Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Антивирусная защита внешних носителей (флешек, винтов), Иммунизация внешних носителей штаными средствами Windows.
 
Не секрет, что на сегодняшний момент флешки и аналогичные типы внешних носителей (например внешние винты)являются основным рассадником заразы.
Есть конечно антивири и прочий софт, но это уже "лечение больного".
А хотелось бы вообще защитить флешку от заразы, чтобы это работало на любых компах независимо от наличия на них антивирусного софта.
Предлагается способ, основанный на разграничении доступа средствами NTFS.
Для начала переформатируем носитель c FAT32 в NTFS.
Затем создаем на пустом носителе одну или несколько начальных папок, назначаем папкам необходимые права доступа
Далее запрещаем запись в корневую директорию носителя (только для этой папки !!):
- Все: только чтение
- Администраторы: отключить все кроме чтения разрешений и записи разрешений (либо вообще удалить)
- все остальные группы/пользователей из доступа к корню удалить.
таким образом мы запрещаем создание в корне любых новых папок и файлов.. теперь даже если подключить данный носитель к зараженной машине - вирусы просто не смогут записаться в корень
По крайней мере мне пока что еще ниразу не попадался вирус, который бы рулил NTFSными правами на папки.

Аналогичным образом можно также обеспечить определенную конфиденциальность своих данных, например создав отдельную папку и ограничив доступ к ней только определенным учеткам на опрделенных компах (убрав оттуда админов).. т.е. на чужом компе просто так с лету в эту папку не попадешь, не подкрутив вручную права.
Это конечно не идеальная защита и при желании и достаточно легко вскрывается, но в большинстве случаев этого вполне достаточно чтобы предупредить случайное заражение флешки и случайную утечку инфы на чужих компах.
Защищенные таким образом флешки и внешний винт за 2 года ниразу не похватили ни одной заразы.
При необходимсти более серьезной защиты можно использовать соответствующий софт, например TrueCrypt (в совокупности с вышеописанным приемом).

Может кто знает другие способы иммунизации внешних носителей? Делитесь!
Изменено: Сетевой - 19.01.2010 21:37:58
 
Цитата
А хотелось бы вообще защитить флешку от заразы, чтобы это работало на любых компах независимо от наличия на них антивирусного софта.
Предлагается способ, основанный на разграничении доступа средствами NTFS.
Поскольку активной (ну или действующей, называйте как угодно) программной защиты, как вы говорите, на посещаемом компе может не быть, остается только средства защиты, размещаемые на самом защищаемом носителе. Т.е. запуск этой защиты еще нужно как-то кому-то произвести, иначе это будет нераскрывшийся до самой земли парашют. Остается только защита носителя на аппаратном уровне, силами самого устройства. А далеко не все флешки такое умеют, тем более ширпотребовские.

Цитата
разграничении доступа средствами NTFS
не годится по следующим причинам:
  • Не всем посещаемым системам может оказаться понятна NTFS (старые венды, линуксы, разная потребительская аппаратура),
  • На разных посещаемых системах под упоминаемым на твоей ФС идентификатором(номером) юзера могут оказаться либо разные пользователи, либо такого номера в системе может не оказаться вовсе. Гарантированно будут совпадать только стандартные идентификаторы, такие как у группы Администраторы, у самого администратора (кажется RID 500) и т.п.
  • При наличии локальных админских прав у действующего в системе пользователя или процесса, им будет совершенно наплевать на все твои разграничения и владения NTFS, поскольку они смогут назначить свои.
Сегодняшнее «случайное» заражение носителя проще всего предотвратить, создав в корне раздела любого защищаемого записываемого носителя (не обязательно флешки) непустой каталог autorun.inf (и уже его всячески защитить от удаления как атрибутами, так и максимально позапрещав к нему доступ всем вообще) и файлы recycled, recycler, с которыми проделать то же самое. Подавляющее большинство существующего сегодня «самоходного ПО» не способно устранить столь примитивные препятствия на пути своего размножения по носителям. Разве что оно научится это делать после прочтения сего поста и научит этому себе подобных ;)

Способ был неоднократно проверен мною в бесчисленных гостях у вендузятников. Ни одна autorun-зараза до сих пор это не пробила и на флешку отложиться не смогла. Хоть это и не защищает никак от порчи/модификации файлов на носителе.
Изменено: disintegrator - 19.01.2010 18:04:16
 
