用ActiveX kill bit阻塞間諜軟體

[psac]

管理員想要主動地遮閉間諜軟體感染工作站，他們常常要進行艱難的選項。限制IE的功能以阻止間諜軟體入侵系統的做法是比較麻煩的。第三方程序需要進行有效地安裝和維護。換用另外一種瀏覽器也不總能解決問題，而且間諜軟體現在也可以通過Netscape/Mozilla入侵。

　　大多數的間諜軟體都趁瀏覽器視窗開啟時通過ActiveX插件進行安裝。禁用ActiveX控制項會完全搞垮IE，以致於許多的合法網站也無法工作，但是使用IE中的「信任和受限制的站點」功能也不總會有什麼說明 。一種阻止間諜軟體自身安裝的方法就是在註冊表中對其進行防範，預先遮閉特定ActiveX控件的安裝。

　　這種方法使用了一種ActiveX控件中人們知之甚少的功能，稱為「Kill Bit」（移除位），在Microsoft知識庫中的文章240797(http://support.microsoft.com/default...b;en-us;240797)有所說明。「Kill Bit」是ActiveX控制項中標幟符類的一個標幟，或稱為CLSID。對於任何給定ActiveX元件的CLSID來說，都可以在註冊表中的HKEY_CLASSES_ROOTCLSID鍵下找到，但是IE在IEHKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility鍵中維護了一個單獨可相容ActiveX控制項清單。

　　如果要禁用特定控制項，可以加入該項的CLSID做為ActiveX Compatibility鍵下的新子鍵，並在該子鍵下加入名為Compatibility Flagsd DWORD值。將該值設為400（十六進制），或者1024（十進制）。例如，如果您想要新增一個.REG的文件遮閉CLSID{00000000-5eb9-11d5-9d45-009027c14662}，該鍵如下所顯示：

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerActiveX Compatibility{00000000-5eb9-11d5-9d45-009027c14662}]
"Compatibility Flags"=dword:00000400

　　由於CLSID在全球範圍內都是唯一的，所以如果使用這種方式遮閉了控制項，該控制項就會被永久遮閉掉（除非該控制項被取消，重新發怖一個新的CLSID）。

　　站點Spywareguide.com可以一般性昇級包括超過300種已知是間諜軟體的ActiveX控制項的.REG文件。該.REG文件不會妨礙IE或系統的其他任何功能，並且可以與其他遮閉間諜軟體的產品進行互操作。管理員可以通過SMS自動設定該.REG文件，或者可以將其加入到新安裝的系統中，並做為安裝後組態的一部分。