發新話題

[討論] 【XP的致命硬傷 】突破組策略圍困後的瞎想

【XP的致命硬傷 】突破組策略圍困後的瞎想

前兩天有朋友這樣問:
-----------------------------------------------------
***** 我家有個老外很討厭,只要我不在家就用我電腦,每次抓到他就說查查信,我又懶的關機呵呵,給他設置個來賓帳戶,怎麼樣才能只讓他開網頁?查e-mail,別的功能都不讓他用?
-----------------------------------------------------

於是我想到用組策略(先提示下:組策略只有XP PRO才有,home版沒的)也可以達到這樣的限制,方法就是在「運行」裡輸入 gpedit.msc 出現組策略窗口,然後相繼展開:
-----「用戶配置」-「管理模板」-「系統」, 然後雙擊右邊窗口的「只運行許可的windows程序」
選擇「已啟用」按鈕,然後在顯示裡「添加」只允許運行的程序,比如填寫「winword」,就意味著該電腦只能運行WORD程序了。其他所有程序均被限制不能運行,
好,現在大問題出現了………

自己雖然知道這個功能,但一直很少這樣用,因擔心這樣的設置有無效果,我當時自己也實驗了下,填寫了只允許運行的程序為 winword,當時想,這樣應該什麼程序都被鎖死了,也許什麼也不能運行,為防止萬一,自己把自己鎖死就完蛋了,我想把組策略也添加到允許程序裡,這樣就算被鎖了,也能進入組策略撤消這個限制,於是在添加項目裡添加組策略進去,就是填寫gpedit.msc 做完這些後,我就關閉了組策略窗口……

-------於是開始我試驗組策略是否把所有程序都限制,我隨便雙擊一個程序,比如桌面上的QQ,出來一個這樣的警告窗口

再雙擊一個播放器,一樣的警告出現

-------- 呵呵~ 看來成功了~ 似乎除了允許的winword之外,其他的都被禁止了~

--------好用~-我像大灰狼那樣張大著嘴巴~ 張牙舞爪~ 先樂了一陣~

後來轉念一想,這個限制不知道會不會把系統裡所有的程序都禁止掉,於是試了下在運行裡輸入 regedit 想打開註冊表試試
出來同樣的限制警告~ 再打開IE上網試試~~ 又一個限制警告,都不能用了,
我想~ NND~ 挺厲害啊~ 註冊表都禁止了~ 危險啊~不會什麼都不能使用了吧???????

於是我想再次進入組策略把這些限制取消掉,在運行裡輸入 gpedit.msc
這時候我大吃一驚,因為同樣地出來了那個限制窗口~~
我想~~ 操蛋了~ 可能自己鎖死自己了~ 真進不了組策略撤消那些該死的設置,不完了??

~於是我滿頭大汗雙擊桌面上的程序,操~ 一個都不能運行啊~
在運行裡輸入 MMC,就是啟動服務控制台(大家都知道可以用MMC控制台調出組策略)~ 準備從控制台裡強硬把 「組策略gpedit.msc」導出來使用,正如擔心的那樣,MMC也被禁止使用了,輸入CMD窗口,也被限制使用,連「計算器」也不能運行,後來我想乾脆把XP的explorer.exe外殼終止再看看有什麼辦法,按下ctrl+alt+del 任務管理器是出來了,但終止了explorer.exe外殼後,再新任務裡輸入任何的命令都被拒絕了~ 
~~ 暈啊~~~~~~連網也上不了~~~~~~這次真的死定

我想得上網找寫資料看看下,IE已經被證明不能使用了,想用realplay播放器來上網,同樣被禁止使用,
--------當我明白現在只能使用word的時候,像被打斷脊樑的灰狼一樣~癱倒在三隻腳的椅子上~ 
********* 寫這個時忘記了 用word上不知道行不》??

事實證明,當這個萬惡的組策略只要起用了「只允許運行的程序」外,任何東西都被禁止運行了,除了你添加允許的程序外,
但當時自己只添加了word和gpedit、就只能運行word,其他的諸如什麼 .com .pif .exe .bat .點點點什麼玩意都不行啊~ 
老九啊~ 連畫圖板~XP的掃雷這樣的小DD也不給用了~ 其他就更不用說了

但很鬱悶的是~ 我明明將「gepdit.msc組策略」添加為允許運行的程序,但輸入命令卻也被拒絕使用
鬱悶~ 怎麼回事啊~~ 為什麼明明允許進去也不能運行~
真想拖下鞋子拿鞋底很很把小比爾的臉很很的抽他三萬六千零九下~

你這漏洞也太大了吧~ 這不是設了個大火坑~ 引誘我們小菜鳥往裡跳啊~~

--------------------------------------------------------
後來發現「我的電腦」倒是可以打開,檔案夾也可以打開~於是利用「資源管理器」來上網,竟然可以上網~ 
嘿嘿~ ~這次有救了~ 獰笑一下 
馬上發了個求助貼 
當然~也許平時鼓搗這個的不多~所有還是沒解決問題~

----------------------------------------------------------
google~ 網路上提到禁用組策略的註冊表鍵值在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
把「RestrictRun」的鍵值改為0即可

另一個方法2是在 CMD窗口編輯註冊表,輸入
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v RestrictRun /t reg_dword /d0
命令來刪除RestrictRun 主鍵 以解開組策略
---------------------------------------------------------------

註冊表自己到是經常鼓搗,甚至還暗藏了幾個罕見的怪招數~ 嘿嘿~ 慢慢來~ 等會再說一下
******************好!! 我們菜鳥開始和XP過一招~~
在桌面用記事本寫個文本檔案保存為REG註冊表檔案,刪除相應的鍵值,也不行~記事本也被禁了~
後來用WORD寫好保存為REG格式是成功了,但因註冊表的使用權利被限制,相當於使用註冊表的權利也被禁止了~
也無法把鍵值導進去~ 行不通~


~ ~ 劍走邊鋒~ 用CMD窗口修改註冊表~ 但CMD也被禁止使用,也行不通,MMC台已經試了不行

------------------
安全模式~不行 添加新用戶~不行~ 我是雙系統,從WIN2000進去,也是束手無策~ 系統還原~不行~
恢復控制台下太慢~ 也等於CMD,
以「帶命令行的模式」啟動電腦---「以命令行模式」啟動,竟然自動打開了CMD窗口~

******說明:但自己在運行裡輸入CMD,就打不開,可想而知是系統可以調用,但再超級用戶也不能運行--------,

CMD窗口打開,估計有希望,於是按照網路裡上面的方法刪除鍵值
~~ 輸入 reg add……. RestrictRun /…. 什麼的,操蛋~ 完全行不通,說是參數太多,省略後面的參數再試下,一樣無效~
~ 扯蛋啊~ 看來網上以訛傳訛的無用資料太TMD多了

(網路上的行不通—還得自己來)

自己想辦法~` 既然所有的程序都不准運行,我傻笑了一下~ 想到了以前知道的絕招
於是打開word 寫個 .inf檔案, 刪除這個組策略RestrictRun的鍵值
這樣---------------------
複製內容到剪貼板
代碼:
[version]
Signature="$CHICAGO$"
[DefaultInstall]
DelReg=ClsReg
[ClsReg]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System\explorer、RestrictRun
意思就是把整個RestrictRun鍵值刪除
---呵呵~很少見的方法哦~~~ 然後用word來另存為 inf格式的檔案-------

這樣的INF檔案在普通情形下,是不雙擊的,右鍵點它選「安裝」即可,我想,這不是EXE檔案,應該可以
試了下~ 不行~ 我還是自殺了算了吧~ NND 這也不行啊~ 絕望~ 只有重新裝了~


--------- 不到黃河不死心~ 像我這樣的骨灰級的~~ 不服不服!!

唉~ 該靜下來好好動動豆腐腦啦~~~~其實上面的CMD和註冊表之類的所有程序並非處於disable狀態,而是組策略裡限制了使用它,因為如果註冊表被禁用的話,出來的警告是「註冊表已經被管理員停用」,而現在出來的警告是「本次操作由於這台電腦的限制而被取消。。」,如下圖~ 有區別啊~



既然註冊表被禁止使用,那麼寫鍵值去刪除它行不通,鍵值也沒法導進去,
但根據出來的警告的不同,我認為註冊表其實是可編輯狀態,問題是用戶沒有使用的權限,現在的情形並非註冊表禁止而是沒有使用權限,所以現在的思路是怎麼樣打開註冊表,然後把禁用組策略去掉~

***所以只能考慮一個借屍還魂的方法了

呵呵~ 於是我想了一個我們「盲拳打死老師傅」的怪招,我試了下XP的屏保可以用不~ 原來可以~ 好~ 這次就有80%的把握了~~ 我的思路是利用XP系統裡的螢幕保護來運行打開註冊表

