Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
XINSIDE



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Купил себе картриадер и флэшку MicroSD c переключателем защиты от записи - _http://ultraprice.by/product21119-cat37-gl9-pr185.html

Всего записей: 329 | Зарегистр. 12-12-2005 | Отправлено: 14:41 07-06-2009
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kermit

Цитата:
создает в корне флешки файл autorun.inf, с которым ничего нельзя сделать (скопировать, открыть, удалить изменить) стандартными средствами ОС  

дык под администратором меняешь владельца файла на себя и делай с ним что угодно
а под админами 80-90 процентов пользователей работают

Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 15:22 07-06-2009
Refugee

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lovec123

Цитата:
меняешь владельца файла на себя

утилита только для FAT, она ставит файлу FILE_ATTRIBUTE_DEVICE, после чего с ним через API ничего не сделать - драйвер FAT для Windows не дает.

Всего записей: 513 | Зарегистр. 31-03-2004 | Отправлено: 19:20 07-06-2009
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
после чего с ним через API ничего не сделать - драйвер FAT для Windows не дает.

а что, у вас администратор не имеет права становиться владельцем файлов?  

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 19:40 07-06-2009
XINSIDE



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:после чего с ним через API ничего не сделать - драйвер FAT для Windows не дает.  
 
 
а что, у вас администратор не имеет права становиться владельцем файлов?  

А как стать владельцем файла в файловой системе FAT? Это актуально только для NTFS, если я не ошибаюсь.

Всего записей: 329 | Зарегистр. 12-12-2005 | Отправлено: 19:46 07-06-2009 | Исправлено: XINSIDE, 19:46 07-06-2009
ysb



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Купил себе картриадер и флэшку MicroSD c переключателем защиты от записи - _http://ultraprice.by/product21119-cat37-gl9-pr185.html

а что у "флэшки" цена реально 18 т.р. ???

Всего записей: 447 | Зарегистр. 19-12-2005 | Отправлено: 22:01 07-06-2009
XINSIDE



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а что у "флэшки" цена реально 18 т.р. ???

Это цена в Минске картридера в бел. рублях.

Всего записей: 329 | Зарегистр. 12-12-2005 | Отправлено: 22:23 07-06-2009
lovec123

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
точно молодцы пандоване и форматировать в ntfs необязательно

Всего записей: 2734 | Зарегистр. 26-02-2007 | Отправлено: 22:46 07-06-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kermit - я же ее и выложил, а сделал ее по моей просьбе __x_tra.  
Ссылки здесь - http://mechanicuss.livejournal.com/195192.html (кстати, там же в разделе ссылок немало утилит для защиты компьютера от autorun-вирусов).
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 18:29 09-06-2009
anpsoft2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
оффтоп но вынужденный
с флешкой я еще кое как определился и с вами обсудил что делать
но ударили в другое место  
 
кто нибудь знает способ как вернуть на этом форуме украденный аккаунт ?
я про свой давний anpsoft
я человек открытый в инете, при малейшем желании можно все найти и понять что я это я
 
увы ветку http://forum.ru-board.com/topic.cgi?forum=13&topic=2189&start=900#lt  администрация видимо не читает
уже полмесяца толку нет
 

Всего записей: 17 | Зарегистр. 15-06-2009 | Отправлено: 21:44 15-06-2009
veryom



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anpsoft2

Цитата:
кто нибудь знает способ как вернуть на этом форуме украденный аккаунт ?

Напишите в личку модераторам.
 

Цитата:
с флешкой я еще кое как определился и с вами обсудил что делать

Защитить флешку от вирусов, тем более флешку легкого поведения, невозможно, да и неправильно. Защищать нужно машины. Машину защитить легко - SRP + работа под ограниченной учтеной записью.

Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 21:58 15-06-2009
anpsoft2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в той теме один из модераторов сказал что это компетенция админа а его нет
 
 
а по теме - это хорошо когда машина под вашим контролем, ваша личная или она член сети которую вы контролируете
 
а если комп чужой вообще
или вы ее просто потеряли ?
 
 
кстати  
кто что думает по такому поводу
 
я бы очень хотел иметь такую вот флешку:
флешка с встроенным Bluetooth метров на 4-5
в кармане Bluetooth карта размером с кредитку с скрытой областью
 
одна такая флешка на вашем компе
вторая дома
 
а с 3й можно в гости ходить
но добраться к скрытому разделу с паролями и другой важной информацией можно только если вы рядом и в кармане карта
 
заодно если это комп ваш рабочий а то и домашний, можно настроить вход только при наличии рядом карты, стоит вам отойти - выход в выбор пользователя
подошли - автовход
 
 
 
как вариант все это можно на базе обычныз Bluetooth адаптеров и сотового телефона который по идее всегда при вас организовать
 
 

Всего записей: 17 | Зарегистр. 15-06-2009 | Отправлено: 22:11 15-06-2009
Leninxxx

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не знаю как вы, господа, а я защиту флешки решил достачно просто. Защита конечно не 100% но тем не менее.
 
Для начала необходим том NTFS на носителе. В корне создаем файл autorun.inf и удаляем с него права на запись для всех. В том числе для админов и системы.
 
Отныне никакой процесс не сможет переписать этот файл, а т.к. фирусы используют для запуска именно этот файл - то даже если вирь и заберется на флешку, то не запустится, пока не запустишь его ручками. А вот с удалением тел вирусов прекрасно справляются некоторые антивири(рекламировать не буду, у каждого свой доктор)

Всего записей: 339 | Зарегистр. 31-03-2004 | Отправлено: 22:19 15-06-2009
anpsoft2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ntfs отпадает - есть компы с 98 увы еще
 
сделать файл неубиваемым - тут как то проскакивала утилитка
да и каждый кто умеет на низком уровне работать сможет в корень записать файл который ОС не сможет убить
 
 
 
кстати пришло в голову
если таки флешка под ntfs
на все ставим доступ полный только под владельцем
владелец - экзотичное имя и сложный пароль
а на компе дома и на работе настроенный RUNAS запускающий к примеру тотал под именем того самого владельца
 
недостаток только тотал не записать на саму флешку

Всего записей: 17 | Зарегистр. 15-06-2009 | Отправлено: 22:28 15-06-2009
Leninxxx

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
да и каждый кто умеет на низком уровне работать сможет в корень записать файл который ОС не сможет убить

Если я ничего не путаю, то если на файл НИ У КОГО не будет доступа RW, то и перезаписать его не сможет никто. Разве только владелец зайдет и поставит права. На самом деле эта схема у меня справляется последние 4 месяца...
 

Цитата:
недостаток только тотал не записать на саму флешку

где-то видел портативную сборку.
Только я не пойму к чему так заморачиваться?

Всего записей: 339 | Зарегистр. 31-03-2004 | Отправлено: 00:06 16-06-2009
anpsoft2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
записать можно минуя систему
например временно запустив свой драйвер
занести в фат недопустимые атрибуты например
так собственно говоря и делает та утилитка о которой я упоминал
 
 
 

Всего записей: 17 | Зарегистр. 15-06-2009 | Отправлено: 00:18 16-06-2009
Leninxxx

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
занести в фат недопустимые атрибуты например

На фат это вообще неработает. Способ только для NTFS.
 
В теории несомненно можно подменить драйвер, тем самым переписать все что угодно и без прав, но я, к счастью, таких вирусов пока не видел...
Да и вообще, если подходить к этому вопросу так серьезно - то НИКАКАЯ защита вас не спасет. Запомните, ВСЕ что вы делаете(не только защита флешек или мегадлинный пароль на вход в систему) можно либо сломать, либо обойти(знаю точно, ломал и обходил много чего). Вот только если руководсвоваться этой логикой, то надо комп отрубить от сети, отключить ему дивидюк, флоп, все юсб, и клаву с мышкой на всякий случай(а то вдруг злой хакер виря прям на нем напишет? А?) системник закрыть в сейф, а сейф отвезти в лес и закопать чтобы никто не видел где, а после самому застрелиться. Ну или стереть себе последние 2 недели памяти. Тогда можно не бояться вирусов 100%.
 
 
Добавлено:

Цитата:
Защитить флешку от вирусов, тем более флешку легкого поведения, невозможно, да и неправильно. Защищать нужно машины.

Вот самое правильно решение.

Всего записей: 339 | Зарегистр. 31-03-2004 | Отправлено: 01:22 16-06-2009
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
побеждать вирус надо комплексно
с одной стороны антивирь, с другой автостоп, с третьей пароли...  
только тогда есть надежда что вирус "споткнётся" о какую-нибудь  
из выставленных ловушек... однозначное спасибо участникам беседы,
а тем более авторам дельных советов и программ...

----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 16:56 14-07-2009
Ksanderash

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вот и мой опыт. Читал много всякого (вирусинфо, харахабр, осзон), суммируя все прочитанное пришел к следующему.
 
Во-первых, установить программку Panda USB and AutoRun Vaccine
 
Во-вторых, добавить в реестр информацию из reg-файла со след. содержимым:

Код:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можно запретить изменения каждого из этих ключей через права доступа.

Всего записей: 2141 | Зарегистр. 10-11-2005 | Отправлено: 02:33 26-07-2009 | Исправлено: Ksanderash, 02:36 26-07-2009
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вот и моя ложечка
 
Подробнее...

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 13:33 26-07-2009 | Исправлено: attaattaatta, 13:33 26-07-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru