Flash Drive Protector 1.0
Скриншот программы Flash Drive Protector
Flash Drive Protector - это программа для защиты флешек от вирусов. Сперва немного теории. Обычно вирусы распространяются через флешки, записывая на них свой главный исполняемый файл и специальный файл с именем autorun.inf. Если такую зараженную флешку подключить к компьютеру, где не отключен автозапуск, то система обработает файл autorun.inf и запустит вирус на выполнение. Для противодействия этому был придуман следующий хитрый трюк: на флешке создается каталог с именем "autorun.inf", и получается, что теперь на ней нельзя создать одноименный файл. Но вирусы научились обходить такую защиту, просто удаляя этот каталог со всеми вложенными файлами. Следующим витком противодействия вирусам стало создание внутри папки autorun.inf файлов со служебными именами типа CON, LPT3 и т.п., из-за этого каталог с такими "кривыми" файлами обычными средствами системы удалить не получится. Вирусы быстро научились обходить и эту защиту, просто переименовывая папку вместе со всем содержимым или удаляя ее через вспомогательный командный файл.
Я написал программу Flash Drive Protector, которая также создает на флешке каталог autorun.inf, но защищает его на уровне файловой системы. Теперь этот каталог невозможно удалить или переименовать всеми известными способами, а чтобы его стереть придется форматировать флешку или же записывать изменения напрямую на диск. Я сильно сомневаюсь, что вирусописатели в ближайшем будущем дорастут до такого уровня.
Для защиты флешки сперва перенесите с нее все данные на другой диск, обязательно отформатируйте в FAT32 или FAT, убедитесь что на ней нет ни одного файла или каталога. Подключите к компьютеру, запустите программу Flash Drive Protector, выберите в выпадающем списке букву диска и нажмите кнопку "Protect". Файловая система NTFS и другие, отличные от FAT32 и FAT не поддерживаются! Если все пройдет успешно, то в корне диска появится скрытый каталог autorun.inf. Теперь на флешку можно перенести обратно все файлы. Защищенная флешка остается доступной для записи и хранения любых данных, а программы проверки дисков типа chkdsk не находят никаких ошибок в структуре файловой системы.
Просмотров: 33998 | Комментариев: 62
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
mindwhack
(24.09.2010 в 23:20):
File name:
flashprot.exe
Submission date:
2010-09-24 19:15:30 (UTC)
Current status:
queued queued analysing finished
Result:
13/ 43 (30.2%)
http://www.virustotal.com/file...1-1285355730
Чё на это скажете ?
flashprot.exe
Submission date:
2010-09-24 19:15:30 (UTC)
Current status:
queued queued analysing finished
Result:
13/ 43 (30.2%)
http://www.virustotal.com/file...1-1285355730
Чё на это скажете ?
ManHunter
(17.08.2010 в 14:17):
Я тебе говорю, что твой тупой "антивирус" NOD - говно, потому что дает ложные срабатывания, в частности на этот файл. Но спорить не буду, просто в бан.
SunFlame
(17.08.2010 в 14:13):
Причем здесь антивир то?
Он ведь в этом файле вшей находит.
Он ведь в этом файле вшей находит.
ManHunter
(17.08.2010 в 14:10):
Пора менять антивирус. NOD уже давно стал самым натуральным говном.
SunFlame
(17.08.2010 в 14:09):
При закачке ругается что это Agent.NRBSYBV троян.
DenisSMI
(15.05.2010 в 21:28):
Спасибо! Отличная идея!
ManHunter
(17.04.2010 в 23:37):
Можно, кстати, подумать о том, что такую "защиту" можно обойти простым переименованием твоего autorun, и похер сколько там будет вложенных папок с кривыми именами. Ну или подумать про то, что такой авторан вместе со всем зоопарком сносится обычным rd /s autorun.inf. В любом случае ключевое слово тут - ПОДУМАТЬ.
