網站公告列表
加入收藏
設為首頁
聯系站長
您現在的位置: 福州電腦之家 >> 文章中心 >> 病毒木馬 >> 正文
  [推薦]教你布置主機病毒防御系統           ★★★ 【字體:
教你布置主機病毒防御系統
作者:Fzpchome    文章來源:本站原創    點擊數:    更新時間:2008-9-16
 

如今的互聯網不管是病毒木馬還是殺軟幾乎都讓我們頭疼,那么病毒木馬會干些什么呢?廢話嘛,當然是拖慢系統,讓系統故障,破壞數據,甚至讓系統無法啟動.那殺軟就會阻止病毒和木馬的破壞,那么越是檢查嚴格的殺軟就越是占用系統的資源,如果你硬件配置不高而以為追求高性能殺軟,,反而得不償失.病毒拖慢系統,殺軟也拖慢系統.而且病毒木馬出生在前,殺軟跟進在后.厲害關系盡人皆知.但是如果我們建立了HIPS賦予系統免疫力讓系統能防御受到的病毒和木馬的攻擊,那黑客還能怎么辦?下面一步步來教大家如何布置主機防御系統。

一,堵住路口,啟用系統自帶防火墻

打開始菜單-開運行輸入secpol.msc開啟本地安全策略(XP專業版本才有,XP HOME沒有).右擊軟件限制策略,選擇創建新的策略.然后軟件限制策略下會自動創建多個子項..別的地方都不用改.其他規則才是我們要任意發揮水平的地方.注意其他規則里有系統默認的四個注冊表規則,不能修改,否則系統將崩潰.現在再右擊"其他規則".會發現他的菜單里有個新路徑規則.好我們就要在路徑規則里做文章.這里允許使用通配符",""?""%"比如"%windows%"就表示c:\windows d:\windows等不管你windows文件夾在哪個分區,都給你認出來.





實例1_杜絕陰暗角落的襲擊:

很多病毒木馬為了逃過用戶的追殺都藏在很隱秘的地方,比如回收站,System Volume Information(系統還原文件夾)等,加上隱藏屬性,用戶很難發覺.而實際上這些文件夾在正常情況下是不會有任何可執行程序的.所以我們可以建立如下規則(右擊其他規則,在菜單中選擇新建路徑規則):

在路徑框中輸入 ?:\Recycled\*.* 安全級別設置為"不允許的"

特別注意。如果分區文件系統是NTFS,在Windows的NT架構的系統中,即Windows NT/2000/XP/2003,會為系統中的每位用戶創建各自的回收站文件夾,如果分區文件系統是NTFS,則會保存在Recycler這個文件夾里,而不是Recycled文件夾,因此不用擔心是病毒文件夾。則會保存在Recycler這個文件夾里.(在這特別感謝發現問題的cml45朋友)那我們應該:

在路徑框中輸入 ?:\Recycler\*.* 安全級別設置為"不允許的"

在路徑框中輸入 ?:\System Volume Information\*.* 安全級別設置為"不允許的"

在路徑框中輸入 %windir%\system32\Drivers\*.* 安全級別設置為"不允許的"

在路徑框中輸入 %windir%\system\*.* 安全級別設置為"不允許的"

通過這四條規則就能屏蔽掉該四個文件夾下任意可執行文件的運行.完美防御了這一類病毒木馬的進攻.放心這種格式是不會秒殺掉諸如.txt .jpg

這樣的文本或者圖片文件的.至于這四個文件的功能和重要性,菜鳥自己去百度知道.惰惰猴不想費口水.

實例2_杜絕仿冒危險程序:

進程仿冒是病毒和木馬用得最多的手段.比如system32文件夾下的svchost.exe系統文件,病毒就可以同樣用svchost.exe命名,然后放到windows其他任意文件夾下.那運行是XP默認的任務管理器就只會顯示svchost.exe進程,而XP正常情況下本來就有很多個svchost.exe進程.這就欺騙了一般的用戶.而一般的殺軟也只有干瞪眼.本地安全策略則可以永久的免疫這種方式的木馬和病毒.我們只需兩條規則(右擊其他規則,在菜單中選擇新建路徑規則,在路徑中寫規則):

在路徑框中輸入 svchost.exe 安全級別設置為"不允許的"

在路徑框中輸入 %windir%\system32\svchost.exe 安全級別設置為"不受限的"注意是不受限的

學過程序的人知道優先級關系,那么第二條使用絕對路徑的優先級高于第一條基于文件名的路徑.也就是system32下的svchost.exe是允許運行的,而其他任意文件夾下的svchost.exe都是是不允許運行的.

實例3_杜絕雙面病毒木馬:

用雙擴展名迷惑用戶的病毒木馬也不少.比如mv.jpg.exe 免費得QQ會員的方法.txt.exe等等,再改個擴展名圖標,不少火候不夠熱愛裝逼的系統偽高手們就會誤以為是個圖片文件和文本文件而掉以輕心.中毒再所難免.

安全策略就能阻止,當然這可以自由發揮惰惰猴只舉兩個例子右擊其他規則,在菜單中選擇新建路徑規則,在路徑中寫規則):

在路徑框中輸入 *.jpg.exe 安全級別設置為"不允許的"

在路徑框中輸入 *.txt.exe 安全級別設置為"不允許的"

實例4_不禁用U盤,光驅也能防U盤,光驅,病毒

假設你的U盤或者光驅的盤符是G和I

在路徑框中輸入 G:\*.exe 安全級別設置為"不允許的"

在路徑框中輸入 G:\*.com 安全級別設置為"不允許的"

當然如果你需要用光驅安裝軟件或者程序的時候就要把G:\*.exe和G:\*.com 改成不受限的.

防止U盤病毒那么就:

在路徑框中輸入 I:\*.exe 安全級別設置為"不允許的"

在路徑框中輸入 I:\*.com 安全級別設置為"不允許的"

一般的U盤病毒還會自己在U盤根目錄下建立隱藏的System Volume Information文件夾和Recycled文件夾(哈哈,Recycled其實就是回收站文件夾)那么我給的第一個策略就擋住了.

還有就是注意不要死板.盡量多設置幾個盤符,比如I,J,K,F.因為電腦一般有多個USB接口.

徹底切除病毒伸向U盤的黑手:

打開注冊表.展開HKEY_CLASSES_ROOT\scriping.FileSystemObject項.重命名為HKEY_CLASSES_ROOT\scriping.FileSystemObject_NEW重啟電腦后木馬就無法利用FSO自動復制了.(FSO是ileSystemObject的縮寫,不同的程序語言,比如vc,vb,js腳本都能利用FSO的支持用同一方法對文件進行操作,常常被病毒利用來自身復制).

禁止自動播放,加固USB:

打開注冊表(開始-運行-regedit)展開分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer在右側的側窗格中可以看到NoDriveTypeAutoRun的鍵值。這個鍵值就是指那些盤符類型,可以禁止自動播放功能,比如光盤和可移動硬盤等。

默認值中的數字式0x00000091(是十六進制數,其實就是十進制的145)。那么這個數字怎么修改呢?打開windows附件中的計算器,選擇菜單“查看-科學計算”,然后在“十進制”狀態下輸入145,然后切換到二進制,怎樣看到數字10010001(注意這個二進制數是從右向左看的)



[1] [2] [3] [4] [5] 下一頁


文章錄入:福州電腦之家    責任編輯:福州電腦之家 
  • 上一篇文章:

  • 下一篇文章:
  • 發表評論】【加入收藏】【告訴好友】【打印此文】【關閉窗口
    最新熱點 最新推薦 相關文章
    沒有相關文章
      網友評論:(只顯示最新10條。評論內容只代表網友觀點,與本站立場無關!)

    福州電腦之家版權所有 © 2006-2012 閩ICP備07018455號

    福建体彩36选7开奖