渗透测试

本文目录一览：

• 1、u盘中了病毒是什么样的，从那里可以看出来
• 2、什么是U盘病毒
• 3、U盘中有木马怎么办？
• 4、U盘病毒含义及如何防治

u盘中了病毒是什么样的，从那里可以看出来

u盘病毒是一种用u盘作为传播媒介的一类病毒,此类病毒多是在u盘根目录下建立一个autorun.inf文件作为启动病毒的一个途径,当双击驱动器后,系统就会自动加载autorun.inf指向的文件(病毒).中了此类病毒,多会在自己的硬盘上面建立u盘上病毒的副本+autorun.inf.现时还有更新的病毒已经不用autorun.inf,但此种方式还是主要,要清除,当然就是要清除auturun.inf和它指向的病毒文件,由于这些病毒都是系统文件属性的,所以你要在文件夹选项中把隐藏系统文件去勾,然后再用专业的杀毒软件清理一下就可以了

什么是U盘病毒

U盘病毒

U盘病毒顾名思义就是通过U盘传播的病毒。自从发现U盘的autorun.inf漏洞之后，U盘病毒的数量与日俱增。

攻击原理：

病毒首先向U盘写入病毒程序，然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序，那么Window就会运行这个程序，引发病毒。一般病毒还会检测插入的U盘，并对其实行上述操作，导致一个新的病毒U盘的诞生。

病毒程序的隐藏方式：

自然，病毒程序不可能明目张胆的出现，一般都是巧妙存在在U盘中。下面总结了一些方式，仅供参考：

1） 作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。但这也是比较初级的。现在的病毒一般不会采用这种方式。

2） 伪装成其他文件。由于一般人们不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。

3） 藏于系统文件夹中。虽然感觉与第一种方式相同，但是不然。这里的系统文件夹往往都具有迷惑性，如文件夹名是回收站的名字。

4） 运用Window的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开，系统提示不存在路径。其实这个文件夹的真正名字是 runauto...\。

以auto为例 rose 和host一样处理。

切记 这个方法只适合你发现病毒早 中的不深。。

手工清理方法总结：

1进安全模式。开机启动进画面时按下F8 可以选择进入.

2 运行下输入``regedit`` 进注册表后/ 在ROOT根目录下

进DRIVE /把SHELL下所有键值删除。技巧:搜索 SHELL 看到Autorun全删除。

3 然后就是清理工作。在盘的文件夹设置选项下 打开隐藏。再删除Autorun产生的隐藏文件。

如果中毒比较严重了。又懒得使用软件那使用下面方法

新建一个文本文档，并将下面的代码复制其中。复制完毕后点击左上角的“文件－另存为”在下面的文件名那里将该文档的名称“新建 文本文档.txt”改为“killer.bat”，保存完毕后双击运行即可。

＝＝＝＝＝复制下面的代码，不要复制我＝＝＝＝＝＝

@ echo off

@echo 本程式专杀copy.exe、host.exe、rose.exe和RavMonE.exe病毒，在杀毒之前请确认wf.reg文件与本程式在同一个目录下。

@ECHO.

@echo 病毒症状：双击盘符不能正常打开，在盘符上单击右键，出现的菜单第一项为“自动播放”。

@ECHO.

@echo 本程式能够查杀所有盘符内的病毒，包括软驱。

@ECHO.

@Pause

@ECHO.

@ECHO.

@ECHO.

@echo -------------正在停止病毒进程...-------------

@taskkill /im temp1.exe /f /t

@taskkill /im temp2.exe /t /f

@echo -------------停止病毒进程成功！-------------

@ECHO.

