По поводу "Пандовской" вакцины, - работает только до тех пор пока флешку не вставишь в комп с линуксом. После этого "вакцина нейтрализуется", и панда снова кричит, что флешка не вакцинирована.
» Защита флэшки от вирусов
Есть способ сделать "непробиваемый" autorun.inf. Его нельзя ни удалить, ни изменить, не переименовать. Делается это программой antiautorun, программа меняет атрибут файла autorun.inf на уровне файловой системы, вот: http://hardisoft.ru/soft/zashhita-fleshki-ot-autorun-virusov/
star3x
А чем вакцина от Panda отличается от этой приблуды?
А чем вакцина от Panda отличается от этой приблуды?
star3x
Цитата:
Нету такого способа и быть не может в принципе. Ничто не вечно под луной. Специфика винды такова, что на сегодняшний день это невозможно. И любой autorun.inf можно удалить.
Добавлено:
kpuk
Цитата:
Вот Вам и ответ. Это такой же аналог Панды.
Цитата:
А вот это не совсем так. Всё зависит от вирусописателя. Подкованный в этом вопросе вирусописатель учтёт этот момент, его вирусняк сменит атрибуты на правильные и перепишет свой autorun.inf. Другое дело, что не каждый вирус такой "умный", но и не следует утверждать, что "такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать", потому как это не соответствует действительности. Даже исходя из логики элементарно то, что если файл можно создать каким-то образом, то таким же образом его можно и удалить.
О! Читаю дальше:
Цитата:
Автор сам признал, что вначале кривил душой. А далее сам понял, что сморозил вначале глупость:
Цитата:
Цитата:
Есть способ сделать "непробиваемый" autorun.inf. Его нельзя ни удалить, ни изменить, не переименовать.
Нету такого способа и быть не может в принципе. Ничто не вечно под луной. Специфика винды такова, что на сегодняшний день это невозможно. И любой autorun.inf можно удалить.
Добавлено:
kpuk
Цитата:
программа получает прямой доступ к файловой системе флэшки и ищет объявление файла autorun.inf в таблице размещения файлов (File Allocation Table, она же — FAT). После этого программа меняет атрибут файла в этой таблице, в результате чего система начинает думать, что файл является служебной информацией.
Вот Вам и ответ. Это такой же аналог Панды.
Цитата:
Такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать. А это означает, что когда такая флэшка будет вставлена в зараженный компьютер, вирус не сможет записать себя в автозагрузку. Да, он сможет скопировать себя на флэшку, но автоматически запуститься при подключении флэшки к компьютеру не сможет! Вот и весь фокус.
А вот это не совсем так. Всё зависит от вирусописателя. Подкованный в этом вопросе вирусописатель учтёт этот момент, его вирусняк сменит атрибуты на правильные и перепишет свой autorun.inf. Другое дело, что не каждый вирус такой "умный", но и не следует утверждать, что "такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать", потому как это не соответствует действительности. Даже исходя из логики элементарно то, что если файл можно создать каким-то образом, то таким же образом его можно и удалить.
О! Читаю дальше:
Цитата:
Данная защита, как, впрочем, и какие-либо другие, относится к категории «временных». Почему? Да потому, что отморозки-вирусописатели хоть и отморозки, но вовсе не тупые. Это всего лишь вопрос времени, когда они додумаются добавить в код вирусов процедуру снимающую данную защиту. Но это произойдет не сейчас и, возможно, еще не скоро.
Автор сам признал, что вначале кривил душой. А далее сам понял, что сморозил вначале глупость:
Цитата:
В любом случае, флэшки без аппаратной защиты от записи невозможно защитить на 100%.
kpuk
Цитата:
Может быть тем, что не будет убиваться монтированием под линуксом... надо проверить
Цитата:
А чем вакцина от Panda отличается от этой приблуды?
Может быть тем, что не будет убиваться монтированием под линуксом... надо проверить
для защиты флешек от вирусов хорошо помогает программа USBGuard.
Она записывает autorun.inf но не правильно за счет ошибки винды и потому не система и
не какие вирусы не могут не стереть или не переписать этот autorun.inf этим устраняется
загрузка вирусов в любой компьютер даже с флешки с вирусами программа также имеет
встроенный антивирус. эксплуатирую программу 3 года не одного заражения вирусами .
Также хороший антивирус для флешек называется ЗОРКИЙ ГЛАЗ рекомендую совместим
с любыми антивирусами
Она записывает autorun.inf но не правильно за счет ошибки винды и потому не система и
не какие вирусы не могут не стереть или не переписать этот autorun.inf этим устраняется
загрузка вирусов в любой компьютер даже с флешки с вирусами программа также имеет
встроенный антивирус. эксплуатирую программу 3 года не одного заражения вирусами .
Также хороший антивирус для флешек называется ЗОРКИЙ ГЛАЗ рекомендую совместим
с любыми антивирусами
Ребята, а посоветуйте программу, которая защитила бы КОМПЬЮТЕР, от зараженных флэшек..
Ты похоже не грамотная? Или ресницы длинные? А может в натуре блонди?
Подними глаза, пост прямо над твоим....
))))))))))))))))))
Подними глаза, пост прямо над твоим....
))))))))))))))))))Цитата:
посоветуйте программу, которая защитила бы КОМПЬЮТЕР
AutorunCleaner - http://ali-k777.narod.ru/autoruncleaner.html
Ктонить разбирался с запуском программ через ярлыки со сменных носителей (Exploit.Cpllnk) ? Может кто выложит ссылку где про это подробно расписано, желательно на русском ?
Интересует можно ли както не используя заплатки от мелкомягких через реестр запретить запуск программ прописанных в теле ярлыка?
ЗЫ: Вопрос снят. Решение нашел здесь.
Интересует можно ли както не используя заплатки от мелкомягких через реестр запретить запуск программ прописанных в теле ярлыка?
ЗЫ: Вопрос снят. Решение нашел здесь.
Решений много конечно, но ИМХО они все полумера. Лично я с времен XP форматирую flash под NTFS, создаю папку autorun.inf, ставлю на папку значёк какой нить, внутри autorun.inf создаю пару папок(одну внутри другой) и файл какой нить, ставлю права и атрибуты на запрет всего и вся и обязательно меняю владельца.
В корне флэшки создаю пару папок и закрываю корень на запись, дозапись. Относительно всей флэшки - запрещаю выполнение программ.
Итог: Если и попадет какой хитрый вирус, он так и не сможет запуститься и соответственно заразить компьютер, антивирусом впоследствии удалится. Остается только одна проблема - скриптовые вирусы vba, cmd, bat и msi но их как правило антивирус сразу находит.
П.С.: Из всего, что попадалось, папку разблокировали (на ней значёк появлялся), но удалить так и не могли. Exe`шники ни какие не запускались с флэшки.
//Рекомендую еще посмотреть в сторону Norton AntiBot (лицензия Sana Security) для установки на компьютеры всей организации, - уровень общего заражения резко снижается (работает совместо со всеми антивирусами).
В корне флэшки создаю пару папок и закрываю корень на запись, дозапись. Относительно всей флэшки - запрещаю выполнение программ.
Итог: Если и попадет какой хитрый вирус, он так и не сможет запуститься и соответственно заразить компьютер, антивирусом впоследствии удалится. Остается только одна проблема - скриптовые вирусы vba, cmd, bat и msi но их как правило антивирус сразу находит.
П.С.: Из всего, что попадалось, папку разблокировали (на ней значёк появлялся), но удалить так и не могли. Exe`шники ни какие не запускались с флэшки.
//Рекомендую еще посмотреть в сторону Norton AntiBot (лицензия Sana Security) для установки на компьютеры всей организации, - уровень общего заражения резко снижается (работает совместо со всеми антивирусами).
А кто нибудь пробовал USB WriteProtector? http://www.gaijin.at/dlusbwp.php
Тут яростно обсуждается защита fat и ntfs, а как защитить exFAT?
А кто нибудь пробовал USB WriteProtector? http://www.gaijin.at/dlusbwp.php
онлайн проверка Dr web находит там сопли..
онлайн проверка Dr web находит там сопли..
всем доброго времени суток. у меня назрел такой вопрос, мож кто поможет.
нашёл вот такую статейку http://master-tv.com/article/flash-write-protect/
о допаивании мех защиты от записи. в наличии имею флеш с контроллером
phison
ps2134ch-g
0651
6y501-300ohch
а суть вопроса в схеме расположения контактов этого контроллера, а точнее того, который и отвечает за Write.
нашёл вот такую статейку http://master-tv.com/article/flash-write-protect/
о допаивании мех защиты от записи. в наличии имею флеш с контроллером
phison
ps2134ch-g
0651
6y501-300ohch
а суть вопроса в схеме расположения контактов этого контроллера, а точнее того, который и отвечает за Write.
mkdir "\\?\%disk%:\AUTORUN.INF\LPT3"
а подобную ерунду кто нибудь пробовал? или использование других системных имен? хотя сомневаюсь что это обеспечит хоть какую нибудь защиту, разве что от самых примитивных авторан вирусов.
а подобную ерунду кто нибудь пробовал? или использование других системных имен? хотя сомневаюсь что это обеспечит хоть какую нибудь защиту, разве что от самых примитивных авторан вирусов.
Цитата:
В любом случае, флэшки без аппаратной защиты от записи невозможно защитить на 100%.
Как вариант. Руководство.
Fbinst is a USB partition/format utility by Bean designed to provide maximum 'bootability' on all systems. There is also a GUI for this called FbinstTool (v1.605 is latest).
It makes a non-standard hidden boot area which is not be accessible to most OS's, but may be useful if you want to 'hide' all your boot files from the OS.
Создать Extended раздел макс. длины (предел 2ТБ) и оставить видимый для ОСи хвостик, в к. записать саму утилиту и остаток места забить через Линукс файлом с нулями. =)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID]
"AB007EC8-E2D4-4664-ACD9-1D059681F3DE"=""
"DE4DF60F-0071-4F38-BBD7-2DD2E541886C"=""
"346617CD-E9F1-4891-B1D1-FA3694F368E7"=""
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*setup*.exe"=""
"*instal*.exe"=""
"*setup*.bat"=""
"*instal*.bat"=""
"*setup*.cmd"=""
"*instal*.cmd"=""
"*setup*.com"=""
"*instal*.com"=""
"autorun.inf"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID]
"AB007EC8-E2D4-4664-ACD9-1D059681F3DE"=""
"DE4DF60F-0071-4F38-BBD7-2DD2E541886C"=""
"346617CD-E9F1-4891-B1D1-FA3694F368E7"=""
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*setup*.exe"=""
"*instal*.exe"=""
"*setup*.bat"=""
"*instal*.bat"=""
"*setup*.cmd"=""
"*instal*.cmd"=""
"*setup*.com"=""
"*instal*.com"=""
"autorun.inf"=""
Кто пользовался (тестировал) TrustPort USB Antivirus 2013??? отпишитесь ЛС мне интересно защищает ли он флешку
Тема походу умерла, но всё же...
Пользовался давно способом, "вакцинированной" флешки (через usbguard). Буквально на днях, попался вирус, который с флехи перенес папку авторан в папку "a". А в самом корне, было тело вируса...
А по-поводу защиты, у одного человека видел, что все данные находятся во-второй папке, а первая типа пустая, и защищена от записи. Хз конечно, как это действенно или нет...
Serhiy123
спасибо за информацию
Пользовался давно способом, "вакцинированной" флешки (через usbguard). Буквально на днях, попался вирус, который с флехи перенес папку авторан в папку "a". А в самом корне, было тело вируса...
А по-поводу защиты, у одного человека видел, что все данные находятся во-второй папке, а первая типа пустая, и защищена от записи. Хз конечно, как это действенно или нет...
Serhiy123
спасибо за информацию
Цитата:
попался вирус, который с флехи перенес папку авторан в папку "a"
Если не принять специальных мер, то переименовать папку autorun.inf технически не представляет сложности. И тогда вся защита насмарку.
Но если это сделать в случае защиты флешки моим скриптом AUTOSTOP - вы тут же увидите исчезновение пиктограммы - что сигнализирует о заражении.
А если использовать метод изменения прав в NTFS - то в корень флешки вообще ничего нельзя будет записать, и ничего нельзя переименовать.
Выбирайте из этих двух способов какой больше нравится.
Такая хорошая тема и заглохла.
А вирусописатели тем временем не спят. Сейчас попадается 2 варианта:
1. Создается скрытая директория с пустым названием (не разбирался как это происходит) в нее переносится все из корня флешки. В корне остается exe-файл вируса, но с таким же именем, как и название флешки в системе. Юзеры открывают "Мой компьютер", видят там свою флешку, двойной клик - опять название флешки, двойной клик - вирус запущен. И зачем теперь нужен autorun.inf?
2. Все директории в корне делаются скрытыми, их дублируют *.lnk с теми же названиями. Юзер думает что заходит в свою директорию, а запускается совсем другое.
А если бы они умели пользоваться файловыми менеджерами, то все было бы сразу видно...
Вычитал в теме идею, о которой и сам думал: создать на флешке 2 раздела. Один ext3 для хранения данных, второй - очень маленький FAT/NTFS, на котором находится лишь программа для доступа к ext3 разделу. В идеале - файловый менеджер с плагином. Т.е. вся работа с флешкой идет через него, система об этом разделе не знает, заразить его не может. Но тогда на сообщение никто не отреагировал. Это не осуществимо?
А вирусописатели тем временем не спят. Сейчас попадается 2 варианта:
1. Создается скрытая директория с пустым названием (не разбирался как это происходит) в нее переносится все из корня флешки. В корне остается exe-файл вируса, но с таким же именем, как и название флешки в системе. Юзеры открывают "Мой компьютер", видят там свою флешку, двойной клик - опять название флешки, двойной клик - вирус запущен. И зачем теперь нужен autorun.inf?
2. Все директории в корне делаются скрытыми, их дублируют *.lnk с теми же названиями. Юзер думает что заходит в свою директорию, а запускается совсем другое.
А если бы они умели пользоваться файловыми менеджерами, то все было бы сразу видно...
Вычитал в теме идею, о которой и сам думал: создать на флешке 2 раздела. Один ext3 для хранения данных, второй - очень маленький FAT/NTFS, на котором находится лишь программа для доступа к ext3 разделу. В идеале - файловый менеджер с плагином. Т.е. вся работа с флешкой идет через него, система об этом разделе не знает, заразить его не может. Но тогда на сообщение никто не отреагировал. Это не осуществимо?
Grishanenko
Цитата:
Но у меня несколько иные цели. Мне надо исключить возможное изменение файлов под виндой. Не важно, вирусом или просто "умной" программой. С выходом 10-ки особо актуально. Пока она вроде не может туда залезть, но х.з. как будет дальше.
Цитата:
Вычитал в теме идею, о которой и сам думал: создать на флешке 2 разделаДавно использую. Вторая партиция EXT2 c директорией Exchange в корне.
Но у меня несколько иные цели. Мне надо исключить возможное изменение файлов под виндой. Не важно, вирусом или просто "умной" программой. С выходом 10-ки особо актуально. Пока она вроде не может туда залезть, но х.з. как будет дальше.
Цитата:
А если бы они умели пользоваться файловыми менеджерами
Млин, да для этого достаточно даже просто уметь включать отображение скрытых и системных файлов. И хоть в Проводнике, не вопрос, всё будет видно
Цитата:
создать на флешке 2 раздела. Один ext3 для хранения
Интересная мысля...
У доступа к "закрытому" разделу из под венды есть изъян - он уже не будет "закрытым".
Valery_Sh
Через какой софт работаете с ext2?
igor_me
Цитата:
Только тогда еще нужно будет долго и упорно объяснять что файл с длиннющим именем (которое не помещается в пределах строки) и расширением (отображение которого тоже нужно будет включить) *.mp3.scr - это не музыка и запускать его нельзя! Аналогично и с ярлыками, у которых значок директории.
В файловом менеджере делаются цветовые ассоциации. Зеленый - музыка, синий - видео, желтый - документы. Все что красное (exe com bat scr) - лучше не запускать, если не уверен.
Через какой софт работаете с ext2?
igor_me
Цитата:
Млин, да для этого достаточно даже просто уметь включать отображение скрытых и системных файлов. И хоть в Проводнике, не вопрос, всё будет видно
Только тогда еще нужно будет долго и упорно объяснять что файл с длиннющим именем (которое не помещается в пределах строки) и расширением (отображение которого тоже нужно будет включить) *.mp3.scr - это не музыка и запускать его нельзя! Аналогично и с ярлыками, у которых значок директории.
В файловом менеджере делаются цветовые ассоциации. Зеленый - музыка, синий - видео, желтый - документы. Все что красное (exe com bat scr) - лучше не запускать, если не уверен.
Цитата:
Только тогда еще нужно будет долго и упорно объяснять
Разумеется, зато тот, кто это поймёт - сразу станет ловить на 5 порядков меньше вирусов. А кто не поймёт - тому да, хомячковый вариант с цветами
Цитата:
с длиннющим именем (которое не помещается в пределах строки)
Хм, а разве такое есть? Одинарный щелчок на файл и всё имя отображается,разве нет?
ЗЫ Чисто моё мнение, никому не навязываю.
Grishanenko
Цитата:
да, вопрос актуален. особенно интересно работает ли какая утилита без прав админа?
есть отдельная тема Программы для доступа к Ext2/Ext3 из Windows, но там не густо
Цитата:
Через какой софт работаете с ext2?
да, вопрос актуален. особенно интересно работает ли какая утилита без прав админа?
есть отдельная тема Программы для доступа к Ext2/Ext3 из Windows, но там не густо
С линя. Там где нет установленного, в live режиме. На любом актуальном железе дело минуты. Положить или забрать без проблем. Не пиши в системные директории венды и проблем не будет.
В общем-то я ведь сразу отметил
Цитата:
Конкретно EXT2, т.к. меньше пилит флеш.
В общем-то я ведь сразу отметил
Цитата:
надо исключить возможное изменение файлов под виндой. Не важно, вирусом или просто "умной" программой.затея теряет смысл если научить винду понимать EXT2, например.
Конкретно EXT2, т.к. меньше пилит флеш.
PrishelUshel
Цитата:
В качестве защиты от autorun'ов к основному антивирусу установлен USB Protection & Recovery, а USB Hidden Recovery того же разработчика помогает восстановить скрытые вирусом файлы.
Среди "выключателей" всех автозапусков в системе приглянулся Disable Autorun от Comfort Software Group.
Цитата:
Пользовался давно способом, "вакцинированной" флешки (через usbguard).Наткнулся не так давно на тулзу Bitdefender USB Immunizer, которая создает autorun.inf. Отличие о "ручного" метода в том, что данный файл можно будет удалить только с помощью форматирования сменного носителя. Это если все правильно сделано, иногда бывает так, что из-за кучи файлов на флешке программа либо не корректно выполняет работу, либо - выдает ошибку. В таком случае нужно на время перенести файлы с флешки на винт, иногда даже требуется отформатировать носитель. После того, как программа корректно завершит свою работу, и файл действительно будет невозможно удалить с носителя, можно обратно все то добро, что было на флешке, скопировать обратно.
В качестве защиты от autorun'ов к основному антивирусу установлен USB Protection & Recovery, а USB Hidden Recovery того же разработчика помогает восстановить скрытые вирусом файлы.
Среди "выключателей" всех автозапусков в системе приглянулся Disable Autorun от Comfort Software Group.
Предыдущая тема: Удаленное контролирование неуправляемых коммутаторов :)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.