[討論]可能可以分辨出病毒autorun.inf的方法
前幾天想到說
因為病毒的autorun.inf是直接使用open或是shellexecute這個指令
而open只能開啟exe檔
shellexecute可以開啟很多其他的東西,例如:特定網頁、音樂播放清單
假如open或shellexecute有設定了特定的目標的話
那隨身碟就點不開了
因為open就是設定說點兩下會執行的東西是什麼
然後會直接執行特定的程式(病毒)
這就是病毒的autorun裡面常見的情況
所以一般自己寫autorun的話並不會這樣寫吧
要不然的話隨身碟點不進去不就很麻煩
可是假如把open的=後面直接放空白的話
autoplay就沒辦法正常使用了
所以我的話是在後面加上一行
shell=nagle
有寫過autorun就知道這是設定"預設事件"的"名稱"
=後面隨便寫都可以
也就是不管你open後面接了什麼東西
除了在autoplay的選單上直接點選以外
直接用"我的電腦"點進隨身碟的話
會直接執行"預設事件"所指定的東西
而不是open後面接的東西
然後呢
我並沒有去設定nagle這個事件要做啥XDXD
因為這樣才會直接開啟隨身碟
而不是去執行我只想讓autoplay執行的程式
所以nagle這個事件只是"空殼子"
所以說
病毒絕對不會在autorun裡面這樣寫呀
因為這樣就沒辦法騙我們點兩下執行病毒了XDXDXD
所以假如防毒程式把這一行"shell=nagle"當成"特徵"來檢查
而且要注意後面不可以出現
shell\nagle\Command=
這樣一行東西
因為這樣這個事件就會被指定為執行特定程式
假如autorun是這樣寫的話
那點兩下開隨身碟的時候會發生的事就只有純粹地打開隨身碟
而不會做其他什麼事
這種規則應該是不會被病毒規避
因為病毒敢這樣寫的話就等於放棄了一個大好機會
邏輯上應該是沒有錯
只要自己寫inf的人能夠把"點兩下隨身碟來執行特定程式"的功能犧牲掉的話
另外
假如能夠更進一步
在確定隨身碟被感染之後
利用病毒的autorun裡面所寫的東西
像是我保留的這個病毒的autorun
[AutoRun]
open=xwatmaf.exe
shell\open=湖羲(&O)
shell\open\Command=xwatmaf.exe
shell\open\Default=1
shell\explore=訧埭奪燴け(&X)
shell\explore\Command=xwatmaf.exe
在open和每個事件的command後面
全都是接著同一個病毒的執行檔的名字
要是防毒程式能夠直接讀取出後面的檔名的話
就可以直接在隨身碟裡面找出確定的病毒直接刪掉
不會有誤刪的問題
而且就算是沒聽過的也可以刪掉
應該是可以的方法吧
另外還有一點要注意的就是
shell\open=湖羲(&O)
shell\open\Command=xwatmaf.exe
shell\open\Default=1
這三行會把按右鍵叫出來的選單的"開啟(O)"這個事件
換成去執行病毒,而不是開啟隨身碟
因為open這個事件名稱好像就是預設的"開啟"的事件名稱
所以假如自訂的事件名稱和系統預設的有衝突的時候
會選擇執行自訂的事件
不過其實第三行好像有沒有都沒差
下面這兩行也有一樣的效果,可以把選單中的"檔案總管(X)"換成去執行病毒
shell\explore=訧埭奪燴け(&X)
shell\explore\Command=xwatmaf.exe
所以對於open和explore這兩個系統預設的事件名稱
還有其他的像是搜尋和自動播放的事件名稱
也都需要檢查是不是被改成執行病毒
而且平常自己寫inf的時候應該也不會把這幾個事件名稱拿來用吧
當時發現這個病毒的時候
因為剛好好像是對岸的人寫的病毒
所以選單的地方就多出這兩個奇怪的選項
因為原本要寫成"開啟"的地方變成了"湖羲"
所以並沒有把原本的開啟取代掉
然後就注意到這點了
文章好長...
所以來總結一下重點
1. 假如在autorun裡面加上一行 shell=nagle 來當做特徵碼來檢查
那或許就可以檢查出病毒的autorun,因為病毒應該不太可能會這樣寫
當然還要防止病毒把shell=nagle這一行做手腳
像是 ;shell=nagle 這樣這行就沒有效果了
然後還要小心病毒在後面加了
shell\nagle\Command=
所以檢查的原則應該是 : 確保 shell=nagle 這一行能夠確實執行
(應該只要不被當成註解就沒問題了吧)
並且這個事件名稱沒有被指定去執行任何的程式
(應該只要確定沒有"nagle\Command="這種東西出現就行了)
另外可能還要確定這一行放置的位置
要不然可能也會因為位置的關係而出錯
不過我試過之後發現這行就算被丟在最後面也沒問題
2. 也必須要防止病毒利用右鍵選單
所以對於系統預設的事件名稱應該要禁止使用
只是我不清楚預設的事件名稱總共有哪些
應該查一下就沒問題了
3. 假如病毒把一個項目加到autoplay的項目上的話
那樣不是很奇怪嗎
除了"開啟"和一些程式裝上去的以外,不就沒其他預設項目了
所以病毒應該也不會這樣做才對
假如能夠利用程式來用這些規則來檢查autorun的內容
或許有機會把利用autorun的病毒都抓出來吧
只是我不會寫這種程式
所以只能停留在想法的階段
而且這些規則可能還有漏洞吧
其實這些想法在前面有一篇文章有出現過
可能文章太長的關係吧,所以好像沒人想跟我討論
所以今天重新整理再補充一些這一兩天額外想出來的東西
假如這些想法其實漏洞百出的話就當我來騙p幣的吧( ̄y▽ ̄)╭
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.113.242.59
推
06/17 17:05, , 1F
06/17 17:05, 1F
→
06/17 17:05, , 2F
06/17 17:05, 2F
→
06/17 17:09, , 3F
06/17 17:09, 3F
→
06/17 17:10, , 4F
06/17 17:10, 4F
→
06/17 20:46, , 5F
06/17 20:46, 5F
→
06/17 20:47, , 6F
06/17 20:47, 6F
→
06/17 20:49, , 7F
06/17 20:49, 7F
→
06/17 20:50, , 8F
06/17 20:50, 8F
→
06/17 20:51, , 9F
06/17 20:51, 9F
→
06/17 20:54, , 10F
06/17 20:54, 10F
推
06/17 23:55, , 11F
06/17 23:55, 11F
→
06/17 23:56, , 12F
06/17 23:56, 12F
→
06/18 01:07, , 13F
06/18 01:07, 13F
推
06/18 05:57, , 14F
06/18 05:57, 14F
→
06/18 05:58, , 15F
06/18 05:58, 15F
→
06/18 06:01, , 16F
06/18 06:01, 16F
→
06/18 06:02, , 17F
06/18 06:02, 17F
→
06/18 12:02, , 18F
06/18 12:02, 18F
→
06/18 12:06, , 19F
06/18 12:06, 19F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
