[原创] 头疼医头，脚疼医脚。

baohe

时下流行通过修改drivers目录下的beep.sys加载驱动的病毒，这类病毒一旦通过此法得逞，中招用户杀毒比较麻烦。
针对这类病毒，我找了个“头疼医头脚疼医脚”法子（图1－图3）。用NTFS的权限，守住beep.sys，不让病毒动它。此法仅仅针对beep.sys修改问题。其它类似问题，可以仿此思路做（如：防止此毒篡改wuauclt.exe等）。
如此守住beep.sys后，用病毒MSRS.EXE样本(即：MSDOS.EXE的一个变种）试验了一下效果。效果是肯定的。
这样，用户即使中了此毒，删除那些病毒文件（.exe）即可。（病毒的后续动作，即：在C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下以及C:\Program Files\Internet Explorer目录下释放.pif文件－－－－根本就没发生）。

[ 本帖最后由 baohe 于 2008-7-31 09:52 编辑 ]

eyeego

想问下猫叔，有没有办法通过P来实现NTFS权限设置来着？: 123411

byxxdrls

cacls命令。

eyeego

OK。。。。。太棒了。。。。。。。。。去试试

eyeego

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
               [/P user:perm [...]] [/D user [...]]
   filename      显示 ACL。
   /T            更改当前目录及其所有子目录中
                 指定文件的 ACL。
   /E            编辑 ACL 而不替换。
   /C            在出现拒绝访问错误时继续。
   /G user:perm  赋予指定用户访问权限。
                 Perm 可以是: R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
   /P user:perm  替换指定用户的访问权限。
                 Perm 可以是: N  无
                              R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /D user       拒绝指定用户的访问。

貌似没有办法进行高级编辑

cc033

听猫叔这么一说，若是将所有的系统文件（当然不能动一些需要改动的了）都加上只读属性的话。。。
不就再也不怕病毒修改了？

eyeego

这可不行。。。。。
万一哪天更新的时候要替换某个文件。。。。。。。。

byxxdrls

不可能的。病毒也可以修改文件的属性与权限的。

cc033

听7、8楼的二位高手一说，想想也不恰当。
这个倒如何是好？

学习啊学习

咱们有张良计  病毒也有过墙梯  只能在不断在改变防御方式