|
|
Пишет prool (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} prool)@ 2008-12-12 10:38:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
О вакцинировании флеш-памяти
Утром по дороге на работу у меня возникла мысль, что современная ситуация с компьютерными вирусами, распространяющимися через флеш-память немного похожа на ситуацию конца 80-х - начала 90-х с файловыми вирусами, распространяющимися через флоппи диски. И у меня возникла мысль, что и методы борьбы с вирусами могут быть аналогичными, в частности, такой редко используемый метод как вакцинирование.
Рассмотрим более подробно технологию заражения флешки. Если мы вставляем чистую (то есть не зараженную) флешку в зараженный компьютер, то в зараженном компьютере вирус уже перехватил функцию монтирования сменных томов и при монтировании флешки вирус переписывает на нее своё тело в виде исполняемого файла и ссылку на тело в виде файла autorun.inf. Впоследствии при вставлении зараженной флешки в чистый ламерский компьютер происходит автооткрытие флеш-диска и автозапуск того, что записано в файле autorun.inf и вуаля! ламерский компьютер заражен. (Почему я называю компьютер-жертву ламерским, а потому что все нормальные люди в целях безопасности давно уже запретили автозапуск сменных дисков)
Так вот, у меня возникла мысль предотвратить запись вируса на флешку. Есть, конечно, флешки с переключателем "read only", но его надо не забыть включить и как быть, если вы пришли в потенциально опасное место со своей флешкой, чтобы переписать что-то на неё?
У меня возникла идея заранее создать на флешке файл autorun.inf, а чтобы вирусам было труднее жить, придать этому файлу атрибуты read only, hidden и system. Эти все атрибуты, конечно, снимаются программно, но для этого в коде вируса надо специально заморачиваться, а современные вирусы пишутся на языках высокого уровня, пишутся тупо и без особых изысков. Зачем пробивать защиту хакерского компьютера, если 95% компьютеров принадлежат ламерам и в них можно войти вообще не проблем?
А если это не поможет, можно сделать еще более коварно, создать каталог autorun.inf (у меня была еще мысль про атрибут label, но я не уверен, что этот вариант сработает)
Утром по дороге на работу у меня возникла мысль, что современная ситуация с компьютерными вирусами, распространяющимися через флеш-память немного похожа на ситуацию конца 80-х - начала 90-х с файловыми вирусами, распространяющимися через флоппи диски. И у меня возникла мысль, что и методы борьбы с вирусами могут быть аналогичными, в частности, такой редко используемый метод как вакцинирование.
Рассмотрим более подробно технологию заражения флешки. Если мы вставляем чистую (то есть не зараженную) флешку в зараженный компьютер, то в зараженном компьютере вирус уже перехватил функцию монтирования сменных томов и при монтировании флешки вирус переписывает на нее своё тело в виде исполняемого файла и ссылку на тело в виде файла autorun.inf. Впоследствии при вставлении зараженной флешки в чистый ламерский компьютер происходит автооткрытие флеш-диска и автозапуск того, что записано в файле autorun.inf и вуаля! ламерский компьютер заражен. (Почему я называю компьютер-жертву ламерским, а потому что все нормальные люди в целях безопасности давно уже запретили автозапуск сменных дисков)
Так вот, у меня возникла мысль предотвратить запись вируса на флешку. Есть, конечно, флешки с переключателем "read only", но его надо не забыть включить и как быть, если вы пришли в потенциально опасное место со своей флешкой, чтобы переписать что-то на неё?
У меня возникла идея заранее создать на флешке файл autorun.inf, а чтобы вирусам было труднее жить, придать этому файлу атрибуты read only, hidden и system. Эти все атрибуты, конечно, снимаются программно, но для этого в коде вируса надо специально заморачиваться, а современные вирусы пишутся на языках высокого уровня, пишутся тупо и без особых изысков. Зачем пробивать защиту хакерского компьютера, если 95% компьютеров принадлежат ламерам и в них можно войти вообще не проблем?
А если это не поможет, можно сделать еще более коварно, создать каталог autorun.inf (у меня была еще мысль про атрибут label, но я не уверен, что этот вариант сработает)
