Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?   Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:     1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.   Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.   2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.   Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.   Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.   3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.   Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.   Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!   Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007

kpuk Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору star3x А чем вакцина от Panda отличается от этой приблуды? ---------- Мой дед говорил ''делай добро и бросай его в воду, Оно не пропадёт, добром к тебе вернётся...'' Дружественный хостинг. Мой выбор! Всего записей: 1099 | Зарегистр. 07-03-2004 | Отправлено: 00:37 05-03-2011

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору star3x Цитата: Есть способ сделать "непробиваемый" autorun.inf. Его нельзя ни удалить, ни изменить, не переименовать. Нету такого способа и быть не может в принципе. Ничто не вечно под луной. Специфика винды такова, что на сегодняшний день это невозможно. И любой autorun.inf можно удалить.   Добавлено: kpuk Цитата:   программа получает прямой доступ к файловой системе флэшки и ищет объявление файла autorun.inf в таблице размещения файлов (File Allocation Table, она же — FAT). После этого программа меняет атрибут файла в этой таблице, в результате чего система начинает думать, что файл является служебной информацией.   Вот Вам и ответ. Это такой же аналог Панды. Цитата:   Такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать. А это означает, что когда такая флэшка будет вставлена в зараженный компьютер, вирус не сможет записать себя в автозагрузку. Да, он сможет скопировать себя на флэшку, но автоматически запуститься при подключении флэшки к компьютеру не сможет! Вот и весь фокус.   А вот это не совсем так. Всё зависит от вирусописателя. Подкованный в этом вопросе вирусописатель учтёт этот момент, его вирусняк сменит атрибуты на правильные и перепишет свой autorun.inf. Другое дело, что не каждый вирус такой "умный", но и не следует утверждать, что "такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать", потому как это не соответствует действительности. Даже исходя из логики элементарно то, что если файл можно создать каким-то образом, то таким же образом его можно и удалить. О! Читаю дальше: Цитата:   Данная защита, как, впрочем,  и какие-либо другие, относится к категории «временных». Почему? Да потому, что отморозки-вирусописатели хоть и отморозки, но вовсе не тупые. Это всего лишь вопрос времени, когда они додумаются добавить в код вирусов процедуру снимающую данную защиту. Но это произойдет не сейчас и, возможно, еще не скоро.   Автор сам признал, что вначале кривил душой. А далее сам понял, что сморозил вначале глупость: Цитата:   В любом случае, флэшки без аппаратной защиты от записи невозможно защитить на 100%.   Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 01:02 05-03-2011 | Исправлено: BakLAN, 01:12 05-03-2011

suomifinland Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ребята, а посоветуйте программу, которая защитила бы КОМПЬЮТЕР, от зараженных флэшек.. ---------- Мы на горе всем буржуям, мировой пожар раздуем... А.Блок. Всего записей: 5287 | Зарегистр. 16-04-2006 | Отправлено: 18:20 02-09-2011

EBG Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ты похоже не грамотная? Или ресницы длинные? А может в натуре блонди? Подними глаза, пост прямо над твоим....)))))))))))))))))) Всего записей: 111 | Зарегистр. 20-01-2010 | Отправлено: 17:10 27-09-2011

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: посоветуйте программу, которая защитила бы КОМПЬЮТЕР   AutorunCleaner - http://ali-k777.narod.ru/autoruncleaner.html Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 18:11 27-09-2011

Valdon Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ктонить разбирался с запуском программ через ярлыки со сменных носителей (Exploit.Cpllnk) ? Может кто выложит ссылку где про это подробно расписано, желательно на русском ?   Интересует можно ли както не используя заплатки от мелкомягких через реестр запретить запуск программ прописанных в теле ярлыка?     ЗЫ: Вопрос снят. Решение нашел здесь. Всего записей: 428 | Зарегистр. 25-07-2005 | Отправлено: 18:40 06-11-2011 | Исправлено: Valdon, 19:00 06-11-2011

