※ 引述《Skeror (抱歉~~你太幼稚了)》之铭言： : ※ 引述《blman (我爱亦洁我爱亦洁)》之铭言： : : Wow! USB Protector : : http://rt.openfoundry.org/Foundry/Project/Download/?Queue=905 : 它会把 随身碟程式管理"PStart"认成是病毒 ( http://www.pegtop.de/start/ ) : 还会想把我写的autorun.inf删掉说@@ : 请问这样是正常的吗? 要是防毒程式能够事先在随身碟的里面建立一个内容具有特徵的autorun.inf的话 像是在autorun.inf的第一行或最後一行加上 ;hello hello XD 其中 ; 之後的东西会被视为注解，好像和c一样吧 所以对於自己写的内容不会有影响 然後防毒程式假如能够对内容做特徵比对的话 就可以避免S大的问题 只是假如特徵的内容是自订的话 可能随身碟插到别台电脑上就会被辨识成有问题 但是特徵的内容是固定的话 也可能会被病毒规避 假如用我上一篇autoplay的方法的话 然後纯粹检查autoplay的第一项是不是自订的 内容是什麽就可以不用管了 而且一般病毒都不会很招摇地直接在autoplay上面讲说 哈罗，我来了 (￣▽￣＃)﹏﹏☠ 只是我不知道有没有办法做到这点 因为其实没什麽学过写程式 或许可以使用图像辨识吧XDXD 因为autoplay的选单好像都是出现在画面上同一个位置 然後假如把自订选项加上一个特定的icon 或许就可以做辨识 有点像2D条码一样 只是好像有点异想天开XDXD 而且真的要的话，病毒还是能够规避orz 只要对icon的设定和项目的名称部份不去动它就好了 还有一个方法 因为病毒是直接使用open或是shellexecute这个指令 open只能开启exe档 shellexecute可以开启很多其他的东西，例如:特定网页、音乐播放清单 假如open或shellexecute有设定了特定的目标的话 那随身碟就点不开了 然後会直接执行特定的程式(病毒) 这就是病毒的autorun里面常见的情况 所以一般自己写autorun的话并不会这样写吧 可是假如把open的=後面直接放空白的话 autoplay就没办法正常使用了 所以我会在後面加上一行 shell=nagle 有写过autorun就知道这是设定"预设事件"的"名称" =後面随便写都可以 也就是不管你open後面接了什麽东西 除了在autoplay的选单上直接点选以外 直接用"我的电脑"点进随身碟的话 会直接执行"预设事件"所指定的东西 而不是open後面接的东西 然後呢 我并没有去设定nagle这个事件要做啥XDXD 因为这样才会直接开启随身碟 而不是去执行我只想让autoplay执行的程式 所以nagle这个事件只是"空壳子" 所以说 病毒绝对不会在autorun里面这样写呀 因为这样就没办法骗我们执行病毒了呀XDXDXD 所以假如防毒程式把这一行"shell=nagle"当成"特徵"来检查 而且要注意後面不可以出现 shell\nagle\Command= 这样一行东西 因为这样这个事件就会被指定为执行特定程式 这种规则应该是不会被病毒规避 因为病毒敢这样写的话就等於自杀 逻辑上应该是没有错 只要自己写inf的人能够把"点两下随身碟来执行特定程式"的功能牺牲掉的话 另外 假如能够更进一步 在确定随身碟被感染之後 利用病毒的autorun里面所写的东西 像是我保留的这个病毒的autorun [AutoRun] open=xwatmaf.exe shell\open=湖羲(&X) shell\open\Command=xwatmaf.exe shell\open\Default=0 shell\explore=訧埭夺烩け(&O) shell\explore\Command=xwatmaf.exe 在open和每个事件的command後面 全都是接着同一个病毒的执行档的名字 要是防毒程式能够直接读取出後面的档名的话 就可以直接在随身碟里面找出确定的病毒直接删掉 不会有误删的问题 而且就算是没听过的也可以删掉 应该是可以的方法吧 只是我不会写这种程式 所以只能停留在想法的阶段 有人愿意帮忙试试看的吗(￣▽￣＃)﹏﹏ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.113.242.59