請問一下USB病毒之防範 - 第 3 頁

第 3 頁,共 7 頁 首頁首頁 12345 ... 末頁末頁
顯示結果從第 21 筆 到 30 筆,共計 66 筆
  1. #21
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,296
    建議變更:
    控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> 使用快速使用者切換 -> 不勾
    如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要登出, 就可以讓設定生效, 不必浪費時間於重複開機

    請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:
    語法:
    [AutoRun]
    action=Test Autorun.inf
    shellexecute=c:\windows\system32\calc.exe
    shell=open
    shell\open=Open(&O)
    shell\open\command=c:\windows\system32\notepad.exe
    shell\explore\command=c:\windows\system32\cmd.exe
    ; shell\explore=Explore(&X)
    ; open=c:\windows\system32\calc.exe
    ; Only one of "open" and "shellexecute" will be executed.
    在待測電腦執行 "regedt32", 於以下機碼
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    新增DWORD 值, 名稱 "NoDriveTypeAutoRun", 資料分四次輸入0, 4, 8, df (十六進位), 登出使數值生效

    測試項目:
    1. 插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?
    2. 開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
    3. 開啟我的電腦, 雙擊 C:, 是否自動執行小算盤?
    4. 開啟我的電腦, 右擊 C:, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
    5. 開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
    6. 開啟我的電腦, 雙擊隨身碟代號, 是否自動執行小算盤?
    7. 開啟我的電腦, 右擊隨身碟代號, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
    8. 修改NoDriveTypeAutoRun, 登出並重複以上步驟

    以上主要說明 "What you see is NOT what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現

    如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久

    附件一: Test-Autorun.jpg
    說明: 第一個黑體字 "自動播放(P)" 是由 "shellexecute" 所產生, "開啟(O)" 和 "檔案總管(X)" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放(P)" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉

    附件二: Autoplay.jpg
    說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的


    附加圖片 附加圖片 test-autorun.jpg   autoplay.jpg  

  2. #22
    會員
    註冊日期
    2006-01-29
    討論區文章
    20

    回覆: 請問一下USB病毒之防範

    FYI大要不要測試看看將mountpoint2機碼鎖權限試看看?
    我有看到有人提到將這邊機碼鎖住可讓autorun失效

    位置在
    hkcu\software\microsoft\windows\currentversion\explorer\mountpoints2

    2000的話是
    hkcu\software\microsoft\windows\currentversion\explorer\mountpoints

  3. #23
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,296

    微軟作業系統關閉裝置自動執行功能設定方法

    NoDriveTypeAutoRun = 0x91 (Windows XP 預設值)
    實驗結果:
    一) 限制MountPoint2 機碼之Everyone 權限唯讀
    • 硬碟機: Autorun 終止
    • 卸除式媒體裝置: Autorun 終止
    • Autoplay 有效

    二) 停用 "Shell Hardware Detection" 服務
    • 硬碟機: Autorun 有效
    • 卸除式媒體裝置: Autorun 終止
    • Autoplay 終止
    請注意, 以上均會終止CD-ROM/DVD-ROM 之Autorun, 但Autoplay 則不一定

    小弟竟然忘了自己曾在 "【木馬】無法顯示資料夾、kavo病毒解決之道!" 之中, 提到關閉 "Shell Hardware Detection" 服務", 卻一直鑽牛角尖於 "NoDriveTypeAutoRun", 真是久未接觸, 愈活愈回去了, 不過這回徹底把Autorun, Autoplay 和NoDriveTypeAutoRun 給搞清楚, 總算沒有白忙一場, 然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機
    引用 作者:FYI 瀏覽文章
    關閉系統服務 "Shell Hardware Detection" 也可以停止自動播放
    Windows系統服務面面觀(下)
    Shell Hardware Detection(ShellHWDetection): 這項系統服務會監視及提供「自動播放」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置(例如光碟、隨身碟)上的內容(例如圖檔或影音檔),然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用,並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃(Flash)媒體、PC卡、外接的USB或1394硬碟;支援的內容類型包括: 圖檔(.jpg、.bmp、.gif、.tif)、音樂檔案(.mp3、.wma)、視訊檔案(.mpg、.asf)。如果停用這項系統服務,就會停止「自動播放」功能。
    微軟作業系統關閉裝置自動執行功能設定方法 (PDF)
    小心病毒就在USB中

