|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
20.01.2010, 16:28 | #1 |
Trust no one.
Старожил
Регистрация: 07.04.2009
Сообщений: 6,526
|
Классический флешечник. Способ защиты?
Сегодня был в универе и по дороге слушал филм в mp3. Пришел, у одногруппника был с собой ноут. Не смотря на мои предостережения плеер был немедленно втыкнут в разъем USB. Дело было под вистой. Сразу же на мой мп3шник накинулись полчища голодных вирусов. Открыв диспетчер задач (Я так и не понял, как Лёня его врубил) и завершив оооочень подозрительный 234642...чететам.ехе осмотрел развалины Трои - Autorun.inf, какой-то ехе + все папки продублировались и копии сделались файлами с разрешением ехе. "Прелесть" только у меня и вырвалось. Поставив товарища на изготовку с выделенными "лишними" файлами и положив его палец на "DELETE" по команде он удалил файлы, а я выдернул техническое чудо.
Включаю - "не найдено звуковых файлов" Я в шоке, там вся моя коллекция! Врубаю записи с диктофона, сохраняю, врубаю файл менеджер (на мп3 естесственно) видит только две папки (системные FMIN.DIR и MICIN.DIR) Другие папки с музыкой мы игнорируем. Удалил запись, пришел домой. На всякий пожарный ликвидировал WINE. Вставляю - все папки на месте. Включаю мп3 - он их не видит. Удалил папки с музыкой, создал их заного, перекинул туда музыки, все увидел и как обычно начал воспроизводить. Такая вот история. А теперь вопросы: - Во-первых: в винде есть такая функа - SHIFT+вставить устройство - блокирует autorun.inf. Есть ли такая функция в линуксе? (кстати когда я его открыл autorun`а там не обнаружил - не успел перезаписаться после слаженной работы DELETE и моих пальцев. Так что этот способ помогает локально очиститься - NotaBene!) - Во-вторых: Правильно ли я поступил, ликвидировав WINE перед вставкой? Если бы там все-таки был autorun, привело бы это к чему-нибудь? - В-третьих: Как получается, что флешка перестала видеть папки, если они были на месте? (тип фс во влешке -msdos) - В-четвертых: Можно ли как-то предотвратить подобные случаи? (кроме отрубания рук "друзьям"). P.S. Флешка здорова, чего и Вам желаю!
SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА.
МОЙ БЛОГ GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ |
20.01.2010, 16:34 | #2 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
I'm learning to live...
|
|
20.01.2010, 16:38 | #3 | ||||
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Цитата:
Цитата:
Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
||||
20.01.2010, 16:45 | #4 | |||
Trust no one.
Старожил
Регистрация: 07.04.2009
Сообщений: 6,526
|
Цитата:
Цитата:
Цитата:
P.S. Еще подумаю над своим механизмом "Абсолютно защищенной папки", может удастьсь поставить хук на сообщения типа обращения к фл... Проигрывателю. Хотя и на флешке по идее должно сработать. Тогда механизм такой - Autorun.inf => Defence.exe. P.S. И как наконец запретить линуксу создавать .Trash-1000 на мп3? Руки уже устали удалять "корзину".
SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА.
МОЙ БЛОГ GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ |
|||
20.01.2010, 16:48 | #5 | ||
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
||
20.01.2010, 16:57 | #6 | |
Trust no one.
Старожил
Регистрация: 07.04.2009
Сообщений: 6,526
|
Цитата:
Код:
SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА.
МОЙ БЛОГ GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ |
|
20.01.2010, 17:03 | #7 |
Участник клубаДжуниор
Регистрация: 23.08.2008
Сообщений: 1,616
|
Хех.
Сегодня в школе всунул флешку в ноут и увидел что все мои папки превратились в exe файлы размером 1.6 mb. Всунув это дело в свой ноут, мой антивирус сразу засветился разноцветными сообщениями. Всё почистил и уже думал что информация потеряна, но установив параметр "Показывать скрытые папки" я увидел свои папки в целости и сохраности.
pushl $0x18E3DF6B
call ICQ |
20.01.2010, 17:33 | #8 |
я получил эту роль
Старожил
Регистрация: 25.05.2007
Сообщений: 3,694
|
В принципе если очень постараться, то можно это обойти, но 99% троянов не смогут записать свой autorun, т.к. DeleteFile вернёт ошибку "Параметр задан неверно", а RemoveDirectory - "Папка не пуста".
пыщь
Последний раз редактировалось JTG; 20.01.2010 в 17:41. |
20.01.2010, 17:47 | #9 |
Trust no one.
Старожил
Регистрация: 07.04.2009
Сообщений: 6,526
|
Спасибо....................
SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА.
МОЙ БЛОГ GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ |
20.01.2010, 17:48 | #10 | ||
Старожил
Регистрация: 09.01.2008
Сообщений: 26,229
|
Цитата:
2) даже если и так, ну и что? тем хуже для автора вируса! Вы попробуйте создать файл с тем же именем, какое имеет папка (тем более НЕ ПУСТАЯ!! Вас ждет СюрПриз - в файловой системе FAT / NTFS в одном каталоге НЕ МОЖЕТ БЫТЬ ДВУХ объектов с одним и тем же именем!! так что, думаю, что этот способ вполне действенный! |
||
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Система защиты | scherbakovss | Безопасность, Шифрование | 1 | 28.12.2009 19:16 |
Обход защиты | Niklan | Софт | 0 | 11.11.2009 22:35 |
навигационный способ | azl-8 | БД в Delphi | 1 | 23.03.2009 18:06 |
Определить способ запуска | Altera | Общие вопросы Delphi | 6 | 08.11.2008 20:26 |