位置导航:网站首页<<<U盘行业知识<<<防范U盘病毒的策略+技巧

防范U盘病毒的策略+技巧

  对于防范U盘病毒,现在流传着很多的方法,例如关闭自动播放、软件限制策略、HIPS、沙盘等等,但是实际上,哪些方法才是真正有效的呢?

  大概有很多人都认为防U盘病毒只是很简单的事了,根本不值一提,曾经偶也是这么认为的,但很快发现事实却不是这样的mdash;mdash;我们当中的很多人都在犯着一些常识性的错误而我们却没有察觉。

  对于防范U盘病毒,现在流传着很多的方法,例如关闭自动播放、软件限制策略、HIPS、沙盘等等,但是实际上,哪些方法才是真正有效的呢?

  例如:

  关于软件限制策略,相信很多人都会设置这样规则:

  ?:\autorun.* 不允许的

  或者形式不一定和上面的相同,但思路是一样的:阻止autorun.inf文件的“被执行”

  有人进行过验证,在此规则下,直接双击U盘下的autorun.inf文件,发现立即弹出被组策略阻止的提示窗口,似乎还有点作用。不过,这并不代表已经达到了我们想要的效果。

  为了搞清楚这个问题,我们跟踪一下当U盘插入后,系统处理autorun.inf文件的过程。

  首先,svchost.exe读取autorun.inf,然后explorer.exe读取autorun.inf,再然后explorer.exe

  将autorun.inf里的相关内容写入注册表中MountPoints2这个键值。只要explorer.exe成功写入注册表,那么这个autorun.inf文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。

  那么我们的软件限制策略中,将autorun.inf 设为”不允许的”这一做法在这个过程中起到什么作用?

  很遗憾地告诉你:没有任何作用。

  因为这个软件限制策略没有防止autorun.inf被读取,也没有防止explorer.exe写入注册表,所以说,没有任何作用。真要说起到什么作用,那只是禁止autorun.inf文件被“打开”而已。(参考下面的“注”)

  针对autorun.inf而设软件限制策略,实际上是徒劳之举。(这点偶也是最近才发现)要真正有效防范U盘病毒,还得从禁止U盘里的程序运行来着手

  可以写规则如下:

  ?:\*.* “不允许的”

  这样就禁止了各盘根目录下的程序的运行。当然还可以把 ? 改为实际的U盘盘符,或者将*.* 改成 * ,即 盘符:\* ,这样可以完全禁止程序从U盘里启动。

  注:

  1. 软件限制策略只对“指派的文件类型”列表中的格式起效。

  2. 软件限制策略的“不允许的”设置,实际上是在禁止“该文件不被调用或打开”,相似于AD中的阻止

  运行程序,不包含FD的读取、创建、修改、删除等操作。

  3. 在软件限制策略中,通配符 * 和 ** 是等效的

  4. 不要怀疑前三点,它们是对的

  另外还有一些流传的方法,实质上也不能完全防止Autorun病毒的运行。

  1.禁止svchost.exe读取autorun.inf。

  因为explorer.exe也会读取autorun.inf,而且写入注册表的正是explorer.exe,所以此方法无效。

  2.关闭自动播放功能。

  关闭自动播放功能并不能防止病毒利用autorun来实现启动,“这个实验证明靠组策略中关闭自动播放来预防U盘毒是完全没有用的(上面这个Autorun.inf已经烂大街了)”

  自动播放(Autoplay)和自动运行(autorun)并不是一回事。

  不过我们可以通过关闭Shell Hardware Detection服务同时把自动播放和自动运行取消

  实际可行的方法:

  1. 禁止explorer.exe读取autorun.inf (HIPS之FD)

  2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项,即:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command

  或者将整个MountPoints2项封住,禁止写入

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

  (注册表权限、HIPS之RD)

  3. 禁止U盘的程序启动 (软件限制策略、HIPS之AD)

  4. 用沙盘限制 (DW的非信任、SBie的强制运行等等)

  5. 自定义有害文件:autorun.inf (一些杀软可以做到,例如咖啡8.5i)

  6. 修改shell32.dll,更改autorun.inf的打开方式

  7. 关闭Shell Hardware Detection服务

    U盘订购热线:0755-84524848 手机:13928466681   QQ: 384029020   24小时手机接听:139 2846 6681   电邮:samuel@torovo.com 或与在线客服人员联络。欲了解更多U盘信 息请进正益通U盘厂家的U盘定制网站:http://www.usb88.com 大客户联系: 13926502725 海外销售: 0086-755-33078349     

         点击更多U盘生产车间视频实录

  以上就是正益通U盘生产厂家事业部对于防范U盘病毒的策略+技巧话题的介绍,还有什么不了解的地方请直接咨询U盘工厂在线客服,她们会一一为您解答。

防范U盘病毒的策略+技巧相关标签:U盘病毒

防范U盘病毒的策略+技巧相关文章

 

©2008 All Rights 定制U盘生产厂家-深圳市正益通实业有限公司、正益通定做礼品U盘工厂 下属名片U盘厂家、商务U盘厂家和广告U盘工厂-Design by Free CSS Templates-网站地图

专业礼品U盘生产厂家提供礼品U盘定制、礼品U盘定做、广告U盘制造、定制U盘定制、时尚U盘定做个性U盘定制、情侣U盘、超薄U盘、商务U盘、创意U 盘、金属U盘、旋转U盘、迷 你U盘珠宝U盘定制、饰品U盘、商务U盘、U盘定做、陶瓷U盘、卡片式U盘各种优盘的设计、生产、代工、U盘批发、OEM定制、贴牌,出厂价出售,欢迎来厂参观订购!电邮:usb88@torovo.com
我们的优势:运作大订单经验丰富,曾为大型跨国企业、上市公司、ZF部门等定制礼品U盘定制、品质一流、售后服务完善;专业的定制U盘生产厂家;本U盘工厂已通过CE.FCC,ROHS等认证
定做U盘 定制U盘U盘定制 爱链网 ICP备案证号: 粤ICP备08035674号;网站部分图片和资讯文章转载自互联网,如涉及侵权,请通知我们删除!!电邮:samuel@torovo.com   
个性U盘 创意U盘 礼品U盘 定制U盘 卡片式U盘 卡片U盘 U盘之家 U盘生产厂家 U盘工厂 U盘厂家 定做U盘 定做礼品U盘 礼品U盘定做; 投 诉:manager006@torovo.com 版权所有 拷贝必究!
深圳市正益通实业发展有限公司正式成为华硕电脑股份有限公司认可指定的礼品U盘厂家及广告U盘工厂供应商