本帖最后由 evilrabbit 于 2009-7-26 17:40 编辑
基于卡饭这个帖子做下讨论和总结
http://bbs.kafan.cn/viewthread.p ... E%BA%EC%B5%C4%D1%A9
气流已经分析的很详细了,我来说说我对防U盘病毒的看法吧、
下面是气流总结的。
1. 禁止explorer.exe读取autorun.inf (HIPS之FD)
2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项
,即:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者将整个MountPoints2项封住,禁止写入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(注册表权限、HIPS之RD)
3. 禁止U盘的程序启动 (软件限制策略、HIPS之AD)
4. 用沙盘限制 (DW的非信任、SBie的强制运行等等)
5. 自定义有害文件:autorun.inf (一些杀软可以做到,例如咖啡8.5i)
6. 修改shell32.dll,更改autorun.inf的打开方式
7. 关闭Shell Hardware Detection服务
我再补充几点,
8 . 使用第三方shell,彻底让explorer.exe进程消失。
9 . 即使更新杀软,并更新U盘专杀。
关于更多的防U盘病毒的方法,希望大家可以补充,再次支持安天。 |
发表于 2009-7-26 17:23
发表于 2009-7-26 19:48