關於部落格
電腦教學、學習、教師網誌
  • 181675

    累積人氣

  • 40

    今日人氣

    0

    追蹤人氣

如何預防隨身碟中毒

如何預防隨身碟中毒

< !-- -->

Roger | 23 Jan, 2007 17:53

現在,隨身碟存就像數位相機、手機、iPod 等已經成為生活的一部份。

很多人把它當成一種儲存設備,存放很多資料在上面。它有可能會不見或被偷,但它有另一個風險就是攻擊者、駭客或惡意程式作者可以將它視為一種攻擊工具,把惡意程式放在上面,然後,將它插入受害者的電腦,之後,他們就可以完全地控制受害者的電腦。到底他們是如何做到得呢?微軟視窗作業系統提供一個自動執行 (Autorun 或 Autoplay) 的功能,系統會自動尋找 autorun.inf 的檔案,而且,自動執行其內容,可想而知,如果其內容是執行一個惡意程式,你可能就變成受害者,但要如何預防呢?以下分成幾點說明:

一、避免已感染的隨身碟感染電腦:可以利用下面其中一種方法,關閉動執行 (Autorun 或 Autoplay) 的功能。

1. 當隨身碟插入電腦時,一直按著「Shift」鍵,直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。

2. 修改登錄機碼,找到 HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesExplorer,將 NoDriveTypeAutoRun 的值設為 0×00000095 以及
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer,將 NoDriveTypeAutoRun 的值設為 0×00000095,然後,重新開機,
這樣就可以停用 Autorun 了。

3. 利用群組原則嵌入式管理單元 (gpedit.msc) 。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc],然後,參考下圖,設定完成後,重新開機。

二、避免已感染的電腦感染隨身碟:其實,就像以前的磁片 (Floppy),因為會被病毒感染,最後,磁片都具有唯讀 (Read-Only) 的開關,所以,各位可以購買具有唯讀開關功能的隨身碟,但現在好像比較少隨身碟有此功能,製作隨身碟的廠商可能要考慮把此項功能納入規格中,否則,很難避免中毒。(另外,各位可以常常檢查是否 autorun.inf 被更改過了)

至於,為什麼要將 NoDriveTypeAutoRun 的值要設為 0×00000095 呢?如果各位有興趣的話,我會再說明。最後,如果此篇文章有錯誤的地方,請告知。

P.S. 如果要關閉 CD-ROM 的自動執行功能,可以將 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdromautorun 的值設為 0,然後,重新開機。


http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=9169&blogId=673

隨身碟存取被拒解決方法:

應該是中了Trojan-Dropper.Win32.Delf.wj 病毒,症狀是: 防毒軟體會錯將驅動程式當成病毒,造成隨身碟存取被拒。

大致上發現該病毒分別存在於c:windowssystem32inetsrv 和隨身碟根目錄的 recycle 資料夾(裡面有三個檔案,driveinfo.exe   driveinfo.sdc    voinfo.dll),
而似乎recycle資料夾內的檔案由主機部分的inetsrv控制。


就我的情況,當我把中毒的隨身碟插入並點選圖示要讀取時,病毒會在主機建立c:windowssystem32inetsrv 資料夾,並藉此控制隨身碟內recycle資料夾內的檔案,然後將driveinfo 寫入電腦的機碼內,甚至將driveinfo.exe複製到C:windowssystem32 裡,然後不知怎的最後讓防毒軟體判斷錯誤,造成存取被拒的情形。


這些是我解決完問題後推測出來的部份,而我解決的方法是:

1 先關閉系統還原(我的電腦按右鍵選「內容」,選「系統還原」,打勾「關閉所有磁碟上的系統還原」)


2.讓所有隱藏檔現形,因為上述檔案都是隱藏檔。從開始 -> 設定 -> 控制台 -> 資料夾選項 -> 檢視 -> 在「隱藏檔案或資料夾」這項目中選「顯示所有檔案和資料夾」;「隱藏保護的作業系統檔案(建議使用)」這項把打勾去掉。


3.在插入隨身碟狀況下,雖然不能直接點選,但是在圖示上按右鍵應該可以用檔案總管模式進去。此時若有讓隱藏檔現形,可以發現一個資料夾recycle,以及旁邊的autorun檔案,兩者都直接殺掉。


4.接著我就先卸下隨身碟(因為它內部的毒已經殺掉,剩下主機部分),然後重新開機到安全模式(重開機後一直按F8),進去後到c:windowssystem32 將 inetsrv資料夾整個殺掉。


5.然後就是要刪病毒機碼,若有使用regseeker軟體,就直接搜尋 driveinfo,然後將所有相關機碼全刪掉;不然就從 開始→執行→輸入 regedit → 編輯→ 尋找 →搜尋driveinfo,同樣將搜尋出的相關機碼刪除。

  (這一步驟可以回到一般模式進行,或直接在安全模式也可以)

相簿設定
標籤設定
相簿狀態