Nếu thấy USB cắm vô máy thì khởi động cái AutoRunFixer này. Khi cái AutoRunFixer này chạy thì nó kiểm tra Autorun ở tất cả các ổ đã được người dùng đặt, trừ ổ CD.
 

Liệu có thể tạo một soft AV hoạt động dựa vào việc nhận biết các hoạt động đặc trưng của virus kô bác
 

+ Thay đổi một vài key trong registry để tự vệ, các chương trình bình thường kô bao giờ có chức năng này
 

+ Các loại worm thì luôn có chức năng tạo Autorun trong USB-> kiểm tra Autorun khi USB cắm vào máy.
 

+ Quét các port mà virus hay dùng, nếu phát hiện thì tìm và thông báo file đang sử dụng port đó.
 

+ Các file mầm .exe của virus luôn có icon hình cái folder -> kiểm tra icon của các file .exe trong folder người dùng mở.
 

Vậy lỡ khi AutoRun này là do người dùng "có hiểu biết" cố ý xài . Ví dụ họ muốn install 1 chương trình nào đó vào... 100 máy bằng USB, thế là tiết kiệm được khối thời gian với AutoPlay đó.  

Liệu có thể tạo một soft AV hoạt động dựa vào việc nhận biết các hoạt động đặc trưng của virus kô bác 

Các AV của thế giới và ngay cả của VN ( D32 là một ví dụ ) có vẻ như chưa thành công. Họ đã trang bị chức năng heuristic nhưng vẫn chưa chính xác lắm.  

+ Thay đổi một vài key trong registry để tự vệ, các chương trình bình thường kô bao giờ có chức năng này  

Nhưng nếu người dùng "cố ý" dùng chức năng này ? Như tiệm internet ? Disable để không cho quậy phá ? Bạn đừng nói "hãy dùng DeepFreeze đi", không phải ai cũng biết việc này hoặc thích dùng cách này 

+ Các loại worm thì luôn có chức năng tạo Autorun trong USB-> kiểm tra Autorun khi USB cắm vào máy.  

Cái này thì phát biểu cực kỳ theo cảm tính. Không phải các loại worm thì LUÔN có chức năng tạo AutoRun  

+ Các file mầm .exe của virus luôn có icon hình cái folder -> kiểm tra icon của các file .exe trong folder người dùng mở. 

Cái này phát biểu y như câu trên. Không phải loại nào cũng LUÔN có hình folder.
Ngoài ra, nếu dùng hình khác như Text File, Zip, JPEG... thì thế nào...  

Do bạn chưa tiếp xúc nhiều loại, đặt ra nhiều tình huống, làm sao vừa để phòng chống, vừa hợp với người dùng nên còn phát biểu cảm tính quá. Bảo mật luôn phải cân bằng với dễ sử dụng nhưng không thế nào chấp nhận việc "thấy icon folder, disable registry, mở port mà thông báo là virus được" 

Nếu người dùng có hiểu biết thì họ chỉ cần ấn một cái cancel rùi exit luôn cái AV để tiếp tục làm việc . Cái này sẽ rất hữa dụng cho những người kô hiểu biết mấy về virus, như mấy nhân viên văn phòng chỉ biết biết dùng word với Excel, những người thường xuyên ngồi ở 100 cái máy kia
 

Mà đối tượng bị dính virus kô phải là những người hiểu biết mà đa phần là những người kô hiểu biết vì thế muốn soft hoạt động có hiệu quả thì phải dựa theo thói quen dùng máy của những đối tượng này
 

Sao bác kô thử đi theo con đường này? đi theo con đương mà người khác chưa đi, hay chưa đi được là cách đến thành công vang dội nhất
 

Khắc phục bằng cách tạo chức năng chấp nhận sự thay đổi đó. Soft chỉ hiển thì những key bị thay đổi so với lần quét trước. Em cũng muốn có soft theo dõi sự thay đổi của registry mà kô biết tìm thế nào
 

nếu tạo ra Autorun trong USB thì 99,99% là worm
Kô phải tất cả Virus đều dùng icon hình cái folder nhưng nếu dùng thì cũng 99,99% là virus Các hình khác thì bỏ qua nhưng hình folder thì chắc chắn phải diệt
 

Em nghĩ đó là những biểu hiện thông thường, phổ biến nhất của virus, có thể chưa đủ nhưng tỷ lệ đúng là rất cao, kô thể bỏ qua
 

Tâm lý của người ít kinh nghiệm là gặp gì cũng "yes", hỏi có chạy file không, yes, yes yes... 

Bạn có chắc người "có hiểu biết" không bị dính virus ? Không phải lúc nào virus cũng "có process", nên có AV là 1 điều cần thiết  

Với mỗi lần quét, bạn snap registry lại. Sau đó so sánh giữa 2 lần quét, có khi là 1 ngày, bạn biết là giá trị registry thay đổi bao nhiêu không ? Tóm lại là càng phức tạp lại càng không hiệu quả 

Bạn đã khảo sát trên bao nhiêu loại Worm, trên 1000 chưa ?  

Tui vừa mới đọc qua một trang web, nói về chuyện kiểm tra log của các trình diệt, sau đó kiểm tra hệ thống quarantee của trình diệt và lấy mẫu con malware ra. Chuyện này vẫn còn tìm hiểu, mod nghiên cứu chuyện này, có thể nó giúp ít gì đó.
 

Adware 2007 của lavasoft, có chức năng kiểm tra host file của windows. Mod nghiên cứu thử chức năng này.
 

cả Autorun.inf lẫn .exe đây bác:
http://www.freewebtown.com/tauma/data/Test.zip

Hôm nay cắm USB test thử cái 1.1. Em thấy nó kô phát hiện ra Autorun trong USB bác ạ (. Em còn tạo thêm một cái Autorun ở ổ E và nó chỉ phát hiện ra 2 file Autorun.inf ở D và E thôi, nó vẫn kô phát hiện ra file .exe. Cái zip trên là cái đã em dùng để test.
 

Ghost Ship wrote:

cả Autorun.inf lẫn .exe đây bác:
http://www.freewebtown.com/tauma/data/Test.zip

Hôm nay cắm USB test thử cái 1.1. Em thấy nó kô phát hiện ra Autorun trong USB bác ạ (. Em còn tạo thêm một cái Autorun ở ổ E và nó chỉ phát hiện ra 2 file Autorun.inf ở D và E thôi, nó vẫn kô phát hiện ra file .exe. Cái zip trên là cái đã em dùng để test.
 

Hoàng đã upgrade lên phiên bản 1.2, hy vọng lỗi được chỉnh.

Những items nào được tô màu đỏ có nghĩa là file thực thi không tồn tại. Bạn có thể dùng "Check invalid" để chọn và xóa các file cùng lúc. 

Cơ bản là autorun mỗi device mỗi khác nhau, lưu lại là không ổn  

open=*.exe
shellexecute=*.exe
shell\Auto\command=*.exe 

Access violation at address 004f04a8 in module "AutoRunFixer.exe". read of address 00000004  

thât khong biet download nhu the nao ca
nhung tui thay cai nay cung hay nen co gang download ve dung the , ai de lam mai ma cha duoc, co ai bit thi chi dun di coi 

Mà cái dòng shell\Auto\command=*.exe có ý nghĩa gì thế bác Hoàng?
 

Khi delete nó chỉ delete file Autorun.inf chứ kô delete file *.exe
 

Mà trong properties -> File Version của cả 3 phiên bản đều ghi 1.0.0.0
 

Mà cái dòng shell\Auto\command=*.exe có ý nghĩa gì thế bác Hoàng?
 

Bạn search google để biết ý nghĩa của dòng này

Khi delete nó chỉ delete file Autorun.inf chứ kô delete file *.exe
 

Quyết định delete file thực thi hay không là ở người dùng. Chương trình có tên là AutoRun FIXER, mục đích là fix những file autorun nào bị lỗi không double-click mở ổ đĩa ra được.

Mà trong properties -> File Version của cả 3 phiên bản đều ghi 1.0.0.0
 

Cái này không quan trọng, quan trọng là version ở chương trình chính. 

Bạn thử dùng bản 1.3 xem còn bị lỗi trên không.
Link download như cũ:
http://fasthelper.fire-lion.com/download/AutoRunFixer.exe  

LeVuHoang wrote:

Bạn thử dùng bản 1.3 xem còn bị lỗi trên không.
Link download như cũ:
http://fasthelper.fire-lion.com/download/AutoRunFixer.exe  

Ổn rồi bác ạ )

Cái chức năng "cấu hình" của FastHelper sử dụng thế nào bac Hoang ơi? chẳng thấy gì ở list cả. Hay là update lỗi ( lúc nãy update lâu kinh(mất khoảng 15')
 

GS, tmd: Đã hết bị lỗi chưa ?