今天去參加 TWNIC 舉辦的網路安全教育訓練課程,其課程主題是 惡意程式分析與鑑識(實做) 教育訓練,過程中學到非常多以前從來沒接觸過的資訊,也終於釐清了許多以前覺得無法理解的狀況,我真的覺得有這種課程真的很難得,可以開啟不少視野。課程中介紹了許多工具,其中有個 Panda USB Vaccine 工具蠻適合大眾使用的,透過這個工具可以替你的 USB 隨身碟注射防毒疫苗 (只能防 AUTORUN.INF 病毒)!
其實透過 USB 傳遞的病毒或木馬蠻多的,大多都透過 Windows 內建的「自動執行」功能進行感染,而自動執行時所要執行的程式主要是經由 USB 隨身碟根目錄下的 AUTORUN.INF 檔案所定義,這個 AUTORUN.INF 只是一個很簡單的文字檔而已,所以病毒程式很輕易的就能改寫這個檔案的內容,並且將病毒植入隨身碟,讓你的 USB 帶到哪裡就中毒到哪裡,非常的方便!^^
這個 Panda USB Vaccine 是套免費工具,所做的事情也很簡單,就是幫你把 AUTORUN.INF 的檔案型態從「一般檔案」調整成一種特殊的「裝置檔案」,這種「裝置檔案」在 Linux 底下很常見,像是在 /dev 目錄下的那些黃色的檔案名稱都屬於「裝置檔案」,如下圖示:
但在 Windows 底下這種檔案類型就不常見了,而且從檔案總管與 DOS 模式下都看不出來,只知道有一個檔案存在,不能讀取、不能寫入、也不能刪除,而 Panda USB Vaccine 就是利用裝置檔案的特性去修改檔案系統以欺騙作業系統說這個檔案是一個「裝置」,由於他把 AUTORUN.INF 變的不能讀取、不能寫入、也不能刪除,當然也就無法再中毒啦,因此被視為「注射疫苗」的過程,療效就是永不中毒,副作用就是該檔案永遠於法使用,除非你重新格式化磁碟!
在下載 Panda USB Vaccine 之後可直接進行安裝,安裝過程中有個步驟能讓你設定是否在日後有新的 USB 磁碟加入後自動替該 USB 磁碟注射疫苗,如果你勾選的話,如果朋友的 USB 磁碟插入到你的電腦就會自動被注射疫苗,如果你覺得是為了他好,那你就勾選吧。 ^_^
開啟使用 Panda USB Vaccine 你會發現界面很簡單,只有兩個功能,第一個功能是修改你的電腦設定,關閉所有自動執行功能,這時你只要按下 Vaccinate computer 按鈕即可。另一個功能是幫你的 USB 磁碟注射疫苗,如果你有插入任何 USB 磁碟,就可在這裡選取磁碟機代號,並按下 Vaccinate USB 按鈕即可,注射完成後其磁碟下拉選單會多出 (vaccinated) 字樣,代表已經注射疫苗了。
這時你會在 USB 磁碟根目錄下發現一個 AUTORUN.INF 檔案,既無法刪除、也無法開啟、也無法變更安全性設定,對一般 USER 來講完全是鬼打牆的情況。
備註: 此檔案被注射疫苗後會被標示「隱藏」檔案屬性,所以預設是看不到的,除非你調整檔案總管設定!
相關連結