Windows 安全系列05-U盘安全

版权声明:本文为博主原创文章,未经博主允许不得转载,否则将追究法律责任。 https://blog.csdn.net/qq_29277155/article/details/89668032

0x01 移动存储

      纵然网络云盘等日渐普及,但是企业员工使用移动存储盘进行数据交换的频率仍旧高,尤其是U盘带来了很多方便,但如果感染了病毒的话就会给我们带来很多困扰。

0x02 常见问题

1、对于U盘,一般作为临时拷贝文件使用,不适合:长期存放重要文件、直接打开编辑、直接运行软件等操作。

2、对于重要文件,拷贝到U盘使用后应及时删除,并将U盘及时拔下,避免长期插在电脑。

2、对于安全要求高的用户,如高管、财务人员等,U盘需单独分一个加密区用于存放重要文件,并设置访问密码。

3、取消【隐藏已知文件类型的扩展名】功能:打开我的电脑选择菜单是-"工具"-"文件夹选项"-"查看"-"隐藏已知文件类型的扩展名"(不要打√)。

4、插入计算机后,不要直接双击打开U盘,先用杀毒软件查杀病毒、木马。然后通过打开我的电脑,通过地址栏下拉选择或输入盘符(如F:)回车再打开U盘,减少被自动播放病毒感染的可能。

0x03 U盘中毒处理

1、若系统感染病毒

①应先升级杀毒软件病毒库,重新启动并按F8键,进入安全模式下全面杀毒。

②杀毒前不要双击任何一个驱动器的盘符,以免病毒再次运行。如确需打开某个硬盘,则用方法4的方法进入。

2、杀毒失败

①一般需要重新安装系统,重装后也只有C盘中的病毒被清除。其他硬盘中的病毒仍旧存在,双击其他盘符病毒可能会重复感染系统(特别是自动播放病毒),

② 手动删除:

使用PowerTool、ProcessExplorer、ProcessMonitor、深信服僵尸网络查杀工具分析出病毒进程

删除前需调出系统进程(Alt+Ctrl+Del)先终止该病毒进进程,同时将启动项、系统服务和驱动程序(新的病毒常常利用系统服务和驱动优先启动,造成杀毒软件无法启动或退出)进行检查。

0x04 U盘安全案例

案例1:U盘文件被恶意隐藏

查看U盘的磁盘空间大小,发现磁盘大小仍旧很大,证明文件存在

 

解决方案:

1、在【组织】 ->【文件夹和搜索选项】 ->【查看】,如下所示,把隐藏的文件和文件夹展示出来。

2、彻底解决这个问题:

@echo off
echo ==================================================================
echo ==============================================================
echo ==========================================================
echo please waiting for a while, you can go have a  tea, return later
echo It is working for your purpose
echo ...............................
echo .............
echo ....
for /f "delims=" %%i in ('dir /ah /s/b') do attrib "%%i" -s -h
echo it done!, please close it
echo Goodbye
pause
del %0

新建一个名为disclosure.txt, 把以上内容拷贝到这个文件里面。把txt后缀改成bat,然后运行它

2、U盘文件全部变成快捷方式

现象:U盘里面没有任何文件,全部是快捷方式,使用案例1的方法在安全人员的电脑显示了文件和文件夹,删除了快捷方式。但是U盘插入用户的电脑后,发现U盘里面又是快捷方式了。

处理:

  1. 取消U盘里面的文件的隐藏属性,操作方法如同案例1
  2. 电脑全面杀毒,检查定时任务、启动项、系统服务和驱动程序是否有异常。

本次案例是定时任务被植入了恶意自动启动项,杀毒软件不一定能够查杀,检查自动启动项发现:

wscript.exe //B "C:\Users\administrator\AppData\Local\Temp\win1.vbs"

必须强制结束wscript.exe ,然后删除以上自动启动项。

 

欢迎大家分享更好的思路,热切期待^^_^^ !

猜你喜欢

转载自blog.csdn.net/qq_29277155/article/details/89668032
0条评论
添加一条新回复