Re: [方案] USB 隨身碟主動防護嘗試 -- 設定 Autor …
看板AntiVirus (防毒)作者chang0206 (Eric Chang)時間17年前 (2008/10/04 10:32)推噓8(8推 0噓 5→)留言13則, 7人參與討論串2/2 (看更多)
※ 引述《jeromeyang (woody)》之銘言:
: USB 隨身碟主動防護嘗試 -- 更改檔案系統為 NTFS,再設定 Autorun.inf 檔權限
: ========================================================================
: 方法: 將隨身碟格式化成為 NTFS 格式,利用 cacls.exe 更改 Autorun.inf 檔的使用
: 者權限。除了本機之外的電腦只有唯讀權限,病毒理論上就無法改寫 Autorun.inf。
: 缺點:
: 1. NTFS 格式不被 DOS 及 Windows 9x 作業系統支援。
: 2. 如果您在本機電腦刪除了 Autorun.inf,就要再設定一次。
: 還原方法: 將您的隨身碟格式化成為 FAT 或 FAT32,再把備份的檔案回存。
: 測試環境: Windows XP Pro 無隨身碟病毒感染環境
: 步驟:
: 1. 備份您的隨身碟資料,以策安全。
: 2. 把隨身碟改成 NTFS 格式(可使用 convert 指令)(命令提示字元)
: C:\>convert <磁碟機代號> /FS:NTFS
: 3. 如果隨身碟的根目錄下沒有 Autorun.inf,則自己建立一個 Autorun.inf。
: 用文字編輯器開一個空白文字檔,檔名存成 Autorun.inf (注意!不要存成
: Autorun.inf.txt)
: 4. 查詢使用者權限(使用 cacls.exe),我們的目標就是把除了您自己之外的使用者權限
: 都由完全控制(F)改成唯讀(R)。(命令提示字元)
: C:\>cacls.exe <磁碟機代號>Autorun.inf
: Autorun.inf BUILTIN\Administrators: F
: NT AUTHORITY\SYSTEM: F
: <您的電腦名稱>\<您的使用者名稱>: F
: BUILTIN\Users: R
: 5. 更改使用者權限(使用 cacls.exe)(命令提示字元)。
: C:\>cacls.exe <磁碟機代號>Autorun.inf /E /P: Administrators:R
: C:\>cacls.exe <磁碟機代號>Autorun.inf /E /P: SYSTEM:R
: 6. 再查詢使用者權限(使用 cacls.exe)(命令提示字元)。
: C:\>cacls.exe <磁碟機代號>Autorun.inf
: Autorun.inf BUILTIN\Administrators: R
: NT AUTHORITY\SYSTEM: R
: <您的電腦名稱>\<您的使用者名稱>: F
: BUILTIN\Users: R
: 7. 成功!!
: 測試:
: 1. 在自己的電腦上,一切如常。您可以存取/變更/刪除 Autorun.inf 檔案
: 2. 在其他電腦上可以讀取 Autorun.inf 檔案,但在編輯/刪除/更改權限時會出現「存
: 取被拒」的警告訊息。
測試報告
環境:WINXP SP3 兩台 ,修改隨身碟的電腦沒有加入網域,測試讀取的電腦
有加入網域,身份為Domain Admin
隨身碟:皆為創見 V系列,一個1G ,一個4G
>>2. 把隨身碟改成 NTFS 格式(可使用 convert 指令)(命令提示字元)
>>: C:\>convert <磁碟機代號> /FS:NTFS
在部分隨身碟上,執行這個指令時,會要求先執行 chkdsk /F 修正磁碟
原因為何?不知道 XD
但是只要執行完,應該就可以順利作convert ..
>>如果隨身碟的根目錄下沒有 Autorun.inf,則自己建立一個 Autorun.inf。
個人習慣是建立autorun.inf 為目錄..
其實是因為在CMD模式,沒有像Linux 的touch指令一樣可以建立空白檔案
又懶得切回視窗 .......
>>查詢使用者權限(使用 cacls.exe),我們的目標就是把除了您自己之外的使用者權限
>> 都由完全控制(F)改成唯讀(R)。(命令提示字元)
>> C:\>cacls.exe <磁碟機代號>Autorun.inf
>> Autorun.inf BUILTIN\Administrators: F
>> NT AUTHORITY\SYSTEM: F
>> <您的電腦名稱>\<您的使用者名稱>: F
>> BUILTIN\Users: R
在這邊有可能會出現預設是繼承來的everyone 帳號的權限。
像是:
H:\>cacls autorun.inf
H:\autorun.inf Everyone:(OI)(CI)F
而你預設登入WINDOWS的帳號假設是 administrator
那麼,建議先讓administrator 取得權限之後,再將原有的everyone FC的權限拿掉
方法如原PO所述第5點
拿掉原有權限指令為
H:\>cacls h:\autorun.inf /R everyone /E
已處理目錄: h:\autorun.inf
再確認一次權限設定
H:\>cacls h:\autorun.inf
h:\autorun.inf PUREXP_SP3_HP\Administrator:(OI)(CI)F
把隨身碟接上其他的電腦,試著對autorun.inf 目錄進行刪除、更名等動作。
windows 都會跳出警告說明權限不足。
感謝原PO提供的方法!
ps.似乎沒辦法清除cacls 的所有權限設定,這樣子對於我要編寫login script
讓domain中的電腦自動針對磁碟機建立autorun.inf並且修改權限這樣的動作來說,
會增添不少麻煩。
另外就是,真的要破,也還是可以到檔案總管的權限頁去取得擁有者的權限。
不過這就不是一般USER會去操作的地方了。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 219.87.137.85
推
10/04 10:39, , 1F
10/04 10:39, 1F
→
10/04 11:36, , 2F
10/04 11:36, 2F
推
10/04 12:31, , 3F
10/04 12:31, 3F
→
10/04 15:11, , 4F
10/04 15:11, 4F
推
10/04 15:15, , 5F
10/04 15:15, 5F
推
10/04 15:17, , 6F
10/04 15:17, 6F
推
10/04 15:18, , 7F
10/04 15:18, 7F
→
10/04 15:19, , 8F
10/04 15:19, 8F
→
10/04 15:20, , 9F
10/04 15:20, 9F
推
10/04 16:56, , 10F
10/04 16:56, 10F
推
10/04 23:10, , 11F
10/04 23:10, 11F
→
10/04 23:20, , 12F
10/04 23:20, 12F
推
11/11 13:24, , 13F
11/11 13:24, 13F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
