招的博主的帖子上留言，没人理我，可能被他当成捣乱的了，哈哈。

说到对付流氓软件，我还是颇有经验的，不需要会编程，普通电脑用户也能学会。下面说说我的经验。

1，首先当然就是要想办法避免中招。一个原则就是尽量少装一些乱七八糟的软件。另外，目前流氓软件很多都做成IE的插件，所以如果你愿意的话，可以考虑换个浏览器。我现在就改用FireFox了，只有在一些FireFox显示有问题的网站才用IE。避免中招的另一个很有效的方法是限制浏览器的运行权限。大部分人使用Windows都是以管理员身份登陆（我也一样），这就给了流氓软件可乘之机。限制浏览器的运行权限可以避免流氓软件偷偷的装到你的硬盘上，或是修改注册表等偷鸡摸狗的勾当。微软也看到了这个问题，因此在Windows VISTA上，IE 7引入了一种新的运行模式，即保护模式。以保护模式运行的IE 7禁止了很多浏览网页用不着的权限，大大提高了上网的安全性。在Windows 2000或Windows XP上，有一个软件也可以用来限制程序的运行权限，这就是我以前提起过的Sysinternals（现已被微软收购）的psexec。把psexec下载到本地硬盘。比如说你想运行一个运行限制受限的IE，可以用命令行：

psexec.exe -l -d "C:Program FilesInternet Exploreriexplore.exe"

当然如果每次要运行IE都这么来一遍就太麻烦了，我们可以给它做个快捷方式：做一个psexec.exe的快捷方式拉到桌面上（不要告诉我你不会），然后“右键－>属性”编辑快捷方式，在目标编辑栏里填入：

D:depositorysysinternalsPsToolspsexec.exe -l -d "C:Program FilesInternet Exploreriexplore.exe"

 

D:/depository/sysinternals/PsTools是psexec.exe的所在目录。以后运行IE用这个快捷方式就行了。如果你用FireFox，可以用同样的方法给它做一个。下图是正常运行IE和以受限权限运行IE的权限差别：

2，基本上照我前面说的做流氓软件就不大会找上你。但世事难预料，总有踩到狗屎的时候。如果你怀疑自己可能中招了，或者想当高手给别人解决问题，你就得学会怎么查流氓软件。当然你也可以用超级兔子之类的傻瓜软件，不过这就显得不够酷了是不是。而且，这类软件只能查那些已知的，现在的流氓软件层出不穷，防不胜防，所以你最好学会自己分析。当然不是纯手工分析，也要用辅助工具，这里我推荐的是Sysinternals的Autoruns。Autoruns可以把windows从开机到进入桌面或者打开IE时会自动运行的所有程序都列出来，包括设备驱动程序、系统服务、登录时自动运行的程序、IE插件等等。如下图，自动运行的程序非常多，我怎么知道哪些是流氓软件哪些不是呢？其实鉴别方法很简单。首先，在autoruns界面的Options菜单中把Verify Code Signatures和Hide Signed Microsoft Entries两项选上，再按F5重新扫描一下，列出来的启动项就少多了：

仔细观察Everything TAB中列出的启动项（打勾的），正规的软件在Description和Publisher这两列都会写明程序的用途和公司名。如果空着就很可疑，禁止它一般不会有错（把勾去掉就行）。但这不是说这两栏没空着就可以排除怀疑了，任何名字看着怪怪，但你又吃不准到底是不是的，这时候就得问google了。如图，在autoruns中选中你觉得可疑的“右键->google”：

如果搜索出来的网页中你看到了流氓软件，或者malware字样的，那就是没跑了，删了准没错，反之如果没有这类字样一般就不是：

3，第二步介绍的方法可以对付绝大部分流氓软件。还有一些流氓，它会用一些高级技术，诸如多进程互相保护，rootkit等，禁止你删它。比如CNNIC做了几个驱动程序防止你改它设置的注册表项。对付这种流氓，首先要记住那行你删不掉的启动项的程序路径，然后重新启动windows，进入安全模式的命令行（启动过程中不停按F8就行了），见下图：

登录系统后windows会打开一个命令行，在命令行里删掉程序就行了。

4，如果还有更变态的，连这种方法都删不掉（我还没碰上过），那就要用绝招了，比如把硬盘卸下来挂到别的机器上，用别的系统删。或者做个ERD启动光盘，从光盘启动一个mini windows再删。ERD光盘的制作和使用教程网上一大堆，我就不深入介绍了。