FYI
2008-05-07, 05:56 PM
建議變更:
控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> 使用快速使用者切換 -> 不勾
如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要登出, 就可以讓設定生效, 不必浪費時間於重複開機
請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:
[AutoRun]
action=Test Autorun.inf
shellexecute=c:\windows\system32\calc.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore\command=c:\windows\system32\cmd.exe
; shell\explore=Explore(&X)
; open=c:\windows\system32\calc.exe
; Only one of "open" and "shellexecute" will be executed.
在待測電腦執行 "regedt32", 於以下機碼
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新增DWORD 值, 名稱 "NoDriveTypeAutoRun (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx)", 資料分四次輸入0, 4, 8, df (十六進位), 登出使數值生效
測試項目:
插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?
開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
開啟我的電腦, 雙擊 C:, 是否自動執行小算盤?
開啟我的電腦, 右擊 C:, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
開啟我的電腦, 雙擊隨身碟代號, 是否自動執行小算盤?
開啟我的電腦, 右擊隨身碟代號, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
修改NoDriveTypeAutoRun, 登出並重複以上步驟
以上主要說明 "What you see is NOT what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現
如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久
附件一: Test-Autorun.jpg
說明: 第一個黑體字 "自動播放(P)" 是由 "shellexecute" 所產生, "開啟(O)" 和 "檔案總管(X)" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放(P)" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉
附件二: Autoplay.jpg
說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的
控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> 使用快速使用者切換 -> 不勾
如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要登出, 就可以讓設定生效, 不必浪費時間於重複開機
請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:
[AutoRun]
action=Test Autorun.inf
shellexecute=c:\windows\system32\calc.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore\command=c:\windows\system32\cmd.exe
; shell\explore=Explore(&X)
; open=c:\windows\system32\calc.exe
; Only one of "open" and "shellexecute" will be executed.
在待測電腦執行 "regedt32", 於以下機碼
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新增DWORD 值, 名稱 "NoDriveTypeAutoRun (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx)", 資料分四次輸入0, 4, 8, df (十六進位), 登出使數值生效
測試項目:
插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?
開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
開啟我的電腦, 雙擊 C:, 是否自動執行小算盤?
開啟我的電腦, 右擊 C:, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
開啟我的電腦, 雙擊隨身碟代號, 是否自動執行小算盤?
開啟我的電腦, 右擊隨身碟代號, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
修改NoDriveTypeAutoRun, 登出並重複以上步驟
以上主要說明 "What you see is NOT what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現
如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久
附件一: Test-Autorun.jpg
說明: 第一個黑體字 "自動播放(P)" 是由 "shellexecute" 所產生, "開啟(O)" 和 "檔案總管(X)" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放(P)" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉
附件二: Autoplay.jpg
說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的