过期罐头电脑论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5169|回复: 0
收起左侧

巧用Windows 7控制策略 困死木马病毒

[复制链接]
深渊行者 2012-1-29 09:26:34 | 显示全部楼层
计算机病毒之所以成为网络安全的头号公敌,一是由于 其极强的传播性,二是由于 其难以清空 的特性。我们经常会碰到一些难以清空 的病毒,即便 杀毒软件提示已经查杀成功,但是病毒文件并没有被删除,仍旧留在系统中横行霸道 。要想对付这类病毒,我们应该换一个思路,既然删除不了,那么我们索性就不去删除它,而是通过系统的一些内置功能限制它的运行,只需 它运行不了,那么自然就无法进行毁坏 了。本期就让我们来看看如何应用 Win7系统自带的软件控制策略限制病毒的运行。
  编辑提示:病毒为何难以清空 ?
  在某些病毒面前,杀毒软件并不能很好的实行 其杀毒的职责,最多只能到达 查毒的效果。为什么会出现这种状况 呢?杀毒软件不是应该对病毒杀无赦吗?其实这不能怪杀毒软件,而要怪病毒太狡猾,应用 技术上的手段让杀毒软件对其迫不得已 。下面我们来剖析 一下杀毒软件无法清空 病毒的两种原因:
  1、狡“毒”三窟。某些病毒为了避免 本身 被杀毒软件查杀,会将病毒文件复制到系统的多个位置。在这些病毒文件当中,会成心 让杀毒软件查杀其中的一个,而对其他几个病毒文件进行加密,躲过查杀。这样杀毒软件将暴露的病毒文件删除后,其他病毒文件就又会偷偷的将其恢复,这就是某些病毒觉得 永远也删不干净的原因。
  2、病毒文件正在被系统使用。我们都知道,正在运行的程序是无法删除的,由于 程序有很多的dll动态链接库文件与系统挂钩,病毒正是应用 这个原理,死死的与系统粘在一同 ,杀毒软件想杀我?把系统一同 给删了吧。对付这种病毒,最好的方法 就是限制其运行,让它可以 存在,但无法作恶,就像给它建造了一座监狱一样。小路 工作室
  Win7相对Windows XP增加了很多功能,虽然这些功能我们平常 很少用到,但是用起来却十分 适用 ,例如AppLocker功能,称为“应用程序控制策略”,我们可以用它轻松创建对某个程序的限制策略。用来对付“牛皮癣”式的病毒是最合适不过的了。
  Step1:单击“开始”→在“搜索程序和文件”框中输入“secpol.msc”→按回车→打开本地安全策略窗口→找到应用程序控制策略→AppLocker→可执行规则。
  Step2:在右侧空白区域右键菜单,选择“创建新规则”→进入新规则导游 。
20111221145215432.jpg
▲创建规则

  Step3:选中“权限”项,将其“操作”设置为“回绝 ”,“用户或组”选择为“Everyone”,这样就一切 人都无法运行被限制的病毒,包括系统自身 。
  Step4:选中“条件”项。这里我们可以通过三种条件类型来限制程序运行,分别是:“发布者”、“路径”、“文件哈希”。“发布者”是依据 数字签名来进行判别 的,由于病毒通常没有数字签名,因而 该项暂时用不到,但是这条在限制普通软件的时候特别 有用。“路径”则是直接选中病毒文件或者文件夹。而“文件哈希”可以通过哈希值来限制病毒,即便 病毒复制了很多份到不同地方,也能让其全部报废。这里我们以“路径”限制为例,进入下一步后,我们点击“浏览文件”按钮选中病毒文件,然后点击“创建”按钮。 小路 工作室
20111221145215432.jpg
▲限制的三种条件类型

  Step5:由于我们创建的是第一条规则,那么在完成后会有个默认规则创建提示,需点击“是”,允许创建默认规则,以免设置的规则使得系统文件程序遭到限制。
20111221145215432.jpg
▲病毒被限制运行

  这样一条限制规则就生效了。我们可以双击运行一下病毒试试看,是不是发现病毒已经被限制运行了?
  小贴士:假如 设置AppLocker规则无效,请单击“开始”→在“搜索程序和文件”框中键入services.msc→按Enter键→打开“服务”,找到找到Application Identity项,将其启动类型设为“自动”,然后按“启动”,就可让规则生效。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

一键重装系统|雨人系统下载|联系我们|网站地图|过期罐头电脑论坛

GMT+8, 2024-11-27 03:58 , Processed in 0.037520 second(s), 29 queries .

官方免责声明:本站内容来自网友和互联网.若侵犯到您的版权.请致信联系,我们将第一时间删除相关内容!

Powered by Discuz!

专注于win7_win10_win11系统下载装机

© 2010-2023 GQGTPC.Com

快速回复 返回顶部 返回列表