Nagits's Blog

programming, fizfak science, etc…

Флешка versus Вирусы: Обрезаем заразе руки и ноги

2 комментария

Здесь я расскажу, как обезопасить свою флешку от вирусов и прочей заразы..

Немножко о вирусах

Что делают вирусы, когда лезут на флешку? Они копируют свое тельце на флешку, чаще в созданную вирусом папку Recycled (легко спутать со скрытой папкой-корзиной RECYCLER, что есть на жестких дисках). А бывает, и просто в корень. К exe-файлу и папке в обязательном случае применяются атрибуты Системный и скрытый, чтобы юзеры не увидели :). Но этого, разумеется не достаточно. Нужно еще прописать запуск вируса в автозапуск. Для этого пишется файл autorun.inf с параметром OPEN равным файлу вируса.

Как это делается..

Идея состоит в том, чтобы создать на флешке папку с именем ‘autorun.inf’. Однако пустую папку с именем ‘autorun.inf’ программно можно удалить или перезаписать файлом autorun.inf. Но если внутри папки ‘autorun.inf’ создать папку с запрещенным(-см. далее) именем, то ситуация для вируса кардинально меняется.

Цитирую Microsoft, MSDN:

Если вы попытаетесь создать файлы или папки со следующими именами: con, nul, prn, AUX, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9 (регистр букв – прописные буквы или строчные – значения не имеет), – система в таких случаях вместо введенного вами «запрещенного» имени выведет имя по умолчанию, например, Новая папка, или Текстовый документ, или Документ Microsoft Word. При этом Windows Vista, 7 выведут окно Переименование с сообщением «Указано неверное имя устройства».

Дело в том, что по «Соглашению об именованиях» http://msdn.microsoft.com/en-us/library/aa365247(VS.85).aspx эти символы и имена зарезервированы файловой системой для «внутренних» системных нужд, применять их пользователю запрещено.

Когда вирус попытается перезаписать файл (на самом деле папку) с именем ‘autorun.inf’ произойдет следующее:  перед удалением папки система должна вначале удалить все файлы и папки в самом каталоге, однако доступ к папке «autorun.inf\com1» будет запрещен, поскольку такой путь является неверным — наименование папки com1 зарезервировано.

Короче говоря, файл то на флешку попасть может, а вот запуститься с нее или переместиться за пределы флешки нет. Таким образом никакой опасности такая «зараженная» флешка уже не представляет.

Кстати, обратите внимание на заголовок статьи, наверно теперь вы поняли почему не голову, а именно руки и ноги .

От слов к делу

Создать папку или файл с запрещенным именем с помощью проводника Windows у вас не получится, но дело увенчается успехом, если вы воспользуетесь языками программирования или обычным батником..

Создаем на флешке файл NagitsWall.bat — обычный батник, и открываем его в блокноте.

Методом копипаста вставляем и сохраняем:

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q "%~d0\System Volume Information"

del /f /q %~d0\autorun.inf
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf

   

Запускаете этот .bat с флешки и забываете о вирусах, которые вы до этого черпали на работе или учебе.

Хотя приведенный код интуитивно понятен, я его все-таки поясню:

Вначале ищем излюбленные вирусами папки recycled, recycler (на флешке такой папки быть не должно, в отличие от хардов), System Volume Information и удаляем их.

Далее удаляем файл autorun.inf и создаем папку autorun.inf, а в ней еще одну com1 — каталог с зарезервированным системой именем. Применяем аттрибуты Скрытый (чтобы вид флешки не портить) и Системный.

Скачать bat-файл из статьи.

P.S. Кстати, если вдруг папка autorun.inf потеряет атрибут скрытый, это означает, что папку пытались перезаписать (но не смогли 🙂 ), вероятно это был вирус (вспоминайте, куда сували флешку :D), так что проверьте её антивирусом, или просто просмотрите корень флешки на наличие скрытых exe-шников или подозрительных скрытых папок. Повторюсь, что из-за «папки» autorun.inf вам боятся нечего — если вирус и «сидит» на флешке, то он дальше нее никуда и не денется.

Алексей Наговицын

Advertisements

Written by nagits

Март 4, 2010 в 22:16

Опубликовано в Программирование, Софт

комментария 2

Subscribe to comments with RSS.

  1. Суперская штука!!! всем знакомым скопировал. спасибо огромное!!!

    серёга

    Апрель 1, 2010 at 19:08

  2. + 100500. Идея супер)
    Мы за безопасный.. ну.. э.. ну вы поняли)

    Mike

    Март 17, 2010 at 21:47


Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: