提高系统运行速度,阻止木马病毒程序运行 软件限制策略
导读:
目的:提高系统运行速度,阻止木马病毒程序运行。
一、准备工作 :
1、点我的电脑→工具→文件夹选项→查看,
去掉“隐藏受保护的操作系统文件”和“隐藏已知文件类型的扩展名”前的对勾。
选中“显示所有文件和文件夹”。
2、打开本地安全设置窗口,
点开始→运行→输入secpol.msc /s→确定(或者点开始→控制面板→管理工具→
本地安全策略)。
3、打开本地安全设置窗口后,依次展开:计算机配置—WINDOWS设置→安全设置
4、右键软件限制策略→创建新的策略。单击软件限制策略→打开指派的文件类型→
选中扩展为LNK的项→删除。
在“文件扩展名”的方框中填入dll,添加→应用→确定。
二、“路径规则”和“散列规则”的制作:
制作软件限制策略:主要是做“路径规则”和“散列规则”。
1、路径规则的制作:展开软件限制策略→右键其他规则→新路径规则,在安全级别中
选择“不允许的”,将《路径规则和散列规则制作表》中路径规则一栏的内容复制到
“路径”方框中,应用→确定。
路径规则制作图:
2、散列规则的制作:右键其他规则→新散列规则,在安全级别中选择“不受限的”
,★点浏览,根据《路径规则和散列规则制作表》中指定的目录找到散列规则一栏
的程序文件,并双击之(或点打开),文件散列框中的内容将会自动填入(
★这里是不能用复制的)。应用→确定。
散列规则制作图
三、其他:
1、★切记:
路径规则---是不允许的(无论用户的访问权如何,程序都不会运行)。
散列规则---是不受限的(程序访问权由用户的访问权来决定)。
2、路径规则是用来关门的,任何符合“路径”条件的程序都是不能进来运行的。
散列规则是给程序发钥匙的。由于散列规则的级别高于路径规则,所以符合散列
规则的程序是可以运行的。
例如:在正常情况下c:/windows/system32目录中只有14个后缀名为.COM的程序文件,
如果有多的话,很可能就是病毒了。我们把系统自带的14个.COM程序分别做散列规则,
再做一个c:/windows/system32/*.com的路径规则。
这样,那14个.COM程序以外的.COM程序都不能运行了。
例图:
3、每个散列规则必定有对应的路径规则(1比1或若干个比1的对应都是可以的)。
但是路径规则不一定有对应的散列规则。例如:在某路径中(如临时文件夹)不允许存
在任何应用程序,就只做路径规则,而不做散列规则了。
4、不要删除和更改软件限制策略中系统自建的4条规则。
5、 如果应用软件限制策略出现预期之外的问题,请以安全模式启动计算机修正策略。
6、当你打开某个自己安装的某个程序,出现“由于一个路径限制策略的阻止,
WINDOWS无法打开此程序”的提示时,你可将该程序做一个散列规则就OK啦。
进入本地安全策略的路径:
1:开始-设置-控制面板-管理工具-本地安全策略
2:直接运行secpol.msc /s就能打开管理工具。
即时刷新命令gpupdate.exe /wait:-1
路径规则和散列规则制作表
用户文件目录限制
01 路径 不允许的 %USERPROFILE%/桌面/*.*
禁止当前用户桌面上所有文件的运行
02 路径 不允许的 %USERPROFILE%/Local Settings/Temp/*.*
禁止当前用户临时文件目录下,不含子目录,所有文件的运行
03 路径 不允许的 %USERPROFILE%/Local Settings/Temporary Internet Files/*.*
禁止当前用户临时文件目录下,不含子目录,所有文件的运行
04 路径 不允许的 *.BAT
禁止任何路径下的批处理文件运行
05 路径 不允许的 *.SCR
禁止任何路径下的.scr(屏幕保护)文件运行
06 路径 不允许的 C:/*.*
禁止C:/根目录下所有文件的运行
07 路径 不允许的 C:/Program Files/*.*
此目录下不应有可执行文件!禁止此级目录下,不含子目录,所有文件的运行
08 路径 不允许的 C:/Program Files/Common Files/*.*
此目录下不应有可执行文件!禁止此级目录下,不含子目录,所有文件的运行
09 路径 不允许的 C:/WINDOWS/Temp/*.*
禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行
10 路径 不允许的 C:/WINDOWS/Config/*.*
此目录下不应有可执行文件!禁止此级目录下,不含子目录,所有文件的运行
11 路径 不允许的 C:/WINDOWS/system32/*.LOG
此级目录下不应该有后缀名为LOG的文件
12 路径 不允许的 C:/WINDOWS/system32/drivers/*.*
此目录下不应有可执行文件!禁止此级目录下,不含子目录,所有文件的运行
13 路径 不允许的 C:/WINDOWS/Downloaded Program Files/*.*
禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行
IE限制策略 路径1 散列3
14 路径 不允许的 C:/Program Files/Internet Explorer/*.*
此目录下只有以下3个文件。禁止IE目录下,不含子目录,所有文件的运行
15 散列 不受限的 HMMAPI.DLL (6.0.3790.1830)
所在位置:C:/Program Files/Internet Explorer, 赋予HMMAPI.DLL可运行权限,此文件为ie运行时需调用的动态链接库文件
16 散列 不受限的 IEDW.EXE (5.2.3790.2732)
所在位置:C:/Program Files/Internet Explorer, 赋予IEDW.EXE可运行权限,这个是微软新加的IE崩溃检测程序,当IE运行中崩溃时,插件以及崩溃管理系统将分析崩溃时都运行了那些插件,并提交给用户。
17 散列 不受限的 IEXPLORE.EXE (6.0.3790.1830)
所在位置:C:/Program Files/Internet Explorer, 赋予IEXPLORE.EXE可运行权限,这是Microsoft Internet Explorer的主程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
