»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
反病毒
» 系统自带的“软件限制策略”一出马,U盘等移动存储病毒全都傻掉了!
11
1/2
1
2
>
作者:
标题: 系统自带的“软件限制策略”一出马,U盘等移动存储病毒全都傻掉了!
gxdiyer
注册用户
积分 128
发帖 128
注册 2006-8-23
#1
系统自带的“软件限制策略”一出马,U盘等移动存储病毒全都傻掉了!
U盘等移动存储类病毒或木马,能在任何计算机和移动存储类设备之间互相传播,无非用的就是Autorun.inf这个文本文件和同时存在的病毒文件,通过运行secpol.msc打开“本地安全设置”窗口,在“软件限制策略”点右键新建策略,就会出现“安全级别”和“其他规则”两个子项,在“其他规则”上点右键就可以进行设置“新路径规则”。
?号代表一个字符,*号代表一串字符。比如?:\autorun.inf限制为不允许,那任何分区盘符根目录下的autorun.inf文件将不再起任何作用,没有人能读写它,但你可以删除它。呵呵!
我敢100%保证:此招一出马,任何分区一切存在根文件夹下的EXE等可执行文件(包括Autorun.inf文件)全部失去运行权利或打开读取权利,形同废人!你可以随便点它,它也不可能运行。
但是,有一点必须要提醒:千万不要把Windows、System32等系统文件夹下的文件设为不允许,那你的系统可能当场死掉,重启后将无法进入系统。切记!!!图中我加了个c:\windows\system32\drivers\*.exe为不允许限制策略,是因为我知道基本上没有软件会在drivers文件夹下创建EXE文件,谁加谁就有问题。
软件限制策略的功能相当于虽然文件还存在,但形同不存在或被删除或禁止读写。
如图所示,我已经把能运行的文件类型全都限制了,任何人拿U盘等移动存储设备插入我的计算机,我敢100%保证,就算它上面有10000种病毒,它是不可能自动感染我的系统的。
[
Last edited by gxdiyer on 2009-4-10 at 15:19
]
※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2009-3-19 23:56
凡间幽灵
银牌会员
积分 1329
发帖 1295
注册 2008-11-27
#2
很好很强大,微软的东西其实用好了是很牛屄滴
※ ※ ※ 本文纯属【凡间幽灵】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
杀毒软件洗洗睡吧,上帝不会为难头脑简单的孩子
2009-3-20 00:05
yzxiaowu
注册用户
积分 138
发帖 138
注册 2006-6-7
#3
呵呵,这个真的很好啊 !就是HIPS 啊 !
※ ※ ※ 本文纯属【yzxiaowu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-20 12:45
samsung110
新手上路
积分 24
发帖 24
注册 2007-5-5
#4
本年度十大最错误的做法中的一条:?:\autorun.inf “不允许的”
"?号代表一个字符,*号代表一串字符。比如?:\autorun.inf限制为不允许,那任何分区盘符根目录下的autorun.inf文件将不再起任何作用,没有人能读写它,但你可以删除它。呵呵!"
《转文》
这条规则的本意是阻止所有盘根目录下的 autorun.inf 文件运行,以阻止U盘病毒的运行。它也确实达到了它的目的, autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的,病毒还是会被正常运行。
为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。
首先,svchost.exe 读取 autorun.inf,然后 explorer.exe 读取 autorun.inf,再然后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表,那么这个 autorun.inf 文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。
那么我们的软件限制策略中,将 autorun.inf 设为”不允许的”这一做法在这个过程中起到什么作用?
很遗憾地告诉你:没有任何作用。
真要说它起到的作用,仅仅是阻止你打开 autorun.inf 这个文件而已。所以,对于 autorun.inf 的所有策略,都是无效的。
※ ※ ※ 本文纯属【samsung110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-28 11:12
fausto
中级用户
积分 204
发帖 204
注册 2009-3-14
#5
其实这个才是最好的hips,就是玩起来太麻烦了,所以选了微点
※ ※ ※ 本文纯属【fausto】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-28 12:21
gxdiyer
注册用户
积分 128
发帖 128
注册 2006-8-23
#6
Quote:
Originally posted by
samsung110
at 2009-3-28 11:12:
本年度十大最错误的做法中的一条:?:\autorun.inf “不允许的”
"?号代表一个字符,*号代表一串字符。比如?:\autorun.inf限制为不允许,那任何分区盘符根目录下的autorun.inf文件将不再起任何作用,没 ...
或许真的没有用了。
因为双击它被阻止,但用记事本还是可以打开autorun.inf文件并编辑保存。但具体有没有用,不知楼上试过没有。
另外,事后证明,一些软件限制策略会导致一些程序无法正常安装,比如我原来有一条?:\*.*,安装一程序总是出错,后来从“事件查看器”发现就是这一限制策略惹的祸。效果还是有的,不过引起少部分软件安装出错。
对于autorun.inf文件,我建议不管有没有用,保留autorun.inf的限制策略,同时:
1、如果用的是NTFS格式,可以在根目录下建立一个autorun.inf的文件夹或文件都可以,将它的安全属性里面的权限设为everyone完全拒绝,我相信现在应该没有程序能打开或调用它。
2、如图所示。运行gpedit.msc策略编辑器,关闭所有驱动器的自动播放功能。
其实我单位的一台机器没有装任何杀毒软件,也经常被不同的人的U盘插来插去,凭我的经验,我发现很多人的U盘明显看得出来都有病毒文件,但都没有自动运行,我一般会把这些病毒复制到某个地方保存起来,以后在虚拟机中测试,研究一下,并且手动帮他们删除U盘上的病毒文件。
[
Last edited by gxdiyer on 2009-3-29 at 00:35
]
附件 1:
222111.jpg
(2009-3-29 00:24, 101.9 K,下载次数: 64)
※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2009-3-29 00:23
wsmurderer
高级用户
积分 676
发帖 668
注册 2008-11-21
#7
软件限制策略只能算一个AD,没有FD,是一个有严重缺陷的hips,比如你不可能设置一条规则来防止文件被删除和修改,这也是微点作为一个大众化产品的最大缺陷,FD几乎为0。如果微软做一个完整的hips集成在系统中,那么基本上市面上的安全软件基本上该下课了
[
Last edited by wsmurderer on 2009-3-29 at 00:50
]
※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-29 00:36
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
#8
如果将所有类似“?:\*.bat 不允许的”的规则(有限枚举的)去掉,改为下面的文件夹规则:
路径名 安全级别
?:\ 不允许的
?:\*\ 不受限的
规则就要简单得多。
良好习惯:自己要运行的程序(如安装程序)文件不要放在
驱动器的根目录
里,而是放在子目录里。
同样的思路,有关桌面的规则也可简化为下面两条:
路径名 安全级别
%SystemDrive%\DOCUMENTS AND SETTINGS\*\桌面\ 不允许的
%SystemDrive%\DOCUMENTS AND SETTINGS\*\桌面\*.Lnk 不受限的
结果:在
指派文件类型列表
中,只有快捷方式类型(.Lnk)的文件——即“快捷方式”——可以运行。这是我们所期望的。当然,文本文档、word、Excel文档、Powerpoint文档是不会因此而受牵连的,除非你自己将它们定义或者添加到
指派文件类型列表
中。
建议:要多用
文件夹
规则,善用文件夹规则。
[
Last edited by ballpointpen on 2009-3-30 at 12:27
]
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-30 11:45
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
#9
通配符“
*.*
”可以是
文件名
,也可以是
文件夹名
(带字符“.”的文件夹名),因此,路径名“
?:\*.*
”相当于文件名型路径“
?:\*.*
”(这里,通配符“*.*”代表任何一个文件名)或者文件夹型路径“
?:\*.*\
”。
下面两条规则
?:\ 不允许的
?:\*\ 不受限的
合起来的效果就是禁止任何文件(
指派列表中定义的
)从驱动器的根目录里启动或者运行,但允许它们从驱动器的任何一个子目录里启动或者运行。这个子目录的名称中可以是带有字符“.”的。
因此,上面两条规则的执行效果与规则
“?:\*.* 不允许的”
是不一样的:后者对子文件夹
“?:\*.*\”
也进行了“禁止”定义,而前者没有。
如果有一个安装程序文件,应该把它放在驱动器的子目录或者子目录的子目录中,而不是放在根目录中
。这样运行安装程序,应该是不会出问题的。你说的问题情形,是不是在驱动器的根目录中运行安装程序?
当然,如果定义了规则“?:\*.* 不允许的”,子目录名中也不能带有字符“.”,否则其中的*.exe、*.com、*.bat之类的文件也将被禁止运行。
使用这样的规则,我在安装文件时,没有遇到过安装障碍的问题。方便的话,你能否给我介绍一个。谢谢!
似乎你不太喜欢用文件夹规则。
[
Last edited by ballpointpen on 2009-3-30 at 16:22
]
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-30 15:14
gxdiyer
注册用户
积分 128
发帖 128
注册 2006-8-23
#10
盖棺定论:
建议使用以下两条规则:
?:\ 不允许的
?:\*\ 不受限的
对付U盘病毒非常有效。
[
Last edited by gxdiyer on 2009-4-10 at 15:20
]
※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2009-3-30 23:31
11
1/2
1
2
>
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号