西户网|西户社区网|官网|户县网站新闻!

西户网/西户社区网(官网)
户县本土 便民 公益 互助  XHUME.CC

 找回密码
 注册会员

扫描二维码登录本站

搜索
查看: 3701|回复: 1

XP下的安全策略防毒

[复制链接]
发表于 2008-4-7 08:31:46 | 显示全部楼层 |阅读模式

欢迎访问西户网/西户社区网 XHUME.CC

您需要 登录 才可以下载或查看,没有账号?注册会员

x
大家好 我是zc, 今天给大家带来的教程是 XP下的安全策略防毒

现在,病毒木马日益猖獗,大多数人都选择杀毒软件等来保护系统安全,但杀毒软件对新病毒的反应有一定的滞后,使得恶意软件有了可乘之机。
其实,我们都忽略了系统本身的功能,只要我们设置好了WINDOWS XP中自带的安全策略,就能让系统实现防御功能

好了,我们直接进入主题:

开始——设置——控制面板——管理工具——本地安全策略——安全设置——软件限制策略
(注意:如果以前你没有设置过安全策略,那么右击 软件限制策略 选择 创建新的策略,它下面会自动创建多个子项)
我这里以前动过,所以现在直接就是这个界面

在这里——其他规则 就是我们要发挥的地方~~~

点选它之后,可以看到微软已经帮我们预设了4条规则,这4条规则是微软为了预防windows运行所必需的程序误被禁用而设,如果你确定你的规则没有问题,可以删掉它们(建议大家保留!!!)

下面进入正题:

一、很多病毒木马为逃过用户的追杀,会藏在很隐蔽的地方,比如回收站,system volume information(系统还原文件夹)等,并且加上隐蔽属性使用户不易发觉。而事实上,这些文件夹正常情况下是没有任何可执行程序的,所以我们可以建立以下规则:
?:\RECYCLER\*.* 不允许的  这里?号的意思是 所有盘符下 因为回收站在每个盘下都有~
?:\System Volume Information\*.* 不允许的
%windir%\system32\drivers\*.* 不允许的
%windir%\system\*.* 不允许的 这里的%windir%意思就是 c:\windows 后面我会给大家补充这方面的~

下来 我们试下刚才建立的规则~看到效果了吧 限制了~再看看其他的~照样限制了吧~
剩下的两个留给大家自己试了~呵呵~


二、进程假冒是木马擅用的一个手段,比如system32文件夹下有一个svchost.exe的系统文件,病毒便同样以此文件命名,然后放到windows或其他任意文件夹下。病毒运行时系统默认的任务管理器里只会显示进程名为svchost.exe,而系统本来就有很多个svchost.exe,这样病毒很好地达到了欺骗用户的目的。所以我们在这里来建立两条规则来限制它:
1、svchost.exe 不允许的
2、%windir%\system32\svchost.exe 或通过浏览查找这一文件 不受限的
在这里大家注意下,由于优先级的关系,第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说第二条的路径下的是允许运行的,而其他任意路径下的都无法运行。所以在这里并不矛盾~

下来我们试验下~同样限制了吧

三、有些病毒用双扩展名来迷惑用户,比如:MM.jpg.exe、免费得qq会员的方法txt.exe等等,然后再将图标改成前一个扩展名的图标,这里我就不改了,不少人会误认为它们是图片和文本文件而掉以轻心,再加上有诱惑力的文件名,中招就在所难免了。所以我们建立如下规则:
*.jpg.exe 不允许的
*.txt.exe 不允许的

这样可以有效防御此类的病毒~ 试验一个吧~还是限制了 哈哈 病毒完蛋了吧

四、对U盘病毒,同样可用建立规则来限制(假如你电脑上的U盘符是G)
G:\*.exe 不允许的
G:\*.com 不允许的
如果电脑上不止一个USB接口,可以多写几个规则 G可以变化的~

我插下U盘试下~病毒被限制了 呵呵~~

五、文件名伪装虽然是比较老的技术了,不过依然有一定的“市场”
例如:explorer.exe和exp10rer.exe 大家仔细看会看出区别吗?
注意 0和o的区别、1和l的区别。由此我们来建规则:
expl0rer.exe 不允许的
exp1orer.exe 不允许的
exp10rer.exe 不允许的
这里大家可看清楚了 呵呵~~~

随便试验一个~限制了~


再补充下相关信息:
1、虽然使用软件安全策略带来的兼容性问题可能性很小,不过还是有的,一旦碰到了怎么办?其实系统已经帮我们准备了日志功能,如果是因系统安全策略的原因导致某个程序无法运行,系统会弹出警告对话框。这个对话框其实已经告诉我们解决方法了,赶紧到 事件查看器 中查看 应用程序日志 ,双击打开出问题的日志提示,在描述中会告诉我们这一问题是因为哪条规则而引起的,我们只要把相应的规则删的删、改的改,这就由我们自由发挥了 看到了吧 这就是我们刚才的限制~~

2、在定义规则时我们可以使用绝对路径,也可以用通配符或者环境变量,这里就涉及一个规则的优先级问题了,按微软的规定: 绝对路径>使用通配符的路径>文件名
常见的文件夹环境变量有
%allusersprofile% 表示 c:\documents and settings\all users
%appdata% 表示 c:\documents and settings\当前用户名\application data
%systemdrive% 表示 c:
%systemroot%和%windir% 表示c:\windows
%temp%和%tmp% 表示 c:\documents and settings\当前用户名\local settings\temp
%userprofile% 表示 c:\documents and settings\当前用户名
%programfiles% 表示 c:\program files

这个大家看下就OK了~

3、在 其他规则 的右键菜单中,还有一个 新散列规则 ,它通过提取文件的特征信息(如:版本、Hash码等)来识别文件,非常准确。但当系统文件正当升级后,散列规则将因无法识别而阻止它运行,从而造成系统瘫痪,所以建议大家一般不要使用 新散列规则。

本来想上传教程,可是教程兆数太大;不能上传



QQ:381640994 欢迎大家和我多多交流~
发表于 2008-4-7 11:03:02 | 显示全部楼层
病毒真是可恶
您需要登录后才可以回帖 登录 | 注册会员

本版积分规则

西户网/西户社区网 XHUME.CC 版权所有  陕ICP备11003684号  

本站信息均由会员发表,不代表西户立场,如侵犯了您的权利请发帖投诉【网站营业执照公示】

平平安安

本站信息均由会员发表,不代表西户网/西户社区网 XHUME.CC 立场,如侵犯了您的权利请===>>>发帖投诉

陕公网安备 61012502000141号

快速回复 返回顶部 返回列表