Serhiy123 спасибо
BakLAN NOD удалил, а Dr.Web 5 помог
BakLAN NOD удалил, а Dr.Web 5 помог
» Защита флэшки от вирусов
Жалко что без autorun.inf не получится иконку самого носителя изменить. Desktop.ini тут уже не действует.
Так бы намного нагляднее было. Не заходя на флешку. Нет иконки - уже что то не так...
Так бы намного нагляднее было. Не заходя на флешку. Нет иконки - уже что то не так...
Serhiy123
Я ничего не понял, потому что на моей домашней ОСи (Windows XP x64) Panda на локальных дисках написала папочки с именами Autorun.inf:
На Windows 7 x64 она не хочет этого делать. На полеченных Windows XP SP3 - тоже.
Единственное, что выяснил нового, это то, что если установлен антивирь DrWeb, в его мониторе есть функция защиты от автозапуска на сменных носителях. Поэтому вакцинировать флешки мне удалось сегодня лишь сняв соответствующую галочку в настройках монитора. Но, что касается ЖД-кофф, как я ни пытался менять настройки, какие галочки не снимал (единственное лишь, не выгружал монитор), соответствующая папка так и не появилась на локальных дисках. Попробую в следующий раз выгрузить его нафик и вакцинировать.
Добавлено:
ardkl
Цитата:
Это дело другое.
Я ничего не понял, потому что на моей домашней ОСи (Windows XP x64) Panda на локальных дисках написала папочки с именами Autorun.inf:
На Windows 7 x64 она не хочет этого делать. На полеченных Windows XP SP3 - тоже.
Единственное, что выяснил нового, это то, что если установлен антивирь DrWeb, в его мониторе есть функция защиты от автозапуска на сменных носителях. Поэтому вакцинировать флешки мне удалось сегодня лишь сняв соответствующую галочку в настройках монитора. Но, что касается ЖД-кофф, как я ни пытался менять настройки, какие галочки не снимал (единственное лишь, не выгружал монитор), соответствующая папка так и не появилась на локальных дисках. Попробую в следующий раз выгрузить его нафик и вакцинировать.
Добавлено:
ardkl
Цитата:
NOD удалил, а Dr.Web 5 помог
Это дело другое.
BakLAN - Панда создает не папку, как на скриншоте, а "неведому зверушку" - не файл и не папку, а нечто с запрещенным атрибутом 0х40 и размером 16 байт - его нельзя ни удалить, ни просмотреть, ни войти в него, ни отредактировать - ничего нельзя.
То что на скриншоте - создано не Пандой, а вероятнее всего USB Disk Security (пункт Asquire immunity - это именно о нем вы говорили).
dimbat - да, действительно жаль. Один из моих первых опытов в этой области заключался в том, что на флешке я создавал свой файл autorun.inf , прописывал свою иконку, и надеялся по ее отсутствию определить наличие вируса. Буквально через несколько дней я поймал на эту флешку вирус, который просто дописал в файл autorun.inf все что ему нужно было запустить, не затронув секцию иконки - таким образом метод себя не оправдал.
То что на скриншоте - создано не Пандой, а вероятнее всего USB Disk Security (пункт Asquire immunity - это именно о нем вы говорили).
dimbat - да, действительно жаль. Один из моих первых опытов в этой области заключался в том, что на флешке я создавал свой файл autorun.inf , прописывал свою иконку, и надеялся по ее отсутствию определить наличие вируса. Буквально через несколько дней я поймал на эту флешку вирус, который просто дописал в файл autorun.inf все что ему нужно было запустить, не затронув секцию иконки - таким образом метод себя не оправдал.
Serhiy123
Хм.... USB Disk Security вроде создаёт "zhengbo.", а не "immunity.", как я думал, а оказалось действительно, что Panda не удаляет эти "файло-папки". Просто в последней версии USB Disk Security по-видимому изменилось название, а я этого и не заметил.
Получается, что так оно и есть, как Вы говорите. В общем, не знаю почему, но мне изначально почему-то казалось, что Panda тоже должна их создавать. Тупо не прочитал под кнопочкой, на что она действует.
В связи со всем вышесказанным вопрос. Насколько полезно и актуально создание подобных "файло-папок" с неправильным аттрибутом именно на ЖД? Посколько это вроде бы присутствует в AUTOSTOP`Е, я так понимаю, что полезно, только точно не в курсе, создаёт ли скрипт его и на ЖД. Спасибо.
