在早期互聯(lián)網(wǎng)還不發(fā)達的時候，病毒都是通過軟盤、光盤等媒介進行傳播的。到后來互聯(lián)網(wǎng)被普及以后，通過互聯(lián)網(wǎng)進行傳播的病毒大面積地相繼出現(xiàn)。雖然軟盤已經(jīng)被淘汰，但是并沒有使移動磁盤的病毒減少。相反，U盤的普及使得移動磁盤對病毒的傳播更加方便。U盤的數(shù)據(jù)傳輸速度和數(shù)據(jù)存儲容量等多方面都比軟盤要先進很多，因此，軟盤可以傳播病毒，U盤當然也可以傳播病毒。

　　通過U盤來傳播病毒通常是使用操作系統(tǒng)的自動運行功能，并配合U盤下的Autorun.inf文件來實現(xiàn)的。著名的“擺渡攻擊”就是依靠此Autorun.inf來進行實施的。如果讓操作系統(tǒng)不自動運行移動磁盤，或者保證移動磁盤下不存在Autorun.inf文件，那么通過U盤感染病毒的幾率就小很多了。

　　1. 通過系統(tǒng)配置禁止自動運行

　　先來介紹如何通過系統(tǒng)配置禁止U盤中Autorun.inf的自動運行。通常情況下需要進行兩方面的設(shè)置，一方面是通過“管理工具”中的“服務(wù)”來進行設(shè)置，另一方面是通過“組策略”來進行設(shè)置。一般這兩處都需要進行修改。下面分別介紹如何對這兩處進行設(shè)置。

　　先來看如何在“服務(wù)”中進行設(shè)置。首先打開控制面板中的“管理工具”，然后找到“服務(wù)”，將其雙擊打開。在服務(wù)列表中找到名稱為“Shell Hardware Detection”的服務(wù)，雙擊該服務(wù)，打開“Shell Hardware Detection的屬性”對話框。單擊“停止”按鈕將該服務(wù)停止，再把“啟動類型”修改為“已禁用”狀態(tài)，如圖1所示。

　　圖1  禁用“Shell Hardware Detection”服務(wù)

　　將服務(wù)中的“Shell Hardware Detection”禁用后，再對“組策略”進行設(shè)置。首先在“運行”中輸入“gpedit.msc”，然后依次單擊左邊的樹形控件“計算機配置”→“管理模板”→“系統(tǒng)”，再在右邊雙擊“關(guān)閉自動播放”選項，彈出“關(guān)閉自動播放屬性”對話框。在“設(shè)置”選項卡中選擇“已啟用”單選項，在“關(guān)閉自動播放”處選擇“所有驅(qū)動器”選項，設(shè)置完成后單擊“確定”按鈕。再到左邊的樹形控件中選擇“用戶配置”→“管理模板”→“系統(tǒng)”，到右邊找到“自動關(guān)閉播放”選項，設(shè)置方法同上，如圖2所示。

　　圖2  組策略中的“關(guān)閉自動播放”

　　通過以上設(shè)置，的確可以相對有效地保護計算機不中U盤相關(guān)的病毒。不過，不能因此而滿足，因為目的是打造一個U盤防御的軟件。

　　2. 打造一個簡易的U盤防御軟件

　　這里打造一個U盤防火墻，當插入U盤時會有提示，并且自動檢查U盤下是否有Autorun.inf文件，并解析Autorun.inf文件。除此之外，通過U盤防火墻可以打開U盤，從而安全地使用U盤。

　　如何才能知道有U盤被插入電腦呢？可以使用定時器不斷地檢查，也可以開啟一個線程不斷地檢查，還可以通過Windows的消息得到通知。前兩種方法笨了些，這里主動不斷地檢查是否有U盤插入，不如被動地等待Windows的消息來通知。

　　在Windows下有一個消息可以通知應(yīng)用程序計算機配置發(fā)生了變化，這個消息是WM_ DEVICECHANGE。消息過程定義如下：

　　LRESULT CALLBACK WindowProc（

　　HWND hwnd,

　　UINT uMsg,

　　WPARAM wParam,

　　LPARAM lParam

　?。?；

　　該消息通過兩個附加參數(shù)來進行使用，其中wParam表示設(shè)備改變的事件，lParam表示事件對應(yīng)的數(shù)據(jù)。要得到設(shè)備被插入的消息類型，因此wParam的取值為DBT_DEVIC EARRIVAL，而該消息對應(yīng)的數(shù)據(jù)類型為DEV_BROADCAST_HDR，該結(jié)構(gòu)體的定義如下：

　　typedef struct _DEV_BROADCAST_HDR {

　　DWORD dbch_size;

　　DWORD dbch_devicetype;

　　DWORD dbch_reserved;

　　} DEV_BROADCAST_HDR;

　　typedef DEV_BROADCAST_HDR *PDEV_BROADCAST_HDR;

　　在該結(jié)構(gòu)體中，主要看的是dbch_devicetype，也就是設(shè)備的類型。如果設(shè)備類型為DBT_DEVTYP_VOLUME，則把當前結(jié)構(gòu)體轉(zhuǎn)換為DEV_BROADCAST_VOLUME結(jié)構(gòu)體，該結(jié)構(gòu)體定義如下：

　　typedef struct _DEV_BROADCAST_VOLUME {

　　DWORD dbcv_size;

　　DWORD dbcv_devicetype;

　　DWORD dbcv_reserved;

　　DWORD dbcv_unitmask;

　　WORD dbcv_flags;

　　} DEV_BROADCAST_VOLUME;

　　typedef DEV_BROADCAST_VOLUME *PDEV_BROADCAST_VOLUME;

　　在該結(jié)構(gòu)體中，主要看的是dbcv_unitmask和dbcv_flags。dbcv_unitmask通過位表示邏輯盤符，第0位表示A盤，第1位表示B盤。dbcv_flags表示受影響的盤符或媒介，其值為0時表示U盤或移動硬盤。

　　上面介紹了WM_DEVICECHANGE消息，由于是在MFC下進行開發(fā)的，因此可以使用OnDeviceChange（）消息響應(yīng)函數(shù)來代替WM_DEVICECHANGE消息。雖然使用了OnDeviceChange（）消息響應(yīng)函數(shù)而沒有使用WM_DEVICECHANGE，但是響應(yīng)函數(shù)的附加參數(shù)與WM_DEVICECHANGE相同。OnDeviceChange（）函數(shù)定義如下：

　　afx_msg BOOL OnDeviceChange（ UINT nEventType, DWORD dwData ）；

　　3. 通過OnDeviceChange（）消息獲得被插入U盤的盤符

　　下面使用MFC下的OnDeviceChange（）消息響應(yīng)函數(shù)來編寫一個獲取被插入U盤的盤符的小程序，為編寫U盤防火墻做簡單的準備工作。首先來添加消息映射，具體代碼如下：

　　BEGIN_MESSAGE_MAP（CUFirewallDlg, CDialog）

　　//{{AFX_MSG_MAP（CUFirewallDlg）

　　ON_MESSAGE（WM_DEVICECHANGE, OnDeviceChange）

　　ON_WM_SYSCOMMAND（）

　　ON_WM_PAINT（）

　　ON_WM_QUERYDRAGICON（）

　　//}}AFX_MSG_MAP

　　END_MESSAGE_MAP（）

　　在頭文件中添加消息響應(yīng)函數(shù)的定義，具體如下：

　　// Generated message map functions

　　//{{AFX_MSG（CUFirewallDlg）

　　afx_msg BOOL OnDeviceChange（UINT nEventType, DWORD dwData）； // 消息響應(yīng)函數(shù)

　　virtual BOOL OnInitDialog（）；

　　afx_msg void OnSysCommand（UINT nID, LPARAM lParam）；

　　afx_msg void OnPaint（）；

　　afx_msg HCURSOR OnQueryDragIcon（）；

　　//}}AFX_MSG

　　最后添加消息響應(yīng)函數(shù)的實現(xiàn)，具體代碼如下：

　　BOOL CUFirewallDlg::OnDeviceChange（UINT nEventType, DWORD dwData）

　　{

　　if （ nEventType == DBT_DEVICEARRIVAL ）

　　{

　　PDEV_BROADCAST_HDR pDevHdr = （PDEV_BROADCAST_HDR）dwData;

　　if （ pDevHdr->dbch_devicetype == DBT_DEVTYP_VOLUME ）

　　{

　　PDEV_BROADCAST_VOLUME pDevVolume = （PDEV_BROADCAST_VOLUME）pDevHdr;

　　// pDevVolume->dbcv_flags 為 0 表示為 U 盤

　　if （ pDevVolume->dbcv_flags == 0 ）

　　{

　　CString DriverName;

　　char i;

　　// 通過將 pDevVolume->dbcv_unitmask 移位來判斷盤符

　　DWORD dwUnitmask = pDevVolume->dbcv_unitmask;

　　for （i = 0; i < 26; ++i）

　　{

　　if （ dwUnitmask & 0x1）

　　{

　　break;

　　}

　　dwUnitmask = dwUnitmask 》 1;

　　}

　　if （ i >= 26 ）

　　{

　　return ;

　　}

　　DriverName.Format（“檢測到的 U 盤盤符為： %c \r\n”, i + 'A‘）；

　　// 顯示盤符

　　MessageBox（DriverName）；

　　}

　　}

　　}

　　}

　　將其編譯連接并運行，插入一個U盤，得到如圖3所示的提示。

　　圖3  檢測到的U盤盤符

　　上面的這段代碼可以將其封裝為一個函數(shù)，封裝后的函數(shù)定義如下：

　　VOID GetDriverName（DWORD dwData）；

　　在使用類似DBT_DEVICEARRIVAL的以DBT_開頭的宏時，應(yīng)包含頭文件“dbt.h”文件。

　　4. U盤防火墻的完善

　　前面已經(jīng)獲得了被插入U盤的盤符，接下來就可以對U盤上的Autorun.inf文件進行分析，并刪除要運行的程序，還可以安全地打開U盤。改寫OnDeviceChange（）函數(shù)，以實現(xiàn)要完成的功能，具體代碼如下：

　　BOOL CUFirewallDlg::OnDeviceChange（UINT nEventType, DWORD dwData）

　　{

　　if （ nEventType == DBT_DEVICEARRIVAL ）

　　{

　　GetDriverName（dwData）；

　　MessageBox（DriverName）；

　　if （ DriverName != “” ）

　　{

　　m_SafeOpen.EnableWindow（TRUE）；

　　CString File = DriverName;

　　File += “\\autorun.inf”;

　　char szBuff[MAX_PATH] = { 0 };

　　if （ GetFileAttributes（File.GetBuffer（0）） == -1 ）

　　{

　　m_SafeOpen.EnableWindow（FALSE）；

　　return FALSE;

　　}

　　// 獲取 open 后面的內(nèi)容

　　GetPrivateProfileString（“AutoRun”,“open”,

　　NULL,szBuff,MAX_PATH,File.GetBuffer（0））；

　　CString str;

　　str = “是否刪除：”;

　　str += szBuff;

　　if （ MessageBox（str, NULL, MB_YESNO） == IDYES ）

　　{

　　// 刪除要執(zhí)行的文件

　　DeleteFile（str.GetBuffer（0））；

　　}

　　}

　　}

　　else if （ nEventType == DBT_DEVICEREMOVECOMPLETE ）

　　{

　　m_SafeOpen.EnableWindow（FALSE）；

　　}

　　return TRUE;

　　}

　　安全打開U盤的實現(xiàn)代碼如下：

　　void CUFirewallDlg::OnBtnSafeopen（）

　　{

　　// TODO: Add your control notification handler code here

　　ShellExecute（NULL, “open”, DriverName.GetBuffer（0）， NULL, NULL, SW_SHOW）；

　　}

　　用DeleteFile（）函數(shù)刪除U盤中要運行的程序可能會失敗，因為有時U盤并沒有完全準備好?？梢酝ㄟ^判斷來完成，但這里就不給出代碼了，大家可自行修改完成。代碼中涉及兩個新的API函數(shù)，分別是GetPrivateProfileString（）和ShellExecute（）。這兩個函數(shù)的功能分別是獲取配置文件中指定鍵的鍵值、運行指定的文件或文件夾。

　　在上面的程序中，通過提示讓用戶選擇是否要刪除U盤中要被執(zhí)行的文件。如果用戶對此并沒有太多的了解和認識的話，很有可能不刪除。如果刪了本不該刪的文件，那么用戶對該軟件的友好感便會降低。應(yīng)該如何做呢？應(yīng)該建立一個白名單和黑名單，無論是通過散列進行比較，還是通過文件名進行比較，都可以。當然，越精確的匹配方法越好。這樣，就可以提早為用戶進行判斷了，然后給出一個安全建議，這樣不但提高了軟件的友好度，而且會顯得相對較為專業(yè)。