感謝fonlan的原創(chuàng)投遞
在互聯(lián)網(wǎng)越來(lái)越普及的今天，互聯(lián)網(wǎng)安全問(wèn)題日益嚴(yán)重，木馬病毒橫行網(wǎng)絡(luò)。大多數(shù)人會(huì)選擇安裝殺毒軟件和防火墻，不過(guò)殺毒軟件對(duì)病毒反應(yīng)的滯后性使得他心有 余而力不足，只有在病毒已經(jīng)造成破壞后才能被發(fā)現(xiàn)并查殺。在這種情況下，HIPS（主動(dòng)防御系統(tǒng)）軟件越來(lái)越流行，依靠設(shè)定各種各樣的規(guī)則來(lái)限制病毒木馬 的運(yùn)行和傳播，由于HIPS是基于行為分析的，這使得它對(duì)未知病毒依然有效，不過(guò)軟件兼容性問(wèn)題也比普通的殺毒軟件要嚴(yán)峻的多。網(wǎng)絡(luò)上有一種人，他們不裝任何殺毒軟件和防火墻，自由奔走在互聯(lián)網(wǎng)上，稱(chēng)之為“裸奔”族。不過(guò)他們也分許多不同的種類(lèi)，有的是電腦不設(shè)任何防護(hù)，也不放任 何重要資料，一旦中毒就重裝系統(tǒng)；而另一種則是依托Windows系統(tǒng)本身的安全機(jī)制來(lái)抵御病毒的入侵，顯然這種方法要可靠的多。

    其實(shí)大多數(shù)人都忽略了Windows系統(tǒng)本身的功能，認(rèn)為Windows弱不禁風(fēng)。其實(shí)只要設(shè)置好，Windows就是非常強(qiáng)大的安全防護(hù)軟件。這篇文章 的主角就是WindowsXP Pro里自帶的安全策略功能。打開(kāi)安全策略很簡(jiǎn)單，直接雙擊控制面板管理工具里的本地安全策略即可，這里我們重點(diǎn)講其中的軟件限制策略。

    正如其名，這里可以限制軟件的運(yùn)行，至于如何限制，那就要看你的策略怎么定了。如果以前未設(shè)置過(guò)安全策略，那么在軟件限制策略上右鍵新建策略后會(huì)出現(xiàn)下級(jí)菜單：



其他地方我們都不用管，其它規(guī)則才是由我們發(fā)揮的地方，這里規(guī)則制定的好壞直接關(guān)系到你的電腦的安全程度。點(diǎn)擊其他策略，我們可以看到微軟已經(jīng)幫我們預(yù)設(shè)了4條規(guī)則（如下圖）



這4條規(guī)則是用來(lái)保證Windows運(yùn)行所必須的程序不會(huì)被禁用而設(shè)的，如果你確定你的規(guī)則沒(méi)有問(wèn)題，這四條規(guī)則刪掉也沒(méi)有問(wèn)題。接下去在其他規(guī)則上右鍵，



在彈出的右鍵菜單里，我們主要用到的是“新路徑規(guī)則”，偶爾也可以用“新散列規(guī)則”，具體有何區(qū)別將在下面分別講述?，F(xiàn)在我們點(diǎn)擊“新路徑規(guī)則”，出現(xiàn)如下窗口：



我們主要在路徑那一欄里做文章。 這里允許使用通配符，常見(jiàn)的有“*”和“？”，*表示任意個(gè)字符，？表示一個(gè)字符。也允許使用環(huán)境變量，常見(jiàn)的文件夾環(huán)境變量有：
（以下以XP默認(rèn)裝在C盤(pán)例舉）
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\當(dāng)前用戶名\Application Data
%SYSTEMDRIVE% 表示 C:
%SYSTEMROOT% 和 %WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\當(dāng)前用戶名\Local Settings\Temp
%USERPROFILE% 表示 C:\Documents and Settings\當(dāng)前用戶名
%ProgramFiles% 表示 C:\Program Files

    在定義規(guī)則的時(shí)候我們可以使用絕對(duì)路徑，也可以用通配符或者環(huán)境變量，甚至可以直接使用要禁止運(yùn)行的程序的程序名。而這里就涉及到一個(gè)優(yōu)先級(jí)的問(wèn)題了。按微軟的規(guī)定：絕對(duì)路徑>使用通配符的路徑>文件名。
    下面我通過(guò)實(shí)例來(lái)講規(guī)則的建立：

    實(shí)例1：進(jìn)程仿冒是木馬病毒用的最多的一個(gè)手段，比如病毒文件名為svchost.exe，而這個(gè)病毒文件在windows文件夾下或其他任意文件夾下 （真正的svchost.exe文件在system32文件夾下），病毒運(yùn)行時(shí)XP默認(rèn)的任務(wù)管理器里只會(huì)顯示進(jìn)程名為svchost.exe，而XP本 來(lái)就有很多個(gè)svchost.exe進(jìn)程，這就很好地達(dá)到了欺騙用戶的目的。普通殺毒軟件還是得依托單一的病毒庫(kù)，一旦換了個(gè)新病毒用同樣的手法他就不認(rèn) 了，安全性很差。而用本地安全策略可以很簡(jiǎn)單的永久免疫這種方式的病毒，我們建立兩條規(guī)則：

svchost.exe  不允許的
%windir%\system32\svchost.exe  不受限的

由 于優(yōu)先級(jí)的關(guān)系，第二條使用絕對(duì)路徑的規(guī)則優(yōu)先級(jí)高于第一條基于文件名的路徑，也就是說(shuō)system32文件夾下的svchost.exe是允許運(yùn)行的， 而其他任意文件夾的名字為svchost.exe的程序都無(wú)法運(yùn)行。由于svchost.exe是系統(tǒng)文件，病毒不可能替換它。可以看到，這兩條規(guī)則完美 地解決了這個(gè)問(wèn)題，以后只要是使用相同手法的病毒或木馬都無(wú)法運(yùn)行，達(dá)到了防毒的效果。

    實(shí)例2：很多病毒木馬為逃過(guò)用戶的追殺都會(huì)藏在很隱蔽的地方，比如回收站、System Volume Information（系統(tǒng)還原文件夾）、C:\WINDOWS\system32\Drivers文件夾、C:\WINDOWS\system文件夾 等等，并且加上隱藏屬性使用戶不易發(fā)覺(jué)。而事實(shí)上，這些文件夾正常情況下是沒(méi)有任何可執(zhí)行程序的，所以我們可以建立以下規(guī)則：

:\Recycled\*.*  不允許的
:\System Volume Information\*.*  不允許的
%windir%\system32\Drivers\*.*  不允許的
%windir%\system\*.*  不允許的

通過(guò)以上4條規(guī)則就能屏蔽掉這4個(gè)文件夾下任意可執(zhí)行文件的運(yùn)行，再一次完美地解決了這一類(lèi)型的病毒和木馬的防御。放心，用*.*這種格式并不會(huì)屏蔽掉txt或者jpg之類(lèi)的其他非可執(zhí)行程序。

    實(shí)例3：用雙擴(kuò)展名迷惑用戶的病毒也不在少數(shù)。比如MM.jpg.exe，免費(fèi)得QQ會(huì)員的方法.txt.exe等等，然后圖標(biāo)改成前一個(gè)擴(kuò)展名的圖標(biāo)，由于大多數(shù)用戶都是XP的默認(rèn)設(shè)置，隱藏已知擴(kuò)展名的，所以這些病毒文件是很有誘惑力的，防御他們也不難：

*.jpg.exe  不允許的
*.txt.exe  不允許的

這是兩條很容易理解的規(guī)則，我就不多做解釋了。

    實(shí)例四：優(yōu)盤(pán)病毒是現(xiàn)在木馬病毒使用的最廣的傳播方式，一般的方法是安裝殺毒軟件或?qū)ｉT(mén)的防USB病毒工具，那么用系統(tǒng)安全策略是否也能做到免疫呢？答案是不能做到100%防御，但能達(dá)到90%以上，規(guī)則看下面：

（假設(shè)你電腦上第一個(gè)優(yōu)盤(pán)的盤(pán)符是G）
G:\*.exe  不允許的
G:\*.com  不允許的

    利用的就是幾乎所有的USB病毒都存在在優(yōu)盤(pán)的根目錄下，而且是exe后綴的或者com后綴的應(yīng)用程序，用上面兩條規(guī)則就能阻止他們的運(yùn)行。還有一些 USB病毒會(huì)隱藏在優(yōu)盤(pán)根目錄下的一些隱藏文件夾里，如建立一個(gè)叫System Volume Information的文件夾或者Recycled文件夾，而正常情況下優(yōu)盤(pán)是沒(méi)有系統(tǒng)還原文件夾和回收站的（移動(dòng)硬盤(pán)有時(shí)候有），而這個(gè)時(shí)候，就要靠 實(shí)例2的規(guī)則來(lái)組織了。

    一般電腦上都不止一個(gè)USB接口，所以我們至少要免疫2到3個(gè)優(yōu)盤(pán)盤(pán)符，將上面的G改成H和I并加入其他規(guī)則中即可。

