» Защита флэшки от вирусов

BakLAN
А чем не устроил метод с "@SYS:DoesNotExist"?

PhoenixUA
А кто сказал, что не устроил? Благополучно вписал в реестр. Только часто замечаю, что после перезагрузки компа, оно пропадает из реестра.

Только что решил поковырять AUTORUN.INF, который создаёт Панда на фляхах. Не знаю, почему Serhiy123 писал, что она пишет ему атрибут 40, потому как у меня определился - 42. Может, зависит от версии или вообще случайным образом? К стати сам файл весит 16 байт, значит не пустой получается. В WinHex`е изменил атрибут 42 на 10, таким образом превратив AUTORUN.INF в папку. Внутри папки обнаружился файл:

По типу соответствует Microsoft Agent Character File (HTTP format). Кто-нибудь может рассказать, чё оно такое? К стати файл теперь по размеру 0 байт и соответственно папка AUTORUN.INF - 0 байт. Кто-нить объясните, почему 16 байт превратились в 0 байт и зачем Панда создала в папке этот странный файл, который к стати имеет корректное имя и удаляется без проблем?

Ещё момент. Насколько я понимаю спецификация атрибутов для FAT32 отличается от NTFS. Как узнать коды атрибутов для NTFS?

Уважаемые, а нет ли надежного способа защитить ПАПКУ от проникновения вирусов?
Вставил флешку в насквозь зараженный комп, чтоб от вирусов полечить, а он зараза мне все дистрибутивы перезаражал пока флешка там торчала.
Я так понимаю, редактированием прав на папку не обойдешься.
Или может какая нибудь программка есть, которая обеспечивает протекцию, а сама в авторане флешки сидит?

Цитата:

Я так понимаю, редактированием прав на папку не обойдешься.

Как раз редактированием прав.


Цитата:

Или может какая нибудь программка есть, которая обеспечивает протекцию, а сама в авторане флешки сидит?

Но как вариант, можете попробовать функцию программной защиты флешки от записи из моего AUTOSTOP. Правда "в авторане она не сидит". Принцип такой: сформировали себе флешку с дистрибутивами, запустили AUTOSTOP, и в пункте 3 меню выставили защиту на флешку.

Цитата:

запустили AUTOSTOP, и в пункте 3 меню выставили защиту на флешку

спасибо. удобная вещь. но вот хотелось бы чтобы после установки защиты была большая свобода действий. Точнее было бы хорошо не совершать дополнительных манипуляций, если я хочу обновить дистрибутивы или просто изменить какой либо файлик.

Цитата:

было бы хорошо не совершать дополнительных манипуляций, если я хочу обновить дистрибутивы

В данном случае без "доп. манипуляций" не обойтись: сам принцип основан на том, что все свободное место на флешке заполняется файлами-пустышками (на флешке остается 0 байт свободного места). Но, чесно говоря, манипуляции при обновлении дистрибутивов не особо затруднительны: удалить один из файлов-пустышек (минимально необходимого размера), обновить дистрибутивы, и снова запустить пункт 3 скрипта - все.


Цитата:

хотелось бы ... была большая свобода действий

Например записывайте дистрибутивы на DVD-RW

Защищаем "флэшку"
http://www.archprogram.narod.ru/security.html

kpdozer
Как я понимаю, способ должен работать на любой машине, причем запускать свой софт на них не подходит (чтобы его запустить, надо вставить флешку). Поэтому работаем с носителем.
Или ставим read-only на все сразу, или CD-RW.

А есть что-нибудь подобное антивирусу, который может запустится с внешнего насителя при его подключении к компьютеру?

Вот вроде нашел интересное решение по защите флешки от вирусов
http://firemaster.ucoz.ru/load/programmy/bezopasnost/zashhita_fleshki_ot_virusov/10-1-0-69

Bujnyj - это и есть принцип действия AUTOSTOP.

привет всем, нужна ваша помощь, есть флешка на 16 гб, в ней вирус точно, не важно как узнал но я узнал, одна в папке fish другая даже путь скажу: H:\carry\jIm.exe, удалить я не могу их ибо как только я прикасаюсь к файлам курсором (1 раз кликаю), вся флешка виснет, и показывает 0 кб на ней, так же при любой операции через файл менеджеры или антивирусы, она сразу виснет, если ее вытащить и вставить то она опять полноценно работает, опять же до тех пор пока не начну делать то что писал выше, через Total Commander получилось залезть на флешку, там у меня 2000 песен, они все нужны, получилось начать копирование, но как только начинает копироваться, виснет процесс копирования, вытаскиваешь и вставляешь флешку жму повторить, он ту песню которая зависла ДОКОПИРЫВАЕТ и на след. зависает, и так сидел тыкал флешку туда сюда, 100 песен скинул, надоело)) решил спросить можно как нибудь исправить это? форматировать еще не пробовал так как то что лежит на флешке нужно скопировать, прихоть не моя давно бы уже попробовал форматнуть, помогите кто чем может

eptkno, Вы ошиблись темой, см. Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения. В частности: Dr.Web CureIT! и/или AVPTool

Цитата:

Как лишить вирус возможности создать файл autorun.inf (вообще любой файл) в корне флешки с FAT:

Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.
Выполняем такую последовательность команд (все данные при этом будут уничтожены!):

Код:
umount /dev/sdc1
mkdosfs -r 16 /dev/sdc1
mount /dev/sdc1 /media/disk
cd /media/disk
touch `perl -e 'print "X" x 160'`
mkdir Documents
cd /
umount /dev/sdc1

Вынимаем флешку, втыкаем её в компьютер с виндовс. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".

В чём смысл этих действий?
В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины (16 элементов) и заняв почти все их длинным именем файла (160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится.

У меня не сработал этот способ
в корневой директории можно создавать сколько угодно других папок и файлов
Да и не совсем понятно откуда взята цифра 160 и как она сочетается с папкой Documents. Так получается 160 символов Х, и 9 символов папки "Documents" = 169 (?)
Какой предел-то?

зы Флешка - 2Гб.

Sraboti

Цитата:

У меня не сработал этот способ

Используйте программную защиту флешки от записи в моем AUTOSTOP - для FAT самое то.

AUTOSTOP не защищает от носительства, - не годится.

Вот форматирование в FAT16 с '-r 16' - интересный вариант, но по моему что-то просто напутано с цифрами...

Sraboti
Добавь к вызову mkdosfs ключ -F 16:

Код: mkdosfs -F 16 -r 16 /dev/sdc1

На пустом месте проблемы нашли. На своем компьютере автозапуск отрублен правильно? Ну тогда чего боятся? Правой кнопкой щелкаеш в проводнике по флешке, если основное действие не "Открыть" а "Автозапуск", значит подселился червячек. Ничего страшного тут же кликаеш на "Открыть" (Будет ниже) и сносиш все подозрительные файлы. Опции "Показывать скрытые и системные файлы" в проводнике надо включать. И все.

FIZIK
Не все так просто. И пункт "Открыть" можно спокойно подменить.
Первые версии (от китайчегов) палились тем, что подменяли его на иероглифы.
Согласен в одном - этой теме в обед сто лет, а до сих пор тут идут бурления, хотя любой нормальный антивирь (от дяди Жени, например) блочит автозагрузку со сменных носителей и предлагает осуществить проверку на обнаруженном устройстве. Даже быстрые варианты для ленивого предлагают.
Но идея AUTOSTOP мне всегда нравилась.

Цитата:

И пункт "Открыть" можно спокойно подменить.

Можно поподробнее с этого места. Каким образом неактивный червь при отключеном авторане может подменить контекстное меню?

Создаем на флэшке каталог с именем autorun,inf, аттрибуы ему ставим только на чтение и скрытый. На 90% будет защита от создания файла autorun,inf, а значит и от автозапуска вирей, даже если сам вирь, то есть его exe файл, на флэху записался.

ipmanyak
Последние версии вирусов тупо переименуют твой каталог.
Panda USB Vaccine поможет в этом случае.

Engaged Clown Ну я ж сказал, на 90% будет защита, а не на 100. Не каждый вирус проверяет права на чтение и меняет их их.

Автору Автостопа. А почему Вы не хотите добавить в скрипт отключения автозапуска в реестре удаление ключей mountpoints ? Почему бы не добавить это в AUTOSTOP? Вот, например, не помню уже кто и когда выложил скрипт, но в нём это есть:


noAutorun.vbs

Код:
'**************************
'*** AutorunDisabled ******
'**************************
Dim WSHShell
Set WSHShell = wscript.CreateObject("wscript.Shell")
'******************************************
'**** Добавляем записи в реестр ***********
'******************************************

'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"

'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"

'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"

'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""

'*************************************************
'**** Удаление MountPoints2 из реестра ***********
'*************************************************

'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

WSHShell.Popup "Автозагрузка успешно отключена"

BakLAN

Потому что давненько уже не брался за скрипт. Теоретически можно было бы добавить, но практически не знаю доберусь ли когда-нибудь до этого.

По авторству - наработки по MountPoints были у Paul - скорее всего это его код.

Serhiy123
Забросили значит своё творение? Печально.

Serhiy123
по совету BakLAN установил 1п + 2п автостопа + поставил панду. А флеха все-равно автозапускается. В чем проблема?

grh1
Какая система? 7-ка? В 7-ке наверное надо под админом скрипт запускать. А также, для пущей уверенности, можно залезть в реестр и проверить действительно ли внесены изменения. А то у меня на ХР х64 был прикол, что данные в реестр тупо не хотели вноситься, пока вручную их не вписывал.

Подскажите, пожалуйста, а если есть флэшка с данными (отформатированная в NTFS), то поможет ли этот способ в случае, если создать в корне папку DATA, переместить в нее все имеющиеся данные, а затем применить к этой папке все аттрибуты из инструкции. Такая схема используется для того, чтобы избежать лишних действий по удалению имеющихся данных и последующему копированию их в созданную папку DATA. Ведь, вроде бы, нет разницы, были данные до создания папки или их не было. Главное, чтобы в корне была только одна папка, на которую устанавливаются соответствующие ограничения.
Заранее спасибо.