DmB89, к сожаленю, подтверждаю - метод с изменением прав доступа НЕ РАБОТАЕТ. Почему - ответить тоже затрудняюсь - в частности, на вопрос, действительно ли виры пошли настолько продвинутые, что научились получать права владельца, после чего менять права доступа.

Ну а что на счёт софта для USB HDD? Существует ли универсальный софт, который создаёт защищенный раздел на диске? Существует ли такой софт вообще?

DeathMan2k4, вопрос не совсем по теме. Здесь всё же обсуждение касается методов защиты USB flash драйвов, в просторечи - "флэшек", и компьютеров - от вирусов, использующих системный автозапуск. А защищённый раздел - это больше относится к защите информации от несанкционированного использования.
Стоит определиться, что же в действительности нужно, и возможно - создать новую тему.

DmB89, ну почему же, ведь создав защищенный раздел, мы победим автоматическое записывание вируса на flash drive !

DeathMan2k4, смотря для чего использовать флэшку. Ведь защищённый раздел требует специального софта для работы с ним. Если ограничить её использование двумя-тремя компьютерами, где этот софт установлен, тогда это вариант.
Но реально ведь флэшка используется несколько иначе. Необходима возможность подключения к любому (ну, или почти любому) компьютеру, независимо от наличия/отсутствия на нём особого софта. Вот пришёл ты к другу со своей защищённой флэшкой - и что? С чего ставить программу? С компакта? Весь смысл флэшек как-то теряется...
То есть смысл это решение имеет в первую очередь для защиты информации, а остальное - сплошные неудобства.
А чем всё же так не нравится решение создать папку с именем Autorun.inf? Хоть у одного человека есть серьёзные доводы "против"? Встретился хоть кому-нибудь вирус, способный уничтожить папку, и записать свой файл autorun.inf?

Добрый день!

Помогите проверить такой способ защиты:

1. флэшка форматируется под NTFS.
2. В корне создается папка с произвольным именем, на нее даются полные права только для "Все" (Everyone), без наследования.
3. На сам корень флэшки назначаются права только для чтения, опять же для "Все".
Пользователь может производить запись только в созданную папку.

У меня данный способ работает, но поскольку с вирусами сталкиваюсь редко, не могу однозначно утвержать об его 100% эффективности, с тем и выношу его на обсуждение.



С Уважением!

В этой теме нельзя не упомянуть замечательную программу Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe), которая уже упоминалась (http://forum.oszone.net/post-788297-2.html) на страницах нашего форума, да и не только нашего форума (http://forum.ru-board.com/topic.cgi?forum=62&topic=13876#4), и в других местах (http://virusinfo.info/showpost.php?p=213333&postcount=94) уважаемым Pili (http://forum.oszone.net/member.php?userid=77532).
Эта утилита выполняет несколько функций.
Во-первых, она чистит систему от всех известных ей вирусов типа autorun (т.е. использующих метод заражения при помощи файла autorun.inf).
Во-вторых, производится иммунизация всех разделов жёстких дисков и подключенных в момент запуска программы внешних накопителей. Для этого в корне каждого диска создаётся папка с именем autorun.inf с атрибутами "скрытый", "системный" и "только для чтения". В дополнение эта папка содержит файл нулевого объёма с именем lpt3.This folder was created by Flash_Disinfector. Файлик этот, надо сказать - весьма непрост! Если вы попытаетесь его удалить - то ничего у вас не выйдет - появится сообщение с ошибкой, что файл не существует! Уж не знаю, каким способом автор добился такого эффекта, но вирус эту папку с файлом точно удалить не сможет - а это главное, что нас интересует.
В-третьих, она устраняет даже последствия заражения этими вирусами! В частности, разблокируется доступ к реестру, разблокируется менеджер задач, включается показ скрытых и системных файлов, удаляются префиксы адресной строки для IE, и это ещё не весь список!
Короче - must have, однозначно! Или переводя на русский - rulezz! =)

Jhel, Выйду из отпуска - обязательно на работе проверю! У нас сисадмин ленивый... Или наоборот - трудолюбивый... :) В общем, у нас на работе - рассадник всякой заразы! Слава Богу, свой рабочий ноут я сам администрирую! :)

Уж не знаю, каким способом автор добился такого эффекта, но вирус эту папку с файлом точно удалить не сможет - а это главное, что нас интересует. »
lpt3 - имя DOS-устройства. Даже с дописанным расширением оно является таким именем. Операции с ним запрещены. Только из командной строки. Правда, если Вы используете принтер с LPT-портом (что маловероятно) и имеете порт LPT3 (вероятность чего практически нулевая, т.к. на большинстве материнских плат один (очень редко - два) таких порта, могут появится глюки.

Для этого в корне каждого диска создаётся папка с именем autorun.inf с атрибутами "скрытый", "системный" и "только для чтения". В дополнение эта папка содержит файл нулевого объёма с именем lpt3.This folder was created by Flash_Disinfector. Файлик этот, надо сказать - весьма непрост!
Я тоже эту штуку пробовал - жаль, что сама папка autorun.inf удаляется легко (несмотря на хитрый файл в ней).

жаль, что сама папка autorun.inf удаляется легко (несмотря на хитрый файл в ней). »
Увы, это так... :( С предыдущим своим заявлением я поторопился. Проверил - и правда, командой RD /S /Q C:\Autorun.inf каталог легко удаляется. Как бы его гвоздями-то прибить? :) Впрочем, пока ещё ни один autorun-вирус не удаляет эту папку, но готовиться лучше заранее.

Вот (http://dr.dark.programist.ru) посмотрите чё навоял. Хотелось бы услышать ваше мнение. если понравилось нажмите спасибо.

для интереса решил проверить запустится ли у меня подобный зловред. записал autorun.inf, открывающий notepad.exe (блокнот). перетыкаю флешку и выскакивает такое окошко:
http://img515.imageshack.us/img515/7654/autorunflashbh2.jpg
выходит моя система защищена от autorun'еров?

Нет не выходит. Если афторун.инф такого содержания:
[autorun]
shell\open\command=virus.exe
shell\explore\command=virus.exe

Dr.Dark, ну а если пользоваться Total Commander'ом?

Ну и? Мы об експлохере!!!

Dr.Dark, ackerman2007, перечитайте тему с начала! Об этом уже писали не раз, можно и explorer-ом безопасно открывать диски (http://forum.oszone.net/post-750562-14.html).
ackerman2007, выскакивающее окошко - это работа функции "Autoplay" Windows XP. К файлу autorun.inf эта функция не имеет отношения! Об этом тоже уже писалось, зачем повторяться? Вот пара ссылок:
NoDriveAutoRun (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93506.mspx?mfr=true)
NoDriveTypeAutoRun (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/91525.mspx?mfr=true)

И я о том же!!! А насчёт безопасного входа из експлорера можно щелкнуть правой по флешке нажать автозапуск (если не стоит по умолчанию т.е. не выделено жирным) и в меню выбрать открыть.

Dr.Dark, ещё раз повторяю - перечитай тему! Ты наступаешь на те же грабли (http://forum.oszone.net/post-732460.html#post732460) , что и некоторые товарищи до тебя! Почитай этот пост (http://forum.oszone.net/post-750562-14.html), да и свой пост (http://forum.oszone.net/post-847650-53.html) тоже... Ты похоже, пишешь, не разбираясь в сути, у тебя один пост противоречит другому. Ты попробуй на практике, и тогда не будешь писать такие вещи:насчёт безопасного входа из експлорера можно щелкнуть правой по флешке нажать автозапуск »

DmB89, Сорри перечитал тему. Просто я ни когда, повторюсь никогда НЕ ВСТРЕЧАЛСЯ с Autoplay на флешках.
так ты смотрел чё я предлагаю (первый пост на странице). Если да то как идея?

Dr.Dark, посмотрел... Во-первых, это варез, поскольку с ключом. Во-вторых, это можно заменить бесплатной утилитой CureIt! (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) А в третьих, многие вирусы просто отключают сканер от DrWeb, я с этим сталкивался неоднократно.

Jhel, проверил предлагаемый способ защиты (http://forum.oszone.net/post-830974-46.html) - работает! Проверил на ноутбуке, перед сносом системы. Вирус не смог создать в корне ни одного файла. Так что способ годится!