学习、分享、快乐
当前位置 >> 68楼学习网学习教育电脑学习电脑基础教程电脑专业知识XP下的安全策略防毒

XP下的安全策略防毒

[08-27]   来源:http://www.68lou.com  电脑专业知识   阅读:298

XP下的安全策略防毒,本站还有更多关于电脑专业知识,电脑基础知识,电脑入门,电脑学习的文章。
正文:

一、很多病毒木马为逃过用户的追杀,会藏在很隐蔽的地方,比如回收站,system volume information(系统还原文件夹)等,并且加上隐蔽属性使用户不易发觉。而事实上,这些文件夹正常情况下是没有任何可执行程序的,所以我们可以建立以下规则:
?:RECYCLER*.* 不允许的 这里?号的意思是 所有盘符下 因为回收站在每个盘下都有~
?:System Volume Information*.* 不允许的
%windir%system32drivers*.* 不允许的 
%windir%system*.* 不允许的 这里的%windir%意思就是 c:windows 后面我会给大家补充这方面的~

下来 我们试下刚才建立的规则~看到效果了吧 限制了~再看看其他的~照样限制了吧~
剩下的两个留给大家自己试了~呵呵~


二、进程假冒是木马擅用的一个手段,比如system32文件夹下有一个svchost.exe的系统文件,病毒便同样以此文件命名,然后放到windows或其他任意文件夹下。病毒运行时系统默认的任务管理器里只会显示进程名为svchost.exe,而系统本来就有很多个svchost.exe,这样病毒很好地达到了欺骗用户的目的。所以我们在这里来建立两条规则来限制它:
1、svchost.exe 不允许的
2、%windir%system32svchost.exe 或通过浏览查找这一文件 不受限的
在这里大家注意下,由于优先级的关系,第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说第二条的路径下的是允许运行的,而其他任意路径下的都无法运行。所以在这里并不矛盾~

下来我们试验下~同样限制了吧 

三、有些病毒用双扩展名来迷惑用户,比如:MM.jpg.exe、免费得qq会员的方法txt.exe等等,然后再将图标改成前一个扩展名的图标,这里我就不改了,不少人会误认为它们是图片和文本文件而掉以轻心,再加上有诱惑力的文件名,中招就在所难免了。所以我们建立如下规则:
*.jpg.exe 不允许的
*.txt.exe 不允许的

这样可以有效防御此类的病毒~ 试验一个吧~还是限制了 哈哈 病毒完蛋了吧

四、对U盘病毒,同样可用建立规则来限制(假如你电脑上的U盘符是G)
G:*.exe 不允许的
G:*.com 不允许的
如果电脑上不止一个USB接口,可以多写几个规则 G可以变化的~

我插下U盘试下~病毒被限制了 呵呵~~

五、文件名伪装虽然是比较老的技术了,不过依然有一定的“市场”
例如:explorer.exe和exp10rer.exe 大家仔细看会看出区别吗?
注意 0和o的区别、1和l的区别。由此我们来建规则:
expl0rer.exe 不允许的
exp1orer.exe 不允许的
exp10rer.exe 不允许的
这里大家可看清楚了 呵呵~~~ 

随便试验一个~限制了~


再补充下相关信息:
1、虽然使用软件安全策略带来的兼容性问题可能性很小,不过还是有的,一旦碰到了怎么办?其实系统已经帮我们准备了日志功能,如果是因系统安全策略的原因导致某个程序无法运行,系统会弹出警告对话框。这个对话框其实已经告诉我们解决方法了,赶紧到 事件查看器 中查看 应用程序日志 ,双击打开出问题的日志提示,在描述中会告诉我们这一问题是因为哪条规则而引起的,我们只要把相应的规则删的删、改的改,这就由我们自由发挥了 看到了吧 这就是我们刚才的限制~~

2、在定义规则时我们可以使用绝对路径,也可以用通配符或者环境变量,这里就涉及一个规则的优先级问题了,按微软的规定: 绝对路径>使用通配符的路径>文件名
常见的文件夹环境变量有
%allusersprofile% 表示 c:documents and settingsall users
%appdata% 表示 c:documents and settings当前用户名application data
%systemdrive% 表示 c:
%systemroot%和%windir% 表示c:windows
%temp%和%tmp% 表示 c:documents and settings当前用户名local settingstemp
%userprofile% 表示 c:documents and settings当前用户名
%programfiles% 表示 c:program files

这个大家看下就OK了~

3、在 其他规则 的右键菜单中,还有一个 新散列规则 ,它通过提取文件的特征信息(如:版本、Hash码等)来识别文件,非常准确。但当系统文件正当升级后,散列规则将因无法识别而阻止它运行,从而造成系统瘫痪,所以建议大家一般不要使用 新散列规则。


教程下载地址:(将两个附件下载到同一文件夹再进行解压即可)
桌面.part01.rar (1.96 MB) 下载次数: 10

2008-4-9 21:32
桌面.part02.rar (110.64 KB) 下载次数: 7

2008-4-9 21:32




如果觉得XP下的安全策略防毒不错,可以推荐给好友哦。
Tag:电脑专业知识电脑基础知识,电脑入门,电脑学习电脑学习 - 电脑基础教程 - 电脑专业知识
相关文章
在百度中搜索相关文章:XP下的安全策略防毒
在谷歌中搜索相关文章:XP下的安全策略防毒
在soso中搜索相关文章:XP下的安全策略防毒
在搜狗中搜索相关文章:XP下的安全策略防毒