|
Autorun.inf被病毒利用一般用到的是4種方式�����,大家都知道“RavMonE.exe”��、“rose.exe”����、“sxs.exe”����、“copy.exe”�、“setup.exe”……根目錄下的神秘幽靈,系統(tǒng)安全的殺手�,它們被稱作“U盤病毒”���。
無數(shù)Windows用戶,都在為它們而焦頭爛額��。這一篇文章是一篇對自己對U盤病毒的研究和與U盤病毒斗爭的經(jīng)驗教訓的總結(jié)����。
“RavMonE.exe”、“rose.exe”���、“sxs.exe”��、“copy.exe”��、“setup.exe”……根目錄下的神秘幽靈�����,系統(tǒng)安全的殺手���,它們被稱作“U盤病毒”。無數(shù)Windows用戶��,都在為它們而焦頭爛額�。這一篇文章是一篇對自己對U盤病毒的研究和與U盤病毒斗爭的經(jīng)驗教訓的總結(jié)�。
Windows95以后的系統(tǒng)都有一個“自動運行”的功能���。通過在卷插入時讀取磁盤卷上的Autorun.inf文件來獲得Explorer中卷的自定義圖標和對卷圖標的上下文菜單進行修改����,并對某些媒體自動運行Autorun.inf中定義的可執(zhí)行文件�。05年以后,隨著各種可移動存儲設(shè)備的普及��,國內(nèi)有些黑客制作了盜取U盤內(nèi)容并將自身復制到U盤利用Autorun.inf傳播的病毒�。著名的偽ravmon、copy+host�、sxs、Viking�、熊貓燒香等著名病毒都有這種傳播方式。它們有時是根目錄下的神秘幽靈�,有時是出現(xiàn)在不應(yīng)該出現(xiàn)的地方的回收站,總之��,它們是系統(tǒng)安全的嚴重威脅��。
Autorun.inf被病毒利用一般有4種方式
A.
OPEN=filename.exe
自動運行����。但是對于很多XPSP2用戶和Vista用戶,Autorun已經(jīng)變成了AutoPlay����,不會自動運行它,會彈出窗口說要你干什么��。
B.
shellAutocommand=filename.exe
shell=Auto
修改上下文菜單����。把默認項改為病毒的啟動項。但此時只要用戶在圖標上點擊右鍵��,馬上發(fā)現(xiàn)破綻��。精明點的病毒會改默認項的名字���,但如果你在非中文的系統(tǒng)下發(fā)現(xiàn)右鍵菜單里多出了亂碼或者中文���,你會認為是什么呢?
C.
shellexecute=filename.exe
ShellExecute=....只要調(diào)用ShellExecuteA/W函數(shù)試圖打開U盤根目錄,病毒就會自動運行���。這種是對付那些用Win+R輸盤符開盤的人����。
D.
shellopen=打開(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)
這種迷惑性較大,是新出現(xiàn)的一種形式����。右鍵菜單一眼也看不出問題,但是在非中文的系統(tǒng)下�����,原形畢露����。突然出現(xiàn)的亂碼、中文當然難逃法眼��。
面對這種危險��,尤其是第四種��,僅僅依靠Explorer本身��,已經(jīng)很難判斷可移動磁盤是否已經(jīng)中毒����。而在這種情況下,一部分人也根據(jù)自己的經(jīng)驗,做出了“免疫”工具�����。
免疫的辦法(對可移動磁盤和硬盤)
一��、同名目錄
目錄在Windows下是一種特殊的文件�����,而兩個同一目錄下的文件不能同名���。于是,新建一個目錄“autorun.inf"在可移動磁盤的根目錄����,可以防止早期未考慮這種情況存在的病毒創(chuàng)建autorun.inf,減少傳播成功的概率�����。
二�����、Autorun.inf下的非法文件名目錄
有些病毒加入了容錯處理代碼,在生成autorun.inf之前先試圖刪除autorun.inf目錄�����。
在Windows NT Win32子系統(tǒng)下��,諸如"filename."這樣的目錄名是允許存在的�����,但是為了保持和DOS/Win9x的8.3文件系統(tǒng)的兼容性(.后為空非 法)����,直接調(diào)用標準Win32 API中的目錄查詢函數(shù)是無法查詢這類目錄中的內(nèi)容的,會返回錯誤����。但是,刪除目錄必須要逐級刪除其下的整個樹形結(jié)構(gòu)����,因此必須查詢其下每個子目錄的內(nèi) 容。因此�,在“autorun.inf"目錄建一個此類特殊目錄,方法如"MD x:autorun.infyksoft.."�����,可以防止autorun.inf目錄輕易被刪除。類似的還有利用Native API創(chuàng)建使用DOS保留名的目錄(如con�����、lpt1���、prn等)也能達到相似的目的。
三���、NTFS權(quán)限控制
病毒制造 者也是黑客���,知道Windows的這幾個可算是Bug的功能。他們可以做一個程序�����,掃描目錄時發(fā)現(xiàn)某目錄名最后一個字節(jié)為'.'則通過訪問 "dirfullname.."���、或者通過利用Windows NT的Native API中的文件系統(tǒng)函數(shù)直接插手�����,刪除該特殊目錄����。
因此,基于更低層的文件系統(tǒng)權(quán)限控制的辦法出現(xiàn)了���。將U盤�����、移動硬盤格式化為NTFS文件系統(tǒng)��,創(chuàng)建Autorun.inf目錄�����,設(shè)置該目錄對任何用戶都沒有任何權(quán)限��,病毒不僅無法刪除���,甚至無法列出該目錄內(nèi)容。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