這樣,選XP的 logon.scr-----就是黑黑的那個螢幕保護,它在system32檔案下,我先把註冊表編輯器regedit.exe複製到這個檔案夾,準備刪除掉logon.scr螢幕保護、把註冊表編輯器regedit替換為logon.scr,這樣的話,當XP啟動螢幕保護時,其實是運行註冊表編輯器,騙騙XP這個小比爾~

看來思路不錯哦,,但直接刪除logon.scr不行,它還有個備份在dllcache檔案夾裡,誰刪它的話,這裡的備份馬上就會再產生一個新的logon.scr,所以先把dllcache下的移出來,再刪除system32檔案夾下的logon.scr
然後把regedit.exe更改為logon.scr~ 系統發現檔案被刪而警告, 不理睬它。。。。
哈哈~ 瞞天過海~ 36計還是懂一點滴~

完成後,設置logon.scr屏保,XP似乎馬上覺得這個logon.scr是假貨~ 出來這樣的一個信息

呵呵~ 怪~ 也不知道什麼意思~ 不理它。。。我點「否」,在按「預覽」螢幕保護

KAO~ 真的打開了註冊表啊~ 老天爺~ !!!

馬上找到剛才關於組策略的鍵值,發現它們添加的在這裡

於是我試著這裡建個串值,把MMC添加進去~ 按確定後覺得XP好像刷新了一下,覺得100%成功了,
先不關閉註冊表,運行輸入MMC,竟然啟動了MMC窗口,
再試,在運行輸入gpedit.msc 恍如隔世的組策略窗口終於出來了~`~ ~~~~~~

這裡是禁止使用組策略的鍵值,刪除它,或改為0值

關閉註冊表後,再試~ 輸入regedit 判斷沒錯,註冊表出來了

至此~~~~~ 大功告成~ 高興啊~ 當時以為只有重新裝XP了

TOP

事情後的第二天,我又鼓搗了一下,發現如果添加 gpedit.msc為允許運行程序根本行不通
但如果添加MMC.exe進去,組策略就沒有被禁止使用,

----------------------------
我還這樣試了下,就算不設置那個「只允許許可的windows程序」,如果我們寫一個這樣的REG檔案
複製內容到剪貼板
代碼:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
把它寫進註冊表,等於禁止了使用組策略,在這個情形下,和我前面的現象一樣,就不能運行任何東西
大家不信的話,大可以把上面的複製到文本檔案,保存為任意類型檔案,名字隨便,比如111.reg
雙擊它,保證你什麼都完蛋~
********** 嚴正警告:懷疑者謹慎從事,沒把握別試 **************

********繼續我的今天的研究成果,我發現,網路上在CMD刪除的方法不對,也許那是針對其他的系統版本?
總之根據網上的行不通,
網上提到的命令這樣
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v RestrictRun /t reg_dword /d0
其實不行~ 而且後面有兩個參數錯誤!!
------今天我想了下,如果再次有組策略被禁止時,什麼都不能運行時,可以以「帶命令行模式」啟動電腦,從CMD裡編輯註冊表,刪除RestrictRun鍵值
正確的命令如下 CMD 窗口下輸入
Reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System /v RestrictRun
這是刪除「禁用組策略」 注意:空白處均為空一格~ 這樣等於進入註冊表刪除了RestrictRun的dword鍵值

-------------------------
順便說一下註冊表被禁用的問題,如果註冊表被病毒鎖住被禁用時,就是出現「註冊表已經被管理員禁用」時
CMD窗口下輸入 Reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
這是刪除「禁用組策略」
注意:空白處均為空一格

******* 更正網路上包括電板精華里的錯誤-----------------------
當註冊表「註冊表已經被管理員禁用」時,很多說法是寫個REG~這樣
----------------------
複製內容到剪貼板
代碼:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
保存為REG時雙擊,就可以解除,實際是不行的,~這個方法行不通,但在windows2000下可以,網上這樣的流傳很廣~ 誤導~

大家試試就知道,要麼在組策略裡解開,要麼上述CMD方法編輯

當然,除了在CMD窗口下編輯註冊表,還有的方法就是寫inf 檔案,也是非常罕見的手段
~~~~這個下次再說了~ 累死了

好,現在覺得組策略太脆弱了,病毒木馬隨便往註冊表寫個RestrictRun鍵值,就可以導致XP所有的東西不准運行
雖然沒大傷害,當什麼都不能運行~ 這樣的硬傷也太危險了吧~~~~`
懶得話只想到重新安裝XP了

TOP

發新話題

本站所有圖文均屬網友發表,僅代表作者的觀點與本站無關,如有侵權請通知版主會盡快刪除。