EQ新手训练之—— auto病毒的预防
[b]这是没注册在EQ论坛发的帖,我想不能冷落了卡饭的EQ FANS,所以就转发过来了呵呵,没兄莫怪啊.[/b][b]
[/b]
[b]EQ新手训练之—— auto病毒的预防
[/b][size=2]随着U盘的普及 auto病毒也跟着普及起来
想要预防U盘病毒,首先需要知道U盘病毒的发作机理
微软为了方便U盘等的使用,使用了一个叫 自动播放的功能,以便于在插入U盘等工具的时候能够自动搜索U盘内的内容 并自动运行 不过这需要一个叫autorun.inf的文件支持
autorun.inf文件的作用就在于让U盘插入到电脑后自动运行(前提是电脑得开启该服务)
[/size][size=9px][b]QUOTE:[/b][/size]
一个普通的autorun.inf文件内包含的代码如下:
[autorun]
OPEN=setup.exe
shell\open=打开(&O)
shell\open\Command=setup.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=setup.exe
这样,当系统通过自动运行打开U盘或者是使用者自己双击U盘打开的时候,系统就会执行其内包含的代码,如上所列代码的意思便是, 当打开U盘的时候自动执行setup.exe这个程序 当然这个setup.exe可以是正常的安装程序,也可以是配置好的病毒
这个autorun.inf文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术
比如在光驱放入一些驱动程序盘时,会自动弹出安装界面,就是使用的这一功能
但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种驱动光盘,一插入电脑就自动安装;也可以通过此种方式,放置任何可能的恶意内容
所以,[color=darkred]预防U盘病毒的发作,首先需要限制系统读取autorun.inf[/color]
[size=4][color=green]步骤1[/color][/size]
这里以我的电脑为例,我的电脑的U盘盘符是从I盘开始的,并且有时我会插入2个U盘进行操作,所以我需要对I盘和J盘进行相关的规则设置
[img]http://www.eqspywatch.com/bbs/attachment/18_1534_1585b18993863bd.gif[/img]
通过上面的分析,可知只需对系统读取autorun.inf的动作进行拦截即可
在FD内规则设置如下(仅以I盘为例)
[img]http://www.eqspywatch.com/bbs/attachment/18_1534_40ff91e9fd484d7.gif[/img]
这样,就算开启了 自动运行的功能, 在插入U盘后,系统也无法读取autorun.inf文件里的内容,当然也不能执行autorun.inf文件里面的代码 运行病毒了
[size=4][color=green]步骤2[/color][/size]
当然,除了系统运行外,也不能排除由于使用者粗心而误运行了U盘内的病毒 所以还需要禁止在U盘里运行程序
在AD内设置规则如下(仅以I盘为例)
[img]http://www.eqspywatch.com/bbs/attachment/18_1534_204fa3fdcf9b92a.gif[/img]
这样的AD+FD规则的防御设置,即能阻止系统"自动"运行病毒,亦可阻止用户误运行病毒。
[size=4][color=green]步骤3[/color][/size]
由于系统的自动播放功能并非只针对U盘,对于本地磁盘也有效果
只要开启 自动播放功能,并且磁盘根目录内具有autorun.inf文件,那么,当双击打开磁盘时,系统也会读取autorun.inf文件并执行其内的代码
所以还需要对本地磁盘也做类似步骤1里的规则
如果一个磁盘一个磁盘的设置阻止读取规则,无疑会造成规则的重复冗余 这里,只需要设置通配符即可
如图在FD内设置:
[img]http://www.eqspywatch.com/bbs/attachment/18_1534_2d4ad4ccaf02243.gif[/img]
这样,只需一条规则,便可阻止系统对电脑里所有盘符根目录下的autorun.inf文件的读取
[size=4][color=green]步骤4[/color][/size]
既然本地磁盘能够利用autorun.inf文件自动运行病毒,那么,也应该设置规则,防止用户误运行位于磁盘根目录的病毒文件
同步骤3所说,只需设置一条规则,即可阻止所有盘符根目录的程序运行
如图在AD内设置规则:
[img]http://www.eqspywatch.com/bbs/attachment/18_1534_0a170e0100ac78e.gif[/img]
[img]http://www.eqspywatch.com/bbs/attachment/18_1534_f800f02f172ceb4.gif[/img]
不过,这里需要注意的是,必须要去掉 "包含该目录下所有文件"选项前面的勾 否则后果很严重 [:xi17:] 叫错性了...
回复 2楼 spbic 的帖子
难道是GIRL?还是BOY?[:11:] 搞不清[:15:]回复 3楼 baerzake 的帖子
没注册的性别是个亘古以来的谜团。[:xi23:] [:xi28:] [:xi36:] 我只知道跟我相反..我也是个迷 [:xi36:] 学习!支持了! 学习下 支持反潜局长。
回复 5楼 spbic 的帖子
你是啥谜呀,带把儿的。 再唱反调1.本人早已弃暗投明,不用autorun.inf规则,而只用注册表规则。真要限读,也只限制svchost.exe,notepad和explorer放开,以免想看看哪个是病毒程序也看不到,或想删删不了
2.ad规则不必太滥,即使误运行也会有运行提示呀,即使运行了也有危险行为提示呀 对很多用户来说
默认阻止比询问更方便
如果你在卖电脑的地方做过技术员,你就知道对于不懂电脑的人来说,甚么乱七八糟的事情都会发生 [:xi7:] 正主来了.......呵呵
也不答复下 速度真快
正打算发过来
不过少了几个字
回复 3楼 baerzake 的帖子
叫什么无所谓。是人就行!回复 13楼 qiao7387 的帖子
[:xi38:] 汗 不错不错~~~建议“佛祖”加分啊~ [quote]原帖由 [i]pils[/i] 于 2007-9-23 20:17 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1766115&ptid=132519][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不错不错~~~
建议“佛祖”加分啊~ [/quote]
虽然是转的没注册的,但没有功劳也有苦劳,加两分吧呵呵[:xi40:] 学习了,谢谢了 学习了,谢谢 不过,这里需要注意的是,必须要去掉 "包含该目录下所有文件"选项前面的勾 否则后果很严重
谁敢试试啥现象?另外请教,如果因为规则不当导致无法启动,是否可以用进安全模式卸载的方法修复 学习了,多谢楼主!