ЛогичноСообщение от vidocq89
Логично
Left home for a few days and look what happens...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А точнее - квадрату это радиусаНапример что мешает нажать и подержать левый shift ...
Прошу прощения за оффтоп, но обьясните плз в чем разница межде автораном когда вставляешь флешку(для защиты используют выше сказаний Shift) и двойным щелчком на саму флешку при ее открытии(тут отключают его в реестре MountPoints)?
И что более опасное,что важнее применять?
http://ru.wikipedia.org/wiki/Autorun.inf
В принципе автозапуск работает как указано на картинке.
НО: многие USB-контроллеры на самом деле устройства с Прямым Доступом к Памяти - им пофигу-мороз Майкрософтские политики, и тем более ваши. Наиболее эффектнивное решение в данный момент - запрет чтения autorun.inf в системе вообще, например как указано в сообщении №14. Как только и это обходят, что-нибудь новое придумаем...
Paul
Последний раз редактировалось XP user; 21.03.2008 в 11:09.
Торопливость, желание по-быстрее сделать работу: скопировать документ, например.А точнее - квадрату это радиуса
Забывчивость.
Незнание этого приема вообще.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Кстати, нашёл ещё один забавный способ к дополнению того, что я ранее привёл:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
В этой ветке находятся текстовые параметры, содержащие имена файлов, при наличии которых 'AutoPlay' на CD-Rom и флэшке запрешается. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы). Вот так:
Paul
Последний раз редактировалось XP user; 21.03.2008 в 12:13.
А как винда находит на флешке есть ли там Autoplay file types, просто если она имеет доступ и уже сканирует на похожие типы файлов для автозапуска ну то есть Nero, WindowsMediplayer... то флешка уже открыта получается
кстати пробовал в Win 2000 поставить Разрешение только на чтение, но не получается ставит на все галки сразу полный запрет!
Я написал в инструкциях (которые были назначены ПРОФЕССИОНАЛАМ), что если вы хотите запретить, то тогда левую колонку с разрешениями НЕЛЬЗЯ трогать. Надо наоборот отметить правую колонку с запретами. Если вы НЕ профессионал, то тогда оставьте ключи, в которых вы не разбираетесь в покое. Так мне будет спокойнее на душе. Спасибо.
Проще задать в вашей программе защиты, чтобы она мониторила/запретила обращение к этим ключам.
Один из первых ключей, который Windows читает, это именно IniFileMapping. Если там запрет стоит на autorun.inf (или вернее - что такое не существует на компе), то тогда она дальше уже не будет пытаться искать ничего.
Кроме того, раздел 'AutoplayHandlers' тоже из первых параметров, которые определяют что будет в случае 'монтирования' устройств. *.* как параметр исключает запуск autorun.* (то есть - другие расширения того же автозапуска).
Paul
Последний раз редактировалось XP user; 21.03.2008 в 14:50.
Ну зачем вы меня так "попускаете", профессионал - понятие растяжимое, был бы я профессионалом не задавал такие вопросы, да и потом профессионалами не рождаются а становятся, кстати вы пишете крайне не разборчиво , я все никак не пойму в чем разница между автозапуском и тем когда щелкаешь дважды по пиктограмме диска, и что более опаснее, и потом в regedt32 крайняя колонка и так скрыта по сему менять что либо там не получиться, так что не переживайте!
Я говорил о том, что надо либо чётко выполнить указания (относится к всем подобным случаям ограничения админ прав), либо оставить параметры в покое, иначе результат может быть не очень хорошим мяко говоря. Никак не хотел обидеть вас. Сам я пользуюсь XP Home. Поэтому параметры и настройки могут не совпадать с теми, которые на других версиях Windows. Блокировка через программу защиты (монитор реестра) всё-таки предпочтительна...
Крайне не разборчиво даже? Спасибо, что сказали - буду работать над собой и над языком. Я как иностранец стараюсь, но не всегда получается. Предлагаю переходить на английскую ветку форума и задать ваши вопросы там. На английском у меня ГОРАЗДО лучше получается...
Думаю, что разницы нет - одно не опаснее другого. Всё зависит от того, что задано в файле autorun.inf и в других местах, определяющих автозапуск того, что находится на устройствах... Факты, которые доказали бы иначе в Гугле пока не нашёл. Я дал вам ссылку на то, что известно про авторан. Вот ещё раз:
http://ru.wikipedia.org/wiki/Autorun.inf
Хорошо, успокоили.
Paul
Последний раз редактировалось XP user; 21.03.2008 в 16:09.
Спасибо за понимание и терпение, последний вопрос а не могли бы вы кинуть пример того как можно управлять автозапуском, ну то есть тем самым когда вставляешь флешку и появляеться шильдик с переченью свойст, открыть как папку или с помощью Nero или с windows media player, а то не совсем понятно как может зловред попасть!
ОК. Обзор всех известных спопобов борьбы с автозапуском.
1 + 2 - классический подход - отключить через политики Windows.
3, 4, 5 - закрытие дыр в 1+2.
1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0 и перезагрузиться.
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.
3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру (типа REG_SZ) со значением (не названием!)
4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\FilesКод:@SYS:DoesNotExist
Создать строковый параметр типа REG_SZ с названием(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').Код:*.*
5) Удалить ВСЕ ключи MountPoints2 которые вы находите в реестре и перезагрузить комп. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате.
Способы для зловредов попасть на компе спрашиваете... Основные:
* Копировать откуда-то файл и записать на флэшку без предварительной проверки (часто на работе бывает). При включённом автозапуске заражение гарантировано.
* Запускать заражённый файл (любой) - часто это вложения в почте, медиа файлы, фотки, и т.д.
* Щёлкать на ссылку сайта, где лежит заражённый файл, при включённых скриптах в браузере - зловред автоматически устанавливается без вашего участия.
* Установить предположительно интересную программку из Интернета
* Эксплойт через админ шары [+ NetBIOS] в локалке (так черви часто 'работают').
Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован.
Paul
Последний раз редактировалось XP user; 22.03.2008 в 10:33.
Может быть добавить эту информацию в ЧАВО ?
Отключение автозапуска с разных носителей
Стоит еще добавить, что по данным моего анализатора
зловреды Trojan-PSW.Win32.OnLineGames.*, Worm.Win32.AutoRun.* интересуются параметром 'NoDriveTypeAutoRun' и модифицируют его (т.е. это зловреды, распространяющиеся на флешках, причем многие зловреды модифицируют этот ключ в HKCU и не трогают в HKLM). К параметру Services\Cdrom практически ни один зловред интереса не проявляет, с IniFileMapping\Autorun.inf дела обстоят аналогично.
А нельзя ли отформатировать флешку в NTFS создать папку root куда все имеют доступ только для чтения, кроме учетки "домашнего компа",она имеет полный доступ, создать папку user куда всем разрешен доступ чтения/записи. Разрешить всем только чтения корня диска и запретить запись в корень. У себя так и сделал.
question>А чем форматировать? Стандартно толко фат и фат32
answer>Правой кнопкой на диске - свойства - вкладка оборудование - выбираете там флешку - свойства - вкладка политика - оптимизировать для выполнения становится доступным ntfs. Далее проделываете тот же путь, только оптимизируете для быстрого удаления.
Естественно если флешка используеться спецефично, вариант не подойдет. Т.к. NTFS...
Ну не в этом же вопрос... флэшки все свои ташют зараженные.
Да и не факт что зловред не сменит права доступа на флэшке.
Не понятно, а как тогда строковой параметр назвать?
У меня вообще autorun.inf небыло :-/
Гы, не совсем понял, в какие это ворота?
Ликбез с самим собой?
Ну просто в свое время у меня возник такой вопрос и я в такой замысловтой форме дал пояснение -) типо сам сабой напрашивающий вопрос и тут же ответ а-ля мини faq :-D
помогите с предыдущим постом про реестр...
Это чтоб не ждать вопросов "А как отформатировать флешку в NTFS?"
Ваши права в разделе
Ответить с цитированием
