大概有很多人都认为防U盘病毒只是很简单的事了，根本不值一提，曾经偶也是这么认为的，但很快发现事实却不是这样的——我们当中的很多人都在犯着一些常识性的错误而我们却没有察觉。

    对于防范U盘病毒，现在流传着很多的方法，例如关闭自动播放、软件限制策略、HIPS、沙盘等等，但是实际上，哪些方法才是真正有效的呢？

    例如：

    关于软件限制策略，相信很多人都会设置这样规则：

    ?:autorun.*   “不允许的”

    或者形式不一定和上面的相同，但思路是一样的：阻止autorun.inf文件的“被执行”

    有人进行过验证，在此规则下，直接双击U盘下的autorun.inf文件，发现立即弹出被组策略阻止的提示窗口，似乎还有点作用。不过，这并不代表已经达到了我们想要的效果。

    为了搞清楚这个问题，我们跟踪一下当U盘插入后，系统处理autorun.inf文件的过程。

    首先，svchost.exe读取autorun.inf，然后explorer.exe读取autorun.inf，再然后explorer.exe
将autorun.inf里的相关内容写入注册表中MountPoints2这个键值。只要explorer.exe成功写入注册表，那么这个autorun.inf文件的使命就完成了，U盘里的病毒就等着你去双击U盘了。

    那么我们的软件限制策略中，将autorun.inf 设为”不允许的”这一做法在这个过程中起到什么
作用？

    很遗憾地告诉你：没有任何作用。

    因为这个软件限制策略没有防止autorun.inf被读取，也没有防止explorer.exe写入注册表，所以
说，没有任何作用。真要说起到什么作用，那只是禁止autorun.inf文件被“打开”而已。（参考
下面的“注”）

    针对autorun.inf而设软件限制策略，实际上是徒劳之举。（这点偶也是最近才发现）要真正有效防范U盘病毒，还得从禁止U盘里的程序运行来着手

    可以写规则如下：

    ?:*.* “不允许的”

    这样就禁止了各盘根目录下的程序的运行。当然还可以把 ? 改为实际的U盘盘符，或者将*.* 改
成 * ，即 盘符:* ，这样可以完全禁止程序从U盘里启动。

    注：

    1. 软件限制策略只对“指派的文件类型”列表中的格式起效。

    2. 软件限制策略的“不允许的”设置，实际上是在禁止“该文件不被调用或打开”，相似于AD中的阻止
运行程序，不包含FD的读取、创建、修改、删除等操作。

    3. 在软件限制策略中，通配符 * 和 ** 是等效的

    4. 不要怀疑前三点，它们是对的

    另外还有一些流传的方法，实质上也不能完全防止Autorun病毒的运行。

    1.禁止svchost.exe读取autorun.inf。

    因为explorer.exe也会读取autorun.inf，而且写入注册表的正是explorer.exe，所以此方法无效。

    2.关闭自动播放功能。

    关闭自动播放功能并不能防止病毒利用autorun来实现启动，“这个实验证明靠组策略中关闭自动播放来预防U盘毒是完全没有用的（上面这个Autorun.inf已经烂大街了）”
    自动播放（Autoplay）和自动运行（autorun）并不是一回事。

    不过我们可以通过关闭Shell Hardware Detection服务同时把自动播放和自动运行取消

    实际可行的方法：

    1. 禁止explorer.exe读取autorun.inf （HIPS之FD）

    2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项，即：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shellopen
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shellautorun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shellexplorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*shell*Command

    或者将整个MountPoints2项封住，禁止写入

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2
（注册表权限、HIPS之RD）

    3. 禁止U盘的程序启动 （软件限制策略、HIPS之AD）

    4. 用沙盘限制   （DW的非信任、SBie的强制运行等等）

    5. 自定义有害文件：autorun.inf （一些杀软可以做到，例如咖啡8.5i）

    6. 修改shell32.dll，更改autorun.inf的打开方式

    7. 关闭Shell Hardware Detection服务

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。