- вариант программной защиты на самом носителе рассматривать смысла нет, поскольку действительно его во-певых надо как-то запустить, а во-вторых вредоносное ПО на компе может заблокировать его запуск
- вариант с каталогом с именем autorun можно использовать, но это не исключает запись в корень носителя самих вредоносных исполняемых файлов, откуда они могут быть запущены случайно самим усером.
- ориентироваться на совместимость со старыми виндами вообще не вижу смысла, за послений год я вообще ниразу с ним не сталкивался
насчет линукса ничего не скажу.. я им не пользуюсь.. но вроде там тоже есть поддержка NTFS.
несовместимость других девайсов с NTFS - согласен.. в конце концов для этого можно использовать отдельные флешки.. а таскать с собой для файлообмена - защищенные.
- по поводу идентификаторов - на это и расчитано.. Все и Администраторы - стандарные группы.. прокатывает на всех компах.. а для приватной папки использую идентификатор пользователя со своего компа.. и поскольку его больше нигде нет - на други компах этат папка будет недоступна, пока вручную не добавить доступ в эту папку для других пользователй или групп.
- по поводу админских прав - прием с вышеописанными ограничениями как раз прокатывает.. проверено.
если не разрешить локальной группе "Администраторы" создавать файлы и папки в корне - хрен их создашь даже под локальным админом, пока не дашь сам себе соответствующие права.. проверено.. я таким образом защищаю в том числе и корневые папки своих локальных дисков, в том числе и системного.. т.е для записи туда надо сначала ручками открыть соответствующий доступ

а по поводу того, что в ответ на этот пост подлые хацкеры что-нибудь придумают - ну ради бога.. мы тоже не будем стоять на месте.. придумаем что-нибудь  8)

данный способ конечно не панацея, но тем не менее определенную безопасность и универсальность обеспечивает, причем без дополнительных затрат
Изменено: Сетевой - 19.01.2010 22:31:48
 
Сетевой
ну данный способ существует давно- я читал года два назад и с тех пор пользую, но для флешек небольших объемов лучше все же фат и способ который описал  disintegrator, а влинуксе поддержка нтфс есть, но из каробки она не во всех дистрибутивах, так что вполне можно нарваться на комп не понимающий ее.
 
для флешек с файловой системы FAT32, запустите этот бат файл и запустите на флешке,он создаст файл AUTORUN.INF и его невозможно будет удалить, проверено работает:
Код

attrib -s -h -r autorun.*   
del autorun.*               
mkdir %~d0AUTORUN.INF       
mkdir "?%~d0AUTORUN.INF.."  
attrib +s +h %~d0AUTORUN.INF

 
все это было описано в предыдущих постах
это защищает только от создания вирусами самого файла autorun.inf,
но не защищает флешку от записи в корень самих исполняемых файлов вирусов
автозапуск вирусов конечно при этом не будет работать, но существует вероятность, что вирусы могут быть запущены каким-нибудь другим способом, например случайно (пользователь кликнул не на том файле)

кроме того, существуют вирусы, которые при заражении носителя создают на нем исполняемые файлы с именами существующих папок (они в винде имеют такой-же значок, как папка, поэтому легко перепутать)
конечно можно по аналогии с autorun создавать и папки с расширением .exe
но это не выход, поскольку исполняемые файлы вирусов могут иметь и другие расширения.

как альтернативный вариант - воспользоваться тем-же способом, которым пользуются сами вирусы:
разместить на носителе какой-нибуь компактный и быстрый антивирусный сканер или что-то типа этого и файл autorun.inf для его автоматического запуска.
Изменено: Сетевой - 22.01.2010 08:44:14
 
http://mechanicuss.livejournal.com/195192.html
 
спасибо а инфу..
жаль раньше этого не видел.. пришлось самому велосипед изобретать
 
кстати в тему: вот тут сегодня по мылу от Панды пришло:

Panda USB Vaccine

кто-нибудь эту феньку юзал?
 
Кстати как один из вариантов для дешевых , распространенных флешек. Банальное перепрограмирование контролера.
Например - это может создать на основе контролера SK даже устройство read only, и даже несколько. А еще можно туда и запихать что душе угодно(загрузочное) например отключалку автопуска посторенную как вирус autorun, ну или антивирусник.
Можно такие же утилитки найти и для других контролерров.
Но вот мне кажется, что защита на уровне флешек это не то. Проще обучить пользователя простым азам распространения малвари, нежели боротся с ней самой.
Изменено: lkesh - 30.01.2010 11:08:15
 
дело не в пользователях..
речь идет о защите своей собственной флешки, поскольку часто приходится подключать ее в чужие компы, а на них может быть все что угодно.. поэтому надо защищать именно сам носитель.

