系统裸奔.docx

1、系统裸奔第一步：确定系统当前没有病毒，然后打开：“开始程序管理工具计算机管理本地用户和组用户” 把超级管理员的密码更改到高级别，最好数字与字母，符合的组合，最好更改成十位数以上，比如1A2B3D&2core。第二步：另建立一个新超级管理员用户，他的密码安全级别，同超级管理员一样复杂，目的保留管理员的备份，系统维护时不至于拒之门外。第三步：添加一个或两个用户，比如用户名分别为：temp1、temp2；权限给予user组，平常登录只使用temp1或temp2，打开IE浏览器，并创建他的快捷方式在桌面上，右键单击快捷方式，选择“以其他用户方式运行”点确定！用户名和密码，输入temp1或temp2用户

2、名和密码。第四步：在打开任何网页，就不怕病毒侵蚀了，可以随你浏览网站，而不必再担心中毒等等！因为你当前的系统活动的用户时temp1。而他是不活动的用户，因为我们使用这个不活动的用户去上网时，无论多狡诈的网站，通过IE得到的信息都将让它都将以为这个用户就是你当前活动的用户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使行通，那么被修改掉的，仅仅是本临时用户的一个配置文件罢了，而很多恶意代码和病毒试图通过本用户进行的破坏活动却都将失败，因为本用户根本就没运行，怎么能取得系统的操作权呢？既然取不得，也就对你无可奈何了。而他们更不可能跨越用户来操作，因为微软得配置本来就是各各

3、用户之间是独立的，就如别人不可能跑到我家占据我睡觉用的床一样，它们无法占据temp1或temp2的位置！所以你只要能保证总是以这个用户做代理来上网（但却不要使用temp1或temp2来登陆系统，因为如果那样的话，如果temp1以前中过什么网页病毒，那么在他登陆系统时，他们感染的病毒极有可能被激活！）如果中毒了，就用超级管理员登录，删除temp1或temp2好了，然后重新建立新的临时用户，在网上任意傲游首先定义系统裸奔的意思,就是指不用杀软的监控.自己定义规则来预防病毒.即使受到了病毒和木马的席卷,系统也不会被感染.声明这篇文章有可能涉及到杀软厂商攫取利润的直接利益.惰惰猴只以现在主流的wind

4、ows XP 专业版为例介绍如何建立自己的HIPS,给广大深受毒害的朋友一点启发.看贴的人必须要有良好的windows系统基础知识,了解系统文件夹结构.如果连起码的system32文件夹都不知道在哪的菜鸟,那看懂确实有点困难了,不过人总是要成长的.例子给你了,能不能举一反三就看各位看官的能力了.好了言归正传:不管是病毒木马还是杀软几乎都让我们头疼,那么病毒木马会干些什么呢?废话嘛,当然是拖慢系统,让系统故障,破坏数据,甚至让系统无法启动.那杀软就会阻止病毒和木马的破坏,那么越是检查严格的杀软就越是占用系统的资源,如果你硬件配置不高而以为追求高性能杀软,反而得不偿失.病毒拖慢系统,杀软也拖慢系统

5、.而且病毒木马出生在前,杀软跟进在后.厉害关系尽人皆知.但是如何建立HIPS赋予系统免疫力让系统即使受到了病毒和木马的席卷,也不会被感染呢?恐怕菜鸟只有跪地企求VB.那黑客怎么办?一,堵住路口,启用系统自带防火墙打开始菜单-开运行输入secpol.msc开启本地安全策略(XP专业版本才有,XP HOME没有).右击软件限制策略,选择创建新的策略.然后软件限制策略下会自动创建多个子项.别的地方都不用改.其他规则才是我们要任意发挥水平的地方.注意其他规则里有系统默认的四个注册表规则,不能修改,否则系统将崩溃.现在再右击其他规则.会发现他的菜单里有个新路径规则.好我们就要在路径规则里做文章.这里允许

6、使用通配符,?%比如%windows%就表示c:windows d:windows等不管你windows文件夹在哪个分区,都给你认出来.实例1_杜绝阴暗角落的袭击:很多病毒木马为了逃过用户的追杀都藏在很隐秘的地方,比如回收站,System Volume Information(系统还原文件夹)等,加上隐藏属性,用户很难发觉.而实际上这些文件夹在正常情况下是不会有任何可执行程序的.所以我们可以建立如下规则(右击其他规则,在菜单中选择新建路径规则):在路径框中输入 ?:Recycled*.* 安全级别设置为不允许的特别注意。如果分区文件系统是NTFS，在Windows的NT架构的系统中，即Wind

7、ows NT/2000/XP/2003，会为系统中的每位用户创建各自的回收站文件夹，如果分区文件系统是NTFS，则会保存在Recycler这个文件夹里，而不是Recycled文件夹，因此不用担心是病毒文件夹。则会保存在Recycler这个文件夹里.（在这特别感谢发现问题的cml45朋友）那我们应该：在路径框中输入 ?:Recycler*.* 安全级别设置为不允许的在路径框中输入 ?:System Volume Information*.* 安全级别设置为不允许的在路径框中输入 %windir%system32Drivers*.* 安全级别设置为不允许的在路径框中输入 %windir%syste

8、m*.* 安全级别设置为不允许的通过这四条规则就能屏蔽掉该四个文件夹下任意可执行文件的运行.完美防御了这一类病毒木马的进攻.放心这种格式是不会秒杀掉诸如.txt .jpg这样的文本或者图片文件的.至于这四个文件的功能和重要性,菜鸟自己去XX知道.惰惰猴不想费口水.实例2_杜绝仿冒危险程序:进程仿冒是病毒和木马用得最多的手段.比如system32文件夹下的svchost.exe系统文件,病毒就可以同样用svchost.exe命名,然后放到windows其他任意文件夹下.那运行是XP默认的任务管理器就只会显示svchost.exe进程,而XP正常情况下本来就有很多个svchost.exe进程.这就

9、欺骗了一般的用户.而一般的杀软也只有干瞪眼.本地安全策略则可以永久的免疫这种方式的木马和病毒.我们只需两条规则(右击其他规则,在菜单中选择新建路径规则,在路径中写规则):在路径框中输入 svchost.exe 安全级别设置为不允许的在路径框中输入 %windir%system32svchost.exe 安全级别设置为不受限的注意是不受限的学过程序的人知道优先级关系,那么第二条使用绝对路径的优先级高于第一条基于文件名的路径.也就是system32下的svchost.exe是允许运行的,而其他任意文件夹下的svchost.exe都是是不允许运行的.实例3_杜绝双面病毒木马:用双扩展名迷惑用户的病毒

10、木马也不少.比如mv.jpg.exe 免费得QQ会员的方法.txt.exe等等,再改个扩展名图标,不少火候不够热爱装逼的系统伪高手们就会误以为是个图片文件和文本文件而掉以轻心.中毒再所难免.安全策略就能阻止,当然这可以自由发挥惰惰猴只举两个例子右击其他规则,在菜单中选择新建路径规则,在路径中写规则):在路径框中输入 *.jpg.exe 安全级别设置为不允许的在路径框中输入 *.txt.exe 安全级别设置为不允许的实例4_不禁用U盘,光驱也能防U盘,光驱,病毒假设你的U盘或者光驱的盘符是I和J在路径框中输入 G:*.exe 安全级别设置为不允许的在路径框中输入 G:*.com 安全级别设置为不

11、允许的当然如果你需要用光驱安装软件或者程序的时候就要把G:*.exe和G:*.com 改成不受限的. 防止U盘病毒那么就:在路径框中输入 I:*.exe 安全级别设置为不允许的在路径框中输入 I:*.com 安全级别设置为不允许的一般的U盘病毒还会自己在U盘根目录下建立隐藏的System Volume Information文件夹和Recycled文件夹(哈哈,Recycled其实就是回收站文件夹)那么我给的第一个策略就挡住了.还有就是注意不要死板.尽量多设置几个盘符,比如I,J,K,F.因为电脑一般有多个USB接口,好了费话不说接着来.实例5_对付文件名伪装的病毒和木马:文件名伪装最初是那些

12、菜鸟黑客用的老掉牙的技术.可是我们仍不能不防.比如windows桌面就是explorer.exe那么黑客现在把explorer.exe其中的字母L和O换成数字的0和1.怎样?眼睛疼了吧看得你吐血,你也不见得看清.有些病毒还会老到以.pif为后缀.他和同样是可执行文件,但他们的扩展名,即使在你选择了显示隐藏文件夹扩展名后.都不会显示.废话不说,写在路径框中输入expl0rer.exe注意把字母O换成数字0 安全级别设置为不允许的在路径框中输入exp1orer.exe注意把字母L换成数字1 安全级别设置为不允许的在路径框中输入exp10rer.exe注意把字母L,O换成数字1,0 安全级别设置为不

13、允许的在路径框中输入 安全级别设置为不允许的在路径框中输入*.pif 安全级别设置为不允许的以下是设置好后的图片二,扩展系统防火墙,保护IE和临时文件介绍了本地安全策略-其他规则-路径规则的应用,那大家是否发现路径规的安全级别设置似乎只有不允许的和不受限的两种那么惰惰猴再来教大家扩展,事实上微软还在XP上隐藏了很多安全级别.有一个叫基本用户.什么意思呢?就是界于管理员和受限帐户之间的用户权限.类似windows Vista中的大部分权限.好,废话不说,我们马上开启.打开注册表(XP系统的打开方法是,开始-运行-regedit)找到HKEY_LOCAL_MACHINEsoftwarePolici

14、esMicrosoftWindowsSaferCodeldentifiers新建一个名为Levels的DWORD值.数值设置为一个十进制数131072.关闭注册表.重新注销系统.然后再登陆.打开本地安全策略(运行secpol.msc)本地安全策略-其他规则-路径规则的安全级别设置里就多了个基本用户.好下面我们利用基本用户来写出策略.防止病毒,木马通过捆绑IE浏览器感染临时文件夹.实例_1给IE加盾.挡住网页挂马我们可以用基本用户权限来加载IE防止木马病毒和恶意网站通过IE强行修改系统设置.方法同上,右击其他规则,打开新建路径规则,在打开的路径规则栏里输入%ProgramFiles%Intern

15、etExplorerieplorer.exe(浏览器路径位置也可以用浏览定位,%是通配符表示无论该文件夹在硬盘哪个分区都有效).然后在的安全级别设置中选基本用户.点击确定后退出,在运行中输入gpupdate /force(/号前有空格)回车执行刷新组策略设置.这样IE在上网时就安全多了.最好在把历史记录保存天数设置成0.实例_2不让临时文件夹成为病毒木马的温床经常中毒但有心的朋友可能会留意,目前大部分网络木马病毒都会感染临时文件夹temp.那么惰惰猴就交大家保护TEMP文件夹.方法同上:在路径框中输入 %USERPROFILE%Local SettingsTemp*.* 安全级别设置为基本用户

16、在路径框中输入 %USERPROFILE%Local SettingsTemp* 安全级别设置为基本用户修改完后,在运行中输入gpupdate /force(/号前有空格)回车执行刷新组策略设置.这样一个免费的HIPS防火墙就做好了,那接下来我们要做的就是在编好规则后加固系统.由于篇幅过大.惰惰猴只有分成上,下两篇帖子来介绍用windows XP专业版 系统自造黑客的HIPS防御体系.上篇就说到这里.希望朋友们能举一反三.不要拘泥于形式,有兴趣的朋友且看我敢裸奔 手把手教你提高系统免疫力 唾弃VB100的下篇.重要错误，猴子已经修正：*.jpg.exe *.txt.exe 上篇说到利用WIN

17、XP本地安全策略自定义HIPS防火墙规则.挡住病毒木马的传播通道.好那么我们接着了解什么是HIPS呢?卖点关子.其实HIPS是黑客们才用的防御软件体系,虽然也是监控.却完全不使用VB100那种老土的特征码.相对于那种老土的特征码,HIPS占用的系统资源也可以忽略不计(因为很多就是利用系统本身的功能而不必借助外来软件),HIPS的中文全称是主机入侵防御系统.还有一个通俗的理解系统防火墙,不要诧异!通过实现系统中三项功能就可以防御几乎所有病毒的感染:1,application defend应用程序防御体系.2,regstry defend注册表防御体系.3,file defend文件防御体系.菜鸟

18、们注意,是体系而不是单一功能.好,关子也卖了,上篇惰惰猴已经介绍了应用程序防御体系如何在XP原系统上构建.那么我们现在就来看看XP系统注册表和文件防御体系的系统构建.为了联系上篇,惰惰猴行文方式接上篇(上篇地址三,把好权限关,木马蠕虫全滚蛋(在应用前清先用GHOST或一键还原备份好系统,以防改错)使用下面的权限设置至少满足三个条件:1,系统必须是windows2000/XP/2003(Pro)版,XP HOME不行;2,系统分区必须是NTFS;如是FAT32那种给菜鸟预备的老分区格式请转换成NTFS.转换方法运行里输入cmd打开命令提示字符,然后写convert c:/fs:ntfs (注意c

19、onvert命令后和c之间的空格,如果c盘符有名字系统会提示你输入名字转换,比如惰惰猴的c盘符号是系统,那么只需在命令提示字符里输入系统两字就按下Y键,重启系统就可以转换了) 这样就可以转换过来了,至于FAT32的缺点和NTFS的优点,惰惰猴不想废话,菜鸟如有疑问自己XX知道;3,必须在文件夹选项中取消简单文件共享前的勾并确定设置方法:我的电脑-工具-文件夹选项-查看.大家确认自己在满足条件后方可继续阅读.实例_1彻底堵住注册表被挖穿的墙角比如我们有时双击.doc文档时word会打开,而没装word的系统就会由windows的写字板打开呢?因为word在注册表里关联了DOC文件类型,就像我们安

20、上千千静听后所有的.MP3文件都是千千静听的图标,而再安上realplayer后则.mp3却变成了realplayer的图标呢?这就是一般菜鸟不知道的文件关联,什么类型的文件被什么样的程序所关联了,那什么样的程序就可以控制住被它所关联的所有文件类型.(打开文件类型的方法是在,我的电脑-工具-文件夹选项-查看中去掉隐藏以知文件扩展名前的勾再点确定,比如文本文件是.txt网页文件是.html视频文件是.rmvb等)如果病毒木马利用了这类关联自启动,那么我们在双击后就会受感染.比如某人喜欢用realplayer11看电影,那么默认情况下他的电影就会被realplayer11自动关联.那么他今天下载了

21、一个电影(假设是有毒的rmvb视频文件),那么他在双击电影文件的图标后,就会启动病毒木马替换realplayer11的关联.所以这就是一般好色的人下黄片容易中毒的通病.好了闲话少扯.如何来防止关联被病毒木马替换呢?打开注册表(xp系统直接在运行里输入regedit)分别右击HKEY_CLASS_ROOTexefile和HKEY_CLASS_ROOTtxtfile这两个分支,选择权限.只保留Administrators和SYSTEM用户组,并把权限设置成只读(必须去掉完全控制)如果权限设置是灰色不选的话,可以选高级,然后去除从父项继承那些可以到子对象的权限项目,包含在此明确定义的项目前的勾并点击

22、确定,然后在弹出框中选择删除.即可实例_2给危险的系统目录(system32)修围墙经常中木马的朋友可能会留意木马老会去感染SYSTEM32文件夹里的文件,比如输入法劫持.在中招后木马会劫持我们的ctfmon.exe(输入法可执行程序),那么我们变无法打字.菜鸟往往第一时间就吓的赶紧重装,其实一个好的防御就能避免.在满足惰惰猴给的三个前提的情况下,打开资源管理器,win(crtl和alt中间的微软徽标键)+e,在系统盘下(一般是c盘)找到windows文件夹右击选择属性打开安全选项把除了Administrators和SYSTEM的用户组都删除,然后左键选择Administrators在下面的权

23、限选项中取消完全控制,写入,修改权限前的勾.点应用,最后再左键选择SYSTEM在下面的权限选项中取消完全控制,写入,修改权限前的勾,点应用(注意不要把读取的勾选掉了,否则后果是下次无法启动系统.并且无法恢复.一般我们吊销修改,根据优先级写入也吊销)再照此法对windows文件夹进行用户权限设置.我们就能加固系统,不论正常程序还是病毒都要我们同意后方可进入电脑.那么这样做了后我们模仿病毒在system32和windows文件夹下随便新建个东西,看看后果.是不是被系统以权限不够拦截了呢.好.说到这要千万注意:因为系统是死的,这样设置了后我们在安装其他软件时系统也会以权限不够为理由阻挡.好办.我们反

24、过来分别对增加windows文件夹和system32文件夹属性里安全项Administrators和SYSTEM用户组的,写入和修改权限.分别应用后(这时写入的优先级就大于修改了,我们可以先点写入的勾,修改则自动打勾)就可以了.注意不要增加完全控制.我们安好程序或者软件后,需要重启的等重启后再吊销windows文件夹和system32文件夹的权限.这样做连系统最高权限都被我们控制了.所以强权之下病毒木马都滚蛋.实例_3利用安全策略对付黑客权限提升权限的办法对付一般病毒木马算够用了,但是黑客可不是傻瓜.他们可以利用系统的Shell权限来提升自己木马或破解程序在系统里的运行权限.那么我们都知道wi

25、ndows的权限提升是靠net命令实现的.我们只需要对net命令实施一个加密,那么黑客就需要破解了,一般的黑客是不会花大力气来破解我们个人用户的.学过系统加密的人都了解一种叫哈希值的散列函数,用哈希加密后的密文只能用暴力破解.好,如果不知道什么叫哈希值,暴力破解还是去XX知道,惰惰猴不想为常识浪费篇幅.打开本地安全策略(运行secpol.msc)-软件限制策略-其他规则.右击其他规则选则新建散列规则.在文件新建散列下位置里输入c:windowssystem32net.exe或者用浏览查找.写完规则后点击应用.看到了吧里面就是随机的哈希值密文.这样就把黑客提升曲线想法逼到了绝境,这样花大力气的破

26、解我们个人电脑值得吗?好了这样我们的系统加固就基本完成了,但是别忘了,还有CMD命令.依照禁用NET命令禁用cmd命令.这样就决断了任何除我们之外的权限提升.前提是你的帐户必须要有一个大于六位数的密码,别问惰惰猴我什么叫帐户密码.我会疯的.实例_4文件型病毒.不得不看特征.既然裸奔,那怎么还要特征呢,因为系统即使做了非常严密的HIPS方案,但HIPS的策略方案主要集中在木马和恶意程序上.而老的文件型病毒还是得靠特征码来识别.尽管文件型病毒越来越老土而不流行了，但我们还是要严加防范.所以惰惰猴推荐爱裸奔的人定期去免费的在线杀毒去扫扫毒,当然也可以用免费的杀软或者是收钱的杀软,不过这样了就不叫裸奔

