請問一下USB病毒之防範

[不潔之力]

沒的防吧！
防了隨身碟~卻又收了mail或即時通~
還是中一樣的毒~

就算建立 Autorun.inf 的唯讀資料夾~
病毒還是有辦法"硬作"出來~

[billeccentrec]

引用:

作者: YCR1023

http://www.openfoundry.org/Newslette...008031401.html
一. Autorun.inf 的唯讀資料夾 存疑
二. 機碼啟動隨身碟的唯讀功能 無效
三. shift 鍵開啟隨身碟 無效
四. 隨身碟磁區上右鍵開啟檔案總管 無效
五. 機碼關掉自動啟動功能 無效

一.沒有用，現在病毒都會更改唯讀
不如在Autorun.inf 插入一張圖
看圖有沒有消失
四.不如直接在網址打槽(CDEFGHI)
還比較方便
但還是很麻煩

不知有沒有比較好的軟體?

[FYI]

引用:

作者: YCR1023

http://www.openfoundry.org/Newslette...008031401.html
OSSF::自由軟體鑄造場 - 避免隨身碟病毒.......其中一段
..............
破解網路流傳的防毒錦囊
...
錦囊五：使用機碼 (Registry) 關掉自動運行功能

網路上流傳 NoDriveTypeAutoRun 機碼可以關掉隨身碟自動運行 (autorun) 的功能。但這個方法仍然無法避免隨身碟病毒的感染。
...
五. 機碼關掉自動啟動功能 無效

+1 & -1

以上聽起來似是而非, 如果病毒能感染隨身碟, 代表系統已經中毒, 如果這個系統已經安裝防毒軟體, 那就代表該(隨身碟)防毒軟體無法辨識病毒, 最該做的是趕快更新病毒碼和引擎

反觀另一台對於隨身碟病毒沒有防護能力但也沒有中毒的電腦, 只要設定 "NoDriveTypeAutoRun = 0xdf" (僅允許光碟自動執行), 那麼隨身碟病毒就不會 "不請自來", 會中毒, 必定是您主動 "請君入甕", 所以NoDriveTypeAutoRun 雖然無法阻止中毒的電腦感染隨身碟, 但是可以有條件防止沒有中毒的電腦散佈隨身碟病毒! 請把觀念釐清, 勿再以訛傳訛

補充:
以下是原文作者所使用的測試NoDriveTypeAutoRun 登錄檔 (DisableAutorun.reg), "NoDriveTypeAutoRun = 0x95", "0x04 DRIVE_REMOVEABLE" 對某些隨身碟應該是有效的 (和Removable Media Bit 有關), 但是保險一點應該是再加上 "0x08 DRIVE_FIXED", 也就是 "0x9d" 比 "0x95" 更安全

語法:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
"Autorun"=dword:00000000

Windows 2000 Resource Kit > NoDriveTypeAutoRun
USB Storage - FAQ for Driver and Hardware Developers

[billeccentrec]

引用:

作者: FYI

所以NoDriveTypeAutoRun 雖然無法阻止中毒的電腦感染隨身碟, 但是可以有條件防止沒有中毒的電腦散佈隨身碟病毒! 請把觀念釐清, 勿再以訛傳訛

不知道在"我的電腦"下對任意磁碟點2下
會不會運行"autorun.inf"?

[FYI]

引用:

作者: billeccentrec

不知道在"我的電腦"下對任意磁碟點2下
會不會運行"autorun.inf"?

語法:

Value	Meaning
0x1  Disables Autoplay on drives of unknown type.
0x4  Disables Autoplay on removable drives.
0x8  Disables Autoplay on fixed drives.
0x10  Disables Autoplay on network drives.
0x20  Disables Autoplay on CD-ROM drives.
0x40  Disables Autoplay on RAM drives.
0x80  Disables Autoplay on drives of unknown type.
0xFF  Disables Autoplay on all types of drives.

其他請參考:
【木馬】無法顯示資料夾、kavo病毒解決之道！
【轉貼】USB 儲存裝置(隨身碟, 外接式硬碟)自動執行 Autorun

[billeccentrec]

引用:

作者: FYI

語法:

Value	Meaning
0x1  Disables Autoplay on drives of unknown type.
0x4  Disables Autoplay on removable drives.
0x8  Disables Autoplay on fixed drives.
0x10  Disables Autoplay on network drives.
0x20  Disables Autoplay on CD-ROM drives.
0x40  Disables Autoplay on RAM drives.
0x80  Disables Autoplay on drives of unknown type.
0xFF  Disables Autoplay on all types of drives.

謝謝
在更改之前
我不敢直接點2下了

[FYI]

小弟先承認自己的錯誤, 等以後再詳細解釋

NoDriveTypeAutoRun 可以控制硬碟機Autorun, 但只能控制卸除式媒體裝置AutoPlay, 這是由於微軟多次在文件中提到只有光碟機和硬碟機才支援Autorun, 卸除式媒體裝置則否, 既然卸除式媒體裝置不支援Autorun, 那麼NoDriveTypeAutoRun 對於卸除式媒體裝置Autorun 也就不起作用, 或許程式碼就漏了這部份, 反而留下了手動Autorun 的漏洞, 以上是小弟對於這個結果的懷疑

測試方法很容易, 不需要冒險以病毒程式測試, 因為測試的目的只是想知道Autorun.inf 是否會被執行? 首先請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:

語法:

[AutoRun]
action=Test Autorun.inf
open=c:\windows\system32\cmd.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore=Explore(&X)
shell\explore\command=c:\windows\system32\notepad.exe

在待測電腦執行 "regedt32", 於以下機碼

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

新增DWORD 值, 名稱 "NoDriveTypeAutoRun", 資料分四次輸入0, 4, 8, ff (十六進位), 重新啟動電腦使數值生效

測試項目:

1. 插入隨身碟, 是否出現自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 記事本或命令提示字元?
2. 開啟我的電腦, 右擊 C:, 選單上的 "開啟(O)" 是否變成 "Open(O)"?
3. 開啟我的電腦, 雙擊 C:, 是否自動執行記事本?
4. 開啟我的電腦, 右擊隨身碟代號, 選單上的 "開啟(O)" 是否變成 "Open(O)"?
5. 開啟我的電腦, 雙擊隨身碟代號, 是否自動執行記事本?
6. 修改NoDriveTypeAutoRun, 重啟電腦並重複以上步驟

如果您看懂以上的結果, 那麼您就已經瞭解插上隨身碟還不至於會中毒, 中毒原因其實還是您自己 "主動執行" 所造成的, 這是因為大多數網友並不了解 "雙擊磁碟機" 的作用, 實際上就是執行Windows 預設的Shell Command, 當Autorun.inf 不存在時, 結果只是展開磁碟機目錄, 但是當Autorun.inf 存在於根目錄且符合Autorun 的條件, 此時就有可能執行Autorun.inf 所指定的Shell Command, 前提是此Shell Command 必須是 "open", 才會取代Windows 預設的Shell Command

以上並未考慮以應用(驅動)程式達成隨身碟Autorun 的情況, 小弟的測試方法也許不夠完備, 錯誤在所難免, 敬請批評指教

indeepnight的IT部落格: 自動執行的測試（Testing Autorun）
資安論壇 :: 觀看文章 - 有關隨身碟 autorun.inf 觀念釐清問題
Autorun.inf Entries
Creating an AutoRun-Enabled Application

Note Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from GetDriveType.

[billeccentrec]

引用:

作者: FYI

小弟先承認自己的錯誤, 等以後再詳細解釋

恕刪....

不愧是微軟，複雜得讓人摸不出頭緒
不過也謝謝大大的分析!
超精細的

也就是說
正常插下去是不會中毒的
點2下會執行內部的Autorun.inf而自動執行
可以去regedit改掉

但新的(好像是sp2之後)好像都會出現

但病毒都不會出現
點2下就會直接執行
好像病毒都不會出現

如果直接打磁碟號(F好像就不會執行

去外地電腦都這樣用

[FYI]

引用:

作者: FYI

Creating an AutoRun-Enabled Application

Note Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from GetDriveType.

根據以上文字, 卸除式媒體裝置 (DRIVE_REMOVABLE, Removable Media Bit Set) 本來就不應該支援Autorun.inf 才對, 不管是自動或手動, 嚴格來說, 如果Autorun 的定義是執行Autorun.inf 之中的 "open" 或 "shellexecute" 的話, 那麼以上微軟的敘述並沒有錯誤, 然而實驗結果卻是可以手動雙擊磁碟機圖示, 執行 "shell" 指令, 就連許多專家都栽在這上頭, 您不妨以關鍵字 "NoDriveTypeAutoRun" 搜尋Google, 就可以發現許多文章都認為 "NoDriveTypeAutoRun" 可以阻止隨身碟病毒自動執行, 事實上不論如何設定, 並不會一插上隨身碟就執行病毒, 而是 "人為操作" 才讓它執行, 此外, 另一個關鍵是操作者擁有系統管理員的權限, 否則病毒也只能暫存在記憶體中, 關機就消失

您大概還不瞭解Autorun 和Autoplay 的區別, 請參考以下文章:

Yi-Feng Tzeng’s Blog » Blog Archive » The difference between Autoplay & Autorun
Difference between AutoRun and AutoPlay

請仔細研究前述實驗的過程, 在Windows XP 之下, 硬碟機的內容不會出現 "自動播放 (Autoplay)", 但是卸除式媒體裝置則一定會 (選單則不一定), "NoDriveTypeAutoRun" 可以阻止Autorun.inf 修改從檔案總管 (我的電腦) 雙擊硬碟機圖示的預設Shell Command, 對於卸除式媒體裝置則不行, 由檔案總管或我的電腦顯示資料夾於左側, 再單擊或展開左側的磁碟機代號, 都不會導致Autorun.inf 執行, 但雙擊右側磁碟機圖示則可能會執行Autorun.inf, 請自行研究其中的區別, 最保險的作法是改變操作習慣, 千萬不要再雙擊磁碟機圖示

以上並未提及光碟機, 光碟機同時支援Autorun 和Autoplay, 兩種功能應該會按媒體類型而有某種優先順序, 小弟並未仔細研究, 有興趣者不妨自行研究

Autorun - Wikipedia, the free encyclopedia

[billeccentrec]

每次都讓FYI大打那麼多字回覆真是抱歉了

先辨別一下
AutoPlay:

任何磁區皆會執行

Autorun:
[AutoRun]
action=Test Autorun.inf
open=c:\windows\system32\cmd.exe
硬碟,光碟會自動執行
但卸除式硬碟不會
點2下會自動執行

引用:

作者: billeccentrec

但病毒都不會出現
點2下就會直接執行
好像病毒都不會出現

現在的病毒不會出現AutoPlay
直接執行Autorun
讓人防不勝防