设为首页
收藏本站
我不能发帖?
请关注天意的微信公众号
登录
|
注册
我的中心
提醒
设置
退出
网站首页
论坛
BBS
排行榜
Ranklist
网址导航
VIP≡邀请码
WinPE教程
搜索
搜索
本版
帖子
用户
天意U盘维护系统讨论区
»
论坛
›
软件硬件交流
›
杀软防护安全
›
【※合理利用散列规则打造软件防火墙※系统收藏】
返回列表
发新帖
查看:
3893
|
回复:
6
【※合理利用散列规则打造软件防火墙※系统收藏】
[复制链接]
860700672
860700672
当前离线
IP卡
狗仔卡
发表于 2013-8-27 17:47:09
|
显示全部楼层
|
阅读模式
【※合理利用散列规则打造软件防火墙※系统收藏】
绿色兵团
在大家开始阅读之前,想问问战友们,你们是如何禁止指定的程序运行的?是不是以下这两种方法呀?
方法A:组策略(可指定运行或指定禁止运行)
组策略中的禁用程序功能 运行“gpedit.msc”命令打开组策略控制台,在里面展开“用户配置-管理模板-系统”,
方法B:镜像劫持
例如运行 QQ ,实际上启动 ctfmon,系统将没有任何提示。 ,
你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。 ?|/K(}
reg add HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsqq.exe /v debugger /t reg_sz /d C:WINDOWSsystem32ctfmon.exe /f
_P!b0x 32~\
]jC{o,?s
呵呵,如果你的答案是“Yes”,那么恭喜你,你在WIIN战队是高手!
ACi,$Uq6R
不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。
[Eccj`\e g
gzn:]Y^
A、开始--运行--spcpol.msc
`2LmLFkb
打开“本地安全设置”,选择“软件限制策略”--“创建新的策略”,创建之后单击“其他规则”,右侧区域将显示规则内容(绝对不要更改其中原有规则,不信你自己收拾崩溃的系统)
oA@M =
/R 32MtCa~
B、在右侧区域右击选择“新路径规则”,打开“新路径规则”对话框。
M2p|&Z%
在“新路径规则”对话框的路径文本框中输入“?:*.*”,安全级别设置为“不允许”,确定既可。 H#D:'B j29
然后依次将下列目录的安全级别设置为“不允许” nDO 7
1)?:System Volume Information :$k1I-^R
2)C
ocumenrs and Settings*Local SettingSTemporary Internet Files 1.k=ji$D0
3)?:Recycled XHj%U
4)?:RECYCLER 0C> _aj
5)C:WindowsDownloaded Program Files E:B"!Y6
6)C:Windowssystem #: 32:+# G
7)C:WindowsTsaks @s cn ?t
8)C:WindowsTemp X/c 32b1#
9)C:Windowssystme32Com d/j?.\
10)C:Windowssystme32drivers u&uFXOc'
11)C
ocumenrs and Settings*Local SettingSTemp L(K 5f7\
12)C
rogram FilesCommon Files
%L- qAI&V
C、在右侧区域右击,选择“新散列规则”,单击“浏览”按钮,定位到“C:Windowssystme32 et.exe”文件,选择打开,将安全级别设置为“不允许的”,并填入描述“net.exe”以便归类区分。
k(^TXUK\o
D、如不对系统进行设置和安全软件的绝对系统,可加上“C:Windowssystme32 rundll32.exe” 的散列规则,
windows7旗舰版
同样设置为“不允许的”。
a 32aCRZKr
IB| 6\u 32Kn
E、如果真的要彻底全自动,考虑这样的思路进行: b way+lh
1、用VBS或BAT,读取“禁止列表”,并写入变量,主要是程序全路径。 P?f${ t+
2、用VBS的sendkeys,模拟键盘操作GPEDIT.MSC添加这些变量。 ;YY<KuT
3、vbs或bat复制本机的Registry.pol,并远程登陆覆盖目标机器的文件。
oF>`>
qhvT,"
F、先在自己机器上手动配置好要限制的程序和路径(不允许的),或者指定路径下的程序运行(不受限的)。 WwTl|wgvyI
然后选择“显示系统文件,显示所有文件”。 `<d.I%}
按目录复制出C:WINDOWSsystem32GroupPolicygpt.ini ,M? 8s2?
C:WINDOWSsystem32GroupPolicyMachineRegistry.pol Qx,#Hj
最后复制出Registry.pol文件。
5o 5DG
这样做比较适合批量Copy。如果其他机器上要配置,就将Registry.pol文件复制过去。如果要解除所有设置,将Registry.pol文件删除即可。 NYP3u_ QX
在服务器上配置好策略后,把Registry.pol和gpt.ini文件同步到客户机的相同目录里,再运行 gpupdate /force 刷新一下组策略就可以了。
Mz(?_7
hx&fV#m
老规矩,解释一下。
(0Br`%!F
}"WovU{*s
组策略中的路径规则很多人都有所了解,下面说说散列规则:
Z]Ud x
所谓的散列规则,简单的说就是提取一个文件的特征信息,如版本、Hash等,然后根据这些信息判断是否是同一个文件。
/{hT3ncb
由于识别原理的关系,文件散列识别的优点是不论文件名改为什么,只要是同一个文件都能正确识别。但他的优点也是他的缺点,如果用散列规则来实现以上的功能,比如当WindowsUpdate更新了被保护的系统文件,文件版本发生了变更,安全策略就会阻止他的运行,造成系统出错。简而言之就是容易带来兼容性问题。所以一般不使用“新散列规则”。
R[l`# I
散列规则的制作:
Cq/u $G
在“本地计算机配置”——“windows设置”——“安全设置”——“软件限制策略”下右键其他规则→新散列规则,在安全级别中选择“不受限的”。
OAs>F"
注意事项:
u;H^4} OQ
1、路径规则---是不允许的(无论用户的访问权如何,程序都不会运行)。 IFew3!{\
散列规则---是不受限的(程序访问权由用户的访问权来决定)。
*&IvEu
2、路径规则是用来关门的,任何符合“路径”条件的程序都是不能进来运行的。 v\8v'EDP
散列规则是给程序发钥匙的。由于散列规则的级别高于路径规则,所以符合散列规则的程序是可以运行的。 |-{e!&
例如:在正常情况下c:windowssystem32目录中只有14个后缀名为.COM的程序文件,如果有多的话,很可能就是病毒了。我们把系统自带的14个.COM程序分别做散列规则,再做一个c:windowssystem32*.com的路径规则。这样,那14个.COM程序以外的.COM程序都不能运行了。
ca3zY| Oo
还有更多内容可以到
电脑系统优化
这里去看看哦。
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
ray111
ray111
当前离线
IP卡
狗仔卡
发表于 2013-8-27 21:55:50
|
显示全部楼层
文章排版很乱!
回复
支持
反对
使用道具
举报
显身卡
jxjjabcqq
jxjjabcqq
当前离线
IP卡
狗仔卡
发表于 2013-8-28 05:14:33
|
显示全部楼层
不错的知识,学习了,谢谢LZ分享
回复
支持
反对
使用道具
举报
显身卡
shenweiyuan
shenweiyuan
当前离线
IP卡
狗仔卡
发表于 2013-11-27 10:57:43
|
显示全部楼层
学习了,很少会这样做,除非有安全威胁
回复
支持
反对
使用道具
举报
显身卡
大虎一
大虎一
当前离线
IP卡
狗仔卡
发表于 2015-1-2 05:56:35
本帖来自手机发布
|
显示全部楼层
不错的知识,谢谢LZ分享来自: Android客户端
回复
支持
反对
使用道具
举报
显身卡
大虎一
大虎一
当前离线
IP卡
狗仔卡
发表于 2015-1-2 05:56:52
本帖来自手机发布
|
显示全部楼层
支持了,,来自: Android客户端
回复
使用道具
举报
显身卡
yonghui8
yonghui8
当前离线
IP卡
狗仔卡
发表于 2016-6-28 23:46:55
|
显示全部楼层
微信扫描下方二维码,抽取30元话费
回复
支持
反对
使用道具
举报
显身卡
还有一些帖子被系统自动隐藏,点此展开
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表