會員 | 回覆: 請問一下USB病毒之防範 沒的防吧! 防了隨身碟~卻又收了mail或即時通~ 還是中一樣的毒~ 就算建立 Autorun.inf 的唯讀資料夾~ 病毒還是有辦法"硬作"出來~ |
回覆 |
會員 | 回覆: 請問一下USB病毒之防範 引用:
不如在Autorun.inf 插入一張圖 看圖有沒有消失 四.不如直接在網址打槽(CDEFGHI) 還比較方便 但還是很麻煩 不知有沒有比較好的軟體? | |
回覆 |
會員 | 請勿散佈 "隨身碟網路謠言病毒" 引用:
以上聽起來似是而非, 如果病毒能感染隨身碟, 代表系統已經中毒, 如果這個系統已經安裝防毒軟體, 那就代表該(隨身碟)防毒軟體無法辨識病毒, 最該做的是趕快更新病毒碼和引擎 反觀另一台對於隨身碟病毒沒有防護能力但也沒有中毒的電腦, 只要設定 "NoDriveTypeAutoRun = 0xdf" (僅允許光碟自動執行), 那麼隨身碟病毒就不會 "不請自來", 會中毒, 必定是您主動 "請君入甕", 所以NoDriveTypeAutoRun 雖然無法阻止中毒的電腦感染隨身碟, 但是可以有條件防止沒有中毒的電腦散佈隨身碟病毒! 請把觀念釐清, 勿再以訛傳訛 補充: 以下是原文作者所使用的測試NoDriveTypeAutoRun 登錄檔 (DisableAutorun.reg), "NoDriveTypeAutoRun = 0x95", "0x04 DRIVE_REMOVEABLE" 對某些隨身碟應該是有效的 (和Removable Media Bit 有關), 但是保險一點應該是再加上 "0x08 DRIVE_FIXED", 也就是 "0x9d" 比 "0x95" 更安全 語法: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveAutoRun"=- "NoDriveTypeAutoRun"=dword:00000095 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveAutoRun"=- "NoDriveTypeAutoRun"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveAutoRun"=- "NoDriveTypeAutoRun"=dword:00000095 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom] "Autorun"=dword:00000000 USB Storage - FAQ for Driver and Hardware Developers 此篇文章於 2008-05-05 07:17 PM 被 FYI 編輯。. | |
回覆 |
會員 | 回覆: 請勿散佈 "隨身碟網路謠言病毒" |
回覆 |
會員 | 語法: Value Meaning 0x1 Disables Autoplay on drives of unknown type. 0x4 Disables Autoplay on removable drives. 0x8 Disables Autoplay on fixed drives. 0x10 Disables Autoplay on network drives. 0x20 Disables Autoplay on CD-ROM drives. 0x40 Disables Autoplay on RAM drives. 0x80 Disables Autoplay on drives of unknown type. 0xFF Disables Autoplay on all types of drives. 【木馬】無法顯示資料夾、kavo病毒解決之道! 【轉貼】USB 儲存裝置(隨身碟, 外接式硬碟)自動執行 Autorun 此篇文章於 2008-05-05 07:00 PM 被 FYI 編輯。. |
回覆 |
會員 | 回覆: 請問一下USB病毒之防範 引用:
在更改之前 我不敢直接點2下了 | |
回覆 |
會員 | 小弟先承認自己的錯誤, 等以後再詳細解釋 NoDriveTypeAutoRun 可以控制硬碟機Autorun, 但只能控制卸除式媒體裝置AutoPlay, 這是由於微軟多次在文件中提到只有光碟機和硬碟機才支援Autorun, 卸除式媒體裝置則否, 既然卸除式媒體裝置不支援Autorun, 那麼NoDriveTypeAutoRun 對於卸除式媒體裝置Autorun 也就不起作用, 或許程式碼就漏了這部份, 反而留下了手動Autorun 的漏洞, 以上是小弟對於這個結果的懷疑 測試方法很容易, 不需要冒險以病毒程式測試, 因為測試的目的只是想知道Autorun.inf 是否會被執行? 首先請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下: 語法: [AutoRun] action=Test Autorun.inf open=c:\windows\system32\cmd.exe shell=open shell\open=Open(&O) shell\open\command=c:\windows\system32\notepad.exe shell\explore=Explore(&X) shell\explore\command=c:\windows\system32\notepad.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer新增DWORD 值, 名稱 "NoDriveTypeAutoRun", 資料分四次輸入0, 4, 8, ff (十六進位), 重新啟動電腦使數值生效 測試項目:
以上並未考慮以應用(驅動)程式達成隨身碟Autorun 的情況, 小弟的測試方法也許不夠完備, 錯誤在所難免, 敬請批評指教 indeepnight的IT部落格: 自動執行的測試(Testing Autorun) 資安論壇 :: 觀看文章 - 有關隨身碟 autorun.inf 觀念釐清問題 Autorun.inf Entries Creating an AutoRun-Enabled Application Note Autorun.inf files are not supported under Microsoft Windows XP for drives that return DRIVE_REMOVABLE from GetDriveType. 此篇文章於 2008-05-06 11:31 AM 被 FYI 編輯。. |
回覆 |
會員 | 回覆: 請問一下USB病毒之防範 不愧是微軟,複雜得讓人摸不出頭緒 不過也謝謝大大的分析! 超精細的 也就是說 正常插下去是不會中毒的 點2下會執行內部的Autorun.inf而自動執行 可以去regedit改掉 但新的(好像是sp2之後)好像都會出現 但病毒都不會出現 點2下就會直接執行 好像病毒都不會出現 如果直接打磁碟號(F好像就不會執行 去外地電腦都這樣用 |
回覆 |
會員 | 引用:
您大概還不瞭解Autorun 和Autoplay 的區別, 請參考以下文章: Yi-Feng Tzeng’s Blog » Blog Archive » The difference between Autoplay & Autorun請仔細研究前述實驗的過程, 在Windows XP 之下, 硬碟機的內容不會出現 "自動播放 (Autoplay)", 但是卸除式媒體裝置則一定會 (選單則不一定), "NoDriveTypeAutoRun" 可以阻止Autorun.inf 修改從檔案總管 (我的電腦) 雙擊硬碟機圖示的預設Shell Command, 對於卸除式媒體裝置則不行, 由檔案總管或我的電腦顯示資料夾於左側, 再單擊或展開左側的磁碟機代號, 都不會導致Autorun.inf 執行, 但雙擊右側磁碟機圖示則可能會執行Autorun.inf, 請自行研究其中的區別, 最保險的作法是改變操作習慣, 千萬不要再雙擊磁碟機圖示 以上並未提及光碟機, 光碟機同時支援Autorun 和Autoplay, 兩種功能應該會按媒體類型而有某種優先順序, 小弟並未仔細研究, 有興趣者不妨自行研究 Autorun - Wikipedia, the free encyclopedia 此篇文章於 2008-05-06 08:25 PM 被 FYI 編輯。. | |
回覆 |
會員 | 回覆: 請問一下USB病毒之防範 |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。