亚洲精品视频一区二区三区_成人在线h_日韩在线免费视频_国产精品视频网_玖玖精品_国产黄色精品

　　對于防范U盤病毒，現在流傳著很多的方法，例如關閉自動播放、軟件限制策略、HIPS、沙盤等等，但是實際上，哪些方法才是真正有效的呢?

　　大概有很多人都認為防U盤病毒只是很簡單的事了，根本不值一提，曾經偶也是這么認為的，但很快發現事實卻不是這樣的mdash;mdash;我們當中的很多人都在犯著一些常識性的錯誤而我們卻沒有察覺。

　　對于防范U盤病毒，現在流傳著很多的方法，例如關閉自動播放、軟件限制策略、HIPS、沙盤等等，但是實際上，哪些方法才是真正有效的呢?

　　例如：

　　關于軟件限制策略，相信很多人都會設置這樣規則：

　　?:\autorun.* 不允許的

　　或者形式不一定和上面的相同，但思路是一樣的：阻止autorun.inf文件的“被執行”

　　有人進行過驗證，在此規則下，直接雙擊U盤下的autorun.inf文件，發現立即彈出被組策略阻止的提示窗口，似乎還有點作用。不過，這并不代表已經達到了我們想要的效果。

　　為了搞清楚這個問題，我們跟蹤一下當U盤插入后，系統處理autorun.inf文件的過程。

　　首先，svchost.exe讀取autorun.inf，然后explorer.exe讀取autorun.inf，再然后explorer.exe

　　將autorun.inf里的相關內容寫入注冊表中MountPoints2這個鍵值。只要explorer.exe成功寫入注冊表，那么這個autorun.inf文件的使命就完成了，U盤里的病毒就等著你去雙擊U盤了。

　　那么我們的軟件限制策略中，將autorun.inf 設為”不允許的”這一做法在這個過程中起到什么作用?

　　很遺憾地告訴你：沒有任何作用。

　　因為這個軟件限制策略沒有防止autorun.inf被讀取，也沒有防止explorer.exe寫入注冊表，所以說，沒有任何作用。真要說起到什么作用，那只是禁止autorun.inf文件被“打開”而已。(參考下面的“注”)

　　針對autorun.inf而設軟件限制策略，實際上是徒勞之舉。(這點偶也是最近才發現)要真正有效防范U盤病毒，還得從禁止U盤里的程序運行來著手

　　可以寫規則如下：

　　?:\*.* “不允許的”

　　這樣就禁止了各盤根目錄下的程序的運行。當然還可以把 ? 改為實際的U盤盤符，或者將*.* 改成 * ，即 盤符:\* ，這樣可以完全禁止程序從U盤里啟動。

　　注：

　　1. 軟件限制策略只對“指派的文件類型”列表中的格式起效。

　　2. 軟件限制策略的“不允許的”設置，實際上是在禁止“該文件不被調用或打開”，相似于AD中的阻止

　　運行程序，不包含FD的讀取、創建、修改、刪除等操作。

　　3. 在軟件限制策略中，通配符 * 和 ** 是等效的

　　4. 不要懷疑前三點，它們是對的

　　另外還有一些流傳的方法，實質上也不能完全防止Autorun病毒的運行。

　　1.禁止svchost.exe讀取autorun.inf。

　　因為explorer.exe也會讀取autorun.inf，而且寫入注冊表的正是explorer.exe，所以此方法無效。

　　2.關閉自動播放功能。

　　關閉自動播放功能并不能防止病毒利用autorun來實現啟動，“這個實驗證明靠組策略中關閉自動播放來預防U盤毒是完全沒有用的(上面這個Autorun.inf已經爛大街了)”

　　自動播放(Autoplay)和自動運行(autorun)并不是一回事。

　　不過我們可以通過關閉Shell Hardware Detection服務同時把自動播放和自動運行取消

　　實際可行的方法：

　　1. 禁止explorer.exe讀取autorun.inf (HIPS之FD)

　　2. 禁止explorer.exe寫入MountPoints2的shell下面的open、explorer、autorun、command等項，即：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command

　　或者將整個MountPoints2項封住，禁止寫入

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

　　(注冊表權限、HIPS之RD)

　　3. 禁止U盤的程序啟動 (軟件限制策略、HIPS之AD)

　　4. 用沙盤限制 (DW的非信任、SBie的強制運行等等)

　　5. 自定義有害文件：autorun.inf (一些殺軟可以做到，例如咖啡8.5i)

　　6. 修改shell32.dll，更改autorun.inf的打開方式

　　7. 關閉Shell Hardware Detection服務