隨身碟病讀防堵之道



贊助商連結


doomcat
2009-06-04, 12:38 PM
廢話不多說因為網頁內寫的會比我說的還清處
http://www.openfoundry.org/index.php?option=com_content&Itemid=144&id=1462&lang=en&task=view

引用Wow的自我介紹

◎ 開放源碼的隨身碟防毒軟體 - Wow! 隨身碟防毒系列

中央研究院資訊科學所自由軟體鑄造場,於 2008年 2 月釋出 Wow! USB Protector 隨身碟病毒偵測軟體。採用開放原始碼 GPL3 授權,供個人或企業自由使用與研究。

Wow! USB Protector 是一款自動偵測隨身碟是否含有惡意程式的自由軟體。可以偵測出常見的隨身碟病毒,提供即時捕捉隨身碟病毒或可疑程式的功能,是一款輔助防毒軟體的安全工具。目前有繁體中文與英文介面,支援 Windows 2000/XP/2003/Vista 32bit/64bit 作業系統。使用 Pyhton 程式語言撰寫、支援系統常駐、自動更新惡意程式病毒碼、合法程式白名單、可疑程式警訊等功能。

這些日子來,我對隨身碟病毒只能小心應對,關起自動撥放,開檔案使用檔案總管,不直接去點圖示,定時看設定是否有被更改,整體來說都只是消極的面對,防毒軟體也不是100%能抓的到,現實面上要在win上完全關閉自動撥放有一定的難度,光定時清查也不是半法,完整之道還是在"自動撥放"運行前就停止他,現在Wow! 隨身碟防毒系列真的做到這點,直接針對autorun.inf下手,只要開起autorun.inf就會去掃描,我自己建了一個autorun.inf & 一個文字內容的cmd檔(*.cmd可執行檔,目前我也遇到這種類型的隨身碟病毒),Wow的確抓到可疑病毒,整個達到了事前攔截的功能:king:以後在也不用怕隨身碟病毒了:D:D:D

贊助商連結


tvirus
2009-06-04, 12:59 PM
這玩意兒算不錯用,我在公司對幾台比較麻煩的電腦都有裝上這東西
至少不用裝SafeUSB那造成麻煩的鬼玩意兒

不過Python的垃圾越堆越多,甚至有時會造成Wow! USB Protector自己啟動失敗

doomcat
2009-06-04, 02:20 PM
在補上先前PCZONE上的討論串
http://www.pczone.com.tw/thread/28/141062/
&對此軟體的相關文章
http://blog.x-solve.com/2008/04/mis_07.html

歡迎繼續討論最佳解;)

tvirus
2009-06-04, 02:49 PM
最佳解?
完全把autorun功能給閹了最直接
再嚴禁使用[我的電腦]這圖示去點(用TweakUI隱藏,結果同事又自己"做"出來...)

只要扯到[人],只能讓方便性跟安全性取得適合該環境的平衡點

quell
2009-06-13, 03:46 AM
插個話,沒有autorun.inf 檔,但有病毒存在隨身碟根目錄的情況下,直接點擊隨身碟代號開啟會中毒嗎?

tvirus
2009-06-13, 09:29 AM
插個話,沒有autorun.inf 檔,但有病毒存在隨身碟根目錄的情況下,直接點擊隨身碟代號開啟會中毒嗎?
不會
除非還有desktop.inf :eye:
PS:點兩下似乎是不會去執行desktop.inf ...但是會依據desktop.inf顯示背景顏色等等東西

quell
2009-06-13, 10:08 AM
不會
除非還有desktop.inf :eye:
PS:點兩下似乎是不會去執行desktop.inf ...但是會依據desktop.inf顯示背景顏色等等東西

這就怪了,既然沒有autorun.inf就不會被感染,為什麼大多數人(or文章)還是執著於禁用自動播放之類的防護措施呢?

建立空的autorun.inf資料夾或者用PANDA出的USB Vaccine (http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx)不是更簡便嗎?

billeccentrec
2009-06-14, 12:46 AM
這就怪了,既然沒有autorun.inf就不會被感染,為什麼大多數人(or文章)還是執著於禁用自動播放之類的防護措施呢?

建立空的autorun.inf資料夾或者用PANDA出的USB Vaccine (http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx)不是更簡便嗎?

首先要先了解啥是 AutoRun, AutoPlay
AutoRun : 自動執行,雙擊根目錄時會啟動 autorun.inf
AutoPlay : 自動撥放,XP 後所加的東西

禁用自動撥放是很多人不想要新增一個硬體(多出根目錄)時就跳出詢問視窗,依個人所知,他並不會讓病毒有機可趁
而自動執行是雙擊根目錄時啟動 autorun.inf ,比較簡便的方法(或到外面的電腦)是直接打根目錄( F: ),取代原先的雙擊

要注意電腦中的"關閉自動執行",依之前討論好像僅針對光碟機關閉,其他東西(磁碟)並沒有,若要全部取消則要用到比教特殊的程式

其實建立空的 autorun.inf 很早就已經有這種方法了( kavo_killer ),但道高一尺,魔高一丈不是說假的

現在的防毒軟體都會注意雙擊根目錄的動作

至於 Desktop.ini 是更改資料夾圖示,並不會自動執行(雖然不知道以後會不會被黑客拿來作不適當使用)

Wow 出來就是要防止類似的病毒,也有一定時日了,因為他耗費很多資源就殺了

noeleon930
2009-07-13, 01:23 AM
用Linux就可以直接刪掉病毒,而且不會被感染...呵呵呵