Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

определение момента подключения съемного носителя . Delphi

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74

    определение момента подключения съемного носителя . Delphi

    Меня достали вирусы на флеш-носителях на работе.
    Т.е. стоит задача - в момнт подключения съемного носителя определить наличие на нем в корне autorun.inf. Периодический опрос существующих дисков (раз в полсекунды) смотриться мне как-то не очень корректным. Видел комопоненты JEDI позволяющие определить список устройств, но это тоже не совсем то. Можете посоветовать к-л способ без периодического опроса сужествующих дисков в системе? (Delphi)
    Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Mad Scientist, а вариант с отключением автозагрузки не подходит? Проще реализовать.
    Опыт — это слово, которым люди называют свои ошибки.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    AVZ, выполнить скрипт:
    Код:
    procedure DisableAutorun;
    begin
     // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типы, кроме CD)
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
    end;
    begin
     DisableAutorun;
    end.
    Как легко заметить, это несложно реализовать в своей программе ... и подогнать под свои задачи.
    А блокировку в динамике на Delphi сделать можно, но коряво - придется написать DLL, внедрить ее во все процессы и хукнуть функции для работы с файлами - и блокировать доступ к autorun.inf... Или прицельное внедрение хуков в процесс, отвечающий за отработку автозапуска. Но хук в UserMode коряв ... в ядре на C это делается за десяток минут перехватом скажем NtCreateFile.
    Однако фокус с политиками проще всего и ограничение реализуется самой системой.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Олег имел ввиду 3 разных скрипта, не нужно кричать что СКРИПТ НЕ РАБОТАЕТ

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    Цитата Сообщение от Mad Scientist Посмотреть сообщение
    Т.е. стоит задача - в момнт подключения съемного носителя определить наличие на нем в корне autorun.inf.
    и что? Может, он уже запустился, пока ты там с автораном кувыркаешься?

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    Насчет отключения автозапуска - конечно это правильно, но автоубиение виря на флешках вместе с autorun.inf - не плохая идея, т.к. флешки сотрудники потом несут домой, в другие организации и т.д. - некоторые не нажимают в антивирусе действие удалить вирус и т.д. Знакомый фотограф мне рассказывал, что у них на работе все домой утаскивают фотоаппараты с вирями на картах памяти.
    Если у меня автозапуск отключен, то у другого человека когда к нему придут с флешкой он может быть включен или на компьютере не будет стоять антивируса с актуальным состоянием вирусных баз.
    Спасибо, буду разбираться сам, если уже совсем ничего не получиться - обращусь еще раз.

    Добавлено через 20 минут

    Цитата Сообщение от maXmo Посмотреть сообщение
    и что? Может, он уже запустился, пока ты там с автораном кувыркаешься?
    В случае с флешкой для запуска того что прописано в autorun.inf надо кликнуть по соответствующему диску в "Мой компьютер", помоем для сменных носителей мнгновенный автозапуск приложения, прописанного в autorun.inf при подключении как для CD-дисков невозможен.
    Последний раз редактировалось Mad Scientist; 15.11.2007 в 16:54. Причина: Добавлено

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Mad Scientist Посмотреть сообщение
    В случае с флешкой для запуска того что прописано в autorun.inf надо кликнуть по соответствующему диску в "Мой компьютер", помоем для сменных носителей мнгновенный автозапуск приложения, прописанного в autorun.inf при подключении как для CD-дисков невозможен.
    Если решать задачу перехватом функций, то перехватчик ограничит доступ к файлу в любом случае ... И сможет в свою очередь принять меры

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    Вот, нашел у JEDI
    http://sourceforge.net/project/showf...ease_id=552812
    нужно только соответственно еще jcl и jvcl
    Последний раз редактировалось Mad Scientist; 07.12.2007 в 03:53.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    А
    NoDriveTypeAutoRun REG_DWORD OxOOOOOOff (255)
    означает блокировку автозапуска с любого носителя?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Да. Правда, как показывает опыт, "Автозапуск" из контекстного меню при этом никуда не исчезает и, кажется, даже остаётся подсвеченным.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    Вроде как приложение само получает сообщение WM_DEVICECHANGE при изменении дисков.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    Цитата Сообщение от maXmo Посмотреть сообщение
    Вроде как приложение само получает сообщение WM_DEVICECHANGE при изменении дисков.
    Ага, вот что получилось - осталось токо переделать это в системную службу
    Последний раз редактировалось Mad Scientist; 07.12.2007 в 03:53.

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Mad Scientist Посмотреть сообщение
    Меня достали вирусы на флеш-носителях на работе.
    Т.е. стоит задача - в момнт подключения съемного носителя определить наличие на нем в корне autorun.inf. Периодический опрос существующих дисков (раз в полсекунды) смотриться мне как-то не очень корректным. Видел комопоненты JEDI позволяющие определить список устройств, но это тоже не совсем то. Можете посоветовать к-л способ без периодического опроса сужествующих дисков в системе? (Delphi)
    Спасибо.
    А почему бы не поручить эту работу антивирусу, который бы при попытке запуска чего-либо с флеши проверял бы стартующее и убивал бы зловреда? Тогда и опрос дисков не понадобится.
    ---
    С уважением,
    Borka.

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Хорошо-бы поручить эту работу антивирусу, но иногда для решения некоторых вопросов приходится или приостанавливать работу антивируса или вовсе отключать его. Тут, по закону подлости, кто-то из сотрудников подходит и просит, что-либо сбросить на флешку или посмотреть документ на своём компе. И ты, как непонятно кто, вставляешь флешку и, по закону подлости ха-ха, к тебе проникает вирус. Поэтому вопрос остановки автозагрузки весьма актуален.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    Хорошо-бы поручить эту работу антивирусу, но иногда для решения некоторых вопросов приходится или приостанавливать работу антивируса или вовсе отключать его. Тут, по закону подлости, кто-то из сотрудников подходит и просит, что-либо сбросить на флешку или посмотреть документ на своём компе. И ты, как непонятно кто, вставляешь флешку и, по закону подлости ха-ха, к тебе проникает вирус. Поэтому вопрос остановки автозагрузки весьма актуален.
    Извините но не нужно нести бред... относительно того что нужно работу антивируса останавливать...ради того чтоб чтото скинуть с флешки или на нее! Вы уж определитесь что вам необходимо! Или чтоб был расадник или пару секунд подождать! Если жестковато то прошу прощение обидеть не хотел!
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Mad Scientist, посмотрите соседнюю тему http://virusinfo.info/showthread.php?t=14929

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    сейчас

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
    NoDriveAutoRun=255

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
    NoDriveTypeAutoRun=255

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
    NoDriveTypeAutoRun=255

    HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
    NoDriveAutoRun=255

    При клике по диску с сменным носителем в проводнике все равно запускается то приложение, что прописано в autorun.inf
    Я что-то не то сделал?
    Спасибо.

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    Что сейчас есть
    Вложения Вложения

  20. #19
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Mad Scientist Посмотреть сообщение
    При клике по диску с сменным носителем в проводнике все равно запускается то приложение, что прописано в autorun.inf
    Насколько я понимаю, запреты в реестре действуют только для автозапуска, т.е. запуска какого-либо приложения при подключени флеши. А действие Автозапуск из контекстного меню остается действием по умолчанию, о чем сказал pig. Следовательно, для полного отключения нужно изменить действие по умолчанию для флеши на Открыть.
    Последний раз редактировалось borka; 07.12.2007 в 18:39.
    ---
    С уважением,
    Borka.

  21. #20
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    По-умолчанию стоит открыть.
    Так как в autorun.inf написано

    shell\open=Открыть
    shell\open\Command= Autorun.exe
    то при клике по этому съемному диску ползователь запустит Autorun.exe.
    Это можно как-либо убрать используя средства администрации Windows?
    Народ все равно с тоталкоммандером работать не будет, т.к. привыкли к проводнику.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 20.04.2012, 15:39
  2. Вирус со съемного носителя
    От d1sAA в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 29.04.2011, 23:26
  3. Ответов: 0
    Последнее сообщение: 01.11.2009, 13:54
  4. Заражение со съемного носителя
    От Люба в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 04.05.2009, 08:16
  5. Ответов: 5
    Последнее сообщение: 22.02.2009, 08:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00893 seconds with 20 queries