資安論壇

在這邊爬文的大大們大概都有根USB進行慘痛的搏鬥經驗，小的很久以前就在這論壇爬來爬去。
然而前陣子USB病毒真的是太猖獗了，因此許多專用的程式也因此而產生，但是部份程式都僅支援特定病毒，而無法處理變種的部份，而掃毒軟體也僅能處理已知的根含有Autorun.inf之類的才能解晰，不然根本沒則，但是現在先進的病毒已經不靠Autorun.inf啟動了，況且現在的USB病毒都會自己換檔名變種，普通使用者根本無法完全清楚(這邊那些怪物級的大大例外)
後來小弟根據再這邊所累積的經驗與知識提出了一個改善的方式
如下列網址所寫的那篇。
viewtopic.php?f=8&t=16618
程式專案:
https://of.openfoundry.org/projects/1241

原本是想說提供這些可行的理論讓大大們去使用就好，結果被批，小的只好自己痛苦一點寫了一之樣品程式，結果又被批人家中研院開發的你能比嗎??，根據使用者經驗我這理論比那些掛著名號騙廣告費的好多了，最少連理論跟程式碼都提供，於是小的就再開放原碼區那邊給他申請一個專案過了，現在放出來，希望各位專業大大們提供指導與改進，話說小地寫程式的技巧不好，看程式碼如果覺得寫不好那就請自己改拉。

肯定老兄您的好意先!

不過根據 avpclub 的測試報告來看,
https://www.avpclub.ddns.info/discuz/thread-16979-1-1.html
網路上所謂的 隨身碟病毒專殺工具 效果都很差...

您寫的東西好不好用不是您自己說了算,
至少有個類似 avpclub 這種測試報告結果才能佐證,

所以..加油啦!
希望能有一個爭氣點的工具出現!

我的程式是新發的，也不會有那些專業人士會去測我這個無名小卒開發的。
我寫出來給大家測試，還被批人家WOW那套是中研院開發的，你這沒見識的還敢在那邊提供自己的程式給大家用，說別人的缺點。
目前也沒什麼人在用只有少數幾個知道的才有在用
況且我跟那些生意人不一樣，他們推出是為了提高的們的工作室知名度，程式只是順手的，我則是為了造福各位，連程式碼跟理論都提出來與大家分享供大家指點改良共同求進步。
我個人相信好的東西它會自己流傳，在知識加就可以知道，都是原作者拼命推廣才流行起來的。

一個知心者的一句鼓勵，遠比一堆虛偽的無知批評還要令人感動。
我會盡量把該程式給完善的。
我的程式碼用C寫的
如果會寫C語言的，可以自己看看改善它。

大大請問:
如果像是市面上一些內部本身有韌體+軟體的USB他在剛連結電腦的時候就會執行
那種隨身碟本身會被感染嗎?
有辦法將清除的方式USB本身的軟體結合嗎?

_________________
網路成就了地球村，地球村成就了蔓延!

如果是那種軟體韌體合併的那種他本身就是透過隨身碟韌體中的boot啟動，我知到的大概是下列幾種
1.FalshROM本身透過存取晶片的BOOT啟動，本身具有加密功能需透過該經片所提供的軟體才能存取的隨身碟(無法感染)
2.有加密功能但是無須透過軟體便可存取。(這類型的如果沒有檔案存取規則的設定功能的話還是會被感染)
3.一般透過微軟驅動就可使用的隨身碟(只要跟微軟扯上關係不倒楣才有鬼，越方便的東西越容易出問題)

關於第1種我曾見過一種比較特殊的，放進去後他會同時出現1個磁碟機1個光碟機。
光碟機是唯獨的裡面有Autorun.inf跟特殊的磁碟讀寫程式，可設定檔案規則跟不同權限的存取，也可以設定成一般磁碟模式不用軟體即可存取。這種的單價很高但是很耐用也很安全

1.至於將我這種的USB防護程式跟USB本身結合，應該說不是做不到，簡單的作法就是採用跟病毒的相同方式以寄生感染的方式去跟病毒搶地盤。

2.看看哪天那些廠商大發慈悲把這類型的軟體燒進隨身碟的存取IC裡面
3.自己寫一套特製的格式化軟體，讓軟體格式化之後自動將軟體燒入FalshROM裡面，讓Explorer開幾磁碟區時自動進行防護跟掃毒。
4.讓廠商在產品出廠前直接設計燒錄一小段唯讀的磁區然後建立一個Autorun.inf的檔案標籤在那個磁區上這樣子就可以避免病毒透過Autorun.inf這個功能傳染，這樣子比你從電腦關閉Autorun.inf還快。一般用軟體建立的Foramt就會不見也可以砍掉，如果是直接燒死在ROM上就不會被病毒幹掉但是該隨身碟從此以後便沒有Autorun功能。

那這樣的話....
換而言之就是微軟的問題
除非使用者多花一點錢買那種不被感染的USB
我窮!只好做好防護!
我還是學生時間很多可以重灌就好

_________________
網路成就了地球村，地球村成就了蔓延!

其實知道越多越擔心

我記得威剛還是創見其中益加就有出這種加密的隨身碟，其實這些東西的硬件算是便宜，但開發成本很高。
以一顆隨身碟來說，量產的4～8層版可能每片幾十塊+FalshROM 8G 一顆400多（少量的價格）+控制器300（少量的價格）扣除一些模具的開模(幾十萬)及設計費用。
以單顆隨身碟的造價來說成本可能售價的一半多一點。
但是如果要加上這些東西相對的成本就會提高所以才會有分高低檔需要加密的就買高檔的不然便宜的可用就行。
記得當難隨身碟剛推出的時候FalshROM才發展256M跟512M那時一之就要2~3千
現在幾百塊就能買到8G了
廠商也也要賺錢不可能因為一個USB病毒就全部產品回收重加工

其實剛買回來的隨身碟是可以自己加工防護程式的

根據我最近發現的一個小技巧

剛買回來的隨身碟先格式化完
然後建個Autorun.inf空資料夾
接著在裡面給他填上一個空的物件可以必免被病毒殺掉
接著再把該資料夾的所屬性給全部加上去
例如隱藏,保存,唯讀,等

如果是批次指令就如下面所述
把他存成.Bat檔丟進剛格式化完的隨身碟執行就可以了

說實在的，若自己懂得隨身碟病毒的原理，要保護自己不中隨身碟病毒是很容易的。
但目前最大的問題是「你無法期望別人跟你一樣也懂得怎麼防止隨身碟病毒」

所以就算自己手上的隨身碟可能在某天由別人的電腦上被植入了病毒。
但使用（操作）習慣的不同，你也都不會因為碟身碟有病毒而被感染。

大大說的這句話我認同
我的隨身碟上面我除了放Autorun.inf這支檔案來阻止他的傳懶，我也放了一個自製的監控程式只要檔案亦變更我都會知道
在這提供一個簡單的Code給各位參考吧

list.txt這邊會列出隨身碟跟目錄所有被變更的檔案

首先在此鼓勵一下版大的精神,基本上程式好壞總是會被別人拿來比較與批評,這樣的感受我能理解,小弟我也開發過與版大相同的病毒專殺工具,剛開始我開發的東西與版大寫的工具接近,純粹檔案名稱處理,被別人說這樣的東西一點技術性都沒有,且很容易誤判,當然還是有人存著感恩的心看待我的程式,因為真的幫助了一些人解決了這類問題,不久我便開始著手開發特徵碼比對方式,這種方式執行速度遠不及檔案名稱路徑查殺方式,因為是全磁碟機掃描比對特徵碼,當然比較慢多了,不過誤判問題相對解決了,且同樣特徵的病毒即使改了檔案名稱,依然可以查殺的到,理論上應該算稱完美,不過不管自己覺得如何完美總是還是會有批評聲出現的,其實這類病毒專殺工具,不單單只是把檔案清除而已,實際上是有許多技術成分純在,比如說一個病毒正在執行中你是沒有辦法在一般Ring3環境下直接把病毒檔案刪除的,在Ring0就另當別論,所以正常的做法得先結束正在執行中病毒程式的進程,結束後在將其病毒檔案刪除,但是隨著病毒開發者的實力越來越強,出現的病毒也朝向注入式或驅動級別發展,正常的進程結束我想應該也沒那麼容易成功,或許得用更暴力的手法才能結束病毒進程程式或線程程式吧,除了這些技術面還得對病毒修改過的登錄機碼做修復或刪除等等,因此要完善一套大家都能接受的病毒專殺工具還有很長的路要走~加油吧版大

你也是阿
有空歡迎多多交流
小弟我最近比較忙沒時間更新版本
其實是有些不錯的想法與改善的方式
但是沒有足夠的時間整理
也沒有足夠的技術基礎來提高程式的效率與命中率
目前也只能但時停擺等找出更好的方法來使用了

你願意提供這個軟體我們很多人就很感激了

有心分享程式給大家免費使用值得鼓勵^^

至於他人的一些批評，
不妨當作程式改進的一個踏板，
加油!!