※ 引述《jeromeyang (woody)》之銘言： : USB 隨身碟主動防護嘗試 -- 更改檔案系統為 NTFS，再設定 Autorun.inf 檔權限 : ======================================================================== : 方法: 將隨身碟格式化成為 NTFS 格式，利用 cacls.exe 更改 Autorun.inf 檔的使用 : 者權限。除了本機之外的電腦只有唯讀權限，病毒理論上就無法改寫 Autorun.inf。 : 缺點: : 1. NTFS 格式不被 DOS 及 Windows 9x 作業系統支援。 : 2. 如果您在本機電腦刪除了 Autorun.inf，就要再設定一次。 : 還原方法: 將您的隨身碟格式化成為 FAT 或 FAT32，再把備份的檔案回存。 : 測試環境: Windows XP Pro 無隨身碟病毒感染環境 : 步驟: : 1. 備份您的隨身碟資料，以策安全。 : 2. 把隨身碟改成 NTFS 格式(可使用 convert 指令)(命令提示字元) : 　 C:\>convert <磁碟機代號> /FS:NTFS : 3. 如果隨身碟的根目錄下沒有 Autorun.inf，則自己建立一個 Autorun.inf。 : 用文字編輯器開一個空白文字檔，檔名存成 Autorun.inf (注意！不要存成 : Autorun.inf.txt) : 4. 查詢使用者權限(使用 cacls.exe)，我們的目標就是把除了您自己之外的使用者權限 : 都由完全控制(F)改成唯讀(R)。(命令提示字元) : C:\>cacls.exe <磁碟機代號>Autorun.inf : Autorun.inf BUILTIN\Administrators: F : NT AUTHORITY\SYSTEM: F : <您的電腦名稱>\<您的使用者名稱>: F : BUILTIN\Users: R : 5. 更改使用者權限(使用 cacls.exe)(命令提示字元)。 : C:\>cacls.exe <磁碟機代號>Autorun.inf /E /P: Administrators:R : C:\>cacls.exe <磁碟機代號>Autorun.inf /E /P: SYSTEM:R : 6. 再查詢使用者權限(使用 cacls.exe)(命令提示字元)。 : C:\>cacls.exe <磁碟機代號>Autorun.inf : Autorun.inf BUILTIN\Administrators: R : NT AUTHORITY\SYSTEM: R : <您的電腦名稱>\<您的使用者名稱>: F : BUILTIN\Users: R : 7. 成功!! : 測試: : 1. 在自己的電腦上，一切如常。您可以存取／變更／刪除 Autorun.inf 檔案 : 2. 在其他電腦上可以讀取 Autorun.inf 檔案，但在編輯／刪除／更改權限時會出現「存 : 取被拒」的警告訊息。 測試報告 環境：WINXP SP3 兩台 ，修改隨身碟的電腦沒有加入網域，測試讀取的電腦 有加入網域，身份為Domain Admin 隨身碟：皆為創見 V系列，一個1G ，一個4G >>2. 把隨身碟改成 NTFS 格式(可使用 convert 指令)(命令提示字元) >>: 　 C:\>convert <磁碟機代號> /FS:NTFS 在部分隨身碟上，執行這個指令時，會要求先執行 chkdsk /F 修正磁碟 原因為何？不知道 XD 但是只要執行完，應該就可以順利作convert .. >>如果隨身碟的根目錄下沒有 Autorun.inf，則自己建立一個 Autorun.inf。 個人習慣是建立autorun.inf 為目錄.. 其實是因為在CMD模式，沒有像Linux 的touch指令一樣可以建立空白檔案 又懶得切回視窗 ....... >>查詢使用者權限(使用 cacls.exe)，我們的目標就是把除了您自己之外的使用者權限 >> 都由完全控制(F)改成唯讀(R)。(命令提示字元) >> C:\>cacls.exe <磁碟機代號>Autorun.inf >> Autorun.inf BUILTIN\Administrators: F >> NT AUTHORITY\SYSTEM: F >> <您的電腦名稱>\<您的使用者名稱>: F >> BUILTIN\Users: R 在這邊有可能會出現預設是繼承來的everyone 帳號的權限。 像是： H:\>cacls autorun.inf H:\autorun.inf Everyone:(OI)(CI)F 而你預設登入WINDOWS的帳號假設是 administrator 那麼，建議先讓administrator 取得權限之後，再將原有的everyone FC的權限拿掉 方法如原PO所述第5點 拿掉原有權限指令為 H:\>cacls h:\autorun.inf /R everyone /E 已處理目錄: h:\autorun.inf 再確認一次權限設定 H:\>cacls h:\autorun.inf h:\autorun.inf PUREXP_SP3_HP\Administrator:(OI)(CI)F 把隨身碟接上其他的電腦，試著對autorun.inf 目錄進行刪除、更名等動作。 windows 都會跳出警告說明權限不足。 感謝原PO提供的方法！ ps.似乎沒辦法清除cacls 的所有權限設定，這樣子對於我要編寫login script 讓domain中的電腦自動針對磁碟機建立autorun.inf並且修改權限這樣的動作來說， 會增添不少麻煩。 另外就是，真的要破，也還是可以到檔案總管的權限頁去取得擁有者的權限。 不過這就不是一般USER會去操作的地方了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.87.137.85