Защита от вируси за USB флаш памети
Съдържание
Те казват правилно: „всичко ново е добре забравено старо“. След като свикнахме с факта, че инфекцията се втурва само през интернет, най-накрая забравихме колко добре сме взели вируси от дискетите на приятели и познати. В днешно време зловредният софтуер е намерил друг начин за разпространение: чрез USB устройства. Оказаха се идеалният контейнер. В комбинация с ироничната политика на Windows - тя също е много ефективна.
Поставете pendrive някъде в университет или интернет кафе - и зловредният софтуер няма да остави да чака. Не ходете при гадател за флаш устройството на вашия приятел: единственият въпрос е колко разновидности на зловреден софтуер съществуват на едно място. Но какво да кажа - дори ако случайно вдигната инфекция често се установява на външни носители дори за опитни потребители? Принципът на действие е толкова прост, че е описан буквално накратко. Всеки вирус, който има в арсенала си разпространение чрез външна медия, използва 2 файла autorun.inf и двоичен файл с действителното тяло на вируса. Когато потребител вмъкне USB флаш устройство, Windows чете злонамерения autorun.inf и, следвайки инструкциите, незабавно стартира тялото на вируса или го изпълнява чрез двукратно щракване върху иконата на устройството. Е, след като се установихте в системата, не струва нищо да копирате тези файлове на всички устройства, свързани към системата. Неотдавнашният опит на Downadup, който използва малък намек, за да измами антивирусите, показа, че е време да вземем нещата в свои ръце. Днес ще разберем, първо, как да защитим вашето USB флаш устройство и второ, как да освободим системата от „лоши навици“.
NTFS - ВСИЧКИ НАШИ ИЛИ МЕТОД # 1
Нека оставим изследването на живите същества на зоолозите. Вместо да ловим злонамерен софтуер всеки ден, ние ще го направим така, че той просто да не се появява. И за това ще създадем такива условия за флашката, така че живите същества да не могат да съществуват там. Първият метод е много лесен и може би най-ефективен (но, уви, не без недостатъци). Изводът е да се сбогувате с файловата система FAT32, която по подразбиране е универсално използвана на външен носител, и да прехвърлите флаш устройството към NTFS, след като сте получили всичките му предимства. Най-добрият вариант за преминаване към NTFS е форматирането на pendrive със специална помощна програма от HP: HP USB Disk Storage Format Tool (комплектът за разпространение може да бъде намерен в Google с името на файла SP27213.exe). Трябва само да изберете желания диск и файлова система - в нашия случай NTFS. Практиката обаче показва, че вградените инструменти на Windows не са по-лоши. Следователно можете просто да изберете елемента "Форматиране" в контекстното меню или дори тривиално да използвате конзолната команда:
формат f:/FS: NTFS
Ако трябва да запазите данни на флаш устройство, използвайте вградената помощна програма, за да конвертирате файловата система на избрания дял:
конвертира f:/FS: NTFS
Припомняме, че вирусът трябва да създаде собствен autorun.inf в корена на сменяемия носител, за да се установи на USB носителя. Следователно следващата стъпка е просто да забраните създаването на каквито и да е файлове в корена на флаш устройството. Къде тогава трябва да се съхраняват файловете? Много е просто - в специално създадена папка (нека я наречем ФАЙЛОВЕ), за която пак ще бъдат разрешени операции за четене/запис/изпълнение на файлове. За да направите това, отидете на свойствата на защитата на директорията и кликнете върху бутона "Разширени". В прозореца, който се появява, трябва да се направи важно нещо - да се деактивира наследяването на разрешения от родителския обект, като премахнете отметката от съответната опция. Освен това, в диалоговия прозорец, който се появява, натиснете "Копиране" и излезте оттук, като отговорите два пъти "Ok". Сега можете безопасно да деактивирате писането в основната директория, без да се страхувате, че новите правила ще бъдат наследени в нашата папка с файлове. Изберете „Писане“ в колоната „Отказ“ и оставете следните права в колоната „Разрешаване“: „Прочетете и изпълнете“, „Списък на съдържанието на папката“, „Прочетете“. В резултат на това получаваме USB флаш устройство, за което авто стартирането не може да се регистрира (за което всъщност всички започнаха).
За удобство можете да създадете защитен от запис autorun.inf, който ще отвори същата папка FILES. Панацея? За съжаление не. Ако зловредният софтуер се стартира с администраторски права, тогава нищо няма да му попречи да променя разрешенията за ACL, както желае. Вярно е, че на практика няма много зловреден софтуер, готов за такава ситуация. Но аз се сблъсках със следващия проблем лично - когато вкарах ваксинирано флаш устройство в моя магнетофон и, естествено, прекъснах. Повечето домакински устройства не знаят за съществуването на NTFS и работят само с флаш памети FAT32. Много хора използват PSP или MP3 плейър като флаш устройство - и изобщо не могат да бъдат форматирани в NTFS. И накрая: флашките с NTFS стават само за четене на Mac и на много Linux. Вниманието е важен нюанс!
USB флаш устройство, форматирано в NTFS, трябва да бъде извадено през "Безопасно изключване на устройството".
Ако в случая на FAT32 това може лесно да бъде забравено, тогава с NTFS всички данни преминават през кеша и вероятността част от данните, които нямат време да бъдат напълно копирани от кеша, ще изчезнат при изключване, е изключително Високо. Като цяло ме разбирате - само "Безопасно изключване"!
СЛАВНИ ХАРАКТЕРИСТИКИ НА МАСЛАТА ИЛИ МЕТОД # 2
mkdir "\\? \ J: \ AUTORUN.INF \ LPT3"
След стартирането ще получим директория с неправилно име LPT3, намираща се в папката AUTORUN.INF - тя не може да бъде изтрита по обичайния начин, което означава, че зловредният софтуер няма да може да създаде файла autorun.inf, като бъде оставен извън на бизнеса! Този метод също има достатъчно недостатъци. Първо, разработчиците на нов зловреден софтуер могат да използват обратен намек и да използват UNC пътища за изтриване на файлове/папки с неправилно име: \\? \ J: \ AUTORUN.INF \ LPT3. Изобщо не е нужно да изтривате директорията - можете да я преименувате безпрепятствено: например на AUTORUN.INF1. Друг е въпросът, че засега няма много такъв зловреден софтуер. И тъй като започнахме да говорим за създаване на BAT файл, ще добавим универсален скрипт, който освен всичко друго ще бъде: