[原创]也谈100%防上网病毒的最终实际应用（可自定义路径以及文件类型）[天下网盟

爱摸夜螺丝

等级：上校

帖子：2009

积分：2274

威望：0

精华：2

注册：2005年6月19日

发帖心情 [原创]也谈100%防上网病毒的最终实际应用（可自定义路径以及文件类型） Post By：2007-5-5 11:40:11

今天把一个朋友编写的防护网页木马的VBS发了出来，他做的这个脚本可以自定义路径以及类别以及更完美的解决了某些游戏更新与执行的问题，在这里对他表示深深的感谢-----浩月。

具体的功能如下： '功能:禁止在临时目录%temp%\*.*、%ietemp%\Content.IE5\*.*及其它指定路径中运行指定的后缀名 '如果与某个游戏不兼容时，也就是某个游戏会自动生成执行文件到被禁的目录，请把路径加到白名单中 '程序本身已兼容梦幻西游、大话西游更新，并自动取系统的临时目录和IE临时目录加入黑名单列表。 ' - 浩月.net 编写

以下为VBS脚本：

'功能:禁止在临时目录%temp%\*.*、%ietemp%\Content.IE5\*.*及其它指定路径中运行指定的后缀名 '如果与某个游戏不兼容时，也就是某个游戏会自动生成执行文件到被禁的目录，请把路径加到白名单中 '程序本身已兼容梦幻西游、大话西游更新，并自动取系统的临时目录和IE临时目录加入黑名单列表。 ' - 浩月.net 编写

On Error Resume Next setupgpedit()

Function setupgpedit() '利用组策略的软件安全防止网站木马和恶意程序 On Error Resume Next Dim WshShell, IETempPath, hjmlist, keypath, pathlist,num8 '------------------------------------------------------------------------↓开放运行的程序路径(白名单) '------------------------------------------------------------------------↓支持多路径,以分号隔开 filepath="%temp%\gpatch.exe;" '------------------------------------------------------------------------↓路径列表(黑名单路径) '------------------------------------------------------------------------↓支持多路径,以分号隔开

'------------------------------------------------------------------------↓支持多路径,以分号隔开 pathlist = "C:\Test\;" '------------------------------------------------------------------------↓要禁止的后缀名列表(黑名单后缀) '------------------------------------------------------------------------↓支持多路径,以分号隔开 hjmlist = "exe;com;bat;cmd;vbs;vbe;" '------------------------------------------------------------------------↓禁止运行默认路径 keypath="HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\" '------------------------------------------------------------------------↓开放运行默认路径 keyfile="HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\" '------------------------------------------------------------------------↓分割后缀后列表 namelist=Split(hjmlist,";") Set WshShell = WScript.CreateObject("WScript.Shell") '------------------------------------------------------------------------↓取IE缓存路径并加入路径列表 pathlist=WshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") & "\Content.IE5\;"&pathlist pathlist=WshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") & "\Content.IE5\*\;"&pathlist '------------------------------------------------------------------------↓取临时目录路径并加入路径列表 pathlist=WshShell.RegRead("HKEY_CURRENT_USER\Environment\Temp")&"\;"&pathlist pathlist=WshShell.RegRead("HKEY_CURRENT_USER\Environment\Temp")&"\*\;"&pathlist '------------------------------------------------------------------------↓分割路径列表 pathlists=Split(pathlist,";") '------------------------------------------------------------------------↓分割开放运行的列表 filepaths=Split(filepath,";")

'------------------------------------------------------------------------↓循环路径列表 WshShell.RegDelete keypath

'------------------------------------------------------------------------↓开始写开放策略 For w = 1 to int(UBound(filepaths)) step 1 '------------------------------------------------------------------------↓置随机种子 Randomize '------------------------------------------------------------------------↓取6位随机数并转成16进制 num6=Str2Hex(Int((899999 * Rnd) + 100000)) '------------------------------------------------------------------------↓写注册表项 WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\",,"REG_SZ" WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\LastModified",0,"REG_BINARY" WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\Description","开放运行文件"&filepaths(w-1),"REG_SZ" WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\SaferFlags",0,"REG_DWORD" WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\ItemData",filepaths(w-1),"REG_EXPAND_SZ" Next '------------------------------------------------------------------------↓开放策略完毕

