Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 18 дней Сообщения: 1171 Благодарности: 780/579
|
11.06.2011 22:35 Защита флешки от вирусов |
|
|
Тема: Защита от вирусов с помощью политики безопасности.
Условие: файловая система NTFS
Применение:
- Флешки, внешние накопители (Больной вопрос для многих пользователей)
- Папки с открытым общим доступом по сети
- Папки на компьютере с несколькими учётными записями пользователей.
Принцип действия: Ограничение прав доступа на запись с помощью политики безопасности.
Данный пример показан на основе проекта Уважаемого Командира команды модератора mannaleks по созданию Скрытый текст .
Начинаем:
Отключаем в свойствах папки простой общий доступ к файлам и папкам:
Скрытый текст
1. Правым кликом мыши на флешке выбираем "Свойства", затем переходим во вкладку "Безопасность"
Скрытый текст
2. Удаляем всех, кроме пользователя Admin и группы "Все"
Скрытый текст
3. Разрешаем администратору полный доступ.
Скрытый текст
4. Разрешаем группе "Все" доступ на чтение и выполнение.
Скрытый текст
5. Нажимаем кнопку "Дополнительно"
Скрытый текст
6. В открывшемся диалоговом окне переходим в вкладку "Аудит"
Скрытый текст
7. Нажимаем кнопку "Добавить"
Скрытый текст
8. Нажимаем кнопку дополнительно
Скрытый текст
9. Нажимаем кнопку "Поиск"
Скрытый текст
10 Выбираем пользователей или группы и нажимаем ОК.
Скрытый текст
11. Нажимаем ещё раз ОК
Скрытый текст
12. Настраиваем необходимые разрешения, применяем изменения, нажимаем ОК.
Скрытый текст
13. Должно получиться вот так:
Скрытый текст
14. Ставим галочку как на изображении:
Скрытый текст
15. После нажатия кнопки "Применить", появится окно применения разрешений, затем появится сообщение как на изображении, нажимаем ОК и ещё раз ОК.
Скрытый текст
На этом настройка разрешений для корневого каталога завершена.
Результатом правильной настройки будет запрет на запись в корневой каталог (Именно это обычно делают Autorun-вирусы) с других компьютеров и подкаталоги.
Скрытый текст
Часто задаваемые вопросы:
Всем, кого заинтересовала данная тема!
Просьба отписываться корректно, подробно описывая возникающие трудности и, если справились с трудностями самостоятельно, то и пути преодоления трудностей. _________________ Не профи, но для любителя тоже неплохо...
Последний раз редактировалось: Дон (24.06.2011 21:33), всего редактировалось 24 раз(а)
Поблагодарили(16): StrDt, klaus65, Teemushatka, mannaleks, ЧеКа, S0ier, glax24, voron367, gryaznulya, SANECK, Jaguar19904, sergey_tsn, -=ZLO=-, Dzmitry, Vova1973, udalex | |
|
|
Вернуться к началу |
|
|
|
|
mannaleks Командир команды
Стаж: 15 лет 6 месяцев и 13 дней Сообщения: 2449 Благодарности: 1711/388 Откуда: Куда: Зачем:
|
12.06.2011 22:17 |
|
|
Выскажу свое мнение (чисто теоретическое, т.к. проверить не на чем)
1. Предоставление полного доступа Admin-у на мой взгляд очень скользкий вопрос. На многих сборках (за примером далеко ходить не надо) при установке создается один единственный пользователь Admin с правами Администратора. Соответственно многие юзеры сидят под Admin-ом и со спокойной душой и чистой совестью запускают вирусы. Таким образом вирусу не составит большой сложности пролезть на флешку...
2. Чтобы данный способ себя оправдал лучше всего создать Администратора с каким-нибудь хитрым именем и дать полный доступ только ему.
