奋战了两天,期间下载病毒共七次,重新恢复快照六次,终于把怎么制服磁碟机病毒的方法研究出来了,和坛子里的坛友共享一下我的成果,希望能帮到大家,都远离这个所谓变态的“毒王之王”方法很简单,就是利用了NTFS的权限,以达到控制磁碟机运行的目的,没有什么技术含量,希望高手不要见笑!!
根据这两天运行病毒,发现有几个共同点,就是一定要在系统盘的根目录、COM文件夹建立病毒文件,利用CMD还有CACLS这两个可执行文件,而这两个可执行文件,普通用户根本就用不到,可以完全利用NTFS的权限,拒绝运行!还有就是C盘的根目录和COM文件夹一般用户也不会在这两个地方建立文件的,这就给了我们思路,用NTFS的权限,不用注册表防护、不用策略和任何杀软(绝对适合菜鸟),也一样能让磁碟机运行不了!(更不要说不少的杀软在磁碟机的面前,已经很无奈了,而且号称自我保护很强的卡巴,一旦让磁碟机运行起来,也变得很苍白!)
详细设置见图:
先设置C盘的根目录的权限,如果其他的盘的根目录权限也像C盘这样设置,还可以有效的防止U盘病毒,看来windows的NTFS的权限给了我们无数diy的空间(前提是你的分区一定要是NTFS格式的)
默认的权限这里和我的是不一样的,无论你是什么样的,点高级,然后就会弹出下图,请接着看图:
按图上说明,先把下面的红框里的勾去掉,就会弹出个对话框,你点删除,然后上面的大红框里就是空的了,(修正一个错误,就是在分区的根目录那个小框里是没有勾的,就直接把大框里的删除,重新分配权限就可以了)然后点添加,就会出现下图,接着看图:
点击添加后就出现这个图,然后点高级,就会出现下图,请看图:
根据图片里的说明,选好用户组后,点击确定就出现下图:
直接点确定,就看到了下图里面的那个“权限项目”的图片,然后就按照那里的图示说明设置,以后都是这个步骤(但要看清图示,有的权限设置是不一样的!!),依次添加,看图:
先添加上面红框里的那两个组,一定要在“应用到”那里选“只有文件夹及文件”在“允许”里全部选上,一定要选组!切记!接着看图:
这里的三项的权限是一样的,按照图示,逐一添加(一定要细看图示,每一步都不能落下),接着看图:
上面的红框里的权限是一样的,也是看图示(这是为了大家能看清楚,其实要在设置的时候,可以在允许和拒绝的两个里面一起选,除了上面的完全控制外,底下的选框,可以对应着一起来,也就是允许里打勾的,拒绝里就不要打勾,允许里没打勾的,就在拒绝里打上勾)接着看图:
到这里C盘根目录的权限就OK了,也许你看图会觉得好像是很麻烦的,等你自己设置的时候就知道了,其实很简单的,下面是system32文件夹里的cmd.exe权限设置,cmd.exe的权限设置过程我没有详细的标出,因为上面的你会了,这里的步骤也是一样的,就是权限设置不一样,在选用户组的时候就选这三个就行,然后在拒绝里都打上勾,回到这里就是这样了。接着看图:
下面是system32文件夹里的cacls.exe的权限设置,同cmd设置是一样的,就不多说了,接着看图:
下面是system32文件夹里的COM文件夹的权限设置,接着看图:
这里设置完了,就回到了下图,这里要详细的说一下,就是在最下面的小红框里要打上勾,然后应用,在弹出的对话框里点“是” ,点完“是”回到这个界面是那个红框里的勾就会没有了,你不要认为没选上,接着挨个都选一遍,最后按“确定”。最后一步看图:
至此设置完毕,我已经在没有任何杀软和HIPS的情况下运行了两遍,就是在病毒运行的时候会出现程序错误,然后会没有桌面几次(也就是这个病毒调用,explorer.exe失败,造成的程序错误引起的)再就是setup.exe应用程序错误,引起的内存不能为read,点了能有十来次确定,就恢复正常,会有一个后遗症,就是你选了显示隐藏文件,你也会看不到根目录的隐藏文件,但是除了根目录的以外,别的文件夹里的隐藏文件能看见,这个病毒是有点“变态”••呵呵 这是铁军说的,不过确实说的有道理。这个问题我也已经解决,把下面的复制到记事本,保存reg文件,导入即可!(导入后要回到文件夹选项里,重新设置显示隐藏文件,就可以看到隐藏文件了)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
后话: 这两天绞尽脑汁就是本着为“菜鸟”想到简单、有效的、而且不影响电脑正常运行的办法这个思路(高手就根本用不到这个其实防磁碟机有N种方法)去想一个简单有效的方法适合菜鸟的,因为这些人不可能为了个病毒去学什么,怎么设置注册表(呵呵,这个我也玩不明白)、怎么设置组策略、甚至都有人不知道通配符和环境变量。
根据这两天的运行,发现windows清理助手可以完全的清理掉病毒的遗留文件(这是在病毒没有完全感染,还可以运行windows清理助手的情况下),在没有任何杀软、HIPS保护的情况下,按照上面的设置,运行病毒以后用windows清理助手和360安全卫生,进行全盘扫描,确认无任何遗留文件,然后用优化大师清理,OK!除了显示隐藏文件的注册表被恶意更改外,无任何异样。
最后:上面的设置在变态的作者还没有出现更变态的情况下,完全有效(这个有效是你在没有任何保护的情况下,运行这个病毒都不会中毒的!无论你是有意还是无意的都可以,这个设置只对磁碟机有效,别的病毒请不要尝试)
[
本帖最后由 yangdw 于 2008-3-21 13:23 编辑 ]
