1、如何建立 HIPS 赋予系统免疫力让系统即使受到了病毒和木马的席卷,也不会被感染呢?一、堵住路口,启用系统自带防火墙 打开始菜单-开运行输入 secpol.msc 开启本地安全策略(XP 专业版本才有,XP HOME 没有).右击软件限制策略,选择创建新的策略.然后软件限制策略下会自动创建多个子项别的地方都不用改.其他规则才是我们要任意发挥水平的地 方.注意其他规则里有系统默认的四个注册表规则,不能修改,否则系统将崩溃.现在再右击“其他规则“.会发现他的菜单里有个新路径规则.好我们就要在路径 规则里做文章.这里允许使用通配符“,“?“%“比如“%windows%“就表示 c:windows d
2、:windows 等不管你 windows 文件夹在哪个分区,都给你认出来. 实例 1_杜绝阴暗角落的袭击: 很多病毒木马为了逃过用户的追杀都藏在很隐秘的地方,比 如回收站,System Volume Information(系统还原文件夹)等,加上隐藏属性,用户很难发觉.而实际上这些文件夹在正常情况下是不会有任何可执行程序的.所以我们可以建立 如下规则(右击其他规则,在菜单中选择新建路径规则): 在路径框中输入 ?:Recycled*.* 安全级别设置为“不允许的“ 特别注意。如果分区文件系统是 NTFS,在 Windows 的 NT 架构的系统中,即Windows NT/2000/XP/2
3、003,会为系统中的每位用户创建各自的回收站文件夹,如果分区文件系统是 NTFS,则会保存在 Recycler 这个文件夹里, 而不是Recycled 文件夹,因此不用担心是病毒文件夹。则会保存在 Recycler 这个文件夹里.(在这特别感谢发现问题的 cml45 朋友)那我们应 该: 在路径框中输入 ?:Recycler*.* 安全级别设置为“不允许的“ 在路径框中输入 ?:System Volume Information*.* 安全级别设置为“不允许的“ 在路径框中输入 %windir%system32Drivers*.* 安全级别设置为“不允许的“ 在路径框中输入 %windir%s
4、ystem*.* 安全级别设置为“不允许的“ 通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行.完美防御了这一类病毒木马的进攻.放心这种格式是不会秒杀掉诸如.txt .jpg 这样的文本或者图片文件的.至于这四个文件的功能和重要性,菜鸟自己去百度知道.不想费口水. 实例 2_杜绝仿冒危险程序: 进程仿冒是病毒和木马用得最多的手段.比如 system32 文件夹下的svchost.exe 系统文件,病毒就可以同样用 svchost.exe 命名,然后放到 windows其他任意文件夹下.那 运行是 XP 默认的任务管理器就只会显示 svchost.exe 进程,而 XP 正常情况下本来
5、就有很多个 svchost.exe 进程.这就欺骗了一般的用户. 而一般的杀软也只有干瞪眼.本地安全策略则可以永久的免疫这种方式的木马和病毒.我们只需两条规则(右击其他规则,在菜单中选择新建路径规则,在路径中写 规则): 在路径框中输入 svchost.exe 安全级别设置为“不允许的“ 在路径框中输入 %windir%system32svchost.exe 安全级别设置为“不受限的“注意是不受限的 学过程序的人知道优先级关系,那么第二条使用绝对路径的优先级高于第一条基于文件名的路径.也就是 system32 下的 svchost.exe 是允许运行的,而其他任意文件夹下的 svchost.e
6、xe 都是是不允许运行的. 实例 3_杜绝双面病毒木马: 用双扩展名迷惑用户的病毒木马也不少.比如 mv.jpg.exe 免费得 QQ 会员的方法.txt.exe 等等,再改个扩展名图标,不少火候不够热爱装逼的系统伪高手们就会误以为是个图片文件和文本文件而掉以轻心.中毒再所难免. 安全策略就能阻止,当然这可以自由发挥只举两个例子右击其他规则,在菜单中选择新建路径规则,在路径中写规则): 在路径框中输入 *jpg.exe 安全级别设置为“不允许的“ 在路径框中输入 *txt.exe 安全级别设置为“不允许的“ 实例 4_不禁用 U 盘,光驱也能防 U 盘,光驱,病毒 假设你的 U 盘或者光驱的盘
7、符是 I 和 J 在路径框中输入 G:*exe 安全级别设置为“不允许的“ 在路径框中输入 G:*com 安全级别设置为“不允许的“ 当然如果你需要用光驱安装软件或者程序的时候就要把 G:*exe 和 G:*com 改成不受限的. 防止 U 盘病毒那么就: 在路径框中输入 I:*exe 安全级别设置为“不允许的“ 在路径框中输入 I:*com 安全级别设置为“不允许的“ 一般的 U 盘病毒还会自己在 U 盘根目录下建立隐藏的 System Volume Information 文件夹和 Recycled 文件夹(哈哈,Recycled 其实就是回收站文件夹)那么我给的第一个策略就挡住了. 还有
8、就是注意不要死板.尽量多设置几个盘符,比如 I,J,K,F.因为电脑一般有多个 USB 接口,好了费话不说接着来. 实例 5_对付文件名伪装的病毒和木马: 文件名伪装最初是那些菜鸟黑客用的老掉牙的技术.可是我们仍不能不防. 比如 windows 桌面就是 explorer.exe 那么黑客现在把 explorer.exe 其中的字母 L 和 O 换成数字的 0 和 1.怎样?眼睛疼了吧看得你 吐血,你也不见得看清.有些病毒还会老到以.pif 为后缀.他和 同样是可执行文件,但他们的扩展名,即使在你选择了显示隐藏文件夹扩展名 后.都不会显示 在路径框中输入 expl0rer.exe 注意把字母
9、O 换成数字 0 安全级别设置为“不允许的“ 在路径框中输入 exp1orer.exe 注意把字母 L 换成数字 1 安全级别设置为“不允许的“ 在路径框中输入 exp10rer.exe 注意把字母 L,O 换成数字 1,0 安全级别设置为“不允许的“ 在路径框中输入 安全级别设置为“不允许的“ 在路径框中输入*.pif 安全级别设置为“不允许的“ 以下是设置好后的图片 二,扩展系统防火墙,保护 IE 和临时文件 介绍了本地安全策略-其他规则-路径规则的应用,那大家是否发现路径规 的安全级别设置似乎只有“不允许的“和“不受限的两种“那么再来教大家扩展,事实上微软还在 XP 上隐藏了很多安全级
10、别.有一个叫基本用户.什么意思呢?就 是界于管理员和受限帐户之间的用户权限.类似 windows Vista 中的大部分权限.好,废话不说,我们马上开启. 打开注册表(XP 系统的打开方法是,开始-运行-regedit)找到 HKEY_LOCAL_MACHINEsoftwarePoliciesMicrosoftWindowsSafer Codeldentifiers 新建一个名为 Levels 的 DWORD 值.数值设置为一个十进制数131072.关闭注册表.重新注销系统.然后再登 陆.打开本地安全策略(运行secpol.msc)本地安全策略-其他规则-路径规则的安全级别设置里就多了个基本用
11、户.好下面我们利用基本用户来写出策 略.防止病毒,木马通过捆绑 IE 浏览器感染临时文件夹. 实例_1 给 IE 加盾.挡住网页挂马 我们可以用基本用户权限来加载 IE 防止木马病毒和恶意网 站通过 IE 强行修改系统设置.方法同上,右击其他规则,打开新建路径规则,在打开的路径规则栏里输 入%ProgramFiles%InternetExplorerieplorer.exe(浏览器路径位置也可以用浏览定位,%是通配符表示无论该文 件夹在硬盘哪个分区都有效).然后在的安全级别设置中选基本用户.点击确定后退出,在运行中输入 gpupdate /force(/号前有空格)回车执行刷新组策略设置.这样
12、 IE 在上网时就安全多了.最好在把历史记录保存天数设置成 0. 实例_2 不让临时文件夹成为病毒木马的温床 经常中毒但有心的朋友可能会留意,目前大部分网络木马病毒都会感染临时文件夹 temp.那么就交大家保护 TEMP 文件夹.方法同上: 在路径框中输入 %USERPROFILE%Local SettingsTemp*.* 安全级别设置为“基本用户“ 在路径框中输入 %USERPROFILE%Local SettingsTemp* 安全级别设置为“基本用户“ 修改完后,在运行中输入 gpupdate /force(/号前有空格)回车执行刷新组策略设置. 三,把好权限关,木马蠕虫全滚蛋(在应用
13、前清先用 GHOST 或一键还原备份好系统,以防改错) 使用下面的权限设置至少满足三个条件:1,系统必须是windows2000/XP/2003(Pro)版,XP HOME 不行;2,系统分区必须是 NTFS 免费内容:如是 FAT32 请转换成 NTFS.转换方法运行里输入 cmd 打开命令提示字符,然后写 convert c:/fs:ntfs (注意 convert 命令后和 c 之间的空格,如果 c 盘符有名字系统会提示你输入名字转换,比如的 c 盘符号是系统,那么只需在命令提示字符里输入系统两字就 按下 Y 键,重启系统就可以转换了) 这样就可以转换过来了,至于 FAT32 的缺点和 NTFS 的优点,不想废话,如有疑问自己百度知道;3,必须在文件夹选项中取消简单文件共享前的勾并确定
