网站公告列表
加入收藏
设为首页
联系站长
您现在的位置: 福州电脑之家 >> 文章中心 >> 病毒木马 >> 正文
  [推荐]教你布置主机病毒防御系统           ★★★ 【字体:
教你布置主机病毒防御系统
作者:Fzpchome    文章来源:本站原创    点击数:    更新时间:2008-9-16
 

如今的互联网不管是病毒木马还是杀软几乎都让我们头疼,那么病毒木马会干些什么呢?废话嘛,当然是拖慢系统,让系统故障,破坏数据,甚至让系统无法启动.那杀软就会阻止病毒和木马的破坏,那么越是检查严格的杀软就越是占用系统的资源,如果你硬件配置不高而以为追求高性能杀软,,反而得不偿失.病毒拖慢系统,杀软也拖慢系统.而且病毒木马出生在前,杀软跟进在后.厉害关系尽人皆知.但是如果我们建立了HIPS赋予系统免疫力让系统能防御受到的病毒和木马的攻击,那黑客还能怎么办?下面一步步来教大家如何布置主机防御系统。

一,堵住路口,启用系统自带防火墙

打开始菜单-开运行输入secpol.msc开启本地安全策略(XP专业版本才有,XP HOME没有).右击软件限制策略,选择创建新的策略.然后软件限制策略下会自动创建多个子项..别的地方都不用改.其他规则才是我们要任意发挥水平的地方.注意其他规则里有系统默认的四个注册表规则,不能修改,否则系统将崩溃.现在再右击"其他规则".会发现他的菜单里有个新路径规则.好我们就要在路径规则里做文章.这里允许使用通配符",""?""%"比如"%windows%"就表示c:\windows d:\windows等不管你windows文件夹在哪个分区,都给你认出来.





实例1_杜绝阴暗角落的袭击:

很多病毒木马为了逃过用户的追杀都藏在很隐秘的地方,比如回收站,System Volume Information(系统还原文件夹)等,加上隐藏属性,用户很难发觉.而实际上这些文件夹在正常情况下是不会有任何可执行程序的.所以我们可以建立如下规则(右击其他规则,在菜单中选择新建路径规则):

在路径框中输入 ?:\Recycled\*.* 安全级别设置为"不允许的"

特别注意。如果分区文件系统是NTFS,在Windows的NT架构的系统中,即Windows NT/2000/XP/2003,会为系统中的每位用户创建各自的回收站文件夹,如果分区文件系统是NTFS,则会保存在Recycler这个文件夹里,而不是Recycled文件夹,因此不用担心是病毒文件夹。则会保存在Recycler这个文件夹里.(在这特别感谢发现问题的cml45朋友)那我们应该:

在路径框中输入 ?:\Recycler\*.* 安全级别设置为"不允许的"

在路径框中输入 ?:\System Volume Information\*.* 安全级别设置为"不允许的"

在路径框中输入 %windir%\system32\Drivers\*.* 安全级别设置为"不允许的"

在路径框中输入 %windir%\system\*.* 安全级别设置为"不允许的"

通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行.完美防御了这一类病毒木马的进攻.放心这种格式是不会秒杀掉诸如.txt .jpg

这样的文本或者图片文件的.至于这四个文件的功能和重要性,菜鸟自己去百度知道.惰惰猴不想费口水.

实例2_杜绝仿冒危险程序:

进程仿冒是病毒和木马用得最多的手段.比如system32文件夹下的svchost.exe系统文件,病毒就可以同样用svchost.exe命名,然后放到windows其他任意文件夹下.那运行是XP默认的任务管理器就只会显示svchost.exe进程,而XP正常情况下本来就有很多个svchost.exe进程.这就欺骗了一般的用户.而一般的杀软也只有干瞪眼.本地安全策略则可以永久的免疫这种方式的木马和病毒.我们只需两条规则(右击其他规则,在菜单中选择新建路径规则,在路径中写规则):

在路径框中输入 svchost.exe 安全级别设置为"不允许的"

在路径框中输入 %windir%\system32\svchost.exe 安全级别设置为"不受限的"注意是不受限的

学过程序的人知道优先级关系,那么第二条使用绝对路径的优先级高于第一条基于文件名的路径.也就是system32下的svchost.exe是允许运行的,而其他任意文件夹下的svchost.exe都是是不允许运行的.

实例3_杜绝双面病毒木马:

用双扩展名迷惑用户的病毒木马也不少.比如mv.jpg.exe 免费得QQ会员的方法.txt.exe等等,再改个扩展名图标,不少火候不够热爱装逼的系统伪高手们就会误以为是个图片文件和文本文件而掉以轻心.中毒再所难免.

安全策略就能阻止,当然这可以自由发挥惰惰猴只举两个例子右击其他规则,在菜单中选择新建路径规则,在路径中写规则):

在路径框中输入 *.jpg.exe 安全级别设置为"不允许的"

在路径框中输入 *.txt.exe 安全级别设置为"不允许的"

实例4_不禁用U盘,光驱也能防U盘,光驱,病毒

假设你的U盘或者光驱的盘符是G和I

在路径框中输入 G:\*.exe 安全级别设置为"不允许的"

在路径框中输入 G:\*.com 安全级别设置为"不允许的"

当然如果你需要用光驱安装软件或者程序的时候就要把G:\*.exe和G:\*.com 改成不受限的.

防止U盘病毒那么就:

在路径框中输入 I:\*.exe 安全级别设置为"不允许的"

在路径框中输入 I:\*.com 安全级别设置为"不允许的"

一般的U盘病毒还会自己在U盘根目录下建立隐藏的System Volume Information文件夹和Recycled文件夹(哈哈,Recycled其实就是回收站文件夹)那么我给的第一个策略就挡住了.

还有就是注意不要死板.尽量多设置几个盘符,比如I,J,K,F.因为电脑一般有多个USB接口.

彻底切除病毒伸向U盘的黑手:

打开注册表.展开HKEY_CLASSES_ROOT\scriping.FileSystemObject项.重命名为HKEY_CLASSES_ROOT\scriping.FileSystemObject_NEW重启电脑后木马就无法利用FSO自动复制了.(FSO是ileSystemObject的缩写,不同的程序语言,比如vc,vb,js脚本都能利用FSO的支持用同一方法对文件进行操作,常常被病毒利用来自身复制).

禁止自动播放,加固USB:

打开注册表(开始-运行-regedit)展开分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer在右侧的侧窗格中可以看到NoDriveTypeAutoRun的键值。这个键值就是指那些盘符类型,可以禁止自动播放功能,比如光盘和可移动硬盘等。

默认值中的数字式0x00000091(是十六进制数,其实就是十进制的145)。那么这个数字怎么修改呢?打开windows附件中的计算器,选择菜单“查看-科学计算”,然后在“十进制”状态下输入145,然后切换到二进制,怎样看到数字10010001(注意这个二进制数是从右向左看的)



[1] [2] [3] [4] [5] 下一页


文章录入:福州电脑之家    责任编辑:福州电脑之家 
  • 上一篇文章:

  • 下一篇文章:
  • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    没有相关文章
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)

    福州电脑之家版权所有 © 2006-2012 闽ICP备07018455号