※ 引述《hirokofan (笠原弘子 命！)》之铭言： : 上周去上课，其中有一部分是讲随身碟病毒的 : 国家资通安全技术服务中心的顾问洋洋洒洒列了八种坊间说可关自动执行的方法 想知道老师的姓名 :) : 然後说其中五种没有用处，我看EFix应该是他说的NoDriveTypeAutoRun机码设定 : 这个对他来说属於「无用」的方式 : 不过那边的方式是让autorun.inf没有作用，检测方式是滑鼠双击 : 我想这应该是两件事情（无论如何我都有原作之路可退XD） : 他列的八种方式（前五种被他认定无用） : 插入随身碟时按SHIFT : 群组原则关闭自动播放 : 硬碟内容属性关闭自动播放 : NoDriveTypeAutoRun机码设定 : Tweak UI关闭自动播放 : 使用档案总管操作 : 停用服务Shell Hardware Detection : MountPoints2机码Eevryone权限进行限制 : 我想知道的是随身碟病毒是否插上去就会开始感染，而NoDriveTypeAutoRun机码设定 : 是避免这种情形，因为我发现当我用dir/a c:\检查受到感染的电脑时 : autorun.inf的生成时间会自动更新 : 另外，虽然他们说如何侦测，可是没说如何解决>_< : 唯一说过的解决方式叫做重灌，不过重灌要是没把所有磁碟机上的病毒干掉那也只是 : 重灌心酸的-_- : 伤脑筋，我们主任又中毒了，我还在他的电脑上装了Wow! USB Protector : 明明插上去扫到马上会有警告，怎麽还会中呢>_< 列的八种坊间秘方，其实有 5个半没有用 :) 除了老师认定的 5个外，还有半个「使用档案总管操作」没用。 如果是直接在磁碟上点右键执行档案总管，一样会启动 autorun。 不管那是不是随身碟磁区，就算是系统磁区也是一样。 有兴趣的可以试一试喔。 所以正确的说法是，从「开始」...来启动「档案总管」才能避免 autorun。 其实要先区别 autoplay(自动播放) 与 autorun(自动运行) 两者间是不同的。 autoplay 就是类似插入随身碟或光碟时，会弹出的操作视窗，如图: http://farm3.static.flickr.com/2146/2322861371_8bcd578c80_o.jpg 而前 5个坊间秘方也都只是关掉 autoplay，而不是 autorun， 所以才会没有效。 : 刚刚用又弱又迟钝扫过，没想到又弱又迟钝看到EFix备份出来的tavo和某.cmd没反应 : 我还故意再去扫一次，结果还是一样 : : 绝望啊！我对跌进XP娘记忆体中的防毒软体彻底绝望啦！ : : 该怎麽说好呢？今天要调整这个设定， : 其实就是要防止已经中毒的随身碟在无意中感染自己的电脑 : 所以我想知道的是Windows的系统是不是在随身碟一挂进来就会自动跑autorun.inf : 双击开启已经是後来的事情了 : : 那天那位顾问说，刚插上去会先跳个视窗，用那个开启随身碟不会把毒传给电脑 : 但我对这个说法存疑，因为那个时候Winodws会去扫描随身碟里面的档案 : 这时候就应该中毒了吧！像光碟的autorun是丢下去直接开程式 : 随身碟应该也是相同，只是病毒藏起来没让使用者发觉而已 : : 至於MountPoints2那个据他们说是MS给他们的方法 : : 另外他们还说这个随身碟病毒是去年最大条的资安威胁， : 可是怎麽查又弱又迟钝都跟我说这个病毒严重性是低 将自动执行分成两种定义好了： 1. 主动式自动执行 作业系统侦测到新装置时会自动运行 autorun.inf。 2. 被动式自动执行 当使用者双击开启磁区时，才会自动运行 再来看 Windows 对於 USB storage device 自动执行的解释: http://www.microsoft.com/whdc/device/storage/usbfaq.mspx 其中一句： The Autorun capabilities are restricted to CD-ROM drives and fixed disk drives. 这句讲的是主动式自动执行。 也就是说除了 CD-ROM 与固定式磁区才有 autorun 的功能，随身碟是没有主动式的。 所以，Windows 不支援随身碟像放入光碟片那般就会(主动)执行某程式。 另外，在插入随身碟时，Windows 出现的扫描档案画面， 其实只是扫描随身碟内档案与路径的对应，不会执行里面的档案， 所以没有中毒的问题。 最後，防毒软体厂商在蒐集病毒的策略上都不同， 这方面也会影响区域性的防毒能力。 Symantec 在北美地方拥有很大的优势，但到了亚洲区就较其它厂牌弱上一些。 对等来说，金山毒霸在亚洲区有优势，到了欧美区也很难与它牌抗衡。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.109.22.221