对小邪邪规则的一点补充

llydmissile

这么长时间用的一直是置顶的小邪邪的加强版规则，没发现什么问题。但是前天发现了这个规则的一个缺陷。下面具体说下。
这是一个autorun.inf的关键内容：

1. shelLExECUte=RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

复制代码

正是这种名叫conflicker的U盘病毒过了加强版规则。原因很简单，规则完全信任了rundll32.exe，以至于它加载危险路径上的文件，也不会阻止。类似的还有svchost.exe。

下面我们编写一条规则防住这种U盘病毒。
我的U盘盘符一般是J，所以编写FD规则如下，见图：


只要阻止rundll32.exe和svchost.exe访问危险位置的文件就可以了。
如果有常用U盘盘符有多个，编写多个类似规则，修改下路径就可以了。
测试表明有效：

2009-4-29    17:53:58    已由访问保护规则禁止     ****************    C:\WINDOWS\system32\rundll32.exe    J:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx    用户定义的规则:新规则 禁止U盘非可执行文件病毒1    已阻止的操作: 读取

欢迎大家提出意见

idle0206

咖啡小白报到!
学习了

[ 本帖最后由 idle0206 于 2009-4-30 09:27 编辑 ]

tetris

只要阻止rundll32.exe和svchost.exe访问危险位置的文件就可以了。

rundll32和svchost是出于什么理由去访问危险位置的？

直接组策略禁止autorun行不行？

[ 本帖最后由 tetris 于 2009-4-29 19:51 编辑 ]

lujunji1987

可以直接禁止  *    执行  U:\**其中U为U盘盘符，这样就可以了，U盘病毒就不能执行了楼主的方法也有道理
楼上的可以去看看气流的帖子那个autorun.inf是不确切的，不行的

suse123

原帖由 lujunji1987 于 2009-4-29 20:00 发表
可以直接禁止  *    执行  U:\**其中U为U盘盘符，这样就可以了，U盘病毒就不能执行了楼主的方法也有道理
楼上的可以去看看气流的帖子那个autorun.inf是不确切的，不行的

嗯，直接组策略，彻底……

jacksonwin

图怎么就挂了 看不到啊 麻烦补图 谢谢

key_boy

学习了~~~

llydmissile

可是我想，如果不禁止读取的话，病毒总是有机可乘。。。

aotian16

支持你

lujunji1987

禁止读取的话文档也打不开了，个人觉得没多大必要，呵呵，也只有vbs之类的需要防读取