流动的入侵 移动存储攻防

多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 191POPULAR COMPUTER WEEK 从多年前的软盘感染病毒，到如今的优盘、移动硬盘、光盘传播病毒，移动存储已经成为了 危害计算机安全的高危存储介质。从本地危害的角度来看，电脑被移动存储破坏的可能性最大。 在本专中，将讲解移动存储设备传播病毒的特点，常见的几种病毒的运作特点，以及安全有效 防范的。 NO.13 U盘病毒的危害 U盘病毒 如何防范移动设备病毒 为U盘加密 移动存储设备权限设置 初识U盘病毒 一、什么是U盘病毒 二、使用专杀工具剿杀U盘病毒 Autorun病毒实战 一、原理与分析 二、病毒查找 三、病毒清除 四、故障修复 U盘病毒防范之策 一、手工方式防U盘病毒 二、“防护盒”为U盘护航 1.拦截免疫 2.创建autorun.inf文件实现U盘免疫 3.1000多种常见病毒免疫 4.强大的进程管理 三、内网当心U盘资料被窃取 1.当心黑手“闪盘窥探者” 2.防范“闪盘窥探者” 专题策划：杨简 责任编辑：连果 电话:(023)63658888-13117 多管齐下 移动存储设备安全“高枕无忧” USB访问权限设置 初识U盘病毒 U盘病毒防范之策 简单地说，通过U盘传播的病毒就 可以称为U盘病毒，而其中以Autorun病 毒最为典型。由于现在用户使用U盘等 移动存储设备非常广泛，因而，U盘病 毒也极为泛滥。 针对日益增多的U盘病毒，软件厂 商也推出了相应的病毒清理和安全防范 工具，比如U盘病毒防护盒、USB安全 存储专家等，使用工具配合手工杀毒， 将会达到更好的效果。 在很多网吧，USB端口是被严格禁 止使用的，其中一个目的就为了避免 U盘病毒感染。如果你很少使用USB设 备，或者不希望别人在你的电脑上使用 USB设备，你也可以动手设置USB设备 的访问权限。 P192 P197 P205 增刊 POPULAR COMPUTER WEEK 192 增刊 POPULAR COMPUTER WEEK[ [ 什么是U盘病毒 U盘病毒又称Autorun病毒，U盘病毒通常会先 检查U盘上是否存在Autorun.inf文件，如果不存在就 建立一个病毒Autorun.inf文件，如果存在Autorun.inf 文件，那么会尝试先删除该文件，然后再建立一个 病毒文件，或者是直接改写Autorun.inf文件，添加 病毒运行相关信息。 通过Autorun.inf文件，可以使对方所有的硬盘 完全共享或中木马病毒，由于U盘、移动硬盘、存 储卡等移动存储设备的普及和应用，“交叉感染” 的几率很高，因此，U盘病毒也随之泛滥起来。 U盘病毒 使用专杀工具剿杀U盘病毒 对于U盘病毒，当然首选还是使用正版杀毒软 件，具体方法大家都不陌生。此外，建议大家可 以使用U盘病毒专杀工具，因为专杀工具更具针对 性，这里以360安全卫士U盘病毒专杀工具为例进行 介绍。360安全卫士U盘专杀工具使用智能启发式查 杀方法，对流行的U盘病毒及其衍生物具有较好的 杀灭效果，同时，使用360粉碎机的破冰技术可以 有效阻止病毒再生！运行软件后，点击“扫描”按 钮即可开始查杀U盘病毒，使用很简单。 U盘病毒会在系统中每个磁盘目录下创建Autor- un.inf病毒文件，但并不是所有的Autorun.inf都是病毒 文件。对光盘稍微有一定了解的用户都知道，光盘中 也有一个Autorun.inf文件。其功能是自动播放光盘中 的内容。而U盘病毒正是利用“Windows自动播放” 的特性，使用户双击盘符时就可立即激活指定的病 毒。由于用户会经常双击打开本地盘符，因此这种病 毒的存活率和复发率非常高。 操作提示 初识U盘病毒 简单地说，通过U盘传播的病毒就可以称为U盘病毒，而其中以Autorun病毒最为典型。由于现在用 户使用U盘等移动存储设备非常广泛，因而，U盘病毒也极为泛滥。 Autorun病毒实战 下面我们将以典型的Autorun病毒为例，介绍其发作原理、如何发现病毒、如何清除病毒以及如何 修复清除病毒后可能出现的故障，让大家了解U盘病毒，并做好相应防范工作。 目前，通过优盘等可移动存储设备传播病毒的 行为非常猖獗，其中以Autorun病毒尤为人们所熟 知。此病毒会将一个可执行文件（如Rabbit.exe）和 一个Autorun.inf文件拷贝到所有分区的根目录下， 并将这两个文件的属性设为隐藏和系统文件，所以 用户在“不显示隐藏的文件和文件夹”的默认设置 下是看不到的。 病毒列表 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 193POPULAR COMPUTER WEEK 这两个文件通常位于被感染的所有存储介质 （不含正常的光盘）的根目录下，用户只要双击被 此病毒感染的分区，就会将病毒激活。 病毒检测 “ 可 移 动 存 储 ” 设 备 的 病 毒 通 常 是 通 过 “Autorun.inf”文件中的设置自动激活，会再将 “Autorun.inf”文件同时拷贝到其它分区，导致其 它分区都无法用双击鼠标的方法打开。 原理与分析 Autorun病毒实际上是利用了系统中“自动运 行”功能进行发作的，这个功能的实现很简单，例 如：假设我们即将要刻录的光盘中有3个软件，分 别存放在A、B、C这3个目录中，其安装文件分别 为Winrar.exe、wbsetup.exe和Winiso53.EXE。在默认 情况下，要自动运行Winrar.exe的安装。为此，现在 让我们使用“记事本”程序做如下输入操作： [autorun] open =Winrar.exe Shell\A =安装Winrar.exe Shell\A\command =A\Winrar.exe Shell\B=安装wbsetup.exe Shell\B\command=A\wbsetup.exe Shell\C=安装Winiso53.EXE Shell\C\command=A\Winiso53.EXE 其中的Shell语句的格式如下： Shell\说明性文字=要显示的鼠标右键快捷菜单 中的内容 Shell\说明性文字\command=可执行文件或命令 行（命令行的格式是打开文件的程序或程序本身） 要注意的是，这一行中最后的程序名称一定要 与光盘中添加的程序名称一致，否则会出现找不到 路径的错误。 代码 其中，“Shell\A=”这句定义的是显示在鼠标 右键快捷菜单中的名称，可以随心所欲地起名。 “Shell\A\command”这句表示在Shell之下再新建一 个command，如果经常使用注册表编辑器，就会立 刻明白这个含义。也就是说，这两句是针对注册表 而言的。 在完成上述文件的制作以及光盘的刻录后，当 用户双击光盘时就会自动运行Winrar.exe的安装，如 果是右键单击光驱盘符，则会出现相应的菜单。 通过上述的讲解，我们可以看出自动运行被病 毒利用只是迟早的事情，因为利用Autorun.inf，可 以编写出很多复杂的启动功能设计，利用它来做好 事还是坏事，关键就看设计者是怎么想了。Autorun 病毒的出现，就是一种令人切齿的黑客伎俩。 如图所示是一个Autorun病毒的源代码，它看起来 是一堆乱码，但实际上是经过加密的病毒代码。 病毒代码 这个病毒在发作（机器需要重启一次）以后， 当用户双击分区图标时会弹出如图所示的错误。 提示框 在对这个病毒进行了操作监控后，我们发现这 个病毒主要会在如下几个方面发挥“威力”： [HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\kkdc] [HKEY_LOCAL_MACHINE\SYSTEM\Control Set001\Services\kkdc] [HKEY_LOCAL_MACHINE\SYSTEM\Control Set002\Services\kkdc] 增刊 POPULAR COMPUTER WEEK 194 增刊 POPULAR COMPUTER WEEK[ [ [HKEY_LOCAL_MACHINE\SOFTWARE\Micro- soft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] "Debugger"="4784.PIF" //新增 加值 [HKEY_LOCAL_MACHINE\SOFTWARE\Micro- soft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe] "Debugger"="setuprs1.PIF" //新增 加值 [HKEY_LOCAL_MACHINE\SOFTWARE\Micro- soft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] "Debugger"="setuprs1.PIF" //新 增加值 [HKEY_LOCAL_MACHINE\SOFTWARE\Micro- soft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe] "Debugger"="setuprs1.PIF" //新 增加值 [HKEY_LOCAL_MACHINE\SOFTWARE\Micro- soft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe] "Debugger"="setuprs1.PIF" //新 增加值 [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\MountPoints2\{*}\ Shel l ] / /在这里增加Shell项，*代表设备号（如 {99eef5a2-2ad8-11df-884b-806d6172696f}），如图 所示。 新增的项 在Shell项下通常会建立子项“autorun”，在双 击窗格右侧的默认值后，可以看到其属性为“自动 播放”。 “自动播放”属性 其下的子项还会有“command”，其默认值正 是前面弹出的提示框中的内容。 属性 如果我们打算把这个属性内容删除，以期解决 分区无法双击的问题是不行的，因为会弹出如图所 示的提示框。 提示框 正确的方法是删除“*”（代表设备号，如 {99eef5a2-2ad8-11df-884b-806d6172696f}）及其下 的所有子项的值。 菜单 在删除Autorun.inf文件后，无需重启即可解决 分区无法双击的问题。如果仍然无法解决问题，那 么，就要查找“C:\windows”目录下是否存在cmd.exe. exe 、lsass.exe、setuprs1.PIF、regedit.exe.exe、r.exe， 以及在各个分区根目录下查找是否存在autorun.inf 、runauto..（文件夹，不能直接删除）、autorun.inf. tmp、autorun.pif、Setup.pif等自己不知道、也非正常程 序写入的文件，如果这些文件（在分析Autorun病毒 后得出的常见文件名）存在，那么就要将其删除。 对于新手来说，应当重点检查非启动和系统 分区根目录下是否有病毒文件，如果有则应全部删 除，有条件的话则应进行格式化操作。在完成删除 或格式化操作后，再使用一键克隆功能对启动和系 统分区进行恢复即可——不能直接进行克隆恢复， 因为病毒在没有删除干净之前是不起效果的。 那么，什么是INF文件呢？INF是“Device IN 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 195POPULAR COMPUTER WEEK Formation File”的英文缩写，是Microsoft公司为硬件 设备制造商发布其驱动程序推出的一种文件格式， INF文件中包含硬件设备的信息或脚本以控制硬件 操作。在INF文件中指明了硬件驱动该如何安装到 系统中，源文件在哪里、安装到哪一个文件夹中、 怎样在注册表中加入自身相关信息，等等。 INF文件作为一种纯文本文件，可以用任意一 款文本编辑软件来打开进行编辑，如：记事本、写 字板等。INF文件有一整套的编写规则，每一个INF 文件都是严格按照这些规则来编写的。 ·规则一：INF文件是分节的，每一个INF文件 由许多的节组成，节名用方括号括起来。这些节名 有些是系统定义好的，有些是用户自定义的。每一 个节名最长为255个字符。 规则一 在节与节之间，没有先后顺序的区别，另外， 同一个INF文件中如果出现两个同样的节名，则系 统会自动将这两个节名下面的条目合并到一起。 ·规则二：在节与节之间的内容叫条目，每一 个节又是由许多的条目组成的，每一个条目都是由 形如"signature="$CHICAGO$""的形式组成的。如果 每一个条目的等号后有多个值，则每一个值之间用 "，"号分隔开。 ·规则三：INF文件对大小写不敏感。 ·规则四：“；”号后面的内容为注释。 ·规则五：如果一个条目的内容过多，在一行 无法写完全，则用“\”将一行内容书写为多行。 明白了INF文件的规则后，让我们一起来解剖 INF文件的结构。 第一部分：Version节 每一个INF文件都包含一个这样的节，该节 中的条目主要是描述此INF文件支持的设备类型和 适用的操作系统。在该节中如果出现“signature=" $CHICAGO$"”这样的条目则表示该INF文件适用于 Windows 98之后的所有操作系统，如果包含“sig- nature="$Windows NT$"”这样的条目则表示该INF 文件适用于Windows 2000/XP/2003操作系统，而且 两者必具其一。 第一部分 另外，该节中“CLASS”条目很重要，它表明 了设备的类型，常见的类型有：Display（显示设 备，如显卡）、Media（多媒体设备，如声卡）、 Net（网络设备，通常是网卡）、Modem（调制解 调器）、Printer（打印设备）、Image（图像捕获设 备，如摄像头）。 第二部分：Manufacturer节 该节中的条目主要是描述INF文件可以识别的 所有硬件设备，其中包含有设备的生产厂家，以便 设备的正确安装。 第二部分 第三部分：SourceDisksNames节 该节主要指明安装文件所在的介质。 第四部分：SourceDiskFiles节 驱动程序文件列表及被安装的位置，该节必须 结合[SourceDisksNames]节才能知道具体的位置。如 “atinbtxx.sys=1”，则必须到[DestinationDirs]节去查 看“1”具体代表哪个位置。 第五部分：DestinationDirs节 INF文件会指示安装程序在安装的过程中，将 一些文件复制到硬盘上，或者将硬盘上的一些文件 删除、重命名等。该节即指定了为实现上述目的的 文件所在的目的路径。 增刊 POPULAR COMPUTER WEEK 196 增刊 POPULAR COMPUTER WEEK[ [ 第六部分：DefaultInstall节和Install节 在描述了设备驱动程序与硬件设备的实际属 性，默认情况下，首先执行[DefaultInstall]节，该节指 定了要复制或删除的文件、注册表的更新、INF文件 的更新等等信息，同时又包含指向其它节的指针。 第七部分：String节 这一节中定义了字符串变量，当某些字符串频 繁地出现在INF文件中，为简化输入，可以在该节 中定义一个字符串变量，代表该字符串出现在INF 文件中。 病毒查找 相对于其它的优盘病毒来说，Autorun病毒的查 找还是比较容易的。通常，我们可以使用以下方法 来查看是否中了Autorun病毒： 首先，依次单击“开始”→“设置”→“控制 面板”→“文件夹选项”菜单。 接着，在弹出的“文件夹选项”窗口中，单 击“查看”选项卡，如果想显示受系统保护的隐藏 文件，需要单击清空“隐藏受保护的操作系统文件 （推荐）”项前的复选框，对于非Windows操作系 统自带的隐藏文件，应单击勾选“显示所有文件和 文件夹”选项前的复选框。 勾选“显示所有文件和文件夹”项 如果仅清空“显示所有文件和文件夹”项前的复 选框，而不清空“隐藏受保护的操作系统文件（推 荐）”项前的复选框，那么Windows自带的设置为隐 藏属性的系统文件将不能被显示。另外，如果要在 DOS下查看隐藏文件，可以使用“dir /a”命令。 操作提示 但是，要注意现在有些病毒可以把“显示所有 文件和文件夹”禁用，如果遇到这种情况，那么， 打开“命令提示符”输入如下命令即可去掉文件的 只读、系统和隐藏属性： Attrib -a -s -h autorun.inf　 //去掉autorun.inf文 件的只读系统隐藏属性。 接下来，即可使用“DEl 文件名”命令将其删 除了。当然，也可以直接使用“DIR /a”命令来查 看隐藏文件。 