相信有許多使用者聽過 Wow! USB
Protector 這套隨身碟防毒程式(以下簡稱Wow!),目前還有許多企業或政府單位列為裝機必備的軟體。Wow!
一開始是老師在教導學生如何開發防毒軟體的專案,後來經過網路的口耳相傳其功效神奇,因此變成一套很流行的隨身碟防毒軟體。
由於這套軟體一開始就只是個教案,因此它採用了一個最簡單的病毒判別方式---檔案名稱判別。只要檔案名稱被列入病毒資料庫,一律認為是病毒並且不准執行。
在此我們也來模仿 Wow! 所使用的檔案名稱判讀方式,用更簡單的方法來自己製作隨身碟防毒程式;不過,由於是利用檔名判讀,因此我們必需要先知道隨身碟病毒常見的檔案名稱有哪些?我們就借用 Wow! 的病毒資料庫來做為參考資料。
首先,先來看一下 Wow! 的病毒資料庫內容;先在任何一台電腦上安裝 Wow! ,然後利用檔案總管開啟 C:\Program Files
(x86)\WowUSBProtector 目錄(如果是 32 位元作業系統則是在 C:\Program
Files\WowUSBProtector
),當中有一個『virusDB.txt』的文字檔就是病毒資料庫,您可以利用滑鼠點二下開啟該文字檔,就會發現裡面是一堆的檔案名稱。我們要使用的就是
這些檔案名稱。
接下來請參考病毒資料庫,將圖片中的『檔案名稱』一一更換成 virusDB.txt 內容當中的檔名,並存成
ImageFileExe.reg (您可以取任何名稱,只要副檔名是 .reg
就可以了)。最後再利用滑鼠點二下,並在系統詢問是否繼續時回答『是』,這樣就完成了簡易型的隨身碟防毒。真的很簡單吧!以後只要將這個檔案拿到任何一台
電腦點二下 ImageFileExe.reg,該電腦就具有隨身碟病毒防護的功能。
或許您會問: virusDB.txt
裡面有幾百個檔案名稱,那不就也要在
ImageFileExe.reg
當中輸入好幾百次?答案是:『沒錯!』這就是檔案名稱判別病毒的方式,必須將檔名一個一個列出來。這種方式誤判率高,而且只要每發現一個新的病毒檔名,就
必須在資料庫中跟著新增;所以這種檔案名稱判別病毒方式並不恰當,比較好的方式應該利用病毒特徵碼或行為模式來判讀。
或許還會有其他人問:如果不想讓電腦使用者執行某些特定程式,是否也可以比照上面的方法將特定程式的檔案名稱加入?答案是:『對的!』用這種方法也可以拿來做為限制程式執行的功能喔。
沒有留言:
張貼留言