如何让U盘做到100防毒.docx

如何让U盘做到100防毒.docx

《如何让U盘做到100防毒.docx》由会员分享，可在线阅读，更多相关《如何让U盘做到100防毒.docx（19页珍藏版）》请在冰豆网上搜索。

如何让U盘做到100防毒

如何让U盘做到100％预防病毒

U盘对病毒的传播要借助autorun.inf文件的帮助。

病毒首先把自身复制到u盘，然后创建一个autorun.inf，在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒。

我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了。

大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它。

我提到的方法就是，在根目录下，删除autorun.inf文件。

然后，根目下建立一个文件夹，名字就叫autorun.inf。

这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了。

以后会不会出新病毒，自动去删文件夹，然后再建立文件还不知道，但至少现阶段，这种方法是非常有效的。

这个是在日常生活中自己总结的小方法。

U盘对病毒的传播要借助autorun.inf文件的帮助。

病毒首先把自身复制到u盘，然后创建一个autorun.inf，在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒。

我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了。

大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它。

我提到的方法就是，在根目录下，删除autorun.inf文件。

然后，根目下建立一个文件夹，名字就叫autorun.inf。

这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了。

以后会不会出新病毒，自动去删文件夹，然后再建立文件还不知道，但至少现阶段，这种方法是非常有效的。

揭秘操作系统禁用U盘的四大绝招

公司禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱”。

　　方法一，BIOS设置法（快刀斩乱麻法）

　　进入BIOS设置，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

　　注意：

这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

由于此发过于霸道，请慎用。

　　方法二，禁止闪盘或移动硬盘的启动（适用于WindowsXP/2000/2003）

　　打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentCntrolSet＼Services＼USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

　　方法三，隐藏盘符和禁止查看（适用于Windows系统）

　　打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER＼software＼microsoft＼Windows＼CurrentVersion＼Ploicies＼Explorer]，新建二进制值“NoDrives”，其缺省值均是00000000，表示不隐藏任何驱动器。

键值由四个字节组成，每个字节的每一位（bit）对应从A:

到Z:

的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。

第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。

比如要关闭C盘，将键值改为04000000；要关闭D盘，则改为08000000，若要关闭C盘和D盘，则改为0C000000（C是十六进制，转成十进制就是12）。

　　理解了原理后，下面以我（高身含笑）的电脑为例说明如何操作：

我的电脑有一个软驱、一个硬盘（5个分区）、一个光驱，盘符分布是这样的：

A:

（3.5软盘）、C:

、D:

、E:

、F:

、G:

、H:

（光盘），所以我的“NoDrives”值为“02ffffff”，隐藏了B、I到Z盘。

　　重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:

（我的电脑电后一个盘符是H）还是可以访问移动盘的。

到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02ffffff”，也就是说其值与“NoDrives”相同。

这样一来，既看不到U盘符也访问不到U盘了。

　　方法四，禁止安装USB驱动程序

　　在Windows资源管理器中，进入到“系统盘:

＼WINDOWS＼inf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。

　　再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。

完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。

　　注意：

要想使用访问控制列表（ACL），要采用NTFS文件系统。

　　结束语

　　正所谓乱花渐欲迷人眼，经过以上四个步骤，就算是个中高手，想查找突破防线也要大费周折了，有时候解决问题不一定是找别人提供的解决方案，那是要钱的。

对于老板来说要钱就等于要他的命，呵呵，还是自己想法子解决吧。

对Autorun.inf类U盘病毒的攻防经验总结

“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。

无数Windows用户，都在为它们而焦头烂额。

这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

Windows95以后的系统都有一个“自动运行”的功能。

通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。

05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。

著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。

它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式：

1.

OPEN=filename.exe

自动运行。

但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

2.

shellAutocommand=filename.exe

shell=Auto

修改上下文菜单。

把默认项改为病毒的启动项。

但此时只要用户在图标上点击右键，马上发现破绽。

精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？

3.

shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。

这种是对付那些用Win+R输盘符开盘的人。

4.

shellopen=打开（&O）

shellopenCommand=filename.EXE

shellopenDefault=1

shellexplore=资源管理器（&X）

这种迷惑性较大，是新出现的一种形式。

右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。

突然出现的乱码、中文当然难逃法眼。

面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。

而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。

免疫的办法，对可移动磁盘和硬盘：

1、同名目录

目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。

于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

2、autorun.inf下的非法文件名目录

有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。

在WindowsNTWin32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。

但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。

因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MDx:

autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。

类似的还有利用NativeAPI创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。

3、NTFS权限控制

病毒制造者也是黑客，知道Windows的这几个可算是Bug的功能。

他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname.."、或者通过利用WindowsNT的NativeAPI中的文件系统函数直接插手，删除该特殊目录。

因此，基于更低层的文件系统权限控制的办法出现了。

将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。

但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。

这三步可谓是一步比一步精彩。

但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。

病毒作者很快就会做出更强大的方案。

这是我的预想。

1、结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。

这样的东西还可以放到网上的各种资源ISO中。

2、提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。

面对如此恐怖的东西，对付的办法已经不多了。

但是它们其实是一切windows安全问题的基本解决方案，

1、一定要将系统和安全软件保持在最新状态。

即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。

2、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。

Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。

3、某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。

通过IE漏洞，制作网页木马，安装盗号程序，盗取账号，获得人民币。

这条黑色产业链中，IE其实是最容易剪断的一环。

珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱上各种小型下载站、色情网站等高危站点，如果有可能，使用非IE引擎的浏览器。

4、恶意捆绑软件，现在越来越和病毒木马接近。

部分恶意软件的FSDHOOK自我防御程序可能被病毒利用来保护自己（如SONYXCP事件），而一些恶意软件本身就是一个病毒木马的下载器。

因此，不要让流氓接近你的机器。

Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展。

应用指南：

使用U盘与恶意软件作斗争

通常律师和医生在出席Party时不喜欢告诉别人他们自己的职业，只要有人听说他们的身份，就会咨询医疗或者法律方面的事情。

而现在，如果你说你在计算机安全领域工作，在你为周围同样会很多人向你咨询安全相关信息。

　　经常会出现这种情况，当信息安全专业人员需要执行一些快速修复工作时，发现没有合适的工具集。

为了解决这个问题，我们在本月的应用指南中将讨论如何建立一个用于修复被感染的计算机的便携式软件工具箱。

互联网上有大量免费的非常有用的系统分析工具和反恶意软件工具。

我建议管理员下载这些软件并且把这些软件刻录到CD光盘上，最好是写在价格很便宜的1GB优盘。

然后随身携带这个优盘，这样你就可以像一个信息安全的超级英雄那样在灾难中把人们挽救过来。

　　第一件武器：

杀毒和反间谍软件

　　首先，你需要能够扫描系统、检测和删除系统中恶意软件的杀毒和反间谍软件工具。

我最喜欢的免费杀毒扫描软件是ClamAV。

这是Sourcefire在2007年8月收购的一种杀毒工具。

不过，应定期下载病毒特征库并更新。

　　对于反间谍软件，我最喜欢的免费工具包括LavasoftAB公司的Ad-Aware、SpybotSearch和Destroy以及趋势科技的HijackThis。

虽然许多商业厂商都购买许多这类产品，但是只要这种软件是免费的、高质量的和保持更新的，使用这种软件就没有什么错误。

　　第二件武器：

机器分析器

　　对Windows系统进行深入分析的最佳资源之一是微软在2006年7月收购的Sysinternals。

我希望许多Sysinternals工具最终将集成到Windows系统中。

但是，在此之前，下载这些工具是很有帮助的。

下面是一些重要的Sysinternals工具。

　　·ProcessExplorer（进程浏览器）实际上就是一种Windows任务管理器。

它显示全部运行的进程，指出它们的层次关系以及它们装载的动态链接库。

　　·Filemon和Regmon分别使用文件系统和注册表记录所有的相互作用，并且能够实时完成这些任务。

　　·流进程监视器，Sysinternals工具中新增加的一种工具，基本上是把上述三种工具集成在了一起，详细说明一台机器上运行的全部进程。

　　·Autoruns程序显示一个系统在启动时或者用户登录时自动开始运行的全部程序。

因为间谍软件经常修改自动启动目录或者注册表，这个程序对于分析一台机器的启动状态是非常重要的。

　　·TCPView以图片方式提供TCP和UDP端口使用情况，把每一个端口与它正在使用的流程关联起来。

　　·Strings在屏幕上显示一个文件的字符串。

粗心的恶意软件作者把字符串留在他们的代码中。

这种字符串经常是ASCII字符串。

要让Sysinternals程序查找ASCII字符串，而不是系统默认的Unicode字符串。

运行这个程序时要使用-a这个参数。

　　·最后使用RootkitRevealer查找rootkit，确定一个系统在什么时候提供有关哪一个文件或者注册键出现的错误信息。

　　使用这些工具收集到的信息，再加上用搜索引擎搜索一下具体的进程、动态链接库和文件名，能够帮助识别在一台计算机上的恶意活动

第三件武器：

微软基准安全分析器（MBSA）

　　微软的这个免费的方便诊断工具能够查看Windows计算机的数百项设置，确定其安全状态和提出建议。