@echo -------------正在删除关键性病毒文件...-------------

@ del c:\windows\xcopy.exe /a /f

@ del c:\windows\svchost.exe /a /f

@ del c:\windows\system32\temp1.exe /a /f

@ del c:\windows\system32\temp2.exe /a /f

@ del d:\windows\xcopy.exe /a /f

@ del d:\windows\svchost.exe /a /f

@ del d:\windows\system32\temp1.exe /a /f

@ del d:\windows\system32\temp2.exe /a /f

@ del e:\windows\xcopy.exe /a /f

@ del e:\windows\svchost.exe /a /f

@ del e:\windows\system32\temp1.exe /a /f

@ del e:\windows\system32\temp2.exe /a /f

@ del f:\windows\xcopy.exe /a /f

@ del f:\windows\svchost.exe /a /f

@ del f:\windows\system32\temp1.exe /a /f

@ del f:\windows\system32\temp2.exe /a /f

@ del g:\windows\xcopy.exe /a /f

@ del g:\windows\svchost.exe /a /f

@ del g:\windows\system32\temp1.exe /a /f

@ del g:\windows\system32\temp2.exe /a /f

@echo -------------关键性病毒文件删除成功！-------------

@echo.

@echo -------------正在删除病毒文件...-------------

@ del a:\autorun.inf /a /f

@ del a:\copy.exe /a /f

@ del a:\host.exe /a /f

@ del a:\rose.exe /a /f

@ del b:\autorun.inf /a /f

@ del b:\copy.exe /a /f

@ del b:\host.exe /a /f

@ del b:\rose.exe /a /f

@ del c:\autorun.inf /a /f

@ del c:\copy.exe /a /f

@ del c:\host.exe /a /f

@ del c:\rose.exe /a /f

@ del d:\autorun.inf /a /f

@ del d:\copy.exe /a /f

@ del d:\host.exe /a /f

@ del d:\rose.exe /a /f

@ del e:\autorun.inf /a /f

@ del e:\copy.exe /a /f

@ del e:\host.exe /a /f

@ del e:\rose.exe /a /f

@ del f:\autorun.inf /a /f

@ del f:\copy.exe /a /f

@ del f:\host.exe /a /f

@ del f:\rose.exe /a /f

@ del g:\autorun.inf /a /f

@ del g:\copy.exe /a /f

@ del g:\host.exe /a /f

@ del g:\rose.exe /a /f

@ del h:\autorun.inf /a /f

@ del h:\copy.exe /a /f

@ del h:\host.exe /a /f

@ del h:\rose.exe /a /f

@ del i:\autorun.inf /a /f

@ del i:\copy.exe /a /f

@ del i:\host.exe /a /f

@ del i:\rose.exe /a /f

@ del j:\autorun.inf /a /f

@ del j:\copy.exe /a /f

@ del j:\host.exe /a /f

@ del j:\rose.exe /a /f

@ del k:\autorun.inf /a /f

@ del k:\copy.exe /a /f

@ del k:\host.exe /a /f

@ del k:\rose.exe /a /f

@ del l:\autorun.inf /a /f

@ del l:\copy.exe /a /f

@ del l:\host.exe /a /f

@ del l:\rose.exe /a /f

@ del m:\autorun.inf /a /f

@ del m:\copy.exe /a /f

@ del m:\host.exe /a /f

@ del m:\rose.exe /a /f

@ del n:\autorun.inf /a /f

@ del n:\copy.exe /a /f

@ del n:\host.exe /a /f

@ del n:\rose.exe /a /f

@ del \autorun.inf /a /f

@ del \copy.exe /a /f

@ del \host.exe /a /f

@ del \rose.exe /a /f

@ del p:\autorun.inf /a /f

@ del p:\copy.exe /a /f

@ del p:\host.exe /a /f

@ del p:\rose.exe /a /f

@ del q:\autorun.inf /a /f

