Руки прочь от автозапуска!

  • Tutorial
Не правда ли, удалять с любимой флешки кучу вредоносных элементов, после каждого ее подключения к чужому компьютеру, несколько обременительно? А сколько нервных клеток уничтожают эти элементы? Моих — немеряно!

Все известные мне способы борьбы с подобного рода инцидентами (как то: пересесть на Линукс, отключить автозапуск, не тыкать флешкой куда попало и т.д.) не приемлимы для меня. Потому и пришлось выдумывать свой.

Наверняка кому-то этот метод покажется неэффективным, кому-то — неудобным. А кто-то вздохнет с облегчением или даже поможет менее опытным друзьям.

Должен отметить, что, на защищенной таким образом флешке, будут затруднены операции над элементами корневой папки. Именно на этом основан метод.

Суть: запретить кому бы то ни было запись/изменение корневого каталога.
Результат: вся нечисть, попавшая на флешку, ничем не сможет Вам помешать.


Первое, что нужно сделать — организовать на флешке NTFS-раздел. Как это сделать? Гугл расскажет Вам во всех подробностях и позах. Я же укажу самый простой способ:
convert X: /fs:ntfs

Теперь нужно создать структуру каталогов. Как я писал выше, изменять эту структуру будет неудобно. С этим нужно или смириться, или отказаться от метода вообще.

Когда все необходимые папки созданы, а лишние удалены, можно приступать к следующему этапу — запрет любых изменений корневого каталога.

Пользователи Windows XP Professional могут сделать это в несколько кликов. Я опишу способ, подходящий и пользователям Windows XP Home Edition.

Редактирование таблиц управления доступом (ACL) осуществляется из командной строки с помощью утилиты cacls. Сначала нужно посмотреть текущее состояние таблицы:
cacls X:\
Скорее всего там будет одна строка:
X:\ Все:(OI)(CI)F

Затем, поочереди, удалить из нее всех пользователей:
cacls X:\ /E /R COMPUTER_NAME\USER_NAME (в моем случае: cacls X:\ /E /R Все)

И разрешить читать каталог:
cacls X:\ /G Все:R

Все, теперь таблица должна выглядеть так:
X:\ Все:(OI)(CI)R

Попробуйте создать файл в корне флешки. Не получилось? Отлично.

upd: Ранее, на ту же тему.

Similar posts

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 187

    +12
    Вот то же самое, только со скриншотами habrahabr.ru/blogs/infosecurity/47287/
      +10
      Не видел, каюсь.
      Но в Windows XP Home Edition нет вкладки «Безопасность» — я описал «консольный» вариант управления доступом.
        0
        точно сказать не могу я в Home не работал вообще, но помоему, если на носителе NTFS то вкладка безопасность должна присутствовать…
          +4
          Я тоже так считаю, но ее нет. =(
            0
            что, она не появится, даже если в настройках эксплорера убрать галочку «simple file sharing»?
              +5
              да, отвечаю я себе, просто так не появится… но гугление по 'xp home «simple file sharing»' спасает
                +1
                Да, точно, «Безопасность» есть в «Безопасном режиме».
              +1
              Отключите simple file sharing
                0
                Этой опции в Home Edition тоже нет.
        +4
        народ помниться создавал файлик авторана в корневом, и ставил запрет на удаление, то есть заменить его другим уже нельзя… чем это не подходит?:)
          0
          Тут основной момент — поставть NTFS на съемный носитель. А вот там уже можно и запреты ставить как хочется.
            +1
            А вот нет гарантии 100% что этот нтфс потом заработает на фре какой-нибудь, все-таки флешка должна работать везде на 100%, сейчас их и в автомагнитолы можно пихать и в двд плееры и в кучу устройств которые не увидят разделов на флешке после этих манипуляций =(
              0
              Я написал о том, что этот способ подойдет далеко не всем. Мне подходит.
            +2
            Кроме autorun.inf часто пишется куча постороннего хлама — ну-ка его.
              +1
              кроме autorun.inf нужно закрыть, кажется, folder.htt; Все закрывать дейтвительно бессмысленно.
                +1
                Кому как. На своей флешке не потерплю пустой ненужный folder.htt
            +3
            Мной уже была поднята такая тема, наверное стоило бы использовать поиск.
            Защита флэшки от Autorun-вирусов.

            В комментариях пользователи активно принимали участие в решении проблемы, было предложено множество других вариантов защиты.

            Инициатива похвальна, как я считаю, посему отношусь к посту положительно.

            Как говорится:«Повторение — мать учения!»
              +1
              Про cacls там есть немного в коментах.
              Но раз хоть кто-то говорит, что можно оставить, то прятать пока не буду.
                0
                Прятать не надо :) Статья нормальная, пусть и повторение, но ведь не все могли видеть ту статью.
                  +1
                  Ну по крайней мере ссылку в пост могли бы добавить.
              • UFO just landed and posted this here
                  +4
                  Отличный способ — отключить службу Shell Hardware Detection (как по-русски не помню). Именно эта сволочь все и запускает.
                    +4
                    как я понял, суть статьи предотвратить попадание данных файлов на флешку при работе с чужими компьютерами, а не устранить функцию автозапуска съемных носителей на своем собственном компьютере… (:
                      0
                      Это было в ответ на FlashDesinfector. Как альтернативный вариант.
                      0
                      Видимо «Определение оборудования оболочки».
                        0
                        Будет ли без этого сервиса работать автоопределение и автомонтирование свежевоткнутой флешки?
                        +1
                        Зачем использовать какие-то сторонние программки когда можно все аккуратненько забацать своими силами?
                          0
                          Ну, например, затем, что многим людям трудно создать действительно неубиваемый файл, как-то: lpt3, создаваемый этой самой сторонней программкой. А тут все просто — один раз запускаешь эту утилитку, и авторан на флешку не попадет.
                            0
                            Хотите пропишем все команды в бат файле? Запустите один раз, весь корень вашей флешки перенесется в каталог 'data', годный для чтения и записи, и автораны уже не попадут на вашу флешку?

                            Про lpt3 ничего не понял.
                              0
                              Хочу. Пропишите все команды, расскажите, что сделали, назовите как-нибудь красиво, выложите в интернет и сделайте так, чтоб об этом узнало более сотни человек. Будет Вам большое спасибо и не только от меня=)

                              Объяснение по поводу lpt3 (писал не сам, нагуглил на каком-то форуме): "… Еще во времена создания MS-DOS было нельзя в качестве имени файла использовать имена PRN, LPT1, LPT2, LPT3, AUX, COM1, COM2, COM3, COM4 и CON, а также имена NUL и CLOCK$, так как они зарезервированы за устройствами:
                              AUX, CON, PRN, NUL… всё это системные устройства.
                              CON — консоль, при выводе — монитор, при вводе — клавиатура.
                              PRN — принтер, вообще...".
                                0
                                Файлы/папки с этими названиями легко создаются из командной строки.
                                Как не помню, беглый поиск не помог. Но точно помню, что это не сложно.
                                  0
                                  Ну тут человек уже красиво расписал по шагам что надо сделать и выложил в интернет, я пошагово сделал у меня все красиво получилось и заняло наверное секунд 30. Единственное, что сперва надо сделать еще:

                                  mkdir X:\data

                                  и в самом конце еще разок:
                                  cacls X:\data /G Все:F

                                  Я наверное сильно торможу, но при чем тут lpt3?
                                    0
                                    Т.е. без «расшаривания» X:\data туда нельзя было писать?
                                    Странно, без ключа /T права доступа должны меняться только для указанного каталога.
                                      0
                                      Не знаю, я забыл создать каталог дата прежде чем начать все операции, возможно в какие-то из сущ. каталогов и можно было писать, но меня это не устраивало. А после проведенных операций создать каталог дата было уже не возможно, так что пришлось немного поколдовать, возможно что «расшара» даты и лишняя, но колдунство я как бы уже графическими средствами делал, так что про ключ /Т увы не знаю (о;
                                      0
                                      Да это я немного протупил, не пояснил, что речь все еще идет о Flash Desinfector и подобных утилитах. Утилита, по сути — батник, который создает скрытую папку autorun.inf. Но как уже неоднократно писали, любой уважающий себя вирус ее без проблем удалит перед тем, как писать файл autorun. Именно поэтому мы помещаем внутрь ее файл lpt3 (или какой-либо другой зарезервированный файл, который обычными средствами невозможно ни создать, ни удалить). Папку же, в свою очередь, желательно сделать скрытой, ибо, если неопытный пользователь увидит ее, то, возможно, попытается удалить. А то, что у него не получается ее просто так удалить, наверняка выщовет панику и повлечет за собой форматирование. Из-за чего весь профит теряется.
                                      Такое же решение своими руками найдено здесь. Читать ближе к концу записи.
                                        0
                                        Спасибо за ссылку, может запомню наконец эти UNC-префиксы.
                                          +1
                                          Понял, по сути эта программа делает все тоже самое, но автоматически (: Но для меня все равно проще понять как это делается и сделать это самому. Что поделаешь такой уж я человек. Давно приучен, что чем меньше всяких мелких утилит типа «performance booster» тем все круче летает (:

                                          Хотя может для контактов категории «no I will not fix your computer» проще подсовывать прогу, чтобы они прогоняли ее (:
                                          0
                                          Чуть ниже приводили решение для FAT32:
                                          Создается каталог «autorun.inf», в него кладется файл c зарезервированным именем (например, lpt3). Этот каталог вирус удалить, наверняка, не сможет.
                                –1
                                Я как раз похожим образом и защитил корневой каталог флешки от записи, при помощи NTFS.
                                  +7
                                  прочитав данный материал, почему то вспомнил старые flash-носители, на которых был небольшой переключатель, позволяющий переводить flash-носитель в режим read only
                                  плюс: в том, что при таком раскладе, никакие autorun.inf и «входящие в комплект файлы» не запишутся…
                                  минус: записать нельзя, скопировать можно… (:

                                    +3
                                    У моей подруги такой стик (с переключателем) на 32Мб есть, только им и пользуется, отказывается на 1Гб менять (:
                                      0
                                      Я удивляюсь, почему таких сейчас нет. Искал такую, говорят таких не производят уже. Бред это одна из самых полезных функций.
                                      0
                                      Справедливости ради хочу отметить, что помимо кардинального «пересесть на Линукс», есть менее революционный метод «пересесть на Висту».
                                      И по-моему автор ошибается с результатом «вся нечисть, попавшая на флешку, ничем не сможет Вам помешать». После этих действий нечисти туда будет сложнее попасть, а всё-таки попавшая вполне себе запустится. Ведь для работы автозапуска прав на чтение вполне достаточно.
                                        +2
                                        Только, спешу напомнить, что за автозапуск отвечает файлик autorun.inf в корне диска. Так что даже с правами на чтение, но без оной инструкции автоматически джедаи не пройдут. :)
                                          0
                                          Что мешает заразе снять атрибут, записаться и вернуть атрибут RO на место?

                                          Это риторичесий вопрос, если что.
                                        +1
                                        А ничего, что NTFS не предназначена для флешек, а точнее — для устройств, расчитанных на «всунул, вынул и пошёл»?
                                          +2
                                          Поддержу — ведь SD-карта из фотоаппарата — та же флешка для компьютера…
                                          А там только FAT.
                                            +1
                                            Вы всё же можете отформатировать её под NTFS, если отключите в настройках тома оптимизацию под режим «всунул, вынул и полшёл».
                                              +3
                                              Дык в чем и прелесть SD-карты — я всунул ее в комп коллеге, посмотрели фотки, на ней чудным образом появился автозапуск какой-то хренотени. Фотик этого не прочухает, однако, когда я, сгорая от нетерпения посмотреть те же фотки у себя на компе, будучи непросветленным пользователем, получу порцию геммороя.
                                              Предлагаю не обсуждать наклонности моего гипотетического коллеги, да и моих, впрочем, только я повторю — фотики понимают только FAT (FAT16, FAT32 возможно) и нет там могучей NTFS.
                                                +1
                                                И еще — за что минус-то?

                                                Как понимаю, сыр-бор о том, как защититься от нежелательных, скорее всего, троянов, автозапусках.

                                                Предложение понравилось, но я почему-то посчитал своим долгом указать, что мимо пролетает масса гаджетов.

                                                Отзовитесь, кого обидел?
                                                  0
                                                  Для сд карты как раз просто — на них переключатель в ридонли имеется!
                                                    +1
                                                    Всё верно. Пересмотрел кучу СД карт, есть там такой переключатель. Есть единственное «НО» — картридерами пользуются мало людей, у подруги постоянно выгребаю с СД флешки столько ненужной ирунды.
                                                    Нужно написать софт. Прога проверяет на желание сторонних приложений переписать авторан в корне, если да — создаём текстовик на рабочем столе такого содержания «Твой друг в опасносте! Вирусы вирусы вирусы!»
                                                    Ну и всё в таком духе. Можно добавить ссылки на бесплатные антивирусы. Либо эти же антивирусы использовать для очистки чужих компов. Кидаем в корень флешки и о чудо, к вам подруга не носит больше компьютерные болезни, да ещё и с благой целью ходит к подругам, показывая фотки.
                                                    Милосердие из меня прям прёт сегодня -)
                                                  +1
                                                  А в чём смысл форматировать фотоаппаратную карточку под нтфс, если её после этого нельзя будет использовать в фотоаппарате?
                                                +2
                                                чем NTFS провинилась как файловая система не для подключаемых нагорячую устройств?
                                                  0
                                                  подключить можно легко. А вот выключить только через безопасное извлечение.
                                                  Я например уже привык вынимать все предварительно нажав в винде безопасное извлечение.
                                                    +2
                                                    неправда.
                                                    политика работы с кэшем прерогатива ОС, а не ФС и настраивается в виндовом менеджере томов (по дефолту в XP политика на быстрое извлечение)
                                                      +1
                                                      Действительно. Включите эту политику, после чего напишите в консоли format X: /FS:NTFS и почитайте, что вам format скажет. Ну или попробуйте включить политику быстрого извлечения для NTFS тома…
                                                        +1
                                                        почему тогда возможно включить данную политику в интерфейсе менеджера томов?
                                                        почему вы не верите возможности выполнения действия в одном интерфейсе (переключение в режим быстрого извлечения), но верите тексту, который выводит другой интерфейс? :-)
                                                          0
                                                          > почему тогда возможно включить данную политику в интерфейсе менеджера томов?

                                                          Возможно — для FAT/FAT32. Попробуйте включить её для NTFS тома.
                                                          Почему? Потому что FAT/FAT32 расчитанны на работу с этой политикой.

                                                          > почему вы не верите возможности выполнения действия в одном интерфейсе (переключение в режим быстрого извлечения), но верите тексту, который выводит другой интерфейс? :-)

                                                          Покажите, пожалуйста, где я сказал, что я не верю в возможность выполниния упомянутого действия? Более того: я высказывался об обратном.
                                                          Почему я верю «другому интерфейсу»? Почему я должен ему не верить? :)

                                                            +1
                                                            img58.imageshack.us/img58/706/quickya6.png
                                                            попробовал. включил.

                                                            т.е. интерфейс управления политикой кеширования и быстрого извлечения ничего об ограничении не знает. это странно.
                                                            подумаем логически: если ОС устроена так, что кешированием записи занимается не только она (ОС), но и ФС, то данный интерфейс должен, в зависимости от ФС принимать решение о возможности выбора политики отключения дискового кеша записи и быстрого извлечения и для нтфс данный выбор блокировать вообще.

                                                            м?
                                                              0
                                                              Ммм… :).
                                                              Я не прав, по всей видимости.
                                                      –1
                                                      вот и пиши после этого нормальные комментарии. Только в карму насрут.
                                                        0
                                                        Искренне считаете ваш предыдущий комментарий «нормальным»?

