[方案] 利用cacls 設定隨身碟ACL，防止隨身碟類型病毒感染測試

作者chang0206 (Eric Chang)

看板AntiVirus

標題[方案] 利用cacls 設定隨身碟ACL，防止隨身碟類型病毒感染測試

時間Mon Jun 22 15:23:54 2009

圖文並茂版刊載於 http://blog.cowbay.org/?p=682 不過目前還沒補上截圖.... 測試環境： Notebook x 2 OS : WINXP SP3 防毒軟體： NB_A : Comodo Antivirus 3.9.954 病毒資料庫：1390 NB_B : 趨勢科技 OfficeScan 8.0 病毒碼：6.209.00 隨身碟：已格式化的JetFlash V60 2G x 3 (JF1 JF2 JF3) 測試步驟設定隨身碟1 (JF1) 的 autorun.inf ACL(假設隨身碟為 I:) 在NB_A 上，開啟CMD模式，執行 cacls i:\autorun.inf /G username:F /D everyone 以上指令為針對 autorun.inf 這個檔案或目錄移除everyone的權限，新增username這個USER 擁有Full Access 權限測試JF1上的autorun.inf 權限是否被正確套用在NB_B上，關閉防毒(OfficeScan暫時關閉需要輸入密碼，所以我是直接把OfficeScan 移除掉，因為我懶得去想密碼...) 將JF1 接上 NB_B ，開啟檔案總管，試著去針對autorun.inf 作刪除、更名等動作，應該都會出現存取被拒。這代表autorun.inf的ACL有正確套用了。 (當然啦，前提是這兩台電腦的電腦名稱、帳號名稱不能一樣，如果一樣.... 我也不知道這樣設定的ACL有沒有作用) 感染NB_B JF2是已經感染uret病毒的隨身碟 (症狀是會產生uret463.exe，就這麼稱呼他吧，省去各家防毒對病毒名稱不統一的麻煩) 將隨身碟接上NB_B，照平常步驟打開隨身碟，然後故意去執行已經被感染病毒的檔案 (yq.com , 3y.bat) 關閉檔案總管後，再重新開啟檔案總管，試著在工具->資料夾->檢視頁面中，開啟瀏覽隱藏檔和系統檔的選項。如果沒辦法正常開啟/關閉這個選項，那九成九已經被感染。再次確認NB_B 是否具有感染力將已經格式化的 JF3，接上NB_B ，隨便開啟或複製檔案到JF3，再把JF3 接去NB_A，確認JF3是否有被寫入感染檔案。九成九是有啦，這代表NB_B 已經中毒，而且還會繼續感染其他的隨身碟) 檢視修正後的 autorun.inf 是否有免疫的作用在NB_B接上JF1 ，隨便開啟或複製檔案到JF1，再把JF1接上NB_A，很可惜，光只是修改 autorun.inf的ACL，還是沒有免疫的作用。在隨身碟上還是發現了新的被感染的檔案 e619e.cmd 。到目前為止：可以發現光只是修改autorun.inf 的ACL ，讓病毒無法替換、自動執行是沒有用的。測試已經帶有中毒檔案的JF1 是否會感染其他電腦利用efix 清除NB_B的病毒，然後將JF1 接上NB_B。檢查NB_B是否有中毒的症狀(前面提過的隱藏檔、系統檔能否正常關閉/開啟是個很好的輔助判斷工具)如果這樣做下來，應該在這邊 NB_B是不會被感染的，因為autorun.inf 還是我們剛剛建立的那個檔案，而不是被病毒替換過的。那..既然修改autorun.inf的ACL沒辦法達到想像中的免疫功能，綜合上面的步驟看來，似乎是因為隨身碟的根目錄還是能夠被寫入檔案。所以，我如果能夠針對根目錄鎖死，不能寫入。那病毒應該也就沒有辦法把感染的檔案寄生到隨身碟來(跟硬體式防寫差不多的概念) 但是我有時候還是需要複製檔案，不然我怎麼帶東西去跟客戶聯絡感情呢？所以在根目錄底下再建立一個子目錄，要複製檔案的時候，把要複製的檔案都拉到這個子目錄來。這樣的作法可不可行呢？開始測試再次感染B電腦在NB_B接上JF2，看到病毒檔案盡量給他點下去.... 設定JF1根目錄及子目錄ACL 在NB_A上接上JF1，格式化之後，先新建一個子目錄，就叫做TEST好了。開啟cmd 模式，輸入以下指令 cacls i:\ /G username:F /D everyone /p everyone:n cacls i:\test /G everyone:F (看到問是否確定，記得按 Y ) 測試設定根目錄ACL後的JF1 是否具有免疫功能。把 JF1 接上 NB_B ，測試在 I:\ 底下建立檔案、目錄是否會被拒絕。複製檔案到 i:\test 目錄底下是否正常運作？把 JF1 接回 NB_A，依照剛剛的經驗，JF1 應該是會被寄生已經感染的檔案，但這時候應該可以發現JF1沒有帶有任何被感染的檔案！測試到這邊就告一段落，目前看起來這支JF1 應該是不會被這類型的病毒感染了？等下把隨身碟還給USER去用看看吧。 p.s 我不知道病毒會不會聰明到真的每個可寫入的目錄都去產生有毒的檔案，我手邊沒有夠多的隨身碟類型病毒可以測試。依照之前看到的將隨身碟變成 .exe 的那支病毒來看，似乎是會產生沒錯。這方面需要再多測試，有人可以提供病毒檔嗎？有任何錯誤或邏輯不對的地方，還請各位幫忙補完，謝謝～以上為測試文章，如果要照著操作請確定有辦法處理其他意外狀況.. p.s 測試時發現我現在用的這兩套防毒，都不會偵測到這支病毒.. 0rz comodo是會發生回報錯誤的狀況，趨勢的回報則是根本一點回應都沒有 = = -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 211.20.31.22 ※ 編輯: chang0206 來自: 211.20.31.22 (06/22 15:25)

推 junorn:我忘記哪裡看到的文章了，autorun.inf讀取是靠smss.exe還是 06/22 15:44

→ junorn:csrss.exe去讀然後運行的，所以權限是在"SYSTEM",這很高... 06/22 15:45

→ junorn:但寫入autorun.inf一般病毒只有到administrator..所以寫不 06/22 15:46

→ junorn:進去. 參考就好沒有任何考據. 06/22 15:46

→ chang0206:呃，j大手邊有那個會產生和資料夾名稱一樣可執行檔 06/22 16:34

→ chang0206:這支病毒檔嗎？想拿來玩玩看說.. 06/22 16:34

推 junorn:我這邊有兩種，一種不敢確定是不是，一種確定是看你要哪一 06/22 16:37

→ junorn:種 06/22 16:37

→ junorn:不確定的是台灣人寫的，確定的是大陸人寫的 06/22 16:38

推 jtmh:隨身碟是格式化為 NTFS? 06/22 17:29

→ jtmh:以前好像有病毒會寫入 recycler 資料夾的樣子 06/22 17:37

推 jtmh:不過無法寫入 autorun.inf 的話，病毒就無法透過自動執行感染 06/22 17:43

→ jtmh:其他電腦，這樣就算它把每個子目錄都寫入病毒檔，要達到感染 06/22 17:44

→ jtmh:的目的也已經大大降低，因為情況變成必須由使用者手動去執行 06/22 17:46

→ jtmh:病毒檔才行，而且又因為病毒檔通常都是設為隱藏，被不小心執 06/22 17:47

→ jtmh:行到的機會就又更為降低了。 06/22 17:48

→ sillycc:記得權限設定在隨身碟上好像都會被忽略，確定這樣有用嗎? 06/22 18:54

→ sillycc:沒有被感染的狀況是不是宿主的病毒剛好在sleep cycle裡 06/22 18:55

→ sillycc:現在wm_devicechange被抓得緊，有些用土法煉鋼的迴圈寫入 06/22 18:55

推 jtlin:但有病毒會更改不是他建立的autorun.inf的檔名 06/23 00:07

→ jtlin:為"avtorun.inf" 06/23 00:09

→ chang0206:早上拿到j大提供的病毒範本，還沒測試，先簡單回應一下 06/23 08:59

→ chang0206:隨身碟是NTFS沒錯, cacls只能作用在NTFS格式磁碟上 06/23 09:00

→ chang0206:似乎有其他軟體可以設定FAT格式的"ACL"不過不確定 06/23 09:00

→ chang0206:傻cc (!?)所提到的sleep cycle 我不知道是什麼 06/23 09:01

→ chang0206:不過我是經過將近二十次的複製、貼上、刪除、開檔測試 06/23 09:01

→ chang0206:jtlin所提的病毒我沒碰過，有SAMPLE嗎？ 06/23 09:02

→ sillycc:我講的原來是FAT的Q_Q我想說FAT設權限不都白設的嗎 06/23 11:54