Цитата(Infector @ 3.8.2008, 18:07  ) |
| Где-то есть запрет автозапуска как явления. |
обычно в реестре...
| Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате |
| Форум программистов > MS Windows > Запрет запуска программ |
| Автор: Infector 3.8.2008, 17:51 |
| Недавно задумался над проблемой защиты от многочисленых вирусов, которые клиенты постоянно привносят на своих флешках. При этом производители антивирусов не всегда успевают за этим "народным творчеством", поэтому приходится сражаться с этим добром при помощи FAR. Пару дней назад решил не ждать пока все новшества достигнут лабораторий Касперского и Нортона и начал создавать собственный черный список, благо в WinXP предусмотрено замечательное средство. (К сожалению на 2000 аналогичного не обнаружил) Итак, открываем mmc, добавляем оснастку "редактор объекта групповой политики" и находим раздел: Политика "локальный компьютер"->Конфигурация компьютера->Конфигурация Windows ->Параметры безопасности->Политики ограниченного использования программ->Дополнительные правила. Щелкаем правой и выбираем "Создать правило для пути" Теперь следует определиться каким образом добавить вредоносную программу в список, т.к. можно выделить две группы: 1. Имя файла может напоминать системный файл и заставить задуматься, однако системных файлов с таким именем не существует. В таком случае лучше всего внести в список просто имя файла без указания пути. Таким образом гарантируется, что ни одна программа с таким именем не запустится. 2. Несколько сложнее, когда имя вируса повторяет имя одного из системных файлов. Запрещать все программы с таким именем опасно, т.к. можно ненароком зацепить и нужную службу. Слава богам, места обитания вирусов winlogon.exe, ctfmon.exe и подобных отличаются от типичного расположения системных файлов. Поэтому перед именем вируса указываем путь к его типичному месторасположению. За пару дней черный список пополнился следующими записями: fun.xls.exe locale.exe usbcash.exe %userprofile%\Главное меню\Программы\Автозагрузка\ctfmon.exe C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ctfmon.exe C:\Temp\winlogon.exe C:\TMP\winlogon.exe Предлагаю совместными усилиями продолжить его составление. |
| Автор: Akella 3.8.2008, 17:57 |
| с системного диска (из корневого каталога) лучше вообще запретить запуск *.exe Добавлено через 2 минуты и 48 секунд а как можно запретить создание файлов autorun.inf, например в центральных каталогах дисков? |
| Автор: Infector 3.8.2008, 18:07 |
| Где-то есть запрет автозапуска как явления. Хотя autorun.inf создаваться все равно будут, меньше вреда от них получается |
| Автор: nitr 3.8.2008, 18:33 | ||
обычно в реестре... |
| Автор: Infector 3.8.2008, 18:53 |
Он есть в групповых политиках mmc, но где именно так просто этого не вспомню. Нужно искать в куче бумаг, ту где конкретное местечко указано  |
| Автор: nitr 3.8.2008, 19:49 |
| gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система Пункт "Отключить автозапуск"  |
| Автор: Akella 3.8.2008, 20:15 |
| да вот в том то всё и дело, что хотелосьбы отключить автозапуск только на нек. дисках |
| Автор: nitr 3.8.2008, 22:12 |
| а ведь скорее всего реально ;) Добавлено через 23 секунды т.к. автозапуск для флешек можно отключить (для каждой по отдельности) |
| Автор: Akina 4.8.2008, 08:33 |
| Автозапуск отключается в двух местах. В одном - в принципе. На всё сразу. В другом - вводится маска запрета по именам дисков. Также есть отдельная точка, где можно запретить автозапуск сидюков и автозапуск съемных накопителей. Самое имхо разумное - это принципиальное отключение автозапуска через локальные политики станции. Если потребуется - запустить вручную несложно. |
| Автор: Infector 5.8.2008, 18:35 |
