А разве не быстрее inf добавить в script defender [url]http://www.analogx.com/CONTENTS/download/system/sdefend.htm[/url] , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.
Printable View
А разве не быстрее inf добавить в script defender [url]http://www.analogx.com/CONTENTS/download/system/sdefend.htm[/url] , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.
[quote=drongo;192259]А разве не быстрее inf добавить в script defender [URL]http://www.analogx.com/CONTENTS/download/system/sdefend.htm[/URL] , чтобы каждый раз спрашивал ? Ведь иногда авторан удобно.[/quote]
Вы недооцениваете malware (или вернее - переоцениваете script defender).
Дайте, пожалуйста, несколько примеров, где авторан так удобно, что риск оправдан - откуда вы будете знать, что программа хорошая или нет когда вы получаете алерты? HIPS хорошо, но меня лично раздражает - большинство вопросов задаёт о хороших программах.
Mы узнали в данной теме, что проблема не всегда в самом авторане, а в MountPoints2, который каждый раз, когда вы вставляете устройство, отредактируется самой ОС. Вы думаете, что script defender против этого тоже предупреждает?
Paul
[quote=p2u;192136]
Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство. [/quote]
Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.;)
У меня дома, по ряду причин, антивирусного монитора нет и именно [url=http://virusinfo.info/showpost.php?p=192128&postcount=15]та политика[/url] спасает меня от червяков.
При той проблеме описанной автором в [url=http://virusinfo.info/showpost.php?p=181673&postcount=1]сообщении 1[/url], способ предложенный мною кажется ему подходит как нельзя лучше. :D
[quote=DoSTR;192290]Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.;)
У меня дома, по ряду причин, антивирусного монитора нет и именно [URL="http://virusinfo.info/showpost.php?p=192128&postcount=15"]та политика[/URL] спасает меня от червяков.
При той проблеме описанной автором в [URL="http://virusinfo.info/showpost.php?p=181673&postcount=1"]сообщении 1[/URL], способ предложенный мною кажется ему подходит как нельзя лучше. :D[/quote]
Я рад за вас, но проверяйте всё-таки содержание MountPoints2...
Система действительно туда пишет инфу о запуске уже известных устройств. Она могла писать туда инструкции до того, как вы создали политику... :)
Paul
Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже?
Пользователь и так стоит с правами только на чтение.
[quote=drongo;192336]Я бы хотел уточнить , то что вы предлагаете практически:
то что лежит в [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] удалить всё и поставить права только на чтение всем ? и системе тоже? Пользователь и так стоит с правами только на чтение.[/quote]
Риска в удалении ключа MountPoints2 нет - Windows создаст этот параметр заново, но уже чистый. Нужны права админа. Проверьте все устройства (работают ли они).
Потом посмотрите права всех пользователей MountPoints кроме 'Системы'. [b]В левой колонке (=РАЗРЕШЕНИЯ) НИЧЕГО НЕ ТРОГАЕМ![/b] Мы в правой колонке отметим 'ЗАПРЕТИТЬ' на все параметры кроме 'Чтение'. Если так не делать могут быть проблемы при необходимости отмены данной политики.
P.S.: Картинку почему-то форум не разрешает вставить. Тогда дам ссылку на описание по-английски:
[url]http://virusanalysts.blogspot.com/2007/11/preventing-autorun-infection.html[/url]
Четвёртая картинка показывает как надо.
Paul
На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить. :)
или системе в этом случае всё равно ?
[img]http://bp3.blogger.com/_CrutuWN3LFk/RzS_3T9Q5yI/AAAAAAAAACw/sDFABGw_h8M/s1600/mountpoints2-permissions.JPG[/img]
[quote=drongo;192364]На картинке галки стоят напротив Deny -> Read
получается чтение тоже запретить. :)
или системе в этом случае всё равно ? [/quote]
Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
[url]http://techrepublic.com.com/5208-6230-0.html?forumID=101&threadID=234964&messageID=2319929[/url]
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений? :)
Paul
[quote=p2u;192366]Я сам уже запутался. Дело в том, что я хотел только найти картинку. Автор данной идеи (Pierre какой-то) говорит, что надо оставить права 'read' and 'query':
[URL]http://techrepublic.com.com/5208-6230-0.html?forumID=101&threadID=234964&messageID=2319929[/URL]
P.S.: Офф-топ. Почему у меня, как эксперта, нет прав вложений? :)
Paul[/quote]
в кaментах указано в XPpro есть более элегантный способ через gui , что -то не нахожу .
P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script ;)
[quote=drongo;192370]P.s.
По моему всё дело в скриптах, нужно добавить наш сайт в доверенные @ no-script ;)[/quote]
Уже сделано. НЕ помогает. 'Прав нет' и всё... 8)
Paul
[quote=p2u;192374]Уже сделано. НЕ помогает. 'Прав нет' и всё... 8)
Paul[/quote]Антона проси, у меня нет прав поиграться с твоими настройками :)
[quote=drongo;192379]Антона проси, у меня нет прав поиграться с твоими настройками :)[/quote]
OK. ;)
Paul
[QUOTE=drongo;192336][HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
....
Пользователь и так стоит с правами только на чтение.[/QUOTE]
HKCR - это личный пользовательский куст реестра. Там у текущего пользователя всегда полные права.
[QUOTE=DoSTR;192290]Прочел, создал и убедился в том, что калькулятор при политике "Не разрешено" не запускается.;)
У меня дома, по ряду причин, антивирусного монитора нет и именно [url=http://virusinfo.info/showpost.php?p=192128&postcount=15]та политика[/url] спасает меня от червяков.
При той проблеме описанной автором в [url=http://virusinfo.info/showpost.php?p=181673&postcount=1]сообщении 1[/url], способ предложенный мною кажется ему подходит как нельзя лучше. :D[/QUOTE]
А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.
[quote=psw;192458]А я вот убедился в обратном (см. PrintScreen). Пришлось, правда, флешку отмонтировать, потом подмонтировать заново. Может быть, secpol и сработает если после каждого монтирования флешки его вызывать по новой. А может быть, и нет.[/quote]
Именно потому что в ключе MountPoints2 видимо уже есть 'приказ' для вашего устройства. ;)
Надеюсь, что вы заметили, что DoSTR отредактировал своё изначальное сообщение? - Политики должны быть по другому созданы. Надеюсь, что он сам выйдет и скажет о своих опытах.
Потом - удержание 'Shift' тоже отменывает эти политики. Любопытно, может ли Троян это cделать, и если да, как? Пытаюсь найти ответ. Трюк с MountPoints2 - хороший. Долой, Бронток! :D
Paul
[url]http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html[/url]
Вот такая магия обмана : а авторана нет :)
[code]REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"[/code]
[quote=drongo;192532][code]REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"[/code][/quote]
В-Е-Л-И-К-О-Л-Е-П-Н-О-! Но только против .ini варианты. Существуют и другие расширения авторана. Блок на MountPoints2 не совсем отменяется. :)
Надо ещё заметить, что '@SYS:_DoesNotExist' НЕ распространяется на автозапуск CDRom и DVD!
Чтобы отключить их надо всё-таки отредактировать следующий ключ:
[B]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom[/B].
[B]Autorun[/B] = [B]0[/B]
P.S.: Установка любого плеера может отменить последнюю меру. Следите!
Paul
я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.
[quote=drongo;192588]я бы не отказался от утилиты с гуи-интерфейсом ,которую можно было запустить и через неё разрешать автораны ,если надо -но только при нажатии пароля, а если утилиты нет в памяти или пользователь указал не верный пароль - тотальная блокировка всех авторанов.[/quote]
А в антивируснике этого нельзя задать? Или хотя бы мониторить MountPoints2?
Paul
Добавил в мониторинге реестра данный ключик в кис. Ну это только мониторинг , а не тот функционал что хотелось бы. Надо будет попросить :)