[原创]完全免疫AUTO病毒

方法比较简单，先把批处理放上来，需要的朋友可以下载。

解压后，直接把批处理文件放到要免疫的NTFS分区的根目录下，双击运行，出现提示点Y回车就可以了。

注意：仅支持NTFS格式的分区

PreventAuto.rar (167 Bytes)

============================

比较流行的方法是通过建立一个非法目录名的方式来实现
在CMD下执行
md autorun.inf
cd autorun.inf
md filename..\

通过在autorun.inf目录下建立一个特殊目录，此目录（文件夹）在Windows环境下不能删除，从而实现免疫auto，并且NTFS和FAT32格式的分区都支持。虽然不能删除autorun.inf，但病毒可以对它进行重命名，这样就病毒就可以再重新建立一个autorun.inf恶意执行文件。

如果可以对该文件进行访问限制，那么就可以防止病毒对它进行重命名。在linux下通过chmod可以很容易实现，在win平台下似乎没有相关的命令，只能通过GUI界面来完成（NTFS分区格式下的文件——属性——安全），但这样不方便写成批处理，操作起来也不那么直观。

前几天休班的时候，在家上网专门搜索了下，找到CMD命令中有一个cacls命令。在CMD下直接执行该命令（不加参数）或输入cacls /?就能看到相关的帮助信息，发现有一个参数是/d user,功能是拒绝指定用户的访问。不试不知道，一试吓一跳。不信你试试cacls d: /d everyone呵呵。

/d这个参数是将指定文件或目录之前的访问设置覆盖掉，然后用本次执行的命令来修改访问信息。前面说了，它的功能是"拒绝指定用户的访问",比如说执行了cacls d: /d everyone（大家不要操作，我只是说比如，其实改回来的方法比较简单，如果不知道怎么操作就比较不简单了）结果可以这样看一下，右击D盘——属性——安全，可以看到在被授权访问的“组或用户”里面只有everyone，并且它的权限在“拒绝”那一列全部打勾。这就是cacls命令加/d参数的执行结果。如果看不明白，自己可以新建一个文件，执行该命令试一下。如果不知道怎么把它删掉可以找我。下面说一下如何实现免疫AUTO病毒。

操作方法：
在CMD下执行
md autorun.inf
attrib autorun.inf +h
net user temp "" /add
cacls autorun.inf /d temp
net user temp /del

也可以把这几行命令写成批处理。下面做分析：

md autorun.inf 新建一个autorun.inf目录，必须要在分区的根目录下建立该文件！比如在D盘建，可以这样写：md d:\autorun.inf（注意，它是一个目录，也就是Win平台下文件夹的概念，不是inf文件），然后用attrib加隐藏属性（可加可不加）

net user temp "" /add是建立一个用户，临时用的（临时用的是干什么用的？继续往下看）

cacls autorun.inf /d temp这条是核心，如果你看了我上面罗嗦的那一大堆话，就应该知道它是什么意思

net user temp /del这个就是刚才建立那个临时用户的目的（目的是用一条命清除该文件之前的访问设置，因为默认会有很多用户或组）现在再把temp删除。上面用cacls设置了autorun.inf拒绝被temp用户访问，虽然设置了，但是在授权的用户的列表里还存在，只是所有权限项都是“拒绝”（这里有点绕，看不懂的话，请继续看上面那一大堆话），这里删除temp用户，这样系统中就不存在temp用户了，此时可以观察下autorun.inf的属性——安全。到现在就没有任何用户可以访问autorun.inf文件了。除非用“所有者”（创建该文件的用户）添加授权访问的用户，再对其设置相应的访问权限。目前来说，大多数AUTO病毒还没这么智能，所以在一定成度上可以保护免疫文件。

注意：此方法只对NTFS格式的分区有效。

另外还有一种比较彻底的方法在是组策略里操作，不过这样也彻底失去了Windows的“自动播放”功能（特别是光驱），而且不是所有的系统版本都有“组策略”
（操作方法：开始——运行——输入gpedit.msc——计算机配置——管理模块——系统——关闭自动播放）

修改注册表的方法我就不说了，太乱！

关于“免疫AUTO病毒”就说到这，如果大家有更好的办法，欢迎指教！

[ 本帖最后由来过这世界于 2008-6-12 20:49 编辑 ]

收藏分享评分