批处理免疫病毒辅助工具的讨论

bluewing009

RT ，现在对于用批处理免疫病毒 一般做法是用ntfs的访问控制cacls 对已知的病毒程序名进行处理
或者是利用畸形文件夹入..\ 使病毒体无法建立
甚至还用过IEFO劫持病毒体

这些做法大多有效，但是实际使用这些免疫的人很少....

纵然现在固定文件名的病毒很少，这种免疫已经很难奏效（除了固定名+数字 这种随机方式仍能免疫）....
  批处理如何走在病毒前面 ，批处理病毒免疫是否该作为鸡肋？ 保留还是扔掉？

   这个帖子希望大家能讨论一下 批处理辅助 在病毒免疫方向上的应用.....

肥皂

鸡肋

liulangzhecgr

用一天后删除啦！原因很简单：病毒多。。。免疫文件也多，时间长啦可能很麻烦！。。。
我想手杀病毒的人是不愿看到免疫文件夹以及文件名不正常的。。。免疫文件多自乱阵脚！
判断上会出现错误！。。。误以为机子中毒等！

08014202

我是小白  来学习   看高手门交流

wo1234

不太喜欢这种免疫方式。
但可以用批处理做一些权限设置来实现FD和RD再配合组策略的软件限制策略相当于AD，这样基本上就实现了3D防护。缺点就是不够灵活，如果能用批处理实现灵活的管理这些，那就一个很不错的东东了。
这个你可以参考一下，HIPS区的“瓦斯曲”的帖子。我给你找一下。

瓦斯曲-系统文件＆注册表保护

冰轮

回复 1楼 bluewing009  的帖子
这是我做的批处理U盘病毒尸体处理工具http://bbs.kafan.cn/forum.php?mo ... peid%26typeid%3D147
从推广以后的应用反馈情况来看，免疫工具仍然有用武之地。
U盘病毒传播用的主程序可以不予免疫，因为病毒可以随时改名。但是AutoRun.inf文件必须免疫。因为这涉及到在开启自动播放功能的系统中病毒是否可以被自动触发的问题。
批处理严重依赖于系统命令，如果被病毒抢先运行，肯定无法与之抗衡，不信的我可以提供我收集到的病毒样本。
免疫文件夹Autorun.inf仍然有存在价值。但是文件夹下不可以是加点畸形文件，因为不管是什么名字的加点畸形文件，都可以用 rd /s /q AutoRun.inf   这条命令干掉。
我的批处理免疫文件夹用的是系统保留字aux,prn等作为子文件夹，这种免疫文件夹必须先删掉子文件夹，子文件夹的删除需要明确知道子文件夹的名称，到现在还没有被大多数病毒拔掉过。
每次我给别人处理u盘病毒尸体，都可以看出病毒试图删除或覆盖免疫文件夹的痕迹，所以，我认为，免疫文件夹还是有必要存在的。

   

bluewing009

回复 6楼 冰轮  的帖子

你采用的免疫仍然可以使用dir等对autorun.inf 文件夹查询就可以获得名称。  的确，批处理有自己的框框（debug也算是无限扩展吧），我们要在这些框框中解决问题

比如你说的带毒的机器，cacls 控制访问 重启后再删除有没有想过？  这个方法可使连一些杀毒软件都能干掉哦的哦~