位置導航:網站首頁<<<U盤行業知識<<<防范U盤病毒的策略+技巧
防范U盤病毒的策略+技巧
對于防范U盤病毒,現在流傳著很多的方法,例如關閉自動播放、軟件限制策略、HIPS、沙盤等等,但是實際上,哪些方法才是真正有效的呢?
大概有很多人都認為防U盤病毒只是很簡單的事了,根本不值一提,曾經偶也是這么認為的,但很快發現事實卻不是這樣的mdash;mdash;我們當中的很多人都在犯著一些常識性的錯誤而我們卻沒有察覺。
對于防范U盤病毒,現在流傳著很多的方法,例如關閉自動播放、軟件限制策略、HIPS、沙盤等等,但是實際上,哪些方法才是真正有效的呢?
例如:
關于軟件限制策略,相信很多人都會設置這樣規則:
?:\autorun.* 不允許的
或者形式不一定和上面的相同,但思路是一樣的:阻止autorun.inf文件的“被執行”
有人進行過驗證,在此規則下,直接雙擊U盤下的autorun.inf文件,發現立即彈出被組策略阻止的提示窗口,似乎還有點作用。不過,這并不代表已經達到了我們想要的效果。
為了搞清楚這個問題,我們跟蹤一下當U盤插入后,系統處理autorun.inf文件的過程。
首先,svchost.exe讀取autorun.inf,然后explorer.exe讀取autorun.inf,再然后explorer.exe
將autorun.inf里的相關內容寫入注冊表中MountPoints2這個鍵值。只要explorer.exe成功寫入注冊表,那么這個autorun.inf文件的使命就完成了,U盤里的病毒就等著你去雙擊U盤了。
那么我們的軟件限制策略中,將autorun.inf 設為”不允許的”這一做法在這個過程中起到什么作用?
很遺憾地告訴你:沒有任何作用。
因為這個軟件限制策略沒有防止autorun.inf被讀取,也沒有防止explorer.exe寫入注冊表,所以說,沒有任何作用。真要說起到什么作用,那只是禁止autorun.inf文件被“打開”而已。(參考下面的“注”)
針對autorun.inf而設軟件限制策略,實際上是徒勞之舉。(這點偶也是最近才發現)要真正有效防范U盤病毒,還得從禁止U盤里的程序運行來著手
可以寫規則如下:
?:\*.* “不允許的”
這樣就禁止了各盤根目錄下的程序的運行。當然還可以把 ? 改為實際的U盤盤符,或者將*.* 改成 * ,即 盤符:\* ,這樣可以完全禁止程序從U盤里啟動。
注:
1. 軟件限制策略只對“指派的文件類型”列表中的格式起效。
2. 軟件限制策略的“不允許的”設置,實際上是在禁止“該文件不被調用或打開”,相似于AD中的阻止
運行程序,不包含FD的讀取、創建、修改、刪除等操作。
3. 在軟件限制策略中,通配符 * 和 ** 是等效的
4. 不要懷疑前三點,它們是對的
另外還有一些流傳的方法,實質上也不能完全防止Autorun病毒的運行。
1.禁止svchost.exe讀取autorun.inf。
因為explorer.exe也會讀取autorun.inf,而且寫入注冊表的正是explorer.exe,所以此方法無效。
2.關閉自動播放功能。
關閉自動播放功能并不能防止病毒利用autorun來實現啟動,“這個實驗證明靠組策略中關閉自動播放來預防U盤毒是完全沒有用的(上面這個Autorun.inf已經爛大街了)”
自動播放(Autoplay)和自動運行(autorun)并不是一回事。
不過我們可以通過關閉Shell Hardware Detection服務同時把自動播放和自動運行取消
實際可行的方法:
1. 禁止explorer.exe讀取autorun.inf (HIPS之FD)
2. 禁止explorer.exe寫入MountPoints2的shell下面的open、explorer、autorun、command等項,即:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者將整個MountPoints2項封住,禁止寫入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(注冊表權限、HIPS之RD)
3. 禁止U盤的程序啟動 (軟件限制策略、HIPS之AD)
4. 用沙盤限制 (DW的非信任、SBie的強制運行等等)
5. 自定義有害文件:autorun.inf (一些殺軟可以做到,例如咖啡8.5i)
6. 修改shell32.dll,更改autorun.inf的打開方式
7. 關閉Shell Hardware Detection服務
U盤訂購熱線:0755-84524848 手機:13928466681 QQ: 384029020 24小時手機接聽:139 2846 6681 電郵:[email protected] 或與在線客服人員聯絡。欲了解更多U盤信 息請進正益通U盤廠家的U盤定制網站:http://www.wzmd.net.cn 大客戶聯系: 13926502725 海外銷售: 0086-755-33078349
點擊更多U盤生產車間視頻實錄以上就是正益通U盤生產廠家事業部對于防范U盤病毒的策略+技巧話題的介紹,還有什么不了解的地方請直接咨詢U盤工廠在線客服,她們會一一為您解答。