2016-08-23

Защита флешки от вирусов autorun.inf

Вначале немного о файле Autorun.inf. Данный файл, используется системами ОС Windows для выполнения команд автозапуска с носителей информации. Располагается всегда в корне диска, представляет собой, текстовый файл с инструкциями.

Пример содержимого файла autorun.inf

[autorun]
open=имя_исполняемого_файла.exe
icon=имя_значка.ico

Изначально  он задумывался как инструмент автоматического запуска средств воспроизведения содержимого носителя на котором он расположен. К примеру: меню диска, установщик ПО и т.д. В последствии, данная технология стала использоваться для запуска вредоносного содержимого.

Вариант защиты от такого рода уязвимости один. Нет файла autorun.inf в корне носителя, нет проблем!

И так, как сделать так что бы данный файл невозможно было создать на флешке? Есть два способа. Первый, основан на особенности файловых систем FAT и NTFS. Второй, на расширенных возможностях прав доступа файловой системы NTFS.


Способ первый.

Используя особенность файловых систем, а именно, невозможность создания одноименных файлов и папок, можно в корне носителя создать папку с именем autorun.inf. Тем самым, зараженный компьютер, при попытке записать вирус на флешку, не сможет записать файл с именем autorun.inf, так как с тем же именем уже существует директория. Вирус может удалить данную директорию и ее содержимое. Но, есть одна хитрость. Можно создать вложенную папку с именем системного устройства, которую невозможно удалить.

Перейдем к действию. Вставляем флешку, открываем ее в проводнике, и на свободном от файлов месте нажимаем правой кнопкой мыши, предварительно зажав на клавиатуре клавиши CTRL+SHIFT. В открывшемся меню выбираем пункт Открыть окно команд.


Откроется окно командной строки.


Вводим следующие команды.

md autorun.inf
md autorun.inf\lpt3\.

В окне флешки появится папка с именем autorun.inf.


Имя папки LPT3 совпадает с именем системного порта компьютера, создать просто так папку с таким именем невозможно. Система выдаст соответствующее сообщение.


Теперь, попробуем удалить созданную папку autorun.inf. С начала в через контекстное меню.


Подтверждаем удаление.


Папка не удаляется.

Теперь попробуем удалить ее через командную строку. Пишем следующие команды.

rd autorun.inf
rd /s autorun.inf

Получаем сообщение Не удается найти указанный файл.


Удалить данную папку, можно. Но только в обратном порядке ее создания.

rd autorun.inf\lpt3\.
rd /s autorun.inf

Дополнительно, можно сделать папку autorun.inf скрытой и системной. Для этого вводим команду.

attrib +s +h +r autorun.inf /D /S





Способ второй.

Файловая система NTFS располагает более обширными возможностями управления правами доступа. Используя эту особенность, можно запретить запись на накопитель вообще, но оставить доступной для записи определенную папку. Которая и будет хранилищем файлов.

Вставляя в зараженный компьютер такую флешку, вирусы  не смогут ничего записать в корень диска.

Начнем. Вставляем флешку. Открываем ее. Создаем в ней папку. Данная папка будет служить для хранения папки с нашими файлами. Да-да, мы будем использовать две папки. Необходимо это специально, для того чтобы нашу папку невозможно было удалить с корня флешки. Создаем внутреннюю папку.

В моем случае это будет папка MFLDR с внутренней папкой ALL.


Отключаем наследование прав доступа, для внутренней папки. Нажимаем правой кнопкой мыши по папке, выбираем в меню пункт Свойства.


В открывшемся окне переходим на вкладку Безопасность, и жмем на кнопку Дополнительно.


Откроется окно дополнительных параметров безопасности. В нем жмем на кнопку Отключить наследования и выбираем вариант Преобразовать унаследованные разрешения в явные разрешения этого объекта.



Жмем на кнопку OK в обоих окнах.


Возвращаемся в корень флешки. Теперь нам нужно отобрать права записи на весь носитель целиком. Для этого жмем правой кнопкой мыши на свободном окна флешки и выбираем пункт Свойства.


В окне свойств диска, переходим на вкладку Безопасность и жмем на кнопку Дополнительно.


В дополнительных параметрах безопасности выбираем субъект Все и жмем на кнопку Изменить.


В открывшемся окне выставления прав разрешений, оставляем галочки на пунктах Чтение и выполнение, Список содержимого папки, Чтение. Остальное все отключаем. Жмем OK.


Закрываем предыдущие окна нажатием кнопки OK.


Возможно появится окно с предупреждение, жмем Продолжить во всех случаях.


Теперь у нас на руках флешка защищенная от записи, с возможностью записи файлов только в каталог MFLDR\ALL.

Все выше проделанное но уже на видео.



Комментариев нет :

Отправить комментарий