  4. #24
    地平線的那端 DarkSkyline 的大頭照
    註冊日期
    2001-05-09
    所在地區
    Hinet 4M/1M
    討論區文章
    554

    回覆: 請問一下USB病毒之防範

    可以參考下列資料:
    Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具
    FYI:
    http://www.freegroup.org/wow-usb-pro...ill-usb-viruse
    Dark Skyline -三分技術,七分管理-
    Ublink 客服專線:0800-555195
    Ublink -看見您對網路的需求 http://ns2.ublink.org
    網路設備的專業服務團隊 - http://www.ublink.org
    小紅傘(AVIRA AntiVir)病毒回報網址 - http://analysis.avira.com/samples/index.php

  5. #25
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 請問一下USB病毒之防範

    引用 作者:DarkSkyline 瀏覽文章
    可以參考下列資料:
    Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具
    FYI:
    http://www.freegroup.org/wow-usb-pro...ill-usb-viruse
    很慢
    插進去一個槽(不論是哪個東西)
    都會開個cmd
    等5-10秒後
    他會說掃毒中
    掃完毒就15秒了....

    後來就給他殺了


    無法挑戰了

  6. #26
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 微軟作業系統關閉裝置自動執行功能設定方法

    每次都可以找到實用的網站
    真的很實用
    無法挑戰了

  7. #27
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,296
    引用 作者:billeccentrec 瀏覽文章
    一.沒有用,現在病毒都會更改唯讀
    不如在Autorun.inf 插入一張圖
    看圖有沒有消失
    加入 "icon" 是一個辨識的好方法, 另一個更簡單的方法是加入 "label", 例如 "label=無毒的SD1G", 希望病毒不會進化到懂得保留原Autorun.inf 的 "icon" & "label", 不過如果防毒軟體偵測到Autorun.inf 就殺, 那就白費工夫了

  8. #28
    會員
    註冊日期
    2008-03-27
    所在地區
    E1
    討論區文章
    4

    回覆: 請問一下USB病毒之防範

    參考小弟在 2008/01/28 的測試結果,
    http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

    與曾義峰在 2008/03/25 的測試結果:
    http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
    不謀而合!!

    如果要防止 USB 病毒,
    建議還是回歸到防毒軟體本身,

    改一大堆有的沒有的只是在騙自己....
    此文章於 2008-05-21 09:30 PM 被 wscooch 編輯。

  9. #29
    會員
    註冊日期
    2004-10-18
    所在地區
    HINETADSL 2M/256
    討論區文章
    76

    回覆: 請問一下USB病毒之防範

    引用 作者:wscooch 瀏覽文章
    參考小弟在 2008/01/28 的測試結果,
    http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

    與曾義峰在 2008/03/25 的測試結果:
    http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
    不謀而合!!

    如果要防止 USB 病毒,
    建議還是回歸到防毒軟體本身,

    改一大堆有的沒有的只是在騙自己....
    不太懂您想表達的意思!
    改東改西~也只是討論中~並未完全有定論~
    何來騙自己?
    如果防毒真的有用~也就不會有這篇討論了~

  10. #30
    .....
    註冊日期
    2001-03-26
    所在地區
    ADSL
    討論區文章
    539

    回覆: 請問一下USB病毒之防範

    偵測登錄檔改寫有用嗎?



類似的主題

  1. USB病毒,virustotal都掃不到
    作者:playgamefun 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 4
    最後發表: 2011-06-22, 04:51 AM
  2. 新的usb病毒??1jief.cmd
    作者:gameadd 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 3
    最後發表: 2008-10-14, 05:25 AM
  3. 關於Y信箱及USB病毒!
    作者:aaaeric 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 2
    最後發表: 2008-10-13, 11:17 AM
  4. USB-autorun.inf病毒很好防呀!
    作者:axpm0n 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 3
    最後發表: 2007-11-10, 09:18 PM
  5. 【求助】請問一下Mandrake8.X支援USB嗎
    作者:jackymar 所在討論版:-- FreeBSD & Linux 討 論 版
    回覆: 6
    最後發表: 2002-09-12, 06:50 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •