昨天意外發現的,Wow! 隨身碟防毒會去讀隨身碟內的的autorun.inf檔案
再依據autorun.inf裡面的病毒檔案名稱來查殺病毒....
不過.....要是隨身牒裡面沒有autorun.inf檔案(很多免疫程式都會再隨身牒內產生一個autorun.inf名稱的資料夾)
只有病毒檔案的畫會抓不到病毒,我覺得應該該要像下面這樣比較好(用小畫家畫的...加減看看吧)



不知道有沒有方法可以聯絡作者...

嗯 構想不錯 但要設計出這樣的功能
以這樣的軟體 有點困難

1. 上半段 其實是可行的 只要再加入幾個判斷式
2. 下半段是需要病毒庫去比對的 就要看作者是不是有那個時間加入了
3. 最後一段 是滿困難的 要寫出 沒有病毒庫又不在 autorun.inf 中
要判斷出 可疑檔案 那就要靠 API 函數 分析 啟發式或行為模式

我幫你將這一篇轉到作者的信箱吧~

引用:

原帖由 upside 於 2008-4-3 11:04 發表
嗯 構想不錯 但要設計出這樣的功能
以這樣的軟體 有點困難

1. 上半段 其實是可行的 只要再加入幾個判斷式
2. 下半段是需要病毒庫去比對的 就要看作者是不是有那個時間加入了
3. 最後一段 是滿困難的 要寫出 沒 ...

1.剛剛去找一下安裝完後的檔案,發的病毒碼就是一個文字檔案...增加病毒碼應該不會很困難
2.比對病毒碼用絕對名稱來抓應該會有很不錯的效率
3.尋找可疑檔案可以鎖定在檔案小於400KB,副檔名限制為sys exe vbs pif bat com ocx vbe

[ 本帖最後由 jordanpchome 於 2008-4-3 16:11 編輯 ]

這三點就是 目前小弟現在所使用的方式
也是一直被人垢病的 原因是無技術可言
但目前功力也只有到此
最近工作與一堆考試 都要忙
沒時間再繼續研究
待空閒後 再繼續囉

upside大大這個下載沒有問題.
是否是因為"病毒庫"的封裝技術閃過小a ??

可惜ㄌupside大的作品通用型惡意程式查殺工具 v1.04還是不能下

ps : pvk107已下載完成upside大辛苦啦

[ 本帖最後由 said411f 於 2008-4-3 20:47 編輯 ]

http://www.MegaShare.com/385539
這個是Wow!USB Protector V0.50版的~~中央研究院資訊科學所自由軟體鑄造場，於 2008年 2 月釋出

大家好，我是 Wow! USB 隨身碟防毒的作者，感謝 sylovanas 的通知，
讓我知道這裡有這麼多高手互相討論防毒技術。
我也很久沒來 AVP Club 了，沒想到換新的介面了 (喜)。

各位有興趣共同開發嗎？不過因為這些工具是用 Ruby 程式語言寫的，
所以不熟的人可能要因此多學一個語言。

如果各位對開發有興趣的話，今年我將在 OSDC 上說明開發流程，
歡迎有興趣的人參與。

@jordanpchome

謝謝你的建議 (以及你的圖畫的很清楚很棒)。
目前 Wow! USB 隨身碟防毒僅在有 Autorun.inf 檔案存在時方為啟動，未來會加入你建議的功能，感謝。

對於 Wow! USB 系列有任何建議可以到專案網頁上留言，系統會自動將訊息轉到我的信箱。或是直接與我聯絡也可以 yftzeng AT Gmail DOT com。

@upside

真行，一語道破。
傳統特徵碼比對的技術的確受限於病毒樣本，而其它方式(啟發式、HIPS)又可能帶來誤判。目前有在開發新的工具，但還有很多需要改進的地方。

我正在設計另一套工具，要解決樣本蒐集的問題。

至於掃描的功能其實已經有另外開發出一套工具，命名為 Wow! Scan Engine。
我的部落格上有介紹，一樣是採用開放原始碼的方式釋出。
Wow! ScanEngine 掃毒引擎 - 介紹
Wow! ScanEngine 掃毒引擎 - 增加病毒碼
Wow! ScanEngine 開發者手冊

