請問一下USB病毒之防範 - 第3頁 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 防 駭 / 防 毒 版


PCZONE 討論區



通知

-- 防 駭 / 防 毒 版 不論你是使用固定 IP 或是 DHCP 一定都有機會被無聊的駭客入侵 , 來這裡跟大家作防駭以及防毒的心得與資訊分享。

FYI
會員

建議變更:
控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> 使用快速使用者切換 -> 不勾
如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要登出, 就可以讓設定生效, 不必浪費時間於重複開機

請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:
語法:
[AutoRun]
action=Test Autorun.inf
shellexecute=c:\windows\system32\calc.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore\command=c:\windows\system32\cmd.exe
; shell\explore=Explore(&X)
; open=c:\windows\system32\calc.exe
; Only one of "open" and "shellexecute" will be executed.
在待測電腦執行 "regedt32", 於以下機碼
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新增DWORD 值, 名稱 "NoDriveTypeAutoRun", 資料分四次輸入0, 4, 8, df (十六進位), 登出使數值生效

測試項目:
  1. 插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?
  2. 開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
  3. 開啟我的電腦, 雙擊 C:, 是否自動執行小算盤?
  4. 開啟我的電腦, 右擊 C:, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
  5. 開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
  6. 開啟我的電腦, 雙擊隨身碟代號, 是否自動執行小算盤?
  7. 開啟我的電腦, 右擊隨身碟代號, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
  8. 修改NoDriveTypeAutoRun, 登出並重複以上步驟
以上主要說明 "What you see is NOT what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現

如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久

附件一: Test-Autorun.jpg
說明: 第一個黑體字 "自動播放(P)" 是由 "shellexecute" 所產生, "開啟(O)" 和 "檔案總管(X)" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放(P)" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉

附件二: Autoplay.jpg
說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的

上傳的圖檔
檔案類型: jpg Test-Autorun.JPG (12.7 KB, 14 次觀看)
檔案類型: jpg Autoplay.jpg (26.2 KB, 13 次觀看)

此篇文章於 2008-05-07 06:55 PM 被 FYI 編輯。.
回覆
會員
回覆: 請問一下USB病毒之防範
FYI大要不要測試看看將mountpoint2機碼鎖權限試看看?
我有看到有人提到將這邊機碼鎖住可讓autorun失效

位置在
hkcu\software\microsoft\windows\currentversion\explorer\mountpoints2

2000的話是
hkcu\software\microsoft\windows\currentversion\explorer\mountpoints
回覆
FYI
會員
微軟作業系統關閉裝置自動執行功能設定方法
NoDriveTypeAutoRun = 0x91 (Windows XP 預設值)
實驗結果:
一) 限制MountPoint2 機碼之Everyone 權限唯讀
  • 硬碟機: Autorun 終止
  • 卸除式媒體裝置: Autorun 終止
  • Autoplay 有效
二) 停用 "Shell Hardware Detection" 服務
  • 硬碟機: Autorun 有效
  • 卸除式媒體裝置: Autorun 終止
  • Autoplay 終止
請注意, 以上均會終止CD-ROM/DVD-ROM 之Autorun, 但Autoplay 則不一定

小弟竟然忘了自己曾在 "【木馬】無法顯示資料夾、kavo病毒解決之道!" 之中, 提到關閉 "Shell Hardware Detection" 服務", 卻一直鑽牛角尖於 "NoDriveTypeAutoRun", 真是久未接觸, 愈活愈回去了, 不過這回徹底把Autorun, Autoplay 和NoDriveTypeAutoRun 給搞清楚, 總算沒有白忙一場, 然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機
引用:
作者: FYI 觀看文章
關閉系統服務 "Shell Hardware Detection" 也可以停止自動播放
Windows系統服務面面觀(下)
Shell Hardware Detection(ShellHWDetection): 這項系統服務會監視及提供「自動播放」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置(例如光碟、隨身碟)上的內容(例如圖檔或影音檔),然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用,並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃(Flash)媒體、PC卡、外接的USB或1394硬碟;支援的內容類型包括: 圖檔(.jpg、.bmp、.gif、.tif)、音樂檔案(.mp3、.wma)、視訊檔案(.mpg、.asf)。如果停用這項系統服務,就會停止「自動播放」功能。
微軟作業系統關閉裝置自動執行功能設定方法 (PDF)
小心病毒就在USB中
回覆
地平線的那端
回覆: 請問一下USB病毒之防範
可以參考下列資料:
Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具
FYI:
http://www.freegroup.org/wow-usb-pro...ill-usb-viruse
回覆
會員
回覆: 請問一下USB病毒之防範
引用:
作者: DarkSkyline 觀看文章
可以參考下列資料:
Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具
FYI:
http://www.freegroup.org/wow-usb-pro...ill-usb-viruse
很慢
插進去一個槽(不論是哪個東西)
都會開個cmd
等5-10秒後
他會說掃毒中
掃完毒就15秒了....

後來就給他殺了
回覆
會員
回覆: 微軟作業系統關閉裝置自動執行功能設定方法
每次都可以找到實用的網站
真的很實用
回覆
FYI
會員

引用:
作者: billeccentrec 觀看文章
一.沒有用,現在病毒都會更改唯讀
不如在Autorun.inf 插入一張圖
看圖有沒有消失
加入 "icon" 是一個辨識的好方法, 另一個更簡單的方法是加入 "label", 例如 "label=無毒的SD1G", 希望病毒不會進化到懂得保留原Autorun.inf 的 "icon" & "label", 不過如果防毒軟體偵測到Autorun.inf 就殺, 那就白費工夫了
回覆
會員
回覆: 請問一下USB病毒之防範
參考小弟在 2008/01/28 的測試結果,
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

與曾義峰在 2008/03/25 的測試結果:
http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
不謀而合!!

如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,

改一大堆有的沒有的只是在騙自己....

此篇文章於 2008-05-21 09:30 PM 被 wscooch 編輯。.
回覆
會員
回覆: 請問一下USB病毒之防範
引用:
作者: wscooch 觀看文章
參考小弟在 2008/01/28 的測試結果,
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

與曾義峰在 2008/03/25 的測試結果:
http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
不謀而合!!

如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,

改一大堆有的沒有的只是在騙自己....
不太懂您想表達的意思!
改東改西~也只是討論中~並未完全有定論~
何來騙自己?
如果防毒真的有用~也就不會有這篇討論了~
回覆
.....
回覆: 請問一下USB病毒之防範
偵測登錄檔改寫有用嗎?

回覆
主題工具







 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。