微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

 11  1/2  1  2  > 
作者:
标题: 系统自带的“软件限制策略”一出马,U盘等移动存储病毒全都傻掉了!
gxdiyer
注册用户





积分 128
发帖 128
注册 2006-8-23
#1  系统自带的“软件限制策略”一出马,U盘等移动存储病毒全都傻掉了!

U盘等移动存储类病毒或木马,能在任何计算机和移动存储类设备之间互相传播,无非用的就是Autorun.inf这个文本文件和同时存在的病毒文件,通过运行secpol.msc打开“本地安全设置”窗口,在“软件限制策略”点右键新建策略,就会出现“安全级别”和“其他规则”两个子项,在“其他规则”上点右键就可以进行设置“新路径规则”。
?号代表一个字符,*号代表一串字符。比如?:\autorun.inf限制为不允许,那任何分区盘符根目录下的autorun.inf文件将不再起任何作用,没有人能读写它,但你可以删除它。呵呵!
我敢100%保证:此招一出马,任何分区一切存在根文件夹下的EXE等可执行文件(包括Autorun.inf文件)全部失去运行权利或打开读取权利,形同废人!你可以随便点它,它也不可能运行。
但是,有一点必须要提醒:千万不要把Windows、System32等系统文件夹下的文件设为不允许,那你的系统可能当场死掉,重启后将无法进入系统。切记!!!图中我加了个c:\windows\system32\drivers\*.exe为不允许限制策略,是因为我知道基本上没有软件会在drivers文件夹下创建EXE文件,谁加谁就有问题。
软件限制策略的功能相当于虽然文件还存在,但形同不存在或被删除或禁止读写。
如图所示,我已经把能运行的文件类型全都限制了,任何人拿U盘等移动存储设备插入我的计算机,我敢100%保证,就算它上面有10000种病毒,它是不可能自动感染我的系统的。


[ Last edited by gxdiyer on 2009-4-10 at 15:19 ]

※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2009-3-19 23:56
查看资料  发短消息   编辑帖子
凡间幽灵
银牌会员




积分 1329
发帖 1295
注册 2008-11-27
#2  

很好很强大,微软的东西其实用好了是很牛屄滴

※ ※ ※ 本文纯属【凡间幽灵】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

杀毒软件洗洗睡吧,上帝不会为难头脑简单的孩子
2009-3-20 00:05
查看资料  发送邮件  发短消息   编辑帖子
yzxiaowu
注册用户




积分 138
发帖 138
注册 2006-6-7
#3  

呵呵,这个真的很好啊 !就是HIPS 啊 !

※ ※ ※ 本文纯属【yzxiaowu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-20 12:45
查看资料  发送邮件  发短消息   编辑帖子
samsung110
新手上路





积分 24
发帖 24
注册 2007-5-5
#4  

本年度十大最错误的做法中的一条:?:\autorun.inf   “不允许的”

"?号代表一个字符,*号代表一串字符。比如?:\autorun.inf限制为不允许,那任何分区盘符根目录下的autorun.inf文件将不再起任何作用,没有人能读写它,但你可以删除它。呵呵!"

《转文》
这条规则的本意是阻止所有盘根目录下的 autorun.inf 文件运行,以阻止U盘病毒的运行。它也确实达到了它的目的, autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的,病毒还是会被正常运行。
为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。
首先,svchost.exe 读取 autorun.inf,然后 explorer.exe 读取 autorun.inf,再然后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表,那么这个 autorun.inf 文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。
那么我们的软件限制策略中,将 autorun.inf 设为”不允许的”这一做法在这个过程中起到什么作用?
很遗憾地告诉你:没有任何作用。
真要说它起到的作用,仅仅是阻止你打开 autorun.inf 这个文件而已。所以,对于 autorun.inf 的所有策略,都是无效的。

※ ※ ※ 本文纯属【samsung110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-28 11:12
查看资料  发短消息   编辑帖子
fausto
中级用户




积分 204
发帖 204
注册 2009-3-14
#5  

其实这个才是最好的hips,就是玩起来太麻烦了,所以选了微点

※ ※ ※ 本文纯属【fausto】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-28 12:21
查看资料  发送邮件  发短消息   编辑帖子
gxdiyer
注册用户





积分 128
发帖 128
注册 2006-8-23
#6  



  Quote:
Originally posted by samsung110 at 2009-3-28 11:12:
本年度十大最错误的做法中的一条:?:\autorun.inf   “不允许的”

"?号代表一个字符,*号代表一串字符。比如?:\autorun.inf限制为不允许,那任何分区盘符根目录下的autorun.inf文件将不再起任何作用,没 ...

或许真的没有用了。
因为双击它被阻止,但用记事本还是可以打开autorun.inf文件并编辑保存。但具体有没有用,不知楼上试过没有。
另外,事后证明,一些软件限制策略会导致一些程序无法正常安装,比如我原来有一条?:\*.*,安装一程序总是出错,后来从“事件查看器”发现就是这一限制策略惹的祸。效果还是有的,不过引起少部分软件安装出错。
对于autorun.inf文件,我建议不管有没有用,保留autorun.inf的限制策略,同时:
1、如果用的是NTFS格式,可以在根目录下建立一个autorun.inf的文件夹或文件都可以,将它的安全属性里面的权限设为everyone完全拒绝,我相信现在应该没有程序能打开或调用它。
2、如图所示。运行gpedit.msc策略编辑器,关闭所有驱动器的自动播放功能。
其实我单位的一台机器没有装任何杀毒软件,也经常被不同的人的U盘插来插去,凭我的经验,我发现很多人的U盘明显看得出来都有病毒文件,但都没有自动运行,我一般会把这些病毒复制到某个地方保存起来,以后在虚拟机中测试,研究一下,并且手动帮他们删除U盘上的病毒文件。


[ Last edited by gxdiyer on 2009-3-29 at 00:35 ]

附件 1: 222111.jpg (2009-3-29 00:24, 101.9 K,下载次数: 64)


※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2009-3-29 00:23
查看资料  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#7  

软件限制策略只能算一个AD,没有FD,是一个有严重缺陷的hips,比如你不可能设置一条规则来防止文件被删除和修改,这也是微点作为一个大众化产品的最大缺陷,FD几乎为0。如果微软做一个完整的hips集成在系统中,那么基本上市面上的安全软件基本上该下课了

[ Last edited by wsmurderer on 2009-3-29 at 00:50 ]

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-29 00:36
查看资料  发送邮件  发短消息   编辑帖子
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#8  

如果将所有类似“?:\*.bat    不允许的”的规则(有限枚举的)去掉,改为下面的文件夹规则:

路径名            安全级别

?:\                 不允许的

?:\*\              不受限的

规则就要简单得多。
良好习惯:自己要运行的程序(如安装程序)文件不要放在驱动器的根目录里,而是放在子目录里。

同样的思路,有关桌面的规则也可简化为下面两条:

           路径名                                                                   安全级别

%SystemDrive%\DOCUMENTS AND SETTINGS\*\桌面\            不允许的

%SystemDrive%\DOCUMENTS AND SETTINGS\*\桌面\*.Lnk     不受限的

结果:在指派文件类型列表中,只有快捷方式类型(.Lnk)的文件——即“快捷方式”——可以运行。这是我们所期望的。当然,文本文档、word、Excel文档、Powerpoint文档是不会因此而受牵连的,除非你自己将它们定义或者添加到指派文件类型列表中。

建议:要多用文件夹规则,善用文件夹规则。

[ Last edited by ballpointpen on 2009-3-30 at 12:27 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-30 11:45
查看资料  发送邮件  发短消息   编辑帖子
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#9  

通配符“*.*”可以是文件名,也可以是文件夹名(带字符“.”的文件夹名),因此,路径名“?:\*.*”相当于文件名型路径“?:\*.*”(这里,通配符“*.*”代表任何一个文件名)或者文件夹型路径“?:\*.*\”。

下面两条规则
?:\                 不允许的
?:\*\              不受限的
合起来的效果就是禁止任何文件(指派列表中定义的)从驱动器的根目录里启动或者运行,但允许它们从驱动器的任何一个子目录里启动或者运行。这个子目录的名称中可以是带有字符“.”的。

因此,上面两条规则的执行效果与规则“?:\*.*     不允许的”是不一样的:后者对子文件夹“?:\*.*\”也进行了“禁止”定义,而前者没有。

如果有一个安装程序文件,应该把它放在驱动器的子目录或者子目录的子目录中,而不是放在根目录中。这样运行安装程序,应该是不会出问题的。你说的问题情形,是不是在驱动器的根目录中运行安装程序?
当然,如果定义了规则“?:\*.*     不允许的”,子目录名中也不能带有字符“.”,否则其中的*.exe、*.com、*.bat之类的文件也将被禁止运行。

使用这样的规则,我在安装文件时,没有遇到过安装障碍的问题。方便的话,你能否给我介绍一个。谢谢!

似乎你不太喜欢用文件夹规则。

[ Last edited by ballpointpen on 2009-3-30 at 16:22 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-30 15:14
查看资料  发送邮件  发短消息   编辑帖子
gxdiyer
注册用户





积分 128
发帖 128
注册 2006-8-23
#10  

盖棺定论:
建议使用以下两条规则:

?:\                 不允许的
?:\*\              不受限的

对付U盘病毒非常有效。


[ Last edited by gxdiyer on 2009-4-10 at 15:20 ]

※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2009-3-30 23:31
查看资料  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号