請問一下USB病毒之防範 - 第 4 頁

第 4 頁,共 7 頁 首頁首頁 ... 2 3 4 5 6 ... 末頁末頁
顯示結果從第 31 筆 到 40 筆,共計 66 筆
  1. #31
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294

    MS 已經把 "NoDriveTypeAutoRun" 漏洞補好了

    引用 作者:FYI 瀏覽文章
    然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機
    小弟發現MS 已經把 "NoDriveTypeAutoRun" 漏洞補好了, 只要把數值改成 "df" 或 "ff", 就可以禁止隨身碟自動播放和自動執行, 當然也包含硬碟自動執行, Autorun.inf 的部份指令仍有效, 例如 "label", 代表仍會讀取Autorun.inf, 但是可以選擇性不執行其中的外部指令, 不過小弟一時還無法確定MS 到底修正了哪個檔案, 不論如何, 只要您保持WindowsUpdate, 就一定可以利用 "NoDriveTypeAutoRun" 控制自動播放和自動執行, 所以不用管別人怎麼說, 趕快更新最重要!

    話說回來, 以上只是治標不治本, 所以防毒軟體還是有其重要性, 只不過由於小弟所使用的硬體跟不上潮流, 因此本身並不喜歡疊床架屋, 何苦另外又裝個專殺隨身碟病毒的軟體, 甚至第二套防毒軟體? 有用, 一套就夠了, 沒用, 除了討救兵之外, 檢討自己的操作習慣才是第一要務
    引用 作者:wscooch 瀏覽文章
    參考小弟在 2008/01/28 的測試結果,
    http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

    與曾義峰在 2008/03/25 的測試結果:
    http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
    不謀而合!!

    如果要防止 USB 病毒,
    建議還是回歸到防毒軟體本身,

    改一大堆有的沒有的只是在騙自己....
    你大概沒有參考小弟在#23 最後所列出的兩個連結吧! 反正也已經不重要, 小弟平時確實會改些有的沒有的, 例如 "NoDriveTypeAutoRun", 大概是kavo 剛開始流行時, 看了大砲開講才跟著改的, 以前或許並未產生應有的作用, 所以如你所說, 倒也欺騙自己好一陣子了, 但是誰說傻人沒傻福呢? 對於你堅持不改的作風, 小弟只有萬分佩服

  2. #32
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    以下精彩文章, 礙於版權, 請自行前往
    安全性監控: 跳島攻擊:廠商贈品袋的入侵誘惑
    安全性監控: 跳島攻擊:防堵不當的依存性
    Windows Vista fails to properly handle the NoDriveTypeAutoRun registry value

    Autorun.inf 和Shell32.dll 有關, 小弟的版本是6.00.2900.3241 (xpsp_sp2_gdr.071025-1248), 但小弟還無法確定Shell32.dll 是否就是元兇, 所以僅提供參考

  3. #33
    You can call me sexy baby ㄚ一 的大頭照
    註冊日期
    2001-12-20
    所在地區
    小水管
    討論區文章
    1,175

    回覆: 請問一下USB病毒之防範

    說真的,kavo這類隨身碟病毒沒什麼特殊的
    玩了那麼久,永遠都是那101招
    買一套不差的防毒軟體,連特徵碼都不用更新
    就能夠搞定了
    Lawliet's blog
    Folding@home with GPGPU集中討論串,大家一起來努力朝著全球制霸的目標邁進!


  4. #34
    會員
    註冊日期
    2008-03-27
    所在地區
    E1
    討論區文章
    4

    回覆: MS 已經把 "NoDriveTypeAutoRun" 漏洞補好了

    引用 作者:FYI 瀏覽文章
    小弟發現MS 已經把 "NoDriveTypeAutoRun" 漏洞補好了, 只要把數值改成 "df" 或 "ff", 就可以禁止隨身碟自動播放和自動執行, 當然也包含硬碟自動執行, Autorun.inf 的部份指令仍有效, 例如 "label", 代表仍會讀取Autorun.inf, 但是可以選擇性不執行其中的外部指令, 不過小弟一時還無法確定MS 到底修正了哪個檔案, 不論如何, 只要您保持WindowsUpdate, 就一定可以利用 "NoDriveTypeAutoRun" 控制自動播放和自動執行, 所以不用管別人怎麼說, 趕快更新最重要!

    話說回來, 以上只是治標不治本, 所以防毒軟體還是有其重要性, 只不過由於小弟所使用的硬體跟不上潮流, 因此本身並不喜歡疊床架屋, 何苦另外又裝個專殺隨身碟病毒的軟體, 甚至第二套防毒軟體? 有用, 一套就夠了, 沒用, 除了討救兵之外, 檢討自己的操作習慣才是第一要務

    你大概沒有參考小弟在#23 最後所列出的兩個連結吧! 反正也已經不重要, 小弟平時確實會改些有的沒有的, 例如 "NoDriveTypeAutoRun", 大概是kavo 剛開始流行時, 看了大砲開講才跟著改的, 以前或許並未產生應有的作用, 所以如你所說, 倒也欺騙自己好一陣子了, 但是誰說傻人沒傻福呢? 對於你堅持不改的作風, 小弟只有萬分佩服
    1 其實所謂 "一些有的沒有的" 指的就是 "NoDriveTypeAutoRun",

    2 一開始我也是看 Rogerspeaking 提供的訊息在半信半疑的狀況下針對
    "NoDriveTypeAutoRun" 的屬性進行設定,
    後來發現根本沒有任何差別,
    一直到自己找原廠(Microsoft)文件並做實際測試(2008/01/28)後才初步確定沒用,
    隨後不久又有人(曾義峰在 2008/03/25)進行類似測試並得到相同結果..

    3 現在單位內近 300 台電腦,
    除了少數10幾部無法使用隨身碟外,
    其餘電腦都可以自由使用 USB 隨身碟,
    而且電腦的 "NoDriveTypeAutoRun" 已改回預設值...
    ...
    在這種近狀況 300 台電腦由員工自由使用 USB 隨身碟的狀況下,
    防毒主控台一直都有發現使用者 USB 隨身碟有病毒,
    但是以今年來說,
    還沒發現任何一台電腦系統本身因 USB 隨身碟的使用而中毒,

    所以我才會很肯定的說改一些有的沒有的(NoDriveTypeAutoRun)是沒用的!!
    此文章於 2008-05-26 12:06 AM 被 wscooch 編輯。

  5. #35
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    引用 作者:wscooch 瀏覽文章
    1 其實所謂 "一些有的沒有的" 指的就是 "NoDriveTypeAutoRun",

    2 一開始我也是看 Rogerspeaking 提供的訊息在半信半疑的狀況下針對
    "NoDriveTypeAutoRun" 的屬性進行設定,
    後來發現根本沒有任何差別,
    一直到自己找原廠(Microsoft)文件並做實際測試(2008/01/28)後才初步確定沒用,
    隨後不久又有人(曾義峰在 2008/03/25)進行類似測試並得到相同結果..
    艾克索夫實驗室 » 爆強!!! 中央研究院所推出專殺隨身碟病毒工具,各大MIS強力推薦
    其實MountPoint2 方案在對岸文章出現得很早, 而 "NoDriveTypeAutoRun" 又修正得很晚, 小弟並未指稱你的結論有誤, 而是你測試的項目少了 "MountPoint2"
    引用 作者:wscooch 瀏覽文章
    所以我才會很肯定的說改一些有的沒有的(NoDriveTypeAutoRun)是沒用的!!
    你從不啟用WindowsUpdate 嗎? 你不相信微軟 "知錯能改" 嗎?

    小弟自己更正一下, 原先以為問題在於Shell32.dll (KB943460), 後來又懷疑Explorer.exe (KB938828), 全部猜錯, 所以尚未找到是哪個修正程式, 繼續努力尋找中

  6. #36
    會員
    註冊日期
    2007-09-08
    所在地區
    FTTB 10M with PPPoE
    討論區文章
    52

    回覆: 請問一下USB病毒之防範

    目前只有两个方法有效,一个是独立运行后台常驻程序,随时监控autorun,例如usbkiller之类。一个是修改磁盘数据,建立只读autorun.inf,目前只对fat32类型有效,参见http://bbs.et8.net/bbs/showthread.php?t=929213。

    第二种方法比较新颖,跟往常见到的带小数点文件夹不同。

  7. #37
    會員
    註冊日期
    2008-03-27
    所在地區
    E1
    討論區文章
    4

    回覆: 請問一下USB病毒之防範

    引用 作者:FYI 瀏覽文章
    艾克索夫實驗室 » 爆強!!! 中央研究院所推出專殺隨身碟病毒工具,各大MIS強力推薦
    其實MountPoint2 方案在對岸文章出現得很早, 而 "NoDriveTypeAutoRun" 又修正得很晚, 小弟並未指稱你的結論有誤, 而是你測試的項目少了 "MountPoint2"

    你從不啟用WindowsUpdate 嗎? 你不相信微軟 "知錯能改" 嗎?

