Quelqu'un a utilisé ma clé USB et en me la retournant, j'en ai trouvé une autorun.inf
qui n'est pas effaçable. J'ai essayé de changer son attribut de fichier qui n'est que H (même pas défini comme fichier système) mais il continue de dire Accès refusé.
L'USB est réglé sur FAT32, après avoir demandé à mon ami, il m'a dit qu'il utilisait le vaccin USB Panda
comment font-ils ça? J'essaie d'utiliser un éditeur de secteur de disque mais je n'ai aucune idée du fichier hexadécimal qu'ils changent pour créer ce type de fichier et le supprimer à nouveau. Le formatage du disque le supprime, mais je suis curieux de savoir comment définir ce type d'attribut de fichier.
windows
filesystems
fat32
file-attributes
MegaNairda
la source
la source
Réponses:
Méthode d'essai
Panda ne semble pas révéler le mécanisme exact de son «vaccin», ce qui est compréhensible, car il s'agit essentiellement de sécurité par l'obscurité . Si vous savez comment cela fonctionne, vous pouvez inverser les effets et le «vaccin» devient inutile.
J'ai téléchargé et installé Panda USB Vaccine et "vacciné" mon lecteur flash, vidé la partition du lecteur flash avec dd pour windows en utilisant les commandes
où
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
est le GUID fourni par la première commande, ouvertc:\vaccinated.img
dans un éditeur hexadécimal et recherchéAUTORUN
.Ce que fait le vaccin USB
L'entrée pour
AUTORUN.INF
commence par les douze octets suivants:Les onze premiers octets ne sont que le nom de fichier 8.3 avec un espace :
AUTORUN INF
Le dernier octet spécifie les attributs du fichier et sa représentation binaire est:
Selon la spécification du système de fichiers Microsoft EFI FAT32 , ce dernier octet est un champ de bits qui prend la forme suivante:
où les bits
A
,D
,V
,S
,H
etR
sont1
si et seulement si le fichier est archivé, un répertoire, le volume ID 1 , un fichier système, caché ou en lecture seule.AUTORUN.INF
est masqué, carH
est défini sur1
.Les bits
X
etY
sont réservés et devraient l'être tous les deux0
. Cependant, USB Vaccine est régléY
sur1
.Que dit la spécification
De plus, il recommande pour la validation du contenu du répertoire:
Que se passe-t-il réellement
CHKDSK suit certainement la spécification et ignore l'
AUTORUN.INF
entrée que le pilote FAT32 ne comprend pas, mais Windows lui-même ne semble pas se conformer à l'exigence de la spécification de ne plus jamais regarder les bits réservés : tout type d'accès (autre que la liste du fichier et ses attributs) est refusée.Par exemple, la commande
stipule que le propriétaire
AUTORUN.INF
est...
. Étant donné que FAT32 ne prend pas en charge la propriété des fichiers, il doit indiquer\All
.La raison de ce comportement inattendu est que, selon l'entrée FAT32 - Wikipedia # Directory , Windows utilise le bit en
Y
interne pour signaler un nom de périphérique de caractère (CON, PRN, AUX, CLOCK $, NUL, LPT1, COM1, etc.), et il ne devrait pas être présent sur les périphériques de stockage. 2D'une certaine manière, USB Vaccine incite Windows à supposer qu'il
AUTORUN.INF
ne s'agit pas d'un fichier réel, mais d'un périphérique sur lequel il ne peut pas lire ni écrire.Comment supprimer le fichier
Si vous avez un accès direct au système de fichiers, il suffit de définir
Y
sur0
(changer l'octet42
en02
) pour rendre le fichier supprimable à nouveau. Vous pouvez également définir le premier octet de l'entrée de répertoire surE5
, marquant directement le fichier comme supprimé. 3Une autre option serait d'utiliser un pilote différent. Ubuntu 12.04, par exemple, peut supprimer le fichier sans problème. En fait, il "corrige" automatiquement l'entrée de répertoire lors de sa lecture. 4
1 Cet attribut est utilisé, par exemple, pour l'étiquette de volume ou le dossier System Volume Information .
2 Certainement, le réglage
X
sur1
ne semble pas avoir d'effet.3 J'ai vérifié cela en changeant les octets correspondants de
C:\vaccinated.img
avec un éditeur hexadécimal et en écrivant l'image modifiée sur le lecteur flash en utilisant la commande suivante:4 Bien qu'il s'agisse d'un écart flagrant par rapport à la spécification, il semble qu'il soit réfléchi. Ubuntu laisse
X
intact s'il est défini1
, car il ne fait aucun mal. La définition duY
bit sur1
pourrait facilement être utilisée abusivement par une application malveillante, par exemple en créant un fichier non supprimable qui occupe tout l'espace libre du lecteur.la source
Il s'agit d'une astuce astucieuse du système de fichiers qui exploite un nom réservé dans l'espace de noms Win32. Les détails de la façon dont Panda USB Vaccine le fait sont décrits ici .
Essentiellement, le logiciel crée un dossier nommé
autorun.inf
(ce qui empêche la création d'un fichier portant le même nom), puis dans ce dossier, un fichier appeléLTP1
est créé. Sous DOS,LPT1
fait référence au port d'imprimante et Windows le prend en charge pour une compatibilité descendante. Ainsi, lorsque vous demandez un fichier nomméLPT1
, Windows essaie d'ouvrir le port d'imprimante, ce qui empêche en quelque sorte le dossier d'être supprimé normalement.Quant à la façon de supprimer le dossier / fichier sans formater le lecteur, cet article de la base de connaissances Microsoft donne quelques conseils:
la source
AUTORUN.INF
(avec la même chaîne "caacaa ..." mentionnée dans l'article) sur le lecteur, puis rapidement se fige. Je n'ai aucun problème à supprimer le fichierI:\autorun.inf\bdsanitize#\bdsanitize#...
où#
est "1" ou "2". Le fichier journal a également ajouté le fichier / nom de chaque niveau avec.dir
ou.file
mais cela peut simplement être affiché à des fins de journalisation / débogage.autorun.inf
mais après cela, il sera remplacé par unautorun.inf
fichier . La différence avec leautorun.inf
vaccin USB Panda est que le fichier est vide et ne contient pas lecacaca
même que celui créé par Panda.