防不胜防伸向移动设备资料的黑手

■田野

防不胜防伸向移动设备资料的黑手

■田野

本机盗取闪存中的文件

FlashDiskThief（闪存窥探者）是一个在后台盗取闪存中文件的小软件。当在某台电脑主机上运行了这个软件后，只要有闪存接上这台电脑，那么闪存中的所有文件资料都将被悄悄拷贝到指定的文件夹中。

由于安装软件者可以任意指定存放资料的文件夹路径（如在局域网中），因此盗取资料的工作是非常隐蔽的，攻击者可以轻松得到闪存中的所有重要资料，而闪存的主人却毫无知觉。

1.监视闪存，顺手牵羊

在公司、企业或学校的公用电脑上，常有许多使用者在上面使用自己的闪存，进行打印或资料编辑等操作。有的用户比较谨慎，一般不会在上面打开自己的重要文件，只是将电脑上的某些文件拷贝到自己的闪存上，但这样仍然躲不过被盗取机密文件的命运。

盗取者可能会在公用电脑上运行FlashDiskThief，软件运行后首先指定盗取文件的存放位置。盗取者一般会将文件路径设置得比较隐蔽，如放在系统的临时文件夹“C：WindowsTemp”目录中，这样不易引起别人的怀疑。

接着点击界面中的“开始”按钮，软件就会自动监视USB接口了。当任何一个用户将闪存接到USB口时，软件就会开始工作，将闪存中的所有文件复制到刚才指定的临时文件夹中。

2.销声匿迹，隐藏界面

当然，盗取者不会让这个软件明目张胆地运行、行窃，他们会对软件进行一些设置，如取消对“提示复制完成”选项的选择，当软件将闪存中的文件复制完成后就不会显示提示信息。

“农拓者在做造福农民的事，我对农拓者发展有信心。这是我们的梦，也是新疆农民的梦。”刘彬并不满足于现在的成绩。他表示，未来农拓者不仅将从种苗、产品、技术、服务等方面实现“一站式”解决方案，还会在金融、保险、销售上构建一整套服务链体系。同时，农拓者还计划当起农民和市场的“月老”，通过建立绿色种植基地，以完善的方案服务农民种植，以定制化的农产品满足市场需求，让农与商“喜结连理”，带动农业产业链的互利共赢。

勾选“窗口完全隐藏”选项后，点击“隐藏”按钮，将不显示软件运行界面，软件会在后台以进程的形式运行，别人就不易发现自己的资料被窃取了。可以勾选“复制完成，自动结束程序”选项，复制完成后程序进程会自动结束，即使用户有所怀疑，也无法在进程列表中发现任何蛛丝马迹。

提示：当FlashDiskThief以隐藏方式运行时，只要程序未自动结束进程，用户还是可以在资源管理器的进程列表中看到一个名为“FDskThief.exe”的进程。盗取者很可能会修改程序文件名（如“SVCHOST.exe”），这样就不容易被用户发现。其中用户名为“puma_xy”的“SVCHOST.exe”进程，实际上就是闪存盗取工具的程序名，不易被识别。

3.绝对隐蔽，网内盗取

盗取闪存资料时，大多都是在局域网的办公环境中，可以通过指定文件的存储路径，使盗取行动更加隐蔽。

假设安装了FlashDiskThief程序的主机A，与盗取者的主机B位于同一局域网内。由于局域网内的安全工作并不是很严密，盗取者很可能通过各种方法入侵A主机，然后在A主机上安装盗取软件，并在设置资料的保存路径时，直接设置为B主机上的某个文件夹，这样盗取者就可等着FlashDiskThief将别人的资料传过来。

自动盗取闪存中的文件

刚才所介绍的FlashDiskThief程序在盗取闪存资料时，要求盗取者必须手动运行软件一次，软件才能开始工作。每次都要启动软件是很麻烦的，而且很容易被别人发现。能否让盗取工具在主机启动后，就自动在后台开始盗取工作呢？

我们可以自己编写一个这样的实用工具，当然你不用掌握任何编程知识，也不用使用特别的代码编写和程序编译工具就可完成。我们只要用记事本写一段小小的VBS脚本代码就可以了。

1.编写VBS脚本代码

VBS脚本代码虽然简单，但却有非常强大的功能。我们通过调用几个注册表和文件对象，就可以轻松撰写一个盗取闪存中资料的小脚本文件。

打开记事本程序，将一段代码写入记事本中（代码下载地址：http：//www.nl297.com/cpcw/1.rar）。

在代码中的“c：windows emp”是指定的文件保存路径，可根据需要修改。“i：*”用于指定闪存的盘符。最后，将这段代码保存为“daoqu.vbs”文件。

2.安插间谍

在要盗取闪存数据的主机上运行刚才制作的“daoqu.vbs”即可。VBS脚本运行后，在资源管理器的进程列表中会显示一个名为“Wscript.exe”的进程。该进程会自动监视闪存，每隔一分钟对闪存中的文件进行一次复制，并保存在指定的位置。

只要手动运行脚本一次，就可在注册表启动项中添加一个启动键值，每次开机时会自动运行刚才制作的脚本，实现闪存数据的自动盗取。

怎么样，是不是觉得在闪存中存放数据并不安全？以后，最好不要将存放着重要数据文件的闪存随意拿到别人的电脑上使用，同时一定要在自己的电脑上也作好安全防范工作，避免被不怀好意者装上盗窃软件。

防范措施

用户应该在使用闪存之前，先检查一下系统中是否有一些不正常的进程正在运行。如果发现异常进程，就应该将它结束掉，这样就可以防范本文所介绍的第一种盗窃方法。

对于第二种盗窃方法，同样可以查看是否有不正常的“Wscript.exe”进程在运行，或者直接安装防火墙并打开防火墙的脚本监控，就可以防止VBS脚本的运行了。