Re: [軟體] Wow! USB Protector 0.70 隨身碟防毒
※ 引述《Skeror (抱歉~~妳太幼稚了)》之銘言:
: ※ 引述《blman (我愛亦潔我愛亦潔)》之銘言:
: : Wow! USB Protector
: : http://rt.openfoundry.org/Foundry/Project/Download/?Queue=905
: 它會把 隨身碟程式管理"PStart"認成是病毒 ( http://www.pegtop.de/start/ )
: 還會想把我寫的autorun.inf刪掉說@@
: 請問這樣是正常的嗎?
要是防毒程式能夠事先在隨身碟的裡面建立一個內容具有特徵的autorun.inf的話
像是在autorun.inf的第一行或最後一行加上
;hello hello XD
其中 ; 之後的東西會被視為註解,好像和c一樣吧
所以對於自己寫的內容不會有影響
然後防毒程式假如能夠對內容做特徵比對的話
就可以避免S大的問題
只是假如特徵的內容是自訂的話
可能隨身碟插到別台電腦上就會被辨識成有問題
但是特徵的內容是固定的話
也可能會被病毒規避
假如用我上一篇autoplay的方法的話
然後純粹檢查autoplay的第一項是不是自訂的
內容是什麼就可以不用管了
而且一般病毒都不會很招搖地直接在autoplay上面講說
哈囉,我來了 ( ̄▽ ̄#)﹏﹏☠
只是我不知道有沒有辦法做到這點
因為其實沒什麼學過寫程式
或許可以使用圖像辨識吧XDXD
因為autoplay的選單好像都是出現在畫面上同一個位置
然後假如把自訂選項加上一個特定的icon
或許就可以做辨識
有點像2D條碼一樣
只是好像有點異想天開XDXD
而且真的要的話,病毒還是能夠規避orz
只要對icon的設定和項目的名稱部份不去動它就好了
還有一個方法
因為病毒是直接使用open或是shellexecute這個指令
open只能開啟exe檔
shellexecute可以開啟很多其他的東西,例如:特定網頁、音樂播放清單
假如open或shellexecute有設定了特定的目標的話
那隨身碟就點不開了
然後會直接執行特定的程式(病毒)
這就是病毒的autorun裡面常見的情況
所以一般自己寫autorun的話並不會這樣寫吧
可是假如把open的=後面直接放空白的話
autoplay就沒辦法正常使用了
所以我會在後面加上一行
shell=nagle
有寫過autorun就知道這是設定"預設事件"的"名稱"
=後面隨便寫都可以
也就是不管你open後面接了什麼東西
除了在autoplay的選單上直接點選以外
直接用"我的電腦"點進隨身碟的話
會直接執行"預設事件"所指定的東西
而不是open後面接的東西
然後呢
我並沒有去設定nagle這個事件要做啥XDXD
因為這樣才會直接開啟隨身碟
而不是去執行我只想讓autoplay執行的程式
所以nagle這個事件只是"空殼子"
所以說
病毒絕對不會在autorun裡面這樣寫呀
因為這樣就沒辦法騙我們執行病毒了呀XDXDXD
所以假如防毒程式把這一行"shell=nagle"當成"特徵"來檢查
而且要注意後面不可以出現
shell\nagle\Command=
這樣一行東西
因為這樣這個事件就會被指定為執行特定程式
這種規則應該是不會被病毒規避
因為病毒敢這樣寫的話就等於自殺
邏輯上應該是沒有錯
只要自己寫inf的人能夠把"點兩下隨身碟來執行特定程式"的功能犧牲掉的話
另外
假如能夠更進一步
在確定隨身碟被感染之後
利用病毒的autorun裡面所寫的東西
像是我保留的這個病毒的autorun
[AutoRun]
open=xwatmaf.exe
shell\open=湖羲(&X)
shell\open\Command=xwatmaf.exe
shell\open\Default=0
shell\explore=訧埭奪燴け(&O)
shell\explore\Command=xwatmaf.exe
在open和每個事件的command後面
全都是接著同一個病毒的執行檔的名字
要是防毒程式能夠直接讀取出後面的檔名的話
就可以直接在隨身碟裡面找出確定的病毒直接刪掉
不會有誤刪的問題
而且就算是沒聽過的也可以刪掉
應該是可以的方法吧
只是我不會寫這種程式
所以只能停留在想法的階段
有人願意幫忙試試看的嗎( ̄▽ ̄#)﹏﹏
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.113.242.59
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 6 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章