AUTOSTOP, скрипт для защиты флешки от autorun-вирусов

Спасибо.

“

@cd autorun.inf
@mkdir тут указанная комбинация

”

Как я понимаю, в этом случае autorun.inf можно будет удалить только из дос-сессии?

Самое смешное что я не понял с самого начала ... или понял, но сомневаюсь . . .
- эту софтину нада на все флешки - противных юзеров наколачивать или это для своей Флешы? А то

“

вычищать руками вирусы, которые юзеры таскали на флешках

”

так написано, что я запуталси . . .

“

:
Alt, наберите 254

”

Спасибо за информацию - возьму на карандаш :)

“

Raimon

:
Почему? Кто мешает его переписать?

”

Особенности файловой системы мешают. Попробуйте сами создать файл autorun.inf при существующем каталоге AUORUN.INF.

“

fich

:
я запуталси

”

Скрипт следует применять на той флешке, которую вы хотите защитить от autorun-вирусов. Я бы советовал применять н всех.
Более того - на том компьютере, на котором осуществляется выполнение скрипта, скрипт полностью отключает автозапуск, что является дополнительной мерой безопасности.

“

nikitosk

:
А не проще ли пользоваться антивирусом.
чем каждый раз наблюдать за иконками и т.д.

”

Нельзя сказать проще или не проще - я бы немного по другому расставил акценты: антивирус служит для защиты компьютера. Скрипт служит для защиты флешки. Если уж использовать защиту - то лучше комплексную.

“

nazar

:
Пользуюсь месяца 2 наверное.
Разослал друзьям, знакомым. Все довольны!

”

И вам спасибо :)

Махинации от удаления еще как-то спасают, а вот от переименовывания папки увы нет, в винде или тотале свободно переименовывается... вот что является большим минусом

“

:
а вот от переименовывания папки увы нет

”

Именно для этого я и применяю пиктограмму - если каталог переименован, или снего снят атрибут "системный" - пиктограмма исчезает. Все что нужно сделать пользователю - проверить ее наличие.

Если на флешке приемлема NTFS - имеет смысл применять упомянутый в посте метод с правами NTFS.

Я запутался. Mechanicus

, если Вы админ, а на компах юзеров антивирус не обновляется автоматически и тихо - так это Ваша недоработка. Вместо того, чтобы писать скрипты для частных применений стоило бы исправить упущение.
Если же компы не имеют к Вам прямого отношения, а с флешками люди делают всё что угодно (например форматируют), то Вы не сможете обеспечить безопасность своими примочками.

Из альтернативных способов: можно еще забить свободное место на флешке файлом-пустышкой (fsutil file createnew F:\Dummy *размер в байтах*), ну или самый лучший вариант купить флешку с рычажком для защиты от записи.

“

:
Именно для этого я и применяю пиктограмму - если каталог переименован, или снего снят атрибут "системный" - пиктограмма исчезает. Все что нужно сделать пользователю - проверить ее наличие.

Если на флешке приемлема NTFS - имеет смысл применять упомянутый в посте метод с правами NTFS.

”

Ага, только, сборки типа зверя и прочие показывают свои иконки и все тут, вряд ли обычные люди полезут в настройки...
NTFS хорошо, но опять же желательно ставить ограничение на изменение или удаление указаных файлов или папок всем кроме одного "левого" пользователя не входящего в группу администратор. А на группу администратор и system ставить запрет (на изменение прав тоже)... иначе получиться обратная картина, тебя ограничит в правах на твою же флешку. Умные люди пишут вирусы и вредные :)))

“

:
Из альтернативных способов: можно еще забить свободное место на флешке файлом-пустышкой (fsutil file createnew F:\Dummy *размер в байтах*), ну или самый лучший вариант купить флешку с рычажком для защиты от записи.

”

Есть и такое. 1-е не удобно, да и ресурсы флешки (циклы R/W) портит. А 2-е редкость на всех моих флешках только один раз встречал, хотя наверное скоро на всех так и будет....

“

:
Есть и такое. 1-е не удобно, да и ресурсы флешки (циклы R/W) портит. А 2-е редкость на всех моих флешках только один раз встречал, хотя наверное скоро на всех так и будет....

”

Ну почему же. Правый клик на флешку - видим свободное место в байтах. Start->Run если один раз команду запускали - она так и остается - только размер меняй. "R/W портит" - при теперешних гарантиях на флешки (от 5 лет) и обвале цен на них - это не серьезно. На счет рычажка - это раньше им были оборудованы все флешки, а сейчас, к сожалению, это редкость - производители экономят на чем могут.

“

:
Ну почему же. Правый клик на флешку - видим свободное место в байтах. Start->Run если один раз команду запускали - она так и остается - только размер меняй.

”

Не удобство в том, что каждый раз удалять файл надо, если что-то записать хочешь и потом снова создавать. Так же неудобство в том, что у меня там набор portable программ... А так один из подходящих и возможных вариантов защиты.

