Давненько я не писал, из-за отсутствия времени.
Сегодня хотелось бы рассказать вам, о том, как противостоять тем вирусам, которые распространяются через файл autorun.inf. Все мы знаем, что при включенном автозапуске (по умолчанию он включен), Windows автоматически считывает данные с autorun.inf, и мы по ошибке можем при открытии флэшки запустить вирус.
Как это лечить? Вы конечно можете купить флэшку с джампером r/w only, но это не решение.
Для начала вам нужна флэшка с FS FAT32. Читая инфо про структуру файловой системы, мы можем увидеть, что бит 0x40 означает device bit. Т.е. с помощью проводника нельзя удалить, изменить, открыть такой файл. Нам понадобится hex редактор, для того, чтобы напрямую открыть флэшку в нем (предварительно сделайте бэкап данных). Заранее создайте файл autorun.inf и ищите среди всего мусора в hex'е строчку autorun в НЕ Unicode. Когда вы его найдете, он будет выглядет примерно так:
41 55 54 4F 52 55 4E 20 49 4E 46 20
A U T O R U N I N F
Первые семь байтов - это имя файла, далее пробел и расширение файла. А вот последний бит (0x20 означает archive bit). Вот его нам стоит поменять на 40 (0x40)
41 55 54 4F 52 55 4E 20 49 4E 46 40
A U T O R U N I N F @
Теперь размонтируем флэшку и заново примонтируем. Не думаю, что у вас получится удалить файл :) И заразе тоже это не удастся. Удачного дня!
P.S. Это не спасение от вирусов, которые инфицируют PE заголовки.