防不胜防伸向移动设备资料的黑手

2015-04-16 19:30田野
计算机与网络 2015年17期
关键词:脚本文件夹进程

■田野

防不胜防伸向移动设备资料的黑手

■田野

本机盗取闪存中的文件

FlashDiskThief(闪存窥探者)是一个在后台盗取闪存中文件的小软件。当在某台电脑主机上运行了这个软件后,只要有闪存接上这台电脑,那么闪存中的所有文件资料都将被悄悄拷贝到指定的文件夹中。

由于安装软件者可以任意指定存放资料的文件夹路径(如在局域网中),因此盗取资料的工作是非常隐蔽的,攻击者可以轻松得到闪存中的所有重要资料,而闪存的主人却毫无知觉。

1.监视闪存,顺手牵羊

在公司、企业或学校的公用电脑上,常有许多使用者在上面使用自己的闪存,进行打印或资料编辑等操作。有的用户比较谨慎,一般不会在上面打开自己的重要文件,只是将电脑上的某些文件拷贝到自己的闪存上,但这样仍然躲不过被盗取机密文件的命运。

盗取者可能会在公用电脑上运行FlashDiskThief,软件运行后首先指定盗取文件的存放位置。盗取者一般会将文件路径设置得比较隐蔽,如放在系统的临时文件夹“C:WindowsTemp”目录中,这样不易引起别人的怀疑。

接着点击界面中的“开始”按钮,软件就会自动监视USB接口了。当任何一个用户将闪存接到USB口时,软件就会开始工作,将闪存中的所有文件复制到刚才指定的临时文件夹中。

2.销声匿迹,隐藏界面

当然,盗取者不会让这个软件明目张胆地运行、行窃,他们会对软件进行一些设置,如取消对“提示复制完成”选项的选择,当软件将闪存中的文件复制完成后就不会显示提示信息。

“农拓者在做造福农民的事,我对农拓者发展有信心。这是我们的梦,也是新疆农民的梦。”刘彬并不满足于现在的成绩。他表示,未来农拓者不仅将从种苗、产品、技术、服务等方面实现“一站式”解决方案,还会在金融、保险、销售上构建一整套服务链体系。同时,农拓者还计划当起农民和市场的“月老”,通过建立绿色种植基地,以完善的方案服务农民种植,以定制化的农产品满足市场需求,让农与商“喜结连理”,带动农业产业链的互利共赢。

勾选“窗口完全隐藏”选项后,点击“隐藏”按钮,将不显示软件运行界面,软件会在后台以进程的形式运行,别人就不易发现自己的资料被窃取了。可以勾选“复制完成,自动结束程序”选项,复制完成后程序进程会自动结束,即使用户有所怀疑,也无法在进程列表中发现任何蛛丝马迹。

提示:当FlashDiskThief以隐藏方式运行时,只要程序未自动结束进程,用户还是可以在资源管理器的进程列表中看到一个名为“FDskThief.exe”的进程。盗取者很可能会修改程序文件名(如“SVCHOST.exe”),这样就不容易被用户发现。其中用户名为“puma_xy”的“SVCHOST.exe”进程,实际上就是闪存盗取工具的程序名,不易被识别。

3.绝对隐蔽,网内盗取

盗取闪存资料时,大多都是在局域网的办公环境中,可以通过指定文件的存储路径,使盗取行动更加隐蔽。

假设安装了FlashDiskThief程序的主机A,与盗取者的主机B位于同一局域网内。由于局域网内的安全工作并不是很严密,盗取者很可能通过各种方法入侵A主机,然后在A主机上安装盗取软件,并在设置资料的保存路径时,直接设置为B主机上的某个文件夹,这样盗取者就可等着FlashDiskThief将别人的资料传过来。

自动盗取闪存中的文件

刚才所介绍的FlashDiskThief程序在盗取闪存资料时,要求盗取者必须手动运行软件一次,软件才能开始工作。每次都要启动软件是很麻烦的,而且很容易被别人发现。能否让盗取工具在主机启动后,就自动在后台开始盗取工作呢?

我们可以自己编写一个这样的实用工具,当然你不用掌握任何编程知识,也不用使用特别的代码编写和程序编译工具就可完成。我们只要用记事本写一段小小的VBS脚本代码就可以了。

1.编写VBS脚本代码

VBS脚本代码虽然简单,但却有非常强大的功能。我们通过调用几个注册表和文件对象,就可以轻松撰写一个盗取闪存中资料的小脚本文件。

打开记事本程序,将一段代码写入记事本中(代码下载地址:http://www.nl297.com/cpcw/1.rar)。

在代码中的“c:windows emp”是指定的文件保存路径,可根据需要修改。“i:*”用于指定闪存的盘符。最后,将这段代码保存为“daoqu.vbs”文件。

2.安插间谍

在要盗取闪存数据的主机上运行刚才制作的“daoqu.vbs”即可。VBS脚本运行后,在资源管理器的进程列表中会显示一个名为“Wscript.exe”的进程。该进程会自动监视闪存,每隔一分钟对闪存中的文件进行一次复制,并保存在指定的位置。

只要手动运行脚本一次,就可在注册表启动项中添加一个启动键值,每次开机时会自动运行刚才制作的脚本,实现闪存数据的自动盗取。

怎么样,是不是觉得在闪存中存放数据并不安全?以后,最好不要将存放着重要数据文件的闪存随意拿到别人的电脑上使用,同时一定要在自己的电脑上也作好安全防范工作,避免被不怀好意者装上盗窃软件。

防范措施

用户应该在使用闪存之前,先检查一下系统中是否有一些不正常的进程正在运行。如果发现异常进程,就应该将它结束掉,这样就可以防范本文所介绍的第一种盗窃方法。

对于第二种盗窃方法,同样可以查看是否有不正常的“Wscript.exe”进程在运行,或者直接安装防火墙并打开防火墙的脚本监控,就可以防止VBS脚本的运行了。

猜你喜欢
脚本文件夹进程
酒驾
安奇奇与小cool 龙(第二回)
债券市场对外开放的进程与展望
改革开放进程中的国际收支统计
数据库系统shell脚本应用
摸清超标源头 大文件夹这样处理
快乐假期
调动右键 解决文件夹管理三大难题
挂在墙上的文件夹
不容忽视的空文件夹