Приветствую Вас ГостьЧетверг, 16.08.2018, 13:08

В помощь админу


Каталог статей

Главная » Статьи » Windows » Windows

Защита флэшки от вирусов

Есть один простой механизм защиты флэшек, карт памяти и дискет от попыток вируса записать на них себя и он вовсе не кроется в переключателе, который блокирует режим записи. Хотя можно пойти и по-другому пути - отключить автозапуск в системе, но об этом я писал в другой статье - Отключение автозапуска средствами групповой политики.

А в этой статье я расскажу о методе, который исходит от наследия MS-DOS, от которого Microsoft давно пыталась избавиться, но не смогла, а наоборот, значительно расширила функционал. А наследие это очень простое и заключается оно в том, что в одной папке не может храниться файл и папка с одним и тем же именем. Соответственно, понимая тот факт, что за автозапуск флэшек, карт памяти и дисков отвечает файл autorun.inf, то можно создать папку с одноимённым названием и тогда в этом месте будет невозможно создать файл с именем autorun.inf. Но этого не достаточно для защиты, так как с точки зрения программирования, удалить пустую папку гораздо легче, чем с содержимым - алгоритм более сложный. Исходя из этого и понимая тот факт, что многие "писатели" вирусов, даже если они это делают сами, а не пользуются конструкторами вирусов, не задумываются о том факте, что может быть такая подстава в виде папки с одноимённым файлом, а те "писатели", которые знают об этом, могут не догадаться, что и эта папка не пустая и соответственно нужно код усложнять и увеличивать размер вируса, поэтому, как говориться, от всего не возможно уберечься, но от значительной части - вполне возможно.

Итак, поехали. На нашей флэшке или карте памяти в корне cоздаём папку и называем её autorun.inf, затем заходим в эту папку и создаём в ней разные пустые папки и файлы - на Ваш выбор. Затем мы нашу папку autorun.inf должны сделать скрытой и системной. А это мы можем сделать из командной строки с помощью команды attrib autorun.inf +s +h +r.

Ну а если не охота заморачиваться, то можно воспользоваться готовым батником:

mkdir autorun.inf

attrib autorun.inf +s +h +r

cd autorun.inf

mkdir autorun.inf

Жизнь админа должна быть проще...

Категория: Windows | Добавил: isz (15.06.2014)
Просмотров: 1633 | Комментарии: 5 | Теги: флэшка, защита | Рейтинг: 0.0/0
Всего комментариев: 5
0
5  
Итог: ну а в принципе можно и не заморачиваться на счёт этой темы, если есть домен и сделать так: Отключение автозапуска средствами групповой политики!

0
4  
Принцип работы скрипта:
  • копируем батник на флэшку
  • запускаем батник с флэшки
  • хлопаем в ладоши и курим бамбук...

0
3  
Вот сам скрипт:
(Взято отсюда: http://www.cyberforum.ru/blogs/218284/blog219.html )

@echo off
title Anti Hidden Fast - “¤ «Ґ­ЁҐ б«Ґ¤®ў ўЁагб­®© ¤Ґп⥫쭮бвЁ ver.1.4
color 1a
echo                                        Maded by Alex Drago.kas -=2012=-
echo   Anti Hidden Fast v.1.4                       -= ‘¤Ґ« ­® ў “Єа Ё­Ґ smile
echo.
echo   ќв Ї 1. ‚®§®Ў­®ў«Ґ­ЁҐ бў®©бвў Є®а­Ґўле Ї Ї®Є.
echo.
echo   Ѓг¤гв гбв ­®ў«Ґ­л в ЄЁҐ Ї а ¬Ґвал:
echo   - ­Ґ "‘Єалвл©"
echo   - ­Ґ "‘Ёбб⥬­л©"
echo   + бв вм б®Ўб⢥­­ЁЄ®¬
echo   + ЇаҐ¤®бв ўЁвм Ї®«­лҐ Їа ў
echo.
echo   „«п г᪮७Ёп ®ЇҐа жЁЁ ¬®¦­® ўаҐ¬Ґ­­® ®вЄ«озЁвм  ­вЁўЁагб­®Ґ ЏЋ.
chcp 1251>nul
for /f "delims=" %%i in ('dir /b /a:d') do (
for /f "delims={;}" %%s in ('attrib "%%i"') do (call :oper "%%s" "%%i")
)
chcp 866>nul
echo.
echo   ќв Ї 2. “¤ «Ґ­ЁҐ «Ёи­Ёе па«лЄ®ў.
::бЇҐжЁ «м­л©  «Ј®аЁв¬ Ї®ЁбЄ  па«лЄ®ў
chcp 1251>nul
for /f "delims=" %%i in ('dir /b /a:d') do if exist %%i.lnk call :killfile %%i.lnk
chcp 866>nul
::echo.
echo   ќв Ї 3. Ѓ«®ЄЁа®ў ­ЁҐ бв®а®­­Ёе  ЄвЁў­ле Їа®жҐбб®ў Ё г¤ «Ґ­ЁҐ Ёе Ёбв®з­ЁЄ .
if exist %appdata%\*.exe (
for /f "delims=" %%i in ('dir %appdata%\*.exe /b /a') do taskkill /im "%%i" /t /f
call :killfile %appdata%\*.exe
)
::echo.
echo   ќв Ї 4. “¤ «Ґ­ЁҐ д ©«   ўв®§ ЇгбЄ .
if not exist autorun.inf\ if exist autorun.inf call :killfile autorun.inf
::echo.
echo   ќв Ї 5. “¤ «Ґ­ЁҐ ¬®¤ЁдЁжЁа®ў ­­ле бЁб⥬­ле Ї Ї®Є Ё Ё­®а®¤­ле д ©«®ў.
for %%a in ("recycled" "recycler" "System Volume Information") do (
if exist %%a (takeown /f %%a /r /d y&echo y|cacls %%a /g %username%:f&attrib -s -h %%a&rd /s /q %%a)
) 1>nul 2>&1
for %%a in (game.cpl system) do (if exist %%a (
echo.
echo Ќ ©¤Ґ­® Ї®¤®§аЁвҐ«м­л© д ©« - %%a.
echo „«п г¤ «Ґ­Ёп ­ ¦¬ЁвҐ "Y" Ё Є­®ЇЄг {ENTER}
(takeown /f %%a&echo y|cacls %%a /g %username%:f&&attrib -s -h %%a) 1>nul 2>&1
del /f /p %%a
))
echo.
color 1b
::echo   ќв Ї 5.1. Џ®ЁбЄ Ё г¤ «Ґ­ЁҐ д ©«®ў host.exe. Џ®¦ «г©бв , Ї®¤®¦¤ЁвҐ...
tasklist |1>nul 2>&1 FindStr /B /L /I /C:host.exe&&taskkill /im "host.exe" /t /f
(for /f "tokens=*" %%a in ('Dir /b /s /a:-d host.exe') Do (
attrib -s -h "%%a" 1>nul 2>&1
del /f /q "%%a" 1>nul 2>&1
)) 2>nul
::echo.
::echo ЋЇҐа жЁп § ўҐа襭 .
::echo.
::echo   Ќ ¦¬ЁвҐ «оЎго Є« ўЁиг, зв®Ўл ᮧ¤ вм § йЁв­го Ї ЇЄг Їа®вЁў  ўв®§ ЇгбЄ
::echo   Ё«Ё ЄаҐбвЁЄ, зв®Ўл § Єалвм ®Є­®.
::pause >nul
::echo.
color 1a
echo   ќв Ї 6. ‘®§¤ ­ЁҐ § йЁв­®Ј® д ©«   ўв®§ ЇгбЄ , Є®в®ал© ­Ґ г¤ «пҐвбп
echo           ив в­л¬Ё б।бвў ¬Ё.
if not exist autorun.inf\ mkdir autorun.inf 1>nul 2>&1
if not exist autorun.inf\defence..\ mkdir autorun.inf\defence..\ 1>nul 2>&1
if not exist autorun.inf\com1\ mkdir "\\?\%~d0\autorun.inf\com1" 1>nul 2>&1
if not exist autorun.inf\123 (
mkdir autorun.inf\123 1>nul 2>&1
echo y|1>nul 2>&1 cacls "123" /d ‚бҐ
echo y|1>nul 2>&1 cacls "123" /d All
)
echo.
echo Џа®жҐ¤га  Їа®ўҐ¤Ґ­ . Џа®Ја ¬¬  Ўг¤Ґв § Єалв .
ping -n 3 localhost 1>nul 2>&1
color 07
goto :eof
:oper
echo %1|>nul FindStr /BIR ".....H."&&attrib -s -h %2 1>nul 2>&1
echo %1|>nul FindStr /BIR ".....H."&&(
takeown /f %2 /r /d y 1>nul 2>&1
echo y|>nul cacls %2 /g %username%:f
attrib -s -h %2 1>nul 2>&1
)
exit /b
::&&exit /b
::echo %1|>nul FindStr /BIR "....S.."&&attrib -s -h %2
::exit /b
:killfile
(attrib -s -h %1
del /F /Q %1||(takeown /f %1&echo y|cacls %1 /g %username%:f&&attrib -s -h %1&&del /F /Q %1)
) 1>nul 2>&1

0
1  
Очень простой и ненадежный способ. Организовать рекурсивную чистку папки не так уж и сложно.

Существует другой чуть более продвинутый способ: в папке autoran.inf специальными недокументированными способами создаются неудаляемые подпапки и файлы с запрещенными в пространстве NTFS именами: см. http://support2.microsoft.com/?scid=kb%3Bru%3B320081 - Причины 5, 6.
Такие файлы/папки даже вручную удалить бывает непросто. Но, как правило, они не мешают переименованию папки autorun.inf. После чего вирус может создать свой файл автозапуска.

Наиболее радикальный способ использует программа вакцинатор Panda USB Vaccine. После создания файла (не папки) autorun.inf ему присваивается недопустимый набор атрибутов. После чего этот файл видится под своим именем, но его невозможно ни открыть, ни переименовать, ни удалить. Избавиться от него можно только форматированием накопителя.

Что приятно, так это то, что этот вакцинатор может запускаться при входе в систему, находится в трее, автоматически проверяет все вставленные флешки и предлагает вакцинировать те, которые еще не вакцинированы. Утилита распространяется как Freeware.

0
2  
Я знаю об этом способе, просто не стал его освещать из-за его сложности понимания многими нынешними айтишниками! Сам пользуюсь более сложным вариантом...
Ответ: Могу выложить готовый скрипт, который умеет делать такую защиту...

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Категории раздела
Active Directory [7]
DHCP [1]
Windows [11]
Wins [1]
Групповая политика [2]
Программы [2]
Резервное копирование [5]
Сеть [5]
Скрипты [25]
Терминальный сервер [6]
Почта [5]
Поиск
Форма входа
Наш опрос
Оцените мой сайт
Всего ответов: 100
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Статистика