U盘防毒指南-如何做到双击U盘里的病毒exe也不会中毒

2021年了,居然还有U盘病毒。看样子有必要使用狂暴的手段干翻U盘病毒了。

1 禁止别的电脑写入文件到你的U盘

只要别的电脑没法写入文件到U盘,自然没法让U盘中毒。

1.1 方案1:使用那种带写锁定开关的U盘

推荐指数:★★★★★
淘宝搜索 "写保护u盘" 能买到,据说是 "朗科" 的专利,所以大部分U盘都是他家的。
缺点:看《为什么现在的优盘基本上都没有写保护了? - 沈万马的回答 - 知乎》,实际上这个不是和软盘一样的直接断开写入电路的写保护,可以被软件绕过。SD卡同理,也是非物理断开写入电路。
那为什么还给个5星好评呢?因为一般病毒和木马没那么智能。

1.2 方案2:使用NTFS文件系统的权限,禁止别的电脑写入文件

推荐指数:★★★☆☆
第1步:把U盘根目录设置为只有自己可以读写,别人只能读取,不能写入。
"右键点击U盘图标-属性-安全-高级",弹出下面的界面
点击确定后会弹出下面的框,点击继续就好了。这个是系统文件夹,修改了权限不知道会有什么副作用,就放着吧。
 
第2步:在U盘下创建一个别人也能读写的文件夹
如果不需要,请忽略这一步。
在U盘根目录下面创建一个 "public" 文件夹,还是 "右键点击文件夹-属性-安全-高级",然后按照下面图片的顺序操作。
 
缺点:有管理员权限的病毒,其实可以直接修改 NTFS ACL 规则,然后绕过这个限制。所以这个只能防住不太智能的病毒。

2 保证你的电脑不会运行别的电脑带过来的病毒

既然完全避免别人的电脑把病毒写入你的U盘是不可能的,那就需要避免你的电脑运行U盘上的病毒了

2.1 步骤1:关闭自动播放

推荐指数:★★★★★
看微软的官方文档,windows 从 2009 年开始就只会在 CD 和 DVD 上使用自动播放了,U盘、移动硬盘、共享网络驱动器已经不会执行自动播放了,所以不存在插上去自动中病毒的事情了:Microsoft Security Advisory 967940 - Update for Windows Autorun
但是我印象中 windows 10 下面不关闭自动播放,虽然不会自动运行软件,但是会弹出一个框让你选择要做什么。如果选择错了,是不是就手动执行病毒了?
所以自动播放还是必须干掉!
 
打开 "设置 - 设备 - 自动播放"

2.2 步骤2:禁止运行可移动存储设备上的可执行文件

推荐指数:★★★★★
这一步做完之后,就可以实现标题中的 “双击U盘里的病毒exe也不会中毒” 了。
操作系统版本要求:windows 7 或者更高版本
 
对于专业版,企业版的windows,用下面的操作方法
打开 "组策略 - 本地计算机 策略 - 计算机配置 - 管理模板 - 系统 - 可移动存储访问"
找到"可移动磁盘:拒绝执行权限",设置为 "已启用"
这个设置对U盘和移动硬盘都会生效。
 
对于家庭版的windows,用下面的操作方法
家庭版没有组策略,可以用这个软件:USB Flash Drives Control
这个软件估计是直接修改了注册表,启用了组策略里面的内容,所以也是只支持 win7 及以上版本的 windows 系统。
 
测试结果:
(1) 双击里面的 exe 都无法执行,右键 “以管理员身份运行” 也没用。
(2) 双击 bat 文件无法运行,右键 “以管理员身份运行” 是可以的。估计是因为管理员身份运行的时候,其实 bat 文件是作为 cmd 的参数传递进去,此时不被windows系统视为可执行文件,只是一个普通的文本文件。
(3) 按照2的思路,其实病毒可以按照下面的逻辑运行。一个病毒exe,一个bat文件,一个快捷方式文件。
病毒exe负责运行真实的感染系统的逻辑。
bat文件负责把病毒exe拷贝到C盘的临时文件夹里面,然后执行病毒副本。
快捷方式文件负责绕过组策略的限制,继续运行bat文件。注意快捷方式的图标是可以修改掉的,比如修改成文件夹的图标。
"C:\WINDOWS\System32\cmd.exe" /C "F:\test\test.bat"
(4) .cmd 文件和 .bat 文件的测试结果一样
(5) jar 文件其实也不是可执行文件,而是一个数据文件。双击 jar 包之后,jre 会加载这个文件然后执行,所以还是可以绕过这个安全防御措施。
(6) .vbs 文件其实也是一个数据文件,由 "Microsoft ® Windows Based Script Host" 负责读取并且解释执行,所以还是可以绕过这个安全防御措施。
 
缺点:
根据测试结果,加上这个设置之后,还是不能100%靠谱,还是有许许多多种的安全漏洞可以绕过去。特别需要注意的是,快捷方式是可以修改图标的,而且 explorer 里面不会显示 .lnk 扩展名后缀。所以病毒可以把快捷方式的图标改成一个文件夹,但是双击之后实际上会运行病毒的 bat 文件来做注入,然后在bat脚本里面打开你需要用的文件夹。用户如果没有注意到快捷方式的小图标,可能就直接双击了。
以及如果你非要把病毒exe拷贝到你的电脑中,然后双击执行,那怎么都是可以中毒的。
以及图片,rar,doc,pdf 之类都是可以中毒的,如果你用的软件有安全漏洞,打开这些被感染的文件,就可能导致任意代码执行,然后中毒。
 
不过这个方案估计能屏蔽掉99.99%的U盘病毒了,所以还是5星好评。windows 系统有一堆的软件安全限制选项,还有许许多多的组策略,应该可以找到一个禁止读取U盘上的快捷方式文件的方法,不够我没有继续找了。msdn 上有许许多多的文档,比如下面这个:Application Control for Windows

3 已经中毒的U盘怎么处理?

3.1 最安全的方案:全盘格式化

推荐指数:★★★★★
前面说过了,图片,rar,doc,pdf 之类的数据文件也是可以中毒的。
所以最靠谱的方案,就是直接把U盘全盘格式化掉。里面的数据全部丢弃。
就算按照上面的方案来预防病毒了,最安全的做法还是U盘插过别人的电脑后,连上自己电脑就立刻格式化掉。
 
Q:我U盘里面存着的重要数据怎么办?
A:U盘只用来传递数据,不要当做仓库用。所有数据存放在你自己的电脑中,U盘只用来传数据给别人。如果别人从有病毒的电脑拷贝数据给你,你还是想留着数据的话,用下面的方案。

3.2 可能有漏网之鱼的方案:杀毒软件

推荐指数:★☆☆☆☆
现在主流的杀毒软件都能查杀U盘病毒。但是如果漏过了什么病毒就麻烦了。还是用格式化一口气全毁灭掉最好。

4 怎么拷贝数据出来

其实不推荐拷贝出来,因为数据文件也是可能感染病毒的。如果非要拷贝的话,杀毒软件杀完病毒之后,应该会把你的被隐藏的文件显示出来,没有的话,按照下面的方案操作。
点击资源管理器最上方菜单栏里的 "查看" - 点击 "选项",然后如下设置
 
posted @ 2021-12-07 23:23  cmicat  阅读(1377)  评论(0编辑  收藏  举报