![]() |
Удаление скрытых файлов с флешки и Безопасное извл.устройства
Подскажите знающие, возможно ли реализовать такое:
Скажем так, на некоем предприятии, недобросовесный админ, или др. причины, но на сервере постоянно присуствуют вирусы. При подсоединении флешки к компьютеру на предприятии - флешка заражается....Идея такая: Создать скрипт-файл, который будет помещен на флешку, и перед тем как вынуть флешку, нужно будет просто запустить данный скрипт, и он производил бы такие действия: • Так как файл на флешке, то букву Диска флешки узнать будет нетрудно, хотябы даже так: $N_Disk=StringLeft(@ScriptFullPath,1) • Дальше произвести поиск файлов на флешке с атрибутами - Скрытый, Системный (думаю ясно почему), включая файл AUTORUN.INF и удаление их. • После удаления - последующее извлечение устройства (Тут есть код: http://www.autoitscript.com/forum/in...6&#entry597036) Вопрос такой, как вы думаете, "прокатит" такой способ, или нет, не успеет ли вирус заразить скрипт-файл? И если "прокатит", то как лучше произвести поиск на данной флешке только файлов по маске *.exe с атрибутами "S" = SYSTEM и "H" = HIDDEN с последующим их удалением - (в примере на всяк случай вместо удаления напишите просто вывод в msgbox-e), чтобы было очень быстро (флешка используется восновном для "переноса" аудио и видео, ну могут там быть еще какие то файлы, но точно не скрытые и не системные.Мне нужна помощь именно в этом участке кода - поиск и удаление файлов с атрибутами скрытый, системный, и если они только для чтения - то и этот. |
beve, это бесполезно. Вы запустите этот скрипт, дальше за секунды флешка заразится опять.
|
beve, можно сделать по другому:
Я на своём компе поставил в авто загрузку скрипт типа: Код:
#NoTrayIcon |
Имхо, у меня стоит антивир+фаервол: ESS 4 (jy же NOD) все удалет со всех флешек ;) и с ключами нет проблем )))
beve, а попробуйте на флешку записать папку с именем: AUTORUN.INF по идее ни какой файл с таким именем невозможно создать. если только эти "звери" не шибко умные. хотя....если названить папку системной / архивной / только чтение и т.д. - может прокатит? beve, как понимаю хотите запускать скрипт на флэшке - пока она еще "в гостях". тогда релаьно стоит посмотреть в сторону: 1. поиск возможных нарушителей 2. если есть - то создовать файлы с таким е именем с атрибутами системными, что бы сложнее удалить....(может поможет) 3. и побыстрее выдернуть... Вы поэксперементируйте на зараженном ПК - и все станет ясно. А то тут много можем гадать )) |
proxy,
Ничего из выше перичисленного не сработает на зараженной машине (намаелся уже) Остается только боротсься с последствиями на незараженной системе |
Цитата:
|
beve, тогда учите скрипт:
0. думаю стоит поискать вариант блокировки.... 1. чистеть флешку 2. сразу её отключать т.е. скрипт удаляет все подозрительные файлы. и далее следить каждую секунду (а лучше 250мс) не появился ли файл AUTORUN.INF (все остальное не важно - без него все равно они не запустятся) и в это время отключать флешку (скрипт даже можно что бы он копировался в тэм и оттуда запусклся или в надежное место и линк в пуск - что бы на будущее )) скорее всего есть средства (мож win Api) безопасного извлечения... в помощь MSDN - значит можно ) немного по теме + еще идея в том, что вир не будет записываться каждую секунду, как правило, имхо так встречал, проходит 2-5 секунд....если контролить появление AUTORUN.INF каждые 50-250мс = то он не проскользнет. а в это время второй скрипт будет безопасно извлекать флешку. все это дела, как говорил в одно скрипте который через FileInstall все закидывает куданить на лок машину и запускает... должно сработать ) |
Цитата:
Я тоже размышляю, удастся ли раньше вируса успеть удалить файлы и извлеч устройство или нет... |
Цитата:
Цитата:
и извлекать, что бы не отрываться от процесса зачистки до последней милли-милли-секунды )) |
Цитата:
каждые 2 сек - 50/50 1,5 сек - 10/90 покрайне мере у меня |
Если флэшка с NTFS - лучше просто закрыть доступ к файлу autorun.inf
Чистые машины с неотключённым автораном будут тогда в порядке. А то с этим удалением - кот в мешке. |
Цитата:
|
beve, если на NTFS этот файлик так же не перезапишется - это мега решение!!
Просто отключение AutoRun-а и т.д. вмешательство в чужую систему, имхо, не изящно ... |
beve, Насчет http://habrahabr.ru/blogs/infosecurity/54187/
Цитата с форума:"Ммм, что мешает вирусу отредактировать FAT и убрать установленные атрибуты?" Пока вроде таких нету, но ... А если форматнуть флеш в NTFS, то на другом компе с урезанными пользовательскими правами(как часто бывает на работе) - "у вас нет прав на открытие носителя" |
speechless, тогда вопрос, зачем форматировать в NTFS, если под FAT все классно?
или я что то недопонял? Цитата:
А в целом решение хорошое. даже когда "зверки" научатся это делать все равно на зараженных компах будут и "тугадумные" которые, котрые не умеют это длеать....а там и новое решние появится. К тому же win 7, скорее всего как в аналогии с вистой будет все ок. А сама ос очень хороша. Пора бы потихоньку и переходить....)) |
proxy, не буду спорить на счет ОСей, ибо неблагодарное это дело.
Цитата:
Кельтская народная поговорка: Расслабился - обделался ))) Хотя, согласен, идея интересная. Цитата:
Цитата:
|
Цитата:
И судоржно дражать, с замиранием сердца, в ожидание злобных вирусов ;) )) Цитата:
Просто ставил 7-ку, у меня на виртуалке она летает как локальная хп, даже после опытов ))) А привоститься к интерфейсу+подлапатить под себя - дело техники ......помню как скрепя сердцем и не только переходил с 98 (секанд эдишин) на xp, вот уж дело было.... ))))))))) |
proxy, модератор по ходу спит )))) :yahoo:
|
Цитата:
speechless, ! Предупреждение за нарушение общих правил форума (3.17). |
Лично я использую такой способ: отслеживаю все новые появившиеся в системе устройства(с помощью сообщения WM_DEVICECHANGE). Если это устройство флешка или винт, то проверяю, есть ли там файл Autorun.inf. Если есть, то удаляю. Данный вариант будит работать на чистой машине.
Увы кода данного варианта на AutoIT у меня нет. (есть только C++ (win32 api) вариант). |
Цитата:
|
Код:
@echo off создаем батник, ложим в корень флешки и запускаем - AutoIt не нужен =) |
Цитата:
|
Время: 16:00. |
Время: 16:00.
© OSzone.net 2001-