MS 已經把 "NoDriveTypeAutoRun" 漏洞補好了
[QUOTE=FYI;1016350]然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機[/QUOTE]
小弟發現MS 已經把 "[B]NoDriveTypeAutoRun[/B]" 漏洞補好了, 只要把數值改成 "[B]df[/B]" 或 "[B]ff[/B]", 就可以禁止隨身碟自動播放和自動執行, 當然也包含硬碟自動執行, Autorun.inf 的部份指令仍有效, 例如 "label", 代表仍會讀取Autorun.inf, 但是可以選擇性不執行其中的外部指令, 不過小弟一時還無法確定MS 到底修正了哪個檔案, 不論如何, 只要您保持WindowsUpdate, 就一定可以利用 "NoDriveTypeAutoRun" 控制自動播放和自動執行, 所以不用管別人怎麼說, 趕快更新最重要!
話說回來, 以上只是治標不治本, 所以防毒軟體還是有其重要性, 只不過由於小弟所使用的硬體跟不上潮流, 因此本身並不喜歡疊床架屋, 何苦另外又裝個專殺隨身碟病毒的軟體, 甚至第二套防毒軟體? 有用, 一套就夠了, 沒用, 除了討救兵之外, 檢討自己的操作習慣才是第一要務
[QUOTE=wscooch;1017879]參考小弟在 2008/01/28 的測試結果,
[url]http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339[/url]
與曾義峰在 2008/03/25 的測試結果:
[url]http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm[/url])
不謀而合!!
如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,
改一大堆有的沒有的只是在騙自己....[/QUOTE]
你大概沒有參考小弟在#23 最後所列出的兩個連結吧! 反正也已經不重要, 小弟平時確實會改些有的沒有的, 例如 "NoDriveTypeAutoRun", 大概是kavo 剛開始流行時, 看了[B]大砲開講[/B]才跟著改的, 以前或許並未產生應有的作用, 所以如你所說, 倒也欺騙自己好一陣子了, 但是誰說傻人沒傻福呢? 對於你堅持不改的作風, 小弟只有萬分佩服
回覆: MS 已經把 "NoDriveTypeAutoRun" 漏洞補好了
[QUOTE=FYI;1017912]小弟發現MS 已經把 "[B]NoDriveTypeAutoRun[/B]" 漏洞補好了, 只要把數值改成 "[B]df[/B]" 或 "[B]ff[/B]", 就可以禁止隨身碟自動播放和自動執行, 當然也包含硬碟自動執行, Autorun.inf 的部份指令仍有效, 例如 "label", 代表仍會讀取Autorun.inf, 但是可以選擇性不執行其中的外部指令, 不過小弟一時還無法確定MS 到底修正了哪個檔案, 不論如何, 只要您保持WindowsUpdate, 就一定可以利用 "NoDriveTypeAutoRun" 控制自動播放和自動執行, 所以不用管別人怎麼說, 趕快更新最重要!
話說回來, 以上只是治標不治本, 所以防毒軟體還是有其重要性, 只不過由於小弟所使用的硬體跟不上潮流, 因此本身並不喜歡疊床架屋, 何苦另外又裝個專殺隨身碟病毒的軟體, 甚至第二套防毒軟體? 有用, 一套就夠了, 沒用, 除了討救兵之外, 檢討自己的操作習慣才是第一要務
你大概沒有參考小弟在#23 最後所列出的兩個連結吧! 反正也已經不重要, 小弟平時確實會改些有的沒有的, 例如 "NoDriveTypeAutoRun", 大概是kavo 剛開始流行時, 看了[B]大砲開講[/B]才跟著改的, 以前或許並未產生應有的作用, 所以如你所說, 倒也欺騙自己好一陣子了, 但是誰說傻人沒傻福呢? 對於你堅持不改的作風, 小弟只有萬分佩服[/QUOTE]
1 其實所謂 "一些有的沒有的" 指的就是 "NoDriveTypeAutoRun",
2 一開始我也是看 Rogerspeaking 提供的訊息在半信半疑的狀況下針對
"NoDriveTypeAutoRun" 的屬性進行設定,
後來發現根本沒有任何差別,
一直到自己找原廠(Microsoft)文件並做實際測試(2008/01/28)後才初步確定沒用,
隨後不久又有人(曾義峰在 2008/03/25)進行類似測試並得到相同結果..
3 現在單位內近 300 台電腦,
除了少數10幾部無法使用隨身碟外,
其餘電腦都可以自由使用 USB 隨身碟,
而且電腦的 "NoDriveTypeAutoRun" 已改回預設值...
...
在這種近狀況 300 台電腦由員工自由使用 USB 隨身碟的狀況下,
防毒主控台一直都有發現使用者 USB 隨身碟有病毒,
但是以今年來說,
還沒發現任何一台電腦系統本身因 USB 隨身碟的使用而中毒,
所以我才會很肯定的說改一些有的沒有的(NoDriveTypeAutoRun)是沒用的!!
建立無法存取的Autorun.inf, 阻止自動執行
[QUOTE=BlueFang;1018316]目前只有两个方法有效,一个是独立运行后台常驻程序,随时监控autorun,例如usbkiller之类。一个是修改磁盘数据,建立只读autorun.inf,目前只对fat32类型有效,参见[url]http://bbs.et8.net/bbs/showthread.php?t=929213。[/url][/QUOTE]
中國網友也曾提出修改Shell32.dll, 將Autorun.inf 改掉, 再覆蓋回Windows, 達到不執行Autorun.inf 的目的, 這也是小弟先前誤認Shell32.dll 是禍首的原因
其次, BlueFang 網友所介紹在卸除式磁碟建立無法刪除或變更的Autorun.inf (FAT16/FAT32), 方法是從磁碟的Directory Table 找到 "AUTORUN INF" 進入點, 然後將第12 個位元組, 也就是檔案屬性(00ADVSHR), 原來是0x20, 代表Archive, 改成0xE5 或0xE2, 按照小弟的實驗, 以上技巧在於設定[B]未定義(公開)的位元(Bit6, Device)[/B], 導致作業系統無法存取Autorun.inf (存取被拒), 這個方法不但可以愚弄Windows XP, 也可以通過磁碟檢查, 這就達到[B]為卸除式磁碟打預防針[/B]的目的, 實在是一個聰明的辦法, 當然結果並非完全免疫, 而是免於自動執行, 操作步驟如下:
[list=1][*]以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 "AUTORUN.INF" (大寫)[*]開啟 [URL="http://www.pczone.com.tw/thread/67/139107/"]Tiny Hexer[/URL][*]點選 "File -> Disk -> Open drive..."[*]選擇卸除式磁碟代號, "Load" 輸入 "64" -> OK, 數字愈大, 讀取愈快[*]按下 Ctrl-F, 輸入 "AUTORUN INF " (有兩個空格), "Find text" 打勾, 點擊 "Find"[*]點擊 "Yes to [U]A[/U]ll"[*]找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零[*]紀錄標題所顯示的 "sectors" 起始位置[*]關閉檔案, 重新載入, "Load" 輸入 "1", "First sector" 輸入以上起始位置 -> OK[*]找到目標後, 將 "AUTORUN INF " 改成 "AUTORUN INF[B]@[/B]"[*]儲存並退出隨身碟[*]重新插入隨身碟, 嘗試讀取, 更名或刪除 "AUTORUN.INF"[/list]
以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備
[URL="http://en.wikipedia.org/wiki/8.3_filename"]8.3 filename - Wikipedia, the free encyclopedia[/URL]