3、NTFS權(quán)限控制

　　病毒制造者也是黑客,知道Windows的這幾個可算是Bug的功能.他們可以做一個程序,掃描目錄時發(fā)現(xiàn)某目錄名最后一個字節(jié)為'.'則通過訪問"dirfullname.."、或者通過利用Windows NT的Native API中的文件系統(tǒng)函數(shù)直接插手,刪除該特殊目錄。

　　因此,基于更低層的文件系統(tǒng)權(quán)限控制的辦法出現(xiàn)了.將U盤、移動硬盤格式化為NTFS文件系統(tǒng),創(chuàng)建Autorun.inf目錄,設(shè)置該目錄對任何用戶都沒有任何權(quán)限,病毒不僅無法刪除,甚至無法列出該目錄內(nèi)容。

　　但是,該辦法不適合于音樂播放器之類通常不支持NTFS的設(shè)備。

　　這三步可謂是一步比一步精彩.但是,最大的問題不在怎么防止生成這個autorun.inf上,而是系統(tǒng)本身、Explorer的脆弱性.病毒作者很快就會做出更強大的方案.這是我的預(yù)想。

　　1、結(jié)合ANI漏洞,在autorun.inf里將icon設(shè)成一個ANI漏洞的Exploit文件(經(jīng)過我的實驗,發(fā)現(xiàn)Windows有一種特性,就算把ani擴展名改為ico,還是可以解析出圖標(biāo)),這樣只要一打開"我的電腦",未打補丁、無殺軟的系統(tǒng)就會直接遭殃.這樣的東西還可以放到網(wǎng)上的各種資源ISO中。

　　2、提高病毒的整體編程水平,綜合以上各種反免疫方式,另外利用多數(shù)國內(nèi)windows用戶常以高權(quán)限登錄系統(tǒng)的特點,自動將沒有權(quán)限的Autorun.inf目錄獲得所有權(quán)、加讀寫刪除權(quán)限,擊破這最堅固的堡壘。

　　面對如此恐怖的東西,對付的辦法已經(jīng)不多了.但是它們其實是一切Windows安全問題的基本解決方案。

　　1、一定要將系統(tǒng)和安全軟件保持在最新狀態(tài).即使是盜版用戶,微軟也不會不給重要級別的安全更新,也從來沒有過在重要級別安全更新中加入反盜版程序的記錄。

　　2、盡量以受限制的帳戶使用系統(tǒng)和上網(wǎng),這樣可以減少病毒進入系統(tǒng)的概率.Vista之所以加入UAC功能,正是因為它能夠使用戶在盡量方便的同時,享受到受限用戶的安全。

　　3、某種程度上,可以說QQ、IE和某些裝備能換真錢、什么都要真錢的網(wǎng)游是導(dǎo)致大量病毒木馬編寫者出現(xiàn)的"萬惡之源".通過IE漏洞,制作網(wǎng)頁木馬,安裝盜號程序,盜取賬號,獲得人民幣.這條黑色產(chǎn)業(yè)鏈中,IE其實是最容易剪斷的一環(huán).珍愛系統(tǒng),系統(tǒng)一定要更新,要有能防止網(wǎng)頁木馬的殺毒軟件,用IE不要亂上各種小型下載站、色情網(wǎng)站等高危站點,如果有可能,使用非IE引擎的瀏覽器。

　　4、惡意捆綁軟件,現(xiàn)在越來越和病毒木馬接近.部分惡意軟件的FSD HOOK自我防御程序可能被病毒利用來保護自己(如SONY XCP事件),而一些惡意軟件本身就是一個病毒木馬的下載器.因此,不要讓流氓接近你的機器.