利用系统组策略封堵掉U盘上病毒可执行文件执行的好方法。

系统需要有组策略功能，如XP专业版、win7的较高级版本等，据说家庭版也可以移植组策略，方法请自行搜索

开始菜单，运行gpedit.msc

计算机配置->WINDOWS设置->安全设置->软件限制策略

其下若无分支，请右击，选择“新建软件限制策略”，之后，请点击“其他规则”，在右侧窗口空白处右击，新建路径规则，填入

x:\*   

（请自行将x替换为u盘盘符,将插入多个U盘时占用的所有盘符都如此操作）

再配合mountpoints2权限修改，U盘病毒入侵管道封堵可算彻底了

            ARP病毒一时猖獗，遂用批处理制作一简单的ARP病毒上报小程序，点击运行后，检测当前机器的MAC是否在已知中毒机器MAC表内，并提醒用户告知网管部门。第二步，若当前机器的网关MAC地址即不在已知中毒mac表内，也不是正常网关值，则也提醒其将当前机器网关MAC地址上报。(实际染毒机器MAC表由Ethereal软件分析而来）

           若想采用此程序，请将正确的网关MAC和IP替换第1、2行相关部分，删除掉文尾的MAC表（一定），并将所在网络中毒机器MAC表加入其中，要保持添入的MAC地址第一行为全文第28行。

           事实上，受害机器若太多，第二步中通报实际有毒机器网关mac值者人数很恐怖，最好第二步采用网页上报。我准备制作一个简陋的asp网页，用来收取上报的有毒机器mac值。

set gwmac=00-0b-46-6a-c1-80
set gwip=10.8.128.254
echo %gwmac% >b.txt
for /f "skip=27" %%i in (a.bat) do echo %%i >>b.txt

arp -a >a.tt
find "%gwip%" /i a.tt >b.tt
ipconfig /all >a41.tt1
find "phy" /i a41.tt1 >a222.tt1
for /f "skip=2 tokens=12-30" %%i in (a222.tt1) do set l=%%i
find /c /i "%l%" b.txt >s.txt
for /f "tokens=2* delims=- " %%i in (s.txt) do if not %%i==1 goto 3
echo 你中毒了，请联系信息中心 >s1.txt
notepad s1.txt

:3
for /f "skip=2 tokens=2*" %%p in (b.tt) do set l=%%p
find /c /i "%l%" b.txt >s.txt
for /f "tokens=2* delims=- " %%i in (s.txt) do if %%i==1 goto 5
echo 烦请将以下字串告知信息中心（6606） >s1.txt
echo %l% >>s1.txt
notepad s1.txt

:5
del *.tt
del *.tt1
del b.txt
00-16-17-38-0e-03
00-16-ec-d2-cb-52
00-14-2a-ae-b9-62
00-19-e0-b2-6e-b5

对于最近泛滥成灾的劫持HTTP会话的ARP病毒，尤其是一个大型局域网，所有机器的MAC地址未登记，IP自动获得，找到中毒机器很繁琐，所以我们只能取守势。

arp -s有效但并不是总奏效。

似乎应该有人出手写一个bho或者lsp链表嵌入插件，对浏览器获取的HTML进行本地清理，去除前缀的<iframe></frame>才是比较好的防护措施。

而事实上，用360SAFE打全系统补丁，或使用常见的卡巴，瑞星，金山也都能有效防住ARP病毒借助劫持HTTP会话既而利用系统漏洞的侵入行为，但对网页被篡改却无能为力

破坏或者删除系统现有文件进行木马防护,是件不太值得推荐的事,权当开阔思路,探究系统机理的一点引子吧,不过下面的手法,不是很深.
http://db.kingsoft.com/muma/musolve/2004/09/16/42941.shtml

首先请没改过DLL的朋友请下载个 EXESCOPE6.3 - 6.4工具
　　1.Browselc.dll IE所需要调用的库文件DLL 结构雏形就是它了
　　2.Shdoclc.dll 系统窗口 及设置对话框 等等........ 比如 删除文件 重命名.
　　3.Shell32.dll 和上面是同类的
　　4.Explorer.exe 开始菜单调用的程序 ......系统就上加载他进系统
　　5.Cryptui.dll IE控件下载 提示对话筐程序
　　现在我们就讲下 任何修改这些程序来达到禁止的目的

　　一

　　1. 禁止下载 打开 Shdoclc.dll 修改 资源--对话框---4416
　　2. 禁止网页添加到收藏夹 Shdoclc.dll 修改 资源--对话框---21400
　　EXESCOPE工具右边有个 “禁用”的选项 用这个功能 把要点确定的地方 禁止掉
　　就可以 不用把 确定键给删除 如果以后要恢复 也方便

　　二

　　1. 禁止恶意网页加载控件 Cryptui.dll 修改 要同时修改5个地方才能完全禁止
　　资源--对话框---130
　　资源--对话框---230
　　资源--对话框---4101 
   　资源--对话框---4104 
  　资源--对话框---4107

　　三

　　1.禁止系统删除 Shell32.dll 修改5个地方
　　资源--对话框---1011
　　资源--对话框---1012
　　资源--对话框---1013
　　资源--对话框---1021
　　资源--对话框---1022
　　2. 禁止文件被改名 修改 2个地方
　　资源--对话框---1018
　　资源--对话框---1019
　　3. 禁止运行菜单
　　资源--对话框---1018
　　4. 禁止系统文件被挪动 修改3个地方
　　资源--对话框---1014
　　资源--对话框---1015
　　资源--对话框---1016
　　资源--对话框---1017
　　四 禁止目标另存为
　　修改 Shdoclc.dll 文件
　　以下3个地方
　　1 资源--菜单--258---257 (删除)
　　2 资源--菜单--258---252 (删除)
　　3 资源--菜单--24641--2268 (删除 这里有多项相同的 删除就可以了)

　　五 禁止自定义文件夹选项

　　修改 Shell32.dll 文件
　　以下4个地方
　　1 资源--菜单--215---28719 (删除)
　　2 资源--菜单--216---28719 (删除)
　　4 资源--菜单--217---28719 (删除)
　　5 资源--菜单--216---28719 (删除)

　　六 禁止IE文件夹选项

　　修改 Browselc.dll 文件
　　1 资源--菜单--263 (这里有多个请删除)---41251(删除)
　　2 资源--菜单--266( 也有多个请删除)---41329 (删除)
　　3 资源--菜单--268---41251 (删除)

　　七. 禁止98 文件共享 控件

　　修改 Msshrui.dll
　　1`资源--- 对话框---- 1 --- AutoRadioButton： （禁止这里）
　　2`资源--- 对话框---- 30 --- AutoRadioButton：（禁止掉）
　　其他可以根据自己的想法 进行修改

　　八. 禁止文件的打开方式

　　修改 Url.dll
　　1`资源--- 对话框--- 7000
　　2`资源--- 对话框--- 7005`

　　九. 禁止更改系统桌面

　　修改 Shdoc401.dll
　　1`资源--- 对话框--- 29952--- PushButton:浏览 （禁止）
　　资源--- 对话框--- 29952--- PushButton:图案 (禁止)

　　十 禁止 系统文件夹 自定义

　　修改 Shd401lc.dll 2处
　　1 资源--- 对话框--- 29957
　　2 资源--- 对话框--- 29958

　　十一 禁止文件保存 路径及打开

　　修改 Comdlg32.dll
　　1 资源--- 对话框--- 1547
　　2 资源--- 对话框--- 1548

    今天在BAIDU搜索结果第一页中就碰到有威金携带的网页,
    我突然无聊,想BAIDU下"水木社区",第六结果:http://www.bbs1468.cn/bbs01/bbs/334.html,点击进去，只见广告,却不见实质内容,心说，八成又要跟病毒过招了.
      今天刚和人在水木上讨论了我那套受限用户+EXE拒绝修改权限的方案可行性问题,说实话,还真有些心虚,看看这次方案会不会捉襟见肘呢?先用MSINFO32的软件环境\加载的模块看看,点日期,按时间先后排列,见到c:\tmp\svchost.exe,于是注销当前用户,再登陆,去F盘,"显示所有文件"后,果然看到了_desktop.ini,还真没创意,但我心也就放下来.右击F盘,搜索:_desktop.ini,ctrl-a,del,恩,威金就这么清除了.其他盘搜索,未见该文件.
     回头再看看IE临时文件夹,从记录来看17:52分时,我还在BAIDU上,17:53,病毒文件出现:
hxxp://www.47587.com/top/top.exe
如果有兴趣，请改HXXP为http下载该病毒文件研究,

