Перейти к содержанию

Защита флешек от врусов с помощью SOFTa


Рекомендуемые сообщения

И снова мусолится эта старая тема..

 

"Сделать так, чтобы на флэшку не лезли вирусы" можно только сделав ее невидимой для всех форточек - например, отформатировав ее в "чужую" файловую систему )) Но тк на 90% компьютеров стоит винда - это не решение :) Обмануть вирусню можно было бы и монтируя флэшку без присвоения ей "буквы" (в любую папку на любом разделе - так называемые junсtion points), но это прокатывает только если ФС на usb-диске - ntfs, да и способ работает только на тех компах, где проведены предварительные настройки форточек. Ну а способ с защитой от записи - неудобен (ибо в корень писать нельзя, и по "Отправить" будет облом, и для памяти, например, плеера эта фишка не прокатит), да и работает он только при условии, что везде, куда вы суете свою флэшку, активный юзер не входит в группу "Администраторы", что тоже, увы, недостижимо. Так что 100% эффективного способа нет, и это уже стотысячпицот раз было сказано и писано. ОС Виндоуз не позволяет закрыть этот вопрос раз и навсегда (например, сделав автозапуск без выполнения инф-файлов).

 

Tаrаsitm, а в чем проблема? Защитить отдельно взятые компьютеры от авторан-вирусов вполне можно. Отключи форточный сервис "Определение оборудования оболочки" (Shеll hаrdwаrе dеtесtion) и забудь об автоматическом выполнении файлов аutorun.inf (разве что самому, ручками, теперь можно будет их запустить, и эту возможность можно исключить, например, настройкой списка разрешенных для запуска приложений в групповых политиках безопасности или твоем антивирусном комбайне). Ну а уж удалять теперь уже не страшных зловредов придется ручками, антивирусом или вообще не удалять:help:

Изменено пользователем Roman Merkushin
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 85
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

нет, если посмотрите внимательно на скрипт, то заметите, что в папке autorun.inf создается папка com1. Эту папку нельзя удалить обычными средствами т.к. она имеет недопустимое в windows системах имя.

отпишусь, почему выставил "не согласен"   USB Disk Security - фуфел (да простят меня форумчане). с неделю назад в медиацентре "гонял" малварей. самый часто встречающийся зверёк - Trojan-Downloader.W

Минимизировать - да. Но 100 % защиты, естественно, не даст. Сам в свое время интересовался этим вопросам - гарантированного рецепта нет.   P.S. Встречал где-то метод, использовавший постоянную запо

Posted Images

Споры - споры...

 

Создал 2 папки на флешке: autorun.inf\com1 и desktop.ini\com1 с атрибутами +s +h.

 

В результате ни одна зараза не смогла их удалить и вставить свой автозапуск. А то что они копируются в корень флешки - не беда, т.к. потом их вручную можно элементарно удалить.

 

Данный метод опробовал на нескольких своих знакомых - все довольны. Т.к. флешки постоянно используются в различных ЦОПах и чистыми быть никак не могут. А благодаря "неудаляемым" файлам, вирусы просто не могут с флешки себя проявить.

 

Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:

А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe?

Ссылка на сообщение
Поделиться на другие сайты
Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:

А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe?

С последним не согласен, ибо есть вирусня, которая косит под папки с таким-же названием, а настоящие прячет.

Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит :)

Ссылка на сообщение
Поделиться на другие сайты
Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:

А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe?

У меня нет, но желающие найдутся.

И ещё, есть вирусы которые заражают другие файлы. Например Sality. Цитата из описания:

Заражение файлов

 

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:

 

EXE

SCR

 

Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:

 

TEXT

UPX

CODE

 

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредонос копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:

 

%Temp%\__Rar\<имя запускаемого файла>.exe

В этом случае пользователь запустит нужную ему программу и ...

Поймите меня правильно, я не против, но пользователь должен понимать, что это далеко не панацея. Даже больше - это просто "костыль", который помогает, но не защищает. Понимаете, у некоторые пользователей создаётся иллюзия полной защиты.

Гораздо эффективней отключить автозапуск, работать под учётной записью с ограниченными правами и иметь нормальный, настроенный антивирус, а, да, чуть не забыл, пытаться думать.

Ссылка на сообщение
Поделиться на другие сайты
Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит
Вот только если у тебя не отключено выполнение autorun.inf и ты уже "увидел" ранее скрытую "неудаляемую" папку - то как бы "матрица тебя уже поимела"))) Изменено пользователем Roman Merkushin
Ссылка на сообщение
Поделиться на другие сайты
Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит

У меня стоит в системе отображение скрытых папок и данная папка видна всегда, независимо от наличия вирусов)

Ссылка на сообщение
Поделиться на другие сайты
Создал 2 папки на флешке: autorun.inf\com1 и desktop.ini\com1 с атрибутами +s +h.

Ну вот и развитие наметилось!

Уважаемый Kanaduchi! А не могли-бы Вы bat файл написать и выложить здесь?

Заранее спасибо. :)

 

 

Tаrаsitm, а в чем проблема? Защитить отдельно взятые компьютеры от авторан-вирусов вполне можно. Отключи форточный сервис "Определение оборудования оболочки" (Shеll hаrdwаrе dеtесtion) и забудь об автоматическом выполнении файлов аutorun.inf (разве что самому, ручками, теперь можно будет их запустить, и эту возможность можно исключить, например, настройкой списка разрешенных для запуска приложений в групповых политиках безопасности или твоем антивирусном комбайне). Ну а уж удалять теперь уже не страшных зловредов придется ручками, антивирусом или вообще не удалять:)

 

Спасибо Roman Merkushin! Ваши объяснения как всегда обстоятельны и убедительны! :)

Изменено пользователем tarasitm
Ссылка на сообщение
Поделиться на другие сайты
А не могли-бы Вы bat файл написать и выложить здесь?

Примерный батник GanK приводил:

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q "%~d0\System Volume Information"

del /f /q %~d0\autorun.*
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h +r %~d0\autorun.inf

 

Ну и дописать туда:

mkdir "\\?\%~d0\desktop.ini\com1"
attrib +s +h +r %~d0\desktop.ini

 

А в принципе, можно и форматировать в линуксовую ФС (пост 31). :) А на ненужной флешке носить Ext2Fsd. :)

 

И, опять же, это спасет (? - не проверял) только от авторан-вирусов.

Изменено пользователем valet
Ссылка на сообщение
Поделиться на другие сайты

Мой bat'ник с диалогами:

@echo off
ECHO.
ECHO ===========================
ECHO ====ANTI AUTORUN SCRIPT====
ECHO ====Kanaduchi @2010====
ECHO ===========================
ECHO.

set /p proc="Вы хотите активировать защиту вашего Flash устройства? [y/n] - "

if %proc% == y  (
rem Удаление всех лишних файлов
ECHO.
<nul set /p strTemp=Удаление ненужных папок и файлов.
if exist "%~d0\recycled" (
rd /s /q "%~d0\recycled" 
)
ping 127.1 -n 2 >nul 
<nul set /p strTemp=..
if exist "%~d0\recycler" (
rd /s /q "%~d0\recycler" 
)
ping 127.1 -n 2 >nul 
<nul set /p strTemp=..
if exist "%~d0\System Volume Information" (
rd /s /q "%~d0\System Volume Information" 
)
ping 127.1 -n 2 >nul 
<nul set /p strTemp=.. 
if exist "%~d0\desktop.ini" (
del /f /q "%~d0\desktop.ini"
)
ECHO OK
ECHO.

rem Создание папки с идентификатором com порта
<nul set /p strTemp=Создание системных директорий и файлов.
if exist "\\?\%~d0\autorun.inf\com1" (
goto next
) else (
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf
)
:next
ping 127.1 -n 4 >nul 
<nul set /p strTemp=...... 
rem Создание папки с идентификатором com порта
if exist "\\?\%~d0\desktop.ini\com1" (
goto next
) else (
mkdir "\\?\%~d0\desktop.ini\com1"
attrib +s +h %~d0\desktop.ini 
)
:next
ECHO OK
ECHO.
ECHO ---------------------------
ECHO.
ECHO Защита вашего FLASH устройства успешно активирована!
) 	
rem Удаление за собой всех лишних файлов
ECHO.
PAUSE
del /f /q %~d0\autorun.bat

Ссылка на сообщение
Поделиться на другие сайты
Мой bat'ник с диалогами:

Полный сервис, графический интерфейс! Большое спасибо Kanaduchi! :)

Как я понимаю, все учтено?

 

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------

 

А вот еще знакомые переслали инфо по этой теме. Два файла с расширением reg:

 

Файл №1 (NoAutoRun.reg), текст:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

 

Файл №2 (АбракадабраКодовойСтраницы.reg), текст:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage]

"1250"="c_1251.nls"

"1252"="c_1251.nls"

 

Как мне объяснили запуск этих файлов просто закрывает автозагрузку? Думаю, что это излишне и автозагрузку можно просто отключить из интерфейса Win?

Изменено пользователем tarasitm
Ссылка на сообщение
Поделиться на другие сайты
чёта у меня абракадабра в окошке
аналогично, вместо русских символов кракозябры, попробовал сохранять код в юникоде, тогда батник запускается и сразу же вылетвет :)
Ссылка на сообщение
Поделиться на другие сайты

apq ну там в принципе всё понятно и так. Создаётся две папки на флешке.

Просто удивило, что

Полный сервис, графический интерфейс! Большое спасибо Kanaduchi!

как я понял у человека всё нормально отобразилось.

 

Сделал надписи в транслитерации, теперь нормально :)

 

3195e7ae300d.png

Изменено пользователем Suren
Ссылка на сообщение
Поделиться на другие сайты

tаrаsitm, достаточно просто отключить службу "определение оборудования оболочки", остальные твики после этого теряют смысл.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...