'------------------------------------------------------------------------↓开始写禁止策略 For o = 1 to int(UBound(pathlists)) step 1 '------------------------------------------------------------------------↓循环后缀名列表 For p = 1 to int(UBound(namelist)) step 1 '------------------------------------------------------------------------↓置随机种子 Randomize '------------------------------------------------------------------------↓取6位随机数并转成16进制 num6=Str2Hex(Int((899999 * Rnd) + 100000)) '------------------------------------------------------------------------↓写注册表项 WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\",,"REG_SZ" WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\LastModified",0,"REG_BINARY" WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\Description","禁止运行本路径中的"&namelist(p-1)&"文件","REG_SZ" WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\SaferFlags",0,"REG_DWORD" WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\ItemData",pathlists(o-1)&"*."&namelist(p-1),"REG_EXPAND_SZ" Next Next '------------------------------------------------------------------------↓结束指定进程 exitprocess("explorer.exe") '------------------------------------------------------------------------↓更新组策略 WshShell.Run ("gpupdate /force"),0 '------------------------------------------------------------------------↓刷新桌面 WshShell.Run ("RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters") End Function

Function exitprocess(exename)'结束指定进程,可以是程序名或程序路径 strComputer="." Set objWMIService = GetObject ("winmgmts:\\" & strComputer & "\root\cimv2") Set colItems = objWMIService.ExecQuery ("SELECT * FROM Win32_process") For Each objItem in colItems if objitem.ExecutablePath<>"" then '=========================先判断命令路径是否符合 if instrs(objitem.ExecutablePath,exename) = False then '命令路径符合就结束 objItem.Terminate() else if instrs(objitem.Name,exename) = False then '命令路径不符合时判断程序名 objItem.Terminate() end if end if else if instrs(objitem.Name,exename) = False then '命令路径为空时直接判断程序名是否符合 objItem.Terminate() end if end if Next End Function

Function instrs(patrn, strng) '搜索指定字符是否存在 Dim regEx, retVal Set regEx = New RegExp regEx.Pattern = patrn regEx.IgnoreCase = True ' 是否区分大小写。 retVal = regEx.Test(strng) If retVal Then instrs = False Else instrs = True End If End Function

Function Str2Hex(ByVal strHex) '返回16进制字符串 Dim sHex,tempnum For i = 1 To Len(strHex) sHex = sHex & Hex(Asc(Mid(strHex,i,1))) Next Str2Hex = sHex End Function

更新了下

感谢某位朋友提供的思路，解决了运行后CMD.EXE无法自动关闭的问题

包括了卸载补丁，都是立即运行生效的

之前在某论坛看到了篇文章，是说通过在组策略建立路径规则，不允许从临时文件夹启动任何可执行文件（.exe/.bat./.cmd/.com等)，以此达到防病毒的目的。具体的方法如下运行里面输入 GPEDIT.MSC,然后----计算机配置---WINDOWS设置---安全设置---软件限制策略----其他规则，点右键选创建新的规则---然后选新路径规则，在路径栏目里面输入 %USERPROFILE%\Local Settings\Temp\（这个是当前用户临时文件夹的变量）*.exe，*.exe这个是你想要限制从临时文件夹启动的文件类型，比如*.bat/*.cmd等，一般我们限制可执行文件就好了，当然你也可以通过这个方法限制其他路径的文件是否允许执行。一般IE临时文件默认的下载目录都是在临时文件夹中，我们禁止任何可执行文件从临时文件夹启动，这样应该对病毒防御有一定的效果，另外比如某些游戏比如大话等需要从临时文件夹启动的游戏自动升级可能无法运行，不过我们只要随时注意在自己的游戏主机升级这些游戏，也没有什么影响的把。这个方法虽然有效，但是我们的网吧系统也许都在正常的运行中把，如果需要一台台的去修改的话，也挺麻烦的，所以我为了方便操作，把自己设置好的规则导出来，做成了批处理，你可以通过你的开机维护通道来加载。可能会闪动一下，那是在强制刷新系统，自己再用个VBS去黑框把。暂时没有发现有什么副作用，有觉得可以的朋友可以拿去试下，帮忙测试下有没有效果，或者有什么病毒网站，（自动下文件并且运行的那种最好），发出来我去测试下。

测试了下，通过维护通道加载实际的应用方法必须如下：

先做一个批处理如下

@echo off

regedit/s \\该策略的注册表文件的共享路径

taskkill /im explorer.exe /f gpupdate/force RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

start explorer.exe

exit

在开机的维护批处理里面加上上面的内容

这样才可以立即生效，批处理直接导入的好像没有效果

以下是实际应用的批处理，不过需要用到的是注册表，我在附件中发出来了的，包括卸载的注册表

@echo off echo Windows Registry Editor Version 5.00>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{27122b10-e1d1-47c5-a299-b7d4286539a9}]>>tmp.reg echo "LastModified"=hex(b):e0,ad,60,64,b9,8e,c7,01>>tmp.reg echo "Description"="">>tmp.reg echo "SaferFlags"=dword:00000000>>tmp.reg echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg echo 2e,00,63,00,6f,00,6d,00,00,00>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{45c49d12-7feb-48b6-81c8-516f801d1062}]>>tmp.reg echo "LastModified"=hex(b):f6,fc,03,61,b9,8e,c7,01>>tmp.reg echo "Description"="">>tmp.reg echo "SaferFlags"=dword:00000000>>tmp.reg echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg echo 2e,00,62,00,61,00,74,00,00,00>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{4e1ddf37-dbd2-446c-865d-969ad8619b91}]>>tmp.reg echo "LastModified"=hex(b):52,b5,68,5b,b9,8e,c7,01>>tmp.reg echo "Description"="">>tmp.reg echo "SaferFlags"=dword:00000000>>tmp.reg echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg echo 2e,00,63,00,6d,00,64,00,00,00>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a88ef251-1ec4-42ce-95df-4f47bf20e2ee}]>>tmp.reg echo "LastModified"=hex(b):88,0c,06,54,b9,8e,c7,01>>tmp.reg echo "Description"="">>tmp.reg echo "SaferFlags"=dword:00000000>>tmp.reg echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg echo 2e,00,65,00,78,00,65,00,00,00>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}]>>tmp.reg echo "Description"="">>tmp.reg echo "SaferFlags"=dword:00000000>>tmp.reg echo "ItemData"=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,43,00,55,00,52,00,52,00,\>>tmp.reg echo 45,00,4e,00,54,00,5f,00,55,00,53,00,45,00,52,00,5c,00,53,00,6f,00,66,00,74,\>>tmp.reg echo 00,77,00,61,00,72,00,65,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\>>tmp.reg echo 66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,43,00,75,\>>tmp.reg echo 00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,\>>tmp.reg echo 5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,53,00,68,00,65,\>>tmp.reg echo 00,6c,00,6c,00,20,00,46,00,6f,00,6c,00,64,00,65,00,72,00,73,00,5c,00,43,00,\>>tmp.reg echo 61,00,63,00,68,00,65,00,25,00,4f,00,4c,00,4b,00,2a,00,00,00>>tmp.reg echo "LastModified"=hex(b):90,ad,4a,7e,32,d9,c4,01>>tmp.reg regedit /s tmp.reg del tmp.reg taskkill /im explorer.exe /f gpupdate/force RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

start explorer.exe exit

补丁卸载：

@echo off echo Windows Registry Editor Version 5.00>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]>>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{27122b10-e1d1-47c5-a299-b7d4286539a9}]>>tmp.reg echo "LastModified"=->>tmp.reg echo "Description"=->>tmp.reg echo "SaferFlags"=->>tmp.reg echo "ItemData"=->>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{45c49d12-7feb-48b6-81c8-516f801d1062}]>>tmp.reg echo "LastModified"=->>tmp.reg echo "Description"=->>tmp.reg echo "SaferFlags"=->>tmp.reg echo "ItemData"=->>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{4e1ddf37-dbd2-446c-865d-969ad8619b91}]>>tmp.reg echo "LastModified"=->>tmp.reg echo "Description"=->>tmp.reg echo "SaferFlags"=->>tmp.reg echo "ItemData"=->>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a88ef251-1ec4-42ce-95df-4f47bf20e2ee}]>>tmp.reg echo "LastModified"=->>tmp.reg echo "Description"=->>tmp.reg echo "SaferFlags"=->>tmp.reg echo "ItemData"=->>tmp.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}]>>tmp.reg echo "Description"="">>tmp.reg echo "SaferFlags"=dword:00000000>>tmp.reg echo "ItemData"=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,43,00,55,00,52,00,52,00,\>>tmp.reg echo 45,00,4e,00,54,00,5f,00,55,00,53,00,45,00,52,00,5c,00,53,00,6f,00,66,00,74,\>>tmp.reg echo 00,77,00,61,00,72,00,65,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\>>tmp.reg echo 66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,43,00,75,\>>tmp.reg echo 00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,\>>tmp.reg echo 5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,53,00,68,00,65,\>>tmp.reg echo 00,6c,00,6c,00,20,00,46,00,6f,00,6c,00,64,00,65,00,72,00,73,00,5c,00,43,00,\>>tmp.reg echo 61,00,63,00,68,00,65,00,25,00,4f,00,4c,00,4b,00,2a,00,00,00>>tmp.reg echo "LastModified"=hex(b):90,ad,4a,7e,32,d9,c4,01>>tmp.reg regedit /s tmp.reg del/y tmp.reg taskkill /im explorer.exe /f gpupdate/force RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

start explorer.exe exit

此主题相关图片如下：

下载信息 [文件大小：下载次数： ]
点击浏览该文件:

我做的防护策略

下载信息 [文件大小：下载次数： ]
点击浏览该文件:

防网页木马-单文件版

下载信息 [文件大小：下载次数： ]
点击浏览该文件:

防网页木马-设置策略

下载信息 [文件大小：下载次数： ]
点击浏览该文件:

防网页木马-删除策略

下载信息 [文件大小：下载次数： ]
点击浏览该文件:

我做的防护策略注册表方式的增加了对大话西游更新问题的支持

[此贴子已经被作者于2007-5-16 18:45:43编辑过]

支持(0) 中立( 0 ) 反对( 0 )

[广告] 网游卡？生意差！飞鱼星路由器——网络稳定安全的解决之道！

45812822
IP :

个性首页 | QQ | 信息 | 搜索 | 邮箱 | 主页

大小 2楼

[广告] Kungho主动防御系统为您打造 ★不掉号网吧★ （永久免费使用和更新）

爱摸夜螺丝

等级：上校

帖子：2009

积分：2274

威望：0

精华：2

注册：2005年6月19日

发帖心情 Post By：2007-5-5 11:40:46

以下是引用rqcpey在2007-5-6 10:52:06的发言：

多谢你的回信,

昨晚试过了,达到了效果,但是BAT黑框不会自动关闭.为什么呢

用VBS调用,会留有cmd.exe 进程 .

可以完美解决这个问题吗？

下面的是调用的批处理

@echo off regedit/s \\server\pic40\notemp.reg taskkill /im explorer.exe /f explorer.exe gpupdate/force RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

if exist 1.txt del 1.txt tasklist>>1.txt type 1.txt|find "cmd" goto klcmd&goto end

:klcmd call kill.bat

:end echo|y del 1.txt exit

kilcmd批处理的内容：

@echo off if exist 1.txt del 1.txt tasklist>>1.txt type 1.txt|find "cmd" goto kill1&goto find2

:kill taskkill /im cmd.exe /f goto find2

:find2 type 1.txt|find "wscript" goto kill2&goto end

:kill2 taskkill /im wscript.exe /f echo|y del 1.txt exit

:end echo|y del 1.txt exit

以下是引用epyt01在2007-5-7 2:24:35的发言：

跟跑跑卡丁车有冲突，游戏从游戏服务器（最新版本）更新过来，启动游戏出错

反安装P处理不会自动退出，望多测试进一步完善

跑跑测试了下，没有什么问题的

大话跟梦幻自己在服务器注意更新就是了

现在主要是解决那个CMD.EXE无法自动结束的问题`我再想想办法，朋友们也帮忙找下方法啊

以下是引用007eir在2007-5-7 11:56:47的发言：

如果能放过本地硬盘的可执行文件对外"请求"就完美了.

这个应该是可以的，但是不实际

要的话我可以帮你做个注册表或者批处理

其实通过组策略想限制任务路径的任何文件都可以

只是看有没有那个必要，有什么用途而已

以下是引用8501707在2007-5-10 10:27:32的发言：

楼主做这个限制的时候的起点是从禁止IE的临时文件出发的，所以禁止的文件夹里的后缀名应该是C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 这个里面的，而不是temp里面的。IE的临时文件全部保存Temporary Internet Files 在里，我以前也像你那样做过的不仅仅是大话什么的更新不了，多数软件也会安装不了（如MAXDOS）因为他们安装的时候需要先解压到TEMP里面，又被限制了，所以造成不能安装。winrar也需要修改临时文件的位置才能达到双激运行的条件。当我们禁止Temporary Internet Files里面的*.exe *.bat *.vbs *.tmp后因为这个文件夹的作用只为IE保存临时文件，IE基本用不到那些，所以不需要设置其他的还能阻止其他病毒运行。

我技术不怎么样，才做网吧一年。只是点个人感觉。希望大家参考指点。

这个完全可以不安装在系统中，可以通过系统的维护通道加载，并且当你不需要运用该策略的时候，你只需要在开机的批处理不执行这个策略（我想朋友们现在做的系统一般都有开机的维护通道把），至于大话什么的问题，我想你一定没有仔细看清楚这个VBS代码，已经说得很清楚了，可以自定义路径及程序白名单，并且大话的问题作者在编写的时候已经考虑在内了的。

以下是引用江南一根葱在2007-5-10 2:23:45的发言：

有没有想过，

既然你能更改策略，那么，病毒也能删除或直接重置你的策略，变种病毒是不认路径运行的

不可否认，连微软都有漏洞并且随时会出现新的漏洞需要打补丁

只是你有没有想过，如果病毒也能够到了你说的那个地步了，也许能够编写这个病毒的人也不屑于来写这样的病毒把，至少应该给他个写这个病毒的理由----（为了什么？）

防胜于无，至少一般的网页病毒的默认目录也许是系统的临时文件夹，并且该策略可以自定义添加路径以及需要禁止的文件类型，如果你发现变种的病毒并且路径不一定是临时文件夹，也许你可以自己添加在内把，如果你发现有这样的病毒，还请你及时的发出来，能够让后来的朋友知道这个病毒及时的防御，谢谢你的提议。

以下是引用45812822在2007-5-10 11:29:25的发言：

不可否认，连微软都有漏洞并且随时会出现新的漏洞需要打补丁

只是你有没有想过，如果病毒也能够到了你说的那个地步了，也许能够编写这个病毒的人也不屑于来写这样的病毒把，至少应该给他个写这个病毒的理由----（为了什么？）

防胜于无，至少一般的网页病毒的默认目录也许是系统的临时文件夹，并且该策略可以自定义添加路径以及需要禁止的文件类型，如果你发现变种的病毒并且路径不一定是临时文件夹，也许你可以自己添加在内把，如果你发现有这样的病毒，还请你及时的发出来，能够让后来的朋友知道这个病毒及时的防御，谢谢你的提议。

再者，照你这么说，我们的网吧系统又是否很安全呢，金刚系统？

我想没有人能夸这个海口，也许你可以说你这个系统很稳定，很安全，这都只是个相对的概念.

说到绝对的防御，我想我做不到，也许你也做不到，但是我们在相应的程度上可以保障我们的系

统的安全，也许这就是我们的目的之所在把。

也曾听有的朋友说自己的系统如何如何限制的好，无法破坏，也许他也只是一个相对的说法把`或

者在他的网吧里面不存在那种搞存心破坏的人。

VBS脚本不是我写的，是我的一个朋友浩月写的，技术很不错，我很佩服他。

他也是本着能够给一些朋友提供一些方便而写的这个脚本，真的很谢谢他，朋友们如果觉得这个脚本有什么问题或者有什么建议，也请说出来，或许我可以请他修正一下。

以下是引用我有权沉默在2007-5-11 15:17:15的发言：

只支持XP吧？2000能用不？

对不起，因为2000系统的组策略没有软件限制策略，所以该无法支持2000系统

以下是引用pwf008在2007-5-12 23:25:54的发言： 我试了，在%temp%\*.*下测试设置策略有效，删除策略不行，注销也不行，在%ietemp%\Content.IE5\*.*对应路径应该是C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files这个吧，下可执行文件可以执行。这算不算失败啊

删除策略已经修正，你自己去找个自动下毒的网站，看是否可以防御得住就知道有没有效了。

以下是引用22521376在2007-5-17 20:35:44的发言：

这个网站把木马下载到C:\WINDOWS目录才执行的.

要防止这类网站的木马,需要在策略上禁止系统以外的程序.手工设置能做到防御这类网站木马,工作量很大.

如果能编程,自动加入注册表才能减轻工作量.

本人编程水平低.研究了很久都没能写出这个程序.

希望网盟的高手写成程序.让中国的windows用户不再受木马的伤害.

如果知道病毒网站的话，可以通过HOSTS文件来屏蔽的把

如果有做开机的批处理，在服务器编辑好一个HOSTS文件，屏蔽需要屏蔽的病毒网站，然后

在批处理加类似的命令 copy \\server\pic40\hosts %systemroot%\system32\drivers\etc /y

就可以了把，也可以在路由器里面[屏蔽，如果你的路由器有这个功能的话。

以下是引用lijianbo在2007-5-26 9:45:26的发言：

请问一下。。我在IE临时文件设置在D盘d:\temp这样要怎么修改啊！！！！

该脚本会自动读取当前系统的临时文件夹的路径的，所以无须设置，你只需要运行下，然后看有没有效果就知道了

'------------------------------------------------------------------------↓取IE缓存路径并加入路径列表 pathlist=WshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") & "\Content.IE5\;"&pathlist pathlist=WshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") & "\Content.IE5\*\;"&pathlist '------------------------------------------------------------------------↓取临时目录路径并加入路径列表 pathlist=WshShell.RegRead("HKEY_CURRENT_USER\Environment\Temp")&"\;"&pathlist pathlist=WshShell.RegRead("HKEY_CURRENT_USER\Environment\Temp")&"\*\;"&pathlist '------------------------------------------------------------------------↓分割路径列表

上面段代码已经提示得很清楚了，

如果没有作用的话，那么你在下面的代码后面加上你的临时文件夹的路径就可以了

'------------------------------------------------------------------------↓路径列表(黑名单路径) pathlist = "C:\Test\;d:\temp;e:\temp;"

黑体的是我加上去的，注意多个的路径之间用;号隔开

以下是引用22521376在2007-5-22 4:18:35的发言：

同意楼上的.

做好注册表文件,开机自动导入注册表.马上实现.

注册表的方法是我之前的帖子中应用到的。

但是有一定的局限性，必须先配置好然后再导出来。如果需要编辑内容的话还必须在组策略里面修改然后导出新的注册表。

VBS脚本的可修改性很强，又方便。

以下是引用王珏清在2007-6-15 18:22:16的发言： 限成这个样子`出问题的时候怎么查？

其实只限制了临时文件夹的下列类型的文件，并且你可以修改修要禁止的类型

'------------------------------------------------------------------------↓要禁止的后缀名列表(黑名单后缀) hjmlist = "exe;com;bat;cmd;vbs;vbe;"

如果有需要排除的文件则写在下面

'------------------------------------------------------------------------↓开放运行的程序路径(白名单) filepath="%temp%\gpatch.exe;"

并且可以自定义禁止的目录譬如

'------------------------------------------------------------------------↓路径列表(黑名单路径) pathlist = "C:\Test\;"

比如你发现一个新病毒，是自动下载文件在C:\Test\ 目录下的，那么你把该目录写进去，默认禁止"exe;com;bat;cmd;vbs;vbe;"类型的文件

其实一般做系统都做了维护通道的把，将这个VBE以

\\server\run\防网页木马设置策略.vbe 这样来运行，并且随时可以根据现状来修改或者取舍（是否使用该策略）

我不觉得有没有复杂的

[此贴子已经被作者于2007-6-15 20:03:27编辑过]

支持(0) 中立( 0 ) 反对( 0 )

2310932
IP :

大小 3楼

等级：上等兵

帖子：116

积分：901

威望：0

精华：0

注册：2004年6月24日

发帖心情 Post By：2007-5-5 11:43:35

hao好东西要顶

支持(0) 中立( 0 ) 反对( 0 )

[广告] 网游卡？生意差！飞鱼星路由器——网络稳定安全的解决之道！

webjump
IP :

大小 4楼

[广告] 轻松管理您的网络！艾泰路由器一键封QQ、MSN、P2P下载、DoS/DDoS攻击、蠕虫病毒、ARP攻击等，有效抑制IGM、机器狗病毒

等级：上等兵

帖子：135

积分：393

威望：0

精华：0

注册：2005年7月10日

发帖心情 Post By：2007-5-5 11:45:22

好贴，顶。

支持(0) 中立( 0 ) 反对( 0 )

hanzili2006
IP :

个性首页 | QQ | 信息 | 搜索 | 邮箱 | 主页

大小 5楼

[广告] Kungho主动防御系统为您打造 ★不掉号网吧★ （永久免费使用和更新）

等级：上等兵

帖子：155

积分：193

威望：0

精华：0

注册：2007年1月6日

发帖心情 Post By：2007-5-5 11:47:11

看起来凑合~~做个记号

支持(0) 中立( 0 ) 反对( 0 )

ys乐乐
IP :

大小 6楼

[广告] 轻松管理您的网络！艾泰路由器一键封QQ、MSN、P2P下载、DoS/DDoS攻击、蠕虫病毒、ARP攻击等，有效抑制IGM、机器狗病毒

乐乐。

等级：上士

帖子：400

积分：1847

威望：0

精华：0

注册：2004年4月16日

发帖心情 Post By：2007-5-5 11:48:11

感觉有用.已用一个多月.

支持(0) 中立( 0 ) 反对( 0 )

sblive
IP :

大小 7楼

[广告] 轻松管理您的网络！艾泰路由器一键封QQ、MSN、P2P下载、DoS/DDoS攻击、蠕虫病毒、ARP攻击等，有效抑制IGM、机器狗病毒

天下网盟技术版

等级：公民

帖子：30377

积分：23133

威望：0

精华：6

注册：2003年8月12日

发帖心情 Post By：2007-5-5 12:09:07

批处理有问题，

echo regedit /s tmp.reg

要把ECHO去掉。。。否则加不进去。

而且导入后，规则并没有马上出现，要重启。

支持(0) 中立( 0 ) 反对( 0 )

45812822
IP :

个性首页 | QQ | 信息 | 搜索 | 邮箱 | 主页

大小 8楼