探秘MSE卡EXE程序与解除MSE卡EXE的方案【本文仅供参考】

guvyer

最新引擎有一点缓解，不是心里作用

hujiwa

针对此贴的软件限制策略专用写法

1.      %windir%\explorer.exe  不允许的

2.      9eb867933136ad37eaf7f2ecb97e3a4d:978432:32771    不受限的
         Windows Explorer
         Microsoft(R) Windows(R) Operating System
         Microsoft Corporation
         EXPLORER.EXE (6.0.2900.5512)

3.      MSE里面排除%windir%\explorer.exe这个文件

——注：第二条的意思是用散列规则来允许explorer.exe，因此实际结果因系统而异。熟悉策略的人一看即明白。

本规则原理

符合某系统explorer.exe的sha1的，则正常使用。
当explorer.exe被篡改，则组策略禁运explorer.exe

从而部分地弥补mse放行explorer.exe的缺陷。

具体细节及今后的处理仍需要用户的经验：
上面方法需要略有经验的人使用。不适合完全无经验者。

驭龙

hujiwa 发表于 2011-9-4 12:36
针对此贴的软件限制策略专用写法

1.      %windir%\explorer.exe  不允许的

你提供的explorer不是WIN 7 系统的吧，怎样是没有效果的，你这个版本应该是Vista。所以建议修改为Windows7系统的explorer再发上来吧

hujiwa

zdshsls 发表于 2011-9-4 12:43
你提供的explorer不是WIN 7 系统的吧，怎样是没有效果的，你这个版本应该是Vista。所以建议修改为Windows ...

哦。我这是xp的、
我之前的写法其实不熟悉的人确实会get confused。

我修改下写法，使得更易懂些

驭龙

hujiwa 发表于 2011-9-4 12:47
哦。我这是xp的、
我之前的写法其实不熟悉的人确实会get confused。

EXPLORER.EXE (6.0.2900.5512)

这个让我糊涂了，我实在是不太去研究XP，所以一看版本号是6.0就以为是Vista，呵呵。

你这个我就不添加到主帖里了，因为对于初学者实在是太危险，所以就不加了，呵呵

hujiwa

zdshsls 发表于 2011-9-4 13:02
这个让我糊涂了，我实在是不太去研究XP，所以一看版本号是6.0就以为是Vista，呵呵。

你这个我就不添 ...

嗯。这个用法有一定难度。explorer.exe当sha1不对时则进入shell禁运模式。

xf1121

谢谢了，我试试。

james0213

emet是什么东西？

驭龙

james0213 发表于 2011-9-5 10:28
emet是什么东西？

看这个介绍吧
http://bbs.kafan.cn/thread-1044855-1-1.html

hujiwa

james0213 发表于 2011-9-5 10:28
emet是什么东西？

emet是一款0day防御工具，但如果把某些程序添加进去，则可能会造成软件运行出问题。

需要自行研究。