U盘(autorun.inf)终级防线
幕:MD….由于电脑原因(好像以前用过U盘免疫的),实验过程中相当失败。。
如果下面在实际内容和你遇到的情况有差别的话。。。请原谅我。。。 ============================================
最近U盘事件实在太过于泛滥,笔者特此写个预防的小教程,其实网上都很多解决的方案
我的目的是:尽量把复杂的东西写简单点...仅仅而已,所以没有什么技术含量,呵呵
所先了解下U盘病毒(其实也可以理解为可移动介质东西,比如移动硬盘等,为了方便阅读,统称为U盘了。)的工作原理。。
一般来说,每个U盘要传播病毒,它是不会指望,把病毒放在U盘根目录下,然后等着用户而去运行激活。(当然,也有
病毒把自己伪装成各种图标诱惑你去点)。。
这时候,那些黑客(暂且这样说吧)就利用这样一个技术:
autorun.inf 那什么是autorun.inf呢,简单说它其实是个Windows下的软件安装信息可能很多光盘都有这样一个文件,当然,他们是为了方便着想的(因为你打开光盘时候,看着那么多运行程序,你并不知道那个是你想要的),所以你要先明白一点,它仅仅是个傀儡,本身并不是病毒。。(尽管有些杀软把他报成病毒)
可以看看类似这样的例子:
其实在很多情况下,如果是病毒的话,它往往会把autorun.inf和相对应的激活程序设置为隐藏。(更有甚者,设置为系统属性。。)
那我们要先把他们设置为可显示
它默认是不显示的,把他勾选上,然后点确定就可以了
PS:如果按上面步骤还不能设置为显示的话..:
开始-运行-regedit
展开到:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 就可以
好了,原形毕露了,看看里面是什么吧
autorun.inf的内容:
[AutoRun]
open=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
shell\1=打开
shell\1\command\=setup.exe
前面的意思就是你打开该U盘的时候,它会所先执行setup.exe(这名字可以随机变换)这程序(如果它是病毒的话,那你就遭殃咯),
这招如果配合系统默认的"自动播放"来用的话,那命中率将会是100%..(除非杀软能识别或者拥有HIPS之类的东西阻止)后面两段的意思是在你右键点击U盘时会出现两个“打开”。这里“打开”那行的内容可以换成你喜欢东东
[没有实验过,自己猜想语法,可能不会显示。。不过这并不重要,只是理解下它工作的原理]
好了,费话说了太多了,直接看预防方法:
所先禁止自动播放功能:
开始-允许-gpedit.msc
然后:
计算机配置—管理模板—系统—停用自动播放—设置为已启用—选上所有驱动器—确定就OK了
然后就是治本了,也就是针对Autorun.inf,其实这招可能大家比较熟悉了,也就是MS设计的,只读属性不能修改(包括覆盖)
如果你在你的U盘有发现Autorun.inf的话,先把他删除,然后再新建立个新的Autorun.inf(这里要记住,
要新建为文件夹,不能为文本格式的!),里面不必写什么内容,把他设置为只读,也可以设置为系统的属性。嘿嘿
这样就可以有只读-隐藏-系统-存档的属性了,嘿嘿
嗯了,试下效果吧。 ^_^
为了预防类似病毒,本人建议每个分区都新建立个,当然,也可以修改注册使其的autorun失效(我网盘里有,直接导入即可),有的U盘免疫功能一样也可以..还有,如果是分区是NTFS格式的话,还可以写权限.比较简单了,略..
好了,接下来说防范.
推荐方法是:接入U盘时(关闭自动播放前提下),先用Winrar观看U盘里面是不是有可疑的东西..
如果有的话,用下面的方法删除:
用rar可以看出所有隐藏的东西,当然,如果你无法显示隐藏文件(被病毒修改)的话,这种方法也可以的,然后有看到可疑的话,点该文件右键删除就可以了..
如果没有RAR的话,没关系,可以用系统自带的资源管理器,不过要先显示隐藏文件,方法上面有写了,略...
还有种方法就是用HIPS之类的监控软件,我这里用的是SSM,表现相当出色,详细内容请看猫叔的SSM教程..
好了,比较常用的方法就是上面这些了,如果能都做到的话,基本上都可以防御下来拉,对了,再提下,如果有病毒在U盘杀不了的话,请注意是不是U盘开了保护口(上次就遇到次..>_<)
感觉好像还是漏了不少,例如注册表修改方面的,我觉得似乎没必要写...(嘿嘿,偷懒下)
[完]
PS:如果那里写错或者要补充的话,请PM我,谢谢了!毕竟交流才是最重要的话,呵呵~