@ del q:\copy.exe /a /f

@ del q:\host.exe /a /f

@ del q:\rose.exe /a /f

@ del r:\autorun.inf /a /f

@ del r:\copy.exe /a /f

@ del r:\host.exe /a /f

@ del r:\rose.exe /a /f

@ del s:\autorun.inf /a /f

@ del s:\copy.exe /a /f

@ del s:\host.exe /a /f

@ del s:\rose.exe /a /f

@ del t:\autorun.inf /a /f

@ del t:\copy.exe /a /f

@ del t:\host.exe /a /f

@ del t:\rose.exe /a /f

@ del u:\autorun.inf /a /f

@ del u:\copy.exe /a /f

@ del u:\host.exe /a /f

@ del u:\rose.exe /a /f

@ del v:\autorun.inf /a /f

@ del v:\copy.exe /a /f

@ del v:\host.exe /a /f

@ del v:\rose.exe /a /f

@ del w:\autorun.inf /a /f

@ del w:\copy.exe /a /f

@ del w:\host.exe /a /f

@ del w:\rose.exe /a /f

@ del x:\autorun.inf /a /f

@ del x:\copy.exe /a /f

@ del x:\host.exe /a /f

@ del x:\rose.exe /a /f

@ del y:\autorun.inf /a /f

@ del y:\copy.exe /a /f

@ del y:\host.exe /a /f

@ del y:\rose.exe /a /f

@ del z:\autorun.inf /a /f

@ del z:\copy.exe /a /f

@ del z:\host.exe /a /f

@ del z:\rose.exe /a /f

@echo -------------病毒文件删除成功！-------------

@ECHO.

@echo -------------正在修复注册表...-------------

@regedit /s wf.reg

@echo -------------注册表修复成功！-------------

@ECHO.

@echo =============病毒清除成功=============

@ECHO.

SET /p c=重新启动计算机后才会生效，是否重新启动？[y,n]

if "%c%"=="y" shutdown /r /t 0

if "%c%"=="Y" shutdown /r /t 0

＝＝＝＝＝复制上面的代码，不要复制我＝＝＝＝＝＝

2

新建一个文本文档，并将下面的代码复制其中。复制完毕后点击左上角的“文件－另存为”在下面的文件名那里将该文档的名称“新建 文本文档.txt”改为“wf.reg”

＝＝＝＝＝复制下面的代码，不要复制我＝＝＝＝＝＝

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"load"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RavAV"=-

＝＝＝＝＝复制上面的代码，不要复制我＝＝＝＝＝＝

上述的病毒都会运用到系统的自动播放功能，当双击打开磁盘时，就会激活并运行病毒。而且上述的Copy病毒主要是利用U盘传播，而人们普遍都喜欢开着系统的自动播放功能，这样，在U盘一插入电脑时就会自动打开U盘内的内容，这虽然方便了操作，但却成了病毒传播的重要手段！！

下面就来关掉系统的自动播放功能

1

开始－运行，输入下面的命令 gpedit.msc

2

用户配置－管理模板－系统－关闭自动播放－启用。

U盘专杀工具推荐：

USBCleaner6.0

USBKiller2.3

U盘中有木马怎么办？

U盘中有木马病毒，一定不要直接双击打开，根据以下步骤可以清除病毒，并通过新建【Autorun.inf】文件可以达到预防病毒的目的：

工具材料：中木马病毒的U盘一只，安装有360杀毒软件的电脑一台（品牌随意）

1、双击打开桌面上的“我的电脑”图标。

2、选中“我的U盘”后，右击鼠标。

3、选中“使用360进行木马云查杀”，自动进行杀毒。

4、等待检测完成后，根据软件提示，对病毒做出处理，点击“完成”即可。

5、在U盘根目录文件下，创建名为【Autorun.inf】的文件夹。

6、右键，把自己创建的【Autorun.inf】的文件夹设置为只读、隐藏、系统文件属性，点击确定应用即可。

U盘病毒含义及如何防治

病毒是我们日常生活中较为常见常听到的，随着科技的发展，U盘病毒的数量种类也日益增加。那么到底什么是U盘病毒呢?此特殊的病毒我们在日常中应该如何进行防范呢?下面我就为大家详细讲述U盘病毒含义及防治的方案吧。

什么是U盘病毒?

U盘病毒顾名思义就是通过U盘传播的病毒。U盘病毒又称Autorun病毒，是通过AutoRun.inf文件使用[1]户所有的硬盘完全共享或中木马的病毒;能通过产生AutoRun.inf进行传播的病毒，都可以称为U盘病毒。随着U盘、移动硬盘、存储卡等移动存储设备的普及，U盘病毒也开始泛滥。病毒首先向U盘写入病毒程序，然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序，那么Window就会运行这个程序，引发病毒。一般病毒还会检测插入的U盘，并对其实行上述操作，导致一个新的病毒U盘的诞生。

U盘要怎样防毒?

第一招.组策略关闭AutoRun功能(适合不熟悉电脑者)

如果你想一次全部禁用Windows XP的自动播放功能，那么请按下述步骤操作：

1、单击“开始→运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口; U盘之家

2、在左窗格的`“本地计算机策略”下，展开“计算机配置→管理模板→系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”;

3、单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭“组策略”窗口。

第二招.注册表关闭AutoRun功能

在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExploer 主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。

双击 “NoDriveTypeAutoRun”，在默认状态下(即你没有禁止过AutoRun功能)，在弹出窗口中可以看到 “NoDriveTypeAutoRun”默认键值为95,00,00,00，附件上传了抓图。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：

设备名称 第几位 值 设备用如下数值表示 设备名称含义

DKIVE_UNKNOWN 0101h 不能识别的设备类型

DRIVE_NO_ROOT_DIR 1002h 没有根目录的驱动器(Drive without root directory)

DRIVE_REMOVABLE 2104h 可移动驱动器(Removable drive)

DRIVE_FIXED 3008h 固定的驱动器(Fixed drive)

DRIVE_REMOTE 4110h 网络驱动器(Network drive)

DRIVE_CDROM 5020h 光驱(CD-ROM)

DRIVE_RAMDISK 6040h RAM磁盘(RAM Disk)

保留 7180h 未指定的驱动器类型

在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行(默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。

第三招.隐藏驱动器法(适合U盘使用频繁者，如打印工作室)

如果上面的方法都不够彻底，还有一招就是把驱动器隐藏了，而用一个批处理文件来打开U盘。

1、打开注册表编辑器，还是进入

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer，新建二进制值“NoDrives”，缺省值是00000000，表示不隐藏任何驱动器。键值由4个字节组成，每个字节的每一位(bit)对应从A到Z的一个盘，当相应位为1时，“我的电脑”中的相应驱动器就被隐藏了。第一个字节代表从A到H的八个盘，即01为A、02 为B、04为C……依此类推，第二个字节代表I到P;第三个字节代表Q到X;第四个字节代表Y和Z。U盘的盘符是接着现有盘符往下推。若你现在已经使用了 C、D、E、F，那么U盘采用G：着盘符，再插入一个U盘就用H：。此时只需将G：和H：隐藏，则插入U盘也不会在“我的电脑”里显示。当然，用注册表编辑器修改注册表操作起来较为复杂，现在有很多专门修改注册表的软件，如WINDOWS优化大师中展开“系统性能优化/系统安全优化/更多设置/选择要隐藏的驱动器”，将要隐藏的盘符前的 "□"里打"√",确定即可。

2、在桌面新建一个文本文件，输入“start (你的盘符):”，如：“start f:”,另存为“进入U盘.bat”，之后就通过双击该批处理文件来打开U盘，不仅可防病毒，使用也很方便。

招五、禁止创建autorun.inf(保护自己的U盘)

在根目录下建立一个文件夹，名字就叫autorun.inf。由于Windows规定在同一目录中，同名的文件和文件夹不能共存，这样病毒就无法创建autorun.ini文件，即使您双击盘符也不会运行病毒。

第四招. 修改权限法

1. 点开始-运行 输入 regedit.exe 回车 2. 打开注册表编辑器后展开项，也是进入

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerMountPoints2] 3. 右键点MountPoints2 选择权限 4. 依次点击“安全中的用户和组”，在下面的权限中都改成拒绝 5. 刷新一遍，此后即使U盘有病毒也不会激活，双击U盘会正常进入U盘。

以上通过对U盘病毒进行详细的讲述，以及我们在日常中该如何更好地防范病毒。相信大家对U盘病毒有了全面的了解，在日常防范中定将能更好地保护U盘安全。