|
Защита флешек - видеоуроки
| |
| kruksik | Дата: Среда, 23.02.2011, 21:05 | Сообщение # 1 |
Admin
Группа: Администраторы
Сообщений: 16064
Статус:  |
Только для пользователей sorus.ucoz.ru Всем пользоателям нашего сайта хочу показать два маленьких видеоурока по защите файлов и папок на флешке. Первый видеоурок уже некоторые видели. Я его выкладывал на ветках вопрос-ответ и некоторые уже с ним успели познакомиться. В нём рассматривался способ создания пустого и защищённого файла autorun.inf, который вирусы не могут заменить своим вредоносным. Во втором уроке показываю, как можно использовать этот же файл для хранения своих файлов как в сейфе и недоступных для просмотра другими. Можно также защитить любую папку от любопытных глаз. Только не используйте кириллицу в названии папок, чтоб легче было её находить на секторах. Смотрите и набирайтесь опыта. Знания ещё никому не помешали. Эти два способа я постиг в результате своих экспериментов (или издевательств) над файловой системой FAT32, которая и используется, в основном, на флешносителях. В виде бонуса положил ещё утилитку, которая относится к первому уроку. Думаю, всем будет полезно ознакомиться с этим материалом. И разочарований не будет. Скачивайте и смотрите. На других сайтах этих уроков нет. Я их только для ВАС выкладываю. ВЫ - ПЕРВЫЕ!!! И буду рад, если кто-то продвинется, хоть на шаг, в своём прогрессе благодаря им. Размер: 5,68 МБ
Скачать:
rghost.ru dump.ru rapid4get.com Материал любезно подготовил и оформил FormatC
|
| |
| |
| modest | Дата: Среда, 23.02.2011, 21:14 | Сообщение # 2 |
Ученик
Группа: Старожилы
Сообщений: 15
Статус: |
Спасибо!
|
| |
| |
| AKE17 | Дата: Среда, 23.02.2011, 21:29 | Сообщение # 3 |
Магистр
Группа: Старожилы
Сообщений: 480
Статус: |
Спасибо.
|
| |
| |
| rusLAN6 | Дата: Среда, 23.02.2011, 21:49 | Сообщение # 4 |
Ученик
Группа: Старожилы
Сообщений: 6
Статус: |
Спасибо!Флешкой пользуюсь каждый день, и часто на нее ловлю разную нечисть.
|
| |
| |
| nafelim | Дата: Среда, 23.02.2011, 22:55 | Сообщение # 5 |
Аспирант
Группа: Старожилы
Сообщений: 534
Статус: |
Благодарю Виктор!
Сначала брал первый материал сделанный тобой.теперь возьму и этот  .
Всё верно,нужно учиться и благо -есть у кого набираться знаний-всегда есть простор для совершенства
|
| |
| |
| aldav | Дата: Среда, 23.02.2011, 22:59 | Сообщение # 6 |
Доцент
Группа: Старожилы
Сообщений: 1170
Статус: |
Спасибо! 
|
| |
| |
| FormatC | Дата: Среда, 23.02.2011, 23:01 | Сообщение # 7 |
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
За неполных два часа результат показывает, что жажда знаний у ВАС имеется.
Молодцы! 
|
| |
| |
| YALTA | Дата: Среда, 23.02.2011, 23:17 | Сообщение # 8 |
Аспирант
Группа: Старожилы
Сообщений: 641
Статус: |
Так я так понимаю что бесполезно тогда использовать Зоркий Глаз и другие подобные защиты флешек от авторана?
|
| |
| |
| FormatC | Дата: Среда, 23.02.2011, 23:23 | Сообщение # 9 |
|
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
Quote (YALTA) Так я так понимаю что бесполезно тогда использовать Зоркий Глаз и другие подобные защиты флешек от авторана? Так он по названию файла будет на защищённый кидаться, а ничего не сделает и будет ругаться. Его лучше отключить теперь.
С защищённой флешкой можно в любой заражённый комп её вставлять и не заразишь после этого другой.
В первую очередь используй свой разум и лишь потом то, чем хочешь воспользоваться...
|
| |
| |
| nafelim | Дата: Среда, 23.02.2011, 23:33 | Сообщение # 10 |
|
Аспирант
Группа: Старожилы
Сообщений: 534
Статус: |
Quote (FormatC) Так он по названию файла будет на защищённый кидаться, а ничего не сделает и будет ругаться. Его лучше отключить теперь.
Ну вот,ещё одна пользительная инфа,вообще я так и думал сделать,но теперь точно,просто отключу
|
| |
| |
| reward | Дата: Среда, 23.02.2011, 23:55 | Сообщение # 11 |
|
Бакалавр
Группа: Старожилы
Сообщений: 202
Статус: |
Спасибо!
|
| |
| |
| FormatC | Дата: Среда, 23.02.2011, 23:57 | Сообщение # 12 |
|
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
Quote (nafelim) но теперь точно,просто отключу Только в реестре отключи атозапуск на всех дисках, а то от чужих флешек в твой может зараза прыгнуть.
Скопируй красное в блокнот и сохрани с расширением .reg и запусти. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
В первую очередь используй свой разум и лишь потом то, чем хочешь воспользоваться...
|
| |
| |
| nafelim | Дата: Четверг, 24.02.2011, 00:34 | Сообщение # 13 |
|
Аспирант
Группа: Старожилы
Сообщений: 534
Статус: |
Quote (FormatC) Скопируй красное в блокнот и сохрани с расширением .reg и запусти
Понял,так и сделаю,благодарю
|
| |
| |
| YALTA | Дата: Четверг, 24.02.2011, 00:43 | Сообщение # 14 |
|
Аспирант
Группа: Старожилы
Сообщений: 641
Статус: |
Quote (FormatC) Только в реестре отключи атозапуск на всех дисках,
Значит первое-отключаем...2-запускаем скопированый рег файл...и больше ничего на будущее?а если всё ж понадобится для чего то авторан-включить или добавить в исключения вручную?
|
| |
| |
| Vagrant-Gelo | Дата: Четверг, 24.02.2011, 00:45 | Сообщение # 15 |
Аспирант
Группа: Старожилы
Сообщений: 517
Статус: |
Спасибо Вам, Виктор и Натали!!!
Ищи друзей, а враги всегда найдутся!
|
| |
| |
| wadimus | Дата: Четверг, 24.02.2011, 01:02 | Сообщение # 16 |
Бакалавр
Группа: Проверенные
Сообщений: 231
Статус: |
- есть автозапуск и есть автовоспроизведение:
Code [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff - Panda usb vaccine делает свой autorun.inf с аттрибутом 40, (некоторые получают 42), у форматаЦ любимое число 45
|
| |
| |
| yurik | Дата: Четверг, 24.02.2011, 06:17 | Сообщение # 17 |
Профессор
Группа: Старожилы
Сообщений: 1594
Статус: |
Quote (FormatC) Только в реестре отключи атозапуск на всех дисках, а то от чужих флешек в твой может зараза прыгнуть.
Скопируй красное в блокнот и сохрани с расширением .reg и запусти
а при отсутствии склероза, можно вроде и shift держать при включении флешки....?
"чтобы оставаться самим собой,приходится все время менять окраску"
|
| |
| |
| Aс75 | Дата: Четверг, 24.02.2011, 10:14 | Сообщение # 18 |
Студент
Группа: Старожилы
Сообщений: 188
Статус: |
Спасибо за полезные вещи.
|
| |
| |
| lychik | Дата: Четверг, 24.02.2011, 10:25 | Сообщение # 19 |
Студент
Группа: Старожилы
Сообщений: 138
Статус: |
Спасибо!
|
| |
| |
| tipsua | Дата: Четверг, 24.02.2011, 12:44 | Сообщение # 20 |
Абитуриент
Группа: Старожилы
Сообщений: 50
Статус: |
По опыту, рекомендую всё же установить Panda USB Vaccine и пользоваться ей, а то некоторые "продвинутые" юзеры умудрялись убить флешку т.к. WinHex и ему подобные редакторы относятся к категории низкоуровневых и рассчитаны для профи!!! Изменения, которые эти редакторы способны внести в структуру диска НЕ ВСЕГДА ОБРАТИМЫ!!! 
К тому же Panda USB Vaccine однажды установленная в систему, может быть без проблем перенесена на другую систему, обычным копированием содержимого папки C:\Program Files\Panda USB Vaccine\ и даже на флешку. 
Всем Удачи!
А женскую половину С неумолимо наступающей ВЕСНОЙ!
|
| |
| |
| Ganozri | Дата: Четверг, 24.02.2011, 14:29 | Сообщение # 21 |
Бакалавр
Группа: Старожилы
Сообщений: 268
Статус: |
Спасибо......попробую............. 
Ganozri
Не воспринимай всё как само собой разумеюшееся.....
|
| |
| |
| FormatC | Дата: Четверг, 24.02.2011, 22:35 | Сообщение # 22 |
|
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
Quote (tipsua) По опыту, рекомендую всё же установить Panda USB Vaccine
tipsua, Вы, похоже, ещё в архив не заглядывали. Этот бонус там и есть. Работает без установки.
Quote (YALTA) а если всё ж понадобится для чего то авторан-включить
Если надо запустить что-то через autorun.inf, почитайте, что в нём написано и вручную запустите.
Если Вас это не устраивает - не отключайте. Никто же не принуждает. Можно просто отменить эапись ручками
или вот этим регфайлом:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=- Удачи!!! Добавлено (24.02.2011, 22:35)
---------------------------------------------
Quote (tipsua) Изменения, которые эти редакторы способны внести в структуру диска НЕ ВСЕГДА ОБРАТИМЫ!!! Изменения вносят пользователи, а не редакторы. Не вносите так, что не сможете вернуть назад. Бэкап редактируемых
секторов никто не отменял, если уж так страшно.
В первую очередь используй свой разум и лишь потом то, чем хочешь воспользоваться...
|
| |
| |
| tipsua | Дата: Четверг, 24.02.2011, 22:36 | Сообщение # 23 |
|
Абитуриент
Группа: Старожилы
Сообщений: 50
Статус: |
Quote (FormatC) Вы, похоже, ещё в архив не заглядывали. Именно потому и написал, что заглянул в архив. Иначе дал бы ссылку на данную прогу. Акцент в моём посте не на проге, а на аккуратном использовании Hex - редактором! Эти редакторы не для, даже продвинутого юзера!
Удачи! P.S.
А тема, поднятая в посте, действительно очень актуальная и нужная и заслуживает внимания!
Я ничего нового для себя не нашёл, но всё равно БОЛЬШОЕ СПАСИБО!
|
| |
| |
| FormatC | Дата: Четверг, 24.02.2011, 23:18 | Сообщение # 24 |
|
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
Quote (tipsua) Акцент в моём посте не на проге, а на аккуратном использовании Hex - редактором!
Спасибо за участие!
Quote (tipsua) Эти редакторы не для, даже продвинутого юзера!
Но начинать то как-то надо. На флешках и тренироваться в самый раз, не на рабочих хардах же.
Её отформатировал и начинай сначала. Спасибо! Удачи Вам!!!
В первую очередь используй свой разум и лишь потом то, чем хочешь воспользоваться...
|
| |
| |
| wadimus | Дата: Суббота, 26.02.2011, 23:27 | Сообщение # 25 |
|
Бакалавр
Группа: Проверенные
Сообщений: 231
Статус: |
наконец-то поглядел видео-уроки по защите флешек.
выводы спонтанно:
- куета 
дать юзеру хеск-редактор и натравить его на флешку - задумка для обезьяны и детонатора. а вот еще как можно аттрибут поменять. а вот как можно поизвращаться с файлами.
- жду дальнейших похождений аффтора с попытками насилия на фатом
- есть такая программа Hide Folders 2009. по этим урокам на пальцах примитивно показаны методы защиты этой программы.
- а может, у аффтора далеко идущие планы по убитию флешек юзерами. скоро ждем волну просьб - я убил флешку и потерял нужную информацию, мне бы её того, обратно получить. и аффтор будет на коне - а вот так. и тут мы ждем новые уроки по хекс-восстановлению убитой флешки. ЗЫ. ах, да, забыл упомянуть - IMHO это! однако.
ЗЗЫ. аффтор - ждем дальнейшие уроки по цифрам 777, 744
|
| |
| |
| YALTA | Дата: Понедельник, 28.02.2011, 15:55 | Сообщение # 26 |
|
Аспирант
Группа: Старожилы
Сообщений: 641
Статус: |
По-моему в этом твикере всё делается легко... как я понимаю функции те же. .. http://rghost.net/4570617/image.png Забыл показать с флешкой http://rghost.net/4570717/image.png Добавлено (28.02.2011, 15:55)
---------------------------------------------
Честно говоря пока я не пользуюсь данной функцией.... полагаюсь всёж на Зоркий Глаз... раз он уже стоит в системе,не удалять же его-пускай работает.... хотя удивительно но несколько раз MSE раньше срабатывал не давая Глазу среагировать.... 
|
| |
| |
| Core-2 | Дата: Понедельник, 28.02.2011, 16:01 | Сообщение # 27 |
Академик
Группа: Проверенные
Сообщений: 1678
Статус: |
FormatC Опять у меня проблемы с Win32/AutoRun.FlyStudio.LT червь , обходит он защиту флешки. Можно чё-нить выдумать предложенным Вами методом? Ищу в сети название его исполняемого файла. Чтоб создать такой же в блокноте и защитить методом by FormatC.
Посоветуйте Виктор.Правильны ли мои телодвижения?
«Если бы Honda делала девушек - они бы так не ломались.»
|
| |
| |
| FormatC | Дата: Вторник, 01.03.2011, 01:19 | Сообщение # 28 |
|
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
Quote (Core-2) Посоветуйте Виктор.Правильны ли мои телодвижения? Этот троян прячет папки и создаёт файлы EXE с иконками папок и названием бывшей папки.
При открытии таких папок (а на самом деле exe файл) троян запускается и заражает компьютер.
К разряду авторанвирусов он не совсем относится. Автоматом не стартует. Здесь нужен хороший антивирусник.
Почитайте здесь об этом звере.
По крайней мере показ расширений файлов и скрытых системных папок в системе должен быть включен для
визуального обнаружения заражения. Здесь нужны другие методы защиты. Quote (YALTA) Честно говоря пока я не пользуюсь данной функцией.... полагаюсь всёж на Зоркий Глаз
Если не втыкаете свою флешку в чужие компьютеры, то можно и на Зоркий глаз понадеятся.
А если в других компах ваша флешечка гуляет, то вы можете стать распространителем. К примеру воткнули в заражённый
комп у одного товарища, а после этого пошли к другому. И заразили его комп. Такой же вариант возможен?
Лучше уж пользуйтесь, надёжней будет. А фокус с папкой AUTORUN.INF я тоже знаю. Создаётся с этим именем папка и в ней
файлик с одним из зарезервированных системой имён - AUX, LPT, COM1 и т.д. Стандартными средствами такой файл
создать не получится. Только с помощью таких как у вас программ или редактором диска.
Удачи ВАМ!!!
В первую очередь используй свой разум и лишь потом то, чем хочешь воспользоваться...
|
| |
| |
| wadimus | Дата: Вторник, 01.03.2011, 07:29 | Сообщение # 29 |
|
Бакалавр
Группа: Проверенные
Сообщений: 231
Статус: |
Quote (FormatC) Стандартными средствами такой файл создать не получится
bat-файл на флешке
Code rem в корень флешки
cd \
rem пытаемся удалить файл, если он существует
del autorun.inf /F /Q
rem пытаемся удалить и каталог
rmdir autorun.inf /S /Q
rem создаем каталог
mkdir autorun.inf
rem заходим в него
cd autorun.inf
rem создаем нужные папки
mkdir .\con\ .\nul\ .\prn\ .\AUX\ .\COM1\ .\COM2\ .\COM3\ .\COM4\ .\COM5\ .\COM6\ .\COM7\ .\COM8\ .\COM9\ .\LPT1\ .\LPT2\ .\LPT3\ .\LPT4\ .\LPT5\ .\LPT6\ .\LPT7\ .\LPT8\ .\LPT9\
rem выходим на один каталог вверх
cd ..
rem меняем аттрибуты на HIDDEN, SYSTEM и READ-ONLY
attrib +H +S +R autorun.inf |
| |
| |
| FormatC | Дата: Среда, 02.03.2011, 01:31 | Сообщение # 30 |
|
Академик
Группа: Продвинутые
Сообщений: 2103
Статус: |
Quote (wadimus) bat-файл на флешке
Практичней было бы написать так %~d0
cd "%~dp0"
attrib -r -s -h AUTORUN.INF
del AUTORUN.INF
mkdir AUTORUN.INF\NUL
attrib +r +s +h AUTORUN.INF
Только каталог NUL не удасться создать ни вашим ни моим скриптом. Попробуйте, убедитесь сами.
Как только каталог NUL заменяем на допустимое имя всё сразу работает. WinXP_SP3
Удачи!!!!
В первую очередь используй свой разум и лишь потом то, чем хочешь воспользоваться...
|
| |
| |
| wadimus | Дата: Среда, 02.03.2011, 07:28 | Сообщение # 31 |
|
Бакалавр
Группа: Проверенные
Сообщений: 231
Статус: |
Quote (FormatC) %~d0
cd "%~dp0"
attrib -r -s -h AUTORUN.INF
del AUTORUN.INF
точно, ведь папка может быть уже хидден и скрытая и для чтения!  и ваш вариант получше. можно так
Code del AUTORUN.INF /f /s /q а насчет
бессс проблемм!
7х86 открыл FAR, в нем проверил всё ЗЫ. еще один способ: подмена внутреннего содержимого файла autorun.inf значением, содержащимся в реестре. Причем это значение специально задаётся пустым либо некорректным.
Code [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
файл autorun.inf будет воспринимаеться системой как пустой
|
| |
| |
|
