2 個附加檔案 建議變更:[INDENT]控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> [B]使用快速使用者切換[/B] -> 不勾[/INDENT]如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要[B]登出[/B], 就可以讓設定生效, 不必浪費時間於重複開機 請在待測電腦的系統碟和隨身碟的[B]根目錄[/B]分別存入[B]Autorun.inf[/B] 如下: [CODE][AutoRun] action=Test Autorun.inf shellexecute=c:\windows\system32\calc.exe shell=open shell\open=Open(&O) shell\open\command=c:\windows\system32\notepad.exe shell\explore\command=c:\windows\system32\cmd.exe ; shell\explore=Explore(&X) ; open=c:\windows\system32\calc.exe ; Only one of "open" and "shellexecute" will be executed.[/CODE] 在待測電腦執行 "regedt32", 於以下機碼[INDENT]HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer[/INDENT]新增DWORD 值, 名稱 "[URL="http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx"]NoDriveTypeAutoRun[/URL]", 資料分四次輸入0, 4, 8, [B]df[/B] (十六進位), 登出使數值生效 測試項目:[list=1][*]插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?[*]開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "[B]開啟([U]O[/U])[/B]" 是否換成 "[B]Open([U]O[/U])[/B]"?[*]開啟我的電腦, 雙擊 C:, 是否自動執行[B]小算盤[/B]?[*]開啟我的電腦, 右擊 C:, 點選 "[B]檔案總管([U]X[/U][/B])" 是否自動執[B]行命令提示字元[/B]?[*]開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "[B]開啟([U]O[/U])[/B]" 是否換成 "[B]Open([U]O[/U])[/B]"?[*]開啟我的電腦, 雙擊隨身碟代號, 是否自動執行[B]小算盤[/B]?[*]開啟我的電腦, 右擊隨身碟代號, 點選 "[B]檔案總管([U]X[/U][/B])" 是否自動執行[B]命令提示字元[/B]?[*]修改NoDriveTypeAutoRun, 登出並重複以上步驟[/list]以上主要說明 "What you see is [B]NOT[/B] what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現 如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久 附件一: [B]Test-Autorun.jpg[/B] 說明: 第一個黑體字 "[B]自動播放([U]P[/U])[/B]" 是由 "shellexecute" 所產生, "開啟([U]O[/U])" 和 "檔案總管([U]X[/U])" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放([U]P[/U])" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉 附件二: [B]Autoplay.jpg[/B] 說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的 |
回覆: 請問一下USB病毒之防範 FYI大要不要測試看看將mountpoint2機碼鎖權限試看看? 我有看到有人提到將這邊機碼鎖住可讓autorun失效 位置在 hkcu\software\microsoft\windows\currentversion\explorer\mountpoints2 2000的話是 hkcu\software\microsoft\windows\currentversion\explorer\mountpoints |
微軟作業系統關閉裝置自動執行功能設定方法 NoDriveTypeAutoRun = [B]0x91[/B] (Windows XP 預設值) 實驗結果:[INDENT]一) 限制MountPoint2 機碼之Everyone 權限唯讀[list][*]硬碟機: Autorun [B]終止[/B][*]卸除式媒體裝置: Autorun [B]終止[/B][*][B]Autoplay 有效[/B][/list]二) 停用 "Shell Hardware Detection" 服務[list][*]硬碟機: [B]Autorun 有效[/B][*]卸除式媒體裝置: Autorun [B]終止[/B][*]Autoplay [B]終止[/B][/list][/INDENT]請注意, 以上均會終止CD-ROM/DVD-ROM 之Autorun, 但Autoplay 則不一定 小弟竟然忘了自己曾在 "[URL="http://www.pczone.com.tw/vbb3/post/988737/2/"]【木馬】無法顯示資料夾、kavo病毒解決之道![/URL]" 之中, 提到關閉 "[B]Shell Hardware Detection[/B]" 服務", 卻一直鑽牛角尖於 "NoDriveTypeAutoRun", 真是久未接觸, 愈活愈回去了, 不過這回徹底把Autorun, Autoplay 和NoDriveTypeAutoRun 給搞清楚, 總算沒有白忙一場, 然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機 [QUOTE=FYI;988737]關閉系統服務 "[B]Shell Hardware Detection[/B]" 也可以停止自動播放 [URL="http://www.microsoft.com/taiwan/technet/columns/profwin/23-WinSvc.mspx"]Windows系統服務面面觀(下)[/URL][INDENT][B]Shell Hardware Detection[/B](ShellHWDetection): 這項系統服務會監視及提供「[B]自動播放[/B]」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置(例如光碟、隨身碟)上的內容(例如圖檔或影音檔),然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用,並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃(Flash)媒體、PC卡、外接的USB或1394硬碟;支援的內容類型包括: 圖檔(.jpg、.bmp、.gif、.tif)、音樂檔案(.mp3、.wma)、視訊檔案(.mpg、.asf)。如果停用這項系統服務,就會停止「自動播放」功能。[/INDENT][/QUOTE] [URL="http://cert.nkfust.edu.tw/doc/setup.pdf"]微軟作業系統關閉裝置自動執行功能設定方法 (PDF)[/URL] [URL="http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1386"]小心病毒就在USB中[/URL] |
回覆: 請問一下USB病毒之防範 可以參考下列資料: Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具 :fd: FYI: [url]http://www.freegroup.org/wow-usb-protector-kill-usb-viruse[/url] |
回覆: 請問一下USB病毒之防範 [QUOTE=DarkSkyline;1016353]可以參考下列資料: Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具 :fd: FYI: [url]http://www.freegroup.org/wow-usb-protector-kill-usb-viruse[/url][/QUOTE] 很慢 插進去一個槽(不論是哪個東西) 都會開個cmd 等5-10秒後 他會說掃毒中 掃完毒就15秒了.... 後來就給他殺了 |
回覆: 微軟作業系統關閉裝置自動執行功能設定方法 [QUOTE=FYI;1016350] [URL="http://cert.nkfust.edu.tw/doc/setup.pdf"]微軟作業系統關閉裝置自動執行功能設定方法 (PDF)[/URL] [URL="http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1386"]小心病毒就在USB中[/URL][/QUOTE] 每次都可以找到實用的網站 真的很實用 |
[QUOTE=billeccentrec;1015991]一.沒有用,現在病毒都會更改唯讀 不如在Autorun.inf 插入一張圖 看圖有沒有消失[/QUOTE] 加入 "[B]icon[/B]" 是一個辨識的好方法, 另一個更簡單的方法是加入 "[B]label[/B]", 例如 "label=無毒的SD1G", 希望病毒不會進化到懂得保留原Autorun.inf 的 "icon" & "label", 不過如果防毒軟體偵測到Autorun.inf 就殺, 那就白費工夫了 |
回覆: 請問一下USB病毒之防範 參考小弟在 2008/01/28 的測試結果, [url]http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339[/url] 與曾義峰在 2008/03/25 的測試結果: [url]http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm[/url]) 不謀而合!! 如果要防止 USB 病毒, 建議還是回歸到防毒軟體本身, 改一大堆有的沒有的只是在騙自己.... |
回覆: 請問一下USB病毒之防範 [QUOTE=wscooch;1017879]參考小弟在 2008/01/28 的測試結果, [url]http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339[/url] 與曾義峰在 2008/03/25 的測試結果: [url]http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm[/url]) 不謀而合!! 如果要防止 USB 病毒, 建議還是回歸到防毒軟體本身, 改一大堆有的沒有的只是在騙自己....[/QUOTE] 不太懂您想表達的意思! 改東改西~也只是討論中~並未完全有定論~ 何來騙自己? 如果防毒真的有用~也就不會有這篇討論了~ |
回覆: 請問一下USB病毒之防範 偵測登錄檔改寫有用嗎? |
所有時間均為 +8。現在的時間是 12:26 AM。 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。