专利名称:一种针对usb移动存储设备自启动病毒的免疫方法
技术领域:
本发明涉及信息安全技术领域,特别是涉及一种针对USB移动存储设备自启动病 毒的免疫方法。
背景技术:
随着USB移动存储设备的广泛应用,U盘和移动磁盘已成为“自动运行类”或“伪 造欺骗类”病毒传播的一种主要载体。这类病毒在U盘或移动磁盘的根目录下建立一个 autorun. inf文件并与病毒文件关联,或建立一些desktop, ini、folder, htt、recycled等 病毒文件,欺骗那些对计算机常识了解不多的用户。用户在Windows操作系统资源管理器 中双击U盘或移动磁盘时,操作系统按照autorun. inf文件的关联,自动运行病毒程序;或 误导用户主动点击已经伪造好的病毒文件,从而感染计算机系统。
发明内容
针对上述问题,本发明要解决的技术问题是提供一种针对USB移动存储设备自启 动病毒的免疫方法,该方法能够解决通过U盘或移动磁盘而感染“自动运行类”或“伪造欺 骗类”病毒等问题。本发明的技术方案为a、通过调整系统设置以关闭autorun. inf自启动功能;b、在U盘或移动磁盘的根目录下创建3个分别名为“autorun. inf", "desktop, ini”和“folder, htt”的免疫文件夹,以及名为“recycled”的免疫文件;c、在每个免疫文件夹下均创建一个具有特殊保护属性的免疫文件。进一步的,步骤b中,当U盘或移动磁盘插入计算机时,系统会识别出已插入的 移动设备,该方法检测u盘或移动磁盘的根目录下是否存在autorun. inf、desktop, ini、 folder, htt免疫文件夹和recycled免疫文件如果存在,则删除该文件夹或文件;否则,进 行免疫操作,即建立名为“autorun. inf ”、“desktop. ini”、“folder. htt”的文件夹以及具 有特殊保护recycled文件;进一步的,autorun. inf、desktop, ini 禾口 folder, htt 文件夹以及 Recycled 文件 是为了防止与之同名的autorun. inf,desktop, ini和folder, htt文件以及Recycled文件 夹被创建而建立的;autorun. inf文件是USB移动存储设备自启动文件,该文件容易被病毒文件所 利用并进行关联;desktop, ini文件是文件夹及桌面配置文件,该文件容易被病毒文件所 利用并进行配置;folder, htt文件是文件夹模板文件,该文件会影响文件夹的显示图标; Recycled文件是磁盘回收站文件夹,该文件夹会被修改成执行文件来误导用户点击;进一步的,步骤c中,所述特殊保护属性的免疫文件是通过修改文件属性和文件 名称来防止被恶意删除。该方法可以保证USB移动设备不再被创建恶意文件或目录,且有效地拒绝通过自启动文件运行的病毒程序或恶意欺骗的病毒文件。
图1是本发明USB移动存储设备自启动病毒的免疫方法的具体实施图。
具体实施例方式下面将结合附图及实施例对本发明的技术方案进行更详细的说明。本发明提供了一种针对USB移动存储设备自启动病毒的免疫方法。当USB移动设 备插入计算机后,该方法会及时发现该磁盘是否存在免疫文件和文件夹若不存在免疫文 件和文件夹,则实施免疫方法,从而保障用户计算机系统不被病毒感染。下面用本发明的一应用实例进一步加以说明。本实施例是提供一种针对USB移动存储设备自启动病毒的免疫方法该方法首先 禁用USB移动设备自动运行;当USB移动设备插入计算机时,该方法接收到操作系统发送的 USB移动设备插入消息“DBT_DEVICEARRIVAL”,然后检测插入的USB移动设备中是否存在与 免疫文件夹和文件同名的文件夹和文件存在,不存在将进行免疫操作并设置权限。本应用实例中,USB移动设备插入计算机后的具体实施如图1所示,包括如下步 骤一、禁止USB移动设备自动运行修改注册表,禁止移动磁盘自动播放功能修改注册表"HKEY_CURRENT_USER\Software\Microsoft\ffindows\CurrentVersion\ Policies\Explore,,"HKEY_LOCAL_MACHINE\Software\Microsoft\ffindoffs\CurrentVersion\ Policies\Explorer,,"HKEY_USERS\. DEFAULT\Software\Microsoft\ffindows\CurrentVersion\ Policies\Explorer,,"HKEY_USERS\S-l-5-18\Software\Microsoft\ffindoffs\CurrentVersion\ Policies\Explorer" "HKEY_USERS\S-l-5-19\Software\Microsoft\ffindows\ CurrentVersion\Policies\Explorer" "HKEY_USERS\S-l-5-20\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer"项下的"NoDriveTypeAutoRun,,键值为 “0xdf”16进制数。显示所有隐藏文件和显示系统文件修改注册表"HKEY_LOCAL_MACHINE\Software\Microsoft\ffindows\CurrentVersion\ Policies\Explorer\Advanced\Folder\Hidden\SHOffALL"项下的"CheckedValue,,键值为 “1”。建立免疫目录及免疫文件接收WM_DEVICECHANGE 消息当USB移动设备插入计算机时,该方法接收到系统发送的消息类型是否为USB移动设备插入消息“DBT_DEVICEARRIVAL” ;判断是否存在免疫文件夹当接收消息“DBT_DEVICEARRIVAL”后,判断检测插入的USB移动设备的根目录是 否存在与免疫文件夹和文件同名的文件夹和文件存在。免疫文件的名成为“desktop, ini”、 "folder, htt”和“autorun. inf”,免疫文件夹的名称为“recycled”。如果存在,则删除该文 件。建立3层免疫文件夹及免疫文件当删除已存在的文件和文件夹后,建立3个名为“desktop. ini”、“f0lder. htt”、 "autorun. inf”的免疫文件夹和一个名为“recycled”的免疫文件,在其3个文件夹中建 立1个2级文件夹名为“免疫目录不要删\xff.. ”,其中文件夹名中包含一个特殊的字符 “\xff”,该字符是为了防止病毒恶意删除而建立的特殊保护字符,在2级文件夹后再建立3 级文件夹名为“三级免疫目录\xff. ”。设置免疫文件夹访问权限(只有在NTFS磁盘格式下生效)建立免疫目录后,并把每一级目录的属性设置为隐藏、只读以及系统用户权限。
权利要求
一种针对USB移动存储设备自启动病毒的免疫方法,其特征在于,包括a、通过调整系统设置来关闭autorun.inf自启动功能;b、在U盘或移动磁盘的根目录下创建3个分别名为“autorun.inf”,“desktop.ini”和“folder.htt”的免疫文件夹,以及名为“recycled”的免疫文件;c、在每个免疫文件夹下均创建一个具有特殊保护属性的免疫文件。
2.如权利要求1所述的自启动病毒的免疫方法,其特征在于步骤b中,当U盘或移 动磁盘插入计算机时,系统会识别出已插入的移动设备,该方法检测U盘或移动磁盘的根 目录下是否存在autorun. inf、desktop, ini、folder, htt免疫文件夹禾口 recycled免疫文 件如果存在,则删除该文件夹或文件;否则,进行免疫操作,即建立名为“autorun. inf”、 "desktop, ini”、“folder, htt”的文件夹以及具有特殊保护recycled文件;
3.如权利要求2所述的自启动病毒的免疫方法,其特征在于所述autorun.inf、 desktop, ini和folder, htt文件夹以及Recycled文件是为了防止与之同名的autorun. inf、desktop, ini和folder, htt文件以及Recycled文件夹被创建而建立的;
4.如权利要求1所述的自启动病毒的免疫方法,其特征在于,所述特殊保护属性的免 疫文件是通过修改文件属性和文件名称来防止被恶意删除。
全文摘要
本发明公开了一种针对USB移动存储设备自启动病毒的免疫方法;该方法包括通过调整系统设置来关闭移动存储设备自启动功能;在U盘或移动磁盘的根目录下创建3个分别名为“autorun.inf”,“desktop.ini”“folder.htt”的免疫文件夹,以及名为“recycled”的免疫文件;在每个免疫文件夹下均创建一个具有特殊保护属性的免疫文件。该方法可以保证USB移动设备不再被创建恶意文件或目录,且有效地拒绝通过自启动文件运行的病毒程序或恶意欺骗的病毒文件。
文档编号G06F21/22GK101944169SQ20101023305
公开日2011年1月12日 申请日期2010年7月22日 优先权日2010年7月22日
发明者关墨辰, 孙洪伟 申请人:北京安天电子设备有限公司