Comments 59
самый эффективный подать излишнее питание на usb/разъёмы ;)
Твою ссылку хабр скушал, исправь.
А где же URL?
http://ali-k777.narod.ru/autoruncleaner.html похоже что это он и есть
вы уверены, что программа срабатывает раньше, чем авторан с диска?
или вы как то перехватываете процесс автозапуска?
или вы как то перехватываете процесс автозапуска?
Смотреть придётся по приходу домой… по работе нужна другая кодировка :\ (меню абсолютно нечитаемо, а в формочках вроде норм)
Может, стоит добавить английский?
Пока что заметил — на висте если добраться до настроек, то некоторые примечания к чекбоксам написаны жирным, при наведении мышки текст становится нормальным О_о
Может, стоит добавить английский?
Пока что заметил — на висте если добраться до настроек, то некоторые примечания к чекбоксам написаны жирным, при наведении мышки текст становится нормальным О_о
Насчет кодировки – спасибо, буду думать.
Насчет настроек – да, есть такой глюк, шрифт “Segoe UI”. На других шрифтах не наблюдал такого. В XP,Win7 всё нормально рендерится. Проблема в кривизне моих рук?
Насчет настроек – да, есть такой глюк, шрифт “Segoe UI”. На других шрифтах не наблюдал такого. В XP,Win7 всё нормально рендерится. Проблема в кривизне моих рук?
Посоветую похожую програссу которую использую давно USB Disk Security
ссылка www.zbshareware.com/download.html
Она блокирует автораны флешек, фотоаппаратов и т.д и выводит список авторанов и вирусов прикрепленных к этому авторану
Удаляете все что она нашла потом контрольно проверяете антивирусом и вуаля.
ссылка www.zbshareware.com/download.html
Она блокирует автораны флешек, фотоаппаратов и т.д и выводит список авторанов и вирусов прикрепленных к этому авторану
Удаляете все что она нашла потом контрольно проверяете антивирусом и вуаля.
3. Если она его находит, то она его обрабатывает и удаляет файлы, которые были прописаны в нём.
А если там не прописаны файлы? Возьмите хотя бы conficker, который распространяется через флешки в том числе. Он в autorun.inf сразу свое тело записывает, а не ссылки. И когда винда начинает парсить такой специально сгенерированный autorun, то заканчивается это исполнением тела вируса, со всеми вытекающими последствиями
А вы хотите тоже его парсить. Тут уже подумать нужно, что бы этот парсинг не закончился также плачевно.
Во-вторых, смотря конечно чего вы добиться хотите. Но если хотите просто чтобы вирусы вас не беспокоили можно ведь дома отключить автозапуск для флешки, поставить патч KB950582 и вирусы больше не будут запускаться у вас дома, даже если там будет autorun.inf (хотя при этом они конечно не удалятся с флешки, но если это не критично можно и так оставить)
А если там не прописаны файлы? Возьмите хотя бы conficker, который распространяется через флешки в том числе. Он в autorun.inf сразу свое тело записывает, а не ссылки. И когда винда начинает парсить такой специально сгенерированный autorun, то заканчивается это исполнением тела вируса, со всеми вытекающими последствиями
А вы хотите тоже его парсить. Тут уже подумать нужно, что бы этот парсинг не закончился также плачевно.
Во-вторых, смотря конечно чего вы добиться хотите. Но если хотите просто чтобы вирусы вас не беспокоили можно ведь дома отключить автозапуск для флешки, поставить патч KB950582 и вирусы больше не будут запускаться у вас дома, даже если там будет autorun.inf (хотя при этом они конечно не удалятся с флешки, но если это не критично можно и так оставить)
Я не знаю, как винда обрабатывает autorun.inf, но я все-таки думаю, что мой парсер и парсер винды различаются. Если у парсера винды нашелся баг — это ведь не значит, что у меня он тоже есть.
Да авторан отключить можно – я так и делаю. Что делает этот патч KB950582? Он убережет от вирусов, которые запускаются от 2-го клика на флэшке?
Да авторан отключить можно – я так и делаю. Что делает этот патч KB950582? Он убережет от вирусов, которые запускаются от 2-го клика на флэшке?
1. Я не сказал что они одинаковые, я просто сказал, что нужно при парсинге учитывать такой вариант
2. Фактически да, подробности здесь: http://support.microsoft.com/kb/953252
2. Фактически да, подробности здесь: http://support.microsoft.com/kb/953252
Если KB950582 защищает от двойного клика, автовыполнения и прописывания в контекстное меню, то Вы правы это ещё один альтернативный способ защиты.
Но заразу надо не только заблокировать, но и удалить, чтобы не распространять её на остальные компьютеры (домашние компьютеры пользователей, например).
Будет отлично если использовать оба способа.
Но заразу надо не только заблокировать, но и удалить, чтобы не распространять её на остальные компьютеры (домашние компьютеры пользователей, например).
Будет отлично если использовать оба способа.
Сильно советую проверить вашу тулзу с этим conficker — у него очень кривой autorun.inf, интересно, как ваша тулза его распарсит.
Неправильно. У Conficker-а обычный autorun.inf, просто он заполнен служебными символами, которые винда игронирует, а человеческий глаз видит. И где-то среди этих символов спрятана реальная команда rundll32…
Запустить autorun.inf как exe невозможно пока что — такой дыры в винде еще не найдено :)
Запустить autorun.inf как exe невозможно пока что — такой дыры в винде еще не найдено :)
Если Вы не поняли — я не встречался с Conficker-ом и поэтому вверху были только мои предположения, которые основывались на комментарии Nast.
А «обычные» антивирусы разве не мониторят флэшку при ее подключении?
Мониторят. Но не все вирусы бывают в базах. Причем как я сказал, я учусь в университете, в котором есть студенты-программисты и каждый (имхо) считает себя обязанным написать вирус. А большинство таких вирусов антивирус не в состоянии обнаружить, какой бы мощный у него не был эвристик.
Надо антивирусным компаниям взять на вооружение. Добавить функционал, позволяющий автоматически удалять/предупреждать, что на диске обнаружен autorun.inf. По-моему случаев несанкционированного использования autorun вирусами сегодня гораздо больше, чем случаев, когда кому-то реально понадобилось на флешке autorun создать
Полностью согласен. Почему они до сих пор этого не сделали — загадка. Ведь точно знают об этом.
Ну если весь функционал включить в версию 1.0 то как продавать в будущем версию 12.5?;)
Идея с программой хорошая. У меня только вот какой вопрос возник: некоторые из антивирусов (если не ошибаюсь — тот же NOD32) умеют проверять флешки при подключении. Не будет ли Ваша программа конфликтовать с этим функционалов антивирусов (в духе — кто первый перехватит)?
Да, кстати так и есть. :-)
У меня знакомый по работает в сфере услуг, где клиенты приносят флэшки. Я ему дал эту прогу на тестирование (ещё старые её версии) — для теста и он говорил, что бывает по-разному: то Каспер первый «съест», то прога. Вот так.
А конфликтов, как таковых, не наблюдается.
Насчёт NOD32 ничего сказать не могу..., но считаю, что ничего страшного не будет.
У меня знакомый по работает в сфере услуг, где клиенты приносят флэшки. Я ему дал эту прогу на тестирование (ещё старые её версии) — для теста и он говорил, что бывает по-разному: то Каспер первый «съест», то прога. Вот так.
А конфликтов, как таковых, не наблюдается.
Насчёт NOD32 ничего сказать не могу..., но считаю, что ничего страшного не будет.
я отключил авторан в реестре
и смотрю флешки только в FARе а не открываю в проводнике
и никакая живность не страшна
замеченнно если на флешке создать ПАПКУ Autorun.inf и сделать её скрытой системной и только дя чтения
то многие (все которых я пока видел) вири обламваются
и смотрю флешки только в FARе а не открываю в проводнике
и никакая живность не страшна
замеченнно если на флешке создать ПАПКУ Autorun.inf и сделать её скрытой системной и только дя чтения
то многие (все которых я пока видел) вири обламваются
Папку autorun.inf я тоже когда-то применял – от многих вирусов спасала, но, к сожалению, не от всех. Смекалистые студенты на следующий же день переписывали свои творения, учитывая это.
А для них есть пуленепробиваемое решение, от которого спасет только форматирование.
Файл LPT в этом каталоге, который невозможно удалить. Это на FAT.
На NTFS еще можно с правами замутить.
Файл LPT в этом каталоге, который невозможно удалить. Это на FAT.
На NTFS еще можно с правами замутить.
Файл LPT можно удалить также как Вы его и создали.
Может Вы имели ввиду prn, но и его также легко удалить.
C:\>echo>\\?\C:\prn
C:\>del \\?\C:\prn
Вы правы :-)
Можно воспользоваться старой дыркой в FAT:
Создать в каталоге autorun.inf другой каталог, который через del уже не удалишь. Я говорю о каталогах, оканчивающихся на ..\
создаем autorun.inf
#mkdir autorun.inf
заходим в него
#cd autorun.inf
создаем «несуществующий каталог»:
#mkdir 111..\
создастся каталог с именем 111.
его нельзя удалить никак, ни через del не из винды. И autorun.inf теперь тоже нельзя удалить
Единственный способ удалить теперь 111. — это через rmdir с прямым обращением к имени, т.е.
#rmdir 111..\
но ведь про это еще знать нужно!
Подробности здесь https://www.xakepy.cc/showthread.php?p=23301
Пользуйтесь…
P.S. Тссс...! Только не говорите об этом вашим смекалистым студентам
Создать в каталоге autorun.inf другой каталог, который через del уже не удалишь. Я говорю о каталогах, оканчивающихся на ..\
создаем autorun.inf
#mkdir autorun.inf
заходим в него
#cd autorun.inf
создаем «несуществующий каталог»:
#mkdir 111..\
создастся каталог с именем 111.
его нельзя удалить никак, ни через del не из винды. И autorun.inf теперь тоже нельзя удалить
Единственный способ удалить теперь 111. — это через rmdir с прямым обращением к имени, т.е.
#rmdir 111..\
но ведь про это еще знать нужно!
Подробности здесь https://www.xakepy.cc/showthread.php?p=23301
Пользуйтесь…
P.S. Тссс...! Только не говорите об этом вашим смекалистым студентам
UFO just landed and posted this here
«то многие (все которых я пока видел) вири обламваются» — к сожалению, многие, но далеко не все. Новые autorun-вирусы (например, Win32.HLLW.Autoruner.1018) уже научились переименовывать созданный на флешке каталог AUTORUN.INF, мне пришлось учитывать этот момент при написании своего скрипта для защиты флешек.
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
«NoDriveAutoRun»=dword:000000ff
«NoFolderOptions»=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
«CheckedValue»=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
«AutoRun»=dword:00000000
Всё же такая конструкция спасёт отцов русской демократии от авторанов, как мне кажется…
Достаточно импортировать в реестр этот файл (ну или распространить через групповые политики AD на предприятии).
А я тупо отключил автозапуск для всех типов дисков (флешки, винты, двд и так далее).
mechanicuss.livejournal.com/195192.html
mechanicuss.livejournal.com/195192.html
В вашей статье всё отлично разжевано. В активе моей программы остаётся только то, что она создаёт ярлык на рабочий стол для флэшки и удаляет сам вирус.
Там главное NOAUTORUN.REG это не позволяет вирусам запуститься. После же, когда я захожу на флешку вирусы в автоматическом режиме (проактивная защита и т.п.) удаляет антивирусная программа, то есть или BitDefender или Каспер.
Я не пользовался AutorunCleaner, так как авторановские файлы и вирусы удаляют вышеуказанные антивирусники. Но это как бы чужие флешки на моём компьютере, а для себя иногда ещё создаю контрольную сумму с помощью md5summer, а то мало ли что чужие заражённые компьютеры с моими данными сделают.
Я не пользовался AutorunCleaner, так как авторановские файлы и вирусы удаляют вышеуказанные антивирусники. Но это как бы чужие флешки на моём компьютере, а для себя иногда ещё создаю контрольную сумму с помощью md5summer, а то мало ли что чужие заражённые компьютеры с моими данными сделают.
По первому абзацу хочу заметить, что я, как говорил выше, учусь в ВУЗе и, как Вы понимаете, у нас существуют внутривузовские вирусы, которые не всегда обнаруживаются антивирусом (Касперского).
По второму абзацу хочу Вам дать совет, которым пользуюсь сам уже долгое время. Раньше, когда флэшки ещё не имели такого распространения, а соответственно и не было такого распространения вирусов типа «autorun» — главенствовали в основном (сугубо мои наблюдения) «реальные», настоящие вирусы, которые заражали exe-шники. Так, после очередной волны порчи моих драгоценных игр, дистрибутивов и прочего я задумался о том, как просто и эффективно противостоять этой заразе. И вскоре было найдено решение простое как таблица умножения – я стал паковать все дистрибутивы в архив RAR, с играми я поступал иначе – так как они весят не мало, то я паковал только все исполняемые файлы в RAR, такие как *.exe;*.dll;*.com и др. и клал архив в папку с игрой.
Как Вы понимаете все (большинство) вирусы этого типа искали жертву по маске *.exe и заражали только их, а это у меня только раздел, на котором стоит система и приложения, установленные прямо из архива. После обнаружения «атаки» я просто удалял всё на этом разделе и перебивал винду.
PS: Кстати, был один экземпляр который заражал все экзешники внутри Zip-архивов, поэтому я выбрал после этого RAR. Сейчас можно и 7z, но я для этих целей всё же предпочитаю RAR.
По второму абзацу хочу Вам дать совет, которым пользуюсь сам уже долгое время. Раньше, когда флэшки ещё не имели такого распространения, а соответственно и не было такого распространения вирусов типа «autorun» — главенствовали в основном (сугубо мои наблюдения) «реальные», настоящие вирусы, которые заражали exe-шники. Так, после очередной волны порчи моих драгоценных игр, дистрибутивов и прочего я задумался о том, как просто и эффективно противостоять этой заразе. И вскоре было найдено решение простое как таблица умножения – я стал паковать все дистрибутивы в архив RAR, с играми я поступал иначе – так как они весят не мало, то я паковал только все исполняемые файлы в RAR, такие как *.exe;*.dll;*.com и др. и клал архив в папку с игрой.
Как Вы понимаете все (большинство) вирусы этого типа искали жертву по маске *.exe и заражали только их, а это у меня только раздел, на котором стоит система и приложения, установленные прямо из архива. После обнаружения «атаки» я просто удалял всё на этом разделе и перебивал винду.
PS: Кстати, был один экземпляр который заражал все экзешники внутри Zip-архивов, поэтому я выбрал после этого RAR. Сейчас можно и 7z, но я для этих целей всё же предпочитаю RAR.
Да, ещё, помещение данных в архив имеет плюс в том, что уменьшает время копирования на/с флэшку(и), а также Вы автоматически при распаковке проверяете контрольную сумму.
>Кстати, был один экземпляр который заражал все экзешники внутри Zip-архивов, поэтому я выбрал после этого RAR. Сейчас можно и 7z, но я для этих целей всё же предпочитаю RAR.
Сильно у вас там заражает. Тоже пакую, но в 7Zip, а потом уже md5summer. Можно на всякий случай ставить пароль с запретом на просмотр файловой структуры внутри, но я так не делаю.
>у нас существуют внутривузовские вирусы, которые не всегда обнаруживаются антивирусом (Касперского).
Компьютеры наверное надо правильно администрировать. Не запускать из административных записей, а другим учётным записям вообще запрещать доступ на изменения системных или ещё каких нужных файлов. Это как бы уже глобальная задача, а не просто защита флешки.
Сильно у вас там заражает. Тоже пакую, но в 7Zip, а потом уже md5summer. Можно на всякий случай ставить пароль с запретом на просмотр файловой структуры внутри, но я так не делаю.
>у нас существуют внутривузовские вирусы, которые не всегда обнаруживаются антивирусом (Касперского).
Компьютеры наверное надо правильно администрировать. Не запускать из административных записей, а другим учётным записям вообще запрещать доступ на изменения системных или ещё каких нужных файлов. Это как бы уже глобальная задача, а не просто защита флешки.
Кроме NOAUTORUN.REG советую взять там еще 4 строки для правки реестра в целях всякого отключения автозапуска. Или же сам скрипт запустить — заодно и флешку обезопасите.
Хочу обратить внимание автора на тот факт что ряд производителей поставляют флешки со встроенным софтом и соответственно с автораном, обезвредив флешку таким образом вы запросто можете удалить часть софта производителя (а дисков с копиями большинство не предоставляет), или сделать флешку напрочь нерабочей — в случае с U3- и Security-enabled устройствами
Было бы значительно аккуратнее блокировать запуск этих файлов или хотя бы переименовывать их в не-выполняемое расширение вроде .backup
Было бы значительно аккуратнее блокировать запуск этих файлов или хотя бы переименовывать их в не-выполняемое расширение вроде .backup
Sign up to leave a comment.
Альтернативный способ борьбы с вирусами на флэш накопителях.