Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Как вирусы мигрируют по винту?

Автор: howhat
Дата сообщения: 22.11.2005 20:54
Прочел несколько статей про свойства вирусов, но так и не понял, как вирус перебирается из раздела с ОС, которая подключена к инету, в соседние разделы с другими ОС и данными?
Конкретнее, возможно ли распрастранение вируса по винту без моей помощи? Т.е. если я во время работы в С: (в инете) не открываю соседних разделов (не обращаюсь к ним умышленно)?
На С: стоит 98-я, на D: - 2000-я, на Е: - данные (музыка и пр.).
Почему спрашиваю? Чтобы понять, сканировать антивирусом весь винт (у меня винт 40Г при процессоре АМД К6-2 450МГц и такое сканирование отнимает кучу времени), или достаточно "лечить" раздел С
Последнее время выходил в инет через местную (частную) городскую сеть из 2000-й (SP3). Появился эффект автоперезагрузки (через 60 сек из-за lsass с ошибкой код 128). Хоть и не регулярно, но за вечер до трех-пяти раз ресетится. Достает.
Хочу выходить в 98-й. Поможет ли это обезопасить 2000-ю и данные? И избежать перезагрузки? (Пока в ней не работаю, собираюсь переустанавливать, учусь) Кстати, "поломались" половина файлов типа zip и rar и не лечатся "восстановилками" архивов.
Сканирование Касперским и AntiVir-ом (с последними базами) ничего не выявило.
Чего они подохли, не понятно. Причем в разных папках в разных соотношениях).

Еще маленький подвопрос: какие файлы наименее подвержены заражению и угроблению вирусами? интересуют мр3, дос, архивы, фото-рисунки.

Растолкуйте популярно, для домохозяек, пожалуйста

С уважением.

ЗЫ: стоит Аутпост (от Агнитум) и монитор от АнтиВира. Без толку, как я понимаю
Автор: sket4
Дата сообщения: 22.11.2005 21:00
вирусы используют свои функции + функции операционной системы, ось работает со всеми подключенными дисками.
Автор: rpns
Дата сообщения: 22.11.2005 23:35

Цитата:
Еще маленький подвопрос: какие файлы наименее подвержены заражению и угроблению вирусами? интересуют мр3, дос, архивы, фото-рисунки.

Собственно вирусы (точнее, файловые вирусы - а не другие виды вредоносных программ) заражают файлы, которые могут быть как-то исполнены. Вероятно, mp3 и "фото-рисунки" таковыми не являются (хотя специально изготовленные могут использовать уязвимости в соотв. программах) - если речь идет о структуре, а не о расширении. Архивы могут содержать инфицированные файлы подходящих форматов, doc файлы - макровирусы.

Цитата:
Кстати, "поломались" половина файлов типа zip и rar

Что имеется в виду? Если файлы были изменены (с повреждением), то стоит подумать, кто и когда мог это сделать. В принципе, можно подозревать и вирус.
Сканировать антивирусом нужно все разделы (которые Windows могла монтировать). Если KAV ничего не находит, то может быть, что ничего и нет. Однако, нужно испробовать и другие средства, например, ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe, осбенно если уже примененные именно "подохли", а не выполнились корректно. Очень хорошие инструкции по борьбе с вирусами можно получить на http://virusinfo.info/forumdisplay.php?f=46.

Автор: XPEHOMETP
Дата сообщения: 23.11.2005 09:00
У меня любопытная штука была с антивирусом Avast: в него встроился вирус и начинал генерировать сообщения о том, что такой-то архив заражен и его надо лечить. В результате "лечения" в него сажался вирус.

В общем, если покалечена половина архивов, этим явно занималась какая-то прога, у которой для этого полно времени, т.е. которая сидит в списке автозагрузки. Антивирус вполне подходит, если он заразился.

Я бы советовал обновить AntiVir, он обычно качает не только новые базы, но и более новую версию самой программы, после чего переустанавливает ее. Если к нему присосался вирус (а вирусы давно уже научились антивирь определять), то тут ему и каюк настанет.

В любом случае необходимо очистить все временные папки (вирус часто туда селится), в том числе кэш IE и скачанные из интернета файлы, и порыться в списке автозагрузки, не найдется ли чего подозрительного.
Автор: howhat
Дата сообщения: 23.11.2005 17:38

Цитата:
... ось работает со всеми подключенными дисками.

Если я правильно понял это замечание, вирусы свободно перемещаются по винту в перделах видимости задействованной ОС?
А нельзя ли как-нить ограничить эту "видимость" для данной ОС? Чтобы она "не видела" других разделов, кроме своего. Например, если 2000-я будет на разделе с НТФС, а НТФС, как я понял, 98-я "не видит". А сканирование С: на вирусы делать из 2000-й с НТФС. Или это не остановит вирус и он будет перемещаться самостоятельно, без "помощи" ОС? Только НТФС это слишком "круто". Хотелось бы иметь возможность оперативного ВКЛ-ВЫКЛ этой "видимости".

Еще разик про заражение файлов, пожалуйста. Для заражения необходимо обращение юзера к этим файлам, или вирус сам организует такие обращения?
Насчет архивов. При попытке открыть, появляется сообщение о "неожиданном конце" (хорошо хоть не о конце света). Пытался "лечить", но результат тот же. Лечилка (скачал в инете) говорит, что сие невозможно. Участие человека в "убийстве" исключено. Пропадал несколько раз свет при включенном компе, но в это время никто не работал ни с архивами, ни с архиватором. Архивы "убиты" хаотично в разных папках по всему разделу Е: (20 Г), в том числе и вложенных. Не мог же винт в аварийном (если пропадание питания для него является аварийным) режиме выборочно попортить файлы определенного формата? Если вирусу нравится их убивать (архивы) и он делает это независимо от меня, почему он не поубивал ВСЕ архивы? Неужели вирусописака встроил в него типа генератор случайных чисел, который управляет вирусом, давая ему "разрешение" на убийство именно этого файла из ряда таких же?.
Зачем? Для хохмы?

АнтиВир обновляю. Если скачанная база не соответствует версии составляющих его частей, он ругается, но не после "обновления" (разархивирования в его папку скачанной базы ВДФ), а при попытке проверки файла (или раздела) на вирус. Касперским винт проверяли на работе, там за этим следят. Ничего не нашли. Сканировали МХДД, бэдов тоже не нашли. По крайней мере так утверждает чел, который этим занимался.

А временные папки можно вычищать под "ноль"? При этом ничего из нужного не пропадет (доступ к сайтам каким-нить)?

А, еще смотрел в реестре (как тут в форуме советовали) в ... /Run. (Это и есть "список автозагрузки"? Или где он, этот список?) Нет там ничего подозрительного (для меня ). Вроде знакомые процессы - совпадающие по наименованию с установленными прогами.

Вчера взял, и в фаерволе перенес lsass в "запрещенные". До этого он был в "пользовательских", хотя я его туда вообще не помещал. Может в результате "обучения" он там оказался? Инет вроде работает. Нафига он (этот lsass) нужен? По идее, как я понял, фаервол теперь запрещает обращение этого лсасса к инету и обращение к нему из инета. Так или нет? А я читал, что это процесс, необходимый для работы ОС в инете. Так зачем он нужен для инета? И почему инет работает после его "запрещения"?
Автор: Gena1971
Дата сообщения: 23.11.2005 18:29
howhat

Цитата:
А временные папки можно вычищать под "ноль"? При этом ничего из нужного не пропадет (доступ к сайтам каким-нить)?

Не пропадет, если параллельно ничего выполняться не будет, т.е. все что там находится - мусор. На то они и временные.
По поводу lsass и т.д. Вообще то нельзя с ним так. А перезагрузки - результат неполного удаления червей. Твой каспер удалил его, но не полностью. На сайте у них (и у мелкомягких при обновлении системы эта прога грузится регулярно раз в месяц) есть специальная ОТДЕЛЬНАЯ утилита для полного удаления из системы остатков червей сассер, mydoom и еще очень многих.

Цитата:
Для заражения необходимо обращение юзера к этим файлам, или вирус сам организует такие обращения?

Ну вообщето были вирусы (не помню название), которым вообще ничего не надо было, только подключенный к интернет компьютер с брешью в защите. Все остальное он проделывал сам. А так, это же не вирус грипа (который живой). Это программа, и как в ней запрограммировано, так она и работает, ни больше не меньше. Можно по таймеру, можно перехватывать обращения других программ, можно перехватывать нажатия клавиатуры и положение и клики мышки. 1000 разных способов.

Цитата:
Неужели вирусописака встроил в него типа генератор случайных чисел, который управляет вирусом, давая ему "разрешение" на убийство именно этого файла из ряда таких же?.
Зачем? Для хохмы?

Некоторые черви используют для распространения своих частей упаковывае в zip или rar (возможно с использованием пароля) для снижения вероятности своего обнаружения. Может быть они пытаются эти части пррикреплять к другим архивам. Если антивирус недолечил систему, то результат такого прикрепления вообще непредсказуем с моей точки зрения.
А чтобы понять логику вирусописателя надо им стать и разбираться потом в себе .
С вирусами то проще. А вот спиваре намного сложнее отловить. Ведь их создают не одиночки энтузизисты, а очень солидные фирмы с крутыми спецами. У них таких проколов с порчей врядли будет.
Автор: rpns
Дата сообщения: 24.11.2005 00:07

Цитата:
Касперским винт проверяли на работе, там за этим следят. Ничего не нашли.

Значит, на чистой системе проверка винта со свежими базами ничего не находит? Тогда это, действительно может быть червь. Червь может не заражать никаких файлов, а существовать лишь в памяти - тогда ясно, почему на другой машине проверка диска ничего не дает. Стоит попробовать разные утилиты для лечения распространенных червей: их бесплатно предоставляют BitDefender, Касперский, тот же MS... Однако, все это почти бесполезно, если червь постоянно проникает в систему. Нужно устанавливать патчи. Конечно, для Win98 это несколько затруднительно, но вполне возможно.
Для изобличения червя может быть полезным анализ времени последнего доступа и изменения поврежденных архивов (конечно, червь может скрывать свое присутствие).
Автор: licha
Дата сообщения: 24.11.2005 09:53
howhat

Цитата:
Конкретнее, возможно ли распрастранение вируса по винту без моей помощи? Т.е. если я во время работы в С: (в инете) не открываю соседних разделов (не обращаюсь к ним умышленно)?

если вирус запущен, то теоретически он может сам себя скопировать куда угодно


Цитата:
Последнее время выходил в инет через местную (частную) городскую сеть из 2000-й (SP3).

