捆綁軟體、靜默安裝各種全家桶似乎成為了當下軟體慣用的流氓推廣行徑,絕大多數人對此已經深惡痛絕,真的是稍有不慎,就會贈送全家桶軟體,外帶無限彈窗。除此之外真的很難想象有啥理由要禁止電腦安裝軟體,假如要防止別人安裝或者使用軟體,設定一個秘密就解決了所有的問題。
為什麼會有那麼多的“全家桶”、“大禮包”?因為所有悄悄安裝的這些軟體早已經明碼標價了。普通人用它來賺幾毛錢打牙祭都不夠,但製作一個軟體或者二次封裝其他的軟體,靜默的給許許多多使用這個軟體的人獻上“大禮包”就能賺到很多錢。普通人防不勝防,因為誘使你安裝的策劃師們真的是挖空心思。
透過系統自帶的使用者賬戶控制(UAC)對於絕大多數人來說並沒有太大用處,只有早點和晚點的區別,點“否”的人僅有少數專業人事不忙的時候才會仔細瞟一眼,所以很多人裝完系統的第一件事就是關掉煩人的UAC控制。
02
許多網上教程裡教我們從“服務”和“本地組策略編輯器”裡禁用“windows installer”以達到禁用軟體安裝的目的,然而並沒有什麼太大用處,僅能夠禁用早期的msi安裝包,對於exe安裝包根本沒有阻止的能力。
03
也有很多人嘗試換一種思路,基本上所有的軟體安裝都需要寫入登錄檔,如果精緻程式寫入登錄檔那麼就可以達到禁止管理員賬號以及其他賬號安裝程式了。使用快捷鍵WIN+R調出系統執行後,輸入“regedit”後鍵盤迴車開啟“登錄檔編輯器”,找到HKEY_LOCAL_MACHINE下的“SOFTWARE”,選中後滑鼠右鍵選擇“許可權”,將管理員的完全控制取消僅留讀取許可權。
這樣做確實達到了阻止程式安裝的問題,只要執行安裝過程,程式就會報錯並且自動回滾安裝,但有些程式並不需要安裝也可以執行各種刷流氓的行為,比如免安裝版的軟體。
04
在github上有一個名為chinawareblock的專案,在Windows系統下透過遮蔽證書的方式來靜止相關程式的安裝,但收集抽取軟體安裝包的證書卻是一個體力活,而chinawareblock將口碑差帶有流氓行為的軟體分門別類的整理好了,使用的人只需要雙擊就可以遮蔽垃圾軟體。
這種方法非常簡單暴力,每個資料夾下都內建了軟體對應的證書,直接執行對應的.bat批處理即可,也可以使用作者提供的一個exe證書抽取工具自己抽取想禁止的程式的證書,自己手動新增。但你再執行這個安裝程式時,就會提示程式已經被阻止了。當然如果要是後悔了還可以透過powershell一鍵洗白指令碼。
05
其實Windows系統中內建了一個HIPS,它透過設定黑白名單,建立規則來允許或者限制程式或指令碼的執行。我們可以給予檔名、版本號、路徑、數字簽名的釋出等屬性來限定製定的程式來禁止軟體的安裝。
首先需要在服務裡啟用“Application Identity”這項服務,並將啟動型別設定為自動。如果啟動不了可以透過管理員身份執行CMD,透過命令“sc config APPIDSvc Start=auto”來開啟。
然後鍵盤同時按下WIN+R鍵調出“執行”,輸入“gpedit.msc”開啟“本地組策略編輯器”。依次點開“計算機配置”、“Windows設定”、“安全設定”、“應用程式控制策略”、“AppLocker"
AppLocker提供了四種可以建立的規則:
可執行規則:主要用來限制和控制執行exe可執行程式;Windows安裝包規則:主要用來限定和控制有哪些Windows installer打包的.msi、.msp程式;指令碼規則:主要用來限定和控制執行.bat、js、ps等指令碼檔案的執行;封裝應用規則:主要用來限定Windows應用。舉個例子:假如我們要限定.exe程式,只需要新建可執行規則,在許可權中選擇拒絕,就可以將可執行.exe程式拉入黑名單。其中指定使用者組為Everyone,意思就是所有登入使用者都會受到這條規則的約束,當然也可以設定制定的使用者。而規則條件裡提供了證書的釋出者、檔案路徑以及檔案雜湊三種條件,這樣就可以有效的遮蔽全家桶軟體的執行。
但AppLocker並不支援所有的Windows系統,支援Windows7旗艦版、企業版,windows企業版等,但專業版是無法使用強制規則,也就起不到什麼作用。
06
以上的這些操作對於普通人來說很複雜,也會有漏網之魚,對於公共電腦和相對複雜的上網環境。最好的方法就是透過還原軟體,俗稱影子系統,系統重啟就會抹掉使用者的所有操作。
火絨是一款傻瓜式的防止全家桶安裝的防護軟體很多人用火絨都知道它本身是沒有廣告,後臺執行也很靜默。所以得到了非常好的口碑。但是很少人知道它居然可以有效的監控"流氓軟體"的安裝行為。當某款軟體安裝時有捆綁安裝的行為時會自動出現攔截,將選擇權交予電腦使用者。
火絨的訪問控制可以對一些程式執行進行控制,比如:下載站下載器、風險工具、虛假KMS啟用器等等。
火絨預設關閉了自定義規則功能,需要在防護中心開啟高階防護的“自定義防護”。
另外火絨的彈窗廣告阻止功能也是相當給力的,首先最重要的一點是自己本身不要有彈窗廣告,這點火絨做到了。
以上這些都不是禁止電腦安裝軟體的最有效的辦法我們都沒有辦法試圖去教會每一個人這個軟體該不該裝,要怎樣去安裝,才能防止中招。所以最有效的辦法就是在源頭上去杜絕這件事情。許多軟體的國際版非常清爽乾淨無廣告,但是國內版就變味了。想要每個軟體開發者良心出發也很難,出臺相應的淨網細則才是還使用者一片電腦程式、手機APP藍天的良方。