ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
12.06.2009, 17:24
|
|
Постоянный
Регистрация: 21.04.2009
Сообщений: 321
Провел на форуме:
785842
Репутация:
239
|
|
ставим flashguard и не паримся )
|
|
|
12.06.2009, 19:57
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 334
Провел на форуме:
1934122
Репутация:
118
|
|
Cпособ защиты в FAT32 http://milw0rm.com/papers/314
|
|
|
|
14.06.2009, 19:15
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
когдато также защищали флешки, но увы пришлось отказаться от этого метода потому как слишком уж ntfs кешировало данные и случались случаи когда при горячем вытаскивании флешки данные терялись (потому как небыло прав на отключение)
Да и NTFS на разных компах ведет себя странно. на некоторых давала большой прирост в скорости, а на других - наоборот сильно замедление. По этому было просто решено отключать везед авторан )
|
|
|
|
15.06.2009, 17:38
|
|
Moderator - Level 7
Регистрация: 21.03.2007
Сообщений: 1,200
Провел на форуме:
7134052
Репутация:
1204
|
|
когдато также защищали флешки, но увы пришлось отказаться от этого метода потому как слишком уж ntfs кешировало данные и случались случаи когда при горячем вытаскивании флешки данные терялись (потому как небыло прав на отключение)
Да и NTFS на разных компах ведет себя странно. на некоторых давала большой прирост в скорости, а на других - наоборот сильно замедление. По этому было просто решено отключать везед авторан )
Отключение авторана - это организационная мера на компьютере..прежде чем сунуть флэшку в чужой будешь отключать у всех авторан?
А вот с атрибутом файла 0x40 в FAT32 действительно интересная идея! Описанная собственно по ссылке данной чуть выше.
Вкратце:
1. Создается файл autorun.inf на флешке в корне.
2. Открывается раздел флешки в HEX-редакторе (например HxD)
3. Ищется строка типа "AUTORUN"
Находим следующее:
Код:
41 55 54 4F 52 55 4E 20 49 4E 46 20
A U T O R U N I N F
4. Заменяем последний байт на 0х40 (атрибут для внутреннего использования, не должен присутствовать в файлах):
Код:
41 55 54 4F 52 55 4E 20 49 4E 46 40
A U T O R U N I N F @
5. И сохраняем. Т.о. файл будет виден, но с ним теперь хрен чё сделаешь.
|
|
|
|
17.06.2009, 11:40
|
|
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
Провел на форуме:
4512757
Репутация:
973
|
|
ппц, вы тут кучу демагогии развели на эту тему, прям статью написали, а если б полазили по антивирусным форумам то нашли бы элементарное решение, идеальное.
На флешке сносится файл autorun.inf и создается ПАПКА с название autorun.inf
По неизвестным причинам винда не могет создать файл и папку с одинаковым именем, а на линупсах пох, это буит универсальным способом
|
|
|
|
17.06.2009, 11:50
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Сообщение от login999
ппц, вы тут кучу демагогии развели на эту тему, прям статью написали, а если б полазили по антивирусным форумам то нашли бы элементарное решение, идеальное.
На флешке сносится файл autorun.inf и создается ПАПКА с название autorun.inf
По неизвестным причинам винда не могет создать файл и папку с одинаковым именем, а на линупсах пох, это буит универсальным способом
Удалить вирю папку и создать файл с таким именем тяжело по твоему? 
|
|
|
|
17.06.2009, 11:58
|
|
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
Провел на форуме:
4512757
Репутация:
973
|
|
Сообщение от -=lebed=-
Удалить вирю папку и создать файл с таким именем тяжело по твоему? ты наверное не знаешь, но папка и файл удаляются по разному, с точки зрения компьютера это абсолютно разные вещи, то путь, ато обьект, это нюанс для вирмейкеров, неожиданный поворот событий который не предусмотрен, exception бля, slesh на заметку )
|
|
|
|
17.06.2009, 12:11
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Сообщение от login999
ты наверное не знаешь, но папка и файл удаляются по разному, с точки зрения компьютера это абсолютно разные вещи, то путь, ато обьект, это нюанс для вирмейкеров, неожиданный поворот событий который не предусмотрен, exception бля, slesh на заметку )
C точки зрения файловой системы каталог - это обычный файл (кстати поэтому и нельзя одно и то же имя использовать на одном уровне). Вирмейкеру предусмотреть такую ситуацию (удаление папки) - не составит труда, просто добавить лишнюю команду на удаление каталога перед удалением файла и всё.
Последний раз редактировалось -=lebed=-; 17.06.2009 в 12:19..
|
|
|
|
17.06.2009, 12:18
|
|
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
Провел на форуме:
4512757
Репутация:
973
|
|
Сообщение от -=lebed=-
C точки зрения файловой системы каталог - это обычный файл (кстати поэтому и нельзя одно и то же имя использовать на одном уровне). Вирмейкеру предусмотреть такую ситуацию (удаление папки) - не составит труда.
Я и не говорил, что предусмотреть такую ситуацию сложно, дело вот в том, что не предусматривают =/
|
|
|
|
17.06.2009, 12:24
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Сообщение от login999
Я и не говорил, что предусмотреть такую ситуацию сложно, дело вот в том, что не предусматривают =/
Теперь будут  ибо легко обойти эту защиту.
Код:
cmd ->rd диск:\autorun.inf
P.S. Способов защиты предостаточно, их одновременное использование делает невозможным заражение флешки - а это главное! 
Последний раз редактировалось -=lebed=-; 17.06.2009 в 12:27..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для shellz[21h]](/avatars/avatar46780.jpg?1326893){kind=avatar}
![Отправить сообщение для shellz[21h] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
