Comments 278
Также хотелось бы сказать, что автор текста не несет ответственности за оборудование, испорченное в следствии выполнения нижеописанных действий.
сразу представился какой то убийственный метод, однако идея оказалась намного проще.
а какое оборудование и почему может умереть в ходе этих действий? форматирование флешки?
А зачем перезагружать комп после форматирования флешки? о_О
Acronis просит, вообще, если не перезагрузить, то флэхе может не назначиться буква для диска, а это у многих паника и лишние телодвижения. Если вы опытный пользователь, то думаю сами можете понять, что в данной статье делать обязательно, а что нет. На самом деле, можно и без перезагрузки, нужно просто переподключить флэху… Иногда и этого ненужно. Почему-то всегда по-разному.
Почему, почему… Безумная болезнь разработчиков виндузов. Заставляют перегружаться после каждого чиха. Вы ещё не привыкли? :) В 90% случаев на этот идиотизм можно забить.
Хм, интересный способ. Очень часто использую флешку подключая к ращным компьютерам и практически всегда вечером антивирус находит какую-то заразу
а ещё для удобства можно создать так же защищённый от записи autorun.inf, который будет открывать ту самую папку DATA.
Очень хорошая идея :) + вам, за сообразительность.
Лучше папку autorun.inf
Или файл autorun.inf и все разрешения для него выставить.
А как поступить, если флешка выполняет роль BootCD?
Последние две недели изучал этот вопрос. К сожалению, способ описанный вами мне не подходит.
Дано: 2к компов, около 100 человек которые постоянно флешками разносят вирусы. Авторан отключен (есть способ запуска и с отключенным автораном :( ).
Самый главный минус вашего способа — ntfs. Такая флешка должна быть извлечена ТОЛЬКО через безопасное извлечение. В случае же FAT32 можно определить политикой — будет ли кеширование или не будет (говоря проще — можно ли выдергивать флешку без безопасного отключения). Мне подходит только этот способ.
Следовательно, нужно сделать так, что бы вирусы на флешке не запускались автоматически, следовательно, не было возможности создать autorun.inf. (Задача именно в защите флешек, ибо не на всех компах есть возможность менять настройки.)
Многие советуют создать папку AUTORUN.INF, дать ей атрибуты скрытой, системной, только чтение… Бред полный. Такая папка удаляется некоторыми вирусами без вопросов. (Встречал, конечно, и тех, кто папку удалить не мог.)
Решение для себя я нашел довольно удобное. Создаем bat и запускаем с флешки:
Тем самым мы удаляем все автораны с флешки и создаем папочку :) Попробуйте удалить эту папочку :)
Минус этого способа только один, опять же, для меня — тело вируса копируется на флешку, но уже ни прикаких настройках системы не сможет запуститься сам.
В любом случае, нужно вибирать способ по потребностям — кому-то подойдет первый способ, кому-то мой.
Дано: 2к компов, около 100 человек которые постоянно флешками разносят вирусы. Авторан отключен (есть способ запуска и с отключенным автораном :( ).
Самый главный минус вашего способа — ntfs. Такая флешка должна быть извлечена ТОЛЬКО через безопасное извлечение. В случае же FAT32 можно определить политикой — будет ли кеширование или не будет (говоря проще — можно ли выдергивать флешку без безопасного отключения). Мне подходит только этот способ.
Следовательно, нужно сделать так, что бы вирусы на флешке не запускались автоматически, следовательно, не было возможности создать autorun.inf. (Задача именно в защите флешек, ибо не на всех компах есть возможность менять настройки.)
Многие советуют создать папку AUTORUN.INF, дать ей атрибуты скрытой, системной, только чтение… Бред полный. Такая папка удаляется некоторыми вирусами без вопросов. (Встречал, конечно, и тех, кто папку удалить не мог.)
Решение для себя я нашел довольно удобное. Создаем bat и запускаем с флешки:
attrib -s -h -r autorun.* del autorun.* mkdir %~d0\AUTORUN.INF mkdir "\\?\%~d0\AUTORUN.INF\.." attrib +s +h %~d0\AUTORUN.INF
Тем самым мы удаляем все автораны с флешки и создаем папочку :) Попробуйте удалить эту папочку :)
Минус этого способа только один, опять же, для меня — тело вируса копируется на флешку, но уже ни прикаких настройках системы не сможет запуститься сам.
В любом случае, нужно вибирать способ по потребностям — кому-то подойдет первый способ, кому-то мой.
UFO just landed and posted this here
Взгляните сами :)
после прочтения вашего поста прозрел до мысли.., а может создав такую папку можно в неё чего запихнуть… типа файлика который невозможно будет удалить? непомню как это сделать, но как то с линксом связано помему или с багом FAT'a… Может ту найдутся доки кто подскажет реализацию? =)
именно это и делает bat, который я привел комментарием выше.
Есть еще такая утилитка: Flash Desinsector.
При запуске создает на всех дисках защищенную папку autorun.inf с файлом, который нельзя просто так удалить.
При запуске создает на всех дисках защищенную папку autorun.inf с файлом, который нельзя просто так удалить.
Кроме autorun.inf неплохо бы еще блокировать desktop.ini — через него тоже можно запускать незаметно всякую дрянь.
Блокировать надо не файлы и каталоги, я учетную запись админа. Процентов 90 проблемм с заразой именно из-за неоправданно высоких привилегий в системе.
Вы никак не поймете.
Ну запретил я дома админа. Антивирус поставил. И вообще открываю флешку только под виртуальной машиной с линухом, для безопасности надев ОЗК и держа флешку дистанционно управляемым манипулятором.
