软件限制策略.xls

IBM【电脑诊所】软件限制策略 tpc 所在位置:C:\WINDOWS\system32,Service?Host?Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。在XP中一般有4个以上的Svchost.exe服务进程,Svchost.exe是系统的核心进程，不是病毒进程只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了 所在位置:C:\WINDOWS\system32,csrss.exe是系统的正常进程。是核心部分，客户端服务子系统，用以控制图形相关子系统。系统中只有一个CSRSS.EXE进程，若以上系统中出现两个(其中一个位于Windows文件夹中)，则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。 所在位置:C:\WINDOWS\system32,SMSS.EXE进程为会话管理子系统用以初始化系统变量，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应。注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是%WINDIR%\SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒， dxdiag.* user.* 所在位置:C:\WINDOWS\system32,WinLogon.exe是Windows?NT登陆管理器。它用于处理系统的登陆和登陆过程。该进程非常重要。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除 所在位置:C:\WINDOWS\system32, 所在位置:C:\WINDOWS\system32, 阻止任何目录下的伪装成系统文件SVCHOST.EXE程序的运行 路径 不允许的 *.COM 01 03 04 05 06 07 08 09 10 11 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 02 IE限制策略 路径1 散列3 (阻止任何目录下的伪装成系统文件WINLOGON.EXE程序的运行) cmd.exe 散列 不受限的 禁止临时文件目录下,不含子目录,所有文件的运行,以阻止某些木马程序文件的运行 所在位置:C:\WINDOWS\system32，显示活动控制台代码页数量 所在位置:C:\WINDOWS\system32，是32位msdos环境下的命令解释器 所在位置:C:\WINDOWS\system32，比较两张软盘的内容 所在位置:C:\WINDOWS\system32，将软盘的内容复制到目标驱动器中 所在位置:C:\WINDOWS\system32，文本文件编辑程序 所在位置:C:\WINDOWS\system32，磁盘格式化程序 所在位置:C:\WINDOWS\system32，启用可在图形模式下显示扩展字符集的功能 所在位置:C:\WINDOWS\system32 所在位置:C:\WINDOWS\system32，管道命令每次显示一个输出屏幕 所在位置:C:\WINDOWS\system32，图像化显示路径或驱动器中磁盘的目录结构 所在位置:C:\WINDOWS\system32，显示系统状态更改系统设置或重新配置端口或设备 阻止任何目录下的伪装成系统文件csrss.exe程序的运行 阻止任何目录下的伪装成系统文件explorer.exe程序的运行 阻止任何目录下的伪装成系统文件LSASS.EXE程序的运行 所在位置:C:\WINDOWS\system32,lsass.ex