病毒清除 通常，Autorun.inf文件和其它病毒文件都位于 优盘的根目录下，可以直接予以删除。在删除时要 记得按下“Shift”键，这样可以不经过回收站就直 接删除掉。但是，有时也会遇到如图所示的无法删 除问题。 删除出错 遇到这种情况，就要注意病毒是否已经形成进 程在运行了。如果是，就要先将病毒进程关闭后， 才能将病毒文件删除。 进程 如果实在找不到病毒进程，那么直接使用一些 强行删除工具，也可以完成病毒文件的删除操作。 例如：在打开“Autorun.inf”文件后，发现其中有 “open=1.exe”的内容，这里的“1.exe”就是具体 的病毒名称。倘若这类病毒没有进程保护时，我们 只需要将“1.exe”文件以及各个“Autorun.inf”文 件直接删除掉，就能将闪盘病毒从系统中清除掉 了。如果无法删除，就应该检查是否有相应的进程 在运行。 由于会在每个分区中复制Autorun.inf文件，所 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 197POPULAR COMPUTER WEEK 以，推荐使用批处理来快速完成删除操作，代码为： @echo off deltree /ytree /y c:\autorun.inf deltree /y d:\autorun.inf deltree /y e:\autorun.inf deltree /y f:\autorun.inf deltree /y g:\autorun.inf deltree /y h:\autorun.inf deltree /y i:\autorun.inf deltree /y j:\autorun.inf deltree /y k:\autorun.inf deltree /y l:\autorun.inf deltree /y m:\autorun.inf deltree /y n:\autorun.inf deltree /y o:\autorun.inf deltree /y p:\autorun.inf deltree /y q:\autorun.inf deltree /y r:\autorun.inf deltree /y s:\autorun.inf deltree /y t:\autorun.inf deltree /y u:\autorun.inf deltree /y v:\autorun.inf deltree /y w:\autorun.inf deltree /y x:\autorun.inf deltree /y y:\autorun.inf deltree /y z:\autorun.inf Pause 在保存为批处理文件并双击执行后，即可对所 有分区根目录下的“autorun.inf”文件执行删除操 作，而不管它是否有隐藏等属性。 上 述 文 件 可 以 至 “ h t t p : / / h s h y 9 . y s 1 6 8 . c o m / ” → “ 测 试 程 序 ” 目 录 中 下 载 ， 文 件 名 为 “DELTREE.rar”。 操作提示 故障修复 有时候，我们会遇到删除病毒文件后，仍然 无法实现双击打开分区的目的，此时，除了可以使 用将“[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\MountPoints2]”下 病毒子项删除的方法外，往往还需要找到并展开 “HKEY_CLASSES_ROOT”注册表项，将其下的 “Drive\shell”的“默认”值修改为“none”，如图 所示。 修复关联 U盘病毒防范之策 针对日益增多的U盘病毒，软件厂商也推出了相应的病毒清理和安全防范工具，比如U盘病毒防护 盒、USB安全存储专家等，使用工具配合手工杀毒，将会达到更好的效果。 手工方式防U盘病毒 如果想拒绝优盘病毒的侵入，那么，可以使用 多种方法，下面给出几种行之有效的处理方法： 一是每次插入优盘后，右键单击优盘并在弹出 的菜单中选择“扫描病毒”。 扫描病毒 增刊 POPULAR COMPUTER WEEK 198 增刊 POPULAR COMPUTER WEEK[ [ 随即，杀毒软件将会对所选可移动存储设备进 行扫描。 扫描进度 在扫描完成后，将会给出相应的扫描报告，如 图所示。 扫描结果 这种方法简单易行，效果很好。建议电脑用户 对此操作养成习惯，可以大大避免相当一部分非免 杀病毒的传播。 二是在优盘下创建一个名为“AutoRun.inf”的 文件夹，并更改其属性为隐藏，如图所示。 创建文件夹 这是利用了同一个目录下，不能存在相同名称 的文件或者文件夹的原理，进而能够防止病毒程序 生成Autorun.inf文件。 提示框 这个方法也比较简单易行，对于没有安装杀毒 软件的计算机来说，不失为一个好方法。 三是如果我们的优盘是无毒的，现在需要使用 其来复制数据，那么，只要将它的写保护开关设置 为启用状态，病毒就不能对其进行感染。这个原理 很简单：写保护就是禁止向优盘写入数据的功能， 既然不能向优盘写入数据了，病毒自然也就对其无 可奈何。 但是，这样做只能在一定程度上起到保护优盘 的作用，如果优盘已经感染病毒了，这种方法反而 不能使用，因为不能通过执行格式化操作来清除优 盘中的病毒了。 四是取消“自动播放”功能。在将优盘插入电 脑的USB槽后，Windows XP总会弹出一个对话框， 询问需要对优盘执行什么操作。 对话框 这个功能本身是好的，也很实用。但是，它却 容易被Autorun.inf这样的病毒所利用，因为Autorun. inf文件执行的可执行文件（即病毒）会立即被调 用，进而实现病毒的传播。因此，建议对于长期使 用的私人优盘，在弹出的对话框中选择“不执行操 作”并勾选“不执行操作”项。这样，可以对当前 优盘起到较好的免疫效果，但不能对其它优盘起到 效果。 如果希望对指定的优盘禁用“自动播放”功 能，那么，使用如下方法即可定制硬件连接后触发 的系统操作。 首先，在“我的电脑”窗口中选中可移动存储 设备（如USB盘）并进入其属性窗口。 接着，在如图所示的“自动播放”选项卡界 面中，可以设置可移动存储设备硬件连接到计算机 后，能够进行的操作是什么。 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 199POPULAR COMPUTER WEEK 定制操作 如果希望对所有优盘都禁用“自动播放”功 能，只需执行如下操作即可： 首先，在“运行”栏中使用“Gpedit.msc”命 令打开“组策略”编辑器。依次进入“计算机配 置”→“管理模板”→“系统”分支。 组策略 接着，双击“关闭自动播放”项，在弹出如图 所示的对话框时，选中“已启用”项激活下方的设 置面板，在“关闭自动播放”列表中选择“所有驱 动器”项。 属性窗口 在单击“确定”按钮并重启电脑后，再将优盘 插入电脑的USB槽就会发现“自动播放”窗口没有 弹出了。这样，只要不主动去读优盘的数据，优盘 中的某些病毒就不会主动发起“攻击”了。此时， 应抓紧时间对优盘进行格式化操作，即可将病毒消 灭在萌芽之中。 无论是光盘还是优盘，在按下Shift键不放的前提 下连接到电脑，也不会运行“自动播放”功能。 操作提示 此外，还可以使用注册表管理的方法来禁止 Autorun.inf文件的运行。为此，需要依次执行如下 操作： 第一步 在“运行”中输入Regedit，打开 “注册表编辑器”窗口。 第二步 依次单击展开到如下项： HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Exploer 第三步 在右侧窗格中找到决定执行CD- ROM或硬盘的AutoRun功能的值“NoDriveType AutoRun”，如图所示。 找到“NoDriveTypeAutoRun”值 第四步 如果希望光盘不响应Autorun.inf文 件，将此键值设置为十进制的181，或十六进制的 b5，即可禁止自动运行了。如果希望硬盘不响应 Autorun.inf文件，将此值设置为十进制的95即可， 事 实 上 ， 大 多 数 的 硬 盘 根 目 录 下 并 不 需 要 Autorun.inf文件来运行程序，因此我们完全可以将 硬盘的Autorun功能关闭，这样即使在硬盘根目录下 有Autorun.inf这个文件，Windows也不会去运行其中 指定的程序，从而可以达到防止黑客利用AutoRun. inf文件入侵的目的。 最后，再介绍一个使用DOS命令打开U盘的方 法，使用这种方法可以对相当多的病毒免疫，即病 毒不会被自动激活。方法如下： 首先，将优盘连接计算机，在自动完成安装操 作后，可以看到优盘的盘符为E。 增刊 POPULAR COMPUTER WEEK 200 增刊 POPULAR COMPUTER WEEK[ [ 优盘 接着，使用“CMD”命令打开“命令提示符”窗 口，在其输入“E:”并按回车跳转到优盘根目录下。 跳转分区 在输入“Start .”命令并按下回车键后，将会打 开优盘资源窗口。此时，很多种优盘病毒将不会被 激活。但是，由于病毒技术也在不断更新，所以这 种方法很可能在短时间内就会失效。 “防护盒”为U盘护航 前面我们认识了U盘病毒的危害以及传播方 式，尽管中毒后可以采用杀毒软件查杀病毒，但必 然浪费大家的时间，甚至还会造成数据、文件的丢 失，因此，这里给大家推荐一款U盘安全工具“U盘 病毒防护盒”，使用它可以让你“未卜先知”，实 现对U盘病毒“免疫”，从而保护U盘不受侵害。 1.拦截免疫 首先，对U盘进行病毒查杀。运行软件，在程 序主界面上，单击左侧的“开盒即用”按钮，然后 在中间的磁盘列表框中选择U盘所在盘符。 软件主界面 接下来单击“检测U盘病毒”按钮。 软件会对 U盘进行扫描，如果发现病毒会立即弹出对话框提 醒用户。 该软件检测速度非常快，首先会检测U盘目 录下是否存在Autorun.inf文件，如果没有检测到病 毒，则会提示还需要进一步全面扫描。 进一步扫描 点击“确定”后，将打开“全面扫描”窗口， 全面扫描的速度相对较慢。如果检查到病毒文件， 则可以点击“删除”按钮来直接删除文件，也可以 点击“在线查询”按钮来连接到网站查看病毒相关 的详细信息。 病毒信息 这里我们可以看到“拦截免疫”这个功能，这是 针对已经扫描出的病毒或者不明威胁设置功能，选择 扫描到的病毒文件，然后单击“拦截免疫”按钮，就 可以对所选的文件进行免疫，免疫后，如果病毒文件 一旦试图运行，就会被U盘病毒防护盒拦截。该功能 对付不明威胁或未知病毒特别有用。 操作提示 2.创建autorun.inf文件实现U盘免疫 以上介绍的病毒查杀以及拦截免疫的方法都 是在中病毒之后的应急，如何做到防患于未然 呢？U盘病毒防护盒提供了U盘病毒免疫的功能， 该软件针对病毒创建或者修改Autorun.inf文件的情 况，抢占先机，首先在病毒上创建一个不可修改的 Autorun.inf文件，从而不给病毒留下机会。 具体操作比较简单，单击程序主界面中的“U 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 201POPULAR COMPUTER WEEK 盘病毒免疫”按钮，很快会提示“U盘免疫成功”， 这时在U盘根目录下会生成一个具有“只读”、“隐 藏”属性的Autorun.inf文件夹，这个就是实现U盘免 疫的关键。在U盘的根目录下建立一个无法删除的 Autorun.inf文件的目的就是防止病毒删除或改写该文 件，此后，U盘就具有较为强大的免疫力了。 免疫提示 3.1000多种常见病毒免疫 除了以上的两种保护方式外，U盘病毒防护盒 还提供了对常见的1200种病毒免疫的功能，免疫后 这些病毒将无法在免疫过的系统中运行。点击主界 面上的“强力修复”选项，然后点击“常见病毒免 疫”按钮即可。 “强力修复”选项 在“强力修复”选项中，还提供了注册表解 锁、任务管理器解锁、修复exe文件关联、修复隐藏 文件显示、恢复安全模式等诸多修复功能，也提供 了快速打开注册表、任务管理器以及快速打开自启 动项目等功能，具体使用都比较简单。 4.强大的进程管理 该软件还提供了较为完善的进程管理功能，由 于很多病毒木马都藏身系统进程中，因此，识别系 统进程的真伪显得很重要。点击主界面上的“进程 管理”选项，在打开的窗口中可以查看当前系统正 在运行的进程，对于可疑的进程可以点击“在线查 询”来打开超级兔子网站进行查看，或者也可以点 击“结束进程”来直接终止进程的运行。 进程列表 内网当心U盘资料被窃取 除了病毒破坏U盘的方式外，我们还应该提防 U盘资料的外泄。大家常常将自己的资料文件等用U 盘从一台电脑转移到其它电脑中，很多朋友都以为 这种方式不但方便而且安全，殊不知使用U盘拷贝 文件暗藏很大的隐患，因为有一款专门窃取U盘数 据的软件，只要U盘连接到电脑上，那么你的数据 就被偷偷地盗取了，下面一起来看看。 1.当心黑手“闪盘窥探者” FlashDiskThief（闪盘窥探者）是一个在后台盗取 U盘中文件的小软件。当在某台电脑主机上运行了这 个软件后，只要有闪存接上这台电脑，那么闪存中的 所有文件资料都将被悄悄拷贝到指定的文件夹中。 盗取者通常需要先在机器上运行FlashDiskThief 这个软件，然后当你在这台机器上使用U盘时，你 的文件和资料将被拷贝到盗密者指定存放的文件夹 中，盗取资料的工作非常隐蔽，攻击者可以轻松得 到U盘中的所有重要资料，而U盘的主人却毫无知 觉。下面看看具体的操作过程。 运行FlashDiskThief，软件运行后首先指定盗取 文件的存放位置。盗取者一般会将文件路径设置得 比较隐蔽，这样不易引起别人的怀疑。 闪盘路径 然后点击界面中的“开始”按钮，软件就会 自动监视USB接口了。当任何一个用户将闪存接到 增刊 POPULAR COMPUTER WEEK 202 增刊 POPULAR COMPUTER WEEK[ [ USB口时，软件就会开始工作，将闪存中的所有文 件复制到刚才指定的临时文件夹中。 为了达到更加隐蔽的效果，盗取者通常会对软件 进行一些设置，如取消“提示复制完成”选项，当软 件将闪存中的文件复制完成后就不会显示提示信息。 而勾选“窗口完全隐藏”选项后，点击“隐藏”按 钮，将不显示软件运行界面，软件会在后台以进程的 形式运行，别人就不易发现自己的资料被窃取了。可 以勾选“复制完成，自动结束程序”选项，复制完成 后程序进程会自动结束，既使用户有所怀疑，也无法 在进程列表中发现任何蛛丝马迹。 操作提示 2.防范“闪盘窥探者” 当FlashDiskThief以隐藏方式运行时，只要程序 未自动结束进程，用户还是可以在资源管理器的进 程列表中看到一个名为“FDskThief.exe”的进程。 我们只要先把这个进程结束后再插上U盘即可防范 文件被盗取了。盗取者很可能会修改程序文件名(如 “SVCHOST.exe”)，这样就不容易被用户发现。 进程表 除了通过查看进程的方法来防范U盘窥探者 外，我们还可以借助usafer这个软件来保护U盘的 安全。该软件是一个非常小巧的绿色小工具，运行 该软件可以自动清除系统中盗取U盘秘密的软件程 序。我们在使用时，既可以在系统中运行，还可以 拷贝到U盘中，以方便到其它的电脑上运行前用该 软件检测一次。 除了在本机上盗取文件外，我们还要特别提防在 局域网内盗取U盘资料的情况。由于局域网内的安全 工作并不是很严密，可以通过指定文件的存储路径， 使盗取行动更加隐蔽。假设安装了FlashDiskThief程序 的主机A，与盗取者的主机B位于同一局域网内。盗 取者很可能通过各种方法入侵A主机，然后在A主机 上安装盗取软件，并在设置资料的保存路径时，直接 设置为B主机上的某个文件夹，这样盗取者就可等着 FlashDiskThief将别人的资料传过来。 操作提示 设置扫描 运行该软件，点击界面上的“Run now”按 钮，软件即可开始自动工作，检测到可疑程序后将 自动结束这些程序。并提示“活干完了，世界清净 了”。这样，你就可以放心地使用U盘了。 完成提示 为U盘加把“防盗锁” 很多时候，U盘中的数据都是不愿意让别人看 到的，如果正好别人找你借U盘，你该如何处理？ 如何才能让U盘中的数据不泄密呢？Lock it Easy就 可以为你的U盘加密，从而保护你的数据。借助该 软件你可以非常简单地实现全部或者部分U盘空间 加密，而且这一切都是免费的。 1.加密整个U盘 运行Lock it Easy，在界面上显示了U盘的一些基 本信息以及软件语言，这里只提供了英语和德语， 选择英语，然后点击“Next”进入加密功能的选择 窗口，这里我们要对整个U盘加密，因此选择第一项 “Password protect my USB Drive(Secure Zone only)”， 然后点击“Next”按钮，在接下来的窗口中我们可以 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 203POPULAR COMPUTER WEEK 设置U盘的加密密码以及密码提示问题。 选择为整个U盘加密 设置密码提示 在运行该软件前，一定要先将U盘连接到电脑 上，如果先运行软件，后插U盘，会出现找不到U盘 的提示，这时重新启动机器即可。 操作提示 设置完毕后，点击“Finish”按钮，之后该软 件会提示你将格式化整个U盘，因此，如果你U盘 中有数据文件，请先转移出来保存到电脑的其它 盘下。点击“确定”后进行后续操作，将U盘格式 化，并创建一个安全的U盘。最后会提示你登录， 这里输入你刚才设置的密码，然后点击“Login”按 钮即可打开你的U盘所在盘符。 提示信息 登录界面 接下来你就可以将要加密的文件转移到U盘 中。最后点击该软件在任务栏中的图标，在弹出 的右键菜单中选择“Logout”。这样，即使其他人 把你的U盘连接到电脑上，那么看到的也只是一个 LockitEasy.exe程序。 程序文件 你自己要查看数据文件也很简单，只要运行 U盘中的LockitEasy.exe程序，然后输入你设置的密 码，点击“Login”按钮即可打开。 2.部分数据加密 Lock it Easy不仅可以对整个U盘进行加密，还 可以通过在U盘上建立共享区和加密区来实现只对 部分重要的文件加密，这样一来，还不至于引起他 人的怀疑。 在选择加密方式窗口中，选择第三项“Create Secure and Public Zone(advanced Settings)”，然后点 击“Next”继续下一步操作，在打开的窗口中，可 以通过拖动滚动条来调节共享区和加密区的大小。 调整大小 这里你还可以直接通过输入具体的数值来设置 共享区和加密区的大小。勾选“Split space evenly”则 表示共享区和加密区的空间平分。下面的两个选项 “Secure Zone only”和“Public Zone only”分别表示 全部设置为加密区和全部为共享区。 操作提示 设置完空间的大小后，在下面的输入框输入密 增刊 POPULAR COMPUTER WEEK 204 增刊 POPULAR COMPUTER WEEK[ [ 码，然后点击“Apply”按钮，与加密整个U盘的提示 相同，这时也会提示你软件要格式化U盘中的数据。 操作完毕后，将U盘重新连接到电脑上，这 时，我们会发现系统中出现了两个移动盘符，名为 “USB Data”的是共享区，允许其他人进行查看， 而“LockitEasy”的分区则为加密区，其中仍然只有 一个LockitEasy.exe文件，要打开加密分区，与前面 的方法相同，运行该软件，输入正确的密码，然后 登录即可。 移动盘符 3.密码解除 如果不想对U盘加密了，我们可以借助这个 软件来实现。在加密方式选择窗口中，选择“No password Protection for now(Public Zone only)”，然后 点击“Next”按钮，这样，软件将会删除隐藏的加 密区以及U盘中的全部数据，同样要进行格式化， 此后，U盘被还原成未加密时的状态了。 USB端口监控 除了通过对U盘本身进行各种加密、防止窃 取、免疫病毒等操作外，我们还可以对USB移动设 备的源头“USB端口”进行监控，从而随意控制 USB存储设备的读写权限，甚至可以做到只让自己 使用USB端口，而禁止他人使用。USB安全存储专 家就能满足我们的这个需求。 1.设置U盘为只读 运行USB安全存储专家，点击工具栏上的“登 录”按钮，软件初始密码为111111，输入后直接点 击“确定”按钮便可进入软件设置。为防止别人随 意更改USB移动存储设备访问状态，可以点击“修 改密码”按钮，设置好你的新密码。 接下来点击左侧任务栏的“安全设置”，在打 开窗口中，在默认USB读写模式中，通过下拉菜单 选择“阻止”或者是“只读”，如果选择“只读” 选项，这样插入到此计算机上的USB移动存储设备 便只能读取而不能写入数据了，别人想通过U盘从 你电脑上转移文件就不现实了。当然，此处还可以 进行USB设备的其它相关设定，这里不再介绍。 软件主界面 设置读写模式 2.别人的U盘我不认 经过上面的设置，可以让所有的USB设备只 读，但是这样一来，势必影响我们的操作，因为有 的时候可能会用U盘拷贝文件，而每次都要在软件 中进行更改非常繁琐。借助这款软件，我们可以实 现只识别自己的U盘，而不认其他U盘，该软件通过 提取安全标识的方式来进行辨识。 首先将需要授权访问本机的USB存储设备与本 机正确连接，然后点击任务栏的“高级安全设置” 选项并点击，这时可以在此设置容量、设备名称 等信息，选择此设备，并点击“写入USSE安全标 识”，完成后，再次点击“添加选定的标识到列表 中”，这里你可以设置单独对这个设备放行。 实际上，提取设备的安全标识就类似于指纹识 别，对于没有指纹的USB存储设备设置可以设置为 “完全阻止”，这样，其它的移动设备既不能读也 不能写，从而增强了你电脑的安全性。 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 205POPULAR COMPUTER WEEK USB访问权限设置 在很多网吧，USB端口是被严格禁止使用的，其中一个目的就为了避免U盘病毒感染。如果你很少 使用USB设备，或者不希望别人在你的电脑上使用USB设备，你也可以动手设置USB设备的访问权限。 禁止使用USB设备 如果条件允许，那么可以使用如下两种方法直 接禁用USB设备。这样，也可以彻底解决优盘传播 病毒的问题。 1.禁止安装USB设备的驱动程序 要想不让某个用户环境自行安装USB设备的驱 动程序，例如要禁止zhong这个用户使用USB设备的 话，需要进行如下设置： 首先，在Windows的资源管理器中进入“C:\ WINDOWS\inf”文件夹，找到并选中名为“Usbstor. pnf”的文件，单击鼠标右键并在弹出的菜单中选择 “属性”。 接着，在打开的属性窗口中单击“安全”选项 卡，在“组或用户名称”框中选中“zhong”账户， 并在“zhong的权限”列表中选中“完全控制”下面 的“拒绝”复选框。 设置权限 完成了以上设置后，zhong这个用户环境就无法 在USB设备连接到电脑后，自动安装USB设备的驱 动程序了，这样就达到了禁用的目的。 2.禁用USB存储设备 通过执行如下操作，也可以实现USB存储设备 的禁用。 首先，在“运行”栏中使用命令“Regedit”打 开“注册表编辑器”窗口。 接着，依次展开并定位到如下子项： HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\USBSTOR 双击右侧窗格中的“Start”值，将其属性内容 修改为“4”并重新启动Windows XP后，即使用户 将USB设备连接到电脑上，也无法进行正常访问， 从而达到了禁用USB设备的目的。 在Windows XP SP2中，可以在注册表的“HKEY _LOCAL_MACHINE\System\CurrentControlSet\ Control\StorageDevicePolicies”分支下，通过添加 一个属性内容为“1”、名为“Write- Protect”的 DWORD值，可以把USB设备设置为只读类型。 操作提示 如果是Vista用户，那么只需依次执行如下操 作，即可禁用USB设备： 首先，使用“Gpedit.msc”命令打开“组策 略”工具。 接着，依次展开“计算机配置”→“管理模 板”→“系统”→“可移动存储访问”，并在右 侧的窗格中选择“所有可移动存储类：拒绝所有权 限”项。 选择分支 在双击此项目后，在弹出的如图所示属性窗口 中选择“已启用”项。 增刊 POPULAR COMPUTER WEEK 206 增刊 POPULAR COMPUTER WEEK[ [ 属性设置 在单击“确定”按钮后，双击已经安装好的 “可移动磁盘”，就会出现如图所示的错误。 错误提示 设置可移动存储设备的权限 在可移动存储设备的属性窗口中，一般只能 进行“共享”权限的设置，如果要设置“安全”权 限，则需要进行如下操作： 首先，在“运行”栏中使用命令“Ntmsmgr. msc”打开“可移动存储”管理工具窗口。 接着，在左侧的“库”列表中选择任一个可移 动存储设备并单击鼠标右键，在弹出的快捷菜单中 选择“属性”。 选择可移动存储的属性 在弹出如图所示的属性窗口中，在“安全”选 项卡中就可以进行安全权限的设置了。 设置安全权限 此外，在“运行”栏中使用命令“Ntmsmgr. msc”可以打开“可移动存储”管理窗口，如果使 用命令“Ntmsoprq.msc”，则可以打开“可移动存 储管理员操作请求”窗口。 可移动存储的两大工具 通过这个工具，我们可以对系统中的可移动存 储设备进行深入级的管理。限于篇幅，就不再细述 这个工具的使用方法了，有兴趣的读者可以阅读一 下此工具的帮助文件。 最后，要提醒读者们如果遇到了使用工具、命 令等方法都无法删除的病毒文件，那么，可以尝试 使用“夺取所有权”的方法获得这个删除权限。在 Windows XP及以上版本中，Administrators组的全部 成员都拥有“取得所有者身份”（Take Ownership） 的权利，也就是管理员组的成员都拥有可以从其他 账户手中“夺取”其身份的权利，比方说受限账户 shyzhong建立了一个DOC目录，并只赋予自己拥有 读取权利。 这种表面上看起来，连Administrators组成员也 无法访问权限设置，实际上，Administrators组的全 部成员都可以通过“夺取所有权”的方法获得这 个权限。要实现这项操作，需要先依次单击“开 始”→“设置”→“控制面板”→“文件夹选项” 菜单。在弹出的“文件夹选项”窗口中，清空“使 用简单共享（推荐）”项。 多管齐下，移动存储设备安全“高枕无忧” NO.13 增刊[ [ 207POPULAR COMPUTER WEEK 设置共享 通常，我们将建立对象（如文件夹）的人称为 该对象的所有权人，而不论其级别是什么。因为所 有权人是所建对象的拥有者，所以他可以决定除了 自己以外，其他人都不能够访问这个文件夹。要实 现这个目的，以zhiguo文件夹只对zhong账户开放权 限为例，需要执行如下操作： 首先，右键选中并点击“zhiguo”文件夹，在 右键菜单中选择“共享与安全”项。在“安全”选 项卡设置界面中，单击下方的“高级”按钮，如图 所示。 属性 在弹出的对话框中，单击清空“从父项继承那 些可以应用到子对象的权限项目，包括那些在此明 确定义的项目”项的选中状态。 在断开当前权限设置与父级权限设置之前的继 承关系后，在随即弹出的“安全”对话框中，单击 “删除”按钮切断所有继承的NTFS权限。 清空选项 提示框 最后，单击“添加”按钮选择一个账户（如 zhong），并为此账户设置具有完全控制权限即可。 此后，无论是本地登录还是网络登录，除了 zhong账户外，谁也不能对zhiguo文件夹进行访问。 这个时候，如果偏偏别的管理员账户急需对这 个文件夹进行访问该怎么办呢？此时，就需要进行 “夺取所有权”的操作了。 首先，需要检查一下资源的所有者是谁。如 果想查看某个资源（如sony目录）的用户所有权的 话