在早期互联网还不发达的时候，病毒都是通过软盘、光盘等媒介进行传播的。到后来互联网被普及以后，通过互联网进行传播的病毒大面积地相继出现。虽然软盘已经被淘汰，但是并没有使移动磁盘的病毒减少。相反，U盘的普及使得移动磁盘对病毒的传播更加方便。U盘的数据传输速度和数据存储容量等多方面都比软盘要先进很多，因此，软盘可以传播病毒，U盘当然也可以传播病毒。

　　通过U盘来传播病毒通常是使用操作系统的自动运行功能，并配合U盘下的Autorun.inf文件来实现的。著名的“摆渡攻击”就是依靠此Autorun.inf来进行实施的。如果让操作系统不自动运行移动磁盘，或者保证移动磁盘下不存在Autorun.inf文件，那么通过U盘感染病毒的几率就小很多了。

　　1. 通过系统配置禁止自动运行

　　先来介绍如何通过系统配置禁止U盘中Autorun.inf的自动运行。通常情况下需要进行两方面的设置，一方面是通过“管理工具”中的“服务”来进行设置，另一方面是通过“组策略”来进行设置。一般这两处都需要进行修改。下面分别介绍如何对这两处进行设置。

　　先来看如何在“服务”中进行设置。首先打开控制面板中的“管理工具”，然后找到“服务”，将其双击打开。在服务列表中找到名称为“Shell Hardware Detection”的服务，双击该服务，打开“Shell Hardware Detection的属性”对话框。单击“停止”按钮将该服务停止，再把“启动类型”修改为“已禁用”状态，如图1所示。

　　图1  禁用“Shell Hardware Detection”服务

　　将服务中的“Shell Hardware Detection”禁用后，再对“组策略”进行设置。首先在“运行”中输入“gpedit.msc”，然后依次单击左边的树形控件“计算机配置”→“管理模板”→“系统”，再在右边双击“关闭自动播放”选项，弹出“关闭自动播放属性”对话框。在“设置”选项卡中选择“已启用”单选项，在“关闭自动播放”处选择“所有驱动器”选项，设置完成后单击“确定”按钮。再到左边的树形控件中选择“用户配置”→“管理模板”→“系统”，到右边找到“自动关闭播放”选项，设置方法同上，如图2所示。

　　图2  组策略中的“关闭自动播放”

　　通过以上设置，的确可以相对有效地保护计算机不中U盘相关的病毒。不过，不能因此而满足，因为目的是打造一个U盘防御的软件。

　　2. 打造一个简易的U盘防御软件

　　这里打造一个U盘防火墙，当插入U盘时会有提示，并且自动检查U盘下是否有Autorun.inf文件，并解析Autorun.inf文件。除此之外，通过U盘防火墙可以打开U盘，从而安全地使用U盘。

　　如何才能知道有U盘被插入电脑呢？可以使用定时器不断地检查，也可以开启一个线程不断地检查，还可以通过Windows的消息得到通知。前两种方法笨了些，这里主动不断地检查是否有U盘插入，不如被动地等待Windows的消息来通知。

　　在Windows下有一个消息可以通知应用程序计算机配置发生了变化，这个消息是WM_ DEVICECHANGE。消息过程定义如下：

　　LRESULT CALLBACK WindowProc（

　　HWND hwnd,

　　UINT uMsg,

　　WPARAM wParam,

　　LPARAM lParam

　　）；

　　该消息通过两个附加参数来进行使用，其中wParam表示设备改变的事件，lParam表示事件对应的数据。要得到设备被插入的消息类型，因此wParam的取值为DBT_DEVIC EARRIVAL，而该消息对应的数据类型为DEV_BROADCAST_HDR，该结构体的定义如下：

　　typedef struct _DEV_BROADCAST_HDR {

　　DWORD dbch_size;

　　DWORD dbch_devicetype;

　　DWORD dbch_reserved;

　　} DEV_BROADCAST_HDR;

　　typedef DEV_BROADCAST_HDR *PDEV_BROADCAST_HDR;

　　在该结构体中，主要看的是dbch_devicetype，也就是设备的类型。如果设备类型为DBT_DEVTYP_VOLUME，则把当前结构体转换为DEV_BROADCAST_VOLUME结构体，该结构体定义如下：

　　typedef struct _DEV_BROADCAST_VOLUME {

　　DWORD dbcv_size;

　　DWORD dbcv_devicetype;

　　DWORD dbcv_reserved;

　　DWORD dbcv_unitmask;

　　WORD dbcv_flags;

　　} DEV_BROADCAST_VOLUME;

　　typedef DEV_BROADCAST_VOLUME *PDEV_BROADCAST_VOLUME;

　　在该结构体中，主要看的是dbcv_unitmask和dbcv_flags。dbcv_unitmask通过位表示逻辑盘符，第0位表示A盘，第1位表示B盘。dbcv_flags表示受影响的盘符或媒介，其值为0时表示U盘或移动硬盘。

　　上面介绍了WM_DEVICECHANGE消息，由于是在MFC下进行开发的，因此可以使用OnDeviceChange（）消息响应函数来代替WM_DEVICECHANGE消息。虽然使用了OnDeviceChange（）消息响应函数而没有使用WM_DEVICECHANGE，但是响应函数的附加参数与WM_DEVICECHANGE相同。OnDeviceChange（）函数定义如下：

　　afx_msg BOOL OnDeviceChange（ UINT nEventType, DWORD dwData ）；

　　3. 通过OnDeviceChange（）消息获得被插入U盘的盘符

　　下面使用MFC下的OnDeviceChange（）消息响应函数来编写一个获取被插入U盘的盘符的小程序，为编写U盘防火墙做简单的准备工作。首先来添加消息映射，具体代码如下：

　　BEGIN_MESSAGE_MAP（CUFirewallDlg, CDialog）

　　//{{AFX_MSG_MAP（CUFirewallDlg）

　　ON_MESSAGE（WM_DEVICECHANGE, OnDeviceChange）

　　ON_WM_SYSCOMMAND（）

　　ON_WM_PAINT（）

　　ON_WM_QUERYDRAGICON（）

　　//}}AFX_MSG_MAP

　　END_MESSAGE_MAP（）

　　在头文件中添加消息响应函数的定义，具体如下：

　　// Generated message map functions

　　//{{AFX_MSG（CUFirewallDlg）

　　afx_msg BOOL OnDeviceChange（UINT nEventType, DWORD dwData）； // 消息响应函数

　　virtual BOOL OnInitDialog（）；

　　afx_msg void OnSysCommand（UINT nID, LPARAM lParam）；

　　afx_msg void OnPaint（）；

　　afx_msg HCURSOR OnQueryDragIcon（）；

　　//}}AFX_MSG

　　最后添加消息响应函数的实现，具体代码如下：

　　BOOL CUFirewallDlg::OnDeviceChange（UINT nEventType, DWORD dwData）

　　{

　　if （ nEventType == DBT_DEVICEARRIVAL ）

　　{

　　PDEV_BROADCAST_HDR pDevHdr = （PDEV_BROADCAST_HDR）dwData;

　　if （ pDevHdr->dbch_devicetype == DBT_DEVTYP_VOLUME ）

　　{

　　PDEV_BROADCAST_VOLUME pDevVolume = （PDEV_BROADCAST_VOLUME）pDevHdr;

　　// pDevVolume->dbcv_flags 为 0 表示为 U 盘

　　if （ pDevVolume->dbcv_flags == 0 ）

　　{

　　CString DriverName;

　　char i;

　　// 通过将 pDevVolume->dbcv_unitmask 移位来判断盘符

　　DWORD dwUnitmask = pDevVolume->dbcv_unitmask;

　　for （i = 0; i < 26; ++i）

　　{

　　if （ dwUnitmask & 0x1）

　　{

　　break;

　　}

　　dwUnitmask = dwUnitmask 》 1;

　　}

　　if （ i >= 26 ）

　　{

　　return ;

　　}

　　DriverName.Format（“检测到的 U 盘盘符为： %c \r\n”, i + 'A‘）；

　　// 显示盘符

　　MessageBox（DriverName）；

　　}

　　}

　　}

　　}

　　将其编译连接并运行，插入一个U盘，得到如图3所示的提示。

　　图3  检测到的U盘盘符

　　上面的这段代码可以将其封装为一个函数，封装后的函数定义如下：

　　VOID GetDriverName（DWORD dwData）；

　　在使用类似DBT_DEVICEARRIVAL的以DBT_开头的宏时，应包含头文件“dbt.h”文件。

　　4. U盘防火墙的完善

　　前面已经获得了被插入U盘的盘符，接下来就可以对U盘上的Autorun.inf文件进行分析，并删除要运行的程序，还可以安全地打开U盘。改写OnDeviceChange（）函数，以实现要完成的功能，具体代码如下：

　　BOOL CUFirewallDlg::OnDeviceChange（UINT nEventType, DWORD dwData）

　　{

　　if （ nEventType == DBT_DEVICEARRIVAL ）

　　{

　　GetDriverName（dwData）；

　　MessageBox（DriverName）；

　　if （ DriverName != “” ）

　　{

　　m_SafeOpen.EnableWindow（TRUE）；

　　CString File = DriverName;

　　File += “\\autorun.inf”;

　　char szBuff[MAX_PATH] = { 0 };

　　if （ GetFileAttributes（File.GetBuffer（0）） == -1 ）

　　{

　　m_SafeOpen.EnableWindow（FALSE）；

　　return FALSE;

　　}

　　// 获取 open 后面的内容

　　GetPrivateProfileString（“AutoRun”,“open”,

　　NULL,szBuff,MAX_PATH,File.GetBuffer（0））；

　　CString str;

　　str = “是否删除：”;

　　str += szBuff;

　　if （ MessageBox（str, NULL, MB_YESNO） == IDYES ）

　　{

　　// 删除要执行的文件

　　DeleteFile（str.GetBuffer（0））；

　　}

　　}

　　}

　　else if （ nEventType == DBT_DEVICEREMOVECOMPLETE ）

　　{

　　m_SafeOpen.EnableWindow（FALSE）；

　　}

　　return TRUE;

　　}

　　安全打开U盘的实现代码如下：

　　void CUFirewallDlg::OnBtnSafeopen（）

　　{

　　// TODO: Add your control notification handler code here

　　ShellExecute（NULL, “open”, DriverName.GetBuffer（0）， NULL, NULL, SW_SHOW）；

　　}

　　用DeleteFile（）函数删除U盘中要运行的程序可能会失败，因为有时U盘并没有完全准备好。可以通过判断来完成，但这里就不给出代码了，大家可自行修改完成。代码中涉及两个新的API函数，分别是GetPrivateProfileString（）和ShellExecute（）。这两个函数的功能分别是获取配置文件中指定键的键值、运行指定的文件或文件夹。

　　在上面的程序中，通过提示让用户选择是否要删除U盘中要被执行的文件。如果用户对此并没有太多的了解和认识的话，很有可能不删除。如果删了本不该删的文件，那么用户对该软件的友好感便会降低。应该如何做呢？应该建立一个白名单和黑名单，无论是通过散列进行比较，还是通过文件名进行比较，都可以。当然，越精确的匹配方法越好。这样，就可以提早为用户进行判断了，然后给出一个安全建议，这样不但提高了软件的友好度，而且会显得相对较为专业。