裸奔高招!!
首先定义系统
"
裸奔
"
的意思
,
就是指不用杀软的监控
.
自己定义规则来预防病毒
.
即使受到了病毒和木马的席卷
,
系统也不会被感染
.
声明这篇文章有可能涉及到杀软厂商攫取利润的直接利益 . 惰惰猴只以现在主流的 windows XP 专业版为例介绍如何建立自己的 HIPS, 给广大深受毒害的朋友一点启发 . 看贴的人必须要有良好的 windows 系统基础知识 , 了解系统文件夹结构 . 如果连起码的 system32 文件夹都不知道在哪的菜鸟 , 那看懂确实有点困难了 , 不过人总是要成长的 . 例子给你了 , 能不能举一反三就看各位看官的能力了 . 好了言归正传 :
不管是病毒木马还是杀软几乎都让我们头疼 , 那么病毒木马会干些什么呢 ? 废话嘛 , 当然是拖慢系统 , 让系统故障 , 破坏数据 , 甚至让系统无法启动 . 那杀软就会阻止病毒和木马的破坏 , 那么越是检查严格的杀软就越是占用系统的资源 , 如果你硬件配置不高而以为追求高性能杀软 ,, 反而得不偿失 . 病毒拖慢系统 , 杀软也拖慢系统 . 而且病毒木马出生在前 , 杀软跟进在后 . 厉害关系尽人皆知 . 但是如何建立 HIPS 赋予系统免疫力让系统即使受到了病毒和木马的席卷 , 也不会被感染呢 ? 恐怕菜鸟只有跪地企求 VB. 那黑客怎么办 ?
一 , 堵住路口 , 启用系统自带防火墙
打开始菜单 - 开运行输入 secpol.msc 开启本地安全策略 (XP 专业版本才有 ,XP HOME 没有 ). 右击软件限制策略 , 选择创建新的策略 . 然后软件限制策略下会自动创建多个子项 .. 别的地方都不用改 . 其他规则才是我们要任意发挥水平的地方 . 注意其他规则里有系统默认的四个注册表规则 , 不能修改 , 否则系统将崩溃 . 现在再右击 " 其他规则 ". 会发现他的菜单里有个新路径规则 . 好我们就要在路径规则里做文章 . 这里允许使用通配符 ",""?""%" 比如 "%windows%" 就表示 c:\windows d:\windows 等不管你 windows 文件夹在哪个分区 , 都给你认出来 .
实例 1_ 杜绝阴暗角落的袭击 :
很多病毒木马为了逃过用户的追杀都藏在很隐秘的地方 , 比如回收站 ,System Volume Information( 系统还原文件夹 ) 等 , 加上隐藏属性 , 用户很难发觉 . 而实际上这些文件夹在正常情况下是不会有任何可执行程序的 . 所以我们可以建立如下规则 ( 右击其他规则 , 在菜单中选择新建路径规则 ):
在路径框中输入 ?:\Recycled\*.* 安全级别设置为 " 不允许的 "
特别注意。如果分区文件系统是 NTFS ,在 Windows 的 NT 架构的系统中,即 Windows NT/2000/XP/2003 ,会为系统中的每位用户创建各自的回收站文件夹,如果分区文件系统是 NTFS ,则会保存在 Recycler 这个文件夹里,而不是 Recycled 文件夹,因此不用担心是病毒文件夹。则会保存在 Recycler 这个文件夹里 . (在这特别感谢发现问题的 cml45 朋友)那我们应该:
在路径框中输入 ?:\Recycler\*.* 安全级别设置为 " 不允许的 "
在路径框中输入 ?:\System Volume Information\*.* 安全级别设置为 " 不允许的 "
在路径框中输入 %windir%\system32\Drivers\*.* 安全级别设置为 " 不允许的 "
在路径框中输入 %windir%\system\*.* 安全级别设置为 " 不允许的 "
通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行 . 完美防御了这一类病毒木马的进攻 . 放心这种格式是不会秒杀掉诸如 .txt .jpg
这样的文本或者图片文件的 . 至于这四个文件的功能和重要性 , 菜鸟自己去百度知道 . 惰惰猴不想费口水 .
