不知道大家有没有遇到过类似的问题?
在2000/XP等 Windows系统中我经常遇到一些恶性病毒或者木马之类的文件,因为你在正常系统开启情况下,它已经在未知许可的情况下运行起来了。这时你就是知道它是非法程序,想删除也删除不掉,而且有些病毒更是你到了安全模式也跟正常启动时一样,无法删除。我这样要说明的是,它是非法程序,并且在运行态,导致你无法清除该文件的清除办法。
方法一,网上应该有种强力删除的软件,我没有找来试过,这里不与评论。
方法二,是本文要说的,是依靠NT系统自身的安全策略来实现删除的。
我们知道,NT的文件系统可以使用NTFS,NTFS具有与生俱来的安全属性,包括了每一个文件的打开、读写、删除等,并且也包括是否允许运行该文件。这一点是至关重要的,如果我们遇到恶意程序,它非法运行,导致你无法清除它时,你可以尝试,把这个非法程序的安全属性,设置为不允许其运行,并且是 everyone 拒绝,这样,重新启动一下,它就不可能再运行,但是这时你可以删除它。
方法二的操作步骤,
比如我发现一个应用名为 backdr.exe 的应用非常可疑,而且系统运行时它就启动,导致人工删除不了,杀毒软件也清除不了的情况下,我可以通过搜索 backdr.exe 可以确定其位置,找到它后,右键“属性”,在安全页(如果是XP,你可能会看不到安全页,你可以在菜单“工具”--》“文件夹属性”中把“使用简单共享”项去掉选择即可),在安全属性的“高级”对话框中,编辑 everyone 的安全属性值,如果安全项中没有 everyone ,请增加,把“遍历文件夹/运行文件”的拒绝勾上,应用就可以达到任何人都不可再运行该文件的目的。
这时你可以重新启动机器再删除该文件。
当然这是出问题时的应对办法,平常我们就应该注意自己系统的“进程列表”中有没有可疑进程在运行,经常注意维护自己的“服务”,非必要的服务不要自动启动,有些服务直接禁用。
还有就是注册表的 Run 列表(HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run),这个是可以通过策略编辑器 gpedit.msc 来禁用它的。
启动菜单项等。
一个具有很多安全属性的系统,大家要学会善用它。
1086
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
