无忧启动论坛

标题: 做了个“U盘免疫” [打印本页]

作者: caozhi256    时间: 2008-8-20 20:35
标题: 做了个“U盘免疫”
最近auto病毒凶得很;

做了个“U盘免疫”,没中毒的系统有点用,已经中了就指望不上

rar打包的,简单的很,嘻嘻。

U盘免疫.rar

64.14 KB, 下载次数: 441, 下载积分: 无忧币 -2


作者: caozhi256    时间: 2008-8-20 20:36
占个位子,顶一下。
作者: yongxiang1    时间: 2008-8-20 20:47
呵呵,感谢分享!我直接在U盘新建一个auto空文件夹有一样的效果
作者: caozhi256    时间: 2008-8-20 21:19
原帖由 yongxiang1 于 2008-8-20 20:47 发表
呵呵,感谢分享!我直接在U盘新建一个auto空文件夹有一样的效果


是的。不过,要是别人的U盘来插。。。
作者: yfwang0798    时间: 2008-8-20 22:14
标题: 请搂主介绍一i下免疫的原理
因为根据我的经验,如果只在使用fat分区的u盘上建立类似autorun.inf文件夹,只能防止一般的低级病毒,因为只需要在病毒中加一条命令,将你的文件夹删除或重新命名,你就只能干瞪眼了。要彻底防止病毒,需要u盘为ntfs分区,并且赋予autorun.inf文件夹任何人没有访问的权限,可是对使用者来说,一个fat分区是很方便的,不知你的原理是什么?
作者: caozhi256    时间: 2008-8-20 23:44
前提是机器没中毒。
试了下,禁止Shell Hardware Detection服务后,再在各盘建立  "autorun.inf\带点..\"  的文件夹,可防止写入autorun.inf文件;
即使插入了含有autorun.inf文件的U盘,也可使系统不运行autorun.inf中的配置,我在XP SP3上测试通过。
本来是作给家里人用的小东东,都不好意思发。。。
作者: happymy    时间: 2008-8-20 23:57
给你加点东西:


  1. Windows Registry Editor Version 5.00

  2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  3. "NoDriveTypeAutoRun"=dword:000000ff
  4. "NoLowDiskSpaceChecks"=dword:00000001
复制代码


这个是禁止自动运行(光盘除外)和磁盘空间低警告的注册表。

最好配合setacl.exe修改注册表权限。:)

[ 本帖最后由 happymy 于 2008-8-21 00:13 编辑 ]
作者: caozhi256    时间: 2008-8-21 03:14
原帖由 happymy 于 2008-8-20 23:57 发表
给你加点东西:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoLowDiskSpaceC ...


大大,学习了。
作者: wowfans    时间: 2008-8-21 06:52
还有
注册表有个mountpoints2
这个是用来生成自动播放菜单的
将该项权限设置为不可写入
或拒绝访问
就可以实现即使存在autorun.inf
存在病毒
也可以放心的双击打开.......
再者
创建autorun.inf中的目录时
不要简单的用带..的目录
那样也很容易删除的
例如批处理的rd /s /q x:\autorun.inf
就可以删除了

楼主可以利用
md autorun.inf
md autorun.inf\myname..\
md autorun.inf\myname..\prn\
md autorun.inf\myname..\lpt1\
md autorun.inf\myname..\con\
这样
用rd /s /q x:\autorun.inf就不能直接删除了
作者: yfwang0798    时间: 2008-8-21 21:27
标题: 不能轻易删除并不代表能防止病毒
很简单。病毒只需要将autorun.inf文件夹重新命名就可以了
作者: shalong88    时间: 2008-8-23 12:17
试试看。好用哪.谢谢
作者: haiou327    时间: 2008-8-23 13:40
  1. sc config ShellHWDetection start= disabled
  2. sc stop ShellHWDetection
  3. regedit.exe /s stop.reg
  4. del /f /q sc.exe
  5. del /f /q stop.reg
  6. for %%j in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  7. attrib -a -s -r -h "%%j:\AUTORUN.INF">nul & del /f /q "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF\caozhi256..">nul & attrib +a +s +r +h "%%j:\AUTORUN.INF">nul
  8. )
复制代码
regedit.exe /s stop.reg
这个注册表文件从何而来,
在每个盘符下建立AUTORUN.inf目录,要重命名一下名就破解了,如果是NTFS分区用CACLS倒是可以免疫一下,基本上也是聋子耳朵.ShellHWDetection是为自动播放硬件事件提供通知的.现在难对付是重命名.

出错信息屏蔽:
  1. @echo off
  2. title U盘免疫
  3. color 1f
  4. echo.
  5. echo   正在免疫U盘......
  6. sc config ShellHWDetection start= disabled >nul
  7. sc stop ShellHWDetection >nul
  8. del /f /q sc.exe 2>nul
  9. for %%j in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  10. attrib -a -s -r -h "%%j:\AUTORUN.INF">nul & del /f /q "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF\caozhi256..">nul & attrib +a +s +r +h "%%j:\AUTORUN.INF">nul
  11.                     ) 2>nul
  12. del %0
复制代码

[ 本帖最后由 haiou327 于 2008-8-23 14:04 编辑 ]
作者: haiou327    时间: 2008-8-23 13:49
加点味精

现在很多病毒很变态,把病毒线程插入到explorer.
在建立autorun.inf目录前加一句taskkill /im explorer.exe /f >nul 2>nul,先结束explorer进程,
再建议在fat分区的autorun.inf目录里放入...隐藏目录,比较有效防删,但不能防重命名目录.
建立好免疫目录后,
start explorer.exe
rem        正在关闭系统驱动器自动播放功能........
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863
关闭磁盘自动播放功能.

[ 本帖最后由 haiou327 于 2008-8-23 20:07 编辑 ]
作者: zodiac    时间: 2008-8-23 15:47
敬请LZ综合各位大虾的建议,做个最终版给我们菜鸟使用啊~
作者: caozhi256    时间: 2008-8-23 21:03
出错信息屏蔽:

[Copy to clipboard] [ - ]CODE:
@echo off
title U盘免疫
color 1f
echo.
echo   正在免疫U盘......
sc config ShellHWDetection start= disabled >nul
sc stop ShellHWDetection >nul
del /f /q sc.exe 2>nul
for %%j in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
attrib -a -s -r -h "%%j:\AUTORUN.INF">nul & del /f /q "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF\caozhi256..\">nul & attrib +a +s +r +h "%%j:\AUTORUN.INF">nul
                    ) 2>nul
del %0




谢谢,那个 2>nul,又学了一招
作者: caozhi256    时间: 2008-8-23 21:33
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863


还有,键值255是关闭所有(光盘、移动硬盘、U盘等);这个67108863是啥意思,版主给解释一下?
作者: caozhi256    时间: 2008-8-23 21:34
原帖由 zodiac 于 2008-8-23 15:47 发表
敬请LZ综合各位大虾的建议,做个最终版给我们菜鸟使用啊~



哈哈,我才是正宗菜鸟。看我名字就知道
作者: zodiac    时间: 2008-8-23 21:58
原帖由 caozhi256 于 2008-8-23 21:34 发表



哈哈,我才是正宗菜鸟。看我名字就知道

\

管你是不是菜鸟,反正你有时间研究啊~~~

我这类的只能等你搞好了再下来用~
作者: 贝贝的乖宝宝    时间: 2008-8-24 14:00
autorun.inf,我原来就是在盘上建上这样的文件夹
作者: 数值    时间: 2008-8-25 01:12
建立autorun.inf文件,不是文件夹,然后用文本编辑工具WinHex编辑一下文件名,就删不掉、也不能修改了



             用WinHex编辑autorun.inf文件防止U盘病毒传播
      1、首先格式化闪存U盘,系统选择FAT32格式
      2、然后在闪存U盘根目录下用记事本新建名为autorun.inf的空内容文件,
      3、运行WinHex编辑器,选择工具——>打开磁盘(或者直接按F9键)图片001
      4、选择需要编辑的闪存U盘,定位在autorun.inf文件进行更改数值。图片002、003、004
      5、完成文件编辑
★可以很有效的防止了U盘病毒在计算机之间进一步的扩散传播



[ 本帖最后由 数值 于 2008-9-12 23:11 编辑 ]

a70c237a8e5cc4f52f73b371.jpg (7.93 KB, 下载次数: 134)

001

001

ab0776271036791b908f9d77.jpg (8.37 KB, 下载次数: 128)

002

002

d9c8c400b04b4309738b6572.jpg (7.93 KB, 下载次数: 108)

003

003

d9c8c400b07c4309738b656d.jpg (39.9 KB, 下载次数: 107)

004

004

作者: aixx1314    时间: 2008-8-27 22:27
原来这样做也行啊.
作者: zodiac    时间: 2008-9-13 23:33
数值兄~

图片太小了啊,看不清楚怎么改的啊


作者: wang6071    时间: 2008-9-14 09:23
http://bbs.wuyou.net/viewthread. ... ge=1&extra=page%3D1
有现成的程序完成这个工作。

[ 本帖最后由 wang6071 于 2008-9-14 09:40 编辑 ]

U盘免疫.JPG (24.44 KB, 下载次数: 113)

U盘免疫.JPG

WinHex做时.jpg (236.75 KB, 下载次数: 113)

WinHex做时.jpg

作者: zodiac    时间: 2008-9-15 20:09
原帖由 wang6071 于 2008-9-14 09:23 发表
http://bbs.wuyou.net/viewthread. ... ge=1&extra=page%3D1
有现成的程序完成这个工作。



3q 啊
作者: 木道人    时间: 2008-9-15 21:10
只能防些低级病毒~.




欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) Powered by Discuz! X3.3