※ 引述《hirokofan (笠原弘子 命！)》之銘言： : 上週去上課，其中有一部分是講隨身碟病毒的 : 國家資通安全技術服務中心的顧問洋洋灑灑列了八種坊間說可關自動執行的方法 想知道老師的姓名 :) : 然後說其中五種沒有用處，我看EFix應該是他說的NoDriveTypeAutoRun機碼設定 : 這個對他來說屬於「無用」的方式 : 不過那邊的方式是讓autorun.inf沒有作用，檢測方式是滑鼠雙擊 : 我想這應該是兩件事情（無論如何我都有原作之路可退XD） : 他列的八種方式（前五種被他認定無用） : 插入隨身碟時按SHIFT : 群組原則關閉自動播放 : 硬碟內容屬性關閉自動播放 : NoDriveTypeAutoRun機碼設定 : Tweak UI關閉自動播放 : 使用檔案總管操作 : 停用服務Shell Hardware Detection : MountPoints2機碼Eevryone權限進行限制 : 我想知道的是隨身碟病毒是否插上去就會開始感染，而NoDriveTypeAutoRun機碼設定 : 是避免這種情形，因為我發現當我用dir/a c:\檢查受到感染的電腦時 : autorun.inf的生成時間會自動更新 : 另外，雖然他們說如何偵測，可是沒說如何解決>_< : 唯一說過的解決方式叫做重灌，不過重灌要是沒把所有磁碟機上的病毒幹掉那也只是 : 重灌心酸的-_- : 傷腦筋，我們主任又中毒了，我還在他的電腦上裝了Wow! USB Protector : 明明插上去掃到馬上會有警告，怎麼還會中呢>_< 列的八種坊間秘方，其實有 5個半沒有用 :) 除了老師認定的 5個外，還有半個「使用檔案總管操作」沒用。 如果是直接在磁碟上點右鍵執行檔案總管，一樣會啟動 autorun。 不管那是不是隨身碟磁區，就算是系統磁區也是一樣。 有興趣的可以試一試喔。 所以正確的說法是，從「開始」...來啟動「檔案總管」才能避免 autorun。 其實要先區別 autoplay(自動播放) 與 autorun(自動運行) 兩者間是不同的。 autoplay 就是類似插入隨身碟或光碟時，會彈出的操作視窗，如圖: http://farm3.static.flickr.com/2146/2322861371_8bcd578c80_o.jpg 而前 5個坊間秘方也都只是關掉 autoplay，而不是 autorun， 所以才會沒有效。 : 剛剛用又弱又遲鈍掃過，沒想到又弱又遲鈍看到EFix備份出來的tavo和某.cmd沒反應 : 我還故意再去掃一次，結果還是一樣 : : 絕望啊！我對跌進XP娘記憶體中的防毒軟體徹底絕望啦！ : : 該怎麼說好呢？今天要調整這個設定， : 其實就是要防止已經中毒的隨身碟在無意中感染自己的電腦 : 所以我想知道的是Windows的系統是不是在隨身碟一掛進來就會自動跑autorun.inf : 雙擊開啟已經是後來的事情了 : : 那天那位顧問說，剛插上去會先跳個視窗，用那個開啟隨身碟不會把毒傳給電腦 : 但我對這個說法存疑，因為那個時候Winodws會去掃描隨身碟裡面的檔案 : 這時候就應該中毒了吧！像光碟的autorun是丟下去直接開程式 : 隨身碟應該也是相同，只是病毒藏起來沒讓使用者發覺而已 : : 至於MountPoints2那個據他們說是MS給他們的方法 : : 另外他們還說這個隨身碟病毒是去年最大條的資安威脅， : 可是怎麼查又弱又遲鈍都跟我說這個病毒嚴重性是低 將自動執行分成兩種定義好了： 1. 主動式自動執行 作業系統偵測到新裝置時會自動運行 autorun.inf。 2. 被動式自動執行 當使用者雙擊開啟磁區時，才會自動運行 再來看 Windows 對於 USB storage device 自動執行的解釋: http://www.microsoft.com/whdc/device/storage/usbfaq.mspx 其中一句： The Autorun capabilities are restricted to CD-ROM drives and fixed disk drives. 這句講的是主動式自動執行。 也就是說除了 CD-ROM 與固定式磁區才有 autorun 的功能，隨身碟是沒有主動式的。 所以，Windows 不支援隨身碟像放入光碟片那般就會(主動)執行某程式。 另外，在插入隨身碟時，Windows 出現的掃描檔案畫面， 其實只是掃描隨身碟內檔案與路徑的對應，不會執行裡面的檔案， 所以沒有中毒的問題。 最後，防毒軟體廠商在蒐集病毒的策略上都不同， 這方面也會影響區域性的防毒能力。 Symantec 在北美地方擁有很大的優勢，但到了亞洲區就較其它廠牌弱上一些。 對等來說，金山毒霸在亞洲區有優勢，到了歐美區也很難與它牌抗衡。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.221