Tiger-Workshop Blog

利用Windows限制能做甚麼？

破壞？不！我就是要用此來防止手指中毒！看招！

實作

1. 把以下文字複製到記事本(注意不連虛線！)

然後存成”vaccine.bat” (注意要包括引號! 存哪裡都可以，桌面較方便)

第一行 Z: 請改成要安裝免疫的磁碟代號

2. 雙擊 vaccine.bat 應該會有一個黑色command視窗閃過

3. 想確實是否已安裝成功可以按WinKey+R

輸入Z:\autorun.inf (不是 Z: 的話請自動換掉…)

如果看到3個資料夾con、this_folder_is_a_vaccine和not_deleteable_via_normal_method就算成功了

==============================================

SET DRIVE=Z:

cd /D %DRIVE%

attrib autorun.inf -R -S -H
del autorun.inf /q
rd autorun.inf /q /s

md autorun.inf
cd autorun.inf

SET SEED=%random%%random%
md .\con\
md .\con\%SEED%
cd .\con\%SEED%\

SET SEED=%random%%random%
md .\con\
md .\con\%SEED%
cd .\con\%SEED%\

SET SEED=%random%%random%
md .\con\
md .\con\%SEED%
cd .\con\%SEED%\

attrib %DRIVE%\autorun.inf +R +S +H

cd %DRIVE%\autorun.inf
md %DRIVE%\autorun.inf\this_folder_is_a_vaccine
md %DRIVE%\autorun.inf\not_deleteable_via_normal_method

==============================================

原理

Windows結構上是有一堆保留檔案名不能用的

「CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9」

嘗試把資料夾改成以上檔案只會得到檔名不正確的錯誤訊息

USB手指病毒主要透過Windows的Autorun(自動播放)功能傳播，

而Autorun的主導就是根目錄下的Autorun.inf，因此播毒的罪魁禍首就是Autorun.inf，

只要在根目錄建立一個刪不掉的Autorun.inf就能防止手指受感染。

病毒(及其作者)都很聰明，會刪掉已存在的Autorun.inf然後再建立新的

而刪除資料夾需要刪除下層所有檔案，如果下層有檔案刪不掉，資料夾也就不能動了

而使用保留檔案名的檔案只能用特定方法建立/刪除

因此目前網上的病毒都是刪不掉的(我還未看過)

Autorun.inf刪不掉，病毒也不能籍此自動傳播了

此方法已測試能防kavo及其變種

這方法也只是防止病毒使用Autorun自動傳播，不能完全防止手指病毒！

看到手指上出見來歷不明的檔案還是請不要開啟