第一篇：防止99%以上的上帶毒網(wǎng)站中毒問題——組策略 批處理 補丁立體防毒 - 網(wǎng)吧綜合技術討論區(qū)...

防止99％以上的上帶毒網(wǎng)站中毒問題——組策略+批處理+補丁立體防毒-網(wǎng)吧綜合技術討論區(qū)...一樓是方案介紹跟實施方法；二樓是“廣告帖”，給大家看效果以及本方法與其他方法的簡單對比；七樓是盟友們遇到的問題以及本人對問題的解答；十二樓是一些難得的強人的方案

希望大家有好方案不要藏著，拿出來，我們一起對付病毒發(fā)布者！19、20、22、24、25、26、28頁有對大家問題的解答以及小小的討論，不想?yún)R總到第一頁，搞得太長了?? [em90]向病毒的制造和發(fā)布者宣戰(zhàn)，哈哈哈哈??！防止漏洞攻擊：

系統(tǒng)補丁一定要打上,雖然不是要求每一臺客戶機，但是母盤總要兩三個月打一次補丁吧！強烈建議將c盤轉(zhuǎn)成ntfs 關于Real溢出漏洞的測試： 004km.cn 具體步驟及現(xiàn)象：

1.打開IE瀏覽器，找到本帖，點擊該地址； 2.點擊后3秒左右出現(xiàn)realplayer，然后real自動消失觀察到：起先沒異常，點了網(wǎng)址后cpu滿了一秒左右，然后回復正常。

PS：期間開了任務管理器來看著的，沒有多一個進程!應該是real的溢出漏洞吧！另，我的系統(tǒng)補丁打到了八月的。重啟回來了，沒發(fā)現(xiàn)異常！

防止瀏覽網(wǎng)頁中毒：

將三個不安全的組件進行卸載 regsvr32 /u /s %SystemRoot%/system32/SHELL32.dll

regsvr32 /u /s %SystemRoot%/system32/wshom.ocx

regsvr32 /u /s %SystemRoot%/system32/scrrun.dll ****************************************************************** ** Scripting.FileSystemObject 是由系統(tǒng)目錄中的scrrun.dll實現(xiàn) ** ** WScript.Shell 是由系統(tǒng)目錄中的wshom.ocx實現(xiàn) ** ** Shell.Application 是由系統(tǒng)目錄中的SHELL32.dll實現(xiàn) ** ****************************************************************** ************************************************************************* *影響： * *

scrrun.dll，wshom.ocx，SHELL32.dll這幾個組件基本都是給腳本調(diào)用的，* *我們常見的腳本又大多在網(wǎng)頁中，而含有這些類型的網(wǎng)頁通常利用腳本來后臺下 * *載和運行病毒。只要我們自己的程序不去調(diào)用這些組件，那基本沒什么問題了。* * * * 不過我也發(fā)現(xiàn)了個別情況，比如Visual Studio.Net 2003開發(fā)工具，它創(chuàng)建* *一個工程時，所使用的工程模板中用到了腳本，并使用了 * *Scripting.FileSystemObject對象，因而會出現(xiàn)創(chuàng)建工程失敗的問題。還有 * *Office 2003里，也會用到這個組件，但不影響正常使用。* ************************************************************************* 系統(tǒng)安全策略上進行設置,阻止絕大多數(shù)自動下載的EXE病毒，策略示例見下圖（下載在二樓）：

下載(71.97 KB)防止99％以上的上帶毒網(wǎng)站中毒問題——秀一下測試了一個下午的組策略防毒

2007-11-25 16:08 ? 測試過了，絕對有效！（本策略僅做了基本通用的設置，沒有考慮通過運行臨時文件夾內(nèi)可執(zhí)行文件升級的游戲程序。具體實施的策略大家可以增加適當允許策略，如果有疑問的，請在此提出我盡量幫大家完成?。?/p>

或許有人會問用*.*這個通配符不就所有的文件都不能運行了嗎？ 我的回答是：放心，我已經(jīng)親自測試過，用*.*這種格式并不會屏蔽掉txt或者jpg之類的其他非可執(zhí)行程序，換言之這種格式僅屏蔽可執(zhí)行文件如.exe.bat.vbs.reg.cmd.com等。

關于可能會有網(wǎng)絡游戲不能升級或運行的問題： 原因是這些網(wǎng)游下載了東西到臨時文件夾下，并執(zhí)行該程序來檢測是否升級而策略禁止了這個動作的執(zhí)行?？梢栽谟嬎銠C管理－>事件查看器－>應用程序 查看日志記錄里提示禁止了什么動作？把該文件的動作加為允許的策略，因為允許的策略優(yōu)先于禁止的策略，所以你設置了允許的策略肯定就沒有問題了??

優(yōu)先級：絕對/具體路徑規(guī)則>大于通配符路徑規(guī)則>帶通配符的非具體文件（擴展）名規(guī)則

下載(80.77 KB)防止99％以上的上帶毒網(wǎng)站中毒問題——補丁+組策略+批處理立體防毒

2007-11-26 19:12

（由于各個網(wǎng)吧的提供的網(wǎng)游各不相同，所以這里就留給大家發(fā)揮了）? 關于為什么我沒有弄各個游戲的允許策略問題的解釋： 剛才有網(wǎng)友在Q上問了我征途不能玩的問題，我讓他看了一下日志，他的系統(tǒng)日志：【對 E:/網(wǎng)絡游戲/征途/patchupdate.exe.tmp2 的訪問被您的管理員根據(jù)位置用路徑 *.*.* 上的策略規(guī)則

{298a61b4-6b02-4240-8589-ff086357bc27} 限制了】大家說，你們的路徑會跟這位網(wǎng)友完全相同的有幾個？如果說加一個通用的，比如直接允許patchupdate.*.*（最安全的是在允許策略里填上具體路徑如：E:/網(wǎng)絡游戲/征途/patchupdate.exe.*），那萬一瘋狗的主人調(diào)教瘋狗，讓他捆綁到其它軟件上然后釋放這么一個文件，那我的這個策略不是沒有效果了嗎？——當然，如果瘋狗的作者搞到感染exe文件的地步，這個問題就不只是網(wǎng)吧的問題，離走上熊貓的作者的道路也不遠了。

關于很多人說不可行的原因： 經(jīng)過這幾天的觀察以及網(wǎng)友的留言跟善意提醒，我發(fā)現(xiàn)大多數(shù)說運行不了某某游戲的網(wǎng)管朋友們主要是對以下策略不了解，所以現(xiàn)在特別向大家申明一下：

一、“*.*.*禁止”這條*.*.*禁止策略會禁止例如CS1.5.exe這樣格式的可執(zhí)行文件，這條策略限制的初衷是防止類似*.jpg.exe這樣的垃 圾病毒的。建議：如果大家覺得實在不合適，可以把它刪掉，換成以下格式＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ *.avi.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.bmp.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.chm.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.doc.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.gif.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.hlp.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.in?.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.jpg.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.mp?.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.mpeg.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.png.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.ppt.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.rar.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.reg.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.rm.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.rmvb.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.scr,路徑,不允許的,**禁止其他scr運行 *.swf.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.torrent.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.txt.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.vb?,路徑,不允許的,##禁止調(diào)用*.vbs *.wm?.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.xls.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 *.zip.*,路徑,不允許的,禁止執(zhí)行雙擴展名文件 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

二、“C:/Documents and Settings/Administrator/Local Settings/Temp/*.*，禁止”這條： 主要是有些網(wǎng)游的設計者總是喜歡把升級器弄到這個臨時文件夾里面運行，然后下載升級的東西?? 建議：刪掉或者做更詳細的策略限制，如禁止*.bat，*.exe等等?? ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

三、CMD.exe改名 由于CMD被改名，而系統(tǒng)默認bat、cmd文件關聯(lián)為它才能執(zhí)行，改名后導致批處理不能運行。建議：cmd不改名?? 例如，我這里就有客人來用什么turboc的，不把這三條改了就運行不起?? 如果想做通用策略，可以考慮上面的三條建議！當然，改了安全性就稍稍降低了，但是對于“防上網(wǎng)中毒”效果還是能達到題目所說的99％！

其他： 修改c:/WINDOWS/SYSTEM32/CMD.exe 為任意名字修改c:/WINDOWS/SYSTEM32/cacls.exe 為任意名字修改c:/WINDOWS/SYSTEM32/ftp.exe 為任意名字修改c:/WINDOWS/SYSTEM32/tftp.exe 為任意名字修改c:/WINDOWS/SYSTEM32/attrib.exe 為任意名字

橙色部分內(nèi)容的實現(xiàn)批處理（開放還原時切記開完機后——再接網(wǎng)線）： regsvr32 /u /s %SystemRoot%/system32/SHELL32.dll regsvr32 /u /s %SystemRoot%/system32/wshom.ocx ::::開機完成后要保留vbs功能的請將上面這行刪掉！regsvr32 /u /s %SystemRoot%/system32/scrrun.dll cd /d %SystemRoot%/system32 ren ftp.exe ljj.exe ren tftp.exe pdff.exe ren attrib.exe iuf.exe ::::::開機完成后要對文件進行屬性修改操作的請把上面這條刪掉！ren cacls.exe kdsf.exe ::::開機完成后要對文件進行權限操作的請把上面這條刪掉！ren cmd.exe xcv.exe ::::開機完成后要使用bat或者cmd文件的請把上面這條刪掉！exit 還是那句話：記得在有還原保護的情況下使用！如果放在腳本或者跟其它批處理一起使用時，請把這部分內(nèi)容放到代碼末端，最后執(zhí)行?。剑剑剑剑剑剑剑剑剑剑剑剑剑剑剑剑剑剑剑娇痛指艟€＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

如果解還原后執(zhí)行了上面的批處理，請把下面的命令行保存成bat： regsvr32 /i /s %SystemRoot%/system32/SHELL32.dll regsvr32 /i /s %SystemRoot%/system32/wshom.ocx regsvr32 /i /s %SystemRoot%/system32/scrrun.dll cd /d %SystemRoot%/system32 ren kdsf.exe cacls.exe ren ljj.exe ftp.exe ren pdff.exe tftp.exe ren iuf.exe attrib.exe exit 然后，進入系統(tǒng)后在“運行”填入你修改后的cmd.exe名（如本例中的xcv.exe），在出現(xiàn)的命令提示符窗口找到本批處理并運行即可恢復正常。PS：這樣做了以后還能防Autorun及XX.jpg.exe，XX.txt.exe看似圖片或者文本類病毒！

本策略的目的是：不裝殺軟，安全上網(wǎng)！

本方法的最大特點：不在系統(tǒng)增加任何文件，綠色環(huán)保！

注意：橙色部分請在有還原的情況下通過維護通道實現(xiàn)，大面積使用前測試時間最好不要少于一天，否則會引起維護通道失效或者其他后果，請慎用！另，發(fā)現(xiàn)某些菜單和VD更新要使用VBS，含有regsvr32 /u /s命令的三行請仔細斟酌后使用！

如果還有什么更好的做法，希望大家提出來交流一下！還是加個說明的好?。?/p>

我的壓縮包里，必要的文件就兩個：DNetVirus.bat 和DNetVirus.reg，通過維護通道調(diào)用使之生效，無需解開還原重啟才生效，是立刻馬上起作用的。Registry.pol這個文件發(fā)出來主要是為了方便大家進行二次編輯再生成自己的注冊表文件，別無他用?? 用法：將批處理跟注冊表文件放到服務器上的共享目錄下，通過維護通道調(diào)用批處理導入注冊表文件即可實現(xiàn)所需功能。編輯方法： Registry.pol 軟件策略限制文件放到C:/WINDOWS/system32/GroupPolicy/Machine文件夾下，打開組策略找到軟件限制策略－>其它策略 即可編輯。1.編輯好限制策略后，在組策略里右邊的窗口點右鍵，選擇刷新 2.在注冊表里找到并導出這個項HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Safer/CodeIdentifiers，導出的注冊表就是對應的策略 3.通過維護通道傳送到客戶機，使之生效 4.讓客戶機更新策略，一邊休息去吧??

[此貼子已經(jīng)被作者于2007-12-4 22:32:16編輯過]