Панацея для флэшки

frost_uw 2009 M04 6
926
27
0
0

Давненько я не писал, из-за отсутствия времени.Сегодня хотелось бы рассказать вам, о том, как противостоять тем вирусам, которые распространяются через файл autorun.inf. Все мы знаем, что при...

Давненько я не писал, из-за отсутствия времени.

Сегодня хотелось бы рассказать вам, о том, как противостоять тем вирусам, которые распространяются через файл autorun.inf. Все мы знаем, что при включенном автозапуске (по умолчанию он включен), Windows автоматически считывает данные с autorun.inf, и мы по ошибке можем при открытии флэшки запустить вирус.

Как это лечить? Вы конечно можете купить флэшку с джампером r/w only, но это не решение.

Для начала вам нужна флэшка с FS FAT32. Читая инфо про структуру файловой системы, мы можем увидеть, что бит 0x40 означает device bit. Т.е. с помощью проводника нельзя удалить, изменить, открыть такой файл. Нам понадобится hex редактор, для того, чтобы напрямую открыть флэшку в нем (предварительно сделайте бэкап данных). Заранее создайте файл autorun.inf и ищите среди всего мусора в hex'е строчку autorun в НЕ Unicode. Когда вы его найдете, он будет выглядет примерно так:

 

41 55 54 4F 52 55 4E 20 49 4E 46 20
A U T O R U N I N F

 

Первые семь байтов - это имя файла, далее пробел и расширение файла. А вот последний бит (0x20 означает archive bit). Вот его нам стоит поменять на 40 (0x40)

 

41 55 54 4F 52 55 4E 20 49 4E 46 40
A U T O R U N I N F @

 

Теперь размонтируем флэшку и заново примонтируем. Не думаю, что у вас получится удалить файл :) И заразе тоже это не удастся. Удачного дня!

 

P.S. Это не спасение от вирусов, которые инфицируют PE заголовки.

Оцените пост

0

Комментарии

0
Достаточно создать директорию с именем "autorun.inf"
0
А что мешает вирусу удалить его?
0
Могу только догадываться, выяснять некогда.
Этот способ у меня работает порядка двух лет.
0
везет вам :) На моей практике встречаются те, которые сначала удаляют, а потом заново создают :(
0
А можно мне один такой на какой-нибудь фейлообменник?
Я подозреваю, что используются функции winapi, которые в принципе не удаляют директории. Хочу проверить на досуге свои догадки.
Показать комментарии