WK綜合論壇, WK综合论坛

查看:1370 回復:2 發表於 2013-3-6 17:36:51

尚未簽到

跳轉到指定樓層
楼主
發表於 2012-12-7 20:38:33 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式

[技術討論] 深度解析U盘病毒防治技巧 [複製鏈接]

U盘病毒原理
+ ~4 J. C7 Q& z8 w/ j* K  U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。
2 P- N' m! q' E# y& _3 o9 V" n' R8 l 2 k8 ^  }( E4 t& C
图1:U盘插入后,Windows系统会自动询问用户进行何种操作" I8 j% D% [" Y

) n8 L" e2 F2 B, f% X/ |  自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
) L$ \, t, C7 }+ P  首先编写一个Autorun.inf
! Y- W. @, ]4 @' G( _  [autorun]
( h1 V! y3 j6 x+ _6 G/ D1 Z  OPEN=notepad.exe  o' G8 A6 _4 ?% z/ w( o
  shellopen=打开(&O)$ C8 g1 F6 I( L
  shellopenCommand=notepad.exe
( v; w( w& w6 G/ V( Z! q# b/ H  shellopenDefault=1
0 N* m8 B: e' E# v6 Z9 Y) r  shellexplore=资源管理器(&X)2 i9 G1 r- W" p0 h' t
  shellexploreCommand=notepad.exe, R. T2 }2 _. C" Z
  icon=rising.ico) C) X! \) ~9 [! Z& C: k) {- U: H* U
  将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。
7 I$ F4 t2 G& \* f6 j& s# s* R) I8 i
/ M) i, g7 G! K* B, \# t, D  e) u: O$ G3 K' Z' i9 g3 s( `7 l
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
1 H9 y+ h2 e9 n1 J: a
+ O/ o: }+ z; n1 K6 A4 F8 Q3 @  在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
. M; u. ]# J4 M) q' |  a. @7 j, G
2 g+ L0 W. F3 y  U2 D! K7 a
. r$ n9 m. f2 O& G  k    图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件6 j/ r9 D- @* u
  远离U盘病毒5 Q$ b; t- m2 F0 y! E
  预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。- ]$ H' b$ ]) ?) z  @' K% y
  方法一:建立Autorun.inf免疫文件  [: t9 g+ ]5 e
  在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。
7 W% U4 J4 y/ n3 p4 a2 _4 x6 `1 h  说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。
; K4 U5 \. S- R  方法二:禁用组策略中的自动播放
: u1 S8 y8 Z# S/ }6 u  以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。; ]# Z* o: Q+ m' I4 T* u

1 B/ C" v* e) u* z0 u# A( V9 g图4:在"组策略"中禁用所有本地驱动器上的自动播放功能
4 Z" ]) |" m: G' c+ K0 }. D+ g* e3 z! r5 l4 e
  注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。7 q% J6 Y/ \. b$ ?# t! H
  方法三:禁止注册表中MountPoints2的写入4 o! u& N5 F% d' y3 }
  依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的9 ^/ N+ p6 x+ R6 ?2 I
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。+ u) M* s" o* ?2 C  \4 G; a
  说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
5 W4 k/ \0 `* G3 Q
9 _/ n+ I2 H1 E / N, E% _4 g' A% W* v
图5:在注册表中找到"MountPoints2",右键点击选择"权限"
1 @/ O5 r5 k# [9 o
( y9 b: C, J3 [! z ' T" M% y& d9 v7 r/ @1 W/ ]9 T
图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝
收藏收藏 贊贊(0)
把本文推薦給朋友或其他網站上,每次被點擊增加您在本站積分︰1宣傳
桃妖视频站,海量在线视频任你播

尚未簽到

沙发
發表於 2013-3-6 17:36:51 | 只看該作者
VIP精品區,資源無限好賺金任務區,輕松賺金幣
加入VIP,享受高級特權宣傳賺金又升級,超級棒
U盘病毒越来越多,不能乱借了。

回復樓主 親!! 早上好! 心底有WK、心情就會飛翔,心中要個希望、笑容就會清爽!

 分享同時學會感恩,一句感謝的話語,就是最大的支持!  歡迎交流討論
您需要登錄後才可以回帖 登錄 | 立即注册

本版積分規則

c重要聲明:本論壇是以即時上載言論的方式運作,WK論壇對所有言論的真實性、立場及版權等,不負任何法律責任。而一切言論只代表發佈者個人意見,並非本網站之立場,讀者及用戶務必自行判斷內容之真實性。 由於本論壇受到「即時上載言論」運作方式所規限,故不能完全監察所有言論,若讀者及用戶發現有內容出現「真實性、立場及版權」等問題,請聯絡我們:[email protected]論壇有權刪除任何言論(刪除前或不會作事先警告及通知)| SiteMap[網站地圖]

發表新帖 返回頂部