實戰:U盤病毒解決方法
我這裡介紹的都是一些通過系統自身來實現的方法,不使用第三方軟件。喜歡用第三方軟件的朋友們就不要討論了。
前面已經介紹過第一種方法了:使用 軟件限制策略,創建一條規則 “?\*.* 不允許的” ,這樣即使你中了U盤病毒它也沒辦法運行。
第二種方法,其實也算是第一種方法的延伸吧。前面我們分析過系統對 autorun.inf 文件的處理流程,從中我們可以看出有一步,
explorer.exe 讀取 autorun.inf 的內容後會將其寫入注冊表中,由此,我們可以通過對注冊表相關鍵值的權限進行限制,從而使其無法修改注冊表,進而達到防止U盤病毒運行的目的。相關注冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
具體做法是將這些鍵降低權限,或者直接將所有用戶對其的訪問權限取消都可以。
第三種方法就是利用Windows的一個漏洞,建立Bug文件夾,來防止Autorun類病毒。具體方法是:
首先在U盤下建立一個名為Autorun.inf的文件夾,然後在這個文件夾下建立一個帶“.”的BUG文件夾,這樣的話 autorun.inf 文件夾就無法刪除了,比如我們在D盤下建立:
首先在D盤下建立 Autorun.inf 文件夾 然後運行CMD,輸入
md d:\autorun.inf\test..\
這樣就可以在autorun.inf文件夾裡建一個名為“test.”的文件夾,在資源管理器中無法訪問,無法改名,無法刪除。
這種方法比較消極,但適用於經常在別人機子上使用U盤的情況。不過據說有些病毒已經可以對付這種方法了。
第四種方法,也是流傳很廣的一種做法,就是通過組策略或者注冊表禁止自動播放功能。這種方法以前我也是深信不疑的,但通過近來的
幾個小實驗,發現這種方法也是有缺陷的,它只能防止一些做工粗糙的U盤病毒,對於很多病毒其實是防不了的。這個我們可以做如下實驗來驗證。我們自己建立一個 autorun.inf 文件,放於U盤根目錄下,再COPY一個NOTEPAD到你的U盤根目錄下,其內容如下:
[autorun]
OPEN=NOTEPAD.exe
shell\open=打開(&O)
shell\open\Command=NOTEPAD.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=NOTEPAD.exe
從組策略中關閉自動播放功能,在U盤點擊右鍵,新菜單裡沒有多出來的選項,但你雙擊U盤試試,你會發現NOTEPAD運行了。使用右鍵選擇打開或者資源管理器也一樣,都會運行,因為這裡 autorun.inf 已經修改了右鍵菜單裡原來這兩項的功能了。 那麼自動播放是用來干嘛的呢?相信很多筒子都知道,現在有好多光盤,當你把光盤放入光驅後,不用你進行任何操作,就會彈出一個界面,讓你選擇運行什麼,或者播放什麼這一類,記得瑞星的殺軟就是這樣,還有一些主板顯卡的驅動盤也有這功能,但是把同樣的內容放入U盤中,插入U盤的時候卻不會自動運行,很顯然操作系統的這個功能只是對光盤有效,這就是我們所知道的自動播放功能,我們在組策略中關閉了自動播放功能,僅僅只是使光盤放入光驅後不會自動運行,但你點擊光驅右鍵,你會發現 自動播放 的選擇還是存在的,所以關閉自動播放毫無意義。在這裡我們要注意一個小小的概念,自動播放(AutoPlay) 自動運行(AutoRun) 這是有區別的。要想徹底關閉系統的這個功能,我們只能從服務入手,對系統熟的話你就會知道系統處理自動播放和自動運行的服務是 Shell Hardware Detection ,所以我們只要關閉了 Shell Hardware Detection 這個服務,所有的U盤病毒都不可能運行起來了。但這種方法也不是萬能的,因為系統的差異,可能某些系統關閉此服務後會導致系統啟動緩慢。
個人認為,對於U盤病毒的防范,修改注冊表的那種方法是最有效而且沒有什麼副作用的。