Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?   Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:     1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.   Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.   2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.   Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.   Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.   3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.   Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.   Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!   Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007

vpropisnoy Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А вот такое решение работоспособно? _http://www.3dnews.ru/storage/usb-flash-iocell-netdisk/ _http://www.iocellnetworks.com/solutions/castella.htm То есть, я так понял, можно получить рид онли флешку. Всего записей: 12 | Зарегистр. 27-12-2006 | Отправлено: 16:45 07-02-2009

adSka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору была беда с флэшками.... от запуска виря при вставке флэхи помогает отключение автозапуска на Всех дисках в gpedit.msc (в политике компа и политике узера), тч афтар страдает фигнёй изголяясь над autorun.inf. жаль, что при этом способе не блокируется запуск с сетевых дисков...   но работники продолжали таскать вири на флэхах как одноимённые .ехе файлы (узеру-то по%$#, что у картинки расширение ехе) и инфецированные игрухи. пришлось отключить всем флэхи и оставить только один комп на отдел с флэхами. На него поставили антивирь. вот это реально помогло. ЗЫ "а почему на всех компах антивири не стоят???!!!"   денег дайте - поставим. PPS ех,.. купить бы z-lock было бы повеселей... Цитата: Ага, а удалить папку или переименовать вирус не догадается ktotama неа, в программировании для этого юзаются разные методы, а писать вирь под все случаи ох как ленива... Всего записей: 130 | Зарегистр. 13-11-2006 | Отправлено: 17:34 07-02-2009 | Исправлено: adSka, 17:47 07-02-2009

infinitysys Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вот очень хорошая программка USB Disk Security   http://forum.ru-board.com/topic.cgi?forum=35&topic=40569#1 мне помогает     Всего записей: 143 | Зарегистр. 23-10-2006 | Отправлено: 20:29 08-02-2009

WSQ2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Защита от заражения флешки - ИМХО - использовать модели с переключателем Read-only     Более правильно защищать СВОЙ комп: цитата http://virusinfo.info/showthread.php?t=20291 Цитата: Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?   1 + 2 - классический подход - отключить через политики Windows. 3, 4, 5 - закрытие дыр в 1+2.   1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom Установить значение параметра AutoRun равным 0 и перезагрузиться.   2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer 'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная) Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.   3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf Дать строковому параметру (типа REG_SZ) со значением (не названием!) Код: @SYS:DoesNotExist Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.   [P.S.:   @ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре. SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]   4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files Создать строковый параметр типа REG_SZ с названием   Код: *.* (так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').   5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.   Paul Всего записей: 9 | Зарегистр. 21-11-2008 | Отправлено: 23:21 08-02-2009 | Исправлено: WSQ2, 23:24 08-02-2009

Kerk_PiRR Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Защита от заражения флешки - ИМХО - использовать модели с переключателем Read-only +1. Очень правильный вариант. Даже если у вас обычная флешка - что тут такого? Мне иногда флешки с вирусняком приносят и что? autorun.inf - идет лесом, ибо запуск его на компе запрещен. Антивирь в фоне работает - говорит что за дрянь принесли. Я же не больной запускать что то с флешки без проверки антивирем. В чем собственно повод для паники? Всего записей: 250 | Зарегистр. 08-12-2003 | Отправлено: 22:27 10-02-2009

vpropisnoy Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос в том, чтобы не пустить вирус на флешку. Т.е. вы со своей флешкой обходите несколько чужих компьютеров (незнакомых клиентов). Нужно не допустить распространения вируса на их машинах через вашу флешку. Переключатель рид онли лучший выход, но решение от iocell программное, я так понял. Неужели никто не пользовал, ну хотя бы по статье, какое ваше о ней мнение? Всего записей: 12 | Зарегистр. 27-12-2006 | Отправлено: 01:42 11-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Когда надоело на домашнем компе чистить флешку от вирусов, создал в корне флешки autorun.inf и папку Recycler и убрал доступ к ним дешево и сердито Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 09:50 11-02-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 kimp07 - порадовала приведенная вами ссылка - _ttp://www.siteguard.ru/p26.html Их flashprotect.bat - это один к одному слизанный мой AUTOSTOP.BAT version 1.6 (причем без указания авторства).   А вот AUTOSTOP version 2.0.1 я писал уже с учетом того, что вирусы научились переименовывать каталог AUTORUN.INF. Подробнее здесь - mechanicuss.livejournal.com/195192.html     Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 17:44 03-03-2009 | Исправлено: Serhiy123, 22:41 03-03-2009

balton Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ого .. блин о переименовании папки я и не подумал .. возьму на заметку ! Всего записей: 69 | Зарегистр. 20-12-2002 | Отправлено: 18:06 03-03-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 goodbro - хорошее описание файла autorun.inf     В Сети гуляет еще вот такой пример: Код:   [autorun] open = calc.exe shell\Open\Command=calc.exe shell\Open\Default=1 shell\Explore\Command=calc.exe shell\Autoplay\Command=calc.exe     При этом даже выбор Explore в меню диска вызывает калькулятор.   Но если на компьютере отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение' - то даже такой вариант не сработает (взято отсюда)   Более того - если все же хирый вирус модифицирует ваш файл autorun.inf, прописав себя вместо вашей программы - последствия могут быть плачевны.   У меня тоже была мысль насчет проверки контрольной суммы файла autorun.inf (см. начало ветки) - очень инересно было бы ознакомиться с вашим вариантом на практике.   2 paranoya prod - конструкция rd /s /q F:\AUTORUN.INF (где F - буква флешки) снесет непустой каталог AUTORUN.INF и не пикнет. Думаю что это известно не только мне, но и вирусописателям. Так что лучше создавать не просто "пустой файл", а файл или каталог с "некорректным именем" - то же LPT3.     Насчет же переименовывания ("Удалить папку или ее переименновать редкий авторановый вирус может. Я таких еще не встречал") - мне в обсуждении моего скрипта AUTOSTOP (см. здесь: Win32.HLLW.Autoruner.1018) описали наглядный пример - именно это и побудило меня писать версию 2 скрипта, базирующуюся на другом принципе.   И еще насчет NTFS  на флешке - бывает например, конкретная модель автомагнитолы или DVD-плеера читает только FAT. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:40 03-03-2009 | Исправлено: Serhiy123, 22:57 03-03-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vjunk Интересный способ! Можно ли подобным образом оформатировать флешку из-под Windows?   PS - по идее буде работать олько с флешками, размером не более 2 Гиг: ограничение на размер тома в FAT.   В FAT32 и в NTFS такого ограничения нет, но нет и ограничения на количество файлов  корневого каталога - так что там это не сработает. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 08:39 04-03-2009 | Исправлено: Serhiy123, 09:38 04-03-2009

vjunk Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Под Windows нужна программа форматирования, в которой можно задать произвольные параметры FAT. Я такую не знаю, хотя под DOS они были.   Большую флешку можно порезать на разделы по 2Гб Всего записей: 303 | Зарегистр. 23-02-2005 | Отправлено: 10:47 04-03-2009

Dialer777 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Где то пробегала инфа по поводу имени файла в Windows который создать можно, но потом удалить просто так невозможно, т.к. Винда его не может правильно инициализировать, а следовательно и удалить. Так вот поместив этот файл в нужную папку можно таким образом защитить эту папку от затирания. Конечно данный способ не избавляет от переименования папки. Но все таки.... Всего записей: 1242 | Зарегистр. 05-02-2007 | Отправлено: 19:36 04-03-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Защита флэшки от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование