Вначале немного о файле Autorun.inf. Данный файл, используется системами ОС Windows для выполнения команд автозапуска с носителей информации. Располагается всегда в корне диска, представляет собой, текстовый файл с инструкциями.
Изначально он задумывался как инструмент автоматического запуска средств воспроизведения содержимого носителя на котором он расположен. К примеру: меню диска, установщик ПО и т.д. В последствии, данная технология стала использоваться для запуска вредоносного содержимого.
Вводим следующие команды.
В окне флешки появится папка с именем autorun.inf.
Имя папки LPT3 совпадает с именем системного порта компьютера, создать просто так папку с таким именем невозможно. Система выдаст соответствующее сообщение.
Теперь, попробуем удалить созданную папку autorun.inf. С начала в через контекстное меню.
Подтверждаем удаление.
Папка не удаляется.
Теперь попробуем удалить ее через командную строку. Пишем следующие команды.
Получаем сообщение Не удается найти указанный файл.
Удалить данную папку, можно. Но только в обратном порядке ее создания.
Дополнительно, можно сделать папку autorun.inf скрытой и системной. Для этого вводим команду.
Вставляя в зараженный компьютер такую флешку, вирусы не смогут ничего записать в корень диска.
Начнем. Вставляем флешку. Открываем ее. Создаем в ней папку. Данная папка будет служить для хранения папки с нашими файлами. Да-да, мы будем использовать две папки. Необходимо это специально, для того чтобы нашу папку невозможно было удалить с корня флешки. Создаем внутреннюю папку.
В моем случае это будет папка MFLDR с внутренней папкой ALL.
Отключаем наследование прав доступа, для внутренней папки. Нажимаем правой кнопкой мыши по папке, выбираем в меню пункт Свойства.
В открывшемся окне переходим на вкладку Безопасность, и жмем на кнопку Дополнительно.
Откроется окно дополнительных параметров безопасности. В нем жмем на кнопку Отключить наследования и выбираем вариант Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Жмем на кнопку OK в обоих окнах.
Возвращаемся в корень флешки. Теперь нам нужно отобрать права записи на весь носитель целиком. Для этого жмем правой кнопкой мыши на свободном окна флешки и выбираем пункт Свойства.
В окне свойств диска, переходим на вкладку Безопасность и жмем на кнопку Дополнительно.
В дополнительных параметрах безопасности выбираем субъект Все и жмем на кнопку Изменить.
В открывшемся окне выставления прав разрешений, оставляем галочки на пунктах Чтение и выполнение, Список содержимого папки, Чтение. Остальное все отключаем. Жмем OK.
Закрываем предыдущие окна нажатием кнопки OK.
Возможно появится окно с предупреждение, жмем Продолжить во всех случаях.
Теперь у нас на руках флешка защищенная от записи, с возможностью записи файлов только в каталог MFLDR\ALL.
Все выше проделанное но уже на видео.
Пример содержимого файла autorun.inf
[autorun]
open=имя_исполняемого_файла.exe
icon=имя_значка.icoИзначально он задумывался как инструмент автоматического запуска средств воспроизведения содержимого носителя на котором он расположен. К примеру: меню диска, установщик ПО и т.д. В последствии, данная технология стала использоваться для запуска вредоносного содержимого.
И так, как сделать так что бы данный файл невозможно было создать на флешке? Есть два способа. Первый, основан на особенности файловых систем FAT и NTFS. Второй, на расширенных возможностях прав доступа файловой системы NTFS.
Способ первый.
Используя особенность файловых систем, а именно, невозможность создания одноименных файлов и папок, можно в корне носителя создать папку с именем autorun.inf. Тем самым, зараженный компьютер, при попытке записать вирус на флешку, не сможет записать файл с именем autorun.inf, так как с тем же именем уже существует директория. Вирус может удалить данную директорию и ее содержимое. Но, есть одна хитрость. Можно создать вложенную папку с именем системного устройства, которую невозможно удалить.
Перейдем к действию. Вставляем флешку, открываем ее в проводнике, и на свободном от файлов месте нажимаем правой кнопкой мыши, предварительно зажав на клавиатуре клавиши CTRL+SHIFT. В открывшемся меню выбираем пункт Открыть окно команд.
Перейдем к действию. Вставляем флешку, открываем ее в проводнике, и на свободном от файлов месте нажимаем правой кнопкой мыши, предварительно зажав на клавиатуре клавиши CTRL+SHIFT. В открывшемся меню выбираем пункт Открыть окно команд.
Откроется окно командной строки.
Вводим следующие команды.
md autorun.inf
md autorun.inf\lpt3\.В окне флешки появится папка с именем autorun.inf.
Имя папки LPT3 совпадает с именем системного порта компьютера, создать просто так папку с таким именем невозможно. Система выдаст соответствующее сообщение.
Теперь, попробуем удалить созданную папку autorun.inf. С начала в через контекстное меню.
Подтверждаем удаление.
Папка не удаляется.
Теперь попробуем удалить ее через командную строку. Пишем следующие команды.
rd autorun.inf
rd /s autorun.infПолучаем сообщение Не удается найти указанный файл.
Удалить данную папку, можно. Но только в обратном порядке ее создания.
rd autorun.inf\lpt3\.
rd /s autorun.infДополнительно, можно сделать папку autorun.inf скрытой и системной. Для этого вводим команду.
attrib +s +h +r autorun.inf /D /S
Способ второй.
Файловая система NTFS располагает более обширными возможностями управления правами доступа. Используя эту особенность, можно запретить запись на накопитель вообще, но оставить доступной для записи определенную папку. Которая и будет хранилищем файлов.Вставляя в зараженный компьютер такую флешку, вирусы не смогут ничего записать в корень диска.
Начнем. Вставляем флешку. Открываем ее. Создаем в ней папку. Данная папка будет служить для хранения папки с нашими файлами. Да-да, мы будем использовать две папки. Необходимо это специально, для того чтобы нашу папку невозможно было удалить с корня флешки. Создаем внутреннюю папку.
В моем случае это будет папка MFLDR с внутренней папкой ALL.
Отключаем наследование прав доступа, для внутренней папки. Нажимаем правой кнопкой мыши по папке, выбираем в меню пункт Свойства.
В открывшемся окне переходим на вкладку Безопасность, и жмем на кнопку Дополнительно.
Откроется окно дополнительных параметров безопасности. В нем жмем на кнопку Отключить наследования и выбираем вариант Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Жмем на кнопку OK в обоих окнах.
Возвращаемся в корень флешки. Теперь нам нужно отобрать права записи на весь носитель целиком. Для этого жмем правой кнопкой мыши на свободном окна флешки и выбираем пункт Свойства.
В окне свойств диска, переходим на вкладку Безопасность и жмем на кнопку Дополнительно.
В дополнительных параметрах безопасности выбираем субъект Все и жмем на кнопку Изменить.
В открывшемся окне выставления прав разрешений, оставляем галочки на пунктах Чтение и выполнение, Список содержимого папки, Чтение. Остальное все отключаем. Жмем OK.
Возможно появится окно с предупреждение, жмем Продолжить во всех случаях.
Теперь у нас на руках флешка защищенная от записи, с возможностью записи файлов только в каталог MFLDR\ALL.
Все выше проделанное но уже на видео.
Комментариев нет :
Отправить комментарий