(U盘免疫技术.docVIP

U盘免疫技术 简述：U盘病毒就像幽灵，删之又来，交叉感染比较严重。特别是在公司里，有几十台电脑、个人笔记本，同事间经常要用U盘传递资料，如此以来U盘病毒则肆虐地传播开来。只要有一台电脑或者一个U盘上的病毒未清除干净，它们就会死灰复燃，让人头疼。 第一回合：牛刀小试 U盘病毒的大门是Autorun.inf文件，此类病毒的特征是在U盘根目录生成Autorun.inf文件，连接一个或数个隐藏的病毒文件，一旦双击打开U盘，则首先运行Autorun.inf文件，打开了病毒的大门，然后利用Autorun.inf中的命令打开病毒，就这样你的电脑就感染了，它已经变成了一个U盘病毒的载体，一旦再有干净的U盘插入你的机子，马上该U盘就感染了…… 针对U盘病毒的特点，很多人不直接双击打开U盘，而是点右键再点“打开……”，这样就避免了运行Autorun.inf，病毒就不会运行了。 道高一尺，魔高一丈，第二代U盘病毒产生了，此种病毒在Autorun.inf文件中加入了如下代码： shellopen=打开(O) shellopenCommand=filename.EXE shellopenDefault=1 shellexplore=资源管理器(X) 这种迷惑性较大，右键菜单一眼也看不出问题，如果你点“打开”，依然会运行Autorun.inf文件而中招。 第二回合：大动干戈 面对这种危险，一部分人也根据自己的经验，做出了“免疫”工具。免疫工具的原理很简单，就是建立同名目录。 目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。 为了防止目录被删除，后来又演变成建立autorun.inf下的非法文件名目录，有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。在Windows NT Win32子系统下，诸如filename.这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf目录建一个此类特殊目录，方法如MD x:autorun.infyksoft..，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。现在网上流行的U盘病毒免疫程序都是用的这种方法。 md K:\autorun.inf md K:\autorun.inf\xxxxx..\ 道高两尺，魔高两丈，U盘病毒升级到了第三代。这种病毒可以轻易的检测出免疫文件并将其删除掉，此种病毒只是多加了一行代码： rd /s /q K:\autorun.inf 或 RENAME c:\autorun.inf ttdt 然后再创建病毒autorun.inf就可以了，一旦病毒运行就监控它autorun.inf，这样再免疫也白费了...... 第三回合：终极对决 如何建立一个病毒不能删除的具有金刚不坏之身的Autorun.inf免疫文件呢？于是基于更低层的NTFS文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。（但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备）。详细步骤如下： 1.开始——运行——cmd，打开命令行窗口； 2.运行convert k: /FS:NTFS(假设U盘是K:盘)，将U盘格式转化为NTFS格式。若转换不成功，则先对U盘进行磁盘扫描一遍； 3.在U盘根目录下建立autorun.inf文件夹，点击右键，将其属性改为只读、隐藏，然后应用，再点“安全”选项卡，“高级”，在默认的“权限”选项卡中下面两项的勾去掉。确定。 通过此种方法建立的免疫文件，已经具有很强的“抗击打能力”，现在的U盘病毒基本对其无计可施。 同样的，可以在硬盘、移动硬盘的各盘的根目录下建立这样的免疫文件。 当然，在免疫以前，应该先杀掉系统中存在的U盘病毒，推荐用USBKiller这款软件，不过新版本已经收费了。 为了防止免疫失败，再加强一步，干脆干掉Windows的自动运行特性，