基本上只要兩者結合即可，但因為我最近比較忙，所以拖了很久。

@said411f

你好，謝謝你幫忙分流。 昨天我發佈 0.60 版了。更多訊息可以到我的部落格上觀看。

我啥語言都不會...我只是一個單純有想法的平凡人類= =
如果可以使用目前有開放源碼的殺軟引擎,會很不錯....
ClamWin的引擎應該可以拿來用...只不過應該會很困難..

[ 本帖最後由 jordanpchome 於 2008-4-5 03:32 編輯 ]

這軟體不錯用
專門針對隨身碟病毒

blman真是佛心來的!!
這個軟體真是讚啊!!
感謝你的貢獻!!

Wow!USB Protector V7.0出現了感覺快很多，很想用在公司裡面可是7.0好像是用python去做的副檔名py不知道如何轉成執行檔，很想把更新點拉回自己公司內部做更新，目前只有七百多支病毒少滿多的。

說實在真的很好用ㄟ

感謝作者寫出專門針對隨身碟病毒 感恩

在學校我也幫很多學弟安裝，以防新來的usb碟有毒....
最多我也只能幫他們到這邊了，還是感謝作者所開發的這個隨身防毒

把 autorun 的功能關掉就好，為什麼還需要隨身碟的防毒軟體？

因為有人就是不喜歡關....

請參考這個連結的文章

我是用tweakui來關閉autorun功能，實測下關閉後手頭這顆U3隨身碟的autorun在插入後不會自動執行他的隨身碟選單。(T牌2G)

這顆隨身碟插入後會出現兩個槽，一個是"U3 System"另一個是"TXXXIBA"(含廠牌名稱，消音XD)

會講這麼清楚還是跟我做的測試有關係，U3 System槽內的是AUTORUN跟他的一些資料，據廠商網頁上指出這些資料是寫入ROM內不可覆寫(我當初也以為這樣滿安全的)。

要注意的是，打開我的電腦，如果對U3 System左鍵連點兩下，那AUTORUN還是會被執行喔。這時使用右鍵檔案總管不會開啟U3的AUTORUN。

我在看到開頭所連結那篇文章後，隨即抓了他裡頭提到的TEST_WowUSBProtector來測試，內容只有一個AUTORUN.INF跟一個BAT檔，如果AUTORUN確實執行BAT檔會跳視窗出來告訴你這是測試。

結果就如果文章中所提，一般對AUTORUN的防治方式對該測試檔均無效。

但在我測試的過程中，如果在桌面上就使用檔案總管打開我的電腦，然後全程使用左邊樹狀圖操作進去隨身碟，不會觸發AUTORUN，這個那篇文章就沒提到了。

TEST_WowUSBProtector內的AUTORUN似乎跟我隨身碟內有的AUTORUN不大一樣，前者比較兇悍，除了我上面紅色提到外均會被執行；後者你關閉AUTORUN後只要不雙擊左鍵就不會被執行。

真的要比較保險就是養成從頭到尾都使用檔案總管的習慣了

如果是管理多臺電腦或幫人處理電腦的人，我建議使用類似的防治程式比較好，他人的使用習慣是最無法預料與控制的。

PS.TEST_WowUSBProtector這檔案在當時測試時被趨勢的Trend Micro Web Protection Add-On列為問題檔案不給下載，要關閉後才能抓XD

[ 本帖最後由 balberith 於 2008-6-10 15:59 編輯 ]

提供一個簡便方法，按「WindowsKey + E」，這是用來開啟檔案總管的熱鍵，絕對不要雙擊「我的電腦」來當檔案總管使用。

PS：WindowsKey 就是左 Ctrl 鍵 和 左 Alt 鍵中間的那個按鍵