作者:K.K            BLOG: http://hi.baidu.com/286455989

原创非首发!  本文章首发" 绅博GDATA AntiVirenKit（中国）官方论坛"    转载请注明:来源! 

 

1. 文章标题说明:

Quote:

  之所以叫终结版.  并不是指的知识面很广.  不是理论知识很全.  而是 安全性的终结.

2.  本规则核心思想:

Quote:

任意目录中的任意文件, 在执行时, 都将以"基本用户" 身份运行.

此规则将是唯一一个能做到对电脑进行全局保护的. 不需要任何杀软,HIPS 就可防止99.9%病毒.

没有摧残式的排除, 没有多余的坠肉. 没有更安全. 只有最安全

.

3.  为什么此策略只能达到99.9% 的防毒效果. 不是100%.

Quote:

  这我也没办法.  比如: 机器猫病毒.  它就是属于即使拦截了生成文件. 文件夹. 病毒照样会有效

果.只是效果会减弱99.9% . 但并不能完全控件.

4. 系统如何达到100%的超BT 安全?

 

Quote:

本人是从06年开始,  非常重视安全.  那个时候,用过ZA 防火墙. 用过卡巴. 用过还原精灵. 

  系统重装过无数.  但始终都没找到一个更彻底的解决方案.  后来又一直在用SHADOWUSER.

    当然. 这款影子系统,  大家都知道的, 并不能防止机器狗之类的穿还原工具.  所以再次迷茫.

    当本人从被屏蔽无意看到,  IE 设置成"基本用户"  后, 上网基本上可以高枕无忧.  可以达

  到很好的FD 效果.    当时一看是FD 效果. 心理很激动.  大家想啊.  病毒想要破坏.

    首先会做什么??    当然是生成文件.  如果生成文件失败. 那会怎样. 当然:  要么挂掉. 要么没效果.

    所以.  当时. 本人心理就在想:  如果将所有EXE 文件设置成"基本用户"  那会达到怎样的效果.

  肯定会达到,  任意目录,  任意文件, 在执行中, 都不会中毒的. 完美效果.  当然,  当时. 卡饭, 还无一

  人提出这种思想,  大家还在深讨IE 设置问题.  经过本人三天的. 研究.  终于发现.  将EXE 文件

  设置成"基本用户"  是完全可行的.  而且经过无数病毒的测试.  可以达到99.9% 的病毒防御.

    也就是说:  如何达到超安全??    SHADOWUSER(或其它还原工具)+ 本人原创软件策略. 

    这样配的好处, 我相信.  看到这里, 都应该很清楚了吧.  纯裸奔配置!

5.  设置前言:

Quote:

      我相信, 很多人都看过, 本人写的"软件策略精简完美版"  这是本人早期, 最早写出来的文章.

      只是给出了一些规则,  并没有做太大说明.  因为本人认为, 软件策略是个很简单的东西. 所以

  没有给出太多说明.  此篇文章, 将仍不写理论上的东西.  本人认为,纯理论东西没必要写太多.

      关键在于"实践".  试问下,  卡饭的网友在开始研究IE 基本用户时,  本人那时,才刚刚接触

    软件策略.    但结果呢?  结果就是:  本人最先写出了.  超BT 软件限制策略.  虽引来不少妒忌.

      但那也是没办法的事. 纯理论东西,  解决不了任何事质性问题.  只有实践才能出真知

6.  设置详解.

    A:  系统通常是如何中毒的??

      a.  上网中毒.
      b.  下载中毒.
      c.  U 盘中毒.
      d.  局域网ARP中毒.

  B.  上网中毒. 


      现在其本上不管什么站, 都有可能被挂马的风险.  当靠杀软和HIPS .\

        是不足以达到御防效果的.  但将IE 设置成基本用户后.  是可以做到的.

        规则如下:

Quote:

    IE 浏览器的设置:

  C:\Program Files\Internet Explorer\iexplore.exe    级别为: 基本用户

 

  C:  程序捆绑


  IE 是防住了.  但下载者并没有因此而终结.  下载者如何防御.

  先要了解下载者, 一般会下到哪里?    下载者,  一般会下到. 二个目录. 

  一个用户临时目录,  一个%systemroot%/temp  . 这两个目录是下载者的常客.

    规则如下:

Quote:

 

%USERPROFILE%\Local Settings\Temp\* 基本用户

%USERPROFILE%\Local Settings\Temp\*.exe 不充许

%SystemRoot%\TEMP\*.exe                      不充许

     

 
      以上三条规则可以防止什么? 

      可以防下载者,  可以防捆绑木马.   

    加上IE 设置后.  就是:  可以防上网中毒,  可以防下载者,  可以防捆绑.  .

  D:  U盘中毒.

      这个最简单了.  U盘根目录下有:autorun.inf  文件. 双击就被挂彩.  防止U盘的方法.有很多.

      比如:  通过. 组策略.  限制U盘.  当然. 这并不能解决.  但可以解决自动播放.  打开U盘时.

      使用"右键---- 资源管理器"  这样就可以防止了.

    规则如下:

   

Quote:

?:/*.*    不允许

E: 局域网中毒.

这里就是ARP 中毒了. 这个. 基本上不用担心, 使用IP. MAC 地址双绑定. 就可以解决了.

IE 设为基本用户后. 基本上不用担心这个.

---

以上做一些常规防范的讲解. 以下, 做更细致的设置. 使系统真正能做到 100% 超BT.

---

1. 先来说说, "基本用户" 权限特性.

文件夹和文件, 在什么权限下, 即使是"基本用户" 也 一样有 "写入" 和"修改" 权限呢?

在 "文件夹和文件" 都有: 当前管理员, USERS 组. 这两个 "用户",及 "用户组" 权限时.

会有 "创建" 和 "修改" 权限. 这也是本人原创. 知道这一特性后, 设置起来, 可以说就很简单了.

A: 先来说说, 哪些地方, 在*.EXE 设为基本用户. 的情况下, 还能"创建" 文件的.

Quote:

C:\Documents and Settings\Administrator\PrintHood

C:\Documents and Settings\Administrator\SendTo

C:\Documents and Settings\Administrator\Favorites

C:\Documents and Settings\Administrator\Favorites\链接

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Administrator\NetHood

C:\Documents and Settings\Administrator\「开始」菜单

C:\Documents and Settings\Administrator\「开始」菜单\程序

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

---

以上, 地方, 是在*.EXE 设为基本用户的情况下, 还能 "创建" 文件的.

---

即然知道, 这些地方, 还相当不安全. 那如何设置.

Quote:

%USERPROFILE%\*.* 不充许

%USERPROFILE%\Application Data\*.* 不充许

%USERPROFILE%\Local Settings\*.* 不充许

%USERPROFILE%\Local Settings\Temp\*.exe 不充许

%USERPROFILE%\My Documents\* 不充许

%USERPROFILE%\NetHood\* 不充许

%USERPROFILE%\PrintHood\* 不充许

%USERPROFILE%\Local Settings\Temp\* 基本用户

%USERPROFILE%\Favorites\* 基本用户

%USERPROFILE%\Recent\* 基本用户

%USERPROFILE%\SendTo\* 基本用户

%USERPROFILE%\Templates\* 基本用户

哪些地方,是还能. 创建文件夹的地方??

Quote:

C:/
C:\Documents and Settings
C:\Documents and Settings\Administrator 

等等目录中,  是在 "基本用户" 的环境中, 还能" 新建文件夹"  的目录.

那如何设置???

Quote:

请参考. 本人近期写的 "基本用户深程利用"

7.  WINDOWS 目录的保护.

    很多病毒.  都会往WINDOWS 目录中写入文件.  比如:  黑防鸽子.

    规则如下:

 

Quote:

c:\windows\notepad.exe .

c:\windows\regedit.exe

c:\WINDOWS\explorer.exe

C:\WINDOWS\hh.exe

**\windows\*.* 不允许的

.

  这样. 设置后. 就算.  病毒.写入WINDOWS 目录中, 也是无法执行的.


8.  Program Files  目录的保护.

    设置跟保护WINDOWS 目录一样.  不过, 本人是直接放仍不管.  因为,没必要!!  到下面,你就知道了.


9.  精华规则设置.  本人原创.  如转载. 请注明出处.  否则, 开骂!

 

Quote:

*.exe      基本用户

10.  其它规则设置. 

  由于, 前面, 我们已经对于文件夹, 进行过, 有效设置,  所以, 现在要对 一些后缀名进行设置.

Quote:

  规则如下:

*.bat.      不允许

*.com    不允许

*.cmd.    不允许

*.scr.      不允许

*.pif        不允许

*.vbs      不允许

*.vbe      不允许

11. SYSTEM32 目录的排除.

  我相信,同很多人, 都会, 对SYSTEM32 设置为, 受限.  从来进行" 大量排除"  这是多余的.

  规则如下:  这条规则很重要. 不能丢.

 

Quote:

**\windows\system32\*.*  允许

   


12.  常用规则目录的排除.

  写法. 跟SYSTEM32 的排除. 以及 WINDOWS 目录的排除一样.  只有排除了再能用.

  这一点很重要.  你就算有再多的程序, ,也不会, 比SYSTEM32 目录下的可执行文件多吧.

  举例:

Quote:

F:\QQ\腾讯 QQ2007 正式版\Tencent\*      不受限.

---

13.  还原类工具保护.

  建议使用.  完全不占任何资源的. SHADOWUSER.  那个SD  . 我用了不爽.  不过, 还是随便.

  你想用哪个,就用哪个.




14.  问题说明:

  A.  为什么, 不添加IE 临时目录的限制.

    答:  将IE 设为基本用户后,  再加上,本人的"基本用户深程利用"  已经可以保证上网彻底无忧.

      此规则是多余的!

  B.  为什么, 将有些程序设为, 基本用户后,  访问不了. ??

    答:  请将该文件夹, 添加当前管理员, 或者USERS  组.  "读取"  权限.  就行了.


  C.  这样设置后, 还能安装文件吗? 

    答:  不能.    如果想安装文件.  操作如下:  将*.EXE    设为"不受限"

 

 

 

补上组策略

 

[ 本帖最后由 ngc0717 于 2008-7-26 12:02 编辑 ]

我觉得组策略其实也不错的，对于防御一般性质的病毒绰绰有余了。。可以省去很多麻烦。。我也有用自定义组策略。。

只能防一般性病毒啊!! 嘿嘿!! 非也!! 防程序感染. 防止任意病毒的文件创建. 等等., 以上两点,就足以防止.磁碟机, 机机器, 试试.

引用:

原帖由 xqiafl 于 2008-7-28 19:13 发表 只能防一般性病毒啊!! 嘿嘿!! 非也!! 防程序感染. 防止任意病毒的文件创建. 等等., 以上两点,就足以防止.磁碟机, 机机器, 试试.

 

 

呵呵。。你对我的话理解错误了吧。。。

 

附上自己用法的组策略........

 

 

纯目录排除啊!! 你的规则思想是防执行. 我的是防写.

引用:

原帖由 xqiafl 于 2008-7-30 15:08 发表 纯目录排除啊!! 你的规则思想是防执行. 我的是防写.

 

恩。。。我要使用很多软件，但是全局规则让一些软件无法运行没办法。。只好一般规则下了。。。。。。

 

朋友要是觉得不错的话可以在此区域写出自己的心得。。。我会看情况给你加分高亮的，主要是交流经验。。。。

 

欢迎。。。。

 

 

再就是该压缩文件密码是多少？

[ 本帖最后由 ngc0717 于 2008-7-30 18:38 编辑 ]

02864559890 这个不是心得吗?? 还有, 我前天,下了你的规则, 装上去了.

 

第一感觉就是写的比我要好.

 

第二个感觉就是: 多余规则是不是多了. 目录排除写的比我好, 很完整. 对于防执行来说, 这样就差不多了. 病毒常去的目录,你都有了. 对于, SYSTEM32 目录下的排除. 我没看到, 你对SYSTEM32 目录进行受限. 但, 你却对这个目录的很多文件, 就进行了. "不限制" 排除. 这个是不是多余的???

 

第三个就是: 没看到. 一些可执行程序的后缀名受限. 比如: PIF CMD 之种格式的. 就算要放宽, 那这几个格式, 还要是受限.

 

第四: 目录排除中. 程序目录, 你也进行了不允许操作. 但, 根据我以前运行病毒的经验. 病毒一般,不会将EXE 文件丢到程序目录, 而是会将, SYS, DLL 文件丢进去. 这样, 防执行. 不知有没有效果. 这个,我没测试过. 但, 软件策略, 应该防不了DLL ,SYS 吧!

[ 本帖最后由 xqiafl 于 2008-8-1 09:02 编辑 ]