顺便膜拜下MJ的XCB大法，用来对付sudami的那个XX一定很爽~

你继续YY, 根本无效.

争论才能出真理,不是看了楼主的文章受益多,是看了大家的争论受益多.

楼主说了这么多，应该说纯粹是标题党，如果标题称为“SSDT HOOK防一般的文件删除”，那么大家也不会批得那么狠了。
防删除的方式太老太局限，这个MJ都批评了，也就不需要再补充了。
至于另一方面的错误，第3楼，第9楼等都已经说出来了，就是楼主在逻辑上出了问题。
楼主煞费苦心用SSDT HOOK的目的，是保护U盘中的Autorun.inf不被删除。而保护U盘中的Autorun.inf不被删除的目的，当然是使得Autorun.inf能够发挥其作用，使得病毒能够启动。而进行SSDT HOOK的前提，则又是携带这个功能的病毒能够启动而且能够加载驱动。一个保障“病毒能够启动”的目的，要以“病毒能够启动”本身作为前提，这难道不是一个怪圈？
也许你可以辩解称，这里的阻止Autorun.inf被删除，是为了这个U盘能够从中毒的电脑中被移动到其他的电脑上，从而能够传播。然而如果这样考虑，其他的电脑上同样没有你的保护程序，同样将不能起到保护作用，只要其他电脑上同样有杀毒软件，一旦Autorun.inf进入同样会被处理（而如果没有杀毒软件或其他妨碍因素，则你根本无需做这样的处理）。
也许你还可以辩解称，阻止Autorun.inf被删除是为了感染后在本机保留Autorun.inf，从而使病毒在本机常驻获得更多的启动机会。但这仍不成立，Autorun.inf并不是一种隐蔽高效的启动方式，一旦病毒已经得到初始的执行机会和加载驱动的机会，完全可以实现更加隐蔽高效的启动方式，还没有看到哪种U盘病毒在运行之后除了在各盘符根目录生成Autorun.inf和副本之外没有使用注册表等其他方式实现自启动的。

因此说来说去，通过病毒自身来保护Autorun.inf，说是为了对付杀毒软件对Autorun.inf的防范，这种逻辑完全说不通。
Autorun.inf就是这样一种途径，它不依赖于病毒二进制代码获得初始执行的机会，恰恰相反，它的存在，正是为了利用Windows系统提供的这种机制，来实现获得病毒二进制代码初始执行的机会。也就是说Autorun.inf是“因”，病毒的初始执行才是“果”。
对于这类型的U盘病毒而言，Autorun.inf的存在和有效性，是其执行流程中最初的“发端”，其性质恰恰意味着没有更初始的“发端”能够为它提供可靠的保护。



反正没时间写代码，只能YY啊~

初生牛犊不怕虎

一点都不好玩。。

学习ls各位的思路 12楼大牛的方法最近也发现某些病毒用到

顶顶顶顶顶顶

感谢学了技术，不过还是觉得别人说的也是很有道理啊，不要听不懂反对意见嘛，让autorun加载驱动保护自己，我觉得.......不说了，连菜鸟都不是，继续听课吧

楼主思想是好的，标题就大了点，支持继续发扬；MJ技术是有了，但是没教养，**型的，难道娘胎里就学会的，奇怪！ - - 鉴定完毕~

我完了，无法区分你的情感趋势，你能告诉我 是褒是贬。。

批评确实有点过分了

轩辕小聪的回复总是直接点重要害啊，LZ貌似说已经被大多数的病毒使用，貌似没有那么邪乎。飘过

和我想的一样

顶

围观

我想楼主只是研究驱动  没有认真研究病毒

看了MJ的发言,我不敢用360了

打酱油，顺便学习。