» Защита флэшки от вирусов

2 kimp07 - порадовала приведенная вами ссылка - _ttp://www.siteguard.ru/p26.html
Их flashprotect.bat - это один к одному слизанный мой AUTOSTOP.BAT version 1.6 (причем без указания авторства).

А вот AUTOSTOP version 2.0.1 я писал уже с учетом того, что вирусы научились переименовывать каталог AUTORUN.INF. Подробнее здесь - mechanicuss.livejournal.com/195192.html

ого .. блин о переименовании папки я и не подумал .. возьму на заметку !

Serhiy123, тоже искал способы борьбы с этой заразой
в итоге написал простенькую прогу которая запускается с флешки и открывает файл авторан на полных правах, сверяет его CRC сумму ,если надо перезаписывает и информирует о заражении (помнится большинство вирусов не будут разблокировать дескриптор или завершать процесс его создавший)

проблема: нужны пример строки авторана , чтобы однозначно запускать прогу
поможете ?

ktotama

Цитата:

Strange

Цитата:
Цитата:
Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.

Ага, а удалить папку или переименовать вирус не догадается

2 goodbro - хорошее описание файла autorun.inf

В Сети гуляет еще вот такой пример:

Код:
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

Как лишить вирус возможности создать файл autorun.inf (вообще любой файл) в корне флешки с FAT:

Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.
Выполняем такую последовательность команд (все данные при этом будут уничтожены!):

Код: umount /dev/sdc1
mkdosfs -r 16 /dev/sdc1
mount /dev/sdc1 /media/disk
cd /media/disk
touch `perl -e 'print "X" x 160'`
mkdir Documents
cd /
umount /dev/sdc1

vjunk
Интересный способ!
Можно ли подобным образом оформатировать флешку из-под Windows?

PS - по идее буде работать олько с флешками, размером не более 2 Гиг: ограничение на размер тома в FAT.
В FAT32 и в NTFS такого ограничения нет, но нет и ограничения на количество файлов корневого каталога - так что там это не сработает.

Serhiy123
Под Windows нужна программа форматирования, в которой можно задать произвольные параметры FAT. Я такую не знаю, хотя под DOS они были.

Большую флешку можно порезать на разделы по 2Гб

с запуском пока не важно выходит если винда и присваивает действие на открытие флешки то только через проводник, про автоплей речь пока не идет (разумная винда ?)
думал подключить devcon к выходу по команде но remove usbstor ничего не дает

п.с сама идея пока жива, т.е открыть файл авторан переписать и не давать доступа к нему до полного отключения флешки (пока горячего но если удастся найти прогу то и мягкого отключения)

Где то пробегала инфа по поводу имени файла в Windows который создать можно, но потом удалить просто так невозможно, т.к. Винда его не может правильно инициализировать, а следовательно и удалить. Так вот поместив этот файл в нужную папку можно таким образом защитить эту папку от затирания. Конечно данный способ не избавляет от переименования папки. Но все таки....

goodbro
Значит отключен автозапуск в Windows. Думается мне, что такой вариант не очень перспективен - т.к. пользователи все чаще отключают автозапуск, что есть хорошо.

Dialer777
Это уже пройденный этап - я использую такой метод в своем скрипте начиная с самой первой версии - см. mechanicuss.livejournal.com/195192.html

А в новой версии 2 решена и проблема переименования каталога AUTORUN.INF

Кхм, кхм )
Предлагаю потестить эту прогу http://ali-k777.narod.ru/autoruncleaner.html
PS: Это активный монитор флэшек.
Serhiy123
)

ALLIGATORone

Цитата:

PS: Это активный монитор флэшек.

для его использования нужны права админа? он портабельный?

ALLIGATORone
Спасибо - всенепременно потестим, много о ней наслышан!

burin

Цитата:

PS: Это активный монитор флэшек.
для его использования нужны права админа? он портабельный?

Нет. Да.

действительно, по работе обходишь в день порой по 10 клиентов совершенно тебе не знакомых, и как результат полна флеха всякой х-йни заразной. да ладно бы просто меняла авторан, так ведь частенько и программы на флехе тоже заражает. и если это случилось на первых клиентах - сушите вёсла господа , пипец просто - едем домой или офис для забора софта заново на флешку.

Реальных выхода из положения на мой взгляд 2
1
аппаратно отключать запись на флеху
На 5 флешек -- 4 контроллера. С учётом мелких модификаций -- 2 типа.
На всех 5 есть несколько незадействованных ног.
У всех 2 типов есть спец. нога для логич. сигнала WRITE_DISABLE.
На всех 5 эта нога среди незадействованных.

у или может наоборот (не помню уже) -- нога для сигнала ENABLE, и задействована "напрямую", т.е. просто припаяна к печатке, безо всяких переключателей -- суть от этого не меняется.
2
я так думаю есть программы для ограничения доступа к разделам.
создать на флешке 2 раздела.
первый раздел размером равным размеру данной программки.
все остальное второй раздел.
т.е. на первом разделе не будет места для создания autorun.ini файла и записи теле вируса. Только одна программка открытия второго раздела на необходимый доступ (чтение/запись)

последняя идея интересная, но есть одно существенное НО!

ну разбить сторонними стредствами флешку на части можно
но винда дополнительные разделы не будет видеть, это особенность винды которую невозможно обойти стандартными средствами

для себя и своих определенных компов вы сможете это сделать, например насильно установив гуляющий по инету драйвер Hitachi для usb внешнего hdd

и тогда хоть 10 разделов создавайте
но на любом чужом компе эти разделы будут не видны вообще!

к тому же не будет виден значок флешки для дисков - но это мелочь

я таким образом себе сделал на флешке скрытый раздел для хранения паролей
прикрыл его TrueCrypt-ом, и теперь даже методом утюга и паяльника не выудить оттуда информацию не имея ключевого файла, который в свою очередь лежит только на домашнем и на рабочем компе запрятанный в глухом месте где нибудь

можно смело ее терять, взломать уже невозможно

если кому интересны подробности - могу расписать подробнее

но по теме ветки - затор получился, как обойти дурацкое ограничение винды на то что она видит только один раздел на флешке, не устанавливая ничего на комп, я пока не находил

для своего строго очерченного круга компов вы сможете это сделать, и они будут узнавать вашу флешку и считать ее внешним usb hdd, а вот как быть с сторонними компами

Я так ничего вразумительного не услышал про NTFS.
Зачем выдумывать велосипед, надумывать кучу забот? Большая половина вирусов пишется в корень. Ну и залочте его (корень) для всех. У меня запись возможна только под определенным юзером и то не в корень (запись - только на моем ПК, для остальных - только один подкаталог pomoyka). Что такого важного у юзера может быть, чтобы это писать в корень? Лучше продумать варианты: если фат - доступ залочить, если пишет в корень - доступ залочить (принудительно всех перевести на нтфс, или как подстраховка от чужих/левых флэшек - все через админа)

[q][/q]

anpsoft а можно по подробней по этот метот интересно очень

в смысле про закрытый раздел на флешке ?

а то ведь по теме ветки не фига не выходит пока таким путем

в продолжение темы
сегодня вышел autostop.2.3, о котором упоминал выше Serhiy123. в данной версии мне лично понравилось ОРИГИНАЛЬНОЕ решения блокировки записи данных на флешку

anpsoft


да про закрытый раздел на флешке очень интересно

значит так
разбиваем флешку на части
я выделил 10 мегабайт - для паролей и сценариев всяких серктеных достаточно

если она пустая то наверное можно и стандартными методами винды
я акронисом пользовался

после этого в винде как была одна так и осталась, меньбше только стала

по инету гуляет идея как надурить винду
http://www.lancelhoff.com/make-windows-see-any-usb-flash-drive-as-local-disk/

