Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
Bujnyj

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот вроде нашел интересное решение по защите флешки от вирусов  
http://firemaster.ucoz.ru/load/programmy/bezopasnost/zashhita_fleshki_ot_virusov/10-1-0-69

Всего записей: 1 | Зарегистр. 29-05-2007 | Отправлено: 13:04 11-12-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bujnyj - это и есть принцип действия AUTOSTOP.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 13:39 11-12-2010
eptkno

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
привет всем, нужна ваша помощь, есть флешка на 16 гб, в ней вирус точно, не важно как узнал но я узнал, одна в папке fish другая даже путь скажу: H:\carry\jIm.exe, удалить я не могу их ибо как только я прикасаюсь к файлам курсором (1 раз кликаю), вся флешка виснет, и показывает 0 кб на ней, так же при любой операции через файл менеджеры или антивирусы, она сразу виснет, если ее вытащить и вставить то она опять полноценно работает, опять же до тех пор пока не начну делать то что писал выше, через Total Commander получилось залезть на флешку, там у меня 2000 песен, они все нужны, получилось начать копирование, но как только начинает копироваться, виснет процесс копирования, вытаскиваешь и вставляешь флешку жму повторить, он ту песню которая зависла ДОКОПИРЫВАЕТ и на след. зависает, и так сидел тыкал флешку туда сюда, 100 песен скинул, надоело)) решил спросить можно как нибудь исправить это? форматировать еще не пробовал так как то что лежит на флешке нужно скопировать, прихоть не моя давно бы уже попробовал форматнуть, помогите кто чем может

Всего записей: 8 | Зарегистр. 30-12-2010 | Отправлено: 16:05 30-12-2010
vzar



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
eptkno, Вы ошиблись темой, см. Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения. В частности: Dr.Web CureIT! и/или AVPTool

Всего записей: 6924 | Зарегистр. 31-07-2009 | Отправлено: 16:22 30-12-2010
Sraboti

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как лишить вирус возможности создать файл autorun.inf (вообще любой файл) в корне флешки с FAT:  
   
 Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.  
 Выполняем такую последовательность команд (все данные при этом будут уничтожены!):  
 
Код:
 umount /dev/sdc1  
 mkdosfs -r 16 /dev/sdc1  
 mount /dev/sdc1 /media/disk  
 cd /media/disk  
 touch `perl -e 'print "X" x 160'`  
 mkdir Documents  
 cd /  
 umount /dev/sdc1  
 
   Вынимаем флешку, втыкаем её в компьютер с виндовс. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".  
   
 В чём смысл этих действий?  
 В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины (16 элементов) и заняв почти все их длинным именем файла (160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится.

У меня не сработал этот способ
в корневой директории можно создавать сколько угодно других папок и файлов
Да и не совсем понятно откуда взята цифра 160 и как она сочетается с папкой Documents. Так получается 160 символов Х, и 9 символов папки "Documents" = 169 (?)
Какой предел-то?
 
зы Флешка - 2Гб.

Всего записей: 124 | Зарегистр. 24-04-2007 | Отправлено: 19:29 07-02-2011 | Исправлено: Sraboti, 19:50 07-02-2011
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sraboti

Цитата:
У меня не сработал этот способ

 
Используйте программную защиту флешки от записи в моем AUTOSTOP - для FAT самое то.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 20:00 07-02-2011
Sraboti

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AUTOSTOP не защищает от носительства, - не годится.
 
Вот форматирование в FAT16 с '-r 16'  - интересный вариант, но по моему что-то просто напутано с цифрами...

Всего записей: 124 | Зарегистр. 24-04-2007 | Отправлено: 20:07 07-02-2011
vjunk

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sraboti
Добавь к вызову mkdosfs ключ -F 16:

Код:
mkdosfs -F 16 -r 16 /dev/sdc1

Для больших разделов mkdosfs создаёт FAT32, а для неё размер корневого каталога не ограничен, нужно явно указывать FAT16.

Всего записей: 303 | Зарегистр. 23-02-2005 | Отправлено: 23:39 07-02-2011
FIZIK



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На пустом месте проблемы нашли. На своем компьютере автозапуск отрублен правильно? Ну тогда чего боятся? Правой кнопкой щелкаеш в проводнике по флешке, если основное действие не "Открыть" а "Автозапуск", значит подселился червячек. Ничего страшного тут же кликаеш на "Открыть" (Будет ниже) и сносиш все подозрительные файлы. Опции "Показывать скрытые и системные файлы" в проводнике надо включать. И все.

Всего записей: 193 | Зарегистр. 09-08-2004 | Отправлено: 07:59 08-02-2011
AXVill



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FIZIK
Не все так просто. И пункт "Открыть" можно спокойно подменить.
Первые версии (от китайчегов) палились тем, что подменяли его на иероглифы.
Согласен в одном - этой теме в обед сто лет, а до сих пор тут идут бурления, хотя любой нормальный антивирь (от дяди Жени, например) блочит автозагрузку со сменных носителей и предлагает осуществить проверку на обнаруженном устройстве. Даже быстрые варианты для ленивого предлагают.
Но идея AUTOSTOP мне всегда нравилась.

Всего записей: 320 | Зарегистр. 22-09-2005 | Отправлено: 11:47 08-02-2011
FIZIK



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
И пункт "Открыть" можно спокойно подменить.  

Можно поподробнее с этого места.  Каким образом неактивный червь при отключеном авторане может подменить контекстное меню?

Всего записей: 193 | Зарегистр. 09-08-2004 | Отправлено: 19:25 08-02-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Создаем на флэшке каталог с именем autorun,inf, аттрибуы ему ставим только на чтение и  скрытый. На 90% будет защита от создания  файла autorun,inf, а значит и от автозапуска вирей, даже если сам вирь, то есть его exe файл,  на флэху записался.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 10853 | Зарегистр. 10-12-2003 | Отправлено: 22:09 08-02-2011 | Исправлено: ipmanyak, 22:10 08-02-2011
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Последние версии вирусов тупо переименуют твой каталог.
Panda USB Vaccine поможет в этом случае.

Всего записей: 8696 | Зарегистр. 08-06-2006 | Отправлено: 22:36 08-02-2011
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Engaged Clown Ну я ж сказал, на 90% будет защита, а не на 100. Не каждый вирус проверяет права на чтение и меняет их их.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 10853 | Зарегистр. 10-12-2003 | Отправлено: 23:42 08-02-2011
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Автору Автостопа. А почему Вы не хотите добавить в скрипт отключения автозапуска в реестре удаление ключей mountpoints ? Почему бы не добавить это в AUTOSTOP? Вот, например, не помню уже кто и когда выложил скрипт, но в нём это есть:
 
 
noAutorun.vbs

Код:
 
'**************************  
'*** AutorunDisabled ******  
'**************************  
Dim WSHShell  
Set WSHShell = wscript.CreateObject("wscript.Shell")  
'******************************************  
'**** Добавляем записи в реестр ***********  
'******************************************  
 
'отключаем автозагрузку через политики Windows  
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"  
 
'отключаем автозагрузку через политики Windows  
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"  
 
'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются  
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"  
 
'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой  
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""  
 
'*************************************************  
'**** Удаление MountPoints2 из реестра ***********  
'*************************************************  
 
'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).  
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"  
Return = WshShell.Run(Command, 0, true)  
 
Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"  
Return = WshShell.Run(Command, 0, true)  
 
Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"  
Return = WshShell.Run(Command, 0, true)  
 
Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"  
Return = WshShell.Run(Command, 0, true)  
 
Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"  
Return = WshShell.Run(Command, 0, true)  
 
WSHShell.Popup "Автозагрузка успешно отключена"  
 

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 21:55 22-02-2011 | Исправлено: BakLAN, 21:57 22-02-2011
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN
 
Потому что давненько уже не брался за скрипт. Теоретически можно было бы добавить, но практически не знаю доберусь ли когда-нибудь до этого.
 
По авторству - наработки по MountPoints были у Paul - скорее всего это его код.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:06 22-02-2011
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Забросили значит своё творение? Печально.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 22:13 22-02-2011
grh1

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
по совету BakLAN установил 1п + 2п автостопа + поставил панду. А флеха все-равно автозапускается. В чем проблема?
 

Всего записей: 576 | Зарегистр. 30-03-2009 | Отправлено: 15:06 23-02-2011
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
grh1
Какая система? 7-ка? В 7-ке наверное надо под админом скрипт запускать. А также, для пущей уверенности, можно залезть в реестр и проверить действительно ли внесены изменения. А то у меня на ХР х64 был прикол, что данные в реестр тупо не хотели вноситься, пока вручную их не вписывал.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 16:45 23-02-2011
andrejka k

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста, а если есть флэшка с данными (отформатированная в NTFS), то поможет ли этот способ в случае, если создать в корне папку DATA, переместить в нее все имеющиеся данные, а затем применить к этой папке все аттрибуты из инструкции. Такая схема используется для того, чтобы избежать лишних действий по удалению имеющихся данных и последующему копированию их в созданную папку DATA. Ведь, вроде бы, нет разницы, были данные до создания папки или их не было. Главное, чтобы в корне была только одна папка, на которую устанавливаются соответствующие ограничения.
Заранее спасибо.

Всего записей: 1055 | Зарегистр. 13-05-2003 | Отправлено: 15:50 25-02-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru