Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN
О большей эффективности я говорил сравнивая с методом autostop-а. А уж как применить кривой атрибут, пандой или хекс-редактором, не принципиально.

Цитата:
не лучше ли объединить оба способа: индикатор + неправильная папка и неправильный аттрибут autorun.inf ?

А как Вы себе это представляете, если авторан станет неюзабельным в принципе, после атрибутного способа?  
Да и смысла нет в семафоре вообще никакого, пока авторан неубиваемый...

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 23:33 26-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Да и смысла нет в семафоре вообще никакого, пока авторан неубиваемый...

Вот именно! Я о чём и говорю. Если авторан неубиваемый, разве это не надёжнее, чем если он убиваемый? При всём уважении к автору AUTOSTOP`а, неубиваемый авторан надёжнее симафора. Переубедите меня кто-нибудь, если я неправ.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:53 27-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
Переубедите меня

Ну автор и не претендует на золотую медаль, он сам об этом писал. Он каталогизатор информации в первую очередь.
---
А вот совместить несовместимое - это к сожалению никак.

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 01:26 27-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А вот совместить несовместимое - это к сожалению никак.

Я специально к этому подвёл, чтобы кто-нибудь сам определил, что надёжнее, а то получилось бы, что это лишь моё, возможно, ошибочное мнение. Да и не в медали дело, а в том, чтобы сделать по возможности наиболее надёжную защиту от авторан-вирусов. К тому же на сайте прочитал, что метод записи на ЖД, как делает USB Disk Security - не надёжен. А получается, что наоборот - надёжнее, чем симафор. Написано, что Panda вроде как продвинутее того же USB Disk Security, который я снёл и перешёл на последнюю. Потом поюзал-поюзал, пока наконец-то при помощи автора AUTOSTOP`а не выяснил, что Panda не пишет на локальные диски автораны, а только на USB. Получается, то всё-таки Panda уступает проге USB Disk Security. А я было поверил написанному.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 01:36 27-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
Panda не пишет на локальные диски автораны

Зачем так кардинально то? Есть же отличный способ №1 из автостопа. И пусть вирь хоть обпишется в авторанах на лок.дисках - всё равно они уже без автозапуска.
А битые автораны в довесок - это чересчур маниакально

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 01:45 27-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А битые автораны в довесок - это чересчур маниакально

Так ведь вроде лишний раз перестраховаться не помешает. А насчёт первого способа от автостопа - это без вопросов.
 
Добавлено:
К стати пункты MountPoint2 в реестре часто сами восстанавливаются, поэтому, получается, что битые автораны уж не так и маниакальны...

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 01:59 27-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
MountPoint2

Ну, во-первых, Автостоп в эту ветку и не лезет (по крайней мере об этом ничего не сказано в №1).
Во-вторых, вирь в теории может и все остальные изменения реестра вернуть как ему надо.
Но Вы же ведете речь уже о локальных дисках в рабочей системе! Какой же дырявый должен быть антивирь/хипс, если такое допустит??? Да его в помойку тогда сразу! И даже не будем предполагать, что существует пользователь, который не устанавливает в систему антивирус и "патчит" автораны при этом - НОНСЕНС
Потом, существуют тысячи других вирей, которым авторан до лампочки. И этим патчем кардинально ничего не решишь. Ну чуть облегчите только работу антивируса, не более. И даже в качестве превентивной меры от автозапуска способ "номер раз" не особо необходим прям уж так, что уж там патч.
 
Поймите, в этой теме не ищут панацею от всего и вся. Тут пытаются максимально обезопасить именно ФЛЕШКИ/СЪЕМНЫЕ НОСИТЕЛИ, чтобы через них вири не распространялись далее. И изувеченный атрибутами авторан тут как раз самое оно, но только тут. Остальное - дело антивирусов.
А Вы зациклились на вакцине от одного из тысячи возможных способов заразить именно Вашу локальную систему! Позабыв о сабже начисто уже
 


----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 03:13 27-02-2010 | Исправлено: dimbat, 04:06 27-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat

Цитата:
А Вы зациклились на вакцине от одного из тысячи способов заразить именно Вашу локальную систему! Позабыв о сабже начисто уже

Не-не-не... ничего подобного. Ведь заражение происходит, как с зараженного компьютера - на флешку, так и с зараженной флешки на компьютер. В обоих случаях присутствуют файл autorun.inf как на флешке, так и на локальном(-ых) диске(-ах). Я лишь хочу как можно подробнее разобраться. И вот, что новое только что определил. Проверил только что три последних версии USB Disk Security. Оказывается я грубо ошибался. Эта прога не создаёт авторанов с неправильными аттрибутами. После создания этих файлов на локальных дисках и флешке я благополучно удалил их при помощи команды:

Код:
rmdir /S "\\?\диск:\AUTORUN.INF"

Следовательно никаких неправильных аттрибутов - лишь файлы с неправильными именами. Честно, сейчас не понимаю, почему я считал, что прога создаёт файлы именно с неправильными аттрибутами... а это всё меняет. Как раз Panda создаёт автораны с неправильными аттрибутами. Я же почему-то считал наоборот. Зато кое-что наконецто-то для меня прояснилось:
1) USB Disk Security - фтопку;
2) Пользуем 1 пункт от AUTOSTOP`а;
3) Пользуем Панду для вакцинации флях.
 
Остаeтся  вопрос: какая из прог пишет точно такие же автораны на локальные диски, как и Панда на флешки? Т.е. с неправильным аттрибутом. Насколько я понял, ни одна прога из перечисленных на ЖЖ автора автостопа такого не делает. Возникает следующий вопрос: почему? Может, из-за возможной реакции нa такого рода файлы проги chkdsk?

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 04:05 27-02-2010 | Исправлено: BakLAN, 04:09 27-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN
Дались же Вам эти локальные диски Как будто локальной защиты вовсе нет...
Ну создайте самостоятельно авторан и хекс-редактором далее. Вот здесь как раз такие же real maniacs экспериментируют

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 04:19 27-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat
Ага! Таки опередили меня! Я ещё не успел задать вопрос, а Вы уже на него ответили! Пойду маньячить в другую ветку. Если что вернусь. Спасибо.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 04:31 27-02-2010
PhoenixUA

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN
А чем не устроил метод с "@SYS:DoesNotExist"?

Всего записей: 2181 | Зарегистр. 17-11-2005 | Отправлено: 18:44 27-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PhoenixUA
А кто сказал, что не устроил? Благополучно вписал в реестр. Только часто замечаю, что после перезагрузки компа, оно пропадает из реестра.
 
Только что решил поковырять AUTORUN.INF, который создаёт Панда на фляхах. Не знаю, почему Serhiy123 писал, что она пишет ему атрибут 40, потому как у меня определился - 42. Может, зависит от версии или вообще случайным образом? К стати сам файл весит 16 байт, значит не пустой получается. В WinHex`е изменил атрибут 42 на 10, таким образом превратив AUTORUN.INF в папку. Внутри папки обнаружился файл:
   
По типу соответствует Microsoft Agent Character File (HTTP format). Кто-нибудь может рассказать, чё оно такое? К стати файл теперь по размеру 0 байт и соответственно папка AUTORUN.INF - 0 байт. Кто-нить объясните, почему 16 байт превратились в 0 байт и зачем Панда создала в папке этот странный файл, который к стати имеет корректное имя и удаляется без проблем?

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 19:07 27-02-2010 | Исправлено: BakLAN, 19:08 27-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё момент. Насколько я понимаю спецификация атрибутов для FAT32 отличается от NTFS. Как узнать коды атрибутов для NTFS?

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 23:04 27-02-2010
kpdozer



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые, а нет ли надежного способа защитить ПАПКУ от проникновения вирусов?
Вставил флешку в насквозь зараженный комп, чтоб от вирусов полечить, а он зараза мне все дистрибутивы перезаражал пока флешка там торчала.
Я так понимаю, редактированием прав на папку не обойдешься.
Или может какая нибудь программка есть, которая обеспечивает протекцию, а сама в авторане флешки сидит?

Всего записей: 73 | Зарегистр. 07-12-2007 | Отправлено: 00:39 09-06-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я так понимаю, редактированием прав на папку не обойдешься.

Как раз редактированием прав.  
 

Цитата:
Или может какая нибудь программка есть, которая обеспечивает протекцию, а сама в авторане флешки сидит?

Но как вариант, можете попробовать функцию программной защиты флешки от записи из моего AUTOSTOP. Правда "в авторане она не сидит". Принцип такой: сформировали себе флешку с дистрибутивами, запустили AUTOSTOP, и в пункте 3 меню выставили защиту на флешку.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 09:53 09-06-2010
kpdozer



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
запустили AUTOSTOP, и в пункте 3 меню выставили защиту на флешку

спасибо. удобная вещь. но вот хотелось бы чтобы после установки защиты была большая свобода действий. Точнее было бы хорошо не совершать дополнительных манипуляций, если я хочу обновить дистрибутивы или просто изменить какой либо файлик.

Всего записей: 73 | Зарегистр. 07-12-2007 | Отправлено: 19:01 09-06-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
было бы хорошо не совершать дополнительных манипуляций, если я хочу обновить дистрибутивы

В данном случае без "доп. манипуляций" не обойтись: сам принцип основан на том, что все свободное место на флешке заполняется файлами-пустышками (на флешке остается 0 байт свободного места). Но, чесно говоря, манипуляции при обновлении дистрибутивов не особо затруднительны: удалить один из файлов-пустышек (минимально необходимого размера), обновить дистрибутивы, и снова запустить пункт 3 скрипта - все.
 

Цитата:
хотелось бы ... была большая свобода действий

Например записывайте дистрибутивы на DVD-RW

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 19:17 09-06-2010
Kukishin

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Защищаем "флэшку"
http://www.archprogram.narod.ru/security.html

Всего записей: 72 | Зарегистр. 11-07-2006 | Отправлено: 22:25 31-08-2010
Eidar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kpdozer
Как я понимаю, способ должен работать на любой машине, причем запускать свой софт на них не подходит (чтобы его запустить, надо вставить флешку). Поэтому работаем с носителем.
Или ставим read-only на все сразу, или CD-RW.

Всего записей: 81 | Зарегистр. 31-05-2010 | Отправлено: 01:44 16-10-2010
Vlimiik



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А есть что-нибудь подобное антивирусу, который может запустится с внешнего насителя при его подключении к компьютеру?

Всего записей: 377 | Зарегистр. 11-08-2007 | Отправлено: 14:50 07-12-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru