Вы не вошли.
Страницы 1
Для борьбы с вирусами, заражающими флешки был разработан следующий способ.
В корневом каталоге флешки создается папка с именем AUTORUN.INF.
в этой папке создается файл с неправильным именем ".." (две точки).
Все, вирус не сможет создать в корневом каталоге файл autorun.inf.
Единственное, что он сможет - это записать в корневой каталог флешки свое тело (екзешник, либо бинарник), но это не страшно, т.к. он будет там просто лежать и не сможет заразить систему, если его не запускать вручную.
Для реализации этого метода следует создать батник (.bat), автоматизирующий эту оперцию:
mkdir F:\AUTORUN.INF
echo. > "\\?\F:\AUTORUN.INF\.."
attrib +h F:\AUTORUN.INF
Букву F (букву диска) в коде (в каждой строчке) надо менять на ту, которая у вас - флешка.
Редактировался DigitalSnow (17.02.2009, 17:01:57)
Вирус заражает флешку так:
копирует на неё свою копию (файл-тело) - это *.exe или нечто подобное, и файл autorun.inf - обычно скрытый, т.е. Вы его просто не видите. А он там есть.
И каждый раз, когда Вы втыкаете флешку, ПК её обнаруживает и ищет на ней прежде всего файл autorun.inf - в котором указаны параметры автозапуска (с флешки или с компакт-диска).
И находит этот файл, который ссылкается на тело вируса. Так компьютер и заражается.
Если мы уберём возможность создавать файл autorun.inf - то вирус на зараженном компьютере сможет лишь скопировать на флешку своё тело. Если нет файла autorun.inf - то чтобы заразить ПК надо самому вызвать тело вируса - этот exe-шник. А он обычно скрыт - его даже случайно нажать сложно :)
Если просто самому сделать файл autorun.inf то вирус его сотрёт и запишет свой. Если сделать папку autorun.inf, то файл с таким же именем (в Windows файловых системах FAT32) создать не получится. Но вирус может стать умнее и стереть и папку.
Тогда мы делаем файл с неправильным именем, чтобы стереть его средствами операционной системы было нельзя. и помещаем в эту папку. Всё - теперь и папку стереть нельзя (разве только форматированием флешки).
Вуаля. вирус тоже не может стереть папку, а значит не может создать такой файл - а значит, что побывав на зараженном ПК такая флешка не будет автоматически заражать следующие ПК, в которые её будут сувать.
Система NTFS вобще то не для флешек. Она много сложнее и умнее. Она просто не даст создать файл с неправильным именем.
Системе не нужен этот файл, пользователь работает с флешкой дальше, просто на ней есть папочка (которую можно даже скрыть чтобы не мешалась) и всё ок.
Неправильный файл не мешает работать, потому что он нужен только для того чтобы помешать стиранию этой папки - вот стирать начнёшь тогда он заглючит, и выдаст ошибку. Этого нам и надо
да - обязательно. Проще всего создать текстовый файл, и в него поместить эти строки, а затем сохранить с любым именем и поменять расширение файла на .bat
при этом в настройках Windows должно быть включено отображение расширений в именах файлов.
пардоньте мое невежество
а как запустить этот созданный бат?
что с ним делать после создания?
он исполняемый - просто кликнуть и запустить?
niikto: да, файл с .bat на конце - это исполняемый командный файл. просто кликнуть по нему дважды, или нажать [enter]
Редактировался ktokto (08.11.2011, 12:53:43)
1) без батника просто так файл ".." не создать
2) букву F: надо менять на ту, которая у вас - флешка.
Я считаю что нужно вообще убрать привязку к букве, это только путает, лучше убрать лишнее, оставить только
mkdir AUTORUN.INF
echo. > "\\?\AUTORUN.INF\.."
attrib +h AUTORUN.INF
создаешь батник, бросаешь в корень флешки, и оттуда запускаешь, вуаля все работает
хорошая оптимизация. но стоит пожалуй перейти на чтото еще.
1) это не рабтоает если NTFS
2) папку можно переименовать.
попробуйте какой нить панда-антивирус-защита флешек
http://habrahabr.ru/post/54187/
Если стоит цель защитить конкретный компьютер, а не саму флешку, то неплохо помогает установка *.reg-файла следующего содержания:
REGEDIT4
; очищаем ветку от посторонних записей
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
; запрещаем автозапуск абсолютно всех типов файлов на сменных носителях.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
; отключаем автозапуск на абсолютно всех дисках (локальные, сменные, сетевые)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
; дублируем предыдущее для HKEY_CURRENT_USER
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
; система думает, что файлов Autorun.inf не существует в природе
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.ini]
@="@SYS:DoesNotExist"
; отключаем автозапуск на оптических дисках
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
Проверено на Windows XP. На Vista и 7 не проверял.
Страницы 1
[ Сгенерировано за 0.014 сек, 8 запросов выполнено - Использовано памяти: 2 MiB (Пик: 2.07 MiB) ]