邵东论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 694|回复: 0

我敢 "裸奔" 手把手教你提高系统免疫力 唾弃VB100 下篇

[复制链接]

1426

帖子

118

好友

7479

积分

贵宾

无敌的小捏捏

Rank: 14Rank: 14Rank: 14Rank: 14

发表于 2009-5-11 10:06:47 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
上篇说到利用WIN XP本地安全策略自定义HIPS防火墙规则.挡住病毒木马的传播通道.好那么我们接着了解什么是HIPS呢?卖点关子.其实HIPS是黑客们才用的防御软件体系,虽然也是监控.却完全不使用VB100那种老土的特征码.相对于那种老土的特征码,HIPS占用的系统资源也可以忽略不计(因为很多就是利用系统本身的功能而不必借助外来软件),HIPS的中文全称是\"主机入侵防御系统".还有一个通俗的理解"系统防火墙",不要诧异!通过实现系统中三项功能就可以防御几乎所有病毒的感染:

1,application defend应用程序防御体系.

2,regstry defend注册表防御体系.

3,file defend文件防御体系.

菜鸟们注意,是体系而不是单一功能.好,关子也卖了,上篇惰惰猴已经介绍了应用程序防御体系如何在XP原系统上构建.那么我们现在就来看看XP系统注册表和文件防御体系的系统构建.

为了联系上篇,惰惰猴行文方式接上篇(上篇地址http://baike.360.cn/4077772/8939859.html)

三,把好权限关,木马蠕虫全滚蛋(在应用前清先用GHOST或一键还原备份好系统,以防改错)

使用下面的权限设置至少满足三个条件:1,系统必须是windows2000/XP/2003(Pro)版,XP HOME不行;2,系统分区必须是NTFS

如是FAT32那种给菜鸟预备的老分区格式请转换成NTFS.转换方法运行里输入cmd打开命令提示字符,然后写convert c:/fs:ntfs (注意convert命令后和c之间的空格,如果c盘符有名字系统会提示你输入名字转换,比如惰惰猴的c盘符号是系统,那么只需在命令提示字符里输入系统两字就按下Y键,重启系统就可以转换了) 这样就可以转换过来了,至于FAT32的缺点和NTFS的优点,惰惰猴不想废话,菜鸟如有疑问自己百度知道;3,必须在文件夹选项中取消简单文件共享前的勾并确定

设置方法:我的电脑-工具-文件夹选项-查看.

大家确认自己在满足条件后方可继续阅读.

实例_1彻底堵住注册表被挖穿的墙角

比如我们有时双击.doc文档时word会打开,而没装word的系统就会由windows的写字板打开呢?因为word在注册表里关联了DOC文件类型,就像我们安上千千静听后所有的.MP3文件都是千千静听的图标,而再安上realplayer后则.mp3却变成了realplayer的图标呢?这就是一般菜鸟不知道的文件关联,什么类型的文件被什么样的程序所关联了,那什么样的程序就可以控制住被它所关联的所有文件类型.(打开文件类型的方法是在,我的电脑-工具-文件夹选项-查看中去掉隐藏以知文件扩展名前的勾再点确定,比如文本文件是.txt网页文件是.html视频文件是.rmvb等)如果病毒木马利用了这类关联自启动,那么我们在双击后就会受感染.比如某人喜欢用realplayer11看电影,那么默认情况下他的电影就会被realplayer11自动关联.那么他今天下载了一个电影(假设是有毒的rmvb视频文件),那么他在双击电影文件的图标后,就会启动病毒木马替换realplayer11的关联.所以这就是一般好色的人下黄片容易中毒的通病.好了闲话少扯.

如何来防止关联被病毒木马替换呢?

打开注册表(xp系统直接在运行里输入regedit)分别右击

HKEY_CLASS_ROOT\exefile和HKEY_CLASS_ROOT\txtfile这两个分支,选择权限.只保留Administrators和SYSTEM用户组,并把权限设置成"只读"(必须去掉完全控制)如果权限设置是灰色不选的话,可以选高级,然后去除"从父项继承那些可以到子对象的权限项目,包含在此明确定义的项目"前的勾并点击确定,然后在弹出框中选择删除.即可


实例_2给危险的系统目录(system32)修围墙

经常中木马的朋友可能会留意木马老会去感染SYSTEM32文件夹里的文件,比如输入法劫持.在中招后木马会劫持我们的ctfmon.exe(输入法可执行程序),那么我们变无法打字.菜鸟往往第一时间就吓的赶紧重装,其实一个好的防御就能避免.在满足惰惰猴给的三个前提的情况下,打开资源管理器,

win(crtl和alt中间的微软徽标键)+e,在系统盘下(一般是c盘)找到windows文件夹右击选择属性打开安全选项把除了Administrators和SYSTEM的用户组都删除,然后左键选择Administrators在下面的权限选项中取消"完全控制\","写入","修改"权限前的勾.点应用,最后再左键选择SYSTEM在下面的权限选项中取消"完全控制,"写入","修改"权限前的勾,点应用(注意不要把读取的勾选掉了,否则后果是下次无法启动系统.并且无法恢复.一般我们吊销修改,根据优先级写入也吊销)

再照此法对windows文件夹进行用户权限设置.我们就能加固系统,不论正常程序还是病毒都要我们同意后方可进入电脑.

那么这样做了后我们模仿病毒在system32和windows文件夹下随便新建个东西,看看后果.是不是被系统以权限不够拦截了呢.

好.说到这要千万注意:因为系统是死的,这样设置了后我们在安装其他软件时系统也会以权限不够为理由阻挡.好办.我们反过来分别对增加windows文件夹和system32文件夹属性里安全项Administrators和SYSTEM用户组的","写入"和"修改"权限.分别应用后(这时写入的优先级就大于修改了,我们可以先点写入的勾,修改则自动打勾)就可以了.注意不要增加完全控制.我们安好程序或者软件后,需要重启的等重启后再吊销windows文件夹和system32文件夹的权限.这样做连系统最高权限都被我们控制了.所以强权之下病毒木马都滚蛋.

实例_3利用安全策略对付黑客权限提升

权限的办法对付一般病毒木马算够用了,但是黑客可不是傻瓜.他们可以利用系统的Shell权限来提升自己木马或破解程序在系统里的运行权限.那么我们都知道windows的权限提升是靠net命令实现的.我们只需要对net命令实施一个加密,那么黑客就需要破解了,一般的黑客是不会花大力气来破解我们个人用户的.学过系统加密的人都了解一种叫哈希值的散列函数,用哈希加密后的密文只能用暴力破解.好,如果不知道什么叫哈希值,暴力破解还是去百度知道,惰惰猴不想为常识浪费篇幅.

打开本地安全策略(运行secpol.msc)-软件限制策略-其他规则.右击其他规则选则新建散列规则.在文件新建散列下位置里输入c:\windows\system32\net.exe或者用浏览查找.写完规则后点击应用.
看到了吧里面就是随机的哈希值密文.这样就把黑客提升曲线想法逼到了绝境,这样花大力气的破解我们个人电脑值得吗?

好了这样我们的系统加固就基本完成了,但是别忘了,还有CMD命令.依照禁用NET命令禁用cmd命令.这样就决断了任何除我们之外的权限提升.前提是你的帐户必须要有一个大于六位数的密码,别问惰惰猴我什么叫帐户密码.我会疯的.

实例_4文件型病毒.不得不看特征.

既然裸奔,那怎么还要特征呢,因为系统即使做了非常严密的HIPS方案,但HIPS的策略方案主要集中在木马和恶意程序上.而老的文件型病毒还是得靠特征码来识别.尽管文件型病毒越来越老土而不流行了,但我们还是要严加防范.所以惰惰猴推荐爱"裸奔"的人定期去免费的在线杀毒去扫扫毒,当然也可以用免费的杀软或者是收钱的杀软,不过这样了就不叫"裸奔"了.不过着凉还会感冒何况"裸奔"呢,定期检查身体很重要.上面的HIPS策略和权限已经设置的很好了,所以不用担心你用杀软扫描时杀软会被秒杀.因为文件型病毒无法剥离杀软挂钩的.了解权限和挂钩就可以,一眼看出那些技术又差,又装成高手的装逼者们丑态.杀软无好坏前提是是指你要会权限和安全策略的设置来保护杀软挂钩.别拿什么自我保护好坏说事.你是菜鸟就别装逼.好了多说了点感慨.

大家还要重视IE的安全级别,最好调高安全接别.在自定义下安全选项.适合自己就好,这里不再废话.还有就是运行任何网游时也要注意多个心眼.

最后再把我给大家的HIPS方案看一遍,还少了注册表监控.恩这好办了,装个360安全卫士,把系统关键位置保护打开就可以了.

说了那么多相信各位看官也烦了,但是不得不提醒的就是病从口入这个原理,不要理解错了,不是端口而是惰惰猴要特别提醒的USB接口.autorun.inf引导,呵呵不用我罗嗦了,菜鸟都知道的感染方式.请朋友们最好关闭系统的自动运行功能.

打开组策略(运行gpedit.msc)点开左分支.计算机配置-管理摸板-系统.找到右侧的关闭自动播放项目.双击打开.在弹出的属性窗口中进入"设置"选项卡,选择"已启用"在下拉菜单中选择所有驱动器.点确定.最后在运行中输入cmd打开命令提示字符,再输入gpupdate /force

OK搞定.

说了那么多惰惰猴其实就是给了大家黑客的HIPS"裸奔"方案.不要再盲目相信VB100了.这让我想起了一则今天下午的QQ新闻-因为感冒发烧,去大医院检查却花了1000多元.难道发烧一般的诊所看不了?

是宁愿天天花钱吃药治病,还是提高自己的抵抗力呢?呵呵,我惰惰猴就在这给VB100一个强烈的鄙视.

当然惰惰猴不推荐大家裸奔,只是希望大家了解HIPS.如果我们能把自己的HIPS方案和我们自己用得惯的杀软结合.我们就真正的做到了百毒不侵.当然不可骄傲,系统备份也重要.
回复
百度谷歌雅虎搜狗搜搜有道好搜中搜

举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表