triton4ik Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Решений много конечно, но ИМХО они все полумера. Лично я с времен XP форматирую flash под NTFS, создаю папку autorun.inf, ставлю на папку значёк какой нить, внутри autorun.inf создаю пару папок(одну внутри другой) и файл какой нить, ставлю права и атрибуты на запрет всего и вся и обязательно меняю владельца. В корне флэшки создаю пару папок и закрываю корень на запись, дозапись. Относительно всей флэшки - запрещаю выполнение программ. Итог: Если и попадет какой хитрый вирус, он так и не сможет запуститься и соответственно заразить компьютер, антивирусом впоследствии удалится. Остается только одна проблема - скриптовые вирусы vba, cmd, bat и msi но их как правило антивирус сразу находит. П.С.: Из всего, что попадалось, папку разблокировали (на ней значёк появлялся), но удалить так и не могли. Exe`шники ни какие не запускались с флэшки. //Рекомендую еще посмотреть в сторону Norton AntiBot (лицензия Sana Security) для установки на компьютеры всей организации, - уровень общего заражения резко снижается (работает совместо со всеми антивирусами). ---------- | RAPIDGET PRO | Всего записей: 476 | Зарегистр. 08-10-2006 | Отправлено: 19:57 06-11-2011

Valdon Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору del Всего записей: 428 | Зарегистр. 25-07-2005 | Отправлено: 15:41 07-11-2011 | Исправлено: Valdon, 17:07 07-11-2011

Viktor_Kisel Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А кто нибудь пробовал USB WriteProtector? http://www.gaijin.at/dlusbwp.php Всего записей: 2099 | Зарегистр. 01-02-2005 | Отправлено: 18:23 12-11-2011 | Исправлено: Viktor_Kisel, 18:23 12-11-2011

individym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тут яростно обсуждается защита fat и ntfs, а как защитить exFAT? Всего записей: 86 | Зарегистр. 14-03-2006 | Отправлено: 15:48 25-01-2012

Dazhdbog Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mkdir "\\?\%disk%:\AUTORUN.INF\LPT3" а подобную ерунду кто нибудь пробовал? или использование других системных имен? хотя сомневаюсь что это обеспечит хоть какую нибудь защиту, разве что от самых примитивных авторан вирусов. Всего записей: 18 | Зарегистр. 04-09-2007 | Отправлено: 09:40 13-02-2012

Sailorcat Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: В любом случае, флэшки без аппаратной защиты от записи невозможно защитить на 100%.   Как вариант. Руководство. Fbinst is a USB partition/format utility by Bean designed to provide maximum 'bootability' on all systems. There is also a GUI for this called FbinstTool (v1.605 is latest). It makes a non-standard hidden boot area which is not be accessible to most OS's, but may be useful if you want to 'hide' all your boot files from the OS. Создать Extended раздел макс. длины (предел 2ТБ) и оставить видимый для ОСи хвостик, в к. записать саму утилиту и остаток места забить через Линукс файлом с нулями. =) Всего записей: 50 | Зарегистр. 13-03-2002 | Отправлено: 09:30 22-07-2012 | Исправлено: Sailorcat, 09:53 22-07-2012

Sailorcat Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID] "AB007EC8-E2D4-4664-ACD9-1D059681F3DE"="" "DE4DF60F-0071-4F38-BBD7-2DD2E541886C"="" "346617CD-E9F1-4891-B1D1-FA3694F368E7"=""   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*setup*.exe"="" "*instal*.exe"="" "*setup*.bat"="" "*instal*.bat"="" "*setup*.cmd"="" "*instal*.cmd"="" "*setup*.com"="" "*instal*.com"="" "autorun.inf"=""   Всего записей: 50 | Зарегистр. 13-03-2002 | Отправлено: 05:53 08-08-2012 | Исправлено: Sailorcat, 05:56 08-08-2012

ZombieUA Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кто пользовался (тестировал) TrustPort USB Antivirus 2013??? отпишитесь ЛС  мне интересно защищает ли он флешку Всего записей: 102 | Зарегистр. 27-02-2012 | Отправлено: 17:52 07-09-2012 | Исправлено: ZombieUA, 19:31 14-09-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование