U盤(pán)防御

yaoqian0907 2012-05-10

展開(kāi)全文

先談雜七雜八的免疫方法：在磁盤(pán)下建立一個(gè)autorun.inf文件，將屬性設(shè)置為只讀，隱藏。防止被覆蓋.....不知道是誰(shuí)想出來(lái)的，沒(méi)什么可操作性??！再者就是在組策略里設(shè)置關(guān)閉驅(qū)動(dòng)器的自啟動(dòng)，一樣沒(méi)什么技術(shù)含量，惡意軟件作者之需要幾行操作注冊(cè)表的代碼就讓這個(gè)方法毫無(wú)價(jià)值。

再談第1代免疫方法：

讓我們看看是怎么實(shí)現(xiàn)的吧。

md c:\autorun.inf
rd c:\autorun.inf
attrib c:\autorun.inf +s +h +r
cacls c:\autorun.inf /d everyone

復(fù)制代碼

目的是用命名autorun.inf文件夾并加上只讀，隱藏，系統(tǒng)屬性來(lái)防止生成autorun.inf文件，但是很快被惡意軟件制作者發(fā)現(xiàn)，并以用代碼進(jìn)行反免疫?。?！

接下來(lái)是第2代免疫方法

第2代說(shuō)白了就是所謂的人們傳為圣經(jīng)的系統(tǒng)文件命名漏洞的利用方法。
看看是如何實(shí)現(xiàn)的。

md c:\autorun.inf\dxl..\
md c:\autorun.inf\" \"

復(fù)制代碼

但是由于用的人多了所以被惡意軟件作者關(guān)注，于有了下面的反免疫代碼：

@echo off
echo +++++++++++++++++++++++++++++++++++++
echo +++++++++搞定免疫中++++++++++++++++++
echo +++++++++++++++++++++++++++++++++++++
del dxl.txt>nul
for %%i in (d e f g h i j k l m n o p q r s t u v w x y z) do (fsutil fsinfo drivetype %%i:|findstr "可移動(dòng)"&&echo %%i>>a132.txt)
for /f %%i in (a132.txt) do attrib -r -a -s -h %%i:\autorun.inf>nul
for /f %%i in (a132.txt) do rd %%i:\autorun.inf /s /q>nul
del dxl.txt
@pause

復(fù)制代碼

代碼的原理就不說(shuō)了，自己看吧

第3代免疫

由于上面的代碼，牛人們又想出了不能簡(jiǎn)單刪除的文件或者文件夾來(lái)保護(hù)autorun.inf文件夾
這些技巧只在少數(shù)人群內(nèi)傳播，我今天就放出來(lái)。

文件命名是不允許使用一些特殊的字符，這大家都知道，可你知道，上面的這些限制被解除了嗎…… 　　從DOS時(shí)代過(guò)來(lái)的朋友都知道，“8.3”式的文件名（目錄名）是不允許使用一些特殊的字符如?、\、*、>、<等以及DOS的保留字（如con、aux、com1、 lpt1、prn和nul）的。進(jìn)入Windows時(shí)代，“目錄”改稱“文件夾”，文件名的長(zhǎng)度也大大增加，長(zhǎng)文件名極大的方便了我們的操作。

如何建立這些文件或者是文件夾呢？
實(shí)現(xiàn)如下：

md com1\
md nul\

復(fù)制代碼

等等........

注意，建立了后，這些文件夾是無(wú)法刪除的!!!

在談下如何建立這些帶有特殊字符的文件。實(shí)現(xiàn)方法如下：

首先建立一個(gè)dxl.txt然后運(yùn)行下面的代碼：

copy c:\dxl.txt \\.\c:\com1

復(fù)制代碼

第N代免疫方法

主流的方法就上面的了，但是棋差一著的就是autorun.inf文件夾是可以被任意更改的，要是被重命名了上面的方法就沒(méi)有什么意義了。怎么辦呢？呵呵，讓我們來(lái)展望下吧。

1.軟件實(shí)現(xiàn)新思路，USB Vaccination這軟件的特色是能在FAT/FAT32格式的移動(dòng)盤(pán)中建立一個(gè)空白autorun.inf，無(wú)修改權(quán)限和刪除權(quán)限，在技術(shù)上是怎么樣實(shí)現(xiàn)的，此公司還沒(méi)有透露.....（自己也想不通，難道非要用逆向工程了么？反正現(xiàn)在沒(méi)這個(gè)實(shí)力，看以后吧）

2.修改shell32.dll文件
這里對(duì)這個(gè)技術(shù)很有必要說(shuō)明一下，比較的有意思。
我們先來(lái)了解下shell32.dll是什么東東吧

DLL 文件：

　　shell32 - shell32.dll - DLL文件信息
　　DLL 文件： shell32 或者 shell32.dll
　　DLL 名稱： Microsoft Windows Shell Library(微軟視窗外殼要求生效的命令代碼集合)
　　描述：
　　shell32.dll是Windows的32位外殼動(dòng)態(tài)鏈接庫(kù)文件，用于打開(kāi)網(wǎng)頁(yè)和文件，建立文件時(shí)的默認(rèn)文件名的設(shè)置等大量功能。
　　嚴(yán)格來(lái)講，它只是代碼的合集，真正執(zhí)行這些功能的是操作系統(tǒng)的相關(guān)程序，dll文件只是根據(jù)設(shè)置調(diào)用這些程序的相關(guān)功能罷了。
　　屬于： Microsoft Windows Shell (微軟視窗外殼)
　　系統(tǒng) DLL(動(dòng)態(tài)連接庫(kù))文件：是

Explorer.exe有調(diào)用這個(gè)文件，作者的思路就是擦除進(jìn)程Explorer中的Shell32.dll模塊中的特定內(nèi)存字符串可以做到U盤(pán)自動(dòng)執(zhí)行的動(dòng)態(tài)免疫。這樣就一勞永逸了。這也就是指明autorun.inf就是在shell32.dll的設(shè)定下運(yùn)行的，只要?jiǎng)h除了和autorun有關(guān)的字符串就可以達(dá)到免疫的效果。

用IDA打shell32.dll文件

關(guān)鍵代碼如下：

把

7CA8F27F Push

復(fù)制代碼

的地址中Autorun.Inf抹掉[注意是Unicode編碼],當(dāng)然也可以修改成你喜歡的自動(dòng)執(zhí)行名字.比如dxl.inf等

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： yaoqian0907 > 《IT知識(shí)》

舉報(bào)/認(rèn)領(lǐng)