看过防u盘病毒帖后

Magis

刚到hips区看到这个帖子http://bbs.kafan.cn/viewthread.php?tid=206247&extra=page%3D1

提到防U盘病毒的几种方案

1. 禁止explorer.exe读取autorun.inf （HIPS之FD） 2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项，即： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command 或者将整个MountPoints2项封住，禁止写入 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 （注册表权限、HIPS之RD） 3. 禁止U盘的程序启动 （软件限制策略、HIPS之AD） (个人觉得是关键)

想具体和大家讨论下，如果用V3 如何实现以上3条？因为explorer给的权限一般都比较高，编规则时该如何注意。

[ 本帖最后由 magiscoldeye 于 2008-2-21 20:59 编辑 ]

Antikm

頂一個
因為我也想學習

a256886572008

All applications -> Access Rights -> Registry -> Modify ->

Blocked registry keys

添加
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*

Magis

computer security policy， all applications是置于最下方的，优先级上来说也是最靠后的，如果在它之上有设置了高权限的的程序，这样设置还有效么？不妨直接对explorer进行单独设置，在run an executable里block掉autorun.inf 和移动盘符\*和移动盘符\*\*,protected registry keys里block掉HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*