Защита флешки от вирусов - на самой флешке

Я лично флеховири не боюсь. Наоборот, забавно бывает принести на свой комп очередной микроб, выпустить ему органоиды и посмотреть, глохнет ли таракан без ножек. Чтобы не разносить заразу, когда приходится поочередно тыкать флеху в много чужих компов, есть флеха с NTFS, на ней каталог AUTORUN.INF с прибитым доступом. Но ведь не все такие вредные, как я…

Для тех, кто верит сразу — сразу и способ.


Работает на флешках с файловой сисиемой FAT 32 или 16. Данные с флехи не исчезнут.


-------------------------------------------------------------------------------

Создаем на флешке два BAT файла.

Первый, например, enprot.bat такого содержания

attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF

Второй, например, disprot.bat такого содержания

rd /q "\\?\%~d0\AUTORUN.INF\.."
rd /q "\\?\%~d0\AUTORUN.INF"

Запускаем первый. На флешке появляется скрытая, типа, пустая папка AUTORUN.INF. Пробуем ее удалить. Фигушки! Вот на этом большинство вирусни грызла и поломает. Удалить папку можно, запустив второй файл.

-------------------------------------------------------------------------------

Теперь подробности для любознательных.

Расскажу, как действует флешечная вирь. Чтобы произошло заражение, надо чтобы запустилась программа. Функция автозапуска для сменных носителей оказалась офигенным подарком для распространителей вирусов, когда появились такие носители с возможностью оперативной записи. То есть, флешки. Винда, если не отучена от автозапуска, на любом сменном носителе ищет файл autorun.inf. В этом файле — ценное указание, какую программу надо запустить. Вирь в зараженном компе пишет на свежевоткнутую флеху себя, любимое, а так же autorun.inf c с пожеланием себя запустить. Если на флешке уже есть autorun.inf, вирь его предварительно удаляет. Флеха, обработанная таким образом, втыкается в следующий комп, Винда читает autorun.inf, запускает вирь… Короче, это отправляется гулять по всем компам, где нет нормальной антивири.

Флеха — не компьютер, активно защищаться не может. Вот если создать на ней каталог AUTORUN.INF, а права на какие-либо действия с ним убрать — вирь-то и обломаестся. Писать файл — хрен, есть уже такой! Удалить — хрен, права не имеете. Только вот, если файловая система FAT, ограничения прав действуют только на том компьютере, на котором они делались. Приехали, короче.

Способ с лишением прав в NTFS подходит не всем по той простой причине, что не всё NTFS читает. Проще говоря, без специзвращений это работает только на компах с Windows NT и Linux. И то… В Винде надо переться в Управление дисками и дальше ляля-траляя. В Никсе процедура мандирования… тьфу! Монтирования! Хотя, вот то, первое слово полнее отражает увлекательность процесса. Про использование флехи в магнитолке, плеере и т.п. можно вообще забыть. И еще: флешку с NTFS можно вытаскивать только через «Безопасное извлечение»!

Разберемся, почему и как работает способ, предложенный вначале. Команда attrib -s -h -r autorun.* снимает атрибуты «системный», «скрытый» и «только для чтения» с файла autorun на флехе, если он там есть. Команда del autorun.* этот файл (если он есть, опять же) удаляет. Это была подготовка, дальше интереснее. Команда mkdir %~d0\AUTORUN.INF создает каталог AUTORUN.INF. От него пока никакой пользы, ничто не помешает вири грохнуть его. Команда mkdir "\\?\%~d0\AUTORUN.INF\.." создает в каталоге AUTORUN.INF каталог ... Да, каталог с именем две точки. Винда вообще не может ничего делать с такими именами. Ни сотворить, ни грохнуть. Значит, и вирь, который работает в Винде — тоже. Зато такой изврат может сделать команда в обычном батнике. Команда attrib +s +h %~d0\AUTORUN.INF просто делает каталог скрытым и системным, это уже скорее из естетицких соображений. Итог — появляется «неудаляемый» каталог с «неправильным» именем, который находится в каталоге с нужным именем и делает его тоже «неудаляемым». Второй батник позволяет удалить все это дело, используя те же извраты. Теперь понятно, почему этот способ защищает от большинства вирусов, а не от всех. Вирь может применить ту же хитрость. Но пока не применяет. Кстати, этот способ предотвращает именно разнос заразы. Если после тыка в очередной помойный комп на флехе появился исполняемый файл со странным именем, который ничего не заразил — запускать его не надо. Прибить!
Обсудить у себя 3
Комментарии (3)
о! пожалуй поверю, вникну  и попробую.
___
(от стиля написания первого абзаца выпала в осадок!)))
Удачи! Интересно, как работать будет не в моих руках и в боевых условиях.
ооо, как интересно))
Чтобы комментировать надо зарегистрироваться или если вы уже регистрировались войти в свой аккаунт.

Войти через социальные сети: