在早期互聯網還不發達的時候，病毒都是通過軟盤、光盤等媒介進行傳播的。到后來互聯網被普及以后，通過互聯網進行傳播的病毒大面積地相繼出現。雖然軟盤已經被淘汰，但是并沒有使移動磁盤的病毒減少。相反，U盤的普及使得移動磁盤對病毒的傳播更加方便。U盤的數據傳輸速度和數據存儲容量等多方面都比軟盤要先進很多，因此，軟盤可以傳播病毒，U盤當然也可以傳播病毒。

　　通過U盤來傳播病毒通常是使用操作系統的自動運行功能，并配合U盤下的Autorun.inf文件來實現的。著名的“擺渡攻擊”就是依靠此Autorun.inf來進行實施的。如果讓操作系統不自動運行移動磁盤，或者保證移動磁盤下不存在Autorun.inf文件，那么通過U盤感染病毒的幾率就小很多了。

　　1. 通過系統配置禁止自動運行

　　先來介紹如何通過系統配置禁止U盤中Autorun.inf的自動運行。通常情況下需要進行兩方面的設置，一方面是通過“管理工具”中的“服務”來進行設置，另一方面是通過“組策略”來進行設置。一般這兩處都需要進行修改。下面分別介紹如何對這兩處進行設置。

　　先來看如何在“服務”中進行設置。首先打開控制面板中的“管理工具”，然后找到“服務”，將其雙擊打開。在服務列表中找到名稱為“Shell Hardware Detection”的服務，雙擊該服務，打開“Shell Hardware Detection的屬性”對話框。單擊“停止”按鈕將該服務停止，再把“啟動類型”修改為“已禁用”狀態，如圖1所示。

　　圖1  禁用“Shell Hardware Detection”服務

　　將服務中的“Shell Hardware Detection”禁用后，再對“組策略”進行設置。首先在“運行”中輸入“gpedit.msc”，然后依次單擊左邊的樹形控件“計算機配置”→“管理模板”→“系統”，再在右邊雙擊“關閉自動播放”選項，彈出“關閉自動播放屬性”對話框。在“設置”選項卡中選擇“已啟用”單選項，在“關閉自動播放”處選擇“所有驅動器”選項，設置完成后單擊“確定”按鈕。再到左邊的樹形控件中選擇“用戶配置”→“管理模板”→“系統”，到右邊找到“自動關閉播放”選項，設置方法同上，如圖2所示。

　　圖2  組策略中的“關閉自動播放”

　　通過以上設置，的確可以相對有效地保護計算機不中U盤相關的病毒。不過，不能因此而滿足，因為目的是打造一個U盤防御的軟件。

　　2. 打造一個簡易的U盤防御軟件

　　這里打造一個U盤防火墻，當插入U盤時會有提示，并且自動檢查U盤下是否有Autorun.inf文件，并解析Autorun.inf文件。除此之外，通過U盤防火墻可以打開U盤，從而安全地使用U盤。

　　如何才能知道有U盤被插入電腦呢？可以使用定時器不斷地檢查，也可以開啟一個線程不斷地檢查，還可以通過Windows的消息得到通知。前兩種方法笨了些，這里主動不斷地檢查是否有U盤插入，不如被動地等待Windows的消息來通知。

　　在Windows下有一個消息可以通知應用程序計算機配置發生了變化，這個消息是WM_ DEVICECHANGE。消息過程定義如下：

　　LRESULT CALLBACK WindowProc（

　　HWND hwnd,

　　UINT uMsg,

　　WPARAM wParam,

　　LPARAM lParam

　　）；

　　該消息通過兩個附加參數來進行使用，其中wParam表示設備改變的事件，lParam表示事件對應的數據。要得到設備被插入的消息類型，因此wParam的取值為DBT_DEVIC EARRIVAL，而該消息對應的數據類型為DEV_BROADCAST_HDR，該結構體的定義如下：

　　typedef struct _DEV_BROADCAST_HDR {

　　DWORD dbch_size;

　　DWORD dbch_devicetype;

　　DWORD dbch_reserved;

　　} DEV_BROADCAST_HDR;

　　typedef DEV_BROADCAST_HDR *PDEV_BROADCAST_HDR;

　　在該結構體中，主要看的是dbch_devicetype，也就是設備的類型。如果設備類型為DBT_DEVTYP_VOLUME，則把當前結構體轉換為DEV_BROADCAST_VOLUME結構體，該結構體定義如下：

　　typedef struct _DEV_BROADCAST_VOLUME {

　　DWORD dbcv_size;

　　DWORD dbcv_devicetype;

　　DWORD dbcv_reserved;

　　DWORD dbcv_unitmask;

　　WORD dbcv_flags;

　　} DEV_BROADCAST_VOLUME;

　　typedef DEV_BROADCAST_VOLUME *PDEV_BROADCAST_VOLUME;

　　在該結構體中，主要看的是dbcv_unitmask和dbcv_flags。dbcv_unitmask通過位表示邏輯盤符，第0位表示A盤，第1位表示B盤。dbcv_flags表示受影響的盤符或媒介，其值為0時表示U盤或移動硬盤。

　　上面介紹了WM_DEVICECHANGE消息，由于是在MFC下進行開發的，因此可以使用OnDeviceChange（）消息響應函數來代替WM_DEVICECHANGE消息。雖然使用了OnDeviceChange（）消息響應函數而沒有使用WM_DEVICECHANGE，但是響應函數的附加參數與WM_DEVICECHANGE相同。OnDeviceChange（）函數定義如下：

　　afx_msg BOOL OnDeviceChange（ UINT nEventType, DWORD dwData ）；

　　3. 通過OnDeviceChange（）消息獲得被插入U盤的盤符

　　下面使用MFC下的OnDeviceChange（）消息響應函數來編寫一個獲取被插入U盤的盤符的小程序，為編寫U盤防火墻做簡單的準備工作。首先來添加消息映射，具體代碼如下：

　　BEGIN_MESSAGE_MAP（CUFirewallDlg, CDialog）

　　//{{AFX_MSG_MAP（CUFirewallDlg）

　　ON_MESSAGE（WM_DEVICECHANGE, OnDeviceChange）

　　ON_WM_SYSCOMMAND（）

　　ON_WM_PAINT（）

　　ON_WM_QUERYDRAGICON（）

　　//}}AFX_MSG_MAP

　　END_MESSAGE_MAP（）

　　在頭文件中添加消息響應函數的定義，具體如下：

　　// Generated message map functions

　　//{{AFX_MSG（CUFirewallDlg）

　　afx_msg BOOL OnDeviceChange（UINT nEventType, DWORD dwData）； // 消息響應函數

　　virtual BOOL OnInitDialog（）；

　　afx_msg void OnSysCommand（UINT nID, LPARAM lParam）；

　　afx_msg void OnPaint（）；

　　afx_msg HCURSOR OnQueryDragIcon（）；

　　//}}AFX_MSG

　　最后添加消息響應函數的實現，具體代碼如下：

　　BOOL CUFirewallDlg::OnDeviceChange（UINT nEventType, DWORD dwData）

　　{

　　if （ nEventType == DBT_DEVICEARRIVAL ）

　　{

　　PDEV_BROADCAST_HDR pDevHdr = （PDEV_BROADCAST_HDR）dwData;

　　if （ pDevHdr->dbch_devicetype == DBT_DEVTYP_VOLUME ）

　　{

　　PDEV_BROADCAST_VOLUME pDevVolume = （PDEV_BROADCAST_VOLUME）pDevHdr;

　　// pDevVolume->dbcv_flags 為 0 表示為 U 盤

　　if （ pDevVolume->dbcv_flags == 0 ）

　　{

　　CString DriverName;

　　char i;

　　// 通過將 pDevVolume->dbcv_unitmask 移位來判斷盤符

　　DWORD dwUnitmask = pDevVolume->dbcv_unitmask;

　　for （i = 0; i < 26; ++i）

　　{

　　if （ dwUnitmask & 0x1）

　　{

　　break;

　　}

　　dwUnitmask = dwUnitmask 》 1;

　　}

　　if （ i >= 26 ）

　　{

　　return ;

　　}

　　DriverName.Format（“檢測到的 U 盤盤符為： %c \r\n”, i + 'A‘）；

　　// 顯示盤符

　　MessageBox（DriverName）；

　　}

　　}

　　}

　　}

　　將其編譯連接并運行，插入一個U盤，得到如圖3所示的提示。

　　圖3  檢測到的U盤盤符

　　上面的這段代碼可以將其封裝為一個函數，封裝后的函數定義如下：

　　VOID GetDriverName（DWORD dwData）；

　　在使用類似DBT_DEVICEARRIVAL的以DBT_開頭的宏時，應包含頭文件“dbt.h”文件。

　　4. U盤防火墻的完善

　　前面已經獲得了被插入U盤的盤符，接下來就可以對U盤上的Autorun.inf文件進行分析，并刪除要運行的程序，還可以安全地打開U盤。改寫OnDeviceChange（）函數，以實現要完成的功能，具體代碼如下：

　　BOOL CUFirewallDlg::OnDeviceChange（UINT nEventType, DWORD dwData）

　　{

　　if （ nEventType == DBT_DEVICEARRIVAL ）

　　{

　　GetDriverName（dwData）；

　　MessageBox（DriverName）；

　　if （ DriverName != “” ）

　　{

　　m_SafeOpen.EnableWindow（TRUE）；

　　CString File = DriverName;

　　File += “\\autorun.inf”;

　　char szBuff[MAX_PATH] = { 0 };

　　if （ GetFileAttributes（File.GetBuffer（0）） == -1 ）

　　{

　　m_SafeOpen.EnableWindow（FALSE）；

　　return FALSE;

　　}

　　// 獲取 open 后面的內容

　　GetPrivateProfileString（“AutoRun”,“open”,

　　NULL,szBuff,MAX_PATH,File.GetBuffer（0））；

　　CString str;

　　str = “是否刪除：”;

　　str += szBuff;

　　if （ MessageBox（str, NULL, MB_YESNO） == IDYES ）

　　{

　　// 刪除要執行的文件

　　DeleteFile（str.GetBuffer（0））；

　　}

　　}

　　}

　　else if （ nEventType == DBT_DEVICEREMOVECOMPLETE ）

　　{

　　m_SafeOpen.EnableWindow（FALSE）；

　　}

　　return TRUE;

　　}

　　安全打開U盤的實現代碼如下：

　　void CUFirewallDlg::OnBtnSafeopen（）

　　{

　　// TODO: Add your control notification handler code here

　　ShellExecute（NULL, “open”, DriverName.GetBuffer（0）， NULL, NULL, SW_SHOW）；

　　}

　　用DeleteFile（）函數刪除U盤中要運行的程序可能會失敗，因為有時U盤并沒有完全準備好。可以通過判斷來完成，但這里就不給出代碼了，大家可自行修改完成。代碼中涉及兩個新的API函數，分別是GetPrivateProfileString（）和ShellExecute（）。這兩個函數的功能分別是獲取配置文件中指定鍵的鍵值、運行指定的文件或文件夾。

　　在上面的程序中，通過提示讓用戶選擇是否要刪除U盤中要被執行的文件。如果用戶對此并沒有太多的了解和認識的話，很有可能不刪除。如果刪了本不該刪的文件，那么用戶對該軟件的友好感便會降低。應該如何做呢？應該建立一個白名單和黑名單，無論是通過散列進行比較，還是通過文件名進行比較，都可以。當然，越精確的匹配方法越好。這樣，就可以提早為用戶進行判斷了，然后給出一個安全建議，這樣不但提高了軟件的友好度，而且會顯得相對較為專業。