Ejemplo de escritura de reglas de política de restricción de software en Política de grupo de Windows (2)

Combate real: solución de virus U disk.

Estoy introduciendo algunos métodos a través del propio sistema, sin utilizar software de terceros. Los amigos a los que les gusta usar software de terceros no deben discutirlo.

Ya he introducido el primer método: usar la política de restricción de software para crear una regla "? \\ *. * no está permitido", por lo que incluso si tiene un virus de disco en U, no funcionará.

El segundo método es en realidad una extensión del primer método. Hemos analizado el procesamiento del sistema del archivo autorun.inf. Podemos ver que hay un paso.
explorer.exe lee el contenido de autorun.inf y lo escribe en el registro. Desde aquí, podemos Al restringir los permisos de los valores de clave relacionados con el registro, es imposible modificar el registro, lo que evita que se ejecute el virus del disco U. Las claves de registro relevantes:

HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ MountPoints2 \\ * \\ shell \\ open

HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ MountPoints2 \\ * \\ shell \\ autorun

HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ explorer \\ MountPoints2 \\ * \\ shell \\ explorer

HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ explorer \\ MountPoints2 \\ * \\ shell \\ * \\ Command

HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ MountPoints2

Esto se hace para reducir estos permisos clave, o directamente a todos los usuarios de su acceso Cancelar el permiso.

El tercer método es utilizar una vulnerabilidad en Windows para crear una carpeta de errores para evitar el virus Autorun. El método específico es:

Primero cree una carpeta llamada Autorun.inf debajo del disco U, y luego cree una carpeta BUG con "." En esta carpeta, de modo que la carpeta autorun.inf No se puede eliminar, por ejemplo, configuramos en la unidad D:

Primero cree la carpeta Autorun.inf en la unidad D y luego ejecute CMD, ingrese
md d: \\ autorun.inf \\ test .. \\

Esto creará una carpeta llamada "prueba" en la carpeta autorun.inf, a la que no se puede acceder en Explorer, no se puede cambiar el nombre y no se puede eliminar.

Este método es más negativo, pero es adecuado para el caso en el que el disco U se usa a menudo en la máquina de otra persona. Sin embargo, se dice que algunos virus ya pueden lidiar con este método.

El cuarto método, que también se practica ampliamente, es deshabilitar la función de reproducción automática a través de la Política de grupo o el registro. He estado convencido de este método anteriormente, pero a través de los pequeños experimentos recientes, descubrí que este método también es defectuoso. Solo puede prevenir algunos virus de disco en U. En realidad es contra muchos virus. Nada Esto podemos hacer los siguientes experimentos para verificar. Establecernos un archivo autorun.inf, poner en el directorio raíz de T, y luego copiar a un bloc de notas bajo el directorio raíz de la U, que dice lo siguiente:

[autorun] OPEN =
Bloc de notas. Exe
shell \\ open = open (&O)
shell \\ open \\ Command = NOTEPAD.exe
shell \\ open \\ Default = 1
shell \\ explore = Resource Manager (&X )
shell \\ explore \\ Command = NOTEPAD.exe

Desactive la función de reproducción automática desde la Política de grupo, haga clic derecho en el disco de U, no hay más opciones en el nuevo menú, pero haga doble clic en el disco de U para probar Usted encontrará que se está ejecutando NOTEPAD. Usar el botón derecho para seleccionar Abrir o Explorer es lo mismo, se ejecutará, porque autorun.inf ha modificado las dos funciones originales en el menú del botón derecho. Entonces, ¿para qué es el juego automático? Creo que una gran cantidad de queso son conscientes, hay una gran cantidad de CD, cuando se pone el CD en la unidad, no llevar a cabo ninguna operación, aparecerá una pantalla para que pueda elegir lo que se ejecute, o lo que este tipo de juego, recuerde matanza Rising suave así, hay algunos disco de controladores gráficos placa base también tiene esta característica, pero el mismo contenido en el disco de U, inserte el disco de U cuando no se ejecuta automáticamente, es evidente que el sistema operativo de esta función sólo es válida para el CD, el cual lo que sí sabemos es que la función de juego automático, cerramos en la política de grupo de la función de reproducción automática, simplemente el CD en el CD-ROM no se ejecuta automáticamente, pero se puede hacer clic derecho sobre la unidad de CD-ROM, se encuentra todavía existe la opción de reproducción automática, Así que apagar la reproducción automática no tiene sentido. Aquí tenemos que prestar atención a un pequeño concepto, AutoPlay (AutoRun) que es diferente. Con el fin de apagar completamente este sistema, sólo podemos empezar desde el servicio, el sistema será familiar si se conoce el procesamiento del sistema de reproducción automática y servicios automáticos están ejecutando detección de hardware shell, por lo que acabamos de cerrar el servicio de detección de hardware shell, todo El virus del disco U es imposible de ejecutar. Sin embargo, este método no es omnipotente. Debido a las diferencias del sistema, algunos sistemas pueden hacer que el sistema se inicie lentamente después de cerrar el servicio.

Piense personalmente que para la prevención del virus del disco en U, el método de modificación del registro es el más efectivo y no tiene efectos secundarios.