MBSA能够披露补丁已经过期可能让恶意软件感染等安全漏洞。

我还建议你们携带一个名为Netcat的网络安全工具。

这种工具能够在TCP连接或者UDP端口上发送任意数据。

Netcat能够移动文件（如MBSA或者ClamAV等工具生成的报告）或者存档远程访问（shellaccess）。

　　第四件武器：

LADS

　　FrankHeyne公司的这个免费软件工具可以查找基于NTFS的文件系统中的附加数据流（ADSes）。

附加数据流是默认的隐藏文件，黑客有时候利用这种文件隐藏其恶意。

WindowsVista操作系统新增加的一个选项能够使用内置的“dir”命令加上“/r”参数显示数据流。

由于WindowsVista以前版本的系统仍在使用，LADS这样的工具应该是你的工具箱中的另一个重要工具。

　　第五件武器：

VMware播放器/VMware安全浏览设备

　　VMware播放器是一种免费的虚拟化应用程序。

这种软件能够让客户机在Windows计算机上运行。

VMware安全浏览设备包括一个免费的配置火狐浏览器的Ubuntu操作系统。

　　有时候，互联网访问需要下载一个额外的工具。

如果手头没有其它机器，VMware就可以安装到机器上，运行这个虚拟机就可以访问互联网。

　　一旦你建立了消灭恶意软件的USB武器库，你一定要把这个优盘设置为只读模式。

许多优盘有只读访问的硬件开关，打开这个开关，因为我们不希望恶意软件感染我们的武器库。

所以我一般不购买没有硬件支持只读访问的优盘。

　　最后，不要让这些工具仅仅局限于一个优盘分析工具。

你可以根据你的需求增加其它组件。

但是，不要向这个优盘下载你不知道用途的工具。

不正确地运行一个工具可能会给机器造成更大的破坏。

你要在实验室里用实验的机器练习使用这些工具，认真思考每一个工具如何能够帮助你修复一台被感染的机器。

只需很少的计划和大量的练习，一个消灭恶意软件的优盘就可以很好地为你服务。

认清本质如何让U盘做到100％预防病毒

　　U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的.

　　现状分析：

　　事实表明，目前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒（如：

重要文件.exe，小说.exe）。

对于以上这两种传播方式的病毒，仅仅建立autorun.inf文件夹是抵御不了的。

　　应对策略：

　　1、在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器（开始-所有程序-附件-windows资源管理器）将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备!

（要养成这样的良好习惯）

　　2、如果盘内有来路不明的文件，尤其是文件名比较诱惑人的文件，必须多加小心;需要特别提示的是，不要看到图标是文件夹就理所当然是文件夹，不要看到图标是记事本就理所当然是记事本，伪装图标是病毒惯用伎俩.

公司禁用U盘的四种常规设置方法

公司禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱”。

　　方法一，BIOS设置法（快刀斩乱麻法）　　

　　进入BIOS设置，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

　　注意：

这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

由于此法过于霸道，请慎用。

　　方法二，禁止闪盘或移动硬盘的启动（适用于WindowsXP/2000/2003）　　

　　打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

　　方法三，隐藏盘符和禁止查看（适用于Windows系统）　　

　　打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer]，新建二进制值“NoDrives”，其缺省值均是00000000，表示不隐藏任何驱动器。

键值由四个字节组成，每个字节的每一位（bit）对应从A:

到Z:

的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。

第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。

比如要关闭C盘，将键值改为04000000；要关闭D盘，则改为08000000，若要关闭C盘和D盘，则改为0C000000（C是十六进制，转成十进制就是12）。

　　理解了原理后，下面以我的电脑为例说明如何操作：

我的电脑有一个软驱、一个硬盘（5个分区）、一个光驱，盘符分布是这样的：

A:

（3.5软盘）、C:

、D:

、E:

、F:

、G:

、H:

（光盘），所以我的“NoDrives”值为“02ffffff”，隐藏了B、I到Z盘。

　　重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:

（我的电脑电后一个盘符是H）还是可以访问移动盘的。

到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02ffffff”，也就是说其值与“NoDrives”相同。

这样一来，既看不到U盘符也访问不到U盘了。

　　方法四，禁止安装USB驱动程序　　

　　在Windows资源管理器中，进入到“系统盘:

\WINDOWS\inf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户