Ghost XP停止服务之后让系统免疫Autorun病毒的技巧

Windows XP是美国微软公司研发的基于X86、X64架构的PC和平板电脑使用的操作系统 , 于2001年8月24日发布RTM版本 , 并于2001年10月25日开始零售 。其名字中“XP”的意思来自英文中的“体验(Experience)” 。该系统的默认桌面背景墙纸是Bliss , 一张BMP格式的照片 。是拍摄的纳帕县郊外的风景 , 照片中包括了高低起伏的绿山及有层积云和卷云的蓝天 。 
微软已经宣布在2014年4月8日Ghost XP将停止一切服务 , 对于这个问题很多用户都在考虑停止服务之后windows Xp系统是否变得更加脆弱 , 会不会变得让病毒入侵 。其实答案是肯定的 , 只是我们平常该如何更好的更安全去使用Ghost XP系统 , 我们也有对Ghost XP系统免疫Autorun病毒也要有事准备 , 来看看豆豆教大家对系统免疫病毒各方面基本防护方法 。

Ghost XP停止服务之后让系统免疫Autorun病毒的技巧

文章插图
目前 , U盘病毒的情况非常严重 , 几乎所有带病毒的U盘 , 根目录里都有一个autorun.inf 。右键菜单多了“自动播放”、“Open”、“Browser”等项目 。由于我们习惯用双击来打开磁盘 , 但现在我们双击 , 通常不是打开U盘 , 而是让autorun.inf里所设的程序自动播放 。所以对于很多人来说相当麻烦 。其实Autorun.inf被病毒利用一般有4种方式OPEN=filename.exe自动运行 。但是对于很多XPSP2用户和Vista用户 , Autorun已经变成了AutoPlay , 不会自动运行它 , 会弹出窗口说要你干什么 。shellAutocommand=filename.exeshell=Auto修改上下文菜单 。把默认项改为病毒的启动项 。但此时只要用户在图标上点击右键 , 马上发现破绽 。聪明点的病毒会改默认项的名字 , 但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文 , 你会认为是什么呢?shellexecute=filename.exeShellExecute= 。。。。只要调用ShellExecuteA/W函数试图打开U盘根目录 , 病毒就会自动运行 。这种是对付那些用Win+R输盘符开盘的人 。shellopen=打开(&O)shellopenCommand=filename.EXEshellopenDefault=1shellexplore=资源管理器(&X)这种迷惑性较大 , 是新出现的一种形式 。右键菜单一眼也看不出问题 , 但是在非中文的系统下 , 原形毕露 。突然出现的乱码、中文当然难逃法眼 。面对这种危险 , 尤其是第四种 , 仅仅依靠Explorer本身 , 已经很难判断可移动磁盘是否已经中毒 。而在这种情况下 , 一部分人也根据自己的经验 , 做出了“免疫”工具 。免疫的办法 , 对可移动磁盘和硬盘1、同名目录目录在Windows下是一种特殊的文件 , 而两个同一目录下的文件不能同名 。于是 , 新建一个目录“autorun.inf”在可移动磁盘的根目录 , 可以防止早期未考虑这种情况存在的病毒创建autorun.inf , 减少传播成功的概率 。2、autorun.inf下的非法文件名目录有些病毒加入了容错处理代码 , 在生成autorun.inf之前先试图删除autorun.inf目录 。在Windows NT Win32子系统下 , 诸如“filename.”这样的目录名是允许存在的 , 但是为了保持和DOS/Win9x的8.3文件系统的兼容性( 。后为空非法) , 直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的 , 会返回错误 。但是 , 删除目录必须要逐级删除其下的整个树形结构 , 因此必须查询其下每个子目录的内容 。因此 , 在“autorun.inf”目录建立一个此类特殊目录“MDx:autorun.infyksoft. 。” , 可以防止autorun.inf目录轻易被删除 。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的 。3、NTFS权限控制病毒制造者也是黑客 , 知道Windows的这几个可算是Bug的功能 。他们可以做一个程序 , 扫描目录时发现某目录名最后一个字节为‘ 。’则通过访问“dirfullname. 。”、或者通过利用Windows NT的Native API中的文件系统函数直接插手 , 删除该特殊目录 。因此 , 基于更低层的文件系统权限控制的办法出现了 。将U盘、移动硬盘格式化为NTFS文件系统 , 创建Autorun.inf目录 , 设置该目录对任何用户都没有任何权限 , 病毒不仅无法删除 , 甚至无法列出该目录内容 。但是 , 该办法不适合于音乐播放器之类通常不支持NTFS的设备 。这三步可谓是一步比一步精彩 。但是 , 最大的问题不在怎么防止生成这个autorun.inf上 , 而是系统本身、Explorer的脆弱性 。病毒作者很快就会做出更强大的方案 。这是我的预想 。1、结合ANI漏洞 , 在autorun.inf里将icon设成一个ANI漏洞的Exploit文件(经过我的实验 , 发现Windows有一种特性 , 就算把ani扩展名改为ico , 还是可以解析出图标) , 这样只要一打开“我的电脑” , 未打补丁、没有杀毒软件的系统就会直接遭殃 。这样的东西还可以放到网上的各种资源ISO中 。2、提高病毒的整体编程水平 , 综合以上各种反免疫方式 , 另外利用多数国内windows用户常以高权限登录系统的特点 , 自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限 , 击破这最坚固的堡垒 。基本防护方法面对如此恐怖的东西 , 对付的办法已经不多了 。但是它们其实是一切Windows安全问题的基本解决方案:一定要将系统和安全软件保持在最新状态 。即使是盗版用户 , 微软也不会不给重要级别的安全更新 , 也从来没有过在重要级别安全更新中加入反盗版程序的记录 。尽量以受限制的账户使用系统和上网 , 这样可以减少病毒进入系统的概率 。Vista之所以加入UAC功能 , 正是因为它能够使用户在尽量方便的同时 , 享受到受限用户的安全 。某种程度上 , 可以说QQ、IE和某些装备能换真钱、什么都要真钱的网络游戏是导致大量病毒木马编写者出现的“万恶之源” 。通过IE漏洞 , 制作网页木马 , 安装盗号程序 , 盗取账号 , 获得人民币 。这条黑色产业链中 , IE其实是最容易剪断的一环 。珍爱系统 , 系统一定要更新 , 要有能防止网页木马的杀毒软件 , 用IE不要乱上各种小型下载站、色情网站等高危站点 , 如果有可能 , 使用非IE引擎的浏览器 。恶意捆绑软件 , 现在越来越和病毒木马接近 。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己(如SONY XCP事件) , 而一些恶意软件本身就是一个病毒木马的下载器 。因此 , 不要让流氓接近你的机器 。Ghost XP系统退出这个舞台停止服务之后相信系统也会漏洞百出 , 只是我们该如何更好的防范系统的安全 , 通过教程我们对系统的安全意识也是有所提高 。
Ghost XP停止服务之后让系统免疫Autorun病毒的技巧

文章插图
【Ghost XP停止服务之后让系统免疫Autorun病毒的技巧】 

    推荐阅读