■田野

防不勝防伸向移動(dòng)設(shè)備資料的黑手

■田野

本機(jī)盜取閃存中的文件

FlashDiskThief（閃存窺探者）是一個(gè)在后臺(tái)盜取閃存中文件的小軟件。當(dāng)在某臺(tái)電腦主機(jī)上運(yùn)行了這個(gè)軟件后，只要有閃存接上這臺(tái)電腦，那么閃存中的所有文件資料都將被悄悄拷貝到指定的文件夾中。

由于安裝軟件者可以任意指定存放資料的文件夾路徑（如在局域網(wǎng)中），因此盜取資料的工作是非常隱蔽的，攻擊者可以輕松得到閃存中的所有重要資料，而閃存的主人卻毫無知覺。

1.監(jiān)視閃存，順手牽羊

在公司、企業(yè)或?qū)W校的公用電腦上，常有許多使用者在上面使用自己的閃存，進(jìn)行打印或資料編輯等操作。有的用戶比較謹(jǐn)慎，一般不會(huì)在上面打開自己的重要文件，只是將電腦上的某些文件拷貝到自己的閃存上，但這樣仍然躲不過被盜取機(jī)密文件的命運(yùn)。

盜取者可能會(huì)在公用電腦上運(yùn)行FlashDiskThief，軟件運(yùn)行后首先指定盜取文件的存放位置。盜取者一般會(huì)將文件路徑設(shè)置得比較隱蔽，如放在系統(tǒng)的臨時(shí)文件夾“C：WindowsTemp”目錄中，這樣不易引起別人的懷疑。

接著點(diǎn)擊界面中的“開始”按鈕，軟件就會(huì)自動(dòng)監(jiān)視USB接口了。當(dāng)任何一個(gè)用戶將閃存接到USB口時(shí)，軟件就會(huì)開始工作，將閃存中的所有文件復(fù)制到剛才指定的臨時(shí)文件夾中。

2.銷聲匿跡，隱藏界面

當(dāng)然，盜取者不會(huì)讓這個(gè)軟件明目張膽地運(yùn)行、行竊，他們會(huì)對(duì)軟件進(jìn)行一些設(shè)置，如取消對(duì)“提示復(fù)制完成”選項(xiàng)的選擇，當(dāng)軟件將閃存中的文件復(fù)制完成后就不會(huì)顯示提示信息。

“農(nóng)拓者在做造福農(nóng)民的事，我對(duì)農(nóng)拓者發(fā)展有信心。這是我們的夢，也是新疆農(nóng)民的夢?！眲⒈虿⒉粷M足于現(xiàn)在的成績。他表示，未來農(nóng)拓者不僅將從種苗、產(chǎn)品、技術(shù)、服務(wù)等方面實(shí)現(xiàn)“一站式”解決方案，還會(huì)在金融、保險(xiǎn)、銷售上構(gòu)建一整套服務(wù)鏈體系。同時(shí)，農(nóng)拓者還計(jì)劃當(dāng)起農(nóng)民和市場的“月老”，通過建立綠色種植基地，以完善的方案服務(wù)農(nóng)民種植，以定制化的農(nóng)產(chǎn)品滿足市場需求，讓農(nóng)與商“喜結(jié)連理”，帶動(dòng)農(nóng)業(yè)產(chǎn)業(yè)鏈的互利共贏。

勾選“窗口完全隱藏”選項(xiàng)后，點(diǎn)擊“隱藏”按鈕，將不顯示軟件運(yùn)行界面，軟件會(huì)在后臺(tái)以進(jìn)程的形式運(yùn)行，別人就不易發(fā)現(xiàn)自己的資料被竊取了?？梢怨催x“復(fù)制完成，自動(dòng)結(jié)束程序”選項(xiàng)，復(fù)制完成后程序進(jìn)程會(huì)自動(dòng)結(jié)束，即使用戶有所懷疑，也無法在進(jìn)程列表中發(fā)現(xiàn)任何蛛絲馬跡。

提示：當(dāng)FlashDiskThief以隱藏方式運(yùn)行時(shí)，只要程序未自動(dòng)結(jié)束進(jìn)程，用戶還是可以在資源管理器的進(jìn)程列表中看到一個(gè)名為“FDskThief.exe”的進(jìn)程。盜取者很可能會(huì)修改程序文件名（如“SVCHOST.exe”），這樣就不容易被用戶發(fā)現(xiàn)。其中用戶名為“puma_xy”的“SVCHOST.exe”進(jìn)程，實(shí)際上就是閃存盜取工具的程序名，不易被識(shí)別。

3.絕對(duì)隱蔽，網(wǎng)內(nèi)盜取

盜取閃存資料時(shí)，大多都是在局域網(wǎng)的辦公環(huán)境中，可以通過指定文件的存儲(chǔ)路徑，使盜取行動(dòng)更加隱蔽。

假設(shè)安裝了FlashDiskThief程序的主機(jī)A，與盜取者的主機(jī)B位于同一局域網(wǎng)內(nèi)。由于局域網(wǎng)內(nèi)的安全工作并不是很嚴(yán)密，盜取者很可能通過各種方法入侵A主機(jī)，然后在A主機(jī)上安裝盜取軟件，并在設(shè)置資料的保存路徑時(shí)，直接設(shè)置為B主機(jī)上的某個(gè)文件夾，這樣盜取者就可等著FlashDiskThief將別人的資料傳過來。

自動(dòng)盜取閃存中的文件

剛才所介紹的FlashDiskThief程序在盜取閃存資料時(shí)，要求盜取者必須手動(dòng)運(yùn)行軟件一次，軟件才能開始工作。每次都要啟動(dòng)軟件是很麻煩的，而且很容易被別人發(fā)現(xiàn)。能否讓盜取工具在主機(jī)啟動(dòng)后，就自動(dòng)在后臺(tái)開始盜取工作呢？

我們可以自己編寫一個(gè)這樣的實(shí)用工具，當(dāng)然你不用掌握任何編程知識(shí)，也不用使用特別的代碼編寫和程序編譯工具就可完成。我們只要用記事本寫一段小小的VBS腳本代碼就可以了。

1.編寫VBS腳本代碼

VBS腳本代碼雖然簡單，但卻有非常強(qiáng)大的功能。我們通過調(diào)用幾個(gè)注冊表和文件對(duì)象，就可以輕松撰寫一個(gè)盜取閃存中資料的小腳本文件。

打開記事本程序，將一段代碼寫入記事本中（代碼下載地址：http：//www.nl297.com/cpcw/1.rar）。

在代碼中的“c：windows emp”是指定的文件保存路徑，可根據(jù)需要修改?！癷：*”用于指定閃存的盤符。最后，將這段代碼保存為“daoqu.vbs”文件。

2.安插間諜

在要盜取閃存數(shù)據(jù)的主機(jī)上運(yùn)行剛才制作的“daoqu.vbs”即可。VBS腳本運(yùn)行后，在資源管理器的進(jìn)程列表中會(huì)顯示一個(gè)名為“Wscript.exe”的進(jìn)程。該進(jìn)程會(huì)自動(dòng)監(jiān)視閃存，每隔一分鐘對(duì)閃存中的文件進(jìn)行一次復(fù)制，并保存在指定的位置。

只要手動(dòng)運(yùn)行腳本一次，就可在注冊表啟動(dòng)項(xiàng)中添加一個(gè)啟動(dòng)鍵值，每次開機(jī)時(shí)會(huì)自動(dòng)運(yùn)行剛才制作的腳本，實(shí)現(xiàn)閃存數(shù)據(jù)的自動(dòng)盜取。

怎么樣，是不是覺得在閃存中存放數(shù)據(jù)并不安全？以后，最好不要將存放著重要數(shù)據(jù)文件的閃存隨意拿到別人的電腦上使用，同時(shí)一定要在自己的電腦上也作好安全防范工作，避免被不懷好意者裝上盜竊軟件。

防范措施

用戶應(yīng)該在使用閃存之前，先檢查一下系統(tǒng)中是否有一些不正常的進(jìn)程正在運(yùn)行。如果發(fā)現(xiàn)異常進(jìn)程，就應(yīng)該將它結(jié)束掉，這樣就可以防范本文所介紹的第一種盜竊方法。

對(duì)于第二種盜竊方法，同樣可以查看是否有不正常的“Wscript.exe”進(jìn)程在運(yùn)行，或者直接安裝防火墻并打開防火墻的腳本監(jiān)控，就可以防止VBS腳本的運(yùn)行了。