111
(17.04.2010 в 22:29):
Можно кстати сделать, что то похожее через командную строку:
H:
md autorun.inf
cd autorun.inf
md n..\
при этом нет необходимости в удалении данных с флешки
H:
md autorun.inf
cd autorun.inf
md n..\
при этом нет необходимости в удалении данных с флешки
Иволга
(10.04.2010 в 12:18):
Большущее СПАСИБО за программу и разъяснение! Побольше бы таких авторов!!!Приятно было пообщаться.
ManHunter
(09.04.2010 в 14:23):
Качать надо браузером или включать в качалке поддержку cookie из браузера, тогда будет счастье. Это все подробно написано на этой html-страничке, достаточно ее открыть и внимательно прочитать. На этом сайте нет ни одной битой ссылки на файлы.
Иволга
(09.04.2010 в 14:21):
Ещё раз прошу прощения но,пишу дословно:-"Файл Flash.Drive.Protector.1.0-PCL.zip является текстовой html страницей. Хотите сохранить этот файл с расширением ".htm" (Flash.Drive.Protector.1.0-PCL.zip.htm)?" С уважением,Владимир.Спасибо!
vastani
(07.03.2010 в 11:08):
Огромное спасибо за прогу и инфу в познании FAT тонкостей!!!
И все же, ManHunter, огромная просьба! Добавить в прогу ряд (списочек) имен с чекерами (вкл/выкл) папок, что Михаил говорил типа: RECYCLER, RESTORE, SYSTEM, CONFIG. Либо иметь возможность в одноимённом INI файле указать список ЭТИХ имен, тогда, если списка нет (Ваша базовая поставка, так сказать) то по умолчанию работа, как ка сейчас, а если юзверя уже забадало, что через его домашний, рабочий комп ПОСТОЯННО одни и те же звери папки "ходят" с людьми носящими ЭТО, он уже не в состоянии адекватно общаться или они вообще.... и он РУКАМИ уже замахался УДАЛЯТь ПАПКИ, которые NOD32 (равно, как и другие антивири)НЕ УБИВАЕТ, т.к. считает их нужными на носителе.
Мы то знаем, что на флешке в корне диска в 99% НЕ должно быть папки, скажем, "SYSTEM". Я думаю, что проблем то со списком никаких не будет. Заранее спасибо от всех старждущих!
И все же, ManHunter, огромная просьба! Добавить в прогу ряд (списочек) имен с чекерами (вкл/выкл) папок, что Михаил говорил типа: RECYCLER, RESTORE, SYSTEM, CONFIG. Либо иметь возможность в одноимённом INI файле указать список ЭТИХ имен, тогда, если списка нет (Ваша базовая поставка, так сказать) то по умолчанию работа, как ка сейчас, а если юзверя уже забадало, что через его домашний, рабочий комп ПОСТОЯННО одни и те же звери папки "ходят" с людьми носящими ЭТО, он уже не в состоянии адекватно общаться или они вообще.... и он РУКАМИ уже замахался УДАЛЯТь ПАПКИ, которые NOD32 (равно, как и другие антивири)НЕ УБИВАЕТ, т.к. считает их нужными на носителе.
Мы то знаем, что на флешке в корне диска в 99% НЕ должно быть папки, скажем, "SYSTEM". Я думаю, что проблем то со списком никаких не будет. Заранее спасибо от всех старждущих!
Дениска
(01.03.2010 в 01:02):
Спасибо!
Sergey_K
(29.01.2010 в 21:40):
Возможно ли сделать на USB-hdd? На флэшке хорошо, но часто загружаюсь с USB-hdd.
ManHunter
(10.12.2009 в 01:39):
Значение 77 взято вообще от балды. Просто цифра понравилась, никакого сакрального смысла в ней нет.
Серж
(10.12.2009 в 01:36):
Так то оно так, прога работает отлично! Меня просто заинтересовало какой атрибут "правильнее" 42 или 77 т.к. видел различные рекомендации, ну а поскольку я не спцец я в таких дебрях поэтому и решил спросить, мало ли что...
ManHunter
(09.12.2009 в 19:09):
Что именно требуется пояснить? Программа работает? Работает. Папка не удаляется? Не удаляется. Задача выполнена? Выполнена. Точка.
При ручной установке атрибутов папки приобретают точно такие же "неубиваемые" свойства. Остальное проверяется опытным путем, раз уж хватает любопытства задавать подобные вопросы.
При ручной установке атрибутов папки приобретают точно такие же "неубиваемые" свойства. Остальное проверяется опытным путем, раз уж хватает любопытства задавать подобные вопросы.
Серж
(09.12.2009 в 18:58):
Проясните плиз один момент:
Panda USB and AutoRun Vaccine v1.0.1.4 создает файл с атрибутом 42 а
Flash Drive Protector создает каталог с атрибутом 77. В чем плюсы и минусы этих способов?
ЗЫ:
Если я создам папку или файл, ну например RECYCLER, и через WinHEX выставлю атрибут 42(или 77), то это будет не хуже (в смысле "неубиваемости") чем файл (папка) созданная с помощью Flash Drive Protector или Panda???
Panda USB and AutoRun Vaccine v1.0.1.4 создает файл с атрибутом 42 а
Flash Drive Protector создает каталог с атрибутом 77. В чем плюсы и минусы этих способов?
ЗЫ:
Если я создам папку или файл, ну например RECYCLER, и через WinHEX выставлю атрибут 42(или 77), то это будет не хуже (в смысле "неубиваемости") чем файл (папка) созданная с помощью Flash Drive Protector или Panda???
ManHunter
(30.11.2009 в 19:35):
Уже пробовал. Пока не разобрался со структурой exFAT, так что и поддержки пока не будет.
Dig
(30.11.2009 в 18:02):
Скажите, не планируете ли вы добавить поддержку exFAT?
Dig
(30.11.2009 в 15:44):
Думаю, это и не нужно. Такие флэшки я видел только как рекламные, т.е. их заказывает какая-нибудь фирма, чтобы записать свои материалы для раздачи клиентам. А чтобы хоть какую-то память о себе оставить (понятно же, что все всё сразу же сотрут), делают вот такой вот нестираемый раздел с автозагрузкой. :)
ManHunter
(30.11.2009 в 15:35):
Ну на такие выкрутасы моя программа точно не заточена. Может бы и заточил бы, если б под рукой было подобное чудо враждебной техники.
Dig
(30.11.2009 в 15:33):
Разобрался. Проблема оказалась во флэшке. Она (аппаратно?) разделена на две части и, соответственно, представляется в системе двумя разными буквами. Первая часть, где находятся два ранее упомянутых мною файла, для записи недоступна.
ManHunter
(30.11.2009 в 12:57):
Это значит, что у тебя на компе пасется целый зоопарк. Сперва разберись с ним, а потом защищай флешки.
Dig
(30.11.2009 в 12:55):
Защитил с помощью Flash Drive Protector флэшку. Вроде всё нормально.
Вставляю другую флэшку. Ей присвоена другая буква диска. Снова запускаю Flash Drive Protector, но ни одного флэш-накопителя он не видит. Зато в системе помимо текущего флэш-диска появляется и другой, от предыдущей флэшки, с autorunfile.exe и ссылающимся на него AUTORUN.INF.
Что бы это значило?
Вставляю другую флэшку. Ей присвоена другая буква диска. Снова запускаю Flash Drive Protector, но ни одного флэш-накопителя он не видит. Зато в системе помимо текущего флэш-диска появляется и другой, от предыдущей флэшки, с autorunfile.exe и ссылающимся на него AUTORUN.INF.
Что бы это значило?
ManHunter
(29.11.2009 в 02:48):
Мне без разницы, надо - выкладывай.
Cтанислав
(28.11.2009 в 20:06):
Непременно нужная вещч в хозяйстве. Вопрос к автору можно эту программу разместить на трекере? Или качать только здесь? Не смейтесь у меня правильный трекер и то что сам размещаю если есть возможность спросить разрешение спрашиваю.
Владислав
(11.11.2009 в 18:52):
Спасибо за прогу!
а то жена постоянно таскает с работы вирусов...
а то жена постоянно таскает с работы вирусов...
ManHunter
(11.11.2009 в 17:35):
Для всех личеров напоминаю: размещать прямые ссылки на закачку на ваших форумах бесполезно. Никто в обход этого сайта по ним ничего не скачает.
ManHunter
(29.10.2009 в 14:32):
Видел, читал. Спасибо.
Mechanicus
(29.10.2009 в 14:00):
Читатели моего ЖЖ прислали мне ссылку на вашу программу (я собираю ссылки на программы для защиты от autorun-вирусов), и я написал небольшой обзор по ней - http://mechanicuss.livejournal.../239681.html
Михаил
(24.10.2009 в 19:39):
Что поделать. Растёт как на дрожжах количество пользователей интренета и именно дети и домохозяйки являются главными переносчиками вредоносного по.
Да, собсна, и вредоносное по то теперь нацелено на бабос, точней на его выбивание из вышеперечисленных (либо с помощью шантажа (sms и денежные переводы, покупка псевдо-анти-зловредов), либо - принудительного просмотра рекламы (адвара))...
Отстреливать переносчиков - не вариант, обвешивать их защитой (типа от дяди Жени из ЛК) - себе дороже, ибо не приспособлено оно для них... Остаётся один вариант - просвещать и учить (хотя бы элементарщине - правилам безопасного сёрфинга и навыкам компьютерной гигиены).
Да, собсна, и вредоносное по то теперь нацелено на бабос, точней на его выбивание из вышеперечисленных (либо с помощью шантажа (sms и денежные переводы, покупка псевдо-анти-зловредов), либо - принудительного просмотра рекламы (адвара))...
Отстреливать переносчиков - не вариант, обвешивать их защитой (типа от дяди Жени из ЛК) - себе дороже, ибо не приспособлено оно для них... Остаётся один вариант - просвещать и учить (хотя бы элементарщине - правилам безопасного сёрфинга и навыкам компьютерной гигиены).
ManHunter
(24.10.2009 в 19:28):
Без этих "домохозяек" производители коммерческого "как-бы-софта" типа каспера останутся без бутербродов с черной икрой.
Михаил
(24.10.2009 в 19:24):
ManHunter, позиция ясна. Вопрос снят.
Всех домохозяек шлём покупать флЭхи с защитой от записи и полгода инструктируем как пользоваться переключателем защиты.
Всех домохозяек шлём покупать флЭхи с защитой от записи и полгода инструктируем как пользоваться переключателем защиты.
ManHunter
(24.10.2009 в 19:14):
Цель программы - исключить возможность автоматического запуска вредоносных программ с флешки, и все. Ни буквой, ни байтом больше. Все остальные фантазии и желания лучше обсуждать на других ресурсах. А чтобы запретить ЗАПИСЬ на флешку надо покупать флешки с защитой от записи, потому что нет и не может быть никакого способа дифференцировать запись на флешку доверенными программами или же вредоносными.
Михаил
(24.10.2009 в 19:08):
Вот, кстати, хотелось спросить, а как быть с папками которые создают зловреды? RECYCLER, RESTORE, SYSTEM и прочее... ?
Ведь большинство авторан-зловредов настолько не совершенны, что даже не проверяют возможность создания autorun.inf
Они тупо копируются на Флешку. И клали они на то что файл autorun.inf не возможно создать.
Ведь большинство авторан-зловредов настолько не совершенны, что даже не проверяют возможность создания autorun.inf
Они тупо копируются на Флешку. И клали они на то что файл autorun.inf не возможно создать.
Михаил
(24.10.2009 в 18:56):
ManHunter, чтобы сравнить надо знать название той пакости что обходит usb vaccine. Сейчас поспрашиваем, мб кто и знает. Хотелось бы чтобы F.D.P. выдержало испытание :)
ManHunter
(24.10.2009 в 18:52):
Сравнивай, я не против.
Михаил
(24.10.2009 в 18:51):
Хотелось бы сравнить эффективность сей тулзы например с panda usb vaccine.
Кто-нибудь знает какая именно зараза обходить последнюю?
Хочу потестить на виртуальной машине.
Кто-нибудь знает какая именно зараза обходить последнюю?
Хочу потестить на виртуальной машине.
прохожий
(19.10.2009 в 16:28):
Попробуем эту програмку. Раньше юзал УСБ вакцину, но через некоторое время на чужом компе этот файл спокойно вдруг начинает открываться и редактироваться и удаляться (закономерности не выявил).
ManHunter
(30.09.2009 в 15:04):
"Ну вы, блин, даете" (С)
14-килобайтную халяву с почти прямой ссылкой и живым офсайтом раздавать с закрытого трекера :) Отписал там в камментах.
14-килобайтную халяву с почти прямой ссылкой и живым офсайтом раздавать с закрытого трекера :) Отписал там в камментах.
рамирес-санчес
(30.09.2009 в 14:52):
ManHunter писал "В какой хоть теме обсуждают?"
на трекере http://dc.ru-board.com/ поиском мгновенно найдешь.
на трекере http://dc.ru-board.com/ поиском мгновенно найдешь.
ManHunter
(30.09.2009 в 12:28):
Смысл тогда ссылку через всякие ОНАНИмайзеры заворачивать, не варез же?... Я ж тоже Silver Member на руборде. В какой хоть теме обсуждают?
рамирес-санчес
(30.09.2009 в 12:21):
ManHunter писал "Интересно, это с какого сайта столько народа прет? :)) За сутки пол-тыщи просмотров."
с руборда, там самый дотошный народ.
с руборда, там самый дотошный народ.
VOVKA
(30.09.2009 в 02:14):
Я из закладок к тебе прихожу, еще со времен PCL:)
ManHunter
(30.09.2009 в 02:08):
VOVKA, не поможет. А с NTFS не работает, потому что в основе защиты лежит использование именно особенностей FAT.
Интересно, это с какого сайта столько народа прет? :)) За сутки пол-тыщи просмотров.
Интересно, это с какого сайта столько народа прет? :)) За сутки пол-тыщи просмотров.
VOVKA
(30.09.2009 в 02:02):
А у меня флешка на 32 гига с NTFS, FAT не подходит (часто приходится работать с файлами больше 4 гигов) и, следовательно, мне такая защита не поможет? по какой причине не работает в NTFS?
presidentua
(29.09.2009 в 23:35):
Супер. Класная прога за нее спасибо. Но хотелось бы попросить еще отдельную статью о том как все это сделали ;), уж очень интересно ;)
ManHunter
(29.09.2009 в 03:22):
Добавил автообновление списка флешек при их подключении и отключении.
Nutscracker
(29.09.2009 в 02:16):
> Так что не должно быть никаких проблем с созданием загрузочной флешки.
Проверил, работает.
Еще раз спасибо.
> Позже, наверное, напишу отдельную статью про это.
Было бы интересно почитать. :)
Проверил, работает.
Еще раз спасибо.
> Позже, наверное, напишу отдельную статью про это.
Было бы интересно почитать. :)
ManHunter
(29.09.2009 в 01:09):
Покурил мануалы, теперь программа работает под Windows Vista / Windows 7 ;)
Правда пришлось хитрым способом наклонить систему безопасности винды, но наука требует жертв. Не удивлюсь, если антивирусы не оценят такого героизма :) Позже, наверное, напишу отдельную статью про это.
Правда пришлось хитрым способом наклонить систему безопасности винды, но наука требует жертв. Не удивлюсь, если антивирусы не оценят такого героизма :) Позже, наверное, напишу отдельную статью про это.
Nutscracker
(29.09.2009 в 00:51):
Круто, у папки даже скрывающие атрибуты не снять - посвященные поймут, а остальные просто не увидят.
