回覆: 建立無法存取的Autorun.inf, 阻止自動執行 [QUOTE=FYI;1018975]中國網友也曾提出修改Shell32.dll, 將Autorun.inf 改掉, 再覆蓋回Windows, 達到不執行Autorun.inf 的目的, 這也是小弟先前誤認Shell32.dll 是禍首的原因 其次, BlueFang 網友所介紹在卸除式磁碟建立無法刪除或變更的Autorun.inf (FAT16/FAT32), 方法是從磁碟的Directory Table 找到 "AUTORUN INF" 進入點, 然後將第12 個位元組, 也就是檔案屬性(00ADVSHR), 原來是0x20, 代表Archive, 改成0xE5 或0xE2, 按照小弟的實驗, 以上技巧在於設定[B]未定義(公開)的位元(Bit6, Device)[/B], 導致作業系統無法存取Autorun.inf (存取被拒), 這個方法不但可以愚弄Windows XP, 也可以通過磁碟檢查, 這就達到[B]為卸除式磁碟打預防針[/B]的目的, 實在是一個聰明的辦法, 當然結果並非完全免疫, 而是免於自動執行, 操作步驟如下:[list=1][*]以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 "AUTORUN.INF" (大寫)[*]開啟 [URL="http://www.pczone.com.tw/vbb3/thread/67/139107/"]Tiny Hexer[/URL][*]點選 "File -> Disk -> Open drive..."[*]選擇卸除式磁碟代號, "Load" 輸入 "64" -> OK, 數字愈大, 讀取愈快[*]按下 Ctrl-F, 輸入 "AUTORUN INF " (有兩個空格), "Find text" 打勾, 點擊 "Find"[*]點擊 "Yes to [U]A[/U]ll"[*]找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零[*]紀錄標題所顯示的 "sectors" 起始位置[*]關閉檔案, 重新載入, "Load" 輸入 "1", "First sector" 輸入以上起始位置 -> OK[*]找到目標後, 將 "AUTORUN INF " 改成 "AUTORUN INF[B]@[/B]"[*]儲存並退出隨身碟[*]重新插入隨身碟, 嘗試讀取, 更名或刪除 "AUTORUN.INF"[/list]以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備 [URL="http://en.wikipedia.org/wiki/8.3_filename"]8.3 filename - Wikipedia, the free encyclopedia[/URL][/QUOTE] 有这两条就基本够用了。 病毒的两个载体都有了防范,一个是PC,一个是U盘。 当然世事不尽如人意,对于NTFS或者其他文件系统的U盘,目前没有比较保险的方法,NTFS可以通过设定权限来拒绝病毒的存取,不过有网友报告说此种方法已被突破。 |
回覆: 請問一下USB病毒之防範 嗯~防範?!我想要徹底的防範可能比較難一點,因為現在資訊環境的方便,也造就了許多資訊安全的問題,USB就是目前資訊管理人員比較頭痛的地方,像有些公司為了避免此問題,公司所有電腦的USB裝置都停用,來達到USB病毒的防範,不過還是有些方法可以參考參考: 如果已經中毒了,最近趨勢官網有提供iclean(解毒快手),聽說是把病毒刪掉後,還會建立隱藏資料夾,來預防後續相同的病毒寫入,病毒刪掉了也有預防的效用 官網:[url]http://www.trendmicro.com/download/zh-tw/product.asp?productid=56[/url] 如果沒中毒的,可以試試趨勢的WTP Add-On,這可以主動防範惡意網站,在你上網就主動攔截惡意網站不讓你開啟, [url]http://tw.trendmicro.com/tw/products/enterprise/wtp/index.html[/url] 再來就是使用者自己的使用習慣了,人家常說的防毒軟體只能防範80%的威脅,剩下的就靠使用者自己的使用習慣了:o |
回覆: 請問一下USB病毒之防範 別想太多,關掉USB的自動撥放 這是一定要做的 google搜尋字串:「關閉 usb 自動播放」 可以找到各種教學 |
回覆: 請問一下USB病毒之防範 禁用Shell Hardware Detection 服務即可 |
回覆: 請問一下USB病毒之防範 我都會再打開隨身碟前先掃毒一次 我用的防毒是諾頓2009 他有內建防火牆 應該可以擋下來 |
回覆: 請問一下USB病毒之防範 [QUOTE=DS;1015822]gpedit.msc 系統管理範本、系統、關閉自動播放[/QUOTE] Ho~~ Ho~~ 其實只有專業版才能做到喔~ 家用版可不行啊~ |
回覆: 請問一下USB病毒之防範 其實有個最終極的方法,就是使用"非Windows"系統啦~! 我用Linux開機,進入桌面後將隨身碟插入電腦,不久之後會在桌面上顯示出隨身碟的圖案(前提,隨身碟的磁區不可為NTFS,Linux不支援),再按兩下,進入隨身碟!(好流暢!)其實世界上大部分病毒在Linux系統中是無法執行的,表示說...病毒對Linux沒有用!進入隨身碟後只要將相關的病毒檔案刪除(如: *.com、*.exe、autorun.inf等),之後,解毒完成!!! 真的是又簡單又方便呢!~ |
總還是有人會忘記不要雙擊磁碟機代號, 所以小弟又回頭找尋比較適合一般人, 但又不會犧牲太多功能的方法, 想來想去, 還是回到先前這個方法: [QUOTE=FYI;1018836][INDENT][URL="http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html"]Nick Brown's blog: Memory stick worms[/URL][/INDENT]也就是你所要的答案, 讓Windows (csrss.exe) 把Autorun.inf 視為單純的安裝資訊檔, 而不是自動執行檔, 也就不會自動執行[/QUOTE] [B]NOAUTRUN.REG[/B] [CODE]REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"[/CODE] 然後再參考[URL="http://www.pczone.com.tw/vbb3/post/1016010/13/"]#13[/URL] 加上限制 "NoDriveTypeAutoRun" [B]DisableAutorun.reg[/B] [CODE]REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveAutoRun"=- "NoDriveTypeAutoRun"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveAutoRun"=- "NoDriveTypeAutoRun"=dword:000000ff [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveAutoRun"=- "NoDriveTypeAutoRun"=- [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom] "Autorun"=dword:00000000[/CODE] 既然關閉自動執行, 那麼副作用就是插入安裝光碟不再自動執行, 必須自行檢視Autorun.inf 內容, 以便找到安裝程式的儲存位置 此外, 停用 "[B]Shell Hardware Detection 服務[/B]" 雖然更徹底, 但小弟擔心影響太廣, 所以暫時沒考慮, 至於 "MountPoints2", 小弟已經於[URL="http://www.pczone.com.tw/vbb3/thread/28/141062/2/#post1016350"]#23[/URL] 實驗過, Autoplay 仍有效 |
回覆: 請問一下USB病毒之防範 預防隨身碟病毒,只要改mountpoints2機碼的權限是有效的,修改後開啟隨身碟,autorun.inf根本不起作用,即使仍有自動撥放功能亦是. 插入隨身(硬)碟的目的就是要使用它,把自動撥放機制關了,從我的電腦或檔案總管點入,一樣會啟動autorun.inf內指定的惡意程式 |
回覆: 請問一下USB病毒之防範 檔案總管點入會啟動隨身碟病毒嗎? |
所有時間均為 +8。現在的時間是 09:49 PM。 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。