請問一下USB病毒之防範 - 第 2 頁

第 2 頁,共 7 頁 首頁首頁 1 2 3 4 ... 末頁末頁
顯示結果從第 11 筆 到 20 筆,共計 66 筆
  1. #11
    會員
    註冊日期
    2004-10-18
    所在地區
    HINETADSL 2M/256
    討論區文章
    76

    回覆: 請問一下USB病毒之防範

    沒的防吧!
    防了隨身碟~卻又收了mail或即時通~
    還是中一樣的毒~

    就算建立 Autorun.inf 的唯讀資料夾~
    病毒還是有辦法"硬作"出來~

  2. #12
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 請問一下USB病毒之防範

    引用 作者:YCR1023 瀏覽文章
    http://www.openfoundry.org/Newslette...008031401.html
    一. Autorun.inf 的唯讀資料夾 存疑
    二. 機碼啟動隨身碟的唯讀功能 無效
    三. shift 鍵開啟隨身碟 無效
    四. 隨身碟磁區上右鍵開啟檔案總管 無效
    五. 機碼關掉自動啟動功能 無效
    一.沒有用,現在病毒都會更改唯讀
    不如在Autorun.inf 插入一張圖
    看圖有沒有消失
    四.不如直接在網址打槽(CDEFGHI)
    還比較方便
    但還是很麻煩

    不知有沒有比較好的軟體?

  3. #13
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294

    請勿散佈 "隨身碟網路謠言病毒"

    引用 作者:YCR1023 瀏覽文章
    http://www.openfoundry.org/Newslette...008031401.html
    OSSF::自由軟體鑄造場 - 避免隨身碟病毒.......其中一段
    ..............
    破解網路流傳的防毒錦囊
    ...
    錦囊五:使用機碼 (Registry) 關掉自動運行功能

    網路上流傳 NoDriveTypeAutoRun 機碼可以關掉隨身碟自動運行 (autorun) 的功能。但這個方法仍然無法避免隨身碟病毒的感染。
    ...
    五. 機碼關掉自動啟動功能 無效
    +1 & -1

    以上聽起來似是而非, 如果病毒能感染隨身碟, 代表系統已經中毒, 如果這個系統已經安裝防毒軟體, 那就代表該(隨身碟)防毒軟體無法辨識病毒, 最該做的是趕快更新病毒碼和引擎

    反觀另一台對於隨身碟病毒沒有防護能力但也沒有中毒的電腦, 只要設定 "NoDriveTypeAutoRun = 0xdf" (僅允許光碟自動執行), 那麼隨身碟病毒就不會 "不請自來", 會中毒, 必定是您主動 "請君入甕", 所以NoDriveTypeAutoRun 雖然無法阻止中毒的電腦感染隨身碟, 但是可以有條件防止沒有中毒的電腦散佈隨身碟病毒! 請把觀念釐清, 勿再以訛傳訛

    補充:
    以下是原文作者所使用的測試NoDriveTypeAutoRun 登錄檔 (DisableAutorun.reg), "NoDriveTypeAutoRun = 0x95", "0x04 DRIVE_REMOVEABLE" 對某些隨身碟應該是有效的 (和Removable Media Bit 有關), 但是保險一點應該是再加上 "0x08 DRIVE_FIXED", 也就是 "0x9d" 比 "0x95" 更安全
    語法:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveAutoRun"=-
    "NoDriveTypeAutoRun"=dword:00000095
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveAutoRun"=-
    "NoDriveTypeAutoRun"=-
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveAutoRun"=-
    "NoDriveTypeAutoRun"=dword:00000095
    
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
    "Autorun"=dword:00000000
    Windows 2000 Resource Kit > NoDriveTypeAutoRun
    USB Storage - FAQ for Driver and Hardware Developers
    此文章於 2008-05-05 07:17 PM 被 FYI 編輯。

  4. #14
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 請勿散佈 "隨身碟網路謠言病毒"

    引用 作者:FYI 瀏覽文章
    所以NoDriveTypeAutoRun 雖然無法阻止中毒的電腦感染隨身碟, 但是可以有條件防止沒有中毒的電腦散佈隨身碟病毒! 請把觀念釐清, 勿再以訛傳訛
    不知道在"我的電腦"下對任意磁碟點2下
    會不會運行"autorun.inf"?

  5. #15
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    引用 作者:billeccentrec 瀏覽文章
    不知道在"我的電腦"下對任意磁碟點2下
    會不會運行"autorun.inf"?
    語法:
    Value	Meaning
    0x1  Disables Autoplay on drives of unknown type.
    0x4  Disables Autoplay on removable drives.
    0x8  Disables Autoplay on fixed drives.
    0x10  Disables Autoplay on network drives.
    0x20  Disables Autoplay on CD-ROM drives.
    0x40  Disables Autoplay on RAM drives.
    0x80  Disables Autoplay on drives of unknown type.
    0xFF  Disables Autoplay on all types of drives.
    其他請參考:
    【木馬】無法顯示資料夾、kavo病毒解決之道!
    【轉貼】USB 儲存裝置(隨身碟, 外接式硬碟)自動執行 Autorun


    此文章於 2008-05-05 07:00 PM 被 FYI 編輯。

  6. #16
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 請問一下USB病毒之防範

    引用 作者:FYI 瀏覽文章
    語法:
    Value	Meaning
    0x1  Disables Autoplay on drives of unknown type.
    0x4  Disables Autoplay on removable drives.
    0x8  Disables Autoplay on fixed drives.
    0x10  Disables Autoplay on network drives.
    0x20  Disables Autoplay on CD-ROM drives.
    0x40  Disables Autoplay on RAM drives.
    0x80  Disables Autoplay on drives of unknown type.
    0xFF  Disables Autoplay on all types of drives.
    謝謝
    在更改之前
    我不敢直接點2下了

  7. #17
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    小弟先承認自己的錯誤, 等以後再詳細解釋

    NoDriveTypeAutoRun 可以控制硬碟機Autorun, 但只能控制卸除式媒體裝置AutoPlay, 這是由於微軟多次在文件中提到只有光碟機硬碟機才支援Autorun, 卸除式媒體裝置則否, 既然卸除式媒體裝置不支援Autorun, 那麼NoDriveTypeAutoRun 對於卸除式媒體裝置Autorun 也就不起作用, 或許程式碼就漏了這部份, 反而留下了手動Autorun 的漏洞, 以上是小弟對於這個結果的懷疑

    測試方法很容易, 不需要冒險以病毒程式測試, 因為測試的目的只是想知道Autorun.inf 是否會被執行? 首先請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:
    語法:
    [AutoRun]
    action=Test Autorun.inf
    open=c:\windows\system32\cmd.exe
    shell=open
    shell\open=Open(&O)
    shell\open\command=c:\windows\system32\notepad.exe
    shell\explore=Explore(&X)
    shell\explore\command=c:\windows\system32\notepad.exe
    在待測電腦執行 "regedt32", 於以下機碼
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    新增DWORD 值, 名稱 "NoDriveTypeAutoRun", 資料分四次輸入0, 4, 8, ff (十六進位), 重新啟動電腦使數值生效

    測試項目:
    1. 插入隨身碟, 是否出現自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 記事本或命令提示字元?
    2. 開啟我的電腦, 右擊 C:, 選單上的 "開啟(O)" 是否變成 "Open(O)"?
    3. 開啟我的電腦, 雙擊 C:, 是否自動執行記事本?
    4. 開啟我的電腦, 右擊隨身碟代號, 選單上的 "開啟(O)" 是否變成 "Open(O)"?
    5. 開啟我的電腦, 雙擊隨身碟代號, 是否自動執行記事本?
    6. 修改NoDriveTypeAutoRun, 重啟電腦並重複以上步驟

    如果您看懂以上的結果, 那麼您就已經瞭解插上隨身碟還不至於會中毒, 中毒原因其實還是您自己 "主動執行" 所造成的, 這是因為大多數網友並不了解 "雙擊磁碟機" 的作用, 實際上就是執行Windows 預設的Shell Command, 當Autorun.inf 不存在時, 結果只是展開磁碟機目錄, 但是當Autorun.inf 存在於根目錄且符合Autorun 的條件, 此時就有可能執行Autorun.inf 所指定的Shell Command, 前提是此Shell Command 必須是 "open", 才會取代Windows 預設的Shell Command

    以上並未考慮以應用(驅動)程式達成隨身碟Autorun 的情況, 小弟的測試方法也許不夠完備, 錯誤在所難免, 敬請批評指教

    indeepnight的IT部落格: 自動執行的測試(Testing Autorun)
    資安論壇 :: 觀看文章 - 有關隨身碟 autorun.inf 觀念釐清問題
    Autorun.inf Entries
    Creating an AutoRun-Enabled Application
    Note Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from GetDriveType.
    此文章於 2008-05-06 11:31 AM 被 FYI 編輯。

  8. #18
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 請問一下USB病毒之防範

    引用 作者:FYI 瀏覽文章
    小弟先承認自己的錯誤, 等以後再詳細解釋

    恕刪....
    不愧是微軟,複雜得讓人摸不出頭緒
    不過也謝謝大大的分析!
    超精細的

    也就是說
    正常插下去是不會中毒的
    點2下會執行內部的Autorun.inf而自動執行
    可以去regedit改掉

    但新的(好像是sp2之後)好像都會出現

    但病毒都不會出現
    點2下就會直接執行
    好像病毒都不會出現

    如果直接打磁碟號(F好像就不會執行

    去外地電腦都這樣用
    附加圖片 附加圖片 1.png   2.png  

  9. #19
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    引用 作者:FYI 瀏覽文章
    Creating an AutoRun-Enabled Application
    Note Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from GetDriveType.
    根據以上文字, 卸除式媒體裝置 (DRIVE_REMOVABLE, Removable Media Bit Set) 本來就不應該支援Autorun.inf 才對, 不管是自動或手動, 嚴格來說, 如果Autorun 的定義是執行Autorun.inf 之中的 "open" 或 "shellexecute" 的話, 那麼以上微軟的敘述並沒有錯誤, 然而實驗結果卻是可以手動雙擊磁碟機圖示, 執行 "shell" 指令, 就連許多專家都栽在這上頭, 您不妨以關鍵字 "NoDriveTypeAutoRun" 搜尋Google, 就可以發現許多文章都認為 "NoDriveTypeAutoRun" 可以阻止隨身碟病毒自動執行, 事實上不論如何設定, 並不會一插上隨身碟就執行病毒, 而是 "人為操作" 才讓它執行, 此外, 另一個關鍵是操作者擁有系統管理員的權限, 否則病毒也只能暫存在記憶體中, 關機就消失

    您大概還不瞭解Autorun 和Autoplay 的區別, 請參考以下文章:
    請仔細研究前述實驗的過程, 在Windows XP 之下, 硬碟機的內容不會出現 "自動播放 (Autoplay)", 但是卸除式媒體裝置則一定會 (選單則不一定), "NoDriveTypeAutoRun" 可以阻止Autorun.inf 修改從檔案總管 (我的電腦) 雙擊硬碟機圖示的預設Shell Command, 對於卸除式媒體裝置則不行, 由檔案總管或我的電腦顯示資料夾於左側, 再單擊或展開左側的磁碟機代號, 都不會導致Autorun.inf 執行, 但雙擊右側磁碟機圖示則可能會執行Autorun.inf, 請自行研究其中的區別, 最保險的作法是改變操作習慣, 千萬不要再雙擊磁碟機圖示

    以上並未提及光碟機, 光碟機同時支援Autorun 和Autoplay, 兩種功能應該會按媒體類型而有某種優先順序, 小弟並未仔細研究, 有興趣者不妨自行研究

    Autorun - Wikipedia, the free encyclopedia
    此文章於 2008-05-06 08:25 PM 被 FYI 編輯。

  10. #20
    會員
    註冊日期
    2008-03-07
    討論區文章
    389

    回覆: 請問一下USB病毒之防範

    每次都讓FYI大打那麼多字回覆真是抱歉了

    先辨別一下
    AutoPlay:

    任何磁區皆會執行

    Autorun:
    [AutoRun]
    action=Test Autorun.inf
    open=c:\windows\system32\cmd.exe
    硬碟,光碟會自動執行
    但卸除式硬碟不會
    點2下會自動執行

    引用 作者:billeccentrec 瀏覽文章
    但病毒都不會出現
    點2下就會直接執行
    好像病毒都不會出現
    現在的病毒不會出現AutoPlay
    直接執行Autorun
    讓人防不勝防



第 2 頁,共 7 頁 首頁首頁 1 2 3 4 ... 末頁末頁

類似的主題

  1. USB病毒,virustotal都掃不到
    作者:playgamefun 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 4
    最後發表: 2011-06-22, 04:51 AM
  2. 新的usb病毒??1jief.cmd
    作者:gameadd 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 3
    最後發表: 2008-10-14, 05:25 AM
  3. 關於Y信箱及USB病毒!
    作者:aaaeric 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 2
    最後發表: 2008-10-13, 11:17 AM
  4. USB-autorun.inf病毒很好防呀!
    作者:axpm0n 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 3
    最後發表: 2007-11-10, 09:18 PM
  5. 【求助】請問一下Mandrake8.X支援USB嗎
    作者:jackymar 所在討論版:-- FreeBSD & Linux 討 論 版
    回覆: 6
    最後發表: 2002-09-12, 06:50 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •