- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
U盘病毒免疫方法
目前病毒入侵局域网主要有两个途径:一是通过网页木马的方式入侵,另一个就是通过U盘的方式传播,可以说,只要控制好了这两个病毒入口点,就可以避免很大一部分病毒的入侵,下面就说说如何应对这两个病毒入侵的问题。
网页木马免疫方法
这里指的U盘,是一个广义的概念,包包括U盘、MP3/MP4、移动硬盘,数码相机/数码摄像机等产品。U盘病毒的表现形式很有特点,一般寄生再U盘和硬盘各个分区的跟目录下。包含一个名为 autorun.inf 的文件,和一个病毒主体文件,该文件可以是任意可执行文件。
U盘病毒是利用Windows系统自动播放功能来实现自运行的。Windows系统自动播放功能是为了方便用户而设计的一种功能,当一些光盘放入光驱的时候,光驱会先自动查找光盘中的autorun.inf文件,然后读取该文件,并运行该文件中所指向的*.exe格式的可执行文件。但是现在该功能已经被病毒所利用,当病毒寄生在U盘跟目录时,这是如果用户双击打开U盘时,就自动播放功能会先运行autorun.inf文件文件,然后该文件在执行制定的可执行文件,最终导致病毒传播进入电脑。
U盘病毒的免疫办法
既然U盘病毒是通过autorun.inf文件激活运行的,那么我们就可以建立一个名字为autorun.inf来占取这个文件,实现U盘病毒的免疫,这叫“占位文件法”免疫。即在U盘中建立一个名字为autorun.inf的的文件夹。
当然,这样做的 autorun.inf 文件夹很容易被删除,因此可以使用命令行下用特殊文件名来建立,
md X:\autorun.inf
md X:\autorun.inf\"antiautorun../"
删除方法可以使用 rd X:\autorun.inf\antiautorun..\
rd X:\autorun.inf
其中X代表盘符,可以替换成任何盘符,也可以用批处理文件来实现以上操作。这样建立的autorun.inf文件夹是不容易被删除的。
当然,可以做成批处理程序:Autorun.bat 的
@echo off
echo *************************************************
echo ---- 正在进行autorun病毒免疫 ----
echo ---- 请稍后。。。 ----
echo *************************************************
color 0a
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\autorun.inf & md %%a:\autorun.inf\antiautorun..\ & attrib +h +r +s +a %%a:\autorun.inf
解除的: del-Autorun.bat
@echo off
echo *************************************************
echo ---- 正在解除autorun病毒免疫 ----
echo ---- 请稍后。。。 ----
echo *************************************************
color 0a
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do rd %%a:\autorun.inf\antiautorun..\ & attrib -h -r -s -a %%a:\autorun.inf & rd %%a:\autorun.inf
当然,这样做并非终极解决方案,病毒仍然可以先删除该文件夹,然后建立自己的autorun.inf文件。
其他方法:
1.使用SystemSword来清除autorun.inf和关闭自动播放

还有一个很简便的方法-直接修改注册表来禁用自动播放。可以将以下文件保存成reg格式双击导入。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:0000009D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:0000009D
当然,也可以使用批处理来实现,以下为脚本,需要注意的是,该批处理脚本适合WindowXP系统,要是Windows2000 的系统,需要reg.exe 文件的支持。
Rem 无条件禁止自动运行特性防范病毒
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0000009D /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0000009D /f
可以将以上bat脚本转化成exe格式的可执行文件,然后用PatchLink 这样补丁网络管理软件来统一下发执行。 |
|