Надоели вирусы с чужих флэшек? Читаем дальше
Навеяно статьей выше,т.к. она не гарантирует полной безопасности и не полностью описывает методы защиты,а мне все писать лень.Кажется ничего сложного, но давайте все таки проверим. Отключим автозапуск через стандартные политики Windows и убеждаемся, что автозапуск не пашет. Проведем эксперемент,создав на флешке autorun.inf с текстом:
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
Во время монтирования девайса ничего не запускается, но нажав два раза на значек носителя видим, что калькулятор запустился. Интересно?=) Будем исправлять!
Первое:
Правим ключ реестра отвечающего за заптск с CD. Переходим в ветку
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
,находир параметр AutoRun ,устанавливаем его равным нулю.Второе:
Идем в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polices\Explorer
, создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцетеричной системе. До кучи можно сделать так же и в ветке HKEY_CURRENT_USER, но они игнорируются.Третье:
Ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf
,присваиваем значение(типа REG_SZ) - @SYS:DoesNotExist.
Теперь Windows думает, что autorun.inf -конфигурационный файл древних программ, разработанных для ОС, более ранних чем Windows95, использовавших ini-файлы для хранения своей конфигурации.Символ @ блокирует чтение файла ini, a SYS - является псевдонимом для краткого обозначения HKEY_LOCAL_MACHINE\SOFTWARE.Четвертое:
Ищем раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
и создаем строковой параметр типа REG_SZ с названием *.*. Теперь все файлы не будут автозапускатьсяПятое:
Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. По этому надо полностью удалить все ключи MountPoints2 которые вы находите в реестре . Ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
и в политике пользования запрещаем доступ всем юзерам и админам. Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Послесловие:
Так же можно использовать для защиты FlashGuard. Эта утилита следит за появлением сменных накопителей. При обнаружении нового диска предлагает:
-удалить добавленные файлом autorun.inf пункты контекстного меню.
-информировать о наличии файла на диске
-удалить autorun.inf
-удалить все файлы autorun.*
Писал я по материалам всего инета.
skype87
Банковским не банковским а формат лень лишний раз делать.
0 ответить