compics.net

 Мир компьютеров

 

 

Программы

 

 Новости

Железо

Интернет

Коммуникации

Программы

Обзоры

Поиск неисправностей

Autostop 2.4 - защита от autorun-вирусов

Autostop программа предназначенная для:
- отключения на компьютере автозапуска со всех носителей
- защиты флешки от autorun-вирусов
- защиты флешки от записи новых файлов.
Каждая из трех защит может быть установлена отдельно по желанию.
Для установки надо скопировать файл autostop.2.4.exe, находящийся в архиве (зеркало), в корневой каталог флешки и запустить оттуда.
1. Ввести 1 или 0 в зависимости от того, хотите ли вы отключить автозапуск на компьютере, или не хотите.
2. Далее ввести 2 или 0 в зависимости от того, хотите ли вы защитить флешку от autorun-вирусов, или нет.
3. И в завершении ввести 3 или 0 в зависимости от того, хотите ли вы защитить флешку от записи новых файлов, или нет. Эта процедура может длиться до нескольких минут - необходимо дождаться ее завершения не прерывая работу программы. По мере выполнения промежуточных ее этапов, программа выдает короткие звуковые сигналы через системный динамик компьютера, а по завершении - длинный звуковой сигнал.
Если защита флешки от записи новых файлов (пункт 3) не проводилась, то после окончания установки файл autostop.2.4.exe можно удалить с флешки (в случае применения защиты флешки от autorun-вирусов, его копия будет находиться в каталоге AUTORUN.INF).
Если же производилась защита флешки от записи новых файлов (пункт 3), то никакие файлы (включая autostop.2.4.exe) и каталоги удалять с флешки нельзя, иначе защита перестанет работать.

Как эта программа работает?

Отключение автозапуска


Автозапуск со всех носителей на компьютере отключается путем внесения изменений в разделы реестра (рекомендуется отключение автозапуска на всех компьютерах):
1) REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f
В CancelAutoplay\Files находятся текстовые параметры, содержащие имена файлов, отыскав которые на носителе встроенный AutoRun запускаться не станет и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).
2) REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f
@SYS:DoesNotExist говорит explorer’у, чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf - то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того - не запускается он и при двойном клике по букве диска этого носителя в проводнике.
3) REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с определенных приводов по их типу. Поскольку нам autorun вообще не нужен, используем второе.
4) REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f Cd-rom - полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной).

Защита от autorun-вирусов

Защита флешки от autorun-вирусов строится следующим образом. На флешке создается каталог AUTORUN.INF, препятствующий записи на флешку вредоносного файла autorun.inf. Также для защиты флешки от вирусов служат файлы recycled и recycler.
В исходном состоянии на каталоге AUTORUN.INF высвечивается красный индикатор в виде дорожного знака "кирпич" - что визуально сообщает о том что "для автозапуска въезд запрещен". Если компьютер, к которому подключена флешка, заражен autorun-вирусом, то вирус попытается записать на флешку вредоносный файл autorun.inf. Но он не сможет этого сделать, пока на флешке существует одноименный каталог AUTORUN.INF. Существуют вирусы, которые могут пытаться удалить этот каталог - но здесь их ожидает серьезное препятствие: каталог защищен от удаления. Но при попытке удаления каталога вирус наверняка снимет с него атрибут "системный". Если это случится - красный индикатор с каталога AUTORUN.INF исчезнет. Это послужит свидетельством того, что на флешке появились вирусные файлы. Но файл autorun.inf, посредством которого может произвестись заражение, на флешку записан не будет - именно таким образом программа осуществляет защиту, блокируя основную опасность. Существуют вирусы, которые могут пытаться переименовать каталог AUTORUN.INF. Но если им это удастся (название каталога AUTORUN.INF тогда изменится на что-то неприметное, например aabu) - красный индикатор и в этом случае исчезнет, что послужит сигналом о том, что флешка заражена. Метод будет действовать лишь частично (с отсутствием индикации) на различных сборках Windows типа Zver и им подобных, имеющих встроенные пиктограммы для отображения каталогов. Метод не нужно применять для загрузочных флешек (имеющих файл autorun.inf - т.к. этот файл будет удален программой). Для защиты загрузочных флешек воспользуйтесь методом защиты от записи новых файлов.
Каждый раз перед извлечением флешки необходимо нажать F5 в проводнике, и проверить наличие красного индикатора: - красный индикатор есть на флешке - "для автозапуска въезд запрещен" - красный индикатор исчез с флешки - флешка заражена. Если при этом исчез и каталог AUTORUN.INF, то на флешке содержится вредоносный файл autorun.inf.
Помните, что даже если красный индикатор есть на флешке - это говорит лишь об отсутствии вредоносного файла autorun.inf, что значительно снижает риск заражения компьютера при подключении флешки к нему. Но в то же время на той же флешке могут содержаться вирусные файлы (и, как правило, содержатся). Поэтому регулярно проверяйте флешку антивирусом.

Защита от записи новых файлов

Защита флешки от записи новых файлов осуществляется путем определения свободного пространства на ней, с последующим полным его заполнением, используя утилиту fsutil.
Такой метод отлично подходит, например, для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF.
Для создания такого файла используется команда: fsutil file createnew
В итоге на флешке создается примерно следующая структура файлов, заполняющая все свободное место:
[ 1-63 Mb ] 7344296
[ 64 Mb ] 7343581
[ 256 Mb ] 6050959
[ 512 Mb ] 6043075
[ 1024 Mb ] 2341570
[ 1024 Mb ] 2353157
После установки на флешку такой защиты, нельзя удалять с нее никаких файлов и каталогов (включая и установочный файл autostop.2.4.exe), иначе защита перестанет действовать.
При необходимости записать что-либо на флешку, удалите один или несколько файлов минимально необходимого размера.
Но такой метод нельзя считать полным аналогом аппаратного переключателя "read-only", имеющегося на некоторых видах флешек. Даже если флешка защищена от записи новых файлов описанным методом, вирус имеет возможность создать файл autorun.inf на флешке (даже в случае, если флешка защищена от autorun-вирусов методом создания каталога AUTORUN.INF, а вирус умеет переименовывать этот каталог. Но в этом случае, как говорилось выше, исчезнет красный индикатор) - но вот записать что-либо в этот файл уже не сможет. Таким образом, обеспечивается дополнительная степень безопасности флешки.
Следует также заметить, что вирус имеет возможность поразить потенциально уязвимые файлы, уже содержащиеся на флешке, ввиду остатка свободного места (обусловленного кластерностью) выделенного для хранения файла. Но тенденции развития функционала вирусов позволяют говорить о том, что сегодня вирусы все меньше поражают отдельные файлы, а все больше используют уязвимости операционной системы Windows. А программа AUTOSTOP предназначена для защиты от autorun-вирусов (которые, как правило, не заражают отдельные файлы) и не претендует на роль "лекарства от всех болезней", но является инструментом, многократно повышающим безопасность системы в целом, за счет значительного уменьшения возможности вирусного заражения через флешки и механизм их автозапуска.
Таким образом, считать такой способ защитой от записи можно только в контексте невозможности создания на флешке непустых новых файлов. Что, как показывает практика, является серьезной мерой защиты от autorun-вирусов.

Скачать Autostop 2.4 бесплатно (зеркало)

Сайт: http://mechanicuss.livejournal.com/

 

 

 

 


 

© compics.net