SYSTEM32目录下容易被木马伪装的EXE 路径20 散列20
18 路径 不允许的 CSRSS.*
阻止任何目录下的伪装成系统文件csrss.exe程序的运行
19 散列 不受限的 CSRSS.EXE (5.2.3790.0)
所在位置:C:/WINDOWS/system32,csrss.exe是系统的正常进程。是核心部分,客户端服务子系统,用以控制图形相关子系统。系统中只有一个CSRSS.EXE进程,若以上系统中出现两个(其中一个位于Windows文件夹中),则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。
20 路径 不允许的 LSASS.*
阻止任何目录下的伪装成系统文件LSASS.EXE程序的运行
21 散列 不受限的 LSASS.EXE (5.2.3790.0)
所在位置:C:/WINDOWS/system32,lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
22 路径 不允许的 RUND??32.*
阻止任何目录下的伪装成系统文件RUNDLL32.EXE程序的运行
23 散列 不受限的 RUNDLL32.EXE (5.2.3790.1830)
所在位置:C:/WINDOWS/system32,Rundll32为了需要调用DLLs的程序
24 路径 不允许的 SMSS.*
阻止任何目录下的伪装成系统文件SMSS.EXE程序的运行
25 散列 不受限的 SMSS.EXE (5.2.3790.1830)
所在位置:C:/WINDOWS/system32,SMSS.EXE进程为会话管理子系统用以初始化系统变量,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应。注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%/SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,
26 路径 不允许的 SVCH?ST.*
阻止任何目录下的伪装成系统文件SVCHOST.EXE程序的运行
27 散列 不受限的 SVCHOST.EXE (5.2.3790.1830)
所在位置:C:/WINDOWS/system32,Service?Host?Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows/system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。在XP中一般有4个以上的Svchost.exe服务进程,Svchost.exe是系统的核心进程,不是病毒进程只会在C:/Windows/System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了
28 路径 不允许的 WIN??G?N.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
29 散列 不受限的 WINLOGON.EXE (5.2.3790.1830)
所在位置:C:/WINDOWS/system32,WinLogon.exe是Windows?NT登陆管理器。它用于处理系统的登陆和登陆过程。该进程非常重要。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除
30 散列 不受限的 alg.exe
所在位置:C:/WINDOWS/system32,alg.exe用于处理Windows网络连接共享和网络连接防火墙。这个程序对系统正常运行非常重要
31 路径 不允许的 a?g.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
32 散列 不受限的 cmd.exe
所在位置:C:/WINDOWS/system32,cmd.exe是一个32位的命令行程序,这不是纯粹的系统程序,如果终止它,可能会导致不可知的问题
33 路径 不允许的 cmd.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
34 散列 不受限的 conime.exe
所在位置:C:/WINDOWS/system32,
35 路径 不允许的 c?nime.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
36 散列 不受限的 dllhost.exe
所在位置:C:/WINDOWS/system32,dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。
37 路径 不允许的 d??h?st.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
38 散列 不受限的 dxdiag.exe
所在位置:C:/WINDOWS/system32,DirectX 检测程序,运行检测本机硬件加速情况
39 路径 不允许的 dxdiag.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
40 散列 不受限的 notepad.exe
所在位置:C:/WINDOWS/system32,notepad.exe是Windows自带的记事本程序
41 路径 不允许的 n?tepad.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
42 散列 不受限的 progman.exe
所在位置:C:/WINDOWS/system32,progman.exe是从Windows3.0延续下来的“程序管理器”,相当于现在的Explorer.exe。
43 路径 不允许的 pr?gman.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
44 散列 不受限的 regedt32.exe
所在位置:C:/WINDOWS/system32,Regedt32.exe是Windows的配置编辑器。它用于修改Windows配置数据库或注册表使用它修改注册表值时必须格外小心。注册表中的值丢失或不正确将导致安装的 Windows无法使用。
45 路径 不允许的 regedt32.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
46 散列 不受限的 runas.exe
所在位置:C:/WINDOWS/system32,conime.exe是输入法编辑器相关程序。注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程
47 路径 不允许的 runas.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
48 散列 不受限的 services.exe
所在位置:C:/WINDOWS/system32,services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。也会处理在计算机启动和关机时运行服务。这个程序对系统是非常重要的。不过services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马。
49 路径 不允许的 services.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
50 散列 不受限的 sndvol32.exe
所在位置:C:/WINDOWS/system32,Windows声音控制进程在任务栏驻留用以控制音量和声卡相关
51 路径 不允许的 sndv??32.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
52 散列 不受限的 spoolsv.exe
所在位置:C:/WINDOWS/system32,Windows打印服务相关
53 路径 不允许的 sp???sv.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
54 散列 不受限的 taskmgr.exe
所在位置:C:/WINDOWS/system32,taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
55 路径 不允许的 taskmgr.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
56 散列 不受限的 user.exe
所在位置:C:/WINDOWS/system32,
57 路径 不允许的 user.*
(阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)
windows/system32下面的后缀为COM的14个文件
58 路径 不允许的 *.COM
禁止任何路径下的.com文件运行
59 散列 不受限的 chcp.com
所在位置:C:/WINDOWS/system32,显示活动控制台代码页数量
60 散列 不受限的 command.com
所在位置:C:/WINDOWS/system32,是32位msdos环境下的命令解释器
61 散列 不受限的 diskcomp.com
所在位置:C:/WINDOWS/system32,比较两张软盘的内容
62 散列 不受限的 diskcopy.com
所在位置:C:/WINDOWS/system32,将软盘的内容复制到目标驱动器中
63 散列 不受限的 edit.com
所在位置:C:/WINDOWS/system32,文本文件编辑程序
64 散列 不受限的 format.com
所在位置:C:/WINDOWS/system32,磁盘格式化程序
65 散列 不受限的 graftabl.com
所在位置:C:/WINDOWS/system32,启用可在图形模式下显示扩展字符集的功能
66 散列 不受限的 graphics.com
所在位置:C:/WINDOWS/system32
67 散列 不受限的 kb16.com
所在位置:C:/WINDOWS/system32
68 散列 不受限的 loadfix.com
所在位置:C:/WINDOWS/system32
69 散列 不受限的 mode.com
所在位置:C:/WINDOWS/system32,显示系统状态更改系统设置或重新配置端口或设备
70 散列 不受限的 more.com
所在位置:C:/WINDOWS/system32,管道命令每次显示一个输出屏幕
71 散列 不受限的 tree.com
所在位置:C:/WINDOWS/system32,图像化显示路径或驱动器中磁盘的目录结构
72 散列 不受限的 win.com
所在位置:C:/WINDOWS/system32
windows里做9个必要的散列
73 路径 不允许的 C:/WINDOWS/*.exe
禁止临时文件目录下,不含子目录,所有文件的运行,以阻止某些木马程序文件的运行
74 路径 不允许的 EXP??RER.*
阻止任何目录下的伪装成系统文件explorer.exe程序的运行
75 散列 不受限的 EXPLORER.EXE (6.0.3790.1830)
所在位置:C:/WINDOWS,EXPLORER.EXE用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。这是一个用户的shell,它对windows系统的稳定性还是比较重要的
76 散列 不受限的 hh.exe
所在位置:C:/WINDOWS
77 散列 不受限的 regedit.exe
所在位置:C:/WINDOWS 注册表编辑器
78 散列 不受限的 bb
所在位置:C:/WINDOWS
79 散列 不受限的 taskman.exe
所在位置:C:/WINDOWS
80 散列 不受限的 twunk_16.exe
所在位置:C:/WINDOWS
81 散列 不受限的 twunk_32.exe
所在位置:C:/WINDOWS
82 散列 不受限的 winhelp.exe
所在位置:C:/WINDOWS
83 散列 不受限的 winhlp32.exe
所在位置:C:/WINDOWS
本文转自
http://hi.baidu.com/wqch04f/blog/item/9789edfbc5e7f7214e4aea0c.html