Có người nói với tôi rằng virus có thể tự chạy từ bộ nhớ Flash ngay cả khi autorun.inf
không có hoặc tính năng này bị vô hiệu hóa khi sử dụng gpedit.msc
. Anh ấy nói một con virus có thể tự chạy ngay khi tôi cắm vào bộ nhớ flash. Nó có đúng không?
Có người nói với tôi rằng virus có thể tự chạy từ bộ nhớ Flash ngay cả khi autorun.inf
không có hoặc tính năng này bị vô hiệu hóa khi sử dụng gpedit.msc
. Anh ấy nói một con virus có thể tự chạy ngay khi tôi cắm vào bộ nhớ flash. Nó có đúng không?
Câu trả lời:
Không, một tệp trên ổ đĩa không thể tự chạy. Giống như tất cả các virus, nó cần một số loại khởi tạo. Một tập tin không bắt đầu một cách kỳ diệu mà không có lý do nào cả; một cái gì đó phải làm cho nó tải theo một cách nào đó. (Thật không may, số cách là rất lớn và tiếp tục phát triển.)
Cách thức vi-rút chạy phụ thuộc phần lớn vào loại tệp chứa vi-rút. Ví dụ: .exe
các tệp thường yêu cầu một cái gì đó thực sự tải mã của chúng (chỉ cần đọc nội dung của chúng là không đủ). Các tập tin hình ảnh hoặc âm thanh hoàn toàn không phải là mã, vì vậy chúng không nên là một ứng dụng chạy ở chế độ đầu tiên.
Điều thường xảy ra trong những ngày này là có hai phương thức chính mà phần mềm độc hại chạy:
Trojan: Với trojan, mã phần mềm độc hại được chèn vào các tệp bình thường. Ví dụ, một trò chơi hoặc chương trình sẽ có một số mã xấu được đưa vào để khi bạn (cố tình) chạy chương trình, mã xấu sẽ lẻn vào (do đó có tên trojan ). Điều này đòi hỏi phải đặt mã trong một thực thi. Một lần nữa, điều này đòi hỏi chương trình máy chủ phải được chạy cụ thể bằng cách nào đó.
Khai thác: Với các khai thác, điều xảy ra là một tệp chứa các cấu trúc không chính xác / không hợp lệ khai thác lập trình kém. Ví dụ, một chương trình xem đồ họa không kiểm tra tệp hình ảnh có thể bị khai thác bằng cách tạo một tệp hình ảnh với mã hệ thống theo cách mà khi nó được đọc, nó làm quá tải bộ đệm được tạo cho hình ảnh và lừa hệ thống đi qua kiểm soát mã virus được chèn qua bộ đệm (tràn bộ đệm vẫn còn khá phổ biến). Phương pháp này không yêu cầu một tệp có mã phần mềm độc hại được chạy cụ thể ; nó khai thác lập trình xấu và kiểm tra lỗi để lừa hệ thống chạy vào hệ điều hành của Google bằng cách mở / đọc tệp.
Vì vậy, làm thế nào điều này áp dụng cho một ổ đĩa flash (hoặc bất kỳ loại khác)? Nếu ổ đĩa chứa trojan (tệp thực thi), thì trừ khi hệ thống đã bật AutoPlay hoặc có một số mục nhập tự động / khởi động trỏ đến tệp, thì không, nó không nên tự chạy. Mặt khác, nếu có các tệp khai thác lỗ hổng trong hệ điều hành hoặc chương trình khác, thì chỉ cần đọc / xem tệp có thể cho phép phần mềm độc hại khởi tạo.
Một cách tốt để kiểm tra các vectơ mà trojan có thể chạy là kiểm tra các loại vị trí tự động / khởi động khác nhau. Tự động chạy là một cách dễ dàng để kiểm tra nhiều trong số chúng (thậm chí còn dễ hơn nếu bạn ẩn các mục Windows để giảm sự lộn xộn). Một cách tốt để giảm số lượng lỗ hổng mà khai thác có thể sử dụng là giữ cho hệ điều hành và chương trình của bạn cập nhật với các phiên bản và bản vá mới nhất.
\subsubsection
và một vài cái khác subsubsubsection
, đây là nơi không đủ gần. : P
.lnk
các tệp (phím tắt) của windows . Vì vậy, chỉ cần xem thư mục trong windows explorer đã kích hoạt sự lây nhiễm virus.
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version.
Rất may là có, mặc dù các lỗi có thể không bị phát hiện / không được trộn trong một thời gian và do đó, một lỗ hổng có thể bị khai thác cho nhiều phiên bản. `Vì vậy, chỉ cần xem thư mục trong windows explorer đã kích hoạt sự lây nhiễm vi-rút. 'Vâng, đó chính xác là loại lỗ hổng khai thác, tốt, khai thác. Bạn không thực sự phải chạy một tệp để bị lây nhiễm nữa bởi vì chỉ cần truy cập vào nó (mà ngay cả việc xem danh sách thư mục cũng có thể có khả năng lây nhiễm cho bạn. ◔̯◔
Điều này phụ thuộc vào cách thức virus được viết và những lỗ hổng tồn tại trên hệ thống mà bạn cắm ổ đĩa vào, nhưng câu trả lời là có khả năng.
Ví dụ, cách đây không lâu, lỗ hổng được thừa hưởng theo cách mà Windows xử lý .lnk
các tệp có nghĩa là chỉ cần có tệp được tạo độc hại trên ổ đĩa của bạn có thể thực hiện vi-rút được nhúng trong đó. Lỗ hổng này cũng đã được sửa chữa cách đây khá lâu nên không có hệ thống cập nhật nào có nguy cơ nhưng nó cho thấy có những vectơ tấn công tiềm năng "im lặng" và có thể xảy ra, như bạn bè của bạn gợi ý, mà không có sự đồng ý hoặc nhận thức của bạn.
Giữ cho thuốc chống vi-rút của bạn chạy và cập nhật và chỉ kết nối các thiết bị từ những người bạn tin tưởng.
Bạn có thể xem thông tin về phương thức tấn công cụ thể này trên trang Microsoft này .
Các vi-rút không thể chạy bản thân trong bất kỳ trường hợp. Một cái gì đó khác cần phải chạy nó.
Vì vậy, bây giờ câu hỏi là: Nó có thể chạy khi cắm không? Câu trả lời là "không" trong trường hợp lý tưởng, nhưng " có thể " trong trường hợp có lỗi trong Explorer (hoặc một số thành phần Windows khác). Tuy nhiên, một hành vi như vậy sẽ là một lỗi trong Windows, không phải do thiết kế.
Có, vi-rút có thể lan truyền đơn giản bằng cách cắm thiết bị USB (bao gồm cả ổ đĩa flash).
Điều này là do có mã (được gọi là phần sụn) trên thiết bị USB phải chạy để phát hiện thiết bị. Phần sụn này có thể làm những việc như bắt chước bàn phím (và do đó chạy chương trình), bắt chước card mạng, v.v.
Nhìn vào "BadUSB" để biết thêm thông tin.
Chà ... hy vọng là không. Bất kỳ thời gian nào thông tin trong một tệp thuộc bất kỳ loại nào cũng được đọc, cũng có khả năng từ xa rằng chương trình đọc nó có một số khiếm khuyết mà virus cố gắng lợi dụng và chạy trực tiếp hoặc gián tiếp. Một ví dụ cũ hơn là virus jpg đã lợi dụng một số loại bộ đệm tràn ngập trong trình xem ảnh. Nhiệm vụ thường xuyên của những người sản xuất phần mềm chống vi-rút là tìm vi-rút mới và cung cấp các bản cập nhật. Vì vậy, nếu bạn có tất cả các bản cập nhật chống vi-rút hiện tại và các bản vá hệ thống, thì có lẽ nó không phải là vấn đề ngày hôm nay, nhưng có thể là bất tử vào ngày mai.
Trên một hệ thống sạch, tôi sẽ nói rằng virus không thể tự chạy. Nhưng tôi nghĩ rằng một chương trình có thể được viết có thể chạy mọi lúc, chỉ cần đợi một ổ đĩa được chèn, sau đó tìm một tệp nhất định và chạy nó, nếu có sẵn. Điều này khá khó xảy ra, vì chương trình sẽ cần phải được cài đặt để chạy mọi lúc, nhưng dường như nó nằm trong phạm vi có thể nhưng không có khả năng lắm.