admin管理员组文章数量:1536107
2024年5月6日发(作者:)
・
168・ 信息产业
U盘病毒的分析、清除与防范
乔明秋赵振洲
(北京政法职业学院,北京100000)
摘要:u盘病毒是一类典型的常见病毒,通过Autorun.inf文件进行传播。本文结合实际案例,分析u盘病毒的传播原理,总结几种
清除方法,并提出u盘病毒防治技术实现方法。
关键词:U盘病毒;自动播放;防范
表1
由于U盘具有体积小巧、存储速度快、携带方便等特点,日渐得
第几位 数值 设备用设备名称含义
到广泛应用,与此同时,通过u盘传播病毒亦呈现蔓延之势。在病毒
设备名称
如下数
的传播途径中,u盘传播已经是重点传播途径之一。
值表示
1 U盘病毒的分析
DRIVE
UNKNOWN 0 1 O1H 不能识别的类型设备
1.1 U盘病毒的传播机制
DRIVENO
ROOT
DIR 1 0 02H 没有根目录的驱动器
U盘病毒的传播利用了u盘的自动播放功能,光盘、U盘插入
1 04H 可移动驱动器
到电脑后能够自动运行,而这项功能是通过磁盘根目录下的一个叫
DRIVE
REMOVABLE 2
DRIVE
F1XED 3 0 08H 固定的驱动器
Autorun.inf的文件实现的。
4 1 IOH 网络驱动器
Autorun.inf文件是一个必须存放在驱动器根目录下的有一定格
DRIVE
REMOTE
DRIVE
CDROM 5 0 20H 光驱
式并且文件名为“Autorun.inf'’的文本文件。当我们双击计算机某个
DRIVE
RANDISK 6 0 40H RAM磁盘
分区或者对某个分区选择右键弹出菜单的打开项的时候,系统将搜
保留 7 1 80H 耒指定的驱动器类型
索该分区根目录下是否存在Autorun.inf文件,如果存在则根据Au—
torun.inf文件中的内容执行相应的操作。U盘病毒正是利用这个特
(1)在桌面新建WinRAR压缩文件并打开,在WinRAR的目录
点,使Autorun.inf文件与病毒程序关联,当用户双击打开U盘时,自
框中依次选择电脑的其他分区。如果发现有病毒体、Autorun.inf以
动执行相关的病毒文件。
及其其他可疑文件,应选中后按shit键将其彻底删除。因为此时虽 f
Autorun.inf文件由一个或多个“节”组成,每个“节”必须以节名
然系统盘是没有病毒,但其他盘上有。在这种情况下,无论是双击磁
作为开始的一行,节名必须用中括号“口”括起来,节名之下则为本节
盘,还是通过右健菜单中的“打开”或“资源管理器”,都会触发病毒,
中的命令。Autorun.inf一共支持三个节,分别为[AutoRun]、[AutoRun.
进而再次感染系统盘。所以,通过在桌面新建WinRAR压缩文件来
alpha]、[Deviceinstal1],其中只有[AutoRun]是必须存在的。
清除其他盘的病毒。一方面不会再次触发病毒,而且由于在Win—
为了对Autorun.inf文件有更加透彻的理解,我们制作如下实
RAR目录框中可以看到所有文件,对病毒的清除也比较彻底。
例:演示在双击u盘符后并不是打开优u,而是运行指定的程序(这
(2)如果文件夹的属性被病毒恶意隐藏了,就通过命令行进入
—
—
里是记事本程序),从而研究掌握优盘传播病毒的传播原理和预防
各盘根目录,执行:attrib—s—r—h/s/d .{.其含义为将此盘上
方法。
的所有文件都清除其系统、隐藏及只读属性,使其变成正常文件。
文档如下:
2.2借助命令清除
f1)在运行中输入cmd;
(2)进入盘符(比如D盘),用dir命令加参数a即dir/a,
Shell\open=打开(&0)
这时可以看见Autorun.inf文件和其他可疑文件(如SXS.Exe)。
Shell ̄open\command=notepad.exe
(3)输人attrib—S—h—r Autorun.inf和attifb—S—h—r
Shell\open\default=1
SXS.exe去掉隐藏、系统等属性 ,然后用del命令删除上述文件,
Shell\explore=资源管理器(&x)
如del Automn.inf回车,del SXS.exe回车。重新启动电脑,盘符就可
Shell\explore\command=notepad.exe
以双击打开,原来盘符点右键出现的AUTO菜单就不见了。
这里如果将notepad.exe换成是某一个病毒程序,就会在用户不
2.3借助工具清除
知情的情况下,双击盘符时使系统中毒。
在病毒清除的过程中,可以借助病毒分析工具,可能会起到事
1.2 U盘病毒发作阶段
半功倍的效果。如冰刃、狙剑等病毒分析工具都非常适合清除U盘
u盘病毒的发作可以归纳为两个阶段:
病毒。
第一个阶段:感染病毒。如果一台计算机感染了病毒,并且这个
3【J盘病毒的防范
病毒可以通过U盘传播,那么病毒进程就会随时检测是否有USB
3.1简易方法
存储设备接入。一旦检测到,它会立即将Autorun.inf文件和病毒文
使用在“我的电脑”的地址栏中输入欲打开的盘符如D:然后按
件写入到U盘。
回车键这种方法打开目标磁盘。使用这种方法打开驱动器并不会运
第二个阶段:传播病毒。当携带病毒的U盘接入到其它电脑之
行驱动下面Autorun.inf文件中指定的程序,也就可以有效地防止优
后,便通过Autorun.inf文件文件运行指定的病毒,从而侵入到了该
盘病毒的传播。打开之后将Autorun.inf文件以及文件内容中[Au—
电脑中。
toRun]项下的“open=”、“shellexecute=”、“shellkauto\command=”所指向
2 U盘病毒的清除
的程序分别删除。
当用户发现u盘双击打不开,只有选右键才能打开、盘符图标
3.2关闭系统自动播放功能
被更改、右键点击盘符之后快捷菜单中第一个选项不是正常的“打
我们可以通过禁止Windows系统自动运行的方法来提前预防
开”而是变成了“Auto”、系统时间被更改导致杀毒软件过期或者在
U盘病毒,在这里给出禁止Windows系统自动运行的两种方法:
“文件夹选项”中显示所有隐藏文件的操作失效。这样基本就能确定
方法一:通过修改组策略关闭系统自动播放功能
已经感染了U盘病毒, 轻则会导致系统资源被占用,电脑运行变
“开始”/“运行”命令,在弹出的系统运行文本框中,输入字符串
慢,重则导致系统崩溃、重要资料泄密、数据丢失等严重后果。
命令“gpedit.msc”,单击“确定”按钮后,打开对应系统的组策略控制
2.1基本清除方法
台窗口;其次在该控制台窗I=1的左侧显示区域,逐一点选“本地计算
在没有病毒分析工具的情况下,可以采取如下办法:
Open=notepad.exe
[AutoRun】
作者简介:乔明秋(1982一),女,硕士研究生,主要研究领域为信息安全。
信息产业 ・169・
机策略”/“计算机配置”,“管理模板”/“系统”分支选项,在对应“系 果病毒在创建它的Autorun.inf文件之前首先检测根目录下是否存
统”分支选项的右侧显示区域中,找到“关闭自动播放”选项。在弹出
在Autorun.inf文件夹,如果存在则删除它,然后再创建Autoru n.inf
的对话窗口中,单击“设置”选项卡,选中“已启用”复选钮,然
文件,这样我们的工作就徒劳了。
后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,, 其实预防工作失效的根本原因就是病毒删除了我们预先建立
最后关闭“组策略”窗口。 的Autorun.inf文件夹,只要能够阻止病毒删除这个文件夹就达到目
方法二:通过修改注册表关闭系统自动播放功能打开注册表编 的了。要达到这一目标,需要在该文件夹内创建一个特殊的子文件
辑器,展开[HKEY_CURRENT_USER ̄SofiwarehMicmsoif\Windows\Cur-
夹,即在windows环境下不能进行正常操作。文件或者文件夹起名
rentVersionWolicies ̄Exploer]主键下,在右窗格中找到“NoDriveTy—
字的时候,名字里如果包含有非法字符,如..\//: ?”<>I.
peAutoRun”,就是这个键决定了是否执行CDROM或硬盘的Au— 则windows无法识别,也不会对它进行删除和改名操作。这样的文
toRun功能。
件夹无法在windows环境下直接创建,但在命令提示符下是可以
NoDriveTypeAutoRun这个键决定了是否执行Autorun功能。其
的,所以我们在Autorun.inf文件夹里建立了一个任意文件名的无
中每一位代表一个设备,不同设备用表1数值表示。 效文件夹,所谓无效文件夹也就是在文件名后面添加了三个点再加
双击“NoDriveTypeAutoRun”,在弹出窗口中可以看到“NoDriv—
一
个斜杠,这样这个文件夹就成了无效文件夹。格式如下:
eTypeAutoRun”默认键值为95,其中“95”是十六进制值,它是所有
Md Autorun.inf
被禁止自动运行设备的和。将“95”转为二进制就是10010101,其中
Cd Autorun.irIf
每位代表一个设备,Windows中不同设备会用如图所示数值表示,在
Md nodel…\
上面所列的表中值为“O”表示设备运行,值为“1”表示该设备不运 建立无法删除的文件夹在windows下是无法完成的,必须在命
行(默认情况下,Windows禁止80h、lOh、04h、Olh这些设备自动运 令行下完成。如果想删除该文件夹可以在控制台使用 H:kAu—
行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAu— torun.inf/s/q命令删除,这里H是盘符。
toRun默认键值为95)。如果要禁止硬盘和移动硬盘自动运行,需
结束语
将第2位、第3位置1,其余位置0,得到如下值:00001100,然后将 通过对常见病毒及病毒的感染原理的分析,本文有针对性地总
这个值转换为十六进制OC。将这个值添加到注册表的”NoDriveTy—
结了多种可行的防御和清除u盘病毒的方法。这不仅有助于我们
peAutoRun“键下即可。
学习经验的增长,而且更有助于减少广大用户的损失。
3.3禁止创建Autorun.i 保护自己的u盘或磁盘)
参考文献
既然病毒主要利用了Autorun.inf文件实现的自动运行功能。那 【l】王倍昌.走进计算机病毒【M】 匕京:人民邮电出版社,2010.
么只要想办法不让病毒创建Autorun.inf文件就可以有效地阻止病
【2】贺惠萍,荣彦,张兰.autorun.inf病毒的原理及防范fJ].电脑知识与
毒的这种传播行为了。
技术,201 1,7:27—28.
在根目录下建立一个文件夹,名字就叫Autorun.inf。由于 [3]徐玮.U盘病毒的分析与防治,科技信息,2010,15:37—38.
Windows规定在同一目录中,同名的文件和文件夹不能共存,这样
[4】刘宁,赵建华.移动u盘病毒工作原理、清除与防范[J].长春大学学
病毒就无法创建Autorun.inf文件,即使双击盘符也不会运行病毒。
报,2009,4:39—41.
这样就可以起到主动防范的作用。
[5】杨志强,毕超群,徐长庚.Autorun病毒原理分析及设计与实现[J].
上述方法是在不删除Autorun.inf文件夹的前提下才能起效,如
信息技术,2010,8:100—102.
(上接194页) 要使用不同的频道。为及时处理试验时发现
件。
的电路故障,应要求电务段把试验时发现的问题写在纸条上,控制
2.9其它
台要专门安排一人负责把问题及时传递到技术负责人手中。
施工完毕后施工人员必须对自己的施工内容进行核对,这一点
2.6做好与电务、车务、工务等相关配合单位的沟通、配合、交底 很重要,配错一根线就是一个故障,施工中一分钟能解决的问题,技
在制订开通方案时一定要做好与电务、车务、工务、铁通等相关
术员查找故障可能需要十分钟甚至更长时间。
配合单位的沟通和交底,通过事前沟通和交底不仅可以让电务、车 技术员审图、调查、摸底、试验要彻底,要以开通时无故障可处
务、工务等单位了解我们的施工内容、顺序、困难和要求,可以争取
理或只有极少的微不足道的故障为开通技术准备目标。
他们的支持和帮助,同时也让他们更好的做好开通配合准备,有利 2.10容易导致开通晚点的主要因素
于开通顺利进行。
2.10.1设计出现严重错误,特别是电路原理出现错误,或设计出
2.7应急预案
现重大漏项而施工单位审核图纸时又未发现。
在制订开通施工组织设计时一定要制订相应的应急预案,一但 2.10.2施工调查不仔细,准备工作不充分,导致开通时或接配线
开通时出现紧急情况可立即启动应急预案,保障开通施工正常进
出现大量错误,或电源混电。
行。应急预案包括:应急领导小组,应急人员、材料设备、车辆等内
结束语
容。
以上浅谈了一下保证既有线施工信号设备安全正点开通需要
应急材料要准备充分,由技术人员提报应急材料计划,领导审 做的主要工作以及可能导致开通晚点的主要因素,在实际施工中按
批。应急车辆要车况良好,专车专用。
照各项要求做也取得很好的效果,但现场施工情况是千变万化的,
2.8对相关配合单位要求
需要根据实际情况做相应的准备,这样才能确保每次开通安全正
在开通准备会时要对相关单位提出合理的配合要求,相关配合
点。
单位主要是:电务段、车务段、工务段、机务段、供电段、铁通、设计、
有关厂家等。
对电务段的要求主要是开通配合试验要及时。
对车务段的要求主要是封锁施工时尽量清空站内股道及减少
站内调车作业;及时给关门点,关门点下达后钉闭加锁道岔及时开
锁,关门点内保证站内股道及区间空闲。
对有关厂家的要求主要是人员及时到位,配备足够的备品、备
版权声明:本文标题:U盘病毒的分析、清除与防范 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1714998618a429772.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论