《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 網(wǎng)絡安全編程:U盤防御軟件

網(wǎng)絡安全編程:U盤防御軟件

2021-07-31
來源:計算機與網(wǎng)絡安全
關鍵詞: U盤 防御軟件

  在早期互聯(lián)網(wǎng)還不發(fā)達的時候,病毒都是通過軟盤、光盤等媒介進行傳播的,。到后來互聯(lián)網(wǎng)被普及以后,,通過互聯(lián)網(wǎng)進行傳播的病毒大面積地相繼出現(xiàn)。雖然軟盤已經(jīng)被淘汰,,但是并沒有使移動磁盤的病毒減少,。相反,U盤的普及使得移動磁盤對病毒的傳播更加方便,。U盤的數(shù)據(jù)傳輸速度和數(shù)據(jù)存儲容量等多方面都比軟盤要先進很多,,因此,軟盤可以傳播病毒,,U盤當然也可以傳播病毒,。

  通過U盤來傳播病毒通常是使用操作系統(tǒng)的自動運行功能,并配合U盤下的Autorun.inf文件來實現(xiàn)的。著名的“擺渡攻擊”就是依靠此Autorun.inf來進行實施的,。如果讓操作系統(tǒng)不自動運行移動磁盤,,或者保證移動磁盤下不存在Autorun.inf文件,那么通過U盤感染病毒的幾率就小很多了,。

  1. 通過系統(tǒng)配置禁止自動運行

  先來介紹如何通過系統(tǒng)配置禁止U盤中Autorun.inf的自動運行,。通常情況下需要進行兩方面的設置,一方面是通過“管理工具”中的“服務”來進行設置,,另一方面是通過“組策略”來進行設置,。一般這兩處都需要進行修改。下面分別介紹如何對這兩處進行設置,。

  先來看如何在“服務”中進行設置,。首先打開控制面板中的“管理工具”,然后找到“服務”,,將其雙擊打開,。在服務列表中找到名稱為“Shell Hardware Detection”的服務,雙擊該服務,,打開“Shell Hardware Detection的屬性”對話框,。單擊“停止”按鈕將該服務停止,再把“啟動類型”修改為“已禁用”狀態(tài),,如圖1所示,。

  圖1  禁用“Shell Hardware Detection”服務

  將服務中的“Shell Hardware Detection”禁用后,再對“組策略”進行設置,。首先在“運行”中輸入“gpedit.msc”,,然后依次單擊左邊的樹形控件“計算機配置”→“管理模板”→“系統(tǒng)”,再在右邊雙擊“關閉自動播放”選項,,彈出“關閉自動播放屬性”對話框,。在“設置”選項卡中選擇“已啟用”單選項,在“關閉自動播放”處選擇“所有驅(qū)動器”選項,,設置完成后單擊“確定”按鈕,。再到左邊的樹形控件中選擇“用戶配置”→“管理模板”→“系統(tǒng)”,到右邊找到“自動關閉播放”選項,,設置方法同上,,如圖2所示。

  圖2  組策略中的“關閉自動播放”

  通過以上設置,,的確可以相對有效地保護計算機不中U盤相關的病毒,。不過,不能因此而滿足,,因為目的是打造一個U盤防御的軟件,。

  2. 打造一個簡易的U盤防御軟件

  這里打造一個U盤防火墻,,當插入U盤時會有提示,并且自動檢查U盤下是否有Autorun.inf文件,,并解析Autorun.inf文件,。除此之外,通過U盤防火墻可以打開U盤,,從而安全地使用U盤,。

  如何才能知道有U盤被插入電腦呢?可以使用定時器不斷地檢查,,也可以開啟一個線程不斷地檢查,,還可以通過Windows的消息得到通知。前兩種方法笨了些,,這里主動不斷地檢查是否有U盤插入,,不如被動地等待Windows的消息來通知。

  在Windows下有一個消息可以通知應用程序計算機配置發(fā)生了變化,,這個消息是WM_ DEVICECHANGE,。消息過程定義如下:

  LRESULT CALLBACK WindowProc(

  HWND hwnd,

  UINT uMsg,

  WPARAM wParam,

  LPARAM lParam

  ),;

  該消息通過兩個附加參數(shù)來進行使用,,其中wParam表示設備改變的事件,lParam表示事件對應的數(shù)據(jù),。要得到設備被插入的消息類型,,因此wParam的取值為DBT_DEVIC EARRIVAL,而該消息對應的數(shù)據(jù)類型為DEV_BROADCAST_HDR,,該結(jié)構體的定義如下:

  typedef struct _DEV_BROADCAST_HDR {

  DWORD dbch_size;

  DWORD dbch_devicetype;

  DWORD dbch_reserved;

  } DEV_BROADCAST_HDR;

  typedef DEV_BROADCAST_HDR *PDEV_BROADCAST_HDR;

  在該結(jié)構體中,,主要看的是dbch_devicetype,也就是設備的類型,。如果設備類型為DBT_DEVTYP_VOLUME,,則把當前結(jié)構體轉(zhuǎn)換為DEV_BROADCAST_VOLUME結(jié)構體,該結(jié)構體定義如下:

  typedef struct _DEV_BROADCAST_VOLUME {

  DWORD dbcv_size;

  DWORD dbcv_devicetype;

  DWORD dbcv_reserved;

  DWORD dbcv_unitmask;

  WORD dbcv_flags;

  } DEV_BROADCAST_VOLUME;

  typedef DEV_BROADCAST_VOLUME *PDEV_BROADCAST_VOLUME;

  在該結(jié)構體中,,主要看的是dbcv_unitmask和dbcv_flags,。dbcv_unitmask通過位表示邏輯盤符,第0位表示A盤,,第1位表示B盤。dbcv_flags表示受影響的盤符或媒介,,其值為0時表示U盤或移動硬盤,。

  上面介紹了WM_DEVICECHANGE消息,由于是在MFC下進行開發(fā)的,,因此可以使用OnDeviceChange()消息響應函數(shù)來代替WM_DEVICECHANGE消息,。雖然使用了OnDeviceChange()消息響應函數(shù)而沒有使用WM_DEVICECHANGE,,但是響應函數(shù)的附加參數(shù)與WM_DEVICECHANGE相同。OnDeviceChange()函數(shù)定義如下:

  afx_msg BOOL OnDeviceChange( UINT nEventType, DWORD dwData ),;

  3. 通過OnDeviceChange()消息獲得被插入U盤的盤符

  下面使用MFC下的OnDeviceChange()消息響應函數(shù)來編寫一個獲取被插入U盤的盤符的小程序,,為編寫U盤防火墻做簡單的準備工作。首先來添加消息映射,,具體代碼如下:

  BEGIN_MESSAGE_MAP(CUFirewallDlg, CDialog)

  //{{AFX_MSG_MAP(CUFirewallDlg)

  ON_MESSAGE(WM_DEVICECHANGE, OnDeviceChange)

  ON_WM_SYSCOMMAND()

  ON_WM_PAINT()

  ON_WM_QUERYDRAGICON()

  //}}AFX_MSG_MAP

  END_MESSAGE_MAP()

  在頭文件中添加消息響應函數(shù)的定義,,具體如下:

  // Generated message map functions

  //{{AFX_MSG(CUFirewallDlg)

  afx_msg BOOL OnDeviceChange(UINT nEventType, DWORD dwData); // 消息響應函數(shù)

  virtual BOOL OnInitDialog(),;

  afx_msg void OnSysCommand(UINT nID, LPARAM lParam),;

  afx_msg void OnPaint();

  afx_msg HCURSOR OnQueryDragIcon(),;

  //}}AFX_MSG

  最后添加消息響應函數(shù)的實現(xiàn),,具體代碼如下:

  BOOL CUFirewallDlg::OnDeviceChange(UINT nEventType, DWORD dwData)

  {

  if ( nEventType == DBT_DEVICEARRIVAL )

  {

  PDEV_BROADCAST_HDR pDevHdr = (PDEV_BROADCAST_HDR)dwData;

  if ( pDevHdr->dbch_devicetype == DBT_DEVTYP_VOLUME )

  {

  PDEV_BROADCAST_VOLUME pDevVolume = (PDEV_BROADCAST_VOLUME)pDevHdr;

  // pDevVolume->dbcv_flags 為 0 表示為 U 盤

  if ( pDevVolume->dbcv_flags == 0 )

  {

  CString DriverName;

  char i;

  // 通過將 pDevVolume->dbcv_unitmask 移位來判斷盤符

  DWORD dwUnitmask = pDevVolume->dbcv_unitmask;

  for (i = 0; i < 26; ++i)

  {

  if ( dwUnitmask & 0x1)

  {

  break;

  }

  dwUnitmask = dwUnitmask 》 1;

  }

  if ( i >= 26 )

  {

  return ;

  }

  DriverName.Format(“檢測到的 U 盤盤符為: %c \r\n”, i + 'A‘);

  // 顯示盤符

  MessageBox(DriverName),;

  }

  }

  }

  }

  將其編譯連接并運行,,插入一個U盤,得到如圖3所示的提示,。

  圖3  檢測到的U盤盤符

  上面的這段代碼可以將其封裝為一個函數(shù),,封裝后的函數(shù)定義如下:

  VOID GetDriverName(DWORD dwData);

  在使用類似DBT_DEVICEARRIVAL的以DBT_開頭的宏時,,應包含頭文件“dbt.h”文件,。

  4. U盤防火墻的完善

  前面已經(jīng)獲得了被插入U盤的盤符,接下來就可以對U盤上的Autorun.inf文件進行分析,,并刪除要運行的程序,,還可以安全地打開U盤。改寫OnDeviceChange()函數(shù),,以實現(xiàn)要完成的功能,,具體代碼如下:

  BOOL CUFirewallDlg::OnDeviceChange(UINT nEventType, DWORD dwData)

  {

  if ( nEventType == DBT_DEVICEARRIVAL )

  {

  GetDriverName(dwData);

  MessageBox(DriverName),;

  if ( DriverName != “” )

  {

  m_SafeOpen.EnableWindow(TRUE),;

  CString File = DriverName;

  File += “\\autorun.inf”;

  char szBuff[MAX_PATH] = { 0 };

  if ( GetFileAttributes(File.GetBuffer(0)) == -1 )

  {

  m_SafeOpen.EnableWindow(FALSE);

  return FALSE;

  }

  // 獲取 open 后面的內(nèi)容

  GetPrivateProfileString(“AutoRun”,“open”,

  NULL,szBuff,MAX_PATH,File.GetBuffer(0)),;

  CString str;

  str = “是否刪除:”;

  str += szBuff;

  if ( MessageBox(str, NULL, MB_YESNO) == IDYES )

  {

  // 刪除要執(zhí)行的文件

  DeleteFile(str.GetBuffer(0)),;

  }

  }

  }

  else if ( nEventType == DBT_DEVICEREMOVECOMPLETE )

  {

  m_SafeOpen.EnableWindow(FALSE);

  }

  return TRUE;

  }

  安全打開U盤的實現(xiàn)代碼如下:

  void CUFirewallDlg::OnBtnSafeopen()

  {

  // TODO: Add your control notification handler code here

  ShellExecute(NULL, “open”, DriverName.GetBuffer(0),, NULL, NULL, SW_SHOW),;

  }

  用DeleteFile()函數(shù)刪除U盤中要運行的程序可能會失敗,因為有時U盤并沒有完全準備好,??梢酝ㄟ^判斷來完成,,但這里就不給出代碼了,大家可自行修改完成,。代碼中涉及兩個新的API函數(shù),,分別是GetPrivateProfileString()和ShellExecute()。這兩個函數(shù)的功能分別是獲取配置文件中指定鍵的鍵值,、運行指定的文件或文件夾,。

  在上面的程序中,通過提示讓用戶選擇是否要刪除U盤中要被執(zhí)行的文件,。如果用戶對此并沒有太多的了解和認識的話,,很有可能不刪除。如果刪了本不該刪的文件,,那么用戶對該軟件的友好感便會降低,。應該如何做呢?應該建立一個白名單和黑名單,,無論是通過散列進行比較,,還是通過文件名進行比較,都可以,。當然,,越精確的匹配方法越好。這樣,,就可以提早為用戶進行判斷了,,然后給出一個安全建議,這樣不但提高了軟件的友好度,,而且會顯得相對較為專業(yè),。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。