从朋友机器上拷贝来的《夜宴》，(不要鄙视我的品位)，刚打开，就跳广告窗口。

进程里可见0.exe,用SRENG没有查出问题，之后在查看各分区时，发现了著名的_desktop.ini：威金。

还好，我的EXE拒绝修改权限+受限用户保护起到了该起到的作用，除了生成这些INI文件，威金没有机会感染我的任何文件。强烈怀疑威金的流行和此途径有很大关系。

惊魂之后，想起来换掉我用了三年的Real Alternative,朋友机器上从良的暴风影音播放该电影就不弹IE窗口，就用它吧，realplayer realone更建议大家也不要用算了，如果非要用，用这个方法，去掉RM文件中的网址。

        杀毒软件总是不尽如意,但单纯的裸奔不装杀软却又是不现实的,仅靠人品和补丁,不能在病毒无处不在的阴影中安心.下面的方案是种选择,看看适合不适合你

准备工作:1.IPSEC封掉无用端口;
                2.将各分区,包括C,转换为NTFS分区,如C区的转换:开始菜单运行convert c: /fs:ntfs

准备知识:打开我的电脑,菜单栏,工具,"文件夹选项","查看"标签,请注意"使用简单文件共享",后面将涉及到文件及文件夹权限设置问题,只有把勾去掉方能进行有关设置.

具体实施:
         在管理员帐号下，开始菜单运行compmgmt.msc,改administrator为其它名字,管理员帐号均设置稳妥密码.
         管理员帐号登陆,控制面板,"用户帐号"建立一个受限用户.
         使用受限用户后,可以防止病毒修改重要的系统注册表,修改系统文件夹,甚至可以有效防止熊猫烧香及威金类病毒修改应用程序EXE文件.所以除了安装软件及进行系统配置,应该坚持用受限用户.

                                       使用受限用户中的部分经验:
        使用管理员将绝大部分软件安装在 d:\program files.受限用户下能正常运行.

        对于一部分运行中需要修改当前文件夹内容的软件.如QQ和一些所谓绿色软件.,在超级用户下安装后出现在受限用户下无法登陆等其他使用中的异常情况.
         右击受限用户指向这些软件的快捷方式,"运行方式",以管理员帐号登陆即可.每次都需要点击,恐怕太烦琐,故:右击该快捷方式.属性,高级,勾选"以其他用户登陆..".一路确定..
        
         硬盘上各种备份用EXE安装文件不要放置在受限用户有权限修改的文件夹内。

      以上部分，即便遇到熊猫烧香也不可怕了.以下设置可以彻底杜绝熊猫通过浏览器获得执行机会.

                                      重要补充
          将浏览器临时文件夹甚至系统临时文件夹的"高级"->"遍历及运行文件"权限拒绝,可防止IE漏洞入侵木马,IE的安全性可比FIREFOX.如果直接修改有关文件夹权限,会发现根本没有"安全"标签,无法修改,可以设置将其移动到别处,如d:\a\b,然后对a进行权限设置即可.
        修改系统临时文件夹的方法:右击"我的电脑",属性,高级,环境变量,tmp和temp变量.
         修改浏览器临时文件夹方法:IE,菜单,"工具",INTERNET选项,设置,移动文件夹.

         如此配置的系统,非常之安全,比用超级用户挂杀软强.再养成习惯，用ICESWORD/msinfo32不时查查WINDOWS文件夹的文件和看有否新的可疑内存模块。可保百无一失.(但漏洞补丁却要尽快打上为要)