为何限制程序运行？

例如，父母不希望孩子玩游戏；

老板不希望员工使用某些软件；

拦截广告程序；

限制恶意软件运行，提高系统安全性等。。

操作中输入：gpedit.msc

打开组策略编辑器，定位到 用户配置->管理模板->系统：

右窗，有两种选择：非操作指定Windows应用程序，只操作指定的操作Windows应用程序

很容易理解，黑名单模式，白名单模式。使用方法也很简单，用不操作指定的Windows以应用程序为例，双击打开，选择已启用:

点击下面的显示.然后输入不允许操作的程序名来限制操作：

?但是这种方法功能太弱，只针对程序名称，稍微了解一下电脑改文件名就绕过了限制。然而，这种方法的功能太弱了。仅仅针对程序名称，如果您对计算机稍有了解，请更改文件名，您将绕过限制。很多时候很难满足需求。。

它也是通过组策略编辑器设置的，但位置不同，定位为：计算机配置->Windows设置->安全设置->软件限制策略：

如果之前没有创建策略，默认什么都没有，点击软件限制策略上的右键，选择软件限制策略：

点击后，会创建一些默认策略：

点击其他规则

?如上图所示，限制规则可根据程序证书、哈希值、网络区域、路径等创建！如上图所示，限制规则可根据程序证书、哈希值、网络区域、路径等创建！

这大大加强了限制的效果，不能简单地改名来打破限制！随机命名的程序也很容易限制！

以新路径规则为例，稍微演示一下功能的使用：

如上图所示，路径支持使用%temp%这样的环境变量也支持*.exe这样的通配符！

上图规则将限制系统临时文件夹中的所有后缀.exe程序运行。

运行效果如图所示：

需要注意的是，像我这样写作不会限制子目录下的程序！

如果要和所有子目录下的程序一起限制，可以这样写:

这是一种特殊的限制，虽然功能不强，但仍值得一提，它被称为：映像劫持

在运行或者CMD中输入：

reg add "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\qq.exe" /v debugger /t reg_sz /d bucunzai.exe /f

效果如图：

?例2，点击qq.exe时，打开cmd.exe：

reg add "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\qq.exe" /v debugger /t reg_sz /d cmd.exe /f

当然，也可以把cmd.exe其他指定位置的程序，如 D:\\soft\ est.exe

这个形象劫持还有路由知识点好玩吗？

?