А теперь я с этой флешкой пошел скажем к заказчику и попросил его скинуть мне важные документы. А у него компьютер заражен и хлоп! мне на флешку влез вирус.
А потом я пошел к приятелю и взял у него допустим пару мп3-шек. Воткнул флешку и хлоп! вирус уже на компьютере друга.
И только потом я пришел домой и провел дезактивацию.
Я не могу и не буду влезать в компьютеры заказчика и приятеля и блокировать им учетку админа. Но я могу защитить свою флешку.
Ну запретил я дома админа. Антивирус поставил. И вообще открываю флешку только под виртуальной машиной с линухом, для безопасности надев ОЗК и держа флешку дистанционно управляемым манипулятором.
А теперь я с этой флешкой пошел скажем к заказчику и попросил его скинуть мне важные документы. А у него компьютер заражен и хлоп! мне на флешку влез вирус.
А потом я пошел к приятелю и взял у него допустим пару мп3-шек. Воткнул флешку и хлоп! вирус уже на компьютере друга.
И только потом я пришел домой и провел дезактивацию.
Я не могу и не буду влезать в компьютеры заказчика и приятеля и блокировать им учетку админа. Но я могу защитить свою флешку.
То есть вы предлагаете создавать проблемы себе, чтобы не создавать их остальным? Отдайте тогда все свои деньги сиротам, больным и прочим — вы решите их проблемы, создав проблемы себе.
а вы предлагаете распространять вирусы и дальше? возьмите дробовик, эффективней будет.
Я предложил радикальный и более эффективный метод. А вот вы, совершая на него нападки, предлагаете из распространять дальше, причем не только авторанеры тупые.
Вы невнимательный троль. Ваш метод защищает компьютер от зараженных флешек, предложенный метод защищает флешку от зараженных компьютеров. Они не отменяют, а дополняют друг друга, но вы утверждаете обратное.
О да! Я тупой тролль!
А расскажите-ка мне, в чем опасность авторанера на флэшке? А если через свитч идет пакет с вирусом — свич тоже заражен? По вашей логике — да, потому что флэшка является средой передачи, также как и сеть.
И расскажите еще о дополненительных к органичению прав мерах, я тут послушаю.
А расскажите-ка мне, в чем опасность авторанера на флэшке? А если через свитч идет пакет с вирусом — свич тоже заражен? По вашей логике — да, потому что флэшка является средой передачи, также как и сеть.
И расскажите еще о дополненительных к органичению прав мерах, я тут послушаю.
Ребят, не надо ругаться и оскорблять друг друга. Любой спор не должен переходить границ…
UFO just landed and posted this here
Как-то боязно пробовать запускать такой скрипт, не зная полностью механизма) И иметь у себя папку, которую нельзя удалить ;)
Можете ткнуть в описание происходящих здесь процессов?
Можете ткнуть в описание происходящих здесь процессов?
Да хотелось бы подробнее, я попытался разобраться но чёт туго)
1. Ткнуть в описание происходящих здесь процессов (bat файл)
2. Обновить статью с указанием способа для FAT32
3. Про REGEDIT тоже неплохо добавить
2. Обновить статью с указанием способа для FAT32
3. Про REGEDIT тоже неплохо добавить
удаление каталогов происходит рекурсивно, т.е. чтобы удалить каталог autorun.inf нужно сначала подчистить его содержимое. Этот скрипт создаёт внутри каталог с неподдерживаемым системой именем (есть такая бага в интерпретаторе). В итоге очистить каталог autorun.inf не получается, а значит и заменить вирусным файлом не получится.
Нельзя ли объяснить — а в чем прикол? То есть почему так работает?
Сначала идея понравилась, но потом нашёл, что удалить можно аналогичным способом:
То же самое с com1 вместо ".."
Получается, если вирус удаляет рекурсивно и с использованием "\\?\", то у него всё получится :(
rd /q "\\?\%~d0\AUTORUN.INF\.." rd /q "\\?\%~d0\AUTORUN.INF"
То же самое с com1 вместо ".."
Получается, если вирус удаляет рекурсивно и с использованием "\\?\", то у него всё получится :(
Да, можно, но откуда он будет знать что надо именно так, а не иначе?
if (пробуем_удалить_файл){ функция_записи своего авторана
}
else{
пробуем_удалить_файл_подругому
}
наверное как-то так
}
else{
пробуем_удалить_файл_подругому
}
наверное как-то так
Не удивлюсь, если это как раз и есть обычный способ. Рекурсивное удаление — и так обычная вещь, а тут ещё вот:
In the ANSI version of this function, the name is limited to MAX_PATH characters. To extend this limit to 32,767 wide characters, call the Unicode version of the function and prepend "\\?\" to the path.
Что стимулирует использование \\?\… Хотя учитывая, что сам explorer не может удалить папку — может и не шибко распространено это.
In the ANSI version of this function, the name is limited to MAX_PATH characters. To extend this limit to 32,767 wide characters, call the Unicode version of the function and prepend "\\?\" to the path.
Что стимулирует использование \\?\… Хотя учитывая, что сам explorer не может удалить папку — может и не шибко распространено это.
он прочитает хабр!
Только вот переименовать то папочку можно…
а чем такой вариант плох?
UFO just landed and posted this here
а это… для дураков… что это батник делает? его один раз надо запускать или как?
Хм) А как удалить, созданную таким образом папку?
А о встроенном в систему средстве под названием «запрет автозапуска» мужики-то и не знают…
идея, как я понял, не в том, чтобы вирусы не запускались, а в том, чтобы не попали на флешку.
Попадут они только с зараженной машины. Которой не будет при запрете автозапуска.
А если на этом компьютере заражение произошло до отключения автозапуска?
А какой смысл тогда защищать флэшку, если комп так и останется заражен? :-)
Прочитайте еще раз топик. Речь идет не о вашем домашнем компе, а о ста компах :) Вылечить все одновременно не останавливая работу невозможно, а исключив перенос, мы остановим распространение.
И все с таким упорством начали защищать борьбу со следствием, а не с причиной! Если человек балбес и сидит под админом без особой на то надобности — никакие меры по защите флэшки его не спасут. Устраивать проблемы из-за чужой некомпетентности — я считаю глупо.
Действительно, зачем все это? Давайте ПРОСТО проведем курсы компьютерной грамотности для ВСЕХ!
Дело хорошее :-) Да толку будет немного.
Вот видите, вы и сами, наконец-то, допёрли до этой простой мысли. А стоило ли столько троллить, прежде, чем просто подумать? :)
Именно. А вот сделать флешку, на которой нельзя (легко) разместить вирус с автозапуском — дёшево и просто. В общем, это не идеальный подход, и совершенно не панацея, но зато он реально действует и он очень дёшев. А следовательно, весьма выгоден и полезен.
Проблемы, которые при предложенном способе получаем уже описаны. И повторюсь — нет смысла особого в защите, фактически, среды передачи. Защищать надо уязвимые системы.
Скажите, ваша компания продаёт антивирус для сканирования e-mail, проходящего через сервер?
Да, почтовый траффик сам по себе не представляет опасности, пока вложение не запустят. Но если бы ни один исполняемый файл, пришедший по почте, не мог бы быть запущен — нужна была бы проверка траффика? Думаю что не очень.
(Почему бы не ответить прямо — да, мол, продаём...)
Да, проверялка трафика была бы не нужна.
Второй вопрос: чем принципиально отличается среда передачи «MIME» от среды передачи «FAT32»? То же иерархическое строение, атрибуты и т. д.
Да, проверялка трафика была бы не нужна.
Второй вопрос: чем принципиально отличается среда передачи «MIME» от среды передачи «FAT32»? То же иерархическое строение, атрибуты и т. д.
Потому что я понимаю к чему вы это :-)
Да, и через флэш и через почту и даже через HTTP и FTP-траффик может передаваться зараза. Но смысла проверять носители нет, если эта зараза не предствляет угрозы. А пока угроза есть — есть и антивирусы. Только антивирусы, насколько мне известно, не вносят таких изменений в среду передачи, чтобы в ней в принципе нельзя было передать заразу. Защищаются системы, которые нуждаются в защите.
Да, и через флэш и через почту и даже через HTTP и FTP-траффик может передаваться зараза. Но смысла проверять носители нет, если эта зараза не предствляет угрозы. А пока угроза есть — есть и антивирусы. Только антивирусы, насколько мне известно, не вносят таких изменений в среду передачи, чтобы в ней в принципе нельзя было передать заразу. Защищаются системы, которые нуждаются в защите.
Права на работу с компьютером выдавать белым мужчинам, возрастом от 21 года и при наличии справок от православного священника и из КВД
ну вы же не можете контролировать все машини в которые вставляете флешки. или я вас не понял? :)
А зачем? Если я одмин в конторе — я запрещу автозапуск везде. А если это моя флэшка и моя машина — так и черт с ними, с остальными. IE и Outlook я же не буду им сносить, так и создавать себе неудобства (в виде NTFS в частности) я себе не буду.
а если вы пришли к другу, а у него вирус?
Дело не в том, чтобы защитить только свою контору, а дальше — «Моя хата с краю, ничего не знаю», а в том чтобы пользователи не принесли вирус домой или в другую контору, в конце концов нужно беспокоится не только о себе, будьте дальновиднее и, наверное, добрее.
Ну вот побеспокойтесь о друзьях — отрубите им автозапуск, снесите к черту IE и Outlook, переведите под учетную запись с ограниченными правами :-)
Зачем мне создавать себе неудобства из-за чужой лени и некомпетентности? Я не только венду использую, и NTFS для меня — сплошное неудобство. А уж какая развлекуха может начаться с правами доступа в этой NTFS — это ж сказка просто!
Зачем мне создавать себе неудобства из-за чужой лени и некомпетентности? Я не только венду использую, и NTFS для меня — сплошное неудобство. А уж какая развлекуха может начаться с правами доступа в этой NTFS — это ж сказка просто!
Представьте: университет — студенты, работники… Примерно 1,5 — 2 тысячи человек, мне к каждому прийти и делать это? Мне проще вырубить автораны в институте, рботникам флэшки настроить и все…
ActiveDirectory и всякие там групповые политики уже отменили? Венду же как-то на 2 тысячи машин поставили — так почему сразу после установки ее не защитить было?
это все стоит, я не говорю что проблема с заразой стоит в самой конторе. Проблема в том, чтобы работники не приходили и не пытались обвинить нас в том что у них дома на компьютере вирус… сейчас в коментах нашел интересное решение. Когда реализую — отпишу…
Студенты держат компы в общагах. И AD им не сдался.
А в реестре авторан отключить религия не позволяет?
Можно просто созда этот авторан и запретить его изменение))))) И батником чичтить флешку когда надо)) И без жертв)
я же писал о том, что это есть. Но я же не могу, телепатически это сделать у работника дома.
Для реализации задуманного нам понадобится отформатировать флэшку в NTFS, для этого есть несколько, известных мне способов. Для меня самым простым является использование Acronis Disk Director.
Ну я конечно не знаю, почему установка дополнительного софта для вас проще (к тому же платного), но по-моему нет проще способа, чем этот:
Пуск → Выполнить → cmd →
convert f: /FS:NTFS < — это если данные на флэшке нужны и их некуда сбэкапить
или
format f: /FS:NTFS < — если данные нафик
проще, потому что он у меня уже стоял
На удивление, конверт сработал, а формат — нет.
Скриншот
Скриншот
Я добавил ваш способ в статью.
э, проще, создаем папку autorun.inf ставим атрибуты скрытый, системный, только чтение и всё, под виндой файл уже с таким именем не создать! \m/
как писалось выше, вирус без проблем её удалит.
новые уже да… в принципе тогда надо подумать над создание autorun.inf файла самому, запуском его постоянно и скриптиком который бы открывал этот же файл на чтение и держал всё время его открытым :)
Гы, а отмонтировать флэшку штантным способом можно будет после этого? :-)
я выше дал cmd который делает это несколько более удобным способом :)
проверял твой батник, правда на ntfs.
удаляется без проблем
гораздо лучше использовать:
mkdir "\\?\%~d0\AUTORUN.INF\COM1"
удаляется без проблем
гораздо лучше использовать:
mkdir "\\?\%~d0\AUTORUN.INF\COM1"
чем лучше?
ну после твоего батника:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF
всего лишь создалась папка AUTORUN.INF, которая без проблем удалялась, возможно потому что была вот такая ошибка:
mkdir "\\?\D:\AUTORUN.INF\.."
The filename, directory name, or volume label syntax is incorrect.
по этому я и сказал, что проверял на NTFS, возможно на FAT32 ведет себя по другому
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF
всего лишь создалась папка AUTORUN.INF, которая без проблем удалялась, возможно потому что была вот такая ошибка:
mkdir "\\?\D:\AUTORUN.INF\.."
The filename, directory name, or volume label syntax is incorrect.
по этому я и сказал, что проверял на NTFS, возможно на FAT32 ведет себя по другому
и кстати вирусу никто не мешает просто переименовать папку autorun.inf, и создать нужный себе файл.
правда такого не видел еще :)
вообще на fat32 сложно сделать защиту, ntfs всяко понадежнее будет
правда такого не видел еще :)
вообще на fat32 сложно сделать защиту, ntfs всяко понадежнее будет
возможно, вы под вистой запускаете.
Microsoft Windows
Version 5.1 (Build 2600.xpsp_sp3_gdr.080814-1236: Service Pack 3)
Может перепроверите батник-то? а то на соседней машине с SP2 та же история… не помогает
Version 5.1 (Build 2600.xpsp_sp3_gdr.080814-1236: Service Pack 3)
Может перепроверите батник-то? а то на соседней машине с SP2 та же история… не помогает
Под fat не удаляется, а вы всё время под ntfs поди проверяете.
А если com1 назвать, то и под ntfs не удаляется?
А если com1 назвать, то и под ntfs не удаляется?
ну вот значит моя догадка верна, я ведь с самого начала написал, что проверял на ntfs.
на ntfs, если внутри создать com1, то не удаляется, так что наверно это более универсальное решение.
rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
echo antivirus>%~d0\recycled
echo antivirus>%~d0\recycler
echo Y | cacls "%~d0\System Volume Information" /T /grant administrators:F
echo Y | cacls "%~d0\System Volume Information" /T /grant администраторы:F
rd /s /q "%~d0\System Volume Information"
echo antivirus>"%~d0\System Volume Information"
del /f /q %~d0\autorun.*
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf
del /f /q %~d0\desktop.ini
mkdir "\\?\%~d0\desktop.ini\com1"
attrib +s +h %~d0\desktop.ini
на ntfs, если внутри создать com1, то не удаляется, так что наверно это более универсальное решение.
rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
echo antivirus>%~d0\recycled
echo antivirus>%~d0\recycler
echo Y | cacls "%~d0\System Volume Information" /T /grant administrators:F
echo Y | cacls "%~d0\System Volume Information" /T /grant администраторы:F
rd /s /q "%~d0\System Volume Information"
echo antivirus>"%~d0\System Volume Information"
del /f /q %~d0\autorun.*
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf
del /f /q %~d0\desktop.ini
mkdir "\\?\%~d0\desktop.ini\com1"
attrib +s +h %~d0\desktop.ini
попробовал только что на sp2 и sp3 — работает отлично.
А если пользователь под админом сидит, разве вирус все разрешения при необходимости вернуть не сможет?
Сможет. И даже сможет конвертировать флешку обратно в FAT32. Если вы лечите следствие, а не причину, то вы просто порождаете «гонку вооружений» — и всё.
У меня в качестве флешки используется PSP (если у меня в кармане пара гиг свободных уже есть — зачем мне ещё одно устройство?), её тоже в NTFS форматировать предложите?
У меня в качестве флешки используется PSP (если у меня в кармане пара гиг свободных уже есть — зачем мне ещё одно устройство?), её тоже в NTFS форматировать предложите?
> Для реализации задуманного нам понадобится отформатировать флэшку в NTFS
Дальше читать не стал :(
Такую флешку не смогут увидеть ни ps3, ни магнитола в машине, да ни один некомпьтерный девайс с usb-входом её не увидит.
Дальше читать не стал :(
Такую флешку не смогут увидеть ни ps3, ни магнитола в машине, да ни один некомпьтерный девайс с usb-входом её не увидит.
Еще можно отформатировать с помощью бесплатной программы HP USB Disk Storage Format Tool
пожалуй лучше всего просто убрать ассоциации с файла autorun.inf… дабы он не запусался…
реализуется путём правки реестра
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS :DoesNotExist"
хотя это конечно смотря как подходить к решению проблемы… это скорее защита компьютера от флешки… чем защита флешки от компьютера и его вирусов
реализуется путём правки реестра
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS :DoesNotExist"
хотя это конечно смотря как подходить к решению проблемы… это скорее защита компьютера от флешки… чем защита флешки от компьютера и его вирусов
Это — единственный способ защитить компьютер от авторан вирусов.
Похоже что от autorun.inf проблем больше чем пользы, надо давить на MS чтобы убрали эту гадость вообще.
Хотя может в висте уже так и сделали???
Хотя может в висте уже так и сделали???
Вряд ли они это сделают. Проблема старая, сервиспаки выходили, а так и не исправлено :-(
Виста в самом деле спрашивает, запустить эту гадость или сделать обзор папок. За это Майкрософту+1.
доо, только вот пользователи тупо тыкают «запустить».
+1 мокросовту будет только после того, как потребуются усилия, чтобы ВКЛЮЧИТЬ ВОЗМОЖНОСТЬ автозапуска. Т.е. «ты знаешь, что это и умеешь включить» — пользуйся, иначе — нет у тебя никакого автозапуска.
А с 95 года и по сей день мокросовту за идею авторана — -1.
+1 мокросовту будет только после того, как потребуются усилия, чтобы ВКЛЮЧИТЬ ВОЗМОЖНОСТЬ автозапуска. Т.е. «ты знаешь, что это и умеешь включить» — пользуйся, иначе — нет у тебя никакого автозапуска.
А с 95 года и по сей день мокросовту за идею авторана — -1.
Извините, но не понял как всё таки сделать с этим аргументом
@="@SYS :DoesNotExist?
@="@SYS :DoesNotExist?
создать файлик .reg со следующим содержанием
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
«NoDriveAutoRun»=dword:000000ff
«NoFolderOptions»=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Собственно снимется ассоциация на файлы reg… и отключится автозапуск
посмотрите на virusinfo.info/showthread.php?t=17442 там много интересного
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
«NoDriveAutoRun»=dword:000000ff
«NoFolderOptions»=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Собственно снимется ассоциация на файлы reg… и отключится автозапуск
посмотрите на virusinfo.info/showthread.php?t=17442 там много интересного
На флешке, изображенной на рисунке, со словом ANTIVIRUS, английская буква N написана как русская И. Это следствие Autorun вируса? :)
мде) просто используйте Total comander. он не запускает автораны…
еще вроде проблема решалась созданием пустого ауторан файлика, с меткой только чтение…
еще вроде проблема решалась созданием пустого ауторан файлика, с меткой только чтение…
Читали что выше написано? Помему нет…
Сможешь обьяснить это буху, который ничего в жизни кроме 1с не видел?
Помимо метки «только чтение» в NTFS я на него ещё ставлю права доступа, так чтобы уж точно его никто изменить не смог.
ага, а при засовывании, просто засовывании он-то срабатывает по дефолту. (ну не на висте имею в виду, а на XP)
фигню какую-то выдумываете
папка autorun.inf, права, владелец и все. =\
папка autorun.inf, права, владелец и все. =\
Я один вижу что вместо «ANTIVIRUS» на флешке написано «AИTIVIRUS»?
imho проще создать пaпку с названием autorun.inf
Надо написать «вирус» (в защищённом autorun.ini прописан), который при вставке в комп отпключает нафик на нём автозапуск с флешки.
На домашнем компе такое незаметно, всё равно не запустится оно, с другого компа заразиться не сможет, потому что защита на стирание autorun-а, но зато больше тот комп заражаться не будет с флешек.
На домашнем компе такое незаметно, всё равно не запустится оно, с другого компа заразиться не сможет, потому что защита на стирание autorun-а, но зато больше тот комп заражаться не будет с флешек.
Если не изменяет память, то одно время были флешки с механическим ключиком для запрета записи. Вот интересно, куда они подевались? Было, имхо, крайне удобно включением такой «перемычки» блокировать запись на флешку ваапче.
UFO just landed and posted this here
Хотел сделать себе флэшку с портабл софтом, но так и не понял, как заставить из-под линукс воспринимать права доступа в windows…
NTFS флэшка ощутимо дольше отмонтируется
NTFS флэшка ощутимо дольше отмонтируется
UFO just landed and posted this here
может лучше сделать так?:
— отформатировать в нтфс
— создать в корне autorun.inf и правами доступа запредить запись на него
так вирусы не смогут туда ничего записать
— отформатировать в нтфс
— создать в корне autorun.inf и правами доступа запредить запись на него
так вирусы не смогут туда ничего записать
habrahabr.ru/blogs/infosecurity/47287/#comment_1212742
читайте комментарии, уже не 1 раз про это писали и писали почему это не решит проблему.
читайте комментарии, уже не 1 раз про это писали и писали почему это не решит проблему.
Может стоит почитать комменты перед написанием своего?
Надоело по 20 раз одно и тоже читать через каждые два коммента.
Надоело по 20 раз одно и тоже читать через каждые два коммента.
У меня на работе 25% компьютеров маки.
К сожалению такая флешка становится Read only на маках. Насколько мне извесно другие ОСы тоже не очень дружат с NTFS-флешками без специального софта. =(
К сожалению такая флешка становится Read only на маках. Насколько мне извесно другие ОСы тоже не очень дружат с NTFS-флешками без специального софта. =(
А лучше если бы ктото сделал програму с кнопочкой «сделать мне приятно» :) и флешка там по всяким методам защищалася без шаманства пользователя :). Было бы круто.
Хм, только что увидел апдейт поста. Этот способ не работает, к сожалению, с флешками.
Попробуйте добавить:
shellexecute=«notepad.exe»
Убедились?
Попробуйте добавить:
shellexecute=«notepad.exe»
Убедились?
Между прочим, если необходимо вставить незнакомую флешку или диск, а на перманентное отключение автозапуска некогда делать, можно зажать до подключения стройства shift и удерживать, пока последнее не определится. Как-то так.
не в случае флешек.
shift'ом спокойно «отключается» автозапуск с любого устройства, включая флашки.
готовы поспорить?
Я не любитель спорить, тем более в мире IT, где инвариантность зашкаливает.
ОС Windows XP SP3, Home Edition -> Shift предотвращает автозагрузку. Аналогично на Vista Business SP1. На остальных осях посмотреть сейчас возможности нет. Понятное дело, что не спасет от прямого входа на носитель через проводник.
Уважаемый, слишком легкомысленно минусуем, некрасиво.
ОС Windows XP SP3, Home Edition -> Shift предотвращает автозагрузку. Аналогично на Vista Business SP1. На остальных осях посмотреть сейчас возможности нет. Понятное дело, что не спасет от прямого входа на носитель через проводник.
Уважаемый, слишком легкомысленно минусуем, некрасиво.
минутку, можно поподробнее?
Всегда думал, что это меня спасает.
Всегда думал, что это меня спасает.
хабраколлеги, подскажите:
Очень давно не можем в компании решить таку проблему (пишу тут, т.к. этот топик «почти» то, что НАМ НУЖНО).
У нас менеджеры ездят к клиентам и показывают им программу. Мы ее сейчас записываем на DVD, т.к. боимся занести вирус через флешку клиенту (именно клиенту).
Раньше были флешки с защитой от записи, но теперь такие нигде не купишь.
Как-то можно защитить флешку от записи НА НЕЕ вируса и дальнейшего его ПОПАДАНИЯ на компьютеры других клиентов?
Очень давно не можем в компании решить таку проблему (пишу тут, т.к. этот топик «почти» то, что НАМ НУЖНО).
У нас менеджеры ездят к клиентам и показывают им программу. Мы ее сейчас записываем на DVD, т.к. боимся занести вирус через флешку клиенту (именно клиенту).
Раньше были флешки с защитой от записи, но теперь такие нигде не купишь.
Как-то можно защитить флешку от записи НА НЕЕ вируса и дальнейшего его ПОПАДАНИЯ на компьютеры других клиентов?
Достаточно прочитать этот топик + коммент от товарища bNN.
100% защиты Вам никто не гарантирует, но сократит autorun-вирусы до максимума.
100% защиты Вам никто не гарантирует, но сократит autorun-вирусы до максимума.
На флеш-карточках Secure Digital бывают переключатели. Так что вариант купить таких SD + компактных карт-ридеров. Это выйдет несильно дороже обычной флешки.
Да, спасибо. Но этот вариант мы отмели. т.к. довольно криво получается с этими переходниками да и дороговато
смею предположить — с терминалами работаете?
переходник стоит рублей пятьдесят, это дорого? оО
Зависит от объема закупки… 1000 * 50 = недешего…
К любой организации стараются не тратить лишние деньги. Очень сложно объяснить начальству почему нужна тратить такие деньги на что-то, если можно сделать как-нибудь бесплатно…
К любой организации стараются не тратить лишние деньги. Очень сложно объяснить начальству почему нужна тратить такие деньги на что-то, если можно сделать как-нибудь бесплатно…
если бы вам действительно нужны были флешки с переключателями в таких количествах, вы бы давно их нашли.
вот, что выдаёт ваш любимый гугль на запрос «flash usb drive with read-only switch» в первой же строке.
получить партию в тысячу штук по ценам OEM-поставщика из Китая (да ещё и с логотипом вашей фирмы), я думаю, не составляет особой проблемы.
вот, что выдаёт ваш любимый гугль на запрос «flash usb drive with read-only switch» в первой же строке.
получить партию в тысячу штук по ценам OEM-поставщика из Китая (да ещё и с логотипом вашей фирмы), я думаю, не составляет особой проблемы.
Спасибо, интересная ссылка. Еще подскажите как объяснить начальнику, которые ничего не понимает в ИТ, зачем покупать эти флэшки если можно немного покричать и заставить сделать тоже самое каким-нибудь извращенным образом :)
тут надо тупо сесть и посчитать что выгоднеедля бизнеса, я думаю.
Ах да, про кризис забыл :(
Ах да, про кризис забыл :(
скажите, что если клиент получит от вас вирус, отношение клиента к компании очень ухудшится.
а репутация — это деньги.
а репутация — это деньги.
вы правы… однако о какой репутации говорить, если это университет, находящийся в славном городе Сочи?
UFO just landed and posted this here
Еще поще через групповые политики запретить автозапуск устройств :)
Попробуйте это и убедитесь что не проще.
зачем так заморачиваться, создайте папку autorun.inf и все.
UFO just landed and posted this here
А ничего, что мы на флешку помещаем журналируемую файловую систему? Это изначально в принципе не очень-то хорошая идея… Дырку на флешке не протрёт?
ntfs не флешке не годится.
все действия происходят через кеш, поставил копирование файла в 500 мб, он моментально в кеш ушел и сидишь гадаешь когда же он докопируется там.
все действия происходят через кеш, поставил копирование файла в 500 мб, он моментально в кеш ушел и сидишь гадаешь когда же он докопируется там.
Решение аналогичное предложенному bNN есть здесь: mechanicuss.livejournal.com/195192.html?thread=1830264
а я эту проблему решил тем, что пользуюсь Linux-ом, и не надо заморачиваться со всей этой дрянью! к тому же морально чувствуешь себя пользователем ПК, а не преступником нелегально использующим программное обеспечение…
Хотиту открою вам тайну? А мы работаем легально, для учебных заведений есть спец. программы, где все гораздо дешевле, ежели просто купить по обычной цене… Хотя у нас и была мысль пересадить всех под Edubuntu…
ребят, извините за опечатки, устал я что-то совсем…
ну это может в России есть программы…
я тоже работаю в ВУЗе но в Украине
у нас такого (по крайней мере в провинции) нет
насколько я знаю есть академическая лицензия от майкрософта, но она решает проблему только на машинах непосредственно участвующих в образовательном процессе, но сейчас на кафедрах и в отделах по 1-2 машины и они не попадают под академ лицензию
но этой проблемой у нас никто не занимается, по принципу «пока гром не грянет — мужик не перекрестится» :(
я тоже работаю в ВУЗе но в Украине
у нас такого (по крайней мере в провинции) нет
насколько я знаю есть академическая лицензия от майкрософта, но она решает проблему только на машинах непосредственно участвующих в образовательном процессе, но сейчас на кафедрах и в отделах по 1-2 машины и они не попадают под академ лицензию
но этой проблемой у нас никто не занимается, по принципу «пока гром не грянет — мужик не перекрестится» :(
UFO just landed and posted this here
Ну и изврат. Не проще ли создать папку autorun.inf, или как там, чтобы нельзя было создать файл.
Для отключения автозапуска в XP делаете такой файл, и чтоб не потерять, пишете его на установочный диск с ОС:
Кстати как бонус, отключение автозапуска на CD позволяет устранить тормоза при вставке в комп. CD диска!
о — [ disable-autorun.reg ] — о
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
о — о
А вообще, человек котоырй разрешил автозапуск с флешки и сидит еще под админом — сам себе злобный Буратино, пусть тогда антивирусом пользуется.
Для отключения автозапуска в XP делаете такой файл, и чтоб не потерять, пишете его на установочный диск с ОС:
Кстати как бонус, отключение автозапуска на CD позволяет устранить тормоза при вставке в комп. CD диска!
о — [ disable-autorun.reg ] — о
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoDriveTypeAutoRun»=dword:000000ff
о — о
А вообще, человек котоырй разрешил автозапуск с флешки и сидит еще под админом — сам себе злобный Буратино, пусть тогда антивирусом пользуется.
вы каменты читали? Указанные значения реестра все еще позволяют автоматически запускаться вирусам.
> Указанные значения реестра все еще позволяют автоматически запускаться вирусам
Я лично не пользуюсь explorer.exe и всем Хабраюзерам советую! Эта штука еще опасней iexplore.exe по своим возможностям, и тоже достатаочно крива.
Прочитал половину комментов — решения не нашел. Я сам на своей флешке находил и ауторун.инф, и папки Рисайклд, но так как пользуюсь Коммандером, и автозапуск отключен то никто так и не запустился.
Если вы так хотите обезопасить людей плюнувших на безопасность, просто удаляйте каждый раз при вставке флешки с нее упомянутые файлы и папки, а городить такйо изврат, который тут в комментах описывают —явно перебор.
Я лично не пользуюсь explorer.exe и всем Хабраюзерам советую! Эта штука еще опасней iexplore.exe по своим возможностям, и тоже достатаочно крива.
Прочитал половину комментов — решения не нашел. Я сам на своей флешке находил и ауторун.инф, и папки Рисайклд, но так как пользуюсь Коммандером, и автозапуск отключен то никто так и не запустился.
Если вы так хотите обезопасить людей плюнувших на безопасность, просто удаляйте каждый раз при вставке флешки с нее упомянутые файлы и папки, а городить такйо изврат, который тут в комментах описывают —явно перебор.
вы можете себе позволить не пользоваться. Я не могу.
>Прочитал половину комментов — решения не нашел.
помотрите вторую половину.
>автозапуск отключен то никто так и не запустился.
Если отключен способом указанным вами выше — то не поверю. ShellExecute запустится при открытии эксплорером. Любым другим файловым менеджером эти директивы не отрабатываются.
>Прочитал половину комментов — решения не нашел.
помотрите вторую половину.
>автозапуск отключен то никто так и не запустился.
Если отключен способом указанным вами выше — то не поверю. ShellExecute запустится при открытии эксплорером. Любым другим файловым менеджером эти директивы не отрабатываются.
если не секрет, чем опасна папка рисайкла и в какой момент срабатывает? При открытии в проводнике?
она такая же папка как все остальные, грубо говоря. Поэтому сама папка не опасна — опасно содержимое.
Она не опасна, просто вирус, записанный на флешеку прячет свое exe-тело (довольно внушительное, килобайт на 200) в скрытой папке «RECYCLED», очевидно маскируясь под корзину. Как воспринимает експлорер такую папку (и считате или он ее корзиной) — не в курсе.
Кстати, видел даже вложенные в несеколько уровней такие папки (очевидно это был чей-то очень хитрый план)
p.s. Если в папку вложить folder.ini (или desktop.ini, не помню толком) — в нем как-то можно прописать запуск exe-шника при открытии папки проводником.
Кстати, видел даже вложенные в несеколько уровней такие папки (очевидно это был чей-то очень хитрый план)
p.s. Если в папку вложить folder.ini (или desktop.ini, не помню толком) — в нем как-то можно прописать запуск exe-шника при открытии папки проводником.
Эм… А установить антивирус не ?!
Блин я почитал комменты — мне страшно (куда катится Хабр), люди пишут многокилометровые батники, которые как выясняетя не дают 100 % защиты. 1) Если ты профи — отключи авторан, не сиди под аджмином, тебя эти вирусы не возьмут 2) если ты чайник — доверься профессионалам, купи антивирус. 3) если ты извращенец — поставь Линукс и попробуй найди для него вирус
А 90% комментов — сплошной идиотизм, вот не лень с этим возиться.
А 90% комментов — сплошной идиотизм, вот не лень с этим возиться.
кстати, а если создать файл авторан.инф, пустой и запретить его изменять\удалять?
тогда мы и в корень сможем писать и авторан не работает…
хотя сам факт форматирования в ntfs и правда не всегда подходит :(
тогда мы и в корень сможем писать и авторан не работает…
хотя сам факт форматирования в ntfs и правда не всегда подходит :(
Запуск скрипта по этой ссылке с форума по борьбе с активными заражениями Virusinfo (http://virusinfo.info/attachment.php?attachmentid=93368&d=1227494092) начисто защищает от авторан-червей
Знайте, самый простой (но не значит надёжный) способ это создать на флэшке папку «autorun.inf» и положить в неё любой не пустой файл. Так же можно сделать эту папку скрытой и только для чтения. Вирусы не скидывают autorun на флэшку, потому что не могут удалить существующий.
Наверное, это не будет работать для каких-то особенных вирусов, но большинство тех, что попадало ко мне на устройство не могли потереть эту папку.
P.S.: пардон, если уже было написано — не всё прочитал.
Наверное, это не будет работать для каких-то особенных вирусов, но большинство тех, что попадало ко мне на устройство не могли потереть эту папку.
P.S.: пардон, если уже было написано — не всё прочитал.
Флэшка с защитой от записи TrekStor 50324 до 8 Гб
www.trekstor.de/en/products/detail_usb.php?pid=1&cat=0
она же
www.trekstor-russia.ru/component/option,com_mascms/task,prod/prod,stick-cs/Itemid,35/
Только в России её нет ((
Видел на амазоне и прочих американских и немецких магазинах, но без доставки в Россию. Может появится со временем и тут.
www.trekstor.de/en/products/detail_usb.php?pid=1&cat=0
она же
www.trekstor-russia.ru/component/option,com_mascms/task,prod/prod,stick-cs/Itemid,35/
Только в России её нет ((
Видел на амазоне и прочих американских и немецких магазинах, но без доставки в Россию. Может появится со временем и тут.
Есть опасения, что можно расплатиться еще и сроком службы флешки (а может и данными, если прохлопать момент когда ее надо будет заменить). Из-за возросшей нагрузки на устройство.
Пищу для размышлений можно получить в Ч. 2 статьи
www.ixbt.com/storage/ntfs.html
Т.е. я подозреваю, что нтфс не стали использовать на флешках не только из соображений кроссплатформенности, лицензирования или там кеширования) Опять же нетбуки механическими винтами обычно продаются с вендой и линуксом, а SSD часто только с линуксом.
Пищу для размышлений можно получить в Ч. 2 статьи
www.ixbt.com/storage/ntfs.html
Т.е. я подозреваю, что нтфс не стали использовать на флешках не только из соображений кроссплатформенности, лицензирования или там кеширования) Опять же нетбуки механическими винтами обычно продаются с вендой и линуксом, а SSD часто только с линуксом.
По поводу флешек с защитой от записи — есть просто вариант — купить Kingstone MobileLite Card Reader Как выглядит — стоит дешево, достаточно распространен.
Купить к нему sd карту нужного вам объема и типа с переключателем защиты записи.
Вы получаете картридер, читающий SD & SDHC & MiniSD & MicroSD — небольшого размера, всегда можно утащить с собой — очень полезнач весч в принципе для айтишника ( ну там карточку с фотографиями например с фотоаппарата скинуть на комп красивой девушке, которая просит — типа нет шнурка от фотика — а его практически всегда нет, и т.д. :-) )
Плюс флеш — карта, которую при желании всегда можно засунуть в любую другую аппартатуру если надо, и переключить защиту от запиаи — опятьже, если надо.
В случае NTFS и форматирования флешки — всежтаки лучше создать autorun и защитить его от записи.
Купить к нему sd карту нужного вам объема и типа с переключателем защиты записи.
Вы получаете картридер, читающий SD & SDHC & MiniSD & MicroSD — небольшого размера, всегда можно утащить с собой — очень полезнач весч в принципе для айтишника ( ну там карточку с фотографиями например с фотоаппарата скинуть на комп красивой девушке, которая просит — типа нет шнурка от фотика — а его практически всегда нет, и т.д. :-) )
Плюс флеш — карта, которую при желании всегда можно засунуть в любую другую аппартатуру если надо, и переключить защиту от запиаи — опятьже, если надо.
В случае NTFS и форматирования флешки — всежтаки лучше создать autorun и защитить его от записи.
нормальные флешки имеют кнопочку «только чтение» :) и никаких настроек
У меня после форматирования в NTFS скорость записи ЗНАЧИТЕЛЬНО упала. В десятки раз.
Sign up to leave a comment.
Защита флэшки от Autorun-вирусов.