【技巧】几种降权防毒的方法

Vista的UAC  UAC工作默认让Shell运行在类似基本用户的环境中，而又提供了提权的快捷通道，可以说是使管理员帐户脱离高权限的最好方法。由于本人目前使用XP系统，遂不做演示。

Runas  同可降权和提权，Runas作为动态命令给了使用者很多方便，尤其在做临时降权来讲，它是一个很好的伙伴。以基本用户权限运行IE为例，手动打开安全等级后，在命令提示符窗口里输入 runas /trustlevel:基本用户 'C:\Program Files\Internet Explorer\Iexplore.exe'  此时启动的IE的用户权限为基本用户，基本用户能做什么，我再次无耻的引用下：  在系统默认的NTFS权限下，基本用户对系统变量和用户变量有完全访问权，对系统文件夹只读，对Program Files的公共文件夹只读，Document and Setting下，仅对当前用户目录有完全访问权，其余不能访问。  可以看出来，虽然基本用户并没有定义足够安全的安全边界，但防护强度已足够大。

DropMyRights  下载http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi，安装完成后提取DropMyRights.exe粘贴到%WinDir%\system32目录。  DropMyRights也是一种动态命令，继续拿IE做例子，以基本用户启动时在命令提示符输入 DropMyRights 'C:\Program Files\Internet Explorer\iexplore.exe' N 此时启动的IE就是基本用户权限了。 备注：  DropMyRights 'C:\Program Files\Internet Explorer\iexplore.exe' N （基本用户）  DropMyRights 'C:\Program Files\Internet Explorer\iexplore.exe' C （受限的）  DropMyRights 'C:\Program Files\Internet Explorer\iexplore.exe' U （不信任的）

PsExec  PsExec是做什么的和如何使用请自行搜索，这里只讲述其降权的特性。同上，下载PsExec后将PsExec.exe复制到%WinDir%\system32目录。在命令提示符里输入 PsExec -l -d 'C:\Program Files\Internet Explorer\Iexplore.exe' 此时启动的IE的权限等同于基本用户的权限。

Proccess Explorer  一个很好并且可以代替系统自带的任务管理器的增强型任务管理器，用它可以实现许多功能，拿其对应用程序降权十分简单，如图： 从中启动的任何程序，哪怕是恶意程序，对系统也只是读取属性。

使用受限用户登陆  这个方法对于普通用户来讲很是受用，日常使用不会有任何副作用，而且就算中标，病毒对系统的关键目录也只可能是只读。需要安装软件的时候可以切换到管理员用户，或者使用RunAs提权，因为受限用户登陆时，系统服务仍然是处于不受限状态，而且是以System权限运行，真正受限的只是Shell。

软件限制策略  与UAC截然相反，一个全盘降权适当提权，而另一个则是全盘admin+适当降权。就使用习惯而言，我更倾向于后者。  简单的说，它的优点很多：  静态底层防御，低资源占用，设置虽稍显复杂，但使用灵活，防护效果出色——这几种降权方法相对比较来讲，它可以说是最实用的一种，而Runas、DropMyRights等降权方法可以作为动态的补充。

可以这样说，恶意程序是无所不在的，就如同我们洗干净的双手，微观世界里的一切是你无法用肉眼来看清楚的——网马、软件捆绑、U盘等等。那么，在对U盘实施策略的同时也不要忘记把联网程序（浏览器）降权，至于软件捆绑，可以去一些安全网站下载，华军、天空、太平洋、绿盟等等，安装的时候注意捆绑提示，不放心的话可以先以沙盘运行，还是不放心的话虚拟机跑一遍，但，似乎没有那个必要吧。

一些容易被调用的危险系统程序，如cmd.exe、hh.exe、wscript.exe、taskkill.exe等，论坛里有很多规则，在此不多赘述。END

浏览器降权——防止网马

聊天工具降权——防止恶意点击

邮件客户端降权——防止垃圾邮件附件

音（视）频播放器和图片浏览器降权——防恶意代码和弹窗

阅读器降权——防捆绑

下载工具降权——防未知下载

压缩管理器降权——防恶意点击 END