“

:
"R/W портит" - при теперешних гарантиях на флешки (от 5 лет) и обвале цен на них - это не серьезно.

”

Цены мелочь, а вот информация когда пропадает - это не мелочь, и надпись на коробке от флешки 5 лет не утешит.

“

Leon

:
если Вы админ, а на компах юзеров антивирус не обновляется автоматически и тихо - так это Ваша недоработка.

”

Админ, на пользовательских машинах автозапуск отключен и антивирус обновляется "автоматически и тихо". Но, как Вы знаете, антивирусы обычно идут на шаг позади вирусов - вначале появляется вирус, а потом пишется противоядие от него, и сигнатура вируса добавляется в базу антивируса. Т.е. ситуация когда антивирус пропускает вирус потому что не знает его вполне реальна.

“

Leon

:Если же компы не имеют к Вам прямого отношения, а с флешками люди делают всё что угодно (например форматируют), то Вы не сможете обеспечить безопасность своими примочками.

”

Полностью обеспечить безопасность конечно же не смогу, но в какой-то мере ее усилить - вполне.

“

:
Ага, только, сборки типа зверя и прочие показывают свои иконки и все тут, вряд ли обычные люди полезут в настройки...

”

О - спасибо огромное за упоминание о таком нюансе - не знал этой особенности зверя!

“

:
ну или самый лучший вариант купить флешку с рычажком для защиты от записи

”

Да, принято считать что самая-пресамая надежная защита для флешки, которая не обходится — это флешка с переключателем, блокирующим запись, или кард-ридер с картой памяти, на которой тоже есть такой перключатель. Как бы не так!

В фотоаппарате жены (Canon А610) нет возможности показа индикатора заряда батареи. Нашел альтернаивную прошивку (CHDK), имеющую такую функцию. Записал ее на карту памяти. В инструкции к прошивке говорися, что для того, чтобы она грузилась автоматом (а не руками запускалась после включения фотоаппарата), необходимо переключатель на каре памяти перевести в положение «Заблокировано». Я несколько раз перечитал этот пункт — уж не ошибся ли. Нет — так и написано русским по белому. Ставлю переключаель на «Lock», заряжаю карту в фотоаппарат, предчувствуя что сейчас он выругается о невозможности записи, и… И ничего такого не происходит — все снятые кадры прекрасно сохраняются на карту памяти, а неудачные кадры без проблем можно удалить. Вот тут-то я прозрел.

А ведь действительно, не известно, как работает защита от записи для флешек. Если она вшита в софт, то обойти ее можно. Было бы интересно узнать наверняка.

Ага, недавний случай: юзер всовывает флеху в комп, антивир начинает визжать: мол вирусы. Юзверь недолго думая, чтобы не мешало... как Вы думаете, что сделал? Правильно, отключил антивирус! А вирус какой-то странный: при любом шевелении мыши или нажатии на клавишу создаёт autorun-файл, антивирус в вой. Тупик! Сделал ресет компа и при загрузке уже системы (сразу после приветствия) антивирус (чем меня приятно удивил) выловил тело и предложил убить, я согласился!
Вот такие дела с юзерами и вирусами!

DrPalmer

- да ужж, пресловутый человеческий фактор.

ставим в винде autorun off на все диски и забываем про Autorun-вирусы навсегда.

В эту же тему :) От производителя антивируса Panda абсолютно бесплатная и удобная утилита.
работает без установки, может резидентно сидеть в прее и "вакцинировать" все новые флешки. Пока ни одна зараза файлик не перезаписала...

“

Человеческий фактор

”

Больше всего меня убивают некоторые деятели... На работе, сынок одного начальника, отключил антивирус и вообще убрал из автозагрузки... Когда я его спросил - "Зачем?", он ответил - "Девченки попросили, компьютер загружается медленно..." Вот так...

“

bulbashenko

ставим в винде autorun off на все диски и забываем про Autorun-вирусы навсегда.

”

А вот и нет... Есть вирусы, что лезут на комп, просто при обращении к флешке... Достаточно просто в проводнике выбрать флешку...

Bobson

, дело в том, что на компах должны работать спецы, а не человеческ...фактор, как складывается в реале. :))

Столько спецов не набрать, ну никак, так что остаётся человеческий фактор!

Я в своё время поставил USB Disk Security и больше не беспокоюсь, что клиент на флешке дрянь принесет - она сразу программой обнаруживается :) Это что касается защиты компа. А защитить все флешки приходящих, ИМХО, нереально, хотя в идеале к этому надо стремиться.

“

лЁрик

:
Panda...
Пока ни одна зараза файлик не перезаписала

”

Бинго! Спасибо огромное. Это тот инсрумент, о существовании которого я подозревал, но не мог найти подтверждения. Как раз на днях один из чиателей моего ЖЖ подбросил идею, которую я сейчас тестирую - и тут с вашей подачи я нахожу Panda USB and AutoRun Vaccine, в которой эта идея наилучшим образом реализуется!

Хочу заявить во всеуслышание - друзья, спасибо за внимание к моей разработке, но утилита, которую посоветовал лЁрик

- а именно
Panda USB and AutoRun Vaccine намного мощнее - файл autorun.inf, созданный ею нельзя ни удалить, ни переименовать, ни перезаписать.

Позновательная статья. Спасибо.

"...файл autorun.inf, созданный ею нельзя ни удалить, ни переименовать, ни перезаписать..."
А каков механизм?

“

LamboR

:
А каков механизм?

”

Только что описал механизм действия программы здесь.

Спасибо. Очень интересно.

2 Bobson: я не говорю отключать антивирус. я советую просто авторан выключить в винде. и забыть про вирусы авторановые, а не про все остальные ;)

“

bulbashenko

я не говорю отключать антивирус. я советую просто авторан выключить в винде. и забыть про вирусы авторановые, а не про все остальные ;)

”

Так я и не утверждал, что Вы советуете отключать антивирус... Вы наверное невнимательно прочли два моих сообщения и они у Вас слились в одно... :) Я просто жаловался на "человеческий фактор", и писал, что отключением авторана защититься полностью не получится...
PS А вообще, я тут на днях приобрел флешек для себя и для конторы, с аппаратной защитой от записи(переключатель на ней)... Буду народ на них пересаживать... :)

Кстати, небезызвестный AVZ прекрасно отключает на компе Autorun.

“

Bobson

:
приобрел флешек для себя и для конторы, с аппаратной защитой от записи

”

Не думаю что это панацея - см. выше мой комментарий об аппаратной защите (поиск на странице по ключевому слову CHDK).

“

Alex-GD

:
AVZ прекрасно отключает на компе Autorun

”

кроме этого будет очень нелишним сделать вот что:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

@SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf — то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того — не запускается он и при двойном клике по букве диска этого носителя в проводнике.

Да, еще можно отключить авторан для флешки временно, точно также как и для CD - удерживая при подключении клавишу shift. Пригодится, если кто-то не хочет отключать авторан в реестре.

Mechanicus, большое спасибо, скрипт ваш испробовал 2.01 на все свои 3 флешки, только плеер MP3 не трогал, а сегодня решил попробовать тот же PANDA USB VACCINE, так он вакцинировал только плеер, а вот флешки ни одной "вылечить" не смог, что прекрасно демонстрирует работаспособность вашего скрипта.
Теперь у меня плеер PANDAзирован, а флешки остались Mechanicus'зированные.
Надеюсь дальнейшие половые отношение "флешка-комп" мне никакими (autorun) заразами не грозит.
Спасибо.

за идею и реализацию пять с плюсом.
инженерный подход однако! ;-)

ЗЫ. почитал ЖЖ, добавил в друзья ;-)

“

:
файл autorun.inf, созданный ею нельзя ни удалить, ни переименовать, ни перезаписать.

”

Следующий этап эволюции вирусов, просто будет добавление аттрибута "удален" к файлу Autorun.inf через таблицу FAT вручную... вот и все, просто и легко.
А вот с удалением вручную папки немного помучался, так что если бы не переименование, то была бы хорошая защита :)
Не забрасывай это дело!

Во! зачитался . . . спасибо.
- а что значит у Панды Вакциновны . . . вакцинировать комп? чем это грозит . . . я по нерусски кроме ай лав ю и эйфелева башня . . . не оч силён

“

может резидентно сидеть в прее и "вакцинировать" все новые флешки

”

её нада бросить в "автозагрузку" насильно?
- я её запустил поставил галочку Вакцин Комп, а нижнее окно "Select an USB drive" не светится совсем . . .
- свернуть в трей нет возмоги (а окно напрягает)
- при нажатии на крестик из процессов он выскакивает (значит выключается)
- при повторном запуске галочка на "Вакцин комп" остается . . . значит настройки помнит
- как пользоваться этой Панда Вакциновной . . . чиркните

. . . . .. а-а-аа! Блин я понял . . .это слегка необычный отключатель-включатель "авторана"

“

Wild

:
тот же PANDA USB VACCINE, так он вакцинировал только плеер, а вот флешки ни одной "вылечить" не смог

”

Дело в том, что после AUTOSTOP на флешках были созданы каталоги AUTORUN.INF, которые PANDA по акой-то причине не удаляет (есть у меня несколько предположений на этот счет, если будет интересно - могу поделиться) - но вирусы таких каталогов не создают.

“

fich

:
а что значит у Панды Вакциновны

”

Читайте здесь - я подробно описал функционал программы.

“

:
дело в том, что на компах должны работать спецы, а не человеческ...фактор, как складывается в реале. :))

”

“