Вторник, 2024 Декабрь 24, 20:18:56
5mw.ru
Приветствую Вас Гость | RSS
Главная Регистрация Вход
Меню сайта
заходите аналог или тут

Разделы новостей
Раздача ICQ VIP [25]
7мизначки даром. =)
Видео [3618]
(прочее)
[Софт] [12911]
Программы и приложения для системы.
Музыка [12327]
Музыка всех направлений, шансон, транс, авто, клуб, драм и прочее )))
NEW Игры [6144]
Игры самые новые и популярные попадают именно в этот раздел!
Интересное [14947]
Интересные новости в Интернете статьи и новости эксклюзивные.
[Фото / Картинки] [703]
Наша галерея фото.
Приколы [111]
(разное)
Авто [103]
Тюнинг, аэрография, Железо, Тачки
Спорт [220]
Спортивные новости и всё что касается спорта)
Hi-Tech [121]
новости последних технологий xD
Общее [45]
Всё обо всём обзоры!
ЛюбоФФ) [118]
Любовь, интимное и глубокое чувство, устремлённость на другую личность, человеческую общность или идею. Л. необходимо включает в себя порыв и волю к постоянству, оформляющиеся в этическом требовании верности.
Мобильные технологии. [3986]
Мобилка
Клипы [227]
Видео клипы новинки и не только)
ДРАЙВЕРА [278]
Драйвера ну сами понимаете всегда нужны вот так у нас все последние из Интернета собраны)
Новости [254]
Самые последние новости.

Наш чат

Наш опрос
Сколько вы сидите в интернете?
Всего ответов: 81

 
 
Главная » 2011 » Январь » 17 » Защита флешки от записи новых файлов

Защита флешки от записи новых файлов
21:26:34
Продолжаю развивать тему о защите флешек от вирусов (ранее мною публиковались материалы AUTOSTOP — скрипт для защиты флешки от autorun-вирусов и Panda USB and AutoRun Vaccine — лекарство от autorun-вирусов на флешке — там главным образом речь шла о защите флешки от записи на нее вредоносного файла autorun.inf). Тема интересна тем, что зачистка вирусов на компьютере — это борьба со следствием, а предохранение флешки от вирусов — это меры, направленные на устранение причины.

Защита флешки от записи новых файлов осуществляется путем определения свободного пространства на ней, с последующим полным его заполнением, используя утилиту fsutil. Такой метод отлично подходит, например, для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF. 

image
Далее следует описание метода, его анализ, и способ полной автоматизации.

Метод придуман не мной, он подсказан пользователем cook, а позднее найден в нескольких специализированных источниках. Мною же разработан удобный автоматизированный способ его применения, а также (на основании анализа как сильных его сторон, так и уязвимостей) дано более верное название, а именно «защита от записи новых файлов» (в отличии от менее точного названия в других источниках «защита от записи», не полностью отражающего суть метода).

Способ


В оригинале для создания такого файла используется команда:

fsutil file createnew <filename> <length>

Fsutil является служебной программой командной строки. Для использования программы fsutil необходимо войти в систему с помощью учетной записи администратор или члена группы администраторов.

Такой способ, как выяснилось в результате тестирования, имеет 2 минуса:
  1. FAT32 имеет ограничение на размер файла (2^32 байт, т.е. 4 гигабайта). Соответственно, мало заполненную информацией флешку размером 8 гигабайт (такие флешки сегодня не так уж редки) и больше таким образом уже не защитить
  2. Создание больших файлов занимает несколько минут времени. А если понадобилось удалить защитный файл, дописать что-то на флешку, а потом снова выставить защиту? Снова теряется время на создание большого файла


В моем же автоматизированном варианте используется следующий код (его нужно оформить в виде bat-файла, переписать на флешку и запустить оттуда), свободный от перечисленных недостатков:

@echo off
setlocal enabledelayedexpansion
set /a sizofile=1024 * 1024 * 1024
for /l %%K in (1,1,256) do (
for /f "tokens=3" %%J in ('dir %~d0 /-C') do (set freespace=%%J)
if !freespace! EQU 0 goto ready
if !freespace! GTR !sizofile! (
call :getime
fsutil file createnew "%~d0\[ 1024 Mb ] !randtime!" !sizofile!
) else (
for /l %%K in (1,1,5) do (
for /f "tokens=3" %%J in ('dir %~d0 /-C') do (set freespace=%%J)
set /a sizofilemb=!sizofile! / 1024 /1024 / 2
set /a sizofile=!sizofile! / 2
if !freespace! GEQ 67108864 (
if !freespace! GEQ !sizofile! (
call :getime
fsutil file createnew "%~d0\[ !sizofilemb! Mb ] !randtime!" !sizofile!
)
) else ( 
if !freespace! EQU 0 goto ready
call :getime
fsutil file createnew "%~d0\[ 1-63 Mb ] !randtime!" !freespace! 
goto :EOF
)
)
)


:getime
set randtime=!time:~-10!
set randtime=!randtime::=!
set randtime=!randtime:,=!
exit /b


Логика работы кода следующая:
  • определяется количество свободного пространства на флешке
  • если свободного пространства больше 1Gb — создаем файлы размером 1Gb до тех пор, пока это условие выполняется
  • Когда свободного пространства меньше 1 гигабайта — последовательно пытаемся создать файлы размером 512Mb, 256Mb, 128Mb, 64Mb и последний файл размером от 1 до 63Mb


В итоге на флешке создается примерно следующая структура файлов, заполняющая все свободное место (7-значный уникальный код в конце названия каждого файла необходим для избежания ошибки создания файлов с одинаковыми именами):

[ 1-63 Mb ] 7344296
[ 64 Mb ] 7343581
[ 256 Mb ] 6050959
[ 512 Mb ] 6043075
[ 1024 Mb ] 2341570
[ 1024 Mb ] 2353157


После установки на флешку такой защиты, нельзя ничего с нее удалять (включая и упомянутый bat-файл), иначе защита перестанет действовать. Для снятия защиты от записи новых файлов (например, при необходимости записать что-то на флешку), необходимо удалить один или несколько созданных таким образом файлов минимально необходимого размера, и записать свои данные. Восстановление защиты после этого займет минимальное время.

Анализ


Строго говоря, такой метод нельзя считать полным аналогом аппаратного переключателя «read-only», имеющегося на некоторых видах флешек. Даже если флешка защищена от записи новых файлов описанным методом, вирус имеет возможность создать файл autorun.inf на флешке — но вот записать что-либо в этот файл уже не сможет. 

Следует также заметить, что вирус имеет возможность поразить потенциально уязвимые файлы, уже содержащиеся на флешке, ввиду остатка свободного места (обусловленного кластерностью) выделенного для хранения файла. Но тенденции развития функционала вирусов позволяют говорить о том, что сегодня вирусы все меньше поражают отдельные файлы, а все больше используют уязвимости операционной системы Windows. 

Таким образом, считать такой способ защитой от записи можно только в контексте невозможности создания на флешке непустых новых файлов. Что однако, как показывает практика, является серьезной мерой защиты от autorun-вирусов. Как говорилось выше, этот метод отлично подходит для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF, а также для флешек с личным набором необходимого программного обеспечения, подключаемого к чужим компьютерам. 

Хочется сказать еще несколько слов о пресловутой надежности защиты, обеспечиваемой аппаратным переключателем «Read-only». Имел место такой случай.

В фотоаппарате жены (Canon А610) нет возможности показа индикатора заряда батареи. Я нашелальтернативную прошивку, имеющую такую функцию. Записал ее на карту памяти. В инструкции к прошивке говорися, что для того, чтобы она грузилась автоматом (а не руками запускалась после включения фотоаппарата), необходимо переключатель на карте памяти перевести в положение «Заблокировано». Я несколько раз перечитал этот пункт — уж не ошибся ли. Нет — все верно. Ставлю переключатель в положение «Lock», заряжаю карту в фотоаппарат, предчувствуя что сейчас он выругается о невозможности записи, и… И ничего такого не происходит — все снятые кадры прекрасно сохраняются на карту памяти, а неудачные кадры без проблем можно удалить. Выводы делайте самостоятельно.


Конкретная реализация


Код для самостоятельного создания bat-файла приведен выше. Но наиболее удобно использовать новую версию 2.4 моего скрипта AUTOSTOP

image
Она умеет после завершения создания каждого файла выдавать короткий звуковой сигнал через системный динамик, избавляя от необходимости самому каждые несколько секунд поглядывать, не создался ли еще файл (ведь, как известно, «чайник, на который смотришь, никогда не закипит»), а по завершении установки защиты выдает длинный звуковой сигнал.

PS — напомню что защиту флешки методом прав NTFS никто не отменял, но бывают случаи, когда ее применение по каким-то причинам нежелательно. 

PPS — спасибо Elroir за помощь в написании кода.
http://habrahabr.ru/blogs/infosecurity/55524/
Категория: Интересное | Просмотров: 785 | Добавил: admin | Теги: Защита флешки от записи новых файло | Рейтинг: 0.0/0 |
Всего комментариев: 0
 
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
 
 

 

 
 
 
Наша огромная галерея имеет размер более 9 тысяч картинок!!!
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
 
 

 

 
 
 
 

Самые горячие темы форума обсуждаем!!! И вы присоединяйтесь к нам!

 

Самые интересные новости на нашем портале.
Читайте бесплатно на 5 M W
 
 

 
 
 
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
 
 

 
На нашем любимом сайте http://5mw.ru находиться уже более 1851.94 Mb новостей, файлов, музыки, фотографий, статей, отзывов и огромный форум с каждым днём это число увеличивается! Мы благодарим вас за посещения нашего сайта http://www.5mw.ru и рады что вы выбрали именно нас! У нас всегда много интересной информации и различные конкурсы в виде раздачи icq номерков и только на нашем сайте http://www.5mw.ru !

Замете это совершенно уникальный сайт! Новости собираются из самых качественных источников и всегда самые свежие и на сайте появляются моментально! Так же прошу вас заметить столь важный момент, мы против ВИРУСОВ в Интернете у нас нет никаких вредоносных программ подставных, рекламы которая навредит вашему компьютеру, есть совсем не много рекламы проверенных партнеров таких как google.com и д.р Так же наш сайт обладает огромной галереей фотографий: Девушки, авто, НЮ и других направлений много фотографий формата HQ (большого формата) посещайте наш увлекательный сайт мы всегда будем вас держать в курсе всех событий Интернета!!! не забывайте регистрироваться! Добавляйте в избранные! Получайте призы и подарки от нашего проекта! 5mw.ru всегда рады гостям и постоянным пользователям!
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
 
 

Форма входа

Календарь новостей
«  Январь 2011  »
ПнВтСрЧтПтСбВс
     12
3456789
10111213141516
17181920212223
24252627282930
31

Поиск

Друзья сайта

  • Наши партнеры
  • Рекомендуем посетить: заходим! :)
    Целомудрие женщины
    статусы аськи часть II
    Самые популярные мужские заблуждения в вопросах секса
    Автоломбард в СПб
    О чём может рассказать её гардероб?
    Как Довести Девушку До Оргазма? Клитор и точка G - что это такое?
    Большая охота на российских хакеров II
    www.Tut.by без преувеличения лидер бесплатного хостинга (free hosting) в белоруссии
    Почему мы курим?
    Сайт бесплатного хостинга www.newmail.ru позволяет создать сайт бесплатно
    Причины выпадения волос у мужчин да фиг знает?
    Как выбрать автокран?
    Я люблю музыку
    Перфорированный крепёж статейка
    Срочная печать визиток это просто
    Как защитить реферат?
    Как выбрать наручные часы
    КАК ВЫБРАТЬ ПОДВЕСНОЙ ЛОДОЧНЫЙ МОТОР
    Как выбрать теплицу для участка?
    Выбираем игру на Android

    Случайное фото!

    БЕСПЛАТНЫЙ КАТАЛОГ
    NEWS "Добавь сайт бесплатно и только у нас!"
    [Добавь сайт](VIP)
    Капсулы Брейнтон. Делайте заказ на сайте!

    PHOTO

    Статистика
     
    Привет,Прохожий !
    20:18:56 || 2024 Декабрь 24
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Copyright MyCorp © 2024