1、.：.；一、軟件限制戰略的作用 首先說一下HIPS的3D AD程序維護 維護運用程序不被惡意修正、刪除、注入 FD文件維護 維護關鍵的文件不被惡意修正、刪除，制止惡意程序創建和讀取文件 RD注冊表維護 維護注冊表關鍵位置不被惡意修正、讀取、刪除 XP系統軟件限制戰略可以做到上面的AD與FD，至于RD，可以經過注冊表權限設置來實現 因此可以說，XP本身就具備3D功能，只是不被大家所熟習。 二、軟件限制戰略的優優勢 1、優勢 優勢是很明顯的，它是系統的一部分，不存在兼容性問題，不占用內存，屬于系統最底層維護，維護才干遠不是HIPS可以比較的 2、優勢 優勢也很明顯，與HIPS相比，它不夠靈敏和智能

2、，不存在學習方式，它只會默許阻止或放行，不會訊問用戶，假設規那么設置不當，能夠導致某些程序不能運轉 三、軟件限制戰略 規那么編寫實例 我直接以一些最常見的例子來闡明 1、首先要學會系統通配符、環境變量的含義，以及軟件限制戰略規那么的優先級 關于這一點，大家可以看“2樓2、如何阻止惡意程序運轉 首先要留意，惡意程序普通會藏身在什么地方 ？:分區根目錄 C:WINDOWS 后面講解一概以系統在C盤為例 C:WINDOWSsystem32 C:Documents and SettingsAdministrator C:Documents and SettingsAdministratorApplic

3、ation Data C:Documents and SettingsAll Users C:Documents and SettingsAll UsersApplication Data C:Documents and SettingsAdministrator開場菜單程序啟動 C:Documents and SettingsAll Users開場菜單程序啟動 C:Program Files C:Program FilesCommon Files 留意： C:Documents and SettingsAdministrator C:Documents and SettingsAdminis

4、tratorApplication Data C:Documents and SettingsAll Users C:Documents and SettingsAll UsersApplication Data C:Documents and SettingsAdministrator開場菜單程序啟動 C:Documents and SettingsAll Users開場菜單程序啟動 C:Program Files C:Program FilesCommon Files 這8個途徑下是沒有可執行文件的，只需在它們的子目錄下才有能夠存在可執行文件，那么基于這一點，規那么就容易寫了 %ALLAP

5、PDATA%*.* 不允許的 %ALLUSERSPROFILE%*.* 不允許的 %ALLUSERPROFILE%開場菜單程序啟動*.* 不允許的 %APPDATA%*.* 不允許的 %USERSPROFILE%*.* %USERPROFILE%開場菜單程序啟動*.* 不允許的 %ProgramFiles%*.* 不允許的 %CommonProgramFiles%*.* 不允許的 那么對于 C:WINDOWS C:WINDOWSsystem32 這兩個途徑的規那么怎樣寫呢？ C:WINDOWS下只需explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序是需求運轉的，而其他都

6、不需求運轉 那么其規那么可以這樣寫： %SYSTEMROOT%*.* 不允許的 首先制止C:WINDOWS下運轉可執行文件 C:WINDOWSexplorer.exe 不受限的C:WINDOWSnotepad.exe 不受限的C:WINDOWSamcap.exe 不受限的 C:WINDOWSRTHDCPL.EXE 不受限的 然后利用絕對途徑優先級大于通配符途徑的原那么，設置上述幾個排除規那么，那么，在C:WINDOWS下，除了explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序可以運轉外，其他一切的可執行文件均不可運轉 對于C:WINDOWSsystem32就不能像上面那

7、樣寫規那么了，在SYSTEM32下面很多系統必需的可執行文件，假設一個一個排除，那太累了。所以，對system32，我們只需對它的子文件作一些限制，并對系統關鍵進程進展維護 子文件夾的限制 %SYSTEMROOT%system32config*.* 不允許的 %SYSTEMROOT%system32drivers*.* 不允許的 %SYSTEMROOT%system32spool*.* 不允許的 當然他可以限制更多的子文件夾 3、如何維護system32下的系統關鍵進程 有些進程是系統啟動時必需加載的，他不能阻止它的運轉，但這些進程又經常被惡意軟件仿冒，怎樣辦？其實很簡單，這些仿冒的進程，其途

