- UID
- 4473
- 帖子
- 5394
- 精华
- 2
- 贡献
- 30
- 推广
- 0
- 有效BUG
- 0
- 来自
- 中国├ 湖南
- 注册时间
- 2005-11-13
|
〔分享文件名黑名单〕NTFS文件系统的另种用法-封杀恶意程序
利用在NTFS文件系统有文件权限分配的功能和Windows同目录下不允许同名的文件或目录存在,可以封杀很多常见的恶意程序或木马。
这种方法其实很多人很早就琢磨出来了,只是写下来人的比较少。不过曾发现寄托天下在帖子提过,不记得是那篇了。
今天浏览帖子,发现还是有很多人为3721类的程序烦恼,我就以 3721 为例,写写怎么真正封杀这类程序。
原理:占名法。
条件:分区的文件系统是NTFS格式
分析:
要过滤,就要找到其规律。我们很容易发现,3271总会自动安装在:\Program Files\3721 下,不会安装到别的地方去,如果我们事先在\Program Files下建立一个3721的目录,并且把这个目录的权限设置为:任何人无权访问,那么就等于灭了3721的藏身之处,这样,就算我们不小心点击了安装3721,也不可能把3721安装成功。
操作:
在\Program Files下建立一个3721的目录,然后鼠标右击它,点击属性。如图,把图一“1”处勾选去掉,跳出对话框选删除(图一”2“处)。总之保证图二“名称那里”为空。一路确定即可。此时再试试双击3721这个目录,会提示“你无权访问”,表明设置成功。
附注:
1。在3721文件夹属性看不到“安全”?--首先确定你的分区是NTFS格式,其次,工具-文件夹选项-查看-不要选择“使用简单的文件夹共享”;
2。会有人说用Upiea类软件免疫不是更方便?不错,但就算免疫了,你手工点击安装3721等,还是可以成功安装的。(有些菜MM,告诉她别点击安装3721,但屡教不改,只好来点狠的了)
变通:
其它类似的照搬就可以的,杀个baidu不成问题。
1。也还是有人问:“以上是预防方法,可那些程序已经安装好了,怎么也删除不了,怎么办?”--删除不了是因为它在运行,我们别去管它在不在运行,把该程序的目录权限设置“任何人无权访问”,重启系统,这时,它是死定了吧,系统启动它也想跟着运行,却没有权限访问那个目录。接下来,我们把目录权限改成“administrators”这个组可以完全控制,把里面的文件清空,再把访问权限关闭。
2。病毒木马程序如果也出现有规律的名字,记下其文件名(包括扩展名),先删除它(删除不了依照1的方法,不必要非要到安全模式环境下),然后新建文本文件,改成刚记下的名字(提示扩展名警告,确定即可)。
好了,不知道写明白了没 |
|