[方案] 利用cacls 設定隨身碟ACL,防止隨身碟쌠…
看板AntiVirus (防毒)作者chang0206 (Eric Chang)時間17年前 (2009/06/22 15:23)推噓5(5推 0噓 23→)留言28則, 5人參與討論串1/3 (看更多)
圖文並茂版刊載於
http://blog.cowbay.org/?p=682
不過目前還沒補上截圖....
測試環境: Notebook x 2
OS : WINXP SP3
防毒軟體: NB_A : Comodo Antivirus 3.9.954 病毒資料庫:1390
NB_B : 趨勢科技 OfficeScan 8.0 病毒碼:6.209.00
隨身碟:已格式化的JetFlash V60 2G x 3 (JF1 JF2 JF3)
測試步驟
設定 隨身碟1 (JF1) 的 autorun.inf ACL(假設隨身碟為 I:)
在NB_A 上,開啟CMD模式,執行
cacls i:\autorun.inf /G username:F /D everyone
以上指令為針對 autorun.inf 這個檔案或目錄移除everyone的權限,
新增username這個USER 擁有Full Access 權限
測試JF1上的autorun.inf 權限是否被正確套用
在NB_B上,關閉防毒(OfficeScan暫時關閉需要輸入密碼,所以我是直接把OfficeScan
移除掉,因為我懶得去想密碼...)
將JF1 接上 NB_B ,開啟檔案總管,試著去針對autorun.inf 作刪除、更名等動作,
應該都會出現存取被拒。這代表autorun.inf的ACL有正確套用了。
(當然啦,前提是這兩台電腦的電腦名稱、帳號名稱不能一樣,如果一樣....
我也不知道這樣設定的ACL有沒有作用)
感染NB_B
JF2是已經感染uret病毒的隨身碟
(症狀是會產生uret463.exe,就這麼稱呼他吧,省去各家防毒對病毒名稱不統一的麻煩)
將隨身碟接上NB_B,照平常步驟打開隨身碟,然後故意去執行已經被感染病毒的檔案
(yq.com , 3y.bat)
關閉檔案總管後,再重新開啟檔案總管,試著在工具->資料夾->檢視 頁面中,開啟
瀏覽隱藏檔和系統檔的選項。如果沒辦法正常開啟/關閉這個選項,那九成九已經被感染。
再次確認NB_B 是否具有感染力
將已經格式化的 JF3,接上NB_B ,隨便開啟或複製檔案到JF3,再把JF3 接去NB_A,
確認JF3是否有被寫入感染檔案。九成九是有啦,這代表NB_B 已經中毒,而且還會繼續
感染其他的隨身碟)
檢視修正後的 autorun.inf 是否有免疫的作用
在NB_B接上JF1 ,隨便開啟或複製檔案到JF1,再把JF1接上NB_A,很可惜,光只是修改
autorun.inf的ACL,還是沒有免疫的作用。在隨身碟上還是發現了新的被感染的檔案
e619e.cmd 。
到目前為止:可以發現光只是修改autorun.inf 的ACL ,讓病毒無法替換、自動執行是
沒有用的。
測試已經帶有中毒檔案的JF1 是否會感染其他電腦
利用efix 清除NB_B的病毒, 然後將JF1 接上NB_B。
檢查NB_B是否有中毒的症狀(前面提過的隱藏檔、系統檔能否正常關閉/開啟 是個很好的
輔助判斷工具)如果這樣做下來,應該在這邊 NB_B是不會被感染的,因為autorun.inf
還是我們剛剛建立的那個檔案,而不是被病毒替換過的。
那..既然修改autorun.inf的ACL沒辦法達到想像中的免疫功能,綜合上面的步驟看來,
似乎是因為隨身碟的根目錄還是能夠被寫入檔案。
所以,我如果能夠針對根目錄鎖死,不能寫入。那病毒應該也就沒有辦法把感染的檔案
寄生到隨身碟來(跟硬體式防寫差不多的概念)
但是我有時候還是需要複製檔案,不然我怎麼帶東西去跟客戶聯絡感情呢?所以在根目錄
底下再建立一個子目錄,要複製檔案的時候,把要複製的檔案都拉到這個子目錄來。這樣
的作法可不可行呢?