почему sp3? уже давно как есть sp4, и Update Rollup http://support.microsoft.com/kb/891861/ru

Цитата:
Появился эффект автоперезагрузки (через 60 сек из-за lsass с ошибкой код 128). Хоть и не регулярно, но за вечер до трех-пяти раз ресетится. Достает.

так это похоже сассер http://www.securitylab.ru/news/213818.php
вам надо скачать обновления с microsoft или правильно настроить файрволл, антивирусы не сильно помогут
обновления для русской версии http://download.microsoft.com/download/7/3/a/73a89113-ce21-4fac-9a49-037d0e2ff457/Windows2000-KB835732-x86-RUS.EXE
для английской http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
после установки обновлений проверьтесь этой программой http://securityresponse.symantec.com/avcenter/FxSasser.exe


Цитата:
Хочу выходить в 98-й. Поможет ли это обезопасить 2000-ю и данные?

если 2000 стоит на ntfs, то поможет, если на fat32, то не знаю


Цитата:
Еще маленький подвопрос: какие файлы наименее подвержены заражению и угроблению вирусами? интересуют мр3, дос, архивы, фото-рисунки.

mp3 не знаю, но для windows media audio был какой-то вирус, который использовал уязвимость в windows mediа player
doc могут быть заражены макровирусами
архивы могут быть заражены если они самораспаковывающиеся, либо в архиве может быть вирус, который туда попал при создании архива
Автор: howhat
Дата сообщения: 25.11.2005 12:10
Пытаюсь скачать http://download.microsoft.com/download/6/1/1/611e63b8-95ec-40f4-b96c-e676f96d1a95/w2ksp4_ru.exe (128 МГб), надеюсь это и есть требуемый SP4?
Правда не знаю пока, как его установить. Без него обновления не устанавливаются

Остался не закрытым вопрос о наличии программ, позволяющих изолировать разделы друг от друга (может что-то вроде менеджеров загрузки ОСей, типа "Акронис ОС Селектор"), дабы вирус не переползал в соседние разделы, используя функции действующей ОС. Ведь именно управляя этими функциями (точнее перехватывая это управление на себя), вирус и распрастраняется по винту. Правильно я понял?
Если же будет некая, неприступная для вируса, прога, включающая и выключающая по команде юзера (в начале загрузки компа и выбора "активного" раздела, т.е. ОС) возможность действующей ОС "монтировать" (что означает "иметь доступ", так?) другие разделы, то тогда опасность заражения вирусом будет ограничена действующей ОС, что значительно облегчит ее лечение. (Напрмер, регулярное восстановление из образа вместо сканирования на вирусы кучей разных "лечилок" и антивирусов. При этом и винт будет меньше напрягаться, мне так кажется. А антивирус оставить только в режиме монитора. Если он не ловит вирус при его проникновении на комп, то какой смысл им же потом сканировать винт?)

Так имеется такое "чудо"?
Автор: pop2ROOT
Дата сообщения: 25.11.2005 12:36
howhat

Цитата:
это и есть требуемый SP4?
Правда не знаю пока, как его установить
похоже, что он. а устанавливать его нетрудно - это же ехе, его запусти, дальше он сам все сделает.



Цитата:
Так имеется такое "чудо"?
имеется другое чудо, возможно оно тебя даже больше устроит: называется ShadowUser Pro - вот его тема в Программах и в Варезнике. Приведу цитату:


Цитата:
Усилиями компании ShadowStor создан продукт, который позволяет Вам все: запускать трояны, вирусы, да все подряд, все программы с неизвестным происхождением - чем обычно люди и занимаются на своих компьютерах. У вас что-то стерли на диске, записалась программа, которая при запуске explorerа выводит рекламу? Что делать? Куда звонить? Ничего. Просто перезагрузись.

т.е. прога запускает комп в защищенном режиме, при котором не страшны абсолютно никакие действия - все их последствия исчезнут после перезагрузки. Единственное неудобство - для переключения из нормального режима в теневой и обратно нужна эта самая перезагрузка, но ведь ради такого дела можно потерпеть?

что касается монтирования разделов, то проще всего держать нужную инфу на дисках с NTFS, а в сети работать в 98х виндах (как уже сказал licha) - она NTFS в упор не видит, так что подвержена заражению если что будет она - а ее ты легко пролечишь, перезагрузившись в параллельную NT-систему (2000 например), т.к. 98я будет неактивна в этот момент. Желательно ставить их в разные разделы - небольшой С с FAT32 для 98х, D на NTFS для 2000 + Е на NTFS опять же - для рабочих документов и прочего.


Цитата:
еще смотрел в реестре (как тут в форуме советовали) в ... /Run. (Это и есть "список автозагрузки"? Или где он, этот список?)
списков автозагрузки на самом деле несколько. воспользуйся Startup Organizer-ом и увидишь, как много всего и откуда именно грузится. в нем же можно подробнее узнать о процессах, обратившись к гуглю, отключить загрузку и т.п.

еще больше ты узнаешь об автозагрузке с помощью autoruns от sysinternals - но это уже слишком подробно пожалуй в ней лучше не отключать того, чего не знаешь
Автор: licha
Дата сообщения: 26.11.2005 11:46
howhat

Цитата:
Остался не закрытым вопрос о наличии программ, позволяющих изолировать разделы друг от друга (может что-то вроде менеджеров загрузки ОСей, типа "Акронис ОС Селектор"), дабы вирус не переползал в соседние разделы, используя функции действующей ОС. Ведь именно управляя этими функциями (точнее перехватывая это управление на себя), вирус и распрастраняется по винту. Правильно я понял?

