请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站
烟台网烟台房地产网烟台车网烟台购物网烟台人才网烟台点评网烟台交友网切换到宽版

烟台论坛-烟台社区

 找回密码
 点这里注册

QQ登录

只需一步,快速开始

烟台论坛-烟台社区 首页 15. 创业 『电脑技术』 [原创]完全免疫AUTO病毒
返回列表 发新帖
查看: 2200|回复: 7

[原创]完全免疫AUTO病毒 [复制链接]

来过这世界

Rank: 16Rank: 16Rank: 16Rank: 16

性别
在线时间
1019 小时
最后登录
2011-6-5
注册时间
2007-3-6
帖子
1183
发表于 2008-6-10 02:52:40 |显示全部楼层
方法比较简单,先把批处理放上来,需要的朋友可以下载。

解压后,直接把批处理文件放到要免疫的NTFS分区的根目录下,双击运行,出现提示点Y回车就可以了。

注意:仅支持NTFS格式的分区


PreventAuto.rar (167 Bytes, 下载次数: 100)

============================



比较流行的方法是通过建立一个非法目录名的方式来实现
在CMD下执行
md autorun.inf
cd autorun.inf
md filename..\

通过在autorun.inf目录下建立一个特殊目录,此目录(文件夹)在Windows环境下不能删除,从而实现免疫auto,并且NTFS和FAT32格式的分区都支持。虽然不能删除autorun.inf,但病毒可以对它进行重命名,这样就病毒就可以再重新建立一个autorun.inf恶意执行文件。

如果可以对该文件进行访问限制,那么就可以防止病毒对它进行重命名。在linux下通过chmod可以很容易实现,在win平台下似乎没有相关的命令,只能通过GUI界面来完成(NTFS分区格式下的文件——属性——安全),但这样不方便写成批处理,操作起来也不那么直观。

前几天休班的时候,在家上网专门搜索了下,找到CMD命令中有一个cacls命令。在CMD下直接执行该命令(不加参数)或输入cacls /?就能看到相关的帮助信息,发现有一个参数是/d user,功能是拒绝指定用户的访问。不试不知道,一试吓一跳。不信你试试cacls d: /d everyone呵呵。

/d这个参数是将指定文件或目录之前的访问设置覆盖掉,然后用本次执行的命令来修改访问信息。前面说了,它的功能是"拒绝指定用户的访问",比如说执行了cacls d: /d everyone(大家不要操作,我只是说比如,其实改回来的方法比较简单,如果不知道怎么操作就比较不简单了) 结果可以这样看一下,右击D盘——属性——安全,可以看到在被授权访问的“组或用户”里面只有everyone,并且它的权限在“拒绝”那一列全部打勾。这就是cacls命令加/d参数的执行结果。如果看不明白,自己可以新建一个文件,执行该命令试一下。如果不知道怎么把它删掉可以找我。下面说一下如何实现免疫AUTO病毒。

操作方法:
在CMD下执行
md autorun.inf
attrib autorun.inf +h
net user temp "" /add
cacls autorun.inf /d temp
net user temp /del

也可以把这几行命令写成批处理。下面做分析:

md autorun.inf 新建一个autorun.inf目录,必须要在分区的根目录下建立该文件!比如在D盘建,可以这样写:md d:\autorun.inf(注意,它是一个目录,也就是Win平台下文件夹的概念,不是inf文件),然后用attrib加隐藏属性(可加可不加)

net user temp "" /add是建立一个用户,临时用的(临时用的是干什么用的?继续往下看)

cacls autorun.inf /d temp这条是核心,如果你看了我上面罗嗦的那一大堆话,就应该知道它是什么意思

net user temp /del这个就是刚才建立那个临时用户的目的(目的是用一条命清除该文件之前的访问设置,因为默认会有很多用户或组)现在再把temp删除。上面用cacls设置了autorun.inf拒绝被temp用户访问,虽然设置了,但是在授权的用户的列表里还存在,只是所有权限项都是“拒绝”(这里有点绕,看不懂的话,请继续看上面那一大堆话),这里删除temp用户,这样系统中就不存在temp用户了,此时可以观察下autorun.inf的属性——安全。到现在就没有任何用户可以访问autorun.inf文件了。除非用“所有者”(创建该文件的用户)添加授权访问的用户,再对其设置相应的访问权限。目前来说,大多数AUTO病毒还没这么智能,所以在一定成度上可以保护免疫文件。

注意:此方法只对NTFS格式的分区有效。

另外还有一种比较彻底的方法在是组策略里操作,不过这样也彻底失去了Windows的“自动播放”功能(特别是光驱),而且不是所有的系统版本都有“组策略”
(操作方法:开始——运行——输入gpedit.msc——计算机配置——管理模块——系统——关闭自动播放)

修改注册表的方法我就不说了,太乱!

关于“免疫AUTO病毒”就说到这,如果大家有更好的办法,欢迎指教!

[ 本帖最后由 来过这世界 于 2008-6-12 20:49 编辑 ]

使用道具 举报

结婚那天放DJ 实名认证 

小学二年级

踏踏实实脚踏实地的走下去

Rank: 6Rank: 6

性别
在线时间
1940 小时
最后登录
2012-2-7
注册时间
2008-4-25
帖子
2406

烟台论坛会员卡 蜜糖用户 文明网友 烟台本地网友真实身份

发表于 2008-6-10 07:42:11 |显示全部楼层
我擦.怎么还没睡


别说你也在看球.

使用道具 举报

来过这世界

Rank: 16Rank: 16Rank: 16Rank: 16

性别
在线时间
1019 小时
最后登录
2011-6-5
注册时间
2007-3-6
帖子
1183
发表于 2008-6-10 16:34:23 |显示全部楼层
没有看球,生物钟对不准了

使用道具 举报

li999li999 实名认证 

研究生

新的起点

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

性别
保密
在线时间
3240 小时
最后登录
2012-1-9
注册时间
2006-10-18
帖子
54312

烟台本地网友真实身份 烟台论坛会员卡 烟台论坛车友会 文明网友

发表于 2008-6-12 20:58:33 |显示全部楼层
这个帖子发的好,前几天给朋友电脑重装了几次系统,只做了C盘,结果是隐藏文件一直不显示,装上卡巴就显示AUTO病毒,杀不掉。最后只好全盘格式化,哭4

使用道具 举报

易尚

小学一年级

表情党主席

Rank: 5Rank: 5

性别
在线时间
321 小时
最后登录
2009-12-17
注册时间
2008-5-7
帖子
1544
发表于 2008-6-13 20:36:48 |显示全部楼层
顺便把AUTOCAO帮我杀了吧

使用道具 举报

JYR520

学前班

点烧清落山东勾X王

Rank: 4

性别
在线时间
139 小时
最后登录
2011-12-29
注册时间
2007-3-8
帖子
1113
发表于 2008-6-13 21:03:40 |显示全部楼层

使用道具 举报

ytyuanzh

Rank: 1

性别
保密
在线时间
8 小时
最后登录
2010-11-17
注册时间
2010-1-21
帖子
17
发表于 2010-1-22 10:05:24 |显示全部楼层
我不是很懂了 。

使用道具 举报

ytdisk

Rank: 2

性别
保密
在线时间
190 小时
最后登录
2012-1-21
注册时间
2009-10-14
帖子
262
发表于 2010-1-22 10:35:58 |显示全部楼层
7# ytyuanzh


考古专家! 

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 点这里注册

fastpost

Archiver|手机版|烟台论坛-烟台社区-烟台人上烟台论坛 ( 鲁ICP备05034347号 )  

GMT+8, 2012-2-8 05:48 , Processed in 0.074790 second(s), 13 queries , Apc On.

Powered by Discuz! X2 Licensed

© 2001-2011 Comsenz Inc.

回顶部