Друзья, спасибо вам всем за поддержку!
Благодаря ей (это мой первый пост) мне удалось ознакомить большое количество специалистов со своей разработкой. Буду очень рад если кому-то она покажется полезной. Спасибо еще раз!
Реально бывал несколько раз в ситуациях (давно дело было, когда не знали еще других методов защиты от автозапуска, кроме как нажатие шифта) когда прошу пользователя «крепко нажать шифт и не отпускать до моей команды!», сам же лезу далеко под стол, подключаю флешку на задней панели системного блока, вылезаю из под стола, смотрю на экран, и после того как флешка определилась и авторан не запустился, командую: «отпускай». Затем оба облегченно вздыхаем :)
У меня теперь вот какой вопрос: очень здорово что есть возможность технически сделать так что для работы скрипта можно оставить только один каталог — AUTORUN.INF (и принцип работы так нагляднее — при переименовывании, или снятии атрибута «скрытый» иконка теперь будет исчезать именно с этого каталога). Но может все же оставить и второй каталог (со строкой IconFile=«icon.ico») — чтобы иконка на нем была всегда?
Объясню ход мысли: если иконка с каталога AUTORUN.INF исчезла, и все папки отображаются в дефолтном стиле — пользователь может глянуть на них мельком, и просто на автомате не обратить внимания что что-то произошло (видит же он каждый день такие же папки по многу раз). А так бы второй индикатор, оставшийся гореть в одиночестве, показал бы что что-то не в порядке.
Не зря же, например на системном блоке 2 индикатора (когда не горит индикатор HDD, мы можем взглянуть на системный блок, и увидев горящий индикатор Power, убедиться что ПК включен). Или на тесте для проверки беременности 2 полоски (одна индикаторная, вторая — контрольная, чтобы дать понять что тест вообще работоспособен).
Или это я слишком зацикливаюсь на своей изначальной идее с 2 индикаторами?
Думаю что применительно к фото вариант №4 не приживется.
Сам довольно серьезно занимаюсь фотографией, и часто наблюдаю ситуацию «говорящий не знает — а знающий не говорит» (с)БГ
Т.е., имхо, чем выше «значимость» пользователя, тем реже он будет голосовать.
> что мешает вирусу при имеющейся папке autorun.inf создать файл autorun.inf?
Свойства файловой системы мешают — на этом и основывается этот способ защиты.
Конечно можно взять HEX-редактор и попробовать создать с его помощью и файл и папку с одинаковым именем — но неизвестно как файловая система на это отреагирует.
> спасает от распростанения вируса или это только сигнализирует
И то и другое: если вирус не умеет переименовывать каталог AUTORUN.INF — тогда мой способ спасает от записи на флешку вредоносного файла autorun.inf (здесь оговорюсь что другие вирусные файлы на флешку могут быть записаны — но они не так опасны в контексте рассматриваемого вопроса как autorun.inf). Если же попадется новый autorun-вирус, который умеет переименовывать каталог AUTORUN.INF — тогда способ не спасает, но сигнализирует, что тоже само по себе неплохо.
Была и такая мысль. Но думается мне, что это направление бесперспективное.
Буквально на днях в соответствующей ветке на ru-board (см. сообщения пользователя goodbro) тоже был предложен такой вариант. Но все упирается в то, что на компьютере в обязательном порядке должен быть включен автозапуск — а это, на сегодняшний день, встречается все реже.
После подключения флешки к зараженному компьютеру, исчез красный индикатор с каталога AUTORUN.INF. Проверил — содержимое каталога: файлы desktop.ini и enable.ico на месте, каталог AUTORUN.INF не переименован (в противном случае исчез бы зеленый индикатор с каталога AUTOSTOP). Оказалось что снят атрибут «системный» с каталога AUTORUN.INF — а в этом случае файл desktop.ini не задействуется, и своя пиктограмма на папке не показывается.
Таким образом перечисленным мной на рисунке случаям добавился еще один: каталог AUTORUN.INF не переименован, но индикатор с него исчез — верный признак вируса.
Сам ее использую, в частности ф-ция «Информировать пользователя» очень хороша (не зря же говорят — «кто предупрежден — тот вооружен»).
По дизайну davisr.com совершенно согласен — отличный образец сугубо технического дизайна: ничего лишнего, отвлекающего внимание, акцент только на контент.
Я подозревал что рано или поздно они научатся переименовывать каталог AUTORUN.INF, но, как говорится, пока гром не грянет. Благо у меня в ЖЖ на странице, посвященной скрипту, пользователи отписались что есть уже такие вирусы (например Win32.HLLW.Autoruner.1018). Именно это и побудило меня писать 2-ую версию скрипта (с индикаторами).
Благодаря ей (это мой первый пост) мне удалось ознакомить большое количество специалистов со своей разработкой. Буду очень рад если кому-то она покажется полезной. Спасибо еще раз!
Следующую версию сделаю с одним.
Объясню ход мысли: если иконка с каталога AUTORUN.INF исчезла, и все папки отображаются в дефолтном стиле — пользователь может глянуть на них мельком, и просто на автомате не обратить внимания что что-то произошло (видит же он каждый день такие же папки по многу раз). А так бы второй индикатор, оставшийся гореть в одиночестве, показал бы что что-то не в порядке.
Не зря же, например на системном блоке 2 индикатора (когда не горит индикатор HDD, мы можем взглянуть на системный блок, и увидев горящий индикатор Power, убедиться что ПК включен). Или на тесте для проверки беременности 2 полоски (одна индикаторная, вторая — контрольная, чтобы дать понять что тест вообще работоспособен).
Или это я слишком зацикливаюсь на своей изначальной идее с 2 индикаторами?
Как будет нагляднее?
Сам довольно серьезно занимаюсь фотографией, и часто наблюдаю ситуацию «говорящий не знает — а знающий не говорит» (с)БГ
Т.е., имхо, чем выше «значимость» пользователя, тем реже он будет голосовать.
Попробовал — работает:
[.ShellClassInfo]
IconFile="..\AUTORUN.INF\enable.ico"
Огромное спасибо за идею! В следующей версии непременно переделаю. Вот уж действительно — на всякого мудреца довольно простоты :)
Свойства файловой системы мешают — на этом и основывается этот способ защиты.
Конечно можно взять HEX-редактор и попробовать создать с его помощью и файл и папку с одинаковым именем — но неизвестно как файловая система на это отреагирует.
> спасает от распростанения вируса или это только сигнализирует
И то и другое: если вирус не умеет переименовывать каталог AUTORUN.INF — тогда мой способ спасает от записи на флешку вредоносного файла autorun.inf (здесь оговорюсь что другие вирусные файлы на флешку могут быть записаны — но они не так опасны в контексте рассматриваемого вопроса как autorun.inf). Если же попадется новый autorun-вирус, который умеет переименовывать каталог AUTORUN.INF — тогда способ не спасает, но сигнализирует, что тоже само по себе неплохо.
Буквально на днях в соответствующей ветке на ru-board (см. сообщения пользователя goodbro) тоже был предложен такой вариант. Но все упирается в то, что на компьютере в обязательном порядке должен быть включен автозапуск — а это, на сегодняшний день, встречается все реже.
После подключения флешки к зараженному компьютеру, исчез красный индикатор с каталога AUTORUN.INF. Проверил — содержимое каталога: файлы desktop.ini и enable.ico на месте, каталог AUTORUN.INF не переименован (в противном случае исчез бы зеленый индикатор с каталога AUTOSTOP). Оказалось что снят атрибут «системный» с каталога AUTORUN.INF — а в этом случае файл desktop.ini не задействуется, и своя пиктограмма на папке не показывается.
Таким образом перечисленным мной на рисунке случаям добавился еще один: каталог AUTORUN.INF не переименован, но индикатор с него исчез — верный признак вируса.
Здорово что провели такие «полевые испытания»!
По дизайну davisr.com совершенно согласен — отличный образец сугубо технического дизайна: ничего лишнего, отвлекающего внимание, акцент только на контент.
Я подозревал что рано или поздно они научатся переименовывать каталог AUTORUN.INF, но, как говорится, пока гром не грянет. Благо у меня в ЖЖ на странице, посвященной скрипту, пользователи отписались что есть уже такие вирусы (например Win32.HLLW.Autoruner.1018). Именно это и побудило меня писать 2-ую версию скрипта (с индикаторами).
Файл -> Мастер поиска и устранения проблем -> Все проблемы