文章转自----http://www.gz-benet.com.cn/bbs/Show.Asp?ID=1908
3 H) ?/ \& T. f3 n6 Q69中文之家 / 69 Chinese Nets
! G3 H, B2 _- v9 k69中文之家 / 69 Chinese Nets
' ~0 t" h7 V5 x新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛& @. @0 K  }& [+ n
Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。
/ S! v; m8 a, |1 y1 c新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛Autorun.inf被病毒利用一般有4种方式 www.69699.org- T& }. A/ o5 `$ h
1. 5 D+ S5 N" ~. x+ r" J% I: o
OPEN=filename.exe
( t1 i5 U# K1 r3 @' `自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。
0 a- b% F3 h: {69中文之家 / 69 Chinese Nets2.
0 ~8 g, {3 ?- q- u6 T69中文之家 / 69 Chinese NetsshellAutocommand=filename.exe 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛% ^! U# i- B) o$ a
shell=Auto 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛5 x  k3 P) M- C
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？ + T5 c) o- S3 r# ^- U5 @- p1 r
3. 69中文之家 / 69 Chinese Nets) _/ @. E6 a( m, Q
shellexecute=filename.exe 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛- t! E. p; J+ z) ~" u7 p( l" w+ ^- F
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。 69中文之家 / 69 Chinese Nets2 Q5 Q: e2 x# s( L* X! j
4. 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛6 T+ I1 [; C. }* J" k, R) A
shellopen=打开(&O)
- U) Y5 [# N9 N新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛shellopenCommand=filename.EXE
- l- L2 E9 V% J69中文之家 / 69 Chinese NetsshellopenDefault=1
2 \5 j1 P3 r' M" X9 o69中文之家 / 69 Chinese Netsshellexplore=资源管理器(&X) ----让心情一起飞扬$ o$ x# R* D$ A" p: t# H
这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。
# k) q2 q& t% x+ [) x& L4 i" Ewww.69699.org面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。
( A' i8 ~. }; u4 f* W+ O2 Q6 h新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛免疫的办法（对可移动磁盘和硬盘）
6 B6 ]+ g( J( x2 }! L* {, T1、同名目录
. |2 q/ [8 u8 L( @4 z69中文之家 / 69 Chinese Nets目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛1 L/ K! C- @3 a; H5 |
2、autorun.inf下的非法文件名目录
! I, U5 a5 g6 ^& L5 U7 q0 W" F. k2 J新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。
2 V  N$ Y: o) ]1 }4 f4 zwww.69699.org在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。
$ V. K8 B4 A  Z----让心情一起飞扬3、NTFS权限控制 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛$ H& Y8 {/ g+ n0 N1 m: U& k
病毒制造者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手，删除该特殊目录。 69中文之家 / 69 Chinese Nets1 [& A: s# b' }* l
因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。 : w3 o$ i5 `  ?9 D* e0 ?
但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。 ----让心情一起飞扬  ^' R; s* a* f" V! P7 H
这三步可谓是一步比一步精彩。但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。
% {4 [# F7 z7 K8 ~. F. G9 V新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛1、结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。
  X9 j# f( g' X9 z* t+ o% e  |----让心情一起飞扬2、提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。 ( V7 h/ q0 k; ?7 T1 X9 h
面对如此恐怖的东西，对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案， 新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛- T; G- g6 Q" |2 W3 k7 h
1、一定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。
. n- U7 {( A& E) I& |) Ewww.69699.org2、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。
$ c' ^& `6 I. L# ^) Wwww.69699.org3、某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗号程序，盗取账号，获得人民币。这条黑色产业链中，IE其实是最容易剪断的一环。珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱上各种小型下载站、seqing网站等高危站点，如果有可能，使用非IE引擎的浏览器。
0 R. ~. e4 b: i4 B69中文之家 / 69 Chinese Nets4、恶意捆绑软件，现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而一些恶意软件本身就是一个病毒木马的下载器。因此，不要让流氓接近你的机器。
2 B6 p) w7 C; b1 Z# ?- A: k* R" f( d' Z----让心情一起飞扬Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展。
$ j! y+ d; p6 x# N69中文之家 / 69 Chinese Nets新闻,军事,休闲,美女,娱乐,影视,下载,文学,社区,BBS,论坛1 ^7 \9 h1 M8 A  m3 y) R+ W+ o
[ 本帖最后由 ok 于 2007-6-17 10:44 编辑 ]

以后连接要搞上去哦