3. Для распространения с флешек у вирусов есть только один способ - это через Autorun.inf. При загрузке Alkid SE эти вирусы не загружаются и загрузке не мешают. Значит загрузившись в Alkid можно перед установкой Windows (если флешка для этого используется) удалить с флешки файл Autorun.inf и в дальнейшем не бояться заражения свежеустановленной системы.
Еще раз повторю - это только теория... _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Поблагодарили(1): Дон | |
|
|
Вернуться к началу |
|
|
glax24 С днем Рожденья!
Возраст: 42 Стаж: 15 лет 5 месяцев и 7 дней Сообщения: 354 Благодарности: 502/173 Откуда: Ульяновск ICQ: 406978885
|
12.06.2011 22:48 |
|
|
mannaleks писал(а): |
3. Для распространения с флешек у вирусов есть только один способ - это через Autorun.inf. При загрузке Alkid SE эти вирусы не загружаются и загрузке не мешают. Значит загрузившись в Alkid можно перед установкой Windows (если флешка для этого используется) удалить с флешки файл Autorun.inf и в дальнейшем не бояться заражения свежеустановленной системы.
|
Еще для защиты от Autorun.inf можно создать папку с таким именем и внутри файл с некорректным именем в FAT32 и NTFS .
Скрипт скопировать в корень флешки и запустить
_________________ Решение на поверхности, надо только копнуть поглубже.
Скрытый текст
Последний раз редактировалось: glax24 (15.09.2011 10:15), всего редактировалось 5 раз(а)
Поблагодарили(3): Дон, Fnaq, svit74 | |
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 18 дней Сообщения: 1171 Благодарности: 780/579
|
13.06.2011 0:07 |
|
|
mannaleks
glax24
mannaleks писал(а): | 1. Предоставление полного доступа Admin-у на мой взгляд очень скользкий вопрос. На многих сборках (за примером далеко ходить не надо) при установке создается один единственный пользователь Admin с правами Администратора |
Другой пользователь с правами администратора может получить разрешение на запись в том случае, если для флешки разрешить доступ на запись группе "Администраторы". Согласно п.2 группа "Администраторы" удалена из списка пользователей, соответственно другой пользователь с правами администратора доступ на запись получить не может, так как согласно разрешений ему разрешен доступ только на чтение и выполнение.
mannaleks писал(а): | 2. Чтобы данный способ себя оправдал лучше всего создать Администратора с каким-нибудь хитрым именем и дать полный доступ только ему. |
Как раз этот пункт выполнен в данном способе. (Беркут/Admin) и есть этот уникальный пользователь.
mannaleks писал(а): | 3. Для распространения с флешек у вирусов есть только один способ - это через Autorun.inf |
Ещё есть Shell и Bat-файлы, которые как и inf могут нести в себе вредоносный код или строку запуска вредоносного приложения (скрипта), например "Shell "C:\1Cv77\BIN\1CV7.exe"".
Поэтому если флешку подключить к зараженной машине, то разрешение на запись вирус не получит.
glax24 писал(а): | Еще для защиты от Autorun.inf можно создать папку с таким именем и внутри любой файл с правами только на чтение. |
Наверно имеется ввиду папку или файл с неправильным именем. К сожалению некоторые вирусы и скрипты данный способ научились обходить.
Для того чтобы получить разрешение на запись на флешку необходимо стать владельцем данной флешки, добавить нового админа в список пользователей и разрешить права на запись в настройках аудита.
Добавлено спустя 46 минут 56 секунд:
На изображении владелец системы на чужом ПК не опознан.
Следовательно с чужой системы запись на флешку не разрешена, за исключением папки, для которой доступ на запись разрешен.
Скрытый текст _________________ Не профи, но для любителя тоже неплохо...
|
|
Вернуться к началу |
|
|
Eastoop Гость
|
13.06.2011 3:55 |
|
|
Информация к размышлению.
Не далее, как вчера принесли компьютер на лечение.