27、了.不过着凉还会感冒何况裸奔呢,定期检查身体很重要.上面的HIPS策略和权限已经设置的很好了,所以不用担心你用杀软扫描时杀软会被秒杀.因为文件型病毒无法剥离杀软挂钩的.了解权限和挂钩就可以,一眼看出那些技术又差,又装成高手的装逼者们丑态.杀软无好坏前提是是指你要会权限和安全策略的设置来保护杀软挂钩.别拿什么自我保护好坏说事.你是菜鸟就别装逼.好了多说了点感慨.大家还要重视IE的安全级别,最好调高安全接别.在自定义下安全选项.适合自己就好,这里不再废话.还有就是运行任何网游时也要注意多个心眼.最后再把我给大家的HIPS方案看一遍,还少了注册表监控.恩这好办了,装个360安全卫士,把系统关键位置保

28、护打开就可以了.说了那么多相信各位看官也烦了,但是不得不提醒的就是病从口入这个原理,不要理解错了,不是端口而是惰惰猴要特别提醒的USB接口.autorun.inf引导,呵呵不用我罗嗦了,菜鸟都知道的感染方式.请朋友们最好关闭系统的自动运行功能.打开组策略(运行gpedit.msc)点开左分支.计算机配置-管理摸板-系统.找到右侧的关闭自动播放项目.双击打开.在弹出的属性窗口中进入设置选项卡,选择已启用在下拉菜单中选择所有驱动器.点确定.最后在运行中输入cmd打开命令提示字符,再输入gpupdate /forceOK搞定.说了那么多惰惰猴其实就是给了大家黑客的HIPS裸奔方案.不要再盲目相信VB

29、100了.这让我想起了一则今天下午的QQ新闻-因为感冒发烧,去大医院检查却花了1000多元.难道发烧一般的诊所看不了?是宁愿天天花钱吃药治病,还是提高自己的抵抗力呢?呵呵,我惰惰猴就在这给VB100一个强烈的鄙视.当然惰惰猴不推荐大家裸奔,只是希望大家了解HIPS.如果我们能把自己的HIPS方案和我们自己用得惯的杀软结合.我们就真正的做到了百毒不侵.当然不可骄傲,系统备份也重要.-惰惰猴完稿于2008-08-01下午15:40本文涉及惰惰猴知识著作权,首发360百科论坛任何个人不得转载注意下划线只有一个 高手的电脑都是裸奔的！教会你 Post By：2008-11-10 1:26:00 最早在

30、360杀毒当中发过该贴。但是不知道被管理员转到哪弄掉了。今天把所有的再重新发一遍。以便大家分享。菜鸟注意切莫模仿。以现在主流的windows XP 专业版为例介绍如何建立自己的HIPS,给广大深受毒害的朋友一点启发.看贴的人必须要有良好的windows系统基础知识,了解系统文件夹结构.如果连起码的system32文件夹都不知道在哪的,那看懂确实有点困难了.在这只给例子,能不能举一反三就看各位看官的能力了.好了言归正传:不管是病毒木马还是杀软几乎都让我们头疼,那么病毒木马会干些什么呢?废话嘛,当然是拖慢系统,让系统故障,破坏数据,甚至让系统无法启动.那杀软就会阻止病毒和木马的破坏,那么越是检查严格的杀软就越是占用系统的资源,如果你硬件配置不高而以为追求高性能杀软,反而得不偿失.病毒拖慢系统,杀软也拖慢系统.而且病毒木马出生在前,杀软跟进在后.厉害关系尽人皆知.但是如何建立HIPS赋予系统免疫力让系统即使受到了病毒和木马的席卷,那黑客怎么办?一,堵住路口,启用系统自带防火墙打开始菜单-开运行输入secpol.msc开启本地安全策略(XP专业版本才有,XP HOME没有).右击软件限制策略,选择创建新的策略.然后软件限制策略下会自动创建多个子项.别的地方都不用改.其他规则才是我们要任意发挥水平的地方.注意其他规则里有系统默认的四个注册表规则,不能修改,否则系统