关于U盘病毒启动方式的求助

qiushenghua

公司需要生产一款录像专用的计算机产品，由于应用软件的要求，使用XP操作系统。
再出于防病毒的需要，计算机将不配备鼠标键盘和USB口，仅保留RJ45网络口电源口以及一个SATA硬盘抽取盒。

用户操作计算机时将使用专用的按键模块，该模块按键信息将通过串口发往主板并交由应用软件处理。

应用软件安装在D盘，主要功能是将视频文件储存在外置盒接入的硬盘中，数据通过网络传入。

数据盘假定是E盘，这是一个不可靠的磁盘（可能存在各种各样的病毒），再假定C、D盘出厂时均为可靠无毒。

如此一来用户将完全没有机会使用鼠标双击E盘，autorun.inf的病毒便无法启动。

想问问常见的U盘病毒还有什么样的启动方式，之前遇到过一个靠在exe目录下放置lpk.dll文件启动的病毒，这样的病毒需要运行U盘中的exe文件方能加载。本方案中E盘只是用于储存数据，用户没有运行E盘内程序的权限，因而可以排除此类病毒感染的可能。

还听说过使用desktop.ini等方式运行的病毒，由于软件中需要选定储存路径，因此需要预览E盘下的路径，不清楚会不会在预览中染毒。

求助各位大能除了上述方式外。U盘病毒还有什么样的感染渠道以便于一一封堵，实在是不想安装还原卡了。

另外网络感染就可以完全排除，与网络口相连的设备是绝对可靠的嵌入式设备。

100lj

前段时间lpk.dll病毒很厉害啊，搞得电脑里到处都是lpk.dll文件，包括不加密的压缩文件里边也是。

恋爱的夏娜

彻底物理隔绝网络，另外严格管理人员使用，我想再怎么厉害的U盘病毒也进不来。

天月来了

只有采取禁运的模式，否则没好办法，全网实行全局禁运

zhousulin5

有个简单的方法可以避免大多数类似desktop.ini和autorun.inf的威胁，就是禁止启动系统自身的explorer，换用第三方窗口管理工具比如blackbox。至于lpk.dll这类，打补丁是最高效和方便的，现在还在被lpk.dll困扰的都是没有及时打补丁的。

qiushenghua

恋爱的夏娜 发表于 2013-3-17 19:28
彻底物理隔绝网络，另外严格管理人员使用，我想再怎么厉害的U盘病毒也进不来。

先谢谢你的建议。网络是专用的，不存在风险。严格管理人员的使用？我想说的是使用者是没有鼠标和键盘的，仅有少数的几个按键。只不过可能会调用到系统的explorer预览文件。
或者是采用直接提取目录而忽略文件的方式应该就不会再感染了吧

qiushenghua

zhousulin5 发表于 2013-3-17 22:15
有个简单的方法可以避免大多数类似desktop.ini和autorun.inf的威胁，就是禁止启动系统自身的explorer，换用 ...

谢谢耐心解答。
机器是专用的，不具备鼠标键盘等输入设备，那么是不是只要控制好应用程序的权限和功能就能完全杜绝U盘病毒了呢？

天月来了

噢，细看了看

你什么都不能接入，仅是通过网络往那E盘塞文件呀

那就没什么顾虑了

尤其是用户没有运行E盘内程序的权限

这就不需要考虑那些了

我只想问你，通过你那所谓的键盘模块，能让E盘的一个*.exe文件打开运行么？

那回车键

如果不能，就没事了

还有你利用那键盘模块打开E盘的某个包含参数的快捷方式的时候，可以执行参数么？

某些文件夹快捷方式病毒，点击快捷方式的时候执行的是当前系统自身目录的系统程序来执行那参数的。

xianghui

没研究过，用虚拟机测试一下很容易得出结果

zhousulin5

qiushenghua 发表于 2013-3-18 16:06
谢谢耐心解答。
机器是专用的，不具备鼠标键盘等输入设备，那么是不是只要控制好应用程序的权限和功能就 ...

如此看来，几乎没有破绽了。
当然，理论上还是没有完全不会被攻破的系统。你可以看下之前的lnk快捷方式病毒，那个与lpk.dll是不同的，lpk.dll要注入与它同目录的进程，而lnk病毒则是去攻击explorer，恶意构造的数据使得explorer在解释lnk的过程中被利用，可以是由explorer创建一个进程（这个在你的情况中无需担心），也可以是在explorer中插入一个动态库，这有可能很让人头痛，因为动态库可以是任意的后缀名字，并且在用户权限中通常情况下动态库是不受控制的。