17173首页-看新闻-找游戏-单机站-小游戏-社区-公会-视频-照片-博客-下载-玩游戏
社区公告:
返回论坛首页 > 经营之道
好友网络会所 Top楼主 ·修改 ·删除 ·引用 ·举报该贴发表于2007-11-30 09:19:56
  • 发贴  42
  • 积分  86
  • 性别  
 
  • 加入  2007-11-29
一楼是方案介绍跟实施方法;
二楼是“广告帖”,给大家看效果以及本方法与其他方法的简单对比;
七楼是盟友们遇到的问题以及本人对问题的解答;
十二楼是一些难得的强人的方案

希望大家有好方案不要藏着,拿出来,我们一起对付病毒发布者!

向病毒的制造和发布者宣战,哈哈哈哈!!!

防止漏洞攻击:

系统补丁一定要打上,虽然不是要求每一台客户机,但是母盘总要两三个月打一次补丁吧!
强烈建议将c盘转成ntfs

关于Real溢出漏洞的测试:



www.77bbb.com

具体步骤及现象:

1.打开IE浏览器,找到本帖,点击该地址;
2.点击后3秒左右出现realplayer,然后real自动消失
观察到:起先没异常,点了网址后cpu满了一秒左右,然后回复正常。

PS:期间开了任务管理器来看着的,没有多一个进程!应该是real的溢出漏洞吧!另,我的系统补丁打到了八月的。

重启回来了,没发现异常!

防止浏览网页中毒:

将三个不安全的组件进行卸载
regsvr32 /u /s %SystemRoot%\system32\SHELL32.dll
  regsvr32 /u /s %SystemRoot%\system32\wshom.ocx
  regsvr32 /u /s %SystemRoot%\system32\scrrun.dll
******************************************************************
** Scripting.FileSystemObject 是由系统目录中的scrrun.dll实现 **
** WScript.Shell 是由系统目录中的wshom.ocx实现 **
** Shell.Application 是由系统目录中的SHELL32.dll实现 **
******************************************************************

*************************************************************************
*影响: *
*  scrrun.dll,wshom.ocx,SHELL32.dll这几个组件基本都是给脚本调用的, *
*我们常见的脚本又大多在网页中,而含有这些类型的网页通常利用脚本来后台下 *
*载和运行病毒。只要我们自己的程序不去调用这些组件,那基本没什么问题了。 *
* *
* 不过我也发现了个别情况,比如Visual Studio .Net 2003开发工具,它创建*
*一个工程时,所使用的工程模板中用到了脚本,并使用了 *
*Scripting.FileSystemObject对象,因而会出现创建工程失败的问题。还有 *
*Office 2003里,也会用到这个组件,但不影响正常使用。 *
*************************************************************************

系统安全策略上进行设置,阻止绝大多数自动下载的EXE病毒,策略示例见下图(下载在二楼):


此主题相关图片如下:


测试过了,绝对有效!(本策略仅做了基本通用的设置,没有考虑通过运行临时文件夹内可执行文件升级的游戏程序。具体实施的策略大家可以增加适当允许策略,如果有疑问的,请在此提出我尽量帮大家完成!)

或许有人会问用*.*这个通配符不就所有的文件都不能运行了吗?

我的回答是:放心,我已经亲自测试过,用*.*这种格式并不会屏蔽掉txt或者jpg之类的其他非可执行程序,换言之这种格式仅屏蔽可执行文件如.exe.bat.vbs.reg.cmd.com等。


关于可能会有网络游戏不能升级或运行的问题:

原因是这些网游下载了东西到临时文件夹下,并执行该程序来检测是否升级而策略禁止了这个动作的执行。可以在计算机管理->事件查看器->应用程序 查看日志记录里提示禁止了什么动作?把该文件的动作加为允许的策略,因为允许的策略优先于禁止的策略,所以你设置了允许的策略肯定就没有问题了……

此主题相关图片如下:

(由于各个网吧的提供的网游各不相同,所以这里就留给大家发挥了)

关于为什么我没有弄各个游戏的允许策略问题的解释:
刚才有网友在Q上问了我征途不能玩的问题,我让他看了一下日志,他的系统日志:【对 E:\网络游戏\征途\patchupdate.exe.tmp2 的访问被您的管理员根据位置用路径 *.*.* 上的策略规则 {298a61b4-6b02-4240-8589-ff086357bc27} 限制了】
大家说,你们的路径会跟这位网友完全相同的有几个?如果说加一个通用的,比如直接允许patchupdate.*.*(最安全的是在允许策略里填上具体路径如:E:\网络游戏\征途\patchupdate.exe.*),那万一疯狗的主人调教疯狗,让他捆绑到其它软件上然后释放这么一个文件,那我的这个策略不是没有效果了吗?——当然,如果疯狗的作者搞到感染exe文件的地步,这个问题就不只是网吧的问题,离走上熊猫的作者的道路也不远了。
关于很多人说不可行的原因:

经过这几天的观察以及网友的留言跟善意提醒,我发现大多数说运行不了某某游戏的网管朋友们主要是对以下策略不了解,所以现在特别向大家申明一下:

一、“*.*.*禁止”这条*.*.*禁止策略会禁止例如CS1.5.exe这样格式的可执行文件,这条策略限制的初衷是防止类似*.jpg.exe这样的垃 圾病毒的。

建议:如果大家觉得实在不合适,可以把它删掉,换成以下格式
===============================================
*.avi.*,路径,不允许的,禁止执行双扩展名文件
*.bmp.*,路径,不允许的,禁止执行双扩展名文件
*.chm.*,路径,不允许的,禁止执行双扩展名文件
*.doc.*,路径,不允许的,禁止执行双扩展名文件
*.gif.*,路径,不允许的,禁止执行双扩展名文件
*.hlp.*,路径,不允许的,禁止执行双扩展名文件
*.in?.*,路径,不允许的,禁止执行双扩展名文件
*.jpg.*,路径,不允许的,禁止执行双扩展名文件
*.mp?.*,路径,不允许的,禁止执行双扩展名文件
*.mpeg.*,路径,不允许的,禁止执行双扩展名文件
*.png.*,路径,不允许的,禁止执行双扩展名文件
*.ppt.*,路径,不允许的,禁止执行双扩展名文件
*.rar.*,路径,不允许的,禁止执行双扩展名文件
*.reg.*,路径,不允许的,禁止执行双扩展名文件
*.rm.*,路径,不允许的,禁止执行双扩展名文件
*.rmvb.*,路径,不允许的,禁止执行双扩展名文件
*.scr,路径,不允许的,**禁止其他scr运行
*.swf.*,路径,不允许的,禁止执行双扩展名文件
*.torrent.*,路径,不允许的,禁止执行双扩展名文件
*.txt.*,路径,不允许的,禁止执行双扩展名文件
*.vb?,路径,不允许的,##禁止调用*.vbs
*.wm?.*,路径,不允许的,禁止执行双扩展名文件
*.xls.*,路径,不允许的,禁止执行双扩展名文件
*.zip.*,路径,不允许的,禁止执行双扩展名文件

===============================================
二、“C:\Documents and Settings\Administrator\Local Settings\Temp\*.* ,禁止”这条:
主要是有些网游的设计者总是喜欢把升级器弄到这个临时文件夹里面运行,然后下载升级的东西……

建议:删掉或者做更详细的策略限制,如禁止*.bat,*.exe等等……
===============================================
三、CMD.exe改名
由于CMD被改名,而系统默认bat、cmd文件关联为它才能执行,改名后导致批处理不能运行。

建议:cmd不改名……

例如,我这里就有客人来用什么turboc的,不把这三条改了就运行不起……
如果想做通用策略,可以考虑上面的三条建议!当然,改了安全性就稍稍降低了,但是对于“防上网中毒”效果还是能达到题目所说的99%!




