查看: 3192|回复: 25

最新Windows环境下U盘病毒免疫技术

[复制链接]
发表于 2013-1-21 11:15:26 | 显示全部楼层 |阅读模式

你所知道的:用各种奇技淫巧创建autorun.inf文件可以阻止U盘自动播放病毒。

你所不知道的:Windows下你能创建文件,同样也能被删除。

自打遇上U盘病毒以来,我一直在寻找能够增强Windows环境下移动存储介质(姑且理解为U盘)安全的方法。众所周知,关于U盘安全的绝大多数安全问题都集中在“autorun.inf”这个文件上。只要能控制这个文件不被黑客程序修改,就能有效阻止因自动播放问题带来的病毒运行。

先前,我曾尝试过各种方法,以避免黑客程序删除并重新创建该文件,包括:

  • 创建autorun.inf文件,并设置NTFS权限拒绝任何人读写;
  • 创建autofun.inf文件夹,在文件夹中创建类似s..的文件夹,以防止文件夹被删除 ;
  • 创建autofun.inf文件夹,使用特殊工具在文件夹创建con等特殊文件,以防止文件夹被删除;
  • ……

不幸的是,这些措施最终都难逃黑手。在Windows系统中你有办法创建的文件,最终都有办法删除。前段时间自己在总结一篇文档(请参考:Windows下如何打开使用非法文件名的文件, http://i.isclab.org/?p=292 )时突然有了新的思路:何不利用Linux系统的特性斩断那些在Windows下伸向U盘的黑手,进一步提高病毒程序的利用难度呢?

基于以上思路,新的U盘病毒增强免疫方法如下:


  • 在Windows下备份你的U盘文件,并将其格式化成NTFS格式;
  • 找一个Ubuntu系统,并挂载你的U盘;
  • 在U盘根目录下创建一个名为autorun.inf的文件夹,你懂的;
  • 进入autorun.inf文件夹,创建一个带特殊字符的文件,如:2012-08-07 16:49:31的屏幕截图.png;
  • 卸载您的U盘。

好吧,到此为止,进Windows系统挑战你自己吧!据目测,360也删不掉这个文件夹的~~

道高一尺……,那么,相信聪明的黑客还是有办法对付这招的!

//!!!!!!!!!!!!!!!!!!!!!!!!!!!
2012-09-14 感谢 kvllz{-AT-}sina.com 的提醒!通过修改autorun.inf文件夹的名称可以绕过该机制。看来办法还不够彻底啊,继续研究!欢迎一切交流!

autorun.inf-delete.png


//2012-09-18

根据牛人kvllz的提示,我重新改进了U盘病毒免疫解决方案,创建了一个异构的文件夹。该方案能够让Windows系统看到的名称与磁盘分区中实际存储的文件名不一致;从而规避文件夹被删除或重命名,进一步增强U盘免疫能力!

实现方法如下:

1.创建一个NTFS格式的U盘;

2.在U盘中创建一个autorun.inf文件夹;

3.使用WinHex软件打开该U盘分区;


4.右键aurorun.inf文件夹,在弹出的菜单中选择【Position】|【Go go beginning of directory】。

Edit USB device with WinHex

5.修改autorun.inf在磁盘分区中对应的文件名,为“autorun.:nf”(注意文件名中有个冒号)。6.修改后保存分区修改内容,大功告成!7.挑战去吧!


发表于 2013-1-22 05:51:21 | 显示全部楼层
照你这么说真的有道理哦 呵呵 不进沙子馁~~~  
发表于 2014-10-20 02:03:18 | 显示全部楼层
呵呵,明白了  
发表于 2014-10-26 20:13:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-10-26 21:53:57 | 显示全部楼层
看一看不错我明白了。
发表于 2014-11-17 15:06:11 | 显示全部楼层
好帖,有才  
5600123 该用户已被删除
发表于 2014-12-5 00:53:06 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-12-28 06:42:59 | 显示全部楼层
看或者不看,贴子就在这里,不急不忙  
发表于 2015-1-28 03:33:55 | 显示全部楼层
谢谢分享了!   
发表于 2015-3-2 00:54:27 | 显示全部楼层
赚点分不容易啊  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则