沒的防吧!
防了隨身碟~卻又收了mail或即時通~
還是中一樣的毒~
就算建立 Autorun.inf 的唯讀資料夾~
病毒還是有辦法"硬作"出來~
可列印頁面
沒的防吧!
防了隨身碟~卻又收了mail或即時通~
還是中一樣的毒~
就算建立 Autorun.inf 的唯讀資料夾~
病毒還是有辦法"硬作"出來~
[QUOTE=YCR1023;1015884][url]http://www.openfoundry.org/Newsletter/OSSF/992008031401.html[/url]
一. Autorun.inf 的唯讀資料夾 存疑
二. 機碼啟動隨身碟的唯讀功能 無效
三. shift 鍵開啟隨身碟 無效
四. 隨身碟磁區上右鍵開啟檔案總管 無效
五. 機碼關掉自動啟動功能 無效
[/QUOTE]
一.沒有用,現在病毒都會更改唯讀
不如在Autorun.inf 插入一張圖
看圖有沒有消失
四.不如直接在網址打槽(CDEFGHI)
還比較方便
但還是很麻煩
不知有沒有比較好的軟體?
[QUOTE=YCR1023;1015884][url]http://www.openfoundry.org/Newsletter/OSSF/992008031401.html[/url]
OSSF::自由軟體鑄造場 - 避免隨身碟病毒.......其中一段
..............
破解網路流傳的防毒錦囊
...
錦囊五:使用機碼 (Registry) 關掉自動運行功能
網路上流傳 NoDriveTypeAutoRun 機碼可以關掉隨身碟自動運行 (autorun) 的功能。但這個方法仍然無法避免隨身碟病毒的感染。
...
五. 機碼關掉自動啟動功能 無效[/QUOTE]
[B]+1 & -1[/B]
以上聽起來[B]似是而非[/B], 如果病毒能感染隨身碟, 代表系統已經中毒, 如果這個系統已經安裝防毒軟體, 那就代表該(隨身碟)防毒軟體無法辨識病毒, 最該做的是趕快更新病毒碼和引擎
反觀另一台對於隨身碟病毒沒有防護能力但也沒有中毒的電腦, 只要設定 "[B]NoDriveTypeAutoRun = 0xdf[/B]" (僅允許光碟自動執行), 那麼隨身碟病毒就不會 "[B]不請自來[/B]", 會中毒, 必定是您主動 "[B]請君入甕[/B]", 所以[B]NoDriveTypeAutoRun 雖然無法阻止[U]中毒的電腦[/U]感染隨身碟, 但是可以有條件防止[U]沒有中毒的電腦[/U]散佈隨身碟病毒![/B] 請把觀念釐清, 勿再以訛傳訛
補充:
以下是原文作者所使用的測試NoDriveTypeAutoRun 登錄檔 ([URL="http://antbsd.twbbs.org/~ant/antivirus/DisableAutorun.reg"]DisableAutorun.reg[/URL]), "[B]NoDriveTypeAutoRun = 0x95[/B]", "[B]0x04 DRIVE_REMOVEABLE[/B]" 對某些隨身碟應該是有效的 (和[B]Removable Media Bit[/B] 有關), 但是保險一點應該是再加上 "[B]0x08 DRIVE_FIXED[/B]", 也就是 "0x9d" 比 "0x95" 更安全
[code]REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:00000095
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:00000095
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
"Autorun"=dword:00000000[/code]
[URL="http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx"]Windows 2000 Resource Kit > NoDriveTypeAutoRun[/URL]
[URL="http://www.microsoft.com/taiwan/whdc/device/storage/usbfaq.mspx"]USB Storage - FAQ for Driver and Hardware Developers[/URL]
[QUOTE=FYI;1016010]所以[B]NoDriveTypeAutoRun 雖然無法阻止[U]中毒的電腦[/U]感染隨身碟, 但是可以有條件防止[U]沒有中毒的電腦[/U]散佈隨身碟病毒![/B] 請把觀念釐清, 勿再以訛傳訛[/QUOTE]
不知道在"我的電腦"下對任意磁碟點2下
會不會運行"autorun.inf"?
[QUOTE=billeccentrec;1016015]不知道在"我的電腦"下對任意磁碟點2下
會不會運行"autorun.inf"?[/QUOTE]
[CODE]Value Meaning
0x1 Disables Autoplay on drives of unknown type.
0x4 Disables Autoplay on removable drives.
[B]0x8 Disables Autoplay on fixed drives.[/B]
0x10 Disables Autoplay on network drives.
0x20 Disables Autoplay on CD-ROM drives.
0x40 Disables Autoplay on RAM drives.
0x80 Disables Autoplay on drives of unknown type.
0xFF Disables Autoplay on all types of drives.[/CODE]
其他請參考:
[URL="http://www.pczone.com.tw/thread/28/135938/"]【木馬】無法顯示資料夾、kavo病毒解決之道![/URL]
[URL="http://www.pczone.com.tw/thread/3/131106/"]【轉貼】USB 儲存裝置(隨身碟, 外接式硬碟)自動執行 Autorun[/URL]
[QUOTE=FYI;1016021][CODE]Value Meaning
0x1 Disables Autoplay on drives of unknown type.
0x4 Disables Autoplay on removable drives.
[B]0x8 Disables Autoplay on fixed drives.[/B]
0x10 Disables Autoplay on network drives.
0x20 Disables Autoplay on CD-ROM drives.
0x40 Disables Autoplay on RAM drives.
0x80 Disables Autoplay on drives of unknown type.
0xFF Disables Autoplay on all types of drives.[/CODE]
[/QUOTE]
謝謝
在更改之前
我不敢直接點2下了
小弟先承認自己的錯誤, 等以後再詳細解釋
NoDriveTypeAutoRun 可以控制硬碟機[B]Autorun[/B], 但只能控制卸除式媒體裝置[B]AutoPlay[/B], 這是由於微軟多次在文件中提到只有[B]光碟機[/B]和[B]硬碟機[/B]才支援Autorun, [B]卸除式媒體裝置[/B]則否, 既然卸除式媒體裝置不支援Autorun, 那麼NoDriveTypeAutoRun 對於卸除式媒體裝置Autorun 也就不起作用, 或許程式碼就漏了這部份, 反而留下了[B]手動Autorun[/B] 的漏洞, 以上是小弟對於這個結果的懷疑
測試方法很容易, 不需要冒險以病毒程式測試, 因為測試的目的只是想知道[B]Autorun.inf 是否會被執行?[/B] 首先請在待測電腦的系統碟和隨身碟的根目錄分別存入[B]Autorun.inf[/B] 如下:
[CODE][AutoRun]
action=Test Autorun.inf
open=c:\windows\system32\cmd.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore=Explore(&X)
shell\explore\command=c:\windows\system32\notepad.exe[/CODE]
在待測電腦執行 "regedt32", 於以下機碼
[INDENT]HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer[/INDENT]
新增DWORD 值, 名稱 "[URL="http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx"]NoDriveTypeAutoRun[/URL]", 資料分四次輸入0, 4, 8, ff (十六進位), 重新啟動電腦使數值生效
測試項目:
[list=1][*]插入隨身碟, 是否出現自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 記事本或命令提示字元?[*]開啟我的電腦, 右擊 C:, 選單上的 "開啟([U]O[/U])" 是否變成 "Open([U]O[/U])"?[*]開啟我的電腦, 雙擊 C:, 是否自動執行記事本?[*]開啟我的電腦, 右擊隨身碟代號, 選單上的 "開啟([U]O[/U])" 是否變成 "Open([U]O[/U])"?[*]開啟我的電腦, 雙擊隨身碟代號, 是否自動執行記事本?[*]修改NoDriveTypeAutoRun, 重啟電腦並重複以上步驟[/list]
如果您看懂以上的結果, 那麼您就已經瞭解插上隨身碟還不至於會中毒, 中毒原因其實還是您自己 "[B]主動執行[/B]" 所造成的, 這是因為大多數網友並不了解 "[B]雙擊磁碟機[/B]" 的作用, 實際上就是執行Windows 預設的Shell Command, 當Autorun.inf 不存在時, 結果只是展開磁碟機目錄, 但是當Autorun.inf 存在於根目錄且符合Autorun 的條件, 此時就有可能執行Autorun.inf 所指定的Shell Command, 前提是此Shell Command 必須是 "[B]open[/B]", 才會取代Windows 預設的Shell Command
以上並未考慮以應用(驅動)程式達成隨身碟Autorun 的情況, 小弟的測試方法也許不夠完備, 錯誤在所難免, 敬請批評指教
[URL="http://indeepnight.blogspot.com/2008/01/testing-autorun.html"]indeepnight的IT部落格: 自動執行的測試(Testing Autorun)[/URL]
[URL="http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339"]資安論壇 :: 觀看文章 - 有關隨身碟 autorun.inf 觀念釐清問題[/URL]
[URL="http://msdn.microsoft.com/en-us/library/bb776823.aspx"]Autorun.inf Entries[/URL]
[URL="http://msdn.microsoft.com/en-us/library/bb776826(VS.85).aspx"]Creating an AutoRun-Enabled Application[/URL]
[INDENT][B]Note[/B] Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from [URL="http://msdn.microsoft.com/en-us/library/aa364939(VS.85).aspx"]GetDriveType[/URL].[/INDENT]
[QUOTE=FYI;1016111]
小弟先承認自己的錯誤, 等以後再詳細解釋
恕刪....[/QUOTE]
不愧是微軟,複雜得讓人摸不出頭緒
不過也謝謝大大的分析!
超精細的
也就是說
正常插下去是不會中毒的
點2下會執行內部的Autorun.inf而自動執行
可以去regedit改掉
但新的(好像是sp2之後)好像都會出現
[IMG]http://www.pczone.com.tw/attachment.php?attachmentid=15330&stc=1&d=1210047540[/IMG]
但病毒都不會出現
點2下就會直接執行
好像病毒都不會出現
如果直接打磁碟號(F:)好像就不會執行
[IMG]http://www.pczone.com.tw/attachment.php?attachmentid=15331&stc=1&d=1210047540[/IMG]
去外地電腦都這樣用
[QUOTE=FYI;1016111][URL="http://msdn.microsoft.com/en-us/library/bb776826(VS.85).aspx"]Creating an AutoRun-Enabled Application[/URL]
[INDENT][B]Note[/B] Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from [URL="http://msdn.microsoft.com/en-us/library/aa364939(VS.85).aspx"]GetDriveType[/URL].[/INDENT][/QUOTE]
根據以上文字, 卸除式媒體裝置 (DRIVE_REMOVABLE, Removable Media Bit Set) 本來就不應該支援Autorun.inf 才對, 不管是自動或手動, 嚴格來說, 如果Autorun 的定義是執行Autorun.inf 之中的 "[B]open[/B]" 或 "[B]shellexecute[/B]" 的話, 那麼以上微軟的敘述並沒有錯誤, 然而實驗結果卻是可以手動雙擊磁碟機圖示, 執行 "[B]shell[/B]" 指令, 就連許多專家都栽在這上頭, 您不妨以關鍵字 "NoDriveTypeAutoRun" 搜尋Google, 就可以發現許多文章都認為 "NoDriveTypeAutoRun" 可以阻止隨身碟病毒自動執行, 事實上不論如何設定, 並不會一插上隨身碟就執行病毒, 而是 "[B]人為操作[/B]" 才讓它執行, 此外, 另一個關鍵是操作者擁有[B]系統管理員的權限[/B], 否則病毒也只能暫存在記憶體中, 關機就消失
您大概還不瞭解Autorun 和Autoplay 的區別, 請參考以下文章:
[INDENT][URL="http://antbsd.twbbs.org/~ant/wordpress/?p=1085"]Yi-Feng Tzeng’s Blog » Blog Archive » The difference between Autoplay & Autorun[/URL]
[URL="http://www.cloanto.com/kb/3-162.html"]Difference between AutoRun and AutoPlay[/URL][/INDENT]
請仔細研究前述實驗的過程, 在Windows XP 之下, 硬碟機的[B]內容[/B]不會出現 "自動播放 (Autoplay)", 但是卸除式媒體裝置則一定會 ([B]選單[/B]則不一定), "NoDriveTypeAutoRun" 可以阻止Autorun.inf 修改從檔案總管 (我的電腦) 雙擊硬碟機圖示的預設Shell Command, 對於卸除式媒體裝置則不行, 由檔案總管或我的電腦顯示資料夾於左側, 再單擊或展開左側的磁碟機代號, 都不會導致Autorun.inf 執行, 但雙擊右側磁碟機圖示則可能會執行Autorun.inf, 請自行研究其中的區別, 最保險的作法是改變操作習慣, 千萬不要再雙擊磁碟機圖示
以上並未提及光碟機, 光碟機同時支援Autorun 和Autoplay, 兩種功能應該會按媒體類型而有某種優先順序, 小弟並未仔細研究, 有興趣者不妨自行研究
[URL="http://en.wikipedia.org/wiki/Autorun"]Autorun - Wikipedia, the free encyclopedia[/URL]
每次都讓FYI大打那麼多字回覆真是抱歉了
先辨別一下
AutoPlay:
[IMG]http://www.pczone.com.tw/attachments/28/15330d1210047535t.attachment[/IMG]
任何磁區皆會執行
Autorun:
[AutoRun]
action=Test Autorun.inf
open=c:\windows\system32\cmd.exe
硬碟,光碟會自動執行
但卸除式硬碟不會
點2下會自動執行
[QUOTE=billeccentrec;1016116]
但病毒都不會出現
點2下就會直接執行
好像病毒都不會出現
[/QUOTE]
現在的病毒不會出現AutoPlay
直接執行Autorun
讓人防不勝防