思路是将该应用层驱动的注册列表开机启动关闭
利用的注册列表如下:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ USBSTOR
子项里面有“开始”,
这个开始的十六位DWORD值有以下几个主要的值
2 -自启动
3 -默认启动
4 -禁止启动
我的计算机默认是3 -默认启动
思路是将该注册列表改为“4”,导出
使用ansible的WinRM模块进行每一小时(或者更频繁)的脚本注入,将该注册列表静默更新字为=4
这样做有两个前提
第一,windows系统安装并开启WinRM并进行ansible控制工作,
第二,需要知道该窗口操作系统的管理员登录信息;
