[方案] 直接看出隨身碟有沒有被病毒感染
最近我把autorun.inf的語法稍微研究了一點點
因為實在太容易中毒了
只要去一趟計中或是用到其他的公用電腦
回來插上自己的電腦打開來看的時候
卡巴常常都會叫
所以有一天就心血來潮研究了一下隨身碟病毒和autorun的語法
然後就看到了以下這篇文章
http://0rz.tw/ce3U6
裡面的錦囊三
講到說平常隨身碟插入電腦的時候
跳出來的選單是autoplay的功能,而不是autorun的功能
在這個階段"應該"是不會執行到病毒
因為autoplay只是提供了"選單"給你看
雖然它也讀取了autorun.inf這個檔案
但是並不會執行inf裡面所指定的程式
另外我找到以下這篇文章,是教怎麼寫autorun.inf的
http://dailycupoftech.com/usb-drive-autoruninf-tweaking/
裡面有教到怎麼做出autoplay時的自訂項目
所以他的示範圖片裡面
選單就多了一個"DCoT Open Program"在最上面
然後我就自己寫了一個inf
也弄了一個autoplay的自訂項目
有一天我從外面回來把隨身碟插上電腦
就發現原來的自訂項目不見了
結果原來是中毒
因為我開隨身碟的時候卡巴就叫了
結論就是病毒把我原來自己寫的autorun用它自己的替代掉
所以就看不到我的自訂項目
反推回去的話就能夠知道,看不到自訂項目的時候就是中毒了
所以假如事先在隨身碟裡面弄一個設定了自訂項目的autorun的話
在執行autoplay的時候就可以確定有沒有中毒
因為目前隨身碟病毒都要利用到autorun.inf
所以中毒的話這個檔案一定會被置換掉
而且autoplay是windows本身就有的功能
這樣就算沒有裝防毒軟體也可以知道有沒有中毒
知道有中毒的話就可以預防去點開隨身碟
因為就算是卡巴,也必須要點開隨身碟的時候才會叫
可是假如是防毒軟體抓不到的病毒就糟了
像是這次的,.exe
而且假如不確定目前使用的電腦本身有沒有中毒
只要把隨身碟插進去再拔出來再插進去
(因為重插之後才會重新載入autorun.inf)
然後看一下自訂項目,應該就可以確定了吧
只是我有一點不是很確定
就是前面講的
autoplay會讀取autorun.inf,然後提供選單
我不確定autoplay會不會執行autorun.inf裡面所指定的程式
所以我只說"應該"不會執行
假如真的確定不會執行的話,那這個方法或許真的會是不錯的方法
以下提供一個很簡單很簡單的範例
只要在autorun.inf裡面打上
[AutoRun]
open=L.exe
action=這個隨身碟沒有毒?
存檔之後把隨身碟拔出來再插進去
就可以在autoplay的選單上面找到一個叫做"這個隨身碟沒有毒?"的項目
至於那個 L.exe 只是一個隨便設的程式名稱
只是為了使自訂項目有效出現
隨身碟裡面並不需要真的有這個檔案
這次是小弟第二次在這個板po文
這個方法應該沒有op吧XDXD
假如有什麼講錯的地方也請不吝指教^^
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.113.242.59
推
06/15 01:43, , 1F
06/15 01:43, 1F
推
06/15 01:46, , 2F
06/15 01:46, 2F
推
06/15 07:50, , 3F
06/15 07:50, 3F
推
06/15 10:47, , 4F
06/15 10:47, 4F
推
06/15 10:53, , 5F
06/15 10:53, 5F
→
06/15 11:20, , 6F
06/15 11:20, 6F
→
06/15 11:45, , 7F
06/15 11:45, 7F
→
06/15 11:45, , 8F
06/15 11:45, 8F
推
06/15 14:50, , 9F
06/15 14:50, 9F
→
06/15 14:51, , 10F
06/15 14:51, 10F
→
06/15 14:53, , 11F
06/15 14:53, 11F
→
06/15 16:07, , 12F
06/15 16:07, 12F