| Вносим в список: *\RECYCLER\*.* |
| Автор: Akella 5.8.2008, 20:13 |
| Infector, а ты не ошибся папкой? |
| Автор: nitr 5.8.2008, 21:52 |
| Это же "корзина", чего с ней не так? Бывает она называется RECYCLER или RECYCLED, но что в ней не так? |
| Автор: Dobermann 5.8.2008, 23:37 | ||
Скажи как!!! |
| Автор: Akella 6.8.2008, 15:36 |
| nitr, а в список-то её зачем? Добавлено через 30 секунд Dobermann, в свойствах диска есть закладка Автозапуск |
| Автор: nitr 6.8.2008, 18:56 |
| Akella, вы меня не поняли =) я тоже удивлен, зачем это в список "игнора"... Dobermann, или когда вставляете флешку, выбираете "не выполнять никаких действий" =) и галочку "запомнить"... |
| Автор: Infector 7.8.2008, 10:18 | ||
Вот именно, корзина! И ничему кроме мусора там делать нечего. Проверял, свои функции она от этого не теряет, но не одна программа/скрипт/батник, уложенный туда с помощью проводника или FAR запускаться перестает. А прициденты с обитающей там холерой были  |
| Автор: Akella 7.8.2008, 12:38 |
Нужно попросить Миханика или Локахоста скриптик написать  , который бы брал список из текстового файла и вносил бы список в реестр, чтобы ручками групповые политики не ковырять. |
| Автор: Infector 7.8.2008, 20:55 |
| Можно из редактора реестра попытаться ветку выгрузить (довольно просто, т.к. ветка отыскивается по любому из элементов списка). А вот как это сработает при экспорте на другую машину не проверял. |
| Автор: Infector 14.8.2008, 19:46 |
| Забыли старого знакомого - help.com |
| Автор: mihanik 14.8.2008, 20:16 | ||
А? Что?  Кого позвать?  |
| Автор: Poseidon 14.8.2008, 20:34 | ||
|
| Автор: Akella 15.8.2008, 07:01 |
| system_v.exe |
| Автор: Infector 21.8.2008, 11:25 |
| 8ng8w.com |
| Автор: Akella 23.8.2008, 00:35 |
| mihanik, ну и... ты согласен... напишем своеобразный винградовский антивирускин против "авторанов" |
| Автор: mihanik 23.8.2008, 08:03 |
| Akella, а что я-то сразу? Вы мне дайте ТЗ, а уж я попробую... 1. Формат текстового файла? 2. Действие по каждому пункту такого текстового файла? внести изменение в реестр, убить процесс в памяти, стереть файл с диска... Вы мне скажите, чего вы хотите! |
| Автор: Akella 23.8.2008, 12:25 | ||
| Тю, ну ты ж и сам не дурак. Подумай, помиркуй. Берем текстовый файл, где в строку будут имена вирусов или пути:
Убивать, думаю не нужно, т.к. можно что-то не то убить. Помоему винда сразу сама ищет и закрывает процесс после добавления имени файла в политики. Записываем список в реестр. Попутно отключаем автозагрузку всех дисков. Вот что получилось:  Не знаю, можно ли как это провернуть. Вот, что получается в реесте... каша.  |
| Автор: mihanik 24.8.2008, 12:18 |
| Я так понимаю, что это всё должно работать на отдельно стоящем компе. Т.е. использоваться должны только локальные политики? Не знаю... Возьмусь я за это или нет... Сейчас всё так лениво (в организме переизбыток пива). Я же в отпуске!!! Обещаю подумать над этим предложением, но не обещаю выполнить. |
| Автор: Infector 24.8.2008, 16:54 |
Если это в AD будет работать, то хуже не станет. Даже лучше, не надо по машинам бегать  |
| Автор: mihanik 24.8.2008, 17:06 | ||
А у многих ли дома AD? |
| Автор: Infector 25.8.2008, 18:47 |
| Однако ж вирусы тоже не только дома живут |
| Автор: Негодяй 26.8.2008, 12:47 |
| Мне помогла в борьбе с вирусом "autorun" эта статья http://azbukapk.com.ua/kak-udalit-virus-autorun |
| Автор: Негодяй 26.8.2008, 14:08 |
| Вот ещё статья для борьбы с этим вирусом http://azbukapk.com.ua/kak-vosstanovit-punkt-menyu-svojstva-papki Обязательно надо воспользоваться двумя статьями!! |
| Автор: Infector 28.8.2008, 18:33 |
| Пополнение для коллкции: system_cashe.exe xn1i9x.com d.com winlogan.exe msmine82.exe msfun80.exe Негодяй: проблема в том, что Autorun.inf сам по себе довольно безобиден и без исполняемого файла на который ссылается ни на что не способен, однако набор прилагающихся к нему *.exe и *.com потенциально могут нести в себе самые разнообразные функции от безобидных шуток, до usbcash.exe начисто убивающего флешку (починить так и не смог). При этом честно попытался удалить его только Dr.Web, но т.к. флешка вирусом от записи начисто защищена, сделать этого не смог. |
| Автор: Akella 28.8.2008, 21:19 | ||
если не будет такого файла, то винда не сможет открыть центральный каталог диска, и сразу выдаст окно с предложением выбора программы для неопределённого типа файла |
| Автор: Негодяй 29.8.2008, 13:03 | ||
также не смог |
| Автор: Infector 30.8.2008, 17:36 |
Да черт с ним с окном, закроем. Лишь бы винда жива осталась, железо, да информация на дисках  |
| Автор: bartram 31.8.2008, 12:54 | ||
В корне диска создаешь папочку autorun.inf, и этот файлик там создаваться не будет. |
| Автор: Akella 2.9.2008, 20:48 |
| тогда при открытии диска будет ошибка или файл тупо перезаписан будет |
| Автор: bartram 3.9.2008, 15:18 | ||
Ты о чём? Данный способ покатит для флешек. |
| Автор: JusTalionis 4.9.2008, 19:00 | ||
Попробуйте запустить чистую ДОС при уже вставленной флешке. Если БИОС умеет определять флеши (а почти все современные умеют), то как устройство она будет видна. Если удастся удалить екзешник вируса - хорошо. Если не удастся - полное переформатирование или пересоздание раздела при помощи Partition Magic под ДОСом. Добавлено через 4 минуты и 1 секунду ЗЫ По умолчанию полагаю, что Вы не забыли додуматься отключить в БИОСе запуск с самой флешки. |
| Автор: Infector 5.9.2008, 18:51 |
| Partition Magic не испытывал, но под ДОСОМ такие вещи, как Diskedit, Format и Fdisk не проходят. А с DR.WEB вообще интересная штука - он остается в полной уверенности, что файл удален, тоже показывает FAR, но по факту остается там где и был, стоит только флешку перевоткнуть, и он там где был. Вообще Флешку забрали уже, в музей а так поэксперементировал бы еще. |
| Автор: Нож 21.1.2009, 23:23 |
| Ребят, извините, конечно, но может я не туда пишу, просто поиском нет времени пользоваться, комп просто в бешенстве ))) просто на D у меня куча файлов которые нужно сохранить(т.е. я не могу формануть D ), а сколько не пере устанавливай винду с D бежит в прогамм куча хлама )) Ваш метод Политики мне понравился , никогда даже не слышал что такое есть. В общем тут вот еще какой вопрос Касперыч пишет (аваст тоже писал до 1-ой переустановки винды) что Комп был атакован, в общем вот вам маленький отчет и это всего за 5 минут, потом правда это прикратилось, но спустя пол часа снова пошли атаки, даже сейчас когда пишу это окно вылазит (конечно можно нажать "больше не показывать" но мне интересно сколько это будет продолжаться) Подскажите что сделать или к кому или куда обратиться и на сколько это опасно, ведь поидее он не все атаки защищает ? я заметил что там в настройках отключена опция "Блокировать атакующий айпи", но походу она не помогла, еще не нажимал(касперыч триальный, да и всеравно я почти по два раза в день переустанавливаю винду) Началось это в принципе когда я установил Left 4 Dead (игра предусмотрена чтобы играть в неё как одиночным так и он-лайн режимом через Steam, подключения к серверам идут напрямую через IP, т.е. все у кого пиратские версии все кидают в чат свои IP и орут мол народ подключайся ну и потом играем) Я конечно сомневаюсь что комне на комп пытается кто то залезть)) хм зачем ?? вобщем подскажите пожалуйста |
| Автор: Akella 27.2.2009, 12:30 |
| Ещё сюда следует внести: system.exe |
| Автор: Негодяй 28.2.2009, 07:45 |
| io.exe n1detect.com |