禁止程序運行的方法

1. 通過注冊表或組策略限制程序運行

打開HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer，新建DWORD值，名稱為DisallowRun，值為1，然后在Explorer鍵下建一主鍵，名稱為DisallowRun，接著在DisallowRun下建一字符串值，名稱任意，可以隨便設(shè)一個數(shù)，值為要禁止運行的程序的名稱，如 “qq.exe”，操作完成后需要注銷或重啟桌面，以后在資源管理器中運行QQ時，就會提示“本次操作由于這臺計算機的限制而被取消”。另外還有種方法是通過組策略來禁止程序運行，不過組策略與注冊表是等價的，只是組策略更方便一些而已，方法是“用戶配置-管理模板-系統(tǒng)-不要運行指定的 Windows應(yīng)用程序”。這種方法用來防止在我的電腦中運行某個程序，實質(zhì)上是限制對 ShellExecute 的調(diào)用。

2. 通過映像劫持禁止某程序運行

打開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options鍵，在它下面建一主鍵，名稱為要禁止運行的程序名，如“qq.exe”，然后再在qq.exe下建一字符串值，名稱為Debugger，最好是把值設(shè)為 ntsd -d,這樣這個程序就不能運行了.

3. 利用manifest文件限制某程序運行.

在程序目錄內(nèi)新建一個 目標名稱 + .manifest 的文件夾，例如:：禁止QQ.exe則新建文件夾 QQ.exe.manifest 的文件夾。(程序改名后也可以運行)

4. 禁止某類程序運行

禁止網(wǎng)絡(luò)程序運行

如禁止QQ，可以在其安裝目錄中創(chuàng)建一個名為 ws2_32.dll 的文件夾，ws2_32.dll是訪問網(wǎng)絡(luò)時所必需的庫文件，由于程序在查找文件時 只認名稱，不認屬性，所以QQ運行后就會在當前目錄中找到ws2_32.dll這個文件夾，然后把它當作文件去執(zhí)行，然后出錯，提示“應(yīng)用程序正常初使化 失敗”。

禁止其它程序運行

若要禁止VB6的程序運行可以在其目錄中創(chuàng)建一個 msvbvm60.dll 的文件夾，若要禁止VC6的程序運行可以在其目錄中創(chuàng)建mfc42.dll的文件夾。有些病毒還會在其文件夾中再創(chuàng)建一個無法刪除的文件夾，如建立一個加點的文件夾(如在cmd下輸入：md c:\\陸希鵬..\\ 回車就可以)

5. 設(shè)置權(quán)限

使用權(quán)限的前提是目標程序所在的分區(qū)必須是 NTFS 文件系統(tǒng)，方法是右擊一個文件選擇屬性，在“安全”選項卡中先選擇一個用戶，然后在下面的列表中選擇它 的權(quán)限，也可以單擊高級以便設(shè)置更多的權(quán)限。注意，如何沒有“安全”選項卡的話，可在文件夾選項中取消“使用簡單文件共享（推薦）”這個選項，同時還有檢 查注冊表中 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer 這個鍵下是否存在 NoSecurityTab 這個DWORD值，有則刪去。如果經(jīng)過以上設(shè)置后還找不到“安全”選項卡，那么就是 rshx32.dll 這個文件沒有注冊或者不存在，這時可以使用 regsvr32 來注冊這個文件。除此之外，還可以使用 cacls 命令來修改文件的權(quán)限。具體方法可以在cmd里輸入 cacls /? 來獲得幫助。

6. 映像劫持法禁運程序

VBS 腳本

需要限制時運行該腳本，腳本中包含的字符串 QQ.exe、Thunder5.exe 和 Iexplore.exe 表示禁用QQ、迅雷和IE* 添加其他禁止運行程序語句：or name='程序'，停止禁用時結(jié)束 wmiprvse.exe 和 wscript.exe 進程就可以了. 比組策略的好處是:不會有 被管理員禁止... 提示窗口，但修改名稱后程序可以運行。

• 禁用程序.vbs

dim qobj,pipe,good
do
good=\".\"
set qobj=getobject(\"winmgmts:\\\\\"&good&\"\\root\\cimv2\")
set pipe=qobj.execquery(\"select * from win32_process where name='Thunder5.exe'or name='Iexplore.exe' or name='QQ.exe'\")
for each i in pipe
i.terminate()
next
wscript.sleep 1
loop

BAT 腳本

• 啟用終止禁止程序運行.bat

@echo off & set wind=1
:verybat
if %wind%==1 (
reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\QQgame.exe\" /v debugger /t reg_sz /d debugfile.exe /f>nul
set wind=0
echo QQ游戲已禁止  按任意鍵后將解除
echo. & echo 退出請關(guān)閉窗口
) else (
reg delete \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\QQgame.exe\" /f>nul
set wind=1
echo QQ游戲已解除禁止  按任意鍵后將禁止運行
echo. & echo 退出請關(guān)閉窗口
)
pause>nul & cls & goto verybat

• 全盤禁止運行指定程序.bat

@echo off
mode con cols=84 lines=21
title 注冊表限制威金、熊貓、金豬病毒運行
color 4f
cls
echo.
echo           注冊表限制威金、熊貓、金豬病毒的運行 for /XP
echo     -----------------------------------------------------------------
echo.
echo       此批處理可以限制2007年2月9日前的威金、熊貓、金豬病毒運行。
echo     比如運行SETUP.EXE的熊貓病毒，該病毒會生成c:\WINDOWS\SYTEM32\FuckJacks.exe
echo     由于限制了FuckJacks.exe運行，所以不管怎么雙擊SETUP.EXE都不能成
echo     功運行病毒c:\WINDOWS\SYTEM32\FuckJacks.exe
echo.
echo     [F] 啟用限制    [U] 解除限制    [Q] 任意鍵退出
echo.
echo     -----------------------------------------------------------------
echo.
set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersionImage\File Execution\Options
SET Choice=
SET /P Choice=     請選擇要進行的操作： 
IF /I '%Choice:~0,1%'=='f' GOTO fix
IF /I '%Choice:~0,1%'=='u' GOTO unfix
exit
:fix
echo.
echo              正在進行免疫操作，請稍侯... 
:: 下一句中的 \"全盤禁止運行%%i\" 可以替換成任意的字符，都能起到全盤禁止運行指定exe的效果
for /f %%i in (list.ini) do (
  reg add \"%route%\\% %i\" /v Debugger /t REG_SZ /d 全盤禁止運行%%i /f >nul 2>nul
)
cls
echo.&echo.&echo.&echo.&echo.
echo         已在注冊表中限制威金、熊貓、金豬病毒的運行。
echo         如已中此類病毒，運行批處理后，請重啟殺毒
echo.