无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 6811|回复: 24
打印 上一主题 下一主题

做了个“U盘免疫”

[复制链接]
跳转到指定楼层
1#
发表于 2008-8-20 20:35:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
最近auto病毒凶得很;

做了个“U盘免疫”,没中毒的系统有点用,已经中了就指望不上

rar打包的,简单的很,嘻嘻。

U盘免疫.rar

64.14 KB, 下载次数: 441, 下载积分: 无忧币 -2

2#
 楼主| 发表于 2008-8-20 20:36:06 | 只看该作者
占个位子,顶一下。
回复

使用道具 举报

3#
发表于 2008-8-20 20:47:35 | 只看该作者
呵呵,感谢分享!我直接在U盘新建一个auto空文件夹有一样的效果
回复

使用道具 举报

4#
 楼主| 发表于 2008-8-20 21:19:42 | 只看该作者
原帖由 yongxiang1 于 2008-8-20 20:47 发表
呵呵,感谢分享!我直接在U盘新建一个auto空文件夹有一样的效果


是的。不过,要是别人的U盘来插。。。
回复

使用道具 举报

5#
发表于 2008-8-20 22:14:59 | 只看该作者

请搂主介绍一i下免疫的原理

因为根据我的经验,如果只在使用fat分区的u盘上建立类似autorun.inf文件夹,只能防止一般的低级病毒,因为只需要在病毒中加一条命令,将你的文件夹删除或重新命名,你就只能干瞪眼了。要彻底防止病毒,需要u盘为ntfs分区,并且赋予autorun.inf文件夹任何人没有访问的权限,可是对使用者来说,一个fat分区是很方便的,不知你的原理是什么?
回复

使用道具 举报

6#
 楼主| 发表于 2008-8-20 23:44:56 | 只看该作者
前提是机器没中毒。
试了下,禁止Shell Hardware Detection服务后,再在各盘建立  "autorun.inf\带点..\"  的文件夹,可防止写入autorun.inf文件;
即使插入了含有autorun.inf文件的U盘,也可使系统不运行autorun.inf中的配置,我在XP SP3上测试通过。
本来是作给家里人用的小东东,都不好意思发。。。
回复

使用道具 举报

7#
发表于 2008-8-20 23:57:43 | 只看该作者
给你加点东西:


  1. Windows Registry Editor Version 5.00

  2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  3. "NoDriveTypeAutoRun"=dword:000000ff
  4. "NoLowDiskSpaceChecks"=dword:00000001
复制代码


这个是禁止自动运行(光盘除外)和磁盘空间低警告的注册表。

最好配合setacl.exe修改注册表权限。:)

[ 本帖最后由 happymy 于 2008-8-21 00:13 编辑 ]
回复

使用道具 举报

8#
 楼主| 发表于 2008-8-21 03:14:28 | 只看该作者
原帖由 happymy 于 2008-8-20 23:57 发表
给你加点东西:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoLowDiskSpaceC ...


大大,学习了。
回复

使用道具 举报

9#
发表于 2008-8-21 06:52:58 | 只看该作者
还有
注册表有个mountpoints2
这个是用来生成自动播放菜单的
将该项权限设置为不可写入
或拒绝访问
就可以实现即使存在autorun.inf
存在病毒
也可以放心的双击打开.......
再者
创建autorun.inf中的目录时
不要简单的用带..的目录
那样也很容易删除的
例如批处理的rd /s /q x:\autorun.inf
就可以删除了

楼主可以利用
md autorun.inf
md autorun.inf\myname..\
md autorun.inf\myname..\prn\
md autorun.inf\myname..\lpt1\
md autorun.inf\myname..\con\
这样
用rd /s /q x:\autorun.inf就不能直接删除了
回复

使用道具 举报

10#
发表于 2008-8-21 21:27:35 | 只看该作者

不能轻易删除并不代表能防止病毒

很简单。病毒只需要将autorun.inf文件夹重新命名就可以了
回复

使用道具 举报

11#
发表于 2008-8-23 12:17:23 | 只看该作者
试试看。好用哪.谢谢
回复

使用道具 举报

12#
发表于 2008-8-23 13:40:58 | 只看该作者
  1. sc config ShellHWDetection start= disabled
  2. sc stop ShellHWDetection
  3. regedit.exe /s stop.reg
  4. del /f /q sc.exe
  5. del /f /q stop.reg
  6. for %%j in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  7. attrib -a -s -r -h "%%j:\AUTORUN.INF">nul & del /f /q "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF\caozhi256..">nul & attrib +a +s +r +h "%%j:\AUTORUN.INF">nul
  8. )
复制代码
regedit.exe /s stop.reg
这个注册表文件从何而来,
在每个盘符下建立AUTORUN.inf目录,要重命名一下名就破解了,如果是NTFS分区用CACLS倒是可以免疫一下,基本上也是聋子耳朵.ShellHWDetection是为自动播放硬件事件提供通知的.现在难对付是重命名.

出错信息屏蔽:
  1. @echo off
  2. title U盘免疫
  3. color 1f
  4. echo.
  5. echo   正在免疫U盘......
  6. sc config ShellHWDetection start= disabled >nul
  7. sc stop ShellHWDetection >nul
  8. del /f /q sc.exe 2>nul
  9. for %%j in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  10. attrib -a -s -r -h "%%j:\AUTORUN.INF">nul & del /f /q "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF\caozhi256..">nul & attrib +a +s +r +h "%%j:\AUTORUN.INF">nul
  11.                     ) 2>nul
  12. del %0
复制代码

[ 本帖最后由 haiou327 于 2008-8-23 14:04 编辑 ]
回复

使用道具 举报

13#
发表于 2008-8-23 13:49:07 | 只看该作者
加点味精

现在很多病毒很变态,把病毒线程插入到explorer.
在建立autorun.inf目录前加一句taskkill /im explorer.exe /f >nul 2>nul,先结束explorer进程,
再建议在fat分区的autorun.inf目录里放入...隐藏目录,比较有效防删,但不能防重命名目录.
建立好免疫目录后,
start explorer.exe
rem        正在关闭系统驱动器自动播放功能........
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863
关闭磁盘自动播放功能.

[ 本帖最后由 haiou327 于 2008-8-23 20:07 编辑 ]
回复

使用道具 举报

14#
发表于 2008-8-23 15:47:39 | 只看该作者
敬请LZ综合各位大虾的建议,做个最终版给我们菜鸟使用啊~
回复

使用道具 举报

15#
 楼主| 发表于 2008-8-23 21:03:00 | 只看该作者
出错信息屏蔽:

[Copy to clipboard] [ - ]CODE:
@echo off
title U盘免疫
color 1f
echo.
echo   正在免疫U盘......
sc config ShellHWDetection start= disabled >nul
sc stop ShellHWDetection >nul
del /f /q sc.exe 2>nul
for %%j in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
attrib -a -s -r -h "%%j:\AUTORUN.INF">nul & del /f /q "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF">nul & md "%%j:\AUTORUN.INF\caozhi256..\">nul & attrib +a +s +r +h "%%j:\AUTORUN.INF">nul
                    ) 2>nul
del %0




谢谢,那个 2>nul,又学了一招
回复

使用道具 举报

16#
 楼主| 发表于 2008-8-23 21:33:20 | 只看该作者
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveTypeAutoRun" /t REG_DWORD /d 255
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /f /v "NoDriveAutoRun" /t REG_DWORD /d 67108863


还有,键值255是关闭所有(光盘、移动硬盘、U盘等);这个67108863是啥意思,版主给解释一下?
回复

使用道具 举报

17#
 楼主| 发表于 2008-8-23 21:34:47 | 只看该作者
原帖由 zodiac 于 2008-8-23 15:47 发表
敬请LZ综合各位大虾的建议,做个最终版给我们菜鸟使用啊~



哈哈,我才是正宗菜鸟。看我名字就知道
回复

使用道具 举报

18#
发表于 2008-8-23 21:58:40 | 只看该作者
原帖由 caozhi256 于 2008-8-23 21:34 发表



哈哈,我才是正宗菜鸟。看我名字就知道

\

管你是不是菜鸟,反正你有时间研究啊~~~

我这类的只能等你搞好了再下来用~
回复

使用道具 举报

19#
发表于 2008-8-24 14:00:09 | 只看该作者
autorun.inf,我原来就是在盘上建上这样的文件夹
回复

使用道具 举报

20#
发表于 2008-8-25 01:12:47 | 只看该作者
建立autorun.inf文件,不是文件夹,然后用文本编辑工具WinHex编辑一下文件名,就删不掉、也不能修改了



             用WinHex编辑autorun.inf文件防止U盘病毒传播
      1、首先格式化闪存U盘,系统选择FAT32格式
      2、然后在闪存U盘根目录下用记事本新建名为autorun.inf的空内容文件,
      3、运行WinHex编辑器,选择工具——>打开磁盘(或者直接按F9键)图片001
      4、选择需要编辑的闪存U盘,定位在autorun.inf文件进行更改数值。图片002、003、004
      5、完成文件编辑
★可以很有效的防止了U盘病毒在计算机之间进一步的扩散传播



[ 本帖最后由 数值 于 2008-9-12 23:11 编辑 ]

a70c237a8e5cc4f52f73b371.jpg (7.93 KB, 下载次数: 134)

001

001

ab0776271036791b908f9d77.jpg (8.37 KB, 下载次数: 128)

002

002

d9c8c400b04b4309738b6572.jpg (7.93 KB, 下载次数: 108)

003

003

d9c8c400b07c4309738b656d.jpg (39.9 KB, 下载次数: 107)

004

004
回复

使用道具 举报

21#
发表于 2008-8-27 22:27:41 | 只看该作者
原来这样做也行啊.
回复

使用道具 举报

22#
发表于 2008-9-13 23:33:24 | 只看该作者
数值兄~

图片太小了啊,看不清楚怎么改的啊

回复

使用道具 举报

23#
发表于 2008-9-14 09:23:35 | 只看该作者
http://bbs.wuyou.net/viewthread. ... ge=1&extra=page%3D1
有现成的程序完成这个工作。

[ 本帖最后由 wang6071 于 2008-9-14 09:40 编辑 ]

U盘免疫.JPG (24.44 KB, 下载次数: 112)

U盘免疫.JPG

WinHex做时.jpg (236.75 KB, 下载次数: 112)

WinHex做时.jpg
回复

使用道具 举报

24#
发表于 2008-9-15 20:09:28 | 只看该作者
原帖由 wang6071 于 2008-9-14 09:23 发表
http://bbs.wuyou.net/viewthread. ... ge=1&extra=page%3D1
有现成的程序完成这个工作。



3q 啊
回复

使用道具 举报

25#
发表于 2008-9-15 21:10:02 | 只看该作者
只能防些低级病毒~.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-22 22:50

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表