дробовики.
заявка на кредит Тинькофф

 +7(921)531-33-05   ул. Виноградова, 20, оф. 7

График работы: Пн.-Пт. 9.00-18.00, Сб. Вс. - выходной

Четверг, 05 июля 2012 05:53

Снова о защите USB-флэшек от вирусов

Оцените материал
(0 голосов)
AUTOSTOP - скрипт для защиты от autorun-вирусов:

При полном или частичном использовании кода скрипта указание авторства обязательно - http://mechanicuss.livejournal.com/195192.html

 

Скрипт AUTOSTOP предназначен для:

 

  • отключения на компьютере автозапуска флешек и CD/DVD
  • защиты флешки от autorun-вирусов
  • программной защиты флешки от записи


Каждая з трех процедур выполняется отдельно по желанию пользователя. 
Наибольший эффект защиты достигается при применении всех трех функций скрипта.

Те, кто спросит, зачем нужен cкрипт AUTOSTOP, ведь можно воспользоваться способом, описанным, например здесь: Защита флэшки от Autorun-вирусов (метод изменения прав в NTFS) - http://habrahabr.ru/blogs/infosecurity/47287/ по большому счету будут правы - этот способ удобнее и надежнее моего. Но, отвечая на вопрос, я скажу следующее:

 

  • Существуют ситуации, когда форматирование флешки в NTFS нежелательно или неприемлемо (например, конкретная модель автомагнитолы или DVD-плеера читает только FAT32).
  • Я хочу показать что "можно таки бить фашиста" альтернативными способами (любая альтернатива это плюс).
  • Я люблю логические задачи, а работа над скриптом - это отличная гимнастика для ума.
  • Способ, придуманный мной в версии 2 скрипта (со ссылкой на иконку) можно взять за основу во многих других прикладных разработках.
  • Есть вирусы типа Trojan-Downloader.Win32.VB.hkq (первое обнаружение по данным virustotal 2008.08.14), которые обнаружив на флешке папки с файлами делают их скрытыми и системными, а на флешку копируют свои тела в виде исполняемых файлов с именами скрытых каталогов. Иконку для исполняемых файлов используют в виде стандартной иконки папки. В этом случае скрипт AUTOSTOP будет полезен: исчезновение иконки на каталоге AUTORUN.INF будет служить признаком заражения.
  • защита флешки от записи новых файлов отлично подходит для загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF. 



ОТКЛЮЧЕНИЕ АВТОЗАПУСКА ФЛЕШЕК И CD/DVD


REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f

В CancelAutoplay\Files находятся текстовые параметры, содержащие имена файлов, отыскав которые на носителе встроенный AutoRun запускаться не станет и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f

@SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf - то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того - не запускается он и при двойном клике по букве диска этого носителя в проводнике.

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f

С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с определенных приводов по их типу. Поскольку нам авторан вообще не нужен, используем второе.

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f

Cdrom - полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной).




ЗАЩИТА ФЛЕШКИ ОТ AUTORUN-ВИРУСОВ

На флешке создается защищенный от удаления (методом создания внутри него подкаталога с "некорректным" именем LPT3) каталог AUTORUN.INF с атрибутом "системный", в который помещается иконка, а в свойствах файла desktop.ini этого каталога прописывается абсолютная ссылка на иконку.

mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
mkdir "\\?\%~d0\AUTORUN.INF\LPT3\.."
copy minus.ico AUTORUN.INF
echo [.ShellClassInfo] > AUTORUN.INF\desktop.ini
echo IconFile=..\AUTORUN.INF\minus.ico >> AUTORUN.INF\desktop.ini
echo IconIndex=0 >> AUTORUN.INF\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP version 2.6" >> AUTORUN.INF\desktop.ini
attrib +h +r +s AUTORUN.INF\desktop.ini
attrib +h +r +s AUTORUN.INF\minus.ico
attrib +s AUTORUN.INF


Таким образом, при переименовывании каталога AUTORUN.INF, или при снятии с него атрибута "системный", иконка исчезает - это служит визуальным оповещением о том, что флешка заражена.

Пиктограмма взята из бесплатного набора Fugue Icons с сайта http://www.pinvoke.com 

ПРОГРАММНАЯ ЗАЩИТА ФЛЕШКИ ОТ ЗАПИСИ


Программная защита флешки от записи осуществляется путем определения свободного пространства на ней, с последующим полным его заполнением. Такой метод отлично подходит, например, для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF.

Для создания такого файла используется команда:


fsutil file createnew <filename> <length>


 

Загрузить AUTOSTOP 2.6 - http://rghost.ru/1048865

autostop.2.6.exe, MD5: 404bb5b3d8b9b0a90dd1c4128af06445
Зеркало - http://filestore.com.ua/?d=7C3946EB9

Прочитано 7252 раз

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

О нас

Любая компьютерная помощь, которую оказывает наш центр, начинается с бесплатного выезда мастера на место оказания помощи, включает бесплатную консультацию, гибкую систему скидок. Мы оказываем компьютерную помощь в выходные и праздники, используем только лицензионные программы. Компьютерная помощь осуществляется нашими специалистами грамотно и оперативно.

Контакты

С нами связаться очень просто. Можно по телефону или по адресу указанному ниже

  • Email : Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Адрес на карте