思路是將該應用層驅動的註冊列表開機啓動關閉
利用的註冊列表如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR
子項裏面有“start”,
這個start的十六位DWORD值 有以下幾個主要的值
2-自啓動
3-默認啓動
4-禁止啓動
我的計算機默認是 3-默認啓動
思路是將該註冊列表改爲“4”,導出
使用ansible 的WinRM模塊進行每一小時(或者更頻繁)的腳本注入,將該註冊列表靜默更新爲DWORD=4
這樣做有兩個前提
第一,windows系統安裝並開啓WinRM並進行ansible控制工作;
第二,需要知道該windows操作系統的管理員登錄信息;