位置導(dǎo)航:網(wǎng)站首頁(yè)<<<U盤行業(yè)知識(shí)<<<防范U盤病毒的策略+技巧
防范U盤病毒的策略+技巧
對(duì)于防范U盤病毒,現(xiàn)在流傳著很多的方法,例如關(guān)閉自動(dòng)播放、軟件限制策略、HIPS、沙盤等等,但是實(shí)際上,哪些方法才是真正有效的呢?
大概有很多人都認(rèn)為防U盤病毒只是很簡(jiǎn)單的事了,根本不值一提,曾經(jīng)偶也是這么認(rèn)為的,但很快發(fā)現(xiàn)事實(shí)卻不是這樣的mdash;mdash;我們當(dāng)中的很多人都在犯著一些常識(shí)性的錯(cuò)誤而我們卻沒(méi)有察覺(jué)。
對(duì)于防范U盤病毒,現(xiàn)在流傳著很多的方法,例如關(guān)閉自動(dòng)播放、軟件限制策略、HIPS、沙盤等等,但是實(shí)際上,哪些方法才是真正有效的呢?
例如:
關(guān)于軟件限制策略,相信很多人都會(huì)設(shè)置這樣規(guī)則:
?:\autorun.* 不允許的
或者形式不一定和上面的相同,但思路是一樣的:阻止autorun.inf文件的“被執(zhí)行”
有人進(jìn)行過(guò)驗(yàn)證,在此規(guī)則下,直接雙擊U盤下的autorun.inf文件,發(fā)現(xiàn)立即彈出被組策略阻止的提示窗口,似乎還有點(diǎn)作用。不過(guò),這并不代表已經(jīng)達(dá)到了我們想要的效果。
為了搞清楚這個(gè)問(wèn)題,我們跟蹤一下當(dāng)U盤插入后,系統(tǒng)處理autorun.inf文件的過(guò)程。
首先,svchost.exe讀取autorun.inf,然后explorer.exe讀取autorun.inf,再然后explorer.exe
將autorun.inf里的相關(guān)內(nèi)容寫入注冊(cè)表中MountPoints2這個(gè)鍵值。只要explorer.exe成功寫入注冊(cè)表,那么這個(gè)autorun.inf文件的使命就完成了,U盤里的病毒就等著你去雙擊U盤了。
那么我們的軟件限制策略中,將autorun.inf 設(shè)為”不允許的”這一做法在這個(gè)過(guò)程中起到什么作用?
很遺憾地告訴你:沒(méi)有任何作用。
因?yàn)檫@個(gè)軟件限制策略沒(méi)有防止autorun.inf被讀取,也沒(méi)有防止explorer.exe寫入注冊(cè)表,所以說(shuō),沒(méi)有任何作用。真要說(shuō)起到什么作用,那只是禁止autorun.inf文件被“打開(kāi)”而已。(參考下面的“注”)
針對(duì)autorun.inf而設(shè)軟件限制策略,實(shí)際上是徒勞之舉。(這點(diǎn)偶也是最近才發(fā)現(xiàn))要真正有效防范U盤病毒,還得從禁止U盤里的程序運(yùn)行來(lái)著手
可以寫規(guī)則如下:
?:\*.* “不允許的”
這樣就禁止了各盤根目錄下的程序的運(yùn)行。當(dāng)然還可以把 ? 改為實(shí)際的U盤盤符,或者將*.* 改成 * ,即 盤符:\* ,這樣可以完全禁止程序從U盤里啟動(dòng)。
注:
1. 軟件限制策略只對(duì)“指派的文件類型”列表中的格式起效。
2. 軟件限制策略的“不允許的”設(shè)置,實(shí)際上是在禁止“該文件不被調(diào)用或打開(kāi)”,相似于AD中的阻止
運(yùn)行程序,不包含F(xiàn)D的讀取、創(chuàng)建、修改、刪除等操作。
3. 在軟件限制策略中,通配符 * 和 ** 是等效的
4. 不要懷疑前三點(diǎn),它們是對(duì)的
另外還有一些流傳的方法,實(shí)質(zhì)上也不能完全防止Autorun病毒的運(yùn)行。
1.禁止svchost.exe讀取autorun.inf。
因?yàn)閑xplorer.exe也會(huì)讀取autorun.inf,而且寫入注冊(cè)表的正是explorer.exe,所以此方法無(wú)效。
2.關(guān)閉自動(dòng)播放功能。
關(guān)閉自動(dòng)播放功能并不能防止病毒利用autorun來(lái)實(shí)現(xiàn)啟動(dòng),“這個(gè)實(shí)驗(yàn)證明靠組策略中關(guān)閉自動(dòng)播放來(lái)預(yù)防U盤毒是完全沒(méi)有用的(上面這個(gè)Autorun.inf已經(jīng)爛大街了)”
自動(dòng)播放(Autoplay)和自動(dòng)運(yùn)行(autorun)并不是一回事。
不過(guò)我們可以通過(guò)關(guān)閉Shell Hardware Detection服務(wù)同時(shí)把自動(dòng)播放和自動(dòng)運(yùn)行取消
實(shí)際可行的方法:
1. 禁止explorer.exe讀取autorun.inf (HIPS之FD)
2. 禁止explorer.exe寫入MountPoints2的shell下面的open、explorer、autorun、command等項(xiàng),即:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者將整個(gè)MountPoints2項(xiàng)封住,禁止寫入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(注冊(cè)表權(quán)限、HIPS之RD)
3. 禁止U盤的程序啟動(dòng) (軟件限制策略、HIPS之AD)
4. 用沙盤限制 (DW的非信任、SBie的強(qiáng)制運(yùn)行等等)
5. 自定義有害文件:autorun.inf (一些殺軟可以做到,例如咖啡8.5i)
6. 修改shell32.dll,更改autorun.inf的打開(kāi)方式
7. 關(guān)閉Shell Hardware Detection服務(wù)
U盤訂購(gòu)熱線:0755-84524848 手機(jī):13928466681 QQ: 384029020 24小時(shí)手機(jī)接聽(tīng):139 2846 6681 電郵:[email protected] 或與在線客服人員聯(lián)絡(luò)。欲了解更多U盤信 息請(qǐng)進(jìn)正益通U盤廠家的U盤定制網(wǎng)站:http://www.wzmd.net.cn 大客戶聯(lián)系: 13926502725 海外銷售: 0086-755-33078349
點(diǎn)擊更多U盤生產(chǎn)車間視頻實(shí)錄以上就是正益通U盤生產(chǎn)廠家事業(yè)部對(duì)于防范U盤病毒的策略+技巧話題的介紹,還有什么不了解的地方請(qǐng)直接咨詢U盤工廠在線客服,她們會(huì)一一為您解答。