spinout
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kiosk_007
Цитата:| К тому же когда слетит ваша система советую... |
Повторяю - делать к-либо выводы без отсутствия элементарных познаний в конкретной области - крайне плохой признак(ака ламерство).
Незнание преодолевается познанием, ламерство же - ничем не лечится, поскольку является нравственным императивом личности-носителя.
Вы "живёте" на территории мифа и всяко способствуете его распространению... Ничтоже сумняшеся...
Руководство по защите компьютера от вредоносного ПО, распространяемого при помощи переносных носителей информации(USB Flash, USB(FireWare, E-Sata аnd e.t.c.)HDD аnd e.t.c.)
Моё видение для непрофессионалов(один из множества вариантов)
1. Отключаем Все возможности автозапуска OS Win(лучшие инструменты - на предыдущей странице - reg от gjf и AutoRun Settings). Или хотя бы блокируем обработку OS Windows скриптов автозапуска. Или идём в п.5
2. Отключаем восстановление системы на всех дисках(поверьте - оно ненужно и даже вредно)
3. Отключаем "опасные" службы Windows. Не знаете какие - AVZ вам в помощь(лечение отключить, диски не помечать, для Win7 отключить детектирование KeyLogger'ов. В связи с текущей ситуацией Планировщик задач, к сожалению, не отключаем)
4.Приучаем себя пользоваться файловым коммандером(Far2(BSD), Total-подобные и т.д.), а не Проводником ака Explorer. Всяко пригодится...
При открытии диска в Проводнике OS ищет в корне этого диска скрипт автозапуска и выполняет его(если это не заблокировано при помощи вышеуказанных инструментов)
Файловым коммандером Вы можете изничтожить непосредственно на носителе как скрипт автозапуска, так и саму вредоносную программу(для нежелающих разбираться - грохайте на флешке(FAT16, FAT32) всё скрытое/системное, если вы этого там не создавали, для NTFS возможно, придется разбираться с валидностью системной "System Volume Information"(Я, лично, против использования журналируемой файловой системы на сменных носителях)). Но тут вам будет мешаться ваш любимый антивирус.
Что именно и откуда будет запускаться, можно в 95% случаев посмотреть в "autorun.inf"(коммандером, по F3)
Если отключить резидентный сканер вашего антивируса, то все части вредоносного ПО можно сохранить для дальнейшей препарации и исследования у себя на HDD в укромном месте
Надеюсь, принцип ясен?
5."Высший пилотаж" если вы проигнорировали отключение автозапуска - Используем универсальный инструмент USBDLM(USB Drive Letter Manager) - он позволит Вам не только разрулить Letter'ы, но и много чего ещё
В данном случае - заставим сменные носители, на которых обнаружен файл "autorun.inf" монтироваться не в качестве диска, а в папку, например, D:\USB_inf - т.к. автозапуск в папках НЕ РАБОТАЕТ.(!!!Файловая система на локальном HDD д.б. NTFS)
Далее поступаем, как в п.4
кусок файла конфигурации USBDLM (для примера, под себя правим Letter'ы и прочее )
USBDLM.INI:
Код:
...
[DriveLetters1]
BusType1=USB
DriveType1=removable
FileExists=%Drive%\autorun.inf
Letter1=D:\USB_inf
[DriveLetters2]
BusType1=USB
DriveType1=REMOVABLE
Letters=U-X
[DriveLetters3]
BusType1=ATAPI
DriveType=CDROM
Letter1=Y
...
|
cut tyt--------------------------------------------------------------------
небольшой перевод с юсбидлминишного на русский:
при подключении сменного накопителя по шине USB в случае наличия на нём файла "autorun.inf" монтируем его на том NTFS "D:\USB_inf", все остальные USB-накопители(сменные) монтируем последовательно на буквы от "U" до "X" включительно. Оптическому накопителю дисков(CD/DVD) с интерфейсом ATAPI присваиваем букву "Y"
cut tyt--------------------------------------------------------------------
При наличии подключаемых накопителей на других шинах(BusType) и других типов(DriveType) пишем соответствующие секции... Или можно одну общую секцию(мне, например, данный вариант не нравится).
Возможно использование wildcards.
А вообще - RTFM USBDLM...
Вот как-то так, примерно.
|
Всего записей: 422 | Зарегистр. 13-11-2004 | Отправлено: 08:31 12-03-2010 | Исправлено: spinout, 14:37 12-03-2010 |
|
!!!