Cum sa protejezi memoria flash de virusi

Această metodă e mai mult pentru oamenii care se descurca bine în IT.

Metoda nu este universală, şi nu rezolvă toate problemele ce tin de viruşi şi de memorii flash. Eu vă voi învăţa să protejaţi fişierul autorun.inf de acţiunile viruşilor.

După cum ştim, majoritatea viruşilor care se transmit prin memorii flash înlocuiesc fişierul autorun.inf cu unul infectat. Windows-ul, care este cel mai securizat sistem de operare valabil (cel putin, dupa spusele celor de la micro$oft), executa fisierul autorun.inf fără a întreba dacă sunteţi de acord cu asta, la fiecare inserare a memoriei. Astfel, dacă mutaţi flash-ul dintr-un computer infectat în altul, acela se va infecta indiferent dacă executaţi sau nu virusul.

Soluţia:

Chiar dacă sunt multe memorii flash cu optiune de blocare (read-only), uneori acest lucru nu ne ajută, pentru că nu putem inscripţiona nimic pe ea din computerul care ar putea fi infectat. La fel, acesastă măsură nu ajută cu nimic dacă stick-ul este deja infectat. La asta se mai adaugă faptul că putem uita neprotejat stick-ul.

Daca sistemul de fisiere al stick-ului e fat (ca la majoritatea stick-urilor de pana la 8 gb), chestia poate fi rezolvata printr-un hex editor. In acest scop puteti folosi HxD Hex Editor .

Creati un fisier gol pe partitia stick-ului, cu numele autorun.inf. Deschideţi cu Hex Editorul partiţia stick-ului (dacă-i doar una e bine, dacă-s două, deschideţi partiţia logică).

Asiguraţi-vă că partiţia e montată cu drepturi de citire/scriere, şi că nu e accesată de niciun program din sistem.

Încă o chestie -toate aceste lucruri pot fi făcute pe o partiţie care conţine informaţie, dar e cel mai bine de făcut pe o partiţie goală. Salvaţi undeva în calculator toată informaţia de pe stick.

Acum, in hex editor, căutaţi pe partiţie şirul de caractere ”AUTORUN”.

Veţi găsi ceva de genul:

41 55 54 4F 52 55 4E 20 49 4E 46 20
A  U  T  O  R  U  N     I  N  F

Primii 8 baiti sunt numele fisierului (AUTORUN), cu un spaţiu pentru ca numele are doar 7 caractere. Următorii 3 baiti sunt extensia (INF), iar ultimul reprezintă atributele fisierului. Anume acesta ne interesează pe noi cel mai mult.

Ultimul bite conţine acum setul de biţi de arhivă (0x20). Noi trebuie să-l facem să conţină setul de biţi de dispozitiv, ceea ce nu se întâlneşte de obicei. Îl vom modifica să arate aşa:

41 55 54 4F 52 55 4E 20 49 4E 46 40
A  U  T  O  R  U  N     I  N  F  @

Acum salvaţi modificările pe disc, ignorând alertele precum că puteţi face vreun rău pentru dispozitiv. Demontaţi stick-ul, montaţi-l înapoi. Felicitări. autorun.inf stă pe el, dar nu poate fi nici modificat nici şters.

Când veţi introduce stick-ul intr-un computer infectat, va spune că nu poate modifica autorun.inf . Veţi înţelege astfel că acel computer e infectat (chiar, un stick poate servi si ca detector de virusi 🙂 ) .

via http://milw0rm.com

Anunțuri

10 Comments

  1. Posted 16 Aprilie, 2009 at 11:32 am | Permalink | Răspunde

    bun de stiut , din pacate eu nu ma pricep …

    • Badan Sergiu
      Posted 17 Aprilie, 2009 at 6:22 am | Permalink | Răspunde

      hime: articolul e orientat mai mult pentru profesionistii din domeniu. Oricum, daca practica devine pe larg intrebuintata, viitorii virusi vor modifica ei singuri acel byte. Acum insa, se poate de folosit.

  2. Posted 16 Aprilie, 2009 at 7:17 pm | Permalink | Răspunde

    bun 😉 ms … vezi ca l-am pus si la mine, in caz de ceva sa stie lumea sa faca:( … cum e Bogdane prin Moldova acum ?

    • Badan Sergiu
      Posted 17 Aprilie, 2009 at 6:20 am | Permalink | Răspunde

      ValsiS: e rau acum in Moldova, deja al treilea tanar e mort, oficial.

  3. albsz
    Posted 18 Februarie, 2011 at 10:55 am | Permalink | Răspunde

    Salut,
    articolul este destul de vechi insa sper ca mai intretii blogul asta si imi poti raspunde.
    Am un stick nou si am vrut sa-mi fac acele fisier autorun.inf ca sa ma feresc de virusi..
    spui”Acum, in hex editor, căutaţi pe partiţie şirul de caractere ”AUTORUN”.”
    eu in fisierul creat nu am asa ceva (poate nu stiu sa caut..)
    nu am decit asa:
    offset (h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0F
    00000000

    ce spui tu de :”41 55 54 4F 52 55 4E 20 49 4E 46 20
    A U T O R U N I N F” nici vorba..sau eventual cum am spus mai sus nu stiu eu cum sa fac !

    bytes pe rand vad ca este setat la 16

    charset ANSI
    offset base hex..
    le-am mai schimbat eu ..insa nimic din ce spuneai tu..nu a iesit..
    poti fi putin mai detaliat te rog?

    • Badan Sergiu
      Posted 18 Februarie, 2011 at 12:03 pm | Permalink | Răspunde

      In hex editor trebuie sa deschizi nu fisierul creat, ci partitia intreaga, adica dispozitivul.

      • albsz
        Posted 21 Februarie, 2011 at 7:43 am | Permalink

        Multumesc de raspuns..
        insa din pacate tot nu am reusit
        in hex editor daca ii dau file opennu pot sa deschid partitia F (acolo este stick-ul..trebuie sa aleg mai departe un fisier.. ca sa pot sa-l deschid…!

      • bargin
        Posted 3 Martie, 2011 at 4:24 pm | Permalink

        creeaza fisierul autorun.inf pe stick
        deschide programul HxD hex editor
        Extras – open disk
        debifeaza Open as readonly
        alege stickul
        ok
        Find – search
        scrie in caseta – autorun
        se va deschide exact la linia care trebuie modificata
        41 55 54 4F 52 55 4E 20 49 4E 46 20
        modifica ultimul 20 in 40
        41 55 54 4F 52 55 4E 20 49 4E 46 40

        exista un program care face acelasi lucru – Panda USB Vaccine
        link – http://research.pandasecurity.com/technology/1004/

  4. laura
    Posted 18 Aprilie, 2012 at 11:09 am | Permalink | Răspunde

    Am si eu o intrebare. La descarcarea flash-ului acesta poate contine virusi? Vreau sa il descarc insa cred ca are virusi. Sper ca imi veti raspunde. Va multumesc.

  5. Badan Sergiu
    Posted 18 Aprilie, 2012 at 7:11 pm | Permalink | Răspunde

    A fost un virus saptamana trecuta care pretindea ca e un update pentru flash. Nu era pentru windows, ci pentru Mac-uri.
    Daca descarci flashul de pe site-ul Adobe, nu va contine virusi.

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: