"Колхозный" антивирус для сельской местности, или для флэшек

[Зайцев Олег]

Зайцев Олег,

Между прочим, пользуюсь давно и работает эффективно...

Если каждый из десятков тысяч посетителей VI начнет выкладывать на форум всякую ерунду, чем он пользуется и думает, что оно эффективно - придется еще десять серверов делать - под файлопомойку. Эта утилита давно известна и много раз обсуждалась:
http://virusinfo.info/showthread.php...ght=USBVaccine
http://virusinfo.info/showthread.php...ght=USBVaccine
и т.п. - все это полумеры, решающие в лучшем случае 5-10% в области защиты от флеш-заразы (как например оно защитит от классического вируса, заражающего файлы ? Или от малвари, создающей свои копии во всех папках ? Подменяющей имеющиеся EXE файлы собой ?)

[antanta]

Давно юзал флехи с защитой от записи. Потом они исчезли из продажи. Потом на каком-то семинаре подарили HD (или как его), пришлось купить card-reader. Потом нашел таки флеху на 4 Gb с защитой от записи. Клиентам - внушало.
Минусов - ровно два. AVZ, будучи запущенным с такой флэхи при выполнении стандартных скрипов восстановления жутко ругается на невозможнось чота записать. Зверушки же молча вешают систему, пытаясь тоже чего-то записать на такой носитель, делая работу невозможной. В предельном случае высыпают на экран кучу окон с ошибками (что хотя бы немного может помочь диагеостике).
Хотя, казалось бы
invoke SetErrorMode, SEM_FAILCRITICALERRORS ...
Резкое выдергивание флэхи я наблюдал не так давно. Сотрудница подопечной фирмы вставила свою флеху, услышала ласковый девичий голос. Голос равнодушно сообщил, что "вставлен неизвестный накопитель, и он будет отформатирован". Такой прыти можно только позавидовать. Аки пантера, юзерша бросилась к девайсу и выдернула его из недобука. Пострадавших не случилось.
На моей памяти последние случаи выгорания были на мамках с i865. Хотя, железячники сообщали об ослабленной защите у отдельнх вендоров и на i9xx.

а вот такой вопрос, при подключении новой флешки (USB-устройства)
возможно заражение? и как групповые политики, (gpedit.msc) политики безопасности (secpol.msc) действуют на устройство которое еще не установилось? (т.е. в процессе установки?)
да и как часто встречаются поддельные диспетчеры устройств?

При желании и умении создается и хранится список серийных номером доверенных девайсов. Это не "сукурити", поскольку можно обойти перепрошивкой устройства( Оговорка - на случай целевой локальной атаки). Такая софтина будет легко написана за ящик пива студентом третьего курса, а то и школьником (тут с пивом - поосторожнее, посодют. Так что лучше - студентом).
Линукс на печатных машинках? Опен Офис кушает столько памяти... Или я отстал от жизни?
Было врем, когда я (как всякий пионэр) был воодушевлен лунухом. Гуру мне быстро объяснили, что халявы не будет. Полноценный десктопный Линукс - не для нищебродов в смысле аппаратных требований. Слакварь 10 на П-1 с 64 мегабайтами работала не быстрее, чем w2k с актуальным в ту пору антивирем. Если вспомнить об лицензионных проблемах с протоколами шифрования-сжатия (что актуально для этих ваших sky), то становится вообще грустно. В ЛОР, все в ЛОР.
Если о совместимости вопрос вообще не стоит, тогда можно и ДОС с Лексиконом поставить. В наше время под Дос вирей тяжко найти.
Кстати, об относительно безопасном серфинге. Гдето-то пробегала новость о порте lynx под винду.
Если по сабжу... ТС сам что-то выдумывает, изучает. Красавчик. Главное, не останавливаться на достигнутом. Сегодня - скрипт, завтра - машинные коды!

[олеком]

Приветстсвую!

>> Каждые пол секунды проверяем список
сменных дисков, если он изменился, ищем там autorun.inf,
скрытые папки.
> - если ПК заражен флеш-вирусом, то получим следующее - вирусяк не найдя себя на флешке скопирует туда свое тело, скрипт его переместит, вирусяк опять скорпируется - в общем полезная нагрузка компьютеру гарантирована

Что-то я переволновался при первом ответе. Алгоритм говорит, что перемещение файлов происходит только раз и после смены общего кол-ва носителей в системе. Это явно не пол секунды, и о неконтролируемом цикле речи не идёт. Хотя каждый раз будет одну и ту же флэшку теребить, если она не сменялась. Но повторюсь, для этого при запуске пишется, что прога работает на "чистом" компьютере.

На счёт политик безопасности. Я вместо голых путей вбивал шаблоны (*.exe). Похоже зря, оно и так работает, у меня не работает. Но работа эта не то, что надо в колхозе. Если бы была возможность вставлять свои сообщения, я не против. А так тотал говорит, что программа не запускается. Это значит что в общем случае народ начнёт говорить: "А почему мои папки не открываются" и т.п.

Также надо повозиться мышой, чтобы весь алфавит забить туда. А если у меня сменный CD\DVD или даже flash с прогами или саморазархивирующимися архивами?..

Так что элементарный скриптинг с возможностью и лингвистики, и функционала, думаю пока выигрывает.

[Kuzz]

На счёт политик безопасности. Я вместо голых путей вбивал шаблоны (*.exe). Похоже зря, оно и так работает, у меня не работает. Но работа эта не то, что надо в колхозе.

Работа под "юзером" + запрет запуска из юзерских папок - самое "колхозное решение

[ScratchyClaws]

Так что элементарный скриптинг с возможностью и лингвистики, и функционала, думаю пока выигрывает.

думаю выигрывать, в данном случае, будет нормальный антивирь + отключение авторана на флэшках... Желательно ещё запаролить пользовательские настройки и сделать ограниченную учётную запись.
ибо пользователю ничего не мешает окромя табличек с документами принести, скажем, очень_нужную_полезную_программу, скачанную с непонятного сайта в инете

На счёт cd/dvd-r(w) увы их запись сделана через очень далёкие дебри. "Простиеньким", думаю, не обойдётся.

полно простых до невозможности программ, правда с урезанным функционалом, но под ваши цели вполне хватит. vso dvd copy что-ли называлась подобная...

[Erekle]

Возможно более безопасно переносить файлы путем записывания их на диски кучка cd-rw, простенькая программа для записи/стирания и всё тихо и спокойно. Правда автозапуск cd тоже лучше отключить.

Надо было ежедневно переносить большой объем данных, и вошло в прывычку - последний год и меньшую информацию, хоть файл в 5 мб записываю на DVD-RW (DVD быстрее CD). Один, самый дешевый диск за 24 руб. примерно протянул 10 месяцев (а месяцами ежедневно записывал гигабайт, полтора). Плюс SmallCD Writer. Правда, DVD не на всех "колхозных" компьютерах будет.

[олеком]

Работа под 'юзером' + запрет запуска из юзерских папок - самое 'колхозное решение'

Может быть, зависит от кривости исполнения этого дела микромягкими. Однако, сразу же возникает вот что. На компьютерах, которые обучают колхозничать, стоят супер-мега программы для тестирования/экзаменов слушателей: широкий набор рабочих профессий, правила дорожного движения (трактористы и водители самоходных машин) и тд. У них, естественно, имеется супер-мега защита 'авторских прав' (т.е. от копирования), требующая работы от админа. Защиты скорее всего полиморфные, как некоторые вирусы. Поэтому дебажить и дизассембировать это дело бесполезно. Скорее всего и антивирусы ругаться будут, если нету списков исключений, так как совсем не понятно, как работает программа имеющая всего три системных вызова, и кучу самомодифицирующегося кода. В линухе такое не будет работать, там пытаются использовать в ядре флаг защиты от записи/модификации страниц .data и noexec в .stack.

С бухгалтерским совтом не так круто, но всё же. Там вообще чудики втихаря тусят в женском коллективе, не посвящают в свои 'комерческие тайны' совтописания. Но если их оставить без админа, без которого они наверняка никогда ничего не тестировали, будет хана бухгалтерии...
____

[ScratchyClaws]

С бухгалтерским совтом не так круто, но всё же. Там вообще чудики втихаря тусят в женском коллективе, не посвящают в свои 'комерческие тайны' совтописания. Но если их оставить без админа, без которого они наверняка никогда ничего не тестировали, будет хана бухгалтерии...

не знаю какие бухгалтерские программы использует ваш колхоз. В нашем 1С отлично пашет под юзером.
А админы, зная пароль, могут работать с полным доступом.

У них, естественно, имеется супер-мега защита 'авторских прав' (т.е. от копирования), требующая работы от админа. Защиты скорее всего полиморфные, как некоторые вирусы. Поэтому дебажить и дизассембировать это дело бесполезно. Скорее всего и антивирусы ругаться будут, если нету списков исключений

супер-мега проги обычно сразу входят в список известно-безопасного софта (читай - исключений). Для простоты можно добавить в исключения просто папки с этими прогами. Колхозный пользователь не догадается скопировать туда зараженный файл для его запуска

[Torvic99]

А для супер несговорчивых программ есть команда

runas /user:имя /savecred

[PavelA]

/savecred

Есть тут один секрет: один пароль на все программы. На большее МС не хватило.

[antanta]

Скорее всего и антивирусы ругаться будут, если нету списков исключений, так как совсем не понятно, как работает программа имеющая всего три системных вызова, и кучу самомодифицирующегося кода.

Если лень перебирать кучу антивирусов, закиньте файло на virustotal.com
Там услужливо выложат список недовольных, а заодно и импорт с экспортом (по их мнению, конечно, но все же). Я ни на что не намекаю, но есть подозрение, что "хитрый морфинг" - что-то типа upx?

В линухе такое не будет работать, там пытаются использовать в ядре флаг защиты от записи/модификации страниц .data и noexec в .stack.

Поясните для начинающих, пожалуйста. Внезапно стало интересно.

[priv8v]

Защиты скорее всего полиморфные, как некоторые вирусы. Поэтому дебажить и дизассембировать это дело бесполезно.

Улыбнуло)))))

[олеком]

Поясните для начинающих, пожалуйста. Внезапно стало интересно.

Один из: http://ru.wikipedia.org/wiki/PaX
Пример того, как пара гуру делает безопасность, а куча народа только о ней говорит...

[Kuzz]

флаг защиты от записи/модификации страниц .data и noexec в .stack.

Windows тоже такое делает. -- DEP

Рандомизация АП в висте появилась..

Есть тут один секрет: один пароль на все программы. На большее МС не хватило.

Пароль же к учетке. Создать нес-ко учеток с правами - вот и будут разные пароли))

[PavelA]

Пароль же к учетке. Создать нес-ко учеток с правами - вот и будут разные пароли))

Про другие, альтернативные методы я уже писал.
Есть пара простеньких программ для этого.

[mrak74]

"Колхозный антивирус" в моём понятии то что не требуется обновлять и в какой то мере все таки защищает, пусть даже от autorun - ов откуда же еще взяться вирусам в "колхозе" http://narod.ru/disk/19150309000/USBGuard.rar.html и http://narod.ru/disk/19150248000/USBProtect.rar.html. Одна из них создает безвредный autorun на USB носителе, другая ловит autorun является portabl версией, для полноценной установки скопировать в какую нибудь дирректорию, запустить, создать ярлык программы и забросить его в автозагрузку.

[antanta]

Один из: http://ru.wikipedia.org/wiki/PaX
Пример того, как пара гуру делает безопасность, а куча народа только о ней говорит...

Денис Колисниченоко, залогиньтесь.

[TJDimas]

Уже полгода пользую Panda USB Vaccine.

Принцип работы - создание файла autorun.inf с атрибутом 0x40 (на FAT).
(см. http://habrahabr.ru/blogs/infosecurity/54187)
Пока доволен. Ни одна из местных "зверушек" с ним не справилась

Зато многие "колхозные" антивирусы при виде такого
необычного файла просто "становятся на уши"

Выключатели защиты записи нашлись на PQI Cool Drive U339.
Эти флехи довольно трудно найти, да и сами они невысокого качества и надежности
Так что лучшее их применение - хранение дистрибутивов.

Связка SD-карта + картридер - хорошее решение,
но при условии, что картридер - реально работает на скорости USB2.0.

[TJDimas]

Забыл добавить: до появления пандовской прививки использовал на флешках папку AUTORUN.INF со всеми атрибутами и трудноубиваемой подпапкой LPT1. Такое сочетание можно только переименовать.

Что мне не понравилось в пандоской прививке, так это то как она "прививает" компьютер - автозапуск на CD/DVD тоже исчезает. По крайне мере, выключая автозапуск с помощью AVZ, оставить его для CD можно

[VV2006]

TJDimas

Такое сочетание можно только переименовать.

Не только - можно и убить.