ZverDVD - Лучшая сборка во всем Рунете!
 http://forum.zverdvd.org/viewtopic.php?p=1179Правила конференции 
 ТемыТемы   FAQFAQ   ПоискПоиск   ГруппыГруппы   РегистрацияРегистрация 

Защита флешки от вирусов
На страницу
1, 2, 3, 4  След.
Если ваш антивирус нашел что то подозрительное в сборке!!!
 
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
 
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности
Предыдущая тема :: Следующая тема  
Автор Сообщение
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 9 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение11.06.2011 22:35  Защита флешки от вирусов Ответить с цитатой

Тема: Защита от вирусов с помощью политики безопасности.
Условие: файловая система NTFS
Применение:
- Флешки, внешние накопители (Больной вопрос для многих пользователей)
- Папки с открытым общим доступом по сети
- Папки на компьютере с несколькими учётными записями пользователей.
Принцип действия: Ограничение прав доступа на запись с помощью политики безопасности.

Данный пример показан на основе проекта Уважаемого Командира команды модератора mannaleks по созданию
 Скрытый текст  .

Начинаем:

Отключаем в свойствах папки простой общий доступ к файлам и папкам:
 Скрытый текст 

1. Правым кликом мыши на флешке выбираем "Свойства", затем переходим во вкладку "Безопасность"
 Скрытый текст 

2. Удаляем всех, кроме пользователя Admin и группы "Все"
 Скрытый текст 

3. Разрешаем администратору полный доступ.
 Скрытый текст 

4. Разрешаем группе "Все" доступ на чтение и выполнение.
 Скрытый текст 

5. Нажимаем кнопку "Дополнительно"
 Скрытый текст 

6. В открывшемся диалоговом окне переходим в вкладку "Аудит"
 Скрытый текст 

7. Нажимаем кнопку "Добавить"
 Скрытый текст 

8. Нажимаем кнопку дополнительно
 Скрытый текст 

9. Нажимаем кнопку "Поиск"
 Скрытый текст 

10 Выбираем пользователей или группы и нажимаем ОК.
 Скрытый текст 

11. Нажимаем ещё раз ОК
 Скрытый текст 

12. Настраиваем необходимые разрешения, применяем изменения, нажимаем ОК.
 Скрытый текст 

13. Должно получиться вот так:
 Скрытый текст 
14. Ставим галочку как на изображении:
 Скрытый текст 
15. После нажатия кнопки "Применить", появится окно применения разрешений, затем появится сообщение как на изображении, нажимаем ОК и ещё раз ОК.
 Скрытый текст 

На этом настройка разрешений для корневого каталога завершена.

Результатом правильной настройки будет запрет на запись в корневой каталог (Именно это обычно делают Autorun-вирусы) с других компьютеров и подкаталоги.

 Скрытый текст 

Часто задаваемые вопросы:
 У меня на флешке файловая система FAT32. Как создать на флешке файловую систему NTFS?

1. Правый клик мышью, выбираем диспетчер устройств.
2. в открывшемся окне в дисковых устройствах находим флешку.
3. правый клик мыши, выбираем свойства.
4. переходим в вкладку "Политика".
5. ставим точку как на изображении, нажимаем ОК, выходим из диспетчера устройств.
 Скрытый текст 
6. Извлекаем флешку и снова подключаем.
7. Правый клик мыши на флешке, форматировать, выбираем файловую систему NTFS как на изображении:
В процессе форматирования все данные будут уничтожены, поэтому перед форматированием важную информацию с флешки необходимо перенести!
 Скрытый текст 
8. Нажимаем кнопку "Начать", далее кнопку "Да", далее в появившемся сообщении ОК.
9. Готово.
 Как работает данный способ защиты?

Данный способ основан на ограничении прав доступа на запись с "чужих" учётных записей пользователей Windows. В данном примере доступ на запись разрешен только одному пользователю с правами администратора.
 Возможно ли изменить данный способ защиты?

Да. Для более подробного изучения или усовершенствования данного примера в интернете есть ресурсы по настройке локальной и групповой политики безопасности и аудита пользователей.
 Как записать данные на флешку с других ПК?

При необходимости доступа на запись создаём папку и разрешаем группе все полный доступ для данной папки. Применяем настройки, нажимаем ОК.
 Скрытый текст 
ВАЖНО! Учитывая то, что доступ на запись в папку открыт вирус может записаться в эту папку.
 Возможно ли изменить защиту таким образом, чтобы полный доступ был с двух и более ПК?

Да. Для этого необходимо временно разрешить полный доступ группе "Все", подключить флешку ко второму ПК, затем добавить учетную запись администратора и в настройках аудита добавить соответствующие права доступа.
После завершения настройки подключить флешку к главному ПК и вернуть разрешения для группы "Все" к исходному состоянию (Доступ только на чтение и выполнение).
После выполнения всех операций должно получиться как на изображении:
(Полный доступ разрешен с 3-х ПК и ноутбука. Не забываем что у группы "Все" разрешения только на чтение и выполнение)
 Скрытый текст 
ВАЖНО! Если с подключаемой системы на флешку пропишется вирус, то есть вероятность получить источник заражения.
 Как я могу проверить правильность настройки прав доступа?

Подключить флешку к другому ПК или на время настройки прав доступа на основном ПК создать дополнительную учётную запись пользователя. (Пуск, панель управления, учётные записи пользователей)
 Как наследуются разрешения для папок, могу ли я их изменить?

Разрешения наследуются от разрешений для корневого каталога. Да, разрешения изменяются в настройках безопасности для любой папки или файла.

 Применение CACLS (С помощью командной строки):

Удаляю всех пользователей:
CACLS d:\ /t /e /r СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ - удаляем создателя
CACLS d:\ /t /e /r system - удаляем учётную запись системы
CACLS d:\ /t /e /r Администраторы - удаляем группу "Администраторы"
CACLS d:\ /t /e /r Admin - удаляем администратора
CACLS d:\ /t /e /r Все - удаляем группу "Все"
Добавляю необходимых:
CACLS d:\ /t /e /g Admin: f - добавляем Админа с правами на полный доступ
CACLS d:\ /t /e /g Все: r - добавляем группу "Все" с правами на чтение и выполнение


Всем, кого заинтересовала данная тема!

Просьба отписываться корректно, подробно описывая возникающие трудности и, если справились с трудностями самостоятельно, то и пути преодоления трудностей.

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (24.06.2011 21:33), всего редактировалось 24 раз(а)
Поблагодарили(16): StrDt, klaus65, Teemushatka, mannaleks, ЧеКа, S0ier, glax24, voron367, gryaznulya, SANECK, Jaguar19904, sergey_tsn, -=ZLO=-, Dzmitry, Vova1973, udalex
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
mannaleks
Командир команды
Командир команды



Стаж: 10 лет 8 месяцев и 3 дня
Сообщения: 2285
Благодарности: 1634/376
Откуда: Куда: Зачем:


Сообщение12.06.2011 22:17   Ответить с цитатой

Выскажу свое мнение (чисто теоретическое, т.к. проверить не на чем)

1. Предоставление полного доступа Admin-у на мой взгляд очень скользкий вопрос. На многих сборках (за примером далеко ходить не надо) при установке создается один единственный пользователь Admin с правами Администратора. Соответственно многие юзеры сидят под Admin-ом и со спокойной душой и чистой совестью запускают вирусы. Таким образом вирусу не составит большой сложности пролезть на флешку...

2. Чтобы данный способ себя оправдал лучше всего создать Администратора с каким-нибудь хитрым именем и дать полный доступ только ему.

3. Для распространения с флешек у вирусов есть только один способ - это через Autorun.inf. При загрузке Alkid SE эти вирусы не загружаются и загрузке не мешают. Значит загрузившись в Alkid можно перед установкой Windows (если флешка для этого используется) удалить с флешки файл Autorun.inf и в дальнейшем не бояться заражения свежеустановленной системы.

Еще раз повторю - это только теория...

_________________
Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Поблагодарили(1): Дон
Вернуться к началу
mannaleks сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
glax24
LuckyHunter
LuckyHunter


Возраст: 37
Стаж: 10 лет 6 месяцев и 28 дней
Сообщения: 355
Благодарности: 500/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение12.06.2011 22:48   Ответить с цитатой

mannaleks писал(а):

3. Для распространения с флешек у вирусов есть только один способ - это через Autorun.inf. При загрузке Alkid SE эти вирусы не загружаются и загрузке не мешают. Значит загрузившись в Alkid можно перед установкой Windows (если флешка для этого используется) удалить с флешки файл Autorun.inf и в дальнейшем не бояться заражения свежеустановленной системы.

Еще для защиты от Autorun.inf можно создать папку с таким именем и внутри файл с некорректным именем в FAT32 и NTFS .
Скрипт скопировать в корень флешки и запустить

 Удаление папки Autorun.inf из-под Виндовс

motormerc писал(а):
Скажите, а как можно из-под Виндовс удалить с флешки скрытую папку " autorun.inf.папка " (созданную вашим батником) ?

Мой компьютер->Сервис->Свойства папки->Вид->Убрать галочку скрывать защищенные системные файлы и выбираете Показывать скрытые файлы и папки.

Папка становится видимой в Эксплорере и ее можно удалить стандартными телодвижениями пользователя.

_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 

Последний раз редактировалось: glax24 (15.09.2011 10:15), всего редактировалось 5 раз(а)
Поблагодарили(3): Дон, Fnaq, svit74
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 9 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение13.06.2011 0:07   Ответить с цитатой

mannaleks
glax24

mannaleks писал(а):
1. Предоставление полного доступа Admin-у на мой взгляд очень скользкий вопрос. На многих сборках (за примером далеко ходить не надо) при установке создается один единственный пользователь Admin с правами Администратора


Другой пользователь с правами администратора может получить разрешение на запись в том случае, если для флешки разрешить доступ на запись группе "Администраторы". Согласно п.2 группа "Администраторы" удалена из списка пользователей, соответственно другой пользователь с правами администратора доступ на запись получить не может, так как согласно разрешений ему разрешен доступ только на чтение и выполнение.

mannaleks писал(а):
2. Чтобы данный способ себя оправдал лучше всего создать Администратора с каким-нибудь хитрым именем и дать полный доступ только ему.

Как раз этот пункт выполнен в данном способе. (Беркут/Admin) и есть этот уникальный пользователь.

mannaleks писал(а):
3. Для распространения с флешек у вирусов есть только один способ - это через Autorun.inf


Ещё есть Shell и Bat-файлы, которые как и inf могут нести в себе вредоносный код или строку запуска вредоносного приложения (скрипта), например "Shell "C:\1Cv77\BIN\1CV7.exe"".
Поэтому если флешку подключить к зараженной машине, то разрешение на запись вирус не получит.

glax24 писал(а):
Еще для защиты от Autorun.inf можно создать папку с таким именем и внутри любой файл с правами только на чтение.


Наверно имеется ввиду папку или файл с неправильным именем. К сожалению некоторые вирусы и скрипты данный способ научились обходить.

Для того чтобы получить разрешение на запись на флешку необходимо стать владельцем данной флешки, добавить нового админа в список пользователей и разрешить права на запись в настройках аудита.

Добавлено спустя 46 минут 56 секунд:

На изображении владелец системы на чужом ПК не опознан.
Следовательно с чужой системы запись на флешку не разрешена, за исключением папки, для которой доступ на запись разрешен.

 Скрытый текст 
_________________
Не профи, но для любителя тоже неплохо...
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
Eastoop
Гость









Сообщение13.06.2011 3:55   Ответить с цитатой

Информация к размышлению.
Не далее, как вчера принесли компьютер на лечение.
Ради эксперимента произвел с флешкой все необходимые действия, описанные здесь. На флешке оставил только папку с доктором вебом и папку с тотал коммандером с полными правами.
Втыкаю флешку в зараженный компьютер, пробую запустить с флешки доктора веба. Тот при запуске сразу же выдает, что исполняемый файл инфицирован. Отказываюсь от лечения, загружаюсь с компакт диска, проверяю флешку на вирусы.
Результат: Все исполняемые файлы в обеих папках заражены вирусом win32.Tufei. Корень флешки остался чистым, впрочем этот туфей и не копирует себя в корень флешки.
Выводов пока не делаю.
Поблагодарили(1): Дон
Вернуться к началу
glax24
LuckyHunter
LuckyHunter


Возраст: 37
Стаж: 10 лет 6 месяцев и 28 дней
Сообщения: 355
Благодарности: 500/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение13.06.2011 7:49   Ответить с цитатой

Дон писал(а):
glax24 писал(а):
Еще для защиты от Autorun.inf можно создать папку с таким именем и внутри любой файл с правами только на чтение.


Наверно имеется ввиду папку или файл с неправильным именем. К сожалению некоторые вирусы и скрипты данный способ научились обходить.

Имелось как раз создание папки с именем "Autorun.inf" в корне флешки с атрибутами системная и скрытая и только на чтение. И внутри этой папки файл с атрибутами только на чтение. Данный метод помогает от большинства Autorun вирусов.
Eastoop писал(а):
Результат: Все исполняемые файлы в обеих папках заражены вирусом win32.Tufei. Корень флешки остался чистым, впрочем этот туфей и не копирует себя в корень флешки.

Заражая исполняемые файлы он тем самым и копирует себя на флеш а всю остальную работу по запуску пользователь сделает сам авторан ему и не нужен.

_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 
Поблагодарили(1): Дон
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 9 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение13.06.2011 9:28   Ответить с цитатой

Eastoop

В моём варианте доступ на запись разрешен с той целью, чтобы можно было скопировать вирус для дальнейших экспериментов.

Папке с антивирусными программами и тотал коммандер лучше дать доступ на чтение и выполнение.

Добавлено спустя 10 минут 7 секунд:

Добавлю, что для большей уверенности на 13 шаге можно поставить галочку на "Заменить элементы аудита...", после кнопки "Применить" дождаться применения разрешений.

_________________
Не профи, но для любителя тоже неплохо...
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
StrDt
Админозавр


Возраст: 64
Стаж: 11 год 2 месяца и 3 дня
Сообщения: 1753
Благодарности: 1081/1960
Откуда: Солнечная система.Планета хищников


Сообщение13.06.2011 9:43   Ответить с цитатой

Дон писал(а):
P.S. Содержание ориентировано на новичков,

Дон писал(а):
В моём варианте доступ на запись разрешен с той целью, чтобы можно было скопировать вирус для дальнейших экспериментов.

Я б не советовал новичкам заниматься исследованием вирусов. А кто захочет их исследовать, тот должен знать, как подготовить "лабораторию"
Поблагодарили(1): Дон
Вернуться к началу
StrDt сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 9 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение13.06.2011 9:56   Ответить с цитатой

StrDt

Согласен, получается из метода про папку на запись лучше убрать?
Или дополнительно написать что все операции на зараженной машине проводить с особой осторожностью?

glax24

Файлик скопировал, потренируюсь, о результатах отпишусь.

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (13.06.2011 13:06), всего редактировалось 6 раз(а)
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
StrDt
Админозавр


Возраст: 64
Стаж: 11 год 2 месяца и 3 дня
Сообщения: 1753
Благодарности: 1081/1960
Откуда: Солнечная система.Планета хищников


Сообщение13.06.2011 12:03   Ответить с цитатой

Дон писал(а):
папку на запись лучше убрать?

Да, а для особо заинтересованных в изучении вирусов написать FAQ как что и где нужно включить.
Поблагодарили(2): Дон, MiG-29
Вернуться к началу
StrDt сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
serj32741
Ёжик



Стаж: 8 лет и 30 дней
Сообщения: 2




Сообщение29.06.2011 20:59   Ответить с цитатой

эх люди, не поможет ни назначение "только для чтения+скрытый" и т.п., реально и 100% эффективно вот ссылочкаSmile)  Скрытый текст 
 !  Eastoop @ 30.06.2011 0:40:
U339** красивая упаковка, но внутри полный хлам, скоростные качества на уровне USB1.1, долговечность низкая. Через пару месяцев использования начинаются проблемы с разрушенем ячеек памяти. У меня уже две штуки таких валяются дома и пяток на работе(с просьбой починить от клиентов). Так что даже врагу не пожелаю купить эту флешку.
Вернуться к началу
serj32741 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 9 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение30.06.2011 9:15   Ответить с цитатой

serj32741 писал(а):
ни назначение "только для чтения+скрытый" и т.п.

Вы правы, с атрибутами справиться проще...

В данном варианте защита основана на основе политики безопасности.
Если добавить запрет смены владельца группе "Все", то поможет только форматирование флешки для того чтобы произвести запись данных.

Попробуйте попасть в папку на сервере, политики безопасности которой настроены только для определённых пользователей... Wink
Если вы не Администратор сервера или не пользователь которому разрешен доступ в папку, то доступ в эту папку вы не получите.

А за применение эксплойта или других методов взлома удалённого ПК Администратор запросто в лучшем случае урежет права по самое не балуй, а в худшем примет более серьёзные меры...

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (30.06.2011 10:32), всего редактировалось 1 раз
Поблагодарили(1): MiG-29
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
SANECK
Лис


Возраст: 40
Стаж: 8 лет 4 месяца и 20 дней
Сообщения: 41
Благодарности: 6/52
Откуда: АСТРАХАНЬ


Сообщение14.09.2011 10:23   Ответить с цитатой

А базы антивирусов обновляться будут?
_________________
 Скрытый текст 

 Скрытый текст 
Вернуться к началу
SANECK сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 9 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение14.09.2011 10:51   Ответить с цитатой

SANECK

Только с той учётной записи, с которой разрешена запись на флешку...

_________________
Не профи, но для любителя тоже неплохо...
Поблагодарили(1): SANECK
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
sergey_tsn
Заяц


Возраст: 40
Стаж: 10 лет 2 месяца и 19 дней
Сообщения: 35
Благодарности: 23/9
Откуда: Украина


Сообщение14.09.2011 12:31   Ответить с цитатой

А если на флешке файловая система FAT16/FAT32 и много информации то ее можно не форматировать в файловую систему NTFS, а воспользоваться командой convert x: /FS:NTFS где х-буква тома флешки

Добавлено спустя 4 минуты 31 секунду:

А в случае отсутствия возможности зайти в систему с учетными данными для записи флешки, можно зайти под любым админом системы и заменить владельца (на рисунке 6 вкладка "Владелец") и можем добавить себя в качестве пользователя с полными правами на файлы в этой флешки. Так ксати можно настроить полный доступ к этой флешке с разных компьютеров

_________________
Жизнь прекрасна, главное правильно подобрать антидепрессанты.
Поблагодарили(1): MiG-29
Вернуться к началу
sergey_tsn сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности Часовой пояс: GMT + 3
На страницу
1, 2, 3, 4  След.
Страница 1 из 4

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
 

Anti Bot Question MOD - phpBB MOD against Spam Bots
Заблокировано регистраций / сообщений: 179228 / 329


Powered by phpBB © 2001, 2005 phpBB Group
Яндекс.Метрика