Хм.... USB Disk Security вроде создаёт "zhengbo.", а не "immunity.", как я думал, а оказалось действительно, что Panda не удаляет эти "файло-папки". Просто в последней версии USB Disk Security по-видимому изменилось название, а я этого и не заметил.
Получается, что так оно и есть, как Вы говорите. В общем, не знаю почему, но мне изначально почему-то казалось, что Panda тоже должна их создавать. Тупо не прочитал под кнопочкой, на что она действует. В связи со всем вышесказанным вопрос. Насколько полезно и актуально создание подобных "файло-папок" с неправильным аттрибутом именно на ЖД? Посколько это вроде бы присутствует в AUTOSTOP`Е, я так понимаю, что полезно, только точно не в курсе, создаёт ли скрипт его и на ЖД. Спасибо.
BakLAN
Цитата:
Хорошо что разобрались.
Цитата:
Это без сомнения актуально - вирусы пока не умеют этого обходить. По крайней мере мне известна лишь одна пробная разработка (название афишировать не буду), я тестировал ее - она пытается обойти пандовскую защиту - но не может.
А вот насчет полезности - сказать никто не может - согласно FAT32 File System Specification, более известной как FATGEN (в контексте защиты флешек с FAT) существуют следующие атрибуты:
File attributes:
ATTR_READ_ONLY 0x01
ATTR_HIDDEN 0x02
ATTR_SYSTEM 0x04
ATTR_VOLUME_ID 0x08
ATTR_DIRECTORY 0x10
ATTR_ARCHIVE 0x20
ATTR_LONG_NAME ATTR_READ_ONLY | ATTR_HIDDEN | ATTR_SYSTEM | ATTR_VOLUME_ID
The upper two bits of the attribute byte are reserved and should always be set to 0 when a file is created and never modified or looked at after that.
Панда же выставляет некорректный атрибут 0x40, которого нет в спецификациях
WinHex, например, при открытии такой флешки, ругается на некорректность. Возможно если в критической ситуации дойдет дело до чекдиска - неизвестно как он среагирует (у меня несколько раз было что чекдиск после нахождения ошибок пытался их исправить - в итоге вся информация на винчестере была аккуратно порезана на кусочки размером 16Кб с расширением *.chk, с которыми уже ничего нельзя было сделать).
Так что тут палка о 2 концах. И для защиты разделов ЖД я бы точно не советовал Панду.
Цитата:
Нет - в AUTOSTOP другой принцип защиты: скрипт (аналогично USB Disk Security) создает обычный каталог с именем AUTORUN.INF с более усложненной структурой подкаталогов с некорректными именами (против удаления) и иконкой-индикатором. Если каталог AUTORUN.INF будет переименован - иконка исчезнет - что будет служить признаком заражения. Этот способ намного эффективнее, нагляднее и удобнее обычного способа, применяемого в USB Disk Security и ряде подобных программ. Его можно смело рекомендовать как для защиты флешек, так и для защиты разделов ЖД.
Цитата:
Получается, что так оно и есть, как Вы говорите
Хорошо что разобрались.
Цитата:
Насколько полезно и актуально создание подобных "файло-папок" с неправильным аттрибутом?
Это без сомнения актуально - вирусы пока не умеют этого обходить. По крайней мере мне известна лишь одна пробная разработка (название афишировать не буду), я тестировал ее - она пытается обойти пандовскую защиту - но не может.
А вот насчет полезности - сказать никто не может - согласно FAT32 File System Specification, более известной как FATGEN (в контексте защиты флешек с FAT) существуют следующие атрибуты:
File attributes:
ATTR_READ_ONLY 0x01
ATTR_HIDDEN 0x02
ATTR_SYSTEM 0x04
ATTR_VOLUME_ID 0x08
ATTR_DIRECTORY 0x10
ATTR_ARCHIVE 0x20
ATTR_LONG_NAME ATTR_READ_ONLY | ATTR_HIDDEN | ATTR_SYSTEM | ATTR_VOLUME_ID
The upper two bits of the attribute byte are reserved and should always be set to 0 when a file is created and never modified or looked at after that.
Панда же выставляет некорректный атрибут 0x40, которого нет в спецификациях
WinHex, например, при открытии такой флешки, ругается на некорректность. Возможно если в критической ситуации дойдет дело до чекдиска - неизвестно как он среагирует (у меня несколько раз было что чекдиск после нахождения ошибок пытался их исправить - в итоге вся информация на винчестере была аккуратно порезана на кусочки размером 16Кб с расширением *.chk, с которыми уже ничего нельзя было сделать).
Так что тут палка о 2 концах. И для защиты разделов ЖД я бы точно не советовал Панду.
Цитата:
Посколько это вроде бы присутствует в AUTOSTOP`Е, я так понимаю, что полезно, только точно не в курсе, создаёт ли скрипт его и на ЖД.
Нет - в AUTOSTOP другой принцип защиты: скрипт (аналогично USB Disk Security) создает обычный каталог с именем AUTORUN.INF с более усложненной структурой подкаталогов с некорректными именами (против удаления) и иконкой-индикатором. Если каталог AUTORUN.INF будет переименован - иконка исчезнет - что будет служить признаком заражения. Этот способ намного эффективнее, нагляднее и удобнее обычного способа, применяемого в USB Disk Security и ряде подобных программ. Его можно смело рекомендовать как для защиты флешек, так и для защиты разделов ЖД.
Цитата:
Так что тут палка о 2 концах. И для защиты разделов ЖД я бы точно не советовал Панду.
Почему? Она ведь на ЖД ничего не создаёт... Насколько я понял, Панда создаёт автораны лишь на сменных носителях и в реестре отключает возможные способы автозапуска (?)
Цитата:
Так что тут палка о 2 концах.
Т.е. исходя из возможной реакции chkdsk, лучше не некорректный аттрибут, а некорректное имя? К стати, как chkdsk может отреагировать на него?
Цитата:
Этот способ намного эффективнее, нагляднее и удобнее обычного способа, применяемого в USB Disk Security и ряде подобных программ.
Почему бы тогда не добавить в скрипт возможность писать и на локальные диски autorun.inf c некорректными именами подпапок?
BakLAN
Цитата:
Верно. Но теоретически можно попробовать из командной строки с указанием конкретного диска.
Цитата:
Исходя из многих соображений лучше второе.
Цитата:
На некорректный атрибут - никто не знает как.
На некорректное имя файла никак не реагирует.
Цитата:
Такая возможность есть в скрипте изначально: AUTOSTOP создает папку AUTORUN.INF в корне того диска, с которого он запущен. Нужно флешку защитить - записали файл autostop.2.6.exe на флешку, запустили оттуда, и выбрали пункт 2. Нужно диск C - записали на C и проделали ту же процедуру.
Цитата:
Насколько я понял, Панда создаёт автораны лишь на сменных носителях
Верно. Но теоретически можно попробовать из командной строки с указанием конкретного диска.
Цитата:
исходя из возможной реакции chkdsk, лучше не некорректный аттрибут, а некорректное имя
Исходя из многих соображений лучше второе.
Цитата:
К стати, как chkdsk может отреагировать на него?
На некорректный атрибут - никто не знает как.
На некорректное имя файла никак не реагирует.
Цитата:
Почему бы тогда не добавить в скрипт возможность писать и на локальные диски autorun.in
Такая возможность есть в скрипте изначально: AUTOSTOP создает папку AUTORUN.INF в корне того диска, с которого он запущен. Нужно флешку защитить - записали файл autostop.2.6.exe на флешку, запустили оттуда, и выбрали пункт 2. Нужно диск C - записали на C и проделали ту же процедуру.
Цитата:
теоретически можно попробовать из командной строки с указанием конкретного диска.
Пробовал - не катит.
Цитата:
AUTOSTOP создает папку AUTORUN.INF в корне того диска, с которого он запущен.
То, что я хотел услышать.
А то в Readme.txt всё о флехах, да о флехах. Я и посчитал, что на ЖД ничего не создаёт. В общем, я ещё потестю этот скрипт. За инфу спасибо. P.S. К стати метод "ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ" сугубо IMHO - извращение и может быть полезен разве что для вставки флешки в систему, которая изначально известно нашпигована разного рода "жильцами". Ведь флешка тем и удобна, что быстро и удобно "писать-читать-удалять". А каждый раз после изменения данных на ней запускать скрипт и ждать в зависимости от объёма флешки по меньшей мере не рационально. К стати, что будет, если скрипт запущен с ЖД и запустить метод "ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ"? Надеюсь, не будет писать на ЖД?
BakLAN
Цитата:
Извращение конечно - но реально работающее и весьма полезное извращение.
Цитата:
Люблю вопросы заключающие в себе ответ - забъет винт полностью, оставив 0 байт свободного пространства.
Цитата:
"ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ" сугубо IMHO - извращение
Извращение конечно - но реально работающее и весьма полезное извращение.
Цитата:
что будет, если скрипт запущен с ЖД и запустить метод "ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ"? Надеюсь, не будет писать на ЖД?
Люблю вопросы заключающие в себе ответ - забъет винт полностью, оставив 0 байт свободного пространства.
Serhiy123
Цитата:
Бомба... застрелиццо...
Только что иммунизировал локальные диски. Только вот сразу после запуска, скрипт чёт подматеривается:
Цитата:
Цитата:
забъет винт полностью, оставив 0 байт свободного пространства.
Бомба... застрелиццо...
Только что иммунизировал локальные диски. Только вот сразу после запуска, скрипт чёт подматеривается:
Цитата:
'chcp' is not recognized as an internal or external command, operable program or batch file.Кроме того AUTORUN.INF без труда вручную переименовывается в любое другое имя. Разве это есть нормально?
BakLAN - спасибо, проверю - возможно в 7 другой синтсаксис команды chcp.
Цитата:
абсолютно нормально: индикатор исчезает при переименовывании - не заметили? Почитайте подробно о скрипте AUTOSTOP - там все расписано с картинками.
Цитата:
AUTORUN.INF без труда вручную переименовывается в любое другое имя. Разве это есть нормально
абсолютно нормально: индикатор исчезает при переименовывании - не заметили? Почитайте подробно о скрипте AUTOSTOP - там все расписано с картинками.
Цитата:
возможно в 7 другой синтсаксис команды chcp
У меня Windows XP x64 SP2
Цитата:
индикатор исчезает при переименовывании - не заметили?
Заметил-заметил. И читал тоже. Только получается, что вирь может переименовать этот авторан и прописать свой. Т.е. весь смысл получается в индикаторе информирующем заражена ли флешка. А в случае USB Disk Security, когда авторан с некорректным аттрибутом, его изменить, получается, нельзя, а значит вирь не запишет свой авторан. Следовательно, каждый выбирает какую защиту выбирать
К стати, chkdsk всегда делает изменения в случае некорректного аттрибута или только в некоторых случаях? Помнится, я проде бы запускал проверку, но никаких конфликтов с существующими авторанами не было. Снова надо ставить USB Disk Security и тестить...BakLAN
Цитата:
Совершенно верно.
Цитата:
Специально поставил сейчас USB Disk Security чтобы проверить ваше утверждение - вы перепутали его действия с Пандой. USB Disk Security, как и AUTOSTOP, создает каталог AUTORUN.INF (и делает его скрытым) с подкаталогом "immunity." или "zhengbo." (в зависимости от версии) - все. Если вирус его переименовал - обычный пользователь (у которого по умолчанию отключен показ скрытых папок и файлов) ничего не узнает. Теперь подумайте еще раз над фразой "весь смысл получается в индикаторе" - возможно вы измените свое мнение.
Насчет чекдиска - как я уже говорил, я не могу предсказать его поведение в нештатной ситуации.
Цитата:
весь смысл получается в индикаторе информирующем заражена ли флешка
Совершенно верно.
Цитата:
в случае USB Disk Security, когда авторан с некорректным аттрибутом, его изменить, получается, нельзя, а значит вирь не запишет свой авторан
Специально поставил сейчас USB Disk Security чтобы проверить ваше утверждение - вы перепутали его действия с Пандой. USB Disk Security, как и AUTOSTOP, создает каталог AUTORUN.INF (и делает его скрытым) с подкаталогом "immunity." или "zhengbo." (в зависимости от версии) - все. Если вирус его переименовал - обычный пользователь (у которого по умолчанию отключен показ скрытых папок и файлов) ничего не узнает. Теперь подумайте еще раз над фразой "весь смысл получается в индикаторе" - возможно вы измените свое мнение.
Насчет чекдиска - как я уже говорил, я не могу предсказать его поведение в нештатной ситуации.
Цитата:
весь смысл получается в индикаторе
Выходит действительно Панда эффективнее всего, со своим неубиваемым автораном.
Цитата:
дойдет дело до чекдиска
Нормально чекаются, спецом прогонял три флехи.
Serhiy123, Вы принципиально не хотите перехода на способы с кривыми атрибутами? Ведь обычный rename - это реальная дыра во всей защите.
dimbat
Что касается принципиальности, то я за принцип наличия различных способов (любая альтернатива это плюс). Потому и тестирую различные программы, рассматривая их недостатки и достоинства (см. раздел "Ссылки по теме" у меня в ЖЖ).
Что касается принципиальности, то я за принцип наличия различных способов (любая альтернатива это плюс). Потому и тестирую различные программы, рассматривая их недостатки и достоинства (см. раздел "Ссылки по теме" у меня в ЖЖ).
Serhiy123
Я просто хотел выяснить одно: что всё же более надёжно. И мне показалось, что Ваш вариант с индикатором хорош, но он лишь информативен, а в случае с неправильным аттрибутом, получается ещё и недёжен. В случае с неправильным аттрибутом в autorun.inf ни зайти, ни посмотреть по F3, ни удалить, не переименовать его не получается. Следовательно, не лучше ли объединить оба способа: индикатор + неправильная папка и неправильный аттрибут autorun.inf ?
Ещё момент. Гадкий вирусописатель почитает Ваш ЖЖ и всунет в свой вирус команду:
rmdir /S "\\?\M:\AUTORUN.INF\"
Или что-то в этом роде и папка с неправильным именем удалиться. Или ещё проще - элементарное переименование и запись своего "заразного" autorun.inf.
Есть какая подобная команда, при помощи которой можно удалить нечто с неправильным аттрибутом?
dimbat
Цитата:
До сих пор не могу понять, чем она эффективнее, если на ЖД ничего не создаёт. А USB Disk Security как раз это делает - с неправильными аттрибутами. Мне видится наиболее удачным способом защиты:
1) AUTOSTOP - 1 ПУНКТ;
2) USB Disk Security - создание Autorun.inf на флешках и на всех локальных дисках. После этого прогу в принципе можно и удалять.
Вывод. Хотелось бы получить вышеуказанные 2 пункта в одной програме. Например, AUTOSTOP 3.0. ^)
Я просто хотел выяснить одно: что всё же более надёжно. И мне показалось, что Ваш вариант с индикатором хорош, но он лишь информативен, а в случае с неправильным аттрибутом, получается ещё и недёжен. В случае с неправильным аттрибутом в autorun.inf ни зайти, ни посмотреть по F3, ни удалить, не переименовать его не получается. Следовательно, не лучше ли объединить оба способа: индикатор + неправильная папка и неправильный аттрибут autorun.inf ?
Ещё момент. Гадкий вирусописатель почитает Ваш ЖЖ и всунет в свой вирус команду:
rmdir /S "\\?\M:\AUTORUN.INF\"
Или что-то в этом роде и папка с неправильным именем удалиться. Или ещё проще - элементарное переименование и запись своего "заразного" autorun.inf.
Есть какая подобная команда, при помощи которой можно удалить нечто с неправильным аттрибутом?
dimbat
Цитата:
Выходит действительно Панда эффективнее всего, со своим неубиваемым автораном.
До сих пор не могу понять, чем она эффективнее, если на ЖД ничего не создаёт. А USB Disk Security как раз это делает - с неправильными аттрибутами. Мне видится наиболее удачным способом защиты:
1) AUTOSTOP - 1 ПУНКТ;
2) USB Disk Security - создание Autorun.inf на флешках и на всех локальных дисках. После этого прогу в принципе можно и удалять.
Вывод. Хотелось бы получить вышеуказанные 2 пункта в одной програме. Например, AUTOSTOP 3.0. ^)
BakLAN
Цитата:
Сейчас попробовал на съемном usb hdd с экспериментальным ntfs. Панда отработала, файла autorun.inf почему-то не видно, но и создать его теперь нельзя в корне. Эффективность подтверждена и на hdd.
Цитата:
...на ЖД ничего не создаёт
Сейчас попробовал на съемном usb hdd с экспериментальным ntfs. Панда отработала, файла autorun.inf почему-то не видно, но и создать его теперь нельзя в корне. Эффективность подтверждена и на hdd.
dimbat
Да, для меня тоже загадка как работает Панда с NTFS. Интересно бы узнать.
Да, для меня тоже загадка как работает Панда с NTFS. Интересно бы узнать.
dimbat
Цитата:
Если оно экспериментально, не факт, что не возникнет никаких проблем. Ведь для NTFS и так есть достаточно надёжное решение. Да и большинство людей пользуются флешками даже не задумываясь о том, какая на ней файловая система, точнее даже не зная, что это такое.
Цитата:
с экспериментальным ntfs
Если оно экспериментально, не факт, что не возникнет никаких проблем. Ведь для NTFS и так есть достаточно надёжное решение. Да и большинство людей пользуются флешками даже не задумываясь о том, какая на ней файловая система, точнее даже не зная, что это такое.
BakLAN
О большей эффективности я говорил сравнивая с методом autostop-а. А уж как применить кривой атрибут, пандой или хекс-редактором, не принципиально.
Цитата:
А как Вы себе это представляете, если авторан станет неюзабельным в принципе, после атрибутного способа?
Да и смысла нет в семафоре вообще никакого, пока авторан неубиваемый...
О большей эффективности я говорил сравнивая с методом autostop-а. А уж как применить кривой атрибут, пандой или хекс-редактором, не принципиально.
Цитата:
не лучше ли объединить оба способа: индикатор + неправильная папка и неправильный аттрибут autorun.inf ?
А как Вы себе это представляете, если авторан станет неюзабельным в принципе, после атрибутного способа?
Да и смысла нет в семафоре вообще никакого, пока авторан неубиваемый...
Цитата:
Да и смысла нет в семафоре вообще никакого, пока авторан неубиваемый...
Вот именно! Я о чём и говорю. Если авторан неубиваемый, разве это не надёжнее, чем если он убиваемый? При всём уважении к автору AUTOSTOP`а, неубиваемый авторан надёжнее симафора. Переубедите меня кто-нибудь, если я неправ.
BakLAN
Цитата:
Ну автор и не претендует на золотую медаль, он сам об этом писал. Он каталогизатор информации в первую очередь.
---
А вот совместить несовместимое - это к сожалению никак.
Цитата:
Переубедите меня
Ну автор и не претендует на золотую медаль, он сам об этом писал. Он каталогизатор информации в первую очередь.
---
А вот совместить несовместимое - это к сожалению никак.
Цитата:
А вот совместить несовместимое - это к сожалению никак.
Я специально к этому подвёл, чтобы кто-нибудь сам определил, что надёжнее, а то получилось бы, что это лишь моё, возможно, ошибочное мнение. Да и не в медали дело, а в том, чтобы сделать по возможности наиболее надёжную защиту от авторан-вирусов. К тому же на сайте прочитал, что метод записи на ЖД, как делает USB Disk Security - не надёжен. А получается, что наоборот - надёжнее, чем симафор. Написано, что Panda вроде как продвинутее того же USB Disk Security, который я снёл и перешёл на последнюю. Потом поюзал-поюзал, пока наконец-то при помощи автора AUTOSTOP`а не выяснил, что Panda не пишет на локальные диски автораны, а только на USB. Получается, то всё-таки Panda уступает проге USB Disk Security. А я было поверил написанному.
BakLAN
Цитата:
Зачем так кардинально то? Есть же отличный способ №1 из автостопа. И пусть вирь хоть обпишется в авторанах на лок.дисках - всё равно они уже без автозапуска.
А битые автораны в довесок - это чересчур маниакально
Цитата:
Panda не пишет на локальные диски автораны
Зачем так кардинально то? Есть же отличный способ №1 из автостопа. И пусть вирь хоть обпишется в авторанах на лок.дисках - всё равно они уже без автозапуска.
А битые автораны в довесок - это чересчур маниакально
Цитата:
А битые автораны в довесок - это чересчур маниакально
Так ведь вроде лишний раз перестраховаться не помешает.
А насчёт первого способа от автостопа - это без вопросов. Добавлено:
К стати пункты MountPoint2 в реестре часто сами восстанавливаются, поэтому, получается, что битые автораны уж не так и маниакальны...
BakLAN
Цитата:
Ну, во-первых, Автостоп в эту ветку и не лезет (по крайней мере об этом ничего не сказано в №1).
Во-вторых, вирь в теории может и все остальные изменения реестра вернуть как ему надо.
Но Вы же ведете речь уже о локальных дисках в рабочей системе! Какой же дырявый должен быть антивирь/хипс, если такое допустит??? Да его в помойку тогда сразу! И даже не будем предполагать, что существует пользователь, который не устанавливает в систему антивирус и "патчит" автораны при этом - НОНСЕНС
Потом, существуют тысячи других вирей, которым авторан до лампочки. И этим патчем кардинально ничего не решишь. Ну чуть облегчите только работу антивируса, не более. И даже в качестве превентивной меры от автозапуска способ "номер раз" не особо необходим прям уж так, что уж там патч.
Поймите, в этой теме не ищут панацею от всего и вся. Тут пытаются максимально обезопасить именно ФЛЕШКИ/СЪЕМНЫЕ НОСИТЕЛИ, чтобы через них вири не распространялись далее. И изувеченный атрибутами авторан тут как раз самое оно, но только тут. Остальное - дело антивирусов.
А Вы зациклились на вакцине от одного из тысячи возможных способов заразить именно Вашу локальную систему! Позабыв о сабже начисто уже
Цитата:
MountPoint2
Ну, во-первых, Автостоп в эту ветку и не лезет (по крайней мере об этом ничего не сказано в №1).
Во-вторых, вирь в теории может и все остальные изменения реестра вернуть как ему надо.
Но Вы же ведете речь уже о локальных дисках в рабочей системе! Какой же дырявый должен быть антивирь/хипс, если такое допустит??? Да его в помойку тогда сразу! И даже не будем предполагать, что существует пользователь, который не устанавливает в систему антивирус и "патчит" автораны при этом - НОНСЕНС
Потом, существуют тысячи других вирей, которым авторан до лампочки. И этим патчем кардинально ничего не решишь. Ну чуть облегчите только работу антивируса, не более. И даже в качестве превентивной меры от автозапуска способ "номер раз" не особо необходим прям уж так, что уж там патч.
Поймите, в этой теме не ищут панацею от всего и вся. Тут пытаются максимально обезопасить именно ФЛЕШКИ/СЪЕМНЫЕ НОСИТЕЛИ, чтобы через них вири не распространялись далее. И изувеченный атрибутами авторан тут как раз самое оно, но только тут. Остальное - дело антивирусов.
А Вы зациклились на вакцине от одного из тысячи возможных способов заразить именно Вашу локальную систему! Позабыв о сабже начисто уже
dimbat
Цитата:
Не-не-не... ничего подобного. Ведь заражение происходит, как с зараженного компьютера - на флешку, так и с зараженной флешки на компьютер. В обоих случаях присутствуют файл autorun.inf как на флешке, так и на локальном(-ых) диске(-ах). Я лишь хочу как можно подробнее разобраться. И вот, что новое только что определил. Проверил только что три последних версии USB Disk Security. Оказывается я грубо ошибался. Эта прога не создаёт авторанов с неправильными аттрибутами. После создания этих файлов на локальных дисках и флешке я благополучно удалил их при помощи команды:
Код: rmdir /S "\\?\диск:\AUTORUN.INF"
Цитата:
А Вы зациклились на вакцине от одного из тысячи способов заразить именно Вашу локальную систему! Позабыв о сабже начисто уже
Не-не-не... ничего подобного. Ведь заражение происходит, как с зараженного компьютера - на флешку, так и с зараженной флешки на компьютер. В обоих случаях присутствуют файл autorun.inf как на флешке, так и на локальном(-ых) диске(-ах). Я лишь хочу как можно подробнее разобраться. И вот, что новое только что определил. Проверил только что три последних версии USB Disk Security. Оказывается я грубо ошибался. Эта прога не создаёт авторанов с неправильными аттрибутами. После создания этих файлов на локальных дисках и флешке я благополучно удалил их при помощи команды:
Код: rmdir /S "\\?\диск:\AUTORUN.INF"
BakLAN
Дались же Вам эти локальные диски Как будто локальной защиты вовсе нет...
Ну создайте самостоятельно авторан и хекс-редактором далее. Вот здесь как раз такие же real maniacs экспериментируют
Дались же Вам эти локальные диски
Как будто локальной защиты вовсе нет... Ну создайте самостоятельно авторан и хекс-редактором далее. Вот здесь как раз такие же real maniacs экспериментируют
dimbat
Ага! Таки опередили меня! Я ещё не успел задать вопрос, а Вы уже на него ответили! Пойду маньячить в другую ветку. Если что вернусь. Спасибо.
Ага! Таки опередили меня! Я ещё не успел задать вопрос, а Вы уже на него ответили!
Пойду маньячить в другую ветку. Если что вернусь. Спасибо.Предыдущая тема: Удаленное контролирование неуправляемых коммутаторов :)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.