进程仿冒是木马病毒用得最多的一个手段,比如system32文件夹下有一个svchost.exe的系统文件,病毒便同样以此文件名命名,然后放到Windows或其他任意文件夹下。病毒运行时XP默认的任务管理器里只会显示进程名为svchost.exe,而XP本来就有很多个svchost.exe进程,这就很好地达到了欺骗用户的目的。普通杀毒软件还是得依托单一的病毒库,一旦换了个新病毒用同样的手法它也不认了,安全性很差。而用本地安全策略可以很简单地永久免疫这种方式的病毒,我们只要建立两条规则: 1.在路径框中输入svchost.exe,安全级别设置为“不允许的”。 2.在路径框中输入%windir%system32svchost.exe,或通过“浏览”按钮查找这一文件,安全级别设置为“不受限的”。 由于优先级的关系,第二条使用绝对路径的规则优先级高于第一条基于文件名的路径,也就是说system32文件夹下的svchost.exe是允许运行的,而其他任意文件夹中的文件名为svchost.exe的程序都无法运行。
多语言展示
当前在线:1314今日阅读:168今日分享:49