长久以来我一直认为在组策略里 禁止 自动播放后 autorun.inf文件就失效了 显然 这想法是错误的
今天看到一篇文章就是关于自动运行这功能的应用的 整理下 以当参考
做这些测试前 请确定 Shell Hardware Detection服务并没关闭 且H_C_U\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2注册表分支有完全权限
并没其他防护软件 在组策略开启 禁用自动播放后
构造如下autorun.inf文件
[autorun]
OPEN=NOTEPAD.exe
shell\open=打开(&O)
shell\open\Command=NOTEPAD.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=NOTEPAD.exe
icon=game.ico
在系统盘复制一份NOTEPAD.exe到 autorun.inf所在的目录。鼠标打开就自动执行了记事本文件,右键选择打开或者资源管理器都没用。
因为这autorun直接修改了右键菜单。
搜索了下网上资料引用下原帖:http://bbs.duba.net/thread-21812231-1-2.html 很老了07年 囧
为了搞清楚这个问题,我们跟踪一下当U盘插入后,系统处理autorun.inf文件的过程。
首先,svchost.exe读取autorun.inf,然后explorer.exe读取autorun.inf,再然后explorer.exe
将autorun.inf里的相关内容写入注册表中MountPoints2这个键值。只要explorer.exe成功写入注册表
,那么这个autorun.inf文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。
网上一些流传的方法
实质上不能完全防止Autorun病毒的运行
1.禁止svchost.exe读取autorun.inf。
因为explorer.exe也会读取autorun.inf,而且写入注册表的正是explorer.exe,所以此方法无效。
2.关闭自动播放功能。
关闭自动播放功能并不能防止病毒利用autorun来实现启动,“这个实验证明靠组策略
中关闭自动播放来预防U盘毒是完全没有用的(上面这个Autorun.inf已经烂大街了)”
自动播放(Autoplay)和自动运行(autorun)并不是一回事。
不过我们可以通过关闭Shell Hardware Detection服务同时把自动播放和自动运行取消
实际可行的方法:
1. 禁止explorer.exe读取autorun.inf (HIPS之FD)
2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项
,即:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者将整个MountPoints2项封住,禁止写入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(注册表权限、HIPS之RD)
3. 禁止U盘的程序启动 (软件限制策略、HIPS之AD)
4. 用沙盘限制 (DW的非信任、SBie的强制运行等等)
5. 自定义有害文件:autorun.inf (一些杀软可以做到,例如咖啡8.5i)
6. 修改shell32.dll,更改autorun.inf的打开方式
7. 关闭Shell Hardware Detection服务
官方解决方案
打上微软官方出的补丁
WINXP
VISTA
WIN2003
VISTA X64
WIN2008
WIN2008 X64
WIN2003 X64
知识库 (KB) 文章: KB971029
安装这个补丁将把自动播放跟自动运行功能 只作用于DVD&CD驱动器上 U盘测试通过
音频片段:需要 Adobe Flash Player(9 或以上版本)播放音频片段。 点击这里下载最新版本。您需要开启浏览器的 JavaScript 支持。
恩,连续了几日的阴沉天气 昨天新闻播报南方地区又强降温 今天会下雪等情况,今天起来果然天气比以往阴沉的天气更加冷了 如同天气预报中永远不太准确的预报一样 预想中的雪花并没出现 绵绵冷雨倒是一直下着。
这种天气还出去逛街实在是找罪受,恰巧我就是那个喜欢受罪的人。 大街上依然有那种美丽冻人的美女 上身挺厚实 下身超短裙加长毛袜 让我的眼睛流连忘返。 呃 似乎扯远了
前几日估计是奥巴马访华 造成我无法访问博客 而中国其他有些地区又可以访问 让我纳闷好久 自我归咎为RPWT…
人生就是杯具啊
WordPress最近更新频繁 我喜欢让他后台自动更新 造成结果就是评论又需要填邮箱 侧栏tag栏flash显示不了中文了 哎。。 我又要找修改的 郁闷
近期真是劲爆啊 自从10月29日著名的魔兽世界专业论坛NGACN.CC一位舅舅说11月中旬即将开放WLK,而另外一名CY 资深舅舅透露网易近期准备调试服务器性能和一些一线配置器材。
于是乎某部门开始脸面挂不住了
11月2日演出开始
国家新闻出版总署开始逆袭,公开表示网易开服涉嫌违规并发布新闻取消魔兽世界审批,并保留对网易的行政处罚。 此事联合CCTV 进行播报。于是一些主流媒体开始纷纷报道魔兽世界取消审批一事。下午 文化部通过一些媒体表示版署无权惩罚网易,并表示魔兽世界运营属合法行为。并在明天3号召开新闻发布会就魔兽世界问题进行一些解答。(开始对掐)
而有意思的是网易在周二进行例行维护公告里表示会继续运营。其实自9月19日到现在已经快过去一个半月现在才说网易开服违规未免过于底气不足 甚至书面通知都没。
3日新闻发布会如期举行 期间主要是说版署违反《三定》文件并且处罚网易行为属于违纪。
4号 消息称 现在各路奏本已经呈递国务院了 一款游戏的审批能让两个职能部门闹到国务院,确实 小生第一次看到这么精彩的戏了。
昨日CCTV也开始播报文化部 关于魔兽审批一事 看来转型当红脸了,看来是情势很好
曾经的曾经网络游戏曾想找一个相关的政府部门照顾 跟踢皮球一样 如今两大职能部门为一款游戏审批权争到国务院 让我等从没见过这种情况的人感觉像看美国大片一样爽。或许这不是一款游戏也是今后游戏的审批权,利益使人蒙昧 也易使人自大 受伤的永远都是企业跟那不曾提及的玩家而已。
只等国务院重新用明确的中国汉字来解释下《三定》一些模糊语句。
如果今后还有一个类似魔兽的国外游戏 想必审批就没那么麻烦了。
不管结局怎么样 我等小民只能看戏 纯粹当提前看年度贺岁片了
这几日看新闻发现一篇文章 大致是讲文著协号召中国的作家准备起诉Goole的图书馆,这又另我想起了曾经以前音著协代收一些商场的背景音乐费用。
且不说这收的钱究竟有多少留入真正原作者手上。 看网上那么多网站提供MP3下载 音著协做过多少努力保护歌手的版权利益呢? 譬如百度这老流氓的MP3搜索。 百
度也是很聪明的 真正懂得“中国行情特色” 花费最少的成本服务器以及带宽 展示广告 把广告获得的利益分一点点给那些唱片公司 顺便塞点给音著协让他闭嘴。
在中国很多作家都曾受过盗版之苦 可从没见文著协或者跟这搭嘎的协会出来保护他们的版权,其实Google的图书馆也并没侵犯他们的利益,估计是看到Google这样
一家跨国公司涉及图书这么一块跟版权相关的市场,文著协可是虎视眈眈啊 不捞一笔钱怎么能行。
在中国谈版权就跟土匪打交道没什么区别
听说(又是听说~)中国的焚化部跟斑鼠部门又吵起来了,大致是为网络游戏上市究竟谁管起了争执。我是个闲人 我希望自己管的事情越少越好,不知道为何,他们那么敬业 都说网络游戏上市归他们管。
当今朝廷下发了一个《三定》的圣旨 中国有句话叫圣意难测,这文件充分体现了这特点 两个部门今天我解释一边 明天另一个部门说不对 应该这样解释。 我又纳闷了 都是人 都上过小学 怎么连个字都看不懂。

名侦探柯南 漆黑的追踪者 徽章
昨日凌晨0点发布了名侦探柯南剧场版13 《漆黑的追踪者》的DVD 网上目前已经有下载了,一直蛮喜欢这动画的 只是后来这漫画越写越长 都十多年了还未结束,我也只看看关键剧情跟剧场版以解闷了。 
看过预告片的我 以为经历这部剧场版 名侦探应该差不多结尾了 毕竟 身份已经被发现了
但看了网上介绍说还有剧场版14
看来这裹脚布还要继续裹下去
BT文件下载
名侦探柯南剧场版第13部
不知道为何最近一直出现另外一个博客无法解析 图片服务器 也无法解析,问了下客服 才知道是商务中国的 DNS解析服务器又大姨妈了
这事情出现好几天了,我今天才发现, 主要是我访问博客一直正常 而没去注意图片服务器无法访问
。
在下午5点左右更换DNS解析 现在应该应该没问题了
另外很抱歉上个月偷懒了那么多天 只是有些东西我想了下 还是自己YY下比较好点
今天遇到一个莫名问题服务器没重启之前可以远程连接 重启后连接3389就提示 远程桌面连接已断开
网上找了下资料 归纳了下解决方案
该问题可能是由于Terminal Services的设备重定向器有问题,导致连接失败。解决方法:
1. 到以下链接下载Devcom.exe工具http://download.microsoft.com/download/1/1/f/11f7dd10-272d-4cd2-896f-9ce67f3e0240/devcon.exe
2. 解压到一个目录,启动命令行模式,切换到该目录的i386目录。
3. 运行devcon -r install %windir%\inf\machine.inf root\rdpdr命令重新安装Terminal services重定向器。
4. 然后重启系统,测试是否修复错误。
如不行 再检查下 计算机服务
再通过“开始->运行->输入services.msc”,打开服务管理窗口,找到名为“Remote Desktop Help Session Manager ”和“Telnet”的服务。
在这两个服务名称上点鼠标右键选择“启动”,将服务开启。
至此“远程桌面连接已断开”这问题应该已经解决
这个出来有几天了 偶又后知后觉才知道 
当上传图片为x.asp;x.jpg时,IIS会自动解析为asp格式,可以说是IIS只认;符号前面的文件解析
所以我们只要上传后是x.asp;x.jpg这样的形式,就可以执行我们的马了,测试了下,x.php;x.jpg也是可以执行的。


Recent Comments