对Autorun.inf类U盘病毒的攻防经验总结
时间:2023-03-16 05:25:02 点击:312

“RavMonE.exe“、“rose.exe“、“sxs.exe“、“copy.exe“、“setup.exe“...根目录下的神秘幽灵,系统安全的杀手,它们被称作“u盘病毒“。无数Windows用户,都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。   

Windows 95以后的系统都有一个“自动运行“的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式  

1. OPEN=filename.exe

自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。  

2. shellAutocommand=filename.exe

shell=Auto

修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?  

3. shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。  

4. shellopen=打开(&O)

shellopenCommand=filename.EXE

shellopenDefault=1

shellexplore=资源管理器(&X)

这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。

面对这种危险,尤其是第四种,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。而在这种情况下,一部分人也根据自己的经验,做出了“免疫“工具。

免疫的办法(对可移动磁盘和硬盘)  

1、同名目录  

目录在Windows下是一种特殊的文件,而两个同一目录下的文件不能同名。于是,新建一个目录“autorun.inf“在可移动磁盘的根目录,可以防止早期未考虑这种情况存在的病毒创建autorun.inf,减少传播成功的概率。  

2、autorun.inf下的非法文件名目录  

有些病毒加入了容错处理代码,在生成autorun.inf之前先试图删除autorun.inf目录。

在Windows NT Win32子系统下,诸如“filename.“这样的目录名是允许存在的,但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法),直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的,会返回错误。但是,删除目录必须要逐级删除其下的整个树形结构,因此必须查询其下每个子目录的内容。因此,在“autorun.inf“目录建一个此类特殊目录,方法如“MD x:autorun.infyksoft..“,可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。 

3、NTFS权限控制  

病毒制造者也是黑客,知道Windows的这几个可算是Bug的功能。他们可以做一个程序,扫描目录时发现某目录名最后一个字节为'.'则通过访问“dirfullname..“、或者通过利用Windows NT的Native API中的文件系统函数直接插手,删除该特殊目录。  

因此,基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容。  

但是,该办法不适合于音乐播放器之类通常不支持NTFS的设备。  

这三步可谓是一步比一步精彩。但是,最大的问题不在怎么防止生成这个autorun.inf上,而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。  

1、结合ANI漏洞,在autorun.inf里将icon设成一个ANI漏洞的Exploit文件(经过我的实验,发现Windows有一种特性,就算把ani扩展名改为ico,还是可以解析出图标),这样只要一打开“我的电脑“,未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。  

2、提高病毒的整体编程水平,综合以上各种反免疫方式,另外利用多数国内windows用户常以高权限登录系统的特点,自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限,击破这最坚固的堡垒。  

面对如此恐怖的东西,对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案,  

1、一定要将系统和安全软件保持在最新状态。即使是盗版用户,微软也不会不给重要级别的安全更新,也从来没有过在重要级别安全更新中加入反盗版程序的记录。  

2、尽量以受限制的帐户使用系统和上网,这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能,正是因为它能够使用户在尽量方便的同时,享受到受限用户的安全。  

3、某种程度上,可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源“。通过IE漏洞,制作网页木马,安装盗号程序,盗取账号,获得人民币。这条黑色产业链中,IE其实是最容易剪断的一环。珍爱系统,系统一定要更新,要有能防止网页木马的杀毒软件,用IE不要乱上各种小型下载站、色情网站等高危站点,如果有可能,使用非IE引擎的浏览器。

4、恶意捆绑软件,现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己(如SONY XCP事件),而一些恶意软件本身就是一个病毒木马的下载器。因此,不要让流氓接近你的机器。  

Autorun.inf的攻防战还在继续,只会变得越来越精彩,网民的安全意识会在攻与防的对立与统一中获得突破性的进展。

展开 ↓
标签: 宝可梦剑盾经验怎么分配(宝可梦剑盾经验分享) 八方旅人舞女通关后解锁(八方旅人舞女怎么弄100倍经验) 《阴阳师妖怪屋》居酒屋玩法攻略(阴阳师妖怪屋庭院聚餐经验) 埃博拉病毒2流程攻略(埃博拉病毒2游戏攻略) 八方旅人百思不得其解舞叠加吗(八方旅人百思不得其解一百倍经验) 八方旅人不思议之舞2倍和5倍叠加吗倍经验(八方旅人不思议之舞100倍经验) jump大乱斗刷经验(jump大乱斗角色升级有什么用) 宝可梦经验护符(宝可梦经验护符加多少) 《灵猫传》金币怎么获得的(灵猫传怎么获得经验) 《埃博拉病毒2》游戏特色内容介绍大全(埃博拉病毒23dm) csgo经验快速升级(csgo升级经验有变化吗) 《偶像梦幻祭2》经验券怎么获得的(偶像梦幻祭2经验卷怎么获得) cod战区中途退出有经验吗(cod战区2怎么退出小队) 八方旅人不思议之舞2倍和5倍叠加吗倍经验(八方旅人百思不解之舞100倍) 宝可梦剑盾的经验分配(宝可梦剑盾经验怎么分配) 《巫师3:狂猎》刷经验地点推荐在哪(巫师三刷经验的地方) apex英雄增加经验值(apex增加经验值) csgo头号特训有奖励吗(csgo头号特训有经验吗) 《鬼谷八荒》新人功法要点总结图(鬼谷八荒好的功法) 《双人成行》优点总结怎么写(《双人成行》优点总结怎么写的) 《天涯明月刀》手游雅士怎么升级最快(天涯明月刀雅士升级经验) 《天外世界》第一章游玩要点总结图(天外世界1) 八方旅人经验猫怎么打(八方旅人经验猫怎么打) csgo休闲模式什么意思(csgo休闲模式有经验吗) steam汽车大奖赛徽章的经验太多了(2019年steam汽车大奖赛) 2k22mcbug(2k22mc不给经验) 宝可梦剑盾的经验是平分吗(宝可梦剑盾经验分配) 《阴阳师》经验手札是什么书(经验手札大阴阳师) 《闪灵猎人》游戏特色内容解析大全(闪灵总结) 暗黑2噩梦牛场多少级有经验(暗黑2噩梦牛场多少级有经验加成) 《原神》经验关卡在什么地方打开(原神经验值) 1刺客信条英灵殿刷经验(刺客信条英灵殿经验加成) 八方旅人第一章刷经验猫的地图(八方旅人经验猫出现位置) 《帝国时代4》弹道相关经验怎么刷(《帝国时代4》弹道相关经验怎么刷) dnf第10期战令充钱加多少经验值(dnf战令升100) 《零世代》新手刷怪刷经验方法分享(零世代怎么刷东西) 《天外世界》第一章游玩要点总结图(天外世界全攻略) 《僵尸世界大战》白板职业速刷5星和经验教程怎么选(僵尸世界大战速刷等级) 《原神》经验关卡在什么地方做(原神所有经验任务) 《暗黑破坏神2》地狱升级经验怎么刷(暗黑2通关地狱等级) 防范U盘病毒 在Windows7中如何防范U盘病毒的传播? 病毒 随机数字命名.pif文件类病毒分析与清除 让MP3设备远离病毒教你四招摆平所有威胁 ARP病毒欺骗攻击 用抓包的方法解决ARP病毒欺骗攻击 解读SVCHOST.EXE病毒or系统进程? U盘病毒 Windows7教你如何轻松抵御U盘病毒 认识Linux病毒做好操作系统防护工程 专家解读新Auto病毒木马下载器感染清除 互联网防病毒 Windows连接互联网防病毒基本原则 常见病毒手工清除 常见病毒手工清除方法 常见病毒的故障现象及防治 禁止蠕虫病毒替换explorer文件 ARP病毒解决办法 网络安全知识:独门秘籍阻止网络病毒的自动执行 网友实战:利用江民KV2009清除未知病毒

最新游戏更多

最新软件更多

  • 玩家推荐
  • 游戏攻略

金钼软件下载站 Copyright(C) 2008- 601958.cn All Rights Reserved!

闽ICP备2023004188号| 免责声明