假文件免疫无效了，还有没有更好的办法呢！？

nxbigdaddy · 发表于 2010-1-5 23:40:23

一直以来使用假文件来做U盘的免疫，但是现在发现很多病毒都可以将免疫去掉，无奈，不知道大家有没有什么好的办法。
有就一起讨论一下。

假文件在 fat32下直接使用 rd/s /q x:\autorun.inf 就可以删除
在ntfs下先取消权限，然后使用同 fat32 一样的办法也可以删除，

无奈啊。大家探讨下。

nxbigdaddy · 发表于 2010-1-5 23:41:44

发错地方了，烦请管理员移位。。。。
我不是故意的。

nxbigdaddy · 发表于 2010-1-12 18:34:19

没人理我了

顽固不化 · 发表于 2010-1-12 20:00:24

这属于杀与免杀的战斗，AU3只有看的份

botanycc · 发表于 2010-1-12 20:25:35

我都是用cacls加权限的，碰到过好多U盘病毒，但都没能删除我创建的文件。你怎么就不行了

ceoguang · 发表于 2010-1-13 12:43:50

岐义文件夹呢?或者试试用进程来锁定文件

jycel · 发表于 2010-1-13 15:22:01

本帖最后由 jycel 于 2010-1-13 16:19 编辑

cacls 命令，改了权限就可以删了！推荐使用samlan.dll！
做假病毒文件方法必须是在NTFS格式下，其它格式下都是不启作用的，U盘也可以格式华成NTFS格式，俱体方法可以搜索下！
仅作参考！

pusofalse · 发表于 2010-1-13 16:15:15

本帖最后由 pusofalse 于 2010-1-13 16:23 编辑

设置DACL权限，只允许SYSTEM用户访问，并设置文件所有者为Local Service用户，90%的可能，病毒就不能运行了。
自己的进程调用文件时，用SYSTEM权限运行。以上只限于NTFS文件系统。
如果在其他文件系统下，可以把文件挂接到WINLOGON.EXE这样的系统进程中，只要宿主进程不被结束，文件永远删除不了。
再或者用映像劫持禁止病毒运行。

nxbigdaddy · 发表于 2010-1-13 17:22:15

我遇到过病毒，可以把免疫的autorun.inf 文件夹删除的，很牛啊！

nxbigdaddy · 发表于 2010-1-29 09:26:22

设置DACL权限，只允许SYSTEM用户访问，并设置文件所有者为Local Service用户，90%的可能，病毒就不能运行了 ...
pusofalse 发表于 2010-1-13 16:15

如何挂接呢？

顽固不化 · 发表于 2010-1-29 09:40:47

给文件删除设置个密码。

boyhong · 发表于 2010-1-29 14:59:05

设置DACL权限，只允许SYSTEM用户访问，并设置文件所有者为Local Service用户，90%的可能，病毒就不能运行了 ...
pusofalse 发表于 2010-1-13 16:15

能否有个简单的例子就好了~~~~感谢~~~~

boyhong · 发表于 2010-1-29 15:06:11

已下载七楼的附件。感谢~~~~~~~~

vuivui · 发表于 2010-1-30 12:40:20

试试这个，我自己删除也想老半天：

for %%a in (c d e f g h i j k l m n o p q r s t u) do if exist %%a:\nul if not exist %%a:\autorun.inf\nul (
del /f /q /a %%a:\autorun.inf >nul 2>nul & md %%a:\autorun.inf & md "%%a:\autorun.inf\ ..\" & type nul>\\.\%%a:\autorun.inf\e202~1\aux & attrib +s +h %%a:\autorun.inf
) else (
attrib +h +s %%a:\autorun.inf
)

angelink · 发表于 2010-1-30 14:42:07

本帖最后由 angelink 于 2010-1-30 14:44 编辑

还是建立个autorun.inf的文件夹，然后里边在建立个文件夹，名字随便启，后边加两个点在加个\

FAT32也有效。
例

md c:\windows\system32\drivers\360SelfProtection.sys
attrib +h +r +s c:\windows\system32\drivers\360SelfProtection.sys
md c:\windows\system32\drivers\360SelfProtection.sys\垃圾360..\
md c:\windows\system32\drivers\bfsdrv.sys
attrib +h +r +s c:\windows\system32\drivers\bfsdrv.sys
md c:\windows\system32\drivers\bfsdrv.sys\垃圾360..\
md c:\windows\system32\drivers\bregdrv.sys
attrib +h +r +s c:\windows\system32\drivers\bregdrv.sys
md c:\windows\system32\drivers\bregdrv.sys\垃圾360..\
md c:\windows\system32\drivers\efimon.sys
attrib +h +r +s c:\windows\system32\drivers\efimon.sys
md c:\windows\system32\drivers\efimon.sys\垃圾360..\
md c:\windows\system32\drivers\hookport.sys
attrib +h +r +s c:\windows\system32\drivers\hookport.sys
md c:\windows\system32\drivers\hookport.sys\垃圾360..\
md c:\windows\system32\drivers\qutmdrv.sys
attrib +h +r +s c:\windows\system32\drivers\qutmdrv.sys
md c:\windows\system32\drivers\qutmdrv.sys\垃圾360..\
md c:\windows\system32\drivers\qutmipc.sys
attrib +h +r +s c:\windows\system32\drivers\qutmipc.sys
md c:\windows\system32\drivers\qutmipc.sys\垃圾360..\

		自动登录	找回密码
密码			加入

假文件免疫无效了，还有没有更好的办法呢！？

相关帖子

本帖子中包含更多资源

浏览过的版块