桌面是眾多快捷圖標(biāo)的棲息地，在同惡意程序的較量中，桌面也難以獨(dú)善其身，惡意程序會(huì)通過使用竄改、替換等各種非法手段，在桌面上放置外觀頗能迷惑人的非法圖標(biāo)。當(dāng)無辜的用戶雙擊此類圖標(biāo)后，就會(huì)誤入其精心預(yù)設(shè)的惡意網(wǎng)站中，從而招來病毒木馬的襲擊。我們當(dāng)然不能任由這些流氓圖標(biāo)在桌面上為非作歹，必須采取各種防御方法，將其徹底從桌面上驅(qū)逐出去！

　　1.清除黏在桌面上的“牛皮癬”圖標(biāo)

　　有時(shí)，我們會(huì)發(fā)現(xiàn)桌面上出現(xiàn)一些奇怪的圖標(biāo)，當(dāng)雙擊這些圖標(biāo)時(shí)，就進(jìn)入在線游戲、廣告宣傳甚至是內(nèi)藏木馬病毒的惡意網(wǎng)站。但是，使用普通的方法，根本無法將其刪除，這些賴在桌面上的垃圾圖標(biāo)實(shí)在讓人厭惡。其實(shí)，這些“牛皮癬”圖標(biāo)之所以難以對(duì)付，關(guān)鍵是其對(duì)注冊(cè)表做了手腳。

　　運(yùn)行“regedit.exe”程序，打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace”分支，在其下存在很多子鍵，其名稱實(shí)際上是CLSID字符串。它們和桌面上的圖標(biāo)存在對(duì)應(yīng)關(guān)系。當(dāng)然，這里顯示的只是和桌面圖標(biāo)對(duì)應(yīng)的CLSID名稱，其具體的配置信息其實(shí)是保存在“HKEY_CLASSES_ROOTCLSID”分支中的。對(duì)其仔細(xì)觀察，不難發(fā)現(xiàn)這些子鍵與正常圖標(biāo)是一一對(duì)應(yīng)的。但是，依次打開其中最后幾個(gè)子鍵，發(fā)現(xiàn)其右側(cè)內(nèi)容為空，就說明其和桌面上的垃圾圖標(biāo)存在關(guān)聯(lián)。記下該子健CLSID名稱（例如“{93163F2E-6B9C-8276-AF59-A1EBE3392799}”，之后將其刪除。

　　接下來選中“HKEY_CLASSES_ROOTCLSID”，點(diǎn)擊Ctrl+F鍵，在其中搜索上述CLSIS值，找到相關(guān)子鍵，將其一定刪除。然后刷新桌面，就會(huì)發(fā)現(xiàn)與其關(guān)聯(lián)的流氓圖標(biāo)消失了。按照同樣的方法，可以清除所有的流氓圖標(biāo)。當(dāng)然，也可以在QQ電腦管家中打開“電腦診所”窗口，點(diǎn)擊桌面圖標(biāo)按鈕，在彈出窗口中點(diǎn)擊“桌面圖標(biāo)刪除不了”項(xiàng)，點(diǎn)擊“修復(fù)”按鈕，QQ電腦管家會(huì)自動(dòng)分析桌面圖標(biāo)信息，單擊“進(jìn)入全屏模式”按鈕，勾選無法刪除的圖標(biāo)，點(diǎn)擊屏幕右下角的確定按鈕，將其導(dǎo)入到刪除列表中，點(diǎn)擊下一步按鈕，這些討厭的快捷圖標(biāo)就會(huì)徹底消失。

　　2.利用權(quán)限，為桌面圖標(biāo)巧加鎖

　　對(duì)于自己精心布設(shè)的桌面，我們最討厭別人隨意刪除或者添加快捷圖標(biāo)，將桌面搞得混亂不堪。其實(shí)，只要利用系統(tǒng)提供的權(quán)限設(shè)置功能，就可以將桌面圖標(biāo)徹底保護(hù)起來。例如，對(duì)于Windows7來說，當(dāng)前的用戶名為“feiyun”可以創(chuàng)建多個(gè)賬戶，在“C：UsersfeiyunDesktop”文件夾中保存的是當(dāng)前用戶的桌面內(nèi)容，在“C：Users公用Desktop”中保存的是公用用戶的桌面內(nèi)容。在別人使用您的電腦之前，在“C：UsersfeiyunDesktop”的屬性窗口中打開“安全”面板，在其中點(diǎn)擊“高級(jí)”按鈕，在彈出窗口中確保取消“包括可從該對(duì)象的父項(xiàng)繼承的權(quán)限”項(xiàng)的選擇狀態(tài)。

　　點(diǎn)擊“更改權(quán)限”按鈕，在權(quán)限項(xiàng)目列表中選擇“feiyun”賬戶名，或者點(diǎn)擊“添加”按鈕，添加所需的賬戶。點(diǎn)擊“編輯”按鈕，在權(quán)限設(shè)置窗口中的“允許”列中取消“創(chuàng)建文件/寫入數(shù)據(jù)”、“刪除子文件夾及文件”、“刪除”、“更改權(quán)限”等項(xiàng)的選擇狀態(tài)。對(duì)于“C：UsersPublishDesktop”文件夾，執(zhí)行同樣的權(quán)限設(shè)置動(dòng)作。這樣，當(dāng)其他人在本機(jī)上操作時(shí)，就無法在桌面上進(jìn)行創(chuàng)建、刪除、更改圖標(biāo)等操作，保護(hù)了桌面圖標(biāo)的安全性和完整性。當(dāng)您使用時(shí)，取消上述權(quán)限約束，就可以正常操作桌面圖標(biāo)了。

　　3.為合法圖標(biāo)穿上“防護(hù)衣”

　　其實(shí)，我們完全可以借鑒上述“牛皮癬”圖標(biāo)的創(chuàng)建技術(shù)，反其道而行之，將其使用到保護(hù)合法的圖標(biāo)的“正道”上。例如以保護(hù)迅雷快捷圖標(biāo)為例，運(yùn)行注冊(cè)表編輯器，在“HKEY_CLASSES_ROOTCLSID”分支下創(chuàng)建一個(gè)合適的CSLID子鍵，名稱可以隨意設(shè)置，例如“{2EE3F720-6CE7-98A8-AA8F-901AD79A0DAF}”。在該子鍵下依次創(chuàng)建“DefaultIcon”（顯示桌面圖標(biāo)）、“Shell”（該圖標(biāo)右鍵菜單）、“ShellFolder”（右擊信息）等項(xiàng)。選擇其中的“DefalutIcon”子鍵，在右側(cè)窗口雙擊“默認(rèn)”鍵值名，將其內(nèi)容修改為“%SystemRoot%system32Shell32.dll，192”，表示使用“Shell32.dll”動(dòng)態(tài)庫中指定序號(hào)為192的圖標(biāo)為其顯示圖標(biāo)。當(dāng)然，您可以為其選擇其他的圖標(biāo)。之后在上述“Shell”子鍵下創(chuàng)建名為“安全啟動(dòng)”的子鍵，當(dāng)然，其名稱可以隨意設(shè)置。

　　在其下再創(chuàng)建名為“command”的子鍵，選中“command”子鍵，雙擊其右側(cè)的“默認(rèn)”鍵值名，在其中輸入迅雷程序路徑信息。在上述“ShellFolder”子鍵右側(cè)窗口中分別創(chuàng)建“Attributes”（DWORD類型）、“HideOnDesktopPerUser”（字符串型）、“HideFolderVerbs”（字符串型）、“WantParsDisplayName”（字符串型）等鍵值名，其中的“Attributes”項(xiàng)的數(shù)值為0，其余項(xiàng)的內(nèi)容為空。下面執(zhí)行最后一步，打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace”分支，在其下創(chuàng)建名為“{2EE3F720-6CE7-98A8-AA8F-901AD79A0DAF}”的子鍵，并將其默認(rèn)值設(shè)置為需要的名稱（例如“安全的迅雷圖標(biāo)”等）。這樣，在桌面上就會(huì)出現(xiàn)無法刪除的快捷圖標(biāo)了。

　　4.識(shí)破危險(xiǎn)的“文本”圖標(biāo)

　　在網(wǎng)上沖浪時(shí)，最擔(dān)心的就是誤入黑客精心布設(shè)的惡意網(wǎng)站。對(duì)于這些惡意網(wǎng)站，我們警惕性一般比較高，總是想方設(shè)法避開陷阱。但是，如果某天在您的桌面上出現(xiàn)了某個(gè)文本文件圖標(biāo)，名稱看起來也沒有問題（例如“聯(lián)系信息”等），估計(jì)您會(huì)放心地雙擊打開，但是，接下來很可能會(huì)自動(dòng)進(jìn)入一個(gè)惡意網(wǎng)站，讓人在毫不知情中中招。

　　其實(shí)，這種看似正常的文本圖標(biāo)絕非善類，而是黑客精心設(shè)置的虛假文件。即使您打開文件夾選項(xiàng)窗口，在其中的“查看”面板中取消“隱藏已知文件類型的擴(kuò)展名”項(xiàng)的選擇狀態(tài)，都無法看到其真實(shí)身份。而且，在該假冒的文本文件右鍵菜單上點(diǎn)擊“打開方式”項(xiàng)，卻無法使用記事本打開。使用WinHEX這款強(qiáng)悍的編輯工具打開這個(gè)所謂的文本文件，在右側(cè)的ASCII區(qū)域可以清晰地看到該文件的真實(shí)內(nèi)容，里面的網(wǎng)址明顯是掛馬網(wǎng)址。在WinHEX的文件名稱標(biāo)簽上顯示其完整名稱，其后綴卻是“.url”，這類文件是不會(huì)顯示擴(kuò)展名的。

　　在WinHEX中點(diǎn)擊菜單“文件”→“另存為”項(xiàng)，將文件名稱修改為“真實(shí)內(nèi)容.txt”。這樣，就可以直接使用記事本了解其真實(shí)內(nèi)容，其中包含了一些代碼，經(jīng)過分析，前四行中的“BASEURL”和“URL”欄定義的目標(biāo)惡意網(wǎng)址，當(dāng)用戶雙擊該文件后，就直接進(jìn)入了該頁面，毫無疑問，其中包含了木馬等惡意程序。第五句中的“Modified”字樣可能是修改屬性的意思，用來修改上述內(nèi)容的屬性信息。第六行和第七行是使用系統(tǒng)路徑中的“shell32.dll”中包含的圖標(biāo)信息，來偽裝該文件圖標(biāo)，其中第70號(hào)圖標(biāo)對(duì)應(yīng)的就是TXT圖標(biāo)。

　　所以，一旦發(fā)現(xiàn)看起來很像TXT、Word等類型的文件，而且使用正常方法無法顯示其擴(kuò)展名，同時(shí)其名稱頗具迷惑性，最好使用記事本或者WinHEX等工具將其手工打開，來充分了解其內(nèi)容。其實(shí)，要想查看這類特殊的文件類型，還有一種簡(jiǎn)單易行的方法，只需在CMD窗口中切換到目標(biāo)路徑下（例如“C：Users用戶名Desktop”），執(zhí)行“dir/a”命令，就可以讓其擴(kuò)展名顯露無遺。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……