開始測試
再次感染B電腦
在NB_B接上JF2,看到病毒檔案盡量給他點下去....
設定JF1根目錄及子目錄ACL
在NB_A上接上JF1,格式化之後,先新建一個子目錄,就叫做TEST好了。
開啟cmd 模式,輸入以下指令
cacls i:\ /G username:F /D everyone /p everyone:n
cacls i:\test /G everyone:F
(看到問是否確定,記得按 Y )
測試設定根目錄ACL後的JF1 是否具有免疫功能。
把 JF1 接上 NB_B ,測試在 I:\ 底下建立檔案、目錄是否會被拒絕。複製檔案到 i:\test 目錄底下是否正常運作?
把 JF1 接回 NB_A,依照剛剛的經驗,JF1 應該是會被寄生已經感染的檔案,但這時候應該可以發現JF1沒有帶有任何被感染的檔案!
測試到這邊就告一段落,目前看起來這支JF1 應該是不會被這類型的病毒感染了?
等下把隨身碟還給USER去用看看吧。
p.s 我不知道病毒會不會聰明到真的每個可寫入的目錄都去產生有毒的檔案,我手邊沒有
夠多的隨身碟類型病毒可以測試。
依照之前看到的將隨身碟變成 .exe 的那支病毒來看,似乎是會產生沒錯。這方面需
要再多測試,有人可以提供病毒檔嗎?
有任何錯誤或邏輯不對的地方,還請各位幫忙補完,謝謝~
以上為測試文章,如果要照著操作請確定有辦法處理其他意外狀況..
p.s 測試時發現我現在用的這兩套防毒,都不會偵測到這支病毒.. 0rz
comodo是會發生回報錯誤的狀況,趨勢的回報則是根本一點回應都沒有 = =
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.20.31.22
※ 編輯: chang0206 來自: 211.20.31.22 (06/22 15:25)
推
06/22 15:44, , 1F
06/22 15:44, 1F
→
06/22 15:45, , 2F
06/22 15:45, 2F
→
06/22 15:46, , 3F
06/22 15:46, 3F
→
06/22 15:46, , 4F
06/22 15:46, 4F
→
06/22 16:34, , 5F
06/22 16:34, 5F
→
06/22 16:34, , 6F
06/22 16:34, 6F
推
06/22 16:37, , 7F
06/22 16:37, 7F
→
06/22 16:37, , 8F
06/22 16:37, 8F
→
06/22 16:38, , 9F
06/22 16:38, 9F
推
06/22 17:29, , 10F
06/22 17:29, 10F
→
06/22 17:37, , 11F
06/22 17:37, 11F
推
06/22 17:43, , 12F
06/22 17:43, 12F
→
06/22 17:44, , 13F
06/22 17:44, 13F
→
06/22 17:46, , 14F
06/22 17:46, 14F
→
06/22 17:47, , 15F
06/22 17:47, 15F
→
06/22 17:48, , 16F
06/22 17:48, 16F
→
06/22 18:54, , 17F
06/22 18:54, 17F
→
06/22 18:55, , 18F
06/22 18:55, 18F
→
06/22 18:55, , 19F
06/22 18:55, 19F
推
06/23 00:07, , 20F
06/23 00:07, 20F
→
06/23 00:09, , 21F
06/23 00:09, 21F
→
06/23 08:59, , 22F
06/23 08:59, 22F
→
06/23 09:00, , 23F
06/23 09:00, 23F
→
06/23 09:00, , 24F
06/23 09:00, 24F
→
06/23 09:01, , 25F
06/23 09:01, 25F
→
06/23 09:01, , 26F
06/23 09:01, 26F
→
06/23 09:02, , 27F
06/23 09:02, 27F
→
06/23 11:54, , 28F
06/23 11:54, 28F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 3 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
