组策略规则中的散列规则和散列规则的制作.docVIP

说明：转贴自雨林木风论坛，原帖地址：/read.php?tid=691888&fpage=0&page=1感谢作者：霜刀舞雪组策略规则中的散列规则和散列规则的制作组策略中的路径规则很多人都有所了解，下面说说散列规则： 所谓的散列规则，简单的说就是提取一个文件的特征信息，如版本、Hash等，然后根据这些信息判断是否是同一个文件。如图：由于识别原理的关系，文件散列识别的优点是不论文件名改为什么，只要是同一个文件都能正确识别。但他的优点也是他的缺点，如果用散列规则来实现以上的功能， 则如果WindowsUpdate更新了被保护的系统文件，文件版本发生了变更，安全策略就会阻止他的运行，造成系统出错。简而言之就是容易带来兼容性问 题。所以一般不使用“新散列规则”。 散列规则的制作： 在“本地计算机配置”“windows设置”“安全设置”“软件限制策略”下右键其他规则新散列规则，在安全级别中选择“不受限的”。注意： 1、路径规则-是不允许的（无论用户的访问权如何，程序都不会运行）。 散列规则-是不受限的（程序访问权由用户的访问权来决定）。 2、路径规则是用来关门的，任何符合“路径”条件的程序都是不能进来运行的。 散列规则是给程序发钥匙的。由于散列规则的级别高于路径规则，所以符合散列规则的程序是可以运行的。 例如：在正常情况下c:windowssystem32目录中只有14个后缀名为.COM的程序文件，如果有多的话，很可能就是病毒了。我们把系统自带的14个.COM程序分别做散列规则，再做一个c:windowssystem32*.com的路径规则。这样，那14个.COM程序以外的.COM程序都不能运行了。 例图：部分设置散列及路径：散列优于路径（散列不受限、路径不允许）一、C:下的目录。 散列-NTDETECT.COM 路径-C:*.*二、C:Program Files下的目录。 1、C:Program FilesCommon FilesMicrosoft SharedMSInfo 散列-msinfo32.exe 路径-C:Program FilesCommon Files 2、C:Program FilesInternet Explorer下 散列-iedw.exe 散列-IEXPLORE.EXE 路径-C:Program FilesInternet Explorer 3、C:Program FilesWinRAR下 散列-RarExt.dll 散列-WinRAR.exe 路径-C:Program FilesWinRAR三、C:WINDOWS下的目录 windows里做九个必要的【散列】【不受限 】 散列【explorer.exe】 路径【EXP?RER.*】 散列【hh.exe】 路径【hh.*】 散列【notepad.exe】 路径【n*tepad.*】 散列【regedit.exe】 路径【reged*t.*】 散列【taskman.exe】 路径【taskman.*】 散列【twunk_16.exe】 路径【tw*k_16.exe】 散列【twunk_32.exe】 路径【tw*k_32.*】 散列【winhelp.exe】 路径【w*?he*p.*】 散列【winhlp32.exe】 路径【w*?h*p32.*】 路径C:WINDOWS*.exe 路径C:WINDOWS*.* 四、C:WINDOWSsystem32下的目录 1、C:WINDOWSsystem32drivers 路径 C:WINDOWSsystem32config 路径 下面两个散列要到这个路径里找C:WINDOWSsystem32wbem 散列wmiprvse.exe 散列wmiapsrv.exe C:WINDOWSsystem32wbem 路径 2、C:windowssystem32下面的后缀为COM的14个文件： 散列 【】 【】 【】 【】 【】 【】 【】 【 】 【】 【】 【】 【】 【】 【】 路径 C:windowssystem32*.com 3、C:windowsSYSTEM32下木马容易伪装的EXE文件20个： 散列 路径 【csrss.exe】 csr*.* 【winlogon.exe】 win*g*.* 【services.exe】 serv*.* 【svchost.exe】 svch*t.* 【spoolsv.exe】 sp*sv.* 【cmd.exe】 cmd.* 【notepad.exe】 n*tepad.* 【alg.exe】 a?g.* 【conime.exe】 c*n*me.* 【dllhost.exe】 dllh*st.* 【dxdiag.exe】 dxd*.* 【progman.exe】 pr*gman.* 【regedt32.exe】 regedt32.* 【runas.exe】 runa*.* 【taskmgr.exe】 task*.* 【user.exe】 use?.* 【sndvol32.exe】 sndv*.* 【lsass.exe】 lsas*.* 【smss.exe】 smss.* 【rundll32.exe】 rund*.* 一个散列做一个路径附部分路径规则和散列规则制作表：00 散列 不受限的 NTDETECT.COM01 路径不允许的 %USERPROFILE%桌面*.*禁止当前用户桌面上所有文件的运行02 路径不允许的 %USERPROFILE%Local SettingsTemp*.* 禁止当前用户临时文件目录下,不含子目录,所有文件的运行03 路径不允许的 %USERPROFILE%Local SettingsTemporary Internet Files*.*禁止当前用户临时文件目录下,不含子目录,所有文件的运行04 路径 不允许的 *.BAT禁止任何路径下的批处理文件运行05 路径不允许的 *.SCR禁止任何路径下的.scr（屏幕保护）文件运行06 路径 不允许的 C:*.*禁止C:根目录下所有文件的运行07 路径 不允许的 C:Program Files*.*此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行08 路径 不允许的 C:Program FilesCommon Files*.*此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行09 路径不允许的 C:WINDOWSTemp*.* 禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行10 路径不允许的 C:WINDOWSConfig*.* 此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行11 路径不允许的 C:WINDOWSsystem32*.LOG 此级目录下不应该有后缀名为LOG的文件12 路径不允许的 C:WINDOWSsystem32drivers*.* 此目录下不应有可执行文件！禁止此级目录下,不含子目录,所有文件的运行13 路径不允许的 C:WINDOWSDownloaded Program Files*.* 禁止WINDOWS临时文件目录下,不含子目录,所有文件的运行 IE限制策略 路径1 散列314 路径 不允许的 C:Program FilesInternet Explorer*.* 此目录下只有以下3个文件。禁止IE目录下,不含子目录,所有文件的运行15 散列 不受限的 HMMAPI.DLL (6.0.3790.1830) 所在位置:C:Program FilesInternet Explorer, 赋予HMMAPI.DLL可运行权限,此文件为ie运行时需调用的动态链接库文件16 散列 不受限的 IEDW.EXE (5.2.3790.2732) 所在位置:C:Program FilesInternet Explorer, 赋予IEDW.EXE可运行权限,这个是微软新加的IE崩溃检测程序，当IE运行中崩溃时，插件以及崩溃管理系统将分析崩溃时都运行了那些插件，并提交给用户。17 散列 不受限的 IEXPLORE.EXE (6.0.3790.1830) 所在位置:C:Program FilesInternet Explorer, 赋予IEXPLORE.EXE可运行权限,这是Microsoft Internet Explorer的主程序。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。SYSTEM32目录下容易被木马伪装的EXE 路径20 散列2018 路径 不允许的 CSRSS.* 阻止任何目录下的伪装成系统文件csrss.exe程序的运行19 散列 不受限的 CSRSS.EXE (5.2.3790.0) 所在位置:C:WINDOWSsystem32,csrss.exe是系统的正常进程。是核心部分，客户端服务子系统，用以控制图形相关子系统。系统中只有一个CSRSS.EXE进程，若以上系统中出现两个(其中一个位于Windows文件夹中)，则是感染了Trojan.Gutta或W32.Netsky.ABmm病毒。20 路径 不允许的 LSASS.* 阻止任何目录下的伪装成系统文件LSASS.EXE程序的运行21 散列 不受限的 LSASS.EXE (5.2.3790.0) 所在位置:C:WINDOWSsystem32,lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 22 路径 不允许的 RUND?32.* 阻止任何目录下的伪装成系统文件RUNDLL32.EXE程序的运行23 散列 不受限的 RUNDLL32.EXE (5.2.3790.1830) 所在位置:C:WINDOWSsystem32,Rundll32为了需要调用DLLs的程序24 路径 不允许的 SMSS.* 阻止任何目录下的伪装成系统文件SMSS.EXE程序的运行25 散列 不受限的 SMSS.EXE (5.2.3790.1830) 所在位置:C:WINDOWSsystem32,SMSS.EXE进程为会话管理子系统用以初始化系统变量，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应。注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是%WINDIR%SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒，26 路径 不允许的 SVCH?ST.* 阻止任何目录下的伪装成系统文件SVCHOST.EXE程序的运行27 散列 不受限的 SVCHOST.EXE (5.2.3790.1830) 所在位置:C:WINDOWSsystem32,Service?Host?Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windowssystem32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。在XP中一般有4个以上的Svchost.exe服务进程,Svchost.exe是系统的核心进程，不是病毒进程只会在C:WindowsSystem32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了28 路径不允许的 WIN?G?N.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)29 散列 不受限的 WINLOGON.EXE (5.2.3790.1830) 所在位置:C:WINDOWSsystem32,WinLogon.exe是Windows?NT登陆管理器。它用于处理系统的登陆和登陆过程。该进程非常重要。注意：winlogon.exe也可能是W32.Netsky.Dmm蠕虫病毒。该病毒通过Email传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除30 散列不受限的 alg.exe 所在位置:C:WINDOWSsystem32,alg.exe用于处理Windows网络连接共享和网络连接防火墙。这个程序对系统正常运行非常重要31 路径不允许的 a?g.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)32 散列不受限的 cmd.exe 所在位置:C:WINDOWSsystem32,cmd.exe是一个32位的命令行程序，这不是纯粹的系统程序，如果终止它，可能会导致不可知的问题33 路径不允许的 cmd.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)34 散列不受限的 conime.exe 所在位置:C:WINDOWSsystem32,35 路径不允许的 c?nime.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)36 散列 不受限的 dllhost.exe 所在位置:C:WINDOWSsystem32,dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。37 路径不允许的 d?h?st.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行) 38 散列不受限的 dxdiag.exe 所在位置:C:WINDOWSsystem32,DirectX 检测程序，运行检测本机硬件加速情况39 路径不允许的 dxdiag.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)40 散列 不受限的 notepad.exe 所在位置:C:WINDOWSsystem32,notepad.exe是Windows自带的记事本程序41 路径不允许的 n?tepad.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)42 散列不受限的 progman.exe 所在位置:C:WINDOWSsystem32,progman.exe是从Windows3.0延续下来的“程序管理器”，相当于现在的Explorer.exe。43 路径不允许的 pr?gman.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)44 散列不受限的 regedt32.exe 所在位置:C:WINDOWSsystem32,Regedt32.exe是Windows的配置编辑器。它用于修改Windows配置数据库或注册表使用它修改注册表值时必须格外小心。注册表中的值丢失或不正确将导致安装的 Windows无法使用。45 路径不允许的 regedt32.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)46 散列 不受限的 runas.exe 所在位置:C:WINDOWSsystem32,conime.exe是输入法编辑器相关程序。注意：conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程47 路径不允许的 runas.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)48 散列不受限的 services.exe 所在位置:C:WINDOWSsystem32,services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。也会处理在计算机启动和关机时运行服务。这个程序对系统是非常重要的。不过services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。49 路径不允许的 services.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)50 散列不受限的 sndvol32.exe 所在位置:C:WINDOWSsystem32,Windows声音控制进程在任务栏驻留用以控制音量和声卡相关51 路径不允许的 sndv?32.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)52 散列不受限的 spoolsv.exe 所在位置:C:WINDOWSsystem32,Windows打印服务相关53 路径不允许的 sp?sv.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)54 散列不受限的 taskmgr.exe 所在位置:C:WINDOWSsystem32,taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。55 路径不允许的 taskmgr.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)56 散列不受限的 user.exe 所在位置:C:WINDOWSsystem32,57 路径不允许的 user.* (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行)windows/system32下面的后缀为COM的14个文件 58 路径 不允许的 *.COM 禁止任何路径下的.com文件运行59 散列不受限的 所在位置:C:WINDOWSsystem32，显示活动控制台代码页数量60 散列不受限的 所在位置:C:WINDOWSsystem32，是32位msdos环境下的命令解释器61 散列不受限的 所在位置:C:WINDOWSsystem32，比较两张软盘的内容62 散列不受限的 所在位置:C:WINDOWSsystem32，将软盘的内容复制到目标驱动器中63 散列不受限的 所在位置:C:WINDOWSsystem32，文本文件编辑程序64 散列不受限的 所在位置:C:WINDOWSsystem32，磁盘格式化程序65 散列不受限的 所在位置:C:WINDOWSsystem32，启用可在图形模式下显示扩展字符集的功能66 散列 不受限的 gra