針對USB隨插即用儲存媒體的病毒的防護發明

最近，不，應該說近一、二年來，以KAVO為首而進化、變種的病毒愈來愈多。
各種防護軟體也相應而生…但事實上，只是被動的防護，或者，只是等新的殺新的。

現在，狐狸我有一個新思考方式

「改被動為主動」

沒錯，就是主動式的方式讓autorun的保護或檔案的產生更有安全性

我的想法如下：

1. 運用usb晶片通電特性，在晶片上寫入特有的模式或系統，在「發現」晶片通電時，將會自發生的產生、複制或改寫一個新的autorun.inf到儲存區上。
2. 在usb隨身儲存媒體中，利用其中的rom或無法寫入區中放入autorun.inf，讓病毒要改寫該檔案時會無法寫入。
3. 晶片偵測：可讓使用者在確定無毒的狀態下，開發一個系統讓usb媒體可以記錄現有的autorun.inf的內容、格式或大小(md5-checksum)，以定時或讀寫動作中，來偵測媒體中的autorun.inf是否與記錄的樣本不同。

針對1：當初會有這個想法其實是在想「自動啟發」時而有的idea，因為依現在的晶片上能記錄的自動行為其實很多，利用一些組合語言要做到產生檔案或copy正常的檔案來蓋過有問題的，應該不難，而且，這種方式就算將未染毒的usb媒體插到有毒的環境下而被感染，只要在下一個無毒環境插入通電的當下，就可以產生無毒的autorun.inf檔案，不用害怕會感染給下一位。

針對2：單純的只是認為「唯讀區」的使用方式。

針對3：我是從HIPS的理念與現在賽門鐵克2009的掃毒方式而產生的想法，利用比對的方式來確認現存的autorun.inf是否有曾被改寫過。
若是在以定時的規則下，事實上，在晶片發現檔案異動時，其實病毒已感染了，但可以在時間到或插入電腦的那一刻，告知使用者檔案已和原來正常的檔案不同，詢問使用者是否回復/修復或將現有的檔案認為是正常的，然後記錄為新的比對檔。-----這是Norton2009的概念
若是在以檔案讀寫的狀況下就偵測到的話，比較屬即時性，且，可讓使用者選擇要不要讓程式改寫autorun.inf檔。這樣的方式可以鎖定針對autorun.inf檔來做保護，或者，可以針對「當有程式要將執行檔寫入儲存媒體時」來提示使用者是否開放寫入。-----這是從COMODO firewall的HIPS的方向思考的

呵呵，這三個方式都可以很主動的來針對現在廣為流傳的隨身碟病毒做防護，而且，若能這樣子研發成功，搞不好，可以把這個東西推沿出「移動式的防毒-HIPS隨身碟」，只要插上這個USB-HDD，就能替你監控電腦，插上A台就監測A台、插上D台就監測D台，授權的方式是算個數，而非算U數…哈哈哈哈

當然，只是目前在腦中的想像
想法1是狐狸我在2007-08-08時想到的
想法2是2007-12-22
想法3與總概括思考是2008-11-01所分析的

死狐狸不虧是死狐狸…神呀