Меры по предотвращению авторана можно только принимать на здоровой ОС.Сообщение от Surifon
К Flash_Disinfector'у скептически отношусь - думаю, что метод срабатывает против хороших, добрых программ, но что зловред научится его обходить если других мер не предпринимать, которые ранее обсудились...
Paul
Последний раз редактировалось XP user; 09.04.2008 в 23:38.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нашел интересную утилиту, программа отключает автозапуск USB устройств, анализирует файлы, которые были предназначены для автовыполнения и блокирует потенциально опасные операции http://virusinfo.info/showthread.php...697#post213697
День добрый!
По поводу Flash_Desinfector и иже с ним.
Раньше я использовал похожую но свою защиту:
1. Флешка конвертируется в NTFS (это если отформатирована в FAT/FAT32).
2. На ней создается файл autorun.inf с содержимым:
3. На этот файл устанавливаются атрибуты RHSA.Код:[autorun] Icon=имя_иконки.ico Label=имя_флешки
4. Так же на нее скидывается иконка и на нее устанавливаются такие же атрибуты.
5. Для файла autorun.exe в "Безопасности" для всех запрещаются следующие опции:
Создание файлов/запись данных
Создание папок/дозапись данных
Запись атрибутов
Запись дополнительных атрибуьов
Удаление
Смена разрешений
Смена владельца
Это проделывал под учеткой администратора домена. В результате, снять защиту с записи мог только администратор конкретного домена в конкретном домене. Ибо именно он оказывался прописанным во владельцах. На других машинках домена и в других доменах это не проходило (не должно было, во всяком случае).
Вроде бы все работало нормально. Но, может быть, просто не привелось использовать ее на зараженной машинке. Кроме того, при вставке флешки, она появлялась со своей иконкой и именем. А понты, как известно, дороже денег. Ну и для понтов же такую же шнягу на хардах проделал.
Но вот прочитал про Дезинфектор и решил его испробывать.
Скачал, запустил ... Никакого эффекта. Ну я понял, что мешают мои аутораны на дисках. Удалил с одного. Запустил снова. На нем появилась директория autorun.inf с файлом "lpt3.This folder was created by Flash_Disinfector", у которого сняты практически все возможные разрешения. Таким образом я не могу удалить этот файл и эту папку.
Посему, два вопроса:
1. Как по вашему, насколько была эффективна применяемая мною защита?
2. Как теперь удалить эту папку? Хочу понтов, а она их не дает сделать.
Чушь. У любого локального администратора есть неотъемлемое право стать владельцем объекта, а у владельца есть неотъемлемое право менять атрибуты.
И действительно чушь ... Не учел этого я что-то.
Зашел под локальным админом и за три приема удалил этот файл.
А у системы есть право менять владельца и/или рзрешения?
Если так, то троян, захвативший систему и действующий от ее имени, может превосходно этим воспользоваться. Так получается?
Впрочем, защита предлагаемая Дезинфектором, тоже, как оказалось, легко снимается.
В CLI зашел в папочку autorun.inf и дал команду "DEL *.*". Или еще по короткому имени удалить можно (а по длинному почему-то не хочет, наверное из-за имени "устройства" lpt3). С другими вариантами удаления не экспериментировал - надоело.
После чего папочка превосходно удалилась.
Так что, защита Дезинфектора такая же туфтень, как и моя, даже туфтовее. А моя хотя бы понты тюнинговые на флешки/диски навешивает.
У системы есть такие права на сколько мне известно.
да есть и как не обидно, даже больше чем у админаА у системы есть право менять владельца и/или рзрешения?
например у
system
.есть права запуска процессов от имени пользователя (про рунас ненапоминать, это просто оболочка для сервиса)
."ходить" на стол "Winlogon"
и т.д.
чего нет ни у одного пользователя
Я думаю если нельзя избавиться от авторанов на уровне системы, тогда почему не попробывать пойти программным путем. Вот нашел правда еще не тестировал хочется услышать ваше мнение по поводу этих программ.
StopAutorun 1.31 ссылка: http://soft.oszone.net/program/5319/StopAutorun/ эта программа Freeware и еще одна но уже Shareware
1st Disk Drive Protector 3.0 ссылка: http://soft.oszone.net/program/5268/...ive_Protector/
Хотел узнать а сколько всего разделов MountPoints2 в реестре, я нашел 3. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\MountPoints2
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explo rer\MountPoints2
HKEY_USERS\S-1-5-21-1547161642-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2
Удалил и перегрузил комп и уже чистые разделы занес для мониторинга Касперу при этом запретив изменения и удаления в разделах а как на счет чтения тоже запретить?
Нет, ни в коем случае!
Paul
это все здорово а как избавиться(запретить изменения) авторана не устройств а именно системы?
тот что загружаются при запуске ОС?
В OS семейство Windows NT есть такая замечательна вещь как "Разграничение прав доступа” (permisisons). Можно поставить запрет на изменение (добавление), в местах автоматического запуска программ (Registry, User Startup, All Users Startup).
Конечно, если пользователь работает с правами “Ограниченного Пользователя”, то данные запреты будут на много эффективней, нежели, если пользователь все делает с правами Администратора.
О, а если можно подробнее где именно настраивается эти параметры? работа по администратором (ХР СП2)
пасиб
Если локальные диски у вас отформатированы под файловую систему NTFS то у каждого объекта (Файлы, папки) есть права доступа. Их можно изменять если снять галочку в свойствах папки "Использовать простой и общий доступ к файлам". Потом в свойствах папки появиться вклад "Безопасность". В ней можно настроить права доступа.
В реестре тоже можно настраивать права. В стандартной программе regedit можно правой кнопкой нажать на нужном нам ключе и зайти во вкладку "Разрешения"
P.S: Хочется ещё добавить что нужно знать что вы делаете. Изменив неправильно права доступа вы можете навредить системе.
Нашел и четвертый MountPoints2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2, тож загнал в Каспера. Воткнул флешку потом картридер и они создали два пустых раздела в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\CPC\Volume без ключей внутри, которые при перезагрузки пропадают.
Прочел все возможные посты в интернете. Неужели так и придется решать проблему через тернии к звездам (типа, отключением автозапуска, использованием альтернативного метода открытия файлов, всё ручками, а проблемы от того, что ты чайник и не догоняешь, что другого решения нет). Флешка была заражена. AVZ не помог, KIS 2009 удалил 2 файла , но проблему не решил, BitDefender не видит. Cureit (от доктора) нашел (autorun.inf I:\Win32.HLLW.Autoruner.2489, удален). Вроде, без проблем сейчас …
Последний раз редактировалось Eduarts; 31.07.2008 в 15:39.
так автозапуск дисков отключается любым твикером зачем мудрить?
TuneUp Utilities 2008:
лучше скажите на какие ветки и какие права ставить чтобы запретить программам прописывать себя в автозагрузку?
Обходится раз-два-три, evilone_. В этом как раз прикол.
Любой достойный анти-вирус/HIPS может следить за этим если вы это задаёте в настройках...
И чтобы более подробно отвечать на ваш вопрос: в старых добрых временах всё ограничивалось до следующих способов:
http://www.oszone.ru/3338/
Естественно можно запретить запись туда.
Но увы, сейчас мне лично известны уже примерно 60 способов (не могу их привести по определённым соображениям), и я нахожу всё новые и новые...
Paul
Мне всё время казалось, что компьютер должен облегчать и ускорять, в какой-то мере упрощать, экономить время. Решение любой проблемы зависит от того, насколько правильно определена первопричина. Лечить надо причину, а не следствия. Как я понимаю, дальше будет хуже (я о проблеме заражения вирусом съемных носителей информации). Фотоаппараты, мр3 плееры, флешки, всё это используется в разных условиях и не только с проверенными источниками или техникой.
Ваши права в разделе
Ответить с цитированием
