标题: 免疫U盘病毒 测试鸟 [打印本页]
作者: everest79 时间: 2008-1-5 00:42 标题: 免疫U盘病毒 测试鸟
利用软件安全策略禁止活动盘符可执行文件运行
免疫时先拔下U盘
@ECHO OFF
SETLOCAL ENABLEDELAYEDEXPANSION
SET REGPATH=HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1979a749-e808-fe92-174a-
SET VAR=0123456789abcdefghijklmnopqrstuvwxyz
SET PART=%var:~12%
fsutil fsinfo drives >%temp%\part.dat
for /l %%i in (0,1,23) do find /i "!part:~%%i,1!" %temp%\part.dat 2>nul 1>nul||set disk=!disk!!part:~%%i,1!
for /l %%x in (0,1,2) do (
for /l %%i in (0,1,11) do (
set /a newrandom=!random!%%16
call set ranos=%%var:~!newrandom!,1%%!ranos!
)
REG ADD "%regpath%!ranos!}" /v SaferFlags /t REG_DWORD /d 0 /f >nul
REG ADD "%regpath%!ranos!}" /v ItemData /t REG_EXPAND_SZ /d !disk:~%%x,1!:\ /f >nul
REG ADD "%regpath%!ranos!}" /v LastModified /t REG_BINARY /d 0 /f >nul
REG ADD "%regpath%!ranos!}" /v Description /d !disk:~%%x,1! /f >nul
set ranos=
)
echo n|gpupdate /Force >nul
pause
@ECHO OFFSETLOCAL ENABLEDELAYEDEXPANSION
SET REGPATH=HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1979a749-e808-fe92-174a-
SET VAR=0123456789abcdefghijklmnopqrstuvwxyz
SET PART=%var:~12%
fsutil fsinfo drives >%temp%\part.dat
for /l %%i in (0,1,23) do find /i "!part:~%%i,1!" %temp%\part.dat 2>nul 1>nul||set disk=!disk!!part:~%%i,1!
for /l %%x in (0,1,2) do (
for /l %%i in (0,1,11) do (
set /a newrandom=!random!%%16
call set ranos=%%var:~!newrandom!,1%%!ranos!
)
REG ADD "%regpath%!ranos!}" /v SaferFlags /t REG_DWORD /d 0 /f >nul
REG ADD "%regpath%!ranos!}" /v ItemData /t REG_EXPAND_SZ /d !disk:~%%x,1!:\ /f >nul
REG ADD "%regpath%!ranos!}" /v LastModified /t REG_BINARY /d 0 /f >nul
REG ADD "%regpath%!ranos!}" /v Description /d !disk:~%%x,1! /f >nul
set ranos=
)
echo n|gpupdate /Force >nul
pause
SETLOCAL ENABLEDELAYEDEXPANSION
SET REGPATH=HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1979a749-e808-fe92-174a-
SET VAR=0123456789abcdefghijklmnopqrstuvwxyz
SET PART=%var:~12% //part=cdefghijklmnopqrstuvwxyz
fsutil fsinfo drives >%temp%\part.dat //得到当前使用中的盘符
for /l %%i in (0,1,23) do find /i "!part:~%%i,1!" %temp%\part.dat 2>nul 1>nul||set disk=!disk!!part:~%%i,1! //生成未使用盘符变量disk
for /l %%x in (0,1,2) do ( //提取未使用盘符中的前三个
for /l %%i in (0,1,11) do (
set /a newrandom=!random!%%16
call set ranos=%%var:~!newrandom!,1%%!ranos! //生成12位16进制随机数
)
REG ADD "%regpath%!ranos!}" /v SaferFlags /t REG_DWORD /d 0 /f >nul //写注册表
REG ADD "%regpath%!ranos!}" /v ItemData /t REG_EXPAND_SZ /d !disk:~%%x,1!:\ /f >nul
REG ADD "%regpath%!ranos!}" /v LastModified /t REG_BINARY /d 0 /f >nul
REG ADD "%regpath%!ranos!}" /v Description /d !disk:~%%x,1! /f >nul
set ranos=
)
echo n|gpupdate /Force >nul //刷新策略
pause
[ Last edited by everest79 on 2008-1-5 at 03:42 PM ]
作者: awolf99 时间: 2008-1-5 13:29
太高深了 看不懂
作者: everest79 时间: 2008-1-18 05:12
up
作者: 429499381 时间: 2008-1-18 14:30
我在XP SP2 下测试失败, 来回实验了好几次
感觉你用的FOR嵌套太多, 变量搞得也太复杂, 该P处理的核心是使用安全策略
我对安全策略不懂, 也不知道该P处理哪里对我的电脑感冒。
作者: everest79 时间: 2008-1-19 02:03
非管理员吧?
作者: wanqiming 时间: 2008-2-10 21:43 标题: fd
dfgd
作者: i3i4i5 时间: 2008-2-19 17:11
晕,不小心在U盘里运行这个BAT文件.
现在一插U盘就自动播放了.问我要做什么操作
我以前一直是直接运行gpedit.msc 在管理模版/系统里关闭自动播放
作者: everest79 时间: 2008-2-19 19:00
这个脚本与自动播放没关系呀
作者: slore 时间: 2008-2-19 20:08
1979a749-e808-fe92-174a-
这个不是固定的……
作者: everest79 时间: 2008-2-19 20:12
这个无所谓,我随便写的
作者: slore 时间: 2008-2-19 21:42
我的意思别的计算机使用这个序列无效。。。
汗~~
作者: everest79 时间: 2008-2-20 04:25
是有效的,只不过没办法在软件策略里显示
作者: minspring 时间: 2008-2-20 11:45
学习了