首页 > 学术百科

Windows软件限制策略哈希规则

你们是如何禁止指定的程序运行的？是不是以下这两种方法呀？

方法A：组策略（可指定运行或指定禁止运行）

组策略中的禁用程序功能运行“gpedit.msc”命令打开组策略控制台，在里面展开“用户配置-管理模板-系统”，

右侧 “只运行许可的Windows应用程序” 以及 “不要运行指定的windows程序” 策略可以帮你很多。

用户试图运行未被允许的程序，一律弹出“……限制被取消。请与系统管理员联系。”的对话框。

方法B：镜像劫持

例如运行 QQ ，实际上启动 ctfmon，系统将没有任何提示。

你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution " /v debugger /t reg_sz /d "C:\WINDOWS\" /f

呵呵，如果你的答案是“Yes”，那么恭喜你，你在WIIN战队是高手！

不过今天发现一个更好的方法。非原创的哟。就是使用散列规则。

A、开始--运行--spcpol.msc

打开“本地安全设置”，选择“软件限制策略”--“创建新的策略”，创建之后单击“其他规则”，右侧区域将显示规则内容（绝对不要更改其中原有规则，不信你自己收拾崩溃的系统）

B、在右侧区域右击选择“新路径规则”，打开“新路径规则”对话框。

在“新路径规则”对话框的路径文本框中输入“?：\*.*”，安全级别设置为“不允许”，确定既可。

然后依次将下列目录的安全级别设置为“不允许”

1）?:\System Volume Information

2）C:\Documenrs and Settings\*\Local SettingS\Temporary Internet Files

3）?:\Recycled

4）?:\RECYCLER

5）C:\Windows\Downloaded Program Files

6）C:\Windows\system

7）C:\Windows\Tsaks

8）C:\Windows\Temp

9）C:\Windows\systme32\Com

10）C:\Windows\systme32\drivers

11）C:\Documenrs and Settings\*\Local SettingS\Temp

12）C:\Program Files\Common Files

C、在右侧区域右击，选择“新散列规则”，单击“浏览”按钮，定位到“C:\Windows\”文件，选择打开，将安全级别设置为“不允许的”，并填入描述“”以便归类区分。

D、如不对系统进行设置和安全软件的绝对系统，可加上“C:\Windows\systme32\ ” 的散列规则，同样设置为“不允许的”。

E、如果真的要彻底全自动，考虑这样的思路进行：

1、用VBS或BAT，读取“禁止列表”，并写入变量，主要是程序全路径。

2、用VBS的sendkeys，模拟键盘操作GPEDIT.MSC添加这些变量。

3、vbs或bat复制本机的Registry.pol，并远程登陆覆盖目标机器的文件。

F、先在自己机器上手动配置好要限制的程序和路径（不允许的），或

者指定路径下的程序运行（不受限的）。

然后选择“显示系统文件，显示所有文件”。

按目录复制出C:\WINDOWS\system32\GroupPolicy\gpt.ini

C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol

最后复制出Registry.pol文件。

这样做比较适合批量Copy。如果其他机器上要配置，就将Registry.pol文件复制过去。如果要解除所有设置，将Registry.pol文件删除即可。

在服务器上配置好策略后，把Registry.pol和gpt.ini文件同步到客户机的相同目录里，再运行 gpupdate /force 刷新一下组策略就可以了。

老规矩，解释一下。

组策略中的路径规则很多人都有所了解，下面说说散列规则：

所谓的散列规则，简单的说就是提取一个文件的特征信息，如版本、Hash等，然后根据这些信息判断是否是同一个文件。

由于识别原理的关系，文件散列识别的优点是不论文件名改为什么，只要是同一个文件都能正确识别。但他的优点也是他的缺点，如果用散列规则来实现以上的功能，比如当WindowsUpdate更新了被保护的系统文件，文件版本发生了变更，安全策略就会阻止他的运行，造成系统出错。简而言之就是容易带来兼容性问题。所以一般不使用“新散列规则”。

散列规则的制作：

在“本地计算机配置”——“windows设置”——“安全设置”——“软件限制策略”下右键其他规则→新散列规则，在安全级别中选择“不受限的”。

注意事项：

1、路径规则---是不允许的（无论用户的访问权如何，程序都不会运行）。

散列规则---是不受限的（程序访问权由用户的访问权来决定）。

2、路径规则是用来关门的，任何符合“路径”条件的程序都是不能进来运行的。

散列规则是给程序发钥匙的。由于散列规则的级别高于路径规则，所以符合散列规则的程序是可以运行的。

例如：在正常情况下c:\windows\system32目录中只有14个后缀名为.COM的程序文件，如果有多的话，很可能就是病毒了。我们把系统自带的14个.COM程序分别做散列规则，再做一个c:\windows\system32\*的路径规则。这样，那14个.COM程序以外的.COM程序都不能运行了。

部分设置散列及路径：

散列优于路径（散列不受限、路径不允许）

一、C:\下的目录

散列-----NTDETECT.COM

路径-----C:\*.*

二、C:\Program Files下的目录

我回到了清朝1、C:\Program Files\Common Files\Microsoft Shared\MSInfo

散列-----

路径-----C:\Program Files\Common Files

2、C:\Program Files\Internet Explorer下

散列-----

散列-----IEXPLORE.EXE

路径-----C:\Program Files\Internet Explorer

3、C:\Program Files\WinRAR下

散列-----RarExt

dll

散列-----

路径-----C:\Program Files\WinRAR

三、C:\WINDOWS下的目录

windows\里做九个必要的【散列】【不受限】

散列【】路径【EXP??RER.*】

散列【hh.exe】路径【hh.*】

散列【】路径【n*tepad.*】

散列【】路径【reged*t.*】

散列【】路径【taskman.*】

散列【】路径【tw*】

散列【】路径【tw*k_32.*】

散列【】路径【w*?he*p.*】

散列【】路径【w*?h*p32.*】

路径C:\WINDOWS\*.exe

路径C:\WINDOWS\*.*

四、C:\WINDOWS\system32下的目录

1、

C:\WINDOWS\system32\drivers 路径

C:\WINDOWS\system32\config 路径

下面两个散列要到这个路径里C:\WINDOWS\system32\wbem

散列

C:\WINDOWS\system32\wbem 路径

2、C:\windows\system32下面的后缀为COM的14个文件：

散列

【more】

【chcp】

【command】

【diskcomp】

【diskcopy】

【format】

【graftabl】

【graphics 】

【kb16】

【loadfix】

【mode】

【tree】

【win】

【edit】

路径

C:\windows\system32\*

3、C:\windows\SYSTEM32下木马容易伪装的EXE文件20个：

散列路径

【】 csr*.*

【】 win*g*.*

【】 serv*.*

【】 svch*t.*

【】 sp*sv.*

【】 cmd.*

【】 n*tepad.*

【】 a?g.*

【】 c*n*me.*

【】 dllh*st.*

【】 dxd*.*

【】 pr*gman.*

【】 regedt32.*

【】 runa*.*

【】 task*.*

【】 use?.*

【】 sndv*.*

【】 lsas*.*

【】 smss.*

【】 rund*.*

每一个散列做一个路径

附部分路径规则和散列规则制作明细——

00 散列不受限的 NTDETECT.COM

01 路径不允许的 %USERPROFILE%\桌面\*.*

禁止当前用户桌面上所有文件的运行

02 路径不允许的 %USERPROFILE%\Local Settings\Temp\*.*

禁止当前用户临时文件目录下，不含子目录，所有文件的运行

03 路径不允许的 %USERPROFILE%\Local Settings\Temporary Internet Files\*.*

禁止当前用户临时文件目录下，不含子目录，所有文件的运行

04 路径不允许的 *.BAT

禁止任何路径下的批处理文件运行

05 路径不允许的 *.SCR

禁止任何路径下的.scr（屏幕保护）文件运行

06 路径不允许的 C:\*.*

禁止C:\根目录下所有文件的运行

07 路径不允许的 C:\Program Files\*.*

此目录下不应有可执行文件！禁止此级目录下，不含子目录，所有文件的运行新乡地震

08 路径不允许的 C:\Program Files\Common Files\*.*

此目录下不应有可执行文件！禁止此级目录下，不含子目录，所有文件的运行

09 路径不允许的 C:\WINDOWS\Temp\*.*

禁止WINDOWS临时文件目录下

，不含子目录，所有文件的运行

10 路径不允许的 C:\WINDOWS\Config\*.*

此目录下不应有可执行文件！禁止此级目录下，不含子目录，所有文件的运行

11 路径不允许的 C:\WINDOWS\system32\*.LOG

此级目录下不应该有后缀名为LOG的文件

颜氏家训pdf12 路径不允许的 C:\WINDOWS\system32\drivers\*.*

投入产出法此目录下不应有可执行文件！禁止此级目录下，不含子目录，所有文件的运行

13 路径不允许的 C:\WINDOWS\Downloaded Program Files\*.*

禁止WINDOWS临时文件目录下，不含子目录，所有文件的运行 IE限制策略路径1 散列3

14 路径不允许的 C:\Program Files\Internet Explorer\*.*

此目录下只有以下3个文件。禁止IE目录下，不含子目录，所有文件的运行

15 散列不受限的 HMMAPI.DLL (6.0.3790.1830)

所在位置:C:\Program Files\Internet Explorer, 赋予HMMAPI.DLL可运行权限，此文件为ie运行时需调用的动态链接库文件

16 散列不受限的 IEDW.EXE (5.2.3790.2732)

所在位置:C:\Program Files\Internet Explorer, 赋予IEDW.EXE可运行权限，这个是微软新加的IE崩溃检测程序，当IE运行中崩溃时，插件以及崩溃管理系统将分析崩溃时都运行了那些插件，并提交给用户。

17 散列不受限的 IEXPLORE.EXE (6.0.3790.1830)

所在位置:C:\Program Files\Internet Explorer, 赋予IEXPLORE.EXE可运行权限，这是Microsoft Internet Explorer的主程序。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

SYSTEM32目录下容易被木马伪装的EXE 路径20 散列20

索爱mp5

18 路径不允许的 CSRSS.*

阻止任何目录下的伪装成系统文件程序的运行

19 散列不受限的 CSRSS.EXE (5.2.3790.0)

所在位置:C:\WINDOWS\是系统的正常进程。是核心部分，客户端服务子系统，用以控制图形相关子系统。系统中只有一个CSRSS.EXE进程，若以上系统中出现两个(其中一个位于Windows文件夹中)，则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。

20 路径不允许的 LSASS.*

阻止任何目录下的伪装成系统文件LSASS.EXE程序的运行

21 散列不受限的 LSASS.EXE (5.2.3790.0)

所在位置:C:\WINDOWS\是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、发邮件和P2P文件共享进行传播。

22 路径不允许的 RUND??32.*

阻止任何目录下的伪装成系统文件RUNDLL32.EXE程序的运行

23 散列不受限的 RUNDLL32.EXE (5.2.3790.1830)

所在位置:C:\WINDOWS\system32,Rundll32为了需要调用DLLs的程序

24 路径不允许的 SMSS.*

阻止任何目录下的伪装成系统文件SMSS.EXE程序的运行

25 散列不受限的 SMSS.EXE (5.2.3790.1830)

所在位置:C:\WINDOWS\system32,SMSS.EXE进程为会话管理子系统

用以初始化系统变量，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon，Win32（）线程和设定的系统变量作出反映。在启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，就会让系统停止响应。注意：如果系统中出现了不只一个进程，而且有的路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，

26 路径不允许的 SVCH?ST.*

阻止任何目录下的伪装成系统文件SVCHOST.EXE程序的运行

27 散列不受限的 SVCHOST.EXE (5.2.3790.1830)

所在位置:C:\WINDOWS\system32,Service?Host?Process是一个标准的动态连接库主机处理服务。文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。文件定位在系统的Windows\system32文件夹下。在启动的时候，检查注册表中的位置来构建需要加载的服务列表。这就会使多个在同一时间运行。在XP中一般有4个以上的Svc

<服务进程,是系统的核心进程，不是病毒进程只会在C:\Windows\System32目录下到一个程序。如果你在其他目录下发现程序的话，那很可能就是中毒了

28 路径不允许的 WIN??G?N.*