категории | RSS

Надоели вирусы с чужих флэшек? Читаем дальшеsmile
Навеяно статьей выше,т.к. она не гарантирует полной безопасности и не полностью описывает методы защиты,а мне все писать леньsmile.Кажется ничего сложного, но давайте все таки проверим. Отключим автозапуск через стандартные политики Windows и убеждаемся, что автозапуск не пашет. Проведем эксперемент,создав на флешке autorun.inf с текстом:


[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

Во время монтирования девайса ничего не запускается, но нажав два раза на значек носителя видим, что калькулятор запустился. Интересно?=) Будем исправлять!
Первое:
Правим ключ реестра отвечающего за заптск с CD. Переходим в ветку
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
,находир параметр AutoRun ,устанавливаем его равным нулю.
Второе:
Идем в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polices\Explorer
, создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцетеричной системе. До кучи можно сделать так же и в ветке HKEY_CURRENT_USER, но они игнорируются.
Третье:
Ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf
,присваиваем значение
(типа REG_SZ) - @SYS:DoesNotExist.
Теперь Windows думает, что autorun.inf -конфигурационный файл древних программ, разработанных для ОС, более ранних чем Windows95, использовавших ini-файлы для хранения своей конфигурации.Символ @ блокирует чтение файла ini, a SYS - является псевдонимом для краткого обозначения HKEY_LOCAL_MACHINE\SOFTWARE.
Четвертое:
Ищем раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
и создаем строковой параметр типа REG_SZ с названием *.*. Теперь все файлы не будут автозапускатьсяsmile
Пятое:
Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. По этому надо полностью удалить все ключи MountPoints2 которые вы находите в реестре . Ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
и в политике пользования запрещаем доступ всем юзерам и админам. Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию.
Послесловие:
Так же можно использовать для защиты FlashGuard. Эта утилита следит за появлением сменных накопителей. При обнаружении нового диска предлагает:
-удалить добавленные файлом autorun.inf пункты контекстного меню.
-информировать о наличии файла на диске
-удалить autorun.inf
-удалить все файлы autorun.*
Писал я по материалам всего инета.smile

AJSmart
2009-06-08T07:53:52Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 26

#26   AJSmart    

skype87
Банковским не банковским а формат лень лишний раз делать.


0 ответить

#26   skype87    

Я считаю, что это бесполезная трата времени, только если вы банковский работник, который головой отвечает за пару сотен милионов зеленых. А обычным юзерам тот весь гемор и близко не нужен. Лично я всегда осматриваю содержимое флешек через тотал командер, проверяю антивирусами, и пока проблем не было.


0 ответить

#26   BarHan    

AJSmart
Гугл обоснует

Без камментариев...


0 ответить

#26   AJSmart    

BarHan
Гугл обоснует


0 ответить

#26   BarHan    

AJSmart
Насчет ни один это ты погорячился.

Обоснуй...


0 ответить

#26   AJSmart    

BarHan
Насчет ни один это ты погорячился.


0 ответить

#26   BarHan    

Не нужно никаких сложностей!
Вот абсолютно надежный способ для тех, кто хочет защитить свой смарт от превращения его в вирусоноситель с заражением через файл autorun.inf - нужно проделать через X-Plore следующее:
1. Создать в корне карты памяти папку AUTORUN.INF
2. Внутри этой папки создать папку с именем AUX (или на выбор CON, PRN, NUL, COM1-COM9, LPT1-LPT9)
3. Назначить папке AUTORUN.INF атрибуты *Системный*, *Только для чтения*, и *Скрытый*
После этого ни один вирь не сможет задействовать механизм заражения через файл autorun.inf... laughing


0 ответить

#26   BI-MOTO    

Да есть у мя такой рег файл !После внесения синий или черный экран перезагрузка и все Теперь автостарт отключон да!!!Но это Очень не удобно ИМХо делаю все как написал TolyanN7610 !Нужнобыть всего чуть чуть осторожнее и все !


0 ответить

#26   ericss    

Удобно применить только твик
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\IniFileMapping\\Autorun.inf
, присваиваем значение
(типа REG_SZ) - @SYS:DoesNotExist.

Есть всплывающее окошко, но inf не исполняется.


0 ответить

#26   Kuzja_31    

Совершенно бесплатно хомячная версия \'avast\' ловит любые автораны, а главное лечит систему от уже пойманных.Выяснил это путём перебора разных антивирей-рекомендую!


0 ответить

Яндекс.Метрика