2007年8月10日 星期五

外接設備的存取(I/O of External Device)

現在電子產品種類眾多,除了APPLE很有名的I系列之外,利用USB或記憶卡讀卡機與電腦連接的產品之多,讓人目不暇給,小到MiNi-SD,大至3.5吋硬碟都有

不過筆者這裡是指能夠做存取的裝置,所以有些做為顯示用的大型設備不在此限,也因為方便,卻為公司或個人帶來許多麻煩

不過為了大型檔案的便利性,這一類的產品又是不可缺少的一個環節,所以要如何做有效的預防,這一點就有賴於使用者與電腦管理者之間的溝通了

就拿我們最常用的外接媒介 -「USB」來說,其實現在絕大部份的硬體幾乎都有支援USB,無論是一般的USB或是MINI-USB(需轉接才可使用),但是它仍有USB1.0和2.0之差,雖然現在應該都是2.0以上,不過舊的OS(例:WIN2K或ME)可能就要安裝相關軟體才能支援到2.0的速度


現在一般電腦的架構,為了方便常有設置有前置後方背板的USB插槽,有時候還會因為USB連接的晶片相容性,而有速度上的不同,這部份可以利用USB測速軟體(如:EasySPEED、SiSoftware Sandra...等軟體),進行測速,找出頻寬最大的介面來做使用

在使用這一類設備的同時,其實隱憂就是在無網路時代所害怕的事,就是病毒會隨著這些能夠存取的設備而散布,因此,這一方面的防範更是不可不防,舉例來說:

USB隨身碟病毒:

  起因:隨身碟一但插入後,會自動掃描內容並開啟(此時已經感染)
  病毒途徑:利用Autorun.inf自動執行的特性進行感染
  建議的避免方式如下:
  (1)插入USB裝置後,按住SHIFT鍵,會跳過Autorun.inf檔不執行
  (2)視窗鍵+E直接開啟檔案管理員(視窗鍵:ctrl和alt之間的鍵)
  (3)選購具有防寫裝置的隨身碟(類似以前磁片防寫機制)
  (4)修改登錄檔:(進階者使用登錄檔的數值(微軟官方))

    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \CurrentVersion\Policies\Explorer

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
    \CurrentVersion\Policies\Explorer

  ↑將登錄檔中的NoDriveTypeAutoRun的數值改為FF關閉所有自動播放
  (5)讓隨身碟只能讀不能寫入:(修改登錄檔,僅對XP-SP2可用)
  一‧HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
    增加StorageDevicePolicies的機碼
  二‧機碼右鍵「新增」-->「DWORD值」-->名稱為「WriteProtect」
  三‧WriteProtect的數值資料:「1」(禁止寫入)、「0」(開放寫入

除了以上的避免方法之外,若真的不幸中毒,因為它們都會被加上特別的屬性,則可以利用命令提示字元來刪除Autorun.inf...等相關檔案(先利用文字編輯器確認相關路徑為病毒,或上Google比對),建議的處理方式如下:

進入命令提示字元下刪除系統保護檔案:
  一‧執行-->cmd(開啟命令提示字元)。
  二‧cd x:(切換至隨身碟的磁碟區,筆者假定為x:)。
  三‧attrib(顯示該目錄下檔案的屬性,相關屬性的設定如圖所示)。
    
  四‧attirb -s -r -h autorun.inf(將感染檔案的屬性消除)。
  五‧del autorun.inf(刪除感染的檔案)。
  六‧重覆四和五點,將所有感染檔案刪除。

外接設備還可以利用很多介面與方式(IEEE1394、無線技術...等)來進行存取,最重要的是要怎麼保護自身安全,同時不要成為病毒感染的媒介,這些是在方便之餘也要考量的部份

雖然筆者盡可能地在網路上找到相關解決方法,如有其他意見好點子,也可留言或來信,筆者更歡迎您的指教,希望能解決大家久違的困擾

7 則留言:

  1. 重點是沒有講到怎麼預防,等到中毒了在解毒不是很麻煩嗎??

    回覆刪除
  2. 應該這樣講,你寫的那些避免方法有點不切實際,很少人會在插入USB時按住SHIFT,甚至來不及按住SHIFT,要按住多久也是個問題

    關閉所有自動播放也是個問題,很多人需要使用這個方法,不應該關閉自動撥放來增加自己的負擔。

    改登錄檔也是一般電腦使用者無法辦到的事

    我想問,安裝防毒軟體有效嗎???

    回覆刪除
  3. 提姆您好:

    先謝謝你的指導與建言...

    首先你說那個按shift鍵這件事,老實說我相信大多數人都不一定會做(我自己會啦!慢慢學習中)

    按的時間:到你的電腦顯示抓取到大量儲存設備-->您可以使用新增xxx為止(因為自動偵測開啟就是在這些程序後啟動的。)

    至於自動播放這功能的使用,其實我是針對工作使用上的電腦來思考(自己家中的可能就會因為年邁使用者而不宜如此操作...),所以關閉之後的益處可能會比害處大一點,尤其是現在一般公司內部網管人員普遍缺少的狀況下...

    改登錄檔的技巧,其實原本就是給"管理者使用的工具(而且也有其相對的風險),如果有其它的配套措施當然會更好!而你自己當然也可以當自己電腦的管理者。^^"

    最後一個問題,防毒軟體有用嗎?

    該怎麼說呢?這一類的病毒(說惡意程式可能恰當),它能夠被防毒軟體偵測並刪除,但是病毒會一直自動產生(因為它被鎖死在某些程序內...原則上防毒軟體是無法強制刪除並停用該程序),只能改用其它軟體輔助,這也是為何kavo會造成這麼大的風行。

    其實你說的沒錯,我寫的方式可能不太適合來給一般人"預防"使用,但是針對管理者來說,這些是在缺乏工具及明文政策下的變通方案。

    最後,還是很感謝你給了我不一樣的思考方向。如有其它意見歡迎建言!

    回覆刪除
  4. 其實我會緊張是因為我老婆她是個平面設計的工作者,他常用大容量的隨身碟,而且工作時是帶來帶去的,對她而言,什麼按住shift的方法只會被她臭罵一頓,加上如果電腦中毒,那我可能就不用睡覺了,因為如果沒把電腦修好,我就不能睡覺。

    從事藝術的通常脾氣都不是很好。

    回覆刪除
  5. 原來如此,那我建議你可以使用抑制的方式來做消極的處理,但是它一樣會有相當的風險...

    因為像kavo這一類的惡意程式它都是透過autorun.inf和ntdelect.com者兩個檔案來感染到隨身碟上。

    你可以在你老婆的隨身碟裡新增兩個空的資料夾就分別命名成autorun.inf和ntdelect.com(在dos模式下,可以用attrib +s +r +b幫那兩個空的資料夾寫上屬性)<---在windows下不能建立同名稱的資料夾或檔案

    照這樣子可以避免它拿去插別人電腦時,就算別人電腦有kavo也寫不上去你老婆的隨身碟。

    或是參考我先前寫的兩篇:

    http://indeepnight.blogspot.com/2007/11/afterthought-about-analytic-malware.html

    http://indeepnight.blogspot.com/2007/10/usbevolution-of-usb-virus.html

    希望能夠對你有所助益。(再次提醒此做法是消極的預防手法。)

    回覆刪除
  6. 這篇文章有兩個小錯誤:

    1. 隨身碟插入時,自動掃描內容並彈出 autoplay 的功能並不會執行隨身碟內的任何程式。

    2. 按住 SHIFT 鍵只是關閉 Autoplay 而不會禁止 Autorun。

    可以參考我 blog 的文章
    The difference between Autoplay & Autorun

    回覆刪除
  7. 多謝blman的指教,其實我之後有針對AUTORUN.INF做過其它的測試來補強這部份。

    可以參考此篇:http://indeepnight.blogspot.com/2008/01/testing-autorun.html

    或是在另一個地方我曾參與過的討論:
    http://tinyurl.com/35dk86

    而這邊沒有同步修改過來,是我的疏忽,多謝你的提醒。 (我同步回到你的blog)

    回覆刪除