Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
ardkl



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123 спасибо
BakLAN NOD удалил, а Dr.Web 5 помог

Всего записей: 86 | Зарегистр. 08-01-2010 | Отправлено: 13:48 25-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Жалко что без autorun.inf не получится иконку самого носителя изменить. Desktop.ini тут уже не действует.
Так бы намного нагляднее было. Не заходя на флешку. Нет иконки - уже что то не так...

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 13:49 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Я ничего не понял, потому что на моей домашней ОСи (Windows XP x64) Panda на локальных дисках написала папочки с именами Autorun.inf:
   
На Windows 7 x64 она не хочет этого делать. На полеченных Windows XP SP3 - тоже.
Единственное, что выяснил нового, это то, что если установлен антивирь DrWeb, в его мониторе есть функция защиты от автозапуска на сменных носителях. Поэтому вакцинировать флешки мне удалось сегодня лишь сняв соответствующую галочку в настройках монитора. Но, что касается ЖД-кофф, как я ни пытался менять настройки, какие галочки не снимал (единственное лишь, не выгружал монитор), соответствующая папка так и не появилась на локальных дисках. Попробую в следующий раз выгрузить его нафик и вакцинировать.
 
Добавлено:
ardkl

Цитата:
NOD удалил, а Dr.Web 5 помог

Это дело другое.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 20:55 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN - Панда создает не папку, как на скриншоте, а "неведому зверушку" - не файл и не папку, а нечто с запрещенным атрибутом 0х40 и размером 16 байт - его нельзя ни удалить, ни просмотреть, ни войти в него, ни отредактировать - ничего нельзя.  
То что на скриншоте - создано не Пандой, а вероятнее всего USB Disk Security (пункт Asquire immunity - это именно о нем вы говорили).  
 
dimbat - да, действительно жаль. Один из моих первых опытов в этой области заключался в том, что на флешке я создавал свой файл autorun.inf , прописывал свою иконку, и надеялся по ее отсутствию  определить наличие вируса. Буквально через несколько дней я поймал на эту флешку вирус, который просто дописал в файл autorun.inf все что ему нужно было запустить, не затронув секцию иконки - таким образом метод себя не оправдал.
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 21:12 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Хм.... USB Disk Security вроде создаёт "zhengbo.", а не "immunity.", как я думал, а оказалось действительно, что Panda не удаляет эти "файло-папки". Просто в последней версии USB Disk Security по-видимому изменилось название, а я этого и не заметил. Получается, что так оно и есть, как Вы говорите. В общем, не знаю почему, но мне изначально почему-то казалось, что Panda тоже должна их создавать. Тупо не прочитал под кнопочкой, на что она действует.
В связи со всем вышесказанным вопрос. Насколько полезно и актуально создание подобных "файло-папок" с неправильным аттрибутом именно на ЖД? Посколько это вроде бы присутствует в AUTOSTOP`Е, я так понимаю, что полезно, только точно не в курсе, создаёт ли скрипт его и на ЖД. Спасибо.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 22:02 25-02-2010 | Исправлено: BakLAN, 22:06 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
Получается, что так оно и есть, как Вы говорите

Хорошо что разобрались.
 

Цитата:
Насколько полезно и актуально создание подобных "файло-папок" с неправильным аттрибутом?  

 
Это без сомнения актуально - вирусы пока не умеют этого обходить. По крайней мере мне известна лишь одна пробная разработка (название афишировать не буду), я тестировал ее - она пытается обойти пандовскую защиту - но не может.  
 
А вот насчет полезности - сказать никто не может -  согласно FAT32 File System Specification, более известной как FATGEN (в контексте защиты флешек с FAT) существуют следующие атрибуты:

File attributes:
ATTR_READ_ONLY 0x01
ATTR_HIDDEN 0x02
ATTR_SYSTEM 0x04
ATTR_VOLUME_ID 0x08
ATTR_DIRECTORY 0x10
ATTR_ARCHIVE 0x20
ATTR_LONG_NAME ATTR_READ_ONLY | ATTR_HIDDEN | ATTR_SYSTEM | ATTR_VOLUME_ID
The upper two bits of the attribute byte are reserved and should always be set to 0 when a file is created and never modified or looked at after that.

 
Панда же выставляет некорректный атрибут 0x40, которого нет в спецификациях
   
WinHex, например, при открытии такой флешки, ругается на некорректность. Возможно если в критической ситуации дойдет дело до чекдиска - неизвестно как он среагирует (у меня несколько раз было что чекдиск после нахождения ошибок пытался их исправить - в итоге вся информация на винчестере была аккуратно порезана на кусочки размером 16Кб с расширением *.chk, с которыми уже ничего нельзя было сделать).
 
Так что тут палка о 2 концах. И для защиты разделов ЖД я бы точно не советовал Панду.
 

Цитата:
Посколько это вроде бы присутствует в AUTOSTOP`Е, я так понимаю, что полезно, только точно не в курсе, создаёт ли скрипт его и на ЖД.

Нет - в AUTOSTOP другой принцип защиты: скрипт (аналогично USB Disk Security) создает обычный  каталог с именем AUTORUN.INF с более усложненной структурой подкаталогов с некорректными именами (против удаления) и иконкой-индикатором. Если каталог AUTORUN.INF будет переименован - иконка исчезнет - что будет служить признаком заражения. Этот способ намного эффективнее, нагляднее и удобнее обычного способа, применяемого в USB Disk Security и ряде подобных программ. Его можно смело рекомендовать как для защиты флешек, так и для защиты разделов ЖД.
 
 
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:30 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Так что тут палка о 2 концах. И для защиты разделов ЖД я бы точно не советовал Панду.

Почему? Она ведь на ЖД ничего не создаёт... Насколько я понял, Панда создаёт автораны лишь на сменных носителях и в реестре отключает возможные способы автозапуска (?)
 

Цитата:
Так что тут палка о 2 концах.

Т.е. исходя из возможной реакции chkdsk, лучше не некорректный аттрибут, а некорректное имя? К стати, как chkdsk может отреагировать на него?
 

Цитата:
Этот способ намного эффективнее, нагляднее и удобнее обычного способа, применяемого в USB Disk Security и ряде подобных программ.

Почему бы тогда не добавить в скрипт возможность писать и на локальные диски autorun.inf c некорректными именами подпапок?

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 22:57 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
Насколько я понял, Панда создаёт автораны лишь на сменных носителях

Верно. Но теоретически можно попробовать из командной строки с указанием конкретного диска.
 

Цитата:
исходя из возможной реакции chkdsk, лучше не некорректный аттрибут, а некорректное имя

Исходя из многих соображений лучше второе.
 

Цитата:
К стати, как chkdsk может отреагировать на него?  

На некорректный атрибут - никто не знает как.  
На некорректное имя файла никак не реагирует.
 

Цитата:
Почему бы тогда не добавить в скрипт возможность писать и на локальные диски autorun.in

Такая возможность есть в скрипте изначально: AUTOSTOP создает папку AUTORUN.INF в корне того диска, с которого он запущен. Нужно флешку защитить - записали файл autostop.2.6.exe на флешку, запустили оттуда, и выбрали пункт 2. Нужно диск C - записали  на C и проделали ту же процедуру.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:12 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
теоретически можно попробовать из командной строки с указанием конкретного диска.

Пробовал - не катит.

Цитата:
AUTOSTOP создает папку AUTORUN.INF в корне того диска, с которого он запущен.

То, что я хотел услышать. А то в Readme.txt всё о флехах, да о флехах. Я и посчитал, что на ЖД ничего не создаёт. В общем, я ещё потестю этот скрипт. За инфу спасибо.
 
P.S. К стати метод "ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ" сугубо IMHO - извращение и может быть полезен разве что для вставки флешки в систему, которая изначально известно нашпигована разного рода "жильцами". Ведь флешка тем и удобна, что быстро и удобно "писать-читать-удалять". А каждый раз после изменения данных на ней запускать скрипт и ждать в зависимости от объёма флешки по меньшей мере не рационально. К стати, что будет, если скрипт запущен с ЖД и запустить метод "ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ"? Надеюсь, не будет писать на ЖД?

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 23:28 25-02-2010 | Исправлено: BakLAN, 23:29 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
"ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ" сугубо IMHO - извращение

Извращение конечно - но реально работающее и весьма полезное извращение.
 

Цитата:
что будет, если скрипт запущен с ЖД и запустить метод "ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ"? Надеюсь, не будет писать на ЖД?

Люблю вопросы заключающие в себе ответ - забъет винт полностью, оставив 0 байт свободного пространства.
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:54 25-02-2010 | Исправлено: Serhiy123, 23:55 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
забъет винт полностью, оставив 0 байт свободного пространства.

Бомба... застрелиццо...
 
Только что иммунизировал локальные диски. Только вот сразу после запуска, скрипт чёт подматеривается:

Цитата:
'chcp' is not recognized as an internal or external command, operable program or batch file.
Кроме того AUTORUN.INF без труда вручную переименовывается в любое другое имя. Разве это есть нормально?  

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:14 26-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN - спасибо, проверю -  возможно в 7 другой синтсаксис команды chcp.
 

Цитата:
AUTORUN.INF без труда вручную переименовывается в любое другое имя. Разве это есть нормально

абсолютно нормально: индикатор исчезает при переименовывании - не заметили? Почитайте подробно о скрипте AUTOSTOP - там все расписано с картинками.  
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 00:37 26-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
возможно в 7 другой синтсаксис команды chcp

У меня Windows XP x64 SP2
 

Цитата:
индикатор исчезает при переименовывании - не заметили?

Заметил-заметил. И читал тоже. Только получается, что вирь может переименовать этот авторан и прописать свой. Т.е. весь смысл получается в индикаторе информирующем заражена ли флешка. А в случае USB Disk Security, когда авторан с некорректным аттрибутом, его изменить, получается, нельзя, а значит вирь не запишет свой авторан. Следовательно, каждый выбирает какую защиту выбирать К стати, chkdsk всегда делает изменения в случае некорректного аттрибута или только в некоторых случаях? Помнится, я проде бы запускал проверку, но никаких конфликтов с существующими авторанами не было. Снова надо ставить USB Disk Security и тестить...

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:50 26-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
весь смысл получается в индикаторе информирующем заражена ли флешка

Совершенно верно.
 

Цитата:
в случае USB Disk Security, когда авторан с некорректным аттрибутом, его изменить, получается, нельзя, а значит вирь не запишет свой авторан

Специально поставил сейчас USB Disk Security чтобы проверить ваше утверждение - вы перепутали его действия с Пандой. USB Disk Security, как и AUTOSTOP,  создает каталог AUTORUN.INF (и делает его скрытым) с подкаталогом "immunity." или "zhengbo." (в зависимости от версии) - все. Если вирус его переименовал - обычный пользователь (у которого по умолчанию отключен показ скрытых папок и файлов) ничего не узнает. Теперь подумайте еще раз над фразой "весь смысл получается в индикаторе" - возможно вы измените свое мнение.
 
Насчет чекдиска - как я уже говорил, я не могу предсказать его поведение в нештатной ситуации.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 10:22 26-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
весь смысл получается в индикаторе

Выходит действительно Панда эффективнее всего, со своим неубиваемым автораном.

Цитата:
дойдет дело до чекдиска

Нормально чекаются, спецом прогонял три флехи.
 
Serhiy123, Вы принципиально не хотите перехода на способы с кривыми атрибутами? Ведь обычный rename -  это реальная дыра во всей защите.

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 14:50 26-02-2010 | Исправлено: dimbat, 14:51 26-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat
Что касается принципиальности, то я за принцип наличия различных способов (любая альтернатива это плюс). Потому и тестирую различные программы, рассматривая их недостатки и достоинства (см. раздел "Ссылки по теме" у меня в ЖЖ).

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 15:04 26-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Я просто хотел выяснить одно: что всё же более надёжно. И мне показалось, что Ваш вариант с индикатором хорош, но он лишь информативен, а в случае с неправильным аттрибутом, получается ещё и недёжен. В случае с неправильным аттрибутом в autorun.inf ни зайти, ни посмотреть по F3, ни удалить, не переименовать его не получается. Следовательно, не лучше ли объединить оба способа: индикатор + неправильная папка и неправильный аттрибут autorun.inf ?
 
Ещё момент. Гадкий вирусописатель почитает Ваш ЖЖ и всунет в свой вирус команду:
rmdir /S "\\?\M:\AUTORUN.INF\"
Или что-то в этом роде и папка с неправильным именем удалиться. Или ещё проще - элементарное переименование и запись своего "заразного" autorun.inf.
 
Есть какая подобная команда, при помощи которой можно удалить нечто с неправильным аттрибутом?
 
dimbat

Цитата:
Выходит действительно Панда эффективнее всего, со своим неубиваемым автораном.

До сих пор не могу понять, чем она эффективнее, если на ЖД ничего не создаёт. А USB Disk Security как раз это делает - с неправильными аттрибутами. Мне видится наиболее удачным способом защиты:
1) AUTOSTOP - 1 ПУНКТ;
2) USB Disk Security - создание Autorun.inf на флешках и на всех локальных дисках. После этого прогу в принципе можно и удалять.
Вывод. Хотелось бы получить вышеуказанные 2 пункта в одной програме. Например, AUTOSTOP 3.0. ^)

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 15:58 26-02-2010 | Исправлено: BakLAN, 16:01 26-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
...на ЖД ничего не создаёт

Сейчас попробовал на съемном usb hdd с экспериментальным ntfs. Панда отработала, файла autorun.inf почему-то не видно, но и создать его теперь нельзя в корне. Эффективность подтверждена и на hdd.

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 17:09 26-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat
Да, для меня тоже загадка как работает Панда с NTFS. Интересно бы узнать.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 18:32 26-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat

Цитата:
с экспериментальным ntfs

 
Если оно экспериментально, не факт, что не возникнет никаких проблем. Ведь для NTFS и так есть достаточно надёжное решение. Да и большинство людей пользуются флешками даже не задумываясь о том, какая на ней файловая система, точнее даже не зная, что это такое.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 19:22 26-02-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru