Test metodu
Panda, anlaşılır olan "aşısının" tam mekanizmasını ortaya koymuyor gibi görünüyor, çünkü temelde belirsizliği nedeniyle güvenlik . Nasıl çalıştığını biliyorsanız, etkileri tersine çevirebilir ve "aşı" işe yaramaz hale gelir.
Panda USB Vaccine'i indirip yükledim ve flash sürücümü "aşıladım" , komutları kullanarak flash sürücünün disk bölümünü dd ile pencerelere döktüm
dd --list
dd if=\\.\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} of=C:\vaccinated.img
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
ilk komut tarafından sağlanan, c:\vaccinated.img
onaltılık bir düzenleyicide açılan ve aranan GUID nerede AUTORUN
.
USB Aşı ne yapar
Girişi AUTORUN.INF
aşağıdaki on iki baytla başlar:
41 55 54 4F 52 55 4E 20 49 4E 46 42
İlk on bir bayt yalnızca boşluk dolgulu 8.3 dosya adıdır :AUTORUN INF
Son bayt dosyanın özniteliklerini belirtir ve ikili temsili şu şekildedir:
01000010
Göre Microsoft EFI FAT32 Dosya Sistemi Şartname , bu son bayt aşağıdaki formu alır biraz alandır:
XYADVSHR
burada bit A
, D
, V
, S
, H
ve R
vardır 1
ve eğer dosya arşivlenir halinde, bir dizin, hacim İD 1 , bir sistem dosyası, gizli veya salt okunur. AUTORUN.INF
olarak H
ayarlandığından gizlidir 1
.
Bit X
ve Y
ayrılmış ve her ikisi de olmalıdır 0
. Ancak, USB Aşısı setleri Y
için 1
.
Spesifikasyon ne diyor
Öznitelik baytının üst iki biti ayrılmıştır ve bir dosya oluşturulduğunda ve bundan sonra hiçbir zaman değiştirilmediğinde veya ona bakılmadığında her zaman 0 olarak ayarlanmalıdır.
Ayrıca, dizin içeriğinin doğrulanmasını önerir:
Bu yönergeler, disk bakım yardımcı programlarının dizin yapısında gelecekteki geliştirmelerle uyumluluğu korurken, tek tek dizin girişlerini 'doğruluk' için doğrulayabilmeleri için sağlanmıştır.
DO DEĞİL işaretli dizin giriş alanları içeriğine bakmak saklıdır ve onlar sıfırdan başka bir değer olup olmadığını onlar "kötü" olduğunu, varsayalım.
DO DEĞİL işaretli dizin girdisi alanlarının içeriğini sıfırlamak saklıdır onlar (onlar "kötü" olduğunu varsayarak) sıfır olmayan değer içermediği takdirde sıfıra. Dizin giriş alanları, sıfırdan ziyade ayrılmış olarak belirtilir . Başvurunuz tarafından yok sayılmalıdır. Bu alanlar, dosya sisteminin gelecekteki uzantıları için tasarlanmıştır. Onları yoksayarak bir yardımcı program işletim sisteminin gelecekteki sürümlerinde çalışmaya devam edebilir.
Gerçekte ne olur
CHKDSK kesinlikle belirtimi izler ve AUTORUN.INF
FAT32 sürücüsünün anlamadığı girişi yok sayar , ancak Windows'un kendisi belirtimin ayrılmış ayrılmış bitlere bir daha bakma gereksinimine uymuyor gibi görünüyor : Her türlü erişim (dosyayı listelemek dışında) ve nitelikleri) reddedilir.
Örneğin, komut
DIR /A /Q
sahibi olduğu devletler AUTORUN.INF
olduğunu ...
. FAT32 dosya sahipliğini desteklemediğinden, belirtmelidir \All
.
Bu beklenmedik davranışın nedeni, FAT32 - Wikipedia # Directory girişine göre , Windows'un Y
bir karakter aygıt adını (CON, PRN, AUX, CLOCK $, NUL, LPT1, COM1, vb.) Sinyal vermek için dahili olarak kullanması ve depolama cihazlarında bulunmamalıdır. 2
Bir bakıma, USB Vaccine Windows'u AUTORUN.INF
gerçek bir dosya değil, okuyamayacağı veya yazamadığı bir cihaz olduğunu varsaymaya iter .
Dosya nasıl silinir
Dosya sistemine doğrudan erişiminiz varsa , dosyayı yeniden silinebilir hale getirmek Y
için 0
(bayt 42
değerini değiştir) olarak ayarlamanız yeterlidir 02
. Ayrıca, dizin girdisinin ilk baytını E5
doğrudan dosyayı silinmiş olarak işaretleyerek de ayarlayabilirsiniz . 3
Başka bir seçenek de farklı bir sürücü kullanmak olacaktır. Ubuntu 12.04, örneğin dosyayı sorunsuz silebilir. Aslında, dizin girişini okurken otomatik olarak "düzeltir". 4
1 Bu özellik, örneğin birim etiketi veya Sistem Birim Bilgisi klasörü için kullanılır .
2 Kesinlikle yeterli, ayarı X
için 1
herhangi bir etkiye sahip görünmemektedir.
3 Bunu, C:\vaccinated.img
onaltılık bir düzenleyici ile ilgili baytlarını değiştirerek ve değiştirilen görüntüyü aşağıdaki komutu kullanarak flash sürücüye yazarak doğruladım :
dd if=C:\vaccinated.img of=\\.\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
4 Spesifikasyondan belirgin bir sapma olsa da, düşünülmüş gibi görünüyor. Ubuntu , herhangi bir zarar vermediğinden X
, ayarlanmışsa bozulmadan kalır 1
. Ayar Y
için biraz 1
sürücünün tüm boş alanı kaplar bir undeletable dosyası oluşturarak, kolayca örneğin, kötü niyetli bir uygulama tarafından istismar kaynaklanmış olabilir.