                                                        * Если что, я вашу карму не трогал. У меня для этого недостаточно своей.
                                                    0
                                                    Как показывает практика — для мобильных накопителей NTFS намного надежнее и удобнее, чем FAT32. За счет использования механизма транзакций гарантируется целостность файлов.

                                                    Я около 2-х лет пользуюсь 2.5" 80 Гб USB-винчестером — никаких проблем. При том, что далеко не всегда он извлекается корректно.
                                                      0
                                                      2.5" 80 Гб USB — это не флеш устройство. А для флеш устройств любая журналируемая файловая система нежелательна
                                                        0
                                                        Почему?
                                                          0
                                                          Потому что количество циклов записи меньше, чем у обычных жестких дисков. Вследствие этого при использовании журналов идет ускоренный износ.
                                                            0
                                                            Насколько возрастает количество операций записи при использовании NTFS по сравнению с FAT32? Если не на порядок — думаю, оно того стоит. :)
                                                            • UFO just landed and posted this here
                                                                0
                                                                Ну служебные области под журналы он не будет раскидывать по всему диску. И они соотвественно будут тупо убиты
                                                                • UFO just landed and posted this here
                                                                    0
                                                                    Судя по комментарию выше, при изменении данных на флеш-накопителе — они пишутся не в то-же место, поверх старых данных, а где-нибудь в произвольном свободном месте.
                                                                      0
                                                                      Я полагаю что в этом случае производители и пользователи нетбуков с ssd памятью не заморачивались инструкциями по настройке файловых систем на них.
                                                                        0
                                                                        Не совсем понятно, что вы имеете в виду.
                                                                          +1
                                                                          Как активный пользователь asus eee pc 1000 с ssd накопителем я имею ввиду что на нем рекомендуется ставить производителем нежурналируемые ФС да еще и всячески сокращать количество обращений к нему типа noatime к ext2 и прочее, причем эти рекомендации также присутствуют во всем linux коммунити, независимо от дистрибутива. При всем уважении, предполагаю что производителю и коммунити виднее, как продлить срок службы ssd устройств
                                                                            +1
                                                                            Ну, я думаю не стоит сравнивать диск, с которого грузится и работает система, с накопителем для переноса информации с компьютера на компьютер. :)
                                                                              0
                                                                              Ну почему же. Собственно говоря, диск на котором стоит система, если /tmp вынесен в память — будет работать намного дольше, чем накопитель для переноса, так как там только обновления системы будут и логи писаться :)
                                                                                0
                                                                                Кеш браузера тоже в /tmp в память? :)

                                                                                Кроме того, мы в этом треде кажется обсуждаем тему NTFS vs. FAT32, поэтому давайте забудем про /tmp и подумаем лучше, куда девать pagefile.sys :))
                                                                                  0
                                                                                  Да, у меня кеш браузера тоже в оперативке :)

                                                                                  А какая розница. Это частности, мы говорим о журналируемых и нежурналируемых системах. :)
                                                                                    0
                                                                                    pagefile.sys — от свопа можно отказаться и на винде :)
                                                                                      0
                                                                                      >> у меня кеш браузера тоже в оперативке :)
                                                                                      — ой, что-то мне разхотелось SSD в ноутбук. :)
                                                                                0
                                                                                Отличный повод пока воздержаться от приобретения подобных устройств…
                                                                                  +1
                                                                                  А в чем повод? Я сознательно выбрал именно модель с ssd, так как она дала мне именно те преимущества, которые мне нужны. Тихо, исключено повреждение информации при ударе :) А для остального остался большой взрослый ноут и стационарный комп ;)
                                                                                    0
                                                                                    Повод — низкие срок службы и надежность… Меня смущает необходимость шаманства для продления срока службы.

                                                                                    Хотя приведенные Вами факторы привлекательны.
                                                                                      0
                                                                                      Ну да, приоритеты факторов каждый для себя определяет. Я правда к нему покупил еще винт на 320 гигов внешний, на нем ext3. И в дороге или других нестационарных условиях это только нетбук с ssd, а в стационарных очень даже вместительное хранилище инфы. Мне так показалось наиболее оптимально :)
                                                                          • UFO just landed and posted this here
                                                                              0
                                                                              А другое место физически у нас что? Не та-же флеш-память?
                                                                              • UFO just landed and posted this here
                                                                                  0
                                                                                  Вы меня запутали. %)

                                                                                  Насчет интерпретации числа перезаписей и формулы расчета «убийсвтенного» объема информации всё просто и очевидно, тут вопросов нет.

                                                                                  Но не совсем понятно, как контроллер определяет «какое-то другое место», если он, как вы утверждаете, ничего не знает про файловую систему.
                                                                                  • UFO just landed and posted this here
                                                                                      0
                                                                                      В п.3 предложенного вами алгоритма мы укоротили жизнь блоку F(L) на один цикл перезаписи. Причем совершенно непонятно, чего мы этим добились. Неубедительно, в общем.

                                                                                      Мне кажется, там более простая схема. А именно — каждый сектор имеет флаг «свободен» и уникальный ID (изменяемый).
                                                                                      В случае изменения данных в каком-то секторе (скажем, 1001), эти данные переписываютяс в первый-же сектор с флагом «свободен» ID, большим, чем у исходника (скажем, 1002). Данные в секторе 1001 остаются без изменений, у него устанавливается флаг «свободен» и ID = НаибольшийТекущийID + 1. Таким образом, сектор в следующий раз будет перезаписан только когда будут перезаписаны все остальные свободные на текущий момент секторы.
                                                                                      • UFO just landed and posted this here
                                                                                          +1
                                                                                          Мы уже очень сильно отошли от темы хабратопика, но новая тема тоже довольно интересна и вызвает немало вопросов… Предлагаю продолжить в аське. :) 161 501 399.
                                                                                            0
                                                                                            Напишите статью об этом.
                                                                                            Мне интересна эта тема, но выхватывать куски из комментариев не айс.
                                                                                              0
                                                                                              Какую статью?.. Мы с TolTol просто размышляем на тему «как бы можно было это сделать». Обмениваемся мнениями и спорим немножко. :)
                                                                                                0
                                                                                                Поразмышляйте на тему «как это реализовано на самом деле», укажите плюсы и минусы, предложите свой вариант. =)
                                                                                                А развернув идею, можно написать диплом! =)
                                                                                            • UFO just landed and posted this here
                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              Ну… Соглашусь. Хотя алгоритм и не самый эффективный — при перезаписи каждого сектора теряется один лишний цикл. :)
                                                                                            0
                                                                                            Ммм… Очень надеюсь, вы меня поймете не взирая на пропущенные запятые и последствия неаккуратного изменения структуры предложений через Copy/Paste. :)
                                                                              –2
                                                                              Да забудьте вы про эти замшелые «истины» восьмилетней давности.

                                                                              Не посылаю вас идти читать про устройство конкретно NTFS, все равно не пойдете.
                                                                          0
                                                                          Я уже 5 лет пользуюсь аналогичным диском(80Гб) с FAT32 и никогда не извлекаю его корректно, всегда просто выдергиваю(единственное что слежу чтобы записи/чтения в этот момент не было). Диск в полном порядке.
                                                                            +1
                                                                            Я долго хранил все важные файлы только на FAT32-разделах — проще восстанавливать. =)
                                                                              0
                                                                              При некорректном отключении FAT32-раздела не гарантируется целостность данных. Потом чекдиск находит кучу ошметков файлов.
                                                                          +1
                                                                          беда с этими авторанами — на мобильный телефон со встроенным 4Gb диском после подключения к USB сразу вся зараза цепляется :( Приходится работать через ActiveSync, а не как с обычным диском
                                                                            0
                                                                            Если при втыкании съёмного диска зажать shift — автозапуск временно отключается.
                                                                            Как минимум, так можно сдержать распространение вируса с заражённой флешки.
                                                                              +1
                                                                              Если при подключении диска зажать шифт — вирус всё равно создаст на нём нужные ему файлы. Топик решает совсем другую проблему.
                                                                                +1
                                                                                Мой комментарий решает не проблему «как не заразиться», а скорее «что делать, если флешка уже может быть заражена». Отключить автозапуск через реестр или политики не всегда возможно, а шифт нажать — не проблема на любом компьютере.
                                                                                0
                                                                                Меня больше всего раздражает отсутствие автозапуска.
                                                                                Сами вирусы мне неинтересны — ими займется антивирус. Но пока он не закончит, работать с флешкой неудобно.
                                                                                  +1
                                                                                  А меня — его наличие. И сам факт существования такой функции, особенно на перезаписываемых устройствах.
                                                                                +1
                                                                                Cкажите, а зачем выставлять read-only права на весь корневой каталог? Ведь достаточно, AFAIK, создать и выставить readonly desktop.ini и autorun.inf?
                                                                                  –1
                                                                                  а что мешает вирусу скинуть эти атрибуты, перед заражением?
                                                                                    +2
                                                                                    Не атрибуты. Права доступа NTFS. Мы же флешку в NTFS в самом начале топика сконвертировали, помните?
                                                                                      –1
                                                                                      если вирус работает под текущим пользователем, который почти наверняка в виндовсе — админ, выставить нужные права на нужные файлы/директории?
                                                                                        +2
                                                                                        Это другой разговор. Но 95% вирусов так не делают.
                                                                                          0
                                                                                          а он не может то же сотворить с корневым катологом?
                                                                                          0
                                                                                          Пардон, не верно вас понял.
                                                                                        0
                                                                                        Выше уже отвечал на подобный вопрос — часто дело не ограничивается только autorun.inf и desktop.ini.
                                                                                        Если доступность корня для вас критичнее, чем его чистота — защитить стоит только эти файлы.

                                                                                        Кстати, необязательно создавать фейковые файлы — autorun.inf я использую для назначения флешке своей иконки, у desktop.ini тоже много применений. Не люблю бесполезные файлы. =)
                                                                                        +1
                                                                                        У меня на флешке прописались несколько файлов; сильно помогают в борьбе с завирусованными машинами: (кодировка дос, /T — рекурсия.)
                                                                                        F:\>type .mk_readonly.cmd
                                                                                        @cacls. /T /P Все:R < .y.txt >nul

                                                                                        F:\>type .mk_writeable.cmd
                                                                                        @cacls. /T /P Все:F < .y.txt >nul

                                                                                        F:\>type .y.txt
                                                                                        y
                                                                                          0
                                                                                          Парсер съел пробел между cacls и точкой
                                                                                          0
                                                                                          Идеальным решением проблемы без конвертации в NTFS, имхо, было бы создание небольшой программки, которую мы прописываем в автозапуск флешки (вместо вируса :)

                                                                                          Логика программы — при запуске определить текущий диск, заблокировать файлы автозапуска на нем (путем открытия файлов на для записи), зарегистрировать какой-нибудь специфический глобальный хоткей, резидентно повиснуть в памяти.

                                                                                          Собственно функция защиты выполнена, так как файлы автозапуска заблокированы нашей программкой. Возникает вопрос — а как теперь корректно отключать флешку?

                                                                                          В обработчике нашего хоткея пишем: разблокировать файлы, вызвать системную функцию безопсного отключения для нашей флешки, закрыть программу.

                                                                                          PS: В принципе всё это довольно бредово и не стоит свеч — просто описал пришедшее в голову, когда на флешках родни в очередной раз обнаружил виря :)
                                                                                            +1
                                                                                            Я избавлялся от авторан-вирусов созданием на NTFS-флэшке файлов autorun.ini/autorun.inf и полным запрещением доступа к ним. Вирус просто не сможет записаться в автозагрузку.
                                                                                              +1
                                                                                              просто пока не появились достаточно умные вирусы, которые вернут rw себе обратно :-)
                                                                                                0
                                                                                                Если они станут умными нам всем будет очень плохо :)
                                                                                            • UFO just landed and posted this here
                                                                                                –4
                                                                                                Уважаемый, Вы бы сначала попробовали сделать то, что посоветовали.
                                                                                                Создание папки autorun.inf никак не помешает созданию файла autorun.inf
                                                                                                Насколько мне помнится, папка в win — обычный файл с скрытым расширением .folder
                                                                                                У Вас получится autorun.inf.folder и autorun.inf
                                                                                                  +2
                                                                                                  Уважаемый :), а вы бы сначала попробовали сделать то, что посоветовали :)
                                                                                                  Не знаю откуда вы взяли эту странную информацию про скрытое расширение — ни в одной известной мне фс не помню такого, впрочем, может оно где и есть, но это не важно — в фат это явно не так. Сам способ работает, но в ограниченых пределах — вирус легко может удалить этот каталог сначала (от этого в некоторой степени может помочь помещение в этот каталог файла с именем вроде prn), или просто переименовать — тогда и «хитрые» файлы не помогут.
                                                                                                    +3
                                                                                                    Извиняюсь, был не прав! Совсем забыл, что флешка у меня в NTFS…

                                                                                                    А про расширение .folder — баг такой был в XP SP1. Делаешь злой html-файл, обзываешь его games.folder и проводник отображает его как папку. По двойному щелчку исполнялся соответственно html-сценарий.

                                                                                                    Если я про расширение не прав, и такового в природе нт, то извиняюсь дважды =(
                                                                                                      0
                                                                                                      А без разницы — в NTFS флешка, или нет.
                                                                                                        0
                                                                                                        У меня прекрасно создался файл и папка под названием «autorun.inf» на NTFS.
                                                                                                        Потом воткнул флеху с FAT, попытка повторить мои действия окончилась выводом ошибки.
                                                                                                          0
                                                                                                          не верю. посмотрите расширение файла. :)
                                                                                                  • UFO just landed and posted this here
                                                                                                  0
                                                                                                  Геморно всё это. Вычищается дрянь, создаётся файл autorun.inf, ставится ему read only — ни разу не подводило, хотя я допускаю, что хитрый вирь может авторану права переназначить, а потом вписаться.

                                                                                                  Ну и личное: ни разу не видел пользы от автозапуска с флэшки.

                                                                                                  Вцелом для защиты приходится всегда чем-то жертвовать (напомню о презервативах). Так вот метод имеет право на жизнь, кому-то удобнее не жертвовать автораном, но жертвовать доступом.
                                                                                                  • UFO just landed and posted this here
                                                                                                      0
                                                                                                      Есть и такой. Но вот я переключил, вставил, а теперь мне нужно слить на флэшку. Где гарантия, что после обратного переключения зараза не полезет? К тому же на воткнутой в порт флэшке слегка неудобно переключатель двигать (сужу по трансцендовским)
                                                                                                      • UFO just landed and posted this here
                                                                                                        • UFO just landed and posted this here
                                                                                                    0
                                                                                                    Конвертирование флешки в NTFS чревато проблемами с совместимостью. Такая флешка не будет читаться в компьютерах под Windows 9x, Linux без драйверов NTFS, всяких бытовых устройствах типа видеоплееров.

                                                                                                    Если бы меня беспокоила подобная проблема, я бы сделал следующее:
                                                                                                    1) Отключение автозапуска;
                                                                                                    2) Резидентная софтинка, которая при установке нового накопителя без вопросов убивает на нем autorun.inf.

                                                                                                    Ну и антивирус, естественно.
                                                                                                      +1
                                                                                                      в линуксе драйвера на чтение уже давно в ядре и уже давно очень рабочие.
                                                                                                        –1
                                                                                                        Но не на запись.
                                                                                                          +1
                                                                                                          Вы не в курсе :)
                                                                                                          Попробуйте Ubuntu.
                                                                                                            0
                                                                                                            Да они уже 100 лет как везде есть. Даже если не по дефолту, то ставятся одной коммандой.
                                                                                                              0
                                                                                                              «sudo apt-get install ntfs-3g» (o;
                                                                                                              0
                                                                                                              Я в курсе. Вы просто не очень внимательно читаете комментарии.
                                                                                                              0
                                                                                                              >> Такая флешка не будет читаться в компьютерах под Windows 9x, Linux без драйверов NTFS
                                                                                                              ключевое слово «читаться»
                                                                                                                +1
                                                                                                                ОК, согласен. :)
                                                                                                          –1
                                                                                                          Плохое решение. Каждый уважающий себя вирус должен убрать эти запреты.
                                                                                                            +1
                                                                                                            Далеко не каждый горе-вирусмейкер может написать уважающий себя вирус.
                                                                                                              –1
                                                                                                              ну такой вирус убьётся даже авастом.
                                                                                                            –1
                                                                                                            Использую старый проверенный способ: антивирус + по-возможности использую почту.

                                                                                                            А как вам такая идея, господа?
                                                                                                            Запись на флешку только с контрольным файлом. Правда для этого все файлы должны быть в папке, так-же в папке должен быть файл-ключ с кодом (текстом; числом). На флешке должен стоять «Firewall» который проверяет наличие файла-ключа в папке, архиве итд.

                                                                                                            Подделать файл нереально, ведь текст файла будете составлять вы. Хотите шифруйте свои файлы картинкой тогда будет контроль суммы. А хотите «Войной и миром» Толстого.

                                                                                                            Я не программист, поэтому не знаю возможные сложности реализации.
                                                                                                              +1
                                                                                                              И на каждый компьютер ставить драйвер для своей флешки?
                                                                                                              0
                                                                                                              Возник вопрос, по ходу чтения каментов, а почему не форматнуть флешку в reiserFS, например?
                                                                                                                +1
                                                                                                                И что с этой флешкой потом делать? :)
                                                                                                                  0
                                                                                                                  Брать с собой CD с драйвером для reiserFS :)
                                                                                                                    +1
                                                                                                                    Флешку разбить на два раздела — один с ReiserFS, второй read only в FAT с драйверами для неё =)
                                                                                                                      0
                                                                                                                      А на линукс машинках такая флешка сработает?
                                                                                                                        0
                                                                                                                        Линукс давным давно читает и FAT и ReiserFS разделы.
                                                                                                                          0
                                                                                                                          Спасибки, про фат оно конечно известно, а про РейзерФС не знал (:
                                                                                                                        +1
                                                                                                                        И что, вы думаете что в момент монтирования ReiserFS вирус испугается и не станет себя на этот раздел записывать в autorun? :)
                                                                                                                          0
                                                                                                                          ммм… да, промашечка вышла ^_^
                                                                                                                          А план казался таким надежным =))
                                                                                                                          0
                                                                                                                          а во второй раздел в fat с драйверами как раз и запишется вирус. гениально
                                                                                                                        0
                                                                                                                        Лучше уж тогда ext3, универсальнее.

                                                                                                                        Только вот проблемы это не решает, под виндой юезр в 99% случаев админ, поэтому запишет, хоть на ext3, хоть на fat, ему без разницы.
                                                                                                                      • UFO just landed and posted this here
                                                                                                                          0
                                                                                                                          Прочитал статью, прочитал ссылки, прочитал комментарии. Но оптимального решения для себя не нашел. Решение с NTFS действительно хорошо, но я работаю в телекомпании, где основной контент, который переносят на флешках менеджеры — это файлы более 50 мегабайт. В основном — это рекламные ролики. Проделал все операции со своей флешкой, для теста скопировал дистрибутив фотошопа(~64 Мб). Фотошоп ушел быстро, но флешка еще моргала, и когда я сразу после окончания копирования вытащил флешку а потом опять вставил — дистрибутив оказался битым. Действительно всё пишется сначала в кеш, даже если менять в политиках «Кеширование записи и быстрое удаление». Простые пользователи не станут дожидаться, пока флешка перестанет моргать.
                                                                                                                          Но в любом случае спасибо за интересную статью.
                                                                                                                            0
                                                                                                                            1) статья боян
                                                                                                                            2) имхо недостатки метода (надо конвертировать в нтфс, значит будут проблемы с незакрытым томом возможно под Линуксом что-то) перевешивают сомнительное преимущество. тут кривая архитектура, ничего не поделаешь.
                                                                                                                            3) О! Предлагаю в автозапуск на флешке прописать выполнение скрипта, отключающего автозапуск с флешек)) Как?

                                                                                                                            Если нужны подробности — надо просто сделать такое преобразование над реестром:

                                                                                                                            [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
                                                                                                                            «NoDriveTypeAutoRun»=dword:000000ff

                                                                                                                            Можно обойтись командой reg.exe в авторане, можно написать маленький exe для этой цели, ну и надо решить проблему детекта антивирусом.

                                                                                                                            Интересчно, кстати, считает ли антивирус вызов майкрософтовского reg.exe для изменения реестра вирусом? Если нет, то с этим можно хорошо пошалить))
                                                                                                                              0
                                                                                                                              1) Уже ткнули носом.
                                                                                                                              2) Субъективное мнение. Я считаю иначе. Для меня метод более чем приемлем.
                                                                                                                              3) см. пункт 2 — мне неудобно без автозапуска.

                                                                                                                              Насчет вызова regedit.exe — Касперский по умолчанию не разрешает никому вносить изменения в реестр.
                                                                                                                                0
                                                                                                                                Хорошо, если вы так заботитесь о тех, кому передаете инфу на флешке, почему бы тупо не очищать флешку очистительным огнем rm -rf каждый раз и писать на чистую? То есть ничего не хранить, а использовать тольок для одноразового переноса данных.
                                                                                                                                  0
                                                                                                                                  Я, в первую очередь, забочусь о себе и своей флешке. Хочу, чтобы она всегда вела себя так как ей полагается.
                                                                                                                                  0
                                                                                                                                  Подходит к каждому юзеру господин Касперский и говорит: «айяйяй, я тебе не разрешаю этого делать».

                                                                                                                                  А файлы создавать на флэшке он разрешает? (я это я просто так спросил)
                                                                                                                                    0
                                                                                                                                    Файлы создаются, когда господина Касперского нет рядом. Потом он приходит, говорит «да елки ж зеленые», отбирает клавиатуру и удаляет файлы. =)
                                                                                                                                –1
                                                                                                                                у меня есть несколько флешек, одна из них под проги, с нее зделал флеш-R )
                                                                                                                                  0
                                                                                                                                  а ведь были флешки с такой перемычкой как на дискетах для защиты от запись, что то последнее время в продаже таких не видно, а ведь это самый простой способ.
                                                                                                                                    0
                                                                                                                                    вы будете удивлены, но на почти большинстве совремменых флэшек, что имеют отдельную микросхему контроллера, эта функциональность заложена, и активируется подачей нуля или единицы на определенную ногу контроллера.

                                                                                                                                    Прямые руки и паяльник и получается как-то так — shadowsshot.ho.ua/docs004.htm.
                                                                                                                                      0
                                                                                                                                      и получается как-то так «Страница не найдена» :)
                                                                                                                                    0
                                                                                                                                    а ntfs для флешек по сравнению с fat32 не в ущерб их времени жизни?
                                                                                                                                    из-за журналирования на ntfs вроде ж постоянно записывается инфа — что не очень полезно для флеш памяти с ее органиченем на кол-во записей
                                                                                                                                    может я не прав, просветите
                                                                                                                                      0
                                                                                                                                      Количества циклов записи с лихвой хватит до того момента, когда вы решите, что флешка вам мала и нужно обзавестись новой.
                                                                                                                                      Почитайте комментарии выше — там разгорелась настоящая полемика по этому поводу. =)
                                                                                                                                      0
                                                                                                                                      по поводу способа, с созданием в корне неудаляемого autorun.inf в виде каталога
                                                                                                                                      помню в прошлом с fat32 сталкивался с ситуациями когда некоторые каталоги не удалялись из-за слишком большой вложенности каталогов в их содержимом
                                                                                                                                      хотя опять же возможно багофича воспроизводилась только в отдельных случаях — например только из DOS
                                                                                                                                        0
                                                                                                                                        В DOS, насколько мне известно, ограничение на длинну пути.
                                                                                                                                        (возможно 256 символов, тогда 32 уровней будет достаточно)
                                                                                                                                        0
                                                                                                                                        имхо ставить нтфс на флешку, это жалкое подобие «пересесть на линукс», система прав пользователей сводит на нет большинство вирусов
                                                                                                                                          0
                                                                                                                                          Пришла в голову еще одна идея: не хранить ничего на флешке (только переносить), и каждый раз ее какой-нибудь горячей клавишей очищать (хотя наверно долго она не прослужит, зато все безопасно, да и при нынешних ценах на флешки не так печально).

                                                                                                                                            0
                                                                                                                                            Остановился на варианте с NTFS и правами. Т.к. практически на всех компах нашего колледжа, да и не только, есть зараза, которая скрывает все папки на флешке, и создает exe'шники с такими же именами, плюс гадит автораном и папкой Recucler.
                                                                                                                                              +1
                                                                                                                                              А вообще... За компы, на которых безпрепятственно живут и размножаются вирусы, надо наказывать их хозяев и/или обслуживающий персонал. Особенно, если при это они еще и подключены к интернету.

                                                                                                                                              Очень надеюсь, что когда-нибудь это будет отражено в каком-нибудь законодательном акте. А то достали уже, обезьяны с гранатами за компьютерами, блин… :\
                                                                                                                                                0
                                                                                                                                                Пришла идея: написать «вирус» для флешки который отключает автозапуск на компьютере.
                                                                                                                                                  +2
                                                                                                                                                  На, пользуйся:

                                                                                                                                                  содержимое файла noautorun.cmd
                                                                                                                                                  reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255
                                                                                                                                                  reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveAutoRun /t REG_DWORD /d 255
                                                                                                                                                  reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files /v "*.*" /t REG_SZ /d ""

                                                                                                                                                  содержимое файла autorun.inf
                                                                                                                                                  [autorun]
                                                                                                                                                  shellexecute = noautorun.cmd

                                                                                                                                                  Оба файла надо положить в корневой папке на флешку. Успехов! :)
                                                                                                                                                +1
                                                                                                                                                Извиняюсь, если было, в Viste с её безопасностью по ходам как выше на шаге, когда нам надо выполнить «cacls X:\ /G Все:R» мы получаем отказ в доступе.

                                                                                                                                                Решил проблему таким образом, вместо «cacls X:\ /E /R COMPUTER_NAME\USER_NAME» прописываем «cacls X:\ /E /P COMPUTER_NAME\USER_NAME:R» В примере: cacls X:\ /E /P Все: К

                                                                                                                                                Получаем тоже самое на выходе при проверки таблицы.
                                                                                                                                                  0
                                                                                                                                                  Спасибо.
                                                                                                                                                  Есть вероятность, что добавить нового пользователя со своими правами не получается из-за владельца каталога (Owner). На досуге попробую смоделировать ситуацию в XP.

                                                                                                                                                Only users with full accounts can post comments. Log in, please.