Ради эксперимента произвел с флешкой все необходимые действия, описанные здесь. На флешке оставил только папку с доктором вебом и папку с тотал коммандером с полными правами.
Втыкаю флешку в зараженный компьютер, пробую запустить с флешки доктора веба. Тот при запуске сразу же выдает, что исполняемый файл инфицирован. Отказываюсь от лечения, загружаюсь с компакт диска, проверяю флешку на вирусы.
Результат: Все исполняемые файлы в обеих папках заражены вирусом win32.Tufei. Корень флешки остался чистым, впрочем этот туфей и не копирует себя в корень флешки.
Выводов пока не делаю.
Поблагодарили(1): Дон | |
|
|
Вернуться к началу |
|
|
glax24 С днем Рожденья!
Возраст: 42 Стаж: 15 лет 5 месяцев и 7 дней Сообщения: 354 Благодарности: 502/173 Откуда: Ульяновск ICQ: 406978885
|
13.06.2011 7:49 |
|
|
Дон писал(а): | glax24 писал(а):
Еще для защиты от Autorun.inf можно создать папку с таким именем и внутри любой файл с правами только на чтение.
Наверно имеется ввиду папку или файл с неправильным именем. К сожалению некоторые вирусы и скрипты данный способ научились обходить. |
Имелось как раз создание папки с именем "Autorun.inf" в корне флешки с атрибутами системная и скрытая и только на чтение. И внутри этой папки файл с атрибутами только на чтение. Данный метод помогает от большинства Autorun вирусов.
Eastoop писал(а): | Результат: Все исполняемые файлы в обеих папках заражены вирусом win32.Tufei. Корень флешки остался чистым, впрочем этот туфей и не копирует себя в корень флешки. |
Заражая исполняемые файлы он тем самым и копирует себя на флеш а всю остальную работу по запуску пользователь сделает сам авторан ему и не нужен. _________________ Решение на поверхности, надо только копнуть поглубже.
Скрытый текст
Поблагодарили(1): Дон | |
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 18 дней Сообщения: 1171 Благодарности: 780/579
|
13.06.2011 9:28 |
|
|
Eastoop
В моём варианте доступ на запись разрешен с той целью, чтобы можно было скопировать вирус для дальнейших экспериментов.
Папке с антивирусными программами и тотал коммандер лучше дать доступ на чтение и выполнение.
Добавлено спустя 10 минут 7 секунд:
Добавлю, что для большей уверенности на 13 шаге можно поставить галочку на "Заменить элементы аудита...", после кнопки "Применить" дождаться применения разрешений. _________________ Не профи, но для любителя тоже неплохо...
|
|
Вернуться к началу |
|
|
StrDt Админозавр
Возраст: 69 Стаж: 16 лет и 12 дней Сообщения: 1786 Благодарности: 1092/1996 Откуда: Солнечная система.Планета хищников
|
13.06.2011 9:43 |
|
|
Дон писал(а): | P.S. Содержание ориентировано на новичков, |
Дон писал(а): | В моём варианте доступ на запись разрешен с той целью, чтобы можно было скопировать вирус для дальнейших экспериментов. |
Я б не советовал новичкам заниматься исследованием вирусов. А кто захочет их исследовать, тот должен знать, как подготовить "лабораторию"
Поблагодарили(1): Дон | |
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 18 дней Сообщения: 1171 Благодарности: 780/579
|
13.06.2011 9:56 |
|
|
StrDt
Согласен, получается из метода про папку на запись лучше убрать?
Или дополнительно написать что все операции на зараженной машине проводить с особой осторожностью?
glax24
Файлик скопировал, потренируюсь, о результатах отпишусь. _________________ Не профи, но для любителя тоже неплохо...
Последний раз редактировалось: Дон (13.06.2011 13:06), всего редактировалось 6 раз(а)
|
|
Вернуться к началу |
|
|
StrDt Админозавр
Возраст: 69 Стаж: 16 лет и 12 дней Сообщения: 1786 Благодарности: 1092/1996 Откуда: Солнечная система.Планета хищников
|
13.06.2011 12:03 |
|
|
Дон писал(а): | папку на запись лучше убрать? |
Да, а для особо заинтересованных в изучении вирусов написать FAQ как что и где нужно включить.
Поблагодарили(2): Дон, MiG-29 | |
|
|
Вернуться к началу |
|
|
serj32741 Ёжик
Стаж: 12 года 11 месяцев и 9 дней Сообщения: 2
|
29.06.2011 20:59 |
|
|
эх люди, не поможет ни назначение "только для чтения+скрытый" и т.п., реально и 100% эффективно вот ссылочка)
Скрытый текст ! | Eastoop @ 30.06.2011 0:40: | U339** красивая упаковка, но внутри полный хлам, скоростные качества на уровне USB1.1, долговечность низкая. Через пару месяцев использования начинаются проблемы с разрушенем ячеек памяти. У меня уже две штуки таких валяются дома и пяток на работе(с просьбой починить от клиентов). Так что даже врагу не пожелаю купить эту флешку. |
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 18 дней Сообщения: 1171 Благодарности: 780/579
|
30.06.2011 9:15 |
|
|
serj32741 писал(а): | ни назначение "только для чтения+скрытый" и т.п. |
Вы правы, с атрибутами справиться проще...
В данном варианте защита основана на основе политики безопасности.
Если добавить запрет смены владельца группе "Все", то поможет только форматирование флешки для того чтобы произвести запись данных.
Попробуйте попасть в папку на сервере, политики безопасности которой настроены только для определённых пользователей...
Если вы не Администратор сервера или не пользователь которому разрешен доступ в папку, то доступ в эту папку вы не получите.
А за применение эксплойта или других методов взлома удалённого ПК Администратор запросто в лучшем случае урежет права по самое не балуй, а в худшем примет более серьёзные меры... _________________ Не профи, но для любителя тоже неплохо...
Последний раз редактировалось: Дон (30.06.2011 10:32), всего редактировалось 1 раз
Поблагодарили(1): MiG-29 | |
|
|
Вернуться к началу |
|
|
SANECK Заяц
Возраст: 45 Стаж: 13 года 2 месяца и 30 дней Сообщения: 35 Благодарности: 6/52 Откуда: АСТРАХАНЬ
|
14.09.2011 10:23 |
|
|
А базы антивирусов обновляться будут? _________________ Скрытый текст
Скрытый текст
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 2 месяца и 18 дней Сообщения: 1171 Благодарности: 780/579
|
14.09.2011 10:51 |
|
|
SANECK
Только с той учётной записи, с которой разрешена запись на флешку... _________________ Не профи, но для любителя тоже неплохо...
Поблагодарили(1): SANECK | |
|
|
Вернуться к началу |
|
|
sergey_tsn Заяц
Возраст: 45 Стаж: 15 лет и 28 дней Сообщения: 35 Благодарности: 23/9 Откуда: Украина
|
14.09.2011 12:31 |
|
|
А если на флешке файловая система FAT16/FAT32 и много информации то ее можно не форматировать в файловую систему NTFS, а воспользоваться командой convert x: /FS:NTFS где х-буква тома флешки
Добавлено спустя 4 минуты 31 секунду:
А в случае отсутствия возможности зайти в систему с учетными данными для записи флешки, можно зайти под любым админом системы и заменить владельца (на рисунке 6 вкладка "Владелец") и можем добавить себя в качестве пользователя с полными правами на файлы в этой флешки. Так ксати можно настроить полный доступ к этой флешке с разных компьютеров _________________ Жизнь прекрасна, главное правильно подобрать антидепрессанты.
Поблагодарили(1): MiG-29 | |
|
|
Вернуться к началу |
|
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 623776 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|