瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防

1   1  /  1  页   跳转

[原创] 软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防

软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防

目前,涉及VBS、VBE、JSE类的恶意程序比较流行。

为防止这些恶意程序搞鬼,我又想到了WINDOWS的“软件限制策略”。

基本思路是:通过设置“软件限制策略”,区别对待系统/正常程序的VBS、VBE、JSE与其它(恶意)程序的VBS、VBE、JSE。允许前者运行;禁止后者运行。

我的系统是WIN7。基本步骤如下:

1、先了解一下自己系统的基本情况(用系统自带的搜索工具搜索系统及正常应用程序的相关程序)

(1)涉及系统及正常应用程序的VBS有不少(图1),

但可简单地归为以下几种(类):
F:\Program Files\Microsoft Office\Office14\OSPP.VBS
F:\Windows\System32\gatherNetworkInfo.vbs
F:\Windows\System32\Printing_Admin_Scripts\zh-CN\*.VBS
F:\Windows\System32\slmgr.vbs
F:\Windows\System32\wimrm.vbs

(2)VBE:没有(图2)


(3)JSE:没有(图3)



2、在摸清系统相关程序的前提下,通过组策略编辑设置“软件限制策略”,区别对待系统及正常应用程序与其它程序涉及的VBS、VBE、JSE。

(1)在“软件限制策略”的“指定的文件类型”中添加VBS、VBE、JSE(图4-图5)






(2)在“软件限制策略”中 设置路径规则:涉及系统及正常应用程序VBS————允许;其它的VBS——不允许(图6)


(3)至于VBE、JSE类,一般用户根本就用不着。“软件限制策略”一律设置为“不允许”。(图6)


3、至于如何防止恶意程序删除已经设置好的“软件限制策略”,完全可以通过安全软件(RIS2010 等),设置相应规则,予以保护。以前已经谈过。不再赘述。


用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.24 Version/10.53
最后编辑baohe 最后编辑于 2010-05-09 10:50:12
分享到:
gototop
 

回复: 软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防



引用:
原帖由 鬼鬼小猫咪 于 2010-5-9 19:31:00 发表
叔,这个跟XP设置是一样的么?
我要用到VBS怎么办?



你的问题,这个帖子已经回答了。


仔细看
gototop
 

回复: 软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防



引用:
原帖由 天月来了 于 2010-5-9 19:46:00 发表


还有那个安装什么软件时出现需要运行的情况,估计不可能折腾了,只有取消限制




http://bbs.ikaka.com/showtopic-8714182.aspx


这个帖子说的那个捆绑了流氓/病毒的game_setup.exe,安装时就需要.vbs  (病毒程序)运行 。否则,无法完成安装。


安装软件的问题,说到底,在于用户自己。如果你确信你要安装的软件没问题,可以取消任何安全措施。装就是了。如果你拿不准待安装软件是否有问题,那最好想办法甄别。没搞清楚之前,不要贸然安装。
gototop
 

回复: 软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防



引用:
原帖由 天月来了 于 2010-5-10 7:25:00 发表
所以我还是建议先在影子系统或沙盘中安装后,查看无异常

再考虑正常系统内安装

不过这说了也等于没说

普通用户没有多少人知道如何去分辨



菜鸟有菜鸟的办法。系统干净时,做个GHOST备份(放在光盘上)总可以吧?


一旦中招,用GHOST备份恢复系统。非系统分区:既然是菜鸟,就不要放重要文件。重要文件放U盘或可读写光盘中。中招后的非系统分区处理————format!
gototop
 

回复: 软件限制策略与VBS、VBE、JSE脚本类恶意程序的预防



引用:
原帖由 lxr123 于 2010-5-10 14:55:00 发表
猫叔,在第2步的时候,在“指派的文件类型”里找不到.vbs/.vbe和.jse呀,怎么办?



gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT