Хак флешки с Autorun.inf

Ни для кого не секрет, что многие вирусы записывают авторан файл на флешку, для того что-бы запустится сразу как только флешку подключат (примонтирует). Конечно пользователи виндовс могут отключить авторан, но они это делают очень редко. Меня хоть и не касаются эти проблемы, но всё же я использую одну хитрость, что-бы запретить создавать файлы autorun.inf на флешке.
Можно в *nix (любой ос которая позволит это, в виндовс у вас это не получится) создать каталог autorun.inf, а внутри каталога файлы con, com1, lpt1 (достаточно и одного).
Например:

$ mkdir /mnt/FLASH/autorun.inf
$ touch /mnt/FLASH/autorun.inf/con
$ touch /mnt/FLASH/autorun.inf/com1
$ touch /mnt/FLASH/autorun.inf/lpt1

После этих действий, в ОС Windows, удалить каталог autorun.inf будет не возможно.

Запись опубликована в рубрике Безопаснось, Заметки с метками , . Добавьте в закладки постоянную ссылку.

3 комментария: Хак флешки с Autorun.inf

  1. Константин говорит:

    Малость старовата тема. Могу лишь немного дополнить (эту информацию можно включить в статью).

    Создать неудаляемые папки con, com(1-255), ltp, aux можно и на Windows:
    C:\>md «\\?\F:\autorun.inf\con»
    C:\>md «\\?\F:\autorun.inf\com1″
    C:\>md «\\?\F:\autorun.inf\ltp»
    Это UNC-путь. Windows их обрабатывает иным способом, поэтому здесь нет таких ограничений.

    …Можно даже создать папку с пробелом на конце:
    C:\>md «\\?\F:\dir \» — (с такой точно ничего не сделаешь)
    и папки с именами «.» и «..» :
    C:\>md «\\?\F:\..» — (такие папки вообще не видны в системе — но в них можно перемещать и копировать файлы и папки. Я их называю Стэлс)

    Теперь вернемся к защите. Этот метод мало пригоден. Да, папку autorun.inf обычными способами удалить нельзя, НО!
    Ее можно переименовать и
    C:\>rd «\\?\F:\autorun.inf\con» — удалить.

    Более стойкий вариант:
    Отформатировать флэшку в NTFS (но тогда перед вытаскиванием нужно будет кликать «безопасное извлечение»);
    создать папку с известным именем;
    и в свойствах-безопасность запретить всем удалять папку (даже пользователю System).

    Как дополнение можно запретить запись в корень флэшки, но тогда заранее создай папку, куда можно будет записывать.

    Вообще политика безопасности мощная вещь. Я например у себя на флэшке запретил запуск исполняемых файлов. Т.е. можно делать что угодно, но вирус ты теперь не запустишь (даже если захочешь).

    ЗЫ: По умолчанию вкладка «Безопасность» отключена. Чтобы ее включить в меню проводника выберите Сервис->Свойства папки (или что-то похожее)->Вид. В списке снимите галочку с пункта «Использовать простой общий доступ к файлам» и жмите ОК.

    • bacher09 говорит:

      Так груповую политику и права доступа тоже возможно поменять и удалить потом :) . И к тому-же форматирование флешки под NTFS это глупость, так как NTFS это журналированная файловая система и быстро угробит флешку, по этому МС разработала exFat. Плюс вами описанная проблема с кешированнием файловых операций. По этой причине стандартыми методами не так просто отфарматировать флешку в NTFS (ну не совсем).
      И груповые политики на чужых компьютерах не поменяешь. Основная идея была в том что-бы флешка не собирала вирусы, а не та что-бы они не запускались. А как показала практика этот метод самы действующий и простой, так как программы (вирусы) не могут поставить себя на автозагрузку.

  2. Михаил говорит:

    Ребят, подскажите пожалуйста как удалить эту папку ? В общем делаю.
    rmdir /s /q \\?\C:\autorun.inf\con
    мне говорит «отказано в доступе»
    делаю rmdir /s /q \\?\C:\autorun.inf
    говорит «папка не пуста»…
    как чёрт возьми удалить этот фолдер ?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>