本机盗取闪存中的文件
FlashDiskThief(闪存窥探者)是一个在后台盗取闪存中文件的小软件。当在某台电脑主机上运行了这个软件后,只要有闪存接上这台电脑,那么闪存中的所有文件资料都将被悄悄拷贝到指定的文件夹中。
由于安装软件者可以任意指定存放资料的文件夹路径(如在局域网中),因此盗取资料的工作是非常隐蔽的,攻击者可以轻松得到闪存中的所有重要资料,而闪存的主人却毫无知觉。
1.监视闪存,顺手牵羊
在公司、企业或学校的公用电脑上,常有许多使用者在上面使用自己的闪存,进行打印或资料编辑等操作。有的用户比较谨慎,一般不会在上面打开自己的重要文件,只是将电脑上的某些文件拷贝到自己的闪存上,但这样仍然躲不过被盗取机密文件的命运。
盗取者可能会在公用电脑上运行FlashDiskThief,软件运行后首先指定盗取文件的存放位置(图1)。盗取者一般会将文件路径设置得比较隐蔽,如放在系统的临时文件夹“C:\Windows\Temp”目录中,这样不易引起别人的怀疑。
图 1
接着点击界面中的“开始”按钮,软件就会自动监视USB接口了。当任何一个用户将闪存接到USB口时,软件就会开始工作,将闪存中的所有文件复制到刚才指定的临时文件夹中。
2.销声匿迹,隐藏界面
当然,盗取者不会让这个软件明目张胆地运行、行窃,他们会对软件进行一些设置,如取消对“提示复制完成”选项的选择,当软件将闪存中的文件复制完成后就不会显示提示信息。
勾选“窗口完全隐藏”选项后,点击“隐藏”按钮,将不显示软件运行界面,软件会在后台以进程的形式运行,别人就不易发现自己的资料被窃取了。可以勾选“复制完成,自动结束程序”选项,复制完成后程序进程会自动结束,即使用户有所怀疑,也无法在进程列表中发现任何蛛丝马迹。
提示:当FlashDiskThief以隐藏方式运行时,只要程序未自动结束进程,用户还是可以在资源管理器的进程列表中看到一个名为“FDskThief.exe”的进程。盗取者很可能会修改程序文件名(如“SVCHOST.exe”),这样就不容易被用户发现。如图2所示,其中用户名为“puma_xy”的“SVCHOST.exe”进程,实际上就是闪存盗取工具的程序名,不易被识别。
图 2
3.绝对隐蔽,网内盗取
盗取闪存资料时,大多都是在局域网的办公环境中,可以通过指定文件的存储路径,使盗取行动更加隐蔽。
假设安装了FlashDiskThief程序的主机A,与盗取者的主机B位于同一局域网内。由于局域网内的安全工作并不是很严密,盗取者很可能通过各种方法入侵A主机,然后在A主机上安装盗取软件,并在设置资料的保存路径时,直接设置为B主机上的某个文件夹,这样盗取者就可等着FlashDiskThief将别人的资料传过来。
FlashDiskThief下载地址:http://www2.77169.org/Soft/Class2/Class63/200505/19475.html
自动盗取闪存中的文件
刚才所介绍的FlashDiskThief程序在盗取闪存资料时,要求盗取者必须手动运行软件一次,软件才能开始工作。每次都要启动软件是很麻烦的,而且很容易被别人发现。能否让盗取工具在主机启动后,就自动在后台开始盗取工作呢?
我们可以自己编写一个这样的实用工具,当然你不用掌握任何编程知识,也不用使用特别的代码编写和程序编译工具就可完成。我们只要用记事本写一段小小的VBS脚本代码就可以了。
1.编写VBS脚本代码
VBS脚本代码虽然简单,但却有非常强大的功能。我们通过调用几个注册表和文件对象,就可以轻松撰写一个盗取闪存中资料的小脚本文件。
打开记事本程序,将一段代码写入记事本中(代码下载地址:http://www.nl297.com/cpcw/1.rar)。
在代码中的“c:\windows\temp\”是指定的文件保存路径,可根据需要修改。“i:\*”用于指定闪存的盘符。最后,将这段代码保存为“daoqu.vbs”文件。
2.安插间谍
在要盗取闪存数据的主机上运行刚才制作的“daoqu.vbs”即可。VBS脚本运行后,在资源管理器的进程列表中会显示一个名为“Wscript.exe”的进程。该进程会自动监视闪存,每隔一分钟对闪存中的文件进行一次复制,并保存在指定的位置。
只要手动运行脚本一次,就可在注册表启动项中添加一个启动键值,每次开机时会自动运行刚才制作的脚本,实现闪存数据的自动盗取。
怎么样,是不是觉得在闪存中存放数据并不安全?以后,最好不要将存放着重要数据文件的闪存随意拿到别人的电脑上使用,同时一定要在自己的电脑上也作好安全防范工作,避免被不怀好意者装上盗窃软件。
防范措施
用户应该在使用闪存之前,先检查一下系统中是否有一些不正常的进程正在运行。如果发现异常进程,就应该将它结束掉,这样就可以防范本文所介绍的第一种盗窃方法。
对于第二种盗窃方法,同样可以查看是否有不正常的“Wscript.exe”进程在运行,或者直接安装防火墙并打开防火墙的脚本监控,就可以防止VBS脚本的运行了。