[讨论]U盘病毒的万能杀法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]U盘病毒的万能杀法

发表于: 2007-10-29 09:03 19816

[讨论]U盘病毒的万能杀法

JSniperWYC 活跃值

2007-10-29 09:03

19816

在系统无毒的情况下，当拿到一个U盘后，若无法确知上面到底有没有病毒时，我想确定我目前的方法是否有效。

确保自动执行功能会关闭状态。
确保显示隐藏文件与文件夹
插入U盘。关闭弹出的自动运行窗口，千万别点确定。
“开始”、“搜索”、“文件或文件夹”、要搜索的文件夹名为：*.*、搜索范围为U盘盘符
搜索选项：将高级选项中的系统文件夹、隐藏文件和文件夹以及子文件三个选项打开。

开始搜索，往往这时候会把未启动的病毒程序的原型给搜索出来，在搜索的结果中，特别关注已经被隐藏变灰的图标，往往就是病毒。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

用这种方法是不是可以在无毒的机器上杀掉所有的U盘病毒啊，记得有一种病毒，你就是在盘符上用右键选择打开（打开文件夹）的方式打开文件夹，居然都会中毒，现在的病毒是越来越狡猾了。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・11

免费・0

支持

最新回复 (52) 1 2 3 ▶
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼万能? 搜索多麻烦,直接点工具栏里面的"文件夹" 打开就成了... 2007-10-29 09:10 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 3 楼不，好象有一种病毒，你就是看文件夹里的内容竟然也能感染，这个病毒我在网吧碰到过的，好象是desktop.ini和folder.htt这两文件，不知道里面是怎么调的，总之你就是看文件夹的内容都能感染。太厉害了，所以我才不得不用搜索功能的。用搜索的方式，看搜索到的文件就不会中了。 2007-10-29 09:17 0
燕北飞雪币： 4 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	燕北飞 4 楼直接格式化... 2007-10-29 09:27 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 5 楼里面的数据还是要的啊，我指的就是在不破坏原有数据的情况下，只把病毒删除的方法。 2007-10-29 09:33 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 6 楼 autorun??? 2007-10-29 10:20 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 7 楼杀杀杀毒......自己写个监视USB接口程序,发现AUTORUN之类的INF文件后,先获取其中路径指向,找到目标病毒,然后删除该AUTORUN.INF文件,随后自动删除捕获的目标病毒文件,(前提是你已经关闭了自动播放功能,否则就来不及了,呵呵) 这样的软件还是有点使用价值的,删除AUTORUN和目标病毒时候,该MSG一个,让用户自己选择要不要删除此病毒? 如果是正常的程序,用户自己会选择忽略,这样也不影响使用,呵呵这样的防AUTORUN类U盘病毒软件应该很容易实现,哪位大大写一个?最后加入个性化界面,美化,而且拥有防意外被终止的能力,否则还没发挥效果就被人干了,可是太可惜的了,还有一点注意:当发现病毒,并删除后,应该停止此USB储存盘,重新激活一次,以排除可能的出错问题这个就是我的简单建议了,高手出来吧,看你的了 2007-10-29 12:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼唉，钩住ZwCreateProessEx不就行了 2007-10-29 13:13 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 9 楼严重同意` 2007-10-29 14:23 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 10 楼还有wscript.exe 2007-10-29 20:45 0
alangsos 雪币： 202 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	alangsos 1 11 楼在组策略里打开禁用自动播放就行了嘛 2007-10-30 17:48 0
DPLJ 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	DPLJ 12 楼 3楼说的那两个文件是病毒吗？？？ 2007-10-30 17:49 0
princekin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	princekin 13 楼我的作法是在u盘里新建一个只读的autorun.inf文件夹 2007-10-30 18:12 0
pdatest 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	pdatest 14 楼那个是欢乐时光。 2007-11-27 15:36 0
loveli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	loveli 15 楼我建议格式化最快了。也是最干净的U盘了 2007-11-27 15:44 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 16 楼不对，低格才对…… 2007-11-27 22:10 0
option 雪币： 8045 活跃值： (2521) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 17 楼发一个厉害的看看！ 2007-11-28 18:03 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 18 楼我写了个小程序,是否能满足大家的要求 http://hi.baidu.com/sghcz%5Flv/blog/item/dadfc903fd9476ef08fa934b.html 2007-12-3 19:46 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 19 楼只要把注册表改一下，让父文件夹不能执行子文件里的东西的权限，注册表的位置在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2右击选权限，删除继承。 2007-12-3 19:51 0
红色监控雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	红色监控 20 楼其实，快速格式化就OK了。然后随便用一个数据恢复软件把有用的文件还原。就这么简单了。可以对付所有病毒啊。 2007-12-3 20:06 0
dragonlf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dragonlf 21 楼用USBclear就可以杀了,,可以试一下.. 2007-12-4 11:29 0
mathphy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mathphy 22 楼杀了还是有格了也还有无奈了！ 2007-12-4 17:55 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 23 楼用winrar看怎么样 2007-12-8 18:15 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 24 楼他把auto字符串换成打开(O)来混淆视听，你娃自己不点下面那个真打开，去点上头那个假打开，当然要中招乐。 2007-12-8 18:29 0
kagayaki 雪币： 231 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 25 楼钩住ZwCreateProessEx??? CMD, VBSCRIPT, 2007-12-9 07:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

JSniperWYC

发帖

136

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼万能? 搜索多麻烦,直接点工具栏里面的"文件夹" 打开就成了... 2007-10-29 09:10 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 3 楼不，好象有一种病毒，你就是看文件夹里的内容竟然也能感染，这个病毒我在网吧碰到过的，好象是desktop.ini和folder.htt这两文件，不知道里面是怎么调的，总之你就是看文件夹的内容都能感染。太厉害了，所以我才不得不用搜索功能的。用搜索的方式，看搜索到的文件就不会中了。 2007-10-29 09:17 0
燕北飞雪币： 4 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	燕北飞 4 楼直接格式化... 2007-10-29 09:27 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 5 楼里面的数据还是要的啊，我指的就是在不破坏原有数据的情况下，只把病毒删除的方法。 2007-10-29 09:33 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 6 楼 autorun??? 2007-10-29 10:20 0
爱琴海雪币： 1355 活跃值： (334) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 7 楼杀杀杀毒......自己写个监视USB接口程序,发现AUTORUN之类的INF文件后,先获取其中路径指向,找到目标病毒,然后删除该AUTORUN.INF文件,随后自动删除捕获的目标病毒文件,(前提是你已经关闭了自动播放功能,否则就来不及了,呵呵) 这样的软件还是有点使用价值的,删除AUTORUN和目标病毒时候,该MSG一个,让用户自己选择要不要删除此病毒? 如果是正常的程序,用户自己会选择忽略,这样也不影响使用,呵呵这样的防AUTORUN类U盘病毒软件应该很容易实现,哪位大大写一个?最后加入个性化界面,美化,而且拥有防意外被终止的能力,否则还没发挥效果就被人干了,可是太可惜的了,还有一点注意:当发现病毒,并删除后,应该停止此USB储存盘,重新激活一次,以排除可能的出错问题这个就是我的简单建议了,高手出来吧,看你的了 2007-10-29 12:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼唉，钩住ZwCreateProessEx不就行了 2007-10-29 13:13 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 9 楼严重同意` 2007-10-29 14:23 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 10 楼还有wscript.exe 2007-10-29 20:45 0
alangsos 雪币： 202 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	alangsos 1 11 楼在组策略里打开禁用自动播放就行了嘛 2007-10-30 17:48 0
DPLJ 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	DPLJ 12 楼 3楼说的那两个文件是病毒吗？？？ 2007-10-30 17:49 0
princekin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	princekin 13 楼我的作法是在u盘里新建一个只读的autorun.inf文件夹 2007-10-30 18:12 0
pdatest 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	pdatest 14 楼那个是欢乐时光。 2007-11-27 15:36 0
loveli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	loveli 15 楼我建议格式化最快了。也是最干净的U盘了 2007-11-27 15:44 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 16 楼不对，低格才对…… 2007-11-27 22:10 0
option 雪币： 8045 活跃值： (2521) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 17 楼发一个厉害的看看！ 2007-11-28 18:03 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 18 楼我写了个小程序,是否能满足大家的要求 http://hi.baidu.com/sghcz%5Flv/blog/item/dadfc903fd9476ef08fa934b.html 2007-12-3 19:46 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 19 楼只要把注册表改一下，让父文件夹不能执行子文件里的东西的权限，注册表的位置在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2右击选权限，删除继承。 2007-12-3 19:51 0
红色监控雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	红色监控 20 楼其实，快速格式化就OK了。然后随便用一个数据恢复软件把有用的文件还原。就这么简单了。可以对付所有病毒啊。 2007-12-3 20:06 0
dragonlf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dragonlf 21 楼用USBclear就可以杀了,,可以试一下.. 2007-12-4 11:29 0
mathphy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mathphy 22 楼杀了还是有格了也还有无奈了！ 2007-12-4 17:55 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 23 楼用winrar看怎么样 2007-12-8 18:15 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 24 楼他把auto字符串换成打开(O)来混淆视听，你娃自己不点下面那个真打开，去点上头那个假打开，当然要中招乐。 2007-12-8 18:29 0
kagayaki 雪币： 231 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 25 楼钩住ZwCreateProessEx??? CMD, VBSCRIPT, 2007-12-9 07:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复