    實(shí)例5：文件名偽裝雖然是比較老的技術(shù)了，不過(guò)由于他簡(jiǎn)單有效的特點(diǎn)現(xiàn)在依然被廣泛使用。如有些病毒將自己的文件名改成expl0rer.exe，你敢隨 隨便便的刪除它嗎？？不過(guò)你可要看仔細(xì)哦，不是explorer.exe，注意“0”和“o”的差別。相似的還有“l”和“1”等?；蛘呶募麨?explorer.com，由于默認(rèn)不顯示后綴，看上去一模一樣，你能分辨嗎？而且XP默認(rèn)com的優(yōu)先級(jí)高于exe，所以如果你在運(yùn)行里輸入 explorer回車(chē)后先執(zhí)行的會(huì)是explorer.com，即那個(gè)病毒程序，恐怖吧。甚至有病毒會(huì)用pif后綴，即explorer.pif。pif 和exe、com一樣，也是可執(zhí)行文件，但他的擴(kuò)展名即使你在文件夾選項(xiàng)里選擇了顯示文件后綴他都不會(huì)顯示出來(lái)，具有極強(qiáng)的隱蔽性。（但在WinRAR等 第三方瀏覽器中可被查看到）所以如果你開(kāi)啟了顯示后綴而發(fā)現(xiàn)某個(gè)正常的應(yīng)用程序依然沒(méi)有顯示后綴的話你就要小心了。廢話不多說(shuō)了，講規(guī)則：

expl0rer.exe  不允許的
exp1orer.exe  不允許的
explorer.exe  不允許的
expl0rer.exe  不允許的
explorer.com  不允許的
*.pif  不允許的

以上六條規(guī)則就可解決偽裝explorer.exe的問(wèn)題，pif文件普通計(jì)算機(jī)里一般都用不到，所以也禁用。其他諸如svchost.exe、rundll32.exe、spoolsv.exe等規(guī)則也相似，請(qǐng)自行編寫(xiě)。

    路徑規(guī)則主要就是以上5個(gè)大類(lèi)，下面再大略地介紹一下新散列規(guī)則。所謂的散列規(guī)則，簡(jiǎn)單的說(shuō)就是提取一個(gè)文件的特征信息，如版本、Hash等，然后根據(jù)這些信息判斷是否是同一個(gè)文件。如圖：



由 于識(shí)別原理的關(guān)系，文件散列識(shí)別的優(yōu)點(diǎn)是不論文件名改為什么，只要是同一個(gè)文件都能正確識(shí)別。但他的優(yōu)點(diǎn)也是他的缺點(diǎn)，如果用散列規(guī)則來(lái)實(shí)現(xiàn)以上的功能， 則如果WindowsUpdate更新了被保護(hù)的系統(tǒng)文件，文件版本發(fā)生了變更，安全策略就會(huì)阻止他的運(yùn)行，造成系統(tǒng)出錯(cuò)。簡(jiǎn)而言之就是容易帶來(lái)兼容性問(wèn) 題。所以一般不使用“新散列規(guī)則”。

    雖然用系統(tǒng)安全策略帶來(lái)兼容性問(wèn)題的可能性很小，不過(guò)還是有的，那碰到這些問(wèn)題時(shí)我們?cè)撛趺崔k呢?其實(shí)系統(tǒng)已經(jīng)幫我們準(zhǔn)備了日志功能。如圖，如果由于系統(tǒng)安全策略的原因?qū)е履硞€(gè)程序無(wú)法運(yùn)行，系統(tǒng)會(huì)彈出如下對(duì)話框：



這個(gè)對(duì)話框中其實(shí)已經(jīng)告訴我們解決方法了，我們立即去控制面板的管理工具里打開(kāi)事件查看器，其中的應(yīng)用程序日志的第一篇一般就是了，雙擊那個(gè)日志，會(huì)彈出如下對(duì)話框：



這 里面的C:\Program Files\*.exe就是出現(xiàn)兼容性問(wèn)題的那條規(guī)則了，不過(guò)要注意的是如果你在建立規(guī)則時(shí)用的是環(huán)境變量，如%ProgramFiles%\*.exe 的格式，日志這里會(huì)把變量%ProgramFiles%替換為系統(tǒng)的實(shí)際路徑，一般都是C:\Program Files，所以顯示的依然是如上圖的對(duì)話框。

    知道問(wèn)題出在哪里了自然就好辦了，相應(yīng)的規(guī)則刪的刪，改的改，這就隨你們了。另外再提供我做的規(guī)則下載，下載后直接雙擊即可安裝：
點(diǎn)此下載