8、徑不能夠出如今system32下，由于它們不能夠交換這些中心文件，它們往往出如今其他的途徑中。那么我們可以這樣應對： C:WINDOWSsystem32csrss.exe 不受限的 C:WINDOWSsystem32ctfmon.exe 不受限的 C:WINDOWSsystem32lsass.exe 不受限的 C:WINDOWSsystem32rundll32.exe 不受限的 C:WINDOWSsystem32services.exe不受限的 C:WINDOWSsystem32smss.exe 不受限的 C:WINDOWSsystem32spoolsv.exe 不受限的 C:WINDOWSs

9、ystem32svchost.exe 不受限的 C:WINDOWSsystem32winlogon.exe 不受限的 先完全允許正常途徑下這些進程，再屏蔽掉其他途徑下仿冒進程 csrss.* 不允許的.*表示恣意后綴名，這樣就涵蓋了batcom等等可執行的后綴 ctfm?n.*不允許的 lass.* 不允許的 lssas.* 不允許的 rund*.* 不允許的 services.* 不允許的 smss.* 不允許的 sp?sv.* 不允許的 s?h?st.* 不允許的 s?vch?st.* 不允許的 win?g?n.* 不允許的 4、如何維護上網的平安 在閱讀不平安的網頁時，病毒會首先下載到I

10、E緩存以及系統暫時文件夾中，并自動運轉，呵斥系統染毒，在了解了這個感染途徑之后，我們可以利用軟件限制戰略進展封堵 %SYSTEMROOT%tasks*.* 不允許的 這個是方案義務，病毒藏身地之一 %SYSTEMROOT%Temp*.* 不允許的 %USERPROFILE%Cookies*.* 不允許的 %USERPROFILE%Local Settings*.* 不允許的這個是IE緩存、歷史記錄、暫時文件所在位置 另外可以免疫一些常見的流氓軟件 3721.* 不允許的 CNNIC.* 不允許的 *Bar.* 不允許的 等等，不贅述，大家可以本人添加 留意，*.* 這個格式只會阻止可執行文件，

11、而不會阻止 .txt.jpg 等等文件 另外演示兩條制止從回收站和備份文件夾執行文件的規那么 ?:Recycler*.* 不允許的 ?:System Volume Information*.* 不允許的 5、如何防止U盤病毒的入侵 這個簡單，兩條規那么就可以徹底搞定 ?:autorun.inf 不允許的 ?:*.* 不允許的 6、預防雙后綴名的典型惡意軟件 許多惡意軟件，他有雙后綴，比如 mm.jpg.exe 由于很多人默許不顯示后綴名，所以他看到的文件名是mm.jpg 對于這類惡意，我本來想以一條規那么徹底免疫 *.*.*不允許的 可是這樣做了之后，卻發現我的ACDSee 3.1 無法運轉

12、于是改成 *.?.bat 不允許的 *.?d 不允許的 *.? 不允許的 *.?.exe不允許的 *.?.pif 不允許的 這樣5條規那么，ACDSEE沒有問題了。我如今還沒搞清楚，我的ACDSEE并沒有雙后綴，為何不能運轉 7、其他規那么 留意%USERPROFILE%Local Settings*.*這條規那么設置后，制止了從暫時文件夾執行文件，那么一些自解壓的單文件就無法運轉了，由于這類文件是首先解壓到暫時文件夾，然后從暫時文件夾運轉的。假設他的電腦中有自解壓的單文件，那么，刪除這條規那么，添加3條： %USERPROFILE%Local SettingsApplication Data*.* 不允許的 %USERPROFILE%Local SettingsHistory*.* 不允許的 %USERPROFILE%Local SettingsTemporary Internet Files*.* 不允許的 威金的預防，很簡單三條 logo?.* 不允許的 logo?.* 不允許的_desktop