關於Wow! 隨身碟防毒的偵測方式...

發表時間: 2008-4-03 10:20    作者: jordanpchome    來源: AVPClub Security Home

字體: 小 中 大 | 打印

昨天意外發現的,Wow! 隨身碟防毒會去讀隨身碟內的的autorun.inf檔案
再依據autorun.inf裡面的病毒檔案名稱來查殺病毒....
不過.....要是隨身牒裡面沒有autorun.inf檔案(很多免疫程式都會再隨身牒內產生一個autorun.inf名稱的資料夾)
只有病毒檔案的畫會抓不到病毒,我覺得應該該要像下面這樣比較好(用小畫家畫的...加減看看吧)



不知道有沒有方法可以聯絡作者...

我也來說兩句 查看全部評論 相關評論

• upside (2008-4-03 11:04:03)

  嗯 構想不錯 但要設計出這樣的功能
  以這樣的軟體 有點困難
  
  1. 上半段 其實是可行的 只要再加入幾個判斷式
  2. 下半段是需要病毒庫去比對的 就要看作者是不是有那個時間加入了
  3. 最後一段 是滿困難的 要寫出 沒有病毒庫又不在 autorun.inf 中
  要判斷出 可疑檔案 那就要靠 API 函數 分析 啟發式或行為模式

• sylovanas (2008-4-03 11:57:14)

  我幫你將這一篇轉到作者的信箱吧~

• jordanpchome (2008-4-03 16:06:37)

  QUOTE:

  原帖由 upside 於 2008-4-3 11:04 發表
  嗯 構想不錯 但要設計出這樣的功能
  以這樣的軟體 有點困難
  
  1. 上半段 其實是可行的 只要再加入幾個判斷式
  2. 下半段是需要病毒庫去比對的 就要看作者是不是有那個時間加入了
  3. 最後一段 是滿困難的 要寫出 沒 ...

  1.剛剛去找一下安裝完後的檔案,發的病毒碼就是一個文字檔案...增加病毒碼應該不會很困難
  2.比對病毒碼用絕對名稱來抓應該會有很不錯的效率
  3.尋找可疑檔案可以鎖定在檔案小於400KB,副檔名限制為sys exe vbs pif bat com ocx vbe
  
  [ 本帖最後由 jordanpchome 於 2008-4-3 16:11 編輯 ]

• upside (2008-4-03 17:27:39)

  這三點就是 目前小弟現在所使用的方式
  也是一直被人垢病的 原因是無技術可言
  但目前功力也只有到此
  最近工作與一堆考試 都要忙
  沒時間再繼續研究
  待空閒後 再繼續囉

• said411f (2008-4-03 20:44:51)

  upside大大這個下載沒有問題.
  是否是因為"病毒庫"的封裝技術閃過小a ??
  
  可惜ㄌupside大的作品通用型惡意程式查殺工具 v1.04還是不能下
  
  ps : pvk107已下載完成upside大辛苦啦
  
  [ 本帖最後由 said411f 於 2008-4-3 20:47 編輯 ]

• said411f (2008-4-03 20:56:53)

  http://www.MegaShare.com/385539
  這個是Wow!USB Protector V0.50版的~~中央研究院資訊科學所自由軟體鑄造場，於 2008年 2 月釋出

• blman (2008-4-04 12:06:01)

  大家好，我是 Wow! USB 隨身碟防毒的作者，感謝 sylovanas 的通知，
  讓我知道這裡有這麼多高手互相討論防毒技術。
  我也很久沒來 AVP Club 了，沒想到換新的介面了 (喜)。
  
  各位有興趣共同開發嗎？不過因為這些工具是用 Ruby 程式語言寫的，
  所以不熟的人可能要因此多學一個語言。
  
  如果各位對開發有興趣的話，今年我將在 OSDC 上說明開發流程，
  歡迎有興趣的人參與。
  
  @jordanpchome
  
  謝謝你的建議 (以及你的圖畫的很清楚很棒)。
  目前 Wow! USB 隨身碟防毒僅在有 Autorun.inf 檔案存在時方為啟動，未來會加入你建議的功能，感謝。
  
  對於 Wow! USB 系列有任何建議可以到專案網頁上留言，系統會自動將訊息轉到我的信箱。或是直接與我聯絡也可以 yftzeng AT Gmail DOT com。
  
  @upside
  
  真行，一語道破。
  傳統特徵碼比對的技術的確受限於病毒樣本，而其它方式(啟發式、HIPS)又可能帶來誤判。目前有在開發新的工具，但還有很多需要改進的地方。
  
  我正在設計另一套工具，要解決樣本蒐集的問題。
  
  至於掃描的功能其實已經有另外開發出一套工具，命名為 Wow! Scan Engine。
  我的部落格上有介紹，一樣是採用開放原始碼的方式釋出。
  Wow! ScanEngine 掃毒引擎 - 介紹
  Wow! ScanEngine 掃毒引擎 - 增加病毒碼
  Wow! ScanEngine 開發者手冊
  
  基本上只要兩者結合即可，但因為我最近比較忙，所以拖了很久。
  
  @said411f
  
  你好，謝謝你幫忙分流。 昨天我發佈 0.60 版了。更多訊息可以到我的部落格上觀看。

• jordanpchome (2008-4-05 03:27:53)

  我啥語言都不會...我只是一個單純有想法的平凡人類= =
  如果可以使用目前有開放源碼的殺軟引擎,會很不錯....
  ClamWin的引擎應該可以拿來用...只不過應該會很困難..
  
  [ 本帖最後由 jordanpchome 於 2008-4-5 03:32 編輯 ]

• 伊Da (2008-4-13 22:09:38)

  這軟體不錯用
  專門針對隨身碟病毒

• lmam (2008-5-10 11:37:06)

  blman真是佛心來的!!
  這個軟體真是讚啊!!
  感謝你的貢獻!!

• jasonanne (2008-5-15 08:56:57)

  Wow!USB Protector V7.0出現了感覺快很多，很想用在公司裡面可是7.0好像是用python去做的副檔名py不知道如何轉成執行檔，很想把更新點拉回自己公司內部做更新，目前只有七百多支病毒少滿多的。
  
  說實在真的很好用ㄟ

• viewsonic62 (2008-6-03 00:51:20)

  感謝作者寫出專門針對隨身碟病毒 感恩

• pcdiyamd (2008-6-10 03:11:45)

  在學校我也幫很多學弟安裝，以防新來的usb碟有毒....
  最多我也只能幫他們到這邊了，還是感謝作者所開發的這個隨身防毒

• 天行者 (2008-6-10 05:27:27)

  把 autorun 的功能關掉就好，為什麼還需要隨身碟的防毒軟體？

• sylovanas (2008-6-10 13:38:01)

  因為有人就是不喜歡關....

• balberith (2008-6-10 15:53:35)

  請參考這個連結的文章
  
  我是用tweakui來關閉autorun功能，實測下關閉後手頭這顆U3隨身碟的autorun在插入後不會自動執行他的隨身碟選單。(T牌2G)
  
  這顆隨身碟插入後會出現兩個槽，一個是"U3 System"另一個是"TXXXIBA"(含廠牌名稱，消音XD)
  
  會講這麼清楚還是跟我做的測試有關係，U3 System槽內的是AUTORUN跟他的一些資料，據廠商網頁上指出這些資料是寫入ROM內不可覆寫(我當初也以為這樣滿安全的)。
  
  要注意的是，打開我的電腦，如果對U3 System左鍵連點兩下，那AUTORUN還是會被執行喔。這時使用右鍵檔案總管不會開啟U3的AUTORUN。
  
  我在看到開頭所連結那篇文章後，隨即抓了他裡頭提到的TEST_WowUSBProtector來測試，內容只有一個AUTORUN.INF跟一個BAT檔，如果AUTORUN確實執行BAT檔會跳視窗出來告訴你這是測試。
  
  結果就如果文章中所提，一般對AUTORUN的防治方式對該測試檔均無效。
  
  但在我測試的過程中，如果在桌面上就使用檔案總管打開我的電腦，然後全程使用左邊樹狀圖操作進去隨身碟，不會觸發AUTORUN，這個那篇文章就沒提到了。
  
  TEST_WowUSBProtector內的AUTORUN似乎跟我隨身碟內有的AUTORUN不大一樣，前者比較兇悍，除了我上面紅色提到外均會被執行；後者你關閉AUTORUN後只要不雙擊左鍵就不會被執行。
  
  真的要比較保險就是養成從頭到尾都使用檔案總管的習慣了
  
  如果是管理多臺電腦或幫人處理電腦的人，我建議使用類似的防治程式比較好，他人的使用習慣是最無法預料與控制的。
  
  PS.TEST_WowUSBProtector這檔案在當時測試時被趨勢的Trend Micro Web Protection Add-On列為問題檔案不給下載，要關閉後才能抓XD
  
  [ 本帖最後由 balberith 於 2008-6-10 15:59 編輯 ]

• charles1394 (2008-7-18 11:03:05)

  提供一個簡便方法，按「WindowsKey + E」，這是用來開啟檔案總管的熱鍵，絕對不要雙擊「我的電腦」來當檔案總管使用。
  
  PS：WindowsKey 就是左 Ctrl 鍵 和 左 Alt 鍵中間的那個按鍵