интересно, что это у вас за вирус такой, который сам ищет на дисках другие windows, копирует себя туда и прописывается каким-то образом в автозагрузку? по теме... изолировать разделы на которых стоит 98 и 2000 ИМХО очень просто. 2000 поставить на ntfs, и из-под 98 их не будет видно, а у тех дисков с которыми работает 98 убрать буквы из управления дисками в 2000, и их не будет видно в windows2000
Автор: howhat
Дата сообщения: 26.11.2005 19:21
licha

Цитата:
интересно, что это у вас за вирус такой, который сам ищет на дисках другие windows, копирует себя туда и прописывается каким-то образом в автозагрузку?

так я воспринял следующее замечание
rpns

Цитата:
Сканировать антивирусом нужно все разделы (которые Windows могла монтировать)

потому и переспросил

Цитата:
возможность действующей ОС "монтировать" (что означает "иметь доступ", так?)

Я потому и спросил, что в статьях о свойствах вирусов, повествуется об их действиях в третьем лице. Нет четкой привязки к автоматическим функциям ОС, выполняемым ею безусловно по отношению к действиям юзера, а также к функциям, вызываемым действиями (мышкой и клавой) юзера. Создается именно впечатление, что вирус действует от лица ОС ("цепляясь" за ее функции) и значит может скрытно от юзера (в фоновом режиме) "заставить" ОС обращаться к другим разделам и копировать себя в них.
(А какой вирус меня донимает, я понятия не имею По описанию результат похож на действие Сассера. Но видеть его (в хвастливых сообщениях антивирусов) не доводилось)

Если никакой вирус не может "искать" другие разделы с другими ОС и перемещаться полусамостоятельно (при помощи функций ОС) в них, несмотря на то, что та ОС, в которой он "поселился", "видит" эти разделы (что означает иметь возможность "монтировать", так или нет?), то зачем делать другие разделы в НТФС?? Просто для надежности файловой системы? Но меня интересует именно миграция вирусов.
Изолирование разделов меня также интересует ТОЛЬКО с точки зрения блокирования перемещения вирусов из раздела в раздел.

Неудобно повторно морочить людям голову, но опишу другими словами:

Я работаю в системе 98, расположенной на разделе С:. Выхожу в инет.
Несмотря на фаервол и антивирусный монитор (один из) ловлю на С: (в 98-ю) вирус.
К другим разделам во время работы в инете я не обращаюсь (не открываю и не просматриваю! Даже не открываю "Мой компьютер", чтобы не увидеть другие разделы, которые тоже ФАТ32). Не получаю "от чужих" писем и не открываю "от своих" до проверки на вирусы.
Полазив по инету и скачав, что мне нужно, я перегружаюсь в 2000-ю (возможно, если так надежнее{?}, в защищенном режиме).
Запускаю разные антивирусы и "лечилки", проверяя данные, находящиеся пока на С:.
После тщательной проверки переношу то, что было скачано-получено по инету (в С в раздел с данными (Е. Могу после переноса (в какую-нить глубоко "зарытую" папку, если глубина вложения имеет смысл для затруднения работы вируса{?}) проверить еще раз.

Вопрос: На каком этапе вирус из раздела С: имеет теоретическую возможность перебраться (то ли копированием, то ли просто перейти без остатка) в раздел с 2000-й или данными, если исходить из того, что общая вероятность выявления вируса в данных разными антивирусами равна 1
Если вирус не может при этом сам перейти в Д: и Е:, то сканировать (неоднократно) весь раздел С: я не буду (только получаемые данные). А в случае "падения" 98-й воссоздам ее из образа (или архива), или просто переустановлю. Т.е. сэкономлю количество движений своего старичка винта

Очень интересное замечание
pop2ROOT

Цитата:
т.е. прога запускает комп в защищенном режиме, при котором не страшны абсолютно никакие действия - все их последствия исчезнут после перезагрузки.

Хотелось бы уточнить. Это значит, что в инет надо выходить, будучи загруженным в защищенном режиме? Это не есть кайф (особенно мерцание экрана монитора). Кстати как-то пробовал. Сеть не заработала, хоть и грузился с "сетевыми драйверами".
А прога вроде как сыровата, не могу так рисковать с моим то опытом Мне бы что-нить повернее.
Автор: pop2ROOT
Дата сообщения: 26.11.2005 19:52
howhat
ты немного не так понял насчет данного конкретного защищенного режима - это не тот Безопасный режим загрузки системы, при котором не грузится все, что только можно не грузить - лишь бы работал комп. Это сама прога своим включением создает защиту, используя т.н. теневое копирование, при котором все изменения вносятся на временную копию содержимого жесткого диска, которая затем при перезагрузке уничтожается - и ты получаешь свой чистый комп обратно таким же, каким он и был. Как если бы ты сделал полный откат на предыдущее состояние системы.

также может помочь Norton GoBack Deluxe 4.х - она действует по-другому, но смысл в итоге тот же: при необходимости ты возвращаешься к предыдущему состоянию, причем можешь выбирать к какому - последней загрузки / перезагрузки, сегодняшего утра, вчерашнего вечера или еще дальше, тут возможности зависят от количества места, выделенного под сохранеие изменений. Эта прога тупо записывает ВСЕ изменения, для чего ей нужно отмерить энное количество дискового пространства.

а вообще мне кажется, ты создаешь проблему (и головняк) из ничего. все вирусы работают по-разному, и размножаются тоже по-разному. главное - вовремя их отловить. да, нужно ставить патчи на систему - ну так для этого они и выпускаются. да, нужно обновлять антивирь и антиспай - ну а как без этого? да, нужно контролировать собственные действия - что ты запускаешь и из какого источника, насколько ему можно доверять... а пытаться тупо механически защититься имхо бесполезно, только лишние движения и суета.

кстати, отмонтировать разделы можно командной строкой в винде - и примонтировать тоже. без лишних заморочек. синтаксис народ подскажет.

Добавлено:

Цитата:
По описанию результат похож на действие Сассера.
sasser вызывает ошибку службы просто при обращении к ней - это некоторые его версии криво написаны. при этом ему необязательно находиться на твоей машине - он делает запрос из сети. раз запрос проходит - значит открыт порт, значит - плохо настроен фаер...

98-е sasser, насколько я знаю, не атакует... т.е. он написан для nt-систем

Цитата:
я перегружаюсь в 2000-ю (возможно, если так надежнее{?}, в защищенном режиме).
этот "защищенный режим" подразумевает немного не то, по-видимому, что ты о нем думаешь: это не защита от вирусов или чего-то еще, это система загружает минимально необходимый набор служб и драйверов, при котором она может работать - для выявления/устранения неполадок, вроде удаления кривого драйвера или программы и т.п.

Цитата:
Вопрос: На каком этапе вирус из раздела С: имеет теоретическую возможность перебраться в раздел с 2000-й или данными, если исходить из того, что общая вероятность выявления вируса в данных разными антивирусами равна 1
на любом этапе может так что не расслабляйся
Автор: bredonosec
Дата сообщения: 26.11.2005 22:56

Цитата:
Собственно вирусы (точнее, файловые вирусы - а не другие виды вредоносных программ) заражают файлы, которые могут быть как-то исполнены. Вероятно, mp3 и "фото-рисунки" таковыми не являются (хотя специально изготовленные могут использовать уязвимости в соотв. программах) - если речь идет о структуре, а не о расширении
Хотя нужно также учитывать уровень юзера и используемую оболочку. Напр, эксплорер (проводник) по умолчанию скрывает расширения известных типов файлов. Что позволяет создать ехе-шник, дав ему второе расширение "mp3, jpg, doc", и т.д. и прилепив соответствующую иконку. После чего юзер вполне резонно решит, что имеет дело не с исполнительным, а с безобидным доком/картинкой/проч.

Некоторые вири заражают ОСь так, что вписывают себя в открываемые системой файлы, некоторые - во все доступные на всех подключенных винтах. Единственный выход не заразить вторую ОСь и добро, выходя на 98 в инет без защиты - поставить вторую на НТФС (если ось не видит файлов, то и вирь не увидит).
Или защищаться. (антивири, стенки, руки.сис, брэйн.длл)
Автор: howhat
Дата сообщения: 29.11.2005 13:06
Таким образом, единственным средством блокирования вируса на С: является форматирование дисков Д: и Е: в НТФС. Честно говоря, мне это удивительно. Вот только что нашел статью из ДОСовских времен о вирусах и в ней читаю:


Цитата:
...Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегментацией и основан на разделении магнитного диска (винчестера) с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы диска помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты ПО, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которая не только позволяет разбить диск на разделы, но и организовать доступ к ним с помощью паролей. ...


Это значит, что моя идея не нова! Но, по совершенно непонятной мне причине, утратила актуальность.
А НТФС меня не устраивает по той причине, что я хочу именно быстро включать или выключать доступ из активного раздела в соседние. Кроме того, на слабой машине НТФС работает медленнее.
Предлагаемая прога Norton GoBack Deluxe 4.х тоже не то, что надо. Меня смутило, что она рекомендуется для клубов, где не требуется сохранение данных. Мне НАДО сохранять данные, полученные из инета. А здесь отменяются, как я понял, любые действия, в том числе и сохранение и перемещение данных по воле юзера.

Вопрос не снимаю, если кто наткнется на Виндовый аналог упомянутой в цитате проги, не откажите в любезности, сообщите

С уважением.
Автор: pop2ROOT
Дата сообщения: 29.11.2005 18:45
howhat
ты слишком заморачиваешься! имхо.
есть пути проще и эффективней. но ты их не ищешь, я вижу
Автор: rpns
Дата сообщения: 29.11.2005 20:26
howhat

Цитата:
ОС, в которой он "поселился", "видит" эти разделы (что означает иметь возможность "монтировать", так или нет?)

Предположим (а так оно, вероятно, и есть), что ОС правильно читает таблицу разделов и "видит" их. Предположим, что данные в разделе хранятся в файлах, доступ к которым осуществляется с помощью файловой системы - особой структуры данных в разделе. ОС может иметь или не иметь программные средства ("драйверы") выполнения для конкретной файловой системы основных операций - чтения файла, записи в файл и т.п. Под монтированием файловой системы раздела понимается задействование этих средств, т.е. включение новых файлов в дерево файлов / (или в лес (A:,C:,E:,...) и т.п.) и предоставление пользовательским программам - вирусам, например - возможности осуществлять упомянутые операции - в частности, заражать файлы в разделе. Win98 не может (без соотв. модификаций, лишь теоретически осуществимых вирусами) монтировать файловые системы NTFS, XFS, ext2, JFS и многие другие, на чем и основана предлагаемая методика защиты.

Цитата:
с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы диска помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты ПО, наиболее подверженные опасности заражения.

Критика: драйвер снизит быстродействие; если парольный доступ означает шифрование, то - тем более; а что, если вирус проникнет во время санкционированной пользователем записи?; что, если вирус найдет дыру и получит права, достаточные для выгрузки этого драйвера?; как винда отнесется к вынесению всех исполняемых программ в отдельный раздел READ_ONLY?

Может, все-таки файлового вируса у Вас нет, и стоит установить патчи и пересмотреть настройки файервола?
Автор: howhat
Дата сообщения: 30.11.2005 11:18
rpns

Цитата:
Критика: драйвер снизит быстродействие; если парольный доступ означает шифрование, то - тем более; а что, если вирус проникнет во время санкционированной пользователем записи?; что, если вирус найдет дыру и получит права, достаточные для выгрузки этого драйвера?; как винда отнесется к вынесению всех исполняемых программ в отдельный раздел READ_ONLY?


Я могу говорить только на том уровне знаний, который мне удалось пока достичь
Как я представляю себе пользовательский аспект действия такой проги:
Во время включения компа появляется список ОС, из которого я выбираю нужную для загрузки.
Вторым пунктом будет "Маскировка неактивных разделов" (или что-то типа этого) - и на выбор "включить" - "выключить", причем умолчание задается при установке этой проги.
И только после этого производится загрузка ОС.
Если я собираюсь часто работать в инете (ежедневно), я проставлю по умолчанию "включить".

Наверно, это будет некий драйвер, типа фаервола между разделами. Наверно он будет тормозить работу ОС (насколько сильно, неизвестно), особенно при попытке обращения к другим разделам, в том числе и по воле вируса. Ну и ладно Главное, чтобы ОС при этом не зависала.
Насчет дырявости этой проги - это ключевой вопрос! Я полагаю (со своей невысокой колокольни), что прога не будет слишком сложной и не будет иметь АБСОЛЮТНО никаких дыр. Иначе смысла в ней будет не больше, чем в дырявом антивирусном мониторе или фаерволе.

Цитата:
Может, все-таки файлового вируса у Вас нет, и стоит установить патчи и пересмотреть настройки файервола?

Может. Пока установил СП4 и комплет обновлений от 7.10.2005 (для 2000-й).
А также отключил в фаерволе протокол NetBios, как я понимаю, доступ компам из местной сети. Пока не было перезагрузок. Но "уверенности сытой" не испытываю
Пока мне мой комп представялется этаким проходным двором.


pop2ROOT

Цитата:
howhat
ты слишком заморачиваешься! имхо.
есть пути проще и эффективней. но ты их не ищешь, я вижу

Всегда удивлялся таким замечаниям в форумах и не перестаю удивляться. Мое присутствие в форуме как раз и говорит об этом ПОИСКЕ! Я не сижу в ожидании "блюдечка с голубой каемочкой" (типа задал вопрос и ножки свесил) и по мере своих временных и умственных способностей пытаюсь разобраться с проблемой антивирусной защиты. Но это не есть мое ОСНОВНОЕ занятие, которым я зарабатываю на хлеб.
Посему, уважаемый pop2ROOT, прошу тебя, если не влом, УКАЗАТЬ мне на эти более простые и эффективные пути. Не премину воспользоваться
Автор: bredonosec
Дата сообщения: 30.11.2005 11:32

Цитата:
А также отключил в фаерволе протокол NetBios, как я понимаю, доступ компам из местной сети. Пока не было перезагрузок.
- Вот о подобных действиях тебе и говорят. Потому как это азбука. Прогляди http://forum.ru-board.com/topic.cgi?forum=5&topic=11375#1
(шапку), может, еще полезного найдешь для себя.

Насчет сокрытия разделов от тех или иных осей - акронис хвалили за это, насколько работает - без понятия, не юзал.
Автор: howhat
Дата сообщения: 30.11.2005 12:34
Вот надыбал нечто схожее с "мечтой"

Disk Password Protection 4.5.515.0

Описание:
Disk Password Protection - это комплексная защита компьютера, дисков, разделов и конфиденциальной информации от несанкционированного доступа. Защитите ваши диски и разделы паролем, скройте и защитите свою информацию от посторонних лиц, ограничьте просмотр и запуск файлов. Защитите паролем загрузку операционных систем на вашем компьютере. Disk Password Protection предоставляет пользователю выбор защиты, которая ему больше подойдет. Первый вид защиты - Защита Загрузки. Если вы выберите эту защиту, то никто не сможет загрузить ваш компьютер без ввода установленного вами пароля. Следующий вид защиты - Защита Разделов. Многие пользователи хранят свою конференциальную информацию на отдельных разделах диска. Защитите этот раздел и никакая операционная система или другая программа не увидят его. Вместо него будет отображаться лишь свободное место диска. Защита низкого уровня позволяет заблокировать жесткий диск от любых попыток чтения/записи. Эта защита работает только с ATA-совместимыми жесткими дисками и может быть активирована только из MS-DOS. Внимание, если вы установите защиту низкого уровня и вдруг потеряете пароль, защиту с диска снять будет невозможно!

Неясно только, относится это и к вирусам в том числе, или только к "друзьям" юзера?
Защита на ДОС уровне только диска целиком, как я понял.
Автор: pop2ROOT
Дата сообщения: 30.11.2005 13:41
howhat
Процитирую сам себя

Цитата:
нужно ставить патчи на систему - ну так для этого они и выпускаются. да, нужно обновлять антивирь и антиспай - ну а как без этого? да, нужно контролировать собственные действия - что ты запускаешь и из какого источника, насколько ему можно доверять... а пытаться тупо механически защититься имхо бесполезно, только лишние движения и суета.
и фаер нужно настраивать, тоже забота.

Я к тому, что ты должен знать, что запускается у тебя в системе при загрузке, какие программы работают в данный момент, и что за файлы ты запускаешь.

Тупой механической защитой ты себя не спасешь, только головняка добавишь.
Да, надо немного подучиться, но ничего особо сложного нет, с опытом все приходит. Просто следи за машиной и за своими действиями. Я высказался.
Автор: rpns
Дата сообщения: 30.11.2005 22:08
howhat

Цитата:
"Маскировка неактивных разделов" (или что-то типа этого) - и на выбор "включить" - "выключить"

А если "включить", что придется иногда делать, то как удержать вирусы?

Цитата:
особенно при попытке обращения к другим разделам, в том числе и по воле вируса

Особенно при использовании кривого ПО, вроде многих сомнительных антиспаев, при обращении к любым разделам - драйвер-то перехватывает все запросы.

Цитата:
прога не будет слишком сложной и не будет иметь АБСОЛЮТНО никаких дыр



Может быть просто запретить непривелегированному юзеру писать в защищаемые разделы? В Win2000 должна быть такая возможность.

Цитата:
Насчет сокрытия разделов от тех или иных осей - акронис хвалили за это

Acronis OS Selector и сменившие его продукты позволяют скрывать разделы от винды - иногда это действительно работает, однако активировать их без перезагрузки, по-видимому, нельзя.

Цитата:
Внимание, если вы установите защиту низкого уровня и вдруг потеряете пароль, защиту с диска снять будет невозможно!

Речь почти наверняка идет о шифровании - от вирусов оно вряд ли спасет, а быстродействие снизит.

Цитата:
Если вы выберите эту защиту, то никто не сможет загрузить ваш компьютер без ввода установленного вами пароля.

А как насчет пароля в BIOS`е?
Т.о., последняя программа против вирусов поможет мало.

P.S. Желаю дальнейших успехов в настройке файервола,
Автор: bredonosec
Дата сообщения: 01.12.2005 11:22

Цитата:
однако активировать их без перезагрузки, по-видимому, нельзя.
- Разумеется. Но если человек хочет именно этого, а более простые и эффективные методы игнорирует - ну пожалст.
Автор: howhat
Дата сообщения: 01.12.2005 11:59
pop2ROOT

Цитата:
howhat
Процитирую сам себя

Цитата:
нужно ставить патчи на систему - ну так для этого они и выпускаются. да, нужно обновлять антивирь и антиспай - ну а как без этого? да, нужно контролировать собственные действия - что ты запускаешь и из какого источника, насколько ему можно доверять... а пытаться тупо механически защититься имхо бесполезно, только лишние движения и суета.     
и фаер нужно настраивать, тоже забота.
и т.п.

Все это мне понятно, в смысле направления движения. Но, имея высшее техническое образование (в другой области знаний), я в состоянии оценить, ПРОЩЕ ли этот путь для простого юзера. Моя оценка - ЗНАЧИТЕЛЬНО СЛОЖНЕЕ! Поскольку такой путь требует от юзера довольно большого объема специфических знаний, а главное, навыков, знания ньюансов, которые невозможно получить за день, а может и за месяц.
Моя же "мечта" не требует таких знаний и навыков и сводится именно к несложным механическим действиям юзера и требует для выполнения меньше времени.
Кроме того, я вынес из этого и других форумов, что никакая настройка фаервола не предотвратит на 100 % проникновение вируса на комп, а может лишь сигнализировать об уже случившейся беде. Не выловит его и монитор антивируса, поскольку часто вирус детектируется только одним из 5-ти лидирующих антивирусов. А одновременная работа пяти антивирусных мониторов невозможна. А вот просканировать небольшой раздел раздел пятью антивирусами, а тем более лишь временно находящиеся там, полученные из инета, данные, не большая проблема. Причем надо учесть, что это будет производиться не после каждого выхода в инет (в зависимости от ценности полученных данных)

rpns

Цитата:
А если "включить", что придется иногда делать, то как удержать вирусы?

Включить можно только после перезагрузки. При этом включая доступ, не проверив предварительно раздел на наличие вирусов (несколькими антивирусами), юзер будет рисковать по доброй воле. Т.е. после "включения" загружаться надо только в ОС "по умолчанию", в данном случае это будет 2000-я. А уж после проверки можно грузится и в 98, но не выходить в инет.


Цитата:
Особенно при использовании кривого ПО, вроде многих сомнительных антиспаев, при обращении к любым разделам - драйвер-то перехватывает все запросы.


Напомню, на данном разделе будет минимальный набор ПО, необходимый для работы в инете. И вообще, вопрос о тормозах пока беспочвенный, как мне кажется. Драйвер может быть в виде фильтра и обрабатывать только попытки выхода процесса (приложения) за границы раздела.


Цитата:
Может быть просто запретить непривелегированному юзеру писать в защищаемые разделы? В Win2000 должна быть такая возможность.


То, что можно запретить из ОС, можно и отменить из ОС, уже без ведома юзера. Такое у меня сложилось впечатление. Насчет Акрониса - нигде не встречал, что это сокрытие предотвращает распрастранение вирусов в сокрытые разделы. Опять таки смущает возможность запуска ОС селектора из Винды с возможностью изменением настроек.


Цитата:
Acronis OS Selector и сменившие его продукты позволяют скрывать разделы от винды - иногда это действительно работает, однако активировать их без перезагрузки, по-видимому, нельзя.


Что значит "иногда работает"? А чаще не работает?
Презагрузки я как раз и не боюсь, для этого много ума не надо


Цитата:
Т.о., последняя программа против вирусов поможет мало.

Искренне жаль.


Цитата:
P.S. Желаю дальнейших успехов в настройке файервола


Спасибо! Буду продолжать корпеть


Автор: bredonosec
Дата сообщения: 01.12.2005 14:47

Цитата:
Включить можно только после перезагрузки. При этом включая доступ, не проверив предварительно раздел на наличие вирусов (несколькими антивирусами), юзер будет рисковать по доброй воле. Т.е. после "включения" загружаться надо только в ОС "по умолчанию", в данном случае это будет 2000-я. А уж после проверки можно грузится и в 98, но не выходить в инет.
- А если так, то можно вообще примитивно аки топор, но также непробиваемо сделать:
В инете работаешь с одним винтом, вне инета - другой винт. Перелететь ничего не в состоянии физически. И можно без какого-либо софта быть относительно спокойным (относительно потому, что через сменные носители можешь занести себе добра)

Цитата:
Но, имея высшее техническое образование
здесь все, или, скажем так, многие имеют высшее. кое-кто из толпы и не одно. так что не надо пальцев, ок?

Цитата:
То, что можно запретить из ОС, можно и отменить из ОС, уже без ведома юзера.
- Скажем так, при физическом доступе - да. А из сети - фигушки. Это если речь о правильно настроенных безопасности и правах.

Цитата:
Насчет Акрониса - нигде не встречал, что это сокрытие предотвращает распрастранение вирусов в сокрытые разделы.
- А каким образом вирь попадет в раздел, которого нету? Если ОСь не видит раздела (именно ОСь не видит, а не скрыт от какого-то юзера или прог) - его для неё и любого ПО под ней просто нету.

Цитата:
А как насчет пароля в BIOS`е?
А смысл? (впрочем, также как и шифрование - ведь если ты открыл том, то он открыт для ОСи, которая может быть заражена)

Цитата:
Напомню, на данном разделе будет минимальный набор ПО, необходимый для работы в инете.
Обычно в него как раз входят стенка и антивирь. Антиспайваря чаще всего тоже. Потому как всякий ад/спай хлам часто воспринимается как вирусы малоопытными юзерами. Всякие просмотрщики/меенджеры процессов, или баннеро/поп-апо-убивцы - это уже дополнительно.


Добавлено:
Да, кто еще верит в шифры как панацею - читать пост в теме Чем зашифровать данные на диске
Автор: howhat
Дата сообщения: 01.12.2005 19:05
bredonosec

Цитата:
В инете работаешь с одним винтом, вне инета - другой винт. Перелететь ничего не в состоянии физически.

"Когда-нибудь я стааану луучше
И богаче, чем тепе-еерь..."

Цитата:
здесь все, или, скажем так, многие имеют высшее. кое-кто из толпы и не одно. так что не надо пальцев, ок?

Не имею привычки крутить пальцами. Речь шла о БОЛЕЕ ПРОСТОМ ПУТИ, я аргументировал, ссылаясь на свой реальный опыт самообразования, без коего получение действительного образования невозможно. Только адекватная оценка простоты-сложности пути, больше ничего. А здесь потому и вопросы задаю, что вижу высокий уровень знаний участников.

Цитата:
Скажем так, при физическом доступе - да. А из сети - фигушки. Это если речь о правильно настроенных безопасности и правах.

Это абсолютно точно? Это действительно остановит вирус??
Вчера прочел пару статеек по настройке безопасности, но в них речь шла о защите от хакеров. Про вирусы не было.
Автор: pop2ROOT
Дата сообщения: 01.12.2005 19:30
howhat
хочу заметить: не всегда более простой путь является более правильным.
чаще наоборот... ну дело твоё
Автор: rpns
Дата сообщения: 01.12.2005 22:44
bredonosec

Цитата:

Цитата: А как насчет пароля в BIOS`е?

А смысл? (впрочем, также как и шифрование - ведь если ты открыл том, то он открыт для ОСи, которая может быть заражена)
Автор: bredonosec
Дата сообщения: 02.12.2005 09:54

Цитата:
Вчера прочел пару статеек по настройке безопасности, но в них речь шла о защите от хакеров. Про вирусы не было.
- Ограничения нтфс - это не ограничения ОСи, а ограничения файловой системы. То есть, на более низком уровне.

Цитата:
И богаче, чем тепе-еерь..."
- Маленький поношенный винт стоит копейки. У нас, напр, 4 гиг винт стоит где-то 35-40 литов (ака 350-400 руб). Барракуда. Сам покупал и юзаю. Может, теперь еще дешевле стали.
Али обязательно в инете пользовать новый и огромный - на полтерабайта?

rpns

Цитата:
для решения следующей задачи, и только для нее.
Простите, значит неправильно понял вас

Цитата:
Что значит "иногда работает"?
- Были отзывы, что вообще ставиться не желает. При какой-то определенной конфигурации жестких и разделов на них.

Страницы: 1

Предыдущая тема: 100% загрузка процессора на 2 минуты при запуске программ


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.