大家平时在上网冲浪,收发邮件,下载资料,一不小心不免就会中***(现在的***很猖),再加上杀毒软件招架不住(病毒库有时间差),以致系统会出现严重失常,盗取信息,影响正常的工作。
最近我就是碰到Trojan.Win32.Agent.uar这种***,以致系统下很多进程文件受了感染。但也发觉到***喜欢“骚扰”系统下的c:\windows\system32,再加上其中存放了很多关键进程文件,一受感受,系统马上就会出了问题。
当然,***注入的文件夹还有其它,如:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
那如何去保护这些文件夹的安全呢,便成为一个首要任务了。
解决这个问题不难,我们可以通过系统的组策略设置去加以防护。在组策略中的软件限制策略中可以通过建立相关的规则,赋于相关的安全级别,就可以保护这个文件夹的安全了。
如:(对应上边的文件路径)
%ALLAPPDATA%\*.* 不允许的
%ALLUSERSPROFILE%\*.* 不允许的
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%APPDATA%\*.* 不允许的
%USERSPROFILE%\*.*
%USERPROFILE%\「开始」菜单\程序\启动\*.* 不允许的
%ProgramFiles%\*.* 不允许的
%CommonProgramFiles%\*.* 不允许的,
而对于c:\windows\system32,里面有常用的进程,可以把用到的进程添加,安全级别为不受限,而最后其它就设为不允许了。
常用到的进程有:
C:\WINDOWS\system32\csrss.exe    不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe    不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe   不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe    不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的

还有就是其中有些重要的子文件夹,也可以加以限制:
%SYSTEMROOT%\system32\config\**\*.*    不允许的
%SYSTEMROOT%\system32\drivers\**\*.* 不允许的
%SYSTEMROOT%\system32\spool\**\*.*    不允许的

这样,结合自己的实际需要进行相关的设置,系统的相关文件夹就在保护之中了。可以大大减小病毒,***的影响。