【原创】简简单单制服磁碟机（附详细设置方法）(页 1) - 入侵防护交流 - 卡巴斯基技术论坛由江南混混创办|卡巴斯基BBS|卡巴斯基下载|卡巴激活|卡巴斯基8.0|卡巴斯基7.0|卡巴斯基2009|激活key下载|卡巴下载|杀毒论坛|安全防护

yangdw 发表于 2008-3-21 13:16

【原创】简简单单制服磁碟机（附详细设置方法）

奋战了两天，期间下载病毒共七次，重新恢复快照六次，终于把怎么制服磁碟机病毒的方法研究出来了，和坛子里的坛友共享一下我的成果，希望能帮到大家，都远离这个所谓变态的“毒王之王”方法很简单，就是利用了NTFS的权限，以达到控制磁碟机运行的目的，没有什么技术含量，希望高手不要见笑！！
 
根据这两天运行病毒，发现有几个共同点，就是一定要在系统盘的根目录、COM文件夹建立病毒文件，利用CMD还有CACLS这两个可执行文件，而这两个可执行文件，普通用户根本就用不到，可以完全利用NTFS的权限，拒绝运行！还有就是C盘的根目录和COM文件夹一般用户也不会在这两个地方建立文件的，这就给了我们思路，用NTFS的权限，不用注册表防护、不用策略和任何杀软（绝对适合菜鸟），也一样能让磁碟机运行不了！（更不要说不少的杀软在磁碟机的面前，已经很无奈了，而且号称自我保护很强的卡巴，一旦让磁碟机运行起来，也变得很苍白！）
 
详细设置见图： 先设置C盘的根目录的权限，如果其他的盘的根目录权限也像C盘这样设置，还可以有效的防止U盘病毒，看来windows的NTFS的权限给了我们无数diy的空间（前提是你的分区一定要是NTFS格式的） 
<IMG src="http://i.namipan.com/files/84554a22a47244bd5a77cfbbd8b0b52a3af8a21e7d7600001514/0/0.jpg" border=0>
 
默认的权限这里和我的是不一样的，无论你是什么样的，点高级，然后就会弹出下图，请接着看图： 
<IMG src="http://i.namipan.com/files/50ad57deb965d9a6e48adbf1bcebe17903f8e59cabf000008f58/0/1.jpg" border=0>
 
按图上说明，先把下面的红框里的勾去掉，就会弹出个对话框，你点删除，然后上面的大红框里就是空的了，（修正一个错误，就是在分区的根目录那个小框里是没有勾的，就直接把大框里的删除，重新分配权限就可以了）然后点添加，就会出现下图，接着看图： 
<IMG src="http://i.namipan.com/files/ea5ce52d3b25cebfa4826f6064c1898f67c8695c97530000fd3e/0/%E5%90%8E%E8%A1%A50.jpg" border=0>
 
 
点击添加后就出现这个图，然后点高级，就会出现下图，请看图： 
 
<IMG src="http://i.namipan.com/files/b40d1c86bc8d22aac90aa05245fbf80bec928fdea6c5000047df/0/%E5%90%8E%E8%A1%A51.jpg" border=0>
 
根据图片里的说明，选好用户组后，点击确定就出现下图： 
 
<IMG src="http://i.namipan.com/files/6e3605e640ece735309a0aaaabbebbc75a5187ca726400009a4e/0/%E5%90%8E%E8%A1%A52.jpg" border=0>
 
直接点确定，就看到了下图里面的那个“权限项目”的图片，然后就按照那里的图示说明设置，以后都是这个步骤（但要看清图示，有的权限设置是不一样的！！），依次添加，看图：
 
<IMG src="http://i.namipan.com/files/032dc4336b00ed75fa05ca4d91b29f896cdcf4e2bc5b0100ec4a/0/2.jpg" border=0>
 
先添加上面红框里的那两个组，一定要在“应用到”那里选“只有文件夹及文件”在“允许”里全部选上，一定要选组！切记！接着看图：
 
<IMG src="http://i.namipan.com/files/e03550adf9c7d672a86b17add30910cc8eaf49582c510100b20f/0/3.jpg" border=0>
 
这里的三项的权限是一样的，按照图示，逐一添加（一定要细看图示，每一步都不能落下），接着看图： 
<IMG src="http://i.namipan.com/files/6b520f1b0023058eee73dceade8a7f8bac030393ad440100a6e6/0/4.jpg" border=0>
 
上面的红框里的权限是一样的，也是看图示（这是为了大家能看清楚，其实要在设置的时候，可以在允许和拒绝的两个里面一起选，除了上面的完全控制外，底下的选框，可以对应着一起来，也就是允许里打勾的，拒绝里就不要打勾，允许里没打勾的，就在拒绝里打上勾）接着看图： 
 
<IMG src="http://i.namipan.com/files/73ef91954c00d05718490ac78e19f846cf2f37c50d830000e5b1/0/5.jpg" border=0>
 
到这里C盘根目录的权限就OK了，也许你看图会觉得好像是很麻烦的，等你自己设置的时候就知道了，其实很简单的，下面是system32文件夹里的cmd.exe权限设置，cmd.exe的权限设置过程我没有详细的标出，因为上面的你会了，这里的步骤也是一样的，就是权限设置不一样，在选用户组的时候就选这三个就行，然后在拒绝里都打上勾，回到这里就是这样了。接着看图： 
 
<IMG src="http://i.namipan.com/files/80983be0779103ae4688a324fec82ee20c2533bb819500002839/0/6.jpg" border=0>
 
下面是system32文件夹里的cacls.exe的权限设置，同cmd设置是一样的，就不多说了，接着看图：
 
<IMG src="http://i.namipan.com/files/a015f103ba20a4172d2d2435db2e6ae002e30a4e2d9c0000eb13/0/7.jpg" border=0>
 
下面是system32文件夹里的COM文件夹的权限设置，接着看图: 
 
<IMG src="http://i.namipan.com/files/62a47a59b006d6f9ba2f61bb7430932216fc72196e520100f4cb/0/8.jpg" border=0><IMG src="http://i.namipan.com/files/78a8a34f3e51fa6d3c45ff6d4f8468d2053e46546c5a0100a7f1/0/9.jpg" border=0>
 
这里设置完了，就回到了下图，这里要详细的说一下，就是在最下面的小红框里要打上勾，然后应用，在弹出的对话框里点“是” ，点完“是”回到这个界面是那个红框里的勾就会没有了，你不要认为没选上，接着挨个都选一遍，最后按“确定”。最后一步看图： 
 
<IMG src="http://i.namipan.com/files/7203a409901c7d2582a9cb94423132d0300887f0f3dd00003167/0/10.jpg" border=0>
 
至此设置完毕，我已经在没有任何杀软和HIPS的情况下运行了两遍，就是在病毒运行的时候会出现程序错误，然后会没有桌面几次（也就是这个病毒调用，explorer.exe失败，造成的程序错误引起的）再就是setup.exe应用程序错误，引起的内存不能为read，点了能有十来次确定，就恢复正常，会有一个后遗症，就是你选了显示隐藏文件，你也会看不到根目录的隐藏文件，但是除了根目录的以外，别的文件夹里的隐藏文件能看见，这个病毒是有点“变态”••呵呵这是铁军说的，不过确实说的有道理。这个问题我也已经解决，把下面的复制到记事本，保存reg文件，导入即可！（导入后要回到文件夹选项里，重新设置显示隐藏文件，就可以看到隐藏文件了）
 
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "Type"="checkbox" "Text"="@shell32.dll,-30508" "WarningIfNotDefault"="@shell32.dll,-28964" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowSuperHidden" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51103" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" 
 
后话：这两天绞尽脑汁就是本着为“菜鸟”想到简单、有效的、而且不影响电脑正常运行的办法这个思路（高手就根本用不到这个其实防磁碟机有N种方法）去想一个简单有效的方法适合菜鸟的，因为这些人不可能为了个病毒去学什么，怎么设置注册表（呵呵，这个我也玩不明白）、怎么设置组策略、甚至都有人不知道通配符和环境变量。 根据这两天的运行，发现windows清理助手可以完全的清理掉病毒的遗留文件（这是在病毒没有完全感染，还可以运行windows清理助手的情况下），在没有任何杀软、HIPS保护的情况下，按照上面的设置，运行病毒以后用windows清理助手和360安全卫生，进行全盘扫描，确认无任何遗留文件，然后用优化大师清理，OK！除了显示隐藏文件的注册表被恶意更改外，无任何异样。 最后：上面的设置在变态的作者还没有出现更变态的情况下，完全有效（这个有效是你在没有任何保护的情况下，运行这个病毒都不会中毒的！无论你是有意还是无意的都可以，这个设置只对磁碟机有效，别的病毒请不要尝试） 
 
 
 
 

[[i] 本帖最后由 yangdw 于 2008-3-21 13:23 编辑 [/i]]

月下桂花 发表于 2008-3-21 15:39

MS在JM里面也有类似的帖子...

yangdw 发表于 2008-3-21 22:06

楼上的JM是哪里？这个是本人原创，什么叫类似？给个链接我去看看

月下桂花 发表于 2008-3-21 22:31

呵呵...思路差不多.....
[url]http://bbs.janmeng.com/viewthread.php?tid=592459[/url]

不过还是不一样的....

谢谢LZ的分享了...学习ING

yangdw 发表于 2008-3-21 22:49

我去那个帖子看了，什么叫差不多，你用那个方法运行磁碟机看看！我的方法是目前最简单有效的！在没有任何杀软和HIPS类的软件的保护下，运行磁碟机都没什么大的影响！重新用我的那个恢复隐藏文件就OK了，就算在有杀软保护的情况下，你运行一下这个病毒试试看看会怎么样？！只要你第一步点允许，你就会进入万劫不复之地！这个病毒是绝对变态的，就连你的压缩文件都会给你解压感染后再压缩起来，而且自我保护能力相当强。

cgp 发表于 2008-3-25 23:34

为什么我看不见图？<img smilieid="56" src="http://bbs.kpchina.net/images/smilies/default/27.gif" border="0"><img smilieid="56" src="http://bbs.kpchina.net/images/smilies/default/27.gif" border="0"><img smilieid="56" src="http://bbs.kpchina.net/images/smilies/default/27.gif" border="0">

perfume 发表于 2008-3-26 19:50

我用专杀搞定！

lidesheng 发表于 2008-3-26 22:33

谢谢LZ的分享了:@6#

ruiboss 发表于 2008-3-26 23:31

楼主强人!谢谢了!学习中!支持原创!!:@2#

GZZC 发表于 2008-3-31 14:09

.没有看懂，水平有限，还有更简单的方法吗？:@1#

chentianlong 发表于 2008-4-4 00:00

这是高手额方法。。:@7#

331868880 发表于 2008-4-4 18:23

学习学习,辛苦了!

fangshuaixin 发表于 2008-4-7 18:21

感谢楼主分享经验呢！

ngc0717 发表于 2008-4-10 13:46

还没见识过碟机。。::@16# 。。不过楼主挺厉害的

iecsoul 发表于 2008-4-14 12:39

我这里的网速有点问题.图片看不到..有点郁闷..但还是感谢楼主的分享!!

飞天战警 发表于 2008-4-17 19:48

谢谢楼主,我用超级兔子查出后,怎么也制裁不了这病毒,但360和江民都说没有.后来下载个新版本的超级兔子,又说没有了.要是早点看到楼主的帖子,也不会害得我女儿的照片全部格掉了.

xj07 发表于 2008-4-26 04:31

看了，进来支持一下

lp23253 发表于 2008-4-26 13:59

不明白哟

bluecoldfire 发表于 2008-4-28 20:17

以前中过一次要是早点学习了就好了

shuidaye 发表于 2008-4-30 21:50

楼主真是强人，小弟学习了！！！

Amtree999 发表于 2008-5-1 10:17

貌似不行啊----

yonggang 发表于 2008-5-3 14:30

支持原创，谢谢分享！学习下

aihao 发表于 2008-5-4 10:22

FAT32格式的怎么整呢?:@1#

zhouxibing 发表于 2008-5-28 20:14

学习，:@4# :@4# :@4# 楼主辛苦了！顶起来

jiabojkc 发表于 2008-6-14 08:44

很强呀!楼主,不愧为高手中的高手!学习一下!

dfang 发表于 2008-6-22 13:28

谢谢LZ的分享

9881585 发表于 2008-6-28 00:40

进来学习一下

cspcs 发表于 2008-7-11 21:54

学习一下喽:@2#

wangminga 发表于 2008-7-27 11:15

我的分区不是NTFS的用不着，但还是顶一下楼主幸苦了继续努力！

xia8281138 发表于 2008-8-28 09:08

很繁琐啊

Meteor0527 发表于 2008-8-30 16:12

我好像也中了。

页: [1]

卡巴斯基技术论坛's Archiver

【原创】简简单单制服磁碟机（附详细设置方法）