查看: 3571|回复: 6

【※合理利用散列规则打造软件防火墙※系统收藏】

[复制链接]
发表于 2013-8-27 17:47:09 | 显示全部楼层 |阅读模式
【※合理利用散列规则打造软件防火墙※系统收藏】
绿色兵团  
在大家开始阅读之前,想问问战友们,你们是如何禁止指定的程序运行的?是不是以下这两种方法呀?

方法A:组策略(可指定运行或指定禁止运行)
组策略中的禁用程序功能 运行“gpedit.msc”命令打开组策略控制台,在里面展开“用户配置-管理模板-系统”,
方法B:镜像劫持
例如运行 QQ ,实际上启动 ctfmon,系统将没有任何提示。 ,
你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。 ?|/K(}  
reg add HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsqq.exe /v debugger /t reg_sz /d C:WINDOWSsystem32ctfmon.exe /f
_P!b0x32~\  
]jC{o,?s  
呵呵,如果你的答案是“Yes”,那么恭喜你,你在WIIN战队是高手! ACi,$Uq6R  
不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。 [Eccj`\e g  
gzn:]Y^  
A、开始--运行--spcpol.msc `2LmLFkb  
打开“本地安全设置”,选择“软件限制策略”--“创建新的策略”,创建之后单击“其他规则”,右侧区域将显示规则内容(绝对不要更改其中原有规则,不信你自己收拾崩溃的系统) oA@M =  
/R32MtCa~  
B、在右侧区域右击选择“新路径规则”,打开“新路径规则”对话框。 M2p|&Z%  
在“新路径规则”对话框的路径文本框中输入“?:*.*”,安全级别设置为“不允许”,确定既可。 H#D:'B j29  
  然后依次将下列目录的安全级别设置为“不允许” nDO 7  
  1)?:System Volume Information :$k1I-^R  
  2)Cocumenrs and Settings*Local SettingSTemporary Internet Files 1.k=ji$D0  
  3)?:Recycled XHj%U  
  4)?:RECYCLER 0C> _aj  
  5)C:WindowsDownloaded Program Files E:B"!Y6  
  6)C:Windowssystem #:32:+# G  
  7)C:WindowsTsaks @s cn ?t  
  8)C:WindowsTemp X/c32b1#  
  9)C:Windowssystme32Com d/j?.\  
  10)C:Windowssystme32drivers u&uFXOc'  
  11)Cocumenrs and Settings*Local SettingSTemp L(K 5f7\  
  12)Crogram FilesCommon Files
%L- qAI&V  
C、在右侧区域右击,选择“新散列规则”,单击“浏览”按钮,定位到“C:Windowssystme32 et.exe”文件,选择打开,将安全级别设置为“不允许的”,并填入描述“net.exe”以便归类区分。 k(^TXUK\o  
D、如不对系统进行设置和安全软件的绝对系统,可加上“C:Windowssystme32 rundll32.exe” 的散列规则,
windows7旗舰版同样设置为“不允许的”。 a32aCRZKr  
IB| 6\u32Kn  
E、如果真的要彻底全自动,考虑这样的思路进行: b way+lh  
1、用VBS或BAT,读取“禁止列表”,并写入变量,主要是程序全路径。 P?f${ t+  
2、用VBS的sendkeys,模拟键盘操作GPEDIT.MSC添加这些变量。 ;YY<KuT  
3、vbs或bat复制本机的Registry.pol,并远程登陆覆盖目标机器的文件。
oF>`>  
qhvT,"  
F、先在自己机器上手动配置好要限制的程序和路径(不允许的),或者指定路径下的程序运行(不受限的)。 WwTl|wgvyI  
然后选择“显示系统文件,显示所有文件”。 `<d.I%}  
按目录复制出C:WINDOWSsystem32GroupPolicygpt.ini ,M? 8s2?  
C:WINDOWSsystem32GroupPolicyMachineRegistry.pol Qx,#Hj  
最后复制出Registry.pol文件。
5o 5DG  
这样做比较适合批量Copy。如果其他机器上要配置,就将Registry.pol文件复制过去。如果要解除所有设置,将Registry.pol文件删除即可。 NYP3u_ QX  
在服务器上配置好策略后,把Registry.pol和gpt.ini文件同步到客户机的相同目录里,再运行 gpupdate /force 刷新一下组策略就可以了。
Mz(?_7  
hx&fV#m  
                                                      老规矩,解释一下。 (0Br`%!F  
}"WovU{*s  
     组策略中的路径规则很多人都有所了解,下面说说散列规则: Z]Ud x  
   所谓的散列规则,简单的说就是提取一个文件的特征信息,如版本、Hash等,然后根据这些信息判断是否是同一个文件。 /{hT3ncb  
   由于识别原理的关系,文件散列识别的优点是不论文件名改为什么,只要是同一个文件都能正确识别。但他的优点也是他的缺点,如果用散列规则来实现以上的功能,比如当WindowsUpdate更新了被保护的系统文件,文件版本发生了变更,安全策略就会阻止他的运行,造成系统出错。简而言之就是容易带来兼容性问题。所以一般不使用“新散列规则”。 R[l`# I  
   散列规则的制作: Cq/u $G  
   在“本地计算机配置”——“windows设置”——“安全设置”——“软件限制策略”下右键其他规则→新散列规则,在安全级别中选择“不受限的”。 OAs>F"  
  注意事项: u;H^4} OQ  
1、路径规则---是不允许的(无论用户的访问权如何,程序都不会运行)。 IFew3!{\  
     散列规则---是不受限的(程序访问权由用户的访问权来决定)。
*&IvEu  
2、路径规则是用来关门的,任何符合“路径”条件的程序都是不能进来运行的。 v\8v'EDP  
      散列规则是给程序发钥匙的。由于散列规则的级别高于路径规则,所以符合散列规则的程序是可以运行的。 |-{e!&   
       例如:在正常情况下c:windowssystem32目录中只有14个后缀名为.COM的程序文件,如果有多的话,很可能就是病毒了。我们把系统自带的14个.COM程序分别做散列规则,再做一个c:windowssystem32*.com的路径规则。这样,那14个.COM程序以外的.COM程序都不能运行了。
ca3zY| Oo  
还有更多内容可以到
电脑系统优化这里去看看哦。

发表于 2013-8-27 21:55:50 | 显示全部楼层
文章排版很乱!
发表于 2013-8-28 05:14:33 | 显示全部楼层
不错的知识,学习了,谢谢LZ分享
发表于 2013-11-27 10:57:43 | 显示全部楼层
学习了,很少会这样做,除非有安全威胁
发表于 2015-1-2 05:56:35 本帖来自手机发布 | 显示全部楼层
不错的知识,谢谢LZ分享来自: Android客户端
发表于 2016-6-28 23:46:55 | 显示全部楼层
微信扫描下方二维码,抽取30元话费
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表