.188 北京科技大学学报 2007年增刊2 2.1.2编辑注册表 为前提： 相对于编辑组策略，这种方法基本上不受Wi~ (I)确保分区的文件系统为NTFS; dows操作系统版本的限制，应用面更广泛，但要求 (2)在管理员权限下设置完毕后，用户的权限设 用户拥有Administrator(管理员)权限. 为Power User和User, 在“运行对话框中输入regedit,打开注册表编 然后选中所建立的“Autorun·inf”子目录，在右 辑器，展开到HKEY-CURRENT-USER\Soft- 键菜单中选择“属性”，然后选择“安全”“高级”，取 ware\Microsoft\Windows Current Version Poli- 消“允许父项的继承”并确认，即可实现所有用 cies\Exploer主键下，在右侧窗格中找到“NoDriv 户都无法访问该子目录，如图1所示 eTypeAutoRun'”项，它决定了是否执行各驱动器Au t的西绿支全男 服州华填的理 toRun功能， 该健值是一个8位的二进制数，其中第3位代 能把湖于新有用户材t一d读有人笔的树时m,范且月有新有重才起法 表移动硬盘（包括U盘），第4位代表硬盘，第6位 他形电世鸣中 代表光驱.默认值是1010100（各位的0值表示允 许自动运行，1值表示禁止)，对应16进制的数值为 口光清父球世单数用保对家养有子对康，售的悲在北形他定女有面烟。 95,可以看出其中硬盘默认为是允许自动运行设备， 将其改为1后值为1011100(16进制值为9D). 质一中7解边拉 将该键值设定为9D即可关闭硬盘分区的自动 运行， 2.2禁止生成Autorun-inf文件 图1文件系统中文件安全属性设置 上述方法除受系统版本限制或者受用户权限限 制之外，还一个先天不足，因为这种编辑方法，既可 3 Autorun病毒清除方法 以手工修改，也可以通过程序修改，如果在用户修改 如果在采用防预措施之前系统就已经感染了 之前已经中毒了，或者有其他相关病毒，可以将用户 Autorun病毒，用户可以使用该类病毒的专杀软件 编辑过的组策略或者注册表再改成原来的值，就失 但是由于病毒专杀软件一般都有自己的盲区，如果 去这种免疫力，因而需要进一步研究可靠的防预方 用户熟悉于Windows系统，建议使用手动清除则能 法· 得到更好的效果， 对于Windows而言，目录是一种特殊的文件， 由于使用Windows的文件管理器浏览分区时 而同一个目录下是不能有两个相同文件名的，针对 会不可避免地触发Autorun病毒，因而清除该类病 Autorun病毒的免疫机理就在于此 毒时建议用户使用第三方文件管理软件，如使用 2.2.1普通免疫方法 Total Commander(简称TC),能尽量避免病毒启动 在硬盘每个分区、移动设备的根目录下手动建 可能性， 立一个“Autorun.inf”子目录，并设置其属性为“隐 在TC中打开驱动器，找到Autorun.inf文件， 藏、系统、只读”，病毒就不能自动再生成Autorun, 用记事本打开，找到并记住默认执行的病毒文件的 inf文件以运行病毒，达到免疫目的， 文件名和路径，退出后删除该文件，然后分不同情况 这种处理方式由于可以通过简单的DOS命令 进行处理， 删除，所以一般只对老版本的Autorun病毒有效，可 3.1能进入安全模式 以通过在Autorun·inf子目录下再建立一层子目录 对于有些病毒，可以在任务管理器中查看其相 或者在DOS下用“mda…\”这类命令建立特殊子 应的进程，可直接结束该病毒进程后按Autorun,inf 目录，使得该目录不能轻易被删除已达到更安全的 文件中所指示的文件，删除病毒即可 目的 而有些病毒在任务管理器中找不到，或者具有 2.2.2高级免疫方法 互锁的双进程，被结束又会重新运行，则需要在 如果病毒的版本足够新、足够恶毒，上述Au~ Windows系统安全模式中删除病毒主体. torun·inf目录仍然可以被破坏，面对这样的病毒，需 重新启动电脑，在硬件自检后，Windows系统启 要更高级的免疫方法 动画面刚出现的时候按F8键，选择“安全模式”即 能彻底防预Autorun病毒的方法，以如下两点 可进入安全模式，安全模式只加载了必要的内核程2∙1∙2 编辑注册表 相对于编辑组策略‚这种方法基本上不受 Win￾dows 操作系统版本的限制‚应用面更广泛．但要求 用户拥有 Administrator（管理员）权限． 在“运行”对话框中输入 regedit‚打开注册表编 辑器‚展开到 HKEY— CURRENT — USER ＼Soft￾ware＼Microsoft＼Windows＼CurrentVersion＼Poli￾cies＼Exploer 主键下‚在右侧窗格中找到“NoDriv￾eTypeAutoRun”项‚它决定了是否执行各驱动器 Au￾toRun 功能． 该健值是一个8位的二进制数‚其中第3位代 表移动硬盘（包括 U 盘）‚第4位代表硬盘‚第6位 代表光驱．默认值是1010100（各位的0值表示允 许自动运行‚1值表示禁止）‚对应16进制的数值为 95‚可以看出其中硬盘默认为是允许自动运行设备‚ 将其改为1后值为1011100（16进制值为9D）． 将该键值设定为9D 即可关闭硬盘分区的自动 运行． 2∙2 禁止生成 Autorun．inf 文件 上述方法除受系统版本限制或者受用户权限限 制之外‚还一个先天不足‚因为这种编辑方法‚既可 以手工修改‚也可以通过程序修改‚如果在用户修改 之前已经中毒了‚或者有其他相关病毒‚可以将用户 编辑过的组策略或者注册表再改成原来的值‚就失 去这种免疫力‚因而需要进一步研究可靠的防预方 法． 对于 Windows 而言‚目录是一种特殊的文件‚ 而同一个目录下是不能有两个相同文件名的‚针对 Autorun 病毒的免疫机理就在于此． 2∙2∙1 普通免疫方法 在硬盘每个分区、移动设备的根目录下手动建 立一个“Autorun．inf ”子目录‚并设置其属性为“隐 藏、系统、只读”‚病毒就不能自动再生成 Autorun． inf 文件以运行病毒‚达到免疫目的． 这种处理方式由于可以通过简单的 DOS 命令 删除‚所以一般只对老版本的 Autorun 病毒有效‚可 以通过在 Autorun．inf 子目录下再建立一层子目录 或者在 DOS 下用“md a…＼”这类命令建立特殊子 目录‚使得该目录不能轻易被删除已达到更安全的 目的． 2∙2∙2 高级免疫方法 如果病毒的版本足够新、足够恶毒‚上述 Au￾torun．inf 目录仍然可以被破坏‚面对这样的病毒‚需 要更高级的免疫方法． 能彻底防预 Autorun 病毒的方法‚以如下两点 为前提： （1）确保分区的文件系统为 NTFS； （2）在管理员权限下设置完毕后‚用户的权限设 为 Power User 和 User． 然后选中所建立的“Autorun．inf ”子目录‚在右 键菜单中选择“属性”‚然后选择“安全”→“高级”‚取 消“允许父项的继承……”并确认‚即可实现所有用 户都无法访问该子目录‚如图1所示． 图1 文件系统中文件安全属性设置 3 Autorun 病毒清除方法 如果在采用防预措施之前系统就已经感染了 Autorun 病毒‚用户可以使用该类病毒的专杀软件． 但是由于病毒专杀软件一般都有自己的盲区‚如果 用户熟悉于 Windows 系统‚建议使用手动清除则能 得到更好的效果． 由于使用 Windows 的文件管理器浏览分区时 会不可避免地触发 Autorun 病毒‚因而清除该类病 毒时建议用户使用第三方文件管理软件‚如使用 Total Commander（简称 TC）‚能尽量避免病毒启动 可能性． 在 TC 中打开驱动器‚找到 Autorun．inf 文件‚ 用记事本打开‚找到并记住默认执行的病毒文件的 文件名和路径‚退出后删除该文件‚然后分不同情况 进行处理． 3∙1 能进入安全模式 对于有些病毒‚可以在任务管理器中查看其相 应的进程‚可直接结束该病毒进程后按 Autorun．inf 文件中所指示的文件‚删除病毒即可． 而有些病毒在任务管理器中找不到‚或者具有 互锁的双进程‚被结束又会重新运行‚则需要在 Windows 系统安全模式中删除病毒主体． 重新启动电脑‚在硬件自检后‚Windows 系统启 动画面刚出现的时候按 F8键‚选择“安全模式”即 可进入安全模式．安全模式只加载了必要的内核程 ·188· 北 京 科 技 大 学 学 报 2007年 增刊2