比如輸入法劫持.在中招後木馬會劫持我們的ctfmon.exe

　　10:27一,堵住路口,啟用系統自帶防火牆

　　打開始菜單-開運行輸入secpol.msc開啟本地安全策略(xp專業版本才有,xphome沒有).右擊軟件限制策略,選擇創建新的策略.然後軟件限制策略下會自動創建多個子項..別的地方都不用改.其他規則才是wo們要任意發揮水平的地方.注意其他規則裡有系統默認的四個注冊表規則,不能修改,否則系統將崩潰.現在再右擊"其他規則".會發現他的菜單裡有個新路徑規則.好wo們就要在路徑規則裡做文章.這裡允許使用通配符",""?""%"比如"%windows%"就表示c:\windowsd:\windows等不管你windows文件夾在哪個分區,都給你認出來.

　　[url=http://pimg.qihoo.com/qhimg/baike/343_171/18/04/e3/1804e3bq118525.d0650e.jpg]

　　[/url]

　　實例1_杜絕陰暗角落的襲擊:

　　很多病毒木馬為了逃過用戶的追殺都藏在很隱秘的地方,比如回收站,systemvolumeinformation(系統還原文件夾)等,加上隱藏屬性,用戶很難發覺.而實際上這些文件夾在正常情況下是不會有任何可執行程序的.所以wo們可以建立如下規則(右擊其他規則,在菜單中選擇新建路徑規則):

　　在路徑框中輸入?:\recycled\.安全級別設置為"不允許的"

　　特別注意。如果分區文件系統是ntfs，在windows的nt架構的系統中，即windowsnt/2000/xp/2003，會為系統中的每位用戶創建各自的回收站文件夾，如果分區文件系統是ntfs，則會保存在recycler這個文件夾裡，而不是recycled文件夾，因此不用擔心是病毒文件夾。則會保存在recycler這個文件夾裡.（在這特別感謝發現問題的cml45朋友）那wo們應該：

　　在路徑框中輸入?:\recycler\.安全級別設置為"不允許的"

　　在路徑框中輸入?:\systemvolumeinformation\.安全級別設置為"不允許的"

　　在路徑框中輸入%windir%\system32\drivers\.安全級別設置為"不允許的"

　　在路徑框中輸入%windir%\system\.安全級別設置為"不允許的"

　　通過這四條規則就能屏蔽掉該四個文件夾下任意可執行文件的運行.完美防御了這一類病毒木馬的進攻.放心這種格式是不會秒殺掉諸如.txt.jpg

　　這樣的文本或者圖片文件的.至於這四個文件的功能和重要性,菜鳥自己去百度知道.惰惰猴不想費口水.

　　實例2_杜絕仿冒危險程序:

　　進程仿冒是病毒和木馬用得最多的手段.比如system32文件夾下的svchost.exe系統文件,病毒就可以同樣用svchost.exe命名,然後放到windows其他任意文件夾下.那運行是xp默認的任務管理器就只會顯示svchost.exe進程,而xp正常情況下本來就有很多個svchost.exe進程.這就欺騙了一般的用戶.而一般的殺軟也只有干瞪眼.本地安全策略則可以永久的免疫這種方式的木馬和病毒.wo們只需兩條規則(右擊其他規則,在菜單中選擇新建路徑規則,在路徑中寫規則):

　　在路徑框中輸入svchost.exe安全級別設置為"不允許的"

　　在路徑框中輸入%windir%\system32\svchost.exe安全級別設置為"不受限的"注意是不受限的

　　學過程序的人知道優先級關系,那麼第二條使用絕對路徑的優先級高於第一條基於文件名的路徑.也就是system32下的svchost.exe是允許運行的,而其他任意文件夾下的svchost.exe都是是不允許運行的.

　　實例3_杜絕雙面病毒木馬:

　　用雙擴展名迷惑用戶的病毒木馬也不少.比如mv.jpg.exe免費得qq會員的方法.txt.exe等等,再改個擴展名圖標,不少火候不夠熱愛裝逼的系統偽高手們就會誤以為是個圖片文件和文本文件而掉以輕心.中毒再所難免.

　　安全策略就能阻止,當然這可以自由發揮惰惰猴只舉兩個例子右擊其他規則,在菜單中選擇新建路徑規則,在路徑中寫規則):

　　在路徑框中輸入.jpg.exe安全級別設置為"不允許的"

　　在路徑框中輸入.txt.exe安全級別設置為"不允許的"

　　實例4_不禁用u盤,光驅也能防u盤,光驅,病毒

　　假設你的u盤或者光驅的盤符是g和i

　　在路徑框中輸入g:\.exe安全級別設置為"不允許的"

　　在路徑框中輸入g:\.com安全級別設置為"不允許的"

　　當然如果你需要用光驅安裝軟件或者程序的時候就要把g:\.exe和g:\.com改成不受限的.

　　防止u盤病毒那麼就:

　　在路徑框中輸入i:\.exe安全級別設置為"不允許的"

　　在路徑框中輸入i:\.com安全級別設置為"不允許的"

　　一般的u盤病毒還會自己在u盤根目錄下建立隱藏的systemvolumeinformation文件夾和recycled文件夾(哈哈,recycled其實就是回收站文件夾)那麼wo給的第一個策略就擋住了.

　　還有就是注意不要死板.盡量多設置幾個盤符,比如i,j,k,f.因為電腦一般有多個usb接口.

　　徹底切除病毒伸向u盤的黑手:

　　打開注冊表.展開hkey_classes_root\scriping.filesystemobject項.重命名為hkey_classes_root\scriping.filesystemobject_new重啟電腦後木馬就無法利用fso自動復制了.(fso是ilesystemobject的縮寫,不同的程序語言,比如vc,vb,js腳本都能利用fso的支持用同一方法對文件進行操作,常常被病毒利用來自身復制).

　　禁止自動播放,加固usb:

　　打開注冊表（開始-運行-regedit）展開分支hkey_current_user\software\microsoft\windows\currentversion\policies\explorer在右側的側窗格中可以看到nodrivetypeautorun的鍵值。這個鍵值就是指那些盤符類型,大膽人體藝術圖片，可以禁止自動播放功能，比如光盤和可移動硬盤等。

　　默認值中的數字式0x00000091（是十六進制數，其實就是十進制的145）。那麼這個數字怎麼修改呢？打開windows附件中的計算器，選擇菜單“查看-科學計算”，然後在“十進制”狀態下輸入145，然後切換到二進制，怎樣看到數字10010001（注意這個二進制數是從右向左看的）

　　[url=http://pimg.qihoo.com/qhimg/baike/466_215/16/01/31/160131aq118596.09af23.jpg]

　　[/url]

　　這8位長的二進制數是什麼意思呢？

　　0位就是不能識別驅動器。1位就是沒有根目錄的驅動器。2位就是可移動驅動器（比如u盤）3位是固定驅動器。4位是網絡驅動器。5位是光盤驅動器。6位是ram磁盤。7位是保留。也就是說此處的10010001（從右向左看）第0位在10010001（從右向左看）的最右側那位。將指定類型設備的自動播放功能。0表示允許自動播放，1表示禁止自動播放。wo們要禁止u盤自動運行，因此wo們就可以把從0為起始的第二位（從右向左看）改成1

　　所以剛才的10010001（從右向左看）就成了10010101（從右向左看）

　　是不是很復雜啊,人體藝術攝影，[url=http://baike.360.cn/img/face/01.gif]

　　[/url]

　　實例5_對付文件名偽裝的病毒和木馬:

　　文件名偽裝最初是那些菜鳥黑客用的老掉牙的技術.可是wo們仍不能不防.

　　比如windows桌面就是explorer.exe那麼黑客現在把explorer.exe其中的字母l和o換成數字的0和1.怎樣?眼睛疼了吧看得你吐血,你也不見得看清.有些病毒還會老到以.pif為後綴.他和.exe.com同樣是可執行文件,但他們的擴展名,即使在你選擇了顯示隱藏文件夾擴展名後.都不會顯示.廢話不說,寫

　　在路徑框中輸入expl0rer.exe注意把字母o換成數字0安全級別設置為"不允許的"

　　在路徑框中輸入exp1orer.exe注意把字母l換成數字1安全級別設置為"不允許的"

　　在路徑框中輸入exp10rer.exe注意把字母l,o換成數字1,0安全級別設置為"不允許的"

　　在路徑框中輸入explorer.com安全級別設置為"不允許的"

　　在路徑框中輸入.pif安全級別設置為"不允許的"

　　以下是設置好後的圖片

　　[url=http://pimg.qihoo.com/qhimg/baike/823_567/14/04/8b/14048bq118f72.36bf94.jpg]

　　[/url]

　　二,擴展系統防火牆,保護ie和臨時文件

　　介紹了本地安全策略-其他規則-路徑規則的應用,那大家是否發現路徑規的安全級別設置似乎只有"不允許的"和"不受限的兩種"那麼惰惰猴再來教大家擴展,事實上微軟還在xp上隱藏了很多安全級別.有一個叫基本用戶.什麼意思呢?就是界於管理員和受限帳戶之間的用戶權限.類似windowsvista中的大部分權限.好,廢話不說,wo們馬上開啟.

　　打開注冊表(xp系統的打開方法是,開始-運行-regedit)找到

　　hkey_local_machine\software\policies\microsoft\windows\safer\codeldentifiers新建一個名為levels的dword值.數值設置為一個十進制數131072.關閉注冊表.重新注銷系統.然後再登陸.打開本地安全策略(運行secpol.msc)本地安全策略-其他規則-路徑規則的安全級別設置裡就多了個基本用戶.好下面wo們利用基本用戶來寫出策略.防止病毒,木馬通過捆綁ie浏覽器感染臨時文件夾.

　　實例_1給ie加盾.擋住網頁掛馬

　　wo們可以用基本用戶權限來加載ie防止木馬病毒和惡意網站通過ie強行修改系統設置.方法同上,右擊其他規則,打開新建路徑規則,在打開的路徑規則欄裡輸入%programfiles%internetexplorer\ieplorer.exe(浏覽器路徑位置也可以用浏覽定位,%是通配符表示無論該文件夾在硬盤哪個分區都有效).然後在的安全級別設置中選基本用戶.點擊確定後退出,在運行中輸入gpupdate/force(/號前有空格)回車執行刷新組策略設置.這樣ie在上網時就安全多了.最好在把歷史記錄保存天數設置成0.

　　再次wo們要封堵住ie浏覽器的後門，由於微軟在編輯ie的時候不是很嚴謹，沒有檢測ani文件，5自學網，所以一個惡意的ani就可以嵌