und*_*one 17 security windows-7 autorun
有人告诉我,即使autorun.inf不存在或使用gpedit.msc. 他说只要我插入闪存,病毒就会自行运行。这是正确的吗?
Syn*_*ech 32
不,驱动器上的文件不能自行运行。像所有的病毒,它需要一些类型的初始化。文件不会无缘无故地神奇地启动;某些东西必须以某种方式导致它加载。(不幸的是,方法的数量惊人地多,而且还在不断增加。)
病毒如何运行在很大程度上取决于病毒所在的文件类型。例如,.exe文件通常需要一些东西来实际加载它们的代码(仅仅读取它们的内容是不够的)。图片或音频文件根本不应该是代码,因此它们不应该首先“运行”。
这些天经常发生的是,恶意软件运行有两种主要方法:
特洛伊木马: 使用特洛伊木马,恶意代码被插入到普通文件中。例如,游戏或程序会注入一些不良代码,以便当您(故意)运行该程序时,不良代码会潜入(因此得名trojan)。这需要将代码放在可执行文件中。同样,这需要以某种方式专门运行主机程序。
漏洞利用: 利用漏洞利用,会发生的情况是文件包含利用不良编程的不正确/无效结构。例如,不检查图片文件的图形查看器程序可能会被利用,通过使用系统代码制作图片文件,当它被读取时,它会重载为图像创建的缓冲区并诱骗系统通过控制插入到缓冲区后的病毒代码(缓冲区溢出仍然相当流行)。这种方法并没有要求与恶意软件代码的文件被具体地运行; 它利用错误的编程和错误检查来诱使系统通过打开/读取文件来“运行”它。
那么这如何适用于闪存(或任何其他类型的)驱动器?如果驱动器包含特洛伊木马(可执行文件),那么除非系统启用了自动播放或具有某种指向该文件的自动运行/启动条目,否则它不应自行运行。另一方面,如果存在利用操作系统或其他程序中的漏洞的文件,那么只需阅读/查看文件就可以启动恶意软件。
检查木马可以运行的载体的一个好方法是检查不同类型的自动运行/启动位置。Autoruns是检查其中许多项的简单方法(如果您隐藏 Windows 条目以减少混乱,则更容易)。减少漏洞利用可以使用的漏洞数量的一个好方法是使用最新版本和补丁使您的操作系统和程序保持最新。
这取决于病毒是如何编写的,以及您将驱动器插入的系统上存在哪些漏洞,但答案可能是肯定的。
例如,不久前,Windows 处理.lnk文件的方式继承了漏洞,这意味着只要在您的驱动器上放置一个恶意创建的文件,就可以执行嵌入其中的病毒。此漏洞也在很久以前就已修复,因此没有最新的系统应该处于危险之中,但它确实表明存在潜在的攻击媒介,它们是“无声的”并且可能发生,正如您朋友所建议的那样,无需您的同意或意识。
保持您的抗病毒药物运行并保持最新状态,并且只连接您信任的人的设备。
您可以在此 Microsoft 页面上查看有关此特定攻击方法的信息。
小智 5
是的,病毒只需插入 USB 设备(包括闪存驱动器)即可传播。
这是因为 USB 设备上存在必须运行才能检测到该设备的代码(称为固件)。该固件可以执行诸如模仿键盘(从而运行程序)、模仿网卡等操作。
查看“BadUSB”以获取更多信息。
| 归档时间: |
|
| 查看次数: |
18502 次 |
| 最近记录: |