本機盜取閃存中的文件

　　FlashDiskThief(閃存窺探者)是一個在后臺盜取閃存中文件的小軟件。當在某臺電腦主機上運行了這個軟件后，只要有閃存接上這臺電腦，那么閃存中的所有文件資料都將被悄悄拷貝到指定的文件夾中。

　　由于安裝軟件者可以任意指定存放資料的文件夾路徑(如在局域網中)，因此盜取資料的工作是非常隱蔽的，攻擊者可以輕松得到閃存中的所有重要資料，而閃存的主人卻毫無知覺。

　　1.監視閃存，順手牽羊

　　在公司、企業或學校的公用電腦上，常有許多使用者在上面使用自己的閃存，進行打印或資料編輯等操作。有的用戶比較謹慎，一般不會在上面打開自己的重要文件，只是將電腦上的某些文件拷貝到自己的閃存上，但這樣仍然躲不過被盜取機密文件的命運。

　　盜取者可能會在公用電腦上運行FlashDiskThief，軟件運行后首先指定盜取文件的存放位置(圖1)。盜取者一般會將文件路徑設置得比較隱蔽，如放在系統的臨時文件夾“C:\Windows\Temp”目錄中，這樣不易引起別人的懷疑。

圖 1

　　接著點擊界面中的“開始”按鈕，軟件就會自動監視USB接口了。當任何一個用戶將閃存接到USB口時，軟件就會開始工作，將閃存中的所有文件復制到剛才指定的臨時文件夾中。

　2.銷聲匿跡，隱藏界面

　　當然，盜取者不會讓這個軟件明目張膽地運行、行竊，他們會對軟件進行一些設置，如取消對“提示復制完成”選項的選擇，當軟件將閃存中的文件復制完成后就不會顯示提示信息。

　　勾選“窗口完全隱藏”選項后，點擊“隱藏”按鈕，將不顯示軟件運行界面，軟件會在后臺以進程的形式運行，別人就不易發現自己的資料被竊取了。可以勾選“復制完成，自動結束程序”選項，復制完成后程序進程會自動結束，即使用戶有所懷疑，也無法在進程列表中發現任何蛛絲馬跡。

　　提示:當FlashDiskThief以隱藏方式運行時，只要程序未自動結束進程，用戶還是可以在資源管理器的進程列表中看到一個名為“FDskThief.exe”的進程。盜取者很可能會修改程序文件名(如“SVCHOST.exe”)，這樣就不容易被用戶發現。如圖2所示，其中用戶名為“puma_xy”的“SVCHOST.exe”進程，實際上就是閃存盜取工具的程序名，不易被識別。

圖 2

　　3.絕對隱蔽，網內盜取

　　盜取閃存資料時，大多都是在局域網的辦公環境中，可以通過指定文件的存儲路徑，使盜取行動更加隱蔽。

　　假設安裝了FlashDiskThief程序的主機A，與盜取者的主機B位于同一局域網內。由于局域網內的安全工作并不是很嚴密，盜取者很可能通過各種方法入侵A主機，然后在A主機上安裝盜取軟件，并在設置資料的保存路徑時，直接設置為B主機上的某個文件夾，這樣盜取者就可等著FlashDiskThief將別人的資料傳過來。

　　FlashDiskThief下載地址:http://www2.77169.org/Soft/Class2/Class63/200505/19475.html

　自動盜取閃存中的文件

　　剛才所介紹的FlashDiskThief程序在盜取閃存資料時，要求盜取者必須手動運行軟件一次，軟件才能開始工作。每次都要啟動軟件是很麻煩的，而且很容易被別人發現。能否讓盜取工具在主機啟動后，就自動在后臺開始盜取工作呢?

　　我們可以自己編寫一個這樣的實用工具，當然你不用掌握任何編程知識，也不用使用特別的代碼編寫和程序編譯工具就可完成。我們只要用記事本寫一段小小的VBS腳本代碼就可以了。

　　1.編寫VBS腳本代碼

　　VBS腳本代碼雖然簡單，但卻有非常強大的功能。我們通過調用幾個注冊表和文件對象，就可以輕松撰寫一個盜取閃存中資料的小腳本文件。

　　打開記事本程序，將一段代碼寫入記事本中(代碼下載地址:http://www.nl297.com/cpcw/1.rar)。

　　在代碼中的“c:\windows\temp\”是指定的文件保存路徑，可根據需要修改。“i:\*”用于指定閃存的盤符。最后，將這段代碼保存為“daoqu.vbs”文件。

　　2.安插間諜

　　在要盜取閃存數據的主機上運行剛才制作的“daoqu.vbs”即可。VBS腳本運行后，在資源管理器的進程列表中會顯示一個名為“Wscript.exe”的進程。該進程會自動監視閃存，每隔一分鐘對閃存中的文件進行一次復制，并保存在指定的位置。

　　只要手動運行腳本一次，就可在注冊表啟動項中添加一個啟動鍵值，每次開機時會自動運行剛才制作的腳本，實現閃存數據的自動盜取。

　　怎么樣，是不是覺得在閃存中存放數據并不安全?以后，最好不要將存放著重要數據文件的閃存隨意拿到別人的電腦上使用，同時一定要在自己的電腦上也作好安全防范工作，避免被不懷好意者裝上盜竊軟件。

　　防范措施

　　用戶應該在使用閃存之前，先檢查一下系統中是否有一些不正常的進程正在運行。如果發現異常進程，就應該將它結束掉，這樣就可以防范本文所介紹的第一種盜竊方法。

　　對于第二種盜竊方法，同樣可以查看是否有不正常的“Wscript.exe”進程在運行，或者直接安裝防火墻并打開防火墻的腳本監控，就可以防止VBS腳本的運行了。