1   1  /  1  页   跳转

U盘防毒策略的误解(转载)

U盘防毒策略的误解(转载)

关于各种策略防范U盘病毒的讨论
转载自卡饭论坛

作者:气流

 或者很多人都认为防U盘只是很简单的事了,根本不值一提,曾经偶也是这么认为的,但很快发现
事实却不是这样的——我们当中的很多人都在犯着一些常识性的错误而我们却没有察觉。

对于防范U盘病毒,现在流传着很多的方法,例如关闭自动播放、软件限制策略、HIPS、沙盘等等
但是实际上,哪些方法才是真正有效的呢?

例如:
关于软件限制策略,相信很多人都会设置这样规则:
?:\autorun.*   “不允许的”
或者形式不一定和上面的相同,但思路是一样的:阻止autorun.inf文件的“被执行”

有人进行过验证,在此规则下,直接双击U盘下的autorun.inf文件,发现立即弹出被组策略阻止的提示窗口,
似乎还有点作用。不过,这并不代表已经达到了我们想要的效果。

为了搞清楚这个问题,我们跟踪一下当U盘插入后,系统处理autorun.inf文件的过程。

首先,svchost.exe读取autorun.inf,然后explorer.exe读取autorun.inf,再然后explorer.exe
将autorun.inf里的相关内容写入注册表中MountPoints2这个键值。只要explorer.exe成功写入注册表
,那么这个autorun.inf文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。

那么我们的软件限制策略中,将autorun.inf 设为”不允许的”这一做法在这个过程中起到什么
作用?

很遗憾地告诉你:没有任何作用。

因为这个软件限制策略没有防止autorun.inf被读取,也没有防止explorer.exe写入注册表,所以
说,没有任何作用。真要说起到什么作用,那只是禁止autorun.inf文件被“打开”而已。(参考
下面的“注”)

针对autorun.inf而设软件限制策略,实际上是徒劳之举。(这点偶也是最近才发现)
要真正有效防范U盘病毒,还得从禁止U盘里的程序运行来着手

可以写规则如下:
?:\*.* “不允许的”
这样就禁止了各盘根目录下的程序的运行。当然还可以把 ? 改为实际的U盘盘符,或者将*.* 改
成 * ,即 盘符:\* ,这样可以完全禁止程序从U盘里启动。


注:
1. 软件限制策略只对“指派的文件类型”列表中的格式起效。
2. 软件限制策略的“不允许的”设置,实际上是在禁止“该文件不被调用或打开”,相似于AD中的阻止
运行程序,不包含FD的读取、创建、修改、删除等操作。
3. 在软件限制策略中,通配符 * 和 ** 是等效的
4. 不要怀疑前三点,它们是对的


另外还有一些流传的方法,实质上也不能完全防止Autorun病毒的运行。

1.禁止svchost.exe读取autorun.inf。
因为explorer.exe也会读取autorun.inf,而且写入注册表的正是explorer.exe,所以此方法无效。

2.关闭自动播放功能。
建议各位看看此贴:  对《澄清现在流传的对自动播放的误解》的补充说明
http://bbs.kafan.cn/viewthread.php?tid=123431&highlight=%D7%D4%B6%AF%B2%A5%B7%C5
该帖说明,关闭自动播放功能并不能防止病毒利用autorun来实现启动,“这个实验证明靠组策略
中关闭自动播放来预防U盘毒是完全没有用的(上面这个Autorun.inf已经烂大街了)”
自动播放(Autoplay)和自动运行(autorun)并不是一回事。
不过我们可以通过关闭Shell Hardware Detection服务同时把自动播放和自动运行取消

实际可行的方法:
1. 禁止explorer.exe读取autorun.inf (HIPS之FD)

2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项
,即:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者将整个MountPoints2项封住,禁止写入 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(注册表权限、HIPS之RD)

3. 禁止U盘的程序启动 (软件限制策略、HIPS之AD)

4. 用沙盘限制   (DW的非信任、SBie的强制运行等等)

5. 自定义有害文件:autorun.inf (一些杀软可以做到,例如咖啡8.5i)

6. 修改shell32.dll,更改autorun.inf的打开方式

7. 关闭Shell Hardware Detection服务

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
分享到:
gototop
 

回复:U盘防毒策略的误解(转载)

感觉最初级的 就是建立一个 autorun.inf 同名文件夹~~不过现在很多变种了
gototop
 

回复:U盘防毒策略的误解(转载)

那个 不治本
gototop
 

回复:U盘防毒策略的误解(转载)

AUTORUN.INF不是可执行文件,所以组策略怎么设都是徒劳
不过你试过设置AUTORUN。INF的规则后新建文件怎样?
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:U盘防毒策略的误解(转载)

  U盘插进去 系统就会调用 AUTORUN.INF
gototop
 

回复:U盘防毒策略的误解(转载)

所以禁止读取它,或者根目录限制运行啦~~~
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:U盘防毒策略的误解(转载)

该用户帖子内容已被屏蔽
gototop
 

回复: U盘防毒策略的误解(转载)



引用:
原帖由 安全初级工程师 于 2008-8-8 9:01:00 发表
用瑞星主动防御
就 OK了
不过策略要设置多条



这个是比较基础的防御吧 猛点的毒就不行了 楼主的分析还是值得一看 ~学习了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT