隨身碟病毒專殺工具

隨身碟病毒顧名思義就是通過隨身碟傳播的病毒。自從發現隨身碟的autorun.inf漏洞之後，隨身碟病毒的數量與日俱增。

病毒首先向隨身碟寫入病毒程式，然後更改autorun.inf檔案。autorun.inf檔案記錄用戶選擇何種程式來打開隨身碟。如果autorun.inf檔案指向了病毒程式，那么Window就會運行這個程式，引發病毒。一般病毒還會檢測插入的隨身碟，並對其實行上述操作，導致一個新的病毒隨身碟的誕生。

自然，病毒程式不可能明目張胆的出現，一般都是巧妙存在在隨身碟中。下面總結了一些方式，僅供參考：

1） 作為系統檔案隱藏。一般系統檔案是看不見的，所以這樣就達到了隱藏的效果。但這也是比較初級的。病毒一般不會採用這種方式。

2） 偽裝成其他檔案。由於一般人們不會顯示檔案的後綴，或者是檔案名稱太長看不到後綴，於是有些病毒程式將自身圖示改為其他檔案的圖示，導致用戶誤打開。

3） 藏於系統資料夾中。雖然感覺與第一種方式相同，但是不然。這裡的系統資料夾往往都具有迷惑性，如資料夾名是資源回收筒的名字。

4） 運用Window的漏洞。有些病毒所藏的資料夾的名字為 runauto...,這個資料夾打不開，系統提示不存在路徑。其實這個資料夾的真正名字是 runauto...\。

USBKiller

1.獨創SuperClean高效強力防毒引擎,查殺auto.exe、AV終結者、rising等上百種頑固隨身碟病毒,保證95%以上查殺率；

2.國內首創對電腦實行主動防禦，自動檢測清除插入隨身碟內的病毒，杜絕病毒通過隨身碟感染電腦；

3.免疫功能可以讓你製作自己的防毒隨身碟；　4.防止他人使用隨身碟、移動硬碟盜取電腦重要資料；　5.解除隨身碟鎖定狀態，解決拔出時無法停止設備的問題；　6.進程管理讓你迅速辨別並終止系統中的可疑程式；　7.完美解決雙擊無法打開磁碟的問題；　8.兼容其它防毒軟體，可配合使用。

USBCleaner

U 盤病毒又稱 Autorun 病毒，是通過 AutoRun.inf 檔案使對方所有的硬碟完全共享或中木馬的病毒。

隨著 U 盤，移動硬碟，存儲卡等移動存儲設備的普及，U 盤病毒也隨之泛濫起來。

國家計算機病毒處理中心發布公告稱 U 盤已成為病毒和惡意木馬程式傳播的主要途徑。

面對這一需要，U 盤病毒專殺工具- USBCleaner 應運而生。

USBCleaner 是一種純綠色的輔助防毒工具，支持簡體與繁體語言系統,獨有的分類查殺引擎具有檢測查殺 470 余種 U 盤病毒，U 盤病毒廣譜掃描，U 盤病毒免疫，修復顯示隱藏檔案及系統檔案，安全卸載移動盤盤符等功能，全方位一體化修復殺除 U 盤病毒。同時 USBCleaner 能迅速對新出現的 U 盤病毒進行處理

金山工具

前面所列出的專殺工具已經不能清除最新出現的隨身碟病毒，金山安全實驗室分析了眾多隨身碟病毒的規律，開發出新版隨身碟病毒專殺工具，可以智慧型分析，啟發判斷，通殺未知隨身碟病毒。同時，可以提供病毒免疫功能，阻止新隨身碟病毒的再次感染。對主要通過隨身碟傳播的conficker病毒有很好的清除能力。

軟體介紹

鵬瞰是“pre-scan”的音譯，意為搶先掃描，即在啟動計算機但未登錄計算機時，在Native環境下運行的病毒專殺工具。不同於普通的專殺，這是一款全新模式的病毒專殺工具，能比較好的解決頑固病毒在計算機啟動後無法清除的問題。

在Native環境下，病毒一般不會啟動，此時處理具有一定優勢，國內反病毒廠商第一家套用這項技術的是江民科技的BootScan，其次是瑞星的Bsmain，但都不免費，為此，我們把此功能和通用反病毒引擎的一些重要功能獨立出來做一個工具免費提供大家使用。它有以下幾個特點：

1. 完全免費，放心使用。

2. 運行平台為32位Win2000,Win2003,WinXP,Vista,Win7。

3. 搶先掃描，優勢不言而喻，能有效解決普通專殺對系統級病毒查殺不徹底的弱點。

4. 優良的引擎架構。編寫之初，我們翻閱了很多反病毒引擎方面的資料，最終確定了模式。事實上專殺工具即是反病毒引擎的裁剪版本，這使得我們的專殺擁有和通用反病毒引擎同樣強勁的功能，並且更加靈活。

5. 隨身碟專殺模組。我們專門針對隨身碟病毒設計了專殺模組，這個模組的功能日臻完善，通過基準庫、啟發庫、黑名單等一系列手段，比較徹底的清除病毒。我們的專殺模組是遞增的，之後添加的專殺模組和之前的模組捆綁發布，不會裁剪。

6. 針對專業級的用戶，我們提供了黑名單功能。對於未知病毒，允許用戶添加自己認為是病毒的樣本。是在新病毒突然爆發時，應對病毒庫升級滯後的應急措施。

7. 為了防止誤報，增加隔離區功能。在防毒之前，備份病毒樣本，目的是一旦發現誤報則可以還原為防毒之前的狀態，防止用戶數據丟失。一般而言，反病毒軟體廠商的誤報率在萬分之五以下，但誤報是無法避免的，即便是最優秀的防毒軟體。

8. 實時查殺。引擎在掃描時會自己學習病毒樣本，實現邊查殺邊學習再查殺功能，此功能為我們獨創，運行良好。

使用介紹

1.軟體解壓到目錄後，運行pre-scanUSB.exe，如圖：

2. 根據提示的使用說明，安裝即可。如果計算機上安裝有監控軟體，可能會被攔截，請允許安裝。本軟體需要寫註冊表System\\CurrentControlSet\\Control\\SessionManager\\BootExecute鍵值設定啟動防毒，並且在System\\CurrentControlSet\\Control下創建pre-scan鍵值並設定一些必要參數，最後將pre-scan.exe拷貝到系統目錄system32下。

3. 安裝成功後插入隨身碟。

4. 重新啟動後，會出現以下界面：

按’A’鍵 掃描所有盤

按’B’鍵 掃描關鍵目錄，例如c:\windows

按’C’鍵 掃描C糟，以此類推，按’D’鍵掃描D糟等待，這個系統顯示只存在C,E盤，而E盤是USB盤。

按’U’鍵 掃描隨身碟。注意，如果重啟之前沒有插入隨身碟時，不會出現此鍵。‘U’鍵是專門為清除隨身碟病毒設計的。此時，按’U’鍵和’E’鍵查殺效果相同。

按’Esc’鍵 退出程式。

技術參數

1. 基準庫

用於病毒特徵碼的添加。基準庫特徵碼為智慧型添加，在控制誤報率的基礎上實現了自動添加和引擎的無縫結合。

2. 啟發庫

用於類似隨身碟病毒的啟發。

3. 黑名單庫

即Md5值庫，用戶添加後根據Md5值查殺，Md5值誤報率極低，所以採取此方法，但添加黑名單時需要特別注意防止添加系統檔案。

4.脫殼庫

因為需要查殺Md5值，所以會儘量保證脫殼後和脫殼前的Md5值相同。

5. 解壓庫

可以解壓常見的檔案格式。

6. 實時庫

配合實時查殺技術設計。

7. 清除庫

針對感染類病毒。對一般的感染類病毒，一條特徵碼即可解毒；對複雜的感染類病毒，則通過專門的清除模組處理。

8.雲查殺功能

設計之初，我們充分考慮了面向網際網路的引擎設計要求，雲不用md5是可以實現的，使之更適應網際網路的發展。

9. 移植性

優良的引擎構架，使我們能輕而易舉的把引擎移植到各種平台，無論是手機、windows，Native，Linux，還是非x86系統。事實上我們的第一個版本是運行在PocketPC手機上，運行平台為WinCE系統，可以參考：免費手機防毒軟體V1.0。

10.誤報率

經嚴格測試，誤報率在萬分之五以下。

。。。。。。

還有很多的方面的技術，恕不一一指出。引擎的發展是多元化的，感興趣的朋友可以參考Clamav的引擎設計，其病毒庫類型豐富多彩，特徵碼變化萬千，引擎設計的本質就是變化，不斷適應新的網際網路環境。