最近，通过恢复SSDT，废掉杀软等安全工具的病毒流行。目前为止，这些病毒恢复SSDT，基本上都是通过加载一个病毒驱动.sys实现的。只要不让病毒驱动加载，即使中招了，处理起来也方便得多。因此，如何恰当管理系统驱动程序，不给这类病毒留下可钻的空子，是每个用户应该考虑的问题。
这里，我将自己使用“软件限制策略”和瑞星“主动防御”设置对付这类病毒.sys的方案及其防护效果介绍如下，欢迎拍砖：

1、设置“软件限制策略”，区别对待系统.sys与非系统.sys。

1.jpg (69.04 KB)

2008-7-21 08:28 AM

2、保护drivers目录下的文件免于更改。

2.jpg (61.01 KB)

2008-7-20 09:00 PM

3、特殊情况的处理－－－－IceSword的运行问题。

3.jpg (63.15 KB)

2008-7-20 09:00 PM

4、瑞星的自身防护问题。

4.jpg (74.36 KB)

2008-7-20 09:00 PM

5、上述方案对目前流行的两个病毒样本.sys加载的防护效果。此方案仅针对防止病毒驱动加载问题，

禁止.sys以外的病毒文件的释放与运行等防护不在本帖讨论范围内。

5.jpg (42.03 KB)

2008-7-20 09:00 PM

6、补充说明：默认情况下，”软件限制策略“的”指派的文件类型“ 并不包括SYS，用户须自行添加：

6.jpg (83.81 KB)

2008-7-20 09:10 PM

7、补充说明：禁止恶意程序删除组策略相关设置

2.jpg (47.63 KB)

2008-7-21 08:46 AM