病毒把你搞烦了?安全盾和组策略帮你解决一切 - 〖电脑诊所〗

^_^

级别: 光盘初级

发帖: 90

飞翔币: 423

威望: 107

飞扬币: 424

信誉值: 0

只看楼主更多操作 0 发表于: 2007-12-11

来了飞扬很久了,也没有发过有意义的帖子,现在的帖子数都是以前在绝对的时候发的,那时很有激情,但没有一点水份.今天写点东西,就当是自己对飞扬尽一点点力吧.现在的病毒日益泛滥,杀毒软件的弊端已经暴露,所谓的特征码时代已经过去,随之而来的是主动防御时代,典型的就是hips类型软件,hips简单点说就是主动防御,具体解释如下
http://zhidao.baidu.com/question/30757279.html?si=1&wtp=wk

今天我给大家介绍的不是eq 微点等等优秀的主动防御软件,因为这些讲起来不是一天半天能说完的,今天给大家介绍的是无忧启动论坛出品的一个小软件---安全盾和系统自带的软件限制策略应用.

安全盾是由无忧启动论他出品的,虽然只有0.5m左右,但是功能不能小看,首先安装软件,运行完毕会在右下角出现一个绿色的小盾牌图标,右键点击就看到"主界面"暂停监视"退出程序"三个选项,下面一一介绍

主界面

拦截记录:这里记录拦截下来的程序名称,时间等等,供杀毒时的参考

进程项目:红色的表示非微软程序,病毒一般都是红色的,所以结束病毒程序的时候只需要看红色的就行了.结束进程时先勾选前面的框,然后点击结束进程,因为作者为了节省资源,不自动刷新,所以结束以后还会显示,只要刷新一下就行了.点取一个程序下面会出现关联的dll文件,可以定位文件和卸载模块

启动项目:开机运行的程序这里都显示了,可以去掉,下面有"启动本程序"按键,建议选取,这样以后安全盾每次都会开机保护你的电脑了

注册表工具:这个是作者给的优化项目,看个人爱好了,我是全部导入了,而且这个可以自己修改想导入的内容,这个就看你自己的水平了,网上也有,自己可以去找,编辑完了保存后再执行.注意,导入的时候按照下面的步骤导入,否则会出错 . 右键选取右下角图标-----暂停监视----信任程序安装(可以选择不计时,默认五分钟后恢复监视)-----双击图标(此时变为黄色)-----注册表工具-----选取导入的项目(共八项)---执行----确定.导入其他的项目一样的步骤.

监控设置:这个软件最厉害的地方就是这个了,可以根据自己的情况来设置,可以修改,增加,删除,具体见图片说明,可以自己设定密码,如要退出程序或者修改重要项目必须有密码才可以.

1：本级目录下不创建任何文件:全选×即可。

2：本级目录及其子目录下都不允许创建任何文件:监视子目录打勾，其余打×。

3：设置一个免检目录:勾选免检，其余打×。

4：对某个目录使用免检列表，不在列表中的文件不允许创建:勾选免检+子目录，其余打×。

5：自定义规则更改后必须应用设置才会保存，监控级别必须在自定义监视上才会有效。
[attachment=24395]

下面是一个用法示例:

引用
以下设置对应路径子目录免检黑名单模糊类型
(以下由文字代表选择√，未选择的用×表示)

c:\ 规则：× × × × ×
这条设置是C:盘根目录下不允许创建任何文件，子目录不受影响。
C:\Program Files\ 规则：× × × × ×
注意，全×设置不能继承，所以我们对于c盘的子目录Program Files设置了一个相同的设置。

但有的用户觉得对于c:\Program Files\设为不允许创建任何文件，要安装文件时自已切换到安全盾的安装模式中安装，所以对此目录可设置更严的规则
C:\Program Files\ 规则：子目录 × × × ×
这样设置后，使用中发现C:\Program Files\KV2005\的病毒库升级在受到了影响，所以下面将Kv2005目录设置成免检目录。
C:\Program Files\KV2005\ 规则：× 免检 × × ×

c:\windows\ 规则：子目录 × × × ×
对于windows目录，我们不希望有任何写入，上面的设定可实现这一点。可以，假设我们有一些程序需要写 runlog.log这个记录文件到c:\windows下时又如何办呢？
我们需要先将runlog.log添加到免检文件中，再如下设置：
c:\windows\ 规则：子目录免检 × × ×
这样c:\windows\目录下可以创建runlog.log，其它文件一律不允许创建。当然，如果我们想管理得宽松一些，比如使用只不允许创建类型过滤指定的文件时，可以选择:
c:\windows\ 规则：子目录免检 × 类型
或者：子目录免检 × 模糊 × 等.

c:\windows\temp\ 规则：子目录 × 黑名单 × ×
这个就简单了，对整个临时目录temp使用黑名单过滤。除了全×选项外(全×不能继承)，其余规则是可以继承的即:
c:\windows\ 规则：子目录 × × × ×
c:\windows\Fonts\ 规则：子目录 × × × ×
第二条设置相同规则就是多余的了，因为子目录Fonts不设置时可以继承父目录c:\windwos的设置。

暂停监视

不信任软件安装,当你不确定这个软件是否有流氓插件或者病毒时,选择这个,当有问题时会提示的,自己判断一下就行了
信任软件安装,就是信任的,不需要监视,安装即可

退出程序
点击后会弹出一个对话框,输入那四个数字,回车就可退出,这样做的目的就是为了防止别人恶意结束该进程,也就是自我保护程序,只有输入正确的四个数字才可退出

最后说几点特别注意的,一般情况下注意这几点就行了,以下说的是默认的设置时要注意的,如果你自己修改过设置了,另当别论

1,c盘不要放东西,因为默认监视c盘,你放了过去会自动删除的,确实需要放东西请选择信任软件安装模式
2,安装软件时一定要选择不信任或者信任,否则安装会出错,新用户都会忽略这点.这里强调一点,很多的病毒就是这个时候进去的,所以这个时候一定不要嫌麻烦而直接退出程序,这样做的后果就是相当于没有安装该软件
3,这个可以设定密码,不想别人退出本程序,设定密码就行了
4,这个不会影响正常的上网的,出了问题别考虑这个软件的问题
5,该软件只是防护软件,思想就是不让病毒进来,对于进来的病毒是管不着的,所以一定要在确保干净的系统安装效果最好,不是说有毒就不能安装,只是效果会大大消弱的.
6,该软件最大的特点就是严格控制往系统里写东西,所以病毒和软件之类的往系统写东西,都会经过审核的,所以只能防毒不能当防火墙,要是为了防止别人攻击,请安装防火墙

[ 此贴被^_^在2007-12-11 16:21重新编辑 ]

描述:安全盾1.57
附件:

安全盾1.57.rar (1075 K) 下载次数:13

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

绝对社区,极品论坛，绝对相信，相信绝对

回复引用

^_^

级别: 光盘初级

发帖: 90

飞翔币: 423

威望: 107

飞扬币: 424

信誉值: 0

只看该作者 1 发表于: 2007-12-11

软件限制策略附件为做好的限制策略,是exe格式的,解压后直接运行即可,记得把安全盾选择为信任模式

声明:本来打算自己写的,但是后来发现雨林木风的尐小三~γ一篇帖子不错,很多的地方都是我想说的,所以拿来修改了一下在此发表,特此声明
当病毒已经进来了,该怎么办?病毒进来肯定是为了运行,如果安全盾没有阻挡病毒的进入,那么软件限制策略就是阻挡他的运行,这样进来没有进来是一样的.
开始---运行----secpol.msc,打开软件限制策略控制台,然后在软件限制策略节点上单击鼠标右键，选择“创建软件限制策略”，这样我们就可以创建一个默认的软件限制策略，同时该节点下将出现名为“安全级别”和“其他规则”的两个节点。
安全级别:不允许,出了策略中指定的其他的程序都不能运行,这个一般不用的,一般都是不限制.
其它规则:右键---有四个新建项目,我们今天只说两个,新建路径规则,新建散列规则

选取新建路径规则,弹出对话框,写入你不允许运行的程序名称或盘符,其中*表示多个字符,?表示一个字符.
强制:可以选择软件限制策略限制的用户
指派类型:可以选择软件限制策略想限制的后缀类型

1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级
环境变量
%USERPROFILE% 表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:\
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files

通配符
? 表示任意单个字符
* 表示任意多个字符
**或*? 表示零个或多个含有反斜杠的字符,即包含子文件夹

2、如何阻止恶意程序运行
首先要注意，恶意程序一般会藏身在什么地方
？:\ 分区根目录
C:\WINDOWS （后面讲解一律以系统在C盘为例）
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
注意：
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了
%ALLAPPDATA%\*.* 不允许的
%ALLUSERSPROFILE%\*.* 不允许的
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%APPDATA%\*.* 不允许的
%USERSPROFILE%\*.*
%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%ProgramFiles%\*.* 不允许的
%CommonProgramFiles%\*.* 不允许的
那么对于
C:\WINDOWS C:\WINDOWS\system32 这两个路径的规则怎么写呢？
C:\WINDOWS下只有explorer.exe、notepad.exe、摄像头程序、声卡管理程序是需要运行的，而其他都不需要运行
则其规则可以这样写：
%SYSTEMROOT%\*.* 不允许的（首先禁止C:\WINDOWS下运行可执行文件）
C:\WINDOWS\explorer.exe 不受限的
C:\WINDOWS\notepad.exe 不受限的
C:\WINDOWS\amcap.exe 不受限的
C:\WINDOWS\RTHDCPL.EXE 不受限的
（然后利用绝对路径优先级大于通配符路径的原则，设置上述几个排除规则，则，在C:\WINDOWS下，除了
explorer.exe、notepad.exe、摄像头程序、声卡管理程序可以运行外，其他所有的可执行文件均不可运行）
对于C:\WINDOWS\system32就不能像上面那样写规则了，在SYSTEM32下面很多系统必须的可执行文件，如果一个
一个排除，那太累了。所以，对system32，我们只要对它的子文件作一些限制，并对系统关键进程进行保护
子文件夹的限制
%SYSTEMROOT%\system32\config\*.* 不允许的
%SYSTEMROOT%\system32\drivers\*.* 不允许的
%SYSTEMROOT%\system32\spool\*.* 不允许的
当然你可以限制更多的子文件夹
3、如何保护system32下的系统关键进程
有些进程是系统启动时必须加载的，你不能阻止它的运行，但这些进程又常常被恶意软件仿冒，怎么办？其实
很简单，这些仿冒的进程，其路径不可能出现在system32下，因为它们不可能替换这些核心文件，它们往往出
现在其他的路径中。那么我们可以这样应对：
C:\WINDOWS\system32\csrss.exe 不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe 不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe 不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe 不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的
先完全允许正常路径下这些进程，再屏蔽掉其他路径下仿冒进程
csrss.* 不允许的（.* 表示任意后缀名，这样就涵盖了 bat com 等等可执行的后缀）
ctfm?n.* 不允许的
lass.* 不允许的
lssas.* 不允许的
rund*.* 不允许的
services.* 不允许的
smss.* 不允许的
sp???sv.* 不允许的
s??h?st.* 不允许的
s?vch?st.* 不允许的
win??g?n.* 不允许的
4、如何保护上网的安全
在浏览不安全的网页时，病毒会首先下载到IE缓存以及系统临时文件夹中，并自动运行，造成系统染毒，在了解了这个感染途径之后，我们可以利用软件限制策略进行封堵
%SYSTEMROOT%\tasks\*.* 不允许的（这个是计划任务，病毒藏身地之一）
%SYSTEMROOT%\Temp\*.* 不允许的
%USERPROFILE%\Cookies\*.* 不允许的
%USERPROFILE%\Local Settings\*.* 不允许的（这个是IE缓存、历史记录、临时文件所在位置）
另外可以免疫一些常见的流氓软件
3721.* 不允许的
CNNIC.* 不允许的
*Bar.* 不允许的
等等，不赘述，大家可以自己添加
注意，*.* 这个格式只会阻止可执行文件，而不会阻止 .txt .jpg 等等文件
另外演示两条禁止从回收站和备份文件夹执行文件的规则
?:\Recycler\*.* 不允许的
?:\System Volume Information\*.* 不允许的
5、如何防止U盘病毒的入侵
对于u盘,我始终认为u盘只是为了携带方便,不适合直接运行程序,所以我建议大家建立如下规则
==================
新建路径规则
x:\
级别:不允许
===============
x是你的u盘盘符,这个就是禁止任何东西在U盘里面运行,所以不用担心任何的u盘病毒,当然,想运行复制到电脑里面就可以了.千万不要写下c:\的限制策略,后果是什么自己想像吧~~但是可以写c:\*.exe等.c:\表示禁止任何c盘下面的东西运行,包括c盘文件夹下面的东西.c:\*.exe表示c盘根目录下面的exe文件不能运行,但是c:\xxx(任意的文件夹名)\里面的东西可以运行的.
6、预防双后缀名的典型恶意软件
许多恶意软件，他有双后缀，比如 mm.jpg.exe
这个我建议直接建立*.*.*这样就禁止任何的双后缀名的程序运行,当然包括cs1.5.exe,这改怎么办呢?新建散列规则,找到信任的*.*.*格式的程序,选择级别为不受限的,这样就可以了,毕竟正常的*.*.*格式的程序不多,自己稍微动动手设置一下就可以了
7、其他规则
注意 %USERPROFILE%\Local Settings\**\*.* 这条规则设置后，禁止了从临时文件夹执行文件，那么一些自解压的单文件就无法运行了，因为这类文件是首先解压到临时文件夹，然后从临时文件夹运行的。如果你的电脑中有自解压的单文件，那么，删除这条规则，增加3条：
%USERPROFILE%\Local Settings\Application Data\*.* 不允许的
%USERPROFILE%\Local Settings\History\*.* 不允许的
%USERPROFILE%\Local Settings\Temporary Internet Files\*.* 不允许的

8,设置完成后，将C:\Windows\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来
这个文件就是你所设置的规则。重做系统后，将备份的这个文件覆盖到源路径中，就可以恢复规则
也可以将这个文件做成一个自解压EXE格式的文件,自解压脚本为
=====================================================
Path=%windir%\system32\GroupPolicy\Machine\
SavePath
Setup=gpupdate /force
Silent=1
Overwrite=1
====================================================

[ 此贴被^_^在2007-12-11 15:59重新编辑 ]

描述:组策略
附件:

Registry.rar (76 K) 下载次数:9