U盤免疫技術(shù)

簡(jiǎn)述：U盤病毒就像幽靈，刪之又來，交叉感染比較嚴(yán)重。特別是在公司里，有幾十臺(tái)電腦、個(gè)人筆記本，同事間經(jīng)常要用U盤傳遞資料，如此以來U盤病毒則肆虐地傳播開來。只要有一臺(tái)電腦或者一個(gè)U盤上的病毒未清除干凈，它們就會(huì)死灰復(fù)燃，讓人頭疼。

第一回合：牛刀小試

U盤病毒的大門是Autorun.inf文件，此類病毒的特征是在U盤根目錄生成Autorun.inf文件，連接一個(gè)或數(shù)個(gè)隱藏的病毒文件，一旦雙擊打開U盤，則首先運(yùn)行Autorun.inf文件，打開了病毒的大門，然后利用Autorun.inf中的命令打開病毒，就這樣你的電腦就感染了，它已經(jīng)變成了一個(gè)U盤病毒的載體，一旦再有干凈的U盤插入你的機(jī)子，馬上該U盤就感染了……

針對(duì)U盤病毒的特點(diǎn)，很多人不直接雙擊打開U盤，而是點(diǎn)右鍵再點(diǎn)“打開……”，這樣就避免了運(yùn)行Autorun.inf，病毒就不會(huì)運(yùn)行了。

道高一尺，魔高一丈，第二代U盤病毒產(chǎn)生了，此種病毒在Autorun.inf文件中加入了如下代碼：
shellopen=打開(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)

這種迷惑性較大，右鍵菜單一眼也看不出問題，如果你點(diǎn)“打開”，依然會(huì)運(yùn)行Autorun.inf文件而中招。

第二回合：大動(dòng)干戈

面對(duì)這種危險(xiǎn)，一部分人也根據(jù)自己的經(jīng)驗(yàn)，做出了“免疫”工具。免疫工具的原理很簡(jiǎn)單，就是建立同名目錄。

目錄在Windows下是一種特殊的文件，而兩個(gè)同一目錄下的文件不能同名。于是，新建一個(gè)目錄“autorun.inf"在可移動(dòng)磁盤的根目錄，可以防止早期未考慮這種情況存在的病毒創(chuàng)建autorun.inf，減少傳播成功的概率。

為了防止目錄被刪除，后來又演變成建立autorun.inf下的非法文件名目錄，有些病毒加入了容錯(cuò)處理代碼，在生成autorun.inf之前先試圖刪除autorun.inf目錄。在Windows NT Win32子系統(tǒng)下，諸如"filename."這樣的目錄名是允許存在的，但是為了保持和DOS/Win9x的8.3文件系統(tǒng)的兼容性（.后為空非法），直接調(diào)用標(biāo)準(zhǔn)Win32 API中的目錄查詢函數(shù)是無法查詢這類目錄中的內(nèi)容的，會(huì)返回錯(cuò)誤。但是，刪除目錄必須要逐級(jí)刪除其下的整個(gè)樹形結(jié)構(gòu)，因此必須查詢其下每個(gè)子目錄的內(nèi)容。因此，在“autorun.inf"目錄建一個(gè)此類特殊目錄，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目錄輕易被刪除。類似的還有利用Native API創(chuàng)建使用DOS保留名的目錄（如con、lpt1、prn等）也能達(dá)到相似的目的?，F(xiàn)在網(wǎng)上流行的U盤病毒免疫程序都是用的這種方法。

md        K:\autorun.inf     
md        K:\autorun.inf\xxxxx..\  

道高兩尺，魔高兩丈，U盤病毒升級(jí)到了第三代。這種病毒可以輕易的檢測(cè)出免疫文件并將其刪除掉，此種病毒只是多加了一行代碼：
rd        /s        /q        K:\autorun.inf    
或    
RENAME        c:\autorun.inf            ttdt    
然后再創(chuàng)建病毒autorun.inf就可以了，一旦病毒運(yùn)行就監(jiān)控它autorun.inf，這樣再免疫也白費(fèi)了......    
 
第三回合：終極對(duì)決
如何建立一個(gè)病毒不能刪除的具有金剛不壞之身的Autorun.inf免疫文件呢？于是基于更低層的NTFS文件系統(tǒng)權(quán)限控制的辦法出現(xiàn)了。將U盤、移動(dòng)硬盤格式化為NTFS文件系統(tǒng)，創(chuàng)建Autorun.inf目錄，設(shè)置該目錄對(duì)任何用戶都沒有任何權(quán)限，病毒不僅無法刪除，甚至無法列出該目錄內(nèi)容。（但是，該辦法不適合于音樂播放器之類通常不支持NTFS的設(shè)備）。詳細(xì)步驟如下：

1.開始——運(yùn)行——cmd，打開命令行窗口；

2.運(yùn)行convert k: /FS:NTFS(假設(shè)U盤是K:盤)，將U盤格式轉(zhuǎn)化為NTFS格式。若轉(zhuǎn)換不成功，則先對(duì)U盤進(jìn)行磁盤掃描一遍；

3.在U盤根目錄下建立autorun.inf文件夾，點(diǎn)擊右鍵，將其屬性改為只讀、隱藏，然后應(yīng)用，再點(diǎn)“安全”選項(xiàng)卡，“高級(jí)”，在默認(rèn)的“權(quán)限”選項(xiàng)卡中下面兩項(xiàng)的勾去掉。確定。

通過此種方法建立的免疫文件，已經(jīng)具有很強(qiáng)的“抗擊打能力”，現(xiàn)在的U盤病毒基本對(duì)其無計(jì)可施。

同樣的，可以在硬盤、移動(dòng)硬盤的各盤的根目錄下建立這樣的免疫文件。 

當(dāng)然，在免疫以前，應(yīng)該先殺掉系統(tǒng)中存在的U盤病毒，推薦用USBKiller這款軟件，不過新版本已經(jīng)收費(fèi)了。 

為了防止免疫失敗，再加強(qiáng)一步，干脆干掉Windows的自動(dòng)運(yùn)行特性，這樣以來Autorun文件就成為一個(gè)普通的Windows文件，再也無法啟動(dòng)病毒了。建議用超級(jí)巡警的U盤病毒免疫器來做這一步工作。雙擊運(yùn)行“U盤病毒免疫器1.4”，勾上“免疫所有本地驅(qū)動(dòng)器”，勾上下面的4個(gè)附加功能，點(diǎn)擊“開始免疫”，數(shù)秒后軟件狀態(tài)欄會(huì)提示免疫成功，重啟機(jī)子即可。 

通過以上的USBKiller殺毒、NTFS權(quán)限法建免疫文件、“U盤病毒免疫器1.4”法閹割Windows的自動(dòng)運(yùn)行特性三個(gè)步驟，此時(shí)您的電腦與U盤基本上已經(jīng)安全了，當(dāng)然，僅僅是指截至到今天2007.10.18，

但是，最大的問題不在怎么防止生成這個(gè)autorun.inf上，而是系統(tǒng)本身、Explorer的脆弱性。病毒作者很快就會(huì)做出更強(qiáng)大的方案。這是我的預(yù)想。