Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goodbro
Значит отключен автозапуск в Windows. Думается мне, что  такой вариант не очень перспективен - т.к. пользователи все чаще отключают автозапуск, что есть хорошо.
 
Dialer777
Это уже пройденный этап - я использую такой метод в своем скрипте начиная с самой первой версии - см. mechanicuss.livejournal.com/195192.html  
 
А в новой версии 2 решена и проблема переименования каталога AUTORUN.INF

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:04 04-03-2009
ALLIGATORone



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Кхм, кхм )
Предлагаю потестить эту прогу http://ali-k777.narod.ru/autoruncleaner.html
PS: Это активный монитор флэшек.
Serhiy123
)

Всего записей: 36 | Зарегистр. 04-11-2007 | Отправлено: 21:00 05-03-2009
burin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALLIGATORone

Цитата:
PS: Это активный монитор флэшек.

для его использования нужны права админа? он портабельный?

Всего записей: 943 | Зарегистр. 13-02-2004 | Отправлено: 21:10 05-03-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALLIGATORone
Спасибо - всенепременно потестим, много о ней наслышан!

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 00:58 06-03-2009 | Исправлено: Serhiy123, 01:11 06-03-2009
ALLIGATORone



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
burin

Цитата:
PS: Это активный монитор флэшек.  
для его использования нужны права админа? он портабельный?

Нет. Да.

Всего записей: 36 | Зарегистр. 04-11-2007 | Отправлено: 16:13 06-03-2009
romall



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
действительно, по работе обходишь в день порой по 10 клиентов совершенно тебе не знакомых, и как результат полна флеха всякой х-йни заразной. да ладно бы просто меняла авторан, так ведь частенько и программы на флехе тоже заражает. и если это случилось на первых клиентах - сушите вёсла господа , пипец просто - едем домой или офис для забора софта заново на флешку.
 
    Реальных выхода из положения на мой взгляд 2
  1. 1
    аппаратно отключать запись на флеху
    На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа.
    На всех 5 есть несколько незадействованных ног.
    У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE.
    На всех 5 эта нога среди незадействованных.
     
    у или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется.
  2. 2
    я так думаю есть программы для ограничения доступа к разделам.
    создать на флешке 2 раздела.
    первый раздел размером равным размеру данной программки.
    все остальное второй раздел.
    т.е. на первом разделе не будет места для создания autorun.ini файла и записи теле вируса. Только одна программка открытия второго раздела на необходимый доступ (чтение/запись)

Всего записей: 40 | Зарегистр. 16-11-2005 | Отправлено: 12:48 23-03-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
последняя идея интересная, но есть одно существенное НО!
 
ну разбить сторонними стредствами флешку на части можно
но винда дополнительные разделы не будет видеть, это особенность винды которую невозможно обойти стандартными средствами
 
для себя и своих определенных компов вы сможете это сделать, например насильно установив гуляющий по инету драйвер  Hitachi для usb внешнего hdd
 
и тогда хоть 10 разделов создавайте
но на любом чужом компе эти разделы будут не видны вообще!
 
к тому же не будет виден значок флешки для дисков - но это мелочь
 
я таким образом себе сделал на флешке скрытый раздел для хранения паролей
прикрыл его TrueCrypt-ом, и теперь даже методом утюга и паяльника не выудить оттуда информацию не имея ключевого файла, который в свою очередь лежит только на домашнем и на рабочем компе запрятанный в глухом месте где нибудь
 
можно смело ее терять, взломать уже невозможно
 
если кому интересны подробности - могу расписать подробнее
 
но по теме ветки - затор получился, как обойти дурацкое ограничение винды на то что она видит только один раздел на флешке, не устанавливая ничего на комп, я пока не находил
 
для своего строго очерченного круга компов вы сможете это сделать, и они будут узнавать вашу флешку и считать ее внешним usb hdd, а вот как быть с сторонними компами
 
 

Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 01:53 24-03-2009
v1ct0r



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так ничего вразумительного не услышал про NTFS.
Зачем выдумывать велосипед, надумывать кучу забот? Большая половина вирусов пишется в корень. Ну и залочте его (корень) для всех. У меня запись возможна только под определенным юзером и то не в корень (запись - только на моем ПК, для остальных - только один подкаталог pomoyka). Что такого важного у юзера может быть, чтобы это писать в корень? Лучше продумать варианты: если фат - доступ залочить, если пишет в корень - доступ залочить (принудительно всех перевести на нтфс, или как подстраховка от чужих/левых флэшек - все через админа)

Всего записей: 218 | Зарегистр. 24-12-2005 | Отправлено: 03:49 24-03-2009
evgeniydemon



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
[q][/q]
 
anpsoft  а можно по подробней по этот метот интересно очень  
 
 

Всего записей: 18 | Зарегистр. 17-01-2007 | Отправлено: 20:51 24-03-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в смысле про закрытый раздел на флешке ?
 
а то ведь по теме ветки не фига не выходит пока таким путем

Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 23:20 25-03-2009
Gluzer

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в продолжение темы
сегодня вышел autostop.2.3, о котором упоминал выше Serhiy123. в данной версии мне лично понравилось ОРИГИНАЛЬНОЕ решения блокировки записи данных на флешку

Всего записей: 8765 | Зарегистр. 31-03-2003 | Отправлено: 23:39 25-03-2009 | Исправлено: Gluzer, 23:40 25-03-2009
evgeniydemon



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anpsoft
 
 
да про закрытый раздел на флешке очень интересно

Всего записей: 18 | Зарегистр. 17-01-2007 | Отправлено: 19:18 26-03-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
значит так
разбиваем флешку на части
я выделил 10 мегабайт - для паролей и сценариев всяких серктеных достаточно
 
если она пустая то наверное можно и стандартными методами винды
я акронисом пользовался
 
после этого в винде как была одна так и осталась, меньбше только стала
 
по инету гуляет идея как надурить винду
http://www.lancelhoff.com/make-windows-see-any-usb-flash-drive-as-local-disk/
 
находим и скачиваем CompactFlash fixed disk filter driver от Hitachi
http://www.lancelhoff.com/downloads/USB_LocalDisk.zip
он там даже в исходниках если кто не доверяет
 
затем смотрим в панели управления - система - диспетчер устройств - дисковые устройства нашу флешку
выбироаем ее свойства - закладку сведения о устройстве  
и копируем клавишами (Ctrl + Insert например)  код экземпляра устройства
 
что то в таком духе - USBSTOR\DISK&VEN_&PROD_USB_FLASH_DRIVE&REV_1.01\57540625050F&0
 
затем открываем в предварительно распакованном скачанном драйвере файл cfadisk.inf
 
и меняем значение после последней запятой в первой строке группы [cfadisk_device] на 26 строке на скопированный нами код экземпляра
 
сохраняем, и обновляем драйвер нашего устройства, подсунув ему наш скачанный исправленный inf файл
 
отбиваемся от защиты винды и имеем в итоге вместо флешки якобы внешний usb винт
 
 
дальше скачиваем True Cript с http://www.truecrypt.org/
 
делаем из второго раздела секретный диск
я сначала в их оболочке пробовал
а затем перешел на более удобный путь - командная строка
 
ну и наконец, так как секретный раздел в винде уже не может работать как обычный диск, идем опять в акронис и делаем наш второй секретный раздел скрытым
 
это не мешает работе true cript, зато винда забывает о его присутствии
 
при необходимости подключить секртеный раздел, запускаем скрипт подготовленный, и если праоль правильный и ключевой файл подходит - вуаля ! имеем новый диск в системе, который можно настроить на автоотключение после некоторого определенного вами времени неактивности с ним
удобно, если забыли отключить и кто то другой за ваш комп сел
 
на другие компы где нужен доступ к секретному разделу вы копируете ключевой файл и устанавливаете драйвер хитача
 
а если кто нашел вашу потерянную флешку то он не увидит второй раздел в винде
если он дотошный и таки узнает о нем, и о том что использовался true cript, он не сможет его открыть
не поможет ни пароль, ни даже утюг вам на живот
ведь вы сами без ключевого файла не сможете его открыть
 
ну в общих словах так
 
 
Добавлено:
кстати второй способ http://www.lancelhoff.com/multi-partition-a-usb-flash-drive-in-windows/ у меня не заработал
 

Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 01:38 28-03-2009
evgeniydemon



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anpsoft  
 
огромное спасибо очень сильно помогли

Всего записей: 18 | Зарегистр. 17-01-2007 | Отправлено: 19:58 30-03-2009
se111



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
самый реальный способ.  
создаете папку в корне autorun.inf
внутри файл вот такой командой  
echo 222 > "\\?\I:\AUTORUN.INF\autorun.inf.."
i: имя диска флешки.
теперь файл удалить нельзя т.к. имя запрещенное
и сооветвенно нельзя удалить папку.
т.е. autorun.inf не пройдет.

----------
создание сайтов

Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 22:26 30-03-2009
azazela



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anpsoft

Цитата:
 
значит так  
разбиваем флешку на части  
я выделил 10 мегабайт - для паролей и сценариев всяких серктеных достаточно  
если она пустая то наверное можно и стандартными методами винды  
я акронисом пользовался  
после этого в винде как была одна так и осталась, меньбше только стала  
по инету гуляет идея как надурить винду  
 

 
а не проще сразу использоватся софт который разбивает флешку на две части к примеру USB DISK Pro Security App или ей подобные. И хранить "секретные" файлы на превратной части. Пример приведен тут Защита конфиденциальных данных на съемных носителях.

Всего записей: 137 | Зарегистр. 05-08-2005 | Отправлено: 10:30 31-03-2009
al72

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
se111
Самое простое и гениальное решение

Всего записей: 424 | Зарегистр. 15-12-2005 | Отправлено: 10:45 31-03-2009
anpsoft



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну конкретный пример мне сильно не понравился
во первых не признаю защиты только по паролю
у меня стоит 12345 пароль для защиты от случайного гостя за компом
для того кто найдет утерянную флешку пароль ерунда по сравнению с ключевым файлом
а то что там форматирование типа после серии неверного ввода легко обойти на самом деле низкоуровневым созданием образа всей флешки
 
во вторых описанным мной методом можно несколько создать разделов, и не обязательно скрытых
 
ну и кроме того та статья ведь именно True Crypt в начале раcхваливает

Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 18:38 01-04-2009 | Исправлено: anpsoft, 18:40 01-04-2009
al72

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Говорили о защите от вирусов, а теперь перешли к криптографии.

Всего записей: 424 | Зарегистр. 15-12-2005 | Отправлено: 15:15 02-04-2009
Gluzer

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
se111
выше уже упоминался данный вариант

Всего записей: 8765 | Зарегистр. 31-03-2003 | Отправлено: 20:08 02-04-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru