2008-11-11

針對USB隨插即用儲存媒體的病毒的防護發明

最近,不,應該說近一、二年來,以KAVO為首而進化、變種的病毒愈來愈多。
各種防護軟體也相應而生…但事實上,只是被動的防護,或者,只是等新的殺新的。

現在,狐狸我有一個新思考方式

「改被動為主動」

沒錯,就是主動式的方式讓autorun的保護或檔案的產生更有安全性

我的想法如下:
  1. 運用usb晶片通電特性,在晶片上寫入特有的模式或系統,在「發現」晶片通電時,將會自發生的產生、複制或改寫一個新的autorun.inf到儲存區上。
  2. 在usb隨身儲存媒體中,利用其中的rom或無法寫入區中放入autorun.inf,讓病毒要改寫該檔案時會無法寫入。
  3. 晶片偵測:可讓使用者在確定無毒的狀態下,開發一個系統讓usb媒體可以記錄現有的autorun.inf的內容、格式或大小(md5-checksum),以定時或讀寫動作中,來偵測媒體中的autorun.inf是否與記錄的樣本不同。
針對1:當初會有這個想法其實是在想「自動啟發」時而有的idea,因為依現在的晶片上能記錄的自動行為其實很多,利用一些組合語言要做到產生檔案或copy正常的檔案來蓋過有問題的,應該不難,而且,這種方式就算將未染毒的usb媒體插到有毒的環境下而被感染,只要在下一個無毒環境插入通電的當下,就可以產生無毒的autorun.inf檔案,不用害怕會感染給下一位。

針對2:單純的只是認為「唯讀區」的使用方式。

針對3:我是從HIPS的理念與現在賽門鐵克2009的掃毒方式而產生的想法,利用比對的方式來確認現存的autorun.inf是否有曾被改寫過。
若是在以定時的規則下,事實上,在晶片發現檔案異動時,其實病毒已感染了,但可以在時間到或插入電腦的那一刻,告知使用者檔案已和原來正常的檔案不同,詢問使用者是否回復/修復或將現有的檔案認為是正常的,然後記錄為新的比對檔。-----這是Norton2009的概念
若是在以檔案讀寫的狀況下就偵測到的話,比較屬即時性,且,可讓使用者選擇要不要讓程式改寫autorun.inf檔。這樣的方式可以鎖定針對autorun.inf檔來做保護,或者,可以針對「當有程式要將執行檔寫入儲存媒體時」來提示使用者是否開放寫入。-----這是從COMODO firewall的HIPS的方向思考的

呵呵,這三個方式都可以很主動的來針對現在廣為流傳的隨身碟病毒做防護,而且,若能這樣子研發成功,搞不好,可以把這個東西推沿出「移動式的防毒-HIPS隨身碟」,只要插上這個USB-HDD,就能替你監控電腦,插上A台就監測A台、插上D台就監測D台,授權的方式是算個數,而非算U數…哈哈哈哈

當然,只是目前在腦中的想像
想法1是狐狸我在2007-08-08時想到的
想法2是2007-12-22
想法3與總概括思考是2008-11-01所分析的

死狐狸不虧是死狐狸…神呀

6 則留言:

wbuffe 提到...

不要用autorun.inf不是更好?

方案3這樣會增加成本嗎?

死狐狸 提到...

windows的自動播放就是autorun.inf呀…
還有,你一定以為「關閉自動播放」就不會中獎吧…錯錯錯…除非是用cmd的方式去看,要不然,即便關閉自動播放,當你從我的電腦再雙擊「隨插即用新增出來的儲存媒體」…在06年十月之後變動的kavo還是一樣會中獎的。

方案3的部份其實不一定會增加成本,我的三個想法基本上是建在usb碟的晶片有一定功能的前提之上,若這前提是成立的,那只會增加programer的腦袋而已…

wbuffe 提到...

商人是要有賺錢才會去做的 ...
這種事 有利可途嗎?

死狐狸 提到...

這一定有錢可以賺…
而且,我估過,獲利很大…

只是,這usb的晶片操作比較麻煩…我手邊又沒有東西可以讓我玩…

事實上,這種事對那些做usb儲存媒體的廠商而言,很簡單的

Johnny 提到...

宣導停用Shell Hardware Detection服務
這大概就沒錢賺了
(應該說,賺的人可能是你)
借別人的文章:
http://labors3cweb.pixnet.net/blog/post/27247064

我已經寫成bat檔了,各種方法的修正集合
如果你需要再跟我拿

死狐狸 提到...

賺的人應該也不會是我
因為我是屬於只會動嘴說而不一定會實作的那種人…

感謝你的提供…
有需要我一定會向閣下借用的