Защищаем Flash-Drive (а так же USB-HDD) от заразы.
 

Наверно каждый, имеющий сменный носитель - флешку, обнаруживал на ней вредоносные программы, прописанные в autorun.inf на запуск. Да что уж говорить, если купив абсолютно новый MP3-плеер, малоизвестной фирмы я обнаружил на нём виря, а ссылка на загрузку его была в файле autorun.inf. Учитывая тот момент, что я пользуюсь Portable Soft'ом на флехе и использую ещё удобное меню на основе PStart.exe, т.е. я имею уже настроенный autorun.inf на запуск этого меню мне порядком надоело, что я получаю на своей флехе после вставки флешки в чужой комп виря и отредактенный autorun.inf на его запуск. Вообщем я стал думать как защитить от заразы свою флеху.


1. Использовать переключатель Read-Only, т.е. попросту аппаратно, переключателем запретить производить запись на флешку и сделать её только читаемой. Этот способ имеет следующие недостатки: ну во-первых не на всех флешках есть такой переключатель (на моей не оказалось), ну а во вторых это очень не удобно: мне приходится по работе бегать по разным компам и активировать на них ПО, а всю инфу об активации (серийники, коды и т.д) я храню в файле на флешке и постоянно редактирую его, т.е. права на запись мне нужны на флешку. В итоге этот способ мне совсем не подходит.
2. Использовать шифрование. Способ требует наличия спец софта на компе клиента, который на лету шифрует/дешефрует файлы, что мне тоже неудобно. Использовать шифрование на уровне системы XP ? В этом случае я не уверен что поможет от виря, так как он сам может пользоваться системными функциями...
3. Использование другой файловой системы.
И тут я вспомнил про NTFS и тут же полез смотреть какая файловая система у меня на флешке. Конечно оказалась FAT. Тут же мне интуиция подсказала надо пробовать пересесть на NTFS, потому как там больше атрибутов и можно задать права на используемые файлы. Ясное дело что в первую очередь это autorun.inf. Т.е. если вирь не будет иметь прав на запись/редактирование/перезапись/удаление этого файла, то мы решим проблему: не дадим заразить нашу флешку с помощью механизма заражения через autorun.inf (хотя вирю пока никто не мешает сканить весь флеш-драйв на предмет исполняемых файлов и пробовать заражать их дописывая своё тело к файлу-жертве, но об этом позже.)


Для хранения файлов всё доступное для них пространство разбивается на кластеры. Таблица размещения файлов содержит ячейки, каждая из которых указывает на определенный кластер на жестком диске.
1.FAT 12
Применялась в пору DOS 1.0 на древних HDD и дискетах - не рассматриваем.
2.FAT 16
Максимальный размер раздела - 2 гигабайта (Что подходит для моей флешки - она 2 Гига, она ранее и была установлена). При размере раздела свыше 512 мегабайт неэкономно расходует место на диске (из-за большого размера кластера). Распознается и может использоваться практически всеми операционными системами, используемыми на ПК, имеет корневой каталог фиксированного размера (512 записей).
3.FAT 32
Работает чуть медленнее, чем FAT 16, но в большинстве случаев разница в скорости незаметна. Позволяет создавать разделы размером до двух терабайт. Диски почти любого размера может разбить на кластеры размером 4 КБ, уменьшая тем самым бесполезную трату места на диске. Кроме того есть ограничение на размер файла - он не может быть больше 4 гб. (Целиком образ DVD не запишешь).
4.NTFS
Была специально разработана для Windows NT-систем. В NTFS значительно расширены возможности по управлению доступом к отдельным файлам и каталогам введено большое число атрибутов, реализована отказоустойчивость. В NTFS версии 5.0 были добавлены дополнительные атрибуты файлов, наряду с правом доступа введено понятие запрета доступа, позволяющее, например, при наследовании пользователем прав группы на какой-нибудь файл, запретить ему возможность изменять его содержимое. Как раз то, что доктор прописал!

Для начала посмотрим свойства флэшки и замерим размер файлов а так же размер места занимаемого ими на диске.
Вот что у меня получилось:
Налицо ощутимая потеря ёмкости 52 Мб, скорее всего из-за того что используется большой размер кластера, проверим какой. Кидаем на флешку файл размером менее 512 байт (или находим маленький из уже имеющихся на флешке) смотрим его свойства, и видим что на диске он занимает аж 32Кб. т.е таким образом мы выяснили, что размер кластера равен 32Кб., что при размере флешки 2 Гб. является слишком расточительным и при наличии большого колличества файлов размером менее 32 Кб. потери пространства могут оказаться ощутимыми. Что и имеет место быть в моём случае.
Теперь обязательно скопируйте себе на жёсткий диск всё содержимое флешки.
Если вы уже имеете на борту компа специализированный софт для работы с разделами, ну напрмер Partition Magic, то можете конвертнуть флешку в NTFS на свой страх и риск с помощью его.
Я поступлю немного иначе: Отформатирую флешку в NTFS средствами самой системы.
Стандартный предлагаемый размер кластера на объём 1-2 Гб - 4Кб. Оптимален ли он будет для моей флешки? Форматируем. Смотрим что получилось:
Сразу возникает вопрос чем? Самой файловой системой NTFS - это плата за использование.
Теперь копируем файлы обратно на флешку, получаем:
Налицо выйгрыш свободного места в 14 Мб. NTFS (4Kб) vs FAT16 (32Кб.- такой размер кластера, кстати при форматировании стандартной утилитой, которая идёт в комплекте к флэшке).
Кластер у нас действительно получился 4Кб, что я считаю много для флешки размером 2 Гб.
Переформатируем в NTFS ещё раз с минимальным размером кластера в 512 Байт и посмотрим свойства получившегося диска (раздела).
Т.е. в итоге мы потеряли ещё около 400Кб, Что не очень много, но дисковое пространство будет расходоваться более экономно в случае большого колличества файлов маленького размера.
Теперь снова копируем всё содержимое обратно на флешку. Смотрим что получилось:
Если сравнивать с изначальной FAT16 с кластером в 32Кб. которую нам предлагает производитель мы получили сумарный выйгрыш в почти в 18 Мб, несмотря на то что перешли на более прожорливую NTFS. Т.е. потери ёмкости флешки при переходе с FAT16 на NTFS окупились уменьшением кластера с 32Кб. до 512байт.
Это исследование было проведено специально для скептиков, которые по тем или иным причинам не хотят ставить NTFS на флешку.

Обычно он имеет вид:
Я хочу сделать так чтоб он таким и оставался и изменить его мог только я, как владелец данного файла. Смотрим его свойства->Безопасность и видим, что стоит Полный доступ для группы Все, а именно, если капнуть глубже (Жмякнем пимпу "Дополнительно") разрешение "Полный доступ" унаследовано от самого корня диска. Жмякаем изменить, снимаем галку наследования. Далее Изменяем разрешения - ставим галки в столбце запретить на:
1. Создание файлов/запись данных
2. Создание папок/дозапись данных
3. Запись атрибутов
4. Запись дополнительных атрибутов
5. Удаление
6. Смена разрешений
7. Смена владельца
Таким образом у нас появился элемен разрешения "Запретить" что имеет более высокий приоритет над элементом "Разрешить"
...................................

Сегодня вторник и мне "посчастливилось" испытать мою флеху в бою. На третьем компьютере, после установки драйвера PDF-принтера и просмотрщика PDF, я обнаружил, что комп не хочет отдавать мне флешку ("вы не можете извлечь безопасно устройство, так как оно используется в данный момент"), хотя все файлы с флехи были закрыты, включая корневой каталог. Сразу у меня мелькнула мысль - на компе вирус. И действительно, запустив портабл процессэксплорер, я увидел знакомый процесс трояна tel.xls.exe, который был запущен из папки system32 и являлся ранее известным мне Trojan.Win32.VB.atg. Я убил процесс виря и открыл на просмотр autorun.inf - он остался прежним! Закрыл файл, нашёл файл виря, удалил его из папки и из автозапуска. Спокойно извлёк флешку и пошёл дописывать статью...
Я думаю, учитывая всё выше изложенное, можно экспериментировать и ставить на флешку NTFS 5.0, выставлять права на файл autorun.inf и смело пользоваться флехой на заражённых компах - вирь не пролезет (по крайней мере способом прописывания в autorun.inf). Для защиты остальных файлов на флехе и корневого каталога можно также выставить необходимые права на файлы и папки, защитив их таким образом от изменения/удаления/перезаписи. По мере эксплуатации свой флехи, статья может быть дополнена. На своём примере я убедился, что способ работает, кроме того я ещё получил дополнительное свободное место на флешке, передя с FAT16 на NTFS.

(c) -=lebed=- спец. для Античат

ссылки на используемый материал:
http://remont-hdd.by.ru/fat.shtm
http://yura.projektas.lt/archiv/per/fsinf.html

Один минус нельзя нормально работать из линуха если на нем нету софта для работы с Ntfs

Согласен, но Линукс у нас на работе - это далёкая экзотика. (Есть тока у меня на виртуалке). :D

Софт ставиться в 2 секунды (ntfs-3g запись в NTFS). В новых дистрибутивах (ubuntu 7.10 например) запись на NTFS из коробки.

у меня на работе такой заразы полно =\ постоянно боремся
но способ не подходит. ибо есть 98.

ставишь ntfs-3g и всё нормально пишется)

... можно дописать?

Что бы появилась возможность отформатировать flash в Ntfs , нужно в Диспетчере устройств -- Дисковые устройства -- в свойствах - политика - ВКЛЮЧИТЬ "Оптимизировать для выполнения" точнее разрешить кеширование записи. И также flash при изьятии из компа обязательно "отключить програмно", так как возможны потери только записанных данных ...

Наверное ты забыл дописать один оч большой (имхо) минус FAT32: файлы только <=4Gb, что даже хдтврип не запишешь =\

Вообщем сегодня попробовал - способ сработал, файл autorun.inf остался неизменным. Отписывайтесь, кто тоже перешёл на NTFS на флешке.

-=lebed=- статья хорошая ! а вот если например у меня на флешке файловая система другая ? ext 3 или RFS тогда к какому врачу обратитса ?
А на никсах тоже есть такой механизм автозапуска при вставке?
P.S. я правда не знаю... -=lebed=-

Помню авторан.инф меня заебал как-то на флешке...

Мля, один раз флеху видел полный писец... В корне диска, куча всякой живности... (10-12 видов всякой заразы). Некоторые вири чтоб закрепиться на флехе искорявали свои имена, так что с ними нельзя ничего сделать средствами системы. Часть спряталась в корзину, вообщем все способы выживания были на лицо, ну а сколько там перезаписывался autorun.inf я промолчу... (были старые autorun, c другими расширениями).

Вообщем за всё время эксплуатации флэшки, у меня один раз вышел прокол - файл после использования на чужом компе оказался перезаписан. (не помню точно какой это был вирь, да и не совсем уверен что правильно тогда выставил права на файл).
В остальных случаях зараза лезла (записывалась на флеху) но ссыль на её запуск через autorun.inf оставалась прежней - запуск моего PStart.exe - меню для портабл-софта.

ЗЫ Как недостаток, кстате теперь у вирей появилась возможность прятаться в потоках, раз на флехе NTFS, но антивири не дремлют, они и в потоках обнаружат заразу...

Интересно было рассмотреть хоть какой-то способ защиты флэхи, когда она вставлена в заражённый комп, средствами самой флехи... как я убедился способ работает, хотя и имеет свои недостатки...

Раз уэ хочется NTFS на флехе, то делается это моментально:

convert <буква_диска> /fs:ntfs /v /x

и никаких форматирований и партишн мэджиков.

Данная команда работает не только с флэшками, но и с логическими разделами HDD

Хорошая статья респектоЗЗЗ афтару.. Лично я предлагаю немного другое решение проблемы.. Кидаем в авторан прогу которая сидит в памяти (очень мало жрёт) и через каждую секунду проверяет наличие флешки в компе и если есть то удаляет на ней файл autorun.inf... Т.о. если вставит заражённую флеху то червяк не будет забущен ибо авторан инф удалится в течении секунды после вставки флэхи... Вот мой способ...

А вот его реализация: virusoff.pisem.su/USBCLEAR.RAR в архиве лежит исходник проги и уже готовый ехе.. Просто кидаем этот exe-файл в автозагрузку и на всегда забываем про usb-червей... Кстати прога весит совсем не много - 1641 байт - написана на делфи 7.

Хорошая статья.
Но.. он удаляется.. ничего не могу сделать.. уже все и всем запрещаю - ничего не дает сделать кроме удаления.
=======================
Нашел - если поставить галочку "только для чтения" (перед назначением прав) то его и удалить нельзя будет.

Этот способ не решит проблему распространения usb-червя, так как прога должна работать на компе до вставки флехи в него, т.е. другие компы, кроме своего (где уже работает прога) заразить червю удастся...

У меня в свойствах autorun.inf нету вкладки безопасность (

JayKa заходишь в проводнике в Сервис -> Cвойства папки -> Вид
убераешь гаочку Использовать простой и общий доступ к файлам и вот у тебя появится вкладка безопасность... ;)

С плеером не прокатило :(
Ntfs не видит :(
Хотя может мой только.

Пуск –> Выполнить… –> Запуск программы –> cmd –> OK –> convert <буква_флешки>: /fs:ntfs /nosecurity /x

ставим flashguard и не паримся )

Cпособ защиты в FAT32 http://milw0rm.com/papers/314

когдато также защищали флешки, но увы пришлось отказаться от этого метода потому как слишком уж ntfs кешировало данные и случались случаи когда при горячем вытаскивании флешки данные терялись (потому как небыло прав на отключение)
Да и NTFS на разных компах ведет себя странно. на некоторых давала большой прирост в скорости, а на других - наоборот сильно замедление. По этому было просто решено отключать везед авторан )

Отключение авторана - это организационная мера на компьютере..прежде чем сунуть флэшку в чужой будешь отключать у всех авторан?

А вот с атрибутом файла 0x40 в FAT32 действительно интересная идея! Описанная собственно по ссылке данной чуть выше.
Вкратце:

1. Создается файл autorun.inf на флешке в корне.
2. Открывается раздел флешки в HEX-редакторе (например HxD)
3. Ищется строка типа "AUTORUN"
Находим следующее:
4. Заменяем последний байт на 0х40 (атрибут для внутреннего использования, не должен присутствовать в файлах):
5. И сохраняем. Т.о. файл будет виден, но с ним теперь хрен чё сделаешь.

ппц, вы тут кучу демагогии развели на эту тему, прям статью написали, а если б полазили по антивирусным форумам то нашли бы элементарное решение, идеальное.
На флешке сносится файл autorun.inf и создается ПАПКА с название autorun.inf
По неизвестным причинам винда не могет создать файл и папку с одинаковым именем, а на линупсах пох, это буит универсальным способом

Удалить вирю папку и создать файл с таким именем тяжело по твоему? :confused:

ты наверное не знаешь, но папка и файл удаляются по разному, с точки зрения компьютера это абсолютно разные вещи, то путь, ато обьект, это нюанс для вирмейкеров, неожиданный поворот событий который не предусмотрен, exception бля, slesh на заметку )

C точки зрения файловой системы каталог - это обычный файл (кстати поэтому и нельзя одно и то же имя использовать на одном уровне). Вирмейкеру предусмотреть такую ситуацию (удаление папки) - не составит труда, просто добавить лишнюю команду на удаление каталога перед удалением файла и всё.

Я и не говорил, что предусмотреть такую ситуацию сложно, дело вот в том, что не предусматривают =/

Теперь будут :D ибо легко обойти эту защиту.
P.S. Способов защиты предостаточно, их одновременное использование делает невозможным заражение флешки - а это главное! ;)

Также использую NTFS на флэшке. Делаю немного по-другому: для корня создаю двух пользователей: "Все" и мой профиль на домашнем компе (далее "homeprofile"). Для "все" устанавливаю разрешение на чтение, листинг, чтение атрибутов, чтение прав. Для homeprofile все то же, плюс изменение прав и владельца. В итоге корень запрещен для записи из под всего, чего угодно. homeprofile с возможностью изменения прав наследуюется во все дерево ФС. В корне есть папка Obmen, у которой пользователь "все" имеет все права, кроме изменения прав и владельца. Папка служит для записи данных с других компов. Аналогичный пользователь "все" стоит на некоторых папках/файлах портабельного софта (которые нуждаются в перезаписи при работе прог). В итоге я имею: запрет на запись везде из под всех пользователей, кроме папки Obmen и юзердиры/юзерфайлы портабельного софта, изменить права можно только на моем компе под моей учеткой. Если нужно что-то поменять в структуре флэшки (например, создать папку в корне), в корне пользователю homeprofile на моем компе временно выставляю "разрешить все" (вся флэшка становится доступна для записи, т.к. право наследуется), меняю что нужно, возвращаю исходные права. Все устраивает вроде