я конечно и сам бдю почище любого антивиря.. на всех моих компах автозапуск отключен,
кроме того все флешки (свои и чужие) я всегда открываю только через FAR, и в нем сразу видны все скрытые паразиты

вот насчет перепрограммирования контроллеров - это интересно
у кого есть ссылки на ресурсы по этой тематике?
Изменено: Сетевой - 30.01.2010 12:01:15
 
Цитата
Сетевой пишет:
вот насчет перепрограммирования контроллеров - это интересно
у кого есть ссылки на ресурсы по этой тематике?

Я считаю этот ресурс достаточно полно раскрывает тему флешек.

Цитата
Сетевой пишет:
дело не в пользователях.

А вот насчет этого не согласен.
Например малварь которая маскируется под папки(а это достаточно распространенный метод) обходит все выше перечисленные методы блокировки автостарта. Тут автостартом является сам пользователь. И его осведомленность является единственным решением в нераспространении малвари такого типа.
Изменено: lkesh - 30.01.2010 12:36:23
 
Приабретите себе флэш с on\off look и всё будет хорошо  :!:  :)
 
Минусы вашего способа с NTFS правами:

1. Нельзя закинуть файл/папку на флешку через контекстное меню "Отправить";
2. Нельзя выдергивать флешку, предварительно не размонтировав ее, т.к. файлы могут стать битыми (на NTFS данные пишутся не сразу, в отличии от FAT);
4. Нельзя использовать носитель в качестве загрузочного.

Встает вопрос: А как можно защитить флешку на FAT32?

1. Cоздать *.bat (*.cmd) файл, со следующим содержанием:

attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF


2. Скопировать этот батник на флешку и запустить (ЗАПУСКАТЬ ИМЕННО С ФЛЕШКИ).
3. Все =)

Теперь в корне флешки создастся скрытая системная папка AUTORUN.INF. Если  в консоли выполнить команду

dir X:\AUTORUN.INF


то увидим, что в папке AUTORUN.INF есть 2 подпапки (спецфайла) с именем "..", поэтому эту папку (AUTORUN.INF) удалить нельзя :)
Теперь все вирусы со своими autorun.inf идут лесом :) (правда тело вируса попадет на флешку, но как правило этот файл скрытый и обычный юзер его не запустит)
 
А вообще вот здесь любопытная вещь от Panda http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine/ После применения на носителе создается файл AUTORUN.INF который убивается с носителя только его форматированием.  :o
 
Евгений
вы читать умеете? ваш способ уже был указан выше
 
http://www.securitylab.ru/vulnerability/395902.php а если не установлены заплатки, то и отключение авторана и прочие манипуляции не помогут
 
Пользуюсь вакцинацией и периодическим удалением вручную с помощью программы Unlocker папки RECYCLER. А также применение программы "флэшконтроль" (на своем компе) для отключения автозапуска в случае применения чужих флэшек.
Изменено: ya-ka - 12.10.2010 16:28:29
 
Может быть я несколько не в кассу, но тем не менее... вопрос весьма меня волнует..
О сигнатурах и не очень...
Напрягает тенденция, когда я вижу присутствие на компах всякой дряни, где, тем не менее, там крутится вполне свежий kav 2010. Эти кАки на том же virustotal.com   обнаруживаются в доброй половине  антивирусных баз других фирм, но у касперского – конь не валялся.
Мне фанаты касперского доказывали, что каспер не препятствует копированию, но препятствует активации вирей при запуске. Но, насколько я понимаю, по сути заражённый комп потенциально становится перевалочной базой для вирей. Резидентный модуль, который копирует тело основного виря, может быть сделан просто на коленке, да? И чистая флешка, побывавшая в таком компе, уже унесёт с собой полный комплект, который благополучно где-нить оживет в полную силу..или, на крайняк, просто размножиться, если не будет блокирован авторан или же авторан будет срабатывать через какую либо дырь в виндовсе (по типу приведённой выше trivial-qwe).
Вот кстати, один из последних, заставляющих задуматься, пробных камней:
(из 43 баз 32 ловят, но каспера там нетути... :( )

File name:
BatExec.exe
Submission date:
2010-12-27 08:39:40 (UTC)
Current status:
finished
Result:
32/ 43 (74.4%)
***
Kaspersky 7.0.0.125 2010.12.27 -
***


Вот такая вот риторическая констатация факта...

PS. на антималварепочему-то вопрос был сразу стёрт.. а на форуме фанатов каспера тему прикрыли..
какая-то интересная тенденция... страусиная, я бы сказал...  ;)
 
создаем на флешке папку autorun.inf, выполняем:
Код
mkdir "\\?\X:\autorun.inf\auto..."


Где X - буква флешки.

После этого даже если вирусы и прицепятся, то не смогут запуститься, а тут уже антивирус подоспеет.
Страницы: 1
Читают тему