实例 2_ 杜绝仿冒危险程序 :
进程仿冒是病毒和木马用得最多的手段 . 比如 system32 文件夹下的 svchost.exe 系统文件 , 病毒就可以同样用 svchost.exe 命名 , 然后放到 windows 其他任意文件夹下 . 那运行是 XP 默认的任务管理器就只会显示 svchost.exe 进程 , 而 XP 正常情况下本来就有很多个 svchost.exe 进程 . 这就欺骗了一般的用户 . 而一般的杀软也只有干瞪眼 . 本地安全策略则可以永久的免疫这种方式的木马和病毒 . 我们只需两条规则 ( 右击其他规则 , 在菜单中选择新建路径规则 , 在路径中写规则 ):
在路径框中输入 svchost.exe 安全级别设置为 " 不允许的 "
在路径框中输入 %windir%\system32\svchost.exe 安全级别设置为 " 不受限的 " 注意是不受限的
学过程序的人知道优先级关系 , 那么第二条使用绝对路径的优先级高于第一条基于文件名的路径 . 也就是 system32 下的 svchost.exe 是允许运行的 , 而其他任意文件夹下的 svchost.exe 都是是不允许运行的 .
实例 3_ 杜绝双面病毒木马 :
用双扩展名迷惑用户的病毒木马也不少 . 比如 mv.jpg.exe 免费得 QQ 会员的方法 .txt.exe 等等 , 再改个扩展名图标 , 不少火候不够热爱装逼的系统伪高手们就会误以为是个图片文件和文本文件而掉以轻心 . 中毒再所难免 .
安全策略就能阻止 , 当然这可以自由发挥惰惰猴只举两个例子右击其他规则 , 在菜单中选择新建路径规则 , 在路径中写规则 ):
在路径框中输入 *jpg.exe 安全级别设置为 " 不允许的 "
在路径框中输入 *txt.exe 安全级别设置为 " 不允许的 "
实例 4_ 不禁用 U 盘 , 光驱也能防 U 盘 , 光驱 , 病毒
假设你的 U 盘或者光驱的盘符是 I 和 J
在路径框中输入 G:\*exe 安全级别设置为 " 不允许的 "
在路径框中输入 G:\*com 安全级别设置为 " 不允许的 "
当然如果你需要用光驱安装软件或者程序的时候就要把 G:\*exe 和 G:\*com 改成不受限的 .
防止 U 盘病毒那么就 :
在路径框中输入 I:\*exe 安全级别设置为 " 不允许的 "
在路径框中输入 I:\*com 安全级别设置为 " 不允许的 "
一般的 U 盘病毒还会自己在 U 盘根目录下建立隐藏的 System Volume Information 文件夹和 Recycled 文件夹 ( 哈哈 ,Recycled 其实就是回收站文件夹 ) 那么我给的第一个策略就挡住了 .
还有就是注意不要死板 . 尽量多设置几个盘符 , 比如 I,J,K,F. 因为电脑一般有多个 USB 接口 , 好了费话不说接着来 .
实例 5_ 对付文件名伪装的病毒和木马 :
文件名伪装最初是那些菜鸟黑客用的老掉牙的技术 . 可是我们仍不能不防 .
比如 windows 桌面就是 explorer.exe 那么黑客现在把 explorer.exe 其中的字母 L 和 O 换成数字的 0 和 1. 怎样 ? 眼睛疼了吧看得你吐血 , 你也不见得看清 . 有些病毒还会老到以 .pif 为后缀 . 他和 .exe.com 同样是可执行文件 , 但他们的扩展名 , 即使在你选择了显示隐藏文件夹扩展名后 . 都不会显示 . 废话不说 , 写
在路径框中输入 expl0rer.exe 注意把字母 O 换成数字 0 安全级别设置为 " 不允许的 "
在路径框中输入 exp1orer.exe 注意把字母 L 换成数字 1 安全级别设置为 " 不允许的 "
在路径框中输入 exp10rer.exe 注意把字母 L,O 换成数字 1,0 安全级别设置为 " 不允许的 "
在路径框中输入 explorer.com 安全级别设置为 " 不允许的 "
在路径框中输入 *.pif 安全级别设置为 " 不允许的 "
以下是设置好后的图片
二 , 扩展系统防火墙 , 保护 IE 和临时文件
介绍了本地安全策略 - 其他规则 - 路径规则的应用 , 那大家是否发现路径规的安全级别设置似乎只有 " 不允许的 " 和 " 不受限的两种 " 那么惰惰猴再来教大家扩展 , 事实上微软还在 XP 上隐藏了很多安全级别 . 有一个叫基本用户 . 什么意思呢 ? 就是界于管理员和受限帐户之间的用户权限 . 类似 windows Vista 中的大部分权限 . 好 , 废话不说 , 我们马上开启 .
打开注册表 (XP 系统的打开方法是 , 开始 - 运行 -regedit) 找到
HKEY_LOCAL_MACHINE\software\Policies\Microsoft\Windows\Safer\Codeldentifiers 新建一个名为 Levels 的 DWORD 值 . 数值设置为一个十进制数 131072. 关闭注册表 . 重新注销系统 . 然后再登陆 . 打开本地安全策略 ( 运行 secpol.msc) 本地安全策略 - 其他规则 - 路径规则的安全级别设置里就多了个基本用户 . 好下面我们利用基本用户来写出策略 . 防止病毒 , 木马通过捆绑 IE 浏览器感染临时文件夹 .
实例 _1 给 IE 加盾 . 挡住网页挂马
我们可以用基本用户权限来加载 IE 防止木马病毒和恶意网站通过 IE 强行修改系统设置 . 方法同上 , 右击其他规则 , 打开新建路径规则 , 在打开的路径规则栏里输入 %ProgramFiles%InternetExplorer\ieplorer.exe( 浏览器路径位置也可以用浏览定位 ,% 是通配符表示无论该文件夹在硬盘哪个分区都有效 ). 然后在的安全级别设置中选基本用户 . 点击确定后退出 , 在运行中输入 gpupdate /force(/ 号前有空格 ) 回车执行刷新组策略设置 . 这样 IE 在上网时就安全多了 . 最好在把历史记录保存天数设置成 0.
实例 _2 不让临时文件夹成为病毒木马的温床
经常中毒但有心的朋友可能会留意 , 目前大部分网络木马病毒都会感染临时文件夹 temp. 那么惰惰猴就交大家保护 TEMP 文件夹 . 方法同上 :
在路径框中输入 %USERPROFILE%\Local Settings\Temp\*.* 安全级别设置为 " 基本用户 "
在路径框中输入 %USERPROFILE%\Local Settings\Temp\**\** 安全级别设置为 " 基本用户 "
修改完后 , 在运行中输入 gpupdate /force(/ 号前有空格 ) 回车执行刷新组策略设置 .
这样一个免费的 HIPS 防火墙就做好了 , 那接下来我们要做的就是在编好规则后加固系统 . 由于篇幅过大 . 惰惰猴只有分成上 , 下两篇帖子来介绍用 windows XP 专业版 系统自造黑客的 HIPS 防御体系 . 上篇就说到这里 . 希望朋友们能举一反三 . 不要拘泥于形式 , 有兴趣的朋友且看我敢 " 裸奔 " 手把手教你提高系统免疫力 唾弃 VB100 的下篇 .
声明这篇文章有可能涉及到杀软厂商攫取利润的直接利益 . 惰惰猴只以现在主流的 windows XP 专业版为例介绍如何建立自己的 HIPS, 给广大深受毒害的朋友一点启发 . 看贴的人必须要有良好的 windows 系统基础知识 , 了解系统文件夹结构 . 如果连起码的 system32 文件夹都不知道在哪的菜鸟 , 那看懂确实有点困难了 , 不过人总是要成长的 . 例子给你了 , 能不能举一反三就看各位看官的能力了 . 好了言归正传 :
不管是病毒木马还是杀软几乎都让我们头疼 , 那么病毒木马会干些什么呢 ? 废话嘛 , 当然是拖慢系统 , 让系统故障 , 破坏数据 , 甚至让系统无法启动 . 那杀软就会阻止病毒和木马的破坏 , 那么越是检查严格的杀软就越是占用系统的资源 , 如果你硬件配置不高而以为追求高性能杀软 ,, 反而得不偿失 . 病毒拖慢系统 , 杀软也拖慢系统 . 而且病毒木马出生在前 , 杀软跟进在后 . 厉害关系尽人皆知 . 但是如何建立 HIPS 赋予系统免疫力让系统即使受到了病毒和木马的席卷 , 也不会被感染呢 ? 恐怕菜鸟只有跪地企求 VB. 那黑客怎么办 ?
一 , 堵住路口 , 启用系统自带防火墙
打开始菜单 - 开运行输入 secpol.msc 开启本地安全策略 (XP 专业版本才有 ,XP HOME 没有 ). 右击软件限制策略 , 选择创建新的策略 . 然后软件限制策略下会自动创建多个子项 .. 别的地方都不用改 . 其他规则才是我们要任意发挥水平的地方 . 注意其他规则里有系统默认的四个注册表规则 , 不能修改 , 否则系统将崩溃 . 现在再右击 " 其他规则 ". 会发现他的菜单里有个新路径规则 . 好我们就要在路径规则里做文章 . 这里允许使用通配符 ",""?""%" 比如 "%windows%" 就表示 c:\windows d:\windows 等不管你 windows 文件夹在哪个分区 , 都给你认出来 .
实例 1_ 杜绝阴暗角落的袭击 :
很多病毒木马为了逃过用户的追杀都藏在很隐秘的地方 , 比如回收站 ,System Volume Information( 系统还原文件夹 ) 等 , 加上隐藏属性 , 用户很难发觉 . 而实际上这些文件夹在正常情况下是不会有任何可执行程序的 . 所以我们可以建立如下规则 ( 右击其他规则 , 在菜单中选择新建路径规则 ):
在路径框中输入 ?:\Recycled\*.* 安全级别设置为 " 不允许的 "
特别注意。如果分区文件系统是 NTFS ,在 Windows 的 NT 架构的系统中,即 Windows NT/2000/XP/2003 ,会为系统中的每位用户创建各自的回收站文件夹,如果分区文件系统是 NTFS ,则会保存在 Recycler 这个文件夹里,而不是 Recycled 文件夹,因此不用担心是病毒文件夹。则会保存在 Recycler 这个文件夹里 . (在这特别感谢发现问题的 cml45 朋友)那我们应该:
在路径框中输入 ?:\Recycler\*.* 安全级别设置为 " 不允许的 "
在路径框中输入 ?:\System Volume Information\*.* 安全级别设置为 " 不允许的 "
在路径框中输入 %windir%\system32\Drivers\*.* 安全级别设置为 " 不允许的 "
在路径框中输入 %windir%\system\*.* 安全级别设置为 " 不允许的 "
通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行 . 完美防御了这一类病毒木马的进攻 . 放心这种格式是不会秒杀掉诸如 .txt .jpg
这样的文本或者图片文件的 . 至于这四个文件的功能和重要性 , 菜鸟自己去百度知道 . 惰惰猴不想费口水 .
实例 2_ 杜绝仿冒危险程序 :
进程仿冒是病毒和木马用得最多的手段 . 比如 system32 文件夹下的 svchost.exe 系统文件 , 病毒就可以同样用 svchost.exe 命名 , 然后放到 windows 其他任意文件夹下 . 那运行是 XP 默认的任务管理器就只会显示 svchost.exe 进程 , 而 XP 正常情况下本来就有很多个 svchost.exe 进程 . 这就欺骗了一般的用户 . 而一般的杀软也只有干瞪眼 . 本地安全策略则可以永久的免疫这种方式的木马和病毒 . 我们只需两条规则 ( 右击其他规则 , 在菜单中选择新建路径规则 , 在路径中写规则 ):
在路径框中输入 svchost.exe 安全级别设置为 " 不允许的 "
在路径框中输入 %windir%\system32\svchost.exe 安全级别设置为 " 不受限的 " 注意是不受限的
学过程序的人知道优先级关系 , 那么第二条使用绝对路径的优先级高于第一条基于文件名的路径 . 也就是 system32 下的 svchost.exe 是允许运行的 , 而其他任意文件夹下的 svchost.exe 都是是不允许运行的 .
实例 3_ 杜绝双面病毒木马 :
用双扩展名迷惑用户的病毒木马也不少 . 比如 mv.jpg.exe 免费得 QQ 会员的方法 .txt.exe 等等 , 再改个扩展名图标 , 不少火候不够热爱装逼的系统伪高手们就会误以为是个图片文件和文本文件而掉以轻心 . 中毒再所难免 .
安全策略就能阻止 , 当然这可以自由发挥惰惰猴只举两个例子右击其他规则 , 在菜单中选择新建路径规则 , 在路径中写规则 ):
在路径框中输入 *jpg.exe 安全级别设置为 " 不允许的 "
在路径框中输入 *txt.exe 安全级别设置为 " 不允许的 "
实例 4_ 不禁用 U 盘 , 光驱也能防 U 盘 , 光驱 , 病毒
假设你的 U 盘或者光驱的盘符是 I 和 J
在路径框中输入 G:\*exe 安全级别设置为 " 不允许的 "
在路径框中输入 G:\*com 安全级别设置为 " 不允许的 "
当然如果你需要用光驱安装软件或者程序的时候就要把 G:\*exe 和 G:\*com 改成不受限的 .
防止 U 盘病毒那么就 :
在路径框中输入 I:\*exe 安全级别设置为 " 不允许的 "
在路径框中输入 I:\*com 安全级别设置为 " 不允许的 "
一般的 U 盘病毒还会自己在 U 盘根目录下建立隐藏的 System Volume Information 文件夹和 Recycled 文件夹 ( 哈哈 ,Recycled 其实就是回收站文件夹 ) 那么我给的第一个策略就挡住了 .
还有就是注意不要死板 . 尽量多设置几个盘符 , 比如 I,J,K,F. 因为电脑一般有多个 USB 接口 , 好了费话不说接着来 .
实例 5_ 对付文件名伪装的病毒和木马 :
文件名伪装最初是那些菜鸟黑客用的老掉牙的技术 . 可是我们仍不能不防 .
比如 windows 桌面就是 explorer.exe 那么黑客现在把 explorer.exe 其中的字母 L 和 O 换成数字的 0 和 1. 怎样 ? 眼睛疼了吧看得你吐血 , 你也不见得看清 . 有些病毒还会老到以 .pif 为后缀 . 他和 .exe.com 同样是可执行文件 , 但他们的扩展名 , 即使在你选择了显示隐藏文件夹扩展名后 . 都不会显示 . 废话不说 , 写
在路径框中输入 expl0rer.exe 注意把字母 O 换成数字 0 安全级别设置为 " 不允许的 "
在路径框中输入 exp1orer.exe 注意把字母 L 换成数字 1 安全级别设置为 " 不允许的 "
在路径框中输入 exp10rer.exe 注意把字母 L,O 换成数字 1,0 安全级别设置为 " 不允许的 "
在路径框中输入 explorer.com 安全级别设置为 " 不允许的 "
在路径框中输入 *.pif 安全级别设置为 " 不允许的 "
以下是设置好后的图片
二 , 扩展系统防火墙 , 保护 IE 和临时文件
介绍了本地安全策略 - 其他规则 - 路径规则的应用 , 那大家是否发现路径规的安全级别设置似乎只有 " 不允许的 " 和 " 不受限的两种 " 那么惰惰猴再来教大家扩展 , 事实上微软还在 XP 上隐藏了很多安全级别 . 有一个叫基本用户 . 什么意思呢 ? 就是界于管理员和受限帐户之间的用户权限 . 类似 windows Vista 中的大部分权限 . 好 , 废话不说 , 我们马上开启 .
打开注册表 (XP 系统的打开方法是 , 开始 - 运行 -regedit) 找到
HKEY_LOCAL_MACHINE\software\Policies\Microsoft\Windows\Safer\Codeldentifiers 新建一个名为 Levels 的 DWORD 值 . 数值设置为一个十进制数 131072. 关闭注册表 . 重新注销系统 . 然后再登陆 . 打开本地安全策略 ( 运行 secpol.msc) 本地安全策略 - 其他规则 - 路径规则的安全级别设置里就多了个基本用户 . 好下面我们利用基本用户来写出策略 . 防止病毒 , 木马通过捆绑 IE 浏览器感染临时文件夹 .
实例 _1 给 IE 加盾 . 挡住网页挂马
我们可以用基本用户权限来加载 IE 防止木马病毒和恶意网站通过 IE 强行修改系统设置 . 方法同上 , 右击其他规则 , 打开新建路径规则 , 在打开的路径规则栏里输入 %ProgramFiles%InternetExplorer\ieplorer.exe( 浏览器路径位置也可以用浏览定位 ,% 是通配符表示无论该文件夹在硬盘哪个分区都有效 ). 然后在的安全级别设置中选基本用户 . 点击确定后退出 , 在运行中输入 gpupdate /force(/ 号前有空格 ) 回车执行刷新组策略设置 . 这样 IE 在上网时就安全多了 . 最好在把历史记录保存天数设置成 0.
实例 _2 不让临时文件夹成为病毒木马的温床
经常中毒但有心的朋友可能会留意 , 目前大部分网络木马病毒都会感染临时文件夹 temp. 那么惰惰猴就交大家保护 TEMP 文件夹 . 方法同上 :
在路径框中输入 %USERPROFILE%\Local Settings\Temp\*.* 安全级别设置为 " 基本用户 "
在路径框中输入 %USERPROFILE%\Local Settings\Temp\**\** 安全级别设置为 " 基本用户 "
修改完后 , 在运行中输入 gpupdate /force(/ 号前有空格 ) 回车执行刷新组策略设置 .
这样一个免费的 HIPS 防火墙就做好了 , 那接下来我们要做的就是在编好规则后加固系统 . 由于篇幅过大 . 惰惰猴只有分成上 , 下两篇帖子来介绍用 windows XP 专业版 系统自造黑客的 HIPS 防御体系 . 上篇就说到这里 . 希望朋友们能举一反三 . 不要拘泥于形式 , 有兴趣的朋友且看我敢 " 裸奔 " 手把手教你提高系统免疫力 唾弃 VB100 的下篇 .