U盘（autorun.inf）终级防线

幕：MD….由于电脑原因（好像以前用过U盘免疫的），实验过程中相当失败。。如果下面在实际内容和你遇到的情况有差别的话。。。请原谅我。。。




============================================





最近U盘事件实在太过于泛滥,笔者特此写个预防的小教程,其实网上都很多解决的方案





我的目的是:尽量把复杂的东西写简单点...仅仅而已,所以没有什么技术含量,呵呵





所先了解下U盘病毒（其实也可以理解为可移动介质东西，比如移动硬盘等，为了方便阅读，统称为U盘了。）的工作原理。。





一般来说，每个U盘要传播病毒，它是不会指望，把病毒放在U盘根目录下，然后等着用户而去运行激活。（当然，也有病毒把自己伪装成各种图标诱惑你去点）。。





这时候，那些黑客（暂且这样说吧）就利用这样一个技术：autorun.inf





那什么是autorun.inf呢，简单说它其实是个Windows下的软件安装信息可能很多光盘都有这样一个文件，当然，他们是为了方便着想的（因为你打开光盘时候，看着那么多运行程序，你并不知道那个是你想要的），所以你要先明白一点，它仅仅是个傀儡，本身并不是病毒。。（尽管有些杀软把他报成病毒）





可以看看类似这样的例子：





其实在很多情况下，如果是病毒的话，它往往会把autorun.inf和相对应的激活程序设置为隐藏。（更有甚者，设置为系统属性。。）





那我们要先把他们设置为可显示







它默认是不显示的,把他勾选上,然后点确定就可以了

PS:如果按上面步骤还不能设置为显示的话..:

开始-运行-regedit
展开到:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 就可以

好了,原形毕露了,看看里面是什么吧



autorun.inf的内容：

[AutoRun]
open=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

shell\1=打开

shell\1\command\=setup.exe


前面的意思就是你打开该U盘的时候，它会所先执行setup.exe（这名字可以随机变换）这程序（如果它是病毒的话，那你就遭殃咯）,这招如果配合系统默认的"自动播放"来用的话,那命中率将会是100%..(除非杀软能识别或者拥有HIPS之类的东西阻止)后面两段的意思是在你右键点击U盘时会出现两个“打开”。这里“打开”那行的内容可以换成你喜欢东东





[没有实验过，自己猜想语法，可能不会显示。。不过这并不重要，只是理解下它工作的原理]







好了,费话说了太多了,直接看预防方法:

所先禁止自动播放功能:

开始-允许-gpedit.msc 

然后:







计算机配置—管理模板—系统—停用自动播放—设置为已启用—选上所有驱动器—确定就OK了



然后就是治本了，也就是针对Autorun.inf，其实这招可能大家比较熟悉了，也就是MS设计的，只读属性不能修改（包括覆盖）

如果你在你的U盘有发现Autorun.inf的话，先把他删除，然后再新建立个新的Autorun.inf(这里要记住,要新建为文件夹,不能为文本格式的!)，里面不必写什么内容，把他设置为只读，也可以设置为系统的属性。嘿嘿







这样就可以有只读-隐藏-系统-存档的属性了，嘿嘿

嗯了，试下效果吧。 ^_^





为了预防类似病毒,本人建议每个分区都新建立个,当然,也可以修改注册使其的autorun失效(我网盘里有,直接导入即可),有的U盘免疫功能一样也可以..还有,如果是分区是NTFS格式的话,还可以写权限.比较简单了,略..

好了,接下来说防范.

推荐方法是:接入U盘时(关闭自动播放前提下),先用Winrar观看U盘里面是不是有可疑的东西..





如果有的话,用下面的方法删除:




用rar可以看出所有隐藏的东西,当然,如果你无法显示隐藏文件(被病毒修改)的话,这种方法也可以的,然后有看到可疑的话,点该文件右键删除就可以了..

如果没有RAR的话,没关系,可以用系统自带的资源管理器,不过要先显示隐藏文件,方法上面有写了,略...


还有种方法就是用HIPS之类的监控软件,我这里用的是SSM,表现相当出色,详细内容请看猫叔的SSM教程..


好了,比较常用的方法就是上面这些了,如果能都做到的话,基本上都可以防御下来拉,对了,再提下,如果有病毒在U盘杀不了的话,请注意是不是U盘开了保护口(上次就遇到次..>_<)

感觉好像还是漏了不少,例如注册表修改方面的,我觉得似乎没必要写...(嘿嘿,偷懒下)

[完]

PS:如果那里写错或者要补充的话,请PM我,谢谢了!毕竟交流才是最重要的话,呵呵~

为了资源整合，也为了保持版面整洁，我想了想，还是发到这里好..........希望这张由 孤独更可靠 编写的帖子能够在大家的共同努力下最终会成为关于“U盘病毒技术剖析和解决方案”的精华和置顶帖。


=====================================

本文绝大部分已发表在《电脑爱好者》2007年第7期第66——67页：《妙用Autorun,inf，让“闪存盘”远离自动运行》

===========================================
致谢
非常感谢《电脑爱好者》编辑“特别的特别”辛勤的劳动。原文中有一个重大且严重的错误他在审稿中改了过来——如果不改，将会误导一大批人，同时也有可能产生难以预料的结果（无论是读者、本人还是杂志本身）。这也提醒我，发稿前应该要再三仔细核对、多次试验，否则自己一失误，后果可能很严重……
===========================================

原文档名称：《掀开USB 存储设备自动运行的面纱》（初稿）
本章节撰写人：Horse Luke
审核状态：部分已审核（《电脑爱好者》编辑：特别的特别）
最后更新日期：2007-4-7 13：55
本文还可能有其他错误，欢迎指正。

===========================================
本文的参考文献：

<1> How to Disable the Feature That Allows CD-ROMs and Audio CDs to Run Automatically：:
http://support.microsoft.com/kb/126025/en-us
<2> Autorun.inf Entries：http://msdn2.microsoft.com/en-us/library/aa969327.aspx
<3>《Shell 中的新功能（Windows XP）》：
http://www.microsoft.com/china/MSDN/library/archives/library/shellcc/platform/shell/shell_new/whatsnew.asp
Using Hardware AutoPlay：
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/autoplay/autoplay2k_intro.asp
<4>Shell and Common Controls Versions：
http://msdn2.microsoft.com/en-us/library/ms649534.aspx
<5> Enabling and Disabling AutoRun：
http://msdn2.microsoft.com/en-gb/library/aa969329.aspx
<6> Windows 2000 Resource Kit - Registry Reference -…-NoDriveTypeAutoRun：
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx
<7>《U盘病毒和Autorun.inf文件分析》：http://www.x-force.cn/article.asp?id=163
<8>《全球首发:狙击Autorun.inf类病毒》中“从“根”去除自动运行功能”：
http://blog.cfan.com.cn/html/46/14246_itemid_80918.html
<9>卡卡社区的轩辕小聪（在本帖第10楼）：
http://forum.ikaka.com/topic.asp?board=28&artid=8233554


本文提到的链接：
NoDriveAutoRun和NoDriveTypeAutoRun两个键值更详细的设置说明：
http://work.newhua.com/cfan/200707/autorunregcalc.zip
《真的无招了吗？对第7期28页<autorun.inf病毒 你无招了>的回应》：
http://bbs.cfan.com.cn/thread-503332-1-1.html



本文在我的Blog上的链接：http://blog.sina.com.cn/u/56b798f80100084d

===========================================


XP Home用户可以按照第3楼 猫叔的帖子做就可以达到使用组策略的方法了。但是要扩展一下才好：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

1、





2、





3、





4、

5、





6、





7、





8、





9、





10、

【回复“孤独更可靠”的帖子】
将下列内容保存为block_auto.reg。双击block_auto.reg，将其导入注册表，就彻底清静了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

第1楼和第2楼更新完毕.......欢迎各位指正。

猫叔，你那个可能要扩展一下才好：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

晕~技术性含量不少有待研究呵呵!...
顶下~

这贴子不能沉呀，顶上去!

嗯,是的,3楼猫叔的方法比较通用

早上我也已经把禁止驱动器autorun发到我的网盘里了

呵呵

还有,horseluke11朋友非常感谢你写的那么详细

其实我在写的时候也参考了比较多的有关介绍

写的是比较通俗易懂了,我想应该可以遏制住基本上的U盘病毒

嘿嘿,再次谢谢horseluke11和猫叔指点

谢谢 谢谢 谢谢

^_^

补上一句：
对孤独：WINDOWS 2000在插入U盘的时候要按住shift键，否则一些中了病毒、被Windows 2000识别为固定设备的U盘就会自动运行......
对猫叔：似乎注册表只能禁止自动运行，但是右键菜单仍然生效......除了修改系统文件难道就没有其他办法？

引用:

【孤独更可靠的贴子】嗯,是的,3楼猫叔的方法比较通用 早上我也已经把禁止驱动器autorun发到我的网盘里了 呵呵 还有,horseluke11朋友非常感谢你写的那么详细 其实我在写的时候也参考了比较多的有关介绍 写的是比较通俗易懂了,我想应该可以遏制住基本上的U盘病毒 嘿嘿,再次谢谢horseluke11和猫叔指点 谢谢 谢谢 谢谢 ^_^ ………………

是啊，我就怕自己写得太深奥了.......

看来要学你那样写得通俗一点