技術園地 - USB 病毒徹底完封攻略 - 預防篇
‧本文由 asd 分享 ‧
2008-08-11 ‧
顯示 6,810 次
‧
轉寄 22 次
‧
短評 6 篇
‧
技術園地 - USB 病毒徹底完封攻略 - 預防篇 2008/07/10
前言:在上1封的「把脈篇」裡,已介紹過如何掌握USB病毒的中毒症狀,以及如何讓其現形的方法,接下來,本文將介紹如何為隨身碟及電腦打上預防針,以防止USB病毒不請自來的因應之道。
經過一番檢查後,即使隨身碟和電腦裡都沒有發現USB病毒,使用者仍需進行一些防範措施,以確保今後的安全。以下將綜合介紹幾種最常見且有效的防範之道。
USB隨身碟的事前預防
•在隨身碟中新增Autorun.inf資料夾
1、當前被普遍認為最具功效且簡單的預防方法,就是直接在隨身碟中添加Autorun.inf檔案或資料夾。由於USB病毒會在隨身碟中新增1個Autorun.inf檔,所有觸發USB病毒的動作皆會照著Autorun.inf檔所寫內容來進行,所以使用者可先下手為強,在隨身碟中先建立同樣名稱的Autorun.inf資料夾或檔案,基於同目錄下不能有2個同名檔的系統規定,如此一來,USB病毒便無法順利建立想要作怪的Autorun.inf惡意檔。
下圖為筆者故意將相同名檔複製到已有Autorun.inf之根目錄下,結果呈現無法複製的畫面。
圖說:在已有Autorun.inf之根目錄下,無法複製相同檔名。
2、相較之下,Autorun.inf資料夾比檔案還容易建立,使用者只要直接在隨身碟根目錄下,按右鍵新增資料夾,然後取名Autorun.inf即可。
3、接著將該目錄夾設成隱藏、唯讀。
•在自製Autorun.inf檔中添加入侵偵測機制
上述方法雖然簡單有效,但是不排除接下來USB病毒可能會有突破之舉,例如直接解除隱藏並覆蓋使用者新增的Autorun.inf檔。在此綜合參考巴哈姆特電腦防護討論中心某版面作者hc(笠原弘子)的建議,亦即在隨身碟中自製入侵偵測機制,其作法如下:
1、自行製作1個圖示檔:任意搜尋*.ico圖示檔來用,或自行以喜歡的圖檔加工製成專屬Logo圖示檔並取名(例如IDS.ICO)。
2、在記事本鍵入如下圖指令,以「所有檔案類型」另存新檔,然後取檔名為autorun.inf。
圖說:於記事本中鍵入的入侵偵測autorun.inf內容。
3、將製作好的圖示檔及autorun.inf一併複製到隨身碟中。
4、記得透過attrib將autorun.inf檔設成SHR,如此一來便可隱藏、唯讀,而且具備圖示式入侵偵測機制。每次插上隨身碟即顯示專屬圖示,一旦某次沒看到圖示,就表示有USB病毒入侵。
圖說:插上隨身碟後,會顯示專屬圖示作為入侵偵測機制。
•購買具防寫鎖功能之隨身碟
使用者可購買具備防寫鎖功能的USB隨身碟或記憶卡,如此一來,即使將隨身碟或記憶卡拿到高風險區使用(例如在照相館沖洗照片),可保安全無虞。不過,這類保護機制只適用於將檔案分享給他人時,如果想透過隨身碟儲存他人所分享的檔案,必須將防寫鎖打開,仍有中毒的危險。
圖說:使用者可考慮購買具防寫鎖功能的隨身碟。
個人電腦的事前防護
除了在隨身碟上做好防範措施外,使用者也必須在桌上型電腦或筆記型電腦上進行相關準備工作。以下列出幾個可資參考的防護撇步。
•在每個磁碟根目錄下新增Autorun.inf資料夾
如同前述隨身碟新增Autorun.inf資料夾的作法,只不過,要在電腦中的每個磁區根目錄下一一按右鍵新增,實在太麻煩,建議使用者可透過以下步驟完成所有磁碟加裝防護工作(在此以Windows Vista環境為例)。
1、進入所有應用程式\附屬應用程式\執行(Windows XP則直進進入開始\執行),輸入cmd,會立即跳出命令提示字元視窗。
2、新增Autorun.inf資料夾:在命令列中分別輸入「md X:autorun.inf」(X為磁碟機代號),如此即可為所有磁碟機新增Autorun.inf資料夾。
圖說:為所有磁碟機新增Autorun.inf資料夾。
3、變更Autorun.inf資料夾屬性:在命令列中分別輸入「attrib +s +h +r X:autorun.inf」(X為磁碟機代號),如此即可讓所有磁碟機根目錄下的Autorun.inf資料夾隱藏、唯讀,並變更為系統檔。
圖說:透過命令列變更Autorun.inf資料夾的屬性。
•關閉電腦裝置的自動執行功能
因為電腦會對USB隨身碟或外接式硬碟等裝置,提供隨插自動執行的功能,讓USB病毒對此大加利用,使病毒長驅直入各個磁碟區及Windows各目錄夾。所以,對付該USB病毒的根本之道,就是關閉自動執行功能。以下為關閉該功能的步驟:
1、進入「開始\執行」,輸入regedit,進入登錄編輯程式。
圖說:輸入regedit進入登錄編輯程式。
2、在該程式視窗左欄找到以下登錄檔機碼「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2」。
3、在MountPoints2機碼上按右鍵,點選「使用權限」。
圖說:在機碼中點選使用權限。
4、於跳出的視窗中點選「新增」,接著會再跳出另一視窗,在其中的「輸入物件名稱來選取」輸入新增使用者名稱「Everyone」並按下「確定」。
圖說:新增使用者名稱「Everyone」。
5、設定使用者Everyone的完全控制權限為「拒絕」,然後點選「確定」離開。
圖說:將完全控制權限設為「拒絕」。
6、接著跳出安全性視窗,點「是」並重新開機即可。
註:若使用者想回復裝置之自動執行功能,只要依前述方法執行步驟1~3,再將「Everyone」移除,然後點選「確定」即可。
除了上述方法外,使用者也可透過修改NoDriveTypeAutoRun機碼之數值資料的方式,達到關閉裝置自動執行的效果。其修改設定步驟如下:
1、一樣先照前述方式進入登錄編輯程式,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer機碼。
2、點選該視窗左欄位之Explorer機碼,然後雙擊右欄位中的NoDriveTypeAutoRun機碼,在跳出的視窗中,將數值資料「91」改成「95」,按「確定」後跳出。
圖說:更改NoDriveTypeAutoRun機碼值。
3、然後再尋找HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer機碼,以同樣方式將數值資料「91」改成「95」,按「確定」跳出,重新開機之後即大功告成。
|
|
|
|
|
|||||
|
|
|
|
|
|||||
|
0.00
0 votes
1
3
5
7
9
請按數字進行評分
請以1~9的評分代表由負面到正面的感受,統計數據將決定資訊的參考價值。謝謝!
|
關鍵字建檔說明
|
顯示/隱藏
列印
列印提示
- 您可以點擊右方的「顯示/隱藏」鏈結來隱藏不相關的內容。
- 內容確認後,點擊右方的「列印」鏈結或瀏覽器之列印鍵即可。
- 完成後,顯示被隱藏的內容即可繼續瀏覽。
◎附加檔案 中的附件有三種不同的呈現方式,均限會員使用:
- 圖檔類型 以縮圖方式呈現,點縮圖後會浮現原尺寸圖檔!
- 檔案類型 以檔名方式呈現,建議先另存新檔,再開啟瀏覽!
- FLV類型 支援線上瀏覽模式,請按檔名前方的圓型箭頭;按檔名則是另存新檔。
- 檔案開不了怎麼辦?請參考「Office 檔案開不了怎麼辦?」
- 郵件容量超出 50MB 時,為了節省網站營運成本,僅提供下列會員使用:
─── 贊助網站營運基金之會員(一天一元)
─── 長期且持續分享,半年內超過 100 篇以上者  |
龍捲風= 平生修得隨緣性-粗茶淡飯也知足 =
  於 2008-08-11 05:46:51 說科技來自於人性,而電腦是日新月異,病毒自然也是道高一尺魔高一丈,其實還是要有良好的使用習慣,不要隨便下載不明資料及開啟陌生網路信件,否則還是會中毒的! |
 |
酷企鵝= Here and Now =
於 2008-08-11 05:51:34 說 龍捲風說的是 |
 |
台客
於 2008-08-11 11:06:54 說 雖然不懂也傳給朋友讓他們分享 |
|
point
 於 2008-08-12 12:24:37 說收藏起來 |
|
愛鈴
於 2008-09-20 09:08:36 說 我也要收藏 覺的不錯 |
|
insane
於 2008-11-09 11:14:56 說 有點複雜... |
