860700672 发表于 2013-8-27 17:47:09

【※合理利用散列规则打造软件防火墙※系统收藏】

【※合理利用散列规则打造软件防火墙※系统收藏】
绿色兵团
在大家开始阅读之前,想问问战友们,你们是如何禁止指定的程序运行的?是不是以下这两种方法呀?
方法A:组策略(可指定运行或指定禁止运行)
组策略中的禁用程序功能 运行“gpedit.msc”命令打开组策略控制台,在里面展开“用户配置-管理模板-系统”,
方法B:镜像劫持
例如运行 QQ ,实际上启动 ctfmon,系统将没有任何提示。 ,
你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。 ?|/K(}
reg add HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsqq.exe /v debugger /t reg_sz /d C:WINDOWSsystem32ctfmon.exe /f _P!b0x32~\
]jC{o,?s
呵呵,如果你的答案是“Yes”,那么恭喜你,你在WIIN战队是高手! ACi,$Uq6R
不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。 [Eccj`\e g
gzn:]Y^
A、开始--运行--spcpol.msc `2LmLFkb
打开“本地安全设置”,选择“软件限制策略”--“创建新的策略”,创建之后单击“其他规则”,右侧区域将显示规则内容(绝对不要更改其中原有规则,不信你自己收拾崩溃的系统) oA@M =
/R32MtCa~
B、在右侧区域右击选择“新路径规则”,打开“新路径规则”对话框。 M2p|&Z%
在“新路径规则”对话框的路径文本框中输入“?:*.*”,安全级别设置为“不允许”,确定既可。 H#D:'B j29
然后依次将下列目录的安全级别设置为“不允许” nDO 7
1)?:System Volume Information :$k1I-^R
2)C:Documenrs and Settings*Local SettingSTemporary Internet Files 1.k=ji$D0
3)?:Recycled XHj%U
4)?:RECYCLER 0C> _aj
5)C:WindowsDownloaded Program Files E:B"!Y6
6)C:Windowssystem #:32:+# G
7)C:WindowsTsaks @s cn ?t
8)C:WindowsTemp X/c32b1#
9)C:Windowssystme32Com d/j?.\
10)C:Windowssystme32drivers u&uFXOc'
11)C:Documenrs and Settings*Local SettingSTemp L(K 5f7\
12)C:Program FilesCommon Files %L- qAI&V
C、在右侧区域右击,选择“新散列规则”,单击“浏览”按钮,定位到“C:Windowssystme32 et.exe”文件,选择打开,将安全级别设置为“不允许的”,并填入描述“net.exe”以便归类区分。 k(^TXUK\o
D、如不对系统进行设置和安全软件的绝对系统,可加上“C:Windowssystme32 rundll32.exe” 的散列规则,windows7旗舰版同样设置为“不允许的”。 a32aCRZKr
IB| 6\u32Kn
E、如果真的要彻底全自动,考虑这样的思路进行: b way+lh
1、用VBS或BAT,读取“禁止列表”,并写入变量,主要是程序全路径。 P?f${ t+
2、用VBS的sendkeys,模拟键盘操作GPEDIT.MSC添加这些变量。 ;YY<KuT
3、vbs或bat复制本机的Registry.pol,并远程登陆覆盖目标机器的文件。 oF>`>
qhvT,"
F、先在自己机器上手动配置好要限制的程序和路径(不允许的),或者指定路径下的程序运行(不受限的)。 WwTl|wgvyI
然后选择“显示系统文件,显示所有文件”。 `<d.I%}
按目录复制出C:WINDOWSsystem32GroupPolicygpt.ini ,M? 8s2?
C:WINDOWSsystem32GroupPolicyMachineRegistry.pol Qx,#Hj
最后复制出Registry.pol文件。 5o 5DG
这样做比较适合批量Copy。如果其他机器上要配置,就将Registry.pol文件复制过去。如果要解除所有设置,将Registry.pol文件删除即可。 NYP3u_ QX
在服务器上配置好策略后,把Registry.pol和gpt.ini文件同步到客户机的相同目录里,再运行 gpupdate /force 刷新一下组策略就可以了。 Mz(?_7
hx&fV#m
                                                      老规矩,解释一下。 (0Br`%!F
}"WovU{*s
   组策略中的路径规则很多人都有所了解,下面说说散列规则: Z]Ud x
   所谓的散列规则,简单的说就是提取一个文件的特征信息,如版本、Hash等,然后根据这些信息判断是否是同一个文件。 /{hT3ncb
   由于识别原理的关系,文件散列识别的优点是不论文件名改为什么,只要是同一个文件都能正确识别。但他的优点也是他的缺点,如果用散列规则来实现以上的功能,比如当WindowsUpdate更新了被保护的系统文件,文件版本发生了变更,安全策略就会阻止他的运行,造成系统出错。简而言之就是容易带来兼容性问题。所以一般不使用“新散列规则”。 R[l`# I
   散列规则的制作: Cq/u $G
   在“本地计算机配置”——“windows设置”——“安全设置”——“软件限制策略”下右键其他规则→新散列规则,在安全级别中选择“不受限的”。 OAs>F"
注意事项: u;H^4} OQ
1、路径规则---是不允许的(无论用户的访问权如何,程序都不会运行)。 IFew3!{\
   散列规则---是不受限的(程序访问权由用户的访问权来决定)。 *&IvEu
2、路径规则是用来关门的,任何符合“路径”条件的程序都是不能进来运行的。 v\8v'EDP
      散列规则是给程序发钥匙的。由于散列规则的级别高于路径规则,所以符合散列规则的程序是可以运行的。 |-{e!& 
       例如:在正常情况下c:windowssystem32目录中只有14个后缀名为.COM的程序文件,如果有多的话,很可能就是病毒了。我们把系统自带的14个.COM程序分别做散列规则,再做一个c:windowssystem32*.com的路径规则。这样,那14个.COM程序以外的.COM程序都不能运行了。 ca3zY| Oo
还有更多内容可以到电脑系统优化这里去看看哦。

ray111 发表于 2013-8-27 21:55:50

文章排版很乱!

jxjjabcqq 发表于 2013-8-28 05:14:33

不错的知识,学习了,谢谢LZ分享

shenweiyuan 发表于 2013-11-27 10:57:43

学习了,很少会这样做,除非有安全威胁

大虎一 发表于 2015-1-2 05:56:35

不错的知识,谢谢LZ分享

大虎一 发表于 2015-1-2 05:56:52

支持了,,

yonghui8 发表于 2016-6-28 23:46:55

微信扫描下方二维码,抽取30元话费
http://weixin.youkeng.me/q.jpg
页: [1]
查看完整版本: 【※合理利用散列规则打造软件防火墙※系统收藏】