导读:
最近,通过恢复SSDT,废掉杀软等安全工具的病毒流行。目前为止,这些病毒恢复SSDT,基本上都是通过加载一个病毒驱动.sys实现的。只要不让病毒驱动加载,即使中招了,处理起来也方...
最近,通过恢复SSDT,废掉杀软等安全工具的病毒流行。目前为止,这些病毒恢复SSDT,基本上都是通过加载一个病毒驱动.sys实现的。只要不让病毒驱动加载,即使中招了,处理起来也方便得多。因此,如何恰当管理系统驱动程序,不给这类病毒留下可钻的空子,是每个用户应该考虑的问题。
这里,我将自己使用“软件限制策略”和瑞星“主动防御”设置对付这类病毒.sys的方案及其防护效果介绍如下,欢迎拍砖:
1、设置“软件限制策略”,区别对待系统.sys与非系统.sys。
![]()
seover="attachimginfo(this, attach_263790, 1);attachimg(this, mouseover)" onmouseout="attachimginfo(this, attach_263790, 0, event)" height=347 alt="" src="http://up.2cto.com/os/200808/20080805004925190.jpg?watermark/1/image/aHR0cDovL3N0YXRpYy5uYmxhLmNuLzEzMTAxMTYxMDktMi5wbmc=/dissolve/100/gravity/SouthEast/dx/10/dy/0" width=500 onload="attachimg(this, load)" border=0>
2、保护drivers目录下的文件免于更改。
3、特殊情况的处理----IceSword的运行问题。
4、瑞星的自身防护问题。
5、上述方案对目前流行的两个病毒样本.sys加载的防护效果。此方案仅针对防止病毒驱动加载问题,
禁止.sys以外的病毒文件的释放与运行等防护不在本帖讨论范围内。
6、补充说明:默认情况下,”软件限制策略“的”指派的文件类型“ 并不包括SYS,用户须自行添加:
7、补充说明:禁止恶意程序删除组策略相关设置
