禁止U盘自动播放，关闭Shell Hardware Detection与锁定MountPoints2有什么区别？

momo0

哪种方法比较好？

如果是防u盘病毒的话
“禁止U盘自动播放”是没用的。。

后面两个有效
具体原理参考
http://bbs.kafan.cn/thread-206247-1-1.html

为了搞清楚这个问题，我们跟踪一下当U盘插入后，系统处理autorun.inf文件的过程。

首先，svchost.exe读取autorun.inf，然后explorer.exe读取autorun.inf，再然后explorer.exe
将autorun.inf里的相关内容写入注册表中MountPoints2这个键值。只要explorer.exe成功写入注册表
，那么这个autorun.inf文件的使命就完成了，U盘里的病毒就等着你去双击U盘了。

那么我们的软件限制策略中，将autorun.inf 设为”不允许的”这一做法在这个过程中起到什么
作用？

很遗憾地告诉你：没有任何作用。

因为这个软件限制策略没有防止autorun.inf被读取，也没有防止explorer.exe写入注册表，所以
说，没有任何作用。真要说起到什么作用，那只是禁止autorun.inf文件被“打开”而已。（参考
下面的“注”）

针对autorun.inf而设软件限制策略，实际上是徒劳之举。（这点偶也是最近才发现）
要真正有效防范U盘病毒，还得从禁止U盘里的程序运行来着手

可以写规则如下：
?:\*.* “不允许的”
这样就禁止了各盘根目录下的程序的运行。当然还可以把 ? 改为实际的U盘盘符，或者将*.* 改
成 * ，即 盘符:\* ，这样可以完全禁止程序从U盘里启动。


注：
1. 软件限制策略只对“指派的文件类型”列表中的格式起效。
2. 软件限制策略的“不允许的”设置，实际上是在禁止“该文件不被调用或打开”，相似于AD中的阻止
运行程序，不包含FD的读取、创建、修改、删除等操作。
3. 在软件限制策略中，通配符 * 和 ** 是等效的
4. 不要怀疑前三点，它们是对的


另外还有一些流传的方法，实质上也不能完全防止Autorun病毒的运行。

1.禁止svchost.exe读取autorun.inf。
因为explorer.exe也会读取autorun.inf，而且写入注册表的正是explorer.exe，所以此方法无效。

2.关闭自动播放功能。
建议各位看看此贴:  对《澄清现在流传的对自动播放的误解》的补充说明
http://bbs.kafan.cn/viewthread.p ... 4%B6%AF%B2%A5%B7%C5
该帖说明，关闭自动播放功能并不能防止病毒利用autorun来实现启动，“这个实验证明靠组策略
中关闭自动播放来预防U盘毒是完全没有用的（上面这个Autorun.inf已经烂大街了）”
自动播放（Autoplay）和自动运行（autorun）并不是一回事。
不过我们可以通过关闭Shell Hardware Detection服务同时把自动播放和自动运行取消

实际可行的方法：
1. 禁止explorer.exe读取autorun.inf （HIPS之FD）

2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项
，即：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者将整个MountPoints2项封住，禁止写入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
（注册表权限、HIPS之RD）

3. 禁止U盘的程序启动 （软件限制策略、HIPS之AD）

4. 用沙盘限制   （DW的非信任、SBie的强制运行等等）

5. 自定义有害文件：autorun.inf （一些杀软可以做到，例如咖啡8.5i）

6. 修改shell32.dll，更改autorun.inf的打开方式

7. 关闭Shell Hardware Detection服务

change_018

嗯 气流的那个帖子已经说的很详细了
不过还是用策略限制比较好 也就是根目录禁运

momo0

“关闭Shell Hardware Detection与锁定MountPoints2”是方法，而“禁止U盘自动播放”是要达到的效果……

我想知道，两种方法有什么区别？关闭Shell Hardware Detection后，有没有什么副作用？

peter1123

其实。。。。
微软专门提供了补丁解决此问题
所以
LZ可以完全忽视这2个方法了

http://bbs.kafan.cn/thread-554605-1-1.html

PS：在没有微软的补丁之前，MountPoints2这个办法才是可行的

l.i.e

其实。。。。
微软专门提供了补丁解决此问题
所以
LZ可以完全忽视这2个方法了



PS：在没有微软的补 ...
peter1123 发表于 2010-1-13 09:41

    这个比较不错

纯官方

momo0

哦

其实。。。。
微软专门提供了补丁解决此问题
所以
LZ可以完全忽视这2个方法了



PS：在没有微软的补 ...
peter1123 发表于 2010-1-13 09:41

这个补丁双击盘符还是会自动运行吧！

peter1123

除了光盘的autorun.inf  
其他的都不会了

穿越星空

　　锁定MountPoints2才是最可靠的。