Nutscracker
(29.09.2009 в 00:35):
Ясно, спасибо. Как докопируется, протестирую.
ManHunter
(29.09.2009 в 00:30):
В FAT меняется только один байт атрибута у одной папки, вся остальная структура диска остается неприкосновенной, и chkdsk это подтверждает. Так что не должно быть никаких проблем с созданием загрузочной флешки.
Nutscracker
(29.09.2009 в 00:27):
Жаль.
Впрочем, бэкап дело хорошее.
> А во-вторых на чистом диске точно не будет ничего постороннего, что может помешать процессу.
А на этот диск потом можно будет записать MBR?
Впрочем, бэкап дело хорошее.
> А во-вторых на чистом диске точно не будет ничего постороннего, что может помешать процессу.
А на этот диск потом можно будет записать MBR?
ManHunter
(29.09.2009 в 00:22):
Форматирование и таскание файлов не обойти. Во-первых, так пользователь гарантированно сделает бэкап и потом не будет мне выкатывать, почему с флешки пропал квартальный отчет. А во-вторых, на чистом диске точно не будет ничего постороннего, что может помешать процессу.
Nutscracker
(29.09.2009 в 00:18):
Весьма занятно. :)
До тех пор, пока процент чайников достаточно велик, вирусописатели обходятся даже без переименования неудаляемых папок - я такое делал с несколькими флэшками - вирусы дописывались, а папки оставались.
Зато уже два раза попадались вирусы, скрывающие настоящие папки и подкладывающие свою копию с тем же именем (folder + folder.exe, folder.exe помимо прочего открывает папку folder). Вот с этими сложнее.
P.S. Необходимость форматирования и таскания файлов туда-сюда никак не обойти? А то было бы вообще замечательно. :)
P.P.S. Да, самый сомнительный компьютер (в моем личном рейтинге) создал на моей флэшке 10 скрытых папок и 11 левых исполняемых файлов. :D
До тех пор, пока процент чайников достаточно велик, вирусописатели обходятся даже без переименования неудаляемых папок - я такое делал с несколькими флэшками - вирусы дописывались, а папки оставались.
Зато уже два раза попадались вирусы, скрывающие настоящие папки и подкладывающие свою копию с тем же именем (folder + folder.exe, folder.exe помимо прочего открывает папку folder). Вот с этими сложнее.
P.S. Необходимость форматирования и таскания файлов туда-сюда никак не обойти? А то было бы вообще замечательно. :)
P.P.S. Да, самый сомнительный компьютер (в моем личном рейтинге) создал на моей флэшке 10 скрытых папок и 11 левых исполняемых файлов. :D
ManHunter
(28.09.2009 в 23:50):
В реестре хорошо копаться на своей машине, а когда флешку приходится толкать во всякие сомнительные компьютеры, где про отключение автозапуска даже не слышали, то я предпочитаю подстраховаться.
CoStick
(28.09.2009 в 23:24):
USB Vaccine делает аналогичную вещь, только вроде не требует чистой флешки, давно "вакцинировал" потому сомневаюсь.
Для спокойствия следует так-же в реестре отключать autorun со сменных носителей:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
создаем ключ NoDriveTypeAutoRun со значением 28 и HonorAutoRunSetting со значеием 1, перегружаем машину и теперь по барабану autorun.inf на жестком\сетевом диске и флешке. Можно как опцию в утилите реализовать.
Для спокойствия следует так-же в реестре отключать autorun со сменных носителей:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
создаем ключ NoDriveTypeAutoRun со значением 28 и HonorAutoRunSetting со значеием 1, перегружаем машину и теперь по барабану autorun.inf на жестком\сетевом диске и флешке. Можно как опцию в утилите реализовать.
ManHunter
(28.09.2009 в 22:59):
Программа НЕ работает под Windows 7, я ищу причину и возможность это исправить.
64-ядерный процессор
(28.09.2009 в 13:23):
Хитро придумано!
Добавить комментарий
Заполните форму для добавления комментария
Комментарии отключены администратором сайта
Камменты отключены.