其他:
修改c:\WINDOWS\SYSTEM32\CMD.exe 为任意名字
修改c:\WINDOWS\SYSTEM32\cacls.exe 为任意名字
修改c:\WINDOWS\SYSTEM32\ftp.exe 为任意名字
修改c:\WINDOWS\SYSTEM32\tftp.exe 为任意名字
修改c:\WINDOWS\SYSTEM32\attrib.exe 为任意名字




橙色部分内容的实现批处理(开放还原时切记开完机后——再接网线):

regsvr32 /u /s %SystemRoot%\system32\SHELL32.dll
regsvr32 /u /s %SystemRoot%\system32\wshom.ocx
::::开机完成后要保留vbs功能的请将上面这行删掉!
regsvr32 /u /s %SystemRoot%\system32\scrrun.dll
cd /d %SystemRoot%\system32
ren ftp.exe ljj.exe
ren tftp.exe pdff.exe
ren attrib.exe iuf.exe
::::::开机完成后要对文件进行属性修改操作的请把上面这条删掉!
ren cacls.exe kdsf.exe
::::开机完成后要对文件进行权限操作的请把上面这条删掉!
ren cmd.exe xcv.exe
::::开机完成后要使用bat或者cmd文件的请把上面这条删掉!
exit

还是那句话:记得在有还原保护的情况下使用!

如果放在脚本或者跟其它批处理一起使用时,请把这部分内容放到代码末端,最后执行!
====================客串分隔线=====================
如果解还原后执行了上面的批处理,请把下面的命令行保存成bat:

regsvr32 /i /s %SystemRoot%\system32\SHELL32.dll
regsvr32 /i /s %SystemRoot%\system32\wshom.ocx
regsvr32 /i /s %SystemRoot%\system32\scrrun.dll
cd /d %SystemRoot%\system32
ren kdsf.exe cacls.exe
ren ljj.exe ftp.exe
ren pdff.exe tftp.exe
ren iuf.exe attrib.exe
exit

然后,进入系统后在“运行”填入你修改后的cmd.exe名(如本例中的xcv.exe),在出现的命令提示符窗口找到本批处理并运行即可恢复正常。
PS:这样做了以后还能防Autorun及XX.jpg.exe,XX.txt.exe看似图片或者文本类病毒!

本策略的目的是:不装杀软,安全上网!

本方法的最大特点:不在系统增加任何文件,绿色环保!

注意:橙色部分请在有还原的情况下通过维护通道实现,大面积使用前测试时间最好不要少于一天,否则会引起维护通道失效或者其他后果,请慎用!
另,发现某些菜单和VD更新要使用VBS,含有regsvr32 /u /s命令的三行请仔细斟酌后使用!

如果还有什么更好的做法,希望大家提出来交流一下!

还是加个说明的好啊:

我的压缩包里,必要的文件就两个:DNetVirus.bat 和DNetVirus.reg ,通过维护通道调用使之生效,无需解开还原重启才生效,是立刻马上起作用的。Registry.pol这个文件发出来主要是为了方便大家进行二次编辑再生成自己的注册表文件,别无他用……

用法:
将批处理跟注册表文件放到服务器上的共享目录下,通过维护通道调用批处理导入注册表文件即可实现所需功能。

编辑方法:
Registry.pol 软件策略限制文件放到C:\WINDOWS\system32\GroupPolicy\Machine文件夹下,打开组策略找到软件限制策略->其它策略 即可编辑。

1.编辑好限制策略后,在组策略里右边的窗口点右键,选择刷新
2.在注册表里找到并导出这个项HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers,导出的注册表就是对应的策略
3.通过维护通道传送到客户机,使之生效
4.让客户机更新策略,一边休息去吧……
gfd gdg Top1 ·修改 ·删除 ·引用 ·举报该贴发表于2008-01-12 13:32:32
  • 发贴  21
  • 积分  38
  • 性别  
 
  • 加入  2004-09-25
顶哈,这样也想的出 不过坚持不了多久`
快速回复

内容

 Ctrl+ENTER提交回复

默认表情