находим и скачиваем CompactFlash fixed disk filter driver от Hitachi
http://www.lancelhoff.com/downloads/USB_LocalDisk.zip
он там даже в исходниках если кто не доверяет

затем смотрим в панели управления - система - диспетчер устройств - дисковые устройства нашу флешку
выбироаем ее свойства - закладку сведения о устройстве
и копируем клавишами (Ctrl + Insert например) код экземпляра устройства

что то в таком духе - USBSTOR\DISK&VEN_&PROD_USB_FLASH_DRIVE&REV_1.01\57540625050F&0

затем открываем в предварительно распакованном скачанном драйвере файл cfadisk.inf

и меняем значение после последней запятой в первой строке группы [cfadisk_device] на 26 строке на скопированный нами код экземпляра

сохраняем, и обновляем драйвер нашего устройства, подсунув ему наш скачанный исправленный inf файл

отбиваемся от защиты винды и имеем в итоге вместо флешки якобы внешний usb винт


дальше скачиваем True Cript с http://www.truecrypt.org/

делаем из второго раздела секретный диск
я сначала в их оболочке пробовал
а затем перешел на более удобный путь - командная строка

ну и наконец, так как секретный раздел в винде уже не может работать как обычный диск, идем опять в акронис и делаем наш второй секретный раздел скрытым

это не мешает работе true cript, зато винда забывает о его присутствии

при необходимости подключить секртеный раздел, запускаем скрипт подготовленный, и если праоль правильный и ключевой файл подходит - вуаля ! имеем новый диск в системе, который можно настроить на автоотключение после некоторого определенного вами времени неактивности с ним
удобно, если забыли отключить и кто то другой за ваш комп сел

на другие компы где нужен доступ к секретному разделу вы копируете ключевой файл и устанавливаете драйвер хитача

а если кто нашел вашу потерянную флешку то он не увидит второй раздел в винде
если он дотошный и таки узнает о нем, и о том что использовался true cript, он не сможет его открыть
не поможет ни пароль, ни даже утюг вам на живот
ведь вы сами без ключевого файла не сможете его открыть

ну в общих словах так


Добавлено:
кстати второй способ http://www.lancelhoff.com/multi-partition-a-usb-flash-drive-in-windows/ у меня не заработал

anpsoft

огромное спасибо очень сильно помогли

самый реальный способ.
создаете папку в корне autorun.inf
внутри файл вот такой командой
echo 222 > "\\?\I:\AUTORUN.INF\autorun.inf.."
i: имя диска флешки.
теперь файл удалить нельзя т.к. имя запрещенное
и сооветвенно нельзя удалить папку.
т.е. autorun.inf не пройдет.

anpsoft

Цитата:

значит так
разбиваем флешку на части
я выделил 10 мегабайт - для паролей и сценариев всяких серктеных достаточно
если она пустая то наверное можно и стандартными методами винды
я акронисом пользовался
после этого в винде как была одна так и осталась, меньбше только стала
по инету гуляет идея как надурить винду

а не проще сразу использоватся софт который разбивает флешку на две части к примеру USB DISK Pro Security App или ей подобные. И хранить "секретные" файлы на превратной части. Пример приведен тут Защита конфиденциальных данных на съемных носителях.

se111
Самое простое и гениальное решение

ну конкретный пример мне сильно не понравился
во первых не признаю защиты только по паролю
у меня стоит 12345 пароль для защиты от случайного гостя за компом
для того кто найдет утерянную флешку пароль ерунда по сравнению с ключевым файлом
а то что там форматирование типа после серии неверного ввода легко обойти на самом деле низкоуровневым созданием образа всей флешки

во вторых описанным мной методом можно несколько создать разделов, и не обязательно скрытых

ну и кроме того та статья ведь именно True Crypt в начале раcхваливает

Говорили о защите от вирусов, а теперь перешли к криптографии.

se111
выше уже упоминался данный вариант