    小弟自己更正一下, 原先以為問題在於Shell32.dll (KB943460), 後來又懷疑Explorer.exe (KB938828), 全部猜錯, 所以尚未找到是哪個修正程式, 繼續努力尋找中
    說實在,
    USB 隨身碟病毒去年在我的服務單位造成我不少困擾,
    問題的事先預防與事後解決都有很多種不同方式,

    我一直試圖在兼顧安全與使用者便利的前提下,
    用最少的時間解決多數的問題,

    一開始從建立大量特定名稱目錄來防止病毒檔的產生開始,
    然後是 autorun 的相關設定反覆摸索,

    同時面對近300台電腦(說多不多,說少不少)的病毒處裡手法跟家用個人電腦的處理手法其實有很大的差異,

    有些方法在一定的期間內的確產生預期的效果,
    有的沒有,

    假設每遇到不同類型的病毒就要去更改每台電腦的不同登錄值才能解決問題,
    我的思考方向是立刻停止這種需要耗費大量人力的方法,
    並開始評估不同的工具或方法來達成問題的預防或處裡,

    或許 USB 隨身碟病毒的預防或解決真的可以或者是真的一定要去更改一些特定系統登錄值才能解決,

    那我真的會恨死病毒作者,比爾蓋茲和眾多的防毒大廠,

    並且審慎考量更換跑道..

    我的結論是:
    在不更改系統設定的狀況下就可以透過防毒軟體達到防護目的狀況下,
    何需去做那些修改?

    認識問題的來龍去脈是好事,
    但哪一種方式才能用最少資源解決多數問題,
    朝這個方向去探索討論或許會有一些不同的意外收穫!!
    此文章於 2008-05-27 08:26 PM 被 wscooch 編輯。

  8. #38
    會員
    註冊日期
    2004-10-18
    所在地區
    HINETADSL 2M/256
    討論區文章
    76

    回覆: 請問一下USB病毒之防範

    請問丫一大跟FYI大:
    不知您是否有遇過被"映像劫持"的電腦~
    當某檔案名稱被劫持後~全部該名稱的檔案會打不開~
    不知把這技術用在防止autorun.inf上面~是否可行?

  9. #39
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    引用 作者:不潔之力 瀏覽文章
    不知您是否有遇過被"映像劫持"的電腦~
    當某檔案名稱被劫持後~全部該名稱的檔案會打不開~
    這幾天不但沒找出影響 "NoDriveTypeAutoRun" 的檔案, 反而在執行Process Monitor 時, 把Windows 搞當了數次, 導致小弟現在也無法完全禁止隨身碟自動執行, 所以遲遲沒有上來回覆, 不過基於小弟的研究心得和前面幾位網友的問題有關, 所以提前報告如下:

    其實在wscooch 兄提到大量佈署的問題之前, 小弟就想回覆了, 但因為 "東施效顰" (學Mark 用Process Monitor) 不得其法, 所以遲疑了幾天
    有些問題可以在登入網域之後, 由DC 加以控制, 例如群組原則, 不過由於 "NoDriveTypeAutoRun" & "NoDriveAutoRun" 的作用不完整, 所以目前只能另謀出路, 小弟不懂DC, 所以不知道DC 是否能夠停用客戶端的 "Shell Hardware Detection" 服務? 否則再加上由群組原則停用自動播放, 就可以完全關閉卸除式磁碟機和硬碟機的自動執行

    如果您以Process Monitor 實驗, 就會發現自動執行之前, Rundll32.exe 會檢查兩個機碼, "RestrictRun" & "DisallowRun", 這兩個機碼都可以用來關閉特定名稱的程式", 但是kavo 變種太多, 因此成效不大, 真正有效的是由Nick Brown 所提出的:
    也就是你所要的答案, 讓Windows (csrss.exe) 把Autorun.inf 視為單純的安裝資訊檔, 而不是自動執行檔, 也就不會自動執行

    在Nick Brown 的文章中提到 "MountPoints2" (先前誤植為 "MountPoint2", 少了 "s") 會覆蓋 "NoDriveTypeAutoRun", 而由csrss.exe 檢查 "IniFileMapping" 機碼的行為來看, 很可能和 "Shell Hardware Detection" 服務有關, 因為只有在剛插入隨身碟時才會檢查 "IniFileMapping\Autorun.inf" 機碼, 而在小弟對於 "NoDriveTypeAutoRun" 的實驗中, 也發現似乎和 "Shell Hardware Detection" 的行為相關, 實驗步驟如下:
    1. 於本機磁碟(C:)和隨身碟的根目錄建立Autorun.inf 樣本
    2. 設定 "NoDriveTypeAutoRun=0xdf" (僅允許光碟自動執行), 重新啟動Windows
    3. 登入Windows 並插入隨身碟
    4. 開啟我的電腦, 雙擊本機磁碟(C:)? 結果如何?
    5. 雙擊隨身碟代號? 結果如何?
    6. 不取出隨身碟, 重新啟動並登入Windows
    7. 開啟我的電腦, 雙擊隨身碟代號? 結果如何?
    8. 設定 "NoDriveTypeAutoRun=0x91", 並重複以上步驟

    由以上實驗結果可知, "NoDriveTypeAutoRun" 可完全控制本機磁碟自動執行, 這是 "NoDriveTypeAutoRun" 原本就應該發揮的作用, 但是只能在不產生安插事件之下禁止卸除式磁碟機自動執行, 這到底是不是臭蟲? 或是原本就是如此設計? 不得而知, 此外, Windows Vista 的自動播放處理方式不同於以往, 小弟對Windows Vista 無所知, 所以留待各位去研究

    另一個避免不小心觸發自動執行的方法, 就是避免使用Windows 內建檔案總管, 改用第三方檔案管理程式, 小弟鄭重推薦 "xplorer² Lite", 在xplorer² 之中, 雙擊就是展開, 並不會執行Autorun.inf 之中的open 或shellexecute 指令, 但右鍵選單仍會受到Autorun.inf 影響

    最後, 至於變更Everyone 群組的 "MountPoints2" 權限, 由於目前對於 "MountPoints2" 的研究有限, 既然有其他方法可以限制自動執行, 所以沒有必要修改 "MountPoints2" 權限

    Steve Riley on Security : Autorun: good for you?
    Steve Riley on Security : More on Autorun
    Social Engineering, the USB Way - Desktop Security - Dark Reading

  10. #40
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294

    建立無法存取的Autorun.inf, 阻止自動執行

    引用 作者:BlueFang 瀏覽文章
    目前只有两个方法有效,一个是独立运行后台常驻程序,随时监控autorun,例如usbkiller之类。一个是修改磁盘数据,建立只读autorun.inf,目前只对fat32类型有效,参见http://bbs.et8.net/bbs/showthread.php?t=929213。
    中國網友也曾提出修改Shell32.dll, 將Autorun.inf 改掉, 再覆蓋回Windows, 達到不執行Autorun.inf 的目的, 這也是小弟先前誤認Shell32.dll 是禍首的原因

    其次, BlueFang 網友所介紹在卸除式磁碟建立無法刪除或變更的Autorun.inf (FAT16/FAT32), 方法是從磁碟的Directory Table 找到 "AUTORUN INF" 進入點, 然後將第12 個位元組, 也就是檔案屬性(00ADVSHR), 原來是0x20, 代表Archive, 改成0xE5 或0xE2, 按照小弟的實驗, 以上技巧在於設定未定義(公開)的位元(Bit6, Device), 導致作業系統無法存取Autorun.inf (存取被拒), 這個方法不但可以愚弄Windows XP, 也可以通過磁碟檢查, 這就達到為卸除式磁碟打預防針的目的, 實在是一個聰明的辦法, 當然結果並非完全免疫, 而是免於自動執行, 操作步驟如下:
    1. 以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 "AUTORUN.INF" (大寫)
    2. 開啟 Tiny Hexer
    3. 點選 "File -> Disk -> Open drive..."
    4. 選擇卸除式磁碟代號, "Load" 輸入 "64" -> OK, 數字愈大, 讀取愈快
    5. 按下 Ctrl-F, 輸入 "AUTORUN INF " (有兩個空格), "Find text" 打勾, 點擊 "Find"
    6. 點擊 "Yes to All"
    7. 找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零
    8. 紀錄標題所顯示的 "sectors" 起始位置
    9. 關閉檔案, 重新載入, "Load" 輸入 "1", "First sector" 輸入以上起始位置 -> OK
    10. 找到目標後, 將 "AUTORUN INF " 改成 "AUTORUN INF@"
    11. 儲存並退出隨身碟
    12. 重新插入隨身碟, 嘗試讀取, 更名或刪除 "AUTORUN.INF"

    以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備

    8.3 filename - Wikipedia, the free encyclopedia

第 4 頁,共 7 頁 首頁首頁 ... 2 3 4 5 6 ... 末頁末頁

類似的主題

  1. USB病毒,virustotal都掃不到
    作者:playgamefun 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 4
    最後發表: 2011-06-22, 04:51 AM
  2. 新的usb病毒??1jief.cmd
    作者:gameadd 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 3
    最後發表: 2008-10-14, 05:25 AM
  3. 關於Y信箱及USB病毒!
    作者:aaaeric 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 2
    最後發表: 2008-10-13, 11:17 AM
  4. USB-autorun.inf病毒很好防呀!
    作者:axpm0n 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 3
    最後發表: 2007-11-10, 09:18 PM
  5. 【求助】請問一下Mandrake8.X支援USB嗎
    作者:jackymar 所在討論版:-- FreeBSD & Linux 討 論 版
    回覆: 6
    最後發表: 2002-09-12, 06:50 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •