категории | RSS

Надоели вирусы с чужих флэшек? Читаем дальшеsmile
Навеяно статьей выше,т.к. она не гарантирует полной безопасности и не полностью описывает методы защиты,а мне все писать леньsmile.Кажется ничего сложного, но давайте все таки проверим. Отключим автозапуск через стандартные политики Windows и убеждаемся, что автозапуск не пашет. Проведем эксперемент,создав на флешке autorun.inf с текстом:


[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

Во время монтирования девайса ничего не запускается, но нажав два раза на значек носителя видим, что калькулятор запустился. Интересно?=) Будем исправлять!
Первое:
Правим ключ реестра отвечающего за заптск с CD. Переходим в ветку
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
,находир параметр AutoRun ,устанавливаем его равным нулю.
Второе:
Идем в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polices\Explorer
, создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцетеричной системе. До кучи можно сделать так же и в ветке HKEY_CURRENT_USER, но они игнорируются.
Третье:
Ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf
,присваиваем значение
(типа REG_SZ) - @SYS:DoesNotExist.
Теперь Windows думает, что autorun.inf -конфигурационный файл древних программ, разработанных для ОС, более ранних чем Windows95, использовавших ini-файлы для хранения своей конфигурации.Символ @ блокирует чтение файла ini, a SYS - является псевдонимом для краткого обозначения HKEY_LOCAL_MACHINE\SOFTWARE.
Четвертое:
Ищем раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
и создаем строковой параметр типа REG_SZ с названием *.*. Теперь все файлы не будут автозапускатьсяsmile
Пятое:
Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. По этому надо полностью удалить все ключи MountPoints2 которые вы находите в реестре . Ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
и в политике пользования запрещаем доступ всем юзерам и админам. Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию.
Послесловие:
Так же можно использовать для защиты FlashGuard. Эта утилита следит за появлением сменных накопителей. При обнаружении нового диска предлагает:
-удалить добавленные файлом autorun.inf пункты контекстного меню.
-информировать о наличии файла на диске
-удалить autorun.inf
-удалить все файлы autorun.*
Писал я по материалам всего инета.smile

AJSmart
2009-06-08T07:53:52Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 26

#16   JuwGeda    

AJSmart Игры, да, а специфичный софт если ну очень надо можно под wine запускать или через vbox. А про точ то софта мало - не смеши, под лин под час софта гораздо больший выбор и бесплатный.


0 ответить

#16   teoretik    

А мой способ борьбы - нажатый Шифт при подключении флешки и запуск ее через контекстное меню и команду Открыть wink


0 ответить

#16   xeste79    

как насчет USB Disk Security ?
Он висит в трее, и выдает запрос на отключение автозагрузки при установке.


0 ответить

#16   aniks3000    

Может автор reg файлик забабахает? Было бы очень удобно.


0 ответить

#16   KENT-4    

TolyanN7610,
Плюс 1 тоже так делаю


0 ответить

#16   AJSmart    

Под линух игр мало и софт специфичный на нем не пашет.


0 ответить

#16   JuwGeda    

Надоели вирусы на флешке и вообще в системе? Ставьте линукс ! wink Под него, как и под 9-ку, вирусы нужно только руками ставить и запускать, да еще и полными правами laughing, иначе они не работают crying


* редактировал(а) JuwGeda 15:22 8 июн 2009

0 ответить

#16   TolyanN7610    

Статья хорошая, но я лично открываю флеш не двойным щелчком, а через проводник, там где древо каталогов. И всегда держу включенными показы скрытых и системых файлов, и всегда вижу всякую гадость, и ручками удаляю ееsmile


0 ответить

#16   TheOnlyOne    

с авторанами помоему уже все борятся)
ну да ладно.. на вкус и цвет..)
способ кстати забавный, я просто отключаю весь автозапуск. неудобно правда иногда, но что поделать...


0 ответить

#16   AJSmart    

Антивирус - отстой. Был случай, когда вирь гасил его как младенца.


* редактировал(а) AJSmart 11:24 8 июн 2009

0 ответить

Яндекс.Метрика